[发明专利]一种Restful移动交易系统身份认证防护方法

摘要

本发明设计一种Restful移动交易系统身份认证的方法，属于网络安全的身份认证领域领域。在基于轻量级的Restful Web服务架构下，采用安全的Restful‑Security协议，在协议的认证模块，设计一种基于动态验证加密令牌方式的身份认证防护策略。本发明的上述移动交易系统身份认证采用基于Restful的移动交易系统总体架构，在功能层实现对用户、商户和安全的统一管理。采用一种动态验证加密令牌方式的身份认证防护策略，防止攻击者在令牌的有效时间内获得对令牌的控制，实施不法行为进而明显提高了交易的安全性。

主权项

一种Restful移动交易系统身份认证防护方法，其特征在于：所述身份认证防护方法包括：（1）搭建基于Restful的移动交易系统总体架构；（2）运行Restful‑Security安全协议的安全模型；（3）用户登录以动态验证加密令牌方式进行身份认证防护方法；所述身份认证方法通过以下步骤实现：（1）新用户通过客户端向认证服务器端发出创建令牌资源的请求，请求的表单中内容包含用户名和密码认证信息；（2）服务器端对用户信息进行认证，通过认证后，将登录用户信息作为令牌的一部分生成用户Token；（3）对令牌除去Token ID以外的部分进行加密，形成加密后的密文令牌；（4）将加密过的令牌返回给客户端，将令牌存放在客户端的Cookie中；（5）当客户端向其它应用服务提出任何服务请求时，客户端根据令牌ID和相应算法生成验证码，并发送至用户绑定的手机；（6）客户端将用户输入的验证码添加至加密令牌的首部，然后连同服务请求一起提交给应用服务器；（7）应用服务器收到具有验证码的令牌后，向认证服务请求令牌验证和解析服务，将加密后密文作为令牌资源的ID提交给认证服务；（8）认证服务验证令牌的合法性；（9）对于合法的令牌，认证服务根据密钥将密文解密，成功解密认为Token是有效的，否则认为Token无效；（10）认证服务根据客户端IP地址及Token的有效时间进一步验证令牌的有效性；（11）认证服务根据新的请求时间重新制作新Token；（12）将新Token经过同样加密，变成密文；（13）如果认证通过，则将令牌中的登录用户信息返回，同时将新生成的令牌返回应用服务；（14）应用服务获取登录用户信息，完成后续请求的应答；（15）应用服务将认证服务返回的新令牌通过Cookie设置方式替换客户端的旧令牌，应用服务器端也不保存用户的登录信息，这样客户端在下次向应用服务发出请求就使用新的令牌，重复（5）到（15）步骤。