(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111652592.1 (22)申请日 2021.12.3 0 (71)申请人 重庆医药 数据信息科技有限公司 地址 401336 重庆市南岸区南滨路132号 (72)发明人 魏然　罗成　张冰峰　黄煜楠　 张方军　尹艺衡　 (74)专利代理 机构 重庆市前沿专利事务所(普 通合伙) 50211 代理人 郭云　肖秉城 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/46(2006.01) H04L 12/66(2006.01) H04L 67/12(2022.01) (54)发明名称 一种用于医保终端的安全认证系统和方法 (57)摘要 本发明公开一种用于医保终端的安全认证 系统和方法， 包括S1： 构建终端认证网关； S2： 终 端认证网关对医保终端进行身份认证， 认证成功 后将医保终端的身份信息列入白名单， 医保终端 激活成功； S3： 医保终端激活成功后， 发送业务请 求到终端认证网关， 终端认证网关检测医保终端 的ip是否在白名单内， 如果ip在白名单内且是医 保终端管理的请求则转发到医保终端管理平台 从而建立联系。 终端认证网关部署在各区域的医 保终端管 理平台的接入区， 解决网络通信不稳定 的问题； 另外， 终端认证网关集成了安全认证的 功能， 即将安全认证功能从医保终端管理平台转 移到终端认证网关， 降低了医保终端管理平台安 全认证的压力， 减少了计算资源的使用， 从而提 高稳定性。 权利要求书2页 说明书5页 附图1页 CN 114172743 A 2022.03.11 CN 114172743 A 1.一种用于 医保终端的安全认证系统， 其特征在于， 包括终端认证网关； 所述终端认证 网关采集认证医保终端的身份信息， 认证成功后， 医保终端和医保终端管理平台建立通信 连接。 2.如权利要求1所述的一种用于 医保终端的安全认证系统， 其特征在于， 所述终端认证 网关通过GRE隧道和医保终端通信。 3.如权利要求1所述的一种用于 医保终端的安全认证系统， 其特征在于， 所述终端认证 网关包括身份认证单元、 通讯单元、 存储单元； 身份认证单元通过通讯单元对医保终端的身 份信息进行 校验认证， 认证成功后将医保终端的身份信息作为白名单录入 存储单元。 4.一种用于医保终端的安全认证方法， 其特 征在于， 具体包括以下步骤： S1： 基于Openresty+Redis+Lua构建终端认证网关； S2： 终端认证网关对医保终端进行身份认证， 认证成功后将医保终端的身份信息列入 白名单， 医保终端激活成功； S3： 医保终端激活成功后， 发送业务请求到终端认证网关， 终端认证网关检测医保终端 的ip是否在白名单内， 如果ip不在白名单内， 则返回权限不 足的错误信息到医保终端； 如果 ip在白名单内， 且是医保终端管理的请求则转发到医保终端管理平台从而建立联系， 不是 则转发到请求 域名对应的业 务系统。 5.如权利要求4所述的一种用于医保终端的安全认证方法， 其特征在于， 所述S1中， 终 端认证网关构建方法为： 首先使用yum命令安装Openrest y系统对应的数据库， 接着安装Openrest y系统和Redis 缓存数据库， 再安装Lua脚本和Openresty配置文件， 从而构建终端认证网关； 构建成功后检 查终端认证网关和身份认证中心的连接状态， 若连接成功则结束， 若连接不成功则检查网 络通信状态和身份认证中心工作状态。 6.如权利要求 4所述的一种用于医保终端的安全认证方法， 其特 征在于， 所述S2包括： S2‑1： 终端认证 网关监听8081端口， 接受医保终端发送的请求原文信号， 身份认证单元 收到请求原文信号后将原文数据返回给医保终端； S2‑2： 医保终端根据原文计算签名， 并发送请求Token信号到终端认证网关， 终端认证 网关检测请求Token信号中是否有签名， 若没有则从 医保终端 管理平台获取签名， 若有且通 过身份认证中心认证则从医保终端管理平台获取医保终端状态， 再将医保终端状态和 Token值返回到医保终端； S2‑3： 医保终端发送请求Token校验信号到终端认证网关， 判定Token校验是否成功， 若 Token校验成功则将医保终端的ip列入白名单并录入存储单元同时返回校验成功信号到医 保终端， 医保终端激活成功， 若 Token校验失败， 则医保终端激活失败。 7.如权利要求 4所述的一种用于医保终端的安全认证方法， 其特 征在于， 所述S3包括： S3‑1： 当业务请求为http请求时， 在Openresty系统的access_by_lua_block阶段加入 Lua代码， 判定医保终端ip是否在白名单中， 如果ip不在白名单内， 则返回权限不足的错误 信息到医保终端； 如果ip在白名单内， 且是医保终端管理的请求则转发到医保终端管理平 台从而建立联系， 不是则转发到请求 域名对应的业 务系统中； S3‑2： 当业务请求为https请求时， 打开ssl_preread功能， 在Openresty系统的 preread_by_lua_block阶段嵌入Lua代码进行白名单的判定， 如果ip不在白名单内， 则返回权　利　要　求　书 1/2 页 2 CN 114172743 A 2权限不足的错误信息到医保终端； 如果ip在白名单内， 且是医保终端管理的请求则转发到 医保终端管理平台从而建立联系， 不是则转发到请求 域名对应的业 务系统中。权　利　要　求　书 2/2 页 3 CN 114172743 A 3