一种基于上下级平台间的安全通信方法技术

本发明专利技术提供了一种基于上下级平台间的安全通信方法，属于数据传输技术领域，它解决了现有通信使用JWT去进行身份校验依然存在安全隐患等技术问题。本发明专利技术包括以下步骤：S1、上级平台生成secret；S2、下级平台根据上级平台的secret生成加密令牌；S3、生成参数签名，将本次通信参数和secret拼接，使用md5算法生成；S4、通信协议采用HTTPS 1.1，在本次通信的请求头部分携带认证令牌，请求url中携带参数签名；S5、上级平台方接收请求，验证请求头中的认证令牌；S6、上一步验证通过后，验证参数签名，上级平台根据获取到的参数生成MD5签名，和请求中携带的签名进行比较；S7、验证全部通过后，通信完成。本发明专利技术具有能实现上下级平台之间安全通信的优点。通信的优点。通信的优点。

【技术实现步骤摘要】
一种基于上下级平台间的安全通信方法


[0001]本专利技术属于数据传输
，涉及一种基于上下级平台间的安全通信方法。

技术介绍

[0002]上下级平台间的通信大多采用https协议，API接口的方式，其中的安全性往往需要参差不一，产生的安全问题后果较为严重；因此平台之间通信的安全性尤为重要。
[0003]目前主流的通信多为使用JWT(Json web token)去进行身份校验，但是仍然存在以下两点问题：
[0004]1、由于JWT的载荷部分是base64编码的，并没有加密，而很多情况下开发人员会把敏感信息存放在该部分中，安全性存在隐患。
[0005]2、JWT无法废弃，一旦签发，在到期之前就会始终有效，无法中途废弃，其中包含的信息依然有效，容易被攻击者利用。

