CN114090963A - 一种微服务间授信调用方法与系统 - Google Patents

Abstract

本发明公开了一种微服务间授信调用方法，方法包括如下步骤：由服务提供方将服务提供方的公钥信息注册到服务认证中心；由服务提供方接收由服务认证中心发送的服务ID；在接收到由服务认证中心发送的服务ID之后，由服务提供方使用私钥对服务标识信息中的数据进行签名，并将签名信息写入服务标识信息；由服务提供方将包括签名信息的服务标识发送给服务消费方。可保证业务后台数据流通时不时刻依赖服务注册中心和发现中心，而只依赖服务本身，在一定程度达到去中心化的效果。业务服务可以直接对目标服务进行调用，服务生产者先要做服务特征标识的验证，通过服务特征标识验证的服务才能进入自己的业务逻辑。

Description

一种微服务间授信调用方法与系统

技术领域

本发明是关于电力系统设备监视控制信息系统领域，特别是关于一种微服务间授信调用方法与系统。

背景技术

当前很多系统架构已经开始采用微服务架构进行开发，各种微服务架构也是层出不穷，系统模块不断增加时，出现了各种异构服务，解决异构服务调用最好的手段无疑是通过通信模型标准化来实现，当前能够选择的方案大多是采用Restful API，服务的前后端的数据传输也有很多安全手段，比如生产现场采用Https，开发时选择集成安全组件如shiro，security等，但是这些方案很多都是应用在前后端配合使用时。

当前有很多业务场景采用前后端分离技术，后端之间的调用越来越多。现有的安全方案用到后端调用时，需要对相应的安全组件进行集成，有时候因为异构的存在，带来的问题就比较多，因为集成难度的增大，比如注册中心无法统一，不能统一管理，调用困难等，很多厂家会选择牺牲安全来保证业务运行。由于很多系统已经要求需要追踪服务调用的情况，甚至要求进行审计，这样很多系统就不能满足此类要求。

发明内容

本发明的目的在于提供一种微服务间授信调用方法与系统。

为实现上述目的，本发明提供了一种微服务间授信调用方法，其特征在于，方法包括如下步骤：

由服务提供方将服务提供方的公钥信息注册到服务认证中心；

由服务提供方接收由服务认证中心发送的服务ID；

在接收到由服务认证中心发送的服务ID之后，由服务提供方使用私钥对服务标识信息中的数据进行签名，并将签名信息写入服务标识信息；

由服务提供方将包括签名信息的服务标识发送给服务消费方。

在一优选的实施方式中，其中，服务标识信息包括内容区信息以及签名信息，其中，内容区信息通过如下步骤生成：

对内容区信息进行字符串拼接以生成字符串a，其中，内容区信息包括服务ID、版本号、厂家信息、投产时间以及有效期；

其中，签名信息通过如下步骤生成：

对字符串a进行加密得到加密字符串b；

对加密字符串b进行摘要运算得到字符串c；

对字符串c进行本地签名，签名得到字符串d。

本发明提供了一种微服务间授信调用系统，其特征在于，系统包括：服务提供方终端、服务认证中心以及服务消费方终端，其中，服务提供方终端被配置为进行以下操作：

将服务提供方的公钥信息注册到服务认证中心；

接收由服务认证中心发送的服务ID；

在接收到由服务认证中心发送的服务ID之后，使用私钥对服务标识信息中的数据进行签名，并将签名信息写入服务标识信息；

将包括签名信息的服务标识发送给服务消费方终端。

在一优选的实施方式中，其中，服务标识信息包括内容区信息以及签名信息，其中，内容区信息以及签名信息由加标识模块生成，其中，加标识模块被配置为进行以下操作：

对内容区信息进行字符串拼接以生成字符串a，其中，内容区信息包括服务ID、版本号、厂家信息、投产时间以及有效期；

对字符串a进行加密得到加密字符串b；

对加密字符串b进行摘要运算得到字符串c；

对字符串c进行本地签名，签名得到字符串d。

本发明提供了一种微服务间授信调用方法，其特征在于，方法包括如下步骤：

由服务消费方接收包括签名信息的服务标识；

由服务消费方对包括签名信息的服务标识进行解密以获得服务提供方的服务ID；

由服务消费方基于所获得的服务ID向服务认证中心请求服务提供方的公钥；

由服务消费方接收服务认证中心发送的服务提供方的公钥；

由服务消费方使用服务提供方的公钥对包括签名信息的服务标识中的签名信息进行验证；

如果签名信息验证成功，则由服务消费方向服务提供方发送签名验证通过信息。

在一优选的实施方式中，其中，包括签名信息的服务标识中包括内容区信息，其中，对包括签名信息的服务标识进行解密包括如下步骤：

获取包括签名信息的服务标识，对包括签名信息的服务标识中的内容区信息进行字符串分割，将字符串分割成内容区字符串e和签名区字符串f；

对内容区字符串e进行解密运算，得到字符串g；

对字符串g进行分割，得到的字符串数组为：服务ID、版本号、厂家信息、投产时间以及有效期。

在一优选的实施方式中，其中，使用服务提供方的公钥对包括签名信息的服务标识中的签名信息进行验证包括如下步骤：

对字符串e进行摘要运算得到字符串i；

对字符串i和签名区字符串f进行本地验签动作，字符串i为签名原文，签名区字符串f为签名，验签使用服务提供方的公钥；

通过验签结果确定信息的有效性。

本发明提供了一种微服务间授信调用系统，其特征在于，系统包括：服务提供方终端、服务认证中心以及服务消费方终端，其中，服务消费方终端被配置为进行以下操作：

接收包括签名信息的服务标识；

对包括签名信息的服务标识进行解密以获得服务提供方的服务ID；

基于所获得的服务ID向服务认证中心请求服务提供方的公钥；

接收服务认证中心发送的服务提供方的公钥；

使用服务提供方的公钥对包括签名信息的服务标识中的签名信息进行验证；

如果签名信息验证成功，则向服务提供方终端发送签名验证通过信息。

在一优选的实施方式中，其中，包括签名信息的服务标识中包括内容区信息，其中，对包括签名信息的服务标识进行解密由去标识模块执行，其中，对包括签名信息的服务标识进行解密包括如下步骤：

获取包括签名信息的服务标识，对包括签名信息的服务标识中的内容区信息进行字符串分割，将字符串分割成内容区字符串e和签名区字符串f；

对内容区字符串e进行解密运算，得到字符串g；

对字符串g进行分割，得到的字符串数组为：服务ID、版本号、厂家信息、投产时间以及有效期。

在一优选的实施方式中，其中，使用服务提供方的公钥对包括签名信息的服务标识中的签名信息进行验证由去标识模块执行，使用服务提供方的公钥对包括签名信息的服务标识中的签名信息进行验证包括如下步骤：

对字符串e进行摘要运算得到字符串i；

对字符串i和签名区字符串f进行本地验签动作，字符串i为签名原文，签名区字符串f为签名，验签使用服务提供方的公钥；

通过验签结果确定信息的有效性。

与现有技术相比，本发明具有如下优点：针对现有技术的问题，本发明设计了一种基于特征标识的方法与系统，本系统通过设计的标识可以清楚的表示出服务消费者发出请求时的服务版本信息，厂家信息，版本信息以及必要的签名信息。可保证业务后台数据流通时不时刻依赖服务注册中心和发现中心，而只依赖服务本身，在一定程度达到去中心化的效果。业务服务可以直接对目标服务进行调用，服务生产者先要做服务特征标识的验证，通过服务特征标识验证的服务才能进入自己的业务逻辑。

附图说明

图1是根据本发明一实施方式的系统架构示意图。

图2是根据本发明一实施方式的模块结构示意图。

图3是根据本发明一实施方式的标识格式示意图。

具体实施方式

下面结合附图，对本发明的具体实施方式进行详细描述，但应当理解本发明的保护范围并不受具体实施方式的限制。

除非另有其它明确表示，否则在整个说明书和权利要求书中，术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分，而并未排除其它元件或其它组成部分。

本发明提供了一种微服务间授信调用方法，其特征在于，方法包括如下步骤：

由服务提供方将服务提供方的公钥信息注册到服务认证中心；

由服务提供方接收由服务认证中心发送的服务ID；

在接收到由服务认证中心发送的服务ID之后，由服务提供方使用私钥对服务标识信息中的数据进行签名，并将签名信息写入服务标识信息；

由服务提供方将包括签名信息的服务标识发送给服务消费方。

在本发明中，软件服务特征标识可以认为是和物联标识一样，物联标识可以定义一个万物互联的对象，软件服务特征标识就可以定义一个软件服务的基本信息，包含的有效信息涵盖服务的生产信息，版本信息，时间有效信息，一个软件服务一旦上线就有一个唯一标识，此标识可以用来辅助做链路追踪，在与其他厂家业务系统集成时，所有服务都有自己的服务特征标识，可以在一定程度上保证服务审计安全。其中，服务ID获取：有服务认证中心统一分配，所有需要接入的服务都需要向服务认证中心进行注册，并把自己服务用的密钥对中的公钥信息注册给服务认证中心。

本发明提供了一种微服务间授信调用方法，其特征在于，方法包括如下步骤：

由服务消费方接收包括签名信息的服务标识；

由服务消费方对包括签名信息的服务标识进行解密以获得服务提供方的服务ID；

由服务消费方基于所获得的服务ID向服务认证中心请求服务提供方的公钥；

由服务消费方接收服务认证中心发送的服务提供方的公钥；

由服务消费方使用服务提供方的公钥对包括签名信息的服务标识中的签名信息进行验证；

如果签名信息验证成功，则由服务消费方向服务提供方发送签名验证通过信息。

在一个实施例中，服务调用时的结构可以设计如下：服务消费者调用服务生产者时经过可设计经过一层统一的拦截器，对参数进行拼装，拼装成新的调用方法，此时只对参数进行修改，而对方法不进行修改。服务生产者则针对所有参数通过一层过滤器，过滤掉添加的表示信息，进而继续调用真正的服务，拦截器和过滤器由本系统提供，对服务生产者和服务消费者均为透明调用，进而保证服务可追踪与授信调用。

在一个实施例中，注册中心拟选用consul作为服务的注册中心，本发明比常规的微服务调用方案中增加了加标识和解标识模块，其中加标识模块采用restful协议模型进行调用，去标识模块采用通用的servlet过滤器，可以无风险支持所有restful请求。针对非restful协议的接口调用时，还可以设计在加标识模块中增加服务代理模块，服务代理模块中可以增加异构的支持，即可以在加标识模块中增加ice、swig、thrift等异构中间件，也可选择一些流行的成熟的异构接入组件，如sidecar或其他的服务网格框架。

在一个实施例中，另外，本发明中提及的服务特征标识包含下列信息：服务ID，服务版本号，厂家信息，投产时间，有效期，签名信息。

在一个实施例中，按照标识格式，可以设计生成标识的过程如下：

1)内容区字符串拼接，将服务ID、版本号、厂家信息、投产时间、有效期等5条信息以符号“..”作为分割拼接成字符串a。

2)对字符串a进行加密得到解密字符串b，加密方法推荐采用国密算法。可以是对称加密算法SM4也可以是非对称加密SM2。加密过程可以统一采用系统内的加解密服务，或者调用统一的加解密SDK。

3)对加密得到的字符串b进行摘要运算得到字符串c。

4)对字符串c进行本地签名，签名得到字符串d。签名时使用本地的私钥，需要保证与向注册到服务认证中心的公钥是一对。

5)生成最终的标识信息信息ssid。即ssid＝c..d。

在一个实施例中，可以设计标识解密过程如下：

1)获取到标识ssid，对ssid进行字符串分割，将字符串分割成内容区字符串e和签名区字符窜f。

2)取内容区字符串e，进行解密运算，得到字符串g。

3)对字符串g进行分割，得到的字符串数组为：获取到服务ID、版本号、厂家信息、投产时间、有效期。

4)根据服务ID获取注册的公钥信息h。

5)对字符串e进行摘要运算得到字符串i。

6)对i和f进行本地验签动作，i为签名原文，f为签名，验签使用步骤4中获取的公钥。

7)验签结果决定是否原发抗抵赖，标识信息获取结束。

上述中的表示，由于推荐采用国密的非对称加密算法，每次加密和签名均会引入随机数，所以对相同的内容进行标识生成时，每次生成标识内容均会不一样，提供了系统安全性并且不影响信息获取。

综上所述，本发明公开了一种微服务间授信调用方法，方法包括如下步骤：由服务提供方将服务提供方的公钥信息注册到服务认证中心；由服务提供方接收由服务认证中心发送的服务ID；在接收到由服务认证中心发送的服务ID之后，由服务提供方使用私钥对服务标识信息中的数据进行签名，并将签名信息写入服务标识信息；由服务提供方将包括签名信息的服务标识发送给服务消费方。可保证业务后台数据流通时不时刻依赖服务注册中心和发现中心，而只依赖服务本身，在一定程度达到去中心化的效果。业务服务可以直接对目标服务进行调用，服务生产者先要做服务特征标识的验证，通过服务特征标识验证的服务才能进入自己的业务逻辑。

前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式，并且很显然，根据上述教导，可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用，从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。

Claims (10)

1.一种微服务间授信调用方法，其特征在于，所述方法包括如下步骤：

由服务提供方将服务提供方的公钥信息注册到服务认证中心；

由服务提供方接收由服务认证中心发送的服务ID；

在接收到由服务认证中心发送的服务ID之后，由服务提供方使用私钥对服务标识信息中的数据进行签名，并将签名信息写入服务标识信息；

由服务提供方将包括签名信息的服务标识发送给服务消费方。

2.如权利要求1所述的微服务间授信调用方法，其中，所述服务标识信息包括内容区信息以及签名信息，其中，所述内容区信息通过如下步骤生成：

对内容区信息进行字符串拼接以生成字符串a，其中，内容区信息包括服务ID、版本号、厂家信息、投产时间以及有效期；

其中，所述签名信息通过如下步骤生成：

对所述字符串a进行加密得到加密字符串b；

对所述加密字符串b进行摘要运算得到字符串c；

对所述字符串c进行本地签名，签名得到字符串d。

3.一种微服务间授信调用系统，其特征在于，所述系统包括：服务提供方终端、服务认证中心以及服务消费方终端，其中，所述服务提供方终端被配置为进行以下操作：

将服务提供方的公钥信息注册到服务认证中心；

接收由服务认证中心发送的服务ID；

在接收到由服务认证中心发送的服务ID之后，使用私钥对服务标识信息中的数据进行签名，并将签名信息写入服务标识信息；

将包括签名信息的服务标识发送给服务消费方终端。

4.如权利要求1所述的微服务间授信调用系统，其中，所述服务标识信息包括内容区信息以及签名信息，其中，所述内容区信息以及签名信息由加标识模块生成，其中，所述加标识模块被配置为进行以下操作：

对内容区信息进行字符串拼接以生成字符串a，其中，内容区信息包括服务ID、版本号、厂家信息、投产时间以及有效期；

对所述字符串a进行加密得到加密字符串b；

对所述加密字符串b进行摘要运算得到字符串c；

对所述字符串c进行本地签名，签名得到字符串d。

5.一种微服务间授信调用方法，其特征在于，所述方法包括如下步骤：

由服务消费方接收包括签名信息的服务标识；

由服务消费方对包括签名信息的服务标识进行解密以获得服务提供方的服务ID；

由服务消费方基于所获得的服务ID向服务认证中心请求服务提供方的公钥；

由服务消费方接收服务认证中心发送的服务提供方的公钥；

由服务消费方使用服务提供方的公钥对所述包括签名信息的服务标识中的签名信息进行验证；

如果签名信息验证成功，则由服务消费方向所述服务提供方发送签名验证通过信息。

6.权利要求5所述的微服务间授信调用方法，其中，包括签名信息的服务标识中包括内容区信息，其中，对包括签名信息的服务标识进行解密包括如下步骤：

获取包括签名信息的服务标识，对包括签名信息的服务标识中的内容区信息进行字符串分割，将字符串分割成内容区字符串e和签名区字符串f；

对所述内容区字符串e进行解密运算，得到字符串g；

对所述字符串g进行分割，得到的字符串数组为：服务ID、版本号、厂家信息、投产时间以及有效期。

7.权利要求6所述的微服务间授信调用方法，其中，使用服务提供方的公钥对所述包括签名信息的服务标识中的签名信息进行验证包括如下步骤：

对所述字符串e进行摘要运算得到字符串i；

对所述字符串i和签名区字符串f进行本地验签动作，所述字符串i为签名原文，所述签名区字符串f为签名，验签使用所述服务提供方的公钥；

通过验签结果确定信息的有效性。

8.一种微服务间授信调用系统，其特征在于，所述系统包括：服务提供方终端、服务认证中心以及服务消费方终端，其中，所述服务消费方终端被配置为进行以下操作：

接收包括签名信息的服务标识；

对包括签名信息的服务标识进行解密以获得服务提供方的服务ID；

基于所获得的服务ID向服务认证中心请求服务提供方的公钥；

接收服务认证中心发送的服务提供方的公钥；

使用服务提供方的公钥对所述包括签名信息的服务标识中的签名信息进行验证；

如果签名信息验证成功，则向所述服务提供方终端发送签名验证通过信息。

9.如权利要求8所述的微服务间授信调用系统，其中，包括签名信息的服务标识中包括内容区信息，其中，对包括签名信息的服务标识进行解密由去标识模块执行，其中，对包括签名信息的服务标识进行解密包括如下步骤：

获取包括签名信息的服务标识，对包括签名信息的服务标识中的内容区信息进行字符串分割，将字符串分割成内容区字符串e和签名区字符串f；

对所述内容区字符串e进行解密运算，得到字符串g；

对所述字符串g进行分割，得到的字符串数组为：服务ID、版本号、厂家信息、投产时间以及有效期。

10.如权利要求9所述的微服务间授信调用系统，其中，使用服务提供方的公钥对所述包括签名信息的服务标识中的签名信息进行验证由去标识模块执行，使用服务提供方的公钥对所述包括签名信息的服务标识中的签名信息进行验证包括如下步骤：

对所述字符串e进行摘要运算得到字符串i；

对所述字符串i和签名区字符串f进行本地验签动作，所述字符串i为签名原文，所述签名区字符串f为签名，验签使用所述服务提供方的公钥；

通过验签结果确定信息的有效性。

Images