CN111818058A - 面向网络跳变控制器的安全防护方法、系统及相关设备 - Google Patents

面向网络跳变控制器的安全防护方法、系统及相关设备 Download PDF

Info

Publication number
CN111818058A
CN111818058A CN202010658289.1A CN202010658289A CN111818058A CN 111818058 A CN111818058 A CN 111818058A CN 202010658289 A CN202010658289 A CN 202010658289A CN 111818058 A CN111818058 A CN 111818058A
Authority
CN
China
Prior art keywords
network
node
controller
hopping
jump
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010658289.1A
Other languages
English (en)
Other versions
CN111818058B (zh
Inventor
李伟
徐正全
卢刚
方铸
王若舟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Quantum Storm Information Technology Co ltd
Wuhan University WHU
Original Assignee
Wuhan Quantum Storm Information Technology Co ltd
Wuhan University WHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Quantum Storm Information Technology Co ltd, Wuhan University WHU filed Critical Wuhan Quantum Storm Information Technology Co ltd
Priority to CN202010658289.1A priority Critical patent/CN111818058B/zh
Publication of CN111818058A publication Critical patent/CN111818058A/zh
Application granted granted Critical
Publication of CN111818058B publication Critical patent/CN111818058B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04JMULTIPLEX COMMUNICATION
    • H04J3/00Time-division multiplex systems
    • H04J3/02Details
    • H04J3/06Synchronising arrangements
    • H04J3/0635Clock or time synchronisation in a network
    • H04J3/0638Clock or time synchronisation among nodes; Internode synchronisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0663Performing the actions predefined by failover planning, e.g. switching to standby network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/001Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using chaotic signals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种面向网络跳变控制器的安全防护方法、系统及相关设备,包含有在由多台跳变控制器构建的控制器集群中,通过投票机制选举值班节点,其他节点作为后备节点;建立值班节点与网络跳变执行器连接,并对网络跳变执行器提供服务;后备节点监督值班节点的健康状态和工作状态,若值班节点故障和/或被恶意控制和/或劫持,则选举新的值班节点,并继续对网络跳变执行器提供服务等步骤。本发明的优点是:通过对现有Raft算法的改进,让后备节点同时具备了监督值班节点健康状态和工作状态的功能,使跳变控制器具有了内生的安全防护能力,解决了跳变控制器因被恶意控制或劫持导致整个网络跳变系统防护能力被瓦解的问题,提升了系统抗攻击能力。

Description

面向网络跳变控制器的安全防护方法、系统及相关设备
技术领域
本发明涉及网络安全技术领域,特别涉及一种面向网络跳变控制器的安全防护方法、系统及相关设备。
背景技术
网络跳变是移动目标防御体系中的重要技术之一,其常见的系统架构如图1所示,在该网络跳变架构中,网络跳变控器制是大脑,其作用是用于将网络跳变控制信息发送给网络跳变执行器,以控制网络跳变执行器运行。其中,跳变控制信息包括了对数据包进行处理和转发的机制,因为,网络跳变执行器可以屏蔽其对应跳变网络中应用服务系统对外提供的原始IP地址和端口等信息,使得应用服务系统对外提供服务的IP地址和端口转化为不断变化的跳变IP地址和跳变端口;由于IP地址和端口的不断变化,使得攻击者难以对目标实施有效攻击,这样便可实现对应用系统的安全防护;故而,网络跳变控制器就成为了跳变网络中新的攻击对象,攻击者一旦成功控制网络跳变控制器,则整个网络跳变系统的防护能力将被瓦解。
目前对网络跳变控制器的防护方法,采取较多的是:采用防火墙或网络隔离的方式对网络跳变控制器提供安全防护,但是这两种方式都不能从根本上解决网络跳变控制器所面临的安全威胁。而基于Raft算法的网络跳变控制器架构虽能够解决网络跳变控制器由于物理故障导致的系统单点失效,但是无法解决网络跳变控制器被恶意攻击导致其被劫持问题。如图2所示,基于Raft算法的网络跳变架构具体是通过在跳变网络中部署多个对等的网络跳变控制器节点来建立一种分布式网络跳变控制器集群,然后再利用Raft算法的竞选机制,从这个分布式网络跳变控制器集群中选举一个网络跳变控制器作为值班节点来对外提供服务,其他网络跳变控制器则作为后备节点备用;在此基于Raft算法的网络跳变架构中,网络跳变控制器集群中的各节点(即各网络跳变控制器)之间利用的是主从同步机制实现节点数据的一致性。在此基于Raft算法的网络跳变架构中,值班节点和后备节点间连接了心跳线,其是通过心跳数据包来判断值班节点的运行状态的,如图3所示;在此基于Raft算法的网络跳变架构下,当在一个时间段内,网络跳变控制器集群中的后备节点未收到值班节点发来的心跳信息时,如图4所示,则判断值班节点出现了物理故障或网络连接中断,此时网络跳变控制器集群会选择一个新的节点(即从原后备节点中选择)来作为值班节点,然后再重新建立与网络跳变执行器的连接。从上面我们能够看出,该基于Raft算法的网络跳变架构中,Raft算法面向的是控制器节点物理故障或网络失效的问题,是非拜占庭将军问题。但在该基于Raft算法的网络跳变架构下,若出现值班节点被恶意攻击并劫持,此时的值班节点则无法向网络跳变执行器再提供正常服务或者会向网络跳变执行器发送错误的服务消息,但是此时的值班节点依然可以向后备节点正常发送心跳消息,如图5所示,由此可知,此时的后备节点无法判断值班节点的工作状态是否正常,即无法处理值班节点被恶意攻击导致的劫持问题(即拜占庭将军问题)。综上所述,现有基于Raft算法的网络跳变架构,其本身只能解决节点物理故障的非拜占庭将军的一致性问题,无法解决节点被恶意攻击劫持的拜占庭将军一致性问题。
众所周知,在跳变网络环境中,网络跳变控制器不仅需要实时对网络跳变执行器发送控制指令,而且网络跳变控制器还会随时面临着第三方的恶意攻击,因此,我们不仅需要解决网络跳变控制器被劫持(拜占庭将军)问题,还需要解决高性能的一致性算法问题。
发明内容
本发明的目的在于提供一种面向跳变控制器的安全防护方法、系统及相关设备,用于解决跳变控制器被攻击后导致防护能力被瓦解的问题。
为实现上述目的,本发明采取的如下技术方案:
一个面向网络跳变控制器的安全防护系统,包含由N个网络跳变控制器组成的网络跳变控制器集群以及由至少一个网络跳变执行器组成的网络跳变执行器集群;其中,组成网络跳变控制器集群的多个网络跳变控制器中包含一个作为值班节点的网络跳变控制器和N-1个作为后备节点的网络跳变控制器,且作为值班节点和后备节点的每个网络跳变控制器均还内置有一个第一混沌随机数生成器;其中,N≥3,且N为整数;
系统工作时,在同一跳变网络中,由网络跳变控制器集群中作为值班节点的网络跳变控制器与网络跳变执行器集群中所有的网络跳变执行器建立通信连接,并同时向网络跳变控制器集群中所有作为后备节点的网络跳变控制器和网络跳变执行器集群中所有的网络跳变执行器发送相同的服务消息。
一个面向网络跳变控制器的安全防护网络系统,包含多个跳变网络,且每个所述跳变网络均包含一个面向网络跳变控制器的安全防护系统及一个时钟同步设备;所述安全防护系统中的网络跳变执行器集群分别与所述时钟同步设备及所述安全防护系统中的网络跳变控制器集群建立通信连接;
每个所述跳变网络内部部署的网络跳变执行器集群均通过外部数据通信网络对应与其它跳变网络内部部署的网络跳变执行器集群建立通信连接,以实现数据传输;
每个所述跳变网络内部部署的时钟同步设备均与外部时钟同步网络建立通信连接,用以接收时钟同步信息,以实现时钟同步。
进一步上述网络系统中:每个所述跳变网络均还包含有一个应用服务系统集群或/和一个客户端主机群;
每个所述应用服务系统集群均部署在与其对应的跳变网络中,并与其对应跳变网络内部部署的安全防护系统中的网络跳变执行器集群通信连接;
每个所述客户端主机群均部署在与其对应的跳变网络中或以外;当所述客户端主机群部署在其对应的跳变网络中时,所述客户端主机群包含至少一个第一客户端主机,且所述第一客户端主机依次通过其对应跳变网络中的网络跳变执行器集群以及数据通信网络与其它跳变网络内部部署的网络跳变执行器集群建立通信连接;当所述客户端主机群部署在其对应的跳变网络以外时,所述客户端主机群包含有至少一个带有内置第二混沌随机数生成器的第二客户端主机,且所述带有内置第二混沌随机数生成器的第二客户端主机分别与所述数据通信网络及时钟同步网络建立通信连接。
进一步上述网络系统中:所述应用服务系统集群包含至少一个应用服务器;所述网络跳变控制器集群包含N个带有内置第一混沌随机数生成器的网络跳变控制器;所述网络跳变执行器集群包含至少一个网络跳变执行器;
工作时,在每个跳变网络中,由其网络跳变控制器集群中作为值班节点的网络跳变控制器分别与作为后备节点的每个网络跳变控制器及网络跳变执行器集群中的每个网络跳变执行器建立通信连接,每个网络跳变执行器分别与时钟同步设备建立通信连接,或者每个网络跳变执行器分别与时钟同步设备及应用服务系统集群中的至少一个应用服务器建立通信连接,时钟同步设备通过时钟同步网络接收本地时钟同步信号,每个网络跳变执行器均还通过数据通信网络对应与其它跳变网络的网络跳变执行器集群中的至少一个网络跳变执行器建立通信连接。
一种面向网络跳变控制器安全防护的控制器集群,包含多个带有内置第一混沌随机数生成器的网络跳变控制器;工作时,所述的多个带有内置第一混沌随机数生成器的网络跳变控制器之间通过改进Raft算法协同工作;其中,所述改进Raft算法是在现有Raft算法的基础上做出的改进,其具体是:使得Candidate节点(本发明中指后备节点)同时具备了监控Leader节点(本发明中指值班节点)工作状态和健康状态的功能。
一种面向网络跳变控制器的安全防护方法,其是基于上述面向网络跳变控制器的安全防护系统的防护方法,其具体包含如下步骤:
S1、网络跳变控制器集群初始化;
S2、从网络跳变控制器集群中选举出值班节点,将网络跳变控制器集群中的其它节点作为后备节点;
S3、值班节点和后备节点同时向网络跳变执行器发送选举结果;
S4、网络跳变执行器判断接收到的选举结果数是否超过网络跳变控制器集群中的网络跳变控制器节点数的1/2;
若网络跳变执行器接收到的选举结果数超过网络跳变控制器集群中的网络跳变控制器节点数的1/2时,则网络跳变执行器接受选举结果,并执行步骤S5;;
若网络跳变执行器接收到的选举结果数小于网络跳变控制器集群中的网络跳变控制器节点数的1/2时,则网络跳变执行器忽略选举结果,并执行步骤S6,由原值班节点继续对网络跳变执行器提供服务;
S5、判断步骤S4中接收到选举结果数超过网络跳变控制器节点数1/2的网络跳变执行器是否连接有值班节点;
若步骤S4中接收到选举结果数超过网络跳变控制器节点数1/2的网络跳变执行器,原先未连接有值班节点,则步骤S4中接收到选举结果数超过网络跳变控制器节点数1/2的网络跳变执行器直接与步骤S2选举出的值班节点建立连接,然后执行步骤S6;
若步骤S4中接收到选举结果数超过网络跳变控制器节点数1/2的网络跳变执行器,原先连接有值班节点,则步骤S4中接收到选举结果数超过网络跳变控制器节点数1/2的网络跳变执行器先断开与原值班节点的连接,然后再与步骤S2选举出的新的值班节点建立连接,接着再执行步骤S6;
S6、值班节点向网络跳变执行器发送服务消息,对网络跳变执行器提供服务;
S7、值班节点将发送给向网络跳变执行器的服务消息作为心跳消息,以心跳包的方式发送给后备节点;
S8、后备节点监督值班节点的工作状态,判断值班节点是否出现故障和/或被劫持和/或被恶意控制;
若后备节点监督到当前值班节点出现故障和/或被劫持和/或被恶意控制时,则执行步骤S2,重新选举新的值班节点,接着再重复步骤S3至S8,如此不断循环操作,便可实现对网络跳变控制器的安全防护;
若后备节点监督到当前值班节点未出现故障和/或被劫持和/或被恶意控制时,则执行步骤S6,由当前值班节点继续对网络跳变执行器提供服务,接着再重复步骤S7至S8,如此不断循环操作,便实可现对网络跳变控制器的安全防护。
进一步上述方法步骤S2中:从网络跳变控制器集群中选举出值班节点,网络跳变控制器集群中的其它节点作为后备节点的具体方法为:利用Raft算法的投票选举机制,从步骤S1中的网络跳变控制器集群中选举一个网络跳变控制器作为值班节点,当值班节点被选举出来时,网络跳变控制器集群中其余的网络跳变控制器则均作为后备节点。
进一步上述方法步骤S3中:值班节点和后备节点向网络跳变执行器发送选举结果,具体过程是:由步骤S2中选举出的作为值班节点的网络跳变控制器和其余作为后备节点的网络跳变控制器同时向与之相对应跳变网络中的每个网络跳变执行器发送选举结果信息。
进一步上述方法步骤S6中:值班节点向网络跳变执行器发送服务消息,对网络跳变执行器提供服务,其中的值班节点为当前值班节点,该当前值班节点为原值班节点或新值班节点;
其中,当步骤S6中对网络跳变执行器提供服务的是原值班节点时,则表示步骤S4中的网络跳变执行器接收到的选举结果数未超过网络跳变控制器集群中的网络跳变控制器节点数的1/2;
其中,当步骤S6中对网络跳变执行器提供服务的是新值班节点时,则表示步骤S4中的网络跳变执行器接收到的选举结果数超过了网络跳变控制器集群中的网络跳变控制器节点数的1/2;
进一步上述方法步骤S7中:值班节点将发送给网络跳变执行器的服务消息作为心跳消息,以心跳包的方式发送给后备节点,具体是由步骤S6中的当前值班节点网络跳变控制器将发送给网络跳变执行器的服务消息、以心跳包的方式同时发送给每个后备节点网络跳变控制器。
进一步上述方法步骤S8中:若判定出当前值班节点出现故障和/或被劫持和/或被恶意控制,其执行步骤S2,重新选举新值班节点的过程,具体如下:
(1)若当前值班节点网络跳变控制器在每个跳变周期开始之前,不能将生成的服务消息发送至其所对应跳变网络中的网络跳变执行器和后备节点网络跳变控制器,则判断当前值班节点网络跳变控制器出现了故障;
(2)若当前值班节点网络跳变控制器发送给与其相对应后备节点网络跳变控制器的服务消息与后备节点网络变控制器自己通过内置混沌算法生成的服务消息不一致时,则判断当前值班节点网络跳变控制器被第三方恶意攻击并被控制;
(3)当后备节点网络变控制器判定当前值班节点网络跳变控制器为出现故障和/或被恶意攻击控制时,则由网络跳变控制器集群中的后备节点网络跳变控制器发起新的选举流程,选出新的值班节点,与此同时将新的选举结果发送给与其对应跳变网络中的网络跳变执行器;而此时出现故障和/或被恶意攻击控制的原值班节点则会被标志为“失效”节点;
(4)当网络跳变控制器集群中的后备节点网络跳变控制器发起新的选举流程,并选举出新的值班节点后,由网络跳变执行器根据收到的新的选举结果数,判断新的选举结果是否有效;
若网络跳变执行器收到的新选举结果数超过了网络跳变控制器集群中的后备节点数的1/2时,则确认此新的选举结果有效;
若网络跳变执行器收到的新选举结果数没有超过网络跳变控制器集群中的后备节点数的1/2时,则确认此新的选举结果无效;
(5)若新的选举结果被确认为有效时,网络跳变执行器则接受此次新的选举结果,并断开与原“失效”值班节点的连接,再与重新选举出的新值班节点建立连接;
(6)若新的选举结果被确认为无效时,网络跳变执行器则忽略此次新的选举结果,网络跳变执行器继续保持与原值班节点的连接。
与现有技术相比,本发明的优点是:
(1)高容错性;当系统中一个或几个网络跳变控制器节点被恶意攻击成功,且正常运行的控制器节点数≥总的控制器节点数/2+1时,不会影响系统的正常运行。
(2)高安全性;多个网络跳变控制器组成了分布式网络跳变控制器集群,各网络跳变控制器节点相互独立,且决策过程不依赖于其他节点,不需要增加判断节点,避免引入新的攻击点。
(3)高兼容性;基于改进Raft算法机制不影响现有的控制器的业务逻辑,已有的控制器软件和硬件平台不需要进行任何修改,系统就可以正常运行;本发明与现有的网络安全防护机制完全兼容,可以结合现有的网络安全防护设备,如防火墙、入侵检测等,共同部署和使用。
(4)高可靠性:当系统中的一个或几个网络跳变控制器节点由于硬件故障导致失效,且正常运行的控制器节点数≥总的控制器节点数/2+1时,不影响系统的正常运行。
(5)后备节点不但能够监督值班节点的健康状态,还能够监督值班节点的工作状态,使网络跳变控制器具有内生的安全防护能力,解决了由于网络跳变控制器被恶意控制或劫持,导致整个网络跳变系统防护能力被瓦解的问题,有效提升了系统的抗攻击能力。
本发明的创新点在于:通过在跳变网络中,部署由多台网络跳变控制器构成的分布式网络跳变控制器集群,并在任意时间段,利用改进共识算法(改进Raft算法)在网络跳变控制器集群中选举一个网络跳变控制器作为值班节点,然后由作为值班节点的网络跳变控制器根据其系统内置混沌算法生成服务消息,并将生成的服务消息分别同时发送给网络跳变执行器及作为后备节点的网络跳变控制器,接着再通过作为后备节点的网络跳变控制器来监控作为值班节点的网络跳变控制器在任意时间段内的工作状态,判断其是否出现故障或被攻击的问题;若值班节点出现故障、被恶意控制或劫持,则选举新的值班节点,然后再由新的值班节点继续对网络跳变执行器提供服务;若值班节点未出现故障、被恶意控制或劫持,则由当前值班节点继续对网络跳变执行器提供服务。
其中,改进共识算法具体是指通过对现有Raft算法进行有针对性的改进(即利用后备节点根据值班节点发送过来的服务消息来监控值班节点的工作状态),使其不仅能够解决非拜占庭将军问题,即处理节点的硬件失效问题,还能解决拜占庭将军问题,即处理节点被劫持问题。
附图说明
图1为现有跳变网络中单网络跳变控制器的防护架构图;
图2为现有跳变网络中多网络跳变控制器的防护架构图;
图3为现有跳变网络中对值班节点运行状态的监督机制示意图;
图4为现有跳变网络中值班节点出现故障的示意图;
图5为现有跳变网络中值班节点被恶意劫持的示意图;
图6为本发明面向网络跳变控制器的一种安全防护网络系统实施例;
图7为本发明面向网络跳变控制器的另一种安全防护网络系统实施例;
图8为本发明面向网络跳变控制器的安全防护系统的防护架构图;
图9为本发明面向网络跳变控制器的安全防护系统中值班节点与网络跳变执行器的建立连接的过程图一;
图10为本发明面向网络跳变控制器的安全防护系统中值班节点与网络跳变执行器的建立连接的过程图二;
图11为本发明网络跳变控制器的安全防护系统中值班节点分发服务消息的示意图;
图12为本发明面向网络跳变控制器的安全防护系统更换新值班节点的过程图一;
图13为本发明面向网络跳变控制器的安全防护系统中更换新值班节点的过程图二;
图14为本发明面向网络跳变控制器的安全防护系统中更换新值班节点的流程图三;
图15为本发明面向网络跳变控制器的安全防护系统中原值班节点恢复后的示意图;
图16为本发明面向网络跳变控制器的安全防护方法的工作流程图;
附图标记说明:1000、跳变网络;2000、数据通信网络;3000、时钟同步网络;100、应用服务系统集群100、;101、应用服务器;200、网络跳变控制器集群;201、网络跳变控制器;202、第一混沌随机数生成器;300、网络跳变执行器集群;301、网络跳变执行器;400、时钟同步设备;500、客户端主机群;501、第一客户端主机;502、第二客户端主机;503、第二混沌随机数生成器;
图2至图5、图9至图12中,方框100中的斜实线填充方框101表示值班节点,斜虚线填充方框101表示发生故障或被恶意控制或劫持的原值班节点;空白方框101表示的是后备节点;图13至图15中,方框100中的斜虚线填充方框101表示发生故障或被恶意控制或劫持的原值班节点,网格线填充方框101表示新值班节点;空白方框101表示的是后备节点;
图3和图5中,带单箭头的虚线表示的是网络跳变控制器向网络跳变执行器发送服务消息;图9中,带单箭头点画线表示作为值班节点的网络跳变控制器向所有网络跳变执行器发送新竞选结果;图10中,带双箭头的实线表示作为值班节点的网络跳变控制器与所有网络跳变执行器建立连接;图11中,带单箭头的虚线表示作为值班节点的网络跳变控制器向所有网络跳变执行器与所有作为后备节点的网络跳变控制器发送服务消息;图12中,带双箭头的实线表示发生故障或被恶意控制或劫持的作为原值班节点与所有网络跳变执行器建立的连接;带单箭头点画线表示作为新值班节点的网络跳变控制器向所有网络跳变执行器发送新竞选结果;图13中,带双箭头的实线表示发生故障或被恶意控制或劫持的作为原值班节点与所有网络跳变执行器断开连接;图14中,带双箭头的实线表示作为新值班节点的网络跳变控制器与所有网络跳变执行器建立连接;图15中,第一空白框101表示的是被恢复的原值班节点;第二空白框101表示的是原后备节点;带双箭头的实线表示作为新值班节点的网络跳变控制器与所有网络跳变执行器建立连接。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合附图和具体实施方式,进一步阐述本发明是如何实施的。
参阅图8所示,本发明提供的一个面向网络跳变控制器的安全防护系统,包含由N个网络跳变控制器201组成的网络跳变控制器集群200以及由至少一个网络跳变执行器301组成的网络跳变执行器集群300;其中,组成网络跳变控制器集群200的多个网络跳变控制器201中包含一个作为值班节点的网络跳变控制器201和N-1个作为后备节点的网络跳变控制器201,且作为值班节点和后备节点的每个网络跳变控制器201均还内置有一个第一混沌随机数生成器202;其中,N≥3且N为整数。
本发明防护系统工作时,在同一跳变网络中,由网络跳变控制器集群200中作为值班节点的网络跳变控制器201与网络跳变执行器集群300中所有的网络跳变执行器301建立通信连接,并同时向网络跳变控制器集群200中所有作为后备节点的网络跳变控制器201和网络跳变执行器集群300中的网络跳变执行器301发送服务消息,这里需要说明的是:值班节点网络跳变控制器201发送给网络跳变执行器集群300中每个网络跳变执行器301的服务消息是不同的,因为每个网络跳变执行器301的IP地址和端口不同,故而在值班节点网络跳变控制器201中生成的跳变图案是不同的,因此值班节点网络跳变控制器201发送给每个网络跳变执行器301的服务消息是不同的,但每个后备节点网络跳变控制器201会接收到值班节点网络跳变控制器201发送给所有网络跳变执行器301的服务消息,即:当网络跳变执行器集群300中只有一个网络跳变执行器300时,则每个后备节点网络跳变控制器201只接收值班节点网络跳变控制器201发送这一个网络跳变执行器300的服务消息,即接收一种服务消息;当网络跳变执行器集群300中有两个网络跳变执行器300时,则每个后备节点网络跳变控制器201会接收到值班节点网络跳变控制器201发送这两个网络跳变执行器300的服务消息,即两种服务消息,依次类推,当网络跳变执行器集群300中有三个、四个…N个网络跳变执行器300时,则每个后备节点网络跳变控制器201会对应接收到三种、四种…N种服务消息。
本发明提供的一个面向网络跳变控制器的安全防护网络系统,包含多个跳变网络1000,每个跳变网络1000均包含一个面向网络跳变控制器的安全防护系统及一个时钟同步设备400,安全防护系统中的网络跳变执行器集群300分别与时钟同步设备400及安全防护系统中的网络跳变控制器集群200通信连接;每个跳变网络1000内部部署的网络跳变执行器集群300均通过数据通信网络2000对应与其它跳变网络1000内部部署的网络跳变执行器集群300建立通信连接的,以实现数据的传输;每个跳变网络1000内部部署的时钟同步设备400均通过时钟同步网络3000对本地时钟进行同步。
本发明安全防护网络系统中,每个跳变网络1000可以是一个独立的数据中心,亦或是一个独立的内部网络;且各每个跳变网络1000之间通过数据通信网络2000相互连接以及精准时钟同步设备实现时钟同步,各跳变网络1000中的精准时钟同步设备的时钟同步信息通过独立网络(即时钟同步网络3000)进行传输和获取,有效避免了由于时钟不同步导致数据传输中断,而数据传输中断又导致无法传输时钟同步信息的死循环问题;每个跳变网络1000中的应用服务系统均是通过各自对应的网络跳变执行器与外部进行通信,并且屏蔽了数据中心内部的IP地址和端口信息,对外统一提供跳变IP和跳变端口。
根据实际应用需要,每个跳变网络1000均还可包含一个应用服务系统集群100或/和一个客户端主机群500;即在一个跳变网络1000中可以有应用服务系统集群100,而没有客户端主机群500、或者有客户端主机群500,而没有应用服务系统集群100、或者同时有应用服务系统集群100和客户端主机群500。
参阅图6或图7所示,当每个跳变网络1000均还包含一个应用服务系统集群100时,则这个应用服务系统集群100部署在跳变网络100中,并与跳变网络100中的网络跳变执行器集群300通信连接;
参阅图6或图7所示,当每个跳变网络1000均还包含一个客户端主机群500时,则这个客户端主机群500可以部署在跳变网络1000中或以外;其中,当客户端主机群500部署在其对应的跳变网络1000中时,客户端主机群500则依次通过其对应跳变网络1000中的网络跳变执行器集群300以及数据通信网络2000与其它跳变网络1000内部部署的网络跳变执行器集群300建立通信连接;当客户端主机群500部署在其对应的跳变网络1000外部时,客户端主机群500则直接与数据通信网络2000及时钟同步网络3000通信连接。
参阅图6所示,当每个跳变网络1000均还包含一个应用服务系统集群100及一个客户端主机群500,且客户端主机群500部署在其对应的跳变网络1000中时,则这个应用服务系统集群100分别与其对应跳变网络1000中的客户端主机群500及安全防护系统中的网络跳变执行器集群300通信连接;
参阅图7所示,当每个跳变网络1000均还包含一个应用服务系统集群100及一个客户端主机群500,且客户端主机群500部署在其对应的跳变网络1000外部时,则这个应用服务系统集群100与其对应跳变网络1000中的安全防护系统中的网络跳变执行器集群300通信连接;而这个客户端主机群500则直接与数据通信网络2000及时钟同步网络3000通信连接。
作为本发明安全防护网络系统的一种实施例,参阅图6所示,在每个跳变网络1000中均包含有一个应用服务系统集群100、一个面向网络跳变控制器的安全防护系统(由网络跳变控制器集群200及网络跳变执行器集群300组成)、一个时钟同步设备400及一个客户端主机群500,且客户端主机群500部署在跳变网络1000中。
具体的说,在本实施例中,应用服务系统集群100包含至少一个应用服务器101(图中所示为2个);网络跳变控制器集群200包含N个带有内置第一混沌随机数生成器202的网络跳变控制器201(图中所示为3个);网络跳变执行器集群300包含至少一个网络跳变执行器301(图中所示为1个);客户端主机群500包含至少一个第一客户端主机501;其中,N≥3且N为整数。本实施例工作时,在每个跳变网络1000中,由其网络跳变控制器集群200中作为值班节点的网络跳变控制器201分别与其作为后备节点的每个网络跳变控制器201及网络跳变执行器集群300中的每个网络跳变执行器301建立通信连接,每个网络跳变执行器301分别与时钟同步设备400及应用服务系统集群100中的至少一个应用服务器101建立通信连接;时钟同步设备401通过时钟同步网络3000对本地时钟进行同步,第一客户端主机501依次通过其对应跳变网络1000中的网络跳变执行器集群300以及数据通信网络2000与其它跳变网络1000内部部署的网络跳变执行器集群300建立通信连接,每个网络跳变执行器301均还通过数据通信网络2000对应与其它跳变网络1000的网络跳变执行器集群300中的至少一个网络跳变执行器301通信连接。
在此实施例中,位于客户端主机群500中的第一客户端主机501可以通过应用服务器101的真实IP地址,直接访问其他跳变网络中的应用服务器101;因为在此情形中,各跳变网络1000之间相互通信是需要通过各自的网络跳变执行器集群300的,这样就会使得跳变网络1000的IP地址变化被屏蔽掉,故而就能使得跳变网络1000中的第一客户端主机501可以通过其应用服务器的真实IP地址,直接去访问其他跳变网络中的应用服务器。
作为本发明安全防护网络系统的另一种实施例,参阅图7所示,其与第一种实施例的不同之处在于:客户端主机群500部署在跳变网络1000外部,且客户端主机群500包含有至少一个带有内置第二混沌随机数生成器503的第二客户端主机502;工作时,客户端主机群500中带有内置第二混沌随机数生成器503的第二客户端主机502直接与与数据通信网络2000及时钟同步网络3000通信连接。
在此实施例中,位于客户端主机群500中的第二客户端主机502可以通过各自对应的第二混沌随机数生成器503获取混沌序列,并转化为相应的跳变图案,以获取其服务所在的跳变网络对外提供服务的跳变IP地址和端口信息;因为在此情形中,第二客户端主机502均没有经过网络跳变执行器,若要访问跳变网络中的业务,则需要了解跳变网络的IP变化规律;故而第二客户端主机502采用了通过混沌随机数生成器获取混沌随机数序列,并转化为跳变图案,以获得服务所在跳变网络的跳变IP地址和跳变端口信息。
参阅图8至图15所示,本发明提供的一种面向网络跳变控制器安全防护的控制器集群,包含多个带有内置第一混沌随机数生成器202的网络跳变控制器201;工作时,这多个带有内置第一混沌随机数生成器202的网络跳变控制器201之间通过改进Raft算法协同工作;其中,改进Raft算法具体是在现有Raft算法的基础上做出的改进,使得Candidate节点(在本发明中是指作为后备节点的控制器)具备了监控Leader节点(在本发明中是指作为值班节点的控制器)的工作状态和健康状态的功能。
参阅16所示,本发明提供的一种面向网络跳变控制器的安全防护方法,其是基于上述面向网络跳变控制器的安全防护系统的防护方法,其具体包含如下步骤:
S1、网络跳变控制器集群初始化:即对部署在跳变网络1000网络跳变控制器集群200中的每个网络跳变控制器201进行初始化;其中的网络跳变控制器集群200具体是由N个网络跳变控制器201组成,且N≥3;
S2、选举出值班节点和后备节点:即通过Raft算法的投票选举机制,从网络跳变控制器集群200中选举出一个网络跳变控制器201作为值班节点控制器,其余的N-1个网络跳变控制器201均作为后备节点控制器;
S3、值班节点和后备节点向网络跳变执行器发送选举结果:即通过网络跳变控制器集群200中作为值班节点的网络跳变控制器201和其余N-1个作为后备节点的网络跳变控制器201同时向网络跳变执行器集群300中的每个网络跳变执行器301发生选举结果信息;
S4、网络跳变执行器判断接收到的选举结果数是否超过网络跳变控制器集群中的网络跳变控制器节点数的1/2:即由网络跳变执行器集群300中的网络跳变执行器301去判断接收到的、由网络跳变控制器集群200中值班节点和后备节点发送过来的选举结果数是否超过了网络跳变控制器集群200中网络跳变控制器节点数的1/2;
若网络跳变执行器301接收到的选举结果数超过网络跳变控制器集群200中网络跳变控制器节点数的1/2时,则网络跳变执行器301接受选举结果,并执行步骤S5;
若网络跳变执行器301接收到的选举结果数小于网络跳变控制器集群200中总网络跳变控制器节点数的1/2时,则网络跳变执行器301忽略选举结果,并执行步骤S6,由原值班节点继续对网络跳变执行器提供服务;
S5、判断网络跳变执行器是否连接有值班节点:即判断步骤S4中接收到选举结果数超过网络跳变控制器集群200中网络跳变控制器节点数1/2的网络跳变执行器是否连接有值班节点;
若步骤S4中接收到选举结果数超过网络跳变控制器集群200中网络跳变控制器节点数1/2的网络跳变执行器,原先未连接有值班节点,则步骤S4中接收到选举结果数超过网络跳变控制器节点数1/2的网络跳变执行器直接与步骤S2选举出的值班节点建立连接,然后执行步骤S6;
若步骤S4中接收到选举结果数超过网络跳变控制器集群200中网络跳变控制器节点数1/2的网络跳变执行器,原先已连接有值班节点,则步骤S4中接收到选举结果数超过网络跳变控制器节点数1/2的网络跳变执行器先断开与原值班节点的连接,然后再与步骤S2选举出的新的值班节点建立连接,然后执行步骤S6;
S6、值班节点向网络跳变执行器发送服务消息,对网络跳变执行器提供服务:即在步骤S5的基础上,由当前值班节点网络跳变控制器201根据其内置混沌算法生成服务消息,并将生成的服务消息发送给与其所对应跳变网络1000中的网络跳变执行器301;
其中的当前值班节点为原值班节点或新值班节点,若此步骤S6对网络跳变执行器提供服务的当前值班节点为原值班节点(即未发生故障前的值班节点)时,则表示上述步骤S4中的网络跳变执行器接收到的选举结果数未超过网络跳变控制器集群中的网络跳变控制器节点数的1/2;
其中,若此步骤S6对网络跳变执行器提供服务的当前值班节点为新值班节点时,则表示上述步骤S4中的网络跳变执行器接收到的选举结果数超过了网络跳变控制器集群中的网络跳变控制器节点数的1/2;
S7、值班节点将发送给向网络跳变执行器的服务消息作为心跳消息,以心跳包的方式发送给后备节点:即在步骤S6的基础上,由在步骤S6中的当前值班节点网络跳变控制器201将发送给与之对应的网络跳变执行器集群300中的网络跳变执行器301的服务消息,以心跳消息包的方式同时发送给与其对应作为后备节点的每个网络跳变控制器201;
S8、后备节点监督值班节点的工作状态,判断值班节点是否出现故障和/或被劫持和/或被恶意控制:即在步骤S7的基础上,由网络跳变控制器集群200中的后备节点网络跳变控制器201去监督当前值班节点网络跳变控制器201的工作状态,判断其是否出现故障和/或被劫持和/或被恶意控制;
在步骤S7的基础上,若后备节点网络跳变控制器201监督到当前值班节点网络跳变控制器201出现故障和/或被劫持和/或被恶意控制时,则执行步骤S2,重新选举新的值班节点,接着再重复步骤S3至S8,如此不断循环操作,便可实现对网络跳变控制器的安全防护;
在步骤S7的基础上,若后备节点网络跳变控制器201监督到当前值班节点网络跳变控制器201未出现故障和/或被劫持和/或被恶意控制时,则执行步骤S6,由当前值班节点继续对网络跳变执行器提供服务,接着再重复步骤S7至S8的工作,如此不断循环操作,便可实现对网络跳变控制器的安全防护。
具体的说,上述步骤S8中、若判定出当前值班节点出现故障和/或被劫持和/或被恶意控制,其执行步骤S2,重新选举新值班节点的过程,具体如下:
(1)若当前值班节点网络跳变控制器201在每个跳变周期开始之前,不能将生成的服务消息发送至其所对应跳变网络1000中的网络跳变执行器301和后备节点网络跳变控制器201,则判断当前值班节点网络跳变控制器201出现了故障;
(2)若当前值班节点网络跳变控制器201发送给与其相对应的后备节点网络跳变控制器201的服务消息与后备节点网络变控制器201自己通过内置混沌算法生成的服务消息不一致时,则判断当前值班节点网络跳变控制器201被第三方恶意攻击并被控制。
(3)当后备节点网络变控制器201判定当前值班节点网络跳变控制器201出现故障和/或被劫持和/或被恶意控制时,由网络跳变控制器集群200中的后备节点网络跳变控制器201发起新的选举流程,选出新的值班节点,与此同时将新的选举结果发送给与其对应跳变网络1000中的网络跳变执行器301;而此时出现故障或被恶意攻击控制的原值班节点则被标志为“失效”节点;
(4)当网络跳变控制器集群200中的后备节点网络跳变控制器201发起新的选举流程,并选举出新的值班节点后,由网络跳变执行器301根据收到的新的选举结果数,判断新的选举结果是否有效;
若网络跳变执行器301收到的新选举结果数超过了网络跳变控制器集群200中的后备节点数的1/2时,则此新的选举结果有效;
若网络跳变执行器301收到的新选举结果数没有超过网络跳变控制器集群200中的后备节点数的1/2时,则此新的选举结果无效;
(5)若新的选举结果被确认为有效时,网络跳变执行器301则接受此新的选举结果,并断开与原“失效”值班节点的连接,再与重新选举出的新值班节点建立连接;
(6)若新的选举结果被确认为无效时,网络跳变执行器301则忽略此新的选举结果,网络跳变执行器301则继续保持与原值班节点的连接。
另外,当本发明提供的面向跳变控制器的安全防护系统中的作为“故障或失效“值班节点的网络跳变控制器201在恢复正常后,还可以作为后备节点重新加入网络跳变控制器集群200,其加入的过程具体如下:
(1)先由恢复正常的“故障或失效”值班节点向网络跳变控制器集群200中运行正常的所有网络跳变控制器201发出入群申请信息;
(2)由网络跳变控制器集群200中的值班节点网络跳变控制器201对新加入的节点(即恢复正常的“故障或失效”值班节点)进行认证;若认证成功,则允许新加入的节点进入网络跳变控制器集群200,且新加入的节点的状态更新为补充节点;若认证不成功,则不允许新加入的节点进入网络跳变控制器集群200;
(3)当新加入的节点的状态更新为补充节点后,先由新加入的节点向网络跳变控制器集群200中运行正常的所有网络跳变控制器201发起数据同步请求,然后由网络跳变控制器集群201中的其他节点(即所有运行正常的网络跳变控制器201)将系统运行所需要的数据发送给新加入的节点,即此时新加入的节点会陆续收多份同步数据,再由新加入的节点对最先收到的两份同步数据进行比对,判断两份同步数据是否一致;若一致,则接受该数据,并将其存储在本地;若不一致,则继续接收新的同步数据,并与已接收到的数据进行比对,直到收到两份一致的同步数据。
(4)待新加入的节点与网络跳变控制器集群200中运行正常的所有控制器节点同步数据后,将新加入的的节点状态由补充节点更新为后备节点。
参阅图8至图15所示,下面结合一个具体实施例来阐述一下本发明面向跳变控制器的安全防护方法的具体防护过程:
第一步:对在实施例中由3台网络跳变控制器201组成的网络跳变控制器集群200进行初始化;
第二步:利用Raft算法的投票选举机制,从本实施例网络跳变控制器集群200中选举一个网络跳变控制器201作为值班节点(Leader),参见图8中带有斜线的填充方框201,剩余的2台网络跳变控制器201则自动确定为后备节点(Candidate),参见图8中空白方框201;
第三步、当值班节点(Leader)选举出来后,由位于网络跳变控制器集群200中的3台网络跳变控制器201同时分别向位于网络跳变执行器集群300中的4台网络跳变执行器301发送选举结果,参见图9所示;
第四步、当网络跳变执行器集群300中的网络跳变执行器301收到的选举结果数≥网络跳变控制器集群200中总控制器节点数/2+1时,则网络跳变执行器301接受此选举结果,并和本次选举出来的值班节点(即Leader)建立连接,参见图10所示;
第五步、当值班节点(Leader)与网络跳变执行器集群300中的网络跳变执行器301建立好连接后,值班节点(Leader)开始执行网络跳变控制功能,向与之连通的网络跳变执行器301和后备节点网络跳变控制器201发送服务消息,如图11所示;
其中,当值班节点(Leader)与网络跳变执行器集群300中的网络跳变执行器301建立好连接后,在每个跳变周期开始之前,当前值班节点(Leader)网络跳变控制器201会根据其系统内置混沌算法,计算出各网络跳变执行器301在每个跳变周期内的跳变图案(即在每个跳变周期内,值班节点控制器会根据网络跳变执行器301的数量来生成相应数量的跳变图案,例如:当网络跳变执行器301只有一个时,值班节点控制器只生成一个跳变图案,当网络跳变执行器301有多个时,值班节点控制器则生成多个跳变图案),并将计算出的跳变图案转换为相应的服务消息后,再分发给网络跳变执行器集群300中的网络跳变执行器301和网络跳变控制器集群200中的后备节点网络跳变控制器201;这里需要说明的是:在一个跳变网络中的每个跳变周期内,每个网络跳变控制器201生成的服务消息都是相同的(即值班节点控制器和后备节点控制器在每个跳变周期开始之前都会根据其系统内置混沌算法,计算出各网络跳变执行器301在每个跳变周期内的跳变图案);不同的是,值班节点控制器会将生成的跳变图案转化为服务消息并分别发送给网络跳变执行器集群300中的网络跳变执行器301和网络跳变控制器集群200中的后备节点控制器,而后备节点控制器则不会向外发送消息;
本具体实施例中,由于网络跳变执行器集群300中包含有四个网络跳变执行器301,故:在每个跳变周期开始之前,值班节点(Leader)会先计算出4种跳变图案,然后再将这4种跳变图案转换为4种服务消息并分别对应发送至四个网络跳变执行器301(即参阅图11,第一个网络跳变执行器301接收值班节点发送出的服务消息1,第二个网络跳变执行器301接收值班节点发送出的服务消息2,第三个网络跳变执行器301接收值班节点发送出的服务消息3,第四个网络跳变执行器301接收值班节点发送出的服务消息4);与此同时,值班节点(Leader)会将计算出的这4种服务消息作为一个心跳数据包(参阅图11中的心跳消息),分别发送给网络跳变控制器集群200中的另外2个作为后备节点(Candidate)的网络跳变控制器201(即参阅图11所示,每个后备节点网络跳变控制器201会接收到值班节点网络跳变控制器201发送出的含有4种跳变图案的心跳消息,即每个后备节点网络跳变控制器201会收到服务消息1、服务消息2、服务消息3及服务消息4)。
第六步、利用后备节点(Candidate)根据当前值班节点(Leader)发送过来的心跳信息(在此实施例中,心跳信息为包含服务消息1至4的心跳数据包)监督当前值班节点(Leader)的工作状态,判断其是否出现异常,即是否出现故障或被恶意控制或劫持;
若当前值班节点(Leader)在每个跳变周期开始之前,不能将其根据内置混沌算法生成的服务消息发送至网络跳变执行器301和后备节点(Candidate)网络跳变控制器201中时,则判断当前值班节点(Leader)出现了故障,并将其标记为故障节点;
若值班节点(Leader)发送给后备节点(Candidate)的服务消息(即心跳信息)与后备节点(Candidate)自己通过内置混沌算法计算出来的服务消息不一致时,则判断当前值班节点(Leader)被第三方恶意控制或劫持;
第七步、若判定当前值班节点(Leader)出现异常(即出现故障或被恶意控制或劫持)时,则利用Raft算法的选举机制,发起新一轮的选举,从作为后备节点(Candidate)的网络跳变控制器201中选举一台作为新的值班节点(Leader’),即从现有的2台完好的网络跳变控制器201中选举一台作为新的值班节点控制器(Leader’),如图12所示,此时被判定为出现异常(即故障或被恶意控制或劫持)的当前值班节点控制器(Leader)则被标记为“失效”值班节点;而剩余未竞选成功的后备节点(Candidate)则继续作为后备节点(Candidate);
第八步、当新的值班节点控制器(Leader’)被选举出来后,位于网络跳变控制器集群200中运行正常的余下所有网络跳变控制器201(即余下的2台网络跳变控制器201)将新的竞选结果再发送给网络跳变执行器集群300中的所有网络跳变执行器301;
第九步、当位于网络跳变执行器集群300中的网络跳变执行器301接收到的新选举结果数超过运行正常的余下所有网络跳变控制器节点数的一半时(即每个网络跳变执行器301收到的新选举结果数超≥运行正常的余下所有跳变控制器节点数/2+1时),则位于网络跳变执行器集群300中的所有网络跳变执行器301都先断开与原值班节点(Leader)的连接(即断开与“失效”值班节点的连接,如图13所示,然后再都有与新的值班节点控制器(Leader’)建立连接,如图14所示。
另外,在本具体跳变网络实施例中:当“故障或失效”的值班节点控制器(Leader)恢复后,其可以作为后备节点重新加入上述网络跳变控制器集群200,如图15所示,其加入过程具体为:当“故障或失效”值班节点控制器(Leader)恢复后,先向网络跳变控制器集群200中运行正常的余下所有网络跳变控制器201发出入群申请;然后由网络跳变控制器集群200中的值班节点网络跳变控制器对新加入的节点(即恢复正常的“故障或失效”值班节点控制器)进行认证,若认证成功,则新加入的节点状态更新为补充节点,并与其他节点同步数据,待实现同步数据一致性后,这个补充节点状态则更新为后备节点;若认证不成功,则不允许加入,继续与其他节点同步数据,直到实现同步数据一致性止。
最后说明,以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一个面向网络跳变控制器的安全防护系统,其特征在于:包含由N个网络跳变控制器(201)组成的网络跳变控制器集群(200)以及由至少一个网络跳变执行器(301)组成的网络跳变执行器集群(300);
其中,组成网络跳变控制器集群(200)的多个网络跳变控制器(201)中包含一个作为值班节点的网络跳变控制器(201)和N-1个作为后备节点的网络跳变控制器(201),且作为值班节点和后备节点的每个网络跳变控制器(201)均还内置有一个第一混沌随机数生成器(202);
其中,N≥3且N为整数;
系统工作时,在同一跳变网络中,由网络跳变控制器集群(200)中作为值班节点的网络跳变控制器(201)与网络跳变执行器集群(300)中所有的网络跳变执行器(301)建立通信连接,并同时向网络跳变控制器集群(200)中所有作为后备节点的网络跳变控制器(201)和网络跳变执行器集群(300)中所有的网络跳变执行器(301)发送相同的服务消息。
2.一个面向网络跳变控制器的安全防护网络系统,其特征在于:包含多个跳变网络(1000),且每个所述跳变网络(1000)均包含一个如权利要求1中所述的面向网络跳变控制器的安全防护系统及一个时钟同步设备(400);所述安全防护系统中的网络跳变执行器集群(300)分别与所述时钟同步设备(400)及所述安全防护系统中的网络跳变控制器集群(200)通信连接;
每个所述跳变网络(1000)内部部署的网络跳变执行器集群(300)均通过外部数据通信网络(2000)对应与其它跳变网络(1000)内部部署的网络跳变执行器集群(300)通信连接,实现数据传输;
每个所述跳变网络(1000)内部部署的时钟同步设备(400)均与外部时钟同步网络(3000)通信连接,实现时钟同步。
3.根据权利要求2所述的面向网络跳变控制器的安全防护网络系统,其特征在于:每个所述跳变网络(1000)均还包含有一个应用服务系统集群(100)或/和一个客户端主机群(500);
每个所述应用服务系统集群(100)均部署在与其对应的跳变网络(1000)中,并与其对应跳变网络(1000)内部部署的安全防护系统中的网络跳变执行器集群(300)通信连接;
每个所述客户端主机群(500)均部署在与其对应的跳变网络(1000)中或以外;
当所述客户端主机群(500)部署在其对应的跳变网络(1000)中时,所述客户端主机群(500)包含至少一个第一客户端主机(501),且所述第一客户端主机(501)依次通过网络跳变执行器集群(300)以及数据通信网络(2000)与其它跳变网络(1000)内部部署的网络跳变执行器集群(300)通信连接;
当所述客户端主机群(500)部署在其对应的跳变网络(1000)以外时,所述客户端主机群(500)包含有至少一个带有内置第二混沌随机数生成器(503)的第二客户端主机(502),且所述带有内置第二混沌随机数生成器(503)的第二客户端主机(502)分别与所述数据通信网络(2000)及时钟同步网络(3000)通信连接。
4.根据权利要求3所述的面向网络跳变控制器的安全防护网络系统,其特征在于:所述应用服务系统集群(100)包含至少一个应用服务器(101);所述网络跳变控制器集群(200)包含N个带有内置第一混沌随机数生成器(202)的网络跳变控制器(201);所述网络跳变执行器集群(300)包含至少一个网络跳变执行器(301);
工作时,在每个跳变网络(1000)中,由其网络跳变控制器集群(200)中作为值班节点的网络跳变控制器(201)分别与作为后备节点的每个网络跳变控制器(201)及跳变执行器集群(300)中的每个网络跳变执行器(301)通信连接,每个网络跳变执行器(301)分别与时钟同步设备(400)通信连接,或者每个网络跳变执行器(301)分别与时钟同步设备(400)及应用服务系统集群(100)中的至少一个应用服务器(101)通信连接;时钟同步设备(400)通过时钟同步网络(3000)对本地时钟进行同步,每个网络跳变执行器(301)均还通过数据通信网络(2000)对应与其它跳变网络(1000)的网络跳变执行器集群(300)中的至少一个网络跳变执行器(301)通信连接。
5.一种面向网络跳变控制器安全防护的控制器集群,其特征在于:包含多个带有内置第一混沌随机数生成器(202)的网络跳变控制器(201);工作时,所述的多个带有内置第一混沌随机数生成器(202)的网络跳变控制器(201)之间通过改进Raft算法协同工作。
6.一种面向网络跳变控制器的安全防护方法,其是基于权利要求1中所述的面向网络跳变控制器的安全防护系统的防护方法,其特征在于:包含如下步骤:
S1、网络跳变控制器集群初始化;
S2、从网络跳变控制器集群中选举出值班节点,网络跳变控制器集群中的其它节点作为后备节点;
S3、值班节点和后备节点同时向网络跳变执行器发送选举结果;
S4、网络跳变执行器判断接收到的选举结果数是否超过网络跳变控制器集群中的网络跳变控制器节点数的1/2;
若网络跳变执行器接收到的选举结果数超过网络跳变控制器集群中的网络跳变控制器节点数的1/2时,则网络跳变执行器接受选举结果,并执行步骤S5;
若网络跳变执行器接收到的选举结果数小于网络跳变控制器集群中的网络跳变控制器节点数的1/2时,则网络跳变执行器忽略选举结果,并执行步骤S6,由原值班节点继续对网络跳变执行器提供服务;
S5、判断步骤S4中接收到选举结果数超过网络跳变控制器节点数1/2的网络跳变执行器是否连接有值班节点;
若未连接有值班节点,则步骤S4中接收到选举结果数超过网络跳变控制器节点数1/2的网络跳变执行器直接与步骤S2选举出的值班节点建立连接,然后执行步骤S6;
若连接有值班节点,则步骤S4中接收到选举结果数超过网络跳变控制器节点数1/2的网络跳变执行器先断开与原值班节点的连接,然后再与步骤S2选举出的新值班节点建立连接,接着再执行步骤S6;
S6、值班节点向网络跳变执行器发送服务消息,对网络跳变执行器提供服务;
S7、值班节点将发送给网络跳变执行器的服务消息作为心跳消息,以心跳包的方式发送给后备节点;
S8、后备节点监督值班节点的工作状态,判断值班节点是否出现故障和/或被劫持和/或被恶意控制;
若值班节点出现故障和/或被劫持和/或被恶意控制时,则执行步骤S2,重新选举新的值班节点,接着再重复步骤S3至S8,如此不断循环操作,便可实现对网络跳变控制器的安全防护;
若值班节点未出现故障和/或被劫持和/或被恶意控制时,则执行步骤S6,由当前值班节点继续对网络跳变执行器提供服务,接着重复步骤S7至S8的工作,如此不断循环操作,便可实现对网络跳变控制器的安全防护。
7.根据权利要求6所述的面向网络跳变控制器的安全防护方法,其特征在于:步骤S2中、从网络跳变控制器集群中选举出值班节点,网络跳变控制器集群中的其它节点作为后备节点的具体方法为:
利用Raft算法的投票选举机制,从步骤S1中的网络跳变控制器集群中选举一个网络跳变控制器作为值班节点,当值班节点被选举出来时,网络跳变控制器集群中其余的网络跳变控制器则均作为后备节点。
8.根据权利要求6所述的面向网络跳变控制器的安全防护方法,其特征在于:步骤S3中、值班节点和后备节点向网络跳变执行器发送选举结果,具体过程是:由步骤S2中选举出的作为值班节点的网络跳变控制器(201)和其余作为后备节点的网络跳变控制器(201)同时向与之相对应跳变网络(1000)中的网络跳变执行器(301)发送选举结果信息。
9.根据权利要求6所述的面向网络跳变控制器的安全防护方法,其特征在于:步骤S6中、值班节点向网络跳变执行器发送服务消息,对网络跳变执行器提供服务,其中的值班节点为当前值班节点,该当前值班节点为原值班节点或新值班节点;
其中,当步骤S6中对网络跳变执行器提供服务的是原值班节点时,则表示步骤S4中的网络跳变执行器接收到的选举结果数未超过网络跳变控制器集群中的网络跳变控制器节点数的1/2;
其中,当步骤S6中对网络跳变执行器提供服务的是新值班节点时,则表示步骤S4中的网络跳变执行器接收到的选举结果数超过了网络跳变控制器集群中的网络跳变控制器节点数的1/2;
步骤S7中、值班节点将发送给网络跳变执行器的服务消息作为心跳消息,以心跳包的方式发送给后备节点,具体是由步骤S6中的当前值班节点网络跳变控制器(201)将发送给网络跳变执行器(301)的服务消息、以心跳包的方式同时发送给每个后备节点网络跳变控制器(201)。
10.根据权利要求6所述的面向网络跳变控制器的安全防护方法,其特征在于:步骤S8中、若判定出当前值班节点出现故障和/或被劫持和/或被恶意控制,其执行步骤S2,重新选举新值班节点的过程,具体如下:
(1)若当前值班节点网络跳变控制器(201)在每个跳变周期开始之前,不能将生成的服务消息发送至其所对应跳变网络(1000)中的网络跳变执行器(301)和后备节点网络跳变控制器(201),则判断当前值班节点网络跳变控制器(201)出现了故障;
(2)若当前值班节点网络跳变控制器(201)发送给与其相对应后备节点网络跳变控制器(201)的服务消息与后备节点网络变控制器(201)自己通过内置混沌算法生成的服务消息不一致时,则判断当前值班节点网络跳变控制器(201)被第三方恶意攻击并被控制;
(3)当后备节点网络变控制器(201)判定当前值班节点网络跳变控制器(201)出现故障和/或被恶意攻击控制时,则由网络跳变控制器集群(200)中的后备节点网络跳变控制器(201)发起新的选举流程,选出新的值班节点,与此同时将新的选举结果发送给与其对应跳变网络(1000)中的网络跳变执行器(301);而此时出现故障和/或被恶意攻击控制的原值班节点则被标志为“失效”节点;
(4)当网络跳变控制器集群(200)中的后备节点网络跳变控制器(201)发起新的选举流程,并选举出新的值班节点后,由网络跳变执行器(301)根据收到的新选举结果数,判断新的选举结果是否有效;
若网络跳变执行器(301)收到的新选举结果数超过了网络跳变控制器集群(200)中的后备节点数的1/2时,则确认此新的选举结果有效;
若网络跳变执行器(301)收到的新选举结果数没有超过网络跳变控制器集群(200)中的后备节点数的1/2时,则确认此新的选举结果无效;
(5)若新的选举结果被确认为有效时,网络跳变执行器(301)则接受此新的选举结果,并断开与原“失效”值班节点的连接,再与重新选举出的新值班节点建立连接;
(6)若新的选举结果被确认为无效时,网络跳变执行器(301)则忽略此新的选举结果,网络跳变执行器(301)继续保持与原值班节点的连接。
CN202010658289.1A 2020-07-09 2020-07-09 面向网络跳变控制器的安全防护方法、系统及相关设备 Active CN111818058B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010658289.1A CN111818058B (zh) 2020-07-09 2020-07-09 面向网络跳变控制器的安全防护方法、系统及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010658289.1A CN111818058B (zh) 2020-07-09 2020-07-09 面向网络跳变控制器的安全防护方法、系统及相关设备

Publications (2)

Publication Number Publication Date
CN111818058A true CN111818058A (zh) 2020-10-23
CN111818058B CN111818058B (zh) 2022-06-21

Family

ID=72842161

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010658289.1A Active CN111818058B (zh) 2020-07-09 2020-07-09 面向网络跳变控制器的安全防护方法、系统及相关设备

Country Status (1)

Country Link
CN (1) CN111818058B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114137942A (zh) * 2021-11-29 2022-03-04 北京天融信网络安全技术有限公司 一种分布式控制器集群的控制方法及装置
CN114826868A (zh) * 2022-06-30 2022-07-29 北京轻网科技有限公司 一种分布式管控方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103457931A (zh) * 2013-08-15 2013-12-18 华中科技大学 一种网络诱骗与反攻击的主动防御方法
US20150296052A1 (en) * 2014-04-15 2015-10-15 Raytheon Company Method for incorporating network port hopping with minimal or no impact to underlying systems
CN105429957A (zh) * 2015-11-02 2016-03-23 芦斌 一种基于sdn构架下的ip地址跳变安全通信方法
CN105978875A (zh) * 2016-05-11 2016-09-28 中国人民解放军国防信息学院 一种基于服务跳变和智能清洗的动态服务实现方法及系统
CN110945831A (zh) * 2018-05-08 2020-03-31 维萨国际服务协会 抗Sybil攻击身份的生成

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103457931A (zh) * 2013-08-15 2013-12-18 华中科技大学 一种网络诱骗与反攻击的主动防御方法
US20150296052A1 (en) * 2014-04-15 2015-10-15 Raytheon Company Method for incorporating network port hopping with minimal or no impact to underlying systems
CN105429957A (zh) * 2015-11-02 2016-03-23 芦斌 一种基于sdn构架下的ip地址跳变安全通信方法
CN105978875A (zh) * 2016-05-11 2016-09-28 中国人民解放军国防信息学院 一种基于服务跳变和智能清洗的动态服务实现方法及系统
CN110945831A (zh) * 2018-05-08 2020-03-31 维萨国际服务协会 抗Sybil攻击身份的生成

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
肖楠: "广义线性Markov跳变系统故障检测", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114137942A (zh) * 2021-11-29 2022-03-04 北京天融信网络安全技术有限公司 一种分布式控制器集群的控制方法及装置
CN114137942B (zh) * 2021-11-29 2023-11-10 北京天融信网络安全技术有限公司 一种分布式控制器集群的控制方法及装置
CN114826868A (zh) * 2022-06-30 2022-07-29 北京轻网科技有限公司 一种分布式管控方法及系统
CN114826868B (zh) * 2022-06-30 2022-09-27 北京轻网科技有限公司 一种分布式管控方法及系统

Also Published As

Publication number Publication date
CN111818058B (zh) 2022-06-21

Similar Documents

Publication Publication Date Title
CN111818058B (zh) 面向网络跳变控制器的安全防护方法、系统及相关设备
Yang et al. Blockchain-based secure distributed control for software defined optical networking
Tan et al. New challenges in the design of microgrid systems: Communication networks, cyberattacks, and resilience
EP1175061B1 (en) Computer systems, in particular virtual private networks
EP2472795B1 (en) Method and system for re-building single ring network topology
US9288216B2 (en) Methods and apparatus for reducing the effectiveness of chosen location attacks in a peer-to-peer overlay network
CN110855508B (zh) 一种基于区块链技术的分布式sdn同步方法
CN113642019A (zh) 一种双层分组拜占庭容错共识方法及系统
CN101854283B (zh) 一种rpr环网的通信方法和设备
EP3396917A1 (en) Method and apparatus for isolating environment
US20120179826A1 (en) Address Distribution Method, Device and System Thereof
CN102882676A (zh) 物联网设备端安全接入方法及系统
CN106713132B (zh) 用于更新转发表项的方法和装置
KR101075462B1 (ko) 서브넷에서 마스터 노드를 선출하는 방법
CN109743316A (zh) 数据传输方法、出口路由器、防火墙及双台防火墙系统
CN108366087B (zh) 一种基于分布式文件系统的iscsi服务实现方法和装置
Bai et al. Research on software defined network security model based on blockchain
CN112702337A (zh) 一种区块节点数据的授权处理方法、装置和计算机设备
Shahbazi et al. Performance and vulnerability of distributed secondary control of AC microgrids under cyber-attack
KR20070109527A (ko) 보안 시스템 및 트래픽 제어방법
CN116319803A (zh) 一种云边协同分布式api调用方法及系统
CN113794765A (zh) 基于文件传输的网闸负载均衡方法及装置
CN111478937B (zh) 一种负载均衡方法和装置
Porter et al. A decentralized approach to architecture-based self-protecting software systems
JP3461954B2 (ja) データ伝送装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant