CN117395077A - 访问请求的加密处理方法、装置、计算机设备及存储介质 - Google Patents
访问请求的加密处理方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN117395077A CN117395077A CN202311643514.4A CN202311643514A CN117395077A CN 117395077 A CN117395077 A CN 117395077A CN 202311643514 A CN202311643514 A CN 202311643514A CN 117395077 A CN117395077 A CN 117395077A
- Authority
- CN
- China
- Prior art keywords
- request
- plaintext
- access
- access request
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title abstract description 16
- 238000000034 method Methods 0.000 claims abstract description 49
- 238000012795 verification Methods 0.000 claims abstract description 20
- 230000004044 response Effects 0.000 claims description 67
- 238000004590 computer program Methods 0.000 claims description 25
- 238000012545 processing Methods 0.000 claims description 16
- 238000011045 prefiltration Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 238000007726 management method Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及信息安全技术领域,具体公开了一种访问请求的加密处理方法、装置、计算机设备及存储介质,所述方法包括:接收客户端发送的访问请求,所述访问请求包括请求体和请求头,所述请求体经过对称密钥加密得到,所述对称密钥由所述客户端随机生成,所述请求头包括非对称密钥对的公钥对所述对称密钥加密得到的加密串,所述非对称密钥对与所述访问请求的访问渠道对应;利用所述非对称密钥对的私钥对所述访问请求进行解密得到明文请求报文;将所述明文请求报文转发至业务微服务。本公开的非对称密钥对与访问渠道相对应,确保了各个访问渠道之间的数据访问的信息安全,并且进行非对称解密和对称解密的双重验证,大大提高了报文安全性。
Description
技术领域
本公开涉及信息安全技术领域,特别是涉及一种访问请求的加密处理方法、装置、计算机设备及存储介质。
背景技术
随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息,给人们带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重威胁。尤其是提供综合服务的平台,往往涉及个人信息注册登录以及与第三方平台频繁跳转的业务场合,存在未授权访问、用户信息泄露等风险问题。
在相关技术中,通常将客户端与服务端交互的信息进行加密传输,从而避免用户信息在互联网传输过程中被泄露、非授权访问等风险。但是各互联网信息系统往往只针对涉及用户隐私信息的接口进行加解密处理,忽略其他接口,依旧存在信息泄露和越权访问的风险。
发明内容
基于此,有必要针对上述技术问题,提供一种访问请求的加密处理方法、装置、网关设备、计算机设备、存储介质和计算机程序产品。
第一方面,本公开提供了一种访问请求的加密处理方法。所述方法包括:
接收客户端发送的访问请求,所述访问请求包括请求体和请求头,所述请求体经过对称密钥加密得到,所述对称密钥由所述客户端随机生成,所述请求头包括非对称密钥对的公钥对所述对称密钥加密得到的加密串,所述非对称密钥对与所述访问请求的访问渠道对应;
利用所述非对称密钥对的私钥对所述访问请求进行解密得到明文请求报文;
将所述明文请求报文转发至业务微服务。
在其中一个实施例中,所述方法还包括:
为客户端的每个访问渠道分配对应的非对称密钥对,存储所述非对称密钥对的私钥,并将所述非对称密钥对的公钥存储至所述客户端。
在其中一个实施例中,所述方法还包括:
接收所述微服务返回的明文响应信息;
利用所述对称密钥加密所述明文响应信息得到响应报文体,将所述响应报文体返回至所述客户端。
在其中一个实施例中,所述请求头还包括所述访问请求的渠道标识,所述利用所述非对称密钥对的私钥对所述访问请求进行解密得到明文请求报文包括:
根据所述渠道标识确定所述访问请求对应的所述非对称密钥对的私钥;
根据所述非对称密钥对的私钥对所述加密串解密得到所述对称密钥;
根据所述对称密钥对所述请求体解密得到所述明文请求报文。
在其中一个实施例中,所述将所述明文请求报文转发至业务微服务包括:
对所述明文请求报文进行权限验证,在所述权限验证通过的情况下将所述明文请求报文转发至业务微服务。
在其中一个实施例中,所述将所述响应报文体返回至所述客户端之前还包括:
根据所述明文响应信息对应的接口类型信息判断是否需要生成通行令牌;
在确定需要生成通行令牌的情况下,生成所述明文响应信息的通行令牌,并将所述通行令牌添加至所述响应报文体。
第二方面,本公开还提供了一种访问请求的加密处理装置。所述装置包括:
请求接收模块,用于接收客户端发送的访问请求,所述访问请求包括请求体和请求头,所述请求体经过对称密钥加密得到,所述对称密钥由所述客户端随机生成,所述请求头包括非对称密钥对的公钥对所述对称密钥加密得到的加密串,所述非对称密钥对与所述访问请求的访问渠道对应;
报文解析模块,用于利用所述非对称密钥对的私钥对所述访问请求进行解密得到明文请求报文;
报文转发模块,用于将所述明文请求报文转发至业务微服务。
在其中一个实施例中,所述装置还包括:
渠道模块,用于为客户端的每个访问渠道分配对应的非对称密钥对,存储所述非对称密钥对的私钥,并将所述非对称密钥对的公钥存储至所述客户端。
在其中一个实施例中,所述装置还包括:
报文接收模块,用于接收所述微服务返回的明文响应信息;
响应报文模块,用于利用所述对称密钥加密所述明文响应信息得到响应报文体,将所述响应报文体返回至所述客户端。
在其中一个实施例中,所述请求头还包括所述访问请求的渠道标识,所述报文解析模块包括:
渠道标识单元,用于根据所述渠道标识确定所述访问请求对应的所述非对称密钥对的私钥;
加密串解密单元,用于根据所述非对称密钥对的私钥对所述加密串解密得到所述对称密钥;
明文单元,用于根据所述对称密钥对所述请求体解密得到所述明文请求报文。
在其中一个实施例中,所述报文转发模块包括:
鉴权单元,用于对所述明文请求报文进行权限验证,在所述权限验证通过的情况下将所述明文请求报文转发至业务微服务。
在其中一个实施例中,所述响应报文模块包括:
接口判断单元,用于根据所述明文响应信息对应的接口类型信息判断是否需要生成通行令牌;
令牌生成单元,用于在确定需要生成通行令牌的情况下,生成所述明文响应信息的通行令牌,并将所述通行令牌添加至所述响应报文体。
第三方面,本公开还提供了一种网关设备。所述网关设备包括前置过滤器、后置过滤器和路由过滤器;
所述前置过滤器用于接收客户端发送的访问请求,所述访问请求包括请求体和请求头,所述请求体经过对称密钥加密得到,所述对称密钥由所述客户端随机生成,所述请求头包括非对称密钥对的公钥对所述对称密钥加密得到的加密串,所述非对称密钥对与所述访问请求的访问渠道对应;利用所述非对称密钥对的私钥对所述访问请求进行解密得到明文请求报文;将所述明文请求报文通过所述路由过滤器转发至业务微服务;
所述后置过滤器用于通过所述路由过滤器接收所述微服务返回的明文响应信息;利用所述对称密钥加密所述明文响应信息得到响应报文体,将所述响应报文体返回至所述客户端。
第四方面,本公开还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述访问请求的加密处理方法的步骤。
第五方面,本公开还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述访问请求的加密处理方法的步骤。
第六方面,本公开还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述访问请求的加密处理方法的步骤。
上述访问请求的加密处理方法、装置、网关设备、计算机设备、存储介质和计算机程序产品,至少包括以下有益效果:
本公开的微服务架构的网关节点可以针对客户端发送的访问请求,采用与访问请求的访问渠道相对应的非对称密钥对的私钥对访问请求进行解密,可以得到客户端加密采用的对称密码,进而根据对称密码解密得到明文请求报文并转发至对应的业务微服务,非对称密钥对与访问渠道相对应,确保了各个访问渠道之间的数据访问的信息安全,可以加强对各个渠道的非对称密钥对的管理,且便于访问渠道的扩展;并且获得明文请求报文需要对访问请求进行非对称解密和对称解密的双重验证,大大提高了报文安全性,降低了攻击者对报文的篡改风险。
附图说明
为了更清楚地说明本公开实施例或传统技术中的技术方案,下面将对实施例或传统技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一个实施例中访问请求的加密处理方法的应用环境图;
图2为一个实施例中访问请求的加密处理方法的流程示意图;
图3为一个实施例中访问请求的加密处理方法的流程示意图;
图4为一个实施例中访问请求的加密处理方法的流程示意图;
图5为一个实施例中访问请求的加密处理方法的流程示意图;
图6为一个实施例中访问请求的加密处理装置的结构框图;
图7为另一个实施例中访问请求的加密处理装置的结构框图;
