基于网关路由转发的加密通讯方法、装置、终端及存储介质与流程

1.本发明属于一种加密通讯方案，具体为一种基于网关路由转发的加密通讯方法、装置、终端及存储介质，涉及数据通信技术领域。


背景技术：

2.随着近年来银行系统的落地，数字化业务服务不断深入并逐渐代替传统作业流程，越来越多的、与银行业务密切相关的各类外部机构也逐步加入数字化大潮，由此，银行业务系统与外部机构业务系统间的对接日益频繁。
3.现有技术中，银行业务系统与外部机构业务系统间一对多的对接方式要求接口具有统一的对接标准。但是在实际的操作过程中，双方核心系统直接对接后，业务流程及需求会不断变更、调整，进而导致先前设定的接口及数据也需要随时进行适应性改变。考虑到银行系统的特殊性，开发、测试、生产系统等都基于自建机房的封闭环境，数据的保密级别、对系统版本的稳定性要求均较高，业务增长所带来的需求变动很难得到快速响应。另外，在对接不同的外部机构时，银行系统还存在流量管控需求，这也就使得银行系统在设计时，除了能够快速响应需求外，还具备灵活限流的功能。
4.除此之外，现有的银行系统在对接新的外部机构业务系统时，都需要提前预约环境，重新发送接口文档，对接完毕后开通相关的网络授权。但这种对接模式受到体制及环境限制，开发人员调试接口的成本非常之高，直接拉长了开发周期。
5.综上，如果能够提出一种全新的、基于网关路由转发的加密通讯方案，实现银行业务系统与外部机构业务系统间的灵活对接，并自由管控外部机构进件流量，那么必将极大地提升银行业务系统的稳定性，保证各项数字化业务的顺利开展。


技术实现要素：

6.鉴于现有技术存在上述缺陷，本发明的目的是提出一种基于网关路由转发的加密通讯方法、装置、终端及存储介质，具体如下。
7.一种基于网关路由转发的加密通讯方法，应用于银行业务系统及外部机构业务系统间，方法包括：
8.依据接口交互规则、从所述外部机构业务系统的业务接口处获取加密数据，所述接口交互规则通过采集所述外部机构业务系统的系统信息后依据所述系统信息生成；
9.进行签名验证操作，验证通过后建立所述银行业务系统与所述外部机构业务系统间的对接，对所述加密数据进行解密处理、得到解密数据并从中提取出渠道号；
10.根据数据流向执行对应作业，包括，
11.若所述数据流向为由所述银行系统至所述外部机构业务系统，获取外部机构列表，依据所述外部机构列表进行权重选择，筛选出本次分派的所述外部机构业务系统，对所述解密数据进行加密重组、形成二次加密数据并转发，
12.若所述数据流向为由所述外部机构业务系统至所述银行系统，通过所述渠道号查
询得到访问地址，校验访问方合法性，校验通过则对所述解密数据进行加密重组、形成二次加密数据并转发。
13.优选地，所述系统信息至少包括ip地址、端口号以及域名；
14.所述接口交互规则包括接口访问请求规则及数据加密规则，
15.所述接口访问请求规则为，获取接口约定报头，所述接口约定报头定时刷新，依据所述接口约定报头请求访问所述外部机构业务系统的业务接口，若连续多次请求失败，则提示异常，
16.所述数据加密规则至少包括数据传输方式、数据加密算法、数据公匙以及数据密匙。
17.优选地，所述依据所述外部机构列表进行权重选择，筛选出本次分派的所述外部机构业务系统，包括：
18.从所述外部机构列表中获取多个满足分派条件的外部机构标识，分别设置每个所述外部机构标识的权重；
19.依据权重选取所述外部机构标识，汇总形成机构池；
20.利用随机函数生成小于全部权重之和的任意整数，以该整数作为索引，从所述机构池中确定对应的所述外部机构标识；
21.依据所确定的所述外部机构标识，筛选出本次分派的所述外部机构业务系统。
22.一种基于网关路由转发的加密通讯装置，应用于银行业务系统及外部机构业务系统间，装置包括：
23.接口交互及数据获取模块，被配置为依据接口交互规则、从所述外部机构业务系统的业务接口处获取加密数据，所述接口交互规则通过采集所述外部机构业务系统的系统信息后依据所述系统信息生成；
24.系统对接及数据处理模块，被配置为进行签名验证操作，验证通过后建立所述银行业务系统与所述外部机构业务系统间的对接，对所述加密数据进行解密处理、得到解密数据并从中提取出渠道号；
25.业务处理模块，被配置为根据数据流向执行对应作业，包括，
26.出口方向业务处理单元，被配置为若所述数据流向为由所述银行系统至所述外部机构业务系统，获取外部机构列表，依据所述外部机构列表进行权重选择，筛选出本次分派的所述外部机构业务系统，对所述解密数据进行加密重组、形成二次加密数据并转发，
27.入口方向业务处理单元，被配置为若所述数据流向为由所述外部机构业务系统至所述银行系统，通过所述渠道号查询得到访问地址，校验访问方合法性，校验通过则对所述解密数据进行加密重组、形成二次加密数据并转发。
28.优选地，所述系统信息至少包括ip地址、端口号以及域名；
29.所述接口交互规则包括接口访问请求规则及数据加密规则，
30.所述接口访问请求规则为，获取接口约定报头，所述接口约定报头定时刷新，依据所述接口约定报头请求访问所述外部机构业务系统的业务接口，若连续多次请求失败，则提示异常，
31.所述数据加密规则至少包括数据传输方式、数据加密算法、数据公匙以及数据密匙。
32.优选地，所述出口方向业务处理单元，包括：
33.标识及权重获取子单元，被配置为从所述外部机构列表中获取多个满足分派条件的外部机构标识，分别设置每个所述外部机构标识的权重；
34.机构池形成子单元，被配置为依据权重选取所述外部机构标识，汇总形成机构池；
35.标识筛选确定子单元，被配置为利用随机函数生成小于全部权重之和的任意整数，以该整数作为索引，从所述机构池中确定对应的所述外部机构标识；
36.业务系统筛选子单元，被配置为依据所确定的所述外部机构标识，筛选出本次分派的所述外部机构业务系统。
37.一种终端，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上所述基于网关路由转发的加密通讯方法中的步骤。
38.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行所述计算机程序时实现如上所述基于网关路由转发的加密通讯方法中的步骤。
39.本发明的优点主要体现在以下几个方面：
40.本发明所提出的一种基于网关路由转发的加密通讯方法，通过网关路由的引入，使得全部的路由转发作业均由网关路由完成、外部机构对接数据结构由网关路由配置，外部机构间的对接排期不再单纯依赖于银行业务系统，最大限度地保证了银行业务系统的稳定。同时，本发明中的网关路由还能够实现限流及加密功能，不仅可以根据实际的业务需求灵活调配外部机构流量，而且也满足了银行方面对于数据传输安全性的要求。
41.与上述方法相对应的，本发明所提出的一种基于网关路由转发的加密通讯装置、终端及存储介质，能够以系统化、标准化的处理流程，高效且准确地实现对银行业务系统与外部机构业务系统间的数据传输，显著地提高了通讯过程中的安全性、持续性及稳定性。而且，本发明中硬件部分的适配性和兼容性较高，能够切实地应用于加密通讯场景中。
42.此外，本发明还为其他与加密通讯技术相关的方案提供了参考，可以以此为依据进行拓展延伸和深入研究，方案整体具有十分广阔的应用前景。
43.以下便结合实施例附图，对本发明的具体实施方式作进一步的详述，以使本发明技术方案更易于理解、掌握。
附图说明
44.构成本技术的一部分的附图用来提供对本技术的进一步理解，使得本技术的其它特征、目的和优点变得更明显。本技术的示意性实施例附图及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
45.图1为本发明实施例提供的一种基于网关路由转发的加密通讯方法的实现流程图；
46.图2为本发明实施例提供的一种基于网关路由转发的加密通讯装置的结构示意图；
47.图3为本发明实施例提供的终端的示意图。
具体实施方式
48.本发明揭示了一种基于网关路由转发的加密通讯方法、装置、终端及存储介质，具体方案如下。
49.一方面，本发明的一种基于网关路由转发的加密通讯方法，应用于银行业务系统及外部机构业务系统间，整体流程如图1所示，包括如下步骤。
50.s1、依据接口交互规则、从所述外部机构业务系统的业务接口处获取加密数据，所述接口交互规则通过采集所述外部机构业务系统的系统信息后依据所述系统信息生成。
51.在本实施例中，所述系统信息至少包括ip地址、端口号以及域名。
52.在本实施例中，所述接口交互规则包括接口访问请求规则及数据加密规则。
53.所述接口访问请求规则为，获取接口约定报头，所述接口约定报头定时刷新，依据所述接口约定报头请求访问所述外部机构业务系统的业务接口，若连续多次(此处优选为5次)请求失败，则提示异常；
54.所述数据加密规则至少包括数据传输方式(此处优选为json)、数据加密算法(此处优选为rsa加密算法)、数据公匙以及数据密匙。
55.s2、进行签名验证操作，验证通过后建立所述银行业务系统与所述外部机构业务系统间的对接，对所述加密数据进行解密处理、得到解密数据并从中提取出渠道号。
56.s3、根据数据流向执行对应作业。这一步骤可具体化为如下操作。
57.s31、若所述数据流向为由所述银行系统至所述外部机构业务系统，获取外部机构列表，依据所述外部机构列表进行权重选择，筛选出本次分派的所述外部机构业务系统，对所述解密数据进行加密重组、形成二次加密数据并转发。
58.此处所述依据所述外部机构列表进行权重选择，筛选出本次分派的所述外部机构业务系统，进一步包括：
59.s311、从所述外部机构列表中获取多个满足分派条件的外部机构标识，分别设置每个所述外部机构标识的权重；此处可记满足分派条件的外部机构标识为o＝{o0,o1,o2,
…
,on}，默认权重为{wg0,wg1,wg2,
…
,wgn}，权重之和为weightsum。
60.s312、依据权重选取所述外部机构标识，汇总形成机构池；此处具体为，声明一个机构池orglist，将wg0个o0加入orglist池子，将wg1个o1加入至orglist池子，依据此规则将全部的机构标识加入至orglist中。
61.s313、利用随机函数生成小于全部权重之和的任意整数，以该整数作为索引，从所述机构池中确定对应的所述外部机构标识；此处具体为，通过random()随机函数生成0到weightsum之间的任意整数，将该数字做为索引，从orglist中获取对应的机构标识。
62.s314、依据所确定的所述外部机构标识，筛选出本次分派的所述外部机构业务系统。
63.s32、若所述数据流向为由所述外部机构业务系统至所述银行系统，通过所述渠道号在网关数据库内进行查询、得到访问地址并以此作为白名单，利用路由网关所配置的路由规则校验访问方的合法性，校验通过则对所述解密数据进行加密重组、形成二次加密数据并转发至所述银行业务系统中。
64.本发明所提出的一种基于网关路由转发的加密通讯方法，通过网关路由的引入，使得全部的路由转发作业均由网关路由完成、外部机构对接数据结构由网关路由配置，外
部机构间的对接排期不再单纯依赖于银行业务系统，最大限度地保证了银行业务系统的稳定。同时，本发明中的网关路由还能够实现限流及加密功能，不仅可以根据实际的业务需求灵活调配外部机构流量，而且也满足了银行方面对于数据传输安全性的要求。
65.另一方面，一种基于网关路由转发的加密通讯装置，应用于银行业务系统及外部机构业务系统间，整体结构如图2所示，包括：
66.接口交互及数据获取模块，被配置为依据接口交互规则、从所述外部机构业务系统的业务接口处获取加密数据，所述接口交互规则通过采集所述外部机构业务系统的系统信息后依据所述系统信息生成；
67.系统对接及数据处理模块，被配置为进行签名验证操作，验证通过后建立所述银行业务系统与所述外部机构业务系统间的对接，对所述加密数据进行解密处理、得到解密数据并从中提取出渠道号；
68.业务处理模块，被配置为根据数据流向执行对应作业，包括，
69.出口方向业务处理单元，被配置为若所述数据流向为由所述银行系统至所述外部机构业务系统，获取外部机构列表，依据所述外部机构列表进行权重选择，筛选出本次分派的所述外部机构业务系统信息，对所述解密数据进行加密重组、形成二次加密数据并转发，
70.入口方向业务处理单元，被配置为若所述数据流向为由所述外部机构业务系统至所述银行系统，通过所述渠道号查询得到访问地址，校验访问方合法性，校验通过则对所述解密数据进行加密重组、形成二次加密数据并转发。
71.在一种可能的实现方式中，所述出口方向业务处理单元，包括：
72.标识及权重获取子单元，被配置为从所述外部机构列表中获取多个满足分派条件的外部机构标识，分别设置每个所述外部机构标识的权重；
73.机构池形成子单元，被配置为依据权重选取所述外部机构标识，汇总形成机构池；
74.标识筛选确定子单元，被配置为利用随机函数生成小于全部权重之和的任意整数，以该整数作为索引，从所述机构池中确定对应的所述外部机构标识；
75.业务系统筛选子单元，被配置为依据所确定的所述外部机构标识，筛选出本次分派的所述外部机构业务系统。
76.又一方面，本发明还涉及一种终端，终端结构如图3所示，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如前文中所述基于网关路由转发的加密通讯方法中的步骤，例如图1所示的步骤s1～s3。或者，处理器执行计算机程序时实现上述各装置实施例中各模块/单元的功能，例如图2所示的各模块/单元的功能。
77.再一方面，本发明还涉及一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行所述计算机程序时实现如前文中所述基于网关路由转发的加密通讯方法中的步骤。
78.其中，可读存储介质可以是计算机存储介质，也可以是通信介质。通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。计算机存储介质可以是通用或专用计算机能够存取的任何可用介质。例如，可读存储介质耦合至处理器，从而使处理器能够从该可读存储介质读取信息，且可向该可读存储介质写入信息。当然，可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(applicationspeci
ficintegratedcircuits，asic)中。另外，该asic可以位于用户设备中。当然，处理器和可读存储介质也可以作为分立组件存在于通信设备中。可读存储介质可以是只读存储器(rom)、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。
79.与上述方法内容相对应的，本发明所提出的一种基于网关路由转发的加密通讯装置、终端及存储介质，能够以系统化、标准化的处理流程，高效且准确地实现对银行业务系统与外部机构业务系统间的数据传输，显著地提高了通讯过程中的安全性、持续性及稳定性。而且，本发明中硬件部分的适配性和兼容性较高，能够切实地应用于加密通讯场景中。
80.此外，本发明还为其他与加密通讯技术相关的方案提供了参考，可以以此为依据进行拓展延伸和深入研究，方案整体具有十分广阔的应用前景。
81.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神和基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。
82.最后，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。