本發明提供一種應用程序接口安全分級治理方法，包括以下步驟：步驟S1、確定應用程序接口的屬性以評定應用程序接口的風險級別；步驟S2、制定分級安全策略，分級時，基于以下安全算法：采用HTTPS保證傳輸層的數據安全；應用層，采用消息摘要算法，防止數據被篡改；對構成數據隱私風險的應用程序接口，進行全報文加密；對風險級別較高的變更操作，采用SSL雙向證書進行雙向認證，防止交易抵賴；步驟S3、劃分安全策略；本發明通過對不同應用程序接口采用不同復雜度的安全方案，減少使用者對低安全級別應用程序接口使用的復雜度；通過證書簽發的方式，在SSL握手階段即實現服務端和客戶端的身份認證、進一步提高安全性。

技術領域

本發明涉及一種數據安全防護技術領域，具體的說，涉及了一種應用程序接口安全分級治理方法。

背景技術

應用程序接口接口數據安全防護基于現代密碼學，涉及信息的機密性、完整性、認證等多方面。主要使用的技術有：

消息摘要：使用單向散列函數根據任意長度的消息計算出固定長度的散列值，通過對比散列值可以判斷兩條消息是否一致，可以辨別出消息是否被篡改；

對稱加密：使用同一個密鑰可以同時對信息進行加密和解密。由于密鑰空間巨大、故能夠抵御暴力破解，算法上沒有弱點也可抵御其它形式的攻擊，常見的對稱加密算法有AES、SM4等。

公鑰證書：公鑰證書包含姓名、組織、郵箱、地址等信息，及屬于此擁有者的公鑰，并由認證機構施加數字簽名。

X.509證書：包含簽名前的證書(簽名對象的信息)，數字簽名算法(對證書簽名時所使用的算法)，數字簽名(對證書施加的數字簽名)

認證機構：對證書進行管理的機構。其具有生成密鑰對、在注冊公鑰時對申請人的身份進行認證、生成并頒發證書、作廢證書等操作。

SSL/TLS：將對稱密碼、公鑰密碼、單向散列函數、消息認證碼、偽隨機數生成器、數字簽名等技術相結合來實現通信安全，可以通過切換密碼套件來使用強度更高的簽名算法。

應用程序接口的自身屬性決定了其風險級別，針對不同風險級別的應用程序接口應該用相適應的安全防護措施，而非所有應用程序接口都采用最高級別的防護措施，減少對機器性能的損耗，減少請求處理的復雜度，并通過安全的機制對密鑰等安全相關的要素進行簽發和傳遞。

發明內容

針對現有技術中存在的上述技術問題，本發明提供了一種應用程序接口安全分級治理方法。

應用程序接口安全分級的目的是為了同時兼顧應用程序接口的易用性與安全性，根據應用程序接口的不同屬性，設置應用程序接口的不同安全級別。

為實現上述目的，本發明所采用的技術方案是：

一種應用程序接口安全分級治理方法，其特征在于：所述方法包括以下步驟：

步驟S1、確定應用程序接口的屬性以評定應用程序接口的風險級別；應用程序接口屬性包括：金融屬性、隱私屬性和操作屬性，其中金融屬性根據應用程序接口是否進行用戶賬戶相關操作，所述金融屬性分為金融或非金融；隱私屬性包括構成隱私或不構成隱私，含兩項及以上用戶信息則構成隱私；操作屬性包括變更或查詢；

步驟S2、制定分級安全策略；分級時，基于以下安全算法：采用HTTPS保證傳輸層的數據安全；應用層，采用消息摘要算法，防止數據被篡改；對構成數據隱私風險的應用程序接口，進行全報文加密；對風險級別較高的變更操作，采用SSL雙向證書進行雙向認證，防止交易抵賴；

步驟S3、劃分安全策略。

步驟S1中進一步的，用戶信息包括：姓名、證件號碼、賬號、賬戶金額或交易金額、手機號或其他聯系方式、家庭住址或通訊地址、歸屬單位。

步驟S3中進一步的，劃分以下三個安全策略：