CN114584398B - 一种计费管理方法及系统 - Google Patents
一种计费管理方法及系统 Download PDFInfo
- Publication number
- CN114584398B CN114584398B CN202210460197.1A CN202210460197A CN114584398B CN 114584398 B CN114584398 B CN 114584398B CN 202210460197 A CN202210460197 A CN 202210460197A CN 114584398 B CN114584398 B CN 114584398B
- Authority
- CN
- China
- Prior art keywords
- charging
- module
- data
- authentication information
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Abstract
本申请提供一种计费管理方法及系统,该方法包括:安全岛模块接收计费管理模块发送的第一计费消息,第一计费消息包括第一认证信息和第一计费数据;安全岛模块基于第一认证信息对目标用户进行认证;若认证通过,安全岛模块向应用模块发送第二计费消息,第二计费消息包括第二认证信息和第二计费数据;以使应用模块在基于第二认证信息确定目标用户已认证通过后,基于第二计费数据对目标用户进行计费管理。通过本申请技术方案,能够避免敏感信息泄露导致的安全隐患,提升运行安全性。
Description
技术领域
本申请涉及通信技术领域,尤其是涉及一种计费管理方法及系统。
背景技术
随着云计算、大数据、AI和高性能计算等技术的快速发展,大规模计算平台得到了越来越多的使用,即,可以将大规模计算平台融合到云计算、大数据、AI和高性能计算等场景中,由大规模计算平台实现计算和存储等功能。
大规模计算平台具有丰富的计算资源和存储空间,大规模计算平台能够将这些计算资源和存储空间合理的分配给每个用户,在用户需要时能够占用计算资源和存储空间,在用户使用完毕时能够释放计算资源和存储空间。
计费功能是大规模计算平台支持的一种业务功能,为了支持计费功能,大规模计算平台和应用服务器之间需要交互计费消息。为了交互计费消息,应用服务器需要将IP地址和服务端口等敏感信息暴露给大规模计算平台,从而导致存在安全隐患。比如说,其它用户可以从大规模计算平台获取到IP地址和服务端口,并基于IP地址和服务端口访问应用服务器,从而导致存在安全隐患。
发明内容
有鉴于此,本申请提供了一种计费管理方法、装置及设备,用以解决现有技术中,需要将IP地址和服务端口等敏感信息暴露给大规模计算平台的问题。
第一方面,本申请提供一种计费管理方法,计费管理系统包括计算平台和应用服务器,计算平台包括计费管理模块和安全岛模块,应用服务器包括应用模块,所述方法包括:
所述安全岛模块接收所述计费管理模块发送的第一计费消息,所述第一计费消息包括第一认证信息和第一计费数据;
所述安全岛模块基于所述第一认证信息对目标用户进行认证;
若认证通过,则所述安全岛模块向所述应用模块发送第二计费消息,所述第二计费消息包括第二认证信息和第二计费数据;其中,所述第二认证信息是基于所述第一认证信息生成的,或者,所述第二认证信息与所述第一认证信息无关;所述第二计费数据是基于所述第一计费数据生成的;
以使所述应用模块在基于所述第二认证信息确定所述目标用户已认证通过之后,基于所述第二计费数据对所述目标用户进行计费管理。
结合第一方面,在第一种可能的实施方式中,所述安全岛模块向所述应用模块发送第二计费消息之前,所述方法还包括:
将所述第一计费数据确定为所述第二计费数据;或者,
采用目标密码算法对所述第一计费数据进行加密,得到加密后的计费数据,并将所述加密后的计费数据确定为所述第二计费数据;其中,所述目标密码算法是所述安全岛模块与所述应用模块之间约定的密码算法。
结合第一方面,在第二种可能的实施方式中,所述安全岛模块向所述应用模块发送第二计费消息之前,所述方法还包括:
将所述第一认证信息确定为所述第二认证信息;或者,
从所述第一认证信息中解析出用户信息,采用目标认证算法生成所述第二认证信息,所述第二认证信息包括所述用户信息;其中,所述目标认证算法是所述安全岛模块与所述应用模块之间约定的认证算法;或者,
基于目标认证算法,确定所述目标认证算法提供的认证信息生成方式,并基于所述认证信息生成方式生成所述第二认证信息。
结合第一方面,在第三种可能的实施方式中,所述第二计费消息的目的IP地址是所述应用模块的IP地址、目的端口是所述应用模块的服务端口;所述安全岛模块向所述应用模块发送第二计费消息之前,所述方法还包括:
从安全岛模块的已配置数据中解析出所述应用模块的服务名和服务端口;
从所述已配置数据中解析出服务名与IP地址之间的映射关系,并基于所述应用模块的服务名查询所述映射关系,得到所述应用模块的IP地址。
结合第一方面,在第四种可能的实施方式中,所述安全岛模块向所述应用模块发送第二计费消息之后,所述方法还包括:
所述安全岛模块接收所述应用模块发送的针对所述第二计费消息的第一计费响应,所述第一计费响应包括第一计费结果数据;
所述安全岛模块向所述计费管理模块发送针对所述第一计费消息的第二计费响应,所述第二计费响应包括第二计费结果数据;其中,所述第二计费结果数据是基于所述第一计费结果数据生成的;
其中,所述安全岛模块与所述计费管理模块之间交互的是Rest API接口消息,所述安全岛模块与所述应用模块之间交互的是RPC接口消息。
结合第一方面,在第五种可能的实施方式中,所述方法还包括:
所述安全岛模块接收所述应用模块发送的第一管理消息,所述第一管理消息包括第一管理数据;
所述安全岛模块向所述计费管理模块发送第二管理消息,所述第二管理消息包括第二管理数据,所述第二管理数据是基于所述第一管理数据生成的;
以使所述计费管理模块基于所述第二管理数据进行计费管理。
结合第一方面,在第六种可能的实施方式中,所述计费管理模块包括基于容器实现的计费管理模块;所述安全岛模块包括基于容器实现的安全岛模块;所述应用模块包括基于容器实现的应用模块。
第二方面,本申请提供一种计费管理系统,所述计费管理系统包括计算平台和应用服务器,所述计算平台包括计费管理模块和安全岛模块,所述应用服务器包括应用模块,其中:
所述计费管理模块,用于向所述安全岛模块发送第一计费消息,所述第一计费消息包括第一认证信息和第一计费数据;
所述安全岛模块,用于在接收到所述第一计费消息后,基于所述第一认证信息对目标用户进行认证;若认证通过,则向所述应用模块发送第二计费消息,所述第二计费消息包括第二认证信息和第二计费数据;其中,所述第二认证信息是基于所述第一认证信息生成的,或者,所述第二认证信息与所述第一认证信息无关;所述第二计费数据是基于所述第一计费数据生成的;
所述应用模块,用于在接收到所述第二计费消息后,从所述第二计费消息中解析出第二认证信息和第二计费数据;基于所述第二认证信息对目标用户进行认证;若认证通过,基于所述第二计费数据对所述目标用户进行计费管理。
结合第二方面,在第一种可能的实施方式中,所述安全岛模块,还用于将所述第一计费数据确定为所述第二计费数据;
或者,采用目标密码算法对所述第一计费数据进行加密,得到加密后的计费数据,并将所述加密后的计费数据确定为所述第二计费数据;其中,所述目标密码算法是所述安全岛模块与所述应用模块之间约定的密码算法。
结合第二方面,在第二种可能的实施方式中,所述安全岛模块,还用于将所述第一认证信息确定为所述第二认证信息;
或者,从所述第一认证信息中解析出用户信息,采用目标认证算法生成所述第二认证信息,所述第二认证信息包括所述用户信息;其中,所述目标认证算法是所述安全岛模块与所述应用模块之间约定的认证算法;或者,
基于目标认证算法,确定所述目标认证算法提供的认证信息生成方式,并基于所述认证信息生成方式生成所述第二认证信息。
结合第二方面,在第三种可能的实施方式中,所述第二计费消息的目的IP地址是所述应用模块的IP地址、目的端口是所述应用模块的服务端口;所述安全岛模块,还用于从所述安全岛模块的已配置数据中解析出所述应用模块的服务名和服务端口;从所述已配置数据中解析出服务名与IP地址之间的映射关系,并基于所述应用模块的服务名查询所述映射关系,得到所述应用模块的IP地址。
结合第二方面,在第四种可能的实施方式中,
所述应用模块,还用于向所述安全岛模块发送针对所述第二计费消息的第一计费响应,所述第一计费响应包括第一计费结果数据;
所述安全岛模块,还用于在接收到所述第一计费响应之后,向所述计费管理模块发送第二计费响应,所述第二计费响应包括第二计费结果数据;其中,所述第二计费结果数据是基于所述第一计费结果数据生成的;
所述计费管理模块,还用于接收所述第二计费响应;
其中,所述安全岛模块与所述计费管理模块之间交互的是Rest API接口消息,所述安全岛模块与所述应用模块之间交互的是RPC接口消息。
由以上技术方案可见,本申请实施例中,可以在计算平台(即大规模计算平台)部署安全岛模块,安全岛模块和计费管理模块部署在同一计算平台,安全岛模块和应用模块由同一管理方管理。安全岛模块和计费管理模块均在计算平台内部,安全岛模块和计费管理模块之间通过内部网络进行数据通信,无需对外暴露IP地址和服务端口等信息,从而有效地增强安全岛模块和计费管理模块的通信安全性。安全岛模块和应用模块由同一管理方管理,在安全岛模块和应用模块进行数据通信时,无需对外暴露IP地址和服务端口等信息,从而有效地增强安全岛模块和应用模块的通信安全性。安全岛模块介于计算平台与应用服务器之间,避免将应用服务器直接暴露给计算平台时可能造成的安全性隐患,即避免将应用服务器的敏感信息(如IP地址和服务端口)暴露给计算平台,从而避免敏感信息泄露导致的安全隐患,帮助应用服务器提升运行的安全性和稳定性。应用模块可以在对接计算平台的基础上,不对计算平台开放敏感信息,即不会将敏感信息提供给计算平台。计算平台不需要重复对已有接口调用业务流程进行重复开发,增加接口调用的复用程度,加快对接速度和联调效率。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1是本申请一种实施方式中的计费管理系统的结构示意图;
图2是本申请一种实施方式中的计费管理系统的结构示意图;
图3是本申请一种实施方式中的计费管理系统的结构示意图;
图4是本申请一种实施方式中的计费管理方法的流程示意图。
具体实施方式
在本申请实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
随着云计算、大数据、AI和高性能计算等技术的快速发展,大规模计算平台(在后续过程中,简称为计算平台)得到了越来越多的使用,即,可以将计算平台融合到云计算、大数据、AI和高性能计算等场景中,由计算平台实现计算和存储等功能。计算平台具有丰富的计算资源和存储空间,计算平台能够将这些计算资源和存储空间合理的分配给每个用户,在用户需要时能够占用计算资源和存储空间,在用户使用完毕时能够释放计算资源和存储空间。
计费功能是计算平台支持的一种业务功能,为了支持计费功能,计算平台可以包括计费管理模块,应用服务器可以包括应用模块(如财务应用模块,每个应用领域下的每个机构、组织都可以有自身独立的财务应用模块),计费管理模块和应用模块之间需要交互计费消息。为了交互计费消息,需要将应用模块的IP地址和服务端口等敏感信息暴露给计算平台,从而导致存在安全隐患。
因此,如何非侵入式的对接大量应用服务器的应用模块,在保证应用服务器安全稳定的情况下,又使得计算平台拥有一定开放性,是需要解决的问题。
参见图1所示,为计费管理系统的结构示意图,计算平台可以包括计费管理模块,应用服务器可以包括应用模块,计费管理模块和应用模块可以部署于不同的计算集群中,经过路由器、交换机转发,通过web接口进行通信。
为了支持计费功能,计费管理模块需要调用应用模块的计费接口(如缴费接口、退款接口等),因此,需要将应用模块的IP地址和服务端口等敏感信息暴露给计费管理模块,使得计费管理模块能够调用应用模块的计费接口,从而导致存在安全隐患。计费管理模块需要对发送给应用模块的数据进行加密,应用模块对该数据进行解密,计费管理模块和应用模块共用一套加解密协议,存在很大的不安全因素,如果计费管理模块泄漏加解密协议,则会存在安全隐患。
参见图2所示,为计费管理系统的另一结构示意图,应用服务器可以包括计费管理模块和应用模块,即计费管理模块和应用模块可以部署于同一计算集群中,计费管理模块和应用模块通过web接口进行通信。但是,计费管理模块对应用服务器造成一定程度的侵入性,在应用服务器运行计费管理模块时,若计费管理模块存在安全漏洞,就可能通过计费管理模块直接对应用服务器进行攻击,对应用服务器造成整体性破坏,从而导致应用服务器存在安全隐患。
综上可以看出,参见图1所示,需要将应用模块与计费管理模块对接,需要将应用模块的IP地址和服务端口等敏感信息暴露给计费管理模块,无法实现应用模块的封闭性。需要将私有加密协议开放给计费管理模块,增加了应用模块的非安全性。参见图2所示,需要将计费管理模块部署到应用服务器,从而对应用服务器造成一定程度的侵入性,也会导致应用服务器存在安全隐患。
针对上述问题,本申请实施例中提出一种计费管理系统,该计费管理系统可以额外部署安全岛模块,安全岛模块和计费管理模块均在计算平台内部,安全岛模块和计费管理模块之间通过内部网络进行数据通信,无需对外暴露IP地址和服务端口等信息,从而有效地增强安全岛模块和计费管理模块的通信安全性。以及,安全岛模块和应用模块由同一管理方管理,在安全岛模块和应用模块进行数据通信时,无需对外暴露IP地址和服务端口等信息,从而有效地增强安全岛模块和应用模块的通信安全性。通过部署安全岛模块,使得应用模块在对接计费管理模块的基础上,不对计费管理模块开放私有加密协议和认证交互方式,计费管理模块也不会被放置于应用服务器,避免引入非安全因素。
参见图3所示,为计费管理系统的结构示意图,计费管理系统可以包括计算平台和应用服务器,计算平台可以包括计费管理模块和安全岛模块,应用服务器可以包括应用模块,且安全岛模块和应用模块由同一管理方(即管理方用户)管理。比如说,同一管理方开发安全岛模块和应用模块,可以理解为,开发出具有“安全岛”功能的软件和具有“财务应用”功能的软件,将具有“安全岛”功能的软件部署到计算平台,在计算平台运行该软件之后,相当于在计算平台运行安全岛模块,实现安全岛模块有关的功能。将具有“财务应用”功能的软件部署到应用服务器,在应用服务器运行该软件之后,相当于在应用服务器运行应用模块(如财务应用模块),实现应用模块有关的功能。
参见图3所示,安全岛模块和计费管理模块均在计算平台内部,无需对外暴露IP地址和服务端口等信息,安全岛模块和计费管理模块之间可以通过内部网络进行数据通信,如通过Rest(Representational State Transfer,表述性状态传递) API(ApplicationProgramming Interface,应用程序编程接口)接口消息进行数据通信,当然,也可以采用其它类型的消息进行数据通信,对此不做限制。
其中,在安全岛模块和计费管理模块通过Rest API接口消息进行数据通信时,安全岛模块和计费管理模块均可以为ClusterIP的服务类型,即,安全岛模块的IP地址为虚拟IP地址,计费管理模块的IP地址为虚拟IP地址。
参见图3所示,安全岛模块和应用模块分别处于两个不同集群内部,即安全岛模块处于计算平台,应用模块处于应用服务器,由于安全岛模块和应用模块由同一管理方进行管理,因此,无需对外暴露IP地址和服务端口等信息。在安全岛模块和应用模块之间进行数据通信时,可以通过RPC(Remote Procedure Call Protocol,远程过程调用协议)接口消息或者gRPC接口消息进行数据通信,当然,也可以采用其它类型的消息进行数据通信,对此不做限制。
其中,在安全岛模块和应用模块通过RPC接口消息进行数据通信时,安全岛模块和应用模块在ClusterIP的基础上,在安全岛模块和应用模块的端口上开放对应服务,变成NodePort的服务类型。比如说,安全岛模块的IP地址为虚拟IP地址,且开放安全岛模块的端口(即服务端口)给应用模块,使应用模块能够访问安全岛模块的服务端口。应用模块的IP地址为虚拟IP地址,且开放应用模块的服务端口给安全岛模块,使安全岛模块能够访问应用模块的服务端口。
其中,虽然安全岛模块和应用模块的对接暴露了服务端口,但是,由于安全岛模块和应用模块由同一管理方进行管理,即,由同一管理方自行开发交互方式、使用私有加密协议加解密敏感数据、使用私有身份认证框架进行身份认证,因此,安全岛模块和应用模块的交互过程仍然具有较高的安全性。
在一种可能的实施方式中,计费管理模块可以是基于容器实现的计费管理模块,如基于Docker容器实现的计费管理模块。安全岛模块可以是基于容器实现的安全岛模块,如基于Docker容器实现的安全岛模块。应用模块可以是基于容器实现的应用模块,如基于Docker容器实现的应用模块。综上所述,计费管理模块、安全岛模块和应用模块均运行于Docker容器中,以pod为单位由K8s进行管理编排,K8s是容器的编排管理工具kubernetes,简称为K8s。
参见图3所示,由于安全岛模块和应用模块分别处于不同的计算集群,使得整个业务流程变成了远程过程调用,安全岛模块和应用模块通过RPC接口消息或者gRPC接口消息进行通信。综上所述,计费管理模块是请求发起方,安全岛模块是远程过程调用的起点,计费管理模块请求的数据实际由应用模块响应并返回,安全岛模块进行数据的加密和转发。安全岛模块本身是一个Docker容器,拥有基础运行环境,可以按照自身需求指定运行各种程序,整个业务请求在到达应用模块之前的流程控制和数据加密、身份验证都由用户自行管理。
以下结合具体实施例,对本申请实施例的技术方案进行说明。
本申请实施例中提出一种计费管理方法,参见图4所示,为该计费管理方法的流程示意图,该计费管理方法可以包括以下步骤:
步骤401、计费管理模块向安全岛模块发送第一计费消息,第一计费消息的目的IP地址是安全岛模块的IP地址、第一计费消息的目的端口是安全岛模块的服务端口,第一计费消息可以包括第一认证信息和第一计费数据。
示例性的,计费管理模块可以主动发起计费业务,如扣费业务、充值业务、退款业务、提现业务等,在发起计费业务时,计费管理模块可以获取与计费业务有关的第一计费数据,如与扣费业务有关的第一计费数据、与充值业务有关的第一计费数据、与退款业务有关的第一计费数据、与提现业务有关的第一计费数据。当然,上述只是第一计费数据的几个示例,对此不做限制。
示例性的,计费管理模块还可以获取第一认证信息,第一认证信息是用于实现身份认证的信息,如第一认证信息可以是用户名和密码等,也可以是token(令牌)信息,当然,第一认证信息也可以是其它类型的认证信息,对此不做限制,为了方便描述,在后续实施例中,以token信息为例进行说明。
为了得到token信息,计费管理模块可以根据目标用户(即触发进行计费业务的用户,这个用户可以输入用户名和密码等信息)的用户名和密码等信息生成token信息,或者,根据目标用户的用户名、密码和时间戳(即当前时刻)等信息生成token信息,当然,也可以采用其它方式生成token信息,对此不做限制。在得到token信息之后,就可以将token信息作为第一认证信息。
示例性的,计费管理模块还可以获取安全岛模块的IP地址和安全岛模块的服务端口。比如说,在计费管理模块的已配置数据(可以是预先配置的数据)中包括安全岛模块的IP地址和安全岛模块的服务端口,因此,可以从计费管理模块的已配置数据中解析出安全岛模块的IP地址和安全岛模块的服务端口。
又例如,在计费管理模块的已配置数据中包括安全岛模块的服务名和安全岛模块的服务端口,且该已配置数据中包括服务名与IP地址之间的映射关系,因此,可以从计费管理模块的已配置数据中解析出安全岛模块的服务名和安全岛模块的服务端口,并从该已配置数据中解析出服务名与IP地址之间的映射关系。在此基础上,可以基于安全岛模块的服务名查询该映射关系,得到安全岛模块的IP地址。至此,可以得到安全岛模块的IP地址和安全岛模块的服务端口。
其中,安全岛模块的IP地址可以是虚拟IP地址,即ClusterIP服务类型下的IP地址,安全岛模块的服务端口可以是ClusterIP下的服务端口。
综上所述,计费管理模块可以得到第一计费数据、第一认证信息、安全岛模块的IP地址和安全岛模块的服务端口,并基于第一计费数据、第一认证信息、安全岛模块的IP地址和安全岛模块的服务端口生成第一计费消息,第一计费消息的目的IP地址是安全岛模块的IP地址、第一计费消息的目的端口是安全岛模块的服务端口,且第一计费消息可以包括第一认证信息和第一计费数据。
步骤402、安全岛模块接收计费管理模块发送的第一计费消息,并从该第一计费消息中解析出该第一认证信息和该第一计费数据。
步骤403、安全岛模块基于该第一认证信息对目标用户进行认证。
示例性的,安全岛模块从第一计费消息中解析出第一认证信息之后,由于第一认证信息是用于实现身份认证的信息,因此,可以基于该第一认证信息对目标用户进行认证,对此认证过程不做限制。比如说,第一认证信息是token信息时,安全岛模块可以基于token信息对目标用户进行认证。
在对目标用户进行认证之后,若目标用户的认证不通过,则安全岛模块向计费管理模块返回认证不通过的信息,即返回非法用户信息提示。
在对目标用户进行认证之后,若目标用户的认证通过,则执行步骤404。
步骤404、安全岛模块向应用模块发送第二计费消息,该第二计费消息的目的IP地址是应用模块的IP地址、该第二计费消息的目的端口是应用模块的服务端口,且该第二计费消息可以包括第二认证信息和第二计费数据。
示例性的,第二计费数据是基于第一计费数据生成的,即第二计费数据与第一计费数据有关。例如,安全岛模块在从第一计费消息中解析出第一计费数据之后,可以直接将第一计费数据确定为第二计费数据。或者,安全岛模块可以基于第一计费数据生成第二计费数据,比如说,安全岛模块采用目标密码算法对第一计费数据进行加密,得到加密后的计费数据,并基于加密后的计费数据生成第二计费数据,例如,可以将加密后的计费数据确定为第二计费数据。
其中,上述目标密码算法可以是安全岛模块与应用模块之间约定的密码算法,比如说,在安全岛模块的已配置数据中包括目标密码算法,安全岛模块可以采用该目标密码算法对数据进行加密,在应用模块的已配置数据中包括目标密码算法,应用模块可以采用该目标密码算法对数据进行解密。
显然,由于该目标密码算法是安全岛模块与应用模块之间约定的密码算法,不会泄露给非法用户,因此,即使非法用户截获相关数据,也无法基于目标密码算法对数据进行解密,也就无法非法使用这些数据,提供数据安全性。
其中,目标密码算法可以是任意类型的密码算法,对此目标密码算法不做限制,只要安全岛模块与应用模块之间约定好目标密码算法即可。
其中,在第一计费数据与扣费业务有关时,则第二计费数据可以与扣费业务有关,在第一计费数据与充值业务有关时,则第二计费数据可以与充值业务有关,在第一计费数据与退款业务有关时,则第二计费数据可以与退款业务有关,在第一计费数据与提现业务有关时,则第二计费数据可以与提现业务有关。
当然,上述只是第二计费数据的几个示例,对此不做限制。
示例性的,第二认证信息是基于第一认证信息生成的,即第二认证信息与第一认证信息有关。或者,第二认证信息不是基于第一认证信息生成的,即第二认证信息与第一认证信息无关。例如,安全岛模块在从第一计费消息中解析出第一认证信息之后,可以直接将第一认证信息确定为第二认证信息。或者,安全岛模块可以基于第一认证信息生成第二认证信息,例如,安全岛模块从第一认证信息中解析出用户信息,采用目标认证算法生成第二认证信息,且第二认证信息包括用户信息。或者,基于目标认证算法,安全岛模块确定目标认证算法提供的认证信息生成方式,并基于认证信息生成方式生成第二认证信息。
其中,目标认证算法是安全岛模块与应用模块之间约定的认证算法。比如说,在安全岛模块的已配置数据中包括目标认证算法,安全岛模块可以采用该目标认证算法生成第二认证信息,在应用模块的已配置数据中包括目标认证算法,应用模块可以采用该目标认证算法对第二认证信息进行认证。
显然,由于该目标认证算法是安全岛模块与应用模块之间约定的认证算法,不会泄露给非法用户,因此,非法用户无法生成符合要求的认证信息,在接收到非法用户发送的数据时,由于认证不通过导致不会处理这些数据。
其中,目标认证算法可以是任意类型的认证算法,对此目标认证算法不做限制,只要安全岛模块与应用模块之间约定好目标认证算法即可。
在一种可能的实施方式中,在基于第一认证信息生成第二认证信息的过程中,假设第一认证信息是token信息,则安全岛模块可以基于token信息的生成策略(计费管理模块采用该策略生成token信息),从token信息中解析出用户信息(如用户名、密码),比如说,可以解析出目标用户的用户名、密码和时间戳。基于此,安全岛模块可以采用目标认证算法生成第二认证信息,且第二认证信息可以包括用户信息,如第二认证信息可以是token信息,也可以是其它类型的认证信息,对此不做限制,第二认证信息与目标认证算法的类型有关。
在第二认证信息是token信息时,安全岛模块可以根据用户信息生成token信息,或者,根据用户信息和时间戳(即生成第二认证信息的当前时刻)生成token信息,当然,也可以采用其它方式生成token信息,对此不做限制。
在得到token信息之后,就可以将token信息作为第二认证信息。或者,可以对token信息进行加密,可以将加密后的token信息作为第二认证信息。
在另一种可能的实施方式中,由于目标认证算法是安全岛模块与应用模块之间约定的认证算法,该目标认证算法可以提供认证信息生成方式,因此,安全岛模块和应用模块均可以获知该认证信息生成方式。在此基础上,对于安全岛模块来说,可以基于该认证信息生成方式生成第二认证信息,对于应用模块来说,可以基于该认证信息生成方式对第二认证信息进行认证。
比如说,认证信息生成方式是基于时间戳生成认证信息,那么,安全岛模块可以将第二计费消息的发送时间戳作为第二认证信息,应用模块得到第二认证信息后,若发现第二计费消息的发送时间戳小于当前时刻,则确定认证成功,若发现第二计费消息的发送时间戳大于当前时刻,则确定认证失败。
又例如,认证信息生成方式是基于某种策略生成随机数,那么,安全岛模块采用该策略生成第一随机数,将第一随机数作为第二认证信息,应用模块得到第二认证信息后,也采用该策略生成第二随机数,若第二随机数与第一随机数相同,则确定认证成功,若第二随机数与第一随机数不同,则确定认证失败。
当然,上述方式只是认证信息生成方式的两个示例,对此不做限制。
示例性的,安全岛模块还可以获取应用模块的IP地址和应用模块的服务端口。比如说,在安全岛模块的已配置数据(可以是预先配置的数据)中包括应用模块的IP地址和应用模块的服务端口,因此,安全岛模块可以从安全岛模块的已配置数据中解析出应用模块的IP地址和应用模块的服务端口。
又例如,在安全岛模块的已配置数据中可以包括应用模块的服务名和应用模块的服务端口,且该已配置数据中包括服务名与IP地址之间的映射关系,因此,安全岛模块可以从安全岛模块的已配置数据中解析出应用模块的服务名和应用模块的服务端口,并从该已配置数据中解析出服务名与IP地址之间的映射关系。在此基础上,可以基于应用模块的服务名查询该映射关系,得到应用模块的IP地址。至此,可以得到应用模块的IP地址和应用模块的服务端口。
其中,应用模块的IP地址可以是虚拟IP地址,即ClusterIP服务类型下的IP地址,应用模块的服务端口可以是ClusterIP下的服务端口。
综上所述,安全岛模块可以得到第二计费数据、第二认证信息、应用模块的IP地址和应用模块的服务端口,并基于第二计费数据、第二认证信息、应用模块的IP地址和应用模块的服务端口生成第二计费消息,该第二计费消息的目的IP地址是应用模块的IP地址、该第二计费消息的目的端口是应用模块的服务端口,且该第二计费消息可以包括第二认证信息和第二计费数据。
步骤405、应用模块接收安全岛模块发送的第二计费消息,并从该第二计费消息中解析出该第二认证信息和该第二计费数据。
步骤406、应用模块基于该第二认证信息对目标用户进行认证。
示例性的,应用模块从第二计费消息中解析出第二认证信息之后,由于第二认证信息是用于实现身份认证的信息,因此,可以基于该第二认证信息对目标用户进行认证,对此认证过程不做限制。比如说,第二认证信息是token信息时,应用模块可以基于token信息对目标用户进行认证。
在对目标用户进行认证之后,若目标用户的认证不通过,则应用模块向安全岛模块返回认证不通过的信息,安全岛模块向计费管理模块返回认证不通过的信息。在对目标用户进行认证之后,若目标用户的认证通过,则执行步骤407。
步骤407、在基于第二认证信息确定目标用户已认证通过之后,应用模块基于第二计费数据对目标用户进行计费管理,对此计费管理过程不做限制。
示例性的,应用模块在从第二计费消息中解析出第二计费数据之后,还可以采用目标密码算法对第二计费数据进行解密,得到解密后的计费数据,即第一计费数据,并基于第一计费数据对目标用户进行计费管理。
比如说,若第一计费数据与扣费业务有关,则基于第一计费数据对目标用户进行扣费操作,若第一计费数据与充值业务有关,则基于第一计费数据对目标用户进行充值操作,若第一计费数据与退款业务有关,则基于第一计费数据对目标用户进行退款操作,若第一计费数据与提现业务有关,则基于第一计费数据对目标用户进行提现操作。当然,上述只是几个示例,对此不做限制。
在一种可能的实施方式中,应用模块基于第二计费数据对目标用户进行计费管理后,可以得到计费结果数据,例如,对目标用户进行扣费操作后,可以得到扣费操作后的计费结果数据,对目标用户进行充值操作后,可以得到充值操作后的计费结果数据,对目标用户进行退款操作后,可以得到退款操作后的计费结果数据,对目标用户进行提现业务后,可以得到提现业务后的计费结果数据,在此基础上,步骤407之后还可以包括以下步骤(图4中未示出):
步骤408、应用模块向安全岛模块发送针对第二计费消息的第一计费响应,其中,该第一计费响应可以包括第一计费结果数据。
示例性的,应用模块基于第二计费数据对目标用户进行计费管理后,可以得到计费结果数据,并将该计费结果数据确定为第一计费结果数据。或者,应用模块可以采用目标密码算法对该计费结果数据进行加密,得到加密后的计费结果数据,并将加密后的计费结果数据确定为第一计费结果数据。
步骤409、安全岛模块接收第一计费响应,并解析出第一计费结果数据。
步骤410、安全岛模块向计费管理模块发送针对第一计费消息的第二计费响应,其中,该第二计费响应可以包括第二计费结果数据。
示例性的,安全岛模块在从第一计费响应中解析出第一计费结果数据之后,若第一计费结果数据是经过加密的计费结果数据,则安全岛模块采用目标密码算法对第一计费结果数据进行解密,得到解密后的计费结果数据,并将解密后的计费结果数据确定为第二计费结果数据。或者,若第一计费结果数据不是经过加密的计费结果数据,则安全岛模块将第一计费结果数据确定为第二计费结果数据。在得到第二计费结果数据之后,就可以生成第二计费响应。
步骤411、计费管理模块接收第二计费响应,并从该第二计费响应中解析出第二计费结果数据,至此,完成针对目标用户的计费管理过程。
在上述实施例中,是以计费管理模块主动发起计费业务为例,在实际应用中,应用模块也可以主动发起管理业务(对此管理业务不做限制),针对应用模块主动发起管理业务的过程,该计费管理方法可以包括以下步骤:
步骤S11、应用模块向安全岛模块发送第一管理消息,第一管理消息的目的IP地址是安全岛模块的IP地址、第一管理消息的目的端口是安全岛模块的服务端口,第一管理消息可以包括第一管理数据(即用于实现管理功能的数据)。
示例性的,应用模块可以主动发起管理业务,在发起管理业务时,应用模块可以获取与管理业务有关的管理数据,对此管理数据不做限制。
在得到与管理业务有关的管理数据之后,可以直接将该管理数据确定为第一管理数据,或者,还可以采用目标密码算法对该管理数据进行加密,得到加密后的管理数据,并将加密后的管理数据确定为第一管理数据。
示例性的,应用模块还可以获取安全岛模块的IP地址和服务端口。比如说,在应用模块的已配置数据中包括安全岛模块的IP地址和服务端口,因此,可以从已配置数据中解析出安全岛模块的IP地址和服务端口。又例如,在应用模块的已配置数据中包括安全岛模块的服务名和服务端口,且该已配置数据中包括服务名与IP地址之间的映射关系,因此,可以从已配置数据中解析出安全岛模块的服务名和服务端口,从该已配置数据中解析出服务名与IP地址之间的映射关系,基于安全岛模块的服务名查询该映射关系,得到安全岛模块的IP地址。
步骤S12、安全岛模块接收应用模块发送的第一管理消息,并从该第一管理消息中解析出第一管理数据。若第一管理数据是经过加密的管理数据,则安全岛模块可以采用目标密码算法对第一管理数据进行解密,得到解密后的管理数据,并将解密后的管理数据确定为第二管理数据。或者,若第一管理数据不是经过加密的管理数据,则安全岛模块将第一管理数据确定为第二管理数据。
步骤S13、安全岛模块向计费管理模块发送第二管理消息,第二管理消息的目的IP地址是计费管理模块的IP地址、第二管理消息的目的端口是计费管理模块的服务端口,且该第二管理消息可以包括第二管理数据。
示例性的,安全岛模块还可以获取计费管理模块的IP地址和服务端口。例如,在安全岛模块的已配置数据中包括计费管理模块的IP地址和服务端口,因此,从已配置数据中解析出计费管理模块的IP地址和服务端口。例如,在已配置数据中包括计费管理模块的服务名和服务端口,且该已配置数据中包括服务名与IP地址之间的映射关系,因此,从已配置数据中解析出计费管理模块的服务名和服务端口,从该已配置数据中解析出服务名与IP地址之间的映射关系,基于计费管理模块的服务名查询该映射关系,得到计费管理模块的IP地址。
步骤S14、计费管理模块接收安全岛模块发送的第二管理消息,并从该第二管理消息中解析出第二管理数据,并基于第二管理数据进行计费管理。
在上述实施例中,安全岛模块与计费管理模块之间交互的是Rest API接口消息,也就是说,计费管理模块向安全岛模块发送的消息(如第一计费消息等)是Rest API接口消息,安全岛模块向计费管理模块发送的消息(如第二管理消息等)是Rest API接口消息,当然,Rest API接口消息只是一个示例。
在上述实施例中,安全岛模块与应用模块之间交互的是RPC接口消息,也就是说,安全岛模块向应用模块发送的消息(如第二计费消息等)是RPC接口消息,应用模块向安全岛模块发送的消息(如第一管理消息等)是RPC接口消息,当然,RPC接口消息只是一个示例,对此消息类型不做限制。
由以上技术方案可见,本申请实施例中,安全岛模块和计费管理模块均在计算平台内部,安全岛模块和计费管理模块之间通过内部网络(如通过Rest API接口)进行数据通信,无需对外暴露IP地址和服务端口等信息,从而有效地增强安全岛模块和计费管理模块的通信安全性。安全岛模块和应用模块由同一管理方管理,在安全岛模块和应用模块进行数据通信时,通过RPC/gRPC接口进行数据通信,无需对外暴露IP地址和服务端口等信息,从而有效地增强安全岛模块和应用模块的通信安全性。安全岛模块介于计算平台与应用服务器之间,避免将应用服务器直接暴露给计算平台时可能造成的安全性隐患,即避免将应用服务器的敏感信息(如IP地址和服务端口)暴露给计算平台,从而避免敏感信息泄露导致的安全隐患,帮助应用服务器提升运行的安全性和稳定性。应用模块可以在对接计算平台的基础上,不对计算平台开放敏感信息,即不会将敏感信息提供给计算平台。计算平台不需要重复对已有接口调用业务流程进行重复开发,增加接口调用的复用程度,加快对接速度和联调效率。管理方自行开发安全岛模块和应用模块的目标密码算法和目标认证算法,避免非法用户获知该目标密码算法和目标认证算法之后,对应用模块进行攻击,帮助应用模块提升运行的安全性和稳定性。安全岛模块对接计费管理模块时,仅需要按照既定的接口规范、格式实现若干接口,从而有效提高计费管理模块对接不同应用模块的代码复用性,节省适配应用模块的时间成本。安全岛模块对接应用模块时,仅需要加密转发计费管理模块的接口请求,实现过程拥有较高的自由度和主动性,并可在安全岛模块根据用户自身需求实现其它功能。安全岛模块是在pod上运行的、封装于Docker容器中的软件执行环境,可以支持用户在安全岛模块运行各种程序,有利于提升整个交互流程的安全性和开放性。
基于与上述方法同样的申请构思,本申请实施例中还提出一种计费管理系统,所述计费管理系统可以包括计算平台和应用服务器,所述计算平台可以包括计费管理模块和安全岛模块,所述应用服务器可以包括应用模块,所述安全岛模块和所述应用模块由同一管理方管理,其中:
所述计费管理模块,用于向所述安全岛模块发送第一计费消息,所述第一计费消息的目的IP地址是所述安全岛模块的IP地址、目的端口是所述安全岛模块的服务端口,所述第一计费消息包括第一认证信息和第一计费数据;
所述安全岛模块,用于在接收到所述第一计费消息后,基于所述第一认证信息对目标用户进行认证;若认证通过,则向所述应用模块发送第二计费消息,所述第二计费消息的目的IP地址是所述应用模块的IP地址、目的端口是所述应用模块的服务端口,所述第二计费消息包括第二认证信息和第二计费数据;所述第二认证信息是基于所述第一认证信息生成的,或者,所述第二认证信息与所述第一认证信息无关;所述第二计费数据是基于所述第一计费数据生成的;
所述应用模块,用于在接收到所述第二计费消息后,从所述第二计费消息中解析出第二认证信息和第二计费数据;基于所述第二认证信息对目标用户进行认证;若认证通过,基于所述第二计费数据对所述目标用户进行计费管理。
可选地,在一种可能的实施方式中,
所述安全岛模块,还用于将所述第一计费数据确定为所述第二计费数据;或者,采用目标密码算法对所述第一计费数据进行加密,得到加密后的计费数据,并将所述加密后的计费数据确定为所述第二计费数据;其中,所述目标密码算法是所述安全岛模块与所述应用模块之间约定的密码算法。
可选地,在一种可能的实施方式中,
所述安全岛模块,还用于将所述第一认证信息确定为所述第二认证信息;
或者,从所述第一认证信息中解析出用户信息,采用目标认证算法生成所述第二认证信息,所述第二认证信息包括所述用户信息;其中,所述目标认证算法是所述安全岛模块与所述应用模块之间约定的认证算法;或者,
基于目标认证算法,确定所述目标认证算法提供的认证信息生成方式,并基于所述认证信息生成方式生成所述第二认证信息。
可选地,在一种可能的实施方式中,所述安全岛模块,还用于从所述安全岛模块的已配置数据中解析出所述应用模块的服务名和服务端口;从所述已配置数据中解析出服务名与IP地址之间的映射关系,并基于所述应用模块的服务名查询所述映射关系,得到所述应用模块的IP地址。
可选地,在一种可能的实施方式中,
所述应用模块,还用于向所述安全岛模块发送针对所述第二计费消息的第一计费响应,所述第一计费响应包括第一计费结果数据;
所述安全岛模块,还用于在接收到所述第一计费响应之后,向所述计费管理模块发送第二计费响应,所述第二计费响应包括第二计费结果数据;其中,所述第二计费结果数据是基于所述第一计费结果数据生成的;
所述计费管理模块,还用于接收所述第二计费响应;
其中,所述安全岛模块与所述计费管理模块之间交互的是Rest API接口消息,所述安全岛模块与所述应用模块之间交互的是RPC接口消息。
可选地,在一种可能的实施方式中,
所述安全岛模块,还用于接收所述应用模块发送的第一管理消息,所述第一管理消息的目的IP地址是所述安全岛模块的IP地址、目的端口是所述安全岛模块的服务端口,所述第一管理消息包括第一管理数据;
所述安全岛模块,还用于向所述计费管理模块发送第二管理消息,所述第二管理消息的目的IP地址是所述计费管理模块的IP地址、目的端口是所述计费管理模块的服务端口,所述第二管理消息包括第二管理数据;其中,所述第二管理数据是基于所述第一管理数据生成的;
所述计费管理模块,还用于基于所述第二管理数据进行计费管理。
可选地,在一种可能的实施方式中,
所述计费管理模块是基于容器实现的计费管理模块;所述安全岛模块是基于容器实现的安全岛模块;所述应用模块是基于容器实现的应用模块。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、个人服务器、商用服务器、以太网交换机、IB网络交换机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (12)
1.一种计费管理方法,其特征在于,计费管理系统包括计算平台和应用服务器,所述计算平台包括计费管理模块和安全岛模块,所述应用服务器包括应用模块,所述方法包括:
所述安全岛模块接收所述计费管理模块发送的第一计费消息,所述第一计费消息包括第一认证信息和第一计费数据;
所述安全岛模块基于所述第一认证信息对目标用户进行认证;
若认证通过,则所述安全岛模块向所述应用模块发送第二计费消息,所述第二计费消息包括第二认证信息和第二计费数据;其中,所述第二认证信息是基于所述第一认证信息生成的,或者,所述第二认证信息与所述第一认证信息无关;所述第二计费数据是基于所述第一计费数据生成的;
以使所述应用模块在基于所述第二认证信息确定所述目标用户已认证通过之后,基于所述第二计费数据对所述目标用户进行计费管理。
2.根据权利要求1所述的方法,其特征在于,
所述安全岛模块向所述应用模块发送第二计费消息之前,所述方法还包括:
将所述第一计费数据确定为所述第二计费数据;或者,
采用目标密码算法对所述第一计费数据进行加密,得到加密后的计费数据,并将所述加密后的计费数据确定为所述第二计费数据;其中,所述目标密码算法是所述安全岛模块与所述应用模块之间约定的密码算法。
3.根据权利要求1所述的方法,其特征在于,
所述安全岛模块向所述应用模块发送第二计费消息之前,所述方法还包括:
将所述第一认证信息确定为所述第二认证信息;或者,
从所述第一认证信息中解析出用户信息,采用目标认证算法生成所述第二认证信息,所述第二认证信息包括所述用户信息;其中,所述目标认证算法是所述安全岛模块与所述应用模块之间约定的认证算法;或者,
基于目标认证算法,确定所述目标认证算法提供的认证信息生成方式,并基于所述认证信息生成方式生成所述第二认证信息。
4.根据权利要求1所述的方法,其特征在于,所述第二计费消息的目的IP地址是所述应用模块的IP地址、目的端口是所述应用模块的服务端口;
所述安全岛模块向所述应用模块发送第二计费消息之前,所述方法还包括:
从安全岛模块的已配置数据中解析出所述应用模块的服务名和服务端口;
从所述已配置数据中解析出服务名与IP地址之间的映射关系,并基于所述应用模块的服务名查询所述映射关系,得到所述应用模块的IP地址。
5.根据权利要求1-4任一所述的方法,其特征在于,
所述安全岛模块向所述应用模块发送第二计费消息之后,所述方法还包括:
所述安全岛模块接收所述应用模块发送的针对所述第二计费消息的第一计费响应,所述第一计费响应包括第一计费结果数据;
所述安全岛模块向所述计费管理模块发送针对所述第一计费消息的第二计费响应,所述第二计费响应包括第二计费结果数据;其中,所述第二计费结果数据是基于所述第一计费结果数据生成的;
其中,所述安全岛模块与所述计费管理模块之间交互的是Rest API接口消息,所述安全岛模块与所述应用模块之间交互的是RPC接口消息。
6.根据权利要求1-4任一所述的方法,其特征在于,所述方法还包括:
所述安全岛模块接收所述应用模块发送的第一管理消息,所述第一管理消息包括第一管理数据;
所述安全岛模块向所述计费管理模块发送第二管理消息,所述第二管理消息包括第二管理数据,所述第二管理数据是基于所述第一管理数据生成的;
以使所述计费管理模块基于所述第二管理数据进行计费管理。
7.根据权利要求1-4任一所述的方法,其特征在于,
所述计费管理模块是基于容器实现的计费管理模块;所述安全岛模块是基于容器实现的安全岛模块;所述应用模块是基于容器实现的应用模块。
8.一种计费管理系统,其特征在于,所述计费管理系统包括计算平台和应用服务器,所述计算平台包括计费管理模块和安全岛模块,所述应用服务器包括应用模块,其中:
所述计费管理模块,用于向所述安全岛模块发送第一计费消息,所述第一计费消息包括第一认证信息和第一计费数据;
所述安全岛模块,用于在接收到所述第一计费消息后,基于所述第一认证信息对目标用户进行认证;若认证通过,则向所述应用模块发送第二计费消息,所述第二计费消息包括第二认证信息和第二计费数据;其中,所述第二认证信息是基于所述第一认证信息生成的,或者,所述第二认证信息与所述第一认证信息无关;所述第二计费数据是基于所述第一计费数据生成的;
所述应用模块,用于在接收到所述第二计费消息后,从所述第二计费消息中解析出第二认证信息和第二计费数据;基于所述第二认证信息对目标用户进行认证;若认证通过,基于所述第二计费数据对所述目标用户进行计费管理。
9.根据权利要求8所述的系统,其特征在于,
所述安全岛模块,还用于将所述第一计费数据确定为所述第二计费数据;
或者,采用目标密码算法对所述第一计费数据进行加密,得到加密后的计费数据,并将所述加密后的计费数据确定为所述第二计费数据;其中,所述目标密码算法是所述安全岛模块与所述应用模块之间约定的密码算法。
10.根据权利要求8所述的系统,其特征在于,
所述安全岛模块,还用于将所述第一认证信息确定为所述第二认证信息;
或者,从所述第一认证信息中解析出用户信息,采用目标认证算法生成所述第二认证信息,所述第二认证信息包括所述用户信息;其中,所述目标认证算法是所述安全岛模块与所述应用模块之间约定的认证算法;或者,
基于目标认证算法,确定所述目标认证算法提供的认证信息生成方式,并基于所述认证信息生成方式生成所述第二认证信息。
11.根据权利要求8所述的系统,其特征在于,所述第二计费消息的目的IP地址是所述应用模块的IP地址、目的端口是所述应用模块的服务端口;
所述安全岛模块,还用于从所述安全岛模块的已配置数据中解析出所述应用模块的服务名和服务端口;从所述已配置数据中解析出服务名与IP地址之间的映射关系,并基于所述应用模块的服务名查询所述映射关系,得到所述应用模块的IP地址。
12.根据权利要求8-11任一所述的系统,其特征在于,
所述应用模块,还用于向所述安全岛模块发送针对所述第二计费消息的第一计费响应,所述第一计费响应包括第一计费结果数据;
所述安全岛模块,还用于在接收到所述第一计费响应之后,向所述计费管理模块发送第二计费响应,所述第二计费响应包括第二计费结果数据;其中,所述第二计费结果数据是基于所述第一计费结果数据生成的;
所述计费管理模块,还用于接收所述第二计费响应;
其中,所述安全岛模块与所述计费管理模块之间交互的是Rest API接口消息,所述安全岛模块与所述应用模块之间交互的是RPC接口消息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210460197.1A CN114584398B (zh) | 2022-04-28 | 2022-04-28 | 一种计费管理方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210460197.1A CN114584398B (zh) | 2022-04-28 | 2022-04-28 | 一种计费管理方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114584398A CN114584398A (zh) | 2022-06-03 |
CN114584398B true CN114584398B (zh) | 2022-08-02 |
Family
ID=81785224
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210460197.1A Active CN114584398B (zh) | 2022-04-28 | 2022-04-28 | 一种计费管理方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114584398B (zh) |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6915265B1 (en) * | 1997-10-29 | 2005-07-05 | Janice Johnson | Method and system for consolidating and distributing information |
CN100389561C (zh) * | 2005-04-20 | 2008-05-21 | 华为技术有限公司 | 计费网络和计费代理装置及计费方法 |
CN100417070C (zh) * | 2005-05-30 | 2008-09-03 | 华为技术有限公司 | 一种内容计费实现方法和系统 |
CA2730913A1 (en) * | 2009-07-07 | 2011-01-13 | Bridge Energy Group, Inc. | Enterprise smart grid and demand management platform and methods for application development and management |
CN101909273B (zh) * | 2010-07-23 | 2013-08-14 | 雷毅 | 一种第三方系统及通过该系统进行认证与计费的方法 |
US8839397B2 (en) * | 2010-08-24 | 2014-09-16 | Verizon Patent And Licensing Inc. | End point context and trust level determination |
CN102694770A (zh) * | 2011-03-22 | 2012-09-26 | 中兴通讯股份有限公司 | 一种业务平台中多类型资源管理的系统及方法 |
CN104144400B (zh) * | 2013-05-10 | 2017-11-07 | 中国电信股份有限公司 | 在线应用的计费方法与系统 |
US10282719B1 (en) * | 2015-11-12 | 2019-05-07 | Sprint Communications Company L.P. | Secure and trusted device-based billing and charging process using privilege for network proxy authentication and audit |
CN108243012B (zh) * | 2016-12-26 | 2021-02-09 | 中国移动通信集团上海有限公司 | 在线计费系统ocs中计费应用处理系统、方法及装置 |
CN107995006A (zh) * | 2017-12-01 | 2018-05-04 | 天津麒麟信息技术有限公司 | 一种云环境下基于消息触发的实时计费系统 |
CN108366176B (zh) * | 2018-01-25 | 2020-07-10 | 网宿科技股份有限公司 | 一种终端应用的计费方法、装置及系统 |
CN108306977A (zh) * | 2018-02-27 | 2018-07-20 | 万帮充电设备有限公司 | 电动汽车充电计费方法与装置 |
CN108377194A (zh) * | 2018-04-25 | 2018-08-07 | 杭州奇治信息技术股份有限公司 | 智能化计费运营系统及运营方法 |
CN109286506B (zh) * | 2018-11-05 | 2021-05-28 | 中国联合网络通信集团有限公司 | 一种流量计费的方法、系统及装置 |
CN114065158A (zh) * | 2021-11-15 | 2022-02-18 | 南方电网数字电网研究院有限公司 | 基于5g技术的云计算管理控制平台用的安全登录监控方法 |
-
2022
- 2022-04-28 CN CN202210460197.1A patent/CN114584398B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN114584398A (zh) | 2022-06-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3937424B1 (en) | Blockchain data processing methods and apparatuses based on cloud computing | |
US9509692B2 (en) | Secured access to resources using a proxy | |
WO2021184973A1 (zh) | 访问外部数据的方法及装置 | |
EP4181460A1 (en) | Service communication method, system and apparatus, and electronic device | |
CN111090875A (zh) | 部署合约的方法及装置 | |
CN111737366B (zh) | 区块链的隐私数据处理方法、装置、设备以及存储介质 | |
CN105873031B (zh) | 基于可信平台的分布式无人机密钥协商方法 | |
JP2019526843A (ja) | ホストされたアプリケーションへの動的アクセス | |
Alder et al. | Migrating SGX enclaves with persistent state | |
US10601590B1 (en) | Secure secrets in hardware security module for use by protected function in trusted execution environment | |
CN113329012B (zh) | 一种可信执行环境的快速认证方法及系统 | |
CN108111497A (zh) | 摄像机与服务器相互认证方法和装置 | |
US20200296089A1 (en) | Validating containers on a microservice framework | |
CN114584307A (zh) | 一种可信密钥管理方法、装置、电子设备和存储介质 | |
CN110138765B (zh) | 数据处理方法、装置、计算机设备和计算机可读存储介质 | |
CN114584398B (zh) | 一种计费管理方法及系统 | |
CN109040225A (zh) | 一种动态端口桌面接入管理方法和系统 | |
CN114372245A (zh) | 基于区块链的物联网终端认证方法、系统、设备及介质 | |
CN113923023A (zh) | 权限配置和数据处理的方法、装置、电子设备及介质 | |
CN112131597A (zh) | 一种生成加密信息的方法、装置和智能设备 | |
WO2022206811A1 (zh) | 一种云服务系统以及基于云服务的数据处理方法 | |
WO2018040095A1 (zh) | 一种生成安全凭证的方法和设备 | |
US20230291558A1 (en) | Trusted computing-based local key escrow method, apparatus, device and medium | |
CN114282235A (zh) | 一种对接硬件安全模块的系统和服务器 | |
CN116346341A (zh) | 私钥保护和服务端访问方法、系统、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |