一种基于上下级平台间的安全通信方法与流程

1.本发明属于数据传输技术领域，涉及一种基于上下级平台间的安全通信方法。


背景技术：

2.上下级平台间的通信大多采用https协议，api接口的方式，其中的安全性往往需要参差不一，产生的安全问题后果较为严重；因此平台之间通信的安全性尤为重要。
3.目前主流的通信多为使用jwt(json web token)去进行身份校验，但是仍然存在以下两点问题：
4.1、由于jwt的载荷部分是base64编码的，并没有加密，而很多情况下开发人员会把敏感信息存放在该部分中，安全性存在隐患。
5.2、jwt无法废弃，一旦签发，在到期之前就会始终有效，无法中途废弃，其中包含的信息依然有效，容易被攻击者利用。


技术实现要素：

6.本发明的目的是针对现有的技术存在上述问题，提出了一种基于上下级平台间的安全通信方法，该发明要解决的技术问题是：如何实现上下级平台间，进行安全可靠的通信，防止被攻击者重放、篡改或冒充
7.本发明的目的可通过下列技术方案来实现：
8.一种基于上下级平台间的安全通信方法，其特征在于，包括以下步骤：
9.s1、上级平台生成secret(秘钥)；
10.s2、下级平台根据上级平台的secret生成加密令牌；
11.s3、生成参数签名，将本次通信参数和secret拼接，使用md5算法生成；
12.s4、通信协议采用https 1.1，在本次通信的请求头部分携带认证令牌，请求url中携带参数签名；
13.s5、上级平台方接收请求，验证请求头中的认证令牌；
14.s6、上一步验证通过后，验证参数签名，上级平台根据获取到的参数生成md5签名，和请求中携带的签名进行比较；
15.s7、验证全部通过后，根据具体业务逻辑进行相应处理并返回下级平台，通信完成。
16.所述步骤s2中加密令牌生成步骤如下：
17.(一)、生成原始令牌；
18.(二)、使用第一层令牌和secret使用指定的aes算法生成加密令牌。
19.所述步骤(一)中生成原始令牌的步骤如下：
20.(1)三部分组成，唯一标识 载荷 签证；
21.(2)生成唯一标识，例如8位不重复的字符；
22.(3)生成载荷部分，采用json格式，json格式具有良好的水平扩展性，json包含此
次通信开始时间、过期时间(10分钟)、平台编号，采用base64加密生成；
23.(4)生成签证部分，由唯一标识、签证部分根据secret按规定hash算法生成，例如hs256；
24.(5)三部分使用指定符号拼接组成原始令牌。
25.所述唯一标识由字符串组成。
26.所述过期时间为10min。
27.所述步骤s5中认证令牌的验证步骤如下：
28.(1)使用自身的secret对加密令牌进行aes解密，验证令牌能否正确解析，成功则得到原始令牌
29.(2)分解原始令牌成唯一标识、载荷、签证三个部分；
30.(3)判断唯一标识是否已使用过,redis存储已使用标识列表，记录24h以内的已用标识；
31.(4)使用唯一标识和载荷和上级平台自有的secret按照规定hash算法生成验证用签证，比较请求中的两个签证是否一致；
32.(5)如一致，使用base64解密，获取载荷部分的内容，判断请求的过期时间是否过期。
33.所述算法为hash算法。
34.与现有技术相比，本基于上下级平台间的安全通信方法具有以下优点：
35.1、令牌经过aes对称加密，无法直接获取令牌内容；
36.2、相较于原有的无状态的jwt，因容易被人重复利用，本方法增加了唯一标识和过期时间的多重有效性验证，可有效的杜绝重放攻击；
37.3、增加了请求参数的签名，防止参数遭到篡改。
附图说明
38.图1是本发明的原理图。
39.图2是本发明实施例中的通信发起流程图。
40.图3是本发明实施例中的通信处理流程图。
具体实施方式
41.以下是本发明的具体实施例并结合附图，对本发明的技术方案作进一步的描述，但本发明并不限于这些实施例。
42.如图1-图3所示，一种基于上下级平台间的安全通信方法，包括以下步骤：
43.s1、上级平台生成secret(秘钥)；
44.s2、下级平台根据上级平台的secret生成加密令牌，生成步骤如下：
45.(一)、生成原始令牌，步骤如下：
46.(1)三部分组成，唯一标识 载荷 签证；
47.(2)生成唯一标识，例如8位不重复的字符；
48.(3)生成载荷部分，采用json格式，json格式具有良好的水平扩展性，json包含此次通信开始时间、过期时间(10分钟)、平台编号，采用base64加密生成；
49.(4)生成签证部分，由唯一标识、签证部分根据secret按规定hash算法生成，例如hs256；
50.(5)三部分使用指定符号拼接组成原始令牌；
51.(二)、使用第一层令牌和secret使用指定的aes算法生成加密令牌；
52.s3、生成参数签名，将本次通信参数和secret拼接，使用md5算法生成；
53.s4、通信协议采用https 1.1，在本次通信的请求头部分携带认证令牌，请求url中携带参数签名；
54.s5、上级平台方接收请求，验证请求头中的认证令牌，步骤如下：
55.(1)使用自身的secret对加密令牌进行aes解密，验证令牌能否正确解析，成功则得到原始令牌
56.(2)分解原始令牌成唯一标识、载荷、签证三个部分；
57.(3)判断唯一标识是否已使用过,redis存储已使用标识列表，记录24h以内的已用标识；
58.(4)使用唯一标识和载荷和上级平台自有的secret按照规定hash算法生成验证用签证，比较请求中的两个签证是否一致；
59.(5)如一致，使用base64解密，获取载荷部分的内容，判断请求的过期时间是否过期；
60.s6、上一步验证通过后，验证参数签名，上级平台根据获取到的参数生成md5签名，和请求中携带的签名进行比较；
61.s7、验证全部通过后，根据具体业务逻辑进行相应处理并返回下级平台，通信完成。
62.综上，本发明中，令牌经过aes对称加密，无法直接获取令牌内容；相较于原有的无状态的jwt，因容易被人重复利用，本方法增加了唯一标识和过期时间的多重有效性验证，可有效的杜绝重放攻击；增加了请求参数的签名，防止参数遭到篡改；从而实现了上下级平台间安全通信的功能。
63.本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。


技术特征：
1.一种基于上下级平台间的安全通信方法，其特征在于，包括以下步骤：s1、上级平台生成secret；s2、下级平台根据上级平台的secret生成加密令牌；s3、生成参数签名，将本次通信参数和secret拼接，使用md5算法生成；s4、通信协议采用https 1.1，在本次通信的请求头部分携带认证令牌，请求url中携带参数签名；s5、上级平台方接收请求，验证请求头中的认证令牌；s6、上一步验证通过后，验证参数签名，上级平台根据获取到的参数生成md5签名，和请求中携带的签名进行比较；s7、验证全部通过后，根据具体业务逻辑进行相应处理并返回下级平台，通信完成。2.根据权利要求1所述的一种基于上下级平台间的安全通信方法，其特征在于，所述步骤s2中加密令牌生成步骤如下：(一)、生成原始令牌；(二)、使用第一层令牌和secret使用指定的aes算法生成加密令牌。3.根据权利要求2所述的一种基于上下级平台间的安全通信方法，其特征在于，所述步骤(一)中生成原始令牌的步骤如下：(1)三部分组成，唯一标识 载荷 签证；(2)生成唯一标识；(3)生成载荷部分，采用json格式，json格式具有良好的水平扩展性，json包含此次通信开始时间、过期时间、平台编号，采用base64加密生成；(4)生成签证部分，由唯一标识、签证部分根据secret按规定算法生成；(5)三部分使用指定符号拼接组成原始令牌。4.根据权利要求3所述的一种基于上下级平台间的安全通信方法，其特征在于，所述唯一标识由字符串组成。5.根据权利要求3所述的一种基于上下级平台间的安全通信方法，其特征在于，所述过期时间为10min。6.根据权利要求1所述的一种基于上下级平台间的安全通信方法，其特征在于，所述步骤s5中认证令牌的验证步骤如下：(1)使用自身的secret对加密令牌进行aes解密，验证令牌能否正确解析，成功则得到原始令牌(2)分解原始令牌成唯一标识、载荷、签证三个部分；(3)判断唯一标识是否已使用过,redis存储已使用标识列表，记录24h以内的已用标识；(4)使用唯一标识和载荷和上级平台自有的secret按照规定hash算法生成验证用签证，比较请求中的两个签证是否一致；(5)如一致，使用base64解密，获取载荷部分的内容，判断请求的过期时间是否过期。7.根据权利要求3或6所述的一种基于上下级平台间的安全通信方法，其特征在于，所述算法为hash算法。

技术总结
本发明提供了一种基于上下级平台间的安全通信方法，属于数据传输技术领域，它解决了现有通信使用JWT去进行身份校验依然存在安全隐患等技术问题。本发明包括以下步骤：S1、上级平台生成secret；S2、下级平台根据上级平台的secret生成加密令牌；S3、生成参数签名，将本次通信参数和secret拼接，使用md5算法生成；S4、通信协议采用HTTPS 1.1，在本次通信的请求头部分携带认证令牌，请求url中携带参数签名；S5、上级平台方接收请求，验证请求头中的认证令牌；S6、上一步验证通过后，验证参数签名，上级平台根据获取到的参数生成MD5签名，和请求中携带的签名进行比较；S7、验证全部通过后，通信完成。本发明具有能实现上下级平台之间安全通信的优点。通信的优点。通信的优点。


技术研发人员：刘庆林 徐言成 刘正伟 魏海宇 谢辉 安恩庆 刘刚 李小琼 康柏荣 王鲲
受保护的技术使用者：北京中睿天下信息技术有限公司
技术研发日：2022.06.20
技术公布日：2022/9/13