基于前后端加密方法、装置、电子设备及存储介质与流程

本发明属于信息安全，更具体地，涉及一种基于前后端加密方法、装置、电子设备及存储介质。

背景技术：

1、自2006年以来，在全国范围内陆续发布了等级保护、分级保护等信息安全政策和执行标准。

2、参考专利文献cn202210486660.x公开了一种url参数防篡改的方法、装置、设备及存储介质，其中该方法包括接收业务数据串时生成时间戳；根据所述时间戳和业务数据串确定签名字符串；根据业务数据串、时间戳和签名字符串生成url；将url发送至运营方，以使运营方在完成对url中的签名字符串和时间戳的验证后，执行业务数据串对应的业务，但是此专利只适用于url类型的web请求,其局限性较低,无法适用多种类型的web后台接口的防参数篡改需求,并且此专利的局限性较高,其他系统要适配的情况下需要对原有系统进行大范围改造,本发明可以通过在生成url时加入时间戳，令url具有时效性，因暴力篡改通常需要较长时间，在本文url具有失时效性后，当url被暴力篡改后，也可以通过url的时效判断此url是否有效，降低了url被暴力篡改后修改其中某些参数所对合作方产生的影响。

3、现如今,主流的web应用系统,通常使用前端校验来规范用户在系统中的操作和行为,后台代码校验来限制用户的数据权限,但此模式容易被攻击者通过网络抓包后进行参数篡改来规避。

技术实现思路

1、针对现有技术存在的不足之处，本发明提出了一种基于前后端加密方法及系统，该方法可以适用多种风格的请求,包括url传值,body传值等,并且由于只是在请求前对参数进行生成数字签名操作,并不会对原有的业务逻辑产生影响,所以方案的扩展性很好,可以适配当下大多数的信息系统。

2、本发明采用如下技术方案：

3、一种基于前后端加密方法，它包括如下步骤，

4、前端获取加密用秘钥；

5、前端把请求后端用的所有非文件流参数进行加密处理生成数字签名，并将签名值放入请求后端服务接口的请求头中；

6、后端判断请求中如果请求头带有数字签名,则对请求进行数字签名的校验,校验逻辑同前台加密的规则和顺序一致,校验通过后进行正常业务,不通过时记录请求的信息。

7、本技术方案进一步的优化，所述加密处理具体是，前端将请求后端用的所有非文件流参数放入map,并将使用json转换函数将map转换为对应的json串；将生成json串按照统一码进行字符排序,并将排序后的结果转换为base64字符串；使用加密算法对base64串生成数字签名,并将签名值放入请求后端服务接口的请求头中。

8、本技术方案进一步的优化，所述加密算法为aes加密算法。

9、本技术方案进一步的优化，所述请求为http请求。

10、本技术方案进一步的优化，所述记录请求的信息包括请求的时间,发起请求的ip。

11、本技术方案进一步的优化，还设置网络黑名单用于存储校验不通过的请求信息。

12、一种基于前后端加密实现网络安全的装置，所述装置包括，

13、秘钥生成模块，用于前端获取加密秘钥；

14、加密模块，用于前端把请求后端用的所有非文件流参数进行加密处理生成数字签名，并将签名值放入请求后端服务接口的请求头中；

15、拦截模块，用于后端判断请求中如果请求头带有数字签名,则对请求进行数字签名的校验,校验逻辑同前台加密的规则和顺序一致,校验通过后进行正常业务,不通过时记录请求的信息。

16、本技术方案进一步的优化，所述加密处理具体是，前端将请求后端用的所有非文件流参数放入map,并将使用json转换函数将map转换为对应的json串；将生成json串按照统一码进行字符排序,并将排序后的结果转换为base64字符串；使用加密算法对base64串生成数字签名,并将签名值放入请求后端服务接口的请求头中。

17、一种电子设备，所述电子设备包括，

18、至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行如权利要求1至6中任意一项的基于前后端加密方法。

19、一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6中任意一项的基于前后端加密方法。

20、相对于现有技术，本发明具有如下有益效果：

21、本发明所提出对请求参数加密签名,验证的方法,可以有效的防止系信息系统被恶意抓包攻击,加密方式具有可拓展性和通用性,只需要原有系统进行小范围改动就可以实现,便捷,迅速的提高业务系统的安全等级,并且对系统原有业务不会产生大范围的影响。此方案适用于所有面向互联网的web信息系统,可以重点适用于政务类信息系统,现已税务监督系统上有了实现并取得了很好地防护效果,政务类信息系统由于面向社会大众,且系统信息敏感,数据安全,网络防护的压力较大,此专利方案可以快速提升此类系统的安全防护等级,有效的制止网络抓包攻击。

技术特征：

1.一种基于前后端加密方法，其特征在于：它包括如下步骤，

2.如权利要求1所述的基于前后端加密方法，其特征在于：所述加密处理具体是，前端将请求后端用的所有非文件流参数放入map,并将使用json转换函数将map转换为对应的json串；将生成json串按照统一码进行字符排序,并将排序后的结果转换为base64字符串；使用加密算法对base64串生成数字签名,并将签名值放入请求后端服务接口的请求头中。

3.如权利要求2所述的基于前后端加密方法，其特征在于：所述加密算法为aes加密算法。

4.如权利要求1或2所述的基于前后端加密方法，其特征在于：所述请求为http请求。

5.如权利要求1所述的基于前后端加密方法，其特征在于：所述记录请求的信息包括请求的时间,发起请求的ip。

6.如权利要求1所述的基于前后端加密方法，其特征在于：还设置网络黑名单用于存储校验不通过的请求信息。

7.一种基于前后端加密实现网络安全的装置，其特征在于：所述装置包括，

8.如权利要求7所述的基于前后端加密实现网络安全的装置，其特征在于：所述加密处理具体是，前端将请求后端用的所有非文件流参数放入map,并将使用json转换函数将map转换为对应的json串；将生成json串按照统一码进行字符排序,并将排序后的结果转换为base64字符串；使用加密算法对base64串生成数字签名,并将签名值放入请求后端服务接口的请求头中。

9.一种电子设备，其特征在于：所述电子设备包括，

10.一种计算机可读存储介质，存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现如权利要求1至6中任意一项的基于前后端加密方法。

技术总结
本发明属于信息安全技术领域，更具体地，涉及一种基于前后端加密方法、装置、电子设备及存储介质。它包括如下步骤，前端获取加密用秘钥；前端将请求后端用的所有非文件流参数放入map,并将使用json转换函数将map转换为对应的json串；将生成json串按照统一码进行字符排序,并将排序后的结果转换为base64字符串；使用加密算法对base64串生成数字签名,并将签名值放入请求后端服务接口的请求头中；后端判断请求中如果请求头带有数字签名,则对请求进行数字签名的校验,校验逻辑同前台加密的规则和顺序一致,校验通过后进行正常业务,不通过时记录请求的信息。

技术研发人员：李亦焘,李力伟,林震,王鹏,吴立军,王宇琴
受保护的技术使用者：内蒙古航天信息有限公司
技术研发日：
技术公布日：2024/1/11