CN114499907A - 一种网络设备协议Session池化实现方法及装置 - Google Patents

一种网络设备协议Session池化实现方法及装置 Download PDF

Info

Publication number
CN114499907A
CN114499907A CN202011266710.0A CN202011266710A CN114499907A CN 114499907 A CN114499907 A CN 114499907A CN 202011266710 A CN202011266710 A CN 202011266710A CN 114499907 A CN114499907 A CN 114499907A
Authority
CN
China
Prior art keywords
session
token
network element
protocol
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011266710.0A
Other languages
English (en)
Other versions
CN114499907B (zh
Inventor
王进
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Unihub China Information Technology Co Ltd
Original Assignee
Unihub China Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Unihub China Information Technology Co Ltd filed Critical Unihub China Information Technology Co Ltd
Priority to CN202011266710.0A priority Critical patent/CN114499907B/zh
Publication of CN114499907A publication Critical patent/CN114499907A/zh
Application granted granted Critical
Publication of CN114499907B publication Critical patent/CN114499907B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种网络设备协议Session池化实现方法及装置,其中,该方法包括:调用鉴权接口获取Token,鉴权通过,则调用操作接口执行操作并获取结果,否则直接结束。该方法及装置实现了底层连接协议交互过程屏蔽,仅暴露IT接口,使网络操作标准化,减少应用层系统开发负担;引入Session持久化机制,减少Session建立的时间开销和对设备性能的消耗,更快速响应应用层指令;后续可根据需要扩展新的协议适配支持。

Description

一种网络设备协议Session池化实现方法及装置
技术领域
本发明涉及网络管理领域,尤其是一种网络设备协议Session池化实现方法及装置。
背景技术
传统的网络管理依赖SSH、Telnet和SNMP等手段,加之新型的协议如Netconf等,均是面向连接的协议,需要与设备建立并保持Session以获得服务交互和响应。对于多个基于网络的服务层应用来说,均需要开发一套独立的设备连接机制,带来以下三个问题:
(1)多个服务层应用维护建立Session所需的认证信息,会引入安全管控的难点;
(2)多个服务层应用频繁建立和释放Session对设备本身带来了较大的性能损耗,可能会影响设备稳定性;
(3)由于设备的锁机制,多个服务层应用的某些配置操作会互相冲突,继而引入混乱,导致设备可维护性降低。
发明内容
为解决上述存在的问题,本发明提供一种网络设备协议Session池化实现方法及装置,通过网络设备连接Session池化,减少因频繁建立和释放Session对设备性能带来的损耗,简化应用层服务开发。
为实现上述目的,本发明采用下述技术方案:
在本发明一实施例中,提出了一种网络设备协议Session池化实现方法,该方法包括:
步骤一,调用鉴权接口获取Token
客户端调用服务API,以本地服务器IP地址、用户名及私钥的MD5摘要信息发起Token获取请求;
服务端用本地记录的客户侧服务IP地址、用户名及鉴权信息求取私钥的MD5摘要信息,与客户端发送的私钥的MD5摘要信息进行比较,若一致则通过,否则判定为非法访问,直接拒绝;
鉴权通过后,服务端发回有效的Token,作为后续客户端与服务端交互的公钥,Token有效期为5分钟,超时后需重新约定Token;
步骤二,调用操作接口执行操作并获取结果
客户端调用操作API,以网元IP、连接协议、网元鉴权信息及设备指令发起执行操作请求;
服务端根据客户端请求中的Token做权限校验,若校验不通过则返回400错误,否则继续;
鉴权通过后,以Token为秘钥,对网元鉴权信息字段进行解密,获取鉴权信息明文;
根据请求中的连接协议及设备指令,以网元IP为标识向指定的网元发起Session连接和指令执行操作;
将设备执行返回的交互日志信息使用Token加密后,返回给客户端。
进一步地,根据请求中的连接协议及设备指令,以网元IP为标识向指定的网元发起Session连接和指令执行操作,包括:
根据请求中的网元IP和连接协议,查询当前Session池中是否有可用Session,若有则刷新Session存活时间,新的存活时间为当前时间+配置的续租时间,跳过下一步;
若当前Session池中没有可用Session,则使用Token解密网元鉴权信息,使用连接协议建立Session,若Session建立失败,则返回500错误,错误描述为“无法建立该协议的连接”;若Session建立成功,则将该Session保持在内存中,存活时间为配置的续租时间;
使用上述两步中Session与设备进行指令交互,获取指令执行操作结果后返回给客户端。
进一步地,步骤一中的客户侧服务IP地址是从HTTP请求中提取的。
进一步地,步骤二中的网元IP是设备的Loopback。
进一步地,步骤二中的连接协议包括Telnet、SSH和Netconf。
进一步地,步骤二中的Session连接的认证方式包括用户名及密码和CA证书。
在本发明一实施例中,还提出了一种网络设备协议Session池化实现装置,该装置包括:
调用鉴权接口获取Token模块,用于:
客户端调用服务API,以本地服务器IP地址、用户名及私钥的MD5摘要信息发起Token获取请求;
服务端用本地记录的客户侧服务IP地址、用户名及鉴权信息求取私钥的MD5摘要信息,与客户端发送的私钥的MD5摘要信息进行比较,若一致则通过,否则判定为非法访问,直接拒绝;
鉴权通过后,服务端发回有效的Token,作为后续客户端与服务端交互的公钥,Token有效期为5分钟,超时后需重新约定Token;
调用操作接口执行操作并获取结果模块,用于:
客户端调用操作API,以网元IP、连接协议、网元鉴权信息及设备指令发起执行操作请求;
服务端根据客户端请求中的Token做权限校验,若校验不通过则返回400错误,否则继续;
鉴权通过后,以Token为秘钥,对网元鉴权信息字段进行解密,获取鉴权信息明文;
根据请求中的连接协议及设备指令,以网元IP为标识向指定的网元发起Session连接和指令执行操作;
将设备执行返回的交互日志信息使用Token加密后,返回给客户端。
进一步地,根据请求中的连接协议及设备指令,以网元IP为标识向指定的网元发起Session连接和指令执行操作,包括:
根据请求中的网元IP和连接协议,查询当前Session池中是否有可用Session,若有则刷新Session存活时间,新的存活时间为当前时间+配置的续租时间,跳过下一步;
若当前Session池中没有可用Session,则使用Token解密网元鉴权信息,使用连接协议建立Session,若Session建立失败,则返回500错误,错误描述为“无法建立该协议的连接”;若Session建立成功,则将该Session保持在内存中,存活时间为配置的续租时间;
使用上述两步中Session与设备进行指令交互,获取指令执行操作结果后返回给客户端。
进一步地,调用鉴权接口获取Token模块中的客户侧服务IP地址是从HTTP请求中提取的。
进一步地,调用操作接口执行操作并获取结果模块中的网元IP是设备的Loopback。
进一步地,调用操作接口执行操作并获取结果模块中的连接协议包括Telnet、SSH和Netconf。
进一步地,调用操作接口执行操作并获取结果模块中的Session连接的认证方式包括用户名及密码和CA证书。
在本发明一实施例中,还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现前述网络设备协议Session池化实现方法。
在本发明一实施例中,还提出了一种计算机可读存储介质,计算机可读存储介质存储有执行网络设备协议Session池化实现方法的计算机程序。
有益效果:
1、底层连接协议交互过程屏蔽,仅暴露IT接口,使网络操作标准化,减少应用层系统开发负担。
2、引入Session持久化机制,减少Session建立的时间开销和对设备性能的消耗,更快速响应应用层指令。
3、后续可根据需要扩展新的协议适配支持。
附图说明
图1是本发明一实施例的网络设备协议Session池化实现方法流程示意图;
图2是本发明一实施例的服务端Session连接方法流程示意图;
图3是本发明一实施例的网络设备协议Session池化实现装置结构示意图;
图4是本发明一实施例的计算机设备结构示意图。
具体实施方式
下面将参考若干示例性实施方式来描述本发明的原理和精神,应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
根据本发明的实施方式,提出了一种网络设备协议Session池化实现方法及装置,将网络操作标准化为IT接口,协议连接过程插件化。
下面参考本发明的若干代表性实施方式,详细阐释本发明的原理和精神。
图1是本发明一实施例的网络设备协议Session池化实现方法流程示意图。如图1所示,该方法包括:调用鉴权接口获取Token,鉴权通过,则调用操作接口执行操作并获取结果,否则直接结束;具体如下:
1、服务API:
Token鉴权API
Token获取请求参数如下表1:
表1 Token获取请求参数表
字段名称 字段类型 取值说明
用户名 String 例如:test
鉴权信息 String 名称、私钥的MD5摘要信息
请求时间 String 2020-08-22 10:16:21
Token获取返回参数如下表2:
表2 Token获取返回参数表
字段名称 字段类型 取值说明
鉴权结果 Integer 200-通过;400-不通过
Token String 服务端随机生成的Token字符串
返回时间 String 2020-08-22 10:16:22
交互过程如下:
(1)客户端调用服务API,以本地服务器IP地址、用户名称和私钥的MD5摘要信息发起Token获取请求;
(2)服务端用本地记录的客户侧服务IP地址(从HTTP请求中提取)、用户名称和鉴权信息求取私钥的MD5摘要信息,与客户端发送的私钥的MD5摘要信息进行比较,一致则通过,不一致则判定为非法访问,直接拒绝;
(4)通过鉴权后,服务端发回有效的Token,作为后续客户端与服务端交互的公钥,Token有效期为5分钟,超时后需重新约定Token。
2、操作API
执行操作请求参数如下表3:
表3执行操作请求参数表
Figure BDA0002776298000000081
上表3中,网元IP一般是设备的Loopback,例如10.1.1.1;连接协议,例如Telnet、SSH、Netconf等;Session连接认证方式,例如用户名和密码、CA证书等。
执行操作返回参数如下表4:
表4执行操作返回参数表
Figure BDA0002776298000000091
交互过程如下:
(1)客户端调用操作API,发起网络操作请求,请求中指明网元IP、连接协议、鉴权信息及设备指令;
(2)服务端根据客户端请求中的Token做权限校验,若校验不通过则返回400错误,否则继续;
(3)通过鉴权后,以Token为秘钥,对网元鉴权信息字段进行解密,获取鉴权信息明文;
(4)根据请求的连接协议及设备指令,向指定的网元(以网元IP标识)发起Session连接和指令执行操作;
将设备执行返回的交互日志信息使用Token加密后,返回给客户端。
图2是本发明一实施例的服务端Session连接方法流程示意图。如图2所示,具体如下:
(1)根据请求中的网元IP和连接协议,查询当前Session池中是否有可用Session,若有则刷新Session存活时间,新的存活时间为当前时间+300s(300s为续租时间,可配置),跳过第2步;
(2)若当前Session池中没有可用Session,则使用Token解密网元鉴权信息,使用连接协议建立Session,若Session建立失败,则返回500错误,错误描述为“无法建立该协议的连接”;若Session建立成功,则将该Session保持在内存中,存活时间默认为300s(300s为续租时间,可配置);
(3)使用上述两步中Session与设备进行指令交互,获取指令执行操作结果后返回给客户端。
