服务提供方H5应用形式的第三方安全接入方法技术

本发明专利技术公开了服务提供方H5应用形式的第三方安全接入方法，包括第三方后端、服务提供方H5端、服务提供方网关服务端、服务提供方鉴权端和服务提供方后端，各端交互，本发明专利技术解决了现有技术存在的服务提供方服务接入到第三方会有数据泄漏、数据使用不可控、增大第三方APP大小、接入周期长流程复杂、开发成本较高的问题，提供服务提供方H5应用形式的第三方安全接入方法及系统，其应用时整个H5应用全由服务提供方开发，数据不会泄漏到任何一个第三方，不存在增大第三方APP大小和需要重新发版的问题，加入随机数、哈希、AES加密算法、公钥私钥加解密等混合增加复杂度，整个方法的破解成本非常高。

Third Party Secure Access Method in Service Provider H5 Application Form

The invention discloses a third-party secure access method in the application form of service provider H5, which includes a third-party back end, service provider H5 end, service provider gateway service end, service provider authentication end and service provider back end. Each end interacts. The invention solves the problem of data leakage and uncontrollable data use when service provider service access to a third party in the existing technology. Increasing the size of third-party APP, long access cycle, complex process and high development cost, the third-party secure access method and system in the form of H5 application of service provider, whose application is entirely developed by service provider, data will not leak to any third party, there is no problem of increasing the size of third-party APP and republishing it, adding random number, and so on. The combination of hashing, AES encryption algorithm, public key and private key encryption and decryption increases the complexity, and the cost of the whole method is very high.

【技术实现步骤摘要】
服务提供方H5应用形式的第三方安全接入方法
本专利技术涉及计算机网络安全验证接入技术，具体涉及服务提供方H5应用形式的第三方安全接入方法及系统。
技术介绍
现有第三方接入服务提供方服务方法大致可以划分为两类：(1)接口接入方法。服务提供方提供接口，第三方通过后台请求服务方接口提交请求和获取返回数据；(2)SDK接入方法。第三方引入服务提供方的SDK加入自有APP，请求通过SDK提供的方法去调用服务方接口提交请求和获取返回数据。接口接入方法由于是由第三方的后台服务发起请求，而不是前台前端代码直接请求，没有在前端暴露服务提供方接口，后端接入有后端约定的加密认证流程，所以对于服务提供方的接口安全是有保证的，即使出现异常情况，服务提供方也可以及时限流或掐断对某个第三方的服务，不至于造成大的损失，是目前比较常用的一种接入方法。但这种接入方法有一个缺陷，因为只提供的接口，只要对于认证通过的第三方发起的请求，无条件返回相应结果，但对第三方并没有约束，第三方可以留存数据建立自己的第二套本地库，也可以对数据进行修饰和修改再返回给前端用户，而服务提供方对这类行为无法控制和识别，有可能给服务提供方带来一定的声誉风险，特别是在金融行业，这类风险在同业竞争和金融合规等方面尤为突出。例如，某APP打着某某银行的名号，提供在线开该行二类户的服务，确实是和某某银行的合作，某某银行为其提供二类户开户接口，但该三方APP在请求接口前留存用户注册二类户所提供的敏感信息，如姓名、身份证、手机号、甚至身份证正反面影像资料、手持身份证影像资料等，这些重要信息被三方留存但某某银行是没办法判断的，因为是第三方送过来的信息，至于来之前做了什么某某银行根本无法控制，用户也以为自己的信息给的是某某银行，殊不知自己的这些重要信息也都留给了第三方，后续会带来的风险很难预估，资料如果被第三方泄漏或者利用来做一些违规的事，某某银行就会出现声誉风险。SDK接入方法分两种，一种是不包含前端页面的SDK，一种是包含前端页面的SDK。不包含前端页面SDK的接入方法原理是服务提供方提供一个原生SDK加入第三方APP，第三方开发前端调用该SDK中的方法进行加密认证流程，通过该SDK提供的通过认证后的接口请求方法请求服务提供方的接口去获取数据，这种形式只是把认证放在了原生端而不是后端，安全上来说必须要反编译破解第三方的APP和服务提供方的原生SDK，才能找出服务提供方的接口和加解密认证方法，现在的APP一般都是加固加壳了的，所以安全方面还是有较难攻破，但比起接口接入法安全性稍差一些，因为破解反编译一个APP的难度比起攻破一个后端服务器的难度来说还是要小一些，该方法也和接口接入法一样存在第三方留存数据和修改数据的风险。包含前端页面SDK的接入方法原理是服务提供方提供的SDK不但提供了认证和请求方法，还把前端页面一并提供在了SDK中，第三方只需要调起该SDK的一个开始方法，后续的页面和该页面的数据交互全是服务提供方自己的，和第三方完全没有任何关系，最后服务提供方的服务流程完成之后只返回给第三方一个结果而已，这种方式我个人觉得才可以算得上是一种独立的服务提供，这就规避了接口接入法和不包含前端页面SDK的接入方法中三方留存数据和修改数据的风险，因为第三方根本不知道你是怎么交互的，整个过程对于第三方来说是个黑盒，除非第三方去破解反编译服务提供方提供的SDK。该方法第三方接入的时候开发量非常的小，接入起来会比较快，这应该是第三方喜闻乐见的，当然，和不包含前端页面SDK的接入方法一样，如果有人破解反编译第三方的APP进而破解服务提供方的SDK，也能找出服务提供方的接口和加解密认证方法。但目前市面上SDK的接入方式并没有接口接入的方式量大，究其原因，有三点。第一，很多第三方不大能够接受的是加入SDK会增大自己的APP的大小这件事，因为APP太大，会直接导致用户不能够及时下载APP(苹果appstore超过150M不能流量下载，很多主流的安卓应用市场也有类似设置)，接一家服务加一个SDK，现在的无论哪个APP肯定不止接一家服务提供方，如果每家都是SDK接入的方式，这个APP的大小肯定不会小，除了平台限制，APP太大用户也不愿意花流量和存储空间去下载，这会直接影响到该APP的安装率和使用率，影响到它的传播和营销。第二，发版问题，第三方加入SDK之后，APP要更新之后，新的功能才能够开启，要去走一次发版流程，去苹果商店和安卓应用市场去重新上传包，要用户去更新他手机上安装的该APP，整个周期很长不可控，流程较繁琐，传播转化率较低，对于用户来说体验也比较差。第三，很多服务提供方也不愿意用SDK接入法的原因除了第三方不大愿意接受外，还有也是因为开发和维护成本，IOS一个版本，Android一个版本，维护和开发两个版本的成本也相对较大。所以，虽然包含前端页面SDK的接入方法看上去很好，但更多服务提供方还是愿意选择相信合作的第三方，也不愿去使用该方法，毕竟服务提供方卖的就是自己的服务，第三方就是他们的客户，一切还是以客户利益为出发点，在安全的前提下，让客户更方便的接入自己的服务。第三方使用接口接入法虽然会有不小的开发量，但能得来数据的留存，自己能掌握数据，一般第三方也是能接受的。
技术实现思路
本专利技术解决了现有技术存在的服务提供方服务接入到第三方会有数据泄漏、数据使用不可控、增大第三方APP大小、接入周期长流程复杂、开发成本较高的问题，提供服务提供方H5应用形式的第三方安全接入方法及系统，其应用时整个H5应用全由服务提供方开发，数据不会泄漏到任何一个第三方，不存在增大第三方APP大小和需要重新发版的问题，只需第三方后台配置一个跳转即可，且整个开发成本可控，修改全部接入方一起同步，无感知更新，上线速度快，复用性强，也能做到流控，可以根据密钥归类请求方进行限流和拒绝，先有接入密钥，后有访问密钥，加入随机数、哈希、AES加密算法、公钥私钥加解密等混合增加复杂度，整个方法的破解成本非常高。本专利技术通过下述技术方案实现：服务提供方H5应用形式的第三方安全接入方法，包括第三方后端、服务提供方H5端、服务提供方网关服务端、服务提供方鉴权端和服务提供方后端，各端交互包括以下步骤：A、第三方的客户端的用户点击某入口请求进入服务提供方提供的服务应用，并将消息通知到第三方后端；B、第三方后端通过服务提供方网关服务端，向服务提供方发起生成接入密钥AT的请求，服务提供方生成接入密钥AT并通过服务提供方网关服务端回传到第三方后端；C、第三方后端收到加密后的AT后，解密AT，逆向AT得到AK，AK为服务提供方网关服务端的非对称加密的公钥，带着参数AT、AK在第三方webView中打开服务提供方H5端的URL地址，服务提供方H5端将AT、AK暂时存放在第三方APP内嵌浏览器的sessionStorage中；D、服务提供方H5端通过服务提供方网关服务端向服务提供方发起生成访问密钥VT的请求，请求的参数包括接入密钥AT，所述接入密钥AT用随机数作为key进行加密；E、收到所述步骤D中生成访问密钥VT的请求后，服务提供方中的服务提供方鉴权端先对生成访问密钥VT的请求进行解密，解密出AT并校验AT的真伪性，当AT为真时，生成访问密钥VT并通过本文档来自技高网...

【技术保护点】
1.服务提供方H5应用形式的第三方安全接入方法，其特征在于，包括第三方后端、服务提供方H5端、服务提供方网关服务端、服务提供方鉴权端和服务提供方后端，各端交互包括以下步骤：A、第三方的客户端的用户点击某入口请求进入服务提供方提供的服务应用，并将消息通知到第三方后端；B、第三方后端通过服务提供方网关服务端，向服务提供方发起生成接入密钥AT的请求，服务提供方生成接入密钥AT并通过服务提供方网关服务端回传到第三方后端；C、第三方后端收到加密后的AT后，解密AT，逆向AT得到AK，AK为服务提供方网关服务端的非对称加密的公钥，带着参数AT、AK在第三方webView中打开服务提供方H5端的URL地址，服务提供方H5端将AT、AK暂时存放在第三方APP内嵌浏览器的sessionStorage中；D、服务提供方H5端通过服务提供方网关服务端向服务提供方发起生成访问密钥VT的请求，请求的参数包括接入密钥AT，所述接入密钥AT用随机数作为key进行加密；E、收到所述步骤D中生成访问密钥VT的请求后，服务提供方中的服务提供方鉴权端先对生成访问密钥VT的请求进行解密，解密出AT并校验AT的真伪性，当AT为真时，生成访问密钥VT并通过服务提供方网关服务端返回到服务提供方H5端，并使该AT作为接入密钥的功能失效；F、服务提供方H5端用随机数解密出VT，打开并渲染出H5产品页面，开展进行H5产品的各种对外服务；G、服务提供方H5端通过服务提供方网关服务端，向服务提供方后端发起业务报文请求，业务报文请求的请求参数先用随机数加密，再用VT加密，再用AK加密；H、收到服务提供方H5端发起的业务报文请求后，服务提供方鉴权端对业务报文请求进行解密，解密出最初的真正的业务报文参数，用此业务报文参数向服务提供方后端发起业务请求，返回请求回来的数据，该返回报文用VT加密回传给服务提供方H5端；I、服务提供方H5端收到返回的报文用VT解密报文并渲染返回的数据。...

【技术特征摘要】
1.服务提供方H5应用形式的第三方安全接入方法，其特征在于，包括第三方后端、服务提供方H5端、服务提供方网关服务端、服务提供方鉴权端和服务提供方后端，各端交互包括以下步骤：A、第三方的客户端的用户点击某入口请求进入服务提供方提供的服务应用，并将消息通知到第三方后端；B、第三方后端通过服务提供方网关服务端，向服务提供方发起生成接入密钥AT的请求，服务提供方生成接入密钥AT并通过服务提供方网关服务端回传到第三方后端；C、第三方后端收到加密后的AT后，解密AT，逆向AT得到AK，AK为服务提供方网关服务端的非对称加密的公钥，带着参数AT、AK在第三方webView中打开服务提供方H5端的URL地址，服务提供方H5端将AT、AK暂时存放在第三方APP内嵌浏览器的sessionStorage中；D、服务提供方H5端通过服务提供方网关服务端向服务提供方发起生成访问密钥VT的请求，请求的参数包括接入密钥AT，所述接入密钥AT用随机数作为key进行加密；E、收到所述步骤D中生成访问密钥VT的请求后，服务提供方中的服务提供方鉴权端先对生成访问密钥VT的请求进行解密，解密出AT并校验AT的真伪性，当AT为真时，生成访问密钥VT并通过服务提供方网关服务端返回到服务提供方H5端，并使该AT作为接入密钥的功能失效；F、服务提供方H5端用随机数解密出VT，打开并渲染出H5产品页面，开展进行H5产品的各种对外服务；G、服务提供方H5端通过服务提供方网关服务端，向服务提供方后端发起业务报文请求，业务报文请求的请求参数先用随机数加密，再用VT加密，再用AK加密；H、收到服务提供方H5端发起的业务报文请求后，服务提供方鉴权端对业务报文请求进行解密，解密出最初的真正的业务报文参数，用此业务报文参数向服务提供方后端发起业务请求，返回请求回来的数据，该返回报文用VT加密回传给服务提供方H5端；I、服务提供方H5端收到返回的报文用VT解密报文并渲染返回的数据。2.根据权利要求1所述的服务提供方H5应用形式的第三方安全接入方法，其特征在于，所述步骤B中第三方后端通过服务提供方网关服务端，向服务提供方发起生成接入密钥AT的请求，所述请求的传递参数包括第三方在服务提供方的注册账户siteId、服务提供方H5端的账户appId、第三方的客户的三方账户userId。3.根据权利要求2所述的服务提供方H5应用形式的第三方安全接入方法，其特征在于，所述步骤B中服务提供方生成接入密钥AT并通过服务提供方网关服务端回传到第三方后端的具体过程为：服务...

【专利技术属性】
技术研发人员：谢文辉，王敏，刘江桥，张浩，李胤辉，杨柳，周期律，常学亮，张轶，孙光辉，汪哲逸，黄林浩，刘引，
申请(专利权)人：重庆农村商业银行股份有限公司，
类型：发明
国别省市：重庆,50