信息系统通信方法、装置、计算机设备及介质与流程

1.本发明涉及数据处理领域，尤其涉及一种信息系统通信方法、装置、计算机设备及介质。


背景技术：

2.随着计算机通信技术的发展，越来越多的组织通过系统之间的集成，进行不同系统的信息快速访问，但不同信息系统遵循的通信标准可能存在不同，在遵循不同通信标准的系统之间，进行信息交互访问，容易出现未知的权限问题，导致存在访问安全隐患，例如一个高校用户把学生账户系统的信息同步到新星学习通系统，在两个系统之间存在一些不同的通信标准时，即便高校用户把学生账户系统保留到本地，让新星学习通系统通过高校本地的学生账户系统进行身份验证，都难以实现，比如新星学习通系统的登录机制基于mysql的某个表查询，只能把高校的学生账户导入到对应的mysql表中。再比如其他在线学习云平台，是基于oracle的某个表查询，又需要把高校的学生账户系统中的信息导入到oracle的某个表中。这样会导致学生账户系统完全失控，使得信息安全存在隐患。


技术实现要素：

3.本发明实施例提供一种信息系统通信方法、装置、计算机设备和存储介质，以提高信息系统通信的安全。
4.为了解决上述技术问题，本技术实施例提供一种信息系统通信方法，所述信息系统通信方法包括服务提供方执行的如下步骤：
5.在接收到客户端发送的信息访问请求时，生成基于安全断言标记语言的认证请求；
6.基于所述信息访问请求确定身份验证对应的统一资源定位符，并将所述客户端的访问重定向至所述统一资源定位符；
7.接收所述客户端输入的身份验证信息，并将所述认证请求和所述身份验证信息发送给身份提供方；
8.接收所述身份提供方基于所述安全断言标记语言的认证请求的响应信息；
9.对所述响应信息进行解析，并基于得到的解析结果对所述信息访问请求进行响应。
10.可选地，所述基于所述信息访问请求确定身份验证对应的统一资源定位符包括：
11.获取所述信息访问请求对应的信息来源地址，作为目标地址；
12.根据所述目标地址，确定所述信息访问请求对应的访问系统，并作为所述身份提供方；
13.获取所述身份提供方对应的身份验证地址，作为所述信息访问请求确定身份验证对应的统一资源定位符。
14.可选地，所述对所述响应信息进行解析包括：基于云计算和k8s容器编排的方式，
对所述响应信息进进行解析。
15.可选地，所述接收所述客户端输入的身份验证信息包括：
16.向所述客户端发送x.509证书验证请求；
17.接收所述客户端反馈的证书验证数据，作为所述身份验证信息。
18.为了解决上述技术问题，本技术实施例提供一种信息系统通信方法，所述信息系统通信方法包括身份提供方执行的如下步骤：
19.接收服务提供方发送的身份验证信息和基于安全断言标记语言的认证请求；
20.解析所述认证请求，并对所述身份验证信息进行验证；
21.基于验证结果生成所述基于所述安全断言标记语言的认证请求的响应信息；
22.将所述响应信息发送给所述服务提供方。
23.为了解决上述技术问题，本技术实施例还提供一种信息系统通信装置，所述信息系统通信装置包括服务提供方服务器，所述服务提供方服务器包括：
24.请求生成模块，用于在接收到客户端发送的信息访问请求时，生成基于安全断言标记语言的认证请求；
25.重定向模块，用于基于所述信息访问请求确定身份验证对应的统一资源定位符，并将所述客户端的访问重定向至所述统一资源定位符；
26.请求发送模块，用于接收所述客户端输入的身份验证信息，并将所述认证请求和所述身份验证信息发送给身份提供方；
27.响应接收模块，用于接收所述身份提供方基于所述安全断言标记语言的认证请求的响应信息；
28.响应解析模块，用于对所述响应信息进行解析，并基于得到的解析结果对所述信息访问请求进行响应。
29.可选地，所述重定向模块包括：
30.目标地址确定单元，用于获取所述信息访问请求对应的信息来源地址，作为目标地址；
31.身份提供方确定单元，用于根据所述目标地址，确定所述信息访问请求对应的访问系统，并作为所述身份提供方；
32.统一资源定位符确定单元，用于获取所述身份提供方对应的身份验证地址，作为所述信息访问请求确定身份验证对应的统一资源定位符。
33.可选地，所述请求发送模块包括：
34.证书验证请求发送单元，用于向所述客户端发送x.509证书验证请求；
35.验证信息提取单元，用于接收所述客户端反馈的证书验证数据，作为所述身份验证信息。
36.为了解决上述技术问题，本技术实施例还提供一种信息系统通信装置，所述信息系统通信装置包括身份提供方服务器，所述身份提供方服务器包括：
37.认证请求接收模块，用于接收服务提供方发送的身份验证信息和基于安全断言标记语言的认证请求；
38.认证请求验证模块，用于解析所述认证请求，并对所述身份验证信息进行验证；
39.响应信息生成模块，用于基于验证结果生成所述基于所述安全断言标记语言的认
证请求的响应信息；
40.响应信息发送模块，用于将所述响应信息发送给所述服务提供方。
41.为了解决上述技术问题，本技术实施例还提供一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述信息系统通信方法的步骤。
42.为了解决上述技术问题，本技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述信息系统通信方法的步骤。
43.本发明实施例提供的信息系统通信方法、装置、计算机设备及存储介质，通过服务提供方在接收到客户端发送的信息访问请求时，生成基于安全断言标记语言的认证请求，服务提供方基于信息访问请求确定身份验证对应的统一资源定位符，并将客户端的访问重定向至统一资源定位符，服务提供方接收客户端输入的身份验证信息，并将认证请求和身份验证信息发送给身份提供方，身份提供方接收服务提供方发送的身份验证信息和基于安全断言标记语言的认证请求，身份提供方解析认证请求，并对身份验证信息进行验证，身份提供方基于验证结果生成基于安全断言标记语言的认证请求的响应信息，身份提供方将响应信息发送给服务提供方，服务提供方接收身份提供方基于安全断言标记语言的认证请求的响应信息，服务提供方对响应信息进行解析，并基于得到的解析结果对信息访问请求进行响应，实现对服务提供方与身份提供方之前的快速通信认证，提高了通信的安全性。
附图说明
44.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
45.图1是本技术的应用环境示意图；
46.图2是本技术的信息系统通信方法的一个实施例的流程图；
47.图3是根据本技术的信息系统通信装置的一个实施例的结构示意图；
48.图4是根据本技术的计算机设备的一个实施例的结构示意图。
具体实施方式
49.除非另有定义，本文所使用的所有的技术和科学术语与属于本技术的技术领域的技术人员通常理解的含义相同；本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本技术；本技术的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。本技术的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。
50.在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本技术的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和
隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。
51.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
52.请参阅图1，图1示出本发明实施例提供的信息系统通信方法的应用环境。该信息系统通信方法应用在多个信息系统之间的通信场景中。该通信场景包括服务提供方服务器、身份提供方服务器和客户端，其中，服务提供方服务器和客户端之间、身份提供方服务器和客户端之间、服务提供方服务器和身份提供方服务器通过网络进行连接。客户端具体可以但不限于是手机、平板电脑、个人计算机(personal computer，pc)等智能终端设备，服务提供方服务器和身份提供方服务器具体可以用独立的服务器或者多个服务器组成的服务器集群实现。
53.该信息系统通信方法包括服务提供方执行的如下步骤：
54.在接收到客户端发送的信息访问请求时，生成基于安全断言标记语言的认证请求；
55.基于信息访问请求确定身份验证对应的统一资源定位符，并将客户端的访问重定向至统一资源定位符；
56.接收客户端输入的身份验证信息，并将认证请求和身份验证信息发送给身份提供方；
57.接收身份提供方基于安全断言标记语言的认证请求的响应信息；
58.对响应信息进行解析，并基于得到的解析结果对信息访问请求进行响应。
59.该信息系统通信方法包括身份提供方执行的如下步骤：
60.接收服务提供方发送的身份验证信息和基于安全断言标记语言的认证请求；
61.解析认证请求，并对身份验证信息进行验证；
62.基于验证结果生成基于安全断言标记语言的认证请求的响应信息；
63.将响应信息发送给服务提供方。
64.请参阅图2，图2示出本发明实施例提供的一种信息系统通信方法，详述如下：
65.s201：服务提供方在接收到客户端发送的信息访问请求时，生成基于安全断言标记语言的认证请求。
66.安全断言标记语言(security assertion markup language，简称saml)是一个基于xml的开源标准数据格式，它在当事方之间交换身份验证和授权数据，尤其是在身份提供者和服务提供者之间交换。这里saml有两个角色，服务提供方(sp，即service provider)和身份提供方(idp，即identity provider)，其中身份提供方是最关键的，它承担了跨域的单点登录，身份认证和授权的功能，目前有不少非常有实力的厂家，比如微软的ad fs就是saml的身份提供方，将ad账户系统和idp集成在一起，构成一个完整的跨域账户系统，统一身份认证和授权以及单点登录的saml解决方案。
67.s202：服务提供方基于信息访问请求确定身份验证对应的统一资源定位符，并将客户端的访问重定向至统一资源定位符。
68.进一步地，基于信息访问请求确定身份验证对应的统一资源定位符包括：
69.获取信息访问请求对应的信息来源地址，作为目标地址；
70.根据目标地址，确定信息访问请求对应的访问系统，并作为身份提供方；
71.获取身份提供方对应的身份验证地址，作为信息访问请求确定身份验证对应的统一资源定位符。
72.s203：服务提供方接收客户端输入的身份验证信息，并将认证请求和身份验证信息发送给身份提供方。
73.具体地，身份验证的方式包括但不限于basic认证、摘要认证和cookie认证等。
74.其中，basic认证是用户向服务器发起请求，服务器返回401代码(unauthorized)，弹出一个窗口，用户输入密码后，在http报文插入字段authorization:basic y291zg90onnly3jlda＝＝，basic后面就是base64加密的用户名:密码字符串。但是，用户名和密码字符串用base64在网络传输，容易使得密码被泄露，存在安全隐患。
75.其中，摘要认证比basic认证安全性高一点，同样是服务器返回401代码(unauthorized)，通过服务器产生的随机数和客户端产生的随机数来进行用户名密码的验证，解决了basic认证通过网络明文传输密码的问题。
76.其中，cookie认证的是指使用set-cookie报文进行认证。
77.优选的，本实施例采用x.509证书验证。
78.进一步地，接收客户端输入的身份验证信息包括：
79.向客户端发送x.509证书验证请求；
80.接收客户端反馈的证书验证数据，作为身份验证信息。
81.需要说明的是，在任何一方未安装x.509证书将无法建立通信连接，以确认通信安全，例如，云平台需要调用高校账户系统，可以使用数字证书来验证云平台的身份，不但安全，而可以有效减少攻击。
82.s204：身份提供方接收服务提供方发送的身份验证信息和基于安全断言标记语言的认证请求。
83.s205：身份提供方解析认证请求，并对身份验证信息进行验证。
84.其中，对身份验证信息进行验证包括权限验证和身份信息的验证，身份信息的验证包括验证是否存在该用户，主要可采用账号密码、生物特征等方式，而权限验证是在身份信息验证成功之后，判断该身份信息对应的信息系统是否具有访问权限。
85.s206：身份提供方基于验证结果生成基于安全断言标记语言的认证请求的响应信息。
86.具体地，身份提供方根据得到的验证结果，生成对认证请求的响应信息，其中，验证结果包括验证通过和验证不通过。
87.s207：身份提供方将响应信息发送给服务提供方。
88.s208：服务提供方接收身份提供方基于安全断言标记语言的认证请求的响应信息。
89.s209：服务提供方对响应信息进行解析，并基于得到的解析结果对信息访问请求进行响应。
90.进一步地，对响应信息进行解析包括：基于云计算和k8s容器编排的方式，对响应信息进进行解析。
91.本实施例中，进行身份认证授权针对的是信息系统，而不是客户端，因而落脚点还是在信息系统的负载上面，负载的本质是连接网络和信息系统，网络变成了云平台的云计算，信息系统开发基于k8s容器编排，等于负载连接的两头都发生了变化，有利于提高响应速度。
92.本实施例中，通过服务提供方在接收到客户端发送的信息访问请求时，生成基于安全断言标记语言的认证请求，服务提供方基于信息访问请求确定身份验证对应的统一资源定位符，并将客户端的访问重定向至统一资源定位符，服务提供方接收客户端输入的身份验证信息，并将认证请求和身份验证信息发送给身份提供方，身份提供方接收服务提供方发送的身份验证信息和基于安全断言标记语言的认证请求，身份提供方解析认证请求，并对身份验证信息进行验证，身份提供方基于验证结果生成基于安全断言标记语言的认证请求的响应信息，身份提供方将响应信息发送给服务提供方，服务提供方接收身份提供方基于安全断言标记语言的认证请求的响应信息，服务提供方对响应信息进行解析，并基于得到的解析结果对信息访问请求进行响应，实现对服务提供方与身份提供方之前的快速通信认证，提高了通信的安全性。
93.应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
94.图3示出与上述实施例信息系统通信方法一一对应的信息系统通信装置的原理框图。如图3所示，该信息系统通信装置包括服务提供方服务器，服务提供方服务器包括：请求生成模块311、重定向模块312、请求发送模块313、响应接收模块314和响应解析模块315。各功能模块详细说明如下：
95.请求生成模块311，用于在接收到客户端发送的信息访问请求时，生成基于安全断言标记语言的认证请求；
96.重定向模块312，用于基于信息访问请求确定身份验证对应的统一资源定位符，并将客户端的访问重定向至统一资源定位符；
97.请求发送模块313，用于接收客户端输入的身份验证信息，并将认证请求和身份验证信息发送给身份提供方；
98.响应接收模块314，用于接收身份提供方基于安全断言标记语言的认证请求的响应信息；
99.响应解析模块315，用于对响应信息进行解析，并基于得到的解析结果对信息访问请求进行响应。
100.可选地，重定向模块312包括：
101.目标地址确定单元，用于获取信息访问请求对应的信息来源地址，作为目标地址；
102.身份提供方确定单元，用于根据目标地址，确定信息访问请求对应的访问系统，并作为身份提供方；
103.统一资源定位符确定单元，用于获取身份提供方对应的身份验证地址，作为信息访问请求确定身份验证对应的统一资源定位符。
104.可选地，请求发送模块313包括：
105.证书验证请求发送单元，用于向客户端发送x.509证书验证请求；
106.验证信息提取单元，用于接收客户端反馈的证书验证数据，作为身份验证信息。
107.图3示出与上述实施例信息系统通信方法一一对应的信息系统通信装置的原理框图。如图3所示，该信息系统通信装置还包括身份提供方服务器，身份提供方服务器包括：认证请求接收模块321、认证请求验证模块322、响应信息生成模块323和响应信息发送模块324。各功能模块详细说明如下：
108.认证请求接收模块321，用于接收服务提供方发送的身份验证信息和基于安全断言标记语言的认证请求；
109.认证请求验证模块322，用于解析认证请求，并对身份验证信息进行验证；
110.响应信息生成模块323，用于基于验证结果生成基于安全断言标记语言的认证请求的响应信息；
111.响应信息发送模块324，用于将响应信息发送给服务提供方。
112.关于信息系统通信装置的具体限定可以参见上文中对于信息系统通信方法的限定，在此不再赘述。上述信息系统通信装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
113.为解决上述技术问题，本技术实施例还提供计算机设备。具体请参阅图4，图4为本实施例计算机设备基本结构框图。
114.所述计算机设备4包括通过系统总线相互通信连接存储器41、处理器42、网络接口43。需要指出的是，图中仅示出了具有组件连接存储器41、处理器42、网络接口43的计算机设备4，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。其中，本技术领域技术人员可以理解，这里的计算机设备是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(application specific integrated circuit，asic)、可编程门阵列(field－programmable gate array，fpga)、数字处理器(digital signal processor，dsp)、嵌入式设备等。
115.所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
116.所述存储器41至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，sd或d界面显示存储器等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘等。在一些实施例中，所述存储器41可以是所述计算机设备4的内部存储单元，例如该计算机设备4的硬盘或内存。在另一些实施例中，所述存储器41也可以是所述计算机设备4的外部存储设备，例如该计算机设备4上配备的插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)等。当然，所述存储器41还可以既包括所述计算机设备4的内部存储单元也包括其外部存储设备。本实施例中，所述存储器41通常用于存储安装于所述计算机设备4的操作系统和各类应用软件，例如电子文件的控制的程序代码等。此外，所述存储器41还可以用
于暂时地存储已经输出或者将要输出的各类数据。
117.所述处理器42在一些实施例中可以是中央处理器(central processing unit，cpu)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器42通常用于控制所述计算机设备4的总体操作。本实施例中，所述处理器42用于运行所述存储器41中存储的程序代码或者处理数据，例如运行数据访问的程序代码。
118.所述网络接口43可包括无线网络接口或有线网络接口，该网络接口43通常用于在所述计算机设备4与其他电子设备之间建立通信连接。
119.本技术还提供了另一种实施方式，即提供一种计算机可读存储介质，所述计算机可读存储介质存储有数据访问程序，所述数据访问程序可被至少一个处理器执行，以使所述至少一个处理器执行如上述的信息系统通信方法的步骤。
120.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本技术各个实施例所述的方法。
121.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本技术各个实施例所述的方法。
122.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本技术各个实施例所述的方法。
123.显然，以上所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例，附图中给出了本技术的较佳实施例，但并不限制本技术的专利范围。本技术可以以许多不同的形式来实现，相反地，提供这些实施例的目的是使对本技术的公开内容的理解更加透彻全面。尽管参照前述实施例对本技术进行了详细的说明，对于本领域的技术人员来而言，其依然可以对前述各具体实施方式所记载的技术方案进行修改，或者对其中部分技术特征进行等效替换。凡是利用本技术说明书及附图内容所做的等效结构，直接或间接运用在其他相关的技术领域，均同理在本技术专利保护范围之内。