[发明专利]一种数字验签生成和校验方法、系统

说明书

本发明公开了一种数字验签生成方法，所述方法包括：根据客户端来源标识、用户标识、http请求URI标识，进行加密生成密钥串；基于所述密钥串与拼接时间戳形成请求唯一性标识字段；基于客户端请求通过JWT密钥对公钥部分解析令牌，获取JWT内携带的用户身份信息和JWT标识信息；将所述请求唯一性标识字段、所述用户身份信息和所述JWT标识信息，处理为数字验签密钥串，并存放在http请求头部与JWT一起放送服务端。以及提供一种数字验签校验方法，本发明实施例能防token重放攻击，并校验请求发起人身份与token一致性的机制。同时该机制采取了多级安全策略，适应不同场景下提供安全性和并发速度。

技术领域

本发明涉及工业互联网的安全控制技术领域，尤其涉及一种加数字验签生成和校验方法、系统。

背景技术

工业互联网是全球工业系统与高级计算、分析、感应技术以及互联网连接融合的一种结果。可以是通过开放的、全球化的工业级网络平台把设备、生产线、工厂、供应商、产品和客户紧密地连接和融合起来，高效共享工业经济中的各种要素资源，帮助制造业延长产业链。由于工业互联网的重要性，其信息安全也是至关重要的。

现有技术客户端生成随机盐(16位随机字符串)，在客户端和服务端session中各保存一份。客户端提交登录请求时，将md5之后的密码与该随机码拼接后，再次执行md5，然后提交(提交的密码＝md5(md5(密码明文)+随机码)。后端接收到登录请求后，将从数据库中查询出的密码与session中的随机码拼接后，md5运算，然后与前端传递的结果进行比较一致就放行。前后端需要预先保存密码，服务端需要用session存储大量信息。校验过程没有安全等级划分是一套流程。

发明内容

本发明的目的在于提供一种字符识别方法、装置及存储介质，旨在防止token重放攻击，并校验请求发起人身份与token一致性的机制。同时该机制采取了多级安全策略，适应不同场景下提供安全性和并发速度。

为了实现上述目的，一种数字验签生成方法，所述方法包括：

根据客户端来源标识、用户标识、http请求URI标识，进行加密生成密钥串；

基于所述密钥串与拼接时间戳形成请求唯一性标识字段；

基于客户端请求通过JWT密钥对公钥部分解析令牌，获取JWT内携带的用户身份信息和JWT标识信息；

将所述请求唯一性标识字段、所述用户身份信息和所述JWT标识信息，处理为数字验签密钥串，并存放在http请求头部与JWT一起放送服务端。

一种实现方式中，所述根据客户端来源标识、用户标识、http请求URI标识，进行加密生成密钥串的步骤，包括：

根据客户端来源标识、用户标识、http请求URI标识，使用MD5加密生成密钥串。

以及，提供了一种数字验签校验方法，所述方法包括：

通过网关服务接收客户端发送的请求信息；

判断令牌是否有效；

如果是则，解析令牌，获取目标信息，其中，所述目标信息包括：请求唯一性标识字段、客户端标识、用户标识、JWT标识信息和透传数据验签；

基于所述目标信息，将请求转发至下游业务服务；

基于业务服务解析签名信息；

基于所述签名信息以及安全策略，确认请求是否放行。

一种实现方式中，所述通过网关服务接收客户端发送的请求信息的步骤，包括：

通过网关服务接收客户端发送的请求信息，并校验JWT有效性；

若无无效则对无效令牌网关服务立即返回。