安全数据同步方法及装置系统与流程

1.本发明涉及网络安全领域，具体而言，涉及一种安全数据同步方法及装置。


背景技术：

2.特征库是安全设备构建网络安全防护体系的一个重要组成部分，为了应对网络上每天出现的新增安全威胁，需要安全设备能够及时更新特征库。
3.目前，主流的特征库更新技术设计特征库服务器，特征库服务器通过一对多的方式向各网络设备下发特征库。这种方式必然要求服务器只能部署在公网环境，对于部署在内网的安全设备，可以通过代理服务器的方式升级特征库。但是当代理服务器无法与公网通讯或特征库服务器故障时，必然导致内网安全设备或外网安全设备的特征库长期无法更新，产生严重的安全隐患。


技术实现要素：

4.有鉴于此，本发明的目的在于提供一种安全数据同步方法及装置，其能够改善目前的特征库同步方法在代理服务器无法与公网通讯或特征库服务器故障时，导致内网安全设备或外网安全设备的特征库长期无法更新而产生严重安全隐患的问题。
5.为了实现上述目的，本发明实施方式采用的技术方案如下：
6.第一方面，本发明实施方式提供一种安全数据同步方法，应用于包括服务器和多个安全设备的系统，所述方法包括：
7.每个安全设备对所述服务器进行探测，并在探测失败的情况下，所述安全设备开启分布式升级功能，成为待同步设备；
8.属于同一个网络区域的所有所述待同步设备，在本网络区域内选举出一个待同步设备作为所述网络区域进行数据同步的临时服务器；其中，每个所述临时服务器对应一个网络区域；
9.每个所述临时服务器向所属网络区域的剩余待同步设备进行数据同步，以使剩余所述待同步设备的安全数据与所述临时服务器的安全数据一致。
10.进一步的，所述属于同一个网络区域的所有所述待同步设备，选举出一个待同步设备作为所述网络区域进行数据同步的临时服务器的步骤，包括：
11.针对每个网络区域的所有所述待同步设备，选择所属网络区域中具有最新的安全数据的待同步设备作为临时服务器；其中，所述临时服务器用于对所属网络区域的所有待同步设备进行数据同步。
12.进一步的，所述每个网络区域的所有所述待同步设备，选择所属网络区域中具有最新的安全数据的待同步设备作为临时服务器的步骤，包括：
13.任一待同步设备根据自身的安全数据的版本信息，向所属网络区域广播udp报文；
14.属于同一个网络区域的其它待同步设备接收到所述udp报文后，判断所述udp报文携带的版本信息是否高于自身的安全数据的版本信息；
15.若是，则所述其它待同步设备向所述任一待同步设备发送第一udp指定报文，以通知所述任一待同步设备在选举周期内继续广播udp报文；
16.若否，则所述其它待同步设备向所述任一待同步设备发送第二udp指定报文，以通知所述任一待同步设备不要广播udp报文；
17.属于同一个网络区域的所有待同步设备中，将在所述选举周期内广播udp报文到最后的待同步设备作为所属网络区域的临时服务器。
18.进一步的，所述系统还包括代理服务器，所述安全设备包括内网安全设备和公网安全设备，当所述安全设备为内网安全设备时，所述每个安全设备对所述服务器进行探测的步骤，包括：
19.内网安全设备解析所述服务器的域名，得到所述服务器的ip地址，根据所述ip地址生成ping包，并将所述ping包发送至代理服务器；
20.所述代理服务器接收到ping包后，以所述ip地址为目的地址，对所述ping包进行转发；
21.所述代理服务器在接收到所述ping包的回应包时，将所述回应包转发至所述内网安全设备，所述内网安全设备接收到所述回应包，确定对所述服务器探测成功；
22.在探测周期内，所述内网安全设备未接收到由所述代理服务器转发的所述ping包的回应包时，判定对所述服务器探测失败。
23.进一步的，所述安全设备包括内网安全设备和公网安全设备，当所述安全设备为公网安全设备时，所述每个安全设备对所述服务器进行探测的步骤，包括：
24.公网安全设备解析所述服务器的域名，得到所述服务器的ip地址，并以所述ip地址为目的地址，发出ping包；
25.在探测周期内，若所述公网安全设备接收到所述ping包的回应包，则判定对所述服务器探测成功；
26.在探测周期内，若所述公网安全设备未接收到所述ping包的回应包，则判定对所述服务器探测失败。
27.进一步的，所述每个所述临时服务器向对应的网络区域的剩余待同步设备进行数据同步的步骤，包括：
28.临时服务器基于自身的安全数据，生成同步报文，并将所述同步报文广播至所属网络区域的所有待同步设备；
29.属于同一个网络区域的任一待同步设备接收到所述同步报文后，根据所述同步报文的安全数据，对自身的安全数据进行更新。
30.进一步的，所述安全设备包括内网安全设备和公网安全设备，当所述安全设备为公网安全设备时，在所述每个安全设备对所述服务器进行探测的步骤之后，所述方法还包括：
31.在所述公网安全设备对所述服务器探测成功的情况下，所述公网安全设备向所述服务器发出同步请求；
32.所述服务器在接收到同步请求后，根据自身的安全数据，向所述公网安全设备发出同步报文；
33.所述公网安全设备接收到所述同步报文后，基于所述同步报文中的安全数据，进
行安全数据更新。
34.进一步的，所述安全设备包括内网安全设备和公网安全设备，当所述安全设备为内网安全设备时，所述系统还包括代理服务器，在所述每个安全设备对所述服务器进行探测的步骤之后，所述方法还包括：
35.所述内网安全设备在对所述服务器探测成功的情况下，通过所述代理服务器向所述服务器发出同步请求；
36.所述服务器在接收到同步请求后，根据自身的安全数据，向所述代理服务器发出同步报文；
37.所述公网安全设备接收到所述代理服务器转发的同步报文后，基于所述同步报文中的安全数据，进行安全数据更新。
38.第二方面，本发明实施方式提供一种安全数据同步装置，应用于包括服务器和多个安全设备的系统，所述装置包括探测模块、选举模块和同步模块；
39.所述探测模块，用于控制每个安全设备对所述服务器进行探测，并在探测失败的情况下，所述安全设备开启分布式升级功能，成为待同步设备；
40.所述选举模块，用于控制属于同一个网络区域的所有所述待同步设备中，在本网络区域内选举出一个待同步设备作为所述网络区域进行数据同步的临时服务器；其中，每个所述临时服务器对应一个网络区域；
41.所述同步模块，用于控制每个所述临时服务器向所属网络区域的剩余待同步设备进行数据同步，以使剩余所述待同步设备的安全数据与所述临时服务器的安全数据一致。
42.进一步的，所述选举模块，还用于每个网络区域的所有所述待同步设备，选择所属网络区域中具有最新的安全数据的待同步设备作为临时服务器；其中，所述临时服务器用于对所属网络区域的所有待同步设备进行数据同步。
43.本发明实施方式提供的安全数据同步方法及装置，包括服务器和多个安全设备的系统中的每个安全设备在对服务器探测失败的情况下，开启分布式升级功能，成为待同步设备，进而属于同一个网络区域的所有待同步设备，在本网络区域选举出临时服务器，每个临时服务器向所属网络区域的剩余待同步设备进行数据同步，以使剩余待同步设备的安全数据与临时服务器的安全数据一致，从而在内网或公网的安全设备无法与服务器进行通讯来同步升级时，用选举出的临时服务器进行安全数据同步，实现及时更新，极大地加强了数据同步(即更新升级)的可靠性，有效地改善了安全设备不能及时更新导致产生网络安全隐患的问题。
44.为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施方式，并配合所附附图，作详细说明如下。
附图说明
45.为了更清楚地说明本发明实施方式的技术方案，下面将对实施方式中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施方式，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
46.图1示出了本发明实施方式提供的安全数据同步系统的结构示意图。
47.图2示出了本发明实施方式提供的安全数据同步方法的流程示意图之。
[0048][0049]
图3示出了图2中步骤s11的部分子步骤的流程示意图之一。
[0050]
图4示出了图2中步骤s11的部分子步骤的流程示意图之二。
[0051]
图5示出了图2中步骤s13的部分子步骤的流程示意图。
[0052]
图6示出了本发明实施方式提供的安全数据同步装置的方框示意图。
[0053]
附图标记说明：1000-安全数据同步系统；10-服务器；20-安全设备；30-安全数据同步装置；301-探测模块；302-选举模块；303-同步模块。
具体实施方式
[0054]
下面将结合本发明实施方式中附图，对本发明实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式仅仅是本发明一部分实施方式，而不是全部的实施方式。通常在此处附图中描述和示出的本发明实施方式的组件可以以各种不同的配置来布置和设计。
[0055]
因此，以下对在附图中提供的本发明的实施方式的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施方式。基于本发明的实施方式，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施方式，都属于本发明保护的范围。
[0056]
需要说明的是，术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0057]
目前，网络安全的特征库更新技术通常采用以下方法：(一)公网设置独立的特征库服务器，特征库服务器以域名方式发布特征库更新，所有的安全设备通过定期请求域名的方式进行特征库升级；(二)为内网的安全设备设置内部代理服务器，内网的安全设备通过内部代理服务器代理的方式向特征服务器请求特征库升级。以上二种方式本质上都是传统的主流中心化服务器的设计方式，在特征库服务器故障、代理服务器故障或无法通信的情况下，部分内网或公网的安全设备无法更新，导致升级可靠性低，产生严重的网络安全隐患。并且，方法(二)设置代理服务器的方式增加了设备成本和运维成本，效率较低。
[0058]
基于上述考虑，本发明实施方式提供一种安全数据同步方法，其能够提高安全设备的升级可靠性，降低网络安全风险和安全隐患。
[0059]
本发明实施方式提供的安全数据同步方法，可以应用于如图1所示的安全数据同步系统1000中，安全数据同步系统1000可以包括服务器10和多个安全设备20，安全设备20包括内网安全设备20和公网安全设备20，同属于一个局域网的内网安全设备20均与同一个代理服务器通信连接，且该代理服务器可以通过网络与服务器10通信，每个公网安全设备20可以通过网络与服务器10通信。
[0060]
服务器10，用于获取新增特征库，并对旧特征库更新，得到并存储新特征库。其中，可以是网络安全人员将获取的新增特征库传入服务器10，服务器10将该新增特征库与旧特征库进行合并，得到新特征库。
[0061]
在本实施方式中，特征库记录有至少一种网络威胁行为或攻击行为的特征，特征库也可以称为安全数据。
[0062]
在代理服务器无故障且可以与服务器10通讯的情况下，内网安全设备20可以通过代理服务器代理的方式向服务器10请求安全数据升级。
[0063]
在公网安全设备20可以与服务器10通信时，公网安全设备20可以通过定期向服务器10请求的方式进行安全数据升级。
[0064]
在代理服务器、内网安全设备20和/或公网安全设备20无法与服务器10通讯时，可以采用本发明实施方式提供的安全书库同步方法，进行安全数据升级。
[0065]
在一种可能的实施方式中，提供了一种安全数据同步方法，参照图2，可以包括以下步骤。在本实施方式中，该安全数据同步方法可以应用于图1中的安全数据同步系统1000。
[0066]
s11，每个安全设备对服务器进行探测，并在探测失败的情况下，安全设备开启分布式升级功能，成为待同步设备。
[0067]
s13，属于同一个网络区域的所有待同步设备，在本网络区域内选举出一个待同步设备作为所述网络区域进行数据同步的临时服务器。
[0068]
应当理解的是，每个临时服务器对应一个网络区域。
[0069]
s15，每个临时服务器向所属网络区域的剩余待同步设备进行数据同步，以使剩余待同步设备的安全数据与临时服务器的安全数据一致。
[0070]
需要说明的是，属于同一个网络区域(即同一个局域网、城域网或广域网等)的所有待同步设备中，既可以有公网安全设备20(此时，这个公网安全设备20虽然是网络区域中的一个设备，但在服务器10未掉网或未故障的情况下，也可以通过网络与服务器10通信)，也可以有内网安全设备20(此时的内外安全设备20不能通过网络与服务器10通信)。
[0071]
每个安全设备20可以周期性对服务器10进行探测，探测周期的时长可以任意设定，例如，可以是一个小时，也可以是6个小时，还可以是12小时，或者其他时长。在本实施方式中，探测周期可以与每个安全设备20的升级请求周期相同，即升级周期相同，例如假设探测周期为t，t0为上一个探测时间，t1可以为上一次升级时刻，则t0+t为当前的探测时刻，t1+t为t1之后的升级时刻，并且t0早于t1。
[0072]
在一个探测周期内，若安全设备20若对服务器10探测成功，则按安全设备20的原安全数据同步方式(原升级方式)进行数据同步。
[0073]
在一个探测周期内，若安全设备20若对服务器10探测失败，则该安全设备20开启分布式升级功能，成为待同步设备，即待同步设备为开启分布式升级功能的安全设备20。
[0074]
在所有安全设备20对服务器10的探测结束后，从属于同一个网络区域(局域网、城域网或广域网等)的所有待同步设备中选举出一个临时服务器。例如，有三个局域网，分别为局域网1和局域网2，局域网1中有50个待同步设备(其中可以有能够连接公网的网络设备)，局域网2中有57个待同步设备，则从局域网1中的50个待同步设备中选举出临时服务器1，从局域网2中选举出临时服务器。
[0075]
进而使用临时服务器1对局域网1中的剩余待同步设备进行数据同步，使用临时服务器2对局域网2终端额剩余待同步设备进行数据同步，使局域网1中的剩余待同步设备的安全数据与临时服务器1的安全数据一致，使局域网2中的剩余待同步设备的安全数据与临时服务器2的安全数据一致。
[0076]
与传统的特征库同步方法相比，上述安全数据同步方法中，能够在服务器故障或掉网而使得内网或公网的安全设备无法与服务器进行通讯来进行特征库升级时，属于同一个网络区域的待同步设备中选举出临时服务器，对该网络区域的剩余待同步设备进行安全数据同步，实现及时更新，极大地加强了数据同步(即更新升级)的可靠性，有效地改善了安全设备不能及时更新导致产生网络安全隐患的问题。
[0077]
进一步的，安全设备对服务器进行探测的方式可以灵活设置，例如，可以使用tracert命令探测，也可以使用ping包探测，在本实施方式中，不作具体限定。
[0078]
在一种可能的实施方式中，每个安全设备可以周期性地向服务器发送ping包进行探测，若ping包探测到达服务器，则探测成功，表明安全设备可以和服务器通信，若ping包探测不能到达服务器10，则探测失败，表明服务器掉网、故障或无法通信。
[0079]
考虑到安全设备包括内网安全设备和公网安全设备，而内网安全设备不能直接与服务器通信，因此，当安全设备为内网安全设备，参照图3，在每个探测周期内，可以通过以下步骤来对服务器进行探测。
[0080]
s111a，内网安全设备解析服务器的域名，得到服务器的ip地址，根据ip地址生成ping包，并将ping包发送至代理服务器。
[0081]
s112a，代理服务器接收到ping包后，以ip地址为目的地址，对ping包进行转发。
[0082]
s113a，代理服务器在接收到ping包的回应包时，将回应包转发至所述内网安全设备，内网安全设备接收到回应包，确定对服务器探测成功。
[0083]
s114a，在探测周期内，内网安全设备未接收到由代理服务器转发的ping包的回应包时，判定对服务器探测失败。
[0084]
当安全设备为公网安全设备，参照图4，在每个探测周期内，可以通过以下步骤来对服务器进行探测。
[0085]
s111b，公网安全设备解析服务器的域名，得到服务器的ip地址，并以ip地址为目的地址，发出ping包。
[0086]
s112b，在探测周期内，若公网安全设备接收到ping包的回应包，则判定对服务器探测成功。
[0087]
s113b，在探测周期内，若公网安全设备未接收到ping包的回应包，则判定对服务器探测失败。
[0088]
通过上述步骤s111a至s114a以及步骤s111b至s1113b，安全设备能够探测自身与服务器的通信是否能够有故障，以快速确定自身是否需要开启分布式升级功能。
[0089]
对于步骤s13，考虑到安全设备的数据同步是为了将安全数据升级到最新版本，因此，为了使待同步设备的安全数据都升级到最新版本，以尽可能减小网络安全隐患，每个网络区域的所有待同步设备，可以选择所属网络区域中具有最新的安全数据的待同步设备作为临时服务器。临时服务器用于对所属网络区域的所有待同步设备进行数据同步。
[0090]
进一步的，为了不引入其他设备即可选举出临时服务器，以降低设备成本，参照图
5，步骤s13可以进一步实施为以下步骤。
[0091]
s131，任一待同步设备根据自身的安全数据的版本信息，向所属网络区域广播udp报文。
[0092]
在本实施方式中，udp报文中携带有待同步设备的安全数据的版本信息。
[0093]
s132，属于同一个网络区域的其它待同步设备接收到udp报文后，判断udp报文携带的版本信息是否高于自身的安全数据的版本信息。若是，则执行步骤s133，若否，则执行步骤s134。
[0094]
在本实施方式中，步骤s131的待同步设备和步骤s132中的其它待同步设备同属于一个网络区域(即局域网、城域网或广域网等)。以网络区域有待同步设备1、待同步设备2和待同步设备3为例，当待同步设备1广播udp报文时，待同步设备2和待同步设备3为其它待同步设备，会接收到待同步设备1广播的udp报文。
[0095]
s133，其它待同步设备向所述任一待同步设备发送第一udp指定报文，以通知所述任一待同步设备在选举周期内继续广播udp报文。
[0096]
s134，其它待同步设备向所述任一待同步设备发送第二udp指定报文，以通知所述任一待同步设备在选举周期内不要广播udp报文。
[0097]
s135，属于同一个网络区域的所有待同步设备，将在选举周期内广播udp报文到最后的待同步设备作为所属网络区域的临时服务器。
[0098]
应当理解的是，当最后一个还在不断发出udp报文的待同步设备接收不到其它待同步设备发送的udp报文时，该待同步设备即可确认自己为临时服务器。
[0099]
通过上述步骤s131至s134的反复执行，在该选举周期内，最后在网络区域内会只剩下唯一一个还在广播udp报告的待同步设备，该待同步设备为该网络区域内安全数据的版本最高的待同步设备，即在s135中，将该待同步设备作为临时服务器。且在选举临时服务器时，无需引入其他设备，能够极大地降低设备成本。
[0100]
临时服务器所在的网络区域即为临时服务器所属网络区域。
[0101]
对于步骤s15，临时服务器向所属网络区域的剩余待同步设备进行数据同步时，临时服务器可以基于自身的安全数据，生成同步报文，即同步报文中携带有临时服务器的安全数据，从而临时服务器可以将同步报文广播至所属网络区域的所有待同步设备。属于同一个网络区域的任一待同步设备接收到同步报文后，根据同步报文的安全数据，对自身的安全数据进行更新。
[0102]
在一种可能的实施方式中，安全数据同步系统可以不包括代理服务器，此时可设置至少一台可以与内网安全设备通过局域网进行通信的公网安全设备。此时，内网安全设备对服务器进行ping包探测时，必然是探测失败的，即都会启用分布式升级功能成为待同步设备。在此情况下，可以将同属于同一局域网且对服务器探测成功的公网安全设备作为临时服务器，并以该临时服务器对内网安全设备进行安全数据同步。
[0103]
在同属于同一局域网的所有公网安全设备均对服务器探测失败的情况下，可以采用步骤s13的方法选举出临时服务器，以该临时服务器对局域网内的所有安全设备进行数据同步。
[0104]
进一步，在步骤s11中，若安全设备对服务器探测成功，则可以按原有数据同步方式进行更新。
[0105]
当安全设备20是公网安全设备20时，在公网安全设备20对服务器10探测成功的情况下，公网安全设备20可以向服务器10发出同步请求，服务器10在接收到同步请求后，根据自身的安全数据，向公网安全设备20发出同步报文，公网安全设备20接收到同步报文后，基于同步报文中的安全数据，进行安全数据更新。
[0106]
当安全设备20是内网安全设备20时，在内网安全设备20对服务器10探测成功的情况下，内网安全设备20可以通过代理服务器向服务器10发出同步请求，服务器10在接收到同步请求后，根据自身的安全数据，向代理服务器发出同步报文，公网安全设备20接收到代理服务器转发的同步报文后，基于同步报文中的安全数据，进行安全数据更新。
[0107]
需要说明的是，上述在探测成功的情况下，内网安全设备20和公网安全设备20进行数据同步的方式仅仅是一种举例，不是唯一限定。
[0108]
上述安全数据同步方法中，安全设备通过ping包探测服务器是否可用，若可用，则按原有升级同步方法进行升级，若不可用，则启用分布式升级，启用分布式升级且属于同一个网络区域的安全设备通过选举的方式产生区域临时服务器，该服务器负责向该区域内启用分布式升级的安全设备同步安全数据。从而提供了中心化式的数据(特征库)更新方法，作为一种补充方式加强了特征库升级的可靠性，能够有效地改善安全设备特征库不能及时更新导致产生网络安全风险的问题。
[0109]
基于与上述安全数据同步方法相同的发明构思，在一种可能的实施方式中，还提供了一种安全数据同步装置30，该装置可以应用于图1中的安全数据同步系统1000。参照图6，安全数据同步装置30可以包括探测模块301、选举模块302和同步模块303。
[0110]
探测模块301，用于控制每个安全设备对服务器进行探测，在探测失败的情况下，开启安全设备的分布式升级功能，成为待同步设备。
[0111]
选举模块302，用于属于同一个网络区域的所有待同步设备，在本区域网络内选举出一个待同步设备作为所述网络区域进行数据同步的临时服务器。其中，每个临时服务器对应一个网络区域。
[0112]
同步模块303，用于控制每个临时服务器向所属网络区域的剩余待同步设备进行数据同步，以使剩余待同步设备的安全数据与临时服务器的安全数据一致。
[0113]
应当理解的是，安全数据同步装置30可以应用于安全数据同步系统1000的每一个安全设备20，可以应用于安全数据同步系统1000的控制器。
[0114]
上述安全数据同步装置30中，通过探测模块301、选举模块302和同步模块303的协同作用，能够在服务器故障或掉网而使得内网或公网的安全设备无法与服务器进行通讯来进行特征库升级时，通过从属于同一个网络区域的待同步设备中选举出临时服务器，对该局域网的剩余待同步设备进行安全数据同步，实现及时更新，极大地加强了数据同步(即更新升级)的可靠性，有效地改善了安全设备不能及时更新导致产生网络安全隐患的问题。
[0115]
关于安全数据同步装置30的具体限定可以参见上文中对于安全数据同步方法的限定，在此不再赘述。上述安全数据同步装置30中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于电子设备中的处理器中，也可以以软件形式存储于电子设备的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0116]
在本发明所提供的几个实施方式中，应该理解到，所揭露的装置和方法，也可以通
过其它的方式实现。以上所描述的装置实施方式仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施方式的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0117]
另外，在本发明各个实施方式中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
[0118]
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0119]
以上所述仅为本发明的优选实施方式而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：
1.一种安全数据同步方法，其特征在于，应用于包括服务器和多个安全设备的系统，所述方法包括：每个安全设备对所述服务器进行探测，并在探测失败的情况下，所述安全设备开启分布式升级功能，成为待同步设备；属于同一个网络区域的所有所述待同步设备，在本网络区域内选举出一个待同步设备作为所述网络区域进行数据同步的临时服务器；其中，每个所述临时服务器对应一个网络区域；每个所述临时服务器向所属网络区域的剩余待同步设备进行数据同步，以使剩余所述待同步设备的安全数据与所述临时服务器的安全数据一致。2.根据权利要求1所述的安全数据同步方法，其特征在于，所述属于同一个网络区域的所有所述待同步设备，选举出一个待同步设备作为所述网络区域进行数据同步的临时服务器的步骤，包括：每个网络区域的所有所述待同步设备，选择所属网络区域中具有最新的安全数据的待同步设备作为临时服务器；其中，所述临时服务器用于对所属网络区域的所有待同步设备进行数据同步。3.根据权利要求2所述的安全数据同步方法，其特征在于，所述每个网络区域的所有所述待同步设备，选择所属网络区域中具有最新的安全数据的待同步设备作为临时服务器的步骤，包括：任一待同步设备根据自身的安全数据的版本信息，向所属网络区域广播udp报文；属于同一个网络区域的其它待同步设备接收到所述udp报文后，判断所述udp报文携带的版本信息是否高于自身的安全数据的版本信息；若是，则所述其它待同步设备向所述任一待同步设备发送第一udp指定报文，以通知所述任一待同步设备在选举周期内继续广播udp报文；若否，则所述其它待同步设备向所述任一待同步设备发送第二udp指定报文，以通知所述任一待同步设备不要广播udp报文；属于同一个网络区域的所有待同步设备，将在所述选举周期内广播udp报文到最后的待同步设备作为所属网络区域的临时服务器。4.根据权利要求1所述的安全数据同步方法，其特征在于，所述系统还包括代理服务器，所述安全设备包括内网安全设备和公网安全设备，当所述安全设备为内网安全设备时，所述每个安全设备对所述服务器进行探测的步骤，包括：内网安全设备解析所述服务器的域名，得到所述服务器的ip地址，根据所述ip地址生成ping包，并将所述ping包发送至代理服务器；所述代理服务器接收到ping包后，以所述ip地址为目的地址，对所述ping包进行转发；所述代理服务器在接收到所述ping包的回应包时，将所述回应包转发至所述内网安全设备，所述内网安全设备接收到所述回应包，确定对所述服务器探测成功；在探测周期内，所述内网安全设备未接收到由所述代理服务器转发的所述ping包的回应包时，判定对所述服务器探测失败。5.根据权利要求1所述的安全数据同步方法，其特征在于，所述安全设备包括内网安全设备和公网安全设备，当所述安全设备为公网安全设备时，所述每个安全设备对所述服务
器进行探测的步骤，包括：公网安全设备解析所述服务器的域名，得到所述服务器的ip地址，并以所述ip地址为目的地址，发出ping包；在探测周期内，若所述公网安全设备接收到所述ping包的回应包，则判定对所述服务器探测成功；在探测周期内，若所述公网安全设备未接收到所述ping包的回应包，则判定对所述服务器探测失败。6.根据权利要求1至5中任一项所述的安全数据同步方法，其特征在于，所述每个所述临时服务器向对应的网络区域的剩余待同步设备进行数据同步的步骤，包括：临时服务器基于自身的安全数据，生成同步报文，并将所述同步报文广播至所属网络区域的所有待同步设备；属于同一个网络区域的任一待同步设备接收到所述同步报文后，根据所述同步报文的安全数据，对自身的安全数据进行更新。7.根据权利要求1至5中任一项所述的安全数据同步方法，其特征在于，所述安全设备包括内网安全设备和公网安全设备，当所述安全设备为公网安全设备时，在所述每个安全设备对所述服务器进行探测的步骤之后，所述方法还包括：在所述公网安全设备对所述服务器探测成功的情况下，所述公网安全设备向所述服务器发出同步请求；所述服务器在接收到同步请求后，根据自身的安全数据，向所述公网安全设备发出同步报文；所述公网安全设备接收到所述同步报文后，基于所述同步报文中的安全数据，进行安全数据更新。8.根据权利要求1至5中任一项所述的安全数据同步方法，其特征在于，所述安全设备包括内网安全设备和公网安全设备，当所述安全设备为内网安全设备时，所述系统还包括代理服务器，在所述每个安全设备对所述服务器进行探测的步骤之后，所述方法还包括：所述内网安全设备在对所述服务器探测成功的情况下，通过所述代理服务器向所述服务器发出同步请求；所述服务器在接收到同步请求后，根据自身的安全数据，向所述代理服务器发出同步报文；所述公网安全设备接收到所述代理服务器转发的同步报文后，基于所述同步报文中的安全数据，进行安全数据更新。9.一种安全数据同步装置，其特征在于，应用于包括服务器和多个安全设备的系统，所述装置包括探测模块、选举模块和同步模块；所述探测模块，用于控制每个安全设备对所述服务器进行探测，并在探测失败的情况下，所述安全设备开启分布式升级功能，成为待同步设备；所述选举模块，用于控制属于同一个网络区域的所有所述待同步设备，在本网络区域内选举出一个待同步设备作为所述网络区域进行数据同步的临时服务器；其中，每个所述临时服务器对应一个网络区域；所述同步模块，用于控制每个所述临时服务器向所属网络区域的剩余待同步设备进行
数据同步，以使剩余所述待同步设备的安全数据与所述临时服务器的安全数据一致。10.根据权利要求9所述的安全数据同步装置，其特征在于，所述选举模块，还用于控制每个网络区域的所有所述待同步设备，选择所属网络区域中具有最新的安全数据的待同步设备作为临时服务器；其中，所述临时服务器用于对所属网络区域的所有待同步设备进行数据同步。

技术总结
本发明实施方式提出一种安全数据同步方法及装置，属于网络安全领域，系统中的每个安全设备在对服务器探测失败的情况下，开启分布式升级功能成为待同步设备，进而属于同一个网络区域的所有待同步设备，在本网络区域选举出临时服务器，每个临时服务器向对应的网络区域的剩余待同步设备进行数据同步，以使剩余待同步设备的安全数据与临时服务器的安全数据一致，从而在内网或公网的安全设备无法与服务器进行通讯而同步升级时，用选举出的临时服务器进行安全数据同步，实现及时更新，极大地加强了数据同步(即更新升级)的可靠性，有效地改善了安全设备不能及时更新导致产生网络安全隐患的问题。患的问题。患的问题。


技术研发人员：郑俊
受保护的技术使用者：迈普通信技术股份有限公司
技术研发日：2023.07.19
技术公布日：2023/10/15