图8为一个实施例中报文解析模块的结构框图;
图9为一个实施例中响应报文模块的结构框图;
图10为一个实施例中网关设备的结构框图;
图11为一个实施例中网关设备的数据传输示意图;
图12为一个实施例中计算机设备的内部结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
除非另有定义,本文所使用的所有的技术和科学术语与属于本公开的技术领域的技术人员通常理解的含义相同。本文中在本公开的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本公开。
以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下,并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。
在此使用时,单数形式的“一”、“一个”和“所述/该”也可以包括复数形式,除非上下文清楚指出另外的方式。还应当理解的是,术语“包括/包含”或“具有”等指定所陈述的特征、整体、步骤、操作、组件、部分或它们的组合的存在,但是不排除存在或添加一个或更多个其他特征、整体、步骤、操作、组件、部分或它们的组合的可能性。同时,在本说明书中,术语“和/或”包括相关所列项目的任何及所有组合。
本公开实施例提供的访问请求的加密处理方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。服务器104部署有业务系统,终端102可以通过手机软件、门户网站、微信公众号、微信小程序、第三方平台等多种访问渠道访问该业务系统。
其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。例如,服务器104采用微服务架构,多个微服务部署在对应的服务节点上,该微服务架构还包括网关节点,网关节点作为微服务架构的前置门户入口,终端102的访问请求首先通过网关节点进行路径的路由,定位到具体的服务节点上。
在本公开的一些实施例中,如图2所示,提供了一种访问请求的加密处理方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
步骤210,接收客户端发送的访问请求,所述访问请求包括请求体和请求头,所述请求体经过对称密钥加密得到,所述对称密钥由所述客户端随机生成,所述请求头包括非对称密钥对的公钥对所述对称密钥加密得到的加密串,所述非对称密钥对与所述访问请求的访问渠道对应。
示例性地,服务器可以通过网关节点接收客户端发送的访问请求,访问请求可以包括请求体和请求头,其中,请求体是请求信息经过对称密钥加密得到的,具体由客户端利用随机生成对称密钥加密得到。请求头包括一段加密串,该加密串是由非对称密钥对的公钥对客户端随机生成的对称密钥加密得到的,非对称密钥对是与访问请求的访问渠道对应的,访问请求的访问渠道可以包括且不限于手机软件、门户网站、微信公众号、微信小程序、第三方平台,每个访问渠道分配有对应的非对称密钥对,客户端可以利用非对称密钥对的公钥对客户端随机生成的对称密钥进行加密。非对称密钥对可以采用已公开的SM2算法,对称密钥对可以采用已公开的SM4算法。访问请求可以为HTTP(Hyper Text TransferProtocol,超文本传输协议)报文。
步骤220,利用所述非对称密钥对的私钥对所述访问请求进行解密得到明文请求报文。
示例性地,服务器可以对接收到的访问请求进行解析,可以根据非对称密钥对的私钥对访问请求进行解密处理,可以根据访问请求对应的非对称密钥对的私钥对请求头解密得到对称密钥,再利用对称密钥解密请求体得到明文请求报文。
步骤230,将所述明文请求报文转发至业务微服务。
示例性地,服务器解析得到明文请求报文后,可以将明文请求报文转发至对应的业务微服务,由对应的微服务节点处理该明文请求报文。
上述访问请求的加密处理方法中,微服务架构的网关节点可以针对客户端发送的访问请求,采用与访问请求的访问渠道相对应的非对称密钥对的私钥对访问请求进行解密,可以得到客户端加密采用的对称密码,进而根据对称密码解密得到明文请求报文并转发至对应的业务微服务,非对称密钥对与访问渠道相对应,确保了各个访问渠道之间的数据访问的信息安全,可以加强对各个渠道的非对称密钥对的管理,且便于访问渠道的扩展;并且获得明文请求报文需要对访问请求进行非对称解密和对称解密的双重验证,大大提高了报文安全性,降低了攻击者对报文的篡改风险。
在本公开的一些实施例中,所述方法还包括:
为客户端的每个访问渠道分配对应的非对称密钥对,存储所述非对称密钥对的私钥,并将所述非对称密钥对的公钥存储至所述客户端。
示例性地,服务器可以对客户端存在的访问渠道进行汇总,并为每个访问渠道分配对应的非对称密钥对,即非对称密钥对与访问渠道一一对应。服务器将还可以将已分配的非对称密钥对进行存储,具体将非对称密钥对的私钥自行存储,将非对称密钥对的公钥发送至客户端由客户端进行存储。
本实施例通过预先将客户端的存在的各个访问渠道进行汇总管理,分配给每个访问渠道专属的非对称密钥,并与客户端分别存储非对称密钥,确保了各个访问渠道之间的数据访问的信息安全,可以加强对各个渠道的非对称密钥对的管理,且便于访问渠道的扩展。
在本公开的一些实施例中,如图3所示,所述方法还包括:
步骤240,接收所述微服务返回的明文响应信息。
步骤250,利用所述对称密钥加密所述明文响应信息得到响应报文体,将所述响应报文体返回至所述客户端。
示例性地,服务器可以利用网关节点接收微服务节点针对访问请求返回的明文响应信息。网关节点可以先利用步骤220中获得的对称密钥对明文响应信息加密得到响应报文体,再将得到响应报文体发送至客户端。
本实施例在接收到微服务节点反馈的明文响应信息后,可以利用解密过程中该明文响应信息所对应的访问请求的对称密钥加密得到响应报文体,确保响应报文体返回至客户端过程中的安全性。
在本公开的一些实施例中,如图4所示,步骤220包括:
步骤222,根据所述渠道标识确定所述访问请求对应的所述非对称密钥对的私钥。
示例性地,请求头还包括访问请求的渠道标识,服务器可以预先为每个访问渠道进行标识,即为每个访问渠道分配渠道标识,例如以渠道编号的形式进行标注。服务器可以在接收到访问请求后,可以根据请求头中的渠道标识在已存储的非对称密钥对中查找对应的非对称密钥对的私钥。
步骤224,根据所述非对称密钥对的私钥对所述加密串解密得到所述对称密钥。
示例性地,服务器在得到对应的非对称密钥对的私钥后,可以对请求头中的加密串进行解密得到对称密钥。
步骤226,根据所述对称密钥对所述请求体解密得到所述明文请求报文。
示例性地,服务器可以利用解密获得的对称密钥对请求体解密得到明文请求报文。
本实施例根据请求头中携带的渠道标识,便于服务器可以快速根据请求头查询到与该访问请求的访问渠道所对应的非对称密钥对,在保证数据交互安全的前提下提高了解密效率。
在本公开的一些实施例中,步骤230包括:
对所述明文请求报文进行权限验证,在所述权限验证通过的情况下将所述明文请求报文转发至业务微服务。
示例性地,服务器的网关节点还可以在得到明文请求报文后,进行权限验证,即进行Token校验。Token通常是指服务端分配给客户端进行请求的一个通行令牌,例如在客户端第一次登录后,服务器可以生成一个Token,并将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。服务器可以对访问请求所携带的Token进行验证,例如可以验证访问请求是否携带Token,或者对携带的Token进行解密并判断是否与预期Token一致,或者判断携带的Token是否在允许通行名单上。在服务器权限验证通过的情况下,可以将明文请求报文转发至业务微服务;在权限验证未通过的情况下,则不处理该访问请求。
本实施例在获得明文请求报文后,还对访问请求进行了权限验证,只有在权限验证通过的情况下将明文请求报文转发至业务微服务,即对访问请求进行对称解密和对称解密的基础上还结合了Token校验,进一步提高了报文传输的安全性。
在本公开的一些实施例中,如图5所示,步骤250中将所述响应报文体返回至所述客户端之前还包括:
步骤252,根据所述明文响应信息对应的接口类型信息判断是否需要生成通行令牌。
示例性地,服务器可以根据明文响应信息确定其对应的接口类型信息,进而可以判断接口类型信息是否属于服务器所规定的登录接口,若属于则确定需要生成通行令牌,若不是则不作处理。
步骤254,在确定需要生成通行令牌的情况下,生成所述明文响应信息的通行令牌,并将所述通行令牌添加至所述响应报文体。
示例性地,服务器在确定需要生成通行令牌的情况下,会根据服务器预设的规则生成通行令牌,并将通行令牌添加到响应报文中。
本实施例在将响应报文发送至客户端之前,会根据接口类型信息确定是否需要生成通行令牌,可以提高响应报文返回至客户端的安全性和准确性。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本公开实施例还提供了一种用于实现上述所涉及的访问请求的加密处理方法的访问请求的加密处理装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个访问请求的加密处理装置实施例中的具体限定可以参见上文中对于访问请求的加密处理方法的限定,在此不再赘述。
在本公开的一些实施例中,如图6所示,提供了一种访问请求的加密处理装置。所述装置600包括:
请求接收模块610,用于接收客户端发送的访问请求,所述访问请求包括请求体和请求头,所述请求体经过对称密钥加密得到,所述对称密钥由所述客户端随机生成,所述请求头包括非对称密钥对的公钥对所述对称密钥加密得到的加密串,所述非对称密钥对与所述访问请求的访问渠道对应;
报文解析模块620,用于利用所述非对称密钥对的私钥对所述访问请求进行解密得到明文请求报文;
报文转发模块630,用于将所述明文请求报文转发至业务微服务。
在本公开的一些实施例中,所述装置还包括:
渠道模块,用于为客户端的每个访问渠道分配对应的非对称密钥对,存储所述非对称密钥对的私钥,并将所述非对称密钥对的公钥存储至所述客户端。
在本公开的一些实施例中,如图7所示,所述装置600还包括:
报文接收模块640,用于接收所述微服务返回的明文响应信息;
响应报文模块650,用于利用所述对称密钥加密所述明文响应信息得到响应报文体,将所述响应报文体返回至所述客户端。
在本公开的一些实施例中,如图8所示,所述请求头还包括所述访问请求的渠道标识,所述报文解析模块620包括:
渠道标识单元622,用于根据所述渠道标识确定所述访问请求对应的所述非对称密钥对的私钥;
加密串解密单元624,用于根据所述非对称密钥对的私钥对所述加密串解密得到所述对称密钥;
明文单元626,用于根据所述对称密钥对所述请求体解密得到所述明文请求报文。
在本公开的一些实施例中,所述报文转发模块包括:
鉴权单元,用于对所述明文请求报文进行权限验证,在所述权限验证通过的情况下将所述明文请求报文转发至业务微服务。
在本公开的一些实施例中,如图9所示,所述响应报文模块650包括:
接口判断单元652,用于根据所述明文响应信息对应的接口类型信息判断是否需要生成通行令牌;
令牌生成单元654,用于在确定需要生成通行令牌的情况下,生成所述明文响应信息的通行令牌,并将所述通行令牌添加至所述响应报文体。
上述访问请求的加密处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。需要说明的是,本公开实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
基于前述访问请求的加密处理方法的实施例描述,在本公开提供的另一个实施例中,提供了一种网关设备,其内部结构图可以如图10所示。该网关设备包括前置过滤器、后置过滤器和路由过滤器;
如图11所示,所述前置过滤器用于接收客户端发送的访问请求,所述访问请求包括请求体和请求头,所述请求体经过对称密钥加密得到,所述对称密钥由所述客户端随机生成,所述请求头包括非对称密钥对的公钥对所述对称密钥加密得到的加密串,所述非对称密钥对与所述访问请求的访问渠道对应;利用所述非对称密钥对的私钥对所述访问请求进行解密得到明文请求报文;将所述明文请求报文通过所述路由过滤器转发至业务微服务;
所述后置过滤器用于通过所述路由过滤器接收所述微服务返回的明文响应信息;利用所述对称密钥加密所述明文响应信息得到响应报文体,将所述响应报文体返回至所述客户端。
基于前述访问请求的加密处理方法的实施例描述,在本公开提供的另一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图12所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)和通信接口。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储……数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种访问请求的加密处理方法。
基于前述访问请求的加密处理方法的实施例描述,在本公开提供的另一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图所示。该计算机设备包括处理器、存储器、输入/输出接口、通信接口、显示单元和输入装置。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口、显示单元和输入装置通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种访问请求的加密处理方法。该计算机设备的显示单元用于形成视觉可见的画面,可以是显示屏、投影装置或虚拟现实成像装置。显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图000中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
基于前述访问请求的加密处理方法的实施例描述,在本公开提供的另一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各方法实施例中的步骤。
基于前述访问请求的加密处理方法的实施例描述,在本公开提供的另一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要遵守相关法律法规和标准。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
在本说明书的描述中,参考术语“有些实施例”、“其他实施例”、“理想实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特征包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性描述不一定指的是相同的实施例或示例。
可以理解的是,本说明书中上述方法的各个实施例均采用递进的方式描述,各个实施例之间相同/相似的部分互相参见即可,每个实施例重点说明的都是与其它实施例的不同之处。相关之处参见其他方法实施例的描述说明即可。
上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本公开的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本公开构思的前提下,还可以做出若干变形和改进,这些都属于本公开的保护范围。因此,本公开专利的保护范围应以所附权利要求为准。
Claims (11)
1.一种访问请求的加密处理方法,其特征在于,所述方法包括:
接收客户端发送的访问请求,所述访问请求包括请求体和请求头,所述请求体经过对称密钥加密得到,所述对称密钥由所述客户端随机生成,所述请求头包括非对称密钥对的公钥对所述对称密钥加密得到的加密串,所述非对称密钥对与所述访问请求的访问渠道对应;
利用所述非对称密钥对的私钥对所述访问请求进行解密得到明文请求报文;
将所述明文请求报文转发至业务微服务。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
为客户端的每个访问渠道分配对应的非对称密钥对,存储所述非对称密钥对的私钥,并将所述非对称密钥对的公钥存储至所述客户端。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述微服务返回的明文响应信息;
利用所述对称密钥加密所述明文响应信息得到响应报文体,将所述响应报文体返回至所述客户端。
4.根据权利要求1所述的方法,其特征在于,所述请求头还包括所述访问请求的渠道标识,所述利用所述非对称密钥对的私钥对所述访问请求进行解密得到明文请求报文包括:
根据所述渠道标识确定所述访问请求对应的所述非对称密钥对的私钥;
根据所述非对称密钥对的私钥对所述加密串解密得到所述对称密钥;
根据所述对称密钥对所述请求体解密得到所述明文请求报文。
5.根据权利要求1所述的方法,其特征在于,所述将所述明文请求报文转发至业务微服务包括:
对所述明文请求报文进行权限验证,在所述权限验证通过的情况下将所述明文请求报文转发至业务微服务。
6.根据权利要求3所述的方法,其特征在于,所述将所述响应报文体返回至所述客户端之前还包括:
根据所述明文响应信息对应的接口类型信息判断是否需要生成通行令牌;
在确定需要生成通行令牌的情况下,生成所述明文响应信息的通行令牌,并将所述通行令牌添加至所述响应报文体。
7.一种访问请求的加密处理装置,其特征在于,所述装置包括:
请求接收模块,用于接收客户端发送的访问请求,所述访问请求包括请求体和请求头,所述请求体经过对称密钥加密得到,所述对称密钥由所述客户端随机生成,所述请求头包括非对称密钥对的公钥对所述对称密钥加密得到的加密串,所述非对称密钥对与所述访问请求的访问渠道对应;
报文解析模块,用于利用所述非对称密钥对的私钥对所述访问请求进行解密得到明文请求报文;
报文转发模块,用于将所述明文请求报文转发至业务微服务。
8.一种网关设备,其特征在于,包括前置过滤器、后置过滤器和路由过滤器;
所述前置过滤器用于接收客户端发送的访问请求,所述访问请求包括请求体和请求头,所述请求体经过对称密钥加密得到,所述对称密钥由所述客户端随机生成,所述请求头包括非对称密钥对的公钥对所述对称密钥加密得到的加密串,所述非对称密钥对与所述访问请求的访问渠道对应;利用所述非对称密钥对的私钥对所述访问请求进行解密得到明文请求报文;将所述明文请求报文通过所述路由过滤器转发至业务微服务;
所述后置过滤器用于通过所述路由过滤器接收所述微服务返回的明文响应信息;利用所述对称密钥加密所述明文响应信息得到响应报文体,将所述响应报文体返回至所述客户端。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
11.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311643514.4A CN117395077A (zh) | 2023-12-04 | 2023-12-04 | 访问请求的加密处理方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311643514.4A CN117395077A (zh) | 2023-12-04 | 2023-12-04 | 访问请求的加密处理方法、装置、计算机设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117395077A true CN117395077A (zh) | 2024-01-12 |
Family
ID=89468626
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311643514.4A Pending CN117395077A (zh) | 2023-12-04 | 2023-12-04 | 访问请求的加密处理方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117395077A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117614751A (zh) * | 2024-01-24 | 2024-02-27 | 上海银基信息安全技术股份有限公司 | 内网访问方法及系统 |
-
2023
- 2023-12-04 CN CN202311643514.4A patent/CN117395077A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117614751A (zh) * | 2024-01-24 | 2024-02-27 | 上海银基信息安全技术股份有限公司 | 内网访问方法及系统 |
| CN117614751B (zh) * | 2024-01-24 | 2024-04-02 | 上海银基信息安全技术股份有限公司 | 内网访问方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yu et al. | A blockchain-based shamir’s threshold cryptography scheme for data protection in industrial internet of things settings | |
| US10903976B2 (en) | End-to-end secure operations using a query matrix | |
| US9686356B2 (en) | Zero-knowledge environment based social networking engine | |
| US20180212753A1 (en) | End-To-End Secure Operations Using a Query Vector | |
| Gao et al. | BSSPD: A Blockchain‐Based Security Sharing Scheme for Personal Data with Fine‐Grained Access Control | |
| Gupta et al. | Layer-based privacy and security architecture for cloud data sharing | |
| WO2021184755A1 (zh) | 应用访问方法、装置、电子设备以及存储介质 | |
| AU2019322806B2 (en) | Location-based access to controlled access resources | |
| Shi et al. | Blockchain-based multimedia sharing in vehicular social networks with privacy protection | |
| CN110445840B (zh) | 一种基于区块链技术的文件存储和读取的方法 | |
| CN117395077A (zh) | 访问请求的加密处理方法、装置、计算机设备及存储介质 | |
| CN114240347A (zh) | 业务服务安全对接方法、装置、计算机设备、存储介质 | |
| CN116049802B (zh) | 应用单点登陆方法、系统、计算机设备和存储介质 | |
| CN116684102A (zh) | 报文传输方法、报文校验方法、装置、设备、介质和产品 | |
| CN116233847A (zh) | 登录方法、装置、计算机设备和存储介质 | |
| US20160147999A1 (en) | Method And Apparatus For Applying A Customer Owned Encryption | |
| CN114978620B (zh) | 身份标识号的加密方法和解密方法 | |
| CN115174260B (zh) | 数据验证方法、装置、计算机、存储介质和程序产品 | |
| WO2023212700A1 (en) | Computerized systems and methods for a multi-faceted encryption platform | |
| Al-Balasmeh et al. | Data and location privacy of smart devices over vehicular cloud computing | |
| CN118153068A (zh) | 数据的处理方法、装置、车辆和存储介质 | |
| CN115757310A (zh) | 信用信息共享方法、装置、计算机设备和存储介质 | |
| CN116192375A (zh) | 一种实现数据加解密的方法及装置 | |
| CN116862519A (zh) | 基于区块链的处理匿名账户资源转移的方法、装置和设备 | |
| CN116861490A (zh) | 第三方服务平台接入方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |