CN116471008A - 一种基于混合加密的接口访问安全控制方法及系统 - Google Patents

一种基于混合加密的接口访问安全控制方法及系统 Download PDF

Info

Publication number
CN116471008A
CN116471008A CN202310443865.4A CN202310443865A CN116471008A CN 116471008 A CN116471008 A CN 116471008A CN 202310443865 A CN202310443865 A CN 202310443865A CN 116471008 A CN116471008 A CN 116471008A
Authority
CN
China
Prior art keywords
interface access
signature
client
aes
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310443865.4A
Other languages
English (en)
Inventor
吴俊�
李敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Intelligent Transportation Co ltd
Original Assignee
Shanghai Intelligent Transportation Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Intelligent Transportation Co ltd filed Critical Shanghai Intelligent Transportation Co ltd
Priority to CN202310443865.4A priority Critical patent/CN116471008A/zh
Publication of CN116471008A publication Critical patent/CN116471008A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种基于混合加密的接口访问安全控制方法及系统,属于信息安全领域,方法包括:认证服务器接收认证参数,并产生接口访问令牌、RSA公钥及RSA私钥,将接口访问令牌及RSA公钥发送至客户端;认证服务器接收AES密文,并采用RSA私钥对AES密文解密得到AES密钥,将AES密钥与接口访问令牌配对存储;AES密文为客户端通过RSA公钥对AES密钥进行加密得到;认证服务器拦截接口访问请求,并根据请求体及接口访问令牌对应的AES密钥确定参考签名,判断参考签名与待验证签名是否相同,若相同,则向客户端发送访问资源,否则拒绝访问;待验证签名为客户端根据请求体及AES密钥生成。本发明提高了接口访问的安全性。

Description

一种基于混合加密的接口访问安全控制方法及系统
技术领域
本发明涉及信息安全领域,特别是涉及一种基于混合加密的接口访问安全控制方法及系统。
背景技术
随着“互联网+”和数字城市的发展,计算机技术和互联网技术的进步,发展信息和互联网平台,使得互联网与传统行业融合,利用互联网具备的优势特点,创造新的发展机会。当前的业务系统逐渐从原来的内网系统走向互联网,网络及数据安全显得尤为重要和迫切。网络安全可以通过网络安全部署来防护,但数据安全还要通过接口和报文加密防护,否则势必造成业务数据及个人信息的泄露。传统基于用户和密码的认证方式有很大的缺陷,当用户名和密码被拦截时,就会造成信息泄漏。
发明内容
本发明的目的是提供一种基于混合加密的接口访问安全控制方法及系统,可提高接口访问的安全性。
为实现上述目的,本发明提供了如下方案:
一种基于混合加密的接口访问安全控制方法,包括:
通过认证服务器接收客户端发送的认证参数,并产生接口访问令牌、RSA公钥及RSA私钥,将所述接口访问令牌及所述RSA公钥发送至所述客户端;
通过认证服务器接收客户端发送的AES密文,并采用所述RSA私钥对所述AES密文解密,得到AES密钥,将所述AES密钥与所述接口访问令牌配对存储;所述AES密文为客户端通过RSA公钥对随机产生的AES密钥进行加密得到的;
通过认证服务器拦截客户端基于接口访问令牌发送的接口访问请求,并根据所述接口访问请求中的请求体及接口访问令牌对应的AES密钥,确定参考签名;所述接口访问请求中包括请求头及请求体,所述请求头中包括待验证签名;所述待验证签名为客户端根据所述请求体及所述AES密钥生成的;
通过认证服务器判断所述参考签名与所述待验证签名是否相同,若相同,则向所述客户端发送访问资源,否则拒绝访问。
可选地,所述认证参数为OAuth认证参数。
可选地,将所述接口访问令牌及所述RSA公钥发送至所述客户端,具体包括:
将所述接口访问令牌发送至所述客户端;
接收所述客户端基于所述接口访问令牌发送的RSA公钥请求;
根据所述RSA公钥请求将所述RSA公钥发送至所述客户端。
可选地,所述待验证签名的生成方法包括:
通过所述客户端根据所述请求体及所述AES密钥,确定待验证字符串;
通过所述客户端采用MD5加密方法对所述待验证字符串加密,得到待验证签名。
可选地,根据所述接口访问请求中的请求体、接口访问令牌对应的AES密钥确定参考签名,具体包括:
根据所述请求体及所述接口访问令牌对应的AES密钥,确定参考字符串;
采用MD5加密方法对所述参考字符串加密,得到参考签名。
可选地,在所述参考签名与所述待验证签名是否相同时,将所述待验证签名存储至数据库。
可选地,在通过认证服务器判断所述参考签名与所述待验证签名是否相同之前,所述基于混合加密的接口访问安全控制方法还包括:
通过认证服务器将数据库中过期的签名删除;
通过认证服务器查询所述数据库中是否存在与所述参考签名相同的签名,若存在,则拒绝访问,否则,判断所述参考签名与所述待验证签名是否相同。
可选地,所述数据库为Redis数据库。
可选地,所述接口访问请求中的请求体中包括时间戳;所述时间戳为客户端在产生AES密文时随机生成的;
在通过认证服务器判断所述参考签名与所述待验证签名是否相同之前,所述基于混合加密的接口访问安全控制方法还包括:
对所述请求体中的时间戳进行超时验证,若验证失败,则拒绝访问,否则,判断所述参考签名与所述待验证签名是否相同。
为实现上述目的,本发明还提供了如下方案:
一种基于混合加密的接口访问安全控制系统,包括客户端及认证服务器;
所述客户端用于向所述认证服务器发送认证参数;
所述认证服务器用于在接收到认证参数后,产生接口访问令牌、RSA公钥及RSA私钥,并将所述接口访问令牌及所述RSA公钥发送至所述客户端;
所述客户端还用于随机产生AES密钥,通过所述RSA公钥对所述AES密钥进行加密,得到AES密文,并将所述AES密文发送至所述认证服务器;
所述认证服务器还用于采用所述RSA私钥对所述AES密文解密,得到AES密钥,并将所述AES密钥与所述接口访问令牌配对存储;
所述客户端还用于产生请求头及请求体,根据所述请求体及所述AES密钥生成待验证签名,并在所述请求头中携带所述待验证签名,以生成接口访问请求,并基于所述接口访问令牌将所述接口访问请求发送至所述认证服务器;
所述认证服务器还用于根据所述接口访问请求中的请求体及接口访问令牌对应的AES密钥,确定参考签名,并判断所述参考签名与所述待验证签名是否相同,若相同,则向所述客户端发送访问资源,否则拒绝访问。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明采用混合加密算法(RSA公钥和RSA私钥)对AES密钥进行加解密。并将AES密钥与接口访问令牌配对存储,即将AES密钥和接口访问令牌token动态绑定,采用动态AES生成签名,大大提高了接口访问的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于混合加密的接口访问安全控制方法的流程图;
图2为接口访问安全控制过程的整体流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于混合加密的接口访问安全控制方法及系统,基于混合加密模式的安全认证体系,提高接口访问的安全性。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例一
如图1所示,本实施例提供一种基于混合加密的接口访问安全控制方法,包括:
S1:通过认证服务器接收客户端发送的认证参数,并产生接口访问令牌、RSA公钥及RSA私钥,将所述接口访问令牌及所述RSA公钥发送至所述客户端。具体地,认证参数为OAuth认证参数。认证参数包括用户名(appId)及密码pwd。
进一步地,认证服务器将所述接口访问令牌及所述RSA公钥发送至所述客户端,具体包括:(1)将所述接口访问令牌发送至所述客户端。(2)接收所述客户端基于所述接口访问令牌发送的RSA公钥请求。(3)根据所述RSA公钥请求将所述RSA公钥发送至所述客户端。
S2:通过认证服务器接收客户端发送的AES密文,并采用所述RSA私钥对所述AES密文解密,得到AES密钥,将所述AES密钥与所述接口访问令牌配对存储。
其中,AES密文为客户端通过RSA公钥对随机产生的AES密钥进行加密得到的。
S3:通过认证服务器拦截客户端基于接口访问令牌发送的接口访问请求,并根据所述接口访问请求中的请求体及接口访问令牌对应的AES密钥,确定参考签名。
所述接口访问请求中包括请求头及请求体,所述请求头中包括待验证签名。所述待验证签名为客户端根据所述请求体及所述AES密钥生成的。
作为一种具体的实施方式,待验证签名的生成方法包括:通过所述客户端根据所述请求体及所述AES密钥,确定待验证字符串。通过所述客户端采用MD5加密方法对所述待验证字符串加密,得到待验证签名。
相应地,认证服务器根据所述接口访问请求中的请求体、接口访问令牌对应的AES密钥确定参考签名,具体包括:根据所述请求体及所述接口访问令牌对应的AES密钥,确定参考字符串。采用MD5加密方法对所述参考字符串加密,得到参考签名。
此外,还可以在客户端生成一个随机数,根据随机数、请求体及AES密钥确定待验证字符串,再采用MD5加密方法对待验证字符串加密,得到待验证签名。相应的需要将客户端生成的随机数发送至认证服务器,认证服务器根据随机数、请求体及接口访问令牌对应的AES密钥确定参考字符串,再采用MD5加密方法对参考字符串加密,得到参考签名。
S4:通过认证服务器判断所述参考签名与所述待验证签名是否相同,若相同,则向所述客户端发送访问资源,否则拒绝访问。
进一步地,在所述参考签名与所述待验证签名是否相同时,将所述待验证签名存储至数据库。优选地,数据库为Redis数据库。
在S4之前,所述基于混合加密的接口访问安全控制方法还包括:
S401:通过认证服务器将数据库中过期的签名删除。
S402:通过认证服务器查询所述数据库中是否存在与所述参考签名相同的签名,若存在,则拒绝访问,否则,判断所述参考签名与所述待验证签名是否相同。
进一步地,所述接口访问请求中的请求体中包括时间戳。所述时间戳为客户端在产生AES密文时随机生成的。
在S4之前,所述基于混合加密的接口访问安全控制方法还包括:
S403:对所述请求体中的时间戳进行超时验证,若验证失败,则拒绝访问,否则,判断所述参考签名与所述待验证签名是否相同。
本发明针对现有接口鉴权的不足做出改进,基于混合加密的模式,防止接口被恶意访问,提高了接口访问安全性。
如图2所示,为了更好的理解本发明的方案,下面结合客户端与认证服务器的交互过程进一步说明接口访问的整体流程。
1、客户端向认证服务器发送OAuth认证参数(appId和pwd),认证服务器返回接口访问token。
2、客户端通过接口访问token获取RSA公钥,认证服务器返回RSA公钥。
3、客户端随机产生AES密钥,并通过RSA公钥加密后发送给认证服务器。
4、认证服务器通过RSA私钥解密出AES密钥,并与接口访问token配对存储。
5、客户端生成随机数nonce和时间戳timestamp,以防止重放攻击。
6、客户端对请求体body再加上AES密钥进行MD5加密,加密后的密文即为待验证签名sign。具体过程如下:
6.1、所有发送的数据非空参数值的参数按照参数名ASCII码从小到大排序。例如:
signStr="nameTomnoncecpNrX8wVBOhnIPTsos_type3timestamp1651226218uuidffffffff-9252-a533-ffff-ffff81eff5b0"。
6.2、加上AES密钥字符串:
signStr="nameTomnoncecpNrX8wVBOhnIPTsos_type3timestamp1651226218uuidffffffff-9252-a533-ffff-ffff81eff5b0AES"。
6.3、采用MD5算法进行加密:sign=md5(signStr)。
7、客户端在请求体header中携带待验证签名sign。
8、认证服务器在controller拦截器中拦截接口访问请求。
9、Redis清理掉设定时段前(N分钟前)过期的签名。
10、认证服务器在Redis中查询是否存在与待验证签名相同的签名,如果存在,则拒绝服务,如不存在则继续下一步。
11、对请求体中的时间戳timestamp进行超时验证,通过后继续下一步。否则拒绝服务。
12、认证服务器对请求体body再加上与接口访问token匹配的AES密钥进行MD5加密,得到参考签名,如果待验证签名和参考签名一致,则验证通过,把待验证签名存入Redis,并向客户端提供资源访问服务,否则拒绝服务。
相比常规的采用固定AES密钥生产签名的方式,本发明把AES密钥和token动态绑定,采用动态AES生成签名,并对权限验证的流程进行了优化大大提高了接口访问安全性。
实施例二
为了执行上述实施例一对应的方法,以实现相应的功能和技术效果,下面提供一种基于混合加密的接口访问安全控制系统。
本实施例提供的基于混合加密的接口访问安全控制系统包括客户端及认证服务器。
所述客户端用于向所述认证服务器发送认证参数。
所述认证服务器用于在接收到认证参数后,产生接口访问令牌、RSA公钥及RSA私钥,并将所述接口访问令牌及所述RSA公钥发送至所述客户端。
所述客户端还用于随机产生AES密钥,通过所述RSA公钥对所述AES密钥进行加密,得到AES密文,并将所述AES密文发送至所述认证服务器。
所述认证服务器还用于采用所述RSA私钥对所述AES密文解密,得到AES密钥,并将所述AES密钥与所述接口访问令牌配对存储。
所述客户端还用于产生请求头及请求体,根据所述请求体及所述AES密钥生成待验证签名,并在所述请求头中携带所述待验证签名,以生成接口访问请求,并基于所述接口访问令牌将所述接口访问请求发送至所述认证服务器。
所述认证服务器还用于根据所述接口访问请求中的请求体及接口访问令牌对应的AES密钥,确定参考签名,并判断所述参考签名与所述待验证签名是否相同,若相同,则向所述客户端发送访问资源,否则拒绝访问。
相对于现有技术,本实施例提供的基于混合加密的接口访问安全控制系统与实施例一提供的基于混合加密的接口访问安全控制方法的有益效果相同,在此不再赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种基于混合加密的接口访问安全控制方法,其特征在于,所述基于混合加密的接口访问安全控制方法包括:
通过认证服务器接收客户端发送的认证参数,并产生接口访问令牌、RSA公钥及RSA私钥,将所述接口访问令牌及所述RSA公钥发送至所述客户端;
通过认证服务器接收客户端发送的AES密文,并采用所述RSA私钥对所述AES密文解密,得到AES密钥,将所述AES密钥与所述接口访问令牌配对存储;所述AES密文为客户端通过RSA公钥对随机产生的AES密钥进行加密得到的;
通过认证服务器拦截客户端基于接口访问令牌发送的接口访问请求,并根据所述接口访问请求中的请求体及接口访问令牌对应的AES密钥,确定参考签名;所述接口访问请求中包括请求头及请求体,所述请求头中包括待验证签名;所述待验证签名为客户端根据所述请求体及所述AES密钥生成的;
通过认证服务器判断所述参考签名与所述待验证签名是否相同,若相同,则向所述客户端发送访问资源,否则拒绝访问。
2.根据权利要求1所述的基于混合加密的接口访问安全控制方法,其特征在于,所述认证参数为OAuth认证参数。
3.根据权利要求1所述的基于混合加密的接口访问安全控制方法,其特征在于,将所述接口访问令牌及所述RSA公钥发送至所述客户端,具体包括:
将所述接口访问令牌发送至所述客户端;
接收所述客户端基于所述接口访问令牌发送的RSA公钥请求;
根据所述RSA公钥请求将所述RSA公钥发送至所述客户端。
4.根据权利要求1所述的基于混合加密的接口访问安全控制方法,其特征在于,所述待验证签名的生成方法包括:
通过所述客户端根据所述请求体及所述AES密钥,确定待验证字符串;
通过所述客户端采用MD5加密方法对所述待验证字符串加密,得到待验证签名。
5.根据权利要求4所述的基于混合加密的接口访问安全控制方法,其特征在于,根据所述接口访问请求中的请求体、接口访问令牌对应的AES密钥确定参考签名,具体包括:
根据所述请求体及所述接口访问令牌对应的AES密钥,确定参考字符串;
采用MD5加密方法对所述参考字符串加密,得到参考签名。
6.根据权利要求1所述的基于混合加密的接口访问安全控制方法,其特征在于,在所述参考签名与所述待验证签名是否相同时,将所述待验证签名存储至数据库。
7.根据权利要求6所述的基于混合加密的接口访问安全控制方法,其特征在于,在通过认证服务器判断所述参考签名与所述待验证签名是否相同之前,所述基于混合加密的接口访问安全控制方法还包括:
通过认证服务器将数据库中过期的签名删除;
通过认证服务器查询所述数据库中是否存在与所述参考签名相同的签名,若存在,则拒绝访问,否则,判断所述参考签名与所述待验证签名是否相同。
8.根据权利要求7所述的基于混合加密的接口访问安全控制方法,其特征在于,所述数据库为Redis数据库。
9.根据权利要求1所述的基于混合加密的接口访问安全控制方法,其特征在于,所述接口访问请求中的请求体中包括时间戳;所述时间戳为客户端在产生AES密文时随机生成的;
在通过认证服务器判断所述参考签名与所述待验证签名是否相同之前,所述基于混合加密的接口访问安全控制方法还包括:
对所述请求体中的时间戳进行超时验证,若验证失败,则拒绝访问,否则,判断所述参考签名与所述待验证签名是否相同。
10.一种基于混合加密的接口访问安全控制系统,其特征在于,所述基于混合加密的接口访问安全控制系统包括客户端及认证服务器;
所述客户端用于向所述认证服务器发送认证参数;
所述认证服务器用于在接收到认证参数后,产生接口访问令牌、RSA公钥及RSA私钥,并将所述接口访问令牌及所述RSA公钥发送至所述客户端;
所述客户端还用于随机产生AES密钥,通过所述RSA公钥对所述AES密钥进行加密,得到AES密文,并将所述AES密文发送至所述认证服务器;
所述认证服务器还用于采用所述RSA私钥对所述AES密文解密,得到AES密钥,并将所述AES密钥与所述接口访问令牌配对存储;
所述客户端还用于产生请求头及请求体,根据所述请求体及所述AES密钥生成待验证签名,并在所述请求头中携带所述待验证签名,以生成接口访问请求,并基于所述接口访问令牌将所述接口访问请求发送至所述认证服务器;
所述认证服务器还用于根据所述接口访问请求中的请求体及接口访问令牌对应的AES密钥,确定参考签名,并判断所述参考签名与所述待验证签名是否相同,若相同,则向所述客户端发送访问资源,否则拒绝访问。
CN202310443865.4A 2023-04-23 2023-04-23 一种基于混合加密的接口访问安全控制方法及系统 Pending CN116471008A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310443865.4A CN116471008A (zh) 2023-04-23 2023-04-23 一种基于混合加密的接口访问安全控制方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310443865.4A CN116471008A (zh) 2023-04-23 2023-04-23 一种基于混合加密的接口访问安全控制方法及系统

Publications (1)

Publication Number Publication Date
CN116471008A true CN116471008A (zh) 2023-07-21

Family

ID=87178614

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310443865.4A Pending CN116471008A (zh) 2023-04-23 2023-04-23 一种基于混合加密的接口访问安全控制方法及系统

Country Status (1)

Country Link
CN (1) CN116471008A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117640109A (zh) * 2024-01-26 2024-03-01 远江盛邦(北京)网络安全科技股份有限公司 Api接口安全访问方法、装置、电子设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117640109A (zh) * 2024-01-26 2024-03-01 远江盛邦(北京)网络安全科技股份有限公司 Api接口安全访问方法、装置、电子设备及存储介质
CN117640109B (zh) * 2024-01-26 2024-04-26 远江盛邦(北京)网络安全科技股份有限公司 Api接口安全访问方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US20060200856A1 (en) Methods and apparatus to validate configuration of computerized devices
CN112039918B (zh) 一种基于标识密码算法的物联网可信认证方法
CN110048849B (zh) 一种多层保护的会话密钥协商方法
CN110933484A (zh) 一种无线投屏设备的管理方法及装置
CN110225050B (zh) Jwt令牌的管理方法
CN111030814A (zh) 秘钥协商方法及装置
CN108809936B (zh) 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统
CN113382002B (zh) 数据请求方法、请求应答方法、数据通信系统及存储介质
JP2001186122A (ja) 認証システム及び認証方法
CN112332986A (zh) 一种基于权限控制的私有加密通信方法及系统
CN116471008A (zh) 一种基于混合加密的接口访问安全控制方法及系统
CN107104888B (zh) 一种安全的即时通信方法
CN111262693B (zh) 一种信息处理方法及系统
CN117082501A (zh) 一种移动端数据加密方法
CN111614458A (zh) 网关jwt的生成方法、系统及存储介质
CN112035820B (zh) 一种用于Kerberos加密环境下的数据解析方法
JP2004274134A (ja) 通信方法並びにこの通信方法を用いた通信システム、サーバおよびクライアント
JP2004159100A (ja) 暗号通信プログラム、暗号通信システム用サーバシステム、暗号通信方法および暗号通信システム
CN113163250B (zh) 基于智能电视的安全通信方法
CN117676579B (zh) 一种基于芯片构建汽车安全身份认证方法
JP2005165671A (ja) 認証サーバの多重化システム及びその多重化方法
US20240121083A1 (en) Secure restoration of private key
CN117375824A (zh) 一种多因素认证凭证生成及校验方法
CN116886352A (zh) 一种数智产品鉴权授权方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination