一种应用于集群中的网络安全方法及网络安全服务器

摘要

本申请提供一种应用于集群中的网络安全方法及网络安全服务器，其中，所述方法包括：预先创建预设端口，所述预设端口与预设报文协议相关联；将自身的网络安全标识以及IP地址分发至预设数量的网络终端设备中，所述网络安全标识包括预设验证口令以及所述预设报文协议；接收来自所述预设数量的网络终端设备处的报文，并提取所述报文中携带的网络安全标识；当所述报文中携带的网络安全标识中的验证口令以及报文协议分别与所述预设验证口令以及所述预设报文协议一致时，通过所述预设端口将所述报文发送至所述报文中注明的目的地址处。本申请实施方式提供的一种应用于集群中的网络安全方法及网络安全服务器，能够保证集群之间数据传输的安全性。

说明书

技术领域

本申请涉及网络安全技术领域，特别涉及一种应用于集群中的网络安全方法及网络安全服务器。

背景技术

随着计算机技术和网络技术的飞速发展，互联网(Internet)技术在人们的日常生活、学习和工作中发挥的作用也越来越大。而且，互联网也在向移动化发展。在当今的信息时代中，各种信息设备应运而生：有用于话音传输的固定电话、移动终端；有用于信息资源共享、处理的服务器和个人电脑；有用于视频数据显示的各种电视机等等。这些设备都是在特定领域内为解决实际需求而产生的。随着电子消费、计算机、通信融合的到来，人们越来越多地将注意力放到了对各个不同领域的信息设备进行综合利用的研究上，以充分利用现有资源设备来为人们更好的服务。

鉴于此，集群技术应运而生。在一个集群中可以分布多个网络终端设备，这些网络终端设备在集群内部可以共享资源，并且在这些网络终端设备上可以布设虚拟节点，从而最大化地利用集群中网络终端设备的资源。

当前，集群和集群之间的网络终端设备可以直接进行点对点的数据传输，这样无疑使得数据互换变得十分方便。但由于网络终端设备安全的欠缺，集群面临的网络安全问题也日益严重。因此，目前亟需一种应用于集群中的网络安全方法。

应该注意，上面对技术背景的介绍只是为了方便对本申请的技术方案进行清楚、完整的说明，并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本申请的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。

发明内容

本申请实施方式的目的在于提供一种应用于集群中的网络安全方法及网络安全服务器，能够保证集群之间数据传输的安全性。

为实现上述目的，本申请一方面提供一种应用于集群中的网络安全方法，所述集群中包括网络安全服务器和预设数量的网络终端设备，所述方法包括：所述网络安全服务器预先创建用于与其它集群进行数据传输的预设端口，所述预设端口与预设报文协议相关联；所述网络安全服务器将自身的网络安全标识以及IP地址分发至所述预设数量的网络终端设备中，所 述网络安全标识包括预设验证口令以及所述预设报文协议；所述网络安全服务器接收来自所述预设数量的网络终端设备处的报文，并提取所述报文中携带的网络安全标识；当所述报文中携带的网络安全标识中的验证口令以及报文协议分别与所述预设验证口令以及所述预设报文协议一致时，所述网络安全服务器通过所述预设端口将所述报文发送至所述报文中注明的目的地址处。

为实现上述目的，本申请另一方面提供一种应用于集群中的网络安全服务器，所述网络安全服务器位于所述集群中，所述集群中还包括预设数量的网络终端设备，所述网络安全服务器包括：预设端口创建单元，用于预先创建用于与其它集群进行数据传输的预设端口，所述预设端口与预设报文协议相关联；配置参数分发单元，用于将所述网络安全服务器的网络安全标识以及IP地址分发至所述预设数量的网络终端设备中，所述网络安全标识包括预设验证口令以及所述预设报文协议；报文接收单元，用于接收来自所述预设数量的网络终端设备处的报文，并提取所述报文中携带的网络安全标识；报文发送单元，用于当所述报文中携带的网络安全标识中的验证口令以及报文协议分别与所述预设验证口令以及所述预设报文协议一致时，通过所述预设端口将所述报文发送至所述报文中注明的目的地址处。

由以上本申请实施方式提供的技术方案可见，本申请在各个集群中通过设置网络安全服务器，并且在网络安全服务器上设置专门用于集群之间数据传输的预设端口，从而避免了网络终端设备之间点对点传输带来的安全隐患。此外，本申请在传输的报文中均加入网络安全标识，只有携带正确网络安全标识的报文才会被转发。这样便可以屏蔽集群外的网络终端设备发送的报文，从而避免集群外的网络终端设备对集群构成安全隐患。由此可见，本申请提供的一种应用于集群中的网络安全方法及网络安全服务器，能够保证集群之间数据传输的安全性。

