CN112839030A - 基于消息驱动的证书调用系统及方法 - Google Patents

基于消息驱动的证书调用系统及方法 Download PDF

Info

Publication number
CN112839030A
CN112839030A CN202011553319.9A CN202011553319A CN112839030A CN 112839030 A CN112839030 A CN 112839030A CN 202011553319 A CN202011553319 A CN 202011553319A CN 112839030 A CN112839030 A CN 112839030A
Authority
CN
China
Prior art keywords
certificate
service
module
identity authentication
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011553319.9A
Other languages
English (en)
Other versions
CN112839030B (zh
Inventor
张梦
梁宵
耿方
董亮亮
李孝猛
赵菁淳
杜悦坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Aisino Corp
Original Assignee
Aisino Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aisino Corp filed Critical Aisino Corp
Priority to CN202011553319.9A priority Critical patent/CN112839030B/zh
Publication of CN112839030A publication Critical patent/CN112839030A/zh
Application granted granted Critical
Publication of CN112839030B publication Critical patent/CN112839030B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

本申请公开了一种基于消息驱动的证书调用系统及方法。该系统包括基于微服务架构设计的服务层、业务逻辑层、中间件持久层,均包括多个根据IP地址划分的区域;业务逻辑层包括数字证书微服务模块,用于将提供不同签发能力的数字证书系统注册为多个不同的证书微服务;服务层包括服务调用模块与身份认证模块;中间件持久层包括证书缓存数据库,用于保存业务逻辑层签发的证书。本发明整合现有的数字证书服务器和密码设备,满足不同申请所需协议的证书需求,并通过IP地址进行区域化管理,优化由于网络延迟对服务的影响,动态切换服务,为硬件资源的扩展和系统的升级提供保证。

