CN111737723B - 一种业务处理方法、装置及设备 - Google Patents

一种业务处理方法、装置及设备 Download PDF

Info

Publication number
CN111737723B
CN111737723B CN202010865145.3A CN202010865145A CN111737723B CN 111737723 B CN111737723 B CN 111737723B CN 202010865145 A CN202010865145 A CN 202010865145A CN 111737723 B CN111737723 B CN 111737723B
Authority
CN
China
Prior art keywords
authentication
terminal equipment
service
service system
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010865145.3A
Other languages
English (en)
Other versions
CN111737723A (zh
Inventor
王滨
饶伟康
王国云
王星
徐文渊
冀晓宇
李俊
王冲华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Hikvision Digital Technology Co Ltd
Original Assignee
Hangzhou Hikvision Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Hikvision Digital Technology Co Ltd filed Critical Hangzhou Hikvision Digital Technology Co Ltd
Priority to CN202010865145.3A priority Critical patent/CN111737723B/zh
Publication of CN111737723A publication Critical patent/CN111737723A/zh
Application granted granted Critical
Publication of CN111737723B publication Critical patent/CN111737723B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请提供一种业务处理方法、装置及设备,该方法包括:接收终端设备发送的业务请求,该业务请求包括终端设备对应的用户标识;根据该用户标识确定终端设备是否已认证;若否,则向终端设备发送认证信息通知,并在对所述终端设备认证通过后使终端设备重新发送业务请求;若是,则确定终端设备是否具有业务系统的访问权限;若终端设备具有业务系统的访问权限,则将该业务请求转发给业务系统,以使业务系统根据该业务请求进行业务处理。通过本申请的技术方案,避免业务系统的业务发生中断,提高用户感受。

Description

一种业务处理方法、装置及设备
技术领域
本申请涉及通信领域,尤其涉及一种业务处理方法、装置及设备。
背景技术
业务系统为终端设备提供服务的过程中,为保证已授权用户能够访问业务系统,未授权用户无法访问业务系统,可以在业务系统配置认证方式,通过该认证方式对终端设备进行认证。若终端设备通过认证,允许终端设备访问业务系统,若终端设备未通过认证,禁止终端设备访问业务系统。比如说,终端设备向业务系统发送认证请求,该认证请求携带用户名和密码等认证信息,业务系统基于该认证信息对终端设备进行认证,若认证通过,则允许终端设备访问业务系统,若认证不通过,则禁止终端设备访问业务系统。
在某些应用场景下,考虑到用户名和密码的认证方式比较简单,容易被非法用户破解,因此,还可以对认证方式进行升级,即,在业务系统配置新的认证方式,使得业务系统基于新的认证方式对终端设备进行认证。
但是,在上述方式中,需要对业务系统进行升级,使得业务系统支持新的认证方式,而业务系统的升级过程,需要暂停业务,导致业务中断,影响用户感受,而且,升级后的业务系统可能无法为终端设备提供服务。
发明内容
本申请提供一种业务处理方法,应用于认证代理设备,所述认证代理设备部署在终端设备与业务系统之间,所述方法包括:
在所述业务系统根据所述终端设备发送的业务请求进行认证处理之前,接收所述终端设备发送的业务请求,所述业务请求包括所述终端设备对应的用户标识;根据所述用户标识确定所述终端设备是否已认证;
若否,则向所述终端设备发送认证信息通知,并在对所述终端设备认证通过后使所述终端设备重新发送业务请求;
若是,则确定所述终端设备是否具有所述业务系统的访问权限;若所述终端设备具有所述业务系统的访问权限,则将所述业务请求转发给所述业务系统,以使所述业务系统根据所述业务请求进行业务处理。
本申请提供一种业务处理装置,应用于认证代理设备,认证代理设备部署在终端设备与业务系统之间,所述装置包括:
接收模块,用于在所述业务系统根据所述终端设备发送的业务请求进行认证处理之前,接收所述终端设备发送的业务请求,所述业务请求包括所述终端设备对应的用户标识;根据所述用户标识确定所述终端设备是否已认证;
认证模块,用于若确定所述终端设备未认证,则向所述终端设备发送认证信息通知,并在对所述终端设备认证通过后使终端设备重新发送业务请求;
处理模块,用于若确定所述终端设备已认证,则确定所述终端设备是否具有所述业务系统的访问权限;若所述终端设备具有所述业务系统的访问权限,则将所述业务请求转发给所述业务系统,以使所述业务系统根据所述业务请求进行业务处理。
本申请提供一种认证代理设备,所述认证代理设备部署在终端设备与业务系统之间,所述认证代理设备包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现如下步骤:
在所述业务系统根据所述终端设备发送的业务请求进行认证处理之前,接收所述终端设备发送的业务请求,所述业务请求包括所述终端设备对应的用户标识;根据所述用户标识确定所述终端设备是否已认证;
若否,则向所述终端设备发送认证信息通知,并在对所述终端设备认证通过后使所述终端设备重新发送业务请求;
若是,则确定所述终端设备是否具有所述业务系统的访问权限;若所述终端设备具有所述业务系统的访问权限,则将所述业务请求转发给所述业务系统,以使所述业务系统根据所述业务请求进行业务处理。
由以上技术方案可见,本申请实施例中,可以在终端设备与业务系统之间部署认证代理设备,由认证代理设备对终端设备进行认证,即,在需要对业务系统的认证方式进行升级时,可以在认证代理设备配置新的认证方式,使得认证代理设备基于新的认证方式对终端设备进行认证,而不需要在业务系统配置新的认证方式,从而不需要暂停业务系统的业务,避免业务系统的业务发生中断,提高用户感受,业务系统可以继续为终端设备提供服务。显然,上述方式中,在业务系统根据终端设备发送的业务请求进行认证处理之前,在认证代理设备实现额外的认证处理过程,即,可以将额外的认证处理过程部署到认证代理设备,从而不需要在业务系统实现额外的认证处理过程。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1是本申请一种实施方式中的系统结构示意图;
图2是本申请一种实施方式中的业务处理方法的流程示意图;
图3是本申请另一种实施方式中的系统结构示意图;
图4是本申请另一种实施方式中的业务处理方法的流程示意图;
图5是本申请另一种实施方式中的业务处理方法的流程示意图;
图6是本申请另一种实施方式中的业务处理方法的流程示意图;
图7是本申请另一种实施方式中的业务处理方法的流程示意图;
图8是本申请另一种实施方式中的业务处理方法的流程示意图;
图9A是本申请一种实施方式中的业务处理装置的结构示意图;
图9B是本申请一种实施方式中的认证代理设备的硬件结构图。
具体实施方式
在本申请实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请实施例中提出一种业务处理方法,参见图1所示,为系统结构的示意图,可以包括认证代理设备110,业务系统120(业务系统也可以称为应用系统,业务系统可以是为终端设备提供服务的服务器,也可以是为终端设备提供服务的应用程序,对此不做限制,只要能够为终端设备提供服务即可)和多个终端设备130,认证代理设备110部署在终端设备130与业务系统120之间。
认证代理设备110部署在终端设备130与业务系统120之间是指:针对终端设备130发送给业务系统120的每个业务请求,该业务请求会被发送到认证代理设备110,由认证代理设备110将该业务请求转发给业务系统120。
示例性的,在业务系统120为终端设备130提供服务的过程中,为了保证已授权用户能够访问业务系统120,未授权用户无法访问业务系统120,可以在业务系统120配置认证方式,业务系统120通过该认证方式对终端设备130进行认证。若终端设备130通过认证,则允许终端设备130访问业务系统120,若终端设备130未通过认证,则禁止终端设备130访问业务系统120。当然,针对某些业务系统120来说,在为终端设备130提供服务的过程中,也可以不对终端设备130进行认证,而是直接允许终端设备130访问业务系统120。
在某些应用场景下,可以对业务系统120的认证方式进行升级(业务系统120已配置认证方式或未配置认证方式的场景,均可能对业务系统120的认证方式进行升级),即在业务系统120已经上线运行的过程中,为业务系统120配置新的认证方式,也可以称为对业务系统120进行安全认证加固,针对上述需求,本实施例中,在需要对业务系统120的认证方式进行升级时,可以在认证代理设备110配置新的认证方式,使得认证代理设备110基于新的认证方式对终端设备130进行认证,而不需要在业务系统120配置新的认证方式。显然,上述方式在不修改业务系统120的功能代码的基础上,完成业务系统120的身份认证功能的扩展,通过认证代理设备110实现安全认证加固,实现对业务系统120的无侵入式的安全认证加固。在业务系统120需要实现较高级别的安全认证,且需要对业务系统120进行较大改动时,上述方式也不需要对业务系统120的功能代码进行改动,也可以在认证代理设备110实现较高级别的安全认证。
示例性的,对于由多个业务系统120组成的分布式集群来说,认证代理设备110可以实现基于业务系统120为个体的安全认证加固,比如说,针对分布式集群中的每个业务系统120,可以由认证代理设备110为该业务系统120进行安全认证加固,具体的安全认证加固方式可以参见后续实施例,即后续实施例中的业务系统120是分布式集群中的任一业务系统120。对于分布式集群中的多个业务系统120(不同业务系统用于实现不同功能)来说,这些业务系统120可以部署在同一个服务器,也可以部署在不同服务器,对此不做限制,只要认证代理设备110能够为分布式集群的每个业务系统120进行安全认证加固即可。
示例性的,认证代理设备110与业务系统120可以部署在同一个设备,认证代理设备110与业务系统120也可以部署在不同设备,对此不做限制。
在上述方式中,认证代理设备110不需要依托第三方认证系统,可以自主实现认证方式的扩展,可控性强。认证代理设备110支持各种类型的认证方式(如用户名和密码的认证方式,短信验证码的认证方式,令牌的认证方式,证书认证方式、证书双向认证方式等)。认证代理设备110与业务系统120的业务松耦合,即认证代理设备110与业务系统120的业务耦合度低。
参见图2所示,为业务处理方法的流程示意图,该方法可以包括:
步骤201,在业务系统120根据终端设备130发送的业务请求进行认证处理之前,认证代理设备110接收终端设备130发送的业务请求,该业务请求可以包括终端设备130对应的用户标识,该用户标识具有唯一性。
示例性的,终端设备130需要访问业务系统120时,可以发送用于访问业务系统120的业务请求,由于认证代理设备110部署在终端设备130与业务系统120之间,因此,认证代理设备110可以接收到该业务请求。
显然,由于认证代理设备110部署在终端设备130与业务系统120之间,因此,在业务系统120根据终端设备130发送的业务请求进行处理之前,认证代理设备110可以接收到终端设备130发送的业务请求。
示例性的,若业务系统120配置有认证方式,则业务系统120会根据终端设备130发送的业务请求进行认证处理,在认证通过后,才会根据终端设备130发送的业务请求进行业务处理。基于此,在业务系统120根据终端设备130发送的业务请求进行认证处理之前,证代理设备110可以接收到该业务请求。
若业务系统120未配置有认证方式,则业务系统120直接根据终端设备130发送的业务请求进行业务处理。基于此,在业务系统120根据终端设备130发送的业务请求进行业务处理之前,证代理设备110可以接收到该业务请求。
步骤202,认证代理设备110根据该用户标识确定终端设备130是否已认证。
若否,则可以执行步骤203,若是,则可以执行步骤204。
示例性的,认证代理设备110接收到业务请求后,可以从该业务请求中解析出终端设备130对应的用户标识,并根据该用户标识确定终端设备130是否已认证。比如说,查询认证表中是否已存在终端设备130对应的用户标识;若存在,则确定终端设备130已认证,若不存在,则确定终端设备130未认证。
示例性的,认证代理设备110可以维护认证表,该认证表用于记录已通过认证的终端设备130对应的用户标识。例如,针对每个终端设备130来说,在根据该终端设备130的认证信息对该终端设备130进行认证之后,若该终端设备130通过认证,则可以在认证表中记录该终端设备130对应的用户标识。
针对认证表中已记录的每个终端设备130,当该终端设备130下线时,还可以从认证表中删除该终端设备130对应的用户标识。例如,在认证表中记录该终端设备130对应的用户标识时,还可以为该终端设备130设置一个超时定时器,认证代理设备110每次接收到该终端设备130发送的业务请求时,就更新该超时定时器的超时时间,基于此,在该超时定时器超时时,表示该终端设备130已下线,可以从认证表中删除该终端设备130对应的用户标识。又例如,若接收到该终端设备130发送的下线消息(如退出登录消息等),则确定该终端设备130已下线,可以从认证表中删除该终端设备130对应的用户标识。
综上所述,认证代理设备110可以维护认证表,在步骤202中,认证代理设备110接收到业务请求后,可以从该业务请求中解析出终端设备130对应的用户标识。若该认证表中已存在该终端设备130对应的用户标识,则确定该终端设备130已认证,可以执行步骤204。若该认证表中不存在该终端设备130对应的用户标识,则确定该终端设备130未认证,可以执行步骤203。
步骤203,认证代理设备110向终端设备130发送认证信息通知,并在对终端设备认证通过后使终端设备130重新发送业务请求。
在一种可能的实施方式中,步骤203可以通过如下步骤实现:
步骤2031,认证代理设备110向终端设备130发送认证信息通知(用于请求认证信息),该认证信息通知用于使终端设备130发送认证信息。
比如说,认证信息通知的功能是用于请求认证信息,因此,终端设备130在接收到该认证信息通知后,可以向认证代理设备110发送认证信息。
步骤2032,认证代理设备110接收终端设备130发送的认证信息,并根据该认证信息对终端设备130进行认证。示例性的,认证代理设备110对终端设备130进行认证的结果为终端设备130通过认证或终端设备130未通过认证。
示例性的,认证代理设备110对终端设备130进行认证的过程,与认证代理设备110支持的认证方式有关,比如说,若认证代理设备110支持用户名和密码的认证方式,则上述认证信息包括终端设备130对应的用户名和密码,认证代理设备110基于该用户名和该密码对终端设备130进行认证。又例如,若认证代理设备110支持短信验证码的认证方式,则上述认证信息包括终端设备130对应的短信验证码,认证代理设备110基于该短信验证码对终端设备130进行认证。又例如,若认证代理设备110支持令牌的认证方式,则上述认证信息包括终端设备130对应的令牌(token),认证代理设备110基于该令牌对终端设备130进行认证。又例如,若认证代理设备110支持证书认证方式,则上述认证信息包括终端设备130对应的用户证书,认证代理设备110基于该用户证书对终端设备130进行认证。当然,上述方式只是示例,对此不做限制,只要认证代理设备110能够基于认证信息对终端设备130进行认证即可。
在一种可能的实施方式中,在终端设备130需要进行扩展认证时,认证代理设备110可以获取扩展认证的目标认证方式,且认证代理设备110支持至少两种认证方式,所述至少两种认证方式包括该目标认证方式。综上所述,由于认证代理设备110能够支持至少两种认证方式,因此,在认证代理设备110对终端设备130进行认证时,可以基于至少两种认证方式中的至少一种对终端设备130进行认证。若每种认证方式的认证均通过,则确定终端设备130通过认证;若任意一种认证方式的认证未通过,则确定终端设备130未通过认证。
比如说,若支持至少两种认证方式,则认证代理设备110接收终端设备130发送的每种认证方式的认证信息,基于每种认证方式的认证信息对终端设备130进行认证;若每种认证方式的认证均通过,则可以确定终端设备130通过认证;若任意一种认证方式的认证未通过,则可以确定终端设备130未通过认证。
示例性的,认证代理设备110对终端设备130进行认证的过程,与认证代理设备110支持的认证方式有关,若认证代理设备110支持至少两种认证方式,如支持认证方式1(如令牌认证方式)和认证方式2(如证书认证方式),则上述认证信息通知用于请求令牌认证方式的认证信息和证书认证方式的认证信息。基于此,终端设备130向认证代理设备110发送与令牌认证方式有关的认证信息(如终端设备130对应的令牌),且终端设备130向认证代理设备110发送与证书认证方式有关的认证信息(如终端设备130对应的用户证书)。
认证代理设备110基于与令牌认证方式有关的认证信息对终端设备130进行认证,得到令牌认证方式的认证结果,并基于与证书认证方式有关的认证信息对终端设备130进行认证,得到证书认证方式的认证结果。
若令牌认证方式的认证结果为认证通过,且证书认证方式的认证结果为认证通过,则认证代理设备110可以确定终端设备130通过认证。若令牌认证方式的认证结果为认证不通过,和/或,证书认证方式的认证结果为认证不通过,则认证代理设备110可以确定终端设备130未通过认证。
在一种可能的实施方式中,在终端设备130需要进行扩展认证时,将需要扩展认证的认证方式称为目标认证方式,本实施例中,并不需要将目标认证方式部署到业务系统120,而是将目标认证方式部署到认证代理设备110,即,认证代理设备110可以获取扩展认证的目标认证方式,并在本地部署目标认证方式。显然,认证代理设备110能够支持一种认证方式(即目标认证方式),也可以支持至少两种认证方式,所述至少两种认证方式包括该目标认证方式。在此基础上,认证代理设备110对终端设备130进行认证时,可以基于认证代理设备110支持的至少一种认证方式对终端设备130进行认证。
示例性的,在认证代理设备110已经支持至少一种认证方式的基础上,在终端设备130需要进行扩展认证时,仍然可以将需要扩展认证的目标认证方式部署到认证代理设备110,即可以在认证代理设备110扩展新的目标认证方式。
在一种可能的实施方式中,以认证代理设备110支持证书认证方式为例进行说明,则上述认证信息可以包括用户凭证以及用户证书。基于此,认证代理设备110对该用户证书进行校验;若该用户证书的校验失败,则可以确定终端设备130未通过认证;若该用户证书的校验成功,则认证代理设备110对该用户凭证进行校验;若该用户凭证的校验失败,则可以确定终端设备130未通过认证;若该用户凭证的校验成功,则可以确定终端设备130通过认证。
示例性的,认证代理设备110在根据认证信息对终端设备130进行认证之前,还可以生成服务随机数,并将该服务随机数发送给终端设备130,以使终端设备130生成用户随机数,并获取与该用户证书对应的证书私钥,并采用该证书私钥对该服务随机数和该用户随机数进行加密,得到该用户凭证。
上述认证信息还可以包括该服务随机数和该用户随机数,认证代理设备110对该用户凭证进行校验,可以包括但不限于:获取与该用户证书对应的证书公钥,采用该证书公钥对用户凭证进行解密,得到解密后数据;若该服务随机数和该用户随机数与解密后数据匹配,则确定用户凭证的校验成功;若该服务随机数和该用户随机数与解密后数据不匹配,则确定用户凭证的校验失败。
以下结合一个具体应用场景,对终端设备130的认证过程进行说明。
步骤a1、认证代理设备110接收终端设备130发送的认证接入请求。
示例性的,认证代理设备110向终端设备130发送认证信息通知后,终端设备130可以接收该认证信息通知,并向认证代理设备110发送认证接入请求。
步骤a2、认证代理设备110在接收到该认证接入请求后,生成服务随机数,比如说,认证代理设备110随机生成一个数值,将该数值作为服务随机数。
步骤a3、认证代理设备110将该服务随机数发送给终端设备130。
步骤a4、终端设备130生成用户随机数(如随机生成一个数值,将该数值作为用户随机数),并获取与用户证书对应的证书私钥。
示例性的,终端设备130可以预先配置用户证书,以及与该用户证书对应的证书私钥,该证书私钥保存在终端设备130的存储介质中。在需要生成用户凭证时,可以从终端设备130的存储介质中读取该证书私钥。
步骤a5、终端设备130采用该证书私钥对该服务随机数和该用户随机数进行加密,得到用户凭证,该用户凭证是经过加密处理的密文数据。
示例性的,终端设备130可以将服务随机数和用户随机数组成待加密数据,并采用证书私钥对待加密数据进行加密,得到加密后的用户凭证,关于待加密数据的加密方式不做限制,可以采用任意的密码算法。比如说,该密码算法可以是SM1(Security Manager,安全管理),SM2,SM3,SM4等国产商用密码算法,也可以是DES(Data Encryption Standard,数据加密标准),AES(Advanced Encryption Standard,高级加密标准),IDEA(InternationalData Encryption Algorithm,国际数据加密算法)等国际商用密码算法,对此密码算法不做限制。
步骤a6、终端设备130向认证代理设备110发送认证信息,该认证信息可以包括但不限于用户凭证、用户证书、该服务随机数和该用户随机数。
示例性的,终端设备130可以预先配置用户证书,该用户证书保存在终端设备130的存储介质中,因此,可以从该存储介质中读取该用户证书,并将该用户凭证、该用户证书、该服务随机数和该用户随机数发送给认证代理设备110。
步骤a7、认证代理设备110接收该认证信息,并从该认证信息中解析出该用户凭证、该用户证书、该服务随机数和该用户随机数。
步骤a8、认证代理设备110对该用户证书进行校验。若该用户证书的校验失败,则执行步骤a9;若该用户证书的校验成功,则执行步骤a10。
示例性的,认证代理设备110可以先对该用户证书中的证书数据(如颁发机构、使用者、使用期限等)进行验证,若证书数据不符合要求(如颁发机构不是合法的颁发机构,或者当前日期不在使用期限等),则确定用户证书的校验失败。若证书数据符合要求,则还可以采用根证书对该用户证书中的签名数据进行校验,对此校验方式不做限制,若签名数据不符合要求,则确定用户证书的校验失败。若签名数据符合要求,则确定用户证书的校验成功。当然,上述方式只是对用户证书进行校验的示例,本实施例对此校验方式不做限制。
步骤a9、认证代理设备110确定终端设备130未通过认证。
示例性的,若用户证书的校验失败,则表示终端设备130配置的用户证书不是一个合法的用户证书,因此,确定终端设备130未通过认证。
步骤a10、认证代理设备110对该用户凭证进行校验。若该用户凭证的校验失败,则执行步骤a11;若该用户凭证的校验成功,则执行步骤a12。
示例性的,认证代理设备110可以获取与该用户证书对应的证书公钥,并采用该证书公钥对该用户凭证进行解密,得到解密后数据;若服务随机数和用户随机数与该解密后数据匹配,则确定该用户凭证的校验成功;若服务随机数和用户随机数与该解密后数据不匹配,则确定该用户凭证的校验失败。
比如说,用户证书中可以包括证书公钥,认证代理设备110可以从该用户证书中解析出该证书公钥(与步骤a5的证书私钥具有对应关系,即通过该证书私钥加密的数据,可以通过该证书公钥解密,通过该证书公钥加密的数据,可以通过该证书私钥解密),在得到该证书公钥后,由于用户凭证是采用该证书私钥加密得到,因此,可以采用该证书公钥对该用户凭证进行解密,得到解密后数据,该解密后数据是由服务随机数和用户随机数组成的待加密数据。
若认证代理设备110从认证信息中解析的服务随机数和用户随机数(参见步骤a7)与该解密后数据匹配,则确定该用户凭证的校验成功;若该服务随机数和该用户随机数与该解密后数据不匹配,则确定该用户凭证的校验失败。
例如,将该服务随机数和该用户随机数组成一个验证数据,若该验证数据与该解密后数据相同,则说明该验证数据与该解密后数据匹配,若该验证数据与该解密后数据不同,则说明该验证数据与该解密后数据不匹配。
综上所述,若该用户凭证的校验成功,则说明该用户证书中的证书公钥未被篡改(相当于该用户证书未被篡改),上述认证信息中的服务随机数和用户随机数未被篡改,上述认证信息中的用户凭证未被篡改,因此,认证信息中的该用户凭证、该用户证书、该服务随机数和该用户随机数均是合法内容。
在一种可能的实施方式中,在步骤a3中,认证代理设备110还可以将认证代理设备110的唯一标识(如设备标识,后续记为服务端标识)发送给终端设备130。在步骤a5中,终端设备130可以采用证书私钥对服务随机数、用户随机数和该服务端标识进行加密,得到用户凭证。在步骤a6中,认证信息还可以包括该服务端标识。在步骤a10中,认证代理设备110对用户凭证进行校验时,需要确定服务随机数、用户随机数和该服务端标识与解密后数据是否匹配。
步骤a11、认证代理设备110确定终端设备130未通过认证。
示例性的,若用户凭证的校验失败,则表示终端设备130生成的用户凭证不是一个合法的用户凭证,因此,确定终端设备130未通过认证。
步骤a12、认证代理设备110确定终端设备130通过认证。
示例性的,若用户证书的校验成功,且用户凭证的校验成功,则表示终端设备130配置的用户证书是一个合法的用户证书,且终端设备130生成的用户凭证是一个合法的用户凭证,因此,确定终端设备130通过认证。
综上所述,基于步骤a1-步骤a12,就可以根据认证信息对终端设备130进行认证,且认证结果为终端设备130通过认证或终端设备130未通过认证。
步骤2033,若终端设备130通过认证,则认证代理设备110向终端设备130发送认证成功响应,以使终端设备130重新发送业务请求。以及,认证代理设备110在认证表中记录该终端设备130对应的用户标识(即业务请求中携带的用户标识),以表示该终端设备130是一个已通过认证的终端设备130。
示例性的,终端设备130接收到认证成功响应后,获知终端设备130已通过认证,并重新发送业务请求,返回执行步骤201。认证代理设备110接收到该业务请求后,由于认证表中已记录该终端设备130对应的用户标识,因此,在步骤202中,认证代理设备110确定终端设备130已认证,并执行步骤204。
步骤204,认证代理设备110确定终端设备130是否具有业务系统120的访问权限。若终端设备130具有业务系统120的访问权限,则执行步骤205。
示例性的,认证代理设备110可以查询配置表中是否已存在该业务请求的源地址(即终端设备130的地址,如IP地址和/或MAC地址等)与业务系统120的地址之间的映射关系;若是,则确定终端设备130具有业务系统120的访问权限;若否,则确定终端设备130不具有业务系统120的访问权限。
示例性的,认证代理设备110可以维护配置表,该配置表用于记录业务系统120的地址与具有访问权限(即业务系统120的访问权限)的终端设备130的地址之间的映射关系。例如,针对每个终端设备130来说,认证代理设备110可以获知该终端设备130是否具有访问权限,若是,则在配置表中记录该终端设备130的地址与业务系统120的地址之间的映射关系,若否,则不在配置表中记录该终端设备130的地址与业务系统120的地址之间的映射关系。
例如,认证代理设备110可以显示配置界面,用户可以在该配置界面输入具有访问权限的终端设备130的地址,继而使认证代理设备110在配置表中记录该终端设备130的地址与业务系统120的地址之间的映射关系。
又例如,用户可以向认证代理设备110发送配置指令,该配置指令携带具有访问权限的终端设备130的地址,继而使认证代理设备110在配置表中记录该终端设备130的地址与业务系统120的地址之间的映射关系。
当然,上述方式只是示例,对此不做限制,只能能够获知哪些终端设备130具有访问权限即可,从而使认证代理设备110维护配置表。
综上所述,认证代理设备110可以维护配置表,在步骤204中,认证代理设备110可以从业务请求中解析出终端设备130的地址(即该业务请求的源地址),若该配置表中存在该终端设备130的地址与业务系统120的地址之间的映射关系,则可以确定终端设备130具有业务系统120的访问权限,可以执行步骤207。否则,确定终端设备130不具有业务系统120的访问权限。
在上述实施例中,认证代理设备110是基于配置表确定终端设备130是否具有访问权限(是否具有访问权限的判断过程,是对用户进行访问控制管理的过程),而配置表可以理解为白名单,即白名单中记录具有访问权限的终端设备的地址。在实际应用中,还可以采用其它方式确定终端设备130是否具有访问权限,比如说,基于用户角色的访问控制方式,对此不做限制。在基于用户角色的访问控制方式中,可以配置具有访问权限的用户角色,认证代理设备110可以从业务请求中解析出终端设备130对应的用户角色,若该用户角色是具有访问权限的用户角色,则确定终端设备130具有业务系统120的访问权限。
步骤205,认证代理设备110将业务请求转发给业务系统120,以使业务系统120根据该业务请求进行业务处理,对此处理过程不做限制。
比如说,业务系统120接收到业务请求后,若业务系统120配置有认证方式,则业务系统120根据该业务请求对终端设备130进行认证处理,在终端设备130的认证通过后,才会根据业务请求进行业务处理。若业务系统120未配置有认证方式,则业务系统120直接根据该业务请求进行业务处理。
在一种可能的实施方式中,在步骤204之后,若终端设备130不具有业务系统120的访问权限,则认证代理设备110还可以向终端设备130发送授权异常信息,以使终端设备130根据该授权异常信息确定本终端设备130不具有业务系统120的访问权限,并申请业务系统120的访问权限。
示例性的,若终端设备130不具有业务系统120的访问权限,则认证代理设备110可以禁止将该业务请求转发给业务系统120。
示例性的,终端设备130接收到授权异常信息后,可以申请业务系统120的访问权限,比如说,认证代理设备110向终端设备130显示配置界面,用户通过终端设备130在该配置界面输入本终端设备130的地址,或者,用户通过终端设备130向认证代理设备110发送配置指令,该配置指令携带本终端设备130的地址,经过上述处理,认证代理设备110可以在配置表中记录该终端设备130的地址与业务系统120的地址之间的映射关系,从而使得终端设备130具有业务系统120的访问权限。当然,上述方式只是示例,对此不做限制。
在一种可能的实施方式中,参见图3所示,业务系统120的数量也可以为多个,基于此,认证代理设备110根据用户标识确定终端设备130是否已认证之后,若终端设备130已认证,则认证代理设备110可以从多个业务系统120中选取终端设备130能够访问的目标业务系统,且终端设备130具有目标业务系统的访问权限。然后,认证代理设备110可以将业务请求转发给目标业务系统,以使目标业务系统根据该业务请求进行业务处理。
比如说,认证代理设备110可以维护配置表,该配置表用于记录业务系统120(即多个业务系统120中的任一业务系统120)的地址与具有该业务系统120的访问权限的终端设备130的地址之间的映射关系。
针对终端设备130发送的业务请求,认证代理设备110查询配置表中是否已存在该业务请求的源地址与业务系统120的地址之间的映射关系;若是,则将该业务系统120作为终端设备130能够访问的目标业务系统。
参见表1所示,为配置表的一个示例,假设业务请求的源地址为IP-A,则认证代理设备110通过查询表1,确定IP-A与IP-1对应,且IP-A与IP-2对应,因此,将IP-1对应的业务系统120和IP-2对应的业务系统120均作为目标业务系统,认证代理设备110可以将业务请求转发给这两个目标业务系统。
Figure DEST_PATH_IMAGE001
由以上技术方案可见,本申请实施例中,可以在终端设备与业务系统之间部署认证代理设备,由认证代理设备对终端设备进行认证,即,在需要对业务系统的认证方式进行升级时,可以在认证代理设备配置新的认证方式,使得认证代理设备基于新的认证方式对终端设备进行认证,而不需要在业务系统配置新的认证方式,从而不需要暂停业务系统的业务,避免业务系统的业务发生中断,提高用户感受,业务系统可以继续为终端设备提供服务。显然,上述方式中,在业务系统根据终端设备发送的业务请求进行认证处理之前,在认证代理设备实现额外的认证处理过程,即,可以将额外的认证处理过程部署到认证代理设备,从而不需要在业务系统实现额外的认证处理过程。对于已经认证通过的终端设备来说,认证代理设备还可以进行访问控制,判断该终端设备是否具有访问业务系统的权限,只有具有访问权限时才转发业务请求。
以下结合具体实施例,对本申请实施例的业务处理方法进行说明。参见图4所示,为本申请实施例中的业务处理方法的流程示意图,该方法可以包括:
步骤401,终端设备130向认证代理设备110发送业务请求。
步骤402,认证代理设备110确定终端设备130是否已认证。
若否,则可以执行步骤403,若是,则可以执行步骤407。
步骤403,认证代理设备110向终端设备130发送认证信息通知,终端设备130在接收到认证信息通知后,向认证代理设备110发送认证信息。
步骤404,认证代理设备110根据该认证信息对终端设备130进行认证。
若认证成功,则执行步骤405,若认证失败,则执行步骤406。
步骤405,认证代理设备110向终端设备130发送认证成功响应,终端设备130重新发送业务请求,认证代理设备110接收该业务请求,返回步骤402。
步骤406,认证代理设备110向终端设备130发送认证失败响应。
步骤407,认证代理设备110确定终端设备130是否具有业务系统120的访问权限。若是,则执行步骤408;若否,则执行步骤409。
步骤408,认证代理设备110将业务请求转发给业务系统120。
步骤409,认证代理设备110向终端设备130发送授权异常信息,提示终端设备130不具有业务系统120的访问权限,需要申请访问权限。
在一种可能的实施方式中,上述业务处理方法可以应用于B/S接入认证,B/S接入认证是指终端设备130采用浏览器与认证代理设备110进行交互,在B/S接入认证中,认证代理设备110可以包括代理服务模块和认证服务模块。在B/S接入认证中,浏览器可以通过认证代理设备110的认证界面提交认证信息,完成浏览器与认证代理设备110之间的身份认证。浏览器通过调用认证代理设备110的内部接口完成认证流程之间的通信,安全通信可以采用HTTPS(Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输安全协议)协议。参见图5所示,为B/S接入认证过程下的业务处理方法的流程示意图。
步骤501,浏览器向代理服务模块发送业务请求。
步骤502,代理服务模块向认证服务模块转发该业务请求。
步骤503,认证服务模块确定浏览器是否已认证,若否,执行步骤504。
步骤504,认证服务模块向代理服务模块发送浏览器未认证的信息。
步骤505,代理服务模块向浏览器发送重定向请求,将浏览器重定向到认证服务模块的认证界面,且认证服务模块向浏览器显示认证界面。
示例性的,认证服务模块向浏览器显示认证界面的过程,就是向浏览器发送认证信息通知,即该认证界面用于请求浏览器返回认证信息。
步骤506,浏览器通过该认证界面提交认证信息。
步骤507,认证服务模块根据该认证信息对浏览器进行认证。
步骤508,若浏览器认证成功,认证服务模块向浏览器发送认证成功响应。
步骤509,浏览器向代理服务模块发送业务请求。
步骤510,代理服务模块向认证服务模块转发该业务请求。
步骤511,认证服务模块确定浏览器是否已认证,若是,则确定浏览器是否具有业务系统的访问权限,若是,则执行步骤512。
步骤512,认证服务模块向代理服务模块发送浏览器已授权的信息。
步骤513,代理服务模块将业务请求转发给业务系统。
步骤514,业务系统向代理服务模块发送响应信息。
示例性的,若业务系统自带登录认证功能,则返回业务系统的登录认证界面,即响应信息为该登录认证界面,浏览器还需要在业务系统进行认证。
步骤515,代理服务模块向浏览器发送响应信息。
在一种可能的实施方式中,上述业务处理方法可以应用于B/S接入认证,参见图6所示,为B/S接入认证过程下的业务处理方法的流程示意图。
步骤601-615,实现过程与步骤501-515类似,在此不再重复赘述。
步骤611中,认证服务模块确定浏览器是否已认证,若是,则确定浏览器是否具有业务系统的访问权限,若是,执行步骤612,若否,执行步骤616。
步骤616,认证服务模块向代理服务模块发送浏览器未授权的信息。
步骤617,代理服务模块向浏览器发送重定向请求,将浏览器重定向到认证服务模块的授权拒绝界面,认证服务模块向浏览器显示授权拒绝界面,该授权拒绝界面用于显示授权异常信息,提示浏览器不具有业务系统的访问权限。
在一种可能的实施方式中,上述业务处理方法还可以应用于C/S接入认证,C/S接入认证是指终端设备130采用APP(应用客户端)与认证代理设备110进行交互。在C/S接入认证中,APP与认证代理设备110通过不同通信协议进行通信,完成认证过程。认证代理设备110通过插件化的方式整合支持该协议的认证模块,从而支持APP的接入认证功能。安全通信可以采用TLS(Transport Layer Security,安全传输层)协议和SIP(SessionInitiation Protocol,会话初始协议)等。参见图7所示,为C/S接入认证过程的业务处理方法的流程示意图。
步骤701,APP向认证代理设备110发送业务请求。
步骤702,认证代理设备110确定APP是否已认证,若否,执行步骤703。
步骤703,认证代理设备110向APP发送认证信息通知。
步骤704,APP向认证代理设备110发送认证信息。
步骤705,认证代理设备110根据该认证信息对APP进行认证。
示例性的,认证代理设备110向APP发送认证信息通知后,可以启动认证服务,比如说,认证代理设备110的认证模块(如采用SIP通信时,认证模块为SIP认证模块,采用TLS协议通信时,认证模块为TLS认证模块)完成初始化功能,并启动认证接入的通信端口(即监听端口)。APP接收到认证信息通知后,向认证代理设备110发送身份认证请求,该身份认证请求携带认证信息。
认证代理设备110的认证模块接收该身份认证请求,并根据该身份认证请求中的认证信息执行与APP的身份认证过程,即根据该认证信息对APP进行认证。示例性的,由于认证代理设备110已经启动认证接入的通信端口,因此,认证模块可以执行与APP的身份认证过程,若认证代理设备110未启动认证接入的通信端口,则认证模块不会执行与APP的身份认证过程。
步骤706,若APP认证成功,认证代理设备110向APP发送认证成功响应。
步骤707,APP向认证代理设备110发送业务请求。
步骤708,认证代理设备110确定APP是否已认证,若是,则确定APP是否具有业务系统的访问权限,若是,执行步骤709,若否,执行步骤710。
步骤709,认证代理设备110将业务请求转发给业务系统。
步骤710,认证代理设备110向APP发送授权异常信息。
在一种可能的实施方式中,B/S接入认证和C/S接入认证均支持各种类型的认证方式,以证书认证方式(如基于数字证书的单向认证方式)为例,针对“终端设备130向认证代理设备110发送认证信息,由认证代理设备110根据该认证信息对终端设备130进行认证”的实现过程,参见图8所示,可以包括:
步骤801,终端设备130向认证代理设备110发送认证接入请求。
步骤802,认证代理设备110在接收到该认证接入请求后,生成服务随机数,并获取认证代理设备110的唯一标识,将该唯一标识记为服务端标识。
步骤803,认证代理设备110将服务随机数和服务端标识发给终端设备130。
步骤804,终端设备130生成用户随机数,并根据该用户随机数、该服务随机数和该服务端标识生成用户凭证,并获取用户证书。比如说,终端设备130可以获取该用户证书对应的证书私钥,并采用该证书私钥对该用户随机数、该服务随机数和该服务端标识进行加密,得到该用户凭证。
步骤805,终端设备130向认证代理设备110发送认证请求,该认证请求可以携带认证信息,该认证信息可以包括但不限于该用户凭证、该用户证书、该服务随机数、该用户随机数和该服务端标识。
步骤806,认证代理设备110对该用户证书和该用户凭证进行校验,关于该用户证书和该用户凭证的校验过程,参见步骤a8-步骤a12,在此不再赘述。
步骤807,认证代理设备110向终端设备130发送认证结果。
示例性的,若用户证书的校验成功,且用户凭证的校验成功,则终端设备130通过认证,认证代理设备110向终端设备130发送的认证结果为认证成功响应。若用户证书的校验失败,和/或,用户凭证的校验失败,则终端设备130未通过认证,认证代理设备110向终端设备130发送的认证结果为认证失败响应。
基于与上述方法同样的申请构思,本申请实施例中提出一种业务处理装置,应用于认证代理设备,所述认证代理设备部署在终端设备与业务系统之间,参见图9A所示,为所述装置的结构图,所述装置包括:接收模块911,用于在所述业务系统根据所述终端设备发送的业务请求进行认证处理之前,接收所述终端设备发送的业务请求,所述业务请求包括所述终端设备对应的用户标识;根据所述用户标识确定所述终端设备是否已认证;认证模块912,用于若确定所述终端设备未认证,则向所述终端设备发送认证信息通知,并在对所述终端设备认证通过后使所述终端设备重新发送业务请求;处理模块913,用于若确定所述终端设备已认证,则确定所述终端设备是否具有所述业务系统的访问权限;若所述终端设备具有所述业务系统的访问权限,则将所述业务请求转发给所述业务系统,以使所述业务系统根据所述业务请求进行业务处理。
示例性的,所述接收模块911根据所述用户标识确定所述终端设备是否已认证时具体用于:查询认证表中是否已存在所述终端设备对应的用户标识;若存在,则确定所述终端设备已认证,若不存在,则确定所述终端设备未认证;
其中,所述认证表用于记录已通过认证的终端设备对应的用户标识;
所述认证模块912根据所述认证信息对所述终端设备进行认证之后还用于:若终端设备通过认证,则在所述认证表中记录所述终端设备对应的用户标识。
示例性的,所述认证模块912还用于:在所述终端设备需要进行扩展认证时,则获取所述扩展认证的目标认证方式,所述认证代理设备支持至少两种认证方式,所述至少两种认证方式包括所述目标认证方式;
基于所述至少两种认证方式中的至少一种对所述终端设备进行认证;
若每种认证方式的认证均通过,则确定所述终端设备通过认证;
若任意一种认证方式的认证未通过,则确定所述终端设备未通过认证。
示例性的,所述认证模块912还用于:接收所述终端设备发送的认证信息,根据所述认证信息对所述终端设备进行认证;
所述认证信息包括用户凭证和用户证书,所述认证模块912根据所述认证信息对终端设备进行认证时具体用于:对用户证书进行校验;若所述用户证书的校验失败,确定所述终端设备未通过认证;若所述用户证书的校验成功,对所述用户凭证进行校验;若所述用户凭证的校验失败,确定所述终端设备未通过认证;若所述用户凭证的校验成功,确定所述终端设备通过认证。
示例性的,所述认证模块912根据所述认证信息对所述终端设备进行认证之前还用于:生成服务随机数,将所述服务随机数发送给终端设备,以使终端设备生成用户随机数,并获取与所述用户证书对应的证书私钥,并采用所述证书私钥对所述服务随机数和所述用户随机数进行加密,得到所述用户凭证;
所述认证信息还包括服务随机数和用户随机数,所述认证模块912对所述用户凭证进行校验时具体用于:获取与用户证书对应的证书公钥,采用所述证书公钥对所述用户凭证进行解密,得到解密后数据;若所述服务随机数和所述用户随机数与解密后数据匹配,确定所述用户凭证的校验成功;若所述服务随机数和所述用户随机数与解密后数据不匹配,确定所述用户凭证的校验失败。
示例性的,所述处理模块913确定所述终端设备是否具有所述业务系统的访问权限时具体用于:查询配置表中是否已存在所述业务请求的源地址与所述业务系统的地址之间的映射关系;其中,所述配置表用于记录所述业务系统的地址与具有访问权限的终端设备的地址之间的映射关系;若是,则确定所述终端设备具有所述业务系统的访问权限;若否,则确定所述终端设备不具有所述业务系统的访问权限。
示例性的,所述处理模块913确定所述终端设备是否具有所述业务系统的访问权限之后还用于:若终端设备不具有所述业务系统的访问权限,则向终端设备发送授权异常信息,以使终端设备根据所述授权异常信息确定所述终端设备不具有所述业务系统的访问权限,并申请所述业务系统的访问权限。
示例性的,若业务系统的数量为多个,所述处理模块913还用于:在根据所述用户标识确定所述终端设备已认证时,则从多个业务系统中选取所述终端设备能够访问的目标业务系统;其中,所述终端设备具有所述目标业务系统的访问权限;将所述业务请求转发给所述目标业务系统,以使所述目标业务系统根据所述业务请求进行业务处理。
基于与上述方法同样的申请构思,本申请实施例中提出一种认证代理设备,所述认证代理设备部署在终端设备与业务系统之间,参见图9B所示,所述认证代理设备包括:处理器921和机器可读存储介质922,所述机器可读存储介质922存储有能够被所述处理器921执行的机器可执行指令;所述处理器921用于执行机器可执行指令,以实现本申请上述示例公开的业务处理方法。例如,所述处理器921用于执行机器可执行指令,以实现如下步骤:
在所述业务系统根据所述终端设备发送的业务请求进行认证处理之前,接收所述终端设备发送的业务请求,所述业务请求包括所述终端设备对应的用户标识;根据所述用户标识确定所述终端设备是否已认证;
若否,则向所述终端设备发送认证信息通知,并在对所述终端设备认证通过后使所述终端设备重新发送业务请求;
若是,则确定所述终端设备是否具有所述业务系统的访问权限;若所述终端设备具有所述业务系统的访问权限,则将所述业务请求转发给所述业务系统,以使所述业务系统根据所述业务请求进行业务处理。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现本申请上述示例公开的业务处理方法。
其中,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (8)

1.一种业务处理方法,其特征在于,应用于认证代理设备,所述认证代理设备部署在终端设备与业务系统之间,在所述业务系统已经上线运行之后,若需要对所述业务系统配置新的认证方式,则在所述认证代理设备配置新的认证方式,由所述认证代理设备基于所述新的认证方式对终端设备进行认证,在所述认证代理设备基于所述新的认证方式对终端设备进行认证时,所述方法包括:
在所述业务系统根据所述终端设备发送的业务请求进行认证处理之前,接收所述终端设备发送的业务请求,所述业务请求包括所述终端设备对应的用户标识;根据所述用户标识确定所述终端设备是否已认证;
若否,则向所述终端设备发送认证信息通知,并在对所述终端设备认证通过后使所述终端设备重新发送业务请求;
若是,则确定所述终端设备是否具有所述业务系统的访问权限;若所述终端设备具有所述业务系统的访问权限,则将所述业务请求转发给所述业务系统,以使所述业务系统根据所述业务请求进行业务处理;
其中,在所述终端设备需要进行扩展认证时,则获取所述扩展认证的目标认证方式,所述认证代理设备支持至少两种认证方式,所述至少两种认证方式包括所述目标认证方式;基于所述至少两种认证方式中的至少一种对所述终端设备进行认证;若每种认证方式的认证均通过,则确定所述终端设备通过认证;若任意一种认证方式的认证未通过,则确定所述终端设备未通过认证;
所述确定所述终端设备是否具有所述业务系统的访问权限,包括:查询配置表中是否已存在所述业务请求的源地址与所述业务系统的地址之间的映射关系;其中,所述配置表用于记录所述业务系统的地址与具有访问权限的终端设备的地址之间的映射关系;若是,则确定所述终端设备具有所述业务系统的访问权限;若否,则确定所述终端设备不具有所述业务系统的访问权限。
2.根据权利要求1所述的方法,其特征在于,
所述根据所述用户标识确定所述终端设备是否已认证,包括:
查询认证表中是否已存在所述终端设备对应的用户标识;若存在,则确定所述终端设备已认证,若不存在,则确定所述终端设备未认证;
其中,所述认证表用于记录已通过认证的终端设备对应的用户标识;
根据所述认证信息对所述终端设备进行认证之后,还包括:若所述终端设备通过认证,则在所述认证表中记录所述终端设备对应的用户标识。
3.根据权利要求1所述的方法,其特征在于,所述向所述终端设备发送认证信息通知之后,所述方法还包括:接收所述终端设备发送的认证信息,根据所述认证信息对所述终端设备进行认证;
所述认证信息包括用户凭证以及用户证书,所述根据所述认证信息对所述终端设备进行认证,包括:
对所述用户证书进行校验;
若所述用户证书的校验失败,则确定所述终端设备未通过认证;
若所述用户证书的校验成功,则对所述用户凭证进行校验;
若所述用户凭证的校验失败,则确定所述终端设备未通过认证;
若所述用户凭证的校验成功,则确定所述终端设备通过认证。
4.根据权利要求3所述的方法,其特征在于,
所述根据所述认证信息对所述终端设备进行认证之前,还包括:生成服务随机数,将所述服务随机数发送给所述终端设备,以使所述终端设备生成用户随机数,并获取与所述用户证书对应的证书私钥,并采用所述证书私钥对所述服务随机数和所述用户随机数进行加密,得到所述用户凭证;
所述认证信息还包括所述服务随机数和所述用户随机数,所述对所述用户凭证进行校验,包括:获取与所述用户证书对应的证书公钥,采用所述证书公钥对所述用户凭证进行解密,得到解密后数据;若所述服务随机数和所述用户随机数与解密后数据匹配,则确定所述用户凭证的校验成功;若所述服务随机数和所述用户随机数与解密后数据不匹配,则确定所述用户凭证的校验失败。
5.根据权利要求1所述的方法,其特征在于,
所述确定所述终端设备是否具有所述业务系统的访问权限之后,还包括:
若所述终端设备不具有所述业务系统的访问权限,则向所述终端设备发送授权异常信息,以使所述终端设备根据所述授权异常信息确定所述终端设备不具有所述业务系统的访问权限,并申请所述业务系统的访问权限。
6.根据权利要求1所述的方法,其特征在于,若业务系统的数量为多个,所述根据所述用户标识确定所述终端设备是否已认证之后,还包括:
若是,则从多个业务系统中选取所述终端设备能够访问的目标业务系统;其中,所述终端设备具有所述目标业务系统的访问权限;
将所述业务请求转发给所述目标业务系统,以使所述目标业务系统根据所述业务请求进行业务处理。
7.一种业务处理装置,其特征在于,应用于认证代理设备,所述认证代理设备部署在终端设备与业务系统之间,在所述业务系统已经上线运行之后,若需要对所述业务系统配置新的认证方式,则在所述认证代理设备配置新的认证方式,由所述认证代理设备基于所述新的认证方式对终端设备进行认证,在所述认证代理设备基于所述新的认证方式对终端设备进行认证时,所述装置包括:
接收模块,用于在所述业务系统根据所述终端设备发送的业务请求进行认证处理之前,接收所述终端设备发送的业务请求,所述业务请求包括所述终端设备对应的用户标识;根据所述用户标识确定所述终端设备是否已认证;
认证模块,用于若确定所述终端设备未认证,则向所述终端设备发送认证信息通知,并在对所述终端设备认证通过后使所述终端设备重新发送业务请求;
处理模块,用于若确定所述终端设备已认证,则确定所述终端设备是否具有所述业务系统的访问权限;若所述终端设备具有所述业务系统的访问权限,则将所述业务请求转发给所述业务系统,以使所述业务系统根据所述业务请求进行业务处理;
其中,所述认证模块,还用于在所述终端设备需要进行扩展认证时,则获取所述扩展认证的目标认证方式,所述认证代理设备支持至少两种认证方式,所述至少两种认证方式包括所述目标认证方式; 基于所述至少两种认证方式中的至少一种对所述终端设备进行认证;若每种认证方式的认证均通过,则确定所述终端设备通过认证;若任意一种认证方式的认证未通过,则确定所述终端设备未通过认证;
所述处理模块确定所述终端设备是否具有所述业务系统的访问权限时具体用于:查询配置表中是否已存在所述业务请求的源地址与所述业务系统的地址之间的映射关系;其中,所述配置表用于记录所述业务系统的地址与具有访问权限的终端设备的地址之间的映射关系;若是,则确定所述终端设备具有所述业务系统的访问权限;若否,则确定所述终端设备不具有所述业务系统的访问权限。
8.一种认证代理设备,其特征在于,所述认证代理设备部署在终端设备与业务系统之间,在所述业务系统已经上线运行之后,若需要对所述业务系统配置新的认证方式,则在所述认证代理设备配置新的认证方式,由所述认证代理设备基于所述新的认证方式对终端设备进行认证,在所述认证代理设备基于所述新的认证方式对终端设备进行认证时,所述认证代理设备包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现如下步骤:
在所述业务系统根据所述终端设备发送的业务请求进行认证处理之前,接收所述终端设备发送的业务请求,所述业务请求包括所述终端设备对应的用户标识;根据所述用户标识确定所述终端设备是否已认证;
若否,则向所述终端设备发送认证信息通知,并在对所述终端设备认证通过后使所述终端设备重新发送业务请求;
若是,则确定所述终端设备是否具有所述业务系统的访问权限;若所述终端设备具有所述业务系统的访问权限,则将所述业务请求转发给所述业务系统,以使所述业务系统根据所述业务请求进行业务处理;
其中,在所述终端设备需要进行扩展认证时,则获取所述扩展认证的目标认证方式,所述认证代理设备支持至少两种认证方式,所述至少两种认证方式包括所述目标认证方式;基于所述至少两种认证方式中的至少一种对所述终端设备进行认证;若每种认证方式的认证均通过,则确定所述终端设备通过认证;若任意一种认证方式的认证未通过,则确定所述终端设备未通过认证;
所述确定所述终端设备是否具有所述业务系统的访问权限,包括:查询配置表中是否已存在所述业务请求的源地址与所述业务系统的地址之间的映射关系;其中,所述配置表用于记录所述业务系统的地址与具有访问权限的终端设备的地址之间的映射关系;若是,则确定所述终端设备具有所述业务系统的访问权限;若否,则确定所述终端设备不具有所述业务系统的访问权限。
CN202010865145.3A 2020-08-25 2020-08-25 一种业务处理方法、装置及设备 Active CN111737723B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010865145.3A CN111737723B (zh) 2020-08-25 2020-08-25 一种业务处理方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010865145.3A CN111737723B (zh) 2020-08-25 2020-08-25 一种业务处理方法、装置及设备

Publications (2)

Publication Number Publication Date
CN111737723A CN111737723A (zh) 2020-10-02
CN111737723B true CN111737723B (zh) 2020-12-29

Family

ID=72658831

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010865145.3A Active CN111737723B (zh) 2020-08-25 2020-08-25 一种业务处理方法、装置及设备

Country Status (1)

Country Link
CN (1) CN111737723B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112491886A (zh) * 2020-11-27 2021-03-12 北京明朝万达科技股份有限公司 基于网络系统的安全控制方法、系统、装置和存储介质
CN113098836A (zh) * 2021-02-08 2021-07-09 智洋创新科技股份有限公司 基于Redis视频设备信息管理的注册信令智能化响应方法
CN113114635A (zh) * 2021-03-25 2021-07-13 北京金山云网络技术有限公司 权限管理方法及系统
CN112866297B (zh) * 2021-04-02 2023-02-24 中国工商银行股份有限公司 访问数据处理方法、装置及系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107026825A (zh) * 2016-02-02 2017-08-08 中国移动通信集团陕西有限公司 一种访问大数据系统的方法及系统
CN107145769B (zh) * 2017-03-31 2020-04-28 华为技术有限公司 一种数字版权管理drm方法、设备及系统
CN109587097A (zh) * 2017-09-29 2019-04-05 阿里巴巴集团控股有限公司 一种实现安全访问内部网络的系统、方法和装置
CN107911376A (zh) * 2017-11-29 2018-04-13 南京莱斯信息技术股份有限公司 一种非入侵式的web系统单点登录和访问控制实现方法
CN110177111B (zh) * 2019-06-06 2021-09-14 北京芯盾时代科技有限公司 一种信息验证方法、系统及装置
CN111416822B (zh) * 2020-03-20 2022-10-18 数篷科技(深圳)有限公司 访问控制的方法、电子设备和存储介质

Also Published As

Publication number Publication date
CN111737723A (zh) 2020-10-02

Similar Documents

Publication Publication Date Title
CN111737723B (zh) 一种业务处理方法、装置及设备
CN107251035B (zh) 账户恢复协议
RU2417422C2 (ru) Услуга распределенной единой регистрации в сети
US8904180B2 (en) Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys
US10911431B2 (en) Local encryption for single sign-on
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US8555361B2 (en) Dynamic cryptographic subscriber-device identity binding for subscriber mobility
WO2017028593A1 (zh) 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质
EP2954448B1 (en) Provisioning sensitive data into third party network-enabled devices
US20120284506A1 (en) Methods and apparatus for preventing crimeware attacks
US9185111B2 (en) Cryptographic authentication techniques for mobile devices
US20090290715A1 (en) Security architecture for peer-to-peer storage system
WO2012055786A1 (en) Data processing for securing local resources in a mobile device
US20110162053A1 (en) Service assisted secret provisioning
US10686787B2 (en) Use of personal device for convenient and secure authentication
CN110138558B (zh) 会话密钥的传输方法、设备及计算机可读存储介质
WO2015180399A1 (zh) 一种认证方法及装置系统
JP2024501326A (ja) アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード
RU2386220C2 (ru) Способ и устройство для аутентификации и конфиденциальности
WO2012166669A2 (en) Methods and apparatus for preventing crimeware attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant