一种分布式服务数据加密、脱敏的方法与流程

1.本发明涉及的是数据处理、服务调用技术领域，具体涉及一种分布式服务数据加密、脱敏的方法。


背景技术：

2.在互联网分布式系统中，对于某个请求资源(api)，往往需要多个服务间协同工作才能完成，这就涉及多个协同工作服务之间的数据交互和聚合。而各个协同工作的服务自身由于信息安全的要求，往往会对部分敏感数据执行加密和脱敏等安全策略，这样多个协同工作服务之间的数据交互和聚合就产生了一定的壁垒，且各个服务间安全策略相互独立，难以管理。
3.综上所述，本发明设计了一种分布式服务数据加密、脱敏的方法。


技术实现要素：

4.针对现有技术上存在的不足，本发明目的是在于提供一种分布式服务数据加密、脱敏的方法，保证协同服务自身信息安全的同时，消除因安全策略造成的数据壁垒，保证分布式服务的安全性和高可用性。
5.为了实现上述目的，本发明是通过如下的技术方案来实现：分布式服务数据加密、脱敏的方法，包括以下步骤：
6.1、将服务中需要安全策略的api通过一组元数据标记不同的描述信息；
7.2、启动服务后应用程序解析被元数据标记过的api；
8.3、服务上报经应用程序解析过的api和相应的元数据至信息安全中心；
9.4、将api和相应的元数据散列保存(内存或redis)；
10.5、网关层(gateway)拦截所有请求资源(api)，解析获取请求资源(api)的元数据；
11.6、根据解析获取的元数据执行请求资源(api)安全策略。
12.作为优选，所述的步骤5具体如下：
13.a、获取请求资源(api)的调用链信息(zipkin或自建跟踪信息)；
14.b、解析调用链并拿到请求资源(api)的元数据。
15.作为优选，所述的步骤b具体如下：
16.i、基于敏感数据对内网协同服务开放，对资源(api)调用者屏蔽，需解析调用链，定位请求资源(api)的直接服务api(直接提供数据的服务)；
17.ii、获取直接服务api的元数据，作为请求资源(api)的元数据。
18.作为优选，所述的步骤6具体包括：
19.a、请求资源不存在对应的元数据，则放行，返回原始数据；
20.b、请求资源(api)存在对应元数据，则解析元数据，执行对应的安全策略完成对返回数据的修饰，并返回修饰后数据。
21.本发明具有以下有益效果：
22.本发明可以很好地解决在分布式系统中(例如微服务)，因服务之间安全策略的隔离导致的数据壁垒，可以极大的提升分布式服务的数据安全性和可用性。
具体实施方式
23.为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。
24.本具体实施方式采用以下技术方案：分布式服务数据加密、脱敏的方法，包括以下步骤：
25.1、将服务中需要安全策略的api通过一组元数据标记不同的描述信息；
26.2、启动服务后应用程序解析被元数据标记过的api；
27.3、服务上报经应用程序解析过的api和相应的元数据至信息安全中心；
28.4、将api和相应的元数据散列保存(内存或redis)
29.5、网关层(gateway)拦截所有请求资源(api)，解析获取请求资源(api)的元数据：
30.a、获取请求资源(api)的调用链信息(zipkin或自建跟踪信息)
31.b、解析调用链并拿到请求资源(api)的元数据。
32.i、基于敏感数据对内网协同服务开放，对资源(api)调用者屏蔽，需解析调用链，定位请求资源(api)的直接服务api(直接提供数据的服务)
33.ii、获取直接服务api的元数据，作为请求资源(api)的元数据
34.6、根据解析获取的元数据执行请求资源(api)安全策略；
35.a、请求资源不存在对应的元数据，则放行，返回原始数据；
36.b、请求资源(api)存在对应元数据，则解析元数据，执行对应的安全策略完成对返回数据的修饰，并返回修饰后数据。
37.本具体实施方式为分布式系统，提供统一信息安全中心装置，管理各个协同服务间数据的加密和脱敏等安全策略，解决协同服务间因独立的信息安全策略造成的数据壁垒，极大的提高了系统的安全性和可用性。
38.实施例1：本实施例的分布式服务数据加密、脱敏的方法，包括以下步骤：
39.1、定义描述api安全策略的元数据集合；
40.2、定义安全策略采集器，完成资源(api)元数据的采集和解析，并上报至信息安全中心；
41.3、定义安全策略解析器，完成资源(api)调用链的解析定位，并同步拉取信息安全中心元数据，获取资源(api)的元数据信息；
42.4、定义安全策略执行器，执行资源(api)的加密和脱敏等安全策略；
43.5、将上述模块打包，完成信息安全中心装置的组件化；
44.6、依赖自动装配原理(spring boot)引入信息安全组件，完成信息安全中心的接入。
45.以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其
等效物界定。


技术特征：
1.一种分布式服务数据加密、脱敏的方法，其特征在于，包括以下步骤：(1)、将服务中需要安全策略的api通过一组元数据标记不同的描述信息；(2)、启动服务后应用程序解析被元数据标记过的api；(3)、服务上报经应用程序解析过的api和相应的元数据至信息安全中心；(4)、将api和相应的元数据散列保存；(5)、网关层拦截所有请求资源，解析获取请求资源的元数据；6、根据解析获取的元数据执行请求资源安全策略。2.根据权利要求1所述的一种分布式服务数据加密、脱敏的方法，其特征在于，所述的步骤(5)具体如下：(a)、获取请求资源的调用链信息；(b)、解析调用链并拿到请求资源的元数据。3.根据权利要求2所述的一种分布式服务数据加密、脱敏的方法，其特征在于，所述的步骤(b)具体如下：(i)、基于敏感数据对内网协同服务开放，对资源调用者屏蔽，需解析调用链，定位请求资源的直接服务api；(ii)、获取直接服务api的元数据，作为请求资源的元数据。4.根据权利要求1所述的一种分布式服务数据加密、脱敏的方法，其特征在于，所述的步骤(6)具体包括：(a)、请求资源不存在对应的元数据，则放行，返回原始数据；(b)、请求资源存在对应元数据，则解析元数据，执行对应的安全策略完成对返回数据的修饰，并返回修饰后数据。

技术总结
本发明公开了一种分布式服务数据加密、脱敏的方法。包括以下步骤：1、将服务中需要安全策略的API通过一组元数据标记不同的描述信息；2、启动服务后应用程序解析被元数据标记过的API；3、服务上报经应用程序解析过的API和相应的元数据至信息安全中心；4、将API和相应的元数据散列保存(内存或Redis)；5、网关层(Gateway)拦截所有请求资源(API)，解析获取请求资源(API)的元数据；6、根据解析获取的元数据执行请求资源(API)安全策略。本发明保证协同服务自身信息安全的同时，消除因安全策略造成的数据壁垒，保证分布式服务的安全性和高可用性。用性。


技术研发人员：王锐旭 张辉 汪彦佐
受保护的技术使用者：广州九尾信息科技有限公司
技术研发日：2021.11.05
技术公布日：2022/3/7