在中国移动12582基地的核心平台中,各业务接入方(简称SI)被分配一个唯一的SI code,如bsy指百事易业务方。业务接入方的应用程序以SI code作为凭证使用核心平台提供的Web Service服务,如短信下发、订购关系查询、订购或退订业务等。
此前,为规范SI使用及防止SI code被恶意使用,12582核心平台针对SI code做了IP地址管理,确保使用某一SI code的接入方是可以信任的,但并没有针对SI code划分权限,因此可能存在业务方凭借这个SI code在知晓接口规范的情况下毫无限制地使用核心平台的所有Web Service接口的风险。例如外部接入方想使用个人订购和退订的接口,在申请了SI code后,它同时获得了能下发短信、全网业务订购退订的接口。
为了确保零安全事故的目标,针对这一潜在风险,核心平台在今年3月梳理了35个SI业务使用方及他们使用的14组接口共67种系统服务,并在此基础上完成了给SI添加权限控制的安全升级,即为每个SI code绑定它能使用的接口方法。
安全升级完成以后,立刻进入了实践阶段:
中国移动12582基地的田园生活汇业务方从4月开始已在“重庆城”手机应用上进行推广,并需要为“重庆城”提供订购接口。在配置了IP地址和“重庆城”所能使用的权限后,业务侧可以放心地开展推广活动而不用担心合作伙伴侧的安全风险问题。
微信:15398075817
