[发明专利]请求消息的安全校验方法、系统和装置

说明书

技术领域

本发明涉及计算机科学技术领域，特别涉及一种请求消息的安全校验方法、系统和装置。

背景技术

随着互联网的发展，衍生出了各式各样的网络服务和应用，用户在互联网上可以浏览新闻、交友、求职等等。互联网为用户提供了丰富的资源，随着网络互动的日益频繁，网络安全也成为人们日益关注的焦点之一。

客户端与服务器之间的请求消息是网络中常见的一种通信形式，然而普通的客户端请求消息无加密措施，信息暴露在网络中，造成安全隐患，而现有网络协议加密，例如HTTPs(Hypertext Transfer Protocol Over Secure Socket Layer)，是一种以安全为目标的HTTP通道，由SSL(Secure Socket Layer，安全套接层)+HTTP协议构建的可进行加密传输、身份认证的网络协议。与普通HTTP请求不同，HTTPs需要申请单独的域名和端口号，并且使用的SSL数据加密校验消耗较大。

发明内容

本发明旨在至少解决现有技术中存在的技术问题之一。为此，本发明的一个目的在于提出一种请求消息的安全校验方法，通过服务器和客户端对比密钥来判断请求消息的合法性，可以使用HTTP完成，简洁的同时保证了服务的安全性。

本发明的第二个目的在于提出一种请求消息的安全校验系统。

本发明的第三个目的在于提出一种客户端。

本发明的第四个目的在于提出一种服务器。

本发明的第五个目的在于提出一种请求消息的安全校验方法。

为达到上述目的，本发明第一方面的实施例提出了一种请求消息的安全校验方法，包括以下步骤：客户端生成请求消息，并在所述请求消息中添加所述客户端的设备信息；所述客户端根据所述请求消息中的关键字段和所述设备信息生成密钥，并将所述密钥添加至所述请求消息；所述客户端将所述请求消息发送至服务器，以供所述服务器根据所述请求消息中的关键字段、设备信息及所述密钥对所述客户端进行安全校验。

根据本发明实施例的请求消息的安全校验方法在请求消息中追加客户端设备的信息、关键字段以及客户端生成的密钥，同时服务器通过提取请求消息中的相关信息计算得到密钥，与客户端发送的密钥比较来判断请求合法性。使用普通的HTTP协议也可智能的进行判断，尤其对于不同协议请求，该方法可以有效的判断请求来源的合法性，保证了服务的安全性，同时安全验证方面消耗相对较小。

在本发明的一个实施例中，所述客户端根据所述请求消息中的关键字段和所述设备信息生成密钥进一步包括：所述客户端根据排序算法对所述关键字段和所述设备信息进行排序；所述客户端根据加密算法对所述排序后的所述关键字段和所述设备信息进行加密以生成所述密钥。

在本发明的一个实施例中，所述排序算法和所述加密算法为预设在所述客户端中。预设算法产生的密钥安全性较低，更改算法需要同步客户端和服务器，比较受限制。

在本发明的一个实施例中，所述排序算法和所述加密算法由所述服务器动态地发送至所述客户端。此种方式中的排序和加密算法受服务器控制，可以动态变化。服务器可以修改客户端端的密钥生成规则，安全性高，灵活性好。

在本发明的一个实施例中，所述加密算法为不可逆加密算法。不可以加密算法安全性高，不容易被破解。

在本发明的一个实施例中，所述服务器根据所述请求消息中的关键字段、设备信息及所述密钥对所述客户端进行安全校验进一步包括：所述服务器提取所述请求消息中的关键字段和设备信息；所述服务器根据提取的所述关键字段和设备信息生成待验证密钥；所述服务器判断所述待验证密钥与所述请求消息中的密钥是否一致；如果判断一致，则所述服务器判断所述请求消息通过安全校验。

在本发明的一个实施例中，所述服务器根据提取的所述关键字段和设备信息生成待验证密钥进一步包括：所述服务器根据排序算法对提取的所述关键字段和所述设备信息进行排序；所述服务器根据加密算法对所述排序后的所述关键字段和所述设备信息进行加密以生成所述密钥。

在本发明的一个实施例中，所述客户端和所述服务器之间所使用的排序算法和加密算法相同。

本发明第二方面的实施例提出了一种请求消息的安全校验系统，包括客户端和服务器。其中，客户端用于生成请求消息，并在所述请求消息中添加所述客户端的设备信息，以及根据所述请求消息中的关键字段和所述设备信息生成密钥，并将具有所述密钥的所述请求消息发送至服务器；所述服务器用于根据所述请求消息中的关键字段、设备信息及所述密钥对所述客户端进行安全校验。