本发明涉及电力服务技术领域,具体涉及一种电力魔方服务微应用集成方法。
背景技术:
电力服务是综合性很强的业务。因此现有技术内采用的是“大平台+微应用”的形式来进行管理。其中大平台指的是由国网牵头组建的综合性平台,而微应用具体指各个分包企业。这样的模式确保应用间的标准统一、差异屏蔽、组件复用。核心、复杂的业务模块以组件形式封装到平台中,将以往复杂的前端流程更多转移到了后端。而大型软件系统被拆解为“微应用”,为针对同业务开发小型系统,提供更灵活、更个性化、更快速响应、更具可扩展性的服务,也更方便第三方开发商的接入。
每个微应用有各自的调用的接口和数据,但很多数据是共享的,从而大大增加了数据传输过程中被窃听、篡改、破坏的风险。而且出于平台集成的特殊性,一旦出现恶意攻击所造成的损失非常大。
技术实现要素:
针对现有技术的不足,本发明公开一种电力魔方服务微应用集成方法,能够在不影响app安装和维护的前提下,提高微应用管理维护的可控制性,尤其提高了系统的安全和稳定性,以及对产生的问题的追溯性。
为实现以上目的,本发明通过以下技术方案予以实现:
一种电力魔方服务微应用集成方法,由大平台和微应用组成,所述大平台包括客户端、电力外网和电力内网,所述客户端和电力外网之间设有防火墙,所述电力外网和电力内网之间设有隔离网闸,所述微应用打包后通过客户端接入到电力外网,所述微应用包内包括头部标识段、内容解析段和应用包段,所述头部标识段带有一个8位的验证编码,微应用包通过该验证编码进入到电力外网,并且在电力外网解开微应用包,分离出多个应用包段。
优选的,所述验证编码前两位为平台分配给应用供应商的专属通道编码;第三第四位为微应用维护人员身份编码,第五第六位为微应用内私有通道编码,第七位为随机数,第八位为校验码。这样的验证编码中每组数字除了校验作用外,都还存在特殊的意义。万一在后期发现有非法入侵,可以从进入的验证编码中找到问题所在,及时弥补漏洞。
优选的,所述微应用维护人员只能在特定时间内进行数据上传,即大平台在收到微应用包后将记录收到时的时间戳,同时对进入对应专属通道的微应用包进行二次解析,对比微应用维护人员信息是否正确。这样即便第三方非法获取验证编码,也不知道该验证编码中的维护人员对应的文件上传时间,在错误的时间是无法上传数据的。即便验证编码是正确的,但是并非此维护人员的上传时间,上传的微应用包将放置在一个单独的安全区内待检验。
优选的,一周内单个微应用维护人员被允许进入平台的次数不超过3次,每次打开时间戳的时间不超过30分钟。由于数据访问量非常大,因此这样有序的控制进入的数量不仅减少了平台终端服务器的负载压力,同时也提醒维护人员需要提高上传的效率。最为关键的是减少了非法获取的验证编码进入内网的机会。
优选的,所述验证编码前6位数据循环前进随机数的位数的每位数值加上随机数的数值,取个位数后代替原有的验证编码前6位数值。例如前6位是123456,而随机数为2时,前6位将由345678替代。由于随机数在每次进入时都会变更,这样简单的替代方式增加了破解的难度。
进一步的,本发明的运行方式为:
步骤1:专属通道编码分配,所述专属通道编码针对不同微应用供应商进行分配;分配的2位编码即验证编码前两位为明码,作为微应用供应商的身份id;
步骤2:供应商内部分配微应用维护人员编码,并通过其他途径在大平台上备案;
步骤3:供应商编辑好微应用并按照规格进行封装;
步骤4:大平台根据供应商的需求分配指定时间段给不同的供应商;
步骤5,供应商在指定时间段内以指定微应用维护人员身份提交微应用包;
步骤6,微应用包凭借专属通道编码通过防火墙后进入电力外网,然后进行解包,解包后获得多个应用包段;
步骤7,所述应用包段通过电力外网和电力内网之间的隔离网闸进入到电力内网;
步骤8:所述应用包段进入到电力内网后,接入到对应微应用前再次解压,微应用对应用包段内解压出的密码进行二次核对;
步骤9:核对无误的应用复制应用包段解压的内容并进行安装升级。
优选的,所述应用包段内解压出的密码为供应商自定义的且区别于进入外网的验证编码的加密方式。
优选的,步骤2中的其他途径包括电力专网oa进行备案。电力专网oa是数据内网,在公司内部流转安全系数高。万一被他人截取信息,也只能获得对应维护人员信息代码,无法从该信息中找到对应时间戳。
本发明通过这样的技术方案,通过时间戳结合两段密码的形式进行应用封包,提高了对上传数据的管控,对于出现的问题数据能够根据时间戳进行追溯。同时尽可能的避免他人恶意入侵系统。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明验证编码结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明具体实施例:一种电力魔方服务微应用集成方法,由大平台和微应用组成,所述大平台包括客户端、电力外网和电力内网,所述客户端和电力外网之间设有防火墙,所述电力外网和电力内网之间设有隔离网闸,所述微应用打包后通过客户端接入到电力外网,所述微应用包内包括头部标识段、内容解析段和应用包段,如图1所示为,所述头部标识段带有一个8位的验证编码,微应用包通过该验证编码进入到电力外网,并且在电力外网解开微应用包,分离出多个应用包段。所述验证编码前两位为平台分配给应用供应商的专属通道编码;第三第四位为微应用维护人员身份编码,第五第六位为微应用内私有通道编码,第七位为随机数,第八位为校验码。所述微应用维护人员只能在特定时间内进行数据上传,即大平台在收到微应用包后将记录收到时的时间戳,同时对进入对应专属通道的微应用包进行二次解析,对比微应用维护人员信息是否正确。一周内单个微应用维护人员被允许进入平台的次数不超过3次,每次打开时间戳的时间不超过30分钟。所述验证编码前6位数据循环前进随机数的位数的每位数值加上随机数的数值,取个位数后代替原有的验证编码前6位数值。
本发明电力魔方服务微应用集成方法的具体实施步骤为:
步骤1:专属通道编码分配,所述专属通道编码针对不同微应用供应商进行分配;分配的2位编码即验证编码前两位为明码,作为微应用供应商的身份id;
步骤2:供应商内部分配微应用维护人员编码,并通过其他途径在大平台上备案;其他途径一般指电力专网oa进行备案,在特殊情况下也可以由电话专线等渠道进行。
步骤3:供应商编辑好微应用并按照规格进行封装;
步骤4:大平台根据供应商的需求分配指定时间段给不同的供应商;这次需要注意的是,供应商可以主动挑选分配时间,大平台同意后会根据该时间点分配随机数,并根据随机数最终确定校验码。其他人无法从验证编码中得知实际上传时间戳,因此即便他们从非法渠道获取了验证编码,上传的信息也不会进入到内网。
步骤5:供应商在指定时间段内以指定微应用维护人员身份提交微应用包;
步骤6:微应用包凭借专属通道编码通过防火墙后进入电力外网,然后进行解包,解包后获得多个应用包段;
步骤7:所述应用包段通过电力外网和电力内网之间的隔离网闸进入到电力内网;
步骤8:所述应用包段进入到电力内网后,接入到对应微应用前再次解压,微应用对应用包段内解压出的密码进行二次核对;在此过程中,所述应用包段内解压出的密码为供应商自定义的且区别于进入外网的验证编码的加密方式。因此可以根据自身的个性进行。
步骤9:核对无误后微应用复制应用包段解压的内容并进行安装升级。
通过本发明的实施方式,每个时间段中上传到电力外网的信息都是有迹可循,一旦有异常出现也很容易查明。便于平台管理员对每日数千个微应用进行管理。减轻了安全维护的负担。
当大平台检测到有微应用包以正确的验证编码但是在错误的时间节点申请接入时,将该微应用包保存在一个虚拟机内进行解压,同时对解压内容进行分析,判断该微应用是人为错误提交还是被恶意注入不良代码的入侵。一旦找到不良代码,大平台将警告该微应用的提供商,并冻结该应用商此后所有的验证编码。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。