技术实现思路

[0006]本专利技术的目的是针对现有的技术存在上述问题，提出了一种基于上下级平台间的安全通信方法，该专利技术要解决的技术问题是：如何实现上下级平台间，进行安全可靠的通信，防止被攻击者重放、篡改或冒充
[0007]本专利技术的目的可通过下列技术方案来实现：
[0008]一种基于上下级平台间的安全通信方法，其特征在于，包括以下步骤：
[0009]S1、上级平台生成secret(秘钥)；
[0010]S2、下级平台根据上级平台的secret生成加密令牌；
[0011]S3、生成参数签名，将本次通信参数和secret拼接，使用md5算法生成；
[0012]S4、通信协议采用HTTPS 1.1，在本次通信的请求头部分携带认证令牌，请求url中携带参数签名；
[0013]S5、上级平台方接收请求，验证请求头中的认证令牌；
[0014]S6、上一步验证通过后，验证参数签名，上级平台根据获取到的参数生成MD5签名，和请求中携带的签名进行比较；
[0015]S7、验证全部通过后，根据具体业务逻辑进行相应处理并返回下级平台，通信完成。
[0016]所述步骤S2中加密令牌生成步骤如下：
[0017](一)、生成原始令牌；
[0018](二)、使用第一层令牌和secret使用指定的AES算法生成加密令牌。
[0019]所述步骤(一)中生成原始令牌的步骤如下：
[0020](1)三部分组成，唯一标识+载荷+签证；
[0021](2)生成唯一标识，例如8位不重复的字符；
[0022](3)生成载荷部分，采用json格式，json格式具有良好的水平扩展性，json包含此
次通信开始时间、过期时间(10分钟)、平台编号，采用base64加密生成；
[0023](4)生成签证部分，由唯一标识、签证部分根据secret按规定hash算法生成，例如HS256；
[0024](5)三部分使用指定符号拼接组成原始令牌。
[0025]所述唯一标识由字符串组成。
[0026]所述过期时间为10min。
[0027]所述步骤S5中认证令牌的验证步骤如下：
[0028](1)使用自身的secret对加密令牌进行AES解密，验证令牌能否正确解析，成功则得到原始令牌
[0029](2)分解原始令牌成唯一标识、载荷、签证三个部分；
[0030](3)判断唯一标识是否已使用过,redis存储已使用标识列表，记录24h以内的已用标识；
[0031](4)使用唯一标识和载荷和上级平台自有的secret按照规定hash算法生成验证用签证，比较请求中的两个签证是否一致；
[0032](5)如一致，使用base64解密，获取载荷部分的内容，判断请求的过期时间是否过期。
[0033]所述算法为hash算法。
[0034]与现有技术相比，本基于上下级平台间的安全通信方法具有以下优点：
[0035]1、令牌经过AES对称加密，无法直接获取令牌内容；
[0036]2、相较于原有的无状态的JWT，因容易被人重复利用，本方法增加了唯一标识和过期时间的多重有效性验证，可有效的杜绝重放攻击；
[0037]3、增加了请求参数的签名，防止参数遭到篡改。
附图说明
[0038]图1是本专利技术的原理图。
[0039]图2是本专利技术实施例中的通信发起流程图。
[0040]图3是本专利技术实施例中的通信处理流程图。
具体实施方式
[0041]以下是本专利技术的具体实施例并结合附图，对本专利技术的技术方案作进一步的描述，但本专利技术并不限于这些实施例。
[0042]如图1
‑
图3所示，一种基于上下级平台间的安全通信方法，包括以下步骤：
[0043]S1、上级平台生成secret(秘钥)；
[0044]S2、下级平台根据上级平台的secret生成加密令牌，生成步骤如下：
[0045](一)、生成原始令牌，步骤如下：
[0046](1)三部分组成，唯一标识+载荷+签证；
[0047](2)生成唯一标识，例如8位不重复的字符；
[0048](3)生成载荷部分，采用json格式，json格式具有良好的水平扩展性，json包含此次通信开始时间、过期时间(10分钟)、平台编号，采用base64加密生成；
[0049](4)生成签证部分，由唯一标识、签证部分根据secret按规定hash算法生成，例如HS256；
[0050](5)三部分使用指定符号拼接组成原始令牌；
[0051](二)、使用第一层令牌和secret使用指定的AES算法生成加密令牌；
[0052]S3、生成参数签名，将本次通信参数和secret拼接，使用md5算法生成；
[0053]S4、通信协议采用HTTPS 1.1，在本次通信的请求头部分携带认证令牌，请求url中携带参数签名；
[0054]S5、上级平台方接收请求，验证请求头中的认证令牌，步骤如下：
[0055](1)使用自身的secret对加密令牌进行AES解密，验证令牌能否正确解析，成功则得到原始令牌
[0056](2)分解原始令牌成唯一标识、载荷、签证三个部分；
[0057](3)判断唯一标识是否已使用过,redis存储已使用标识列表，记录24h以内的已用标识；
[0058](4)使用唯一标识和载荷和上级平台自有的secret按照规定hash算法生成验证用签证，比较请求中的两个签证是否一致；
[0059](5)如一致，使用base64解密，获取载荷部分的内容，判断请求的过期时间是否过期；
[0060]S6、上一步验证通过后，验证参数签名，上级平台根据获取到的参数生成MD5签名，和请求中携带的签名进行比较；
[0061]S7、验证全部通过后，根据具体业务逻辑进行相应处理并返回下级平台，通信完成。
[0062]综上，本专利技术中，令牌经过AES对称加密，无法直接获取令牌内容；相本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于上下级平台间的安全通信方法，其特征在于，包括以下步骤：S1、上级平台生成secret；S2、下级平台根据上级平台的secret生成加密令牌；S3、生成参数签名，将本次通信参数和secret拼接，使用md5算法生成；S4、通信协议采用HTTPS 1.1，在本次通信的请求头部分携带认证令牌，请求url中携带参数签名；S5、上级平台方接收请求，验证请求头中的认证令牌；S6、上一步验证通过后，验证参数签名，上级平台根据获取到的参数生成MD5签名，和请求中携带的签名进行比较；S7、验证全部通过后，根据具体业务逻辑进行相应处理并返回下级平台，通信完成。2.根据权利要求1所述的一种基于上下级平台间的安全通信方法，其特征在于，所述步骤S2中加密令牌生成步骤如下：(一)、生成原始令牌；(二)、使用第一层令牌和secret使用指定的AES算法生成加密令牌。3.根据权利要求2所述的一种基于上下级平台间的安全通信方法，其特征在于，所述步骤(一)中生成原始令牌的步骤如下：(1)三部分组成，唯一标识+载荷+签证；(2)生成唯一标识；(3)生成载荷部分，采用json格式，json格式具有良好的水平扩展性，json包含此次通信...

【专利技术属性】
技术研发人员：刘庆林，徐言成，刘正伟，魏海宇，谢辉，安恩庆，刘刚，李小琼，康柏荣，王鲲，
申请(专利权)人：北京中睿天下信息技术有限公司，
类型：发明
国别省市：