CN108600156A - 一种服务器及安全认证方法 - Google Patents
一种服务器及安全认证方法 Download PDFInfo
- Publication number
- CN108600156A CN108600156A CN201810189375.5A CN201810189375A CN108600156A CN 108600156 A CN108600156 A CN 108600156A CN 201810189375 A CN201810189375 A CN 201810189375A CN 108600156 A CN108600156 A CN 108600156A
- Authority
- CN
- China
- Prior art keywords
- node
- instant
- management
- authentication data
- management node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种服务器及安全认证方法,该服务器可包括:管理节点和至少一个实例节点,所述管理节点用于对所述至少一个实例节点进行管理,所述至少一个实例节点包括第一实例节点,其中,所述管理节点通过SSH通道向所述第一实例节点发送第一认证数据,以将所述第一认证数据存储至所述第一实例节点;所述管理节点向所述第一实例节点发送第一连接请求,所述第一连接请求携带所述第一认证数据;所述第一实例节点判断所述第一连接请求中的第一认证数据与存储的第一认证数据是否一致;若一致,所述第一实例节点与所述管理节点建立第一连接。采用本申请,可以保证云数据库服务器中管理面对大规模实例的状态进行监控过程的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种服务器及安全认证方法。
背景技术
互联网技术的迅猛发展,手机、平板、智能电视等各种输入终端的普及,让互联网数据呈现出爆炸性的增长。面对海量的数据,如何能以更加稳定、快速的方式存储海量数据,以及从中挖掘出有价值的信息,成为很多企业面临的新课堂。云存储的出现为数据挖掘快速的发展带来了新的机遇。
云数据库服务作为云存储中非常重要的一部分。其中,云数据库服务中的关系型数据库服务(Relational Database Service,RDS)是一种稳定可靠、可弹性伸缩的在线数据库服务,采用即开即用方式并提供了数据库在线扩容、备份回滚、性能监控及分析等功能。RDS实际就是将数据库的创建、管理、快照、性能、备份、恢复等底层维护交给云管理,云只提供数据库的使用接口给用户。从而将耗时费力的数据库管理任务承担下来,使用户能够专心于应用开发和业务发展。
在RDS中,管理面和实例面在不同的信任域中,而管理面又需要大规模的监控实例状态。即管理面需要与实例面建立连接关系,因此,需要充分考虑不同信任域之间连接的安全性。然而,管理面资源有限,若通过少量监控节点监控大量实例,可能会导致监控节点自身的高可用性(High Availability,HA)降低,并且,会对监控规模带来瓶颈。例如,现有技术中基于Zookeeper架构的集中监控方案,是通过在管理面开放监听端口,大量实例通过该开放的监听端口来主动连接管理节点,从而使得管理节点通过该连接来监控实例。该集中监控方案安全风险高,且监控规模小(目前最大通常是一千个左右)无法达到更大规模。因此,如何提供一种安全、轻量级的监控机制是亟待解决的问题。
发明内容
本发明实施例提供一种服务器及安全认证方法,以保证云数据库服务器中管理面对大规模实例的状态进行监控过程的安全性。
第一方面,本发明实施例提供了一种服务器,其特征在于,可包括管理节点和至少一个实例节点,所述管理节点用于对所述至少一个实例节点进行管理,所述至少一个实例节点包括第一实例节点,其中
所述管理节点通过SSH通道向所述第一实例节点发送第一认证数据,以将所述第一认证数据存储至所述第一实例节点,所述SSH通道为所述第一实例节点的安全访问通道;所述管理节点向所述第一实例节点发送第一连接请求,所述第一连接请求携带所述第一认证数据;所述第一实例节点判断所述第一连接请求中的第一认证数据与存储的第一认证数据是否一致;若一致,所述第一实例节点与所述管理节点建立第一连接,所述第一连接用于所述管理节点管理所述第一实例节点。
本发明实施例,由于当管理节点成功通过第一实例节点的SSH安全通道将第一认证数据存储至第一实例节点时,则可以同时验证管理节点和第一实例节点的安全合法性,原因在于,合法的实例节点的SSH通道的访问用户名和密码才会存储在管理数据库中,且只有安全合法的管理节点才可以访问到管理数据库获取到该用户名和密码。因此,在认证了两者安全合法性之后,管理节点将之前通过SSH通道发送至第一实例节点的第一认证数据作为凭据再次携带在监控管理连接请求中,便可以使得第一实例节点确认是之前认证过合法性的管理节点发送过来的,因此可以建立安全的监控管理连接。
在一种可能的实现方式中,所述管理节点通过SSH通道向所述第一实例节点发送第一认证数据之前,还包括:所述管理节点获取所述SSH通道的连接用户名和密码;所述管理节点利用所述连接用户名和密码通过验证后,连接所述第一实例节点的所述SSH通道。在该实现方式中,
在一种可能的实现方式中,所述服务器还包括管理数据库;所述SSH通道的连接用户名和密码存储于所述管理数据库;所述管理节点获取所述SSH通道的连接用户名和密码,包括:所述管理节点从所述管理数据库获取所述SSH通道的连接用户名和密码。
在一种可能的实现方式中,所述管理节点向所述第一实例节点发送第一连接请求之前,还包括:所述管理节点生成所述第一认证数据,所述第一认证数据为安全随机数。
在一种可能的实现方式中,所述第一实例节点还通过所述第一连接向所述管理节点反馈所述第一实例节点的心跳消息。
在一种可能的实现方式中,当所述心跳消息指示所述第一实例节点运行状态异常,所述管理节点通过所述SSH通道查询所述第一实例节点的运行状态是否异常;若异常,所述管理节点执行所述第一实例节点的备用节点的切换操作。
第二方面,本发明实施例提供了一种安全认证方法,应用于服务器中,所述服务器包括管理节点和至少一个实例节点,所述管理节点用于对所述至少一个实例节点进行管理,所述至少一个实例节点包括第一实例节点;所述方法可包括:
所述管理节点通过SSH通道向所述第一实例节点发送第一认证数据,以将所述第一认证数据存储至所述第一实例节点,所述SSH通道为所述第一实例节点的安全访问通道;所述管理节点向所述第一实例节点发送第一连接请求,所述第一连接请求携带所述第一认证数据;在所述第一连接请求中的第一认证数据和所述第一实例节点存储的第一认证数据一致的情况下,所述管理节点与所述第一实例节点建立第一连接,所述第一连接用于所述管理节点管理所述第一实例节点。
在一种可能的实现方式中,所述管理节点通过SSH通道向所述第一实例节点发送第一认证数据之前,还包括:所述管理节点获取所述SSH通道的连接用户名和密码;所述管理节点利用所述连接用户名和密码通过验证后,连接所述第一实例节点的SSH通道。
在一种可能的实现方式中,所述管理节点向所述实例节点发送第一连接请求之前,还包括:所述管理节点生成所述第一认证数据,所述第一认证数据为安全随机数。
在一种可能的实现方式中,所述方法还包括:所述管理节点接收所述第一实例节点通过所述第一连接反馈的所述第一实例节点的心跳消息;当所述心跳消息指示所述第一实例节点的运行状态异常,所述管理节点通过所述SSH通道查询所述第一实例节点的运行状态是否异常;若异常,所述管理节点执行所述第一实例节点的备用节点的切换操作。
第三方面,本发明实施例提供了一种安全认证方法,应用于服务器中,所述服务器包括管理节点和至少一个实例节点,所述管理节点用于对所述至少一个实例节点进行管理,所述至少一个实例节点包括第一实例节点;所述方法可包括:
所述第一实例节点接收管理节点通过SSH通道发送第一认证数据,以将所述第一认证数据存储至所述第一实例节点,所述SSH通道为所述第一实例节点的安全访问通道;所述第一实例节点接收管理节点发送第一连接请求,所述第一连接请求携带所述第一认证数据;所述第一实例节点判断所述第一连接请求中的第一认证数据与存储的第一认证数据是否一致;若一致,所述第一实例节点与所述管理节点建立第一连接,所述第一连接用于所述管理节点管理所述实例节点。
在一种可能的实现方式中,所述方法还包括:所述第一实例节点通过所述第一连接向所述管理节点反馈所述第一实例节点的心跳消息。
第四方面,本申请提供一种服务器,该服务器具有实现上述第二方面或第三方面提供的安全认证方法实施例中相应的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第五方面,本申请提供一种服务器,该服务器中包括处理器,处理器被配置为支持该服务器执行第二方面或第三方面提供的安全认证方法实施例中相应的功能。该服务器还可以包括存储器,存储器用于与处理器耦合,其保存该服务器必要的程序指令和数据。该服务器还可以包括通信接口,用于该服务器与其他设备或服务器通信。
第六方面,本申请提供一种计算机存储介质,用于储存为上述第一方面提供的服务器所用的计算机软件指令,该计算机软件指令包含用于执行上述第二方面或第三方面提供的安全认证方法实施例中所涉及的程序。
第七方面,本发明实施例提供了一种计算机程序,该计算机程序包括指令,当该计算机程序被计算机执行时,使得计算机可以执行上述第二方面或第三方面中任意一项的安全认证方法。
附图说明
为了更清楚地说明本发明实施例或背景技术中的技术方案,下面将对本发明实施例或背景技术中所需要使用的附图进行说明。
图1是本发明实施例提供的一种基于集中监控方案的RDS实例部署架构图;
图2是本发明实施例提供的另一种的基于集中监控方案的RDS实例部署架构图;
图3是本发明实施例提供的又一种的基于集中监控方案的RDS实例部署架构图;
图4是本发明实施例提供的一种安全认证方法的流程示意图;
图5是本发明实施例提供的一种网络设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例进行描述。
本申请的说明书和权利要求书及所述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在本说明书中使用的术语“部件”、“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如,部件可以是但不限于,在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。通过图示,在计算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程和/或执行线程中,部件可位于一个计算机上和/或分布在2个或更多个计算机之间。此外,这些部件可从在上面存储有各种数据结构的各种计算机可读介质执行。部件可例如根据具有一个或多个数据分组(例如来自与本地系统、分布式系统和/或网络间的另一部件交互的二个部件的数据,例如通过信号与其它系统交互的互联网)的信号通过本地和/或远程进程来通信。
首先,对本申请中的部分用语进行解释说明,以便于本领域技术人员理解。
(1)关系型数据库服务(Relational Database Service,RDS)管理系统,是一种即开即用、稳定可靠、可弹性伸缩的在线数据库服务。具有多重安全防护措施和完善的性能监控体系,并提供专业的数据库备份、恢复及优化方案。
(2)高可用性(High Availability,HA)集群(Cluster)通过一组物理主机提供透明的冗余处理能力,从而实现不间断应用的目标。其中,HA集群是共同为客户端提供网络资源的一组物理主机,每一台提供网络资源的物理主机称为节点,当一个物理主机不可用或者不能处理客户端的请求时,该物理主机提供的网络资源会及时转到另外可用物理主机来处理,而这些对于用户是透明的,用户不需要关心要使用的网络资源的具体位置,由HA集群自动完成。HA集群软件是架构在操作系统之上的程序,其主要由守护进程、应用程序代理、管理工具、开发脚本等四部分构成。
(3)Zookeeper顾名思义动物园管理员,在计算机技术领域中Zookeeper是一个针对大型分布式系统的可靠协调系统,提供的功能包括:配置维护、名字服务、分布式同步、组服务等。分布式协调服务Zookeeper是一种高性能、高可用,且具有严格的顺序访问控制能力的分布式服务。在目前,常利用Zookeeper对多台服务器中的所有进程配置信息进行集中管理。
(4)安全外壳协议(Secure Shell Protocol,SSH)是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议。最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。
(5)浮动IP(Floating IP,FIP):它一般是在虚拟机VM创建后分配给VM的,可以达到的目的就是,外界可以访问通过这个Floating Ip访问这个VM,VM也可以通过这个IP访问外界。有可以称为目的地址(Destination Network Address Translation,DNAT)。
(6)心跳线是HA集群系统中主从(备)节点通信的物理通道,通过HA集群软件控制确保服务数据和状态同步。HA集群软件中的心跳线有多种连接方式,例如,有的采用专用板卡和专用的连接线,有的采用串并口或USB口处理,有的采用TCP/IP网络处理,其可靠性和成本都有所不同。
(7)随机数,随机数的特点有,数字序列在统计上是随机的,不能通过已知序列来推算后面未知的序列,用于在传输过程中验证数据传输的安全性。
下面对本发明实施例所基于的服务架构进行描述。图1为本发明实施例提供的一种基于集中监控方案的RDS实例部署架构图,该架构中包括管理节点和多个Group,其中,一个Group包括至少一个主实例节点和至少一个备实例节点(图1中以一个主实例节点和一个从实例节点为例),管理节点用于对每一组Group中的主实例节点的状态进行监控。具体地,
Group,每个Group包括至少1个Master节点和至少1个Slave节点,Group采用主/从的架构,并采用主从备份机制保证数据的可靠性。在正常工作时,主实例节点处理客户机的请求,而备用节点处于空闲状态,当主实例节点出现故障时,备用节点会接管主实例节点的工作(例如,处理器进程、内存进程和磁盘数据等),继续为客户机提供服务,并且不会有任何性能上的影响。需要说明的是,本发明实施例中Group的数据库架构类型也可以包括:一主一从架构(图1中以一主一从为例)、一主多从架构、多主多从架构、一主架构、多主一从架构等类型,本申请对此不作具体限定。
管理节点:可以为Zookeeper集群中的管理节点,用于对上述每个Group进行状态监控和维护。具体地,在高可用HA架构下,管理节点主要的任务包括心跳检测和资源转移。其中,心跳检测是通过心跳线判断Master实例节点是否正常运行;资源转移,是用来将资源在备用节点和故障主实例节点之间搬动。整个运行模式就是管理节点通过心跳检测不断的在网络中检测各个指定的主实例节点是否能够正常响应,如果一旦发生设备故障,就由资源转移功能进行主/从节点的切换,实现对高可用架构的自动管理以继续提供服务,保证群集服务的高可用性。
进一步地,基于上述图1中的架构,并对图1中部分内容进行细化,图2是本发明实施例提供的另一种的基于集中监控方案的RDS实例部署架构图,图2中以一个Group以及一个对应的管理节点为例,将RDS实例部署分为管理池、客户访问池和实例池,客户访问池中的应用APP通过浮动IP(FIP)访问实例池,实例池则通过心跳线向管理池反馈实例节点的状态信息。其中,实例池又包括代理层和数据存储层,代理层能够管理本实例节点上的属于集群资源的某一资源的启动,停止和状态信息的脚本等;数据存储层则只关注业务本身的数据。因此本申请中管理节点与实例节点之间的交互,实际上都是通过管理节点与实例节点的代理层的交互来完成的,后续不再赘述。
基于上述图2中的架构,并对图2中部分内容进行细化,图3是本发明实施例提供的又一种的基于集中监控方案的RDS实例部署架构图。本发明实施例中提供的一种服务器,其特征在于,包括管理节点和至少一个实例节点,所述管理节点用于对所述至少一个实例节点进行管理,所述至少一个实例节点包括第一实例节点。例如,该服务器包括图3中的RDS实例部署架构中的管理节点、第一实例节点以及第一实例节点的备用节点。
具体地,管理节点通过SSH通道向第一实例节点发送第一认证数据,以将第一认证数据存储至第一实例节点,其中,SSH通道为第一实例节点的安全访问通道;之后管理节点向第一实例节点发送第一连接请求,该第一连接请求携带第一认证数据;第一实例节点判断第一连接请求中的第一认证数据与存储的第一认证数据是否一致;若一致,第一实例节点与管理节点建立第一连接,第一连接用于管理节点管理第一实例节点。
例如,管理节点(例如为图3中的HA monitor)在需要监控管理第一实例节点的情况下,通过实例管理的安全通道SSH通道访问到第一实例节点(例如为图3中的Master inst的SSH守护进程(SSHD))之后,通过执行设置凭据即第一认证数据的脚本命令,将第一认证数据保存到第一实例节点的本地凭据(credential)。然后,HA Monitor带上凭据即第一认证数据连接第一实例节点的HA Agent。第一实例节点的HA Agent比较该连接中携带的第一认证数据是否与凭据(credential)中存储的第一认证数据一致;若一致,则第一实例节点的HA Agent与所述管理节点建立监控管理连接。本发明实施例中,由于当管理节点成功通过第一实例节点的SSH安全通道将第一认证数据存储至第一实例节点时,则可以同时验证管理节点和第一实例节点的安全合法性,原因在于,合法的实例节点的SSH通道的访问用户名和密码才会存储在管理数据库中,且只有安全合法的管理节点才可以访问到管理数据库获取到该用户名和密码。因此,在认证了两者安全合法性之后,管理节点将之前通过SSH通道发送至第一实例节点的第一认证数据作为凭据再次携带在监控管理连接请求中,便可以使得第一实例节点确认是之前认证过合法性的管理节点发送过来的,因此可以建立安全的监控管理连接。
可选的,当第一实例节点的HA Agent比较出该连接中携带的第一认证数据与凭据(credential)中存储的第一认证数据不一致,则拒绝连接。进一步可选的,第一实例节点的HA Agent连接成功后可以删除本地凭据,以保证第一认证数据的时效性。即第一认证数据作为认证凭据虽然是明文下发给HA Agent的,但也有可能被窃取,因此,本发明实施例中将第一认证数据及时阐述,因此该第一认证数据是一次性的,因此无法被再利用,进一步的保证了认证过程的安全性。
可以理解的是,不同于现有技术中是通过在管理节点开放端口,让实例节点主动连接管理节点,本发明实施例中是通过HA Monitor主动发起连接到HA Agent,采用一次性凭据进行安全认证。由于连接之后的第一连接的通道传输的数据只是心跳消息,不是敏感数据,业务相对简单。因此,本发明实施例提供的上述服务器中的安全认证方式高效且轻量,既能支持大量实例,又能保证其安全性。由于上述安全认证方式的高效且轻量,在云计算环境中,本发明实施例提供的上述服务器在管理面资源开销小,能够对业务节点进行大规模的安全的状态监控。
在一种可能的实现方式中,管理节点通过SSH通道向第一实例节点发送第一认证数据之前,管理节点还获取SSH通道的连接用户名和密码;在获取了SSH通道的连接用户名和密码之后,管理节点利用该连接用户名和密码通过验证后,连接第一实例节点的SSH通道。可选的,本发明实施例中的服务器还包括管理数据库;所述SSH通道的连接用户名和密码存储于所述管理数据库。即安全有效的管理节点可以从所述管理数据库获取所述SSH通道的连接用户名和密码,并且通过该连接用户名和密码连接实例节点的SSH安全通道,以便于通过该SSH通道将第一认证数据发送给第一实例节点,以将该第一认证数据保存在第一实例节点本地。
在一种可能的实现方式中,管理节点向第一实例节点发送第一连接请求之前,管理节点还生成第一认证数据,该第一认证数据为安全随机数。可选的,HA Monitor生成512位的安全随机数作为认证凭据。
在一种可能的实现方式中,所述第一实例节点还通过所述第一连接向所述管理节点反馈所述第一实例节点的心跳消息。例如,第一实例节点通过HA Agent与管理节点之间的第一连接(例如心跳线Heartbeat)反馈心跳消息。
在一种可能的实现方式中,当所述心跳消息指示所述第一实例节点运行状态异常,所述管理节点通过所述SSH通道查询所述第一实例节点的运行状态是否异常;若异常,所述管理节点执行所述第一实例节点的备用节点的切换操作。由于HA Agent上报给HAMonitor的状态值,可能被篡改,导致Monitor误切,从而影响实例节点的可用性。因此本发明实施例中通过设置HA Monitor在进行备用节点切换时进行再一次确认(double-check),即通过SSH安全通道再次确认实例是否故障,如果属误报,则不执行切换。所以,由于存在double-check机制,篡改状态值攻击无法达成攻击目标。可选的,在double-check机制中,当HA Monitor检查到HA Agent上报的实例数据库状态发生异常后,访问管理数据库获取SSH通道的连接用户名和密码,通过SSH通道访问到第一实例节点后,通过执行查询实例数据库状态的脚本命令,判断第一实例节点的实例数据库的运行状态。只有当该实例数据库状态为故障时,HA Monitor才进行切换。
请参见图4,是本发明实施例提供的一种安全认证方法的流程示意图,可应用于上述图1-图3中所述的服务器,下面将结合附图4从服务器中的管理节点和第一实例节点的交互侧进行描述,该方法可以包括以下步骤S101-步骤S104。
步骤S101:管理节点通过SSH通道向所述第一实例节点发送第一认证数据,以将所述第一认证数据存储至所述第一实例节点;第一实例节点接收管理节点通过SSH通道发送第一认证数据,以将所述第一认证数据存储至所述第一实例节点;所述SSH通道为所述第一实例节点的安全访问通道。
步骤S102:管理节点向所述第一实例节点发送第一连接请求;第一实例节点接收管理节点发送第一连接请求,所述第一连接请求携带所述第一认证数据。
步骤S103:第一实例节点判断所述第一连接请求中的第一认证数据与存储的第一认证数据是否一致。
步骤S104:若一致,第一实例节点与所述管理节点建立第一连接,所述第一连接用于所述管理节点管理所述实例节点。
在一种可能的实现方式中,所述管理节点通过SSH通道向所述第一实例节点发送第一认证数据之前,还包括:所述管理节点获取所述SSH通道的连接用户名和密码;所述管理节点利用所述连接用户名和密码通过验证后,连接所述第一实例节点的SSH通道。
在一种可能的实现方式中,所述管理节点向所述实例节点发送第一连接请求之前,还包括:所述管理节点生成所述第一认证数据,所述第一认证数据为安全随机数。
在一种可能的实现方式中,所述方法还包括:所述管理节点接收所述第一实例节点通过所述第一连接反馈的所述第一实例节点的心跳消息;当所述心跳消息指示所述第一实例节点的运行状态异常,所述管理节点通过所述SSH通道查询所述第一实例节点的运行状态是否异常;若异常,所述管理节点执行所述第一实例节点的备用节点的切换操作。
在一种可能的实现方式中,所述方法还包括:所述第一实例节点通过所述第一连接向所述管理节点反馈所述第一实例节点的心跳消息。
需要说明的是,本发明实施例中所描述的安全认证方法中的具体流程以及执行主体管理节点和第一实例节点的相关功能,可参见上述图1-图3中所述的服务器实施例中的相关描述,此处不再赘述。
如图5所示,图5是本发明实施例提供的一种服务器的结构示意图。该服务器10包括至少一个处理器101,至少一个存储器102、至少一个通信接口103。此外,该设备还可以包括天线等通用部件,在此不再详述。
处理器101可以是通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制以上方案程序执行的集成电路。
通信接口103,用于与其他设备或通信网络通信,如以太网,无线接入网(RAN),无线局域网(wireless local area networks,WLAN)等。
存储器102可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,所述存储器102用于存储执行本申请中任意一种安全认证方法对应的应用程序代码,并由处理器101来控制执行。所述处理器101用于执行所述存储器102中存储的应用程序代码。
需要说明的是,本发明实施例中所描述的服务器中各功能单元的功能可参见上述图1-图4中所述的实施例的相关描述,此处不再赘述。
本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序被处理器执行时,实现上述各个方法实施例中记载的任意一种的部分或全部步骤。
本发明实施例还提供一种计算机程序产品,该计算机程序包括指令,当该计算机程序被计算机执行时,使得计算机可以实现上述各个方法实施例中记载的任意一种的部分或全部步骤。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。尽管在此结合各实施例对本申请进行了描述,然而,在实施例所要求保护的本申请过程中,本领域技术人员可理解并实现所述公开实施例的其他变化。
Claims (13)
1.一种服务器,其特征在于,包括管理节点和至少一个实例节点,所述管理节点用于对所述至少一个实例节点进行管理,所述至少一个实例节点包括第一实例节点,其中
所述管理节点通过安全外壳协议SSH通道向所述第一实例节点发送第一认证数据,以将所述第一认证数据存储至所述第一实例节点,所述SSH通道为所述第一实例节点的安全访问通道;
所述管理节点向所述第一实例节点发送第一连接请求,所述第一连接请求携带所述第一认证数据;
所述第一实例节点判断所述第一连接请求中的第一认证数据与存储的第一认证数据是否一致;
若一致,所述第一实例节点与所述管理节点建立第一连接,所述第一连接用于所述管理节点管理所述第一实例节点。
2.如权利要求1所述的服务器,其特征在于,所述管理节点通过SSH通道向所述第一实例节点发送第一认证数据之前,还包括:
所述管理节点获取所述SSH通道的连接用户名和密码;
所述管理节点利用所述连接用户名和密码通过验证后,连接所述第一实例节点的所述SSH通道。
3.如权利要求1或2所述的服务器,其特征在于,所述管理节点向所述第一实例节点发送第一连接请求之前,还包括:
所述管理节点生成所述第一认证数据,所述第一认证数据为安全随机数。
4.如权利要求1-3任意一项所述的服务器,其特征在于,所述第一实例节点还通过所述第一连接向所述管理节点反馈所述第一实例节点的心跳消息。
5.如权利要求4所述的服务器,其特征在于,
当所述心跳消息指示所述第一实例节点运行状态异常,所述管理节点通过所述SSH通道查询所述第一实例节点的运行状态是否异常;
若异常,所述管理节点执行所述第一实例节点的备用节点的切换操作。
6.一种安全认证方法,其特征在于,应用于服务器中,所述服务器包括管理节点和至少一个实例节点,所述管理节点用于对所述至少一个实例节点进行管理,所述至少一个实例节点包括第一实例节点;所述方法包括:
所述管理节点通过SSH通道向所述第一实例节点发送第一认证数据,以将所述第一认证数据存储至所述第一实例节点,所述SSH通道为所述第一实例节点的安全访问通道;
所述管理节点向所述第一实例节点发送第一连接请求,所述第一连接请求携带所述第一认证数据;
在所述第一连接请求中的第一认证数据和所述第一实例节点存储的第一认证数据一致的情况下,所述管理节点与所述第一实例节点建立第一连接,所述第一连接用于所述管理节点管理所述第一实例节点。
7.如权利要求6所述的方法,其特征在于,所述管理节点通过SSH通道向所述第一实例节点发送第一认证数据之前,还包括:
所述管理节点获取所述SSH通道的连接用户名和密码;
所述管理节点利用所述连接用户名和密码通过验证后,连接所述第一实例节点的SSH通道。
8.如权利要求6或7所述的方法,其特征在于,所述管理节点向所述实例节点发送第一连接请求之前,还包括:
所述管理节点生成所述第一认证数据,所述第一认证数据为安全随机数。
9.如权利要求6-8任意一项所述的方法,其特征在于,所述方法还包括:
所述管理节点接收所述第一实例节点通过所述第一连接反馈的所述第一实例节点的心跳消息;
当所述心跳消息指示所述第一实例节点的运行状态异常,所述管理节点通过所述SSH通道查询所述第一实例节点的运行状态是否异常;
若异常,所述管理节点执行所述第一实例节点的备用节点的切换操作。
10.一种安全认证方法,其特征在于,应用于服务器中,所述服务器包括管理节点和至少一个实例节点,所述管理节点用于对所述至少一个实例节点进行管理,所述至少一个实例节点包括第一实例节点;所述方法包括:
所述第一实例节点接收管理节点通过SSH通道发送第一认证数据,以将所述第一认证数据存储至所述第一实例节点,所述SSH通道为所述第一实例节点的安全访问通道;
所述第一实例节点接收管理节点发送第一连接请求,所述第一连接请求携带所述第一认证数据;
所述第一实例节点判断所述第一连接请求中的第一认证数据与存储的第一认证数据是否一致;
若一致,所述第一实例节点与所述管理节点建立第一连接,所述第一连接用于所述管理节点管理所述实例节点。
11.如权利要求10所述的方法,其特征在于,所述方法还包括:
所述第一实例节点通过所述第一连接向所述管理节点反馈所述第一实例节点的心跳消息。
12.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,该计算机程序被处理器执行时实现上述权利要求6-11任意一项所述的方法。
13.一种计算机程序,其特征在于,所述计算机程序包括指令,当所述计算机程序被计算机执行时,使得所述计算机执行如权利要求6-11中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810189375.5A CN108600156B (zh) | 2018-03-07 | 2018-03-07 | 一种服务器及安全认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810189375.5A CN108600156B (zh) | 2018-03-07 | 2018-03-07 | 一种服务器及安全认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108600156A true CN108600156A (zh) | 2018-09-28 |
| CN108600156B CN108600156B (zh) | 2021-05-07 |
Family
ID=63625823
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810189375.5A Active CN108600156B (zh) | 2018-03-07 | 2018-03-07 | 一种服务器及安全认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108600156B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111143168A (zh) * | 2019-12-25 | 2020-05-12 | 曙光信息产业(北京)有限公司 | 集群服务的监控管理方法和系统 |
| WO2021051582A1 (zh) * | 2019-09-17 | 2021-03-25 | 平安科技(深圳)有限公司 | 服务器集群主机性能监控方法、装置、设备及存储介质 |
| CN113806447A (zh) * | 2021-09-24 | 2021-12-17 | 深信服科技股份有限公司 | 一种数据同步方法、装置、设备及介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101626292A (zh) * | 2008-07-09 | 2010-01-13 | 上海格尔软件股份有限公司 | 一种Linux登陆保护方法 |
| CN104023085A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于增量同步的安全云存储系统 |
| CN104243419A (zh) * | 2013-06-18 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 基于安全外壳协议的数据处理方法、装置及系统 |
| CN104639516A (zh) * | 2013-11-13 | 2015-05-20 | 华为技术有限公司 | 身份认证方法、设备及系统 |
| CN105516980A (zh) * | 2015-12-17 | 2016-04-20 | 河南大学 | 一种基于Restful架构的无线传感器网络令牌认证方法 |
| CN106063229A (zh) * | 2014-03-05 | 2016-10-26 | 柏思科技有限公司 | 用于转发数据的方法和系统 |
| CN106209742A (zh) * | 2015-05-07 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 安全验证方法及系统 |
| CN106452772A (zh) * | 2016-11-16 | 2017-02-22 | 华为技术有限公司 | 终端认证方法和装置 |
| CN106998338A (zh) * | 2016-01-22 | 2017-08-01 | 中兴通讯股份有限公司 | 一种实现vnf部署的方法及装置 |
| CN107436789A (zh) * | 2017-08-09 | 2017-12-05 | 郑州云海信息技术有限公司 | 云存储系统中服务器的管理方法和装置 |
| CN107526578A (zh) * | 2016-06-22 | 2017-12-29 | 伊姆西公司 | 使用面向对象语言的资源编排方法和设备 |
-
2018
- 2018-03-07 CN CN201810189375.5A patent/CN108600156B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101626292A (zh) * | 2008-07-09 | 2010-01-13 | 上海格尔软件股份有限公司 | 一种Linux登陆保护方法 |
| CN104243419A (zh) * | 2013-06-18 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 基于安全外壳协议的数据处理方法、装置及系统 |
| CN104639516A (zh) * | 2013-11-13 | 2015-05-20 | 华为技术有限公司 | 身份认证方法、设备及系统 |
| CN106063229A (zh) * | 2014-03-05 | 2016-10-26 | 柏思科技有限公司 | 用于转发数据的方法和系统 |
| CN104023085A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于增量同步的安全云存储系统 |
| CN106209742A (zh) * | 2015-05-07 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 安全验证方法及系统 |
| CN105516980A (zh) * | 2015-12-17 | 2016-04-20 | 河南大学 | 一种基于Restful架构的无线传感器网络令牌认证方法 |
| CN106998338A (zh) * | 2016-01-22 | 2017-08-01 | 中兴通讯股份有限公司 | 一种实现vnf部署的方法及装置 |
| CN107526578A (zh) * | 2016-06-22 | 2017-12-29 | 伊姆西公司 | 使用面向对象语言的资源编排方法和设备 |
| CN106452772A (zh) * | 2016-11-16 | 2017-02-22 | 华为技术有限公司 | 终端认证方法和装置 |
| CN107436789A (zh) * | 2017-08-09 | 2017-12-05 | 郑州云海信息技术有限公司 | 云存储系统中服务器的管理方法和装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021051582A1 (zh) * | 2019-09-17 | 2021-03-25 | 平安科技(深圳)有限公司 | 服务器集群主机性能监控方法、装置、设备及存储介质 |
| CN111143168A (zh) * | 2019-12-25 | 2020-05-12 | 曙光信息产业(北京)有限公司 | 集群服务的监控管理方法和系统 |
| CN111143168B (zh) * | 2019-12-25 | 2023-08-15 | 曙光信息产业(北京)有限公司 | 集群服务的监控管理方法和系统 |
| CN113806447A (zh) * | 2021-09-24 | 2021-12-17 | 深信服科技股份有限公司 | 一种数据同步方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108600156B (zh) | 2021-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3979592A1 (en) | Decentralization processing method, communication proxy, host and storage medium | |
| Jhawar et al. | Fault tolerance and resilience in cloud computing environments | |
| CN114787781B (zh) | 用于启用高可用性受管理故障转移服务的系统和方法 | |
| CN113169952B (zh) | 一种基于区块链技术的容器云管理系统 | |
| US9639439B2 (en) | Disaster recovery framework for cloud delivery | |
| CN106911648B (zh) | 一种环境隔离方法及设备 | |
| KR102117724B1 (ko) | 분산형 운영체제 물리적 자원을 관리하는 기법 | |
| US9992058B2 (en) | Redundant storage solution | |
| CN112948063B (zh) | 云平台的创建方法、装置、云平台以及云平台实现系统 | |
| WO2012145963A1 (zh) | 数据管理系统及方法 | |
| CN104168333A (zh) | Proxzone服务平台的工作方法 | |
| CN112035215A (zh) | 节点集群的节点自治方法、系统、装置及电子设备 | |
| CN110995511A (zh) | 基于微服务架构的云计算运维管理方法、装置和终端设备 | |
| CN113489691B (zh) | 网络访问方法、装置、计算机可读介质及电子设备 | |
| CN108600156A (zh) | 一种服务器及安全认证方法 | |
| US20130254762A1 (en) | Providing redundant virtual machines in a cloud computing environment | |
| KR20220083837A (ko) | 크로스-클라우드 동작들을 위한 클라우드 서비스 | |
| CN106972962A (zh) | 高可用集群的配置方法、装置及系统 | |
| Handoko et al. | High availability analysis with database cluster, load balancer and virtual router redudancy protocol | |
| Cai et al. | RBaaS: A robust blockchain as a service paradigm in cloud-edge collaborative environment | |
| US9774600B1 (en) | Methods, systems, and computer readable mediums for managing infrastructure elements in a network system | |
| CN117131493A (zh) | 权限管理系统构建方法、装置、设备及存储介质 | |
| US9521134B2 (en) | Control apparatus in software defined network and method for operating the same | |
| CN116346834A (zh) | 一种会话同步方法、装置、计算设备及计算机存储介质 | |
| CN109753803A (zh) | 一种虚拟机安全管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220215 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Patentee after: Huawei Cloud Computing Technology Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |