本文涉及信息安全领域,提供了一种数据访问认证方法及装置,其中,方法适用于认证服务器,包括:接收并解析用户端发送的用户登录请求,得到用户信息;利用签名密钥对所述用户信息进行签名处理,得到网络令牌;发送所述网络令牌至所述用户端,其中,所述签名密钥包括自定义信息及随机信息;接收并解析用户端发送的用户数据访问请求,得到访问需求、用户信息及网络令牌;利用所述签名密钥对用户信息进行签名处理,得到待验证签名信息,比较所述待验证签名信息与所述网络令牌,若相同,则响应所述访问需求。本文通过利用包含自定义信息以及随机信息的签名密钥对用户信息进行加密从而得到网络令牌,使得网络令牌不易被破解,提升了网络令牌的安全性。网络令牌的安全性。网络令牌的安全性。
【技术实现步骤摘要】
一种数据访问认证方法及装置
[0001]本文涉及信息安全领域,尤其涉及一种数据访问认证方法及装置。
技术介绍
[0002]现有技术中,存在一种使用网络令牌来传递被认证用户身份信息的方案,通过网络令牌用户可在无需每次输入用户名及密码等信息的基础上即可实现资源访问。以JWT(Json Web Token,Json网络令牌)为例,JWT分3部分,按顺序为头部(header)、载荷(payload)、签名(Signature),这三部分通过“.”分隔。签名字段是对前两部分的签名,防止数据篡改与仿冒。传统的签名字段是通过头部中指定的签名算法以及密钥secret,对头部和载荷中的内容进行签名而生成的新的内容。但现有网络令牌生成中通常使用固定的密钥,甚至是弱口令,因此,导致JWT容易被破解。在整个系统运行过程中,签名密钥固定不变,前期的数据泄露可能会影响整个JWT颁发系统的安全性。
技术实现思路
[0003]本文用于解决现有技术中,网络令牌安全性低、存在数据泄露进而影响网络令牌颁发系统安全性的问题。
[0004]为了解决上述技术问题,本文一方面提供一种数据访问认证方法,适用于认证服务器,包括:
[0005]接收并解析用户端发送的用户登录请求,得到用户信息;利用签名密钥对所述用户信息进行签名处理,得到网络令牌;发送所述网络令牌至所述用户端,其中,所述签名密钥包括自定义信息及随机信息;
[0006]接收并解析用户端发送的用户数据访问请求,得到访问需求、用户信息及网络令牌;利用所述签名密钥对用户信息进行签名处理,得到待验证签名信息,比较所述待验证签名信息与所述网络令牌,若相同,则响应所述访问需求。
[0007]作为本文进一步实施例中,数据访问认证方法还包括:
[0008]当当前签名密钥的生存周期到期时,设置当前签名密钥的状态为失效,通过更新随机信息的方式得到新的签名密钥。
[0009]作为本文进一步实施例中,利用所述签名密钥对用户信息进行签名处理,得到待验证签名信息进一步为:
[0010]当所述网络令牌的有效期小于或等于签名密钥的生存周期时,判断网络令牌的生成时刻是否在当前签名密钥的生存周期内,若是,则利用当前签名密钥加密用户信息得到待验证签名信息,若否,则利用最近失效的签名密钥加密用户信息得到待验证签名信息。
[0011]作为本文进一步实施例中,利用所述签名密钥对用户信息进行签名处理,得到待验证签名信息进一步为:
[0012]当所述网络令牌的有效期大于签名密钥的生存周期时,判断网络令牌的生成时刻是否在当前签名密钥的生存周期内,若是,则利用当前签名密钥加密用户信息得到待验证
签名信息,若否,则确定网络令牌对应的失效签名密钥S(i),利用签名密钥S(i)加密用户信息得到待验证签名信息;
[0013]其中,S(i)为第i个失效签名密钥,失效签名密钥编号按照距离当前签名密钥从近到远的顺序排名,i利用如下公式计算得到:
[0014][0015]其中,X为当前签名密钥的生成时刻,Y为网络令牌的生成时刻,T为签名密钥的生存周期。
[0016]作为本文进一步实施例中,所述签名密钥确定过程包括:
[0017]对所述自定义信息及随机信息进行对齐处理;
[0018]对处理后自定义信息以及随机信息进行分块处理,得到多个子自定义信息及子随机信息;
[0019]将子自定义信息及子随机信息按照预设策略进行交叉处理,得到签名密钥。
[0020]作为本文进一步实施例中,解析所述用户数据访问请求还得到数据访问请求时刻信息;
[0021]计算所述数据访问请求时刻信息与当前时刻信息之间的时间差,判断所述时间差是否小于预定值,若所述时间差大于预定值,则拒绝响应所述访问需求,若所述时间差小于预定值且待验证签名信息与解析得到的网络令牌相同,则响应所述访问需求。
[0022]本文另一方面提供一种数据访问认证装置,包括:
[0023]网络令牌生成单元,用于接收并解析用户端发送的用户登录请求,得到用户信息;利用签名密钥对所述用户信息进行签名处理,得到网络令牌;发送所述网络令牌至所述用户端,其中,所述签名密钥包括自定义信息及随机信息;
