CN108347449B - 一种管理远程登录的方法及设备 - Google Patents

一种管理远程登录的方法及设备 Download PDF

Info

Publication number
CN108347449B
CN108347449B CN201710049428.9A CN201710049428A CN108347449B CN 108347449 B CN108347449 B CN 108347449B CN 201710049428 A CN201710049428 A CN 201710049428A CN 108347449 B CN108347449 B CN 108347449B
Authority
CN
China
Prior art keywords
session
equipment
node
gateway
remote
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710049428.9A
Other languages
English (en)
Other versions
CN108347449A (zh
Inventor
张国良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201710049428.9A priority Critical patent/CN108347449B/zh
Publication of CN108347449A publication Critical patent/CN108347449A/zh
Application granted granted Critical
Publication of CN108347449B publication Critical patent/CN108347449B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请的目的是提供一种管理远程登录的方法及设备,本申请通过在接口设备端从管理用户获取创建的会话信息,其中,所述会话信息包括登录用户列表和待登录的远程设备,所述登录用户列表包括所述管理用户的身份信息;接着,基于所述管理用户的身份信息,判断所述管理用户是否拥有所述待登录的远程设备的权限,若有,则将所述管理用户的创建的会话信息发送至节点设备。使得权限的管理从在远程设备端上提升到一个额外的权限系统,通过在接口设备端对管理用户的鉴权,使得可以根据场景灵活定制化定义权限,可以以集群、产品等进行配置,从而更加灵活。

Description

一种管理远程登录的方法及设备
技术领域
本申请涉及计算机领域,尤其涉及一种管理远程登录的方法及设备。
背景技术
随着信息技术的发展,信息化程度的不断提高,信息安全越来越受到广泛关注,特别是服务器的安全。服务器在管理过程中,通过远程管理是普遍采用的一种方式,目前登录服务器进行操作基本上都是通过传统的ssh(secure shell,安全的远程登录协议)方式,是linux(一种操作系统)机器自带的服务,属于linux的基础服务之一,通过以下步骤实现远程登录:在目标机器上启动sshd(ssh服务程序,用于接收ssh的请求并登录到机器上)服务,在目标机器上配置账户以及ssh的秘钥与证书,利用终端通过ssh登录到机器上。这种ssh的登录方式需要在机器上进行账户和秘钥的配置,然后指定账户来进行登录,权限的管理配置在目标机器端,不便利也不能灵活的权限管理,很难监管中间的流量和操作。
申请内容
本申请的一个目的是提供一种管理远程登录的方法及设备,解决现有技术中权限的管理配置在目标机器端,不便利也不能做到灵活的权限管理的问题以及很难监管中间的流量和操作的问题。
根据本申请的一个方面,提供了一种在接口设备端用于管理远程登录的方法,所述方法包括:
从管理用户获取创建的会话信息,其中,所述会话信息包括登录用户列表和待登录的远程设备,所述登录用户列表包括所述管理用户的身份信息;
基于所述管理用户的身份信息,判断所述管理用户是否拥有所述待登录的远程设备的权限,若有,则将所述管理用户的创建的会话信息发送至节点设备。
进一步地,将所述管理用户创建的会话信息发送至节点设备之后,还包括:
从管理用户获取对所述会话信息的修改信息,将所述修改信息发送至节点设备登录用户列表。
进一步地,所述修改信息包括如下至少一项:
在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;
添加或修改所述待登录的远程设备。
根据本申请又一个方面,提供了一种在节点设备端用于管理远程登录的方法,所述方法包括:
与远程设备建立连接;
从接口设备获取管理用户创建的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;
从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。
进一步地,通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接之后,包括:
获取网关设备基于所述会话的销毁时间生成的会话删除请求;
删除所述会话及对应的会话信息;
向所述网关设备发送会话信息的删除通知。
进一步地,将所述会话信息同步至网关设备之后,还包括:
从接口设备获取管理用户对所述会话信息的修改信息,根据所述修改信息对所述会话信息进行修改,将修改后的会话信息同步至网关设备。
更进一步地,从接口设备获取管理用户对所述会话信息的修改信息,根据所述修改信息对所述会话信息进行修改,包括:
从接口设备获取管理用户对所述会话信息的修改信息;
对所述管理用户进行身份认证,认证通过后,根据所述修改信息对所述会话信息进行修改。
更进一步地,所述修改信息包括如下至少一项:
在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;
添加或修改所述待登录的远程设备。
进一步地,所述会话的销毁时间包括如下至少一项:
所述会话的最长销毁时间;
登录用户列表中的所述管理用户和/或授权用户停止使用会话后的销毁会话判定时间,其中,所述销毁会话判定时间小于等于所述最长销毁时间。
进一步地,与所述远程设备建立连接中,所述连接为长连接。
进一步地,所述节点设备包括主节点,从接口设备获取管理用户创建的会话信息,包括:
所述主节点从接口设备获取管理用户创建的会话信息;
根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,包括:
所述主节点根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话。
进一步地,所述节点设备还包括与主节点连接的从节点,与所述远程设备建立连接,包括:
所述主节点控制所述从节点与对应的远程设备建立连接。
进一步地,从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接,包括:
所述主节点接收所述网关设备所反馈的未与所述网关设备连接的待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备连接的从节点;
所述从节点通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。
根据本申请再一个方面,提供了一种在远程设备端用于管理远程登录的方法,所述方法包括:
与节点设备建立连接;
接收所述节点设备发送的与所述网关设备进行会话连接的通知;
根据所述通知与所述网关设备建立会话连接;
通过所述会话连接从所述网关设备获取同一会话内的通讯数据,所述通讯数据由所述网关设备从管理用户或所述管理用户的授权用户获取。
进一步地,与所述节点设备建立连接中,所述连接为长连接。
进一步地,所述远程设备包括代理服务,与节点设备建立连接,包括:
所述代理服务与所述节点设备建立连接。
进一步地,当所述节点设备包括主节点、与所述主节点连接的从节点时,
所述代理服务与所述从节点建立连接。
进一步地,所述远程设备还包括与所述代理服务连接的会话管理从节点,接收所述节点设备发送的与所述网关设备进行会话连接的通知,包括:
所述代理服务接收所述节点设备发送的与所述网关设备进行会话连接的通知,并确定所述会话连接对应的会话管理从节点。
进一步地,根据所述通知与所述网关设备建立会话连接,包括:
所述代理服务控制所述会话管理从节点与所述网关设备进行会话连接。
根据本申请的另一个方面,提供了一种在网关设备端用于管理远程登录的方法,所述方法包括:
接收节点设备同步的管理用户的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
基于所述会话信息中待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备,并反馈至所述节点设备;
与所述未与所述网关设备连接的待登录的远程设备建立会话连接;
从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备。
进一步地,判断所述会话是否达到所述销毁时间,若是,向所述节点设备发送删除会话请求;
从所述节点设备接收所述会话信息的删除通知,基于所述删除通知删除所述会话信息。
进一步地,接收节点设备同步的管理用户的会话信息之后,还包括:
接收节点设备同步的管理用户的修改后的会话信息。
进一步地,所述修改后的会话信息包括如下至少一项:
在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;
添加或修改所述待登录的远程设备。
进一步地,所述会话的销毁时间包括如下至少一项:
所述会话的最长销毁时间;
登录用户列表中的所述管理用户和/或授权用户停止使用会话后的销毁会话判定时间,其中,所述销毁会话判定时间小于等于所述最长销毁时间。
进一步地,当所述远程设备包括代理服务和与所述代理服务连接的会话管理从节点时,与所述未与所述网关设备连接的待登录的远程设备建立会话连接,包括:
与所述未与所述网关设备连接的待登录的远程设备的会话管理从节点建立会话连接。
进一步地,通过所述会话连接将所述通讯数据发送到远程设备,包括:
通过所述会话连接将所述通讯数据发送到所述会话管理从节点。
进一步地,所述节点设备包括主节点,接收节点设备同步的管理用户的会话信息,包括:
接收所述主节点同步的管理用户的会话信息。
进一步地,确定未与所述网关设备连接的待登录的远程设备,并反馈至所述节点设备,包括:
确定未与所述网关设备连接的待登录的远程设备,并反馈至所述主节点。
进一步地,从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备,包括:
从所述管理用户和/或授权用户获取同一会话内的批量处理的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,
启动所述会话连接的所述网关设备的容器引擎;
接收所述批量处理的通讯数据,确定所述容器引擎中待批量处理的远程设备;
将所述批量处理的通讯数据通过所述容器引擎发送至所述待批量处理的远程设备。
进一步地,所述容器引擎的生命周期与所述会话的销毁时间一致。
根据本申请一个方面,还提供了一种用于管理远程登录的接口设备,所述接口设备包括:
获取信息装置,用于从管理用户获取创建的会话信息,其中,所述会话信息包括登录用户列表和待登录的远程设备,所述登录用户列表包括所述管理用户的身份信息;
鉴权装置,用于基于所述管理用户的身份信息,判断所述管理用户是否拥有所述待登录的远程设备的权限,若有,则将所述管理用户的创建的会话信息发送至节点设备。
进一步地,所述接口设备还包括:
更新装置,用于从管理用户获取对所述会话信息的修改信息,将所述修改信息发送至节点设备登录用户列表。
进一步地,所述修改信息包括如下至少一项:
在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;
添加或修改所述待登录的远程设备。
根据本申请又一个方面,还提供了一种用于管理远程登录的节点设备,所述节点设备包括:
连接装置,用于与远程设备建立连接;
接收装置,用于从接口设备获取管理用户创建的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
创建装置,用于根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;
通知装置,用于从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。
进一步地,所述节点设备包括:
获取请求装置,用于获取网关设备基于所述会话的销毁时间生成的会话删除请求;
删除装置,用于删除所述会话及对应的会话信息;
同步通知装置,向所述网关设备发送会话信息的删除通知。
进一步地,所述节点设备还包括:
修改装置,用于从接口设备获取管理用户对所述会话信息的修改信息,根据所述修改信息对所述会话信息进行修改,将修改后的会话信息同步至网关设备。
更进一步地,所述修改装置用于:
从接口设备获取管理用户对所述会话信息的修改信息;
对所述管理用户进行身份认证,认证通过后,根据所述修改信息对所述会话信息进行修改。
更进一步地,所述修改信息包括如下至少一项:
在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;
添加或修改所述待登录的远程设备。
进一步地,所述会话的销毁时间包括如下至少一项:
所述会话的最长销毁时间;
登录用户列表中的所述管理用户和/或授权用户停止使用会话后的销毁会话判定时间,其中,所述销毁会话判定时间小于等于所述最长销毁时间。
进一步地,与所述远程设备建立连接中,所述连接为长连接。
进一步地,所述节点设备包括主节点,所述接收装置用于:
所述主节点从接口设备获取管理用户创建的会话信息;
所述创建装置用于:
所述主节点根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话。
进一步地,所述节点设备还包括与主节点连接的从节点,所述连接装置用于:
所述主节点控制所述从节点与对应的远程设备建立连接。
进一步地,所述通知装置用于:
所述主节点接收所述网关设备所反馈的未与所述网关设备连接的待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备连接的从节点;
所述从节点通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。
根据本申请的再一个方面,还提供了一种用于管理远程登录的远程设备,所述远程设备包括:
连接请求装置,用于与节点设备建立连接;
接收通知装置,用于接收所述节点设备发送的与所述网关设备进行会话连接的通知;
会话连接装置,用于根据所述通知与所述网关设备建立会话连接;
获取装置,用于通过所述会话连接从所述网关设备获取同一会话内的通讯数据,所述通讯数据由所述网关设备从管理用户或所述管理用户的授权用户获取。
进一步地,与所述节点设备建立连接中,所述连接为长连接。
进一步地,所述远程设备包括代理服务,所述连接请求装置用于:
所述代理服务与所述节点设备建立连接。
进一步地,当所述节点设备包括主节点、与所述主节点连接的从节点时,
所述代理服务与所述从节点建立连接。
进一步地,所述远程设备还包括与所述代理服务连接的会话管理从节点,所述接收通知装置用于:
所述代理服务接收所述节点设备发送的与所述网关设备进行会话连接的通知,并确定所述会话连接对应的会话管理从节点。
进一步地,所述会话连接装置用于:
所述代理服务控制所述会话管理从节点与所述网关设备进行会话连接。
根据本申请的另一个方面,还提供了一种用于管理远程登录的网关设备,所述网关设备包括:
确定装置,用于接收节点设备同步的管理用户的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
反馈装置,用于基于所述会话信息中待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备,并反馈至所述节点设备;
接收连接请求装置,用于与所述未与所述网关设备连接的待登录的远程设备建立会话连接;
中转数据装置,用于从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备。
进一步地,判断所述会话是否达到所述销毁时间,若是,向所述节点设备发送删除会话请求;
从所述节点设备接收所述会话信息的删除通知,基于所述删除通知删除所述会话信息。
进一步地,所述网关设备还包括:
接收修改装置,用于接收节点设备同步的管理用户的修改后的会话信息。
进一步地,所述修改后的会话信息包括如下至少一项:
在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;
添加或修改所述待登录的远程设备。
进一步地,所述会话的销毁时间包括如下至少一项:
所述会话的最长销毁时间;
登录用户列表中的所述管理用户和/或授权用户停止使用会话后的销毁会话判定时间,其中,所述销毁会话判定时间小于等于所述最长销毁时间。
进一步地,当所述远程设备包括代理服务和与所述代理服务连接的会话管理从节点时,所述接收连接请求装置用于:
与所述未与所述网关设备连接的待登录的远程设备的会话管理从节点建立会话连接。
进一步地,所述中转数据装置用于:
通过所述会话连接将所述通讯数据发送到所述会话管理从节点。
进一步地,所述节点设备包括主节点,所述确定装置用于:
接收所述主节点同步的管理用户的会话信息。
进一步地,所述反馈装置用于:
确定未与所述网关设备连接的待登录的远程设备,并反馈至所述主节点。
进一步地,所述中转数据装置用于:
从所述管理用户和/或授权用户获取同一会话内的批量处理的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,
启动所述会话连接的所述网关设备的容器引擎;
接收所述批量处理的通讯数据,确定所述容器引擎中待批量处理的远程设备;
将所述批量处理的通讯数据通过所述容器引擎发送至所述待批量处理的远程设备。
进一步地,所述容器引擎的生命周期与所述会话的销毁时间一致。
根据本申请另一个方面,还提供了一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
从管理用户获取创建的会话信息,其中,所述会话信息包括登录用户列表和待登录的远程设备,所述登录用户列表包括所述管理用户的身份信息;
基于所述管理用户的身份信息,判断所述管理用户是否拥有所述待登录的远程设备的权限,若有,则将所述管理用户的创建的会话信息发送至节点设备。
根据本申请再一个方面,还提供了一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
与远程设备建立连接;
从接口设备获取管理用户创建的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;
从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。
根据本申请又一个方面,还提供了一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
与节点设备建立连接;
接收所述节点设备发送的与所述网关设备进行会话连接的通知;
根据所述通知与所述网关设备建立会话连接;
通过所述会话连接从所述网关设备获取同一会话内的通讯数据,所述通讯数据由所述网关设备从管理用户或所述管理用户的授权用户获取。
根据本申请另一个方面,还提供一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收节点设备同步的管理用户的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
基于所述会话信息中待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备,并反馈至所述节点设备;
与所述未与所述网关设备连接的待登录的远程设备建立会话连接;
从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备。
与现有技术相比,本申请通过接口设备端从管理用户获取创建的会话信息,其中,所述会话信息包括登录用户列表和待登录的远程设备,所述登录用户列表包括所述管理用户的身份信息;接着,基于所述管理用户的身份信息,判断所述管理用户是否拥有所述待登录的远程设备的权限,若有,则将所述管理用户的创建的会话信息发送至节点设备。使得权限的管理从在远程设备端上提升到一个额外的权限系统,通过在接口设备端对管理用户的鉴权,使得可以根据场景灵活定制化定义权限,可以以集群、产品等进行配置,从而更加灵活。
进一步地,节点设备从接口设备获取管理用户创建的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;通过引入会话的管理单元后,可以以会话作为单元进行管理,进一步提高灵活性和对管理用户和管理用户的授权用户的行为的限制,通过接口设备端对管理用户的鉴权后,可以将多个远程设备添加到同一个会话中,对远程设备进行的远程登录的生命周期与会话的生命周期相同,管理用户和管理用户的授权用户可进行远程登录,且会话的生命周期属性使得会话在一定时间内被销毁,避免忘记撤销权限所带来的风险。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1示出本申请实施例中一种管理远程登录的方法交互流程示意图;
图2示出了本申请一实施例中动态管理远程登录中的反连接方式的示意图;
图3示出本申请一实施例中一种用于管理远程登录的系统示意图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本申请作进一步详细描述。
图1示出本申请实施例中一种管理远程登录的方法交互流程示意图;所述方法包括:在接口设备端1执行的步骤S11和步骤S12,在节点设备端2执行的步骤S21~步骤S24,在远程设备端3执行的步骤S31~步骤S34,在网关设备端4执行的步骤S41~步骤S44,接口设备端1、节点设备端2、远程设备端3和网关设备端4之间的交互具体为:
在步骤S31中,与节点设备建立连接;在步骤S11中,从管理用户获取创建的会话信息,其中,所述会话信息包括登录用户列表和待登录的远程设备,所述登录用户列表包括所述管理用户的身份信息;在步骤S12中,基于所述管理用户的身份信息,判断所述管理用户是否拥有所述待登录的远程设备的权限,若有,则将所述管理用户的创建的会话信息发送至节点设备。在步骤S22中,从接口设备获取管理用户创建的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;在步骤S23中,根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;在步骤S41中,接收节点设备同步的管理用户的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;在步骤S42中,基于所述会话信息中待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备,并反馈至所述节点设备;在步骤S24中,从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接;在步骤S32中,接收所述节点设备发送的与所述网关设备进行会话连接的通知;在步骤S33中,根据所述通知与所述网关设备建立会话连接;在步骤S44中,从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备;在步骤S34中,通过所述会话连接从所述网关设备获取同一会话内的通讯数据,所述通讯数据由所述网关设备从管理用户或所述管理用户的授权用户获取。其中,步骤S31与步骤S21为相对步骤,为远程设备与节点设备之间的连接建立过程;步骤S33与步骤S43为相对步骤,为远程设备与网关设备之间的会话连接建立过程。
通过接口设备端1、节点设备端2、远程设备端3和网关设备端4之间的交互,使得权限的管理从在远程设备端上提升到一个额外的权限系统,通过在接口设备端对管理用户的鉴权,使得可以根据场景灵活定制化定义权限,可以以集群、产品等进行配置,从而更加灵活,并且引入会话的管理单元节点设备后,可以以会话作为单元进行管理,进一步提高灵活性和对管理用户和管理用户的授权用户的行为的限制,通过接口设备端对管理用户的鉴权后,可以将多个远程设备添加到同一个会话中,对远程设备进行的远程登录的生命周期与会话的生命周期相同,管理用户和管理用户的授权用户可进行远程登录,且会话的生命周期属性使得会话在一定时间内被销毁,避免忘记撤销权限所带来的风险。
根据本申请的一个方面,提供了一种在接口设备端用于管理远程登录的方法,应用于终端服务(Terminal Service,TS),动态管理远程登录的权限,所述方法包括:步骤S11和步骤S12,
在步骤S11中,从管理用户获取创建的会话信息,其中,所述会话信息包括登录用户列表和待登录的远程设备,所述登录用户列表包括所述管理用户的身份信息;本申请一实施例中,管理用户可以包括需要登录远程设备时调用接口设备的用户,也为后续所创建的会话的权限拥有者(owner)。通过接口设备获取管理用户所传送的信息,该传送的信息为后续进行创建会话的会话信息,包括登录用户列表(userlist)、待登录的远程设备和会话的销毁时间,待登录的远程设备为管理用户需要登录的目标机器,会话的销毁时间控制会话的生命周期,可以包括用户停止使用会话后,销毁的判定时间(softlimit)和会话被创建出来后销毁的判定时间(hardlimit)。
在步骤S12中,基于所述管理用户的身份信息,判断所述管理用户是否拥有所述待登录的远程设备的权限,若有,则将所述管理用户的创建的会话信息发送至节点设备。在本申请一实施例中,获取到管理用户发送来的信息后,需要对管理用户的身份信息进行身份认证,判断该管理用户是否拥有登录目标机器的权限,若有,则将管理用户所发送的信息(创建的会话信息)传送给节点设备,以便节点设备进行创建对应的会话。在此,对管理用户的身份信息进行身份认证的鉴权过程时,鉴权方式可以多样化,比如可以通过集群、服务、部门、产品等多个角度进行鉴权,当鉴权结果为管理用户对目标机器有权限时才可以进行下一步,若没有则需要等待授权才可以将管理用户的信息发送给节点设备,从而授权和鉴权可以更加高效、实时,并且可以根据场景灵活操作,例如,一个集群中有大量的机器,不需要一台台机器加权限,只需要加一个对该集群的权限即可,将权限管理从机器提升到了一个额外的权限系统,从而更加灵活。
在本申请一实施例中,步骤S12之后,还包括:步骤S13,从管理用户获取对所述会话信息的修改信息,将所述修改信息发送至节点设备登录用户列表。其中,所述修改信息包括如下至少一项:在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;添加或修改所述待登录的远程设备。在此,因管理用户为调用接口设备的用户,为后续所创建的会话的owner,所以拥有修改会话属性的权限,修改会话属性包括修改管理用户的身份信息,向userlist中添加授权用户的身份信息,添加或修改管理用户可以登录的目标机器等。例如,管理用户为用户A,拥有登录目标机器1的权限,而用户B对登录目标机器1没有权限,则用户A可以在userlist中添加授权用户B,使得临时授权给用户B去操作目标机器1,但用户B不具有授权给其他用户的权限,避免了登录目标机器的权限被不可控地扩散出去,提高远程登录系统的安全性。
根据本申请又一个方面,提供了一种在节点设备端用于管理远程登录的方法,应用于终端服务(Terminal Service,TS),提供网页版的机器登录的能力,其中,节点设备为TS服务集群中的管理机器,可称为tsm(terminal service manager)集群,所述方法包括:步骤S21~步骤S24,
在步骤S21中,与远程设备建立连接;本申请一实施例中在进行远程登录时不需要在远程设备上开端口,而是首先采用远程设备与节点设备建立连接关系,等待命令,以进行后续的会话连接,进而实现远程登录。在此,远程设备是指调用接口设备的用户需要远程登录的目标机器。
在步骤S22中,从接口设备获取管理用户创建的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;在本申请一实施例中,节点设备对从接口设备中获取到管理用户创建的会话信息进行整理,放入TS系统的内部,以便后续的工作,在此,节点设备需要获取到创建的会话信息,即获取到包括登录用户列表(userlist)、待登录的远程设备和会话的销毁时间的信息,其中,待登录的远程设备为管理用户需要登录的目标机器,会话的销毁时间控制会话的生命周期,可以包括用户停止使用会话后,销毁的判定时间(softlimit)和会话被创建出来后销毁的判定时间(hardlimit)。
在步骤S23中,根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;在本申请一实施例中,根据所获取到的信息创建对应的会话,此时节点设备需要负责从接口设备中获取到的管理用户的身份写入会话的owner字段,当会话被创建后,管理用户可以通过接口设备访问节点设备,对会话进行修改。在此,所创建的会话中包括待登录的远程设备的具体内容,例如,管理用户的远程登录请求是登录机器1、机器2和机器3,则创建的会话包括机器1、机器2和机器3的如标识信息中的机器名(host name)这样的具体内容,从会话中可得到管理用户所需要登录的是哪几台机器的信息,并且,机器远程登录的生命周期与会话的生命周期一致,这样在会话自动销毁后登录机器的权限被有效回收,避免留下安全漏洞。
另外,网关设备通常不允许共享和连接数据,如登录、流量等是不被接收的,因此需要将包括待登录的远程设备的具体内容的会话同步至网关设备,通知网关设备做准备以只接收会话内机器的数据和流量,并进行判断会话内的待远程设备的会话连接状态。
在步骤S24中,从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。在此,从网关设备中获取到会话内的待登录的远程设备是否都与网关设备建立连接了,若没有,则节点设备会通知到还没与网关设备建立连接的待登录的远程设备去与网关设备建立会话连接。在待登录的远程设备与网关设备完成会话连接建立后,从而能够通过会话连接实现用户端与远程设备之间的通信,以实现远程登录。
本申请一实施例中,步骤S24之后,包括:步骤S25,获取网关设备基于所述会话的销毁时间生成的会话删除请求;步骤S26,删除所述会话及对应的会话信息;步骤S27,向所述网关设备发送会话信息的删除通知。在此,节点设备会接收很多其他设备的删除请求,比如接口设备发送的删除命令,网关设备发送的删除会话请求,节点设备管理会话的生命周期是通过接收来自网关设备基于所述会话的销毁时间生成的会话删除请求,将会话及对应的会话信息删除后,通过与网关设备之间的同步机制通知到网关设备,以便网关设备整理自己的内存及会话连接,比如将被删除的会话所对应的会话连接断掉,从而进一步地保证了远程登录的安全,使权限得以有效回收。
在本申请一实施例中,步骤S23之后,还包括:步骤S23’,从接口设备获取管理用户对所述会话信息的修改信息,根据所述修改信息对所述会话信息进行修改,将修改后的会话信息同步至网关设备。其中,所述修改信息包括如下至少一项:在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;添加或修改所述待登录的远程设备。在此,因管理用户为调用接口设备的用户,为节点设备中所创建的会话的owner,所以拥有修改会话属性的权限,修改会话属性包括修改管理用户的身份信息,向userlist中添加授权用户的身份信息,添加或修改管理用户可以登录的目标机器等,节点设备会将修改后的会话信息同步至网关设备,使得在网关设备通过认证页获取到修改后的会话信息所对应的用户的操作指令。例如,管理用户为用户A,拥有登录目标机器1的权限,而用户B对登录目标机器1没有权限,则用户A可以在userlist中添加授权用户B,节点设备将新添加授权用户B的userlist同步至网关设备,使得用户B被临时授权去操作目标机器1,但用户B不具有授权给其他用户的权限,避免了登录目标机器的权限被不可控地扩散出去,提高远程登录系统的安全性。
在本申请一实施例中,在步骤S23’中,从接口设备获取管理用户对所述会话信息的修改信息;对所述管理用户进行身份认证,认证通过后,根据所述修改信息对所述会话信息进行修改。在此,节点设备接收从接口设备中获取到管理用户的身份信息以及会话信息需要修改的信息,节点设备判断该管理用户是否为会话的owner,若是,则接受会话信息的修改信息,并将修改后的会话信息同步至网关设备,若否,则拒绝会话信息的修改信息,保证了只有会话的owner才对会话的属性信息进行修改的权限,进一步地保证权限系统的安全。
本申请一实施例中,所述会话的销毁时间包括如下至少一项:所述会话的最长销毁时间;登录用户列表中的所述管理用户和/或授权用户停止使用会话后的销毁会话判定时间,其中,所述销毁会话判定时间小于等于所述最长销毁时间。在此,会话的销毁时间包括softlimit和hardlimit,其中,softlimit为用户停止使用会话后销毁的判定时间,为会话的最长销毁时间,hardlimit为会话被创建出来后销毁的判定时间,在创建会话后,经过hardlimit时间后,网关设备会主动访问节点设备删除该会话,如果管理用户和/或授权用户不使用该会话的时间超过softlimit,网关设备也会主动访问节点设备删除该会话。
本申请一实施例中,与所述远程设备建立连接中,所述连接为长连接。在此,节点设备接收远程设备发送的连接请求,与远程设备建立连接,而使用长连接的形式在需要登录的远程设备上不需要开任何端口,保证了数据获取的及时性,节点设备一旦收到远程设备的登录请求便可立即通知到对应的远程设备,就可以以最快的速度收到与网关设备进行连接的要求。
在本申请一实施例中,所述节点设备包括主节点,在步骤S22中,所述主节点从接口设备获取管理用户创建的会话信息;在步骤S23中,所述主节点根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话。在此,节点设备包括主节点(TSMMaster),可以用来负责会话管理等重要任务并接收长连接请求,其中,负责会话管理任务时首先通过从接口设备中获取管理用户创建的会话信息,接着,根据会话信息中的登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话;例如,获取到目标机器1、目标机器2和目标机器3为管理用户需要登录的机器,此时主节点创建会话,其中,会话内包括目标机器1、目标机器2和目标机器3的host name,会话的属性信息为接口设备发送来的登录用户列表、会话的销毁时间以及管理用户为会话的owner,主节点将该会话及会话信息同步到网关设备,这样网关设备就可以为会话内的目标机器做相应的准备了,比如允许接收会话内的目标机器的相关数据和流量,判断会话内的目标机器是否都与它有连接关系了,以及根据会话的销毁时间去访问节点设备删除该会话。
在本申请一实施例中,所述节点设备还包括与主节点连接的从节点,在步骤S21中,所述主节点控制所述从节点与对应的远程设备建立连接。在此,如果所有的远程设备都一直连接在tsm集群中的某一台管理机器上(主节点),则主节点会很难承受,因此为了降低管理机器的承受压力保证系统的稳定性,因此节点设备还包括与主节点连接的从节点,从节点负责接收远程设备发送的连接请求,与远程设备建立长连接关系,并通过连接到主节点的方式与主节点进行交流。
在本申请一实施例中,在步骤S24中,所述主节点接收所述网关设备所反馈的未与所述网关设备连接的待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备连接的从节点;所述从节点通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。在此,主节点通过接口设备获取管理用户的远程登录请求,确定待登录的远程设备,并创建会话,会话内包括待登录的远程设备的具体内容,将该会话同步至网关设备后,接收网关设备反馈的会话内的待远程设备的连接状态的信息,例如,网关设备将会话内有远程设备1和远程设备2还未与网关设备建立连接的连接状态信息反馈给主节点,主节点将通过与从节点之间的连接将远程设备1和远程设备2的未连接状态信息通知对应的从节点,其中,对应的从节点是指之前与远程设备1和远程设备2建立长连接关系的从节点,例如,从节点1与远程设备1建立了长连接,则主节点接收到远程设备1与网关设备未建立连接的信息后,将该信息通知从节点1,从而从节点1通过长连接通知远程设备1去连接网关设备。
根据本申请再一个方面,提供了一种在远程设备端用于管理远程登录的方法,应用于终端服务(Terminal Service,TS),提供网页版的机器登录的能力,其中,远程设备为TS服务集群中的用户需要登录的目标机器,所述方法包括:步骤S31~步骤S34,
在步骤S31中,与节点设备建立连接;本申请一实施例中在进行远程登录时不需要在远程设备上开端口,而是采用远程设备主动连接节点设备的反向连接方式等待命令,以进行后续的会话连接,进而实现远程登录,从而避免了黑客从端口攻击服务的可能。
在步骤S32中,接收所述节点设备发送的与所述网关设备进行会话连接的通知;在本申请一实施例中,远程设备通过长连接方式随时接收节点设备发送的消息,其中,该消息可以包括会话内的哪些远程设备还未与网关设备建立连接的连接信息,对应的远程设备接收来自节点设备发送的连接信息,如网关设备将远程设备a未与网关设备连接的信息通知节点设备,则节点设备通知远程设备a进行步骤S33。
在步骤S33中,根据所述通知与所述网关设备建立会话连接;接上例,远程设备1接收到需要去连接网关设备的通知后会启动相应的进程与网关设备建立会话连接,其中,启动的进程为会话管理的一部分。
在步骤S34中,通过所述会话连接从所述网关设备获取同一会话内的通讯数据,所述通讯数据由所述网关设备从管理用户或所述管理用户的授权用户获取。在此,当待登录的远程设备与网关设备建立会话连接后,网关设备起到数据中转作用,待登录的远程设备从网关设备中获取同一会话内的通讯数据,其中,同一会话内的通讯数据是指在会话的生命周期内管理用户或管理用户的授权用户的操作指令数据,由网关设备通过虚拟IP地址及认证网页从管理用户或授权用户中获取,从而实现间接与待登录的远程设备的通信,实现远程登录,比如,管理用户为用户A,用户A对会话的属性进行修改,将用户B添加至登录用户列表中,将对会话内的远程设备(目标机器)的操作权限临时授权给用户B,则用户B可以进行操作目标机器,用户B的操作指令通过网关设备传送至会话内的远程设备,实现远程登录。
在本申请一实施例中,在步骤S31中,与所述节点设备建立连接中,所述连接为长连接。远程设备主动向节点设备发送连接请求,与其建立连接关系,而使用长连接的形式在需要登录的远程设备上不需要开任何端口,保证了数据获取的及时性,远程设备能够及时接收到节点设备发送的通知,就可以以最快的速度与网关设备进行连接。
在本申请一实施例中,所述远程设备包括代理服务,在步骤S31中,所述代理服务与所述节点设备建立连接。在此,本申请一实施例中所述的远程登录的方法应用于运维部署归公司或其他组织管理的机器群,将代理服务(TS agent)部署在远程设备上,不需要对远程设备做任何额外的操作,比如通常的打开端口,有效降低了对远程设备的访问风险,避免侵犯他人隐私的问题。
在本申请一实施例中,当所述节点设备包括主节点、与所述主节点连接的从节点时,在步骤S31中,所述代理服务与所述从节点建立连接。在此,如果所有部署在远程设备上的TS agent都一直连接在tsm集群中的某一台管理机器上(主节点),则主节点会很难承受,因此为了降低管理机器的承受压力保证系统的稳定性,因此节点设备还包括与主节点连接的从节点,此时,TS agent主动与从节点建立长连接关系,能够及时接收到从节点发送来的连接通知。
在本申请一实施例中,所述远程设备还包括与所述代理服务连接的会话管理从节点,在步骤S32中,所述代理服务接收所述节点设备发送的与所述网关设备进行会话连接的通知,并确定所述会话连接对应的会话管理从节点。其中,会话管理从节点(TS slave)为管理节点设备所创建的会话的从管理者,负责在agent获得连接通知时被agent启动,并连接到网关设备上。当需要建立远程设备与网关设备之间的连接时,agent启动slave与网关设备进行连接避免了agent直接与网关设备的连接,保证了系统的健壮性,每一个会话内的每台机器上的agent为对应机器启动一个相应的slave,防止因某一个机器崩掉导致其他会话也无法进行的情况,agent启动slave使得数据流量进程和会话管理进程分开,保证了远程登录时的系统稳定性。
接上述实施例,在步骤S33中,所述代理服务控制所述会话管理从节点与所述网关设备进行会话连接。例如,当会话1内的待登录的远程设备为机器1和机器2,会话2内的待登录的远程设备为机器3,机器1~3与网关设备都未连接,则部署在机器1~3上的agent会为每个机器启动对应的slave,比如机器1启动slave1,机器2启动slave2,机器3启动slave3,slave1与slave2同属于会话1,每个slave与网关设备进行会话连接,从而实现用户端通过网关设备与远程设备之间的通信。
根据本申请的另一个方面,提供了一种在网关设备端用于管理远程登录的方法,应用于终端服务(Terminal Service,TS),提供网页版的机器登录的能力,其中,网关设备上部署TS gateway,为TS服务中真正进行数据传输的,所述方法包括:步骤S41~步骤S44,
在步骤S41中,接收节点设备同步的管理用户的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;本申请一实施例中,网关设备通常不允许共享和连接数据,如登录、流量等是不接收的,只有接收到节点设备的同步会话才会对应接收会话内需要登录机器的数据、流量等起到连接作用,比如接收到节点设备同步的会话内的机器1、2需要登录,则网关设备会只接收会话内机器1、2的相关数据和流量。在接收到节点设备同步的会话后还要判断会话中的机器是否与网关设备已有连接,若没有,则进行步骤S42。另外,网关设备还需要从节点设备中获取到同步来的会话信息,通过登录用户列表可知哪些用户的数据可以通过网关设备进行中转,发送至远程设备,实现远程登录,不接受哪些用户的数据,网关设备通过认证网页从用户接收用户的操作指令时只会接受来自登录用户列表中的用户所发送的数据,如接收来自用户列表中的管理用户或者管理用户授权的用户所发送的数据。网关设备还会根据同步来的会话的销毁时间进行控制会话的生命周期,当达到销毁时间时,便可以主动访问节点设备,请求删除会话,避免因忘记撤销权限所带来的风险。
在步骤S42中,基于所述会话信息中待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备,并反馈至所述节点设备;在此,对节点设备同步来的会话信息内的远程设备进行判断,确定未与它有建立连接的待登录的远程设备,比如会话内的待远程设备为机器1、机器2和机器3,根据网关设备根据同步来的会话信息确定机器1和机器2都未与其建立连接,则将机器1和机器2的未连接情况反馈至节点设备,以便节点设备通知机器1和机器2主动去与网关设备建立会话连接,从而在步骤S43中,网关设备与所述未与所述网关设备连接的待登录的远程设备建立会话连接,即接收机器1和机器2的连接请求与它们建立连接,完成机器1和机器2到网关设备的反连接,从而降低了对机器1和机器2的访问风险。
本申请一实施例,在步骤S44中,从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备。在此,在待登录的远程设备与网关设备建立会话连接后,网关设备通过虚拟IP地址及认证网页获取到同一会话内的通讯数据,即在会话生命周期内用户的操作指令,其中,用户包括管理用户和/或授权用户,需要判断会话是否达到会话的销毁时间,若获取的用户操作指令在会话的生命周期内,则通过网关设备与待登录的远程设备之间的连接将操作指令发送到对应的远程设备,实现管理用户或授权用户间接与远程设备之间的通信,实现远程登录。
在本申请一实施例中,判断所述会话是否达到所述销毁时间,若是,向所述节点设备发送删除会话请求;从所述节点设备接收所述会话信息的删除通知,基于所述删除通知删除所述会话信息。在此,网关设备会计时,若计时时间达到会话的销毁时间,会请求节点设备删除会话,并接收节点设备发送来的已删除会话的通知后断掉会话连接及删除会话信息整理内存,因此,在会话销毁后不再将管理用户或授权用户的操作指令进行传输。
在本申请一实施例中,步骤S41之后,还包括:步骤S41’,接收节点设备同步的管理用户的修改后的会话信息。其中,所述修改后的会话信息包括如下至少一项:在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;添加或修改所述待登录的远程设备。在此,网关设备接收从节点设备同步来的修改后的会话信息,能够及时准确获取到修改后的会话信息中用户列表允许的用户的操作指令数据,例如,管理用户为用户A,拥有登录目标机器1的权限,而用户B对登录目标机器1没有权限,则用户A可以在userlist中添加授权用户B,网络设备接收到节点设备同步来的将新添加授权用户B的userlist,这样网关设备能够及时获取到用户B的操作指令数据并对该数据进行传输,使得用户B被临时授权去操作目标机器1。再如,接收节点设备同步来的对会话的销毁时间的修改,则网关设备会根据修改后的销毁时间去访问节点设备,请求删除会话。通过与节点设备之间保持心跳,及时获取到会话的修改信息,保证了获取数据的及时性及中转权限内数据的准确性。
在本申请一实施例中,所述会话的销毁时间包括如下至少一项:所述会话的最长销毁时间;登录用户列表中的所述管理用户和/或授权用户停止使用会话后的销毁会话判定时间,其中,所述销毁会话判定时间小于等于所述最长销毁时间。在此,会话的销毁时间包括softlimit和hardlimit,其中,softlimit为用户停止使用会话后销毁的判定时间,为会话的最长销毁时间,hardlimit为会话被创建出来后销毁的判定时间,在创建会话后,经过hardlimit时间后,网关设备会主动访问节点设备删除该会话,如果管理用户和/或授权用户不使用该会话的时间超过softlimit,网关设备也会主动访问节点设备删除该会话。
在本申请一实施例中,当所述远程设备包括代理服务和与所述代理服务连接的会话管理从节点时,步骤S43中,与所述未与所述网关设备连接的待登录的远程设备的会话管理从节点建立会话连接。在此,在远程设备上部署代理服务agent,agent接收到节点设备中的从节点发送的连接通知会启动一个slave,此时,网关设备接收slave发送来的连接请求与slave建立会话连接。
接着,在步骤S44中,通过所述会话连接将所述通讯数据发送到所述会话管理从节点。网关设备将用户端的操作指令通过已建立的会话连接发送至对应的slave,从而实现了用户端间接与远程设备的slave进行通信,实现远程登录。
进一步地,所述节点设备包括主节点,在步骤S41中,接收所述主节点同步的管理用户的会话信息。在此,主节点作为tsm集群中的会话管理主人,负责管理会话,将管理用户的会话信息同步至网关设备,网关设备通过接收到的会话信息确定会话内未与其连接的待登录的远程设备。接着,在步骤S42中,将所述未与所述网关设备连接的待登录的远程设备反馈至所述主节点,网关设备将会话内的还未与其有连接关系的待登录的远程设备反馈至主节点,从而使得主节点根据反馈的信息找到对应的从节点进行通知对应的待登录的远程设备,以完成与网关设备之间的连接。
本申请一实施例,在步骤S44中,从所述管理用户和/或授权用户获取同一会话内的批量处理的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,启动所述会话连接的所述网关设备的容器引擎;接收所述批量处理的通讯数据,确定所述容器引擎中待批量处理的远程设备;将所述批量处理的通讯数据通过所述容器引擎发送至所述待批量处理的远程设备。在此,由于网关设备作为中间介质连接了用户端与远程设备,其中,用户端为管理用户和/或授权用户,可按照预设的协议,再启动一个额外的机器(container)连接到网关设备上,该额外的机器为gateway镜像虚拟出的容器引擎(virtual AG),与gateway部署在同一机器上,从而实现了各个远程设备之间的互联,进而利用内部协议,在会话的生命周期内进行操作container对远程设备批量操作,例如批量复制一些文件到所有会话内的远程设备上,批量执行一些命令,如可能某些进程需要重启,则可以批量地重启,解决了到每一台机器上去操作带来的费时费力的问题及避免出现问题。
本申请一实施例中,所述容器引擎的生命周期与所述会话的生命周期一致。当远程登录完成后,管理用户或授权用户的操作指令完成,会话将自动销毁,每个会话对应的容器引擎也会随着会话自动销毁,不会出现遗留超级跳板机的可能性,为安全提供保证。
图2示出了本申请一实施例中动态管理远程登录中的反连接方式的示意图,应用于终端服务(Terminal service),提供网页版的机器登录的能力。其中,节点设备tsmcluster为机器管理机器,远程设备host1和host2为需要远程登录和批量操作的目标机器,网关设备tsg host为真正进行数据传输的网关(gateway),主节点TS MMaster为会话管理中的主人,负责会话管理等重要任务并接收agent的连接,而从节点TS SMaster负责接收Agent的长连接,并通过连接到MMaster的方式与主人进行交流;TJ API为接口设备,对外提供应用程序编程接口,负责鉴权并访问ts的内部系统,对会话进行操作,通过http进行访问。本申请采用图2中的连接方式进行远程登录以及可实现动态权限管理和会话生命周期管理的具体实现步骤为:
步骤S1,在被管理的集群上,部署TS Agent,这些Agent会通过长连接的形式连接到tsm cluster上的某台机器上等待命令;步骤S2,当用户需要远程登录到某台目标机器时,TJ API对该用户进行鉴权,对该用户的身份信息进行认证,若该用户拥有登录目标机器的权限,则将获取到的该用户的信息发送至tsm cluster中的机器,此时,MMaster创建会话session,会话内包括需要登录的机器信息,如需要登录机器1,2,3三台机器的host name,会话的属性信息包括通过身份认证的用户为会话的owner,用户列表以及会话的销毁时间,需要说明的是,若需要修改会话的属性信息,则通过TJ API进行修改,而只有会话的owner才具有修改会话的属性信息的权限;步骤S3,tsm cluster上的MMaster将包括机器1和机器2的信息的会话同步到gateway上,gateway做准备,因为gateway通常不允许共享和连接数据,如登录、流量等是不接收的,因此只有接收到MMaster的同步会话才会对应接收会话内需要登录机器的数据、流量等起到连接作用,在此,当会话的属性信息被修改时,也会将修改后的会话属性信息同步至gateway;步骤S4,在gateway接收到MMaster的同步会话后还要判断会话中的机器是否连接上了,若没有,则通知MMaster;步骤S5,MMaster接收到gateway的通知后,通知对应的SMaster去将未连接的信息告知对应机器上的Agent,比如,gateway上没有机器1和机器2的连接信息,则MMaster找到与机器1和机器2建立长连接的SMaster1,让它去通知机器1的Agent和机器2的Agent;步骤S6,TS Agent获得SMaster发送来的连接通知后,启动会话管理节点TS Slave连接到已经做好准备的tsg host的TS gateway;步骤S7,管理用户或授权用户通过虚拟IP地址(VIP)和认证网页(TS Portal)连接TS gateway,从而实现间接与目标机器的TS Slave进行通信,实现远程登录。
另外,还可以利用高级容器引擎docker启动的virtual AG连接本机的TSGateway,其中,virtual AG为虚拟管理网关(virtual admin gateway),用于对会话中的机器做批量操作,virtual AG与gateway之间的连接通过部署在tsg集群上的进程间通信(domain socket)连接,提高安全性,而在virtual AG中放置了批量操作的工具,这些工具按照TS的内部协议发送数据包,用户可以连接virtual AG来发布批量操作的命令。gateway还会根据同步来的会话的属性信息进行访问MMaster,当达到session的销毁时间时,gateway则访问MMaster请求删除该session,每一个session的virtual AG也会随之自动销毁,不会出现遗留跳板机的可能性。
综上所述,在上述过程中,由于使用了TS Agent主动连接到tsm cluster的方式等待命令,从而不需要在目标机器上开任何端口来获取信息,保证了数据获取的及时性,在TSAgent收到连接要求时通知TS Slave连接到gateway建立长连接,便可以实现登录机器的shell(系统命令行)的操作了;另外,使用virtual AG对目标机器进行批量操作,由于virtual AG的自动销毁进一步保障了安全,使权限得以有效回收。本申请所述的远程登录的方法适合如云计算这样的运维部署归属公司或其他组织管理的机器群,比如某一服务平台的服务器集群,机器数量非常庞大,运维人员会有登录到任何一台机器做操作的可能性,利用本申请的登录方式只需要部署TS Agent到目标机器上,不需要在目标机器上开端口,有效降低了对目标机器的访问风险。
通过在TJ API对用户进行鉴权,使得权限系统从目标机器提升到一个额外的权限系统,在TJ API可以定制化定义权限,可以集群、产品等进行配置,从而更加的灵活,且引入session的管理单元后,可以以session作为单元进行管理,进一步提高灵活性和对用户行为的限制,将用户的行为限制在session内,可以更改和删除session等来管理session的属性和生命周期,实现动态权限管理和生命周期的管理。
图3示出本申请实施例中一种用于管理远程登录的系统示意图;所述系统包括:接口设备1、节点设备、远程设备3和网关设备4,其中,所述接口设备1包括获取信息装置11和鉴权装置12,所述节点设备2包括连接装置21、接收装置22、创建装置23和通知装置24,所述远程设备3包括连接请求装置31、接收通知装置32、会话连接装置33和获取装置34,所述网关设备4包括确定装置41、反馈装置42、接收连接请求装置43和中转数据装置44。各设备中的各装置之间的交互具体如下:
连接请求装置31,用于与节点设备建立连接;获取信息装置11,用于从管理用户获取创建的会话信息,其中,所述会话信息包括登录用户列表和待登录的远程设备,所述登录用户列表包括所述管理用户的身份信息;鉴权装置12,用于基于所述管理用户的身份信息,判断所述管理用户是否拥有所述待登录的远程设备的权限,若有,则将所述管理用户的创建的会话信息发送至节点设备。接收装置22,用于从接口设备获取管理用户创建的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;创建装置23,用于根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;确定装置41,接收节点设备同步的管理用户的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;反馈装置42,用于基于所述会话信息中待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备,并反馈至所述节点设备;通知装置24,用于从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接;接收通知装置32,用于接收所述节点设备发送的与所述网关设备进行会话连接的通知;会话连接装置33,用于根据所述通知与所述网关设备建立会话连接;中转数据装置44,用于从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备;在步骤S34中,通过所述会话连接从所述网关设备获取同一会话内的通讯数据,所述通讯数据由所述网关设备从管理用户或所述管理用户的授权用户获取。其中,连接请求装置31与连接装置21都用于,建立远程设备与节点设备之间的连接;会话连接装置33与接收连接请求装置43都用于,建立远程设备与网关设备之间的会话连接。
通过接口设备端1、节点设备端2、远程设备端3和网关设备端4中各装置之间的交互,使得权限的管理从在远程设备端上提升到一个额外的权限系统,通过在接口设备端对管理用户的鉴权,使得可以根据场景灵活定制化定义权限,可以以集群、产品等进行配置,从而更加灵活,并且引入会话的管理单元节点设备后,可以以会话作为单元进行管理,进一步提高灵活性和对管理用户和管理用户的授权用户的行为的限制,通过接口设备端对管理用户的鉴权后,可以将多个远程设备添加到同一个会话中,对远程设备进行的远程登录的生命周期与会话的生命周期相同,管理用户和管理用户的授权用户可进行远程登录,且会话的生命周期属性使得会话在一定时间内被销毁,避免忘记撤销权限所带来的风险。
根据本申请的一个方面,还提供了一种用于管理远程登录的接口设备1,应用于终端服务(Terminal Service,TS),动态管理远程登录的权限,所述接口设备1包括:获取信息装置11和鉴权装置12,
获取信息装置11,用于从管理用户获取创建的会话信息,其中,所述会话信息包括登录用户列表和待登录的远程设备,所述登录用户列表包括所述管理用户的身份信息;本申请一实施例中,管理用户可以包括需要登录远程设备时调用接口设备的用户,也为后续所创建的会话的权限拥有者(owner)。通过接口设备获取管理用户所传送的信息,该传送的信息为后续进行创建会话的会话信息,包括登录用户列表(userlist)、待登录的远程设备和会话的销毁时间,待登录的远程设备为管理用户需要登录的目标机器,会话的销毁时间控制会话的生命周期,可以包括用户停止使用会话后,销毁的判定时间(softlimit)和会话被创建出来后销毁的判定时间(hardlimit)。
鉴权装置12,用于基于所述管理用户的身份信息,判断所述管理用户是否拥有所述待登录的远程设备的权限,若有,则将所述管理用户的创建的会话信息发送至节点设备。在本申请一实施例中,获取到管理用户发送来的信息后,需要对管理用户的身份信息进行身份认证,判断该管理用户是否拥有登录目标机器的权限,若有,则将管理用户所发送的信息(创建的会话信息)传送给节点设备,以便节点设备进行创建对应的会话。在此,对管理用户的身份信息进行身份认证的鉴权过程时,鉴权方式可以多样化,比如可以通过集群、服务、部门、产品等多个角度进行鉴权,当鉴权结果为管理用户对目标机器有权限时才可以进行下一步,若没有则需要等待授权才可以将管理用户的信息发送给节点设备,从而授权和鉴权可以更加高效、实时,并且可以根据场景灵活操作,例如,一个集群中有大量的机器,不需要一台台机器加权限,只需要加一个对该集群的权限即可,将权限管理从机器提升到了一个额外的权限系统,从而更加灵活。
在本申请一实施例中,所述接口设备1还包括:更新装置13,用于从管理用户获取对所述会话信息的修改信息,将所述修改信息发送至节点设备登录用户列表。其中,所述修改信息包括如下至少一项:在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;添加或修改所述待登录的远程设备。在此,因管理用户为调用接口设备的用户,为后续所创建的会话的owner,所以拥有修改会话属性的权限,修改会话属性包括修改管理用户的身份信息,向userlist中添加授权用户的身份信息,添加或修改管理用户可以登录的目标机器等。例如,管理用户为用户A,拥有登录目标机器1的权限,而用户B对登录目标机器1没有权限,则用户A可以在userlist中添加授权用户B,使得临时授权给用户B去操作目标机器1,但用户B不具有授权给其他用户的权限,避免了登录目标机器的权限被不可控地扩散出去,提高远程登录系统的安全性。
根据本申请又一个方面,还提供了一种用于管理远程登录的节点设备2,应用于终端服务(Terminal Service,TS),提供网页版的机器登录的能力,其中,节点设备2为TS服务集群中的管理机器,可称为tsm(terminal service manager)集群,所述节点设备2包括:连接装置21、接收装置22、创建装置23和通知装置24,
连接装置21,用于与远程设备建立连接;本申请一实施例中在进行远程登录时不需要在远程设备上开端口,而是首先采用远程设备与节点设备建立连接关系,等待命令,以进行后续的会话连接,进而实现远程登录。在此,远程设备是指调用接口设备的用户需要远程登录的目标机器。
接收装置22,用于从接口设备获取管理用户创建的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;在本申请一实施例中,节点设备对从接口设备中获取到管理用户创建的会话信息进行整理,放入TS系统的内部,以便后续的工作,在此,节点设备需要获取到创建的会话信息,即获取到包括登录用户列表(userlist)、待登录的远程设备和会话的销毁时间的信息,其中,待登录的远程设备为管理用户需要登录的目标机器,会话的销毁时间控制会话的生命周期,可以包括用户停止使用会话后,销毁的判定时间(softlimit)和会话被创建出来后销毁的判定时间(hardlimit)。
创建装置23,根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;在本申请一实施例中,根据所获取到的信息创建对应的会话,此时节点设备需要负责从接口设备中获取到的管理用户的身份写入会话的owner字段,当会话被创建后,管理用户可以通过接口设备访问节点设备,对会话进行修改。在此,所创建的会话中包括待登录的远程设备的具体内容,例如,管理用户的远程登录请求是登录机器1、机器2和机器3,则创建的会话包括机器1、机器2和机器3的如标识信息中的机器名(host name)这样的具体内容,从会话中可得到管理用户所需要登录的是哪几台机器的信息,并且,机器远程登录的生命周期与会话的生命周期一致,这样在会话自动销毁后登录机器的权限被有效回收,避免留下安全漏洞。
另外,网关设备通常不允许共享和连接数据,如登录、流量等是不被接收的,因此需要将包括待登录的远程设备的具体内容的会话同步至网关设备,通知网关设备做准备以只接收会话内机器的数据和流量,并进行判断会话内的待远程设备的会话连接状态。
通知装置24,用于从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。在此,从网关设备中获取到会话内的待登录的远程设备是否都与网关设备建立连接了,若没有,则节点设备会通知到还没与网关设备建立连接的待登录的远程设备去与网关设备建立会话连接。在待登录的远程设备与网关设备完成会话连接建立后,从而能够通过会话连接实现用户端与远程设备之间的通信,以实现远程登录。
本申请一实施例中,所述节点设备2还包括:获取请求装置25,用于获取网关设备基于所述会话的销毁时间生成的会话删除请求;删除装置26,用于删除所述会话及对应的会话信息;同步通知装置27,用于向所述网关设备发送会话信息的删除通知。在此,节点设备会接收很多其他设备的删除请求,比如接口设备发送的删除命令,网关设备发送的删除会话请求,节点设备管理会话的生命周期是通过接收来自网关设备基于所述会话的销毁时间生成的会话删除请求,将会话及对应的会话信息删除后,通过与网关设备之间的同步机制通知到网关设备,以便网关设备整理自己的内存及会话连接,比如将被删除的会话所对应的会话连接断掉,从而进一步地保证了远程登录的安全,使权限得以有效回收。
在本申请一实施例中,所述节点设备2还包括:修改装置23’,用于从接口设备获取管理用户对所述会话信息的修改信息,根据所述修改信息对所述会话信息进行修改,将修改后的会话信息同步至网关设备。其中,所述修改信息包括如下至少一项:在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;添加或修改所述待登录的远程设备。在此,因管理用户为调用接口设备的用户,为节点设备中所创建的会话的owner,所以拥有修改会话属性的权限,修改会话属性包括修改管理用户的身份信息,向userlist中添加授权用户的身份信息,添加或修改管理用户可以登录的目标机器等,节点设备会将修改后的会话信息同步至网关设备,使得在网关设备通过认证页获取到修改后的会话信息所对应的用户的操作指令。例如,管理用户为用户A,拥有登录目标机器1的权限,而用户B对登录目标机器1没有权限,则用户A可以在userlist中添加授权用户B,节点设备将新添加授权用户B的userlist同步至网关设备,使得用户B被临时授权去操作目标机器1,但用户B不具有授权给其他用户的权限,避免了登录目标机器的权限被不可控地扩散出去,提高远程登录系统的安全性。
在本申请一实施例中,修改装置23’用于,从接口设备获取管理用户对所述会话信息的修改信息;对所述管理用户进行身份认证,认证通过后,根据所述修改信息对所述会话信息进行修改。在此,节点设备接收从接口设备中获取到管理用户的身份信息以及会话信息需要修改的信息,节点设备判断该管理用户是否为会话的owner,若是,则接受会话信息的修改信息,并将修改后的会话信息同步至网关设备,若否,则拒绝会话信息的修改信息,保证了只有会话的owner才对会话的属性信息进行修改的权限,进一步地保证权限系统的安全。
本申请一实施例中,所述会话的销毁时间包括如下至少一项:所述会话的最长销毁时间;登录用户列表中的所述管理用户和/或授权用户停止使用会话后的销毁会话判定时间,其中,所述销毁会话判定时间小于等于所述最长销毁时间。在此,会话的销毁时间包括softlimit和hardlimit,其中,softlimit为用户停止使用会话后销毁的判定时间,为会话的最长销毁时间,hardlimit为会话被创建出来后销毁的判定时间,在创建会话后,经过hardlimit时间后,网关设备会主动访问节点设备删除该会话,如果管理用户和/或授权用户不使用该会话的时间超过softlimit,网关设备也会主动访问节点设备删除该会话。
本申请一实施例中,与所述远程设备建立连接中,所述连接为长连接。在此,节点设备接收远程设备发送的连接请求,与远程设备建立连接,而使用长连接的形式在需要登录的远程设备上不需要开任何端口,保证了数据获取的及时性,节点设备一旦收到远程设备的登录请求便可立即通知到对应的远程设备,就可以以最快的速度收到与网关设备进行连接的要求。
在本申请一实施例中,所述节点设备包括主节点,接收装置22用于所述主节点从接口设备获取管理用户创建的会话信息;创建装置23用于所述主节点根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话。在此,节点设备包括主节点(TSMMaster),可以用来负责会话管理等重要任务并接收长连接请求,其中,负责会话管理任务时首先通过从接口设备中获取管理用户创建的会话信息,接着,根据会话信息中的登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话;例如,获取到目标机器1、目标机器2和目标机器3为管理用户需要登录的机器,此时主节点创建会话,其中,会话内包括目标机器1、目标机器2和目标机器3的host name,会话的属性信息为接口设备发送来的登录用户列表、会话的销毁时间以及管理用户为会话的owner,主节点将该会话及会话信息同步到网关设备,这样网关设备就可以为会话内的目标机器做相应的准备了,比如允许接收会话内的目标机器的相关数据和流量,判断会话内的目标机器是否都与它有连接关系了,以及根据会话的销毁时间去访问节点设备删除该会话。
在本申请一实施例中,所述节点设备还包括与主节点连接的从节点,连接装置21用于,所述主节点控制所述从节点与对应的远程设备建立连接。在此,如果所有的远程设备都一直连接在tsm集群中的某一台管理机器上(主节点),则主节点会很难承受,因此为了降低管理机器的承受压力保证系统的稳定性,因此节点设备还包括与主节点连接的从节点,从节点负责接收远程设备发送的连接请求,与远程设备建立长连接关系,并通过连接到主节点的方式与主节点进行交流。
在本申请一实施例中,通知装置24,用于所述主节点接收所述网关设备所反馈的未与所述网关设备连接的待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备连接的从节点;所述从节点通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。在此,主节点通过接口设备获取管理用户的远程登录请求,确定待登录的远程设备,并创建会话,会话内包括待登录的远程设备的具体内容,将该会话同步至网关设备后,接收网关设备反馈的会话内的待远程设备的连接状态的信息,例如,网关设备将会话内有远程设备1和远程设备2还未与网关设备建立连接的连接状态信息反馈给主节点,主节点将通过与从节点之间的连接将远程设备1和远程设备2的未连接状态信息通知对应的从节点,其中,对应的从节点是指之前与远程设备1和远程设备2建立长连接关系的从节点,例如,从节点1与远程设备1建立了长连接,则主节点接收到远程设备1与网关设备未建立连接的信息后,将该信息通知从节点1,从而从节点1通过长连接通知远程设备1去连接网关设备。
根据本申请再一个方面,还提供了一种用于管理远程登录的远程设备3,应用于终端服务(Terminal Service,TS),提供网页版的机器登录的能力,其中,远程设备3为TS服务集群中的用户需要登录的目标机器,所述远程设备3包括:连接请求装置31、接收通知装置32、会话连接装置33和获取装置34,
连接请求装置31,用于与节点设备建立连接;本申请一实施例中在进行远程登录时不需要在远程设备上开端口,而是采用远程设备主动连接节点设备的反向连接方式等待命令,以进行后续的会话连接,进而实现远程登录,从而避免了黑客从端口攻击服务的可能。
接收通知装置32,用于接收所述节点设备发送的与所述网关设备进行会话连接的通知;在本申请一实施例中,远程设备通过长连接方式随时接收节点设备发送的消息,其中,该消息可以包括会话内的哪些远程设备还未与网关设备建立连接的连接信息,对应的远程设备接收来自节点设备发送的连接信息,如网关设备将远程设备a未与网关设备连接的信息通知节点设备,则执行会话连接装置33的功能。
会话连接装置33,用于根据所述通知与所述网关设备建立会话连接;接上例,远程设备1接收到需要去连接网关设备的通知后会启动相应的进程与网关设备建立会话连接,其中,启动的进程为会话管理的一部分。
获取装置34,用于通过所述会话连接从所述网关设备获取同一会话内的通讯数据,所述通讯数据由所述网关设备从管理用户或所述管理用户的授权用户获取。在此,当待登录的远程设备与网关设备建立会话连接后,网关设备起到数据中转作用,待登录的远程设备从网关设备中获取同一会话内的通讯数据,其中,同一会话内的通讯数据是指在会话的生命周期内管理用户或管理用户的授权用户的操作指令数据,由网关设备通过虚拟IP地址及认证网页从管理用户或授权用户中获取,从而实现间接与待登录的远程设备的通信,实现远程登录,比如,管理用户为用户A,用户A对会话的属性进行修改,将用户B添加至登录用户列表中,将对会话内的远程设备(目标机器)的操作权限临时授权给用户B,则用户B可以进行操作目标机器,用户B的操作指令通过网关设备传送至会话内的远程设备,实现远程登录。
在本申请一实施例中,连接请求装置31,用于与所述节点设备建立连接中,所述连接为长连接。远程设备主动向节点设备发送连接请求,与其建立连接关系,而使用长连接的形式在需要登录的远程设备上不需要开任何端口,保证了数据获取的及时性,远程设备能够及时接收到节点设备发送的通知,就可以以最快的速度与网关设备进行连接。
在本申请一实施例中,所述远程设备包括代理服务,连接请求装置31用于所述代理服务与所述节点设备建立连接。在此,本申请一实施例中所述的远程登录的方法应用于运维部署归公司或其他组织管理的机器群,将代理服务(TS agent)部署在远程设备上,不需要对远程设备做任何额外的操作,比如通常的打开端口,有效降低了对远程设备的访问风险,避免侵犯他人隐私的问题。
在本申请一实施例中,当所述节点设备包括主节点、与所述主节点连接的从节点时,连接请求装置31用于所述代理服务与所述从节点建立连接。在此,如果所有部署在远程设备上的TS agent都一直连接在tsm集群中的某一台管理机器上(主节点),则主节点会很难承受,因此为了降低管理机器的承受压力保证系统的稳定性,因此节点设备还包括与主节点连接的从节点,此时,TS agent主动与从节点建立长连接关系,能够及时接收到从节点发送来的连接通知。
在本申请一实施例中,所述远程设备还包括与所述代理服务连接的会话管理从节点,接收通知装置32用于所述代理服务接收所述节点设备发送的与所述网关设备进行会话连接的通知,并确定所述会话连接对应的会话管理从节点。其中,会话管理从节点(TSslave)为管理节点设备所创建的会话的从管理者,负责在agent获得连接通知时被agent启动,并连接到网关设备上。当需要建立远程设备与网关设备之间的连接时,agent启动slave与网关设备进行连接避免了agent直接与网关设备的连接,保证了系统的健壮性,每一个会话内的每台机器上的agent为对应机器启动一个相应的slave,防止因某一个机器崩掉导致其他会话也无法进行的情况,agent启动slave使得数据流量进程和会话管理进程分开,保证了远程登录时的系统稳定性。
接上述实施例,会话连接装置33用于所述代理服务控制所述会话管理从节点与所述网关设备进行会话连接。例如,当会话1内的待登录的远程设备为机器1和机器2,会话2内的待登录的远程设备为机器3,机器1~3与网关设备都未连接,则部署在机器1~3上的agent会为每个机器启动对应的slave,比如机器1启动slave1,机器2启动slave2,机器3启动slave3,slave1与slave2同属于会话1,每个slave与网关设备进行会话连接,从而实现用户端通过网关设备与远程设备之间的通信。
根据本申请的另一个方面,还提供了一种用于管理远程登录的网关设备4,应用于终端服务(Terminal Service,TS),提供网页版的机器登录的能力,其中,网关设备4上部署TS gateway,为TS服务中真正进行数据传输的,所述网关设备4包括:确定装置41、反馈装置42、接收连接请求装置43和中转数据装置44,
确定装置41,用于接收节点设备同步的管理用户的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;本申请一实施例中,网关设备通常不允许共享和连接数据,如登录、流量等是不接收的,只有接收到节点设备的同步会话才会对应接收会话内需要登录机器的数据、流量等起到连接作用,比如接收到节点设备同步的会话内的机器1、2需要登录,则网关设备会只接收会话内机器1、2的相关数据和流量。在接收到节点设备同步的会话后还要判断会话中的机器是否与网关设备已有连接,若没有,则进行反馈通知节点设备。另外,网关设备还需要从节点设备中获取到同步来的会话信息,通过登录用户列表可知哪些用户的数据可以通过网关设备进行中转,发送至远程设备,实现远程登录,不接受哪些用户的数据,网关设备通过认证网页从用户接收用户的操作指令时只会接受来自登录用户列表中的用户所发送的数据,如接收来自用户列表中的管理用户或者管理用户授权的用户所发送的数据。网关设备还会根据同步来的会话的销毁时间进行控制会话的生命周期,当达到销毁时间时,便可以主动访问节点设备,请求删除会话,避免因忘记撤销权限所带来的风险。
反馈装置42,用于基于所述会话信息中待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备,并反馈至所述节点设备;在此,对节点设备同步来的会话信息内的远程设备进行判断,确定未与它有建立连接的待登录的远程设备,比如会话内的待远程设备为机器1、机器2和机器3,根据网关设备根据同步来的会话信息确定机器1和机器2都未与其建立连接,则将机器1和机器2的未连接情况反馈至节点设备,以便节点设备通知机器1和机器2主动去与网关设备建立会话连接,从而接收连接请求装置43用于,网关设备与所述未与所述网关设备连接的待登录的远程设备建立会话连接,即接收机器1和机器2的连接请求与它们建立连接,完成机器1和机器2到网关设备的反连接,从而降低了对机器1和机器2的访问风险。
本申请一实施例,中转数据装置44,用于从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备。在此,在待登录的远程设备与网关设备建立会话连接后,网关设备通过虚拟IP地址及认证网页获取到同一会话内的通讯数据,即在会话生命周期内用户的操作指令,其中,用户包括管理用户和/或授权用户,需要判断会话是否达到会话的销毁时间,若获取的用户操作指令在会话的生命周期内,则通过网关设备与待登录的远程设备之间的连接将操作指令发送到对应的远程设备,实现管理用户或授权用户间接与远程设备之间的通信,实现远程登录。
在本申请一实施例中,判断所述会话是否达到所述销毁时间,若是,向所述节点设备发送删除会话请求;从所述节点设备接收所述会话信息的删除通知,基于所述删除通知删除所述会话信息。在此,网关设备会计时,若计时时间达到会话的销毁时间,会请求节点设备删除会话,并接收节点设备发送来的已删除会话的通知后断掉会话连接及删除会话信息整理内存,因此,在会话销毁后不再将管理用户或授权用户的操作指令进行传输。
在本申请一实施例中,所述网关设备4还包括:接收修改装置41’,用于接收节点设备同步的管理用户的修改后的会话信息。其中,所述修改后的会话信息包括如下至少一项:在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;添加或修改所述待登录的远程设备。在此,网关设备接收从节点设备同步来的修改后的会话信息,能够及时准确获取到修改后的会话信息中用户列表允许的用户的操作指令数据,例如,管理用户为用户A,拥有登录目标机器1的权限,而用户B对登录目标机器1没有权限,则用户A可以在userlist中添加授权用户B,网络设备接收到节点设备同步来的将新添加授权用户B的userlist,这样网关设备能够及时获取到用户B的操作指令数据并对该数据进行传输,使得用户B被临时授权去操作目标机器1。再如,接收节点设备同步来的对会话的销毁时间的修改,则网关设备会根据修改后的销毁时间去访问节点设备,请求删除会话。通过与节点设备之间保持心跳,及时获取到会话的修改信息,保证了获取数据的及时性及中转权限内数据的准确性。
在本申请一实施例中,所述会话的销毁时间包括如下至少一项:所述会话的最长销毁时间;登录用户列表中的所述管理用户和/或授权用户停止使用会话后的销毁会话判定时间,其中,所述销毁会话判定时间小于等于所述最长销毁时间。在此,会话的销毁时间包括softlimit和hardlimit,其中,softlimit为用户停止使用会话后销毁的判定时间,为会话的最长销毁时间,hardlimit为会话被创建出来后销毁的判定时间,在创建会话后,经过hardlimit时间后,网关设备会主动访问节点设备删除该会话,如果管理用户和/或授权用户不使用该会话的时间超过softlimit,网关设备也会主动访问节点设备删除该会话。
在本申请一实施例中,当所述远程设备包括代理服务和与所述代理服务连接的会话管理从节点时,接收连接请求装置43用于,与所述未与所述网关设备连接的待登录的远程设备的会话管理从节点建立会话连接。在此,在远程设备上部署代理服务agent,agent接收到节点设备中的从节点发送的连接通知会启动一个slave,此时,网关设备接收slave发送来的连接请求与slave建立会话连接。
接着,中转数据装置44,用于通过所述会话连接将所述通讯数据发送到所述会话管理从节点。网关设备将用户端的操作指令通过已建立的会话连接发送至对应的slave,从而实现了用户端间接与远程设备的slave进行通信,实现远程登录。
进一步地,所述节点设备包括主节点,确定装置41用于接收所述主节点同步的管理用户的会话信息。在此,主节点作为tsm集群中的会话管理主人,负责管理会话,将管理用户的会话信息同步至网关设备,网关设备通过接收到的会话信息确定会话内未与其连接的待登录的远程设备。接着,反馈装置42,用于将所述未与所述网关设备连接的待登录的远程设备反馈至所述主节点,网关设备将会话内的还未与其有连接关系的待登录的远程设备反馈至主节点,从而使得主节点根据反馈的信息找到对应的从节点进行通知对应的待登录的远程设备,以完成与网关设备之间的连接。
本申请一实施例,中转数据装置44,用于从所述管理用户和/或授权用户获取同一会话内的批量处理的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,启动所述会话连接的所述网关设备的容器引擎;接收所述批量处理的通讯数据,确定所述容器引擎中待批量处理的远程设备;将所述批量处理的通讯数据通过所述容器引擎发送至所述待批量处理的远程设备。在此,由于网关设备作为中间介质连接了用户端与远程设备,其中,用户端为管理用户和/或授权用户,可按照预设的协议,再启动一个额外的机器(container)连接到网关设备上,该额外的机器为gateway镜像虚拟出的容器引擎(virtualAG),与gateway部署在同一机器上,从而实现了各个远程设备之间的互联,进而利用内部协议,在会话的生命周期内进行操作container对远程设备批量操作,例如批量复制一些文件到所有会话内的远程设备上,批量执行一些命令,如可能某些进程需要重启,则可以批量地重启,解决了到每一台机器上去操作带来的费时费力的问题及避免出现问题。
本申请一实施例中,所述容器引擎的生命周期与所述会话的生命周期一致。当远程登录完成后,管理用户或授权用户的操作指令完成,会话将自动销毁,每个会话对应的容器引擎也会随着会话自动销毁,不会出现遗留超级跳板机的可能性,为安全提供保证。
图2示出了本申请一实施例中动态管理远程登录中的反连接方式的示意图,应用于终端服务(Terminal service),提供网页版的机器登录的能力。其中,节点设备tsmcluster为机器管理机器,远程设备host1和host2为需要远程登录和批量操作的目标机器,网关设备tsg host为真正进行数据传输的网关(gateway),主节点TS MMaster为会话管理中的主人,负责会话管理等重要任务并接收agent的连接,而从节点TS SMaster负责接收Agent的长连接,并通过连接到MMaster的方式与主人进行交流;TJ API为接口设备,对外提供应用程序编程接口,负责鉴权并访问ts的内部系统,对会话进行操作,通过http进行访问。本申请采用图2中的连接方式进行远程登录以及可实现动态权限管理和会话生命周期管理的具体实现步骤为:
步骤S1,在被管理的集群上,部署TS Agent,这些Agent会通过长连接的形式连接到tsm cluster上的某台机器上等待命令;步骤S2,当用户需要远程登录到某台目标机器时,TJ API对该用户进行鉴权,对该用户的身份信息进行认证,若该用户拥有登录目标机器的权限,则将获取到的该用户的信息发送至tsm cluster中的机器,此时,MMaster创建会话session,会话内包括需要登录的机器信息,如需要登录机器1,2,3三台机器的host name,会话的属性信息包括通过身份认证的用户为会话的owner,用户列表以及会话的销毁时间,需要说明的是,若需要修改会话的属性信息,则通过TJ API进行修改,而只有会话的owner才具有修改会话的属性信息的权限;步骤S3,tsm cluster上的MMaster将包括机器1和机器2的信息的会话同步到gateway上,gateway做准备,因为gateway通常不允许共享和连接数据,如登录、流量等是不接收的,因此只有接收到MMaster的同步会话才会对应接收会话内需要登录机器的数据、流量等起到连接作用,在此,当会话的属性信息被修改时,也会将修改后的会话属性信息同步至gateway;步骤S4,在gateway接收到MMaster的同步会话后还要判断会话中的机器是否连接上了,若没有,则通知MMaster;步骤S5,MMaster接收到gateway的通知后,通知对应的SMaster去将未连接的信息告知对应机器上的Agent,比如,gateway上没有机器1和机器2的连接信息,则MMaster找到与机器1和机器2建立长连接的SMaster1,让它去通知机器1的Agent和机器2的Agent;步骤S6,TS Agent获得SMaster发送来的连接通知后,启动会话管理节点TS Slave连接到已经做好准备的tsg host的TS gateway;步骤S7,管理用户或授权用户通过虚拟IP地址(VIP)和认证网页(TS Portal)连接TS gateway,从而实现间接与目标机器的TS Slave进行通信,实现远程登录。
另外,还可以利用高级容器引擎docker启动的virtual AG连接本机的TSGateway,其中,virtual AG为虚拟管理网关(virtual admin gateway),用于对会话中的机器做批量操作,virtual AG与gateway之间的连接通过部署在tsg集群上的进程间通信(domain socket)连接,提高安全性,而在virtual AG中放置了批量操作的工具,这些工具按照TS的内部协议发送数据包,用户可以连接virtual AG来发布批量操作的命令。gateway还会根据同步来的会话的属性信息进行访问MMaster,当达到session的销毁时间时,gateway则访问MMaster请求删除该session,每一个session的virtual AG也会随之自动销毁,不会出现遗留跳板机的可能性。
综上所述,在上述过程中,由于使用了TS Agent主动连接到tsm cluster的方式等待命令,从而不需要在目标机器上开任何端口来获取信息,保证了数据获取的及时性,在TSAgent收到连接要求时通知TS Slave连接到gateway建立长连接,便可以实现登录机器的shell(系统命令行)的操作了;另外,使用virtual AG对目标机器进行批量操作,由于virtual AG的自动销毁进一步保障了安全,使权限得以有效回收。本申请所述的远程登录的方法适合如云计算这样的运维部署归属公司或其他组织管理的机器群,比如某一服务平台的服务器集群,机器数量非常庞大,运维人员会有登录到任何一台机器做操作的可能性,利用本申请的登录方式只需要部署TS Agent到目标机器上,不需要在目标机器上开端口,有效降低了对目标机器的访问风险。
通过在TJ API对用户进行鉴权,使得权限系统从目标机器提升到一个额外的权限系统,在TJ API可以定制化定义权限,可以集群、产品等进行配置,从而更加的灵活,且引入session的管理单元后,可以以session作为单元进行管理,进一步提高灵活性和对用户行为的限制,将用户的行为限制在session内,可以更改和删除session等来管理session的属性和生命周期,实现动态权限管理和生命周期的管理。
根据本申请另一个方面,还提供了一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
从管理用户获取创建的会话信息,其中,所述会话信息包括登录用户列表和待登录的远程设备,所述登录用户列表包括所述管理用户的身份信息;
基于所述管理用户的身份信息,判断所述管理用户是否拥有所述待登录的远程设备的权限,若有,则将所述管理用户的创建的会话信息发送至节点设备。
根据本申请再一个方面,还提供了一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
与远程设备建立连接;
从接口设备获取管理用户创建的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;
从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。
根据本申请又一个方面,还提供了一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
与节点设备建立连接;
接收所述节点设备发送的与所述网关设备进行会话连接的通知;
根据所述通知与所述网关设备建立会话连接;
通过所述会话连接从所述网关设备获取同一会话内的通讯数据,所述通讯数据由所述网关设备从管理用户或所述管理用户的授权用户获取。
根据本申请另一个方面,还提供一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收节点设备同步的管理用户的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
基于所述会话信息中待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备,并反馈至所述节点设备;
与所述未与所述网关设备连接的待登录的远程设备建立会话连接;
从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本申请的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。

Claims (64)

1.一种在接口设备端用于管理远程登录的方法,其中,所述方法包括:
从管理用户获取创建的会话信息,其中,所述会话信息包括登录用户列表和待登录的远程设备,所述登录用户列表包括所述管理用户的身份信息;
基于所述管理用户的身份信息,判断所述管理用户是否拥有所述待登录的远程设备的权限,若有,则将所述管理用户的创建的会话信息发送至节点设备;
其中,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
所述节点设备用于:
根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;
从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。
2.根据权利要求1所述的方法,其中,将所述管理用户创建的会话信息发送至节点设备之后,还包括:
从管理用户获取对所述会话信息的修改信息,将所述修改信息发送至节点设备登录用户列表。
3.根据权利要求2所述的方法,其中,所述修改信息包括如下至少一项:
在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;
添加或修改所述待登录的远程设备。
4.一种在节点设备端用于管理远程登录的方法,其中,所述方法包括:
与远程设备建立连接;
从接口设备获取管理用户创建的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;
从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。
5.根据权利要求4所述的方法,其中,通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接之后,包括:
获取网关设备基于所述会话的销毁时间生成的会话删除请求;
删除所述会话及对应的会话信息;
向所述网关设备发送会话信息的删除通知。
6.根据权利要求4所述的方法,其中,将所述会话信息同步至网关设备之后,还包括:
从接口设备获取管理用户对所述会话信息的修改信息,根据所述修改信息对所述会话信息进行修改,将修改后的会话信息同步至网关设备。
7.根据权利要求6所述的方法,其中,从接口设备获取管理用户对所述会话信息的修改信息,根据所述修改信息对所述会话信息进行修改,包括:
从接口设备获取管理用户对所述会话信息的修改信息;
对所述管理用户进行身份认证,认证通过后,根据所述修改信息对所述会话信息进行修改。
8.根据权利要求6所述的方法,其中,所述修改信息包括如下至少一项:
在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;
添加或修改所述待登录的远程设备。
9.根据权利要求4所述的方法,其中,所述会话的销毁时间包括如下至少一项:
所述会话的最长销毁时间;
登录用户列表中的所述管理用户和/或授权用户停止使用会话后的销毁会话判定时间,其中,所述销毁会话判定时间小于等于所述最长销毁时间。
10.根据权利要求4所述的方法,其中,与所述远程设备建立连接中,所述连接为长连接。
11.根据权利要求4所述的方法,其中,所述节点设备包括主节点,从接口设备获取管理用户创建的会话信息,包括:
所述主节点从接口设备获取管理用户创建的会话信息;
根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,包括:
所述主节点根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话。
12.根据权利要求11所述的方法,其中,所述节点设备还包括与主节点连接的从节点,与所述远程设备建立连接,包括:
所述主节点控制所述从节点与对应的远程设备建立连接。
13.根据权利要求12所述的方法,其中,从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接,包括:
所述主节点接收所述网关设备所反馈的未与所述网关设备连接的待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备连接的从节点;
所述从节点通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。
14.一种在远程设备端用于管理远程登录的方法,其中,所述方法包括:
与节点设备建立连接;
接收所述节点设备发送的与网关设备进行会话连接的通知;
根据所述通知与所述网关设备建立会话连接;
通过所述会话连接从所述网关设备获取同一会话内的通讯数据,所述通讯数据由所述网关设备从管理用户或所述管理用户的授权用户获取;
其中,所述网关设备用于:
与未与所述网关设备连接的待登录的远程设备建立会话连接;
从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备。
15.根据权利要求14所述的方法,其中,与所述节点设备建立连接中,所述连接为长连接。
16.根据权利要求14所述的方法,其中,所述远程设备包括代理服务,与节点设备建立连接,包括:
所述代理服务与所述节点设备建立连接。
17.根据权利要求16所述的方法,其中,当所述节点设备包括主节点、与所述主节点连接的从节点时,
所述代理服务与所述从节点建立连接。
18.根据权利要求17所述的方法,其中,所述远程设备还包括与所述代理服务连接的会话管理从节点,接收所述节点设备发送的与所述网关设备进行会话连接的通知,包括:
所述代理服务接收所述节点设备发送的与所述网关设备进行会话连接的通知,并确定所述会话连接对应的会话管理从节点。
19.根据权利要求18所述的方法,其中,根据所述通知与所述网关设备建立会话连接,包括:
所述代理服务控制所述会话管理从节点,以使所述会话管理从节点与所述网关设备进行会话连接。
20.一种在网关设备端用于管理远程登录的方法,其中,所述方法包括:
接收节点设备同步的管理用户的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
基于所述会话信息中待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备,并反馈至所述节点设备;
与所述未与所述网关设备连接的待登录的远程设备建立会话连接;
从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备。
21.根据权利要求20所述的方法,其中,判断所述会话是否达到所述销毁时间,若是,向所述节点设备发送删除会话请求;
从所述节点设备接收所述会话信息的删除通知,基于所述删除通知删除所述会话信息。
22.根据权利要求20所述的方法,其中,接收节点设备同步的管理用户的会话信息之后,还包括:
接收节点设备同步的管理用户的修改后的会话信息。
23.根据权利要求22所述的方法,其中,所述修改后的会话信息包括如下至少一项:
在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;
添加或修改所述待登录的远程设备。
24.根据权利要求20所述的方法,其中,所述会话的销毁时间包括如下至少一项:
所述会话的最长销毁时间;
登录用户列表中的所述管理用户和/或授权用户停止使用会话后的销毁会话判定时间,其中,所述销毁会话判定时间小于等于所述最长销毁时间。
25.根据权利要求20所述的方法,其中,当所述远程设备包括代理服务和与所述代理服务连接的会话管理从节点时,与所述未与所述网关设备连接的待登录的远程设备建立会话连接,包括:
与所述未与所述网关设备连接的待登录的远程设备的会话管理从节点建立会话连接。
26.根据权利要求25所述的方法,其中,通过所述会话连接将所述通讯数据发送到远程设备,包括:
通过所述会话连接将所述通讯数据发送到所述会话管理从节点。
27.根据权利要求20所述的方法,其中,所述节点设备包括主节点,接收节点设备同步的管理用户的会话信息,包括:
接收所述主节点同步的管理用户的会话信息。
28.根据权利要求27所述的方法,其中,确定未与所述网关设备连接的待登录的远程设备,并反馈至所述节点设备,包括:
确定未与所述网关设备连接的待登录的远程设备,并反馈至所述主节点。
29.根据权利要求20至28中任意一项所述的方法,其中,从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备,包括:
从所述管理用户和/或授权用户获取同一会话内的批量处理的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,
启动所述会话连接的所述网关设备的容器引擎;
接收所述批量处理的通讯数据,确定所述容器引擎中待批量处理的远程设备;
将所述批量处理的通讯数据通过所述容器引擎发送至所述待批量处理的远程设备。
30.根据权利要求29所述的方法,其中,所述容器引擎的生命周期与所述会话的销毁时间一致。
31.一种用于管理远程登录的接口设备,其中,所述接口设备包括:
获取信息装置,用于从管理用户获取创建的会话信息,其中,所述会话信息包括登录用户列表和待登录的远程设备,所述登录用户列表包括所述管理用户的身份信息;
鉴权装置,用于基于所述管理用户的身份信息,判断所述管理用户是否拥有所述待登录的远程设备的权限,若有,则将所述管理用户的创建的会话信息发送至节点设备;
其中,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
所述节点设备用于:
根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;
从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。
32.根据权利要求31所述的接口设备,其中,所述接口设备还包括:
更新装置,用于从管理用户获取对所述会话信息的修改信息,将所述修改信息发送至节点设备登录用户列表。
33.根据权利要求32所述的接口设备,其中,所述修改信息包括如下至少一项:
在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;
添加或修改所述待登录的远程设备。
34.一种用于管理远程登录的节点设备,其中,所述节点设备包括:
连接装置,用于与远程设备建立连接;
接收装置,用于从接口设备获取管理用户创建的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
创建装置,用于根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;
通知装置,用于从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。
35.根据权利要求34所述的节点设备,其中,所述节点设备包括:
获取请求装置,用于获取网关设备基于所述会话的销毁时间生成的会话删除请求;
删除装置,用于删除所述会话及对应的会话信息;
同步通知装置,向所述网关设备发送会话信息的删除通知。
36.根据权利要求34所述的节点设备,其中,所述节点设备还包括:
修改装置,用于从接口设备获取管理用户对所述会话信息的修改信息,根据所述修改信息对所述会话信息进行修改,将修改后的会话信息同步至网关设备。
37.根据权利要求36所述的节点设备,其中,所述修改装置用于:
从接口设备获取管理用户对所述会话信息的修改信息;
对所述管理用户进行身份认证,认证通过后,根据所述修改信息对所述会话信息进行修改。
38.根据权利要求36所述的节点设备,其中,所述修改信息包括如下至少一项:
在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;
添加或修改所述待登录的远程设备。
39.根据权利要求34所述的节点设备,其中,所述会话的销毁时间包括如下至少一项:
所述会话的最长销毁时间;
登录用户列表中的所述管理用户和/或授权用户停止使用会话后的销毁会话判定时间,其中,所述销毁会话判定时间小于等于所述最长销毁时间。
40.根据权利要求34所述的节点设备,其中,与所述远程设备建立连接中,所述连接为长连接。
41.根据权利要求34所述的节点设备,其中,所述节点设备包括主节点,所述接收装置用于:
所述主节点从接口设备获取管理用户创建的会话信息;
所述创建装置用于:
所述主节点根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话。
42.根据权利要求41所述的节点设备,其中,所述节点设备还包括与主节点连接的从节点,所述连接装置用于:
所述主节点控制所述从节点与对应的远程设备建立连接。
43.根据权利要求42所述的节点设备,其中,所述通知装置用于:
所述主节点接收所述网关设备所反馈的未与所述网关设备连接的待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备连接的从节点;
所述从节点通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。
44.一种用于管理远程登录的远程设备,其中,所述远程设备包括:
连接请求装置,用于与节点设备建立连接;
接收通知装置,用于接收所述节点设备发送的与网关设备进行会话连接的通知;
会话连接装置,用于根据所述通知与所述网关设备建立会话连接;
获取装置,用于通过所述会话连接从所述网关设备获取同一会话内的通讯数据,所述通讯数据由所述网关设备从管理用户或所述管理用户的授权用户获取;
其中,所述网关设备用于:
与未与所述网关设备连接的待登录的远程设备建立会话连接;
从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备。
45.根据权利要求44所述的远程设备,其中,与所述节点设备建立连接中,所述连接为长连接。
46.根据权利要求44所述的远程设备,其中,所述远程设备包括代理服务,所述连接请求装置用于:
所述代理服务与所述节点设备建立连接。
47.根据权利要求46所述的远程设备,其中,当所述节点设备包括主节点、与所述主节点连接的从节点时,
所述代理服务与所述从节点建立连接。
48.根据权利要求47所述的远程设备,其中,所述远程设备还包括与所述代理服务连接的会话管理从节点,所述接收通知装置用于:
所述代理服务接收所述节点设备发送的与所述网关设备进行会话连接的通知,并确定所述会话连接对应的会话管理从节点。
49.根据权利要求48所述的远程设备,其中,所述会话连接装置用于:
所述代理服务控制所述会话管理从节点,以使所述会话管理从节点与所述网关设备进行会话连接。
50.一种用于管理远程登录的网关设备,其中,所述网关设备包括:
确定装置,用于接收节点设备同步的管理用户的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
反馈装置,用于基于所述会话信息中待登录的远程设备,确定未与所述网关设备连接的待登录的远程设备,并反馈至所述节点设备;
接收连接请求装置,用于与所述未与所述网关设备连接的待登录的远程设备建立会话连接;
中转数据装置,用于从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备。
51.根据权利要求50所述的网关设备,其中,判断所述会话是否达到所述销毁时间,若是,向所述节点设备发送删除会话请求;
从所述节点设备接收所述会话信息的删除通知,基于所述删除通知删除所述会话信息。
52.根据权利要求50所述的网关设备,其中,所述网关设备还包括:
接收修改装置,用于接收节点设备同步的管理用户的修改后的会话信息。
53.根据权利要求52所述的网关设备,其中,所述修改后的会话信息包括如下至少一项:
在所述登录用户列表中添加或修改所述管理用户的授权用户的身份信息;
添加或修改所述待登录的远程设备。
54.根据权利要求50所述的网关设备,其中,所述会话的销毁时间包括如下至少一项:
所述会话的最长销毁时间;
登录用户列表中的所述管理用户和/或授权用户停止使用会话后的销毁会话判定时间,其中,所述销毁会话判定时间小于等于所述最长销毁时间。
55.根据权利要求50所述的网关设备,其中,当所述远程设备包括代理服务和与所述代理服务连接的会话管理从节点时,所述接收连接请求装置用于:
与所述未与所述网关设备连接的待登录的远程设备的会话管理从节点建立会话连接。
56.根据权利要求55所述的网关设备,其中,所述中转数据装置用于:
通过所述会话连接将所述通讯数据发送到所述会话管理从节点。
57.根据权利要求50所述的网关设备,其中,所述节点设备包括主节点,所述确定装置用于:
接收所述主节点同步的管理用户的会话信息。
58.根据权利要求57所述的网关设备,其中,所述反馈装置用于:
确定未与所述网关设备连接的待登录的远程设备,并反馈至所述主节点。
59.根据权利要求50至58中任意一项所述的网关设备,其中,所述中转数据装置用于:
从所述管理用户和/或授权用户获取同一会话内的批量处理的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,
启动所述会话连接的所述网关设备的容器引擎;
接收所述批量处理的通讯数据,确定所述容器引擎中待批量处理的远程设备;
将所述批量处理的通讯数据通过所述容器引擎发送至所述待批量处理的远程设备。
60.根据权利要求59所述的网关设备,其中,所述容器引擎的生命周期与所述会话的销毁时间一致。
61.一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
从管理用户获取创建的会话信息,其中,所述会话信息包括登录用户列表和待登录的远程设备,所述登录用户列表包括所述管理用户的身份信息;
基于所述管理用户的身份信息,判断所述管理用户是否拥有所述待登录的远程设备的权限,若有,则将所述管理用户的创建的会话信息发送至节点设备;
其中,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
所述节点设备用于:
根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;
从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。
62.一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
与远程设备建立连接;
从接口设备获取管理用户创建的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
根据所述登录用户列表、待登录的远程设备和会话的销毁时间,创建对应的会话,将所述会话信息同步至网关设备;
从所述网关设备获取基于所述会话信息所反馈的未与所述网关设备连接的待登录的远程设备,通过所述连接通知所述未与所述网关设备连接的待登录的远程设备与所述网关设备进行会话连接。
63.一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
与节点设备建立连接;
接收所述节点设备发送的与网关设备进行会话连接的通知;
根据所述通知与所述网关设备建立会话连接;
通过所述会话连接从所述网关设备获取同一会话内的通讯数据,所述通讯数据由所述网关设备从管理用户或所述管理用户的授权用户获取;
其中,所述网关设备用于:
与未与所述网关设备连接的待登录的远程设备建立会话连接;
从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备。
64.一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收节点设备同步的管理用户的会话信息,所述会话信息包括登录用户列表、待登录的远程设备和会话的销毁时间,所述登录用户列表包括所述管理用户和所述管理用户的授权用户的身份信息;
基于所述会话信息中待登录的远程设备,确定未与网关设备连接的待登录的远程设备,并反馈至所述节点设备;
与所述未与所述网关设备连接的待登录的远程设备建立会话连接;
从所述管理用户和/或授权用户获取同一会话内的通讯数据,判断所述会话是否达到所述会话的销毁时间,若否,通过所述会话连接将所述通讯数据发送到对应的远程设备。
CN201710049428.9A 2017-01-23 2017-01-23 一种管理远程登录的方法及设备 Active CN108347449B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710049428.9A CN108347449B (zh) 2017-01-23 2017-01-23 一种管理远程登录的方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710049428.9A CN108347449B (zh) 2017-01-23 2017-01-23 一种管理远程登录的方法及设备

Publications (2)

Publication Number Publication Date
CN108347449A CN108347449A (zh) 2018-07-31
CN108347449B true CN108347449B (zh) 2021-05-07

Family

ID=62974815

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710049428.9A Active CN108347449B (zh) 2017-01-23 2017-01-23 一种管理远程登录的方法及设备

Country Status (1)

Country Link
CN (1) CN108347449B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109286626B (zh) * 2018-09-29 2021-06-11 张瑞 一种信息处理方法、本地设备、远程设备和信息处理系统
CN113922984B (zh) * 2021-09-02 2024-02-02 成都安恒信息技术有限公司 一种客户端应用的网络访问识别和管控方法
CN114363395A (zh) * 2021-12-31 2022-04-15 深圳金蝶账无忧网络科技有限公司 会话处理方法、装置及计算机可读存储介质
CN114500023A (zh) * 2022-01-18 2022-05-13 江苏银承网络科技股份有限公司 多云环境下的堡垒机访问控制方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1787513A (zh) * 2004-12-07 2006-06-14 上海鼎安信息技术有限公司 安全远程访问系统和方法
CN201682522U (zh) * 2010-02-08 2010-12-22 阿里巴巴集团控股有限公司 会话信息存储系统及应用服务器
CN102238547A (zh) * 2011-07-19 2011-11-09 华为软件技术有限公司 控制用户会话的方法、会话服务器、aaa服务器和系统
CN103812940A (zh) * 2014-02-19 2014-05-21 浪潮软件股份有限公司 集群会话的集中式管理方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8893248B2 (en) * 2008-12-12 2014-11-18 Tekelec, Inc. Methods, systems, and computer readable media for media session policy compliance auditing and enforcement using a media relay and session initiation protocol (SIP) signaling

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1787513A (zh) * 2004-12-07 2006-06-14 上海鼎安信息技术有限公司 安全远程访问系统和方法
CN201682522U (zh) * 2010-02-08 2010-12-22 阿里巴巴集团控股有限公司 会话信息存储系统及应用服务器
CN102238547A (zh) * 2011-07-19 2011-11-09 华为软件技术有限公司 控制用户会话的方法、会话服务器、aaa服务器和系统
CN103812940A (zh) * 2014-02-19 2014-05-21 浪潮软件股份有限公司 集群会话的集中式管理方法

Also Published As

Publication number Publication date
CN108347449A (zh) 2018-07-31

Similar Documents

Publication Publication Date Title
US11907359B2 (en) Event-based user state synchronization in a local cloud of a cloud storage system
WO2021036265A1 (zh) 一种边缘云的融合管理的方法及装置
CN108347449B (zh) 一种管理远程登录的方法及设备
EP3073699B1 (en) System and method for controlling mutual access of smart devices
US8141143B2 (en) Method and system for providing remote access to resources in a secure data center over a network
US7143136B1 (en) Secure inter-company collaboration environment
CN104754582B (zh) 维护byod安全的客户端及方法
US20070223398A1 (en) Method for Implementing Grouping Devices and Interacting Among Grouped Devices
CN108347450B (zh) 一种远程登录的方法及设备
CN109861973B (zh) 信息传输方法、装置、电子设备及计算机可读介质
JP2013048472A (ja) プライベートネットワークシステム及び方法
US8055780B2 (en) Method of managing information and information processing apparatus
JP4339234B2 (ja) Vpn接続構築システム
JP2014186655A (ja) 携帯型情報端末装置、プログラム及びサービス利用システム
CN109257392B (zh) 一种命令处理方法、装置、服务器和存储介质
CN112187532A (zh) 一种节点管控方法及系统
US11729334B2 (en) Communication system, device, and recording medium for remote access to electronic device through relaying device and converter
KR101526653B1 (ko) 비밀 디지털 콘텐츠에 액세스하는 시스템 및 방법
CN116743850B (zh) 基于物联网平台的设备自发现方法、装置、计算机设备和存储介质
US11824942B2 (en) Communication system, information processing apparatus, and information processing method
CN115840937A (zh) 控制方法、装置及电子设备
CN114095280B (zh) 云平台服务器通信通道构建、通信方法、装置及服务器
JP2022146334A (ja) 情報処理システム、画像形成装置及びプログラム
JP2022114574A (ja) 画像処理システム及びプログラム
CN114050911B (zh) 一种容器远程登录方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant