CN106992964A - 一种适用于混合云的微服务安全代理系统 - Google Patents
一种适用于混合云的微服务安全代理系统 Download PDFInfo
- Publication number
- CN106992964A CN106992964A CN201710090083.1A CN201710090083A CN106992964A CN 106992964 A CN106992964 A CN 106992964A CN 201710090083 A CN201710090083 A CN 201710090083A CN 106992964 A CN106992964 A CN 106992964A
- Authority
- CN
- China
- Prior art keywords
- service
- security agent
- micro services
- instruction
- system suitable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种适用于混合云的微服务安全代理系统,涉及云计算安全信息技术领域。该系统包括前端智能安全代理及接入服务,以及高强度、不可逆、仿伪造动态指令加密与解析验证服务,以及后端多智能安全代理及多协议适配接入服务。本发明实现了基于多智能代理分布式架构和动态校验流程的安全代理层,优势是实现了前后端通讯指令的动态高强度、不可逆和伪造加密,简化了多源异构系统和服务接入云端的安全问题。用户或设备通过安全代理进行统一身份验证既能访问接入安全代理的后端系统或服务,通讯协议支持http/https、mqtt、websocket,适用于物联网、互联网应用场景后端可以专注于微服务开发,可以通过安全代理直接接入公网。
Description
技术领域
本发明涉及云计算安全信息技术领域,尤其涉及一种适用于混合云的微服务安全代理系统。
背景技术
云计算应用面临最大的障碍是安全性得不到保障。混合云融合了公有云和私有云,是近年来云计算的主要模式和发展方向,这是一种公有云和私有云进行混合和匹配,以获得最佳的效果的个性化的解决方案。云计算服务和设备资源高度共享的特点意味着同一平台上通过虚拟化技术和多租户技术运行多种业务,满足大量用户的不同需求。基于业务的多样性和复杂性,存在多源异构业务系统和设备接入网络,而微服务架构与消息指令的加密传输校验就显得尤为重要。
发明内容
本发明的目的是为了解决现有技术中存在的缺点,而提出的一种适用于混合云的微服务安全代理系统。
为了实现上述目的,本发明采用了如下技术方案:
一种适用于混合云的微服务安全代理系统,其特征在于,所述安全代理服务系统包括:
前端智能安全代理及接入服务;
高强度、不可逆、仿伪造动态指令加密与解析、验证服务;
后端多智能安全代理及多协议适配接入服务。
上述的一种适用于混合云的微服务安全代理系统,后端所述多智能安全代理采用可均衡网络流量,避免单点失效和出现局部网络流量瓶颈的分布式节点的拓扑结构。
上述的一种适用于混合云的微服务安全代理系统,前端所述智能安全代理可自适应地采用以适应复杂网络环境场景需求的socket长连接或会话保存机制。
上述的一种适用于混合云的微服务安全代理系统,指令加密传输校验的加密算法采用sha256、MD5,指令的加密解析过程为:客户端每次通过授权的安全代理选择发送指令,安全代理将明文身份和指令经过sha256、MD5算法多次迭代后生成不可逆动态身份散列码,并进行交互式双重随机策略的二次加密防伪校验,最后通过安全代理认证解析后,传给后端智能代理进行设备控制或服务请求。
上述的一种适用于混合云的微服务安全代理系统,适配接入服务的多协议支持http/https、mqtt、websocket。
本发明的有益效果:本发明实现了基于多智能代理分布式架构和动态校验流程的安全代理层,优势是实现了前后端通讯指令的动态高强度、不可逆和伪造加密,简化了多源异构系统和服务接入云端的安全问题。用户或设备通过安全代理进行统一身份验证既能访问接入安全代理的后端系统或服务,通讯协议支持http/https、mqtt、websocket,适用于物联网、互联网应用场景后端可以专注于微服务开发,可以通过安全代理直接接入公网。
附图说明
图1为本发明的原理示意图;
图2为本发明前后端智能代理动态策略同步及消息指令加密传输校验流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
如图1和图2所示,本发明提供了一种适用于混合云的微服务安全代理系统,所述安全代理服务系统包括:
前端智能安全代理及接入服务;
高强度、不可逆、仿伪造动态指令加密与解析、验证服务;
后端多智能安全代理及多协议适配接入服务。
具体的,在上述的一种适用于混合云的微服务安全代理系统中,后端所述多智能安全代理采用可均衡网络流量,避免单点失效和出现局部网络流量瓶颈的分布式节点的拓扑结构。前端所述智能安全代理可自适应地采用以适应复杂网络环境场景需求的socket长连接或会话保存机制。指令加密传输校验的加密算法采用sha256、MD5,指令的加密解析过程为:客户端每次通过授权的安全代理发送指令,安全代理将明文身份和指令经过sha256、MD5算法多次迭代后生成不可逆动态身份散列码,并进行交互式双重随机策略的二次加密防伪校验,最后通过安全代理认证解析后,传给后端智能代理进行设备控制或服务请求。适配接入服务的多协议支持http/https、mqtt、websocket。
具体实施时,就医用户在就医咨询、专家推荐、预约挂号服务中涉及多个异构业务系统及传感器、健康设备等的协同交互和消息传递,其环境包括私有云和公有云的复杂环境,在无需改造原有业务系统的情况下,利用安全代理实现了对用户身份、敏感消息指令传递的高度加密以及防伪造篡改,以提供精准、个性化导医和健康医疗辅助决策服务。
其具有以下特点:
1、支持为用户提供免安装或安装安全模块两种模式,免安装模式可以直接通过浏览器加载安全代理脚本,安装模式支持在PC或移动端安装安全代理系统插件,均可应用安全代理实现云安全指令加密传输。
2、各端安全代理通过秘密策略实现随机码同步,对网络传输过程中的明文身份验证信息和消息指令进行随机、高强度、多次迭代(1024次以上)的SHA256加密
3、安全服务器对加密散列码进行解析、并通过随机策略对安全代理身份进行附加验证、防止加密散列码伪造和劫持。
4、通过身份、指令验证后解析后,与后端多智能安全代理进行通讯,根据用户信息进行导医推荐运算,并将结果返回用户。
5、此外安全指令传输采用了随机策略应答机制,强制安全指令的队列传输,有效的防止黑客对安全服务器器的大并发暴力攻击。
6、智能代理实现了的指令传输优先级策略,重要紧急指令可以优先得到执行(例如用户主动下发指令优先于后台自动化脚本指令,排除故障指令>查询指令>消息轮询指令等),经测试,有效的缩短了重要紧急指令响应时间和执行速度,特别是在多用户复杂网络环境中,能有效提升用户体验。
7.以上过程的实施,前后端开发只需专注业务层面的开发,安全代理解决了中间身份认证和指令加密、防伪的复杂任务。
本发明实现了基于多智能代理分布式架构和动态校验流程的安全代理层,优势是实现了前后端通讯指令的动态高强度、不可逆和伪造加密,简化了多源异构系统和服务接入云端的安全问题。根据不同节点所面临的安全风险的类型的不同,设计智能代理的拓扑结构,使安全代理系统的总体安全风险得到有效控制和优化。用户或设备通过安全代理进行统一身份验证既能访问接入安全代理的后端系统或服务,通讯协议支持http/https、mqtt、websocket,适用于物联网、互联网应用场景后端可以专注于微服务开发,可以通过安全代理直接接入公网。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (5)
1.一种适用于混合云的微服务安全代理系统,其特征在于,所述安全代理服务系统包括:
前端智能安全代理及接入服务;
高强度、不可逆、仿伪造动态指令加密与解析、验证服务;
后端多智能安全代理及多协议适配接入服务。
2.根据权利要求1所述的一种适用于混合云的微服务安全代理系统,其特征在于,后端所述多智能安全代理采用可均衡网络流量,避免单点失效和出现局部网络流量瓶颈的分布式节点的拓扑结构。
3.根据权利要求1所述的一种适用于混合云的微服务安全代理系统,其特征在于,前端所述智能安全代理可自适应地采用以适应复杂网络环境场景需求的socket长连接或会话保存机制。
4.根据权利要求1所述的一种适用于混合云的微服务安全代理系统,其特征在于,指令加密传输校验的加密算法采用sha256、MD5,指令的加密解析过程为:客户端每次通过授权的安全代理选择发送指令,安全代理将明文身份和指令经过sha256、MD5算法多次迭代后生成不可逆动态身份散列码,并进行交互式双重随机策略的二次加密防伪校验,最后通过安全代理认证解析后,传给后端智能代理进行设备控制或服务请求。
5.根据权利要求1所述的一种适用于混合云的微服务安全代理系统,其特征在于,适配接入服务的多协议支持http/https、mqtt、websocket。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710090083.1A CN106992964A (zh) | 2017-02-20 | 2017-02-20 | 一种适用于混合云的微服务安全代理系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710090083.1A CN106992964A (zh) | 2017-02-20 | 2017-02-20 | 一种适用于混合云的微服务安全代理系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106992964A true CN106992964A (zh) | 2017-07-28 |
Family
ID=59414489
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710090083.1A Pending CN106992964A (zh) | 2017-02-20 | 2017-02-20 | 一种适用于混合云的微服务安全代理系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106992964A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109088731A (zh) * | 2018-09-04 | 2018-12-25 | 杭州涂鸦信息技术有限公司 | 一种物联网云端通信方法及其装置 |
CN109756522A (zh) * | 2019-03-25 | 2019-05-14 | 苏州达塔库自动化科技有限公司 | 支持多种协议的消息代理方法 |
CN112511560A (zh) * | 2020-12-21 | 2021-03-16 | 北京云思畅想科技有限公司 | 一种基于服务网格的混合云环境下数据安全保障方法 |
CN114143048A (zh) * | 2021-11-18 | 2022-03-04 | 绿盟科技集团股份有限公司 | 一种安全资源管理的方法、装置及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104113595A (zh) * | 2014-07-09 | 2014-10-22 | 武汉邮电科学研究院 | 一种基于安全等级划分的混合云存储系统及方法 |
WO2016192866A1 (en) * | 2015-06-03 | 2016-12-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Implanted agent within a first service container for enabling a reverse proxy on a second container |
CN106295377A (zh) * | 2016-08-24 | 2017-01-04 | 成都万联传感网络技术有限公司 | 一种医疗养老数据安全交换代理装置及其构建方法 |
-
2017
- 2017-02-20 CN CN201710090083.1A patent/CN106992964A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104113595A (zh) * | 2014-07-09 | 2014-10-22 | 武汉邮电科学研究院 | 一种基于安全等级划分的混合云存储系统及方法 |
WO2016192866A1 (en) * | 2015-06-03 | 2016-12-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Implanted agent within a first service container for enabling a reverse proxy on a second container |
CN106295377A (zh) * | 2016-08-24 | 2017-01-04 | 成都万联传感网络技术有限公司 | 一种医疗养老数据安全交换代理装置及其构建方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109088731A (zh) * | 2018-09-04 | 2018-12-25 | 杭州涂鸦信息技术有限公司 | 一种物联网云端通信方法及其装置 |
CN109756522A (zh) * | 2019-03-25 | 2019-05-14 | 苏州达塔库自动化科技有限公司 | 支持多种协议的消息代理方法 |
CN112511560A (zh) * | 2020-12-21 | 2021-03-16 | 北京云思畅想科技有限公司 | 一种基于服务网格的混合云环境下数据安全保障方法 |
CN114143048A (zh) * | 2021-11-18 | 2022-03-04 | 绿盟科技集团股份有限公司 | 一种安全资源管理的方法、装置及存储介质 |
CN114143048B (zh) * | 2021-11-18 | 2023-09-26 | 绿盟科技集团股份有限公司 | 一种安全资源管理的方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107534651B (zh) | 用于传送会话标识符的方法及设备 | |
CN102333075B (zh) | 用于移动设备的具有动态故障转移的多服务vpn网络客户端 | |
Wang et al. | SDN-based handover authentication scheme for mobile edge computing in cyber-physical systems | |
CN102316092B (zh) | 用于移动设备的具有快速重新连接的vpn网络客户端 | |
CN102316093B (zh) | 用于移动设备的双模式多服务vpn网络客户端 | |
EP2692166B1 (en) | Authentication method and system | |
US8527762B2 (en) | Method for realizing an authentication center and an authentication system thereof | |
CN108293053A (zh) | 经由浏览器对客户端应用进行单点登录验证 | |
CN102143177B (zh) | 一种Portal认证方法、装置、设备及系统 | |
CN106992964A (zh) | 一种适用于混合云的微服务安全代理系统 | |
CN103825881A (zh) | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 | |
CN105592003A (zh) | 一种基于通知的跨域单点登录方法及系统 | |
CN105282095A (zh) | 虚拟桌面登录验证方法和装置 | |
CN104579657A (zh) | 身份认证方法及装置 | |
CN102255904B (zh) | 一种通信网络以及对终端的认证方法 | |
Thanh et al. | Sip-MBA: a secure IoT platform with brokerless and micro-service architecture | |
CN106302416B (zh) | 企业内网访问方法、Android终端、中转处理方法、中转服务器 | |
CN103716280A (zh) | 数据传输方法、服务器及系统 | |
CN102412969B (zh) | 远程使用证书与密钥进行认证的方法、装置及系统 | |
Wenhua et al. | Data security in smart devices: Advancement, constraints and future recommendations | |
CN114301967B (zh) | 窄带物联网控制方法、装置及设备 | |
Yan et al. | Design and Application of Security Gateway for Transmission Line Panoramic Monitoring Platform based on Microservice Architecture | |
CN105828330A (zh) | 一种接入方法及装置 | |
CN105530687B (zh) | 一种无线网络接入控制方法及接入设备 | |
CN113691510A (zh) | 一种跨域访问控制方法、系统、存储介质及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170728 |