[发明专利]一种基于STP协议的数据同步方法、装置和拟态交换机

说明书

本发明公开一种基于STP协议的数据同步方法、装置和拟态交换机，属于网络安全防护技术领域。针对目前拟态交换机中，异构执行体通过拟态调度器进行数据同步，浪费大量内存保存网络拓扑数据，手动匹配异构执行体上STP协议栈代码，十分繁琐，本发明提供一种拟态交换机上基于STP协议的数据同步方法，在拟态交换机中异构执行体清洗恢复后，通过数据同步模块完成STP各端口的拓扑信息的收集和自我训练，再同步给清洗恢复后的待同步异构执行体，完成其的数据同步，恢复正常使用。本发明数据同步方法不用手动修改异构执行体的STP协议栈代码，也不占用额外的存储资源，同步速度快、效率高，稳定性更好。

技术领域

本发明涉及网络安全防护技术领域，更具体地说，涉及一种基于STP协议的数据同步方法、装置和拟态交换机。

背景技术

随着网络技术的不断发展，人民的生活方法发生巨大的变化，网络安全日益成为当前社会重要的研究问题。拟态防御机制通过动态防御加冗余结构为核心的机制，有效地应对或抵御基于漏洞、后门等已知风险或不确定威胁。

拟态交换机是拟态防御技术的一种典型应用。通常使用多个异构处理器作为异构执行体，系统中包含硬件实现的拟态调度器以实现对异构执行体下行数据的判决筛选以及上行数据的分发。

由于外部攻击或内部错误可能导致异构执行体出现异常，所以需要根据拟态策略，及时的对该异构执行体进行清洗恢复。通过清洗恢复虽然可以让异构执行体恢复到可用状态，但是还需要让该异构执行体的状态和其他正常的异构执行体进行同步后，才能正常工作。出于安全角度的考虑，异构执行体之间是没有通讯通路的，所以数据和状态的同步，均通过拟态调度器来进行的。

目前数据同步的方案，主要是通过异构执行体定期往拟态调度器进行数据同步，拟态调度器保存下这些数据，再在后面异构执行体需要同步的时候，从拟态调度器进行获取。但这种数据同步的方式，存在着较大的缺点，一个是需要在拟态调度器上占用大量的内存来保存STP的拓扑数据，这样对于拟态调度器芯片上宝贵的内存资源是极大的浪费，该同步方法还需要修改异构执行体上的STP协议栈代码，由于异构执行体上可以有各种各样的CPU架构和内核版本，如果都要一一适配，就意味着巨大的工作量，应用起来十分复杂。

发明内容

1. 要解决的技术问题

针对现有技术中存在的在拟态交换机中，异构执行体通过拟态调度器进行数据同步，同步时浪费大量存储空间，手动匹配异构执行体上STP协议栈代码，十分复杂繁琐，本发明提供一种基于STP协议的数据同步方法、装置和拟态交换机，通过增加STP数据同步模块，实现不用手动修改异构执行体的STP协议栈代码，同时也不占用额外存储资源的情况下，完成清洗恢复后异构执行体和其他异构执行体的数据同步。

2. 技术方案

本发明的目的通过以下技术方案实现。

一种基于STP协议的数据同步方法，拟态调度器中的数据同步模块根据收到的STP消息确认同步开始，所述STP消息由待同步异构执行体发送；数据同步模块收集配置BPDU消息，并根据收集到的配置BPDU消息封装用于同步的配置BPDU消息，然后发送至待同步异构执行体进行数据同步；拟态调度器标记同步完成的异构执行体。本发明通过数据同步模块完成STP各端口的拓扑信息的收集和学习，并同步给清洗恢复后的异构执行体，实现异构执行体的数据同步。数据同步完成拟态调度器标记该异构执行体进入正常工作状态，后续该异构执行体下发的数据包都需要和其他异构执行体的数据包一起进行拟态判决。

更进一步的，数据同步模块收集并发送用于同步的配置BPDU消息至待同步异构执行体包括以下步骤：

S1、数据同步模块收集外部其他交换机发送的配置BPDU消息；