一种微服务框架下敏感信息转加密方法及系统技术方案

本发明专利技术涉及一种微服务框架下敏感信息转加密方法及系统，通过使用存储在加密机的主密钥和访问关系标识动态生成转加密密钥，加密机仅需要维护较少数量的主密钥和应用端密钥映射关系即可，大为减少密钥维护工作量。

【技术实现步骤摘要】
一种微服务框架下敏感信息转加密方法及系统
本专利技术涉及信息安全
，尤其涉及一种微服务框架下敏感信息转加密方法及系统。
技术介绍
目前很多公司在使用SpringCloud、istio微服务框架开展微服务架构转型。微服务框架提供了通用的安全机制，但并没有考虑在应用层实现针对敏感字段的加密传输机制，例如支付密码的保密传输。目前在实施微服务架构转型过程中，为保障交易密码传输安全，应用端中任意调用方节点与服务方节点两两之间需要约定加密敏感信息的对称密钥并存储在加密机中，随着微服务逐步拆分和应用系统逐步建设，加密机中存储的密钥数量大量增加，直接导致查找效率不断下降，并且随着密钥的增加应用端维护的密钥映射关系也会更加复杂，极大地增加了开发改造的工作量。
技术实现思路
为解决现有技术的不足，本专利技术提出一种微服务框架下敏感信息转加密方法及系统，通过使用存储在加密机的主密钥和访问关系标识动态生成转加密密钥，加密机仅需要维护较少数量的主密钥和应用端密钥映射关系即可，大为减少密钥维护工作量。为实现以上目的，本专利技术所采用的技术方案包括：一种微服务框架下敏感信息转加密方法，其特征在于，包括：通过前一节点与当前节点的访问关系标识结合主密钥生成解密密钥对前一节点发送至当前节点的接收密文进行解密得到传送原文；通过当前节点与后一节点的访问关系标识结合主密钥生成加密密钥对当前节点发送至后一节点的传送原文进行加密得到传送密文。进一步地，所述访问关系标识包括相关节点唯一特征代码的有序组合。进一步地，所述方法还包括：当前节点不存在前一节点时，所述接收密文采用当前节点私钥对传送原文进行加密生成，并使用对应当前节点私钥的公钥作为解密密钥；当前节点不存在后一节点时，所述传送密文采用当前节点约定的存储密钥作为加密密钥对传送原文进行加密生成。进一步地，所述方法还包括：所述主密钥依据主密钥标识从复数个主密钥组成的主密钥组中选取使用。进一步地，所述主密钥标识根据预设时间间隔或非预设随机时间间隔变换。进一步地，所述方法还包括：在生成解密密钥和/或生成加密密钥前通过对应当前节点的节点标识和节点授权码对当前节点进行权限校验，并只在通过权限校验的情况下生成解密密钥和/或生成加密密钥。本专利技术还涉及一种微服务框架下敏感信息转加密系统，其特征在于，包括依次数据连接的调用节点、中间节点和服务节点，以及与所述调用节点、中间节点、服务节点分别数据连接的加密机和配置中心；所述调用节点为敏感信息的发出节点；所述中间节点为敏感信息的流转节点；所述服务节点为敏感信息的使用节点；所述加密机通过访问关系标识结合主密钥对所述调用节点、中间节点和服务节点之间传送的敏感信息进行转加密操作；所述配置中心依据预设时间间隔或非预设随机时间间隔提供主密钥标识。进一步地，所述调用节点使用调用节点私钥对敏感信息的传送原文进行加密得到接收密文并结合调用节点与相连中间节点的访问关系标识、调用节点的节点标识和节点授权码以及获得自所述配置中心的主密钥标识打包发送至加密机；所述中间节点将接收自前一节点的接收密文、相连前一节点的访问关系标识、相连后一节点的访问关系标识以及获得自所述配置中心的主密钥标识打包发送至加密机；所述服务节点将接收自前一节点的接收密文、相连前一节点的访问关系标识、服务节点的节点标识和节点授权码以及服务节点约定的存储密钥标识发送至加密机。进一步地，所述转加密操作包括：根据接收到的节点标识和节点授权码对相关节点进行权限校验；根据接收到的主密钥标识从主密钥组中选取对应主密钥使用；根据接收到的调用节点私钥使用对应公钥对接收密文进行解密；根据接收到的约定的存储密钥标识使用对应的存储密钥对敏感信息进行加密；根据接收到的访问关系标识结合主密钥生成加密密钥或解密密钥对敏感信息进行加密或解密操作。进一步地，所述中间节点为零个、一个或多个，当为多个时所述中间节点之间依次串联连接。本专利技术的有益效果为：采用本专利技术所述微服务框架下敏感信息转加密方法及系统，通过使用访问关系标识结合主密钥生成解密密钥/加密密钥对敏感信息进行传输过程的转加密操作，可以避免微服务框架下各节点之间必须互相保存对称密钥造成的密钥数量过多问题，加密机仅需要维护很少数量的主密钥即可完成转加密操作保证敏感信息传输过程的安全性，极大的减少了密钥维护工作量和应用开发改造工作量。附图说明图1为本专利技术微服务框架下敏感信息转加密方法实施例流程示意图。图2为本专利技术微服务框架下敏感信息转加密系统实施例结构示意图。具体实施方式为了更清楚的理解本专利技术的内容，将结合附图和实施例详细说明。如图1所示为本专利技术微服务框架下敏感信息转加密方法的一种优选实施例流程，包括以下步骤：S1、在加密机中配置调用节点与前序节点约定的密钥，配置服务节点与调用节点应用约定的密钥，配置服务节点与后序节点约定的密钥，并为调用节点和服务节点各自配置使用节点标识和授权码以提供访问加密机的权限。S2、调用节点接收到前序节点包含敏感信息(如支付密码)的报文后，向配置中心发送获取主密钥标识的请求信息。S3、配置中心返回主密钥标识至调用节点；配置中心支持主密钥定期、非定期轮换和将主密钥标识推送到调用节点。S4、调用节点利用主密钥标识、访问关系标识、节点标识、授权码、敏感信息(如支付密码)数据等输入参数发送至加密机；特别是可以调用加密机提供的转加密SDK软件包，并通过该SDK软件包提供的接口访问加密机。S5、加密机接收到输入参数后，解析各参数：加密机首先利用节点标识和授权码校验调用节点的访问权限，然后利用前序节点与该调用节点的访问关系标识和主密钥标识对应的主密钥动态生成解密密钥，然后使用该解密密钥解密敏感信息(如支付密码)密文为原文，然后利用调用节点与服务节点的访问关系标识和主密钥标识对应的主密钥动态生成加密密钥，然后使用该密钥加密敏感信息(如支付密码)原文为密文后返回给转加密SDK软件包，再返给调用节点。S6、调用节点收到转加密后的密文以后，组装请求报文向服务节点发起请求。S7、服务节点接收到包含敏感信息(如支付密码)的密文报文后，调用配置中心接口获取主密钥标识信息。S8、配置中心返回主密钥标识信息至服务节点；配置中心支持主密钥定期轮换和将主密钥标识推送到服务节点。S9、服务节点利用主密钥标识、访问关系标识、节点标识、授权码、敏感信息(如支付密码)数据等输入参数发送至加密机；特别是可以调用加密机提供的转加密SDK软件包。S10、加密机的转加密接口接收到输入参数后，解析各参数，加密机首先利用节点标识和授权码校验服务节点的访问权限，利用调用节点与服务节点的访问关系标识和主密钥标识对应的主密钥动态生成解密密钥，然后使用该密钥解密敏感信息(如支付密码)密文数据为原文，然本文档来自技高网...

【技术保护点】
1.一种微服务框架下敏感信息转加密方法，其特征在于，包括：/n通过前一节点与当前节点的访问关系标识结合主密钥生成解密密钥对前一节点发送至当前节点的接收密文进行解密得到传送原文；/n通过当前节点与后一节点的访问关系标识结合主密钥生成加密密钥对当前节点发送至后一节点的传送原文进行加密得到传送密文。/n

【技术特征摘要】
1.一种微服务框架下敏感信息转加密方法，其特征在于，包括：
通过前一节点与当前节点的访问关系标识结合主密钥生成解密密钥对前一节点发送至当前节点的接收密文进行解密得到传送原文；
通过当前节点与后一节点的访问关系标识结合主密钥生成加密密钥对当前节点发送至后一节点的传送原文进行加密得到传送密文。


2.如权利要求1所述的方法，其特征在于，所述访问关系标识包括相关节点唯一特征代码的有序组合。


3.如权利要求2所述的方法，其特征在于，所述方法还包括：
当前节点不存在前一节点时，所述接收密文采用当前节点私钥对传送原文进行加密生成，并使用对应当前节点私钥的公钥作为解密密钥；
当前节点不存在后一节点时，所述传送密文采用当前节点约定的存储密钥作为加密密钥对传送原文进行加密生成。


4.如权利要求3所述的方法，其特征在于，所述方法还包括：
所述主密钥依据主密钥标识从复数个主密钥组成的主密钥组中选取使用。


5.如权利要求4所述的方法，其特征在于，所述主密钥标识根据预设时间间隔或非预设随机时间间隔变换。


6.如权利要求3所述的方法，其特征在于，所述方法还包括：
在生成解密密钥和/或生成加密密钥前通过对应当前节点的节点标识和节点授权码对当前节点进行权限校验，并只在通过权限校验的情况下生成解密密钥和/或生成加密密钥。


7.一种微服务框架下敏感信息转加密系统，其特征在于，包括依次数据连接的调用节点、中间节点和服务节点，以及与所述调用节点、中间节点、服务节点分别数据连接的...

【专利技术属性】
技术研发人员：朱文义，
申请(专利权)人：中信银行股份有限公司，
类型：发明
国别省市：北京;11