(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111536489.0 (22)申请日 2021.12.16 (65)同一申请的已公布的文献号 申请公布号 CN 113938323 A (43)申请公布日 2022.01.14 (73)专利权人 深圳竹云科技有限公司 地址 518000 广东省深圳市南 山区高新 南 一道009号中国科技开 发院孵化大楼3 楼东 (72)发明人 范端胜　 (74)专利代理 机构 北京市浩天知识产权代理事 务所(普通 合伙) 11276 代理人 石志娟 (51)Int.Cl. H04L 9/40(2022.01)H04L 9/32(2006.01) (56)对比文件 CN 110225045 A,2019.09.10 CN 10945 0865 A,2019.0 3.08 CN 101060405 A,2007.10.24 CN 109639672 A,2019.04.16 CN 110958119 A,2020.04.0 3 CN 111371725 A,2020.07.0 3 C. Wendt等.Perso na Assertion Tokendraft-ietf-stir-pas sport-06. 《IETF 》 .2016, 审查员 何珂依 (54)发明名称 基于JWT的防重放攻击方法、 装置、 设备以及 存储介质 (57)摘要 本发明实施例涉及网络通信技术领域， 公开 了一种基于JWT的防重放攻击方法， 该方法包括： 获取访问者发送的身份验证请求； 身份验证请求 中包括发送身份验证请求的第一IP地址和待验 证信令； 待验证信令根据第二IP地址和预设密钥 预先生成； 第二IP地址为访问者发送信令生成请 求时的地址； 对身份验证请求进行响应， 得到第 一原始载荷； 将第一IP地址与预设密钥进行组 合， 得到第一处理后密钥； 根据第一处理后密钥 对第一原始载荷进行签名处理， 得到第一签名后 载荷； 对第一签名后载荷进行编码处理， 得到合 法信令； 将合法信令和待验证信令进行匹配， 根 据匹配结果对身份验证请求进行验证。 本发明实 施例提高了基于JWT进行身份验证过程中的防重 放攻击的可靠性。 权利要求书2页 说明书12页 附图4页 CN 113938323 B 2022.03.25 CN 113938323 B 1.一种基于JWT的防重放 攻击方法， 其特 征在于， 所述方法包括： 获取访问者发送的身份验证请求； 所述身份验证请求中包括发送所述身份验证请求的 第一IP地址、 第一访问工具 的信息和待验证信令； 所述第一访问工具用于发送所述身份验 证请求； 所述待验证信令为JWT类型； 所述待验证信令根据第二IP地址、 第二访问工具的信 息和预设密钥预先生成； 所述第二IP地址为所述访问者发送信令生成请求时的地址； 所述 第二访问工具用于发送所述信令生成请求； 对所述身份验证请求进行响应， 得到第一原 始载荷； 将所述第一IP地址、 第一访 问工具的信息与所述预设密钥进行组合， 得到第一处理后 密钥； 根据所述第一处 理后密钥对所述第一原 始载荷进行签名处 理， 得到第一签名后载荷； 对所述第一签名后载荷进行编码处 理， 得到合法信令； 所述 合法信令为JWT类型； 将所述合法信 令和所述待验证信 令进行匹配， 根据匹配结果对所述身份验证请求进行 验证。 2.根据权利要求1所述的方法， 其特征在于， 在所述访 问者发送的身份验证请求之前， 包括： 获取所述信 令生成请求； 所述信令生成请求中包括所述第 二IP地址和第 一账号密码信 息； 对所述第一账号密码信息进行验证； 当所述第一账号密码信息验证通过时， 对所述信令生成请求进行响应， 得到第二原始 载荷； 根据所述第二IP地址以及所述预设密钥对所述第 二原始载荷进行签名， 得到所述待验 证信令； 将所述待验证信令返回至所述访问者。 3.根据权利要求1所述的方法， 其特征在于， 在所述将所述合法信 令和所述待验证信 令 进行匹配之前， 包括： 确定所述身份验证请求的第一请求头信息； 根据所述第一请求头信息确定所述第一访问工具的信息； 在所述将所述待验证信令返回至所述访问者之前， 包括： 确定所述信令生成请求的第二请求头信息； 根据所述第二请求头信息确定所述第二访问工具的信息 。 4.根据权利要求1所述的方法， 其特征在于， 所述根据所述第一IP地址、 第一访 问工具 的信息以及所述预设密钥对所述第一原 始载荷进行签名， 得到所述 合法信令， 包括： 将所述第一IP地址、 所述第一访 问工具的信息以及所述预设密钥进行组合， 得到第二 处理后密钥； 根据所述第二处 理后密钥对所述第一原 始载荷进行签名处 理， 得到第二签名后载荷； 对所述第二签名后载荷进行编码处 理， 得到所述 合法信令 。 5.根据权利要求2所述的方法， 其特征在于， 所述身份验证请求中还包括所述访问者的 第二账号密码信息； 所述在将所述 合法信令和所述待验证信令进行匹配之前， 还 包括：权　利　要　求　书 1/2 页 2 CN 113938323 B 2根据所述第一IP地址、 第一访 问工具的信息、 所述第二账号密码信息以及预设密钥对 所述第一原 始载荷进行签名， 得到所述 合法信令； 在所述将所述待验证信令返回至所述访问者之前， 还 包括： 根据所述第二IP地址、 第二访 问工具的信息、 所述第一账号密码信息以及预设密钥对 所述第二原 始载荷进行签名， 得到所述待验证信令 。 6.根据权利要求5所述的方法， 其特征在于， 所述根据所述第一IP地址、 第一访 问工具 的信息、 所述第二账号密码信息以及预设密钥对所述第一原始载荷进行签名， 得到所述合 法信令， 包括： 将所述第一IP地址、 第一访 问工具的信息、 所述第二账号密码信息以及预设密钥进行 组合， 得到第三处 理后密钥； 根据所述第三处 理后密钥对所述第一原 始载荷进行签名处 理， 得到第三签名后载荷； 对所述第三签名后载荷进行编码处 理， 得到所述 合法信令 。 7.一种基于JWT的防重放 攻击装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取访 问者发送的身份验证请求； 所述身份验证请求中包括发送所述 身份验证请求的第一IP地址、 第一访问工具的信息和待验证信令； 所述第一访问工具用于 发送所述身份验证请求； 所述待验证信令为JWT类型； 所述待验证信令根据第二IP地址、 第 二访问工具的信息和预设密钥预先生成； 所述第二IP地址为所述访问者 发送信令生成请求 时的地址； 所述第二访问工具用于发送所述信令生成请求； 响应模块， 用于对所述身份验证请求进行响应， 得到第一原 始载荷； 组合模块， 用于将所述第一IP地址、 第一访问工具的信 息与所述预设密钥进行组合， 得 到第一处 理后密钥； 签名模块， 用于根据所述第一处理后密钥对所述第一原始载荷进行签名处理， 得到第 一签名后载荷； 编码模块， 用于对所述第 一签名后载荷进行编码处理， 得到合法信 令； 所述合法信 令为 JWT类型； 匹配模块， 用于将所述合法信令和所述待验证信令进行匹配， 根据匹配结果对所述身 份验证请求进行验证。 8.一种基于JWT 的防重放攻击设备， 其特征在于， 包括： 处理器、 存储器、 通信接口和通 信总线， 所述处 理器、 所述存 储器和所述 通信接口通过 所述通信总线完成相互间的通信； 所述存储器用于存放至少一可执行指令， 所述可执行指令使所述处理器执行如权利要 求1‑6任意一项所述的基于JWT的防重放 攻击方法的操作。 9.一种计算机可读存储介质， 其特征在于， 所述存储介质中存储有至少一可执行指令， 所述可执行指 令在基于JWT的防重放攻击 设备上运行时， 使 得基于JWT的防重放攻击 设备执 行如权利要求1 ‑6任意一项所述的基于JWT的防重放 攻击方法的操作。权　利　要　求　书 2/2 页 3 CN 113938323 B 3