CN106911632A - 一种调用能力封装的方法和*** - Google Patents

一种调用能力封装的方法和*** Download PDF

Info

Publication number
CN106911632A
CN106911632A CN201510974871.8A CN201510974871A CN106911632A CN 106911632 A CN106911632 A CN 106911632A CN 201510974871 A CN201510974871 A CN 201510974871A CN 106911632 A CN106911632 A CN 106911632A
Authority
CN
China
Prior art keywords
security strategy
transaction message
ability
business
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510974871.8A
Other languages
English (en)
Other versions
CN106911632B (zh
Inventor
赵培文
刘洋
全晓磊
董绍华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Group Liaoning Co Ltd
Original Assignee
China Mobile Group Liaoning Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Group Liaoning Co Ltd filed Critical China Mobile Group Liaoning Co Ltd
Priority to CN201510974871.8A priority Critical patent/CN106911632B/zh
Publication of CN106911632A publication Critical patent/CN106911632A/zh
Application granted granted Critical
Publication of CN106911632B publication Critical patent/CN106911632B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • G06Q30/0633Lists, e.g. purchase orders, compilation or processing
    • G06Q30/0635Processing of requisition or of purchase orders
    • G06Q30/0637Approvals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种调用能力封装的方法,依据能力调用平台的地址设置对应的第一安全策略;依据业务类型的风险等级设置对应的第二安全策略;所述能力调用平台依次采用所述第二安全策略和所述第一安全策略加密交易报文,并将加密的交易报文发送给能力封装***;所述能力封装***依次采用所述第一安全策略和所述第二安全策略对所述加密的交易报文进行解密,将解密后的交易报文发送给业务支撑***;所述业务支撑***确定所述解密后的交易报文中封装的业务权限标识和用户业务请求符合权限配置规则时,处理所述交易报文。本发明还公开了一种调用能力封装的***。

Description

一种调用能力封装的方法和***
技术领域
本发明涉及通讯业务支撑领域,尤其涉及一种调用能力封装的方法和***。
背景技术
在移动互联网时代,基于一个平台,通过能力开放,聚集大量的开发者,提供纷繁多样的应用,从而建立多方共赢的局面;这种模式已经被包括FaceBook、AppStore、Taobao等越来越多的成功案例验证。
正是在这种成功模式的吸引下,电信运营商也在积极探索电信业务能力的开放。电信运营商采取能力封装手段,为合作伙伴提供短信、定位、语音、IT等服务,涉及到产品配置、营销推荐、业务订购、计费收费、客户服务、积分等各种能力封装,延及客户全生命周期各个阶段。
目前,面向合作伙伴的运营商能力封装已经得到应用。如现有方案中有一种安全可信的能力开放平台,包括发布审核***、授权认证***及安全中间件服务器;其中,发布审核***对第三方应用进行发布审核,确保接入到能力开放平台的第三方应用是安全可信的,从而避免了由于第三方应用自身的漏洞带给平台的安全威胁或第三方应用成为整个能力开放平台的攻击后门;授权认证***对第三方应用访问能力开放平台提供资源进行授权及认证管理,确保了资源的合法访问,从而可以避免越权访问所造成的经济损失;最后,对第三方应用提供开放的安全中间件服务,增加第三方应用自身的安全性,最大限度的降低了开发难度及开发成本,提高第三方应用的开发效率,从而提高了整个能力开放平台的实用性、方便性以及灵活性。
但是,目前运营商为互联网合作伙伴提供包括客户基本信息查询、产品查询、产品订购、余额鉴权、支付、积分管理、服务投诉等功能,这些能力封装是为全体合作伙伴在互联网上提供的服务;由于各个合作伙伴的资质、能力和安全水平的不同,如果某个合作伙伴在互联网上被攻破,将会造成这个合作伙伴的全部功能使用受到影响,产生信息泄漏或收入损失;进一步的,还可能造成全体合作伙伴的能力封装使用受到影响,并造成全体合作伙伴的安全问题。那么,如何保证调用能力封装过程中的安全性,是运营商目前亟待解决的问题。
发明内容
有鉴于此,本发明实施例期望提供一种调用能力封装的方法和***,能保证调用能力封装过程中的安全性。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种调用能力封装的方法,所述方法包括:
依据各能力调用平台的地址设置对应的第一安全策略,依据各业务类型的风险等级设置对应的第二安全策略;
所述能力调用平台依次采用所述第二安全策略和所述第一安全策略加密交易报文,并将加密的交易报文发送给能力封装***;
所述能力封装***依次采用所述第一安全策略和所述第二安全策略对所述加密的交易报文进行解密,将解密后的交易报文发送给业务支撑***。
上述方案中,所述能力调用平台依次采用第二安全策略和第一安全策略加密交易报文,包括:
所述能力调用平台接收用户业务请求;
结合预先分配的业务权限标识和所述用户业务请求生成交易报文;
根据所述用户业务请求的业务风险等级和所述能力调用平台的地址,依次按照所述第二安全策略和第一安全策略对所述交易报文加密。
上述方案中,所述能力封装***依次采用第一安全策略和第二安全策略对所述加密的交易报文进行解密,包括:
所述能力封装***采用第一安全策略,根据所述交易报文的发起地址对所述交易报文进行第一层解密,提取业务风险等级;
采用第二安全策略,根据所述业务风险等级对述第一层解密后的交易报文进行第二层解密。
上述方案中,所述方法还包括:预先对不同的业务类型分配不同业务风险等级;
预先建立第一安全策略;所述第一安全策略为:根据所述能力调用平台的地址分配对应的加密算法和密钥,并定期随机重新分配;
所述加密算法包括:数据加密标准(DES,Data Encryption Standard)、高级加密标准(AES,Advanced Encryption Standard)、或公钥加密算法(RSA,Ron Rivest、Adi Shamir、Leonard Adleman);
预先建立第二安全策略;所述第二安全策略为:根据所述业务风险等级分配对应的加密策略,并定期随机重新分配;
所述加密策略包括:明文、消息摘要算法5(MD5,Message DigestAlgorithm 5)加密方式、或哈希算法加密方式。
上述方案中,所述方法还包括:所述业务支撑***确定所述解密后的交易报文中封装的业务权限标识和用户业务请求符合权限配置规则时,处理所述交易报文;
所述权限配置规则为:根据合作伙伴标识,分配业务权限标识及与所述业务权限标识对应的业务权限;
所述业务权限包括:客户基本信息查询、产品查询、产品订购、余额鉴权、支付、积分管理、服务投诉;
所述业务支撑***包括:客户关系管理***(CRM,Customer RelationshipManagement)、或业务运营支撑***(BOSS,Business&Operation SupportSystem)。
本发明实施例还提供了一种调用能力封装的***,所述***包括:能力调用平台、能力封装***、业务支撑***,其中,
所述能力调用平台,用于依次采用第二安全策略和第一安全策略加密交易报文,并将加密的交易报文发送给能力封装***;
所述能力封装***,用于依次采用第一安全策略和第二安全策略对所述加密的交易报文进行解密,将解密后的交易报文发送给业务支撑***;
所述能力封装***,还用于依据能力调用平台的地址设置对应的第一安全策略,依据业务类型的风险等级,设置对应的第二安全策略。
上述方案中,所述能力调用平台,具体用于:接收用户业务请求;
结合预先分配的业务权限标识和所述用户业务请求生成交易报文;
根据所述用户业务请求的风险等级和自身的地址,依次按照所述第二安全策略和第一安全策略对所述交易报文加密。
上述方案中,所述所述能力封装***,具体用于:
采用第一安全策略,根据所述交易报文的发起地址对所述交易报文进行第一层解密,提取所述业务风险等级;
采用第二安全策略,根据所述业务风险等级对述第一层解密后的交易报文进行第二层解密。
上述方案中,所述所述能力封装***,具体用于:
预先建立第一安全策略,所述第一安全策略,为:根据所述能力调用平台的地址分配对应的加密算法和密钥,并定期随机重新分配;
所述加密算法包括:DES、AES、或RSA;
预先建立第二安全策略,所述第二安全策略,为:根据所述业务风险等级分配对应的加密策略,并定期随机重新分配;
所述加密策略包括:明文、MD5加密方式、或哈希算法加密方式;
预先对不同的业务类型分配不同业务风险等级。
上述方案中,所述业务支撑***,用于确定所述解密后的交易报文中封装的业务权限标识和用户业务请求是否符合权限配置规则,如果符合,则处理所述交易报文;所述权限配置规则为:根据合作伙伴标识,分配业务权限标识及与所述业务权限标识对应的业务权限;
所述业务权限包括:客户基本信息查询、产品查询、产品订购、余额鉴权、支付、积分管理、服务投诉;
所述业务支撑***包括:CRM、或BOSS。
本发明实施例所提供的调用能力封装的方法和***,依据各能力调用平台的地址设置对应的第一安全策略,依据各业务类型的风险等级设置对应的第二安全策略;所述能力调用平台依次采用所述第二安全策略和所述第一安全策略加密交易报文,并将加密的交易报文发送给能力封装***;所述能力封装***依次采用所述第一安全策略和所述第二安全策略对所述加密的交易报文进行解密,将解密后的交易报文发送给业务支撑***;进一步的,所述业务支撑***确定所述解密后的交易报文中封装的业务权限标识和用户业务请求符合权限配置规则时,处理所述交易报文。如此,建立了基于加密策略、渠道管理、权限控制的分层安全加密管理机制,保证了调用能力封装过程中的安全性,实现了面向互联网合作伙伴的安全加密管理提体系。
附图说明
图1为本发明实施例一种调用能力封装的***的组成结构示意图;
图2为本发明实施例一种调用能力封装的方法的流程示意图;
图3为本发明实施例能力调用平台调用能力封装的流程示意图。
具体实施方式
本发明实施例中,依据各能力调用平台的地址设置对应的第一安全策略,依据各业务类型的风险等级设置对应的第二安全策略;所述能力调用平台依次采用所述第二安全策略和所述第一安全策略加密交易报文,并将加密的交易报文发送给能力封装***;所述能力封装***依次采用所述第一安全策略和所述第二安全策略对所述加密的交易报文进行解密,将解密后的交易报文发送给业务支撑***;进一步的,所述业务支撑***确定所述解密后的交易报文中封装的业务权限标识和用户业务请求符合权限配置规则时,处理所述交易报文。
下面结合实施例对本发明再作进一步详细的说明。
本发明实施例提供调用能力封装的***,如图1所示,包括:
能力调用平台11、能力封装***12、业务支撑***13,其中,
所述能力调用平台11,用于依次采用第二安全策略和第一安全策略加密交易报文,并将加密的交易报文发送给能力封装***12;
具体的,所述能力封装***12预先设定第一安全策略和第二安全策略为交易报文进行加密;所述第一安全策略可以为:根据能力调用平台11的地址分配对应的加密算法和密钥;所述加密算法包括:DES、AES、或RSA;这里,能力调用平台11可以是:合作伙伴平台;
由于每个合作伙伴都对应于一个能力调用平台11的地址,能力调用平台11的地址也就是所述交易报文的发起地址;可以根据所述交易报文的发起地址为每个合作伙伴分配相应的第一安全策略,如此,第一安全策略与所述交易报文的发起地址相关联;所述分配的加密算法和密钥可以定期更新以保证安全性;这里,可以采用随机给所述交易报文的发起地址分配加密算法和密钥。同时,由于所述能力调用平台11的地址为针对各合作伙伴所分配,每个合作伙伴又分配有相应的合作伙伴标识,因此,可以通过所述交易报文的发起地址查得合作伙伴标识。能力调用平台11分配的加密算法和密钥可以如表1所示,其中xxx.xxx.xxx.xxx表示各能力调用平台11的地址,所述地址可以是互联网协议(IP,Internet protocl)地址;
合作伙伴标识 发起地址 加密算法 密钥(加密保存)
H1 xxx.xxx.xxx.xxx DES *************
H2 xxx.xxx.xxx.xxx AES *************
H3 xxx.xxx.xxx.xxx RSA *************
表1
所述第二安全策略可以为:预先对不同的业务类型分配不同业务风险等级,根据业务风险等级分配对应加密策略,并可以定期重新分配;这里,可以采用随机给所述业务风险等级分配对应加密策略;如此,能力调用平台11可以根据业务类型查得业务风险等级来分配加密策略;根据业务风险等级分配加密策略可以如表2合作伙伴业务风险等级配置表所示;表2中,所述加密策略可以包括:采用明文、MD5加密方式、或哈希算法加密方式等,所述风险等级可以包括:高级、中级、低级,也可以采用更多的细分级别。
表2
能力调用平台11接收到用户业务请求,首先,结合预先分配的与所述能力调用平台11对应的业务权限标识和所述用户业务请求,形成交易报文;然后,采用第二安全策略,根据用户业务请求的业务类型查得对应于表2中的加密策略,对所述交易报文进行第一层加密;再采用第一安全策略,根据所述能力调用平台11的地址查得对应于表1的加密算法和密钥,对采用第一安全策略加密过的交易报文进行第二层加密;可以将业务类型或业务风险等级和采用第一安全策略加密过的交易报文放到一起进行第二层加密,如此,在解密过程中采用第一安全策略解密后可以提取风险等级,进行下一层解密。加密完成后,将所述加密的交易报文发送给所述能力封装***12。这里,所述业务权限标识可以包括:电信运营商在运营中分配给渠道销售商的渠道标识。
所述能力封装***12,用于依次采用第一安全策略和第二安全策略对所述加密的交易报文进行解密,将解密后的交易报文发送给业务支撑***13;
这里,所述能力封装***12接收所述加密的交易报文,并获取交易报文的发起地址;首先,确定所述发起地址是否在合作伙伴安全配置表中;然后,根据所述发起地址检索所述第一安全策略,取出相应的加密算法和密钥,对交易报文进行解密;根据解密的交易报文提取业务风险等级,这里,风险等级可以是直接在解密的交易报文中,也可以根据在解密的交易报文中的业务类型从所述第二安全策略中检索得来。根据提取的风险等级在第二安全策略查得加密策略,对交易报文进行解密;如果解密成功,则将解密的交易报文发送给业务支撑***13;如果解密失败,则反馈错误。这里,所述业务支撑***13可以包括:CRM、或BOSS。
所述业务支撑***13,用于确定所述解密后的交易报文中封装的业务权限标识和用户业务请求符合权限配置规则时,处理所述交易报文;
这里,预先制定有权限配置规则,如表3所示,所述权限配置规则可以为:根据合作伙伴标识,分配业务权限标识及与所述业务权限标识对应的业务权限;这里,所述业务支撑***13可以首先确定所述交易文件中的业务权限标识是否存在于所述权限配置规则,再根据交易报文中的业务权限标识和用户业务请求所属的业务类型来判断是否符合预先制定的合作伙伴的业务权限;如果这个合作伙伴发起的交易满足相关所述权限配置规则,则调用后台程序,为用户办理业务或反馈相应信息;如果这个合作伙伴发起的交易不满足所述权限配置规则,则反馈失败。这里,所述业务支撑***13可以包括:CRM、或BOSS。
表3
本发明实施例提供的调用能力封装的方法,如图1所示,包括:
步骤201:依据各能力调用平台的地址设置对应的第一安全策略,依据各业务类型的风险等级设置对应的第二安全策略;
这里,预先设定第一安全策略和第二安全策略为交易报文进行加密;所述第一安全策略可以为:根据能力调用平台的地址分配对应的加密算法和密钥;所述加密算法包括:DES、AES、或RSA;这里,能力调用平台可以是:合作伙伴平台;
由于每个合作伙伴都对应于一个能力调用平台的地址,能力调用平台的地址也就是所述交易报文的发起地址;可以根据所述交易报文的发起地址为每个合作伙伴分配相应的第一安全策略,如此,第一安全策略与所述交易报文的发起地址相关联;所述分配的加密算法和密钥可以定期更新以保证安全性;这里,可以采用随机给所述交易报文的发起地址分配加密算法和密钥。同时,由于所述能力调用平台的地址为针对各合作伙伴所分配,每个合作伙伴又分配有相应的合作伙伴标识,因此,可以通过所述交易报文的发起地址查得合作伙伴标识。能力调用平台分配的加密算法和密钥可以如表1合作伙伴安全配置表所示,其中,xxx.xxx.xxx.xxx表示各能力调用平台的地址,所述地址可以是IP地址。
所述第二安全策略可以为:预先对不同的业务类型分配不同业务风险等级,根据业务风险等级分配对应加密策略,并可以定期重新分配;这里,可以采用随机给所述业务风险等级分配对应加密策略;如此,能力调用平台可以根据业务类型查得业务风险等级来分配加密策略;根据业务风险等级分配的加密策略可以如表2合作伙伴业务风险等级配置表所示。表2中,所述加密策略可以包括:采用明文、MD5加密方式、或哈希算法加密方式等,所述风险等级可以包括:高级、中级、低级,也可以采用更多的细分级别;
步骤202:能力调用平台依次采用第二安全策略和第一安全策略加密交易报文,并将加密的交易报文发送给能力封装***;
能力调用平台接收到用户业务请求,首先,结合预先分配的与所述能力调用平台对应的业务权限标识和所述用户业务请求,形成交易报文;然后,采用第二安全策略,根据用户业务请求的业务类型查得对应于表2中的加密策略,对所述交易报文进行第一层加密;再采用第一安全策略,根据所述能力调用平台的地址查得对应于表1的加密算法和密钥,对采用第一安全策略加密过的交易报文进行第二层加密;可以将业务类型或业务风险等级和采用第一安全策略加密过的交易报文放到一起进行第二层加密,如此,解密过程中在采用第一安全策略解密后可以提取风险等级,进行下一层解密。加密完成后,将所述加密的交易报文发送给所述能力封装***。这里,所述业务权限标识可以包括:电信运营商在运营中分配给渠道运营商的渠道标识。
步骤203:所述能力封装***依次采用第一安全策略和第二安全策略对所述加密的交易报文进行解密,将解密后的交易报文发送给CRM/BOSS;
这里,所述能力封装接收所述加密的交易报文,并获取交易报文的发起地址,首先,确定所述发起地址是否在合作伙伴安全配置表中;然后,根据所述发起地址检索所述第一安全策略,取出相应的加密算法和密钥,对交易报文进行解密;根据解密的交易报文提取业务风险等级,这里,风险等级可以是直接在解密的交易报文中,也可以根据在解密的交易报文中的业务类型从所述第二安全策略中检索得来。根据提取的风险等级在第二安全策略查得加密策略,对交易报文进行解密;如果解密成功,则将解密的交易报文发送给业务支撑***;如果解密失败,则反馈错误。这里,所述业务支撑***可以包括:CRM、或BOSS。
进一步的,本发明实施例提供的调用能力封装的方法,还包括步骤204:所述业务支撑***确定所述解密后的交易报文中封装的业务权限标识和用户业务请求符合权限配置规则时,处理所述交易报文;
这里,预先制定有权限配置规则,如表3所示,所述权限配置规则可以为:根据合作伙伴标识,分配业务权限标识及与所述业务权限标识对应的业务权限;这里,可以首先确定所述交易文件中的业务权限标识是否存在于所述权限配置规则,再根据交易报文中的业务权限标识和用户业务请求所属的业务类型来判断是否符合预先制定的合作伙伴的业务权限;如果这个合作伙伴发起的交易满足相关所述权限配置规则,则调用后台程序,为用户办理业务或反馈相应信息;如果这个合作伙伴发起的交易不满足所述权限配置规则,则反馈失败。这里,所述业务支撑***可以包括:CRM、或BOSS。
下面结合具体示例对本发明产生的积极效果作进一步详细的描述。
如图3所示,所述示例以用户在能力调用平台发起交易请求为例,说明能力封装安全加密方法的具体流程。
步骤301,用户在某个能力调用平台发起请求,发起请求中携带发起地址信息;这里,所述能力调用平台可以是合作伙伴平台;
步骤302,能力调用平台根据用户交易请求,输入分配的业务权限标识形成交易报文,根据约定好的加密算法、密钥对报文进行加密,发给能力封装***;这里,所述业务权限标识可以包括:电信运营商在运营中分配给渠道运营商的渠道标识。
步骤303,能力封装***收到交易报文后,首先在合作伙伴安全配置表检索是否存在该交易报文中的发起地址。如果没有检索到此地址,则直接结束;如果检索到此地址,则流程继续执行;
步骤304,能力封装***检索到地址后,提取此地址对应的加密算法和密钥,对报文进行解密。如果解密失败,则直接结束;如果解密成功,则流程继续执行;
步骤305,能力封装***根据合作伙伴标识和发起交易功能检索合作伙伴业务风险等级配置表,取出风险等级和加密策略,对报文进行解密。如果解密失败,则直接结束;如果解密成功,则流程继续执行;
其中,合作伙伴业务风险等级配置表中配置了合作伙伴标识-风险等级-交易功能-加密策略等之间的关系,且根据交易功能的不同对应不同的风险等级和加密策略;
步骤306,能力封装***对报文解密成功后,将解密后的报文同步给业务支撑***;这里,所述业务支撑***可以包括:CRM、或BOSS。
步骤307,业务支撑***收到解密的交易报文后,首先根据交易报文中的业务权限标识在业务权限和功能权限配置表检索。如果没有检索到此业务权限标识,则直接结束;如果检索到此标识,则流程继续执行;
步骤308,业务支撑***检索到业务权限标识后,提取此标识对应的功能权限列表,判断此交易是否符合权限。如果不符合权限,则直接结束;如果符合权限,则流程继续执行;
步骤309,业务支撑***调用后台程序,为用户受理业务;
步骤310,结束流程。
以上所述,仅为本发明的佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种调用能力封装的方法,其特征在于,依据能力调用平台的地址设置对应的第一安全策略,依据业务类型的风险等级,设置对应的第二安全策略;所述方法还包括:
所述能力调用平台依次采用所述第二安全策略和所述第一安全策略加密交易报文,并将加密的交易报文发送给能力封装***;
所述能力封装***依次采用所述第一安全策略和所述第二安全策略对所述加密的交易报文进行解密,将解密后的交易报文发送给业务支撑***。
2.根据权利要求1所述的方法,其特征在于,所述能力调用平台依次采用第二安全策略和第一安全策略加密交易报文,包括:
所述能力调用平台接收用户业务请求;
结合预先分配的业务权限标识和所述用户业务请求生成交易报文;
根据所述用户业务请求的业务风险等级和所述能力调用平台的地址,依次按照所述第二安全策略和第一安全策略对所述交易报文加密。
3.根据权利要求1所述的方法,其特征在于,所述能力封装***依次采用第一安全策略和第二安全策略对所述加密的交易报文进行解密,包括:
所述能力封装***采用第一安全策略,根据所述交易报文的发起地址对所述交易报文进行第一层解密,提取业务风险等级;
采用第二安全策略,根据所述业务风险等级对述第一层解密后的交易报文进行第二层解密。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述依据能力调用平台的地址设置对应的第一安全策略,依据业务类型的风险等级设置对应的第二安全策略;包括:
预先对不同的业务类型分配不同业务风险等级;
预先建立第一安全策略;所述第一安全策略为:根据所述能力调用平台的地址分配对应的加密算法和密钥,并定期随机重新分配;
所述加密算法包括:数据加密标准DES、高级加密标准AES、或公钥加密算法RSA;
预先建立第二安全策略;所述第二安全策略为:根据所述业务风险等级分配对应的加密策略,并定期随机重新分配;
所述加密策略包括:明文、消息摘要算法5MD5加密方式、或哈希算法加密方式。
5.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:所述业务支撑***确定所述解密后的交易报文中封装的业务权限标识和用户业务请求符合权限配置规则时,处理所述交易报文;
所述权限配置规则为:根据合作伙伴标识,分配业务权限标识及与所述业务权限标识对应的业务权限;
所述业务权限包括:客户基本信息查询、产品查询、产品订购、余额鉴权、支付、积分管理、服务投诉;
所述业务支撑***包括:客户关系管理***CRM、或业务运营支撑***BOSS。
6.一种调用能力封装的***,其特征在于,所述***包括:能力调用平台、能力封装***、业务支撑***,其中,
所述能力调用平台,用于依次采用第二安全策略和第一安全策略加密交易报文,并将加密的交易报文发送给能力封装***;
所述能力封装***,用于依次采用第一安全策略和第二安全策略对所述加密的交易报文进行解密,将解密后的交易报文发送给业务支撑***;
所述能力封装***,还用于依据能力调用平台的地址设置对应的第一安全策略,依据业务类型的风险等级,设置对应的第二安全策略。
7.根据权利要求6所述的***,其特征在于,所述能力调用平台,具体用于:接收用户业务请求;
结合预先分配的业务权限标识和所述用户业务请求生成交易报文;
根据所述用户业务请求的风险等级和自身的地址,依次按照所述第二安全策略和第一安全策略对所述交易报文加密。
8.根据权利要求6所述的***,其特征在于,所述所述能力封装***,具体用于:
采用第一安全策略,根据所述交易报文的发起地址对所述交易报文进行第一层解密,提取所述业务风险等级;
采用第二安全策略,根据所述业务风险等级对述第一层解密后的交易报文进行第二层解密。
9.根据权利要求6或8任一项所述的***,其特征在于,所述所述能力封装***,具体用于:
预先建立第一安全策略,所述第一安全策略,为:根据所述能力调用平台的地址分配对应的加密算法和密钥,并定期随机重新分配;
所述加密算法包括:DES、AES、或RSA;
预先建立第二安全策略,所述第二安全策略,为:根据所述业务风险等级分配对应的加密策略,并定期随机重新分配;
所述加密策略包括:明文、MD5加密方式、或哈希算法加密方式;
预先对不同的业务类型分配不同业务风险等级。
10.根据权利要求6至8任一项所述的***,其特征在于,
所述业务支撑***,用于确定所述解密后的交易报文中封装的业务权限标识和用户业务请求符合权限配置规则时,处理所述交易报文;所述权限配置规则为:根据合作伙伴标识,分配业务权限标识及与所述业务权限标识对应的业务权限;
所述业务权限包括:客户基本信息查询、产品查询、产品订购、余额鉴权、支付、积分管理、服务投诉;
所述业务支撑***包括:CRM、或BOSS。
CN201510974871.8A 2015-12-22 2015-12-22 一种调用能力封装的方法和*** Active CN106911632B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510974871.8A CN106911632B (zh) 2015-12-22 2015-12-22 一种调用能力封装的方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510974871.8A CN106911632B (zh) 2015-12-22 2015-12-22 一种调用能力封装的方法和***

Publications (2)

Publication Number Publication Date
CN106911632A true CN106911632A (zh) 2017-06-30
CN106911632B CN106911632B (zh) 2019-12-13

Family

ID=59200283

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510974871.8A Active CN106911632B (zh) 2015-12-22 2015-12-22 一种调用能力封装的方法和***

Country Status (1)

Country Link
CN (1) CN106911632B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110059110A (zh) * 2019-04-12 2019-07-26 北京百度网讯科技有限公司 业务数据安全处理方法、装置、计算机设备和存储介质
CN110417778A (zh) * 2019-07-30 2019-11-05 中国工商银行股份有限公司 访问请求的处理方法和装置
CN114221814A (zh) * 2021-12-16 2022-03-22 上海市共进通信技术有限公司 实现终端设备安全开启特殊业务的***、方法、装置、处理器及其计算机可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102413464A (zh) * 2011-11-24 2012-04-11 杭州东信北邮信息技术有限公司 基于gba的电信能力开放平台密钥协商***和方法
CN102573112A (zh) * 2010-12-07 2012-07-11 中国电信股份有限公司 电信网络能力开放方法、***及联盟支撑平台
CN104268716A (zh) * 2014-10-14 2015-01-07 青岛海尔软件有限公司 电子商务信息处理方法、电商服务器及电子***服务器
CN104468126A (zh) * 2014-12-26 2015-03-25 北京深思数盾科技有限公司 一种安全通信***及方法
CN104484620A (zh) * 2014-12-26 2015-04-01 厦门雅迅网络股份有限公司 一种在快销销售管理云***中避免虚报销量和库存的方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102573112A (zh) * 2010-12-07 2012-07-11 中国电信股份有限公司 电信网络能力开放方法、***及联盟支撑平台
CN102413464A (zh) * 2011-11-24 2012-04-11 杭州东信北邮信息技术有限公司 基于gba的电信能力开放平台密钥协商***和方法
CN104268716A (zh) * 2014-10-14 2015-01-07 青岛海尔软件有限公司 电子商务信息处理方法、电商服务器及电子***服务器
CN104468126A (zh) * 2014-12-26 2015-03-25 北京深思数盾科技有限公司 一种安全通信***及方法
CN104484620A (zh) * 2014-12-26 2015-04-01 厦门雅迅网络股份有限公司 一种在快销销售管理云***中避免虚报销量和库存的方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110059110A (zh) * 2019-04-12 2019-07-26 北京百度网讯科技有限公司 业务数据安全处理方法、装置、计算机设备和存储介质
CN110059110B (zh) * 2019-04-12 2021-05-28 北京百度网讯科技有限公司 业务数据安全处理方法、装置、计算机设备和存储介质
CN110417778A (zh) * 2019-07-30 2019-11-05 中国工商银行股份有限公司 访问请求的处理方法和装置
CN110417778B (zh) * 2019-07-30 2022-02-11 中国工商银行股份有限公司 访问请求的处理方法和装置
CN114221814A (zh) * 2021-12-16 2022-03-22 上海市共进通信技术有限公司 实现终端设备安全开启特殊业务的***、方法、装置、处理器及其计算机可读存储介质
CN114221814B (zh) * 2021-12-16 2023-10-27 上海市共进通信技术有限公司 实现终端设备安全开启特殊业务的***、方法、装置、处理器及其计算机可读存储介质

Also Published As

Publication number Publication date
CN106911632B (zh) 2019-12-13

Similar Documents

Publication Publication Date Title
CN109858262B (zh) 基于区块链***的流程审批方法、装置、***及存储介质
CN108513704B (zh) 终端主密钥的远程分发方法及其***
CN103595718B (zh) 一种pos终端激活方法、***、服务平台及pos终端
CN106973036B (zh) 一种基于非对称加密的区块链隐私保护方法
CN101641976B (zh) 认证方法
US8184811B1 (en) Mobile telephony content protection
CN103186850B (zh) 用于获取支付凭证的方法、设备及***
CN108880995B (zh) 基于区块链的陌生社交网络用户信息及消息推送加密方法
CN101771699A (zh) 一种提高SaaS应用安全性的方法及***
CN104935758A (zh) 呼叫方法、装置及***
CN101350718B (zh) 一种基于用户识别模块的播放内容权限范围的保护方法
CN105812332A (zh) 数据保护方法
CN103812651B (zh) 密码验证方法、装置及***
CN101217374B (zh) 三方会话中用户隐私保护方法
CN104393993A (zh) 一种用于售电终端的安全芯片及其实现方法
CN109379345B (zh) 敏感信息传输方法及***
CN103198261A (zh) 保护文件内容安全的方法和***
CN102594568A (zh) 基于多级数字证书的保障移动设备软件镜像安全的方法
CN101841814B (zh) 终端鉴权方法及***
CN104125230A (zh) 一种短信认证服务***以及认证方法
CN105812334A (zh) 一种网络认证方法
CN106911632A (zh) 一种调用能力封装的方法和***
CN105119716A (zh) 一种基于sd卡的密钥协商方法
CN107566413A (zh) 一种基于数据短信技术的智能卡安全认证方法及***
CN110337100B (zh) 基于区块链的一号多卡业务副卡添加方法、终端以及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant