CN114629637B - 一种微服务安全管理的方法及其应用系统 - Google Patents
一种微服务安全管理的方法及其应用系统 Download PDFInfo
- Publication number
- CN114629637B CN114629637B CN202210234659.8A CN202210234659A CN114629637B CN 114629637 B CN114629637 B CN 114629637B CN 202210234659 A CN202210234659 A CN 202210234659A CN 114629637 B CN114629637 B CN 114629637B
- Authority
- CN
- China
- Prior art keywords
- service
- micro
- authentication
- node
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明主要涉及一种微服务安全管理的方法,所述方法包括下述步骤:基于微服务管理节点,获得微服务列表,以选择要进行服务认证的微服务;对要进行服务认证的微服务,发起服务认证;向服务认证成功的微服务发送信令节点的访问口令,以使微服务通过访问方式获取并缓存信令节点中的认证信息。所述方法通过设置微服务管理节点和信令节点对安全认证服务和一般服务进行统一协调管理,实现微服务上线通知、认证秘钥分发、微服务安全认证、认证令牌监听等功能;同时微服务对信令节点的访问控制,无需在配置文件中配置认证口令,避免暴露敏感数据的问题,实现了灵活可靠的服务安全认证与服务敏捷发布。
Description
技术领域
本发明涉及微服务领域,尤其涉及一种微服务安全管理的方法及其应用系统。
背景技术
在微服务架构下,一个应用会被拆分成若干个微服务,每个微服务都需要对访问进行鉴权,每个微服务都需要明确当前访问用户以及其权限。
当前微服务认证方案大多基于统一安全认证服务分配认证令牌,通过服务自身的认证口令获取认证中心的认证令牌,因此每个微服务的认证配置信息中都会包含明文或密文认证口令,这些敏感数据暴露在服务配置文件中不仅存在安全隐患,而且为了安全需要定期修改认证口令需要对全部微服务进行重新部署,大大增加了运维人员的工作量,降低了服务发布的敏捷性。
发明内容
有鉴于此,本发明的主要目的在于提供一种集中式微服务安全管理的方法,以期灵活可靠地解决当前服务认证中暴露敏感数据的问题,同时解决当前因定期修改认证口令需重新部署全部微服务的问题,从而提高服务发布的敏捷性和方便性,减轻运维人员的工作量。
基于上述目的或部分目的,一方面本发明提出一种微服务安全管理的方法,所述方法包括下述步骤:
S100、基于微服务管理节点,获得微服务列表,以选择要进行服务认证的微服务;
S200、对要进行服务认证的微服务,发起服务认证;
S300、向服务认证成功的微服务发送信令节点的访问口令,以使微服务通过访问方式获取并缓存信令节点中的认证信息;
所述微服务管理节点用于管理微服务节点,微服务节点与微服务一一对应,微服务节点用于记录微服务信息。
优选地,在所述方法中,所述方法包括下述步骤:通过监听信令节点,将已缓存的认证信息进行更新。
优选地,在所述方法中,所述方法包括下述步骤:
从所述认证信息中获取服务调用信息;
所述服务调用信息或者作为请求扩展参数,用于发起服务调用;或者作为对比信息,用于与接收的相应信息进行比对。
优选地,在所述方法中,所述S200包括下述步骤:
S201、向需要服务认证的微服务分发公钥,并接收微服务的响应报文,所述响应报文中包括密文和哈希值;
S202、将响应报文中的密文使用公钥对应的私钥解密,并校验哈希值;
S203、若解密成功且校验成功,则将该微服务对应的微服务节点的认证状态标识为认证成功;
所述密文为用公钥将随机字符串加密后得到;
所述哈希值为对所述随机字符串进行哈希计算得到;
所述随机字符串为所述微服务在接收公钥后生成。
优选地,在所述方法中,所述微服务信息包括微服务注册信息、微服务认证信息;
所述微服务注册信息包括服务部署IP地址、秘钥分发接口、访问口令分发接口、服务上线时间、服务下线时间、心跳时间;
所述微服务认证信息包括服务认证状态、服务认证成功时间。
优选地,在所述方法中,所述方法还包括下述步骤:
按下式计算时间间隔:
t=|t1-t2|
式中:t为时间间隔,t1为在微服务节点中记录的最新心跳时间;t2为微服务当前的心跳时间;
若所述时间间隔大于第一设定阈值,则将相应的微服务标记为下线状态,并在该微服务对应的微服务节点中更新该微服务的下线时间。
优选地,在所述方法中,所述方法还包括下述步骤:
基于微服务节点中的下线时间,计算对应微服务的下线时长;
若所述下线时长大于第二设定阈值时,则将该微服务对应的微服务节点进行删除处理,并在信令节点中将该微服务的认证信息进行删除;否则,将该微服务作为要进行服务认证的微服务,执行S200-S300。
优选地,在所述方法中,所述方法还包括下述步骤:
S400、若微服务服务认证失败,则在对应的微服务节点中,记录该微服务认证失败的日志信息。
优选地,在所述方法中,所述认证信息至少包括:微服务节点标识、服务认证令牌、令牌创建时间、令牌有效时间。
第二方面,本发明提出一种应用微服务安全管理方法的系统,所述系统包括基于Zookeeper集群的服务器端;所述服务器端具有存储器和处理器;所述存储器能够存储有能够被处理器加载并执行如上述任一方法的计算机程序。
与现有技术相比,本发明具有下述有益效果:
(1)通过集中式管理微服务信息和认证信息,无需在服务配置文件中配置认证口令,避免了认证口令泄露问题,提升了服务认证的安全性。
(2)微服务间相互调用需要的调用信息或被调用信息,获取方式是通过访问口令访问信令节点对认证信息进行缓存,或通过监听对认证信息进行更新,提升了微服务调用的安全性。
(3)即使更换口令,也不需要对微服务重新部署,可实现微服务地敏捷发布,降低了运维人员的工作量。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1、在Zookeeper上应用本发明方法场景示意图;
在图中:1、创建微服务管理节点;2、创建信令节点;3、上传公私钥;4、配置信令节点访问口令;5、持久化信令节点访问口令;6、创建微服务节点;7、监听;8、发起服务认证请求;9、分发公钥;10、返回响应报文;11、将信令节点的访问口令以加密形式发送给该微服务;12、生成信令令牌;13、监听信令节点;14、获得访问口令查询结果;15、携带信令和节点标识名称发起调用;16、响应;17、监听到微服务重新上线;18、发起服务认证;19、注册。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
本发明的目的在于提供一种灵活可靠的微服务安全管理方法,用于实现服务安全认证和安全调用,由于无需在服务配置文件中配置相关服务信息或认证信息,不存在敏感数据暴露问题,提升了系统整体安全性。由于能够自动更新服务信息或认证信息,因此能够实现服务敏捷性发布。
在实施例1中,在Zookeeper上部署安全认证服务,如图1所示,图中箭头方向表示服务调用的发起方向,例如步骤标号1所示,安全认证服务向ZooKeeper发起调用,以创建微服务管理节点。
在安全认证服务启动后,其开始进行初始化,在ZooKeeper根目录中检测下述节点是否存在,包括微服务管理节点和信令管理节点。若不存在,则创建微服务管理节点(1)、创建信令节点(2),分别记作microsrvs节点、token节点。这两个节点均为永久节点。在微服务启动后,其开始进行初始化,在microsrvs节点下创建微服务节点(6),该节点与微服务一一对应,为一个永久节点。
微服务管理节点用于管理微服务节点,微服务节点与微服务一一对应,微服务节点用于记录微服务信息,微服务节点标识优选为服务ID。所述微服务信息包括服务注册信息、服务认证信息等。其中,服务注册信息包括微服务部署IP地址,秘钥分发接口、Zookeeper访问口令分发接口、服务上线时间、服务下线时间、心跳时间;微服务的服务认证信息包括服务认证状态、服务认证成功时间。优选地,服务ID基于ZooKeeper顺序节点版本号生成,以避免分布式更新的并发问题,但服务ID不限于此方式生成。微服务节点的命名也不限于服务ID,还可以是其它命名方式。信令节点用于管理服务认证成功的微服务的认证信息。所述认证信息可以用JSON格式组织,认证信息至少包括微服务节点标识、服务认证令牌、令牌创建时间、令牌有效时间。通过服务ID,token节点和微服务节点建立关联。
在创建microsrvs节点时,设置microsrvs节点的ACL(Access Control List,访问控制列表)模式置为world:erveryone。在创建token节点时,设置token节点的ACL模式为digest。若存在microsrvs节点、token节点,或者在创建microsrvs节点、token节点后,安全认证服务对这两个节点进行监听(7),以获得实时最新的微服务信息和信令认证信息。
运维人员在安全认证系统启动后,在操作界面中配置digest模式下配置信令节点访问口令(4),即配置token节点的user:password访问口令。为提高安全性,在数据库内,持久化信令节点访问口令(5)。在安全认证服务需要使用访问口令时,通过访问数据库获得访问口令查询结果(14)。认证口令可定期更改。
在安全认证时需用到公私钥文件,可选地,由运维人员在Linux服务器中执行公私钥生成命令ssh-keygen-o生成,并下载到本地,然后放置在安全认证服务公私钥文件路径下,或者通过操作界面上传公私钥(3)至目的路径或位置。
本发明的服务认证机制如下:
安全认证服务监听microsrvs节点下的全部节点,获取当前系统已注册微服务的微服务列表,由运维人员选择需要进行服务认证的微服务。需要进行服务认证的微服务可以是未进行服务认证的微服务,也可以是需要进行重新服务认证的微服务。对要进行服务认证的微服务,发起服务认证请求。
假设微服务A为一个需要进行服务认证的微服务,微服务A在启动时,在microsrvs节点下创建微服务节点(6),节点命名为A-ID。此时运维人员选择微服务A,发起服务认证请求(8)。请求过程可以是微服务A向安全认证服务发送了一个关于微服务A的服务认证请求消息;也可以是运维人员选择时,直接将微服务A的信息发送给了安全认证服务,或者是其它不限于通过浏览器的操作方式通知安全认证服务,微服务A要进行服务认证。
安全认证服务在获知微服务A要进行服务认证后,向微服务A分发公钥(9),并接收微服务返回的响应报文。微服务A在接收公钥后,生成一串随机字符串,并对该随机字符串计算哈希值。同时,用接收的公钥对该随机字符串进行加密得到密文。然后,微服务返回响应报文(10)给安全认证服务,所述响应报文包括加密后的密文和哈希值。
安全认证服务处理响应报文,将响应报文中的密文使用上述公钥对应的私钥解密,并对响应报文中的哈希值进行校验。
当解密成功且校验成功时,安全认证服务向节点A-ID发送用于更新认证状态的结果消息,节点A-ID将微服务A的认证状态标识或更新为认证成功。
对响应报文中的哈希值进行校验是指使用约定的哈希算法,将响应报文中的哈希值与解密后明文的哈希值进行内容对比。若内容一致,则校验成功;否则,校验失败。
在上述实施例中,安全认证服务和微服务约定使用的哈希算法为MD5(Message-Digest Algorithm);对称加密算法约定使用AES(Advanced Encryption Standard)128位加密算法,其中秘钥口令为服务认证期间随机生成的字符串。
本发明通过微服务管理节点对所有微服务节点进行管理,实现对微服务的集中管理,可以实时获得注册的微服务的认证状态、认证时间,以便针对性地给相应的微服务进行后续的各种服务授权。同时,也能实时获知微服务上线时间、服务下线时间,实现对安全认证服务和一般服务的统一协调管理。上述服务认证过程不存在明文或密文认证口令数据暴露问题,服务认证过程安全可靠。
在服务认证成功的基础上,可进一步实现安全认证、安全调用等。本发明的技术方案是:若微服务服务认证成功,安全认证服务在信令节点的认证信息中追加该微服务的服务认证信息,并将信令节点的访问口令以加密形式发送给该微服务(11),以使微服务通过访问方式获取并缓存信令节点中的认证信息。微服务从所述认证信息中获取服务调用信息;所述服务调用信息或者作为请求扩展参数,用于发起服务调用;或者作为对比信息,用于与接收的相应信息进行比对。
当微服务在服务认证成功时,通过服务ID,在token节点中增加微服务的服务认证信息,包括生成信令令牌(12),同时从安全服务认证服务那里获得信令节点的访问口令。通过访问口令,微服务访问信令节点,从信令节点获得所有微服务的认证信息并缓存,并通过监听信令节点(13),将已缓存的认证信息进行更新。
微服务获得的访问口令,并不需要在微服务配置文件中配置,可避免了认证口令泄露,从而提升微服务安全调用的安全性和可靠性。
在图1中,微服务A、微服务B为微服务注册中心注册(19)的微服务,当微服务A、微服务B安全认证成功后,安全认证服务向微服务A、微服务B分别发送token节点访问口令。微服务A、微服务B均拥有了ZooKeeper的token节点访问权限,可以获取并缓存token节点中的全部认证信息。
若微服务A向微服务B发起调用请求,则可以从服务缓存或token节点中获得信令和节点标识名称,将信令和节点标识名称作为请求扩展参数,以携带信令和节点标识名称发起调用(15)。
若微服务B收到调用请求消息后,第一步解析消息拿到token令牌和服务工D。第二步将token令牌和服务ID与本地缓存中的信息进行对比,若对比失败,则向微服务A发送响应(16),响应内容根据认证情况确定,或者为认证成功的消息,或者为认证失败的消息;若对比成功,则进行后续服务请求处理响应(16)。
从上述过程可以看出,在微服务调用或者被调用时,需要的调用信息或者被调用信息,无论实时获取还是缓存,均需通过访问口令获取,而访问口令不需要配置在配置文件中,避免了访问口令泄露,提升了微服务调用的安全性。
当信令节点更换访问口令时,由运维人员重新选择所有注册的微服务,发起服务认证;对服务认证重新认证成功的微服务,安全认证服务会将新的访问口令以加密形式发给该微服务,因此不需要对微服务重新部署,可实现微服务地敏捷发布。
在其它实施例中,当微服务返回的响应报文中的密文解密失败,或对微服务返回的响应报文中的哈希值校验失败时,安全认证服务向该微服务返回认证失败响应消息,并在微服务管理节点下的对应微服务节点中记录该微服务认证失败日志信息。
在其它实施例中,微服务与安全认证服务间存在如下心跳机制:
按下式计算时间间隔:
t=|t1-t2|
式中:t为时间间隔,t1为在微服务节点中记录的最新心跳时间;t2为微服务当前的心跳时间。
若所述时间间隔大于第一设定阈值,则将相应的微服务标记为下线状态,并在该微服务对应的微服务节点中更新该微服务的下线时间。
微服务定时向ZooKeeper中mirosrvs下对应的微服务节点中刷新心跳时间为t1,安全认证服务监听该微服务的心跳时间为t2。如果t1与t2的时间间隔超过第一设定阈值,标记该微服务为下线状态或离线状态,并更新微服务节点中记录的下线时间或离线时间。
在其它实施例中,安全认证服务定时清理下线微服务或离线微服务的服务注册信息如下:
安全认证服务定时扫描microsrvs下的微服务节点,基于微服务节点中的下线时间,计算对应微服务的下线时长。若所述下线时长大于第二设定阈值时,则认为对应的微服务长时间未重新上线。对这样的微服务,安全认证服务删除其在microsrvs下对应的微服务节点,并在token节点中删除关于此微服务的认证信息。
在其它实施例中,由于网络波动导致服务下线,短时间内微服务又重新与ZooKeeper建立连接,该微服务在上线后刷新mirosrvs下的对应微服务节点中的心跳信息。安全认证服务监听到微服务重新上线(17),基于微服务节点中的下线时间,计算对应微服务的下线时长,所述下线时长不大于第二设定阈值,则认为该微服务下线时间较短,则会自动向该微服务重新发起服务认证(18)流程。
本发明不限于在Zookeeper架构中实施。
综上,本发明具有下述有益效果:通过集中管理微服务信息,便于实时获得注册的微服务的认证状态和认证时间,针对性地给相应的微服务授权;在服务认证过程中未存在数据暴露问题,服务认证过程安全可靠。进一步对信令认证信息进行集中管理,仅对通过服务认证成功的微服务授权信令节点的访问权限以获得或缓存认证信息,并通过监听进行更新,无需在服务配置文件中配置认证口令,避免了认证口令泄露问题。在微服务调用或者被调用时,需要的信令认证信息和服务身份信息,无论实时获取还是缓存,均需授权获取,微服务通过监听信令节点更新本地缓存信令认证信息,从而提升微服务调用的安全性。最后,当信令节点更换口令,不需要对微服务重新部署,通过重新进行安全认证自动获得访问口令,降低了运维人员的工作量,实现了服务敏捷发布。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本公开方法和/或系统中的内容可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本公开而言更多情况下,软件程序实现是更佳的实施方式。
尽管以上结合附图对本发明的实施方案进行了描述,但本发明并不局限于上述的具体实施方案和应用领域,上述的具体实施方案仅仅是示意性的、指导性的,而不是限制性的。本领域的普通技术人员在本说明书的启示下和在不脱离本发明权利要求所保护的范围的情况下,还可以做出很多种的形式,这些均属于本发明保护之列。
Claims (10)
1.一种微服务安全管理的方法,其特征在于,所述方法包括下述步骤:
在Zookeeper上部署安全认证服务,在安全认证服务启动后,其开始进行初始化,在ZooKeeper根目录中检测下述节点是否存在,包括微服务管理节点和信令节点;若不存在,则创建微服务管理节点、创建信令节点;对于每个微服务,在微服务管理节点下,建立微服务节点;所述微服务管理节点用于管理微服务节点,微服务节点与微服务一一对应,微服务节点用于记录微服务信息,信令节点用于管理服务认证成功的微服务的认证信息,认证信息至少包括微服务节点标识、服务认证令牌、令牌创建时间、令牌有效时间;所述微服务信息包括服务认证信息;其中,微服务的服务认证信息包括服务认证状态、服务认证成功时间;
S100、安全认证服务基于微服务管理节点,获得微服务列表,以选择要进行服务认证的微服务;
S200、由安全认证服务对要进行服务认证的微服务,发起服务认证;
S300、由安全认证服务向服务认证成功的微服务对应的节点,发送用于更新认证状态的结果消息,该节点更新认证状态,由安全认证服务向该微服务发送信令节点的访问口令,以使微服务通过访问方式获取并缓存信令节点中的认证信息;当信令节点更换访问口令时,由运维人员重新选择所有注册的微服务,发起服务认证;对服务认证重新认证成功的微服务,安全认证服务会将新的访问口令以加密形式发给该微服务。
2.根据权利要求1所述的方法,其特征在于,所述方法包括下述步骤:
通过监听信令节点,将已缓存的认证信息进行更新。
3.根据权利要求1所述的方法,其特征在于,所述方法包括下述步骤:
从所述认证信息中获取服务调用信息;
所述服务调用信息或者作为请求扩展参数,用于发起服务调用;或者作为对比信息,用于与接收的相应信息进行比对。
4.根据权利要求1所述的方法,其特征在于,所述S200包括下述步骤:
S201、向需要服务认证的微服务分发公钥,并接收微服务的响应报文,所述响应报文中包括密文和哈希值;
S202、将响应报文中的密文使用公钥对应的私钥解密,并校验哈希值;
S203、若解密成功且校验成功,则将该微服务对应的微服务节点的认证状态标识为认证成功;
所述密文为用公钥将随机字符串加密后得到;
所述哈希值为对所述随机字符串进行哈希计算得到;
所述随机字符串为所述微服务在接收公钥后生成。
5.根据权利要求1所述的方法,其特征在于,所述微服务信息包括微服务注册信息、微服务认证信息;
所述微服务注册信息包括服务部署IP地址、秘钥分发接口、访问口令分发接口、服务上线时间、服务下线时间、心跳时间;
所述微服务认证信息包括服务认证状态、服务认证成功时间。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括下述步骤:
按下式计算时间间隔:
t=|t1-t2|
式中:t为时间间隔,t1为在微服务节点中记录的最新心跳时间;t2为微服务当前的心跳时间;
若所述时间间隔大于第一设定阈值,则将相应的微服务标记为下线状态,并在该微服务对应的微服务节点中更新该微服务的下线时间。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括下述步骤:
基于微服务节点中的下线时间,计算对应微服务的下线时长;
若所述下线时长大于第二设定阈值时,则将该微服务对应的微服务节点进行删除处理,并在信令节点中将该微服务的认证信息进行删除;否则,将该微服务作为要进行服务认证的微服务,执行S200-S300。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括下述步骤:
S400、若微服务服务认证失败,则在对应的微服务节点中,记录该微服务认证失败的日志信息。
9.根据权利要求1所述的方法,其特征在于,所述认证信息至少包括:微服务节点标识、服务认证令牌、令牌创建时间、令牌有效时间。
10.一种应用微服务安全管理方法的系统,其特征在于,所述系统包括基于Zookeeper集群的服务器端;所述服务器端具有存储器和处理器;所述存储器能够存储有能够被处理器加载并执行如权利要求1至9中任一方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210234659.8A CN114629637B (zh) | 2022-03-09 | 2022-03-09 | 一种微服务安全管理的方法及其应用系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210234659.8A CN114629637B (zh) | 2022-03-09 | 2022-03-09 | 一种微服务安全管理的方法及其应用系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114629637A CN114629637A (zh) | 2022-06-14 |
| CN114629637B true CN114629637B (zh) | 2023-02-17 |
Family
ID=81899531
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210234659.8A Active CN114629637B (zh) | 2022-03-09 | 2022-03-09 | 一种微服务安全管理的方法及其应用系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114629637B (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108650262B (zh) * | 2018-05-09 | 2020-12-01 | 聚龙股份有限公司 | 一种基于微服务架构的云平台扩展方法及系统 |
| CN112564916A (zh) * | 2020-12-01 | 2021-03-26 | 上海艾融软件股份有限公司 | 应用于微服务架构的访问客户端认证系统 |
| CN113391820A (zh) * | 2021-06-16 | 2021-09-14 | 浙江百应科技有限公司 | 一种高性能的微服务注册调用系统及方法 |
| CN113872932B (zh) * | 2021-08-20 | 2023-08-29 | 苏州浪潮智能科技有限公司 | 基于sgx的微服务间接口鉴权方法、系统、终端及存储介质 |
-
2022
- 2022-03-09 CN CN202210234659.8A patent/CN114629637B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN114629637A (zh) | 2022-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110120869B (zh) | 密钥管理系统及密钥服务节点 | |
| US8196186B2 (en) | Security architecture for peer-to-peer storage system | |
| EP3400692B1 (en) | Systems and methods for the detection of advanced attackers using client side honeytokens | |
| CN107124431B (zh) | 鉴权方法、装置、计算机可读存储介质和鉴权系统 | |
| US8295492B2 (en) | Automated key management system | |
| US8024488B2 (en) | Methods and apparatus to validate configuration of computerized devices | |
| WO2016141856A1 (zh) | 一种用于网络应用访问的验证方法、装置和系统 | |
| US20200412554A1 (en) | Id as service based on blockchain | |
| US10824744B2 (en) | Secure client-server communication | |
| CN107517221B (zh) | 一种无中心的安全可信审计方法 | |
| US11626998B2 (en) | Validated payload execution | |
| US20040117662A1 (en) | System for indentity management and fortification of authentication | |
| TW201140366A (en) | Apparatus and methods for protecting network resources | |
| US11463431B2 (en) | System and method for public API authentication | |
| CN109391617B (zh) | 一种基于区块链的网络设备配置管理方法及客户端 | |
| CN106790045B (zh) | 一种基于云环境分布式虚拟机代理装置及数据完整性保障方法 | |
| CN110362984B (zh) | 多设备运行业务系统的方法及装置 | |
| US20220029808A1 (en) | System, Product and Method for Providing Secured Access to Data | |
| CN108289074B (zh) | 用户账号登录方法及装置 | |
| US8051470B2 (en) | Consolidation of user directories | |
| CN115277168A (zh) | 一种访问服务器的方法以及装置、系统 | |
| US20210135864A1 (en) | Private key updating | |
| CN114629637B (zh) | 一种微服务安全管理的方法及其应用系统 | |
| CN115242471B (zh) | 信息传输方法、装置、电子设备及计算机可读存储介质 | |
| CN113872986B (zh) | 配电终端认证方法、装置和计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |