一种网关认证方法、业务系统认证方法及网关认证系统与流程

1.本技术涉及网关技术领域，具体而言，涉及一种网关认证方法、业务系统认证方法及网关安全认证系统。


背景技术：

2.常用的系统认证方式是，服务方给调用方发放认证许可，调用方每次携带此认证许可进行业务交互。服务方对相关许可进行验真，即为安全认证。此方式一旦被非法入侵者截获业务数据，并分析出相关身份验证许可数据，则会伪造相关数据机型业务信息的交互，从而造成业务数据的泄漏。


技术实现要素：

3.本技术实施例的目的在于提供一种网关认证方法、业务系统认证方法及网关安全认证系统，采用基于第三方的异步认证方式，并配合临时令牌的时效性，降低了数据泄漏的风险，解决了现有方法容易造成业务数据泄漏的问题。
4.本技术实施例提供了一种网关认证方法，应用于认证服务平台，所述方法包括：
5.接收客户端发送的身份认证请求；
6.对所述身份认证请求进行匹配，并在匹配成功后生成临时令牌，存储所述临时令牌并将所述临时令牌发送至所述客户端，以使所述客户端向业务系统发送携带有所述临时令牌的接口调用请求；
7.接收所述业务系统发送的令牌验证请求；
8.根据所述令牌验证请求对所述客户端进行接口鉴权并向所述业务系统返回校验标识。
9.在上述实现过程中，认证服务平台作为第三方平台，提供了统一的认证平台，对身份令牌进行统一管理和发放，降低了身份令牌泄漏的风险，提高了数据安全性，并且基于临时令牌的时效性，进一步增加了数据的安全性，解决了现有方法容易造成业务数据泄漏的问题。
10.进一步地，所述身份认证请求包括秘钥和系统编码；在所述接收客户端发送的身份认证请求的步骤之前，所述方法还包括：
11.接收客户端发送的接口使用请求；
12.将所述接口的访问秘钥发送至所述客户端。
13.在上述实现过程中，客户端通过在认证服务平台进行注册来获取秘钥，为后续调用接口时进行身份验证提供支撑。
14.进一步地，所述根据所述令牌验证请求对所述客户端进行接口鉴权并向所述业务系统返回校验标识，包括：
15.获取所述令牌验证请求中的临时令牌、系统编码和当前请求所要访问的业务接口；
16.对所述临时令牌的有效性进行校验，并判断所述客户端是否具有访问所述业务接口的权限；
17.若所述临时令牌有效且具有访问所述业务接口的权限，则返回验证通过标识；
18.否则，返回验证不通过标识和提示信息。
19.在上述实现过程中，通过临时令牌来对客户端调用的业务接口进行鉴权，并且临时令牌具有时效性，通过定期更换临时令牌，即使非法入侵者获得临时令牌也无法长期使用，最大限度的增加了系统的安全性。
20.本技术实施例还提供一种业务系统的认证方法，所述方法包括：
21.接收客户端发送的接口调用请求；
22.获取所述接口调用请求中的临时令牌、系统编码和当前请求所要访问的业务接口；
23.根据所述临时令牌、系统编码和所述业务接口生成令牌验证请求并发送至认证服务平台；
24.接收所述认证服务平台返回的验证标识。
25.在上述实现过程中，业务系统在接收到客户端的接口调用请求后，会先验证客户端的身份和当前请求所要访问的业务接口，若两者均满足要求，方会通过验证，从而提高了业务数据交互的安全性。
26.进一步地，所述方法还包括：
27.接收所述业务系统发送的数据来源校验请求；
28.根据所述数据来源校验请求发送对应的验证结果至所述业务系统。
29.在上述实现过程中，在通过业务接口进行业务数据交互之前，还会对数据来源进行校验，确定请求是否来自网关，以防止有非法请求绕过网关直接请求业务服务系统。
30.本技术实施例还提供一种网关认证装置，应用于认证服务平台，所述装置包括：
31.第一接收模块，用于接收客户端发送的身份认证请求；
32.匹配模块，用于对所述身份认证请求进行匹配，并在匹配成功后生成临时令牌，存储所述临时令牌并将所述临时令牌发送至所述客户端，以使所述客户端向业务系统发送携带有所述临时令牌的接口调用请求；
33.第二接收模块，用于接收所述业务系统发送的令牌验证请求；
34.校验模块，用于根据所述令牌验证请求对所述客户端进行接口鉴权并向所述业务系统返回校验标识。
35.在上述实现过程中，认证服务平台作为第三方平台，提供了统一的认证平台，对身份令牌进行统一管理和发放，降低了身份令牌泄漏的风险，提高了数据安全性，并且基于临时令牌的时效性，进一步增加了数据的安全性，解决了现有方法容易造成业务数据泄漏的问题。
36.本技术实施例还提供一种业务系统的认证装置，应用于网关，所述装置包括：
37.请求接收模块，用于接收客户端发送的接口调用请求；
38.信息获取模块，用于获取所述接口调用请求中的临时令牌、系统编码和当前请求所要访问的业务接口；
39.请求发送模块，用于根据所述临时令牌、系统编码和所述业务接口生成令牌验证
请求并发送至认证服务平台；
40.标识接收模块，用于接收所述认证服务平台返回的验证标识。
41.在上述实现过程中，业务系统在接收到客户端的接口调用请求后，会先验证客户端的身份和当前请求所要访问的业务接口，若两者均满足要求，方会通过验证，从而提高了业务数据交互的安全性。
42.本技术实施例还提供一种网关认证系统，所述系统包括：
43.认证服务平台，用于向所述客户端发送秘钥以完成身份注册，并在所述客户端调用业务接口时，凭借身份注册信息向所述客户端发放临时令牌；
44.业务系统，用于在接收到所述客户端调用业务接口请求后，向所述认证服务平台发送验证令牌请求，并在验证成功后，对接收到的业务数据来源进行校验，以确定所述业务数据是否来自于网关。
45.在上述实现过程中，采用异步验证的方式，将身份秘钥验证与业务信息分离，在身份验证后获取临时令牌，并通过临时令牌参与业务交互，保证了安全性，并且采用临时令牌的时效性，进一步增加了系统安全性，即采用基于第三方的异步认证方式，并配合临时令牌的时效性，降低了数据泄漏的风险，解决了现有方法容易造成业务数据泄漏的问题。
46.本技术实施例还提供一种电子设备，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使计算机设备执行上述中任一项所述的网关认证方法。
47.本技术实施例还提供一种可读存储介质，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行上述中任一项所述的网关认证方法。
附图说明
48.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
49.图1为本技术实施例提供的一种网关认证方法的流程图；
50.图2为本技术实施例提供的注册获取秘钥流程图；
51.图3为本技术实施例提供的验证令牌流程图；
52.图4为本技术实施例提供的业务系统的认证方法的流程图；
53.图5为本技术实施例提供的数据来源校验流程图；
54.图6为本技术实施例提供的网关认证装置的结构框图；
55.图7为本技术实施例提供的业务系统的认证装置的结构框图；
56.图8为本技术实施例提供的网关认证系统的结构框图；
57.图9为本技术实施例提供的网关的结构框图。
具体实施方式
58.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
59.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
60.实施例1
61.请参看图1，图1为本技术实施例提供的一种网关认证方法的流程图。该方法应用于认证服务平台，具体包括以下步骤：
62.步骤s100：接收客户端发送的身份认证请求；
63.认证服务平台作为第三方平台，在客户端与业务系统进行业务数据交互之前，需要客户端在该认证服务平台上进行身份注册和身份验证，在进行身份认证之前，还需要进行注册获取秘钥，如图2所示，为注册获取秘钥流程图，具体包括以下步骤：
64.步骤s111：接收客户端发送的接口使用请求；
65.步骤s112：将所述接口的访问秘钥发送至所述客户端。
66.认证服务平台的管理人员通过管理页面将业务系统的各个业务接口发布于认证服务平台，供客户端即外部系统调用和进行权限申请。客户端的管理人员，可以通过认证服务平台对已发布的业务接口进行使用申请，在申请获得批准后，认证服务平台可以通过邮件等方式或其他方式将该业务接口的访问秘钥发送至客户端的管理人员邮箱中，客户端管理人员将该秘钥配置于客户端对应配置文件中，用以后续系统身份验证，至此，注册获取秘钥功能结束。
67.步骤s200：对所述身份认证请求进行匹配，并在匹配成功后生成临时令牌，存储所述临时令牌并将所述临时令牌发送至所述客户端，以使所述客户端向业务系统发送携带有所述临时令牌的接口调用请求；
68.当客户端需要调用业务系统的业务接口时，首先需要在认证服务平台进行身份认证，并换取身份令牌。客户端需要使用预先配置好的秘钥以及客户端对应的系统编码进行身份验证。认证服务平台的令牌管理模块通过对客户端提供的秘钥以及系统编码进行配对匹配，匹配成功后，生成身份令牌进行落库存储并同步发送给持有秘钥的客户端。
69.需要说明的是，身份令牌采用临时令牌，认证服务平台将会对身份令牌进行定期更换。一旦业务信息被截获，非法入侵者获得临时令牌后，亦无法长期使用，因为临时令牌具有时效性，超过时效性的身份令牌即为非法令牌，如此操作，将最大限度的增加系统安全性。
70.步骤s300：接收所述业务系统发送的令牌验证请求；
71.步骤s400：根据所述令牌验证请求对所述客户端进行接口鉴权并向所述业务系统返回校验标识。
72.如图3所示，为验证令牌流程图，该步骤具体可以包括：
73.步骤s401：获取所述令牌验证请求中的临时令牌、系统编码和当前请求所要访问的业务接口；
74.步骤s402：对所述临时令牌的有效性进行校验，并判断所述客户端是否具有访问所述业务接口的权限；
75.步骤s403：若所述临时令牌有效且具有访问所述业务接口的权限，则返回验证通过标识；否则，返回验证不通过标识和提示信息。
76.客户端在获取到证明身份的临时令牌后，将临时令牌加入到业务访问请求中，并同时携带本系统的系统编码，临时令牌与系统编码将被添加到http请求的请求头信息中。
77.在客户端向业务系统发送接口调用请求后，等待业务系统给予对应返回数据，返回数据包括请求校验通过后的相关业务数据，或请求校验不通过的相关提示信息。
78.本技术实施例还提供一种业务系统的认证方法，应用于网关，如图4所示，为业务系统的认证方法的流程图，所述方法包括：
79.步骤s500：接收客户端发送的接口调用请求；
80.步骤s600：获取所述接口调用请求中的临时令牌、系统编码和当前请求所要访问的业务接口；
81.步骤s700：根据所述临时令牌、系统编码和所述业务接口生成令牌验证请求并发送至认证服务平台；
82.步骤s800：接收所述认证服务平台返回的验证标识。
83.在业务系统端，当业务系统的网关接收到接口调用请求的请求信息时，在请求头中截获本次请求所携带的临时令牌和系统编码，并获取当前请求所访问的业务接口，将临时令牌、系统编码和想要访问的业务接口生成令牌验证请求，发送到认证服务平台的令牌管理模块进行令牌有效性的校验，同时判断客户端(调用方)是否有访问当前业务接口的权限(即接口鉴权)。当两次判断都通过后，返回客户端校验通过标识，使得请求数据可以访问业务层相关接口。当其中任意一方判断不通过时，返回服务方校验不通过标识，且拒绝客户端的接口调用请求，并向调用方返回相关提示信息。
84.与此同时，对请求方与被请求方的数据做数据留存，用以后续系统间调用频率的数据查询。
85.将数据如调用方的调用时间、频率和调用数据等相关信息存储至被调用方即业务系统的日志文件中，由日志管理模块定期如t 1对日志文件进行提取、汇总和分析。进行数据留存的好处是，通过数据留存，可以分析业务系统乃至接口被外部哪些客户端使用，以及在某个时间段内的调用频率，用以后期对系统压力及相关信息进行分析。
86.通过接口发布以及对应客户端申请后的数据留存，可以分析出注册在认证服务平台的各个客户端间的关系，从而增加对客户端间关系的全局掌控。而且此部分是可以真实控制接口间访问的实际数据。
87.如图5所示，为数据来源校验流程图，该方法还包括：
88.步骤s901：接收所述业务系统发送的数据来源校验请求；
89.步骤s902：根据所述数据来源校验请求发送对应的验证结果至所述业务系统。
90.当客户端的接口调用请求通过网关的校验后，客户端将与业务接口对接，实现数据传输，在此之前，业务系统将会对数据来源进行校验，校验请求是否来自网关，以防止有非法请求绕过网关直接请求后方业务系统。
91.本技术实施例还提供一种网关认证装置，应用于认证服务平台，如图6所示，为网关认证装置的结构框图，所述装置包括：
92.第一接收模块100，用于接收客户端发送的身份认证请求；
93.匹配模块200，用于对所述身份认证请求进行匹配，并在匹配成功后生成临时令牌，存储所述临时令牌并将所述临时令牌发送至所述客户端，以使所述客户端向业务系统
发送携带有所述临时令牌的接口调用请求；
94.第二接收模块300，用于接收所述业务系统发送的令牌验证请求；
95.校验模块400，用于根据所述令牌验证请求对所述客户端进行接口鉴权并向所述业务系统返回校验标识。
96.该装置还包括注册模块110，用于接收客户端发送的接口使用请求；将所述接口的访问秘钥发送至所述客户端。
97.校验模块400包括：
98.校验信息获取模块401，用于获取所述令牌验证请求中的临时令牌、系统编码和当前请求所要访问的业务接口；
99.权限判断模块402，用于对所述临时令牌的有效性进行校验，并判断所述客户端是否具有访问所述业务接口的权限；
100.标识发送模块403，用于若所述临时令牌有效且具有访问所述业务接口的权限，则返回验证通过标识；否则，返回验证不通过标识和提示信息。
101.本技术实施例还提供一种业务系统的认证装置，应用于网关，如图7所示，为业务系统的认证装置的结构框图，所述装置包括：
102.请求接收模块500，用于接收客户端发送的接口调用请求；
103.信息获取模块600，用于获取所述接口调用请求中的临时令牌、系统编码和当前请求所要访问的业务接口；
104.请求发送模块700，用于根据所述临时令牌、系统编码和所述业务接口生成令牌验证请求并发送至认证服务平台；
105.标识接收模块800，用于接收所述认证服务平台返回的验证标识。
106.该装置还包括数据来源校验模块900，用于接收所述业务系统发送的数据来源校验请求；根据所述数据来源校验请求发送对应的验证结果至所述业务系统。
107.实施例2
108.本技术实施例提供一种网关认证系统，如图8所示，为网关认证系统的结构框图，所述系统包括：
109.认证服务平台，用于向所述客户端发送访问秘钥以完成身份注册，并在客户端调用业务接口时，凭借身份注册信息向所述客户端发放临时令牌；
110.认证服务平台即外部认证服务，作为第三方平台用于对外部系统(客户端)进行注册和身份认证。
111.认证服务平台可采用多点部署认证的方式。由于认证服务平台需要对接多个业务系统的业务交互，因此认证服务平台的压力将是所有对接业务系统的总和，如果全部对接进行认证，那系统压力是海量的，因此该系统对认证进行了分流的多点部署，业务系统或业务系统集可以自行部署自己的认证服务。认证服务部署成功后，只需在认证服务平台做相关配置。将负责认证的系统信息以及秘钥信息下发至认证服务，供后续客户端身份验证使用，从而减少集中的认证压力。
112.业务系统，用于在接收到所述客户端调用业务接口请求后，向所述认证服务平台发送验证令牌请求，并在验证成功后，对接收到的业务数据来源进行校验，以确定所述业务数据是否来自于网关。
113.此外，该系统还采用异步验证的方式。异步验证即将客户端的身份验证与业务信息相剥离开，单独做系统的身份验证后获取系统临时令牌，再由临时令牌参与到系统业务交互中。如此操作，即便系统身份验证的数据被截获，非法入侵者也不会知道截获的临时令牌参与到哪种业务交易中。
114.如图9所示，为网关的结构框图，该网关设置于业务系统，在业务系统的负载层之前设置网关，统一对流入系统的数据进行安全验证。具体地，该网关可以包括认证过滤模块、交互留痕模块和接口鉴权模块。
115.其中，认证过滤模块，用于对进入的外部请求进行身份验证并过滤。当认证访问请求为合法来源时，放行请求；当认证访问请求为非法来源时，拦截请求。该认证过滤模块主要是对外部请求对应的客户端本身进行校验，以确定该客户端为合法的外部请求方。
116.交互留痕模块，用以存储所有请求的交互数据，以便满足安全部门的相关要求，且留存信息至少包含请求端ip、请求url、请求时间等，且可根据需要进行设置，在此不再赘述。
117.接口鉴权模块，用于对外部请求的请求内容进行校验，即当前的请求方是否有权限访问业务系统的某个接口，在认证过滤模块认证通过后才会通过接口鉴权模块进行进一步地验证和鉴权。
118.对于该网关的具体认证过程在实施例1中已经描述，在此不再赘述。
119.本技术实施例还提供一种电子设备，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使计算机设备执行实施例1所述的网关认证方法。
120.本技术实施例还提供一种可读存储介质，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行实施例1所述的网关认证方法。
121.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
122.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
123.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。
而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
124.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
125.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。
126.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。