一种服务准入的管理方法及装置

本发明涉及互联网技术领域，具体涉及一种服务准入的管理方法及装置。

微服务是一种架构风格，一个大型复杂软件由一个或多个微服务组成。系统中的各个微服务可被独立部署，各个微服务之间是松耦合的。每个微服务仅关注于完成一件任务并很好地完成该任务。在所有情况下，每个任务代表着一个小的业务能力。

随着微架构的流行，尤其是容器的大规模应用以后，由多种微服务共同协助，构成一个相对功能强大的应用的案例越来越多。在微服务架构中服务实例的服务注册是必不可少的功能。注册中心会根据配置自动地将收到的服务实例信息(主要包含服务实例名称、服务实例部署网络地址、运行状态)进行注册。另一方面，微服务架构允许重名的服务实例注册，利用相同名称的服务实例会被视为同一业务能力服务的分身。当微服务架构的API管理系统收到服务消费者的同一种业务请求后会通过负载均衡的能力将业务请求分配给多个具备相同业务能力的服务实例。

这样就导致了在现有的微服务架构中，服务注册功能都存在一个相同的问题，即只要服务实例符合注册中心的注册配置，即可进行注册，注册成功后即可对外提供服务。这问题可能导致两个安全风险：一、擅自注册服务提供给网关外侧的服务消费者使用，成为绕过网关安全防护进入网关内部的通道。二、注册冒充的服务实例，获取服务消费者来访问服务实例时提交的数据信息，导致信息泄露。

因此一种满足安全需求的服务准入管理方法及装置亟待出现。

本发明公开一种服务准入的管理方法，所述方法包含：

服务发布方向注册中心发送申请服务实例的服务准入token请求；

所述注册中心审批所述申请服务实例的服务准入token请求；

如果审批通过，所述注册中心根据所述申请服务实例的服务准入token请求中携带的内容，制作服务实例的服务准入token，生成、存储所述申请服务实例的服务准入token的审批记录，并将所述服务实例的服务准入token返回给所述服务发布方；如果审批不通过，向所述服务发布方返回所述申请服务实例的服务准入token请求的驳回通知；

所述服务发布方接收所述服务实例的服务准入token后，将所述服务准入token设置在所述服务实例的注册配置信息里，然后向所述注册中心发送所述服务实例的服务注册请求；

所述注册中心对所述服务实例的服务注册请求中携带的注册配置信息中的服务准入token进行确认鉴权；如果鉴权成功，所述注册中心根据所述服务实例的服务注册请求中携带的注册配置信息对所述服务实例进行服务注册；否则，向服务发布方发送所述服务实例的服务注册请求的驳回通知。

优选的，所述注册中心根据所述服务实例的服务注册请求中携带的注册配置信息对所述服务实例进行服务注册后，所述方法还包含：

服务审计方向所述注册中心发送服务实例的服务审计请求，所述服务实例的服务审计请求中携带包含服务实例名称和服务实例部署网络地址的内容；

所述注册中心用接收到的所述服务审计请求中携带的服务实例名称和服务实例部署网络地址去匹配所述审批记录中的相对应内容；如果匹配成功，所述注册中心向所述服务审计方返回所述申请服务实例的服务准入token的审批记录，供服务审计方追溯所述服务实例的服务发布方；否则，向所述服务审计方返回所述服务实例的服务审计请求的驳回通知。

具体的，所述服务发布方向注册中心发送申请服务实例的服务准入token请求中携带包含服务发布方账号、服务实例名称和服务实例部署网络地址的内容。

具体的，所述注册中心审批所述申请服务实例的服务准入token请求的方法包含：

所述注册中心用所述申请服务实例的服务准入token请求中包含的服务实例名称和服务实例部署网络地址去匹配当前的服务准入token审批记录集合中的服务实例名称和服务实例部署网络地址，若匹配不成功，则审批通过；否则，审批不通过。

具体的，所述注册中心根据所述申请服务实例的服务准入token请求中携带的内容，制作服务实例的服务准入token，生成、存储所述申请服务实例的服务准入token的审批记录的方法包含：

所述注册中心生成所述申请服务实例的服务准入token的审批记录并存储，所述审批记录包含：服务实例的服务准入token，服务发布方账号，服务实例名称，服务实例部署网络地址。

具体的，所述注册中心对所述服务实例的服务注册请求中携带的注册配置信息中的服务准入token进行确认鉴权的方法包含：

步骤一，所述注册中心用所述服务实例的服务注册请求中携带的服务准入token去匹配当前的服务准入token的审批记录集合中相对应内容；如果匹配成功，则执行步骤二；否则，鉴权失败，所述注册中心向服务发布方返回所述服务实例的服务注册请求的驳回通知；

步骤二，如果步骤一匹配成功，所述注册中心按照所述服务准入token审批记录中的服务实例名称和服务实例部署网络地址，发起http访问请求，若http协议请求返回状态为访问成功，则鉴权成功；否则，鉴权失败，所述注册中心向服务发布方返回所述服务实例的服务注册请求的驳回通知。

本发明还公开一种服务准入的管理装置，包括服务发布单元和注册中心，其中：

服务发布单元，用于向注册中心发送申请服务实例的服务准入token请求；并接收所述注册中心返回的所述服务实例的服务准入token，然后将所述服务准入token设置在所述服务实例的注册配置信息里，或者，接收所述注册中心发送的所述申请服务实例的服务准入token请求的驳回通知；还用于所述服务准入token设置完成后，向所述注册中心发送所述服务实例的服务注册请求；还用于接收所述注册中心返回的所述服务实例的服务注册请求的驳回通知；

注册中心，用于接收所述服务发布单元发送的申请服务实例的服务准入token请求；审批所述申请服务实例的服务准入token请求；如果审批通过，根据所述申请服务实例的服务准入token请求中携带的内容，制作服务实例的服务准入token，生成、存储所述申请服务实例的服务准入token的审批记录，并将所述服务实例的服务准入token返回给所述服务发布单元；如果审批不通过，向所述服务发布单元返回所述申请服务实例的服务准入token请求的驳回通知；还用于接收所述服务发布单元发送的所述服务实例的服务注册请求，对所述服务实例的服务注册请求中携带的注册配置信息中的服务准入token进行确认鉴权，如果鉴权成功，根据所述服务实例的服务注册请求中携带的所述注册配置信息对所述服务实例进行服务注册；否则，向所述服务发布单元发送所述服务实例的服务注册请求的驳回通知。

具体的，所述服务发布单元包括：

token请求处理模块，用于向注册中心发送申请服务实例的服务准入token请求；并接收所述注册中心返回的所述服务实例的服务准入token；或者，接收所述注册中心返回的所述申请服务实例的服务准入token请求的驳回通知；

token设置模块，用于将所述token请求处理模块获得的服务准入token设置在服务实例的注册配置信息里；

服务注册请求处理模块，收到token设置模块已经设置完毕服务准入token的服务实例后，向所述注册中心发送所述服务实例的服务注册请求；还用于接收所述注册中心返回的所述服务实例的服务注册请求的驳回通知。

具体的，所述注册中心包括：

token审批与制作模块，用于接收所述服务发布单元发送的申请服务实例的服务准入token请求，审批所述申请服务实例的服务准入token请求；如果审批通过，根据所述申请服务实例的服务准入token请求中携带的内容，制作服务实例的服务准入token；生成、存储所述申请服务实例的服务准入token的审批记录，并将所述服务实例的服务准入token返回给所述服务发布单元；如果审批不通过，向所述服务发布单元返回所述申请服务实例的服务准入token请求的驳回通知；

所述审批记录内容包含：服务实例的服务准入token，服务发布方账号，服务实例名称，服务实例部署网络地址；

鉴权与注册模块，用于接收所述服务发布单元发送的服务实例的服务注册请求；对所述服务实例的服务注册请求中携带的注册配置信息中的服务准入token进行确认鉴权；如鉴权成功，根据所述服务实例的服务注册请求中携带的注册配置信息对所述服务实例进行服务注册；若鉴权失败，向所述服务发布单元发送所述服务实例的服务注册请求的驳回通知。

优选的，所述装置还包括：

服务审计单元，用于向所述注册中心发送服务实例的服务审计请求，所述服务实例的服务审计请求中携带包含服务实例名称和服务实例部署网络地址的内容；还用于接收所述注册中心返回的所述申请服务实例的服务准入token的审批记录，或者，接收所述注册中心返回的所述服务实例的服务审计请求的驳回通知；

且所述注册中心还包括审计请求处理模块，用于接收所述服务审计单元发送的服务实例的服务审计请求；并用接收到的所述服务审计请求中携带的服务实例名称和服务实例部署网络地址去匹配当前审批记录集合中的相对应内容；如果匹配成功，向所述服务审计方返回所述申请服务实例的服务准入token的审批记录，供服务审计方追溯所述服务实例的服务发布方；否则，向所述服务审计方返回所述服务实例的服务审计请求的驳回通知。

与现有技术中服务实例可以随意注册存在重大安全隐患的现状相比，本发明将服务发布前，经申请、审批、发放的服务准入token作为服务准入管理的关键要素，把服务实例、服务发布方、服务准入token关联在一起；使用服务注册时对服务准入token进行确认鉴权的技术方法在服务注册时增加一个安全性限制，仅允许携带经审批发放的服务准入token的服务实例在注册中心注册，提高了服务注册的安全性。优选的，本发明还公开了服务审计的方法，让所有对外提供服务的服务实例都可以追溯到服务发布方，可对擅自注册服务实例和注册假冒服务实例进行追责。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例一提供一种服务准入的管理方法流程示意图；

图2为本申请实施例二提供的方法流程示意图；

图3为本申请实施例三提供的一种服务准入管理装置结构示意图；

图4为本申请实施例四提供的装置结构示意图。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，图1为本申请实施例一提供的一种服务准入的管理方法流程示意图，所述方法包含：

步骤S101：服务发布方向注册中心发送申请服务实例的服务准入token请求。

服务发布方负责将在微服务架构中部署服务实例、以及为服务实例请求服务注册，服务发布方账号是服务发布方的唯一标识。

服务发布方在部署服务实例之后、请求服务注册之前，需申请服务实例的服务准入token。

注册中心是微服务架构中的重要组件，负责微服务架构中的服务注册功能。

所述服务发布方向所述注册中心发送申请服务实例的服务准入token请求时，需携带基本信息，向注册中心声明自身身份和服务实例的属性，便于收到回应和安全管理，例如服务发布方账号、服务实例名称和服务实例部署网络地址。

步骤S102：所述注册中心审批所述申请服务实例的服务准入token请求。

所述注册中心审批所述申请服务实例的服务准入token请求的方法包含：

所述注册中心用所述申请服务实例的服务准入token请求中包含的服务实例名称和服务实例部署网络地址去匹配当前的服务准入token审批记录集合中的服务实例名称和服务实例部署网络地址，若匹配不成功，则审批通过；否则，审批不通过。

鉴于每一个服务实例具有唯一的身份属性，即服务实例名称和网络部署地址，若身份属性信息匹配不成功，则表示未向该服务实例发放过服务准入token，因而审批通过，可以发放服务准入token；否则，表示该服务实例已经获得了服务准入token，审批不通过，不重复发放token。通过本审批可以保证对外发布的服务实例的唯一性，为服务审计追溯追责提供基础保障。

需要说明的是，还可根据实际业务需求增加审批规则，例如通过关联服务发布方账号白名单，可以仅允许在可信范围内的账号才能进行服务注册；还可以通过关联开通新服务的工单，可以对服务注册增加业务内容进行限制。

步骤S103：如果审批通过，所述注册中心根据所述申请服务实例的服务准入token请求中携带的内容，制作服务实例的服务准入token，生成、存储所述申请服务实例的服务准入token的审批记录，并将所述服务实例的服务准入token返回给所述服务发布方。

所述注册中心根据所述申请服务实例的服务准入token请求中携带的内容，制作服务实例的服务准入token，生成、存储所述申请服务实例的服务准入token的审批记录的方法包含：

所述注册中心生成所述申请服务实例的服务准入token的审批记录并存储，所述审批记录包含：服务实例的服务准入token，服务发布方账号，服务实例名称，服务实例部署网络地址。

所述注册中心制作服务实例的服务准入token的方法是：取出所述服务准入token请求内容中的服务发布方账号，服务实例名称，服务实例部署网络地址后使用哈希算法计算得出token。所述服务准入token具有唯一性；所述服务准入token和服务实例一一对应；同时所述具有唯一性的服务准入token可作为所述审批记录的唯一性标识，为后续的确认鉴权、服务审计提供基础保障；所述服务准入token具有不可逆性，非法使用者无法通过token逆运算出服务发布方账号，服务实例名称，服务实例部署网络地址。将token作为服务准入的安全性限制手段比直接利用服务实例名称和服务实例部署网络地址进行比对更加便捷和安全。

所述审批记录可以保存在数据库、文件、内存等存储介质中。

需要说明的是，还可根据实际业务需求增加审批记录的内容，例如：申请服务实例的服务准入token请求编号，申请服务实例的服务准入token请求发起时间，申请服务实例的服务准入token请求审批时间，服务实例的服务准入token发送时间。

步骤S104：如果审批不通过，所述注册中心向所述服务发布方返回所述申请服务实例的服务准入token请求的驳回通知。

步骤S105：所述服务发布方接收所述服务实例的服务准入token后，将所述服务准入token设置在所述服务实例的注册配置信息里，然后向所述注册中心发送所述服务实例的服务注册请求。

步骤S106：所述注册中心对所述服务实例的服务注册请求中携带的注册配置信息中的服务准入token进行确认鉴权。

所述注册中心对所述服务实例的服务注册请求中携带的注册配置信息中的服务准入token进行确认鉴权的方法包含：

步骤一，所述注册中心用所述服务实例的服务注册请求中携带的服务准入token去匹配当前的服务准入token的审批记录集合中的服务实例的服务准入token；如果匹配成功，则执行步骤二；否则，鉴权失败，所述注册中心向服务发布方返回所述服务实例的服务注册请求的驳回通知；

通过步骤一，首先可以驳回未获得服务准入token的服务实例的服务注册请求，其次可以判定服务注册申请携带的服务准入token是否是经过审批后发放的，筛查出伪造的服务准入token。

步骤二，如果步骤一匹配成功，所述注册中心按照所述审批记录中记载的服务实例名称和服务实例部署网络地址，发起http访问请求，若http协议请求返回状态为访问成功，则鉴权成功。

通过步骤二，首先可以确认服务实例已经部署成功，其次是确认服务实例的名称和实际部署网络地址与申请时的信息一致。以上两步均成功，才能鉴权成功。

步骤S107：如果鉴权成功，所述注册中心根据所述服务实例的服务注册请求中携带的注册配置信息对所述服务实例进行服务注册。

服务注册就是维护服务注册表，即根据服务实例的网络地址和运行状态，对服务注册表中的服务实例进行注册和注销。服务注册表是一个包含了服务实例网络地址的列表，只有在服务注册表中的服务实例才能对外提供服务。

步骤S108：如果鉴权失败，所述注册中心向服务发布方发送所述服务实例的服务注册请求的驳回通知。

与现有技术中服务实例可以随意注册存在重大安全隐患的现状相比，本发明对服务注册进行了管理。将服务发布前，经申请、审批、发放的服务准入token作为服务准入管理的关键要素，把服务实例、服务发布方、服务准入token关联在一起；使用服务注册时对服务准入token进行确认鉴权的技术方法在服务注册时增加一个安全性限制，仅允许携带经审批发放的服务准入token的服务实例在注册中心注册，提高了服务注册的安全性。

图2为本申请实施例二提供方法流程示意图，服务实例经过服务注册对外提供服务后，还可利用服务准入token进行审计，所述方法包含：

步骤S201：服务发布方向注册中心发送申请服务实例的服务准入token请求。

步骤S202：所述注册中心审批所述申请服务实例的服务准入token请求。

步骤S203：如果审批通过，所述注册中心根据所述申请服务实例的服务准入token请求中携带的内容，制作服务实例的服务准入token，生成、存储所述申请服务实例的服务准入token的审批记录，并将所述服务实例的服务准入token返回给所述服务发布方。

步骤S204：如果审批不通过，所述注册中心向所述服务发布方返回所述申请服务实例的服务准入token请求的驳回通知。

步骤S205：所述服务发布方接收所述服务实例的服务准入token后，将所述服务准入token设置在所述服务实例的注册配置信息里，然后向所述注册中心发送所述服务实例的服务注册请求。

步骤S206：所述注册中心对所述服务实例的服务注册请求中携带的注册配置信息中的服务准入token进行确认鉴权。

步骤S207：如果鉴权成功，所述注册中心根据所述服务实例的服务注册请求中携带的注册配置信息对所述服务实例进行服务注册。

步骤S208：如果鉴权失败，所述注册中心向服务发布方发送所述服务实例的服务注册请求的驳回通知。

步骤S209：服务审计方向所述注册中心发送服务实例的服务审计请求，所述服务实例的服务审计请求中携带包含服务实例名称和服务实例部署网络地址的内容。

服务审计方是独立于服务发布方和注册中心的第三方，主要负责对特定的、已完成服务注册对外提供服务的服务实例，追溯其服务发布方。

步骤210：所述注册中心用接收到的所述服务审计请求中携带的服务实例名称和服务实例部署网络地址去匹配当前审批记录集合中的相对应内容。

因相同名称的服务实例不允许部署在同一网络地址，所述网络地址包括IP地址和端口号，所以通过比对服务实例名称和服务实例部署网络地址，只能匹配到唯一一条申请服务实例的服务准入token的审批记录，所述审批记录中记录了服务发布方的账号。通过所述服务发布方的账号可以追溯服务发布方。

步骤211：如果匹配成功，所述注册中心向所述服务审计方返回所述申请服务实例的服务准入token的审批记录，供服务审计方追溯所述服务实例的服务发布方。

步骤212：如果匹配失败，所述注册中心向所述服务审计方返回所述服务实例的服务审计请求的驳回通知。

与现有技术中服务实例可以随意注册存在重大安全隐患的现状相比，本发明对服务注册进行了管理。将服务发布前，经申请、审批、发放的服务准入token作为服务准入管理的关键要素，把服务实例、服务发布方、服务准入token关联在一起；使用服务注册时对服务准入token进行确认鉴权的技术方法在服务注册时增加一个安全性限制，仅允许携带经审批发放的服务准入token的服务实例在注册中心注册，提高了服务注册的安全性。结合对已注册成功的服务实例进行服务审计，使得所有的对外提供服务的服务实例都可以追溯到服务发布方；从而实现一种安全可信的可追溯的服务准入管理能力。

本发明实施例三公开了一种服务准入管理装置,结构示意如图3所示：

服务发布单元M1，用于向注册中心M2发送申请服务实例的服务准入token请求；并接收所述注册中心M2返回的所述服务实例的服务准入token，然后将所述服务准入token设置在所述服务实例的注册配置信息里，或者，接收所述注册中心M2发送的所述申请服务实例的服务准入token请求的驳回通知；还用于所述服务准入token设置完成后，向所述注册中心M2发送所述服务实例的服务注册请求；还用于接收所述注册中心M2返回的所述服务实例的服务注册请求的驳回通知。

注册中心M2，用于接收所述服务发布单元M1发送的申请服务实例的服务准入token请求；审批所述申请服务实例的服务准入token请求；如果审批通过，根据所述申请服务实例的服务准入token请求中携带的内容，制作服务实例的服务准入token，生成、存储所述申请服务实例的服务准入token的审批记录，并将所述服务实例的服务准入token返回给所述服务发布单元M1；如果审批不通过，向所述服务发布单元M1返回所述申请服务实例的服务准入token请求的驳回通知；还用于接收所述服务发布单元M1发送的所述服务实例的服务注册请求，对所述服务实例的服务注册请求中携带的注册配置信息中的服务准入token进行确认鉴权，如果鉴权成功，根据所述服务实例的服务注册请求中携带的所述注册配置信息对所述服务实例进行服务注册；否则，向所述服务发布单元M1发送所述服务实例的服务注册请求的驳回通知。

所述审批记录可以保存在数据库、文件、内存等存储介质中。

优选的，所述装置还可以包括服务审计单元M3，用于向所述注册中心M2发送服务实例的服务审计请求，所述服务实例的服务审计请求中携带包含服务实例名称和服务实例部署网络地址的内容；还用于接收所述注册中心M2返回的所述申请服务实例的服务准入token的审批记录，以追溯所述服务实例的服务发布方；或者，接收所述注册中心M2返回的所述服务实例的服务审计请求的驳回通知。

本发明实施例四进一步公开了一种服务准入管理装置，结构示意如图4所示：

服务发布单元M1进一步包括：

token请求处理模块M11，用于向token审批与制作模块M21发送申请服务实例的服务准入token请求；并接收token审批与制作模块M21返回的所述服务实例的服务准入token；或者，接收token审批与制作模块M21返回的所述申请服务实例的服务准入token请求的驳回通知；

token设置模块M12，用于将从token请求处理模块M11获得的服务准入token设置在服务实例的注册配置信息里；

服务注册请求处理模块M13，收到token设置模块M12已经设置完毕服务准入token的服务实例后，向所鉴权与注册模块M22发送所述服务实例的服务注册请求；还用于接收鉴权与注册模块M22返回的所述服务实例的服务注册请求的驳回通知。

注册中心M2进一步包括：

token审批与制作模块M21，用于接收token请求处理模块M11发送的申请服务实例的服务准入token请求，审批所述申请服务实例的服务准入token请求；如果审批通过，根据所述申请服务实例的服务准入token请求中携带的内容，制作服务实例的服务准入token；生成所述申请服务实例的服务准入token的审批记录，保存于审批记录集合DB中，并将所述服务实例的服务准入token返回给token请求处理模块M11；如果审批不通过，向所述token请求处理模块M11返回所述申请服务实例的服务准入token请求的驳回通知；

所述审批记录内容包含：服务实例的服务准入token，服务发布方账号，服务实例名称，服务实例部署网络地址；

鉴权与注册模块M22，用于接收服务注册请求处理模块M13发送的服务实例的服务注册请求；对所述服务实例的服务注册请求中携带的注册配置信息中的服务准入token进行确认鉴权；如鉴权成功，根据所述服务实例的服务注册请求中携带的注册配置信息对所述服务实例进行服务注册；若鉴权失败，向服务注册请求处理模块M13发送所述服务实例的服务注册请求的驳回通知。

审计请求处理模块M23，用于接收服务审计单元M3发送的服务实例的服务审计请求；并用接收到的所述服务审计请求中携带的服务实例名称和服务实例部署网络地址去匹配所述审批记录集合DB中的相对应内容；如果匹配成功，向服务审计单元M3返回所述申请服务实例的服务准入token的审批记录，供服务审计方追溯所述服务实例的服务发布方；否则，向服务审计单元M3返回所述服务实例的服务审计请求的驳回通知。

服务审计单元M3，用于向所述注册中心M2发送服务实例的服务审计请求，所述服务实例的服务审计请求中携带包含服务实例名称和服务实例部署网络地址的内容；还用于接收所述注册中心M2返回的所述申请服务实例的服务准入token的审批记录，以追溯所述服务实例的服务发布方；或者，接收所述注册中心M2返回的所述服务实例的服务审计请求的驳回通知。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、单元和单元的具体对应工作过程，可以参考前述方法步骤，在此不再赘述。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。