[发明专利]一种信息验证方法及装置

说明书

技术领域

本发明涉及信息安全技术领域，特别涉及一种信息验证方法及装置。

背景技术

OpenAPI即开放API(Application Programming Interface，应用程序接口)，也称开放平台，是互联网服务发展的一种新形式，是指提供服务的一方(下指服务端)使用常用的数据传输协议(如：HTTP(HyperText Transfer Protocol，超文本传输协议))将服务以API接口的形式提供出来，供服务的消费方(下指客户端)访问调用。

通常，OpenAPI的服务端需要在公开的互联网环境下提供服务，和客户端需要在公开的互联网环境下访问服务，因此在通信过程中，可靠、安全的通信技术是提供OpenAPI服务的服务端所特别需要考虑的。在安全通信的范畴里，服务端在接收到客户端发送来的访问请求时，需要辨别该请求是真正的客户端(比如是被授权了的客户)所发送的，还是被中间人劫持并篡改后由中间人发送的，也就是需要验证客户的身份。

现有技术中，Session(会话保持)是一种常用的身份验证技术。客户端需要先登录服务端，服务端在验证客户端登录成功后，颁发一个Token(令牌)给客户端，在退出此次登录之前，客户端发送给服务端的每一个访问请求中都需要携带该Token，服务端根据上述访问请求中携带的Token识别客户端的身份。但是在实际应用中，中间人在截获客户端的访问请求后，可以剥离出该访问请求中携带的Toekn并使用该Token来伪造访问请求。对于服务端来说，仅仅是根据访问请求中携带的Token信息来验证客户的身份，由于伪造的访问请求中携带了相同的Token，因此即使接收到的是中间人伪造的访问请求，也无法判断出该访问请求是来自颁发给Token的客户端还是来自中间人。也就是说，现有的身份验证技术无法辨别接收到的信息是不是伪造的，信息安全性不高。

发明内容

本发明实施例的目的在于提供一种信息验证方法及装置，以辨别出伪造信息，提高信息安全性。

为达到上述目的，本发明实施例公开了一种信息验证方法，应用于服务器，所述方法包括：

接收客户端发送的目标信息，其中，所述目标信息包含：原文、所述原文的至少一个属性信息、所述客户端的目标访问授权码、根据所述属性信息和所述客户端本地存储的访问密钥确定的第一摘要值；

根据预先保存的访问授权码与访问密钥的对应关系，从所述服务器本地存储的访问密钥中获得所述目标访问授权码对应的目标访问密钥；

根据所述属性信息和所述目标访问密钥，确定第二摘要值；

判断所述第一摘要值和所述第二摘要值是否相同；

如果是，判定所述目标信息验证通过，否则，判定所述目标信息验证不通过。

可选的，在所述接收客户端发送的目标信息之后，还包括：

判断所述服务器本地是否预先保存有所述目标访问授权码；

如果否，向所述客户端反馈所述目标访问授权码无效的消息；

如果是，执行所述根据预先保存的访问授权码与访问密钥的对应关系，从所述服务器本地存储的访问密钥中获得所述目标访问授权码对应的目标访问密钥的步骤。

可选的，所述根据所述属性信息和所述目标访问密钥，确定第二摘要值，包括：

根据所述属性信息和所述目标访问密钥，利用预设信息摘要算法，确定第二摘要值。

可选的，所述至少一个属性信息包含：所述客户端发送所述目标信息的第一时间戳；

在所述根据所述属性信息和所述目标访问密钥，确定第二摘要值之前，还包括：

判断第二时间戳与所述第一时间戳之间的差值是否不大于预设阈值，其中，所述第二时间戳为所述服务器接收所述目标信息的时刻；

如果是，执行所述根据所述属性信息和所述目标访问密钥，确定第二摘要值的步骤。

可选的，所述方法还包括：

更换所述服务器本地存储的访问密钥，并将更换后的访问密钥发送给所述客户端，以使所述客户端将本地存储的访问密钥更换为所述更换后的访问密钥。

可选的，所述方法还包括：

在所述目标信息验证不通过的情况下，向所述客户端反馈所述第一摘要值与所述第二摘要值不相同的消息。

为达到上述目的，本发明实施例还公开了一种信息验证装置，应用于服务器，所述装置包括：