[发明专利]用于基于PKI的认证的方法和系统

权利要求书

1.一种计算机实现的方法，包括：

由位于第一系统的第一低安全区中的第一计算机经由外部网络接收来自第二系统的针对由所述第一系统提供的第一服务的第一应用程序编程接口API消息，所述第一系统包括位于第一防火墙之后的第一高安全区和位于所述第一防火墙之前的所述第一低安全区，所述第一低安全区与所述外部网络连接，所述第二系统包括位于第二防火墙之后的第二高安全区和位于所述第二防火墙之前的第二低安全区，所述第二低安全区与所述第一低安全区不同，并且与所述外部网络连接，所述第一API消息是由位于所述第二系统的所述第二高安全区中的第二计算机使用密码算法和与所述第二系统相关联的私钥生成的，其中所述第一系统在所述第一高安全区和所述外部网络之间比在所述第一低安全区和所述外部网络之间包括更多数量的防火墙，并且所述第二系统在所述第二高安全区和所述外部网络之间比在所述第一低安全区和所述外部网络之间包括更多数量的防火墙；

由位于所述第一系统的所述第一低安全区中的所述第一计算机使用所述密码算法和对应于与所述第二系统相关联的所述私钥的公钥来认证所述第一API消息；以及

将经认证的第一API消息发送给位于所述第一系统的所述第一高安全区中的第三计算机。

2.根据权利要求1所述的方法，其中所述第一API消息包括与所述公钥相关联的密钥标识符，并且其中认证所述第一API消息包括使用所述密钥标识符来检索所述公钥。

3.根据权利要求1所述的方法，其中所述密码算法包括RSA-SHA2或椭圆曲线数字签名算法。

4.根据权利要求1所述的方法，其中所述密码算法包括散列函数和解密函数，并且其中认证所述第一API消息包括：

从所述第一API消息获得签名令牌；

基于所述第一API消息来生成要签名的数据；

将所述散列函数应用于所述要签名的数据以获得散列；

将所述解密函数应用于所述签名令牌和所述公钥的至少一部分以获得经解密的签名数据；以及

确定所述散列是否匹配所述经解密的签名数据。

5.根据权利要求4所述的方法，其中所述第一API消息包括方法、资源标识符、消息标头和消息正文，并且其中基于所述第一API消息生成所述要签名的数据包括：

从所述签名令牌获得时间戳；

获得所述消息标头的至少一部分的标头散列；

获得所述消息正文的至少一部分的正文散列；以及

组合所述时间戳、所述标头散列，所述正文散列、所述方法和所述资源标识符来生成所述要签名的数据。

6.根据权利要求1所述的方法，其中认证所述第一API消息包括验证与所述第一API消息相关联的时间戳，以确保在从由所述时间戳指示的时间起的预定阈值时间量内接收到所述第一API消息。

7.根据权利要求1所述的方法，其中所述第一API消息包括密钥标识符，并且认证所述第一API消息包括：

使用所述密钥标识符来检索一个或多个许可的网络地址；以及

验证与所述第一API消息相关联的网络地址被包括在所述一个或多个许可的网络地址中。

8.根据权利要求1所述的方法，其中位于所述第一系统的所述第一高安全区中的所述第三计算机被配置为使用共享秘密来解密所述经认证的第一API消息的至少一部分，以获得经解密的消息数据并且验证所述经解密的消息数据。

9.根据权利要求8所述的方法，其中位于所述第一系统的所述第一高安全区中的所述第三计算机还被配置为将所述经认证的第一API消息路由到位于所述第一系统的所述第一高安全区中的第四计算机，所述第四计算机实现由所述第一系统提供的所述第一服务。