[0024]网络令牌验证单元,用于接收并解析用户端发送的用户数据访问请求,得到访问需求、用户信息及网络令牌;利用所述签名密钥对用户信息进行签名处理,得到待验证签名信息,比较所述待验证签名信息与所述网络令牌,若相同,则响应所述访问需求。
[0025]本文另一方面还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现前述任一实施例所述数据访问认证方法。
[0026]本文另一方面还提供一种计算机存储介质,其上存储有计算机程序,所述计算机程序被计算机设备的处理器运行时,所述处理器执行所述计算机程序时实现前述任一实施例所述数据访问认证方法。
[0027]本文另一方面还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现前述任一实施例所述数据访问认证方法。
[0028]本文提供的数据访问认证方法及装置适用于认证服务器,通过利用包含自定义信息以及随机信息的签名密钥对用户信息进行加密从而得到网络令牌,使得网络令牌不易被破解,提升了网络令牌的安全性。
[0029]为让本文的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。
附图说明
[0030]为了更清楚地说明本文实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本文的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0031]图1示出了本文实施例数据访问认证系统的结构图;
[0032]图2示出了本文实施例数据访问认证方法的流程图;
[0033]图3示出了本文实施例签名密钥生成过程的流程图;
[0034]图4示出了本文实施例数据访问认证装置的结构图;
[0035]图5示出了本文实施例计算机设备的结构图。
[0036]附图符号说明:
[0037]110、用户端;
[0038]120、认证服务器;
[0039]121、登录模块;
[0040]122、网络令牌生成模块;
[0041]123、网络令牌验证模块;
[0042]124、业务模块;
[0043]410、登录模块;
[0044]420、网络令牌生成模块;
[0045]430、网络令牌验证模块;
[0046]440、业务模块;
[0047]502、计算机设备;
[0048]504、处理器;
[0049]506、存储器;
[0050]508、本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据访问认证方法,其特征在于,适用于认证服务器,包括:接收并解析用户端发送的用户登录请求,得到用户信息;利用签名密钥对所述用户信息进行签名处理,得到网络令牌;发送所述网络令牌至所述用户端,其中,所述签名密钥包括自定义信息及随机信息;接收并解析用户端发送的用户数据访问请求,得到访问需求、用户信息及网络令牌;利用所述签名密钥对用户信息进行签名处理,得到待验证签名信息,比较所述待验证签名信息与所述网络令牌,若相同,则响应所述访问需求。2.如权利要求1所述的数据访问认证方法,其特征在于,还包括:当当前签名密钥的生存周期到期时,设置当前签名密钥的状态为失效,通过更新随机信息的方式得到新的签名密钥。3.如权利要求2所述的数据访问认证方法,其特征在于,利用所述签名密钥对用户信息进行签名处理,得到待验证签名信息进一步为:当所述网络令牌的有效期小于或等于签名密钥的生存周期时,判断网络令牌的生成时刻是否在当前签名密钥的生存周期内,若是,则利用当前签名密钥加密用户信息得到待验证签名信息,若否,则利用最近失效的签名密钥加密用户信息得到待验证签名信息。4.如权利要求2所述的数据访问认证方法,其特征在于,利用所述签名密钥对用户信息进行签名处理,得到待验证签名信息进一步为:当所述网络令牌的有效期大于签名密钥的生存周期时,判断网络令牌的生成时刻是否在当前签名密钥的生存周期内,若是,则利用当前签名密钥加密用户信息得到待验证签名信息,若否,则确定网络令牌对应的失效签名密钥S(i),利用签名密钥S(i)加密用户信息得到待验证签名信息;其中,S(i)为第i个失效签名密钥,失效签名密钥编号按照距离当前签名密钥从近到远的顺序排名,i利用如下公式计算得到:其中,X为当前签名密钥的生成时刻,Y为网络令牌的生成时刻,T为签名密钥的生存周期...
【专利技术属性】
技术研发人员:高倩,
申请(专利权)人:中国银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。