本發明公開了一種身份合法性驗證的方法、裝置及服務器，涉及通信技術領域，為解決因大量無效Access ID攻擊導致的系統負荷過重的問題而發明。本發明的方法包括：服務器接收第三方上報的API調用請求，API調用請求中攜帶有服務器為第三方預先生成并分配的Access ID；查找Access ID中的版本位字符；根據版本位生成規則驗證版本位字符所標識的版本號與服務器使用的校驗位生成規則的版本號是否一致；當版本位字符驗證成功時，查找Access ID中的至少一位校驗位字符；根據校驗位生成規則分別對至少一位校驗位字符進行驗證。本發明主要應用于請求調用API的過程中。

技術領域

本發明涉及通信技術領域，尤其涉及一種身份合法性驗證的方法、裝置及服務器。

背景技術

隨著互聯網技術的飛速發展，網絡側服務器向第三方開發商開放云端平臺已成為一種信息化建設的趨勢。網絡側服務器面向第三方開發商開源，提供用于請求資源的應用程序編程接口（Application Programming Interface,簡稱API）。第三方在進行資源請求時向服務器請求調用API，通過服務器的API對相關數據進行處理。

為保證API調用的安全，在調用API前網絡側服務器需要對第三方的身份進行合法性驗證，只有在驗證成功后服務器才允許第三方對API進行調用。通常，在調用API之前，服務器會為已授權的第三方分配接入身份標識（Access Identity,簡稱Access ID）和加密密鑰。在調用API時，第三方會將Access ID以及根據加密密鑰生成的數字簽名攜帶在調用請求中發送給服務器。在身份合法性驗證時，服務器對第三方的調用請求進行重放攻擊驗證、調用頻率驗證以及數字簽名驗證等驗證操作，只有這幾步均驗證成功時，服務器才向第三方提供API。

具體的，在接收到API調用請求后，服務器訪問存儲系統驗證該請求是否為重放攻擊，如果不為重放攻擊，則進一步對該請求的調用頻率進行驗證。在通過調用頻率驗證后，服務器將該請求涉及的API數據發送給API審計系統進行審計，并更新頻率控制系統中的請求頻率記錄。在數字簽名驗證環節中，服務器訪問存儲系統調取與Access ID對應的加密密鑰，并根據該加密密鑰生成服務器側的數字簽名，然后將API調用請求中攜帶的數字簽名與生成的服務器側的數字簽名進行比對，如果兩者相同，則向第三方提供API。

在實現上述身份合法性驗證的過程中，發明人發現現有技術中至少存在如下問題：在進行上述驗證操作時，服務器都需要對API審計系統、頻率控制系統以及存儲系統進行訪問。如果未授權的第三方或黑客惡意生成大量無效的Access ID攻擊服務器，則服務器將會對這三個系統頻行繁進的訪問，極易使系統產生訪問瓶頸，出現拒絕服務或者系統崩潰的現象。

發明內容

本發明實施例提供一種身份合法性驗證的方法、裝置及服務器，能夠解決因大量無效Access ID攻擊導致的系統負荷過重的問題。

一方面，本實施例提供了一種身份合法性驗證的方法，包括：

服務器接收第三方上報的應用程序編程接口（API）調用請求，所述API調用請求中攜帶有所述服務器為所述第三方預先生成并分配的接入身份標識（Access ID）；

查找所述Access ID中的版本位字符，所述版本位字符用于標識校驗位生成規則的版本號；

根據版本位生成規則驗證所述版本位字符所標識的版本號與服務器使用的校驗位生成規則的版本號是否一致；

當所述版本位字符驗證成功時，查找所述Access ID中的至少一位校驗位字符；

根據所述校驗位生成規則分別對所述至少一位校驗位字符進行驗證。

另一方面，本實施例提供了一種身份合法性驗證的裝置，包括：