CN117436053A - 一种数据服务总线系统及数据认证传输方法 - Google Patents
一种数据服务总线系统及数据认证传输方法 Download PDFInfo
- Publication number
- CN117436053A CN117436053A CN202311754422.3A CN202311754422A CN117436053A CN 117436053 A CN117436053 A CN 117436053A CN 202311754422 A CN202311754422 A CN 202311754422A CN 117436053 A CN117436053 A CN 117436053A
- Authority
- CN
- China
- Prior art keywords
- authentication
- request
- message
- information
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 45
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000004364 calculation method Methods 0.000 claims abstract description 14
- 238000012544 monitoring process Methods 0.000 claims abstract description 6
- 230000004044 response Effects 0.000 claims description 53
- 238000012545 processing Methods 0.000 claims description 42
- 238000006243 chemical reaction Methods 0.000 claims description 15
- 230000003993 interaction Effects 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 claims description 3
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000002955 isolation Methods 0.000 description 3
- 231100000279 safety data Toxicity 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000001105 regulatory effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4204—Bus transfer protocol, e.g. handshake; Synchronisation on a parallel bus
- G06F13/4221—Bus transfer protocol, e.g. handshake; Synchronisation on a parallel bus being an input/output bus, e.g. ISA bus, EISA bus, PCI bus, SCSI bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及数据传输技术领域,尤其涉及一种数据服务总线系统及数据认证传输方法,所述数据服务总线系统包括请求数据输入端口、总线构架、响应反馈输出端、监管模块,总线构架内设置有中央处理模块。本发明的目的是提供一种数据服务总线方法,用于解决数据域内应用、服务、数据等资源服务对外开放的问题,通过接入这些资源服务,并作为这些资源服务的访问入口,实现数据域内资源的统一访问、安全监控和服务保障,通过设置多级认证,同时对于不同的权限设置有不同的权限允许评分,根据计算权限评分能够判定任一权限单独执行的需求是否满足使得数据总线传输更加的合理化。
Description
技术领域
本发明涉及数据传输技术领域,尤其涉及一种数据服务总线系统及数据认证传输方法。
背景技术
数据服务总线是大数据体系下系统间访问统一入口的通道式基础组件。主要实现系统服务间访问控制(基于零信任token验证)和跨网络路由(基于外部服务资源目录和内部挂载配置)、服务统一调用入口和协议转换等功能。
中国专利公开号:CN109936532A,公开了一种数据总线传输安全防护系统,包括内网系统、外网系统、传输总线以及用于实现外网系统和内网系统之间的非网络方式的安全的数据交换的安全隔离装置;所述安全隔离装置通过传输总线分别与内网系统和外网系统通信连接。采用网络安全隔离装置来连接内网系统(安全一区)和外网系统(安全三区),实现了在全景网络拓扑平台下跨安全区服务总线以及跨内外网的数据总线对电力企业全景业务之间的信息交互。
由此可见,所述当前以数据总线为基准进行安全数据传输时,数据传输内容往往一刀切,无法自行灵活进行安全认证。
发明内容
为此,本发明提供一种数据服务总线系统及数据认证传输方法,用以克服现有技术中当前以数据总线为基准进行安全数据传输时,数据传输内容往往一刀切,无法自行灵活进行安全认证的问题。
为实现上述目的,本发明提供一种数据服务总线系统,包括:
请求数据输入端口,其与外部请求方相连,用于向系统内输送请求报文;
总线构架,其与所述请求数据输入端口相连,用于对请求报文进行分析,包括,获取请求报文中的零信任认证服务信息进行用户认证,获取请求报文中的鉴权服务信息进行应用鉴权,获取请求报文中的服务注册信息和挂载配置信息进行服务访问地址确定;
响应反馈输出端,其与所述总线构架相连,并连接外部请求方,用于向请求方输送反馈信息;
监管模块,其设置在所述总线构架内部,用于对数据服务总线系统进行数据传输监控;
所述总线构架内设置有中央处理模块。
进一步地,所述总线构架包括:
一级信任认证平台,其能够对所述请求报文进行初步认证,判定请求报文是否符合信息拆分需求;
二级信任认证平台,其用于对请求报文进行二次认证,判定是否对请求报文进行运行响应;
所述请求报文内定义了报文的属性信息,包含报文标识、会话标识、报文来源、报文目标、身份认证、应用自定义属性。
进一步地,所述一级信任认证平台内设置有若干安全身份信息,其在对所述请求报文进行初步认证时,获取请求报文中的身份认证信息,并将身份认证信息与内设的若干安全身份信息进行对比,
若获取的身份认证信息与安全身份信息能够匹配,所述一级信任认证平台生成匹配成功指令并传输至所述中央处理模块,中央处理模块生成初级响应回馈,并将初级响应反馈通过所述响应反馈输出端输送至请求方,在进行初级响应反馈前,通过请求报文获取请求方报文来源信息,并按照报文来源信息进行输出,所述初级响应反馈中设置有负反馈指令,当请求方接受到初级响应反馈后,负反馈指令自动触发,并传输至所述总线构架;
若所述总线构架能够接受到所述负反馈指令,所述一级信任认证平台判定请求报文通过初步认证;
若获取的身份认证信息与安全身份信息不能够匹配或若所述总线构架不能够接受到所述负反馈指令,所述一级信任认证平台判定请求报文未通过初步认证。
进一步地,对于通过初步认证的请求报文,所述二级信任认证平台对其进行二次认证;
所述中央处理模块对于任一安全身份信息其设置有不同的数据交互权限,
对于通过初步认证的请求报文,所述中央处理模块获取其报文目标信息,分析其的请求权限,
若请求报文的请求权限不在其对应的安全身份信息具有的数据交互权限内,所述中央处理模块对其请求进行暂停,并生成暂停请求指令;
若请求报文的请求权限在其对应的安全身份信息具有的数据交互权限内,所述中央处理模块计算其权限评分,并将计算结果传递至二级信任认证平台,判定是否下发权限;
若请求报文的权限评分大于等于对应的权限允许评分,所述二级信任认证平台判定二次认证通过,并下放对应的请求权限;
若请求报文的权限评分小于对应的权限允许评分,所述二级信任认证平台判定二次认证结果待定,所述中央处理模块对其请求进行暂停,并生成暂停请求指令。
进一步地,所述数据服务总线系统还包括上位机,所述上位机能够对暂停请求指令进行判定,并生成临时准许指令或禁止指令,并将相应的指令传递至所述二级信任认证平台,
若所述二级信任认证平台接收到临时准许指令,二级信任认证平台判定二次认证通过,并下放对应的请求权限;
若所述二级信任认证平台接收到禁止指令,二级信任认证平台判定二次认证未通过,并终止对应请求。
进一步地,对于任一请求权限,所述中央处理模块内设置有权限允许评分,任一安全身份信息设置有对应的基础调取评分,所述中央处理模块根据基础调取评分,结合报文来源,报文目标,会话标识对请求报文的权限评分进行计算,并与其将对应的权限允许评分进行对比。
进一步地,对于任一安全身份信息设置有对应的标准报文来源,
若获取的报文来源信息并非标准报文来源,所述中央处理模块根据当前身份以获取的报文来源信息的登录次数,结合其他身份以获取的报文来源信息的登录次数对权限评分进行调节。
所述报文目标内包含报文的请求权限与请求路径,任一报文目标能够包含若干个请求权限信息与请求路径信息,所述中央处理模块根据报文目标内请求权限信息个数与请求路径信息个数对权限评分进行调节。
所述会话标识内含有当前认证的安全身份信息与其它安全身份信息的对于报文目标请求的会话信息,所述中央处理模块根据当前认证的安全身份信息对应的基础调取评分与其它安全身份信息的基础调取评分地大小关系,确定是否对权限评分进行调节;若会话标识内含有多个其它安全身份信息,则选取其中对应的基础调取评分最大值与当前认证的安全身份信息的基础调取评分进行比较。
本发明还提供了一种数据认证传输方法,基于上述的数据服务总线系统,包括:
S1:请求方发送请求,数据服务总线进行请求受理;
S2:数据服务总线调用零信任进行请求认证和鉴权;
S3:认证和鉴权通过后,数据服务总线调用服务资源目录进行查询,确认服务访问地址,确认总线节点是否是服务中介,当是服务中介时,直接将请求报文头、报文体原样转发;若非服务中介时,则走挂载配置;
S4:数据服务总线根据服务方要求进行消息协议或传输协议转换;
S5:数据服务总线调用DAAS数据服务,服务方返回服务响应,服务总线通过零信任体系鉴别服务方令牌,并进行路由和必要的协议转换,转发给请求方。
本发明还提供了一种数据认证传输方法,基于上述的数据服务总线系统,包括:
S1:请求方发送请求,数据服务总线进行请求受理;
S2:受理异步响应,返回响应信息,含会话流水号;
S3:数据服务总线调用零信任进行请求认证和鉴权;
S4:认证和鉴权通过后,数据服务总线调用服务资源目录进行查询,确认服务访问地址,确认总线节点是否是服务中介,当是服务中介时,直接将请求报文头、报文体原样转发;若非服务中介时,则走挂载配置;
S5:数据服务总线根据服务方要求进行消息协议或传输协议转换;
S6:数据服务总线调用DAAS数据服务,服务方返回服务响应,服务总线通过零信任体系鉴别服务方令牌,并进行路由,将响应报文缓存;
S7:轮询接口定时扫描响应报文缓存,查看对应会话流水号的缓存,是否返回响应结果,若返回,则将结果提取返回给请求方。
本发明还提供了一种数据认证传输方法,基于上述的数据服务总线系统,包括:
S1:请求方发送请求,已告知回调ID,数据服务总线进行请求受理;
S2:数据服务总线调用零信任进行请求认证和鉴权;
S3:认证和鉴权通过后,数据服务总线调用服务资源目录进行查询,确认服务访问地址,确认总线节点是否是服务中介,当是服务中介时,直接将请求报文头、报文体原样转发;若非服务中介时,则走挂载配置;
S4:数据服务总线根据服务方要求进行消息协议或传输协议转换;
S5:数据服务总线对请求受理成功响应;
S6:数据服务总线调用DAAS数据服务,数据服务通过回调响应进行调用处理;
S7:请求方回调服务响应数据服务回调成功进行响应处理;
S8:服务方返回服务响应,服务总线通过零信任体系鉴别服务方令牌,并进行路由和必要的协议转换,返回给请求方
与现有技术相比,本发明的目的是提供一种数据服务总线方法,用于解决数据域内应用、服务、数据等资源服务对外开放的问题,通过接入这些资源服务,并作为这些资源服务的访问入口,实现数据域内资源的统一访问、安全检控和服务保障。
进一步地,本发明通过设置多级认证,同时对于不同的权限设置有不同的权限允许评分,根据计算权限评分能够判定任一权限单独执行的需求是否满足使得数据总线传输更加的合理化。
尤其,通过设置一级信任认证平台,使得认证更加的合理化,初步确定请求报文的信息来源是否正规合理,保障的底层安全,通过对不同的请求响应设置二级信任认证平台,使得权限认证更加具体现实,进一步使得不同权限的安全认证更加灵活化。
尤其,通过设置安全身份信息与负反馈指令,保障请求方的为内设许可的安全身份,同时,通过负反馈指令保障了安全身份信息的真实性,加强初步认证的安全性。
尤其,对于不同的权限,设置有对应的权限允许评分,通过计算请求报文的权限评分并将其与对应的权限允许评分,并根据对比结果判定是否下放权限;对于通过初步认证的报文,总线判定其登录人员正确,通过对其请求权限进行逐一判定,使得不同权限的安全认证更加灵活化。
尤其,对于非标准报文来源登录的,通过检测当前人员以该来源登录次数与其他人员登录次数,对权限评分进行调整,保障计算结果的合理性。若请求权限越少,请求路径越少,则设定对权限评分计算补偿参数的数值越大,保障数据计算的合理性。
附图说明
图1为实施例二中数据认证传输方法的流程图;
图2为实施例三中数据认证传输方法的流程图;
图3为实施例四中数据认证传输方法的流程图。
实施方式
为了使本发明的目的和优点更加清楚明白,下面结合实施例对本发明作进一步描述;应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅仅用于解释本发明的技术原理,并非在限制本发明的保护范围。
需要说明的是,在本发明的描述中,术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系,这仅仅是为了便于描述,而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,还需要说明的是,在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可根据具体情况理解上述术语在本发明中的具体含义。
实施例一
本发明提供一种数据服务总线系统,包括:
请求数据输入端口,其与外部请求方相连,用于向系统内输送请求报文;
总线构架,其与所述请求数据输入端口相连,用于对请求报文进行分析,包括,获取请求报文中的零信任认证服务信息进行用户认证,获取请求报文中的鉴权服务信息进行应用鉴权,获取请求报文中的服务注册信息和挂载配置信息进行服务访问地址确定;
响应反馈输出端,其与所述总线构架相连,并连接外部请求方,用于向请求方输送反馈信息;
监管模块,其设置在所述总线构架内部,用于对数据服务总线系统进行数据传输监控;
所述总线构架内设置有中央处理模块。所述总线构架能够对请求报文内的信息进行分析,通过多级认证判定是否对请求报文进行运行响应,在多级认证的过程包括身份与身份负反馈认证,权限匹配认证。
通过设置多级得认证,能够使得报文请求的权限分割化,对于不同的权限采取对应的认证方式,杜绝的数据传输内容一刀切的现象,使得不同权限的安全认证更加灵活化。
进一步地,所述总线构架包括:
一级信任认证平台,其能够对所述请求报文进行初步认证,判定请求报文是否符合信息拆分需求;
二级信任认证平台,其用于对请求报文进行二次认证,判定是否对请求报文进行运行响应;
所述请求报文内定义了报文的属性信息,包含报文标识、会话标识、报文来源、报文目标、身份认证、应用自定义属性。
通过设置一级信任认证平台,使得认证更加的合理化,初步确定请求报文的信息来源是否正规合理,保障的底层安全,通过对不同的请求响应设置二级信任认证平台,使得权限认证更加具体现实,进一步使得不同权限的安全认证更加灵活化。
具体而言,所述一级信任认证平台内设置有若干安全身份信息,其在对所述请求报文进行初步认证时,获取请求报文中的身份认证信息,并将身份认证信息与内设的若干安全身份信息进行对比,
若获取的身份认证信息与安全身份信息能够匹配,所述一级信任认证平台生成匹配成功指令并传输至所述中央处理模块,中央处理模块生成初级响应回馈,并将初级响应反馈通过所述响应反馈输出端输送至请求方,在进行初级响应反馈前,通过请求报文获取请求方报文来源信息,并按照报文来源信息进行输出,所述初级响应反馈中设置有负反馈指令,当请求方接受到初级响应反馈后,负反馈指令自动触发,并传输至所述总线构架;
若所述总线构架能够接受到所述负反馈指令,所述一级信任认证平台判定请求报文通过初步认证;
若获取的身份认证信息与安全身份信息不能够匹配或若所述总线构架不能够接受到所述负反馈指令,所述一级信任认证平台判定请求报文未通过初步认证。
通过设置安全身份信息与负反馈指令,保障请求方的为内设许可的安全身份,同时,通过负反馈指令保障了安全身份信息的真实性,加强初步认证的安全性。
进一步地,对于通过初步认证的请求报文,所述二级信任认证平台对其进行二次认证;
所述中央处理模块对于任一安全身份信息其设置有不同的数据交互权限,
对于通过初步认证的请求报文,所述中央处理模块获取其报文目标信息,分析其的请求权限,
若请求报文的请求权限不在其对应的安全身份信息具有的数据交互权限内,所述中央处理模块对其请求进行暂停,并生成暂停请求指令;
若请求报文的请求权限在其对应的安全身份信息具有的数据交互权限内,所述中央处理模块计算其权限评分,并将计算结果传递至二级信任认证平台,判定是否下发权限;
若请求报文的权限评分大于等于对应的权限允许评分,所述二级信任认证平台判定二次认证通过,并下放对应的请求权限;
若请求报文的权限评分小于对应的权限允许评分,所述二级信任认证平台判定二次认证结果待定,所述中央处理模块对其请求进行暂停,并生成暂停请求指令。
所述总线构架能够授权响应若干权限,所述中央处理模块对若干权限进行编号,分别记为第一权限A1,第二权限A2,...,第N权限An,对于任一权限Ai,i=1,2,...,n,所述中央处理模块内设置有权限允许评分Bi;
若请求报文中请求调用第i权限Ai,且第i权限Ai在请求报文对应的安全身份信息具有的数据交互权限内,所述中央处理模块计算请求报文的权限评分Fz,
对于任一安全身份信息,其设置有基础调取评分Fk,安全身份信息不同,基础调取评分Fk的数值不同。
设定,Fz=Fk×α×β×γ,其中,α为报文来源信息对权限评分计算补偿参数,β为报文目标对权限评分计算补偿参数,γ为会话标识对权限评分计算补偿参数。
对于不同的权限,设置有对应的权限允许评分,通过计算请求报文的权限评分并将其与对应的权限允许评分对比,并根据对比结果判定是否下放权限;对于通过初步认证的报文,总线判定其登录人员正确,通过对其请求权限进行逐一判定,使得不同权限的安全认证更加灵活化。
对于任一安全身份信息设置有对应的标准报文来源,
若获取的报文来源信息与对应的标准报文来源相符,则设定报文来源信息对权限评分计算补偿参数α=1,
若获取的报文来源信息与对应的标准报文来源不相符,则计算报文来源信息对权限评分计算补偿参数理论值α0,设定α0=α1+h1×j1+h2×j2,其中,α1为报文来源信息对权限评分计算补偿参数基础值,h1为当前安全身份信息以获取的报文来源信息进行数据交互的次数,j1为补偿参数理论值α0的第一调节值,h2为其他安全身份信息以获取的报文来源信息进行数据交互的次数,j2为补偿参数理论值α0的第二调节值,
若α0≤1则,α=α0;
若α0>1则,α=1。
对于非标准报文来源登录的,通过检测当前人员以该来源登录次数与其他人员登录次数,对权限评分进行调整,保障计算结果的合理性。
所述报文目标内包含报文的请求权限与请求路径,任一报文目标能够包含若干个请求权限信息与请求路径信息,
若获取的报文目标内请求权限信息有X个,请求路径信息有Y个,则设定,β=β1×(X/Z1)×(Y/Z2),其中,β1为报文目标对权限评分计算补偿参数基础值,Z1为报文目标对权限评分计算补偿参数第一调节值,Z2为报文目标对权限评分计算补偿参数第二调节值。
若请求权限越少,请求路径越少,则设定对权限评分计算补偿参数的数值越大,保障数据计算的合理性。
所述会话标识内含有当前认证的安全身份信息与其它安全身份信息的对于报文目标请求的会话信息,
若其它安全身份信息对应的基础调取评分小于等于当前认证的安全身份信息的基础调取评分,则γ=1;
若其它安全身份信息对应的基础调取评分大于当前认证的安全身份信息的基础调取评分,则γ=1+Fq×q0,其中,Fq为其它安全身份信息对应的基础调取评分,q0为会话标识对权限评分计算补偿参数计算调节值;
若会话标识内含有多个其它安全身份信息,则选取其中对应的基础调取评分最大值与当前认证的安全身份信息的基础调取评分进行比较。
进一步地,所述数据服务总线系统还包括上位机,所述上位机能够对暂停请求指令进行判定,并生成临时准许指令或禁止指令,并将相应的指令传递至所述二级信任认证平台,
若所述二级信任认证平台接收到临时准许指令,二级信任认证平台判定二次认证通过,并下放对应的请求权限;
若所述二级信任认证平台接收到禁止指令,二级信任认证平台判定二次认证未通过,并终止对应请求。
进一步地,对于任一请求权限,所述中央处理模块内设置有权限允许评分,任一安全身份信息设置有对应的基础调取评分,所述中央处理模块根据基础调取评分,结合报文来源,报文目标,会话标识对请求报文的权限评分进行计算,并与其将对应的权限允许评分进行对比。
进一步地,对于任一安全身份信息设置有对应的标准报文来源,
若获取的报文来源信息并非标准报文来源,所述中央处理模块根据当前身份以获取的报文来源信息的登录次数,结合其他身份以获取的报文来源信息的登录次数对权限评分进行调节。
所述请求方提交服务请求报文,数据服务总线对接入方式进行受理包括:
请求方提交服务请求报文,数据服务总线受理请求并鉴别请求方令牌和服务访问权限。请求报文格式要求:数据服务总线报文由报文头和报文体组成,其中:报文头中定义了报文的属性信息,包含报文标识、会话标识、报文来源、报文目标、身份认证、应用自定义属性信息,用于数据服务总线进行路由调度、访问控制等运行时决策;报文体是数据服务总线传输的负载,包括服务请求内容、服务响应内容;
数据服务总线按要求提供请求方协议适配,应支持同步、异步两种接入方式。
具体而言,所述数据服务总线应按要求提供请求方协议适配包括:
支持主流消息协议: JSON、XML、HTTP;
支持主流传输协议: HTTP、HTTPS、FTP、FTPS、SFTP;
支持通过文件共享的形式,与请求方约定安全的本地或网络文件目录,实现报文交换;
支持自定义协议的扩展接入。
具体而言,所述数据服务总线支持接入方式包括:
支持请求方同步等待服务响应返回;
支持请求方异步向数据服务总线轮询服务响应和数据服务总线回调请求方的异步接入方式。
具体而言,所述数据服务总线根据服务注册信息和挂载配置信息,确定服务访问地址的步骤包括:
数据服务总线的数据服务在服务资源目录注册;
数据服务总线调用服务资源目录的查询服务,获取数据服务资源描述信息,实现数据服务资源的定位和寻址;
对挂载到数据服务总线上的服务进行统一配置管理,支持动态修改配置信息、动态加载配置信息等实现服务配置管理可视化;
由数据服务总线根据服务注册信息和挂载配置信息,确定路由的下一跳,当下一跳为:总线服务节点时,直接将请求报文头、报文体原样转发;当下一跳为:当为服务方时查询服务规约和服务资源目录确定服务地址和消息协议,根据消息协议对请求报文和响应报文进行转换,当为多个服务地址时,进行负载均衡,发起服务调用。
具体而言,所述数据服务总线调用零信任认证服务和鉴权服务做用户认证和应用鉴权包括:
数据服务总线应对请求方、服务方的令牌进行鉴别,并对请求方的服务资源访问权限进行鉴权;
数据服务总线应要求请求方携带服务使用者的令牌,并对令牌进行鉴别,对服务使用者的服务资源访问权限进行鉴权。
具体而言,所述数据服务总线根据服务方要求转换对应的消息协议或传输协议包括:
支持数据服务总线报文在不同消息协议、不同传输协议之间自动转换;
示例1:将报文从请求服务协议转换为 JSON协议;
示例2:将报文从 HTTP 传输转换为 FTP 传输。
具体而言,所述数据服务总线具备监控功能包括:
支持对数据服务总线运行情况进行监控;
支持采集数据服务总线的系统日志和操作日志;
支持采集服务会话日志,日志采集点包括:报文接收;认证与鉴权;目录查询;报文转换;报文发送;日志内容包括:时间、节点标识、报文头,遵循运维、审计的有关日志采集标准;
提供数据服务总线节点的新增、更新、启停查询等功能,支持节点的负载均衡、互备容灾;
支持请求方、服务方IP网段的挂载配置;
支持日志对账,记录请求方和服务方可记录请求提交、请求接收、响应返回、响应接收等关键环节的日志,便于进行服务调用对账。
具体而言,所述数据服务总线支持主流消息协议语法要求包括:
xml类型接口的元素信息描述:xml标签MESSAGE、DATASET、DATA、CONDITION、ITEM;
xml类型接口的各属性信息描述:item及DATASET、CONDITION属性;
xml类型接口的取值定义描述:CONDITION的rel取值、ITEM的fmt取值;
json类型接口的内容:sql指sql where 条件语后面的字符串,内容应符合SQL2016 标准对 where-clause的定义;resource描述数据资源结构体。
具体而言,所述数据服务总线数据传输要求包括:
数据服务的文件传输格式采用非压缩的标准ZIP格式文件;
文件名由数据发送方标识、数据接收方标识、生成该文件的绝对秒数时间、序列号和自定义业务标识五部分组成,各组成部分之间使用下划线“_”连接,文件后为“.zip”文件名总长度不能超过255个字符文件名采用ASCI码符集;文件名命名表示如下:数据发送方标识_数据接收方标识_绝对秒数时间_序列号_自定义业标.zip;
ZIP文件采用非压缩的标准 ZI 格式的文件,包括一个索引文件,多个数据文件,以及数据文所需的附属文件。索引文件对数据文件的元数据信息进行描述;数据文件是以结构化形式对数据内容进行描述;附属文件可以是任意格式的文件,文件路径在数据文件中描述。
具体而言,所述数据服务总线支持请求方、服务方IP网段的挂载配置步骤包括:
添加呼应的发送服务和接收服务挂载配置条件:包含:节点IP,挂载条件(请求方/服务方标识符、请求方/服务方标识符前缀,请求方/服务方IP,目标服务URL地址),挂载节点信息类型(节点应用识别标识符、节点服务URL地址),优先级,是否启用; 添加成功后3分钟生效;
数据服务总线节点的应用系统编号与服务资源目录的服务所对应的服务编号不一致时会查询挂载配置;当请求满足挂载配置的条件时可访问成功;不满足时访问失败。
实施例
请参阅图1所述,本发明还提供了一种数据认证传输方法,基于上述的数据服务总线系统,包括:
S1:请求方发送请求,数据服务总线进行请求受理;
S2:数据服务总线调用零信任进行请求认证和鉴权;
S3:认证和鉴权通过后,数据服务总线调用服务资源目录进行查询,确认服务访问地址,确认总线节点是否是服务中介,当是服务中介时,直接将请求报文头、报文体原样转发;若非服务中介时,则走挂载配置;
S4:数据服务总线根据服务方要求进行消息协议或传输协议转换;
S5:数据服务总线调用DAAS数据服务,服务方返回服务响应,服务总线通过零信任体系鉴别服务方令牌,并进行路由和必要的协议转换,转发给请求方。
实施例
请参阅图2所述,本发明还提供了一种数据认证传输方法,基于上述的数据服务总线系统,包括:
S1:请求方发送请求,数据服务总线进行请求受理;
S2:受理异步响应,返回响应信息,含会话流水号;
S3:数据服务总线调用零信任进行请求认证和鉴权;
S4:认证和鉴权通过后,数据服务总线调用服务资源目录进行查询,确认服务访问地址,确认总线节点是否是服务中介,当是服务中介时,直接将请求报文头、报文体原样转发;若非服务中介时,则走挂载配置;
S5:数据服务总线根据服务方要求进行消息协议或传输协议转换;
S6:数据服务总线调用DAAS数据服务,服务方返回服务响应,服务总线通过零信任体系鉴别服务方令牌,并进行路由,将响应报文缓存;
S7:轮询接口定时扫描响应报文缓存,查看对应会话流水号的缓存,是否返回响应结果,若返回,则将结果提取返回给请求方。
实施例
请参阅图3所述,本发明还提供了一种数据认证传输方法,基于上述的数据服务总线系统,包括:
S1:请求方发送请求,已告知回调ID,数据服务总线进行请求受理;
S2:数据服务总线调用零信任进行请求认证和鉴权;
S3:认证和鉴权通过后,数据服务总线调用服务资源目录进行查询,确认服务访问地址,确认总线节点是否是服务中介,当是服务中介时,直接将请求报文头、报文体原样转发;若非服务中介时,则走挂载配置;
S4:数据服务总线根据服务方要求进行消息协议或传输协议转换;
S5:数据服务总线对请求受理成功响应;
S6:数据服务总线调用DAAS数据服务,数据服务通过回调响应进行调用处理;
S7:请求方回调服务响应数据服务回调成功进行响应处理;
S8:服务方返回服务响应,服务总线通过零信任体系鉴别服务方令牌,并进行路由和必要的协议转换,返回给请求方
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述仅为本发明的优选实施例,并不用于限制本发明;对于本领域的技术人员来说,本发明可以有各种更改和变化。 凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种数据服务总线系统,其特征在于,包括:
请求数据输入端口,其与外部请求方相连,用于向系统内输送请求报文;
总线构架,其与所述请求数据输入端口相连,用于对请求报文进行分析,包括,获取请求报文中的零信任认证服务信息进行用户认证,获取请求报文中的鉴权服务信息进行应用鉴权,获取请求报文中的服务注册信息和挂载配置信息进行服务访问地址确定;
响应反馈输出端,其与所述总线构架相连,并连接外部请求方,用于向请求方输送反馈信息;
监管模块,其设置在所述总线构架内部,用于对数据服务总线系统进行数据传输监控;
所述总线构架内设置有中央处理模块;
所述请求报文内定义了报文的属性信息,包含报文标识、会话标识、报文来源、报文目标、身份认证、应用自定义属性;
所述总线构架能够对请求报文内的信息进行分析,通过多级认证判定是否对请求报文进行运行响应,多级认证的过程包括身份与身份负反馈认证,权限匹配认证。
2.根据权利要求1所述的数据服务总线系统,其特征在于,所述总线构架包括:
一级信任认证平台,其能够对所述请求报文进行初步认证,判定请求报文是否符合信息拆分需求;
二级信任认证平台,其用于对请求报文进行二次认证,判定是否对请求报文进行运行响应。
3.根据权利要求2所述的数据服务总线系统,其特征在于,所述一级信任认证平台内设置有若干安全身份信息,其在对所述请求报文进行初步认证时,获取请求报文中的身份认证信息,并将身份认证信息与内设的若干安全身份信息进行对比,
若获取的身份认证信息与安全身份信息能够匹配,所述一级信任认证平台生成匹配成功指令并传输至所述中央处理模块,中央处理模块生成初级响应回馈,并将初级响应反馈通过所述响应反馈输出端输送至请求方,在进行初级响应反馈前,通过请求报文获取请求方报文来源信息,并按照报文来源信息进行输出,所述初级响应反馈中设置有负反馈指令,当请求方接受到初级响应反馈后,负反馈指令自动触发,并传输至所述总线构架;
若所述总线构架能够接受到所述负反馈指令,所述一级信任认证平台判定请求报文通过初步认证;
若获取的身份认证信息与安全身份信息不能够匹配或若所述总线构架不能够接受到所述负反馈指令,所述一级信任认证平台判定请求报文未通过初步认证。
4.根据权利要求3所述的数据服务总线系统,其特征在于,对于通过初步认证的请求报文,所述二级信任认证平台对其进行二次认证;
所述中央处理模块对于任一安全身份信息其设置有不同的数据交互权限,
对于通过初步认证的请求报文,所述中央处理模块获取其报文目标信息,分析其的请求权限,
若请求报文的请求权限不在其对应的安全身份信息具有的数据交互权限内,所述中央处理模块对其请求进行暂停,并生成暂停请求指令;
若请求报文的请求权限在其对应的安全身份信息具有的数据交互权限内,所述中央处理模块计算其权限评分,并将计算结果传递至二级信任认证平台,判定是否下发权限;
若请求报文的权限评分大于等于对应的权限允许评分,所述二级信任认证平台判定二次认证通过,并下放对应的请求权限;
若请求报文的权限评分小于对应的权限允许评分,所述二级信任认证平台判定二次认证结果待定,所述中央处理模块对其请求进行暂停,并生成暂停请求指令。
5.根据权利要求4所述的数据服务总线系统,其特征在于,所述数据服务总线系统还包括上位机,所述上位机能够对暂停请求指令进行判定,并生成临时准许指令或禁止指令,并将相应的指令传递至所述二级信任认证平台,
若所述二级信任认证平台接收到临时准许指令,二级信任认证平台判定二次认证通过,并下放对应的请求权限;
若所述二级信任认证平台接收到禁止指令,二级信任认证平台判定二次认证未通过,并终止对应请求。
6.根据权利要求5所述的数据服务总线系统,其特征在于,对于任一请求权限,所述中央处理模块内设置有权限允许评分,任一安全身份信息设置有对应的基础调取评分,所述中央处理模块根据基础调取评分,结合报文来源,报文目标,会话标识对请求报文的权限评分进行计算,并与其将对应的权限允许评分进行对比。
7.根据权利要求6所述的数据服务总线系统,其特征在于,
对于任一安全身份信息设置有对应的标准报文来源,
若获取的报文来源信息并非标准报文来源,所述中央处理模块根据当前身份以获取的报文来源信息的登录次数,结合其他身份以获取的报文来源信息的登录次数对权限评分进行调节。
8.根据权利要求6所述的数据服务总线系统,其特征在于,所述报文目标内包含报文的请求权限与请求路径,任一报文目标能够包含若干个请求权限信息与请求路径信息,所述中央处理模块根据报文目标内请求权限信息个数与请求路径信息个数对权限评分进行调节。
9.根据权利要求6所述的数据服务总线系统,其特征在于,所述会话标识内含有当前认证的安全身份信息与其它安全身份信息的对于报文目标请求的会话信息,所述中央处理模块根据当前认证的安全身份信息对应的基础调取评分与其它安全身份信息的基础调取评分的大小关系,确定是否对权限评分进行调节;若会话标识内含有多个其它安全身份信息,则选取其中对应的基础调取评分最大值与当前认证的安全身份信息的基础调取评分进行比较。
10.一种数据认证传输方法,基于权利要求1-9任一项所述的数据服务总线系统,其特征在于,包括:
S1:请求方发送请求,数据服务总线进行请求受理;
S2:数据服务总线调用零信任进行请求认证和鉴权;
S3:认证和鉴权通过后,数据服务总线调用服务资源目录进行查询,确认服务访问地址,确认总线节点是否是服务中介,当是服务中介时,直接将请求报文头、报文体原样转发;若非服务中介时,则走挂载配置;
S4:数据服务总线根据服务方要求进行消息协议或传输协议转换;
S5:数据服务总线调用DAAS数据服务,服务方返回服务响应,服务总线通过零信任体系鉴别服务方令牌,并进行路由和必要的协议转换,转发给请求方。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311754422.3A CN117436053B (zh) | 2023-12-20 | 2023-12-20 | 一种数据服务总线系统及数据认证传输方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311754422.3A CN117436053B (zh) | 2023-12-20 | 2023-12-20 | 一种数据服务总线系统及数据认证传输方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117436053A true CN117436053A (zh) | 2024-01-23 |
CN117436053B CN117436053B (zh) | 2024-02-23 |
Family
ID=89546590
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311754422.3A Active CN117436053B (zh) | 2023-12-20 | 2023-12-20 | 一种数据服务总线系统及数据认证传输方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117436053B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130061285A1 (en) * | 2011-09-01 | 2013-03-07 | Verizon Patent And Licensing Inc. | Method and system for providing behavioral bi-directional authentication |
CN103117983A (zh) * | 2011-11-16 | 2013-05-22 | 中国移动通信集团公司 | 数据服务请求应答方法和数据服务协议栈 |
CN108306866A (zh) * | 2018-01-16 | 2018-07-20 | 厦门明延科技有限公司 | 一种企业服务总线平台及数据分析方法 |
CN113569285A (zh) * | 2021-07-26 | 2021-10-29 | 长春吉大正元信息安全技术有限公司 | 身份认证与鉴权的方法、装置、系统、设备及存储介质 |
CN113765713A (zh) * | 2021-08-27 | 2021-12-07 | 夏文祥 | 一种基于物联网设备采集的数据交互方法 |
CN115396234A (zh) * | 2022-10-25 | 2022-11-25 | 广州万协通信息技术有限公司 | 安全芯片的远程obd数据诊断权限管理方法及安全芯片装置 |
CN115563591A (zh) * | 2021-07-02 | 2023-01-03 | 腾讯科技(深圳)有限公司 | 数据访问方法、节点和级联中心 |
CN115622803A (zh) * | 2022-12-02 | 2023-01-17 | 北京景安云信科技有限公司 | 基于协议分析的权限控制系统及方法 |
-
2023
- 2023-12-20 CN CN202311754422.3A patent/CN117436053B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130061285A1 (en) * | 2011-09-01 | 2013-03-07 | Verizon Patent And Licensing Inc. | Method and system for providing behavioral bi-directional authentication |
CN103117983A (zh) * | 2011-11-16 | 2013-05-22 | 中国移动通信集团公司 | 数据服务请求应答方法和数据服务协议栈 |
CN108306866A (zh) * | 2018-01-16 | 2018-07-20 | 厦门明延科技有限公司 | 一种企业服务总线平台及数据分析方法 |
CN115563591A (zh) * | 2021-07-02 | 2023-01-03 | 腾讯科技(深圳)有限公司 | 数据访问方法、节点和级联中心 |
CN113569285A (zh) * | 2021-07-26 | 2021-10-29 | 长春吉大正元信息安全技术有限公司 | 身份认证与鉴权的方法、装置、系统、设备及存储介质 |
CN113765713A (zh) * | 2021-08-27 | 2021-12-07 | 夏文祥 | 一种基于物联网设备采集的数据交互方法 |
CN115396234A (zh) * | 2022-10-25 | 2022-11-25 | 广州万协通信息技术有限公司 | 安全芯片的远程obd数据诊断权限管理方法及安全芯片装置 |
CN115622803A (zh) * | 2022-12-02 | 2023-01-17 | 北京景安云信科技有限公司 | 基于协议分析的权限控制系统及方法 |
Non-Patent Citations (1)
Title |
---|
胡文 等;: "智能网联汽车的多级安全防护方案设计和分析", 网络安全技术与应用, no. 02, 15 February 2017 (2017-02-15), pages 136 - 138 * |
Also Published As
Publication number | Publication date |
---|---|
CN117436053B (zh) | 2024-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3389219A1 (en) | Access request conversion method and device | |
US8879099B2 (en) | Printing system and method including authentication and owner name acquisition | |
US8495155B2 (en) | Enterprise management of public instant message communications | |
CN102082771B (zh) | 一种基于esb技术的服务管理中间件 | |
CN112788031B (zh) | 基于Envoy架构的微服务接口认证系统、方法及装置 | |
CN106375270B (zh) | 令牌生成并认证的方法及认证服务器 | |
US20070136361A1 (en) | Method and apparatus for providing XML signature service in wireless environment | |
US20050234928A1 (en) | Synchronous interface to asynchronous processes | |
CN112055024A (zh) | 权限校验方法及装置、存储介质和电子设备 | |
CN102638454A (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
US7496949B2 (en) | Network system, proxy server, session management method, and program | |
US20090204810A1 (en) | Architecture and Design for Central Authentication and Authorization in an On-Demand Utility Environment | |
US20070143481A1 (en) | Method and apparatus for communicating data between computer devices | |
CN111240862A (zh) | 一种通用接口平台以及数据转换方法 | |
CN101331740B (zh) | 利用宏支持来外部化http安全消息处理的方法和系统 | |
CN117436053B (zh) | 一种数据服务总线系统及数据认证传输方法 | |
JP2009217522A (ja) | 個人属性情報提供システムおよび個人属性情報提供方法 | |
CN115550061B (zh) | 基于区块链的数据传输方法、装置、电子设备和存储介质 | |
CN112335215A (zh) | 用于将终端设备联接到可联网的计算机基础设施中的方法 | |
CN113342845B (zh) | 数据同步方法、计算机设备及可读存储介质 | |
CN110636071B (zh) | 一种接口对接方法 | |
JP2003006162A (ja) | 認証アプリケーションサービスシステム | |
KR20170127096A (ko) | 이기종 플랫폼 간의 데이터 연계 시스템 | |
US7752293B1 (en) | Command processing in a telecommunications network | |
CN111901437B (zh) | 一种消息传输方法、装置和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |