配置文件的生成方法、装置、设备及存储介质与流程

文档序号：21102102发布日期：2020-06-16 20:54阅读：240来源：国知局

本发明涉及信息安全领域，尤其涉及配置文件的生成方法、装置、设备及存储介质。

背景技术：

在计算机科学领域中，配置文件是一种计算机文件，当用户首次登陆到一台基于视窗操作系统新技术(windowsnewtechnology，windowsnt)的计算机上时，计算机上的系统会默认创建一个专用的配置文件，用来保存客户端名称、客户端密码、网络连接、打印机连接、鼠标设置及窗口的大小和位置等。一般情况下，配置文件保存的都是计算机程序配置参数和初始设置，配置文件的存在方便客户端对计算机进行修改或设置，因此配置文件的安全是尤为重要的。

在微服务架构中，一般通过设置统一的密码实现对配置文件的保护，在客户端获取配置文件的过程中，只有通过相应的密钥破解密码才能够获得配置文件。但是，这种将配置文件设置成统一密码的方式，当非法客户端利用统一的密码破解计算机的密钥时，会造成大范围配置文件的泄露，威胁系统的安全。

技术实现要素：

本发明的提供一种配置文件的生成方法、装置、设备及存储介质，用于防止配置文件信息泄露的问题，提高了系统对配置文件的保护能力。

为本发明实施例的第一方面提供一种配置文件的生成方法，包括：获取客户端的配置请求，并利用预置算法对所述配置请求进行解析，得到待认证密钥，所述配置请求中包括待检测密钥，所述待检测密钥是客户端名称与第一预置密钥进行密钥衍生得到的；判断所述待检测密钥与鉴权密钥是否相同，所述鉴权密钥是通过所述预置算法预置对配置信息进行解析得到的；若所述鉴权密钥与所述待认证密钥相同，则生成会话密钥；通过所述会话密钥，将配置文件反馈给客户端，所述配置文件包括所述预置的配置信息。

可选的，在本发明实施例第一方面的第一种实现方式中，在配置中心中获取客户端的配置请求，所述配置请求中包括待检测密钥，所述待检测密钥是客户端名称与第一预置密钥进行密钥衍生得到的；在所述配置中心中获取依据所述配置请求生成的挑战码；利用所述预置算法将所述挑战码与所述待检测密钥进行解析，得到待认证密钥。

可选的，在本发明实施例第一方面的第二种实现方式中，调整所述待检测密钥的字节长度，所述待检测密钥的字节长度与预置字节长度相同；将所述待检测密钥与预置的第一字符串进行异或运算，得到第一相关密钥，所述预置的第一字符串的字节长度与所述预置字节长度相同；将所述第一相关密钥与所述挑战码结合，得到第一候选密钥；将所述待检测密钥与预置的第二字符串进行异或运算，得到第二相关密钥，所述预置的第二字符串的字节长度与所述预置字节长度相同；将所述第二相关密钥与所述第一候选密钥结合，得到待认证密钥。

可选的，在本发明实施例第一方面的第三种实现方式中，获取配置中心中的第二预置密钥；将客户端名称与第二预置密钥通过三重数据加密算法进行密钥衍生，在配置中心中得到对称密钥，所述预置的配置信息中包括客户端名称；根据所述对称密钥和所述预置算法获取鉴权密钥；判断所述待检测密钥与鉴权密钥是否相同。

可选的，在本发明实施例第一方面的第四种实现方式中，在配置中心中，获取客户端名称的字节数据，所述预置的配置信息中包括客户端名称；对所述客户端名称的字节数据与第二预置密钥做三重数据加密算法，得到第一对称密钥；对所述客户端名称的字节数据取反，得到所述客户端名称的反字节数据；对所述客户端名称的反字节数据与所述第二预置密钥做三重数据加密算法，得到第二对称密钥；将所述第一对称密钥与所述第二对称密钥进行合并，得到对称密钥。

可选的，在本发明实施例第一方面的第五种实现方式中，调整所述对称密钥的字节长度，所述对称密钥的字节长度与所述预置字节长度相同；将所述对称密钥与预置的第三字符串进行异或运算，得到第三相关密钥，所述预置的第三字符串的字节长度与所述预置字节长度相同；将所述第三相关密钥与所述挑战码结合，获取到第二候选密钥；将所述对称密钥与预置的第四字符串进行异或运算，得到第四相关密钥，所述预置的第四字符串的字节长度与所述预置字节长度相同；将所述第三相关密钥与所述第二候选密钥结合，获取到鉴权密钥。

可选的，在本发明实施例第一方面的第六种实现方式中，在配置中心中获取预置的配置信息；将所述预置的配置信息按照预置规则进行排列与汇总，得到配置文件。

本发明实施例的第二方面提供一种配置文件的生成装置，包括：解析单元，用于获取客户端的配置请求，并利用预置算法对所述配置请求进行解析，得到待认证密钥，所述配置请求中包括待检测密钥，所述待检测密钥是客户端名称与第一预置密钥进行密钥衍生得到的；判断单元，用于判断所述待检测密钥与鉴权密钥是否相同，所述鉴权密钥是通过所述预置算法预置对配置信息进行解析得到的；确认单元，用于若所述鉴权密钥与所述待认证密钥相同，则生成会话密钥；反馈单元，用于通过所述会话密钥，将配置文件反馈给客户端，所述配置文件包括所述预置的配置信息。

可选的，在本发明实施例第二方面的第一种实现方式中，解析单元具体包括：第一获取模块，用于在配置中心中获取客户端的配置请求，所述配置请求中包括待检测密钥，所述待检测密钥是客户端名称与第一预置密钥进行密钥衍生得到的；生成模块，用于在所述配置中心中获取依据所述配置请求生成的挑战码；解析模块，用于利用所述预置算法将所述挑战码与所述待检测密钥进行解析，得到待认证密钥。

可选的，在本发明实施例第二方面的第二种实现方式中，解析模块具体用于：调整所述待检测密钥的字节长度，所述待检测密钥的字节长度与预置字节长度相同；将所述待检测密钥与预置的第一字符串进行异或运算，得到第一相关密钥，所述预置的第一字符串的字节长度与所述预置字节长度相同；将所述第一相关密钥与所述挑战码结合，得到第一候选密钥；将所述待检测密钥与预置的第二字符串进行异或运算，得到第二相关密钥，所述预置的第二字符串的字节长度与所述预置字节长度相同；将所述第二相关密钥与所述第一候选密钥结合，得到待认证密钥。

可选的，在本发明实施例第二方面的第三种实现方式中，衍生单元包括：第二获取模块，用于获取配置中心中的第二预置密钥；衍生模块，用于将客户端名称与第二预置密钥通过三重数据加密算法进行密钥衍生，在配置中心中得到对称密钥，所述预置的配置信息中包括客户端名称；第三获取模块，用于根据所述对称密钥和所述预置算法获取鉴权密钥；判断模块，用于判断所述待检测密钥与鉴权密钥是否相同。

可选的，在本发明实施例第二方面的第四种实现方式中，衍生模块具体用于：在配置中心中，获取客户端名称的字节数据，所述预置的配置信息中包括客户端名称；对所述客户端名称的字节数据与第二预置密钥做三重数据加密算法，得到第一对称密钥；对所述客户端名称的字节数据取反，得到所述客户端名称的反字节数据；对所述客户端名称的反字节数据与所述第二预置密钥做三重数据加密算法，得到第二对称密钥；将所述第一对称密钥与所述第二对称密钥进行合并，得到对称密钥。

可选的，在本发明实施例第二方面的第五种实现方式中，第三获取模块具体用于：调整所述对称密钥的字节长度，所述对称密钥的字节长度与所述预置字节长度相同；将所述对称密钥与预置的第三字符串进行异或运算，得到第三相关密钥，所述预置的第三字符串的字节长度与所述预置字节长度相同；将所述第三相关密钥与所述挑战码结合，获取到第二候选密钥；将所述对称密钥与预置的第四字符串进行异或运算，得到第四相关密钥，所述预置的第四字符串的字节长度与所述预置字节长度相同；将所述第三相关密钥与所述第二候选密钥结合，获取到鉴权密钥。

可选的，在本发明实施例第二方面的第六种实现方式中，配置文件的生成方法还包括：第二获取单元，用于在配置中心中获取预置的配置信息；汇总单元，用于将所述预置的配置信息按照预置规则进行排列与汇总，得到配置文件。