Description

基于消息驱动的证书调用系统及方法
技术领域
本发明涉及数据处理领域,更具体地,涉及一种基于消息驱动的证书调用系统及方法。
背景技术
数字证书作为提供基于身份认证服务的安全支撑,现已大量应用在电子发票、电子签章、区块链等业务场景中。如今,在工业互联网网络化生产的背景下,对工业安全方面有全新的挑战,需要满足物联网、车联网、电子政务等垂直领域资源上的不同协议标准。
目前的工业互联网平台主要通过云端管理,所有数据处理都在云端进行,对云端服务器的性能有较高的要求,另外设备与云端的数据和指令传输需要较长时间,实际环境下的网络不稳定导致无法及时处理设备数据,单一运行的云端平台难以满足海量增长的物联需求。在实际生产环境中,跨地区的证书请求存在明显的网络传输耗时问题,无法实现不同的地区优化资源调度,造成网络延迟的问题。
因此,有必要开发一种基于消息驱动的证书调用系统及方法。
公开于本发明背景技术部分的信息仅仅旨在加深对本发明的一般背景技术的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。
发明内容
本发明提出了一种基于消息驱动的证书调用系统及方法,其能够整合现有的数字证书服务器和密码设备,提供统一的证书请求接口,满足不同申请所需协议的证书需求,并通过IP地址进行区域化管理,优化由于网络延迟对服务的影响,动态切换服务,为硬件资源的扩展和系统的升级提供保证。
本发明实施例提供了一种基于消息驱动的证书调用系统,包括基于Spring Cloud微服务架构设计的服务层、业务逻辑层、中间件持久层;
所述服务层、所述业务逻辑层、所述中间件持久层均包括多个根据IP地址划分的区域,根据所述IP地址,所述服务层、所述业务逻辑层、所述中间件持久层的区域是一一对应的;
所述业务逻辑层的每一个区域均包括数字证书微服务模块,用于将提供不同签发能力的数字证书系统注册为多个不同的证书微服务;
所述服务层的每一个区域均包括服务调用模块与身份认证模块,所述身份认证模块针对用户进行身份注册与身份验证,所述服务调用模块与所述业务逻辑层通信连接,用于向所述业务逻辑层发起证书调用申请;
所述中间件持久层的每一个区域均包括证书缓存数据库,用于保存所述业务逻辑层签发的证书;
其中,用户根据IP地址确定所属区域,进入所属区域对应的身份认证模块,通过身份认证模块的身份验证之后,发送调用请求至对应的数字证书微服务模块;
所述调用请求进入所属区域的所述数字证书微服务模块的消息队列中排队;
所述数字证书微服务模块针对消息队列中的调用请求依次进行请求处理,将请求的证书发送到结果队列,进而将证书返回给用户,并保存于对应的证书缓存数据库。
优选地,业务逻辑层的每一个区域均包括日志微服务模块,用于记录证书调用系统中的所有调用记录。
优选地,所述身份认证模块包括基于redis的服务限流判断单元,用于判断所属区域的系统接到的并发访问是否超过处理能力范围。
优选地,所述服务限流判断单元判断所属区域的系统接到超过处理能力范围的并发访问后,所述身份认证模块直接拒绝超出请求,同时发送报警并记录日志。
优选地,所述数字证书微服务模块包括注册中心,所述注册中心利用心跳检测每个证书微服务的运行状态。
优选地,针对已存储于所述证书缓存数据库的证书,用户通过所属区域的身份认证模块的身份验证之后,直接从所述证书缓存数据库调用。
优选地,所述用户第一次进入所述身份认证模块,所述身份认证模块对所述用户进行身份注册,完成身份注册后为所述用户签发带有标识身份的登录证书。
优选地,还包括:
若数字证书微服务模块处理调用请求时发生异常或处理超时,该调用请求重新返回到所属区域的消息队列中,所属区域的其他数字证书微服务模块重新处理该调用请求;
所述消息队列对于每个调用请求均设置固定时间间隔的重试策略,重试时所属区域的数字证书微服务模块判断所述调用请求的执行状态,若已经被执行或正在被执行,则重试下一个调用请求。
优选地,还包括:
判断所属区域的系统接到超过处理能力范围的并发访问后,所述身份认证模块直接拒绝超出请求,同时发送报警并记录日志。
本发明实施例提供了一种基于消息驱动的证书调用方法,包括:
用户根据IP地址确定所属区域,进入所属区域对应的身份认证模块,通过身份认证模块的身份验证之后,发送调用请求至对应的数字证书微服务模块;
所述调用请求进入所属区域的所述数字证书微服务模块的消息队列中排队;
所述数字证书微服务模块针对消息队列中的调用请求依次进行请求处理,将请求的证书发送到结果队列,进而将证书返回给用户,并保存于对应的证书缓存数据库。
优选地,所述身份认证模块包括基于redis的服务限流判断单元,用于判断所属区域的系统接到的并发访问是否超过处理能力范围。
优选地,所述服务限流判断单元判断所属区域的系统接到超过处理能力范围的并发访问后,所述身份认证模块直接拒绝超出请求,同时发送报警并记录日志。
优选地,所述数字证书微服务模块包括注册中心,所述注册中心利用心跳检测每个证书微服务的运行状态。
优选地,针对已存储于所述证书缓存数据库的证书,用户通过所属区域的身份认证模块的身份验证之后,直接从所述证书缓存数据库调用。
优选地,所述用户第一次进入所述身份认证模块,所述身份认证模块对所述用户进行身份注册,完成身份注册后为所述用户签发带有标识身份的登录证书。
优选地,还包括:
若数字证书微服务模块处理调用请求时发生异常或处理超时,该调用请求重新返回到所属区域的消息队列中,所属区域的其他数字证书微服务模块重新处理该调用请求;
所述消息队列对于每个调用请求均设置固定时间间隔的重试策略,重试时所属区域的数字证书微服务模块判断所述调用请求的执行状态,若已经被执行或正在被执行,则重试下一个调用请求。
优选地,还包括:
判断所属区域的系统接到超过处理能力范围的并发访问后,所述身份认证模块直接拒绝超出请求,同时发送报警并记录日志。
其有益效果在于:
(1)整合现有的密码服务资源与设备,以微服务方式接入证书服务平台,并通过IP地址进行区域化管理,有效提高现有资源的利用率;
(2)基于消息驱动完成业务流程,解耦服务调用,请求重试机制使失效服务可以进行转移切换,保证服务的高效持续可用。
本发明的方法和装置具有其它的特性和优点,这些特性和优点从并入本文中的附图和随后的具体实施方式中将是显而易见的,或者将在并入本文中的附图和随后的具体实施方式中进行详细陈述,这些附图和具体实施方式共同用于解释本发明的特定原理。
附图说明
通过结合附图对本发明示例性实施例进行更详细的描述,本发明的上述以及其它目的、特征和优势将变得更加明显,其中,在本发明示例性实施例中,相同的参考标号通常代表相同部件。
图1示出了根据本发明的一个实施例的基于消息驱动的证书调用方法的步骤的流程图。
图2示出了根据本发明的一个实施例的一种基于消息驱动的证书调用系统的框图。
附图标记说明:
1、用户;2、服务层;21、身份认证模块;211、服务限流判断单元;22、服务调用模块;3、业务逻辑层;31、数字证书微服务模块;311、注册中心;32、日志微服务模块;4、中间件持久层;41、证书缓存数据库。
具体实施方式
下面将更详细地描述本发明的优选实施方式。虽然以下描述了本发明的优选实施方式,然而应该理解,可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。
本发明提供一种基于消息驱动的证书调用系统,包括基于Spring Cloud微服务架构设计的服务层、业务逻辑层、中间件持久层;
服务层、业务逻辑层、中间件持久层均包括多个根据IP地址划分的区域,根据IP地址,服务层、业务逻辑层、中间件持久层的区域是一一对应的;
业务逻辑层的每一个区域均包括数字证书微服务模块,用于将提供不同签发能力的数字证书系统注册为多个不同的证书微服务;
服务层的每一个区域均包括服务调用模块与身份认证模块,身份认证模块针对用户进行身份注册与身份验证,服务调用模块与业务逻辑层通信连接,用于向业务逻辑层发起证书调用申请;
中间件持久层的每一个区域均包括证书缓存数据库,用于保存业务逻辑层签发的证书;
其中,用户根据IP地址确定所属区域,进入所属区域对应的身份认证模块,通过身份认证模块的身份验证之后,发送调用请求至对应的数字证书微服务模块;
调用请求进入所属区域的数字证书微服务模块的消息队列中排队;
数字证书微服务模块针对消息队列中的调用请求依次进行请求处理,将请求的证书发送到结果队列,进而将证书返回给用户,并保存于对应的证书缓存数据库。
在一个示例中,业务逻辑层的每一个区域均包括日志微服务模块,用于记录证书调用系统中的所有调用记录。
在一个示例中,身份认证模块包括基于redis的服务限流判断单元,用于判断所属区域的系统接到的并发访问是否超过处理能力范围。
在一个示例中,服务限流判断单元判断所属区域的系统接到超过处理能力范围的并发访问后,身份认证模块直接拒绝超出请求,同时发送报警并记录日志。
在一个示例中,数字证书微服务模块包括注册中心,注册中心利用心跳检测每个证书微服务的运行状态。
在一个示例中,针对已存储于证书缓存数据库的证书,用户通过所属区域的身份认证模块的身份验证之后,直接从证书缓存数据库调用。
在一个示例中,用户第一次进入身份认证模块,身份认证模块对用户进行身份注册,完成身份注册后为用户签发带有标识身份的登录证书。
在一个示例中,还包括:
若数字证书微服务模块处理调用请求时发生异常或处理超时,该调用请求重新返回到所属区域的消息队列中,所属区域的其他数字证书微服务模块重新处理该调用请求;
消息队列对于每个调用请求均设置固定时间间隔的重试策略,重试时所属区域的数字证书微服务模块判断调用请求的执行状态,若已经被执行或正在被执行,则重试下一个调用请求。
