CN112417400A - 基于多集群系统的安全优化方法、装置、电子设备及介质 - Google Patents

Abstract

本发明涉及一种安全领域，揭露了一种基于多集群系统的安全优化方法，包括：获取用户的身份信息，对身份信息进行身份验证；在身份验证成功时，创建身份信息的用户实体；向预先认证的安全服务器发送用户实体在多集群系统中的代理凭证请求，并接受安全服务器返回的用户代理凭证；根据用户代理凭证，将用户实体与多集群系统中的集群服务器进行代理认证；在代理凭证认证成功时，创建用户实体在集群服务器中的用户会话，并根据用户会话，执行向集群服务器发送的用户任务。本发明还提出一种基于多集群系统的安全优化装置、电子设备以及存储介质。此外，本发明还涉及区块链技术，所述身份信息可存储于区块链中。本发明可以提高多集群系统的安全机制。

Description

基于多集群系统的安全优化方法、装置、电子设备及介质

技术领域

本发明涉及安全领域，尤其涉及一种基于多集群系统的安全优化方法、装置、电子设备及计算机可读存储介质。

背景技术

集群系统是指具有一组无线电信道，供多个部门共用的专用调度系统。多集群系统是对单集群系统的一种拓展，是将原来单个集群系统的模型拓展为分布式多集群的模型，以实现不同集群系统之间可以进行数据共享。

目前，多集群系统沿用了单集群系统的安全机制，但是单集群系统的安全机制是对于单集群系统设计的，无法实现多集群系统的单点登录，因此，在登陆多集群系统时，需要客户机与多集群系统中所有集群系统进行交互的服务器节点建立一一安全链接，这样容易给多集群系统的安全机制带来了较大的挑战。

发明内容

本发明提供一种基于多集群系统的安全优化方法、装置、电子设备及计算机可读存储介质，其主要目的在于实现多集群系统的单点登录，提高多集群系统的安全机制。

为实现上述目的，本发明提供的一种基于多集群系统的安全优化方法，所述方法应用于多集群系统的主节点服务器中，包括：

获取用户的身份信息，对所述身份信息进行身份验证；

在所述身份验证成功时，创建所述身份信息的用户实体；

向预先认证的安全服务器发送所述用户实体在所述多集群系统中的代理凭证请求，并接受所述安全服务器返回的用户代理凭证；

根据所述用户代理凭证，将所述用户实体与所述多集群系统中的集群服务器进行代理认证；

在所述代理凭证认证成功时，创建所述用户实体在所述集群服务器中的用户会话，并根据所述用户会话，执行向所述集群服务器发送的作业任务。

可选地，所述对所述身份信息进行身份验证，包括：

获取所述身份信息中的身份标识；

从所述主节点服务器中查询是否存在与所述身份标识对应的服务器端身份标识；

若查询存在与所述身份标识对应的服务器端身份标识，则所述身份信息验证成功；

若查询不存在所述身份标识对应的服务器端身份标识，则所述身份信息验证失败。

可选地，所述创建所述身份信息的用户实体，包括：

识别所述身份信息需要在所述多集群系统中集群服务器访问的作业任务；

根据所述作业任务，创建所述身份信息的用户实体。

可选地，所述向预先认证的安全服务器发送所述用户实体在所述多集群系统中的代理凭证请求，包括：

创建所述主节点服务器与所述安全服务器的数据加密传输通道；

根据所述数据加密传输通道，执行所述代理凭证请求的发送。

可选地，所述根据所述用户代理凭证，将所述用户实体与所述多集群系统中的集群服务器进行代理认证，包括：

获取所述集群服务器的集群服务器代理凭证；

将所述用户代理凭证与所述集群服务器代理凭证进行匹配；

根据匹配结果，执行所述用户实体与所述多集群系统中集群服务器的代理认证。

可选地，所述用户代理凭证包括：用户实体的安全服务器标识、用户实体公钥以及安全随机数，及所述集群服务器代理凭证包括：集群服务器的安全服务器标识、有效期以及集群服务器公钥。

可选地，所述创建所述用户实体在所述集群服务器中的用户会话，包括：

利用所述用户实体公钥对所述用户实体的安全随机数进行加密，生成加密随机数；

利用所述集群服务器公钥对所述加密随机数进行解密，生成解密安全随机数；

识别出所述解密安全随机数与安全随机数是否一致，根据识别结果，执行所述用户会话的创建。

为了解决上述问题，本发明还提供一种基于多集群系统的安全优化装置，所述装置包括：

验证模块，用于获取用户的身份信息，对所述身份信息进行身份验证；

创建模块，用于在所述身份验证成功时，创建所述身份信息的用户实体；

请求模块，用于向预先认证的安全服务器发送所述用户实体在所述多集群系统中的代理凭证请求，并接受所述安全服务器返回的用户代理凭证；

认证模块，用于根据所述用户代理凭证，将所述用户实体与所述多集群系统中的集群服务器进行代理认证；

执行模块，用于在所述代理凭证认证成功时，创建所述用户实体在所述集群服务器中的用户会话，并根据所述用户会话，执行向所述集群服务器发送的作业任务。

为了解决上述问题，本发明还提供一种电子设备，所述电子设备包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以实现上述所述的基于多集群系统的安全优化方法。

为了解决上述问题，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一个计算机程序，所述至少一个计算机程序被电子设备中的处理器执行以实现上述所述的基于多集群系统的安全优化方法。

本发明首先基于多集群系统的主节点服务器，对身份验证成功的身份信息创建用户实体，从而将所有的用户信息都存放在主节点服务器中，减少了分布式的存放用户信息带来的安全风险，及实现多集群系统的单点登录；其次本发明向预先认证的安全服务器发送所述用户实体在所述多集群系统中的代理凭证请求，并接受所述安全服务器返回的用户代理凭证，根据所述用户代理凭证，将所述用户实体与所述多集群系统中集群服务器进行代理认证，利用主节点服务器来代理用户实体的管理，可以很好的避免了多集群管理上的混乱，提高多集群系统的信息安全管理；进一步地，本发明对代理认证成功的用户实体，创建在所述集群服务器中的用户会话，并根据所述用户会话，执行向所述集群服务器发送的作业任务。因此，本发明提出的一种基于多集群系统的安全优化方法、装置、电子设备以及存储介质可以实现多集群系统的单点登录，提高多集群系统的安全机制。

附图说明

图1为本发明一实施例提供的基于多集群系统的安全优化方法的流程示意图；

图2为本发明第一实施例中图1提供的基于多集群系统的安全优化方法其中一个步骤的详细流程示意图；

图3为本发明一实施例提供的基于多集群系统的安全优化装置的模块示意图；

图4为本发明一实施例提供的实现基于多集群系统的安全优化方法的电子设备的内部结构示意图；

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本申请实施例提供一种基于多集群系统的安全优化方法。所述基于多集群系统的安全优化方法的执行主体包括但不限于服务端、终端等能够被配置为执行本申请实施例提供的该方法的电子设备中的至少一种。换言之，所述基于多集群系统的安全优化方法可以由安装在终端设备或服务端设备的软件或硬件来执行，所述软件可以是区块链平台。所述服务端包括但不限于：单台服务器、服务器集群、云端服务器或云端服务器集群等。

参照图1所示的本发明一实施例提供的基于多集群系统的安全优化方法的流程示意图。在本发明实施例中，所述方法应用于多集群系统的主节点服务器中，包括：

S1、获取用户的身份信息，对所述身份信息进行身份验证。

本发明较佳实施例中，所述身份信息包括用户访问一个多集群系统时输入的账号密码信息，根据所述身份信息可以识别出对应用户是否合法。

本发明实施例中，利用在多集群系统中预先创建的主节点服务器对所述身份信息进行身份验证。其中，所述主节点服务器指的是在所述多集群系统中可以连接所有集群节点服务器的一个主服务器，所述主节点服务器根据用户需求选择，例如在G-Hadoop多集群系统中，可以选择Hadoop服务器作为G-Hadoop多集群系统的主节点服务器，以建立起与G-Hadoop多集群系统中所有集群服务器的连接。

详细地，所述利用在多集群系统中预先创建的主节点服务器对所述身份信息进行身份验证，包括：获取所述身份信息中的身份标识；从所述主节点服务器中查询是否存在与所述身份标识对应的服务器端身份标识；若查询存在与所述身份标识对应的服务器端身份标识，则所述身份信息验证成功；若查询不存在所述身份标识对应的服务器端身份标识，则所述身份信息验证失败。

其中，所述身份标识用于表征所述身份信息的唯一性，包括，例如用户手势、用户人脸、用户声纹以及用户指纹等等。

所述服务器端身份标识指的是用户预先在所述主节点服务器中进行注册的身份标识。

若所述身份验证失败，则再次执行S1，重新获取获取用户的身份信息，对所述身份信息进行身份验证，

本发明实施例中可以通过所述主节点服务器返回身份验证失败的信息，以提示用户重新输入身份信息。

若所述身份验证成功，则执行S2、创建所述身份信息的用户实体。

本发明实施例中在所述主节点服务器中对所述身份信息创建用户实体，以保障用户可以访问多集群系统中的每个集群服务器。

其中，所述用户实体指的是主节点服务器为有作业任务的用户创建的实例。需要声明的是，当用户不再有作业任务时，主节点服务器则删除对应用户实体，同时，所述用户实体在所述多集群系统(G-Hadoop)中是动态的，即当同时有多个作业任务对应同一个用户实体时，其中某个作业任务退出主节点服务器的登陆时，若所述用户实体还有作业任务在运行，则主节点服务器并不删除该用户实体。

进一步地，参阅图2所示，所述创建所述身份信息的用户实体，包括：

S20、识别所述身份信息需要在所述多集群系统中集群服务器访问的作业任务；

S21、根据所述作业任务，执行用户实体的创建。

本发明其中一个实施例中，所述作业任务通过查询所述身份信息对应的用户需求识别，其中，所述用户需求指的是用户需要对多集群系统中集群服务器执行的任务操作，比如，查询A集群服务器中的订单物流任务，导出B集群服务器中的订单价格任务等。

具体的，所述根据所述作业任务，执行用户实体的创建，包括：根据所述作业任务，在所述主节点服务器中配置用户的作业任务进程，得到用户实体。

S3、向预先认证的安全服务器发送所述用户实体在所述多集群系统中的代理凭证请求，并接受所述安全服务器返回的用户代理凭证。

本发明较佳实施例中，所述预先认证的安全服务器为数字证书认证中心(Certficate Authority，CA)服务器，所述CA服务器指的是CA认证机构的机房的服务器，用于保证网络中数字信息的传输安全。在本发明实施例中，所述CA服务器用于发送代理凭证，以实现集群服务器对主节点服务器及主节点服务器中用户实体的安全认证。

详细地，所述向预先认证的安全服务器发送所述用户实体在所述多集群系统中的代理凭证请求，包括：创建所述主节点服务器与所述CA服务器的数据加密传输通道；根据所述数据加密传输通道，执行所述代理凭证请求的发送。

其中，所述数据加密传输通道通过所述主节点服务器与所述CA服务器的身份认证进行创建，即在所述主节点服务器对所述CA服务器身份认证成功且所述CA服务器对所述主节点服务器身份认证成功时，创建所述数据加密传输通道。优选地，所述主节点服务器与所述CA服务器的身份认证通过握手协议实现，所述握手协议可以为当前已知的SSL(SecureSocket Layer)握手协议。

在所述CA服务器中接收到所述代理凭证请求后，生成所述用户实体的用户代理凭证并返回至所述主节点服务器中。本发明实施例中，所述用户代理凭证是用户实体在集群服务器上的身份认证信息，故用户代理凭证在每次使用时都是唯一的。进一步地，本发明实施例可以通过在所述主节点服务器中随机生成一个所述用户实体的公私密钥对{MN_Pub，MN_Prv}，以保证后续在集群服务器中用户实体的身份认证唯一性。本发明实施例进一步在所述主节点服务器中保留所述用户实体私钥MN_Prv，并将所述用户实体公钥MN_Pub发送给所述CA服务器，因此，所述安全服务器返回的用户代理凭证包括：CA服务器标识、用户实体公钥以及安全随机数。

S4、根据所述用户代理凭证，将所述用户实体与所述多集群系统中集群服务器进行代理认证。

本发明较佳实施例中，所述根据所述用户代理凭证，将所述用户实体与所述多集群系统中的集群服务器进行代理认证，包括：获取所述集群服务器的集群服务器代理凭证；将所述用户代理凭证与所述集群服务器代理凭证进行匹配；根据匹配结果，执行所述用户实体与所述多集群系统中集群服务器的代理认证。

本发明其中一个实施例中，所述集群服务器代理凭证也是从所述CA服务器中获取，其包括：CA服务器标识、有效期以及集群服务器公钥。

本发明其中一个实施例中，所述用户代理凭证与所述集群服务器代理凭证的匹配通过所述主节点服务器执行。

一个优选实施中，所述根据匹配结果，执行所述用户实体与所述多集群系统中集群服务器的代理认证，包括：若所述用户代理凭证中的CA服务器标识与所述集群服务器代理凭证中的CA服务器标识一致，则所述代理认证成功，若所述用户代理凭证中的CA服务器标识与所述集群服务器代理凭证中的CA服务器标识不一致，则所述代理认证失败。

若代理凭证认证失败，则返回执行上述的S3、重新向预先认证的安全服务器发送所述用户实体在所述多集群系统中的代理凭证请求，并接受所述安全服务器返回的用户代理凭证。

本发明较佳实施例中，若所述代理凭证认证失败，则表示所述用户实体无法访问所述多集群服务器中每个集群服务器，于是，本发明实施例通过重新发送代理认证请求，以保障所述用户实体可以访问多集群服务器中每个集群服务器。

若代理凭证认证成功，则执行S5、创建所述用户实体在所述集群服务器中的用户会话，并根据所述用户会话，执行向所述集群服务器发送的作业任务。

本发明较佳实施例中，若所述代理凭证认证成功，则表示所述用户实体可以访问所述多集群服务器中每个集群服务器，于是，本发明实施例通过所述主节点服务器创建所述用户实体在集群服务器的用户会话(U_Session)，并根据所述用户会话，执行向所述集群服务器发送的作业任务。其中，所述用户会话指的是用户需要访问具体某一台集群服务器的操作流程，比如，A用户将要访问第I台集群服务器，通过所述用户会话，将具体访问集群服务器的作业任务进行传输。。需要声明的是，在本发明实施例中，对所述用户会话设置有会话有效期，以提高用户会话的安全性，当需要对会话有效期进行延长时，通过所述集群服务器向所述主节点服务器提出请求，所述主节点服务器根据所述请求做出用户会话有限期延长的响应。

详细地，所述利用所述主节点服务器创建所述用户实体在集群服务器中的用户会话，包括：通过所述主节点服务器利用用户实体公钥对所述用户实体的安全随机数进行加密，生成加密随机数，即MN_Rand＝encrypt(CA_Rand，MN_Pub)；通过所述集群服务器利用集群服务器公钥对所述加密随机数进行解密，生成解密安全随机数，即CA_Rand’＝decrypt(MN_Rand，MN_Pub)；识别出所述解密安全随机数与安全随机数是否一致；若所述解密安全随机数与安全随机数一致，则生成用户会话，即U_Session＝decrypt(MN_U_Session，MN_Pub)，若所述解密安全随机数与安全随机数不一致，则返回错误信息至所述主节点服务器中。

进一步地，本发明实施例根据所述用户会话，执行向所述集群服务器发送的作业任务。

本发明首先基于多集群系统的主节点服务器，对身份验证成功的身份信息创建所述身份信息的用户实体，可以将所有的用户信息都存放在主节点服务器中，减少了分布式的存放用户信息带来的安全风险，及实现多集群系统的单点登录；其次本发明向预先认证的安全服务器发送所述用户实体在所述多集群系统中的代理凭证请求，并接受所述安全服务器返回的用户代理凭证，根据所述用户代理凭证，将所述用户实体与所述多集群系统中集群服务器进行代理认证，利用主节点服务器来代理用户实体的管理，可以很好的避免了多集群管理上的混乱，提高多集群系统的信息安全管理；进一步地，本发明对代理认证成功的用户实体，创建在所述集群服务器中的用户会话，并根据所述用户会话，执行向所述集群服务器发送的作业任务。因此，本发明提出的一种基于多集群系统的安全优化装置可以实现多集群系统的单点登录，提高多集群系统的安全机制。

如图3所示，是本发明基于多集群系统的安全优化装置的功能模块图。

本发明所述基于多集群系统的安全优化装置100可以安装于电子设备中。根据实现的功能，所述基于多集群系统的安全优化装置可以包括验证模块101、创建模块102、请求模块103、认证模块104以及执行模块105。本发所述模块也可以称之为单元，是指一种能够被电子设备处理器所执行，并且能够完成固定功能的一系列计算机程序段，其存储在电子设备的存储器中。

在本实施例中，关于各模块/单元的功能如下：

所述验证模块101，用于获取用户的身份信息，对所述身份信息进行身份验证；

所述创建模块102，用于在所述身份验证成功时，创建所述身份信息的用户实体；

所述请求模块103，用于向预先认证的安全服务器发送所述用户实体在所述多集群系统中的代理凭证请求，并接受所述安全服务器返回的用户代理凭证；

所述认证模块104，用于根据所述用户代理凭证，将所述用户实体与所述多集群系统中的集群服务器进行代理认证；

所述执行模块105，用于在所述代理凭证认证成功时，创建所述用户实体在所述集群服务器中的用户会话，并根据所述用户会话，执行向所述集群服务器发送的作业任务。

详细地，本发明实施例中所述基于多集群系统的安全优化装置100中的所述各模块在使用时采用与上述的图1和图2中所述的基于多集群系统的安全优化方法一样的技术手段，并能够产生相同的技术效果，这里不再赘述。

如图4所示，是本发明实现基于多集群系统的安全优化方法的电子设备的结构示意图。

所述电子设备1可以包括处理器10、存储器11和总线，还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序，如基于多集群系统的安全优化程序12。

其中，所述存储器11至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如：SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备1的内部存储单元，例如该电子设备1的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备1的外部存储设备，例如电子设备1上配备的插接式移动硬盘、智能存储卡(Smart Media Card，SMC)、安全数字(SecureDigital，SD)卡、闪存卡(Flash Card)等。进一步地，所述存储器11还可以既包括电子设备1的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备1的应用软件及各类数据，例如基于多集群系统的安全优化的代码等，还可以用于暂时地存储已经输出或者将要输出的数据。

所述处理器10在一些实施例中可以由集成电路组成，例如可以由单个封装的集成电路所组成，也可以是由多个相同功能或不同功能封装的集成电路所组成，包括一个或者多个中央处理器(Central Processing unit，CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(Control Unit)，利用各种接口和线路连接整个电子设备的各个部件，通过运行或执行存储在所述存储器11内的程序或者模块(例如执行基于多集群系统的安全优化等)，以及调用存储在所述存储器11内的数据，以执行电子设备1的各种功能和处理数据。

所述总线可以是外设部件互连标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extended industry standard architecture，简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。

图4仅示出了具有部件的电子设备，本领域技术人员可以理解的是，图4示出的结构并不构成对所述电子设备1的限定，可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。

例如，尽管未示出，所述电子设备1还可以包括给各个部件供电的电源(比如电池)，优选地，电源可以通过电源管理装置与所述至少一个处理器10逻辑相连，从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备1还可以包括多种传感器、蓝牙模块、Wi-Fi模块等，在此不再赘述。

进一步地，所述电子设备1还可以包括网络接口，可选地，所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等)，通常用于在该电子设备1与其他电子设备之间建立通信连接。

可选地，该电子设备1还可以包括用户接口，用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard))，可选地，用户接口还可以是标准的有线接口、无线接口。可选地，在一些实施例中，显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode，有机发光二极管)触摸器等。其中，显示器也可以适当的称为显示屏或显示单元，用于显示在电子设备1中处理的信息以及用于显示可视化的用户界面。

应该了解，所述实施例仅为说明之用，在专利申请范围上并不受此结构的限制。

所述电子设备1中的所述存储器11存储的基于多集群系统的安全优化12是多个指令的组合，在所述处理器10中运行时，可以实现：

获取用户的身份信息，对所述身份信息进行身份验证；

在所述身份验证成功时，创建所述身份信息的用户实体；

向预先认证的安全服务器发送所述用户实体在所述多集群系统中的代理凭证请求，并接受所述安全服务器返回的用户代理凭证；

根据所述用户代理凭证，将所述用户实体与所述多集群系统中的集群服务器进行代理认证；

在所述代理凭证认证成功时，创建所述用户实体在所述集群服务器中的用户会话，并根据所述用户会话，执行向所述集群服务器发送的作业任务。

具体地，所述处理器10对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述，在此不赘述。

进一步地，所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个非易失性计算机可读取存储介质中。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)。

在本发明所提供的几个实施例中，应该理解到，所揭露的设备，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。

因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。

本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。

此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称，而并不表示任何特定的顺序。

最后应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。

Claims (10)

1.一种基于多集群系统的安全优化方法，其特征在于，所述方法应用于多集群系统的主节点服务器中，包括：

获取用户的身份信息，对所述身份信息进行身份验证；

在所述身份验证成功时，创建所述身份信息的用户实体；

向预先认证的安全服务器发送所述用户实体在所述多集群系统中的代理凭证请求，并接受所述安全服务器返回的用户代理凭证；

根据所述用户代理凭证，将所述用户实体与所述多集群系统中的集群服务器进行代理认证；

在所述代理凭证认证成功时，创建所述用户实体在所述集群服务器中的用户会话，并根据所述用户会话，执行向所述集群服务器发送的作业任务。

2.如权利要求1所述的基于多集群系统的安全优化方法，其特征在于，所述对所述身份信息进行身份验证，包括：

获取所述身份信息中的身份标识；

从所述主节点服务器中查询是否存在与所述身份标识对应的服务器端身份标识；

若查询存在与所述身份标识对应的服务器端身份标识，则所述身份信息验证成功；

若查询不存在所述身份标识对应的服务器端身份标识，则所述身份信息验证失败。

3.如权利要求1所述的基于多集群系统的安全优化方法，其特征在于，所述创建所述身份信息的用户实体，包括：

识别所述身份信息需要在所述多集群系统中集群服务器访问的作业任务；

根据所述作业任务，创建所述身份信息的用户实体。

4.如权利要求1所述的基于多集群系统的安全优化方法，其特征在于，所述向预先认证的安全服务器发送所述用户实体在所述多集群系统中的代理凭证请求，包括：

创建所述主节点服务器与所述安全服务器的数据加密传输通道；

根据所述数据加密传输通道，执行所述代理凭证请求的发送。

5.如权利要求1至4中任意一项所述的基于多集群系统的安全优化方法，其特征在于，所述根据所述用户代理凭证，将所述用户实体与所述多集群系统中的集群服务器进行代理认证，包括：

获取所述集群服务器的集群服务器代理凭证；

将所述用户代理凭证与所述集群服务器代理凭证进行匹配；

根据匹配结果，执行所述用户实体与所述多集群系统中集群服务器的代理认证。

6.如权利要求5中所述的基于多集群系统的安全优化方法，其特征在于，所述用户代理凭证包括：用户实体的安全服务器标识、用户实体公钥以及安全随机数，及所述集群服务器代理凭证包括：集群服务器的安全服务器标识、有效期以及集群服务器公钥。

7.如权利要求6所述的基于多集群系统的安全优化方法，其特征在于，所述创建所述用户实体在所述集群服务器中的用户会话，包括：

利用所述用户实体公钥对所述用户实体的安全随机数进行加密，生成加密随机数；

利用所述集群服务器公钥对所述加密随机数进行解密，生成解密安全随机数；

识别出所述解密安全随机数与安全随机数是否一致，根据识别结果，执行所述用户会话的创建。

8.一种基于多集群系统的安全优化装置，其特征在于，所述装置包括：

验证模块，用于获取用户的身份信息，对所述身份信息进行身份验证；

创建模块，用于在所述身份验证成功时，创建所述身份信息的用户实体；

请求模块，用于向预先认证的安全服务器发送所述用户实体在所述多集群系统中的代理凭证请求，并接受所述安全服务器返回的用户代理凭证；

认证模块，用于根据所述用户代理凭证，将所述用户实体与所述多集群系统中的集群服务器进行代理认证；

执行模块，用于在所述代理凭证认证成功时，创建所述用户实体在所述集群服务器中的用户会话，并根据所述用户会话，执行向所述集群服务器发送的作业任务。

9.一种电子设备，其特征在于，所述电子设备包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行如权利要求1至7中任意一项所述的基于多集群系统的安全优化方法。

10.一种计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7中任意一项所述的基于多集群系统的安全优化方法。

Images