需要说明的是,尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
为了对上述网络设备协议Session池化实现方法进行更为清楚的解释,下面结合一个具体的实施例来进行说明,然而值得注意的是该实施例仅是为了更好地说明本发明,并不构成对本发明不当的限定。
以Telnet协议为例说明:
1、Telnet Session建立需要的元素:网元IP、端口(Telnet协议默认端口23)、用户名和密码;
2、获取端口配置的指令为:display current-configuration interfaceGigabitEthernet3/0/2
3、获取设备配置文件指令执行结果为:
interface GigabitEthernet3/0/2
description ThisIsaTestCase
undo shutdown
eth-trunk 21
undo dcn
port-queue be wfq weight 30 outbound
port-queue af1 wfq weight 15 outbound
port-queue af4 pq shaping shaping-percentage 10 low-latency outbound
port-queue ef wfq weight 50 outbound
port-queue cs6 wfq weight 5 outbound
GigabitEthernet3/0/2是一个变量,本例中查看端口3/0/2的配置。
基于同一发明构思,本发明还提出一种网络设备协议Session池化实现装置。该装置的实施可以参见上述方法的实施,重复之处不再赘述。以下所使用的术语“模块”,可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是本发明一实施例的网络设备协议Session池化实现装置结构示意图。如图3所示,该装置包括:
调用鉴权接口获取Token模块101,用于:
客户端调用服务API,以本地服务器IP地址、用户名及私钥的MD5摘要信息发起Token获取请求;
服务端用本地记录的客户侧服务IP地址(从HTTP请求中提取)、用户名及鉴权信息求取私钥的MD5摘要信息,与客户端发送的私钥的MD5摘要信息进行比较,若一致则通过,否则判定为非法访问,直接拒绝;
鉴权通过后,服务端发回有效的Token,作为后续客户端与服务端交互的公钥,Token有效期为5分钟,超时后需重新约定Token;
调用操作接口执行操作并获取结果模块102,用于:
客户端调用操作API,以网元IP、连接协议、网元鉴权信息及设备指令发起执行操作请求;
服务端根据客户端请求中的Token做权限校验,若校验不通过则返回400错误,否则继续;
鉴权通过后,以Token为秘钥,对网元鉴权信息字段进行解密,获取鉴权信息明文;
根据请求中的连接协议及设备指令,以网元IP为标识向指定的网元发起Session连接和指令执行操作;具体如下:
根据请求中的网元IP和连接协议,查询当前Session池中是否有可用Session,若有则刷新Session存活时间,新的存活时间为当前时间+配置的续租时间,跳过下一步;
若当前Session池中没有可用Session,则使用Token解密网元鉴权信息,使用连接协议建立Session,若Session建立失败,则返回500错误,错误描述为“无法建立该协议的连接”;若Session建立成功,则将该Session保持在内存中,存活时间为配置的续租时间;
使用上述两步中Session与设备进行指令交互,获取指令执行操作结果后返回给客户端;
将设备执行返回的交互日志信息使用Token加密后,返回给客户端。
应当注意,尽管在上文详细描述中提及了网络设备协议Session池化实现装置的若干模块,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之,上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
基于前述发明构思,如图4所示,本发明还提出一种计算机设备200,包括存储器210、处理器220及存储在存储器210上并可在处理器220上运行的计算机程序230,处理器220执行计算机程序230时实现前述网络设备协议Session池化实现方法。
基于前述发明构思,本发明还提出一种计算机可读存储介质,计算机可读存储介质存储有执行前述网络设备协议Session池化实现方法的计算机程序。
本发明提出的网络设备协议Session池化实现方法及装置的优点如下:
1、底层连接协议交互过程屏蔽,仅暴露IT接口,使网络操作标准化,减少应用层系统开发负担。
2、引入Session持久化机制,减少Session创建的时间开销和对设备性能的消耗,更快速响应应用层指令。
3、后续可根据需要扩展新的协议适配支持。
虽然已经参考若干具体实施方式描述了本发明的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合以进行受益,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (14)

1.一种网络设备协议Session池化实现方法,其特征在于,该方法包括:
步骤一,调用鉴权接口获取Token
客户端调用服务API,以本地服务器IP地址、用户名及私钥的MD5摘要信息发起Token获取请求;
服务端用本地记录的客户侧服务IP地址、用户名及鉴权信息求取私钥的MD5摘要信息,与客户端发送的私钥的MD5摘要信息进行比较,若一致则通过,否则判定为非法访问,直接拒绝;
鉴权通过后,服务端发回有效的Token,作为后续客户端与服务端交互的公钥,Token有效期为5分钟,超时后需重新约定Token;
步骤二,调用操作接口执行操作并获取结果
客户端调用操作API,以网元IP、连接协议、网元鉴权信息及设备指令发起执行操作请求;
服务端根据客户端请求中的Token做权限校验,若校验不通过则返回400错误,否则继续;
鉴权通过后,以Token为秘钥,对网元鉴权信息字段进行解密,获取鉴权信息明文;
根据请求中的连接协议及设备指令,以网元IP为标识向指定的网元发起Session连接和指令执行操作;
将设备执行返回的交互日志信息使用Token加密后,返回给客户端。
2.根据权利要求1所述的网络设备协议Session池化实现方法,其特征在于,根据请求中的连接协议及设备指令,以网元IP为标识向指定的网元发起Session连接和指令执行操作,包括:
根据请求中的网元IP和连接协议,查询当前Session池中是否有可用Session,若有则刷新Session存活时间,新的存活时间为当前时间+配置的续租时间,跳过下一步;
若当前Session池中没有可用Session,则使用Token解密网元鉴权信息,使用连接协议建立Session,若Session建立失败,则返回500错误,错误描述为“无法建立该协议的连接”;若Session建立成功,则将该Session保持在内存中,存活时间为配置的续租时间;
使用上述两步中Session与设备进行指令交互,获取指令执行操作结果后返回给客户端。
3.根据权利要求1所述的网络设备协议Session池化实现方法,其特征在于,所述步骤一中的客户侧服务IP地址是从HTTP请求中提取的。
4.根据权利要求1所述的网络设备协议Session池化实现方法,其特征在于,所述步骤二中的网元IP是设备的Loopback。
5.根据权利要求1所述的网络设备协议Session池化实现方法,其特征在于,所述步骤二中的连接协议包括Telnet、SSH和Netconf。
6.根据权利要求1所述的网络设备协议Session池化实现方法,其特征在于,所述步骤二中的Session连接的认证方式包括用户名及密码和CA证书。
7.一种网络设备协议Session池化实现装置,其特征在于,该装置包括:
调用鉴权接口获取Token模块,用于:
客户端调用服务API,以本地服务器IP地址、用户名及私钥的MD5摘要信息发起Token获取请求;
服务端用本地记录的客户侧服务IP地址、用户名及鉴权信息求取私钥的MD5摘要信息,与客户端发送的私钥的MD5摘要信息进行比较,若一致则通过,否则判定为非法访问,直接拒绝;
鉴权通过后,服务端发回有效的Token,作为后续客户端与服务端交互的公钥,Token有效期为5分钟,超时后需重新约定Token;
调用操作接口执行操作并获取结果模块,用于:
客户端调用操作API,以网元IP、连接协议、网元鉴权信息及设备指令发起执行操作请求;
服务端根据客户端请求中的Token做权限校验,若校验不通过则返回400错误,否则继续;
鉴权通过后,以Token为秘钥,对网元鉴权信息字段进行解密,获取鉴权信息明文;
根据请求中的连接协议及设备指令,以网元IP为标识向指定的网元发起Session连接和指令执行操作;
将设备执行返回的交互日志信息使用Token加密后,返回给客户端。
8.根据权利要求7所述的网络设备协议Session池化实现装置,其特征在于,根据请求中的连接协议及设备指令,以网元IP为标识向指定的网元发起Session连接和指令执行操作,包括:
根据请求中的网元IP和连接协议,查询当前Session池中是否有可用Session,若有则刷新Session存活时间,新的存活时间为当前时间+配置的续租时间,跳过下一步;
若当前Session池中没有可用Session,则使用Token解密网元鉴权信息,使用连接协议建立Session,若Session建立失败,则返回500错误,错误描述为“无法建立该协议的连接”;若Session建立成功,则将该Session保持在内存中,存活时间为配置的续租时间;
使用上述两步中Session与设备进行指令交互,获取指令执行操作结果后返回给客户端。
9.根据权利要求7所述的网络设备协议Session池化实现装置,其特征在于,所述调用鉴权接口获取Token模块中的客户侧服务IP地址是从HTTP请求中提取的。
10.根据权利要求7所述的网络设备协议Session池化实现装置,其特征在于,所述调用操作接口执行操作并获取结果模块中的网元IP是设备的Loopback。
11.根据权利要求7所述的网络设备协议Session池化实现装置,其特征在于,所述调用操作接口执行操作并获取结果模块中的连接协议包括Telnet、SSH和Netconf。
12.根据权利要求7所述的网络设备协议Session池化实现装置,其特征在于,所述调用操作接口执行操作并获取结果模块中的Session连接的认证方式包括用户名及密码和CA证书。
13.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-6任一项所述方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1-6任一项所述方法的计算机程序。
CN202011266710.0A 2020-11-13 2020-11-13 一种网络设备协议Session池化实现方法及装置 Active CN114499907B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011266710.0A CN114499907B (zh) 2020-11-13 2020-11-13 一种网络设备协议Session池化实现方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011266710.0A CN114499907B (zh) 2020-11-13 2020-11-13 一种网络设备协议Session池化实现方法及装置

Publications (2)

Publication Number Publication Date
CN114499907A true CN114499907A (zh) 2022-05-13
CN114499907B CN114499907B (zh) 2023-06-23

Family

ID=81490160

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011266710.0A Active CN114499907B (zh) 2020-11-13 2020-11-13 一种网络设备协议Session池化实现方法及装置

Country Status (1)

Country Link
CN (1) CN114499907B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140289830A1 (en) * 2013-03-22 2014-09-25 Robert K. Lemaster Method and system of a secure access gateway
CN104580496A (zh) * 2015-01-22 2015-04-29 深圳先进技术研究院 一种基于临时代理的虚拟机访问系统及服务器
US20170048233A1 (en) * 2015-08-14 2017-02-16 Salesforce.Com, Inc. Background authentication refresh
CN110086802A (zh) * 2019-04-24 2019-08-02 上海易点时空网络有限公司 用于会话的鉴权方法及装置
CN111371725A (zh) * 2018-12-25 2020-07-03 成都鼎桥通信技术有限公司 一种提升会话机制安全性的方法、终端设备和存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140289830A1 (en) * 2013-03-22 2014-09-25 Robert K. Lemaster Method and system of a secure access gateway
CN104580496A (zh) * 2015-01-22 2015-04-29 深圳先进技术研究院 一种基于临时代理的虚拟机访问系统及服务器
US20170048233A1 (en) * 2015-08-14 2017-02-16 Salesforce.Com, Inc. Background authentication refresh
CN111371725A (zh) * 2018-12-25 2020-07-03 成都鼎桥通信技术有限公司 一种提升会话机制安全性的方法、终端设备和存储介质
CN110086802A (zh) * 2019-04-24 2019-08-02 上海易点时空网络有限公司 用于会话的鉴权方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王红霞;: "关联多系统的免登录的设计和实现", 电脑知识与技术(学术交流) *

Also Published As

Publication number Publication date
CN114499907B (zh) 2023-06-23

Similar Documents

Publication Publication Date Title
CN108901022B (zh) 一种微服务统一鉴权方法及网关
US10958640B2 (en) Fast smart card login
US9992176B2 (en) Systems and methods for encrypted communication in a secure network
EP3400692B1 (en) Systems and methods for the detection of advanced attackers using client side honeytokens
US7356601B1 (en) Method and apparatus for authorizing network device operations that are requested by applications
US10887298B2 (en) System and method for pool-based identity authentication for service access without use of stored credentials
KR101414312B1 (ko) 클라이언트로부터 서버로 사용자 자격 증명들을 위임하는 방법, 애플리케이션 프로그래밍 인터페이스, 및 클라이언트컴퓨팅 장치
JP5570610B2 (ja) 遠隔ユーザ・セッションのためのシングル・サインオン
EP3742289B1 (en) Virtual delivery appliance with remote authentication and related methods
US8695076B2 (en) Remote registration for enterprise applications
Cox et al. Security in plan 9
JP2009538478A5 (zh)
JP2022533890A (ja) 異なる認証クレデンシャルを有する認証トークンに基づいてセッションアクセスを提供するコンピューティングシステムおよび方法
CN106330816A (zh) 一种登录云桌面的方法和系统
US11100209B2 (en) Web client authentication and authorization
CN113595847B (zh) 远程接入方法、系统、设备和介质
CN112738800A (zh) 一种网络切片的数据安全传输实现方法
US10931662B1 (en) Methods for ephemeral authentication screening and devices thereof
US20190222574A1 (en) Automating establishment of initial mutual trust during deployment of a virtual appliance in a managed virtual data center environment
CN114499907B (zh) 一种网络设备协议Session池化实现方法及装置
Thorpe SSU: Extending SSH for Secure Root Administration.
CN113114464A (zh) 统一安全管理系统及身份认证方法
CN114301639B (zh) 一种连接建立方法及装置
CN117436050A (zh) 大数据组件管理方法、装置、设备及存储介质
CN117155904A (zh) 一种服务注册方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant