指紋加密鑒權(quán)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)通信安全保障技術(shù)領(lǐng)域���,尤其涉及一種指紋加密鑒權(quán)方法��。
【背景技術(shù)】
[0002]《2014年全球社交����、數(shù)字和移動》報(bào)告顯示���,中國有13.5億人口�����,其中互聯(lián)網(wǎng)網(wǎng)民比例為44%�,達(dá)5.9億人�,隨著這以數(shù)字繼續(xù)快速增長,人們?nèi)諠u擔(dān)心我們每天使用的網(wǎng)絡(luò)是安全問題���。
[0003]近期發(fā)生的攜程信用卡泄露事件���,CSDN密碼泄露事件等等,每天擾亂著人們緊繃的神經(jīng)�。針對以上現(xiàn)象,現(xiàn)在行業(yè)中主流的解決方案如下:
[0004]1.用戶登錄鑒權(quán)獲取服務(wù)端鑒權(quán)令牌�;
[0005]2.用戶拿到登錄交換的令牌訪問服務(wù)��;
[0006]3.服務(wù)器端把令牌存放在sess1n中���,客戶端在訪問的時(shí)候帶上服務(wù)端給的令牌,服務(wù)端根據(jù)令牌確定用戶是否有權(quán)限進(jìn)行訪問�;
[0007]這種鑒權(quán)方法在一定程度上解決了安全問題,用戶只有用自己的用戶名密碼登錄后才能訪問相關(guān)服務(wù)��,但是����,此種鑒權(quán)方式存在如下問題:
[0008]1.用戶在登陸的時(shí)候口令是明文的,很容易被截獲��;
[0009]2.用戶的token很容易被截獲�����,而被別人拿著去訪問用戶的私密服務(wù)����;
[0010]3.因?yàn)閟ess1n存放在服務(wù)器的內(nèi)存中,單臺服務(wù)器相互隔離����,無法滿足分布式服務(wù)鑒權(quán)問題�,因此只能滿足小用戶量的服務(wù)�;
[0011]4.部分用戶使用了 https協(xié)議,對訪問的整個(gè)流程加密�����,https雖然高安全�。但是通過https加密后存在以下問題:
[0012](I)訪問的性能就會變差����,因?yàn)閔ttps —系列的加密算法對服務(wù)端和客戶端的性能消耗都是驚人的,所以https訪問速度慢的驚人�����。
[0013](2)流量就會增大����,https的消息體會使用aesl28算法進(jìn)行加密,加密過程中會出現(xiàn)補(bǔ)位的現(xiàn)象���,增加了沒必要的流量開銷��,流量會大于http協(xié)議�����。
[0014](3) https必須安裝證書���,比較麻煩���。
【發(fā)明內(nèi)容】
[0015]本發(fā)明的目的是為了解決上述問題,提供一種指紋加密鑒權(quán)方法����,提高傳輸過程中的安全性。
[0016]本發(fā)明采取的技術(shù)方案是:
[0017]一種指紋加密鑒權(quán)方法���,其特征是�����,包括如下步驟:
[0018](I)用戶在客戶端提出加密資料申請���;
[0019](2)客戶端給用戶下發(fā)加密方案;
[0020](3)用戶提供帳戶信息并提取指紋��;
[0021](4)客戶端對帳戶信息和指紋加密后發(fā)送到服務(wù)端����,生成令牌�,所述加密過程包括第一級用戶名密碼加密��、第二級消息體加密和第三級指紋加密��;
[0022](5)服務(wù)端攔截客戶端請求�����,提取令牌信息����,判斷指紋的合法性以及指紋和請求的唯一性���;如果相似請求已經(jīng)存在或指紋不合法���,則終止鑒權(quán),否則進(jìn)入下一步�;
[0023](6)對所述請求和指紋進(jìn)行驗(yàn)證;如果驗(yàn)證通過則進(jìn)入下一步�,否則終止鑒權(quán);
[0024](7)登陸成功����,進(jìn)入具體業(yè)務(wù)接口����。
[0025]進(jìn)一步����,所述第⑷步中的第一級加密為rsa加密,第二級加密為對稱加密����,第三級加密為md5加密。
[0026]進(jìn)一步�,所述第(6)步中的驗(yàn)證過程包括通過從客戶端得到的私鑰對用戶帳戶、信息體和指紋進(jìn)行解密����,解密后與服務(wù)端進(jìn)行權(quán)限驗(yàn)證。
[0027]進(jìn)一步����,所述服務(wù)端包括鑒權(quán)服務(wù)集群和業(yè)務(wù)服務(wù)集群,所述客戶端通過路由服務(wù)端與所述鑒權(quán)服務(wù)集群和業(yè)務(wù)服務(wù)集群連接進(jìn)行數(shù)據(jù)傳輸�。
[0028]進(jìn)一步,所述第(7)步中,包括將用戶密鑰存放在服務(wù)端的緩存中的步驟��。
[0029]進(jìn)一步�,所述客戶端為手持終端、個(gè)人PC或車載終端��。
[0030]本發(fā)明的有益效果是:
[0031](I)不用申請證書�,為中小型企業(yè)節(jié)省證書申請維護(hù)費(fèi)用;
[0032](2)數(shù)據(jù)傳送幾乎不增加額外的流量�;
[0033](3)自身生成令牌綁定自身,進(jìn)一步增加了安全性����;
[0034](4)不可重復(fù)提交,使攻擊性請求無處藏身��。
【附圖說明】
[0035]附圖1是本發(fā)明的鑒權(quán)方法的流程圖��;
[0036]附圖2是加密鑒權(quán)系統(tǒng)架構(gòu)圖��;
[0037]附圖3是加密鑒權(quán)系統(tǒng)的另一種架構(gòu)圖�����。
【具體實(shí)施方式】
[0038]下面結(jié)合附圖對本發(fā)明指紋加密鑒權(quán)方法的【具體實(shí)施方式】作詳細(xì)說明�����。
[0039]參見附圖1�,指紋加密鑒權(quán)方法的步驟如下:
[0040](I)用戶在客戶端提出加密資料申請?���?蛻舳诉m用于各種終端,比如手持終端�、個(gè)人PC或車載終端等。
[0041](2)客戶端給用戶下發(fā)加密方案����。
[0042](3)用戶提供帳戶信息并提取指紋。
[0043](4)客戶端對帳戶信息和指紋加密后發(fā)送到服務(wù)端���,生成令牌�����,加密過程包括第一級用戶名密碼加密���、第二級消息體加密和第三級指紋加密。服務(wù)端包括鑒權(quán)服務(wù)集群和業(yè)務(wù)服務(wù)集群���,客戶端通過路由服務(wù)端與所述鑒權(quán)服務(wù)集群和業(yè)務(wù)服務(wù)集群連接進(jìn)行數(shù)據(jù)傳輸�。其中第一級加密為rsa加密,第二級加密為對稱加密���,第三級加密為md5加密����。
[0044](5)服務(wù)端攔截客戶端請求�����,提取令牌信息��,判斷指紋的合法性以及指紋和請求的唯一性�;如果相似請求已經(jīng)存在或指紋不合法,則終止鑒權(quán)�����,否則進(jìn)入下一步���。
[0045](6)對所述請求和指紋進(jìn)行驗(yàn)證;如果驗(yàn)證通過則進(jìn)入下一步�,否則終止鑒權(quán)。其驗(yàn)證過程是從客戶端得到的私鑰對用戶帳戶、信息體和指紋進(jìn)行解密���,解密后與服務(wù)端進(jìn)行權(quán)限驗(yàn)證�。
[0046](7)登陸成功�,進(jìn)入具體業(yè)務(wù)接口。并將用戶密鑰存放在服務(wù)端的緩存中的步驟���。
[0047]參見附圖2���,指紋加密鑒權(quán)的系統(tǒng)架構(gòu)包括從客戶端連接的代理服務(wù)器、路由服務(wù)器以及鑒權(quán)服務(wù)集群�����,用戶通過客戶端輸入帳戶及指紋���,連接至服務(wù)端����,通過上述加密鑒權(quán)方法實(shí)現(xiàn)鑒權(quán)�����。
[0048]參見附圖3,通過路由服務(wù)器連接鑒權(quán)服務(wù)集群和業(yè)務(wù)服務(wù)集群��,使鑒權(quán)服務(wù)集群對業(yè)務(wù)服務(wù)集群實(shí)現(xiàn)權(quán)限分配�����,使用戶通過鑒權(quán)對業(yè)務(wù)服務(wù)集群進(jìn)行權(quán)限操作�����。
[0049]以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式���,應(yīng)當(dāng)指出��,對于本技術(shù)領(lǐng)域的普通技術(shù)人員���,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤飾��,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍����。
【主權(quán)項(xiàng)】
1.一種指紋加密鑒權(quán)方法,其特征在于:包括如下步驟: (1)用戶在客戶端提出加密資料申請�����; (2)客戶端給用戶下發(fā)加密方案�����; (3)用戶提供帳戶信息并提取指紋���; (4)客戶端對帳戶信息和指紋加密后發(fā)送到服務(wù)端�,生成令牌�,所述加密過程包括第一級用戶名密碼加密、第二級消息體加密和第三級指紋加密�����; (5)服務(wù)端攔截客戶端請求�,提取令牌信息,判斷指紋的合法性以及指紋和請求的唯一性����;如果相似請求已經(jīng)存在或指紋不合法,則終止鑒權(quán)��,否則進(jìn)入下一步����; (6)對所述請求和指紋進(jìn)行驗(yàn)證�;如果驗(yàn)證通過則進(jìn)入下一步�,否則終止鑒權(quán); (7)登陸成功�,進(jìn)入具體業(yè)務(wù)接口。
2.根據(jù)權(quán)利要求1所述的指紋加密鑒權(quán)方法��,其特征在于:所述第(4)步中的第一級加密為rsa加密����,第二級加密為對稱加密,第三級加密為md5加密����。
3.根據(jù)權(quán)利要求1所述的指紋加密鑒權(quán)方法,其特征在于:所述第(6)步中的驗(yàn)證過程包括通過從客戶端得到的私鑰對用戶帳戶����、信息體和指紋進(jìn)行解密,解密后與服務(wù)端進(jìn)行權(quán)限驗(yàn)證�����。
4.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的指紋加密鑒權(quán)方法�����,其特征在于:所述服務(wù)端包括鑒權(quán)服務(wù)集群和業(yè)務(wù)服務(wù)集群,所述客戶端通過路由服務(wù)端與所述鑒權(quán)服務(wù)集群和業(yè)務(wù)服務(wù)集群連接進(jìn)行數(shù)據(jù)傳輸�。
5.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的指紋加密鑒權(quán)方法���,其特征在于:所述第(7)步中�����,包括將用戶密鑰存放在服務(wù)端的緩存中的步驟�����。
6.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的指紋加密鑒權(quán)方法�,其特征在于:所述客戶端為手持終端����、個(gè)人PC或車載終端。
【專利摘要】本發(fā)明涉及互聯(lián)網(wǎng)通信安全保障技術(shù)領(lǐng)域����,公開了一種指紋加密鑒權(quán)方法,用戶在客戶端提出加密資料申請�;客戶端給用戶下發(fā)加密方案����;用戶提供帳戶信息并提取指紋��;客戶端對帳戶信息和指紋加密后發(fā)送到服務(wù)端,生成令牌��;服務(wù)端攔截客戶端請求�,提取令牌信息����,判斷指紋的合法性以及指紋和請求的唯一性;如果相似請求已經(jīng)存在或指紋不合法��,則終止鑒權(quán)���,否則對所述請求和指紋進(jìn)行驗(yàn)證�;如果驗(yàn)證通過則登陸成功���,進(jìn)入具體業(yè)務(wù)接口否則終止鑒權(quán)�。本發(fā)明自身生成令牌綁定自身����,進(jìn)一步增加了安全性����,不可重復(fù)提交����,使攻擊性請求無處藏身。
【IPC分類】H04L29-06
【公開號】CN104852928
【申請?zhí)枴緾N201510293384
【發(fā)明人】姜綿岳, 崔婷婷
【申請人】上海雷騰軟件股份有限公司
【公開日】2015年8月19日
【申請日】2015年6月1日