CN113922974A - 一种信息处理方法及系统、前端、服务端、存储介质 - Google Patents

一种信息处理方法及系统、前端、服务端、存储介质 Download PDF

Info

Publication number
CN113922974A
CN113922974A CN202010576357.XA CN202010576357A CN113922974A CN 113922974 A CN113922974 A CN 113922974A CN 202010576357 A CN202010576357 A CN 202010576357A CN 113922974 A CN113922974 A CN 113922974A
Authority
CN
China
Prior art keywords
server
identifier
request
key
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010576357.XA
Other languages
English (en)
Other versions
CN113922974B (zh
Inventor
温小清
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Suzhou Software Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202010576357.XA priority Critical patent/CN113922974B/zh
Publication of CN113922974A publication Critical patent/CN113922974A/zh
Application granted granted Critical
Publication of CN113922974B publication Critical patent/CN113922974B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种信息处理方法及系统、前端、服务端、存储介质,应用于前端的信息处理方法包括:当检测到请求信息和目标服务器标识时,从预设服务器标识和密钥的对应关系中,确定目标服务器标识对应的目标密钥;基于目标密钥,对请求信息进行加密,生成加密请求信息,并将目标服务器标识和加密请求信息发送给服务端,以使得服务端对加密请求信息进行处理;能够从前端、前端和服务端之间的传输路径中都只能获取到加密请求信息,无法对加密请求信息进行改写,也就无法利用加密请求信息对服务端进行恶意流量攻击,提高服务端的安全性。

Description

一种信息处理方法及系统、前端、服务端、存储介质
技术领域
本发明涉及数据加密技术,尤其涉及一种信息处理方法及系统、前端、服务端、存储介质。
背景技术
在目前微服务系统盛行的年代中,前端和服务端的分工越来越明确,前端接收到请求指令,需要通过和服务端进行数据交互,完成对请求指令的响应;其中,服务端提供表述性状态传递(Rest,Representational State Transfer)接口,前端向Rest接口发送由请求地址和请求参数组成的明文,以从Rest接口获取数据,如此,非法用户就可以通过浏览器的开发者工具或者超文本传输协议(Http)调试代理工具(例如,fiddler)等抓包工具,获取到前端发送的明文,即请求地址和请求参数,再利用网络爬虫很容易基于请求地址和请求参数对服务端模拟请求,进而可能对服务端造成恶意攻击和无效流量,降低了服务端的安全性。
发明内容
本发明提出一种信息处理方法及系统、前端、服务端、存储介质,旨在提高服务端的安全性。
本发明的技术方案是这样实现的:
本发明提供了一种信息处理方法,应用于前端,所述方法包括:
当检测到请求信息和目标服务器标识时,从预设服务器标识和密钥的对应关系中,确定所述目标服务器标识对应的目标密钥;
基于所述目标密钥,对所述请求信息进行加密,生成加密请求信息,并将所述目标服务器标识和所述加密请求信息发送给服务端,以使得所述服务端对所述加密请求信息进行处理。
上述方案中,所述请求信息包括请求服务地址。
上述方案中,在所述从预设服务器标识和密钥的对应关系中,确定所述目标服务器标识对应的目标密钥之前,所述方法还包括:
获取自身标识,并将所述自身标识发送给所述服务端,以使得所述服务端基于所述自身标识返回待访问服务器标识对应的密钥;
当接收到所述待访问服务器标识对应的密钥时,对所述待访问服务器标识对应的密钥进行映射,得到所述预设服务器标识和密钥的对应关系。
上述方案中,在所述基于所述目标密钥,对所述请求信息进行加密,生成加密请求信息,并将所述目标服务器标识和所述加密请求信息发送给服务端之后,所述方法还包括:
当从所述服务端接收到处理结果时,显示所述处理结果;所述处理结果为对所述加密请求信息进行处理后得到的。
本发明提供了一种信息处理方法,应用于服务端,所述服务端包括网关服务器,所述方法包括:
当从前端接收到自身标识时,通过所述网关服务器基于所述自身标识、以及预设前端标识和服务器访问权限的对应关系,得到待访问服务器标识对应的密钥,并将所述待访问服务器标识对应的密钥发送给所述前端;
当从所述前端接收到目标服务器标识和加密请求信息时,基于所述目标服务器标识,对所述加密请求信息进行处理,得到处理结果,并将所述处理结果发送给所述前端;其中,所述加密请求信息为所述前端利用所述待访问服务器标识对应的密钥对请求信息进行加密生成的。
上述方案中,所述通过所述网关服务器基于所述自身标识、以及预设前端标识和服务器访问权限的对应关系,得到待访问服务器标识对应的密钥,包括:
通过所述网关服务器基于所述自身标识,从所述预设前端标识和服务器访问权限的对应关系中,确定所述待访问服务器标识;
通过所述网关服务器根据所述待访问服务器标识,从预设密钥数据库中获取所述待访问服务器标识对应的密钥。
上述方案中,所述预设密钥数据库包括:非对称密钥和第一服务器标识的第一对应关系,对称密钥和第二服务器标识的第二对应关系;其中,所述第一服务器标识表征处理重要服务业务的服务器,所述第二服务器标识表征处理普通服务业务的服务器。
上述方案中,所述服务端还包括处理服务器;所述基于所述目标服务器标识,对所述加密请求信息进行处理,得到处理结果,包括:
通过所述网关服务器基于所述目标服务器标识,对所述加密请求信息进行解密,得到请求明文信息;
从所述处理服务器中,确定所述目标服务器标识所指示的目标服务器;
将所述请求明文信息传输至所述目标服务器;
通过所述目标服务器,对所述请求明文信息进行处理,得到所述处理结果。
上述方案中,所述通过所述网关服务器基于所述目标服务器标识,对所述加密请求信息进行解密,得到请求明文信息,包括:
通过所述网关服务器从预设密钥数据库中,确定所述目标服务器标识对应的解密密钥,并利用所述解密密钥,对所述加密请求信息进行解密,得到所述请求明文信息。
上述方案中,所述通过所述目标服务器,对所述请求明文信息进行处理,得到所述处理结果,包括:
通过所述目标服务器从所述请求明文信息中,读取当前设备标识、当前令牌、当前用户信息、请求服务地址和请求对象信息;
通过所述目标服务器从预设数据库中获取所述当前用户信息对应的预存设备标识;所述预设数据库表征用户信息、设备标识、令牌和有效时限的对应关系;
当所述预存设备标识和所述当前设备标识一致时,通过所述目标服务器根据所述当前用户信息和所述当前令牌,从所述预设数据库中获取预存有效时限;
通过所述目标服务器获取当前时刻;
当所述当前时刻属于所述预存有效时限内时,通过所述目标服务器从预设服务地址和服务处理器的对应关系中,确定所述请求服务地址对应的请求服务处理器;
通过所述请求服务处理器,对所述请求对象信息进行处理,得到所述处理结果。
上述方案中,在所述通过所述目标服务器从预设数据库中获取所述当前用户信息对应的预存设备标识之后,所述方法还包括:
当所述预存设备标识和所述当前设备标识不一致时,通过所述目标服务器利用所述当前用户信息和所述当前设备标识,生成新令牌和新有效时限;
通过所述目标服务器利用所述新令牌、所述新有效时限、所述当前设备标识,对所述预设数据库中的所述当前用户信息对应的令牌、有效时限和设备标识进行更新,得到更新后的数据库,并将所述更新后的数据库作为所述预设数据库;
通过所述目标服务器从预设服务地址和服务处理器的对应关系中,确定所述请求服务地址对应的请求服务处理器;
通过所述请求服务处理器,对所述请求对象信息进行处理,得到所述处理结果。
本发明提供了一种前端,所述前端包括:
获取模块,用于当检测到请求信息和目标服务器标识时,从预设服务器标识和密钥的对应关系中,确定所述目标服务器标识对应的目标密钥;
加密模块,用于基于所述目标密钥,对所述请求信息进行加密,生成加密请求信息,并将所述目标服务器标识和所述加密请求信息发送给服务端,以使得所述服务端对所述加密请求信息进行处理。
上述方案中,所述请求信息包括请求服务地址。
上述方案中,所述获取模块,还用于在所述从预设服务器标识和密钥的对应关系中,确定所述目标服务器标识对应的目标密钥之前,获取自身标识,并将所述自身标识发送给所述服务端,以使得所述服务端基于所述自身标识返回待访问服务器标识对应的密钥;以及当接收到所述待访问服务器标识对应的密钥时,对所述待访问服务器标识对应的密钥进行映射,得到所述预设服务器标识和密钥的对应关系。
上述方案中,所述前端还包括:
显示模块,用于在所述基于所述目标密钥,对所述请求信息进行加密,生成加密请求信息,并将所述目标服务器标识和所述加密请求信息发送给服务端之后,当从所述服务端接收到处理结果时,显示所述处理结果;所述处理结果为对所述加密请求信息进行处理后得到的。
本发明提供了一种前端,所述前端包括:第一处理器、第一存储器和第一通信总线,所述第一存储器通过所述第一通信总线与所述第一处理器进行通信,所述第一存储器存储所述第一处理器可执行的一个或者多个程序,当所述一个或者多个程序被执行时,通过所述第一处理器执行如上述任一项应用于前端的信息处理方法。
本发明提供了一种服务端,所述服务端包括网关服务器和处理服务器;
所述网关服务器,用于当从前端接收到自身标识时,基于所述自身标识、以及预设前端标识和服务器访问权限的对应关系,得到待访问服务器标识对应的密钥,并将所述待访问服务器标识对应的密钥发送给所述前端;
所述网关服务器,还用于当从所述前端接收到目标服务器标识和加密请求信息时,结合所述处理服务器,基于所述目标服务器标识,对所述加密请求信息进行处理,得到处理结果,并将所述处理结果发送给所述前端;其中,所述加密请求信息为所述前端利用所述待访问服务器标识对应的密钥对请求信息进行加密生成的。
上述方案中,所述网关服务器,还用于基于所述自身标识,从所述预设前端标识和服务器访问权限的对应关系中,确定所述待访问服务器标识;以及根据所述待访问服务器标识,从预设密钥数据库中获取所述待访问服务器标识对应的密钥。
上述方案中,所述预设密钥数据库包括:非对称密钥和第一服务器标识的第一对应关系,对称密钥和第二服务器标识的第二对应关系;其中,所述第一服务器标识表征处理重要服务业务的服务器,所述第二服务器标识表征处理普通服务业务的服务器。
上述方案中,所述网关服务器,还用于基于所述目标服务器标识,对所述加密请求信息进行解密,得到请求明文信息;及从所述处理服务器中,确定所述目标服务器标识所指示的目标服务器;以及将所述请求明文信息传输至所述目标服务器;
所述目标服务器,用于对所述请求明文信息进行处理,得到所述处理结果。
上述方案中,所述网关服务器,还用于从预设密钥数据库中,确定所述目标服务器标识对应的解密密钥,并利用所述解密密钥,对所述加密请求信息进行解密,得到所述请求明文信息。
上述方案中,所述目标服务器,还用于从所述请求明文信息中,读取当前设备标识、当前令牌、当前用户信息、请求服务地址和请求对象信息;及从预设数据库中获取所述当前用户信息对应的预存设备标识;所述预设数据库表征用户信息、设备标识、令牌和有效时限的对应关系;及当所述预存设备标识和所述当前设备标识一致时,根据所述当前用户信息和所述当前令牌,从所述预设数据库中获取预存有效时限;及获取当前时刻;及当所述当前时刻属于所述预存有效时限内时,从预设服务地址和服务处理器的对应关系中,确定所述请求服务地址对应的请求服务处理器;以及通过所述请求服务处理器,对所述请求对象信息进行处理,得到所述处理结果。
上述方案中,所述目标服务器包括:
更新模块,用于在所述从预设数据库中获取所述当前用户信息对应的预存设备标识之后,当所述预存设备标识和所述当前设备标识不一致时,利用所述当前用户信息和所述当前设备标识,生成新令牌和新有效时限;以及利用所述新令牌、所述新有效时限、所述当前设备标识,对所述预设数据库中的所述当前用户信息对应的令牌、有效时限和设备标识进行更新,得到更新后的数据库,并将所述更新后的数据库作为所述预设数据库;
映射处理模块,用于从预设服务地址和服务处理器的对应关系中,确定所述请求服务地址对应的请求服务处理器;以及通过所述请求服务处理器,对所述请求对象信息进行处理,得到所述处理结果。
本发明提供了一种服务端,所述服务端包括:第二处理器、第二存储器和第二通信总线,所述第二存储器通过所述第二通信总线与所述第二处理器进行通信,所述第二存储器存储所述第二处理器可执行的一个或者多个程序,当所述一个或者多个程序被执行时,通过所述第二处理器执行如上述任一项应用于服务端的信息处理方法。
本发明提供了一种信息处理系统,所述系统包括前端和服务端,所述前端包括获取模块和加密模块;
所述获取模块,用于当检测到请求信息和目标服务器标识时,从预设服务器标识和密钥的对应关系中,确定所述目标服务器标识对应的目标密钥;
所述加密模块,用于基于所述目标密钥,对所述请求信息进行加密,生成加密请求信息,并将所述目标服务器标识和所述加密请求信息传输至服务端;
所述服务端,用于基于所述目标服务器标识,对所述加密请求信息进行处理,得到处理结果,并将所述处理结果传输至所述前端。
本发明提供了一种计算机可读存储介质,所述计算机可读存储介质存储有程序,当所述程序被至少一个第一处理器执行时,所述至少一个第一处理器执行如上述任一项应用于前端的信息处理方法。
本发明提供了一种计算机可读存储介质,所述计算机可读存储介质存储有程序,当所述程序被至少一个第二处理器执行时,所述至少一个第二处理器执行上述任一项应用于服务端的信息处理方法。
本发明提供一种信息处理方法及系统、前端、服务端、存储介质,采用上述技术实现方案,前端接收到请求信息时,从预设服务器标识和密钥的对应关系中确定目标密钥,再采用目标密钥对请求信息进行加密,生成加密请求信息后传输给服务端,由服务端对加密请求信息进行处理;由于前端先对请求信息进行加密再传输,如此,从前端、前端和服务端之间的传输路径中都只能获取到加密请求信息,无法对加密请求信息进行改写,也就无法利用加密请求信息对服务端进行恶意流量攻击,提高了服务端的安全性;并且前端对请求信息加密后再向服务端发送,对请求信息中的请求服务地址等都进行加密,更有效地保障数据传输的安全,攻击者无法通过爬虫技术获取明文的请求信息,有效防止了利用请求信息进行无效浏览的恶意攻击,避免非法获取请求信息;另外,服务端中的上游的处理服务器对加密解密过程无感知,无须为解密进行额外处理;网关服务器若解密失败则直接向前端返回解密失败信息,不会传递任何信息到处理服务器,有效地减少了对处理服务器的无效流量攻击。
附图说明
图1为本发明提供的一种信息处理系统的结构示意图一;
图2为本发明提供的一种应用于前端的信息处理方法的流程图一;
图3为本发明提供的一种应用于前端的信息处理方法的流程图二;
图4为本发明提供的一种应用于服务端的信息处理方法的流程图;
图5为本发明提供的一种处理请求对象信息的流程示意图;
图6为本发明提供的一种应用于前端和服务端的信息处理方法的流程图一;
图7为本发明提供的一种应用于前端和服务端的信息处理方法的流程图二;
图8为本发明提供的一种信息处理系统的结构示意图二;
图9为本发明提供的一种信息处理系统的结构示意图三;
图10为本发明提供的一种前端的结构示意图一;
图11为本发明提供的一种前端的结构示意图二;
图12为本发明提供的一种服务端的结构示意图一;
图13为本发明提供的一种服务端的结构示意图二;
图14为本发明提供的一种信息处理系统的结构示意图四。
具体实施方式
下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
下面参见图1,其为现有的信息处理系统的示意图,信息处理系统1包括前端11和服务端12;前端11可以通过终端实现,服务端12用于存储数据和处理请求等;用户通过在终端上进行操作,向前端11发送相关请求,前端11基于相关请求和服务端12进行数据交互,以获取请求处理结果;其中,前端11和服务端12可以完全分离,服务端12可以被做成单体应用,也可做成微服务并提供网关接口。
目前前端中最常用的传输协议就是Http,但由于Http采用明文进行传输,任何窃取者均可对明文进行修改,以利用明文对服务端进行恶意流量攻击,可以知道,采用Http协议时数据传输不安全;而超文本传输安全协议(Https,Hyper Text Transfer Protocolover SecureSocket Layer)在Http的基础上增加了安全套接层(SSL,Secure SocketsLayer)保护,SSL证书由第三方权威机构颁发,采用Https对传输过程中的数据进行加密传输,保证数据传输的安全性,但是用户从前端的数据源头中仍然可以看到明文中的请求路径和请求参数,也就是说,仍然存在安全隐患。
针对跨域身份验证的问题,提出了JSON Web令牌(JWT,JSON Web Token),JWT作为一种含有身份信息的令牌(token),被用来做前后端分离的认证授权和数据传输,使得应用横向扩展变得简单;具体地,服务端验证身份后,对头部和载荷(payload)分别进行base64编码,得到两个字符串,并将两个字符串用英文句号连接在一起,再对连接后的字符串进行加密,生成签名,由头部、载荷和签名组成JWT;将JWT返回给前端,前端在之后与服务端通信时传递JWT,服务端仅依赖于JWT来标识用户,不保存任何前端的会话数据,服务端变得无状态。
由于采用JWT时服务端不存储任何状态,利于服务端做分布式部署,并且在JWT的载荷中存储一些常用交换信息,可以降低服务端查询数据库的次数,减轻服务端的压力;但是,由于服务器不保存会话状态,如果JWT的使用没有过期时间,可能被非法获取,如果设置过期时间,用户在提交信息时,一旦JWT已经过期,则需要重新登录,并且,在JWT的过期时间到达前无法取消或更改JWT的权限,也就是说,即使在发现信息泄露时修改JWT,在JWT的过期时间到达前,窃取者都可以利用非法获取的原有JWT在服务端中认证成功;进一步地,由于在前端传输JWT的过程中,仍然能够看到访问的统一资源标识符(URI,Uniform ResourceIdentifier)、以及JWT中的采用base64编码的、没有加密的载荷,窃取者可能通过滥用JWT(例如,篡改JWT)对服务端进行恶意流量攻击,给服务端带来极大的安全隐患。
本领域技术人员可以理解,图1中示出的信息处理系统的结构并不构成对信息处理系统的限定,信息处理系统可以包括比图示更多或更少的部件、图示的某些部件的组合、或者与图示的部件不同的部件。
需要说明的是,本发明可以基于图1所示的信息处理系统所实现。
实施例一
本发明提供一种应用于前端的信息处理方法,如图2所示,该方法包括:
S101、当检测到请求信息和目标服务器标识时,从预设服务器标识和密钥的对应关系中,确定目标服务器标识对应的目标密钥;
用户对前端进行操作后,前端检测到请求信息和目标服务器标识;在预先存储的预设服务器标识和密钥的对应关系中,确定出目标服务器标识对应的密钥,将其作为目标密钥。
在一些实施例中,目标服务器标识表征服务端中的一个处理器的标识。
在一些实施例中,请求信息包括请求服务地址,还包括请求对象信息。
需要说明的是,请求信息不包括统一资源标识符URI,只包括请求服务地址,该请求服务地址表征服务端中的用于处理请求信息的处理器。
在一些实施例中,目标密钥包括对称密钥、公开密钥(public key)和私有密钥(private key);其中,对称密钥是对称加密方法所采用的密钥,对称加密方法是采用单钥密码系统的加密方法,其将同一个密钥同时用作信息的加密和解密,对称加密方法的算法公开、计算量小、加密速度快、加密效率高;公开密钥和私有密钥是非对称加密方法采用的两个密钥,公开密钥与私有密钥是一对,如果用公开密钥对信息进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对方法进行加密,那么只有用对应的公开密钥才能解密。
S102、基于目标密钥,对请求信息进行加密,生成加密请求信息,并将目标服务器标识和加密请求信息发送给服务端,以使得服务端对加密请求信息进行处理。
前端用目标密钥对请求信息进行加密后,将加密请求信息和目标服务器标识放入Http请求或Https请求中,向服务端发送该Http请求或Https请求,以使得服务端接收Http请求或Https请求后,从中获取加密请求信息和目标服务器标识,并对其进行处理。
示例性地,前端采用的Http请求的一种格式为:POST/gateway HTTP/1.1;其中,POST属于Http请求的方式;gateway HTTP为网关地址;1.1表示采用超文本传输协议-版本1.1(Http1.1,Hypertext Transfer Protocol Version 1.1)。
示例性地,前端将加密请求信息和目标服务器标识放入Http请求,Http请求的请求参数如下:
Figure BDA0002551154080000111
其中,目标服务器标识sysCode为serviceA,serviceA为服务端中的一个处理服务器的标识;加密请求信息reqData为前端采用与serviceA对应的目标密钥加密之后的请求体,reqData的内容为“MG16S/9R3kGri1duvxgJ6....”。
在一些实施例中,在基于目标密钥,对请求信息进行加密,生成加密请求信息,并将目标服务器标识和加密请求信息发送给服务端之后,前端接收到解密失败信息时,获取自身标识,并将自身标识发送给服务端,以使得服务端基于自身标识返回更新后的待访问服务器标识对应的密钥;当接收到更新后的待访问服务器标识对应的密钥时,对更新后的待访问服务器标识对应的密钥进行映射,得到预设服务器标识和密钥的对应关系;其中,解密失败信息表示目标密钥失效。
由于服务端中的密钥是动态可变的,当服务端中的密钥发生变化后,前端中的预设服务器标识和密钥的对应关系也需要更新,前端向服务端重新发送自身标识,以获取更新后的待访问服务器标识对应的密钥,用更新后的待访问服务器标识对应的密钥,生成预设服务器标识和密钥的对应关系。
需要说明的是,前端对请求信息加密后再向服务端发送,对请求信息中的请求服务地址等都进行加密,更有效地保障数据传输的安全,攻击者无法通过爬虫技术获取明文的请求信息,有效防止了利用请求信息进行无效浏览的恶意攻击,避免非法获取请求信息;该信息传输方法又称为发爬虫密文传输(ARST,Anti-reptile Secure Transfer)技术。
在一些实施例中,如图3所示,在步骤S101之前,信息处理方法还包括:
S201、获取自身标识,并将自身标识发送给服务端,以使得服务端基于自身标识返回待访问服务器标识对应的密钥;
前端将自身标识发送给服务端,以使得服务端基于前端的自身标识判断是否向前端返回密钥、向前端返回哪些密钥;当服务器确定待访问服务器标识对应的密钥时,将其发送给前端;其中,待访问服务器标识为前端具有访问权限的服务器的标识。
在一些实施例中,待访问服务器标识对应的密钥可以为对称密钥、公开密钥和私有密钥。
S202、当接收到待访问服务器标识对应的密钥时,对待访问服务器标识对应的密钥进行映射,得到预设服务器标识和密钥的对应关系。
前端接收到待访问服务器标识对应的密钥时,将待访问服务器标识和其对应的密钥进行对应保存,得到预设服务器标识和密钥的对应关系。
可以理解的是,前端接收到请求信息时,从预设服务器标识和密钥的对应关系中确定目标密钥,再采用目标密钥对请求信息进行加密,生成加密请求信息后传输给服务端,由服务端对加密请求信息进行处理;由于前端先对请求信息进行加密再传输,如此,从前端、前端和服务端之间的传输路径中都只能获取到加密请求信息,无法对加密请求信息进行改写,也就无法利用加密请求信息对服务端进行恶意流量攻击,提高了服务端的安全性。
在一些实施例中,在步骤S102之后,信息处理方法还包括:当从所述服务端接收到处理结果时,显示所述处理结果;所述处理结果为对所述加密请求信息进行处理后得到的。
前端包括显示模块(例如显示器),接收到处理结果后,控制显示模块显示处理结果。
本发明提供一种应用于服务端的信息处理方法,如图4所示,该方法包括:
S301、当从前端接收到自身标识时,通过网关服务器基于自身标识、以及预设前端标识和服务器访问权限的对应关系,得到待访问服务器标识对应的密钥,并将待访问服务器标识对应的密钥发送给前端;
服务端中的网关服务器接收到前端的自身标识,根据前端的自身标识、预设前端标识和服务器访问权限的对应关系,判断是否向前端返回密钥以及向前端返回哪些密钥;当得到待访问服务器标识对应的密钥时,将其发送给前端。
在一些实施例中,通过网关服务器基于自身标识,从预设前端标识和服务器访问权限的对应关系中,确定待访问服务器标识;通过网关服务器根据待访问服务器标识,从预设密钥数据库中获取待访问服务器标识对应的密钥。
服务端还包括配置中心,配置中心包括预设密钥数据库;网关服务器基于前端的自身标识、预设前端标识和服务器访问权限的对应关系,对前端的访问权限进行审核,当审核通过,确定前端对应的待访问服务器标识;利用待访问服务器标识,从配置中心的预设密钥数据库中获取待访问服务器标识对应的密钥。
在一些实施例中,预设前端标识和服务器访问权限的对应关系包括:服务端中的每个服务器对应的具有访问权限的前端标识。
在一些实施例中,服务端包括处理服务器,待访问服务器标识为前端具有访问权限的处理服务器的标识;预设前端标识和服务器访问权限的对应关系包括:服务端中的每个处理服务器对应的具有访问权限的前端标识。
在一些实施例中,处理服务器包括处理服务业务不同的多个服务器,例如,处理交易业务的服务器,处理信息查询业务的服务器。
在一些实施例中,预设密钥数据库包括服务端中的所有处理服务器各自对应的密钥。
在一些实施例中,预设密钥数据库包括:非对称密钥和第一服务器标识的第一对应关系,对称密钥和第二服务器标识的第二对应关系;其中,第一服务器标识表征处理重要服务业务的服务器,第二服务器标识表征处理普通服务业务的服务器。
第一服务器和第二服务器属于处理服务器;根据服务端中的每个处理服务器对应的服务业务的重要性,判断每个处理服务器为第一服务器或第二服务器;用非对称密钥和第一服务器的标识(第一服务器标识)建立第一对应关系,用对称密钥和第二服务器的标识(第二服务器标识)建立第二对应关系。
在一些实施例中,非对称密钥包括公开密钥和私有密钥;网关服务器确定出待访问服务器标识后,当待访问服务器标识中的一个服务器标识属于第一服务器标识时,从第一对应关系中获取该服务器标识对应的公开密钥或私有密钥;当待访问服务器标识中的一个服务器标识属于第二服务器标识时,从第二对应关系中获取该服务器标识对应的一个对称密钥,进而得到待访问服务器标识中的每个服务器标识对应的公开密钥、私有密钥或对称密钥,由其组成待访问服务器标识对应的密钥。
示例性地,重要服务业务包括支付业务;普通服务业务包括信息查询业务。
S302、当从前端接收到目标服务器标识和加密请求信息时,基于目标服务器标识,对加密请求信息进行处理,得到处理结果,并将处理结果发送给前端;其中,加密请求信息为前端利用待访问服务器标识对应的密钥对请求信息进行加密生成的。
服务端中的网关服务器,从前端接收到目标服务器标识和加密请求信息时,服务端基于目标服务器标识,对加密请求信息进行处理,得到处理结果并发送给前端。
在一些实施例中,服务端还包括处理服务器;通过网关服务器基于目标服务器标识,对加密请求信息进行解密,得到请求明文;从处理服务器中,确定目标服务器标识所指示的目标服务器;将请求明文传输至目标服务器;通过目标服务器,对请求明文进行处理,得到处理结果。
网关服务器对加密请求信息进行解密,当解密成功时,得到请求明文,将其路由到目标服务器标识所指示的目标服务器;当解密失败时,生成解密失败信息,将解密失败信息发送给前端,以告知前端目标密钥失效;目标服务器对请求明文进行处理,得到处理结果;其中,目标服务器属于处理服务器。
需要说明的是,服务端中的上游的处理服务器对加密解密过程无感知,无须为解密进行额外处理;网关服务器若解密失败则直接向前端返回解密失败信息,不会传递任何信息到处理服务器,有效地减少了对处理服务器的无效流量攻击。
在一些实施例中,通过网关服务器从预设密钥数据库中,确定目标服务器标识对应的解密密钥,并利用解密密钥,对加密请求信息进行解密,得到请求明文。
网关服务器将预设密钥数据库中的目标服务器标识对应的密钥,作为解密密钥;利用解密密钥,对加密请求信息进行解密,当解密成功时,得到请求明文,否则,生成解密失败信息,将解密失败信息发送给前端,以使得前端从服务端中获取更新后的待访问服务器标识对应的密钥,并利用更新后的待访问服务器标识对应的密钥来更新预设服务器标识和密钥的对应关系。
需要说明的是,为了防止密钥泄露,导致服务端的安全性降低,通过配置中心对预设密钥数据库中的密钥进行动态配置(例如,定时修改),如此,当预设密钥数据库中的密钥发生变化后,前端利用密钥变化前获取的目标密钥得到的加密请求信息,服务端利用变化后的密钥无法解密,生成解密失败信息,以告知前端目标密钥失效。
在一些实施例中,网关服务器从预设密钥数据库中获取到目标服务器标识对应的公开密钥和私有密钥,当目标密钥为公开密钥时,网关服务器将目标服务器标识对应的私有密钥,作为解密密钥;当目标密钥为私有密钥时,网关服务器将目标服务器标识对应的公开密钥,作为解密密钥。
在一些实施例中,通过目标服务器从请求明文中,读取当前设备标识、当前令牌、当前用户信息、请求服务地址和请求对象信息;通过目标服务器从预设数据库中获取当前用户信息对应的预存设备标识;预设数据库表征用户信息、设备标识、令牌和有效时限的对应关系;当预存设备标识和当前设备标识一致时,通过目标服务器根据当前用户信息和当前令牌,从预设数据库中获取预存有效时限;通过目标服务器获取当前时刻;当当前时刻属于预存有效时限内时,通过目标服务器从预设服务地址和服务处理器的对应关系中,确定请求服务地址对应的请求服务处理器;通过请求服务处理器,对请求对象信息进行处理,得到处理结果。
目标服务器对请求明文进行读取,并将请求明文中的设备标识作为当前设备标识、将请求明文中的令牌作为当前令牌、将请求明文中的用户信息作为当前用户信息;将预设数据库中的当前用户信息对应的设备标识,作为预存设备标识;将预设数据库中的当前用户信息对应的有效时限,作为有效时限;基于预存设备标识和预存有效时限,判断前端是否能够继续访问,当确定前端能够继续访问时,确定请求服务地址对应的请求处理服务器,由请求处理服务器对请求对象信息进行处理;其中,令牌可以由用户信息和设备标识组成。
具体地,当前设备标识可以为当前运行前端的终端的标识;目标服务器先根据预存设备标识和当前设备标识,判断运行前端的终端是否发生变化;当运行前端的终端没有发生变化时,再根据预设有效时限和当前时刻,判断当前令牌是否有效,当前时刻在预设有效时限内时,当前令牌有效,否则,当前令牌无效;当当前令牌有效时,允许前端继续访问。
在一些实施例中,预设数据库为redis集群,预先将一一对应的令牌和用户信息等放在redis集群中,并为每个令牌和用户信息设置有效时限或超时时间,有效时限为一个时间范围,超时时间为一个时刻,时间范围的结束时间等于超时时间。
需要说明的是,用户信息和有效时限等都保存在服务端,用户一旦发现账号密码泄露,可随时通过前端修改密码并使原来预存的令牌(token)失效,相比JWT具有更高级别的数据控制权限。
示例性地,以上述示例加密请求信息reqData为例,网关服务器从配置中心中获取serviceA对应的解密密钥,对加密请求信息reqData进行解密后,得到解密后的请求明文包括:
Figure BDA0002551154080000171
其中,请求明文包括头部(header)和载荷(payload),头部包括时间戳(timestamp)、用户账号(userId)、请求服务地址(action)、通用唯一识别码(uuid,Universally Unique Identifier)和令牌(token);载荷包括参数1(param1)和参数2(param2)等等,参数1的具体内容为value1,参数2的具体内容为value2;其中,uuid又称为设备标识;载荷又称为请求对象信息;action中的sys-queryId表示一个处理信息查询业务的服务器的标识。
示例性地,当请求信息用于获取某一个商品的信息时,请求对象信息包括该商品的标识、型号等。
在一些实施例中,网关服务器将请求明文存储在javax中HttpServletRequest对象,将HttpServletRequest对象传输给目标服务器;由于HttpServletRequest中的参数信息和数据流仅能获取一次,并且无法操作向其中加入值,而目标服务器在处理请求明文的过程中,需要利用请求明文判断前端是否能够继续访问,再利用请求明文中的请求服务地址action确定;为了能够实现上述过程,对HttpServletRequest对象进行扩展,使其支持按照action映射到请求处理服务器。
在一些实施例中,目标服务器接收到请求明文后,从HttpServletRequest对象读取请求明文中的当前设备标识、当前令牌、当前用户信息、请求服务地址和请求对象信息,同时建立filter,通过filter中的doFilter方法获取HttpServletRequest对象中的action,并将action放入GeneralRequestWrapper对象中;其中,filter为过滤链的集合,其接收参数为HttpServletRequest。
具体地,filter第一次执行时,filter中的HttpServletRequestWrapper对HttpServletRequest包装成新的GeneralRequestWrapper对象,并将GeneralRequestWrapper对象重新放入filter过滤链的参数中,filter再执行时获取的就是GeneralRequestWrapper对象;其中,先对HttpServletRequestWrapper中的getParameter相关的方法进行重写,使getParameter相关的方法能够从HttpServletRequest对象中多次读取请求明文,进而将请求明文中的当前设备标识、当前令牌、当前用户信息、请求服务地址和请求对象信息都读取出来,并保存在GeneralRequestWrapper对象,根据GeneralRequestWrapper对象中的action对应到具体的请求处理服务器。
示例性地,如图5所示的处理请求对象信息的流程示意图,目标服务器包括服务处理器;目标服务器接收到存储有请求明文的HttpServletRequest对象,通过filter将HttpServletRequest对象包装为GeneralRequestWrapper对象,在GeneralRequestWrapper对象中保存请求明文,请求明文包括当前设备标识、当前令牌、当前用户信息、action和请求对象信息;根据请求明文中的action生成注解@RequestMapping,将注解发送至服务处理器handler;handler按照注解定位到具体的请求服务处理器,完成从action到handler中的请求服务处理器的映射,最终形成整条请求回路;其中,请求明文中的action为sys-queryId时,注解@RequestMapping的内容为action=sys_queryId。
需要说明的是,由于请求明文中不带有uri,因此目标服务器需要根据请求明文中的action,将请求明文中的请求对象信息路由到具体的请求处理服务器。
在一些实施例中,在通过目标服务器从预设数据库中获取当前用户信息对应的预存设备标识之后,当预存设备标识和当前设备标识不一致时,通过目标服务器利用当前用户信息和当前设备标识,生成新令牌和新有效时限;通过目标服务器利用新令牌、新有效时限、当前设备标识,对预设数据库中的当前用户信息对应的令牌、有效时限和设备标识进行更新,得到更新后的数据库,并将更新后的数据库作为预设数据库;通过目标服务器从预设服务地址和服务处理器的对应关系中,确定请求服务地址对应的请求服务处理器;通过请求服务处理器,对请求对象信息进行处理,得到处理结果。
目标服务器在预存设备标识和当前设备标识不一样时,确定用户更换运行前端的终端;生成新令牌,并为新令牌设置新有效时限;利用新令牌、新有效时限和当前设备标识,对预设数据库中的当前用户信息对应的令牌、有效时限和设备标识进行替换,使得原来的令牌失效,并实现单设备登录。
示例性地,继续以上述示例的请求明文为例,目标服务器根据请求明文中的当前用户信息userId、当前设备标识uuid和当前令牌token,来判断前端是否能够继续访问;其中,当当前设备标识uuid和预存设备标识一致、当前时刻在当前令牌token的有效时限内时,前端直接继续访问。
可以理解的是,服务端中的网关服务器确定出待访问服务器标识对应的密钥,并将其发送至前端,再接收前端发送的加密请求信息,对加密请求信息进行处理,得到处理结果并发送给前端;其中,由于服务端向前端提供了待访问服务器标识对应的密钥,使得前端利用该密钥生成加密请求信息,来发送给服务端,如此,从前端、前端和服务端之间的传输路径中都只能获取到加密请求信息,无法对加密请求信息进行改写,也就无法利用加密请求信息对服务端进行恶意流量攻击,提高了服务端的安全性。
本发明提供一种应用于前端和服务端的信息处理方法,如图6所示,该方法包括:
S401、当检测到请求信息和目标服务器标识时,通过前端从预设服务器标识和密钥的对应关系中,确定目标服务器标识对应的目标密钥;
S402、通过前端基于目标密钥,对请求信息进行加密,生成加密请求信息,并将目标服务器标识和加密请求信息传输至服务端;
S403、通过服务端基于目标服务器标识,对加密请求信息进行处理,得到处理结果;
S404、通过服务端将处理结果传输至前端。
在一些实施例中,服务端包括网关服务器;如图7所示,在步骤S401之前,应用于前端和服务端的信息处理方法还包括:
S501、通过前端获取自身标识,并将自身标识传输至网关服务器;
S502、通过网关服务器基于自身标识、以及预设前端标识和服务器访问权限的对应关系,得到待访问服务器标识对应的密钥,并将待访问服务器标识对应的密钥发送给前端;
S503、通过前端对待访问服务器标识对应的密钥进行映射,得到预设服务器标识和密钥的对应关系。
需要说明的是,步骤S401-S403和步骤S501-S503的具体实现过程,参见步骤S101-S102的实现过程和步骤S301-S302的实现过程。
示例性地,如图8所示的一种信息处理系统,信息处理系统包括前端21和服务端22;服务端22包括网关服务器(gateway)221、处理服务器222、配置中心223和服务注册发现224;其中,前端21为应用程序(App,Application)或H5页面,H5页面为运行在浏览器端的应用;处理服务器222包括处理不同服务业务的处理服务器A、处理服务器B和处理服务器C等等;配置中心223包括预设密钥数据库,预设密钥数据库包括所有处理服务器各自对应的密钥;服务注册发现224保存所有处理服务器各自的地址。
基于图8所示的信息处理系统,前端21对请求信息进行加密后,通过Http请求或Https请求,将目标服务器标识和加密请求信息传输至网关服务器221,其中,Https请求的格式为https://gateway,Https请求的参数包括:{reqData:”加密请求信息”,reqSys:”目标服务器标识”};网关服务器221从配置中心223中获取目标服务器标识对应的密钥,并利用其对加密请求信息进行解密,解密成功得到请求明文,网关服务器221从服务注册发现224中获取目标服务器标识所指示的目标服务器的地址,根据目标服务器的地址,将请求明文分发路由至目标服务器,目标服务器对请求明文进行处理;服务端22中的目标服务器对加密解密过程无感知,大大增强了传输过程的安全性。
示例性地,如图9所示的一种信息处理系统,信息处理系统包括前端30和服务端31,服务端31包括网关服务器32、处理服务器33和配置中心34;其中,处理服务器33包括处理服务器A、处理服务器B和处理服务器C;配置中心34包括处理服务器A对应的密钥A、处理服务器B对应的密钥B和处理服务器C对应的密钥C。
基于图9所示的信息处理系统,前端30向网关服务器32发送自身标识,以申请密钥;网关服务器32基于前端30的自身标识,从配置中心34获取待访问服务器各自对应的密钥,并传输待访问服务器各自对应的密钥给前端30,前端30成功申请密钥;前端30保存待访问服务器各自对应的密钥,基于目标服务器标识确定目标密钥,利用目标密钥对请求信息进行加密,得到加密请求信息,请求信息包括uri;通过Http请求或Https请求根据网关地址,传输目标服务器标识和加密请求信息至网关服务器32;网关服务器32从配置中心34中获取目标服务器标识对应的密钥,并利用其对加密请求信息进行解密,解密成功得到请求明文,将路由请求明文至处理服务器33中的目标服务器,目标服务器对请求明文进行处理,得到处理结果,将处理结果返回给前端30,完成对请求信息的响应。
需要说明的是,该信息传输方法或反爬虫密文传输技术,为不同的处理服务器设置不同的密钥,还可以动态配置每个密钥,前端对请求服务地址和对象信息等完全加密之后发送到网关服务器,由网关服务器依据目标服务器标识对应的密钥解密加密请求信息,只有解密成功的有效请求明文最终转发到目标服务器;非法获取加密请求信息也无法解密,因此也就无法通过篡改请求信息,对服务端中的处理服务器进行恶意流量攻击,有效地保证了服务端的安全性。
可以理解的是,前端接收到请求信息时,获取目标密钥,再采用目标密钥对请求信息进行加密,生成加密请求信息后传输给服务端,由服务端对加密请求信息进行处理;由于前端先对请求信息进行加密再传输,如此,从前端、前端和服务端之间的传输路径中都只能获取到加密请求信息,无法对加密请求信息进行改写,也就无法利用加密请求信息对服务端进行恶意流量攻击,提高了服务端的安全性。
实施例二
基于实施例一的同一发明构思,进行进一步的说明。
本发明提供一种前端,如图10所示,前端4包括:
获取模块40,用于当检测到请求信息和目标服务器标识时,从预设服务器标识和密钥的对应关系中,确定目标服务器标识对应的目标密钥;
加密模块41,用于基于目标密钥,对请求信息进行加密,生成加密请求信息,并将目标服务器标识和加密请求信息发送给服务端,以使得服务端对加密请求信息进行处理。
上述方案中,请求信息包括请求服务地址。
上述方案中,获取模块40,还用于在从预设服务器标识和密钥的对应关系中,确定目标服务器标识对应的目标密钥之前,获取自身标识,并将自身标识发送给服务端,以使得服务端基于自身标识返回待访问服务器标识对应的密钥;以及当接收到待访问服务器标识对应的密钥时,对待访问服务器标识对应的密钥进行映射,得到预设服务器标识和密钥的对应关系。
上述方案中,前端4还包括:
显示模块42,用于在基于目标密钥,对请求信息进行加密,生成加密请求信息,并将目标服务器标识和加密请求信息发送给服务端之后,当从服务端接收到处理结果时,显示处理结果;处理结果为对加密请求信息进行处理后得到的。
需要说明的是,在实际应用中,上述获取模块40和加密模块41,还可由位于前端4上的第一处理器43实现,具体为中央处理器(CPU,Central Processing Unit)、微处理器(MPU,Microprocessor Unit)、数字信号处理器(DSP,Digital Signal Processing)或现场可编程门阵列(FPGA,Field Programmable Gate Array)等实现;上述显示模块42可由显示器等实现。
本发明还提供了一种前端,如图11所示,前端4包括:第一处理器43、第一存储器44和第一通信总线45,第一存储器44通过第一通信总线45与第一处理器43进行通信,第一存储器44存储第一处理器43可执行的一个或者多个程序,当一个或者多个程序被执行时,通过第一处理器43执行如前述实施例所述的任意一种应用于前端的信息处理方法。
在实际应用中,第一存储器44可以是易失性存储器(volatile memory),例如随机存取存储器(RAM,Random-Access Memory);或者非易失性存储器(non-volatile memory),例如只读存储器(ROM,Read-Only Memory),快闪存储器(flash memory),硬盘(HDD,HardDisk Drive)或固态硬盘(SSD,Solid-State Drive);或者上述种类的存储器的组合,并向第一处理器43提供程序和数据。
本发明提供了一种计算机可读存储介质,计算机可读存储介质存储有应用管理程序,当应用管理程序被第一处理器43执行时,第一处理器43执行如前述实施例所述的任意一种应用于网关平台的信息处理方法。
本发明提供了一种服务端,如图12所示,服务端5包括网关服务器51和处理服务器52;
网关服务器51,用于当从前端接收到自身标识时,基于自身标识、以及预设前端标识和服务器访问权限的对应关系,得到待访问服务器标识对应的密钥,并将待访问服务器标识对应的密钥发送给前端;
网关服务器51,还用于当从前端接收到目标服务器标识和加密请求信息时,结合处理服务器52,基于目标服务器标识,对加密请求信息进行处理,得到处理结果,并将处理结果发送给前端;其中,加密请求信息为前端利用待访问服务器标识对应的密钥对请求信息进行加密生成的。
上述方案中,网关服务器51,还用于基于自身标识,从预设前端标识和服务器访问权限的对应关系中,确定待访问服务器标识;以及根据待访问服务器标识,从预设密钥数据库中获取待访问服务器标识对应的密钥。
上述方案中,预设密钥数据库包括:非对称密钥和第一服务器标识的第一对应关系,对称密钥和第二服务器标识的第二对应关系;其中,第一服务器标识表征处理重要服务业务的服务器,第二服务器标识表征处理普通服务业务的服务器。
上述方案中,网关服务器51,还用于基于目标服务器标识,对加密请求信息进行解密,得到请求明文信息;及从处理服务器52中,确定目标服务器标识所指示的目标服务器53;以及将请求明文信息传输至目标服务器53;
目标服务器53,用于对请求明文信息进行处理,得到处理结果。
上述方案中,网关服务器51,还用于从预设密钥数据库中,确定目标服务器标识对应的解密密钥,并利用解密密钥,对加密请求信息进行解密,得到请求明文信息。
上述方案中,目标服务器53,还用于从请求明文信息中,读取当前设备标识、当前令牌、当前用户信息、请求服务地址和请求对象信息;及从预设数据库中获取当前用户信息对应的预存设备标识;预设数据库表征用户信息、设备标识、令牌和有效时限的对应关系;及当预存设备标识和当前设备标识一致时,根据当前用户信息和当前令牌,从预设数据库中获取预存有效时限;及获取当前时刻;及当当前时刻属于预存有效时限内时,从预设服务地址和服务处理器的对应关系中,确定请求服务地址对应的请求服务处理器;以及通过请求服务处理器,对请求对象信息进行处理,得到处理结果。
上述方案中,目标服务器53包括:
更新模块531,用于在从预设数据库中获取当前用户信息对应的预存设备标识之后,当预存设备标识和当前设备标识不一致时,利用当前用户信息和当前设备标识,生成新令牌和新有效时限;以及利用新令牌、新有效时限、当前设备标识,对预设数据库中的当前用户信息对应的令牌、有效时限和设备标识进行更新,得到更新后的数据库,并将更新后的数据库作为预设数据库;
映射处理模块532,用于从预设服务地址和服务处理器的对应关系中,确定请求服务地址对应的请求服务处理器;以及通过请求服务处理器,对请求对象信息进行处理,得到处理结果。
需要说明的是,在实际应用中,上述网关服务器51、处理服务器52、目标服务器53、更新模块531和映射处理模块532,还可由位于服务端5上的第二处理器54实现,具体为CPU、MPU、DSP或FPGA等实现。
本发明还提供了一种服务端,如图13所示,服务端5包括:第二处理器54、第二存储器55和第二通信总线56,第二存储器55通过第二通信总线56与第二处理器54进行通信,第二存储器55存储第二处理器54可执行的一个或者多个程序,当一个或者多个程序被执行时,通过第二处理器54执行如前述实施例所述的任意一种应用于服务端的信息处理方法。
在实际应用中,第二存储器55可以是易失性存储器,例如RAM;或者非易失性存储器,例如ROM,快闪存储器,HDD或SSD;或者上述种类的存储器的组合,并向第二处理器54提供程序和数据。
本发明提供一种计算机可读存储介质,计算机可读存储介质存储有应用管理程序,当应用管理程序被第二处理器54执行时,第二处理器54执行前述实施例的任意一种应用于服务端的信息处理方法。
本发明提供了一种信息处理系统,如图14所示,信息处理系统6包括前端61和服务端62,前端61包括获取模块611和加密模块612;
获取模块611,用于当检测到请求信息和目标服务器标识时,从预设服务器标识和密钥的对应关系中,确定目标服务器标识对应的目标密钥;
加密模块612,用于基于目标密钥,对请求信息进行加密,生成加密请求信息,并将目标服务器标识和加密请求信息传输至服务端62;
服务端62,用于基于目标服务器标识,对加密请求信息进行处理,得到处理结果,并将处理结果传输至前端61。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (27)

1.一种信息处理方法,其特征在于,应用于前端,所述方法包括:
当检测到请求信息和目标服务器标识时,从预设服务器标识和密钥的对应关系中,确定所述目标服务器标识对应的目标密钥;
基于所述目标密钥,对所述请求信息进行加密,生成加密请求信息,并将所述目标服务器标识和所述加密请求信息发送给服务端,以使得所述服务端对所述加密请求信息进行处理。
2.根据权利要求1所述的方法,其特征在于,所述请求信息包括请求服务地址。
3.根据权利要求1所述的方法,其特征在于,在所述从预设服务器标识和密钥的对应关系中,确定所述目标服务器标识对应的目标密钥之前,所述方法还包括:
获取自身标识,并将所述自身标识发送给所述服务端,以使得所述服务端基于所述自身标识返回待访问服务器标识对应的密钥;
当接收到所述待访问服务器标识对应的密钥时,对所述待访问服务器标识对应的密钥进行映射,得到所述预设服务器标识和密钥的对应关系。
4.根据权利要求1至3任一项所述的方法,其特征在于,在所述基于所述目标密钥,对所述请求信息进行加密,生成加密请求信息,并将所述目标服务器标识和所述加密请求信息发送给服务端之后,所述方法还包括:
当从所述服务端接收到处理结果时,显示所述处理结果;所述处理结果为对所述加密请求信息进行处理后得到的。
5.一种信息处理方法,其特征在于,应用于服务端,所述服务端包括网关服务器,所述方法包括:
当从前端接收到自身标识时,通过所述网关服务器基于所述自身标识、以及预设前端标识和服务器访问权限的对应关系,得到待访问服务器标识对应的密钥,并将所述待访问服务器标识对应的密钥发送给所述前端;
当从所述前端接收到目标服务器标识和加密请求信息时,基于所述目标服务器标识,对所述加密请求信息进行处理,得到处理结果,并将所述处理结果发送给所述前端;其中,所述加密请求信息为所述前端利用所述待访问服务器标识对应的密钥对请求信息进行加密生成的。
6.根据权利要求5所述的方法,其特征在于,所述通过所述网关服务器基于所述自身标识、以及预设前端标识和服务器访问权限的对应关系,得到待访问服务器标识对应的密钥,包括:
通过所述网关服务器基于所述自身标识,从所述预设前端标识和服务器访问权限的对应关系中,确定所述待访问服务器标识;
通过所述网关服务器根据所述待访问服务器标识,从预设密钥数据库中获取所述待访问服务器标识对应的密钥。
7.根据权利要求6所述的方法,其特征在于,所述预设密钥数据库包括:非对称密钥和第一服务器标识的第一对应关系,对称密钥和第二服务器标识的第二对应关系;其中,所述第一服务器标识表征处理重要服务业务的服务器,所述第二服务器标识表征处理普通服务业务的服务器。
8.根据权利要求5至7任一项所述的方法,其特征在于,所述服务端还包括处理服务器;所述基于所述目标服务器标识,对所述加密请求信息进行处理,得到处理结果,包括:
通过所述网关服务器基于所述目标服务器标识,对所述加密请求信息进行解密,得到请求明文信息;
从所述处理服务器中,确定所述目标服务器标识所指示的目标服务器;
将所述请求明文信息传输至所述目标服务器;
通过所述目标服务器,对所述请求明文信息进行处理,得到所述处理结果。
9.根据权利要求8所述的方法,其特征在于,所述通过所述网关服务器基于所述目标服务器标识,对所述加密请求信息进行解密,得到请求明文信息,包括:
通过所述网关服务器从预设密钥数据库中,确定所述目标服务器标识对应的解密密钥,并利用所述解密密钥,对所述加密请求信息进行解密,得到所述请求明文信息。
10.根据权利要求8所述的方法,其特征在于,所述通过所述目标服务器,对所述请求明文信息进行处理,得到所述处理结果,包括:
通过所述目标服务器从所述请求明文信息中,读取当前设备标识、当前令牌、当前用户信息、请求服务地址和请求对象信息;
通过所述目标服务器从预设数据库中获取所述当前用户信息对应的预存设备标识;所述预设数据库表征用户信息、设备标识、令牌和有效时限的对应关系;
当所述预存设备标识和所述当前设备标识一致时,通过所述目标服务器根据所述当前用户信息和所述当前令牌,从所述预设数据库中获取预存有效时限;
通过所述目标服务器获取当前时刻;
当所述当前时刻属于所述预存有效时限内时,通过所述目标服务器从预设服务地址和服务处理器的对应关系中,确定所述请求服务地址对应的请求服务处理器;
通过所述请求服务处理器,对所述请求对象信息进行处理,得到所述处理结果。
11.根据权利要求10所述的方法,其特征在于,在所述通过所述目标服务器从预设数据库中获取所述当前用户信息对应的预存设备标识之后,所述方法还包括:
当所述预存设备标识和所述当前设备标识不一致时,通过所述目标服务器利用所述当前用户信息和所述当前设备标识,生成新令牌和新有效时限;
通过所述目标服务器利用所述新令牌、所述新有效时限、所述当前设备标识,对所述预设数据库中的所述当前用户信息对应的令牌、有效时限和设备标识进行更新,得到更新后的数据库,并将所述更新后的数据库作为所述预设数据库;
通过所述目标服务器从预设服务地址和服务处理器的对应关系中,确定所述请求服务地址对应的请求服务处理器;
通过所述请求服务处理器,对所述请求对象信息进行处理,得到所述处理结果。
12.一种前端,其特征在于,所述前端包括:
获取模块,用于当检测到请求信息和目标服务器标识时,从预设服务器标识和密钥的对应关系中,确定所述目标服务器标识对应的目标密钥;
加密模块,用于基于所述目标密钥,对所述请求信息进行加密,生成加密请求信息,并将所述目标服务器标识和所述加密请求信息发送给服务端,以使得所述服务端对所述加密请求信息进行处理。
13.根据权利要求12所述的前端,其特征在于,所述请求信息包括请求服务地址。
14.根据权利要求12所述的前端,其特征在于,
所述获取模块,还用于在所述从预设服务器标识和密钥的对应关系中,确定所述目标服务器标识对应的目标密钥之前,获取自身标识,并将所述自身标识发送给所述服务端,以使得所述服务端基于所述自身标识返回待访问服务器标识对应的密钥;以及当接收到所述待访问服务器标识对应的密钥时,对所述待访问服务器标识对应的密钥进行映射,得到所述预设服务器标识和密钥的对应关系。
15.根据权利要求12至14任一项所述的前端,其特征在于,所述前端还包括:
显示模块,用于在所述基于所述目标密钥,对所述请求信息进行加密,生成加密请求信息,并将所述目标服务器标识和所述加密请求信息发送给服务端之后,当从所述服务端接收到处理结果时,显示所述处理结果;所述处理结果为对所述加密请求信息进行处理后得到的。
16.一种前端,其特征在于,所述前端包括:第一处理器、第一存储器和第一通信总线,所述第一存储器通过所述第一通信总线与所述第一处理器进行通信,所述第一存储器存储所述第一处理器可执行的一个或者多个程序,当所述一个或者多个程序被执行时,通过所述第一处理器执行如权利要求1-4任一项所述的方法。
17.一种服务端,其特征在于,所述服务端包括网关服务器和处理服务器;
所述网关服务器,用于当从前端接收到自身标识时,基于所述自身标识、以及预设前端标识和服务器访问权限的对应关系,得到待访问服务器标识对应的密钥,并将所述待访问服务器标识对应的密钥发送给所述前端;
所述网关服务器,还用于当从所述前端接收到目标服务器标识和加密请求信息时,结合所述处理服务器,基于所述目标服务器标识,对所述加密请求信息进行处理,得到处理结果,并将所述处理结果发送给所述前端;其中,所述加密请求信息为所述前端利用所述待访问服务器标识对应的密钥对请求信息进行加密生成的。
18.根据权利要求17所述的服务端,其特征在于,
所述网关服务器,还用于基于所述自身标识,从所述预设前端标识和服务器访问权限的对应关系中,确定所述待访问服务器标识;以及根据所述待访问服务器标识,从预设密钥数据库中获取所述待访问服务器标识对应的密钥。
19.根据权利要求18所述的服务端,其特征在于,所述预设密钥数据库包括:非对称密钥和第一服务器标识的第一对应关系,对称密钥和第二服务器标识的第二对应关系;其中,所述第一服务器标识表征处理重要服务业务的服务器,所述第二服务器标识表征处理普通服务业务的服务器。
20.根据权利要求17至19任一项所述的服务端,其特征在于,
所述网关服务器,还用于基于所述目标服务器标识,对所述加密请求信息进行解密,得到请求明文信息;及从所述处理服务器中,确定所述目标服务器标识所指示的目标服务器;以及将所述请求明文信息传输至所述目标服务器;
所述目标服务器,用于对所述请求明文信息进行处理,得到所述处理结果。
21.根据权利要求20所述的服务端,其特征在于,
所述网关服务器,还用于从预设密钥数据库中,确定所述目标服务器标识对应的解密密钥,并利用所述解密密钥,对所述加密请求信息进行解密,得到所述请求明文信息。
22.根据权利要求20所述的服务端,其特征在于,
所述目标服务器,还用于从所述请求明文信息中,读取当前设备标识、当前令牌、当前用户信息、请求服务地址和请求对象信息;及从预设数据库中获取所述当前用户信息对应的预存设备标识;所述预设数据库表征用户信息、设备标识、令牌和有效时限的对应关系;及当所述预存设备标识和所述当前设备标识一致时,根据所述当前用户信息和所述当前令牌,从所述预设数据库中获取预存有效时限;及获取当前时刻;及当所述当前时刻属于所述预存有效时限内时,从预设服务地址和服务处理器的对应关系中,确定所述请求服务地址对应的请求服务处理器;以及通过所述请求服务处理器,对所述请求对象信息进行处理,得到所述处理结果。
23.根据权利要求22所述的服务端,其特征在于,所述目标服务器包括:
更新模块,用于在所述从预设数据库中获取所述当前用户信息对应的预存设备标识之后,当所述预存设备标识和所述当前设备标识不一致时,利用所述当前用户信息和所述当前设备标识,生成新令牌和新有效时限;以及利用所述新令牌、所述新有效时限、所述当前设备标识,对所述预设数据库中的所述当前用户信息对应的令牌、有效时限和设备标识进行更新,得到更新后的数据库,并将所述更新后的数据库作为所述预设数据库;
映射处理模块,用于从预设服务地址和服务处理器的对应关系中,确定所述请求服务地址对应的请求服务处理器;以及通过所述请求服务处理器,对所述请求对象信息进行处理,得到所述处理结果。
24.一种服务端,其特征在于,所述服务端包括:第二处理器、第二存储器和第二通信总线,所述第二存储器通过所述第二通信总线与所述第二处理器进行通信,所述第二存储器存储所述第二处理器可执行的一个或者多个程序,当所述一个或者多个程序被执行时,通过所述第二处理器执行如权利要求5-11任一项所述的方法。
25.一种信息处理系统,其特征在于,所述系统包括前端和服务端,所述前端包括获取模块和加密模块;
所述获取模块,用于当检测到请求信息和目标服务器标识时,从预设服务器标识和密钥的对应关系中,确定所述目标服务器标识对应的目标密钥;
所述加密模块,用于基于所述目标密钥,对所述请求信息进行加密,生成加密请求信息,并将所述目标服务器标识和所述加密请求信息传输至服务端;
所述服务端,用于基于所述目标服务器标识,对所述加密请求信息进行处理,得到处理结果,并将所述处理结果传输至所述前端。
26.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有程序,当所述程序被至少一个第一处理器执行时,所述至少一个第一处理器执行权利要求1-4任一项所述的方法。
27.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有程序,当所述程序被至少一个第二处理器执行时,所述至少一个第二处理器执行权利要求5-11任一项所述的方法。
CN202010576357.XA 2020-06-22 2020-06-22 一种信息处理方法及系统、前端、服务端、存储介质 Active CN113922974B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010576357.XA CN113922974B (zh) 2020-06-22 2020-06-22 一种信息处理方法及系统、前端、服务端、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010576357.XA CN113922974B (zh) 2020-06-22 2020-06-22 一种信息处理方法及系统、前端、服务端、存储介质

Publications (2)

Publication Number Publication Date
CN113922974A true CN113922974A (zh) 2022-01-11
CN113922974B CN113922974B (zh) 2024-04-09

Family

ID=79231236

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010576357.XA Active CN113922974B (zh) 2020-06-22 2020-06-22 一种信息处理方法及系统、前端、服务端、存储介质

Country Status (1)

Country Link
CN (1) CN113922974B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115022012A (zh) * 2022-05-30 2022-09-06 中国银行股份有限公司 一种数据传输方法、装置、系统、设备及存储介质
CN116126914A (zh) * 2023-01-12 2023-05-16 东方合智数据科技(广东)有限责任公司 数据源访问方法、装置、设备及存储介质

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101141246A (zh) * 2006-09-05 2008-03-12 华为技术有限公司 一种业务密钥获取方法和一种订阅管理服务器
US20100049975A1 (en) * 2006-12-01 2010-02-25 Bryan Parno Method and apparatus for secure online transactions
CN104967601A (zh) * 2015-02-12 2015-10-07 腾讯科技(深圳)有限公司 数据处理方法及装置
CN106656953A (zh) * 2016-09-23 2017-05-10 焦点科技股份有限公司 一种基于互联网的系统间安全调用接口实现方法
CN107483383A (zh) * 2016-06-07 2017-12-15 腾讯科技(深圳)有限公司 一种数据处理方法、终端及后台服务器
CN107579952A (zh) * 2017-07-17 2018-01-12 招商银行股份有限公司 报文发送方法、报文处理方法和系统及存储介质
US20180144152A1 (en) * 2016-11-18 2018-05-24 Duncan MacDougall Greatwood Searching using encrypted client and server maintained indices
CN109194671A (zh) * 2018-09-19 2019-01-11 网宿科技股份有限公司 一种异常访问行为的识别方法及服务器
CN109471844A (zh) * 2018-10-10 2019-03-15 深圳市达仁基因科技有限公司 文件共享方法、装置、计算机设备和存储介质
CN109873819A (zh) * 2019-02-01 2019-06-11 湖南快乐阳光互动娱乐传媒有限公司 一种防止非法访问服务器的方法及系统
CN110830413A (zh) * 2018-08-07 2020-02-21 京东数字科技控股有限公司 通信方法、客户端、服务器、通信装置和系统

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101141246A (zh) * 2006-09-05 2008-03-12 华为技术有限公司 一种业务密钥获取方法和一种订阅管理服务器
US20100049975A1 (en) * 2006-12-01 2010-02-25 Bryan Parno Method and apparatus for secure online transactions
CN104967601A (zh) * 2015-02-12 2015-10-07 腾讯科技(深圳)有限公司 数据处理方法及装置
CN107483383A (zh) * 2016-06-07 2017-12-15 腾讯科技(深圳)有限公司 一种数据处理方法、终端及后台服务器
CN106656953A (zh) * 2016-09-23 2017-05-10 焦点科技股份有限公司 一种基于互联网的系统间安全调用接口实现方法
US20180144152A1 (en) * 2016-11-18 2018-05-24 Duncan MacDougall Greatwood Searching using encrypted client and server maintained indices
CN107579952A (zh) * 2017-07-17 2018-01-12 招商银行股份有限公司 报文发送方法、报文处理方法和系统及存储介质
CN110830413A (zh) * 2018-08-07 2020-02-21 京东数字科技控股有限公司 通信方法、客户端、服务器、通信装置和系统
CN109194671A (zh) * 2018-09-19 2019-01-11 网宿科技股份有限公司 一种异常访问行为的识别方法及服务器
CN109471844A (zh) * 2018-10-10 2019-03-15 深圳市达仁基因科技有限公司 文件共享方法、装置、计算机设备和存储介质
CN109873819A (zh) * 2019-02-01 2019-06-11 湖南快乐阳光互动娱乐传媒有限公司 一种防止非法访问服务器的方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
孙晓妍;王洋;祝跃飞;武东英;: "基于客户端蜜罐的恶意网页检测系统的设计与实现", 计算机应用, no. 07 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115022012A (zh) * 2022-05-30 2022-09-06 中国银行股份有限公司 一种数据传输方法、装置、系统、设备及存储介质
CN115022012B (zh) * 2022-05-30 2024-04-16 中国银行股份有限公司 一种数据传输方法、装置、系统、设备及存储介质
CN116126914A (zh) * 2023-01-12 2023-05-16 东方合智数据科技(广东)有限责任公司 数据源访问方法、装置、设备及存储介质
CN116126914B (zh) * 2023-01-12 2023-10-03 东方合智数据科技(广东)有限责任公司 数据源访问方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN113922974B (zh) 2024-04-09

Similar Documents

Publication Publication Date Title
US11477037B2 (en) Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange
CN109088889B (zh) 一种ssl加解密方法、系统及计算机可读存储介质
US7584505B2 (en) Inspected secure communication protocol
US8291231B2 (en) Common key setting method, relay apparatus, and program
JP2020202594A (ja) セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法
CN111901355B (zh) 一种认证方法及装置
US9491174B2 (en) System and method for authenticating a user
US20030081774A1 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
JP6896940B2 (ja) 第1のアプリケーションと第2のアプリケーションとの間の対称型相互認証方法
CN108243176B (zh) 数据传输方法和装置
CN113411190B (zh) 密钥部署、数据通信、密钥交换、安全加固方法及系统
CN113225352B (zh) 一种数据传输方法、装置、电子设备及存储介质
CN112714053B (zh) 通信连接方法及装置
CN101170413B (zh) 一种数字证书及其私钥的获得、分发方法及设备
CN112637136A (zh) 加密通信方法及系统
KR20110083886A (ko) 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법
CN114244508B (zh) 数据加密方法、装置、设备及存储介质
CN114637987A (zh) 基于平台验证的安全芯片固件下载方法及系统
CN113922974B (zh) 一种信息处理方法及系统、前端、服务端、存储介质
US20060031680A1 (en) System and method for controlling access to a computerized entity
CN112839062B (zh) 夹杂鉴权信号的端口隐藏方法和装置、设备
CN110611679A (zh) 一种数据传输方法、装置、设备及系统
CN110719169A (zh) 传输路由器安全信息的方法及装置
KR20140004703A (ko) 제어된 보안 도메인
KR101022157B1 (ko) Ssl 가상 사설망 서비스 처리 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant