【技术实现步骤摘要】
本专利技术涉及文件处理领域,具体涉及一种微服务文件安全处理的方法、系统、存储介质和电子设备。
技术介绍
1、电子招投标等领域的文件保密性要求相对较高,现有的微服务系统在文件上传、访问/操作时,不能很好地解决文件信息、数据泄露和文件访问的安全性的问题。
2、例如申请公开号为cn111198848a的中国专利技术专利公开了一种分布式文件访问方法、系统、服务器和存储介质,该方案提出的是文件依赖于token保障文件访问安全性方案,但是文件路径和用户id等信息进行网络传输,依然存在泄露的风险。
3、再比如申请公开号为cn115996141a的中国专利技术专利公开了一种文件访问认证方法、装置、设备和存储介质,该方案提出了通过请求其他服务生成服务授权码发送至文件服务进行权限校验并返回文件访问令牌,文件令牌用于请求方访问文件。但是获取令牌方式由于涉及到数据网络传输,依然存在泄密的可能,且文件访问校验规则单一,安全程度不够。
技术实现思路
1、鉴于上述问题,本专利技术提供了一种微服务文件安全处理的方法、系统、存储介质和电子设备,解决了现有的文件操作访问安全性弱的问题。
2、为实现上述目的,在第一方面,本申请提供了一种微服务文件安全处理的方法,所述方法包括以下步骤:
3、接收客户端发起的文件操作请求,对客户端的用户权限进行校验,在所述用户权限校验通过后生成访问令牌返回给所述客户端,所述访问令牌根据业务信息和当前客户端的用户信息生成;
4、所述
5、生成第一访问令牌字段和第二访问令牌字段,将所述第一访问令牌字段和所述第二访问令牌字段根据指定分隔符进行拼接,组合得到所述访问令牌;
6、生成所述第一访问令牌字段包括:设置文件令牌类型、设置文件令牌校验策略、设置解压缩算法和设置加解密算法,不同所述文件令牌类型对应不同的文件令牌校验策略;
7、生成所述第二访问令牌字段包括:设置所述用户信息的唯一标识、设置所述业务信息的唯一编码、设置文件安全等级、设置文件有效操作时间范围;
8、所述第二访问令牌字段采用所述第一访问令牌字段中的解压缩算法进行解压得到,并采用所述第一访问令牌字段中的加解密算法进行非对称加密;
9、当所述客户端使用所述访问令牌进行文件操作时,第一后端服务对所述客户端使用所述访问令牌进行解析和验证,并在所述访问令牌校验通过后执行所述文件操作,并返回执行的文件对应的唯一文件标识码至所述第二后端服务,以使所述第二后端服务将所述文件标识码与所述业务信息映射存储。
10、进一步的,采用所述第一访问令牌字段中的加解密算法进行非对称加密包括:
11、接收密钥管理模块发送的公钥,采用所述加解密算法和所述公钥对所述第二访问令牌字段中的信息进行加密;
12、第一后端服务对所述客户端使用所述访问令牌进行解析和验证包括:
13、第一后端服务接收密钥管理模块发送的私钥,采用所述私钥和所述加解密算法对所述第二访问令牌字段中的信息进行解密;
14、对解密得到的用户信息的唯一标识、所述业务信息的唯一编码、文件安全等级以及文件有效操作时间范围逐一进行校验。
15、进一步的,所述方法还包括:
16、在所述用户权限校验通过后生成访问限制条件返回给客户端,所述访问限制条件包括文件类型和文件大小,所述访问限制条件根据所述业务信息确定;
17、当检测到客户端操作的文件不符合所述访问限制条件时,发出提示信息。
18、进一步的,所述文件令牌类型包括文件操作类型和文件来源类型,所述文件操作类型包括文件上传和文件下载,所述文件来源类型包括外部来源和内部来源,所述文件令牌校验策略包括多组对应不同文件安全等级的校验策略;
19、所述不同所述文件令牌类型对应不同的文件令牌校验策略包括:
20、根据文件操作类型和文件来源类型确定文件安全等级,根据确定的所述文件安全等级确定所述文件令牌校验策略。
21、进一步的,所述第一后端服务对所述客户端使用所述访问令牌进行解析和验证包括:
22、第一后端服务解密出的所述用户信息的唯一标识是否符合预设标识,校验所述业务信息的唯一编码是否符合预设编码,校验当前操作文件的时间戳是否在文件有效操作时间范围。
23、进一步的,所述文件操作包括文件读取操作,所述文件以加密形式存储于预设存储空间中;
24、在所述访问令牌校验通过后执行所述文件操作包括:
25、在所述访问令牌校验通过后根据文件唯一标识从所述预设存储空间中获取加密文件,采用解密密钥对所述加密文件进行解密后返回给所述客户端。
26、第二方面,本申请提供了一种微服务文件安全处理的系统,所述系统包括:
27、网关,用于接收客户端发起的文件操作请求,对客户端的用户权限进行校验;
28、第二后端服务,与所述网关通信连接,用于在所述用户权限校验通过后生成访问令牌返回给所述客户端,所述访问令牌根据业务信息和当前客户端的用户信息生成;
29、第一后端服务,与所述网关通信连接,用于在所述客户端使用所述访问令牌进行文件操作时,对所述客户端使用的所述访问令牌进行解析和验证,并在所述访问令牌校验通过后执行所述文件操作,并返回执行的文件对应的唯一文件标识码至所述第二后端服务,以使所述第二后端服务将所述文件标识码与所述业务信息映射存储;
30、所述访问令牌根据业务信息和当前客户端的用户信息生成包括:
31、生成第一访问令牌字段和第二访问令牌字段,将所述第一访问令牌字段和所述第二访问令牌字段根据指定分隔符进行拼接,组合得到所述访问令牌;
32、生成所述第一访问令牌字段包括:设置文件令牌类型、设置文件令牌校验策略、设置解压缩算法和设置加解密算法,不同所述文件令牌类型对应不同的文件令牌校验策略;
33、生成所述第二访问令牌字段包括:设置所述用户信息的唯一标识、设置所述业务信息的唯一编码、设置文件安全等级、设置文件有效操作时间范围;
34、所述第二访问令牌字段采用所述第一访问令牌字段中的解压缩算法进行解压得到,并采用所述第一访问令牌字段中的加解密算法进行非对称加密。
35、进一步的,还包括:
36、密钥管理模块,用于下发私钥至所述第一后端服务,以及下发公钥至所述第二后端服务;
37、所述第二后端服务还用于采用所述加解密算法和所述公钥对所述第二访问令牌字段中的信息进行加密;
38、所述第一后端服务还用于接收密钥管理模块发送的私钥,采用所述私钥和所述加解密算法对所述第二访问令牌字段中的信息进行解密,以及对解密得到的用户信息的唯一标识、所述业务信息的唯一编码、文件安全等级以及文件有效操作时间范围逐一进行校验。
<本文档来自技高网...【技术保护点】
1.一种微服务文件安全处理的方法,其特征在于,所述方法包括以下步骤:
2.如权利要求1所述的微服务文件安全处理的方法,其特征在于,
3.如权利要求1所述的微服务文件安全处理的方法,其特征在于,所述方法还包括:
4.如权利要求1所述的微服务文件安全处理的方法,其特征在于,所述文件令牌类型包括文件操作类型和文件来源类型,所述文件操作类型包括文件上传和文件下载,所述文件来源类型包括外部来源和内部来源,所述文件令牌校验策略包括多组对应不同文件安全等级的校验策略;
5.如权利要求1所述的微服务文件安全处理的方法,其特征在于,所述第一后端服务对所述客户端使用所述访问令牌进行解析和验证包括:
6.如权利要求1所述的微服务文件安全处理的方法,其特征在于,所述文件操作包括文件读取操作,所述文件以加密形式存储于预设存储空间中;
7.一种微服务文件安全处理的系统,其特征在于,所述系统包括:
8.如权利要求7所述的微服务文件安全处理的系统,其特征在于,还包括:
9.一种计算机可读存储介质,其上存储计算机程序指
10.一种电子设备,包括存储器和处理器,其特征在于,所述存储器用于存储一条或多条计算机程序指令,其中,所述一条或多条计算机程序指令被所述处理器执行以实现如权利要求1-8中任一项所述的方法。
...【技术特征摘要】
1.一种微服务文件安全处理的方法,其特征在于,所述方法包括以下步骤:
2.如权利要求1所述的微服务文件安全处理的方法,其特征在于,
3.如权利要求1所述的微服务文件安全处理的方法,其特征在于,所述方法还包括:
4.如权利要求1所述的微服务文件安全处理的方法,其特征在于,所述文件令牌类型包括文件操作类型和文件来源类型,所述文件操作类型包括文件上传和文件下载,所述文件来源类型包括外部来源和内部来源,所述文件令牌校验策略包括多组对应不同文件安全等级的校验策略;
5.如权利要求1所述的微服务文件安全处理的方法,其特征在于,所述第一后端服务对所述客户端使用所述访问令牌进行解析和验证包括:
【专利技术属性】
技术研发人员:王胜,陈荣木,林傅荣,谢德寿,陈小雷,
申请(专利权)人:博思数采科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。