CN105338020A - 一种业务访问方法及装置 - Google Patents
一种业务访问方法及装置 Download PDFInfo
- Publication number
- CN105338020A CN105338020A CN201410312944.2A CN201410312944A CN105338020A CN 105338020 A CN105338020 A CN 105338020A CN 201410312944 A CN201410312944 A CN 201410312944A CN 105338020 A CN105338020 A CN 105338020A
- Authority
- CN
- China
- Prior art keywords
- service
- business
- request information
- authority
- business request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000005540 biological transmission Effects 0.000 claims abstract description 116
- 238000006243 chemical reaction Methods 0.000 claims abstract description 69
- 230000006854 communication Effects 0.000 abstract description 44
- 238000004891 communication Methods 0.000 abstract description 41
- 238000012423 maintenance Methods 0.000 abstract description 21
- 238000012795 verification Methods 0.000 abstract description 17
- 230000006855 networking Effects 0.000 abstract description 13
- 230000009466 transformation Effects 0.000 abstract description 12
- 230000006978 adaptation Effects 0.000 description 9
- 238000009472 formulation Methods 0.000 description 8
- 239000000203 mixture Substances 0.000 description 8
- 230000008859 change Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000008676 import Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Multimedia (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种业务访问方法及装置,涉及通信技术领域,通过安全传输代理装置进行业务权限的验证管理,减少了业务服务端组网成本及改造维护工作量,同时增强了通信安全性。该方案包括:安全传输代理装置对客户端发送的业务请求消息进行解密,其中,业务请求消息包括业务类型,并根据业务类型对解密后的业务请求消息的业务权限进行验证,若该业务权限验证成功,将解密后的业务请求消息进行协议转换,并发送协议转换后的业务请求消息至业务服务端,以使得业务服务端根据协议转换后的业务请求消息执行相应的业务。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种业务访问方法及装置。
背景技术
随着通信网络技术的不断发展,目前BSS(Businesssupportsystem,业务支撑系统)已经由内部网络逐步向互联网方向发展。其中,业务支撑系统是电信业务运营系统提供的业务运营和管理平台,如计费、结算、帐务、客服、营业等系统。当用户在客户端进行业务操作时,业务请求将通过互联网发送至内部网络中的各个业务支撑系统,当业务支撑系统接收外部网络中的业务请求时,因BSS系统中涉及大量客户私人敏感信息,从安全性考虑,需要客户端与业务服务端之间使用标准安全协议进行通信,如HTTPs协议。
在现有技术的BSS业务系统组网方案中,通常通过内部网络中的各个业务支撑系统分别向客户端发布安全证书,客户端根据该安全证书对业务请求进行加密,若某客户端需要应用多个内部网络业务支撑系统提供的服务,则该客户端需要导入多份安全证书,并根据业务的不同选择不同的证书对业务请求进行加密,从而保证客户端与业务服务端之间通信的安全性。
由于各个业务支撑系统都需要对外发布安全证书及安全验证,对于访问量大性能要求高的业务支撑系统,为了避免响应超时,达到性能要求需进行设备扩容,使得组网成本增加;而且,由于BSS业务支撑系统本身的业务领域划分,各个业务系统服务端都需要进行证书发布,维护困难,同时,也增加了客户端的改造量以及维护工作量。
发明内容
本发明的实施例提供一种业务访问方法及装置,通过安全传输代理装置进行业务权限的验证管理,减少了业务服务端组网成本及改造维护工作量,同时增强了通信安全性。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明实施例提供一种安全传输代理装置,包括:
接收单元,用于接收客户端发送的业务请求消息;
解密单元,用于将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型;
验证单元,用于根据所述业务类型对解密后的业务请求消息的业务权限进行验证;
转换单元,用于若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;
发送单元,用于发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
在第一方面第一种可能实现方式中,结合第一方面,所述业务请求消息至少还包括消息渠道和用户信息,
所述验证单元,用于根据所述消息渠道和所述业务类型对所述业务权限进行第一验证;若所述第一验证成功,根据所述用户信息和所述业务类型对所述业务权限进行第二验证;
所述转换单元,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
在第一方面第二种可能实现方式中,结合第一方面第一种可能实现方式,所述验证单元,具体用于在预设的数据库中查找与所述消息渠道对应的第一业务类型;若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
在第一方面第三种可能实现方式中,结合第一方面第二种可能实现方式,所述验证单元,具体用于在所述预设的数据库中查找与所述用户信息对应的第一权限值;在所述预设的数据库中查找与所述业务类型对应的第二权限值;若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功;
所述转换单元,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
在第一方面第四种可能实现方式中,结合第一方面第二种可能实现方式,所述验证单元,具体用于在所述预设的数据库中查找与所述用户信息对应的第一归属业务系统和第三权限值;在所述预设的数据库中查找与所述业务类型对应的第二归属业务系统和第四权限值;若所述第一归属业务系统与所述第二归属业务系统相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功;
所述转换单元,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
在第一方面第五种可能实现方式中,结合第一方面及第一方面第四种可能实现方式,所述解密后的业务请求消息携带第一协议标识,所述转换单元,具体用于将所述解密后的业务请求消息携带的第一协议标识转换为所述业务服务端可识别的第二协议标识。
在第一方面第六种可能实现方式中,结合第一方面及第一方面第四种可能实现方式,所述装置还包括适配单元:用于对所述业务请求消息进行协议适配。
在第一方面第七种可能实现方式中,结合第一方面及第一方面第四种可能实现方式,所述发送单元,还用于向所述客户端发布安全证书,以使得所述客户端根据所述安全证书对所述业务请求消息进行加密。
在第一方面第八种可能实现方式中,结合第一方面,所述发送单元,还用于若所述业务权限验证失败,发送请求失败消息至所述客户端。
第二方面,本发明实施例提供一种客户端,包括:
获取单元,用于获取业务请求消息;
加密单元,用于对所述业务请求消息进行加密;
发送单元,用于发送加密后的业务请求消息至安全传输代理装置。
在第二方面第一种可能实现方式中,结合第二方面,所述客户端还包括:
加载单元,用于加载所述安全传输代理装置发布的安全证书。
在第二方面第二种可能实现方式中,结合第二方面及第二方面第一种可能实现方式,所述业务请求消息携带第一协议标识。
第三方面,本发明实施例提供一种业务访问系统,包括:至少一个如上所述的客户端、负载均衡器、至少一个业务服务端以及如上所述的安全传输代理装置,所述至少一个客户端与所述负载均衡器连接,所述负载均衡器与所述安全传输代理装置连接,所述安全传输代理装置与所述至少一个业务服务端连接。
第四方面,本发明实施例提供一种业务访问方法,包括:
接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型;
根据所述业务类型对解密后的业务请求消息的业务权限进行验证;
若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;
发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
在第四方面第一种可能实现方式中,结合第四方面,所述业务请求消息至少还包括消息渠道和用户信息,所述根据所述业务类型对解密后的业务请求消息的业务权限进行验证,包括:
根据所述消息渠道和所述业务类型对所述业务权限进行第一验证;
若所述第一验证成功,根据所述用户信息和所述业务类型对所述业务权限进行第二验证。
在第四方面第二种可能实现方式中,结合第四方面第一种可能实现方式,所述根据所述消息渠道和所述业务类型对所述业务权限进行第一验证,具体包括:
在预设的数据库中查找与所述消息渠道对应的第一业务类型;
若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
在第四方面第三种可能实现方式中,结合第四方面第二种可能实现方式,所述根据所述用户信息和所述业务类型对所述业务权限进行第二验证,具体包括:
在所述预设的数据库中查找与所述用户信息对应的第一权限值;
在所述预设的数据库中查找与所述业务类型对应的第二权限值;
若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功。
在第四方面第四种可能实现方式中,结合第四方面第二种可能实现方式,所述根据所述用户信息和所述业务类型对所述业务权限进行第二验证,具体包括:
在所述预设的数据库中查找与所述用户信息对应的第一归属业务系统和第三权限值;
在所述预设的数据库中查找与所述业务类型对应的第二归属业务系统和第四权限值;
若所述第一归属业务系统与所述第二归属业务系统相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功。
在第四方面第五种可能实现方式中,结合第四方面及第四方面第一种可能实现方式,所述解密后的业务请求消息携带第一协议标识,所述将所述解密后的业务请求消息进行协议转换,包括:
将所述解密后的业务请求消息携带的第一协议标识转换为所述业务服务端可识别的第二协议标识。
在第四方面第六种可能实现方式中,结合第四方面及第四方面第一种可能实现方式,在所述将所述业务请求消息进行解密之前,所述方法还包括:对所述业务请求消息进行协议适配。
在第四方面第七种可能实现方式中,结合第四方面及第四方面第四种可能实现方式,在所述接收客户端发送的业务请求消息之前,所述方法还包括:向所述客户端发布安全证书,以使得所述客户端根据所述安全证书对所述业务请求消息进行加密。
在第四方面第八种可能实现方式中,结合第四方面,在所述根据所述业务类型对解密后的业务请求消息的业务权限进行验证之后,所述方法还包括:若所述业务权限验证失败,发送请求失败消息至所述客户端。
第五方面,本发明实施例提供一种业务系统访问方法,包括:
获取业务请求消息,对所述业务请求消息进行加密;
发送加密后的业务请求消息至安全传输代理装置。
在第五方面第一种可能实现方式中,结合第五方面,在所述对所述业务请求消息进行加密之前,还包括:
加载所述安全传输代理装置发布的安全证书。
在第五方面第二种可能实现方式中,结合第五方面及第五方面第一种可能实现方式,所述业务请求消息携带第一协议标识。
本发明的实施例提供一种业务访问方法及装置,安全传输代理装置接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,业务请求消息包括业务类型,并根据业务类型对解密后的业务请求消息的业务权限进行验证;若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换,并发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的安全传输代理装置结构示意图;
图2为本发明实施例提供的安全传输代理装置结构示意图;
图3为本发明实施例提供的安全传输代理装置结构示意图;
图4为本发明实施例提供的客户端结构示意图;
图5为本发明实施例提供的客户端结构示意图;
图6为本发明实施例提供的业务访问系统结构示意图;
图7为本发明实施例提供的业务访问方法流程示意图;
图8为本发明实施例提供的业务访问方法流程示意图;
图9为本发明实施例提供的业务访问方法流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例提供一种安全传输代理装置1,如图1所示,该装置1可以包括:
接收单元10,用于接收客户端发送的业务请求消息;
解密单元11,用于将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型;
验证单元12,用于根据所述业务类型对解密后的业务请求消息的业务权限进行验证;
转换单元13,用于若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;
发送单元14,用于发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
进一步的,所述业务请求消息至少还包括消息渠道和用户信息,
所述验证单元12,用于根据所述消息渠道和所述业务类型对所述业务权限进行第一验证;若所述第一验证成功,则根据所述用户信息和所述业务类型对所述业务权限进行第二验证;
所述转换单元13,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
进一步的,所述验证单元12,具体用于在预设的数据库中查找与所述消息渠道对应的第一业务类型;若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
可选的,所述验证单元12,具体用于在所述预设的数据库中查找与所述用户信息对应的第一权限值;在所述预设的数据库中查找与所述业务类型对应的第二权限值;若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功;
所述转换单元13,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
可选的,所述验证单元12,具体用于在所述预设的数据库中查找与所述用户信息对应的第一归属业务系统和第三权限值;在所述预设的数据库中查找与所述业务类型对应的第二归属业务系统和第四权限值;若所述第一归属业务系统与所述第二归属业务系统相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功;
所述转换单元13,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
进一步的,所述解密后的业务请求消息携带第一协议标识,所述转换单元13,具体用于将所述解密后的业务请求消息携带的第一协议标识转换为所述业务服务端可识别的第二协议标识。
进一步的,如图2所示,所述装置还包括适配单元15:用于对所述业务请求消息进行协议适配。
进一步的,发送单元14,还用于向所述客户端发布安全证书,以使得所述客户端根据所述安全证书对所述业务请求消息进行加密。
可选的,发送单元14,还用于若所述业务权限验证失败,发送请求失败消息至所述客户端。
本发明实施例提供一种安全传输代理装置,安全传输代理装置接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,解密后的业务请求消息包括业务类型;根据所述业务类型对解密后的业务请求消息的业务权限进行验证;若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。
实施例二
本发明实施例提供一种安全传输代理装置2,如图3所示,该装置2可以包括:
处理器20,用于接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型;
处理器20,用于根据所述业务类型对解密后的业务请求消息的业务权限进行验证;
处理器20,用于若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;
发送器21,用于发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
进一步的,所述业务请求消息至少还包括消息渠道和用户信息,
处理器20,用于根据所述消息渠道和所述业务类型对所述业务权限进行第一验证;若所述第一验证成功,则根据所述用户信息和所述业务类型对所述业务权限进行第二验证,在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
进一步的,处理器20,具体用于在预设的数据库中查找与所述消息渠道对应的第一业务类型;若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
可选的,处理器20,具体用于在所述预设的数据库中查找与所述用户信息对应的第一权限值;在所述预设的数据库中查找与所述业务类型对应的第二权限值;若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功,在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
可选的,处理器20,具体用于在所述预设的数据库中查找与所述用户信息对应的第一归属业务系统和第三权限值;在所述预设的数据库中查找与所述业务类型对应的第二归属业务系统和第四权限值;若所述第一归属业务系统与所述第二归属业务系统相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功,在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
进一步的,所述解密后的业务请求消息携带第一协议标识,处理器20,具体用于将所述解密后的业务请求消息携带的第一协议标识转换为所述业务服务端可识别的第二协议标识。
进一步的,处理器20,还用于对所述业务请求消息进行协议适配。
进一步的,发送器21,还用于向所述客户端发布安全证书,以使得所述客户端根据所述安全证书对所述业务请求消息进行加密。
可选的,发送器21,还用于若所述业务权限验证失败,发送请求失败消息至所述客户端。
本发明实施例提供一种安全传输代理装置,安全传输代理装置接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,解密后的业务请求消息包括业务类型;根据所述业务类型对解密后的业务请求消息的业务权限进行验证;若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。
实施例三
本发明实施例提供一种客户端3,如图4所示,该客户端3可以包括:
获取单元30,用于获取业务请求消息;
加密单元31,用于对所述业务请求消息进行加密;
发送单元32,用于发送加密后的业务请求消息至安全传输代理装置。
进一步的,如图5所示,该客户端3还包括:
加载单元33,用于加载所述安全传输代理装置发布的安全证书。
进一步的,所述业务请求消息携带第一协议标识。
本发明实施例提供一种客户端,该客户端对获取的业务请求消息进行加密,并发送加密后的业务请求消息至安全传输代理装置。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。
实施例四
本发明实施例提供一种业务访问系统4,如图6所示,包括:至少一个如上所述的客户端3,负载均衡器40,如上所述的安全传输代理装置1,以及至少一个业务服务端41,至少一个客户端3与负载均衡器40连接,负载均衡器40与安全传输代理装置1连接,安全传输代理装置1与至少一个业务服务端41连接。
具体的,业务访问系统中的每一个客户端、每一个业务服务端的工作流程基本相同的,以至少一个客户端中的一个客户端,至少一个业务服务端中的一个业务服务端为例说明业务访问系统的工作过程。
安全传输代理装置向客户端发布安全证书,客户端加载安全传输代理装置发布的安全证书;客户端根据安全证书对业务请求消息进行加密,发送所述业务请求消息发送至负载均衡器;负载均衡器接收所述业务请求消息,并将所述业务请求消息发送至所述安全传输代理装置;安全传输代理装置接收业务请求消息,将业务请求消息进行解密,其中,业务请求消息包括业务类型,并根据业务类型对解密后的业务请求消息的业务权限进行验证,若所述业务权限验证成功,将解密后的业务请求消息进行协议转换,并发送协议转换后的业务请求消息至业务服务端;业务服务端根据协议转换后的业务请求消息执行相应的业务。
其中,负载均衡器采用各种分配算法把网络请求分散到一个服务器集群中的可用服务器上去,通过管理进入的Web数据流量和增加有效的网络带宽,从而使网络访问者获得尽可能最佳的联网体验的硬件设备。
其中,安全证书是用户在进行网上通信时的私人钥匙,在进行通信过程中,安全证书会对用户的通信信息进行高强度的加密,以防止他人窃取或修改等,保证安全性。
本发明实施例提供一种业务访问系统,包括至少一个客户端、负载均衡器、至少一个业务服务端以及安全传输代理装置,安全传输代理装置向至少一个客户端发布安全证书,客户端加载安全传输代理装置发布的安全证书,并根据安全证书对业务请求消息进行加密,安全传输代理装置对接收到的业务请求消息进行解密及权限验证,若权限验证成功,将业务请求消息进行协议转换后发送至业务服务端,业务服务端根据业务请求消息执行相应的业务。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。各个客户端与业务服务端的之间的业务操作,只需针对一个统一的安全权限验证中心,也降低的客户端的改造量和维护量。
实施例五
本发明实施例提供一种业务访问方法,如图7所示,所述方法可以包括:
101、安全传输代理装置接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型。
具体的,在本发明实施例提供的一种业务访问方法中,由安全传输代理装置在DMZ(DemilitarizedZone,半信任区)对互联网上客户端针对其各自所能支撑的安全协议发布安全证书,而不再采用各个业务服务端单独向客户端发布安全证书的方式。安全传输代理装置可以向多个客户端发布一个安全证书,客户端可以根据该安全证书对业务请求消息进行加密,从而保证客户端与业务服务端之间通信的安全性。
其中,DMZ称为半信任区或隔离区。DMZ为一个不同于外网或内网的特殊网络区域,通常将Web、Mail、FTP等允许外部网络访问的服务器接在DMZ内端口,而将整个需要保护的内部网络接在信任区端口后,实现内外网分离。
其中,安全证书是用户在进行网上通信时的私人钥匙,在进行通信过程中,安全证书会对用户的通信信息进行高强度的加密,以防止他人窃取或修改等,保证安全性。
具体的,安全传输代理装置获取客户端发送的业务请求消息,该业务请求消息已通过客户端根据安全传输代理装置发布的证书进行加密,安全传输代理装置对业务请求消息进行解密,所述业务请求消息可以包括业务类型、消息渠道和用户信息,也可以包括业务内容等其它的信息,本实施例对此不限定。
需要说明的是,安全传输代理装置可以根据第一预设算法对所述业务请求消息进行解密,该第一预设算法与客户端根据安全证书对业务请求消息进行加密的算法是对应的,即客户端根据安全证书对业务请求消息进行加密,安全传输代理装置可以通过第一预设算法对该加密的业务请求消息进行解密,该第一预设算法可以为现有技术中的解密算法,本实施例对此不限定。
需要说明的是,如果客户端需使用私有加密协议与业务服务端进行业务交互,也同样可以由安全传输代理装置发布安全证书,该安全证书可以与应用于其它业务服务端的安全证书不同,安全传输代理装置对该私有加密的安全证书、业务请求消息的解密和业务权限验证进行管理。
102、安全传输代理装置根据所述业务类型对解密后的业务请求消息的业务权限进行验证。
具体的,如上所述业务请求消息可以包括消息渠道,用户信息,业务类型,业务内容等。安全传输代理装置根据业务类型对解密后的业务请求消息进行业务权限验证的实现方式可以为:安全传输代理装置根据所述消息渠道和所述业务类型对所述业务权限进行第一验证;若所述第一验证成功,根据所述用户信息和所述业务类型对所述业务权限进行第二验证。
其中,安全传输代理装置根据所述消息渠道和所述业务类型对所述业务权限进行第一验证的一种可能实现方式为:
安全传输代理装置在预设的数据库中查找与所述消息渠道对应的第一业务类型;若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
其中,安全传输代理装置根据所述用户信息和所述业务类型对所述业务权限进行第二验证的一种可能实现方式为:
安全传输代理装置在预设的数据库中查找与所述用户信息对应的第一权限值;在预设的数据库中查找与所述业务类型对应的第二权限值;若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功。
其中,安全传输代理装置根据所述用户信息和所述业务类型对所述业务权限进行第二验证的一种可能实现方式为:
安全传输代理装置在预设的数据库中查找与所述用户信息对应的第一归属业务系统和第三权限值;在预设的数据库中查找与所述业务类型对应的第二归属业务系统和第四权限值;若所述第一归属业务系统与所述第二归属业务系统相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功。
103、若所述业务权限验证成功,安全传输代理装置将所述解密后的业务请求消息进行协议转换。
具体的,通信的不同端可能采用不同的通信协议,不同的通信协议彼此不识别对方的帧格式传输方法,所以需要在使用不同协议的网络区域间做协议转换。若客户端采用的为第一通信协议,业务服务端采用的为第二通信协议,可以理解为,采用第一通信协议的消息携带第一协议标识,采用第二通信协议的消息携带第二协议标识,解密后的业务请求消息携带第一协议标识,业务服务端可以识别的第二通信协议,因此安全传输代理装置需要将解密后的业务请求消息携带的第一协议标识转换为业务服务端可识别的第二协议标识,即安全传输代理装置将解密后的业务请求消息的第一通信协议转换为业务服务端可识别的第二通信协议。本发明实施例中的协议转换是指依照协议标识所指示的协议的格式对消息的协议进行转换。
需要说明的是,安全传输代理装置可以根据第二预设算法对解密后的业务请求消息进行协议转换,该第二预设算法可以为现有技术中的协议转换算法,本实施例对此不限定。
104、安全传输代理装置发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
具体的,当业务请求消息的业务权限验证成功后,安全传输代理装置将该协议转换后的业务请求消息发送至业务服务端,以使得该业务服务端根据业务请求消息执行相应的业务。
本发明实施例提供一种业务访问方法,安全传输代理装置接收客户端发送的业务请求消息,并将所述业务请求消息进行解密,其中,业务请求消息包括业务类型;根据所述业务类型对解密后的业务请求消息的业务权限进行验证;若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。
实施例六
本发明实施例提供一种业务访问方法,如图8所示,所述方法包括:
201、安全传输代理装置接收客户端发送的业务请求消息,对所述业务请求消息进行协议适配,并将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型。
具体的,在本发明实施例提供的一种业务访问方法中,由安全传输代理装置在DMZ(DemilitarizedZone,半信任区)对互联网上客户端针对其各自所能支撑的安全协议发布安全证书,而不再采用各个业务服务端单独向客户端发布安全证书的方式。安全传输代理装置可以向多个客户端发布一个安全证书,客户端可以根据该安全证书对所要发送的业务请求消息进行加密,从而保证客户端与业务服务端之间通信的安全性。
其中,DMZ称为半信任区或隔离区。DMZ为一个不同于外网或内网的特殊网络区域,通常将Web、Mail、FTP等允许外部网络访问的服务器接在DMZ内端口,而将整个需要保护的内部网络接在信任区端口后,实现内外网分离。
具体的,安全传输代理装置获取客户端发送的业务请求消息,该业务请求消息已通过客户端根据安全传输代理装置发布的证书进行加密,安全传输代理装置对业务请求消息进行协议适配,对协议适配后的业务请求消息进行解密,解密后获得业务请求消息具体可以包括业务类型、消息渠道和用户信息,也可以包括业务内容等其它的信息,本实施例对此不限定。
需要说明的是,安全传输代理装置可以根据第一预设算法对所述业务请求消息进行解密,该第一预设算法与客户端根据安全证书对业务请求消息进行加密的算法是对应的,即客户端根据安全证书对业务请求消息进行加密,安全传输代理装置可以通过第一预设算法对该加密的业务请求消息进行解密,该第一预设算法可以为现有技术中的解密算法,本实施例对此不限定。
需要说明的是,如果客户端需使用私有加密协议与业务服务端进行业务交互,也同样可以由安全传输代理装置发布安全证书,该安全证书可以与应用于其它业务服务端的安全证书不同,安全传输代理装置对该私有加密的安全证书、业务请求消息的解密和业务权限验证进行管理。
202、安全传输代理装置在预设的数据库中查找与所述消息渠道对应的第一业务类型;若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
其中,如上所述解密后获得的业务请求消息可以包括消息渠道,用户信息,业务类型,业务内容,也可以包括其它,本实施例对此不限定。
其中,消息渠道为业务请求消息的发送消息的媒介物,如电子渠道e-care,语音渠道IVR(InteractiveVoiceResponse,互动式语音应答)等。
示例性的,对业务权限进行第一验证,若预设的第一数据库如表1所示,预设了不同的业务渠道对应的可以执行的业务类型,即e-care(电子服务)渠道允许业务请求查询客户信息(QueryCustomerInformation),充值卡充值业务(Rechargebyvouchercard)以及修改用户主体业务(ChangePrimaryoffering)和附属业务(Changesupplementaryoffering);而IVR(语音服务)渠道只允许业务请求充值卡充值(Rechargebyvouchercard)和修改用户附属业务(Changesupplementaryoffering);若IVR渠道请求了不允许执行的业务(例如,修改用户主体业务),则拒绝该业务请求。
表1
| 业务渠道 | 业务类型 |
| IVR | Recharge by voucher card |
| IVR | Change supplementary offering |
| e-care | Change Primary offering |
| e-care | Query Customer Information |
| e-care | Change supplementary offering |
| e-care | Recharge by voucher card |
示例性的,若解密后的业务请求消息头为:
ChannelID:IVR;
ServiceType:Rechargebyvouchercard;
即消息渠道为:IVR(InteractiveVoiceResponse,互动式语音应答),业务类型为:充值卡充值业务。
安全传输代理装置在预设的第一数据库(如表1所示)中查找与消息渠道IVR对应的第一业务类型为:Rechargebyvouchercard,Changesupplementaryoffering,其中,业务类型Rechargebyvouchercard与第一业务类型中的Rechargebyvouchercard相同,则第一验证成功,即Rechargebyvouchercard在IVR渠道允许申请的业务范围内,业务请求可以受理。
需要说明的是,在预设的数据库中查找的与消息渠道对应的第一业务类型可以是一个或者多个业务类型,只要所述业务类型与第一业务类型中的任意一个相同,则可以判断第一验证成功。
进一步地,安全传输代理装置在预设的数据库中查找与所述消息渠道对应的第一业务类型,若所述业务类型与所述第一业务类型中的任一个均不相同,则所述第一验证失败,安全传输代理装置发送请求失败消息至客户端。
示例性的,若解密后的业务请求消息头为:
ChannelID:IVR;
ServiceType:ChangePrimaryoffering;
即消息渠道为:IVR(InteractiveVoiceResponse,互动式语音应答),业务类型为:修改用户主体产品。
安全传输代理装置在预设的第一数据库(如表1所示)中查找与消息渠道IVR对应的第一业务类型为,Rechargebyvouchercard,Changesupplementaryoffering,其中,业务类型ChangePrimaryoffering与第一业务类型Rechargebyvouchercard,Changesupplementaryoffering中的任何一个都不相同,则该消息渠道和业务类型第一权限验证失败,即ChangePrimaryoffering不在IVR渠道允许申请的业务范围内,此业务请求不能通过权限验证,业务请求拒绝受理。
需要说明的是,在预设的数据库中查找的与消息渠道对应的第一业务类型可以是一个或者多个业务类型,所述业务类型与第一业务类型中的任意一个都不相同,则可以判断第一验证失败。
可选的,若内部网络的各个业务服务端采用统一的操作管理机制,此时,各个业务服务端的用户ID和口令保持一致,对互联网上发送的业务请求消息进行验证时,无需考虑该业务请求消息最终由哪个业务服务端处理以及业务请求消息中包括的用户ID是否为该业务服务端的有效操作用户,因此,可以采用如下所述的步骤203进行验证。
203、安全传输代理装置在预设的数据库中查找与所述用户信息对应的第一权限值;在预设的数据库中查找与所述业务类型对应的第二权限值;若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功。
其中,用户信息可以包括用户ID和口令。如上所述,解密后的业务请求消息可以包括消息渠道,用户信息,业务类型,业务内容,也可以包括其它,本实施例对此不限定。
为了以下描述简单,假设将权限值分为三个:S,A,B,依次由高到低排列,即S级权限值最高,B级权限值最低,A级权限值为S级与B级之间。
示例性的,若解密后的请求消息头为:
ChannelID:e-care;
ServiceType:ChangePrimaryoffering;
OperatorID:operator1;
即消息渠道为:e-care(电子化服务),业务类型为:修改用户主体产品;用户ID为:操作员1。
安全传输代理装置在预设的第二数据库(如表2所示)中查找与用户信息operator1对应的第一权限值为S;并在预设的数据库(如表3所示)中查找与业务类型ChangePrimaryoffering对应的第二权限值为S;operator1第一权限值S等于第二权限值S,则通过第二权限验证,业务请求可以受理。
表2
| 用户ID | 用户权限值 |
| operator1 | S |
| operator2 | A |
表3
| 业务类型 | 业务类型权限值 |
| Change Primary offering | S |
| Query Customer Information | B |
| Change supplementary offering | A |
| Recharge by voucher card | S |
示例性的,若解密后的请求消息头为:
ChannelID:e-care;
ServiceType:QueryCustomerInformation;
OperatorID:operator1;
即消息渠道为:e-care(电子化服务),业务类型为:查询客户信息;用户ID为:操作员1。
安全传输代理装置在预设的第二数据库(如表2所示)中查找与用户信息operator1对应的第一权限值为S;并在预设的第三数据库(如表3所示)中查找与业务类型QueryCustomerInformation对应的第二权限值为B;operator1第一权限值S大于第二权限值S,则第二验证成功,业务请求可以受理。
示例性的,若解密后的请求消息头为:
ChannelID:e-care;
ServiceType:Changesupplementaryoffering;
OperatorID:operator2;
即消息渠道为:e-care,业务类型为:修改用户附属产品;用户ID为,操作员2。
安全传输代理装置在预设的第二数据库(如表2所示)中查找与用户信息operator2对应的第一权限值为A;在预设的第三数据库(如表3所示)中查找与业务类型Changesupplementaryoffering对应的第二权限值为A;operator1第一权限值A等于第二权限值A,则第二验证成功,业务请求可以受理。
进一步地,安全传输代理装置在预设的数据库中查找与所述用户信息对应的第一权限值;在预设的数据库中查找与所述业务类型对应的第二权限值;若所述第一权限值小于所述第二权限值,所述用户信息和所述业务类型第二验证失败,安全传输代理装置发送请求失败消息至客户端。
示例性的,若解密后的请求消息头为:
ChannelID:e-care;
ServiceType:ChangePrimaryoffering;
OperatorID:operator2;
即消息渠道为:e-care,业务类型为:修改用户附属产品;用户ID为,操作员2。
安全传输代理装置在预设的第二数据库(如表2所示)中查找与用户信息operator2对应的第一权限值为A;并在预设的第三数据库(如表3所示)中查找与业务类型ChangePrimaryoffering对应的第二权限值为S;operator1第一权限值A小于第二权限值S,则第二验证失败,业务请求不能受理。
可选的,若内部网络的各个业务服务端采用各自独立的管理体制,此时,对互联网上发送的业务请求消息进行验证时,需要考虑业务请求消息最终由哪个业务服务端处理以及业务请求消息中传入的用户ID是否为该业务服务端的有效操作用户,因此,可以采用如下所述的步骤204进行验证。
204、安全传输代理装置在所述预设的数据库中查找与所述用户信息对应的第一归属业务系统和第三权限值;在所述预设的数据库中查找与所述业务类型对应的第二归属业务系统和第四权限值;若所述第一归属业务系统与所述第二归属业务系统相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功。
其中,如上所述,用户信息可以包括用户ID和口令。解密后的业务请求消息可以包括消息渠道,用户信息,业务类型,业务内容,也可以包括其它,本实施例对此不限定。
为了以下描述简单,假设将权限值分为三个:S,A,B,依次由高到低排列,即S级权限值最高,B级权限值最低,A级权限值为S级与B级之间。
示例性的,若解密后的请求消息头为:
ChannelID:e-care;
ServiceType:ChangePrimaryoffering;
OperatorID:operator1;
即消息渠道为:e-care,业务类型为:修改用户主体产品;用户ID为,操作员1。
安全传输代理装置在预设的第四数据库(如表4所示)中查找与用户信息operator1对应的第一归属业务系统CRM和第三权限值S;并在预设的第五数据库(如表5所示)中查找与业务类型ChangePrimaryoffering对应的第二归属业务系CRM统和第四权限值S;第一归属业务系统与第二归属业务系统相同,即用户ID与请求的业务类型归属同一个业务系统,而且第三权限值等于第四权限值,第二验证成功,业务请求可以受理。
示例性的,若解密后的业务请求消息头为:
ChannelID:e-care;
ServiceType:QueryCustomerInformation;
OperatorID:operator1;
即消息渠道为:e-care,业务类型为:查询客户信息;用户ID为,操作员1。
安全传输代理装置在预设的第四数据库(如表4所示)中查找与用户信息operator1对应的第一归属业务系统CRM(CustomerRelationshipManagement,客户关系管理)和第三权限值S;在预设的第五数据库(如表5所示)中查找与业务类型QueryCustomerInformation对应的第二归属业务系CRM统和第四权限值B;第一归属业务系统与第二归属业务系统相同,即用户ID与请求的业务类型归属同一个业务系统,而且第三权限值大于第四权限值,第二验证成功,业务请求可以受理。
表4
| 用户ID | 归属业务系统 | 用户权限值 |
| operator1 | CRM | S |
| operator2 | CBS | A |
| operator2 | CBS | S |
表5
进一步地,安全传输代理装置在预设的数据库中查找与所述用户信息对应的第一归属业务系统和第三权限值;在预设的数据库中查找与所述业务类型对应的第二归属业务系统和第四权限值;若所述第一归属业务系统与所述第二归属业务系统不相同,或者所述第三权限值小于所述第四权限值,所述第二验证失败,安全传输代理装置发送请求失败消息至客户端。
示例性的,若解密后的业务请求消息头为:
ChannelID:e-care;
ServiceType:Changesupplementaryoffering;
OperatorID:operator3;
即消息渠道为:e-care,业务类型为:修改用户附属产品;用户ID为,操作员3。
安全传输代理装置在预设的第四数据库(如表4所示)中查找与用户信息operator3对应的第一归属业务系统CBS(ConvertingBillingsystem,计费系统)和第三权限值S;在预设的第五数据库(如表5所示)中查找与业务类型Changesupplementaryoffering对应的第二归属业务系CRM统和第四权限值A;虽然第三权限值大于第四权限值,用户ID与请求的业务类型不属于同一个业务系统,则第二验证失败,业务请求不能受理。
示例性的,若解密后的业务请求消息头为:
ChannelID:e-care;
ServiceType:Rechargebyvouchercard;
OperatorID:operator2;
即消息渠道为:e-care,业务类型为:充值卡充值业务;用户ID为,操作员2。
安全传输代理装置在预设的第四数据库(如表4所示)中查找与用户信息operator2对应的第一归属业务系统CBS和第三权限值A;在预设的第五数据库(如表5所示)中查找与业务类型Rechargebyvouchercard对应的第二归属业务系统CBS和第四权限值S;虽然用户ID与请求的业务类型归属同一个业务系统,但是,第三权限值小于第四权限值,则第二验证失败,业务请求不能受理。
205、安全传输代理装置将所述解密后的业务请求消息携带的第一协议标识转换为业务服务端可识别的第二协议标识。
具体的,通信的不同端可能采用不同的通信协议,不同的通信协议彼此不识别对方的帧格式传输方法,所以需要在使用不同协议的网络区域间做协议转换。若客户端采用的为第一通信协议,业务服务端采用的为第二通信协议,可以理解,采用第一通信协议的消息携带第一协议标识,采用第二通信协议的消息携带第二协议标识,解密后的业务请求消息携带第一协议标识,业务服务端可以识别的第二通信协议,因此安全传输代理装置需要将解密后的业务请求消息携带的第一协议标识转换为业务服务端可识别的第二协议标识,即安全传输代理装置将解密后的业务请求消息的第一通信协议转换为业务服务端可识别的第二通信协议。本发明实施例中的协议转换是指依照协议标识所指示的协议的格式对消息的协议进行转换。
示例性的,若客户端采用的是https的协议,而业务服务端采用的是http的协议,安全传输代理装置需要将https的协议转换为http的协议。
需要说明的是,安全传输代理装置可以根据第二预设算法对解密后的业务请求消息进行协议转换,该第二预设算法可以为现有技术中的协议转换算法,本实施例对此不限定。
206、安全传输代理装置发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
具体的,当业务请求消息的业务权限验证成功后,安全传输代理装置将该协议转换后的业务请求消息发送至业务服务端,以使得该业务服务端根据业务请求消息执行相应的业务。
本发明的实施例提供一种业务访问方法,安全传输代理装置接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,业务请求消息包括业务类型,并根据业务类型对解密后的业务请求消息的业务权限进行验证;若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换,并发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型、消息渠道和用户信息对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。
实施例七
本发明实施例提供一种业务系统访问方法,如图9所示,包括:
301、客户端获取业务请求消息,对所述业务请求消息进行加密。
具体的,当用户需要进行某项业务操作时,客户端需要对通过用户操作获取的业务请求消息进行加密。首先,客户端需要加载安全传输代理装置向客户端发布的安全证书。当客户端获取业务请求消息后,根据安全证书对业务请求消息进行加密,其中,安全证书是用户在进行网上通信时的私人钥匙,在进行通信过程中,安全证书会对用户的通信信息进行高强度的加密,以防止他人窃取或修改等,保证安全性。
302、客户端发送加密后的业务请求消息至安全传输代理装置。
具体的,客户端将安全证书加密的业务请求消息发送至安全传输代理装置,该业务请求消息携带第一协议标识,第一协议标识用于指示客户端所采用的协议。
本发明实施例提供一种业务访问方法,客户端对获取的业务请求消息进行加密,并发送加密后的业务请求消息至安全传输代理装置。在本方案中,可以通过安全传输代理装置对互联网上客户端发送的业务请求进行解密及业务权限的验证,不再采用各个业务服务端单独发布证书并进行权限验证,从而减少了业务服务端的改造及维护工作量,而且,可以更有效的进行权限验证方法的制定和维护,降低了组网成本,同时,由于根据业务类型、消息渠道和用户信息对解密后的业务请求消息的业务权限进行验证,增强了通信安全性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种安全传输代理装置,其特征在于,包括:
接收单元,用于接收客户端发送的业务请求消息;
解密单元,用于将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型;
验证单元,用于根据所述业务类型对解密后的业务请求消息的业务权限进行验证;
转换单元,用于若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;
发送单元,用于发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
2.根据权利要求1所述的装置,其特征在于,所述业务请求消息至少还包括消息渠道和用户信息,
所述验证单元,用于根据所述消息渠道和所述业务类型对所述业务权限进行第一验证;若所述第一验证成功,则根据所述用户信息和所述业务类型对所述业务权限进行第二验证;
所述转换单元,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
3.根据权利要求2所述的装置,其特征在于,所述验证单元,具体用于在预设的数据库中查找与所述消息渠道对应的第一业务类型;若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
4.根据权利要求3所述的装置,其特征在于,所述验证单元,具体用于在所述预设的数据库中查找与所述用户信息对应的第一权限值;在所述预设的数据库中查找与所述业务类型对应的第二权限值;若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功;所述转换单元,用于在所述第二验证成功后,将所述解密后的业务请求消息进行协议转换。
5.根据权利要求3所述的装置,其特征在于,所述验证单元,具体用于在所述预设的数据库中查找与所述用户信息对应的第一归属业务系统和第三权限值;在所述预设的数据库中查找与所述业务类型对应的第二归属业务系统和第四权限值;若所述第一归属业务系统与所述第二归属业务系统相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功;
所述转换单元,用于在第二验证成功后,将所述解密后的业务请求消息进行协议转换。
6.一种业务访问方法,其特征在于,包括:
接收客户端发送的业务请求消息,将所述业务请求消息进行解密,其中,所述业务请求消息包括业务类型;
根据所述业务类型对解密后的业务请求消息的业务权限进行验证;
若所述业务权限验证成功,将所述解密后的业务请求消息进行协议转换;
发送协议转换后的业务请求消息至业务服务端,以使得所述业务服务端根据所述协议转换后的业务请求消息执行相应的业务。
7.根据权利要求6所述的方法,其特征在于,所述业务请求消息至少还包括消息渠道和用户信息,所述根据所述业务类型对解密后的业务请求消息的业务权限进行验证,包括:
根据所述消息渠道和所述业务类型对所述业务权限进行第一验证;
若所述第一验证成功,则根据所述用户信息和所述业务类型对所述业务权限进行第二验证。
8.根据权利要求7所述的方法,其特征在于,所述根据所述消息渠道和所述业务类型对所述业务权限进行第一验证,具体包括:
在预设的数据库中查找与所述消息渠道对应的第一业务类型;
若所述业务类型为所述第一业务类型中的任一个,则所述第一验证成功。
9.根据权利要求8所述的方法,其特征在于,所述根据所述用户信息和所述业务类型对所述业务权限进行第二验证,具体包括:
在所述预设的数据库中查找与所述用户信息对应的第一权限值;
在所述预设的数据库中查找与所述业务类型对应的第二权限值;
若所述第一权限值大于或等于所述第二权限值,则所述第二验证成功。
10.根据权利要求8所述的方法,其特征在于,所述根据所述用户信息和所述业务类型对所述业务权限进行第二验证,具体包括:
在所述预设的数据库中查找与所述用户信息对应的第一归属业务系统和第三权限值;
在所述预设的数据库中查找与所述业务类型对应的第二归属业务系统和第四权限值;
若所述第一归属业务系统与所述第二归属业务系统相同,且所述第三权限值大于或等于所述第四权限值,则所述第二验证成功。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410312944.2A CN105338020B (zh) | 2014-07-02 | 2014-07-02 | 一种业务访问方法及装置 |
| PCT/CN2015/076094 WO2016000473A1 (zh) | 2014-07-02 | 2015-04-08 | 一种业务访问方法、系统及装置 |
| EP15814144.0A EP3166283B1 (en) | 2014-07-02 | 2015-04-08 | Business access method, system and device |
| US15/390,974 US10412057B2 (en) | 2014-07-02 | 2016-12-27 | Service access method and system, and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410312944.2A CN105338020B (zh) | 2014-07-02 | 2014-07-02 | 一种业务访问方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105338020A true CN105338020A (zh) | 2016-02-17 |
| CN105338020B CN105338020B (zh) | 2018-12-07 |
Family
ID=55018413
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410312944.2A Active CN105338020B (zh) | 2014-07-02 | 2014-07-02 | 一种业务访问方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10412057B2 (zh) |
| EP (1) | EP3166283B1 (zh) |
| CN (1) | CN105338020B (zh) |
| WO (1) | WO2016000473A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108242021A (zh) * | 2016-12-26 | 2018-07-03 | 航天信息股份有限公司 | 一种账务数据的处理系统、方法及装置 |
| CN108667933A (zh) * | 2018-05-11 | 2018-10-16 | 星络科技有限公司 | 连接建立方法、连接建立装置及通信系统 |
| CN110971622A (zh) * | 2020-03-04 | 2020-04-07 | 信联科技(南京)有限公司 | 一种公网应用系统与内网应用系统间双向访问方法及系统 |
| CN111510476A (zh) * | 2020-04-03 | 2020-08-07 | 金蝶软件(中国)有限公司 | 通信方法、装置、计算机设备和计算机可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001019102A1 (en) * | 1999-09-02 | 2001-03-15 | Nokia Mobile Phones Limited | A wireless communication terminal for accessing location information from a server |
| CN1556634A (zh) * | 2004-01-05 | 2004-12-22 | 中兴通讯股份有限公司 | 一种综合业务平台及其业务流程控制方法 |
| CN101753561A (zh) * | 2009-12-28 | 2010-06-23 | 中兴通讯股份有限公司 | 业务的集群处理方法及集群系统 |
| CN102291796A (zh) * | 2011-09-02 | 2011-12-21 | 中国联合网络通信集团有限公司 | 业务数据传输方法、系统及管理控制中心 |
| CN103001962A (zh) * | 2012-12-03 | 2013-03-27 | 中国联合网络通信集团有限公司 | 业务支撑方法和系统 |
| WO2013093474A1 (en) * | 2011-12-21 | 2013-06-27 | Veritape Ltd | Method and apparatus for mediating communications |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6219790B1 (en) * | 1998-06-19 | 2001-04-17 | Lucent Technologies Inc. | Centralized authentication, authorization and accounting server with support for multiple transport protocols and multiple client types |
| US7237261B1 (en) * | 1999-09-07 | 2007-06-26 | Swisscom Ag | Method, system and gateway allowing secured end-to-end access to WAP services |
| US20020116637A1 (en) * | 2000-12-21 | 2002-08-22 | General Electric Company | Gateway for securely connecting arbitrary devices and service providers |
| US20040030887A1 (en) * | 2002-08-07 | 2004-02-12 | Harrisville-Wolff Carol L. | System and method for providing secure communications between clients and service providers |
| US20040225657A1 (en) * | 2003-05-07 | 2004-11-11 | Panacea Corporation | Web services method and system |
| CN1314221C (zh) * | 2004-02-01 | 2007-05-02 | 中兴通讯股份有限公司 | 一种安全代理方法 |
| US20070288487A1 (en) * | 2006-06-08 | 2007-12-13 | Samsung Electronics Co., Ltd. | Method and system for access control to consumer electronics devices in a network |
| US7970943B2 (en) * | 2007-08-14 | 2011-06-28 | Oracle International Corporation | Providing interoperability in software identifier standards |
| CN101552989B (zh) * | 2009-05-20 | 2011-01-26 | 中国电信股份有限公司 | 一种用户数据配置方法、系统和移动网络配置网关 |
| US8867539B2 (en) * | 2009-09-18 | 2014-10-21 | At&T Intellectual Property I, L.P. | Multicast-unicast protocol converter |
| CN102104607B (zh) * | 2011-03-10 | 2013-11-06 | 易程(苏州)软件股份有限公司 | 访问业务的安全控制方法、装置及系统 |
| KR101999335B1 (ko) * | 2011-12-13 | 2019-07-11 | 비자 인터네셔널 서비스 어소시에이션 | 통합된 모바일 위탁 서비스 관리자 |
| CN103428700A (zh) * | 2013-07-26 | 2013-12-04 | 中国联合网络通信集团有限公司 | 业务鉴权方法及装置 |
-
2014
- 2014-07-02 CN CN201410312944.2A patent/CN105338020B/zh active Active
-
2015
- 2015-04-08 EP EP15814144.0A patent/EP3166283B1/en active Active
- 2015-04-08 WO PCT/CN2015/076094 patent/WO2016000473A1/zh active Application Filing
-
2016
- 2016-12-27 US US15/390,974 patent/US10412057B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001019102A1 (en) * | 1999-09-02 | 2001-03-15 | Nokia Mobile Phones Limited | A wireless communication terminal for accessing location information from a server |
| CN1556634A (zh) * | 2004-01-05 | 2004-12-22 | 中兴通讯股份有限公司 | 一种综合业务平台及其业务流程控制方法 |
| CN101753561A (zh) * | 2009-12-28 | 2010-06-23 | 中兴通讯股份有限公司 | 业务的集群处理方法及集群系统 |
| CN102291796A (zh) * | 2011-09-02 | 2011-12-21 | 中国联合网络通信集团有限公司 | 业务数据传输方法、系统及管理控制中心 |
| WO2013093474A1 (en) * | 2011-12-21 | 2013-06-27 | Veritape Ltd | Method and apparatus for mediating communications |
| CN103001962A (zh) * | 2012-12-03 | 2013-03-27 | 中国联合网络通信集团有限公司 | 业务支撑方法和系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108242021A (zh) * | 2016-12-26 | 2018-07-03 | 航天信息股份有限公司 | 一种账务数据的处理系统、方法及装置 |
| CN108242021B (zh) * | 2016-12-26 | 2022-02-01 | 航天信息股份有限公司 | 一种账务数据的处理系统、方法及装置 |
| CN108667933A (zh) * | 2018-05-11 | 2018-10-16 | 星络科技有限公司 | 连接建立方法、连接建立装置及通信系统 |
| CN110971622A (zh) * | 2020-03-04 | 2020-04-07 | 信联科技(南京)有限公司 | 一种公网应用系统与内网应用系统间双向访问方法及系统 |
| CN111510476A (zh) * | 2020-04-03 | 2020-08-07 | 金蝶软件(中国)有限公司 | 通信方法、装置、计算机设备和计算机可读存储介质 |
| CN111510476B (zh) * | 2020-04-03 | 2023-06-20 | 金蝶软件(中国)有限公司 | 通信方法、装置、计算机设备和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105338020B (zh) | 2018-12-07 |
| US20170111329A1 (en) | 2017-04-20 |
| EP3166283A4 (en) | 2017-05-10 |
| US10412057B2 (en) | 2019-09-10 |
| WO2016000473A1 (zh) | 2016-01-07 |
| EP3166283B1 (en) | 2019-11-13 |
| EP3166283A1 (en) | 2017-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106851632B (zh) | 一种智能设备接入无线局域网的方法及装置 | |
| CN103036867B (zh) | 基于相互认证的虚拟专用网络服务设备和方法 | |
| CN111277549B (zh) | 一种采用区块链的安全服务方法与系统 | |
| CN106789841B (zh) | 业务处理方法、终端、服务器以及系统 | |
| CN106411926B (zh) | 一种数据加密通信方法及系统 | |
| CN103441997A (zh) | 一种内容共享方法、装置和系统 | |
| CN105101194A (zh) | 终端安全认证方法、装置及系统 | |
| KR20170013305A (ko) | 보안 무선 충전 | |
| KR20160127167A (ko) | 다중 팩터 인증 기관 | |
| CN102801616A (zh) | 报文发送和接收的方法、装置和系统 | |
| EP3794852B1 (en) | Secure methods and systems for identifying bluetooth connected devices with installed application | |
| CN105141645A (zh) | 终端设备的登录方法、终端设备和云端服务器 | |
| CN102811228A (zh) | 网络业务登录方法、设备和系统 | |
| CN104168304A (zh) | Vdi环境下的单点登录系统及方法 | |
| EP3811583B1 (en) | Secure systems and methods for resolving audio device identity using remote application | |
| CN111769939A (zh) | 业务系统的访问方法、装置、存储介质及电子设备 | |
| CN113613227B (zh) | 蓝牙设备的数据传输方法和装置、存储介质及电子装置 | |
| CN105812334A (zh) | 一种网络认证方法 | |
| CN105338020A (zh) | 一种业务访问方法及装置 | |
| CN111698263B (zh) | 一种北斗卫星导航数据的传输方法和系统 | |
| CN103905194A (zh) | 身份溯源认证方法及系统 | |
| CN107819766B (zh) | 安全认证方法、系统及计算机可读存储介质 | |
| CN101616414A (zh) | 对终端进行认证的方法、系统及服务器 | |
| CN113132976A (zh) | 一种分布式无线通信配电网差动保护方法及系统 | |
| CN103152326A (zh) | 一种分布式认证方法及认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |