一种多通道协议的会话备份方法和装置与流程

本申请涉及计算机通信领域，特别是涉及一种多通道协议的会话备份方法和装置。

背景技术：

为了提高网络的可靠性，通常在网络的关键点部署两台或多台设备，这些设备之间互为备份。为了实现主设备宕机后，备用设备接替主设备的任务时，可以快速地恢复各项业务，备用设备根据主设备上的会话信息进行会话备份成了必要的手段。

在使用多通道会话的时候，需要首先在控制通道中对后续数据通道的地址和端口进行协商，然后根据协商结果创建多个数据通道连接。控制连接主要用于控制信息的传递，数据连接主要用于数据的传输。在数据传输的过程中，控制连接一直处于连接状态。如果针对控制连接的主会话在针对数据连接的从会话之前老化，会导致传输失败，因此，通常将主会话与从会话关联起来，在从会话老化前控制主会话不允许老化，以保证数据能够正常传输。

现有技术会产生的问题在于：会话备份时不能确定针对控制连接的主会话和针对数据连接的从会话，备份后主会话与从会话不能关联起来，可能会因为主会话在从会话之前老化而导致传输失败。

技术实现要素：

为解决上述技术问题，本申请提供了一种基于tcp/ip协议的交换机端口安全防护方法和装置，技术方案如下：

一种多通道协议的会话备份方法，所述方法应用于主设备与备设备组成的网络安全设备系统，所述网络安全设备系统的会话列表包括：预先建立的对应于所述多通道协议的控制连接的主会话、与所述主会话关联的对应于所述多通道协议的数据连接的从会话，所述方法包括：

主设备将主会话备份到备设备；

主设备检测基于控制连接协商出的对应于多通道协议的数据连接的会话特征，当所述会话特征产生时，将主会话的识别信息连同所述会话特征共同备份到备设备；

备设备接收到所述主会话的识别信息和所述会话特征后，根据主会话的识别信息查找到前述备份的主会话，将所述会话特征与主会话关联；

主设备将从会话备份到备设备，备设备基于主会话与会话特征之间的关联关系，将主会话与从会话进行关联。

一种多通道协议的会话备份方法，所述方法应用于主设备与备设备组成的网络安全设备系统，所述方法包括：

当监测到会话列表中的会话发生变化时，判断自身是否处于会话备份连接状态；

若自身处于会话备份连接状态，判断发生变化的会话是否已被批量备份；

若所述发生变化的会话已被批量备份，则使用前述的会话备份方法将所述发生变化的会话备份至备设备。

一种多通道协议的会话备份装置，所述装置应用于主设备与备设备组成的网络安全设备系统，所述网络安全设备系统的会话列表包括：预先建立的对应于所述多通道协议的控制连接的主会话、与所述主会话关联的对应于所述多通道协议的数据连接的从会话，所述装置包括：

第一备份模块：用于主设备将主会话备份到备设备；

第二备份模块：用于主设备检测基于控制连接协商出的对应于多通道协议的数据连接的会话特征，当所述会话特征产生时，将主会话的识别信息连同所述会话特征共同备份到备设备；

第一关联模块：用于备设备接收到所述主会话的识别信息和所述会话特征后，根据主会话的识别信息查找到前述备份的主会话，将所述会话特征与主会话关联；

第二关联模块：用于主设备将从会话备份到备设备，备设备基于主会话与会话特征之间的关联关系，将主会话与从会话进行关联。

一种多通道协议的会话备份装置，所述装置应用于主设备与备设备组成的网络安全设备系统，所述装置包括：

第一判断模块：用于监测到会话列表中的会话发生变化时，判断自身是否处于会话备份连接状态；

第二判断模块：用于当自身处于会话备份连接状态时，判断发生变化的会话是否已被批量备份；

第三备份模块：用于当所述发生变化的会话已被批量备份时，使用前述的会话备份装置将所述发生变化的会话备份至备设备。

本申请提出一种多通道协议的会话备份方法，先将主会话备份，当检测到基于控制连接协商出的对应于多通道协议的数据连接的会话特征产生时，将主会话的识别信息连同所述会话特征共同备份，备设备根据主会话的识别信息查找到前述备份的主会话，将所述会话特征与主会话关联。最后将从会话备份到备设备，并基于主会话与会话特征之间的关联关系，将主会话与从会话进行关联。

本申请能够在备份时将对应于的控制连接的主会话与对应于数据连接的从会话关联起来，使多通道业务会话的关联关系在备份前后保持一致，避免备份后，主会话在从会话之前老化而导致的传输失败。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本申请实施例多通道协议的会话备份方法的一种流程图；

图2为本申请实施例多通道协议的会话备份方法的另一种流程图；

图3为本申请实施例多通道协议的会话备份装置的一种示意图；

图4为本申请实施例多通道协议的会话备份装置的另一种示意图；

图5为本申请实施例多通道协议的会话批量备份顺序一种示意图。

具体实施方式

为了使本领域技术人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行详细地描述。

在网络通信中，对于多通道协议，例如ftp，rtsp和sip等协议，在传输数据时，一般可以建立两类连接，一类为控制连接，一类为数据连接，通信双方可以基于一条控制连接协商出多个端口和ip地址，供多条数据连接使用。控制连接主要用于控制信息的传递，控制连接能够协商出建立数据连接的端口信息等；数据连接用于数据传输。在数据传输过程中，控制连接一直处于连接状态。如果针对控制连接的主会话在针对数据连接的从会话之前老化，网络安全设备可能会将该从会话报文丢弃，造成通信双方之间的业务中断。

为了提高网络的可靠性，通常在网络的关键点部署两台或多台设备，将该些设备中的其中一台设备设置为主设备，其它设备则为备设备。为了实现主设备宕机后，备用设备接替主设备的任务时，可以快速地恢复各项业务，主设备可以将会话信息发送至备设备，由备设备进行会话备份。

现有技术中，可以将网络安全设备中针对控制连接的主会话和针对数据连接的从会话关联起来，从而控制主会话不会在从会话之前老化。但现有技术在会话备份时只能备份会话本身，不会将关联关系备份过去。因此备份后的会话很可能再次出现老化时间不统一的问题。

针对这个问题，本申请提供了一种多通道协议的会话备份方法，能够在会话备份时将对应于的控制连接的主会话与对应于数据连接的从会话关联起来，使多通道业务会话的关联关系在备份前后保持一致，避免备份后，主会话在从会话之前老化而导致的传输失败。

参见附图1，附图1为本申请实施例多通道协议的会话备份方法的一种流程图。如附图1所示，该流程可包括以下步骤：

步骤s101，主设备将主会话备份到备设备；

通信技术中的会话记录了传输层报文之间的交互信息，包括源ip地址、源端口、目的ip地址、目的端口，协议类型和源/目的ip地址所属的vpn实例。交互信息相同的报文属于一条流，通常情况下，一个会话对应正反两条流，一条流对应一个方向上的一个会话。

主会话，是指基于多通道协议的控制连接的会话特征在网络安全设备中建立的会话，其中包含了控制连接的相关信息，如控制连接的通信双方的ip地址，端口号等，以及网络安全设备中存储该控制连接的地址信息等。

从先后顺序上来说，网络安全设备先基于控制连接建立主会话，然后控制连接协商出供数据连接使用的会话特征，再基于会话特征建立数据连接。可以看出，主会话被建立且备份时，后续的会话特征和从会话还没有建立。主会话和从会话在主设备中的关联关系也还没有产生。此时能够备份的只有主会话自己。

在需要批量备份的前提下，本步骤除了需要将主会话备份到备设备，还需要将对应于非多通道协议的连接的会话备份到备设备。备份顺序参考附图5。

通常情况下，批量备份是按照id标识从小到大的顺序，对会话表中的会话信息进行备份的，本实施例在进行批量备份时，将备份进程分为两个分支。分支一：按照id标识顺序依次备份主会话与应于非多通道协议的连接的会话，当遇到从会话时，跳过不备份；分支一：按照id标识顺序依次备份从会话，当遇到主会话与应于非多通道协议的连接的会话时，跳过不备份。

步骤s102，主设备持续进行检测，直到基于控制连接协商出的对应于多通道协议的数据连接的会话特征产生；

对应于多通道协议的数据连接的会话特征指的是：由控制连接协商出来的，用来建立数据连接的会话特征。数据连接的会话特征就是对应于所述多通道协议的数据连接的从会话的特征，其中包含了从会话的ip地址和端口号信息等。可以理解的是：获取会话特征后，就能够基于会话特征中的信息查找到对应于这个会话特征的从会话。

在实际应用中，会话特征通常为alg表项。

alg(applicationlevelgateway，应用层网关)主要用于完成对应用层报文的处理。针对某些多通道协议，需要由数据连接和控制连接共同完成，数据连接的建立动态地由控制连接中的载荷字段信息决定，alg负责完成载荷字段信息的转换，以保证后续数据连接的正确建立。连接的建立过程为：控制连接—alg—数据连接。

步骤s103，主设备将会话特征和主会话的识别信息备份到备设备；

在本实施例中，主设备将主会话的识别信息与对应于数据连接的会话特征打包发送到备设备。主会话的识别信息可以理解为主会话的特有信息，这些特有信息可以用于查找对应的主会话。

在实际应用中，通常使用五元组信息作为主会话的识别信息。

步骤s104，备设备根据主会话的识别信息查找到前述备份的主会话，将会话特征与主会话关联；

步骤s105，主设备将从会话备份到备设备；

步骤s106，备设备基于主会话与会话特征之间的关联关系，将主会话与从会话进行关联。

会话特征包含了从会话的ip地址和端口号信息等，备设备可以根据这些信息查找的对应的从会话，且前述已经将会话特征与主会话关联，因此，这一步可以基于会话特征将主会话和从会话关联起来。

参见附图2，附图2为本申请实施例多通道协议的会话备份方法的另一种流程图。如附图2所示，该流程可包括以下步骤：

步骤s201，当监测到会话列表中的会话发生变化时，判断自身是否处于会话备份连接状态，如果不处于会话备份连接状态，则不作处理，如果处于会话备份连接状态，执行步骤s202；

主设备上可以设置有监控进程，该监控进程用于监测会话表中的会话信息是否发生变化。这里所说的“会话信息发生变化”，可以包括会话信息发生更新，新增会话信息等。

步骤s202，判断发生变化的会话是否已被批量备份，如果已经被批量备份，执行步骤s203，如果还没有被批量备份，执行步骤s204；

步骤s203，将发生变化的会话备份至备设备；

其中，将发生变化的会话备份至备设备时，需要使用前述的备份方法，也就是附图1所示出的备份方法进行备份，以使会话备份至备设备后仍能维持原本的关联关系。

步骤s204，等待批量备份进程对所述发生变化的会话进行批量备份。

在步骤s202至步骤s204中，可以判断发生变化的会话是否已被批量备份，具体地，主设备可以获取到当前批量备份所备份到的会话在内存中的id标识，并且，通常情况下，批量备份是按照id标识从小到大的顺序，对会话表中的会话信息进行备份的，则可以根据发生变化的会话的id标识，判断得出该发生变化的会话信息是否已被批量备份。

其中，备份进程对所述发生变化的会话进行批量备份时，需要使用前述的备份方法，也就是附图1所示出的备份方法进行备份，以使会话备份至备设备后仍能维持原本的关联关系。

参见附图3，附图3为本申请实施例多通道协议的会话备份装置的一种示意图。如附图3所示，该装置包括：第一备份模块310，第二备份模块320，第一关联模块330，第二关联模块340。

第一备份模块310：用于主设备将主会话备份到备设备；

第二备份模块320：用于主设备检测基于控制连接协商出的对应于多通道协议的数据连接的会话特征，当所述会话特征产生时，将主会话的识别信息连同所述会话特征共同备份到备设备；

第一关联模块330：用于备设备接收到所述主会话的识别信息和所述会话特征后，根据主会话的识别信息查找到前述备份的主会话，将所述会话特征与主会话关联；

第二关联模块340：用于主设备将从会话备份到备设备，备设备基于主会话与会话特征之间的关联关系，将主会话与从会话进行关联。

进一步地，第一备份模块310具体用于：将主会话和对应于非多通道协议的连接的会话备份到备设备。

进一步地，第一关联模块330中，基于控制连接协商出的对应于多通道协议的数据连接的会话特征为基于控制连接协商出的对应于多通道协议的数据连接的alg表项。

参见附图4，附图4为本申请实施例多通道协议的会话备份装置的一种示意图。如附图4所示，该装置包括：第一判断模块410，第二判断模块420，第三备份模块430。

第一判断模块410：用于监测到会话列表中的会话发生变化时，判断自身是否处于会话备份连接状态；

第二判断模块420：用于当自身处于会话备份连接状态时，判断发生变化的会话是否已被批量备份；

第三备份模块430：用于当所述发生变化的会话已被批量备份时，将所述发生变化的会话备份至备设备。

其中，将所述发生变化的会话备份至备设备使用了附图3所述的装置，以使会话备份至备设备后仍能维持原本的关联关系。

进一步地，所述会话备份装置具体还用于:若所述发生变化的会话未被批量备份，则等待批量备份进程对所述发生变化的会话进行批量备份。其中，批量备份进程使用附图3所述的装置对所述发生变化的会话进行批量备份，以使会话备份至备设备后仍能维持原本的关联关系。

本申请中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。