CN117478744A - 进程通信方法、装置、计算机、存储介质及程序产品 - Google Patents

进程通信方法、装置、计算机、存储介质及程序产品 Download PDF

Info

Publication number
CN117478744A
CN117478744A CN202210867426.1A CN202210867426A CN117478744A CN 117478744 A CN117478744 A CN 117478744A CN 202210867426 A CN202210867426 A CN 202210867426A CN 117478744 A CN117478744 A CN 117478744A
Authority
CN
China
Prior art keywords
request
key
service
policy
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210867426.1A
Other languages
English (en)
Inventor
吴岳廷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202210867426.1A priority Critical patent/CN117478744A/zh
Publication of CN117478744A publication Critical patent/CN117478744A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请实施例公开了一种进程通信方法、装置、计算机、存储介质及程序产品,涉及云技术领域的数据传输技术,该方法包括:接收请求进程所发送的服务调用请求,获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略;基于目标安全访问策略获取请求进程的第一策略请求信息,当基于目标安全访问策略与第一策略请求信息,对请求进程验证通过时,获取请求进程与目标进程接口之间的密钥访问方式;基于密钥访问方式对服务调用请求所对应的响应结果进行转换处理,得到业务响应数据,将业务响应数据发送至请求进程;密钥访问方式用于表示对响应结果的加密方式。采用本申请,可以提高进程间通信的安全性及灵活性。

Description

进程通信方法、装置、计算机、存储介质及程序产品
技术领域
本申请涉及计算机技术领域,尤其涉及一种进程通信方法、装置、计算机、存储介质及程序产品。
背景技术
在进行数据传输时,经常会出现进程间的通信,一般情况下,在不同进程间进行数据通信时,可能会出现数据泄漏的情况。目前,一般通过固定密钥加固进程间的通信过程,该方式是在作为服务提供进程的模块内预置密钥,通过使用单项散列函数针对共享密钥以及参数组合而成的内容生成哈希值,作为进程间调用的网络访问凭据,而由于几乎所有的加密散列函数都可能存在哈希长度扩展漏洞,因此可能导致进程间通信的安全性较低。而且,在需要更新共享密钥时,只能通过更新版本的方式,导致进程通信的灵活性较差。
发明内容
本申请实施例提供了一种进程通信方法、装置、计算机、存储介质及程序产品,可以提高进程通信的安全性及灵活性。
本申请实施例一方面提供了一种进程通信方法,该方法包括:
接收请求进程所发送的服务调用请求,获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略;
基于目标安全访问策略获取请求进程的第一策略请求信息,当基于目标安全访问策略与第一策略请求信息,对请求进程验证通过时,获取请求进程与目标进程接口之间的密钥访问方式;
基于密钥访问方式对服务调用请求所对应的响应结果进行转换处理,得到业务响应数据,将业务响应数据发送至请求进程;密钥访问方式用于表示对响应结果的加密方式。
其中,获取请求进程与目标进程接口之间的第一动态密钥,包括:
从请求进程的请求进程缓存中获取与目标进程接口之间的第一动态密钥;
若未查找到与目标进程接口之间的第一动态密钥,则向目标进程接口发送密钥获取请求,基于密钥获取请求获取由目标进程接口所发送的第一动态密钥。
其中,该方法还包括:
当基于目标安全访问策略与第一策略请求信息,对请求进程验证失败时,基于服务提供进程向请求进程发送响应错误提示消息;服务提供进程包括目标进程接口。
本申请实施例一方面提供了一种进程通信方法,该方法包括:
获取由服务提供进程所发送的目标安全访问策略与第一策略请求信息,基于目标安全访问策略对第一策略请求信息进行检测,得到检测结果;目标安全访问策略是指服务调用请求所调用的目标进程接口针对请求进程的策略;服务调用请求是由请求进程所产生的;服务提供进程包括目标进程接口;第一策略请求信息是基于目标安全访问策略获取到的请求进程的信息;
将检测结果发送至服务提供进程,以使服务提供进程在检测结果指示对请求进程验证通过时,向请求进程发送业务响应数据;业务响应数据是根据请求进程与目标进程接口之间的密钥访问方式,对服务调用请求所对应的响应结果进行转换处理所得到的。
其中,检测目标安全访问策略的策略有效性,包括:
获取目标安全访问策略的策略有效时间段,获取系统网络时间,若系统网络时间属于策略有效时间段,则确定目标安全访问策略为有效策略,若系统网络时间不属于策略有效时间段,则确定目标安全访问策略为无效策略;或者,
获取目标安全访问策略的有效策略复用次数及历史策略复用次数,若历史策略复用次数小于有效策略复用次数,则确定目标安全访问策略为有效策略,若历史策略复用次数大于或等于有效策略复用次数,则确定目标安全访问策略为无效策略;或者,
获取目标进程接口针对请求进程的第一安全访问策略,若目标安全访问策略与第一安全访问策略一致,则确定目标安全访问策略为有效策略,若目标安全访问策略与第一安全访问策略不一致,则确定目标安全访问策略为无效策略;第一安全访问策略是指与目标进程接口及请求进程相关联的安全访问策略中,存储时间最大的安全访问策略。
本申请实施例一方面提供了一种进程通信装置,该装置包括:
请求接收模块,用于接收请求进程所发送的服务调用请求;
策略获取模块,用于获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略;
信息获取模块,用于基于目标安全访问策略获取请求进程的第一策略请求信息;
访问确定模块,用于当基于目标安全访问策略与第一策略请求信息,对请求进程验证通过时,获取请求进程与目标进程接口之间的密钥访问方式;
数据转换模块,用于基于密钥访问方式对服务调用请求所对应的响应结果进行转换处理,得到业务响应数据;
响应发送模块,用于将业务响应数据发送至请求进程;密钥访问方式用于表示对响应结果的加密方式。
其中,该请求接收模块,包括:
请求方式确定单元,用于通过请求进程获取目标进程接口的进程请求方式;进程请求方式是由请求进程与目标进程接口之间协商的;
动态获取单元,用于若进程请求方式为动态密钥请求方式,则获取请求进程与目标进程接口之间的第一动态密钥;
动态请求单元,用于采用第一动态密钥对调用参数进行加密处理,得到动态加密参数,向服务提供进程发送携带动态加密参数的服务调用请求,通过服务提供进程接收请求进程所发送的服务调用请求;服务提供进程包括目标进程接口;
静态请求单元,用于若进程请求方式为静态密钥请求方式,则获取服务提供进程所对应的服务固定密钥,采用服务固定密钥对调用参数进行加密处理,得到静态加密参数,向服务提供进程发送携带静态加密参数的服务调用请求,通过服务提供进程接收请求进程所发送的服务调用请求;
明文请求单元,用于若进程请求方式为明文请求方式,则通过请求进程向服务提供进程发送携带调用参数的服务调用请求,通过服务提供进程接收请求进程所发送的服务调用请求。
其中,该动态获取单元,包括:
密钥获取子单元,用于从请求进程的请求进程缓存中获取与目标进程接口之间的第一动态密钥;
密钥请求子单元,用于若未查找到与目标进程接口之间的第一动态密钥,则向目标进程接口发送密钥获取请求,基于密钥获取请求获取由目标进程接口所发送的第一动态密钥。
其中,该策略获取模块,包括:
文件获取单元,用于获取请求进程所对应的请求存储路径,从请求存储路径中获取请求进程所对应的第一文件修改时间;第一文件修改时间是指请求进程所对应的文件修改时间中最大的文件修改时间;
标识生成单元,用于根据请求存储路径与第一文件修改时间,生成请求进程所对应的进程标识;
标识确定单元,用于基于进程标识,获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略;服务提供进程包括目标进程接口。
其中,该策略获取模块,包括:
类型获取单元,用于获取请求进程所对应的请求进程信息,对请求进程信息进行解析,得到请求进程的进程类型;
类型确定单元,用于获取服务调用请求所调用的目标进程接口针对进程类型的目标安全访问策略。
其中,该信息获取模块,具体用于:
从目标安全访问策略中获取访问参数类型,获取请求进程在访问参数类型下的参数数据,将参数数据确定为请求进程的第一策略请求信息;
该装置还包括:
检测请求模块,用于将第一策略请求信息及目标安全访问策略,发送至服务提供进程所对应的服务管理设备,以使服务管理设备基于目标安全访问策略对第一策略请求信息进行检测,在第一策略请求信息满足目标安全访问策略的进程访问条件时,确定对请求进程验证通过。
其中,该访问确定模块,包括:
访问方式确定单元,用于从目标安全访问策略中,获取请求进程与目标进程接口之间的密钥访问方式;或者,
该访问方式确定单元,还用于获取目标进程接口所关联的接口数据,对接口数据进行解析,得到接口数据的数据敏感度,将数据敏感度对应的加密方式,确定为请求进程与目标进程接口之间的密钥访问方式。
其中,该数据转换模块,包括:
动态响应单元,用于若密钥访问方式为动态密钥访问方式,则获取请求进程与目标进程接口之间的第一动态密钥,采用第一动态密钥对服务调用请求所对应的响应结果进行加密处理,得到业务响应数据;
静态响应单元,用于若密钥访问方式为静态密钥访问方式,则获取请求进程所对应的请求固定密钥,采用请求固定密钥对响应结果进行加密处理,得到业务响应数据;
明文响应单元,用于若密钥访问方式为明文访问方式,则将响应结果确定为业务响应数据。
其中,该装置还包括:
错误提示模块,用于当基于目标安全访问策略与第一策略请求信息,对请求进程验证失败时,基于服务提供进程向请求进程发送响应错误提示消息;服务提供进程包括目标进程接口。
其中,该装置还包括:
参数获取模块,用于当接收到密钥更新消息时,获取服务管理设备所发送的第一随机参数,通过服务提供进程生成第二随机参数;服务提供进程包括目标进程接口;
密钥生成模块,用于根据第一随机参数与第二随机参数,生成请求进程与目标进程接口之间的第二动态密钥;
密钥反馈模块,用于将第二动态密钥发送至请求进程,接收请求进程基于第二动态密钥重新发送的服务调用请求。
其中,该装置还包括:
关联管理模块,用于获取第二动态密钥的密钥哈希值,将密钥哈希值、请求进程及目标进程接口之间的关联关系发送至服务管理设备;关联关系用于在请求进程与目标进程接口之间的密钥访问方式为动态密钥访问方式时,服务管理设备对服务调用请求进行检测。
其中,服务调用请求携带加密参数;该装置还包括:
参数解密模块,用于获取针对加密参数的第一服务密钥,采用第一服务密钥对加密参数进行解密处理;
响应获取模块,用于若对加密参数解密成功,则根据对加密参数解密得到的调用参数,获取服务调用请求所对应的响应结果,执行基于密钥访问方式对服务调用请求所对应的响应结果进行转换处理,得到业务响应数据的过程;
密钥重置模块,用于若对加密参数解密失败,则向请求进程发送密钥重置指令,通过请求进程生成随机密钥对,将随机密钥对中的随机公钥发送至服务提供进程,在服务提供进程中,采用随机公钥对第二服务密钥进行加密处理,得到密钥加密数据,将密钥加密数据发送至请求进程中,在请求进程中,采用随机密钥对中的随机私钥对密钥加密数据进行解密,得到第二服务密钥,采用第二服务密钥对调用参数进行重新加密,得到更新加密参数,基于更新加密参数向服务提供进程重新发送服务调用请求;服务提供进程包括目标进程接口;第一服务密钥与第二服务密钥组成密钥对。
本申请实施例一方面提供了一种进程通信装置,该装置包括:
数据接收模块,用于获取由服务提供进程所发送的目标安全访问策略与第一策略请求信息;
数据检测模块,用于基于目标安全访问策略对第一策略请求信息进行检测,得到检测结果;目标安全访问策略是指服务调用请求所调用的目标进程接口针对请求进程的策略;服务调用请求是由请求进程所产生的;服务提供进程包括目标进程接口;第一策略请求信息是基于目标安全访问策略获取到的请求进程的信息;
检测反馈模块,用于将检测结果发送至服务提供进程,以使服务提供进程在检测结果指示对请求进程验证通过时,向请求进程发送业务响应数据;业务响应数据是根据请求进程与目标进程接口之间的密钥访问方式,对服务调用请求所对应的响应结果进行转换处理所得到的。
其中,该数据检测模块,包括:
策略检测单元,用于检测目标安全访问策略的策略有效性;
策略更新单元,用于若目标安全访问策略为无效策略,则获取目标进程接口针对请求进程的第一安全访问策略,将第一安全访问策略发送至服务提供进程,以使服务提供进程基于第一安全访问策略获取请求进程的第二策略请求信息;
信息检测单元,用于获取服务提供进程所发送的第二策略请求信息,基于第一安全访问策略对第二策略请求信息进行检测,得到检测结果。
其中,该策略检测单元,包括:
时间检测子单元,用于获取目标安全访问策略的策略有效时间段,获取系统网络时间,若系统网络时间属于策略有效时间段,则确定目标安全访问策略为有效策略,若系统网络时间不属于策略有效时间段,则确定目标安全访问策略为无效策略;或者,
复用检测子单元,用于获取目标安全访问策略的有效策略复用次数及历史策略复用次数,若历史策略复用次数小于有效策略复用次数,则确定目标安全访问策略为有效策略,若历史策略复用次数大于或等于有效策略复用次数,则确定目标安全访问策略为无效策略;或者,
策略匹配子单元,用于获取目标进程接口针对请求进程的第一安全访问策略,若目标安全访问策略与第一安全访问策略一致,则确定目标安全访问策略为有效策略,若目标安全访问策略与第一安全访问策略不一致,则确定目标安全访问策略为无效策略;第一安全访问策略是指与目标进程接口及请求进程相关联的安全访问策略中,存储时间最大的安全访问策略。
其中,目标安全访问策略包括安全访问路径,第一策略请求信息包括请求进程的请求存储路径;
该数据检测模块,包括:
第一检测单元,用于若请求存储路径属于安全访问路径,则将检测成功结果确定为对请求进程的检测结果;
第二检测单元,用于若请求存储路径不属于安全访问路径,则将检测失败结果确定为针对请求进程的检测结果。
其中,目标安全访问策略包括安全访问特征;该数据检测模块,包括:
特征获取单元,用于从第一策略请求信息中获取与安全访问特征相关联的请求进程特征;
该第一检测单元,还用于若请求进程特征符合安全访问特征,则将检测成功结果确定为对请求进程的检测结果;
该第二检测单元,还用于若请求存储路径不符合安全访问特征,则将检测失败结果确定为针对请求进程的检测结果。
其中,该装置还包括:
密钥检测模块,用于若检测结果为检测成功结果,则获取请求进程与目标进程接口之间的第一动态密钥,检测第一动态密钥的有效性;
无效更新模块,用于若第一动态密钥为无效密钥,则向服务提供进程发送密钥更新消息,密钥更新消息包括第一随机参数,以使服务提供进程基于第一随机参数及生成的第二随机参数,生成请求进程与目标进程接口之间的第二动态密钥;第二动态密钥用于请求进程与目标进程接口之间进行通信;
发送触发模块,用于若第一动态密钥为有效密钥,则执行将检测结果发送至服务提供进程的过程。
本申请实施例一方面提供了一种计算机设备,包括处理器、存储器、输入输出接口;
处理器分别与存储器和输入输出接口相连,其中,输入输出接口用于接收数据及输出数据,存储器用于存储计算机程序,处理器用于调用该计算机程序,以使包含该处理器的计算机设备执行本申请实施例一方面中的进程通信方法。
本申请实施例一方面提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,该计算机程序适于由处理器加载并执行,以使得具有该处理器的计算机设备执行本申请实施例一方面中的进程通信方法。
本申请实施例一方面提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行本申请实施例一方面中的各种可选方式中提供的方法。换句话说,该计算机指令被处理器执行时实现本申请实施例一方面中的各种可选方式中提供的方法。
实施本申请实施例,将具有如下有益效果:
在本申请实施例中,业务设备可以接收请求进程所发送的服务调用请求,获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略;基于目标安全访问策略获取请求进程的第一策略请求信息,当基于目标安全访问策略与第一策略请求信息,对请求进程验证通过时,获取请求进程与目标进程接口之间的密钥访问方式;基于密钥访问方式对服务调用请求所对应的响应结果进行转换处理,得到业务响应数据,将业务响应数据发送至请求进程;密钥访问方式用于表示对响应结果的加密方式。通过以上过程,部署了针对进程间通信的安全访问策略,该安全访问策略用于表示各个进程之间的通信要求,在请求进程与目标进程接口之间需要进行通信时,可以基于两者之间的目标安全访问策略,对请求进程与目标进程接口之间的通信安全进行检测,以提高进程通信的安全性,同时,请求进程与目标进程接口之间协商有密钥访问方式,使得可以基于需求,在不同的进程通信中采用不同的密钥访问方式,从而可以灵活管理进程间通信的加密方式,使得可以在保障进程通信安全的情况下,提高进程间通信的灵活性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a是本申请实施例提供的一种进程通信的网络交互架构图;
图1b是本申请实施例提供的另一种进程通信的网络交互架构图;
图2是本申请实施例提供的一种进程通信场景示意图;
图3是本申请实施例提供的一种进程通信的方法流程图;
图4是本申请实施例提供的另一种进程通信的方法流程图;
图5是本申请实施例提供的一种策略配置场景示意图;
图6是本申请实施例提供的一种进程通信交互流程示意图;
图7是本申请实施例提供的一种进程通信装置示意图;
图8是本申请实施例提供的另一种进程通信装置示意图;
图9是本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
其中,若在本申请中需要收集对象(如用户等)数据,则在收集前、收集中,显示提示界面或者弹窗,该提示界面或者弹窗用于提示用户当前正在搜集A数据,仅仅在获取到用户对该提示界面或者弹窗发出确认操作后,开始执行数据获取的相关的步骤,否则结束。而且,对于获取到的用户数据,会在合理合法的场景或用途等上进行使用。可选的,在一些需要使用用户数据但未得到用户授权的场景中,还可以向用户请求授权,在授权通过时,再使用用户数据。
可选的,本申请可以采用大数据领域中的数据传输等技术,实现进程间的通信。
其中,大数据(Big data)是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。随着云时代的来临,大数据也吸引了越来越多的关注,大数据需要特殊的技术,以有效地处理大量的容忍经过时间内的数据。适用于大数据的技术,包括大规模并行处理数据库、数据挖掘、分布式文件系统、分布式数据库、云计算平台、互联网和可扩展的存储系统。
可选的,本申请可以适用于云安全领域等。云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
在本申请实施例中,请参见图1a,图1a是本申请实施例提供的一种进程通信的网络交互架构图。其中,本申请中所实现的进程间通信可以是同一个设备中的进程间通信,如图1a所示,业务设备101可以通过请求进程向服务提供进程发送服务调用请求,通过服务提供进程获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略。其中,一个进程中可以包括一个或至少两个进程接口,该服务提供进程包括目标进程接口。也就是说,在业务设备101中,请求进程可以向服务提供进程发送服务调用请求,服务提供进程可以获取该服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略。进一步地,业务设备101可以获取该服务提供进程所对应的服务管理设备,向服务管理设备发送针对请求进程的访问检测请求,服务管理设备可以基于该目标安全访问策略对请求进程进行检测,将检测结果发送至业务设备101中。业务设备101可以根据该检测结果,确定后续对服务调用请求的响应过程。如图1a所示,业务设备101可以关联有一个或至少两个服务管理设备,如图1a所示的服务管理设备102a、服务管理设备102b及服务管理设备102c等,每个服务管理设备可以用于管理一个或多个进程的相关数据(如进程数据及进程服务等),例如,假定服务提供进程对应服务管理设备102b,则业务设备101在向服务管理设备发送针对请求进程的访问检测请求时,具体可以是向服务管理设备102b发送针对请求进程的访问检测请求等。
可选的,请参见图1b,图1b是本申请实施例提供的另一种进程通信的网络交互架构图。其中,本申请中所实现的进程间通信可以是不同设备中的进程间通信,如图1b所示,假定业务设备103通过请求进程向服务提供进程发送服务调用请求,具体是向服务提供进程所在的业务设备104发送服务调用请求。其中,请求进程所在的业务设备103与服务提供进程所在的业务设备104之间可以进行数据交互。可选的,业务设备104通过服务提供进程接收到服务调用请求,获取该服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略。业务设备104可以获取该服务提供进程所对应的服务管理设备,向该服务管理设备发送针对请求进程的访问检测请求,服务管理设备可以基于该目标安全访问策略对请求进程进行检测,将检测结果发送至业务设备104中。业务设备104可以根据该检测结果,确定后续对服务调用请求的响应过程。如图1b所示,业务设备103或业务设备104可以关联有一个或至少两个服务管理设备,如图1b中所示的服务管理设备105a、服务管理设备105b及服务管理设备105c等,每个服务管理设备可以用于管理一个或多个进程的相关数据(如进程数据及进程服务等)。
其中,不同的进程之间可以相互请求服务,例如,假定存在第一进程与第二进程,当第一进程从第二进程中请求服务或数据时,该第一进程可以认为是请求进程,第二进程可以认为是服务提供进程;当第二进程从第一进程中请求服务或数据时,该第二进程可以认为是请求进程,第一进程可以认为是服务提供进程等。其中,每个进程可以包括一个或多个进程接口。
具体的,请参见图2,图2是本申请实施例提供的一种进程通信场景示意图。如图2所示,以同一个设备中进行进程间通信为例,在业务设备201中,可以通过请求进程202向服务提供进程203发送服务调用请求,服务提供进程203可以获取该服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略204。服务提供进程203可以基于目标安全访问策略,获取请求进程202的第一策略请求信息,获取该服务提供进程203所对应的服务管理设备205,向服务管理设备205发送访问检测请求,服务管理设备205可以基于该目标安全访问策略对请求进程202进行检测,将检测结果发送至业务设备201中,具体是发送至服务提供进程203。服务提供进程203在检测结果指示对请求进程202验证通过时,获取服务调用请求所对应的响应结果,基于请求进程202与目标进程接口之间的密钥访问方式,对响应结果进行转换处理,得到业务响应数据,通过服务提供进程203,将业务响应数据发送至请求进程202。通过安全访问策略可以对请求进程与服务提供进程之间的进程通信进行安全验证,以保障进程通信的安全性,同时,进程间可以协商密钥访问方式,基于协商的密钥访问方式,进行进程间的通信,可以使得不同的进程间采用不同的密钥访问方式,从而提高进程间通信的安全性及灵活性。
可以理解的是,本申请实施例中所提及的业务设备或服务管理设备可以是一种计算机设备,本申请实施例中的计算机设备包括但不限于终端设备或服务器。换句话说,计算机设备可以是服务器或终端设备,也可以是服务器和终端设备组成的系统。其中,以上所提及的终端设备可以是一种电子设备,包括但不限于手机、平板电脑、台式电脑、笔记本电脑、掌上电脑、车载设备、增强现实/虚拟现实(Augmented Reality/Virtual Reality,AR/VR)设备、头盔显示器、智能电视、可穿戴设备、智能音箱、数码相机、摄像头及其他具备网络接入能力的移动互联网设备(mobile internet device,MID),或者火车、轮船、飞行等场景下的终端设备等。其中,以上所提及的服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、车路协同、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
可选的,本申请实施例中所涉及的数据可以存储在计算机设备中,或者可以基于云存储技术或区块链网络等对该数据进行存储,在此不做限制。
进一步地,请参见图3,图3是本申请实施例提供的一种进程通信的方法流程图。如图3所示,该进程通信过程包括如下步骤:
步骤S301,接收请求进程所发送的服务调用请求,获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略。
在本申请实施例中,业务设备可以接收请求进程所发送的服务调用请求。其中,该服务调用请求所调用的目标进程接口属于服务提供进程,该请求进程与服务提供进程可以是位于同一个设备中的进程,也可以是不同设备中的进程。举例来说,业务设备可以通过请求进程向服务提供进程发送服务调用请求,通过服务提供进程接收该服务调用请求;或者,请求设备可以通过请求进程向业务设备发送服务调用请求,业务设备可以通过服务提供进程接收服务调用请求,其中,该请求设备可以是指请求进程所在的业务设备,服务提供进程所在的业务设备可以称为服务设备等。可选的,该服务调用请求可以是由请求进程或该请求进程中的请求进程接口所发送的。其中,该服务调用请求可以包括调用参数,也可以不包括调用参数。
可选的,若该服务调用请求包括调用参数,则可以通过请求进程获取目标进程接口的进程请求方式,基于该进程请求方式,向服务提供进程发送服务调用请求。具体的,可以通过请求进程获取目标进程接口的进程请求方式;进程请求方式是由请求进程与目标进程接口之间协商的;该进程请求方式用于表示在发送服务调用请求时的加密方式;进一步,通过该进程请求方式,向服务提供进程发送服务调用请求。具体的,若进程请求方式为动态密钥请求方式,则获取请求进程与目标进程接口之间的第一动态密钥,采用第一动态密钥对调用参数进行加密处理,得到动态加密参数,向服务提供进程发送携带动态加密参数的服务调用请求,通过服务提供进程接收请求进程所发送的服务调用请求;服务提供进程包括目标进程接口。其中,该第一动态密钥可以是指请求进程所缓存的与目标进程接口之间的动态密钥。若进程请求方式为静态密钥请求方式,则获取服务提供进程所对应的服务固定密钥,采用服务固定密钥对调用参数进行加密处理,得到静态加密参数,向服务提供进程发送携带静态加密参数的服务调用请求,通过服务提供进程接收请求进程所发送的服务调用请求。若进程请求方式为明文请求方式,则通过请求进程向服务提供进程发送携带调用参数的服务调用请求,通过服务提供进程接收请求进程所发送的服务调用请求。其中,该请求进程所实现的相关过程,可以是由请求进程所在的请求设备进行实现,该请求设备可以是与服务设备相同的设备(即请求进程与服务提供进程位于同一个设备中),也可以是不同的设备(即请求进程与服务提供进程位于不同的设备中)。
可选的,在进程请求方式为动态密钥请求方式时,可以从请求进程的请求进程缓存中获取与目标进程接口之间的第一动态密钥,若未查找到与目标进程接口之间的第一动态密钥,则向目标进程接口发送密钥获取请求(具体是通过请求进程向目标进程接口发送密钥获取请求),基于密钥获取请求获取由目标进程接口所发送的第一动态密钥。可选的,业务设备通过目标进程接口获取与请求进程之间的第一动态密钥,若未查找到,则业务设备可以通过目标进程接口生成与请求进程之间的第一动态密钥,将第一动态密钥发送至请求进程。可选的,业务设备在通过目标进程接口生成与请求进程之间的第一动态密钥时,可以从服务提供进程所对应的服务管理设备中获取第三随机参数,通过服务提供进程生成第四随机参数,根据第三随机参数及第四随机参数,生成请求进程与目标进程接口之间的第一动态密钥,通过引入多个随机参数,提高了第一动态密钥的随机性,从而提高了第一动态密钥的安全性,进而提高了进程间通信的安全性。可选的,业务设备在将第一动态密钥发送至请求进程时,可以通过请求进程生成第一密钥对,将第一密钥对中的第一公钥发送至服务提供进程;在业务设备中,服务提供进程采用第一公钥对第一动态密钥进行加密,得到第一动态加密数据,将第一动态加密数据发送至请求进程;在业务设备中,请求进程采用第一密钥对中的第一私钥对第一动态加密数据进行解密处理,得到第一动态密钥,通过一组临时生成的第一密钥对,对第一动态密钥的传输进行加解密处理,由于第一密钥对的临时性及随机性,提高了第一动态密钥的加解密过程的安全性,从而提高了第一动态密钥的安全性,进而可以提高进程通信的安全性。或者,业务设备可以通过服务提供进程获取请求进程的请求固定密钥,采用请求固定密钥对第一动态密钥进行加密,得到第二动态加密数据,将第二动态加密数据发送至请求进程;在业务设备中,请求进程采用请求固定密钥对应的请求固定私钥,对第二动态加密数据进行解密处理,得到第一动态密钥等。其中,该请求固定密钥可以认为是请求进程的固定公钥。可选的,业务设备可以通过服务提供进程,将第一动态密钥、请求进程及目标进程接口的关联关系,发送至服务提供进程所对应的服务管理设备中,服务管理设备可以存储该第一动态密钥、请求进程及目标进程接口的关联关系,用于后续对请求进程与目标进程接口之间的通信进行检测。具体的,业务设备可以通过服务提供进程,生成第一动态密钥的第一密钥哈希,将第一密钥哈希、请求进程及目标进程接口发送至服务管理设备,服务管理设备可以对该第一密钥哈希、请求进程及目标进程接口进行关联存储。
进一步地,业务设备可以通过服务提供进程,获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略。具体的,业务设备可以获取请求进程所对应的进程标识,基于进程标识获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略。具体的,业务设备可以通过服务提供进程,获取请求进程所对应的请求存储路径,从请求存储路径中获取请求进程所对应的第一文件修改时间;第一文件修改时间是指请求进程所对应的文件修改时间中最大的文件修改时间;根据请求存储路径与第一文件修改时间,生成请求进程所对应的进程标识;基于进程标识,获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略;服务提供进程包括目标进程接口。
其中,该请求进程所对应的请求存储路径,可以用于表示该请求进程所对应的可执行文件的绝对路径,可选的,还可以包括该请求进程所对应的请求进程名称。其中,由于同一个存储路径可能不能唯一标识一个特定的文件,可能会出现被其他文件重命名冒用的情况,或者请求进程自身的版本更新导致存储路径未发生变化等情况,而可执行文件本身发生变化,通过请求存储路径与第一文件修改时间,可以较为准确地标识出同一个文件,从而使得通过上述方式得到的进程标识可以用于唯一指示该请求进程,提高进程查找的准确性。因此,可选的,当请求进程所对应的可执行文件发生变化时,可以将该请求进程所对应的可执行文件的文件变更信息发送至该请求进程的关联进程,该文件变更信息可以包括该请求进程的变更时间及存储路径等,该关联进程是指与该请求进程之间存在关联的进程,如包括与该请求进程相关的安全访问策略的进程等,其中,在本申请实施例中,该关联进程包括服务提供进程,使得关联进程及关联进程所对应的服务管理设备,可以及时更新该请求进程与安全访问策略之间的关联关系,可以将该关联关系成为策略映射关系。例如,假定服务提供进程包括“路径A时间A-安全访问策略1”这一策略映射关系,该路径A时间A用于指代请求进程,当请求进程所对应的可执行文件发生变更时,将文件变更信息发送至服务提供进程,假定该文件变更信息包括“路径A时间B”,则服务提供进程可以基于该文件变更信息,更新请求进程所关联的策略映射关系,即,将“路径A时间A-安全访问策略1”更新为“路径A时间B-安全访问策略1”,使得服务提供进程后续可以查找到与该请求进程相关的安全访问策略。
或者,业务设备可以获取请求进程所对应的请求进程信息,对请求进程信息进行解析,得到请求进程的进程类型。具体的,业务设备可以对请求进程信息进行解析,确定该请求进程信息所对应的业务数据类型,获取该业务数据类型所对应的进程类型;或者,可以将该请求进程信息输入进程解析模型中进行解析,得到该请求进程的进程类型。其中,该请求进程信息可以包括但不限于请求进程的进行名称、请求进程的进程版本号、请求进程的进程版本信息及请求进程的签名等,还可以包括进程服务数据等,该进程类型可以包括但不限于集体会话类型(如企业成员会话类型)、集体办公类型(如企业办公类型)或游戏运行类型等。业务设备可以获取服务调用请求所调用的目标进程接口针对进程类型的目标安全访问策略。例如,假定请求进程的进程类型为集体办公类型,则业务设备可以将目标进程接口针对该集体办公类型的目标安全访问策略,确定为针对该请求进程的目标安全访问策略。可以通过进程类型,对一类的进程进行安全访问策略的配置,可以减少策略配置的数据量,例如,该服务提供进程用于提供企业办公数据,该服务提供进程可以为同一企业内的集体办公类型的进程开放权限,也就是说可以存在策略映射关系“XX集体办公类型-安全访问策略(开放访问权限)”。“XX”可以是指服务提供进程所在的集体,当请求进程的进程类型为“XX集体办公类型”时,可以将安全访问策略“开放访问权限”确定为服务提供进程针对该请求进程的目标安全访问策略。
可选的,也可以同时采用多种策略获取方式,获取目标进程接口针对请求进程的目标安全访问策略。例如,同时采用“进程标识”获取方式与“进程类型”获取方式,确定目标安全访问策略,则可以将目标进程接口针对请求进程的进程标识的安全访问策略,以及目标进程接口针对请求进程的进程类型的安全访问策略,确定为目标进程接口针对请求进程的目标安全访问策略等。
可选的,在获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略时,可以从服务提供进程所对应的服务进程缓存中,获取该目标进程接口针对请求进程的目标安全访问策略。具体在本步骤中,业务设备通过服务提供进程接收请求进程所发送的服务调用请求,从服务提供进程所对应的服务进程缓存中,获取该服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略。
可选的,服务提供进程可以包括一个或多个安全访问策略,其中,每个安全访问策略可以是针对进程而言的,也可以是针对进程下的接口而言。具体的,业务设备可以获取服务调用请求所调用的目标进程接口,以及目标进程接口所属的服务提供进程,可以将目标进程接口针对请求进程的安全访问策略,以及服务提供进程针对请求进程的安全访问策略,确定为该目标进程接口针对请求进程的目标安全访问策略。其中,访问服务提供进程所需符合的安全访问策略,在访问服务提供进程所包括的进程接口(包括目标进程接口)时也需符合该安全访问策略,例如,满足安全访问策略1的进程才可以访问服务提供进程,则需要访问服务提供进程所包括的进程接口时,也需要满足安全访问策略1。可以通过对进程以及进程下的进程接口进行灵活配置安全访问策略,实现对整个进程的访问安全管理,以及对进程下的各个进程接口的访问安全管理,提高了进程间访问的灵活性。
步骤S302,基于目标安全访问策略获取请求进程的第一策略请求信息,当基于目标安全访问策略与第一策略请求信息,对请求进程验证通过时,获取请求进程与目标进程接口之间的密钥访问方式。
在本申请实施例中,业务设备可以从目标安全访问策略中获取访问参数类型,获取请求进程在访问参数类型下的参数数据,将参数数据确定为请求进程的第一策略请求信息。例如,该目标安全访问策略中的访问参数类型包括路径类型,则获取请求进程在访问参数类型下的参数数据,即请求进程在路径类型下的参数数据,也就是该请求进程的请求存储路径。将第一策略请求信息及目标安全访问策略,发送至服务提供进程所对应的服务管理设备,以使服务管理设备基于目标安全访问策略对第一策略请求信息进行检测,在第一策略请求信息满足目标安全访问策略的进程访问条件时,确定对请求进程验证通过。具体的,服务管理设备可以基于第一策略请求信息及目标安全访问策略,对请求进程进行检测,得到检测结果,将该检测结果发送至服务提供进程,业务设备可以通过服务提供进程接收该检测结果,并可以基于该检测结果执行后续的过程。举例来说,假定该目标安全访问策略是指“在特定目录下的应用进程可以访问该服务提供进程”,假定该特定目录为零信任安全管理系统的安装目录,则业务设备可以通过服务提供进程从目标安全访问策略中获取访问参数类型,即“路径类型”,通过服务提供进程获取请求进程的请求存储路径(即第一策略请求信息)。服务管理设备可以基于目标安全访问策略对第一策略请求信息进行检测,若该请求存储路径属于零信任安全管理系统的安装目录,也就是第一策略请求信息满足目标安全访问策略的进程访问条件(即存储于特定目录下),则可以确定对请求进程验证通过。
进一步地,当基于目标安全访问策略与第一策略请求信息,对请求进程验证通过时,业务设备可以获取请求进程与目标进程接口之间的密钥访问方式,也就是说,当检测结果用于指示对请求进程验证通过时,业务设备可以获取请求进程与目标进程接口之间的密钥访问方式。具体的,可以从目标安全访问策略中,获取请求进程与目标进程接口之间的密钥访问方式;例如,若该目标安全访问策略中不包括访问方式配置信息,则可以将默认访问方式确定为请求进程与目标进程接口之间的密钥访问方式,该默认访问方式可以是明文访问方式或静态密钥访问方式。或者,可以获取目标进程接口所关联的接口数据,对接口数据进行解析,得到接口数据的数据敏感度,将数据敏感度对应的加密方式,确定为请求进程与目标进程接口之间的密钥访问方式。例如,可以将接口数据输入敏感检测模型进行检测,得到该接口数据的数据敏感度,获取该数据敏感度所属的敏感分段,将该敏感分段对应的加密方式,确定为请求进程与目标进程接口之间的密钥访问方式;或者,可以获取该接口数据的数据类型,获取该数据类型对应的数据敏感度,将数据敏感度对应的加密方式,确定为请求进程与目标进程接口之间的密钥访问方式,其中,该数据类型包括但不限于数据公开类型(如公开到互联网中的数据等的类型)、内部数据类型(如针对一个集体等所提供的服务或数据的类型)及半公开类型(如针对集体的论坛所提供的数据或服务的类型)等,一般情况下,数据公开类型的敏感度低于半公开类型的敏感度,半公开类型的敏感度低于内部数据类型的敏感度等,当然,可以根据需要增加、删除或修改数据类型的分类等。可选的,业务设备可以获取请求进程与服务提供进程之间的关联程度,基于该关联程度,确定请求进程与目标进程接口之间的密钥访问方式,其中,关联程度越高,表示请求进程与服务提供进程之间的关联度越高,数据交互的可能性及交互程度等也就越高,两个进程之间交互的安全性相对来说也就越高,可以通过该关联程度确定密钥访问方式,例如,请求进程与服务提供进程均是同一个应用程序中针对一个集体所运行的进程,得到请求进程与服务提供进程之间的关联程度,基于该关联程度确定请求进程与目标进程接口之间的密钥访问方式为静态密钥访问方式。
可选的,请求进程与目标进程接口之间的进程请求方式与密钥访问方式可以是相同的,也可以是不同的。
可选的,该服务调用请求携带加密参数,其中,该加密参数的生成过程可以参见步骤S301中对调用参数的加密过程。获取针对加密参数的第一服务密钥,采用第一服务密钥对加密参数进行解密处理,其中,第一服务密钥是指用于对加密参数进行解密的密钥。其中,若该加密参数为动态加密参数,则该第一服务密钥是指服务提供进程所缓存的动态私钥;若该加密参数为静态加密参数,则该第一服务密钥是指服务固定密钥所对应的服务固定私钥等,该服务固定私钥是指服务提供进程所缓存的最新的固定私钥。进一步地,若对加密参数解密成功,则根据对加密参数解密得到的调用参数,获取服务调用请求所对应的响应结果,执行步骤S303基于密钥访问方式对服务调用请求所对应的响应结果进行转换处理,得到业务响应数据的过程,当然,对加密参数的解密过程与获取请求进程与目标进程接口之间的密钥访问方式的过程之间的执行顺序可以互换。若对加密参数解密失败,则向请求进程发送密钥重置指令,通过请求进程生成随机密钥对,将随机密钥对中的随机公钥发送至服务提供进程,在服务提供进程中,采用随机公钥对第二服务密钥进行加密处理,得到密钥加密数据,将密钥加密数据发送至请求进程中,在请求进程中,采用随机密钥对中的随机私钥对密钥加密数据进行解密,得到第二服务密钥,采用第二服务密钥对调用参数进行重新加密,得到更新加密参数,基于更新加密参数向服务提供进程重新发送服务调用请求;服务提供进程包括目标进程接口;第一服务密钥与第二服务密钥组成密钥对。其中,当第一服务密钥是指服务提供进程所缓存的动态私钥时,该第一服务密钥与第二服务密钥可以认为是相同的,该第一服务密钥与第二服务密钥组成一个对称密钥对。
其中,若该加密参数为动态加密参数,则该第二服务密钥是指服务提供进程所缓存的最新的动态密钥;若该加密参数为静态加密参数,则该第二服务密钥是指服务提供进程所内置的固定密钥等。其中,该过程主要是在服务提供进程发生进程变更时,如版本变化等,可能会导致该服务提供进程所内置的固定密钥发生变化,此时,若请求进程未及时获取到服务提供进程变更后的固定密钥,则在采用静态密钥请求方式时,请求进程可能会使用服务提供进程过期的固定密钥,对调用参数进行加密处理,导致进程间通信的加解密过程出现异常;或者,服务提供进程生成新的动态密钥时,若请求进程未及时获取到服务提供进程所生成的新的动态密钥,则在采用动态密钥请求方式时,请求进程可能会使用服务提供进程与请求进程间过期的动态密钥,对调用参数进行加密处理,导致进程间通信的加解密过程出现异常等,通过上述过程,服务提供进程可以采用缓存的最新的私钥对加密参数进行解密,以使得请求进程与服务提供进程之间可以采用最新的密钥进行加解密,提高进程间通信的安全性。
可选的,当基于目标安全访问策略与第一策略请求信息,对请求进程验证失败时,基于服务提供进程向请求进程发送响应错误提示消息;服务提供进程包括目标进程接口。
步骤S303,基于密钥访问方式对服务调用请求所对应的响应结果进行转换处理,得到业务响应数据,将业务响应数据发送至请求进程。
在本申请实施例中,业务设备可以基于服务提供进程,获取服务调用请求所对应的响应结果。可选的,若获取到调用参数,则基于服务提供进程,获取服务调用请求针对该调用参数的响应结果。进一步地,若密钥访问方式为动态密钥访问方式,则获取请求进程与目标进程接口之间的第一动态密钥,采用第一动态密钥对服务调用请求所对应的响应结果进行加密处理,得到业务响应数据;其中,服务提供进程所生成的第一动态密钥对可以认为是对称密钥对,该第一动态密钥对包括第一动态密钥,该第一动态密钥可以由请求进程用于对调用参数进行加密,也可以由服务提供进程用于对响应结果进行加密。若密钥访问方式为静态密钥访问方式,则获取请求进程所对应的请求固定密钥,采用请求固定密钥对响应结果进行加密处理,得到业务响应数据;若密钥访问方式为明文访问方式,则将响应结果确定为业务响应数据。
可选的,当接收到密钥更新消息时,业务设备可以获取服务管理设备所发送的第一随机参数,通过服务提供进程生成第二随机参数;服务提供进程包括目标进程接口。根据第一随机参数与第二随机参数,生成请求进程与目标进程接口之间的第二动态密钥,具体可以是采用对称密钥生成方式,对第一随机参数与第二随机参数进行处理,生成请求进程与目标进程接口之间的第二动态密钥对,该第二动态密钥对包括第二动态密钥。将第二动态密钥发送至请求进程,接收请求进程基于第二动态密钥重新发送的服务调用请求。其中,由于动态密钥对是由服务提供进程所生成的,用于与请求进程之间进行通信,为了实现进程通信过程中对数据的加解密,请求进程需要通过私钥进行解密,服务提供进程需要通过公钥进行加密,因此,可以直接采用对称密钥生成方式,生成动态密钥对,以提高动态密钥生成及传输等的效率。进一步可选的,获取第二动态密钥的密钥哈希值,将密钥哈希值、请求进程及目标进程接口之间的关联关系发送至服务管理设备;关联关系用于在请求进程与目标进程接口之间的密钥访问方式为动态密钥访问方式时,服务管理设备对服务调用请求进行检测。
在本申请实施例中,业务设备可以接收请求进程所发送的服务调用请求,获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略;基于目标安全访问策略获取请求进程的第一策略请求信息,当基于目标安全访问策略与第一策略请求信息,对请求进程验证通过时,获取请求进程与目标进程接口之间的密钥访问方式;基于密钥访问方式对服务调用请求所对应的响应结果进行转换处理,得到业务响应数据,将业务响应数据发送至请求进程;密钥访问方式用于表示对响应结果的加密方式。通过以上过程,部署了针对进程间通信的安全访问策略,该安全访问策略用于表示各个进程之间的通信要求,在请求进程与目标进程接口之间需要进行通信时,可以基于两者之间的目标安全访问策略,对请求进程与目标进程接口之间的通信安全进行检测,以提高进程通信的安全性,同时,请求进程与目标进程接口之间协商有密钥访问方式,使得可以基于需求,在不同的进程通信中采用不同的密钥访问方式,从而可以灵活管理进程间通信的加密方式,使得可以在保障进程通信安全的情况下,提高进程间通信的灵活性。
进一步地,可以参见图4,图4是本申请实施例提供的另一种进程通信的方法流程图。如图4所示,该进程通信过程可以认为由服务管理设备进行实现,该进程通信过程可以包括如下步骤:
步骤S401,获取由服务提供进程所发送的目标安全访问策略与第一策略请求信息,基于目标安全访问策略对第一策略请求信息进行检测,得到检测结果。
在本申请实施例中,目标安全访问策略是指服务调用请求所调用的目标进程接口针对请求进程的策略;服务调用请求是由请求进程所产生的;服务提供进程包括目标进程接口;第一策略请求信息是基于目标安全访问策略获取到的请求进程的信息。其中,该目标安全访问策略与第一策略请求信息的获取过程,可以参见图3中的步骤S301至步骤S302所示的相关描述。
进一步地,服务管理设备可以检测目标安全访问策略的策略有效性,若目标安全访问策略为无效策略,则获取目标进程接口针对请求进程的第一安全访问策略,将第一安全访问策略发送至服务提供进程,以使服务提供进程基于第一安全访问策略获取请求进程的第二策略请求信息;服务管理设备获取服务提供进程所发送的第二策略请求信息,基于第一安全访问策略对第二策略请求信息进行检测,得到检测结果。若目标安全访问策略为有效策略,则基于目标安全访问策略对第一策略请求信息进行检测,得到检测结果。
其中,在检测目标安全访问策略的策略有效性时,服务管理设备可以采用N个策略检测方式,对目标安全访问策略的策略有效性进行检测,N为正整数,其中,若目标安全访问策略满足N个策略检测方式分别对应的策略有效条件,则确定目标安全访问策略为有效策略;若N个策略检测方式中存在目标安全访问策略不满足策略有效条件的策略检测方式,则确定目标安全访问策略为无效策略等。具体的,一种策略检测方式下,服务管理设备可以获取目标安全访问策略的策略有效时间段,获取系统网络时间,若系统网络时间属于策略有效时间段,则确定目标安全访问策略为有效策略,若系统网络时间不属于策略有效时间段,则确定目标安全访问策略为无效策略。或者,一种策略检测方式下,可以获取目标安全访问策略的有效策略复用次数及历史策略复用次数,若历史策略复用次数小于有效策略复用次数,则确定目标安全访问策略为有效策略,若历史策略复用次数大于或等于有效策略复用次数,则确定目标安全访问策略为无效策略。或者,一种策略检测方式下,可以获取目标进程接口针对请求进程的第一安全访问策略,若目标安全访问策略与第一安全访问策略一致,则确定目标安全访问策略为有效策略,若目标安全访问策略与第一安全访问策略不一致,则确定目标安全访问策略为无效策略;第一安全访问策略是指与目标进程接口及请求进程相关联的安全访问策略中,存储时间最大的安全访问策略等。可选的,可以基于需要增加、删除或更新策略检测方式。例如,以多种策略检测方式为例,如策略有效时间段及一致性检测,服务管理设备可以获取目标安全访问策略的策略有效时间段,获取系统网络时间,获取目标进程接口针对请求进程的第一安全访问策略,若系统网络时间属于策略有效时间段,且目标安全访问策略与第一安全访问策略一致,则确定目标安全访问策略为有效策略;若系统网络时间不属于策略有效时间段,或目标安全访问策略与第一安全访问策略不一致,则确定目标安全访问策略为无效策略等。
进一步地,一种可能的策略下,目标安全访问策略包括安全访问路径,第一策略请求信息包括请求进程的请求存储路径。在基于目标安全访问策略对第一策略请求信息进行检测,得到检测结果时,可以对比请求存储路径与安全访问路径,若请求存储路径属于安全访问路径,则将检测成功结果确定为对请求进程的检测结果;若请求存储路径不属于安全访问路径,则将检测失败结果确定为针对请求进程的检测结果。例如,假定该安全访问路径为零信任安全管理系统的安装目录,若该请求存储路径位于零信任安全管理系统的安装目录下,则将检测成功结果确定为请求进程的检测结果;若该请求存储路径不位于零信任安全管理系统的安装目录下,则将检测失败结果确定为请求进程的检测结果。
一种可能的策略下,目标安全访问策略包括安全访问特征。在基于目标安全访问策略对第一策略请求信息进行检测,得到检测结果时,服务管理设备可以从第一策略请求信息中获取与安全访问特征相关联的请求进程特征;若请求进程特征符合安全访问特征,则将检测成功结果确定为对请求进程的检测结果;若请求存储路径不符合安全访问特征,则将检测失败结果确定为针对请求进程的检测结果。例如,该安全访问特征包括特定数字签名及版本阈值,则可以从第一策略请求信息中获取请求进程的请求数字签名,以及请求进程对应的可执行文件的文件版本号,若该请求数字签名符合该特定数字签名,且文件版本号大于或等于版本阈值,则将检测成功结果确定为对请求进程的检测结果;若该请求数字签名不符合该特定数字签名,或文件版本号小于版本阈值,则将检测失败结果确定为对请求进程的检测结果。
可选的,该目标安全访问策略的数量可以为M个,M为正整数,若第一策略请求信息满足M个目标安全访问策略的进程访问条件,则将检测成功结果确定为对请求进程的检测结果;若M个目标安全访问策略中存在第一策略请求信息不满足进程访问条件的目标安全访问策略,则将检测失败结果确定为对请求进程的检测结果。
进一步可选地,若检测结果为检测成功结果,则服务管理设备可以获取请求进程与目标进程接口之间的第一动态密钥,检测第一动态密钥的有效性。例如,可以获取第一动态密钥的有效密钥复用次数及历史密钥复用次数,若历史密钥复用次数大于或等于有效密钥复用次数,则确定第一动态密钥为无效密钥;若历史密钥复用次数小于有效密钥复用次数,则确定第一动态密钥为有效密钥。进一步地,若第一动态密钥为无效密钥,则向服务提供进程发送密钥更新消息,密钥更新消息包括第一随机参数,以使服务提供进程基于第一随机参数及生成的第二随机参数,生成请求进程与目标进程接口之间的第二动态密钥;第二动态密钥用于请求进程与目标进程接口之间进行通信。若第一动态密钥为有效密钥,则执行步骤S402,将检测结果发送至服务提供进程。
步骤S402,将检测结果发送至服务提供进程,以使服务提供进程在检测结果指示对请求进程验证通过时,向请求进程发送业务响应数据。
在本申请实施例中,业务响应数据是根据请求进程与目标进程接口之间的密钥访问方式,对服务调用请求所对应的响应结果进行转换处理所得到的。具体的,服务管理设备可以将检测结果发送至服务提供进程,在检测结果指示对请求进程验证通过时,业务设备可以通过服务提供进程获取服务调用请求所对应的响应结果,采用密钥访问方式对响应结果进行转换处理,得到业务响应数据,将业务响应数据发送至请求进程。
进一步可选的,可以参见图5,图5是本申请实施例提供的一种策略配置场景示意图。如图5所示,策略配置设备可以显示策略配置页面501,可以基于该策略配置页面501获取策略配置信息,基于该策略配置信息生成安全访问策略。其中,该策略配置信息可以包括策略名称及进程访问条件等,还可以包括密钥访问方式等。例如,策略配置设备可以从策略配置页面501中的名称输入区域中获取策略名称,可以从参数配置区域5011中获取进程配置参数,从访问类型配置区域5012中获取访问类型,该访问类型可以包括但不限于可以访问类型及禁止访问类型等,可选的,还可以具体的将可以访问类型划分为动态访问类型(对应动态密钥访问方式)、静态访问类型(对应静态密钥访问方式)及明文访问类型(对应明文访问方式)等,可以从接口配置区域5013中获取上述进程配置参数及访问类型所针对的进程接口。策略配置设备可以根据进程配置参数、访问类型及进程接口,确定进程访问条件,可以根据策略名称及进程访问条件生成安全访问策略。例如,假定进程配置参数为“A路径”,访问类型为“动态访问类型”,进程接口为“进程1下的进程接口1”,策略名称为安全访问策略1,则该安全访问策略为“安全访问策略1:A路径下的进程需要采用动态密钥访问方式,访问进程1下的进程接口1”。可选的,策略配置设备可以响应针对密钥访问配置组件的触发操作,显示密钥访问配置页面502,从密钥访问配置页面502的进程配置区域5021中获取第三进程,从密钥访问方式配置区域5022中获取密钥访问方式,从接口配置区域5023中获取配置进程接口,根据第三进程、密钥访问方式及配置进程接口生成安全访问策略。例如,第三进程为“进程1”,密钥访问方式为“动态密钥访问方式”,配置进程接口为“进程2下的进程接口1”,则该安全访问策略为“进程1需要采用动态密钥访问方式,访问进程2下的进程接口1”,例如,假定目标进程接口为进程2下的进程接口1,请求进程为进程1,则该目标进程接口针对请求进程的目标安全访问策略包括“进程1需要采用动态密钥访问方式,访问进程2下的进程接口1”,该请求进程与目标进程接口之间的密钥访问方式为动态密钥访问方式。
可选的,策略配置设备可以获取策略配置指令,根据该策略配置指令生成安全访问策略。
其中,该策略配置设备可以是上述请求设备或服务设备,也可以是配置的安全访问策略所针对的进程的服务管理设备等,也可以是用于进行策略配置的设备。例如,假定针对应用程序A配置安全访问策略,则该策略配置设备可以是该应用程序A所对应的服务管理设备,可以用于配置针对该应用程序A的所有进程的安全访问策略。进一步可选的,策略配置设备可以将生成的安全访问策略发送至该安全访问策略所涉及的服务提供进程所在的设备,还可以将该安全访问策略发送至该安全访问策略所涉及的服务提供进程的服务管理设备等。
进一步地,可以参见图6,图6是本申请实施例提供的一种进程通信交互流程示意图。如图6所示,该过程可以包括如下步骤:
步骤S601,发送服务调用请求。
在本申请实施例中,请求进程可以向服务提供进程发送服务调用请求。具体,可以参见图3中步骤S301所示的相关描述。具体的,若不存在调用参数,则请求进程可以直接像服务提供进程发送服务调用请求;若存在调用参数,则可以基于进程请求方式,向服务提供进程发送服务调用请求。其中,该明文请求方式可以认为服务调用请求所调用的目标进程接口没有保密性要求。
步骤S602,获取第一策略请求信息。
在本申请实施例中,服务提供进程可以获取该服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略,进一步,可以从目标安全访问策略中获取访问参数类型,获取请求进程在访问参数类型下的参数数据,将该参数数据确定为请求进程的第一策略请求信息,具体可以参见图3中步骤S301至步骤S302的相关描述。例如,该访问参数类型包括签名类型、名称类型、版本类型及版本信息类型等,则可以获取请求进程在访问参数类型下的参数数据,即,可以获取请求进程的进程签名、进程名称、进程版本号及进程版本信息等。可选的,若未查找到目标进程接口针对请求进程的安全访问策略,则可以获取该服务调用请求的响应数据,将该响应数据发送至请求进程。
步骤S603,发送目标安全访问策略及第一策略请求信息。
在本申请实施例中,服务提供进程可以向服务管理设备发送目标安全访问策略及第一策略请求信息,可选的,可以获取该目标安全访问策略的目标策略标识,将目标策略标识及第一策略请求信息发送至服务管理设备,其中,该目标策略标识可以用于指示对应的安全访问策略及该安全访问策略的策略版本等。可选的,服务提供进程可以获取第二服务密钥的密钥哈希值,向服务管理设备发送第二服务密钥的密钥哈希值,其中,第二服务密钥是指服务提供进程所缓存的最新的公钥,如密钥访问方式为动态密钥访问方式,则该第二服务密钥是指服务提供进程所缓存的最新的动态公钥;如密钥访问方式为静态密钥访问方式,则该第二服务密钥是指服务提供进程所缓存的最新的服务固定公钥等。
步骤S604,检测策略有效性。
在本申请实施例中,服务管理设备可以检测目标安全访问策略的策略有效性,具体可以参见图4的步骤S401所示的相关描述。进一步地,若该目标安全访问策略为无效策略,则执行步骤S606;若该目标安全访问策略为有效策略,则获取目标进程接口针对请求进程的第一安全访问策略,执行步骤S605,第一安全访问策略是指服务管理设备所管理的目标进程接口针对请求进程的最新的安全访问策略。
步骤S605,发送第一安全访问策略。
在本申请实施例中,服务管理设备向服务提供进程发送第一安全访问策略,服务提供进程可以将第一安全访问策略添加至服务进程缓存中。进一步地,服务提供进程可以基于第一安全访问策略获取请求进程的第二策略请求信息,将第一安全访问策略及第二策略请求信息发送至服务管理设备,执行步骤S606。
步骤S606,对请求进程进行检测。
在本申请实施例中,在步骤S604所调用时,服务管理设备可以基于目标安全访问策略对第一策略请求信息进行检测,得到对请求进程的检测结果;在步骤S605所调用时,服务管理设备可以基于第一安全访问策略对第二策略请求信息进行检测,得到对请求进程的检测结果。具体的检测过程,可以参见图4中的步骤S401所示的相关描述,执行步骤S608。可选的,也可以进一步执行步骤S607,检测密钥的有效性。
步骤S607,检测密钥的有效性。
在本申请实施例中,若该检测结果为检测成功结果,则可以获取请求进程与目标进程接口之间的第一动态密钥,检测第一动态密钥的有效性,若该第一动态密钥为无效密钥,则执行步骤S609;若该第一动态密钥为有效密钥,则执行步骤S608。
步骤S608,发送检测结果。
在本申请实施例中,服务管理设备将检测结果发送至服务提供进程,服务提供进程可以基于该检测结果执行后续的过程。具体的,在检测结果指示对请求进程验证通过时,基于请求进程与目标进程接口之间的密钥访问方式,对服务调用请求所对应的响应结果进行转换处理,得到业务响应数据,将业务响应数据发送至请求进程,具体参见图3中步骤S303所示的相关描述;在检测结果指示对请求进程验证失败时,基于服务提供进程向请求进程发送响应错误提示消息。
步骤S609,发送密钥更新消息。
在本申请实施例中,服务管理设备向服务提供进程发送密钥更新消息,可选的,该密钥更新消息可以包括第一随机参数,该第一随机参数可以包括但不限于密钥比特位数、对称密钥生成方式及动态密钥缓存时间段等,具体可以参见图3中的相关描述,服务提供进程可以生成第二随机参数,根据第一随机参数及第二随机参数,生成请求进程与目标进程接口之间的第二动态密钥,具体可以是生成第二动态密钥对,该第二动态密钥对包括第二动态密钥,采用的是对称密钥生成方式,生成第二动态密钥对也可以认为是生成第二动态密钥。
步骤S610,重置密钥。
在本申请实施例中,服务提供进程向请求进程发送密钥重置指令。
步骤S611,生成第一密钥对。
在本申请实施例中,请求进程可以基于该密钥重置指令生成第一密钥对,该第一密钥对可以认为是一个随机密钥对,该第一密钥对包括第一随机公钥及第一随机私钥。
步骤S612,发送第一密钥对中的公钥。
在本申请实施例中,请求进程向服务提供进程发送第一密钥对中的公钥,即第一随机公钥。
步骤S613,存储第二动态密钥与请求进程之间的映射关系。
在本申请实施例中,服务提供进程可以存储第二动态密钥与请求进程之间的映射关系,具体可以获取第二动态密钥的密钥哈希值,将第二动态密钥的密钥哈希值与请求进程之间的映射关系,存储至服务提供进程的服务进程缓存中。进一步执行步骤S614及步骤S616。
步骤S614,发送第二动态密钥与请求进程之间的映射关系。
在本申请实施例中,服务提供进程向服务管理设备发送第二动态密钥与请求进程之间的映射关系。
步骤S615,存储第二动态密钥与请求进程之间的映射关系。
在本申请实施例中,服务管理设备可以存储该第二动态密钥与请求进程之间的映射关系。
步骤S616,发送第二动态密钥。
在本申请实施例中,服务提供进程向请求进程发送第二动态密钥。具体的,服务提供进程采用第一随机公钥对第二动态密钥进行加密,得到第三动态加密数据,将第三动态加密数据发送至请求进程。请求进程采用第一随机私钥对第三动态加密数据进行解密处理,得到第二动态密钥。
步骤S617,发送服务调用请求。
在本申请实施例中,请求进程可以基于第二动态密钥重新向服务提供进程发送服务调用请求。
步骤S618,获取响应结果,将响应结果转换为业务响应数据。
在本申请实施例中,该服务调用请求携带加密参数,服务提供进程可以获取针对加密参数的第一服务密钥,采用第一服务密钥对加密参数进行解密处理。若对加密参数解密成功,则根据对加密参数解密得到的调用参数,获取服务调用请求所对应的响应结果,基于密钥访问方式对响应结果进行加密,得到业务响应数据。若对加密参数解密失败,则向请求进程发送密钥重置指令,具体可以参见步骤S610至步骤S618所示的密钥重置过程。
步骤S619,发送业务响应数据。
在本申请实施例中,服务提供进程向请求进程发送业务响应数据。
步骤S620,获取响应结果。
在本申请实施例中,请求进程可以对业务响应数据进行解密处理,得到响应结果。请求进程可以获取缓存的最新密钥,采用该最新密钥对业务响应数据进行解密处理,得到响应结果。例如,该业务响应数据是采用第一动态密钥对服务调用请求所对应的响应结果进行加密处理所得到的,请求进程可以采用第一动态密钥对业务响应数据进行解密处理,得到响应结果,即最新密钥为第一动态密钥;例如,假定该业务响应数据是采用请求固定密钥对服务调用请求所对应的响应结果进行加密处理所得到的,请求进程可以采用请求固定私钥对业务响应数据进行解密处理,得到响应结果,即最新密钥为请求固定密钥;例如,假定该业务响应数据是采用第二动态密钥对服务调用请求所对应的响应结果进行加密处理所得到的,请求进程可以采用第二动态密钥对业务响应数据进行解密处理,得到响应结果,即最新密钥为第二动态密钥等。
其中,固定密钥是指对应的进程的可执行文件的哈希值不变的情况下(如未更新版本等),可以采用同一固定的密钥加解密通信数据;动态密钥是指对应的进程的可执行文件的哈希值不变的情况下,根据安全访问策略,可以动态地与其他进程之间协商和变更用于加解密通信数据的密钥。其中,服务提供进程与请求进程同属一个应用程序,则可以内置相同的固定密钥,可选的,可以采用软件保护系统(virtualMachineprotect,vmprotect)等,对该固定密钥进行加壳保护。如果服务提供进程与请求进程不属于同一个应用程序,则服务提供进程可以将固定密钥发送至请求进程。
其中,图6中所示的请求进程所实现的过程可以认为是该请求进程所在的请求设备所实现的,服务提供进程所实现的过程可以认为是该服务提供进程所在的服务设备所实现的,其中,该请求设备与服务设备可以是同一个设备,也可以是不同的设备。其中,本申请重点关注于进程与进程之间的通信过程,当请求设备与服务设备是不同的设备时,两个设备之间的通信方式可以采用任意一种设备间的通信方式,而本申请可以在设备间的通信方式的基础上,实现进程与进程间的安全通信。
进一步地,请参见图7,图7是本申请实施例提供的一种进程通信装置示意图。该进程通信装置可以是运行于计算机设备中的一个计算机程序(包括程序代码等),例如该进程通信装置可以为一个应用软件;该装置可以用于执行本申请实施例提供的方法中的相应步骤。如图7所示,该进程通信装置700可以用于图3所对应实施例中的计算机设备,具体的,该装置可以包括:请求接收模块11、策略获取模块12、信息获取模块13、访问确定模块14、数据转换模块15及响应发送模块16。
请求接收模块11,用于接收请求进程所发送的服务调用请求;
策略获取模块12,用于获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略;
信息获取模块13,用于基于目标安全访问策略获取请求进程的第一策略请求信息;
访问确定模块14,用于当基于目标安全访问策略与第一策略请求信息,对请求进程验证通过时,获取请求进程与目标进程接口之间的密钥访问方式;
数据转换模块15,用于基于密钥访问方式对服务调用请求所对应的响应结果进行转换处理,得到业务响应数据;
响应发送模块16,用于将业务响应数据发送至请求进程;密钥访问方式用于表示对响应结果的加密方式。
其中,该请求接收模块11,包括:
请求方式确定单元111,用于通过请求进程获取目标进程接口的进程请求方式;进程请求方式是由请求进程与目标进程接口之间协商的;
动态获取单元112,用于若进程请求方式为动态密钥请求方式,则获取请求进程与目标进程接口之间的第一动态密钥;
动态请求单元113,用于采用第一动态密钥对调用参数进行加密处理,得到动态加密参数,向服务提供进程发送携带动态加密参数的服务调用请求,通过服务提供进程接收请求进程所发送的服务调用请求;服务提供进程包括目标进程接口;
静态请求单元114,用于若进程请求方式为静态密钥请求方式,则获取服务提供进程所对应的服务固定密钥,采用服务固定密钥对调用参数进行加密处理,得到静态加密参数,向服务提供进程发送携带静态加密参数的服务调用请求,通过服务提供进程接收请求进程所发送的服务调用请求;
明文请求单元115,用于若进程请求方式为明文请求方式,则通过请求进程向服务提供进程发送携带调用参数的服务调用请求,通过服务提供进程接收请求进程所发送的服务调用请求。
其中,该动态获取单元112,包括:
密钥获取子单元1121,用于从请求进程的请求进程缓存中获取与目标进程接口之间的第一动态密钥;
密钥请求子单元1122,用于若未查找到与目标进程接口之间的第一动态密钥,则向目标进程接口发送密钥获取请求,基于密钥获取请求获取由目标进程接口所发送的第一动态密钥。
其中,该策略获取模块12,包括:
文件获取单元121,用于获取请求进程所对应的请求存储路径,从请求存储路径中获取请求进程所对应的第一文件修改时间;第一文件修改时间是指请求进程所对应的文件修改时间中最大的文件修改时间;
标识生成单元122,用于根据请求存储路径与第一文件修改时间,生成请求进程所对应的进程标识;
标识确定单元123,用于基于进程标识,获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略;服务提供进程包括目标进程接口。
其中,该策略获取模块12,包括:
类型获取单元124,用于获取请求进程所对应的请求进程信息,对请求进程信息进行解析,得到请求进程的进程类型;
类型确定单元125,用于获取服务调用请求所调用的目标进程接口针对进程类型的目标安全访问策略。
其中,该信息获取模块13,具体用于:
从目标安全访问策略中获取访问参数类型,获取请求进程在访问参数类型下的参数数据,将参数数据确定为请求进程的第一策略请求信息;
该装置700还包括:
检测请求模块17,用于将第一策略请求信息及目标安全访问策略,发送至服务提供进程所对应的服务管理设备,以使服务管理设备基于目标安全访问策略对第一策略请求信息进行检测,在第一策略请求信息满足目标安全访问策略的进程访问条件时,确定对请求进程验证通过。
其中,该访问确定模块14,包括:
访问方式确定单元141,用于从目标安全访问策略中,获取请求进程与目标进程接口之间的密钥访问方式;或者,
该访问方式确定单元141,还用于获取目标进程接口所关联的接口数据,对接口数据进行解析,得到接口数据的数据敏感度,将数据敏感度对应的加密方式,确定为请求进程与目标进程接口之间的密钥访问方式。
其中,该数据转换模块15,包括:
动态响应单元151,用于若密钥访问方式为动态密钥访问方式,则获取请求进程与目标进程接口之间的第一动态密钥,采用第一动态密钥对服务调用请求所对应的响应结果进行加密处理,得到业务响应数据;
静态响应单元152,用于若密钥访问方式为静态密钥访问方式,则获取请求进程所对应请求固定密钥,采用请求固定密钥对响应结果进行加密处理,得到业务响应数据;
明文响应单元153,用于若密钥访问方式为明文访问方式,则将响应结果确定为业务响应数据。
其中,该装置700还包括:
错误提示模块18,用于当基于目标安全访问策略与第一策略请求信息,对请求进程验证失败时,基于服务提供进程向请求进程发送响应错误提示消息;服务提供进程包括目标进程接口。
其中,该装置700还包括:
参数获取模块19,用于当接收到密钥更新消息时,获取服务管理设备所发送的第一随机参数,通过服务提供进程生成第二随机参数;服务提供进程包括目标进程接口;
密钥生成模块20,用于根据第一随机参数与第二随机参数,生成请求进程与目标进程接口之间的第二动态密钥;
密钥反馈模块21,用于将第二动态密钥发送至请求进程,接收请求进程基于第二动态密钥重新发送的服务调用请求。
其中,该装置700还包括:
关联管理模块22,用于获取第二动态密钥的密钥哈希值,将密钥哈希值、请求进程及目标进程接口之间的关联关系发送至服务管理设备;关联关系用于在请求进程与目标进程接口之间的密钥访问方式为动态密钥访问方式时,服务管理设备对服务调用请求进行检测。
其中,服务调用请求携带加密参数;该装置700还包括:
参数解密模块23,用于获取针对加密参数的第一服务密钥,采用第一服务密钥对加密参数进行解密处理;
响应获取模块24,用于若对加密参数解密成功,则根据对加密参数解密得到的调用参数,获取服务调用请求所对应的响应结果,执行基于密钥访问方式对服务调用请求所对应的响应结果进行转换处理,得到业务响应数据的过程;
密钥重置模块25,用于若对加密参数解密失败,则向请求进程发送密钥重置指令,通过请求进程生成随机密钥对,将随机密钥对中的随机公钥发送至服务提供进程,在服务提供进程中,采用随机公钥对第二服务密钥进行加密处理,得到密钥加密数据,将密钥加密数据发送至请求进程中,在请求进程中,采用随机密钥对中的随机私钥对密钥加密数据进行解密,得到第二服务密钥,采用第二服务密钥对调用参数进行重新加密,得到更新加密参数,基于更新加密参数向服务提供进程重新发送服务调用请求;服务提供进程包括目标进程接口;第一服务密钥与第二服务密钥组成密钥对。
进一步地,请参见图8,图8是本申请实施例提供的另一种进程通信装置示意图。该进程通信装置可以是运行于计算机设备中的一个计算机程序(包括程序代码等),例如该进程通信装置可以为一个应用软件;该装置可以用于执行本申请实施例提供的方法中的相应步骤。如图8所示,该进程通信装置800可以用于图4所对应实施例中的计算机设备,具体的,该装置可以包括:数据接收模块31、数据检测模块32及检测反馈模块33。
数据接收模块31,用于获取由服务提供进程所发送的目标安全访问策略与第一策略请求信息;
数据检测模块32,用于基于目标安全访问策略对第一策略请求信息进行检测,得到检测结果;目标安全访问策略是指服务调用请求所调用的目标进程接口针对请求进程的策略;服务调用请求是由请求进程所产生的;服务提供进程包括目标进程接口;第一策略请求信息是基于目标安全访问策略获取到的请求进程的信息;
检测反馈模块33,用于将检测结果发送至服务提供进程,以使服务提供进程在检测结果指示对请求进程验证通过时,向请求进程发送业务响应数据;业务响应数据是根据请求进程与目标进程接口之间的密钥访问方式,对服务调用请求所对应的响应结果进行转换处理所得到的。
其中,该数据检测模块32,包括:
策略检测单元321,用于检测目标安全访问策略的策略有效性;
策略更新单元322,用于若目标安全访问策略为无效策略,则获取目标进程接口针对请求进程的第一安全访问策略,将第一安全访问策略发送至服务提供进程,以使服务提供进程基于第一安全访问策略获取请求进程的第二策略请求信息;
信息检测单元323,用于获取服务提供进程所发送的第二策略请求信息,基于第一安全访问策略对第二策略请求信息进行检测,得到检测结果。
其中,该策略检测单元321,包括:
时间检测子单元3211,用于获取目标安全访问策略的策略有效时间段,获取系统网络时间,若系统网络时间属于策略有效时间段,则确定目标安全访问策略为有效策略,若系统网络时间不属于策略有效时间段,则确定目标安全访问策略为无效策略;或者,
复用检测子单元3212,用于获取目标安全访问策略的有效策略复用次数及历史策略复用次数,若历史策略复用次数小于有效策略复用次数,则确定目标安全访问策略为有效策略,若历史策略复用次数大于或等于有效策略复用次数,则确定目标安全访问策略为无效策略;或者,
策略匹配子单元3213,用于获取目标进程接口针对请求进程的第一安全访问策略,若目标安全访问策略与第一安全访问策略一致,则确定目标安全访问策略为有效策略,若目标安全访问策略与第一安全访问策略不一致,则确定目标安全访问策略为无效策略;第一安全访问策略是指与目标进程接口及请求进程相关联的安全访问策略中,存储时间最大的安全访问策略。
其中,目标安全访问策略包括安全访问路径,第一策略请求信息包括请求进程的请求存储路径;
该数据检测模块32,包括:
第一检测单元324,用于若请求存储路径属于安全访问路径,则将检测成功结果确定为对请求进程的检测结果;
第二检测单元325,用于若请求存储路径不属于安全访问路径,则将检测失败结果确定为针对请求进程的检测结果。
其中,目标安全访问策略包括安全访问特征;该数据检测模块32,包括:
特征获取单元326,用于从第一策略请求信息中获取与安全访问特征相关联的请求进程特征;
该第一检测单元324,还用于若请求进程特征符合安全访问特征,则将检测成功结果确定为对请求进程的检测结果;
该第二检测单元325,还用于若请求存储路径不符合安全访问特征,则将检测失败结果确定为针对请求进程的检测结果。
其中,该装置800还包括:
密钥检测模块34,用于若检测结果为检测成功结果,则获取请求进程与目标进程接口之间的第一动态密钥,检测第一动态密钥的有效性;
无效更新模块35,用于若第一动态密钥为无效密钥,则向服务提供进程发送密钥更新消息,密钥更新消息包括第一随机参数,以使服务提供进程基于第一随机参数及生成的第二随机参数,生成请求进程与目标进程接口之间的第二动态密钥;第二动态密钥用于请求进程与目标进程接口之间进行通信;
发送触发模块36,用于若第一动态密钥为有效密钥,则执行将检测结果发送至服务提供进程的过程。
本申请实施例提供了一种进程通信装置,该装置可以接收请求进程所发送的服务调用请求,获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略;基于目标安全访问策略获取请求进程的第一策略请求信息,当基于目标安全访问策略与第一策略请求信息,对请求进程验证通过时,获取请求进程与目标进程接口之间的密钥访问方式;基于密钥访问方式对服务调用请求所对应的响应结果进行转换处理,得到业务响应数据,将业务响应数据发送至请求进程;密钥访问方式用于表示对响应结果的加密方式。通过以上过程,部署了针对进程间通信的安全访问策略,该安全访问策略用于表示各个进程之间的通信要求,在请求进程与目标进程接口之间需要进行通信时,可以基于两者之间的目标安全访问策略,对请求进程与目标进程接口之间的通信安全进行检测,以提高进程通信的安全性,同时,请求进程与目标进程接口之间协商有密钥访问方式,使得可以基于需求,在不同的进程通信中采用不同的密钥访问方式,从而可以灵活管理进程间通信的加密方式,使得可以在保障进程通信安全的情况下,提高进程间通信的灵活性。本申请通过安全访问策略,对不同的进程以及进程下的进程接口进行密钥访问方式的配置,实现对不同进程或进程接口的访问管理,提高进程间通信的安全性。
参见图9,图9是本申请实施例提供的一种计算机设备的结构示意图。如图9所示,本申请实施例中的计算机设备可以包括:一个或多个处理器901、存储器902和输入输出接口903。该处理器901、存储器902和输入输出接口903通过总线904连接。存储器902用于存储计算机程序,该计算机程序包括程序指令,输入输出接口903用于接收数据及输出数据,如用于请求进程与服务提供进程之间进行数据交互,或者用于服务提供进程与服务管理设备之间进行数据交互;处理器901用于执行存储器902存储的程序指令。
其中,该处理器901位于业务设备中,可以执行如下操作:
接收请求进程所发送的服务调用请求,获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略;
基于目标安全访问策略获取请求进程的第一策略请求信息,当基于目标安全访问策略与第一策略请求信息,对请求进程验证通过时,获取请求进程与目标进程接口之间的密钥访问方式;
基于密钥访问方式对服务调用请求所对应的响应结果进行转换处理,得到业务响应数据,将业务响应数据发送至请求进程;密钥访问方式用于表示对响应结果的加密方式。
或者,该处理器901位于服务管理设备中,可以执行如下操作:
获取由服务提供进程所发送的目标安全访问策略与第一策略请求信息,基于目标安全访问策略对第一策略请求信息进行检测,得到检测结果;目标安全访问策略是指服务调用请求所调用的目标进程接口针对请求进程的策略;服务调用请求是由请求进程所产生的;服务提供进程包括目标进程接口;第一策略请求信息是基于目标安全访问策略获取到的请求进程的信息;
将检测结果发送至服务提供进程,以使服务提供进程在检测结果指示对请求进程验证通过时,向请求进程发送业务响应数据;业务响应数据是根据请求进程与目标进程接口之间的密钥访问方式,对服务调用请求所对应的响应结果进行转换处理所得到的。
在一些可行的实施方式中,该处理器901可以是中央处理单元(centralprocessing unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(digitalsignal processor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field-programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
该存储器902可以包括只读存储器和随机存取存储器,并向处理器901和输入输出接口903提供指令和数据。存储器902的一部分还可以包括非易失性随机存取存储器。例如,存储器902还可以存储设备类型的信息。
具体实现中,该计算机设备可通过其内置的各个功能模块执行如该图3或图4中各个步骤所提供的实现方式,具体可参见该图3或图4中各个步骤所提供的实现方式,在此不再赘述。
本申请实施例通过提供一种计算机设备,包括:处理器、输入输出接口、存储器,通过处理器获取存储器中的计算机程序,执行该图3中所示方法的各个步骤,进行进程通信操作。本申请实施例实现了业务设备可以接收请求进程所发送的服务调用请求,获取服务调用请求所调用的目标进程接口针对请求进程的目标安全访问策略;基于目标安全访问策略获取请求进程的第一策略请求信息,当基于目标安全访问策略与第一策略请求信息,对请求进程验证通过时,获取请求进程与目标进程接口之间的密钥访问方式;基于密钥访问方式对服务调用请求所对应的响应结果进行转换处理,得到业务响应数据,将业务响应数据发送至请求进程;密钥访问方式用于表示对响应结果的加密方式。通过以上过程,部署了针对进程间通信的安全访问策略,该安全访问策略用于表示各个进程之间的通信要求,在请求进程与目标进程接口之间需要进行通信时,可以基于两者之间的目标安全访问策略,对请求进程与目标进程接口之间的通信安全进行检测,以提高进程通信的安全性,同时,请求进程与目标进程接口之间协商有密钥访问方式,使得可以基于需求,在不同的进程通信中采用不同的密钥访问方式,从而可以灵活管理进程间通信的加密方式,使得可以在保障进程通信安全的情况下,提高进程间通信的灵活性。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序适于由该处理器加载并执行图3或图4中各个步骤所提供的进程通信方法,具体可参见该图3或图4中各个步骤所提供的实现方式,在此不再赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述。作为示例,计算机程序可被部署为在一个计算机设备上执行,或者在位于一个地点的多个计算机设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算机设备上执行。
该计算机可读存储介质可以是前述任一实施例提供的进程通信装置或者该计算机设备的内部存储单元,例如计算机设备的硬盘或内存。该计算机可读存储介质也可以是该计算机设备的外部存储设备,例如该计算机设备上配备的插接式硬盘,智能存储卡(smart media card,SMC),安全数字(secure digital,SD)卡,闪存卡(flash card)等。进一步地,该计算机可读存储介质还可以既包括该计算机设备的内部存储单元也包括外部存储设备。该计算机可读存储介质用于存储该计算机程序以及该计算机设备所需的其他程序和数据。该计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本申请实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行图3或图4中的各种可选方式中所提供的方法,实现了部署了针对进程间通信的安全访问策略,该安全访问策略用于表示各个进程之间的通信要求,在请求进程与目标进程接口之间需要进行通信时,可以基于两者之间的目标安全访问策略,对请求进程与目标进程接口之间的通信安全进行检测,以提高进程通信的安全性,同时,请求进程与目标进程接口之间协商有密钥访问方式,使得可以基于需求,在不同的进程通信中采用不同的密钥访问方式,从而可以灵活管理进程间通信的加密方式,使得可以在保障进程通信安全的情况下,提高进程间通信的灵活性。
本申请实施例的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别不同对象,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或模块,而是可选地还包括没有列出的步骤或模块,或可选地还包括对于这些过程、方法、装置、产品或设备固有的其他步骤单元。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在该说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例提供的方法及相关装置是参照本申请实施例提供的方法流程图和/或结构示意图来描述的,具体可由计算机程序指令实现方法流程图和/或结构示意图的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。这些计算机程序指令可提供到通用计算机、专用计算机、嵌入式处理机或其他可编程进程通信设备的处理器以产生一个机器,使得通过计算机或其他可编程进程通信设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或结构示意图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程进程通信设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或结构示意图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程进程通信设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或结构示意一个方框或多个方框中指定的功能的步骤。
本申请实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
本申请实施例装置中的模块可以根据实际需要进行合并、划分和删减。
以上所揭露的仅为本申请较佳实施例而已,当然不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。

Claims (20)

1.一种进程通信方法,其特征在于,所述方法包括:
接收请求进程所发送的服务调用请求,获取所述服务调用请求所调用的目标进程接口针对所述请求进程的目标安全访问策略;
基于所述目标安全访问策略获取所述请求进程的第一策略请求信息,当基于所述目标安全访问策略与所述第一策略请求信息,对所述请求进程验证通过时,获取所述请求进程与所述目标进程接口之间的密钥访问方式;
基于所述密钥访问方式对所述服务调用请求所对应的响应结果进行转换处理,得到业务响应数据,将所述业务响应数据发送至所述请求进程;所述密钥访问方式用于表示对所述响应结果的加密方式。
2.如权利要求1所述的方法,其特征在于,所述接收请求进程所发送的服务调用请求,包括:
通过请求进程获取目标进程接口的进程请求方式;所述进程请求方式是由所述请求进程与所述目标进程接口之间协商的;
若所述进程请求方式为动态密钥请求方式,则获取所述请求进程与所述目标进程接口之间的第一动态密钥,采用所述第一动态密钥对调用参数进行加密处理,得到动态加密参数,向服务提供进程发送携带所述动态加密参数的服务调用请求,通过所述服务提供进程接收所述请求进程所发送的所述服务调用请求;所述服务提供进程包括所述目标进程接口;
若所述进程请求方式为静态密钥请求方式,则获取所述服务提供进程所对应的服务固定密钥,采用所述服务固定密钥对所述调用参数进行加密处理,得到静态加密参数,向所述服务提供进程发送携带所述静态加密参数的服务调用请求,通过所述服务提供进程接收所述请求进程所发送的所述服务调用请求;
若所述进程请求方式为明文请求方式,则通过所述请求进程向所述服务提供进程发送携带所述调用参数的服务调用请求,通过所述服务提供进程接收所述请求进程所发送的所述服务调用请求。
3.如权利要求1所述的方法,其特征在于,所述获取所述服务调用请求所调用的目标进程接口针对所述请求进程的目标安全访问策略,包括:
获取所述请求进程所对应的请求存储路径,从所述请求存储路径中获取所述请求进程所对应的第一文件修改时间;所述第一文件修改时间是指所述请求进程所对应的文件修改时间中最大的文件修改时间;
根据所述请求存储路径与所述第一文件修改时间,生成所述请求进程所对应的进程标识;
基于所述进程标识,获取所述服务调用请求所调用的目标进程接口针对所述请求进程的目标安全访问策略;所述服务提供进程包括所述目标进程接口。
4.如权利要求1所述的方法,其特征在于,所述获取所述服务调用请求所调用的目标进程接口针对所述请求进程的目标安全访问策略,包括:
获取所述请求进程所对应的请求进程信息,对所述请求进程信息进行解析,得到所述请求进程的进程类型;
获取所述服务调用请求所调用的目标进程接口针对所述进程类型的目标安全访问策略。
5.如权利要求1所述的方法,其特征在于,所述基于所述目标安全访问策略获取所述请求进程的第一策略请求信息,包括:
从所述目标安全访问策略中获取访问参数类型,获取所述请求进程在所述访问参数类型下的参数数据,将所述参数数据确定为所述请求进程的第一策略请求信息;
所述方法还包括:
将所述第一策略请求信息及所述目标安全访问策略,发送至服务提供进程所对应的服务管理设备,以使所述服务管理设备基于所述目标安全访问策略对所述第一策略请求信息进行检测,在所述第一策略请求信息满足所述目标安全访问策略的进程访问条件时,确定对所述请求进程验证通过。
6.如权利要求1所述的方法,其特征在于,所述获取所述请求进程与所述目标进程接口之间的密钥访问方式,包括:
从所述目标安全访问策略中,获取所述请求进程与所述目标进程接口之间的密钥访问方式;或者,
获取所述目标进程接口所关联的接口数据,对所述接口数据进行解析,得到所述接口数据的数据敏感度,将所述数据敏感度对应的加密方式,确定为所述请求进程与所述目标进程接口之间的密钥访问方式。
7.如权利要求1所述的方法,其特征在于,所述基于所述密钥访问方式对所述服务调用请求所对应的响应结果进行转换处理,得到业务响应数据,包括:
若所述密钥访问方式为动态密钥访问方式,则获取所述请求进程与所述目标进程接口之间的第一动态密钥,采用所述第一动态密钥对所述服务调用请求所对应的响应结果进行加密处理,得到业务响应数据;
若所述密钥访问方式为静态密钥访问方式,则获取所述请求进程所对应的请求固定密钥,采用所述请求固定密钥对所述响应结果进行加密处理,得到业务响应数据;
若所述密钥访问方式为明文访问方式,则将所述响应结果确定为业务响应数据。
8.如权利要求1所述的方法,其特征在于,所述方法还包括:
当接收到密钥更新消息时,获取服务管理设备所发送的第一随机参数,通过服务提供进程生成第二随机参数;所述服务提供进程包括所述目标进程接口;
根据所述第一随机参数与所述第二随机参数,生成所述请求进程与所述目标进程接口之间的第二动态密钥;
将所述第二动态密钥发送至所述请求进程,接收所述请求进程基于所述第二动态密钥重新发送的服务调用请求。
9.如权利要求8所述的方法,其特征在于,所述方法还包括:
获取所述第二动态密钥的密钥哈希值,将所述密钥哈希值、所述请求进程及所述目标进程接口之间的关联关系发送至服务管理设备;所述关联关系用于在所述请求进程与所述目标进程接口之间的密钥访问方式为动态密钥访问方式时,所述服务管理设备对所述服务调用请求进行检测。
10.如权利要求1所述的方法,其特征在于,所述服务调用请求携带加密参数;所述方法还包括:
获取针对所述加密参数的第一服务密钥,采用所述第一服务密钥对所述加密参数进行解密处理;
若对所述加密参数解密成功,则根据对所述加密参数解密得到的调用参数,获取所述服务调用请求所对应的响应结果,执行所述基于所述密钥访问方式对所述服务调用请求所对应的响应结果进行转换处理,得到业务响应数据的过程;
若对所述加密参数解密失败,则向所述请求进程发送密钥重置指令,通过所述请求进程生成随机密钥对,将所述随机密钥对中的随机公钥发送至服务提供进程,在所述服务提供进程中,采用所述随机公钥对第二服务密钥进行加密处理,得到密钥加密数据,将所述密钥加密数据发送至所述请求进程中,在所述请求进程中,采用所述随机密钥对中的随机私钥对所述密钥加密数据进行解密,得到所述第二服务密钥,采用所述第二服务密钥对所述调用参数进行重新加密,得到更新加密参数,基于所述更新加密参数向所述服务提供进程重新发送服务调用请求;所述服务提供进程包括所述目标进程接口;所述第一服务密钥与所述第二服务密钥组成密钥对。
11.一种进程通信方法,其特征在于,所述方法包括:
获取由服务提供进程所发送的目标安全访问策略与第一策略请求信息,基于所述目标安全访问策略对所述第一策略请求信息进行检测,得到检测结果;所述目标安全访问策略是指服务调用请求所调用的目标进程接口针对请求进程的策略;所述服务调用请求是由所述请求进程所产生的;所述服务提供进程包括所述目标进程接口;所述第一策略请求信息是基于所述目标安全访问策略获取到的所述请求进程的信息;
将所述检测结果发送至所述服务提供进程,以使所述服务提供进程在所述检测结果指示对所述请求进程验证通过时,向所述请求进程发送业务响应数据;所述业务响应数据是根据所述请求进程与所述目标进程接口之间的密钥访问方式,对所述服务调用请求所对应的响应结果进行转换处理所得到的。
12.如权利要求11所述的方法,其特征在于,所述基于所述目标安全访问策略对所述第一策略请求信息进行检测,得到检测结果,包括:
检测所述目标安全访问策略的策略有效性,若所述目标安全访问策略为无效策略,则获取所述目标进程接口针对所述请求进程的第一安全访问策略,将所述第一安全访问策略发送至所述服务提供进程,以使所述服务提供进程基于所述第一安全访问策略获取所述请求进程的第二策略请求信息;
获取所述服务提供进程所发送的第二策略请求信息,基于所述第一安全访问策略对所述第二策略请求信息进行检测,得到检测结果。
13.如权利要求11所述的方法,其特征在于,所述目标安全访问策略包括安全访问路径,所述第一策略请求信息包括所述请求进程的请求存储路径;
所述基于所述目标安全访问策略对所述第一策略请求信息进行检测,得到检测结果,包括:
若所述请求存储路径属于所述安全访问路径,则将检测成功结果确定为对所述请求进程的检测结果;
若所述请求存储路径不属于所述安全访问路径,则将检测失败结果确定为针对所述请求进程的检测结果。
14.如权利要求11所述的方法,其特征在于,所述目标安全访问策略包括安全访问特征;所述基于所述目标安全访问策略对所述第一策略请求信息进行检测,得到检测结果,包括:
从所述第一策略请求信息中获取与所述安全访问特征相关联的请求进程特征;
若所述请求进程特征符合所述安全访问特征,则将检测成功结果确定为对所述请求进程的检测结果;
若所述请求存储路径不符合所述安全访问特征,则将检测失败结果确定为针对所述请求进程的检测结果。
15.如权利要求11所述的方法,其特征在于,所述方法还包括:
若所述检测结果为检测成功结果,则获取所述请求进程与所述目标进程接口之间的第一动态密钥,检测所述第一动态密钥的有效性;
若所述第一动态密钥为无效密钥,则向所述服务提供进程发送密钥更新消息,所述密钥更新消息包括第一随机参数,以使所述服务提供进程基于所述第一随机参数及生成的第二随机参数,生成所述请求进程与所述目标进程接口之间的第二动态密钥;所述第二动态密钥用于所述请求进程与所述目标进程接口之间进行通信;
若所述第一动态密钥为有效密钥,则执行所述将所述检测结果发送至所述服务提供进程的过程。
16.一种进程通信装置,其特征在于,所述装置包括:
请求接收模块,用于接收请求进程所发送的服务调用请求;
策略获取模块,用于获取所述服务调用请求所调用的目标进程接口针对所述请求进程的目标安全访问策略;
信息获取模块,用于基于所述目标安全访问策略获取所述请求进程的第一策略请求信息;
访问确定模块,用于当基于所述目标安全访问策略与所述第一策略请求信息,对所述请求进程验证通过时,获取所述请求进程与所述目标进程接口之间的密钥访问方式;
数据转换模块,用于基于所述密钥访问方式对所述服务调用请求所对应的响应结果进行转换处理,得到业务响应数据;
响应发送模块,用于将所述业务响应数据发送至所述请求进程;所述密钥访问方式用于表示对所述响应结果的加密方式。
17.一种进程通信装置,其特征在于,所述装置包括:
数据接收模块,用于获取由服务提供进程所发送的目标安全访问策略与第一策略请求信息;
数据检测模块,用于基于所述目标安全访问策略对所述第一策略请求信息进行检测,得到检测结果;所述目标安全访问策略是指服务调用请求所调用的目标进程接口针对请求进程的策略;所述服务调用请求是由所述请求进程所产生的;所述服务提供进程包括所述目标进程接口;所述第一策略请求信息是基于所述目标安全访问策略获取到的所述请求进程的信息;
检测反馈模块,用于将所述检测结果发送至所述服务提供进程,以使所述服务提供进程在所述检测结果指示对所述请求进程验证通过时,向所述请求进程发送业务响应数据;所述业务响应数据是根据所述请求进程与所述目标进程接口之间的密钥访问方式,对所述服务调用请求所对应的响应结果进行转换处理所得到的。
18.一种计算机设备,其特征在于,包括处理器、存储器、输入输出接口;
所述处理器分别与所述存储器和所述输入输出接口相连,其中,所述输入输出接口用于接收数据及输出数据,所述存储器用于存储计算机程序,所述处理器用于调用所述计算机程序,以使得所述计算机设备执行权利要求1-10任一项所述的方法,或者执行权利要求11-15任一项所述的方法。
19.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序适于由处理器加载并执行,以使得具有所述处理器的计算机设备执行权利要求1-10任一项所述的方法,或者执行权利要求11-15任一项所述的方法。
20.一种计算机程序产品,包括计算机程序/指令,其特征在于,所述计算机程序/指令被处理器执行时实现权利要求1-10任一项所述的方法,或者实现权利要求11-15任一项所述的方法。
CN202210867426.1A 2022-07-21 2022-07-21 进程通信方法、装置、计算机、存储介质及程序产品 Pending CN117478744A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210867426.1A CN117478744A (zh) 2022-07-21 2022-07-21 进程通信方法、装置、计算机、存储介质及程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210867426.1A CN117478744A (zh) 2022-07-21 2022-07-21 进程通信方法、装置、计算机、存储介质及程序产品

Publications (1)

Publication Number Publication Date
CN117478744A true CN117478744A (zh) 2024-01-30

Family

ID=89626195

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210867426.1A Pending CN117478744A (zh) 2022-07-21 2022-07-21 进程通信方法、装置、计算机、存储介质及程序产品

Country Status (1)

Country Link
CN (1) CN117478744A (zh)

Similar Documents

Publication Publication Date Title
CN112422532B (zh) 业务通信方法、系统、装置及电子设备
CN107637038B (zh) 用于管理安全发布-订阅系统的生命周期的系统、装置和方法
US10237073B2 (en) Systems and methods for trusted path secure communication
JP5100286B2 (ja) 暗号モジュール選定装置およびプログラム
CN112104665B (zh) 基于区块链的身份验证方法、装置、计算机以及存储介质
US11943350B2 (en) Systems and methods for re-using cold storage keys
CN111737366B (zh) 区块链的隐私数据处理方法、装置、设备以及存储介质
JP7511629B2 (ja) ブロックチェーンを構成するためのセキュリティ層
CN111740826B (zh) 基于加密代理网关的加密方法、解密方法、装置及设备
CN113422683B (zh) 一种边云协同数据传输方法、系统、存储介质及终端
US20210232662A1 (en) Methods to protect stakeholders' algorithms and information in untrusted environments
EP3900300A1 (en) Securing browser cookies
CN112825522A (zh) 可信的数据传输方法、系统、电子设备、存储介质
Huang et al. Implementing publish/subscribe pattern for CoAP in fog computing environment
CN113225351A (zh) 一种请求处理方法、装置、存储介质及电子设备
US20230351028A1 (en) Secure element enforcing a security policy for device peripherals
KR20190111261A (ko) 블록체인 기술을 활용한 보안관제 시스템 및 그 방법
US11258766B2 (en) VNF package signing system and VNF package signing method
Yang et al. Protecting personal sensitive data security in the cloud with blockchain
US20230244797A1 (en) Data processing method and apparatus, electronic device, and medium
US11856091B2 (en) Data distribution system, data processing device, and program
CN111914270A (zh) 基于区块链技术的可编程认证服务方法和系统
JP7191999B2 (ja) ミニプログラムパッケージ送信方法、装置、電子機器コンピュータ可読媒体およびコンピュータプログラム製品
CN111698299B (zh) Session对象复制方法、装置、分布式微服务架构及介质
CN117478744A (zh) 进程通信方法、装置、计算机、存储介质及程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination