本發明實施例提供了一種接口調用的認證方法、裝置、微服務應用和密鑰管理中心。密鑰管理中心通過對獲取的至少一組簽名密鑰和加密密鑰進行加密和簽名生成響應報文，將響應報文發送至微服務應用，以供微服務應用對響應報文進行驗簽和解密，生成簽名密鑰和加密密鑰，并能夠根據任一組簽名密鑰和加密密鑰對與該組簽名密鑰和加密密鑰對應的其它微服務應用名所標識的微服務應用通過指定協議進行接口調用，從而保證了密鑰的按需分發和動態更新。

【技術領域】

本發明涉及互聯網安全技術領域，尤其涉及一種接口調用的認證方法、裝置、微服務應用和密鑰管理中心。

【背景技術】

近年來，許多互聯網公司將應用架構調整為微服務架構。微服務架構由面向服務的架構(Service-Oriented Architecture，簡稱SOA)發展而來，微服務架構是指將原有的單體架構應用拆分成若干個微服務應用，每個微服務應用擁有自己的進程，微服務應用之間通過超文本傳輸安全協議(Hyper Text Transfer Protocal over Secure SocketLayer，簡稱HTTPS)等輕量級協議進行通信。根據己有研究可以知道，使用微服務架構后每個微服務應用能夠獨立開發和部署，減少了對于地域的依賴，同時可以根據微服務應用提供的功能選擇最優的編程語言、數據庫等不同的技術，提高系統的可擴展性和可維護性，更好的支持持續集成和持續交付。

微服務應用和其它微服務應用間進行接口調用時，如何確保傳輸數據的機密性和完整性就顯得尤為重要，如果不加以控制，就會讓黑客有可乘之機，導致系統數據異常。相關技術中的技術方案中各微服務應用自行維護密鑰，不能做到密鑰的按需分發和動態更新。

【發明內容】

有鑒于此，本發明實施例提供了一種接口調用的認證方法、裝置、微服務應用和密鑰管理中心，用以對密鑰按需分發和動態更新。

一方面，本發明實施例提供了一種接口調用的認證方法，應用于微服務應用，包括：

對生成的第一報文進行簽名生成請求報文，所述第一報文包括微服務應用名；

將所述請求報文發送至密鑰管理中心，以供所述密鑰管理中心對所述請求報文進行驗簽生成所述第一報文，獲取與所述微服務應用名對應的至少一組簽名密鑰和加密密鑰，對至少一組所述簽名密鑰和所述加密密鑰進行加密和簽名生成響應報文；

接收所述密鑰管理中心發送的響應報文；

對所述響應報文進行驗簽和解密，生成至少一組所述簽名密鑰和所述加密密鑰；

根據任一組所述簽名密鑰和所述加密密鑰對與該組所述簽名密鑰和所述加密密鑰對應的其它微服務應用名所標識的微服務應用通過指定協議進行接口調用。

可選地，所述對生成的第一報文進行簽名生成請求報文之前包括：

接收密鑰管理中心發送的密鑰更新通知；

從所述密鑰管理中心獲取密鑰管理中心公鑰和微服務應用私鑰；

根據指定規則生成隨機數；

根據所述密鑰管理中心公鑰對所述隨機數進行加密生成加密后的隨機數；

根據加密后的隨機數、獲取的微服務應用名和微服務應用所屬區域生成第一報文。

可選地，所述對生成的第一報文進行簽名生成請求報文包括：

根據獲取的微服務應用私鑰對所述第一報文進行簽名，生成請求報文。

可選地，所述對所述響應報文進行驗簽和解密，生成至少一組所述簽名密鑰和所述加密密鑰包括：

根據獲取的密鑰管理中心公鑰對響應報文進行驗簽；

若驗簽通過，根據生成的隨機數對響應報文進行解密，生成至少一組所述簽名密鑰和所述加密密鑰。