业务系统的访问方法、装置、存储介质及电子设备与流程

本申请涉及通信
技术领域：
，尤其涉及一种业务系统的访问方法、装置、存储介质及电子设备。
背景技术：
：目前相关技术中所提供的登录认证方案通常需要设置一个独立的认证中心(certificateauthority，ca)，只有该认证中心可以接收用户的帐号、密码等安全信息，而其他系统不提供登录入口，只接受认证中心的通过授权令牌实现的间接授权。认证中心在对用户的账号与密码验证通过后，创建授权令牌，将授权令牌作为参数发给上述其他系统。其他系统在获取到授权令牌之后，即获得了授权，可以借此创建会话。通过创建会话，用户便可以访问其他系统上受保护的资源。图1是根据相关技术的用户访问业务系统中受保护资源过程的流程图，如图1所示，该流程可以包括以下处理步骤：步骤s102，用户准备通过浏览器访问某公司的业务系统1；步骤s104，业务系统1对访问请求进行验证，确定该用户不能访问业务系统1中的受保护资源；步骤s106，业务系统1执行跳转操作，并向认证中心发送业务系统1的地址信息；步骤s108-s110，认证中心对业务系统1的地址信息进行验证，如果验证失败，则向浏览器返回验证失败通知消息；步骤s112，浏览器向认证中心发送登录验证请求，其中，该登录验证请求中携带有用户名、密码以及业务系统1的地址信息；步骤s114，认证中心在对登录验证请求验证成功之后，会创建会话和授权令牌；步骤s116，认证中心执行跳转操作，向业务系统1返回授权令牌；步骤s118，业务系统1向认证中心发送校验请求，其中，该校验请求中携带有授权令牌和业务系统1的地址信息；步骤s120---步骤s122，认证中心经过验证，向业务系统1返回授权令牌有效的通知消息；步骤s124，业务系统1创建会话；步骤s126，业务系统1向浏览器返回认证中心授权的业务系统1的受保护资源。然而，上述的交互流程存在如下缺陷：认证中心向所有系统负责。换言之，所有系统必须加入认证中心。如果由于业务问题，需要将一个主系统拆分成多个子系统，而由于认证中心仅为主系统提供认证服务，而无法为子系统提供认证，因此，无法将子系统加入认证中心。例如，某公司拥有网站、办公系统、财务系统等主系统，但是由于业务需求将办公系统拆分为公文系统、会议系统、协同办公系统。因此，认证中心只会为办公系统提供认证服务，而公文系统、会议系统、协同办公系统这三个子系统则无法直接接入认证中心。故，上述提供的技术方案在所有子系统与认证中心之间无法实现正常的登录和跳转操作，如要实现一个大型的系统群中所有子系统与认证中心之间正常的登录和跳转操作需要每个子系统分别加入认证中心，会花费大量的时间，导致访问效率低下。技术实现要素：本申请实施例提供一种业务系统的访问方法、装置、存储介质及电子设备，解决了现有技术存在的上述问题，以提高访问效率。第一方面，提供了一种业务系统的访问方法，该方法可以包括：接收终端发送的登录请求，所述登录请求包括随机数、请求创建时间、签名值和所述终端在待访问业务系统中的访问角色标识；所述签名值是所述终端采用终端私钥对随机生成的随机数进行签名得到的；根据所述角色访问标识，确定所述访问角色标识对应的预先配置的第一索引文件；所述第一索引文件包括业务系统集群中每个业务系统与每个终端的签名值、响应终端前一次登录业务系统的时间以及响应有效时间对应关系；根据所述签名值和所述请求创建时间，查询所述第一索引文件，并根据查询结果，获取所述访问请求对应的认证中心创建的授权令牌；向所述待访问业务系统发送所述授权令牌，以使所述待访问业务系统使用所述授权令牌创建访问会话并向终端返回授权令牌对应的受保护资源。在一个可选的实现中，接收所述终端发送的访问请求之前，所述方法还包括：接收终端发送的用户证书和待访问业务系统的系统标识；根据所述用户证书和待访问业务系统的系统标识，查询所述待访问业务系统对应的预先配置的第二索引文件，获取所述终端在所述待访问业务系统中的访问角色标识；所述第二索引文件包括业务系统集群中每个业务系统的访问角色标识与每个用户证书的映射关系；向所述终端发送所述终端的访问角色标识。在一个可选的实现中，根据查询结果，获取所述访问请求对应的授权令牌，包括：若所述第一索引文件中存在所述签名值，且所述请求创建时间在所述签名值对应的前一次登录业务系统的时间与响应有效时间的时间段内，则获取所述第一索引文件中存储的所述终端前一次登录业务系统时所述认证中心创建的授权令牌。在一个可选的实现中，所述方法还包括：若所述第一索引文件中不存在所述签名值，或存在所述签名值，且所述请求创建时间不在所述签名值对应的前一次登录业务系统的时间与响应有效时间的时间段内，则根据随机数，采用存储的终端公钥对所述签名值进行验签；所述终端公钥为所述业务系统在所述终端向自身进行注册时获取的；若验签通过，则向所述认证中心发送登录验证请求；若所述认证中心验证通过，则接收所述认证中心发送的登录验证响应，所述登录验证响应包括所述认证中心根据登录验证请求创建的授权令牌。在一个可选的实现中，所述访问请求还包括请求有效时间；向所述待访问业务系统发送所述授权令牌之后，所述方法还包括：将所述签名值、所述请求创建时间和所述请求有效时间，对所述第一索引文件进行更新；并存储本次访问获取的授权令牌。在一个可选的实现中，所述方法还包括：若存在待添加业务系统加入所述业务系统集群，则针对所述待添加业务系统，对所述第一索引文件和所述第二索引文件进行预先配置。第二方面，提供了一种业务系统的访问装置，该装置可以包括：接收单元、确定单元、获取单元和发送单元；所述接收单元，用于接收终端发送的登录请求，所述登录请求包括随机数、请求创建时间、签名值和所述终端在待访问业务系统中的访问角色标识；所述签名值是所述终端采用终端私钥对随机生成的随机数进行签名得到的；所述确定单元，用于根据所述角色访问标识，确定所述访问角色标识对应的预先配置的第一索引文件；所述第一索引文件包括业务系统集群中每个业务系统与每个终端的签名值、响应终端前一次登录业务系统的时间以及响应有效时间对应关系；所述获取单元，用于根据所述签名值和所述请求创建时间，查询所述第一索引文件，并根据查询结果，获取所述访问请求对应的认证中心创建的授权令牌；所述发送单元，用于向所述待访问业务系统发送所述授权令牌，以使所述待访问业务系统使用所述授权令牌创建访问会话并向终端返回授权令牌对应的受保护资源。在一个可选的实现中，所述接收单元，还用于接收终端发送的用户证书和待访问业务系统的系统标识；所述获取单元，还用于根据所述用户证书和待访问业务系统的系统标识，查询所述待访问业务系统对应的预先配置的第二索引文件，获取所述终端在所述待访问业务系统中的访问角色标识；所述第二索引文件包括业务系统集群中每个业务系统的访问角色标识与每个用户证书的映射关系；所述发送单元，还用于向所述终端发送所述终端的访问角色标识。在一个可选的实现中，所述获取单元，还用于若所述第一索引文件中存在所述签名值，且所述请求创建时间在所述签名值对应的前一次登录业务系统的时间与响应有效时间的时间段内，则获取所述第一索引文件中存储的所述终端前一次登录业务系统时所述认证中心创建的授权令牌。在一个可选的实现中，所述装置还包括验签单元；所述验签单元，用于若所述第一索引文件中不存在所述签名值，或存在所述签名值，且所述请求创建时间不在所述签名值对应的前一次登录业务系统的时间与响应有效时间的时间段内，则根据随机数，采用存储的终端公钥对所述签名值进行验签；所述终端公钥为所述业务系统在所述终端向自身进行注册时获取的；所述发送单元，还用于若验签通过，则向所述认证中心发送登录验证请求；所述接收单元，还用于若所述认证中心验证通过，则接收所述认证中心发送的登录验证响应，所述登录验证响应包括所述认证中心根据登录验证请求创建的授权令牌。在一个可选的实现中，所述装置还包括更新单元和存储单元；所述访问请求还包括请求有效时间；所述更新单元，用于将所述签名值、所述请求创建时间和所述请求有效时间，对所述第一索引文件进行更新；所述存储单元，用于存储本次访问获取的授权令牌。在一个可选的实现中，所述装置还包括配置单元；所述配置单元，用于若存在待添加业务系统加入所述业务系统集群，则针对所述待添加业务系统，对所述第一索引文件和所述第二索引文件进行预先配置。第三方面，提供了一种电子设备，该电子设备包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；存储器，用于存放计算机程序；处理器，用于执行存储器上所存放的程序时，实现上述第一方面中任一所述的方法步骤。第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面中任一所述的方法步骤。本发明实施例提供的业务系统的访问方法在接收终端发送的登录请求后，登录请求包括随机数、请求创建时间、签名值和终端在待访问业务系统中的访问角色标识；签名值是终端采用终端私钥对随机生成的随机数进行签名得到的；根据角色访问标识，确定访问角色标识对应的预先配置的第一索引文件；第一索引文件包括业务系统集群中每个业务系统与每个终端的签名值、响应终端前一次登录业务系统的时间以及响应有效时间对应关系；根据签名值和所述请求创建时间，查询第一索引文件，并根据查询结果，获取访问请求对应的认证中心创建的授权令牌；向待访问业务系统发送授权令牌，以使待访问业务系统使用授权令牌创建访问会话。该方法通过预先配置的索引文件，终端通过扩展装置可以访问业务系统集群中每个业务系统，不需要每个业务系统均加入认证中心，提高了终端访问效率。此外，对于时间验证问题可以支持时间戳服务。附图说明图1为现有技术的业务系统访问方法的流程示意图；图2为本发明实施例提供的一种应用业务系统的访问方法的系统架构示意图；图3为本发明实施例提供的一种业务系统的访问方法的流程示意图；图4为图3中的一种获取终端在待访问业务系统中的访问角色标识的流程示意图；图5为本发明实施例提供的另一种业务系统的访问方法的流程示意图；图6为本发明实施例提供的一种业务系统的访问装置的结构示意图；图7为本发明实施例提供的一种电子设备的结构示意图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，并不是全部的实施例。基于本申请实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。本发明实施例提供的业务系统的访问方法可以应用在图2所示的系统架构中，该系统可以包括服务器、包括至少一个待访问业务系统的业务系统集群、终端和认证中心。服务器可以是应用服务器或云服务器，其可以包括扩展装置。终端可以是移动电话、智能电话、笔记本电脑、数字广播接收器、个人数字助理(pda)、平板电脑(pad)等用户设备(userequipment，ue)、手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备、移动台(mobilestation，ms)、移动终端(mobileterminal)等。该终端具备经无线接入网(radioaccessnetwork，ran)与一个或多个核心网进行通信的能力。以下结合说明书附图对本申请的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明，并且在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。图3为本发明实施例提供的一种业务系统的访问方法的流程示意图。如图3所示，该方法可以包括：步骤310、终端向扩展装置发送登录请求。在执行该步骤之前，首先，用户通过终端对连接待访问业务系统的ukey进行pin码验证，其中，待访问业务系统为已进行终端注册的业务系统，该待访问业务系统中包括该终端的公钥。若验证通过，则终端可以从ukey中获取认证中心给ukey下发的用户证书cm、待访问业务系统的系统标识id、终端公钥和终端私钥等保密信息，终端公钥和终端私钥统称为非对称密钥。ukey具有密码验证功能，故存储上述保密信息可以实现信息的安全性，以及ukey具有运算环境，可以支持非对称密钥的加解密运算。需要说明的是，还可以根据客户要求采用其他支持非对称密钥的加解密运算的存储设备，以实现对上述保密信息进行存储，以及进行非对称密钥的加解密运算，本发明实施例在此不做限定。其次，终端可以生成随机数r，并采用终端私钥对随机生成的随机数r进行签名，得到签名值s。进一步的，由于不同终端可以在不同业务系统中拥有不同访问角色，且不同角色对应不同的操作权限，访问角色可以包括普通浏览用户、系统管理员等。终端可以在与业务系统注册时获取并存储在相应业务系统中的访问角色，以及相应的访问角色标识，或者，终端可以在与业务系统注册时，由业务系统存储该终端的访问角色，以及相应的访问角色标识，具体存储方式本发明实施例在此不做限定。在一个可能的实现中，以由业务系统存储该终端的访问角色，以及相应的访问角色标识为例，终端从待访问业务系统中获取该终端在待访问业务系统中的访问角色标识的过程可以包括如下步骤，如图4所示：步骤410、终端向待访问业务系统发送用户证书和待访问业务系统的系统标识。步骤420、待访问业务系统根据用户证书和系统标识，查询待访问业务系统对应的预先配置的第二索引文件，获取终端在待访问业务系统中的访问角色标识；第二索引文件可以包括业务系统集群中每个业务系统的访问角色标识与每个用户证书cm的映射关系，且每个映射关系分别存储在物理内存的不同位置，如表1所示。表1表1表明，在系统标识为sid1的业务系统中，用户证书cm与访问角色标识id1相对应，且存储在物理记录号为0801的内存区域中；用户证书cn与访问角色标识id2相对应，且存储在物理记录号为0501的内存区域中。在系统标识为sid2的业务系统中，用户证书co与访问角色标识id2相对应，且存储在物理记录号为1201的内存区域中；用户证书cn与访问角色标识id6相对应，且存储在物理记录号为3301的内存区域中。在系统标识为sid3的业务系统中，用户证书cp与访问角色标识id4相对应，且存储在物理记录号为3901的内存区域中。在系统标识为sid4的业务系统中，用户证书cm与访问角色标识id5相对应，且存储在物理记录号为4901的内存区域中。由表1可知，相同业务系统中，不同用户证书对应的访问角色标识不同，且相同用户证书，在不同业务系统中的访问角色标识也不同。步骤430、待访问业务系统向终端发送终端的访问角色标识。回到步骤310，该登录请求可以包括随机数r、请求创建时间t1，请求有效时间t2、签名值s和终端在待访问业务系统中的访问角色标识等。请求有效时间t2为本次访问的超时时间点。步骤320、扩展装置根据角色访问标识，确定访问角色标识对应的预先配置的第一索引文件。扩展装置根据所述角色访问标识的物理记录号，确定访问角色标识对应的预先配置的第一索引文件。第一索引文件包括业务系统集群中每个业务系统与每个终端的签名值s、响应终端前一次登录业务系统的时间t1以及响应有效时间t2对应关系，且每个对应关系分别存储在物理内存的不同位置，其中前一次登录业务系统的时间t1以及响应有效时间t2间的时间段称为访问授权时长，如表2所示。表2物理记录号签名值t1t2020101xxx02020010120200105020105xxx12020011320200114020103xxx22020011520200116030102xxx32020011720200118030101xxx42020030120200305030101xxx52020040120200405表2中，签名值xxx0对应的访问时间段为20200101至20200105，且该对应关系存储在物理记录号为020101的内存区域中；签名值xxx1对应的访问时间段为20200113至20200114，且该对应关系存储在物理记录号为020105的内存区域中；签名值xxx2对应的访问时间段为20200115至20200116，且该对应关系存储在物理记录号为020103的内存区域中；签名值xxx3对应的访问时间段为20200117至20200118，且该对应关系存储在物理记录号为030102的内存区域中，以此类推。可见，第一索引文件通过使用时间戳服务，可以判断当前的访问请求是否超过访问授权时长，从而增加不可抵赖性。步骤330、扩展装置根据签名值和请求创建时间，查询第一索引文件，并根据查询结果，获取访问请求对应的认证中心创建的授权令牌。若第一索引文件中存在签名值s，且请求创建时间t1在签名值s对应的前一次登录业务系统的时间与响应有效时间的时间段内，则确定该终端不是第一次登录待访问业务系统；此时，可以直接获取存储的终端前一次登录业务系统时认证中心创建的授权令牌。其中，存储的该授权令牌可以存储在第一索引文件中，也可以存储在其他位置，且与第一索引文件中的相应签名值对应。若第一索引文件中不存在签名值s，或存在签名值s，且请求创建时间t1不在签名值s对应的前一次登录业务系统的时间与响应有效时间的时间段内，则确定该终端是第一次登录待访问业务系统；此时，扩展装置可以根据随机数r，采用存储的终端公钥对签名值s进行验签。具体为，采用存储的终端公钥对签名值s进行验签，得到验签值，若得到的验签值与随机数r相同，则表明验签通过；若得到的验签值与随机数r相同，则表明验签失败。若验签通过，则扩展装置需要向认证中心发送登录验证请求；若认证中心验证通过，则接收认证中心发送的登录验证响应，登录验证响应包括认证中心根据登录验证请求创建的授权令牌。步骤340、扩展装置向待访问业务系统发送授权令牌。在执行该步骤之后，扩展装置可以将签名值s、请求创建时间t1和请求有效时间t2，对第一索引文件进行更新，并存储本次访问获取的授权令牌。可选的，若第一索引文件可以存储授权令牌，则扩展装置可以将签名值s、请求创建时间t1、请求有效时间t2和本次访问获取的授权令牌，对第一索引文件进行更新。步骤350、待访问业务系统使用授权令牌创建与终端的访问会话。待访问业务系统创建访问会话后，通过该访问会话，终端可以访问授权令牌对应的受保护资源。在一种可能的实现中，若存在待添加业务系统加入业务系统集群，则针对待添加业务系统，对第一索引文件和第二索引文件进行预先配置。具体为，初始化配置待添加业务系统与每个终端的签名值、响应终端前一次登录业务系统的时间以及响应有效时间对应关系，以及待添加业务系统的访问角色标识与每个用户证书的映射关系。可以理解的是，第一索引文件和第二索引文件为业务系统集群对应的索引文件中的两类文件。下面以第一索引文件和第二索引文件统称为索引文件为例进行详细描述。图5为本发明实施例提供的另一种业务系统的访问方法的流程示意图，如图5所示，包括：步骤s501，终端向业务系统1发送访问请求；步骤s502，业务系统1对访问请求对应的终端登录验证失败；步骤s503，业务系统1向终端发送业务系统1的系统标识和未登录信息；步骤s504，业务系统1向扩展装置执行跳转操作，并向扩展装置传递业务系统1的地址信息；步骤s505-步骤s506，扩展装置对业务系统1进行登录验证，在验证失败时向终端返回登录验证失败的消息；步骤s507，终端向扩展装置发送用户证书和业务系统1的系统标识；步骤s508，扩展装置根据用户证书和业务系统1的系统标识，查询业务系统1对应的预先配置的索引文件，获取终端在业务系统1中的访问角色标识；步骤s509，扩展装置向终端发送用户证书对应的终端的访问角色标识；步骤s510，终端向扩展装置发起登录请求，其包括随机数、请求创建时间、签名值和终端在业务系统1中的访问角色标识；步骤s511，扩展装置根据签名值和请求创建时间查询索引文件，并根据查询结果，确定终端是第一次登录；步骤s512，扩展装置根据随机数，采用存储的终端公钥对签名值进行验签，并在验签通过向认证中心发送登录验证请求；步骤s513-步骤s514，认证中心在验证成功之后，创建会话和授权令牌，并向扩展装置发送登录验证响应，其包括授权令牌。步骤s515，扩展装置向业务系统1执行跳转操作，并向业务系统1传递授权令牌；步骤s516，将签名值、请求创建时间和请求有效时间，对第一索引文件进行更新；步骤s517，业务系统1根据授权令牌创建会话；步骤s518，终端再次向业务系统1发起访问请求；步骤s519，业务系统1对再次的访问请求对应的终端登录验证失败，需要再次验证扩展装置；步骤s520，业务系统1向终端发送业务系统1的系统标识和未登录信息；步骤s521，业务系统1向扩展装置执行跳转操作，并向扩展装置传递业务系统1的地址信息；步骤s522-步骤s523，扩展装置对业务系统1进行登录验证，在验证失败时向终端返回登录验证失败的消息；步骤s524，终端向扩展装置发送用户证书和业务系统1的系统标识；步骤s525，扩展装置根据用户证书和业务系统1的系统标识进行查询业务系统1对应的预先配置的索引文件，获取终端在业务系统1中的访问角色标识；步骤s526，扩展装置向终端发送用户证书对应的访问角色标识；步骤s527，终端向扩展装置发起登录请求，其包括随机数、请求创建时间、签名值和终端在业务系统1中的访问角色标识；步骤s528，扩展装置根据签名值和请求创建时间进行查询索引文件，并确定终端不是第一次登录；步骤s529，扩展装置向业务系统1执行跳转操作，并向业务系统1传递存储的授权令牌；步骤s530，业务系统1根据授权令牌创建会话。由此可见，该方法通过预先配置的索引文件，终端通过扩展装置可以访问业务系统集群中每个业务系统，不需要每个业务系统均加入认证中心，提高了终端访问效率。此外，对于时间验证问题可以支持时间戳服务，以验证连接业务系统的间隔时长是否超时，即对受保护资源的访问时长是否超时，增加访问时长的不可抵赖性。与上述方法对应的，本发明实施例还提供一种业务系统的访问装置，如图6所示，该业务系统的访问装置包括：接收单元610、确定单元620、获取单元630和发送单元640；接收单元610，用于接收终端发送的登录请求，所述登录请求包括随机数、请求创建时间、签名值和所述终端在待访问业务系统中的访问角色标识；所述签名值是所述终端采用终端私钥对随机生成的随机数进行签名得到的；确定单元620，用于根据所述角色访问标识，确定所述访问角色标识对应的预先配置的第一索引文件；所述第一索引文件包括业务系统集群中每个业务系统与每个终端的签名值、响应终端前一次登录业务系统的时间以及响应有效时间对应关系；获取单元630，用于根据所述签名值和所述请求创建时间，查询所述第一索引文件，并根据查询结果，获取所述访问请求对应的认证中心创建的授权令牌；发送单元640，用于向所述待访问业务系统发送所述授权令牌，以使所述待访问业务系统使用所述授权令牌创建访问会话并向终端返回授权令牌对应的受保护资源。在一个可选的实现中，接收单元610，还用于接收终端发送的用户证书和待访问业务系统的系统标识；获取单元630，还用于根据所述用户证书和待访问业务系统的系统标识，查询所述待访问业务系统对应的预先配置的第二索引文件，获取所述终端在所述待访问业务系统中的访问角色标识；所述第二索引文件包括业务系统集群中每个业务系统的访问角色标识与每个用户证书的映射关系；发送单元640，还用于向所述终端发送所述终端的访问角色标识。在一个可选的实现中，获取单元630，还用于若所述第一索引文件中存在所述签名值，且所述请求创建时间在所述签名值对应的前一次登录业务系统的时间与响应有效时间的时间段内，则获取所述第一索引文件中存储的所述终端前一次登录业务系统时所述认证中心创建的授权令牌。在一个可选的实现中，所述装置还包括验签单元650；验签单元650，用于若所述第一索引文件中不存在所述签名值，或存在所述签名值，且所述请求创建时间不在所述签名值对应的前一次登录业务系统的时间与响应有效时间的时间段内，则根据随机数，采用存储的终端公钥对所述签名值进行验签；所述终端公钥为所述业务系统在所述终端向自身进行注册时获取的；发送单元640，还用于若验签通过，则向所述认证中心发送登录验证请求；接收单元610，还用于若所述认证中心验证通过，则接收所述认证中心发送的登录验证响应，所述登录验证响应包括所述认证中心根据登录验证请求创建的授权令牌。在一个可选的实现中，所述装置还包括更新单元660和存储单元670；所述访问请求还包括请求有效时间；更新单元660，用于将所述签名值、所述请求创建时间和所述请求有效时间，对所述第一索引文件进行更新；存储单元670，用于存储本次访问获取的授权令牌。在一个可选的实现中，所述装置还包括配置单元680；配置单元680，用于若存在待添加业务系统加入所述业务系统集群，则针对所述待添加业务系统，对所述第一索引文件和所述第二索引文件进行预先配置。本发明上述实施例提供的业务系统的访问装置的各功能单元的功能，可以通过上述各方法步骤来实现，因此，本发明实施例提供的业务系统的访问装置中的各个单元的具体工作过程和有益效果，在此不复赘述。本发明实施例还提供了一种电子设备，如图7所示，包括处理器710、通信接口720、存储器730和通信总线740，其中，处理器710，通信接口720，存储器530通过通信总线740完成相互间的通信。存储器730，用于存放计算机程序；处理器710，用于执行存储器730上所存放的程序时，实现如下步骤：接收终端发送的登录请求，所述登录请求包括随机数、请求创建时间、签名值和所述终端在待访问业务系统中的访问角色标识；所述签名值是所述终端采用终端私钥对随机生成的随机数进行签名得到的；根据所述角色访问标识，确定所述访问角色标识对应的预先配置的第一索引文件；所述第一索引文件包括业务系统集群中每个业务系统与每个终端的签名值、响应终端前一次登录业务系统的时间以及响应有效时间对应关系；根据所述签名值和所述请求创建时间，查询所述第一索引文件，并根据查询结果，获取所述访问请求对应的认证中心创建的授权令牌；向所述待访问业务系统发送所述授权令牌，以使所述待访问业务系统使用所述授权令牌创建访问会话并向终端返回授权令牌对应的受保护资源。在一个可选的实现中，接收所述终端发送的访问请求之前，所述方法还包括：接收终端发送的用户证书和待访问业务系统的系统标识；根据所述用户证书和待访问业务系统的系统标识，查询所述待访问业务系统对应的预先配置的第二索引文件，获取所述终端在所述待访问业务系统中的访问角色标识；所述第二索引文件包括业务系统集群中每个业务系统的访问角色标识与每个用户证书的映射关系；向所述终端发送所述终端的访问角色标识。在一个可选的实现中，根据查询结果，获取所述访问请求对应的授权令牌，包括：若所述第一索引文件中存在所述签名值，且所述请求创建时间在所述签名值对应的前一次登录业务系统的时间与响应有效时间的时间段内，则获取所述第一索引文件中存储的所述终端前一次登录业务系统时所述认证中心创建的授权令牌。在一个可选的实现中，所述方法还包括：若所述第一索引文件中不存在所述签名值，或存在所述签名值，且所述请求创建时间不在所述签名值对应的前一次登录业务系统的时间与响应有效时间的时间段内，则根据随机数，采用存储的终端公钥对所述签名值进行验签；所述终端公钥为所述业务系统在所述终端向自身进行注册时获取的；若验签通过，则向所述认证中心发送登录验证请求；若所述认证中心验证通过，则接收所述认证中心发送的登录验证响应，所述登录验证响应包括所述认证中心根据登录验证请求创建的授权令牌。在一个可选的实现中，所述访问请求还包括请求有效时间；向所述待访问业务系统发送所述授权令牌之后，所述方法还包括：将所述签名值、所述请求创建时间和所述请求有效时间，对所述第一索引文件进行更新；并存储本次访问获取的授权令牌。在一个可选的实现中，所述方法还包括：若存在待添加业务系统加入所述业务系统集群，则针对所述待添加业务系统，对所述第一索引文件和所述第二索引文件进行预先配置。上述提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect，pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。通信接口用于上述电子设备与其他设备之间的通信。存储器可以包括随机存取存储器(randomaccessmemory，ram)，也可以包括非易失性存储器(non-volatilememory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。上述的处理器可以是通用处理器，包括中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)等；还可以是数字信号处理器(digitalsignalprocessing，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。由于上述实施例中电子设备的各器件解决问题的实施方式以及有益效果可以参见图3所示的实施例中的各步骤来实现，因此，本发明实施例提供的电子设备的具体工作过程和有益效果，在此不复赘述。在本发明提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的业务系统的访问方法。在本发明提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的业务系统的访问方法。本领域内的技术人员应明白，本申请实施例中的实施例可提供为方法、系统、或计算机程序产品。因此，本申请实施例中可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例中可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本申请实施例中是参照根据本申请实施例中实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本申请实施例中的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请实施例中范围的所有变更和修改。显然，本领域的技术人员可以对本申请实施例中实施例进行各种改动和变型而不脱离本申请实施例中实施例的精神和范围。这样，倘若本申请实施例中实施例的这些修改和变型属于本申请实施例中权利要求及其等同技术的范围之内，则本申请实施例中也意图包含这些改动和变型在内。当前第1页12