[发明专利]一种基于分级的API动态防护方法

权利要求书

1.一种基于分级的API动态防护方法，其用于政府部门、企业内外部及各种场景下的针对核心API的安全防护，其特征在于，该方法包括以下步骤：

步骤一：平台先对API提供一套定级方法，分为若干级别，针对每个级别，提供与该级别相对应的API防护规则和手段，该手段包括用户于平台体系设定API的等级之后，在该等级下对API内容设置不同的安全处理方式；

步骤二：平台提供分级扩展方式，由用户自定义级别和防护规则；

步骤三：用户在API注册时，根据API的业务及数据安全级别，选择对应的安全防护等级；

步骤四：在访问各个安全级别的API时，系统后台自动按照对应的API安全级别进行不同的安全级别的认证，若通过验证即进行API访问。

2.根据权利要求1所述的基于分级的API动态防护方法，其特征在于：所述API包括少量的核心API与大量的非核心API。

3.根据权利要求1所述的基于分级的API动态防护方法，其特征在于：所述级别默认依次分别为L1、L2、L3、L4级别。

4.根据权利要求3所述的基于分级的API动态防护方法，其特征在于：所述分级扩展方式至少为一种。

5.根据权利要求1所述的基于分级的API动态防护方法，其特征在于：所述分级扩展方式包括用户对API定级后，针对API属性可指定不同安全策略。

6.根据权利要求1所述的基于分级的API动态防护方法，其特征在于，自定义级别的方法是：用户站在自己的业务场景中，按照自己的业务实际情况，自行对该API进行定级。

7.根据权利要求1-6任一项所述的基于分级的API动态防护方法，其特征在于：若用户对平台中存在一条已经发布的API资源发起访问请求，平台在接收该访问请求后，获取该API安全等级以及该安全级别下设置的动态防护策略。

8.根据权利要求7所述的基于分级的API动态防护方法，其特征在于：平台根据动态安全策略中的各项校验要求，进行验证计算。

9.根据权利要求8所述的基于分级的API动态防护方法，其特征在于：所述验证计算通过后，该访问请求被转发到具体的业务API提供服务器，进行实际的业务访问。

10.根据权利要求1所述的基于分级的API动态防护方法，其特征在于：每个级别的判断标准以对全社会、多个行业、行业内多个组织、单个组织、人身和财产安全、以及个人名誉造成的影响程度来衡量。