本发明专利技术公开了一种支持多用户和多网络协议、可动态扩展的树状网络代理系统,具体包括:根节点、若干中间节点、若干叶子节点,所述根节点所在的入口主机部署有用户身份认证模块、网络代理服务模块,所述中间节点和叶子节点均部署有网络代理服务模块,所述根节点所在的入口主机和所述中间节点所在的中转主机之间部署有数据库记录模块。本发明专利技术通过部署用户身份认证模块、数据库记录模块,并根据数据中心的网络实际情况灵活部署和配置网络代理服务模块以形成树状网络代理系统,在不改变数据中心现有网络架构的情况下为用户访问数据中心的内部服务提供统一的入口,并提供多用户访问的灵活性和安全性,减少数据中心的网络建设成本。
A Dynamic Extensible Tree Network Agent System Supporting Multi-Users and Multi-Network Protocols
【技术实现步骤摘要】
一种支持多用户和多网络协议、可动态扩展的树状网络代理系统
本专利技术涉及计算机网络通信领域,更具体地,涉及一种支持多用户和多网络协议、可动态扩展的树状网络代理系统。
技术介绍
网络环境是数据中心的重要组成部分,目前大部分数据中心都采用多层网络架构,并且包含多种不同类型的网络,如千兆以太网、万兆以太网和INFINIBAND高速网。不同类型的网络之间无法混用,比如INFINIBAND的网络交换机只能接INFINIBAND类型的网线,不能接以太网类型的网线,反之亦然。因此处于不同网络类型之间的主机只能通过带有多种网卡类型的中转主机来转发数据包以实现跨网络层的通信。数据中心一般只为用户提供单一接入点,并且对安全性的要求也较高,用户需要通过VPN类型的软件来访问接入点。但VPN软件一般不具备网络代理的功能,用户通过接入点无法直接访问处于不同网络类型和网络层次的主机上的服务,用户需要自行在不同的中转主机上跳转以访问所需的服务。现有的网络代理软件通常只支持链式的部署方式,无法很好地适应数据中心的复杂网络架构,对于访问安全性的支持也有所欠缺,无法针对服务进行灵活设置。
技术实现思路
本专利技术要解决的技术问题是如何降低数据中心在网络方面的建设成本以及减少网络架构的复杂度,为用户访问数据中心的内部服务提供统一的入口点,同时提高多用户访问的灵活性和安全性。本专利技术的首要目的是为解决上述技术问题,本专利技术的技术方案如下:一种支持多用户和多网络协议、可动态扩展的树状网络代理系统,包括:根节点、若干中间节点、若干叶子节点,所述根节点所在的入口主机部署有用户身份认证模块、网络代理服务模块,所述中间节点和叶子节点均部署有网络代理服务模块,所述根节点所在的入口主机和所述中间节点所在的中转主机之间部署有数据库记录模块;所述用户身份认证模块用于用户身份验证,用户使用浏览器通过主域名访问所述用户身份认证模块来进行身份验证,验证信息来源于所述数据库记录模块;若身份验证通过则为用户返回JWT格式的令牌并使用户浏览器将其保存在主域名的cookie中,后续用户通过次级域名访问树状网络代理系统的根节点时浏览器将自动发送cookie中的所述令牌避免重复进行用户身份验证;所述网络代理服务模块能够配置为树状网络代理系统的根节点、中间节点、叶子节点,通过所述根节点、中间节点、叶子节点形成整个树状网络代理系统的拓扑结构;所述数据库记录模块用于保存用户身份信息、树状网络代理系统的拓扑结构、各类服务所在的主机位置、服务的创建者和访问控制级别,为整个树状网络代理系统提供辅助功能。进一步地,用户使用所述令牌即能够访问树状网络代理系统的根节点,由根节点直接访问树状网络代理系统数据中心的内部服务。进一步地,除了根节点,中间节点和叶子节点的数目可能够动态扩展以适应物理网络的架构。进一步地,所述网络代理服务模块能够根据其所处树状网络代理系统的位置来转发用户请求,处于根节点和中间节点的网络代理服务模块通过树状网络代理系统的网络拓扑结构信息以及服务所在主机的位置信息来将用户请求转发到其它中间节点或叶子节点,叶子节点的网络代理服务模块通过服务所在主机的位置信息来将用户请求转发到树状网络代理系统内部网络对应主机上的服务,获取到服务响应后原路返回给用户。进一步地,所述网络代理服务模块支持的转发网络协议包括:HTTP、HTTPS、WEBSOCKET和SSH,用户使用浏览器通过不同的次级域名来直接访问不同的服务,所述不同的次级域名通过域名泛解析的方式均映射到树状网络代理系统的根节点上,通过根节点进行用户请求的转发和应答的转发。进一步地,所述网络代理服务模块支持针对不同服务分别设置不同的访问控制级别,同时支持使用共享码在不同用户之间共享服务,以保证多用户环境下服务访问的安全性。与现有技术相比,本专利技术技术方案的有益效果是:本专利技术通过部署用户身份认证模块、数据库记录模块,并根据数据中心的网络实际情况灵活部署和配置网络代理服务模块以形成树状网络代理系统,在不改变数据中心现有网络架构的情况下为用户访问数据中心的内部服务提供统一的入口,并提供多用户访问的灵活性和安全性,减少数据中心的网络建设成本。附图说明图1为现有数据中心采用的网络架构图。图2为是使用本专利技术实施例的树状网络代理系统的结构图。图3是实施例的部署和配置流程示意图。图4是实施例的用户身份信息验证的流程示意图。图5是实施例的用户服务访问流程示意图。图6是实施例的访问权限控制流程示意图。具体实施方式下面结合附图和实施例对本专利技术的技术方案做进一步的说明。实施例1本专利技术实施例描述了一种支持多用户和多网络协议、可动态扩展的树状网络代理系统的实现方法,为用户访问多网络架构下的数据中心的内部服务提供统一的入口,并为多用户的访问提供灵活性和安全性。现有技术中,VPN软件只能为用户访问数据中心提供安全的接入点,网络代理软件通常只支持链式的部署方式,无法很好地适应数据中心的复杂网络架构,对于访问安全性的支持也有所欠缺,无法针对服务进行灵活设置。下面先对本专利技术实施例中所用到的缩略语和关键术语做一个简要的说明:HTTP:超文本传输协议,是一种用于分布式、协作式和超媒体信息系统的应用层协议。HTTP是万维网的数据通信的基础,其设计初衷是为了提供一种发布和接收HTML页面的方法。通过HTTP或者HTTPS协议请求的资源由统一资源标识符来标识。HTTPS:超文本传输安全协议,是一种透过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。HTTPS开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。WEBSOCKET:WEBSOCKET是一种在单个TCP连接上进行全双工通信的协议。WEBSOCKET通信协议于2011年被IETF定为标准RFC6455,并由RFC7936补充规范。WEBSOCKETAPI也被W3C定为标准。WEBSOCKET使得客户端和服务器之间的数据交换变得更加简单,允许服务器主动地向客户端推送数据。SSH:是一种加密的网络传输协议,可在不安全的网络中为网络服务提供安全的传输环境。SSH通过在网络中创建安全隧道来实现SSH客户端与服务器之间的连接。虽然任何网络服务都可以通过SSH实现安全传输,SSH最常见的用途是远程登录系统,人们通常利用SSH来传输命令行界面和远程执行命令。泛域名解析:利用通配符*(星号)来做次级域名的映射以实现所有的次级域名都指向同一IP地址。为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图对本专利技术实施例中的技术方案进行更详细的说明。显然,所描述的实施例是本专利技术的部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。如图1是现有数据中心采用的网络架构图,用户在互联网上通过VPN软件安全地接入数据中心的网关,通过入口主机跳转到中转主机,通过中转主机访问目标主机上的服务。中转主机的数目和层次不限于本图所示。图2是本专利技术树状网络代理系统的一种实施例,包括:身份认证模块,部署于入口主机上,用于用户身份验证及令牌生成;网络代理服务模块,其中根节点部署于入口本文档来自技高网...
【技术保护点】
1.一种支持多用户和多网络协议、可动态扩展的树状网络代理系统,其特征在于,包括:根节点、若干中间节点、若干叶子节点,所述根节点所在的入口主机部署有用户身份认证模块、网络代理服务模块,所述中间节点和叶子节点均部署有网络代理服务模块,所述根节点所在的入口主机和所述中间节点所在的中转主机之间部署有数据库记录模块;所述用户身份认证模块用于用户身份验证,用户使用浏览器通过主域名访问所述用户身份认证模块来进行身份验证,验证信息来源于所述数据库记录模块;若身份验证通过则为用户返回JWT格式的令牌并使用户浏览器将其保存在主域名的cookie中,后续用户通过次级域名访问树状网络代理系统的根节点时浏览器将自动发送cookie中的所述令牌避免重复进行用户身份验证;所述网络代理服务模块能够配置为树状网络代理系统的根节点、中间节点、叶子节点,通过所述根节点、中间节点、叶子节点节形成整个树状网络代理系统的拓扑结构;所述数据库记录模块用于保存用户身份信息、树状网络代理系统的拓扑结构、各类服务所在的主机位置、服务的创建者和访问控制级别,为整个树状网络代理系统提供辅助功能。
【技术特征摘要】
1.一种支持多用户和多网络协议、可动态扩展的树状网络代理系统,其特征在于,包括:根节点、若干中间节点、若干叶子节点,所述根节点所在的入口主机部署有用户身份认证模块、网络代理服务模块,所述中间节点和叶子节点均部署有网络代理服务模块,所述根节点所在的入口主机和所述中间节点所在的中转主机之间部署有数据库记录模块;所述用户身份认证模块用于用户身份验证,用户使用浏览器通过主域名访问所述用户身份认证模块来进行身份验证,验证信息来源于所述数据库记录模块;若身份验证通过则为用户返回JWT格式的令牌并使用户浏览器将其保存在主域名的cookie中,后续用户通过次级域名访问树状网络代理系统的根节点时浏览器将自动发送cookie中的所述令牌避免重复进行用户身份验证;所述网络代理服务模块能够配置为树状网络代理系统的根节点、中间节点、叶子节点,通过所述根节点、中间节点、叶子节点节形成整个树状网络代理系统的拓扑结构;所述数据库记录模块用于保存用户身份信息、树状网络代理系统的拓扑结构、各类服务所在的主机位置、服务的创建者和访问控制级别,为整个树状网络代理系统提供辅助功能。2.根据权利要求1所述的一种支持多用户和多网络协议、可动态扩展的树状网络代理系统,其特征在于,用户使用所述令牌即能够访问树状网络代理系统的根节点,由根节点直接访问树状网络代理系统数据中心的内部服务。3.根据权利要求1所述的一种支...
【专利技术属性】
技术研发人员:卢宇彤,郭贵鑫,杜云飞,钟康游,杜量,刘志聪,李江,曹鹏,赵帅帅,
申请(专利权)人:中山大学,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。