一种防止越权办理业务的方法和系统技术方案

本发明专利技术涉及提供一种防止越权办理业务的方法和系统，包括客户端将处理的业务订单所对应的业务受理信息和业务受理ID发送至服务端；服务端根据业务受理信息、业务受理ID和越权校验规则库，确定越权校验信息，并将越权校验信息保存至越权校验表后，发送越权校验信息至客户端；当客户端提交业务订单时，根据越权校验信息查询越权校验表，得到第一校验信息和业务受理ID，并将第一校验信息和业务受理ID发送至服务端；服务端根据业务受理ID查询越权校验表，得到第二校验信息，并根据第一校验信息和第二校验信息的比对结果，确定业务订单是否通过防越权校验。本发明专利技术提出了一种防越权攻击的方法，不依赖加解密也可以防越权攻击。

【技术实现步骤摘要】
一种防止越权办理业务的方法和系统
本专利技术涉及电信业务
，尤其涉及一种防止越权办理业务的方法和系统。
技术介绍
电信行业CRM系统为国内比较复杂的IT支撑系统，在安全防护方面有其自身的特点和需求。在目前的电信CRM系统中，传统的工作人员受理页面与订单中心的后台由于处于电信系统的企业专网，目前前后台的数据传输没有采用报文加密等的技术手段。一些代理商合作伙伴也通过VPN连接到电信的企业专网，营业受理页面同样也会给代理商的工作人员使用。在这种特定的背景下，一旦存在恶意的技术人员截获了订单中心的订单创建报文，就能够通过修改参数的技术手段，通过恶意程序调用订单中心的订单创建服务来达到其非法办理业务的目的。
技术实现思路
本专利技术所要解决的技术问题是针对现有技术的不足，提供一种防止越权办理业务的方法和系统。本专利技术解决上述技术问题的技术方案如下：一种防止越权办理业务的方法，所述方法包括：客户端将处理的业务订单所对应的业务受理信息和业务受理ID发送至服务端；所述服务端根据所述业务受理信息、所述业务受理ID和越权校验规则库，确定越权校验信息，并将所述越权校验信息保存至越权校验表后，发送所述越权校验信息至所述客户端；当所述客户端提交所述业务订单时，根据所述越权校验信息查询所述越权校验表，得到第一校验信息和所述业务受理ID，并将所述第一校验信息和所述业务受理ID发送至服务端；所述服务端根据所述业务受理ID查询所述越权校验表，得到第二校验信息，并根据所述第一校验信息和所述第二校验信息的比对结果，确定所述业务订单是否通过防越权校验。本专利技术的有益效果是：提供一种防止越权办理业务的方法，包括客户端将处理的业务订单所对应的业务受理信息和业务受理ID发送至服务端，服务端根据业务受理信息、业务受理ID和越权校验规则库，确定越权校验信息，并将越权校验信息保存至越权校验表后，发送至客户端；当客户端提交业务订单时，根据越权校验信息查询越权校验表，得到第一校验信息和业务受理ID，并将第一校验信息和业务受理ID发送至服务端；服务端根据业务受理ID查询越权校验表，得到第二校验信息，并根据第一校验信息和第二校验信息的比对结果，确定业务订单是否通过防越权校验。本专利技术提出了一种防越权攻击的方法，不依赖加解密也可以防越权攻击。在上述技术方案的基础上，本专利技术还可以做如下改进。进一步地，所述服务端根据所述业务受理信息、所述业务受理ID和越权校验规则库，确定越权校验信息，具体包括：根据所述业务受理信息查询所述越权校验规则库，确定越权校验规则；根据所述越权校验规则，从所述业务受理信息中筛选出预越权校验信息；组合所述预越权校验信息和所述业务受理ID，得到所述越权校验信息。采用上述进一步方案的有益效果是：根据业务受理信息，确定越权校验信息，可灵活定制越权校验信息，提升防越权攻击能力。进一步地，所述服务端根据所述第一校验信息和所述第二校验信息的比对结果，确定所述业务订单是否通过防越权校验，具体包括：所述服务端将所述第一校验信息和所述第二校验信息进行比对；当所述第一校验信息和所述第二校验信息一致时，确定所述业务订单通过防越权校验；否则，所述业务订单未通过防越权校验。进一步地，所述客户端将业务受理信息和业务受理ID发送至服务端之前，还包括：客户端获取业务订单对应的业务受理信息，并根据所述业务受理信息生成业务受理ID。进一步地，所述业务受理信息包括办理所述业务订单的工作人员信息、客户信息和所述业务订单的信息。本专利技术解决上述技术问题的另一种技术方案如下：一种防止越权办理业务的系统，包括客户端和服务端，所述客户端，用于将处理的业务订单所对应的业务受理信息和业务受理ID发送至服务端；所述服务端，用于根据所述业务受理信息、所述业务受理ID和越权校验规则库，确定越权校验信息，并将所述越权校验信息保存至越权校验表后，发送所述越权校验信息至所述客户端；所述客户端，用于当提交所述业务订单时，根据所述越权校验信息查询所述越权校验表，得到第一校验信息和所述业务受理ID，并将所述第一校验信息和所述业务受理ID发送至服务端；所述服务端，用于根据所述业务受理ID查询所述越权校验表，得到第二校验信息，并根据所述第一校验信息和所述第二校验信息的比对结果，确定所述业务订单是否通过防越权校验。本专利技术的有益效果是：提供一种防止越权办理业务的系统，包括客户端，用于将处理的业务订单所对应的业务受理信息和业务受理ID发送至服务端，服务端根据业务受理信息、业务受理ID和越权校验规则库，确定越权校验信息，并将越权校验信息保存至越权校验表后，发送至客户端；当客户端提交业务订单时，根据越权校验信息查询越权校验表，得到第一校验信息和业务受理ID，并将第一校验信息和业务受理ID发送至服务端；服务端根据业务受理ID查询越权校验表，得到第二校验信息，并根据第一校验信息和第二校验信息的比对结果，确定业务订单是否通过防越权校验。本专利技术提出了一种防越权攻击的系统，并且不依赖加解密也可以防越权攻击。在上述技术方案的基础上，本专利技术还可以做如下改进。进一步地，所述服务端，具体用于根据所述业务受理信息查询所述越权校验规则库，确定越权校验规则；根据所述越权校验规则，从所述业务受理信息中筛选出预越权校验信息；组合所述预越权校验信息和所述业务受理ID，得到所述越权校验信息。进一步地，所述服务端，具体用于将所述第一校验信息和所述第二校验信息进行比对；当所述第一校验信息和所述第二校验信息一致时，确定所述业务订单通过防越权校验；否则，所述业务订单未通过防越权校验。进一步地，所述客户单，还用于获取业务订单对应的业务受理信息，并根据所述业务受理信息生成业务受理ID。进一步地，所述业务受理信息包括办理所述业务订单的工作人员信息、客户信息和所述业务订单的信息。本专利技术附加的方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本专利技术实践了解到。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对本专利技术实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面所描述的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例所述的一种防止越权办理业务的方法的流程示意图；图2为本专利技术实施例所述的一种防止越权办理业务的系统的架构图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术的一部分实施例，而不是全部实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本专利技术保护的范围。如图1本专利技术实施例所述本文档来自技高网...

【技术保护点】
1.一种防止越权办理业务的方法，其特征在于，所述方法包括：/n客户端将处理的业务订单所对应的业务受理信息和业务受理ID发送至服务端；/n所述服务端根据所述业务受理信息、所述业务受理ID和越权校验规则库，确定越权校验信息，并将所述越权校验信息保存至越权校验表后，发送所述越权校验信息至所述客户端；/n当所述客户端提交所述业务订单时，根据所述越权校验信息查询所述越权校验表，得到第一校验信息和所述业务受理ID，并将所述第一校验信息和所述业务受理ID发送至服务端；/n所述服务端根据所述业务受理ID查询所述越权校验表，得到第二校验信息，并根据所述第一校验信息和所述第二校验信息的比对结果，确定所述业务订单是否通过防越权校验。/n

【技术特征摘要】
1.一种防止越权办理业务的方法，其特征在于，所述方法包括：
客户端将处理的业务订单所对应的业务受理信息和业务受理ID发送至服务端；
所述服务端根据所述业务受理信息、所述业务受理ID和越权校验规则库，确定越权校验信息，并将所述越权校验信息保存至越权校验表后，发送所述越权校验信息至所述客户端；
当所述客户端提交所述业务订单时，根据所述越权校验信息查询所述越权校验表，得到第一校验信息和所述业务受理ID，并将所述第一校验信息和所述业务受理ID发送至服务端；
所述服务端根据所述业务受理ID查询所述越权校验表，得到第二校验信息，并根据所述第一校验信息和所述第二校验信息的比对结果，确定所述业务订单是否通过防越权校验。


2.根据权利要求1所述的防止越权办理业务的方法，其特征在于，所述服务端根据所述业务受理信息、所述业务受理ID和越权校验规则库，确定越权校验信息，具体包括：
根据所述业务受理信息查询所述越权校验规则库，确定越权校验规则；
根据所述越权校验规则，从所述业务受理信息中筛选出预越权校验信息；
组合所述预越权校验信息和所述业务受理ID，得到所述越权校验信息。


3.根据权利要求1所述的防止越权办理业务的方法，其特征在于，所述服务端根据所述第一校验信息和所述第二校验信息的比对结果，确定所述业务订单是否通过防越权校验，具体包括：
所述服务端将所述第一校验信息和所述第二校验信息进行比对；
当所述第一校验信息和所述第二校验信息一致时，确定所述业务订单通过防越权校验；
否则，所述业务订单未通过防越权校验。


4.根据权利要求1所述的防止越权办理业务的方法，其特征在于，所述客户端将业务受理信息和业务受理ID发送至服务端之前，还包括：
客户端获取业务订单对应的业务受理信息，并根据所述业务受理信息生成业务受理ID。


5.根据权利要求1-4中任一项所述的防止越权办理业务的方法，其特征在于，...

【专利技术属性】
技术研发人员：赵东伟，
申请(专利权)人：北京思特奇信息技术股份有限公司，
类型：发明
国别省市：北京;11