CN117436875A - 一种业务执行方法、装置、存储介质及电子设备 - Google Patents

一种业务执行方法、装置、存储介质及电子设备 Download PDF

Info

Publication number
CN117436875A
CN117436875A CN202311295450.3A CN202311295450A CN117436875A CN 117436875 A CN117436875 A CN 117436875A CN 202311295450 A CN202311295450 A CN 202311295450A CN 117436875 A CN117436875 A CN 117436875A
Authority
CN
China
Prior art keywords
party server
client
verification
verification information
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311295450.3A
Other languages
English (en)
Inventor
张婉桥
黄琳
李文杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN202311295450.3A priority Critical patent/CN117436875A/zh
Publication of CN117436875A publication Critical patent/CN117436875A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/04Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Technology Law (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本说明书公开了一种业务执行方法、装置、存储介质及电子设备。该业务执行方法包括:客户端向与客户端对应的服务器发送针对第三方服务端的信息获取请求,以使服务器将预先存储的第三方服务端对应的第一验证信息发送给客户端,第一验证信息是在服务器对应的业务方与第三方服务端之间建立信任关系后,服务器根据第三方服务端的数字证书生成的;向第三方服务端发送用于验证第三方服务端业务合规性的验证请求,以使第三方服务端将数字证书发送给客户端;根据接收到的数字证书,生成第三方服务端对应的第二验证信息;根据第一验证信息以及第二验证信息,对第三方服务端进行业务合规性验证,并根据验证结果执行目标业务。

Description

一种业务执行方法、装置、存储介质及电子设备
技术领域
本说明书涉及互联网技术领域,尤其涉及一种业务执行方法、装置、存储介质及电子设备。
背景技术
随着互联网技术的快速发展,用户在执行诸如金融交易、理财等业务过程中的隐私以及财产安全也面临着越来越大的挑战,在用户通过应用客户端执行业务的过程中,由于客户端的服务器通常只支持一些基本业务,对于服务器不支持的业务往往需要借助第三方服务端在客户端中部署的第三方平台(如小程序)作为访问入口。
在数据传输的过程中,往往会采用诸如同态加密、多方安全计算等方式对数据进行加密,从而防止数据泄露。
而为了进一步确保业务平台的安全性,还需要对第三方服务端的真实性和安全性进行验证,才能保证从根本上避免数据安全隐患,然而,现有方法在客户端访问第三方平台时通常会将第三方服务端发送的数字证书转发给证书颁发机构,由证书颁发机构对第三方服务端进行验证并将验证结果下发给客户端,验证结果在证书颁发机构向客户端传输的过程中很容易被恶意用户篡改,使用户在不可信的业务平台中执行业务,严重影响了用户的隐私及财产安全。
因此,如何有效避免第三方服务端的验证结果被泄露以及被篡改的风险,以进一步保证用户的隐私及财产安全,是一个亟待解决的问题。
发明内容
本说明书提供一种业务执行方法、装置、存储介质及电子设备。以在客户端本地对第三方服务端的数字证书的安全性和有效性进行验证。
本说明书采用下述技术方案:
客户端向与所述客户端对应的服务器发送针对第三方服务端的信息获取请求,以使所述服务器根据所述信息获取请求,将预先存储的所述第三方服务端对应的第一验证信息发送给所述客户端,所述第一验证信息是在所述服务器对应的业务方与所述第三方服务端之间建立信任关系后,所述服务器根据所述第三方服务端的数字证书生成的;
向所述第三方服务端发送用于验证所述第三方服务端业务合规性的验证请求,以使所述第三方服务端根据所述验证请求,将所述第三方服务端的数字证书发送给所述客户端;
根据接收到的数字证书,生成所述第三方服务端对应的第二验证信息;
根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证,并根据得到的验证结果,执行目标业务。
可选地,在根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证之前,所述方法还包括:
将获取到的所述第一验证信息存储在安装有所述客户端的终端设备上所设置的安全环境中,所述安全环境包括:可信执行环境TEE;
根据接收到的数字证书,生成所述第三方服务端对应的第二验证信息,具体包括:
将接收到的数字证书传输至所述安全环境中,以在所述安全环境中生成所述第三方服务端对应的第二验证信息;
根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证,具体包括:
在所述安全环境中根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证。
可选地,向所述第三方服务端发送用于验证所述第三方服务端业务合规性的验证请求,以使所述第三方服务端根据所述验证请求,将所述第三方服务端的数字证书发送给所述客户端,具体包括:
向所述服务器发送所述信息获取请求,以使所述服务器通过预设的第一公钥,对所述第一验证信息进行加密,得到加密后第一验证信息;
根据预先存储在安装有所述客户端的终端设备中的第一私钥,对所述加密后第一验证信息进行解密,得到所述第一验证信息。
可选地,根据得到的验证结果,执行目标业务,具体包括:
通过预先存储在本地的第二私钥,对预设的通信密钥进行加密,得到加密后通信密钥,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;
将所述加密后通信密钥发送给所述第三方服务端,以使所述第三方服务端通过预先存储在本地的与所述第二私钥对应的第二公钥,对所述加密后通信密钥进行解密,得到所述通信密钥,并在查询出所述客户端发送的业务请求所对应的业务数据后,通过所述通信密钥对所述业务数据进行加密,以将加密后的业务数据发送给所述客户端,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的。
可选地,所述方法还包括:
接收所述第三方服务端发送的针对指定数据的数据获取请求;
根据获取到的第一验证信息以及预先存储在本地的第二私钥,生成第三验证信息,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;
将所述第三验证信息以及所述指定数据发送给所述第三方服务端,以使所述第三方服务端根据接收到的第二公钥以及预先存储在所述第三方服务端本地的数字证书,生成第四验证信息,根据所述第三验证信息以及所述第四验证信息对所述指定数据的数据来源进行验证,并在验证通过后基于所述指定数据执行业务,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的。
本说明书提供了一种业务执行方法,包括:
第三方服务端接收客户端发送的用于验证所述第三方服务端业务合规性的验证请求,所述验证请求是所述客户端在接收到所述第三方服务端对应的第一验证信息后向所述第三方服务端发送的,所述第一验证信息是所述客户端对应的服务器接收到所述客户端发送的信息获取请求后向所述客户端发送的,所述第一验证信息是在所述服务器对应的业务方与所述第三方服务端之间建立信任关系后,所述服务器根据所述第三方服务端的数字证书生成的;
根据所述验证请求,将所述第三方服务端的数字证书发送给所述客户端,以使所述客户端根据接收到的数字证书,生成所述第三方服务端对应的第二验证信息,以及,根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行验证,并根据得到的验证结果,执行目标业务。
可选地,所述方法还包括:
向所述客户端发送针对指定数据的数据获取请求,以使所述客户端根据获取到的第一验证信息以及预先存储在本地的第二私钥生成第三验证信息,并将所述第三验证信息以及所述指定数据发送给所述第三方服务端,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;
根据接收到的第二公钥以及预先存储在所述第三方服务端本地的数字证书,生成第四验证信息,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的;
根据所述第三验证信息以及所述第四验证信息,对所述指定数据的数据来源进行验证,并在验证通过后基于所述指定数据执行业务。
本说明书提供了一种业务执行装置,包括:
获取模块,向与客户端对应的服务器发送针对第三方服务端的信息获取请求,以使所述服务器根据所述信息获取请求,将预先存储的所述第三方服务端对应的第一验证信息发送给所述客户端,所述第一验证信息是在所述服务器对应的业务方与所述第三方服务端之间建立信任关系后,所述服务器根据所述第三方服务端的数字证书生成的;
发送模块,向所述第三方服务端发送用于验证所述第三方服务端业务合规性的验证请求,以使所述第三方服务端根据所述验证请求,将所述第三方服务端的数字证书发送给所述客户端;
生成模块,根据接收到的数字证书,生成所述第三方服务端对应的第二验证信息;
验证模块,根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证,并根据得到的验证结果,执行目标业务。
可选地,在根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证之前,所述获取模块还用于,将获取到的所述第一验证信息存储在安装有所述客户端的终端设备上所设置的安全环境中,所述安全环境包括:可信执行环境TEE;
所述生成模块具体用于,将接收到的数字证书传输至所述安全环境中,以在所述安全环境中生成所述第三方服务端对应的第二验证信息;
所述验证模块具体用于,在所述安全环境中根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证。
可选地,所述发送模块具体用于,向所述服务器发送所述信息获取请求,以使所述服务器通过预设的第一公钥,对所述第一验证信息进行加密,得到加密后第一验证信息;根据预先存储在安装有所述客户端的终端设备中的第一私钥,对所述加密后第一验证信息进行解密,得到所述第一验证信息。
可选地,所述验证模块具体用于,通过预先存储在本地的第二私钥,对预设的通信密钥进行加密,得到加密后通信密钥,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;将所述加密后通信密钥发送给所述第三方服务端,以使所述第三方服务端通过预先存储在本地的与所述第二私钥对应的第二公钥,对所述加密后通信密钥进行解密,得到所述通信密钥,并在查询出所述客户端发送的业务请求所对应的业务数据后,通过所述通信密钥对所述业务数据进行加密,以将加密后的业务数据发送给所述客户端,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的。
可选地,所述验证模块还用于,接收所述第三方服务端发送的针对指定数据的数据获取请求;根据获取到的第一验证信息以及预先存储在本地的第二私钥,生成第三验证信息,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;将所述第三验证信息以及所述指定数据发送给所述第三方服务端,以使所述第三方服务端根据接收到的第二公钥以及预先存储在所述第三方服务端本地的数字证书,生成第四验证信息,根据所述第三验证信息以及所述第四验证信息对所述指定数据的数据来源进行验证,并在验证通过后基于所述指定数据执行业务,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的。
本说明书提供了一种业务执行装置,包括:
发送模块,第三方服务端接收客户端发送的用于验证所述第三方服务端业务合规性的验证请求,所述验证请求是所述客户端在接收到所述第三方服务端对应的第一验证信息后向所述第三方服务端发送的,所述第一验证信息是所述客户端对应的服务器接收到所述客户端发送的信息获取请求后向所述客户端发送的,所述第一验证信息是在所述服务器对应的业务方与所述第三方服务端之间建立信任关系后,所述服务器根据所述第三方服务端的数字证书生成的;
验证模块,根据所述验证请求,将所述第三方服务端的数字证书发送给所述客户端,以使所述客户端根据接收到的数字证书,生成所述第三方服务端对应的第二验证信息,以及,根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行验证,并根据得到的验证结果,执行目标业务。
可选地,所述验证模块还用于,向所述客户端发送针对指定数据的数据获取请求,以使所述客户端根据获取到的第一验证信息以及预先存储在本地的第二私钥生成第三验证信息,并将所述第三验证信息以及所述指定数据发送给所述第三方服务端,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;根据接收到的第二公钥以及预先存储在所述第三方服务端本地的数字证书,生成第四验证信息,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的;根据所述第三验证信息以及所述第四验证信息,对所述指定数据的数据来源进行验证,并在验证通过后基于所述指定数据执行业务。
本说明书提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述业务执行方法。
本说明书提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述业务执行的方法。
本说明书采用的上述至少一个技术方案能够达到以下有益效果:
在本说明书提供的业务执行方法中,客户端向与客户端对应的服务器发送针对第三方服务端的信息获取请求,以使服务器将预先存储的第三方服务端对应的第一验证信息发送给客户端,第一验证信息是在服务器对应的业务方与第三方服务端之间建立信任关系后,服务器根据第三方服务端的数字证书生成的;向第三方服务端发送用于验证第三方服务端业务合规性的验证请求,以使第三方服务端将数字证书发送给客户端;根据接收到的数字证书,生成第三方服务端对应的第二验证信息;根据第一验证信息以及第二验证信息,对第三方服务端进行业务合规性验证,并根据验证结果执行目标业务。
从上述方法可以看出,本方案对第三方服务端的业务合规性进行验证的过程中,客户端可以基于可信的服务器下发给客户端本地的验证信息,对第三服务端的数字证书进行验证,相比于目前通过证书颁发机构对第三方服务端进行验证再向客户端下发验证结果的方式,本方案可以避免验证结果在传输过程中被恶意用户篡改的风险,保证了用户的隐私及财产安全。
附图说明
此处所说明的附图用来提供对本说明书的进一步理解,构成本说明书的一部分,本说明书的示意性实施例及其说明用于解释本说明书,并不构成对本说明书的不当限定。在附图中:
图1为本说明书中提供的一种业务执行方法的流程示意图;
图2为本说明书中提供的一种客户端与第三方服务端之间的验证过程示意图;
图3为本说明书中提供的一种第三方服务端对数据来源进行验证的过程示意图;
图4为本说明书中提供的一种业务执行方法的流程示意图;
图5为本说明书提供的一种业务执行装置的示意图;
图6为本说明书提供的一种业务执行装置的示意图;
图7为本说明书提供的一种对应于图1或图4的电子设备示意图。
具体实施方式
为使本说明书的目的、技术方案和优点更加清楚,下面将结合本说明书具体实施例及相应的附图对本说明书技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本说明书保护的范围。
以下结合附图,详细说明本说明书各实施例提供的技术方案。
图1为本说明书中提供的一种业务执行方法的流程示意图,包括以下步骤:
S100:客户端向与所述客户端对应的服务器发送针对第三方服务端的信息获取请求,以使所述服务器根据所述信息获取请求,将预先存储的所述第三方服务端对应的第一验证信息发送给所述客户端,所述第一验证信息是在所述服务器对应的业务方与所述第三方服务端之间建立信任关系后,所述服务器根据所述第三方服务端的数字证书生成的。
超级应用程序(Application,APP)通常集成有多种第三方业务功能,并且拥有较为庞大的用户数量,在用户通过超级APP执行诸如交易、存款、借款以及证券交易等业务之前,往往需要客户端对第三方业务的服务端的业务合规性进行验证,以防止第三方服务端由于执行异常业务导致证书过期、证书被篡改或者用户访问假冒页面等情况,确保业务的安全性。
例如,在用户通过某交易平台的客户端执行证券交易时,需要在验明第三方(如券商平台的小程序)服务端业务合规的情况下,才允许用户通过客户端执行证券交易,以避免用户的隐私及财产安全遭受侵害。
为了保证对第三方服务端验证结果的可靠性,本说明书提供了一种业务执行方法,通过在客户端本地的可信执行环境中对第三方服务端的业务合规性进行验证,避免了验证结果在传输过程中被恶意用户所篡改的风险。
在客户端对第三方服务端的业务合规性进行验证之前,可以通过隐私计算平台预先设置一组公私钥,包括第一私钥以及第一公钥,隐私计算平台可以将第一私钥发送给客户端,并存储在安装该客户端的终端设备上设置的安全环境中,将第一公钥发送给与客户端相关联的服务器,其中,业务合规性可以指第三方服务端的真实性和安全性。
其中,上述终端设备可以指手机、平板电脑、笔记本电脑以及台式电脑等指定设备,服务器可以指与客户端属于同一厂商的专门用于执行该客户端对应业务功能的第一方服务器。换句话说,服务器与客户端之间具有相互信任关系。
当用户通过客户端访问第三方页面时,客户端可以先向服务器发送信息获取请求,该信息获取请求可以是携带有终端设备所对应设备信息的初始化证书请求,服务器接收到该信息获取请求后,可以将第三方页面所对应第三方服务端的第一验证信息发送给客户端。
客户端获取到第一验证信息后,可以将该第一验证信息存储在终端设备上设置的安全环境中。
进一步的,服务器还可以根据客户端的软件开发工具包(Software DevelopmentKit,SDK),生成一对公私钥,包括第二私钥以及第二公钥,服务器可以将第二私钥发送给客户端并存储在终端设备的可信环境中,将第二公钥发送给第三方服务端。
需要说明的是,在服务器对应的业务方与第三方服务端之间建立信任关系(如双方进行签约)后,服务器可以获取第三方服务端对应的数字证书以及向第三方服务端发送第二公钥,之后服务器可以计算该数字证书的哈希值以生成关键信息的摘要,并将数字证书的哈希值作为第一验证信息进行存储。
在本说明书中,第三方服务端的数字证书可以指由数字证书颁发机构(Certificate Authority,CA)下发给所述第三方服务端的CA证书,其中可以包括网站证书、中间证书和根证书中的一种或多种。
另外,本说明书中所提到的安全环境可以是终端设备中设置的可信执行环境(Trusted Execution Environment,TEE),当然,也可以为其他安全环境,本说明书对此不做具体限定。
在服务器向客户端发送第一验证信息以及第二私钥的过程中,服务器可以通过第一公钥对该第一验证信息以及第二私钥进行加密,得到加密后第一验证信息以及加密后第二私钥,客户端在接收到加密后第一验证信息以及加密后第二私钥后,可以在安全环境中通过事先存储的第一私钥进行解密,得到解密后的第一验证信息以及第二私钥并存储在安全环境中。
S102:向所述第三方服务端发送用于验证所述第三方服务端业务合规性的验证请求,以使所述第三方服务端根据所述验证请求,将所述第三方服务端的数字证书发送给所述客户端。
S104:根据接收到的数字证书,生成所述第三方服务端对应的第二验证信息。
获取第一验证信息以及第二私钥后,客户端可以向第三方服务端发送用于验证第三方服务端业务合规性的验证请求,第三方服务端接收到该验证请求后,可以根据该验证请求,将自身的数字证书发送给客户端。
客户端接收到数字证书后,可以计算该数字证书对应的哈希值,作为第二验证信息,之后将第二验证信息存储在终端设备的安全环境中。
S106:根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证,并根据得到的验证结果,执行目标业务。
客户端可以根据第一验证信息以及第二验证信息,对第三方服务端进行业务合规性验证,若第一验证信息与第二验证信息相匹配,则说明第三方服务端具有合法性和真实性,此时第三方服务端通过验证,而若第一验证信息与第二验证信息不匹配,则第三方服务端无法通过验证,此时可以对第三方服务端执行拦截措施,如禁止访问第三方页面或者中断连接。
其中,当第一验证信息所对应的哈希值与第二验证信息所对应的哈希值相同时,客户端可以确定第一验证信息与第二验证信息相匹配。
当然,除了通过第一验证信息以及第二验证信息对第三方服务端进行验证之外,客户端还可以对第三方服务端的域名进行校验,并且在确定第三方服务端的域名为可信域名之后完成针对第三方服务端业务合规性的验证。
此外,客户端也可以不将第一验证信息、第二私钥以及第二验证信息存储在终端设备的安全环境中,而是存储在终端设备的内存等指定环境中,之后在内存中对第三方服务端进行验证。
进一步的,客户端可以通过预先存储在本地安全环境中的第二私钥,对预设的通信密钥进行加密,得到加密后通信密钥,之后将该加密后通信密钥发送给第三方服务端,该通信密钥用于对客户端与第三方服务端中间的通信数据进行加密。
其中,第三方服务端在向客户端发送数字证书时,可以创建一个随机数(第一随机数)发送给客户端,客户端在确定第三方客户端通过验证后,可以创建另一个随机数(第二随机数),之后客户端可以基于第一随机数以及第二随机数生成通信密钥。
第三方服务端接收到加密后通信密钥后,可以通过预先存储的第二公钥,对加密后通信密钥进行解密,得到解密后的通信密钥,之后第三方服务端可以基于该通信密钥对执行后续业务过程中产生的业务数据进行加密,并将加密后业务数据返回客户端。
客户端可以通过本地存储的通信密钥对加密后业务数据进行解密,当然,客户端也可以采用同样的方式对业务数据进行加密并返回第三方服务端。为了便于理解,本说明书提供了一种客户端与第三方服务端之间的验证过程示意图,如图2所示。
图2为本说明书中提供的一种客户端与第三方服务端之间的验证过程示意图。
其中,在用户访问第三方页面时,客户端可以向服务器发送针对第三方服务端的信息获取请求,服务器接收到信息获取请求后,向客户端发送加密后的第三方服务端数字证书的哈希值(第一验证信息)以及第二私钥。
之后客户端调用终端设备上TEE的存储接口,解密出第一验证信息以及第二私钥。在第三方页面向客户端发起http请求的同时,客户端向第三方服务端发送验证请求,第三方服务端接收到该验证请求后向客户端返回自身的数字证书以及第一随机数。
客户端接收到第三方服务端发送的数字证书后,计算出其对应的哈希值(第二验证信息)并与第一验证信息进行比对,若一致,则第三方服务端通过验证,此时客户端创建第二随机数,根据第一随机数以及第二随机数生成通信密钥,通过第二私钥对通信密钥进行加密,将加密后通信密钥发送给第三方服务端。
第三方服务端通过第二公钥对加密后通信密钥进行解密,若解密出原始的通信密钥,则基于该通信密钥加密后续的业务数据。
在实际执行业务的过程中,第三方服务端所执行的业务往往需要获取到部分重要数据,如涉及用户隐私或财产安全的账号、密码以及用户身份等信息,为了保证数据的可靠性,第三方服务端也可以在获取这些重要数据时对数据来源进行验证。
具体的,第三方服务端可以通过第三方页面向客户端发送针对指定数据的数据获取请求。
客户端接收到数据获取请求后,可以计算第一验证信息和第二私钥的哈希值,作为第三验证信息,并将指定数据以及第三验证信息发送给第三方服务端。
第三方服务端可以计算自身的数字证书和第二公钥的哈希值,作为第四验证信息,之后判断第三验证信息与第四验证信息是否匹配,若是,则说明数据来源为客户端,获取到的指定数据为可信数据,此时第三方服务端可以基于获取到的指定数据执行后续业务。
为了便于理解,本说明书提供了一种第三方服务端对数据来源进行验证的过程示意图,如图3所示。
图3为本说明书中提供的一种第三方服务端对数据来源进行验证的过程示意图。
其中,第三方服务端可以通过第三方页面向客户端发送数据获取请求,客户端接收到数据获取请求后,可以向终端设备的TEE请求第一验证信息(数字证书的哈希值)以及第二私钥,客户端可以在TEE中计算第一验证信息和第二私钥的哈希值,得到第三验证信息,并将其发送到第三方服务端。
第三方服务端计算自身的数字证书和预先存储的第二公钥的哈希值作为第四验证信息,并判断第三验证信息与第四验证信息是否匹配。若匹配,则客户端通过验证,第三方服务端向客户端返回验证通过结果,客户端将验证结果返回第三方页面,以使第三方服务端根据获取到的指定数据执行后续业务。
需要说明的是,上述客户端与第三方服务端之间的验证过程与第三方服务端对数据来源进行验证的过程可以为不同业务场景下的业务,在这种情况下,客户端需要重新从服务器获取第三方服务端的第一验证信息。
以上为从客户端的角度出发,对本说明书中提供的一种业务执行方法进行说明,为了便于理解,以下将从第三方服务端的角度出发,对本说明书中提供的一种业务执行方法进行说明,如图4所示。
图4为本说明书中提供的一种业务执行方法的流程示意图,包括以下步骤:
S400:通过预先存储在本地的第二私钥,对预设的通信密钥进行加密,得到加密后通信密钥,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的。
S402:将所述加密后通信密钥发送给所述第三方服务端,以使所述第三方服务端通过预先存储在本地的与所述第二私钥对应的第二公钥,对所述加密后通信密钥进行解密,得到所述通信密钥,并在查询出所述客户端发送的业务请求所对应的业务数据后,通过所述通信密钥对所述业务数据进行加密,以将加密后的业务数据发送给所述客户端,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的。
从上述方法可以看出,本方案可以严格校验第三方服务端证书身份,同时让第三方平台严格校验客户端身份,对于交易的安全性是非常有必要的。将机密的哈希值存储至TEE中,可以有效地防止中间人攻击,避免虚假交易等风险。
以上为本说明书的一个或多个实施业务执行方法,基于同样的思路,本说明书还提供了相应的业务执行装置,如图5或图6所示。
图5为本说明书提供的一种业务执行装置的示意图,包括:
获取模块500,用于向与所述客户端对应的服务器发送针对第三方服务端的信息获取请求,以使所述服务器根据所述信息获取请求,将预先存储的所述第三方服务端对应的第一验证信息发送给所述客户端,所述第一验证信息是在所述服务器对应的业务方与所述第三方服务端之间建立信任关系后,所述服务器根据所述第三方服务端的数字证书生成的;
发送模块502,用于向所述第三方服务端发送用于验证所述第三方服务端业务合规性的验证请求,以使所述第三方服务端根据所述验证请求,将所述第三方服务端的数字证书发送给所述客户端;
生成模块504,用于根据接收到的数字证书,生成所述第三方服务端对应的第二验证信息;
验证模块506,用于根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证,并根据得到的验证结果,执行目标业务。
可选地,在根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证之前,所述获取模块500还用于,将获取到的所述第一验证信息存储在安装有所述客户端的终端设备上所设置的安全环境中,所述安全环境包括:可信执行环境TEE;
所述生成模块504具体用于,将接收到的数字证书传输至所述安全环境中,以在所述安全环境中生成所述第三方服务端对应的第二验证信息;
所述验证模块506具体用于,在所述安全环境中根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证。
可选地,所述发送模块502具体用于,向所述服务器发送所述信息获取请求,以使所述服务器通过预设的第一公钥,对所述第一验证信息进行加密,得到加密后第一验证信息;根据预先存储在安装有所述客户端的终端设备中的第一私钥,对所述加密后第一验证信息进行解密,得到所述第一验证信息。
可选地,所述验证模块506具体用于,通过预先存储在本地的第二私钥,对预设的通信密钥进行加密,得到加密后通信密钥,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;将所述加密后通信密钥发送给所述第三方服务端,以使所述第三方服务端通过预先存储在本地的与所述第二私钥对应的第二公钥,对所述加密后通信密钥进行解密,得到所述通信密钥,并在查询出所述客户端发送的业务请求所对应的业务数据后,通过所述通信密钥对所述业务数据进行加密,以将加密后的业务数据发送给所述客户端,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的。
可选地,所述验证模块506还用于,接收所述第三方服务端发送的针对指定数据的数据获取请求;根据获取到的第一验证信息以及预先存储在本地的第二私钥,生成第三验证信息,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;将所述第三验证信息以及所述指定数据发送给所述第三方服务端,以使所述第三方服务端根据接收到的第二公钥以及预先存储在所述第三方服务端本地的数字证书,生成第四验证信息,根据所述第三验证信息以及所述第四验证信息对所述指定数据的数据来源进行验证,并在验证通过后基于所述指定数据执行业务,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的。
图6为本说明书提供的一种业务执行装置的示意图,包括:
发送模块600,用于第三方服务端接收客户端发送的用于验证所述第三方服务端业务合规性的验证请求,所述验证请求是所述客户端在接收到所述第三方服务端对应的第一验证信息后向所述第三方服务端发送的,所述第一验证信息是所述客户端对应的服务器接收到所述客户端发送的信息获取请求后向所述客户端发送的,所述第一验证信息是在所述服务器对应的业务方与所述第三方服务端之间建立信任关系后,所述服务器根据所述第三方服务端的数字证书生成的;
验证模块602,用于根据所述验证请求,将所述第三方服务端的数字证书发送给所述客户端,以使所述客户端根据接收到的数字证书,生成所述第三方服务端对应的第二验证信息,以及,根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行验证,并根据得到的验证结果,执行目标业务。
可选地,所述验证模块602还用于,向所述客户端发送针对指定数据的数据获取请求,以使所述客户端根据获取到的第一验证信息以及预先存储在本地的第二私钥生成第三验证信息,并将所述第三验证信息以及所述指定数据发送给所述第三方服务端,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;根据接收到的第二公钥以及预先存储在所述第三方服务端本地的数字证书,生成第四验证信息,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的;根据所述第三验证信息以及所述第四验证信息,对所述指定数据的数据来源进行验证,并在验证通过后基于所述指定数据执行业务。
本说明书还提供了一种计算机可读存储介质,该存储介质存储有计算机程序,计算机程序可用于执行上述图1或图4提供的一种业务执行方法。
本说明书还提供了图7所示的一种对应于图1或图4的电子设备的示意结构图。如图7所述,在硬件层面,该电子设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,以实现上述图1或图4所述的业务执行方法。当然,除了软件实现方式之外,本说明书并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本说明书的实施例可提供为方法、系统、或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本说明书的实施例可提供为方法、系统或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本说明书的实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。

Claims (16)

1.一种业务执行方法,包括:
客户端向与所述客户端对应的服务器发送针对第三方服务端的信息获取请求,以使所述服务器根据所述信息获取请求,将预先存储的所述第三方服务端对应的第一验证信息发送给所述客户端,所述第一验证信息是在所述服务器对应的业务方与所述第三方服务端之间建立信任关系后,所述服务器根据所述第三方服务端的数字证书生成的;
向所述第三方服务端发送用于验证所述第三方服务端业务合规性的验证请求,以使所述第三方服务端根据所述验证请求,将所述第三方服务端的数字证书发送给所述客户端;
根据接收到的数字证书,生成所述第三方服务端对应的第二验证信息;
根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证,并根据得到的验证结果,执行目标业务。
2.如权利要求1所述的方法,在根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证之前,所述方法还包括:
将获取到的所述第一验证信息存储在安装有所述客户端的终端设备上所设置的安全环境中,所述安全环境包括:可信执行环境TEE;
根据接收到的数字证书,生成所述第三方服务端对应的第二验证信息,具体包括:
将接收到的数字证书传输至所述安全环境中,以在所述安全环境中生成所述第三方服务端对应的第二验证信息;
根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证,具体包括:
在所述安全环境中根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证。
3.如权利要求1所述的方法,向所述第三方服务端发送用于验证所述第三方服务端业务合规性的验证请求,以使所述第三方服务端根据所述验证请求,将所述第三方服务端的数字证书发送给所述客户端,具体包括:
向所述服务器发送所述信息获取请求,以使所述服务器通过预设的第一公钥,对所述第一验证信息进行加密,得到加密后第一验证信息;
根据预先存储在安装有所述客户端的终端设备中的第一私钥,对所述加密后第一验证信息进行解密,得到所述第一验证信息。
4.如权利要求1所述的方法,根据得到的验证结果,执行目标业务,具体包括:
通过预先存储在本地的第二私钥,对预设的通信密钥进行加密,得到加密后通信密钥,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;
将所述加密后通信密钥发送给所述第三方服务端,以使所述第三方服务端通过预先存储在本地的与所述第二私钥对应的第二公钥,对所述加密后通信密钥进行解密,得到所述通信密钥,并在查询出所述客户端发送的业务请求所对应的业务数据后,通过所述通信密钥对所述业务数据进行加密,以将加密后的业务数据发送给所述客户端,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的。
5.如权利要求1所述的方法,所述方法还包括:
接收所述第三方服务端发送的针对指定数据的数据获取请求;
根据获取到的第一验证信息以及预先存储在本地的第二私钥,生成第三验证信息,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;
将所述第三验证信息以及所述指定数据发送给所述第三方服务端,以使所述第三方服务端根据接收到的第二公钥以及预先存储在所述第三方服务端本地的数字证书,生成第四验证信息,根据所述第三验证信息以及所述第四验证信息对所述指定数据的数据来源进行验证,并在验证通过后基于所述指定数据执行业务,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的。
6.一种业务执行方法,包括:
第三方服务端接收客户端发送的用于验证所述第三方服务端业务合规性的验证请求,所述验证请求是所述客户端在接收到所述第三方服务端对应的第一验证信息后向所述第三方服务端发送的,所述第一验证信息是所述客户端对应的服务器接收到所述客户端发送的信息获取请求后向所述客户端发送的,所述第一验证信息是在所述服务器对应的业务方与所述第三方服务端之间建立信任关系后,所述服务器根据所述第三方服务端的数字证书生成的;
根据所述验证请求,将所述第三方服务端的数字证书发送给所述客户端,以使所述客户端根据接收到的数字证书,生成所述第三方服务端对应的第二验证信息,以及,根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行验证,并根据得到的验证结果,执行目标业务。
7.如权利要求6所述的方法,所述方法还包括:
向所述客户端发送针对指定数据的数据获取请求,以使所述客户端根据获取到的第一验证信息以及预先存储在本地的第二私钥生成第三验证信息,并将所述第三验证信息以及所述指定数据发送给所述第三方服务端,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;
根据接收到的第二公钥以及预先存储在所述第三方服务端本地的数字证书,生成第四验证信息,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的;
根据所述第三验证信息以及所述第四验证信息,对所述指定数据的数据来源进行验证,并在验证通过后基于所述指定数据执行业务。
8.一种业务执行装置,包括:
获取模块,向与客户端对应的服务器发送针对第三方服务端的信息获取请求,以使所述服务器根据所述信息获取请求,将预先存储的所述第三方服务端对应的第一验证信息发送给所述客户端,所述第一验证信息是在所述服务器对应的业务方与所述第三方服务端之间建立信任关系后,所述服务器根据所述第三方服务端的数字证书生成的;
发送模块,向所述第三方服务端发送用于验证所述第三方服务端业务合规性的验证请求,以使所述第三方服务端根据所述验证请求,将所述第三方服务端的数字证书发送给所述客户端;
生成模块,根据接收到的数字证书,生成所述第三方服务端对应的第二验证信息;
验证模块,根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证,并根据得到的验证结果,执行目标业务。
9.如权利要求8所述的业务执行装置,在根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证之前,所述获取模块还用于,将获取到的所述第一验证信息存储在安装有所述客户端的终端设备上所设置的安全环境中,所述安全环境包括:可信执行环境TEE;
所述生成模块具体用于,将接收到的数字证书传输至所述安全环境中,以在所述安全环境中生成所述第三方服务端对应的第二验证信息;
所述验证模块具体用于,在所述安全环境中根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行业务合规性验证。
10.如权利要求8所述的业务执行装置,所述发送模块具体用于,向所述服务器发送所述信息获取请求,以使所述服务器通过预设的第一公钥,对所述第一验证信息进行加密,得到加密后第一验证信息;根据预先存储在安装有所述客户端的终端设备中的第一私钥,对所述加密后第一验证信息进行解密,得到所述第一验证信息。
11.如权利要求8所述的业务执行装置,所述验证模块具体用于,通过预先存储在本地的第二私钥,对预设的通信密钥进行加密,得到加密后通信密钥,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;将所述加密后通信密钥发送给所述第三方服务端,以使所述第三方服务端通过预先存储在本地的与所述第二私钥对应的第二公钥,对所述加密后通信密钥进行解密,得到所述通信密钥,并在查询出所述客户端发送的业务请求所对应的业务数据后,通过所述通信密钥对所述业务数据进行加密,以将加密后的业务数据发送给所述客户端,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的。
12.如权利要求8所述的业务执行装置,所述验证模块还用于,接收所述第三方服务端发送的针对指定数据的数据获取请求;根据获取到的第一验证信息以及预先存储在本地的第二私钥,生成第三验证信息,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;将所述第三验证信息以及所述指定数据发送给所述第三方服务端,以使所述第三方服务端根据接收到的第二公钥以及预先存储在所述第三方服务端本地的数字证书,生成第四验证信息,根据所述第三验证信息以及所述第四验证信息对所述指定数据的数据来源进行验证,并在验证通过后基于所述指定数据执行业务,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的。
13.一种业务执行装置,包括:
发送模块,第三方服务端接收客户端发送的用于验证所述第三方服务端业务合规性的验证请求,所述验证请求是所述客户端在接收到所述第三方服务端对应的第一验证信息后向所述第三方服务端发送的,所述第一验证信息是所述客户端对应的服务器接收到所述客户端发送的信息获取请求后向所述客户端发送的,所述第一验证信息是在所述服务器对应的业务方与所述第三方服务端之间建立信任关系后,所述服务器根据所述第三方服务端的数字证书生成的;
验证模块,根据所述验证请求,将所述第三方服务端的数字证书发送给所述客户端,以使所述客户端根据接收到的数字证书,生成所述第三方服务端对应的第二验证信息,以及,根据所述第一验证信息以及所述第二验证信息,对所述第三方服务端进行验证,并根据得到的验证结果,执行目标业务。
14.如权利要求13所述的业务执行装置,所述验证模块还用于,向所述客户端发送针对指定数据的数据获取请求,以使所述客户端根据获取到的第一验证信息以及预先存储在本地的第二私钥生成第三验证信息,并将所述第三验证信息以及所述指定数据发送给所述第三方服务端,所述第二私钥是所述服务器根据所述客户端的客户端信息生成并发送给所述客户端的;根据接收到的第二公钥以及预先存储在所述第三方服务端本地的数字证书,生成第四验证信息,所述第二公钥是所述服务器根据所述客户端信息生成并发送给所述第三方服务端的;根据所述第三验证信息以及所述第四验证信息,对所述指定数据的数据来源进行验证,并在验证通过后基于所述指定数据执行业务。
15.一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述权利要求1~7任一项所述的方法。
16.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述权利要求1~7任一项所述的方法。
CN202311295450.3A 2023-10-08 2023-10-08 一种业务执行方法、装置、存储介质及电子设备 Pending CN117436875A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311295450.3A CN117436875A (zh) 2023-10-08 2023-10-08 一种业务执行方法、装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311295450.3A CN117436875A (zh) 2023-10-08 2023-10-08 一种业务执行方法、装置、存储介质及电子设备

Publications (1)

Publication Number Publication Date
CN117436875A true CN117436875A (zh) 2024-01-23

Family

ID=89550645

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311295450.3A Pending CN117436875A (zh) 2023-10-08 2023-10-08 一种业务执行方法、装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN117436875A (zh)

Similar Documents

Publication Publication Date Title
KR102074116B1 (ko) 블록체인 노드 통신 방법 및 장치
CN111401902B (zh) 基于区块链的业务处理方法、业务处理方法、装置及设备
CN111814198B (zh) 一种基于区块链的用户隐私数据提供方法及装置
CN111680305B (zh) 一种基于区块链的数据处理方法、装置及设备
US9875368B1 (en) Remote authorization of usage of protected data in trusted execution environments
CN110222531B (zh) 一种访问数据库的方法、系统及设备
CN110035052B (zh) 一种查看历史交易信息的方法、装置及电子设备
CN106899571B (zh) 信息交互方法及装置
TW201923640A (zh) 業務授權的方法、裝置及設備
WO2023143037A1 (zh) 密钥管理和业务处理
CN111461883A (zh) 一种基于区块链的交易处理方法、装置和电子设备
EP3945695B1 (en) Method, apparatus, and device for processing blockchain data
CN113239853B (zh) 一种基于隐私保护的生物识别方法、装置及设备
CN113918982B (zh) 一种基于标识信息的数据处理方法及系统
CN111600882A (zh) 一种基于区块链的账户密码管理方法、装置及电子设备
CN113127818A (zh) 一种基于区块链的数据授权方法、装置及可读存储介质
US20240113898A1 (en) Secure Module and Method for App-to-App Mutual Trust Through App-Based Identity
CN112948789B (zh) 身份认证方法及装置、存储介质及电子设备
CN117436875A (zh) 一种业务执行方法、装置、存储介质及电子设备
CN112784249A (zh) 实现无标识情形下进行移动终端认证处理的方法、系统、处理器及其计算机可读存储介质
CN115996126B (zh) 信息交互方法、应用设备、辅助平台及电子设备
CN116455657A (zh) 服务提供方法、装置、设备及系统
CN116318981A (zh) 颁发可验证声明的方法和用户设备
CN115438352A (zh) 数据处理方法、装置、设备和存储介质
CN117094014A (zh) 一种业务处理方法、装置、存储介质及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination