一種業務訪問方法及裝置的制造方法

一種業務訪問方法及裝置的制造方法
【技術領域】
[0001] 本發明涉及通信技術領域，尤其涉及一種業務訪問方法及裝置。
【背景技術】
[0002] 隨著通信網絡技術的不斷發展，目前BSS (Business support system,業務支撐系 統）已經由內部網絡逐步向互聯網方向發展。其中，業務支撐系統是電信業務運營系統提 供的業務運營和管理平臺，如計費、結算、帳務、客服、營業等系統。當用戶在客戶端進行業 務操作時，業務請求將通過互聯網發送至內部網絡中的各個業務支撐系統，當業務支撐系 統接收外部網絡中的業務請求時，因BSS系統中涉及大量客戶私人敏感信息，從安全性考 慮，需要客戶端與業務服務端之間使用標準安全協議進行通信，如HTTPs協議。
[0003] 在現有技術的BSS業務系統組網方案中，通常通過內部網絡中的各個業務支撐系 統分別向客戶端發布安全證書，客戶端根據該安全證書對業務請求進行加密，若某客戶端 需要應用多個內部網絡業務支撐系統提供的服務，則該客戶端需要導入多份安全證書，并 根據業務的不同選擇不同的證書對業務請求進行加密，從而保證客戶端與業務服務端之間 通信的安全性。
[0004]由于各個業務支撐系統都需要對外發布安全證書及安全驗證，對于訪問量大性 能要求高的業務支撐系統，為了避免響應超時，達到性能要求需進行設備擴容，使得組網 成本增加；而且，由于BSS業務支撐系統本身的業務領域劃分，各個業務系統服務端都需要 進行證書發布，維護困難，同時，也增加了客戶端的改造量W及維護工作量。

【發明內容】

[0005] 本發明的實施例提供一種業務訪問方法及裝置，通過安全傳輸代理裝置進行業務 權限的驗證管理，減少了業務服務端組網成本及改造維護工作量，同時增強了通信安全性。
[0006] 為達到上述目的，本發明的實施例采用如下技術方案：
[0007] 第一方面，本發明實施例提供一種安全傳輸代理裝置，包括：
[0008] 接收單元，用于接收客戶端發送的業務請求消息；
[0009] 解密單元，用于將所述業務請求消息進行解密，其中，所述業務請求消息包括業務 類型；
[0010] 驗證單元，用于根據所述業務類型對解密后的業務請求消息的業務權限進行驗 證；
[0011] 轉換單元，用于若所述業務權限驗證成功，將所述解密后的業務請求消息進行協 議轉換；
[0012] 發送單元，用于發送協議轉換后的業務請求消息至業務服務端，W使得所述業務 服務端根據所述協議轉換后的業務請求消息執行相應的業務。
[0013] 在第一方面第一種可能實現方式中，結合第一方面，所述業務請求消息至少還包 括消息渠道和用戶信息，
[0014] 所述驗證單元，用于根據所述消息渠道和所述業務類型對所述業務權限進行第一 驗證；若所述第一驗證成功，根據所述用戶信息和所述業務類型對所述業務權限進行第二 驗證；
[0015] 所述轉換單元，用于在所述第二驗證成功后，將所述解密后的業務請求消息進行 協議轉換。
[0016] 在第一方面第二種可能實現方式中，結合第一方面第一種可能實現方式，所述驗 證單元，具體用于在預設的數據庫中查找與所述消息渠道對應的第一業務類型；若所述業 務類型為所述第一業務類型中的任一個，則所述第一驗證成功。
[0017] 在第一方面第H種可能實現方式中，結合第一方面第二種可能實現方式，所述驗 證單元，具體用于在所述預設的數據庫中查找與所述用戶信息對應的第一權限值；在所述 預設的數據庫中查找與所述業務類型對應的第二權限值；若所述第一權限值大于或等于所 述第二權限值，則所述第二驗證成功；
[0018] 所述轉換單元，用于在所述第二驗證成功后，將所述解密后的業務請求消息進行 協議轉換。
[0019] 在第一方面第四種可能實現方式中，結合第一方面第二種可能實現方式，所述驗 證單元，具體用于在所述預設的數據庫中查找與所述用戶信息對應的第一歸屬業務系統和 第H權限值；在所述預設的數據庫中查找與所述業務類型對應的第二歸屬業務系統和第四 權限值；若所述第一歸屬業務系統與所述第二歸屬業務系統相同，且所述第H權限值大于 或等于所述第四權限值，則所述第二驗證成功；
[0020] 所述轉換單元，用于在所述第二驗證成功后，將所述解密后的業務請求消息進行 協議轉換。
[0021] 在第一方面第五種可能實現方式中，結合第一方面及第一方面第四種可能實現方 式，所述解密后的業務請求消息攜帶第一協議標識，所述轉換單元，具體用于將所述解密后 的業務請求消息攜帶的第一協議標識轉換為所述業務服務端可識別的第二協議標識。
[0022] 在第一方面第六種可能實現方式中，結合第一方面及第一方面第四種可能實現方 式，所述裝置還包括適配單元；用于對所述業務請求消息進行協議適配。
[0023] 在第一方面第走種可能實現方式中，結合第一方面及第一方面第四種可能實現方 式，所述發送單元，還用于向所述客戶端發布安全證書，W使得所述客戶端根據所述安全證 書對所述業務請求消息進行加密。
[0024] 在第一方面第八種可能實現方式中，結合第一方面，所述發送單元，還用于若所述 業務權限驗證失敗，發送請求失敗消息至所述客戶端。
[00巧]第二方面，本發明實施例提供一種客戶端，包括：
[0026] 獲取單元，用于獲取業務請求消息；
[0027] 加密單元，用于對所述業務請求消息進行加密；
[0028] 發送單元，用于發送加密后的業務請求消息至安全傳輸代理裝置。
[0029] 在第二方面第一種可能實現方式中，結合第二方面，所述客戶端還包括：
[0030] 加載單元，用于加載所述安全傳輸代理裝置發布的安全證書。
[0031] 在第二方面第二種可能實現方式中，結合第二方面及第二方面第一種可能實現方 式，所述業務請求消息攜帶第一協議標識。
[0032] 第H方面，本發明實施例提供一種業務訪問系統，包括：至少一個如上所述的客戶 端、負載均衡器、至少一個業務服務端W及如上所述的安全傳輸代理裝置，所述至少一個客 戶端與所述負載均衡器連接，所述負載均衡器與所述安全傳輸代理裝置連接，所述安全傳 輸代理裝置與所述至少一個業務服務端連接。
[0033] 第四方面，本發明實施例提供一種業務訪問方法，包括：
[0034] 接收客戶端發送的業務請求消息，將所述業務請求消息進行解密，其中，所述業務 請求消息包括業務類型；
[0035] 根據所述業務類型對解密后的業務請求消息的業務權限進行驗證；
[0036] 若所述業務權限驗證成功，將所述解密后的業務請求消息進行協議轉換；
[0037] 發送協議轉換后的業務請求消息至業務服務端，W使得所述業務服務端根據所述 協議轉換后的業務請求消息執行相應的業務。
[0038] 在第四方面第一種可能實現方式中，結合第四方面，所述業務請求消息至少還包 括消息渠道和用戶信息，所述根據所述業務類型對解密后的業務請求消息的業務權限進行 驗證，包括：
[0039] 根據所述消息渠道和所述業務類型對所述業務權限進行第一驗證；
[0040] 若所述第一驗證成功，根據所述用戶信息和所述業務類型對所述業務權限進行第 二驗證。
[0041] 在第四方面第二種可能實現方式中，結合第四方面第一種可能實現方式，所述根 據所述消息渠道和所述業務類型對所述業務權限進行第一驗證，具體包括：
[0042] 在預設的數據庫中查找與所述消息渠道對應的第一業務類型；
[0043] 若所述業務類型為所述第一業務類型中的任一個，則所述第一驗證成功。
[0044] 在第四方面第H種可能實現方式中，結合第四方面第二種可能實現方式，所述根 據所述用戶信息和所述業務類型對所述業務權限進行第二驗證，具體包括：
[0045] 在所述預設的數據庫中查找與所述用戶信息對應的第一權限值；
[0046] 在所述預設的數據庫中查找與所述業務類型對應的第二權限值；
[0047] 若所述第一權限值大于或等于所述第二權限值，則所述第二驗證成功。
[0048] 在第四方面第四種可能實現方式中，結合第四方面第二種可能實現方式，所述根 據所述用戶信息和所述業務類型對所述業務權限進行第二驗證，具體包括：
[0049]在所述預設的數據庫中查找與所述用戶信息對應的第一歸屬業務系統和第H權 限值；
[0050] 在所述預設的數據庫中查找與所述業務類型對應的第二歸屬業務系統和第四權 限值；
[0051] 若所述第一歸屬業務系統與所述第二歸屬業務系統相同，且所述第H權限值大于 或等于所述第四權限值，則所述第二驗證成功。
[0052] 在第四方面第五種可能實現方式中，結合第四方面及第四方面第一種可能實現方 式，所述解密后的業務請求消息攜帶第一協議標識，所述將所述解密后的業務請求消息進 行協議轉換，包括：
[0053] 將所述解密后的業務請求消息攜帶的第一協議標識轉換為所述業務服務端可識 別的第二協議標識。
[0054] 在第四方面第六種可能實現方式中，結合第四方面及第四方面第一種可能實現方 式，在所述將所述業務請求消息進行解密之前，所述方法還包括；對所述業務請求消息進行 協議適配。
[0055] 在第四方面第走種可能實現方式中，結合第四方面及第四方面第四種可能實現方 式，在所述接收客戶端發送的業務請求消息之前，所述方法還包括；向所述客戶端發布安全 證書，W使得所述客戶端根據所述安全證書對所述業務請求消息進行加密。
[0056] 在第四方面第八種可能實現方式中，結合第四方面，在所述根據所述業務類型對 解密后的業務請求消息的業務權限進行驗證之后，所述方法還包括；若所述業務權限驗證 失敗，發送請求失敗消息至所述客戶端。
[0057] 第五方面，本發明實施例提供一種業務系統訪問方法，包括：
[0058] 獲取業務請求消息，對所述業務請求消息進行加密；
[0059] 發送加密后的業務請求消息至安全傳輸代理裝置。
[0060] 在第五方面第一種可能實現方式中，結合第五方面，在所述對所述業務請求消息 進行加密之前，還包括：
[0061] 加載所述安全傳輸代理裝置發布的安全證書。
[0062] 在第五方面第二種可能實現方式中，結合第五方面及第五方面第一種可能實現方 式，所述業務請求消息攜帶第一協議標識。
[0063] 本發明的實施例提供一種業務訪問方法及裝置，安全傳輸代理裝置接收客戶端發 送的業務請求消息，將所述業務請求消息進行解密，其中，業務請求消息包括業務類型，并 根據業務類型對解密后的業務請求消息的業務權限進行驗證；若所述業務權限驗證成功， 將所述解密后的業務請求消息進行協議轉換，并發送協議轉換后的業務請求消息至業務服 務端，W使得所述業務服務端根據所述協議轉換后的業務請求消息執行相應的業務。在本 方案中，可W通過安全傳輸代理裝置對互聯網上客戶端發送的業務請求進行解密及業務權 限的驗證，不再采用各個業務服務端單獨發布證書并進行權限驗證，從而減少了業務服務 端的改造及維護工作量，而且，可W更有效的進行權限驗證方法的制定和維護，降低了組網 成本，同時，由于根據業務類型對解密后的業務請求消息的業務權限進行驗證，增強了通信 安全性。
【附圖說明】
[0064] 為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本 發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可W 根據送些附圖獲得其他的附圖。
[0065] 圖1為本發明實施例提供的安全傳輸代理裝置結構示意圖；<