[发明专利]一种主动防御网关访客标识生成方法与系统

说明书

本发明公开了一种主动防御网关访客标识生成方法与系统。本发明将集群中的各网关节点中访客标识的起点设置为网关节点本身的编号；网关节点的编号占用的二进制位数B=ceil(log₂(N+1))，其中N为预计的集群中的网关节点数，各网关节点的编号不同；在每个网关节点上开辟共享内存保存本节点上最新的访客标识，多个工作进程通过原子自增操作以2^B为增长步长生成访客标识，并更新共享内存中的访客标识。与现有技术相比，本发明生成的访客标识简短，便于人眼识别、口头阅读以及从键盘逐个输入；并且不受网关节点时钟调整的影响，不需要中心化管理，生成的访客标识中节点编号长度可变，可以进一步支持扩容。

技术领域

本发明涉及一种主动防御网关访客标识生成方法与系统，属于网络安全技术领域。

背景技术

主动防御网关是用于保护Web站点的一种安全网关。它部署在用户与Web站点之间、靠近站点的位置，支持HTTP和HTTPS协议。主动防御网关在收到用户侧发来的HTTP请求之后，通过下发Cookie、收集设备信息等方式精确定位每一个访客。在网关内部，会为访客生成一个访客标识；访客标识是访客的代号，在整个网关内具有唯一性，被用在存储访客基础信息、存储访问日志、针对访客的访问控制等场合。

访客标识的生成方案，与主动防御网关的部署方式有关。主动防御网关按照站点业务规模的大小，其部署方式可分为单机部署和集群部署。图1为集群部署示意图，其中负载均衡设备按照一定的规则（例如用源IP或者访客标识映射到主动防御网关的各节点），将HTTP请求分发到各节点。每一个节点是独立的，具备完整的网关功能。在收到HTTP请求后，进行访客识别、访问控制等操作，然后转发到后端的Web站点。在集群部署的环境中，访客标识的生成是一个分布式问题。常规的分布式系统的ID生成方法各有优缺点。

对于集群部署的主动防御网关来说，访客标识要满足以下特点：1、全局唯一性；2、高效生成，应对高并发场景；3、允许负载均衡设备解析以便根据访客标识调度；4、尽可能短，以便在网关的管理平台上展示。

雪花算法是主动防御网关访客标识生成算法的首选。它将64位的LONG型变量按照二进制位分成若干段，分别是节点编号、时间、序号组成一个ID，例如36163632623390851。但雪花算法在主动防御网关中仍然存在一些问题：1、生成的ID太长，且过于随机，不便于阅读和显示。2、容易受网关节点时钟调整的影响，需要额外的手段保证它的稳定运行。3、节点编号位数固定，无法扩容。

发明内容

发明目的：针对上述现有技术存在的问题，本发明目的在于提供一种主动防御网关访客标识生成方法与系统，生成的访客标识简短、便于识别，能够适用于高并发场景，且运行稳定。

技术方案：为实现上述发明目的，本发明采用如下技术方案：

一种主动防御网关访客标识生成方法，包括如下步骤：

集群中的各网关节点设置访客标识的起点为网关节点本身的编号；网关节点的编号占用的二进制位数B=ceil(log₂(N+1))，其中N为预计的集群中的网关节点数，ceil为向上取整函数，各网关节点的编号不同；

在每个网关节点上开辟共享内存保存本节点上最新的访客标识，多个工作进程通过原子自增操作以2^B为增长步长生成访客标识，并更新共享内存中的访客标识；所生成的访客标识最低B个二进制位对应的数值为网关节点的编号。

作为优选，通过运行定时任务，定期将共享内存中的最新的访客标识保存到磁盘上；在网关节点重启后，从磁盘读取保存的最新访客标识，并检查最新访客标识是否存在，如果存在则按照增长步长修改最新访客标识，再重复检查，直到找到第一个未被使用的访客标识，将其上一个数值作为修正后的最新访客标识保存到共享内存中。

作为优选，所述预计的集群中的网关节点数大于或等于实际运行的网关节点数。