CN110837647B - 管理访问控制列表的方法及装置 - Google Patents
管理访问控制列表的方法及装置 Download PDFInfo
- Publication number
- CN110837647B CN110837647B CN201810935557.2A CN201810935557A CN110837647B CN 110837647 B CN110837647 B CN 110837647B CN 201810935557 A CN201810935557 A CN 201810935557A CN 110837647 B CN110837647 B CN 110837647B
- Authority
- CN
- China
- Prior art keywords
- acl
- updated
- ace
- field domain
- constraint condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
Abstract
本发明涉及数据通信技术领域,提供一种管理访问控制列表的方法及装置。其中,管理访问控制列表的方法包括:获得当前的ACL的字段域集合S;获得待删除的ACE的字段域集合A;将待删除的ACE从当前的ACL中删除,获得更新后的ACL;判断更新后的ACL中是否满足第一约束条件,第一约束条件为P∪(S-A)=S;若更新后的ACL中满足第一约束条件,确定更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。该方法避免通过计算ACL中所有剩余的ACE的字段域集合的并集来获取更新后的ACL的字段域集合,降低了因删除ACE所带来的运算负担,有利于节约数据通信设备的计算资源。
Description
技术领域
本发明涉计数据通信技术领域,具体而言,涉及一种管理访问控制列表的方法及装置。
背景技术
在数据通信设备如路由器、交换机中,访问控制列表(Access Control List,简称ACL)用来实现数据识别功能,即使用ACL对设备转发的报文进行过滤。
ACL由至少一个访问控制表项(Access Control Entry,简称ACE)顺序链接而成。每个ACE均包括字段域集合与动作两部分,其中字段域集合包括报文中包括的至少一个字段,通常包括源地址、源端口、目的地址、目的端口、四层协议号、服务类型,四层标志等字段,用于匹配报文,而动作是指对报文的处理方式,通常包括允许与拒绝两种动作。ACL的字段域集合是指ACL中所有的ACE的字段域集合的并集。
在数据通信设备使用ACL过滤报文前,首先会根据ACL的字段域集合对报文进行解析,并且只解析报文中处于该集合内的字段以提高处理效率。
一般而言,ACL允许动态更新,例如向ACL中增加或删除ACE,但更新后必须重新计算ACL的字段域集合。在现有技术中,重新计算ACL的字段域集合的效率低下。
发明内容
本发明实施例提供一种管理访问控制列表的方法及装置,并通过如下技术方案实现:
第一方面,本发明实施例提供一种管理访问控制列表的方法,包括:
获得当前的访问控制列表ACL的字段域集合S;
获得待删除的访问控制表项ACE的字段域集合A;
将待删除的ACE从当前的ACL中删除后获得更新后的ACL,判断更新后的ACL中是否满足第一约束条件,第一约束条件为P∪(S-A)=S,其中,P为更新后的ACL中至少一个ACE的字段域集合的并集,S-A为S和A的差集;
若更新后的ACL中满足第一约束条件,确定更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
上述方法在计算更新后的ACL的字段域集合时,首先判断更新后的ACL中是否满足第一约束条件,若满足第一约束条件,则确定更新后的ACL的字段域集合保持不变。从而避免了通过计算更新后的ACL中所有ACE的字段域集合的并集来计算更新后的ACL的字段域集合,显著降低了因删除ACE所带来的运算负担,有利于节约使用该ACL的数据通信设备的计算资源。
在一个可能的设计中,判断更新后的ACL中是否满足第一约束条件,包括:
先获取更新后的ACL中第一个ACE的字段域集合P1,判断P1∪(S-A)不等于S时,再获取更新后的ACL中前两个ACE的字段域集合的并集P2,判断P2∪(S-A)不等于S时,再获取更新后的ACL中前i个ACE的字段域集合的并集Pi,直至Pi∪(S-A)=S时,确定更新后的ACL中满足第一约束条件,其中,1≤i≤更新后的ACL中的ACE的个数。
判断更新后的ACL中是否满足第一约束条件,可以采取上述迭代的方式,按照ACE在ACL中的排列顺序从前向后依次进行判断,一旦确定满足第一约束条件的至少一个ACE,则立即停止迭代,以减小运算量。通常而言,在更新后的ACL中包含较多的ACE时,迭代将很快终止,因此上述方法的计算效率较高。
在一个可能的设计中,方法还包括:
直至获取更新后的ACL中所有ACE的字段域集合的并集P总且P总∪(S-A)<S时,确定更新后的ACL中不满足第一约束条件,进而确定更新后的ACL的字段域集合为P总,并依据字段域集合P总对接收到报文进行解析。
如果更新后的ACL中不满足第一约束条件,则将更新后的ACL中所有ACE的字段域集合的并集确定为更新后的ACL的字段域集合。通常而言,在更新后的ACL中包含较多的ACE时,这种情况很少出现,在更新后的ACL中包含较少的ACE时,即使计算所有ACE的字段域集合的并集也并不会消耗太多计算资源。
第二方面,本发明实施例提供一种管理访问控制列表的方法,访问控制列表ACL包括至少一个访问控制表项ACE块,每个ACE块包括至少一个ACE,方法包括:
获得当前的ACL的字段域集合S;
获得待删除的ACE的字段域集合A;
将待删除的ACE从当前的ACL中删除后获得更新后的ACL,判断更新后的ACL中是否满足第二约束条件,第二约束条件为Q∪(S-A)=S,其中,Q为更新后的ACL中至少一个ACE块的字段域集合的并集,S-A为S和A的差集;
若更新后的ACL中满足第二约束条件,确定更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
上述方法和第一方面提供的方法类似,其区别在于进行计算的基本单位是ACE块而非单个ACE。由于ACE块中包括至少一个ACE,因此其字段域集合中包括的字段在大概率上比单个ACE更多,因此从更新后的ACL中查找到满足第二约束条件的至少一个ACE块,其计算速度可能会非常快,能够显著降低因删除ACE所带来的运算负担,有利于节约使用该ACL的数据通信设备的计算资源。
在一个可能的设计中,判断更新后的ACL中是否满足第二约束条件,包括:
先获取更新后的ACL中第一个ACE块的字段域集合Q1,判断Q1∪(S-A)不等于S时,再获取更新后的ACL中前两个ACE块的字段域集合的并集Q2,判断Q2∪(S-A)不等于S时,再获取更新后的ACL中前i个ACE块的字段域集合的并集Qi,直至Qi∪(S-A)=S时,确定更新后的ACL中满足第二约束条件,其中,1≤i≤更新后的ACL中的ACE块的个数。
判断更新后的ACL中是否满足第二约束条件,可以采取上述迭代的方式,按照ACE块在ACL中的排列顺序从前向后依次进行判断,一旦确定满足第二约束条件的至少一个ACE块,则立即停止迭代,以减小运算量。通常而言,在更新后的ACL中包含较多的ACE时,迭代将很快终止,因此上述方法的计算效率较高。
在一个可能的设计中,方法还包括:
直至获取更新后的ACL中所有ACE块的字段域集合的并集Q总且Q总∪(S-A)<S时,确定更新后的ACL中不满足第二约束条件,进而确定更新后的ACL的字段域集合为Q总,并依据字段域集合Q总对接收到报文进行解析。
如果更新后的ACL中不满足第二约束条件,则将更新后的ACL中所有ACE块的字段域集合的并集确定为更新后的ACL的字段域集合。通常而言,在更新后的ACL中包含较多的ACE时,这种情况很少出现,在更新后的ACL中包含较少的ACE时,即使计算所有ACE块的字段域集合的并集也并不会消耗太多计算资源。
在一个可能的设计中,在将待删除的ACE从当前的ACL中删除后获得更新后的ACL之前,方法还包括:
获得待更新的ACE块的字段域集合T,待更新的ACE块为当前的ACL中待删除的ACE所在的ACE块;
将待删除的ACE从当前的ACL中删除后获得更新后的ACL,判断更新后的ACL中是否满足第二约束条件,包括:
将待删除的ACE从当前的ACL中删除后获得更新后的ACL,判断更新后的ACE块中是否满足第三约束条件,更新后的ACE块为将待删除的ACE从待更新的ACE块中删除后获得的ACE块,第三约束条件为P∪(T-A)=T,其中,P为更新后的ACE块中至少一个ACE的字段域集合的并集,T-A为T和A的差集;
若更新后的ACE块中不满足第三约束条件,判断更新后的ACL中是否满足第二约束条件。
只有在更新后的ACE块的字段域集合和待更新的ACE块的字段域集合不相同时,才需要进一步判断更新后的ACL中是否满足第二约束条件,可以进一步提高更新后的ACL的字段域集合的计算效率。
在一个可能的设计中,判断更新后的ACE块中是否满足第三约束条件,包括:
先获取更新后的ACE块中第一个ACE的字段域集合P1,判断P1∪(T-A)不等于T时,再获取更新后的ACE块中前两个ACE的字段域集合的并集P2,判断P2∪(T-A)不等于T时,再获取更新后的ACE块中前i个ACE的字段域集合的并集Pi,直至Pi∪(T-A)=T时,确定更新后的ACE块中满足第三约束条件,其中,1≤i≤更新后的ACE块中的ACE的个数。
判断更新后的ACE块中是否满足第三约束条件,可以采取上述迭代的方式,按照ACE在ACE块中的排列顺序从前向后依次进行判断,一旦确定满足第三约束条件的至少一个ACE,则立即停止迭代,以减小运算量。通常而言,在更新后的ACE块中包含较多的ACE时,迭代将很快终止,因此上述方法的计算效率较高。
在一个可能的设计中,若更新后的ACE块中不满足第三约束条件,判断更新后的ACL中是否满足第二约束条件,包括:
直至获取更新后的ACE块中所有ACE的字段域集合的并集P总且P总∪(T-A)<T时,确定更新后的ACE块中不满足第三约束条件,进而确定更新后的ACE块的字段域集合为P总,并基于字段域集合P总以及更新后的ACL中的其他ACE块的字段域集合判断更新后的ACL中是否满足第二约束条件。
如果更新后的ACE块中不满足第三约束条件,则将更新后的ACE块中所有ACE的字段域集合的并集确定为更新后的ACE块的字段域集合。通常而言,在更新后的ACE块中包含较多的ACE时,这种情况很少出现,在更新后的ACE块中包含较少的ACE时,即使计算所有ACE的字段域集合的并集也并不会消耗太多计算资源。
在一个可能的设计中,方法还包括:
若更新后的ACE块中满足第三约束条件,确定更新后的ACE块的字段域集合为T,进而确定更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
若更新后的ACE块的字段域集合和待更新的ACE块的字段域集合相同,不需要进一步判断更新后的ACL中是否满足第二约束条件,直接可以确定更新后的ACL的字段域集合保持不变,在更新后的ACE块中包含较多的ACE时,这种情况经常出现,可以大幅提高更新后的ACL的字段域集合的计算效率。
第三方面,本发明实施例提供一种管理访问控制列表的装置,包括:
ACL字段域集合获取模块,用于获得当前的访问控制列表ACL的字段域集合S;
ACE字段域集合获取模块,用于获得待删除的访问控制表项ACE的字段域集合A;
ACE删除模块,用于将待删除的ACE从当前的ACL中删除,获得更新后的ACL;
ACL字段域集合判断模块,用于判断更新后的ACL中是否满足第一约束条件,第一约束条件为P∪(S-A)=S,其中,P为更新后的ACL中至少一个ACE的字段域集合的并集,S-A为S和A的差集;
ACL字段域集合确定模块,用于若更新后的ACL中满足第一约束条件,确定更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
第四方面,本发明实施例提供一种管理访问控制列表的装置,访问控制列表ACL包括至少一个访问控制表项ACE块,每个ACE块包括至少一个ACE,装置包括:
ACL字段域集合获取模块,用于获得当前的ACL的字段域集合S;
ACE字段域集合获取模块,用于获得待删除的ACE的字段域集合A;
ACE删除模块,用于将待删除的ACE从当前的ACL中删除,获得更新后的ACL;
ACL字段域集合判断模块,用于判断更新后的ACL中是否满足第二约束条件,第二约束条件为Q∪(S-A)=S,其中,Q为更新后的ACL中至少一个ACE块的字段域集合的并集,S-A为S和A的差集;
ACL字段域集合确定模块,用于若更新后的ACL中满足第二约束条件,确定更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
第五方面,本发明实施例提供一种数据通信设备,包括处理器以及计算机存储介质,计算机存储介质中存储有计算机程序指令,计算机程序指令被处理器读取并运行时,执行第一方面或第一方面的任意一个可能的设计提供的管理访问控制列表的方法的步骤。
该数据通信设备在删除ACL中的ACE时,能够快速重新计算更新后的ACL的字段域集合,对计算资源需求量不高,不至于影响ACL的正常使用。
为使本发明的上述目的、技术方案和有益效果能更明显易懂,下文特举实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明第一实施例提供的管理访问控制列表的方法的流程图;
