[发明专利]一种请求报文认证及数据传输方法

说明书

本发明公开的请求报文认证，涉及网络安全技术领域，通过接收客户端发送的请求报文并获取请求报文中的时间戳，计算当前时间戳与时间戳的差值并判断差值是否处于预设的时间窗内，获取与请求报文匹配的认证密钥，根据认证密钥，生成第二签名数据并判断第一签名数据与第二签名数据是否相同，从请求报文中获取第一认证数据，判断第一认证数据与第二认证数据是否相同，获取与请求报文匹配的数据加密保护协议及加密密钥，根据数据加密保护协议及加密密钥，生成第一认证数据对应的请求报文，判断请求报文与客户端发送的请求报文是否相同，不需要每个服务器分别与访问客体进行分别约定，增加了数据传输过程中的安全性。

技术领域

本发明涉及网络安全技术领域，具体涉及一种请求报文认证及数据传输方法。

背景技术

近年来，网络安全问题日益突出，黑客入侵以及网络攻击现象日益增多，常规安全防御理念往往局限在网关、SSL/TLS接入点、VPN接入点等接入单元处的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。但是，来自网络内部的安全威胁却无法通过此类方式进行防护，现在已成为众多安全管理人员所普遍需要关注的重点。

现有常用认证方式通常是将用户的认证密钥进行加密并传递至服务器进行验证，该认证方式存在认证密钥失密的问题，缺少内部访问的权限控制机制，数据加密保护仅保护客户端与接入单元之间的传输过程，在接入单元与服务器之间的数据传输过程缺少加密保护机制，需要每个服务器分别与访问客体进行约定，造成要么接入单元到服务主体数据传输无安全保护，容易失密，要么整体系统的存在多种加密安全保护，造成数据传输安全保护体系的混乱无章。

以TLS接入访问方案为例，其可以仅可以实现访问客体对TLS安全接入点之间的访问安全，如果安全接入点之后实际运行为多个服务主体，则可能存在以下问题：

(1)加密数据在接入点与服务器之间被转换为明文，数据传输过程容易内网失密；

(2)接入点与服务器之间继续部署为TLS协议传输，数据传输过程需要进行转加密，影响效率；

(3)接入点一旦被攻击，则客户端与服务器中的访问数据都将失密。

发明内容

为解决现有技术的不足，本发明实施例提供了一种请求报文认证及传输方法。

第一方面，本发明实施例提供的请求报文认证方法包括：

接收客户端发送的请求报文并获取所述请求报文中的时间戳；

计算当前时间戳与所述时间戳的差值；

判断差值是否处于预设的时间窗内，若是，则从所述请求报文中获取第一签名数据sigc₁并判断所述第一签名数据sigc₁在所述时间窗内是否被使用过；

若否，则根据所述请求报文中的用户标识Idc，获取与所述请求报文匹配的认证密钥PKey；

根据所述认证密钥，生成第二签名数据sigc₂并判断第一签名数据sigc₁与第二签名数据sigc₂是否相同；

若相同，则根据所述第一签名数据sigc₁及所述第二签名数据sigc₂，生成第二认证数据sigs₂；

从所述请求报文中获取第一认证数据sigs₁，判断第一认证数据sigs₁与第二认证数据sigs₂是否相同，若是，则根据所述请求报文中的资源访问令牌resToken，获取与所述请求报文匹配的数据加密保护协议及加密密钥；

根据所述数据加密保护协议及加密密钥，生成第二认证数据sigs₂对应的请求报文；