[发明专利]一种API接口安全验证处理方法及装置

说明书

本发明提供一种API接口安全验证处理方法及装置，涉及信息安全技术领域，可用于金融领域或其他技术领域。所述方法包括：接收由服务消费者发送的服务调用请求；所述服务调用请求携带有业务参数、谜题要素和谜题证明；对所述谜题要素进行验证得到第一验证结果，以及对所述谜题证明进行验证得到第二验证结果；若确定所述第一验证结果和所述第二验证结果都为验证通过，则将所述业务参数转发至服务提供者，并转发由所述服务提供者根据所述业务参数返回的业务处理结果至所述服务消费者。所述装置执行上述方法。本发明实施例提供的API接口安全验证处理方法及装置，能够避免API接口受到攻击，例如重放攻击和DDoS攻击。

技术领域

本发明涉及信息安全技术领域，具体涉及一种API接口安全验证处理方法及装置。

背景技术

API是一些预先定义的函数，目的是用于提供其他应用程序使用相关服务，而又无需访问源码或了解其内部工作机制。随着云计算、移动互联网和物联网的发展，越来越多的应用深度依赖于API提供的服务。本质上，API将应用程序逻辑和敏感信息公开，因此API的安全性就变尤为重要，缺乏安全机制的引入将会导致整个项目面临涉及机密性、完整性、可用性和问责性等安全问题。

随着API技术与应用范围不断扩展，其为恶意攻击者提供的攻击面也越来越大，面临着来自多方面的挑战，API技术发展至今，用户授权访问体系已较为完善，但授权之后的访问控制仍较为薄弱。与此同时，即使建立了授权认证，数据保护等相关机制，仍无法避免攻击者在应用层，模拟正常用户行为，运用大量真实IP发起大规模攻击。因此，针对此类安全风险，有必要采取更多的安全措施。

发明内容

针对现有技术中的问题，本发明实施例提供一种API接口安全验证处理方法及装置，能够至少部分地解决现有技术中存在的问题。

一方面，本发明提出一种API接口安全验证处理方法，包括：

接收由服务消费者发送的服务调用请求；所述服务调用请求携带有业务参数、谜题要素和谜题证明；

对所述谜题要素进行验证得到第一验证结果，以及对所述谜题证明进行验证得到第二验证结果；

若确定所述第一验证结果和所述第二验证结果都为验证通过，则将所述业务参数转发至服务提供者，并转发由所述服务提供者根据所述业务参数返回的业务处理结果至所述服务消费者。

其中，所述谜题要素包括谜题生成时间戳和难度系数；相应的，所述对所述谜题要素进行验证得到第一验证结果，包括：

将所述谜题生成时间戳与当前时间进行比对；

根据比对时间差与所述难度系数对应的期望挑战时间的比较结果，确定所述第一验证结果。

其中，所述谜题要素还包括签名要素；相应的，所述对所述谜题要素进行验证得到第一验证结果，包括：

对所述签名要素进行验签，根据验签结果确定所述第一验证结果；所述签名要素预先对谜题种子、所述难度系数和所述谜题生成时间戳进行加密得到。

其中，所述API接口安全验证处理方法还包括：

若确定验签结果为通过，则在签名缓存中对验签通过的签名进行查找；

若没有查找到所述签名，则执行所述对所述谜题证明进行验证得到第二验证结果。

其中，所述谜题证明包括预先由所述服务消费者获取的第一随机数和第二随机数；

其中，所述第一随机数和所述第二随机数不相等，且所述谜题种子与所述第一随机数之间的第一哈希计算结果等于所述谜题种子与所述第二随机数之间的第二哈希计算结果；

相应的，所述对所述谜题证明进行验证得到第二验证结果，包括：