一種實現安全校驗的方法、裝置及移動終端與流程
2024-01-24 05:48:15
本發明涉及移動終端技術領域,尤其涉及一種實現安全校驗的方法、裝置及移動終端。
背景技術:
隨著計算機技術的發展和終端設備的普及,終端設備的應用範圍得到了廣泛的提高,逐漸成為人們日常生活中必不可少的通信工具和娛樂工具,用戶對終端設備的安全性提出了更高的要求。
目前,終端設備上的各個系統之間進行交互時,都需要使用到http接口。為了保證安全,往往都需要用到安全校驗機制。安全校驗機制目前主要有以下兩種:
1、baseauth機制,即系統為訪問自己的各個系統分配不同的用戶名和密碼,接口調用時,驗證用戶名和密碼是否一致。
2、驗證碼機制,即系統為訪問自己的各個系統提供相同的加密key,各系統根據該加密key和約定的加密算法,將請求參數進行加密,並生成尾部驗證碼,系統使用加密key對參數內容解密,並比對驗證碼是否一致。
上述這些校驗方式都需要用到帳戶信息或密鑰,而目前的方案是,將這些信息放在各系統的代碼或配置文件中。該方案主要存在以下問題:
1、開發人員可以知道校驗方式與校驗信息、運維人員也可以知道校驗信息,這樣信息安全存在極大的漏洞和隱患。
2、各系統有開發、測試與正式環境,而各環境的安全信息都不一樣,這樣在切換環境時,需要手動去修改,效率較低且容易出錯。
3、各系統使用到相同的校驗方式時,有較多的重複工作,開發與聯調的效率較低。
如何克服現有技術中所存在的上述問題,從而使各系統間方便、高效地進行安全校驗,目前現有技術中還沒有相關的解決方案。
技術實現要素:
本發明的主要目的在於提出一種實現安全校驗的方法、裝置及移動終端,從而使各系統間方便、高效地進行安全校驗。
為實現上述目的,本發明實施例提供了一種實現安全校驗的方法,包括:
接口校驗系統設置在第一系統和第二系統上;
第一系統調用第二系統的接口時,判斷是否已獲取與所述第二系統通信時的校驗信息,如果沒有獲取與所述第二系統通信時的校驗信息,則向接口校驗系統獲取與所述第二系統通信時的校驗信息;
如果獲取到與所述第二系統通信時的校驗信息,則所述第一系統通過所述接口校驗系統提供的切面程序,在接口調用請求信息中添加所述與所述第二系統通信時的校驗信息,並向所述第二系統發送所述接口調用請求。
可選地,所述第二系統通過所述接口校驗系統進行註冊以獲取所述第二系統的校驗信息;
所述第二系統接收到所述第一系統的接口調用請求後,根據所述第二系統的校驗信息對所述接口進行校驗。
可選地,所述第二系統通過接口校驗系統進行註冊以獲取所述第二系統的校驗信息包括:
所述第二系統通過所述接口校驗系統提供的註冊頁面設置本系統的相關信息進行註冊,註冊成功後,下載所述接口校驗系統為本系統生成的在進行https通信時需要用到的證書,並使用該證書與所述接口校驗系統進行加密通信,以獲取所述校驗信息。
可選地,所述第一系統向接口校驗系統獲取與所述第二系統通信時的校驗信息包括:
所述第一系統通過https請求向所述接口校驗系統申請與所述第二系統通信時的校驗信息;其中與所述第二系統通信時的校驗信息是所述接口校驗系統根據所述第一系統的請求地址所返回的與所述第一系統對應的校驗信息。
可選地,所述第二系統的校驗信息由所述接口校驗系統周期性地進行更新,並以加密方式保存在所述接口校驗系統中。
本發明實施例還提供了一種實現安全校驗的裝置,設置在系統上,包括:
接口調用模塊,設置為當第一系統調用第二系統的接口時,判斷是否已獲取與所述第二系統通信時的校驗信息,如果沒有獲取與所述第二系統通信時的校驗信息,則向接口校驗系統獲取與所述第二系統通信時的校驗信息,並將所獲取的與所述第二系統通信時的校驗信息發送給接口加密模塊,其中,所述接口校驗系統設置在所述第一系統和第二系統上;
接口加密模塊,設置為如果獲取到與所述第二系統通信時的校驗信息,則所述第一系統通過所述接口校驗系統提供的切面程序,在接口調用請求信息中添加所述與所述第二系統通信時的校驗信息,並向所述第二系統發送所述接口調用請求。
可選地,該裝置還包括:
校驗信息獲取模塊,設置為通過所述接口校驗系統進行註冊以獲取本系統的校驗信息;
接口解密驗證模塊,設置為當所述第二系統接收到所述第一系統的接口調用請求後,根據本系統的校驗信息對所述接口進行校驗。
可選地,所述校驗信息獲取模塊還設置為:
系統通過所述接口校驗系統提供的註冊頁面設置本系統的相關信息進行註冊,註冊成功後,下載所述接口校驗系統為本系統生成的在進行https通信時需要用到的證書,並使用該證書與所述接口校驗系統進行加密通信,以獲取所述校驗信息。
可選地,所述接口調用模塊還設置為:
所述第一系統通過https請求向所述接口校驗系統申請與所述第二系統通信時的校驗信息;其中與所述第二系統通信時的校驗信息是所述接口校驗系統根據所述第一系統的請求地址所返回的與所述第一系統對應的校驗信息。
可選地,所述第二系統的校驗信息由所述接口校驗系統周期性地進行更新,並以加密方式保存在所述接口校驗系統中。
本發明實施例還提供了一種移動終端,包括上述任一項所述的實現安全校驗的裝置。
本發明提出的技術方案包括:接口校驗系統設置在第一系統和第二系統上;所述第一系統調用所述第二系統的接口時,判斷是否已獲取與所述第二系統通信時的校驗信息,如果沒有獲取與所述第二系統通信時的校驗信息,則向所述接口校驗系統獲取與所述第二系統通信時的校驗信息;如果獲取到與所述第二系統通信時的校驗信息,則所述第一系統通過所述接口校驗系統提供的切面程序,在接口調用請求信息中添加所述與所述第二系統通信時的校驗信息,並向所述第二系統發送所述接口調用請求。本發明通過利用接口校驗系統為各個系統生成各自的校驗信息,當第一系統調用所述第二系統的接口時,再通過所述接口校驗系統提供的切面程序,在接口調用請求信息中添加所述與所述第二系統通信時的校驗信息,由於在安全校驗過程中使用了接口校驗系統,使得各個系統不需要各自再去寫重複的代碼來實現接口校驗功能,從而使各系統間的安全校驗更為方便和高效。
附圖說明
圖1為實現本發明各個實施例一可選的移動終端的硬體結構示意圖;
圖2為本發明圖1中的移動終端的無線通信系統示意圖;
圖3為本發明實現安全校驗的方法的流程圖;
圖4為本發明實現安全校驗的裝置的組成結構示意圖。
本發明目的的實現、功能特點及優點將結合實施例,參照附圖做進一步說明。
具體實施方式
應當理解,此處所描述的具體實施例僅僅用以解釋本發明,並不用於限定本發明。
現在將參考附圖描述實現本發明各個實施例的移動終端。在後續的描述中,使用用於表示元件的諸如「模塊」、「部件」或「單元」的後綴僅為了有利於本發明的說明,其本身並沒有特定的意義。因此,"模塊"與"部件"可以混合地使用。
移動終端可以以各種形式來實施。例如,本發明中描述的終端可以包括諸如行動電話、智慧型電話、筆記本電腦、數字廣播接收器、pda(個人數字助理)、pad(平板電腦)、pmp(可攜式多媒體播放器)、導航裝置等等的移動終端以及諸如數字tv、臺式計算機等等的固定終端。下面,假設終端是移動終端。然而,本領域技術人員將理解的是,除了特別用於移動目的的元件之外,根據本發明的實施方式的構造也能夠應用於固定類型的終端。
圖1為實現本發明各個實施例一可選的移動終端的硬體結構示意。
移動終端100可以包括無線通信單元110、a/v(音頻/視頻)輸入單元120、用戶輸入單元130、感測單元140、輸出單元150、存儲器160、接口單元170、控制器180和電源單元190等等。圖1示出了具有各種組件的移動終端,但是應理解的是,並不要求實施所有示出的組件。可以替代地實施更多或更少的組件。將在下面詳細描述移動終端的元件。
無線通信單元110通常包括一個或多個組件,其允許移動終端100與無線通信系統或網絡之間的無線電通信。例如,無線通信單元可以包括廣播接收模塊111、移動通信模塊112、無線網際網路模塊113、短程通信模塊114和位置信息模塊115中的至少一個。
廣播接收模塊111經由廣播信道從外部廣播管理伺服器接收廣播信號和/或廣播相關信息。廣播信道可以包括衛星信道和/或地面信道。廣播管理伺服器可以是生成並發送廣播信號和/或廣播相關信息的伺服器或者接收之前生成的廣播信號和/或廣播相關信息並且將其發送給終端的伺服器。廣播信號可以包括tv廣播信號、無線電廣播信號、數據廣播信號等等。而且,廣播信號可以進一步包括與tv或無線電廣播信號組合的廣播信號。廣播相關信息也可以經由移動通信網絡提供,並且在該情況下,廣播相關信息可以由移動通信模塊112來接收。廣播信號可以以各種形式存在,例如,其可以以數字多媒體廣播(dmb)的電子節目指南(epg)、數字視頻廣播手持(dvb-h)的電子服務指南(esg)等等的形式而存在。廣播接收模塊111可以通過使用各種類型的廣播系統接收信號廣播。特別地,廣播接收模塊111可以通過使用諸如多媒體廣播-地面(dmb-t)、數字多媒體廣播-衛星(dmb-s)、數字視頻廣播-手持(dvb-h),前向鏈路媒體(mediaflo@)的數據廣播系統、地面數字廣播綜合服務(isdb-t)等等的數字廣播系統接收數字廣播。廣播接收模塊111可以被構造為適合提供廣播信號的各種廣播系統以及上述數字廣播系統。經由廣播接收模塊111接收的廣播信號和/或廣播相關信息可以存儲在存儲器160(或者其它類型的存儲介質)中。
移動通信模塊112將無線電信號發送到基站(例如,接入點、節點b等等)、外部終端以及伺服器中的至少一個和/或從其接收無線電信號。這樣的無線電信號可以包括語音通話信號、視頻通話信號、或者根據文本和/或多媒體消息發送和/或接收的各種類型的數據。
無線網際網路模塊113支持移動終端的無線網際網路接入。該模塊可以內部或外部地耦接到終端。該模塊所涉及的無線網際網路接入技術可以包括wlan(無線lan)(wi-fi)、wibro(無線寬帶)、wimax(全球微波互聯接入)、hsdpa(高速下行鏈路分組接入)等等。
短程通信模塊114是用於支持短程通信的模塊。短程通信技術的一些示例包括藍牙tm、射頻識別(rfid)、紅外數據協會(irda)、超寬帶(uwb)、紫蜂tm等等。
位置信息模塊115是用於檢查或獲取移動終端的位置信息的模塊。位置信息模塊的典型示例是gps(全球定位系統)。根據當前的技術,gps模塊115計算來自三個或更多衛星的距離信息和準確的時間信息並且對於計算的信息應用三角測量法,從而根據經度、緯度和高度準確地計算三維當前位置信息。當前,用於計算位置和時間信息的方法使用三顆衛星並且通過使用另外的一顆衛星校正計算出的位置和時間信息的誤差。此外,gps模塊115能夠通過實時地連續計算當前位置信息來計算速度信息。
a/v輸入單元120用於接收音頻或視頻信號。a/v輸入單元120可以包括相機121和麥克風122,相機121對在視頻捕獲模式或圖像捕獲模式中由圖像捕獲裝置獲得的靜態圖片或視頻的圖像數據進行處理。處理後的圖像幀可以顯示在顯示單元151上。經相機121處理後的圖像幀可以存儲在存儲器160(或其它存儲介質)中或者經由無線通信單元110進行發送,可以根據移動終端的構造提供兩個或更多相機1210。麥克風122可以在電話通話模式、記錄模式、語音識別模式等等運行模式中經由麥克風接收聲音(音頻數據),並且能夠將這樣的聲音處理為音頻數據。處理後的音頻(語音)數據可以在電話通話模式的情況下轉換為可經由移動通信模塊112發送到移動通信基站的格式輸出。麥克風122可以實施各種類型的噪聲消除(或抑制)算法以消除(或抑制)在接收和發送音頻信號的過程中產生的噪聲或者幹擾。
用戶輸入單元130可以根據用戶輸入的命令生成鍵輸入數據以控制移動終端的各種操作。用戶輸入單元130允許用戶輸入各種類型的信息,並且可以包括鍵盤、鍋仔片、觸摸板(例如,檢測由於被接觸而導致的電阻、壓力、電容等等的變化的觸敏組件)、滾輪、搖杆等等。特別地,當觸摸板以層的形式疊加在顯示單元151上時,可以形成觸控螢幕。
感測單元140檢測移動終端100的當前狀態,(例如,移動終端100的打開或關閉狀態)、移動終端100的位置、用戶對於移動終端100的接觸(即,觸摸輸入)的有無、移動終端100的取向、移動終端100的加速或減速移動和方向等等,並且生成用於控制移動終端100的操作的命令或信號。例如,當移動終端100實施為滑動型行動電話時,感測單元140可以感測該滑動型電話是打開還是關閉。另外,感測單元140能夠檢測電源單元190是否提供電力或者接口單元170是否與外部裝置耦接。感測單元140可以包括接近傳感器1410將在下面結合觸控螢幕來對此進行描述。
接口單元170用作至少一個外部裝置與移動終端100連接可以通過的接口。例如,外部裝置可以包括有線或無線頭戴式耳機埠、外部電源(或電池充電器)埠、有線或無線數據埠、存儲卡埠、用於連接具有識別模塊的裝置的埠、音頻輸入/輸出(i/o)埠、視頻i/o埠、耳機埠等等。識別模塊可以是存儲用於驗證用戶使用移動終端100的各種信息並且可以包括用戶識別模塊(uim)、客戶識別模塊(sim)、通用客戶識別模塊(usim)等等。另外,具有識別模塊的裝置(下面稱為"識別裝置")可以採取智慧卡的形式,因此,識別裝置可以經由埠或其它連接裝置與移動終端100連接。接口單元170可以用於接收來自外部裝置的輸入(例如,數據信息、電力等等)並且將接收到的輸入傳輸到移動終端100內的一個或多個元件或者可以用於在移動終端和外部裝置之間傳輸數據。
另外,當移動終端100與外部底座連接時,接口單元170可以用作允許通過其將電力從底座提供到移動終端100的路徑或者可以用作允許從底座輸入的各種命令信號通過其傳輸到移動終端的路徑。從底座輸入的各種命令信號或電力可以用作用於識別移動終端是否準確地安裝在底座上的信號。輸出單元150被構造為以視覺、音頻和/或觸覺方式提供輸出信號(例如,音頻信號、視頻信號、警報信號、振動信號等等)。輸出單元150可以包括顯示單元151、音頻輸出模塊152、警報單元153等等。
顯示單元151可以顯示在移動終端100中處理的信息。例如,當移動終端100處於電話通話模式時,顯示單元151可以顯示與通話或其它通信(例如,文本消息收發、多媒體文件下載等等)相關的用戶界面(ui)或圖形用戶界面(gui)。當移動終端100處於視頻通話模式或者圖像捕獲模式時,顯示單元151可以顯示捕獲的圖像和/或接收的圖像、示出視頻或圖像以及相關功能的ui或gui等等。
同時,當顯示單元151和觸摸板以層的形式彼此疊加以形成觸控螢幕時,顯示單元151可以用作輸入裝置和輸出裝置。顯示單元151可以包括液晶顯示器(lcd)、薄膜電晶體lcd(tft-lcd)、有機發光二極體(oled)顯示器、柔性顯示器、三維(3d)顯示器等等中的至少一種。這些顯示器中的一些可以被構造為透明狀以允許用戶從外部觀看,這可以稱為透明顯示器,典型的透明顯示器可以例如為toled(透明有機發光二極體)顯示器等等。根據特定想要的實施方式,移動終端100可以包括兩個或更多顯示單元(或其它顯示裝置),例如,移動終端可以包括外部顯示單元(未示出)和內部顯示單元(未示出)。觸控螢幕可用於檢測觸摸輸入壓力以及觸摸輸入位置和觸摸輸入面積。
音頻輸出模塊152可以在移動終端處於呼叫信號接收模式、通話模式、記錄模式、語音識別模式、廣播接收模式等等模式下時,將無線通信單元110接收的或者在存儲器160中存儲的音頻數據轉換音頻信號並且輸出為聲音。而且,音頻輸出模塊152可以提供與移動終端100執行的特定功能相關的音頻輸出(例如,呼叫信號接收聲音、消息接收聲音等等)。音頻輸出模塊152可以包括揚聲器、蜂鳴器等等。
警報單元153可以提供輸出以將事件的發生通知給移動終端100。典型的事件可以包括呼叫接收、消息接收、鍵信號輸入、觸摸輸入等等。除了音頻或視頻輸出之外,警報單元153可以以不同的方式提供輸出以通知事件的發生。例如,警報單元153可以以振動的形式提供輸出,當接收到呼叫、消息或一些其它進入通信(incomingcommunication)時,警報單元153可以提供觸覺輸出(即,振動)以將其通知給用戶。通過提供這樣的觸覺輸出,即使在用戶的行動電話處於用戶的口袋中時,用戶也能夠識別出各種事件的發生。警報單元153也可以經由顯示單元151或音頻輸出模塊152提供通知事件的發生的輸出。
存儲器160可以存儲由控制器180執行的處理和控制操作的軟體程序等等,或者可以暫時地存儲己經輸出或將要輸出的數據(例如,電話簿、消息、靜態圖像、視頻等等)。而且,存儲器160可以存儲關於當觸摸施加到觸控螢幕時輸出的各種方式的振動和音頻信號的數據。
存儲器160可以包括至少一種類型的存儲介質,所述存儲介質包括快閃記憶體、硬碟、多媒體卡、卡型存儲器(例如,sd或dx存儲器等等)、隨機訪問存儲器(ram)、靜態隨機訪問存儲器(sram)、只讀存儲器(rom)、電可擦除可編程只讀存儲器(eeprom)、可編程只讀存儲器(prom)、磁性存儲器、磁碟、光碟等等。而且,移動終端100可以與通過網絡連接執行存儲器160的存儲功能的網絡存儲裝置協作。
控制器180通常控制移動終端的總體操作。例如,控制器180執行與語音通話、數據通信、視頻通話等等相關的控制和處理。另外,控制器180可以包括用於再現(或回放)多媒體數據的多媒體模塊1810,多媒體模塊1810可以構造在控制器180內,或者可以構造為與控制器180分離。控制器180可以執行模式識別處理,以將在觸控螢幕上執行的手寫輸入或者圖片繪製輸入識別為字符或圖像。
電源單元190在控制器180的控制下接收外部電力或內部電力並且提供操作各元件和組件所需的適當的電力。
這裡描述的各種實施方式可以以使用例如計算機軟體、硬體或其任何組合的計算機可讀介質來實施。對於硬體實施,這裡描述的實施方式可以通過使用特定用途集成電路(asic)、數位訊號處理器(dsp)、數位訊號處理裝置(dspd)、可編程邏輯裝置(pld)、現場可編程門陣列(fpga)、處理器、控制器、微控制器、微處理器、被設計為執行這裡描述的功能的電子單元中的至少一種來實施,在一些情況下,這樣的實施方式可以在控制器180中實施。對於軟體實施,諸如過程或功能的實施方式可以與允許執行至少一種功能或操作的單獨的軟體模塊來實施。軟體代碼可以由以任何適當的程式語言編寫的軟體應用程式(或程序)來實施,軟體代碼可以存儲在存儲器160中並且由控制器180執行。
至此,己經按照其功能描述了移動終端。下面,為了簡要起見,將描述諸如摺疊型、直板型、擺動型、滑動型移動終端等等的各種類型的移動終端中的滑動型移動終端作為示例。因此,本發明能夠應用於任何類型的移動終端,並且不限於滑動型移動終端。
如圖1中所示的移動終端100可以被構造為利用經由幀或分組發送數據的諸如有線和無線通信系統以及基於衛星的通信系統來操作。
現在將參考圖2描述其中根據本發明的移動終端能夠操作的通信系統。
這樣的通信系統可以使用不同的空中接口和/或物理層。例如,由通信系統使用的空中接口包括例如頻分多址(fdma)、時分多址(tdma)、碼分多址(cdma)和通用移動通信系統(umts)(特別地,長期演進(lte))、全球移動通信系統(gsm)等等。作為非限制性示例,下面的描述涉及cdma通信系統,但是這樣的教導同樣適用於其它類型的系統。
參考圖2,cdma無線通信系統可以包括多個移動終端100、多個基站(bs)270、基站控制器(bsc)275和移動交換中心(msc)280。msc280被構造為與公共電話交換網絡(pstn)290形成接口。msc280還被構造為與可以經由回程線路耦接到基站270的bsc275形成接口。回程線路可以根據若干己知的接口中的任一種來構造,所述接口包括例如e1/t1、atm,ip、ppp、幀中繼、hdsl、adsl或xdsl。將理解的是,如圖2中所示的系統可以包括多個bsc2750。
每個bs270可以服務一個或多個分區(或區域),由多向天線或指向特定方向的天線覆蓋的每個分區放射狀地遠離bs270。或者,每個分區可以由用於分集接收的兩個或更多天線覆蓋。每個bs270可以被構造為支持多個頻率分配,並且每個頻率分配具有特定頻譜(例如,1.25mhz,5mhz等等)。
分區與頻率分配的交叉可以被稱為cdma信道。bs270也可以被稱為基站收發器子系統(bts)或者其它等效術語。在這樣的情況下,術語"基站"可以用於籠統地表示單個bsc275和至少一個bs270。基站也可以被稱為"蜂窩站"。或者,特定bs270的各分區可以被稱為多個蜂窩站。
參考圖2,cdma無線通信系統可以包括多個移動終端100、多個基站(bs)270、基站控制器(bsc)275和移動交換中心(msc)280。msc280被構造為與公共電話交換網絡(pstn)290形成接口。msc280還被構造為與可以經由回程線路耦接到基站270的bsc275形成接口。回程線路可以根據若干己知的接口中的任一種來構造,所述接口包括例如e1/t1、atm,ip、ppp、幀中繼、hdsl、adsl或xdsl。將理解的是,如圖2中所示的系統可以包括多個bsc2750。
每個bs270可以服務一個或多個分區(或區域),由多向天線或指向特定方向的天線覆蓋的每個分區放射狀地遠離bs270。或者,每個分區可以由用於分集接收的兩個或更多天線覆蓋。每個bs270可以被構造為支持多個頻率分配,並且每個頻率分配具有特定頻譜(例如,1.25mhz,5mhz等等)。
分區與頻率分配的交叉可以被稱為cdma信道。bs270也可以被稱為基站收發器子系統(bts)或者其它等效術語。在這樣的情況下,術語"基站"可以用於籠統地表示單個bsc275和至少一個bs270。基站也可以被稱為"蜂窩站"。或者,特定bs270的各分區可以被稱為多個蜂窩站。
如圖2中所示,廣播發射器(bt)295將廣播信號發送給在系統內操作的移動終端100。如圖1中所示的廣播接收模塊111被設置在移動終端100處以接收由bt295發送的廣播信號。在圖2中,示出了幾個全球定位系統(gps)衛星300。衛星300幫助定位多個移動終端100中的至少一個。
在圖2中,描繪了多個衛星300,但是理解的是,可以利用任何數目的衛星獲得有用的定位信息。如圖1中所示的gps模塊115通常被構造為與衛星300配合以獲得想要的定位信息。替代gps跟蹤技術或者在gps跟蹤技術之外,可以使用可以跟蹤移動終端的位置的其它技術。另外,至少一個gps衛星300可以選擇性地或者額外地處理衛星dmb傳輸。
作為無線通信系統的一個典型操作,bs270接收來自各種移動終端100的反向鏈路信號。移動終端100通常參與通話、消息收發和其它類型的通信。特定基站270接收的每個反向鏈路信號被在特定bs270內進行處理。獲得的數據被轉發給相關的bsc275。bsc提供通話資源分配和包括bs270之間的軟切換過程的協調的移動管理功能。bsc275還將接收到的數據路由到msc280,其提供用於與pstn290形成接口的額外的路由服務。類似地,pstn290與msc280形成接口,msc與bsc275形成接口,並且bsc275相應地控制bs270以將正向鏈路信號發送到移動終端100。
基於上述移動終端硬體結構以及通信系統,提出本發明方法各個實施例。
圖3為本發明實現安全校驗的方法的流程圖,如圖3所示,包括以下步驟:
步驟301:第一系統調用第二系統的接口;
其中,接口校驗系統設置在第一系統和第二系統上。
在執行本步驟之前,還包括:所述第二系統通過接口校驗系統進行註冊以獲取所述第二系統的校驗信息。
目前,各系統接口間交互時進行的安全校驗機制目前主要有baseauth機制和驗證碼機制,基於這兩種安全校驗機制,實現了一套安全校驗系統,該安全校驗系統將這兩種安全校驗機制的客戶端加密與服務端解密驗證代碼都進行了實現,並通過切面的形式,來攔截各系統的接口處理,以進行統一的客戶端加密處理和服務端解密驗證。在具體實現時,安全校驗系統將這部分的代碼打包,可以以jar包的形式提供給各個系統使用。這樣,各個系統就不需要自己再去寫重複的代碼來實現接口校驗功能了。
接口校驗系統提供註冊頁面,各個系統的產品經理去該頁面填寫自己所負責系統的信息,信息可以包括但不限於系統名稱、唯一標識號、開發測試與正式環境的域名、使用的安全校驗機制等。註冊成功後,接口校驗系統會為該系統生成一個https通信需要用到的證書,系統下載該證書後,使用該證書與安全校驗系統進行加密通信,以獲取開發測試與正式環境所使用的接口驗證信息,如與自己系統對接的各系統分配的用戶名密碼,以及加密key和約定的加密算法等。其中,https的全稱為:hypertexttransferprotocoloversecuresocketlayer,是以安全為目標的http通道,簡單講是http的安全版。
為了加強系統的安全性,在接口校驗系統中保存的各系統校驗信息都是加密保存的,管理員所看到的信息也都是加密後的信息,這樣可以保證信息安全;另外,各個系統還可以設置各自的校驗信息更新周期,例如一個月或一年,即在一個周期後,由接口校驗系統更新其接口校驗信息,並通知到各個系統進行通過https請求進行更新。
步驟302:判斷是否已獲取與所述第二系統通信時的校驗信息,如果沒有獲取與所述第二系統通信時的校驗信息,則執行步驟303;否則執行步驟304。
步驟303:所述第一系統向所述接口校驗系統獲取與所述第二系統通信時的校驗信息。
在本步驟中,所述第一系統向所述接口校驗系統獲取與所述第二系統通信時的校驗信息包括:
所述第一系統通過https請求向所述接口校驗系統申請與所述第二系統通信時的校驗信息;其中與所述第二系統通信時的校驗信息是所述接口校驗系統根據所述第一系統的請求地址所返回的與所述第一系統對應的校驗信息。例如:接口校驗系統根據第一系統請求的地址判斷其是開發測試還是正式環境,如果是開發測試環境,則將與開發測試環境對應的校驗方法和信息返回給第一系統,如果是正式環境,則將與正式環境對應的校驗方法和信息返回給第一系統。
步驟304:如果獲取到與所述第二系統通信時的校驗信息,則所述第一系統通過所述接口校驗系統提供的切面程序,在接口調用請求信息中添加所述與所述第二系統通信時的校驗信息,並向所述第二系統發送所述接口調用請求。
其中,在執行完步驟304之後,還可以包括:
所述第二系統接收到所述第一系統的接口調用請求後,根據本系統的校驗信息對接口進行校驗。這樣,就完成了一個接口的校驗過程。
在一個實施例中,當安全校驗機制為baseauth機制時,所述第一系統與所述第二系統通信時的校驗信息為用戶名和密碼,那麼,在接口調用請求信息中添加所述與所述第二系統通信時的校驗信息可以通過以下方式實現:
第一系統在接口調用請求信息中添加用戶名和密碼,這樣,在第一系統將該接口調用請求發送給第二系統,並且第二系統收到該接口調用請求後,第二系統根據事先所獲取到的本系統的用戶名和密碼,對該接口進行校驗,如果該接口調用請求中所包含的用戶名和密碼與本系統所獲取到的用戶名和密碼一致,則驗證通過,可執行該接口並返回執行結果。
在另一個實施例中,當安全校驗機制為驗證碼機制時,所述第一系統與所述第二系統通信時的校驗信息為加密key,那麼,在接口調用請求信息中添加所述與所述第二系統通信時的校驗信息可以通過以下方式實現:
第一系統根據該加密key和約定的加密算法,對接口調用請求信息進行加密,並生成尾部驗證碼,並將該尾部驗證碼添加到接口調用請求信息中,這樣,在第一系統將該接口調用請求發送給第二系統,並且第二系統收到該接口調用請求後,第二系統根據事先所獲取到的本系統的加密key對接口調用請求參數內容進行解密,並比對該接口調用請求中所包含的尾部驗證碼與本系統通過所獲取的加密key生成的驗證碼是否一致,如果一致,則驗證通過,可執行該接口並返回執行結果。
圖4為本發明實現安全校驗的裝置的組成結構示意圖,如圖4所示,該裝置設置在系統上,包括:接口調用模塊,接口加密模塊,其中,
接口調用模塊,設置為當第一系統調用第二系統的接口時,判斷是否已獲取與所述第二系統通信時的校驗信息,如果沒有獲取與所述第二系統通信時的校驗信息,則向接口校驗系統獲取與所述第二系統通信時的校驗信息,並將所獲取的與所述第二系統通信時的校驗信息發送給接口加密模塊,其中,所述接口校驗系統設置在所述第一系統和第二系統上;
接口加密模塊,設置為如果獲取到與所述第二系統通信時的校驗信息,則所述第一系統通過所述接口校驗系統提供的切面程序,在接口調用請求信息中添加所述與所述第二系統通信時的校驗信息,並向所述第二系統發送所述接口調用請求。
另外,該裝置還包括:
校驗信息獲取模塊,設置為通過所述接口校驗系統進行註冊以獲取本系統的校驗信息;
接口解密驗證模塊,設置為當所述第二系統接收到所述第一系統的接口調用請求後,根據本系統的校驗信息對所述接口進行校驗。
當安全校驗機制為baseauth機制時,所述第一系統與所述第二系統通信時的校驗信息為用戶名和密碼,那麼,在接口調用請求信息中添加所述與所述第二系統通信時的校驗信息可以通過以下方式實現:
第一系統在接口調用請求信息中添加用戶名和密碼,這樣,在第一系統將該接口調用請求發送給第二系統,並且第二系統收到該接口調用請求後,第二系統根據事先所獲取到的本系統的用戶名和密碼,對該接口進行校驗,如果該接口調用請求中所包含的用戶名和密碼與本系統所獲取到的用戶名和密碼一致,則驗證通過,可執行該接口並返回執行結果。
當安全校驗機制為驗證碼機制時,所述第一系統與所述第二系統通信時的校驗信息為加密key,那麼,在接口調用請求信息中添加所述與所述第二系統通信時的校驗信息可以通過以下方式實現:
第一系統根據該加密key和約定的加密算法,對接口調用請求信息進行加密,並生成尾部驗證碼,並將該尾部驗證碼添加到接口調用請求信息中,這樣,在第一系統將該接口調用請求發送給第二系統,並且第二系統收到該接口調用請求後,第二系統根據事先所獲取到的本系統的加密key對接口調用請求參數內容進行解密,並比對該接口調用請求中所包含的尾部驗證碼與本系統通過所獲取的加密key生成的驗證碼是否一致,如果一致,則驗證通過,可執行該接口並返回執行結果。
其中,所述校驗信息獲取模塊還設置為:
系統通過所述接口校驗系統提供的註冊頁面設置本系統的相關信息進行註冊,註冊成功後,下載所述接口校驗系統為本系統生成的在進行https通信時需要用到的證書,並使用該證書與所述接口校驗系統進行加密通信,以獲取所述校驗信息。
所述接口調用模塊還設置為:
所述第一系統通過https請求向所述接口校驗系統申請與所述第二系統通信時的校驗信息;其中與所述第二系統通信時的校驗信息是所述接口校驗系統根據所述第一系統的請求地址所返回的與所述第一系統對應的校驗信息。
其中,所述第一系統通過https請求向所述接口校驗系統申請與所述第二系統通信時的校驗信息;其中與所述第二系統通信時的校驗信息是所述接口校驗系統根據所述第一系統的請求地址所返回的與所述第一系統對應的校驗信息。
本發明還提供一種行動裝置,包括有上述任一項所述的實現安全校驗的裝置。
這裡強調的是,本發明中,通過利用接口校驗系統為各個系統生成各自的校驗信息,當第一系統調用所述第二系統的接口時,再通過所述接口校驗系統提供的切面程序,在接口調用請求信息中添加所述與所述第二系統通信時的校驗信息,由於在安全校驗過程中使用了接口校驗系統,使得各個系統不需要各自再去寫重複的代碼來實現接口校驗功能,從而使各系統間的安全校驗更為方便和高效。
需要說明的是,在本文中,術語「包括」、「包含」或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者裝置不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者裝置所固有的要素。在沒有更多限制的情況下,由語句「包括一個……」限定的要素,並不排除在包括該要素的過程、方法、物品或者裝置中還存在另外的相同要素。
上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。
通過以上的實施方式的描述,本領域的技術人員可以清楚地了解到上述實施例方法可藉助軟體加必需的通用硬體平臺的方式來實現,當然也可以通過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該計算機軟體產品存儲在一個存儲介質(如rom/ram、磁碟、光碟)中,包括若干指令用以使得一臺終端(可以是手機,計算機,伺服器,空調器,或者網絡設備等)執行本發明各個實施例所述的方法。
以上僅為本發明的優選實施例,並非因此限制本發明的專利範圍,凡是利用本發明說明書及附圖內容所作的等效結構或等效流程變換,或直接或間接運用在其他相關的技術領域,均同理包括在本發明的專利保護範圍內。