本發明專利技術公開了一種面向云平臺接口鑒權簽名方法,包括以下步驟:S1、申請安全憑證:在統一云平臺中申請SecretId和SecretKey,其中,SecretId是用于標識API調用者的身份,SecretKey是用于加密簽名字符串和服務器端驗證簽名字符串的密鑰;S2、生成簽名:根據S1申請的安全憑證,并結合區域參數、時間戳參數和隨機正整數參數生成簽名;S3、進行接口調試測試:對生成的簽名進行驗證,簽名驗證通過后即可以訪問云平臺的接口。本發明專利技術利用加密技術、數據庫訪問與多事務處理技術,實現數據接口鑒權訪問,可保證訪問接口數據傳輸互不干擾,安全高速。
【技術實現步驟摘要】
本專利技術屬于計算機數據安全與管理
,具體涉及一種面向云平臺接口鑒權 簽名方法。
技術介紹
隨著云計算和互聯網絡的蓬勃發展,許多系統和平臺都將面臨海量數據,而且這 些數據量都以爆炸式的速度遞增,這直接導致許多軟件架構越來越龐大,處理能力也越來 越強,而支撐這些軟件運行,為用戶提供服務的基礎正是這些龐大的海量數據,對于軟件服 務而言,不僅需要面臨大量的數據,還面臨著來自不同接口的數據,包括來自不同業務系 統、分布式數據存儲等環境。目前,對于來自單一接口的海量數據,許多數據庫服務都提供了強大的處理能力, 但由于各個平臺都只保存了本系統的授權數據安全,而對于復雜的軟件系統而言,往往需 要同時處理來自不同系統的授權接口數據,這就需要提供一種高效的接口鑒權簽名訪問方 法,同時需要保住在訪問過程中,這些不同的授權用戶數據相互隔離,互不影響,保證數據 的安全性和完整性。 針對目前軟件系統日趨龐大,數據結構越來越復雜,特別是云計算技術的發展,使 得軟件需要處理的數據來源不再是單一的目標系統,而可能是多個不同的平臺的協作,傳 統的接口訪問技術僅能在一個軟件系統中操作單個系統的接口,雖然有一些改進技術可以 通過配置實現多個接口地址的訪問,但這些技術實質上只是對單一接口訪問技術的簡單擴 展,需要事先指定需要訪問的接口、用戶名、密碼等相關的參數,也就是說,必須事先設置目 標接口參數,不能統一的對接口鑒權進行擴展,這并不符合安全、便捷的接口訪問的要求。 綜上所述,對接口鑒權簽名方法包括兩個方面:一是簽名串的生成,即通過申請的 SecretId組裝成平臺可識別的簽名串;二是接口查詢,即通過簽名串能夠有權限查詢目標 數據。
技術實現思路
本專利技術的目的在于克服現有技術的不足,提供最一種利用加密技術、數據庫訪問 與多事務處理技術,實現數據接口鑒權訪問,可保證訪問接口數據傳輸互不干擾,安全高速 的面向云平臺接口鑒權簽名方法。 本專利技術的目的是通過以下技術方案來實現的:一種面向云平臺接口鑒權簽名方 法,包括以下步驟:S1、申請安全憑證:在統一云平臺中申請Secretld和SecretKey,其中,Secretld 是用于標識API調用者的身份,SecretKey是用于加密簽名字符串和服務器端驗證簽名字 符串的密鑰;S2、生成簽名:根據S1申請的安全憑證,并結合區域參數、時間戳參數和隨機正整 數參數生成簽名; S3、進行接口調試測試:對生成的簽名進行驗證,簽名驗證通過后即可以訪問云平 臺的接口。 進一步地,所述的步驟S2包括以下子步驟: S21、對參數排序:對請求參數按參數名做字典序升序排列; S22、拼接請求字符串:把S21排序好的請求參數格式化成key=vavlue的格式, 然后用拼接在一起; S23、拼接簽名原文字符串:對簽名原文進行拼接,得到簽名字符串,其拼接規則 為:請求方法+請求主機+請求路徑+ ?+請求字符串; S24、生成簽名:云平臺API使用HMAC-SHA1算法對S23得到的簽名原文字符串進 行加密,并結合SecretKey生成簽名:拼接簽名原文字符串+加密密鑰=獲取的簽名; S25、添加簽名,向服務器發送驗證請求。 進一步地,所述的步驟S24的生成簽名算法的具體實現過程如下: S241、填充附加位:填充使消息報文長度512取模余64bit,填充長度范圍為1到 512,最高位為1,其余為0 ; S242、附加報文長度:把一個64bit塊的報文附加在上述報文之后,從而達到 512bit的倍數; S243、初始化MD緩沖區:使用160位來存放哈希函數的初始變量、中間摘要及最終 摘要,緩存前進行初始化,并給初始變量賦值; S244、進入消息處理主循環,一次處理512bit,共有4輪,每輪20次操作; S245、將初始變量的賦值級聯后作為初始輸出,消息處理主循環運算完成后就輸 出160bit的消息摘要。 進一步地,所述的步驟S25包括以下步驟: S251、請求參數中添加步驟S24生成的簽名,并且對簽名進行UrlEncode,得到最 終的請求Url; S252、發送HTTPS協議的請求即可得到JS0N字符串格式的接口返回值。 本專利技術的有益效果是:提供了一種安全的接口鑒權訪問方法,可完成對云平臺中 所有提供的接口進行安全的訪問與管理,利用加密技術、數據庫訪問與多事務處理技術,實 現數據接口鑒權訪問,可根據軟件系統的需要擴展接口的多重檢驗方式,保證訪問接口數 據傳輸互不干擾,安全高速,從而克服傳統軟件對接口操作的單一性和低效性,可廣泛應用 于需要同時訪問云平臺接口數據的軟件開發環境。【附圖說明】 圖1為本專利技術的接口鑒權簽名方法流程圖; 圖2為本專利技術的單個512塊SHA-1處理邏輯圖。【具體實施方式】 本專利技術使用的現有技術主要涉及如下方面: KSpringSecurity SpringSecurity是一個能夠為基于Spring的企業應用系統提供聲明式的安 全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring控制反轉技術(InversionofControl),依賴注入(Dependency Injection)和面向切面編程技術功能,為應用系統提供聲明式的安全訪問控制功能。 2、HibernateValidator 數據校驗是任何一個應用程序都會用到的功能,無論是顯示層還是持久層。相同 的校驗邏輯會分散在各個層,開發人員經常會把這些校驗邏輯直接寫在領域模型里面,但 是這樣又把領域模型代碼和校驗代碼混雜在了一起,而這些校驗邏輯更應該是描述領域模 型的元數據。 HibernateValidators是驗證定義了元數據模型和API。默認的元數據模型是通 過Annotations來描述的,但是也可以使用XML來重載或者擴展。BeanValidationAPI并 不局限于應用程序的某一層或者哪種編程模型。 3、加密技術 HMAC:根據RFC2316(R印ortoftheIAB,April1998),HMAC(散列消息身份驗 證碼:HashedMessageAuthenticationCode)以及IPSec被認為是Interact安全的關鍵 性核心協議。它不是散列函數,而是采用了將MD5或SHA1散列函數與共享機密密鑰(與公 鑰/私鑰對不同)一起使用的消息身份驗證機制。基本來說,消息與密鑰組合并運行散列 函數。然后運行結果與密鑰組合并再次運行散列函數。這個128位的結果被截斷成96位, 成為MAC.HMAC主要應用在身份驗證中,它的使用方法是這樣的: 1、客戶端發出登錄請求(假設是瀏覽器的POST請求); 2、服務器返回一個隨機值,并在會話中記錄這個隨機值; 3、客戶端將該隨機值作為密鑰,用戶密碼進行HMAC運算,然后提交給服務器; 4、服務器讀取用戶數據庫中的用戶密碼和步驟2中發送的隨機值做與客戶端一 樣的HMAC運算,然后與用戶發送的結果比較,如果結果一致則驗證用戶合法在這個過程 中,可能遭到安全攻擊的是服務器發送的隨機值和用戶發送的HMAC結果,而對于截獲了這 兩個值的黑客而言這兩個值是沒有意義的,絕無獲取用戶密碼的可能性,隨機值的引入使 HMAC只在本文檔來自技高網...
【技術保護點】
一種面向云平臺接口鑒權簽名方法,其特征在于,包括以下步驟:S1、申請安全憑證:在統一云平臺中申請SecretId和SecretKey,其中,SecretId是用于標識API調用者的身份,SecretKey是用于加密簽名字符串和服務器端驗證簽名字符串的密鑰;S2、生成簽名:根據S1申請的安全憑證,并結合區域參數、時間戳參數和隨機正整數參數生成簽名;S3、進行接口調試測試:對生成的簽名進行驗證,簽名驗證通過后即可以訪問云平臺的接口。
【技術特征摘要】
【專利技術屬性】
技術研發人員:楊煒林,
申請(專利權)人:成都康賽信息技術有限公司,
類型:發明
國別省市:四川;51
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。