[发明专利]一种基于HTTP协议端云安全通信的实现方法

说明书

本发明公开了一种基于HTTP协议端云安全通信的实现方法，包括设计一种安全API格式、在云端验证终端数据合法性过程中，设计新的终端签名数据的方式及云端验证终端签名数据的方式，在终端验证云端数据合法性过程中，设计新的云端签名的流程及终端验签的流程，其中，所述终端签名数据的方式包括签名数据的组合方式、body数据的排序方式及终端签名的流程。本发明的方法通过对接口的安全设计，可实现防伪装攻击、防篡改攻击、防重放攻击、防数据信息泄漏等安全功能，保证WEB接口通信的安全。

技术领域

本发明涉及互联网WEB安全通信技术领域，特别涉及一种基于HTTP协议端云安全通信的实现方法。

背景技术

互联网的蓬勃发展也伴随各种安全问题发生，特别是针对HTTP的通信接口存在很大的安全隐患，比如重放攻击的风险，数据明文的风险、接口数据被篡改、身份认证的风险，这些问题随着业务迅速增长，接口安全问题暴露越来越多，甚至影响到业务的运营。

发明内容

本发明的目的是克服上述背景技术中不足，提供一种基于HTTP协议端云安全通信的实现方法，通过对接口的安全设计，可实现防伪装攻击(如第三方有意或恶意的调用接口)、防篡改攻击(请求头/查询字符串/在传输过程被修改)、防重放攻击(请求被截获，稍后被重放或多次重放)、防数据信息泄漏(截获用户登录请求，截获到账号、密码等)等安全功能，保证WEB接口通信的安全。

为了达到上述的技术效果，本发明采取以下技术方案：

一种基于HTTP协议端云安全通信的实现方法，包括设计一种安全API格式、在云端验证终端数据合法性过程中，设计新的终端签名数据的方式及云端验证终端签名数据的方式，在终端验证云端数据合法性过程中，设计新的云端签名的流程及终端验签的流程，其中，所述终端签名数据的方式包括签名数据的组合方式、body数据的排序方式及终端签名的流程。

进一步地，所述安全API格式为：http://host:port/service？sign＝XXXappkey＝XXXnonce＝XXXtimestamp＝XXX，其中http://host:port/service表示正常业务接口；sign是签名值，appkey是业务参数，nonce是随机数据，timestamp是时间戳。

进一步地，所述云端验证终端数据合法性时具体为：根据请求参数，对签名进行验证，签名不合法的请求将会被拒绝，签名的数据用于计算摘要，所述签名数据的组合方式为：secretkey+(sort(body)+nonce+timestamp)+secretkey。

进一步地，所述body数据的排序方式包括：在post请求方式中，sort(body)为将body的json字符串约定以键名的ASCII升序排序；在get请求方式，sort(body)是将请求的业务参数，即将除sign、nonce、appkey、timestamp以外的参数按键名的ASCII升序排序。

进一步地，终端签名的流程包括：终端生成排序的业务数据sort(body)、随机数nonce，并根据appkey得到加密数据secretkey，然后向时间服务器请求时间戳并获取时间戳，再根据上述信息生成待签名数据：secretkey+(sort(body)+nonce+timestamp)+secretkey并进行签名，签名成功后生成签名值并发送签名值、随机数、时间戳及业务数据至业务平台进行验签，最后接收业务平台返回的验签结果。

进一步地，所述云端验证终端签名数据时验签的流程具体包括：

首先，云端先解析终端发出的报文数据，获取时间戳timestamp、随机数nonce、签名值及appkey，

云端向时间服务器请求时间戳并获取时间戳，并判断时间服务器返回的时间戳是否与报文的时间戳的差值在1分钟范围内，如果不在1分钟范围，则向终端返回验签不成功，否则，云端再对比签名值查看签名值是否在缓存中；