CN109327395B - 一种报文处理方法及装置 - Google Patents
一种报文处理方法及装置 Download PDFInfo
- Publication number
- CN109327395B CN109327395B CN201811454922.4A CN201811454922A CN109327395B CN 109327395 B CN109327395 B CN 109327395B CN 201811454922 A CN201811454922 A CN 201811454922A CN 109327395 B CN109327395 B CN 109327395B
- Authority
- CN
- China
- Prior art keywords
- forwarding
- user
- message
- user identifier
- user equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请实施例提供了一种报文处理方法及装置,应用于转发设备,包括:接收第一用户设备发送的报文,报文包括第一用户设备的地址;根据预先存储的用户标识与用户设备的地址的第一对应关系,确定第一用户设备的地址对应的第一用户标识;根据预先存储的用户标识与转发策略的第二对应关系,确定第一用户标识对应的第一转发策略;依据报文的报文信息与第一转发策略进行匹配,获得匹配成功的目标转发策略,并根据目标转发策略处理报文。应用本申请实施例提供的技术方案,能够实现对某个用户或某些用户的报文转发控制。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种报文处理方法及装置。
背景技术
报文转发策略(如安全策略)是:根据报文的报文信息对报文进行转发或丢弃的策略。报文转发策略通常包括匹配项及该匹配项对应的动作,若报文的报文信息与匹配项设定的信息相匹配,则对该报文执行该匹配项对应的动作。目前对报文的匹配项多为五元组信息和协议规定的应用信息,这种方法可以满足大多数情况下的报文转发控制需要。例如,可采用源IP(Internet Protocol网络协议)地址作为匹配项,控制单台网络设备的报文转发。
但是当需要控制某个用户或某些用户的报文转发时,由于某个用户或某些用户使用的设备可能是经常改变的,或设备的IP地址可能是动态分配的,采用五元组和协议规定的应用信息作为匹配项,将无法满足报文转发控制要求。
发明内容
本申请实施例的目的在于提供一种报文处理方法,以实现对某个用户或某些用户的报文转发控制。具体技术方案如下:
第一方面,本申请实施例提供了一种报文处理方法,应用于转发设备,所述方法包括:
接收第一用户设备发送的报文,所述报文包括第一用户设备的地址;
根据预先存储的用户标识与用户设备的地址的第一对应关系,确定所述第一用户设备的地址对应的第一用户标识;
根据预先存储的用户标识与转发策略的第二对应关系,确定所述第一用户标识对应的第一转发策略;
依据所述报文的报文信息,与所述第一转发策略进行匹配,获得匹配成功的目标转发策略,并根据所述目标转发策略处理所述报文。
第二方面,本申请实施例提供了一种报文处理方法,应用于认证服务器,所述方法包括:
接收第一用户设备发送的上线认证报文,所述上线认证报文中包括第一用户名、第一用户标识和第一用户设备的地址;
根据所述第一用户名和所述第一用户标识,对所述第一用户设备进行认证;
在对所述第一用户设备认证通过后,存储所述第一用户标识与所述第一用户设备的地址的第一目标对应关系;
将所述第一目标对应关系发送给转发设备,以使所述转发设备根据所述第一目标对应关系,以及用户标识与转发策略的对应关系,确定所述第一用户标识对应的第一转发策略,根据所述第一转发策略处理所述第一用户设备发送的报文。
第三方面,本申请实施例提供了一种报文处理装置,应用于转发设备,所述装置包括:
接收单元,用于接收第一用户设备发送的报文,所述报文包括第一用户设备的地址;
第一确定单元,用于根据预先存储的用户标识与用户设备的地址的第一对应关系,确定所述第一用户设备的地址对应的第一用户标识;
第二确定单元,用于根据预先存储的用户标识与转发策略的第二对应关系,确定所述第一用户标识对应的第一转发策略;
处理单元,用于依据所述报文的报文信息,与所述第一转发策略进行匹配,获得匹配成功的目标转发策略,并根据所述目标转发策略处理所述报文。
第四方面,本申请实施例提供了一种报文处理装置,应用于认证服务器,所述装置包括:
接收单元,用于接收第一用户设备发送的上线认证报文,所述上线认证报文中包括第一用户名、第一用户标识和第一用户设备的地址;
认证单元,用于根据所述第一用户名和所述第一用户标识,对所述第一用户设备进行认证;
存储单元,用于在对所述第一用户设备认证通过后,存储所述第一用户标识与所述第一用户设备的地址的第一目标对应关系;
发送单元,用于将所述第一目标对应关系发送给转发设备,以使所述转发设备根据所述第一目标对应关系,以及用户标识与转发策略的对应关系,确定所述第一用户标识对应的第一转发策略,根据所述第一转发策略处理所述第一用户设备发送的报文。
第五方面,本申请实施例提供了一种转发设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述第一方面提供的报文处理方法的任一步骤。
第六方面,本申请实施例提供了一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现上述第二方面提供的报文处理方法的任一步骤。
第七方面,本申请实施例提供了一种认证服务器,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使实现上述第一方面提供的报文处理方法的任一步骤。
第八方面,本申请实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现上述第二方面提供的报文处理方法的任一步骤。
本申请实施例提供的报文处理方法及装置中,转发设备接收到第一用户设备发送的报文,根据预先存储的用户标识与用户设备的地址的第一对应关系,确定第一用户设备的地址对应的第一用户标识,根据预先存储的用户标识与转发策略的第二对应关系,确定第一用户标识对应的第一转发策略,依据报文的报文信息与第一转发策略进行匹配,获得匹配成功的目标转发策略,并根据目标转发策略处理报文。可见,本申请实施例中,用户标识与用户绑定,基于用户标识确定转发策略,进而依据转发策略处理报文,这实现了对某个用户或某些用户的报文转发控制。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种组网示意图;
图2为本申请实施例提供的报文处理方法的第一种流程示意图;
图3为本申请实施例提供的二叉树的一种示意图;
图4为本申请实施例提供的报文处理方法的第二种流程示意图;
图5为本申请实施例提供的报文处理装置的第一种结构示意图;
图6为本申请实施例提供的报文处理装置的第二种结构示意图;
图7为本申请实施例提供的转发设备的一种结构示意图;
图8为本申请实施例提供的认证服务器的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图1所示的组网,包括用户设备101、认证服务器102和转发设备103。认证服务器102负责对用户设备101进行认证。转发设备103负责对用户设备101发送的报文进行转发控制,例如,将用户设备101发送的报文转发至目标网络。
基于图1所示的组网,为实现对某个用户或某些用户的报文转发控制,本申请实施例提供了一种报文处理方法。该方法应用于转发设备,如图1所示的转发设备103。转发设备接收第一用户设备发送的报文,报文包括第一用户设备的地址;根据预先存储的用户标识与用户设备的地址的第一对应关系,确定第一用户设备的地址对应的第一用户标识;根据预先存储的用户标识与转发策略的第二对应关系,确定第一用户标识对应的第一转发策略;根据第一转发策略处理报文。
本申请实施例提供的技术方案中,用户标识与用户绑定,基于用户标识确定转发策略,进而依据转发策略处理报文,实现了对某个用户或某些用户(可以是用户组)的报文转发控制。
下面通过具体实施例,对本申请进行说明。
参考图2,图2为本申请实施例提供的报文处理方法的第一种流程示意图,该方法应用于转发设备,如图1所示的转发设备103。该方法包括如下步骤。
步骤201,接收第一用户设备发送的报文,报文包括第一用户设备的地址。
本申请实施例中,第一用户设备可以为任一用户设备,这里仅以第一用户设备为例,并不起限定作用。
用户需要访问网络时,使用第一用户设备向转发设备发送报文。该报文中的源IP地址为第一用户设备的地址。
步骤202,根据预先存储的用户标识与用户设备的地址的第一对应关系,确定第一用户设备的地址对应的第一用户标识。
其中,每一用户标识均为唯一标识。用户标识可以表示一个用户,也可以表示一组用户,方便易操作。用户标识可以为用户的用户名,也可以包括用户的用户名和为用户分配的数字标识。用户名可以为用户的真实姓名,用户名还可以是字母、符号、数组的任意组合。用户标识还可以为数字标识,以数字形式展示,采用数字形式的用户标识进行运算,可有效提高运算效率。
上述第一对应关系可以为用户根据需要预先存储在转发设备中的,也可以为认证服务器在对用户设备认证通过后,发送给转发设备的。
一个实施例中,认证服务器的认证过程包括:第一用户设备向认证服务器发送上线认证报文。其中,上线认证报文包括用户信息和第一用户设备的地址。用户信息包括第一用户标识和用户密码等。认证服务器根据用户信息对第一用户设备进行认证,也可以理解为根据用户信息对用户进行认证。在对第一用户设备认证通过后,第一用户设备上线,认证服务器将第一用户标识与第一用户设备的地址绑定,存储第一用户标识与第一用户设备的地址的第一目标对应关系,将包括第一目标对应关系以及上线信息的认证信息发送给转发设备。转发设备根据上线信息存储第一目标对应关系。这实现了认证服务器和转发设备间信息的同步。
另一个实施例中,当第一用户设备下线时,第一用户设备获取第一用户设备上线时缓存的用户信息,向认证服务器发送包括用户信息的下线认证报文。认证服务器根据用户信息对第一用户设备进行认证。在对第一用户设备认证通过后,第一用户设备下线,认证服务器删除第一用户标识与第一用户设备的地址的第一目标对应关系,将包括第一目标对应关系以及下线信息的认证信息发送给转发设备。转发设备根据下线信息删除第一目标对应关系。这实现了认证服务器和转发设备间信息的同步。若认证服务器对第一用户设备认证未通过,则确定该下线认证报文是其他设备冒充第一用户设备发送的,丢弃该下线认证报文。
为便于信息的管理,一个实施例中,认证服务器中可以配置哈希表存储结构的在线用户数据库。在线用户数据库用于用户标识与用户设备的地址的对应关系。具体的,认证服务器在对第一用户设备认证通过后,将第一目标对应关系存储至在线用户数据库。
步骤203,根据预先存储的用户标识与转发策略的第二对应关系,确定第一用户标识对应的第一转发策略。
在本申请的一个实施例中,可以将用户标识配置在转发策略下,也就是,将用户标识作为转发策略的匹配项。转发设备在确定第一用户标识后,查找包括第一用户标识的第一转发策略,第一转发策略可以包括至少一条转发策略。转发设备将报文的报文信息分别与查找到的每一转发策略进行匹配,得到用于处理该报文的目标转发策略,然后再依据得到的转发策略处理该报文。
例如,转发设备中存储有转发策略1-3。
转发策略1包括的匹配项有:用户标识1、源IP地址1,目的IP地址1,源端口1,目的端口1,协议1。
转发策略2包括的匹配项有:用户标识1、源IP地址2,目的IP地址1,源端口2,目的端口1,协议1。
转发策略3包括的匹配项有:用户标识2、源IP地址3,目的IP地址3,源端口2,目的端口1,协议2。
转发设备接收到报文1。报文1的报文信息为报文的五元组,包括源IP地址1,目的IP地址1,源端口1,目的端口1,协议1。转发设备确定源IP地址1对应用户标识1,进而查找到包括用户标识1的转发策略1和转发策略2,即转发策略1和2为用户标识1对应的第一转发策略。转发设备根据报文1的报文信息,即源IP地址1、目的IP地址1、源端口1、目的端口1、协议1,与转发策略1包括的匹配项,确定报文1的报文信息与转发策略1匹配,确定转发策略1为用于处理报文1的目标转发策略。根据报文1的报文信息,即源IP地址1、目的IP地址1、源端口1、目的端口1、协议1,与转发策略2包括的匹配项,确定报文1的报文信息与转发策略2不匹配,确定转发策略2不是处理报文1的目标转发策略。
在本申请的一个实施例中,为了提高报文匹配的速度,可以基于用户标识构建转发策略的bitmap(位图)。以用户标识作为Key,将转发策略的bitmap存储在预设哈希表中。该预设哈希表中存储有用户标识与bitmap的对应关系,bitmap中包括第一预设值与转发策略的对应关系,以及第二预设值与转发策略的对应关系,第一预设值用于指示转发策略中包括用户标识,第二预设值用于指示转发策略中不包括用户标识。
基于该预设哈希表,转发设备在确定第一用户标识后,在预设哈希表中,查找第一用户标识对应的转发策略的第一bitmap。
转发设备确定第一bitmap中第一预设值对应的至少一个转发策略,得到所述第一用户标识对应的第一转发策略。
然后转发设备可以将报文的报文信息分别与至少一个转发策略进行匹配,得到用于处理该报文的目标转发策略。
例如,第一预设值为1,第二预设值为0。转发设备中存储有哈希表如表1所示。
表1
从表1中可以确定:转发策略1中包括用户标识1和用户标识2,不包括用户标识3,转发策略2中包括用户标识1和用户标识3,不包括用户标识2,转发策略3中包括用户标识3,不包括用户标识1和用户标识2。
转发设备接收到报文1,确定报文1的源IP地址1对应用户标识1,从表1,查找到用户标识1对应的转发策略的bitmap,如表2所示。
表2
| 用户标识 | 转发策略1 | 转发策略2 | 转发策略3 |
| 用户标识1 | 1 | 1 | 0 |
从表2中确定“1”对应的转发策略1和转发策略2,即用户标识1对应的第一转发策略为转发策略1和2。将报文1的报文信息分别与转发策略1和转发策略2进行匹配,得到用于处理报文1的目标转发策略。
本申请实施例中,基于哈希表中的bitmap,可以确定用户标识对应的转发策略,不必将用户标识与每一转发策略进行匹配,减少的匹配次数,提高了匹配效率。
在本申请的一个实施例中,用户标识可以为数据标识,采用二叉树技术得到bitmap数组,基于得到的数组建立各用户标识对应的bitmap,进而将各用户标识对应的bitmap加入哈希表中。具体可以为:转发设备获取多个用户标识与转发策略的对应关系;根据多个用户标识与转发策略的对应关系,利用二叉树技术,生成各用户标识对应的bitmap;将各用户标识与bitmap的对应关系存储至预设哈希表。
例如,当前有转发策略11、转发策略12和转发策略13。转发策略11中包括用户标识11和用户标识12,转发策略12中包括用户标识12和用户标识13,转发策略13中包括用户标识12。用户标识11为001,用户标识12为010,用户标识13位100,二叉树的层数为4,则构建的二叉树如图3所示。
基于图3所示的二叉树,得到各用户标识对应的转发策略的bitmap,如表3所示。
表3
| 用户标识 | 转发策略11 | 转发策略12 | 转发策略13 |
| 001 | 1 | 0 | 0 |
| 010 | 1 | 1 | 0 |
| 100 | 0 | 1 | 1 |
将表3加入哈希表中。
一个实施例中,为了减少占用的资源,在将各用户标识对应的bitmap加入哈希表之后,释放二叉树。
步骤204,依据报文的报文信息,与第一转发策略进行匹配,获得匹配成功的目标转发策略,并根据目标转发策略处理报文。
例如,若目标转发策略中的动作项为转发,则转发设备根据目标转发策略转发报文。若目标转发策略中的动作项为丢弃,则转发设备根据目标转发策略丢弃报文。
本申请实施例中,用户标识与用户绑定,基于用户标识确定转发策略,进而依据转发策略处理报文,这实现了对某个用户或某些用户的报文转发控制。
在本申请的一个实施例中,为实现认证服务器和转发设备间信息的同步,且提高运算效率,用户标识包括用户的用户名和为用户分配的数字标识。认证服务器中预先配置有用户名和为用户分配的数字标识的对应关系。第一用户设备向认证服务器发送包括用户信息的上线认证报文。用户信息包括第一用户名、为用户分配的第一数字标识和用户密码等。认证服务器根据预先配置的用户名和为用户分配的数字标识的对应关系,以及第一用户名、为用户分配的第一数字标识和用户密码等,对第一用户设备进行认证。在对第一用户设备认证通过后,第一用户设备上线,认证服务器将第一数字标识与第一用户设备的地址绑定。具体的,认证过程如下:
一、认证服务器会在本地存储的用户名和用户密码的对应关系中查询上线认证报文中包括的用户名和用户密码,并在本地存储的用户名和为用户分配的数字标识的对应关系中查找上线认证报文中包括的用户名和数字标识。
二、若在本地存储的用户名和用户密码的对应关系中查询到上线认证报文中包括的用户名和用户密码,且在本地存储的用户名和为用户分配的数字标识的对应关系中查找到上线认证报文中包括的用户名和数字标识,则认为认证成功。
若在本地存储的用户名和用户密码的对应关系中未查询到上线认证报文中包括的用户名和用户密码,和/或,在本地存储的用户名和为用户分配的数字标识的对应关系中未查找到上线认证报文中包括的用户名和数字标识,则认为认证失败。
为便于信息的管理,一个实施例中,认证服务器中可以配置哈希表存储结构的用户信息数据库。用户信息数据库用于用户名和为用户分配的数字标识的对应关系。
在本申请的一个实施例中,为保证认证服务器和转发设备间信息的同步,转发设备可实时检测认证服务器的运行状态,当检测到认证服务器重启后,将第一对应关系发送给认证服务器,第一对应关系为用户标识与用户设备的地址的对应关系。
一个示例中,转发设备定时向认证服务器发送探测报文。若转发设备在一段时间内未接收到认证服务器返回的探测报文对应的探测响应报文,则确定认证服务器重启。转发设备继续定时向认证服务器发送探测报文。当再次接收到认证服务器返回的探测响应报文,则转发设备确定认证服务器重启成功,将第一对应关系发送给认证服务器。
另一个示例中,认证服务器在自身重启成功后,向转发设备发送重启成功通知消息。转发设备接收到重启成功通知消息后,将第一对应关系发送给认证服务器。
在本申请的另一个实施例中,为保证认证服务器和转发设备间信息的同步,认证服务器实时检测转发设备的运行状态,当检测到转发设备重启后,将第一对应关系发送给转发设备。
一个示例中,认证服务器定时向转发设备发送探测报文。若认证服务器在一段时间内未接收到转发设备返回的探测报文对应的探测响应报文,则确定转发设备重启。认证服务器继续定时向转发设备发送探测报文。当再次接收到转发设备返回的探测响应报文,则认证服务器确定转发设备重启成功,将第一对应关系发送给转发设备。
另一个示例中,转发设备在自身重启成功后,向认证服务器发送重启成功通知消息。认证服务器接收到重启成功通知消息后,将第一对应关系发送给转发设备。
与上述应用于转发设备的报文处理方法实施例对应,本申请实施例还提供了一种应用于认证服务器的报文处理方法。参考图4,图4为本申请实施例提供的报文处理方法的第二种流程示意图。该方法应用于认证服务器,如图1所示的认证服务器102。该方法包括如下步骤。
步骤401,接收第一用户设备发送的上线认证报文,上线认证报文中包括第一用户标识和第一用户设备的地址。
步骤402,根据第一用户名和第一用户标识,对第一用户设备进行认证。
步骤403,在对第一用户设备认证通过后,存储第一用户标识与第一用户设备的地址的第一目标对应关系。
步骤404,将第一目标对应关系发送给转发设备。
转发设备根据第一目标对应关系,以及用户标识与转发策略的对应关系,确定第一用户标识对应的第一转发策略,根据第一转发策略处理第一用户设备发送的报文。
具体的,转发设备接收第一用户设备发送的报文,报文包括第一用户设备的地址;根据预先存储的用户标识与用户设备的地址的第一对应关系,确定第一用户设备的地址对应的第一用户标识;根据预先存储的用户标识与转发策略的第二对应关系,确定第一用户标识对应的第一转发策略;根据第一转发策略处理报文。
在本申请的一个实施例中,认证服务器在对第一用户设备认证通过后,将第一目标对应关系发送给转发设备。当检测到转发设备重启后,认证服务器重新将第一目标对应关系发送给转发设备。
在本申请的一个实施例中,认证服务器接收第一用户设备发送的下线认证报文,下线认证报文中包括第一用户标识和第一用户设备的地址。认证服务器根据第一用户标识,对第一用户设备进行认证。在对第一用户设备认证通过后,认证服务器发送包含第一目标对应关系的删除指令至转发设备。转发设备根据删除指令删除第一目标对应关系。
本申请实施例提供的技术方案中,用户标识与用户绑定,基于用户标识确定转发策略,进而依据转发策略处理报文,这实现了对某个用户或某些用户的报文转发控制。
与上述应用于转发设备的报文处理方法实施例对应,本申请实施例还提供了一种应用于转发设备的报文处理装置。参考图5,图5为本申请实施例提供的报文处理装置的第一种结构示意图,应用于转发设备,包括接收单元501、第一确定单元502、第二确定单元503和处理单元504。
接收单元501,用于接收第一用户设备发送的报文,报文包括第一用户设备的地址;
第一确定单元502,用于根据预先存储的用户标识与用户设备的地址的第一对应关系,确定第一用户设备的地址对应的第一用户标识;
第二确定单元503,用于根据预先存储的用户标识与转发策略的第二对应关系,确定第一用户标识对应的第一转发策略;
处理单元504,依据报文的报文信息,与第一转发策略进行匹配,获得匹配成功的目标转发策略,并根据目标转发策略处理报文。
一个实施例中,第二确定单元,具体可以用于:
在用于存储用户标识与bitmap的对应关系的预设哈希表中,查找第一用户标识对应的第一bitmap,其中,bitmap中包括第一预设值与转发策略的对应关系,以及第二预设值与转发策略的对应关系,第一预设值用于指示转发策略中包括用户标识,第二预设值用于指示转发策略中不包括用户标识;
确定第一bitmap中第一预设值对应的至少一个转发策略,得到第一用户标识对应的第一转发策略。
一个实施例中,上述报文处理装置还可以包括:
获取单元,用于获取多个用户标识与转发策略的对应关系;
生成单元,用于根据多个用户标识与转发策略的对应关系,利用二叉树技术,生成各用户标识对应的bitmap;
存储单元,用于将各用户标识与bitmap的对应关系存储至预设哈希表。
一个实施例中,接收单元501,还可以用于接收认证服务器发送的认证信息,认证信息中包括第二用户标识和第二用户设备的地址的对应关系,以及第二用户设备的上线信息或下线信息,认证信息为:认证服务器在根据第二用户标识对第二用户设备认证通过后向转发设备发送的;
处理单元504,还可以用于根据第二用户设备的上线信息,存储第二用户标识和第二用户设备的地址的对应关系;和/或,根据第二用户设备的下线信息,删除第二用户标识和第二用户设备的地址的对应关系。
一个实施例中,上述报文处理装置还可以包括:
检测单元,用于当检测到认证服务器重启后,将第一对应关系发送给认证服务器。
本申请实施例提供的技术方案中,用户标识与用户绑定,基于用户标识确定转发策略,进而依据转发策略处理报文,这实现了对某个用户或某些用户的报文转发控制。
与上述应用于认证服务器的报文处理方法实施例对应,本申请实施例还提供了一种应用于认证服务器的报文处理装置。参考图6,图6为本申请实施例提供的报文处理装置的第二种结构示意图,应用于认证服务器,包括接收单元601、认证单元602、存储单元603和发送单元604。
接收单元601,用于接收第一用户设备发送的上线认证报文,上线认证报文中包括第一用户名、第一用户标识和第一用户设备的地址;
认证单元602,用于根据第一用户名和第一用户标识,对第一用户设备进行认证;
存储单元603,用了工业在对第一用户设备认证通过后,存储第一用户标识与第一用户设备的地址的第一目标对应关系;
发送单元604,用于将第一目标对应关系发送给转发设备,以使转发设备根据第一目标对应关系,以及用户标识与转发策略的对应关系,确定第一用户标识对应的第一转发策略,根据第一转发策略处理第一用户设备发送的报文。
一个实施例中,发送单元604,还可以用于:
当检测到转发设备重启后,重新将第一目标对应关系发送给转发设备。
一个实施例中,接收单元601,还可以用于接收第一用户设备发送的下线认证报文,下线认证报文中包括第一用户标识和第一用户设备的地址;
认证单元602,还可以用于根据第一用户标识,对第一用户设备进行认证;
发送单元604,还可以用于在对第一用户设备认证通过后,发送包含第一目标对应关系的删除指令至转发设备,以使转发设备删除第一目标对应关系。
本申请实施例提供的技术方案中,用户标识与用户绑定,基于用户标识确定转发策略,进而依据转发策略处理报文,这实现了对某个用户或某些用户的报文转发控制。
与上述应用于转发设备的报文处理方法实施例对应,本申请实施例还提供了一种转发设备,如图7所示,包括处理器701和机器可读存储介质702,机器可读存储介质702存储有能够被处理器701执行的机器可执行指令。处理器701被机器可执行指令促使实现上述应用于转发设备的报文处理方法的任一步骤。其中,报文处理方法包括:
接收第一用户设备发送的报文,报文包括第一用户设备的地址;
根据预先存储的用户标识与用户设备的地址的第一对应关系,确定第一用户设备的地址对应的第一用户标识;
根据预先存储的用户标识与转发策略的第二对应关系,确定第一用户标识对应的第一转发策略;
依据报文的报文信息,与第一转发策略进行匹配,获得匹配成功的目标转发策略,并根据目标转发策略处理报文。
本申请实施例提供的技术方案中,用户标识与用户绑定,基于用户标识确定转发策略,进而依据转发策略处理报文,这实现了对某个用户或某些用户的报文转发控制。
一个实施例中,如图7所示,转发设备还可以包括:通信接口703和通信总线704;其中,处理器701、机器可读存储介质702、通信接口703通过通信总线704完成相互间的通信,通信接口703用于上述转发设备与其他设备之间的通信。
与上述应用于认证服务器的报文处理方法实施例对应,本申请实施例还提供了一种认证服务器,如图8所示,包括处理器801和机器可读存储介质802,机器可读存储介质802存储有能够被处理器801执行的机器可执行指令。处理器801被机器可执行指令促使实现上述应用于认证服务器的报文处理方法的任一步骤。其中,报文处理方法包括:
接收第一用户设备发送的上线认证报文,上线认证报文中包括第一用户名、第一用户标识和第一用户设备的地址;
根据第一用户名和第一用户标识,对第一用户设备进行认证;
在对第一用户设备认证通过后,存储第一用户标识与第一用户设备的地址的第一目标对应关系;
将第一目标对应关系发送给转发设备,以使转发设备根据第一目标对应关系,以及用户标识与转发策略的对应关系,确定第一用户标识对应的第一转发策略,根据第一转发策略处理第一用户设备发送的报文。
本申请实施例提供的技术方案中,用户标识与用户绑定,基于用户标识确定转发策略,进而依据转发策略处理报文,这实现了对某个用户或某些用户的报文转发控制。
一个实施例中,如图8所示,认证服务器还可以包括:通信接口803和通信总线804;其中,处理器801、机器可读存储介质802、通信接口803通过通信总线804完成相互间的通信,通信接口803用于上述认证服务器与其他设备之间的通信。
与上述应用于转发设备的报文处理方法实施例对应,本申请实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使处理器实现上述应用于转发设备的报文处理方法的任一步骤。
与上述应用于认证服务器的报文处理方法实施例对应,本申请实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使处理器实现上述应用于认证服务器的报文处理方法的任一步骤。
上述通信总线可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7和图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于报文处理装置、转发设备、认证服务器和机器可读存储介质实施例而言,由于其基本相似于报文处理方法实施例,所以描述的比较简单,相关之处参见报文处理方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (11)
1.一种报文处理方法,其特征在于,应用于转发设备,所述方法包括:
接收第一用户设备发送的报文,所述报文包括第一用户设备的地址;
根据预先存储的用户标识与用户设备的地址的第一对应关系,确定所述第一用户设备的地址对应的第一用户标识;
根据预先存储的用户标识与转发策略的第二对应关系,确定所述第一用户标识对应的第一转发策略,所述确定所述第一用户标识对应的第一转发策略包括:
在用于存储用户标识与位图bitmap的对应关系的预设哈希表中,查找所述第一用户标识对应的第一bitmap,其中,所述bitmap中包括第一预设值与转发策略的对应关系,以及第二预设值与转发策略的对应关系,所述第一预设值用于指示转发策略中包括所述用户标识,所述第二预设值用于指示转发策略中不包括所述用户标识;
确定所述第一bitmap中所述第一预设值对应的至少一个转发策略,得到所述第一用户标识对应的第一转发策略;
依据所述报文的报文信息,与所述第一转发策略进行匹配,获得匹配成功的目标转发策略,并根据所述目标转发策略处理所述报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取多个用户标识与转发策略的对应关系;
根据所述多个用户标识与转发策略的对应关系,利用二叉树技术,生成各所述用户标识对应的bitmap;
将各所述用户标识与bitmap的对应关系存储至预设哈希表。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收认证服务器发送的认证信息,所述认证信息中包括第二用户标识和第二用户设备的地址的对应关系,以及所述第二用户设备的上线信息或下线信息,所述认证信息为:所述认证服务器在根据所述第二用户标识对所述第二用户设备认证通过后向所述转发设备发送的;
根据所述第二用户设备的上线信息,存储所述第二用户标识和所述第二用户设备的地址的对应关系;和/或,根据所述第二用户设备的下线信息,删除所述第二用户标识和第二用户设备的地址的对应关系。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当检测到认证服务器重启后,将所述第一对应关系发送给所述认证服务器。
5.一种报文处理方法,其特征在于,应用于认证服务器,所述方法包括:
接收第一用户设备发送的上线认证报文,所述上线认证报文中包括第一用户标识和第一用户设备的地址;
根据所述第一用户标识,对所述第一用户设备进行认证;
在对所述第一用户设备认证通过后,存储所述第一用户标识与所述第一用户设备的地址的第一目标对应关系;
将所述第一目标对应关系发送给转发设备,以使所述转发设备根据所述第一目标对应关系,以及用户标识与转发策略的对应关系,在用于存储用户标识与位图bitmap的对应关系的预设哈希表中,查找所述第一用户标识对应的第一bitmap,其中,所述bitmap中包括第一预设值与转发策略的对应关系,以及第二预设值与转发策略的对应关系,所述第一预设值用于指示转发策略中包括所述用户标识,所述第二预设值用于指示转发策略中不包括所述用户标识;确定所述第一bitmap中所述第一预设值对应的至少一个转发策略,得到所述第一用户标识对应的第一转发策略,根据所述第一转发策略处理所述第一用户设备发送的报文。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
当检测到转发设备重启后,重新将所述第一目标对应关系发送给所述转发设备。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
接收所述第一用户设备发送的下线认证报文,所述下线认证报文中包括所述第一用户标识和所述第一用户设备的地址;
根据所述第一用户标识,对所述第一用户设备进行认证;
在对所述第一用户设备认证通过后,发送包含所述第一目标对应关系的删除指令至所述转发设备,以使所述转发设备删除所述第一目标对应关系。
8.一种报文处理装置,其特征在于,应用于转发设备,所述装置包括:
接收单元,用于接收第一用户设备发送的报文,所述报文包括第一用户设备的地址;
第一确定单元,用于根据预先存储的用户标识与用户设备的地址的第一对应关系,确定所述第一用户设备的地址对应的第一用户标识;
第二确定单元,用于根据预先存储的用户标识与转发策略的第二对应关系,确定所述第一用户标识对应的第一转发策略,所述确定所述第一用户标识对应的第一转发策略包括:
在用于存储用户标识与位图bitmap的对应关系的预设哈希表中,查找所述第一用户标识对应的第一bitmap,其中,所述bitmap中包括第一预设值与转发策略的对应关系,以及第二预设值与转发策略的对应关系,所述第一预设值用于指示转发策略中包括所述用户标识,所述第二预设值用于指示转发策略中不包括所述用户标识;
确定所述第一bitmap中所述第一预设值对应的至少一个转发策略,得到所述第一用户标识对应的第一转发策略;
处理单元,用于依据所述报文的报文信息,与所述第一转发策略进行匹配,获得匹配成功的目标转发策略,并根据所述目标转发策略处理所述报文。
9.一种报文处理装置,其特征在于,应用于认证服务器,所述装置包括:
接收单元,用于接收第一用户设备发送的上线认证报文,所述上线认证报文中包括第一用户名、第一用户标识和第一用户设备的地址;
认证单元,用于根据所述第一用户名和所述第一用户标识,对所述第一用户设备进行认证;
存储单元,用于对所述第一用户设备认证通过后,存储所述第一用户标识与所述第一用户设备的地址的第一目标对应关系;
发送单元,用于将所述第一目标对应关系发送给转发设备,以使所述转发设备根据所述第一目标对应关系,以及用户标识与转发策略的对应关系,在用于存储用户标识与位图bitmap的对应关系的预设哈希表中,查找所述第一用户标识对应的第一bitmap,其中,所述bitmap中包括第一预设值与转发策略的对应关系,以及第二预设值与转发策略的对应关系,所述第一预设值用于指示转发策略中包括所述用户标识,所述第二预设值用于指示转发策略中不包括所述用户标识;确定所述第一bitmap中所述第一预设值对应的至少一个转发策略,得到所述第一用户标识对应的第一转发策略,根据所述第一转发策略处理所述第一用户设备发送的报文。
10.一种转发设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-4任一所述的方法步骤。
11.一种认证服务器,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求5-7任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811454922.4A CN109327395B (zh) | 2018-11-30 | 2018-11-30 | 一种报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811454922.4A CN109327395B (zh) | 2018-11-30 | 2018-11-30 | 一种报文处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109327395A CN109327395A (zh) | 2019-02-12 |
| CN109327395B true CN109327395B (zh) | 2021-09-10 |
Family
ID=65255925
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811454922.4A Active CN109327395B (zh) | 2018-11-30 | 2018-11-30 | 一种报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109327395B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110769462B (zh) * | 2019-10-24 | 2023-03-28 | 杭州迪普科技股份有限公司 | 网络访问控制方法和装置 |
| CN110620729A (zh) * | 2019-10-25 | 2019-12-27 | 新华三信息安全技术有限公司 | 一种报文转发方法、装置及报文转发设备 |
| CN110958334B (zh) * | 2019-11-25 | 2022-08-09 | 新华三半导体技术有限公司 | 报文处理方法及装置 |
| CN111106982B (zh) * | 2019-12-23 | 2022-03-01 | 杭州迪普科技股份有限公司 | 一种信息过滤方法、装置、电子设备及存储介质 |
| CN111277590B (zh) * | 2020-01-19 | 2022-06-21 | 深信服科技股份有限公司 | 设备信息筛选方法、防火墙装置、网络设备及存储介质 |
| CN111444218B (zh) * | 2020-03-30 | 2022-09-30 | 国家计算机网络与信息安全管理中心 | 组合规则的匹配方法和装置 |
| CN112995179B (zh) * | 2021-02-25 | 2022-08-26 | 杭州迪普信息技术有限公司 | 一种应答报文处理方法及设备 |
| CN113079097B (zh) * | 2021-03-24 | 2022-03-22 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN114363331A (zh) * | 2021-12-22 | 2022-04-15 | 上海浦东发展银行股份有限公司 | 通信方法、系统、计算机设备和存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100544264C (zh) * | 2006-08-14 | 2009-09-23 | 华为技术有限公司 | 一种在演进网络中管理用户策略计费控制签约信息的方法 |
| CN101127698B (zh) * | 2006-09-07 | 2010-11-03 | 中兴通讯股份有限公司 | 实现分组域基于业务的路由选择的系统和方法 |
| CN103873371B (zh) * | 2014-02-21 | 2017-11-28 | 北京邮电大学 | 一种名字路由快速匹配查找方法与装置 |
| CN103841221B (zh) * | 2014-02-24 | 2018-01-02 | 华为技术有限公司 | 策略执行方法、系统、策略执行设备及控制设备 |
| US9300660B1 (en) * | 2015-05-29 | 2016-03-29 | Pure Storage, Inc. | Providing authorization and authentication in a cloud for a user of a storage array |
-
2018
- 2018-11-30 CN CN201811454922.4A patent/CN109327395B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN109327395A (zh) | 2019-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109327395B (zh) | 一种报文处理方法及装置 | |
| CN107360184B (zh) | 终端设备认证方法和装置 | |
| WO2017079795A1 (en) | A distributed user profile identity verification system for e-commerce transaction security | |
| AU2020202997B2 (en) | Method and apparatus for recognizing service request to change mobile phone number | |
| CN105306210B (zh) | 一种利用应用程序实现授权的方法、装置及系统 | |
| CN112822218B (zh) | 一种接入控制方法及装置 | |
| CN108243115B (zh) | 报文处理方法及装置 | |
| CN112235321A (zh) | 短信验证码防刷方法及装置 | |
| US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
| CN106060006B (zh) | 一种访问方法及装置 | |
| CN105491094B (zh) | 处理http请求的方法及装置 | |
| CN110234082B (zh) | 一种移动终端的寻址方法、装置、存储介质和服务器 | |
| CN109769249B (zh) | 一种认证方法、系统及其装置 | |
| CN113595812B (zh) | 一种客户端识别方法、装置、存储介质及网络设备 | |
| CN107547523A (zh) | 报文处理方法、装置、网络设备及机器可读存储介质 | |
| CN107733757B (zh) | 一种基于第三方应用程序接入Wi-Fi网络的方法及装置 | |
| CN107770183B (zh) | 一种数据传输方法与装置 | |
| CN107592299B (zh) | 代理上网识别方法、计算机装置及计算机可读存储介质 | |
| CN106506270B (zh) | 一种ping报文处理方法及装置 | |
| CN109617817B (zh) | 一种mlag组网的转发表项的生成方法及装置 | |
| EP4243362B1 (en) | Network device identification | |
| CN108718280B (zh) | 一种报文转发方法及装置 | |
| CN107547509B (zh) | 一种报文转发方法及装置 | |
| CN111385360A (zh) | 终端设备的识别方法、装置及计算机可读存储介质 | |
| CN107181759B (zh) | 一种用户设备的认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |