CN112311531B - 一种可控的前后端安全通信方法 - Google Patents

一种可控的前后端安全通信方法 Download PDF

Info

Publication number
CN112311531B
CN112311531B CN202011220741.2A CN202011220741A CN112311531B CN 112311531 B CN112311531 B CN 112311531B CN 202011220741 A CN202011220741 A CN 202011220741A CN 112311531 B CN112311531 B CN 112311531B
Authority
CN
China
Prior art keywords
user
digital certificate
request
data
user digital
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011220741.2A
Other languages
English (en)
Other versions
CN112311531A (zh
Inventor
张邓明
王绍旺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing University of Post and Telecommunications
Original Assignee
Chongqing University of Post and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing University of Post and Telecommunications filed Critical Chongqing University of Post and Telecommunications
Priority to CN202011220741.2A priority Critical patent/CN112311531B/zh
Publication of CN112311531A publication Critical patent/CN112311531A/zh
Application granted granted Critical
Publication of CN112311531B publication Critical patent/CN112311531B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种可控的前后端安全通信方法,对后端返回的RSA公钥进行签名验证,判断是否终止请求;通过设备辨识码和对应时间戳加密生成AES密钥,并结合登录信息整合成字符串后,加密传输至所述后端;利用对应的RSA私钥进行解密,并将获取的数据进行查库对比,同时利用所述AES密钥加密用户数字证书后返回给前端进行保存;将所述用户数字证书、当前时间戳和签名整合成字符串后,编码加密生成用户Token;对接收到的所述用户Token进行解密,并分别对解析后的所有数据进行对比验证,判断是否终止请求;根据未过期所述用户数字证书的用户信息是否需要更新,判断是否需要更新所述用户数字证书,保证了请求的不可篡改性、可控性和一次性。

Description

一种可控的前后端安全通信方法
技术领域
本发明涉及前后端鉴权技术领域,尤其涉及一种可控的前后端安全通信方法。
背景技术
目前前后端的鉴权方法较为流行的是Token验证,其中JWT是基于Token验证的一种使用广泛的鉴权协议。其中JWT鉴权关键在后端给前端返回一个带有用户信息的签名文件用于后续认证用户,请求时后端就只需要验证该签名文件是否有效,有效则直接使用签名文件内内容作为用户信息而无需维护用户状态和多次查库。但这样会导致以下三个问题,即请求API时请求的请求可被篡改、用户信息更新不可控和请求数据可被重复使用:
1.请求可能被拦截后篡改发起错误请求。
2.若后端需要对该用户的信息进行修改则必须要等待该签名文件过期下次发放签名文件的时候才能完成修改
3.由于JWT请求的时候证书是不变的,当证书泄露后会导致用户的身份就可以被伪装造成严重的安全问题。
发明内容
本发明的目的在于提供一种可控的前后端安全通信方法,保证了请求API时,请求的不可篡改性、可控性和一次性。
为实现上述目的,本发明提供了一种可控的前后端安全通信方法,包括以下步骤:
对后端返回的RSA公钥进行签名验证,判断是否终止请求;
通过设备辨识码和对应时间戳加密生成AES密钥,并结合登录信息整合成字符串后,加密传输至所述后端;
利用对应的RSA私钥进行解密,并将获取的数据进行查库对比,同时利用所述AES密钥加密用户数字证书后返回给前端保存;
将所述用户数字证书、当前时间戳和签名整合成字符串后,编码加密生成用户Token;
对接收到的所述用户Token进行解密,并分别对解析后的所有数据进行对比验证,判断是否终止请求;
根据未过期所述用户数字证书的用户信息是否需要更新,判断是否需要更新所述用户数字证书。
其中,通过设备辨识码和对应时间戳加密生成AES密钥,并结合登录信息整合成字符串后,加密传输至所述后端,包括:
通过生成算法生成设备辨识码,并与对应时间戳拼接后生成AES密钥原文,利用随机生成的盐值对所述AES密钥原文进行加密,将得到的AES密钥结合获取的登录信息,利用所述RSA公钥对生成的字符串加密,并将得到的密文传输至所述后端对应的接口。
其中,利用对应的RSA私钥进行解密,并将获取的数据进行查库对比,同时利用所述AES密钥加密用户数字证书后返回给前端保存,包括:
利用RSA私钥对所述密文进行解密,同时对所述字符串进行解析,将解析得到的所述登录信息进行查库对比,然后利用所述RSA私钥将比对成功得到的数据进行签名,并利用所述AES密钥进行对称加密,将得到的用户数字证书回传至前端进行解密保存,完成登录。
其中,将所述用户数字证书、当前时间戳和签名整合成字符串后,编码加密生成用户Token,包括:
对获取的请求信息内所有数据按键名进行字典排序,并使用Base64编码,同时将使用MD5生成的信息概要作为对应的请求签名,然后结合当前时间戳和所述用户数字证书,利用所述RSA公钥对Base64编码得到的Token密文原文进行加密,得到对应的用户Token。
其中,根据未过期所述用户数字证书的用户信息是否需要更新,判断是否需要更新所述用户数字证书,包括:
若远程服务字典判断未过期所述用户数字证书内用户信息需要更新,则在返回所述用户数字证书时,发出拉取最新数字证书信号;
若远程服务字典判断未过期所述用户数字证书内用户信息无需更新,则在返回所述用户数字证书时,发出无需更新信号。
其中,根据未过期所述用户数字证书的用户信息是否需要更新,判断是否需要更新所述用户数字证书,还包括:
根据所述远程服务字典内的数据判断用户数据是否有更新,并当所述用户数据需要更新时,所述前端根据所述拉取最新数字证书信号判断是否拉取所述用户数字证书。
其中,所述方法还包括:
根据返回的所述结果判断是否需要更新所述用户数字证书,若所述用户数字证书过期,重复登录流程;若用户信息有更新,则请求后端对应接口获取对应的所述用户数字证书;若不需要更新所述用户数字证书,则完成对应请求。
本发明的一种可控的前后端安全通信方法,对后端返回的RSA公钥进行签名验证,判断是否终止请求;通过设备辨识码和对应时间戳加密生成AES密钥,并结合登录信息整合成字符串后,加密传输至所述后端;利用对应的RSA私钥进行解密,并将获取的数据进行查库对比,同时利用所述AES密钥加密用户数字证书后返回给前端保存;将所述用户数字证书、当前时间戳和签名整合成字符串后,编码加密生成用户Token;对接收到的所述用户Token进行解密,并分别对解析后的所有数据进行对比验证,判断是否终止请求;根据未过期所述用户数字证书的用户信息是否需要更新,判断是否需要更新所述用户数字证书,完成对应的请求,保证了请求API时,请求的不可篡改性、可控性和一次性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的一种可控的前后端安全通信方法的步骤示意图。
图2是本发明提供的登录流程示意图。
图3是本发明提供的请求流程示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
请参阅图1,本发明提供一种可控的前后端安全通信方法,包括以下步骤:
S101、对后端返回的RSA公钥进行签名验证,判断是否终止请求。
具体的,如图2所示,前端在发起登录请求前,首先向后端指定API接口发起请求,等待后端返回带有签名的RSA公钥(非对称加密公钥)。
然后,前端用本地的证书对该RSA公钥进行签名验证,若签名验证成功,则将该RSA公钥作为后续请求加密密钥保存到本地,若签名验证失败,则说明RSA公钥被篡改或发生错误,中止后续请求。对后端返回的RSA公钥进行签名认证,确保该RSA公钥是由后端签名分发的,避免了请求被劫持导致使用了错误的RSA公钥对隐私数据加密导致数据被解密。
S102、通过设备辨识码和对应时间戳加密生成AES密钥,并结合登录信息整合成字符串后,加密传输至所述后端。
具体的,前端通过UUID(通用唯一识别码)生成算法生成设备唯一辨识码,然后和当前对应时间戳拼接后生成AES密钥原文,再随机生成一个6位的Salt(盐值)后对所述AES密钥原文进行MD5(一种信息摘要算法)加盐加密生成AES密钥(对称加密公钥)。前端将用户输入的登录信息(如账号密码等)和得到的AES密钥通过对应API(接口)混合成一个对象,再通过对应API将对象转为JSON(一种数据交换格式)字符串的方式生成JSON字符串,并使用RSA公钥加密该JSON字符串生成密文;最后将生成的密文作为数据传递给后端API接口。
S103、利用对应的RSA私钥进行解密,并将获取的数据进行查库对比,同时利用所述AES密钥加密用户数字证书后返回给前端保存。
具体的,后端通过RSA私钥对接收的所述密文进行解密,若解密成功,则对JSON字符串进行JSON数据解析获取到AES加密密钥和用户信息登录;若解密失败,则直接返回错误提醒前端重新获取RSA公钥;其中,进行JSON数据解析采用的是对应语言的API,如PHP的json_decode方法就能将JSON字符串转为PHP的对象,这部分都是借助编程语言的API。
后端对用户信息进行查库比对,采用的方法是获取到账户名和密码的明文后再使用数据库中的Salt对密码明文进行加盐MD5(一种消息摘要算法)加密,再判断结果和数据库中储存的密码密文是否一致,若一致则认为比对成功;若比对成功,则生成用户信息相关(如用户ID、用户权限等数据)和签名过期时间的JSON字符串,使用RSA私钥对该JSON数据进行签名作为用户的数字证书;若比对失败,则返回错误提醒用户检查用户名和密码等用户信息。接着利用所述AES密钥对称加密的得到的用户数字证书,并返回至前端,当前端接收到所述用户数字证书后,利用AES密钥对后端返回的结果进行解密获取用户数字证书,解密成功后,删除该AES密钥,并将用户数字证书保存到本地,完成登录流程。若解密失败,则认为请求出错。
S104、将所述用户数字证书、当前时间戳和签名整合成字符串后,编码加密生成用户Token。
具体的,如图3所示,前端将获取当前时间戳并将该时间戳和其他数据(指的是这次请求中除了用于鉴权的Token(用户临时令牌)和时间戳数据外的所有请求数据。如前端向后端发起下单请求的时候传给后端的订单数据)写入到请求信息中,前端通过对请求信息内所有数据(指的是这次请求中除了用于鉴权的Token外的所有请求数据。和上面的其他数据相比多了时间戳。如前端向后端发起下单请求的时候传给后端的订单数据。)按键名进行字典排序后使用Base64(基于64个可打印字符来表示二进制数据的编码方式)编码,使用MD5对其生成信息概要作为该次请求的Sign(签名)。如果该次请求的任意数据被篡改,则后端处理该次请求时计算所得的Sign(签名)和Token内的Sign不同,则后端认为该次请求被篡改从而中止请求,避免了被篡改的请求被执行。而且该Sign(签名)无法被伪造,因为Sign被保存在Token密文内传输,Token密文通过RSA公钥非对称加密,只有后端有私钥可以解密,其他人无法获取到其中数据,故无法篡改。
前端读取本地数字证书后和上述获取到的时间戳和生成的Sign(签名),通过算法整合为一个JSON字符串后使用Base64对其编码生成用户Token密文原文,并使用登录流程中获取到的RSA公钥加密生成用户Token。生成了使用RSA公钥非对称加密的Token密文,该密文只有后端才能解密,同时该密文内保存有时间戳、用户数字证书和Sing(签名)数据,其中,时间戳会随时间变化,Sign会和请求的内容相关,这就导致了Token原文一定是不会重复的,生成的Token密文也是不会重复的,也就是说生成的Token密文只适用于该次请求,用在其他请求上是无法正常完成请求的。即该Token密文是一次性的,只能用于一次请求,即使拦截到了请求数据,也无法使用该Token发起其他请求,保证了请求的一次性。
S105、对接收到的所述用户Token进行解密,并分别对解析后的所有数据进行对比验证,判断是否终止请求。
具体的,前端会将生成的Token写入到该次HTTP(超文本传输协议)请求头的鉴权字段内,然后将时间戳和其他数据放入到该次请求的请求体内一起发送给所述后端。
首先,后端使用RSA私钥对Token数据进行解密,获取到Base64编码数据,将其解码后获取到包含用户数字证书、时间戳和请求签名的JSON字符串。
接着,后端将获取到的JSON字符串进行解析,获取到用户的数字证书、时间戳和Sign(签名)信息。并对用户数字证书使用RSA私钥验签,若验证成功则进入步骤1;若失败则返回错误中止请求。
步骤1,后端对请求信息内所有数据按键名进行字典排序后进行Base64编码,然后使用MD5对其生成信息概要后和用户Token内的Sign数据进行比对,若比对相同则进入步骤2,若比对不相同,则认为该次请求参数被篡改返回错误中止请求。
步骤2,后端解析获取到的时间戳信息和这次请求的时间戳信息进行比对,若解析获取到的时间戳和当前时间相差在60秒内,则进入步骤3,若时间相差60秒外,则认为该请求过期返回错误并中断请求。
步骤3,后端检查Redis内是否缓存有该次请求的Token的MD5生成的信息概要,若有该缓存,则说明该Token已被使用,则返回错误中断请求,否则将该Token进行MD5加密生成信息概要存入Redis内缓存60秒。
S106、根据未过期所述用户数字证书的用户信息是否需要更新,判断是否需要更新所述用户数字证书。
具体的,后端对获取到的所述用户数字证书判断是否过期,若该用户数字证书已经过期,则返回错误提醒用户重新登录;若未过期,则判断Redis(远程服务字典)内是否有用户信息更新缓存。
后端根据所述用户数字证书内的用户信息(如用户ID)查询Redis内是否内用户信息需要更新,若有该缓存,则在返回时,发出拉取最新数字证书信号,提醒前端调用指定接口获取最新数字证书,通知用户请求最新数字证书,若无该缓存,则返回结果时,发出无需更新信号,提醒用户无需更新。
同时,判断用户数据是否有更新,若用户数据有更新,则使用Redis内缓存的最新的用户信息处理对应用户请求的逻辑内容;若用户数据没有更新,则使用解析到的所述用户数字证书内的用户信息处理用户请求的逻辑内容,完成该次用户请求,并返回对应结果。通过Redis来判断用户数据是否有更新,有的话就会使用Redis内缓存的最新的用户数据进行请求处理而不是只使用数字证书内内容进行,避免了后端用户数据更新后数字证书内容没有更新导致的不可控性。同时后端在发现用户信息需要更新时也会在返回结果时提醒前端去拉取最新证书,保证前端及时更新到最新证书。
前端首先根据返回结果判断是否需要更新所述用户数字证书和所述用户数字证书是否过期,若所述用户数字证书过期,则重复登录流程;若用户信息有更新,则请求最新数字证书;若不需要更新所述用户数字证书,则完成该次请求。
本发明的一种可控的前后端安全通信方法,对后端返回的RSA公钥进行签名验证,判断是否终止请求;通过设备辨识码和对应时间戳加密生成AES密钥,并结合登录信息整合成字符串后,加密传输至所述后端;利用对应的RSA私钥进行解密,并将获取的数据进行查库对比,同时利用所述AES密钥加密用户数字证书后返回给前端保存;将所述用户数字证书、当前时间戳和签名整合成字符串后,编码加密生成用户Token;对接收到的所述用户Token进行解密,并分别对解析后的所有数据进行对比验证,判断是否终止请求;根据未过期所述用户数字证书的用户信息是否需要更新,判断是否需要更新所述用户数字证书,完成对应的请求,保证了请求API时,请求的不可篡改性、可控性和一次性。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。

Claims (4)

1.一种可控的前后端安全通信方法,其特征在于,包括以下步骤:
对后端返回的RSA公钥进行签名验证,判断是否终止请求;
通过设备辨识码和对应时间戳加密生成AES密钥,并结合登录信息整合成字符串后,加密传输至所述后端;
利用对应的RSA私钥进行解密,并将获取的数据进行查库对比,同时利用所述AES密钥加密用户数字证书后返回给前端保存;
将所述用户数字证书、当前时间戳和签名整合成字符串后,编码加密生成用户Token;
对接收到的所述用户Token进行解密,并分别对解析后的所有数据进行对比验证,判断是否终止请求;
根据未过期所述用户数字证书的用户信息是否需要更新,判断是否需要更新所述用户数字证书;
对接收到的所述用户Token进行解密,并分别对解析后的所有数据进行对比验证,判断是否终止请求,包括:
前端会将生成的Token写入到该次HTTP请求头的鉴权字段内,然后将时间戳和其他数据放入到该次请求的请求体内一起发送给所述后端;
后端使用RSA私钥对Token数据进行解密,获取到Base64编码数据,将其解码后获取到包含用户数字证书、时间戳和请求签名的JSON字符串;
后端将获取到的JSON字符串进行解析,获取到用户的数字证书、时间戳和签名信息,并对用户数字证书使用RSA私钥验签,若验证成功则进入步骤1;若失败则返回错误中止请求;
步骤1,后端对请求信息内所有数据按键名进行字典排序后进行Base64编码,然后使用MD5对其生成信息概要后和用户Token内的Sign数据进行比对,若比对相同则进入步骤2,若比对不相同,则认为该次请求参数被篡改返回错误中止请求;
步骤2,后端解析获取到的时间戳信息和这次请求的时间戳信息进行比对,若解析获取到的时间戳和当前时间相差在60秒内,则进入步骤3,若时间相差60秒外,则认为该请求过期返回错误并中断请求;
步骤3,后端检查Redis内是否缓存有该次请求的Token的MD5生成的信息概要,若有该缓存,则说明该Token已被使用,则返回错误中断请求,否则将该Token进行MD5加密生成信息概要存入Redis内缓存60秒;
通过设备辨识码和对应时间戳加密生成AES密钥,并结合登录信息整合成字符串后,加密传输至所述后端,包括:
通过生成算法生成设备辨识码,并与对应时间戳拼接后生成AES密钥原文,利用随机生成的盐值对所述AES密钥原文进行加密,将得到的AES密钥结合获取的登录信息,利用所述RSA公钥对生成的字符串加密,并将得到的密文传输至所述后端对应的接口;
利用对应的RSA私钥进行解密,并将获取的数据进行查库对比,同时利用所述AES密钥加密用户数字证书后返回给前端保存,包括:
利用RSA私钥对所述密文进行解密,同时对所述字符串进行解析,将解析得到的所述登录信息进行查库对比,然后利用所述RSA私钥将比对成功得到的数据进行签名,并利用所述AES密钥进行对称加密,将得到的用户数字证书回传至前端进行解密保存,完成登录;
将所述用户数字证书、当前时间戳和签名整合成字符串后,编码加密生成用户Token,包括:
对获取的请求信息内所有数据按键名进行字典排序,并使用Base64编码,同时将使用MD5生成的信息概要作为对应的请求签名,然后结合当前时间戳和所述用户数字证书,利用所述RSA公钥对Base64编码得到的Token密文原文进行加密,得到对应的用户Token。
2.如权利要求1所述的可控的前后端安全通信方法,其特征在于,根据未过期所述用户数字证书的用户信息是否需要更新,判断是否需要更新所述用户数字证书,包括:
若远程服务字典判断未过期所述用户数字证书内用户信息需要更新,则在返回所述用户数字证书时,发出拉取最新数字证书信号;
若远程服务字典判断未过期所述用户数字证书内用户信息无需更新,则在返回所述用户数字证书时,发出无需更新信号。
3.如权利要求2所述的可控的前后端安全通信方法,其特征在于,根据未过期所述用户数字证书的用户信息是否需要更新,判断是否需要更新所述用户数字证书,还包括:
根据所述远程服务字典内的数据判断用户数据是否有更新,并当所述用户数据需要更新时,所述前端根据所述拉取最新数字证书信号判断是否拉取所述用户数字证书。
4.如权利要求3所述的可控的前后端安全通信方法,其特征在于,所述方法还包括:
根据返回的结果判断是否需要更新所述用户数字证书,若所述用户数字证书过期,重复登录流程;若用户信息有更新,则请求后端对应接口获取对应的所述用户数字证书;若不需要更新所述用户数字证书,则完成对应请求。
CN202011220741.2A 2020-11-05 2020-11-05 一种可控的前后端安全通信方法 Active CN112311531B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011220741.2A CN112311531B (zh) 2020-11-05 2020-11-05 一种可控的前后端安全通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011220741.2A CN112311531B (zh) 2020-11-05 2020-11-05 一种可控的前后端安全通信方法

Publications (2)

Publication Number Publication Date
CN112311531A CN112311531A (zh) 2021-02-02
CN112311531B true CN112311531B (zh) 2023-05-30

Family

ID=74326103

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011220741.2A Active CN112311531B (zh) 2020-11-05 2020-11-05 一种可控的前后端安全通信方法

Country Status (1)

Country Link
CN (1) CN112311531B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113132363B (zh) * 2021-04-02 2022-12-27 上海万物新生环保科技集团有限公司 一种前后端安全验证方法及设备
CN113271306B (zh) * 2021-05-18 2023-03-24 上海星融汽车科技有限公司 数据请求、发送方法、设备以及系统
CN113361571A (zh) * 2021-05-25 2021-09-07 华能曲阜热电有限公司 燃料前端化验设备数据自动采集方法
US20230231712A1 (en) * 2022-01-14 2023-07-20 Micron Technology, Inc. Embedded tls protocol for lightweight devices
CN114978713A (zh) * 2022-05-25 2022-08-30 北京永信至诚科技股份有限公司 一种基于rs和sign的签名校验方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111698225A (zh) * 2020-05-28 2020-09-22 国家电网有限公司 一种适用于电力调度控制系统的应用服务认证加密方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140164764A1 (en) * 2012-12-11 2014-06-12 Rawllin International Inc. Assignment of digital signature and qualification for related services
WO2014106031A1 (en) * 2012-12-28 2014-07-03 Vasco Data Security, Inc. Remote authentication and transaction signatures
CN103179134A (zh) * 2013-04-19 2013-06-26 中国建设银行股份有限公司 基于Cookie的单点登录方法、系统及其应用服务器
US9438584B2 (en) * 2014-05-08 2016-09-06 Arris Enterprises, Inc. Provisioning DRM credentials on a client device using an update server
US9832024B2 (en) * 2015-11-13 2017-11-28 Visa International Service Association Methods and systems for PKI-based authentication
CN105516157B (zh) * 2015-12-16 2019-05-17 上海交通大学 基于独立加密的网络信息安全输入系统和方法
CN106341429B (zh) * 2016-11-28 2019-08-02 浙江工业大学 一种保护服务器数据安全的认证方法
CN108462581B (zh) * 2018-01-08 2020-09-04 平安科技(深圳)有限公司 网络令牌生成的方法、装置、终端设备及存储介质
CN111277550B (zh) * 2018-12-05 2022-07-05 中国电信股份有限公司 基于RESTful的交互方法、服务器、客户端和装置
CN111199035B (zh) * 2019-12-31 2022-05-31 苏州浪潮智能科技有限公司 一种接口加密数据传输的单点登录方法
CN111447214B (zh) * 2020-03-25 2022-07-05 北京左江科技股份有限公司 一种基于指纹识别的公钥密码集中服务的方法
CN111464980B (zh) * 2020-04-08 2023-04-07 南通大学 一种车联网环境下基于区块链的电子取证装置及取证方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111698225A (zh) * 2020-05-28 2020-09-22 国家电网有限公司 一种适用于电力调度控制系统的应用服务认证加密方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Divya M. Menona, N.Radhika.Design of a Secure Architecture for Last Mile Communication in Smart Grid Systems.《Procedia Technology》.2015,全文. *
张艳霞 ; 李洪 ; 陈军 ; 杨晓光 ; .网络视频监控系统信息安全机制解析.电信科学.2013,(第08期),全文. *

Also Published As

Publication number Publication date
CN112311531A (zh) 2021-02-02

Similar Documents

Publication Publication Date Title
CN112311531B (zh) 一种可控的前后端安全通信方法
US8386647B2 (en) Method for time source calibration and system thereof
US6535980B1 (en) Keyless encryption of messages using challenge response
CN107248075B (zh) 一种实现智能密钥设备双向认证和交易的方法及装置
US8130961B2 (en) Method and system for client-server mutual authentication using event-based OTP
US11544365B2 (en) Authentication system using a visual representation of an authentication challenge
US7398396B2 (en) Electronic signature method, program and server for implementing the method
US11882226B1 (en) Gesture-extracted passwords for authenticated key exchange
US7366904B2 (en) Method for modifying validity of a certificate using biometric information in public key infrastructure-based authentication system
US20050198489A1 (en) Server computer issued credential authentication
JP2003521154A (ja) 電子識別情報を発行する方法
KR20060045440A (ko) 패스워드 보호 비밀 데이터의 노출 없이 통신 네트워크을통해 이 비밀 데이터를 복구하는 방법 및 시스템
CN110213195B (zh) 一种登录认证方法、服务器及用户终端
KR20070029864A (ko) 일 대 일로 데이터를 안전하게 송수신하는 방법 및 장치
US20180309740A1 (en) Method for securing and authenticating a telecommunication
CN111884811A (zh) 一种基于区块链的数据存证方法和数据存证平台
JP3711931B2 (ja) 電子メールシステム、その処理方法及びそのプログラム
JPH10340255A (ja) ネットワーク利用者認証方式
JP6723422B1 (ja) 認証システム
CN116346423A (zh) 一种智慧物联能源系统中的客户数据多重加密系统和方法
CN114244505A (zh) 一种基于安全芯片的安全通信方法
CN114186208A (zh) 一种统一身份认证的方法及存储介质
CN113765887A (zh) 一种http服务器数据确认方法
JP2005100255A (ja) パスワード変更方法
JP4599812B2 (ja) サービス提供システム、サービス提供サーバ、機器認証プログラム、記憶媒体、端末機器、機器認証サーバ、および公開鍵確認情報更新プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant