【技术实现步骤摘要】
增强反欺诈能力的方法、装置、电子设备及存储介质
[0001]本专利技术涉及IT与软件开发领域,具体而言,涉及一种增强公开接口调用中反欺诈能力的方法、装置、电子设备及存储介质。
技术介绍
[0002]不同的应用(application)间通过应用程序接口(API),实现相互间(客户端与服务端之间)的功能调用和数据传输,是一种常见的操作。随着软件架构向前后端分离,松耦合和微服务方向的发展,接口的调用在软件开发中变的更为普遍。
[0003]接口可以分为内部接口和公共接口。针对内部接口和公共接口采用不同保护方法。内部接口是一个企业范围内不同应用间的接口,这类接口由于处于企业内部,接口的调用方具体明确,调用频次/数量有限,故可以采用多种安全方法保证接口被合法调用(如用户名密码,预先设置的密钥,IP地址白名单等),这类内部接口的安全问题不是本专利技术讨论的重点。另一类接口为“公共接口”,这类接口的特征是提供某种“通用”的服务,如天气预报,信息查询,电话号码查询等。正因为其“通用”,所以合作方的应用一般没有类似用户名密码之类的身份...
【技术保护点】
【技术特征摘要】
1.一种增强反欺诈能力的方法,用于增强公开接口调用中的反欺诈能力,所述方法通过包括:接口提供方、接口调用方和合作方的多方实现,其中,提供可调用公开接口的一方为接口提供方,调用和使用公共接口的一方为接口调用方,与公共接口方达成合作关系、通过所述接口调用方调用进而使用公共接口的一方为合作方,其中,所述接口调用方为归属于所述合作方的应用;所述方法包括如下步骤:S1、所述接口提供方向所述接口调用方事先分配合作方应用编号AppID和签名密钥Key;S2、所述接口调用方使用包括请求参数和时间戳的信息进行加密签名后发送给所述接口提供方;S3、所述接口提供方收到所述接口调用方请求后验证签名进行认证,并应用欺诈侦测策略判断风险值,当风险值大于设定阈值时,启动增强认证;S4、当所述接口调用方被要求执行增强认证时,所述接口提供方动态生成新密钥发送到合作方服务器,所述接口调用方向所述合作方服务器发送密钥请求,然后通过基于IMEI的身份验证后获取新密钥,所述接口调用使用新密钥向所述接口提供方再次发起增强认证后请求;S5、如签名合法有效则提供服务;如所述接口调用方未在规定时间内获得新的密钥,所述接口提供方拒绝对其服务,并将所述接口调用方列入黑名单,从而达到增强公开接口反欺诈的目的。2.如权利要求1所述的方法,其中,S1步骤中所述应用编号AppID为应用的编号,签名密钥Key为预先分配的静态应用密钥。3.如权利要求1所述的方法,其中,S2步骤包括如下步骤:S21、所述合作方获得预先分配的应用编号AppID和签名密钥Key后,将所述应用编号和签名密钥分配给所述接口调用方,通过所述接口调用方发起对公共接口的调用;S22、调用过程中,所述接口调用方将包括APPID、IMEI、时间戳和调用的参数通过密钥Key加密签名后传输给接口提供方;S23、所述接口提供方收到请求后,根据应用编号APPID,IMEI,时间戳,及预先分配的签名密钥key,按相同算法生成签名进行比对,校验请求的有效性;S24、如签名相符,则所述接口提供方向所述接口调用方提供服务,如果不符,则拒绝服务。4.如权利要求3所述的方法,其中,所述时间戳不大于5秒。5.如权利要求1所述的方法,其中,S3步骤中所述接口提供方实施欺诈侦测时,通过风险规则进行判断,所述风险规则包括但不限于如下风险项:1)对单IMEI在50个及以上IP地址中重复出现;2)对单IMEI在10种以上UserAgent终端型号上重复出现的;3)对单IMEI在1小时内请求超过1000次的;其中,所述风险规则出现任一风险项,则对接口调用方启用基于动态密钥的接口增强认证。6.如权利要求1所述的方法,其中,S4步骤包括如下步骤:
S41、当所述接口调用方被要求执行增强认证时,由所述接口提供方动态生成新密钥Key发送到对应合作方服务器;S42、...
【专利技术属性】
技术研发人员:倪俊峰,邹剑鸣,张剑峰,马钰璐,
申请(专利权)人:号百信息服务有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。