范 迪，朱志祥

(西安郵電大學(xué) 物聯(lián)網(wǎng)與兩化融合研究院，陜西 西安 710061)

一種Dubbo框架的授權(quán)認(rèn)證方案

范 迪，朱志祥

(西安郵電大學(xué) 物聯(lián)網(wǎng)與兩化融合研究院，陜西 西安 710061)

為增強(qiáng)Dubbo分布式服務(wù)框架的訪問安全性，避免服務(wù)消費(fèi)過程中出現(xiàn)消費(fèi)混亂或者數(shù)據(jù)被盜取的情況，將安全授權(quán)碼應(yīng)用到服務(wù)注冊以及服務(wù)消費(fèi)過程中，提出了一種新的訪問控制方案。在Dubbo中引入授權(quán)認(rèn)證中心，通過授權(quán)認(rèn)證中心對服務(wù)提供方和服務(wù)消費(fèi)方下發(fā)訪問授權(quán)碼，在服務(wù)注冊階段對服務(wù)提供者進(jìn)行身份驗(yàn)證，服務(wù)提供者在服務(wù)被消費(fèi)階段對服務(wù)消費(fèi)者進(jìn)行身份驗(yàn)證，保證了數(shù)據(jù)交換過程中數(shù)據(jù)訪問的安全性，有效地進(jìn)行服務(wù)注冊與服務(wù)消費(fèi)的訪問控制。授權(quán)認(rèn)證中心同時依賴Dubbo構(gòu)建成為分布式服務(wù)，與Dubbo框架本身進(jìn)行深度融合，可以支撐高并發(fā)的授權(quán)碼認(rèn)證請求。該方案在Dubbo中增加授權(quán)認(rèn)證中心，通過該模塊下發(fā)和管理授權(quán)碼，能夠?qū)ψ允跈?quán)和消費(fèi)授權(quán)進(jìn)行靈活管控，為Dubbo注冊中心與服務(wù)提供方提供了更安全的訪問控制，從而達(dá)到保護(hù)數(shù)據(jù)的目的。

Dubbo；授權(quán)認(rèn)證；分布式服務(wù)框架；訪問控制

0 引 言

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)站應(yīng)用的規(guī)模不斷擴(kuò)大，分布式服務(wù)架構(gòu)以及流動計算架構(gòu)勢在必行[1]。Dubbo是一個分布式服務(wù)框架以及SOA治理方案，致力于提供高性能和透明化的RPC遠(yuǎn)程服務(wù)調(diào)用方案，是阿里巴巴SOA服務(wù)化治理方案的核心框架，每天為2 000+個服務(wù)提供3 000 000 000+次訪問量支持，并廣泛應(yīng)用于阿里巴巴集團(tuán)的各成員站點(diǎn)。Dubbo自開源后已經(jīng)被很多非阿里系公司使用[2-3]。

數(shù)據(jù)作為信息時代最重要的資產(chǎn)[4]，在互聯(lián)網(wǎng)時代也被作為商品進(jìn)行消費(fèi)，所以在跨行業(yè)、跨部門之間建設(shè)數(shù)據(jù)交換共享服務(wù)，將本行業(yè)數(shù)據(jù)作為一種商品提供給需要的行業(yè)部門，減少因重復(fù)建設(shè)造成的社會資源浪費(fèi)，通過優(yōu)勢資源為自身服務(wù)并節(jié)省成本，集中精力提高自身核心競爭力，必然是互聯(lián)網(wǎng)社會分工的趨勢[5-6]。利用Dubbo分布式服務(wù)框架構(gòu)建大型數(shù)據(jù)交換平臺，不僅能夠簡化應(yīng)用系統(tǒng)開發(fā)，而且可以靈活擴(kuò)展服務(wù)，是建設(shè)數(shù)據(jù)交換中心的一種可行方案。由于Dubbo分布式服務(wù)框架的服務(wù)治理功能依賴于服務(wù)注冊中心[7-8]，而服務(wù)注冊中心并沒有對服務(wù)注冊過程進(jìn)行嚴(yán)格的身份驗(yàn)證，同時，服務(wù)消費(fèi)過程是消費(fèi)者對提供者的直接訪問，而提供者也沒有對消費(fèi)者身份進(jìn)行驗(yàn)證，因此對于數(shù)據(jù)交換來說，造成了很大的安全隱患。

授權(quán)認(rèn)證方案通過引入授權(quán)認(rèn)證中心模塊進(jìn)行服務(wù)支持，為利用Dubbo分布式服務(wù)框架構(gòu)建的數(shù)據(jù)交換平臺提供一種訪問控制方法，對服務(wù)注冊和服務(wù)消費(fèi)進(jìn)行嚴(yán)格的身份認(rèn)證和訪問控制。

1 系統(tǒng)架構(gòu)設(shè)計

系統(tǒng)在Dubbo框架中引入管理中心、授權(quán)認(rèn)證中心兩個新模塊，結(jié)合框架原有的注冊中心、服務(wù)提供者、服務(wù)消費(fèi)者共同構(gòu)成完整的系統(tǒng)[9-10]，系統(tǒng)架構(gòu)如圖1所示。

圖1 系統(tǒng)整體架構(gòu)

管理中心整合了授權(quán)認(rèn)證中心和注冊中心的功能，實(shí)現(xiàn)服務(wù)目錄和服務(wù)治理的功能。授權(quán)認(rèn)證中心包括兩部分工作：根據(jù)服務(wù)名生成授權(quán)碼，通過授權(quán)碼對服務(wù)進(jìn)行授權(quán)，授權(quán)包括服務(wù)注冊授權(quán)和服務(wù)消費(fèi)授權(quán)；驗(yàn)證提供授權(quán)碼的服務(wù)身份，通過對授權(quán)碼進(jìn)行多項(xiàng)驗(yàn)證，檢查發(fā)起請求的服務(wù)是否經(jīng)過授權(quán)。系統(tǒng)要求注冊中心和服務(wù)提供者在響應(yīng)服務(wù)之前向授權(quán)認(rèn)證中心驗(yàn)證請求中攜帶的授權(quán)碼信息。

2 授權(quán)碼

授權(quán)認(rèn)證中心采用AppId(應(yīng)用標(biāo)識)和SecretKey(訪問密鑰)作為一組授權(quán)碼進(jìn)行授權(quán)[11]，授權(quán)碼除了有啟用和禁用的狀態(tài)限制外，還有使用次數(shù)和有效時間作為限制。使用次數(shù)和有效時間是管理中心對服務(wù)進(jìn)行授權(quán)時指定的，和狀態(tài)限制一樣可以動態(tài)修改[12]。

3 授權(quán)認(rèn)證過程

授權(quán)和認(rèn)證涉及兩個過程：服務(wù)注冊和服務(wù)消費(fèi)。服務(wù)注冊是服務(wù)消費(fèi)的前提，注冊到注冊中心的服務(wù)會通過管理中心同步到服務(wù)目錄中，服務(wù)消費(fèi)者才可以在服務(wù)目錄中進(jìn)行申請開通服務(wù)，開通服務(wù)后可對服務(wù)進(jìn)行消費(fèi)。

服務(wù)注冊授權(quán)認(rèn)證過程如圖2所示。

圖2 服務(wù)注冊授權(quán)認(rèn)證流程

服務(wù)提供者首先需在管理中心申請注冊服務(wù)，管理中心會對服務(wù)申請進(jìn)行審核授權(quán)，若通過審核，則向授權(quán)認(rèn)證中心請求授權(quán)碼，授權(quán)認(rèn)證中心生成授權(quán)碼，返回給管理中心，由管理中心下發(fā)授權(quán)碼給服務(wù)提供者，此時提供者可攜帶該授權(quán)碼向注冊中心請求注冊服務(wù)，注冊中心向授權(quán)認(rèn)證中心驗(yàn)證此授權(quán)碼是否合法。服務(wù)注冊授權(quán)不涉及調(diào)用次數(shù)和有效時間的限制，只受狀態(tài)碼的影響。注冊驗(yàn)證過程如下：

(1)注冊中心接收到服務(wù)提供者的注冊請求，獲取請求中攜帶的授權(quán)碼信息，向授權(quán)認(rèn)證中心發(fā)起注冊認(rèn)證請求；

(2)授權(quán)認(rèn)證中心接收到注冊驗(yàn)證請求，根據(jù)AppId查詢授權(quán)碼是否存在，若不存在，返回failed信息，錯誤描述信息為“授權(quán)碼信息不存在，請向管理中心申請注冊授權(quán)碼”；

(3)驗(yàn)證授權(quán)碼SecretKey，SecretKey不匹配時返回failed信息，錯誤描述信息為“授權(quán)碼錯誤”，SecretKey驗(yàn)證匹配繼續(xù)下一步認(rèn)證；

(4)檢查授權(quán)碼狀態(tài)，狀態(tài)為“禁用”時返回failed信息，錯誤描述信息為“授權(quán)碼已被禁用”，狀態(tài)為“啟用”時返回success信息，成功描述信息為“身份認(rèn)證通過”；

(5)注冊中心根據(jù)授權(quán)認(rèn)證中心的返回信息進(jìn)行下一步處理，注冊驗(yàn)證通過則將服務(wù)注冊到注冊中心，注冊驗(yàn)證失敗直接向服務(wù)提供者返回注冊失敗信息。

服務(wù)消費(fèi)授權(quán)認(rèn)證過程如圖3所示。

服務(wù)消費(fèi)者首先需向管理中心申請開通服務(wù)。與服務(wù)注冊不同，服務(wù)消費(fèi)者需要在服務(wù)目錄中對需開通的服務(wù)進(jìn)行申請，由管理中心進(jìn)行審核，審核通過后向服務(wù)消費(fèi)者下發(fā)對應(yīng)需要開通服務(wù)的授權(quán)碼(AppId和SecretKey)，服務(wù)消費(fèi)者調(diào)用服務(wù)時需要向服務(wù)提供者提供服務(wù)授權(quán)碼，提供者接收到消費(fèi)者的請求后先對授權(quán)碼進(jìn)行驗(yàn)證，由提供者向授權(quán)認(rèn)證中心發(fā)起身份驗(yàn)證請求，驗(yàn)證通過后再對請求進(jìn)行服務(wù)響應(yīng)，每成功響應(yīng)一次，需要向授權(quán)認(rèn)證中心反饋調(diào)用結(jié)果，對服務(wù)調(diào)用次數(shù)加1。服務(wù)過程如下：

圖3 服務(wù)消費(fèi)授權(quán)認(rèn)證流程

(1)服務(wù)提供者接收到服務(wù)消費(fèi)者的消費(fèi)請求，從消費(fèi)請求中獲取消費(fèi)授權(quán)碼，并向授權(quán)認(rèn)證中心發(fā)起消費(fèi)認(rèn)證請求；

(2)授權(quán)認(rèn)證中心接收到消費(fèi)認(rèn)證請求，首先對發(fā)起請求的服務(wù)提供者狀態(tài)進(jìn)行驗(yàn)證，如果服務(wù)提供者已被管理中心禁用，則返回failed信息，錯誤描述信息為“服務(wù)提供者已被禁用”，如果服務(wù)提供者狀態(tài)正常，則繼續(xù)下一步認(rèn)證；

(3)根據(jù)AppId查詢授權(quán)碼是否存在，若不存在，返回failed信息，錯誤描述信息為“授權(quán)碼信息不存在，請向管理中心申請消費(fèi)授權(quán)碼”；

(4)驗(yàn)證授權(quán)碼SecretKey，SecretKey不匹配時返回failed信息，錯誤描述信息為“授權(quán)碼錯誤”，SecretKey驗(yàn)證匹配則繼續(xù)下一步認(rèn)證；

(5)檢查授權(quán)碼狀態(tài)，當(dāng)狀態(tài)為“禁用”時返回failed信息，錯誤描述信息為“授權(quán)碼已被禁用”，當(dāng)狀態(tài)為“啟用”時繼續(xù)下一步認(rèn)證；

(6)驗(yàn)證授權(quán)碼有效時間，若超出有效時間則返回failed信息，錯誤描述信息為“授權(quán)碼已超出有效時間”，若在有效期內(nèi)，則繼續(xù)下一步認(rèn)證；

(7)驗(yàn)證授權(quán)碼調(diào)用次數(shù)，若達(dá)到指定的調(diào)用次數(shù)時返回failed信息，錯誤描述信息為“授權(quán)碼調(diào)用次數(shù)已達(dá)到上限”，若未達(dá)到指定的調(diào)用次數(shù)，則返回success信息，成功描述信息為“身份認(rèn)證通過”；

(8)服務(wù)提供者根據(jù)授權(quán)認(rèn)證中心的反饋進(jìn)行服務(wù)響應(yīng)，若認(rèn)證失敗，直接返回認(rèn)證失敗信息，若認(rèn)證通過，則執(zhí)行對應(yīng)的服務(wù)代碼進(jìn)行服務(wù)響應(yīng)；

(9)服務(wù)響應(yīng)完成后，向授權(quán)認(rèn)證中心發(fā)起消費(fèi)者調(diào)用次數(shù)更新請求，將調(diào)用次數(shù)加1。

4 實(shí)驗(yàn)驗(yàn)證

通過對服務(wù)注冊和服務(wù)消費(fèi)兩個過程的授權(quán)碼生成并下發(fā)和授權(quán)碼認(rèn)證進(jìn)行實(shí)驗(yàn)，先通過管理中心向授權(quán)認(rèn)證中心為服務(wù)提供者請求生成一對注冊授權(quán)碼，由服務(wù)提供者攜帶注冊授權(quán)碼向注冊中心進(jìn)行服務(wù)注冊。注冊過程會對授權(quán)碼進(jìn)行三個階段驗(yàn)證，驗(yàn)證參數(shù)與結(jié)果如下：

生成的注冊授權(quán)碼：

AppId：

32a04c86f200480396a0d5a9b0257714

SecretKey：

14f6a61132134de2b210801a5ef6e

驗(yàn)證1參數(shù)條件，AppId錯誤，SecretKey正確，狀態(tài)啟用。

AppId：

5ceaad9bba9143afad9f4b2450a30d52

SecretKey：

14f6a61132134de2b210801a5ef6e

返回值：{“status”:“failed”,“message”:“授權(quán)碼信息不存在，請向管理中心申請注冊授權(quán)碼”}。

驗(yàn)證2參數(shù)條件，AppId正確，SecretKey錯誤，狀態(tài)啟用。

AppId：

32a04c86f200480396a0d5a9b0257714

SecretKey：

779eb55b9a154442bba8b0d8f87e7

返回值：{“status”:“failed”,“message”:“授權(quán)碼錯誤”}。

驗(yàn)證3參數(shù)條件，AppId正確，SecretKey正確，狀態(tài)禁用。

AppId：

5ceaad9bba9143afad9f4b2450a30d52

SecretKey：

14f6a61132134de2b210801a5ef6e

返回值：{“status”:“failed”,“message”:“授權(quán)碼已被禁用”}。

驗(yàn)證4參數(shù)條件，AppId正確，SecretKey正確，狀態(tài)啟用。

AppId：

5ceaad9bba9143afad9f4b2450a30d52

SecretKey：

14f6a61132134de2b210801a5ef6e

返回值：{“status”:“success”,“message”:“身份認(rèn)證通過”}。

服務(wù)提供者注冊成功后，服務(wù)消費(fèi)者在服務(wù)目錄中對已上線的服務(wù)進(jìn)行申請開通，由管理中心向授權(quán)認(rèn)證中心請求消費(fèi)授權(quán)碼并下發(fā)給服務(wù)消費(fèi)者，服務(wù)消費(fèi)者攜帶消費(fèi)授權(quán)碼向服務(wù)提供者進(jìn)行服務(wù)請求。服務(wù)消費(fèi)過程會對授權(quán)碼進(jìn)行六個階段驗(yàn)證，驗(yàn)證結(jié)果如下：

生成的消費(fèi)授權(quán)碼：

AppId：

f9c4cc018be648d2a68247dfcc3a1de0

SecretKey：

da2647f54c04aeb8244bc5333b29e1b

驗(yàn)證1參數(shù)條件，服務(wù)提供者被禁用，AppId正確，SecretKey正確，狀態(tài)啟用，調(diào)用次數(shù)未達(dá)到限制，未過期。

AppId：

f9c4cc018be648d2a68247dfcc3a1de0

SecretKey：

da2647f54c04aeb8244bc5333b29e1b

返回值：{“status”:“failed”,“message”:“服務(wù)提供者已被禁用”}。

驗(yàn)證2參數(shù)條件，服務(wù)提供者被啟用，AppId錯誤，SecretKey正確，狀態(tài)啟用，調(diào)用次數(shù)未達(dá)到限制，未過期。

AppId：

3b7375625daa47d6a609413b29f1328d

SecretKey：

da2647f54c04aeb8244bc5333b29e1b

返回值：{“status”:“failed”,“message”:“授權(quán)碼信息不存在，請向管理中心申請注冊授權(quán)碼”}。

驗(yàn)證3參數(shù)條件，服務(wù)提供者被啟用，AppId正確，SecretKey錯誤，狀態(tài)啟用，未過期，調(diào)用次數(shù)未達(dá)到限制。

AppId：

f9c4cc018be648d2a68247dfcc3a1de0

SecretKey：

a3191d1c17bd4bba8fad8f5452917

返回值：{“status”:“failed”,“message”:“授權(quán)碼錯誤”}。

驗(yàn)證4參數(shù)條件，服務(wù)提供者被啟用，AppId正確，SecretKey正確，狀態(tài)禁用，未過期，調(diào)用次數(shù)未達(dá)到限制。

AppId：

f9c4cc018be648d2a68247dfcc3a1de0

SecretKey：

da2647f54c04aeb8244bc5333b29e1b

返回值：{“status”:“failed”,“message”:“授權(quán)碼已被禁用”}。

驗(yàn)證5參數(shù)條件，服務(wù)提供者被啟用，AppId正確，SecretKey正確，狀態(tài)啟用，已過期，調(diào)用次數(shù)未達(dá)到限制。

AppId：

f9c4cc018be648d2a68247dfcc3a1de0

SecretKey：

da2647f54c04aeb8244bc5333b29e1b

返回值：{“status”:“failed”,“message”:“授權(quán)碼已超出有效時間”}。

驗(yàn)證6參數(shù)條件，服務(wù)提供者被啟用，AppId正確，SecretKey正確，狀態(tài)啟用，未過期，調(diào)用次數(shù)達(dá)到限制。

AppId：

f9c4cc018be648d2a68247dfcc3a1de0

SecretKey：

da2647f54c04aeb8244bc5333b29e1b

返回值：{“status”:“failed”,“message”:“授權(quán)碼調(diào)用次數(shù)已達(dá)到上限”}。

驗(yàn)證7參數(shù)條件，服務(wù)提供者被啟用，AppId正確，SecretKey正確，狀態(tài)啟用，未過期，調(diào)用次數(shù)未達(dá)到限制。

AppId：

f9c4cc018be648d2a68247dfcc3a1de0

SecretKey：

da2647f54c04aeb8244bc5333b29e1b

返回值：{“status”:“success”,“message”:”“身份認(rèn)證通過”}。

5 結(jié)束語

授權(quán)認(rèn)證中心能夠?qū)Ψ?wù)注冊和服務(wù)消費(fèi)生成對應(yīng)的授權(quán)碼，并在授權(quán)碼驗(yàn)證過程中對可能出現(xiàn)的各種情況進(jìn)行正確的判斷并返回準(zhǔn)確的驗(yàn)證信息。

在Dubbo中引入授權(quán)認(rèn)證中心，能夠?qū)Ψ?wù)提供者在分布式應(yīng)用中進(jìn)行接入控制，同時對服務(wù)消費(fèi)過程進(jìn)行權(quán)限控制，有效保護(hù)服務(wù)提供者的資源并對消費(fèi)者行為進(jìn)行合理的統(tǒng)計和控制。

[1] Yanjun.Dubbo架構(gòu)設(shè)計詳解[EB/OL].(2013-09-03)[2016-11-03].http://shiyanjun.cn/archives/325.html.

[2] 丁振凡.Spring REST風(fēng)格Web服務(wù)的Json消息封裝及解析研究[J].智能計算機(jī)與應(yīng)用,2012,2(2):9-10.

[3] 王元卓,靳小龍,程學(xué)旗.網(wǎng)絡(luò)大數(shù)據(jù)：現(xiàn)狀與展望[J].計算機(jī)學(xué)報，2013,36(6):1125-1138.

[4] 王 濤.數(shù)據(jù)共享與數(shù)據(jù)交換系統(tǒng)的設(shè)計與實(shí)現(xiàn)[D].大連:大連理工大學(xué),2015.

[5] 曾 一,袁 綱,張元平,等.基于Web服務(wù)的電子政務(wù)數(shù)據(jù)交換中心的設(shè)計和實(shí)現(xiàn)[J].計算機(jī)科學(xué),2007,34(11):98-102.

[6] Sheu R K,Yuan S M,Lo W T.MEDEA-a model for the event-based data exchange architecture[C]//Proceedings of the seventh international conference on parallel and distributed systems.Washington,DC:IEEE,2000:88.

[7] 時子慶，劉金蘭，譚曉華.基于OAuth2.0的認(rèn)證授權(quán)技術(shù)[J].計算機(jī)系統(tǒng)應(yīng)用,2012,21(3):260-264.

[8] 王力猛，陳 鵬，楊小軍.OAuth2.0協(xié)議認(rèn)證授權(quán)實(shí)現(xiàn)方案研究[J].電腦編程技巧與維護(hù),2015(10):21-22.

[9] Sprott D,Wilkes L.Understanding service-oriented architecture,CBDI[EB/OL].2004.http://www.microsoft.com/china/MSDN/library/architecture/.

[10] Carey P F,Gleason B W.Solving the integration issue-service-oriented architecture[EB/OL].2006.http://www.zdnet.co.uk/tsearch/Service-Oriented+Architecture.htm.

[11] 史 新,喬曉東,張志平,等.漢語科技詞系統(tǒng)的Web服務(wù)研究與實(shí)現(xiàn)[J].現(xiàn)代圖書情報技術(shù),2008(12):37-42.

[12] Barry D K.Service-oriented architecture (SOA) definition[EB/OL].2011-01-28.http://www.service-architecture.com/web-services/articles/service-oriented_architecture_soa_definition.html.

AnAuthorizationAuthenticationSchemeforDubboFramework

FAN Di，ZHU Zhi-xiang

(Institute of IOT & IT-based Industrialization,Xi’an University of Posts and Telecommunications,Xi’an 710061,China)

In order to enhance the access security of Dubbo distributed service framework and avoid the circumstances of consumption confusion or data to be stolen in service consumption,the security authorization code is applies to service registration and service consumption and a new scheme of access control is proposed.Through the introduction of the authorized authentication center in Dubbo,the service provider and the consumer side can be issued security authorization code.According to that,service provider is authenticated in service registration and service consumer is authenticated by service provider in service consumption,which make sure the safety of data access in the process of data exchange,efficient access control of service registration and service consumption.In the meantime,the authorized authentication center establishes the distributed service by Dubbo and highly combines with Dubbo,which can support authentication request of authorization code with high concurrency.It adds the authorized authentication center in Dubbo to send and manage the authorization code which can conduct flexible control for registration authorization and consumption authorization,providing the safer access control for Dubbo registration center and service provider and reaching the purpose of data protection.

Dubbo;authorization authentication;distributed service framework;access control

2016-11-20

2017-03-15 < class="emphasis_bold">網(wǎng)絡(luò)出版時間

時間：2017-07-19

基于大數(shù)據(jù)的陜西省政府和社會信息資源開放共享策略研究項(xiàng)目(2016KRM047)；陜西省科技統(tǒng)籌創(chuàng)新工程計劃項(xiàng)目(2016KTTSGY01-01)。

范 迪(1993-)，女，碩士，研究方向?yàn)榇髷?shù)據(jù)處理與高性能計算；朱志祥，教授，博士，研究方向?yàn)樾畔踩?/p>

http://kns.cnki.net/kcms/detail/61.1450.TP.20170719.1112.078.html

TP311.1

A

1673-629X(2017)11-0115-04

10.3969/j.issn.1673-629X.2017.11.025