本发明实施例的第三方面提供了一种配置文件的生成设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述任一实施方式所述的基于配置文件的生成方法。

本发明实施例的第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实施例，在提取配置文件的过程中，通过向配置中心传输客户端的待认证密钥，进行客户端的身份识别验证，待验证成功后在进行配置问价的传输，防止配置文件的信息泄露，提高了系统对配置文件的保护，降低了系统的安全隐患。

附图说明

图1为本发明中配置文件的生成方法的一个实施例示意图；

图2为本发明中配置文件的生成方法的另一个实施例示意图；

图3为本发明中配置文件的生成装置的一个实施例示意图；

图4为本发明中配置文件的生成装置的另一个实施例示意图；

图5为本发明中配置文件的生成设备的一个实施例示意图。

具体实施方式

本发明的提供一种配置文件的生成方法、装置、设备及存储介质，用于防止配置文件信息泄露的问题，提高了系统对配置文件的保护能力。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”或“具有”及其任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

请参阅图1，本发明实施例中配置文件的生成方法一个实施例包括：

101、获取客户端的配置请求，并利用预置算法对配置请求进行解析，得到待认证密钥，配置请求中包括待检测密钥，待检测密钥是客户端名称与第一预置密钥进行密钥衍生得到的。

服务器获取客户端的配置请求，并利用预置算法对配置请求进行解析，得到待认证密钥，配置请求中包括待检测密钥，待检测密钥是客户端名称与第一预置密钥进行密钥衍生得到的。

这里的配置请求指的是客户端需要提取服务器中的配置文件的请求，配置文件是在客户端在登陆服务器时系统创建用来保存客户端名称、客户端密码等的专用文件，由于配置文件的重要性，提取配置文件的客户端需要进行身份验证，经身份验证成功后才能获取到配置文件。客户端的配置请求中包括客户端名称以及第一预置密钥，在客户端进行身份验证的过程中，鉴于直接将第一预置密钥传输到服务器中会导致第一预置密钥被泄露的情况发生，则利用到密钥衍生算法，将客户端名称与第一预置密钥进行密钥衍生，得到待检测密钥。

需要说明的是，这里利用到了密钥衍生算法，密钥衍生算法也被称为密钥分散算法，是用于从一些密值中衍生对称密钥的确定性算法，例如：服务器内设有一个双长度(一个长度密钥为8个字节)的主密钥，利用主密钥对需要加密的数据进行分散处理，推导出一个双长度的对称加密密钥。服务器在进行加密和解密的过程中使用相同的密钥，使得两个密钥可以简单地互相推算的密钥。

可以理解的是，这里利用到的预置算法是哈希消息认证码(hash-basedmessageauthenticationcode，hmac)，它将配置请求与待检测密钥进行解析，得到待认证密钥。

102、判断待检测密钥与鉴权密钥是否相同，鉴权密钥是通过预置算法预置对配置信息进行解析得到的。

服务器判断待检测密钥与鉴权密钥是否相同，鉴权密钥是通过预置算法预置对配置信息进行解析得到的。

需要说明的是，这里的配置中心采用分布式版本控制系统git，可以有效、高速地处理从很小到非常大的项目版本管理。服务器采用分布式版本控制系统可以有效、快速地记录一个或者若干个文件内容变化，以便进行特定版本修订情况的查阅；可以将某个文件或某个项目会倒退至过去某个时间点的状态，并且可以查找出访问客户端改动的部分以及何时进行的改动；还可以将文件进行删除与恢复，这样服务器对文件的操作更加灵活多变，以满足客户端不同的需求。

而git的使用可以使服务器的版本库本地化，并支持文件的离线提交，版本库相对独立且不影响协同开发，客户端可以在版本库上任意的执行提交代码、创建分支等行为；减少服务器的“仓库污染”，git对于每个项目只会产生一个相应的目录，这个项目所有的版本控制信息都在这个目录中；令服务器可以把内容按元数据方式存储，完整克隆版本库，克隆版的版本库拥有中心版本库上所有的东西，例如标签、分支、版本记录等；使服务器支持快速切换分支方便合并，比较合并性能好。在同一目录下即可切换不同的分支，方便合并。

补充说明的是，另外本实施例中也可以利用开放源代码的版本控制系统(subversion，svn)来代替git进行文件的配置。

可以理解的是，由于客户端通常使用较弱的密码，基于密码的密钥衍生函数比较慢同时占用大量的内存，使其难以启动强力攻击和其他攻击。基于密码的密钥衍生函数使系统难以记住密钥，且存储有风险，便存在配置文件被盗的风险，而主密钥难以使用强力攻击破解，因此，服务器可以使用不以密码为基础的密钥衍生函数生成一个对称密钥。对称加密的速度比公钥加密快很多，加密算法有很多种，例如：数据加密标准(dataencryptionstandard，des)，des中的密钥字节共56位，并采用混淆与扩散的原则对所需加密数据进行分组密码设计；三重数据加密算法(tripledataencryptionalgorithm，3des)，3des相当于服务器对每个待机密数据块应用三次des，因为des密码的密钥字节长度过短且容易被暴力破解，3des通过增加des的密钥字节长度来避免类似的攻击；高级加密标准(advancedencryptionstandard，aes)，aes中的密钥字节可以为128位、192位或256位。在这里，服务器利用三重数据加密算法，将提前设置在服务器中的第二预置密钥与配置信息进行密钥衍生，从而获取到对称密钥。

需要说明的是，这里的预置算法是hmac，将对称密钥与挑战码进行解析，获取到鉴权密钥。鉴权密钥的获取过程与待认证密钥的获取过程相似，因此不在此赘述。

由此可知，服务器并不把得到的对称密钥在传输通道里进行传递，将在配置中心计算出来的鉴权密钥与在客户端计算出来的待验证密钥进行比对，这样就保证了对称密钥并不会泄露，其他客户端并不能知晓访问配置中心的密钥，保证了文件传输的安全性。

103、若鉴权密钥与待认证密钥相同，则生成会话密钥。

服务器若鉴权密钥与待认证密钥相同，则生成会话密钥。

需要说明的是，待服务器获取到分别与挑战码进行结合过的鉴权密钥与待认证密钥后，将鉴权密钥与待验证密钥进行比对，若两者在相同位置上的的内容相同，则说明鉴权密钥与待验证密钥是相同的。

举例说明：假设服务器通过挑战码结合过的鉴权密钥为“cdef4321”，客户端通过挑战码结合过的待验证密钥为“cdef4321”，将待验证密钥传输至服务器，服务器将待验证密钥与鉴权密钥进行比对，两者在相同的位置上的内容是一致的，则得到待验证密钥与鉴权密钥是相同的结论，同时服务器生成会话密钥。

104、通过会话密钥，将配置文件反馈给客户端，配置文件包括预置的配置信息。

在这里服务器使用的会话密钥是双方事先约定的，第三方不能获取，这样使得在客户端与服务器之间传递的信息只有挑战码和待认证密钥，挑战码是作为服务器“挑战”客户端的一个随机数，待认证密钥是作为客户端“响应”服务器经过hmac后的结果，服务器将待认证密钥与鉴权密钥进行比对，若相同，则说明待认证密钥中的目标密钥与鉴权密钥中的对称密钥是相同的，客户端是一个合法的客户端，服务器可以将配置中心的配置文件反馈给客户端。在进行身份认证的过程中，服务器无法依据挑战码与待认证密钥推算出对称密钥，由于对称密钥得不到匹配，客户端无法仿造出一致的服务器响应，则服务器判断客户端是一个危险客户端，所以服务器不会将配置中心的配置文件反馈给客户端，进一步的保证了配置文件的安全。

由于hmac算法具有“瞬时”性，即待认证密钥只在当时有效，因此利用会话密钥进行通信反馈配置文件后，若客户端想再次获取配置文件，则服务器需要重新进行身份认证。

需要说明的是，服务器在配置中心中反馈配置文件时，同时反馈配置文件最近的修改时间。

请参阅图2，本发明实施例中配置文件的生成方法另一个实施例包括：

201、获取客户端的配置请求，并利用预置算法对配置请求进行解析，得到待认证密钥，配置请求中包括待检测密钥，待检测密钥是客户端名称与第一预置密钥进行密钥衍生得到的。

服务器获取客户端的配置请求，并利用预置算法对配置请求进行解析，得到待认证密钥，配置请求中包括待检测密钥，待检测密钥是客户端名称与第一预置密钥进行密钥衍生得到的。具体的，在配置中心中获取客户端的配置请求，配置请求中包括待检测密钥，待检测密钥是客户端名称与第一预置密钥进行密钥衍生得到的；在配置中心中获取依据配置请求生成的挑战码；利用预置算法将挑战码与待检测密钥进行解析，得到待认证密钥。

其中，利用预置算法将挑战码与待检测密钥进行解析，得到待认证密钥包括，调整待检测密钥的字节长度，待检测密钥的字节长度与预置字节长度相同；将待检测密钥与预置的第一字符串进行异或运算，得到第一相关密钥，预置的第一字符串的字节长度与预置字节长度相同；将第一相关密钥与挑战码结合，得到第一候选密钥；将待检测密钥与预置的第二字符串进行异或运算，得到第二相关密钥，预置的第二字符串的字节长度与预置字节长度相同；将第二相关密钥与第一候选密钥结合，得到待认证密钥。

可以理解的是，这里利用到的预置算法是哈希消息认证码(hash-basedmessageauthenticationcode，hmac)，它将配置请求与待检测密钥进行解析，得到待认证密钥，首先服务器对待检测密钥的字节长度进行判断，若待检测密钥的字节长度比预置字节长度短(如果密钥比单向散列函数分组长度要短)，则服务器在待检测密钥的字节末尾填充0，直到待检测密钥的字节长度达到预置字节的长度单向散列函数的分组长度为止，若待检测密钥的字节长度比预置字节长度长(如果密钥比分组长度要长)，则服务器利用单向散列函数求出与预置字节长度相等的待检测密钥的散列值，再将这个散列值作为待检密钥，若待检测密钥的字节长度与预置字节长度相同，则不用对待检测密钥进行处理；然后服务器将待检测密钥与预置的第一字符串进行异或运算，得到第一相关密钥，预置的第一字符串是将00110110这一比特序列不断循环重复直到字节长度与预置字节长度相同的字符串；服务器将第一相关密钥与挑战码结合，得到第一候选密钥，挑战码是服务器随机生成的字符串，这里服务器是将第一相关密钥附在挑战码的开头，并将结合的结果输入单向散列函数中，得到第一候选密钥；将待检测密钥与预置的第二字符串进行异或运算，得到第二相关密钥，预置的第二字符串是将01011100这一比特序列不断循环重复直到字节长度与预置字节长度相同的字符串；最后服务器将第二相关密钥与第一候选密钥结合，得到待认证密钥，这里服务器是将第二相关密钥拼接在挑战码的结尾，并将结合的结果输入单向散列函数中，得到待认证密钥。

202、在配置中心中获取预置的配置信息。

服务器在配置中心中获取预置的配置信息。

补充说明的是，另外本实施例中也可以利用开放源代码的版本控制系统(subversion，svn)来代替git进行文件的配置。

203、将预置的配置信息按照预置规则进行排列与汇总，得到配置文件。

服务器将预置的配置信息按照预置规则进行排列与汇总，得到配置文件。

可以理解的是，配置文件是在客户端登录电脑时，或是客户端在使用软件时，系统为客户端所要加载所需环境的设置和文件的集合。它包括所有客户端专用的配置设置，如程序项目、屏幕颜色、网络连接、打印机连接、鼠标设置及窗口的大小和位置等，将这些已设置好的配置信息按照预置规则进行排列和汇总，便得到配置文件。以java语言的微服务来说，java语言的微服务以软件开发工具包(softwaredevelopmentkit，sdk)方式(jar包)存在，在使用时直接引用即可。这里的微服务可以理解成一个独立运行的系统，例如：淘宝的客户端系统、订单系统，这些运行系统需要一些配置信息，例如：调用数据库的连接地址、客户端名、客户端密码，这些配置信息一般都不是存储在微服务所在的机器上的，而是配置在集中管理的配置中心中。微服务在启动的初始，首先访问配置中心，将需要使用的配置信息读取到本地内存，以供后面连接数据库用。微服务启动时遵守固定的启动流程，首先加载这个sdk的逻辑程序，这里的逻辑程序就会访问配置中心并将配置文件读取过来，再读取成功后，微服务在开发阶段设置的预置数值将配置到对应的程序变量中，如：@value(“${redis.timeout}”)

privateintredistimeout；

微服务会将上述的redis.timeout配置到对应的redistimeout变量中，但服务器在读取配置文件这个过程需要进行鉴权，来保证数据的安全。

204、判断待检测密钥与鉴权密钥是否相同，鉴权密钥是通过预置算法预置对配置信息进行解析得到的。

服务器判断待检测密钥与鉴权密钥是否相同，鉴权密钥是通过预置算法预置对配置信息进行解析得到的。具体的，服务器获取配置中心中的第二预置密钥；服务器将客户端名称与第二预置密钥通过三重数据加密算法进行密钥衍生，在配置中心中得到对称密钥，预置的配置信息中包括客户端名称；服务器根据对称密钥和预置算法获取鉴权密钥；服务器判断待检测密钥与鉴权密钥是否相同。

其中，服务器将客户端名称与第二预置密钥通过三重数据加密算法进行密钥衍生，在配置中心中得到对称密钥，预置的配置信息中包括客户端名称具体用于：在配置中心中，服务器获取客户端名称的字节数据，预置的配置信息中包括客户端名称；服务器对客户端名称的字节数据与第二预置密钥做三重数据加密算法，得到第一对称密钥；服务器对客户端名称的字节数据取反，得到客户端名称的反字节数据；服务器对客户端名称的反字节数据与第二预置密钥做三重数据加密算法，得到第二对称密钥；服务器将第一对称密钥与第二对称密钥进行合并，得到对称密钥。

举例来说，服务器利用密钥衍生算法对客户端名称与配置中心中的第二预置密钥进行加密，首先服务器获取配置中心中的第二预置密钥以及配置信息中客户端名称的字节数据，设定第二预置密钥的字节为8位，服务器选取客户端名称字节数据的最右8个字节数据作为输入数据，服务器将输入数据与第二预置密钥做三重数据加密算法，得到第一对称密钥，其次服务器再对客户端名称字节数据的最右8个字节数据求反，得到客户端名称的反字节数据，服务器将客户端名称的反字节数据与预置密钥做三重数据加密算法，得到第二对称密钥，将第一对称密钥与第二对称密钥进行合并，得到双长度的对称密钥。

其中，服务器根据对称密钥和预置算法获取鉴权密钥具体用于：服务器调整对称密钥的字节长度，对称密钥的字节长度与预置字节长度相同；服务器将对称密钥与预置的第三字符串进行异或运算，得到第三相关密钥，预置的第三字符串的字节长度与预置字节长度相同；服务器将第三相关密钥与挑战码结合，获取到第二候选密钥；服务器将对称密钥与预置的第四字符串进行异或运算，得到第四相关密钥，预置的第四字符串的字节长度与预置字节长度相同；服务器将第三相关密钥与第二候选密钥结合，获取到鉴权密钥。

举例来说，服务器在进行身份验证的过程中，假设微服务名称为：ai-ark-admin，鉴权密钥：aabbccddaabbccddaabbccddaabbccdd，组织请求报文：http的post请求，采用json格式，服务器得到的程序结果如下：

"application"："ai-ark-admin"，

"challenge"："abcd1234"

"mac"："cdef4321"

结果中的application为微服务名称，显示结果为ai-ark-admin；结果中的challenge为配置中心响应的挑战码，是由配置中心随机生成一个字符串，显示结果为abcd1234；结果中的mac为配置中心利用挑战码与对称密钥并采用hmac算法得到的鉴权密钥，是将报文中处理mac的字段串联进行运算得到的字符串，显示结果为cdef4321。

205、若鉴权密钥与待认证密钥相同，则生成会话密钥。

若鉴权密钥与待认证密钥相同，则服务器生成会话密钥。

需要说明的是，服务器进行身份验证的过程如下：首先服务器接收到由客户端发出的一个配置请求，服务器接到配置请求后并依据配置请求生成一个挑战码，客户端利用挑战码与待检测密钥进行运算并得到一个待认证密钥，同时服务器在配置中心中，利用挑战码与对称密钥进行运算并得到一个鉴权密钥，若鉴权密钥与待认证密钥相同，则说明客户端是一个合法客户端，服务器可以将配置文件传输给客户端，这样加密与鉴权的过程保证了文件传输的安全。

206、通过会话密钥，将配置文件反馈给客户端，配置文件包括预置的配置信息。

服务器通过会话密钥，将配置文件反馈给客户端，配置文件包括预置的配置信息。

需要说明的是，服务器在配置中心中反馈配置文件时，同时反馈配置文件最近的修改时间。

上面对本发明实施例中配置文件的生成方法进行了描述，下面对本发明实施例中配置文件的生成装置进行描述，请参阅图3，本发明实施例中配置文件的生成装置一个实施例包括：

解析单元301，用于获取客户端的配置请求，并利用预置算法对配置请求进行解析，得到待认证密钥，配置请求中包括待检测密钥，待检测密钥是客户端名称与第一预置密钥进行密钥衍生得到的；

判断单元302，用于判断待检测密钥与鉴权密钥是否相同，鉴权密钥是通过预置算法预置对配置信息进行解析得到的；

确认单元303，用于若鉴权密钥与待认证密钥相同，则生成会话密钥；

反馈单元304，用于通过会话密钥，将配置文件反馈给客户端，配置文件包括预置的配置信息。

本发明实施例中，解析单元301，用于获取客户端的配置请求，并利用预置算法对配置请求进行解析，得到待认证密钥，配置请求中包括待检测密钥，待检测密钥是客户端名称与第一预置密钥进行密钥衍生得到的；判断单元302，用于判断待检测密钥与鉴权密钥是否相同，鉴权密钥是通过预置算法预置对配置信息进行解析得到的；确认单元303，用于若鉴权密钥与待认证密钥相同，则生成会话密钥；反馈单元304，用于通过会话密钥，将配置文件反馈给客户端，配置文件包括预置的配置信息。

请参阅图4，本发明实施例中配置文件的生成装置另一个实施例包括：

判断单元302，用于判断待检测密钥与鉴权密钥是否相同，鉴权密钥是通过预置算法预置对配置信息进行解析得到的；

确认单元303，用于若鉴权密钥与待认证密钥相同，则生成会话密钥；

反馈单元304，用于通过会话密钥，将配置文件反馈给客户端，配置文件包括预置的配置信息。

可选的，解析单元301包括：

第一获取模块3011，用于在配置中心中获取客户端的配置请求，配置请求中包括待检测密钥，待检测密钥是客户端名称与第一预置密钥进行密钥衍生得到的；

生成模块3012，用于在配置中心中获取依据配置请求生成的挑战码；

解析模块3013，用于利用预置算法将挑战码与待检测密钥进行解析，得到待认证密钥。

可选的，解析模块3013具体用于：

调整待检测密钥的字节长度，待检测密钥的字节长度与预置字节长度相同；

将待检测密钥与预置的第一字符串进行异或运算，得到第一相关密钥，预置的第一字符串的字节长度与预置字节长度相同；

将第一相关密钥与挑战码结合，得到第一候选密钥；

将待检测密钥与预置的第二字符串进行异或运算，得到第二相关密钥，预置的第二字符串的字节长度与预置字节长度相同；

将第二相关密钥与第一候选密钥结合，得到待认证密钥。

可选的，判断单元302包括：

第二获取模块3021，用于获取配置中心中的第二预置密钥；

衍生模块3022，用于将客户端名称与第二预置密钥通过三重数据加密算法进行密钥衍生，在配置中心中得到对称密钥，预置的配置信息中包括客户端名称；

第三获取模块3023，用于根据对称密钥和预置算法获取鉴权密钥；

判断模块3024，用于判断待检测密钥与鉴权密钥是否相同。

可选的，衍生模块3022具体用于：

在配置中心中，获取客户端名称的字节数据，预置的配置信息中包括客户端名称；

对客户端名称的字节数据与第二预置密钥做三重数据加密算法，得到第一对称密钥；

对客户端名称的字节数据取反，得到客户端名称的反字节数据；

对客户端名称的反字节数据与第二预置密钥做三重数据加密算法，得到第二对称密钥；

将第一对称密钥与第二对称密钥进行合并，得到对称密钥。

可选的，第三获取模块3023具体用于：

调整对称密钥的字节长度，对称密钥的字节长度与预置字节长度相同；

将对称密钥与预置的第三字符串进行异或运算，得到第三相关密钥，预置的第三字符串的字节长度与预置字节长度相同；

将第三相关密钥与挑战码结合，获取到第二候选密钥；

将对称密钥与预置的第四字符串进行异或运算，得到第四相关密钥，预置的第四字符串的字节长度与预置字节长度相同；

将第三相关密钥与第二候选密钥结合，获取到鉴权密钥。

可选的，配置文件的生成方法还包括：

第二获取单元305，用于在配置中心中获取预置的配置信息；

汇总单元306，用于将预置的配置信息按照预置规则进行排列与汇总，得到配置文件。

本发明实施例中，解析单元301，用于获取客户端的配置请求，并利用预置算法对配置请求进行解析，得到待认证密钥，配置请求中包括待检测密钥，待检测密钥是客户端名称与第一预置密钥进行密钥衍生得到的；第二获取单元305，用于在配置中心中获取预置的配置信息；汇总单元306，用于将预置的配置信息按照预置规则进行排列与汇总，得到配置文件；判断单元302，用于判断待检测密钥与鉴权密钥是否相同，鉴权密钥是通过预置算法预置对配置信息进行解析得到的；确认单元303，用于若鉴权密钥与待认证密钥相同，则生成会话密钥；反馈单元304，用于通过会话密钥，将配置文件反馈给客户端，配置文件包括预置的配置信息。

上面图3至图4从模块化功能实体的角度对本发明实施例中的配置文件的生成装置进行详细描述，下面从硬件处理的角度对本发明实施例中配置文件的生成设备进行详细描述。

下面结合图5对配置文件的生成设备的各个构成部件进行具体的介绍：

图5是本发明实施例提供的一种配置文件的生成设备的结构示意图，该配置文件的生成设备500可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(centralprocessingunits，cpu)501(例如，一个或一个以上处理器)和存储器509，一个或一个以上存储应用程序507或数据506的存储介质508(例如一个或一个以上海量存储设备)。其中，存储器509和存储介质508可以是短暂存储或持久存储。存储在存储介质508的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对签到管理设备中的一系列指令操作。更进一步地，处理器501可以设置为与存储介质508通信，在配置文件的生成设备500上执行存储介质508中的一系列指令操作。

配置文件的生成设备500还可以包括一个或一个以上电源502，一个或一个以上有线或无线网络接口503，一个或一个以上输入输出接口504，和/或，一个或一个以上操作系统505，例如windowsserve，macosx，unix，linux，freebsd等等。本领域技术人员可以理解，图5中示出的配置文件的生成设备结构并不构成对配置文件的生成设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图5对配置文件的生成设备的各个构成部件进行具体的介绍：

处理器501是配置文件的生成设备的控制中心，可以按照配置文件的生成方法进行处理。处理器501利用各种接口和线路连接整个配置文件的生成设备的各个部分，通过运行或执行存储在存储器509内的软件程序和/或模块，以及调用存储在存储器509内的数据，通过对提取配置文件的客户端进行身份验证，提高系统对配置文件的保护。存储介质508和存储器509都是存储数据的载体，本发明实施例中，存储介质508可以是指储存容量较小，但速度快的内存储器，而存储器509可以是储存容量大，但储存速度慢的外存储器。

存储器509可用于存储软件程序以及模块，处理器501通过运行存储在存储器509的软件程序以及模块，从而执行配置文件的生成设备500的各种功能应用以及数据处理。存储器509可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等；存储数据区可存储根据配置文件的生成设备的使用所创建的数据等。此外，存储器509可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在本发明实施例中提供的配置文件的生成程序和接收到的数据流存储在存储器中，当需要使用时，处理器501从存储器509中调用。

在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本发明实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、双绞线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，光盘)、或者半导体介质(例如固态硬盘(solidstatedisk，ssd))等。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

以上，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：翟岳辉;刘亚猛
技术所有人：中国平安人寿保险股份有限公司
我是此专利的发明人

上一篇：轴流压气机基元叶型造型方法与流程
上一篇：用于星箭分离的电磁锁紧释放机构以及电磁锁紧释放方法与流程

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。