CN105306481A - 一种访问控制策略规则的操作方法 - Google Patents
一种访问控制策略规则的操作方法 Download PDFInfo
- Publication number
- CN105306481A CN105306481A CN201510770279.6A CN201510770279A CN105306481A CN 105306481 A CN105306481 A CN 105306481A CN 201510770279 A CN201510770279 A CN 201510770279A CN 105306481 A CN105306481 A CN 105306481A
- Authority
- CN
- China
- Prior art keywords
- operated
- rule
- mask
- access control
- control policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种访问控制策略规则的操作方法,所述方法包括:获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,判断所述第一待操作规则与所述第二待操作规则包含的防火墙策略元素数量及类别是否相同;若是,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足合并条件;若是,合并所述第一待操作规则与所述第二待操作规则;若否,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足归并条件;若是,归并所述第一待操作规则与所述第二待操作规则。
Description
技术领域
本发明实施例涉及网络安全领域,尤其涉及一种访问控制策略规则的操作方法。
背景技术
在全球移动互联网、大数据以及云计算兴起的时代,网络安全的关注度不断提升。
防火墙在网络安全领域占有最大的市场比例,访问控制策略(ACL,AccessControlList)的策略管理和处理性能成为防火墙的关键技术,在网络数据请求通过时根据数据报文头进行是否允许通过的判断,如图1所示。
大型企业级防火墙或者国家级防火墙的访问控制策略中的规则数量变更极快,往往会出现超过100万条的情况,如此大量的规则会极大的影响到防火墙的性能,甚至拖垮硬件设备,此外,由于访问控制策略变更过快将导致很多访问控制策略规则冲突和失效,严重占用防火墙系统资源。
发明内容
本发明提供一种访问控制策略规则的操作方法,以提高防火墙的数据包处理能力。
本发明实施例提供了一种访问控制策略规则的操作方法,所述方法包括:
获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,判断所述第一待操作规则与所述第二待操作规则包含的防火墙策略元素数量及类别是否相同;
若是,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足合并条件;
若是,合并所述第一待操作规则与所述第二待操作规则;
若否,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足归并条件;
若是,归并所述第一待操作规则与所述第二待操作规则。
本发明实施例提供的技术方案,通过将防火墙策略元素数量及类别相同的新产生的访问控制策略规则和访问控制策略规则集中的任一访问控制策略规则进行合并或归并,实现了对已存在的大量访问控制策略规则进行整合,在不影响数据放行规则的前提下大大减少访问控制策略规则数量,提高整体访问控制策略规则研判效率,同时解决了访问控制策略规则数量限制问题,使访问控制策略规则可以在超大型企业应用中无限配置。
附图说明
图1是现有技术中访问控制策略规则的数据放行过程示意图;
图2是本发明实施例一提供的访问控制策略规则的操作方法流程示意图;
图3是本发明实施例二提供的访问控制策略规则的操作方法流程示意图;
图4是本发明实施例二提供的归并算法结果保存在三角矩阵中的示意图;
图5是本发明实施例三提供的访问控制策略规则的操作方法流程示意图;
图6是本发明实施例四提供的IP源码及掩码关系比较算法流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图2是本发明实施例一提供的访问控制策略规则的操作方法流程示意图。本实施例可适用于访问控制策略规则的整合。
参见图2,本实施例提供的访问控制策略规则的操作方法具体可以包括如下:
步骤110、获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,判断所述第一待操作规则与所述第二待操作规则包含的防火墙策略元素数量及类别是否相同;
本实施例用于将新产生的访问控制策略规则与访问控制策略集中的访问控制策略进行合并或归并,以减少访问控制策略规则数量,达到提高防火墙的数据包处理能力,新产生的访问控制策略规则和访问控制策略规则集中的任一访问控制策略规则为本实施例的操作对象。因此首先获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则。判断所述第一待操作规则和所述第二待操作规则包含的防火墙策略元素数量及类别是否相同。其中防火墙策略元素指用以构成访问控制策略规则的参数类别,包括访问控制策略规则的源IP、目的IP、端口、特征串以及时间段。每个访问控制策略规则由至少一个上述防火墙策略元素组成,本实施例将包含所述防火墙策略元素数量和类别相同的访问控制策略规则分为一类。例如,第一待操作规则包括的防火墙策略规则为源IP和目的IP,第二待操作规则包括的防火墙策略规则也为源IP和目的IP,那么第一待操作规则和第二待操作规则属于同类规则。本发明技术方案针对同类访问控制策略规则进行合并或归并。
进一步的,所述获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,包括:
针对所述第一待操作规则,重复获取第二待操作规则,直至所述访问控制策略规则集中不存在剩余的访问控制策略规则。
访问控制策略规则集包括多个已存在的访问控制策略规则,为使合并或归并操作最大程度的提高防火墙性能,需要依次判断新产生的访问控制策略规则与访问控制策略规则中的所有访问控制策略规则是否可以合并或归并,即首先针对所述第一待操作规则,重复获取第二待操作规则,直至所述访问控制策略规则集中不存在剩余的访问控制策略规则。需要说明的是,上述重复获取第二待操作规则之前,根据优先级顺序对访问控制策略规则集中的规则进行排序,具体的,可以按照形成时间从近至远的顺序排列。
步骤120、若是,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足合并条件;
确定第一待操作规则与第二待操作规则包含的防火墙策略元素数量及类别相同后,判断第一待操作规则和第二待操作规则相同防火墙策略元素之间是否满足合并条件,值得注意的是,第一待操作规则和第二待操作规则所有相同防火墙策略元素之间均需判断是否满足合并条件。
具体的,所述满足合并条件,包括:
所述第一待操作规则与所述第二待操作规则所有相同元素之间满足任一种合并条件,所述合并条件包括以下三种,
所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心位数相同、值相同,且源码和掩码与值相等;
所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心位数不同、掩码不关心位数之差与掩码不相同位数相等、除去掩码与值不关心的位数,掩码的其他位相同,且源码和掩码与值相等;
所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心位数相同、值相同、源码和掩码与值不相等,且源码和掩码与值中存在1位不相同。
需要说明的是,本实施例中的掩码是针对防火墙策略元素源码对应设置的,与传统意义上的掩码不同,本方案掩码中“0”表示不关心这个0所在的“位”。
步骤130、若是,合并所述第一待操作规则与所述第二待操作规则;
合并第一待操作规则与第二待操作规则只是将上述两个规则用一个同类别的概括性访问控制策略规则替代上述两个规则,并没有引入新的访问控制策略规则。当第一待操作规则和第二待操作规则所有相同元素之间都满足合并条件时,合并第一待操作规则和第二待操作规则。具体的,当访问控制策略规则集中包括不止一个可以和新产生的访问控制策略规则合并的访问控制策略规则时,选择优先级最高的访问控制策略与新产生的访问控制策略规则合并。
步骤140、若否,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足归并条件;
确定第一待操作规则和第二待操作规则不能合并时,进一步判断第一待操作规则与第二待操作规则所有相同防火墙策略元素之间是否满足归并条件。
步骤150、若是,归并所述第一待操作规则与所述第二待操作规则。
归并第一待操作规则与第二待操作规则是引入至少一个新的访问控制策略规则,使第一待操作规则、第二待操作和引入的至少一个新的访问控制策略规则连续后,使用一个同类高优先级别的访问控制策略规则或不同类别访问控制策略规则替代上述规则。当第一待操作规则和第二待操作规则所有相同元素之间都满足归并条件时,归并第一待操作规则和第二待操作规则。
进一步的,所述满足归并条件,包括:
所述第一待操作规则与所述第二待操作规则所有相同元素之间满足任一种归并条件,所述归并条件包括以下四种,
所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数相同、值相同、源码和掩码与值不相等,源码和掩码与值不相同位数大于1,且将掩码中与所述不相同位对应的位变为0后,增加的元素值个数小于指定值或增加的比例小于指定值;
所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数不同、掩码不关心的位数之差与掩码不相同的位数不相等、将掩码中与源码和掩码与值不相同位对应的位变为0后,增加的元素值个数小于指定值或增加的比例小于指定值;
所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数不同、掩码不关心的位数之差与掩码不同的位数相等、除去掩码与值不关心的位数,掩码的其他位存在不同的位,且将掩码与所述不相同位对应的位变为0后,增加的元素值个数小于指定值或增加的比例小于指定值;
所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数相同、值不同、除去掩码与值不关心的位数,掩码的其他位存在不同的位,且将掩码与所述不相同位对应的位变为0后,增加的元素值个数小于指定值或增加的比例小于指定值。
本实施例提供的技术方案,通过将防火墙策略元素数量及类别相同的新产生的访问控制策略规则和访问控制策略规则集中的任一访问控制策略规则进行合并或归并,实现了对已存在的大量访问控制策略规则进行整合,在不影响数据放行规则的前提下大大减少访问控制策略规则数量,提高整体访问控制策略规则研判效率,同时解决了访问控制策略规则数量限制问题,使访问控制策略规则可以在超大型企业应用中无限配置。
实施例二
本实施例在上述实施例一的基础上,对归并第一待操作规则与第二待操作规则的过程作进一步的解释。图3是本发明实施例二提供的访问控制策略规则的操作方法流程示意图,如图3所示,本实施例提供的访问控制策略规则的操作方法具体可以包括如下:
步骤210、获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,判断所述第一待操作规则与所述第二待操作规则包含的防火墙策略元素数量及类别是否相同;
步骤220、若是,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足合并条件;
步骤230、若是,合并所述第一待操作规则与所述第二待操作规则;
步骤240、若否,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足归并条件;
步骤250、若是,依次对所述第一待操作规则与所述第二待操作规则所有相同元素做归并算法;
确定第一待操作规则与第二待操作规则所有相同防火墙策略元素之间满足归并条件后,对第一待操作规则与第二待操作规则所有相同防火墙策略元素做归并算法。归并算法用以对第一待操作规则与第二待操作规则相同防火墙策略元素进行计算,得到第一待操作规则与第二待操作规则归并后增加的防火墙策略元素值个数与归并前防火墙策略元素值个数的百分比。其中,所述归并后增加的防火墙策略元素值是指第一待操作规则与第二待操作规则相同防火墙策略元素在第一待操作规则与第二待操作规则归并后增加的总防火墙策略元素值。例如,第一待操作规则包括的防火墙策略元素为源IP和目的IP,第二待操作规则包括的防火墙策略元素也为源IP和目的IP,若确定第一待操作规则和第二待操作规则所有相同元素,即源IP和目的IP都满足归并条件,将第一待操作规则和第二待操作规则归并后增加的源IP值和目的IP值的总个数,作为归并后增加的防火墙策略元素值个数。
步骤260、根据所述第二待操作规则在访问控制策略规则集中的排列顺序,将归并算法结果保存在三角矩阵对应的位置;
归并算法结果为第一待操作规则和第二待操作规则归并后增加的防火墙策略元素值个数与归并前防火墙策略元素值个数的百分比。访问控制策略规则在访问控制策略规则集中按照优先级顺序排列,从访问控制策略规则集中获取的第二待操作规则有各自的顺序编号,新产生的访问控制策略规则也可以进行排序,并跟随访问控制策略规则集中的访问控制策略规则进行顺次编号。根据做归并处理的新产生的访问控制策略规则以及第二待操作规则的编号即可将对应的归并算法结果保存在对应的三角矩阵中。
图4是本发明实施例二提供的归并算法结果保存在三角矩阵中的示意图。如图4所示,a(i,j)(i=0、1、2……n-1,j=1、2、3……n)为编码为i的访问控制策略规则与编码为j的访问控制策略规则归并后增加的防火墙策略元素值个数与归并前防火墙策略元素值个数的百分比。
步骤270、按照归并后增加的元素值个数与归并前元素值个数的百分比最小的方式进行归并。
归并后增加的防火墙策略元素值个数与归并前防火墙策略元素值个数的百分比最小说明归并操作后防火墙的数据处理能力越好,因此按照归并后增加的防火墙策略元素值个数与归并前防火墙策略元素值个数的百分比最小的方式进行归并。
进一步的,所述根据所述第二待操作规则在访问控制策略规则集中的排列顺序,将归并算法结果保存在三角矩阵对应的位置之后,还包括:
将所述三角矩阵中的归并算法结果按数值降序排列,并存储在预设的队列中。
归并算法结果将第一待操作规则和第二待操作规则做归并算法结果放置在三角矩阵中,不方便直接获取值最小的归并算法结果,因此,将三角矩阵中的归并算法结果按照数值从小到大的顺序排列,并对应存入预设好的队列中,这样每次提取队列的第一个值即可方便快捷的得到数值最小的归并算法结果,进而推断出最佳的归并方式。
本实施例提供的技术方案,通过将防火墙策略元素数量及类别相同的新产生的访问控制策略规则和访问控制策略规则集中的任一访问控制策略规则进行合并或归并,将归并算法结果保存在三角矩阵中,并进一步对归并算法结果进行排序,采用预设的队列存储排列后的归并算法结果,实现了快速获取最佳归并方式,在不影响数据放行规则的前提下大大减少访问控制策略规则数量,提高整体访问控制策略规则研判效率,同时解决了访问控制策略规则数量限制问题,使访问控制策略规则可以在超大型企业应用中无限配置。
实施例三
本实施例在上述实施例的基础上提供一种访问控制策略规则的操作方法,所述方法中第一操作规则和第二操作规则的整合在虚拟规则表中进行,经用户确认后,对应操作硬件中存储的访问控制策略规则。图5是本发明实施例三提供的访问控制策略规则的操作方法流程示意图,如图5所示,本实施例提供的访问控制策略规则的操作方法具体可以包括如下:
步骤310、根据硬件中实际存储的访问控制策略规则集,在内存中形成对应的虚拟访问控制策略规则表,用于实现对访问控制策略规则进行实际操作前的虚拟操作。
直接对硬件中存储的访问控制策略规则进行操作可能会出现由于操作过程不确定导致的错误,在不便于进行撤销操作的情况下,就会使访问控制策略规则出现混乱。为避免上述问题,并提高操作效率,本实施例对应于硬件中实际存储的访问控制策略规则集,在内存中建立虚拟访问控制策略规则表,后续对访问控制策略规则的操作均先在这个虚拟访问控制策略规则表中进行。
步骤320、获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,判断所述第一待操作规则与所述第二待操作规则包含的防火墙策略元素数量及类别是否相同;
步骤330、若是,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足合并条件;
步骤340、若是,合并所述第一待操作规则与所述第二待操作规则;
步骤350、若否,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足归并条件;
步骤360、若是,归并所述第一待操作规则与所述第二待操作规则。
步骤370、根据用户的确认归并指令,控制硬件中实际存储的访问控制策略规则集原始规则表中的规则进行相应的合并或归并。
在虚拟访问控制策略规则表中确定访问控制策略规则最佳的合并或归并方式后,将该方式对应的操作过程展示给用户,经用户确认后,根据用户的确认指令,按照虚拟访问控制策略规则表中的操作方式对硬件中实际存储的访问控制策略规则进行合并或归并。
本实施例提供的技术方案,通过在虚拟访问控制策略规则表中将防火墙策略元素数量及类别相同的新产生的访问控制策略规则和访问控制策略规则集中的任一访问控制策略规则进行合并或归并,并在用户确认后,按照虚拟访问控制策略规则表的合并或归并方式,对硬件中实际存储的访问控制策略规则进行对应的操作,避免了错误操作对访问控制策略规则的不良影响,并在不影响数据放行规则的前提下大大减少访问控制策略规则数量,提高整体访问控制策略规则研判效率,同时解决了访问控制策略规则数量限制问题,使访问控制策略规则可以在超大型企业应用中无限配置。
实施例四
本实施例为上述实施例方案的具体实施例,本实施例以第一待操作规则和第二待操作规则的防火墙策略元素是IP地址为例,对上述实施例做进一步的解释。
图6是本发明实施例四提供的IP源码及掩码关系比较算法流程图。需要说明的是,由于源IP和目的IP均属于IP,具体比较过程相同,本实施例在此不做区分,仅使用IP举例说明。图6所示比较算法适用于上述源IP和掩码以及目的IP和IP掩码关系的比较,由于其他的防火墙策略元素,即端口、特征串以及时间段,都是以二进制码形式存储的,并在本实施例中可为其配置对应的掩码,因此图6中所示的IP源码及掩码关系比较过程也适用于上述防火墙策略元素关系的比较。为便于描述,图6中用ip1和ipmask1分别表示第一待操作规则防火墙策略元素IP的源码和掩码,用ip2和ipmask2分别表示第二待操作规则防火墙策略元素IP的源码和掩码。
如图6所示,所述IP源码及掩码关系比较算法具体包括:
步骤401、判断ipmask1和ipmask2中0的个数是否相等,若是,则执行步骤402,若否,则执行步骤405;
步骤402、判断ipmask1和ipmask2的值是否相等,若是,则执行步骤403,若否,则执行步骤411;
步骤403、判断ip1和ipmask1与值与ip2和ipmask2与值是否相等,若是,则确定返回值nRet为0,若否,则执行步骤404;
步骤404、判断ip1和ipmask1与值与ip2和ipmask2与值不一样的位数是否只有1位,若是,则确定返回值nRet为3,若否,则执行步骤413;
步骤405、计算ipmask1和ipmask2与值maskand;
步骤406、计算ipmask1和ipmask2包含0的个数差;
步骤407、计算ipmask1和ipmask2不同位的个数;
步骤408、判断ipmask1和ipmask2包含0的个数差与ipmask1和ipmask2不同位的个数是否相等,若是,则执行步骤409,若否,则执行步骤412;
步骤409、判断ip1和maskand与值是否等于ip2和maskand与值,若是,执行步骤410,若否,执行步骤412;
步骤410、判断ipmask1中0的个数是否大于ipmask2中0的个数,若是,则确定返回值nRet为1,若否,则确定返回值nRet为2;
步骤411、计算ipmask1和ipmask2与值maskand;
步骤412、计算ip1和maskand与值和ip2和maskand与值不一样的位数;
步骤413、计算将步骤412中所述不一样的位变为0后,增加的ip个数;
步骤414、判断步骤413中所述增加的ip个数是否小于指定值,或与所述增加的ip个数对应增加的比例(增加的ip个数与归并前ip个数的比值)是否小于指定值,若是,则确定返回值nRet为4,若否,则确定返回值nRet为-1。
值得注意的是,图6中的比较算法定义返回值为nRet,比较结果中返回值为0表示第一待操作规则和第二待操作规则的防火墙策略元素重复;比较结果中返回值为1表示第一待操作规则的防火墙策略元素源码和掩码与值包含第二待操作规则的防火墙策略元素源码和掩码与值;比较结果中返回值为2表示第二待操作规则的防火墙策略元素源码和掩码与值包含第一待操作规则的防火墙策略元素源码和掩码与值;比较结果中返回值为3表示第一待操作规则和第二待操作规则的防火墙策略元素可以合并;比较结果中返回值为4表示第一待操作规则和第二待操作规则的防火墙策略元素可以归并;比较结果中返回值为-1表示第一待操作规则和第二待操作规则的防火墙策略元素既不可以合并也不可以归并。其中,第一待操作规则和第二待操作规则的防火墙策略元素重复、第一待操作规则的防火墙策略元素源码和掩码与值包含第二待操作规则的防火墙策略元素源码和掩码与值、第二待操作规则的防火墙策略元素源码和掩码与值包含第一待操作规则的防火墙策略元素源码和掩码与值,以及第一待操作规则和第二待操作规则的防火墙策略元素可以合并,均表示第一待操作规则和第二待操作规则的防火墙策略元素满足合并条件。比较结果中返回值为4的方式有四个,表示第一待操作规则和第二待操作规则的防火墙策略元素满足归并条件的情况有图6所示四种。
示例性的,本实施例提供下述几种IP及掩码间关系,用于具体说明图6所示比较算法过程。为了简单起见,假设IP及掩码四个域的前面三个域相等,以第四个域为例,其它情况类似,只要将bit位从8位扩展到32位即可。
本实施例以掩码的二进制数值中0的个数(也即掩码不关心的位数)相等和不相等两种情况分类说明。设置下述比较过程中,ip1和ipmask1分别为第一待操作规则的IP源码和IP掩码,ip2和ipmask2分别为第二待操作规则的IP源码和IP掩码。
1)掩码的二进制数值中0的个数(不关心的位数)相等的情况
e.g.1
ip1:10110101ipmask1:11111111
ip2:10110101ipmask2:11111111
e.g.1情况下,ip1=ip2,ipmask1=ipmask2,第一待操作规则防火墙策略元素IP和第二待操作规则防火墙策略元素IP完全相等,存在ip1&ipmask1=ip2&ipmask2,ipmask1=ipmask2,即图6中返回值为0的情况。
e.g.2
ip1:10110101ipmask1:11111100
ip2:10110111ipmask2:11111100
e.g.3
ip1:10110101ipmask1:11110011
ip2:10111101ipmask2:11110011
e.g.2和e.g.3情况下,第一待操作规则防火墙策略元素IP和第二待操作规则防火墙策略元素IP等价相等,即除去两者掩码均不关心的位,两者源码剩余位相等,也存在ip1&ipmask1=ip2&ipmask2,ipmask1=ipmask2,即图6中返回值为0的情况。
e.g.4
ip1:10110101ipmask1:11111100
ip2:10111111ipmask2:11111100
e.g.5
ip1:10110101ipmask1:11111001
ip2:10111111ipmask2:11111001
e.g.4情况下,ipmask1=ipmask2,ip1&ipmask1≠ip2&ipmask2,且除去两者均不关心的最后两位,两者源码高六位中只有bit3(从右往左顺序第4位)是不相等的,即图6中返回值为3的情况,说明第一待操作规则防火墙策略元素IP和第二待操作规则防火墙策略元素IP是可以合并的。
e.g.5与e.g.4类似,只是掩码中不关心的位在中间。
e.g.4与e.g.5这两种情况的特点是ipmask1=ipmask2,(ip1&ipmask1)xor(ip2&ipmask2)的结果中只有一个bit位为1,其它bit位全为0。
e.g.6
ip1:10000101ipmask1:11111100
ip2:10111111ipmask2:11111100
e.g.7
ip1:10000101ipmask1:11111001
ip2:10111111ipmask2:11111001
e.g.6情况下,ipmask1=ipmask2,ip1&ipmask1≠ip2&ipmask2,且除去两者均不关心的最后两位,两者源码高六位中高六位中bit3,bit4,bit5这三位不一样,此时如果忽略不一样的三位,掩码变为11000100,ip个数变为(2^5=32),归并前的两者包含的ip个数均为(2^2=4),相较于归并前ip增加了(32–4×2=24)个ip。若归并算法中的指定值大于24,即图6中返回值为4的情况,第一待操作规则防火墙策略元素IP和第二待操作规则防火墙策略元素IP可以归并;若归并算法中的指定值小于24,即图6中返回值为-1的情况,第一待操作规则防火墙策略元素IP和第二待操作规则防火墙策略元素IP既不可以合并也不可以归并。
e.g.7与e.g.6是类似的,只是掩码中不关心的位在中间。
e.g.6与e.g.7这两种情况的特点是ipmask1=ipmask2,(ip1&ipmask1)xor(ip2&ipmask2)的结果中bit位为1的个数为n(n>1),假设掩码中不关心的位数为m,则归并后相较于归并前增加的ip个数为(2^(n+m)-2×2^m),其中2^m表示2的m次方。
e.g.8
ip1:10110101ipmask1:11111100
ip2:10110111ipmask2:11111001
e.g.9
ip1:10110101ipmask1:11111010
ip2:10110111ipmask2:11111001
e.g.10
ip1:10110101ipmask1:11111010
ip2:10110111ipmask2:11111100
e.g.8情况下,ipmask1≠ipmask2,除去两者不关心位的集(即最后三位),两者源码其它位均一样,此时比较归并前与归并后的ip个数变化,首先计算归并前的两者包含的ip个数:ip1与ipmask1中包含的ip有(10110100,10110101,10110110,10110111),ip2与ipmask2中包含的ip有(10110001,10110011,10110101,10110111),除去两者重复的ip,共计6个;然后计算归并后的ip个数,2^3=8,因此归并后相较于归并前增加了两个ip。若归并算法中的指定值大于2,即图6中返回值为4的情况,第一待操作规则防火墙策略元素IP和第二待操作规则防火墙策略元素IP可以归并;若归并算法中的指定值小于2,即图6中返回值为-1的情况,第一待操作规则防火墙策略元素IP和第二待操作规则防火墙策略元素IP既不可以合并也不可以归并。
e.g.9和e.g.10与e.g.8是一样的。
e.g.8、e.g.9与e.g.10这三种情况的特点是ipmask1!=ipmask2,(ip1&ipmask1&ipmask2)=(ip2&ipmask1&ipmask2),第一待操作规则防火墙策略元素IP和第二待操作规则防火墙策略元素IP包含的ip有重复,这些重复的ip在计算ip个数的时候需要除去,而且重复的个数是有规律的,下面结合e.g.11和e.g.12进行说明。
e.g.11
ip1:10000101ipmask1:11111100
ip2:10001111ipmask2:11110011
e.g.12
ip1:10100101ipmask1:11101110
ip2:10111101ipmask2:11110011
e.g.11情况下,ipmask1≠ipmask2,除去两者不关心位的集(即最后四位),两者源码其它位均一样,此时比较归并前与归并后的ip个数变化,首先计算归并前的两者包含的ip个数:ip1与ipmask1中包含的ip有(10000100,10000101,10000110,10000111),ip2与ipmask2中包含的ip有(10000011,10000111,10001011,10001111),有1个重复的ip,因此ip个数共计为2×2^2-1=7;然后计算归并后的ip个数,2^4=16,因此归并后相对于归并前增加了9个ip。
e.g.12与e.g.11类似的,归并后相较于归并前增加了9个ip。
综上可推导重复ip个数的计算:从e.g.8中可以看出,ipmask1与ipmask2中公共为0的bit位个数为1,两者对应的源码和掩码的与值重复的ip个数为2;e.g.11中的ipmask1与ipmask2中公共为0的bit位个数为0,两者对应的源码和掩码的与值重复的ip个数为1。因此可以看出,重复的ip个数与两个掩码中公共为0的bit位个数q是有关系的,不难推出,这种情况的ip重复个数为2的q次方,假设ipmask1h和ipmask2与值二进制数值位为0的个数为n,ip1和ip2与值二进制数值位为0的个数为m,则归并后增加的ip个数为(2^(n+n-q)-2^n–2^n+2^q)。
e.g.13
ip1:10010101ipmask1:11111100
ip2:10001111ipmask2:11110011
e.g.14
ip1:10100111ipmask1:11101110
ip2:10111101ipmask2:11110011
e.g.13情况下,ipmask1≠ipmask2,除去两者不关心位的集(即最后四位),两者源码其它位中bit4是不一样的,忽略bit4位,掩码变为11100000,此时比较归并前与归并后的ip个数变化,先计算归并前的两者包含的ip个数:ip1与ipmask1中包含的ip有(10000100,10000101,10000110,10000111),ip2与ipmask2中包含的ip有(10010011,10010111,10011011,10011111),没有重复的ip,因此ip个数共计2×2^2=8;然后计算归并后的ip个数:2^5=32,相对于归并前增加了24个ip。若归并算法中的指定值大于24,即图6中返回值为4的情况,第一待操作规则防火墙策略元素IP和第二待操作规则防火墙策略元素IP可以归并;若归并算法中的指定值小于24,即图6中返回值为-1的情况,第一待操作规则防火墙策略元素IP和第二待操作规则防火墙策略元素IP既不可以合并也不可以归并。
e.g.14与e.g.13类似的,归并后相较于归并前增加了24个ip。
e.g.13与e.g.14这两种情况的特点是ipmask1!=ipmask2,(ip1&ipmask1&ipmask2)xor(ip2&ipmask1&ipmask2)的结果中bit位为1的个数为m(m>=1),两者包含的ip没有重复,假设两个掩码的二进制数值位为0的个数为n,则归并后相较于归并前增加的ip个数为(2^(n+m)-2^n–2^n)。2)掩码的二进制数值中0的个数(不关心的位数)不相等的情况
e.g.15
ip1:10000101ipmask1:11111100
ip2:10001111ipmask2:11110000
e.g.16
ip1:10100111ipmask1:11111100
ip2:10111101ipmask2:11110100
e.g.15情况下,ipmask1和ipmask2二进制数值中0的个数差为2,ipmask1和ipmask2二进制数值中不同位数差也为2,除去两者不关心位的集(即最后四位),两者源码其它位一样,因此ip2和ipmask2与值是包含ip1和ipmask1与值的,即图6中返回值为2的情况。
e.g.16与e.g.15类似。
e.g.15与e.g.16这两种情况的特点是ipmask1和ipmask2与值是包含关系,(ip1&ipmask1&ipmask2)=(ip2&ipmask1&ipmask2)。
e.g.17
ip1:10010101ipmask1:11111100
ip2:10001111ipmask2:11110000
e.g.18
ip1:10100111ipmask1:11111100
ip2:10111101ipmask2:11110100
e.g.17情况下,ipmask1和ipmask2二进制数值中0的个数差为2,ipmask1和ipmask2二进制数值中不同位数差也为2,除去两者不关心位的集(即最后四位),两者源码其它位bit4是不一样的,忽略bit4位,掩码变为11100000,此时比较归并前与归并后的ip个数变化,先计算归并前的两者包含的ip个数:ip1与ipmask1中包含的ip有2^2=4个,ip2与ipmask2中包含的ip有2^4=16个,没有重复的ip,因此ip个数共计为20个;然后计算归并后的ip个数:2^5=32,因此增加了12个ip。若归并算法中的指定值大于12,即图6中返回值为4的情况,第一待操作规则防火墙策略元素IP和第二待操作规则防火墙策略元素IP可以归并;若归并算法中的指定值小于12,即图6中返回值为-1的情况,第一待操作规则防火墙策略元素IP和第二待操作规则防火墙策略元素IP既不可以合并也不可以归并。
e.g.18与e.g.17的计算类似,归并后掩码为11100100,增加了(2^4–2^2–2^3=4)个ip。若归并算法中的指定值大于4,即图6中返回值为4的情况,第一待操作规则防火墙策略元素IP和第二待操作规则防火墙策略元素IP可以归并;若归并算法中的指定值小于4,即图6中返回值为-1的情况,第一待操作规则防火墙策略元素IP和第二待操作规则防火墙策略元素IP既不可以合并也不可以归并。
e.g.17与e.g.18这两种情况的特点是ipmask1和ipmask2与值二进制数值中为0的位是对齐的,(ip1&ipmask1&ipmask2)xor(ip2&ipmask1&ipmask2)的结果中bit位为1的个数为m(m>=1),两者包含的ip没有重复,ipmask1二进制数值位为0的个数为n1,ipmask2二进制数值位为0的个数为n2,则归并后增加的ip个数为(2^(max(n1,n2)+m)-2^n1–2^n2)。
e.g.19
ip1:10010101ipmask1:11111100
ip2:10001111ipmask2:11100011
e.g.19情况下,ipmask1和ipmask2二进制数值中0的个数差为1,ipmask1和ipmask2二进制数值中不同位数差为0,除去两者不关心位的集(即最后五位),两者源码其它位一样,此时比较归并前与归并后的ip个数变化,首先计算归并前两者包含的ip个数:ip1与ipmask1中包含的ip有4个(10010100,10010101,10010110,10010111),而ip2与ipmask2中包含的ip有8个(10000011,10000111,10001011,10001111,10010011,10010111,10011011,10011111),这里有1个重复的ip10010111,因此ip个数共计为11个;再计算归并后的ip个数:2^5=32,因此相较与归并前增加了21个ip。这种情况的特点是ipmask1与ipmask2的二进制数值为0的位是没有对齐的,(ip1&ipmask1&ipmask2)=(ip2&ipmask1&ipmask2),两者包含的ip有重复,重复的ip个数计算参看上面的e.g.11,假设与两个掩码中公共为0的bit位个数q是有关系的,不难推出,ip重复个数为2的q次方,假设ipmask1二进制数值位为0的个数为n1,ipmask2二进制数值位为0的个数为n2,则归并后增加的ip个数为(2^(n1+n2-q)-2^n1–2^n2+2^q)。
确定两个掩码中二进制数值位为0的位是否对齐的推导如下:e.g.17中两个掩码二进制数值位为0的位是对齐的,而e.g.19中两个掩码中二进制数值位为0的位是没有对齐的,比较两个掩码的每一位,不难发现前者两个掩码的不相同的位数与两个掩码二进制为0的位数差值相等,而后者两个掩码的不相同的位数与两个掩码二进制为0的位数差值不相等,由这个规律可以确定两个掩码中二进制位为0的位是否对齐。
e.g.20
ip1:10000101ipmask1:11111100
ip2:10001111ipmask2:11110001
e.g.20的分析过程与e.g.19一样,只不过这里ipmask1与ipmask2的二进制数值位为0的公共位数为1,两者包含的ip重复个数为2^1=2。
e.g.21
ip1:10010101ipmask1:11111100
ip2:10101111ipmask2:11100011
e.g.21与e.g.19的区别在于,除去两者不关心位的集(即最后五位),两者源码其它位bit3是不一样的,这样两者包含的ip没有重复部分,归并后的ip计算为:假设(ip1&ipmask1&ipmask2)xor(ip2&ipmask1&ipmask2)的结果中bit位为1的个数为m(m>=1),ipmask1二进制数值位为0的个数为n1,ipmask2二进制数值位为0的个数为n2,则归并后增加的ip个数为(2^(n1+n2+m)-2^n1–2^n2)。
本发明实施例提供的技术方案,通过以IP为例,具体说明了第一待操作规则和第二待操作规则合并或归并过程,上述访问控制策略规则的操作,在不影响数据放行规则的前提下大大减少访问控制策略规则数量,提高整体访问控制策略规则研判效率,同时解决了访问控制策略规则数量限制问题,使访问控制策略规则可以在超大型企业应用中无限配置。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (9)
1.一种访问控制策略规则的操作方法,其特征在于,包括:
获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,判断所述第一待操作规则与所述第二待操作规则包含的防火墙策略元素数量及类别是否相同;
若是,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足合并条件;
若是,合并所述第一待操作规则与所述第二待操作规则;
若否,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足归并条件;
若是,归并所述第一待操作规则与所述第二待操作规则。
2.根据权利要求1所述的方法,其特征在于,所述获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,包括:
针对所述第一待操作规则,重复获取第二待操作规则,直至所述访问控制策略规则集中不存在剩余的访问控制策略规则。
3.根据权利要求2所述的方法,其特征在于,所述归并所述第一待操作规则与所述第二待操作规则,包括:
依次对所述第一待操作规则与所述第二待操作规则所有相同元素做归并算法;
根据所述第二待操作规则在访问控制策略规则集中的排列顺序,将归并算法结果保存在三角矩阵对应的位置;
按照归并后增加的元素值个数与归并前元素值个数的百分比最小的方式进行归并。
4.根据权利要求3所述的方法,其特征在于,所述根据所述第二待操作规则在访问控制策略规则集中的排列顺序,将归并算法结果保存在三角矩阵对应的位置之后,还包括:
将所述三角矩阵中的归并算法结果按数值降序排列,并存储在预设的队列中。
5.根据权利要求1所述的方法,其特征在于,所述获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则之前,还包括:
根据硬件中实际存储的访问控制策略规则集,在内存中形成对应的虚拟访问控制策略规则表,用于实现对访问控制策略规则进行实际操作前的虚拟操作。
6.根据权利要求5所述的方法,其特征在于,所述归并所述第一待操作规则与所述第二待操作规则之后,还包括:
根据用户的确认归并指令,控制硬件中实际存储的访问控制策略规则集原始规则表中的规则进行相应的合并或归并。
7.根据权利要求1-6任一所述的方法,其特征在于,所述满足合并条件,包括:
所述第一待操作规则与所述第二待操作规则所有相同元素之间满足任一种合并条件,所述合并条件包括以下三种,
所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心位数相同、值相同,且源码和掩码与值相等;
所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心位数不同、掩码不关心位数之差与掩码不相同位数相等、除去掩码与值不关心的位数,掩码的其他位相同,且源码和掩码与值相等;
所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心位数相同、值相同、源码和掩码与值不相等,且源码和掩码与值中存在1位不相同。
8.根据权利要求1-6任一所述的方法,其特征在于,所述满足归并条件,包括:
所述第一待操作规则与所述第二待操作规则所有相同元素之间满足任一种归并条件,所述归并条件包括以下四种,
所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数相同、值相同、源码和掩码与值不相等,源码和掩码与值不相同位数大于1,且将掩码中与所述不相同位对应的位变为0后,增加的元素值个数小于指定值或增加的比例小于指定值;
所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数不同、掩码不关心的位数之差与掩码不相同的位数不相等、将掩码中与源码和掩码与值不相同位对应的位变为0后,增加的元素值个数小于指定值或增加的比例小于指定值;
所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数不同、掩码不关心的位数之差与掩码不同的位数相等、除去掩码与值不关心的位数,掩码的其他位存在不同的位,且将掩码与所述不相同位对应的位变为0后,增加的元素值个数小于指定值或增加的比例小于指定值;
所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数相同、值不同、除去掩码与值不关心的位数,掩码的其他位存在不同的位,且将掩码与所述不相同位对应的位变为0后,增加的元素值个数小于指定值或增加的比例小于指定值。
9.根据权利要求1-8任一所述的方法,其特征在于:所述防火墙策略元素为IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510770279.6A CN105306481B (zh) | 2015-11-12 | 2015-11-12 | 一种访问控制策略规则的操作方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510770279.6A CN105306481B (zh) | 2015-11-12 | 2015-11-12 | 一种访问控制策略规则的操作方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105306481A true CN105306481A (zh) | 2016-02-03 |
| CN105306481B CN105306481B (zh) | 2018-06-19 |
Family
ID=55203231
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510770279.6A Active CN105306481B (zh) | 2015-11-12 | 2015-11-12 | 一种访问控制策略规则的操作方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105306481B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105959331A (zh) * | 2016-07-19 | 2016-09-21 | 上海携程商务有限公司 | 防火墙策略的优化方法及装置 |
| CN106230736A (zh) * | 2016-07-19 | 2016-12-14 | 东软集团股份有限公司 | 一种网络访问策略的合并方法及装置 |
| CN106875078A (zh) * | 2016-08-03 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 交易风险检测方法、装置及设备 |
| CN109672567A (zh) * | 2019-01-10 | 2019-04-23 | 南京极域信息科技有限公司 | 一种实现网路跟随策略方法 |
| CN110291764A (zh) * | 2016-12-22 | 2019-09-27 | Nicira股份有限公司 | 识别和调整无效的防火墙规则 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1658568A (zh) * | 2004-02-19 | 2005-08-24 | 华夏银行 | 电子保管箱及其管理方法 |
| CN101459576A (zh) * | 2007-12-14 | 2009-06-17 | 上海博达数据通信有限公司 | 一种ip acl归并优化处理的实现方法 |
| CN102195868A (zh) * | 2010-12-17 | 2011-09-21 | 曙光信息产业(北京)有限公司 | 一种用于对网络报文高效动态分类的方法和设备 |
| CN103561026A (zh) * | 2013-11-04 | 2014-02-05 | 神州数码网络(北京)有限公司 | 硬件访问控制列表的更新方法、更新装置和交换机 |
-
2015
- 2015-11-12 CN CN201510770279.6A patent/CN105306481B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1658568A (zh) * | 2004-02-19 | 2005-08-24 | 华夏银行 | 电子保管箱及其管理方法 |
| CN101459576A (zh) * | 2007-12-14 | 2009-06-17 | 上海博达数据通信有限公司 | 一种ip acl归并优化处理的实现方法 |
| CN102195868A (zh) * | 2010-12-17 | 2011-09-21 | 曙光信息产业(北京)有限公司 | 一种用于对网络报文高效动态分类的方法和设备 |
| CN103561026A (zh) * | 2013-11-04 | 2014-02-05 | 神州数码网络(北京)有限公司 | 硬件访问控制列表的更新方法、更新装置和交换机 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105959331A (zh) * | 2016-07-19 | 2016-09-21 | 上海携程商务有限公司 | 防火墙策略的优化方法及装置 |
| CN106230736A (zh) * | 2016-07-19 | 2016-12-14 | 东软集团股份有限公司 | 一种网络访问策略的合并方法及装置 |
| CN106230736B (zh) * | 2016-07-19 | 2019-03-05 | 东软集团股份有限公司 | 一种网络访问策略的合并方法及装置 |
| CN105959331B (zh) * | 2016-07-19 | 2019-03-12 | 上海携程商务有限公司 | 防火墙策略的优化方法及装置 |
| CN106875078A (zh) * | 2016-08-03 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 交易风险检测方法、装置及设备 |
| CN106875078B (zh) * | 2016-08-03 | 2020-09-01 | 阿里巴巴集团控股有限公司 | 交易风险检测方法、装置及设备 |
| CN110291764A (zh) * | 2016-12-22 | 2019-09-27 | Nicira股份有限公司 | 识别和调整无效的防火墙规则 |
| CN110291764B (zh) * | 2016-12-22 | 2022-05-03 | Nicira股份有限公司 | 一种减少网络防火墙所采用的多个规则中的规则的数量的方法、系统及存储介质 |
| CN109672567A (zh) * | 2019-01-10 | 2019-04-23 | 南京极域信息科技有限公司 | 一种实现网路跟随策略方法 |
| CN109672567B (zh) * | 2019-01-10 | 2021-10-29 | 南京极域信息科技有限公司 | 一种实现网路跟随策略方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105306481B (zh) | 2018-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105306481A (zh) | 一种访问控制策略规则的操作方法 | |
| CN111382174B (zh) | 多方数据联合查询方法、装置、服务器和存储介质 | |
| CN102752198A (zh) | 多核报文转发方法、多核处理器及网络设备 | |
| CN107995003A (zh) | 国际漫游通信的计费和结算方法、相关装置及分布式系统 | |
| CN105608165A (zh) | 一种分布式数据库主键生成的方法和系统 | |
| CN109102296B (zh) | 一种节点共识方法及系统 | |
| CN106332141A (zh) | 流量负载分担的方法和装置 | |
| CN104270384A (zh) | 防火墙策略冗余检测方法及装置 | |
| US10331493B2 (en) | Systems and methods for distributed assignment of task identifiers | |
| CN104394163A (zh) | 一种基于Web应用的安全检测方法 | |
| CN109474691A (zh) | 一种物联网设备识别的方法及装置 | |
| Lahiri et al. | A trustworthy blockchain based framework for impregnable iov in edge computing | |
| US9391884B2 (en) | Consistent hashing using exact matching with application to hardware load balancing | |
| CN104735026A (zh) | 安全策略控制方法和装置 | |
| CN108712486B (zh) | 工作量证明方法及装置 | |
| CN112468521B (zh) | 基于隐私保护的数据处理方法、装置和服务器 | |
| CN108376070A (zh) | 一种编译源代码对象的方法、装置及计算机 | |
| Geng et al. | Smart markers in smart contracts: Enabling multiway branching and merging in blockchain for decentralized runtime verification | |
| CN106375382A (zh) | 数据分配的方法、系统、控制服务器及节点客户端 | |
| CN106878356B (zh) | 一种调度方法及计算节点 | |
| CN110570309B (zh) | 用于更换区块链网络的领导者的方法和系统 | |
| CN103701587A (zh) | 一种多接口密码模块并行调度方法 | |
| CN109951275A (zh) | 密钥生成方法、装置、计算机设备及存储介质 | |
| CN111061824B (zh) | 基于改进四叉树的范围判断方法、装置、设备 | |
| CN104978327A (zh) | 一种查询数据的方法、管理控制节点及目标数据节点 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Method for Operating Access Control Policy Rules Effective date of registration: 20230807 Granted publication date: 20180619 Pledgee: Bank of China Limited Beijing Xicheng Branch Pledgor: RUN TECHNOLOGIES Co.,Ltd. BEIJING Registration number: Y2023980051158 |