本技術(shù)涉及身份認(rèn)證，尤其涉及一種基于hmac-sha256算法的動(dòng)態(tài)身份認(rèn)證方法、系統(tǒng)及介質(zhì)。

背景技術(shù)：

1、隨著網(wǎng)絡(luò)通信的發(fā)展，網(wǎng)絡(luò)信息安全的重要性越來越顯著，信息加密、數(shù)字簽名、數(shù)據(jù)的完整性認(rèn)證、身份驗(yàn)證等成為信息安全領(lǐng)域的重要內(nèi)容。消息認(rèn)證是一個(gè)過程，用以驗(yàn)證接收消息的真實(shí)性（由它所生成的實(shí)體發(fā)來的）和完整性（未被篡改、插入和刪除），同時(shí)還用于驗(yàn)證消息的順序性和時(shí)間性（未重排、重放、延遲）。其中，身份認(rèn)證是一種重要的安全機(jī)制，它可以幫助確認(rèn)消息的發(fā)送者是否都是可信的，以防止惡意攻擊。

2、現(xiàn)有基于哈希算法的認(rèn)證技術(shù)雖能保證消息完整性，但存在以下技術(shù)瓶頸：?靜態(tài)密鑰風(fēng)險(xiǎn)?：多數(shù)系統(tǒng)采用固定密鑰，長期使用易被暴力破解或密鑰泄露，例如金融交易系統(tǒng)中密鑰超過90天未更新導(dǎo)致的中間人攻擊事件?；?消息構(gòu)造單一性?：現(xiàn)有方法多為直接拼接認(rèn)證碼與數(shù)據(jù)，攻擊者可通過模式分析破解通信協(xié)議，物聯(lián)網(wǎng)設(shè)備因此產(chǎn)生的數(shù)據(jù)篡改率高達(dá)28%?；?同步機(jī)制缺失?：接收端缺乏有效的時(shí)間窗口驗(yàn)證機(jī)制，跨時(shí)區(qū)業(yè)務(wù)系統(tǒng)因時(shí)鐘偏差導(dǎo)致的認(rèn)證失敗率超15%。

技術(shù)實(shí)現(xiàn)思路

1、針對現(xiàn)有技術(shù)的上述不足，本技術(shù)提供一種基于hmac-sha256算法的動(dòng)態(tài)身份認(rèn)證方法、系統(tǒng)及介質(zhì)，以解決現(xiàn)有的動(dòng)態(tài)身份認(rèn)證方案存在?靜態(tài)密鑰易被暴力破解或密鑰泄露、采用固定排列的消息體結(jié)構(gòu)已破解、接收端缺乏有效的時(shí)間窗口驗(yàn)證機(jī)制的問題。

2、第一方面，本技術(shù)提供了一種基于hmac-sha256算法的動(dòng)態(tài)身份認(rèn)證方法，方法包括：

3、按照預(yù)設(shè)發(fā)送間隔，自動(dòng)向發(fā)送方和接收方發(fā)送當(dāng)前預(yù)設(shè)發(fā)送間隔內(nèi)的數(shù)據(jù)密鑰、身份認(rèn)證碼、預(yù)設(shè)分隔符、預(yù)設(shè)排列組合方式；

4、發(fā)送方將身份認(rèn)證碼、服務(wù)器時(shí)間戳以及消息明文按照預(yù)設(shè)排列組合方式進(jìn)行排列組合，并以預(yù)設(shè)分隔符分隔開來，組成消息體；通過hmac-sha256算法利用數(shù)據(jù)密鑰將消息體加密處理后，進(jìn)行base64轉(zhuǎn)碼，獲得最終消息體，將最終消息體發(fā)送至接收方；

5、當(dāng)接收方接收到最終消息體時(shí)，用base64解碼，再使用數(shù)據(jù)密鑰獲取消息體；利用預(yù)設(shè)排列組合方式和預(yù)設(shè)分隔符拆解消息體；當(dāng)消息體內(nèi)的服務(wù)器時(shí)間戳在預(yù)設(shè)同步間隔內(nèi)時(shí)，進(jìn)行身份認(rèn)證碼驗(yàn)證，以在驗(yàn)證成功后接收消息明文。

6、在本技術(shù)的一種實(shí)現(xiàn)方式中，在按照預(yù)設(shè)發(fā)送間隔，自動(dòng)向發(fā)送方和接收方發(fā)送當(dāng)前預(yù)設(shè)發(fā)送間隔內(nèi)的數(shù)據(jù)密鑰、身份認(rèn)證碼、預(yù)設(shè)分隔符、預(yù)設(shè)排列組合方式之前，方法還包括：

7、在預(yù)設(shè)密鑰管理服務(wù)器部署密鑰生成模塊，每間隔預(yù)設(shè)發(fā)送間隔自動(dòng)生成新的數(shù)據(jù)密鑰和身份認(rèn)證碼；同時(shí)從預(yù)設(shè)分隔符數(shù)據(jù)庫中隨機(jī)抽取任一分隔符作為當(dāng)前預(yù)設(shè)發(fā)送間隔內(nèi)對應(yīng)的預(yù)設(shè)分隔符，從預(yù)設(shè)排列組合庫中隨機(jī)抽取任一排列組合方式作為當(dāng)前預(yù)設(shè)發(fā)送間隔內(nèi)對應(yīng)的預(yù)設(shè)排列組合方式；

8、使用國密sm4算法生成數(shù)據(jù)密鑰，并通過hmac-sha256算法結(jié)合服務(wù)器硬件指紋生成身份認(rèn)證碼；

9、生成身份認(rèn)證碼后，將數(shù)據(jù)密鑰存儲于硬件安全模塊中，并標(biāo)記有效期為預(yù)設(shè)發(fā)送間隔+時(shí)鐘同步容差。

10、在本技術(shù)的一種實(shí)現(xiàn)方式中，將最終消息體發(fā)送至接收方，具體包括：

11、采用動(dòng)態(tài)身份認(rèn)證策略，向接收方發(fā)送最終消息體。

12、在本技術(shù)的一種實(shí)現(xiàn)方式中，在當(dāng)接收方接收到最終消息體時(shí)，用base64解碼，再使用數(shù)據(jù)密鑰獲取消息體；利用預(yù)設(shè)排列組合方式和預(yù)設(shè)分隔符拆解消息體之后，方法還包括：

13、當(dāng)消息體內(nèi)的服務(wù)器時(shí)間戳不在預(yù)設(shè)同步間隔內(nèi)時(shí)，停止身份驗(yàn)證，刪除對應(yīng)的消息體。

14、在本技術(shù)的一種實(shí)現(xiàn)方式中，在當(dāng)消息體內(nèi)的服務(wù)器時(shí)間戳在預(yù)設(shè)同步間隔內(nèi)時(shí)，進(jìn)行身份認(rèn)證碼驗(yàn)證之后，方法還包括：

15、當(dāng)消息體內(nèi)的服務(wù)器時(shí)間戳在預(yù)設(shè)同步間隔內(nèi)時(shí)，進(jìn)行身份認(rèn)證碼和消息明文的驗(yàn)證；

16、當(dāng)身份認(rèn)證碼與當(dāng)前接收方身份認(rèn)證碼一致且校驗(yàn)記錄中無當(dāng)前身份認(rèn)證碼時(shí)，確定驗(yàn)證成功，并記錄將身份認(rèn)證碼添加至校驗(yàn)記錄中；

17、當(dāng)身份認(rèn)證碼與當(dāng)前接收方身份認(rèn)證碼不一致或校驗(yàn)記錄中存在當(dāng)前身份認(rèn)證碼時(shí)，確定驗(yàn)證失敗。

18、第二方面，本技術(shù)提供了一種基于hmac-sha256算法的動(dòng)態(tài)身份認(rèn)證系統(tǒng)，系統(tǒng)包括：

19、自動(dòng)模塊，用于按照預(yù)設(shè)發(fā)送間隔，自動(dòng)向發(fā)送方節(jié)點(diǎn)和接收方節(jié)點(diǎn)發(fā)送當(dāng)前預(yù)設(shè)發(fā)送間隔內(nèi)的數(shù)據(jù)密鑰、身份認(rèn)證碼、預(yù)設(shè)分隔符、預(yù)設(shè)排列組合方式；

20、發(fā)送方節(jié)點(diǎn)，用于將身份認(rèn)證碼、服務(wù)器時(shí)間戳以及消息明文按照預(yù)設(shè)排列組合方式進(jìn)行排列組合，并以預(yù)設(shè)分隔符分隔開來，組成消息體；通過hmac-sha256算法利用數(shù)據(jù)密鑰將消息體加密處理后，進(jìn)行base64轉(zhuǎn)碼，獲得最終消息體，將最終消息體發(fā)送至接收方節(jié)點(diǎn)；

21、接收方節(jié)點(diǎn)，用于在接收到最終消息體時(shí)，用base64解碼，再使用數(shù)據(jù)密鑰獲取消息體；利用預(yù)設(shè)排列組合方式和預(yù)設(shè)分隔符拆解消息體；當(dāng)消息體內(nèi)的服務(wù)器時(shí)間戳在預(yù)設(shè)同步間隔內(nèi)時(shí)，進(jìn)行身份認(rèn)證碼驗(yàn)證，以在驗(yàn)證成功后接收消息明文。

22、在本技術(shù)的一種實(shí)現(xiàn)方式中，自動(dòng)模塊包括生成單元，

23、用于在預(yù)設(shè)密鑰管理服務(wù)器部署密鑰生成模塊，每間隔預(yù)設(shè)發(fā)送間隔自動(dòng)生成新的數(shù)據(jù)密鑰和身份認(rèn)證碼；同時(shí)從預(yù)設(shè)分隔符數(shù)據(jù)庫中隨機(jī)抽取任一分隔符作為當(dāng)前預(yù)設(shè)發(fā)送間隔內(nèi)對應(yīng)的預(yù)設(shè)分隔符，從預(yù)設(shè)排列組合庫中隨機(jī)抽取任一排列組合方式作為當(dāng)前預(yù)設(shè)發(fā)送間隔內(nèi)對應(yīng)的預(yù)設(shè)排列組合方式；使用國密sm4算法生成數(shù)據(jù)密鑰，并通過hmac-sha256算法結(jié)合服務(wù)器硬件指紋生成身份認(rèn)證碼；生成身份認(rèn)證碼后，將數(shù)據(jù)密鑰存儲于硬件安全模塊中，并標(biāo)記有效期為預(yù)設(shè)發(fā)送間隔+時(shí)鐘同步容差。

24、在本技術(shù)的一種實(shí)現(xiàn)方式中，發(fā)送方節(jié)點(diǎn)包括發(fā)送單元，

25、用于采用動(dòng)態(tài)身份認(rèn)證策略，向接收方節(jié)點(diǎn)發(fā)送最終消息體。

26、在本技術(shù)的一種實(shí)現(xiàn)方式中，接收方節(jié)點(diǎn)包括驗(yàn)證單元，

27、用于當(dāng)消息體內(nèi)的服務(wù)器時(shí)間戳在預(yù)設(shè)同步間隔內(nèi)時(shí)，進(jìn)行身份認(rèn)證碼和消息明文的驗(yàn)證；當(dāng)身份認(rèn)證碼與當(dāng)前接收方身份認(rèn)證碼一致且校驗(yàn)記錄中無當(dāng)前身份認(rèn)證碼時(shí)，確定驗(yàn)證成功，并記錄將身份認(rèn)證碼添加至校驗(yàn)記錄中；當(dāng)身份認(rèn)證碼與當(dāng)前接收方身份認(rèn)證碼不一致或校驗(yàn)記錄中存在當(dāng)前身份認(rèn)證碼時(shí)，確定驗(yàn)證失敗。

28、第三方面，本技術(shù)提供了一種非易失性計(jì)算機(jī)存儲介質(zhì)，其上存儲有計(jì)算機(jī)指令，計(jì)算機(jī)指令在被執(zhí)行時(shí)實(shí)現(xiàn)如上述任一項(xiàng)的一種基于hmac-sha256算法的動(dòng)態(tài)身份認(rèn)證方法。

29、本領(lǐng)域技術(shù)人員能夠理解的是，本技術(shù)至少具有如下有益效果：

30、本技術(shù)提供一種基于hmac-sha256算法的動(dòng)態(tài)身份認(rèn)證方法、系統(tǒng)及介質(zhì)，通過預(yù)設(shè)發(fā)送間隔自動(dòng)向通信雙方分發(fā)數(shù)據(jù)密鑰，解決了傳統(tǒng)固定密鑰長期使用導(dǎo)致的暴力破解風(fēng)險(xiǎn)（如金融系統(tǒng)密鑰未更新引發(fā)的中間人攻擊）；該機(jī)制符合信息安全技術(shù)中“機(jī)密性”與“可控制性”的核心屬性，通過定期刷新密鑰降低泄露概率。結(jié)合國密改造技術(shù)中“單塊加密卡服務(wù)多系統(tǒng)”的資源優(yōu)化思路，動(dòng)態(tài)密鑰分配可提升加密資源利用率，避免密鑰固化導(dǎo)致的性能瓶頸。

31、通過預(yù)設(shè)排列組合方式和分隔符對身份認(rèn)證碼、時(shí)間戳及明文進(jìn)行組合，打破傳統(tǒng)固定拼接模式（如物聯(lián)網(wǎng)設(shè)備因結(jié)構(gòu)單一導(dǎo)致的高篡改率）。采用hmac-sha256算法結(jié)合base64轉(zhuǎn)碼，在保障數(shù)據(jù)完整性的同時(shí)增加逆向破解難度，滿足信息安全技術(shù)中“不可否認(rèn)性”與“抗抵賴性”需求。

32、接收端通過服務(wù)器時(shí)間戳驗(yàn)證消息時(shí)效性（如跨時(shí)區(qū)系統(tǒng)時(shí)鐘偏差導(dǎo)致的認(rèn)證失敗問題），該機(jī)制與信息安全保障體系中“可用性”要求直接對應(yīng)。時(shí)間戳驗(yàn)證的預(yù)設(shè)間隔可動(dòng)態(tài)調(diào)整，適應(yīng)不同業(yè)務(wù)場景的時(shí)鐘同步需求。