在一个示例中,还包括:
判断所属区域的系统接到超过处理能力范围的并发访问后,身份认证模块直接拒绝超出请求,同时发送报警并记录日志。
具体地,根据本发明的基于消息驱动的证书调用系统,包括基于Spring Cloud微服务架构设计的服务层、业务逻辑层、中间件持久层;服务层、业务逻辑层、中间件持久层均包括多个根据IP地址划分的区域,根据IP地址,服务层、业务逻辑层、中间件持久层的区域是一一对应的;
业务逻辑层的每一个区域均包括数字证书微服务模块,用于将提供不同签发能力的数字证书系统注册为多个不同的证书微服务,数字证书微服务模块包括注册中心,注册中心利用心跳检测每个证书微服务的运行状态;还包括日志微服务模块,用于记录证书调用系统中的所有调用记录;
服务层的每一个区域均包括服务调用模块与身份认证模块,身份认证模块针对用户进行身份注册与身份验证,服务调用模块与业务逻辑层通信连接,用于向业务逻辑层发起证书调用申请;
身份认证模块包括基于redis的服务限流判断单元,用于判断所属区域的系统接到的并发访问是否超过处理能力范围,判断系统接到超过处理能力范围的并发访问后,身份认证模块直接拒绝超出请求,同时发送报警并记录日志。
中间件持久层的每一个区域均包括证书缓存数据库,用于保存业务逻辑层签发的证书。
用户发起请求过程具体如下:
根据IP地址确定用户所属区域,进入所属区域对应的身份认证模块,根据请求IP所属省份和城市标注区域d,第一次进入身份认证模块,身份认证模块对用户进行身份注册,完成身份注册后为用户签发带有标识身份的登录证书;通过身份认证模块验证身份信息token的时效性的身份验证之后,发送调用请求至数字证书微服务模块;用户的每次调用请求将被分配一个唯一标识符,将请求发送到对应区域d的消息队列MQd中。
所属区域的数字证书微服务模块针对消息队列中的调用请求依次进行请求处理,将签发、更新和恢复的证书发送到该区域的结果队列RQd,将证书返回给用户,证书成功返回时,服务端会进行证书和日志存储并更新请求状态,并保存于该区域的证书缓存数据库。针对已存储于证书缓存数据库的证书,该区域的用户通过身份认证模块的身份验证之后,直接从证书缓存数据库调用。
若数字证书微服务模块处理调用请求时发生异常或处理超时,该调用请求重新返回到所属区域的消息队列MQd中,该区域的其他数字证书微服务模块重新处理该调用请求。消息队列MQd对于每个调用请求均设置固定时间间隔的重试策略,基于每个请求定义唯一标识,重试时数字证书微服务模块判断调用请求的执行状态,若已经被执行或正在被执行,则重试下一个调用请求。
判断所属区域的系统接到超过处理能力范围的并发访问后,身份认证模块直接拒绝超出请求,同时发送报警并记录日志。
本发明提供一种基于消息驱动的证书调用方法,包括:
步骤101,用户根据IP地址确定所属区域,进入所属区域对应的身份认证模块,通过身份认证模块的身份验证之后,发送调用请求至对应的数字证书微服务模块;
步骤102,调用请求进入所属区域的数字证书微服务模块的消息队列中排队;
步骤103,数字证书微服务模块针对消息队列中的调用请求依次进行请求处理,将请求的证书发送到结果队列,进而将证书返回给用户,并保存于对应的证书缓存数据库。
在一个示例中,身份认证模块包括基于redis的服务限流判断单元,用于判断所属区域的系统接到的并发访问是否超过处理能力范围。
在一个示例中,服务限流判断单元判断所属区域的系统接到超过处理能力范围的并发访问后,身份认证模块直接拒绝超出请求,同时发送报警并记录日志。
在一个示例中,数字证书微服务模块包括注册中心,注册中心利用心跳检测每个证书微服务的运行状态。
在一个示例中,针对已存储于证书缓存数据库的证书,用户通过所属区域的身份认证模块的身份验证之后,直接从证书缓存数据库调用。
在一个示例中,用户第一次进入身份认证模块,身份认证模块对用户进行身份注册,完成身份注册后为用户签发带有标识身份的登录证书。
在一个示例中,还包括:
若数字证书微服务模块处理调用请求时发生异常或处理超时,该调用请求重新返回到所属区域的消息队列中,所属区域的其他数字证书微服务模块重新处理该调用请求;
消息队列对于每个调用请求均设置固定时间间隔的重试策略,重试时所属区域的数字证书微服务模块判断调用请求的执行状态,若已经被执行或正在被执行,则重试下一个调用请求。
在一个示例中,还包括:
判断所属区域的系统接到超过处理能力范围的并发访问后,身份认证模块直接拒绝超出请求,同时发送报警并记录日志。
具体地,用户发起请求过程具体如下:
根据IP地址确定用户所属区域,进入所属区域对应的身份认证模块,根据请求IP所属省份和城市标注区域d,第一次进入身份认证模块,身份认证模块对用户进行身份注册,完成身份注册后为用户签发带有标识身份的登录证书;通过身份认证模块验证身份信息token的时效性的身份验证之后,发送调用请求至数字证书微服务模块;用户的每次调用请求将被分配一个唯一标识符,将请求发送到对应区域d的消息队列MQd中。
所属区域的数字证书微服务模块针对消息队列中的调用请求依次进行请求处理,将签发、更新和恢复的证书发送到该区域的结果队列RQd,将证书返回给用户,证书成功返回时,服务端会进行证书和日志存储并更新请求状态,并保存于该区域的证书缓存数据库。针对已存储于证书缓存数据库的证书,该区域的用户通过身份认证模块的身份验证之后,直接从证书缓存数据库调用。
若数字证书微服务模块处理调用请求时发生异常或处理超时,该调用请求重新返回到所属区域的消息队列MQd中,该区域的其他数字证书微服务模块重新处理该调用请求。消息队列MQd对于每个调用请求均设置固定时间间隔的重试策略,基于每个请求定义唯一标识,重试时数字证书微服务模块判断调用请求的执行状态,若已经被执行或正在被执行,则重试下一个调用请求。
判断所属区域的系统接到超过处理能力范围的并发访问后,身份认证模块直接拒绝超出请求,同时发送报警并记录日志。
本发明可以直接利用现有的密码服务资源和密码设备,减少对现有服务和设备的改造,提高资源的利用率,满足物联网、区块链的不同应用场景下不同协议的证书需求。同时处理因物理环境造成网络延迟对服务响应时长的影响,并通过IP地址进行区域化管理,优化服务分配,后台数据单元集中化,减轻服务运维的工作。从身份认证开始对服务进行限流,异步化减少超时的风险,保证服务整体高可用。
为便于理解本发明实施例的方案及其效果,以下给出一个具体应用示例。本领域技术人员应理解,该示例仅为了便于理解本发明,其任何具体细节并非意在以任何方式限制本发明。
实施例1
图2示出了根据本发明的一个实施例的一种基于消息驱动的证书调用系统的示意图,该系统中只包含一个IP地址对应的区域。
根据本发明的基于消息驱动的证书调用系统,包括基于Spring Cloud微服务架构设计的服务层2、业务逻辑层3、中间件持久层4;服务层2、业务逻辑层3、中间件持久层4均包括多个根据IP地址划分的区域,根据IP地址,服务层2、业务逻辑层3、中间件持久层4的区域是一一对应的;
业务逻辑层3包括数字证书微服务模块31,用于将提供不同签发能力的数字证书系统注册为多个不同的证书微服务,数字证书微服务模块31包括注册中心311,注册中心311利用心跳检测每个证书微服务的运行状态;还包括日志微服务模块32,用于记录证书调用系统中的所有调用记录;
服务层2包括服务调用模块22与身份认证模块21,身份认证模块21针对用户1进行身份注册与身份验证,服务调用模块22与业务逻辑层3通信连接,用于向业务逻辑层3发起证书调用申请;
身份认证模块21包括基于redis的服务限流判断单元211,用于判断系统接到的并发访问是否超过处理能力范围,判断系统接到超过处理能力范围的并发访问后,身份认证模块21直接拒绝超出请求,同时发送报警并记录日志。
中间件持久层4包括证书缓存数据库41,用于保存业务逻辑层3签发的证书。
用户1发起请求过程具体如下:
根据IP地址确定用户1所属区域,进入所属区域对应的身份认证模块21,根据请求IP所属省份和城市标注区域d,第一次进入身份认证模块21,身份认证模块21对用户1进行身份注册,完成身份注册后为用户1签发带有标识身份的登录证书;通过身份认证模块21验证身份信息token的时效性的身份验证之后,发送调用请求至数字证书微服务模块31;用户1的每次调用请求将被分配一个唯一标识符,根据请求IP所属省份和城市标注区域d,将请求发送到对应区域d的消息队列MQd中。
所属区域的数字证书微服务模块31针对消息队列中的调用请求依次进行请求处理,将签发、更新和恢复的证书发送到该区域的结果队列RQd,进而将证书返回给用户1,证书成功返回时,服务端会进行证书和日志存储并更新请求状态,并保存于该区域的证书缓存数据库41。针对已存储于证书缓存数据库41的证书,该区域的用户1通过身份认证模块21的身份验证之后,直接从证书缓存数据库41调用。
若数字证书微服务模块31处理调用请求时发生异常或处理超时,该调用请求重新返回到所属区域的消息队列MQd中,该区域的其他数字证书微服务模块31重新处理该调用请求。消息队列MQd对于每个调用请求均设置固定时间间隔的重试策略,基于每个请求定义唯一标识,重试时数字证书微服务模块31判断调用请求的执行状态,若已经被执行或正在被执行,则重试下一个调用请求。
判断所属区域的系统接到超过处理能力范围的并发访问后,身份认证模块21直接拒绝超出请求,同时发送报警并记录日志。
本领域技术人员应理解,上面对本发明的实施例的描述的目的仅为了示例性地说明本发明的实施例的有益效果,并不意在将本发明的实施例限制于所给出的任何示例。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。

Claims (10)

1.一种基于消息驱动的证书调用系统,其特征在于,包括基于Spring Cloud微服务架构设计的服务层、业务逻辑层、中间件持久层;
所述服务层、所述业务逻辑层、所述中间件持久层均包括多个根据IP地址划分的区域,根据所述IP地址,所述服务层、所述业务逻辑层、所述中间件持久层的区域是一一对应的;
所述业务逻辑层的每一个区域均包括数字证书微服务模块,用于将提供不同签发能力的数字证书系统注册为多个不同的证书微服务;
所述服务层的每一个区域均包括服务调用模块与身份认证模块,所述身份认证模块针对用户进行身份注册与身份验证,所述服务调用模块与所述业务逻辑层通信连接,用于向所述业务逻辑层发起证书调用申请;
所述中间件持久层的每一个区域均包括证书缓存数据库,用于保存所述业务逻辑层签发的证书;
其中,用户根据IP地址确定所属区域,进入所属区域对应的身份认证模块,通过身份认证模块的身份验证之后,发送调用请求至对应的数字证书微服务模块;
所述调用请求进入所属区域的所述数字证书微服务模块的消息队列中排队;
所述数字证书微服务模块针对消息队列中的调用请求依次进行请求处理,将请求的证书发送到结果队列,进而将证书返回给用户,并保存于对应的证书缓存数据库。
2.根据权利要求1所述的基于消息驱动的证书调用系统,其中,业务逻辑层的每一个区域均包括日志微服务模块,用于记录证书调用系统中的所有调用记录。
3.根据权利要求1所述的基于消息驱动的证书调用系统,其中,所述身份认证模块包括基于redis的服务限流判断单元,用于判断所属区域的系统接到的并发访问是否超过处理能力范围。
4.根据权利要求3所述的基于消息驱动的证书调用系统,其中,所述服务限流判断单元判断所属区域的系统接到超过处理能力范围的并发访问后,所述身份认证模块直接拒绝超出请求,同时发送报警并记录日志。
5.根据权利要求1所述的基于消息驱动的证书调用系统,其中,所述数字证书微服务模块包括注册中心,所述注册中心利用心跳检测每个证书微服务的运行状态。
6.根据权利要求1所述的基于消息驱动的证书调用系统,其中,针对已存储于所述证书缓存数据库的证书,用户通过所属区域的身份认证模块的身份验证之后,直接从所述证书缓存数据库调用。
7.根据权利要求1所述的基于消息驱动的证书调用系统,其中,所述用户第一次进入所述身份认证模块,所述身份认证模块对所述用户进行身份注册,完成身份注册后为所述用户签发带有标识身份的登录证书。
8.根据权利要求1所述的基于消息驱动的证书调用系统,其中,还包括:
若数字证书微服务模块处理调用请求时发生异常或处理超时,该调用请求重新返回到所属区域的消息队列中,所属区域的其他数字证书微服务模块重新处理该调用请求;
所述消息队列对于每个调用请求均设置固定时间间隔的重试策略,重试时所属区域的数字证书微服务模块判断所述调用请求的执行状态,若已经被执行或正在被执行,则重试下一个调用请求。
9.根据权利要求1所述的基于消息驱动的证书调用系统,其中,还包括:
判断所属区域的系统接到超过处理能力范围的并发访问后,所述身份认证模块直接拒绝超出请求,同时发送报警并记录日志。
10.一种基于消息驱动的证书调用方法,利用权利要求1-9中任意一项所述的基于消息驱动的证书调用系统,其特征在于,包括:
用户根据IP地址确定所属区域,进入所属区域对应的身份认证模块,通过身份认证模块的身份验证之后,发送调用请求至对应的数字证书微服务模块;
所述调用请求进入所属区域的所述数字证书微服务模块的消息队列中排队;
所述数字证书微服务模块针对消息队列中的调用请求依次进行请求处理,将请求的证书发送到结果队列,进而将证书返回给用户,并保存于对应的证书缓存数据库。
CN202011553319.9A 2020-12-24 2020-12-24 基于消息驱动的证书调用系统及方法 Active CN112839030B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011553319.9A CN112839030B (zh) 2020-12-24 2020-12-24 基于消息驱动的证书调用系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011553319.9A CN112839030B (zh) 2020-12-24 2020-12-24 基于消息驱动的证书调用系统及方法

Publications (2)

Publication Number Publication Date
CN112839030A true CN112839030A (zh) 2021-05-25
CN112839030B CN112839030B (zh) 2022-09-20

Family

ID=75924463

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011553319.9A Active CN112839030B (zh) 2020-12-24 2020-12-24 基于消息驱动的证书调用系统及方法

Country Status (1)

Country Link
CN (1) CN112839030B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114104880A (zh) * 2021-11-15 2022-03-01 云知声(上海)智能科技有限公司 电梯呼叫控制系统及其控制方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190074982A1 (en) * 2015-03-25 2019-03-07 Sixscape Communications Pte Ltd Apparatus and method for managing digital certificates
CN110213246A (zh) * 2019-05-16 2019-09-06 南瑞集团有限公司 一种广域多因子身份认证系统
CN112000976A (zh) * 2020-10-29 2020-11-27 腾讯科技(深圳)有限公司 区块链系统的认证管理方法、装置、介质及电子设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190074982A1 (en) * 2015-03-25 2019-03-07 Sixscape Communications Pte Ltd Apparatus and method for managing digital certificates
CN110213246A (zh) * 2019-05-16 2019-09-06 南瑞集团有限公司 一种广域多因子身份认证系统
CN112000976A (zh) * 2020-10-29 2020-11-27 腾讯科技(深圳)有限公司 区块链系统的认证管理方法、装置、介质及电子设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114104880A (zh) * 2021-11-15 2022-03-01 云知声(上海)智能科技有限公司 电梯呼叫控制系统及其控制方法
CN114104880B (zh) * 2021-11-15 2024-03-08 云知声(上海)智能科技有限公司 电梯呼叫控制系统及其控制方法

Also Published As

Publication number Publication date
CN112839030B (zh) 2022-09-20

Similar Documents

Publication Publication Date Title
CN109271265B (zh) 基于消息队列的请求处理方法、装置、设备及存储介质
JP5065050B2 (ja) クライアント・サーバ・システムにおける負荷分散
CN101242392B (zh) 用于系列服务消息处理的方法、设备和系统
US20040243709A1 (en) System and method for cluster-sensitive sticky load balancing
US20030105798A1 (en) Methods and apparatus for distributing interrupts
JP2007503628A5 (zh)
CN108829512B (zh) 一种云中心硬件加速计算力的分配方法、系统和云中心
US20040158637A1 (en) Gated-pull load balancer
CN1649324A (zh) 操作带有代理的开放api网络的方法和装置
CN110555019B (zh) 一种基于业务端的数据清洗方法
CN112839030B (zh) 基于消息驱动的证书调用系统及方法
CN109800261B (zh) 双数据库连接池的动态控制方法、装置及相关设备
US8458702B1 (en) Method for implementing user space up-calls on java virtual machine before/after garbage collection
CN102957594A (zh) 基于消息队列的消息处理方法、相关设备及系统
CN115633039A (zh) 通信建立方法、负载均衡装置、设备及存储介质
CN110324262A (zh) 一种资源抢占的方法及装置
CN112333188A (zh) 数据服务接口、日志监管方法、系统、存储介质及终端
CN109245915B (zh) 一种实现服务器集合均衡调配的方法及系统
CN112351077B (zh) 一种应用服务运行方法、系统、装置及存储介质
EP1523811A2 (en) Asynchronous messaging in storage area network
CN110569178B (zh) 基于大数据平台的接口预警方法和系统
JP2001229058A (ja) データベースサーバ処理方法
CN111491015A (zh) 预热任务处理方法及系统、代理服务器、服务中心
CN114024968B (zh) 一种基于中间设备的报文发送方法、装置和电子设备
CN114390104A (zh) 过程取证系统、方法、装置、计算机设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant