[发明专利]身份合法性验证的方法、装置及服务器

说明书

本发明公开了一种身份合法性验证的方法、装置及服务器，涉及通信技术领域，为解决因大量无效Access ID攻击导致的系统负荷过重的问题而发明。本发明的方法包括：服务器接收第三方上报的API调用请求，API调用请求中携带有服务器为第三方预先生成并分配的Access ID；查找Access ID中的版本位字符；根据版本位生成规则验证版本位字符所标识的版本号与服务器使用的校验位生成规则的版本号是否一致；当版本位字符验证成功时，查找Access ID中的至少一位校验位字符；根据校验位生成规则分别对至少一位校验位字符进行验证。本发明主要应用于请求调用API的过程中。

技术领域

本发明涉及通信技术领域，尤其涉及一种身份合法性验证的方法、装置及服务器。

背景技术

随着互联网技术的飞速发展，网络侧服务器向第三方开发商开放云端平台已成为一种信息化建设的趋势。网络侧服务器面向第三方开发商开源，提供用于请求资源的应用程序编程接口（Application Programming Interface,简称API）。第三方在进行资源请求时向服务器请求调用API，通过服务器的API对相关数据进行处理。

为保证API调用的安全，在调用API前网络侧服务器需要对第三方的身份进行合法性验证，只有在验证成功后服务器才允许第三方对API进行调用。通常，在调用API之前，服务器会为已授权的第三方分配接入身份标识（Access Identity,简称Access ID）和加密密钥。在调用API时，第三方会将Access ID以及根据加密密钥生成的数字签名携带在调用请求中发送给服务器。在身份合法性验证时，服务器对第三方的调用请求进行重放攻击验证、调用频率验证以及数字签名验证等验证操作，只有这几步均验证成功时，服务器才向第三方提供API。

具体的，在接收到API调用请求后，服务器访问存储系统验证该请求是否为重放攻击，如果不为重放攻击，则进一步对该请求的调用频率进行验证。在通过调用频率验证后，服务器将该请求涉及的API数据发送给API审计系统进行审计，并更新频率控制系统中的请求频率记录。在数字签名验证环节中，服务器访问存储系统调取与Access ID对应的加密密钥，并根据该加密密钥生成服务器侧的数字签名，然后将API调用请求中携带的数字签名与生成的服务器侧的数字签名进行比对，如果两者相同，则向第三方提供API。

在实现上述身份合法性验证的过程中，发明人发现现有技术中至少存在如下问题：在进行上述验证操作时，服务器都需要对API审计系统、频率控制系统以及存储系统进行访问。如果未授权的第三方或黑客恶意生成大量无效的Access ID攻击服务器，则服务器将会对这三个系统频行繁进的访问，极易使系统产生访问瓶颈，出现拒绝服务或者系统崩溃的现象。

发明内容

本发明实施例提供一种身份合法性验证的方法、装置及服务器，能够解决因大量无效Access ID攻击导致的系统负荷过重的问题。

一方面，本实施例提供了一种身份合法性验证的方法，包括：

服务器接收第三方上报的应用程序编程接口（API）调用请求，所述API调用请求中携带有所述服务器为所述第三方预先生成并分配的接入身份标识（Access ID）；

查找所述Access ID中的版本位字符，所述版本位字符用于标识校验位生成规则的版本号；

根据版本位生成规则验证所述版本位字符所标识的版本号与服务器使用的校验位生成规则的版本号是否一致；

当所述版本位字符验证成功时，查找所述Access ID中的至少一位校验位字符；

根据所述校验位生成规则分别对所述至少一位校验位字符进行验证。

另一方面，本实施例提供了一种身份合法性验证的装置，包括：