WO2020164526A1

WO2020164526A1 - 一种分布式系统中的节点控制方法和相关装置

Info

Publication number: WO2020164526A1
Application number: PCT/CN2020/075002
Authority: WO
Inventors: 卢吉光; 张建俊; 冯士乘
Original assignee: 腾讯科技（深圳）有限公司
Priority date: 2019-02-15
Filing date: 2020-02-13
Publication date: 2020-08-20
Also published as: KR102435780B1; US20210136046A1; CN111064713A; CN109905380A; SG11202101175PA; KR20210035278A; JP7130307B2; CN109905380B; CN111064713B; JP2021533516A; US11343233B2

Abstract

本申请实施例公开一种分布式系统中的节点控制方法，包括：转发平台通过安全链接获取用户终端发送的请求报文，所述安全链接是通过所述转发平台的域名在所述用户终端和所述转发平台之间建立的，所述请求报文包括所述分布式系统中目标节点的地址标识和所述用户终端对所述目标节点的请求内容；所述转发平台对所述请求内容进行加密，得到第一加密报文；所述转发平台根据所述地址标识向所述目标节点发送所述第一加密报文。

Description

一种分布式系统中的节点控制方法和相关装置

本申请要求于2019年2月15日提交中国专利局、申请号为201910117285.X、申请名称为“一种分布式系统中的节点控制方法和相关装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及数据处理领域，特别是涉及一种分布式系统中的节点控制方法和相关装置。

背景技术

分布式系统是建立在网络之上的处理系统，包括了多个节点，任一个节点可以是计算机、服务器或集群等。在一些应用场景中，用户具有通过终端对分布式系统中的不同节点单独进行连接控制的需求，为了保证分布式系统的安全性，用户所使用的终端在连接控制过程中需要与节点建立安全链接。

传统方式中，分布式系统中每个节点被分配一个对应的域名，用户所使用的终端可以采用通过域名访问节点的方式，与被访问节点间建立符合安全协议例如超文本传输安全协议(Hypertext Transfer Protocol Secure，HTTPS)的安全链接，从而增强了连接控制过程中的安全性。

然而，分布式系统中节点数量很多，为每一个节点分配不同的域名会导致域名维护成本很高，不利于分布式系统的应用。

技术内容

为了解决上述技术问题，本申请实施例提供了一种分布式系统中的节点控制方法和相关装置，仅需维护转发平台的域名便能实现对分布式系统中任一节点的连接控制，且能在保证安全性的前提下降低维护成本，节省网络资源，有利于分布式系统的应用。

本申请实施例公开了如下技术方案：

一方面，本申请实施例提供一种分布式系统中的节点控制方法，所述方法包括：

转发平台通过安全链接获取用户终端发送的请求报文，所述安全链接是通过所述转发平台的域名在所述用户终端和所述转发平台之间建立的，所述请求报文包括所述分布式系统中目标节点的地址标识和所述用户终端对所述目标节点的请求内容；

所述转发平台对所述请求内容进行加密，得到第一加密报文；

所述转发平台根据所述地址标识向所述目标节点发送所述第一加密报文。

一方面，本申请实施例提供一种分布式系统中的节点控制装置，所述装置包括第一获取单元、加密单元和发送单元：

所述第一获取单元，用于通过安全链接获取用户终端发送的请求报文，所述安全链接是通过所述装置的域名在所述用户终端和所述装置之间建立的，所述请求报文包括所述分布式系统中目标节点的地址标识和所述用户终端对所述目标节点的请求内容；

所述加密单元，用于对所述请求内容进行加密，得到第一加密报文；

所述发送单元，用于根据所述地址标识向所述目标节点发送所述第一加密报文。

用户终端通过安全链接向转发平台发送请求报文，所述安全链接是通过所述转发平台的域名在所述用户终端和所述转发平台之间建立的，所述请求报文包括所述分布式系统中目标节点的地址标识和所述用户终端对所述目标节点的请求内容；

所述用户终端通过所述安全链接获取所述转发平台返回的请求结果，所述请求结果为所述目标节点响应于所述请求内容得到的。

一方面，本申请实施例提供一种分布式系统中的节点控制装置，所述装置包括第一发送单元和获取单元：

所述第一发送单元，用于通过安全链接向转发平台发送请求报文，所述安全链接是通过所述转发平台的域名在所述装置和所述转发平台之间建立的，所述请求报文包括所述分布式系统中目标节点的地址标识和所述装置对所述目标节点的请求内容；

所述获取单元，用于通过所述安全链接获取所述转发平台返回的请求结果，所述请求结果为所述目标节点响应于所述请求内容得到的。

一方面，本申请实施例提供一种分布式系统中的节点控制方法，应用于所述分布式系统中的目标节点，所述方法包括：

所述目标节点获取转发平台发送的第一加密报文，所述第一加密报文是所述转发平台对请求内容进行加密得到的，所述请求内容携带于用户终端通过所述用户终端与转发平台之间的安全链接所发送的请求报文中；

所述目标节点对所述第一加密报文解密得到所述请求内容。

一方面，本申请实施例提供一种分布式系统中的节点控制装置，所述装置包括第一获取单元和解密单元：

所述第一获取单元，用于获取转发平台发送的第一加密报文，所述第一加密报文是所述转发平台对请求内容进行加密得到的，所述请求内容携带于用户终端通过所述用户终端与转发平台之间的安全链接所发送的请求报文中；

所述解密单元，用于对所述第一加密报文解密得到所述请求内容。

一方面，本申请实施例提供一种用于分布式系统中的节点控制设备，所述设备包括处理器以及存储器：

所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器用于根据所述程序代码中的指令执行上述任一项所述的分布式系统中的节点控制方法。

一方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码被一个或多个处理器执行时实现本申请上述实施例所述的分布式系统中的节点控制方法。

由上述技术方案可以看出，若用户终端需要对分布式系统中的目标节点进行连接控制，可以通过转发平台的域名建立安全链接，并从该安全链接向转发平台发送请求报文，该请求报文中包括目标节点的地址标识和用户终端对目标节点的请求内容。转发平台获取该请求报文后，可以根据地址标识确定出分布式系统中需要接收该请求内容的目标节点，并将请求内容加密发给该目标节点。由于转发平台与分布式系统中的节点之间采用加密安全传输，故在任一用户终端连接控制分布式系统中的节点时，用户终端只需与转发平台通过转发平台的域名建立安全链接即可保证安全性，从而仅需维护转发平台的域名便能实现对分布式系统中任一节点的连接控制，且在保证安全性的前提下降低了维护成本，节省了网络资源，有利于分布式系统的应用。

附图简要说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的用于分布式系统中节点控制方法的系统架构示例图；

图2为本申请实施例提供的一种分布式系统中的节点控制方法的信令交互图；

图3为本申请实施例提供的一种分布式系统中的节点控制方法的信令交互图；

图4为本申请实施例提供的用于分布式系统中节点控制方法的系统架构示例图；

图5为本申请实施例提供的一种分布式系统中的节点控制方法的信令交互图；

图6a为本申请实施例提供的一种分布式系统中的节点控制装置的结构图；

图6b为本申请实施例提供的一种分布式系统中的节点控制装置的结构图；

图7为本申请实施例提供的一种分布式系统中的节点控制装置的结构图；

图8a为本申请实施例提供的一种分布式系统中的节点控制装置的结构图；

图8b为本申请实施例提供的一种分布式系统中的节点控制装置的结构图；

图9为本申请实施例提供的一种用于分布式系统中的节点控制设备的结构图；

图10为本申请实施例提供的一种用于分布式系统中的节点控制设备的结构图。

具体实施方式

下面结合附图，对本申请的实施例进行描述。

针对分布式系统中的节点，传统的节点控制方法为了实现安全链接，每个节点被分配一个对应的域名用于建立安全链接。由于分布式系统中节点数量很多，导致域名维护成本很高，不利于分布式系统的应用。

为了解决上述技术问题，本申请实施例提供一种分布式系统中的节点控制方法，该方法通过转发平台的域名建立用户终端与转发平台之间的安全链接，而转发平台与分布式系统中的节点之间采用加密安全传输，故在任一用户终端连接控制分布式系统中的节点时，用户终端只需与转发平台通过转发平台的域名建立安全链接即可保证安全性，无需为每个节点分配对应的域名，从而仅需维护转发平台的域名便能实现对分布式系统中任一节点的连接控制。

其中，转发平台可以部署在服务器或终端设备上。终端设备具体可以是计算机、移动终端、平板电脑等；服务器具体可以为独立服务器，也可以为集群服务器。

本申请实施例提供的方法可以应用在图1所示的系统架构中，该系统架构中包括用户终端101、转发平台102和分布式系统中的多个节点103。其中，用户终端101可以是计算机、移动终端、平板电脑等；节点103是向用户终端101提供服务的设备，节点103例如可以是计算机、服务器或集群等。

当用户终端101需要对分布式系统中任一节点103例如目标节点进行连接控制时，用户终端101通过安全链接向转发平台102发送请求报文。安全链接是指符合安全协议例如HTTPS协议的链接，通过安全链接可以增强连接控制过程的安全性。在本实施例中，安全链接是通过转发平台102的域名建立的，从而可以保证用户终端101向转发平台102发送请求报文的安全性。转发平台102的域名可以包括多种形式，例如可以是www.baas.qq.com。

请求报文是用户终端101要对目标节点进行某一控制而生成的报文，用户终端101对目标节点进行的控制例如可以是登录或注册、下载图片或文档等等。用户在用户终端101上的操作可以触发用户终端101生成请求报文，例如，当用户在用户终端101 上的某个网页点击“请登录”按钮，用户终端101可以生成对应的请求报文，该请求报文用于请求登录页面。

请求报文中包括目标节点的地址标识和用户终端对目标节点的请求内容。地址标识用于标识用户终端101所要访问的是哪个节点，转发平台102可以根据地址标识确定出分布式系统中需要接收该请求内容的目标节点，并将请求内容加密得到第一加密报文发送给该目标节点。请求内容是一种描述性信息，用于描述用户终端101对目标节点所进行的控制，例如，用户在用户终端101上的目标节点所提供的某个网页输入用户名和密码，并点击“登录”按钮，从而触发用户终端101生成对应的请求报文，此时请求内容可能包括用户名和密码。目标节点根据请求内容可以知晓如何对用户终端101发出的请求报文做出响应。

由此可见，在用户终端101对任一节点103进行控制的过程中，用户终端101与转发平台102之间是安全的，转发平台102与节点103之间也是安全的，从而能够保证节点控制过程中的安全性，且只需要一个域名。

接下来，将分别从转发平台、用户终端和目标节点之间进行交互的角度，对本申请实施例提供的分布式系统中的节点控制方法进行介绍。

参见图2，所述方法包括：

步骤S201、用户终端通过安全链接向转发平台发送请求报文。

转发平台具有域名，终端通过转发平台的域名与转发平台建立安全链接，这样，转发平台通过安全链接可以获取用户终端发送的请求报文，从而保证用户终端与转发平台之间交互的安全性。

可以理解的是，请求报文包括的地址标识可以以任意形式存在于请求报文中。在一种可能的实现方式中，所述地址标识携带于包括所述域名的统一资源定位符(Uniform Resource Locator，简称URL)中，具体的，URL可以为域名+地址标识的形式。这样，转发平台获取到请求报文后，可以根据URL中的域名与该转发平台的域名是否一致确定该请求报文是否发送错误，即确定该请求报文是否为发送给该转发平台的报文。若URL中的域名与该转发平台的域名一致，则该转发平台确定该请求报文发送无误，该转发平台可以对请求报文执行后续操作，否则，该转发平台确定该请求报文发送错误，该转发平台可以丢弃该请求报文，避免对该请求报文进行不必要的操作。

例如，URL为www.baas.qq.com/192.168.10.11，其中，www.baas.qq.com为域名，192.168.10.11为地址标识，通过用户终端与转发平台的预先协商，可以定义URL哪个部分代表域名，哪个部分代表地址标识，这样，转发平台可以从URL中识别出域名 www.baas.qq.com，进而根据www.baas.qq.com与转发平台自身具有的域名是否一致确定出请求报文是否发送错误。

步骤S202、所述转发平台对所述请求内容进行加密，得到第一加密报文。

转发平台可以对请求报文进行解析得到请求内容和地址标识。为了保证转发平台向目标节点转发请求内容的安全性，避免转发平台向目标节点转发的请求内容被篡改，转发平台可以对请求内容进行加密得到第一加密报文，然后向目标请求节点发送第一加密报文。

在本申请实施例中，分布式系统中包括很多节点，用户终端可能不会具有访问所有节点的权限，可能仅具有访问其中一个或一些节点的权限，甚至不具有访问任一节点的权限。为了避免不具有访问目标节点的权限的用户终端对目标节点进行访问，进而避免非法用户通过用户终端对目标节点进行攻击，在本实施例中，请求报文还可以包括用户终端的用户标识，用户标识用于标识用户终端与目标节点的权限关系。

这样，在执行步骤S202之前，转发平台可以判断请求报文中的用户标识是否具有访问目标节点的权限，若确定请求报文中的用户标识具有访问目标节点的权限，则执行步骤S202，若无，则转发平台丢弃该请求报文。

在一种可能的实现方式中，转发平台判断用户标识是否具有访问目标节点的权限的方式为：针对分布式系统中每个节点，转发平台分别记录每个节点和具有访问该节点权限的用户标识的对应关系，该对应关系包括节点的地址标识和具有访问节点权限的用户标识之间的关系，该对应关系体现了一个用户标识具有访问某个节点的权限。因此，当转发平台获取到请求报文后，若请求报文中包括的用户标识和地址标识之间的对应关系与转发平台记录的对应关系相匹配，则可以确定用户标识具有访问所述目标节点的权限，否则，可以确定用户标识不具有访问所述目标节点的权限。

通过对用户终端的权限进行鉴定，可以避免非法用户通过用户终端对目标节点进行攻击，提高节点的安全性。

步骤S203、所述转发平台根据所述地址标识向所述目标节点发送所述第一加密报文。

转发平台根据解析得到的地址标识确定出目标节点，从而将第一加密报文向目标节点发送，以便目标节点对请求内容作出响应。

由于转发平台与分布式系统中的节点之间采用加密安全传输，可以保证转发平台与分布式系统中的节点之间报文传输的安全性，因此仅需维护转发平台的域名便能实现对分布式系统中任一节点的连接控制提供安全基础。

在本实施例中，用户终端与转发平台之间通过安全链接保证交互的安全性，而转发平台与目标节点之间通过加密安全传输的方式保证交互的安全性。其中，加密传输的方式可以是使用安全套接层(Secure Sockets Layer，简称SSL)协议进行加密传输，在这种情况下，为了节约转发平台的开发时间，可以使用本身具有SSL协议的平台作为转发平台。由于区块链即服务(Blockchain as a Service，简称BaaS)平台具有SSL协议，因此，在一种实现方式中，转发平台可以为BaaS平台。

在本申请实施例中，由于代理与转发平台之间可以建立安全协议，例如在代理和转发平台上配置SSL协议，且通过代理可以对目标节点上的多个处理单元的功能进行细分，例如细分成多个处理不同请求内容的处理单元，每个处理单元都具有一个接口标识，每个接口标识用于标识目标节点中的哪个处理单元可以对请求内容作出响应，比如说有的接口标识用于标识处理单元A负责对用于请求登录的请求内容作出响应，有的接口标识用于标识处理单元B负责对请求下载图片的请求内容作出响应。因此，可以在目标节点上部署代理，使转发平台与目标节点通过目标节点自身部署的代理交互第一加密报文，实现对目标节点的接口进行精细控制。

为了保证转发平台可以将第一加密报文直接发送到负责对其中包括的请求内容作出响应的处理单元，避免发送给其他处理单元，再由其他处理单元将第一加密报文转发到负责对该请求内容作出响应的处理单元，提高目标节点对第一加密报文的处理效率，地址标识中可以包括目标节点的网络地址和目标节点用于响应该请求内容的接口标识，转发平台根据网络地址可以确定出接收第一加密报文的目标节点，根据接口标识可以确定出第一加密报文具体发送到目标节点的哪个处理单元进行处理，即确定出目标节点中用于对请求内容作出响应的处理单元，并将第一加密报文发送给该处理单元。

在这种情况下，若地址标识携带于包括域名的URL中，URL可以为域名+网络地址+接口标识的形式。例如，URL为www.baas.qq.com/192.168.10.11/login，其中，www.baas.qq.com为域名，192.168.10.11为网络地址，login为接口标识。通过用户终端与转发平台的预先协商，转发平台可以对URL进行解析，识别出域名www.baas.qq.com、网络地址192.168.10.11和接口标识login，进而根据识别出的www.baas.qq.com与转发平台自身具有的域名是否一致确定出请求报文是否发送错误，然后根据192.168.10.11确定目标节点，根据login确定将第一加密报文发送到目标节点的哪个端口。

步骤S204、所述目标节点对所述第一加密报文解密得到所述请求内容。

由上述技术方案可以看出，若用户终端需要对分布式系统中的目标节点进行连接控制，可以通过转发平台的域名建立安全链接，并从该安全链接向转发平台发送请求报文，该请求报文中包括目标节点的地址标识和用户终端对目标节点的请求内容。转发平台获取该请求报文后，可以根据地址标识确定出分布式系统中需要接收该请求内容的目标节点，并将请求内容加密发送给该目标节点。由于转发平台与分布式系统中的节点之间采用加密安全传输，故在任一用户终端连接控制分布式系统中的节点时，用户终端只需与转发平台通过转发平台的域名建立安全链接即可保证安全性，从而仅需维护转发平台的域名便能实现对分布式系统中任一节点的连接控制，且在保证安全性的前提下降低了维护成本，节省了网络资源，有利于分布式系统的应用。

在本申请实施例中，转发平台向目标节点发送第一加密报文之后，目标节点可以对第一加密报文中的请求内容作出响应，从而将请求结果返回至用户终端。接下来，将对请求结果的返回流程进行介绍。参见图3，所述方法还包括：

步骤S301、所述目标节点响应于所述请求内容得到请求结果。

步骤S302、所述目标节点向所述转发平台返回对所述请求结果加密得到的第二加密报文。

例如，请求内容中包括用户名和密码，该请求内容反映的是用户终端希望通过该用户名和密码进行登录，那么，目标节点根据该请求内容得到的请求结果可以是表示登录是否成功的提示信息。

在本申请实施例中，目标节点对请求结果进行加密的方法与转发平台对请求内容进行加密的方法是相同的。

在本申请实施例中，目标节点与转发平台之间也可以通过目标节点自身部署的代理交互第二加密报文。

步骤S303、所述转发平台对所述第二加密报文解密得到所述请求结果。

步骤S304、所述转发平台通过所述安全链接向所述用户终端返回所述请求结果。

用户终端与转发平台之间的安全链接是双向的，即用户终端可以通过安全链接向转发平台发送请求报文，相应的，转发平台也可以通过安全链接向用户终端返回请求结果。

由于转发平台与分布式系统中的节点之间采用加密安全传输，而用户终端与转发平台之间利用安全链接进行传输，故本实施例在目标节点向用户终端返回请求结果的过程中，可以保证请求结果的安全性。可见，本申请实施例提供的方法通过转发平台的域名建立安全链接即可保证连接控制的安全性，从而仅需维护转发平台的域名便能实现对分布式系统中任一节点的连接控制，且在保证安全性的前提下降低了维护成本，节省了网络资源，有利于分布式系统的应用。

下面将结合实际应用场景，对本申请实施例提供的分布式系统中的节点控制方法进行介绍。在该应用场景中，用户在用户终端上浏览某个网站时，可能需要登录该网站，此时，用户可能希望进入该网站的登录页面以便输入用户名和密码，用户通过用户终端请求登录页面的过程即为节点控制。

在一种实现方式中，图4所示的系统架构可以应用于上述应用场景，在该系统架构中包括用户终端101、转发平台102和分布式系统中的多个节点103，其中，每个节点103上都部署了代理和节点管理平台，转发平台102为BaaS平台。具体地，分布式系统中的节点控制方法包括：

步骤S501、用户点击“请登录”按钮。

步骤S502、用户终端响应于用户操作生成请求报文。

步骤S503、用户终端通过安全链接向BaaS平台发送请求报文。

所述安全链接是通过所述BaaS平台的域名建立的，所述请求报文包括所述分布式系统中目标节点的地址标识和所述用户终端对所述目标节点的请求内容。所述请求内容体现用户终端请求进入网站的登录页面。

步骤S504、BaaS平台对请求报文中的请求内容进行加密，得到第一加密报文。

步骤S505、BaaS平台通过目标节点部署的代理向目标节点发送第一加密报文。

步骤S506、目标节点通过代理对第一加密报文进行解密得到请求内容。

步骤S507、目标节点上的节点管理平台根据请求内容得到请求结果。

所述请求结果可以包括进入网站的登录页面。

步骤S508、目标节点通过代理对请求结果进行加密得到第二加密报文。

步骤S509、目标节点通过代理向BaaS平台返回第二加密报文。

步骤S510、BaaS平台对第二加密报文解密得到请求结果。

步骤S511、BaaS平台通过安全链接向用户终端返回请求结果。

从图4可以看出，传统的节点控制方法中用户终端直接向节点上的节点管理平台发送请求报文，并由节点上的节点管理平台直接将请求结果发送给用户终端，如图4中虚线所示。而为了保证传输的安全性，需要针对每个节点分配一个域名，使得域名维护成本过高。而在本申请实施例提供的方法中，若用户终端需要对分布式系统中的目标节点进行连接控制，可以通过转发平台的域名建立安全链接，并从该安全链接向转发平台发送请求报文，该请求报文中包括目标节点的地址标识和用户终端对目标节点的请求内容。转发平台获取该请求报文后，可以根据地址标识确定出分布式系统中需要接收该请求内容的目标节点，并将请求内容加密发送给该目标节点。在目标节点得到请求结果后，目标节点对请求结果进行加密得到第二加密报文，并向转发平台返回第二加密报文。转发平台将解密得到的请求结果通过安全链接返回给用户终端。由于转发平台与分布式系统中的节点之间采用加密安全传输，故在任一用户终端连接控制分布式系统中的节点时，用户终端只需与转发平台通过转发平台的域名建立安全链接即可保证连接控制的安全性，从而仅需维护转发平台的域名便能实现对分布式系统中任一节点的连接控制，且在保证安全性的前提下降低了维护成本，节省了网络资源，有利于分布式系统的应用。

基于前述实施例提供的分布式系统中的节点控制方法，本申请实施例还提供了一种分布式系统中的节点控制装置，该装置可以是上述节点控制方法中的转发平台。参见图6a，所述装置包括第一获取单元601、加密单元602和发送单元603。

所述第一获取单元601，用于通过安全链接获取用户终端发送的请求报文，所述安全链接是通过所述装置的域名在所述用户终端和所述装置之间建立的，所述请求报文包括所述分布式系统中目标节点的地址标识和所述用户终端对所述目标节点的请求内容；

所述加密单元602，用于对所述请求内容进行加密，得到第一加密报文；

所述发送单元603，用于根据所述地址标识向所述目标节点发送所述第一加密报文。

在一种可能的实现方式中，参见图6b，所述装置还包括第二获取单元604、解密单元605和返回单元606。

所述第二获取单元604，用于获取所述目标节点返回的第二加密报文，所述第二加密报文是所述目标节点对请求结果加密得到的，所述请求结果为所述目标节点响应于所述请求内容得到的；

所述解密单元605，用于对所述第二加密报文解密得到所述请求结果；

所述返回单元606，用于通过所述安全链接向所述用户终端返回所述请求结果。

在一种可能的实现方式中，若确定所述用户标识具有访问所述目标节点的权限，所述加密单元602执行对所述请求内容进行加密，得到第一加密报文的步骤。

在一种可能的实现方式中，所述地址标识包括所述目标节点的网络地址和所述目标节点用于响应所述请求内容的接口标识。所述发送单元603用于，根据所述网络地址确定接收所述第一加密报文的所述目标节点，根据所述接口标识确定所述目标节点中用于对请求内容作出响应的处理单元，并将所述第一加密报文发送给所述处理单元。

在一种可能的实现方式中，所述地址标识携带于包括所述域名的统一资源定位符中。

本申请实施例还提供了一种分布式系统中的节点控制装置，该装置可以是上述节点控制方法中的用户终端。参见图7，所述装置包括第一发送单元701和获取单元702。

所述第一发送单元701，用于通过安全链接向转发平台发送请求报文，所述安全链接是通过所述转发平台的域名在所述装置和所述转发平台之间建立的，所述请求报文包括所述分布式系统中目标节点的地址标识和所述装置对所述目标节点的请求内容；

所述获取单元702，用于通过所述安全链接获取所述转发平台返回的请求结果，所述请求结果为所述目标节点响应于所述请求内容得到的。

在一种可能的实现方式中，所述请求报文中还包括所述装置的用户标识，所述用户标识用于标识所述装置与所述目标节点的权限关系。

在一种可能的实现方式中，所述地址标识包括所述目标节点的网络地址和所述目标节点用于响应所述请求内容的接口标识。

本申请实施例还提供了一种分布式系统中的节点控制装置，参见图8a，所述装置包括第一获取单元801和解密单元802。

所述第一获取单元801，用于获取转发平台发送的第一加密报文，所述第一加密报文是所述转发平台对请求内容进行加密得到的，所述请求内容携带于用户终端通过所述用户终端与转发平台之间的安全链接所发送的请求报文中；

所述解密单元802，用于对所述第一加密报文解密得到所述请求内容。

在一种可能的实现方式中，参见图8b，所述装置还包括第二获取单元803和返回单元804。

所述第二获取单元803，用于响应于所述请求内容得到请求结果；

所述返回单元804，用于向所述转发平台返回对所述请求结果加密得到的第二加密报文。

在一种可能的实现方式中，所述装置通过自身部署的代理与所述转发平台交互所述第一加密报文和第二加密报文。

本申请实施例还提供了一种用于分布式系统中的节点控制设备，下面结合附图对用于分布式系统中的节点控制设备进行介绍。请参见图9所示，本申请实施例提供了一种用于分布式系统中的节点控制设备900，该设备900可以是终端设备，该终端设备可以为包括手机、平板电脑、个人数字助理(Personal Digital Assistant，简称PDA)、销售终端(Point of Sales，简称POS)、车载电脑等任意终端设备，本申请实施例以终端设备为手机为例进行介绍，如图9所示。

图9示出的是本申请实施例提供的手机的部分结构的框图。参考图9，手机包括：射频(Radio Frequency，简称RF)电路910、存储器920、输入单元930、显示单元940、传感器950、音频电路960、无线保真(wireless fidelity，简称WiFi)模块970、处理器980、以及电源990等部件。本领域技术人员可以理解，图9中示出的手机结构并不构成对手机的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图9对手机的各个构成部件进行具体的介绍。

RF电路910可用于收发信息或通话过程中信号的接收和发送，特别地，将基站的下行信息接收后，发送给处理器980处理；另外，将手机上行的数据发送给基站。通常，RF电路910包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(Low Noise Amplifier，简称LNA)、双工器等。此外，RF电路910还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯系统(Global System of Mobile communication，简称GSM)、通用分组无线服务(General Packet Radio Service，简称GPRS)、码分多址(Code Division Multiple Access，简称CDMA)、宽带码分多址(Wideband Code Division Multiple Access，简称WCDMA)、长期演进(Long Term Evolution，简称LTE)、电子邮件、短消息服务(Short Messaging Service，简称SMS)等。

存储器920可用于存储软件程序以及模块，处理器980通过运行存储在存储器920的软件程序以及模块，从而执行手机的各种功能应用以及数据处理。存储器920可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器920可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

输入单元930可用于接收输入的数字或字符信息，以及产生与手机的用户设置以及功能控制有关的键信号输入。具体地，输入单元930可包括触控面板931以及其他输入设备932。触控面板931，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板931上或在触控面板931附近的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触控面板931可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器980，并能接收处理器980发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板931。除了触控面板931，输入单元930还可以包括其他输入设备932。具体地，其他输入设备932可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元940可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元940可包括显示面板941，可选的，可以采用液晶显示器(Liquid Crystal Display，简称LCD)、有机发光二极管(Organic Light-Emitting Diode，简称OLED)等形式来配置显示面板941。进一步的，触控面板931可覆盖显示面板941，当触控面板931检测到在其上或附近的触摸操作后，传送给处理器980以确定触摸事件的类型，随后处理器980根据触摸事件的类型在显示面板941上提供相应的视觉输出。虽然在图9中，触控面板931与显示面板941是作为两个独立的部件来实现手机的输入和输出功能，但是在某些实施例中，可以将触控面板931与显示面板941集成而实现手机的输入和输出功能。

手机还可包括至少一种传感器950，比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板941的亮度，接近传感器可在手机移动到耳边时，关闭显示面板941和/或背光。作为运动传感器的一种，加速计传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；至于手机还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

音频电路960、扬声器961、传声器962可提供用户与手机之间的音频接口。音频电路960可将接收到的音频数据转换为电信号传输到扬声器961，由扬声器961转换为声音信号输出；另一方面，传声器962将收集的声音信号转换为电信号，由音频电路960接收后转换为音频数据，再将音频数据输出处理器980处理后，经RF电路910以发送给比如另一手机，或者将音频数据输出至存储器920以便进一步处理。

WiFi属于短距离无线传输技术，手机通过WiFi模块970可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图9示出了WiFi模块970，但是可以理解的是，其并不属于手机的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。

处理器980是手机的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器920内的软件程序和/或模块，以及调用存储在存储器920内的数据，执行手机的各种功能和处理数据，从而对手机进行整体监控。可选的，处理器980可包括一个或多个处理单元；在本申请一实施例中，处理器980可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。在本申请另一实施例中，上述调制解调处理器也可以不集成到处理器980中。

手机还包括给各个部件供电的电源990(比如电池)，在本申请实施例中，电源可以通过电源管理系统与处理器980逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。

尽管未示出，手机还可以包括摄像头、蓝牙模块等，在此不再赘述。

在本申请一实施例中，该终端设备所包括的处理器980还具有以下功能：

通过安全链接获取用户终端发送的请求报文，所述安全链接是通过所述转发平台的域名在所述用户终端和所述转发平台之间建立的，所述请求报文包括所述分布式系统中目标节点的地址标识和所述用户终端对所述目标节点的请求内容；

对所述请求内容进行加密，得到第一加密报文；

根据所述地址标识向所述目标节点发送所述第一加密报文。

在本申请另一实施例中，该终端设备所包括的处理器980具有以下功能：

通过安全链接向转发平台发送请求报文，所述安全链接是通过所述转发平台的域名在所述用户终端和所述转发平台之间建立的，所述请求报文包括所述分布式系统中目标节点的地址标识和所述用户终端对所述目标节点的请求内容；

通过所述安全链接获取所述转发平台返回的请求结果，所述请求结果为所述目标节点响应于所述请求内容得到的。

获取转发平台发送的第一加密报文，所述第一加密报文是所述转发平台对请求内容进行加密得到的，所述请求内容携带于用户终端通过所述用户终端与转发平台之间的安全链接所发送的请求报文中；

对所述第一加密报文解密得到所述请求内容。

请参见图10所示，本申请实施例提供了一种用于分布式系统中的节点控制设备1000。该设备1000可以是服务器，可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器(Central Processing Units，简称CPU)1022(例如，一个或一个以上处理器)和存储器1032，一个或一个以上存储应用程序1042或数据1044的存储介质1030(例如一个或一个以上海量存储设备)。其中，存储器1032和存储介质1030可以是短暂存储或持久存储。存储在存储介质1030的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对服务器中的一系列指令操作。更进一步地，中央处理器1022可以设置为与存储介质1030通信，在用于分布式系统中的节点控制设备1000上执行存储介质1030中的一系列指令操作。

用于分布式系统中的节点控制设备1000还可以包括一个或一个以上电源1026，一个或一个以上有线或无线网络接口1050，一个或一个以上输入输出接口1058，和/或，一个或一个以上操作系统1041，例如Windows ServerTM，Mac OS XTM，UnixTM,LinuxTM，FreeBSDTM等等。

上述实施例中由服务器所执行的步骤可以基于该图10所示的服务器结构。

在本申请一实施例中，CPU 1022用于执行如下步骤：

对所述请求内容进行加密，得到第一加密报文；

根据所述地址标识向所述目标节点发送所述第一加密报文。

在本申请另一实施例中，CPU 1022用于执行如下步骤：

对所述第一加密报文解密得到所述请求内容。

本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码被一个或多个处理器执行时实现前述实施例所述的分布式系统中的节点控制方法。

本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

应当理解，在本申请中，“至少一个(项)”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，用于描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：只存在A，只存在B以及同时存在A和B三种情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，“a和b”，“a和c”，“b和c”，或“a和b和c”，其中a，b，c可以是单个，也可以是多个。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，简称ROM)、随机存取存储器(Random Access Memory，简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims

一种分布式系统中的节点控制方法，包括：

转发平台通过安全链接获取用户终端发送的请求报文，所述安全链接是通过所述转发平台的域名在所述用户终端和所述转发平台之间建立的，所述请求报文包括所述分布式系统中目标节点的地址标识和所述用户终端对所述目标节点的请求内容；

所述转发平台对所述请求内容进行加密，得到第一加密报文；

所述转发平台根据所述地址标识向所述目标节点发送所述第一加密报文。
根据权利要求1所述的方法，其中，在所述转发平台根据所述地址标识向所述目标节点发送所述第一加密报文之后，所述方法还包括：

所述转发平台获取所述目标节点返回的第二加密报文，所述第二加密报文是所述目标节点对请求结果加密得到的，所述请求结果为所述目标节点响应于所述请求内容得到的；

所述转发平台对所述第二加密报文解密得到所述请求结果；

所述转发平台通过所述安全链接向所述用户终端返回所述请求结果。
根据权利要求1所述的方法，其中，所述请求报文中还包括所述用户终端的用户标识，所述方法还包括：

若确定所述用户标识具有访问所述目标节点的权限，所述转发平台执行对所述请求内容进行加密，得到第一加密报文的步骤。
根据权利要求1所述的方法，其中，所述地址标识包括所述目标节点的网络地址和所述目标节点用于响应所述请求内容的接口标识，所述转发平台根据所述地址标识向所述目标节点发送所述第一加密报文包括：

所述转发平台根据所述网络地址确定接收所述第一加密报文的所述目标节点，根据所述接口标识确定所述目标节点中用于对请求内容作出响应的处理单元，并将所述第一加密报文发送给所述处理单元。
根据权利要求1-4任意一项所述的方法，其中，所述地址标识携带于包括所述域名的统一资源定位符中。
一种分布式系统中的节点控制装置，包括第一获取单元、加密单元和发送单元；

所述第一获取单元，用于通过安全链接获取用户终端发送的请求报文，所述安全链接是通过所述装置的域名在所述用户终端和所述装置之间建立的，所述请求报文包括所述分布式系统中目标节点的地址标识和所述用户终端对所述目标节点的请求内容；

所述加密单元，用于对所述请求内容进行加密，得到第一加密报文；

所述发送单元，用于根据所述地址标识向所述目标节点发送所述第一加密报文。
根据权利要求6所述的装置，其中，所述装置还包括：

第二获取单元，用于获取所述目标节点返回的第二加密报文，所述第二加密报文是所述目标节点对请求结果加密得到的，所述请求结果为所述目标节点响应于所述请求内容得到的；

解密单元，用于对所述第二加密报文解密得到所述请求结果；

返回单元，用于通过所述安全链接向所述用户终端返回所述请求结果。
根据权利要求6所述的装置，其中，所述请求报文中还包括所述用户终端的用户标识，所述加密单元用于，若确定所述用户标识具有访问所述目标节点的权限，执行对所述请求内容进行加密，得到第一加密报文的步骤。
根据权利要求6所述的装置，其中，所述地址标识包括所述目标节点的网络地址和所述目标节点用于响应所述请求内容的接口标识，所述发送单元用于，根据所述网络地址确定接收所述第一加密报文的所述目标节点，根据所述接口标识确定所述目标节点中用于对请求内容作出响应的处理单元，并将所述第一加密报文发送给所述处理单元。
一种分布式系统中的节点控制方法，包括：

用户终端通过安全链接向转发平台发送请求报文，所述安全链接是通过所述转发平台的域名在所述用户终端和所述转发平台之间建立的，所述请求报文包括所述分布式系统中目标节点的地址标识和所述用户终端对所述目标节点的请求内容；

所述用户终端通过所述安全链接获取所述转发平台返回的请求结果，所述请求结果为所述目标节点响应于所述请求内容得到的。
根据权利要求10所述的方法，其中，所述请求报文中还包括所述用户终端的用户标识，所述用户标识用于标识所述用户终端与所述目标节点的权限关系。
一种分布式系统中的节点控制装置，其中，所述装置包括第一发送单元和获取单元；

所述第一发送单元，用于通过安全链接向转发平台发送请求报文，所述安全链接是通过所述转发平台的域名在所述装置和所述转发平台之间建立的，所述请求报文包括所述分布式系统中目标节点的地址标识和所述装置对所述目标节点的请求内容；

所述获取单元，用于通过所述安全链接获取所述转发平台返回的请求结果，所述请求结果为所述目标节点响应于所述请求内容得到的。
一种分布式系统中的节点控制方法，应用于所述分布式系统中的目标节点，所述方法包括：

所述目标节点获取转发平台发送的第一加密报文，所述第一加密报文是所述转发平台对请求内容进行加密得到的，所述请求内容携带于用户终端通过所述用户终端与转发平台之间的安全链接所发送的请求报文中；

所述目标节点对所述第一加密报文解密得到所述请求内容。
根据权利要求13所述的方法，其中，所述方法还包括：

所述目标节点响应于所述请求内容得到请求结果；

所述目标节点向所述转发平台返回对所述请求结果加密得到的第二加密报文。
根据权利要求13或14所述的方法，其中，所述目标节点通过自身部署的代理与所述转发平台交互所述第一加密报文和第二加密报文。
一种分布式系统中的节点控制装置，包括第一获取单元和解密单元：

所述第一获取单元，用于获取转发平台发送的第一加密报文，所述第一加密报文是所述转发平台对请求内容进行加密得到的，所述请求内容携带于用户终端通过所述用户终端与转发平台之间的安全链接所发送的请求报文中；

所述解密单元，用于对所述第一加密报文解密得到所述请求内容。
一种用于分布式系统中的节点控制设备，包括处理器以及存储器：

所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器用于根据所述程序代码中的指令执行权利要求1-5或10-11或13-15任一项所述的分布式系统中的节点控制方法。
一种计算机可读存储介质，用于存储程序代码，所述程序代码被一个或多个处理器执行时实现权利要求1-5或10-11或13-15任一项所述的分布式系统中的节点控制方法。