[发明专利]多部件同步控制方法

说明书

技术领域

本发明涉及计算机网络信息系统安全隔离与信息交换技术领域，尤其涉及多系统安全互联部件的多部件同步控制方法。

背景技术

安全隔离与信息交换技术，基本原理是：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。在现有安全隔离与信息交换技术中，内外网客户端与服务端通过安全互联部件进行数据交换。

安全互联部件为多系统架构，即与外网络连接的外端系统，与内网连接的内端系统，以及处理安全策略和控制信息的仲裁系统。如申请人2011-8-29申请的发明专利申请（申请号为：201110250370.7、201110250372.6、201110250375.X、201110250369.4、201110250349.7）。在多级互联会话的建立与中止过程中，多个互联会话同时建立或关闭时，对于多个互联部件间的协调和控制容易出现紊乱和意外终止。

发明内容

本发明的发明目的在于提供多部件同步控制方法，以实现多部件在进行安全隔离与信息交换处理时的高效率同步。

为了实现上述的目的，本发明是通过下述技术方案解决上述技术问题的：

多部件同步控制方法，该方法包括：

1）多部件会话同步：建立基于会话ID的控制机制，由仲裁部件根据各部件的会话状态分配会话资源；

2）多部件单个会话流量控制：针对单个会话，建立单会话流量匹配机制，确保两端单会话流量差异至于合理范围内；

3）多部件系统流量同步：针对系统的总流量，建立总流量匹配机制，确保两端总流量差异至于合理范围内。

在多级互联部件进行数据处理时：以L端客户端防问H端服务端为例。L端应用交换前置需接受客户端请求，将数据转发至安全互联部件的L端，L端互联部件将数据进行协议剥离，通过专用硬件和专用协议传输至互联仲裁部件。互联仲裁部件再将可信的数据通过专用硬件和专用协议传输至H端互联部件，由H端互联部件重新打包成TCP/IP数据包，发送至服务端。

本发明从会话的建立与关闭、单个会话的流量、系统流量同步三个方面进行控制，保证原有的会话不被后续新建会话接替或阻断，或多个会话新建、关闭时，保持各会话原有的属性。从而保障多级互联数据交换的高可靠性。

本发明带来的有益效果是，当多个组成部件进行大业务量数据处理工作时，极大减少系统资源的消耗，减少对并发业务处理的影响，保持数据交换的连续性。

具体实施方式

下面对本发明作进一步详细描述：

多部件同步控制方法，该方法包括：

1)多部件会话同步

在会话的建立与中止过程中，建立会话的过程为：当L/H数据前置受理了新的连接时，向三机互联部件的仲裁机申请会话，由三机互联部件的仲裁机统一分配会话ID。当L端数据前置识别到L端服务器关闭连接该会话时，需要通过内部消息通知H端数据前置关闭与服务器会话，而在此之前，必须等待H端数据前置需要发送的数据发送完毕，才关闭该连接，反之亦然。对于发起侧已经建立了会话，而另一侧会话建立不成功，必须通过内部消息通知发起侧关闭会话。对于因为违反仲裁规则而中止的会话，必须同时通知L数据前置和H数据前置，各自结束会话；

2）多部件单个会话流量控制

对于每一个会话，互联部件L端和H端的收发速度一般都存在不对称的现象，数据的传送与接收过程当中很可能出现收方来不及接收的情况,这时就需要对发方进行控制,以免数据丢失。具体方法为，当L前置发现某个会话待发送至L侧的发送列表超过最大值后，通过专用协议的应用信息包，通知H前置将该会话的接收暂停，直到L前置发送列表基本发完后通知H前置继续接收。同样的，当两端流量速度差异相反时，这种方法同样有效。这样的流量控制用于防止两侧网络速度不匹配可能导致的丢包。单个会话 流量控制可以有效的防止由于某个会话在短时间的大量数据对互联安全平台带来的冲击，保证该会话正常通信的情况下不影响其他会话，使系统能高效而稳定的运行；

3）多部件系统流量同步

除了对单个会话的流量控制，还需要对系统的流量总和做控制，否则当L/H前置待发总包数过大后，同样会因为缓冲资源耗尽而导致丢包。具体方法为，当L /H前置发现待发送至L/H侧的总的缓冲达到一定强度后，通过专用协议的应用信息包，通知另一侧前置将所有会话的接收暂停，直到L/H前置的缓冲强度减弱到一定程度后通知另一侧继续会话数据接收。

以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所作的均等变化与修饰，皆应属本发明专利的涵盖范围。