CN112311545A - 一种基于云mes系统用户登录信息多重加密的传输方法 - Google Patents
一种基于云mes系统用户登录信息多重加密的传输方法 Download PDFInfo
- Publication number
- CN112311545A CN112311545A CN202011223174.6A CN202011223174A CN112311545A CN 112311545 A CN112311545 A CN 112311545A CN 202011223174 A CN202011223174 A CN 202011223174A CN 112311545 A CN112311545 A CN 112311545A
- Authority
- CN
- China
- Prior art keywords
- background
- rsa
- token
- key
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属于网络安全领域,涉及一种基于云MES系统用户登录信息多重加密的传输方法。本发明中的服务器通过RSA加密算法,对AES秘钥进行加密。同时由散列算法MD5对后台产生的登录信息进行加密,生成数字签名,组装成token。用AES秘钥将登录令牌token进行加密,传输到客户端。客户端后续传输token使服务器能确定登录身份。本发明能保证用户登录云MES管理系统以及登录状态的过程中不被窃取身份,从而提高密码的安全性。
Description
技术领域
本发明属于网络安全的技术领域,涉及一种基于云MES系统用户登录信息多重加密的传输方法。
背景技术
随着物联网技术的快速发展,对数据传输的保密性有了更高的要求。在网络中,登录信息作为整个MES系统数据的钥匙,是能访问所有数据信息最重要的重要信息。一旦被黑客截取,就会被别有用心人盗窃身份登录MES系统,冒取权限获取数据甚至下达命令。为了数据信息安全,登录密码这重要隐私信息必须要做好防护加密,这样即使被别有用心的人在数据传输过程中被截取,也只会有密文而因没有秘钥发生数据泄露的事故。
当前非对称加密算法RSA已经十分成熟,是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的绝大多数密码攻击,已被ISO推荐为公钥数据加密标准。然而RSA只适用于单向传输加密文件,在发送登录信息时,不仅客户端发送到服务器的内容需要加密,服务器为了后续操作返回的token值也需要加密。目前普遍使用session来验证身份,这将导致大量session存储在服务器,浪费空间;也容易导致CSRF跨站伪造请求攻击以及扩展服务器后客户端多次请求时请求不同服务器获取不到相应信息。因此,现有非对称性AES算法无法保证MES系统登录请求的安全性。
发明内容
本发明主要通过前端与后台双方合作,对账号密码进行对称非加密算法RSA+对称加密算法AES+散列算法数字签名的三重加密,以此加强登录请求及登录后保持登录状态这整个过程的安全性,且当用户过多时,解放服务器空间。本发明可以保证用户在登录时不被黑客窃取到有用信息,大大加强密码的安全性。
本发明的技术方案如下:
1.前端向后台发送登录请求,后台利用RSA算法产生一对RSA公钥和RSA私钥。并且保存RSA私钥,将RSA公钥发送给前端。
2.前端收到后台发送的RSA公钥后,同样使用RSA算法产生前端RSA公钥和私钥,前端保留自己的前端RSA私钥,并用后台传输的的RSA公钥进行对登录信息以及前端的RSA公钥密码进行加密。接着前端带着已经加密过的数据再一次对后台发起登录请求。
3.前端传来的加密数据后,后台用之前保存的后台RSA私钥进行解密,获取前端传输的数据——前端RSA公钥和用户的账号密码。后台通过对数据库的内容匹配,如果匹配到,那么就可以确定此次前端传送过来的用户信息和身份。
4.后台对该次登陆产生一个有一定时效的token。首先由散列算法MD5将登录数据(如userId)进行加密,生成一串密文。该token就由此登录数据以及之前用散列算法MD5加密过的密文组成。后续前端发来的请求必须要带上该token,后台才能确认用户在本次请求时仍然处于登录状态。
5.后台利用AES对称算法,生成AES密钥,用AES密钥将token进行加密,并用前端之前传来的RSA公钥将AES密钥进行加密。完成后,后台将这两个加密后的密文全部返回给前端。
6.前端获取了后台传输的数据后,首先用自己的RSA私钥解开AES密钥,然后用AES密钥解开后台传来的token,并将token存储到storage中。跳转页面,提示用户登陆成功。
7.用户登录后,当进行需要与后台进行交互的操作时,前端发送的每个请求中请求头必须带着token字段,由后台进行确认登录身份。
用户退出登录后,前端必须清除storage,在这其中的token也被清除。登录退出。同时,若超过时效,token过期,那么登录状态也会变成未登录状态。
通过上述技术方案可知,本发明的有益效果为:
第一,本发明在登录过程中全程对用户信息进行加密,解决了RSA仅能单向加密的局限性。
第二,本发明在登录过程中解决了session大量占用服务器的弊端,避免CSRF跨站伪造请求攻击,也避免了扩展服务器后,客户端多次请求时请求不同服务器获取不到相应信息。
附图说明
下面结合附图和实施例对本发明进一步说明。
图1为前端与后台消息传输示意图;
图2为token加密示意图;
图3为token校验示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施案例对本发明进行进一步详细说明。
如图1所示,前端(客户端)与后台(服务器)的信息交互详细如下:
1.前端向后台发送登录请求,后台利用RSA算法产生一对RSA公钥和RSA私钥。并且保存RSA私钥,将RSA公钥发送给前端。
2.前端收到后台发送的RSA公钥后,同样使用RSA算法产生前端RSA公钥和私钥,前端保留自己的前端RSA私钥,并用后台传输的RSA公钥进行对登录信息以及前端的RSA公钥密码进行加密;接着前端带着已经加密过的数据再一次对后台发起登录请求。
3.前端传来的加密数据后,用之前保存的后台RSA私钥进行解密,获取前端传输的数据——前端RSA公钥和用户的账号密码。后台通过对数据库的内容匹配,如果匹配到,那么就可以确定此次前端传送过来的用户信息和身份。
4.用户登录后如要进行后续操作,例如获取相应身份下的产品数据、对相应产品的流水线进行增删减等操作,那么后台必须要确认用户的身份,以辨认是否可以成功返回相应数据和请求。因此后台需要对该次登陆产生一个有一定时效的token。生成token的步骤如图2所示。
(1)由散列算法MD5将登录数据(如userId)进行加密,生成一串密文。该token就由此登录数据以及之前用散列算法MD5加密过的密文组成。
(2)服务器不需要保存此次登录信息而增加负担。后续前端发来的请求必须要带上该token,后台才能确认用户在本次请求时仍然处于登录状态。
使用token可以避免session大量占用服务器的弊端,避免CSRF跨站伪造请求攻击以及扩展服务器后客户端多次请求时请求不同服务器,导致无法识别用户登录状态的弊端。Token无状态,不需存储服务器,加大服务器压力。基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利,解决了session扩展性的弊端。
5.后台利用AES对称算法,生成AES密钥,用AES密钥将token进行加密,并用前端之前传来的RSA公钥将AES密钥进行加密。完成后,后台将这两个加密后的密文全部返回给前端。
6.前端获取了后台传输的数据后,首先用自己的RSA私钥解开AES密钥,然后用AES密钥解开后台传来的token,并将token存储到storage中。跳转页面,提示用户登陆成功。
7.用户登录后,当进行需要与后台进行交互的操作时,前端发送的每个请求中请求头必须带着token字段,以确保后台能够确认登录身份。
(1)后台收到前端发送来的请求,如图3所示对token进行检验,将token拆解成两个部分,一个部分是密文,另一个部分是登录信息。
(2)后台再次用散列算法MD5对登录信息进行加密,若加密后的密文与之前token里自带的密文一致,那么后台就能确认这次请求的登录状态有效。若不一致,那么可能就是没有登录或者被盗取了数据。
用户退出登录后,前端必须清除storage,在这其中的token也被清除,登录退出。同时,若超过时效,token过期,那么登录状态也会变成未登录状态。
Claims (2)
1.一种基于云MES系统用户登录信息多重加密的方法,其特征在于该方法包括如下的步骤:
步骤1.前端向后台发送登录请求,后台利用RSA算法产生一对RSA公钥和RSA私钥,保存RSA私钥,将RSA公钥发送给前端;
步骤2.前端收到后台发送的RSA公钥后,同样使用RSA算法产生前端RSA公钥和私钥,前端保留自己的前端RSA私钥,并用后台传输的RSA公钥对登录信息以及前端的RSA公钥密码进行加密;接着前端带着密文再一次对后台发起登录请求;
步骤3.后台用之前保存的后台RSA私钥进行解密,获取数据,后台通过对数据库的内容匹配确定用户信息和身份;
步骤4.后台对该次登陆产生一个有一定时效的token;
步骤5.后台利用AES对称算法,生成AES密钥,用AES密钥将token进行加密,并用前端之前传来的RSA公钥将AES密钥进行加密;完成后,后台将这两个加密后的密文全部返回给前端;
步骤6.前端获取数据后,首先用自己的RSA私钥解开AES密钥,然后用AES密钥解开后台传来的token,并将token存储到storage中;
步骤7.用户退出登录后,前端清除storage。
2.根据权利要求1所述的一种基于云MES系统用户登录信息多重加密的方法,其特征在于:步骤4中产生token具体是:由散列算法MD5将登录数据进行加密,生成一串密文,该token就由此登录数据以及之前用散列算法MD5加密过的密文组成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011223174.6A CN112311545A (zh) | 2020-11-05 | 2020-11-05 | 一种基于云mes系统用户登录信息多重加密的传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011223174.6A CN112311545A (zh) | 2020-11-05 | 2020-11-05 | 一种基于云mes系统用户登录信息多重加密的传输方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112311545A true CN112311545A (zh) | 2021-02-02 |
Family
ID=74326268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011223174.6A Pending CN112311545A (zh) | 2020-11-05 | 2020-11-05 | 一种基于云mes系统用户登录信息多重加密的传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112311545A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113722726A (zh) * | 2021-02-09 | 2021-11-30 | 京东数字科技控股股份有限公司 | 基于软硬件协同的加解密方法及系统 |
| CN115277210A (zh) * | 2022-07-28 | 2022-11-01 | 中国工商银行股份有限公司 | 令牌获取方法、装置、电子设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070160202A1 (en) * | 2006-01-11 | 2007-07-12 | International Business Machines Corporation | Cipher method and system for verifying a decryption of an encrypted user data key |
| CN105141636A (zh) * | 2015-09-24 | 2015-12-09 | 网宿科技股份有限公司 | 适用于cdn增值业务平台的http安全通信方法及系统 |
| CN105939343A (zh) * | 2016-04-14 | 2016-09-14 | 江苏马上游科技股份有限公司 | 基于信息二次编码的客户端与服务器双向验证方法 |
| CN109362074A (zh) * | 2018-09-05 | 2019-02-19 | 福建福诺移动通信技术有限公司 | 一种混合模式APP中h5与服务端安全通讯的方法 |
| CN110086802A (zh) * | 2019-04-24 | 2019-08-02 | 上海易点时空网络有限公司 | 用于会话的鉴权方法及装置 |
| CN110338040A (zh) * | 2019-08-19 | 2019-10-18 | 冠生园(集团)有限公司 | 基于物联网安全的自动灌溉系统 |
-
2020
- 2020-11-05 CN CN202011223174.6A patent/CN112311545A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070160202A1 (en) * | 2006-01-11 | 2007-07-12 | International Business Machines Corporation | Cipher method and system for verifying a decryption of an encrypted user data key |
| CN105141636A (zh) * | 2015-09-24 | 2015-12-09 | 网宿科技股份有限公司 | 适用于cdn增值业务平台的http安全通信方法及系统 |
| CN105939343A (zh) * | 2016-04-14 | 2016-09-14 | 江苏马上游科技股份有限公司 | 基于信息二次编码的客户端与服务器双向验证方法 |
| CN109362074A (zh) * | 2018-09-05 | 2019-02-19 | 福建福诺移动通信技术有限公司 | 一种混合模式APP中h5与服务端安全通讯的方法 |
| CN110086802A (zh) * | 2019-04-24 | 2019-08-02 | 上海易点时空网络有限公司 | 用于会话的鉴权方法及装置 |
| CN110338040A (zh) * | 2019-08-19 | 2019-10-18 | 冠生园(集团)有限公司 | 基于物联网安全的自动灌溉系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113722726A (zh) * | 2021-02-09 | 2021-11-30 | 京东数字科技控股股份有限公司 | 基于软硬件协同的加解密方法及系统 |
| CN113722726B (zh) * | 2021-02-09 | 2024-04-05 | 京东科技控股股份有限公司 | 基于软硬件协同的加解密方法及系统 |
| CN115277210A (zh) * | 2022-07-28 | 2022-11-01 | 中国工商银行股份有限公司 | 令牌获取方法、装置、电子设备和存储介质 |
| CN115277210B (zh) * | 2022-07-28 | 2024-02-27 | 中国工商银行股份有限公司 | 令牌获取方法、装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6996715B2 (en) | Method for identification of a user's unique identifier without storing the identifier at the identification site | |
| US20180145979A1 (en) | Method and device for registering based on authenticating device | |
| CN111294352B (zh) | 云端与边缘节点之间的数据安全认证方法 | |
| US6959394B1 (en) | Splitting knowledge of a password | |
| CN106130716B (zh) | 基于认证信息的密钥交换系统及方法 | |
| US20170223008A1 (en) | System and method for generating a server-assisted strong password from a weak secret | |
| EP1359491B1 (en) | Methods for remotely changing a communications password | |
| KR101685810B1 (ko) | 인증 정보 기반 키 교환 시스템 및 방법 | |
| WO2005088892A1 (en) | A method of virtual challenge response authentication | |
| CN113612797A (zh) | 一种基于国密算法的Kerberos身份认证协议改进方法 | |
| CN110999202A (zh) | 用于对数据进行高度安全、高速加密和传输的计算机实现的系统和方法 | |
| CN115632880B (zh) | 一种基于国密算法的可靠数据传输及存储的方法及系统 | |
| CN112311545A (zh) | 一种基于云mes系统用户登录信息多重加密的传输方法 | |
| CN114244508A (zh) | 数据加密方法、装置、设备及存储介质 | |
| CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
| Akhmatovich et al. | Improvement of a security enhanced one-time mutual authentication and key agreement scheme | |
| ul Haq et al. | An efficient authenticated key agreement scheme for consumer USB MSDs resilient to unauthorized file decryption | |
| CN116055136A (zh) | 一种基于秘密共享的多目标认证方法 | |
| CN111310210B (zh) | 基于口令和匿签密的双重认证对称可搜索加密方法 | |
| CN114401102A (zh) | 一种基于国密算法的http请求参数加密方案 | |
| CN112787821A (zh) | 非对称加密Token验证方法、服务器、客户端及系统 | |
| CN117411697B (zh) | 一种水务物联网数据传输加密系统及工作方法 | |
| CN116996234B (zh) | 一种终端接入认证网关的方法、终端及认证网关 | |
| CN113726523B (zh) | 基于Cookie和DR身份密码体制的多重身份认证方法及装置 | |
| CN108833452B (zh) | 一种用于前后端分离数据加密的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210202 |