一种调用能力封装的方法和系统与流程

本发明涉及通讯业务支撑领域，尤其涉及一种调用能力封装的方法和系统。
背景技术：
：在移动互联网时代，基于一个平台，通过能力开放，聚集大量的开发者，提供纷繁多样的应用，从而建立多方共赢的局面；这种模式已经被包括FaceBook、AppStore、Taobao等越来越多的成功案例验证。正是在这种成功模式的吸引下，电信运营商也在积极探索电信业务能力的开放。电信运营商采取能力封装手段，为合作伙伴提供短信、定位、语音、IT等服务，涉及到产品配置、营销推荐、业务订购、计费收费、客户服务、积分等各种能力封装，延及客户全生命周期各个阶段。目前，面向合作伙伴的运营商能力封装已经得到应用。如现有方案中有一种安全可信的能力开放平台，包括发布审核系统、授权认证系统及安全中间件服务器；其中，发布审核系统对第三方应用进行发布审核，确保接入到能力开放平台的第三方应用是安全可信的，从而避免了由于第三方应用自身的漏洞带给平台的安全威胁或第三方应用成为整个能力开放平台的攻击后门；授权认证系统对第三方应用访问能力开放平台提供资源进行授权及认证管理，确保了资源的合法访问，从而可以避免越权访问所造成的经济损失；最后，对第三方应用提供开放的安全中间件服务，增加第三方应用自身的安全性，最大限度的降低了开发难度及开发成本，提高第三方应用的开发效率，从而提高了整个能力开放平台的实用性、方便性以及灵活性。但是，目前运营商为互联网合作伙伴提供包括客户基本信息查询、产品查 询、产品订购、余额鉴权、支付、积分管理、服务投诉等功能，这些能力封装是为全体合作伙伴在互联网上提供的服务；由于各个合作伙伴的资质、能力和安全水平的不同，如果某个合作伙伴在互联网上被攻破，将会造成这个合作伙伴的全部功能使用受到影响，产生信息泄漏或收入损失；进一步的，还可能造成全体合作伙伴的能力封装使用受到影响，并造成全体合作伙伴的安全问题。那么，如何保证调用能力封装过程中的安全性，是运营商目前亟待解决的问题。技术实现要素：有鉴于此，本发明实施例期望提供一种调用能力封装的方法和系统，能保证调用能力封装过程中的安全性。为达到上述目的，本发明的技术方案是这样实现的：本发明实施例提供了一种调用能力封装的方法，所述方法包括：依据各能力调用平台的地址设置对应的第一安全策略，依据各业务类型的风险等级设置对应的第二安全策略；所述能力调用平台依次采用所述第二安全策略和所述第一安全策略加密交易报文，并将加密的交易报文发送给能力封装系统；所述能力封装系统依次采用所述第一安全策略和所述第二安全策略对所述加密的交易报文进行解密，将解密后的交易报文发送给业务支撑系统。上述方案中，所述能力调用平台依次采用第二安全策略和第一安全策略加密交易报文，包括：所述能力调用平台接收用户业务请求；结合预先分配的业务权限标识和所述用户业务请求生成交易报文；根据所述用户业务请求的业务风险等级和所述能力调用平台的地址，依次按照所述第二安全策略和第一安全策略对所述交易报文加密。上述方案中，所述能力封装系统依次采用第一安全策略和第二安全策略对所述加密的交易报文进行解密，包括：所述能力封装系统采用第一安全策略，根据所述交易报文的发起地址对所 述交易报文进行第一层解密，提取业务风险等级；采用第二安全策略，根据所述业务风险等级对述第一层解密后的交易报文进行第二层解密。上述方案中，所述方法还包括：预先对不同的业务类型分配不同业务风险等级；预先建立第一安全策略；所述第一安全策略为：根据所述能力调用平台的地址分配对应的加密算法和密钥，并定期随机重新分配；所述加密算法包括：数据加密标准(DES，DataEncryptionStandard)、高级加密标准(AES，AdvancedEncryptionStandard)、或公钥加密算法(RSA，RonRivest、AdiShamir、LeonardAdleman)；预先建立第二安全策略；所述第二安全策略为：根据所述业务风险等级分配对应的加密策略，并定期随机重新分配；所述加密策略包括：明文、消息摘要算法5(MD5，MessageDigestAlgorithm5)加密方式、或哈希算法加密方式。上述方案中，所述方法还包括：所述业务支撑系统确定所述解密后的交易报文中封装的业务权限标识和用户业务请求符合权限配置规则时，处理所述交易报文；所述权限配置规则为：根据合作伙伴标识，分配业务权限标识及与所述业务权限标识对应的业务权限；所述业务权限包括：客户基本信息查询、产品查询、产品订购、余额鉴权、支付、积分管理、服务投诉；所述业务支撑系统包括：客户关系管理系统(CRM，CustomerRelationshipManagement)、或业务运营支撑系统(BOSS，Business&OperationSupportSystem)。本发明实施例还提供了一种调用能力封装的系统，所述系统包括：能力调用平台、能力封装系统、业务支撑系统，其中，所述能力调用平台，用于依次采用第二安全策略和第一安全策略加密交易 报文，并将加密的交易报文发送给能力封装系统；所述能力封装系统，用于依次采用第一安全策略和第二安全策略对所述加密的交易报文进行解密，将解密后的交易报文发送给业务支撑系统；所述能力封装系统，还用于依据能力调用平台的地址设置对应的第一安全策略，依据业务类型的风险等级，设置对应的第二安全策略。上述方案中，所述能力调用平台，具体用于：接收用户业务请求；结合预先分配的业务权限标识和所述用户业务请求生成交易报文；根据所述用户业务请求的风险等级和自身的地址，依次按照所述第二安全策略和第一安全策略对所述交易报文加密。上述方案中，所述所述能力封装系统，具体用于：采用第一安全策略，根据所述交易报文的发起地址对所述交易报文进行第一层解密，提取所述业务风险等级；采用第二安全策略，根据所述业务风险等级对述第一层解密后的交易报文进行第二层解密。上述方案中，所述所述能力封装系统，具体用于：预先建立第一安全策略，所述第一安全策略，为：根据所述能力调用平台的地址分配对应的加密算法和密钥，并定期随机重新分配；所述加密算法包括：DES、AES、或RSA；预先建立第二安全策略，所述第二安全策略，为：根据所述业务风险等级分配对应的加密策略，并定期随机重新分配；所述加密策略包括：明文、MD5加密方式、或哈希算法加密方式；预先对不同的业务类型分配不同业务风险等级。上述方案中，所述业务支撑系统，用于确定所述解密后的交易报文中封装的业务权限标识和用户业务请求是否符合权限配置规则，如果符合，则处理所述交易报文；所述权限配置规则为：根据合作伙伴标识，分配业务权限标识及与所述业务权限标识对应的业务权限；所述业务权限包括：客户基本信息查询、产品查询、产品订购、余额鉴 权、支付、积分管理、服务投诉；所述业务支撑系统包括：CRM、或BOSS。本发明实施例所提供的调用能力封装的方法和系统，依据各能力调用平台的地址设置对应的第一安全策略，依据各业务类型的风险等级设置对应的第二安全策略；所述能力调用平台依次采用所述第二安全策略和所述第一安全策略加密交易报文，并将加密的交易报文发送给能力封装系统；所述能力封装系统依次采用所述第一安全策略和所述第二安全策略对所述加密的交易报文进行解密，将解密后的交易报文发送给业务支撑系统；进一步的，所述业务支撑系统确定所述解密后的交易报文中封装的业务权限标识和用户业务请求符合权限配置规则时，处理所述交易报文。如此，建立了基于加密策略、渠道管理、权限控制的分层安全加密管理机制，保证了调用能力封装过程中的安全性，实现了面向互联网合作伙伴的安全加密管理提体系。附图说明图1为本发明实施例一种调用能力封装的系统的组成结构示意图；图2为本发明实施例一种调用能力封装的方法的流程示意图；图3为本发明实施例能力调用平台调用能力封装的流程示意图。具体实施方式本发明实施例中，依据各能力调用平台的地址设置对应的第一安全策略，依据各业务类型的风险等级设置对应的第二安全策略；所述能力调用平台依次采用所述第二安全策略和所述第一安全策略加密交易报文，并将加密的交易报文发送给能力封装系统；所述能力封装系统依次采用所述第一安全策略和所述第二安全策略对所述加密的交易报文进行解密，将解密后的交易报文发送给业务支撑系统；进一步的，所述业务支撑系统确定所述解密后的交易报文中封装的业务权限标识和用户业务请求符合权限配置规则时，处理所述交易报文。下面结合实施例对本发明再作进一步详细的说明。本发明实施例提供调用能力封装的系统，如图1所示，包括：能力调用平台11、能力封装系统12、业务支撑系统13，其中，所述能力调用平台11，用于依次采用第二安全策略和第一安全策略加密交易报文，并将加密的交易报文发送给能力封装系统12；具体的，所述能力封装系统12预先设定第一安全策略和第二安全策略为交易报文进行加密；所述第一安全策略可以为：根据能力调用平台11的地址分配对应的加密算法和密钥；所述加密算法包括：DES、AES、或RSA；这里，能力调用平台11可以是：合作伙伴平台；由于每个合作伙伴都对应于一个能力调用平台11的地址，能力调用平台11的地址也就是所述交易报文的发起地址；可以根据所述交易报文的发起地址为每个合作伙伴分配相应的第一安全策略，如此，第一安全策略与所述交易报文的发起地址相关联；所述分配的加密算法和密钥可以定期更新以保证安全性；这里，可以采用随机给所述交易报文的发起地址分配加密算法和密钥。同时，由于所述能力调用平台11的地址为针对各合作伙伴所分配，每个合作伙伴又分配有相应的合作伙伴标识，因此，可以通过所述交易报文的发起地址查得合作伙伴标识。能力调用平台11分配的加密算法和密钥可以如表1所示，其中xxx.xxx.xxx.xxx表示各能力调用平台11的地址，所述地址可以是互联网协议(IP，Internetprotocl)地址；合作伙伴标识发起地址加密算法密钥(加密保存)H1xxx.xxx.xxx.xxxDES*************H2xxx.xxx.xxx.xxxAES*************H3xxx.xxx.xxx.xxxRSA*************…………表1所述第二安全策略可以为：预先对不同的业务类型分配不同业务风险等级，根据业务风险等级分配对应加密策略，并可以定期重新分配；这里，可以采用随机给所述业务风险等级分配对应加密策略；如此，能力调用平台11可 以根据业务类型查得业务风险等级来分配加密策略；根据业务风险等级分配加密策略可以如表2合作伙伴业务风险等级配置表所示；表2中，所述加密策略可以包括：采用明文、MD5加密方式、或哈希算法加密方式等，所述风险等级可以包括：高级、中级、低级，也可以采用更多的细分级别。表2能力调用平台11接收到用户业务请求，首先，结合预先分配的与所述能力调用平台11对应的业务权限标识和所述用户业务请求，形成交易报文；然后，采用第二安全策略，根据用户业务请求的业务类型查得对应于表2中的加密策略，对所述交易报文进行第一层加密；再采用第一安全策略，根据所述能力调用平台11的地址查得对应于表1的加密算法和密钥，对采用第一安全策略加密过的交易报文进行第二层加密；可以将业务类型或业务风险等级和采用第一安全策略加密过的交易报文放到一起进行第二层加密，如此，在解密过程中采用第一安全策略解密后可以提取风险等级，进行下一层解密。加密完成后，将所述加密的交易报文发送给所述能力封装系统12。这里，所述业务权限标识可以包括：电信运营商在运营中分配给渠道销售商的渠道标识。所述能力封装系统12，用于依次采用第一安全策略和第二安全策略对所述加密的交易报文进行解密，将解密后的交易报文发送给业务支撑系统13；这里，所述能力封装系统12接收所述加密的交易报文，并获取交易报文的发起地址；首先，确定所述发起地址是否在合作伙伴安全配置表中；然后，根据所述发起地址检索所述第一安全策略，取出相应的加密算法和密钥，对交易报文进行解密；根据解密的交易报文提取业务风险等级，这里，风险等级可 以是直接在解密的交易报文中，也可以根据在解密的交易报文中的业务类型从所述第二安全策略中检索得来。根据提取的风险等级在第二安全策略查得加密策略，对交易报文进行解密；如果解密成功，则将解密的交易报文发送给业务支撑系统13；如果解密失败，则反馈错误。这里，所述业务支撑系统13可以包括：CRM、或BOSS。所述业务支撑系统13，用于确定所述解密后的交易报文中封装的业务权限标识和用户业务请求符合权限配置规则时，处理所述交易报文；这里，预先制定有权限配置规则，如表3所示，所述权限配置规则可以为：根据合作伙伴标识，分配业务权限标识及与所述业务权限标识对应的业务权限；这里，所述业务支撑系统13可以首先确定所述交易文件中的业务权限标识是否存在于所述权限配置规则，再根据交易报文中的业务权限标识和用户业务请求所属的业务类型来判断是否符合预先制定的合作伙伴的业务权限；如果这个合作伙伴发起的交易满足相关所述权限配置规则，则调用后台程序，为用户办理业务或反馈相应信息；如果这个合作伙伴发起的交易不满足所述权限配置规则，则反馈失败。这里，所述业务支撑系统13可以包括：CRM、或BOSS。表3本发明实施例提供的调用能力封装的方法，如图1所示，包括：步骤201：依据各能力调用平台的地址设置对应的第一安全策略，依据各业务类型的风险等级设置对应的第二安全策略；这里，预先设定第一安全策略和第二安全策略为交易报文进行加密；所述第一安全策略可以为：根据能力调用平台的地址分配对应的加密算法和密钥；所述加密算法包括：DES、AES、或RSA；这里，能力调用平台可以是：合作伙伴平台；由于每个合作伙伴都对应于一个能力调用平台的地址，能力调用平台的地址也就是所述交易报文的发起地址；可以根据所述交易报文的发起地址为每个合作伙伴分配相应的第一安全策略，如此，第一安全策略与所述交易报文的发起地址相关联；所述分配的加密算法和密钥可以定期更新以保证安全性；这里，可以采用随机给所述交易报文的发起地址分配加密算法和密钥。同时，由于所述能力调用平台的地址为针对各合作伙伴所分配，每个合作伙伴又分配有相应的合作伙伴标识，因此，可以通过所述交易报文的发起地址查得合作伙伴标识。能力调用平台分配的加密算法和密钥可以如表1合作伙伴安全配置表所示，其中，xxx.xxx.xxx.xxx表示各能力调用平台的地址，所述地址可以是IP地址。所述第二安全策略可以为：预先对不同的业务类型分配不同业务风险等级，根据业务风险等级分配对应加密策略，并可以定期重新分配；这里，可以采用随机给所述业务风险等级分配对应加密策略；如此，能力调用平台可以根据业务类型查得业务风险等级来分配加密策略；根据业务风险等级分配的加密策略可以如表2合作伙伴业务风险等级配置表所示。表2中，所述加密策略可以包括：采用明文、MD5加密方式、或哈希算法加密方式等，所述风险等级可以包括：高级、中级、低级，也可以采用更多的细分级别；步骤202：能力调用平台依次采用第二安全策略和第一安全策略加密交易报文，并将加密的交易报文发送给能力封装系统；能力调用平台接收到用户业务请求，首先，结合预先分配的与所述能力调用平台对应的业务权限标识和所述用户业务请求，形成交易报文；然后，采用第二安全策略，根据用户业务请求的业务类型查得对应于表2中的加密策略，对所述交易报文进行第一层加密；再采用第一安全策略，根据所述能力调用平 台的地址查得对应于表1的加密算法和密钥，对采用第一安全策略加密过的交易报文进行第二层加密；可以将业务类型或业务风险等级和采用第一安全策略加密过的交易报文放到一起进行第二层加密，如此，解密过程中在采用第一安全策略解密后可以提取风险等级，进行下一层解密。加密完成后，将所述加密的交易报文发送给所述能力封装系统。这里，所述业务权限标识可以包括：电信运营商在运营中分配给渠道运营商的渠道标识。