CN105338020B - 一种业务访问方法及装置 - Google Patents

一种业务访问方法及装置 Download PDF

Info

Publication number
CN105338020B
CN105338020B CN201410312944.2A CN201410312944A CN105338020B CN 105338020 B CN105338020 B CN 105338020B CN 201410312944 A CN201410312944 A CN 201410312944A CN 105338020 B CN105338020 B CN 105338020B
Authority
CN
China
Prior art keywords
service
business
request information
authority
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410312944.2A
Other languages
English (en)
Other versions
CN105338020A (zh
Inventor
刘成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201410312944.2A priority Critical patent/CN105338020B/zh
Priority to PCT/CN2015/076094 priority patent/WO2016000473A1/zh
Priority to EP15814144.0A priority patent/EP3166283B1/en
Publication of CN105338020A publication Critical patent/CN105338020A/zh
Priority to US15/390,974 priority patent/US10412057B2/en
Application granted granted Critical
Publication of CN105338020B publication Critical patent/CN105338020B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例提供一种业务访问方法及装置,涉及通信技术领域,通过安全传输代理装置进行业务权限的验证管理,减少了业务服务端组网成本及改造维护工作量,同时增强了通信安全性。该方案包括:安全传输代理装置对客户端发送的业务请求消息进行解密,其中,业务请求消息包括业务类型,并根据业务类型对解密后的业务请求消息的业务权限进行验证,若该业务权限验证成功,将解密后的业务请求消息进行协议转换,并发送协议转换后的业务请求消息至业务服务端,以使得业务服务端根据协议转换后的业务请求消息执行相应的业务。

Description

一种业务访问方法及装置
技术领域
本发明涉及通信技术领域,尤其涉及一种业务访问方法及装置。
背景技术
随着通信网络技术的不断发展,目前BSS(Business support system,业务支撑***)已经由内部网络逐步向互联网方向发展。其中,业务支撑***是电信业务运营***提供的业务运营和管理平台,如计费、结算、帐务、客服、营业等***。当用户在客户端进行业务操作时,业务请求将通过互联网发送至内部网络中的各个业务支撑***,当业务支撑***接收外部网络中的业务请求时,因BSS***中涉及大量客户私人敏感信息,从安全性考虑,需要客户端与业务服务端之间使用标准安全协议进行通信,如HTTPs协议。
在现有技术的BSS业务***组网方案中,通常通过内部网络中的各个业务支撑***分别向客户端发布安全证书,客户端根据该安全证书对业务请求进行加密,若某客户端需要应用多个内部网络业务支撑***提供的服务,则该客户端需要导入多份安全证书,并根据业务的不同选择不同的证书对业务请求进行加密,从而保证客户端与业务服务端之间通信的安全性。
由于各个业务支撑***都需要对外发布安全证书及安全验证,对于访问量大性能要求高的业务支撑***,为了避免响应超时,达到性能要求需进行设备扩容,使得组网成本增加;而且,由于BSS业务支撑***本身的业务领域划分,各个业务***服务端都需要进行证书发布,维护困难,同时,也增加了客户端的改造量以及维护工作量。
发明内容
本发明的实施例提供一种业务访问方法及装置,通过安全传输代理装置进行业务权限的验证管理,减少了业务服务端组网成本及改造维护工作量,同时增强了通信安全性。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明实施例提供一种安全传输代理装置,包括:
接收单元,用于接收客户端发送的业务请求消息;
解密单元,用于将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型;
验证单元,用于根据所述业务类型对解密后的业务请求消息的业务权限进行验证;
转换单元,用于若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;
发送单元,用于发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
在第一方面第一种可能实现方式中,结合第一方面,所述业务请求消息至少还包括消息渠道和用户信息,
所述验证单元,用于根据所述消息渠道和所述业务类型对所述业务权限进行第一验证;若所述第一验证成功,根据所述用户信息和所述业务类型对所述业务权限进行第二验证;
所述转换单元,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
在第一方面第二种可能实现方式中,结合第一方面第一种可能实现方式,所述验证单元,具体用于在预设的数据库中查找与所述消息渠道对应的第一业务类型;若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
在第一方面第三种可能实现方式中,结合第一方面第二种可能实现方式,所述验证单元,具体用于在所述预设的数据库中查找与所述用户信息对应的第一权限值;在所述预设的数据库中查找与所述业务类型对应的第二权限值;若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功;
所述转换单元,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
在第一方面第四种可能实现方式中,结合第一方面第二种可能实现方式,所述验证单元,具体用于在所述预设的数据库中查找与所述用户信息对应的第一归属业务***和第三权限值;在所述预设的数据库中查找与所述业务类型对应的第二归属业务***和第四权限值;若所述第一归属业务***与所述第二归属业务***相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功;
所述转换单元,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
在第一方面第五种可能实现方式中,结合第一方面及第一方面第四种可能实现方式,所述解密后的业务请求消息携带第一协议标识,所述转换单元,具体用于将所述解密后的业务请求消息携带的第一协议标识转换为所述业务服务端可识别的第二协议标识。
在第一方面第六种可能实现方式中,结合第一方面及第一方面第四种可能实现方式,所述装置还包括适配单元:用于对所述业务请求消息进行协议适配。
在第一方面第七种可能实现方式中,结合第一方面及第一方面第四种可能实现方式,所述发送单元,还用于向所述客户端发布安全证书,以使得所述客户端根据所述安全证书对所述业务请求消息进行加密。
在第一方面第八种可能实现方式中,结合第一方面,所述发送单元,还用于若所述业务权限验证失败,发送请求失败消息至所述客户端。
第二方面,本发明实施例提供一种客户端,包括:
获取单元,用于获取业务请求消息;
加密单元,用于对所述业务请求消息进行加密;
发送单元,用于发送加密后的业务请求消息至安全传输代理装置。
在第二方面第一种可能实现方式中,结合第二方面,所述客户端还包括:
加载单元,用于加载所述安全传输代理装置发布的安全证书。
在第二方面第二种可能实现方式中,结合第二方面及第二方面第一种可能实现方式,所述业务请求消息携带第一协议标识。
第三方面,本发明实施例提供一种业务访问***,包括:至少一个如上所述的客户端、负载均衡器、至少一个业务服务端以及如上所述的安全传输代理装置,所述至少一个客户端与所述负载均衡器连接,所述负载均衡器与所述安全传输代理装置连接,所述安全传输代理装置与所述至少一个业务服务端连接。
第四方面,本发明实施例提供一种业务访问方法,包括:
接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型;
根据所述业务类型对解密后的业务请求消息的业务权限进行验证;
若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;
发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
在第四方面第一种可能实现方式中,结合第四方面,所述业务请求消息至少还包括消息渠道和用户信息,所述根据所述业务类型对解密后的业务请求消息的业务权限进行验证,包括:
根据所述消息渠道和所述业务类型对所述业务权限进行第一验证;
若所述第一验证成功,根据所述用户信息和所述业务类型对所述业务权限进行第二验证。
在第四方面第二种可能实现方式中,结合第四方面第一种可能实现方式,所述根据所述消息渠道和所述业务类型对所述业务权限进行第一验证,具体包括:
在预设的数据库中查找与所述消息渠道对应的第一业务类型;
若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
在第四方面第三种可能实现方式中,结合第四方面第二种可能实现方式,所述根据所述用户信息和所述业务类型对所述业务权限进行第二验证,具体包括:
在所述预设的数据库中查找与所述用户信息对应的第一权限值;
在所述预设的数据库中查找与所述业务类型对应的第二权限值;
若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功。
在第四方面第四种可能实现方式中,结合第四方面第二种可能实现方式,所述根据所述用户信息和所述业务类型对所述业务权限进行第二验证,具体包括:
在所述预设的数据库中查找与所述用户信息对应的第一归属业务***和第三权限值;
在所述预设的数据库中查找与所述业务类型对应的第二归属业务***和第四权限值;
若所述第一归属业务***与所述第二归属业务***相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功。
在第四方面第五种可能实现方式中,结合第四方面及第四方面第一种可能实现方式,所述解密后的业务请求消息携带第一协议标识,所述将所述解密后的业务请求消息进行协议转换,包括:
将所述解密后的业务请求消息携带的第一协议标识转换为所述业务服务端可识别的第二协议标识。
在第四方面第六种可能实现方式中,结合第四方面及第四方面第一种可能实现方式,在所述将所述业务请求消息进行解密之前,所述方法还包括:对所述业务请求消息进行协议适配。
在第四方面第七种可能实现方式中,结合第四方面及第四方面第四种可能实现方式,在所述接收客户端发送的业务请求消息之前,所述方法还包括:向所述客户端发布安全证书,以使得所述客户端根据所述安全证书对所述业务请求消息进行加密。
在第四方面第八种可能实现方式中,结合第四方面,在所述根据所述业务类型对解密后的业务请求消息的业务权限进行验证之后,所述方法还包括:若所述业务权限验证失败,发送请求失败消息至所述客户端。
第五方面,本发明实施例提供一种业务***访问方法,包括:
获取业务请求消息,对所述业务请求消息进行加密;
发送加密后的业务请求消息至安全传输代理装置。
在第五方面第一种可能实现方式中,结合第五方面,在所述对所述业务请求消息进行加密之前,还包括:
加载所述安全传输代理装置发布的安全证书。
在第五方面第二种可能实现方式中,结合第五方面及第五方面第一种可能实现方式,所述业务请求消息携带第一协议标识。
本发明的实施例提供一种业务访问方法及装置,安全传输代理装置接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,业务请求消息包括业务类型,并根据业务类型对解密后的业务请求消息的业务权限进行验证;若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换,并发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的安全传输代理装置结构示意图;
图2为本发明实施例提供的安全传输代理装置结构示意图;
图3为本发明实施例提供的安全传输代理装置结构示意图;
图4为本发明实施例提供的客户端结构示意图;
图5为本发明实施例提供的客户端结构示意图;
图6为本发明实施例提供的业务访问***结构示意图;
图7为本发明实施例提供的业务访问方法流程示意图;
图8为本发明实施例提供的业务访问方法流程示意图;
图9为本发明实施例提供的业务访问方法流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例提供一种安全传输代理装置1,如图1所示,该装置1可以包括:
接收单元10,用于接收客户端发送的业务请求消息;
解密单元11,用于将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型;
验证单元12,用于根据所述业务类型对解密后的业务请求消息的业务权限进行验证;
转换单元13,用于若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;
发送单元14,用于发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
进一步的,所述业务请求消息至少还包括消息渠道和用户信息,
所述验证单元12,用于根据所述消息渠道和所述业务类型对所述业务权限进行第一验证;若所述第一验证成功,则根据所述用户信息和所述业务类型对所述业务权限进行第二验证;
所述转换单元13,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
进一步的,所述验证单元12,具体用于在预设的数据库中查找与所述消息渠道对应的第一业务类型;若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
可选的,所述验证单元12,具体用于在所述预设的数据库中查找与所述用户信息对应的第一权限值;在所述预设的数据库中查找与所述业务类型对应的第二权限值;若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功;
所述转换单元13,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
可选的,所述验证单元12,具体用于在所述预设的数据库中查找与所述用户信息对应的第一归属业务***和第三权限值;在所述预设的数据库中查找与所述业务类型对应的第二归属业务***和第四权限值;若所述第一归属业务***与所述第二归属业务***相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功;
所述转换单元13,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
进一步的,所述解密后的业务请求消息携带第一协议标识,所述转换单元13,具体用于将所述解密后的业务请求消息携带的第一协议标识转换为所述业务服务端可识别的第二协议标识。
进一步的,如图2所示,所述装置还包括适配单元15:用于对所述业务请求消息进行协议适配。
进一步的,发送单元14,还用于向所述客户端发布安全证书,以使得所述客户端根据所述安全证书对所述业务请求消息进行加密。
可选的,发送单元14,还用于若所述业务权限验证失败,发送请求失败消息至所述客户端。
本发明实施例提供一种安全传输代理装置,安全传输代理装置接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,解密后的业务请求消息包括业务类型;根据所述业务类型对解密后的业务请求消息的业务权限进行验证;若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。
实施例二
本发明实施例提供一种安全传输代理装置2,如图3所示,该装置2可以包括:
处理器20,用于接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型;
处理器20,用于根据所述业务类型对解密后的业务请求消息的业务权限进行验证;
处理器20,用于若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;
发送器21,用于发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
进一步的,所述业务请求消息至少还包括消息渠道和用户信息,
处理器20,用于根据所述消息渠道和所述业务类型对所述业务权限进行第一验证;若所述第一验证成功,则根据所述用户信息和所述业务类型对所述业务权限进行第二验证,在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
进一步的,处理器20,具体用于在预设的数据库中查找与所述消息渠道对应的第一业务类型;若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
可选的,处理器20,具体用于在所述预设的数据库中查找与所述用户信息对应的第一权限值;在所述预设的数据库中查找与所述业务类型对应的第二权限值;若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功,在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
可选的,处理器20,具体用于在所述预设的数据库中查找与所述用户信息对应的第一归属业务***和第三权限值;在所述预设的数据库中查找与所述业务类型对应的第二归属业务***和第四权限值;若所述第一归属业务***与所述第二归属业务***相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功,在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
进一步的,所述解密后的业务请求消息携带第一协议标识,处理器20,具体用于将所述解密后的业务请求消息携带的第一协议标识转换为所述业务服务端可识别的第二协议标识。
进一步的,处理器20,还用于对所述业务请求消息进行协议适配。
进一步的,发送器21,还用于向所述客户端发布安全证书,以使得所述客户端根据所述安全证书对所述业务请求消息进行加密。
可选的,发送器21,还用于若所述业务权限验证失败,发送请求失败消息至所述客户端。
本发明实施例提供一种安全传输代理装置,安全传输代理装置接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,解密后的业务请求消息包括业务类型;根据所述业务类型对解密后的业务请求消息的业务权限进行验证;若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。
实施例三
本发明实施例提供一种客户端3,如图4所示,该客户端3可以包括:
获取单元30,用于获取业务请求消息;
加密单元31,用于对所述业务请求消息进行加密;
发送单元32,用于发送加密后的业务请求消息至安全传输代理装置。
进一步的,如图5所示,该客户端3还包括:
加载单元33,用于加载所述安全传输代理装置发布的安全证书。
进一步的,所述业务请求消息携带第一协议标识。
本发明实施例提供一种客户端,该客户端对获取的业务请求消息进行加密,并发送加密后的业务请求消息至安全传输代理装置。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。
实施例四
本发明实施例提供一种业务访问***4,如图6所示,包括:至少一个如上所述的客户端3,负载均衡器40,如上所述的安全传输代理装置1,以及至少一个业务服务端41,至少一个客户端3与负载均衡器40连接,负载均衡器40与安全传输代理装置1连接,安全传输代理装置1与至少一个业务服务端41连接。
具体的,业务访问***中的每一个客户端、每一个业务服务端的工作流程基本相同的,以至少一个客户端中的一个客户端,至少一个业务服务端中的一个业务服务端为例说明业务访问***的工作过程。
安全传输代理装置向客户端发布安全证书,客户端加载安全传输代理装置发布的安全证书;客户端根据安全证书对业务请求消息进行加密,发送所述业务请求消息发送至负载均衡器;负载均衡器接收所述业务请求消息,并将所述业务请求消息发送至所述安全传输代理装置;安全传输代理装置接收业务请求消息,将业务请求消息进行解密,其中,业务请求消息包括业务类型,并根据业务类型对解密后的业务请求消息的业务权限进行验证,若所述业务权限验证成功,将解密后的业务请求消息进行协议转换,并发送协议转换后的业务请求消息至业务服务端;业务服务端根据协议转换后的业务请求消息执行相应的业务。
其中,负载均衡器采用各种分配算法把网络请求分散到一个服务器集群中的可用服务器上去,通过管理进入的Web数据流量和增加有效的网络带宽,从而使网络访问者获得尽可能最佳的联网体验的硬件设备。
其中,安全证书是用户在进行网上通信时的私人钥匙,在进行通信过程中,安全证书会对用户的通信信息进行高强度的加密,以防止他人窃取或修改等,保证安全性。
本发明实施例提供一种业务访问***,包括至少一个客户端、负载均衡器、至少一个业务服务端以及安全传输代理装置,安全传输代理装置向至少一个客户端发布安全证书,客户端加载安全传输代理装置发布的安全证书,并根据安全证书对业务请求消息进行加密,安全传输代理装置对接收到的业务请求消息进行解密及权限验证,若权限验证成功,将业务请求消息进行协议转换后发送至业务服务端,业务服务端根据业务请求消息执行相应的业务。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。各个客户端与业务服务端的之间的业务操作,只需针对一个统一的安全权限验证中心,也降低的客户端的改造量和维护量。
实施例五
本发明实施例提供一种业务访问方法,如图7所示,所述方法可以包括:
101、安全传输代理装置接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型。
具体的,在本发明实施例提供的一种业务访问方法中,由安全传输代理装置在DMZ(Demilitarized Zone,半信任区)对互联网上客户端针对其各自所能支撑的安全协议发布安全证书,而不再采用各个业务服务端单独向客户端发布安全证书的方式。安全传输代理装置可以向多个客户端发布一个安全证书,客户端可以根据该安全证书对业务请求消息进行加密,从而保证客户端与业务服务端之间通信的安全性。
其中,DMZ称为半信任区或隔离区。DMZ为一个不同于外网或内网的特殊网络区域,通常将Web、Mail、FTP等允许外部网络访问的服务器接在DMZ内端口,而将整个需要保护的内部网络接在信任区端口后,实现内外网分离。
其中,安全证书是用户在进行网上通信时的私人钥匙,在进行通信过程中,安全证书会对用户的通信信息进行高强度的加密,以防止他人窃取或修改等,保证安全性。
具体的,安全传输代理装置获取客户端发送的业务请求消息,该业务请求消息已通过客户端根据安全传输代理装置发布的证书进行加密,安全传输代理装置对业务请求消息进行解密,所述业务请求消息可以包括业务类型、消息渠道和用户信息,也可以包括业务内容等其它的信息,本实施例对此不限定。
需要说明的是,安全传输代理装置可以根据第一预设算法对所述业务请求消息进行解密,该第一预设算法与客户端根据安全证书对业务请求消息进行加密的算法是对应的,即客户端根据安全证书对业务请求消息进行加密,安全传输代理装置可以通过第一预设算法对该加密的业务请求消息进行解密,该第一预设算法可以为现有技术中的解密算法,本实施例对此不限定。
需要说明的是,如果客户端需使用私有加密协议与业务服务端进行业务交互,也同样可以由安全传输代理装置发布安全证书,该安全证书可以与应用于其它业务服务端的安全证书不同,安全传输代理装置对该私有加密的安全证书、业务请求消息的解密和业务权限验证进行管理。
102、安全传输代理装置根据所述业务类型对解密后的业务请求消息的业务权限进行验证。
具体的,如上所述业务请求消息可以包括消息渠道,用户信息,业务类型,业务内容等。安全传输代理装置根据业务类型对解密后的业务请求消息进行业务权限验证的实现方式可以为:安全传输代理装置根据所述消息渠道和所述业务类型对所述业务权限进行第一验证;若所述第一验证成功,根据所述用户信息和所述业务类型对所述业务权限进行第二验证。
其中,安全传输代理装置根据所述消息渠道和所述业务类型对所述业务权限进行第一验证的一种可能实现方式为:
安全传输代理装置在预设的数据库中查找与所述消息渠道对应的第一业务类型;若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
其中,安全传输代理装置根据所述用户信息和所述业务类型对所述业务权限进行第二验证的一种可能实现方式为:
安全传输代理装置在预设的数据库中查找与所述用户信息对应的第一权限值;在预设的数据库中查找与所述业务类型对应的第二权限值;若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功。
其中,安全传输代理装置根据所述用户信息和所述业务类型对所述业务权限进行第二验证的一种可能实现方式为:
安全传输代理装置在预设的数据库中查找与所述用户信息对应的第一归属业务***和第三权限值;在预设的数据库中查找与所述业务类型对应的第二归属业务***和第四权限值;若所述第一归属业务***与所述第二归属业务***相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功。
103、若所述业务权限验证成功,安全传输代理装置将所述解密后的业务请求消息进行协议转换。
具体的,通信的不同端可能采用不同的通信协议,不同的通信协议彼此不识别对方的帧格式传输方法,所以需要在使用不同协议的网络区域间做协议转换。若客户端采用的为第一通信协议,业务服务端采用的为第二通信协议,可以理解为,采用第一通信协议的消息携带第一协议标识,采用第二通信协议的消息携带第二协议标识,解密后的业务请求消息携带第一协议标识,业务服务端可以识别的第二通信协议,因此安全传输代理装置需要将解密后的业务请求消息携带的第一协议标识转换为业务服务端可识别的第二协议标识,即安全传输代理装置将解密后的业务请求消息的第一通信协议转换为业务服务端可识别的第二通信协议。本发明实施例中的协议转换是指依照协议标识所指示的协议的格式对消息的协议进行转换。
需要说明的是,安全传输代理装置可以根据第二预设算法对解密后的业务请求消息进行协议转换,该第二预设算法可以为现有技术中的协议转换算法,本实施例对此不限定。
104、安全传输代理装置发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
具体的,当业务请求消息的业务权限验证成功后,安全传输代理装置将该协议转换后的业务请求消息发送至业务服务端,以使得该业务服务端根据业务请求消息执行相应的业务。
本发明实施例提供一种业务访问方法,安全传输代理装置接收客户端发送的业务请求消息,并将所述业务请求消息进行解密,其中,业务请求消息包括业务类型;根据所述业务类型对解密后的业务请求消息的业务权限进行验证;若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。
实施例六
本发明实施例提供一种业务访问方法,如图8所示,所述方法包括:
201、安全传输代理装置接收客户端发送的业务请求消息,对所述业务请求消息进行协议适配,并将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型。
具体的,在本发明实施例提供的一种业务访问方法中,由安全传输代理装置在DMZ(Demilitarized Zone,半信任区)对互联网上客户端针对其各自所能支撑的安全协议发布安全证书,而不再采用各个业务服务端单独向客户端发布安全证书的方式。安全传输代理装置可以向多个客户端发布一个安全证书,客户端可以根据该安全证书对所要发送的业务请求消息进行加密,从而保证客户端与业务服务端之间通信的安全性。
其中,DMZ称为半信任区或隔离区。DMZ为一个不同于外网或内网的特殊网络区域,通常将Web、Mail、FTP等允许外部网络访问的服务器接在DMZ内端口,而将整个需要保护的内部网络接在信任区端口后,实现内外网分离。
具体的,安全传输代理装置获取客户端发送的业务请求消息,该业务请求消息已通过客户端根据安全传输代理装置发布的证书进行加密,安全传输代理装置对业务请求消息进行协议适配,对协议适配后的业务请求消息进行解密,解密后获得业务请求消息具体可以包括业务类型、消息渠道和用户信息,也可以包括业务内容等其它的信息,本实施例对此不限定。
需要说明的是,安全传输代理装置可以根据第一预设算法对所述业务请求消息进行解密,该第一预设算法与客户端根据安全证书对业务请求消息进行加密的算法是对应的,即客户端根据安全证书对业务请求消息进行加密,安全传输代理装置可以通过第一预设算法对该加密的业务请求消息进行解密,该第一预设算法可以为现有技术中的解密算法,本实施例对此不限定。
需要说明的是,如果客户端需使用私有加密协议与业务服务端进行业务交互,也同样可以由安全传输代理装置发布安全证书,该安全证书可以与应用于其它业务服务端的安全证书不同,安全传输代理装置对该私有加密的安全证书、业务请求消息的解密和业务权限验证进行管理。
202、安全传输代理装置在预设的数据库中查找与所述消息渠道对应的第一业务类型;若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
其中,如上所述解密后获得的业务请求消息可以包括消息渠道,用户信息,业务类型,业务内容,也可以包括其它,本实施例对此不限定。
其中,消息渠道为业务请求消息的发送消息的媒介物,如电子渠道e-care,语音渠道IVR(Interactive Voice Response,互动式语音应答)等。
示例性的,对业务权限进行第一验证,若预设的第一数据库如表1所示,预设了不同的业务渠道对应的可以执行的业务类型,即e-care(电子服务)渠道允许业务请求查询客户信息(Query Customer Information),充值卡充值业务(Recharge by voucher card)以及修改用户主体业务(Change Primary offering)和附属业务(Change supplementaryoffering);而IVR(语音服务)渠道只允许业务请求充值卡充值(Recharge by vouchercard)和修改用户附属业务(Change supplementary offering);若IVR渠道请求了不允许执行的业务(例如,修改用户主体业务),则拒绝该业务请求。
表1
业务渠道 业务类型
IVR Recharge by voucher card
IVR Change supplementary offering
e-care Change Primary offering
e-care Query Customer Information
e-care Change supplementary offering
e-care Recharge by voucher card
示例性的,若解密后的业务请求消息头为:
Channel ID:IVR;
Service Type:Recharge by voucher card;
即消息渠道为:IVR(Interactive Voice Response,互动式语音应答),业务类型为:充值卡充值业务。
安全传输代理装置在预设的第一数据库(如表1所示)中查找与消息渠道IVR对应的第一业务类型为:Recharge by voucher card,Change supplementary offering,其中,业务类型Recharge by voucher card与第一业务类型中的Recharge by voucher card相同,则第一验证成功,即Recharge by voucher card在IVR渠道允许申请的业务范围内,业务请求可以受理。
需要说明的是,在预设的数据库中查找的与消息渠道对应的第一业务类型可以是一个或者多个业务类型,只要所述业务类型与第一业务类型中的任意一个相同,则可以判断第一验证成功。
进一步地,安全传输代理装置在预设的数据库中查找与所述消息渠道对应的第一业务类型,若所述业务类型与所述第一业务类型中的任一个均不相同,则所述第一验证失败,安全传输代理装置发送请求失败消息至客户端。
示例性的,若解密后的业务请求消息头为:
Channel ID:IVR;
Service Type:Change Primary offering;
即消息渠道为:IVR(Interactive Voice Response,互动式语音应答),业务类型为:修改用户主体产品。
安全传输代理装置在预设的第一数据库(如表1所示)中查找与消息渠道IVR对应的第一业务类型为,Recharge by voucher card,Change supplementary offering,其中,业务类型Change Primary offering与第一业务类型Recharge by voucher card,Changesupplementary offering中的任何一个都不相同,则该消息渠道和业务类型第一权限验证失败,即Change Primary offering不在IVR渠道允许申请的业务范围内,此业务请求不能通过权限验证,业务请求拒绝受理。
需要说明的是,在预设的数据库中查找的与消息渠道对应的第一业务类型可以是一个或者多个业务类型,所述业务类型与第一业务类型中的任意一个都不相同,则可以判断第一验证失败。
可选的,若内部网络的各个业务服务端采用统一的操作管理机制,此时,各个业务服务端的用户ID和口令保持一致,对互联网上发送的业务请求消息进行验证时,无需考虑该业务请求消息最终由哪个业务服务端处理以及业务请求消息中包括的用户ID是否为该业务服务端的有效操作用户,因此,可以采用如下所述的步骤203进行验证。
203、安全传输代理装置在预设的数据库中查找与所述用户信息对应的第一权限值;在预设的数据库中查找与所述业务类型对应的第二权限值;若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功。
其中,用户信息可以包括用户ID和口令。如上所述,解密后的业务请求消息可以包括消息渠道,用户信息,业务类型,业务内容,也可以包括其它,本实施例对此不限定。
为了以下描述简单,假设将权限值分为三个:S,A,B,依次由高到低排列,即S级权限值最高,B级权限值最低,A级权限值为S级与B级之间。
示例性的,若解密后的请求消息头为:
Channel ID:e-care;
Service Type:Change Primary offering;
Operator ID:operator1;
即消息渠道为:e-care(电子化服务),业务类型为:修改用户主体产品;用户ID为:操作员1。
安全传输代理装置在预设的第二数据库(如表2所示)中查找与用户信息operator1对应的第一权限值为S;并在预设的数据库(如表3所示)中查找与业务类型Change Primary offering对应的第二权限值为S;operator1第一权限值S等于第二权限值S,则通过第二权限验证,业务请求可以受理。
表2
用户ID 用户权限值
operator1 S
operator2 A
表3
业务类型 业务类型权限值
Change Primary offering S
Query Customer Information B
Change supplementary offering A
Recharge by voucher card S
示例性的,若解密后的请求消息头为:
Channel ID:e-care;
Service Type:Query Customer Information;
Operator ID:operator1;
即消息渠道为:e-care(电子化服务),业务类型为:查询客户信息;用户ID为:操作员1。
安全传输代理装置在预设的第二数据库(如表2所示)中查找与用户信息operator1对应的第一权限值为S;并在预设的第三数据库(如表3所示)中查找与业务类型Query Customer Information对应的第二权限值为B;operator1第一权限值S大于第二权限值S,则第二验证成功,业务请求可以受理。
示例性的,若解密后的请求消息头为:
Channel ID:e-care;
Service Type:Change supplementary offering;
Operator ID:operator2;
即消息渠道为:e-care,业务类型为:修改用户附属产品;用户ID为,操作员2。
安全传输代理装置在预设的第二数据库(如表2所示)中查找与用户信息operator2对应的第一权限值为A;在预设的第三数据库(如表3所示)中查找与业务类型Change supplementary offering对应的第二权限值为A;operator1第一权限值A等于第二权限值A,则第二验证成功,业务请求可以受理。
进一步地,安全传输代理装置在预设的数据库中查找与所述用户信息对应的第一权限值;在预设的数据库中查找与所述业务类型对应的第二权限值;若所述第一权限值小于所述第二权限值,所述用户信息和所述业务类型第二验证失败,安全传输代理装置发送请求失败消息至客户端。
示例性的,若解密后的请求消息头为:
Channel ID:e-care;
Service Type:Change Primary offering;
Operator ID:operator2;
即消息渠道为:e-care,业务类型为:修改用户附属产品;用户ID为,操作员2。
安全传输代理装置在预设的第二数据库(如表2所示)中查找与用户信息operator2对应的第一权限值为A;并在预设的第三数据库(如表3所示)中查找与业务类型Change Primary offering对应的第二权限值为S;operator1第一权限值A小于第二权限值S,则第二验证失败,业务请求不能受理。
可选的,若内部网络的各个业务服务端采用各自独立的管理体制,此时,对互联网上发送的业务请求消息进行验证时,需要考虑业务请求消息最终由哪个业务服务端处理以及业务请求消息中传入的用户ID是否为该业务服务端的有效操作用户,因此,可以采用如下所述的步骤204进行验证。
204、安全传输代理装置在所述预设的数据库中查找与所述用户信息对应的第一归属业务***和第三权限值;在所述预设的数据库中查找与所述业务类型对应的第二归属业务***和第四权限值;若所述第一归属业务***与所述第二归属业务***相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功。
其中,如上所述,用户信息可以包括用户ID和口令。解密后的业务请求消息可以包括消息渠道,用户信息,业务类型,业务内容,也可以包括其它,本实施例对此不限定。
为了以下描述简单,假设将权限值分为三个:S,A,B,依次由高到低排列,即S级权限值最高,B级权限值最低,A级权限值为S级与B级之间。
示例性的,若解密后的请求消息头为:
Channel ID:e-care;
Service Type:Change Primary offering;
Operator ID:operator1;
即消息渠道为:e-care,业务类型为:修改用户主体产品;用户ID为,操作员1。
安全传输代理装置在预设的第四数据库(如表4所示)中查找与用户信息operator1对应的第一归属业务***CRM和第三权限值S;并在预设的第五数据库(如表5所示)中查找与业务类型Change Primary offering对应的第二归属业务系CRM统和第四权限值S;第一归属业务***与第二归属业务***相同,即用户ID与请求的业务类型归属同一个业务***,而且第三权限值等于第四权限值,第二验证成功,业务请求可以受理。
示例性的,若解密后的业务请求消息头为:
Channel ID:e-care;
Service Type:Query Customer Information;
Operator ID:operator1;
即消息渠道为:e-care,业务类型为:查询客户信息;用户ID为,操作员1。
安全传输代理装置在预设的第四数据库(如表4所示)中查找与用户信息operator1对应的第一归属业务***CRM(Customer Relationship Management,客户关系管理)和第三权限值S;在预设的第五数据库(如表5所示)中查找与业务类型QueryCustomer Information对应的第二归属业务系CRM统和第四权限值B;第一归属业务***与第二归属业务***相同,即用户ID与请求的业务类型归属同一个业务***,而且第三权限值大于第四权限值,第二验证成功,业务请求可以受理。
表4
用户ID 归属业务*** 用户权限值
operator1 CRM S
operator2 CBS A
operator2 CBS S
表5
进一步地,安全传输代理装置在预设的数据库中查找与所述用户信息对应的第一归属业务***和第三权限值;在预设的数据库中查找与所述业务类型对应的第二归属业务***和第四权限值;若所述第一归属业务***与所述第二归属业务***不相同,或者所述第三权限值小于所述第四权限值,所述第二验证失败,安全传输代理装置发送请求失败消息至客户端。
示例性的,若解密后的业务请求消息头为:
Channel ID:e-care;
Service Type:Change supplementary offering;
Operator ID:operator3;
即消息渠道为:e-care,业务类型为:修改用户附属产品;用户ID为,操作员3。
安全传输代理装置在预设的第四数据库(如表4所示)中查找与用户信息operator3对应的第一归属业务***CBS(Converting Billing system,计费***)和第三权限值S;在预设的第五数据库(如表5所示)中查找与业务类型Change supplementaryoffering对应的第二归属业务系CRM统和第四权限值A;虽然第三权限值大于第四权限值,用户ID与请求的业务类型不属于同一个业务***,则第二验证失败,业务请求不能受理。
示例性的,若解密后的业务请求消息头为:
Channel ID:e-care;
Service Type:Recharge by voucher card;
Operator ID:operator2;
即消息渠道为:e-care,业务类型为:充值卡充值业务;用户ID为,操作员2。
安全传输代理装置在预设的第四数据库(如表4所示)中查找与用户信息operator2对应的第一归属业务***CBS和第三权限值A;在预设的第五数据库(如表5所示)中查找与业务类型Recharge by voucher card对应的第二归属业务***CBS和第四权限值S;虽然用户ID与请求的业务类型归属同一个业务***,但是,第三权限值小于第四权限值,则第二验证失败,业务请求不能受理。
205、安全传输代理装置将所述解密后的业务请求消息携带的第一协议标识转换为业务服务端可识别的第二协议标识。
具体的,通信的不同端可能采用不同的通信协议,不同的通信协议彼此不识别对方的帧格式传输方法,所以需要在使用不同协议的网络区域间做协议转换。若客户端采用的为第一通信协议,业务服务端采用的为第二通信协议,可以理解,采用第一通信协议的消息携带第一协议标识,采用第二通信协议的消息携带第二协议标识,解密后的业务请求消息携带第一协议标识,业务服务端可以识别的第二通信协议,因此安全传输代理装置需要将解密后的业务请求消息携带的第一协议标识转换为业务服务端可识别的第二协议标识,即安全传输代理装置将解密后的业务请求消息的第一通信协议转换为业务服务端可识别的第二通信协议。本发明实施例中的协议转换是指依照协议标识所指示的协议的格式对消息的协议进行转换。
示例性的,若客户端采用的是https的协议,而业务服务端采用的是http的协议,安全传输代理装置需要将https的协议转换为http的协议。
需要说明的是,安全传输代理装置可以根据第二预设算法对解密后的业务请求消息进行协议转换,该第二预设算法可以为现有技术中的协议转换算法,本实施例对此不限定。
206、安全传输代理装置发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
具体的,当业务请求消息的业务权限验证成功后,安全传输代理装置将该协议转换后的业务请求消息发送至业务服务端,以使得该业务服务端根据业务请求消息执行相应的业务。
本发明的实施例提供一种业务访问方法,安全传输代理装置接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,业务请求消息包括业务类型,并根据业务类型对解密后的业务请求消息的业务权限进行验证;若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换,并发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型、消息渠道和用户信息对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。
实施例七
本发明实施例提供一种业务***访问方法,如图9所示,包括:
301、客户端获取业务请求消息,对所述业务请求消息进行加密。
具体的,当用户需要进行某项业务操作时,客户端需要对通过用户操作获取的业务请求消息进行加密。首先,客户端需要加载安全传输代理装置向客户端发布的安全证书。当客户端获取业务请求消息后,根据安全证书对业务请求消息进行加密,其中,安全证书是用户在进行网上通信时的私人钥匙,在进行通信过程中,安全证书会对用户的通信信息进行高强度的加密,以防止他人窃取或修改等,保证安全性。
302、客户端发送加密后的业务请求消息至安全传输代理装置。
具体的,客户端将安全证书加密的业务请求消息发送至安全传输代理装置,该业务请求消息携带第一协议标识,第一协议标识用于指示客户端所采用的协议。
本发明实施例提供一种业务访问方法,客户端对获取的业务请求消息进行加密,并发送加密后的业务请求消息至安全传输代理装置。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型、消息渠道和用户信息对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种安全传输代理装置,其特征在于,包括:
接收单元,用于接收客户端发送的业务请求消息,所述业务请求消息已通过所述客户端根据所述安全传输代理装置发布的证书进行加密;
解密单元,用于将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型;
验证单元,用于根据所述业务类型对解密后的业务请求消息的业务权限进行验证;
转换单元,用于若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;
发送单元,用于发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
2.根据权利要求1所述的装置,其特征在于,所述业务请求消息至少还包括消息渠道和用户信息,
所述验证单元,用于根据所述消息渠道和所述业务类型对所述业务权限进行第一验证;若所述第一验证成功,则根据所述用户信息和所述业务类型对所述业务权限进行第二验证;
所述转换单元,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
3.根据权利要求2所述的装置,其特征在于,所述验证单元,具体用于在预设的数据库中查找与所述消息渠道对应的第一业务类型;若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
4.根据权利要求3所述的装置,其特征在于,所述验证单元,具体用于在所述预设的数据库中查找与所述用户信息对应的第一权限值;在所述预设的数据库中查找与所述业务类型对应的第二权限值;若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功;所述转换单元,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
5.根据权利要求3所述的装置,其特征在于,所述验证单元,具体用于在所述预设的数据库中查找与所述用户信息对应的第一归属业务***和第三权限值;在所述预设的数据库中查找与所述业务类型对应的第二归属业务***和第四权限值;若所述第一归属业务***与所述第二归属业务***相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功;
所述转换单元,用于在第二验证成功后,将所述解密后的业务请求消息进行协议转换。
6.一种业务访问方法,其特征在于,包括:
接收客户端发送的业务请求消息,所述业务请求消息已通过所述客户端根据安全传输代理装置发布的证书进行加密;
将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型;
根据所述业务类型对解密后的业务请求消息的业务权限进行验证;
若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;
发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
7.根据权利要求6所述的方法,其特征在于,所述业务请求消息至少还包括消息渠道和用户信息,所述根据所述业务类型对解密后的业务请求消息的业务权限进行验证,包括:
根据所述消息渠道和所述业务类型对所述业务权限进行第一验证;
若所述第一验证成功,则根据所述用户信息和所述业务类型对所述业务权限进行第二验证。
8.根据权利要求7所述的方法,其特征在于,所述根据所述消息渠道和所述业务类型对所述业务权限进行第一验证,具体包括:
在预设的数据库中查找与所述消息渠道对应的第一业务类型;
若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
9.根据权利要求8所述的方法,其特征在于,所述根据所述用户信息和所述业务类型对所述业务权限进行第二验证,具体包括:
在所述预设的数据库中查找与所述用户信息对应的第一权限值;
在所述预设的数据库中查找与所述业务类型对应的第二权限值;
若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功。
10.根据权利要求8所述的方法,其特征在于,所述根据所述用户信息和所述业务类型对所述业务权限进行第二验证,具体包括:
在所述预设的数据库中查找与所述用户信息对应的第一归属业务***和第三权限值;
在所述预设的数据库中查找与所述业务类型对应的第二归属业务***和第四权限值;
若所述第一归属业务***与所述第二归属业务***相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功。
CN201410312944.2A 2014-07-02 2014-07-02 一种业务访问方法及装置 Active CN105338020B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201410312944.2A CN105338020B (zh) 2014-07-02 2014-07-02 一种业务访问方法及装置
PCT/CN2015/076094 WO2016000473A1 (zh) 2014-07-02 2015-04-08 一种业务访问方法、***及装置
EP15814144.0A EP3166283B1 (en) 2014-07-02 2015-04-08 Business access method, system and device
US15/390,974 US10412057B2 (en) 2014-07-02 2016-12-27 Service access method and system, and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410312944.2A CN105338020B (zh) 2014-07-02 2014-07-02 一种业务访问方法及装置

Publications (2)

Publication Number Publication Date
CN105338020A CN105338020A (zh) 2016-02-17
CN105338020B true CN105338020B (zh) 2018-12-07

Family

ID=55018413

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410312944.2A Active CN105338020B (zh) 2014-07-02 2014-07-02 一种业务访问方法及装置

Country Status (4)

Country Link
US (1) US10412057B2 (zh)
EP (1) EP3166283B1 (zh)
CN (1) CN105338020B (zh)
WO (1) WO2016000473A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108242021B (zh) * 2016-12-26 2022-02-01 航天信息股份有限公司 一种账务数据的处理***、方法及装置
CN108667933A (zh) * 2018-05-11 2018-10-16 星络科技有限公司 连接建立方法、连接建立装置及通信***
CN110971622A (zh) * 2020-03-04 2020-04-07 信联科技(南京)有限公司 一种公网应用***与内网应用***间双向访问方法及***
CN111510476B (zh) * 2020-04-03 2023-06-20 金蝶软件(中国)有限公司 通信方法、装置、计算机设备和计算机可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001019102A1 (en) * 1999-09-02 2001-03-15 Nokia Mobile Phones Limited A wireless communication terminal for accessing location information from a server
CN1556634A (zh) * 2004-01-05 2004-12-22 中兴通讯股份有限公司 一种综合业务平台及其业务流程控制方法
CN101753561A (zh) * 2009-12-28 2010-06-23 中兴通讯股份有限公司 业务的集群处理方法及集群***
CN102291796A (zh) * 2011-09-02 2011-12-21 中国联合网络通信集团有限公司 业务数据传输方法、***及管理控制中心
CN103001962A (zh) * 2012-12-03 2013-03-27 中国联合网络通信集团有限公司 业务支撑方法和***
WO2013093474A1 (en) * 2011-12-21 2013-06-27 Veritape Ltd Method and apparatus for mediating communications

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6219790B1 (en) * 1998-06-19 2001-04-17 Lucent Technologies Inc. Centralized authentication, authorization and accounting server with support for multiple transport protocols and multiple client types
US7237261B1 (en) * 1999-09-07 2007-06-26 Swisscom Ag Method, system and gateway allowing secured end-to-end access to WAP services
US20020116637A1 (en) * 2000-12-21 2002-08-22 General Electric Company Gateway for securely connecting arbitrary devices and service providers
US20040030887A1 (en) * 2002-08-07 2004-02-12 Harrisville-Wolff Carol L. System and method for providing secure communications between clients and service providers
US20040225657A1 (en) * 2003-05-07 2004-11-11 Panacea Corporation Web services method and system
CN1314221C (zh) * 2004-02-01 2007-05-02 中兴通讯股份有限公司 一种安全代理方法
US20070288487A1 (en) * 2006-06-08 2007-12-13 Samsung Electronics Co., Ltd. Method and system for access control to consumer electronics devices in a network
US7970943B2 (en) * 2007-08-14 2011-06-28 Oracle International Corporation Providing interoperability in software identifier standards
CN101552989B (zh) * 2009-05-20 2011-01-26 中国电信股份有限公司 一种用户数据配置方法、***和移动网络配置网关
US8867539B2 (en) * 2009-09-18 2014-10-21 At&T Intellectual Property I, L.P. Multicast-unicast protocol converter
CN102104607B (zh) * 2011-03-10 2013-11-06 易程(苏州)软件股份有限公司 访问业务的安全控制方法、装置及***
KR101999335B1 (ko) * 2011-12-13 2019-07-11 비자 인터네셔널 서비스 어소시에이션 통합된 모바일 위탁 서비스 관리자
CN103428700A (zh) * 2013-07-26 2013-12-04 中国联合网络通信集团有限公司 业务鉴权方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001019102A1 (en) * 1999-09-02 2001-03-15 Nokia Mobile Phones Limited A wireless communication terminal for accessing location information from a server
CN1556634A (zh) * 2004-01-05 2004-12-22 中兴通讯股份有限公司 一种综合业务平台及其业务流程控制方法
CN101753561A (zh) * 2009-12-28 2010-06-23 中兴通讯股份有限公司 业务的集群处理方法及集群***
CN102291796A (zh) * 2011-09-02 2011-12-21 中国联合网络通信集团有限公司 业务数据传输方法、***及管理控制中心
WO2013093474A1 (en) * 2011-12-21 2013-06-27 Veritape Ltd Method and apparatus for mediating communications
CN103001962A (zh) * 2012-12-03 2013-03-27 中国联合网络通信集团有限公司 业务支撑方法和***

Also Published As

Publication number Publication date
EP3166283A4 (en) 2017-05-10
WO2016000473A1 (zh) 2016-01-07
US20170111329A1 (en) 2017-04-20
EP3166283A1 (en) 2017-05-10
CN105338020A (zh) 2016-02-17
US10412057B2 (en) 2019-09-10
EP3166283B1 (en) 2019-11-13

Similar Documents

Publication Publication Date Title
CN107040922B (zh) 无线网络连接方法、装置及***
CN106851632B (zh) 一种智能设备接入无线局域网的方法及装置
CN103036867B (zh) 基于相互认证的虚拟专用网络服务设备和方法
CN103441997B (zh) 一种内容共享方法、装置和***
CN108632250B (zh) 指令操控会话主密钥生成、操作指令传输的方法及设备
CN108401011A (zh) 内容分发网络中握手请求的加速方法、设备及边缘节点
CN105530253B (zh) 基于CA证书的Restful架构下的无线传感器网络接入认证方法
CN101640607B (zh) 基于因特网安全协议的虚拟专用网的配置方法及***
CN105338020B (zh) 一种业务访问方法及装置
CN103427998A (zh) 一种面向互联网数据分发的身份验证和数据加密方法
CN103634265B (zh) 安全认证的方法、设备及***
CN104756458A (zh) 用于保护通信网络中的连接的方法和设备
CN105142134B (zh) 参数获取以及参数传输方法和装置
CN113221184A (zh) 一种基于区块链网络的物联网***及装置
CN105577377A (zh) 带密钥协商的基于身份的认证方法和***
CN103841082A (zh) 安全能力协商方法和***、业务服务器、用户终端
CN103716280B (zh) 数据传输方法、服务器及***
CN114584306A (zh) 一种数据处理方法和相关装置
CN103297963A (zh) 基于无证书的m2m隐私保护和密钥管理的方法和***
WO2021029797A1 (en) Network nodes and methods for handling machine learning models in a communications network
WO2022153051A1 (en) System and method for key establishment
CN103401751B (zh) 因特网安全协议隧道建立方法和装置
CN103209107A (zh) 一种实现用户访问控制的方法
CN112948868A (zh) 一种基于区块链的电力数据存储方法及电力数据共享方法
Baldini et al. Identity-based security systems for vehicular ad-hoc networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant