CN109510710A - 一种业务请求的响应方法及系统 - Google Patents

一种业务请求的响应方法及系统 Download PDF

Info

Publication number
CN109510710A
CN109510710A CN201811561166.5A CN201811561166A CN109510710A CN 109510710 A CN109510710 A CN 109510710A CN 201811561166 A CN201811561166 A CN 201811561166A CN 109510710 A CN109510710 A CN 109510710A
Authority
CN
China
Prior art keywords
service request
authorization
response
sequence number
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201811561166.5A
Other languages
English (en)
Inventor
黄泽浩
宋欢儿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN201811561166.5A priority Critical patent/CN109510710A/zh
Publication of CN109510710A publication Critical patent/CN109510710A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明适用于互联网技术领域,提供了一种业务请求的响应方法及系统,包括:响应服务器若接收到业务请求终端发送的授权请求,则根据授权请求确定授权范围,并通过预设的私钥对授权范围进行加密,生成关于授权范围的授权序列号;通过非对称加密算法,生成公钥,并将公钥以及授权序列号发送给业务请求终端;业务请求终端通过公钥对授权序列号进行解密,获取授权范围,基于授权范围生成业务请求;响应服务器接收业务请求,并通过私钥解析业务请求的授权序列号,若识别到授权序列号为合法序列号,则响应业务请求。本发明提高了授权序列号的保密性,若授权序列号不符合预设的加密规则,则可以快速识别非法请求,避免对非法请求的响应。

Description

一种业务请求的响应方法及系统
技术领域
本发明属于互联网技术领域,尤其涉及一种业务请求的响应方法及系统。
背景技术
应用程序作为满足用户服务需求的主要载体,为了提高服务效率以及服务范围,往往需要通过远端服务器对应用程序进行响应支援,即通过应用程序接收用户发起的业务请求,再由应用程序转发给远端服务器响应该业务请求,因此,为了对用户的业务请求进行管理,用户在发起业务请求时,服务器需要对业务请求进行合法性授权等操作。基于此,如何能够确定应用程序与服务器之间通信的安全性以及不可篡改性显得尤为重要。
现有的业务响应技术,一般是通过服务器向应用程序发送授权码,通过校验该授权码是否合法的方式实现的,然而授权码容易修改,从而导致了大量非法服务请求的产生,安全性较低。
发明内容
有鉴于此,本发明实施例提供了一种业务请求的响应方法及系统,以解决现有的业务响应技术,一般是通过服务器向应用程序发送授权码,通过校验该授权码是否合法的方式实现的,然而授权码容易修改,从而导致了大量非法服务请求的产生,保密性较低问题。
本发明实施例的第一方面提供了一种业务请求的响应方法,应用于业务请求的响应系统,所述业务请求的响应系统包括响应服务器以及至少一个业务请求终端,所述业务请求的响应方法包括:
所述响应服务器若接收到所述业务请求终端发送的授权请求,则根据所述授权请求确定授权范围,并通过预设的私钥对所述授权范围进行加密,生成关于所述授权范围的授权序列号;
所述响应服务器通过非对称加密算法,生成关于所述私钥的公钥,并将所述公钥以及所述授权序列号发送给所述业务请求终端;
所述业务请求终端通过所述公钥对所述授权序列号进行解密,获取所述授权范围,基于所述授权范围生成业务请求,并将携带有所述授权序列号的所述业务请求发送给所述响应服务器;
所述响应服务器接收所述业务请求,并通过所述私钥解析所述业务请求的所述授权序列号,判断所述授权序列号是否为合法序列号;
所述响应服务器若识别到所述授权序列号为合法序列号,则响应所述业务请求。
本发明实施例的第二方面提供了一种业务请求的响应系统,所述业务请求的响应系统包括响应服务器以及至少一个业务请求终端;
所述响应服务器,用于若接收到所述业务请求终端发送的授权请求,则根据所述授权请求确定授权范围,并通过预设的私钥对所述授权范围进行加密,生成关于所述授权范围的授权序列号;
所述响应服务器,用于通过非对称加密算法,生成关于所述私钥的公钥,并将所述公钥以及所述授权序列号发送给所述业务请求终端;
所述业务请求终端,用于通过所述公钥对所述授权序列号进行解密,获取所述授权范围,基于所述授权范围生成业务请求,并将携带有所述授权序列号的所述业务请求发送给所述响应服务器;
所述响应服务器,用于接收所述业务请求,并通过所述私钥解析所述业务请求的所述授权序列号,判断所述授权序列号是否为合法序列号;
所述响应服务器,用于若识别到所述授权序列号为合法序列号,则响应所述业务请求。
本发明实施例的第三方面提供了一种业务请求的响应系统,所述业务请求的响应系统包括响应服务器以及至少一个业务请求终端;响应服务器包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时如第一方面的步骤;业务请求终端包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时如第一方面的步骤。
本发明实施例的第四方面提供了一种业务请求的响应系统,所述业务请求的响应系统包括响应服务器以及至少一个业务请求终端;所述响应服务器包括计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现第一方面的各个步骤;所述业务请求终端包括计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现第一方面的各个步骤。
实施本发明实施例提供的一种业务请求的响应方法及系统具有以下有益效果:
本发明实施例在业务请求终端发起业务请求之前,需要先得到响应服务器的授权序列号,响应服务器通过私钥对授权范围进行加密,然后通过非对称算法生成私钥对应的公钥,由于是通过非对称算法生成的公钥,因此该公钥只能对授权序列号进行解密操作,确定授权范围,而无法将授权范围进行加密生成授权序列号,即是加密过程不可逆。响应服务器将公钥以及授权序列号发送给业务请求终端,业务请求终端在确定了授权范围后会生成符合授权范围的业务请求,并将授权序列号以及业务请求一并反馈给响应服务器进行业务处理,响应服务器根据业务请求中携带的授权序列号判断业务请求是否合法,若合法,则响应该业务请求,从而可以对非法服务请求进行识别,提高了业务响应的保密性。与现有的业务请求的响应技术相比,由于授权序列号可以通过公钥进行解密,但无法进行加密操作,即便公钥泄露,非法用户也无法修改授权范围,提高了授权序列号的保密性,若授权序列号不符合预设的加密规则,则可以快速识别非法请求,避免对非法请求的响应。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明第一实施例提供的一种业务请求的响应方法的交互流程图;
图2是本发明第二实施例提供的一种业务请求的响应方法S102具体实现流程图;
图3是本发明第三实施例提供的一种业务请求的响应方法具体实现流程图;
图4是本发明第四实施例提供的一种业务请求的响应方法S104具体实现流程图;
图5是本发明第五实施例提供的一种业务请求的响应方法具体实现流程图;
图6是本发明一实施例提供的一种业务请求的响应系统的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例在业务请求终端发起业务请求之前,需要先得到响应服务器的授权序列号,响应服务器通过私钥对授权范围进行加密,然后通过非对称算法生成私钥对应的公钥,由于是通过非对称算法生成的公钥,因此该公钥只能对授权序列号进行解密操作,确定授权范围,而无法将授权范围进行加密生成授权序列号,即是加密过程不可逆。响应服务器将公钥以及授权序列号发送给业务请求终端,业务请求终端在确定了授权范围后会生成符合授权范围的业务请求,并将授权序列号以及业务请求一并反馈给响应服务器进行业务处理,响应服务器根据业务请求中携带的授权序列号判断业务请求是否合法,若合法,则响应该业务请求,从而可以对非法服务请求进行识别,提高了业务响应的保密性,解决了现有的业务响应技术,一般是通过服务器向应用程序发送授权码,通过校验该授权码是否合法的方式实现的,然而授权码容易修改,从而导致了大量非法服务请求的产生,保密性较低问题。
在本发明实施例中,流程的执行主体为业务请求的响应系统,该业务请求的响应系统包括响应服务器以及至少一个业务请求终端。该业务请求终端包括但不限于:服务器、计算机、智能手机以及平板电脑等具有业务请求发起功能的设备。响应服务器则用于响应各个业务请求终端的业务请求,与各个业务请求终端建立有通信连接。图1示出了本发明第一实施例提供的业务请求的响应方法的交互流程图,详述如下:
在S101中,所述响应服务器若接收到所述业务请求终端发送的授权请求,则根据所述授权请求确定授权范围,并通过预设的私钥对所述授权范围进行加密,生成关于所述授权范围的授权序列号。
在本实施例中,业务请求终端在向响应服务器发送业务请求之前,需要先获得响应服务器的响应授权,即该业务请求终端均有相关的权限向响应服务器发起业务请求。基于此,业务请求终端会向响应服务器发送一个授权请求,以便响应服务器下发一个授权序列号,以获取响应权限。其中,该授权请求可以包括有业务请求终端的终端标识、通信地址等用于标示业务请求终端身份的信息,以便响应服务器判断该业务请求终端是否为合法的终端,当然,业务请求终端可以通过内置的与响应服务器关联的客户端生成该授权请求,在该情况下,该授权请求会通过该关联的客户端通过预设的封装规则进行封装,生成该客户端对应的数据包,响应服务器通过检测数据包的格式是否符合预设的封装规则,则可以判断该授权请求是否为合法的。特别地,该授权请求包括有授权码,用户可以通过支付对应的授权费等方式获取得到对应的授权码,并封装于授权请求中,响应服务器通过解析该授权码判断该授权请求是否合法,若合法,则执行根据所述授权请求确定授权范围,并通过预设的私钥对所述授权范围进行加密,生成关于所述授权范围的授权序列号;反之,若该授权码为不合法,则返回授权失败信息。
在本实施例中,响应服务器在接收到授权请求后,会确定该授权请求对应的授权范围。该授权范围可以为一授权时间范围,即授权有效期;或者,该授权范围还可以为可请求范围,即用户的操作权限,在该情况下,授权范围可以通过请求类型列表的方式来确定可请求范围,将所有可响应的请求类型添加到该请求类型列表中,业务请求终端可以基于该请求类型列表,从中选取任一请求类型作为目标请求类型,并生成关于该请求类型的业务请求。
在本实施例中,响应服务器为了提高授权范围的保密性以及稳定性,终端设备会通过私钥对该授权范围进行加密处理。可选地,私钥的加密等级可以与授权范围的范围大小相关,若授权范围的范围较大,则对应的私钥的加密等级则越高;反之,若授权范围较小,则对应的私钥的加密等级越小,响应服务器可以通过确定授权范围,选取与之对应的私钥。在该情况下,私钥等级与私钥包含的字符长度有关。响应服务器通过私钥对授权范围进行加密后所生成的密文会识别为授权码。
在S102中,所述响应服务器通过非对称加密算法,生成关于所述私钥的公钥,并将所述公钥以及所述授权序列号发送给所述业务请求终端。
在本实施例中,响应服务器为了保证业务请求终端可以解析得到授权序列号且无法对授权序列号中的授权范围进行修改,会通过非对称加密算法生成与私钥对应的公钥。其中,私钥用于执行加密操作,而公钥则用于执行解密操作,上述两个密钥均为单向操作,即私钥无法对授权序列号进行解密,且公钥则无法对授权序列号的解密信息进行加密操作,从而保证了只有响应服务器可以发布授权序列号,而业务请求终端只能够解析授权序列号,从而私钥与公钥构成一对相互关联的密钥对。
在本实施例中,响应服务器会将与私钥匹配的公钥以及授权序列号发送给业务请求终端,以便业务请求终端可以通过公钥确定授权范围,并执行业务请求操作。可选地,不同的业务响应终端所使用的公钥均相同,在该情况下,响应服务器通过同一私钥对各个业务请求终端的授权范围进行加密,并生成对应的授权序列号,从而不同的业务请求终端可以通过同一公钥来解析自身对应的授权序列号。在该情况下,为了保证授权序列号与业务请求终端之间的匹配性,响应服务器会根据授权范围以及业务请求终端的终端标识生成授权序列号,从而业务请求终端在接收到授权序列号后,可以通过该授权序列号携带的终端标识判断是否为自身的授权序列号。
在S103中,所述业务请求终端通过所述公钥对所述授权序列号进行解密,获取所述授权范围,基于所述授权范围生成业务请求,并将携带有所述授权序列号的所述业务请求发送给所述响应服务器。
在本实施例中,业务请求终端在接收到授权序列号后,则表示该终端具备向响应服务器发送业务请求的权限。当业务请求终端需要发起业务请求时,可以通过公钥对授权序列号进行解密,确定授权范围,例如判断当前时刻是否在授权时间范围内,和/或所需发起的操作是否在授权范围的可请求类型中,从而通过本地的方式检测当前生成的业务请求是否为合法业务请求,若该业务请求为合法业务请求,即发送业务请求的时刻在授权范围的有效时间内和/或业务请求的请求类型在授权范围的可请求类型中,则执行将携带有所述授权序列号的所述业务请求发送给所述响应服务器;反之,若该业务请求为非法业务请求,则输出请求无效的信息,以便用户重新选择所发起的业务类型。
在本实施例中,业务响应终端在确定了授权范围后,需要将授权序列号封装到生成的业务请求中,并将携带有该授权序列号的业务请求发送给响应服务器,以便响应服务器可以通过授权序列号判定该业务请求为合法的业务请求。由于响应服务器主要是通过授权序列号来识别业务请求终端的合法性,因此业务请求终端每个发起的业务请求均需携带授权序列号。
可选地,业务请求的响应方式处理通过在线响应的方式外,即将业务请求发送给响应服务器进行处理外,还可以通过离线响应的方式进行处理。在该情况下,响应服务器对应的客户端具备业务请求的响应功能,业务响应终端可以在本地安装该客户端,客户端在每次执行业务请求之前会通过公钥解析授权范围,判断该业务请求是否在授权范围内,若是,则可以通过离线响应的方式进行响应,即通过客户端内置的处理程序输出业务请求的处理结果;反之,若该业务请求在授权范围外,则转换为在线响应的方式,提示用户重新发送授权请求,更新授权范围。
在S104中,所述响应服务器接收所述业务请求,并通过所述私钥解析所述业务请求的所述授权序列号,判断所述授权序列号是否为合法序列号。
在本实施例中,响应服务器接收各个业务请求终端发送的业务请求,并提取该业务请求中包含的授权序列号,获取该授权序列号对应的公钥,判断是否可以通过公钥对该授权序列号进行解密,并将解密后的明文再次通过私钥进行加密,得到明文对应的密文。响应服务器判断明文是否可读,且是否与业务请求终端对应的已登记范围一致,若不一致,则识别该授权序列号为非法序列号;若一致,则判断通过私钥对明文加密后的密文是否与授权序列号一致,若一致,则识别为合法序列号,并执行S105的操作;反之,若不一致,则识别该授权序列号为非法序列号。
可选地,响应服务器可以为每个业务请求终端配置一个异常请求计数器。若识别得到某一业务请求终端发起的业务请求中的授权序列号为非法序列号,则对该业务请求终端的异常计数器进行加1操作,从而可以统计各个业务请求终端发送非法序列号的次数,若该任一业务请求终端的异常计数器的计数值大于预设的计数阈值,则识别该业务请求终端为非法终端,不在接收该业务请求终端发送的业务请求。
在S105中,所述响应服务器若识别到所述授权序列号为合法序列号,则响应所述业务请求。
在本实施例中,响应服务器对于授权序列号合法且业务请求在授权范围内的业务请求会予以响应,并将处理结果反馈给业务请求终端。
以上可以看出,本发明实施例提供的一种业务请求的响应方法在业务请求终端发起业务请求之前,需要先得到响应服务器的授权序列号,响应服务器通过私钥对授权范围进行加密,然后通过非对称算法生成私钥对应的公钥,由于是通过非对称算法生成的公钥,因此该公钥只能对授权序列号进行解密操作,确定授权范围,而无法将授权范围进行加密生成授权序列号,即是加密过程不可逆。响应服务器将公钥以及授权序列号发送给业务请求终端,业务请求终端在确定了授权范围后会生成符合授权范围的业务请求,并将授权序列号以及业务请求一并反馈给响应服务器进行业务处理,响应服务器根据业务请求中携带的授权序列号判断业务请求是否合法,若合法,则响应该业务请求,从而可以对非法服务请求进行识别,提高了业务响应的保密性。与现有的业务请求的响应技术相比,由于授权序列号可以通过公钥进行解密,但无法进行加密操作,即便公钥泄露,非法用户也无法修改授权范围,提高了授权序列号的保密性,若授权序列号不符合预设的加密规则,则可以快速识别非法请求,避免对非法请求的响应。
图2示出了本发明第二实施例提供的一种业务请求的响应方法S102的具体实现流程图。本发明实施例的执行主体为响应服务器,参见图2,相对于图1所述实施例,本实施例提供的一种业务请求的响应方法S102包括:S1021~S1023,具体详述如下:
进一步地,作为本发明的另一实施例,所述响应服务器通过非对称加密算法,生成关于所述私钥的公开密钥,包括
在S1021中,所述响应服务器获取所述私钥对应的第一质数以及第二质数。
在本实施例中,私钥根据第一质数以及第二质数所决定。响应服务器在生成私钥之前,会通过随机生成质数算法输出第一质数以及第二质数,并通过上述两个质数得到对应的私钥因子,并根据第一质素以及第二质数之间的乘积确定基准因子,私钥则是由私钥因子以及基准因子构成,通过上述两个因子对授权范围进行加密操作。
在本实施例中,加密算法保密程度与第一质数以及第二质数的位数相关,若第一质数以及第二质数的位数越多,则对应的私钥的保密程度越高,即破译难度越大;反之,若第一质数以及第二质数的位数越少,则对应的私钥的保密程度越低,破译难度越低,响应服务器可以根据授权范围的大小,确定对应的保密等级,并随机生成与之对应的第一质数以及第二质数。
在S1022中,所述响应服务器将所述第一质数以及所述第二质数导入预设的公钥转换模型,计算第一公钥因子以及第二公钥因子;所述公钥转换模型具体为:
其中,Keyword1为第一公钥因子;Keyword2为第二公钥因子;FirstPrime为第一质数;SecondPrime为第二质数;Keywordprivate为所述私钥的私钥因子;[Keyword2,f(Keyword1)]为求公约数函数。
在本实施例中,响应服务器将确定的第一质数以及第二质数导入到公钥转换模型内,其中第一公钥因子与私钥的基准因子相同,均为第一质数以及第二质数的乘积,而第二公钥因子则需要同时满足[Keyword2,f(Keyword1)]=1以及Keywordprivate=Keyword2-1modf(Keyword1)两个等式,从而通过上述两个等式可以唯一确定第二公钥因子。
在本实施例中,[Keyword2,f(Keyword1)]=1标识第二公钥因子与f(Keyword1)之间为互质,即公约数有且只有1。
在S1023中,所述响应服务器基于所述第一公钥因子以及所述第二公钥因子生成所述公开密钥。
在本实施例中,响应服务器根据第一公钥因子以及第二公钥因子,生成公钥,通过上述方式进行生成的公钥,可以解析私钥加密后的密文,但无法逆向执行加密操作。
在本发明实施例中,通过上述非对称方式生成私钥对应的公钥,可以提高授权序列号的保密性,避免授权序列号被非法分子伪造,即便公钥泄露了,非法分子也无法通过公钥伪造合法的授权序列号,提高了业务响应的安全性。
图3示出了本发明第三实施例提供的一种业务请求的响应方法的具体实现流程图。参见图3,相对于图1所述的实施例,本实施例提供的一种业务请求的响应方法在所述响应服务器若接收到所述业务请求终端发送的授权请求之前,还包括:S301~S304,具体详述如下:
进一步地,在所述响应服务器若接收到所述业务请求终端发送的授权请求之前,还包括:
在S301中,所述业务请求终端获取与所述响应服务器关联的通信密钥,基于所述通信密钥生成第一传输控制协议TCP报文,并将所述第一TCP报文发送给所述响应服务器。
在本实施例中,业务请求终端会将网络认证与通信链路建立两个过程进行融合,因此,业务请求终端会将通信密钥封装于传输控制协议TCP报文内,从而在进行TCP三次握手的过程中,响应服务器通过识别TCP报文中的通信密钥判断业务请求终端是否为合法设备。具体地,业务请求终端会根据该响应服务器的终端标识,确定与之关联的通信密钥。该通信密钥可以为一静态密钥,即响应服务器与业务请求终端之间约定了一对密钥,分别为存储于响应服务器上的通信密钥,以及存储于业务请求终端上的关联密钥,两个密钥是相互关联,例如通信密钥中的各个字符可以通过预设的转换关系进行转换,从而得到关联密钥。由此可见,若业务请求终端可以基于该通信密钥返回的关联密钥,则可以识别该业务请求终端为合法设备。由于通信密钥可以在通信过程中进行窃取,因此在本次合法验证的过程中,并非直接反馈通信密钥,而是返回该通信密钥的关联密钥,而密钥转换算法只存储于响应服务器以及业务请求终端上,在通信传输过程中并不会将密钥转换算法进行传输,从而能够大大减低密钥泄露的概率,提高了通信链路建立的安全性。
在S302中,所述响应服务器对所述第一TCP报文的通信密钥进行校验,若校验结果为校验成功,则生成所述通信密钥对应的关联密钥。
在本实施例中,响应服务器在接收到第一TCP报文时,则表示响应服务器与业务请求终端需要建立通信链路,并执行授权流程或业务响应流程,为了响应第一TCP报文,以告知任务调度服务器两者之间的链路连通,响应服务器基于该第一TCP报文生成第二TCP报文。
在本实施例中,响应服务器在接收到第一TCP报文后,会提取该第一TCP报文内包含的通信密钥,并识别该通信密钥是否与本地的关联密钥相匹配。具体地,响应服务器可以存储有校验算法,响应服务器可以将通信密钥以及关联密钥均导入到该校验算法内,基于该校验算法的校验值识别两者是否匹配。可选地,该校验算法可以为一哈希函数,响应服务器可以将通信密钥导入到该哈希函数内,确定该通信密钥的哈希值,若关联密钥导入到该哈希函数内,输出的哈希值与通信密钥的哈希值相同,则识别两者相匹配,即校验成功;反之,若输出的哈希值与通信密钥的哈希值不同,则识别两者不匹配,即校验失败。若校验成功,则获取与该通信密钥对应的关联密钥。
在S303中,所述响应服务器基于所述关联密钥生成第二TCP报文,将所述第二TCP报文发送给所述业务请求终端。
在本实施例中,响应服务器会将关联密钥封装于生成的第二TCP报文内,优选地,该关联密钥可以存储于第二TCP报文的保留字段内,并调整选项字段的位值,以便业务请求终端在接收到该第二TCP报文时,可以确定保留字段中携带有有效数据,即关联密钥。
在S304中,所述业务请求终端提取所述第二TCP报文的关联密钥,若检测到所述关联密钥与所述通信密钥匹配,则生成所述授权请求,并将携带有所述授权请求的第三TCP报文发送给所述响应服务器。
在本实施例中,业务请求终端在接收到第二TCP报文后,会识别该关联密钥是否通信密钥相匹配的,识别匹配的方式可以参见S303的相关描述,在此不再赘述。若两者相匹配的,业务请求终端会将生成的授权请求添加到第三TCP报文内,并将第三TCP报文发送给响应服务器,在发送第三TCP报文后,响应服务器以及业务请求终端会识别该通信链路为合法的通信链路,且业务请求终端也为合法设备。当响应服务器接收到第三TCP报文后,由于已完成三次握手操作,因此响应服务器同样会识别该通信链路为合法的通信链路,并从第三TCP报文内提取授权请求,并执行S101的操作。
在本发明实施例中,通过在发送授权请求之间建立一条可靠的通信链路,并将三次握手以及安全校验的过程统一起来,提高了通信链路的建立速度,从而提高了业务响应的速率。
图4示出了本发明第四实施例提供的一种业务请求的响应方法S104的具体实现流程图。参见图4,相对于图1至图3所述实施例,本实施例提供的一种业务请求的响应方法中S104包括:S1041~S1043,具体详述如下:
在S1041中,所述响应服务器通过所述公钥对所述授权序列号进行解密,获取所述授权序列号的授权范围。
在本实施例中,响应服务器在接收到业务请求后,会根据该业务请求中包含的业务请求终端的终端标识,查询该业务请求终端对应的公钥,并通过该公钥对该授权序列号对其进行解密,提取该业务请求所对应的的授权范围。
在S1042中,所述响应服务器根据所述业务请求终端的终端标识,查询所述终端标识对应的合法范围。
在本实施例中,响应服务器在为每个业务请求终端分配授权范围后,会在授权登记表中记录该终端标识与合法范围之间的对应关系。因此,响应服务器可以根据本次接收到的业务请求对应的终端标识,查询该授权登记表,确定该业务请求终端的合法范围。若该合法范围与解析得到的授权范围一致,则执行S1043的操作,反之,若该合法范围与授权范围不一致,则表示业务请求终端修改过该授权序列号,识别该业务请求为异常请求。
在S1043中,所述响应服务器若所述授权范围与所述合法范围匹配,则识别所述授权序列号为合法序列号,并执行响应所述业务请求。
在本实施例中,若授权范围与合法范围一致,则表示该业务请求合法,因此会通过响应服务器处理该业务请求。
在本发明实施例中,通过校验业务请求的授权范围与已登记的合法范围是否一致,确定授权序列号是否合法,从而提高了授权序列号的篡改难度,以及业务请求的安全性。
图5示出了本发明第五实施例提供的一种业务请求的响应方法的具体实现流程图。参见图5,相对于图1至图3所述实施例,本实施例提供的一种业务请求的响应方法还包括:S501~S502,具体详述如下:
进一步地,所述授权范围包括有效授权时长,在所述响应服务器通过非对称加密算法,生成关于所述私钥的公钥,并将所述公钥以及所述授权序列号发送给所述业务请求终端之后,还包括:
在S501中,所述业务请求终端根据接收到所述授权序列号的时间值以及所述有效授权时长,确定有效授权时间范围。
在本实施例中,业务请求终端在接收到授权序列号后,通过公钥对授权序列号进行解密,得到授权范围,并根据授权范围中包含的有效授权时长,以及接收到授权序列号的接收时刻,确定有效授权时间范围。例如,有效授权时长为1小时,而接收到授权序列号的时间值为13:00,则有效授权时间为13:00至14:00。
在S502中,所述业务请求终端若检测到当前时刻超过所述有效授权时间范围,则向所述响应服务器发送新的授权请求。
在本实施例中,业务请求终端若检测到当前时刻超过有效授权时间范围,则表示该授权序列号已经失效,需要重新进行申请,因此会生成一个新的授权请求,该授权请求中的授权范围可以与原来的授权请求的授权范围一致,也可以重新拟定新的授权范围,在此不做限定。
在本发明实施例中,业务请求终端通过识别当前时刻是否超过有效授权时间范围,实现自动执行授权的操作,提高了授权的效率。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
图6示出了本发明一实施例提供的一种业务请求的响应系统的结构框图,该业务请求的响应系统包括响应服务器以及至少一个业务请求终端,响应服务器以及业务请求终端用于执行图1对应的实施例中的各步骤。具体请参阅图1与图1所对应的实施例中的相关描述。为了便于说明,仅示出了与本实施例相关的部分。
参见图6,业务请求的响应系统包括响应服务器61以及至少一个业务请求终端62;
所述响应服务器61,用于若接收到所述业务请求终端62发送的授权请求,则根据所述授权请求确定授权范围,并通过预设的私钥对所述授权范围进行加密,生成关于所述授权范围的授权序列号;
所述响应服务器61,用于通过非对称加密算法,生成关于所述私钥的公钥,并将所述公钥以及所述授权序列号发送给所述业务请求终端62;
所述业务请求终端62,用于通过所述公钥对所述授权序列号进行解密,获取所述授权范围,基于所述授权范围生成业务请求,并将携带有所述授权序列号的所述业务请求发送给所述响应服务器61;
所述响应服务器61,用于接收所述业务请求,并通过所述私钥解析所述业务请求的所述授权序列号,判断所述授权序列号是否为合法序列号;
所述响应服务器61,用于若识别到所述授权序列号为合法序列号,则响应所述业务请求。
可选地,所述响应服务器61,用于通过非对称加密算法,生成关于所述私钥的公开密钥,包括:
所述响应服务器61,用于获取所述私钥对应的第一质数以及第二质数;
所述响应服务器61,用于将所述第一质数以及所述第二质数导入预设的公钥转换模型,计算第一公钥因子以及第二公钥因子;所述公钥转换模型具体为:
其中,Keyword1为第一公钥因子;Keyword2为第二公钥因子;FirstPrime为第一质数;SecondPrime为第二质数;Keywordprivate为所述私钥的私钥因子;[Keyword2,f(Keyword1)]为求公约数函数;
所述响应服务器61,用于基于所述第一公钥因子以及所述第二公钥因子生成所述公开密钥。
可选地,所述业务请求终端62以及所述响应服务器61还用于:
所述业务请求终端62,用于获取与所述响应服务器61关联的通信密钥,基于所述通信密钥生成第一传输控制协议TCP报文,并将所述第一TCP报文发送给所述响应服务器61;
所述响应服务器61,用于对所述第一TCP报文的通信密钥进行校验,若校验结果为校验成功,则生成所述通信密钥对应的关联密钥;
所述响应服务器61,用于基于所述关联密钥生成第二TCP报文,将所述第二TCP报文发送给所述业务请求终端62;
所述业务请求终端62,用于提取所述第二TCP报文的关联密钥,若检测到所述关联密钥与所述通信密钥匹配,则生成所述授权请求,并将携带有所述授权请求的第三TCP报文发送给所述响应服务器63。
可选地,所述响应服务器61,用于接收所述业务请求,并通过所述私钥解析所述业务请求的所述授权序列号,判断所述授权序列号是否为合法序列号,包括:
所述响应服务器61,用于通过所述公钥对所述授权序列号进行解密,获取所述授权序列号的授权范围;
所述响应服务器61,用于根据所述业务请求终端62的终端标识,查询所述终端标识对应的合法范围;
所述响应服务器61,用于若所述授权范围与所述合法范围匹配,则识别所述授权序列号为合法序列号,并执行响应所述业务请求。
可选地,所述授权范围包括有效授权时长;所述业务请求终端62还用于:
所述业务请求终端62,用于根据接收到所述授权序列号的时间值以及所述有效授权时长,确定有效授权时间范围;
所述业务请求终端62,用于若检测到当前时刻超过所述有效授权时间范围,则向所述响应服务器61发送新的授权请求。
因此,本发明实施例提供的业务请求的响应系统中,由于授权序列号可以通过公开密钥进行解密,但无法进行加密操作,即便公开密钥泄露,非法用户也无法修改授权范围,提高了授权序列号的保密性,若授权序列号不符合预设的加密规则,则可以快速识别非法请求,避免对非法请求的响应。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。

Claims (10)

1.一种业务请求的响应方法,应用于业务请求的响应系统,其特征在于,所述业务请求的响应系统包括响应服务器以及至少一个业务请求终端,所述业务请求的响应方法包括:
所述响应服务器若接收到所述业务请求终端发送的授权请求,则根据所述授权请求确定授权范围,并通过预设的私钥对所述授权范围进行加密,生成关于所述授权范围的授权序列号;
所述响应服务器通过非对称加密算法,生成关于所述私钥的公钥,并将所述公钥以及所述授权序列号发送给所述业务请求终端;
所述业务请求终端通过所述公钥对所述授权序列号进行解密,获取所述授权范围,基于所述授权范围生成业务请求,并将携带有所述授权序列号的所述业务请求发送给所述响应服务器;
所述响应服务器接收所述业务请求,并通过所述私钥解析所述业务请求的所述授权序列号,判断所述授权序列号是否为合法序列号;
所述响应服务器若识别到所述授权序列号为合法序列号,则响应所述业务请求。
2.根据权利要求1所述的响应方法,其特征在于,所述响应服务器通过非对称加密算法,生成关于所述私钥的公钥,包括:
所述响应服务器获取所述私钥对应的第一质数以及第二质数;
所述响应服务器将所述第一质数以及所述第二质数导入预设的公钥转换模型,计算第一公钥因子以及第二公钥因子;所述公钥转换模型具体为:
其中,Keyword1为第一公钥因子;Keyword2为第二公钥因子;FirstPrime为第一质数;SecondPrime为第二质数;Keywordprivate为所述私钥的私钥因子;[Keyword2,f(Keyword1)]为求公约数函数;
所述响应服务器基于所述第一公钥因子以及所述第二公钥因子生成所述公钥。
3.根据权利要求1所述的响应方法,其特征在于,在所述响应服务器若接收到所述业务请求终端发送的授权请求之前,还包括:
所述业务请求终端获取与所述响应服务器关联的通信密钥,基于所述通信密钥生成第一传输控制协议TCP报文,并将所述第一TCP报文发送给所述响应服务器;
所述响应服务器对所述第一TCP报文的通信密钥进行校验,若校验结果为校验成功,则生成所述通信密钥对应的关联密钥;
所述响应服务器基于所述关联密钥生成第二TCP报文,将所述第二TCP报文发送给所述业务请求终端;
所述业务请求终端提取所述第二TCP报文的关联密钥,若检测到所述关联密钥与所述通信密钥匹配,则生成所述授权请求,并将携带有所述授权请求的第三TCP报文发送给所述响应服务器。
4.根据权利要求1-3任一项所述的响应方法,其特征在于,所述响应服务器接收所述业务请求,并通过所述私钥解析所述业务请求的所述授权序列号,判断所述授权序列号是否为合法序列号,包括:
所述响应服务器通过所述公钥对所述授权序列号进行解密,获取所述授权序列号的授权范围;
所述响应服务器根据所述业务请求终端的终端标识,查询所述终端标识对应的合法范围;
若所述授权范围与所述合法范围匹配,则所述响应服务器识别所述授权序列号为合法序列号,并执行响应所述业务请求。
5.根据权利要求1-3任一项所述的响应方法,其特征在于,所述授权范围包括有效授权时长;所述业务请求的响应方法还包括:
所述业务请求终端根据接收到所述授权序列号的时间值以及所述有效授权时长,确定有效授权时间范围;
所述业务请求终端若检测到当前时刻超过所述有效授权时间范围,则向所述响应服务器发送新的授权请求。
6.一种业务请求的响应系统,其特征在于,所述业务请求的响应系统包括响应服务器以及至少一个业务请求终端;
所述响应服务器,用于若接收到所述业务请求终端发送的授权请求,则根据所述授权请求确定授权范围,并通过预设的私钥对所述授权范围进行加密,生成关于所述授权范围的授权序列号;
所述响应服务器,用于通过非对称加密算法,生成关于所述私钥的公钥,并将所述公钥以及所述授权序列号发送给所述业务请求终端;
所述业务请求终端,用于通过所述公钥对所述授权序列号进行解密,获取所述授权范围,基于所述授权范围生成业务请求,并将携带有所述授权序列号的所述业务请求发送给所述响应服务器;
所述响应服务器,用于接收所述业务请求,并通过所述私钥解析所述业务请求的所述授权序列号,判断所述授权序列号是否为合法序列号;
所述响应服务器,用于若识别到所述授权序列号为合法序列号,则响应所述业务请求。
7.根据权利要求6所述的响应系统,其特征在于,所述响应服务器,用于通过非对称加密算法,生成关于所述私钥的公钥,包括:
所述响应服务器,用于获取所述私钥对应的第一质数以及第二质数;
所述响应服务器,用于将所述第一质数以及所述第二质数导入预设的公钥转换模型,计算第一公钥因子以及第二公钥因子;所述公钥转换模型具体为:
其中,Keyword1为第一公钥因子;Keyword2为第二公钥因子;FirstPrime为第一质数;SecondPrime为第二质数;Keywordprivate为所述私钥的私钥因子;[Keyword2,f(Keyword1)]为求公约数函数;
所述响应服务器,用于基于所述第一公钥因子以及所述第二公钥因子生成所述公钥。
8.根据权利要求6所述的响应系统,其特征在于,所述业务请求终端以及所述响应服务器还用于:
所述业务请求终端,用于获取与所述响应服务器关联的通信密钥,基于所述通信密钥生成第一传输控制协议TCP报文,并将所述第一TCP报文发送给所述响应服务器;
所述响应服务器,用于对所述第一TCP报文的通信密钥进行校验,若校验结果为校验成功,则生成所述通信密钥对应的关联密钥;
所述响应服务器,用于基于所述关联密钥生成第二TCP报文,将所述第二TCP报文发送给所述业务请求终端;
所述业务请求终端,用于提取所述第二TCP报文的关联密钥,若检测到所述关联密钥与所述通信密钥匹配,则生成所述授权请求,并将携带有所述授权请求的第三TCP报文发送给所述响应服务器。
9.一种业务请求的响应系统,其特征在于,所述业务请求的响应系统包括至少响应服务器以及至少一个业务请求终端;所述响应服务器包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时如权利要求1至5任一项所述方法的步骤;所述业务请求终端包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时如权利要求1至5任一项所述方法的步骤。
10.一种业务请求的响应系统,其特征在于,所述业务请求的响应系统包括至少响应服务器以及至少一个业务请求终端;所述响应服务器包括计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述方法的步骤;所述业务请求终端包括计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述方法的步骤。
CN201811561166.5A 2018-12-20 2018-12-20 一种业务请求的响应方法及系统 Withdrawn CN109510710A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811561166.5A CN109510710A (zh) 2018-12-20 2018-12-20 一种业务请求的响应方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811561166.5A CN109510710A (zh) 2018-12-20 2018-12-20 一种业务请求的响应方法及系统

Publications (1)

Publication Number Publication Date
CN109510710A true CN109510710A (zh) 2019-03-22

Family

ID=65753851

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811561166.5A Withdrawn CN109510710A (zh) 2018-12-20 2018-12-20 一种业务请求的响应方法及系统

Country Status (1)

Country Link
CN (1) CN109510710A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110138859A (zh) * 2019-05-16 2019-08-16 广州温芯云科技有限公司 一种基于物联网体温贴的人体体温实时监测系统
CN113612744A (zh) * 2021-07-23 2021-11-05 天津中新智冠信息技术有限公司 远程授权系统和方法
CN116055207A (zh) * 2023-01-31 2023-05-02 深圳市圣驼储能技术有限公司 一种物联网通讯数据的加密方法及系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110138859A (zh) * 2019-05-16 2019-08-16 广州温芯云科技有限公司 一种基于物联网体温贴的人体体温实时监测系统
CN113612744A (zh) * 2021-07-23 2021-11-05 天津中新智冠信息技术有限公司 远程授权系统和方法
CN113612744B (zh) * 2021-07-23 2023-09-22 天津中新智冠信息技术有限公司 远程授权系统和方法
CN116055207A (zh) * 2023-01-31 2023-05-02 深圳市圣驼储能技术有限公司 一种物联网通讯数据的加密方法及系统
CN116055207B (zh) * 2023-01-31 2023-10-03 深圳市圣驼储能技术有限公司 一种物联网通讯数据的加密方法及系统

Similar Documents

Publication Publication Date Title
CN101340436B (zh) 基于便携式存储设备实现远程访问控制的方法及装置
CN103428221B (zh) 对移动应用的安全登录方法、系统和装置
JP2005196776A (ja) 通信端末と通信機器との間の安全なデータ通信方法及びそのシステム
CN110234111A (zh) 一种适用于多网关无线传感器网络的双因素认证密钥协商协议
CN101742508A (zh) 一种wapi终端与应用服务器传输文件的系统及方法
CN102891843A (zh) 本地服务单元认证安卓客户端应用程序的方法
CN110933078B (zh) 一种h5未登录用户会话跟踪方法
CN107210911A (zh) 安全系统中终端的改进安装
CN105141636A (zh) 适用于cdn增值业务平台的http安全通信方法及系统
CN101083843A (zh) 一种移动终端通讯中对端身份确认的方法及系统
CN109309566B (zh) 一种认证方法、装置、系统、设备及存储介质
Carlos et al. An updated threat model for security ceremonies
CN110662091B (zh) 第三方直播视频接入方法、存储介质、电子设备及系统
CN109151508A (zh) 一种视频加密方法
CN109510710A (zh) 一种业务请求的响应方法及系统
CN108667791A (zh) 身份验证方法
CN107210915A (zh) 相互认证
CN107408187A (zh) 通过认证令牌的改进安全
CN101867473A (zh) 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统
CN100579012C (zh) 一种终端用户安全接入软交换网络的方法
Chen et al. Enhanced authentication protocol for the Internet of Things environment
CN106657002A (zh) 一种新型防撞库关联时间多密码的身份认证方法
CN109150906A (zh) 一种实时数据通信安全方法
CN106230840B (zh) 一种高安全性的口令认证方法
Zhang et al. Is Today's End-to-End Communication Security Enough for 5G and Its Beyond?

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20190322