步骤203：所述能力封装系统依次采用第一安全策略和第二安全策略对所述加密的交易报文进行解密，将解密后的交易报文发送给CRM/BOSS；这里，所述能力封装接收所述加密的交易报文，并获取交易报文的发起地址，首先，确定所述发起地址是否在合作伙伴安全配置表中；然后，根据所述发起地址检索所述第一安全策略，取出相应的加密算法和密钥，对交易报文进行解密；根据解密的交易报文提取业务风险等级，这里，风险等级可以是直接在解密的交易报文中，也可以根据在解密的交易报文中的业务类型从所述第二安全策略中检索得来。根据提取的风险等级在第二安全策略查得加密策略，对交易报文进行解密；如果解密成功，则将解密的交易报文发送给业务支撑系统；如果解密失败，则反馈错误。这里，所述业务支撑系统可以包括：CRM、或BOSS。进一步的，本发明实施例提供的调用能力封装的方法，还包括步骤204：所述业务支撑系统确定所述解密后的交易报文中封装的业务权限标识和用户业务请求符合权限配置规则时，处理所述交易报文；这里，预先制定有权限配置规则，如表3所示，所述权限配置规则可以为：根据合作伙伴标识，分配业务权限标识及与所述业务权限标识对应的业务权限；这里，可以首先确定所述交易文件中的业务权限标识是否存在于所述权限配置规则，再根据交易报文中的业务权限标识和用户业务请求所属的业务类型来判断是否符合预先制定的合作伙伴的业务权限；如果这个合作伙伴发起的交易满足相关所述权限配置规则，则调用后台程序，为用户办理业务或反馈相应信息；如果这个合作伙伴发起的交易不满足所述权限配置规则，则反馈失 败。这里，所述业务支撑系统可以包括：CRM、或BOSS。下面结合具体示例对本发明产生的积极效果作进一步详细的描述。如图3所示，所述示例以用户在能力调用平台发起交易请求为例，说明能力封装安全加密方法的具体流程。步骤301，用户在某个能力调用平台发起请求，发起请求中携带发起地址信息；这里，所述能力调用平台可以是合作伙伴平台；步骤302，能力调用平台根据用户交易请求，输入分配的业务权限标识形成交易报文，根据约定好的加密算法、密钥对报文进行加密，发给能力封装系统；这里，所述业务权限标识可以包括：电信运营商在运营中分配给渠道运营商的渠道标识。步骤303，能力封装系统收到交易报文后，首先在合作伙伴安全配置表检索是否存在该交易报文中的发起地址。如果没有检索到此地址，则直接结束；如果检索到此地址，则流程继续执行；步骤304，能力封装系统检索到地址后，提取此地址对应的加密算法和密钥，对报文进行解密。如果解密失败，则直接结束；如果解密成功，则流程继续执行；步骤305，能力封装系统根据合作伙伴标识和发起交易功能检索合作伙伴业务风险等级配置表，取出风险等级和加密策略，对报文进行解密。如果解密失败，则直接结束；如果解密成功，则流程继续执行；其中，合作伙伴业务风险等级配置表中配置了合作伙伴标识-风险等级-交易功能-加密策略等之间的关系，且根据交易功能的不同对应不同的风险等级和加密策略；步骤306，能力封装系统对报文解密成功后，将解密后的报文同步给业务支撑系统；这里，所述业务支撑系统可以包括：CRM、或BOSS。步骤307，业务支撑系统收到解密的交易报文后，首先根据交易报文中的业务权限标识在业务权限和功能权限配置表检索。如果没有检索到此业务权限标识，则直接结束；如果检索到此标识，则流程继续执行；步骤308，业务支撑系统检索到业务权限标识后，提取此标识对应的功能权限列表，判断此交易是否符合权限。如果不符合权限，则直接结束；如果符合权限，则流程继续执行；步骤309，业务支撑系统调用后台程序，为用户受理业务；步骤310，结束流程。以上所述，仅为本发明的佳实施例而已，并非用于限定本发明的保护范围，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。当前第1页1 2 3