[发明专利]密钥更新方法、装置、系统、存储介质及计算设备

说明书

本申请公开一种密钥更新方法、装置、系统、存储介质及计算设备，该方法包括：使用签发机构签发的第一令牌向目标服务器发起访问请求，其中第一令牌使用与第一公钥对应的第一私钥加密；接收目标服务器使用本地公钥对第一令牌进行验证的响应，响应中打包有本地公钥的标识；解析响应，当响应指示验证无效时获取签发机构签发的第二令牌，其中第二令牌使用与所述本地公钥对应的第二私钥加密，且第二令牌中打包有第一公钥；使用第二令牌向目标服务器发起访问请求，以使目标服务器使用本地公钥验证第二令牌有效，并将本地公钥更新为第二令牌中打包的第一公钥，使得能够通过第一令牌访问目标服务器。本申请解决现有技术中密钥更新不及时的技术问题。

技术领域

本申请涉及信息安全技术领域，具体而言，涉及一种密钥更新方法、装置、系统、存储介质及计算设备。

背景技术

用户认证技术一般采用Cookies+Session来进行认证。即用户第一次请求服务器的时候，服务器根据用户提交的相关信息，创建对应的 Session，请求返回时将此Session的唯一标识信息 SessionID 返回给浏览器；浏览器接收到服务器返回的 SessionID 信息后，会将此信息存入到 Cookie 中，同时 Cookie 记录此 SessionID 属于哪个域名；当用户第二次访问服务器的时候，请求会自动判断此域名下是否存在 Cookie 信息，如果存在自动将 Cookie 信息也发送给服务端，服务端会从 Cookie 中获取 SessionID，再根据SessionID 查找对应的 Session 信息，如果没有找到说明用户没有登录或者登录失效，如果找到 Session 证明用户已经登录可执行后面操作。

而分布式web应用的普及，通过session管理用户登录状态成本越来越高，慢慢发展成为使用令牌（token）的方式做登录身份校验。即客户端使用用户名跟密码请求登录服务器。服务器收到请求，去验证用户名与密码；验证成功后，服务器会签发一个 token 并把这个 token 发送给客户端。客户端收到 token 以后，会把它存储起来，客户端每次向服务器请求资源的时候需要带着服务端签发的 token，服务器收到请求，然后去验证客户端请求里面带着的 token ，如果验证成功，就向客户端返回请求的数据。

JWT，全称是Json Web Token，是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).定义了一种简洁的，自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在，这些信息是可信的，JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。采用公私秘钥对进行签名的方式，例如使用私钥签发JWT，公钥验证JWT，私钥可以提取公钥，但从公钥无法算出私钥，公钥和私钥是成对的。

在非对称场景下，客户端C程序使用非对称加密的JWT Token连接服务器程序S。Token使用私钥签发，服务器程序使用预先获取的与签发私钥相匹配的公钥验证token中签名，确认token有效性。图1所示为现有技术中基于JWT的验证流程，包括：

1. 用户在客户端C使用账号和密码登录服务器程序S；

2. 服务器S验证通过后使用私钥创建一个JWT；

3. 服务器S返回这个JWT给客户端C，客户端C保存该JWT；

4. 客户端C将该JWT串在请求头中像服务器S发送请求；

5. 服务器S验证该JWT：

a. 验证通过，服务器返回响应的数据给客户端浏览器，客户端浏览器展示该数据；

b. 验证未通过，服务器返回错误信息给客户端浏览器，客户端浏览器展示错误提示。