本發明公開了一種數字驗簽生成方法，所述方法包括：根據客戶端來源標識、用戶標識、http請求URI標識，進行加密生成密鑰串；基于所述密鑰串與拼接時間戳形成請求唯一性標識字段；基于客戶端請求通過JWT密鑰對公鑰部分解析令牌，獲取JWT內攜帶的用戶身份信息和JWT標識信息；將所述請求唯一性標識字段、所述用戶身份信息和所述JWT標識信息，處理為數字驗簽密鑰串，并存放在http請求頭部與JWT一起放送服務端。以及提供一種數字驗簽校驗方法，本發明實施例能防token重放攻擊，并校驗請求發起人身份與token一致性的機制。同時該機制采取了多級安全策略，適應不同場景下提供安全性和并發速度。

技術領域

本發明涉及工業互聯網的安全控制技術領域，尤其涉及一種加數字驗簽生成和校驗方法、系統。

背景技術

工業互聯網是全球工業系統與高級計算、分析、感應技術以及互聯網連接融合的一種結果。可以是通過開放的、全球化的工業級網絡平臺把設備、生產線、工廠、供應商、產品和客戶緊密地連接和融合起來，高效共享工業經濟中的各種要素資源，幫助制造業延長產業鏈。由于工業互聯網的重要性，其信息安全也是至關重要的。

現有技術客戶端生成隨機鹽(16位隨機字符串)，在客戶端和服務端session中各保存一份。客戶端提交登錄請求時，將md5之后的密碼與該隨機碼拼接后，再次執行md5，然后提交(提交的密碼＝md5(md5(密碼明文)+隨機碼)。后端接收到登錄請求后，將從數據庫中查詢出的密碼與session中的隨機碼拼接后，md5運算，然后與前端傳遞的結果進行比較一致就放行。前后端需要預先保存密碼，服務端需要用session存儲大量信息。校驗過程沒有安全等級劃分是一套流程。

發明內容

本發明的目的在于提供一種字符識別方法、裝置及存儲介質，旨在防止token重放攻擊，并校驗請求發起人身份與token一致性的機制。同時該機制采取了多級安全策略，適應不同場景下提供安全性和并發速度。

為了實現上述目的，一種數字驗簽生成方法，所述方法包括：

根據客戶端來源標識、用戶標識、http請求URI標識，進行加密生成密鑰串；

基于所述密鑰串與拼接時間戳形成請求唯一性標識字段；

基于客戶端請求通過JWT密鑰對公鑰部分解析令牌，獲取JWT內攜帶的用戶身份信息和JWT標識信息；

將所述請求唯一性標識字段、所述用戶身份信息和所述JWT標識信息，處理為數字驗簽密鑰串，并存放在http請求頭部與JWT一起放送服務端。

一種實現方式中，所述根據客戶端來源標識、用戶標識、http請求URI標識，進行加密生成密鑰串的步驟，包括：

根據客戶端來源標識、用戶標識、http請求URI標識，使用MD5加密生成密鑰串。

以及，提供了一種數字驗簽校驗方法，所述方法包括：

通過網關服務接收客戶端發送的請求信息；

判斷令牌是否有效；

如果是則，解析令牌，獲取目標信息，其中，所述目標信息包括：請求唯一性標識字段、客戶端標識、用戶標識、JWT標識信息和透傳數據驗簽；

基于所述目標信息，將請求轉發至下游業務服務；

基于業務服務解析簽名信息；

基于所述簽名信息以及安全策略，確認請求是否放行。

一種實現方式中，所述通過網關服務接收客戶端發送的請求信息的步驟，包括：

通過網關服務接收客戶端發送的請求信息，并校驗JWT有效性；

若無無效則對無效令牌網關服務立即返回。