节点安全运维方法、装置、设备以及存储介质与流程

1.本公开涉及运维管控技术领域，尤其涉及节点安全运维方法、装置、设备以及存储介质。


背景技术：

2.随着互联网行业的蓬勃发展，除了各类网络攻击之外，一些黑客入侵情况也并不鲜见。这种事件相对于网络攻击有着更大的破坏力，系统被入侵，信息可能丢失，泄露，应用系统就会毁于一旦。随之而来的是业务长时间中断，使运维行业带来前所未有的挑战。尤其是在全球互联网环境下，如何在一个统一管理平台下，实现对众多节点实现一键自动化的安全运维管理，同时保证统一管理平台的匿名安全性，是亟需解决的一个问题。


技术实现要素：

3.本公开提供了一种节点安全运维方法、装置、设备以及存储介质。
4.根据本公开的第一方面，提供了一种节点安全运维方法。该方法包括：响应于接收到运维操作指令及目标末级节点的ip地址；根据所述目标末级节点的ip地址确定对应的唯一标识id；根据所述目标末级节点的ip地址确定对应的目标中转节点；将所述唯一标识id和所述运维操作指令发送给所述目标中转节点，以便所述目标中转节点根据所述唯一标识id确定所述目标末级节点并向所述目标末级节点转发所述运维操作指令。
5.进一步地，所述运维管理平台服务器存储有多个末级节点的ip地址及其对应的唯一标识id，其中，对于任意一个唯一标识id的生成过程，包括：根据末级节点的ip地址和预设字符串生成标识码；对所述标识码进行md5加密得到末级节点的唯一标识id。
6.进一步地，所述运维管理平台服务器存储有中转节点与末级节点的对应关系，所述根据所述目标末级节点的ip地址确定对应的目标中转节点，包括：根据所述目标末级节点的ip地址在预先存储的中转节点与末级节点的对应关系中查找对应的中转节点，得到所述目标中转节点。
7.进一步地，所述目标中转节点存储有多个末级节点的ip地址及其对应的唯一标识id，所述根据所述唯一标识id确定所述目标末级节点并向所述目标末级节点转发所述运维操作指令，包括：响应于接收到所述运维操作指令和所述唯一标识id，根据所述唯一标识id确定所述目标末级节点的ip地址；根据所述目标末级节点的ip地址向所述目标末级节点发送所述运维操作指令，以便所述目标末级节点根据所述运维操作指令进行运维操作并返回状态数据。
8.进一步地，所述目标末级节点根据所述运维操作指令进行运维操作并返回状态数
据，包括：所述目标末级节点响应于接收到所述运维操作指令，根据所述运维操作指令进行数据采集；对采集到的数据进行加密，得到加密后的状态数据；对所述加密后的状态数据进行md5计算，得到验证值；将所述加密后的状态数据和所述验证值发送给所述目标中转节点，以便所述目标中转节点将所述加密后的状态数据和所述验证值转发给所述运维管理平台服务器。
9.进一步地，所述方法还包括：响应于接收到所述加密后的状态数据和所述验证值，对所述加密后的状态数据进行md5计算，得到校验值；根据所述验证值和所述校验值对所述加密后的状态数据进行校验；响应于校验正确，对所述加密后的状态数据进行解密及存储。
10.进一步地，所述方法还包括：响应于预设时间内未接收到所述加密后的状态数据，向所述目标中转节点发送重启所述目标末级节点的指令，以便所述目标中转节点将重启指令转发给所述目标末级节点。
11.根据本公开的第二方面，提供了一种节点安全运维装置。该装置包括：信息获取模块，用于响应于接收到运维操作指令及目标末级节点的ip地址；根据所述目标末级节点的ip地址确定对应的唯一标识id；中转节点确定模块，用于根据所述目标末级节点的ip地址确定对应的目标中转节点；运维操作指令发送模块，用于将所述唯一标识id和所述运维操作指令发送给所述目标中转节点，以便所述目标中转节点根据所述唯一标识id确定所述目标末级节点并向所述目标末级节点转发所述运维操作指令。
12.根据本公开的第三方面，提供了一种电子设备。该电子设备包括：存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述程序时实现如以上所述的方法。
13.根据本公开的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如根据本公开的第一方面所述的方法。
14.本公开的实施例提供了一种节点安全运维方法、装置、设备以及存储介质。通过目标末级节点的ip地址确定对应的唯一标识id；根据所述目标末级节点的ip地址确定对应的目标中转节点；将所述唯一标识id和所述运维操作指令发送给所述目标中转节点，以便所述目标中转节点根据所述唯一标识id确定所述目标末级节点并向所述目标末级节点转发所述运维操作指令。以此方式，可以在一个统一管理平台下，实现对众多节点一键自动化的安全运维管理，同时，不会从末级节点直接溯源到统一管理平台的ip及位置，保证统一管理平台的匿名安全性。
15.应当理解，发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征，亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
16.结合附图并参考以下详细说明，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案，不构成对本公开的限定在附图中，相同或相似的附图标记表示相同或相似的元素，其中：图1示出了根据本公开的实施例的节点安全运维方法的流程图；图2示出了根据本公开的运维管理平台、中转节点和末级节点的部分结构示意图；图3示出了根据本公开的又一实施例的节点安全运维方法的流程图；图4示出了根据本公开的实施例的节点安全运维装置的框图；图5示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
17.为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例，都属于本公开保护的范围。
18.另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
19.本公开中，在运维管理平台和末级节点之间增加中转节点，中转节点负责运维管理平台和末级节点之间的通信中转，末级节点不会直接溯源到运维管理平台。同时运维管理平台是主动向外联，不对外开发任何服务，不存在任何服务的情况下，则不会被外部的攻击者而攻击，从而增加了平台的安全性。
20.图1示出了根据本公开实施例的节点安全运维方法100的流程图。方法100包括：步骤110，响应于接收到运维操作指令及目标末级节点的ip地址；根据所述目标末级节点的ip地址确定对应的唯一标识id。
21.在一些实施例中，所述运维管理平台服务器存储有多个末级节点的ip地址及其对应的唯一标识id，其中，对于任意一个唯一标识id的生成过程，包括：根据末级节点的ip地址和预设字符串生成标识码；对所述标识码进行md5加密得到末级节点的唯一标识id。
22.在一些实施例中，当用户需要对某一个末级节点进行运维操作时，运维管理平台根据需要进行运维操作的末级节点的ip地址，确定对应的唯一标识id。
23.步骤120，根据所述目标末级节点的ip地址确定对应的目标中转节点。
24.在一些实施例中，如图2所示的运维管理平台、中转节点和末级节点的部分结构示意图。所述运维管理平台服务器存储有中转节点与末级节点的对应关系，即一组中转节点对应多组末级节点，可以根据目标末级节点的ip地址确定所属的中转节点，即根据所述目标末级节点的ip地址在预先存储的中转节点与末级节点的对应关系中查找对应的中转节点，得到所述目标中转节点。例如，管理平台要对末级节点5进行运维管理时，则可以通过末级节点5对应为中转节点2的对应关系，确定目标中转节点为中转节点2。
25.步骤130，将所述唯一标识id和所述运维操作指令发送给所述目标中转节点。
26.以便所述目标中转节点根据所述唯一标识id确定所述目标末级节点并向所述目
标末级节点转发所述运维操作指令。
27.在一些实施例中，所述目标中转节点存储有多个末级节点的ip地址及其对应的唯一标识id，当所述目标中转节点接收到运维管理平台发送的运维操作指令和所述唯一标识id，根据所述唯一标识id确定所述目标末级节点的ip地址。然后，根据所述目标末级节点的ip地址向所述目标末级节点发送所述运维操作指令，以便所述目标末级节点根据所述运维操作指令进行运维操作并返回状态数据。在整个传输过程中，不会携带任何ip地址进行传输，确保ip的安全性, 防止被恶意人员获取到了所有的节点ip地址。例如，将对末级节点5的运维操作指令下发到中转节点2中，同时带上末级节点5的唯一标识id发送到中转节点2中，中转节点2收到唯一标识id时，通过唯一标识id，解析对比出末级节点5的ip地址，从而向末级节点5发送相应的运维操作指令。
28.在一些实施例中，还可以实现对多个末级节点同时进行运维管理。
29.本公开的实施例提供的一种节点安全运维方法，通过目标末级节点的ip地址确定对应的唯一标识id；根据所述目标末级节点的ip地址确定对应的目标中转节点；将所述唯一标识id和所述运维操作指令发送给所述目标中转节点，以便所述目标中转节点根据所述唯一标识id确定所述目标末级节点并向所述目标末级节点转发所述运维操作指令。以此方式，可以在一个运维管理平台下，实现对众多节点安全运维管理，同时，不会从末级节点直接溯源到运维管理平台的ip及位置，保证运维管理平台的匿名安全性。
30.基于上述实施方式，在本公开提供的又一实施方式的如图3所示的节点安全运维方法的流程图，即目标末级节点根据所述运维操作指令进行运维操作并返回状态数据，包括以下步骤：步骤310，目标末级节点响应于接收到所述运维操作指令，根据所述运维操作指令进行数据采集。
31.步骤320，对采集到的数据进行加密，得到加密后的状态数据。
32.步骤330，对所述加密后的状态数据进行md5计算，得到验证值。
33.步骤340，将所述加密后的状态数据和所述验证值发送给所述目标中转节点。
34.以便所述目标中转节点将所述加密后的状态数据和所述验证值转发给所述运维管理平台服务器。
35.在一些实施例中，当目标末级节点接收到目标中转节点发送的运维操作指令，根据运维操作指令进行数据采集。然后对采集的数据进行加密，以保证数据的安全传输。之后再计算加密数据的md5码，作为数据的验证值。并通过中转节点将数据和md5码发送给运维管理平台，以便于运维管理平台进行数据验证时，先验证数据的md5码，如果验证不一致的，则直接抛弃数据不做处理，以提高运维操作效率。
36.基于上述实施方式，在本公开提供的又一实施方式中，还包括运维管理平台对末级节点的状态数据进行解密和存储。
37.在一些实施例中，当运维管理平台接收到加密后的状态数据和验证值，对加密后的状态数据进行md5计算，得到校验值；根据所述验证值和所述校验值对所述加密后的状态数据进行校验；响应于校验正确，对所述加密后的状态数据进行解密及存储，以实现对状态数据的准确校验。对于没有通过校验的数据则不进行存储。
38.基于上述实施方式，在本公开提供的又一实施方式中，还包括运维管理平台对超
出预设时间未接收到状态数据时，发出重启节点指令。
39.在一些实施例中，当运维管理平台在预设时间内未接收到加密后的状态数据，向所述目标中转节点发送重启所述目标末级节点的指令，以便所述目标中转节点将重启指令转发给所述目标末级节点。
40.在一些实施例中，还包括对接收到的状态数据进行数据分析，确定末级节点的安全状态，以便及时对末级节点进行安全管理。
41.在一些实施例中，运维管理平台设有采集数据的定时器，定期启动数据的采集工作，以便于安全运维的自动化管理。
42.需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本公开并不受所描述的动作顺序的限制，因为依据本公开，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本公开所必须的。
43.以上是关于方法实施例的介绍，以下通过装置实施例，对本公开所述方案进行进一步说明。
44.图4示出了根据本公开的实施例的节点安全运维装置400的方框图。如图4所示，装置400包括：信息获取模块410，用于响应于接收到运维操作指令及目标末级节点的ip地址；根据所述目标末级节点的ip地址确定对应的唯一标识id；中转节点确定模块420，用于根据所述目标末级节点的ip地址确定对应的目标中转节点；运维操作指令发送模块430，用于将所述唯一标识id和所述运维操作指令发送给所述目标中转节点，以便所述目标中转节点根据所述唯一标识id确定所述目标末级节点并向所述目标末级节点转发所述运维操作指令。
45.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，所述描述的模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
46.根据本公开的实施例，本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
47.图5示出了可以用来实施本公开的实施例的电子设备500的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。
48.电子设备500包括计算单元501，其可以根据存储在rom502中的计算机程序或者从存储单元508加载到ram503中的计算机程序，来执行各种适当的动作和处理。在ram503中，还可存储电子设备500操作所需的各种程序和数据。计算单元501、rom502以及ram503通过总线504彼此相连。i/o接口505也连接至总线504。
49.电子设备500中的多个部件连接至i/o接口505，包括：输入单元506，例如键盘、鼠
标等；输出单元507，例如各种类型的显示器、扬声器等；存储单元508，例如磁盘、光盘等；以及通信单元509，例如网卡、调制解调器、无线通信收发机等。通信单元509允许电子设备500通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
50.计算单元501可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元501的一些示例包括但不限于中央处理单元（cpu）、图形处理单元（gpu）、各种专用的人工智能（ai）计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器（dsp）、以及任何适当的处理器、控制器、微控制器等。计算单元501执行上文所描述的各个方法和处理，例如方法100。例如，在一些实施例中，方法100可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元508。在一些实施例中，计算机程序的部分或者全部可以经由rom502和/或通信单元509而被载入和/或安装到电子设备500上。当计算机程序加载到ram503并由计算单元501执行时，可以执行上文描述的方法100的一个或多个步骤。备选地，在其他实施例中，计算单元501可以通过其他任何适当的方式（例如，借助于固件）而被配置为执行方法100。
51.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列（fpga）、专用集成电路（asic）、专用标准产品（assp）、芯片上系统的系统（soc）、负载可编程逻辑设备（cpld）、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
52.用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
53.在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器（ram）、只读存储器（rom）、可擦除可编程只读存储器（eprom或快闪存储器）、光纤、便捷式紧凑盘只读存储器（cd-rom）、光学储存设备、磁储存设备、或上述内容的任何合适组合。
54.为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置（例如，crt（阴极射线管）或者lcd（液晶显示器）监视器）；以及键盘和指向装置（例如，鼠标或者轨迹球），用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈（例如，视觉反馈、听觉反馈、或者触觉反馈）；并且可以用
任何形式（包括声输入、语音输入或者、触觉输入）来接收来自用户的输入。
55.可以将此处描述的系统和技术实施在包括后台部件的计算系统（例如，作为数据服务器）、或者包括中间件部件的计算系统（例如，应用服务器）、或者包括前端部件的计算系统（例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互）、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信（例如，通信网络）来将系统的部件相互连接。通信网络的示例包括：局域网（lan）、广域网（wan）和互联网。
56.计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以为分布式系统的服务器，或者是结合了区块链的服务器。
57.应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。
58.上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。

技术特征：
1.一种节点安全运维方法，其特征在于，应用于运维管理平台服务器，包括：响应于接收到运维操作指令及目标末级节点的ip地址；根据所述目标末级节点的ip地址确定对应的唯一标识id；根据所述目标末级节点的ip地址确定对应的目标中转节点；将所述唯一标识id和所述运维操作指令发送给所述目标中转节点，以便所述目标中转节点根据所述唯一标识id确定所述目标末级节点并向所述目标末级节点转发所述运维操作指令。2.根据权利要求1所述的方法，其特征在于，所述运维管理平台服务器存储有多个末级节点的ip地址及其对应的唯一标识id，其中，对于任意一个唯一标识id的生成过程，包括：根据末级节点的ip地址和预设字符串生成标识码；对所述标识码进行md5加密得到末级节点的唯一标识id。3.根据权利要求1所述的方法，其特征在于，所述运维管理平台服务器存储有中转节点与末级节点的对应关系，所述根据所述目标末级节点的ip地址确定对应的目标中转节点，包括：根据所述目标末级节点的ip地址在预先存储的中转节点与末级节点的对应关系中查找对应的中转节点，得到所述目标中转节点。4.根据权利要求1所述的方法，其特征在于，所述目标中转节点存储有多个末级节点的ip地址及其对应的唯一标识id，所述根据所述唯一标识id确定所述目标末级节点并向所述目标末级节点转发所述运维操作指令，包括：响应于接收到所述运维操作指令和所述唯一标识id，根据所述唯一标识id确定所述目标末级节点的ip地址；根据所述目标末级节点的ip地址向所述目标末级节点发送所述运维操作指令，以便所述目标末级节点根据所述运维操作指令进行运维操作并返回状态数据。5.根据权利要求4所述的方法，其特征在于，所述目标末级节点根据所述运维操作指令进行运维操作并返回状态数据，包括：所述目标末级节点响应于接收到所述运维操作指令，根据所述运维操作指令进行数据采集；对采集到的数据进行加密，得到加密后的状态数据；对所述加密后的状态数据进行md5计算，得到验证值；将所述加密后的状态数据和所述验证值发送给所述目标中转节点，以便所述目标中转节点将所述加密后的状态数据和所述验证值转发给所述运维管理平台服务器。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：响应于接收到所述加密后的状态数据和所述验证值，对所述加密后的状态数据进行md5计算，得到校验值；根据所述验证值和所述校验值对所述加密后的状态数据进行校验；响应于校验正确，对所述加密后的状态数据进行解密及存储。7.根据权利要求5所述的方法，其特征在于，所述方法还包括：响应于预设时间内未接收到所述加密后的状态数据，向所述目标中转节点发送重启所述目标末级节点的指令，以便所述目标中转节点将重启指令转发给所述目标末级节点。
8.一种节点安全运维装置，其特征在于，包括：信息获取模块，用于响应于接收到运维操作指令及目标末级节点的ip地址；根据所述目标末级节点的ip地址确定对应的唯一标识id；中转节点确定模块，用于根据所述目标末级节点的ip地址确定对应的目标中转节点；运维操作指令发送模块，用于将所述唯一标识id和所述运维操作指令发送给所述目标中转节点，以便所述目标中转节点根据所述唯一标识id确定所述目标末级节点并向所述目标末级节点转发所述运维操作指令。9. 一种电子设备，其特征在于，包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-7中任一权利要求所述的方法。10.一种存储有计算机指令的非瞬时计算机可读存储介质，其特征在于，所述计算机指令用于使所述计算机执行根据权利要求1-7中任一权利要求所述的方法。

技术总结
本公开的实施例提供了一种节点安全运维方法、装置、设备以及存储介质，应用于运维管控技术领域。所述方法包括响应于接收到运维操作指令及目标末级节点的IP地址；根据所述目标末级节点的IP地址确定对应的唯一标识ID；根据所述目标末级节点的IP地址确定对应的目标中转节点；将所述唯一标识ID和所述运维操作指令发送给所述目标中转节点，以便所述目标中转节点根据所述唯一标识ID确定所述目标末级节点并向所述目标末级节点转发所述运维操作指令。以此方式，可以在一个运维管理平台下，实现对众多节点一键自动化的安全运维管理，同时，不会从末级节点直接溯源到运维管理平台的IP及位置，保证运维管理平台的匿名安全性。保证运维管理平台的匿名安全性。保证运维管理平台的匿名安全性。


技术研发人员：刘加瑞 吴璇 郝伟
受保护的技术使用者：安徽华云安科技有限公司
技术研发日：2023.06.09
技术公布日：2023/7/12