一种安全服务化方法、装置以及设备与流程

专利2022-05-09  74



1.本说明书涉及计算机技术领域,尤其涉及一种安全服务化方法、装置以及设备。


背景技术:

2.随着移动互联网的兴起,大量应用涌现给用户的工作生活带来了便利。同时也带来了安全风险,需要通过相应的安全服务进行防御。
3.对于一些大体量的应用,随着其国际化业务发展,对于安全服务的需求更加强烈,目前安全服务零散分布在业务下游,而对安全服务的需求方往往处于业务上游,在需要使用时,按照业务下游具体的安全服务平台的要求,适应性地向该安全服务平台对接,从而获得该安全服务平台提供的安全服务。
4.基于此,需要更为高效的使用安全服务的方案。


技术实现要素:

5.本说明书一个或多个实施例提供安全服务化方法、装置、设备以及存储介质,用以解决如下技术问题:需要更为高效的使用安全服务的方案。
6.为解决上述技术问题,本说明书一个或多个实施例是这样实现的:
7.本说明书一个或多个实施例提供的一种安全服务化方法,包括:
8.获取对应于业务下游的安全服务的集成结果元数据,并在服务化仓储中进行持久化处理,其中,所述集成结果元数据通过对原始服务描述数据进行语义转换得到;
9.通过所述服务化仓储,加载所述集成结果元数据并等待请求;
10.若接收针对业务下游的安全服务的请求数据,则确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系;
11.根据所述对应关系,确定泛化参数;
12.根据所述泛化参数,通过泛化服务对所述业务下游的安全服务进行泛化调用。
13.本说明书一个或多个实施例提供的一种安全服务化装置,包括:
14.安全服务集成模块,获取对应于业务下游的安全服务的集成结果元数据,并在服务化仓储中进行持久化处理,其中,所述集成结果元数据通过对原始服务描述数据进行语义转换得到;
15.元数据加载模块,通过所述服务化仓储,加载所述集成结果元数据并等待请求;
16.请求数据处理模块,若接收针对业务下游的安全服务的请求数据,则对应关系确定模块,确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系;
17.泛化参数确定模块,根据所述对应关系,确定泛化参数;
18.泛化服务处理模块,根据所述泛化参数,通过泛化服务对所述业务下游的安全服务进行泛化调用。
19.本说明书一个或多个实施例提供的一种安全服务化设备,包括:
20.至少一个处理器;以及,
21.与所述至少一个处理器通信连接的存储器;其中,
22.所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
23.获取对应于业务下游的安全服务的集成结果元数据,并在服务化仓储中进行持久化处理,其中,所述集成结果元数据通过对原始服务描述数据进行语义转换得到;
24.通过所述服务化仓储,加载所述集成结果元数据并等待请求;
25.若接收针对业务下游的安全服务的请求数据,则确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系;
26.根据所述对应关系,确定泛化参数;
27.根据所述泛化参数,通过泛化服务对所述业务下游的安全服务进行泛化调用。
28.本说明书一个或多个实施例提供的一种非易失性计算机存储介质,存储有计算机可执行指令,所述计算机可执行指令设置为:
29.获取对应于业务下游的安全服务的集成结果元数据,并在服务化仓储中进行持久化处理,其中,所述集成结果元数据通过对原始服务描述数据进行语义转换得到;
30.通过所述服务化仓储,加载所述集成结果元数据并等待请求;
31.若接收针对业务下游的安全服务的请求数据,则确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系;
32.根据所述对应关系,确定泛化参数;
33.根据所述泛化参数,通过泛化服务对所述业务下游的安全服务进行泛化调用。
34.本说明书一个或多个实施例采用的上述至少一个技术方案能够达到以下有益效果:有助于解除安全服务集成依赖,开放了多协议、语义化的安全服务化门户,能够轻量级地满足统一收口业务下游的安全服务产品、快速接入等需求,从而帮助用户更高效便利地使用安全服务。
附图说明
35.为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
36.图1为本说明书一个或多个实施例提供的一种安全服务化方法的流程示意图;
37.图2为本说明书一个或多个实施例提供的一种应用场景下,图1对应的一种系统架构示意图;
38.图3为本说明书一个或多个实施例提供的一种应用场景下,图1中方法的一种具体实施方案示意图;
39.图4为本说明书一个或多个实施例提供的一种安全服务化装置的结构示意图;
40.图5为本说明书一个或多个实施例提供的一种安全服务化设备的结构示意图。
具体实施方式
41.本说明书实施例提供安全服务化方法、装置、设备以及存储介质。
42.为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本说明书实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
43.在本说明书一个或多个实施例中,提供了安全服务化一站式平台方案,来标准化下游安全服务能力,完成风控系统对下游业务的收口,减少上游业务的接入成本,提高接入效率。具体地,通过提供统一的服务处理器标准,让下游通过注入扩展点(由相应的技术栈提供,比如,sofa技术栈等)方式将具体的服务注入到处理器中,形成安全服务的能力抽象,作为标准化安全组件对外输出,标准化产品会预先定义好数据领域对象,下游根据自身需要转化自身需要的领域对象。需要说明的是,在该方案中仍然存在一些问题。比如,侵入下游服务:需要下游抽象成标准化的组件,在技术层面需要进行二次开发适配,接入不友好;业务方组件依赖:新的安全服务需要接入,除了下游业务方需要二次开发,安全服务化产品也需要进行升级;不感知业务信息:标准服务门面不感知业务信息,包括业务入参、业务出参、也不做业务参数合法性校验,在出参时,直接将原始的响应返回,其中包含了大量有转义字符的map结构文本,可理解性较差;等等。针对这些问题,进一步提供了更适应于国际化业务发展的安全服务化方案,其主要可以实现为基于泛化调用技术的轻量级无侵入式安全服务化网关,需要使用安全服务的用户则统一地通过网关获取相应的服务,为了便于访问,网关还提供了相应安全服务化门户。
44.进一步提供的方案总体的思路可以总结为语义化、无侵入、轻量级。
45.语义化:通过标准服务门面定义一套统一标准,业务按照标准接入,服务按照标准输出,属性的业务数据以语义化的方式为客户提供明确的接入规范。
46.无侵入:能够持续接入新的下游服务,通过服务信息仓储配置化的方式接入,下游服务不必进行二次开发,也不必对运行时的服务化系统进行发布或者重启。
47.轻量级:通过开源版的技术栈(比如,sofa技术栈等)快速赋能、灵活输出,在服务集成接入方面通过泛化调用技术避免了jar包接入和二次开发,技术选型保持了轻量化。
48.下面基于这样的思路,具体进行说明。
49.图1为本说明书一个或多个实施例提供的一种安全服务化方法的流程示意图。该流程可以服务器执行,比如,支付平台的风控服务器等,在风控服务器上实现上述的网关。需要说明的是,这里的网关实际上是一套服务化系统,其中可以包括多个后续一些具体动作的处理子系统,为了便于直观地表示该服务化系统在逻辑上作为中间方,处于业务方与服务方之间的位置,将其称为“网关”,在实际应用中,该服务系统有多样的组成部分划分方式,只要能够执行方案中的步骤即可。
50.图1中的流程可以包括以下步骤:
51.s102:获取对应于业务下游的安全服务的集成结果元数据,并在服务化仓储中进行持久化处理,其中,所述集成结果元数据通过对原始服务描述数据进行语义转换得到。
52.在本说明书一个或多个实施例中,通过元数据的形式,对业务下游的安全服务进
行语义化集成。语义化处理的方式使得被集成的安全服务更标准、更容易理解,相应得到的元数据的易用性和可解读性得到加强。元数据根据相应安全服务及其使用方式的实质内容,进行了标准化的再描述,以便于匹配业务方针对安全服务可能不够标准的请求数据。
53.语义化处理比如包括增加更多的标签对原始服务描述数据(通常由安全服务的服务提供商提供)进行重构,使得诸如数字、代码、逻辑等内容的语义(比如,包括业务含义、扩展解释、转义字符翻译内容等)更加明确。
54.s104:通过所述服务化仓储,加载所述集成结果元数据并等待请求。
55.在本说明书一个或多个实施例中,为了便于管理维护,以仓储化的形式存储集成结果元数据。预先构建服务化仓储,对于待统一收口至上游的安全服务,通过对这些安全服务进行语义化集成,生成对应的集成结果元数据,将对应的集成结果元数据在服务化仓储中持久化,以用于支持对这些安全服务的泛化调用。若后续有新的待接入的安全服务,则采用类似的处理方案,为其生成集成结果元数据在服务化仓储中持久化。在网关启动后,可以从服务化仓储中,获取预先持久化于其中的集成结果元数据并装载,以等待响应于安全服务请求而使用。
56.服务化仓储使用的是数据仓库而未必是普通的数据库,相比于普通的数据库,通过数据仓库实现对集成结果元数据更智能化的处理,能够实现智能的再集成,比如对不同服务商的服务交叉集成,拆分集成结果元数据再自动组装出新的服务,新的服务由多个对应的服务商分别提供一部分业务逻辑,且这些服务商相互之间是无感知的,这种方式更充分地利用了各服务商的能力;还能够实现对多种服务向请求方智能匹配,比如,自动规避竞争对手使用的同质服务;还能够监测外网上的数据泄露事故实况,若此类事故发生,及时地相应对已安全服务进行动态调整,尤其可以调整与请求方之间的匹配关系,以帮助请求方加强防御效果;等等。
57.s106:若接收针对业务下游的安全服务的请求数据,则确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系。
58.在本说明书一个或多个实施例中,请求数据来自于业务上游或者业务当前所在环节的用户(为了便于描述,称为业务方),相比较而言,业务方所请求的安全服务是处于业务下游的。安全服务比如包括:设备指纹、人机识别、可信执行环境、数据混淆等,同一种安全服务可以由不同的服务商差异化地具体实现,未必要遵循统一标准。
59.业务方的请求数据无需直接发给业务下游,而是发给网关进行处理,网关可以对业务方屏蔽一些具体的处理细节,使得业务方甚至可以对业务下游的服务方无感知,而最终又能够便利而标准化地获得安全服务。对于业务方而言,网关是可信的,具体的可信关系确立方式这里不做限定,比如,通过证书、政府背书等方式确立。业务方在信任网关后,对于通过网关泛化调用得到的安全服务默认也都是信任的。
60.需要说明的是,上述的思路同样适用于安全服务以外的服务,但是对于安全服务而言,尤其有需求。原因在于:很多安全服务处于相对下游末端的位置,处于集散化分布的状态,为了提供整个业务链的安全性,需要上游来收口统一管理;安全服务直接涉及用户的隐私数据,用户自身也难以确保安全服务本身的合法性(比如,政府、商店、小区等处可能都进行人脸识别,根据人脸识别结果开放门禁或者触发其他的业务继续办理,但是,用户并不清楚哪些人脸识别是合规必要的,哪些是非必要地甚至恶意地收集用户隐私的,而且所采
用的安全标准也是不确定的,用户处于听天由命难以自主的状态),对于非法的安全服务,会泄露用户隐私,严重损害用户利益。
61.在本说明书一个或多个实施例中,请求数据中指示了所要请求的安全服务的类型,当然,若业务方有需要,也可以指示具体的服务方等其他信息。业务方可以根据自己适合的调用协议来发起请求,由网关进行适配处理,以降低业务方的负担,提供业务方的体验。调用协议比如包括rest、bolt、tr等协议。
62.在本说明书一个或多个实施例中,网关装载集成结果元数据,之后,通过装载的集成结果元数据,为业务方获取相应的安全服务。在这种情况下,可以对各安全服务分别对应的集成结果元数据统一存储并维护,若有新的安全服务,则将其元数据加入存储,若已有的安全服务失效,则将其源数据移除存储,从而有助于高效地实现可用安全服务的维护。
63.在本说明书一个或多个实施例中,对于业务方而言,其往往知道自己对业务下游的安全服务的具体的需求,比如,对具体服务应用对象的选择、对服务商的选择、对安全服务策略的选择、对安全服务指标的上下限要求等,因此,可以给出一些具体的传入参数,携带于请求数据中。这些传入参数可能适用于与具体的服务商直接对接,甚至于可能允许其更加非标准化和个性化,对于网关而言,通过对这样的传入参数进行适配支持,能够提高业务方的体验,有助于使得业务方更灵活准确地获得真正适合于它的安全服务。
64.在本说明书一个或多个实施例中,集成结果元数据包括用于描述安全服务本身的服务元数据,以及用于描述对安全服务的调用操作的调用元数据等。服务元数据比如指定了安全服务的版本、基本功能、性能、服务商等,调用元数据比如指定的安全服务涉及的接口、输入参数、返回结果的格式等。集成结果元数据还可以包括用于描述其适配的其他安全服务的信息的适配元数据,在这种情况下,不同安全服务的集成结果元数据之间有了更多的关联,有助于进行搭配协作,以满足更多的业务场景。
65.在本说明书一个或多个实施例中,作为提供安全服务的平台,不仅考虑自己及其用户(即请求数据对应的请求方)的方便,还更多地考虑其用户(此时该用户自己也是一个服务提供方,比如支付平台、游戏平台)的用户可能遇到的潜在风险,原因在于,请求方本身可能作恶,或者请求方本身被攻击给用户带来风险。
66.基于此,平台对于请求方并非是要什么就尽量给什么(这是站在请求方角度的思路),而是会确定请求数据中的传入参数与已加载的至少部分集成结果元数据之间的原始对应关系(这表现了请求方直接的愿望),并对请求方自身的业务特征进行分析,根据分析结果,可能对原始对应关系进行重定向,得到重定向对应关系(与请求方直接的愿望已经有了偏离),用于确定泛化参数,这是站在请求方的用户角度的思路,这两类思路有较大区别,原因在于请求方与其用户之间可能存在利益冲突,在这种情况下,平台需要决策是否应当偏向于请求方的用户而不是无脑偏向于请求方。
67.例如,请求方是请求采集全人脸图像的刷脸服务,根据请求方的业务特征,如果是小区安保业务用于小区出入,可以想到,对安全性要求较低,而且安保公司本身可能会滥用用户的人脸图像。基于此,因此,可以通过重定向对应关系,重定向至采集人脸局部区域(比如,仅采集半张脸或者眼部区域)的刷脸服务,并且可以禁止将采集的数据在本地持久化,如此,虽然有可能降低识别准确率,但是保障了小区用户的隐私安全。
68.再例如,请求方是请求第三方账号一键同步服务,根据请求方的业务特征,如果请
求方的业务主要一个母应用中集成的微应用,虽然也有自己独立的应用,但是流量主要靠该微应用,在这种情况下,微应用存在被母应用连累的风险,比如,若母应用密码库泄露,则微应用基本也全面泄露。针对这个问题,可以通过重定向对应关系,重定向至能够基于强制修改密码的第三方账号同步服务,也即,用户虽然可以用第三方账号登录,但前提是需要修改出一个独立的密码仅用于该微应用,从而降低了用户在微应用上的安全风险。
69.s108:根据所述对应关系,确定泛化参数。
70.为了实现上述的适配支持,网关可以预先构建各种传入参数与已有的集成结果元数据中的一部分集成结果元数据之间的对应关系,集成结果元数据在加载后根据该对应关系而使用。对于一部分考虑范围之外的传入参数,允许更模糊地匹配语义近似的集成结果元数据,以使得这样的对应关系的覆盖面更加全面。根据对应关系,网关可以将业务方的安全服务需求转换为更标准的形式,并通过相应的泛化参数进行表示,准备泛化调用安全服务。泛化调用是一种调用远程服务的方式,比如,其基于sofa技术栈中的远程过程调用协议(remote procedure call protocol,rpc)部分实现,在rpc调用时,应用无需依赖二方或者三方的jar包,只需要知道服务的接口名、方法名即可调用rpc服务,这就是一种泛化调用。
71.s110:根据所述泛化参数,通过泛化服务对所述业务下游的安全服务进行泛化调用。
72.在本说明书一个或多个实施例中,在泛化服务与业务下游的安全服务两方之间构建了泛化调用中间层,通过泛化调用中间层对两方之间的交互数据进行装换,面向泛化服务则转换为更泛化的结果,面向业务下游的安全服务则转换为更具体的结果。
73.通过图1的方法,有助于解除安全服务集成依赖,开放了多协议、语义化的安全服务化门户,能够轻量级地满足统一收口业务下游的安全服务产品、快速接入等需求,从而帮助用户更高效便利地使用安全服务。对于业务下游的安全服务提供方而言,也避免了为向上游接入其服务而进行二次开发,减轻了负担,提高了接入效率。
74.基于图1的方法,本说明书还提供了该方法的一些具体实施方案和扩展方案,下面继续进行说明。
75.在本说明书一个或多个实施例中,前面已经提到基于数据挖掘的安全服务再集成,具体比如,通过对业务下游的其他的安全服务进行语义化集成,生成增量的集成结果元数据,通过所述服务化仓储提供的数据挖掘服务,对服务化仓储已有的集成结果元数据和增量的集成结果元数据之间的关系进行挖掘,根据挖掘得到的关系(比如,竞争对手关系、母公司和子公司的关系、国企和外企的关系)提取业务特征,并据此对已有的集成结果元数据和增量的集成结果元数据进行再集成。以竞争对手关系为例,一个服务商可能会在安全服务中做一些排他(主要是排其他服务商)的业务逻辑(比如,在防火墙服务中有选择地屏蔽一些竞争对手的网址等),这样的做法为请求方会带来不便,通过上面的再集成,可以将这些不合理的业务逻辑进行清洗,从而给予用户更加公正便利的安全服务。
76.对于仓储化的集成结果元数据,还可以通过数据挖掘等技术,挖掘出新的安全服务需求及满足该需求的实现要素,进而可以反向指导业务下游提供新的安全服务。还可以将零散的安全服务自动与业务方的整体需求进行适配,自动生成更全面的安全服务整体解决方案,该整体解决方案中,包含了业务下游的多个不同的安全服务商提供的服务。如此,降低了业务方选配安全服务的负担,可以更专注于自己的主体业务。
77.在本说明书一个或多个实施例中,为了便于业务方请求,预先构建的安全服务化门户,通过安全服务化门户,接收针对业务下游的安全服务的请求数据。安全服务化门户能够感知业务信息,而不是仅仅向后方传递请求数据,具体地,安全服务化门户能够对请求数据的传入参数进行校验(比如,格式、非空、是否溢出、是否缺少参数等),在向业务方返回响应时,也可以根据请求数据,对后方传递的原始的响应进行个性化处理,使得给到业务方的响应更符合业务方的习惯,而未必要进行标准化的响应。
78.在本说明书一个或多个实施例中,在接收到业务方的请求数据后,通过对请求数据进行标准化处理(比如,用默认参数补全缺失参数,将溢出数据从上限截断、将整型数据转换为浮点型数据等),生成服务化请求体便于后续处理,再根据服务化请求体,生成相应的服务化上下文。若请求数据本身是标准化的,则可以据此直接生成服务化上下文。
79.进一步地,预先构建有处理器工厂,处理器工厂根据服务化上下文,生成相应的服务化处理器的实例(比如,不同的实例适用于不同的调用协议等),用于处理该服务化上下文。从而,使得业务方在协议的调用选择上也是灵活自由的,提高了对不同业务方的适用性。
80.在本说明书一个或多个实施例中,为了提高传输效率,以及为了便于泛化调用中间层转换处理,根据泛化参数,通过泛化服务将调用相关数据进行序列化处理,根据序列化处理的结果,向业务下游的安全服务的提供方发起服务调用请求,接收对提供方返回的服务调用结果反序列处理得到的泛化调用结果。以java开发环境为例,序列化处理包括把java对象转换为字节序列,反序列化处理包括把字节序列恢复为java对象。
81.类似于处理器工厂,可以预先构建转换器工厂,通过转换器工厂生成转换器,在泛化调用中间层用于解析和转换交互结果。
82.根据上面的说明,本说明书一个或多个实施例提供了一种应用场景下,图1对应的一种系统架构示意图,如图2所示。
83.在该应用场景下,通过相应的应用结合相应的配置文件实现上述方案,在应用中,业务方可以访问外观层的安全网关门户,安全网关门户即作为上述的安全服务化门户,业务方通过安全网关门户实现针对安全服务的服务化请求以及获得服务化响应。预先构建的仓储服务基于仓储中持久化的元数据实现对安全服务的集成。在外观层之后的核心层实现安全服务的调用,上述的网关主要包括核心层的安全网关引擎,仓储服务和处理器工厂的支持下,通过服务处理器处理业务方的请求,进一步地根据标准化的中间处理结果,通过泛化服务调用器,向相应的服务器对真实的安全服务进行调用。
84.结合图3进行说明该系统架构的工作原理,图3为本说明书一个或多个实施例提供的一种应用场景下,图1中方法的一种具体实施方案示意图。
85.图3中的方案包括如下步骤:
86.预先进行的服务集成步骤:
87.服务集成元数据管理,对安全服务产品进行需求评估,生成相应的服务元数据和调用元数据。
88.将生成的服务元数据和调用元数据通过服务接入的rest接口,持久化到预先构建的服务化仓储,在服务化运行时系统会自动装载这些元数据。
89.服务语义化解析与路由步骤:
90.对于已经接入的安全服务,业务方可以根据自己需要的调用协议,去访问安全服务化门户。
91.安全服务化门户拦截到业务方的请求数据后,会对其进行非空等校验。
92.对校验后准入的请求数据,进行标准化处理,生成服务化请求体。
93.根据服务化请求体,组装得到服务化上下文,待交付给服务化处理器处理。
94.根据服务化上下文,由处理器工厂生产相应的处理器实例,比如,bolt协议处理器、tr协议处理器等。
95.服务化处理器开始处理请求资源:从服务化仓储中加载与对应关系,具体是业务方实际的传入参数与元数据的对应关系;根据对应关系开始装配服务调用的泛化参数;根据服务化上下文携带的调用配置信息,初始化泛化服务,得到泛化服务实例。
96.从转换器工厂生产出用于解析转换交互结果(比如,泛化服务调用结果等)的转换器,并初始化。
97.服务泛化调用步骤:
98.开始由泛化服务执行调用方法。
99.根据调用方法,将调用相关数据在泛化调用中间层由泛化调用过滤器进行序列化后,通过相对应的协议向下游真实的业务方发起请求,结果经过反序列化后再由泛化调用中间层返回给泛化服务实例;其中,对真实服务调用进行处理得到的结果返回泛化调用中间层。
100.通过上面提供的方案,可以不侵入下游服务,无需对下游服务进行二次开发,下游的安全服务需要接入时,只需要通过相应的集成结果元数据持久化到服务化仓储。服务化运行时系统会自动装载元数据,并可以将安全服务按照标准输出,属性的业务数据以语义化的方式为客户提供明确的接入规范。
101.在多个方面更好地实现了标准化,包括:
102.标准服务化门户:定义一套统一标准,业务按照标准接入,服务按照标准输出,属性的业务数据以语义化的方式为客户提供明确的接入规范。
103.标准服务配置:服务化网关能够持续接入新的下游服务,通过服务信息配置化的方式接入,不必进行二次开发。
104.标准服务路由:业务在调用时根据业务的接入需求配置,路由到对应的服务处理器,根据标准请求中合成的路由信息拉取仓储中的下游服务接口,安全服务化网关会装配好泛化参数后执行服务调用。
105.标准服务监控:服务化网关能够管控业务链路,感知场景、调用量级和调用链路等。
106.基于同样的思路,本说明书一个或多个实施例还提供了上述方法对应的装置和设备,如图4、图5所示。
107.图4为本说明书一个或多个实施例提供的一种安全服务化装置的结构示意图,虚线方框表示可选的模块,所述装置包括:
108.安全服务集成模块402,获取对应于业务下游的安全服务的集成结果元数据,并在服务化仓储中进行持久化处理,其中,所述集成结果元数据通过对原始服务描述数据进行语义转换得到;
109.元数据加载模块404,通过所述服务化仓储,加载所述集成结果元数据并等待请求;
110.请求数据处理模块406,若接收针对业务下游的安全服务的请求数据,则确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系;
111.泛化参数确定模块408,根据所述对应关系,确定泛化参数;
112.泛化服务处理模块410,根据所述泛化参数,通过泛化服务对所述业务下游的安全服务进行泛化调用。
113.可选地,所述装置还包括:
114.服务再集成模块412,通过对业务下游的其他的安全服务进行语义化集成,生成增量的集成结果元数据;
115.通过所述服务化仓储提供的数据挖掘服务,对所述服务化仓储已有的集成结果元数据和所述增量的集成结果元数据之间的关系进行挖掘;
116.根据所述挖掘得到的关系提取业务特征,并据此对所述已有的集成结果元数据和所述增量的集成结果元数据进行再集成。
117.可选地,所述集成结果元数据包括用于描述安全服务本身的服务元数据,以及用于描述对所述安全服务的调用操作的调用元数据。
118.可选地,所述请求数据处理模块406,确定预先构建的安全服务化门户;
119.通过所述安全服务化门户,接收针对业务下游的安全服务的请求数据并对所述请求数据的传入参数进行校验。
120.可选地,所述请求数据处理模块406,根据所述请求数据,生成相应的服务化上下文;
121.根据所述服务化上下文和处理器工厂,生成相应的服务化处理器;
122.通过所述服务化处理器,确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系。
123.可选地,所述请求数据处理模块406,通过对所述请求数据进行标准化处理,生成服务化请求体;
124.根据所述服务化请求体,生成相应的服务化上下文。
125.可选地,所述请求数据处理模块406,确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的原始对应关系;
126.根据所述请求数据对应的请求方的业务特征,对所述原始对应关系进行重定向,得到重定向对应关系,用于确定所述泛化参数。
127.可选地,所述泛化服务处理模块408,根据所述泛化参数,通过泛化服务将调用相关数据进行序列化处理;
128.根据所述序列化处理的结果,向所述业务下游的安全服务的提供方发起服务调用请求;
129.接收对所述提供方返回的服务调用结果反序列处理得到的泛化调用结果。
130.图5为本说明书一个或多个实施例提供的一种安全服务化设备的结构示意图,所述设备包括:
131.至少一个处理器;以及,
132.与所述至少一个处理器通信连接的存储器;其中,
133.所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
134.获取对应于业务下游的安全服务的集成结果元数据,并在服务化仓储中进行持久化处理,其中,所述集成结果元数据通过对原始服务描述数据进行语义转换得到;
135.通过所述服务化仓储,加载所述集成结果元数据并等待请求;
136.若接收针对业务下游的安全服务的请求数据,则确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系;
137.根据所述对应关系,确定泛化参数;
138.根据所述泛化参数,通过泛化服务对所述业务下游的安全服务进行泛化调用。
139.处理器与存储器之间可以通过总线通信,设备还可以包括与其他设备通信的输入/输出接口。
140.基于同样的思路,本说明书一个或多个实施例提供了一种非易失性计算机存储介质,存储有计算机可执行指令,所述计算机可执行指令设置为:
141.获取对应于业务下游的安全服务的集成结果元数据,并在服务化仓储中进行持久化处理,其中,所述集成结果元数据通过对原始服务描述数据进行语义转换得到;
142.通过所述服务化仓储,加载所述集成结果元数据并等待请求;
143.若接收针对业务下游的安全服务的请求数据,则确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系;
144.根据所述对应关系,确定泛化参数;
145.根据所述泛化参数,通过泛化服务对所述业务下游的安全服务进行泛化调用。
146.在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(programmable logic device,pld)(例如现场可编程门阵列(field programmable gate array,fpga))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片pld上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(hardware description language,hdl),而hdl也并非仅有一种,而是有许多种,如abel(advanced boolean expression language)、ahdl(altera hardware description language)、confluence、cupl(cornell university programming language)、hdcal、jhdl(java hardware description language)、lava、lola、myhdl、palasm、rhdl(ruby hardware description language)等,目前最普遍使用的是vhdl(very

high

speed integrated circuit hardware description language)与verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,
就可以很容易得到实现该逻辑方法流程的硬件电路。
147.控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(application specific integrated circuit,asic)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:arc 625d、atmel at91sam、microchip pic18f26k20以及silicone labs c8051f320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
148.上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
149.为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
150.本领域内的技术人员应明白,本说明书实施例可提供为方法、系统、或计算机程序产品。因此,本说明书实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd

rom、光学存储器等)上实施的计算机程序产品的形式。
151.本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
152.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
153.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
154.在一个典型的配置中,计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
155.内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(ram)和/或非易失性内存等形式,如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
156.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd

rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
157.还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
158.本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
159.本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、设备、非易失性计算机存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
160.上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
161.以上所述仅为本说明书的一个或多个实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书的一个或多个实施例可以有各种更改和变化。凡在本说明书的一个或多个实施例的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。

技术特征:
1.一种安全服务化方法,包括:获取对应于业务下游的安全服务的集成结果元数据,并在服务化仓储中进行持久化处理,其中,所述集成结果元数据通过对原始服务描述数据进行语义转换得到;通过所述服务化仓储,加载所述集成结果元数据并等待请求;若接收针对业务下游的安全服务的请求数据,则确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系;根据所述对应关系,确定泛化参数;根据所述泛化参数,通过泛化服务对所述业务下游的安全服务进行泛化调用。2.如权利要求1所述的方法,所述方法还包括:通过对业务下游的其他的安全服务进行语义化集成,生成增量的集成结果元数据;通过所述服务化仓储提供的数据挖掘服务,对所述服务化仓储已有的集成结果元数据和所述增量的集成结果元数据之间的关系进行挖掘;根据所述挖掘得到的关系提取业务特征,并据此对所述已有的集成结果元数据和所述增量的集成结果元数据进行再集成。3.如权利要求1或2所述的方法,所述集成结果元数据包括用于描述安全服务本身的服务元数据,以及用于描述对所述安全服务的调用操作的调用元数据。4.如权利要求1所述的方法,所述接收针对业务下游的安全服务的请求数据,具体包括:确定预先构建的安全服务化门户;通过所述安全服务化门户,接收针对业务下游的安全服务的请求数据并对所述请求数据的传入参数进行校验。5.如权利要求1所述的方法,所述确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系,具体包括:根据所述请求数据,生成相应的服务化上下文;根据所述服务化上下文和处理器工厂,生成相应的服务化处理器;通过所述服务化处理器,确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系。6.如权利要求5所述的方法,所述根据所述请求数据,生成相应的服务化上下文,具体包括:通过对所述请求数据进行标准化处理,生成服务化请求体;根据所述服务化请求体,生成相应的服务化上下文。7.如权利要求1所述的方法,所述确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系,具体包括:确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的原始对应关系;根据所述请求数据对应的请求方的业务特征,对所述原始对应关系进行重定向,得到重定向对应关系,用于确定所述泛化参数。8.如权利要求1所述的方法,所述根据所述泛化参数,通过泛化服务对所述业务下游的安全服务进行泛化调用,具体包括:
根据所述泛化参数,通过泛化服务将调用相关数据进行序列化处理;根据所述序列化处理的结果,向所述业务下游的安全服务的提供方发起服务调用请求;接收对所述提供方返回的服务调用结果反序列处理得到的泛化调用结果。9.一种安全服务化装置,包括:安全服务集成模块,获取对应于业务下游的安全服务的集成结果元数据,并在服务化仓储中进行持久化处理,其中,所述集成结果元数据通过对原始服务描述数据进行语义转换得到;元数据加载模块,通过所述服务化仓储,加载所述集成结果元数据并等待请求;请求数据处理模块,若接收针对业务下游的安全服务的请求数据,则确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系;泛化参数确定模块,根据所述对应关系,确定泛化参数;泛化服务处理模块,根据所述泛化参数,通过泛化服务对所述业务下游的安全服务进行泛化调用。10.如权利要求9所述的装置,还包括:服务再集成模块,通过对业务下游的其他的安全服务进行语义化集成,生成增量的集成结果元数据;通过所述服务化仓储提供的数据挖掘服务,对所述服务化仓储已有的集成结果元数据和所述增量的集成结果元数据之间的关系进行挖掘;根据所述挖掘得到的关系提取业务特征,并据此对所述已有的集成结果元数据和所述增量的集成结果元数据进行再集成。11.如权利要求9或10所述的装置,所述集成结果元数据包括用于描述安全服务本身的服务元数据,以及用于描述对所述安全服务的调用操作的调用元数据。12.如权利要求9所述的装置,所述请求数据处理模块,确定预先构建的安全服务化门户;通过所述安全服务化门户,接收针对业务下游的安全服务的请求数据并对所述请求数据的传入参数进行校验。13.如权利要求9所述的装置,所述请求数据处理模块,根据所述请求数据,生成相应的服务化上下文;根据所述服务化上下文和处理器工厂,生成相应的服务化处理器;通过所述服务化处理器,确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系。14.如权利要求13所述的装置,所述请求数据处理模块,通过对所述请求数据进行标准化处理,生成服务化请求体;根据所述服务化请求体,生成相应的服务化上下文。15.如权利要求9所述的装置,所述请求数据处理模块,确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的原始对应关系;根据所述请求数据对应的请求方的业务特征,对所述原始对应关系进行重定向,得到重定向对应关系,用于确定所述泛化参数。
16.如权利要求9所述的装置,所述泛化服务处理模块,根据所述泛化参数,通过泛化服务将调用相关数据进行序列化处理;根据所述序列化处理的结果,向所述业务下游的安全服务的提供方发起服务调用请求;接收对所述提供方返回的服务调用结果反序列处理得到的泛化调用结果。17.一种安全服务化设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:获取对应于业务下游的安全服务的集成结果元数据,并在服务化仓储中进行持久化处理,其中,所述集成结果元数据通过对原始服务描述数据进行语义转换得到;通过所述服务化仓储,加载所述集成结果元数据并等待请求;若接收针对业务下游的安全服务的请求数据,则确定所述请求数据中的传入参数与已加载的至少部分所述集成结果元数据之间的对应关系;根据所述对应关系,确定泛化参数;根据所述泛化参数,通过泛化服务对所述业务下游的安全服务进行泛化调用。
技术总结
本说明书实施例公开了一种安全服务化方法、装置以及设备。方案包括:获取对应于业务下游的安全服务的集成结果元数据,并在服务化仓储中进行持久化处理,其中,集成结果元数据通过对原始服务描述数据进行语义转换得到;通过服务化仓储,加载集成结果元数据并等待请求;若接收针对业务下游的安全服务的请求数据,则确定请求数据中的传入参数与已加载的至少部分集成结果元数据之间的对应关系;根据对应关系,确定泛化参数;根据泛化参数,通过泛化服务对业务下游的安全服务进行泛化调用。对业务下游的安全服务进行泛化调用。对业务下游的安全服务进行泛化调用。


技术研发人员:张亚东
受保护的技术使用者:支付宝(杭州)信息技术有限公司
技术研发日:2021.03.26
技术公布日:2021/6/29

转载请注明原文地址:https://doc.8miu.com/read-418.html

最新回复(0)