一種高安全級別的軟件服務接口調用方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種高安全級別的軟件服務接口調用方法和系統(tǒng)。該方案主要內容包括服務管理��、服務發(fā)布以及服務調用�����,能夠以如下形式確保信息傳輸?shù)陌踩煽浚航涌谝晕募鬏攲訉崿F(xiàn)�����,單向傳輸,異步應答���;文件傳輸過程中以雙向二次加密��,更能確保數(shù)據(jù)的安全性�����,以避免一方密鑰被破解造成的安全漏洞���;服務調度中心有效地隔離了各個應用與服務的鏈路,所有調用都經(jīng)過服務總線����;審計功能確保事后有追溯的依據(jù)。本發(fā)明適用于高安全性軟件制造行業(yè)��,能夠支持不同平臺或不同開發(fā)語言間的軟件服務接口����。
【專利說明】一種高安全級別的軟件服務接口調用方法和系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及計算機軟件編程應用領域,具體來說是一種跨平臺�、跨語言間不同軟件的服務接口的調用方法和系統(tǒng),能夠滿足服務接口對安全性�����、實效性的更高要求,且遵循面向服務架構(SOA�,Service-Oriented Architecture),以統(tǒng)一服務總線形式�����,便于監(jiān)管���、發(fā)布、審計各類服務的使用情況����。
【背景技術】
[0002]對于在跨平臺、跨語言的不同軟件程序間���,常存在接口調用的需求�����,用于不同軟件模塊間的數(shù)據(jù)交互?���,F(xiàn)在市面上常用的服務接口技術有:WebService,JSON(JavaScriptObject Notat1n), Hessian等���,這些服務接口框架都能夠實現(xiàn)跨平臺�����、跨語言的服務發(fā)布與調用���。
[0003]WebService接口是一個基于web的應用程序,可使用開放的XML (標準通用標記語言下的一個子集)標準來描述��、發(fā)布��、發(fā)現(xiàn)��、協(xié)調和配置這些應用程序���,用于開發(fā)分布式的互操作的應用程序�����,基于TCP/IP網(wǎng)絡通訊協(xié)議��,運用HTTP技術實現(xiàn)分布式不同應用程序間通過XML文件的接口調用過程����。JSON(JavaScript Object Notat1n)接口是一種輕量級數(shù)據(jù)傳輸接口,是JavaScript語法的子集�,基于JavaScript語法,使用獨立的數(shù)據(jù)文本格式���,采用鍵值對的傳輸形式����。Hessian接口是輕量級的remoting onhttp工具�,基于二進制RPC協(xié)議��,相比其他接口格式更加快捷����、方便。
[0004]但是針對一些涉密軟件研發(fā)�����,經(jīng)常需要去考慮數(shù)據(jù)傳輸?shù)陌踩院蛯嵭?��。比較上述常用服務接口����,都無法滿足高密級軟件的傳輸規(guī)范。
【發(fā)明內容】
[0005]本發(fā)明的目的是提供一種跨平臺��、跨語言的高安全級別的軟件服務接口組件�,適用于常用的C、C#���、Java�����、.NET�����、Php等多種語言�����,文件傳輸加密方式可配�����,能夠實現(xiàn)消息摘要加密�����、公鑰私鑰加密以及常用的數(shù)字簽名和數(shù)字證書�,不同平臺(不同的程序,不同的編程語言)間傳輸以OSI傳輸層為基準���,并將傳輸接口參數(shù)和數(shù)據(jù)加密�����。
[0006]為實現(xiàn)上述目的�,本發(fā)明采用如下技術方案:
[0007]一種高安全級別的軟件服務接口調用方法����,其步驟包括:
[0008]I)建立基于SOA (service-oriented architecture�����,面向服務體系結構)的福條/集線器式的統(tǒng)一服務總線����,該統(tǒng)一服務總線通過一交換中心負責各應用系統(tǒng)間的連接工作;
[0009]2)通過統(tǒng)一服務總線向各個應用提供注冊接口��,由服務提供方提供服務信息,并選擇加密方式和算法��,并結合服務調用方標識(地址���、端口)進行注冊����;
[0010]3)服務提供方將注冊成功的服務發(fā)布在統(tǒng)一服務總線上�,供服務調用方識別或調用;統(tǒng)一服務總線為不同平臺和不同語言的應用系統(tǒng)分別提供庫(Iib)文件����,以實現(xiàn)服務調用方調用總線服務;
[0011]4)在文件傳輸過程中���,服務調用方自動對服務傳輸?shù)膮?shù)或數(shù)據(jù)進行加密處理���,加密規(guī)則和本地服務調用方默認的加密方式一致;傳輸?shù)竭_統(tǒng)一服務總線后�,統(tǒng)一服務總線根據(jù)秘鑰進行解密,解密后再以服務提供方注冊時選擇的加密方式進行加密���,然后中轉調用服務提供方���;返回過程同理���,通過服務總線,進行二次加密解密過程��,實現(xiàn)雙向加密�����。
[0012]進一步地���,在服務提供方將服務成功發(fā)布在統(tǒng)一服務總線上之后�,在系統(tǒng)數(shù)據(jù)庫后臺會自動生成該服務的基本信息��,統(tǒng)一服務總線能夠將其與之前注冊的服務進行比對�,符合之前注冊的服務即發(fā)布成功。
[0013]進一步地��,對每一個接口調用做審計����,保證接口調用過程追溯可查����。服務調用兼容同步�����、異步兩種方式�,且能夠在服務調用過程中��,通過統(tǒng)一服務總線進行審計���,以達到調用后的事后審計保障�。
[0014]進一步地�,步驟4)中服務接口調用以文本格式進行傳輸,文本中以key-value鍵值對形式對參數(shù)和結果進行封裝��。
[0015]進一步地����,步驟4)中服務調用方采用的加密算法是MD5、DES�����、AES、RSA等���。
[0016]一種采用上述方法的高安全級別的軟件服務系統(tǒng)�,其包括:
[0017]統(tǒng)一服務總線�����,包括一交換中心和若干應用系統(tǒng)���,每個應用系統(tǒng)與交換中心連接���;所述交換中心負責應用系統(tǒng)間的連接工作;該統(tǒng)一服務總線為不同平臺和不同語言的應用系統(tǒng)分別提供庫(Iib)文件���,以實現(xiàn)服務調用方調用總線服務�����,并對傳輸?shù)奈募M行加密和解密�����;
[0018]服務提供方,對外提供服務實現(xiàn)的應用或程序,按照服務接口 API和要求提供服務接口���,將注冊成功的服務發(fā)布在統(tǒng)一服務總線上�����,供服務調用方識別或調用��;
[0019]服務調用方�����,按照接口 API調用服務提供方提供的服務�,并將服務的調用結果展現(xiàn)給用戶���。
[0020]本發(fā)明基于OSI的傳輸層(Transport Layer)和常用的接口 API方式��,實現(xiàn)了跨平臺��、跨語言的服務接口組件�,其中OSI的傳輸層相比常用的Http協(xié)議更加安全可靠��,并且API接口滿足了服務框架的功能與性能特征��。在具備傳統(tǒng)服務功能的調用與實現(xiàn)基礎上,本發(fā)明以如下形式確保信息傳輸?shù)陌踩煽?
[0021]I)接口以文件傳輸層實現(xiàn)���,單向傳輸�����,異步應答��;
[0022]2)文件傳輸過程中以雙向二次加密��,更能確保數(shù)據(jù)的安全性���,以避免一方密鑰被破解造成的安全漏洞;
[0023]3)服務調度中心有效地隔離了各個應用與服務的鏈路����,所有調用都經(jīng)過服務總線;
[0024]4)審計功能確保事后有追溯的依據(jù)���。
[0025]本發(fā)明提供了一種高安全級別的軟件服務接口組件的主要內容包括服務管理�、月艮務發(fā)布以及服務調用�,其中對于高安全性的加密算法和數(shù)字簽名均有特殊處理過程。整體服務調用基于底層FTP文件傳輸協(xié)議����。本發(fā)明適用于高安全性軟件制造行業(yè)�����,能夠支持不同平臺或不同開發(fā)語言間的軟件服務接口。由于服務能夠實現(xiàn)跨網(wǎng)���、跨平臺����,并對服務的安全性��、實效性有高度要求�����,大大降低了軟件制造過程中的安全成本����,適用于高度涉密行業(yè)的軟件開發(fā)。
【專利附圖】
【附圖說明】
[0026]圖1為服務應用集成模型��,其中圖(a)是點對點應用集成模式����,圖(b)是SPOKE/HUB應用集成模式���。
[0027]圖2為服務注冊操作流程圖。
[0028]圖3為服務發(fā)布操作流程圖���。
[0029]圖4為服務調用操作流程圖����。
[0030]圖5為服務接口傳輸格式規(guī)范示意圖���。
[0031]圖6為服務傳輸中的加密解密流程圖�。
[0032]圖7為系統(tǒng)整體框架示意圖����。
【具體實施方式】
[0033]下面通過實施例和附圖,對本發(fā)明做進一步說明��。
[0034]本發(fā)明的主要貢獻在于:
[0035]I)提供基于SOA (service-oriented architecture����,面向服務體系結構)的總線型服務;
[0036]2)實現(xiàn)基于服務總線的服務注冊�、發(fā)布以及調用框架����;
[0037]3)為不同平臺和不同語言的系統(tǒng)分別提供Iib包�����,以實現(xiàn)服務調用方調用總線服務��;
[0038]上述步驟在市面主流框架中都具有相應的解決方案����,本發(fā)明除此之外�,還包括如下步驟:
[0039]4)創(chuàng)建單獨的文件傳輸加密解密模塊,將市面上主流的密碼學算法集成到步驟2)�;
[0040]5)對每一個接口調用做審計,保證接口調用過程追溯可查�。
[0041]下面詳細說明上述各步驟。
[0042]步驟I)基于SOA(service-oriented architecture��,面向服務體系)本發(fā)明使用標準總線型服務結構�。如圖1中(a)圖和(b)圖所示,每一個圓形都是一個應用���,其中的連線是應用之間的接口服務����,其中(a)圖的點對點的直接連接關系,是早期的應用集成方式���。直連的2個應用系統(tǒng)間要事先約定接口方式并嚴格遵守���,任何一方變化都會影響到另一方,這就形成了緊耦合的接口關系��。
[0043]如圖1所示���,隨著應用系統(tǒng)數(shù)量增加�,連接數(shù)量和接口方式成倍增長��,使得系統(tǒng)間的接口關系錯綜復雜��,如果某一個系統(tǒng)要發(fā)生改變����,如升級改造,不僅會造成與其相連系統(tǒng)的出現(xiàn)問題�,而且還會發(fā)生連鎖反應,形成牽一發(fā)而動全身的局面;而1-2的SP0KE/HUB“輻條和集線器”架構方式(圖2)�����,特點就是建立一個交換中心��,由它全權負責解決應用系統(tǒng)間的連接工作����。大致過程是,應用系統(tǒng)通過適配器把信息轉變成交換中心規(guī)定的格式�����,交換中心負責選擇目標應用系統(tǒng)(路由)�,完成數(shù)據(jù)傳輸�,再由適配器轉換成目的應用系統(tǒng)認可的格式。且在交換中心中做數(shù)據(jù)傳輸?shù)募用芙饷?,大大的提高了代碼的高內聚,松耦合模式��,符合IT類項目的常用規(guī)則���。
[0044]步驟2)通過步驟I)提供的統(tǒng)一服務總線��,向各個應用提供注冊接口��,在注冊階段����,服務提供方需要將服務的內容、描述�����、以及參數(shù)形式進行描述�����,并需要選擇加密方式和算法���,由于接口調用以文件加密形式傳輸����,所以需要提供服務調用方標識(地址��、端口)�����,以便服務總線能夠識別服務調用方,用于服務審計和異步返回數(shù)據(jù)��,請見圖2��。注冊成功后����,需要服務提供方將接口服務發(fā)布在統(tǒng)一服務總線上,發(fā)布過程見圖3����,發(fā)布成功后,在系統(tǒng)數(shù)據(jù)庫后臺會自動生成該服務的基本信息����,總線能夠將其與之前注冊的服務進行比對,符合之前注冊的服務即發(fā)布成功��;發(fā)布成功后的服務����,能夠被服務調用方識別或調用��,服務調用過程如圖4所示����,服務調用兼容同步���、異步兩種方式,且能夠在服務調用過程中�,通過統(tǒng)一服務總線進行審計,以達到調用后的事后審計保障��。
[0045]步驟3)主要是針對跨平臺��、跨語言的特殊要求處理�。由于本發(fā)明的安全接口以文件傳輸層實現(xiàn),所以需要提供統(tǒng)一的庫(Iib)文件����,支持各種開發(fā)語言。抽象出通用的調用服務方法封裝在庫文件中���,如C語言的dll文件�����,Java的jar文件等��。并且提供通用的腳本語言用于測試(.bat和.sh腳本文件)�����。
[0046]步驟4)服務接口調用以文本格式進行傳輸�,文本中以key-value鍵值對形式對參數(shù)和結果進行封裝,這樣的好處是:符合結構化數(shù)據(jù)的格式�����,通過多層嵌套描述參數(shù)/數(shù)據(jù)間的邏輯關系����。具體的服務參數(shù)規(guī)范(簡要版)見圖5。在傳輸過程中��,服務調用方會自動對服務傳輸?shù)膮?shù)或數(shù)據(jù)進行加密處理���,加密規(guī)則和本地服務調用方默認的加密方式一致���。系統(tǒng)中可配置市面上的加密算法,如MD5���、DES、AES���、RSA等��,傳輸?shù)竭_服務總線后����,服務總線會根據(jù)秘鑰進行解密,解密后再以步驟2)中服務提供方注冊時選擇的加密方式進行加密�,中轉調用服務提供方。返回過程同理��,通過服務總線���,進行二次加密解密過程����,實現(xiàn)雙向加密����。具體調用階段的加密解密處理邏輯如圖6所示。
[0047]步驟5)在服務調度中心處(即圖6的“服務調度中心”模塊)���,每一次查詢的請求與應答都會以“消息”形式記錄在服務總線中�,消息保存周期半年�,以便第三方安全機構的日志審計�。
[0048]綜上所述�,本發(fā)明分步驟地將各個模塊進行梳理,將各個模塊整合���,總體架構如圖7所示��,包括服務發(fā)布����、服務調用����、服務管理、加密方式選擇����、加密安全機制等。本發(fā)明為服務請求方和服務提供方提供統(tǒng)一平臺進行管理�,同時提供加密安全機制和方式。
[0049]盡管為說明目的公開了本發(fā)明的具體實施例和附圖��,其目的在于幫助理解本發(fā)明的內容并據(jù)以實施�����,但是本領域的技術人員可以理解:在不脫離本發(fā)明及所附的權利要求的精神和范圍內�,各種替換、變化和修改都是可能的��。本發(fā)明不應局限于本說明書最佳實施例和附圖所公開的內容�,本發(fā)明要求保護的范圍以權利要求書界定的范圍為準。
【權利要求】
1.一種高安全級別的軟件服務接口調用方法����,其步驟包括: 1)建立基于面向服務體系結構的輻條/集線器式的統(tǒng)一服務總線,該統(tǒng)一服務總線通過一交換中心負責各應用系統(tǒng)間的連接工作��; 2)通過統(tǒng)一服務總線向各個應用提供注冊接口�,由服務提供方提供服務信息,并選擇加密方式和算法���,并結合服務調用方標識進行注冊��; 3)服務提供方將注冊成功的服務發(fā)布在統(tǒng)一服務總線上�,供服務調用方識別或調用�����;統(tǒng)一服務總線為不同平臺和不同語言的應用系統(tǒng)分別提供庫文件��,以實現(xiàn)服務調用方調用總線服務; 4)在文件傳輸過程中����,服務調用方自動對服務傳輸?shù)膮?shù)或數(shù)據(jù)進行加密處理,加密規(guī)則和本地服務調用方默認的加密方式一致����;傳輸?shù)竭_統(tǒng)一服務總線后,統(tǒng)一服務總線根據(jù)秘鑰進行解密��,解密后再以服務提供方注冊時選擇的加密方式進行加密�����,然后中轉調用服務提供方���;返回過程同理���,通過服務總線,進行二次加密解密過程�,實現(xiàn)雙向加密。
2.如權利要求1所述的方法����,其特征在于:所述統(tǒng)一服務總線中�����,應用系統(tǒng)通過適配器把信息轉變成交換中心規(guī)定的格式,交換中心負責選擇目標應用系統(tǒng)�����,完成數(shù)據(jù)傳輸����,再由適配器轉換成目的應用系統(tǒng)認可的格式。
3.如權利要求1所述的方法�,其特征在于:所述服務提供方將服務成功發(fā)布在統(tǒng)一服務總線上之后,系統(tǒng)數(shù)據(jù)庫后臺自動生成該服務的基本信息����,統(tǒng)一服務總線將其與之前注冊的服務進行比對,符合之前注冊的服務即發(fā)布成功��。
4.如權利要求1所述的方法���,其特征在于:所述統(tǒng)一服務總線還為不同平臺和不同語言的應用系統(tǒng)分別提供通用的腳本語言用于測試���。
5.如權利要求1所述的方法���,其特征在于:步驟4)中服務接口調用以文本格式進行傳輸,文本中以key-value鍵值對形式對參數(shù)和結果進行封裝�。
6.如權利要求1所述的方法,其特征在于:步驟4)中服務調用方采用的加密算法為下列中的一種:MD5���、DES���、AES、RSA�����。
7.如權利要求1所述的方法�����,其特征在于:所述服務調用方調用服務的過程兼容同步�����、異步兩種方式�。
8.如權利要求1所述的方法�,其特征在于:所述統(tǒng)一服務總線對接口調用過程進行審計���,以達到調用后的事后審計保障���。
9.一種采用權利要求1所述方法的高安全級別的軟件服務系統(tǒng),其特征在于�����,包括: 統(tǒng)一服務總線��,包括一交換中心和若干應用系統(tǒng)�,每個應用系統(tǒng)與交換中心連接�;所述交換中心負責應用系統(tǒng)間的連接工作,該統(tǒng)一服務總線為不同平臺和不同語言的應用系統(tǒng)分別提供庫文件�,以實現(xiàn)服務調用方調用總線服務,并對傳輸?shù)奈募M行加密和解密����; 服務提供方,對外提供服務實現(xiàn)的應用或程序���,按照服務接口 API和要求提供服務接口����,將注冊成功的服務發(fā)布在統(tǒng)一服務總線上,供服務調用方識別或調用�; 服務調用方,按照接口 API調用服務提供方提供的服務����,并將服務的調用結果展現(xiàn)給用戶。
10.如權利要求9所述的系統(tǒng)��,其特征在于:所述統(tǒng)一服務總線對接口調用過程進行審計�����,以達到調用后的事后審計保障���。
【文檔編號】H04L29/06GK104506486SQ201410650775
【公開日】2015年4月8日 申請日期:2014年11月15日 優(yōu)先權日:2014年11月15日
【發(fā)明者】王德淳 申請人:北京銳安科技有限公司