一種用于提供網(wǎng)絡(luò)服務(wù)的方法、裝置和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域，尤其涉及在信息安全領(lǐng)域的一種提供網(wǎng)絡(luò)服務(wù)的方法、裝置和系統(tǒng)。
【背景技術(shù)】
[0002]傳統(tǒng)網(wǎng)絡(luò)安全防御系統(tǒng)可以歸納為網(wǎng)絡(luò)周期(CyberCycle)，網(wǎng)絡(luò)周期是指攻擊者和防御者之間的博弈過程，亦即:攻擊者掃描漏洞，發(fā)動(dòng)攻擊，防御者檢測到攻擊，修復(fù)系統(tǒng)，攻擊者再掃描漏洞發(fā)動(dòng)攻擊，防御者再檢測……這個(gè)循環(huán)過程。其產(chǎn)生原因是防御者的被動(dòng)防御。通常攻擊者常用的攻擊手段有利用漏洞、木馬、病毒、后門等，而防御者常用的安全技術(shù)有打補(bǔ)丁、加密、簽名、認(rèn)證等。
[0003]然而，這些安全防御技術(shù)僅僅針對(duì)特定已知的攻擊有效，對(duì)潛在的漏洞或后門缺乏有效的主動(dòng)防御性?，F(xiàn)有技術(shù)中靜態(tài)的網(wǎng)絡(luò)環(huán)境使攻擊者擁有足夠的時(shí)間觀察分析網(wǎng)絡(luò)中關(guān)鍵節(jié)點(diǎn)，并實(shí)施攻擊。由于現(xiàn)有網(wǎng)絡(luò)安全防御技術(shù)靜態(tài)、被動(dòng)，潛在威脅漏洞和后門不可避免。
[0004]在電子信息工程領(lǐng)域，有采用硬件異構(gòu)的方式來豐富目標(biāo)電路的多樣性，提高系統(tǒng)冗余容錯(cuò)能力的方式，如《基于LUT級(jí)演化硬件的三模異構(gòu)冗余容錯(cuò)方法》、《一種基于硬件重構(gòu)的擬態(tài)安全網(wǎng)絡(luò)架構(gòu)的實(shí)現(xiàn)系統(tǒng)及方法》、《基于LUT級(jí)演化硬件的三模異構(gòu)冗余容錯(cuò)方法》等，然而通過該種方式所實(shí)現(xiàn)的系統(tǒng)仍然是靜態(tài)的，對(duì)攻擊者而言是透明的，達(dá)不到保護(hù)功能隱匿結(jié)構(gòu)的效果，并且，通過硬件所實(shí)現(xiàn)的異構(gòu)實(shí)體成本較高，并且對(duì)于網(wǎng)絡(luò)環(huán)境的適應(yīng)性較差。

【發(fā)明內(nèi)容】

[0005]本發(fā)明的目的是提供一種在網(wǎng)絡(luò)系統(tǒng)中提供服務(wù)的方法、裝置和系統(tǒng)。
[0006]根據(jù)本發(fā)明的一個(gè)方面，提供了一種在網(wǎng)絡(luò)系統(tǒng)中提供服務(wù)的方法，其中，所述網(wǎng)絡(luò)系統(tǒng)包括至少一個(gè)異構(gòu)節(jié)點(diǎn)，所述異構(gòu)節(jié)點(diǎn)包含多個(gè)異構(gòu)實(shí)體，其中，所述多個(gè)異構(gòu)實(shí)體中的各個(gè)異構(gòu)實(shí)體可提供等價(jià)服務(wù)，其中，所述方法包括以下步驟:
[0007]a當(dāng)所述異構(gòu)節(jié)點(diǎn)接收網(wǎng)絡(luò)服務(wù)請(qǐng)求時(shí)，由該異構(gòu)節(jié)點(diǎn)包含的多個(gè)異構(gòu)實(shí)體中的、處于在線狀態(tài)的部分異構(gòu)實(shí)體中，選擇多個(gè)在線異構(gòu)實(shí)體，來響應(yīng)所接收到的服務(wù)請(qǐng)求，以使每個(gè)服務(wù)請(qǐng)求都對(duì)應(yīng)多個(gè)響應(yīng)異構(gòu)實(shí)體。
[0008]根據(jù)本發(fā)明的一個(gè)方面，提供了一種在網(wǎng)絡(luò)系統(tǒng)中提供服務(wù)的提供裝置，其中，所述網(wǎng)絡(luò)系統(tǒng)包括多個(gè)節(jié)點(diǎn)，所述多個(gè)節(jié)點(diǎn)中包括至少一個(gè)異構(gòu)節(jié)點(diǎn)，所述異構(gòu)節(jié)點(diǎn)包含多個(gè)異構(gòu)實(shí)體，其中，所述多個(gè)異構(gòu)實(shí)體中的各個(gè)異構(gòu)實(shí)體可提供等價(jià)服務(wù)，其中，所述提供裝置包括:
[0009]選擇裝置，用于當(dāng)所述異構(gòu)節(jié)點(diǎn)接收網(wǎng)絡(luò)服務(wù)請(qǐng)求時(shí)，由該異構(gòu)節(jié)點(diǎn)包含的多個(gè)異構(gòu)實(shí)體中的、處于在線狀態(tài)的部分異構(gòu)實(shí)體中，選擇多個(gè)在線異構(gòu)實(shí)體，來響應(yīng)所接收到的服務(wù)請(qǐng)求，以使每個(gè)服務(wù)請(qǐng)求都對(duì)應(yīng)多個(gè)響應(yīng)異構(gòu)實(shí)體。
[0010]根據(jù)本發(fā)明的一個(gè)方面，提供了一種網(wǎng)絡(luò)系統(tǒng)，所異構(gòu)節(jié)點(diǎn)所述網(wǎng)絡(luò)系統(tǒng)包括至少一個(gè)異構(gòu)節(jié)點(diǎn)，所述異構(gòu)節(jié)點(diǎn)包含多個(gè)異構(gòu)實(shí)體，所述多個(gè)異構(gòu)實(shí)體中的各個(gè)異構(gòu)實(shí)體可提供等價(jià)服務(wù)，其中，所述異構(gòu)節(jié)點(diǎn)包括所述的提供裝置。
[0011]與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點(diǎn):I)通過采用異構(gòu)實(shí)體的方式來實(shí)現(xiàn)節(jié)點(diǎn)功能，使攻擊者攻擊代價(jià)成本更高，漏洞或后門難以利用;2)通過利用多個(gè)異構(gòu)實(shí)體的冗余性，使異構(gòu)節(jié)點(diǎn)可用性高(以WEB服務(wù)器為例，通過冗余方法，使多個(gè)冗余服務(wù)器對(duì)外提供服務(wù)，即使其中一個(gè)或幾個(gè)受到攻擊，被破壞，未被破壞的服務(wù)仍能正常對(duì)外提供服務(wù)。除非所有的異構(gòu)冗余服務(wù)都被攻擊了，該服務(wù)器才會(huì)停止，所以，可用性更高了)，而對(duì)多個(gè)冗余實(shí)體的響應(yīng)結(jié)果進(jìn)行冗余仲裁，則保證了響應(yīng)數(shù)據(jù)的完整性;3)通過切換異構(gòu)實(shí)體的在線/離線狀態(tài)變化，使攻擊者對(duì)攻擊目標(biāo)不確定，阻斷了漏洞或后門的利用。此外，由于冗余和動(dòng)態(tài)變化帶來的多樣性，增加了系統(tǒng)的不可感知性。以Web服務(wù)為例，分別根據(jù)操作系統(tǒng)、月艮務(wù)器、網(wǎng)站編寫腳本的不同，可以制作10個(gè)冗余異構(gòu)的WEB服務(wù)，其中每個(gè)服務(wù)提供相同的服務(wù)。例如同為銷售圖書的網(wǎng)站，系統(tǒng)正常運(yùn)行時(shí)使其中5個(gè)對(duì)外提供服務(wù)，其余5個(gè)處于離線狀態(tài)，等待被調(diào)度。工作達(dá)到最大或檢測到異常服務(wù)器，則通過調(diào)度命令使該Web服務(wù)器下線，恢復(fù)到初始狀態(tài)，等待再次被調(diào)度上線提供WEB服務(wù)。顯然，系統(tǒng)結(jié)構(gòu)更為復(fù)雜，不可感知度更高。
【附圖說明】
[0012]通過閱讀參照以下附圖所作的對(duì)非限制性實(shí)施例所作的詳細(xì)描述，本發(fā)明的其它特征、目的和優(yōu)點(diǎn)將會(huì)變得更明顯:
[0013]圖1示意出了根據(jù)本發(fā)明的一種網(wǎng)絡(luò)系統(tǒng)的系統(tǒng)示意圖。
[0014]圖2示意出了根據(jù)本發(fā)明的一種在網(wǎng)絡(luò)系統(tǒng)中提供服務(wù)的方法流程圖；
[0015]圖3示意出了根據(jù)本發(fā)明的一種用于在網(wǎng)絡(luò)系統(tǒng)中提供服務(wù)的提供裝置的結(jié)構(gòu)示意圖；
[0016]圖4示意出了根據(jù)本發(fā)明的一個(gè)示例中的異構(gòu)節(jié)點(diǎn)的示意圖。
[0017]附圖中相同或相似的附圖標(biāo)記代表相同或相似的部件。
【具體實(shí)施方式】
[0018]下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)描述。
[0019]參照?qǐng)D1，圖1示意出了根據(jù)本發(fā)明的一種優(yōu)選實(shí)施例的網(wǎng)絡(luò)系統(tǒng)。所述網(wǎng)絡(luò)系統(tǒng)中包括至少一個(gè)異構(gòu)節(jié)點(diǎn)R，所述異構(gòu)節(jié)點(diǎn)R中包括多個(gè)異構(gòu)實(shí)體rl至r4，其中，該多個(gè)異構(gòu)實(shí)體中的各個(gè)異構(gòu)實(shí)體可提供等價(jià)的網(wǎng)絡(luò)服務(wù)。其中，異構(gòu)實(shí)體rl至r3為在線工作狀態(tài)，灰色的異構(gòu)實(shí)體r4為離線狀態(tài)。
[0020]優(yōu)選地，參照?qǐng)D1所示的網(wǎng)絡(luò)系統(tǒng)中還可包括可與所述異構(gòu)節(jié)點(diǎn)R進(jìn)行交互的其他網(wǎng)絡(luò)節(jié)點(diǎn)E。
[0021]優(yōu)選地，根據(jù)本發(fā)明所述異構(gòu)節(jié)點(diǎn)R為網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)。其中，本領(lǐng)域技術(shù)人員應(yīng)可根據(jù)實(shí)際情況和需求來確定網(wǎng)絡(luò)系統(tǒng)中的節(jié)點(diǎn)是否為關(guān)鍵節(jié)點(diǎn)。
[0022]優(yōu)選地，所述異構(gòu)節(jié)點(diǎn)包括但不限于諸如服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備。
[0023]優(yōu)選地，同一節(jié)點(diǎn)的各個(gè)異構(gòu)實(shí)體具有以下特征:
[0024]I)各個(gè)異構(gòu)實(shí)體均具有約定的等價(jià)功能，換言之，異構(gòu)實(shí)體間具有約定功能的等價(jià)性；
[0025]2)各個(gè)異構(gòu)實(shí)體能夠分別引入相互具有差異性的功能；
[0026]3)能夠響應(yīng)前述等價(jià)功能和/或屏蔽前述差異性功能。
[0027]優(yōu)選地，所述異構(gòu)實(shí)體采用軟件異構(gòu)方式。
[0028]更優(yōu)選地，所述異構(gòu)實(shí)體采用以下至少任一種方式來實(shí)現(xiàn)異構(gòu):
[0029]I)芯片平臺(tái)異構(gòu)；例如，通過在不同的異構(gòu)實(shí)體上分別采用諸如x86、ARM、龍芯等不同的芯片來實(shí)現(xiàn)芯片平臺(tái)層面的異構(gòu)。
[0030]2)操作系統(tǒng)異構(gòu)；例如，通過在不同的異構(gòu)實(shí)體上分別采用諸如Windows操作系統(tǒng)、Linux系統(tǒng)等來實(shí)現(xiàn)操作系統(tǒng)層面的異構(gòu)。
[0031]3)服務(wù)器軟件異構(gòu)；例如，通過在不同的異構(gòu)實(shí)體上分別采用諸如Apachedginx等不同的服務(wù)器軟件來配置各個(gè)異構(gòu)實(shí)體具有相似的服務(wù)器功能，以使實(shí)現(xiàn)服務(wù)器軟件配置層面的異構(gòu)。
[0032]4)應(yīng)用實(shí)現(xiàn)異構(gòu);例如，通過在不同的異構(gòu)實(shí)體上分別采用諸如】3?、？61'1、？7七11011等不同的編程語言來實(shí)現(xiàn)各個(gè)異構(gòu)實(shí)體上的具有等同功能的應(yīng)用程序，以實(shí)現(xiàn)應(yīng)用層面的異構(gòu)。
[0033]優(yōu)選地，根據(jù)本發(fā)明的異構(gòu)實(shí)體在采用了上述軟件異構(gòu)方式之外，還可分別采用不同的硬件設(shè)備來執(zhí)行相應(yīng)的軟件功能，亦即，采用軟件、硬件相結(jié)合的方式來實(shí)現(xiàn)異構(gòu)。
[0034]圖2示意出了根據(jù)本發(fā)明的一種用于提供網(wǎng)絡(luò)服務(wù)的方法流程圖。根據(jù)本發(fā)明的方法由提供裝置來實(shí)現(xiàn)，其中，所述提供裝置包含于網(wǎng)絡(luò)系統(tǒng)的異構(gòu)節(jié)點(diǎn)中。優(yōu)選地，所述提供裝置可以包含在除多個(gè)異構(gòu)實(shí)體以外的異構(gòu)節(jié)點(diǎn)內(nèi)部的獨(dú)立設(shè)備中，或者，所述提供裝置可以包含于異構(gòu)節(jié)點(diǎn)的多個(gè)異構(gòu)實(shí)體中的任一異構(gòu)實(shí)體中。
[0035]參照?qǐng)D2，在步驟SlOl中，當(dāng)所述異構(gòu)節(jié)點(diǎn)接收到網(wǎng)絡(luò)服務(wù)請(qǐng)求時(shí)，提供裝置由該異構(gòu)節(jié)點(diǎn)包含的多個(gè)異構(gòu)實(shí)體中的、處于在線狀態(tài)的部分異構(gòu)實(shí)體中，選擇多個(gè)在線異構(gòu)實(shí)體，來響應(yīng)所接收到的服務(wù)請(qǐng)求，以使每個(gè)服務(wù)請(qǐng)求都對(duì)應(yīng)多個(gè)響應(yīng)異構(gòu)實(shí)體。
[0036]優(yōu)選地，提供裝置選擇多個(gè)在線異構(gòu)實(shí)體，通過諸如流量復(fù)制等方式，將所接收到的網(wǎng)絡(luò)服務(wù)請(qǐng)求分別發(fā)送至多個(gè)用于響應(yīng)該請(qǐng)求的響應(yīng)異構(gòu)實(shí)體，以使每個(gè)服務(wù)請(qǐng)求都對(duì)應(yīng)多個(gè)響應(yīng)異構(gòu)實(shí)體。
[0037]例如，當(dāng)提供裝置接收到η個(gè)網(wǎng)絡(luò)服務(wù)請(qǐng)求時(shí)，通過流量復(fù)制將該η個(gè)請(qǐng)求分別發(fā)送至2η+1個(gè)響應(yīng)異構(gòu)實(shí)體中，以使得每個(gè)請(qǐng)求均有多個(gè)響應(yīng)異構(gòu)實(shí)體來進(jìn)行處理。
[0038]接著，根據(jù)本發(fā)明的方法還包括步驟S102(圖未示)和步驟S103(圖未示)。
[0039]在步驟S102中，提供裝置由所選擇的所述多個(gè)在線異構(gòu)實(shí)體對(duì)各自的響應(yīng)結(jié)果進(jìn)行裁決以確定最終的響應(yīng)異構(gòu)實(shí)體。
[0040]具體地，提供裝置在異構(gòu)節(jié)點(diǎn)的輸出端，對(duì)所述所選擇的多個(gè)在線異構(gòu)實(shí)體的響應(yīng)結(jié)果進(jìn)行裁決，例如，采用諸如拜占庭將軍算法(Byzantine failures)或大數(shù)表決算法等方式進(jìn)行裁決，以確定最終的響應(yīng)異構(gòu)實(shí)體。
[0041 ]接著，在步驟S103中，提供裝置由所述響應(yīng)實(shí)體基于所述服務(wù)請(qǐng)求來反饋其響應(yīng)結(jié)果。
[0042]優(yōu)選地，根據(jù)本發(fā)明的方法還包括步驟S104(圖未示)。
[0043]在步驟S104中，提供裝置基于預(yù)定切換規(guī)則來切換所述各個(gè)異構(gòu)實(shí)體的在線/離線狀態(tài)，以使所述多個(gè)異構(gòu)實(shí)體中包含多個(gè)處于在線狀態(tài)的在線異構(gòu)實(shí)體。
[0044]其中，所述預(yù)定切換規(guī)則用于指示何時(shí)將異構(gòu)實(shí)體從在線狀態(tài)切換為離線狀態(tài)，或者從離線狀態(tài)切換為在線狀態(tài)。優(yōu)選地，所述預(yù)定切換規(guī)則基于以下至少任一項(xiàng)信息來確定:
[0045]I)異構(gòu)差異信息;例如，各個(gè)異構(gòu)實(shí)體之間的異構(gòu)差異程度的大小。
[0046]2)工作時(shí)間信息;例如，異構(gòu)實(shí)體已工作時(shí)間的長短。
[0047]3)異常信息。例如，異構(gòu)實(shí)體的異常值等。其中，所述異常值用于指示異構(gòu)實(shí)體是否運(yùn)行正常，例如異構(gòu)實(shí)體是否處于正常工作狀態(tài)，又例如，異構(gòu)實(shí)體之間的輸出響應(yīng)是否一致等。
[0048]優(yōu)選地，所述異常信息可基于前述不在S102中的裁決結(jié)果來確定，例如，當(dāng)某一異構(gòu)實(shí)體的輸出響應(yīng)結(jié)果與其他異構(gòu)實(shí)體不一致時(shí)，確定其該異構(gòu)實(shí)體異常等。
[0049]例如，預(yù)定切換規(guī)則可包括:將異構(gòu)差異程度最大的異構(gòu)實(shí)體切換為在線工作;又例如，預(yù)定切換規(guī)則可包括:將已工作