[go: up one dir, main page]

CN107528813A - 访问私有集群的系统、方法、控制服务器和代理服务器 - Google Patents

访问私有集群的系统、方法、控制服务器和代理服务器 Download PDF

Info

Publication number
CN107528813A
CN107528813A CN201610454968.0A CN201610454968A CN107528813A CN 107528813 A CN107528813 A CN 107528813A CN 201610454968 A CN201610454968 A CN 201610454968A CN 107528813 A CN107528813 A CN 107528813A
Authority
CN
China
Prior art keywords
hyperlink
web service
authentication signature
proxy server
control server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610454968.0A
Other languages
English (en)
Other versions
CN107528813B (zh
Inventor
李晓恺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kingsoft Cloud Network Technology Co Ltd
Beijing Kingsoft Cloud Technology Co Ltd
Original Assignee
Beijing Kingsoft Cloud Network Technology Co Ltd
Beijing Kingsoft Cloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Cloud Network Technology Co Ltd, Beijing Kingsoft Cloud Technology Co Ltd filed Critical Beijing Kingsoft Cloud Network Technology Co Ltd
Priority to CN201610454968.0A priority Critical patent/CN107528813B/zh
Publication of CN107528813A publication Critical patent/CN107528813A/zh
Application granted granted Critical
Publication of CN107528813B publication Critical patent/CN107528813B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

本文公布一种访问私有集群的系统、方法、控制服务器和代理服务器,该方法包括:代理服务器接收来自控制服务器发送的携带需要访问的web服务的端口号以及第一认证签名的请求;当代理服务器确定出第一认证签名合法时,代理服务器根据接收到的web服务的端口号获取与该请求对应的web服务的超文本;代理服务器改写获得的web服务的超文本中的第一超链接并将改写后的超文本发送给控制服务器。本发明实施例实现了高效、便捷地对私有集群的web服务进行访问,提高了访问的安全性,提升了用户体验。

Description

访问私有集群的系统、方法、控制服务器和代理服务器
技术领域
本发明涉及移动通信技术,尤指一种访问私有集群的系统、方法、控制服务器和代理服务器。
背景技术
相关技术中的可伸缩大数据计算平台各分布式系统基础架构(Hadoop)组件以及Ganglia组件都具有较为完善的原生用户界面(UI)页面,其中,Hadoop是Apache基金会所开发的分布式系统基础架构,可以进行大数据存储和计算,Ganglia是加利福尼亚大学伯克利分校(UC Berkeley,Universityof California-Berkeley)发起的一个开源集群监控项目,主要是用来监控集群系统性能。其中,Hadoop组件以及Ganglia组件可以帮助用户查看服务的状态,并且能够快速定位问题。但是,Hadoop的互联网(web)服务部署在用户的私有集群中,用户无法在浏览器中去访问它们。
发明内容
本申请提供了一种访问私有集群的系统、方法、控制服务器和代理服务器,能够高效、便捷地对私有集群的web服务进行访问,提高访问的安全性,提升用户体验。
为了达到本申请目的,本申请提供了一种访问私有集群的系统,包括:控制服务器和代理服务器;其中,
控制服务器,用于当检测到受信用户访问用户界面UI页面时,向代理服务器发送携带需要访问的web服务的端口号以及第一认证签名的请求;
代理服务器,用于当确定出第一认证签名合法时,根据接收到的web服务的端口号获取与该请求对应的web服务的超文本;改写获得的web服务的超文本中的第一超链接并将改写后的超文本发送给控制服务器。
可选地,所述控制服务器还用于:向所述代理服务器发送所述请求之前,检测所述受信用户是否访问集群详情页面;当检测到受信用户访问所述集群详情页面时,生成UI页面;
所述控制服务器检测到受信用户访问UI页面包括:所述控制服务器检测到所述受信用户访问所述web服务对应的第二超链接。
可选地,所述控制服务器生成UI页面包括:
获取预先存储的每个web服务对应的第二超链接;
将包含每个web服务对应的第二超链接的页面作为UI页面;
其中,每个第二超链接中均包括代理服务器的弹性互联网协议Eip地址、第一认证签名、web服务的端口号和到期时间。
可选地,所述控制服务器还用于:
预先获取所述代理服务器的Eip地址和与所述代理服务器连接的私有集群内部的每个web服务的端口号;根据获得的代理服务器的Eip地址和每个web服务的端口号生成每个web服务对应的第二超链接。
可选地,所述控制服务器还用于:在生成每个web服务对应的第二超链接之前,确定所述每个web服务对应的第二超链接的到期时间;
根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的所述第一认证签名。
可选地,所述控制服务器根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的所述第一认证签名包括:
生成对称加密密钥;
使用生成的所述对称加密密钥分别对确定出的所述每个第二超链接的到期时间进行加密以获取与每个第二超链接对应的所述第一认证签名;
所述控制服务器,还用于将生成的所述对称加密密钥发送给所述代理服服务器。
可选地,所述代理服务器确定出第一认证签名合法包括:
接收来自所述控制服务器发送的对称加密密钥;
获取所述请求所携带的到期时间;
判断获得的所述请求所携带的到期时间是否到期;
当判断出获得的所述请求所携带的到期时间未到期时,根据接收到的对称加密密钥对获得的到期时间进行加密以获取第二认证签名;
判断所述第一认证签名和所述第二认证签名是否相同;
当判断出所述第一认证签名和所述第二认证签名相同时,判断出所述第一认证签名合法。
本申请还提供了一种访问私有集群的方法,包括:
代理服务器接收来自控制服务器发送的携带需要访问的web服务的端口号以及第一认证签名的请求;
当代理服务器确定出第一认证签名合法时,代理服务器根据接收到的web服务的端口号获取与该请求对应的web服务的超文本;
代理服务器改写获得的web服务的超文本中的第一超链接并将改写后的超文本发送给控制服务器。
可选地,该方法之前还包括:当所述控制服务器检测到所述受信用户访问集群详情页面时,所述控制服务器生成用户界面UI页面;
当所述控制服务器检测到所述受信用户访问UI页面时,向所述代理服务器发送所述请求;
所述控制服务器检测到所述受信用户访问UI页面包括:所述控制服务器检测到所述受信用户访问所述web服务对应的第二超链接。
可选地,所述控制服务器生成UI页面包括:
所述控制服务器获取预先存储的每个web服务对应的第二超链接;
所述控制服务器将包含每个web服务对应的第二超链接的页面作为所述UI页面;
其中,每个第二超链接中均包括所述代理服务器的弹性互联网协议Eip地址、第一认证签名、web服务的端口号和到期时间。
可选地,在所述控制服务器获取预先存储的每个web服务对应的第二超链接之前,该方法还包括:
所述控制服务器获取所述代理服务器的Eip地址和与所述代理服务器连接的私有集群内部的每个web服务的端口号;
所述控制服务器根据获得的代理服务器的Eip地址和所述每个web服务的端口号生成每个web服务对应的第二超链接。
可选地,在所述控制服务器生成每个web服务对应的第二超链接之前,该方法还包括:
所述控制服务器确定所述每个web服务对应的第二超链接的到期时间;
所述控制服务器根据确定出的每个第二超链接的到期时间分别生成与所述每个第二超链接对应的所述第一认证签名。
可选地,所述控制服务器根据确定出的每个第二超链接的到期时间分别生成与所述每个第二超链接对应的所述第一认证签名包括:
所述控制服务器生成对称加密密钥;
所述控制服务器使用生成的所述对称加密密钥分别对确定出的所述每个第二超链接的到期时间进行加密以获取与所述每个第二超链接对应的所述第一认证签名。
可选地,在所述控制服务器生成对称加密密钥之后,该方法还包括:
所述控制服务器将生成的所述对称加密密钥发送给所述代理服务器;
所述代理服务器确定出第一认证签名合法包括:
所述代理服务器接收来自所述控制服务器发送的对称加密密钥;
所述代理服务器获取所述请求的到期时间;
所述代理服务器判断获得的所述请求的到期时间是否到期;
当所述代理服务器判断出获得的所述请求的到期时间未到期时,所述代理服务器根据接收到的所述对称加密密钥对所述获得的到期时间进行加密以获取第二认证签名;
所述代理服务器判断所述第一认证签名和所述第二认证签名是否相同;
当所述代理服务器判断出所述第一认证签名和所述第二认证签名相同时,所述代理服务器判断出所述第一认证签名合法。
可选地,所述代理服务器改写获得的web服务的超文本中的第一超链接包括:
所述代理服务器获取自身的Eip地址;
所述代理服务器将所述第一认证签名、获得的自身的Eip地址和所述web服务的端口号添加至所述超文本中的所述第一超链接。
可选地,该方法之后还包括:所述控制服务器接收并显示来自代理服务器发送的所述改写后的超文本。
本申请还提供了一种控制服务器,包括:检测模块、第一发送模块、第一接收模块和显示模块;其中,
检测模块,用于当检测到受信用户访问用户界面UI页面时,通知第一发送模块;
第一发送模块,用于接收到来自检测模块的通知,向代理服务器发送携带需要访问的web服务的端口号以及第一认证签名的请求;
第一接收模块,用于接收来自代理服务器发送的与请求对应的改写后的超文本;
显示模块,用于显示接收到的超文本。
可选地,该控制服务器还包括生成模块;
所述检测模块,还用于检测所述受信用户是否访问集群详情页面;当检测到受信用户访问所述集群详情页面时,通知所述生成模块;相应地,
所述生成模块,用于接收到来自所述检测模块的通知,生成UI页面;
所述检测模块检测到受信用户访问UI页面包括:检测到所述受信用户访问所述web服务对应的第二超链接。
可选地,所述生成模块,具体用于:
接收到来自所述检测模块的通知,获取预先存储的每个web服务对应的第二超链接;
将包含每个web服务对应的第二超链接的页面作为所述UI页面;
其中,每个第二超链接中均包括所述代理服务器的弹性互联网协议Eip地址、第一认证签名、web服务的端口号和到期时间。
可选地,所述生成模块,还用于确定所述每个web服务对应的第二超链接的到期时间;
根据确定出的每个第二超链接的到期时间分别生成与所述每个第二超链接对应的所述第一认证签名。
可选地,所述生成模块根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的所述第一认证签名包括:
生成对称加密密钥;
使用生成的所述对称加密密钥分别对确定出的所述每个第二超链接的到期时间进行加密以获取与所述每个第二超链接对应的所述第一认证签名。
可选地,所述第一发送模块,还用于将所述对称加密密钥发送给所述代理服务器。
本申请还提供了一种代理服务器,包括:第二接收模块、确定模块、获取模块和第二发送模块;其中,
第二接收模块,用于接收来自控制服务器发送的携带需要访问的web服务的端口号以及第一认证签名的请求;
确定模块,用于当确定出第一认证签名合法时,通知获取模块;
获取模块,用于当接收到来自确定模块的通知,根据接收到的web服务的端口号获取与该请求对应的web服务的超文本;改写获得的web服务的超文本中的第一超链接;
第二发送模块,用于将改写后的超文本发送给控制服务器。
可选地,所述第二接收模块,还用于接收来自所述控制服务器发送的其生成的对称加密密钥;相应地,
所述确定模块确定出第一认证签名合法包括:
获取所述请求的到期时间;
判断获得的所述请求的到期时间是否到期;
当判断出获得的所述请求的到期时间未到期时,根据接收到的所述对称加密密钥对所述获得的到期时间进行加密以获取第二认证签名;
判断所述第一认证签名和所述第二认证签名是否相同;
当判断出所述第一认证签名和所述第二认证签名相同时,判断出所述第一认证签名合法。
可选地,所述获取模块改写获得的web服务的超文本中的第二超链接包括:
获取自身所属的代理服务器的弹性互联网协议Eip地址;
将所述第一认证签名、获得的所述Eip地址和所述web服务的端口号添加至所述超文本中的第二超链接。
本发明实施例包括:代理服务器接收来自控制服务器发送的携带需要访问的web服务的端口号以及第一认证签名的请求;当代理服务器确定出第一认证签名合法时,代理服务器根据接收到的web服务的端口号获取与该请求对应的web服务的超文本;代理服务器改写获得的web服务的超文本中的第一超链接并将改写后的超文本发送给控制服务器。本发明实施例实现了高效、便捷地对私有集群的web服务进行访问,提高了访问的安全性,提升了用户体验。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明访问私有集群的系统的架构图;
图2为本发明访问私有集群的方法的流程图;
图3为本发明控制服务器生成的用户界面(UI)页面的示意图;
图4为本发明访问私有集群的方法的交互示意图;
图5为本发明访问私有集群的方法的实施例的流程图;
图6为本发明控制服务器的结构示意图;
图7为本发明代理服务器的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
申请人发现,可以通过更改防火墙规则或者建立安全外壳协议(ssh,Secure Shell)隧道方式来访问私有集群的web服务。
其中,更改防火墙规则的方式包括:用户先通过更改防火墙规则,打开监控服务的端口号,这样就可以直接访问已绑定弹性互联网协议(Eip)地址的UI页面。
其中,建立ssh隧道方式包括:用户通过先建立ssh隧道,然后再配置浏览器使用隧道代理来访问这些web服务对应的UI页面。
但是,更改防火墙规则的方式有以下缺点:首先,操作步骤多;其次,部分UI页面无法访问(这是由于只能访问私有集群中已绑定了Eip地址的机器节点上部署的web服务所对应的UI页面,私有集群中其他机器节点上部署的web服务所对应的UI页面则无法访问);最后,直接将端口打开,所有人都可以访问,安全性差,任何人都可以通过互联网协议地址和端口号(ip:port)进行访问。
其中,建立ssh隧道方式存在以下缺点:操作复杂,步骤繁琐,用户体验差。
基于上述两种方式所存在的诸多缺点,申请人提出了以下各个实施例。
图1为本发明访问私有集群的系统的架构图,如图1所示,包括:控制服务器和代理服务器。其中,
控制服务器,用于当检测到受信用户访问用户界面(UI)页面时,向代理服务器发送携带需要访问的web服务的端口号以及第一认证签名的请求。
可选地,该请求中还携带到期时间。
可选地,控制服务器,还用于向代理服务器发送上述请求之前,检测受信用户是否访问集群详情页面;当检测到受信用户访问集群详情页面时,生成UI页面;
控制服务器检测到受信用户访问UI页面包括:控制服务器检测到所述受信用户访问所述web服务对应的第二超链接。
其中,控制服务器生成UI页面包括:
获取预先存储的每个web服务对应的第二超链接;
将包含每个web服务对应的第二超链接的页面作为UI页面;
其中,每个第二超链接中均包括代理服务器的弹性互联网协议(Eip)地址、第一认证签名、web服务的端口号和到期时间。
可选地,控制服务器,还用于预先获取代理服务器的Eip地址和与代理服务器连接的私有集群内部的每个web服务的端口号;根据获得的代理服务器的Eip地址和每个web服务的端口号生成每个web服务对应的第二超链接。
需要说明的是,关于如何根据Eip地址和端口号生成超链接属于本领域技术人员所熟知的惯用技术手段,在此不再赘述,并不用来限制本申请。
可选地,控制服务器,还用于在生成每个web服务对应的第二超链接之前,确定每个web服务对应的第二超链接的到期时间;
根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的第一认证签名。
其中,控制服务器根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的第一认证签名包括:
生成对称加密密钥;
使用生成的对称加密密钥分别对确定出的每个第二超链接的到期时间进行加密以获取与每个第二超链接对应的第一认证签名。
其中,对称加密密钥用于对称加密算法中,对称加密(密钥加密)算法是一种需要对加密和解密使用相同密钥的加密算法,即发送和接收数据的双方必需使用相同的密钥对明文进行加密和解密运算。
其中,对称密钥加密算法主要包括:数据加密算法(DEA,DataEncryption Algorithm)、3DES和信息-摘要算法(MD,Message DigestAlgorithm)5等。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用,对称性加密也称为密钥加密。所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。
需要说明的是,密钥是控制加密及解密过程的指令,算法是一组规则,规定如何进行加密和解密。因此加密的安全性不仅取决于加密算法本身,密钥管理的安全性更是重要。因为加密和解密都使用同一个密钥,如何把密钥安全地传递到解密者手上就成了必须要解决的问题。
需要说明的是,控制服务器如何生成对称加密密钥,属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
可选地,控制服务器,还用于将生成的对称加密密钥发送给代理服服务器。
可选地,控制服务器,还用于接收并显示来自代理服务器发送的改写后的超文本。
代理服务器,用于当确定出第一认证签名合法时,根据接收到的web服务的端口号获取与该请求对应的web服务的超文本;改写获得的web服务的超文本中的第一超链接并将改写后的超文本发送给控制服务器。
其中,代理服务器确定出第一认证签名合法包括:
接收来自控制服务器发送的对称加密密钥;
获取请求所携带的到期时间;
判断获得的请求所携带的到期时间是否到期;
当判断出获得的请求所携带的到期时间未到期时,根据接收到的对称加密密钥对获得的到期时间进行加密以获取第二认证签名;
判断第一认证签名和第二认证签名是否相同;
当判断出第一认证签名和第二认证签名相同时,判断出第一认证签名合法。
其中,代理服务器与私有集群连接。
其中,代理服务器获得的与该请求对应的web服务的超文本中包括第一超链接;其中,第一超链接中包含指向私有集群内部的主机名称(或主机ip)和端口号。
其中,代理服务器改写获得的web服务的超文本中的第一超链接包括:
获取自身的Eip地址;
将第一认证签名、获得的自身的Eip地址和web服务的端口号添加至超文本中的第一超链接。
其中,改写后的超文本中的第一超链接的格式如下所示:
http://eip:port/uri?kmr_service=hostname(ip):port&kmr_token=XXX&kmr_exp=1456387321,其中,hostname(ip):port为改写之前的web服务的超文本中的超链接中的主机名称和端口号(hostname(ip):port包含在改写之前的web服务的超文本中的超链接中),uri表示统一资源表示符(即web服务的标识);其中,eip:port表示代理服务器的Eip和代理服务器监听的端口号;kmr_service表示私有集群内部实际需要访问UI页面的用以显示或设置系统的主机名称和端口号(hostname(ip):port);kmr_token表示第一认证签名;kmr_exp表示该超链接的到期时间。
需要说明的是,关于如何获取hostname(ip):port属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
针对图1所示的系统的架构图,本申请提供了与之对应的如图2所示的方法的流程图。
图2为本发明访问私有集群的方法的流程图,如图2所示,包括:
步骤201:代理服务器接收来自控制服务器发送的携带需要访问的web服务的端口号以及第一认证签名的请求。
可选地,该请求中还携带有到期时间。
可选地,该方法之前还包括:
当控制服务器检测到受信用户访问集群详情页面时,控制服务器生成用户界面(UI)页面;
当控制服务器检测到受信用户访问UI页面时,向代理服务器发送上述请求;
控制服务器检测到受信用户访问UI页面包括:控制服务器检测到受信用户访问上述web服务对应的第二超链接。
其中,集群详情页面可以通过控制服务器设置的接口或者插件等进入。
需要说明的是,关于如何设置接口或者插件进入对应的页面属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
其中,受信用户定义为处于已登陆状态且已开通权限的用户。需要说明的是,控制服务器如何检测当前用户是否是受信用户,属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
其中,控制服务器生成UI页面包括:
控制服务器获取预先存储的每个web服务对应的第二超链接;
控制服务器将包含每个web服务对应的第二超链接的页面作为UI页面;
其中,每个第二超链接中均包括代理服务器的弹性互联网协议(Eip)地址、第一认证签名、web服务的端口号和到期时间。
可选地,在控制服务器获取预先存储的每个web服务对应的第二超链接之前,该方法还包括:控制服务器获取代理服务器的Eip地址和与代理服务器连接的私有集群内部的每个web服务的端口号;控制服务器根据获得的代理服务器的Eip地址和每个web服务的端口号生成每个web服务对应的第二超链接。
需要说明的是,关于如何根据Eip地址和端口号生成超链接属于本领域技术人员所熟知的惯用技术手段,在此不再赘述,并不用来限制本申请。
其中,如图3所示,UI页面可以包括web服务1,web服务2,…,web服务n等n个超链接,其中,n为正整数。
可选地,在控制服务器生成每个web服务对应的第二超链接之前,该方法还包括:
控制服务器确定每个web服务对应的第二超链接的到期时间;
控制服务器根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的第一认证签名。
需要说明的是,如何确定超链接的到期时间属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
其中,控制服务器根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的第一认证签名包括:
控制服务器生成对称加密密钥;
控制服务器使用生成的对称加密密钥分别对确定出的每个第二超链接的到期时间进行加密以获取与每个第二超链接对应的第一认证签名。
可选地,在控制服务器生成每个web服务对应的第二超链接之后,该方法还包括:
控制服务器将生成的对称加密密钥发送给代理服务器。
其中,对称加密密钥用于对称加密算法中,对称加密(密钥加密)算法是一种需要对加密和解密使用相同密钥的加密算法,即发送和接收数据的双方必需使用相同的密钥对明文进行加密和解密运算。
其中,对称密钥加密算法主要包括:数据加密算法(DEA,DataEncryption Algorithm)、3DES和信息-摘要算法(MD,Message DigestAlgorithm)5等。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用,对称性加密也称为密钥加密。所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。
需要说明的是,密钥是控制加密及解密过程的指令,算法是一组规则,规定如何进行加密和解密。因此加密的安全性不仅取决于加密算法本身,密钥管理的安全性更是重要。因为加密和解密都使用同一个密钥,如何把密钥安全地传递到解密者手上就成了必须要解决的问题。
需要说明的是,控制服务器如何生成对称加密密钥,属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
步骤202:当代理服务器确定出第一认证签名合法时,代理服务器根据接收到的web服务的端口号获取与该请求对应的web服务的超文本。
其中,代理服务器确定出第一认证签名合法包括:
接收来自控制服务器发送的对称加密密钥;
获取请求所携带的到期时间;
判断获得的请求所携带的到期时间是否到期;
当判断出获得的请求所携带的到期时间未到期时,根据接收到的对称加密密钥对获得的到期时间进行加密以获取第二认证签名;
判断第一认证签名和第二认证签名是否相同;
当判断出第一认证签名和第二认证签名相同时,判断出第一认证签名合法。
可选地,当判断出第一认证签名和第二认证签名不同时,该方法还包括:代理服务器判断出第一认证签名不合法。此时,结束本流程。
其中,代理服务器获得的与该请求对应的web服务的超文本中包括第一超链接;其中,第一超链接中包含指向私有集群内部的主机名称(或主机ip)和端口号。
步骤203:代理服务器改写获得的web服务的超文本中的第一超链接并将改写后的超文本发送给控制服务器。
其中,代理服务器改写获得的web服务的超文本中的第一超链接包括:
代理服务器获取自身的Eip地址;
代理服务器将第一认证签名、获得的自身的Eip地址和web服务的端口号添加至超文本中的超链接。
其中,改写后的超文本中的第一超链接的格式如下所示:
http://eip:port/uri?kmr_service=hostname(ip):port&kmr_token=XXX&kmr_exp=1456387321,其中,hostname(ip):port为改写之前的web服务的超文本中的超链接中的主机名称和端口号,uri表示统一资源表示符(即web服务的标识);其中,eip:port表示代理服务器的Eip和代理服务器监听的端口号;kmr_service表示私有集群内部实际需要访问UI页面的用以显示或设置系统的主机名称和端口号(hostname(ip):port);kmr_token表示第一认证签名;kmr_exp表示该超链接的到期时间。
需要说明的是,由于代理服务器获得的与该请求对应的web服务的超文本中的第一超链接是原始的超链接(在控制服务器(如通过浏览器的形式)的UI页面上展示出来就是一个可以点击的超链接),因为这个第一超链接的主机名称(或主机ip)和端口号是私有集群内部使用的,因此浏览器直接点击这个第一超链接会无效,代理服务器必须将这个第一超链接改写成上述格式,才能确保了超链接的跳转有效,实现了控制服务器上显示有效的超文本。另外,由于代理服务器将第一认证签名添加至超文本中的超链接中,这种私密的超链接生成方式,保证了访问的安全性。
可选地,该方法之后还包括:控制服务器接收并显示来自代理服务器发送的改写后的超文本。
其中,控制服务器采用UI页面的方式显示接收到的超文本。
可选地,上述方法应用于可伸缩大数据计算平台。
本发明实施方式中,控制服务器向私有集群的代理服务器发送携带需要访问的web服务的端口号以及第一认证签名的请求、代理服务器改写获得的web服务的超文本中的第一超链接并将改写后的超文本发送给控制服务器,实现了高效、便捷地对私有集群的web服务进行访问,提高了访问的安全性,提升了用户体验。
图4为本发明访问私有集群的方法的交互示意图,在实际应用中,控制服务器可以包括浏览器(Broswer)和控制台(Console),代理服务器可以包括主(Master)节点和代理服务(Nginx),如图4所示,包括:
步骤401:Broswer检测到受信用户访问集群详情页面时,通知Console。
其中,受信用户定义为处于已登陆状态且已开通权限的用户。需要说明的是,如何检测当前用户是否是受信用户,属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
步骤402:Console接收到来自Broswer的通知,Console生成用户界面(UI)页面。
Console生成UI页面包括:
Console获取预先存储的每个web服务对应的第二超链接;
Console将包含每个web服务对应的第二超链接的页面作为UI页面;
其中,每个第二超链接中均包括Master节点的弹性互联网协议(Eip)地址、第一认证签名、web服务的端口号和到期时间。
可选地,在Console获取预先存储的每个web服务对应的第二超链接之前,该方法还包括:Console预先获取代理服务器的Eip地址和与代理服务器连接的私有集群内部的每个web服务的端口号;Console根据获得的代理服务器的Eip地址和每个web服务的端口号生成每个web服务对应的第二超链接。
需要说明的是,关于如何根据Eip地址和端口号生成超链接属于本领域技术人员所熟知的惯用技术手段,在此不再赘述,并不用来限制本申请。
可选地,在生成每个web服务对应的第二超链接之前,该方法还包括:
Console确定每个web服务对应的第二超链接的到期时间;
Console根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的第一认证签名。
其中,Console根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的第一认证签名包括:
Console生成对称加密密钥;
Console使用生成的对称加密密钥分别对确定出的每个第二超链接的到期时间进行加密以获取与每个第二超链接对应的第一认证签名。
可选地,在Console生成每个web服务对应的第二超链接之后,该方法还包括:
Console将对称加密密钥发送给Master节点。
其中,对称加密密钥用于对称加密算法中,对称加密(密钥加密)算法是一种需要对加密和解密使用相同密钥的加密算法,即发送和接收数据的双方必需使用相同的密钥对明文进行加密和解密运算。
其中,对称密钥加密算法主要包括:数据加密算法(DEA,DataEncryption Algorithm)、3DES和信息-摘要算法(MD,Message DigestAlgorithm)5等。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用,对称性加密也称为密钥加密。所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。
需要说明的是,密钥是控制加密及解密过程的指令,算法是一组规则,规定如何进行加密和解密。因此加密的安全性不仅取决于加密算法本身,密钥管理的安全性更是重要。因为加密和解密都使用同一个密钥,如何把密钥安全地传递到解密者手上就成了必须要解决的问题。
需要说明的是,Console如何生成对称加密密钥,属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
步骤403:当Broswer检测到受信用户访问UI页面时,Broswer向私有集群的Master节点发送携带需要访问的web服务的端口号以及第一认证签名的请求。
步骤404:Nginx确定(Validation)第一认证签名是否合法。当确定出第一认证签名合法时,转入步骤405;否则,结束本流程。
其中,Nginx确定第一认证签名是否合法包括:
Nginx接收来自控制服务器发送的对称加密密钥;
Nginx获取请求所携带的到期时间;
Nginx判断获得的请求所携带的到期时间是否到期;
当判断出获得的请求所携带的到期时间未到期时,Nginx根据接收到的对称加密密钥对获得的到期时间进行加密以获取第二认证签名;
Nginx判断第一认证签名和第二认证签名是否相同;
当判断出第一认证签名和第二认证签名相同时,Nginx判断出第一认证签名合法。
当判断出第一认证签名和第二认证签名不同时,Nginx判断出第一认证签名不合法。
步骤405:Nginx将合法请求转发(Proxy)到目标机器(core)的web服务上。
其中,根据请求中携带的web服务的端口号进行合法请求的转发。
需要说明的是,私有集群中有很多机器节点提供web服务,且每个机器节点上的web服务不同。根据请求中携带的web服务的端口号,Nginx就知道需要访问私有集群中的哪一台机器上哪一个端口号的web服务。
需要说明的是,通过Nginx将合法请求转发到目标机器(与web服务的端口号对应的机器节点)的web服务上,实现了Nginx处理web服务的跳转请求。
步骤406:目标机器将web服务对应的页面返回给Nginx。
其中,目标机器将web服务对应的页面以超文本的形式返回给Nginx。
步骤407:Nginx改写(Filter)接收到的超文本中的第一超链接。
其中,改写后的超文本中的第一超链接的格式如下所示:
http://eip:port/uri?kmr_service=hostname(ip):port&kmr_token=XXX&kmr_exp=1456387321,其中,hostname(ip):port为改写之前的web服务的超文本中的超链接中的主机名称和端口号,uri表示统一资源表示符(即web服务的标识);其中,eip:port表示Master节点的Eip和Nginx监听的端口号;kmr_service表示私有集群内部实际需要访问UI页面的用以显示或设置系统的主机名称和端口号(hostname(ip):port);kmr_token表示第一认证签名;kmr_exp表示该超链接的到期时间。
需要说明的是,由于代理服务获得的与该请求对应的web服务的超文本中的超链接是原始的超链接(在浏览器的UI页面上展示出来就是一个可以点击的超链接),因为这个超链接的主机名称(或主机ip)和端口号是私有集群内部使用的,因此浏览器直接点击这个超链接会无效,代理服务必须将这个超链接改写成上述格式,才能确保了超链接的跳转有效,实现了在浏览器上显示有效的超文本(web服务对应的页面)。另外,由于代理服务将第一认证签名添加至超文本中的超链接中,这种私密的超链接生成方式,保证了访问的安全性。
步骤408:Nginx将改写后的超文本发送给Broswer。
图5为本发明访问私有集群的方法的实施例的流程图,如图5所示,包括:
步骤501:控制服务器获取代理服务器的弹性互联网协议(Eip)地址和与代理服务器连接的私有集群内部的每个web服务的端口号。
步骤502:控制服务器确定每个web服务对应的第二超链接的到期时间。
需要说明的是,关于如何确定超链接的到期时间,属于本领域技术人员所熟知的惯用技术手段,在此不再赘述,并不用来限制本社请。
步骤503:控制服务器根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的第一认证签名。
本步骤具体包括:
控制服务器生成对称加密密钥;
控制服务器使用生成的对称加密密钥分别对确定出的每个第二超链接的到期时间进行加密以获取与每个第二超链接对应的第一认证签名。
其中,对称加密密钥用于对称加密算法中,对称加密(密钥加密)算法是一种需要对加密和解密使用相同密钥的加密算法,即发送和接收数据的双方必需使用相同的密钥对明文进行加密和解密运算。
其中,对称密钥加密算法主要包括:数据加密算法(DEA,DataEncryption Algorithm)、3DES和信息-摘要算法(MD,Message DigestAlgorithm)5等。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用,对称性加密也称为密钥加密。所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。
需要说明的是,密钥是控制加密及解密过程的指令,算法是一组规则,规定如何进行加密和解密。因此加密的安全性不仅取决于加密算法本身,密钥管理的安全性更是重要。因为加密和解密都使用同一个密钥,如何把密钥安全地传递到解密者手上就成了必须要解决的问题。
需要说明的是,控制服务器如何生成对称加密密钥,属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
步骤504:控制服务器根据获得的代理服务器的Eip地址和每个web服务的端口号生成并保存每个web服务对应的第二超链接。
其中,每个web服务对应的第二超链接均包括:代理服务器的Eip地址、第一认证签名、web服务的端口号和到期时间。
步骤505:控制服务器将生成的对称加密密钥发送给代理服务器。
步骤506:控制服务器检测是否有受信用户访问集群详情页面。当控制服务器检测到受信用户访问集群详情页面时,转入步骤507;否则,结束本流程。
其中,受信用户定义为处于已登陆状态且已开通权限的用户。需要说明的是,控制服务器如何检测当前用户是否是受信用户,属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
其中,集群详情页面可以通过控制服务器设置的接口或者插件等进入。
需要说明的是,关于如何设置接口或者插件进入对应的页面属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
步骤507:控制服务器生成用户界面(UI)页面。
本步骤具体包括:
控制服务器获取存储的每个web服务对应的第二超链接;
控制服务器将包含每个web服务对应的第二超链接的页面作为UI页面;
其中,每个第二超链接中均包括代理服务器的弹性互联网协议(Eip)地址、第一认证签名、web服务的端口号和到期时间。
其中,如图3所示,UI页面可以包括web服务1,web服务2,…,web服务n等n个超链接,其中,n为正整数。
步骤508:当控制服务器检测到受信用户访问UI页面时,向代理服务器发送携带需要访问的web服务的端口号以及第一认证签名的请求。
可选地,该请求中还携带有到期时间。
其中,控制服务器检测到受信用户访问UI页面包括:控制服务器检测到受信用户访问上述web服务对应的第二超链接。
步骤509:当代理服务器确定出第一认证签名合法时,代理服务器根据接收到的web服务的端口号获取与该请求对应的web服务的超文本。
其中,其中,代理服务器确定出第一认证签名合法包括:
接收来自控制服务器发送的对称加密密钥;
获取请求所携带的到期时间;
判断获得的请求所携带的到期时间是否到期;
当判断出获得的请求所携带的到期时间未到期时,根据接收到的对称加密密钥对获得的到期时间进行加密以获取第二认证签名;
判断第一认证签名和第二认证签名是否相同;
当判断出第一认证签名和第二认证签名相同时,判断出第一认证签名合法。
可选地,当判断出第一认证签名和第二认证签名不同时,该方法还包括:代理服务器判断出第一认证签名不合法。此时,结束本流程。
其中,代理服务器获得的与该请求对应的web服务的超文本中包括第一超链接;其中,第一超链接中包含指向私有集群内部的主机名称(或主机ip)和端口号。
步骤510:代理服务器改写获得的web服务的超文本中的第一超链接并将改写后的超文本发送给控制服务器。
其中,代理服务器改写获得的web服务的超文本中的第一超链接包括:
代理服务器获取自身的Eip地址;
代理服务器将第一认证签名、获得的自身的Eip地址和web服务的端口号添加至超文本中的超链接。
其中,改写后的超文本中的第一超链接的格式如下所示:
http://eip:port/uri?kmr_service=hostname(ip):port&kmr_token=XXX&kmr_exp=1456387321,其中,hostname(ip):port为改写之前的web服务的超文本中的超链接中的主机名称和端口号,uri表示统一资源表示符(即web服务的标识);其中,eip:port表示代理服务器的Eip和代理服务器监听的端口号;kmr_service表示私有集群内部实际需要访问UI页面的用以显示或设置系统的主机名称和端口号(hostname(ip):port);kmr_token表示第一认证签名;kmr_exp表示该超链接的到期时间。
需要说明的是,由于代理服务器获得的与该请求对应的web服务的超文本中的第一超链接是原始的超链接(在控制服务器(如通过浏览器的形式)的UI页面上展示出来就是一个可以点击的超链接),因为这个第一超链接的主机名称(或主机ip)和端口号是私有集群内部使用的,因此浏览器直接点击这个第一超链接会无效,代理服务器必须将这个第一超链接改写成上述格式,才能确保了超链接的跳转有效,实现了控制服务器上显示有效的超文本。另外,由于代理服务器将第一认证签名添加至超文本中的超链接中,这种私密的超链接生成方式,保证了访问的安全性。
步骤511:控制服务器接收并显示来自代理服务器发送的改写后的超文本。
其中,控制服务器采用UI页面的方式显示接收到的超文本。
图6为本发明控制服务器的结构示意图,如图6所示,包括:检测模块60、第一发送模块61、第一接收模块62和显示模块63。其中,
检测模块60,用于当控制服务器检测到受信用户访问用户界面(UI)页面时,通知第一发送模块61。
其中,受信用户定义为处于已登陆状态且已开通权限的用户。需要说明的是,如何检测当前用户是否是受信用户,属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
第一发送模块61,用于接收到来自检测模块60的通知,向代理服务器发送携带需要访问的web服务的端口号以及第一认证签名的请求。
第一接收模块62,用于接收来自代理服务器发送的与请求对应的改写后的超文本。
显示模块63,用于显示接收到的超文本。
其中,显示模块63采用UI页面的方式显示接收到的超文本。
可选地,该控制服务器还包括生成模块64;
检测模块60,还用于检测受信用户是否访问集群详情页面;当检测到受信用户访问集群详情页面时,通知生成模块;相应地,
生成模块64,用于接收到来自检测模块60的通知,生成UI页面;此时,
检测模块60检测到受信用户访问UI页面包括:检测到受信用户访问web服务对应的第二超链接。
其中,生成模块64具体用于:
接收到来自检测模块60的通知,获取预先存储的每个web服务对应的第二超链接;
将包含每个web服务对应的第二超链接的页面作为UI页面;
其中,每个第二超链接中均包括代理服务器的弹性互联网协议(Eip)地址、第一认证签名、web服务的端口号和到期时间。
可选地,生成模块64,还用于确定每个web服务对应的第二超链接的到期时间;
根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的第一认证签名。
其中,生成模块64根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的第一认证签名包括:
生成对称加密密钥;
使用生成的对称加密密钥分别对确定出的每个第二超链接的到期时间进行加密以获取与每个第二超链接对应的第一认证签名。
其中,对称加密密钥用于对称加密算法中,对称加密(密钥加密)算法是一种需要对加密和解密使用相同密钥的加密算法,即发送和接收数据的双方必需使用相同的密钥对明文进行加密和解密运算。
其中,对称密钥加密算法主要包括:数据加密算法(DEA,DataEncryption Algorithm)、3DES和信息-摘要算法(MD,Message DigestAlgorithm)5等。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用,对称性加密也称为密钥加密。所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。
需要说明的是,密钥是控制加密及解密过程的指令,算法是一组规则,规定如何进行加密和解密。因此加密的安全性不仅取决于加密算法本身,密钥管理的安全性更是重要。因为加密和解密都使用同一个密钥,如何把密钥安全地传递到解密者手上就成了必须要解决的问题。
需要说明的是,如何生成对称加密密钥,属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
可选地,生成模块64还用于在生成每个web服务对应的第二超链接之后,通知第一发送模块61;相应地,
第一发送模块61,还用于接收到来自生成模块64的通知,将对称加密密钥发送给代理服务器。
图7为本发明代理服务器的结构示意图,如图7所示,包括:第二接收模块70、确定模块71、获取模块72和第二发送模块73。其中,
第二接收模块70,用于接收来自控制服务器发送的携带需要访问的web服务的端口号以及第一认证签名的请求。
可选地,第二接收模块70还用于接收来自控制服务器发送的其生成的对称加密密钥。
确定模块71,用于当确定出第一认证签名合法时,通知获取模块72。
其中,确定模块71确定出第一认证签名合法包括:
获取请求的到期时间;
判断获得的请求的到期时间是否到期;
当判断出获得的请求的到期时间未到期时,根据接收到的对称加密密钥对获得的到期时间进行加密以获取第二认证签名;
判断第一认证签名和第二认证签名是否相同;
当判断出第一认证签名和第二认证签名相同时,判断出第一认证签名合法。
获取模块72,用于当接收到来自确定模块71的通知,根据接收到的web服务的端口号获取与该请求对应的web服务的超文本;改写获得的web服务的超文本中的第一超链接。
其中,获取模块72据接收到的web服务的端口号获取与该请求对应的web服务的超文本包括:
将合法请求转发到目标机器的web服务上并接收目标机器返回的与该web服务对应的超文本。
需要说明的是,通过获取模块72将合法请求转发到目标机器(与端口号对应的机器节点)的web服务上,实现了处理web服务的跳转请求。
其中,获取模块72改写获得的web服务的超文本中的第一超链接包括:
获取自身所属的代理服务器的弹性互联网协议(Eip)地址;
将第一认证签名、获得的Eip地址和web服务的端口号添加至超文本中的第一超链接。
其中,获取模块72改写后的超文本中的第一超链接的格式如下所示:
http://eip:port/uri?kmr_service=hostname(ip):port&kmr_token=XXX&kmr_exp=1456387321,其中,hostname(ip):port为改写之前的web服务的超文本中的超链接中的主机名称和端口号,uri表示统一资源表示符(即web服务的标识);其中,eip:port表示代理服务器的Eip和代理服务器监听的端口号;kmr_service表示私有集群内部实际需要访问UI页面的用以显示或设置系统的主机名称和端口号(hostname(ip):port);kmr_token表示第一认证签名;kmr_exp表示该超链接的到期时间。
第二发送模块73,用于将改写后的超文本发送给控制服务器。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。

Claims (25)

1.一种访问私有集群的系统,其特征在于,包括:控制服务器和代理服务器;其中,
控制服务器,用于当检测到受信用户访问用户界面UI页面时,向代理服务器发送携带需要访问的web服务的端口号以及第一认证签名的请求;
代理服务器,用于当确定出第一认证签名合法时,根据接收到的web服务的端口号获取与该请求对应的web服务的超文本;改写获得的web服务的超文本中的第一超链接并将改写后的超文本发送给控制服务器。
2.根据权利要求1所述的系统,其特征在于,所述控制服务器还用于:向所述代理服务器发送所述请求之前,检测所述受信用户是否访问集群详情页面;当检测到受信用户访问所述集群详情页面时,生成UI页面;
所述控制服务器检测到受信用户访问UI页面包括:所述控制服务器检测到所述受信用户访问所述web服务对应的第二超链接。
3.根据权利要求2所述的系统,其特征在于,所述控制服务器生成UI页面包括:
获取预先存储的每个web服务对应的第二超链接;
将包含每个web服务对应的第二超链接的页面作为UI页面;
其中,每个第二超链接中均包括代理服务器的弹性互联网协议Eip地址、第一认证签名、web服务的端口号和到期时间。
4.根据权利要求3所述的系统,其特征在于,所述控制服务器还用于:
预先获取所述代理服务器的Eip地址和与所述代理服务器连接的私有集群内部的每个web服务的端口号;根据获得的代理服务器的Eip地址和每个web服务的端口号生成每个web服务对应的第二超链接。
5.根据权利要求4所述的系统,其特征在于,所述控制服务器还用于:在生成每个web服务对应的第二超链接之前,确定所述每个web服务对应的第二超链接的到期时间;
根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的所述第一认证签名。
6.根据权利要求5所述的系统,其特征在于,所述控制服务器根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的所述第一认证签名包括:
生成对称加密密钥;
使用生成的所述对称加密密钥分别对确定出的所述每个第二超链接的到期时间进行加密以获取与每个第二超链接对应的所述第一认证签名;
所述控制服务器,还用于将生成的所述对称加密密钥发送给所述代理服服务器。
7.根据权利要求6所述的系统,其特征在于,所述代理服务器确定出第一认证签名合法包括:
接收来自所述控制服务器发送的对称加密密钥;
获取所述请求所携带的到期时间;
判断获得的所述请求所携带的到期时间是否到期;
当判断出获得的所述请求所携带的到期时间未到期时,根据接收到的对称加密密钥对获得的到期时间进行加密以获取第二认证签名;
判断所述第一认证签名和所述第二认证签名是否相同;
当判断出所述第一认证签名和所述第二认证签名相同时,判断出所述第一认证签名合法。
8.一种访问私有集群的方法,其特征在于,包括:
代理服务器接收来自控制服务器发送的携带需要访问的web服务的端口号以及第一认证签名的请求;
当代理服务器确定出第一认证签名合法时,代理服务器根据接收到的web服务的端口号获取与该请求对应的web服务的超文本;
代理服务器改写获得的web服务的超文本中的第一超链接并将改写后的超文本发送给控制服务器。
9.根据权利要求8所述的方法,其特征在于,该方法之前还包括:当所述控制服务器检测到所述受信用户访问集群详情页面时,所述控制服务器生成用户界面UI页面;
当所述控制服务器检测到所述受信用户访问UI页面时,向所述代理服务器发送所述请求;
所述控制服务器检测到所述受信用户访问UI页面包括:所述控制服务器检测到所述受信用户访问所述web服务对应的第二超链接。
10.根据权利要求9所述的方法,其特征在于,所述控制服务器生成UI页面包括:
所述控制服务器获取预先存储的每个web服务对应的第二超链接;
所述控制服务器将包含每个web服务对应的第二超链接的页面作为所述UI页面;
其中,每个第二超链接中均包括所述代理服务器的弹性互联网协议Eip地址、第一认证签名、web服务的端口号和到期时间。
11.根据权利要求10所述的方法,其特征在于,在所述控制服务器获取预先存储的每个web服务对应的第二超链接之前,该方法还包括:
所述控制服务器获取所述代理服务器的Eip地址和与所述代理服务器连接的私有集群内部的每个web服务的端口号;
所述控制服务器根据获得的代理服务器的Eip地址和所述每个web服务的端口号生成每个web服务对应的第二超链接。
12.根据权利要求11所述的方法,其特征在于,在所述控制服务器生成每个web服务对应的第二超链接之前,该方法还包括:
所述控制服务器确定所述每个web服务对应的第二超链接的到期时间;
所述控制服务器根据确定出的每个第二超链接的到期时间分别生成与所述每个第二超链接对应的所述第一认证签名。
13.根据权利要求12所述的方法,其特征在于,所述控制服务器根据确定出的每个第二超链接的到期时间分别生成与所述每个第二超链接对应的所述第一认证签名包括:
所述控制服务器生成对称加密密钥;
所述控制服务器使用生成的所述对称加密密钥分别对确定出的所述每个第二超链接的到期时间进行加密以获取与所述每个第二超链接对应的所述第一认证签名。
14.根据权利要求13所述的方法,其特征在于,在所述控制服务器生成对称加密密钥之后,该方法还包括:
所述控制服务器将生成的所述对称加密密钥发送给所述代理服务器;
所述代理服务器确定出第一认证签名合法包括:
所述代理服务器接收来自所述控制服务器发送的对称加密密钥;
所述代理服务器获取所述请求的到期时间;
所述代理服务器判断获得的所述请求的到期时间是否到期;
当所述代理服务器判断出获得的所述请求的到期时间未到期时,所述代理服务器根据接收到的所述对称加密密钥对所述获得的到期时间进行加密以获取第二认证签名;
所述代理服务器判断所述第一认证签名和所述第二认证签名是否相同;
当所述代理服务器判断出所述第一认证签名和所述第二认证签名相同时,所述代理服务器判断出所述第一认证签名合法。
15.根据权利要求10所述的方法,其特征在于,所述代理服务器改写获得的web服务的超文本中的第一超链接包括:
所述代理服务器获取自身的Eip地址;
所述代理服务器将所述第一认证签名、获得的自身的Eip地址和所述web服务的端口号添加至所述超文本中的所述第一超链接。
16.根据权利要求15所述的方法,其特征在于,该方法之后还包括:所述控制服务器接收并显示来自代理服务器发送的所述改写后的超文本。
17.一种控制服务器,其特征在于,包括:检测模块、第一发送模块、第一接收模块和显示模块;其中,
检测模块,用于当检测到受信用户访问用户界面UI页面时,通知第一发送模块;
第一发送模块,用于接收到来自检测模块的通知,向代理服务器发送携带需要访问的web服务的端口号以及第一认证签名的请求;
第一接收模块,用于接收来自代理服务器发送的与请求对应的改写后的超文本;
显示模块,用于显示接收到的超文本。
18.根据权利要求17所述的控制服务器,其特征在于,该控制服务器还包括生成模块;
所述检测模块,还用于检测所述受信用户是否访问集群详情页面;当检测到受信用户访问所述集群详情页面时,通知所述生成模块;相应地,
所述生成模块,用于接收到来自所述检测模块的通知,生成UI页面;
所述检测模块检测到受信用户访问UI页面包括:检测到所述受信用户访问所述web服务对应的第二超链接。
19.根据权利要求18所述的控制服务器,其特征在于,所述生成模块,具体用于:
接收到来自所述检测模块的通知,获取预先存储的每个web服务对应的第二超链接;
将包含每个web服务对应的第二超链接的页面作为所述UI页面;
其中,每个第二超链接中均包括所述代理服务器的弹性互联网协议Eip地址、第一认证签名、web服务的端口号和到期时间。
20.根据权利要求19所述的控制服务器,其特征在于,所述生成模块,还用于确定所述每个web服务对应的第二超链接的到期时间;
根据确定出的每个第二超链接的到期时间分别生成与所述每个第二超链接对应的所述第一认证签名。
21.根据权利要求20所述的控制服务器,其特征在于,所述生成模块根据确定出的每个第二超链接的到期时间分别生成与每个第二超链接对应的所述第一认证签名包括:
生成对称加密密钥;
使用生成的所述对称加密密钥分别对确定出的所述每个第二超链接的到期时间进行加密以获取与所述每个第二超链接对应的所述第一认证签名。
22.根据权利要求21所述的控制服务器,其特征在于,所述第一发送模块,还用于将所述对称加密密钥发送给所述代理服务器。
23.一种代理服务器,其特征在于,包括:第二接收模块、确定模块、获取模块和第二发送模块;其中,
第二接收模块,用于接收来自控制服务器发送的携带需要访问的web服务的端口号以及第一认证签名的请求;
确定模块,用于当确定出第一认证签名合法时,通知获取模块;
获取模块,用于当接收到来自确定模块的通知,根据接收到的web服务的端口号获取与该请求对应的web服务的超文本;改写获得的web服务的超文本中的第一超链接;
第二发送模块,用于将改写后的超文本发送给控制服务器。
24.根据权利要求23所述的代理服务器,其特征在于,所述第二接收模块,还用于接收来自所述控制服务器发送的其生成的对称加密密钥;相应地,
所述确定模块确定出第一认证签名合法包括:
获取所述请求的到期时间;
判断获得的所述请求的到期时间是否到期;
当判断出获得的所述请求的到期时间未到期时,根据接收到的所述对称加密密钥对所述获得的到期时间进行加密以获取第二认证签名;
判断所述第一认证签名和所述第二认证签名是否相同;
当判断出所述第一认证签名和所述第二认证签名相同时,判断出所述第一认证签名合法。
25.根据权利要求23所述的代理服务器,其特征在于,所述获取模块改写获得的web服务的超文本中的第二超链接包括:
获取自身所属的代理服务器的弹性互联网协议Eip地址;
将所述第一认证签名、获得的所述Eip地址和所述web服务的端口号添加至所述超文本中的第二超链接。
CN201610454968.0A 2016-06-22 2016-06-22 访问私有集群的系统、方法、控制服务器和代理服务器 Active CN107528813B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610454968.0A CN107528813B (zh) 2016-06-22 2016-06-22 访问私有集群的系统、方法、控制服务器和代理服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610454968.0A CN107528813B (zh) 2016-06-22 2016-06-22 访问私有集群的系统、方法、控制服务器和代理服务器

Publications (2)

Publication Number Publication Date
CN107528813A true CN107528813A (zh) 2017-12-29
CN107528813B CN107528813B (zh) 2020-03-10

Family

ID=60735358

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610454968.0A Active CN107528813B (zh) 2016-06-22 2016-06-22 访问私有集群的系统、方法、控制服务器和代理服务器

Country Status (1)

Country Link
CN (1) CN107528813B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109120614A (zh) * 2018-08-10 2019-01-01 北京奇虎科技有限公司 基于分布式系统的业务处理方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7237261B1 (en) * 1999-09-07 2007-06-26 Swisscom Ag Method, system and gateway allowing secured end-to-end access to WAP services
CN1992603A (zh) * 2005-12-30 2007-07-04 萧学文 在无线网络环境下实现数据传输的方法及系统
CN102447726A (zh) * 2010-10-15 2012-05-09 中兴通讯股份有限公司 页面访问方法及系统
CN102624761A (zh) * 2011-01-27 2012-08-01 腾讯科技(深圳)有限公司 一种获取图文信息的装置、系统及方法
US8396941B2 (en) * 2008-08-05 2013-03-12 Sony Corporation Digital living network alliance (DLNA) server that serves contents from IVL services
CN104639632A (zh) * 2015-02-04 2015-05-20 杭州万色城电子商务有限公司 精确定向和统计操作的方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7237261B1 (en) * 1999-09-07 2007-06-26 Swisscom Ag Method, system and gateway allowing secured end-to-end access to WAP services
CN1992603A (zh) * 2005-12-30 2007-07-04 萧学文 在无线网络环境下实现数据传输的方法及系统
US8396941B2 (en) * 2008-08-05 2013-03-12 Sony Corporation Digital living network alliance (DLNA) server that serves contents from IVL services
CN102447726A (zh) * 2010-10-15 2012-05-09 中兴通讯股份有限公司 页面访问方法及系统
CN102624761A (zh) * 2011-01-27 2012-08-01 腾讯科技(深圳)有限公司 一种获取图文信息的装置、系统及方法
CN104639632A (zh) * 2015-02-04 2015-05-20 杭州万色城电子商务有限公司 精确定向和统计操作的方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
NANHAY等: "Enhancing the Performance of Web Proxy Server through Cluster", 《IEEE:ICACCI》 *
WEI YUAN等: "Towards Efficient Deployment of Cloud Applications", 《IEEE:ICHPCC》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109120614A (zh) * 2018-08-10 2019-01-01 北京奇虎科技有限公司 基于分布式系统的业务处理方法及装置

Also Published As

Publication number Publication date
CN107528813B (zh) 2020-03-10

Similar Documents

Publication Publication Date Title
US9692734B2 (en) Secure personal server system and method
US9083739B1 (en) Client/server authentication using dynamic credentials
US9336403B2 (en) Managing restricted tagged content elements within a published message
CN111030996B (zh) 一种访问资源的方法及装置
US20180365395A1 (en) Multimedia data processing method, apparatus, system, and storage medium
US20110167263A1 (en) Wireless connections to a wireless access point
US20120163598A1 (en) Session secure web content delivery
CN105610845B (zh) 一种基于云服务的数据路由方法、装置及系统
WO2020019478A1 (zh) 通信数据加密方法和装置
CN105956143B (zh) 数据库访问方法及数据库代理节点
CN106302453A (zh) 数据的处理方法、装置及系统
JP2005072636A (ja) 通信システム、同通信システムにおけるセキュリティポリシーの配布方法、サーバ装置、ならびにセキュリティポリシーの配布プログラム
CN107196954A (zh) 一种服务访问方法、装置及系统
WO2017218013A1 (en) Secure personal server system and method
CN114826757B (zh) 一种身份认证方法及装置
CN107026828B (zh) 一种基于互联网缓存的防盗链方法及互联网缓存
CN107528813B (zh) 访问私有集群的系统、方法、控制服务器和代理服务器
JP4682615B2 (ja) ネットワークシステム及び情報処理装置
CN114390027B (zh) 一种网络通信方法、装置、设备及介质
CN109150661A (zh) 一种设备发现方法及装置
JP6007149B2 (ja) Web閲覧履歴取得装置、方法、およびプログラム
CN113992734A (zh) 会话连接方法及装置、设备
CN107209751B (zh) 业务处理方法及装置
Nainar et al. Capturing Secured Application Traffic for Analysis
CN119766778A (zh) 用于代理服务器的加速网关的方法、装置、设备和介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant