一种网络节点操作系统配置数据内生安全防护方法与流程

本说明书涉及网络通信，尤其涉及一种网络节点操作系统配置数据内生安全防护方法。

背景技术：

1、近些年，搭载着云开发网络软件（software for open networking in thecloud，sonic）系统的白盒交换机正广泛应用于数据中心等场景，sonic系统采用远程字典服务（remote dictionary server，redis）数据库作为消息的集散中心，通过redis数据库保持用户输入的配置信息，再通知到各个业务容器。

2、但是，redis数据库本身并非是完全安全可信的，redis数据库中的数据可能会被篡改从而出现数据紊乱，如远程代码/命令执行（remote code/command execute，rec）漏洞，导致交换机功能出现异常。

3、基于此，本说明书提供一种网络节点操作系统配置数据内生安全防护方法。

技术实现思路

1、本说明书提供一种网络节点操作系统配置数据内生安全防护方法，以部分的解决现有技术存在的上述问题。

2、本说明书采用下述技术方案：

3、本说明书提供了一种网络节点操作系统配置数据内生安全防护方法，所述方法应用于目标单元，所述目标单元预先部署在白盒交换机的网络节点操作系统中；

4、所述目标单元包括命令行输入模块、分发模块、裁决模块、同步模块、数据备份模块、至少三个动态异构冗余执行体，以及待上线的候选执行体；

5、所述方法包括：

6、当所述命令行输入模块接收到用户输入的配置命令，将所述配置命令封装成网络消息流，并由所述命令行输入模块将所述网络消息流分别发送给所述分发模块和所述数据备份模块；

7、当所述数据备份模块接收到所述网络消息流时，由所述数据备份模块从所述网络消息流中解析得到目标配置数据，并将所述目标配置数据存储在所述数据备份模块；

8、当所述分发模块接收到所述网络消息流时，由所述分发模块将所述网络消息流分别发送给各动态异构冗余执行体，并在分发成功时生成分发成功消息，将所述分发成功消息发送给所述同步模块；

9、当所述动态异构冗余执行体接收到所述网络消息流时，将从所述网络消息流中解析得到的目标配置数据，并存储所述目标配置数据；

10、当所述同步模块接收到所述分发成功消息时，所述同步模块分别读取所述各动态异构冗余执行体中存储的目标配置数据，并将所述各动态异构冗余执行体分别存储的目标配置数据发送给所述裁决模块；

11、当所述裁决模块接收所述各动态异构冗余执行体分别存储的目标配置数据时，所述裁决模块根据所述各动态异构冗余执行体分别存储的目标配置数据进行一致性裁决，确定裁决结果，并将所述裁决结果返回给所述同步模块；

12、当所述同步模块接收到所述裁决结果时，根据所述裁决结果，从所述各动态异构冗余执行体中确定目标执行体，并对所述目标执行体进行下线清洗，并上线所述待上线的候选执行体，由上线后的所述候选执行体从所述数据备份模块中读取所述网络消息流，以便上线后的所述候选执行体将从所述网络消息流中解析的目标配置数据存储在上线后的所述候选执行体中；

13、当所述候选执行体存储所述目标配置数据时，由所述同步模块将处于上线得个动态异构冗余执行体中存储的所述目标配置数据同步到所述网络节点操作系统，以使所述目标配置数据生效。

14、本说明书提供了一种网络节点操作系统配置数据内生安全防护装置，所述装置应用于目标单元，所述目标单元预先部署在白盒交换机的网络节点操作系统中；

15、所述目标单元包括命令行输入模块、分发模块、裁决模块、同步模块、数据备份模块、至少三个动态异构冗余执行体，以及待上线的候选执行体；

16、所述装置包括：

17、命令行输入模块，用于当所述命令行输入模块接收到用户输入的配置命令，将所述配置命令封装成网络消息流，并由所述命令行输入模块将所述网络消息流分别发送给所述分发模块和所述数据备份模块；

18、数据备份模块，用于当所述数据备份模块接收到所述网络消息流时，由所述数据备份模块从所述网络消息流中解析得到目标配置数据，并将所述目标配置数据存储在所述数据备份模块；

19、分发模块，用于当所述分发模块接收到所述网络消息流时，由所述分发模块将所述网络消息流分别发送给各动态异构冗余执行体，并在分发成功时生成分发成功消息，将所述分发成功消息发送给所述同步模块；

20、目标配置数据存储模块，用于当所述动态异构冗余执行体接收到所述网络消息流时，将从所述网络消息流中解析得到的目标配置数据，并存储所述目标配置数据；

21、同步模块，用于当所述同步模块接收到所述分发成功消息时，所述同步模块分别读取所述各动态异构冗余执行体中存储的目标配置数据，并将所述各动态异构冗余执行体分别存储的目标配置数据发送给所述裁决模块；

22、裁决模块，用于当所述裁决模块接收所述各动态异构冗余执行体分别存储的目标配置数据时，所述裁决模块根据所述各动态异构冗余执行体分别存储的目标配置数据进行一致性裁决，确定裁决结果，并将所述裁决结果返回给所述同步模块；

23、上下线调度模块，用于当所述同步模块接收到所述裁决结果时，根据所述裁决结果，从所述各动态异构冗余执行体中确定目标执行体，并对所述目标执行体进行下线清洗，并上线所述待上线的候选执行体，由上线后的所述候选执行体从所述数据备份模块中读取所述网络消息流，以便上线后的所述候选执行体将从所述网络消息流中解析的目标配置数据存储在上线后的所述候选执行体中；

24、配置数据生效模块，用于当所述候选执行体存储所述目标配置数据时，由所述同步模块将处于上线得个动态异构冗余执行体中存储的所述目标配置数据同步到所述网络节点操作系统，以使所述目标配置数据生效。

25、本说明书提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述网络节点操作系统配置数据内生安全防护方法。

26、本说明书提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述网络节点操作系统配置数据内生安全防护方法。

27、本说明书采用的上述至少一个技术方案能够达到以下有益效果：

28、本说明书提供的网络节点操作系统配置数据内生安全防护方法中，在数据备份模块接收到网络消息流时，将目标配置数据备份在数据备份模块，分发模块将接收到的网络消息流分别发送给各动态异构冗余执行体，各动态异构冗余执行体存储目标配置数据，同步模块可分别读取各动态异构冗余执行体存储的目标配置数据，并由裁决模块进行一致性裁决，同步模块基于裁决结果进行执行体的上下线调度，下线存在数据紊乱的目标执行体，并上线候选执行体，候选执行体从数据备份模块中获取目标配置数据。通过将目标配置数据动态冗余备份到数据备份模块，对目标数据进行动态防护，实现了针对已知和未知威胁的防护能力，增强了网络节点操作系统配置数据的内生安全的性能。