本發(fā)明屬于網(wǎng)絡安全，特別涉及一種多sdp控制器工作方法。

背景技術：

1、軟件定義邊界(software?defined?perimeter,sdp)是一種安全框架，其基于策略創(chuàng)建安全邊界，用于將服務與不安全的網(wǎng)絡隔離開。通過邏輯動態(tài)控制，取代傳統(tǒng)物理邊界防御設備。它的設計目的是提供按需、動態(tài)的安全隔離網(wǎng)絡，在授權(quán)訪問之前，首先對用戶和設備進行身份驗證，以便于用戶和設備安全連接到被隔離的服務。未經(jīng)授權(quán)的用戶和設備無法連接到受保護的資源。sdp的核心思想是通過sdp架構(gòu)隱藏核心網(wǎng)絡資產(chǎn)與設施，使之不直接暴露在互聯(lián)網(wǎng)下，使得網(wǎng)絡資產(chǎn)與設施免受外來安全威脅。

2、sdp由三大組件構(gòu)成：sdp客戶端、sdp網(wǎng)關、sdp控制器。其中，sdp控制器是sdp的大腦，主要進行主機認證和策略下發(fā)，還可以用于認證和授權(quán)sdp客戶端、配置到sdp網(wǎng)關的連接。

3、然而，當sdp控制器面臨突發(fā)的、大量的認證請求時，sdp系統(tǒng)將存在性能變差、系統(tǒng)癱瘓問題。為了解決這一問題，在應用中往往部署多個sdp控制器來監(jiān)聽和處理spa數(shù)據(jù)包。但部署多個sdp控制器，則面臨多個sdp控制器協(xié)調(diào)工作方式的問題。

技術實現(xiàn)思路

1、為了克服上述現(xiàn)有技術的缺點，本發(fā)明的目的在于提供一種多sdp控制器工作方法，以能夠促使多個sdp控制器協(xié)調(diào)工作，促進負載均衡，提升全面的系統(tǒng)韌性能力，并緩解單點故障(spof)的風險。

2、為了實現(xiàn)上述目的，本發(fā)明采用的技術方案是：

3、一種多sdp控制器工作方法，其實現(xiàn)包括：

4、將sdp系統(tǒng)中的各sdp客戶端進行分組，為每個sdp客戶端分組設置不同的sdp控制器列表，所述列表采用排列組合的方式；當添加新的sdp控制器或者刪除舊的sdp控制器時，sdp系統(tǒng)中所有sdp客戶端分組的sdp控制器列表隨之更新；

5、sdp系統(tǒng)中的所有sdp控制器具有相同的sdp網(wǎng)關ip地址列表，當添加新的sdp網(wǎng)關或者刪除舊的sdp網(wǎng)關時，各sdp控制器同步更新sdp網(wǎng)關ip地址列表。

6、在一個實施例中，所述各sdp客戶端分組，是指在同一分組條件下，每個sdp客戶端歸屬且僅歸屬于一個sdp客戶端分組。

7、在一個實施例中，所述為每個sdp客戶端分組設置不同的sdp控制器列表，所述列表采用排列組合的方式，實現(xiàn)方法如下：

8、對于具有m個sdp控制器和n個sdp客戶端分組的sdp系統(tǒng)，對于每個個sdp客戶端分組，將m個sdp控制器進行排列組合，每種排列組合方式得到的列表作為一個sdp客戶端分組的sdp控制器列表，并以列表中的第一個sdp控制器為當前sdp客戶端分組的默認控制器，在同一sdp客戶端分組中，所有sdp客戶端默認先向默認控制器發(fā)送請求。

9、例如，所述sdp系統(tǒng)中，sdp控制器的數(shù)量和sdp客戶端分組的數(shù)量可以相同，即m可以與n相等。

10、在一個實施例中，當添加新的sdp控制器或者刪除舊的sdp控制器時，sdp系統(tǒng)中所有sdp客戶端分組的控制器列表隨之更新，實現(xiàn)方法如下：

11、在所有sdp客戶端分組的控制器列表中添加新的sdp控制器的ip地址或者刪除舊的sdp控制器的ip地址。

12、在一個實施例中，每個所述sdp控制器設置有計數(shù)器和一個閾值，所述計數(shù)器用于記錄接收的單包授權(quán)spa數(shù)據(jù)包的數(shù)量；所述閾值用于設置sdp控制器工作內(nèi)容的臨界值；只有當所述計數(shù)器的計數(shù)值小于所述閾值，sdp控制器才能繼續(xù)接收來自sdp客戶端的spa數(shù)據(jù)包。

13、在一個實施例中，所述閾值是sdp控制器在保證其性能的情況下能接收的來自sdp客戶端的spa數(shù)據(jù)包的最大值。

14、在一個實施例中，為sdp客戶端設置超時重傳機制；在sdp客戶端設置計時器和時間閾值，sdp系統(tǒng)使用單包授權(quán)認證spa(通常為udp數(shù)據(jù)包)技術，sdp客戶端發(fā)送spa數(shù)據(jù)包后開啟其計時器，當計時器的值等于時間閾值，而sdp客戶端沒有收到sdp控制器發(fā)送的sdp網(wǎng)關列表，sdp客戶端向sdp控制器重新發(fā)送spa數(shù)據(jù)包，直到發(fā)送成功為止。

15、在一個實施例中，對于連接請求，在sdp客戶端調(diào)節(jié)其訪問sdp控制器；在sdp客戶端設置計數(shù)器和閾值；所述計數(shù)器用來記錄該sdp客戶端向同一個sdp控制器發(fā)送spa數(shù)據(jù)包的次數(shù)，該sdp客戶端首先向控制器列表中的默認控制器發(fā)送spa數(shù)據(jù)包，如果沒有得到該sdp控制器的響應數(shù)據(jù)包，則sdp客戶端再次向默認控制器發(fā)送spa數(shù)據(jù)包；如果計數(shù)器大于這一閾值，并且sdp客戶端沒有得到sdp控制器的響應數(shù)據(jù)包，則sdp客戶端向控制器列表中第二個sdp控制器發(fā)送spa數(shù)據(jù)包，以此類推。

16、在一個實施例中，所述當添加新的sdp網(wǎng)關或者刪除sdp網(wǎng)關時，各sdp控制器同步更新sdp網(wǎng)關ip地址列表，實現(xiàn)方法如下：

17、為sdp系統(tǒng)中的所有sdp網(wǎng)關添加新的sdp網(wǎng)關的ip地址或者刪除舊的sdp網(wǎng)關的ip地址。

18、現(xiàn)有技術相比，本發(fā)明的有益效果是：

19、目前，多個sdp控制器的工作模式有主備模式、集群模式。在主備模式中，備機的作用是備份，備機一直處于備用狀態(tài)會形成資源浪費。對于集群模式，其配置和管理相對較復雜。由于集群服務技術只能在一臺服務器上進行，因此集群模式依然存在單點故障問題。由于讀寫分離，集群模式可能影響數(shù)據(jù)一致性。本文提出的多sdp控制器工作方法中多個sdp控制器協(xié)調(diào)工作，這樣可以充分利用資源，避免資源浪費。該方法還可以促進負載均衡和全面的系統(tǒng)韌性能力，并緩解單點故障(spof)的風險，此外，本文提出的多個sdp控制器協(xié)調(diào)工作可以解決突發(fā)的、大量的認證請求導致sdp控制器性能變差問題、緩解dos攻擊。

技術特征：

1.一種多sdp控制器工作方法，其特征在于，其實現(xiàn)包括：

2.根據(jù)權(quán)利要求1所述多sdp控制器工作方法，其特征在于，所述各sdp客戶端分組，是指在同一分組條件下，每個sdp客戶端歸屬且僅歸屬于一個sdp客戶端分組。

3.根據(jù)權(quán)利要求1所述多sdp控制器工作方法，其特征在于，所述為每個sdp客戶端分組設置不同的sdp控制器列表，所述列表采用排列組合的方式，實現(xiàn)方法如下：

4.根據(jù)權(quán)利要求1所述多sdp控制器工作方法，其特征在于，當添加新的sdp控制器或者刪除舊的sdp控制器時，sdp系統(tǒng)中所有sdp客戶端分組的控制器列表隨之更新，實現(xiàn)方法如下：

5.根據(jù)權(quán)利要求1所述多sdp控制器工作方法，其特征在于，每個所述sdp控制器設置有計數(shù)器和一個閾值，所述計數(shù)器用于記錄接收的單包授權(quán)spa數(shù)據(jù)包的數(shù)量；所述閾值用于設置sdp控制器工作內(nèi)容的臨界值；只有當所述計數(shù)器的計數(shù)值小于所述閾值，sdp控制器才能繼續(xù)接收來自sdp客戶端的spa數(shù)據(jù)包。

6.根據(jù)權(quán)利要求5所述多sdp控制器工作方法，其特征在于，所述閾值是sdp控制器在保證其性能的情況下能接收的來自sdp客戶端的spa數(shù)據(jù)包的最大值。

7.根據(jù)權(quán)利要求5或6所述多sdp控制器工作方法，其特征在于，為sdp客戶端設置超時重傳機制；在sdp客戶端設置計時器和時間閾值，sdp系統(tǒng)使用單包授權(quán)認證spa技術，sdp客戶端發(fā)送spa數(shù)據(jù)包后開啟其計時器，當計時器的值等于時間閾值，而sdp客戶端沒有收到sdp控制器發(fā)送的sdp網(wǎng)關列表，sdp客戶端向sdp控制器重新發(fā)送spa數(shù)據(jù)包，直到發(fā)送成功為止。

8.根據(jù)權(quán)利要求1所述多sdp控制器工作方法，其特征在于，對于連接請求，在sdp客戶端調(diào)節(jié)其訪問sdp控制器；在sdp客戶端設置計數(shù)器和閾值；所述計數(shù)器用來記錄該sdp客戶端向同一個sdp控制器發(fā)送spa數(shù)據(jù)包的次數(shù)，該sdp客戶端首先向控制器列表中的默認控制器發(fā)送spa數(shù)據(jù)包，如果沒有得到該sdp控制器的響應數(shù)據(jù)包，則sdp客戶端再次向默認控制器發(fā)送spa數(shù)據(jù)包；如果計數(shù)器大于這一閾值，并且sdp客戶端沒有得到sdp控制器的響應數(shù)據(jù)包，則sdp客戶端向控制器列表中第二個sdp控制器發(fā)送spa數(shù)據(jù)包，以此類推。

9.根據(jù)權(quán)利要求1所述多sdp控制器工作方法，其特征在于，所述當添加新的sdp網(wǎng)關或者刪除sdp網(wǎng)關時，各sdp控制器同步更新sdp網(wǎng)關ip地址列表，實現(xiàn)方法如下：

技術總結(jié)
本發(fā)明公開了一種多SDP控制器工作方法，將SDP系統(tǒng)中的各SDP客戶端進行分組，為每個SDP客戶端分組設置不同的SDP控制器列表，所述列表采用排列組合的方式；當添加新的SDP控制器或者刪除舊的SDP控制器時，SDP系統(tǒng)中所有SDP客戶端分組的SDP控制器列表隨之更新；SDP系統(tǒng)中的所有SDP控制器具有相同的SDP網(wǎng)關IP地址列表，當添加新的SDP網(wǎng)關或者刪除舊的SDP網(wǎng)關時，各SDP控制器同步更新SDP網(wǎng)關IP地址列表。本發(fā)明能夠促使多個SDP控制器協(xié)調(diào)工作，促進負載均衡，提升全面的系統(tǒng)韌性能力，并緩解單點故障(SPoF)的風險。

技術研發(fā)人員：何艷杰,李衛(wèi),陳昱成
受保護的技術使用者：西交網(wǎng)絡空間安全研究院
技術研發(fā)日：
技術公布日：2024/12/10