CN113037761A - 登录请求的验证方法及装置、存储介质、电子设备 - Google Patents

登录请求的验证方法及装置、存储介质、电子设备 Download PDF

Info

Publication number
CN113037761A
CN113037761A CN202110287196.7A CN202110287196A CN113037761A CN 113037761 A CN113037761 A CN 113037761A CN 202110287196 A CN202110287196 A CN 202110287196A CN 113037761 A CN113037761 A CN 113037761A
Authority
CN
China
Prior art keywords
target
login
login request
service
ssh
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110287196.7A
Other languages
English (en)
Other versions
CN113037761B (zh
Inventor
孙海洲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kingsoft Cloud Network Technology Co Ltd
Original Assignee
Beijing Kingsoft Cloud Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Cloud Network Technology Co Ltd filed Critical Beijing Kingsoft Cloud Network Technology Co Ltd
Priority to CN202110287196.7A priority Critical patent/CN113037761B/zh
Publication of CN113037761A publication Critical patent/CN113037761A/zh
Application granted granted Critical
Publication of CN113037761B publication Critical patent/CN113037761B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种登录请求的验证方法及装置、存储介质、电子设备,属于云服务领域。其中,该方法包括:接收来自安全外壳协议SSH客户端的登录请求,其中,所述登录请求用于请求登录到目标业务服务;根据所述登录请求在多个pod实例中查找匹配的目标pod实例,其中,所述目标pod实例包括两个容器,分别对应SSH登录代理和所述目标业务服务;采用所述目标pod实例验证所述登录请求。通过本发明,避免了单点故障和单个代理服务的性能限制,每个业务服务都是独立的SSH登录代理,可以实现多用户之间的隔离,提供更好的安全性,解决了相关技术采用集中式部署SSH登录代理导致登录安全性和故障率高的技术问题,提高SSH登录代理的稳定性和安全性。

Description

登录请求的验证方法及装置、存储介质、电子设备
技术领域
本发明涉及云服务领域,具体而言,涉及一种登录请求的验证方法及装置、存储介质、电子设备。
背景技术
相关技术中,SSH(Secure Shell,安全外壳协议)是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH可以有效防止远程管理过程中的信息泄露问题,通过SSH登录到容器,在开发中经常存在。但是当前的容器(pod)因为是无状态化的,由于容器的重启、再调度等事件,IP地址会经常改变,通过增加一个代理的方式来解决此问题,用户通过SSH客户端进行登录,首先到达集群的网关,然后通过网关进入SSH登录代理,在SSH登录代理中解析用户的登录信息,然后代理到对应的服务,实现登录到服务节点的目的。
相关技术中的SSH登录的代理是一种集中式的部署模型,所有的服务都是通过一个代理服务,存在如下弊端:多租户安全隐患,所有的租户都是通过一个SSH登录代理服务进入对应的服务节点,一旦集中式的代理节点存在漏洞风险,所有租户的登录信息都会存在安全隐患;单点故障,由于是采用集中式部署方式,如果服务不可用了会导致所有的用户都无法登录到服务中,容灾能力差。服务代码侵入,由于服务是直接和SSH登录代理进行通信,要实现免密登录,需要对应的服务添加相关的功能支持,无法做到非侵入式,无法无缝接入其他服务,需要修改服务才能实现,完全无侵入方式的代码冗余度更低。
针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
本发明实施例提供了一种登录请求的验证方法及装置、存储介质、电子设备。
根据本发明实施例的一个方面,提供了一种登录请求的验证方法,包括:接收来自安全外壳协议SSH客户端的登录请求,其中,所述登录请求用于请求登录到目标业务服务;根据所述登录请求在多个pod实例中查找匹配的目标pod实例,其中,所述目标pod实例包括两个容器,分别对应SSH登录代理和所述目标业务服务;采用所述目标pod实例验证所述登录请求。
进一步,根据所述登录请求在多个pod实例中查找匹配的目标pod实例包括:提取所述登录请求中的路由信息;根据所述路由信息查找对应的负载均衡服务;采用所述负载均衡服务查找与所述目标业务服务匹配的目标部署服务,其中,所述目标部署服务对应若干个目标pod实例;采用所述目标部署服务分配一个所述目标pod实例。
进一步,采用所述负载均衡服务查找与所述目标业务服务匹配的目标部署服务包括:从所述登录请求中解析所述目标业务服务的服务属性信息;采用所述负载均衡服务查找与所述服务属性信息匹配的目标部署服务。
进一步,采用所述目标pod实例验证所述登录请求包括:在所述目标pod实例中调用第一进程验证所述登录请求,其中,所述第一进程对应所述SSH登录代理;若所述登录请求验证通过,将所述登录请求转发至所述目标pod实例中的第二进程;若所述登录请求验证未通过,拒绝所述登录请求,其中,所述第二进程对应所述目标业务服务。
进一步,在所述目标pod实例中调用第一进程验证所述登录请求包括:在所述目标pod实例中调用第一进程验证公钥与登录私钥是否匹配,其中,所述登录请求包括所述登录私钥;若所述登录私钥与所述公钥匹配,确定所述登录请求验证通过;若所述登录私钥与所述公钥不匹配,确定所述登录请求验证未通过。
进一步,在根据所述登录请求在多个pod实例中查找匹配的目标pod实例之前,所述方法还包括:获取所述目标业务服务的第一配置文件,以及获取所述SSH登录代理的第二配置文件;采用所述第一配置文件和所述第二配置文件拼接生成所述目标pod实例。
进一步,在采用所述目标pod实例验证所述登录请求之后,所述方法还包括:在所述SSH客户端登录完成之后,接收所述SSH客户端发送的卸载请求;在所述目标pod实例中卸载所述SSH登录代理。
根据本发明实施例的另一个方面,提供了一种登录请求的验证装置,包括:接收模块,用于接收来自安全外壳协议SSH客户端的登录请求,其中,所述登录请求用于请求登录到目标业务服务;查找模块,用于根据所述登录请求在多个pod实例中查找匹配的目标pod实例,其中,所述目标pod实例包括两个容器,分别对应SSH登录代理和所述目标业务服务;验证模块,用于采用所述目标pod实例验证所述登录请求。
进一步,所述查找模块包括:提取单元,用于提取所述登录请求中的路由信息;第一查找单元,用于根据所述路由信息查找对应的负载均衡服务;第二查找单元,用于采用所述负载均衡服务查找与所述目标业务服务匹配的目标部署服务,其中,所述目标部署服务对应若干个目标pod实例;分配单元,用于采用所述目标部署服务分配一个所述目标pod实例。
进一步,所述第二查找单元包括:解析子单元,用于从所述登录请求中解析所述目标业务服务的服务属性信息;查找子单元,用于采用所述负载均衡服务查找与所述服务属性信息匹配的目标部署服务。
进一步,所述验证模块包括:验证单元,用于在所述目标pod实例中调用第一进程验证所述登录请求,其中,所述第一进程对应所述SSH登录代理;处理单元,用于若所述登录请求验证通过,将所述登录请求转发至所述目标pod实例中的第二进程;若所述登录请求验证未通过,拒绝所述登录请求,其中,所述第二进程对应所述目标业务服务。
进一步,所述验证单元包括:验证子单元,用于在所述目标pod实例中调用第一进程验证公钥与登录私钥是否匹配,其中,所述登录请求包括所述登录私钥;确定子单元,用于若所述登录私钥与所述公钥匹配,确定所述登录请求验证通过;若所述登录私钥与所述公钥不匹配,确定所述登录请求验证未通过。
进一步,所述装置还包括:获取模块,用于在所述查找模块根据所述登录请求在多个pod实例中查找匹配的目标pod实例之前,获取所述目标业务服务的第一配置文件,以及获取所述SSH登录代理的第二配置文件;拼接模块,用于采用所述第一配置文件和所述第二配置文件拼接生成所述目标pod实例。
进一步,所述装置还包括:接收模块,用于在所述验证模块采用所述目标pod实例验证所述登录请求之后,在所述SSH客户端登录完成之后,接收所述SSH客户端发送的卸载请求;卸载模块,用于在所述目标pod实例中卸载所述SSH登录代理。
根据本发明实施例的另一方面,还提供了一种存储介质,该存储介质包括存储的程序,程序运行时执行上述的步骤。
根据本发明实施例的另一方面,还提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;其中:存储器,用于存放计算机程序;处理器,用于通过运行存储器上所存放的程序来执行上述方法中的步骤。
本发明实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述方法中的步骤。
通过本发明,接收来自安全外壳协议SSH客户端的登录请求,根据登录请求在多个pod实例中查找匹配的目标pod实例,目标pod实例包括两个容器,分别对应SSH登录代理和目标业务服务,采用目标pod实例验证登录请求,通过将SSH登录代理和业务服务注入到同一个pod实例中,实现了对登录请求的分布式代理验证,避免了单点故障和单个代理服务的性能限制,每个业务服务都是独立的SSH登录代理,可以实现多用户之间的隔离,提供更好的安全性,解决了相关技术采用集中式部署SSH登录代理导致登录安全性和故障率高的技术问题,提高SSH登录代理的稳定性和安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种云服务器的硬件结构框图;
图2是根据本发明实施例的一种登录请求的验证方法的流程图;
图3是本发明实施例的网络构架图;
图4是根据本发明实施例的一种登录请求的验证装置的结构框图;
图5是实施本发明实施例的一种电子设备的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
本发明实施例一所提供的方法实施例可以在云服务器、登录服务器、集群服务器或者类似的装置中执行。以运行在云服务器上为例,图1是本发明实施例的一种云服务器的硬件结构框图。如图1所示,云服务器可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述云服务器还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述云服务器的结构造成限定。例如,云服务器还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储云服务器程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种登录请求的验证方法对应的云服务器程序,处理器102通过运行存储在存储器104内的云服务器程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至云服务器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括云服务器的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种登录请求的验证方法,图2是根据本发明实施例的一种登录请求的验证方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,接收来自安全外壳协议SSH客户端的登录请求,其中,登录请求用于请求登录到目标业务服务;
本实施例的目标业务服务是SSH客户端在登录完成后最终使用的业务服务,可以是云业务,网络业务等,如云主机,云存储业务等。登录请求包括路由信息、鉴权信息等。
步骤S204,根据登录请求在多个pod实例中查找匹配的目标pod实例,其中,目标pod实例包括两个容器,分别对应SSH登录代理和目标业务服务;
本实施例的pod实例(简称Pod)是Kubernetes部署应用或服务的最小基本单位,Pod实例封装了一个或多个应用程序的容器(比如nginx等),存储资源,唯一的网络IP以及管理容器的一些选项,Pod标示的是一个部署单元,是Kubernetes中应用程序的单个实例,Pod实例可以由单个容器组成,也可以由多个耦合并共享资源的容器组成,形成容器组。
步骤S206,采用目标pod实例验证登录请求;
若验证通过,则将登录请求转到目标业务服务,否则拒绝登录,并拒绝访问目标业务服务。
通过上述步骤,接收来自安全外壳协议SSH客户端的登录请求,根据登录请求在多个pod实例中查找匹配的目标pod实例,目标pod实例包括两个容器,分别对应SSH登录代理和目标业务服务,采用目标pod实例验证登录请求,通过将SSH登录代理和业务服务注入到同一个pod实例中,实现了对登录请求的分布式代理验证,避免了单点故障和单个代理服务的性能限制,每个业务服务都是独立的SSH登录代理,可以实现多用户之间的隔离,提供更好的安全性,解决了相关技术采用集中式部署SSH登录代理导致登录安全性和故障率高的技术问题,提高SSH登录代理的稳定性和安全性。
在实施例的一个实施方式中,根据登录请求在多个pod实例中查找匹配的目标pod实例包括:
S11,提取登录请求中的路由信息;
可选的,本实施例的登录请求包含登录的源IP地址、目标IP地址、源登录端口、目标登录端口、用户账号以及加密使用的登录私钥。
在一个示例中,路由信息包括目标IP地址和目标端口。
S12,根据路由信息查找对应的负载均衡服务;
S13,采用负载均衡服务查找与目标业务服务匹配的目标部署服务(Deployment),其中,目标部署服务对应若干个目标pod实例;
在pod实例所在的Kubernetes中,使用Deployment部署Pod实例的容器应用,可以使用Deploymentt部署多个Pod,通过在Pod的名字后面添加一串随机数避免重复。此外,Deployment可以弹性扩容,根据CPU的占用率缩放Pod实例的硬件资源,此外Deployment可以保障Pod实例的运行状态,如果删除Pod,Deployment会立即重启一个,从而实现高效率的分布式验证。
在其中一个示例中,采用负载均衡服务查找与目标业务服务匹配的目标部署服务包括:从登录请求中解析目标业务服务的服务属性信息;采用负载均衡服务查找与服务属性信息匹配的目标部署服务。
可选的,服务属性信息可以是服务标签,服务内容,服务版本等,用于表征该目标业务服务的属性信息。
S14,采用目标部署服务分配一个目标pod实例。
在一个示例中,可以从目标部署服务的多个目标pod实例中随机分配一个目标pod实例,也可以根据pod实例的工作状态(注入状态,卸载状态),运行效率,负载状态等参数选择一个目标pod实例。
图3是本发明实施例的网络构架图,如图3所示,提供了一种基于Sidecar模式的非侵入式的分布式容器登录方案。用户通过SSH客户端输入登录信息,登录信息包含登录的IP地址、登录端口、登录的用户以及登录的私钥,登录信息填写正确后,进入Kubernetescluster(Kubernetes集群)的网关(GW),网关会根据IP地址和端口找到对应的SSH proxy(SSH登录代理)的后端服务(负载均衡服务),后端服务根据预设匹配规则(如服务标签,服务内容,服务版本)找到对应的Deployment(部署服务),Deployment最终分配一个可用的Pod来处理请求。SSHproxy使用对应用户的公钥去验证用户使用的私钥是否正确,如果正确则通过22端口转发到要登录的最终目的服务(业务服务),如果秘钥和用户信息验证失败则拒绝用户登录。
本实施例中,Pod中多个容器可以共享网络、存储,利用这个特性解决登录服务需要侵入的弊端,因为两个容器在一个Pod中,存储可以共享,直接让SSH proxy代理生成的认证文件供业务服务使用来解决需要侵入代码的弊端,可以无缝加入一个服务,由于基于Sidecar的容器可以自动注入到Pod中,在完全无感知的情况下实现任何一个服务的SSH登录功能(需要服务容器提前支持SSH)。
在实施例的一个实施方式中,采用目标pod实例验证登录请求包括:在目标pod实例中调用第一进程验证登录请求,其中,第一进程对应SSH登录代理;若登录请求验证通过,将登录请求转发至目标pod实例中的第二进程;若登录请求验证未通过,拒绝登录请求,其中,第二进程对应目标业务服务。
在一些示例中,在目标pod实例中调用第一进程验证登录请求包括:在目标pod实例中调用第一进程验证公钥与登录私钥是否匹配,其中,登录请求包括登录私钥;若登录私钥与公钥匹配,确定登录请求验证通过;若登录私钥与公钥不匹配,确定登录请求验证未通过。
在实施例的一个实施方式中,在根据登录请求在多个pod实例中查找匹配的目标pod实例之前,还包括:获取目标业务服务的第一配置文件,以及获取SSH登录代理的第二配置文件;采用第一配置文件和第二配置文件拼接生成目标pod实例。从而实现SSH登录代理到业务服务的自动注入。
在实施例的一个实施方式中,在采用目标pod实例验证登录请求之后,还包括:在SSH客户端登录完成之后,接收SSH客户端发送的卸载请求;在目标pod实例中卸载SSH登录代理。是否卸载SSH登录代理是用户自己选择的,用户卸载了以后,由于剥离了外部接入pod实例的入口,目标业务服务的容器会更安全,用户需要的时候再采用ssh登录,重新在目标pod实例中注入SSH登录代理,轻便灵活,同时保证的业务容器的安全性。
可选的,若SSH客户端与目标业务服务的服务器或者云实例建立正式连接,则认为已经登录完成,以此触发下载指令,SSH登录代理从目标pod实例中剥离,从而实现SSH登录代理从业务服务的自动卸载。
由于每一个业务服务都对应一个独立的SSH proxy,实现了从集中式到分布式的改造,这样不会存在单点故障和单个服务的性能问题。而且每一个服务都是独立的SSHproxy,可以比较好的实现多租户的隔离,提供更好的安全性。而且可以利用Si decar的特点实现动态注入和关闭,当需要登录的时候自动注入即可,登录完毕暂时不使用的时候将Sidecar卸载掉(携带代理服务),对服务不会有任何感知,这样就可以使得服务完全不具有登录功能,可以彻底解决SSH登录的安全风险,只有在登录时开启,其他情况关闭,也可以节省资源开销,同时降低代码冗余度。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种登录请求的验证装置,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本发明实施例的一种登录请求的验证装置的结构框图,如图4所示,该装置包括:接收模块40,查找模块42,验证模块44,其中,
接收模块40,用于接收来自安全外壳协议SSH客户端的登录请求,其中,所述登录请求用于请求登录到目标业务服务;
查找模块42,用于根据所述登录请求在多个pod实例中查找匹配的目标pod实例,其中,所述目标pod实例包括两个容器,分别对应SSH登录代理和所述目标业务服务;
验证模块44,用于采用所述目标pod实例验证所述登录请求。
可选的,所述查找模块包括:提取单元,用于提取所述登录请求中的路由信息;第一查找单元,用于根据所述路由信息查找对应的负载均衡服务;第二查找单元,用于采用所述负载均衡服务查找与所述目标业务服务匹配的目标部署服务,其中,所述目标部署服务对应若干个目标pod实例;分配单元,用于采用所述目标部署服务分配一个所述目标pod实例。
可选的,所述第二查找单元包括:解析子单元,用于从所述登录请求中解析所述目标业务服务的服务属性信息;查找子单元,用于采用所述负载均衡服务查找与所述服务属性信息匹配的目标部署服务。
可选的,所述验证模块包括:验证单元,用于在所述目标pod实例中调用第一进程验证所述登录请求,其中,所述第一进程对应所述SSH登录代理;处理单元,用于若所述登录请求验证通过,将所述登录请求转发至所述目标pod实例中的第二进程;若所述登录请求验证未通过,拒绝所述登录请求,其中,所述第二进程对应所述目标业务服务。
可选的,所述验证单元包括:验证子单元,用于在所述目标pod实例中调用第一进程验证公钥与登录私钥是否匹配,其中,所述登录请求包括所述登录私钥;确定子单元,用于若所述登录私钥与所述公钥匹配,确定所述登录请求验证通过;若所述登录私钥与所述公钥不匹配,确定所述登录请求验证未通过。
可选的,所述装置还包括:获取模块,用于在所述查找模块根据所述登录请求在多个pod实例中查找匹配的目标pod实例之前,获取所述目标业务服务的第一配置文件,以及获取所述SSH登录代理的第二配置文件;拼接模块,用于采用所述第一配置文件和所述第二配置文件拼接生成所述目标pod实例。
可选的,所述装置还包括:接收模块,用于在所述验证模块采用所述目标pod实例验证所述登录请求之后,在所述SSH客户端登录完成之后,接收所述SSH客户端发送的卸载请求;卸载模块,用于在所述目标pod实例中卸载所述SSH登录代理。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本申请实施例还提供了一种电子设备,图5是本发明实施例的一种电子设备的结构图,如图5所示,包括处理器51、通信接口52、存储器53和通信总线54,其中,处理器51,通信接口52,存储器53通过通信总线54完成相互间的通信,存储器53,用于存放计算机程序;处理器51,用于执行存储器83上所存放的程序时,实现如下步骤:接收来自安全外壳协议SSH客户端的登录请求,其中,所述登录请求用于请求登录到目标业务服务;根据所述登录请求在多个pod实例中查找匹配的目标pod实例,其中,所述目标pod实例包括两个容器,分别对应SSH登录代理和所述目标业务服务;采用所述目标pod实例验证所述登录请求。
进一步,根据所述登录请求在多个pod实例中查找匹配的目标pod实例包括:提取所述登录请求中的路由信息;根据所述路由信息查找对应的负载均衡服务;采用所述负载均衡服务查找与所述目标业务服务匹配的目标部署服务,其中,所述目标部署服务对应若干个目标pod实例;采用所述目标部署服务分配一个所述目标pod实例。
进一步,采用所述负载均衡服务查找与所述目标业务服务匹配的目标部署服务包括:从所述登录请求中解析所述目标业务服务的服务属性信息;采用所述负载均衡服务查找与所述服务属性信息匹配的目标部署服务。
进一步,采用所述目标pod实例验证所述登录请求包括:在所述目标pod实例中调用第一进程验证所述登录请求,其中,所述第一进程对应所述SSH登录代理;若所述登录请求验证通过,将所述登录请求转发至所述目标pod实例中的第二进程;若所述登录请求验证未通过,拒绝所述登录请求,其中,所述第二进程对应所述目标业务服务。
进一步,在所述目标pod实例中调用第一进程验证所述登录请求包括:在所述目标pod实例中调用第一进程验证公钥与登录私钥是否匹配,其中,所述登录请求包括所述登录私钥;若所述登录私钥与所述公钥匹配,确定所述登录请求验证通过;若所述登录私钥与所述公钥不匹配,确定所述登录请求验证未通过。
进一步,在根据所述登录请求在多个pod实例中查找匹配的目标pod实例之前,所述方法还包括:获取所述目标业务服务的第一配置文件,以及获取所述SSH登录代理的第二配置文件;采用所述第一配置文件和所述第二配置文件拼接生成所述目标pod实例。
进一步,在采用所述目标pod实例验证所述登录请求之后,所述方法还包括:在所述SSH客户端登录完成之后,接收所述SSH客户端发送的卸载请求;在所述目标pod实例中卸载所述SSH登录代理。
上述终端提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的登录请求的验证方法。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的登录请求的验证方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种登录请求的验证方法,其特征在于,包括:
接收来自安全外壳协议SSH客户端的登录请求,其中,所述登录请求用于请求登录到目标业务服务;
根据所述登录请求在多个pod实例中查找匹配的目标pod实例,其中,所述目标pod实例包括两个容器,分别对应SSH登录代理和所述目标业务服务;
采用所述目标pod实例验证所述登录请求。
2.根据权利要求1所述的方法,其特征在于,根据所述登录请求在多个pod实例中查找匹配的目标pod实例包括:
提取所述登录请求中的路由信息;
根据所述路由信息查找对应的负载均衡服务;
采用所述负载均衡服务查找与所述目标业务服务匹配的目标部署服务,其中,所述目标部署服务对应若干个目标pod实例;
采用所述目标部署服务分配一个所述目标pod实例。
3.根据权利要求2所述的方法,其特征在于,采用所述负载均衡服务查找与所述目标业务服务匹配的目标部署服务包括:
从所述登录请求中解析所述目标业务服务的服务属性信息;
采用所述负载均衡服务查找与所述服务属性信息匹配的目标部署服务。
4.根据权利要求1所述的方法,其特征在于,采用所述目标pod实例验证所述登录请求包括:
在所述目标pod实例中调用第一进程验证所述登录请求,其中,所述第一进程对应所述SSH登录代理;
若所述登录请求验证通过,将所述登录请求转发至所述目标pod实例中的第二进程;若所述登录请求验证未通过,拒绝所述登录请求,其中,所述第二进程对应所述目标业务服务。
5.根据权利要求4所述的方法,其特征在于,在所述目标pod实例中调用第一进程验证所述登录请求包括:
在所述目标pod实例中调用第一进程验证公钥与登录私钥是否匹配,其中,所述登录请求包括所述登录私钥;
若所述登录私钥与所述公钥匹配,确定所述登录请求验证通过;若所述登录私钥与所述公钥不匹配,确定所述登录请求验证未通过。
6.根据权利要求1所述的方法,其特征在于,在根据所述登录请求在多个pod实例中查找匹配的目标pod实例之前,所述方法还包括:
获取所述目标业务服务的第一配置文件,以及获取所述SSH登录代理的第二配置文件;
采用所述第一配置文件和所述第二配置文件拼接生成所述目标pod实例。
7.根据权利要求1所述的方法,其特征在于,在采用所述目标pod实例验证所述登录请求之后,所述方法还包括:
在所述SSH客户端登录完成之后,接收所述SSH客户端发送的卸载请求;
在所述目标pod实例中卸载所述SSH登录代理。
8.一种登录请求的验证装置,其特征在于,包括:
接收模块,用于接收来自安全外壳协议SSH客户端的登录请求,其中,所述登录请求用于请求登录到目标业务服务;
查找模块,用于根据所述登录请求在多个pod实例中查找匹配的目标pod实例,其中,所述目标pod实例包括两个容器,分别对应SSH登录代理和所述目标业务服务;
验证模块,用于采用所述目标pod实例验证所述登录请求。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至7中任一项所述的方法步骤。
10.一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;其中:
存储器,用于存放计算机程序;
处理器,用于通过运行存储器上所存放的程序来执行权利要求1至7中任一项所述的方法步骤。
CN202110287196.7A 2021-03-17 2021-03-17 登录请求的验证方法及装置、存储介质、电子设备 Active CN113037761B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110287196.7A CN113037761B (zh) 2021-03-17 2021-03-17 登录请求的验证方法及装置、存储介质、电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110287196.7A CN113037761B (zh) 2021-03-17 2021-03-17 登录请求的验证方法及装置、存储介质、电子设备

Publications (2)

Publication Number Publication Date
CN113037761A true CN113037761A (zh) 2021-06-25
CN113037761B CN113037761B (zh) 2022-08-16

Family

ID=76471303

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110287196.7A Active CN113037761B (zh) 2021-03-17 2021-03-17 登录请求的验证方法及装置、存储介质、电子设备

Country Status (1)

Country Link
CN (1) CN113037761B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114050911A (zh) * 2021-09-27 2022-02-15 度小满科技(北京)有限公司 一种容器远程登录方法及系统
CN114244554A (zh) * 2021-11-03 2022-03-25 上海七牛信息技术有限公司 一种基于ssh的登录方法和系统
CN114257578A (zh) * 2021-12-16 2022-03-29 上海幻电信息科技有限公司 信息验证方法及装置
CN117478368A (zh) * 2023-10-24 2024-01-30 北京城建智控科技股份有限公司 基于ssh协议的链接转发方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170279806A1 (en) * 2016-03-14 2017-09-28 Sami Marttinen Authentication in a Computer System
WO2019056913A1 (zh) * 2017-09-20 2019-03-28 腾讯科技(深圳)有限公司 一种容器登录方法、装置及存储介质
CN111669436A (zh) * 2020-05-21 2020-09-15 河南信大网御科技有限公司 拟态系统的ssh远程连接方法、拟态架构和可读存储介质
CN111786984A (zh) * 2020-06-28 2020-10-16 杭州海康威视数字技术股份有限公司 Pod通信连接方法、装置及电子设备、存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170279806A1 (en) * 2016-03-14 2017-09-28 Sami Marttinen Authentication in a Computer System
WO2019056913A1 (zh) * 2017-09-20 2019-03-28 腾讯科技(深圳)有限公司 一种容器登录方法、装置及存储介质
CN111669436A (zh) * 2020-05-21 2020-09-15 河南信大网御科技有限公司 拟态系统的ssh远程连接方法、拟态架构和可读存储介质
CN111786984A (zh) * 2020-06-28 2020-10-16 杭州海康威视数字技术股份有限公司 Pod通信连接方法、装置及电子设备、存储介质

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114050911A (zh) * 2021-09-27 2022-02-15 度小满科技(北京)有限公司 一种容器远程登录方法及系统
CN114050911B (zh) * 2021-09-27 2023-05-16 度小满科技(北京)有限公司 一种容器远程登录方法及系统
CN114244554A (zh) * 2021-11-03 2022-03-25 上海七牛信息技术有限公司 一种基于ssh的登录方法和系统
CN114257578A (zh) * 2021-12-16 2022-03-29 上海幻电信息科技有限公司 信息验证方法及装置
CN114257578B (zh) * 2021-12-16 2024-04-02 上海幻电信息科技有限公司 信息验证方法及装置
CN117478368A (zh) * 2023-10-24 2024-01-30 北京城建智控科技股份有限公司 基于ssh协议的链接转发方法及系统
CN117478368B (zh) * 2023-10-24 2024-10-11 北京城建智控科技股份有限公司 基于ssh协议的链接转发方法及系统

Also Published As

Publication number Publication date
CN113037761B (zh) 2022-08-16

Similar Documents

Publication Publication Date Title
CN113037761B (zh) 登录请求的验证方法及装置、存储介质、电子设备
CN111865598B (zh) 网络功能服务的身份校验方法及相关装置
CN110098947B (zh) 一种应用的部署方法、设备及系统
US9591064B2 (en) Method and apparatus for dynamic provisioning of communication services
CN104219127B (zh) 一种虚拟网络实例的创建方法以及设备
EP3800934A1 (en) Method for routing internet of things service
CN108881308B (zh) 一种用户终端及其认证方法、系统、介质
CN110326345B (zh) 一种配置网络切片的方法、装置和系统
CN103379010B (zh) 一种虚拟网络实现方法及系统
EP3648432A1 (en) Discovery method and device for network function service
CN114025021B (zh) 一种跨Kubernetes集群的通信方法、系统、介质和电子设备
CN112217771B (zh) 基于租户信息的数据转发方法及数据转发装置
CN103580980A (zh) 虚拟网络自动发现和自动配置的方法及其装置
US10361970B2 (en) Automated instantiation of wireless virtual private networks
CN113572689A (zh) 微服务网关管理方法、系统、设备、可读存储介质及产品
CN110365701B (zh) 客户终端设备的管理方法、装置、计算设备及存储介质
JP7535022B2 (ja) 機器をリモートで管理するための装置、方法及びそのためのプログラム
CN111371664B (zh) 一种虚拟专用网络接入方法及设备
CN114650281B (zh) 基于复杂网络的文件下载方法、装置、设备及存储介质
CN107733764B (zh) 虚拟可扩展局域网隧道的建立方法、系统以及相关设备
CN111385180A (zh) 通信隧道构建方法、装置、设备及介质
CN114629912B (zh) 基于mec的通信传输方法及装置
CN114884771B (zh) 基于零信任理念的身份化网络构建方法、装置和系统
CN110943975B (zh) 服务注册的方法、装置、计算机设备和存储介质
CN114518909A (zh) 基于api网关的授权信息配置方法、装置、设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant