专利名称:云环境中的黑名单同步方法和装置的制作方法
技术领域:
本发明涉及网络技术领域,尤其涉及一种云环境中的黑名单同步方法和装置。
背景技术:
云环境中的统一配额系统由多个无状态分布的配额控制模块(Quota)组成,用于管理和监控云服务资源数据,并采用了黑名单策略防止个别用户攻击、滥用开放的云服务资源数据,其中黑名单的生成和更新均在各个Quota模块的本地计算,因此需要实时同步每个Quota模块之间的黑名单以对外提供一致的黑名单,保证安全性。目前,采用广播模式处理各个Quota模块之间的黑名单同步问题,每个Quota模块在写入本地数据后,向其他Quota模块分发单次更新的黑名单,并记录最近修改时间来处理数据冲突问题。目前存在的问题是,当外部请求黑名单时,可能从不同的Quota模块上获取到未同步成功的本地数据,或者出现消费行为在连接不同的Quota模块时合法性检查结果不同的现象,并且随着云服务资源数据的用户规模的不断扩大,各个服务系统都面临着巨大的资源使用量增长,请求压力和恶意攻击行为更是日益增多,采用广播模式的同步方法的缺陷将日益严重。
发明内容
本发明旨在至少解决上述技术问题之一。为此,本发明的一个目的在于提出一种云环境中的黑名单同步方法,该方法可在面临巨大资源使用量增长、请求压力和恶意攻击行为日益增多的情况下,对外部保障强一致性的配额管理和封禁惩罚策略等,并有效防止攻击漏洞等隐患。本发明的另一目的在于提出一种云环境中的黑名单同步装置。为了实现上述目的,根据本发明第一方面的实施例的云环境中的黑名单同步方法包括以下步骤建立资源树,其中所述资源树具有多个节点,所述多个节点分别表示所述云环境中的多个资源;将所述多个资源的黑名单数据按照所述多个节点的数据结构并根据所述资源树的路径发布到相应的所述多个节点;监视所述多个节点的状态;以及当所述多个节点中的一个或多个节点的状态发生变化时,使用所述一个或多个节点的状态来更新用于配额管理的黑名单。根据本发明实施例的云环境中的黑名单同步方法,黑名单数据以节点数据的格式存储在资源树对应的节点中,当节点状态发生变化时可以使用节点状态来更新用于配额管理的黑名单,解决了一致性问题,在面临巨大资源使用量增长、请求压力和恶意攻击行为日益增多的情况下,可以对外部保障强一致性的配额管理和封禁惩罚策略等,并且有效防止·由于压力不均、网络分块等问题导致的多个异步模块数据各异所带来的攻击漏洞等隐患。为了实现上述目的,根据本发明第二方面的实施例的云环境中的黑名单同步装置包括资源树建立模块,所述资源树建立模块用于建立资源树,其中所述资源树具有多个节点,所述多个节点分别表示所述云环境中的多个资源;发布模块,所述发布模块用于将所述多个资源的黑名单数据按照所述多个节点的数据结构并根据所述资源树的路径发布到相应的所述多个节点;监视模块,所述监视模块用于监视所述多个节点的状态;多个配额管理模块,所述多个配额管理模块用于分别管理所述多个资源的配额并具有所述多个资源的黑名单;以及更新模块,所述更新模块用于当所述多个节点中的一个或多个节点的状态发生变化时,使用所述一个或多个节点的状态来更新用于所述配额管理模块中的黑名单。根据本发明实施例的云环境中的黑名单同步装置,黑名单数据以节点数据的格式存储在资源树对应的节点中,当节点状态发生变化时可以使用节点状态来更新用于配额管理的黑名单,解决了一致性问题,在面临巨大资源使用量增长、请求压力和恶意攻击行为日益增多的情况下,可以对外部保障强一致性的配额管理和封禁惩罚策略等,并且有效防止由于压力不均、网络分块等问题导致的多个异步模块数据各异所带来的攻击漏洞等隐患。 本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中,图I是根据本发明一个实施例的云环境中的黑名单同步方法的流程图;图2是根据本发明又一个实施例的云环境中的黑名单同步方法的流程图;图3是根据本发明另一个实施例的云环境中的黑名单同步方法的流程图;以及图4是根据本发明一个实施例的云环境中的黑名单同步装置的结构框图。
具体实施例方式下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
下面参考附图描述根据本发明实施例的云环境中的黑名单同步方法和装置。一种云环境中的黑名单同步方法,包括以下步骤建立资源树,其中资源树具有多个节点,多个节点分别表示云环境中的多个资源;将多个资源的黑名单数据按照多个节点的数据结构并根据资源树的路径发布到相应的多个节点;监视多个节点的状态;以及当多个节点中的一个或多个节点的状态发生变化时,使用一个或多个节点的状态来更新用于配额管理的黑名单。图I是根据本发明一个实施例的云环境中的黑名单同步方法的流程图。如图I所示,根据本发明实施例的云环境中的黑名单同步方法包括下述步骤。步骤S101,建立资源树,其中资源树具有多个节点,多个节点分别表示云环境中的 多个资源。其中,多个资源可以包括网页获取服务、消息队列服务、离线下载服务和数据块服务等。步骤S102,将多个资源的黑名单数据按照多个节点的数据结构并根据资源树的路径发布到相应的多个节点。在本发明的一个实施例中,多个数据结构可以包括数据版本号、访问控制链的版本号以及时间戳等。在本发明的一个实施例中,黑名单数据可以包括多个周期的黑名单数据,多个周期包括分钟、月、年和永久等,黑名单数据可以包括黑名单数据的创建时间、最近修改时间以及实效时间等。其中,分钟周期对应资源管理中的分钟配额,分钟配额最重要的目的是防攻击,特别是短时间内用户的服务资源消耗很大的情况下可以使得用户停止使用该服务资源一段时间,月和年周期对应月/年配额,月/年配额是用户申请了一定时间内的服务资源配额,容许用户在这个配额范围内合法使用,永久周期对应永久配额,永久配额无时间限制,不按周期清零。步骤S103,监视多个节点的状态。具体地,根据资源树的路径发布黑名单数据时,可以根据路径设置监视点,通过对指定路径的读请求注册一次性触发器并支持指定监控方法,从而实现监视多个节点的状态。步骤S104,当多个节点中的一个或多个节点的状态发生变化时,使用一个或多个节点的状态来更新用于配额管理的黑名单。根据本发明实施例的云环境中的黑名单同步方法,黑名单数据以节点数据的格式存储在资源树对应的节点中,当节点状态发生变化时可以使用节点状态来更新用于配额管理的黑名单,解决了一致性问题,在面临巨大资源使用量增长、请求压力和恶意攻击行为日益增多的情况下,可以对外部保障强一致性的配额管理和封禁惩罚策略等,并且有效防止由于压力不均、网络分块等问题导致的多个异步模块数据各异所带来的攻击漏洞等隐患。图2是根据本发明又一个实施例的云环境中的黑名单同步方法的流程图。如图2所示,根据本发明实施例的云环境中的黑名单同步方法包括下述步骤。步骤S201,建立资源树,其中资源树具有多个节点,多个节点分别表示云环境中的多个资源。其中,多个资源可以包括网页获取服务、消息队列服务、离线下载服务和数据块服务等。步骤S202,将多个资源的黑名单数据按照多个节点的数据结构并根据资源树的路径发布到相应的多个节点。在本发明的一个实施例中,多个数据结构可以包括数据版本号、访问控制链的版本号以及时间戳等。在本发明的一个实施例中,黑名单数据可以包括多个周期的黑名单数据,多个周期包括分钟、月、年和永久等,黑名单数据可以包括黑名单数据的创建时间、最近修改时间以及实效时间等。其中,分钟周期对应资源管理中的分钟配额,分钟配额最重要的目的是防攻击,特别是短时间内用户的服务资源消耗很大的情况下可以使得用户停止使用该服务资源一段时间,月和年周期对应月/年配额,月/年配额是用户申请了一定时间内的服务资源配额,容许用户在这个配额范围内合法使用,永久周期对应永久配额,永久配额无时间限制,不按周期清零。 步骤S203,监视多个节点的状态。具体地,根据资源树的路径发布黑名单数据时,可以根据路径设置监视点,通过对指定路径的读请求注册一次性触发器并支持指定监控方法,从而实现监视多个节点的状态。步骤S204,当多个节点中的一个或多个节点的状态发生变化时,使用一个或多个节点的状态来更新用于配额管理的黑名单。步骤S205,订阅多个节点中的一个或多个节点的状态变化。根据本发明实施例的云环境中的黑名单同步方法,黑名单数据以节点数据的格式被发布到指定的资源树下,多个无状态的配额控制模块可以同时订阅所有的资源节点,监控其下子节点的黑名单数据,由此可以及时获取更新的通知,保证黑名单数据的同步监控,实现黑名单数据的集中式管理和动态更新。图3是根据本发明另一个实施例的云环境中的黑名单同步方法的流程图。如图3所示,根据本发明实施例的云环境中的黑名单同步方法包括下述步骤。步骤S301,建立资源树,其中资源树具有多个节点,多个节点分别表示云环境中的多个资源。其中,多个资源可以包括网页获取服务、消息队列服务、离线下载服务和数据块服务等。步骤S302,将多个资源的黑名单数据按照多个节点的数据结构并根据资源树的路径发布到相应的多个节点。在本发明的一个实施例中,多个数据结构可以包括数据版本号、访问控制链的版本号以及时间戳等。在本发明的一个实施例中,黑名单数据可以包括多个周期的黑名单数据,多个周期包括分钟、月、年和永久等,黑名单数据可以包括黑名单数据的创建时间、最近修改时间以及实效时间等。其中,分钟周期对应资源管理中的分钟配额,分钟配额最重要的目的是防攻击,特别是短时间内用户的服务资源消耗很大的情况下可以使得用户停止使用该服务资源一段时间,月和年周期对应月/年配额,月/年配额是用户申请了一定时间内的服务资源配额,容许用户在这个配额范围内合法使用,永久周期对应永久配额,永久配额无时间限制,不按周期清零。步骤S303,监视多个节点的状态。具体地,根据资源树的路径发布黑名单数据时,可以根据路径设置监视点,通过对指定路径的读请求注册一次性触发器并支持指定监控方法,从而实现监视多个节点的状态。步骤S304,当多个节点中的一个或多个节点的状态发生变化时,使用一个或多个节点的状态来更新用 于配额管理的黑名单。步骤S305,订阅多个节点中的一个或多个节点的状态变化。具体地,黑名单数据以节点数据的格式被发布到指定的资源树下,多个无状态的配额控制模块可以同时订阅所有的资源节点,监控其下子节点的黑名单数据,由此可以及时获取更新的通知,保证黑名单数据的同步监控,实现黑名单数据的集中式管理和动态更新。步骤S306,当配额管理主动修改多个资源的黑名单数据时,将修改按照多个节点的数据结构并根据资源树的路径发送到相应的多个节点。根据本发明实施例的云环境中的黑名单同步方法,当配额管理进行创建、更新、删除等写黑名单数据操作时,仅需发出写请求,不用关注本地的黑名单变化,而将此流程放在收到黑名单数据变更回调时统一处理,避免了因写服务器请求未成功提交造成的本地数据不同步状态。为了实现上述实施例,本发明还提出一种云环境中的黑名单同步装置。一种云环境中的黑名单同步装置,包括资源树建立模块,资源树建立模块用于建立资源树,其中资源树具有多个节点,多个节点分别表示云环境中的多个资源;发布模块,发布模块用于将多个资源的黑名单数据按照多个节点的数据结构并根据资源树的路径发布到相应的多个节点;监视模块,监视模块用于监视多个节点的状态;多个配额管理模块,多个配额管理模块用于分别管理多个资源的配额并具有多个资源的黑名单;以及更新模块,更新模块用于当多个节点中的一个或多个节点的状态发生变化时,使用一个或多个节点的状态来更新用于配额管理模块中的黑名单。图4是根据本发明一个实施例的云环境中的黑名单同步装置的结构框图。如图4所示,根据本发明实施例的云环境中的黑名单同步装置包括资源树建立模块100、发布模块200、监视模块300、配额管理模块400和更新模块500,其中配额管理模块400为多个,图4中仅示出一个,多个配额管理模块400可分别与资源树建立模块100和更新模块500相连。具体地,资源树建立模块100用于建立资源树,其中资源树具有多个节点,多个节点分别表示云环境中的多个资源。其中,多个资源可以包括网页获取服务、消息队列服务、离线下载服务和数据块服务等。发布模块200用于将多个资源的黑名单数据按照多个节点的数据结构并根据资源树的路径发布到相应的多个节点。更具体地,多个数据结构可以包括数据版本号、访问控制链的版本号以及时间戳等,其中,黑名单数据可以包括多个周期的黑名单数据,多个周期包括分钟、月、年和永久等,黑名单数据可以包括黑名单数据的创建时间、最近修改时间以及实效时间等,分钟周期对应资源管理中的分钟配额,分钟配额最重要的目的是防攻击,特别是短时间内用户的服务资源消耗很大的情况下可以使得用户停止使用该服务资源一段时间,月和年周期对应月/年配额,月/年配额是用户申请了一定时间内的服务资源配额,容许用户在这个配额范围内合法使用,永久周期对应永久配额,永久配额无时间限制,不按周期清零。监视模块300用于监视多个节点的状态。更具体地,根据资源树的路径发布黑名单数据时,监视模块300可以根据路径设置监视点,通过对指定路径的读请求注册一次性触发器并支持指定监控方法,从而实现监视多个节点的状态。多个配额管理模块400用于分别管理多个资源的配额并具有多个资源的黑名单。更新模块500用于当多个节点中的一个或多个节点的状态发生变化时,使用一个或多个节点的状态来更新用于配额管理模块中的黑名单。根据本发明实施例的云环境中的黑名单同步装置,黑名单数据以节点数据的格式存储在资源树对应的节点中,当节点状态发生变化时可以使用节点状态来更新用于配额管理的黑名单,解决了一致性问题,在面临巨大资源使用量增长、请求压力和恶意攻击行为日益增多的情况下,可以对外部保障强一致性的配额管理和封禁惩罚策略等,并且有效防止由于压力不均、网络分块等问题导致的多个异步模块数据各异所带来的攻击漏洞等隐患。在本发明的一个实施例中,配额管理模块400向更新模块500订阅多个节点中的一个或多个节点的状态变化。具体地,黑名单数据以节点数据的格式被发布到指定的资源树下,多个无状态的配额控制模块400可以同时订阅所有的资源节点,监控其下子节点的黑名单数据,由此可以及时获取更新的通知,保证黑名单数据的同步监控,实现黑名单数据的集中式管理和动态更新。在本发明的一个实施例中,当多个配额管理模块400主动修改多个资源的黑名单数据时,将修改按照多个节点的数据结构并根据资源树的路径发送到相应的多个节点。具体地,当配额管理模块400进行创建、更新、删除等写黑名单数据操作时,仅需发出写请求,不用关注本地的黑名单变化,而将此流程放在收到黑名单数据变更回调时统一处理,避免了因写服务器请求未成功提交造成的本地数据不同步状态。应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下 列技术中的任一项或他们的组合来实现具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。
权利要求
1.一种云环境中的黑名单同步方法,其特征在于,包括以下步骤 建立资源树,其中所述资源树具有多个节点,所述多个节点分别表示所述云环境中的多个资源; 将所述多个资源的黑名单数据按照所述多个节点的数据结构并根据所述资源树的路径发布到相应的所述多个节点; 监视所述多个节点的状态;以及 当所述多个节点中的一个或多个节点的状态发生变化时,使用所述一个或多个节点的状态来更新用于配额管理的黑名单。
2.根据权利要求I所述的方法,其特征在于,进一步包括步骤 订阅所述多个节点中的一个或多个节点的状态变化。
3.根据权利要求I所述的方法,其特征在于,进一步包括步骤 当所述配额管理主动修改所述多个资源的黑名单数据时,将所述修改按照所述多个节点的数据结构并根据所述资源树的路径发送到相应的所述多个节点。
4.根据权利要求I至3中任一项所述的方法,其特征在于,所述多个数据结构包括数据版本号、访问控制链的版本号以及时间戳。
5.根据权利要求I至3中任一项所述的方法,其特征在于,所述多个资源包括网页获取服务、消息队列服务、离线下载服务和数据块服务。
6.根据权利要求I至3中任一项所述的方法,其特征在于,所述黑名单数据包括多个周期的黑名单数据,所述多个周期包括分钟、月、年和永久。
7.根据权利要求I至3中任一项所述的方法,其特征在于,所述黑名单数据包括所述黑名单数据的创建时间、最近修改时间以及实效时间。
8.—种云环境中的黑名单同步装置,其特征在于,包括 资源树建立模块,所述资源树建立模块用于建立资源树,其中所述资源树具有多个节点,所述多个节点分别表示所述云环境中的多个资源; 发布模块,所述发布模块用于将所述多个资源的黑名单数据按照所述多个节点的数据结构并根据所述资源树的路径发布到相应的所述多个节点; 监视模块,所述监视模块用于监视所述多个节点的状态; 多个配额管理模块,所述多个配额管理模块用于分别管理所述多个资源的配额并具有所述多个资源的黑名单;以及 更新模块,所述更新模块用于当所述多个节点中的一个或多个节点的状态发生变化时,使用所述一个或多个节点的状态来更新用于所述配额管理模块中的黑名单。
9.根据权利要求8所述的装置,其特征在于, 所述配额管理模块向所述更新模块订阅所述多个节点中的一个或多个节点的状态变化。
10.根据权利要求8所述的装置,其特征在于, 当所述多个配额管理模块主动修改所述多个资源的黑名单数据时,将所述修改按照所述多个节点的数据结构并根据所述资源树的路径发送到相应的所述多个节点。
11.根据权利要求8至10中任一项所述的装置,其特征在于,所述多个数据结构包括数据版本号、访问控制链的版本号以及时间戳。
12.根据权利要求8至10中任一项所述的装置,其特征在于,所述多个资源包括网页获取服务、消息队列服务、离线下载服务和数据块服务。
13.根据权利要求8至10中任一项所述的装置,其特征在于,所述黑名单数据包括多个周期的黑名单数据,所述多个周期包括分钟、月、年和永久。
14.根据权利要求8至10中任一项所述的装置,其特征在于,所述黑名单数据包括所述黑名单数据的创建时间、最近修改时间以及实效时间。
全文摘要
本发明提出一种云环境中的黑名单同步方法和装置,其中所述方法包括以下步骤建立资源树,其中资源树具有多个节点,多个节点分别表示云环境中的多个资源;将多个资源的黑名单数据按照多个节点的数据结构并根据资源树的路径发布到相应的多个节点;监视多个节点的状态;以及当多个节点中的一个或多个节点的状态发生变化时,使用一个或多个节点的状态来更新用于配额管理的黑名单。根据本发明实施例的方法,可在面临巨大资源使用量增长、请求压力和恶意攻击行为日益增多的情况下,对外部保障强一致性的配额管理和封禁惩罚策略等,并有效防止攻击漏洞等隐患。
文档编号H04L29/06GK102916959SQ20121039363
公开日2013年2月6日 申请日期2012年10月16日 优先权日2012年10月16日
发明者叶青 申请人:百度在线网络技术(北京)有限公司