CN105939305A

CN105939305A - 访问控制方法和装置

Info

Publication number: CN105939305A
Application number: CN201510358582.5A
Authority: CN
Inventors: 张晓东
Original assignee: Hangzhou DPTech Technologies Co Ltd
Current assignee: Hangzhou DPTech Technologies Co Ltd
Priority date: 2015-06-24
Filing date: 2015-06-24
Publication date: 2016-09-14

Abstract

本发明提供一种访问控制方法和装置，应用在网络设备上，所述方法包括：在接收到客户端设备发送的业务报文后，解析所述业务报文的报文特征；判断所述报文特征是否匹配协议识别表，所述协议识别表包括报文特征与协议类型的对应关系；如果匹配，则根据匹配到的表项确定所述业务报文的协议类型；根据所述协议类型，对所述业务报文进行访问控制处理。应用本发明实施例，网络设备在接收到自客户端设备发送的业务报文后，基于业务报文的报文特征，根据协议识别表可以快速识别业务报文的协议类型，无需对业务报文进行载荷内容读取、应用层信息重组等繁琐操作，因此，对网络设备的CPU消耗小，且识别效率高。

Description

访问控制方法和装置

技术领域

本发明涉及计算机技术领域，尤其涉及一种访问控制方法和装置。

背景技术

随着网络信息系统应用的发展，网络技术应用逐渐呈现复杂化、多元化趋势，这种趋势会导致网络出口拥堵、职员工作状态无法监控，甚至泄漏公司机密和法律违规等严重问题。为解决上述问题，可以对用户的网络应用的访问进行控制处理，相关技术中，可以采用DPI(Deep Packet Inspection，深度包检测)技术对业务报文的协议类型进行检测识别，从而确定该业务报文的所属应用，并对该所属应用进行访问控制处理。

但是，DPI技术在识别业务报文的协议类型中，对网络设备(例如，防火墙、路由器)的CPU消耗较大，且识别效率较低。

发明内容

有鉴于此，本发明提供一种访问控制方法和装置，以解决对业务报文进行协议类型识别过程中，网络设备的CPU消耗较大，识别效率较低的问题。

具体地，本发明是通过如下技术方案实现的：

本发明提供一种访问控制方法，应用在网络设备上，所述方法包括：

在接收到客户端设备发送的业务报文后，解析所述业务报文的报文特征；

判断所述报文特征是否匹配协议识别表，所述协议识别表包括报文特征与协议类型的对应关系；

如果匹配，则根据匹配到的表项确定所述业务报文的协议类型；

根据所述协议类型，对所述业务报文进行访问控制处理。

本发明提供一种访问控制装置，应用在网络设备上，所述装置包括：

解析单元，用于在接收到客户端设备发送的业务报文后，解析所述业务报文的报文特征；

第一判断单元，用于判断所述报文特征是否匹配协议识别表，所述协议识别表包括报文特征与协议类型的对应关系；

协议确定单元，用于当所述报文特征匹配协议识别表时，根据匹配到的表项确定所述业务报文的协议类型；

执行单元，用于根据所述协议类型，对所述业务报文进行访问控制处理。

应用本发明实施例，网络设备在接收到自客户端设备发送的业务报文后，基于业务报文的报文特征，根据协议识别表可以快速识别业务报文的协议类型，无需对业务报文进行载荷内容读取、应用层信息重组等繁琐操作，因此，对网络设备的CPU消耗小，且识别效率高。

附图说明

图1是本发明一示例性实施例示出的一种访问控制方法的流程图；

图2是本发明一示例性实施例示出的另一种访问控制方法的流程图；

图3是本发明一示例性实施例示出的一种访问控制装置的一硬件结构示意图；

图4是本发明一示例性实施例示出的一种访问控制装置的结构框图；

图5是本发明一示例性实施例示出的另一种访问控制装置的结构框图；

图6是本发明一示例性实施例示出的另一种访问控制装置的结构框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本发明可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本技术领域人员可以理解的是，DPI技术是一种基于应用层的流量检测和控制技术，能够对应用层的内容进行深度分析，从而根据应用层的净荷特征识别业务报文的应用类型或内容，例如，当IP报文通过基于DPI技术的网络设备时，网络设备可以通过深入读取IP报文载荷的内容来对OSI七层协议中的应用层信息进行重组，从而识别IP报文的应用层协议，然后按照网络设备中的流量管理策略对该IP报文进行访问控制处理。综上所述，对于每一个业务报文，如果采用DPI的识别方式，都要进行上述载荷内容读取、应用层信息重组等操作，因此，这种协议识别方式对所在网络设备的CPU消耗较大，且识别效率较低。

在本发明实施例的网络设备中，当网络设备接收到来自客户端设备的业务报文时，可以从该业务报文中提取出报文特征，并将该报文特征匹配协议识别表，其中，该协议识别表存储了一个或者多个报文特征与协议类型的对应关系，当该报文特征能够匹配上该协议识别表中的任一个表项时，就可以根据该表项确定该业务报文的协议类型，管理员可以在网络设备中配置流量管理策略，这样，网络设备就可以根据该协议类型，对业务报文进行访问控制处理，例如，放通协议类型命中白名单的业务报文，阻止协议类型命中黑名单的业务报文。需要说明的是，本发明实施例中涉及到的协议类型主要包括业务报文的应用层协议类型。

图1是本发明一示例性实施例示出的一种访问控制方法的流程图。如图1所示，一种访问控制方法，应用在网络设备上，所述方法包括：

步骤S110，在接收到客户端设备发送的业务报文后，解析所述业务报文的报文特征。

在本发明实施例中，网络设备(例如，防火墙、路由器)接收到客户端设备发送的业务报文时，可以解析业务报文的报文特征，所述报文特征可以为：业务报文的目的IP地址、目的端口号和传输层协议类型中的一个或者多个。

步骤S120，判断所述报文特征是否匹配协议识别表，其中，所述协议识别表包括报文特征与协议类型的对应关系。若匹配，则执行步骤S130。

所述协议识别表中可以存储有报文特征与协议类型的对应关系。在本实施例中，所述协议识别表可以由管理员或者技术人员进行设置，也可以由网络设备在接收到业务报文后，采用相关技术中的识别方式对协议类型进行识别，并根据识别结果生成所述协议识别表，本发明对此不作特殊限制。

在本步骤中，可以将步骤S110中解析到的报文特征与协议识别表进行匹配，如果所述解析到的报文特征与所述协议表中任意一个表项中存储的报文特征匹配上，则执行步骤S130。

表1

目的IP地址	协议类型
		211.11.172.183	天涯博客协议

表1为本实施例一种协议识别表的示意图，如表1中所示，该表项中存储了目的IP地址为211.11.172.183与协议类型为天涯博客协议的对应关系，表1中仅是作为一种协议识别表的示例表项，不作为对协议识别表的限制，只要满足协议识别表中是报文特征和协议类型的对应关系即可，比如，所述协议识别表中还可以存储目的IP地址、目的端口号与协议类型的对应关系，如下表2所示：

表2

目的IP地址+目的端口号	协议类型
		211.11.172.183+端口E	天涯博客协议

步骤S130，根据匹配到的表项确定所述业务报文的协议类型。

在本步骤中，根据所述报文特征匹配到的表项，可以确定业务报文的协议类型。以表1中所示表项为例，假设业务报文的报文特征为目的IP地址211.11.172.183，与表1中所示的表项中的目的IP地址匹配，则根据该表项可以确定该业务报文的协议类型为天涯博客协议。

步骤S140，根据所述协议类型，对所述业务报文进行访问控制处理。

管理员或者技术人员可以根据实际应用需要，在网络设备中配置流量管理策略，例如，将需要放通的业务报文的协议类型存储到白名单中，将要阻止访问的业务报文的协议类型存储到黑名单中，从而可以对业务报文进行访问控制处理。假设，需要阻止访问QQ、天涯博客、网络游戏等，则可以将需要过滤的应用程序的协议类型保存到黑名单中，从而丢弃该协议类型的业务报文，以阻止QQ、天涯博客、网络游戏等的业务访问。

应用上述实施例，网络设备在接收到自客户端设备发送的业务报文后，基于业务报文的报文特征，根据协议识别表可以快速识别业务报文的协议类型，无需对业务报文进行载荷内容读取、应用层信息重组等繁琐操作，因此，对网络设备的CPU消耗小，且识别效率高。

根据本发明的一优选实施例，当所述业务报文的报文特征匹配上所述协议识别表时，还可以更新该匹配到的表项的表项时间，在到达预设时间周期时，将删除当前时间与表项时间的时间差值大于或者等于预设差值的表项。比如，如表3中所示的表项：

表3

目的IP地址	协议类型	表项时间
			211.11.172.183	天涯博客协议	13:01
125.39.240.113	QQ协议	13:03
			117.27.230.86	网络游戏协议	13:00

如表3中所示，包括三个表项，这三个表项的表项时间分别为13:01，13:03，13:00，假设预设时间周期为5min，到达预设时间周期时的当前时间为13:06，这三个表项的时间差值分别为5min，3min，6min，再假设预设差值为4min，因此，可以删除目的IP地址为211.11.172.183、协议类型为天涯博客协议、表项时间为13:01的表项，以及删除目的IP地址为117.27.230.86、协议类型为网络游戏协议以及表项时间为13:00的表项。

应用上述优选实施例，可以将长时间没有被匹配到的表项删除，避免协议识别表越来越多，减少对网络设备的内存空间的耗费。

图2是本发明一示例性实施例示出的另一种访问控制方法的流程图。基于前述图1所示的实施例，本发明还提供另一种可选实施例，当图1中的步骤S120确定所述业务报文的报文特征没有匹配协议识别表时，如图2所示，一种访问控制方法，还包括：

步骤S210，当业务报文的报文特征没有匹配协议识别表时，通过第一检测技术检测所述业务报文的协议类型。

第一检测技术可以是DPI技术，在通过协议识别表无法确定所述业务报文的协议类型时，可以通过DPI技术对业务报文的协议类型进行检测。

步骤S220，判断检测出的所述协议类型是否匹配预设类型，若匹配，执行步骤S230。

管理员或者技术人员可以提取流量较大，且服务器较稳定的应用程序的协议类型作为预设类型，例如，QQ协议、微信协议、网络游戏协议等。然而，对于FTP、RTSP、P2P等协商协议，其服务器变化较快、不稳定，所以，协商协议不作为本发明实施例中的预设类型的协议。

步骤S230，将所述业务报文的报文特征与检测出的所述协议类型的对应关系保存至协议识别表中。

在本步骤中，可以提取协议类型匹配预设类型的业务报文的报文特征，例如，业务报文的目的IP地址、目的端口号和传输层协议类型中的一个或者多个，且将报文特征与业务报文的协议类型的对应关系保存到协议识别表中，更新协议识别表的表项。

可选地，当第一检测技术不能检测出业务报文的协议类型时，可以通过第二检测技术，例如，FPI(Flow Pattern Inspection，流模型检测)技术，检测业务报文的协议类型。由于FPI技术主要是检测协商协议，因此，通过FPI技术检测出的协议类型不属于预设类型，不必将业务报文的报文特征与检测出的协议类型的对应关系更新到协议识别表中。

应用上述可选实施例，在通过协议识别表无法确定业务报文的协议类型时，可以通过DPI检测技术对业务报文的协议类型进行检测，并根据预设类型对检测出的协议类型进行筛选，将匹配预设类型的协议类型以及报文特征的对应关系保存到协议识别表中，因此，可以不断更新和完善协议识别表。

与前述访问控制方法的实施例相对应，本发明还提供了访问控制装置的实施例。

本发明访问控制装置400的实施例可以应用在网络设备上，例如，防火墙、路由器。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在网络设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图3所示，为本发明一示例性实施例示出的一种访问控制装置的一硬件结构示意图，除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中访问控制装置400所在的网络设备通常根据该设备的实际功能，还可以包括其他硬件，对此不再赘述。

图4是本发明一示例性实施例示出的一种访问控制装置的结构框图。如图4所示，一种访问控制装置400，应用在网络设备上，所述装置包括：解析单元401、第一判断单元402、协议确定单元403和执行单元404。

解析单元401用于在接收到客户端设备发送的业务报文后，解析所述业务报文的报文特征。

第一判断单元402用于判断所述报文特征是否匹配协议识别表，所述协议识别表包括报文特征与协议类型的对应关系。

协议确定单元403用于当所述报文特征匹配协议识别表时，根据匹配到的表项确定所述业务报文的协议类型。

执行单元404用于根据所述协议类型，对所述业务报文进行访问控制处理。

图5是本发明一示例性实施例示出的另一种访问控制装置的结构框图。基于上述图4所示的实施例，如图5所示，访问控制装置400还可以包括：时间更新单元405和表项删除单元406。

时间更新单元405用于当所述报文特征匹配所述协议识别表时，更新匹配到的表项的表项时间，表项删除单元406用于在到达预设时间周期时，删除当前时间与表项时间的时间差值大于或者等于预设差值的表项。

图6是本发明一示例性实施例示出的另一种访问控制装置的结构框图。基于上述图4所示的实施例，当第一判断单元402确定所述报文特征没有匹配协议识别表时，本发明还提供一种可选实施例，如图6所示，访问控制装置400还可以包括：第一检测单元407、第二判断单元408和表项保存单元409。

第一检测单元407用于当所述报文特征没有匹配协议识别表时，通过第一检测技术检测所述业务报文的协议类型，其中，所述第一检测技术可以为DPI技术，第二判断单元408用于判断检测出的所述协议类型是否匹配预设类型，表项保存单元409用于当检测出的所述协议类型匹配上预设类型时，将所述业务报文的报文特征与检测出的所述协议类型的对应关系保存至协议识别表中。

优选地，还可以包括第二检测单元410，用于当所述第一检测技术没有检测出所述业务报文的协议类型时，通过第二检测技术检测所述业务报文的协议类型。其中，第二检测技术可以为FPI技术。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims

1.一种访问控制方法，应用在网络设备上，其特征在于，所述方法包括：

根据所述协议类型，对所述业务报文进行访问控制处理。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述报文特征匹配所述协议识别表时，更新匹配到的表项的表项时间；

在到达预设时间周期时，删除当前时间与表项时间的时间差值大于或者等于预设差值的表项。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述报文特征没有匹配协议识别表时，通过第一检测技术检测所述业务报文的协议类型；

判断检测出的所述协议类型是否匹配预设类型；

如果匹配，则将所述业务报文的报文特征与检测出的所述协议类型的对应关系保存至协议识别表中。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

当所述第一检测技术没有检测出所述业务报文的协议类型时，通过第二检测技术检测所述业务报文的协议类型。

5.根据权利要求4所述的方法，其特征在于，所述第一检测技术为DPI深度包检测技术，所述第二检测技术为FPI流模型检测技术。

6.一种访问控制装置，应用在网络设备上，其特征在于，所述装置包括：

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

时间更新单元，用于当所述报文特征匹配所述协议识别表时，更新匹配到的表项的表项时间；

表项删除单元，用于在到达预设时间周期时，删除当前时间与表项时间的时间差值大于或者等于预设差值的表项。

8.根据权利要求6所述的装置，其特征在于，所述装置还包括：

第一检测单元，用于当所述报文特征没有匹配协议识别表时，通过第一检测技术检测所述业务报文的协议类型；

第二判断单元，用于判断检测出的所述协议类型是否匹配预设类型；

表项保存单元，用于当检测出的所述协议类型匹配预设类型时，将所述业务报文的报文特征与检测出的所述协议类型的对应关系保存至协议识别表中。

9.根据权利要求8所述的装置，其特征在于，所述装置还包括：

第二检测单元，用于当所述第一检测技术没有检测出所述业务报文的协议类型时，通过第二检测技术检测所述业务报文的协议类型。

10.根据权利要求9所述的装置，其特征在于，所述第一检测技术为DPI深度包检测技术，所述第二检测技术为FPI流模型检测技术。