[发明专利]基于SGX的微服务间接口鉴权方法、系统、终端及存储介质

说明书

本发明提供一种基于SGX的微服务间接口鉴权方法、系统、终端及存储介质，包括：管理中心从微服务注册中心获取各微服务的IP地址，为每个微服务生成一对非对称密钥，所述非对称密钥包括公钥和私钥；将微服务的非对称密钥与IP地址绑定，将公钥下发至绑定的IP地址；接收微服务发送的鉴权请求，所述鉴权请求包括第一微服务的IP地址和基于业务请求端公钥的认证密文，查找第一微服务的IP地址绑定的私钥，并利用私钥对认证密文进行解密；如果解密成功，则将解密得到的权限标识符返回至发送鉴权请求的第二微服务，所述权限标识符用于指示第二微服务对第一微服务鉴权成功。本发明实现了微服务间的独立认证和鉴权过程。

技术领域

本发明涉及WEB服务技术领域，具体涉及一种基于SGX的微服务间接口鉴权方法、系统、终端及存储介质。

背景技术

微服务是目前较为流行的WEB应用框架技术，其将原本单体应用根据功能拆分成多个微服务，每个微服务部署到不同的服务器上，以微服务集群的形式构成一个WEB应用产品。通常一个微服务集群包含了几十上百个微服务，一项业务操作需要多个微服务之间互相调用完成，在进行微服务间内部接口调用时保证其安全性是十分必要的，否则一旦集群中的某台服务器被攻击，其他微服务也将面临被攻击的风险。

微服务间接口认证常用的有两种方案，一种是采取携带外网接口认证令牌token的方式，即获取用户登录后的token令牌，在微服务间接口调用时携带token进行认证，这种方式对于业务连续且同步(由用户发起请求到完成请求任务之间没有中断)的场景可行，但是对于一些异步不连续的业务场景就不在适用，因为异步场景下会出现获取不到token，或者获取到的token已过期失效的情况，比如用户请求了一项定时任务，系统收到用户请求后不会立刻执行，要等到定时时间到了才去执行，这样当系统内部去执行该项任务，获取的用户请求token已经失效不可用。另一种是设置白名单，例如设置微服务各个服务器的IP白名单，校验请求方的IP地址，若在IP白名单内视为请求合法，这种方式虽然实现了独立于外网网关的token认证系统，也具备一定程度的安全防护，但是防护等级不高，且只能做到身份认证，无法鉴权，例如服务器IP被篡改，或服务器被非法登录后使用服务器IP伪造请求调用其他微服务的接口等。

鉴于此，本申请提出了一种基于SGX的微服务间身份认证和接口鉴权系统，不依赖微服务外网网关的认证系统，实现身份认证的同时还实现了接口的鉴权。

发明内容

针对现有技术存在的微服务间由于用户认证值失效导致并发微服务无法进行接口鉴权，进而导致业务中断的问题，本发明提供一种基于SGX的微服务间接口鉴权方法、系统、终端及存储介质，以解决上述技术问题。

第一方面，本发明提供一种基于SGX的微服务间接口鉴权方法，包括：

管理中心从微服务注册中心获取各微服务的IP地址，为每个微服务生成一对非对称密钥，所述非对称密钥包括公钥和私钥；

将微服务的非对称密钥与IP地址绑定，将公钥下发至绑定的IP地址；

接收微服务发送的鉴权请求，所述鉴权请求包括第一微服务的IP地址和基于业务请求端公钥的认证密文，查找第一微服务的IP地址绑定的私钥，并利用私钥对认证密文进行解密；

如果解密成功，则将解密得到的权限标识符返回至发送鉴权请求的第二微服务，所述权限标识符用于指示第二微服务对第一微服务鉴权成功。

进一步的，管理中心从微服务注册中心获取各微服务的IP地址，为每个微服务生成一对非对称密钥，所述非对称密钥包括公钥和私钥，

从微服务注册中心获取所有微服务的IP地址，并将所有微服务的IP地址保存至微服务IP列表；

利用密钥生成软件为IP列表中的每个IP地址生成一对非对称密钥。

进一步的，将微服务的非对称密钥与IP地址绑定，将公钥下发至绑定的IP地址，包括：