CN106067886B - 安全策略更新方法及系统 - Google Patents
安全策略更新方法及系统 Download PDFInfo
- Publication number
- CN106067886B CN106067886B CN201610632593.2A CN201610632593A CN106067886B CN 106067886 B CN106067886 B CN 106067886B CN 201610632593 A CN201610632593 A CN 201610632593A CN 106067886 B CN106067886 B CN 106067886B
- Authority
- CN
- China
- Prior art keywords
- security strategy
- client
- server
- strategy
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Abstract
本发明公开了一种安全策略更新方法,包括:在检测到第一客户端的安全策略更新时,安全策略平台获取所述第一客户端关联的第二客户端以及服务端;安全策略平台基于所述第一客户端的安全策略、所述第二客户端所属的域及服务端所属的域分别生成所述第二客户端及服务端对应的安全策略;安全策略平台下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点。本发明还公开了一种安全策略更新系统。本发明实现了在第一客户端进行安全策略更新时,第二客户端以及服务端的安全策略的自动更新,避免采用手工对第二客户端以及服务端进行安全策略的更新,提高了安全策略更新的效率。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种安全策略更新方法及系统。
背景技术
随着互联网技术的不断发展与网络信息量的不断剧增,服务器数量逐年增多,使得分布式集群系统的应用越来越广泛。分布式集群系统是一种基于分布式节点架构的存储系统,该系统通过多个节点分配包括客户端与服务端的负载,最大程度地达到高性能。分布式集群系统通过安全策略以保证客户端与服务端之间通信的安全性,为保证安全策略的安全性,需要对分布式集群系统的安全策略进行及时更新。
目前,一般采用手工的方式对分布式集群系统中的客户端以及服务器进行安全策略的更新,具体地,采用手工的方式编辑每一个客户端以及服务器的安全策略并进行对应的更新。但是,由于每一个客户端以及服务器的安全策略都需要进行编辑,导致手工方式进行安全策略更新的流程繁琐、工作量大。
发明内容
本发明提供一种安全策略更新方法及系统,旨在解决目前采用手工方式进行分布式集群系统中的客户端以及服务器的安全策略更新时流程繁琐、工作量大的技术问题。
为实现上述目的,本发明提供的一种安全策略更新方法,所述安全策略更新方法包括以下步骤:
在检测到第一客户端的安全策略更新时,安全策略平台获取所述第一客户端关联的第二客户端以及服务端;
安全策略平台基于所述第一客户端的安全策略、所述第二客户端所属的域及服务端所属的域分别生成所述第二客户端及服务端对应的安全策略;
安全策略平台下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点,以供所述第二客户端及所述服务端基于所述安全策略更新信息更新进行安全策略的更新操作。
优选地,所述安全策略平台下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点的步骤之后,所述安全策略更新方法还包括:
所述服务端实时监听对应的ZooKeeper节点中是否存在安全策略更新信息;
在监听到所述ZooKeeper节点中存在安全策略更新信息时,所述服务端获取所述安全策略更新信息对应的安全策略的版本信息;
所述服务端通过应用程序接口API获取安全策略平台中的所述版本信息对应的安全策略;
所述服务端启用获取到的所述安全策略,以使获取到的所述安全策略生效。
优选地,所述服务端启用获取到的所述安全策略的步骤之后,所述安全策略更新方法还包括:
所述服务端确定当前运行的安全策略中是否存在生效时长大于第一预设时长的安全策略;
在当前运行的安全策略中存在生效时长大于第一预设时长的安全策略时,所述服务端禁用生效时长大于第一预设时长的所述安全策略,并释放禁用的所述安全策略占用的系统资源。
优选地,所述安全策略平台下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点的步骤之后,所述安全策略更新方法还包括:
第二客户端实时监听对应的ZooKeeper节点中是否存在安全策略更新信息;
在监听到所述ZooKeeper节点中存在安全策略更新信息时,所述第二客户端获取所述安全策略更新信息对应的安全策略;
在监听到所述安全策略更新信息的时间点之后的时间间隔大于第二预设时长时,所述第二客户端将当前的安全策略切换为缓存的所述安全策略。
优选地,所述第二客户端将当前的安全策略切换为获取到的所述安全策略的步骤包括:
所述第二客户端禁用当前的安全策略,并释放当前的所述安全策略占用的系统资源;
在当前的安全策略禁用时,所述第二客户端启用获取到的所述安全策略。
此外,为实现上述目的,本发明还提供一种安全策略更新系统,所述安全策略更新系统包括:安全策略平台,其中,所述安全策略平台包括:
第一获取模块,用于在检测到第一客户端的安全策略更新时,获取所述第一客户端关联的第二客户端以及服务端;
生成模块,用于基于所述第一客户端的安全策略、所述第二客户端所属的域及服务端所属的域分别生成所述第二客户端及服务端对应的安全策略;
发送模块,用于下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点,以供所述第二客户端及所述服务端基于所述安全策略更新信息更新进行安全策略的更新操作。
优选地,所述安全策略更新系统还包括:服务端,其中,所述服务端包括:
第一监听模块,用于实时监听服务端对应的ZooKeeper节点中是否存在安全策略更新信息;
第二获取模块,用于在监听到所述ZooKeeper节点中存在安全策略更新信息时,获取所述安全策略更新信息对应的安全策略的版本信息;
第三获取模块,用于通过应用程序接口API获取安全策略平台中的所述版本信息对应的安全策略;
启用模块,用于启用获取到的所述安全策略,以使获取到的所述安全策略生效。
优选地,所述服务端还包括:
确定模块,用于确定当前运行的安全策略中是否存在生效时长大于第一预设时长的安全策略;
禁用模块,用于在当前运行的安全策略中存在生效时长大于第一预设时长的安全策略时,禁用生效时长大于第一预设时长的所述安全策略,并释放禁用的所述安全策略占用的系统资源。
优选地,所述安全策略更新系统还包括:第二客户端,其中所述第二客户端包括:
第二监听模块,用于实时监听所述第二客户端对应的ZooKeeper节点中是否存在安全策略更新信息;
第四获取模块,用于在监听到所述ZooKeeper节点中存在安全策略更新信息时,获取所述安全策略更新信息对应的安全策略;
切换模块,用于在监听到所述安全策略更新信息的时间点之后的时间间隔大于第二预设时长时,将当前的安全策略切换为缓存的所述安全策略。
优选地,所述切换模块包括:
禁用单元,用于禁用当前的安全策略,并释放当前的所述安全策略占用的系统资源;
启用单元,用于在当前的安全策略禁用时,启用获取到的所述安全策略。
本发明通过在检测到第一客户端的安全策略更新时,安全策略平台获取所述第一客户端关联的第二客户端以及服务端,安全策略平台基于所述第一客户端的安全策略、所述第二客户端所属的域及服务端所属的域分别生成所述第二客户端及服务端对应的安全策略,安全策略平台下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点,以供所述第二客户端及所述服务端基于所述安全策略更新信息更新进行安全策略的更新操作,实现了在第一客户端进行安全策略更新时,安全策略平台通过下发安全策略更新信息通知第一客户端关联的第二客户端以及服务端进行安全策略的更新,进而实现了第二客户端以及服务端的安全策略的自动更新,避免采用手工对第二客户端以及服务端进行安全策略的更新,提高了安全策略更新的效率。
附图说明
图1为本发明安全策略更新方法第一实施例的流程示意图;
图2为本发明安全策略更新方法第二实施例的流程示意图;
图3为本发明安全策略更新方法第三实施例的流程示意图;
图4为本发明安全策略更新方法第四实施例的流程示意图;
图5为本发明安全策略更新方法第五实施例中将当前的安全策略切换为获取到的所述安全策略步骤的细化流程示意图;
图6为本发明安全策略更新系统第一实施例的功能模块示意图;
图7为本发明安全策略更新系统第二实施例中服务端的功能模块示意图;
图8为本发明安全策略更新系统第三实施例中服务端的功能模块示意图;
图9为本发明安全策略更新系统第四实施例中第二客户端的功能模块示意图;
图10为本发明安全策略更新系统第五实施例中切换模块的细化功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种安全策略更新方法。
参照图1,图1为本发明安全策略更新方法第一实施例的流程示意图。
在本实施例中,该安全策略更新方法包括:
步骤S110,在检测到第一客户端的安全策略更新时,安全策略平台获取所述第一客户端关联的第二客户端以及服务端;
其中,用户(管理员)通过安全策略平台手动更新第一客户端的安全策略。在检测到第一客户端的安全策略更新时,譬如用户在安全策略平台的安全策略编辑界面编辑完成安全策略之后触发第一客户端的安全策略更新指令时,安全策略平台获取所述第一客户端关联的第二客户端以及服务端。
步骤S120,安全策略平台基于所述第一客户端的安全策略、所述第二客户端所属的域及服务端所属的域分别生成所述第二客户端及服务端对应的安全策略;
具体地,安全策略平台根据第一客户端的安全策略的SSL(Secure Sockets Layer安全套接层)协议及第二客户端所属的域的SSL生成所述第二客户端的安全策略,安全策略平台根据第一客户端的安全策略的SSL与服务端所属的域的SSL分别生成服务端对应的安全策略。
步骤S130,安全策略平台下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点,以供所述第二客户端及所述服务端基于所述安全策略更新信息更新进行安全策略的更新操作。
安全策略平台下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点,使得第二客户端以及服务端能够根据各自对应ZooKeeper节点中的全策略更新信息进行安全策略的更新。
其中,ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,ZooKeeper节点是有生命周期的,在ZooKeeper中,按照节点类型可以将ZooKeeper节点分为持久节点、临时节点以及时序节点。
本实施例中,通过在检测到第一客户端的安全策略更新时,安全策略平台获取所述第一客户端关联的第二客户端以及服务端,接着安全策略平台基于所述第一客户端的安全策略、所述第二客户端所属的域及服务端所属的域分别生成所述第二客户端及服务端对应的安全策略,而后安全策略平台下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点,以供所述第二客户端及所述服务端基于所述安全策略更新信息更新进行安全策略的更新操作,实现了在第一客户端进行安全策略更新时,安全策略平台通过下发安全策略更新信息通知第一客户端关联的第二客户端以及服务端进行安全策略的更新,进而实现了第二客户端以及服务端的安全策略的自动更新,避免采用手工对第二客户端以及服务端进行安全策略的更新,提高了安全策略更新的效率。
基于第一实施例提出本发明安全策略更新方法的第二实施例,参照图2,在本实施例中,在步骤S130之后,该安全策略更新方法还包括:
步骤S140,所述服务端实时监听对应的ZooKeeper节点中是否存在安全策略更新信息;
本实施例中,服务端实时监听服务端所属的域下的ZooKeeper节点,确定该服务所属的端域下的ZooKeeper节点中是否存在安全策略更新信息,具体地,该安全策略更新信息可以包括安全策略变更号、安全策略变更标识、或变更后的安全策略信息等,服务端可以根据该安全策略更新信息进行安全策略的更新。
步骤S150,在监听到所述ZooKeeper节点中存在安全策略更新信息时,所述服务端获取所述安全策略更新信息对应的安全策略的版本信息;
具体地,在监听到所述ZooKeeper节点中存在安全策略更新信息时,服务端可以通过解析该安全策略更新信息获取该安全策略更新信息对应的安全策略的版本信息,或者,服务端根据该安全策略更新信息通过应用程序接口API在安全策略平台中获取该安全策略更新信息对应的安全策略的版本信息。
步骤S160,所述服务端通过应用程序接口API获取安全策略平台中的所述版本信息对应的安全策略;
在获取到版本信息时,服务端通过应用程序接口API获取安全策略平台中的所述版本信息对应的安全策略,即服务端缓存安全策略平台中的所述版本信息对应的安全策略。
步骤S170,所述服务端启用获取到的所述安全策略,以使获取到的所述安全策略生效。
本实施例中,服务端直接启用安全策略更新信息对应的安全策略,而无需使服务端启用的其他安全策略失效,即服务端当前生效多个安全策略,进而使得客户端无论采用服务端更新前的安全策略还是服务端更新后的安全策略均能够与服务端正常通信,进而能够避免了客户端与服务端之间短时间内无法正常通信的问题。
本实施例通过所述服务端实时监听对应的ZooKeeper节点中是否存在安全策略更新信息,接着在监听到所述ZooKeeper节点中存在安全策略更新信息时,所述服务端获取所述安全策略更新信息对应的安全策略的版本信息,而后所述服务端通过应用程序接口API获取安全策略平台中的所述版本信息对应的安全策略,最后所述服务端启用获取到的所述安全策略,以使获取到的所述安全策略生效,实现了服务端安全策略的更新,使得客户端无论采用服务端更新前的安全策略还是服务端更新后的安全策略均能够与服务端正常通信,进而能够避免了客户端与服务端之间短时间内无法正常通信的问题,进一步提高了安全策略更新的效率。
基于第二实施例提出本发明安全策略更新方法的第三实施例,参照图3,在本实施例中,在步骤S170之后,该安全策略更新方法还包括:
步骤S180,所述服务端确定当前运行的安全策略中是否存在生效时长大于第一预设时长的安全策略;
本实施例中,服务端实时确定当前运行的安全策略中是否存在生效时长大于第一预设时长的安全策略。其中,第一预设时长可以通过服务端进行相应的设置,例如,第一预设时长可以设置为2小时等。
步骤S190,在当前运行的安全策略中存在生效时长大于第一预设时长的安全策略时,所述服务端禁用生效时长大于第一预设时长的所述安全策略,并释放禁用的所述安全策略占用的系统资源。
通过禁用生效时长大于第一预设时长的所述安全策略,能够避免生效时长大于第一预设时长的安全策略由于不再使用而占用服务端的系统资源,进而提高服务端系统资源的利用率。
在其他实施例中,服务端可以在启用某一安全策略时,对该安全策略进行定时操作,在定时的时长大于第一预设时长时,禁用该安全策略,并释放该所述安全策略占用的系统资源。
本实施例通过所述服务端确定当前运行的安全策略中是否存在生效时长大于第一预设时长的安全策略,接着在当前运行的安全策略中存在生效时长大于第一预设时长的安全策略时,所述服务端禁用生效时长大于第一预设时长的所述安全策略,并释放禁用的所述安全策略占用的系统资源,实现了服务端禁用生效时长大于第一预设时长的安全策略,进而避免生效时长大于第一预设时长的安全策略由于不再使用而占用服务端的系统资源,提高了服务端系统资源的利用率。
基于第二实施例提出本发明安全策略更新方法的第四实施例,参照图4,在本实施例中,在步骤S130之后,该安全策略更新方法还包括:
步骤S200,第二客户端实时监听对应的ZooKeeper节点中是否存在安全策略更新信息;
本实施例中,第二客户端实时监听第二客户端所属的域下的ZooKeeper节点,确定该第二客户端所属的域下的ZooKeeper节点中是否存在安全策略更新信息,具体地,该安全策略更新信息可以包括安全策略变更号、安全策略变更标识、或变更后的安全策略信息等,第二客户端可以根据该安全策略更新信息进行安全策略的更新。
步骤S210,在监听到所述ZooKeeper节点中存在安全策略更新信息时,所述第二客户端获取所述安全策略更新信息对应的安全策略;
在监听到所述ZooKeeper节点中存在安全策略更新信息时,第二客户端获取所述安全策略更新信息对应的安全策略,具体地,第二客户端获取所述安全策略更新信息对应的安全策略的版本信息,而后通过应用程序接口API获取安全策略平台中的所述版本信息对应的安全策略,即缓存安全策略平台中的所述版本信息对应的安全策略。
步骤S220,在监听到所述安全策略更新信息的时间点之后的时间间隔大于第二预设时长时,所述第二客户端将当前的安全策略切换为缓存的所述安全策略。
其中,第二预设时长可以通过第二客户端进行设置,例如,第二预设时长可以设置为3分钟、5分钟等。在监听到所述安全策略更新信息的时间点之后的时间间隔大于第二预设时长时,第二客户端将当前的安全策略切换为获取到的所述安全策略,以使获取到的所述安全策略生效,进而使获取到的所述安全策略延迟生效,例如,在监听到所述安全策略更新信息3分钟之后,第二客户端将当前的安全策略切换为获取到的所述安全策略。
本实施例中,通过第二客户端实时监听对应的ZooKeeper节点,以确定所述ZooKeeper节点中是否存在安全策略更新信息,接着在监听到所述ZooKeeper节点中存在安全策略更新信息时,所述第二客户端获取所述安全策略更新信息对应的安全策略,而后在监听到所述安全策略更新信息的时间点之后的时间间隔大于预设时长时,所述第二客户端将当前的安全策略切换为获取到的所述安全策略,实现了根据ZooKeeper节点中的安全策略更新信息自动更新第二客户端的安全策略,并且通过预设时长之后使安全策略生效,实现了安全策略的延迟生效,进而使得第二客户端能够在安全策略生效之前继续采用之前的安全策略与服务端进行通信,避免了客户端与服务端之间短时间内无法正常通信的问题,提高了安全策略更新的效率。
基于第四实施例提出本发明安全策略更新方法的第五实施例,参照图5,在本实施例中,步骤S220包括:
步骤S221,所述第二客户端禁用当前的安全策略,并释放当前的所述安全策略占用的系统资源;
具体地,第二客户端通过禁用当前的安全策略,使当前的安全策略失效,而后释放当前的所述安全策略占用的系统资源,以提高第二客户端的系统资源利用率。
步骤S222,在当前的安全策略禁用时,所述第二客户端启用获取到的所述安全策略。
在当前的安全策略失效时,第二客户端启用获取到的所述安全策略,使获取到的所述安全策略生效,以实现安全策略的更新。
本实施例通过所述第二客户端禁用当前的安全策略,并释放当前的所述安全策略占用的系统资源,接着在当前的安全策略禁用时,所述第二客户端启用获取到的所述安全策略,使得第二客户端只存在一个生效的安全策略,避免第一客户端在发送数据时选择安全策略的问题,进而提高了第二客户端发送数据的效率。
本发明进一步提供一种安全策略更新系统。参照图6,图6为本发明安全策略更新系统第一实施例的功能模块示意图。
在本实施例中,该安全策略更新系统包括:安全策略平台100,其中,所述安全策略平台100包括:
第一获取模块110,用于在检测到第一客户端的安全策略更新时,获取所述第一客户端关联的第二客户端以及服务端;
其中,用户(管理员)通过安全策略平台手动更新第一客户端的安全策略。在检测到第一客户端的安全策略更新时,譬如用户在安全策略平台的安全策略编辑界面编辑完成安全策略之后触发第一客户端的安全策略更新指令时,第一获取模块110台获取所述第一客户端关联的第二客户端以及服务端。
生成模块120,用于基于所述第一客户端的安全策略、所述第二客户端所属的域及服务端所属的域分别生成所述第二客户端及服务端对应的安全策略;
具体地,生成模块120根据第一客户端的安全策略的SSL(Secure Sockets Layer安全套接层)协议及第二客户端所属的域的SSL生成所述第二客户端的安全策略,生成模块120根据第一客户端的安全策略的SSL与服务端所属的域的SSL分别生成服务端对应的安全策略。
发送模块130,用于下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点,以供所述第二客户端及所述服务端基于所述安全策略更新信息更新进行安全策略的更新操作。
发送模块130下发安全策略更新信息至所述第三客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点,使得第三客户端以及服务端能够根据各自对应ZooKeeper节点中的全策略更新信息进行安全策略的更新。
其中,ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,ZooKeeper节点是有生命周期的,在ZooKeeper中,按照节点类型可以将ZooKeeper节点分为持久节点、临时节点以及时序节点。
本实施例中,通过在检测到第一客户端的安全策略更新时,第一获取模块110获取所述第一客户端关联的第二客户端以及服务端,接着生成模块120基于所述第一客户端的安全策略、所述第二客户端所属的域及服务端所属的域分别生成所述第二客户端及服务端对应的安全策略,而后发送模块130下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点,以供所述第二客户端及所述服务端基于所述安全策略更新信息更新进行安全策略的更新操作,实现了在第一客户端进行安全策略更新时,安全策略平台通过下发安全策略更新信息通知第一客户端关联的第二客户端以及服务端进行安全策略的更新,进而实现了第二客户端以及服务端的安全策略的自动更新,避免采用手工对第二客户端以及服务端进行安全策略的更新,提高了安全策略更新的效率。
基于第一实施例提出本发明安全策略更新系统的第二实施例,参照图7,在本实施例中,该安全策略更新系统还包括:服务端200,其中,所述服务端200包括:
第一监听模块210,用于实时监听服务端对应的ZooKeeper节点中是否存在安全策略更新信息;
本实施例中,第一监听模块210实时监听服务端所属的域下的ZooKeeper节点,确定该服务端所属的域下的ZooKeeper节点中是否存在安全策略更新信息,具体地,该安全策略更新信息可以包括安全策略变更号、安全策略变更标识、或变更后的安全策略信息等,服务端可以根据该安全策略更新信息进行安全策略的更新。
第二获取模块220,用于在监听到所述ZooKeeper节点中存在安全策略更新信息时,获取所述安全策略更新信息对应的安全策略的版本信息;
具体地,在监听到所述ZooKeeper节点中存在安全策略更新信息时,第二获取模块220可以通过解析该安全策略更新信息获取该安全策略更新信息对应的安全策略的版本信息,或者,第二获取模块220根据该安全策略更新信息通过应用程序接口API在安全策略平台中获取该安全策略更新信息对应的安全策略的版本信息。
第三获取模块230,用于通过应用程序接口API获取安全策略平台中的所述版本信息对应的安全策略;
在获取到版本信息时,第三获取模块230通过应用程序接口API获取安全策略平台中的所述版本信息对应的安全策略,即服务端缓存安全策略平台中的所述版本信息对应的安全策略。
启用模块240,用于启用获取到的所述安全策略,以使获取到的所述安全策略生效。
本实施例中,启用模块240直接启用安全策略更新信息对应的安全策略,而无需使服务端启用的其他安全策略失效,即服务端当前生效多个安全策略,进而使得客户端无论采用服务端更新前的安全策略还是服务端更新后的安全策略均能够与服务端正常通信,进而能够避免了客户端与服务端之间短时间内无法正常通信的问题。
本实施例通过第一监听模块210实时监听服务端对应的ZooKeeper节点中是否存在安全策略更新信息,接着在监听到所述ZooKeeper节点中存在安全策略更新信息时,第二获取模块220获取所述安全策略更新信息对应的安全策略的版本信息,而后第三获取模块230通过应用程序接口API获取安全策略平台中的所述版本信息对应的安全策略,最后启用模块240启用获取到的所述安全策略,以使获取到的所述安全策略生效,实现了服务端安全策略的更新,使得客户端无论采用服务端更新前的安全策略还是服务端更新后的安全策略均能够与服务端正常通信,进而能够避免了客户端与服务端之间短时间内无法正常通信的问题,进一步提高了安全策略更新的效率。
基于第二实施例提出本发明安全策略更新系统的第三实施例,参照图8,在本实施例中,该服务端200还包括:
确定模块250,用于确定当前运行的安全策略中是否存在生效时长大于第一预设时长的安全策略;
本实施例中,确定模块250实时确定当前运行的安全策略中是否存在生效时长大于第一预设时长的安全策略。其中,第一预设时长可以通过服务端进行相应的设置,例如,第一预设时长可以设置为2小时等。
禁用模块260,用于在当前运行的安全策略中存在生效时长大于第一预设时长的安全策略时,禁用生效时长大于第一预设时长的所述安全策略,并释放禁用的所述安全策略占用的系统资源。
通过禁用模块260禁用生效时长大于第一预设时长的所述安全策略,能够避免生效时长大于第一预设时长的安全策略由于不再使用而占用服务端的系统资源,进而提高服务端系统资源的利用率。
本实施例通过确定模块250确定当前运行的安全策略中是否存在生效时长大于第一预设时长的安全策略,接着在当前运行的安全策略中存在生效时长大于第一预设时长的安全策略时,禁用模块260禁用生效时长大于第一预设时长的所述安全策略,并释放禁用的所述安全策略占用的系统资源,实现了服务端禁用生效时长大于第一预设时长的安全策略,进而避免生效时长大于第一预设时长的安全策略由于不再使用而占用服务端的系统资源,提高了服务端系统资源的利用率。
基于第二实施例提出本发明安全策略更新系统的第四实施例,参照图9,在本实施例中,该安全策略更新系统还包括:第二客户端300,其中所述第二客户端300包括:
第二监听模块310,用于实时监听所述第二客户端对应的ZooKeeper节点中是否存在安全策略更新信息;
本实施例中,第二监听模块310实时监听第二客户端所属的域下的ZooKeeper节点,确定该第二客户端所属的域下的ZooKeeper节点中是否存在安全策略更新信息,具体地,该安全策略更新信息可以包括安全策略变更号、安全策略变更标识、或变更后的安全策略信息等,第二客户端可以根据该安全策略更新信息进行安全策略的更新。
第四获取模块320,用于在监听到所述ZooKeeper节点中存在安全策略更新信息时,获取所述安全策略更新信息对应的安全策略;
在监听到所述ZooKeeper节点中存在安全策略更新信息时,第四获取模块320获取所述安全策略更新信息对应的安全策略,具体地,第四获取模块320获取所述安全策略更新信息对应的安全策略的版本信息,而后通过应用程序接口API获取安全策略平台中的所述版本信息对应的安全策略,即缓存安全策略平台中的所述版本信息对应的安全策略。
切换模块330,用于在监听到所述安全策略更新信息的时间点之后的时间间隔大于第二预设时长时,将当前的安全策略切换为缓存的所述安全策略。
其中,第二预设时长可以通过第二客户端进行设置,例如,第二预设时长可以设置为3分钟、5分钟等。在监听到所述安全策略更新信息的时间点之后的时间间隔大于第二预设时长时,切换模块330将当前的安全策略切换为获取到的所述安全策略,以使获取到的所述安全策略生效,进而使获取到的所述安全策略延迟生效,例如,在监听到所述安全策略更新信息3分钟之后,切换模块330将当前的安全策略切换为获取到的所述安全策略。
本实施例中,通过第二监听模块310实时监听所述第二客户端对应的ZooKeeper节点,以确定所述ZooKeeper节点中是否存在安全策略更新信息,接着在监听到所述ZooKeeper节点中存在安全策略更新信息时,第四获取模块320获取所述安全策略更新信息对应的安全策略,而后在监听到所述安全策略更新信息的时间点之后的时间间隔大于预设时长时,切换模块330将当前的安全策略切换为获取到的所述安全策略,实现了根据ZooKeeper节点中的安全策略更新信息自动更新第二客户端的安全策略,并且通过预设时长之后使安全策略生效,实现了安全策略的延迟生效,进而使得第二客户端能够在安全策略生效之前继续采用之前的安全策略与服务端进行通信,避免了客户端与服务端之间短时间内无法正常通信的问题,提高了安全策略更新的效率。
基于第四实施例提出本发明安全策略更新系统的第五实施例,参照图10,在本实施例中,该切换模块330包括:
禁用单元331,用于禁用当前的安全策略,并释放当前的所述安全策略占用的系统资源;
具体地,通过禁用单元331禁用当前的安全策略,使当前的安全策略失效,而后释放当前的所述安全策略占用的系统资源,以提高第二客户端的系统资源利用率。
启用单元332,用于在当前的安全策略禁用时,启用获取到的所述安全策略
在当前的安全策略失效时,启用单元332启用获取到的所述安全策略,使获取到的所述安全策略生效,以实现安全策略的更新。
本实施例通过禁用单元331禁用当前的安全策略,并释放当前的所述安全策略占用的系统资源,接着在当前的安全策略禁用时,启用单元332启用获取到的所述安全策略,使得第二客户端只存在一个生效的安全策略,避免第一客户端在发送数据时选择安全策略的问题,进而提高了第二客户端发送数据的效率。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种安全策略更新方法,其特征在于,所述安全策略更新方法包括以下步骤:
在检测到第一客户端的安全策略更新时,安全策略平台获取所述第一客户端关联的第二客户端以及服务端;
安全策略平台基于所述第一客户端的安全策略及所述第二客户端所属的域生成所述第二客户端的安全策略以及安全策略平台基于所述第一客户端的安全策略及服务端所属的域生成服务端对应的安全策略;
安全策略平台下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点,以供所述第二客户端及所述服务端基于所述安全策略更新信息更新进行安全策略的更新操作。
2.如权利要求1所述的安全策略更新方法,其特征在于,所述安全策略平台下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点的步骤之后,所述安全策略更新方法还包括:
所述服务端实时监听对应的ZooKeeper节点中是否存在安全策略更新信息;
在监听到所述ZooKeeper节点中存在安全策略更新信息时,所述服务端获取所述安全策略更新信息对应的安全策略的版本信息;
所述服务端通过应用程序接口API获取安全策略平台中的所述版本信息对应的安全策略;
所述服务端启用获取到的所述安全策略,以使获取到的所述安全策略生效。
3.如权利要求2所述的安全策略更新方法,其特征在于,所述服务端启用获取到的所述安全策略的步骤之后,所述安全策略更新方法还包括:
所述服务端确定当前运行的安全策略中是否存在生效时长大于第一预设时长的安全策略;
在当前运行的安全策略中存在生效时长大于第一预设时长的安全策略时,所述服务端禁用生效时长大于第一预设时长的所述安全策略,并释放禁用的所述安全策略占用的系统资源。
4.如权利要求2所述的安全策略更新方法,其特征在于,所述安全策略平台下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点的步骤之后,所述安全策略更新方法还包括:
第二客户端实时监听对应的ZooKeeper节点中是否存在安全策略更新信息;
在监听到所述ZooKeeper节点中存在安全策略更新信息时,所述第二客户端获取所述安全策略更新信息对应的安全策略;
在监听到所述安全策略更新信息的时间点之后的时间间隔大于第二预设时长时,所述第二客户端将当前的安全策略切换为缓存的所述安全策略。
5.如权利要求4所述的安全策略更新方法,其特征在于,所述第二客户端将当前的安全策略切换为获取到的所述安全策略的步骤包括:
所述第二客户端禁用当前的安全策略,并释放当前的所述安全策略占用的系统资源;
在当前的安全策略禁用时,所述第二客户端启用获取到的所述安全策略。
6.一种安全策略更新系统,其特征在于,所述安全策略更新系统包括:安全策略平台,其中,所述安全策略平台包括:
第一获取模块,用于在检测到第一客户端的安全策略更新时,获取所述第一客户端关联的第二客户端以及服务端;
生成模块,用于基于所述第一客户端的安全策略及所述第二客户端所属的域生成所述第二客户端的安全策略以及安全策略平台基于所述第一客户端的安全策略及服务端所属的域生成服务端对应的安全策略;
发送模块,用于下发安全策略更新信息至所述第二客户端对应的ZooKeeper节点以及所述服务端对应的ZooKeeper节点,以供所述第二客户端及所述服务端基于所述安全策略更新信息更新进行安全策略的更新操作。
7.如权利要求6所述的安全策略更新系统,其特征在于,所述安全策略更新系统还包括:服务端,其中,所述服务端包括:
第一监听模块,用于实时监听服务端对应的ZooKeeper节点中是否存在安全策略更新信息;
第二获取模块,用于在监听到所述ZooKeeper节点中存在安全策略更新信息时,获取所述安全策略更新信息对应的安全策略的版本信息;
第三获取模块,用于通过应用程序接口API获取安全策略平台中的所述版本信息对应的安全策略;
启用模块,用于启用获取到的所述安全策略,以使获取到的所述安全策略生效。
8.如权利要求7所述的安全策略更新系统,其特征在于,所述服务端还包括:
确定模块,用于确定当前运行的安全策略中是否存在生效时长大于第一预设时长的安全策略;
禁用模块,用于在当前运行的安全策略中存在生效时长大于第一预设时长的安全策略时,禁用生效时长大于第一预设时长的所述安全策略,并释放禁用的所述安全策略占用的系统资源。
9.如权利要求7所述的安全策略更新系统,其特征在于,所述安全策略更新系统还包括:第二客户端,其中所述第二客户端包括:
第二监听模块,用于实时监听所述第二客户端对应的ZooKeeper节点中是否存在安全策略更新信息;
第四获取模块,用于在监听到所述ZooKeeper节点中存在安全策略更新信息时,获取所述安全策略更新信息对应的安全策略;
切换模块,用于在监听到所述安全策略更新信息的时间点之后的时间间隔大于第二预设时长时,将当前的安全策略切换为缓存的所述安全策略。
10.如权利要求9所述的安全策略更新系统,其特征在于,所述切换模块包括:
禁用单元,用于禁用当前的安全策略,并释放当前的所述安全策略占用的系统资源;
启用单元,用于在当前的安全策略禁用时,启用获取到的所述安全策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610632593.2A CN106067886B (zh) | 2016-08-03 | 2016-08-03 | 安全策略更新方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610632593.2A CN106067886B (zh) | 2016-08-03 | 2016-08-03 | 安全策略更新方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106067886A CN106067886A (zh) | 2016-11-02 |
| CN106067886B true CN106067886B (zh) | 2019-06-14 |
Family
ID=57207603
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610632593.2A Active CN106067886B (zh) | 2016-08-03 | 2016-08-03 | 安全策略更新方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106067886B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110362412A (zh) * | 2018-04-09 | 2019-10-22 | 华为技术有限公司 | 一种服务api调用方法和相关装置 |
| CN108540498B (zh) * | 2018-06-21 | 2023-05-05 | 咪付(广西)网络技术有限公司 | 一种金融支付中安全策略版本下发的方法和系统 |
| US11647048B2 (en) | 2018-10-03 | 2023-05-09 | Visa International Service Association | Real-time feedback service for resource access rule configuration |
| CN110912896B (zh) * | 2019-11-27 | 2022-02-25 | 厦门市美亚柏科信息股份有限公司 | 一种非侵入式的http接口安全策略注入方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102129634A (zh) * | 2010-01-14 | 2011-07-20 | 鸿富锦精密工业(深圳)有限公司 | 数字证书管理系统及方法 |
| CN102982141A (zh) * | 2012-11-20 | 2013-03-20 | 北京搜狐新媒体信息技术有限公司 | 一种实现分布式数据库代理的方法及装置 |
| CN103064742A (zh) * | 2012-12-25 | 2013-04-24 | 中国科学院深圳先进技术研究院 | 一种hadoop集群的自动部署系统及方法 |
| CN103473287A (zh) * | 2013-08-30 | 2013-12-25 | 中国科学院信息工程研究所 | 一种自动分发、运行和更新可执行程序的方法及系统 |
| CN104717194A (zh) * | 2013-12-16 | 2015-06-17 | 研祥智能科技股份有限公司 | 安全策略的更改方法及系统 |
| CN104917798A (zh) * | 2014-03-13 | 2015-09-16 | 北京奇虎科技有限公司 | 一种数据更新的方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9444840B2 (en) * | 2012-03-13 | 2016-09-13 | Alcatel Lucent | Method and apparatus for a distributed security service in a cloud network |
-
2016
- 2016-08-03 CN CN201610632593.2A patent/CN106067886B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102129634A (zh) * | 2010-01-14 | 2011-07-20 | 鸿富锦精密工业(深圳)有限公司 | 数字证书管理系统及方法 |
| CN102982141A (zh) * | 2012-11-20 | 2013-03-20 | 北京搜狐新媒体信息技术有限公司 | 一种实现分布式数据库代理的方法及装置 |
| CN103064742A (zh) * | 2012-12-25 | 2013-04-24 | 中国科学院深圳先进技术研究院 | 一种hadoop集群的自动部署系统及方法 |
| CN103473287A (zh) * | 2013-08-30 | 2013-12-25 | 中国科学院信息工程研究所 | 一种自动分发、运行和更新可执行程序的方法及系统 |
| CN104717194A (zh) * | 2013-12-16 | 2015-06-17 | 研祥智能科技股份有限公司 | 安全策略的更改方法及系统 |
| CN104917798A (zh) * | 2014-03-13 | 2015-09-16 | 北京奇虎科技有限公司 | 一种数据更新的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106067886A (zh) | 2016-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106067886B (zh) | 安全策略更新方法及系统 | |
| CN103812849B (zh) | 一种本地缓存更新方法、系统、客户端及服务器 | |
| CN102929961B (zh) | 基于构建快速数据分级通道的数据处理方法及其装置 | |
| CN106250500A (zh) | 数据库连接池的动态管理方法和系统 | |
| CN102891877B (zh) | 实现终端应用的在线处理系统及方法 | |
| CN102984012B (zh) | 管理服务资源的方法及服务资源管理系统 | |
| CN104539982B (zh) | 一种视频点对点资源共享调度方法、系统及节点终端 | |
| CN102710554A (zh) | 分布式消息系统和分布式消息系统的服务状态检测方法 | |
| WO2007149805A3 (en) | Systems and methods for dynamic mode-driven link management | |
| EP2512064A1 (en) | Data configuration method and apparatus | |
| CN104717231A (zh) | 内容分发网络的预分发处理方法及装置 | |
| CN101599840A (zh) | 一种大规模集群中服务器分时上电的方法 | |
| CN104281489A (zh) | Soa架构下的多线程请求方法及系统 | |
| CN103366088A (zh) | 一种通过智能配对提高游戏质量的方法及装置 | |
| CN106254346B (zh) | 安全策略更新方法及系统 | |
| CN108540367B (zh) | 一种消息处理方法及系统 | |
| CN102075367B (zh) | 控制补丁包下载的方法、系统、客户端及服务器 | |
| CN107678923A (zh) | 一种分布式文件系统消息处理的优化方法 | |
| CN105335242A (zh) | Ios系统中后台下载视频文件的方法及系统 | |
| CN109194993B (zh) | 媒体文件分发方法及文件分发平台 | |
| CN107734391A (zh) | 智能电视应用升级的实现方法 | |
| CN111475333B (zh) | 一种基于openstack的数据库备份方法及装置 | |
| CN104954227B (zh) | 一种抢占式跨平台消息推送方法和服务器 | |
| CN106254103B (zh) | 一种rtmp集群系统可动态配置方法及装置 | |
| CN105630605B (zh) | 基于数据服务访问情况动态调整数据服务集群的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20171205 Address after: 510000 Guangzhou City, Guangzhou, Guangdong, Fangcun Avenue, one of the 314 self compiled Applicant after: Guangzhou Pinwei Software Co., Ltd. Address before: Liwan District Fangcun Huahai street Guangzhou city Guangdong province 510000 No. 20 self 1-5 building (only for office use) Applicant before: Guangzhou VIPSHOP Information and Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211229 Address after: 510000 Room 601, 128 Dingxin Road, Haizhu District, Guangzhou City, Guangdong Province (office only) Patentee after: Vipshop (Guangzhou) Software Co.,Ltd. Address before: 510000 No. 314, Fangcun Avenue, Liwan District, Guangzhou City, Guangdong Province Patentee before: GUANGZHOU PINWEI SOFTWARE Co.,Ltd. |