CN111695149B - 一种基于云协同的安全过滤方法 - Google Patents
一种基于云协同的安全过滤方法 Download PDFInfo
- Publication number
- CN111695149B CN111695149B CN202010412201.8A CN202010412201A CN111695149B CN 111695149 B CN111695149 B CN 111695149B CN 202010412201 A CN202010412201 A CN 202010412201A CN 111695149 B CN111695149 B CN 111695149B
- Authority
- CN
- China
- Prior art keywords
- network node
- address
- management server
- network
- addresses
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000001914 filtration Methods 0.000 title claims abstract description 30
- 230000002776 aggregation Effects 0.000 claims abstract description 50
- 238000004220 aggregation Methods 0.000 claims abstract description 50
- 238000007619 statistical method Methods 0.000 claims description 4
- 230000011664 signaling Effects 0.000 abstract description 15
- 230000003993 interaction Effects 0.000 abstract description 14
- 230000004931 aggregating effect Effects 0.000 abstract description 5
- 238000004458 analytical method Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 4
- 230000002452 interceptive effect Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006116 polymerization reaction Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明公开了一种基于云协同的安全过滤方法,由业务管理服务器或网络节点获取业务终端的IP地址,然后根据网络节点本身控制表项的容量,计算动态起始前缀长度,从动态起始前缀长度开始判断是否满足聚合条件,在满足时对业务终端的IP地址进行自适应聚合,聚合为对应的网段,将网段地址作为白名单通知给网络节点,或网络节点直接根据自己聚合得到的网段地址,网络节点根据聚合后的网段地址来生成控制表项。本发明聚合后的网段最符合实际控制表项允许的转发网段,精确实现控制转发,减少了业务管理服务器与网络节点之间的信令交互,且大大减少了控制表项的数量。
Description
技术领域
本发明属于访问控制技术领域,尤其涉及一种基于云协同的安全过滤方法。
背景技术
在集中式管理的信息系统中,管理服务器具有所有节点之间的交互信息,从而可以通过对网络节点的集中管控,下发白名单,在网络节点上添加控制表项,实现数据的转发控制。这种控制数据转发的控制表项一般是所有网络节点均支持的访问控制列表。
然而,由于网络节点的控制表项规格有限,采用静态访问控制列表会导致规格超标,无法适用于业务复杂的系统。动态访问控制列表由管理服务器随着与业务终端之间的交互而进行及时的增加/删除表项。即使如此,网络节点的访问控制列表的表项数量依旧十分紧张,从而导致系统无法采用深层控制表项,影响系统的安全性。
在集中式管理的信息系统中,业务管理服务器实现对所有业务终端和网络节点的控制。默认情况下,网络节点只允许网络基础协议数据和业务终端向业务管理服务器的注册消息通行,其他数据报文一概拒绝转发;当业务终端注册通过后,业务管理服务器才通知该业务终端对到业务管理服务器的路径上的所有网络节点对该业务终端放行该业务终端权限范围内可以交互的信令与数据,即增加白名单,当然该白名单必定包含该业务终端的IP地址。
但现有技术中,业务管理服务器为每一个业务终端向网络节点下发白名单通知消息,由于业务终端加入与退出频繁,导致业务管理服务器与网络节点之间的信令交互非常频繁,造成系统性能和网络带宽的占用都比较大,而且网络节点的访问控制列表的表项数量十分紧张。
发明内容
本申请的目的是提供一种基于云协同的安全过滤方法,用以减少业务管理服务器与网络节点之间的信令交互,也解决网络节点的控制表项数量紧张的问题。
为了实现上述目的,本申请技术方案如下:
业务管理服务器或网络节点获取业务终端的IP地址,对获取的IP地址进行统计分析,根据网络节点本身控制表项的容量,获取动态起始前缀长度S;
分别计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则将所述前N位比特相同的IP地址聚合为对应的网段地址,其中N为首个比特位开始连续相同的比特位数,N大于等于S;
业务管理服务器将聚合得到的网段地址作为白名单下发给网络节点,网络节点获取白名单中的网段地址,或网络节点直接根据自己聚合得到的网段地址,生成对应的控制表项,控制数据的转发。
进一步的,所述基于云协同的安全过滤方法,还包括:
业务管理服务器在将聚合得到的网段地址作为白名单下发给网络节点后,如果接收到该网段地址中IP地址对应的业务终端的注册,不再向网络节点下发白名单通知。
进一步的,所述基于云协同的安全过滤方法,还包括:
网络节点在聚合得到网段地址后,将所述网段地址发送给业务管理服务器,业务管理服务器如果接收到该网段地址中IP地址对应的业务终端的注册,不再向网络节点下发白名单通知。
进一步的,所述基于云协同的安全过滤方法,还包括:
业务管理服务器在将聚合得到的网段地址作为白名单下发给网络节点时,还将该网段地址中非业务终端的IP地址放入黑名单,生成黑名单下发给网络节点,以便网络节点生成对应的黑名单控制表项。
进一步的,所述基于云协同的安全过滤方法,还包括:
业务管理服务器如果接收到该网段地址中放入黑名单的IP地址对应的业务终端的注册,向网络节点下发白名单通知,以便网络节点删除对应的黑名单表项。
进一步的,所述基于云协同的安全过滤方法,还包括:
网络节点在根据聚合得到的网段地址生成控制表项时,还将该网段地址中不在白名单中的IP地址放入黑名单,生成黑名单控制表项;
网络节点如果接收到业务管理服务器下发的白名单中的IP地址为该网段地址中放入黑名单的IP地址,则删除对应的黑名单表项。
进一步的,所述基于云协同的安全过滤方法,还包括:
业务管理服务器接收业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果否,则通知网络节点删除聚合网段地址对应的控制表项,生成对应每个业务终端IP地址的控制表项。
进一步的,所述基于云协同的安全过滤方法,还包括:
业务管理服务器接收业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是,则将退出业务终端的IP地址放入黑名单,生成黑名单下发给网络节点。
进一步的,所述动态起始前缀长度S,通过如下公式计算:
S=IP地址的比特位总数-log2 C
其中,C为网络节点本身控制表项的容量。
本申请提出的一种基于云协同的安全过滤方法,由业务管理服务器或网络节点获取业务终端的IP地址,然后根据网络节点本身控制表项的容量,计算动态起始前缀长度,从动态起始前缀长度开始判断是否满足聚合条件,在满足时对业务终端的IP地址进行自适应聚合,聚合为对应的网段,业务管理服务器将网段地址作为白名单通知给网络节点,或网络节点直接根据自己聚合得到的网段地址,网络节点根据聚合后的网段地址来生成控制表项。本发明聚合后的网段最符合实际控制表项允许的转发网段,精确实现控制转发,减少了业务管理服务器与网络节点之间的信令交互,且大大减少了控制表项的数量。
附图说明
图1为本申请一种基于云协同的安全过滤方法流程图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅用以解释本申请,并不用于限定本申请。
在集中式管理的信息系统中,随着业务开展,网络节点上白名单允许的控制表项会比较多,业务终端到它需要交互的其他终端的路径上网络节点也会增加相应的白名单控制表项。虽然白名单会随着业务的阶段不同而不断增加删除,但网络节点的转发芯片的控制表项依然十分紧张。此外,业务管理服务器在业务终端向其注册后,需要向相关的网路节点下发白名单,与网络节点进行信令交互。由于系统中业务终端数量非常多,这种信令交互非常频繁。本申请的总体思路是减少业务管理服务器与网络节点的信令交互,同时对网络节点上的控制表项进行必要的聚合处理,以减少控制表项。
在一个实施例中,如图1所示,提供了一种基于云协同的安全过滤方法,应用于包括业务管理服务器、业务终端和网络节点的系统,所述基于云协同的安全过滤方法,包括:
业务管理服务器或网络节点获取业务终端的IP地址,对获取的IP地址进行统计分析,根据网络节点本身控制表项的容量,获取动态起始前缀长度S;
分别计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则将所述前N位比特相同的IP地址聚合为对应的网段地址,其中N为首个比特位开始连续相同的比特位数,N大于等于S;
业务管理服务器将聚合得到的网段地址作为白名单下发给网络节点,网络节点获取白名单中的网段地址,或网络节点直接根据自己聚合得到的网段地址,生成对应的控制表项,控制数据的转发。
在本实施例中,网络节点负责数据的转发,例如在视频监控系统中,视频管理服务器是业务管理服务器,而摄像机、视频客户端等都是业务终端。摄像机采集视频图像数据,视频客户端查看摄像机采集的视频图像数据,摄像机采集的视频图像数据通过网络节点发送到视频客户端。在网络节点上设置控制表项,控制数据的转发。
通常来说,视频客户端都需要注册到视频管理服务器,在视频客户端查看视频源的视频图像,需要与视频管理服务器进行交互,先进行注册。视频客户端与视频管理服务器之间的网络节点,例如路由器、交换机、网关设备等,首先只允许网络基础协议数据和视频客户端向视频管理服务器的注册消息通行,其他数据报文一概拒绝转发。当视频客户端注册通过后,视频管理服务器向网络节点下发白名单信息,通知路径上的所有网络节点对该业务终端放行该视频客户端权限范围内可以交互的信令与数据,即在网络节点上增加白名单控制表项。同样,对于摄像机也需要先注册到视频管理服务器,摄像机到视频管理服务器之间的网络节点,也同样接收到视频管理服务器下发的白名单,生成白名单控制表项进行数据转发。
以下直接以业务终端、业务管理服务器和网络节点进行说明,不限于具体的应用系统,可以是视频监控系统,也可以是其他通信系统。
在本实施例中,业务管理服务器会接收业务终端的注册,获取业务终端的信息,例如业务终端的IP地址,以及其他五元组信息(IP地址、端口号、传输协议)信息。容易理解的是,如果仅IP地址不同,其他五元组信息一致,那么在网络节点上,可以通过业务终端IP地址所在的网段进行集中控制,减少控制表项。
在通常的情况下,业务管理服务器会针对每个业务终端,向网络节点下发白名单通知信息,通知网络节点对该业务终端的数据放行,可以进行转发,这样业务管理服务器与网络节点的信令交互相当频繁。
本申请业务管理服务器在获取业务终端的IP地址后,对多个IP地址进行聚合,聚合为一个网段地址,这样业务管理服务器对聚合的多个业务终端,仅需要向网络节点下发一条白名单通知信息,从而减少业务管理服务器与网络节点的信令交互。
具体的,业务管理服务器接受业务终端的注册,获取业务终端的IP地址。容易理解的是,系统中业务终端很多,因此业务管理服务器具有所有注册的业务终端对应的IP地址。
例如业务管理服务器下属的摄像机IPC1(20.20.20.129/16)、IPC2(20.20.20.130/16)、IPC3(20.20.20.131/16)向业务管理服务器注册,业务管理服务器获取到他们的IP地址。
本申请业务管理服务器分析获取到的业务终端的IP地址,对IP地址进行聚合,下发聚合后的网段地址白名单信息给网络节点,以减少与网络节点之间的信令交互,并减少网络节点控制表项的数量。
容易理解的是,IP地址有32个比特位,如果从第一位相同开始进行是否聚合的排查,则需要消耗较多的CPU资源,而且也不会得到较好的聚合效果。本申请首先计算出动态起始前缀长度S,对于N小于S的前N比特位相同的IP地址不计算其特征值,不进行聚合,从而避免了不必要的计算和判断,节省了CPU的资源。本申请根据网络节点控制表项的容量,先计算出动态起始前缀长度S,实现动态前缀长度自决策。
而计算出动态起始前缀长度S,可以直接根据网路节点控制表项的容量C来进行设计,可以直接根据容量设置对应的起始前缀长度S,例如如果容量为256,则设置起始前缀长度S应该大于等于24位,否则必定不满足后续的判断公式。如果容量为512,则起始前缀大于等于23,以此类推。
本申请给出了一种具体的实施例,动态起始前缀长度S,通过如下公式计算:
S=IP地址的比特位总数-log2 C
其中,C为网络节点本身控制表项的容量。
在计算时,对控制表项容量以2为底数的对数值取整,再用32减该值所获得的差作为动态起始前缀长度S。通过这样的计算,可以快速确定动态起始前缀长度S,后续的计算和判断时,对于N值小于S的前N比特位相同的IP地址,不计算其特征值和判断。
例如,业务管理服务器获取到业务终端的IP地址后,对IP地址进行统计分析。假设需要下发的网络节点为网络节点A,假设网络节点A的白名单容量为256,计算得到的S等于24,则从第24位开始计算。
在本实施例中很容易发现三个IP地址前面30比特位相同,可以进行聚合。对于上述IP地址,其IP地址的比特位总数为32,其中N(首个比特位开始连续相同的比特位数)为30,总共有三条IP地址,则M等于3。
则:特征值=M/(2(32-30))=3/4
假设设定的阈值T为50%,则可以发现上述三个IP地址满足聚合条件,对他们进行聚合,聚合为对应的网段地址。对于上述三个IP地址,可以聚合成20.20.20.128/30这一网段。
20.20.20.128/30这一网段包括四个主机地址,分别为:20.20.20.128~20.20.20.131。因此可以将阈值T设为50%,即需要聚合的IP地址占该网段地址池的比例为50%。本申请在设置阈值T时,考虑聚合后网段地址的地址池的IP地址数量,一般以占该网段地址的地址池的比例为40%~80%为宜。聚合后的网段地址可以为包括需要聚合的IP地址中IP地址的最小网段,关于聚合后的网段地址,以下不再赘述。
在进行IP地址聚合后,业务管理服务器将聚合后的网段地址作为白名单发送给网络节点A,网络节点A根据聚合得到的网段地址生成控制表项,控制数据的转发。
例如,网络节点A设置控制表项,允许20.20.20.128/30这一网段的摄像机通过本网络节点发送数据。
而对于接收数据的视频客户端,需要从网络节点接收数据时,网络节点在接收到网段地址白名单后,可以设置控制表项,允许向聚合后的网段地址发送数据。
需要说明的是,如果计算的特征值小于预设阈值T,则业务管理服务器需要针对每个业务终端IP地址单独下发白名单信息发送给网络节点,这属于现有技术比较成熟的技术,这里不再赘述。
本实施例,网络节点只需向自身转发芯片下发关于20.20.20.128/30的网段控制表项,同时从转发芯片中删除上述三个分散的控制表项,从而减少了2个控制表项,节约了准入控制白名单控制表项。而业务管理服务器也仅需要向网络节点下发一个白名单信息,携带聚合后的网段地址,减少了发送的白名单信息的条数。
需要说明的是,上述实施例是在业务管理服务器中进行聚合,得到聚合后的网段地址,并通过白名单下发到网络节点,由网络节点生成对应的控制表项。
在另一个实施例中,还可以由网络节点来进行聚合,此时网络节点接收业务管理服务器下发的白名单信息,从而获取业务终端的IP地址,并对获取的IP地址进行统计分级,并进行聚合。关于网络节点如何进行分析聚合,与业务管理服务器进行分析聚合一样,这里不再赘述。
容易理解的是,如果通过业务管理服务器进行分析聚合,则业务管理服务器直接下发网段地址的白名单,从而不需要针对每个注册的业务终端下发白名单,减少了业务管理服务器与网络节点之间信令交互次数,从而节省了系统的性能开销。
在另一个实施例中,在由业务管理服务器进行分析聚合时,一种基于云协同的安全过滤方法,还包括:
在将聚合得到的网段地址作为白名单下发给网络节点后,如果接收到该网段地址中IP地址对应的业务终端的注册,不再向网络节点下发白名单通知。
例如,业务管理服务器将聚合后的网段地址20.20.20.128/30作为白名单发送给网络节点A后,收到了摄像机20.20.20.128的注册。由于20.20.20.128包含在网段地址20.20.20.128/30中,已经作为白名单下发给网络节点了,此时业务管理服务器不必再向网络节点下发白名单通知。
同理,如果是由网络节点进行分析聚合,则网段地址是由网络节点聚合得到,此时,本申请基于云协同的安全过滤方法,还包括:
网络节点在聚合得到网段地址后,将所述网段地址发送给业务管理服务器,业务管理服务器如果接收到该网段地址中IP地址对应的业务终端的注册,不再向网络节点下发白名单通知。
在这种情况下,网络节点各自进行网段聚合,从而减轻了由业务管理服务器进行统一聚合的压力,更适合网络节点较多的网络系统。在网络节点将聚合后的网段地址发送给业务管理服务器后,业务管理服务器如果收到在此网段地址中的业务终端的注册后,则不需要再向网络节点发送白名单,也减少了业务管理服务器与网路节点之间的信令交互。
在另一个实施例中,为了进一步增加安全性,可以同时增加黑名单,以填补聚合后网段造成的“窟窿”。例如,上述的聚合后网段控制表项可能导致20.20.20.128的非法终端的流量入侵,则可以在网络节点中增加一个关于20.20.20.128的黑名单表项,从而避免隐患。如此,总体上还是节约了1个控制表项。
即,本申请一种基于云协同的安全过滤方法,还包括:
业务管理服务器在将聚合得到的网段地址作为白名单下发给网络节点时,还将该网段地址中非业务终端的IP地址放入黑名单,生成黑名单下发给网络节点,以便网络节点生成对应的黑名单控制表项。
对于聚合后的网段地址20.20.20.128/30,网络节点允许这一网段通过本网络节点发送数据,然而由于该网段包括4个IP地址,其中20.20.20.128,不是白名单中的IP地址,需要将其加入黑名单,并生成对应的黑名单控制表项,拒绝转发20.20.20.128的数据。因此,业务管理服务器在将聚合得到的网段地址作为白名单下发给网络节点时,还将该网段地址中非业务终端的IP地址放入黑名单,生成黑名单下发给网络节点。网络节点收到后,生成黑名单控制表项,拒绝转发。
容易理解的是,如果是由网络节点进行分析聚合,则网络节点在根据聚合得到的网段地址生成控制表项时,还将该网段地址中不在白名单中的IP地址放入黑名单,生成黑名单控制表项。即网络节点可以直接生成对应的黑名单控制表项,拒绝转发20.20.20.128的数据,这里不再赘述。后续,网络节点如果接收到业务管理服务器下发的白名单中的IP地址为该网段地址中放入黑名单的IP地址,则删除对应的黑名单表项。
在另一个实施例中,一种基于云协同的安全过滤方法,还包括:
业务管理服务器如果接收到该网段地址中放入黑名单的IP地址对应的业务终端的注册,向网络节点下发白名单通知,以便网络节点删除对应的黑名单表项。
容易理解的,如果此时在黑名单中的20.20.20.128注册到了业务管理服务器,变为白名单,则需要向网络节点下发白名单通知,以便网络节点删除对应的黑名单表项,从而允许转发该IP地址的数据。
在另一个实施例中,业务管理服务器在获知业务终端退出时,例如20.20.20.129的业务终端退出,业务管理服务器在接收到退出消息后,就感知到业务终端退出,需要重新进行聚合分析。
即,本申请一种基于云协同的安全过滤方法,还包括:
业务管理服务器接收业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果否,则通知网络节点删除聚合网段地址对应的控制表项,生成对应每个业务终端IP地址的控制表项。
例如,网络节点A下属网段为20.20.0.0/16,该网段下挂了摄像机IPC1:20.20.20.129/16,IPC2:20.20.20.130/16,IPC3:20.20.20.131/16。业务管理服务器在感知到IPC1退出后,此时M等于2,重新计算特征值:
特征值=M/(2(32-30))=2/4
可见此时,仍然等于阈值T(50%),可以继续采用聚合网段20.20.20.128/30来生成控制表项。而如果IPC2也退出,则M等于1,计算的解说是特征值等于1/4,小于阈值T,此时就需要通知网络节点A删除聚合网段地址20.20.20.128/30对应的控制表项,单独向网路节点A下发IPC3的白名单通知信息。
网络节点A收到信息后,删除聚合网段地址20.20.20.128/30对应的控制表项,仅生成IPC3的IP地址对应的控制表项,允许IPC3的数据通过。
容易理解的是,在业务终端退出后,如果业务管理服务器在比较特征值后,仍然维持原来的网段地址不变,则可以将退出的业务终端的IP地址放入黑名单,并生成对应的黑名单信息发送给网络节点。
即,本申请基于云协同的安全过滤方法,还包括:
业务管理服务器接收业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是,则将退出业务终端的IP地址放入黑名单,生成黑名单下发给网络节点。
例如IPC1:20.20.20.129/16退出,特征值仍然等于阈值T(50%),可以继续采用聚合网段20.20.20.128/30来生成控制表项,此时将20.20.20.129放入黑名单,拒绝对其进行数据转发。
本申请技术方案由业务管理服务器或网络节点对IP地址进行自适应聚合,实现动态前缀长度自决策。也就是说IP地址的前N比特位相同是动态自决策的,通过比较IP地址的前面相同的比特位来决定N的值,从而聚合为对应的网段,聚合后的网段最符合实际控制表项允许的转发网段,精确实现控制转发,减少了业务管理服务器与网络节点之间的信令交互,且大大减少了控制表项的数量。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种基于云协同的安全过滤方法,应用于包括业务管理服务器、业务终端和网络节点的系统,其特征在于,所述基于云协同的安全过滤方法,包括:
业务管理服务器或网络节点获取业务终端的IP地址,对获取的IP地址进行统计分析,根据网络节点本身控制表项的容量,获取动态起始前缀长度S;
分别计算前N比特位相同的IP地址对应的特征值,所述特征值等于M/(2X),M为前N比特位相同的IP地址的条数,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则将所述前N比特位相同的IP地址聚合为对应的网段地址,其中N为首个比特位开始连续相同的比特位数,N大于等于S;
业务管理服务器将聚合得到的网段地址作为白名单下发给网络节点,网络节点获取白名单中的网段地址,或网络节点直接根据自己聚合得到的网段地址,生成对应的控制表项,控制数据的转发。
2.根据权利要求1所述的基于云协同的安全过滤方法,其特征在于,所述基于云协同的安全过滤方法,还包括:
业务管理服务器在将聚合得到的网段地址作为白名单下发给网络节点后,如果接收到该网段地址中IP地址对应的业务终端的注册,不再向网络节点下发白名单通知。
3.根据权利要求1所述的基于云协同的安全过滤方法,其特征在于,所述基于云协同的安全过滤方法,还包括:
网络节点在聚合得到网段地址后,将所述网段地址发送给业务管理服务器,业务管理服务器如果接收到该网段地址中IP地址对应的业务终端的注册,不再向网络节点下发白名单通知。
4.根据权利要求1所述的基于云协同的安全过滤方法,其特征在于,所述基于云协同的安全过滤方法,还包括:
业务管理服务器在将聚合得到的网段地址作为白名单下发给网络节点时,还将该网段地址中非业务终端的IP地址放入黑名单,生成黑名单下发给网络节点,以便网络节点生成对应的黑名单控制表项。
5.根据权利要求4所述的基于云协同的安全过滤方法,其特征在于,所述基于云协同的安全过滤方法,还包括:
业务管理服务器如果接收到该网段地址中放入黑名单的IP地址对应的业务终端的注册,向网络节点下发白名单通知,以便网络节点删除对应的黑名单表项。
6.根据权利要求1所述的基于云协同的安全过滤方法,其特征在于,所述基于云协同的安全过滤方法,还包括:
网络节点在根据聚合得到的网段地址生成控制表项时,还将该网段地址中不在白名单中的IP地址放入黑名单,生成黑名单控制表项;
网络节点如果接收到业务管理服务器下发的白名单中的IP地址为该网段地址中放入黑名单的IP地址,则删除对应的黑名单表项。
7.根据权利要求1所述的基于云协同的安全过滤方法,其特征在于,所述基于云协同的安全过滤方法,还包括:
业务管理服务器接收业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于M/(2X),M为前N比特位相同的IP地址的条数M,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果否,则通知网络节点删除聚合网段地址对应的控制表项,生成对应每个业务终端IP地址的控制表项。
8.根据权利要求1所述的基于云协同的安全过滤方法,其特征在于,所述基于云协同的安全过滤方法,还包括:
业务管理服务器接收业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于M/(2X),M为前N比特位相同的IP地址的条数,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是,则将退出业务终端的IP地址放入黑名单,生成黑名单下发给网络节点。
9.根据权利要求1所述的基于云协同的安全过滤方法,其特征在于,所述动态起始前缀长度S,通过如下公式计算:
S=IP地址的比特位总数-log2C其中,C为网络节点本身控制表项的容量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010412201.8A CN111695149B (zh) | 2020-05-15 | 2020-05-15 | 一种基于云协同的安全过滤方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010412201.8A CN111695149B (zh) | 2020-05-15 | 2020-05-15 | 一种基于云协同的安全过滤方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111695149A CN111695149A (zh) | 2020-09-22 |
| CN111695149B true CN111695149B (zh) | 2023-07-28 |
Family
ID=72477829
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010412201.8A Active CN111695149B (zh) | 2020-05-15 | 2020-05-15 | 一种基于云协同的安全过滤方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111695149B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107408115A (zh) * | 2015-01-13 | 2017-11-28 | 微软技术许可有限责任公司 | web站点访问控制 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090117528A (ko) * | 2008-05-09 | 2009-11-12 | 삼성전자주식회사 | Sip 네트워크 기반의 컨텐츠 공유 방법 및 그 시스템 |
| CN101557341B (zh) * | 2009-05-14 | 2011-10-26 | 中兴通讯股份有限公司 | 一种基于介质访问控制转发表的报文转发方法及系统 |
| CN103179038B (zh) * | 2013-04-19 | 2016-08-03 | 清华大学 | 一种使用as号的互联网路由方法及网络转发设备 |
| CN104518967B (zh) * | 2013-09-30 | 2017-12-12 | 华为技术有限公司 | 路由方法、设备和系统 |
| CN105591925B (zh) * | 2015-12-10 | 2019-03-12 | 新华三技术有限公司 | 应用于sdn中的报文转发方法和设备 |
| CN107332812B (zh) * | 2016-04-29 | 2020-07-07 | 新华三技术有限公司 | 网络访问控制的实现方法及装置 |
| CN108040268B (zh) * | 2017-11-30 | 2021-03-09 | 浙江宇视科技有限公司 | 一种基于sdn的视频监控网络安全控制方法及系统 |
-
2020
- 2020-05-15 CN CN202010412201.8A patent/CN111695149B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107408115A (zh) * | 2015-01-13 | 2017-11-28 | 微软技术许可有限责任公司 | web站点访问控制 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111695149A (zh) | 2020-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10481665B2 (en) | Configuration of energy savings | |
| US10049213B2 (en) | Fog-based distributed malware defense | |
| US20210250771A1 (en) | Method For Determining Class Information And Apparatus | |
| CN106130962B (zh) | 一种报文处理方法和装置 | |
| WO2020253735A1 (zh) | 一种拥塞控制方法及装置 | |
| US8787160B2 (en) | Method, apparatus, and system for judging path congestion | |
| CN109429244B (zh) | 一种网络切片子网实例的管理数据隔离的方法和装置 | |
| US10476746B2 (en) | Network management method, device, and system | |
| WO2020083272A1 (zh) | 处理策略的生成方法、系统及存储介质 | |
| US11516302B2 (en) | Network service discovery | |
| US20220286409A1 (en) | Method and apparatus for configuring quality of service policy for service, and computing device | |
| US10129739B2 (en) | Data transmission method and device | |
| KR20180046894A (ko) | Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템 | |
| CN111695149B (zh) | 一种基于云协同的安全过滤方法 | |
| US11700189B2 (en) | Method for performing task processing on common service entity, common service entity, apparatus and medium for task processing | |
| JP6044020B2 (ja) | データパケット処理の方法、システム、およびデバイス | |
| CN107332773B (zh) | 一种学习arp表项的方法及ptn设备 | |
| CN111695150B (zh) | 一种动态粒度自聚合的安全过滤方法及装置 | |
| CN111629276B (zh) | 一种控制表项自转换的安全过滤方法及装置 | |
| CN111629275B (zh) | 一种组播表项自聚合的安全过滤方法 | |
| US20210014160A1 (en) | Relay system, relay device, and non-transitory computer readable medium | |
| CN107835188A (zh) | 一种基于sdn的设备安全接入方法及系统 | |
| CN111695148B (zh) | 一种网络节点自学习的安全过滤方法及装置 | |
| CN106714199B (zh) | 获取承载网的网络状态信息的方法及装置 | |
| WO2022254623A1 (ja) | 送信装置、通信システム、送信方法、及び非一時的なコンピュータ可読媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Security Filtering Method Based on Cloud Collaboration Effective date of registration: 20231113 Granted publication date: 20230728 Pledgee: Changhe Branch of Hangzhou United Rural Commercial Bank Co.,Ltd. Pledgor: ZHEJIANG XINWANGZHEN TECHNOLOGY CO.,LTD. Registration number: Y2023980065269 |