CN114218598A - 一种业务处理方法、装置、设备和存储介质 - Google Patents
一种业务处理方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN114218598A CN114218598A CN202210159205.9A CN202210159205A CN114218598A CN 114218598 A CN114218598 A CN 114218598A CN 202210159205 A CN202210159205 A CN 202210159205A CN 114218598 A CN114218598 A CN 114218598A
- Authority
- CN
- China
- Prior art keywords
- key
- authentication information
- target client
- service
- service request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种业务处理方法、装置、设备和存储介质。其中,该方法包括:若获取到业务请求,则生成临时密钥对;根据目标客户端的公钥和所述临时密钥对的私钥,生成第一共享密钥;采用所述第一共享密钥对所述目标客户端的标识信息进行处理,得到鉴权信息;向代理服务端发送所述鉴权信息和所述业务请求,以使所述代理服务端生成第二共享密钥,根据所述第二共享密钥对所述鉴权信息进行验证,并在验证通过的情况下,控制业务服务端对所述业务请求进行处理。通过本发明的技术方案,能够提高业务处理的安全性。
Description
技术领域
本发明实施例涉及数据处理领域,尤其涉及一种业务处理方法、装置、设备和存储介质。
背景技术
在数据处理领域,采用客户端访问服务端接口时,由于服务端涉及多个业务系统,导致多个服务端口暴露,容易被黑客利用获取客户端与服务端之间传输的数据。并且在业务请求传输过程中,服务端需要通过客户端的鉴权信息对客户端进行验证,但是客户端的鉴权信息容易被黑客获取并破解后模拟,会导致信息泄露的问题。因此,如何安全的进行业务数据传输和业务处理是需要解决的问题。
发明内容
本发明实施例提供一种业务处理方法、装置、设备和介质,以通过代理服务端对业务请求进行处理和验证,提高业务处理过程的安全性。
第一方面,本发明实施例提供了一种业务处理方法,包括:
若获取到业务请求,则生成临时密钥对;
根据目标客户端的公钥和所述临时密钥对的私钥,生成第一共享密钥;
采用所述第一共享密钥对所述目标客户端的标识信息进行处理,得到鉴权信息;
向代理服务端发送所述鉴权信息和所述业务请求,以使所述代理服务端生成第二共享密钥,根据所述第二共享密钥对所述鉴权信息进行验证,并在验证通过的情况下,控制业务服务端对所述业务请求进行处理。
第二方面,本发明实施例还提供了一种业务处理方法,包括:
接收目标客户端发送的鉴权信息和业务请求;
生成第二共享密钥,并根据所述第二共享密钥对所述鉴权信息进行验证;
若验证通过,则控制业务服务端对所述业务请求进行处理。
第三方面,本发明实施例还提供了一种业务处理装置,包括:
临时密钥对生成模块,用于响应于业务请求,生成临时密钥对;
第一共享密钥生成模块,用于根据目标客户端的公钥和所述临时密钥对的私钥,生成第一共享密钥;
鉴权信息确定模块,用于采用所述第一共享密钥对所述目标客户端的标识信息进行处理,得到鉴权信息;
业务请求发送模块,用于向代理服务端发送所述鉴权信息和所述业务请求,以使所述代理服务端生成第二共享密钥,根据所述第二共享密钥对所述鉴权信息进行验证,并在验证通过的情况下,控制业务服务端对所述业务请求进行处理。
第四方面,本发明实施例还提供了一种业务处理装置,包括:
数据接收模块,用于接收目标客户端发送的鉴权信息和业务请求;
信息验证模块,用于生成第二共享密钥,并根据所述第二共享密钥对所述鉴权信息进行验证;
业务请求处理模块,用于在所述鉴权信息验证通过后,控制业务服务端对所述业务请求进行处理。
第五方面,本发明实施例还提供了一种电子设备,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明任意实施例所述的业务处理方法。
第六方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例所述的业务处理方法。
本发明实施例提供的技术方案,通过在获取到业务请求时生成临时密钥对,根据临时密钥对中的私钥与代理服务端为目标客户端生成的公钥,生成第一共享密钥,并采用第一共享秘钥对目标客户端的标识信息进行处理得到鉴权信息,之后向代理服务端发送鉴权信息和业务请求,由代理服务端采用第二共享密钥对鉴权信息进行验证,并在验证通过的情况下,控制业务服务端对目标客户端发出的业务请求进行处理。上述方案,解决了采用固定密钥对对业务请求进行加密和解密时,容易导致的业务请求在传递过程中被黑客截获并破解后,通过破解后的密钥信息还可以继续截获并破解下一个业务请求,产生一系列数据安全问题。本方案通过临时密钥对和目标客户端的密钥对生成第一共享秘钥和第二共享秘钥,可以使得对每一个目标客户端的标识信息进行加密和对每一个客户端的鉴权信息进行解密的密钥对都是唯一的,提高了业务处理的安全性。
附图说明
图1为本发明实施例一提供的业务处理方法的流程图;
图2为本发明实施例二提供的业务处理方法的流程图;
图3为本发明实施例三提供的业务处理方法的流程图;
图4为本发明实施例四提供的业务处理方法的信令图;
图5为本发明实施例五提供的一种业务处理装置的结构示意图;
图6为本发明实施例六提供的一种业务处理装置的结构示意图;
图7为本发明实施例七提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的业务处理方法的流程图,本实施例可适用于如何对业务进行处理的情况。整套业务处理方法可以由客户端、代理服务端、以及业务服务端配合执行。其中,代理服务端是客户端与业务服务端进行交互的桥梁,例如可以是代理网关服务器;进一步的,客户端中集成有代理网关SDK(Software Development Kit,软件开发工具包),代理网关SDK是客户端与代理服务端交互的媒介。
本实施例所提供的业务处理方法应用于目标客户端,所谓目标客户端即为用户终端中所安装的集成有代理网关SDK的任一客户端。该方法可以由本发明实施例提供业务处理装置来执行,该装置可以采用软件和/或硬件的方式来实现。该装置可配置于电子设备中,比如用户终端中,该方法具体包括:
S110、若获取到业务请求,则生成临时密钥对。
其中,业务请求可以是在确定用户具有业务处理需求(比如用户想要从业务服务端获取某一业务服务)时所触发产生的请求。可选的,本实施例可以根据用户作用于目标客户端上的操作,发起业务请求;进而目标客户端可以获取业务请求。
所谓临时密钥对即为基于设定的密钥生成机制所生成的一对公私钥,比如随机生成一对公私钥。进一步的,业务请求与临时密钥对具有一一对应关系,即不同业务请求可对应不同临时密钥对。
具体的,本实施例在获取到业务请求之后,可以通过集成于目标客户端中的代理网关SDK生成临时密钥对。
进一步的,还可以通过集成于目标客户端中的代理网关SDK将临时密钥对中的公钥发送给代理服务端,以便代理服务端进行后续鉴权处理。
S120、根据目标客户端的公钥和临时密钥对的私钥,生成第一共享密钥。
其中,目标客户端的公钥可用于表征目标客户端的身份,具体可以是代理服务端为目标客户端生成的客户端密钥对中的公钥。可选的,在本实施例中代理服务端可以为每一个客户端生成一个客户端密钥对,并将客户端ID和客户端密钥对一一对应存储在代理服务端中。同时,代理服务端可以将生成的客户端密钥对中的公钥发送给对应的客户端,进而目标客户端可以从代理服务端获取目标客户端的公钥。其中,客户端密钥对包含公钥和私钥。
可选的,本实施例可以通过集成于目标客户端中的代理网关SDK,根据临时密钥对中的私钥和目标客户端的公钥来生成第一共享密钥。具体可以是,目标客户端在获取到业务请求之后,还可以获取目标客户端的公钥,并可以将目标客户端的公钥发送至集成于目标客户端的代理网关SDK,由代理网关SDK通过算法,根据临时密钥对中的私钥和目标客户端的公钥生成第一共享密钥。其中,算法可以是哈希算法。
S130、采用第一共享密钥对目标客户端的标识信息进行处理,得到鉴权信息。
其中,目标客户端的标识信息可用于表征目标客户端的身份,可以是目标客户端的ID。鉴权信息是指可以用于对目标客户端访问业务服务端的权限进行验证的信息。
在一可实施方式中,可以采用第一共享密钥对目标客户端的标识信息进行加密,并将加密结果作为鉴权信息。
在又一可实施方式中,可以基于加密算法,采用第一共享密钥对目标客户端的标识信息进行加密,得到加密信息,并将加密信息作为鉴权信息。
例如,可以将第一共享密钥作为加密算法的参数取值,并采用赋值后的加密算法对目标客户端的标识信息进行加密处理,以得到加密信息,将加密信息作为目标客户端的鉴权信息。示例性的,加密算法可以是hmac算法。
进一步的,本实施例也可以通过集成于目标客户端中的代理网关SDK,采用第一共享密钥对目标客户端的标识信息进行处理,得到鉴权信息。
S140、向代理服务端发送鉴权信息和业务请求,以使代理服务端生成第二共享密钥,根据第二共享密钥对鉴权信息进行验证,并在验证通过的情况下,控制业务服务端对业务请求进行处理。
其中,第二共享密钥是代理服务端根据目标客户端的私钥和临时密钥对中的公钥生成的共享密钥;可选的,第二共享秘钥可以用于对第一共享秘钥加密的数据进行解密。
具体的,本实施例可以将鉴权信息和业务请求绑定,并发送给代理服务端。由代理服务端执行如下操作:通过算法,根据临时密钥对中的公钥和目标客户端的私钥生成第二共享密钥,并采用第二共享秘钥对目标客户端发送的鉴权信息进行解密,得到目标客户端的标识信息;之后可以根据所得到的目标客户端的标识信息,以及预先存储在代理服务端中目标客户端的权限与目标客户端的标识信息的对应关系对目标客户端进行鉴权,确定目标客户端是否具有所要获取的业务服务的权限。若代理服务端确定目标客户端具有所要获取的业务服务的权限,则将目标客户端发出的业务请求转发至业务服务端,由业务服务端对业务请求进行处理。
进一步的,业务服务端在获取业务请求之后,可以先根据预设的鉴权逻辑对目标客户端进行进一步鉴权,并在确定目标客户端具有所要获取的业务服务的权限的情况下,响应目标客户端的业务请求,对业务请求进行处理,为目标客户端提供目标客户端所要获取的业务服务。若业务服务端确定目标客户端不具有所要获取的业务服务的权限,则将目标客户端不具备权限的信息反馈给目标客户端。
本实施例提供的技术方案,通过在获取到业务请求时生成临时密钥对,根据临时密钥对中的私钥与代理服务端为目标客户端生成的公钥,生成第一共享密钥,并采用第一共享秘钥对目标客户端的标识信息进行处理得到鉴权信息,之后向代理服务端发送鉴权信息和业务请求,由代理服务端采用第二共享密钥对鉴权信息进行验证,并在验证通过的情况下,控制业务服务端对目标客户端发出的业务请求进行处理。上述方案,解决了采用固定密钥对对业务请求进行加密和解密时,容易导致的业务请求在传递过程中被黑客截获并破解后,通过破解后的密钥信息还可以继续截获并破解下一个业务请求,产生一系列数据安全问题。本方案通过临时密钥对和目标客户端的密钥对生成第一共享秘钥和第二共享秘钥,可以使得对每一个目标客户端的标识信息进行加密和对每一个客户端的鉴权信息进行解密的密钥对都是唯一的,提高了业务处理的安全性。
实施例二
图2为本发明实施例二提供的业务处理方法的流程图,本实施例在上述实施例的基础上进行了优化,给出了一种获得鉴权信息的可选方式。具体的,如图2所示,本实施例提供的业务处理方法可以包括:
S210、若获取到业务请求,则生成临时密钥对。
S220、根据目标客户端的公钥和临时密钥对的私钥,生成第一共享密钥。
S230、采用第一共享密钥对目标客户端的标识信息和业务请求的发起时间戳进行处理,得到鉴权信息。
其中,时间戳用于记录业务请求的发起时间。可选的,本实施例中目标客户端在发起业务请求时,可以通过目标客户端中的时钟设备获取到业务请求的发起时间戳。
可选的,可以基于加密算法,采用第一共享密钥对目标客户端的标识信息和业务请求的发起时间戳进行加密,以得到鉴权信息。例如,可以将第一共享密钥作为加密算法的参数取值,并采用赋值后的加密算法对目标客户端的标识信息和业务请求的发起时间戳进行加密处理,以得到加密信息,将加密信息作为目标客户端的鉴权信息。
进一步的,还可以基于加密算法,采用第一共享密钥对目标客户端的标识信息、业务请求的发起时间戳、以及业务请求的摘要信息等进行加密,以得到鉴权信息。其中,摘要信息可以是业务请求中的主要内容或业务请求属性信息。
S240、将鉴权信息添加到业务请求的预设字段中。
其中,预设字段是指业务请求数据中的任一字段;进一步的,为便于代理服务端抓取鉴权信息,预设字段优选为业务请求的头部字段或尾部字段。
具体的,在得到鉴权信息之后,可以将鉴权信息添加至业务请求的预设字段中。
S250、向代理服务端发送鉴权信息和业务请求,以使代理服务端生成第二共享密钥,根据第二共享密钥对鉴权信息进行验证,并在验证通过的情况下,控制业务服务端对业务请求进行处理。
具体的,目标客户端将鉴权信息添加到业务请求的预设字段中后,向代理服务端发送鉴权信息和业务请求。
代理服务端可以从业务请求的预设字段中抓取鉴权信息,并采用第二共享秘钥对鉴权信息进行解密,从解密后的鉴权信息中获得目标客户端的标识信息和业务请求的发起时间戳。之后代理服务端可以将获取的发起时间戳和上一次接收到目标客户端发起的业务请求的发起时间戳进行比对,根据比对结果确定是否响应业务请求。例如,可以预设一个时间阈值,若代理服务端获取的发起时间戳和上一次接收到目标客户端发起的业务请求的发起时间戳之间的时间差大于时间阈值,则代理服务端进一步根据目标客户端的标识信息确定目标客户端是否具有所要获取的业务服务的权限;若代理服务端获取的发起时间戳和上一次接收到目标客户端发起的业务请求的发起时间戳之间的时间差小于或等于时间阈值,则不响应本次目标客户端发出的业务请求。其中,时间阈值可以根据实际需要进行设置和调整。
进一步的,若代理服务端确定目标客户端具有所要获取的业务服务的权限,则将目标客户端发出的业务请求转发至业务服务端,由业务服务端对业务请求进行处理,为目标客户端提供目标客户端所要获取的业务服务。
本实施例提供的技术方案,通过采用第一共享密钥对目标客户端的标识信息和业务请求的发起时间戳进行处理,得到目标客户端的鉴权信息,并将鉴权信息添加至业务请求信预设字段中,发送至代理服务端;由代理服务端采用第二共享密钥对鉴权信息进行验证,并在验证通过的情况下,控制业务服务端对目标客户端发出的业务请求进行处理。上述方案,通过基于发起时间戳和目标客户端的标识信息来确定鉴权信息,可解决目标客户端短期内多次发送相同的业务请求,导致资源浪费的问题;与此同时,将鉴权信息添加至业务请求的预设字段中,可保证业务请求与鉴权信息的一一对应,进一步提高了业务处理的安全性。
实施例三
图3为本发明实施例三提供的业务处理方法的流程图,本实施例可适用于在不暴露业务服务端的服务端口的情况下,对目标客户端的鉴权信息进行验证的情况。本实施例所提供的业务处理方法应用于代理服务端。该方法可以由本发明实施例提供业务处理装置来执行,该装置可以采用软件和/或硬件的方式来实现。该装置可配置于代理服务端中,该方法具体包括:
S310、接收目标客户端发送的鉴权信息和业务请求。
S320、生成第二共享密钥,并根据第二共享密钥对鉴权信息进行验证。
可选的,第二共享密钥可用于对鉴权信息进行解密;进一步的,代理服务端可以基于预先设定的密钥生成机制,生成第二共享密钥。在一可实施方式中,可以根据目标客户端的私钥和临时密钥对的公钥,生成第二共享密钥。例如,通过算法,根据目标客户端的私钥和临时密钥对的公钥,生成第二共享密钥。其中,算法可以是哈希算法。
具体的,代理服务端在获取到目标客户端发送的鉴权信息和业务请求之后,可以根据目标客户端的私钥和临时密钥对的公钥,生成第二共享密钥;并可以采用第二共享密钥对鉴权信息进行解密获得目标客户端的标识信息,之后根据目标客户端的标识信息进行鉴权处理。
在一可实施方式中,根据第二共享密钥对鉴权信息进行验证可以是:采用第二共享密钥对鉴权信息进行解密,得到目标客户端的标识信息;将本地存储的目标客户端的标识信息,与解密得到的目标客户端的标识信息进行一致性比对。
具体的,代理服务端采用第二共享密钥对鉴权信息进行解密,获得目标客户端的标识信息后,代理服务端将获得的目标客户端的标识信息与预先存储在业务服务端的目标客户端的标识信息进行一致性比对。根据比对结果确定目标客户端是否具有所要获取的业务服务的权限。若比对结果为代理服务端获得的目标客户端的标识信息与预先存储在业务服务端的目标客户端的标识信息一致,则代理服务端对目标客户端验证通过,目标客户端具有所要获取的业务服务的权限;若比对结果为代理服务端获得的目标客户端的标识信息与预先存储在业务服务端的目标客户端的标识信息不一致,则代理服务端对目标客户端验证不通过,目标客户端不具有所要获取的业务服务的权限。可选的,代理服务端对目标客户端验证不通过时,代理服务端可以向目标客户端反馈验证不通过的信息。
S330、若验证通过,则控制业务服务端对业务请求进行处理。
具体的,若代理服务端对目标客户端验证通过,则代理服务端将目标客户端的标识信息和和业务请求转发给业务服务端,业务服务端通过预设的鉴权逻辑,根据目标客户端的标识信息对目标客户端进行进一步鉴权,确定目标客户端是否具有所要获取的业务服务的权限。其中,预设的鉴权逻辑可以根据实际需求预先设置与调整。若业务服务端进一步的确定了目标客户端具有所要获取的业务服务的权限,则对业务请求进行处理,为目标客户端提供目标客户端所要获取的业务服务。若业务服务端进一步的确定了目标客户端不具有所要获取的业务服务的权限,则将目标客户端不具备权限的信息反馈给目标客户端。
本实施例提供的技术方案,通过代理服务端在接收到目标客户端发送的鉴权信息和业务请求之后,采用第二共享密钥对鉴权信息进行验证,且在验证通过的情况下,将业务请求转发给业务服务端,通过业务服务端对业务请求进行处理。上述方案,解决了业务服务端直接对客户端进行鉴权并响应时,由于业务服务端具有多个客户端的业务系统,可能导致服务端口暴露,使得信息泄露的问题。而本方案实现了通过代理服务端,统一以一个代理网关接口接收客户端发出的业务请求,隐藏了业务服务端的服务端口,使业务处理更加安全的效果。
实施例四
图4为本发明实施例四提供的业务处理方法的信令图;本实施例在上述实施例的基础上,提供了一种优选实例,具体由客户端、代理服务端、以及业务服务端配合执行。结合图4,在客户端与业务服务端之间建立代理网关,代理网关包括代理网关SDK和代理服务端。其中,代理网关SDK集成于客户端。
代理服务端预先获取所有客户端的标识信息,将客户端的标识信息和每一个客户端的标识信息对应的业务获取的权限对应存储在代理服务端中。代理服务端为每一个客户端生成一对客户端密钥对,客户端密钥对包括客户端的公钥和客户端的私钥,代理服务端将客户端的公钥分配给客户端。
客户端根据用户作用于其上的操作,发起业务请求;集成于客户端上的代理网关SDK在获取到业务请求后,获取客户端的公钥,同时生成临时密钥对,并可以将临时密钥对中的公钥发送给代理服务端。代理网关SDK根据客户端的公钥和临时密钥对的私钥,通过算法生成第一共享秘钥。
代理网关SDK采用第一共享秘钥对客户端的标识信息进行处理,处理过程可以是通过加密算法,采用第一共享秘钥对目标客户端的标识信息进行加密处理,将加密处理后的目标客户端的标识信息作为鉴权信息。并将鉴权信息传输至客户端,由客户端将鉴权信息添加至业务请求的预设字段,并发送至代理服务端。
代理服务端根据客户端的私钥和临时密钥对的公钥生成第二共享秘钥,并采用第二共享秘钥对鉴权信息进行处理,获得客户端的标识信息。代理服务端将获得的客户端的标识信息与预先存储在业务服务端的客户端的标识信息进行一致性比对。根据比对结果确定客户端是否具有所要获取的业务服务的权限。若比对结果为代理服务端获得的客户端的标识信息与预先存储在业务服务端的客户端的标识信息一致,则代理服务端对客户端验证通过,客户端具有所要获取的业务服务的权限;若比对结果为代理服务端获得的客户端的标识信息与预先存储在业务服务端的客户端的标识信息不一致,则代理服务端对客户端验证不通过,客户端不具有所要获取的业务服务的权限。
若代理服务端对客户端验证通过,则代理服务端将业务请求转发给业务服务端,业务服务端通过预设的鉴权逻辑,根据客户端的标识信息对客户端进行进一步鉴权,确定客户端是否具有所要获取的业务服务的权限。若业务服务端进一步的确定了客户端具有所要获取的业务服务的权限,则对业务请求进行处理,为客户端提供客户端所要获取的业务服务, 业务服务端将业务请求相关业务数据发送至代理服务端,代理服务端将业务数据转发至客户端。
需要说明的是,本实施例通过设置代理网关SDK和代理服务端,代理服务端为每一个客户端分配一对客户端密钥对,通过临时密钥对和目标客户端的密钥对生成第一共享秘钥和第二共享秘钥,可以使得对每一个目标客户端的标识信息进行加密和对每一个客户端的鉴权信息进行解密的密钥对都是唯一的,提高了业务处理的安全性。解决了采用固定密钥对对业务请求进行加密和解密时,容易导致的业务请求在传递过程中被黑客截获并破解后,通过破解后的密钥信息还可以继续截获并破解下一个业务请求,产生一系列数据安全问题;同时解决了业务服务端具有多个客户端的业务系统,可能导致服务端口暴露,使得信息泄露的问题。
实施例五
图5为本发明实施例五提供的一种业务处理装置的结构示意图,本实施例可适用于对业务请求进行处理的情况,如图5所示,该业务处理装置包括:临时密钥对生成模块510、第一共享密钥生成模块520、鉴权信息确定模块530和业务请求发送模块540。
其中,临时密钥对生成模块510,用于若获取到业务请求,则生成临时密钥对;
第一共享密钥生成模块520,用于根据目标客户端的公钥和临时密钥对的私钥,生成第一共享密钥;
鉴权信息确定模块530,用于采用第一共享密钥对目标客户端的标识信息进行处理,得到鉴权信息;
业务请求发送模块540,用于向代理服务端发送鉴权信息和业务请求,以使代理服务端生成第二共享密钥,根据第二共享密钥对鉴权信息进行验证,并在验证通过的情况下,控制业务服务端对业务请求进行处理。
本实施例提供的技术方案,通过在获取到业务请求时生成临时密钥对,根据临时密钥对中的私钥与代理服务端为目标客户端生成的公钥,生成第一共享密钥,并采用第一共享秘钥对目标客户端的标识信息进行处理得到鉴权信息,之后向代理服务端发送鉴权信息和业务请求,由代理服务端采用第二共享密钥对鉴权信息进行验证,并在验证通过的情况下,控制业务服务端对目标客户端发出的业务请求进行处理。上述方案,解决了采用固定密钥对对业务请求进行加密和解密时,容易导致的业务请求在传递过程中被黑客截获并破解后,通过破解后的密钥信息还可以继续截获并破解下一个业务请求,产生一系列数据安全问题。本方案通过临时密钥对和目标客户端的密钥对生成第一共享秘钥和第二共享秘钥,可以使得对每一个目标客户端的标识信息进行加密和对每一个客户端的鉴权信息进行解密的密钥对都是唯一的,提高了业务处理的安全性。
其中,鉴权信息确定模块530具体用于:
基于加密算法,采用第一共享密钥对目标客户端的标识信息进行加密,得到加密信息,并将加密信息作为鉴权信息。
其中,鉴权信息确定模块530还具体用于:
采用第一共享密钥对目标客户端的标识信息和业务请求的发起时间戳进行处理,得到鉴权信息。
示例性的,本实施例提供的业务处理装置,还包括:
信息添加模块,用于将鉴权信息添加到业务请求的预设字段中。
本实施例提供的业务处理装置可适用于上述实施例一和实施例二提供的业务处理方法,具备相应的功能和有益效果。
实施例六
图6为本发明实施例六提供的一种业务处理装置的结构示意图,本实施例可适用于在不暴露业务服务端的服务端口的情况下,对目标客户端的鉴权信息进行验证的情况,如图6所示,该业务处理装置包括:数据接收模块610、信息验证模块620和业务请求处理模块630。
其中,数据接收模块610,用于接收目标客户端发送的鉴权信息和业务请求;
信息验证模块620,用于生成第二共享密钥,并根据第二共享密钥对鉴权信息进行验证;
业务请求处理模块630,用于在鉴权信息验证通过后,控制业务服务端对业务请求进行处理。
本实施例提供的技术方案,通过代理服务端在接收到目标客户端发送的鉴权信息和业务请求之后,采用第二共享密钥对鉴权信息进行验证,且在验证通过的情况下,将业务请求转发给业务服务端,通过业务服务端对业务请求进行处理。上述方案,解决了业务服务端直接对客户端进行鉴权并响应时,由于业务服务端具有多个客户端的业务系统,可能导致服务端口暴露,使得信息泄露的问题。而本方案实现了通过代理服务端,统一以一个代理网关接口接收客户端发出的业务请求,隐藏了业务服务端的服务端口,使业务处理更加安全的效果。
其中,信息验证模块620,还包括:
第二共享密钥生成单元,用于根据目标客户端的私钥和临时密钥对的公钥,生成第二共享密钥。
示例性的,信息验证模块620,还包括验证单元,该验证单元具体用于:
采用第二共享密钥对鉴权信息进行解密,得到目标客户端的标识信息;
将本地存储的目标客户端的标识信息,与解密得到的目标客户端的标识信息进行一致性比对。
本实施例提供的业务处理装置可适用于上述实施例三提供的业务处理方法,具备相应的功能和有益效果。
实施例七
图7为本发明实施例七提供的一种电子设备的结构示意图,如图7所示,该电子设备包括处理器70、存储器71、输入装置72和输出装置73;电子设备中处理器70的数量可以是一个或多个,图7中以一个处理器70为例;电子设备中的处理器70、存储器71、输入装置72和输出装置73可以通过总线或其他方式连接,图7中以通过总线连接为例。
存储器71作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的业务处理方法对应的程序指令/模块。处理器70通过运行存储在存储器71中的软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,即实现上述的业务处理方法。
存储器71可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器71可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器71可进一步包括相对于处理器70远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置72可用于接收输入的业务请求,以及产生与设备的用户设置以及功能控制有关的业务请求相关参数输入。输出装置73可包括显示屏等显示设备。
本实施例提供的电子设备可适用于上述任意实施例提供的业务处理方法,具备相应的功能和有益效果。
实施例八
本发明实施例八还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种业务处理方法,该方法包括:
响应于业务请求,生成临时密钥对;根据目标客户端的公钥和所述临时密钥对的私钥,生成第一共享密钥;采用所述第一共享密钥对所述目标客户端的标识信息进行处理,得到鉴权信息;向代理服务端发送所述鉴权信息和所述业务请求,以使所述代理服务端生成第二共享密钥,根据所述第二共享密钥对所述鉴权信息进行验证,并在验证通过的情况下,控制业务服务端对所述业务请求进行处理。
或者,该方法还包括:
接收目标客户端发送的鉴权信息和业务请求;生成第二共享密钥,并根据所述第二共享密钥对所述鉴权信息进行验证;若验证通过,则控制业务服务端对所述业务请求进行处理。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory, ROM)、随机存取存储器(RandomAccess Memory, RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述业务处理方法的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (11)
1.一种业务处理方法,包括:
若获取到业务请求,则生成临时密钥对;
根据目标客户端的公钥和所述临时密钥对的私钥,生成第一共享密钥;
采用所述第一共享密钥对所述目标客户端的标识信息进行处理,得到鉴权信息;
向代理服务端发送所述鉴权信息和所述业务请求,以使所述代理服务端生成第二共享密钥,根据所述第二共享密钥对所述鉴权信息进行验证,并在验证通过的情况下,控制业务服务端对所述业务请求进行处理。
2.根据权利要求1所述的方法,其特征在于,所述采用所述第一共享密钥对所述目标客户端的标识信息进行处理,得到鉴权信息,包括:
基于加密算法,采用所述第一共享密钥对所述目标客户端的标识信息进行加密,得到加密信息,并将加密信息作为鉴权信息。
3.根据权利要求1所述的方法,其特征在于,所述采用所述第一共享密钥对所述目标客户端的标识信息进行处理,得到鉴权信息,包括:
采用所述第一共享密钥对所述目标客户端的标识信息和所述业务请求的发起时间戳进行处理,得到鉴权信息。
4.根据权利要求1所述的方法,其特征在于,所述向代理服务端发送所述鉴权信息和所述业务请求之前,还包括:
将所述鉴权信息添加到所述业务请求的预设字段中。
5.一种业务处理方法,包括:
接收目标客户端发送的鉴权信息和业务请求;
生成第二共享密钥,并根据所述第二共享密钥对所述鉴权信息进行验证;
若验证通过,则控制业务服务端对所述业务请求进行处理。
6.根据权利要求5所述的方法,其特征在于,所述生成第二共享密钥,包括:
根据所述目标客户端的私钥和临时密钥对的公钥,生成第二共享密钥。
7.根据权利要求5所述的方法,其特征在于,所述根据所述第二共享密钥对所述鉴权信息进行验证,包括:
采用所述第二共享密钥对所述鉴权信息进行解密,得到所述目标客户端的标识信息;
将本地存储的所述目标客户端的标识信息,与解密得到的所述目标客户端的标识信息进行一致性比对。
8.一种业务处理装置,其特征在于,包括:
临时密钥对生成模块,用于若获取到业务请求,则生成临时密钥对;
第一共享密钥生成模块,用于根据目标客户端的公钥和所述临时密钥对的私钥,生成第一共享密钥;
鉴权信息确定模块,用于采用所述第一共享密钥对所述目标客户端的标识信息进行处理,得到鉴权信息;
业务请求发送模块,用于向代理服务端发送所述鉴权信息和所述业务请求,以使所述代理服务端生成第二共享密钥,根据所述第二共享密钥对所述鉴权信息进行验证,并在验证通过的情况下,控制业务服务端对所述业务请求进行处理。
9.一种业务处理装置,其特征在于,包括:
数据接收模块,用于接收目标客户端发送的鉴权信息和业务请求;
信息验证模块,用于生成第二共享密钥,并根据所述第二共享密钥对所述鉴权信息进行验证;
业务请求处理模块,用于在所述鉴权信息验证通过后,控制业务服务端对所述业务请求进行处理。
10.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-4中任一所述的业务处理方法,或者权利要求5-7中任一所述的业务处理方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一所述的业务处理方法,或者权利要求5-7中任一所述的业务处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210159205.9A CN114218598B (zh) | 2022-02-22 | 2022-02-22 | 一种业务处理方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210159205.9A CN114218598B (zh) | 2022-02-22 | 2022-02-22 | 一种业务处理方法、装置、设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114218598A true CN114218598A (zh) | 2022-03-22 |
| CN114218598B CN114218598B (zh) | 2022-06-17 |
Family
ID=80709144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210159205.9A Active CN114218598B (zh) | 2022-02-22 | 2022-02-22 | 一种业务处理方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114218598B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259183A (zh) * | 2018-01-12 | 2018-07-06 | 武汉斗鱼网络科技有限公司 | 一种关注方法、装置、电子设备及介质 |
| CN108769067A (zh) * | 2018-06-28 | 2018-11-06 | 武汉斗鱼网络科技有限公司 | 一种鉴权校验方法、装置、设备和介质 |
| CN111181720A (zh) * | 2019-12-31 | 2020-05-19 | 支付宝(杭州)信息技术有限公司 | 基于可信执行环境的业务处理方法及装置 |
| WO2021022701A1 (zh) * | 2019-08-08 | 2021-02-11 | 平安科技(深圳)有限公司 | 信息传输方法、装置、客户端、服务端及存储介质 |
-
2022
- 2022-02-22 CN CN202210159205.9A patent/CN114218598B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259183A (zh) * | 2018-01-12 | 2018-07-06 | 武汉斗鱼网络科技有限公司 | 一种关注方法、装置、电子设备及介质 |
| CN108769067A (zh) * | 2018-06-28 | 2018-11-06 | 武汉斗鱼网络科技有限公司 | 一种鉴权校验方法、装置、设备和介质 |
| WO2021022701A1 (zh) * | 2019-08-08 | 2021-02-11 | 平安科技(深圳)有限公司 | 信息传输方法、装置、客户端、服务端及存储介质 |
| CN111181720A (zh) * | 2019-12-31 | 2020-05-19 | 支付宝(杭州)信息技术有限公司 | 基于可信执行环境的业务处理方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 苏威积等: "一种对称密钥的密钥管理方法及系统", 《信息安全研究》 * |
| 苏威积等: "一种对称密钥的密钥管理方法及系统", 《信息安全研究》, no. 01, 5 January 2018 (2018-01-05) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114218598B (zh) | 2022-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109347835B (zh) | 信息传输方法、客户端、服务器以及计算机可读存储介质 | |
| CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
| CN111949953B (zh) | 基于区块链的身份认证方法、系统、装置和计算机设备 | |
| US11563567B2 (en) | Secure shared key establishment for peer to peer communications | |
| CN110855671B (zh) | 一种可信计算方法和系统 | |
| US8086847B2 (en) | Computer program product and computer system for peer-to-peer communications | |
| US7231526B2 (en) | System and method for validating a network session | |
| CN108111497B (zh) | 摄像机与服务器相互认证方法和装置 | |
| CN111031047B (zh) | 设备通信方法、装置、计算机设备及存储介质 | |
| CN113225352B (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| CN110690956B (zh) | 双向认证方法及系统、服务器和终端 | |
| CN110839240B (zh) | 一种建立连接的方法及装置 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN114793184B (zh) | 一种基于第三方密钥管理节点的安全芯片通信方法及装置 | |
| CN113572788A (zh) | BACnet/IP协议设备认证安全方法 | |
| CN113609522A (zh) | 数据授权及数据访问方法和装置 | |
| CN110581829A (zh) | 通信方法及装置 | |
| CN111654503A (zh) | 一种远程管控方法、装置、设备及存储介质 | |
| CN110611679A (zh) | 一种数据传输方法、装置、设备及系统 | |
| CN112261103A (zh) | 一种节点接入方法及相关设备 | |
| CN114218598B (zh) | 一种业务处理方法、装置、设备和存储介质 | |
| CN113727059B (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 | |
| CN110912857A (zh) | 移动应用间共享登录的方法、存储介质 | |
| CN111431846B (zh) | 数据传输的方法、装置和系统 | |
| CN114417309A (zh) | 一种双向身份验证方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |