一种服务授权方法及相关组件与流程

1.本发明涉及信息安全技术领域，特别是涉及一种服务授权方法及相关组件。


背景技术：

2.随着网络技术的发展，服务器上的服务消费者可以方便地在服务器上调用服务生产者中的服务，服务可以读取数据库或者文件存储或者会操作各种设备，但是在实际使用中，由于没有服务授权的方式，导致服务被任意调用，造成数据的泄漏或各种资源的损失。


技术实现要素：

3.本发明的目的是提供一种服务授权方法及相关组件，避免了服务因被任意调用所带来的数据的泄漏或各种资源的损失的问题，安全性更高。
4.为解决上述技术问题，本发明提供了一种服务授权方法，应用于分布式系统中的任一个第一服务器上的服务生产者，所述分布式系统中包括m个所述第一服务器和n个第二服务器，所述第一服务器为向服务消费者提供服务的所述服务生产者所在的服务器，所述第二服务器为请求调用所述服务生产者的服务的所述服务消费者所在的服务器；
5.所述服务授权方法包括：
6.安装第一预设服务授权信息，所述第一预设服务授权信息为根据授权鉴权算法、自身的第一私钥及加密后的m个所述第一服务器的物理信息和n个所述第二服务器的物理信息生成，m和n均为正整数；
7.在接收到任一个所述服务消费者发送的服务调用的请求时，接收发送所述请求的服务消费者发送的授权码信息，所述授权码信息为发送所述请求的服务消费者根据自身的第二公钥调用自身的第二预设服务授权信息生成，所述授权码信息包括授权码，所述第二预设授权信息为发送所述请求的服务消费者根据所述授权鉴权算法、自身的与所述第二公钥对应的第二私钥及加密后的m个所述第一服务器的物理信息和n个所述第二服务器的物理信息生成；
8.根据自身的与所述第一私钥对应的第一公钥及所述第一预设服务授权信息对所述授权码鉴权；
9.若鉴权通过，则响应发送所述请求的服务消费者允许调用所述服务生产者中的服务；
10.若鉴权不通过，则响应发送所述请求的服务消费者不允许调用所述服务生产者中的服务。
11.优选的，所述授权码信息还包括授权码的有效期；
12.根据自身的与所述第一私钥对应的第一公钥及所述第一预设服务授权信息对所述授权码鉴权之前，还包括：
13.若接收到所述授权码的时间未超过所述授权码的有效期，则进入根据自身的与所述第一私钥对应的第一公钥及所述第一预设服务授权信息对所述授权码鉴权的步骤；
14.若接收到所述授权码的时间已超过所述授权码的有效期，则响应发送所述请求的服务消费者不允许调用所述服务生产者中的服务，以便发送所述请求的服务消费者重新生成新的授权码信息。
15.优选的，所述第一服务器的物理信息包括所述第一服务器的ip地址及mac地址中的一项或多项的组合；所述第二服务器的物理信息包括所述第二服务器的ip地址及mac地址中的一项或多项的组合。
16.优选的，还包括：
17.监测所述分布式系统中的所述第一服务器的数量及所述第二服务器的数量；
18.若所述第一服务器的数量和/或所述第二服务器的数量发生变化，则对应更新所述第一预设服务授权信息并重新安装。
19.优选的，若所述第一服务器的数量和/或所述第二服务器的数量发生变化，则对应更新所述第一预设服务授权信息并重新安装，包括：
20.当所述分布式系统中增加x个第一服务器，和/或，y个第二服务器时，对应的，在加密后的m个所述第一服务器的物理信息中增加x个所述第一服务器的物理信息，和/或，在n个所述第二服务器的物理信息中增加y个所述第二服务器的物理信息，以生成新的第一预设服务授权信息并重新安装，x、y均为正整数。
21.优选的，若所述第一服务器的数量和/或所述第二服务器的数量发生变化，则对应更新所述预设服务授权信息并重新安装，包括：
22.当所述分布式系统中减少k个第一服务器，和/或，l个第二服务器时，对应的，在加密后的m个所述第一服务器的物理信息中减少k个所述第一服务器的物理信息，和/或，在n个所述第二服务器的物理信息中减少l个所述第二服务器的物理信息，以生成新的第一预设服务授权信息并重新安装，k、l均为正整数。
23.优选的，所述授权码信息为发送所述请求的服务消费者根据自身的所述第二公钥周期性调用自身的所述第二预设服务授权信息生成。
24.为解决上述技术问题，本发明还提供了一种服务授权系统，应用于分布式系统中的任一个第一服务器上的服务生产者，所述分布式系统中包括m个所述第一服务器和n个第二服务器，所述第一服务器为向服务消费者提供服务的所述服务生产者所在的服务器，所述第二服务器为请求调用所述服务生产者的服务的所述服务消费者所在的服务器；
25.所述服务授权系统包括：
26.安装单元，用于安装第一预设服务授权信息，所述第一预设服务授权信息为根据授权鉴权算法、自身的第一私钥及加密后的m个所述第一服务器的物理信息和n个所述第二服务器的物理信息生成，m和n均为正整数；
27.接收单元，用于在接收到任一个所述服务消费者发送的服务调用的请求时，接收发送所述请求的服务消费者发送的授权码信息，所述授权码信息为发送所述请求的服务消费者根据自身的第二公钥调用自身的第二预设服务授权信息生成，所述授权码信息包括授权码，所述第二预设授权信息为发送所述请求的服务消费者根据所述授权鉴权算法、自身的与所述第二公钥对应的第二私钥及加密后的m个所述第一服务器的物理信息和n个所述第二服务器的物理信息生成；
28.鉴权单元，用于根据自身的与所述第一私钥对应的第一公钥及所述第一预设服务
授权信息对所述授权码鉴权；
29.响应单元，用于在鉴权通过时响应发送所述请求的服务消费者允许调用所述服务生产者中的服务，在鉴权不通过时响应发送所述请求的服务消费者不允许调用所述服务生产者中的服务。
30.为解决上述技术问题，本发明还提供了一种服务授权装置，包括：
31.存储器，用于存储计算机程序；
32.处理器，用于执行计算机程序时实现如上述所述的服务授权方法的步骤。
33.为解决上述技术问题，本发明还提供了一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述所述的服务授权方法的步骤。
34.本发明提供了一种服务授权方法及相关组件，第二服务器上的服务消费者为了调用任一个第一服务器上的服务生产者的服务，会向服务生产者发送服务调用的请求并根据第二公钥调用第二预设服务授权信息生成授权码信息发送至服务生产者，授权码信息包括授权码，服务生产者会根据自身的第一公钥与第一预设服务授权信息对授权码鉴权，只有鉴权通过时，服务生产者才会响应发送请求的服务消费者允许调用服务生产者中的服务，避免了服务因被任意调用所带来的数据的泄漏或各种资源的损失的问题，安全性更高。
附图说明
35.为了更清楚地说明本发明实施例中的技术方案，下面将对现有技术和实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
36.图1为本发明提供的一种服务授权方法的流程示意图；
37.图2为本发明提供的一种服务授权方法的原理示意图；
38.图3为本发明提供的另一种服务授权方法的原理示意图；
39.图4为本发明提供的一种服务授权系统的结构示意图；
40.图5为本发明提供的一种服务授权装置的结构示意图。
具体实施方式
41.本发明的核心是提供一种服务授权方法及相关组件，避免了服务因被任意调用所带来的数据的泄漏或各种资源的损失的问题，安全性更高。
42.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
43.请参照图1，图1为本技术提供的一种服务授权方法的流程示意图。
44.请参照图2，图2为本技术提供的一种服务授权方法的原理示意图。
45.本发明提供了一种服务授权方法，应用于分布式系统中任一个第一服务器上的服务生产者，分布式系统中包括m个第一服务器和n个第二服务器，第一服务器为向服务消费者提供服务的服务生产者所在的服务器，第二服务器为请求调用服务生产者的服务的服务
消费者所在的服务器；
46.该服务授权方法包括：
47.s11：安装第一预设服务授权信息，第一预设服务授权信息为根据授权鉴权算法、自身的第一私钥及加密后的m个第一服务器的物理信息和n个第二服务器的物理信息生成，m和n均为正整数；
48.s12：在接收到任一个服务消费者发送的服务调用的请求时，接收发送请求的服务消费者发送的授权码信息，授权码信息为发送请求的服务消费者根据自身的第二公钥调用自身的第二预设服务授权信息生成，授权码信息包括授权码，第二预设授权信息为发送请求的服务消费者根据授权鉴权算法、自身的与第二公钥对应的第二私钥及加密后的m个第一服务器的物理信息和n个第二服务器的物理信息生成；
49.s13：根据自身的与第一私钥对应的第一公钥及第一预设服务授权信息判断对授权码鉴权是否通过，若鉴权通过，则进入s14，若鉴权不通过，则进入s15；
50.s14：响应发送请求的服务消费者允许调用服务生产者中的服务；
51.s15：响应发送请求的服务消费者不允许调用服务生产者中的服务。
52.随着服务器和网络应用的日益广泛，服务器上的的服务消费者可以方便地在服务器上调用服务生产者中的服务，服务可以读取数据库或者文件存储或者会操作各种设备，然而目前对服务的调用存在没有服务授权，导致服务被服务消费者任意调用的问题，会造成数据的泄漏或各种资源的损失。
53.为解决上述技术问题，本技术提供了一种服务授权方法，应用于分布式系统中任一个第一服务器上的服务生产者，分布式系统中包括m个服务生产者所在的第一服务器和n个服务消费者所在的第二服务器，首先运维人员会采集m个服务生产者所在的第一服务器和n个服务消费者所在的第二服务器的物理信息，这些物理信息可以为服务器的ip(internet protocol，网际互连协议)地址也可以为服务器的mac(media access control address，介质访问控制)地址或者服务器的其他信息，之后根据一定的加密算法，将采集到的m个服务生产者所在的第一服务器和n个服务消费者所在的第二服务器的物理信息进行加密，于是对于任一个第一服务器上的服务生产者来说，可以根据授权鉴权算法、自身的第一私钥及加密后m个第一服务器的物理信息和n个第二服务器的物理信息生成第一预设服务授权信息并安装在该服务生产者上，其中，由于不同的服务生产者拥有的第一私钥不同，因此其对应的第一预设服务授权信息各不相同；此外，这里的第一预设服务授权信息可以为第一授权so文件；同理，对于任一个第二服务器上的服务消费者来说，可以根据所述授权鉴权算法、自身的第二私钥及加密后的m个第一服务器的物理信息和n个第二服务器的物理信息生成第二预设服务授权信息并安装在该服务消费者上，其中，由于不同的服务消费者拥有的第二私钥不同，因此其对应的第二预设服务授权信息各不相同；同样，这里的第二预设服务授权信息可以为第二授权so文件。
54.于是，对于任一个服务消费者来说，可以向服务生产者发送服务调用的请求并向该服务生产者发送所述服务消费者根据自身的第二公钥调用自身的第二预设服务授权信息生成的授权码信息，授权码信息可以包括授权码。服务生产者会根据自身的与第一私钥对应的第一公钥及第一预设服务授权信息对所述授权码鉴权，校验授权码的合法性，若鉴权通过，则会响应发送请求的服务消费者允许调用服务生产者中的服务；若鉴权不通过，则
响应发送请求的服务消费者不允许访问服务生产者中的服务。由此可见，采用本技术的方案对分布式系统中包括m个服务生产者所在的m个第一服务器和n个服务消费者所在的n个第二服务器进行了授权管控，能够防止服务被任意调用。
55.综上，本技术的服务授权方法，只有服务消费者发送的授权码被鉴权通过时，服务生产者才会响应发送请求的服务消费者允许调用服务生产者中的服务，避免了服务因被任意调用所带来的数据的泄漏或各种资源的损失的问题，安全性更高。
56.在上述实施例的基础上：
57.作为一种优选的实施例，授权码信息还包括授权码的有效期；
58.根据自身的与第一私钥对应的第一公钥及第一预设服务授权信息对授权码鉴权之前，还包括：
59.若接收到授权码的时间未超过授权码的有效期，则进入根据自身的与第一私钥对应的第一公钥及第一预设服务授权信息对授权码鉴权的步骤；
60.若接收到授权码的时间已超过授权码的有效期，则响应发送请求的服务消费者不允许调用服务生产者中的服务，以便发送请求的服务消费者重新生成新的授权码信息。
61.为了能够进一步提升分布式系统的安全性，在本实施例中，授权码信息还包括授权码的有效期，服务消费者根据自身的第二公钥调用自身的第二预设服务授权信息生成的授权码是有一定的使用期限的，即有效期，因此，若接收到授权码的时间未超过授权码的有效期，则服务消费者还可以继续使用该授权码请求调用服务生产者的服务，然后服务生产者根据自身的第一公钥与第一预设服务授权信息对该授权码进行鉴权，验证授权码的合法性，但是若接收到授权码的时间已超过授权码的有效期，则当服务消费者使用已过期的授权码请求调用服务生产者的服务时，服务生产者则会响应发送请求的服务消费者不允许调用服务生产者中的服务，此时服务消费者可以根据自身的第二公钥重新调用第二预设服务授权信息，重新生成新的授权码以将授权码更新，能够防止服务被任意调用，提升了分布式系统的安全性，本技术在此不作特别的限定。
62.作为一种优选的实施例，第一服务器的物理信息包括第一服务器的ip地址及mac地址中的一项或多项的组合；第二服务器的物理信息包括第二服务器的ip地址及mac地址中的一项或多项的组合。
63.在本实施例中第一服务器的物理信息包括第一服务器的ip地址及mac地址中的一项或多项的组合；第二服务器的物理信息包括第二服务器的ip地址及mac地址中的一项或多项的组合，通过将服务器的物理信息与第一预设服务授权信息、第二预设服务授权信息及授权码信息之间建立联系，服务调用授权的安全和可靠性更高。
64.作为一种优选的实施例，还包括：
65.监测分布式系统中的第一服务器的数量及第二服务器的数量；
66.若第一服务器的数量和/或第二服务器的数量发生变化，则对应更新第一预设服务授权信息及第二预设服务授权信息并重新安装。
67.本实施例中，发明人进一步考虑到分布式系统中的第一服务器的数量及第二服务器的数量可能是在不断变化的，因此会监测分布式系统中的第一服务器的数量及第二服务器的数量，这里的具体的监测方式具体可以为实时监测，也可以为间隔一段时间监测，本技术在此不作特别的限定；于是，若第一服务器的数量和/或第二服务器的数量发生变化，则
对应更新第一预设服务授权信息并重新安装；同理，若第一服务器的数量和/或第二服务器的数量发生变化，还可以对应更新第二预设服务授权信息并重新安装，保证了方法的可靠性。
68.请参照图3，图3为本技术提供的另一种服务授权方法的原理示意图。
69.作为一种优选的实施例，若第一服务器的数量和/或第二服务器的数量发生变化，则对应更新第一预设服务授权信息并重新安装，包括：
70.当分布式系统中增加x个第一服务器，和/或，y个第二服务器时，对应的，在加密后的m个第一服务器的物理信息中增加x个第一服务器的物理信息，和/或，在n个第二服务器的物理信息中增加y个第二服务器的物理信息，以生成新的第一预设服务授权信息并重新安装，x、y均为正整数。
71.在本实施例中，当分布式系统中增加x个第一服务器，和/或，y个第二服务器时，为了能够保证服务被调用的安全，运维人员会对第一预设服务授权信息进行更新，在加密后的m个第一服务器的物理信息中增加x个第一服务器的物理信息，和/或，在n个第二服务器的物理信息中增加y个第二服务器的物理信息，以生成新的第一预设服务授权信息并重新安装，对于第二预设服务授权信息的更新同理，使得根据更新前的第二预设服务授权信息生成的授权码失效，服务消费者需要重新根据第二公钥调用更新后的第二预设服务授权信息重新生成新的授权码信息，并根据重新生成的新的授权码信息发起服务调用请求，服务生产者也会根据第一公钥和更新后的第一预设授权信息对新的授权码信息进行鉴权，验证新的授权码信息的合法性，只有服务消费者发送的新的授权码鉴权通过时，服务生产者才会响应发送请求的服务消费者允许调用服务生产者中的服务，避免了服务因被任意调用所带来的数据的泄漏或各种资源的损失的问题，安全性更高。
72.作为一种优选的实施例，若第一服务器的数量和/或第二服务器的数量发生变化，则对应更新预设服务授权信息并重新安装，包括：
73.当分布式系统中减少k个第一服务器，和/或，l个第二服务器时，对应的，在加密后的m个第一服务器的物理信息中减少k个第一服务器的物理信息，和/或，在n个第二服务器的物理信息中减少l个第二服务器的物理信息，以生成新的第一预设服务授权信息并重新安装，k、l均为正整数。
74.在本实施例中，当分布式系统中减少x个第一服务器，和/或，y个第二服务器时，为了能够保证服务被调用的安全，运维人员会对第一预设服务授权信息进行更新，在加密后的m个第一服务器的物理信息中减少x个第一服务器的物理信息，和/或，在n个第二服务器的物理信息中减少y个第二服务器的物理信息，以生成新的第一预设服务授权信息并重新安装，对于第二预设服务授权信息的更新同理，使得根据更新前的第二预设服务授权信息生成的授权码失效，服务消费者需要重新根据第二公钥调用更新后的第二预设服务授权信息重新生成新的授权码信息，并根据重新生成的新的授权码信息发起服务调用请求，服务生产者也会根据第一公钥和更新后的第一预设授权信息对新的授权码信息进行鉴权，验证新的授权码信息的合法性，只有服务消费者发送的新的授权码鉴权通过时，服务生产者才会响应发送请求的服务消费者允许调用服务生产者中的服务，避免了服务因被任意调用所带来的数据的泄漏或各种资源的损失的问题，安全性更高。
75.作为一种优选的实施例，授权码信息为发送请求的服务消费者根据自身的第二公
钥周期性调用自身的第二预设服务授权信息生成。
76.本实施例中，授权码信息可以为发送请求的服务消费者根据自身的第二公钥周期性调用自身的第二预设服务授权信息生成，当然除了所述的周期性调用方式也可以为其他的调用方式，能够实现本技术中的执行逻辑即可。
77.请参照图4，图4为本技术提供的一种服务授权系统的结构示意图。
78.本发明还提供了一种服务授权系统，应用于分布式系统中的任一个第一服务器上的服务生产者，分布式系统中包括m个第一服务器和n个第二服务器，第一服务器为向服务消费者提供服务的服务生产者所在的服务器，第二服务器为请求调用服务生产者的服务的服务消费者所在的服务器；
79.该服务授权系统包括：
80.安装单元41，用于安装第一预设服务授权信息，第一预设服务授权信息为根据授权鉴权算法、自身的第一私钥及加密后的m个第一服务器的物理信息和n个第二服务器的物理信息生成，m和n均为正整数；
81.接收单元42，用于在接收到任一个服务消费者发送的服务调用的请求时，接收发送请求的服务消费者发送的授权码信息，授权码信息为发送请求的服务消费者根据自身的第二公钥调用自身的第二预设服务授权信息生成，授权码信息包括授权码，第二预设授权信息为发送请求的服务消费者根据授权鉴权算法、自身的与第二公钥对应的第二私钥及加密后的m个第一服务器的物理信息和n个第二服务器的物理信息生成；
82.鉴权单元43，用于根据自身的与第一私钥对应的第一公钥及第一预设服务授权信息对授权码鉴权；
83.响应单元44，用于在鉴权通过时响应发送请求的服务消费者允许调用服务生产者中的服务，在鉴权不通过时响应发送请求的服务消费者不允许调用服务生产者中的服务。
84.对于本发明提供的一种服务授权系统的介绍请参照上述方法实施例，本发明在此不再赘述。
85.请参照图5，图5为本技术提供的一种服务授权装置的结构示意图。
86.本发明还提供了一种服务授权装置，包括：
87.存储器51，用于存储计算机程序；
88.处理器52，用于执行计算机程序时实现如上述所述的服务授权方法的步骤。
89.对于本发明提供的一种服务授权装置的介绍请参照上述服务授权方法的实施例，本发明在此不再赘述。
90.本发明还提供了一种存储介质，存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述所述的服务授权方法的步骤。
91.对于本发明提供的一种存储介质的介绍请参照上述服务授权方法的实施例，本发明在此不再赘述。
92.需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设
备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
93.对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其他实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。