[发明专利]一种安全防护方法和装置

权利要求书

1.一种安全防护方法，其特征在于，包括：

客户端需要发送业务请求时，所述客户端通过预先加载的安全组件获取安全组件签名；

所述客户端向预先连接的业务服务端发送业务请求，所述业务请求包括所述安全组件签名；

所述业务服务端的预设过滤组件拦截所述业务请求，并调用安全微服务端进行处理；

所述安全微服务端根据所述安全组件签名进行合法性判断，并将判断结果返回给所述过滤组件；

所述判断结果为合法时，所述过滤组件将所述业务请求路由到所述业务服务端相应的业务API接口进行后续业务处理；

所述客户端通过预先加载的安全组件获取安全组件签名，包括：

所述安全组件根据服务时间戳与请求时间戳之差获取时间偏差，所述服务时间戳为所述安全微服务端接收所述服务时间戳获取请求时的时间戳，所述请求时间戳为所述客户端发送所述服务时间戳获取请求时的时间戳；

所述安全组件根据签名本地时间戳和所述时间偏差之和获取签名时间戳；所述签名本地时间戳为所述安全组件获取签名时间戳时的本地时间戳；

所述安全组件使用预设加密算法对所述签名时间戳进行加密，得到时间戳加密串；所述加密采用的密钥为针对所述客户端的应用信息生成的固定密钥；

所述安全组件采用预设哈希算法对所述客户端的客户端设备信息、时间戳加密串和签名时间戳进行加密，得到组件密文；

所述安全组件根据所述组件密文、所述业务请求对应的业务字符串、签名时间戳、所述安全组件的组件版本号、所述应用信息和客户端设备信息，获取所述安全组件签名。

2.根据权利要求1所述的安全防护方法，其特征在于，所述安全组件获取时间偏差，包括：

所述安全组件根据安全组件的组件版本号、所述客户端的客户端设备标识、应用信息和客户端设备信息生成接入密钥；

所述客户端从所述安全组件获取所述接入密钥，并向所述安全微服务端发送携带所述接入密钥的服务时间戳获取请求；

所述安全微服务端验证所述接入密钥是否正确；

如果正确，所述安全微服务端响应所述服务时间戳获取请求，并将服务时间戳发送至所述客户端；

所述客户端将所述服务时间戳发送至所述安全组件。

3.根据权利要求2所述的安全防护方法，其特征在于，所述安全组件根据安全组件的组件版本号、所述客户端的客户端设备标识、应用信息和客户端设备信息生成接入密钥，包括：

所述安全组件采用预设哈希算法对所述客户端设备标识进行加密得到客户端设备哈希值后，采用预设对称加密算法对所述客户端设备哈希值进行加密，得到第一密文；

所述安全组件采用预设编码算法对所述第一密文进行编码，得到第二密文；

所述安全组件将所述第二密文、安全组件的组件版本号、应用信息和客户端设备信息进行连接，生成所述接入密钥。

4.根据权利要求1所述的安全防护方法，其特征在于，安全组件根据所述组件密文、所述业务请求对应的业务字符串、签名时间戳、所述安全组件的组件版本号、所述应用信息和客户端设备信息，获取所述安全组件签名，包括：

所述安全组件将所述组件密文按长度等分为第一组件密文和第二组件密文；

所述安全组件采用预设哈希算法对所述第一组件密文、业务字符串和第二组件密文进行加密，得到签名密文；

所述安全组件将所述签名密文、签名时间戳、组件版本号、应用信息和客户端设备信息进行连接，得到所述安全组件签名。

5.根据权利要求1至4中任意一项所述的安全防护方法，其特征在于，所述调用所述安全微服务端进行处理，包括：

所述安全微服务端判断所述业务请求的处理时间是否大于预设阈值；

如果大于预设阈值，所述过滤组件将所述业务请求路由到所述业务服务端相应的业务API接口进行后续业务处理；

否则，执行下一步，所述安全微服务端根据所述安全组件签名进行合法性判断。