防止伪节点加入的方法、系统、服务器及计算机可读介质与流程

本发明涉及通信技术领域，尤其是涉及一种防止伪节点加入的方法、系统、服务器及计算机可读介质。

背景技术：

分布式复制块设备(distributedreplicatedblockdevice，drbd)为用户提供了一种实时同步数据的技术，drbd主次节点建立tcp连接后，主节点会实时将数据镜像到次节点，即主节点(主服务器)的数据实时同步到次节点(次服务器)，使主次节点的数据实时保持一致。然而drbd没有提供防止伪节点加入的有效机制。

目前，drbd主次节点断开tcp连接后，可以任意加入新的节点，即用一个新的次节点去和主节点连接。如果新的次节点伪装旧的次节点的配置，包括drbd配置文件，uuid(universallyuniqueidentifier，通用唯一识别码)，mac(mediaaccesscontroladdress，媒体访问控制地址)地址等，主节点将识别不出新的次节点和旧的次节点的区别。

假如网络中有恶意的攻击者将次节点的网络断开，自己伪装成新的次节点接入，并与主节点建立tcp连接。这样，主节点的数据就会同步到伪装的次节点上，导致数据被窃取，使得数据安全性得不到保障。

技术实现要素：

有鉴于此，本发明的目的在于提供防止伪节点加入的方法、系统、服务器及计算机可读介质，以缓解现有的主节点的数据容易被伪装的次节点窃取，使得数据安全性得不到保障的技术问题。

第一方面，本发明实施例提供了一种防止伪节点加入的方法，应用于分布式复制块设备drbd节点，所述drbd节点的主节点和次节点互为对等节点，所述方法包括：

接收对等节点发送的第一阈值；其中，所述对等节点中包含存储有所述第一阈值的阈值文件；

将所述第一阈值与自身存储的所述对等节点的第二阈值进行比较；

当比较结果满足设定条件时，与所述对等节点建立连接；其中，所述设定条件为所述第一阈值大于或等于所述第二阈值；

当所述比较结果不满足所述设定条件时，不与所述对等节点建立连接。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述方法还包括：

当所述第一阈值大于所述第二阈值，根据所述第一阈值对所述第二阈值进行更新。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述方法还包括：

当与所述对等节点进行连接时，判断是否存在自身阈值文件；

如果存在，则读取所述自身阈值文件中的自身阈值并进行更新；

如果不存在，则生成自身阈值；

将所述自身阈值发送给所述对等节点。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，将所述自身阈值发送给所述对等节点的步骤之前，还包括：

将所述自身阈值加密后写入所述自身阈值文件。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，所述方法还包括：

定时检查与所述对等节点的连接状态；

当为连接状态时，将自身阈值文件存储的自身阈值进行更新；

将更新后的自身阈值发送给所述对等节点，并写入所述自身阈值文件。

结合第一方面，本发明实施例提供了第一方面的第五种可能的实施方式，其中，将更新后的自身阈值写入所述自身阈值文件的步骤，包括：

将更新后的自身阈值加密后写入所述自身阈值文件。

第二方面，本发明实施例还提供一种防止伪节点加入的系统，应用于分布式复制块设备drbd节点，所述drbd节点的主节点和次节点互为对等节点，所述系统包括：

接收模块，用于接收对等节点发送的第一阈值；其中，所述对等节点中包含存储有所述第一阈值的阈值文件；

比较模块，用于将所述第一阈值与自身存储的所述对等节点的第二阈值进行比较；

第一执行模块，用于当比较结果满足设定条件时，与所述对等节点建立连接；其中，所述设定条件为所述第一阈值大于或等于所述第二阈值；

第二执行模块，用于当所述比较结果不满足所述设定条件时，不与所述对等节点建立连接。

结合第二方面，本发明实施例提供了第二方面的第一种可能的实施方式，其中，所述系统还包括：

更新模块，用于当所述第一阈值大于所述第二阈值时，根据所述第一阈值对所述第二阈值进行更新。

第三方面，本发明实施例还提供一种服务器，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如第一方面所述的方法的步骤。

第四方面，本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质，所述程序代码使所述处理器执行如第一方面所述的方法的步骤。

本发明实施例带来了以下有益效果：本发明提供了一种防止伪节点加入的方法、系统、服务器及计算机可读介质，涉及通信技术领域，应用于分布式复制块设备drbd节点，drbd节点包括互为对等节点的主节点和次节点，方法包括：接收对等节点发送的第一阈值；其中，对等节点中包含存储有第一阈值的阈值文件；将第一阈值与自身存储的对等节点的第二阈值进行比较；当比较结果满足设定条件时，允许对等节点加入，并与对等节点建立连接；当比较结果不满足设定条件时，不允许对等节点加入。本发明通过设置阈值的方式，可以防止伪节点的加入，避免主节点的数据被窃取，提高数据安全性。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的防止伪节点加入的方法的流程图；

图2为本发明实施例提供的阈值发送的流程图；

图3为本发明实施例提供的自动更新阈值的流程图；

图4为本发明实施例提供的防止伪节点加入的系统的示意图；

图5本发明实施例提供的服务器的示意图。

图标：10-接收模块；20-比较模块；30-第一执行模块；40-第二执行模块；1000-电子设备；500-处理器；501-存储器；502-总线；503-通信接口。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前，现有的主节点的数据容易被伪装的次节点窃取，使得数据安全性得不到保障。基于此，本发明实施例提供的一种防止伪节点加入的方法、系统、服务器及计算机可读介质，通过设置阈值的方式，可以防止伪节点的加入，避免主节点的数据被窃取，提高数据安全性。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种防止伪节点加入的方法进行详细介绍。

本实施例提供的一种防止伪节点加入的方法，应用于分布式复制块设备drbd节点，所述drbd节点的主节点和次节点互为对等节点，主节点指主服务器，次节点指次服务器，可以是本地之间或者异地之间的两台服务器，主节点的数据实时同步到次节点，使主次节点的数据实时保持一致。

在本发明实施例中，在主节点和次节点中均生成阈值文件，该阈值文件可以是隐藏文件，存放在指定的目录下，不容易被发现，提高数据安全性，阈值文件中存储自身阈值，优选地，在内存中存储对等节点的阈值，当然，对等节点的阈值也可以存储在阈值文件中。对等节点双方互相发送自身阈值，例如次节点将自身的阈值发送给主节点，主节点将次节点发送的阈值与内存中存储的次节点的阈值进行比较，判断是否满足第一设定条件，即次节点发送的阈值大于或等于内存中存储的次节点的阈值；同样地，主节点将自身的阈值发送给次节点，次节点将主节点发送的阈值与内存中存储的主节点的阈值进行比较，判断是否满足第二设定条件，即主节点发送的阈值大于或等于内存中存储的主节点的阈值。如果满足第一设定条件或第二设定条件，说明双方可以建立连接，否则不可以建立连接。

以次节点向主节点发送自身阈值为例，次节点随机生成自身阈值，并存储在阈值文件中，在与主节点初次建立tcp连接时，将自身阈值发送给主节点，主节点在与次节点建立连接后，存储次节点的阈值。当下一次连接时，次节点再次将自身阈值发送给主节点，此时，次节点可以直接将阈值发送给主节点，也可以将阈值更新后再发送给主节点，具体可以加1，当然，也可以加2或加其他值，在此不做限制。主节点判断接收到的次节点的阈值是否大于或等于内存中存储的次节点的阈值，如果是，同意与次节点建立连接，否则，拒绝与次节点建立连接。

另外，当次节点将自身阈值进行更新再发送给主节点时，主节点在接收到次节点发送的阈值并与次节点建立连接后，也会对内存中存储的次节点的阈值进行更新，从而与次节点发送的阈值保持一致。

同样地，主节点向次节点发送自身阈值的情况与上述过程类似，在此不再赘述。

如图1所示，本实施例提供的一种防止伪节点加入的方法包括以下步骤：

步骤s101，接收对等节点发送的第一阈值；其中，对等节点中包含存储有第一阈值的阈值文件；

具体地，对等节点可以是主节点，也可以是次节点，主节点和次节点互相发送自身阈值。当本步骤中的对等节点为次节点时，执行主体为主节点，主节点接收次节点发送的第一阈值；当本步骤中的对等节点为主节点时，执行主体为次节点，次节点接收主节点发送的第一阈值。

步骤s102，将第一阈值与自身存储的对等节点的第二阈值进行比较；

对等节点以次节点为例，第一阈值一般情况下是大于第二阈值的，因为次节点将自身阈值更新后再发送给主节点，例如将自身阈值加1或者加其他值。第一阈值等于第二阈值的情况是指，当主节点和次节点在连接过程中突然断开后，再次连接时，可以不更新阈值。

优选地，主节点自身存储的次节点的第二阈值是存储在内存中的，当然，也可以存储在阈值文件中。

步骤s103，当比较结果满足设定条件时，与对等节点建立连接；其中，设定条件为第一阈值大于或等于第二阈值；

步骤s104，当比较结果不满足设定条件时，不与对等节点建立连接。

本发明实施例在主节点和次节点连接过程中通过阈值进行连接验证，当主节点或次节点与其对等节点建立连接时，首先发送自身阈值进行验证，验证通过后才可以成功建立连接，由于伪节点无法通过阈值验证，因此，可以防止伪节点的加入，避免主节点的数据被窃取，提高数据安全性。

进一步地，假设执行主体为主节点，当第一阈值大于第二阈值时，根据第一阈值对第二阈值进行更新，从而使第二阈值与次节点发送的第一阈值保持一致，当次节点下一次与主节点建立连接时，以使次节点更新后的第一阈值与主节点内存中存储的第二阈值始终相差设定值。将主节点和次节点中的阈值不断进行更新，可以实现动态阈值验证，更加保证阈值验证的安全性。

本发明实施例中，作为执行主体的主节点或者次节点，在接收对等节点发送的阈值的同时，也向对等节点发送自身阈值。如图2所示，发送自身阈值的具体步骤如下：

当作为执行主体的主节点或者次节点与对等节点进行连接时，此时drbd启动，主节点或者次节点执行以下步骤：

步骤s201，判断是否存在自身阈值文件；如果存在，则执行步骤s202，否则执行步骤s203；

步骤s202，读取自身阈值文件中的自身阈值并进行更新，具体可以加某个值；

步骤s203，生成自身阈值；

步骤s204，将自身阈值加密后写入自身阈值文件；将自身阈值加密可以进一步加强数据安全性，防止阈值被窃取；

步骤s205，将自身阈值发送给对等节点。

进一步地，如图3所示，主节点或次节点在连接状态下，自动更新阈值，具体步骤包括：

步骤s301，定时检查与对等节点的连接状态；具体地，可以设置定时器，例如每间隔24小时检查一次；

步骤s302，当为连接状态时，将自身阈值文件存储的自身阈值进行更新，具体可以加某个值；

步骤s303，将更新后的自身阈值发送给对等节点，并写入自身阈值文件。

具体地，将更新后的第二阈值加密后写入自身阈值文件，使得阈值不易被窃取，提高数据安全性。

如图4所示，本发明实施例还提供了一种防止伪节点加入的系统，应用于分布式复制块设备drbd节点，drbd节点的主节点和次节点互为对等节点，系统包括：

接收模块10，用于接收对等节点发送的第一阈值；其中，对等节点中包含存储有第一阈值的阈值文件；

比较模块20，用于将第一阈值与自身存储的对等节点的第二阈值进行比较；

第一执行模块30，用于当比较结果满足设定条件时，与对等节点建立连接；其中，设定条件为第一阈值大于或等于第二阈值；

第二执行模块40，用于当比较结果不满足设定条件时，不与对等节点建立连接。

进一步地，系统还包括：

更新模块，用于当第一阈值大于所述第二阈值时，根据第一阈值对所述第二阈值进行更新。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本发明实施例提供的防止伪节点加入的系统，与上述实施例提供的防止伪节点加入的方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

本发明实施例提供了一种服务器，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现如上的防止伪节点加入的方法的步骤。

本发明实施例提供一种具有处理器可执行的非易失的程序代码的计算机可读介质，程序代码使处理器执行如上的防止伪节点加入的方法的步骤。

参见图5，本发明实施例提供的一种服务器1000，包括：处理器500，存储器501，总线502和通信接口503，处理器500、通信接口503和存储器501通过总线502连接；存储器501用于存储程序；处理器500用于通过总线502调用存储在存储器501中的程序，执行上述实施例的防止伪节点加入的方法的步骤。

其中，存储器501可能包含高速随机存取存储器(ram，randomaccessmemory)，也可能还包括非不稳定的存储器(non-volatilememory)，例如至少一个磁盘存储器。通过至少一个通信接口503(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

总线502可以是isa总线、pci总线或eisa总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器501用于存储程序，处理器500在接收到执行指令后，执行所述程序，前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器500中，或者由处理器500实现。

处理器500可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器500中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器500可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现成可编程门阵列(field-programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器501，处理器500读取存储器501中的信息，结合其硬件完成上述方法的步骤。

在本发明的描述中，需要说明的是，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本发明实施例所提供的进行防止伪节点加入的方法的计算机程序产品，包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。