图2示出了ACL的分块结构示意图;
图3示出了本发明第二实施例提供的管理访问控制列表的方法的流程图;
图4示出了本发明第三实施例提供的管理访问控制列表的方法的流程图;
图5示出了本发明第四实施例提供的管理访问控制列表的装置的功能模块图;
图6示出了本发明第五实施例提供的管理访问控制列表的装置的功能模块图。
具体实施方式
数据通信设备在使用ACL时,常常会出现对ACL进行动态更新的情况,以适应于当前的报文过滤需求,更新ACL主要是指在ACL中增加或删除ACE,显然的,更新ACL可能导致ACL的字段域集合发生变化,因此在更新后需要重新计算ACL的字段域集合。在现有技术中,通常的做法是对更新后的ACL中的所有ACE的字段域集合求并集。
发明人在长期研究实践中发现,如果ACL包括大量的ACE,例如10000条以上时,求这些ACE的字段域集合的并集将非常耗时,由于不能及时计算出新的ACL的字段域集合,甚至可能会影响报文的过滤功能,导致数据通信设备的实用性不佳。
现有技术中存在的上述缺陷,是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本发明实施例针对上述问题所提出的解决方案,都应该是发明人在本发明过程中对本发明做出的贡献。
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于将一个实体或者操作与另一个实体或操作区分开来,而不能理解为指示或暗示相对重要性,也不能理解为要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
第一实施例
图1示出了本发明第一实施例提供的管理访问控制列表的方法的流程图。参照图1,该方法包括:
步骤S10:数据通信设备获得当前的ACL的字段域集合S。
获得S的方法不作限定,例如可以是对ACL包括的所有ACE的字段域集合求并集计算获得,或者在步骤S10执行之前已经通过其他方式计算出了S,在步骤S10中直接读取出S。
步骤S11:数据通信设备获得待删除的ACE的字段域集合A。
步骤S12:数据通信设备将待删除的ACE从当前的ACL中删除后获得更新后的ACL,判断更新后的ACL中是否满足第一约束条件。
第一约束条件为P∪(S-A)=S,其中,P为更新后的ACL中至少一个ACE的字段域集合的并集,S-A为S和A的差集。步骤S12实际上是一个查找过程,即尝试从更新后的ACL中查找出使更新后的ACL中满足第一约束条件的上述至少一个ACE。
实现这一查找过程的具体方式不作限定,例如可以采取迭代的方式:
在第一次迭代时,获取更新后的ACL中第一个ACE的字段域集合P1,判断P1∪(S-A)是否等于S,若相等,则表明更新后的ACL中满足第一约束条件,停止迭代并执行步骤S14,若不相等,则开始下一次迭代。
在第二次迭代时,获取更新后的ACL中前两个ACE的字段域集合的并集P2,判断是否满足P2∪(S-A)是否等于S,若相等,则表明更新后的ACL中满足第一约束条件,停止迭代并执行步骤S14,若不相等,则开始下一次迭代。
以此类推,在第i次迭代时,获取更新后的ACL中前i个ACE的字段域集合的并集Pi,判断Pi∪(S-A)是否等于S,若相等,则表明更新后的ACL中满足第一约束条件,停止迭代并执行步骤S14,若不相等,则开始下一次迭代。其中,1≤i≤更新后的ACL中的ACE的个数。
若一直未找到使更新后的ACL中满足第一约束条件的ACE,持续上述迭代过程,直至在最后一次迭代时获取更新后的ACL中所有ACE的字段域集合的并集P总,判断P总∪(S-A)是否等于S,若相等,则表明更新后的ACL中满足第一约束条件,执行步骤S14,若不相等(即P总∪(S-A)<S),执行步骤S13。
由于在ACL中,各个ACE项通常按照一定顺序依次链接在一起,在上述迭代方式中,从前至后依次访问ACE项,相当于保证了访问顺序和ACE在ACL中的存储顺序是一致的,访问效率较高,这里所称的访问是指从ACE中读取其字段域集合。
此外,在上述实施方式中,实际上至多只需要遍历一次更新后的ACL中所有的ACE项。例如,i取k时,Pk是更新后的ACL中前k个ACE的字段域集合的并集,若Pk∪(S-A)不等于S,将i递增为k+1,i取k+1时,Pk+1可以直接通过Pk∪Ak+1获得,其中Ak+1表示剩余的ACE中的第k+1个ACE的字段域集合。即每次迭代只需要利用上次缓存字段域集合的并集,并读取一个新的ACE的字段域集合即可求出本次迭代所需的字段域集合的并集并进行条件验证,这一过程的计算效率较高。
可以理解的,还可以采取其他的迭代方式,例如从更新后的ACL中的最后一个ACE开始向前遍历,或者在某些实施方式中也可以不采用迭代的方式,例如采取并行计算的方式。
步骤S13:数据通信设备将更新后的ACL中的所有ACE的字段域集合的并集确定为更新后的ACL的字段域集合,并依据该字段域集合对接受到的报文进行解析。
在步骤S12执行后,若在更新后的ACL中不存在满足第一约束条件的ACE,说明删除ACE确实造成了ACL的字段域集合的变化,此时采用步骤S13中的方法计算ACL当前的字段域集合。当然,在执行步骤S12时,例如采用迭代方式查找使更新后的ACL中满足第一约束条件的至少一个ACE,在迭代次数达到最大时已经获得了更新后的ACL中的所有ACE的字段域集合的并集P总,这种情况下步骤S13就不需要重复计算了。计算出更新后的ACL的字段域集合后,可以利用该字段域集合解析报文,实现ACL的过滤功能。
步骤S14:数据通信设备确定更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
在步骤S12执行后,若在更新后的ACL中满足第一约束条件,说明删除ACE并未造成ACL的字段域集合的变化,即更新后的ACL的字段域集合仍然维持S不变。确定更新后的ACL的字段域集合后,可以利用该字段域集合解析报文,实现ACL的过滤功能。
发明人在长期研究实践中发现,当ACL中的ACE数量较多时,删除掉一条ACE,ACL的字段域集合保持不变的概率是极高的,也即是说有极高的概率可以从剩余的ACE中查找到满足第一约束条件的至少一个ACE,并且一般来说上述至少一个ACE的个数不会太多,通常远远小于剩余的ACE的总个数,因为实际的ACL中用于过滤的字段是非常有限的,当ACE的数量较多时,很快ACE的字段域集合的并集便会覆盖到这些字段。
从而从更新后的ACL中查找使更新后的ACL中满足第一约束条件的至少一个ACE,在大多数时候很快就可以找到满足第一约束条件的ACE,其运算量通常是远远小于计算剩余的ACE的字段域集合的并集的,因此可以显著提高删除ACE后的ACL的字段域集合的计算效率。或者也可以说,如果更新后的ACL中不满足第一约束条件,一般仅见于更新后的ACL中ACE数量较少的情况,这种情况即使通过计算所有ACE的字段域集合的并集的方式计算更新后的ACL的字段域集合,也不会消耗太多的计算资源。
上面的步骤S10至步骤S14阐述的是从ACL中删除ACE的情况,实际中还有向ACL中增加ACE的情况。在计算更新后的ACL的字段域集合时,首先获得当前的ACL的字段域集合S,然后获得待增加的ACE的字段域集合B,则更新后的ACL的字段域集合就是S∪B。其中,S可以是之前计算好并缓存的,即在计算更新后的ACL的字段域集合时,可以直接利用之前缓存的当前的ACL的字段域集合,不必像现有技术中一样计算更新后的ALC中所有ACE的字段域集合的并集。
第一实施例提供的管理访问控制列表的方法,显著降低了数据通信设备因更新ACL所带来的重新计算ACL的字段域集合的运算负担,有利于节约使用该ACL的数据通信设备的计算资源,提高设备性能。
第二实施例
图2示出了ACL的分块结构示意图。参照图2,可以将ACL划分为至少一个ACE块,每个ACE块包括至少一个ACE,ACE块的字段域集合定义为该ACE块内所有的ACE的字段域集合的并集。
图3示出了本发明第二实施例提供的管理访问控制列表的方法的流程图。参照图2,该方法包括:
步骤S20:数据通信设备获得当前的ACL的字段域集合S。
步骤S21:数据通信设备获得待删除的ACE的字段域集合A。
步骤S20和步骤S21和第一实施例的步骤S10和步骤S11是类似的,不再重复阐述。
步骤S22:数据通信设备将待删除的ACE从当前的ACL中删除后获得更新后的ACL,判断更新后的ACL中是否满足第二约束条件。
第二约束条件为Q∪(S-A)=S,其中,Q为更新后的ACL中至少一个ACE块的字段域集合的并集,S-A为S和A的差集。步骤S12实际上是一个查找过程,即尝试从更新后的ACL中查找出使更新后的ACL中满足第二约束条件的上述至少一个ACE块。这里需要指出,各个ACE块的字段域集合可以是在步骤S22执行之前就计算好的,例如在ACL创建时就进行计算,当然在后续ACL中增加或删除ACE时,涉及到的ACE块的字段域集合需要相应地进行更新。
特别地,在当前的ACL删除待删除的ACE后,实际上只有待删除的ACE所在的ACE块可能需要更新其字段域集合,其他的ACE块的字段域集合和删除ACE前是相同的,为方便阐述,后文将当前的ACL中待删除的ACE所在的ACE块称为待更新的ACE块,将待更新的ACE块在删除ACE后获得的ACE块称为更新后的ACE块,显然,更新后的ACE块是更新后的ACL中的ACE块。
计算更新后的ACE块的字段域集合可以采用求更新后的ACE块中所有ACE的字段域集合的并集的方法,也可以采用类似于第一实施例的方法(参考第三实施例相关阐述),其具体方法不作限定。
实现步骤S22中查找过程的具体方式不作限定,例如可以采取迭代的方式。其具体过程和步骤S12比较类似,只是查找的对象是ACE块而不是ACE,因此在下面阐述时有所简化:
在第i次迭代时,获取更新后的ACL中前i个ACE块的字段域集合的并集Qi,判断Qi∪(S-A)是否等于S,若相等,则表明更新后的ACL中满足第二约束条件,停止迭代并执行步骤S24,若不相等,则开始下一次迭代。其中,1≤i≤更新后的ACL中的ACE块的个数。
若一直未找到使更新后的ACL中满足第二约束条件的ACE块,持续上述迭代过程,直至在最后一次迭代时获取更新后的ACL中所有ACE块的字段域集合的并集Q总,判断Q总∪(S-A)是否等于S,若相等,则表明更新后的ACL中满足第二约束条件,执行步骤S24,若不相等(即Q总∪(S-A)<S),执行步骤S23。
可以理解的,还可以采取其他的迭代方式,例如从更新后的ACL中的最后一个ACE块开始向前遍历,或者在某些实施方式中也可以不采用迭代的方式,例如采取并行计算的方式。
步骤S23:数据通信设备将更新后的ACL中的所有ACE块的字段域集合的并集确定为更新后的ACL的字段域集合,并依据该字段域集合对接受到的报文进行解析。
在步骤S22执行后,若在更新后的ACL中不存在满足第二约束条件的ACE块,说明删除ACE确实造成了ACL的字段域集合的变化,此时采用步骤S23中的方法计算ACL当前的字段域集合。当然,在执行步骤S22时,例如采用迭代方式查找使更新后的ACL中满足第二约束条件的至少一个ACE块,在迭代次数达到最大时已经获得了更新后的ACL中的所有ACE块的字段域集合的并集Q总,这种情况下步骤S23就不需要重复计算了。计算出更新后的ACL的字段域集合后,可以利用该字段域集合解析报文,实现ACL的过滤功能。
步骤S24:数据通信设备确定更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
在步骤S22执行后,若在更新后的ACL中满足第二约束条件,说明删除ACE并未造成ACL的字段域集合的变化,即更新后的ACL的字段域集合仍然维持S不变。确定更新后的ACL的字段域集合后,可以利用该字段域集合解析报文,实现ACL的过滤功能。
发明人在长期研究实践中发现,当ACL中的ACE数量较多时,删除掉一条ACE,ACL的字段域集合保持不变的概率是极高的,也即是说有极高的概率可以从剩余的ACE中查找到使更新后的ACL中满足第二约束条件的至少一个ACE块,并且一般来说上述至少一个ACE块的个数不会太多,通常远远小于剩余的ACE的总个数,因为实际的ACL中用于过滤的字段是非常有限的,而ACE块通常包括多个ACE,例如在ACL中包括10000个ACE时,每个ACE块可以包括1000个ACE。从而只需要少数几个ACE块的字段域集合的并集,甚至是一个ACE块的字段域集合就有很大概率可以覆盖到ACL中使用的字段。
进而从更新后的ACL中查找使更新后的ACL中满足第二约束条件的至少一个ACE块,在大多数时候很快就可以找到,其运算量通常是远远小于计算剩余的ACE的字段域集合的并集的,因此可以显著提高删除ACE后的ACL的字段域集合的计算效率。即使更新后的ACL中不满足第二约束条件,由于ACL中ACE块的总数量一般不会很多(例如在上面的例子中只有10个),因此通过计算更新后的ACL中所有ACE块的字段域集合的并集的方式计算更新后的ACL的字段域集合,也不会消耗太多的计算资源。
上面的步骤S20至步骤S24阐述的是从ACL中删除ACE的情况,实际中还有向ACL中增加ACE的情况。在计算更新后的ACL的字段域集合时,首先获得当前的ACL的字段域集合S,然后获得待增加的ACE的字段域集合B,则更新后的ACL的字段域集合就是S∪B。其中,S可以是之前计算好并缓存的,即在计算更新后的ACL的字段域集合时,可以直接利用之前缓存的当前的ACL的字段域集合,不必像现有技术中一样计算更新后的ALC中所有ACE的字段域集合的并集。
当然,为确保后续的ACE增加及删除的正常进行,还需要同步地更新增加的ACE所在的ACE块的字段域集合,直接将增加ACE前的该ACE块的字段域集合与B求并集,就可以获得该ACE块在增加ACE后字段域集合。
第二实施例提供的管理访问控制列表的方法,采用了ACL分块的方式,有效提高了ACL在增加或删除ACE后重新计算字段域集合的效率,有利于节约使用该ACL的数据通信设备的计算资源,提高设备性能。
第三实施例
图4示出了本发明第三实施例提供的管理访问控制列表的方法的流程图。参照图4,该方法包括:
步骤S30:数据通信设备获得当前的ACL的字段域集合S。
步骤S31:数据通信设备获得待删除的ACE的字段域集合A。
步骤S30和步骤S31和第一实施例的步骤S10和步骤S11是类似的,不再重复阐述。
步骤S32:数据通信设备获得待更新的ACE块的字段域集合T。
步骤S33:数据通信设备将待删除的ACE从当前的ACL中删除后获得更新后的ACL。
步骤S34:数据通信设备判断更新后的ACE块中是否满足第三约束条件。
第三约束条件为P∪(T-A)=T,其中,P为更新后的ACE块中至少一个ACE的字段域集合的并集,T-A为T和A的差集。步骤S34实际上是一个查找过程,即尝试从更新后的ACE块中查找出使更新后的ACE块中满足第三约束条件的上述至少一个ACE。
实现这一查找过程的具体方式不作限定,例如可以采取迭代的方式。其具体过程和步骤S12比较类似,只是查找的范围是更新后的ACE块而不是更新后的ACL,因此在下面阐述时有所简化:
在第i次迭代时,获取更新后的ACE块中前i个ACE的字段域集合的并集Pi,判断Pi∪(T-A)是否等于T,若相等,则表明更新后的ACE块中满足第三约束条件,停止迭代并执行步骤S35,若不相等,则开始下一次迭代。其中,1≤i≤更新后的ACE块中的ACE的个数。
若一直未找到使更新后的ACE块中满足第三约束条件的ACE,持续上述迭代过程,直至在最后一次迭代时获取更新后的ACE块中所有ACE的字段域集合的并集P总,判断P总∪(T-A)是否等于T,若相等,则表明更新后的ACE块中满足第三约束条件,执行步骤S35,若不相等(即Q总∪(T-A)<T),执行步骤S36。
可以理解的,还可以采取其他的迭代方式,例如从更新后的ACE块中的最后一个ACE开始向前遍历,或者在某些实施方式中也可以不采用迭代的方式,例如采取并行计算的方式。
步骤S35:数据通信设备确定更新后的ACE块的字段域集合为T,进而确定更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
在步骤S34执行后,若在更新后的ACL中满足第三约束条件,说明删除ACE并未造成待更新的ACE块的字段域集合的变化,即更新后的ACE块的字段域集合仍然维持T不变。而显然的删除待更新的ACE块中的ACE,并不影响其他的ACE块,从而更新后的ACL的字段域集合也未发生变化,即更新后的ACL的字段域集合仍然维持S不变。确定更新后的ACL的字段域集合后,可以利用该字段域集合解析报文,实现ACL的过滤功能。
步骤S36:数据判断更新后的ACL中是否满足第二约束条件。
在步骤S34执行后,若在更新后的ACE块中不满足第三约束条件,说明删除ACE确实造成了待更新的ACE块的字段域集合的变化。此时可以通过求更新后的ACE块中所有ACE的字段域集合的并集获得更新后的ACE块的字段域集合。当然,在执行步骤S34时,例如采用迭代方式查找使更新后的ACE块中满足第三约束条件的至少一个ACE,在迭代次数达到最大时已经获得了更新后的ACE块中的所有ACE块的字段域集合的并集P总,这种情况下步骤S34就不需要重复计算了。计算出更新后的ACE块的字段域集合后,基于更新后的ACE块的字段域集合以及更新后的ACL中其他ACE块的字段域集合,可以进一步进行更新后的ACL中是否满足第二约束条件的判断。具体可以参考步骤S22中的描述,这里不再重复阐述。
需要指出,更新后的ACE块的字段域集合,在判断是否满足第二约束条件时,仅仅是可能会使用,但不是必定被使用。
步骤S37:数据通信设备将更新后的ACL中的所有ACE块的字段域集合的并集确定为更新后的ACL的字段域集合,并依据该字段域集合对接受到的报文进行解析。
步骤S38:数据通信设备确定更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
步骤S37和步骤S38和第二实施例的步骤S23和步骤S24是类似的,不再重复阐述。
第三实施例提供的管理访问控制列表的方法仍然可以包括增加ACE的步骤,其实现方式和第二实施例类似,不再重复阐述。
第三实施例提供的管理访问控制列表的方法,对第一实施例和第二实施例中的方法进行了结合,在计算更新后的ACE块的字段域集合时,使用了第一实施例中的方法,在计算更新后的ACL的字段域集合时,又使用了第二实施例中的方法。同时,在确定更新后的ACE块的字段域集合不变时,直接就能够确定更新后的ACL的字段域集合也是不变的。从而有效提高了ACL在增加或删除ACE后重新计算字段域集合的效率,有利于节约使用该ACL的数据通信设备的计算资源,提高设备性能。
第四实施例
图5示出了本发明第四实施例提供的管理访问控制列表的装置100的功能模块图。参照图5,该装置包括:
ACL字段域集合获取模块110用于获得当前的访问控制列表ACL的字段域集合S;
ACE字段域集合获取模块120用于获得待删除的访问控制表项ACE的字段域集合A;
ACL字段域集合判断模块130用于将待删除的ACE从当前的ACL中删除后获得更新后的ACL,判断更新后的ACL中是否满足第一约束条件,第一约束条件为P∪(S-A)=S,其中,P为更新后的ACL中至少一个ACE的字段域集合的并集,S-A为S和A的差集;
ACL字段域集合确定模块140用于若更新后的ACL中满足第一约束条件,确定更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
本发明第四实施例提供的管理访问控制列表的装置100,其实现原理及产生的技术效果可参考前述方法实施例中的相应内容。
第五实施例
图6示出了本发明第五实施例提供的管理访问控制列表的装置200的功能模块图。参照图6,该装置包括:
ACL字段域集合获取模块210用于获得当前的ACL的字段域集合S;
ACE字段域集合获取模块220用于获得待删除的ACE的字段域集合A;
ACL字段域集合判断模块230用于将待删除的ACE从当前的ACL中删除后获得更新后的ACL,判断更新后的ACL中是否满足第二约束条件,第二约束条件为Q∪(S-A)=S,其中,Q为更新后的ACL中至少一个ACE块的字段域集合的并集,S-A为S和A的差集;
ACL字段域集合确定模块240用于若更新后的ACL中满足第二约束条件,确定更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
本发明第五实施例提供的管理访问控制列表的装置200,其实现原理及产生的技术效果可参考前述方法实施例中的相应内容。
第六实施例
本发明第六实施例提供一种数据通信设备,包括处理器以及计算机存储介质,计算机存储介质中存储有计算机程序指令,计算机程序指令被处理器读取并运行时,执行本发明提供的管理访问控制列表的方法的步骤。
该数据通信设备在增加或删除ACL中的ACE时,能够快速重新计算出更新后的ACL的字段域集合,从而不会影响报文过滤功能的正常使用,同时也不会占用设备过多的计算资源,可以改善设备的性能。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其他的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得计算机设备执行本发明各个实施例所述方法的全部或部分步骤。前述的计算机设备包括:个人计算机、服务器、移动设备、智能穿戴设备、网络设备、虚拟设备等各种具有执行程序代码能力的设备,前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟、磁带或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (13)
1.一种管理访问控制列表的方法,其特征在于,包括:
获得当前的访问控制列表ACL的字段域集合S;
获得待删除的访问控制表项ACE的字段域集合A;
将所述待删除的ACE从所述当前的ACL中删除后获得更新后的ACL,判断所述更新后的ACL中是否满足第一约束条件,所述第一约束条件为P∪(S-A)=S,其中,P为所述更新后的ACL中至少一个ACE的字段域集合的并集,S-A为S和A的差集;
若所述更新后的ACL中满足所述第一约束条件,确定所述更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
2.根据权利要求1所述的管理访问控制列表的方法,其特征在于,所述判断所述更新后的ACL中是否满足第一约束条件,包括:
先获取所述更新后的ACL中第一个ACE的字段域集合P1,判断P1∪(S-A)不等于S时,再获取所述更新后的ACL中前两个ACE的字段域集合的并集P2,判断P2∪(S-A)不等于S时,再获取所述更新后的ACL中前i个ACE的字段域集合的并集Pi,直至Pi∪(S-A)=S时,确定所述更新后的ACL中满足所述第一约束条件,其中,1≤i≤所述更新后的ACL中的ACE的个数。
3.根据权利要求2所述的管理访问控制列表的方法,其特征在于,所述方法还包括:
直至获取所述更新后的ACL中所有ACE的字段域集合的并集P总且P总∪(S-A)<S时,确定所述更新后的ACL中不满足所述第一约束条件,进而确定所述更新后的ACL的字段域集合为P总,并依据字段域集合P总对接收到报文进行解析。
4.一种管理访问控制列表的方法,其特征在于,访问控制列表ACL包括至少一个访问控制表项ACE块,每个ACE块包括至少一个ACE,所述方法包括:
获得当前的ACL的字段域集合S;
获得待删除的ACE的字段域集合A;
将所述待删除的ACE从所述当前的ACL中删除后获得更新后的ACL,判断所述更新后的ACL中是否满足第二约束条件,所述第二约束条件为Q∪(S-A)=S,其中,Q为所述更新后的ACL中至少一个ACE块的字段域集合的并集,S-A为S和A的差集;
若所述更新后的ACL中满足所述第二约束条件,确定所述更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
5.根据权利要求4所述的管理访问控制列表的方法,其特征在于,所述判断所述更新后的ACL中是否满足第二约束条件,包括:
先获取所述更新后的ACL中第一个ACE块的字段域集合Q1,判断Q1∪(S-A)不等于S时,再获取所述更新后的ACL中前两个ACE块的字段域集合的并集Q2,判断Q2∪(S-A)不等于S时,再获取所述更新后的ACL中前i个ACE块的字段域集合的并集Qi,直至Qi∪(S-A)=S时,确定所述更新后的ACL中满足所述第二约束条件,其中,1≤i≤所述更新后的ACL中的ACE块的个数。
6.根据权利要求5所述的管理访问控制列表的方法,其特征在于,所述方法还包括:
直至获取所述更新后的ACL中所有ACE块的字段域集合的并集Q总且Q总∪(S-A)<S时,确定所述更新后的ACL中不满足所述第二约束条件,进而确定所述更新后的ACL的字段域集合为Q总,并依据字段域集合Q总对接收到报文进行解析。
7.根据权利要求4-6中任一项所述的管理访问控制列表的方法,其特征在于,在所述将所述待删除的ACE从所述当前的ACL中删除后获得更新后的ACL之前,所述方法还包括:
获得待更新的ACE块的字段域集合T,所述待更新的ACE块为所述当前的ACL中所述待删除的ACE所在的ACE块;
所述将所述待删除的ACE从所述当前的ACL中删除后获得更新后的ACL,判断所述更新后的ACL中是否满足第二约束条件,包括:
将所述待删除的ACE从所述当前的ACL中删除后获得更新后的ACL,判断更新后的ACE块中是否满足第三约束条件,所述更新后的ACE块为将所述待删除的ACE从所述待更新的ACE块中删除后获得的ACE块,所述第三约束条件为P∪(T-A)=T,其中,P为所述更新后的ACE块中至少一个ACE的字段域集合的并集,T-A为T和A的差集;
若所述更新后的ACE块中不满足所述第三约束条件,判断所述更新后的ACL中是否满足第二约束条件。
8.根据权利要求7所述的管理访问控制列表的方法,其特征在于,所述判断所述更新后的ACE块中是否满足第三约束条件,包括:
先获取所述更新后的ACE块中第一个ACE的字段域集合P1,判断P1∪(T-A)不等于T时,再获取所述更新后的ACE块中前两个ACE的字段域集合的并集P2,判断P2∪(T-A)不等于T时,再获取所述更新后的ACE块中前i个ACE的字段域集合的并集Pi,直至Pi∪(T-A)=T时,确定所述更新后的ACE块中满足所述第三约束条件,其中,1≤i≤所述更新后的ACE块中的ACE的个数。
9.根据权利要求8所述的管理访问控制列表的方法,其特征在于,所述若所述更新后的ACE块中不满足所述第三约束条件,判断所述更新后的ACL中是否满足第二约束条件,包括:
直至获取所述更新后的ACE块中所有ACE的字段域集合的并集P总且P总∪(T-A)<T时,确定所述更新后的ACE块中不满足所述第三约束条件,进而确定所述更新后的ACE块的字段域集合为P总,并基于字段域集合P总以及所述更新后的ACL中的其他ACE块的字段域集合判断所述更新后的ACL中是否满足第二约束条件。
10.根据权利要求8所述的管理访问控制列表的方法,其特征在于,所述方法还包括:
若所述更新后的ACE块中满足所述第三约束条件,确定所述更新后的ACE块的字段域集合为T,进而确定所述更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
11.一种管理访问控制列表的装置,其特征在于,包括:
ACL字段域集合获取模块,用于获得当前的访问控制列表ACL的字段域集合S;
ACE字段域集合获取模块,用于获得待删除的访问控制表项ACE的字段域集合A;
ACL字段域集合判断模块,用于将所述待删除的ACE从所述当前的ACL中删除后获得更新后的ACL,判断所述更新后的ACL中是否满足第一约束条件,所述第一约束条件为P∪(S-A)=S,其中,P为所述更新后的ACL中至少一个ACE的字段域集合的并集,S-A为S和A的差集;
ACL字段域集合确定模块,用于若所述更新后的ACL中满足所述第一约束条件,确定所述更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
12.一种管理访问控制列表的装置,其特征在于,访问控制列表ACL包括至少一个访问控制表项ACE块,每个ACE块包括至少一个ACE,所述装置包括:
ACL字段域集合获取模块,用于获得当前的ACL的字段域集合S;
ACE字段域集合获取模块,用于获得待删除的ACE的字段域集合A;
ACL字段域集合判断模块,用于将所述待删除的ACE从所述当前的ACL中删除后获得更新后的ACL,判断所述更新后的ACL中是否满足第二约束条件,所述第二约束条件为Q∪(S-A)=S,其中,Q为所述更新后的ACL中至少一个ACE块的字段域集合的并集,S-A为S和A的差集;
ACL字段域集合确定模块,用于若所述更新后的ACL中满足所述第二约束条件,确定所述更新后的ACL的字段域集合为S,并依据字段域集合S对接收到的报文进行解析。
13.一种数据通信设备,其特征在于,包括处理器以及计算机存储介质,所述计算机存储介质中存储有计算机程序指令,所述计算机程序指令被处理器读取并运行时,执行如权利要求1-10中任一项所述的管理访问控制列表的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810935557.2A CN110837647B (zh) | 2018-08-16 | 2018-08-16 | 管理访问控制列表的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810935557.2A CN110837647B (zh) | 2018-08-16 | 2018-08-16 | 管理访问控制列表的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110837647A CN110837647A (zh) | 2020-02-25 |
CN110837647B true CN110837647B (zh) | 2022-11-08 |
Family
ID=69573380
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810935557.2A Active CN110837647B (zh) | 2018-08-16 | 2018-08-16 | 管理访问控制列表的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110837647B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113765901A (zh) * | 2021-08-25 | 2021-12-07 | 紫光云(南京)数字技术有限公司 | 一种修改acl规则的方法 |
CN115695309B (zh) * | 2022-12-30 | 2023-04-07 | 苏州浪潮智能科技有限公司 | 访问控制列表规则配置方法、装置、电子设备及存储介质 |
CN117278341A (zh) * | 2023-11-23 | 2023-12-22 | 成都卓拙科技有限公司 | Acl规则更新方法、装置、设备及存储介质 |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4152099B2 (ja) * | 2001-12-11 | 2008-09-17 | 株式会社リコー | アクセス制御履歴保証方法 |
CN1286043C (zh) * | 2003-12-31 | 2006-11-22 | 中兴通讯股份有限公司 | 一种在数据库里快速定位数据页中记录的方法 |
US20070100830A1 (en) * | 2005-10-20 | 2007-05-03 | Ganesha Beedubail | Method and apparatus for access control list (ACL) binding in a data processing system |
US8040895B2 (en) * | 2006-03-22 | 2011-10-18 | Cisco Technology, Inc. | Method and system for removing dead access control entries (ACEs) |
CN101146027B (zh) * | 2006-09-14 | 2010-08-18 | 中兴通讯股份有限公司 | 基于访问控制列表分类的方法 |
CN100465983C (zh) * | 2006-09-15 | 2009-03-04 | 毛德操 | 在操作系统中根据用户行为历史来控制文件访问的方法 |
US8341405B2 (en) * | 2006-09-28 | 2012-12-25 | Microsoft Corporation | Access management in an off-premise environment |
CN101286157A (zh) * | 2007-09-28 | 2008-10-15 | 深圳市天朗时代科技有限公司 | 一种文件检索方法及装置和时间流文件处理器 |
CN101447940B (zh) * | 2008-12-23 | 2011-03-30 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
EP2234025A1 (en) * | 2009-03-24 | 2010-09-29 | Software AG | XML database management system for an XML database comprising access-protected XML data |
CN101820383B (zh) * | 2010-01-27 | 2014-12-10 | 中兴通讯股份有限公司 | 限制交换机远程访问的方法及装置 |
US9686255B2 (en) * | 2010-07-21 | 2017-06-20 | Citrix Systems, Inc. | Systems and methods for an extensible authentication framework |
US9064106B2 (en) * | 2012-04-25 | 2015-06-23 | Hitachi, Ltd. | Method and apparatus to keep consistency of ACLs among a meta data server and data servers |
CN103384223B (zh) * | 2013-07-23 | 2016-08-24 | 迈普通信技术股份有限公司 | 一种流表项更新方法及设备 |
CN103701704B (zh) * | 2013-12-18 | 2016-09-28 | 武汉烽火网络有限责任公司 | 基于优先级的插入删除访问控制列表的方法 |
CN104618358B (zh) * | 2015-01-21 | 2018-04-27 | 迈普通信技术股份有限公司 | 一种快速访问acl规则链的方法及系统 |
CN106131086B (zh) * | 2016-08-31 | 2019-10-11 | 迈普通信技术股份有限公司 | 一种访问控制列表的匹配方法及装置 |
CN106682186B (zh) * | 2016-12-29 | 2020-06-16 | 华为技术有限公司 | 文件访问控制列表管理方法和相关装置和系统 |
CN108512782A (zh) * | 2017-02-24 | 2018-09-07 | 华为数字技术(苏州)有限公司 | 访问控制列表分组调整方法、网络设备和系统 |
CN108111420B (zh) * | 2017-12-14 | 2021-05-18 | 迈普通信技术股份有限公司 | 一种流表项管理方法、装置、电子设备及存储介质 |
US11303638B2 (en) * | 2018-06-29 | 2022-04-12 | Intel Corporation | Atomic update of access control list rules |
CN109714266B (zh) * | 2018-12-25 | 2022-06-07 | 迈普通信技术股份有限公司 | 一种数据处理方法及网络设备 |
-
2018
- 2018-08-16 CN CN201810935557.2A patent/CN110837647B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN110837647A (zh) | 2020-02-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110837647B (zh) | 管理访问控制列表的方法及装置 | |
CN109684333B (zh) | 一种数据存储及裁剪方法、设备和存储介质 | |
EP2863310B1 (en) | Data processing method and apparatus, and shared storage device | |
US9158783B2 (en) | Managing redundant immutable files using deduplication in storage clouds | |
US11907220B2 (en) | Optimizing query processing and routing in a hybrid workload optimized database system | |
US9143449B2 (en) | Methods and apparatuses for improving database search performance | |
US10372674B2 (en) | File management in a storage system | |
US10262025B2 (en) | Managing a temporal key property in a database management system | |
CN105354315B (zh) | 分布式数据库中子表分裂的方法、子表节点和系统 | |
US20170103068A1 (en) | Data deduplication using a small hash table | |
CN110489405B (zh) | 数据处理的方法、装置和服务器 | |
CN105260639A (zh) | 一种脸部识别系统的数据更新的方法及装置 | |
CN111506604A (zh) | 访问数据的方法、装置和计算机程序产品 | |
CN110889132A (zh) | 分布式应用权限校验方法及装置 | |
CN114064668A (zh) | 用于存储管理的方法、电子设备和计算机程序产品 | |
CN109688126B (zh) | 一种数据处理方法、网络设备及计算机可读存储介质 | |
CN110750515A (zh) | 数据库查询方法及处理装置 | |
CN111539206B (zh) | 一种确定敏感信息的方法、装置、设备及存储介质 | |
CN111124745B (zh) | 用于管理存储系统的方法、设备和计算机可读存储介质 | |
CN113254470B (zh) | 一种数据更改方法、装置、计算机设备及存储介质 | |
CN107870925B (zh) | 一种字符串过滤方法和相关装置 | |
US11347689B2 (en) | Method, device and computer program product for event ordering | |
CN113271312A (zh) | 移动互联网络中的隐私数据防护方法及系统 | |
CN113419792A (zh) | 一种事件处理方法、装置、终端设备和存储介质 | |
CN111988195B (zh) | 用于分组测试的应答方案确定方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |