请求处理方法、装置、系统、计算机设备和存储介质

技术领域

本申请涉及网络技术领域，特别是涉及一种请求处理方法、装置、系统、计算机设备和存储介质。

背景技术

随着计算机技术的发展，互联网技术的应用越来越广泛。在银行领域中，互联网网技术也为银行提供了各种银行业务的线上实现基础。用户可通过银行的客户端发起业务请求，银行的服务器可响应业务请求，从而为用户提供对应的业务服务。

然而，服务器接收的业务请求可能是网络攻击者发起的不安全请求，导致服务器受到攻击，存在安全性低的问题。

发明内容

基于此，有必要针对上述技术问题，提供一种能够提高服务器安全性的请求处理方法、装置、系统、计算机设备和计算机可读存储介质。

第一方面，本申请提供了一种请求处理方法，应用于银行业务系统中内容分发网络的节点，所述银行业务系统包括所述内容分发网络、安全策略服务器、安全检测服务器、银行业务终端和银行业务服务器，包括：

接收所述银行业务客户端发起的业务请求；所述业务请求指示请求方身份；

当所述业务请求指示访问资源地址，从所述内容分发网络查询所述资源地址所指示的资源；

当未查询到所述资源地址指示的资源，从所述安全策略服务器查询与所述请求方身份对应的安全策略；

当根据所述安全策略判定所述请求方身份访问所述资源地址存在安全风险，向所述安全检测服务器反馈所述资源地址；

当接收到所述安全检测服务器反馈的表征所述资源地址安全的检测结果，向所述银行业务服务器转发所述业务请求，以使所述银行业务客户端获取到所述银行业务服务器提供的所述资源。

第二方面，本申请还提供了一种请求处理装置，包括：

请求接收模块，用于接收所述银行业务客户端发起的业务请求；所述业务请求指示请求方身份；

资源查询模块，用于当所述业务请求指示访问资源地址，从所述内容分发网络查询所述资源地址所指示的资源；

安全策略查询模块，用于当未查询到所述资源地址指示的资源，从所述安全策略服务器查询与所述请求方身份对应的安全策略；

资源地址反馈模块，用于当根据所述安全策略判定所述请求方身份访问所述资源地址存在安全风险，向所述安全检测服务器反馈所述资源地址；

请求转发模块，用于当接收到所述安全检测服务器反馈的表征所述资源地址安全的检测结果，向所述银行业务服务器转发所述业务请求，以使所述银行业务客户端获取到所述银行业务服务器提供的所述资源。

第三方面，本申请还提供了一种银行业务系统，包括：

银行业务终端，用于运行银行业务客户端；所述银行业务客户端用于向所述内容分发网络的节点发起业务请求；所述业务请求指示请求方身份；

内容分发网络，所述内容分发网络的节点用于当所述业务请求指示访问资源地址，从所述内容分发网络查询所述资源地址所指示的资源；

安全策略服务器，用于当所述内容分发网络的节点未查询到所述资源地址指示的资源，查询与所述请求方身份对应的安全策略并反馈至所述内容分发网络的节点；

安全检测服务器，用于当所述内容分发网络的节点根据所述安全策略判定所述请求方身份访问所述资源地址存在安全风险，接收所述内容分发网络的节点反馈的所述资源地址；向所述内容分发网络的节点反馈表征所述资源地址安全的检测结果；

银行业务服务器，用于当所述内容分发网络的节点接收到所述安全检测服务器反馈的表征所述资源地址安全的检测结果，接收所述内容分发网络的节点转发的所述业务请求，以向所述述银行业务客户端提供所述资源；

所述银行业务客户端，还用于获取所述银行业务服务器提供的所述资源。

第四方面，本申请还提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

接收所述银行业务客户端发起的业务请求；所述业务请求指示请求方身份；

当所述业务请求指示访问资源地址，从所述内容分发网络查询所述资源地址所指示的资源；

当未查询到所述资源地址指示的资源，从所述安全策略服务器查询与所述请求方身份对应的安全策略；

当根据所述安全策略判定所述请求方身份访问所述资源地址存在安全风险，向所述安全检测服务器反馈所述资源地址；

当接收到所述安全检测服务器反馈的表征所述资源地址安全的检测结果，向所述银行业务服务器转发所述业务请求，以使所述银行业务客户端获取到所述银行业务服务器提供的所述资源。

第五方面，本申请还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

接收所述银行业务客户端发起的业务请求；所述业务请求指示请求方身份；

当所述业务请求指示访问资源地址，从所述内容分发网络查询所述资源地址所指示的资源；

当未查询到所述资源地址指示的资源，从所述安全策略服务器查询与所述请求方身份对应的安全策略；

当根据所述安全策略判定所述请求方身份访问所述资源地址存在安全风险，向所述安全检测服务器反馈所述资源地址；

当接收到所述安全检测服务器反馈的表征所述资源地址安全的检测结果，向所述银行业务服务器转发所述业务请求，以使所述银行业务客户端获取到所述银行业务服务器提供的所述资源。

上述请求处理方法、装置、系统、计算机设备和存储介质，银行业务系统包括内容分发网络、安全策略服务器、安全检测服务器、银行业务终端和银行业务服务器，通过内容分发网络的节点接收银行业务客户端发起的业务请求，相比银行业务服务器直接与银行业务客户端通信的方式，可保证银行业务服务器的安全；当业务请求指示访问资源地址，且从内容分发网络未查询到资源地址指示的资源时，从安全策略服务器查询安全策略，在通过安全策略确定请求方身份访问资源地址存在安全风险后，由安全检测服务器对资源地址进行检测，在检测结果表征资源地址安全的情况下，向银行业务服务器转发业务请求，避免了将不安全的资源地址发送至银行业务服务器中，可提高银行业务服务器的安全性。

附图说明

为了更清楚地说明本申请实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为一个实施例中请求处理方法的应用环境图；

图2为一个实施例中请求处理方法的流程示意图；

图3一个实施例中请求处理装置的结构框图；

图4为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请实施例提供的请求处理方法，可以应用于如图1所示的应用环境中。其中，银行业务系统包括银行业务终端102、内容分发网络104、安全策略服务器106、安全检测服务器108和银行业务服务器110，内容分发网络104可包括多个节点，多个节点间可互相访问，银行业务终端102上运行的银行业务客户端可与内容分发网络104中的节点通信，内容分发网络104中的节点可分别与安全策略服务器106、安全检测服务器108、银行业务服务器110通信。其中，银行业务终端102可以是个人计算机、笔记本电脑、智能手机或平板电脑。内容分发网络104中的节点可以用独立的服务器或者是多个服务器组成的服务器集群来实现。安全策略服务器106可以用独立的服务器或者是多个服务器组成的服务器集群来实现。安全检测服务器108可以用独立的服务器或者是多个服务器组成的服务器集群来实现。银行业务服务器110可以用独立的服务器或者是多个服务器组成的服务器集群来实现。

基于如图1所示的应用环境，内容分发网络104的节点可接收银行业务终端102上运行的银行业务客户端发起的业务请求，可从内容分发网络104查询资源地址所指示的资源，可从安全策略服务器106查询与请求方身份对应的安全策略，可向安全检测服务器108反馈资源地址，可向银行业务服务器110转发业务请求，以使银行业务终端102上运行的银行业务客户端获取到银行业务服务器110提供的资源。

在一个实施例中，如图2所示，提供了一种请求处理方法，以该方法应用于图1中的内容分发网络104的节点为例进行说明，包括以下步骤202至步骤210。其中：

步骤202，接收银行业务客户端发起的业务请求；业务请求指示请求方身份。

其中，银行业务客户端是银行业务系统中与服务器相对应，为用户提供本地服务的程序。银行业务系统是提供银行业务服务的系统。银行业务系统例如手机银行系统、客户管理系统、国际结算系统、信用卡系统或其它。

业务请求用于请求服务器提供服务。业务请求可以指示访问资源地址，可以指示上传文件，也可以指示下载文件。请求方身份是发起请求的计算机身份。请求方身份可以是登录银行业务客户端的计算机身份，例如账号、手机号、身份证号或其它。

在一个实施例中，内容分发网络的节点可建立与银行业务客户端间通信连接，通过通信连接，接收银行业务客户端发起的指示了请求方身份的业务请求。

在一个实施例中，内容分发网络的节点可以是内容分发网络中预先为银行业务客户端配置的节点。本实施例中，银行业务客户端可确定预配置的内容分发网络的节点，向预配置的内容分发网络的节点发起业务请求。

在一个实施例中，内容分发网络的负载均衡节点可接收银行业务客户端发起的业务请求，根据银行业务客户端所处的地理位置和内容分发网络中各节点的负载程度，确定与银行业务客户端匹配的内容分发网络的节点，指示银行业务客户端向该内容分发网络的节点发起业务请求。

其中，确定的与银行业务客户端匹配的内容分发网络的节点，可以是内容分发网络中与银行业务客户端所处的地理位置最接近且负载程度低于预设值的节点。负载程度可以是预设时间间隔内，节点的CPU运行队列中的线程数与CPU能够处理的线程数的比例。预设值可以是70％、90％或其它。预设时间间隔可以是5分钟、10分钟或其它。

步骤204，当业务请求指示访问资源地址，从内容分发网络查询资源地址所指示的资源。

其中，资源地址是唯一定位资源的信息。资源地址可以是URL(Uniform ResourceLocator，统一资源定位符)，也可以是URN(Uniform Resource Name，统一资源名称)。资源地址所指示的资源，可以是资源地址所指示的文件。银行业务客户端上可显示输入区域，当在输入区域中输入资源地址并触发提交，可发起指示访问资源地址的业务请求。输入区域可以是银行业务客户端的界面上用于输入资源地址的区域，也可以是用于输入文本的区域。

在一个实施例中，当业务请求指示访问资源地址，内容分发网络的节点可从该节点本地查询资源地址所指示的资源。

在一个实施例中，当业务请求指示访问资源地址，内容分发网络的节点可可在未从该节点本地查询到资源地址所指示的资源时，从内容分发网络的其他节点查询资源地址指示的资源。

步骤206，当未查询到资源地址指示的资源，从安全策略服务器查询与请求方身份对应的安全策略。

其中，安全策略服务器是用于提供安全策略的服务器。安全策略是用于确定请求方身份发起请求是否安全的策略。安全策略可以是表征请求方身份发起请求存在安全风险的策略，也可以是表征请求方身份发起请求不存在安全风险的策略。

在一个实施例中，当未查询到资源地址指示的资源，内容分发网络的节点可向安全策略服务器发送安全策略查询指令，接收安全策略服务器反馈的与请求方身份对应的安全策略。其中，安全策略查询指令可用于指示安全策略服务器获取预配置的安全策略表，从安全策略表中查询与请求方身份对应的安全策略。预配置的安全策略表是预先配置的记录有不同请求方身份各自对应的安全策略的数据表。

步骤208，当根据安全策略判定请求方身份访问资源地址存在安全风险，向安全检测服务器反馈资源地址。

其中，安全风险表征银行业务服务器处理业务请求可能不安全。安全检测服务器可用于检测业务请求所指示信息的安全性。当业务请求指示访问资源地址，业务请求所指示信息可以是资源地址；当业务请求指示上传文件，业务请求所指示信息可以是文件的扩展名。

在一个实施例中，当安全策略表征请求方身份发起请求存在安全风险，则内容分发网络的节点可判定请求方身份访问资源地址存在安全风险，向安全检测服务器反馈资源地址。

步骤210，当接收到安全检测服务器反馈的表征资源地址安全的检测结果，向银行业务服务器转发业务请求，以使银行业务客户端获取到银行业务服务器提供的资源。

在一个实施例中，当接收到安全检测服务器反馈的表征资源地址安全的检测结果，内容分发网络的节点向银行业务服务器转发业务请求，以指示银行业务服务器响应业务请求，向银行业务客户端提供资源地址的资源。

在一个实施例中，安全检测服务器接收到资源地址后，获取恶意地址特征库，当资源地址中不存在与恶意地址特征库中记录的预设字符串匹配的字符串，确定资源地址安全，向内容分发网络的节点反馈表征资源地址安全的检测结果。

其中，恶意地址特征库用于记录预设字符串，以在资源地址包括预设字符串时确定该资源地址为恶意地址。安全检测服务器可通过爬虫技术，定期从恶意资源地址库中获取更新的恶意资源地址后，从更新的恶意资源地址中识别出现次数超过预设次数的字符串，将识别的字符串作为预设字符串添加至恶意地址特征库。恶意资源地址库可以是恶意资源地址形成的数据库。预设次数可以是两次、三次或其它。预设字符串是预先设置的字符串，例如javascript、script、src、img、onerror、{、}、(、)、<、>、,、；、、’、！、*、\、location.assign或location.reload。

上述请求处理方法中，银行业务系统包括内容分发网络、安全策略服务器、安全检测服务器、银行业务终端和银行业务服务器，通过内容分发网络的节点接收银行业务客户端发起的业务请求，相比银行业务服务器直接与银行业务客户端通信的方式，可保证银行业务服务器的安全；当业务请求指示访问资源地址，且从内容分发网络未查询到资源地址指示的资源时，从安全策略服务器查询安全策略，在通过安全策略确定请求方身份访问资源地址存在安全风险后，由安全检测服务器对资源地址进行检测，在检测结果表征资源地址安全的情况下，向银行业务服务器转发业务请求，避免了将不安全的资源地址发送至银行业务服务器中，可提高银行业务服务器的安全性。

在一个实施例中，当从内容分发网络查询到资源地址所指示的资源，内容分发网络的节点可响应业务请求，以向银行业务客户端反馈查询到的资源。本实施例中，内容分发网络的节点从内容分发网络查询到资源时，无需向银行业务服务器请求即可向银行业务客户端反馈资源，减轻了银行业务服务器的服务器压力。

在一个实施例中，当根据安全策略判定请求方身份访问资源地址不存在安全风险，内容分发网络的节点可向银行业务服务器转发业务请求，以使银行业务客户端获取到银行业务服务器提供的资源。

在一个实施例中，当接收到安全检测服务器反馈的表征资源地址不安全的检测结果，内容分发网络的节点可向银行业务客户端反馈表征资源地址不安全的提示信息。

在一个实施例中，银行业务客户端发起的业务请求，是采用银行业务服务器提供的公钥加密的，银行业务系统还包括登录服务器，上述请求处理还包括下述步骤：对接收的业务请求，采用银行业务服务器授权的私钥进行解密，获得解密的业务请求；当对解密的业务请求解析后获得与请求方身份对应的第一安全令牌，从登录服务器查询最近一次为请求方身份生成的第二安全令牌；步骤204包括：当第一安全令牌与第二安全令牌相同，且业务请求指示访问资源地址，则从内容分发网络查询资源地址所指示的资源。

其中，登录服务器是用于使用户登录银行业务系统的服务器。公钥和私钥是通过非对称加密算法得到的一对密钥。非对称加密算法是加密和解密使用不同密钥的加密算法。非对称加密算法可以包括RSA算法(基于将两个大质数相乘十分容易，但是想要对其乘积进行因式分解却极其困难的原理的加密算法)、DSA算法(Digital SignatureAlgorithm，数字签名算法)、ECC算法(EllipseCurve Ctyptography，椭圆加密算法)或其它。

安全令牌(Token)是登录服务器生成的用于验证身份和授权访问银行业务系统的凭证。第一安全令牌是银行业务客户端发起的业务请求中携带的安全令牌。第二安全令牌是登录服务器最近一次为请求方身份生成的安全令牌。

本实施例中，内容分发网络的节点采用银行业务服务器授权的私钥对加密的业务请求进行解密，在减轻银行业务服务器对业务请求进行解密工作的同时，可实现对业务请求的验证，可保证安全性，而且，在解密后业务请求中的第一安全令牌和登录服务器中存储的第二安全令牌相同时，再从内容分发网络查询资源，可进一步提高安全性。

在一个实施例中，当第一安全令牌与第二安全令牌不相同，内容分发网络的节点可向银行业务客户端反馈提示重新登录的信息。

在一个实施例中，上述请求处理还包括下述步骤：当接收到银行业务客户端以请求方身份发起的登录请求，向登录服务器转发登录请求，以在登录服务器根据登录请求对请求方身份验证通过后，使得银行业务客户端获取到登录服务器最新生成的安全令牌，以及登录服务器从银行业务服务器获取的公钥。

其中，登录请求用于请求登录银行业务系统。

本实施例中，在对请求方身份验证通过后，即确认请求方身份安全，向银行业务客户端反馈安全令牌和银行业务服务器生成的公钥，使得银行业务客户端后续可发起安全的业务请求。

在一个实施例中，银行业务服务器可定期更新公钥和私钥，并将更新的私钥重新授权给内容分发网络的节点。本实施例中，内容分发网络的节点可对接收的业务请求，采用银行业务服务器授权的私钥进行解密，当解密不成功，可向银行业务客户端反馈提示重新登录的信息，以银行业务客户端在请求方身份重新登录成功后获得银行业务服务器更新的公钥。

在一个实施例中，登录服务器可在首次接收到请求方身份的登录请求并对请求身份验证通过后，为请求方身份生成安全令牌，并定期更新请求方身份的安全令牌。

在一个实施例中，登录服务器可根据登录请求中携带的请求方身份以及验证信息，对请求方身份进行验证，在验证通过后，获取为请求方身份最新生成的安全令牌，并从银行业务服务器获取最新的公钥，向银行业务客户端反馈获取的安全令牌和公钥。

在一个实施例中，步骤206包括：当未查询到资源地址指示的资源，向安全策略服务器发送安全策略查询指令；接收安全策略服务器响应安全策略查询指令所反馈的与请求方身份对应的安全策略；其中，安全策略查询指令，用于指示安全策略服务器获取请求方身份对应的历史业务请求的请求信息，将请求信息输入预生成的安全策略模型，获得输出的与请求方身份对应的安全策略并反馈。

其中，安全策略查询指令用于从安全策略服务器查询与请求方身份对应的安全策略。请求方身份对应的历史业务请求是请求方身份在历史时间发起的业务请求。请求信息可以包括请求时间、IP(Internet Protocol，互联网协议)地址或其它。历史业务请求的请求时间是发起历史业务请求的时间。历史业务请求的IP地址是发起历史业务请求的设备IP地址。历史业务请求的设备名称是发起历史业务请求的设备的名称。预生成的安全策略模型是预先生成的用于确定与请求方身份对应的安全策略的模型。

本实施例中，将请求方身份对应的历史业务请求的请求信息，输入安全策略模型，可以根据请求方身份发起业务请求的历史行为，确定与请求方身份对应的安全策略，从而可以确定是否需要对资源地址进行检测，可提高安全性。

在一个实施例中，安全策略服务器可将请求方身份对应的多个历史业务请求各自的请求时间，输入预生成的安全策略模型，当安全策略模型识别到多个历史业务请求中存在两两相邻的历史业务请求间请求时间的间隔低于预设间隔，且请求时间的间隔低于预设间隔的历史业务请求对超过预设数量，获得安全策略模型输出的表征请求方身份发起请求不安全的安全策略。其中，历史业务请求对是一对请求时间相邻的历史业务请求。预设间隔例如1毫秒、2毫秒或其它。预设数量例如10个、20个或其它。

在一个实施例中，安全策略服务器可将请求方身份对应的多个历史业务请求各自的IP地址，输入预生成的安全策略模型，当安全策略模型识别到多个历史业务请求各自的IP地址中不相同的IP地址数量超过预设IP数量，获得安全策略模型输出的表征请求方身份发起请求不安全的安全策略。其中，预设IP数量如5个、10个或其它。

在一个实施例中，步骤210中向银行业务服务器转发业务请求，以使银行业务客户端获取到银行业务服务器提供的资源的步骤包括：向银行业务服务器转发业务请求，接收银行业务服务器响应业务请求所提供的资源并存储；将资源发送到银行业务客户端，以使银行业务客户端获取到银行业务服务器提供的资源。

本实施例中，当接收到银行业务服务器响应业务请求所提供的资源，内容分发网络的节点可将接收到资源存储在本地，使得后续银行业务客户端再次访问资源地址时，内容分发网络的节点可直接向银行业务客户端反馈该资源，而无需从银行业务服务器获取，减轻了银行业务服务器的请求处理压力。

在一个实施例中，上述请求处理还包括下述步骤：当业务请求指示上传文件，确定文件的扩展名；从安全策略服务器查询与请求方身份对应的安全策略；当根据安全策略判定请求方身份上传文件存在安全风险，向安全检测服务器反馈扩展名；当接收到安全检测服务器反馈的表征扩展名安全的检测结果，向银行业务服务器转发业务请求，以使文件上传至银行业务服务器。

其中，上传文件是将银行业务客户端本地的文件传输至银行业务服务器，并由银行业务服务器存储。扩展名用于标识文件格式。扩展名也称为文件的后缀。扩展名例如“.txt”、“.doc”或其它。

本实施例中，当业务请求指示上传文件，内容分发网络的节点接收到安全检测服务器反馈的表征扩展名安全的检测结果时，向银行业务服务器转发业务请求，以使文件上传至银行业务服务器，可避免将不安全的文件上传至银行业务服务器，提高银行业务服务器的安全性。

在一个实施例中，当安全策略表征请求方身份发起请求存在安全风险，则内容分发网络的节点可判定请求方身份上传文件存在安全风险，向安全检测服务器反馈扩展名。

在一个实施例中，安全检测服务器接收到扩展名后，获取恶意扩展名库，当扩展名与恶意扩展名库中记录的预设扩展名均不匹配，向内容分发网络的节点反馈表征扩展名安全的检测结果。

其中，恶意扩展名库用于记录预设扩展名，以在扩展名与预设扩展名匹配时确定该扩展名为不安全文件的扩展名。安全检测服务器可以通过爬虫技术，定期从恶意文件库中获取更新的文件的扩展名后，将更新的扩展名添加至恶意扩展名库。

在一个实施例中，当接收到安全检测服务器反馈的表征扩展名不安全的检测结果，内容分发网络的节点可向银行业务客户端反馈表征文件不安全的提示信息。

在一个具体实施例中，上述请求处理方法具体包括下述步骤。

银行业务客户端可向内容分发网络的节点，以请求方身份发起登录请求。内容分发网络的节点向登录服务器转发登录请求；登录服务器根据登录请求对请求方身份验证通过后，从银行业务服务器获取的公钥，向银行业务客户端反馈登录服务器最新生成的安全令牌，以及从银行业务服务器获取的公钥。

银行业务客户端可向内容分发网络的节点，发起采用银行业务服务器提供的公钥加密的业务请求。

内容分发网络的节点对接收的业务请求，采用银行业务服务器授权的私钥进行解密，获得解密的业务请求，当对解密的业务请求解析后获得与请求方身份对应的第一安全令牌，从登录服务器查询最近一次为请求方身份生成的第二安全令牌。

当第一安全令牌与第二安全令牌相同，且业务请求指示访问资源地址，则内容分发网络的节点从内容分发网络查询资源地址所指示的资源，当未查询到资源地址指示的资源，内容分发网络的节点从安全策略服务器查询与请求方身份对应的安全策略；当根据安全策略判定请求方身份访问资源地址存在安全风险，内容分发网络的节点向安全检测服务器反馈资源地址；当接收到安全检测服务器反馈的表征资源地址安全的检测结果，内容分发网络的节点向银行业务服务器转发业务请求，以使银行业务客户端获取到银行业务服务器提供的资源。

应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

基于同样的发明构思，本申请实施例还提供了一种用于实现上述所涉及的请求处理方法的请求处理装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个请求处理装置实施例中的具体限定可以参见上文中对于请求处理方法的限定，在此不再赘述。

在一个实施例中，如图3所示，提供了一种请求处理装置300，包括：请求接收模块310、资源查询模块320、安全策略查询模块330、资源地址反馈模块340和请求转发模块350，其中：

请求接收模块310，用于接收银行业务客户端发起的业务请求；业务请求指示请求方身份。

资源查询模块320，用于当业务请求指示访问资源地址，从内容分发网络查询资源地址所指示的资源。

安全策略查询模块330，用于当未查询到资源地址指示的资源，从安全策略服务器查询与请求方身份对应的安全策略。

资源地址反馈模块340，用于当根据安全策略判定请求方身份访问资源地址存在安全风险，向安全检测服务器反馈资源地址。

请求转发模块350，用于当接收到安全检测服务器反馈的表征资源地址安全的检测结果，向银行业务服务器转发业务请求，以使银行业务客户端获取到银行业务服务器提供的资源。

在一个实施例中，银行业务客户端发起的业务请求，是采用银行业务服务器提供的公钥加密的，银行业务系统还包括登录服务器，上述请求处理装置300还包括解密模块、令牌查询模块；解密模块用于对接收的业务请求，采用银行业务服务器授权的私钥进行解密，获得解密的业务请求；令牌查询模块用于当对解密的业务请求解析后获得与请求方身份对应的第一安全令牌，从登录服务器查询最近一次为请求方身份生成的第二安全令牌；资源查询模块320还用于当第一安全令牌与第二安全令牌相同，且业务请求指示访问资源地址，则从内容分发网络查询资源地址所指示的资源。

在一个实施例中，请求转发模块350还用于当接收到银行业务客户端以请求方身份发起的登录请求，向登录服务器转发登录请求，以在登录服务器根据登录请求对请求方身份验证通过后，使得银行业务客户端获取到登录服务器最新生成的安全令牌，以及登录服务器从银行业务服务器获取的公钥。

在一个实施例中，安全策略查询模块330还用于当未查询到资源地址指示的资源，向安全策略服务器发送安全策略查询指令；接收安全策略服务器响应安全策略查询指令所反馈的与请求方身份对应的安全策略；其中，安全策略查询指令，用于指示安全策略服务器获取请求方身份对应的历史业务请求的请求信息，将请求信息输入预生成的安全策略模型，获得输出的与请求方身份对应的安全策略并反馈。

在一个实施例中，请求转发模块350还用于向银行业务服务器转发业务请求，接收银行业务服务器响应业务请求所提供的资源并存储；将资源发送到银行业务客户端，以使银行业务客户端获取到银行业务服务器提供的资源。

在一个实施例中，上述请求处理装置300还包括扩展名确定模块、扩展名反馈模块；扩展名确定模块用于当业务请求指示上传文件，确定文件的扩展名；安全策略查询模块330还用于从安全策略服务器查询与请求方身份对应的安全策略；扩展名反馈模块用于当根据安全策略判定请求方身份上传文件存在安全风险，向安全检测服务器反馈扩展名；请求转发模块350还用于当接收到安全检测服务器反馈的表征扩展名安全的检测结果，向银行业务服务器转发业务请求，以使文件上传至银行业务服务器。

上述请求处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种银行业务系统，包括：银行业务终端、内容分发网络、安全策略服务器、安全检测服务器和银行业务服务器，其中：

银行业务终端，用于运行银行业务客户端；银行业务客户端用于向内容分发网络的节点发起业务请求；业务请求指示请求方身份。

内容分发网络，内容分发网络的节点用于当业务请求指示访问资源地址，从内容分发网络查询资源地址所指示的资源。

安全策略服务器，用于当内容分发网络的节点未查询到资源地址指示的资源，查询与请求方身份对应的安全策略并反馈至内容分发网络的节点。

安全检测服务器，用于当内容分发网络的节点根据安全策略判定请求方身份访问资源地址存在安全风险，接收内容分发网络的节点反馈的资源地址；向内容分发网络的节点反馈表征资源地址安全的检测结果。

银行业务服务器，用于当内容分发网络的节点接收到安全检测服务器反馈的表征资源地址安全的检测结果，接收内容分发网络的节点转发的业务请求，以向述银行业务客户端提供资源。

银行业务客户端，还用于获取银行业务服务器提供的资源。

在一个实施例中，银行业务客户端发起的业务请求，是采用银行业务服务器提供的公钥加密的，银行业务系统还包括登录服务器；内容分发网络的节点用于对接收的业务请求，采用银行业务服务器授权的私钥进行解密，获得解密的业务请求；当对解密的业务请求解析后获得与请求方身份对应的第一安全令牌，从登录服务器查询最近一次为请求方身份生成的第二安全令牌；当第一安全令牌与第二安全令牌相同，且业务请求指示访问资源地址，则从内容分发网络查询资源地址所指示的资源。登录服务器用于向内容分发网络的节点反馈最近一次为请求方身份生成的第二安全令牌。

在一个实施例中，内容分发网络的节点用于当接收到银行业务客户端以请求方身份发起的登录请求，向登录服务器转发登录请求。登录服务器用于用于接收登录请求，根据登录请求对请求方身份验证通过后，从银行业务服务器获取公钥，向银行业务客户端提供最新生成的安全令牌，以及从银行业务服务器获取的公钥。银行业务客户端用于从登录服务器接收最新生成的安全令牌、银行业务服务器提供的公钥。银行业务服务器用于向登录服务器提供公钥。

在一个实施例中，当未查询到资源地址指示的资源，内容分发网络的节点向安全策略服务器发送安全策略查询指令；接收安全策略服务器响应安全策略查询指令所反馈的与请求方身份对应的安全策略。安全策略服务器用于接收内容分发网络的节点发送的安全策略查询指令，响应安全策略查询指令，获取请求方身份对应的历史业务请求的请求信息，将请求信息输入预生成的安全策略模型，获得输出的与请求方身份对应的安全策略，反馈至内容分发网络的节点。

在一个实施例中，内容分发网络的节点用于向银行业务服务器转发业务请求，接收银行业务服务器响应业务请求所提供的资源并存储；将资源发送到银行业务客户端，以使银行业务客户端获取到银行业务服务器提供的资源。银行业务服务器用于接收业务请求，响应业务请求，向内容分发网络的节点提供资源。银行业务客户端用于接收内容分发网络的节点转发的银行业务服务器提供的资源。

在一个实施例中，内容分发网络的节点用于当业务请求指示上传文件，确定文件的扩展名；从安全策略服务器查询与请求方身份对应的安全策略；当根据安全策略判定请求方身份上传文件存在安全风险，向安全检测服务器反馈扩展名；当接收到安全检测服务器反馈的表征扩展名安全的检测结果，向银行业务服务器转发业务请求。安全策略服务器用于向内容分发网络的节点反馈与请求方身份对应的安全策略。安全检测服务器用于接收内容分发网络的节点反馈的扩展名，反馈表征扩展名安全的检测结果。银行业务服务器用于接收业务请求，从银行业务客户端获取文件并存储。银行业务客户端用于将文件上传至银行业务服务器。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是内容分发网络的节点，具体可以是服务器，其内部结构图可以如图4所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output，简称I/O)和通信接口。其中，处理器、存储器和输入/输出接口通过系统总线连接，通信接口通过输入/输出接口连接到系统总线。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储执行上述请求处理所需的数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种请求处理方法。

本领域技术人员可以理解，图4中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，且相关数据的收集、使用和处理需要符合相关规定。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory，ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory，MRAM)、铁电存储器(Ferroelectric Random Access Memory，FRAM)、相变存储器(Phase Change Memory，PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器等。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory，DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。