CN111478771B - 微服务间安全访问的方法、微服务系统 - Google Patents

微服务间安全访问的方法、微服务系统 Download PDF

Info

Publication number
CN111478771B
CN111478771B CN202010248677.2A CN202010248677A CN111478771B CN 111478771 B CN111478771 B CN 111478771B CN 202010248677 A CN202010248677 A CN 202010248677A CN 111478771 B CN111478771 B CN 111478771B
Authority
CN
China
Prior art keywords
tth
micro
node
service node
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010248677.2A
Other languages
English (en)
Other versions
CN111478771A (zh
Inventor
张宝浩
刘海东
龙喜洋
高宏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Merchants Finance Technology Co Ltd
Original Assignee
China Merchants Finance Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Merchants Finance Technology Co Ltd filed Critical China Merchants Finance Technology Co Ltd
Priority to CN202010248677.2A priority Critical patent/CN111478771B/zh
Publication of CN111478771A publication Critical patent/CN111478771A/zh
Application granted granted Critical
Publication of CN111478771B publication Critical patent/CN111478771B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种微服务间安全访问的方法、微服务系统。本发明微服务系统包括配置管理平台及预先划分的多个区域,各个区域包括相互之间通信连接的服务网关、微服务节点及区域配置中心,且配置管理平台分别与各个区域配置中心通信连接;本发明在跨区域进行微服务调用时,第一微服务节点将待传递信息进行加密处理,并通过安全访问通道传递携带加密数据的调用请求至第二微服务节点,第二微服务节点对加密数据进行解密处理,仅在解密成功时,执行该调用请求,从而提高了微服务间访问的安全性。

Description

微服务间安全访问的方法、微服务系统
技术领域
本发明涉及微服务技术领域,特别涉及一种微服务间安全访问的方法、微服务系统。
背景技术
目前,微服务架构由多个微服务节点构成,一个微服务节点一般完成某个特定的功能,为了完成一项业务,通常需要调用一个或多个微服务节点。随着技术不断的迭代更新,以及用户需求的多样化,业务模式往往更为复杂,微服务架构也逐渐采用更细粒度的分布式拆分,一项业务可能需要调用更多的微服务节点来完成。而微服务间的调用,是通过两微服务节点间发送网络请求的方式实现的,一旦其交互的数据被篡改,将导致严重的安全问题。但目前,仍缺乏针对微服务间访问的安全问题解决方案。
发明内容
本发明的主要目的是提供一种微服务间安全访问的方法、微服务系统,旨在提高微服务间访问的安全性。
为实现上述目的,本发明提出一种微服务系统,所述微服务系统包括配置管理平台及预先划分的N个区域,N为大于1的正整数,所述N个区域中包括第一区域和第二区域,所述第一区域包括相互之间通信连接的第一服务网关、第一微服务节点及第一区域配置中心,所述第二区域包括相互之间通信连接的第二服务网关、第二微服务节点及第二区域配置中心,所述配置管理平台分别与第一区域配置中心、第二区域配置中心通信连接;
所述第一微服务节点,用于当需要调用所述第二微服务节点时,利用第二微服务节点的公钥对待传递消息进行加密处理,得到第一加密数据;所述第二微服务节点的公钥预先由所述第二区域配置中心生成并上传至所述配置管理平台,且由所述第一区域配置中心从所述配置管理平台获取并下发至所述第一微服务节点;
所述第一微服务节点还用于,基于预先建立的第一安全访问通道发送携带所述第一加密数据的调用请求至所述第一服务网关,供所述第一服务网关通过预先建立的第二安全访问通道发送所述调用请求至第二服务网关;
所述第二微服务节点,用于在接收到所述第二服务网关基于预先建立的第三安全访问通道发送的携带所述第一加密数据的调用请求时,利用所述第二微服务节点的私钥对所述第一加密数据进行解密处理,当解密成功时,执行所述调用请求;所述第二微服务节点的私钥预先由所述第二区域配置中心生成并下发至所述第二微服务节点。
优选地,所述N个区域中包括第T区域,所述第T区域包括相互之间通信连接的多个第T微服务节点,所述第T区域内任意两个第T微服务节点之间通过预先建立的第四安全访问通道进行数据交互;其中,T为正整数,且T∈[1,N]。
优选地,所述N个区域中包括第T区域,所述第T区域包括相互之间通信连接的第T服务网关、第T微服务节点及第T区域配置中心,且所述第T区域配置中心与所述配置管理平台通信连接,T为正整数,T∈[1,N];所述第T区域配置中心用于:
实时或定时监测第T区域中各个第T微服务节点的密钥生成事件是否被触发;
当监测到一第T微服务节点的密钥生成事件被触发时,将监测到的第T微服务节点作为第一待处理节点,并为所述第一待处理节点生成对应的公钥和私钥;
将生成的私钥发送至所述第一待处理节点,并将所述第一待处理节点的公钥上传至所述配置管理平台,供所述配置管理平台更新预设公钥集。
优选地,所述N个区域中包括第T区域,所述第T区域包括与所述配置管理平台通信连接的第T区域配置中心,T为正整数,T∈[1,N];所述第T区域配置中心用于:
实时或定时监测所述配置管理平台中是否有公钥更新;当监测到有公钥更新时,按照预先确定的公钥下发规则下发更新的公钥。
优选地,所述公钥下发规则包括:
确定各个更新的公钥对应的第二待处理节点,并根据预先确定的服务间依赖关系信息,确定是否有与所述第二待处理节点之间存在依赖关系的第T微服务节点;
每当确定一第二待处理节点与至少一个所述第T微服务节点存在依赖关系时,将与所述第二待处理节点存在依赖关系的第T微服务节点作为所述第二待处理节点的关联节点,并从所述配置管理平台获取所述第二待处理节点的公钥;
将获取的所述公钥下发至所述第T区域内所有所述第二待处理节点的关联节点。
此外,为实现上述目的,本发明还提出一种微服务间安全访问的方法,适用于微服务系统,所述微服务系统包括配置管理平台及预先划分的N个区域,N为大于1的正整数,所述N个区域中包括第一区域和第二区域,所述第一区域包括相互之间通信连接的第一服务网关、第一微服务节点及第一区域配置中心,所述第二区域包括相互之间通信连接的第二服务网关、第二微服务节点及第二区域配置中心,所述配置管理平台分别与第一区域配置中心、第二区域配置中心通信连接,所述微服务间安全访问的方法包括步骤:
当所述第一微服务节点需要调用所述第二微服务节点时,所述第一微服务节点利用第二微服务节点的公钥对待传递消息进行加密处理,得到第一加密数据;所述第二微服务节点的公钥预先由所述第二区域配置中心生成并上传至所述配置管理平台,且由所述第一区域配置中心从所述配置管理平台获取并下发至所述第一微服务节点;
所述第一微服务节点基于预先建立的第一安全访问通道发送携带所述第一加密数据的调用请求至所述第一服务网关,供所述第一服务网关通过预先建立的第二安全访问通道发送所述调用请求至第二服务网关;
第二微服务节点在接收到所述第二服务网关基于预先建立的第三安全访问通道发送的携带所述第一加密数据的调用请求时,利用所述第二微服务节点的私钥对所述第一加密数据进行解密处理,当解密成功时,执行所述调用请求;所述第二微服务节点的私钥预先由所述第二区域配置中心生成并下发至所述第二微服务节点。
优选地,所述N个区域中包括第T区域,所述第T区域包括相互之间通信连接的多个第T微服务节点,T为正整数,且T∈[1,N],该方法还包括:
所述第T区域内任意两个第T微服务节点之间通过预先建立的第四安全访问通道进行数据交互;其中,所述第T区域包括相互之间通信连接的多个第T微服务节点,T为正整数,且T∈[1,N]。
优选地,所述N个区域中包括第T区域,所述第T区域包括相互之间通信连接的第T服务网关、第T微服务节点及第T区域配置中心,且所述第T区域配置中心与所述配置管理平台通信连接,T为正整数,T∈[1,N];该方法还包括:
第T区域配置中心实时或定时监测第T区域中各个第T微服务节点的密钥生成事件是否被触发;其中,所述第T区域包括相互之间通信连接的第T服务网关、第T微服务节点及第T区域配置中心,且所述第T区域配置中心与所述配置管理平台通信连接,T为正整数,T∈[1,N];
当所述第T区域配置中心监测到一第T微服务节点的密钥生成事件被触发时,将监测到的第T微服务节点作为第一待处理节点,并为第一待处理节点生成对应的公钥和私钥;
所述第T区域配置中心将生成的私钥发送至所述第一待处理节点,并将所述第一待处理节点的公钥上传至所述配置管理平台,供所述配置管理平台更新预设公钥集。
优选地,所述N个区域中包括第T区域,所述第T区域包括与所述配置管理平台通信连接的第T区域配置中心,T为正整数,T∈[1,N];该方法还包括:
第T区域配置中心实时或定时监测所述配置管理平台中是否有公钥更新;其中,所述第T区域配置中心与所述配置管理平台通信连接,T为正整数,T∈[1,N];
当监测到有公钥更新时,所述第T区域配置中心按照预先确定的公钥下发规则下发更新的公钥。
优选地,所述公钥下发规则包括:
所述第T区域配置中心确定各个更新的公钥对应的第二待处理节点,并根据预先确定的服务间依赖关系信息,确定是否有与所述第二待处理节点之间存在依赖关系的第T微服务节点;
每当确定一第二待处理节点与至少一个所述第T微服务节点存在依赖关系时,将与所述第二待处理节点存在依赖关系的第T微服务节点作为所述第二待处理节点的关联节点,并从所述配置管理平台获取所述第二待处理节点的公钥;
将获取的所述公钥下发至所述第T区域内所有所述第二待处理节点的关联节点。
本发明微服务系统包括配置管理平台及预先划分的多个区域,各个区域包括相互之间通信连接的服务网关、微服务节点及区域配置中心,且配置管理平台分别与各个区域配置中心通信连接;相较于现有技术,本发明在跨区域进行微服务调用时,第一微服务节点将待传递信息进行加密处理,并通过安全访问通道传递携带加密数据的调用请求至第二微服务节点,第二微服务节点对加密数据进行解密处理,仅在解密成功时,执行该调用请求,从而提高了微服务间访问的安全性。此外,本发明通过区域配置中心为所在区域的微服务节点生成私钥和公钥,并将公钥上传至配置管理平台进行公钥的统一管理和下发,从而实现了微服务节点的私钥和公钥的自动生成和有效管理。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本发明微服务系统一实施例的系统架构示意图;
图2为本发明微服务间安全访问的方法第一实施例的流程示意图;
图3为本发明微服务间安全访问的方法第二实施例的流程示意图;
图4为本发明微服务间安全访问的方法第三实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
参阅图1所示,本发明微服务系统一实施例的系统架构示意图。
在本发明微服务系统第一实施例中,所述微服务系统包括配置管理平台1及预先划分的N个区域,N为大于1的正整数。每个区域均包括相互之间通信连接的区域配置中心、服务网关,以及至少一个微服务节点。所述配置管理平台1分别与各个区域配置中心通信连接。例如,所述N个区域中包括第一区域10和第二区域20,所述第一区域10包括相互之间通信连接的第一服务网关11、第一微服务节点12及第一区域配置中心13,所述第二区域20包括相互之间通信连接的第二服务网关21、第二微服务节点22及第二区域配置中心23,所述配置管理平台1分别与第一区域配置中心13、第二区域配置中心23通信连接。
本实施例中,可根据具体的应用场景对上述区域进行区域划分,例如,可以是将所有相同安全等级、具有相同安全需求的微服务节点划入同一网段内,在网段的边界处进行访问控制,从而形成多个区域;也可以将微服务节点按照业务类型进行划分,从而形成多个区域,本发明对此不作限定。
本实施例中,各个区域还分别包括接入网关(图中未示出),所述接入网关分别与所在区域的区域配置中心及所在区域的各个微服务节点通信连接,作为客户端(图中未示出)访问微服务节点的“桥梁”,具体包括会话鉴权、灰度路由、流量分发、微服务暴露等功能。在一些应用场景下,同一区域也可包括多个接入网关,该多个接入网关均与所在区域的区域配置中心通信连接,且每个接入网关与一个对应的微服务集群通信连接,所述微服务集群包括至少一个微服务节点。其中,微服务集群的划分方法包括:将同一区域内的微服务节点按照业务类型进行划分,形成多个微服务集群。
本实施例中,所述第一微服务节点12,用于当需要调用所述第二微服务节点22时,利用第二微服务节点22的公钥对第一待传递消息进行加密处理,得到第一加密数据。
其中,所述第一待传递消息包括需要传递的报文数据、通知数据等,可根据具体的应用场景设置,本发明对此不作限定。
所述第二微服务节点22的公钥预先由所述第二区域配置中心23生成并上传至所述配置管理平台1,且由所述第一区域配置中心13从所述配置管理平台1获取并下发至所述第一微服务节点12。所述第二微服务节点22的公钥的生成和下发方法可参照第二、三实施例。
所述第一微服务节点12利用第二微服务节点22的公钥对第一待传递消息进行加密处理所采用的加密算法可以是RSA算法(RSA加密算法是一种非对称加密算法其是由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(LeonardAdleman)一起提出的并以他们三人姓氏开头字母命名)、Elgamal算法、背包算法、Rabin算法、D-H算法、ECC算法(椭圆曲线加密算法)中的任意一种非对称加密算法,本发明对此不作限定。
所述第一微服务节点12还用于,基于预先建立的第一安全访问通道发送携带所述第一加密数据的调用请求至所述第一服务网关11,供所述第一服务网关11通过预先建立的第二安全访问通道发送所述调用请求至第二服务网关21。
所述第二微服务节点22,用于在接收到所述第二服务网关21基于预先建立的第三安全访问通道发送的携带所述第一加密数据的调用请求时,利用所述第二微服务节点22的私钥对所述第一加密数据进行解密处理,当解密成功时,执行所述调用请求。
其中,所述第二微服务节点22的私钥预先由所述第二区域配置中心23生成并下发至所述第二微服务节点22。所述第二微服务节点22的私钥生成方法可参照第二实施例。
本实施例中,第二微服务节点22利用所述第二微服务节点22的私钥对所述第一加密数据进行解密处理所采用的解密算法可根据第一微服务节点12利用第二微服务节点22的公钥对第一待传递消息进行加密处理所采用的加密算法确定。当第二微服务节点22利用所述第二微服务节点22的私钥对所述第一加密数据进行解密成功时,执行第一微服务节点12的调用请求。但若解密失败,则不执行第一微服务节点12的调用请求。
相较于现有技术,本实施例在跨区域进行微服务调用时,第一微服务节点12将待传递信息进行加密处理,并通过安全访问通道传递携带加密数据的调用请求至第二微服务节点22,第二微服务节点22对加密数据进行解密处理,仅在解密成功时,执行该调用请求,从而提高了微服务间访问的安全性;此外,本实施例通过区域配置中心为所在区域的微服务节点生成私钥和公钥,并将公钥上传至配置管理平台1进行公钥的统一管理和下发,从而实现了微服务节点的私钥和公钥的自动生成和有效管理。
需要注意的是,在本实施例中,在微服务系统内两设备间进行数据交互之前,均需要预先基于来源认证建立安全访问通道,再基于该安全访问通道进行两设备间的数据交互。例如,第T区域内任意两个第T微服务节点之间通过预先建立的第四安全访问通道进行数据交互;其中,所述第T区域包括相互之间通信连接的第T服务网关、第T微服务节点及第T区域配置中心,且所述第T区域配置中心与所述配置管理平台1通信连接,T为正整数,T∈[1,N]。
下面以设备A、设备B为例说明微服务系统中两设备如何建立安全访问通道:
首先,设备A利用设备B的公钥对第二待传递消息进行加密处理,得到第二加密数据。
其中,所述第二待传递消息包括需要传递的报文数据、通知数据等,可根据具体的应用场景设置,本发明对此不作限定。
所述设备B的公钥预先由设备B所在区域的区域配置中心生成并上传至所述配置管理平台1,且由所述设备A所在区域的区域配置中心从所述配置管理平台1获取并下发至所述设备A。所述设备B的公钥的生成和下发方法可参照第二、三实施例。
所述设备A利用设备B的公钥对第二待传递消息进行加密处理所采用的加密算法可以是RSA算法(RSA加密算法是一种非对称加密算法其是由罗纳德·李维斯特(RonRivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的并以他们三人姓氏开头字母命名)、Elgamal算法、背包算法、Rabin算法、D-H算法、ECC算法(椭圆曲线加密算法)中的任意一种非对称加密算法,本发明对此不作限定。
然后,设备A与设备B建立通信连接,并发送携带第二加密数据的连接请求至设备B。
最后,设备B利用设备B的私钥对所述第二加密数据进行解密处理,当解密成功时,与设备A建立安全访问通道,当解密失败时,断开与设备A的通信连接。
其中,所述设备B的私钥预先由设备B所在区域的区域配置中心生成并下发至所述设备B。所述设备B的私钥生成方法可参照第二实施例。
本实施例中,设备B利用所述设备B的私钥对所述第二加密数据进行解密处理所采用的解密算法可根据设备A利用设备B的公钥对第二待传递消息进行加密处理所采用的加密算法确定。
在本实施例中,同区域内微服务节点之间的安全访问通道、两区域的服务网关之间的安全访问通道、同区域内微服务节点和服务网关之间的的安全访问通道的建立方法均可采用上述设备A、设备B之间的安全访问通道建立方法。例如,上述第一安全访问通道、第二安全访问通道、第三安全访问通道及第四安全访问通道的建立方法均可采用上述设备A、设备B之间的安全访问通道建立方法。
请再次参照图1,在第一实施例的基础上,提出微服务系统第二实施例。
在本实施例中,第T区域包括相互之间通信连接的第T服务网关、第T微服务节点及第T区域配置中心,且所述第T区域配置中心与所述配置管理平台1通信连接,T为正整数,T∈[1,N],该第T区域表示的是微服务系统的N个区域中任意一个区域。
第T区域配置中心用于,实时或定时监测所在区域中各个第T微服务节点的密钥生成事件是否被触发。
例如,实时或定时监测所述第T区域中各个所述第T微服务节点是否存在对应的密钥对(密钥对包括私钥及对应的公钥)。当监测到所述第T区域中存在无对应密钥对的第T微服务节点时,确定无对应密钥对的第T微服务节点的密钥生成事件被触发。
在一些实施例中,所述第T区域配置中心还用于:
实时或定时监测所述第T区域各个第T微服务节点对应的密钥对是否失效。例如,可预先为密钥对设置失效时间,当检测到当前时间超过一第T微服务节点对应的密钥对的失效时间时,确定该第T微服务节点对应的密钥对失效。在一些实施例中,还可为密钥对设置有效使用次数,当密钥对的使用次数大于或等于有效使用次数时,确定该第T微服务节点对应的密钥对失效。
当监测到有第T微服务节点对应的密钥对失效时,确定该失效的密钥对对应的第T微服务节点的密钥生成事件被触发。
所述第T区域配置中心还用于,当监测到一第T微服务节点的密钥生成事件被触发时,将监测到的第T微服务节点作为第一待处理节点,并为第一待处理节点生成对应的公钥和私钥。
所述第T区域配置中心还用于,将生成的私钥发送至所述第一待处理节点,并将所述第一待处理节点的公钥上传至所述配置管理平台1,供所述配置管理平台1更新预设公钥集。
在本实施例中,由于各区域服务网关在与微服务系统中其他设备进行数据交互时,也预先需要建立安全访问通道,因此,也需要预先为各区域内服务网关设置对应的公钥和私钥,所述第T区域配置中心还用于:
实时或定时监测所在区域中第T服务网关的密钥生成事件是否被触发。
例如,实时或定时监测所述第T区域中第T服务网关是否存在对应的密钥对(密钥对包括私钥及对应的公钥)。当监测到所述第T服务网关无对应密钥对时,确定该第T服务网关的密钥生成事件被触发。
在一些实施例中,所述第T区域配置中心还用于:
实时或定时监测所述第T服务网关对应的密钥对是否失效。例如,可预先为密钥对设置失效时间,当检测到当前时间超过第T服务网关对应的密钥对的失效时间时,确定该第T服务网关对应的密钥对失效。在一些实施例中,还可为密钥对设置有效使用次数,当密钥对的使用次数大于或等于有效使用次数时,确定该第T服务网关对应的密钥对失效。
当监测到第T服务网关对应的密钥对失效时,确定该第T服务网关的密钥生成事件被触发。
当监测到第T服务网关的密钥生成事件被触发时,将监测到的第T服务网关作为第一待处理服务网关,并为所述第一待处理服务网关生成对应的公钥和私钥。
将生成的的私钥发送至所述第一待处理服务网关,确定所述第一待处理服务网关对应的关联节点,将生成的公钥发送至各个关联节点,并将生成的公钥上传至所述配置管理平台1,供所述配置管理平台1更新所述预设公钥集。
在本实施例中,开发人员可根据具体的应用场景,为各个服务网关选取对应的关联节点,一个服务网关的关联节点通常是从该服务网关所在区域的微服务节点中选取得到的。
本实施例通过上述公钥、私钥的生成方法,实现在微服务系统中设备公钥、私钥的自动生成和更新。
请再次参照图1,在第一、二实施例的基础上,提出本发明微服务系统的第三实施例。
在本实施例中,第T区域包括相互之间通信连接的第T服务网关、第T微服务节点及第T区域配置中心,且所述第T区域配置中心与所述配置管理平台1通信连接,T为正整数,T∈[1,N],该第T区域表示的是微服务系统的N个区域中任意一个区域。
所述第T区域配置中心还用于:
实时或定时监测所述配置管理平台1中是否有公钥更新。
例如,实时或定时监测配置管理平台1的公钥集(该公钥集用于存储各个区域的区域配置中心上传的公钥)是否有更新。
当监测到有公钥更新时,按照预先确定的公钥下发规则下发更新的公钥。例如,当在配置管理平台1中监测到有微服务节点的公钥更新时,按照预先确定的第一公钥下发规则下发更新的公钥,当在配置管理平台1中监测到有服务网关的公钥更新时,按照预先确定的第二公钥下发规则下发更新的公钥。
其中,所述第一公钥下发规则包括:
首先,所述第T区域配置中心确定各个更新的公钥对应的第二待处理节点,并根据预先确定的服务间依赖关系信息,确定是否有与所述第二待处理节点之间存在依赖关系的第T微服务节点。
可预先根据业务逻辑关系及各个微服务节点所提供的服务类型,设置微服务节点之间的依赖关系,并将该依赖关系作为服务间依赖关系信息进行保存。例如,第T微服务节点“T1”提供汇款服务,第T微服务节点“T2”提供收款服务,通过调用第T微服务节点“T1”、“T2”就可实现一项转账业务,因此,可为第T微服务节点“T1”、“T2”之间设置依赖关系。
接着,每当确定一第二待处理节点与至少一个所述第T微服务节点存在依赖关系时,将与所述第二待处理节点存在依赖关系的第T微服务节点作为所述第二待处理节点的关联节点,并从所述配置管理平台1获取所述第二待处理节点的公钥。
最后,将获取的所述公钥下发至所述第T区域内所有所述第二待处理节点的关联节点。
在本实施例中,所述第二公钥下发规则可包括:
首先,所述第T区域配置中心确定更新的公钥对应的第二待处理服务网关,并根据预先确定的服务网关间依赖关系信息,确定所述第T服务网关是否与第二待处理服务网关存在依赖关系。
在本实施例中,开发人员可根据具体的应用场景,为各个服务网关设置服务网关间的关联关系,并将该关联关系保存为服务网关间依赖关系信息。
接着,所述第T区域配置中心确定所述第T服务网关与一第二待处理服务网关存在依赖关系时,从配置管理平台1获取确定的第二待处理服务网关更新的公钥,并将获取的公钥下发至所述第T服务网关。
本实施例通过上述公钥下发方法,实现在微服务系统中公钥的统一管理及自动更新。
此外,本发明提出一种微服务间安全访问的方法,该方法基于如图1所示的微服务系统实现,所述微服务系统包括配置管理平台1及预先划分的N个区域,N为大于1的正整数,所述N个区域中包括第一区域10和第二区域20,所述第一区域10包括相互之间通信连接的第一服务网关11、第一微服务节点12及第一区域配置中心13,所述第二区域20包括相互之间通信连接的第二服务网关21、第二微服务节点22及第二区域配置中心23,所述配置管理平台1分别与第一区域配置中心13、第二区域配置中心23通信连接。
如图2所示,图2为本发明微服务间安全访问的方法第一实施例的流程示意图。
本实施例中,该方法包括:
步骤S10,当所述第一微服务节点12需要调用所述第二微服务节点22时,所述第一微服务节点12利用第二微服务节点22的公钥对第一待传递消息进行加密处理,得到第一加密数据。
其中,所述第一待传递消息包括需要传递的报文数据、通知数据等,可根据具体的应用场景设置,本发明对此不作限定。
所述第二微服务节点22的公钥预先由所述第二区域配置中心23生成并上传至所述配置管理平台1,且由所述第一区域配置中心13从所述配置管理平台1获取并下发至所述第一微服务节点12。所述第二微服务节点22的公钥的生成和下发方法可参照第二、三实施例。
所述第一微服务节点12利用第二微服务节点22的公钥对第一待传递消息进行加密处理所采用的加密算法可以是RSA算法(RSA加密算法是一种非对称加密算法其是由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(LeonardAdleman)一起提出的并以他们三人姓氏开头字母命名)、Elgamal算法、背包算法、Rabin算法、D-H算法、ECC算法(椭圆曲线加密算法)中的任意一种非对称加密算法,本发明对此不作限定。
步骤S20,所述第一微服务节点12基于预先建立的第一安全访问通道发送携带所述第一加密数据的调用请求至所述第一服务网关11,供所述第一服务网关11通过预先建立的第二安全访问通道发送所述调用请求至第二服务网关21。
步骤S30,第二微服务节点22在接收到所述第二服务网关21基于预先建立的第三安全访问通道发送的携带所述第一加密数据的调用请求时,利用所述第二微服务节点22的私钥对所述第一加密数据进行解密处理,当解密成功时,执行所述调用请求。
其中,所述第二微服务节点22的私钥预先由所述第二区域配置中心23生成并下发至所述第二微服务节点22。所述第二微服务节点22的私钥生成方法可参照第二实施例。
本实施例中,第二微服务节点22利用所述第二微服务节点22的私钥对所述第一加密数据进行解密处理所采用的解密算法可根据第一微服务节点12利用第二微服务节点22的公钥对第一待传递消息进行加密处理所采用的加密算法确定。当第二微服务节点22利用所述第二微服务节点22的私钥对所述第一加密数据进行解密成功时,执行第一微服务节点12的调用请求。但若解密失败,则不执行第一微服务节点12的调用请求。
相较于现有技术,本实施例在跨区域进行微服务调用时,第一微服务节点12将待传递信息进行加密处理,并通过安全访问通道传递携带加密数据的调用请求至第二微服务节点22,第二微服务节点22对加密数据进行解密处理,仅在解密成功时,执行该调用请求,从而提高了微服务间访问的安全性;此外,本实施例通过区域配置中心为所在区域的微服务节点生成私钥和公钥,并将公钥上传至配置管理平台1进行公钥的统一管理和下发,从而实现了微服务节点的私钥和公钥的自动生成和有效管理。
需要注意的是,在本实施例中,在微服务系统内两设备间进行数据交互之前,均需要预先基于来源认证建立安全访问通道,再基于该安全访问通道进行两设备间的数据交互。例如,第T区域内任意两个第T微服务节点之间通过预先建立的第四安全访问通道进行数据交互;其中,所述第T区域包括相互之间通信连接的第T服务网关、第T微服务节点及第T区域配置中心,且所述第T区域配置中心与所述配置管理平台1通信连接,T为正整数,T∈[1,N]。
下面以设备A、设备B为例说明微服务系统中两设备如何建立安全访问通道:
首先,设备A利用设备B的公钥对第二待传递消息进行加密处理,得到第二加密数据。
其中,所述第二待传递消息包括需要传递的报文数据、通知数据等,可根据具体的应用场景设置,本发明对此不作限定。
所述设备B的公钥预先由设备B所在区域的区域配置中心生成并上传至所述配置管理平台1,且由所述设备A所在区域的区域配置中心从所述配置管理平台1获取并下发至所述设备A。所述设备B的公钥的生成和下发方法可参照第二、三实施例。
所述设备A利用设备B的公钥对第二待传递消息进行加密处理所采用的加密算法可以是RSA算法(RSA加密算法是一种非对称加密算法其是由罗纳德·李维斯特(RonRivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的并以他们三人姓氏开头字母命名)、Elgamal算法、背包算法、Rabin算法、D-H算法、ECC算法(椭圆曲线加密算法)中的任意一种非对称加密算法,本发明对此不作限定。
然后,设备A与设备B建立通信连接,并发送携带第二加密数据的连接请求至设备B。
最后,设备B利用设备B的私钥对所述第二加密数据进行解密处理,当解密成功时,与设备A建立安全访问通道,当解密失败时,断开与设备A的通信连接。
其中,所述设备B的私钥预先由设备B所在区域的区域配置中心生成并下发至所述设备B。所述设备B的私钥生成方法可参照第二实施例。
本实施例中,设备B利用所述设备B的私钥对所述第二加密数据进行解密处理所采用的解密算法可根据设备A利用设备B的公钥对第二待传递消息进行加密处理所采用的加密算法确定。
在本实施例中,同区域内微服务节点之间的安全访问通道、两区域的服务网关之间的安全访问通道、同区域内微服务节点和服务网关之间的的安全访问通道的建立方法均可采用上述设备A、设备B之间的安全访问通道建立方法。例如,上述第一安全访问通道、第二安全访问通道、第三安全访问通道及第四安全访问通道的建立方法均可采用上述设备A、设备B之间的安全访问通道建立方法。
如图3所示,图3为本发明微服务间安全访问的方法第二实施例的流程示意图。
本实施例在第一实施例的基础上,以第T区域(T为1至N中任意正整数)为例,说明公钥和私钥的生成方法,该方法基于如图1所示的微服务系统实现:
步骤S40,第T区域配置中心实时或定时监测所在区域中各个第T微服务节点的密钥生成事件是否被触发。
其中,所述第T区域包括相互之间通信连接的第T服务网关、第T微服务节点及第T区域配置中心,且所述第T区域配置中心与所述配置管理平台1通信连接,T为正整数,T∈[1,N],该第T区域表示的是微服务系统的N个区域中任意一个区域。
所述步骤S40包括步骤S41、S42(图中未示出):
步骤S41,所述第T区域配置中心实时或定时监测所述第T区域中各个所述第T微服务节点是否存在对应的密钥对(密钥对包括私钥及对应的公钥)。
步骤S42,当所述第T区域配置中心监测到所述第T区域中存在无对应密钥对的第T微服务节点时,确定无对应密钥对的第T微服务节点的密钥生成事件被触发。
在一些实施例中,所述步骤S40还包括步骤S43、S44(图中未示出):
步骤S43,所述第T区域配置中心实时或定时监测所述第T区域各个第T微服务节点对应的密钥对是否失效。
可预先为密钥对设置失效时间,当检测到当前时间超过一第T微服务节点对应的密钥对的失效时间时,确定该第T微服务节点对应的密钥对失效。在一些实施例中,还可为密钥对设置有效使用次数,当密钥对的使用次数大于或等于有效使用次数时,确定该第T微服务节点对应的密钥对失效。
步骤S44,当所述第T区域配置中心监测到有第T微服务节点对应的密钥对失效时,确定该失效的密钥对对应的第T微服务节点的密钥生成事件被触发。
步骤S50,当所述第T区域配置中心监测到一第T微服务节点的密钥生成事件被触发时,将监测到的第T微服务节点作为第一待处理节点,并为第一待处理节点生成对应的公钥和私钥。
步骤S60,所述第T区域配置中心将生成的私钥发送至所述第一待处理节点,并将所述第一待处理节点的公钥上传至所述配置管理平台1,供所述配置管理平台1更新预设公钥集。
在本实施例中,由于各区域服务网关在与微服务系统中其他设备进行数据交互时,也预先需要建立安全访问通道,因此,也需要预先为各区域内服务网关设置对应的公钥和私钥,下面以第T区域的第T服务网关为例说明服务网关公钥和私钥的设置方法,请参照如下步骤S70~S90(图中未示出):
步骤S70,第T区域配置中心实时或定时监测所在区域中第T服务网关的密钥生成事件是否被触发。
所述步骤S70包括步骤S71、S72(图中未示出):
步骤S71,所述第T区域配置中心实时或定时监测所述第T区域中第T服务网关是否存在对应的密钥对(密钥对包括私钥及对应的公钥)。
步骤S72,当所述第T区域配置中心监测到所述第T服务网关无对应密钥对时,确定该第T服务网关的密钥生成事件被触发。
在一些实施例中,所述步骤S70还包括步骤S73、S74(图中未示出):
步骤S73,所述第T区域配置中心实时或定时监测所述第T服务网关对应的密钥对是否失效。
可预先为密钥对设置失效时间,当检测到当前时间超过第T服务网关对应的密钥对的失效时间时,确定该第T服务网关对应的密钥对失效。在一些实施例中,还可为密钥对设置有效使用次数,当密钥对的使用次数大于或等于有效使用次数时,确定该第T服务网关对应的密钥对失效。
步骤S74,当所述第T区域配置中心监测到第T服务网关对应的密钥对失效时,确定该第T服务网关的密钥生成事件被触发。
步骤S80,当所述第T区域配置中心监测到第T服务网关的密钥生成事件被触发时,将监测到的第T服务网关作为第一待处理服务网关,并为所述第一待处理服务网关生成对应的公钥和私钥。
步骤S90,将所述第T区域配置中心生成的的私钥发送至所述第一待处理服务网关,确定所述第一待处理服务网关对应的关联节点,将生成的公钥发送至各个关联节点,并将生成的公钥上传至所述配置管理平台1,供所述配置管理平台1更新所述预设公钥集。
在本实施例中,开发人员可根据具体的应用场景,为各个服务网关选取对应的关联节点,一个服务网关的关联节点通常是从该服务网关所在区域的微服务节点中选取得到的。
本实施例通过上述公钥、私钥的生成方法,实现在微服务系统中设备公钥、私钥的自动生成和更新。
如图4所示,图4为本发明微服务间安全访问的方法第三实施例的流程示意图。
本实施例在第一、二实施例的基础上,以第T区域(T为1至N中任意正整数)为例,说明公钥的下发方法,该方法基于如图1所示的微服务系统实现:
步骤S100,第T区域配置中心实时或定时监测所述配置管理平台1中是否有公钥更新。
其中,第T区域包括相互之间通信连接的第T服务网关、第T微服务节点及第T区域配置中心,且所述第T区域配置中心与所述配置管理平台1通信连接,T为正整数,T∈[1,N],该第T区域表示的是微服务系统的N个区域中任意一个区域。
各个区域的区域配置中心实时或定时监测配置管理平台1的公钥集(该公钥集用于存储各个区域的区域配置中心上传的公钥)是否有更新。
步骤S110,当监测到有公钥更新时,所述第T区域配置中心按照预先确定的公钥下发规则下发更新的公钥。
当区域配置中心在配置管理平台1中监测到有微服务节点的公钥更新时,该区域配置中心按照预先确定的第一公钥下发规则下发更新的公钥,当在配置管理平台1中监测到有服务网关的公钥更新时,区域配置中心按照预先确定的第二公钥下发规则下发更新的公钥。
其中,所述第一公钥下发规则包括步骤S111~S113(图中未示出):
步骤S111,所述第T区域配置中心确定各个更新的公钥对应的第二待处理节点,并根据预先确定的服务间依赖关系信息,确定是否有与所述第二待处理节点之间存在依赖关系的第T微服务节点。
可预先根据业务逻辑关系及各个微服务节点所提供的服务类型,设置微服务节点之间的依赖关系,并将该依赖关系作为服务间依赖关系信息进行保存。例如,第T微服务节点“T1”提供汇款服务,第T微服务节点“T2”提供收款服务,通过调用第T微服务节点“T1”、“T2”就可实现一项转账业务,因此,可为第T微服务节点“T1”、“T2”之间设置依赖关系。
步骤S112,每当确定一第二待处理节点与至少一个所述第T微服务节点存在依赖关系时,将与所述第二待处理节点存在依赖关系的第T微服务节点作为所述第二待处理节点的关联节点,并从所述配置管理平台1获取所述第二待处理节点的公钥。
步骤S113,将获取的所述公钥下发至所述第T区域内所有所述第二待处理节点的关联节点。
在本实施例中,所述第二公钥下发规则可包括步骤S114、S115(图中未示出):
步骤S114,所述第T区域配置中心确定更新的公钥对应的第二待处理服务网关,并根据预先确定的服务网关间依赖关系信息,确定所述第T服务网关是否与第二待处理服务网关存在依赖关系。
在本实施例中,开发人员可根据具体的应用场景,为各个服务网关设置服务网关间的关联关系,并将该关联关系保存为服务网关间依赖关系信息。
步骤S115,所述第T区域配置中心确定所述第T服务网关与一第二待处理服务网关存在依赖关系时,从配置管理平台1获取确定的第二待处理服务网关更新的公钥,并将获取的公钥下发至所述第T服务网关。
本实施例通过上述公钥下发方法,实现在微服务系统中公钥的统一管理及自动更新。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是在本发明的发明构思下,利用本发明说明书及附图内容所作的等效结构变换,或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。

Claims (10)

1.一种微服务系统,其特征在于,所述微服务系统包括配置管理平台及根据微服务节点的安全等级或业务类型进行预先划分的N个区域,N为大于1的正整数,所述N个区域中包括第一区域和第二区域,所述第一区域包括相互之间通信连接的第一服务网关、第一微服务节点及第一区域配置中心,所述第二区域包括相互之间通信连接的第二服务网关、第二微服务节点及第二区域配置中心,所述配置管理平台分别与第一区域配置中心、第二区域配置中心通信连接;
所述第一微服务节点,用于当需要调用所述第二微服务节点时,利用第二微服务节点的公钥对待传递消息进行加密处理,得到第一加密数据;所述第二微服务节点的公钥预先由所述第二区域配置中心生成并上传至所述配置管理平台,且由所述第一区域配置中心从所述配置管理平台获取并下发至所述第一微服务节点;
所述第一微服务节点还用于,基于预先建立的第一安全访问通道发送携带所述第一加密数据的调用请求至所述第一服务网关,供所述第一服务网关通过预先建立的第二安全访问通道发送所述调用请求至第二服务网关;
所述第二微服务节点,用于在接收到所述第二服务网关基于预先建立的第三安全访问通道发送的携带所述第一加密数据的调用请求时,利用所述第二微服务节点的私钥对所述第一加密数据进行解密处理,当解密成功时,执行所述调用请求;所述第二微服务节点的私钥预先由所述第二区域配置中心生成并下发至所述第二微服务节点。
2.如权利要求1所述的微服务系统,其特征在于,所述N个区域中包括第T区域,所述第T区域包括相互之间通信连接的多个第T微服务节点,所述第T区域内任意两个第T微服务节点之间通过预先建立的第四安全访问通道进行数据交互;其中,T为正整数,且T∈[1,N]。
3.如权利要求1所述的微服务系统,其特征在于,所述N个区域中包括第T区域,所述第T区域包括相互之间通信连接的第T服务网关、第T微服务节点及第T区域配置中心,且所述第T区域配置中心与所述配置管理平台通信连接,T为正整数,T∈[1,N];所述第T区域配置中心用于:
实时或定时监测第T区域中各个第T微服务节点的密钥生成事件是否被触发;
当监测到一第T微服务节点的密钥生成事件被触发时,将监测到的第T微服务节点作为第一待处理节点,并为所述第一待处理节点生成对应的公钥和私钥;
将生成的私钥发送至所述第一待处理节点,并将所述第一待处理节点的公钥上传至所述配置管理平台,供所述配置管理平台更新预设公钥集。
4.如权利要求1所述的微服务系统,其特征在于,所述N个区域中包括第T区域,所述第T区域包括与所述配置管理平台通信连接的第T区域配置中心,T为正整数,T∈[1,N];所述第T区域配置中心用于:
实时或定时监测所述配置管理平台中是否有公钥更新;当监测到有公钥更新时,按照预先确定的公钥下发规则下发更新的公钥。
5.如权利要求4所述的微服务系统,其特征在于,所述公钥下发规则包括:
确定各个更新的公钥对应的第二待处理节点,并根据预先确定的服务间依赖关系信息,确定是否有与所述第二待处理节点之间存在依赖关系的第T微服务节点;
每当确定一第二待处理节点与至少一个所述第T微服务节点存在依赖关系时,将与所述第二待处理节点存在依赖关系的第T微服务节点作为所述第二待处理节点的关联节点,并从所述配置管理平台获取所述第二待处理节点的公钥;
将获取的所述公钥下发至所述第T区域内所有所述第二待处理节点的关联节点。
6.一种微服务间安全访问的方法,适用于微服务系统,其特征在于,所述微服务系统包括配置管理平台及根据微服务节点的安全等级或业务类型进行预先划分的N个区域,N为大于1的正整数,所述N个区域中包括第一区域和第二区域,所述第一区域包括相互之间通信连接的第一服务网关、第一微服务节点及第一区域配置中心,所述第二区域包括相互之间通信连接的第二服务网关、第二微服务节点及第二区域配置中心,所述配置管理平台分别与第一区域配置中心、第二区域配置中心通信连接,所述微服务间安全访问的方法包括步骤:
当所述第一微服务节点需要调用所述第二微服务节点时,所述第一微服务节点利用第二微服务节点的公钥对待传递消息进行加密处理,得到第一加密数据;所述第二微服务节点的公钥预先由所述第二区域配置中心生成并上传至所述配置管理平台,且由所述第一区域配置中心从所述配置管理平台获取并下发至所述第一微服务节点;
所述第一微服务节点基于预先建立的第一安全访问通道发送携带所述第一加密数据的调用请求至所述第一服务网关,供所述第一服务网关通过预先建立的第二安全访问通道发送所述调用请求至第二服务网关;
第二微服务节点在接收到所述第二服务网关基于预先建立的第三安全访问通道发送的携带所述第一加密数据的调用请求时,利用所述第二微服务节点的私钥对所述第一加密数据进行解密处理,当解密成功时,执行所述调用请求;所述第二微服务节点的私钥预先由所述第二区域配置中心生成并下发至所述第二微服务节点。
7.如权利要求6所述的微服务间安全访问的方法,其特征在于,所述N个区域中包括第T区域,所述第T区域包括相互之间通信连接的多个第T微服务节点,T为正整数,且T∈[1,N],该方法还包括:
所述第T区域内任意两个第T微服务节点之间通过预先建立的第四安全访问通道进行数据交互;其中,所述第T区域包括相互之间通信连接的多个第T微服务节点,T为正整数,且T∈[1,N]。
8.如权利要求6所述的微服务间安全访问的方法,其特征在于,所述N个区域中包括第T区域,所述第T区域包括相互之间通信连接的第T服务网关、第T微服务节点及第T区域配置中心,且所述第T区域配置中心与所述配置管理平台通信连接,T为正整数,T∈[1,N];该方法还包括:
第T区域配置中心实时或定时监测第T区域中各个第T微服务节点的密钥生成事件是否被触发;其中,所述第T区域包括相互之间通信连接的第T服务网关、第T微服务节点及第T区域配置中心,且所述第T区域配置中心与所述配置管理平台通信连接,T为正整数,T∈[1,N];
当所述第T区域配置中心监测到一第T微服务节点的密钥生成事件被触发时,将监测到的第T微服务节点作为第一待处理节点,并为第一待处理节点生成对应的公钥和私钥;
所述第T区域配置中心将生成的私钥发送至所述第一待处理节点,并将所述第一待处理节点的公钥上传至所述配置管理平台,供所述配置管理平台更新预设公钥集。
9.如权利要求6所述的微服务间安全访问的方法,其特征在于,所述N个区域中包括第T区域,所述第T区域包括与所述配置管理平台通信连接的第T区域配置中心,T为正整数,T∈[1,N];该方法还包括:
第T区域配置中心实时或定时监测所述配置管理平台中是否有公钥更新;其中,所述第T区域配置中心与所述配置管理平台通信连接,T为正整数,T∈[1,N];
当监测到有公钥更新时,所述第T区域配置中心按照预先确定的公钥下发规则下发更新的公钥。
10.如权利要求9所述的微服务间安全访问的方法,其特征在于,所述公钥下发规则包括:
所述第T区域配置中心确定各个更新的公钥对应的第二待处理节点,并根据预先确定的服务间依赖关系信息,确定是否有与所述第二待处理节点之间存在依赖关系的第T微服务节点;
每当确定一第二待处理节点与至少一个所述第T微服务节点存在依赖关系时,将与所述第二待处理节点存在依赖关系的第T微服务节点作为所述第二待处理节点的关联节点,并从所述配置管理平台获取所述第二待处理节点的公钥;
将获取的所述公钥下发至所述第T区域内所有所述第二待处理节点的关联节点。
CN202010248677.2A 2020-03-31 2020-03-31 微服务间安全访问的方法、微服务系统 Active CN111478771B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010248677.2A CN111478771B (zh) 2020-03-31 2020-03-31 微服务间安全访问的方法、微服务系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010248677.2A CN111478771B (zh) 2020-03-31 2020-03-31 微服务间安全访问的方法、微服务系统

Publications (2)

Publication Number Publication Date
CN111478771A CN111478771A (zh) 2020-07-31
CN111478771B true CN111478771B (zh) 2023-04-18

Family

ID=71750442

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010248677.2A Active CN111478771B (zh) 2020-03-31 2020-03-31 微服务间安全访问的方法、微服务系统

Country Status (1)

Country Link
CN (1) CN111478771B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4209905A4 (en) * 2020-09-29 2024-01-03 Huawei Cloud Computing Technologies Co., Ltd. SERVICE MESH SYSTEM USING MICROSERVICE, AND SERVICE GOVERNANCE METHOD
CN112291221A (zh) * 2020-10-22 2021-01-29 北京神州数字科技有限公司 微服务间服务访问认证方法及系统
CN112511295B (zh) * 2020-11-12 2022-11-22 银联商务股份有限公司 接口调用的认证方法、装置、微服务应用和密钥管理中心
CN112330423B (zh) * 2020-11-30 2024-07-26 上海寻梦信息技术有限公司 订单数据管理系统、方法、设备及存储介质
CN112637163B (zh) * 2020-12-14 2023-06-27 北京中电普华信息技术有限公司 一种基于api网关的认证授权方法及系统
CN114760360B (zh) * 2020-12-29 2023-12-22 奇安信网神信息技术(北京)股份有限公司 请求响应方法、装置、电子设备及计算机可读存储介质
CN112887279B (zh) * 2021-01-13 2023-03-10 太平金融科技服务(上海)有限公司 微服务调用方法、装置、计算机设备和存储介质
CN115086048B (zh) * 2022-06-20 2023-12-15 中电金信软件有限公司 数据处理方法、装置、电子设备及可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107634946A (zh) * 2017-09-12 2018-01-26 郑州云海信息技术有限公司 一种微服务节点合法性验证方法和装置
CN109995773A (zh) * 2019-03-21 2019-07-09 北京旷视科技有限公司 数据处理方法和装置
CN110673881A (zh) * 2019-09-06 2020-01-10 深圳平安通信科技有限公司 微服务集群的配置管理方法、装置和计算机设备
CN110781476A (zh) * 2019-10-15 2020-02-11 南京南瑞信息通信科技有限公司 一种柔性微服务安全访问控制方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9800556B2 (en) * 2015-01-30 2017-10-24 Docusign, Inc. Systems and methods for providing data security services

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107634946A (zh) * 2017-09-12 2018-01-26 郑州云海信息技术有限公司 一种微服务节点合法性验证方法和装置
CN109995773A (zh) * 2019-03-21 2019-07-09 北京旷视科技有限公司 数据处理方法和装置
CN110673881A (zh) * 2019-09-06 2020-01-10 深圳平安通信科技有限公司 微服务集群的配置管理方法、装置和计算机设备
CN110781476A (zh) * 2019-10-15 2020-02-11 南京南瑞信息通信科技有限公司 一种柔性微服务安全访问控制方法及系统

Also Published As

Publication number Publication date
CN111478771A (zh) 2020-07-31

Similar Documents

Publication Publication Date Title
CN111478771B (zh) 微服务间安全访问的方法、微服务系统
JP4993733B2 (ja) 暗号クライアント装置、暗号パッケージ配信システム、暗号コンテナ配信システム及び暗号管理サーバ装置
JP5100286B2 (ja) 暗号モジュール選定装置およびプログラム
US9948623B2 (en) Reoccurring keying system
CN101925880B (zh) 高可用性群集中的服务重新分配期间的验证服务应用进程的方法和设备
CN111478955B (zh) 微服务注册方法、系统、装置和计算机可读存储介质
CN112187450B (zh) 密钥管理通信的方法、装置、设备及存储介质
CN110365475B (zh) 区块链两级监管方法、装置、设备及存储介质
Murugesan et al. Analysis on homomorphic technique for data security in fog computing
US11695751B2 (en) Peer-to-peer notification system
Naoui et al. Security analysis of existing IoT key management protocols
Alagheband et al. Advanced encryption schemes in multi-tier heterogeneous internet of things: taxonomy, capabilities, and objectives
CN114223233A (zh) 用于网络切片管理的数据安全性
CN106487761B (zh) 一种消息传输方法和网络设备
CN112187767A (zh) 基于区块链的多方合同共识系统、方法及介质
WO2023148079A1 (en) Quantum key distribution network and quantum-secured communication network including the above
CN114760602B (zh) 全息通信方法、装置、系统及计算机可读存储介质
CN112906032B (zh) 基于cp-abe与区块链的文件安全传输方法、系统及介质
AU2012210978B2 (en) Controlled security domains
De Oliveira et al. Red Alert: break-glass protocol to access encrypted medical records in the cloud
CN111342932A (zh) 数据传输的方法、装置、设备及计算机可读存储介质
CN111506416A (zh) 边缘网关的计算方法、调度方法、相关装置及介质
Coronado-García et al. An autonomous decentralized system architecture using a software-based secure data field
Ambika et al. Centralized key distribution protocol using identity-based encryption techniques in cloud computing environments
CN111918291B (zh) 一种接入方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant