CN102184234A - 用于查询、增加、更新或删除信息处理规则的方法和设备 - Google Patents

用于查询、增加、更新或删除信息处理规则的方法和设备 Download PDF

Info

Publication number
CN102184234A
CN102184234A CN201110124520XA CN201110124520A CN102184234A CN 102184234 A CN102184234 A CN 102184234A CN 201110124520X A CN201110124520X A CN 201110124520XA CN 201110124520 A CN201110124520 A CN 201110124520A CN 102184234 A CN102184234 A CN 102184234A
Authority
CN
China
Prior art keywords
information
rule
address
match
index
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201110124520XA
Other languages
English (en)
Other versions
CN102184234B (zh
Inventor
蒋浩
刘宁
刘涛
张�诚
傅江
吴教仁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN201110124520.XA priority Critical patent/CN102184234B/zh
Publication of CN102184234A publication Critical patent/CN102184234A/zh
Application granted granted Critical
Publication of CN102184234B publication Critical patent/CN102184234B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明的目的在于提供一种网络设备实现的用于查询信息处理规则的方案,该方案包括:由待处理的网络传输信息中获取至少一个识别信息;根据所获取的所述至少一个识别信息中的每个识别信息来执行以下步骤:对识别信息进行数字签名处理,以获得该识别信息的一个或多个查询索引信息;在与该一个或多个查询索引信息相关的索引规则库中进行查询,以获得包含于所述索引规则库中且与所述网络传输信息匹配的信息处理规则。并且,本发明的方案还包括网络设备实现的用于增加、删除与更新规则的方案,根据本发明的方案,能够极大提高查询、增加、删除与更新规则的效率。

Description

用于查询、增加、更新或删除信息处理规则的方法和设备
技术领域
本发明涉及网络技术领域,尤其涉及一种用于查询、增加、更新或删除信息处理规则的方法和设备。
背景技术
许多网络环境中需要根据相应的信息处理规则来对于网络传输信息进行处理。现有技术中,网络设备通常采用以下方式来实现对信息处理规则的增删和查询:
1)采用硬件方式实现。该方式通过将信息处理规则放入TCAM(三态内容寻址存储器)中来实现对于信息处理规则的配置和查询。
2)采用软件方式实现。该方式将信息处理规则放入内存中,采用复杂的算法来组织信息处理规则。
然而,采用以上方法在对信息处理规则进行配置和更新时往往非常复杂,尤其是当信息处理规则数量较大,例如,达到几十万条级别的时候,对于信息处理规则的增删操作效率非常低,并且采用硬件实现的方式还会产生较高的成本。
因此如何以较低的成本,来实现高效的增删和查询信息处理规则,成为当前网络设备需要解决的一个问题。
发明内容
本发明的目的是提供一种用于查询、增加、更新或删除信息处理规则的方法和设备。
根据本发明的一个方面,提供一种网络设备实现的用于查询信息处理规则的方法,其中,该方法包括以下步骤:
a由待处理的网络传输信息中获取至少一个识别信息;
其中,根据所获取的所述至少一个识别信息中的每个识别信息来执行以下步骤:
i1对识别信息进行数字签名处理,以获得该识别信息的一个或多个查询索引信息;
i2在与该一个或多个查询索引信息相关的索引规则库中进行查询,以获得包含于所述索引规则库中且与所述网络传输信息匹配的信息处理规则。
根据本发明的一个方面,还提供一种网络设备实现的用于增加、更新或删除信息处理规则的方法,其中,该方法还包括以下步骤:
x由待处理的规则更新信息中获取至少一个匹配信息;
y对所获取的至少一个匹配信息中的至少一者进行数字签名处理来获得一个或多个查询索引信息;
z根据由所述待处理的规则更新信息中获取的规则处理指令,来在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规则。
根据本发明的另一个方面,提供了一种用于查询信息处理规则的规则查询装置,其中,该规则查询装置包括:
第一获取装置,用于由待处理的网络传输信息中获取至少一个识别信息;
其中,该规则查询装置还包括第一索引获取装置以及第一查询装置,该第一索引获取装置以及第一查询装置根据所获取的所述至少一个识别信息中的每个识别信息来执行操作,其中:所述第一索引获取装置用于对所获取的所述至少一个识别信息中的每个识别信息来进行数字签名处理,以获得该识别信息的一个或多个查询索引信息;第一查询装置,用于在与该一个或多个查询索引信息相关的索引规则库中进行查询,以获得包含于所述索引规则库中且与所述网络传输信息匹配的信息处理规则。
根据本发明的另一个方面,还提供了一种用于增加、更新或删除信息处理规则的规则配置装置,其中,该规则配置装置包括:
第二获取装置,用于由待处理的规则更新信息中获取至少一个类型的匹配信息;
第二索引获取装置,用于对所获取的至少一个类型的匹配信息中的至少一者进行数字签名处理来获得一个或多个查询索引信息;
第一规则处理装置,用于根据由所述待处理的规则更新信息中获取的规则处理指令,来在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规则。
与现有技术相比,本发明具有以下优点:1)通过获得查询索引信息,并查询与所获得的查询索引信息相关的索引规则库,能够直接确定可能与网络传输信息匹配的规则所存储的范围,由于索引规则库中的信息处理规则数量通常远远小于规则查询装置所包含的全部规则的数量,因此能够极大提高查询信息处理规则的效率;2)对包含IP地址的地址类型识别信息进行专门处理,由于所述专门处理只需进行有限次,因此可大大降低查询网络传输信息所对应的信息处理规则的复杂度,提高了查询效率;3)采用相似的方式对信息处理规则进行增加、更新与删除,降低了配置信息处理规则的复杂度,并能够大大降低在海量规则下的规则配置消耗,提高了在网络设备中配置信息处理规则的效率;4)通过将匹配信息分为能够进行数字签名处理和不能够进行数字签名处理两大类型,来更加优化对于信息处理规则的组织,简化了无需进行数字签名处理的信息处理规则的增加、删除和更新方式,进一步提高了信息处理规则的配置效率;
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明一个方面的网络设备实现的用于查询信息处理规则的方法流程图;
图2为本发明一个优选实施例的用于查询信息处理规则的方法流程图;
图3为本发明一个方面的网络设备实现的用于增加、更新或删除信息处理规则的方法流程图;
图4为本发明一个优选实施例的用于增加、更新或删除信息处理规则的方法流程图;
图5为本发明一个方面的网络设备实现的用于查询信息处理规则的规则查询装置的结构示意图;
图6为本发明一个优选实施例的用于查询信息处理规则的规则查询装置的结构示意图;
图7为本发明一个方面的网络设备实现的用于增加、更新或删除信息处理规则的规则配置装置的结构示意图;
图8为本发明一个优选实施例的用于增加、更新或删除信息处理规则的规则配置装置的结构示意图;
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本发明作进一步详细描述。
图1示意出了本发明一个方面的网络设备实现的用于查询信息处理规则的方法流程图。其中,根据本发明的方法可通过网络设备中的诸如操作系统或处理控制器等装置来完成,为简明起见,以下将所述网络设备中实现本发明查询信息处理规则的方法的装置称为规则查询装置。其中,该网络设备包括但不限于计算机、网络服务器、路由器、交换机等设备。其中,所述网络设备所在的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。
在步骤S11中,规则查询装置由待处理的网络传输信息中获取至少一个的识别信息。其中,所述网络传输信息包括但不限于:1)报文;2)数据包;3)数据帧等。所述网络传输信息中包括多个识别信息,该等识别信息能够用于识别该网络传输信息。例如,报文的报头信息中包含的信息,数据包的包头信息中包含的信息,数据帧的帧头信息中包含的信息等。
具体地,规则查询装置由待处理的网络传输信息包含的所述多个识别信息中获取所述至少一个识别信息。其中,所述由待处理的网络传输信息中获取至少一个识别信息的方式包括但不限于:
1)规则查询装置获取所述网络传输信息中预定范围的信息以获得至少一个识别信息;
例如,预定规则查询装置获取IP报文中报头第9至第16比特位的信息以获得一个识别信息;又例如,预定规则查询装置获取以太网数据包中包头第7至第12比特位的信息以获得一个识别信息。
2)规则查询装置解析网络传输信息中预定字段的信息,并根据解析结果从所述网络传输信息中获取至少一个识别信息。
例如,规则查询装置解析IP报文中报头的前四个比特位的信息以确定所述IP报文的版本,当根据所述前四个比特位的信息确定版本为IPv4时,进一步获取该IP报文报头中第97比特位至128比特位来获得一个识别信息;当根据所述前四个比特位的信息确定版本为IPv6时,进一步获取该IP报文报头中第65比特位至192比特位来获得一个识别信息。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何由待处理的网络传输信息中获取至少一个类型的识别信息的实现方式,均应包含在本发明的范围内。
优选地,所述至少一个识别信息包括以下至少一种类型的识别信息:1)地址类识别信息,例如,IP地址,Mac地址,VLAN ID等;2)协议类识别信息,例如,IP报文报头中的协议字段、ARP数据包报头中的协议类型字段等;3)服务类识别信息,例如,IP报文报头中的TOS字段等。
规则查询装置根据所获取的所述至少一个识别信息中的每个识别信息分别执行下述步骤S12和步骤S13,以获得一个或多个与所述网络传输信息匹配的信息处理规则。
在步骤S12中,规则查询装置对该识别信息进行数字签名处理,以获得该识别信息的一个或多个查询索引信息。其中,所述查询索引信息包括对识别信息进行数字签名处理所获得的处理结果。其中,所述数字签名处理包括所有对于固定地输入能产生固定地输出的处理,例如,哈希处理,DSA加密处理、RSA加密处理等。
例如,规则查询装置对于在步骤S11中获得的一个包含TOS字段的服务类识别信息Server1采用哈希函数hash_1进行数字签名处理,获得数字处理结果“Sind1”,并将该数字处理结果“Sind1”作为该包含TOS字段的服务类识别信息Server1的查询索引信息。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何对识别信息进行数字签名处理,以获得该识别信息的一个或多个查询索引信息的实现方式,均应包含在本发明的范围内。
接着,在步骤S13中,规则查询装置在与该一个或多个查询索引信息相关的索引规则库中进行查询,以获得包含于所述索引规则库中且与所述网络传输信息匹配的信息处理规则。
优选地,根据本发明的方案包括总规则库,该总规则库包含多个索引规则库,且该总规则库中的每个索引规则库包括一个或多个信息处理规则,且每个索引规则库根据预置的对应关系与一个或多个查询索引信息相关。更优选地,该总规则库存储于所述规则配置装置,或者,该规则配置装置能够访问的装置或设备中。
具体地,规则查询装置根据预定的查询索引信息与索引规则库的对应关系,确定分别与该一个或多个查询索引信息相关的各个索引规则库,并根据该识别信息在所述各个索引规则库中进行查询,以获得与所述网络传输信息匹配的信息处理规则。
例如,预置的对应关系中包括包含“Sind1”的查询索引信息与索引规则库Add[Ind1]相关的信息。则规则查询装置根据预置的对应关系,确定与在步骤S12中所获得的包含数字处理结果“Sind1”的查询索引信息相关的索引规则库为Add[Sind1],以在所述索引规则库Add[Ind1]中进行查询,并由Add[Ind1]中获得与所述网络传输信息匹配的信息处理规则R1。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何在与该一个或多个查询索引信息相关的索引规则库中进行查询,以获得包含于所述索引规则库中且与所述网络传输信息匹配的信息处理规则的实现方式,均应包含在本发明的范围内。
作为本实施例的优选方案之一,其中,所述步骤S12进一步包括步骤S121(图未示)和步骤S122(图未示)。
在步骤S121中,规则查询装置对该识别信息进行所述数字签名处理来获得数字处理结果。
在步骤S122中,规则查询装置根据所述数字处理结果,并结合预获取的该识别信息对应的字段类型,来确定该识别信息的一个或多个查询索引信息。
其中,所述字段类型表示识别信息所标识的内容类别,例如,IP报文的识别信息的字段类别包括IHL、TTL、TOS、Destination IP、Source IP等;又例如,以太网数据包的识别信息的字段类别包括Destination MAC、Source MAC等。
例如,如前述步骤S12中的举例,规则查询装置在步骤S 11中获得一个包含TOS字段的服务类识别信息Server1,并在步骤S121中对该服务类识别信息Server1采用哈希函数hash_1进行数字签名处理来获得数字处理结果“Sind1”;接着,规则查询装置根据预获取的服务类识别信息Server1的字段类别“Type of Service”,确定服务类识别信息Server1对应的查询索引信息包括数字处理结果“Sind1”和字段类别“Type of Service”。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何根据所述数字处理结果,并结合预获取的该识别信息对应的字段类型,来确定该识别信息的一个或多个查询索引信息的实现方式,均应包含在本发明的范围内。
作为本实施例的优选方案之一,其中,根据本实施例的方法还包括步骤S14(图未示),所述总规则库还包括单列规则库,该单列规则库中的任意规则均与任何查询索引信息无关。
在步骤S14中,规则处理装置在包含与任何查询索引信息均无关的多个信息处理规则的单列规则库中进行查询,以获得与所述网络传输信息匹配的信息处理规则。
具体地,规则处理装置在所述单列规则库中进行查询,以获得所述单列规则库中与该识别信息所属网络传输信息相匹配的信息处理规则。
需要说明的是,所述步骤S14与所述步骤S11至步骤S13并无先后顺序。
作为本实施例的优选方案之一,其中,根据本实施例的方法还包括步骤S15(图未示)。
在步骤S15中,当所获得的与所述网络传输信息匹配的信息处理规则为多个时,规则查询装置根据预定的规则优先级,由所获得的所有与所述网络传输信息匹配的信息处理规则中选择一个信息处理规则。
例如,规则查询装置在步骤S11中获得两个识别信息Server1和M1;接着,规则查询装置根据识别信息Server1执行步骤S12和步骤S13,获得与其所属网络传输信息匹配的信息处理规则R1,并根据识别信息M1执行步骤S12和步骤S13,获得与其所属网络传输信息匹配的信息处理规则R2;则规则查询装置判断所获得的信息处理规则为多个,并根据预定的信息处理规则的规则优先级,确定R1的规则优先级大于R2的规则优先级,并选择规则优先级较高的信息处理规则R1来执行相应操作。
又例如,规则查询装置在步骤S11中获得识别信息Server1和M1;接着,规则查询装置根据识别信息Server1执行步骤S12和步骤S13,获得与其所属网络传输信息匹配的信息处理规则R1,并根据识别信息M1执行步骤S12和步骤S13,但未获得与识别信息M1所属网络传输信息匹配的信息处理规则;并且,规则查询装置同时执行步骤S14,获得与所述网络传输信息匹配的信息处理规则R3;则规则查询装置判断所获得的信息处理规则为多个,并根据预定的信息处理规则的规则优先级,确定R3的规则优先级大于R1的规则优先级,并选择规则优先级较高的信息处理规则R3来执行相应操作。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何当所获得的与所述网络传输信息匹配的信息处理规则为多个时,根据预定的规则优先级,由所获得的所有与所述网络传输信息匹配的信息处理规则中选择一个信息处理规则的实现方式,均应包含在本发明的范围内。
根据本发明的方法,通过获得查询索引信息,并查询与所获得的查询索引信息相关的索引规则库,能够直接确定可能与网络传输信息匹配的规则所存储的范围,由于索引规则库中的信息处理规则数量通常远远小于规则查询装置所包含的全部规则的数量,因此能够极大提高规则查询装置查询信息处理规则的效率。
图2示意出了本发明一个优选实施例的用于查询信息处理规则的方法流程图。其中,根据本实施例的方法包括步骤S11、步骤S12以及步骤S13;其中,所述步骤S12进一步包括步骤S123和步骤S124。
步骤S11已在图1所示的实施例中予以详述,并以引用的方式包含于此,不再赘述。其中,本实施例中步骤S11所获得的至少一个识别信息包括一个或多个包含IP地址的地址类识别信息。
接着,规则查询装置根据所获取的每个包含IP地址的地址类识别信息执行所述步骤S123、步骤S124以及步骤S13。
在步骤S123中,规则查询装置对于一个包含IP地址的地址类识别信息,生成多个与该IP地址类识别信息部分相同的地址信息。其中,所述包含IP地址的地址类识别信息包括但不限于网络传输信息包含的源IP地址信息和目的IP地址信息。
具体地,规则查询装置生成该多个与该IP地址类识别信息部分相同的地址信息的方式包括但不限于:
1)由IP地址中分别获取多个预定地址范围包含的地址信息,以根据所获得的多个预定地位范围包含的地址信息生成所述多个与该IP地址类识别信息部分相同的地址信息。
例如,所述多个预定地址范围包括第一个字节、前二个字节和前三个字节,且规则查询装置在步骤S11中获取的一个包含IP地址的地址类识别信息IP1为192.168.1.0;则规则查询装置由地址类识别信息IP1中获取第一个字节的地址信息192,以生成与该地址类识别信息IP1部分相同的地址信息192.0.0.0;并且,规则查询装置由地址类识别信息IP1中获取前二个字节的地址信息192.168,以生成与该地址类识别信息IP1部分相同的地址信息192.168.0.0;并且,规则查询装置由地址类识别信息中获取前三个字节的地址信息192.168.1,以生成与该地址类识别信息IP1部分相同的地址信息192.168.1.0。
2)通过将该IP地址类识别信息与多个掩码进行运算,获得所述多个与该IP地址类识别信息部分相同的地址信息。
例如,对于前例中所获取的地址类识别信息IP1,规则查询装置将该地址类识别信息IP1与网络位长度分别为0至31的32个不同掩码分别进行多次“与”运算,以生成32个分别与地址类识别信息IP1部分相同的地址信息。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何对于一个包含IP地址的地址类识别信息,生成多个与该IP地址类识别信息部分相同的地址信息的实现方式,均应包含在本发明的范围内。
在步骤S124中,规则查询装置分别对所生成的多个地址信息进行所述数字签名处理,来获得与该IP地址类识别信息对应的多个查询索引信息。其中,所述规则查询装置分别根据所生成的多个地址信息进行所述数字签名处理,来获得与该IP地址类识别信息对应的多个查询索引信息的实现方式与图1所示实施例的步骤S12中规则查询装置对识别信息进行数字签名处理,以获得该识别信息的一个或多个查询索引信息的实现方式相同,并以引用的方式包含与此,不再赘述。
需要说明的是,步骤S123和步骤S124可并行执行,例如,在步骤S123中,规则查询装置每生成一个地址信息,即执行步骤S124来获得该地址信息的查询索引信息。
步骤S13已在图1所示的实施例中予以详述,并以引用的方式包含于此,不再赘述。
作为本实施例的优选方案之一,其中,所述步骤S 124进一步包括步骤S1241(图未示)和步骤S1242(图未示)。
在步骤S1241中,规则查询装置对所生成的多个地址信息进行所述数字签名处理来获得数字处理结果。
在步骤S1242中,规则查询装置根据所述数字处理结果,并结合预获取的该包含IP地址的地址类识别信息对应的字段类型,来确定该包含IP地址的地址类识别信息的多个查询索引信息。
其中,所述规则查询装置根据所述数字处理结果,并结合预获取的该包含IP地址的地址类识别信息对应的字段类型,来确定该包含IP地址的地址类识别信息的多个查询索引信息的方式与图1所示实施例的步骤S122中规则查询装置根据所述数字处理结果,并结合预获取的该识别信息对应的字段类型,来确定该识别信息的一个或多个查询索引信息的方式相同,并以引用的方式包含于此,不再赘述。
需要说明的是,步骤S1241和步骤S1242可并行执行,例如,在步骤S1241中,规则查询装置每获得一个数字处理结果,即执行步骤S1242来获得包含该数字处理结果的查询索引信息。
根据本实施例的方法,能够对包含IP地址的地址类型识别信息进行专门处理,以确定所述识别信息所属网络传输信息可能对应的多个网段,并获得与该网段相应的信息处理规则,由于所述专门处理只需进行有限次,因此采用本实施例的方法可以大大降低查询网络传输信息所对应的信息处理规则的复杂度,提高了查询效率。
图3示意出了本发明一个方面的网络设备实现的用于增加、更新或删除信息处理规则的方法流程图。其中,根据本发明的方法可通过网络设备中的诸如操作系统或处理控制器等装置来完成,为简明起见,以下将所述网络设备中用于实现本发明增加、更新或删除信息处理规则的方法的装置统称为规则配置装置。其中,该网络设备包括但不限于计算机、网络服务器、路由器、交换机等设备。其中,所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。其中,根据本实施例的方法包括步骤S21、步骤S22和步骤S23。
在步骤S21中,规则匹配装置由待处理的规则更新信息中获取至少一个匹配信息。其中,所述规则更新信息中至少包括以下两项:1)规则处理指令;2)与规则处理指令所对应的匹配信息。其中,所述规则处理指令包括但不限于以下指令:1)规则建立指令;2)规则删除指令;3)规则更新指令等。其中,所述匹配信息用于匹配查询信息处理规则,以确定该匹配信息对应的规则处理指令所需处理的信息处理规则。例如,所述规则更新信息包括“delete:192.168.0.0”,其中,“delete”表示规则删除指令,“192.168.0.0”为匹配信息,当预定规则更新信息中的地址信息为源IP地址信息,则该规则更新信息表示删除用于处理源IP为“192.168.0.0”网段的信息处理规则。其中,规则配置装置获取所述待处理的规则更新信息的方式包括但不限于:1)规则配置装置获取用户输入的规则更新信息;2)规则配置装置获取预存储的规则更新信息;3)获取其他装置发送的规则更新信息等。
具体地,所述规则配置装置由待处理的规则更新信息中获取至少一个匹配信息的方式包括但不限于:
1)根据预定的规则更新信息格式,从所述规则更新信息中获取至少一个匹配信息。
例如,预定规则更新信息的格式为:“规则更新指令:指令处理规则对应的目的IP地址信息,指令处理规则对应的源IP地址信息”;则规则配置装置从第一个冒号后开始获取匹配信息,并以逗号为间隔区分不同的匹配信息。
2)根据预定的规则更新信息中的标识信息,从所述规则更新信息中获取至少一个匹配信息。
例如,预定规则更新信息中包含分别用于标识规则更新指令以及匹配信息的标识信息,则当规则配置装置获取到用于标识规则更新指令的标识信息时,确定该标识信息后的内容为规则更新指令,当规则配置装置获取用于到标识匹配信息的标识信息时,确定该标识信息后的内容为指令处理规则的匹配信息。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何由待处理的规则更新信息中获取至少一个匹配信息的实现方式,均应包含在本发明的范围内。
优选地,所述至少一个匹配信息包括以下至少一种类型的匹配信息:1)地址类匹配信息,例如,用于匹配IP地址,Mac地址,VLAN ID等内容信息的匹配信息;2)协议类匹配信息,例如,用于匹配IP报文报头中的协议字段、ARP数据包报头中的协议类型字段等内容信息的匹配信息;3)服务类匹配信息,例如,用于匹配IP报文报头中的TOS字段的匹配信息等。
在步骤S22中,规则配置装置对所获取的至少一个匹配信息中的至少一者进行数字签名处理来获得一个或多个查询索引信息。
具体地,所述规则配置装置对所获得的各个匹配信息进行相应的数字签名处理,以获得该匹配信息对应的一个或多个查询索引信息。
在步骤S23中,规则配置装置根据由所述待处理的规则更新信息中获取的规则处理指令,来在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规则。
优选地,根据本发明的方案包括总规则库,该总规则库包含多个索引规则库,且该总规则库中的每个索引规则库包括一个或多个信息处理规则,且每个索引规则库根据预置的对应关系与一个或多个查询索引信息相关。更优选地,该总规则库存储于所述规则配置装置,或者,该规则配置装置能够访问的装置或设备中。
具体地,规则配置装置根据所获得的一个或多个查询索引信息确定所述规则更新信息能够对应的一个或多个索引规则库,并根据由所述待处理的规则更新信息中获取的规则处理指令,在所述一个或多个索引规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规则。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何根据由所述待处理的规则更新信息中获取的规则处理指令,来在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规则的实现方式,均应包含在本发明的范围内。
需要进一步说明的是,步骤S22中所采用的数字签名处理应与步骤S12中所采用的数字签名处理相应,以使参照图1及图2所示实施例中所述规则查询装置能够根据基于数字签名处理所得的查询索引信息来获得与网络传输信息匹配的信息处理规则。
作为本发明的优选实施例之一,其中,所述步骤S23进一步包括步骤S231(图未示)。
在步骤S231中,当所述由待处理的规则更新信息中获取的规则处理指令为规则建立指令时,规则配置装置在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加由该待处理的规则更新信息中获取的信息处理规则。
例如,若规则配置装置在步骤S22中获得查询索引信息“Ind1”,则规则配置装置根据预置的对应关系确定“Ind1”与索引规则库Add[Ind1]相关,则规则配置装置根据规则建立指令将由待处理的规则更新信息所获得的信息处理规则添加至索引规则库Add[Ind1]中。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何当所述由待处理的规则更新信息中获取的规则处理指令为规则建立指令时,在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加由该待处理的规则更新信息中获取的信息处理规则的实现方式,均应包含在本发明的范围内。
作为本发明的优选实施例之一,其中,所述步骤S23进一步包括步骤S232(图未示)。
在步骤S232中,当所述由待处理的规则更新信息中获取的规则处理指令为规则删除指令时,规则配置装置在与根据所述匹配信息所得的至少一个查询索引信息相关的索引规则库中进行查询,来获得与所述匹配信息中至少一者相匹配的信息处理规则,并删除该查询所得的信息处理规则。
具体地,当所述由待处理的规则更新信息中获取的规则处理指令为规则删除指令时,规则配置装置根据步骤S21中所获得的匹配信息来在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中进行查询,来获得与所述步骤S21中获得的匹配信息中至少一者相匹配的信息处理规则,并删除该查询所得的信息处理规则。
例如,规则配置装置在步骤S21中获得的匹配信息包括目的地址信息IP1和源地址信息IP2,并在步骤S22中获得目的地址信息IP1对应的查询索引信息为Ind1,源地址信息IP2对应的查询索引信息为Ind2。则规则配置装置根据预置的对应关系,确定查询索引信息Ind1对应的索引规则库为Add[Ind1],Ind2对应的索引规则库为Add[Ind2];接着,规则配置装置根据所获得的匹配信息IP1和IP2,在索引规则库Add[Ind1]、Add[Ind2]中进行查询,由Add[Ind1]中获得与IP1相关的信息处理规则R3和R4,由Add[Ind2]中获得与IP2相关的信息处理规则R5;接着,规则配置装置根据规则删除指令从Add[Ind1]中删除R3和R4,并从Add[Ind2]中删除R5。
作为本发明的优选实施例之一,其中,所述步骤S23进一步包括步骤S233(图未示)。
在步骤S233中,当所述由待处理的规则更新信息中获取的规则处理指令为规则更新指令时,规则配置装置在与根据所述匹配信息所得的至少一个查询索引信息相关的索引规则库中进行查询,来获得与所述匹配信息中至少一者相匹配的信息处理规则,并根据由该待处理的规则更新信息中获取的更新信息来更新该查询所得的信息处理规则。其中,所述更新信息包含与待处理的规则更新信息中的匹配信息相匹配的信息处理规则所需更新的内容信息。
其中,规则配置装置在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中进行查询,来获得与所述匹配信息中至少一者相匹配的信息处理规则的方式已在前述步骤S232中予以详述,在此不再赘述。此处仅对规则配置装置获得与所述匹配信息中至少一者相匹配的信息处理规则后,根据由该待处理的规则更新信息中获取的更新信息来更新该查询所得的信息处理规则的实现方式进行说明。
例如,规则配置装置查询获得的信息处理规则中包括“目的地址192.168.1.0,丢弃”的内容,且规则配置装置由该待处理的规则更新信息中获取的更新信息中包括“将目的地址192.168.1.0更改为目的地址192.168.2.0”的内容信息,则规则配置装置根据所述更新信息来更新所获得的信息处理规则,并获得更新后的信息处理规则包括“目的地址192.168.2.0,丢弃”的内容。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何当所述由待处理的规则更新信息中获取的规则处理指令为规则更新指令时,在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中进行查询,来获得与所述匹配信息中至少一者相匹配的信息处理规则,并根据由该待处理的规则更新信息中获取的更新信息来更新该查询所得的信息处理规则的实现方式,均应包含在本发明的范围内。
根据本发明的方法,采用相似的方式对信息处理规则进行增加、更新与删除,降低了配置信息处理规则的复杂度,并能够大大降低在海量规则下的规则配置消耗,提高了在网络设备中配置信息处理规则的效率。
图4示意出了本发明一个优选实施例的用于增加、更新或删除信息处理规则的方法流程图。根据本实施例的方法包括步骤S21、步骤S24、步骤S25、步骤S22以及步骤S23。其中,所述步骤S22进一步包括步骤S221。
步骤S21已在图3所示实施例中予以详述,并以引用的方式包含于此,不再赘述。
接着,在步骤S24中,规则配置装置分别判断所获取的各个的匹配信息是否能够进行所述数字签名处理。
具体地,规则配置装置根据预定选择规则来判定所获得的匹配信息是否可进行的数字签名处理。
例如,预定选择规则中规定,当所获得的匹配信息中未包含“IP地址取反”的信息时,对该匹配信息进行数字签名处理,当包含“IP地址取反”的信息时,不对该匹配信息进行数字签名处理。规则配置装置在步骤S21中获得的两个匹配信息分别包括目的地址信息IP1“192.168.1.0”和源地址信息IP2“!172.18.1.0”,其中,“!”为预定用于表示取反的标识信息;则规则配置装置判定目的地址信息IP1为包含“IP地址取反”的匹配信息,源地址信息IP2为未包含“IP地址取反”的匹配信息,则规则配置装置判定目的地址信息IP1能够进行数字签名处理,源地址信息IP2不能够进行数字签名处理。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何分别判断所获取的各个的匹配信息是否能够进行所述数字签名处理的实现方式,均应包含在本发明的范围内。
在步骤S25中,当判断所获取的所有匹配信息均不能进行所述数字签名处理,规则配置装置根据由所述待处理的规则更新信息中获取的规则处理指令,在用于存储与任何查询索引信息均无关的信息处理规则的单列规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规则。
具体地,当判断所获取的所有匹配信息均不能进行所述数字签名处理时,规则配置装置根据由所述待处理的规则更新信息中获取的规则处理指令进行以下操作:1)若规则处理指令为规则建立指令,则直接将由该待处理的规则更新信息获得的信息处理规则添加至所述单列规则库中;2)若规则处理指令为规则删除指令,则根据所获取得的所有匹配信息在所述单列规则库中查询,以获得单列规则库中与所述所有匹配信息对应的信息处理规则并删除;3)若规则处理指令为规则更新指令,则根据所获取得的所有匹配信息在所述单列规则库中查询,以获得单列规则库中与所述所有匹配信息对应的信息处理规则,并根据由该待处理的规则更新信息中获取的更新信息来更新该查询所得的信息处理规则。
在步骤S221中,当判断所获取的各个匹配信息中包含能够进行所述数字签名处理的匹配信息时,规则配置装置对能够进行所述数字签名处理的匹配信息中的至少一者进行所述数字签名处理来获得所述一个或多个查询索引信息。
例如,如前述步骤S24中举例所述,规则配置装置判定目的地址信息IP1可进行数字签名处理,源地址信息IP2不可进行数字签名处理。则规则配置装置对能够进行数字签名处理的目的地址信息IP1采用哈希函数hash_2进行数字签名处理,获得与IP1对应的查询索引信息Ind1。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何当判断所获取的各个匹配信息中包含能够进行所述数字签名处理的匹配信息时,对能够进行所述数字签名处理的匹配信息中的至少一者进行所述数字签名处理来获得所述一个或多个查询索引信息的实现方式,均应包含在本发明的范围内。
优选地,规则配置装置对所获取的至少一个匹配信息中的至少一者进行数字签名处理来获得数字处理结果,并进一步结合预获取的该匹配信息对应的内容类型,来获得一个或多个查询索引信息。其中,所述内容类型表示匹配信息所标识的信息的类别,例如,对应于IP报文的信息处理规则可包含的内容类型包括IHL、TTL、TOS、Destination IP、Source IP、Protocol等;又例如,对应于以太网数据包的信息处理规则可包含的内容类型包括Destination MAC、Source MAC等。
例如,规则配置装置在步骤S21中获取的匹配信息包括内容类型为“Destination IP”的匹配信息IP1,内容类型为“Source IP”的匹配信息IP2以及内容类型为“Protocol”的匹配信息T1,并在步骤S24中判断匹配信息IP1和T1能够进行数字签名处理,匹配信息IP2不能够进行数字签名处理。则规则配置装置对匹配信息IP1采用哈希函数Hash_2进行数字签名处理以获得数字处理结果Ind1,并结合匹配信息IP1的内容类型“Destination IP”,确定匹配信息IP1对应的查询索引信息包括数字处理结果“Ind1”和字段类别“Destination IP”;并且,规则配置装置采用相似的方式,对匹配信息T1采用哈希函数Hash_4进行数字签名处理以获得数字处理结果Ind4,并确定匹配信息T1对应的查询索引信息包括数字处理结果“Ind4”和字段类别“Protocol”。
步骤S23已在图3所示实施例中予以详述,并以引用的方式包含于此,不再赘述。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何对所获取的至少一个匹配信息中的至少一者进行数字签名处理来获得数字处理结果,并结合预获取的该匹配信息对应的内容类别,来获得一个或多个查询索引信息的实现方式,均应包含在本发明的范围内。
根据本发明的方法,通过将匹配信息分为能够进行数字签名处理和不能够进行数字签名处理两大类型,来更加优化对于信息处理规则的组织,简化了无需进行数字签名处理的信息处理规则的增加、删除和更新方式,进一步提高了信息处理规则的配置效率。
图5示意出了本发明一个方面的网络设备实现的用于查询信息处理规则的规则查询装置的结构示意图。根据本实施例的规则查询装置包括第一获取装置11、第一索引获取装置12以及第一查询装置13。
第一获取装置11由待处理的网络传输信息中获取至少一个的识别信息。其中,所述网络传输信息包括但不限于:1)报文;2)数据包;3)数据帧等。所述网络传输信息中包括多个识别信息,该等识别信息能够用于识别该网络传输信息。例如,报文的报头信息中包含的信息,数据包的包头信息中包含的信息,数据帧的帧头信息中包含的信息等。
具体地,第一获取装置11由待处理的网络传输信息包含的所述多个识别信息中获取所述至少一个识别信息。其中,所述由待处理的网络传输信息中获取至少一个识别信息的方式包括但不限于:
1)第一获取装置11获取所述网络传输信息中预定范围的信息以获得至少一个识别信息;
例如,预定第一获取装置11获取IP报文中报头第9至第16比特位的信息以获得一个识别信息;又例如,预定第一获取装置11获取以太网数据包中包头第7至第12比特位的信息以获得一个识别信息。
2)第一获取装置11解析网络传输信息中预定字段的信息,并根据解析结果从所述网络传输信息中获取至少一个识别信息。
例如,第一获取装置11解析IP报文中报头的前四个比特位的信息以确定所述IP报文的版本,当根据所述前四个比特位的信息确定版本为IPv4时,进一步获取该IP报文报头中第97比特位至128比特位来获得一个识别信息;当根据所述前四个比特位的信息确定版本为IPv6时,进一步获取该IP报文报头中第65比特位至192比特位来获得一个识别信息。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何由待处理的网络传输信息中获取至少一个类型的识别信息的实现方式,均应包含在本发明的范围内。
优选地,所述至少一个识别信息包括以下至少一种类型的识别信息:1)地址类识别信息,例如,IP地址,Mac地址,VLAN ID等;2)协议类识别信息,例如,IP报文报头中的协议字段、ARP数据包报头中的协议类型字段等;3)服务类识别信息,例如,IP报文报头中的TOS字段等。
第一索引获取装置12及第一查询装置13根据第一获取装置11所获取的所述至少一个识别信息中的每个识别信息来执行操作,以获得一个或多个与所述网络传输信息匹配的信息处理规则。
第一索引获取装置12对所述至少一个识别信息中的每个识别信息进行数字签名处理,以获得该识别信息的一个或多个查询索引信息。其中,所述查询索引信息包括对识别信息进行数字签名处理所获得的处理结果。其中,所述数字签名处理包括所有对于固定地输入能产生固定地输出的处理,例如,哈希处理,DSA加密处理、RSA加密处理等。
例如,第一索引获取装置12对于第一获取装置11获得的一个包含TOS字段的服务类识别信息Server1采用哈希函数hash_1进行数字签名处理,获得数字处理结果“Sind1”,并将该数字处理结果“Sind1”作为该包含TOS字段的服务类识别信息Server1的查询索引信息。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何对识别信息进行数字签名处理,以获得该识别信息的一个或多个查询索引信息的实现方式,均应包含在本发明的范围内。
接着,第一查询装置13在与该一个或多个查询索引信息相关的索引规则库中进行查询,以获得包含于所述索引规则库中且与所述网络传输信息匹配的信息处理规则。
优选地,根据本发明的方案包括总规则库,该总规则库包含多个索引规则库,且该总规则库中的每个索引规则库包括一个或多个信息处理规则,且每个索引规则库根据预置的对应关系与一个或多个查询索引信息相关。更优选地,该总规则库存储于所述规则配置装置,或者,该规则配置装置能够访问的装置或设备中。
具体地,第一查询装置13根据预定的查询索引信息与索引规则库的对应关系,确定分别与该一个或多个查询索引信息相关的各个索引规则库,并根据该识别信息在所述各个索引规则库中进行查询,以获得与所述网络传输信息匹配的信息处理规则。
例如,预置的对应关系中包括包含“Sind1”的查询索引信息与索引规则库Add[Ind1]相关的信息。则第一查询装置13根据预置的对应关系,确定与第一索引获取装置12获得的包含数字处理结果“Sind1”的查询索引信息相关的索引规则库为Add[Sind1],以在所述索引规则库Add[Ind1]中进行查询,并由Add[Ind1]中获得与所述网络传输信息匹配的信息处理规则R1。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何在与该一个或多个查询索引信息相关的索引规则库中进行查询,以获得包含于所述索引规则库中且与所述网络传输信息匹配的信息处理规则的实现方式,均应包含在本发明的范围内。
作为本实施例的优选方案之一,其中,所述第一索引获取装置12进一步包括第一签名处理装置(图未示)和第一索引确定装置(图未示)。
第一签名处理装置对该识别信息进行所述数字签名处理来获得数字处理结果。
第一索引确定装置根据所述数字处理结果,并结合预获取的该识别信息对应的字段类型,来确定该识别信息的一个或多个查询索引信息。
其中,所述字段类型表示识别信息所标识的内容类别,例如,IP报文的识别信息的字段类别包括IHL、TTL、TOS、Destination IP、Source IP等;又例如,以太网数据包的识别信息的字段类别包括Destination MAC、Source MAC等。
例如,如前述第一索引获取装置12中所述的举例,第一获取装置11获得一个包含TOS字段的服务类识别信息Server1,并且第一签名处理装置对该服务类识别信息Server1采用哈希函数hash_1进行数字签名处理来获得数字处理结果“Sind1”;接着,第一索引确定装置根据预获取的服务类识别信息Server1的字段类别“Type of Service”,确定服务类识别信息Server1对应的查询索引信息包括数字处理结果“Sind1”和字段类别“Type of Service”。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何根据所述数字处理结果,并结合预获取的该识别信息对应的字段类型,来确定该识别信息的一个或多个查询索引信息的实现方式,均应包含在本发明的范围内。
作为本实施例的优选方案之一,其中,根据本实施例的规则查询装置还包括第二查询装置(图未示),所述总规则库还包括单列规则库,该单列规则库中的任意规则均与任何查询索引信息无关。
第二查询装置在包含与任何查询索引信息均无关的多个信息处理规则的单列规则库中进行查询,以获得与所述网络传输信息匹配的信息处理规则。
具体地,第二查询装置在所述单列规则库中进行查询,以获得所述单列规则库中与该识别信息所属网络传输信息相匹配的信息处理规则。
作为本实施例的优选方案之一,其中,根据本实施例的规则查询装置还包括选择装置(图未示)。
当所获得的与所述网络传输信息匹配的信息处理规则为多个时,选择装置根据预定的规则优先级,由所获得的所有与所述网络传输信息匹配的信息处理规则中选择一个信息处理规则。
例如,第一获取装置11获得两个识别信息Server1和M1;接着,第一索引获取装置12和第一查询装置13根据识别信息Server1执行操作,获得与其所属网络传输信息匹配的信息处理规则R1;且第一索引获取装置12和第一查询装置13根据识别信息M1执行操作,获得与其所属网络传输信息匹配的信息处理规则R2;则选择装置判断所获得的信息处理规则为多个,并根据预定的信息处理规则的规则优先级,确定R1的规则优先级大于R2的规则优先级,并选择规则优先级较高的信息处理规则R1来执行相应操作。
又例如,,第一获取装置11获得识别信息Server1和M1;接着,第一索引获取装置12和第一查询装置13根据识别信息Server1执行操作,获得与其所属网络传输信息匹配的信息处理规则R1;且第一索引获取装置12和第一查询装置13根据识别信息M1执行操作,但未获得与识别信息M1所属网络传输信息匹配的信息处理规则;并且,第二查询装置同时执行操作,获得与所述网络传输信息匹配的信息处理规则R3;则选择装置判断所获得的信息处理规则为多个,并根据预定的信息处理规则的规则优先级,确定R3的规则优先级大于R1的规则优先级,并选择规则优先级较高的信息处理规则R3来执行相应操作。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何当所获得的与所述网络传输信息匹配的信息处理规则为多个时,根据预定的规则优先级,由所获得的所有与所述网络传输信息匹配的信息处理规则中选择一个信息处理规则的实现方式,均应包含在本发明的范围内。
根据本发明的方法,通过获得查询索引信息,并查询与所获得的查询索引信息相关的索引规则库,能够直接确定可能与网络传输信息匹配的规则所存储的范围,由于索引规则库中的信息处理规则数量通常远远小于规则查询装置所包含的全部规则的数量,因此能够极大提高规则查询装置查询信息处理规则的效率。
图6示意出了本发明一个优选实施例的用于查询信息处理规则的规则查询装置的结构示意图。其中,根据本实施例的规则查询装置包括第一获取装置11、第一查询装置13以及包含于第一索引获取装置12中的生成装置123和第一子索引获取装置124。
第一获取装置11已在图5所示的实施例中予以详述,并以引用的方式包含于此,不再赘述。其中,本实施例中第一获取装置11所获得的至少一个识别信息包括一个或多个包含IP地址的地址类识别信息。
接着,生成装置123、第一子索引获取装置124以及第一查询装置13根据所获取的每个包含IP地址的地址类识别信息执行操作。
生成装置123对于一个包含IP地址的地址类识别信息,生成多个与该IP地址类识别信息部分相同的地址信息。其中,所述包含IP地址的地址类识别信息包括但不限于网络传输信息包含的源IP地址信息和目的IP地址信息。
具体地,生成装置123生成该多个与该IP地址类识别信息部分相同的地址信息的方式包括但不限于:
1)由IP地址中分别获取多个预定地址范围包含的地址信息,以根据所获得的多个预定地位范围包含的地址信息生成所述多个与该IP地址类识别信息部分相同的地址信息。
例如,所述多个预定地址范围包括第一个字节、前二个字节和前三个字节,且第一获取装置11获取的一个包含IP地址的地址类识别信息IP1为192.168.1.0;则生成装置123由地址类识别信息IP1中获取第一个字节的地址信息192,以生成与该地址类识别信息IP1部分相同的地址信息192.0.0.0;并且,生成装置123由地址类识别信息IP1中获取前二个字节的地址信息192.168,以生成与该地址类识别信息IP1部分相同的地址信息192.168.0.0;并且,生成装置123由地址类识别信息中获取前三个字节的地址信息192.168.1,以生成与该地址类识别信息IP1部分相同的地址信息192.168.1.0。
2)通过将该IP地址类识别信息与多个掩码进行运算,获得所述多个与该IP地址类识别信息部分相同的地址信息。
例如,对于前例中所获取的地址类识别信息IP1,生成装置123将该地址类识别信息IP1与网络位长度分别为0至31的32个不同掩码分别进行多次“与”运算,以生成32个分别与地址类识别信息IP1部分相同的地址信息。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何对于一个包含IP地址的地址类识别信息,生成多个与该IP地址类识别信息部分相同的地址信息的实现方式,均应包含在本发明的范围内。
第一子索引获取装置124分别对所生成的多个地址信息进行所述数字签名处理,来获得与该IP地址类识别信息对应的多个查询索引信息。其中,所述第一子索引获取装置124分别根据所生成的多个地址信息进行所述数字签名处理,来获得与该IP地址类识别信息对应的多个查询索引信息的实现方式与图5所示实施例中第一索引获取装置12对识别信息进行数字签名处理,以获得该识别信息的一个或多个查询索引信息的实现方式相同,并以引用的方式包含与此,不再赘述。
需要说明的是,生成装置123和第一子索引获取装置124可并行执行,例如,生成装置123每生成一个地址信息,第一子索引获取装置124即执行操作来获得该地址信息的查询索引信息。
第一查询装置13已在图5所示的实施例中予以详述,并以引用的方式包含于此,不再赘述。
作为本实施例的优选方案之一,其中,所述第一子索引获取装置124进一步包括第二签名处理装置(图未示)和第二索引确定装置(图未示)。
第二签名处理装置对所生成的多个地址信息进行所述数字签名处理来获得数字处理结果。
第二索引确定装置根据所述数字处理结果,并结合预获取的该包含IP地址的地址类识别信息对应的字段类型,来确定该包含IP地址的地址类识别信息的多个查询索引信息。
其中,所述第二索引确定装置根据所述数字处理结果,并结合预获取的该包含IP地址的地址类识别信息对应的字段类型,来确定该包含IP地址的地址类识别信息的多个查询索引信息的方式与图5所示实施例中第一索引确定装置中根据所述数字处理结果,并结合预获取的该识别信息对应的字段类型,来确定该识别信息的一个或多个查询索引信息的方式相同,并以引用的方式包含于此,不再赘述。
需要说明的是,第二签名处理装置和第二索引确定装置可并行执行,例如,第二签名处理装置每获得一个数字处理结果,第二索引确定装置即执行操作来获得包含该数字处理结果的查询索引信息。
根据本实施例的方法,能够对包含IP地址的地址类型识别信息进行专门处理,以确定所述识别信息所属网络传输信息可能对应的多个网段,并获得与该网段相应的信息处理规则,由于所述专门处理只需进行有限次,因此采用本实施例的方法可以大大降低查询网络传输信息所对应的信息处理规则的复杂度,提高了查询效率。
图7示意出了本发明一个方面的网络设备实现的用于增加、更新或删除信息处理规则的规则配置装置的结构示意图。其中,根据本实施例的规则配置装置包括第二获取装置21、第二索引获取装置22和第一规则处理装置23。
第二获取装置21由待处理的规则更新信息中获取至少一个匹配信息。其中,所述规则更新信息中至少包括以下两项:1)规则处理指令;2)与规则处理指令所对应的匹配信息。其中,所述规则处理指令包括但不限于以下指令:1)规则建立指令;2)规则删除指令;3)规则更新指令等。其中,所述匹配信息用于匹配查询信息处理规则,以确定该匹配信息对应的规则处理指令所需处理的信息处理规则。例如,所述规则更新信息包括“delete:192.168.0.0”,其中,“delete”表示规则删除指令,“192.168.0.0”为匹配信息,当预定规则更新信息中的地址信息为源IP地址信息,则该规则更新信息表示删除用于处理源IP为“192.168.0.0”网段的信息处理规则。其中,第二获取装置21获取所述待处理的规则更新信息的方式包括但不限于:1)第二获取装置21获取用户输入的规则更新信息;2)第二获取装置21获取预存储的规则更新信息;3)第二获取装置21获取其他装置发送的规则更新信息等。
具体地,所述第二获取装置21由待处理的规则更新信息中获取至少一个匹配信息的方式包括但不限于:
1)根据预定的规则更新信息格式,从所述规则更新信息中获取至少一个匹配信息。
例如,预定规则更新信息的格式为:“规则更新指令:指令处理规则对应的目的IP地址信息,指令处理规则对应的源IP地址信息”;则第二获取装置21从第一个冒号后开始获取匹配信息,并以逗号为间隔区分不同的匹配信息。
2)第二获取装置21根据预定的规则更新信息中的标识信息,从所述规则更新信息中获取至少一个匹配信息。
例如,预定规则更新信息中包含分别用于标识规则更新指令以及匹配信息的标识信息,则当第二获取装置21获取到用于标识规则更新指令的标识信息时,确定该标识信息后的内容为规则更新指令,当第二获取装置21获取用于到标识匹配信息的标识信息时,确定该标识信息后的内容为指令处理规则的匹配信息。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何由待处理的规则更新信息中获取至少一个匹配信息的实现方式,均应包含在本发明的范围内。
优选地,所述至少一个匹配信息包括以下至少一种类型的匹配信息:1)地址类匹配信息,例如,用于匹配IP地址,Mac地址,VLAN ID等内容信息的匹配信息;2)协议类匹配信息,例如,用于匹配IP报文报头中的协议字段、ARP数据包报头中的协议类型字段等内容信息的匹配信息;3)服务类匹配信息,例如,用于匹配IP报文报头中的TOS字段的匹配信息等。
第二索引获取装置22对所获取的至少一个匹配信息中的至少一者进行数字签名处理来获得一个或多个查询索引信息。
具体地,所述第二索引获取装置22对所获得的各个匹配信息进行相应的数字签名处理,以获得该匹配信息对应的一个或多个查询索引信息。
第一规则处理装置23根据由所述待处理的规则更新信息中获取的规则处理指令,来在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规则。
优选地,根据本发明的方案包括总规则库,该总规则库包含多个索引规则库,且该总规则库中的每个索引规则库包括一个或多个信息处理规则,且每个索引规则库根据预置的对应关系与一个或多个查询索引信息相关。更优选地,该总规则库存储于所述规则配置装置,或者,该规则配置装置能够访问的装置或设备中。
具体地,第一规则处理装置23根据所获得的一个或多个查询索引信息确定所述规则更新信息能够对应的一个或多个索引规则库,并根据由所述待处理的规则更新信息中获取的规则处理指令,在所述一个或多个索引规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规则。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何根据由所述待处理的规则更新信息中获取的规则处理指令,来在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规则的实现方式,均应包含在本发明的范围内。
需要进一步说明的是,第二索引获取装置22所采用的数字签名处理应与第一索引获取装置12所采用的数字签名处理相应,以使参照图5及图6所示实施例中所述规则查询装置能够根据基于数字签名处理所得的查询索引信息来获得与网络传输信息匹配的信息处理规则。
作为本发明的优选实施例之一,其中,所述第一规则处理装置23进一步包括规则增加装置(图未示)。
当所述由待处理的规则更新信息中获取的规则处理指令为规则建立指令时,规则增加装置在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加由该待处理的规则更新信息中获取的信息处理规则。
例如,若第二索引获取装置22获得查询索引信息“Ind1”,则规则增加装置根据预置的对应关系确定“Ind1”与索引规则库Add[Ind1]相关,则规则增加装置根据规则建立指令将由待处理的规则更新信息所获得的信息处理规则添加至索引规则库Add[Ind1]中。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何当所述由待处理的规则更新信息中获取的规则处理指令为规则建立指令时,在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加由该待处理的规则更新信息中获取的信息处理规则的实现方式,均应包含在本发明的范围内。
作为本发明的优选实施例之一,其中,所述第一规则处理装置23进一步包括规则删除装置(图未示)。
当所述由待处理的规则更新信息中获取的规则处理指令为规则删除指令时,规则删除装置在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中进行查询,来获得与所述匹配信息中至少一者相匹配的信息处理规则,并删除该查询所得的信息处理规则。
具体地,当所述由待处理的规则更新信息中获取的规则处理指令为规则删除指令时,规则删除装置来在与根据所述匹配信息所得的至少一个查询索引信息相关的索引规则库中进行查询,来获得与所第二获取装置21获得的匹配信息中至少一者相匹配的信息处理规则,并删除该查询所得的信息处理规则。
例如,第二获取装置21获得的匹配信息包括目的地址信息IP1和源地址信息IP2,并且第二索引获取装置22获得目的地址信息IP1对应的查询索引信息为Ind1,源地址信息IP2对应的查询索引信息为Ind2。则规则删除装置根据预置的对应关系,确定查询索引信息Ind1对应的索引规则库为Add[Ind1],Ind2对应的索引规则库为Add[Ind2];接着,规则删除装置根据所获得的匹配信息IP1和IP2,在索引规则库Add[Ind1]、Add[Ind2]中进行查询,由Add[Ind1]中获得与IP1相关的信息处理规则R3和R4,由Add[Ind2]中获得与IP2相关的信息处理规则R5;接着,规则配置装置根据规则删除指令从Add[Ind1]中删除R3和R4,并从Add[Ind2]中删除R5。
作为本发明的优选实施例之一,其中,所述第一规则处理装置23进一步包括规则更新装置(图未示)。
当所述由待处理的规则更新信息中获取的规则处理指令为规则更新指令时,规则更新装置在与根据所述匹配信息所得的至少一个查询索引信息相关的索引规则库中进行查询,来获得与所述匹配信息中至少一者相匹配的信息处理规则,并根据由该待处理的规则更新信息中获取的更新信息来更新该查询所得的信息处理规则。其中,所述更新信息包含与待处理的规则更新信息中的匹配信息相匹配的信息处理规则所需更新的内容信息。
其中,规则更新装置在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中进行查询,来获得与所述匹配信息中至少一者相匹配的信息处理规则的方式已在前述规则删除装置中予以详述,在此不再赘述。此处仅对规则更新装置获得与所述匹配信息中至少一者相匹配的信息处理规则后,根据由该待处理的规则更新信息中获取的更新信息来更新该查询所得的信息处理规则的实现方式进行说明。
例如,规则更新装置查询获得的信息处理规则中包括“目的地址192.168.1.0,丢弃”的内容,且规则更新装置由该待处理的规则更新信息中获取的更新信息中包括“将目的地址192.168.1.0更改为目的地址192.168.2.0”的内容信息,则规则更新装置根据所述更新信息来更新所获得的信息处理规则,并获得更新后的信息处理规则包括“目的地址192.168.2.0,丢弃”的内容。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何当所述由待处理的规则更新信息中获取的规则处理指令为规则更新指令时,在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中进行查询,来获得与所述匹配信息中至少一者相匹配的信息处理规则,并根据由该待处理的规则更新信息中获取的更新信息来更新该查询所得的信息处理规则的实现方式,均应包含在本发明的范围内。
根据本发明的方法,采用相似的方式对信息处理规则进行增加、更新与删除,降低了配置信息处理规则的复杂度,并能够大大降低在海量规则下的规则配置消耗,提高了在网络设备中配置信息处理规则的效率。
图8示意出了本发明一个优选实施例的用于增加、更新或删除信息处理规则的规则配置装置的结构示意图。根据本实施例的规则配置装置包括第二获取装置21、判断装置24、第二规则处理装置25、第一规则处理装置23以及包含于第二索引获取装置22中的第二子索引获取装置221。
第二获取装置21已在图7所示实施例中予以详述,并以引用的方式包含于此,不再赘述。
判断装置24分别判断所获取的各个的匹配信息是否能够进行所述数字签名处理。
具体地,判断装置24根据预定选择规则来判定所获得的匹配信息是否可进行的数字签名处理。
例如,预定选择规则中规定,当所获得的匹配信息中未包含“IP地址取反”的信息时,对该匹配信息进行数字签名处理,当包含“IP地址取反”的信息时,不对该匹配信息进行数字签名处理。第二获取装置21获得的两个匹配信息分别包括目的地址信息IP1“192.168.1.0”和源地址信息IP2“!172.18.1.0”,其中,“!”为预定用于表示取反的标识信息;则判断装置24判定目的地址信息IP1为包含“IP地址取反”的匹配信息,源地址信息IP2为未包含“IP地址取反”的匹配信息,则判断装置24判定目的地址信息IP1能够进行数字签名处理,源地址信息IP2不能够进行数字签名处理。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何分别判断所获取的各个的匹配信息是否能够进行所述数字签名处理的实现方式,均应包含在本发明的范围内。
当判断所获取的所有匹配信息均不能进行所述数字签名处理,第二规则处理装置25根据由所述待处理的规则更新信息中获取的规则处理指令,在用于存储与任何查询索引信息均无关的信息处理规则的单列规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规则。
具体地,当判断所获取的所有匹配信息均不能进行所述数字签名处理时,第二规则处理装置25根据由所述待处理的规则更新信息中获取的规则处理指令进行以下操作:1)若规则处理指令为规则建立指令,则直接将由该待处理的规则更新信息获得的信息处理规则添加至所述单列规则库中;2)若规则处理指令为规则删除指令,则根据所获取得的所有匹配信息在所述单列规则库中查询,以获得单列规则库中与所述所有匹配信息对应的信息处理规则并删除;3)若规则处理指令为规则更新指令,则根据所获取得的所有匹配信息在所述单列规则库中查询,以获得单列规则库中与所述所有匹配信息对应的信息处理规则,并根据由该待处理的规则更新信息中获取的更新信息来更新该查询所得的信息处理规则。
当判断所获取的各个匹配信息中包含能够进行所述数字签名处理的匹配信息时,第二子索引获取装置221对能够进行所述数字签名处理的匹配信息中的至少一者进行所述数字签名处理来获得所述一个或多个查询索引信息。
例如,如前述判断装置24中举例所述,判断装置24判定目的地址信息IP1可进行数字签名处理,源地址信息IP2不可进行数字签名处理。则第二子索引获取装置221对能够进行数字签名处理的目的地址信息IP1采用哈希函数hash_2进行数字签名处理,获得与IP1对应的查询索引信息Ind1。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何当判断所获取的各个匹配信息中包含能够进行所述数字签名处理的匹配信息时,对能够进行所述数字签名处理的匹配信息中的至少一者进行所述数字签名处理来获得所述一个或多个查询索引信息的实现方式,均应包含在本发明的范围内。
优选地,第二索引获取装置22进一步包括第三子索引获取装置(图未示)。该第三子索引获取装置对所获取的至少一个匹配信息中的至少一者进行数字签名处理来获得数字处理结果,并进一步结合预获取的该匹配信息对应的内容类型,来获得一个或多个查询索引信息。其中,所述内容类型表示匹配信息所标识的信息的类别,例如,对应于IP报文的信息处理规则可包含的内容类型包括IHL、TTL、TOS、Destination IP、Source IP、Protocol等;又例如,对应于以太网数据包的信息处理规则可包含的内容类型包括Destination MAC、Source MAC等。
例如,第二获取装置21获取的匹配信息包括内容类型为“DestinationIP”的匹配信息IP1,内容类型为“Source IP”的匹配信息IP2以及内容类型为“Protocol”的匹配信息T1,并且判断装置24判断匹配信息IP1和T1能够进行数字签名处理,匹配信息IP2不能够进行数字签名处理。则第三子索引获取装置对匹配信息IP1采用哈希函数Hash_2进行数字签名处理以获得数字处理结果Ind1,并结合匹配信息IP1的内容类型“Destination IP”,确定匹配信息IP1对应的查询索引信息包括数字处理结果“Ind1”和字段类别“Destination IP”;并且,第三子索引获取装置采用相似的方式,对匹配信息T1采用哈希函数Hash_4进行数字签名处理以获得数字处理结果Ind4,并确定匹配信息T1对应的查询索引信息包括数字处理结果“Ind4”和字段类别“Protocol”。
第一规则处理装置23已在图3所示实施例中予以详述,并以引用的方式包含于此,不再赘述。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何对所获取的至少一个匹配信息中的至少一者进行数字签名处理来获得数字处理结果,并结合预获取的该匹配信息对应的内容类别,来获得一个或多个查询索引信息的实现方式,均应包含在本发明的范围内。
根据本发明的方法,通过将匹配信息分为能够进行数字签名处理和不能够进行数字签名处理两大类型,来更加优化对于信息处理规则的组织,简化了无需进行数字签名处理的信息处理规则的增加、删除和更新方式,进一步提高了信息处理规则的配置效率。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。

Claims (29)

1.一种网络设备实现的用于查询信息处理规则的方法,其中,该方法包括以下步骤:
a由待处理的网络传输信息中获取至少一个识别信息;
其中,根据所获取的所述至少一个识别信息中的每个识别信息来执行以下步骤:
i1对该识别信息进行数字签名处理,以获得该识别信息的一个或多个查询索引信息;
i2在与该一个或多个查询索引信息相关的索引规则库中进行查询,以获得包含于所述索引规则库中且与所述网络传输信息匹配的信息处理规则。
2.根据权利要求1所述的方法,其中,所述步骤i1还包括以下步骤:
-对该识别信息进行所述数字签名处理来获得数字处理结果;
-根据所述数字处理结果,并结合预获取的该识别信息对应的字段类型,来确定该识别信息的一个或多个查询索引信息。
3.根据权利要求1或2所述的方法,其中,该方法还包括以下步骤:
-在包含与任何查询索引信息均无关的多个信息处理规则的单列规则库中进行查询,以获得与所述网络传输信息匹配的信息处理规则。
4.根据权利要求1至3中任一项所述的方法,其中,该方法还包括以下步骤:
-当所获得的与所述网络传输信息匹配的信息处理规则为多个时,根据预定的规则优先级,由所获得的所有与所述网络传输信息匹配的信息处理规则中选择一个信息处理规则。
5.根据权利要求1至4中任一项所述的方法,其中,所述至少一个识别信息包括以下至少一种类型的识别信息:
-地址类识别信息;
-协议类识别信息;
-服务类识别信息。
6.根据权利要求5所述的方法,其中,所述至少一个识别信息包括一个或多个包含IP地址的地址类识别信息,该方法中根据所获取的每个包含IP地址的地址类识别信息执行所述步骤i1及i2,其中,所述步骤i1包括以下步骤:
i11对于一个包含IP地址的地址类识别信息,生成多个与该IP地址类识别信息部分相同的地址信息;
i12分别对所生成的多个地址信息进行所述数字签名处理,来获得与该IP地址类识别信息对应的多个查询索引信息。
7.根据权利要求6所述的方法,其中,所述步骤i12还包括以下步骤:
-对所生成的多个地址信息进行所述数字签名处理来获得数字处理结果;
-根据所述数字处理结果,并结合预获取的该包含IP地址的地址类识别信息对应的字段类型,来确定该包含IP地址的地址类识别信息的多个查询索引信息。
8.一种网络设备实现的用于增加、更新或删除信息处理规则的方法,其中,该方法还包括以下步骤:
x由待处理的规则更新信息中获取至少一个匹配信息;
y对所获取的至少一个匹配信息中的至少一者进行数字签名处理来获得一个或多个查询索引信息;
z根据由所述待处理的规则更新信息中获取的规则处理指令,来在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规则。
9.根据权利要求8所述的方法,其中,所述步骤z还包括以下步骤:
-当所述由待处理的规则更新信息中获取的规则处理指令为规则建立指令时,在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加由该待处理的规则更新信息中获取的信息处理规则。
10.根据权利要求8或9所述的方法,其中,所述步骤z还包括以下步骤:
-当所述由待处理的规则更新信息中获取的规则处理指令为规则删除指令时,在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中进行查询,来获得与所述匹配信息中至少一者相匹配的信息处理规则,并删除该查询所得的信息处理规则。
11.根据权利要求8至10中任一项所述的方法,其中,所述步骤z还包括以下步骤:
-当所述由待处理的规则更新信息中获取的规则处理指令为规则更新指令时,在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中进行查询,来获得与所述匹配信息中至少一者相匹配的信息处理规则,并根据由该待处理的规则更新信息中获取的更新信息来更新该查询所得的信息处理规则。
12.根据权利要求8至11中任一项所述的方法,其中,该方法还包括以下步骤:
-分别判断所获取的各个匹配信息是否能够进行所述数字签名处理;
-当判断所获取的所有匹配信息均不能进行所述数字签名处理,根据由所述待处理的规则更新信息中获取的规则处理指令,在用于存储与任何查询索引信息均无关的信息处理规则的单列规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规则;
其中,所述步骤y还包括以下步骤:
-当判断所获取的各个匹配信息中包含能够进行所述数字签名处理的匹配信息时,对能够进行所述数字签名处理的匹配信息中的至少一者进行所述数字签名处理来获得所述一个或多个查询索引信息。
13.根据权利要求8至12中任一项所述的方法,其中,所述步骤y还包括以下步骤:
-对所获取的至少一个匹配信息中的至少一者进行数字签名处理来获得数字处理结果,并结合预获取的该匹配信息对应的内容类型,来获得一个或多个查询索引信息。
14.根据权利要求8至13中任一项所述的方法,其中,所述至少一个匹配信息包括以下至少一种类型的匹配信息:
-地址类匹配信息;
-协议类匹配信息;
-服务类匹配信息。
15.一种用于查询信息处理规则的规则查询装置,其中,该规则查询装置包括:
第一获取装置,用于由待处理的网络传输信息中获取至少一个识别信息;
其中,该规则查询装置还包括第一索引获取装置以及第一查询装置,该第一索引获取装置以及第一查询装置根据所获取的所述至少一个识别信息中的每个识别信息来执行操作,其中:
所述第一索引获取装置用于对所获取的所述至少一个识别信息中的每个识别信息来进行数字签名处理,以获得该识别信息的一个或多个查询索引信息;
第一查询装置,用于在与该一个或多个查询索引信息相关的索引规则库中进行查询,以获得包含于所述索引规则库中且与所述网络传输信息匹配的信息处理规则。
16.根据权利要求15所述的规则查询装置,其中,所述第一索引获取装置还包括:
第一签名处理装置,用于对该识别信息进行所述数字签名处理来获得数字处理结果;
第一索引确定装置,根据所述数字处理结果,并结合预获取的该识别信息对应的字段类型,来确定该识别信息的一个或多个查询索引信息。
17.根据权利要求15或16所述的规则查询装置,其中,该规则查询装置还包括:
第二查询装置,用于在包含与任何查询索引信息均无关的多个信息处理规则的单列规则库中进行查询,以获得与所述网络传输信息匹配的信息处理规则。
18.根据权利要求15至17中任一项所述的规则查询装置,其中,该规则查询装置还包括:
选择装置,用于当所获得的与所述网络传输信息匹配的信息处理规则为多个时,根据预定的规则优先级,由所获得的所有与所述网络传输信息匹配的信息处理规则中选择一个信息处理规则。
19.根据权利要求15至18中任一项所述的规则查询装置,其中,所述至少一个识别信息包括以下至少一种类型的识别信息:
-地址类识别信息;
-协议类识别信息;
-服务类识别信息。
20.根据权利要求19所述的规则查询装置,其中,所述至少一个识别信息包括一个或多个包含IP地址的地址类识别信息,该规则查询装置中的第一索引获取装置和第一查询装置根据所获取的每个包含IP地址的地址类识别信息执行操作,其中,所述第一索引获取装置包括:
生成装置,用于对于一个包含IP地址的地址类识别信息,生成多个与该IP地址类识别信息部分相同的地址信息;
第一子索引获取装置,用于分别对所生成的多个地址信息进行所述数字签名处理,来获得与该IP地址类识别信息对应的多个查询索引信息。
21.根据权利要求20所述的第一索引获取装置,其中,所述第一子索引获取装置还包括:
第二签名处理装置,用于对所生成的多个地址信息进行所述数字签名处理来获得数字处理结果;
第二索引确定装置,用于根据所述数字处理结果,并结合预获取的该包含IP地址的地址类识别信息对应的字段类型,来确定该包含IP地址的地址类识别信息的多个查询索引信息。
22.一种用于增加、更新或删除信息处理规则的规则配置装置,其中,该规则配置装置包括:
第二获取装置,用于由待处理的规则更新信息中获取至少一个类型的匹配信息;
第二索引获取装置,用于对所获取的至少一个类型的匹配信息中的至少一者进行数字签名处理来获得一个或多个查询索引信息;
第一规则处理装置,用于根据由所述待处理的规则更新信息中获取的规则处理指令,来在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规则。
23.根据权利要求22所述的规则配置装置,其中,所述第一规则处理装置还包括:
规则增加装置,用于当所述由待处理的规则更新信息中获取的规则处理指令为规则建立指令时,在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加由该待处理的规则更新信息中获取的信息处理规则。
24.根据权利要求22或23所述的规则配置装置,其中,所述第一规则处理装置还包括:
规则删除装置,用于当所述由待处理的规则更新信息中获取的规则处理指令为规则删除指令时,在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中进行查询,来获得与所述匹配信息中至少一者相匹配的信息处理规则,并删除该查询所得的信息处理规则。
25.根据权利要求22至24中任一项所述的规则配置装置,其中,所述第一规则处理装置还包括:
规则更新装置,用于当所述由待处理的规则更新信息中获取的规则处理指令为规则更新指令时,在与根据所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中进行查询,来获得与所述匹配信息中至少一者相匹配的信息处理规则,并根据由该待处理的规则更新信息中获取的更新信息来更新该查询所得的信息处理规则。
26.根据权利要求22至25中任一项所述的规则配置装置,其中,该规则配置装置还包括:
判断装置,用于分别判断所获取的各个匹配信息是否能够进行所述数字签名处理;
第二规则处理装置,用于当判断所获取的所有匹配信息均不能进行所述数字签名处理,根据由所述待处理的规则更新信息中获取的规则处理指令,在用于存储与任何查询索引信息均无关的信息处理规则的单列规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规则;
其中,所述第二索引获取装置还包括:
第二子索引获取装置,用于当判断所获取的各个匹配信息中包含能够进行所述数字签名处理的匹配信息时,对能够进行所述数字签名处理的匹配信息中的至少一者进行所述数字签名处理来获得所述一个或多个查询索引信息。
27.根据权利要求22至26中任一项所述的规则配置装置,其中,所述第二索引获取装置包括:
第三子索引获取装置,用于对所获取的至少一个匹配信息中的至少一者进行数字签名处理来获得数字处理结果,并结合预获取的该匹配信息对应的内容类型,来获得一个或多个查询索引信息。
28.根据权利要求22至27中任一项所述的规则配置装置,其中,所述至少一个类型的匹配信息包括以下至少一项:
-地址类匹配信息;
-协议类匹配信息;
-服务类匹配信息。
29.一种网络设备,其中,该网络设备包括如权利要求15至21中至少一项所述的规则查询装置以及如权利要求22至28中至少一项所述的规则配置装置。
CN201110124520.XA 2011-05-13 2011-05-13 用于查询、增加、更新或删除信息处理规则的方法和设备 Active CN102184234B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110124520.XA CN102184234B (zh) 2011-05-13 2011-05-13 用于查询、增加、更新或删除信息处理规则的方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110124520.XA CN102184234B (zh) 2011-05-13 2011-05-13 用于查询、增加、更新或删除信息处理规则的方法和设备

Publications (2)

Publication Number Publication Date
CN102184234A true CN102184234A (zh) 2011-09-14
CN102184234B CN102184234B (zh) 2014-12-10

Family

ID=44570411

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110124520.XA Active CN102184234B (zh) 2011-05-13 2011-05-13 用于查询、增加、更新或删除信息处理规则的方法和设备

Country Status (1)

Country Link
CN (1) CN102184234B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103500191A (zh) * 2013-09-17 2014-01-08 华为技术有限公司 一种流表配置、查询、表项删除方法及装置
CN103631848A (zh) * 2012-08-23 2014-03-12 国际商业机器公司 决策服务中的有效规则执行
CN107577506A (zh) * 2017-08-07 2018-01-12 上海斐讯数据通信技术有限公司 一种数据预加载的方法和系统
CN108287901A (zh) * 2018-01-24 2018-07-17 百度在线网络技术(北京)有限公司 用于生成信息的方法和装置
CN111046388A (zh) * 2019-12-16 2020-04-21 北京智游网安科技有限公司 识别应用中第三方sdk的方法、智能终端及储存介质
CN113641708A (zh) * 2021-08-11 2021-11-12 华院计算技术(上海)股份有限公司 规则引擎的优化方法、数据匹配方法及装置、存储介质、终端

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1588365A (zh) * 2004-08-02 2005-03-02 中国科学院计算机网络信息中心 密文全文检索技术
CN1631016A (zh) * 2000-04-13 2005-06-22 英特尔公司 用于基于内容交换的网络设备
CN1801745A (zh) * 2006-01-13 2006-07-12 武汉大学 一种建立网络故障诊断规则库的方法
CN101056221A (zh) * 2007-03-29 2007-10-17 北京中星微电子有限公司 一种统计在网络传输中丢失数据的方法
US20080183857A1 (en) * 2007-01-31 2008-07-31 Ibm Corporation Method and Apparatus for Providing Transparent Network Connectivity

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1631016A (zh) * 2000-04-13 2005-06-22 英特尔公司 用于基于内容交换的网络设备
CN1588365A (zh) * 2004-08-02 2005-03-02 中国科学院计算机网络信息中心 密文全文检索技术
CN1801745A (zh) * 2006-01-13 2006-07-12 武汉大学 一种建立网络故障诊断规则库的方法
US20080183857A1 (en) * 2007-01-31 2008-07-31 Ibm Corporation Method and Apparatus for Providing Transparent Network Connectivity
CN101056221A (zh) * 2007-03-29 2007-10-17 北京中星微电子有限公司 一种统计在网络传输中丢失数据的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
明德廷等: "对加密的XML数据查询算法的研究与实现", 《计算机工程与科学》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103631848A (zh) * 2012-08-23 2014-03-12 国际商业机器公司 决策服务中的有效规则执行
US9798973B2 (en) 2012-08-23 2017-10-24 International Business Machines Corporation Efficient rule execution in decision services
CN103500191A (zh) * 2013-09-17 2014-01-08 华为技术有限公司 一种流表配置、查询、表项删除方法及装置
CN103500191B (zh) * 2013-09-17 2017-04-26 华为技术有限公司 一种流表配置、查询、表项删除方法及装置
CN107577506A (zh) * 2017-08-07 2018-01-12 上海斐讯数据通信技术有限公司 一种数据预加载的方法和系统
CN108287901A (zh) * 2018-01-24 2018-07-17 百度在线网络技术(北京)有限公司 用于生成信息的方法和装置
CN111046388A (zh) * 2019-12-16 2020-04-21 北京智游网安科技有限公司 识别应用中第三方sdk的方法、智能终端及储存介质
CN113641708A (zh) * 2021-08-11 2021-11-12 华院计算技术(上海)股份有限公司 规则引擎的优化方法、数据匹配方法及装置、存储介质、终端
CN113641708B (zh) * 2021-08-11 2022-07-26 华院计算技术(上海)股份有限公司 规则引擎的优化方法、数据匹配方法及装置、存储介质、终端

Also Published As

Publication number Publication date
CN102184234B (zh) 2014-12-10

Similar Documents

Publication Publication Date Title
CN102184234B (zh) 用于查询、增加、更新或删除信息处理规则的方法和设备
US10887233B2 (en) System and method of loading an exact match table and longest prefix match table
US10574574B2 (en) System and method for BGP sFlow export
CN104184664B (zh) 路由转发表项生成方法及装置
JP4213180B2 (ja) 受取られるパケットのパターンに基づいてルートを生成するためのルータにおける構成
CN103339887A (zh) 用于优化网络前缀列表搜索的方法
US9967177B2 (en) Control apparatus, communication system, switch control method and program
CN109639579B (zh) 组播报文的处理方法及装置、存储介质、处理器
JP2004517519A (ja) 高速インターネットプロトコルルートルックアップ遂行及びルーティング/フォワーディングテーブル管理のための装置及び方法
US11463360B2 (en) System and method for range matching
CN112367211B (zh) 一种设备命令行生成配置模板方法、装置及存储介质
US20140105215A1 (en) Converting addresses for nodes of a data center network into compact identifiers for determining flow keys for received data packets
CN105959219A (zh) 数据处理方法和装置
EP2833584A1 (en) Distributed storage system, control device, client terminal, method and program for distributing load
CN106487769B (zh) 一种访问控制列表acl的实现方法及装置
US10897422B2 (en) Hybrid routing table for routing network traffic
CN101902391A (zh) 基于智能的静态路由进行报文转发的方法和设备
CN107566298B (zh) 一种生成表项的方法和设备
Hemalatha et al. Real time prefix matching based IP lookup and update mechanism for efficient routing in networks
JP2016503267A (ja) ネットワークのプロトコルアドレスを扱う方法及び処理デバイス
US9544226B1 (en) Efficient address-based rule resolution in a network employing a bit-mapped index
CN109246014A (zh) 一种对ip地址进行快速分类的方法
CN113315708B (zh) 栅格化网关的实现系统、方法、计算机设备和存储介质
CN113923188B (zh) 用于IPv6/IPv4访问的无状态灵活映射算法
Brack et al. JitVector: Just-in-time code generation for network packet classification

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant