CN106559389A - 一种服务资源发布、调用方法、装置、系统及云服务平台 - Google Patents
一种服务资源发布、调用方法、装置、系统及云服务平台 Download PDFInfo
- Publication number
- CN106559389A CN106559389A CN201510628395.4A CN201510628395A CN106559389A CN 106559389 A CN106559389 A CN 106559389A CN 201510628395 A CN201510628395 A CN 201510628395A CN 106559389 A CN106559389 A CN 106559389A
- Authority
- CN
- China
- Prior art keywords
- service
- service provider
- source
- resource group
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请实施例中提供了一种服务资源发布、调用方法、装置、系统及云服务平台,服务资源发布方法包括:接收来自服务提供方的服务资源发布请求;对服务提供方进行身份认证;认证通过后,将待发布的服务资源发布至预先创建的服务提供方的资源组,其中,服务提供方的资源组全局唯一。采用本申请实施例中的方案,能够解决现有技术中无法保证多服务提供方环境下服务资源的隔离的问题。
Description
技术领域
本申请涉及计算机技术,具体涉及一种服务资源发布、调用方法、装置、系统及云服务平台。
背景技术
现有技术中,为保证远程服务调用的隔离和安全,常用的方法是对用户进行认证与授权,典型的解决方案包括JAAS(Java Authentication and AuthorizationService,Java认证和认证服务)、Spring-Security和WS-Security等。
这些典型的解决方案的实现方式如下:在开发应用程序时,服务提供方会定义若干角色,每一种角色会对应若干用户,每一个用户拥有用来唯一标示其身份的安全证书(如用户名/密码、X509安全证书等);服务提供方显式的配置服务资源与角色、角色与用户之间的映射关系。
采用现有技术中的方案,在多个服务提供方的情况下,由于服务提供方并不了解彼此的存在,无法进行彼此之间的配置协调,从而无法保证该环境下服务资源的隔离性。
发明内容
本申请实施例中提供了一种服务资源发布、调用方法、装置、系统及云服务平台,用于解决现有技术中无法保证多服务提供方环境下服务资源的隔离的问题。
根据本申请实施例的第一个方面,提供了一种服务资源发布方法,包括:接收来自服务提供方的服务资源发布请求;对服务提供方进行身份认证;认证通过后,将待发布的服务资源发布至预先创建的服务提供方的资源组,其中,服务提供方的资源组全局唯一。
根据本申请实施例的第二个方面,提供了一种服务调用方法,包括:接收来自请求方的服务调用请求;对请求方进行身份认证;认证通过后,允许请求方调用预先创建的目标服务提供方的资源组内的服务资源,其中,服务提供方的资源组全局唯一。
根据本申请实施例的第三个方面,提供了一种服务资源发布装置,包括:第一接收模块,用于接收来自服务提供方的服务资源发布请求;第一身份认证模块,用于对服务提供方进行身份认证;发布模块,用于在认证通过后,将待发布的服务资源发布至预先创建的服务提供方的资源组,其中,服务提供方的资源组全局唯一。
根据本申请实施例的第四个方面,提供了一种服务调用装置,包括:第二接收模块,用于接收来自请求方的服务调用请求;第二身份认证模块,用于对请求方进行身份认证;调用模块,用于在认证通过后,允许请求方调用预先创建的目标服务提供方的资源组内的服务资源,其中,服务提供方的资源组全局唯一。
根据本申请实施例的第五个方面,提供了一种服务资源发布系统,包括:服务提供方客户端;如上述的服务资源发布装置。
根据本申请实施例的第六个方面,提供了一种服务调用系统,包括:服务请求方客户端;如上述的服务调用装置。
根据本申请实施例的第七个方面,提供了一种云服务平台,包括:配置服务器,用于存储多个服务提供方的资源组,其中,服务提供方的资源组全局唯一;鉴权服务器,用于存储并下发服务提供方的安全令牌、服务请求方的安全令牌,并对服务提供方和服务请求方进行鉴权;授权服务器,用于生成安全令牌。
采用本申请实施例中的服务资源的发布方法,在服务提供方请求发布资源时,对服务提供方进行身份认证,认证通过后,将待发布的服务资源发布至预先创建的该服务提供方的资源组内,从而通过预先创建的全局唯一的资源组隔离了各服务提供方的服务资源,能够保证服务提供方之间的服务资源不会相互影响,有效保证了服务资源的隔离性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例一所示的服务资源发布方法流程图;
图2为本申请实施例二所示的服务调用方法流程图;
图3为本申请实施例三所示服务资源发布装置的结构示意图;
图4为本申请实施例四所示服务调用装置的结构示意图;
图5为本申请实施例五所示服务资源发布系统的结构示意图;
图6为本申请实施例六所示服务调用系统的结构示意图;
图7为本申请实施例七所示云服务平台的结构示意图;
图8为本申请实施例七所示云服务平台的数据流向示意图。
具体实施方式
为了使本申请实施例中的技术方案及优点更加清楚明白,以下结合附图对本申请的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本申请的一部分实施例,而不是所有实施例的穷举。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在实现本申请的过程中,申请人发现,在实现远程调用时,如果处于企业内部环境中,由于服务之间存在相互信任关系,所以服务的安全性与隔离性的需求相对较低。但是,在公有云服务平台的多服务提供方环境中,由于同一套系统会包含多家服务提供方的敏感信息,所以对于公有云服务平台来说,多个服务提供方之间服务资源发布与调用的隔离性和安全性成为企业是否愿意接受该云服务平台的决定性的因素之一。
在多服务提供方环境下,隔离性是指系统必须为单个服务提供方提供完全隔离的命名空间。在该命名空间下,服务提供方能够完成任意的服务操作,如服务资源的发布、服务订阅、服务调用等,并且不同服务提供方之间的服务资源不能相互影响。比如,服务提供方A发布一个服务名称为HelloService的服务,用户B同样也要求能够不受限制的发布一个名为HelloService的服务。在私有环境中,资源命名冲突的问题可以通过开发团队协商解决,但是在公有云环境下,很难要求服务提供方遵循某种特定的命名规则,所以必须从系统层面解决该问题。
另外,在公有云多服务提供方环境中,还涉及到共享资源的访问,云服务平台也保证客户数据的安全性。比如,服务提供方A不能将服务资源发布至服务提供方B的资源组;也不能在未经授权的情况下,服务提供方A发布的服务资源不能被服务提供方B查看、修改或是调用;相关技术中还没有解决该问题的技术方案。
针对上述问题,本申请实施例中提供了一种服务资源的发布方法、装置及系统,以及相应的服务的调用方法、装置及系统,在服务提供方请求发布资源时,对服务提供方进行身份认证,认证通过后,将待发布的服务资源发布至预先创建的该服务提供方的资源组内,从而通过预先创建的全局唯一的资源组隔离了各服务提供方的服务资源,能够保证服务提供方之间的服务资源不会相互影响,有效保证了服务资源的隔离性和安全性。
本申请实施例中的方案能够应用于如中间件PaaS(Platform-as-a-Service,平台即服务)产品EDAS(Enterprise Distributed Application Service,企业级分布式应用服务)等的云端系统中。
图1为本申请实施例一所示的服务资源发布方法流程图。
如图1所示,根据本申请实施例一所示的服务资源发布方法包括以下步骤:
S102,接收来自服务提供方的服务资源发布请求;
S104,对服务提供方进行身份认证;
S106,认证通过后,将待发布的服务资源发布至预先创建的服务提供方的资源组,其中,服务提供方的资源组全局唯一。
在本申请实施例中,每一个服务提供方是独立实体,基本可以理解为单个开通系统服务的账户;一个服务提供方可以包含若干个资源组。
资源组是对单个服务提供方下服务资源的分组;服务提供方能够对资源组执行任何操作;例如,服务提供方能够创建多个资源组,并且每个资源组能够包含多个服务资源;资源组名称在多服务提供方环境下全局唯一。
在具体实施时,服务提供方可以将各服务资源部署在同一个服务器集群,也可以将各服务资源分别部署在不同的服务器集群。
在具体实施时,资源组可以是组内的服务资源的名称与该服务资源所在服务器集群的地址信息(如IP地址)的对应关系的集合。
服务提供方是实现服务调用的服务器端,部署了真正的业务逻辑,需要根据服务消费方的请求完成计算后返回结果。
在具体实施时,在作为服务提供方的用户开始使用云服务平台时,首先会创建一个新的服务提供方;该服务提供方唯一标示了用户的身份,所有该服务提供方相关的信息(如安全令牌、资源组和服务资源等)都挂接到该服务提供方下;在服务提供方创建完成后,服务提供方可以创建和管理资源组;在创建资源组时,用户可以输入合法的资源组名称,该名称全局唯一;每个服务提供方可以创建一个资源组,也可以创建若干个资源组,每一个资源组代表了一组服务的集合;后期服务提供方也可以修改和删除资源组。
下面以银行用户为例说明本申请实施例的具体实施过程。
例如,服务提供方为如交通银行的银行用户,在用户开始使用云服务平台时,系统首先创建名为交通银行的服务提供方,交通银行的研发人员可以继续创建多个资源组,该多个资源组分别名为交通银行理财服务、交通银行金融服务、交通银行生活服务等。在服务提供方创建资源组完毕后,服务提供方此时需要进一步的进行如账户查询、账户管理、转账汇款、基金、外汇等多种服务资源的发布;云服务平台接收到来自交通银行的服务资源发布请求后,将对交通银行的身份进行认证,确认其具有服务提供方的身份,在身份认证通过后,将交通银行提供的各服务资源部署的计算机集群的IP地址发布至交通银行的资源组内。在服务资源发布完毕后,交通银行可以对这些服务资源进行管理,例如,将账户查询、账户管理、转账汇款放入交通银行金融服务资源组,将基金、外汇放入交通银行理财服务资源组。
采用本申请实施例中的服务资源的发布方法,在服务提供方请求发布资源时,对服务提供方进行身份认证,认证通过后,将待发布的服务资源发布至预先创建的该服务提供方的资源组内,从而通过预先创建的全局唯一的资源组隔离了各服务提供方的服务资源,能够保证服务提供方之间的服务资源不会相互影响,有效保证了服务资源的隔离性。
例如,仍然以银行用户为例,采用本申请实施例中的服务资源发布方法,由于各服务提供方的资源组全局唯一,所以即使交通银行发布了金融服务,也不影响工商银行发布金融服务。
优选地,根据本申请实施例一所示的服务资源发布方法在将待发布的服务资源发布至预先创建的服务提供方的资源组之后,还包括:为服务资源分配服务资源名称,服务资源名称全局唯一。
在具体实施时,为使后续服务调用时,能够快速查询到服务资源的地址,在将待发布的服务资源发布至预先创建的服务提供方的资源组之后,还可以进一步为各服务资源分配全局唯一的服务资源名称。
优选地,该服务资源名称由资源组名称、服务名称及版本号组成。
服务资源是方法的聚合,每一个服务资源可以由资源组名加服务名称加版本号来唯一确定。由于资源组唯一,因此,由资源组名称、服务名称及版本号组成的服务资源名称也全局唯一。
优选地,对服务提供方进行身份认证具体包括:通过安全令牌的方式对服务提供方进行身份认证,安全令牌包括服务提供方的第一用户名和第一密钥。
在具体实施时,每一个安全令牌包含一组键值对用户名access key和密钥secret key,access key用来唯一确定用户的身份,密钥用来加密消息,验证用户身份,并防止消息被篡改;安全令牌的access key在系统层面全局唯一。
在具体实施时,在创建新服务提供方时,云服务平台可以分配一个全局唯一的ID给该服务提供方,同时创建一个缺省的安全令牌(access key/secret key),该安全令牌唯一的标识了该服务提供方的身份;云服务平台可以手动或自动的将该安全令牌下发至服务提供方。通常情况下,安全令牌的第一次下发是手工下发,在第一次下发之后,平台可以自动下发安全令牌。在云服务平台和服务提供方之间的安全令牌应当保持同步。
优选地,通过安全令牌的方式对服务提供方进行身份认证具体包括:从服务资源发布请求中提取服务提供方的第一用户名和第一签名,第一签名由第一密钥计算得到;查询第一用户名对应的第二签名;将第一签名和所述第二签名进行对比;如果一致,则认证通过;如果不一致,则认证不通过。
在具体实施时,可以预先在云服务平台上存储第一用户名与第二签名的对应关系,也可以预先在云服务平台上存储第一用户名与第一密钥的对应关系,在接收到请求时,根据第一密钥计算得到第二签名。
优选地,服务提供方具有多个资源组,各资源组分别具有相应的安全令牌。
优选地,将待发布的服务资源发布至预先创建的服务提供方的资源组具体包括:接收待发布的服务资源名称、及待发布资源所在的服务器集群地址信息;将待发布服务资源名称与服务器集群地址信息之间的映射关系保存至预先创建的服务提供方的资源组。
在具体实施时,该服务器集群地址信息可以是服务器集群的IP(InternetProtocol,互联网协议)地址。
采用本申请实施例中的服务资源的发布方法,在服务提供方请求发布资源时,对服务提供方进行身份认证,认证通过后,将待发布的服务资源发布至预先创建的该服务提供方的资源组内,从而通过预先创建的全局唯一的资源组隔离了各服务提供方的服务资源,能够保证服务提供方之间的服务资源不会相互影响,有效保证了服务资源的隔离性。
同时,采用本申请实施例中的服务资源的发布方法,在发布服务资源时,要求服务提供方提供合法的安全令牌,保证了良好的安全性。
图2为本申请实施例二所示的服务调用方法流程图。
如图2所示,根据本申请实施例二所示的服务调用方法包括以下步骤:
S202,接收来自请求方的服务调用请求;
S204,对请求方进行身份认证;
S206,认证通过后,允许请求方调用预先创建的目标服务提供方的资源组内的服务资源,其中,服务提供方的资源组全局唯一。
在具体实施时,允许请求方调用预先创建的目标服务提供方的资源组内的服务资源可以采用以下方式:允许请求方订阅相应服务提供方的资源组内的服务地址。如果认证未通过,则不允许请求方订阅相应服务提供方的资源组内的服务地址。
在具体实施时,服务请求方可以在容器启动时,自动读取服务请求方的安全令牌的配置文件,并调用配置服务器(Config Server)接口拉取服务提供方的地址。配置服务器根据请求方提供的安全令牌来判断该机器是否有权限拉取服务资源的地址信息,如果允许,则返回服务资源所在计算机的IP地址,否则将拒绝该机器的拉取请求。服务请求方根据返回的服务提供方地址进行服务调用。
在具体实施时,可以由服务提供方将安全令牌下发至部署服务资源的各计算机,从而在在服务请求方根据服务资源地址进行服务调用时,还可以进一步由服务资源所部署的计算机对服务请求方的身份进行认证,从而提高服务调用的安全性。
下面以银行用户为例说明本申请实施例的具体实施过程。
例如,目标服务提供方为如交通银行的银行用户,服务消费方为某一支付平台,支付平台请求调用交通银行的帐户查询服务,此时,云服务平台先对支付平台的身份进行认证,认证通过后,云服务平台将存储的交通银行的帐户查询服务所在的计算机的IP地址返回给支付平台,支付平台向该IP地址请求调用账户查询服务;该IP地址的计算机在接收到支付平台的服务调用请求后,进一步要求支付平台的安全令牌以进行身份认证,认证通过后,接收支付平台的调用。
而相关技术中的远程服务调用方法如下:服务提供方注册到配置服务器(Config Server),该注册信息包括服务名称、服务组、版本号、IP地址等;服务消费方请求调用服务时,需要从配置服务器(Config Server)中根据服务名称、服务组和版本号获取服务提供方的地址;服务消费方根据获取的服务地址发起服务调用,如果调用成功则返回结果。
采用上述相关技术中的远程服务调用方法,不能保证多服务提供方环境下服务资源的隔离性。
另外,在相关技术中,在企业内部环境下,服务资源发布的安全性通常是基于企业内部的安全认证服务,如基于JAAS,WS-Security和spring-Security等。相关技术中的服务调用流程如下:服务消费方的用户发起服务调用时,向服务提供方提供相应的安全证书(如用户名/密码)以验证用户的身份;服务提供方根据消费方提供的证书确定其身份,找到对应的角色,并根据角色的权限确定服务消费方是否有权限来访问所请求的服务资源。
采用上述相关技术中的远程服务调用方法,在多服务提供方环境下,服务消费方直接与服务提供方进行数据交互将导致多服务提供方环境下服务调用的安全隐患,降低了云服务平台的安全性。
而采用本申请实施例中的服务调用方法,在接收到请求方的服务调用请求后,对请求方进行身份认证,认证通过后,调用预先创建的、全局唯一的目标服务提供方的资源组内的服务资源,能够保证各服务提供方服务资源之间的隔离性,也能保证服务调用的安全性。
优选地,所述服务调用请求具体携带所述服务资源名称,所述服务资源名称由所述服务提供方的资源组名称、服务名称及版本号组成。
由于资源组全局唯一,所以由资源组名称、服务名称及版本号组成的服务资源名称也全局唯一。
优选地,请求方是服务消费方,对请求方进行身份认证具体包括:通过安全令牌的方式对服务消费方进行身份认证,安全令牌包括服务消费方的第二用户名和第二密钥。
在具体实施时,服务消费方通常数量较大,此时的安全认证可以通过安全令牌的形式实现;当然,也可以通过显式授权的形式实现。
在具体实施时,服务消费方的安全令牌可以通过手工下发或是自动下发的形式下发至服务消费方。在云服务平台和服务消费方之间的安全令牌应当保持同步。
优选地,通过安全令牌的方式对服务消费方进行身份认证具体包括:从服务调用请求中提取服务消费方的第二用户名和第三签名,第三签名由第二密钥计算得到;查询第二用户名对应的第四签名;将第三签名和所述第四签名进行对比;如果一致,则认证通过;如果不一致,则认证不通过。
在具体实施时,可以预先在云服务平台上存储第二用户名与第四签名的对应关系,也可以预先在云服务平台上存储第二用户名与第二密钥的对应关系,在接收到请求时,根据第二密钥计算得到第四签名。
优选地,请求方是其他服务提供方,对请求方进行身份认证具体包括:查询待调用服务的服务提供方的授权名单;确定授权名单内是否存在请求方;如果存在,则认证通过;如果不存在,则认证不通过。
在具体实施时,如果发生跨服务提供方的远程服务调用,服务提供方可以对服务调用进行显式授权,即对于每一个服务资源,如果允许其他服务提供方访问,则用户可以显式授权给其他服务提供方。例如,交通银行可以通过显式授权的方式将金融服务的账户查询服务授权给工商银行。
在具体实施时,该显式授权可以采用多种形式,例如,交通银行可以在平台上设置,将账户查询服务授权给工商银行,该设置对登录交通银行账户的用户均可见。
优选地,允许请求方调用预先创建的目标服务提供方的资源组内的相应服务资源具体包括:允许请求方拉取预先创建的目标服务提供方的资源组内的相应服务资源的地址信息。
如果认证不通过,则拒绝该拉取请求。
采用本申请实施例的服务调用方法,在接收到请求方的服务调用请求后,对请求方进行身份认证,认证通过后,调用预先创建的、全局唯一的目标服务提供方的资源组内的服务资源,能够保证各服务提供方服务资源之间的隔离性,也能保证服务调用的安全性。
基于同一发明构思,本申请实施例中还提供了一种服务资源发布装置,由于该装置解决问题的原理与本申请实施例所提供的方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
图3为本申请实施例三所示服务资源发布装置的结构示意图。
如图3所示,根据本申请实施例三所示的服务资源发布装置300,包括:第一接收模块302,用于接收来自服务提供方的服务资源发布请求;第一身份认证模块304,用于对服务提供方进行身份认证;发布模块306,用于在认证通过后,将待发布的服务资源发布至预先创建的服务提供方的资源组,其中,服务提供方的资源组全局唯一。
优选地,根据本申请实施例三所示务资源发布装置还包括:分配模块,用于为服务资源分配服务资源名称,服务资源名称全局唯一。
优选地,服务资源名称由资源组名称、服务名称及版本号组成。
优选地,第一身份认证模块具体通过安全令牌的方式对服务提供方进行身份认证,安全令牌包括服务提供方的第一用户名和第一密钥。
优选地,第一身份认证模块具体包括:第一提取子模块,用于从服务资源发布请求中提取服务提供方的第一用户名和第一签名,第一签名由第一密钥计算得到;第一查询子模块,用于查询第一用户名对应的第二签名;第一对比子模块,用于将第一签名和第二签名进行对比;第一认证结果判断子模块,用于在一致时,判断认证通过;在不一致时,判断认证不通过。
优选地,服务提供方具有多个资源组,各资源组分别具有相应的安全令牌。
优选地,发布模块具体包括:接收子模块,用于接收待发布的服务资源名称、及待发布资源所在的服务器集群地址信息;保存子模块,用于将各服务资源名称与服务器集群地址信息之间的映射关系保存至预先创建的服务提供方的资源组。
采用本申请实施例中的服务资源的发布装置,在服务提供方请求发布资源时,对服务提供方进行身份认证,认证通过后,将待发布的服务资源发布至预先创建的该服务提供方的资源组内,从而通过预先创建的全局唯一的资源组隔离了各服务提供方的服务资源,能够保证服务提供方之间的服务资源不会相互影响,有效保证了服务资源的隔离性和安全性。
基于同一发明构思,本申请实施例中还提供了一种服务调用装置,由于该装置解决问题的原理与本申请实施例所提供的方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
图4为本申请实施例四所示服务调用装置的结构示意图。
如图4所示,根据本申请实施例四所示的服务调用装置400,包括:第二接收模块402,用于接收来自请求方的服务调用请求;第二身份认证模块404,用于对请求方进行身份认证;调用模块406,用于在认证通过后,调用预先创建的目标服务提供方的资源组内的服务资源,其中,服务提供方的资源组全局唯一。
优选地,服务调用请求具体携带服务资源名称,服务资源名称由服务提供方的资源组名称、服务名称及版本号组成。
优选地,请求方是服务消费方,第二身份认证模块具体用于通过安全令牌的方式对服务消费方进行身份认证,安全令牌包括服务消费方的第二用户名和第二密钥。
优选地,请求方具有多个安全令牌。
优选地,第二身份认证模块具体包括:第二提取子模块,用于从服务调用请求中提取服务消费方的第二用户名和第三签名,第三签名由第二密钥计算得到;第二查询子模块,用于查询第二用户名对应的第四签名;第二对比子模块,用于将第三签名和第四签名进行对比;第二认证结果判断子模块,用于在一致时,判断认证通过;在不一致时,判断认证不通过。
优选地,请求方是其他服务提供方,第二身份认证模块具体包括:第三查询子模块,用于查询服务提供方的授权名单;确定子模块,用于确定授权名单内是否存在请求方;第三认证结果判断子模块,用于在存在时,判断认证通过;在不存在时,判断认证不通过。
优选地,调用模块具体用于允许请求方拉取预先创建的目标服务提供方的资源组内的相应服务资源的地址信息。
采用本申请实施例的服务调用装置,在接收到请求方的服务调用请求后,对请求方进行身份认证,认证通过后,调用预先创建的、全局唯一的目标服务提供方的资源组内的服务资源,能够保证各服务提供方服务资源之间的隔离性,也能保证服务调用的安全性。
基于同一发明构思,本申请实施例中还提供了一种服务资源发布系统,由于该系统解决问题的原理与本申请实施例所提供的方法相似,因此该系统的实施可以参见方法的实施,重复之处不再赘述。
图5为本申请实施例五所示服务资源发布系统的结构示意图。
如图5所示,根据本申请实施例五所示的服务资源发布系统500,包括:服务提供方客户端502;服务资源发布装置300。
采用本申请实施例中的服务资源发布系统,在服务提供方请求发布资源时,对服务提供方进行身份认证,认证通过后,将待发布的服务资源发布至预先创建的该服务提供方的资源组内,从而通过预先创建的全局唯一的资源组隔离了各服务提供方的服务资源,能够保证服务提供方之间的服务资源不会相互影响,有效保证了服务资源的隔离性和安全性。
基于同一发明构思,本申请实施例中还提供了一种服务调用系统,由于该系统解决问题的原理与本申请实施例所提供的方法相似,因此该系统的实施可以参见方法的实施,重复之处不再赘述。
图6为本申请实施例六所示服务调用系统的结构示意图。
如图6所示,根据本申请实施例六所示的服务调用系统600,包括:服务请求方客户端602;服务调用装置400。
采用本申请实施例的服务调用系统,在接收到请求方的服务调用请求后,对请求方进行身份认证,认证通过后,调用预先创建的、全局唯一的目标服务提供方的资源组内的服务资源,能够保证各服务提供方服务资源之间的隔离性,也能保证服务调用的安全性。
基于同一发明构思,本申请实施例中还提供了一种云服务平台。
图7为本申请实施例七所示云服务平台的结构示意图。
如图7所示,根据本申请实施例七所示的云服务平台700,包括:配置服务器702,用于存储多个服务提供方的资源组,其中,服务提供方的资源组全局唯一;鉴权服务器704,用于存储服务提供方的安全令牌、服务请求方的安全令牌及授权名单,并对服务提供方和服务请求方进行鉴权;授权服务器706,用于生成安全令牌,并将安全令牌下发至服务提供方和服务请求方。
在具体实施时,所有用户界面相关的操作都可以由授权服务器完成,例如,创建新的服务提供方、创建资源组、生成及更新安全令牌等;授权服务器还可以存储服务提供方、资源组、服务资源、及安全令牌等数据及这些数据之间的对应关系。
在具体实施时,鉴权服务器中可以存储服务提供方、资源组和安全令牌的对应关系,每一个安全令牌包含一组键值对access key和secret key;鉴权服务器可以提供所有服务资源的授权和鉴权的接口。
在具体实施时,配置服务器中可以存储服务资源与计算机集群的IP地址的映射关系。
在具体实施时,云服务平台700的数据流向可以如图8所示。
如图8所示,授权服务器向服务提供方和服务请求方发送安全令牌;并将服务提供方的数据和授权数据(如,资源组、服务资源、及安全令牌等数据及这些数据之间的对应关系等)推送至鉴权服务器。
在服务提供方向配置服务器请求发布服务时,配置服务器向鉴权服务器请求对服务提供方的身份进行鉴权;鉴权服务器根据授权服务器推送的数据对服务提供方的身份进行鉴权;鉴权通过后,配置服务器接收服务提供方发送的服务资源名称和该服务资源存储的服务器集群的IP地址,并保存其对应关系。
在服务请求方向配置服务器请求调用某一服务资源时,服务请方先向配置服务器请求订阅该服务;配置服务器向鉴权服务器请求对服务请求方的身份进行鉴权;鉴权服务器根据授权服务器推送的数据对服务提供方的身份进行鉴权;鉴权通过后,配置服务器允许服务请求方订阅相应的服务资源,即,允许服务请求方拉取该服务资源对应的服务器集群的IP地址;服务请求方根据该IP地址实现对服务提供方的服务资源的调用。采用本申请实施例的云服务平台,能够在配置服务器中存储资源组,以隔离服务资源,使得多个服务提供方之间的服务资源不会相互影响;其次,在服务提供方发布服务资源以及服务消费方订阅服务时,鉴权服务器会首先进行身份认证,以判断是否允许该操作,从而能够提供良好的安全性。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (29)
1.一种服务资源发布方法,其特征在于,包括:
接收来自服务提供方的服务资源发布请求;
对所述服务提供方进行身份认证;
认证通过后,将待发布的服务资源发布至预先创建的所述服务提供方的资源组,其中,所述服务提供方的资源组全局唯一。
2.根据权利要求1所述的方法,其特征在于,将待发布的服务资源发布至预先创建的所述服务提供方的资源组之后,还包括:
为所述服务资源分配服务资源名称,所述服务资源名称全局唯一。
3.根据权利要求2所述的方法,其特征在于,所述服务资源名称由所述资源组名称、服务名称及版本号组成。
4.根据权利要求1所述的方法,其特征在于,对所述服务提供方进行身份认证具体包括:
通过安全令牌的方式对所述服务提供方进行身份认证,所述安全令牌包括服务提供方的第一用户名和第一密钥。
5.根据权利要求4所述的方法,其特征在于,通过安全令牌的方式对所述服务提供方进行身份认证具体包括:
从所述服务资源发布请求中提取服务提供方的第一用户名和第一签名,所述第一签名由所述第一密钥计算得到;
查询所述第一用户名对应的第二签名;
将所述第一签名和所述第二签名进行对比;
如果一致,则认证通过;
如果不一致,则认证不通过。
6.根据权利要求4所述的方法,其特征在于,所述服务提供方具有多个资源组,各资源组分别具有相应的安全令牌。
7.根据权利要求1所述的方法,其特征在于,将待发布的服务资源发布至预先创建的所述服务提供方的资源组具体包括:
接收待发布的服务资源名称、及所述待发布资源所在的服务器集群地址信息;
将所述待发布服务资源名称与所述服务器集群地址信息之间的映射关系保存至预先创建的所述服务提供方的资源组。
8.一种服务调用方法,其特征在于,包括:
接收来自请求方的服务调用请求;
对所述请求方进行身份认证;
认证通过后,允许所述请求方调用预先创建的目标服务提供方的资源组内的相应服务资源,其中,所述服务提供方的资源组全局唯一。
9.根据权利要求8所述的方法,其特征在于,所述服务调用请求具体携带所述服务资源名称,所述服务资源名称由所述服务提供方的资源组名称、服务名称及版本号组成。
10.根据权利要求8所述的方法,其特征在于,所述请求方是服务消费方,
对所述请求方进行身份认证具体包括:通过安全令牌的方式对所述服务消费方进行身份认证,所述安全令牌包括服务消费方的第二用户名和第二密钥。
11.根据权利要求10所述的方法,其特征在于,通过安全令牌的方式对所述服务消费方进行身份认证具体包括:
从所述服务调用请求中提取所述服务消费方的第二用户名和第三签名,所述第三签名由所述第二密钥计算得到;
查询所述第二用户名对应的第四签名;
将所述第三签名和所述第四签名进行对比;
如果一致,则认证通过;
如果不一致,则认证不通过。
12.根据权利要求10所述的方法,其特征在于,所述请求方是其他服务提供方,
对所述请求方进行身份认证具体包括:查询所述待调用服务的服务提供方的授权名单;确定所述授权名单内是否存在所述请求方;如果存在,则认证通过;如果不存在,则认证不通过。
13.根据权利要求8所述的方法,其特征在于,允许所述请求方调用预先创建的目标服务提供方的资源组内的相应服务资源具体包括:
允许所述请求方拉取预先创建的目标服务提供方的资源组内的相应服务资源的地址信息。
14.一种服务资源发布装置,其特征在于,包括:
第一接收模块,用于接收来自服务提供方的服务资源发布请求;
第一身份认证模块,用于对所述服务提供方进行身份认证;
发布模块,用于在认证通过后,将待发布的服务资源发布至预先创建的所述服务提供方的资源组,其中,所述服务提供方的资源组全局唯一。
15.根据权利要求14所述的装置,其特征在于,还包括:
分配模块,用于为所述服务资源分配服务资源名称,所述服务资源名称全局唯一。
16.根据权利要求15所述的装置,其特征在于,所述服务资源名称由所述资源组名称、服务名称及版本号组成。
17.根据权利要求14所述的装置,其特征在于,所述第一身份认证模块具体用于通过安全令牌的方式对所述服务提供方进行身份认证,所述安全令牌包括服务提供方的第一用户名和第一密钥。
18.根据权利要求17所述的装置,其特征在于,所述第一身份认证模块具体包括:
第一提取子模块,用于从所述服务资源发布请求中提取服务提供方的第一用户名和第一签名,所述第一签名由所述第一密钥计算得到;
第一查询子模块,用于查询所述第一用户名对应的第二签名;
第一对比子模块,用于将所述第一签名和所述第二签名进行对比;
第一认证结果判断子模块,用于在一致时,判断认证通过;在不一致时,判断认证不通过。
19.根据权利要求17所述的装置,其特征在于,所述服务提供方具有多个资源组,各资源组分别具有相应的安全令牌。
20.根据权利要求14所述的装置,其特征在于,所述发布模块具体包括:
接收子模块,用于接收待发布的服务资源名称、及所述待发布资源所在的服务器集群地址信息;
保存子模块,用于将各服务资源名称与服务器集群地址信息之间的映射关系保存至预先创建的所述服务提供方的资源组。
21.一种服务调用装置,其特征在于,包括:
第二接收模块,用于接收来自请求方的服务调用请求;
第二身份认证模块,用于对所述请求方进行身份认证;
调用模块,用于在认证通过后,允许所述请求方调用预先创建的目标服务提供方的资源组内的所述服务资源,其中,所述服务提供方的资源组全局唯一。
22.根据权利要求21所述的装置,其特征在于,所述服务调用请求具体携带所述服务资源名称,所述服务资源名称由所述服务提供方的资源组名称、服务名称及版本号组成。
23.根据权利要求21所述的装置,其特征在于,所述请求方是服务消费方,所述第二身份认证模块具体用于通过安全令牌的方式对所述服务消费方进行身份认证,所述安全令牌包括服务消费方的第二用户名和第二密钥。
24.根据权利要求23所述的装置,其特征在于,所述第二身份认证模块具体包括:
第二提取子模块,用于从所述服务调用请求中提取所述服务消费方的第二用户名和第三签名,所述第三签名由所述第二密钥计算得到;
第二查询子模块,用于查询所述第二用户名对应的第四签名;
第二对比子模块,用于将所述第三签名和所述第四签名进行对比;
第二认证结果判断子模块,用于在一致时,判断认证通过;在不一致时,判断认证不通过。
25.根据权利要求23所述的装置,其特征在于,所述请求方是其他服务提供方,所述第二身份认证模块具体包括:
第三查询子模块,用于查询所述服务提供方的授权名单;
确定子模块,用于确定所述授权名单内是否存在所述请求方;
第三认证结果判断子模块,用于在存在时,判断认证通过;在不存在时,判断认证不通过。
26.根据权利要求21所述的装置,其特征在于,所述调用模块具体用于允许所述请求方拉取预先创建的目标服务提供方的资源组内的相应服务资源的地址信息。
27.一种服务资源发布系统,其特征在于,包括:
服务提供方客户端;
如权利要求14-20中任一项的服务资源发布装置。
28.一种服务调用系统,其特征在于,包括:
服务请求方客户端;
如权利要求21-26中任一项的服务调用装置。
29.一种云服务平台,其特征在于,包括:
配置服务器,用于存储多个服务提供方的资源组,其中,所述服务提供方的资源组全局唯一;
鉴权服务器,用于存储并下发服务提供方的安全令牌、服务请求方的安全令牌,并对所述服务提供方和所述服务请求方进行鉴权;
授权服务器,用于生成安全令牌。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510628395.4A CN106559389A (zh) | 2015-09-28 | 2015-09-28 | 一种服务资源发布、调用方法、装置、系统及云服务平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510628395.4A CN106559389A (zh) | 2015-09-28 | 2015-09-28 | 一种服务资源发布、调用方法、装置、系统及云服务平台 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106559389A true CN106559389A (zh) | 2017-04-05 |
Family
ID=58416608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510628395.4A Pending CN106559389A (zh) | 2015-09-28 | 2015-09-28 | 一种服务资源发布、调用方法、装置、系统及云服务平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106559389A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107171828A (zh) * | 2017-04-18 | 2017-09-15 | 北京思特奇信息技术股份有限公司 | 一种应对远程调用依赖的超时熔断方法和系统 |
| CN107196954A (zh) * | 2017-06-15 | 2017-09-22 | 网宿科技股份有限公司 | 一种服务访问方法、装置及系统 |
| CN108111629A (zh) * | 2018-01-19 | 2018-06-01 | 京东方科技集团股份有限公司 | 应用编程接口服务装置和应用编程接口服务系统 |
| CN109587169A (zh) * | 2018-12-29 | 2019-04-05 | 亿阳安全技术有限公司 | 一种服务准入的管理方法及装置 |
| CN110213229A (zh) * | 2019-04-25 | 2019-09-06 | 平安科技(深圳)有限公司 | 身份认证方法、系统、计算机设备及存储介质 |
| WO2020143851A3 (en) * | 2020-04-13 | 2021-02-25 | Alipay (Hangzhou) Information Technology Co., Ltd. | Method and system for optimizing resource redistribution |
| WO2021087892A1 (zh) * | 2019-11-07 | 2021-05-14 | Oppo广东移动通信有限公司 | 资源的订阅方法、设备及存储介质 |
| CN112887228A (zh) * | 2019-11-29 | 2021-06-01 | 阿里巴巴集团控股有限公司 | 云资源管理方法、装置、电子设备及计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101969391A (zh) * | 2010-10-27 | 2011-02-09 | 北京邮电大学 | 一种支持融合网络业务的云平台及其工作方法 |
| CN102013066A (zh) * | 2010-06-04 | 2011-04-13 | 西本新干线股份有限公司 | 电子交易服务平台 |
| CN102427451A (zh) * | 2011-12-06 | 2012-04-25 | 宁波电业局 | 一种获取服务应用的方法与系统 |
| CN102571550A (zh) * | 2010-12-30 | 2012-07-11 | 北京亿阳信通软件研究院有限公司 | 一种通用的信息交互平台和方法 |
| CN103618605A (zh) * | 2013-11-26 | 2014-03-05 | 中国联合网络通信集团有限公司 | 时变访问令牌的生成方法及服务器 |
-
2015
- 2015-09-28 CN CN201510628395.4A patent/CN106559389A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102013066A (zh) * | 2010-06-04 | 2011-04-13 | 西本新干线股份有限公司 | 电子交易服务平台 |
| CN101969391A (zh) * | 2010-10-27 | 2011-02-09 | 北京邮电大学 | 一种支持融合网络业务的云平台及其工作方法 |
| CN102571550A (zh) * | 2010-12-30 | 2012-07-11 | 北京亿阳信通软件研究院有限公司 | 一种通用的信息交互平台和方法 |
| CN102427451A (zh) * | 2011-12-06 | 2012-04-25 | 宁波电业局 | 一种获取服务应用的方法与系统 |
| CN103618605A (zh) * | 2013-11-26 | 2014-03-05 | 中国联合网络通信集团有限公司 | 时变访问令牌的生成方法及服务器 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107171828B (zh) * | 2017-04-18 | 2020-04-10 | 北京思特奇信息技术股份有限公司 | 一种应对远程调用依赖的超时熔断方法和系统 |
| CN107171828A (zh) * | 2017-04-18 | 2017-09-15 | 北京思特奇信息技术股份有限公司 | 一种应对远程调用依赖的超时熔断方法和系统 |
| CN107196954A (zh) * | 2017-06-15 | 2017-09-22 | 网宿科技股份有限公司 | 一种服务访问方法、装置及系统 |
| CN108111629A (zh) * | 2018-01-19 | 2018-06-01 | 京东方科技集团股份有限公司 | 应用编程接口服务装置和应用编程接口服务系统 |
| US10884825B2 (en) | 2018-01-19 | 2021-01-05 | Boe Technology Group Co., Ltd. | Application programming interface (API) service apparatus and application programming interface (API) service system |
| CN109587169A (zh) * | 2018-12-29 | 2019-04-05 | 亿阳安全技术有限公司 | 一种服务准入的管理方法及装置 |
| CN109587169B (zh) * | 2018-12-29 | 2022-12-13 | 亿阳安全技术有限公司 | 一种服务准入的管理方法及装置 |
| CN110213229A (zh) * | 2019-04-25 | 2019-09-06 | 平安科技(深圳)有限公司 | 身份认证方法、系统、计算机设备及存储介质 |
| WO2021087892A1 (zh) * | 2019-11-07 | 2021-05-14 | Oppo广东移动通信有限公司 | 资源的订阅方法、设备及存储介质 |
| US11909840B2 (en) | 2019-11-07 | 2024-02-20 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Resource subscription method, device, and storage medium |
| CN112887228A (zh) * | 2019-11-29 | 2021-06-01 | 阿里巴巴集团控股有限公司 | 云资源管理方法、装置、电子设备及计算机可读存储介质 |
| CN112887228B (zh) * | 2019-11-29 | 2024-02-02 | 阿里巴巴集团控股有限公司 | 云资源管理方法、装置、电子设备及计算机可读存储介质 |
| WO2020143851A3 (en) * | 2020-04-13 | 2021-02-25 | Alipay (Hangzhou) Information Technology Co., Ltd. | Method and system for optimizing resource redistribution |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11290337B2 (en) | Hybrid cloud identity mapping infrastructure | |
| CN106559389A (zh) | 一种服务资源发布、调用方法、装置、系统及云服务平台 | |
| CN109522735B (zh) | 一种基于智能合约的数据权限验证方法及装置 | |
| AU2020241859B2 (en) | System and method for second factor authentication of customer support calls | |
| JP7236992B2 (ja) | ブロックチェーンにより実現される方法及びシステム | |
| US20210006410A1 (en) | Method for providing virtual asset service based on decentralized identifier and virtual asset service providing server using them | |
| CN110365695A (zh) | 可切换共识算法的区块链数据交互方法及装置 | |
| CN102724647B (zh) | 一种能力访问授权方法及系统 | |
| TWI473029B (zh) | 可延伸及可程式化之多租戶服務結構 | |
| US11461752B2 (en) | Wifi sharing system with mesh network functionality | |
| CN109643242A (zh) | 用于多租户hadoop集群的安全设计和架构 | |
| CN102947797A (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
| JP2013008229A (ja) | 認証システムおよび認証方法およびプログラム | |
| CN108876669B (zh) | 应用于多平台教育资源共享的课程公证系统及方法 | |
| JPWO2009084601A1 (ja) | アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム | |
| CN103384237A (zh) | 一种共享IaaS业务云账号的方法、及共享平台和网络装置 | |
| KR20150137518A (ko) | 하이브리드 클라우드기반 ict서비스시스템 및 그 방법 | |
| WO2021035141A1 (en) | Blockchain network control system and methods | |
| WO2022040528A1 (en) | Wifi sharing system and wifi sharing system with mesh network functionality | |
| TWI839875B (zh) | 支付方法、使用者終端、裝置、設備、系統及介質 | |
| CN113781230B (zh) | 基于区块链的交易处理方法和装置 | |
| CN107392602A (zh) | 查询数字货币钱包的方法和系统 | |
| CN109802927A (zh) | 一种安全服务提供方法及装置 | |
| CN117041959A (zh) | 一种业务处理方法、装置、电子设备及计算机可读介质 | |
| US9232078B1 (en) | Method and system for data usage accounting across multiple communication networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170405 |
|
| RJ01 | Rejection of invention patent application after publication |