SMG-wscomm-Msession-ECToken一种基于加密CookieToken免登录认证动态令牌技术的制作方法

smg-wscomm-msession-ectoken一种基于加密cookietoken免登录认证动态令牌技术
技术领域
1.本发明为一种新型的基于msession-ectoken，encryptcookie token加密 cookie令牌信息；将用户基础信息打包加密存入cookie，设定一个有效期如30 天过期，30天后重新登录isbs/mbs可迭代超级商城可重新获取动态令牌；动态令牌，动态令牌不同于传统令牌；动态令牌，可包含用户基础信息属性，以及用户流密钥包括周期性数据刷新不需要服务端永久存储的数据；通过对ectoken 解密读取信息，而解密逻辑在服务端完成，无密码在客户端很难攻破；且ectoken 支持多种密码学混合加密，ectoken就像微数据库的一道防火墙，访问权限仅限于服务端解密，ectoken采用高强度，高效率，高压缩比的magicnumberencrypt 幻数加密(参同期专利)，动态令牌技术是http无状态协议，只有持有令牌，服务端成功解密，即可访问，不然，则进入isbs/mbs可迭代超级商城进行登录重新授权，默认有效期为30天。
2.本项发明，为smg-vme可迭代分布式操作系统,smg-vme-afs可迭代分布式存储系统,isbs/mbs可迭代超级商城登录动态令牌认证安全访问价值，亦可用于未来数字钱包的核心模块。
3.本项发明，为smg-vme系列下软件工程实现的社会使命。
4.本项发明，本发明可以用于并行计算，分布式计算，实现超计算，超存储的万物互联共享经济的核心数据加密，防篡改的一道微信息加密集装箱，是为智慧经济建立基础。
5.专利审查：截至2022-06-01网络搜索暂无同案例


背景技术：

6.本发明主要应用在工业互联网，万物智能互联，分布式计算，万物互联数据加密交换，智能令牌认证技术，目前网站认证有小规模的 session,memsession,cookie认证，token认证；前2者安全性高，但不支持大规模用户访问，耗费服务器内存；cookie不加密安全性差，token认证，无法读取用户基本核心数据，或需要查数据库，增加服务器磁盘io资源；本发明是综合几种考虑自研发了加密ectoken存放在cookie的智能动态令牌技术，ectoken采用自研发的幻数加密高效，高速加密、解密技术存储在用户端cookie，因为公共密钥不传输，近在服务端进行解密token；具有较高的安全性，本发明仅耗费少量的cpu计算资源，2.3k网络io资源，不占用服务器内存，与磁盘io,极大的提高服务器性能。


技术实现要素：
附图说明
8.图1是msession-ectoken类功能组件图；1 msession位于wscomm.jar servlet组件
2 mbs/isbs可迭代超级商城3 用户浏览器101 settoken更新usertoken102 gettoken解密读usertoken103 gensn_tlsp基于tlsp算法流密钥发生器，周期1分钟变动一次。
9.104 eset/eget加密cookie set/get105 mset/mget服务端内存memsession.set/get(仅限登录时临时使用用户自动过期)106 set/get通过wcookie类操作cookie201 mbs/login202 mbs/register203 mbs/ipsc ipsc无痕js otp密钥发生器(参专利)图2是ectoken动态令牌颁发；调用逻辑：101令牌颁发－》用户402注册－》数据存储于4 afs(分布式存储)buser分节点－》401在isbs/mbs超级商城登录-》从4 afs加载基础信息-》1010101 user.p-》10101 msession.setp(p)写令牌－》p.tostr()-》&
…
＝字串－》s-》10102 magicnumberencrypt.encrypt(k,s)幻数加密-》10103 base84.encodeint2base84将密文s转为base84 ascii码s－》10105设定token有效期30天，通过10104 wcookie.set(request,”user”,s)；-》10106 cookie:user＝”密文”令牌颁发结束；图3是ectoken动态令牌读取；102令牌读取-》gettoken用户访问-》2 mbs/isbs服务网站-》10206 cookie：user＝密文－》10201 getp-》10202 magicnumberencrypt.decrypt(k,s)s＝10206 cookie:user 密文—》10203 base84.decode-》解密出明文s-》10204,10205读取chkexpired令牌是否过期(如果有签名则识别签名有效)-》截取用户区块数据明文-》s＝&
…
＝字符串
ꢀ‑
》1020201 putter.string2p(p,s)得到putter实例数据-》1020101 user user＝user.i(p) 仅限user对象反序列化生成user实例-》202 user.isuserinrole()识别合法用户－》 令牌读取结束；图4是103gensn_tlsp基于tlsp算法实现的流密钥发生器；103-》产生10301 otp_sn(1分钟过期)－》1030101 wap.conf.pgetuser(request) mbs业务前端配置公共函数进行过滤并提取流密钥otp_sn,比较当前 user.p.get(“aes.sn”),user.p.get(“esn”)为通关203ipsc模块必须的sn密文－》 如果比较二者不相等，则证明user aes.sn已经过期(1分钟有效)-》即用 otp_sn＝gensn_tlsp读的流密钥写入p,操作如下user.p.set(“aes.sn”,otp_sn)；同时对sn的js格式用aes进行加密得esn,同样写入putter user.p.set(“esn”,esn)；因user.p数据有更新必须刷写会浏览器cookie才能生效，msession.setp(user.p)即可(同101令牌颁发)这个过程在1030101模块产生-》1030101虽然存储在 ectoken，其本质跟存在服务端本地内存无差别因为加密存储，无法被
窃取－》 通过203 ip.jsp，ipsc.js esn无缝隙传递给js客户端.正常用户通过浏览器计算得到 otp_sn用此密钥进行签名1分钟过期；一旦过期而在1030101 conf.pgetuser 模块又重载入新的密钥，表现在web端密钥过期提示：“签名不通过，返回刷新重新提交”，照做即可进行完成交易，个别情况ip变动导致签名不通过只有重新登录即可解决.
‑‑‑‑‑‑‑‑‑‑‑‑‑
发明要义：1.一种基于cookie高效高倍压缩加密的动态免登录令牌认证技术,其特征如下:1.1 settoken token令牌颁发其特征:1.1.1 setp putter对象(参专利)1.1.1.1 putter p《＝user.p《＝afs《＝user::register用户数据来源于提前注册/或导入于afs可迭代分布式存储系统(参专利)；在最近一次成功登录系统后,在user 模块通过afs返回putter实例p,过滤敏感信息后返回基础信息给,通过user.i(p) 对user对象反向实例化(p为&
…
＝对用户基础数据).1.1.1.2 mbs login输入账户密码,产生user.p对象实例,其数据来自401 buser,afs 可迭代分布式(量子)存储；1.2 eset加密令牌,其特征:1.2.1基于1.1.1 user.p.tostr()以&..＝..数据对格式输出1.2.2基于1.2.1采用 10102 magicnumberencrypt.encrypt(参同期专利)进行安全加密,key＝pk+$usrid pk不公开,每用户密钥不同；1.2.3基于1.2.2采用10103 base84.encodeascii2base84编码(适合url传输)输出,base84/60(参同期专利).1.2.4基于1.2.2,1.2.3生成密文准备-》$e1.2.5基于1.2.4采用10205 wsdate设定+30日的8位过期数字yyyymmdd,并以$e-$yyyymmdd＝》$user；并设定cookie有效期为$yyyymmdd对应的秒；1.2.6基于1.2.5产生封装密文$user以10106 wcookie模块写cookie:user＝$user 写入用户端,token令牌颁发完成；1.3 gettoken令牌读取,其特征:1.3.1 getp putter对象1.3.1.1通过putter逆向字符串反序列化(&
…
＝字串转putter-》user对象): 10202 magicnumberencrypt.decrypt解密密文产生&..＝对字串＝》s,通过 putter.string2p(p,s)＝》生成putter实例p,即1020101 putter p；通过p转为user对象实例user u＝user.i(p)；因此模块常被web调用,且需要自刷新技术otp_tlsp密钥,到令牌,故放在user u＝wap.conf.pgetuser(request)；解密特征如下:按照箭头方向逆向1.3.2.1基于10206 cookie.get user密文；1.3.2.2基于1.3.2.1采用模块10202 magicnumberencrypt.decrypt进行安全解密；key＝pk+$usrid pk不公开,每用户密钥不同；1.3.2.3基于1.3.2.2采用10203 base84.decodebase84ascii解码输出明文-》$d；
1.3.2.4基于1.3.2.3解开,采用10205 chkexpired比较$expird比较是否过期,过期, 或解密失败则返回为空字符串；1.3.2.5基于1.3.2.4产生明文数据&..＝字符串＝》$d,基于1.3.1.1反序列化$d-》p-》 生成对象user u-》判断u.isuserinrole()对资源保护访问-》web应用端,token令牌解析完成。
10.基于1实现的msession-ectoken,其特征如下：2.1经幻数magicnumberencrypt加密数据对比，如下：实测基于1.1加密明文数据1422,产生密文长:2148加密压缩率150％；加密速度较 aes.encryptecb并base64.encode快73倍；是aes.encrypt转16进制编码编码长:2912,压缩率204％,幻数加密较后者快约4倍；加密编码数据对比最先进的aes加密算法数据对比见下：(测试环境eclipse+win7+jdk1.78,测试用例线上数据真实用户数据：含中英文数字符号内嵌加密包混合，密钥相同)经过对比数据幻数算法优势超出aes算法73倍，而压缩比只是比x1增加14％； 2.2基于1.1,1.2产生token,可存放任意类变成数据,但总密文长度不能超过 4k(cookie浏览器通常限制4096之内，而本算法压缩加密控制在稳定《＝2.3k)，满足实际需求；2.3基于2.2以及103 gensn_tlsp,otp_tlsp流密钥算法,自研发的tlsp算法 (参专利)的流密钥是1分钟有效,基于时间切片公平算法保障数据不重复，而非传统的随机，且因含基密钥发生器具有不可预测性,可用于订单,密钥发生器. 密钥长15位(经过base84/60编码可压缩到9位),末3位是基于基码轮询3位掩码, 共同组合按时间映射发生轮询；可应用于订单支付,购物，流密钥等信息安全领域，无论是否使用1分钟后自动作废，该流密钥发生器保障客户端调用otp_sn密钥降低流密钥风险；有助于在web客户端提交前进行动态无痕签名提交数据.2.3.1基于2.3流密钥特征如下:2.3.2用户打开支付10303购物车下单,10301-203 otp_tlsp密钥发生器发送临时密钥otp_sn-》$sn；2.3.3基于2.3.2通过usrid,ip,timedf js时间偏差变密钥为基数产生密钥发生器, 如果3种状态；任意改变一个则密钥作废；合法密钥有效期1分钟后作废,密钥发生器不可推测,timedf锁定web客户端与服务器时间校对误差，在最近一次登录时自动校对写入cookie,同时绑定ip,这样如果你在行使的火车上下订单系统会反复提示:”签名无效，返回重新刷新,继续进行”，并不能成功，因为行使的火车采用移动基站信息,行驶的火车，每经过一个地市ip会自动变化，除非重新登录，重置令牌，可在最短时间完成订单支付可以成
功，虽然稍麻烦，但更加保障了信息的防窃取操作；usrid保障了每个人的密钥是不同的，就算你破解，也仅仅是破解自己的信息，就算知道别人的usrid也没用，系统还存在一个全局共享私钥，共享私钥被系统调用，不公开；2.3.4基于2.3.2,2.3.3产生的流密钥在1.2.1.1 1030101conf.pgetuser(request)公告函数中动态加载并在web应用调用前无缝刷写入user token令牌，这样是主要特征于传统令牌，可以通过加密令牌传递信息给客户端，web js客户端与服务器存在一条秘密通道.2.3.5基于2.3.4,2.3.2采用203 ipsc(js无痕代码参专利)智能过滤技术通过js运算求得$sn,ipsc即秘密通道通过智能js计算，算出otp_sn，js代码通过片段加密混淆组装，求得sn,最后抹去算法本身，如果第一次求得sn失败，会智能重载，其特征是打开某一页面每隔1-3秒会刷新一俩次，此情况非病毒，可能是因为网络加载失败所致，自刷新加载密钥为用户做好准备，比如输入密码，提交购物车订单，支付等；2.3.6基于2.3.5,2.3.2在购物车提交数据前获得otp_sn；用之加密订单url提交；2.3.7基于2.3.6,1.2.1.1 u.p.get(“aes.sn”)读取sn通过md5/hash签名算法对sign 字段进行签名校验,aes.sn以aes算法加密存入令牌，该参数对用户不可见，加密存储存入cookie相对于存入服务器内存，esn为加密的js片段通过2.3.5ipsc解密,如果otp_tlsp密钥发生器产生的密钥过期,则服务端会自动更新之,并在 1.2.1.1动态加载user之前加密刷写入cookie,故在cookie:user加密存储,因采用 1.2.2 magicnumberencrypt.encrypt进行安全加密,key＝pk+$usrid pk不公开,每用户密钥不同；otp_sn在cookie端是密文嵌入user对象加密存储,故otp_sn是安全的,且在客户端生存期极短1分钟自动作废；2.3.8基于2.3.7如果otp_sn过期,则在用户提交数据下一个url动作(如微信支付页)服务端经过签名因为基于2.3.7自动采用的最新密钥,经过计算签名密钥必然与客户端不同,故提示:”签名过期,返回刷新重新提交”引导用户返回刷新操作即可校验签名通过,完成支付过程.2.3.9基于2.3.5ipsc客户端js加载,存有解密密钥otp_sn失败时,会有刷新自加载技术,表现个别页会自动屏闪,重加载几次,属正常现象。
11.一种基于otp_tlsp算法实现的流密钥发生器技术,其特征如下:3.1基于2.3实现了gensn_tlsp(string bsn,int maxsong)基于tlsp(参专利)算法，基于基数bsn,maxsong为基流的公平展示算法，其公平展示非随机不可预测展示，表现在产生流密钥的15位数字的末三位，并非是毫秒，而是基于tlsp 基于时间公平展示算法序号发生器；3.2其特征：前12位为时间精确到分后3位为tlsp掩码，在基数bsn,maxsong不改变时，再重复调gensn_tlsp方法，如果当前服务器时间在1分钟内，其返回值相同；而当服务器时间过了一分钟，在bsn,maxsong不改变时，再调该方法其值将发生改变，前12位最后一位分钟改变，且最后末三位也按照tlsp公平算法产生了刻度改变，其刻度变化规则不是随机，而沿着一个固定时空轨道公平推进，之所以不可预测因为基数bsn,maxsong俩个自变量在调用时存在不确定性，一旦其值确定，则后三位轨道即确定；3.3基于3.2算法保证了其不可预测性，简洁保证了流密钥的安全性；
3.4当服务端otp_sn密钥过期后，通过2.3.4通过putter将新产生的sn，aes 算法加密写入putter,并通告setp方法加密重新刷写cookie,这样用户重新刷新即获取了新的otp_sn密钥重新提交签名通过完成支付结算。
12.一种基于幻数定理的高倍高效压缩加密技术,其特征如下:基于2.1实现的高倍高效压缩加密技术，其特征表现4.1幻数加密压缩率为151％,压缩速度比最先进的aes+base64压缩率:137％, 幻数比其快73倍，aes+16(hex)进制：幻数比其快3.78倍，压缩率为 aes+16(hex)200％,(注：压缩率越低越好)；4.2基于利用幻数实现了isbs/mbs可迭代超级商城的令牌快算加密、解密功能使得可支持无登录令牌加密技术，并借助令牌加密实现微数据客户端存储；4.3利用幻数定理性质：幻数推导论证了该算法的安全性(详参幻数专利论证)。
13.一种基于msession-ectoken高安全高加密,防篡改的微存储技术,其特征如下:5.1基于4.3知幻数高安全性，基于2.3.3方案知可实现流密钥的安全加密存储，并支持对核心数据进行高强度加密存储并签名以防篡改；5.2基于5.1可实现对核心敏感数据取出通告加密微存入user令牌加密发送到客户端，进行数据离线处理；通告微存储(将数据存储cookie加密)有助于降低对数据库的频繁请求写操作；会聚一定量定时更新同步；使得实现离线计算。
14.一种基于msession-ectoken高可靠的离线存储技术,其特征如下:基于5实现了高安全加密信息，防篡改；将部分业务以离线(非连数据中心方式) 进行业务操作；比如动态更新机制，流密钥传递；用户属性数据传递，丢失不影响主业务；数据丢失重新登录重新颁发令牌即可。
15.一种基于msession-ectoken高可靠的离线结算技术,其特征如下:基于6实现了安全可靠数据信息交易，将小额订单结算可通过单元计算写入令牌，在下次联网前更新入网，合并计算；可减轻afs中心节点服务器压力，在服务器压力减轻时可通过时间异步刷写更新到中心节点，微计算，数据同步功能。
16.一种基于msession-ectoken可读取用户基础信息智能令牌技术,其特征如下:8.1基于1.3，putter p即用户user在afs可迭代分布式存储的数据copy,包含用户的基本信息身份信息，通过读取令牌调u.p.ls()即获取用户身份所有属性信息； 8.2可通关eset属性加密存储用户必要属性或临时属性用户即丢属性缓存在 cookie端加密存储，保障数据信息安全，比如时下核酸码用后3天作废，跟 otp_sn 1分钟过期一样，只不过不同的周期长度；8.3基于8.2可安全存储周期性状态数据，比如监控状态，此轮转速，水位的状态，电压负载，在离线节点计算，将汇总数据传入云端中性，减少非必要的信息传输。
17.一种基于msession-ectoken实现的无状态资源认证访问技术，其特征如下：9.1基于8动态令牌ectoken包含用户基础信息，并加密存于cookie-》user键；在https/http协议跨域请求资源时，需要httpproxy模块在常规post/get数据时加入head元素cookie字段，同时httpproxy预读取当前会话的cookie字段，将其复制给header:cookie属性再向第三方域名进行post/get动作操作，第三方域名服务商必须按本发明协议要求部署响应的ectoken令牌解读程序，会自动进行授权认证,
9.2因为ectoken是无状态认证技术，不会调用服务器，只会调cpu资源对令牌进行刷写与解读，故服务端的webserver:tomcat可随时重新启动，间隔时间短用户不会退出，不影响用户业务操作；9.3基于9.1,9.2可实现大规模服务集群扩展，并支持大规模在线用户访问，因为不占内存session。
18.现实意义：smg-wscomm-msession-ectoken一种基于加密cookietoken免登录认证动态令牌技术：本发明首选可应用于超大型服务网站用户免登录(只登录一次)无状态智能令牌认证；并支持跨域读取令牌，适合于后端数据用户端用户操作，接口调用操作，关键数据交易操作，如微信支付订单后进行订单智能结算帐务操作(本 isbs/mbs即用此功能)；还可用于新型区块链智能合约加密封装，微数据集装箱加密压缩封装，智能钱包离线结算操作，本发明利用自研发幻数定理，实现超算，高效加密，高压缩比，高安全性的智能合约，本发明可支持大规模用户无状态协议访问，具备低负载，低io，低内存技术特性。