(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111356022.8 (22)申请日 2021.11.16 (71)申请人 深圳航天智慧城市系统技 术研究院 有限公司 地址 518000 广东省深圳市南 山区粤海街 道科技南十路6号深圳航天科技创新 研究院大厦B座 407室 (72)发明人 付宇辉　刘闽　 (74)专利代理 机构 深圳市添源创鑫知识产权代 理有限公司 4 4855 代理人 沈冠雄 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/08(2022.01) H04L 67/10(2022.01)G06F 9/54(2006.01) G06F 21/30(2013.01) (54)发明名称 一种基于私有云的服 务安全策略管理方法 (57)摘要 本发明公开了一种基于私有云的服务安全 策略管理方法， 其包括如下步骤： S100， 服务启 动， 用于保障信息同步模块、 网关管理模块和服 务转发模块的正 常运行； S2 00， 请求分发， 用于解 决转发客户端请求到后端服务集群的问题； S300， 消息同步， 通过客户端请求的传入地址， 提 取客户端信息， 用于后续流程使用； S400， 缓存同 步， 用于解决前置数据网关多个实例之间缓存同 步的问题； S500， 运维管理， 用于解决网关日常维 护问题。 本发明的方法提供统一的服务入口， 可 实现对众多服务接口进行管控， 对访问服务的身 份认证、 功能调用的业务鉴权、 流量与并发控制， 基于调用的流量情况进行监控， 从部署、 使用、 维 护方面降低了用户的操作难度。 权利要求书2页 说明书6页 附图5页 CN 114189358 A 2022.03.15 CN 114189358 A 1.一种基于私有云的服 务安全策略管理方法， 其特 征在于， 其包括如下步骤： S100， 服务启动， 用于保障信息同步模块、 网关管理模块和服 务转发模块的正常运行； S200， 请求分发， 用于解决转发客户端请求到后端服 务集群的问题； S300， 消息同步， 通过客户端请求的传入地址， 提取客户端信息， 用于后续 流程使用； S400， 缓存同步， 用于解决前置数据网关多个实例之间缓存同步的问题； S500， 运维管理， 用于解决网关日常维护问题。 2.根据权利要求1所述的基于私有云的服务安全策略管理方法， 其特征在于， 在所述步 骤S100中， 所述服务启动至少包括main函数启动， main函数启动包括启动信息同步、 服务转 发、 网关管理三个进程； 在启动三个进程之前读取配置文件， 并根据配置文件的内容进行配 置， 调整容器状态， 以提供更好的服务； 在这过程中， 每一个单独的模块都是一个独立的进 程， 信息同步、 服务转 发、 网关管 理都是同时启动的， 不存在启动的先后顺序， 而且进程之间 采用通道进行信息传递及沟通。 3.根据权利要求1所述的基于私有云的服务安全策略管理方法， 其特征在于， 在所述步 骤S200中， 所述请求分发包括 客户端、 前置数据网关和后端服 务集群三个部分； 其中， 所述服务转发模块包括请求信息提取、 白名单查询、 服务映射查询和请求转发， 是作为一条进程被main函数启动后， 读取main函数传入的配置， 获取配置之后， 监听一个 TCP端口， 默认8080， 任意网段即可访问。 4.根据权利要求1所述的基于私有云的服务安全策略管理方法， 其特征在于， 在所述步 骤S300中， 所述消息分发中的客户端指的是远程 服务器的客户端， 其包括前置数据网关； 所述前置数据网关启动后， 从配置中读取信 息并传递给信 息同步模块并启动连接远程 服务器； 所述远程服务器连接成功之后返回消息队列列表， 所述前置数据网关通过配置 中的列 表进行监听， 若队列不存在， 则自动创建； 信息同步模块通过消息队列完成远程推送信息， 通过进程阻塞实现； 如果消息没有收 受到， 则继续阻塞等待， 当接收到消息之后， 判断消息来源是队列中的信息， 还是服务器的 心跳信息； 判断消息来源前需要对接收到消息后要进行反序列化， 再通过消息解释， 将再将信息 或命令分发到不同的函数中进 行， 由函数生成执行的命令， 服务器命令行、 前置数据网关的 其他实例或拥有与远程服务器通讯的SDK的其他服务将 需要执行 的命令封装成约定格式, 再通过SDK将字符串转换为二进制数据包， 并传递到对应的队列之上， 服务端接受到消息 之 后会把一个凭据信息返回。 5.根据权利要求1所述的基于私有云的服务安全策略管理方法， 其特征在于， 在所述步 骤S400中， 缓存同步至少 包括远程服务器与前置数据网关两个部分关两部分， 其中前置数 据网关包括前置数据网关 ‑1和前置数据网关 ‑2； 所述缓存同步， 其过程都是通过信息同步 模块启动 后， 使用对应的S DK连接远程 服务器， 对消息队列进行监听； 当客户端任意调用所述前置数据网关 ‑1和所述前置数据网关 ‑2的网关管理模块， 将对 应的运维操作的命令包装成对应的二进制包并发布到所述远程服务器的远程缓存中， 远端 缓存更新后返回对应信息； 服务SDK调用者获取对应信息并验证后， 在发布消息推送到消息队列， 消息队列接收到权　利　要　求　书 1/2 页 2 CN 114189358 A 2信息后， 会把信息分发给所有的监听者， 并使它们能接收到对应的消息； 同时通过命令 分发 将对应的运维操作到网关管理模块， 网关管理模块访问远程服务器的远端缓存信息， 并同 步更新会本地， 替换本地的缓存。 6.根据权利要求1所述的基于私有云的服务安全策略管理方法， 其特征在于， 在所述步 骤S500中， 所述 运维管理， 其至少包括 运维管理模块、 内存 模块和服 务转化模块三个部分， 所述运维管理模块启动后， 通过监听端口接受可实话操作请求或等待请求， 发送至运 维操作， 运 维操作对本地缓存的新增信息进入缓存、 修改缓存内容、 从缓存中删除信息及读 取缓存信息进行操作； 所述内存模块完成更新之后， 本地缓存返回一个成功信息， 该信息处理之后调度信息 同步模块， 将修改后的信息同步推送到远端服务器上， 并通知其他实例读取最新的缓存并 更新。权　利　要　求　书 2/2 页 3 CN 114189358 A 3