参照后文的说明和附图，详细公开了本申请的特定实施方式，指明了本申请的原理可以被采用的方式。应该理解，本申请的实施方式在范围上并不因而受到限制。在所附权利要求的精神和条款的范围内，本申请的实施方式包括许多改变、修改和等同。

针对一种实施方式描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施方式中使用，与其它实施方式中的特征相组合，或替代其它实施方式中的特征。

应该强调，术语“包括/包含”在本文使用时指特征、整件、步骤或组件的存在，但并不排除一个或更多个其它特征、整件、步骤或组件的存在或附加。

附图说明

所包括的附图用来提供对本申请实施方式的进一步的理解，其构成了说明书的一部分，用于例示本申请的实施方式，并与文字描述一起来阐释本申请的原理。显而易见地，下面描 述中的附图仅仅是本申请的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1为本申请实施方式提供的一种应用于集群中的网络安全方法流程图；

图2为本申请实施方式提供的一种应用于集群中的网络安全服务器的功能模块图。

具体实施方式

为了使本技术领域的人员更好地理解本申请中的技术方案，下面将结合本申请实施方式中的附图，对本申请实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式仅仅是本申请一部分实施方式，而不是全部的实施方式。基于本申请中的实施方式，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施方式，都应当属于本申请保护的范围。

图1为本申请提供的一种应用于集群中的网络安全方法流程图。虽然下文描述流程包括以特定顺序出现的多个操作，但是应该清楚了解，这些过程可以包括更多或更少的操作，这些操作可以顺序执行或并行执行(例如使用并行处理器或多线程环境)。在本实施方式中，所述集群中包括网络安全服务器和预设数量的网络终端设备。其中，所述预设数量的网络终端设备均与所述网络安全服务器相连。如图1所示，所述方法包括：

步骤S1：网络安全服务器预先创建用于与其它集群进行数据传输的预设端口，预设端口与预设报文协议相关联。

在本实施方式中，为了保证数据传输的安全性，各个集群中的网络安全服务器可以预先创建用于与其它集群进行数据传输的预设端口。所述预设端口可以是所述网络安全服务器中未使用的端口之一。在不同的集群中，所述预设端口的端口号也可以不同。因此，所述预设端口可以通过网络安全服务器的标识与端口号唯一确定。所述网络安全服务器的标识例如可以是网络安全服务器的IP地址、MAC地址或者出厂编号。

在本实施方式中，当集群中的网络安全服务器创建完所述预设端口之后，便可以将自身的IP地址以及所述预设端口的端口号分发至与所述集群相邻的其它集群中。这样，当其它集群需要向该集群内的网络终端设备发送数据报文时，便可以在数据报文的目的地址中加入该集群的网络安全服务器的IP地址，并且在数据报文的目的端口号中加入该集群的预设端口的端口号。这样，其它集群的数据报文便可以正确地传输至该集群的网络安全服务器中。

在本实施方式中，所述网络安全服务器可以在集群内的网络终端设备授权之后再创建所述预设端口。具体地，所述网络安全服务器的设备可以向所述预设数量的网络终端设备发起授权请求，所述授权请求中包括所述网络安全服务器的MAC地址和负载参数。其中，所述MAC地址可以用来唯一标识所述网络安全服务器，所述负载参数可以表明所述网络安全服 务器当前的工作状态。所述负载参数中可以包括CPU使用率、内存使用率、存储容量等。所述预设数量的网络终端设备中的各个网络终端设备在接收到所述授权请求之后，可以判断所述负载参数是否满足自身的负载要求，当满足时，便可以向所述网络安全服务器发送确权指令。在本实施方式中，判断所述负载参数是否满足自身的负载要求，可以是判断所述负载参数中剩余的内存量是否高于自身的内存需求量，当高于时，便可以视为满足自身的负载要求。

这样，当所述网络安全服务器接收到的确权指令的数量大于或者等于预设阈值时，所述网络安全服务器才创建用于与其它集群进行数据传输的预设端口。

在本实施方式中，所述预设端口与预设网络协议相关联，通过该预设端口向外发出的数据报文均可以采用所述预设网络协议。所述预设网络协议例如可以是TCP/IP协议或者UDP协议。

步骤S2：网络安全服务器将自身的网络安全标识以及IP地址分发至预设数量的网络终端设备中，网络安全标识包括预设验证口令以及预设报文协议。

在本实施方式中，在所述网络安全服务器创建完所述预设端口之后，便可以将自身的网络安全标识以及IP地址分发至所述预设数量的网络终端设备中，所述网络安全标识包括预设验证口令以及所述预设报文协议。这样，同一个集群中的网络终端设备便可以获知当前集群中的网络安全设备的IP地址，从而可以将需要转发的数据报文统一发送至所述网络安全服务器中。

在本实施方式中，所述预设验证口令可以用于验证网络终端设备的身份，只有在集群中的网络终端设备和网络安全服务器才会知晓该预设验证口令。这样，在网络终端设备向网络安全服务器发送数据报文时，可以在数据报文中加入所述验证口令。

此外，在本实施方式中，通过所述预设端口向外发送的数据报文均应该遵循所述预设网络协议。因此，在网络终端设备向网络安全服务器发送数据报文时，还可以在数据报文中添加所述预设网络协议的标识，从而表明该数据报文是以何种网络协议进行转发。

步骤S3：网络安全服务器接收来自所述预设数量的网络终端设备处的报文，并提取报文中携带的网络安全标识。

在本实施方式中，所述网络安全服务器可以接收来自所述预设数量的网络终端设备处的报文。在接收到报文之后，所述网络安全服务器要判断报文的安全性。当报文安全时才能向外转发，从而保证整个集群系统的网络安全。具体地，在本实施方式中，所述网络安全服务器可以提取所述报文中携带的网络安全标识。提取的所述网络安全标识中可以包括验证口令与网络协议。

在本实施方式中，所述网络安全服务器接收到的报文可以不完全来自所述预设数量的网络终端设备。有些网络黑客可以仿制集群中网络终端设备的身份，然后再向所述网络安全服务器发送包含病毒的数据报文。而在这种情况下，由于网络黑客无法获取网络安全服务器设置的预设验证口令以及预设网络协议，因此在网络黑客发送的数据报文中携带的网络安全标识可能与预设的标识不同。

步骤S4：当报文中携带的网络安全标识中的验证口令以及报文协议分别与预设验证口令以及预设报文协议一致时，网络安全服务器通过预设端口将报文发送至报文中注明的目的地址处。

在本实施方式中，所述网络安全服务器可以对提取的网络安全标识进行判断。当所述报文中携带的网络安全标识中的验证口令以及报文协议分别与所述预设验证口令以及所述预设报文协议一致时，则表明所述报文来自集群中正常的网络终端设备。这样，所述网络安全服务器便可以通过所述预设端口将所述报文发送至所述报文中注明的目的地址处。

然而，如果所述报文中携带的网络安全标识中的验证口令或者报文协议中的至少一个与预设验证口令或者所述预设报文协议不一致时，则表明所述报文并非来自集群中的正常网络终端设备。在这种情况下，所述网络安全服务器便可以丢弃该报文。

在本申请一个实施方式中，所述网络安全服务器在设置了预设验证口令和预设报文协议之后，可以将所述预设验证口令和预设报文协议发送至其它集群的网络安全服务器。这样，其它集群的网络安全服务器在向该集群的网络安全服务器发送数据报文时，可以在数据报文中添加所述预设验证口令和预设报文协议。这样，当所述网络安全服务器通过所述预设端口接收来自其它集群的转发报文时，可以判断所述转发报文中是否包含网络安全标识。当所述转发报文中包含网络安全标识并且所述转发报文中网络安全标识中的验证口令以及报文协议分别与所述预设验证口令以及所述预设报文协议一致时，表明该报文来自其它集群的网络安全设备，从而所述网络安全服务器可以将所述转发报文发送至所述转发报文中注明的目的地址处。

在本实施方式中，当所述转发报文中不包含网络安全标识或者所述转发报文中网络安全标识中的验证口令或者报文协议与所述预设验证口令或者所述预设报文协议不一致时，所述网络安全服务器可以丢弃所述转发报文。

在本申请另一个实施方式中，所述预设端口可以为DCI类型端口，相应地，在所述网络安全服务器通过所述预设端口将所述报文发送至所述报文中注明的目的地址处之前，所述方法还包括：所述网络安全服务器将所述报文中的预设保留位扩展为DCI类型。这样，所述网络安全服务器可以对报文中预设保留位的类型进行判断，当所述预设保留位是DCI类型时， 可以接收所述报文，否则将丢弃该报文。

本申请还是提供一种应用于集群中的网络安全服务器。所述网络安全服务器位于所述集群中，所述集群中还包括预设数量的网络终端设备。请参阅图2，所述网络安全服务器包括：

预设端口创建单元100，用于预先创建用于与其它集群进行数据传输的预设端口，所述预设端口与预设报文协议相关联；

配置参数分发单元200，用于将所述网络安全服务器的网络安全标识以及IP地址分发至所述预设数量的网络终端设备中，所述网络安全标识包括预设验证口令以及所述预设报文协议；

报文接收单元300，用于接收来自所述预设数量的网络终端设备处的报文，并提取所述报文中携带的网络安全标识；

报文发送单元400，用于当所述报文中携带的网络安全标识中的验证口令以及报文协议分别与所述预设验证口令以及所述预设报文协议一致时，通过所述预设端口将所述报文发送至所述报文中注明的目的地址处；

报文丢弃单元500，用于当所述报文中携带的网络安全标识中的验证口令或者报文协议与所述预设验证口令或者所述预设报文协议不一致时，丢弃所述报文。

在本申请一个实施方式中，所述网络安全服务器还包括：

转发报文接收单元，用于通过所述预设端口接收来自其它集群的转发报文，并判断所述转发报文中是否包含网络安全标识；

转发报文发送单元，用于当所述转发报文中包含网络安全标识并且所述转发报文中网络安全标识中的验证口令以及报文协议分别与所述预设验证口令以及所述预设报文协议一致时，将所述转发报文发送至所述转发报文中注明的目的地址处。

在本申请一个实施方式中，在所述预设端口创建单元100之后，所述网络安全服务器还包括：

配置参数同步单元，用于将所述预设端口的端口号以及所述网络安全服务器自身的IP地址分发至与所述集群相邻的其它集群中。

在本申请一个实施方式中，在所述预设端口创建单元100之前，所述网络安全服务器还包括：

授权请求发起单元，用于向所述预设数量的网络终端设备发起授权请求，所述授权请求中包括所述网络安全服务器的MAC地址和负载参数；

相应地，所述预设端口创建单元100用于当接收到的由所述预设数量的网络终端设备发来的确权指令的数量大于或者等于预设阈值时，才创建用于与其它集群进行数据传输的预设 端口。

在本申请一个实施方式中，所述预设端口为DCI类型端口，相应地，在所述报文发送单元400之前，所述网络安全服务器还包括：

扩展单元，用于将所述报文中的预设保留位扩展为DCI类型。

由以上本申请实施方式提供的技术方案可见，本申请在各个集群中通过设置网络安全服务器，并且在网络安全服务器上设置专门用于集群之间数据传输的预设端口，从而避免了网络终端设备之间点对点传输带来的安全隐患。此外，本申请在传输的报文中均加入网络安全标识，只有携带正确网络安全标识的报文才会被转发。这样便可以屏蔽集群外的网络终端设备发送的报文，从而避免集群外的网络终端设备对集群构成安全隐患。由此可见，本申请提供的一种应用于集群中的网络安全方法及网络安全服务器，能够保证集群之间数据传输的安全性。

上面对本申请的各种实施方式的描述以描述的目的提供给本领域技术人员。其不旨在是穷举的、或者不旨在将本发明限制于单个公开的实施方式。如上所述，本申请的各种替代和变化对于上述技术所属领域技术人员而言将是显而易见的。因此，虽然已经具体讨论了一些另选的实施方式，但是其它实施方式将是显而易见的，或者本领域技术人员相对容易得出。本申请旨在包括在此已经讨论过的本发明的所有替代、修改、和变化，以及落在上述申请的精神和范围内的其它实施方式。

上述实施方式阐明的服务器或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。

本说明书中的各个实施方式均采用递进的方式描述，各个实施方式之间相同相似的部分互相参见即可，每个实施方式重点说明的都是与其他实施方式的不同之处。尤其，对于服务器实施方式而言，由于其基本相似于方法实施方式，所以描述的比较简单，相关之处参见方法实施方式的部分说明即可。

本申请可用于众多通用或专用的计算机系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。

虽然通过实施方式描绘了本申请，本领域普通技术人员知道，本申请有许多变形和变化而不脱离本申请的精神，希望所附的权利要求包括这些变形和变化而不脱离本申请的精神。