CN111835872A - 基于自组网技术实现去中心化的分布式进程守护的方法 - Google Patents
基于自组网技术实现去中心化的分布式进程守护的方法 Download PDFInfo
- Publication number
- CN111835872A CN111835872A CN202010960667.1A CN202010960667A CN111835872A CN 111835872 A CN111835872 A CN 111835872A CN 202010960667 A CN202010960667 A CN 202010960667A CN 111835872 A CN111835872 A CN 111835872A
- Authority
- CN
- China
- Prior art keywords
- node
- daemon
- certificate
- guard
- hoc network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1034—Reaction to server failures by a load balancer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
Abstract
本发明涉及一种基于自组网技术实现去中心化的分布式进程守护的方法,包括通过创世模块生成超管身份和权限及守护策略文件,并安全存储于各个守护节点,系统进程,一是无需外力干预的永动守护,二是,进程需要迭代更新/新增节点;超级管理员外力干预,重新部署,部署完毕,超级管理员干预模式退出后,启动永动守护;启动互相监测,故障转移和接管、消息广播和通信的基础服务。本发明利用原创性的自组网技术,构建可信的去中心化分布式进程守护系统,用来规避守护者本身的单点故障导致的系统进程守护能力失效的问题;同时,能将守护范围从单机扩大到全域所有主机,同时,提升整个守护系统的防攻击能力,确保守护系统本身的可信。
Description
技术领域
本发明涉及一种基于自组网技术实现去中心化的分布式进程守护的方法,属于网络安全的技术领域。
背景技术
软件系统关键进程的守护机制将对系统和服务的健壮性和可用性起到较好的保障成效,同时,对非法关机、非法服务入侵、非法服务终止等攻击行为起到较好的防御作用。传统的守护模式分为以下两种模式:
一是构建中心化的中央守护系统,对目的系统和关键进程进行集中的轮询扫描监测和守护;二是开发和运行纯本地化(跟目的系统同源)的守护进程对该系统的关键进程进行本地化的轮询扫描监测和守护。
中心化的中央监测守护模式的弊端是:容易因中央守护节点自身故障或被非法攻击,导致守护服务无法正常使用,单点故障,从而使目的系统相关服务进程失去防护能力。
本地化的监测守护模式的弊端是:更直接的单点故障事故率,即,如果守护进程本身被意外终止,则关键进程的守护能力则瞬间消失。而且,只能对单一系统进行守护,无法对其他系统关键进程进行守护,防御范围极小。
传统架构下,系统配置信息、操作者身份信息、进程异常信息、操作过程痕迹信息等一般都能被篡改,可信度和攻击成本都很低。
发明内容
为了解决上述技术问题,本发明提供一种基于自组网技术实现去中心化的分布式进程守护的方法,其具体技术方案如下:
基于自组网技术实现去中心化的分布式进程守护的方法,包括以下步骤:
步骤一,初始化阶段,通过创世模块生成超管身份和权限及守护策略文件,并安全存储(AES加密)于各个守护节点;
步骤二,系统进程,一是,无需外力干预的永动守护,即,目标进程必须在不断电情况下持续运转,永不停止;二是,进程需要迭代更新/新增节点,需要重新部署,并启停进程的外力干预;
步骤三,重新部署,超级管理员身份具备超管权限的外力干预,由超级管理员登录系统,进行重新部署,守护节点不再对目标系统进行轮询健康监测和告警操作,部署完毕,超级管理员干预模式退出后,守护节点启动成功,进程守护网络自动切换至无干预的永动守护模式;
步骤四,通过进程守护节点自组网互联技术,构成去中心化的分布式进程守护网络,各节点启动后,将启动互相监测,故障转移和接管、消息广播和通信的基础服务。
进一步的,步骤一中生成超管身份和权限的具体过程为,初始化创世模块为超级管理员分配操作账户或证书,并以安全加密(AES加密)形式存储于各个守护节点。
目标系统进程的明确名称和监测路径将写入超管操作权限包文件,并以安全加密(AES加密)形式存储于各个守护节点;
拥有超级管理员身份的用户登录某个目标系统进程守护节点超管登录WEB界面,输入账户信息或提供证书,进行身份和权限认证,认证通过,则启停权限包中所定义的部分或所有进程;
操作过程,全程留痕形成操作日志,操作日志通过对操作审计系统的远程接口调用上报到操作审计系统,供后期行为审计;
如果当前目标守护节点发生故障,超级管理员认证服务将自动由相邻的一个进程守护节点接管,访问的认证服务将自动切换至该相邻节点进行认证。
进一步的,步骤四中进程守护网络构建过程具体为:基于内置的相邻节点发现算法、节点间消息广播/接收机制、相邻节点故障转移和接管、心跳监测机制构建去中心化的网络状分布式进程守护网络,进程守护网络内部的各个守护节点自组网互联,实现某个守护节点下线或服务终止时,全网广播,并由其他相邻的可用节点自动接管。进程守护网络规避通过灰度发布来攻击守护系统,导致守护能力丧失的极端情况,从而实现永动守护的终极目标。
进一步的,所述自组网互联的具体构建过程为:
步骤1.1,创建证书
创世模块签发自组网根证书,所述自组网根证书是基于国密SM2算法生成X.509规范的证书,创世模块为各节点签发联盟许可证书及配套的私钥、公钥文件,所述联盟许可证书是基于国密SM2算法和自组网根证书生成X.509规范的证书;
步骤1.2,部署证书
各节点将联盟许可证书导入到指定目录;
证书处理服务依据证书生成节点通信访问令牌Token;
步骤1.3,配置全局节点访问
创世模块依据各节点联盟许可证书,自动生成全局节点访问配置文件,该配置文件将下发部署到各节点指定目录;
步骤1.4,节点通信连接器组件及消息通信协议
创世模块为各节点提供各节点通信连接器组件,通过该组件及既定的消息通信协议,实现节点自组网内互联互通;
步骤1.5,节点故障转移接管
1)心跳检测服务完成心跳检测,得知某节点通信故障发生时,向全局节点访问文件的ERROR_NODESLIST参数写入故障节点编号;
2)当全局节点访问文件的HAPROCESS为1 ,打开状态时,则自动从相邻健康状态节点通过总节点数内的随机数挑选一个节点作为接管方,挑选的节点默认为上次接管过的节点;
3)接管方许可后,接收接管请求,写入接管日志,则将委托方和接管方节点编号写入全局节点访问文件的HA_NODESLIST参数;
4)全网节点同步全局节点访问文件,并发出接管通知消息,业务接入节点接收到消息则将故障节点的访问信息改为接管方节点信息。
进一步的,所述无干预的永动守护模式为对当前系统目标进程进行轮询健康监测,发现目标进程下线,或其他非健康状态时,该模式将依据守护策略文件定义的干预操作进行操作,所述干预操作包括三种操作,分别为:
操作1,强制重启同时告警;
操作2,非强制重启(跳出提示框,用户选择是否重启)和告警;
操作3,纯告警。
本发明的有益效果是:
本发明利用原创性的自组网技术,构建可信的去中心化分布式进程守护系统,用来规避守护者本身的单点故障导致的系统进程守护能力失效的问题;同时,能将守护范围从单机扩大到全域所有主机,同时,提升整个守护系统的防攻击能力,确保守护系统本身的可信。
本发明通过进程守护节点自组网互联技术,构成去中心化的分布式进程守护网络,各节点启动后,将启动互相监测,故障转移和接管、消息广播和通信等基础服务,确保守护网络的健壮性。
本发明依据稳定性原则,原则上需要对三个目标系统进行同步部署,实现至少3个系统节点间的组网和守护管控,这样才能以网状结构构建去中心化的守护网络。不足3个节点的情况下,就实现2个节点的主备式互相监测。
本发明所有操作者账户信息、权限信息、进程告警、进程监测报告、超管操作痕迹等核心信息进行加密,密文将在每个节点上同步备份存储,并将资源操作权限设置为只读,确保相关信息的唯一性,提升防篡改和防抵赖能力。
附图说明
图1是本发明的流程图。
具体实施方式
现在结合具体操作对本发明作进一步详细的说明。
本发明的进程守护节点应用基本功能包括:当前系统目标进程轮询监测、产生加密的监测报告和告警日志、超管干预模式认证和启停、进程启停原子操作、相邻进程守护节点发现和心跳监测、相邻进程守护节点故障转移和接管、相邻进程守护进程节点间消息广播和接收、告警管控系统的远程接口调用(上传监测报告和告警信息)、告警管控中心系统故障下的本地化消息推送、超管登录和认证WEB服务、操作审计日志系统远程接口调用(上报操作痕迹日志)。
在初始化阶段,通过创世模块生成超管身份和权限及守护策略文件等核心资源。
系统进程操作有两种场景,一是常规的无需外力干预的“永动”守护,即,目标进程必须在不断电情况下持续运转,永不停止;二是,进程程序需要迭代更新/新增节点等情况需要重新部署,并启停进程的外力干预(目前只能是超级管理员身份具备超管权限的外力干预)。
部署完毕,守护节点启动成功,默认进入无干预“永动”守护模式。需要迭代更新停机操作的,则通过超管干预模式,进行相关操作。
下面具体介绍三种模式的布置过程:
1.进程守护自组网技术
基于内置的相邻节点发现算法、节点间消息广播/接收机制、相邻节点故障转移和接管、心跳监测等机制构建去中心化的网络状分布式进程守护网络。通过守护节点应用的互联机制,实现某守护节点下线或服务终止时,全网广播,并由其他路由路径最近的节点自动接管;该机制将规避那些通过灰度发布来攻击守护系统导致守护能力丧失的极端情况,从而实现“永动”守护的终极目标。
(1)证书创建
创世模块(软件服务)签发自组网根证书(基于国密SM2算法生成X.509规范的证书);
创世模块为各节点签发联盟许可证书(基于国密SM2算法和自组网根证书生成X.509规范的证书)及配套的私钥、公钥文件;
(2)证书部署
各节点将联盟许可证书导入到指定目录;
证书处理服务依据证书生成节点通信访问令牌(Token);
(3)全局节点访问配置
创世模块依据各节点联盟许可证书,自动生成全局节点访问配置文件,该配置文件将下发部署到各节点指定目录。全局节点访问配置文件结构定义如下:
#节点自组网全局访问配置
#节点IT资源配置:用;来区隔节点,用|来分别描述节点编号、IP地址、通信端口、基于证书生成的访问令牌及证书编号(默认跟节点编号同名,可自定义)
NODELISTS = 08220011|192.168.20.11|60000|23jjj4442234553223455effdgddgdgdg|08220011;08220022|192.168.20.22|60000|5464565757j4442234553223455effdgddg5666|08220022;08220033|192.168.20.33|60000|1113344244553223455effdgd556433333|08220033;
#根证书编号
CAROOT_ID = 0000100
CAROOT_PATH = /OPT/conf/ca
#节点联盟许可证书默认存放路径
CA_PATH = /OPT/conf/ca
#心跳检测开关:0-关闭;1-打开,默认打开状态
HEARBIT = 1
#心跳频次,单位为毫秒
HEARBIT_SCAN_PERIOD = 5000
#重试次数,单位为次
HEARBIT_SCAN_TIMES = 5
#HA故障转移和接管开关:0-关闭;1-打开,默认打开状态
HAPROCESS = 1
#最大单报文传送规模限制
MSG_MAX = 50M
#系统通信严重故障报警对应的通信失败节点占比:故障节点/总节点数
PLATFORM_WANNING_NODE_COUNT = 0.3
#ACTION_WARNING 默认告警开关为1,即为默认打开告警模式
ACTION_WARNING = 1
#ACTION_WARNING_TYPE 默认告警模式:1-log、2-邮箱、3-短信、4-微信、5-钉钉
ACTION_WARNING_TYPE = 1,2,3
#全局通信故障节点列表:该参数将被心跳处理器组件动态修改,当某节点心跳故障时,则被添加到该列表;该列表也将作为平台告警和HA转移和接管的重要依据
ERROR_NODESLIST = 08220011
#HA故障转移和接管:该参数将被HA处理器组件动态修改,当完成故障转移和接管后,将委托方(故障方)和接管方信息写入该列表,用|来区隔两方;用分号来区隔结对节点;
HA_NODESLIST = 08220011|0822022;
配置说明:
n 对全局节点IT资产信息进行配置:节点编号、IP地址、通信端口、基于证书生成的访问令牌及证书编号(默认跟节点编号同名,可自定义);
n 对根证书和联盟证书部署路径进行定义;
n 对心跳开关、心跳频次进行设置;
n 对HA故障转移和接管开关进行设置;
n 对报文大小进行限流;
n 对平台全局通信故障进行报警相关设置;
n 动态参数1:通信故障节点列表,将由心跳处理组件动态写入;
n 动态参数2:HA故障转移和接管列表,将由HA处理组件动态写入。
(4)节点通信连接器组件及消息通信协议
创世模块为各节点提供各节点通信连接器组件,通过该组件及既定的消息通信协议,实现节点自组网内互联互通。
n 连接器组件核心功能接口定义如下:
NODECONF getNodeConf(String nodeID); // 根据节点ID编号,从全局节点访问文件读节点IP、通信端口等信息;
Connection connect(NODECONF sNode, NODECONF dNode); // 源、目的节点间长连接创建;
Connection disconnect(Connection connect); // 撤销节点将长连接;
Int msgSend(Connection connect,Message msg ); // 消息发送;
Int msgRecive(Connection connect,Message msg ); // 消息接收;
Int callback(Connection connect, NODECONF sNode, Message msg); // 消息回调;
HeartBit heartbitMonitor(Connection connect,TimeStump time); // 心跳健康检测;
HAProcess haprocess(NODECONF sNode, NODECONF dNode);//故障转移和接管:读写、同步全局节点文件;全网接管消息通知;
n 消息通信协议描述:
基于TCP Socket长连接的自定义协议。
默认打开60000端口用于底层自组网节点消息通信。
报文结构定义和处理说明:
【头部】源节点ID、源节点通信访问令牌、目的节点ID、报文发起时间戳、连接状态码(同HTTP 各相关代码)、同步/异步开关(0-同步,1-异步),回调地址(选填,异步模式下填写)、正文压缩开关(0-非压缩,1-压缩)、报文指纹签名开关(0-非签名,1-签名)、报文指纹签名(国密SM4摘要算法,适用于报文签名);
【正文】标准JSON RESTFUL格式,由各业务自行定义。
报文结构定义和处理说明:
【头部】源节点ID、源节点通信访问令牌、目的节点ID、报文发起时间戳、报文反馈时间戳、返回码、长连接状态码(同HTTP 各相关代码)、同步/异步开关(0-同步,1-异步),回调地址(适用于异步通信)、回调响应码(适用于异步通信)正文压缩开关(0-非压缩,1-压缩)、报文指纹签名开关(0-非签名,1-签名)、报文指纹签名(国密SM4摘要算法,适用于报文签名);
【正文】标准JSON RESTFUL格式,由各业务自行定义。
报文签名场景下,将使用各节点的私钥对报文进行签名,接收方将使用联盟证书公钥进行验签。考虑性能,默认压缩、签名开关都处于关闭状态。
正文压缩场景下,接收方接收到正文将进行解压处理,得到正文。
本发明的消息通信协议适用于心跳健康检测、业务报文传送、消息广播和接收、HA故障转移接管等场景。
(5)节点故障转移接管机制(处理逻辑)
1)心跳检测服务完成心跳检测,得知某节点通信故障发生时,向全局节点访问文件的ERROR_NODESLIST参数写入故障节点编号;
2)当全局节点访问文件的HAPROCESS为1 ,打开状态时,则自动从相邻健康状态节点通过总节点数内的随机数挑选一个节点(默认为上次接管过的节点)作为接管方;
3)接管方许可后(接收接管请求,写入接管日志),则将委托方和接管方节点编号写入全局节点访问文件的HA_NODESLIST参数;
4)全网节点同步全局节点访问文件,并发出接管通知消息,业务接入节点接收到消息则将故障节点的访问信息改为接管方节点信息。
超管干预模式
初始化创世管理模块为超级管理员分配操作账户或证书,并以安全加密形式存储于各个守护节点;目标系统进程的明确名称和监测路径将写入超管操作权限包文件,将并以安全加密形式存储于各个守护节点;拥有超管身份(账号或证书)的用户登录某个目标系统进程守护节点超管登录WEB界面,输入账户信息或提供证书,进行身份和权限认证,认证通过,则可启停权限包中所定义的部分或所有进程;操作过程,全程留痕,痕迹数据以安全加密方式生成操作日志,启停进程过程留痕,痕迹日志将通过对操作审计系统的远程接口调用上报到操作审计系统,供后期行为审计。如果当前目标守护节点发生故障,超管认证服务将自动由相邻某进程守护节点接管,访问的认证服务将自动切换至该相邻节点进行认证。超管干预模式启动后,守护节点不再对目标系统进行轮询健康监测和告警等操作。超管干预模式退出后,系统自动切换至无干预“永动”守护模式。
无干预“永动”守护模式
对当前系统目标进程进行轮询健康监测,发现目标进程下线,或其他非健康状态时,该模式将依据守护策略文件定义的干预操作进行操作。这些操作包括强制重启+告警、非强制重启+告警、纯告警三种操作。
下面介绍本专利的其他配置
1.进程守护策略文件
将对某类进程或某个进程进行上述三种模式的定义;该策略文件都将在初始化时,由创世模块生成并安全存储于各个守护节点。策略文件结构定义如下:
#进程守护策略文件结构定义
#ACTION_WARNING 默认告警模式为1,即为默认打开告警模式
#ACTION_FORCED_RESTART 默认强制重启模式为0,即为默认关闭强制重启模式;为1时,则打开强制重启机制,进程异常情况下则自动执行重启动作
ACTION_WARNING = 1
ACTION_FORCED_RESTART = 0
#ACTION_WARNING_TYPE 默认告警模式:1-log、2-邮箱、3-短信、4-微信、5-钉钉
ACTION_WARNING_TYPE = 1,2,3
#TARGER_PROCESS_TYPE 进程类型为空时,默认守护所有类型的进程;反之,则根据填写的进程类型进行定向守护
#例如:TARGER_PROCESS_TYPE = java,python,nginx,oracle,kafka
TARGER_PROCESS_TYPE=java,python,kafka
#TARGER_PROCESS_ID 进程号为空时,默认守护所有类型的进程;反之,则对指定的进程进行定向守护
#例如:TARGER_PROCESS_ID = 28091,46000,79001
TARGER_PROCESS_TYPE=
#NOTIN_TARGER_PROCESS_TYPE 进程类型为空时,默认守护全类型进程;反之,则不对填写的进程类型进行定向守护,如打印进程;默认为空
#例如:NOTIN_TARGER_PROCESS_TYPE = print
NOTIN_TARGER_PROCESS_TYPE=print
#NOTIN_TARGER_PROCESS_ID 进程号为空时,默认守护所有进程;反之,不对指定的进程进行守护,如打印进程;默认为空;
#例如:NOTIN_TARGER_PROCESS_ID = 130001,23000
NOTIN_TARGER_PROCESS_ID=
#扫描频次,单位为毫秒
SCAN_PERIOD = 5000
#超管干预身份:可以用用户名密码也可以用创世模块创建的超管证书
ROOT_NAME =
ROOT_PWD =
ROOT_CA_ID =
2.轮询监测报告和告警信息:将以安全加密方式存储于本地系统,并通过远程接口上报至告警管控系统,做全局统一的告警广播和其他处置;
3.超管操作痕迹日志:将以安全加密方式存储于本地系统,并通过远程接口上报至行为审计系统,做后期审计和行为分析;
4.创世模块:该模块将为超管签发账户、证书和权限包;同时,生成守护策略定义文件;
5. 所有操作者账户信息、权限信息、进程告警、进程监测报告、超管操作痕迹等核心信息加密后同步存储于自组网的各个节点,操作权限设置为只读,确保相关信息的唯一性,提升防篡改和防抵赖能力。所有验证所需的账户和权限信息将优先从最短路径的节点下载,最短路径节点故障前提下,则从本地读取、解密和解析。
如附图1所示,为本发明的具体应用状态简介图,本发明工作时,至少有三台以上主机互联,图中以3台主机互联为例,分别用A主机、B主机、C主机,每台主机有一个超级管理员组件(图上简写为超管组件)和若干个侦察组件(即被守护组件),图中用侦查组件1、侦察组件2……侦察组件n表示。任意两台之间均相互进行进程交叉异常监测,在非超管干预模式时,进程强制重启,变成无干预“永动”守护模式。所有主机互联接入区域链,简称入链,所有主机的超管账户/状态以及操作痕迹均实时在链上更新、存储。当需要将数据从区域链上下载时,称为出链。上链和出链均通过https网络访问。
以上述依据本发明的理想实施例为启示,通过上述的说明内容,相关工作人员完全可以在不偏离本项发明技术思想的范围内,进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容,必须要根据权利要求范围来确定其技术性范围。
Claims (5)
1.基于自组网技术实现去中心化的分布式进程守护的方法,其特征在于,包括以下步骤:
步骤一,初始化阶段,通过创世模块生成超管身份和权限及守护策略文件,并安全存储于各个守护节点;
步骤二,系统进程,一是,目标进程必须在不断电情况下持续运转,永不停止;二是,进程需要迭代更新/新增节点,需要重新部署,并启停进程的外力干预;
步骤三,重新部署,超级管理员身份具备超管权限的外力干预,由超级管理员登录系统,进行重新部署,守护节点不再对目标系统进行轮询健康监测和告警操作,部署完毕,超级管理员干预模式退出后,守护节点启动成功,进程守护网络自动切换至无干预的永动守护模式;
步骤四,通过进程守护节点自组网互联技术,构成去中心化的分布式进程守护网络,各节点启动后,将启动互相监测,故障转移和接管、消息广播和通信的基础服务。
2.根据权利要求1所述的基于自组网技术实现去中心化的分布式进程守护的方法,其特征在于,步骤一中生成超管身份和权限的具体过程为,初始化创世模块为超级管理员分配操作账户或证书,并以安全加密形式存储于各个守护节点;
目标系统进程的明确名称和监测路径将写入超管操作权限包文件,并以安全加密形式存储于各个守护节点;
拥有超级管理员身份的用户登录某个目标系统进程守护节点超管登录WEB界面,输入账户信息或提供证书,进行身份和权限认证,认证通过,则启停权限包中所定义的部分或所有进程;
操作过程,全程留痕形成操作日志,操作日志通过对操作审计系统的远程接口调用上报到操作审计系统,供后期行为审计;
如果当前目标守护节点发生故障,超级管理员认证服务将自动由相邻的一个进程守护节点接管,访问的认证服务将自动切换至该相邻节点进行认证。
3.根据权利要求1所述的基于自组网技术实现去中心化的分布式进程守护的方法,其特征在于,步骤四中进程守护网络构建过程具体为:基于内置的相邻节点发现算法、节点间消息广播/接收机制、相邻节点故障转移和接管、心跳监测机制构建去中心化的网络状分布式进程守护网络,进程守护网络内部的各个守护节点自组网互联,实现某个守护节点下线或服务终止时,全网广播,并由其他相邻的可用节点自动接管。
4.根据权利要求3所述的基于自组网技术实现去中心化的分布式进程守护的方法,其特征在于,所述自组网互联的具体构建过程为:
步骤1.1,创建证书
创世模块签发自组网根证书,所述自组网根证书是基于国密SM2算法生成X.509规范的证书;
创世模块为各节点签发联盟许可证书及配套的私钥、公钥文件,所述联盟许可证书是基于国密SM2算法和自组网根证书生成X.509规范的证书;
步骤1.2,部署证书
各节点将联盟许可证书导入到指定目录;
证书处理服务依据证书生成节点通信访问令牌Token;
步骤1.3,配置全局节点访问
创世模块依据各节点联盟许可证书,自动生成全局节点访问配置文件,该配置文件将下发部署到各节点指定目录;
步骤1.4,节点通信连接器组件及消息通信协议
创世模块为各节点提供各节点通信连接器组件,通过该组件及既定的消息通信协议,实现节点自组网内互联互通;
步骤1.5,节点故障转移接管
1)心跳检测服务完成心跳检测,得知某节点通信故障发生时,向全局节点访问文件的ERROR_NODESLIST参数写入故障节点编号;
2)当全局节点访问文件的HAPROCESS为1 ,打开状态时,则自动从相邻健康状态节点通过总节点数内的随机数挑选一个节点作为接管方,挑选的节点默认为上次接管过的节点;
3)接管方许可后,接收接管请求,写入接管日志,则将委托方和接管方节点编号写入全局节点访问文件的HA_NODESLIST参数;
4)全网节点同步全局节点访问文件,并发出接管通知消息,业务接入节点接收到消息则将故障节点的访问信息改为接管方节点信息。
5.根据权利要求1所述的基于自组网技术实现去中心化的分布式进程守护的方法,其特征在于,所述无干预的永动守护模式为对当前系统目标进程进行轮询健康监测,发现目标进程下线,或其他非健康状态时,该模式将依据守护策略文件定义的干预操作进行操作,
所述干预操作包括三种操作,分别为:
操作1,强制重启同时告警;
操作2,非强制重启和告警;
操作3,纯告警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010960667.1A CN111835872B (zh) | 2020-09-14 | 2020-09-14 | 基于自组网技术实现去中心化的分布式进程守护的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010960667.1A CN111835872B (zh) | 2020-09-14 | 2020-09-14 | 基于自组网技术实现去中心化的分布式进程守护的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111835872A true CN111835872A (zh) | 2020-10-27 |
| CN111835872B CN111835872B (zh) | 2020-12-01 |
Family
ID=72919066
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010960667.1A Active CN111835872B (zh) | 2020-09-14 | 2020-09-14 | 基于自组网技术实现去中心化的分布式进程守护的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111835872B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114071698A (zh) * | 2021-10-19 | 2022-02-18 | 四川九洲空管科技有限责任公司 | 一种具备参数动态配置与状态感知的自组网数据收发方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107070896A (zh) * | 2017-03-20 | 2017-08-18 | 智牛股权投资基金(平潭)合伙企业(有限合伙) | 一种安全高效的区块链客户化登录方法及安全加固系统 |
| CN108306893A (zh) * | 2018-03-05 | 2018-07-20 | 北京大学深圳研究生院 | 一种自组网络的分布式入侵检测方法和系统 |
| CN108521426A (zh) * | 2018-04-13 | 2018-09-11 | 中国石油大学(华东) | 一种基于区块链的阵列蜜罐协同控制方法 |
| CN108833081A (zh) * | 2018-06-22 | 2018-11-16 | 中国人民解放军国防科技大学 | 一种基于区块链的设备组网认证方法 |
| US20200184556A1 (en) * | 2018-05-06 | 2020-06-11 | Strong Force TX Portfolio 2018, LLC | Adaptive intelligence and shared infrastructure lending transaction enablement platform responsive to crowd sourced information |
-
2020
- 2020-09-14 CN CN202010960667.1A patent/CN111835872B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107070896A (zh) * | 2017-03-20 | 2017-08-18 | 智牛股权投资基金(平潭)合伙企业(有限合伙) | 一种安全高效的区块链客户化登录方法及安全加固系统 |
| CN108306893A (zh) * | 2018-03-05 | 2018-07-20 | 北京大学深圳研究生院 | 一种自组网络的分布式入侵检测方法和系统 |
| CN108521426A (zh) * | 2018-04-13 | 2018-09-11 | 中国石油大学(华东) | 一种基于区块链的阵列蜜罐协同控制方法 |
| US20200184556A1 (en) * | 2018-05-06 | 2020-06-11 | Strong Force TX Portfolio 2018, LLC | Adaptive intelligence and shared infrastructure lending transaction enablement platform responsive to crowd sourced information |
| CN108833081A (zh) * | 2018-06-22 | 2018-11-16 | 中国人民解放军国防科技大学 | 一种基于区块链的设备组网认证方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114071698A (zh) * | 2021-10-19 | 2022-02-18 | 四川九洲空管科技有限责任公司 | 一种具备参数动态配置与状态感知的自组网数据收发方法及装置 |
| CN114071698B (zh) * | 2021-10-19 | 2024-01-09 | 四川九洲空管科技有限责任公司 | 一种具备参数动态配置与状态感知的自组网数据收发方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111835872B (zh) | 2020-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1202175B1 (en) | System and method for distributed management of shared computers | |
| US9529878B2 (en) | System and method for supporting subnet manager (SM) master negotiation in a network environment | |
| US7587633B2 (en) | Fault tolerant routing in a network routing system based on a passive replication approach | |
| WO2017107827A1 (zh) | 一种环境隔离方法及设备 | |
| WO2014086149A1 (zh) | 服务器账号密码管理方法、系统及服务器 | |
| CN111835872B (zh) | 基于自组网技术实现去中心化的分布式进程守护的方法 | |
| CN113794578A (zh) | 一种基于云平台的通信网监控架构系统 | |
| CN116319803A (zh) | 一种云边协同分布式api调用方法及系统 | |
| CN112804063B (zh) | 一种级联方法及相关装置 | |
| US7669207B2 (en) | Method for detecting, reporting and responding to network node-level events and a system thereof | |
| Nguyen et al. | Comparative analysis of intrusion-tolerant system architectures | |
| US11303677B2 (en) | Method and system for managing the operation of a group of several connected objects | |
| CN117336313A (zh) | 通信方法、装置及电子设备 | |
| TW201828655A (zh) | 環境隔離方法及設備 | |
| CN117955713A (zh) | 工作负载间的通信控制方法、装置和计算机设备 | |
| CN115694853A (zh) | 一种攻击防护方法、装置、电子设备及存储介质 | |
| Jaisinghani et al. | Self Motivated Intrusion-Tolerant, Detecting and Healing Server |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 2004, building 2, juhuiyuan, 108 Xuanwu Avenue, Xuanwu District, Nanjing City, Jiangsu Province Patentee after: Jiangsu Kaibo Technology Co.,Ltd. Address before: Room 2004, building 2, juhuiyuan, 108 Xuanwu Avenue, Xuanwu District, Nanjing City, Jiangsu Province Patentee before: Jiangsu Kaibo Technology Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210512 Address after: Room 2004, building 2, juhuiyuan, 108 Xuanwu Avenue, Xuanwu District, Nanjing City, Jiangsu Province Patentee after: Jiangsu Kaibo Technology Co.,Ltd. Patentee after: Suzhou kaibotong Chain Technology Co.,Ltd. Address before: Room 2004, building 2, juhuiyuan, 108 Xuanwu Avenue, Xuanwu District, Nanjing City, Jiangsu Province Patentee before: Jiangsu Kaibo Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210518 Address after: Room 2004, building 2, juhuiyuan, 108 Xuanwu Avenue, Xuanwu District, Nanjing City, Jiangsu Province Patentee after: Jiangsu Kaibo Technology Co.,Ltd. Patentee after: Suzhou kaibotong Chain Technology Co.,Ltd. Address before: Room 2004, building 2, juhuiyuan, 108 Xuanwu Avenue, Xuanwu District, Nanjing City, Jiangsu Province Patentee before: Jiangsu Kaibo Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |