一种提高开放平台双向安全访问的方法及其系统与流程

本发明属于服务安全，具体涉及一种提高开放平台双向安全访问的方法及其系统。

背景技术：

1、开放平台的主要作用是服务共享，通过统一的标准实现服务的接入、发布、调用，服务类型主要以http协议类的服务为主，通过将相关接口注册到开放平台，从而实现共享给其他业务系统使用的目的，随着大数据时代的到来，越来越多的系统、服务、数据、能力等都通过开放平台的形式共享出来，极大的方便了技术和数据共享。

2、开放平台主要由客户端、中转网关、服务端三部分组成，在目前市面上主流的开放平台，在客户端方面，主要还是采用了oauth2.0等比较成熟的认证方式，但是随着技术的革新，这类方式也出现了不少安全问题，比如同个账号多处使用、同个token多处使用、ip仿造非法访问等；服务端方面，对安全认证较为薄弱，大多使用ip白名单的方式进行，无法保证服务到达方一定是正确的服务端，也无法防止服务端程序的非法更新。

3、有鉴于此，提出一种提高开放平台双向安全访问的方法及其系统是非常具有意义的。

技术实现思路

1、为了解决现有开放平台安全访问上管控的不足的问题，本发明提供一种提高开放平台双向安全访问的方法及其系统，通过软硬件结合及进程级监控的方式在客户端和服务端同时进行增强，以解决上述存在的技术缺陷问题。

2、第一方面，本发明提出了一种提高开放平台双向安全访问的方法，该方法包括如下步骤：

3、响应于客户端通过开发平台调用服务接口，所述开放平台收到调用请求后，对相关信息进行比对；

4、进一步验证服务端是否处于安全状态，只有处于安全状态所述开放平台才转发接口到服务端，所述开放平台接收服务端数据并返回给客户端。

5、优选的，客户端通过开发平台调用服务接口具体包括：

6、服务开放平台购买ukey之后，激活ukey以获取ukey序列号、公钥和私钥，同时将公钥内置在ukey内部；

7、并存储ukey信息存储到开放平台；

8、客户端申请服务通过后，服务开放平台发放ukey和安全检测服务部署包，客户端将安装ukey和安全检测服务；

9、客户端通过oauth2.0的协议进行token的获取，获取token之前，会通过安全检测服务获取加密串，将加密串放在header部分；

10、开放平台收到请求后，开始进行相关信息的比对，比对不成功则告知非法；

11、开放平台返回token信息；

12、客户端开始请求具体的接口，请求之前会通过安全检测服务获取加密串，将加密串放在header部分，同时将上一步骤中拿到的token也放置在header部分；

13、开放平台验证token，并再次执行进行相关信息的比对；

14、开放平台验证服务端是否处于安全状态，如果处于非安全状态，则直接返回，告知客户端服务端不安全；

15、开放平台转发接口到服务端；

16、开放平台接收服务端数据，并返回给客户端。

17、进一步优选的，开放平台收到请求后，开始进行相关信息的比对，比对步骤具体如下，任何一步比对不成功，则告知非法：

18、进行oauth2.0常规认证；

19、比对ip信息是否和客户端ip一致；

20、使用存储在开放平台的私钥解密加密后的字符串，解析出ip和硬件标识信息，看是否解密成功、ip信息是否和客户端请求ip一致、硬件标识是否和预先存储的一致。

21、进一步优选的，开放平台验证服务端的安全状态具体包括：

22、服务端申请在服务开放注册服务，申请时填写服务端的服务器ip、服务端口和执行程序的md5；

23、申请通过后，服务端插入ukey，安装配套的安全检测服务；

24、开放平台根据服务端存储的信息，向服务端的安全检测服务发起请求，获取指定端口对应的执行程序的md5值、网卡ip，如果获取异常，标识该服务端的安全状态为不安全；

25、将获取到的md5值、网卡ip和预先登记的进行比较，如果任一项比对失败，标识该服务端的安全状态为不安全，全部比对成功时，标识该服务端的安全状态为安全；

26、一段时间后再次执行上述步骤。

27、进一步优选的，还包括：设置为五分钟后再次执行上述步骤。

28、第二方面，本发明实施例还提供一种提高开放平台双向安全访问的系统，包括：

29、客户端模块，配置用于通过开发平台调用服务接口，开放平台接收服务端数据并返回给客户端；

30、开发平台模块，配置用于收到调用请求后，对相关信息进行比对，开放平台接收服务端数据并返回给客户端；

31、服务端模块，配置用于验证服务端是否处于安全状态，只有处于安全状态所述开放平台才转发接口到服务端。

32、第三方面，本发明实施例提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如第一方面中任一实现方式描述的方法。

33、第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。

34、与现有技术相比，本发明的有益成果在于：

35、(1)本发明提出一种加强型安全解决方案，通过软硬件结合及进程级监控的方式在客户端和服务端同时进行增强；客户端方面，采用硬件增强，保证访问安全；在服务端方面，采用软硬件结合方式，保证合法、准确到达，同时阻止服务端程序的非法更新。

36、(2)本发明能够大大增强开放平台服务调用过程的安全性，将开放平台的运营风险降到最低，从而有效降低运营成本。

37、(3)本发明实现了对服务端进程级别的监控，保证了服务调用的可信到达，服务提供者无需再额外提供安全策略，也降低了服务提供者的运营成本。

技术特征：

1.一种提高开放平台双向安全访问的方法，其特征在于，该方法包括如下步骤：

2.根据权利要求1所述的提高开放平台双向安全访问的方法，其特征在于，客户端通过开发平台调用服务接口具体包括：

3.根据权利要求2所述的提高开放平台双向安全访问的方法，其特征在于，开放平台收到请求后，开始进行相关信息的比对，比对步骤具体如下，任何一步比对不成功，则告知非法：

4.根据权利要求3所述的提高开放平台双向安全访问的方法，其特征在于，开放平台验证服务端的安全状态具体包括：

5.根据权利要求4所述的提高开放平台双向安全访问的方法，其特征在于，还包括：设置为五分钟后再次执行上述步骤。

6.一种提高开放平台双向安全访问的系统，其特征在于，包括：

7.一种电子设备，包括：

8.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1至5中任一所述的方法。

技术总结
本发明提出了一种提高开放平台双向安全访问的方法及其系统，该方法包括如下步骤：响应于客户端通过开发平台调用服务接口，所述开放平台收到调用请求后，对相关信息进行比对；进一步验证服务端是否处于安全状态，只有处于安全状态所述开放平台才转发接口到服务端，所述开放平台接收服务端数据并返回给客户端。本发明提出一种加强型安全解决方案，通过软硬件结合及进程级监控的方式在客户端和服务端同时进行增强；客户端方面，采用硬件增强，保证访问安全；在服务端方面，采用软硬件结合方式，保证合法、准确到达，同时阻止服务端程序的非法更新。

技术研发人员：张海滨,褚林,梁煜麓,卢杰敏,陈俊兵
受保护的技术使用者：厦门市美亚柏科信息安全研究所有限公司
技术研发日：
技术公布日：2024/2/19