申请/专利权人：福建福诺移动通信技术有限公司

申请日：2020-12-04

公开（公告）日：2024-03-22

公开（公告）号：CN112416528B

主分类号：G06F9/455

分类号：G06F9/455;G06F21/52;G06F21/60;G06F21/64

优先权：

专利状态码：有效-授权

法律状态：2024.03.22#授权;2021.03.16#实质审查的生效;2021.02.26#公开

摘要：本发明涉及一种实现非侵入性的微服务间接口安全调用的方法，两个主应用MS_A与MS_B，分别部署在不同的Kubernetes节点Pod_A与Pod_B上，主应用对应承载的容器分别为MSC_A与MSC_B；配置两个Pod节点上的Init容器和伴生容器，并在伴生容器上部署运行功能模块MSCP。应用发布部署系统将主应用镜像对应的应用名称MS_NAME、应用镜像MD5值MS_MD5、通讯密钥MS_KEY和该应用访问的其他应用列表记录到ConfigServer中，MSCP读取主应用镜像的MD5值与该应用在ConfigServer注册的MD5值进行比对，验证主应用的身份并确保该应用未被篡改；MSCP将MS_A的密钥加上MS_B的密钥形成组合密钥MS_KEY_A+MS_KEY_B，MS_B，对MSCP服务拦截到MS_A的MSCP发送给MS_B的加密后的报文，再次校验MS_B的MD5值后，将解密后的报文转发给MS_B。本发明实现应用身份确认，防止主应用被仿冒或被篡改。

主权项：1.一种实现非侵入性的微服务间接口安全调用的方法，其特征在于：包括以下步骤：步骤S1：提供两个微服务应用MS_A与MS_B，分别部署在两个不同的Kubernetes节点Pod_A与Pod_B上，对应承载的容器即主应用容器分别为MSC_A与MSC_B；同时，在Pod_A与Pod_B节点上，为每个主应用的容器部署一个伴生容器，MSC_A、MSC_B对应的伴生容器分别为PXC_A、PXC_B；步骤S2：配置Pod节点即节点Pod_A与Pod_B上的专用容器即Init容器，该容器在主应用容器和伴生容器启动之前运行，在Init容器中配置运行iptables命令或脚本，通过该iptables命令实现由伴生容器进行透明流量劫持，即根据全局微服务地址段和端口范围，将主应用容器访问外部微服务以及外部微服务访问该主应用容器的进出流量，通过iptables命令配置转发到伴生容器上；步骤S3：在两个伴生容器上分别部署运行关键功能模块即微服务通信代理模块MSCP服务，用以完成步骤S4至步骤S7的过程；步骤S4：Kubernetes的应用发布部署系统在每次更新主应用容器MSC_A与MSC_B的主应用镜像时，将该镜像对应的应用名称MS_NAME、应用镜像MD5值MS_MD5、通讯密钥MS_KEY、以及该应用能够访问的其他应用列表记录到微服务框架的ConfigServer中，ConfigServer用以将这些信息同步给所有的MSCP服务，则全局的MSCP服务就能够获取到所有应用的名称、镜像MD5值、密钥及可访问目标应用列表；步骤S5：当MS_A要调用MS_B时，由MS_A服务生成请求报文并且发送给MS_B服务，MS_A的伴生容器PXC_A上部署的MSCP服务会拦截该请求报文，并且进行合法性校验；步骤S6：MSCP通过步骤S5确认调用发起方主应用MS_A身份合法性与访问权限后，将MS_A的密钥加上MS_B的密钥形成组合密钥MS_KEY_A+MS_KEY_B，然后使用该组合密钥对报文进行对称加密，并且由MSCP负责将加密后的请求报文发送给对端服务即MS_B；步骤S7：MS_B对应伴生容器中部署的MSCP服务拦截到MS_A的MSCP发送给MS_B的加密后的报文，首先根据调用者标识进行鉴权，鉴权通过后根据调用者应用标识采用组合密钥MS_KEY_A+MS_KEY_B对报文进行解密，最后再次校验MS_B的MD5值后，将解密后的报文转发给MS_B；即完成了一次从MS_A应用到MS_B应用间的调用。

全文数据：

权利要求：

百度查询： 福建福诺移动通信技术有限公司 一种实现非侵入性的微服务间接口安全调用的方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD