CN111901317A - 一种访问控制策略处理方法、装置和设备 - Google Patents
一种访问控制策略处理方法、装置和设备 Download PDFInfo
- Publication number
- CN111901317A CN111901317A CN202010679121.9A CN202010679121A CN111901317A CN 111901317 A CN111901317 A CN 111901317A CN 202010679121 A CN202010679121 A CN 202010679121A CN 111901317 A CN111901317 A CN 111901317A
- Authority
- CN
- China
- Prior art keywords
- metadata
- information
- access control
- policy
- network controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种访问控制策略处理方法、装置和设备。方法包括请求节点向网络控制器发送访问控制校验请求;当网络控制器的本地数据库中不存在五元组信息与metadata信息的映射关系时,网络控制器向安全控制器发送访问控制校验请求;安全控制器根据访问控制校验请求对网络控制器进行metadata信息应答,并由网络控制器将应答消息转发至请求节点;请求节点下发转发表项,并当流量命中转发表时,转发设置metadata的请求节点报文;防火墙节点对设置metadata的请求节点报文进行访问控制校验,将校验通过的流量放行。以此方式,实现对报文的访问控制校验,大大减少了流量处理的复杂度,提高了系统的性能。
Description
技术领域
本发明的实施例一般涉及流量访问控制领域,并且更具体地,涉及一种访问控制策略处理方法、装置和设备。
背景技术
在IP网络中,为了防止非法流量入侵,都会在边界或者域内部署防火墙设备,对流量进行访问控制校验,允许正常的流量通行,对非法流量进行拒绝处理,以保障正常的业务。
目前网络中,都是将流量牵引至防火墙设备或者其他的安全设备,对流量进行访问控制校验。现有方法是在安全设备中配置安全策略,安全策略一般包含流量的五元组信息(原地址、原端口、目的地址,目的端口以及协议)以及动作,若流量与安全策略匹配,并且动作是允许,才能对该流量进行放行,无法与安全策略的五元组匹配的流量或者安全策略的动作为拒绝都会进行丢弃处理,以保障正常的访问业务。
现有安全设备对访问控制是按照包来校验的,即每个报文都需要提取出五元组信息,并与安全策略进行一一匹配。安全设备中的安全策略比较多,而且随着设备的使用周期,策略会越来越多,设备的性能也会越来越低。在本发明中,只有首包需要进行与安全策略的匹配,后续报文根据metadata就可以直接进行访问控制校验,大大提升了处理的性能和效率。
发明内容
根据本发明的实施例,提供了一种访问控制策略处理方案。
在本发明的第一方面,提供了一种访问控制策略处理方法。该方法包括:
请求节点向网络控制器发送访问控制校验请求;所述访问控制校验请求包括流量的五元组信息和SR Policy标识信息;
当所述网络控制器的本地数据库中不存在所述五元组信息与metadata信息的映射关系时,所述网络控制器向安全控制器发送所述访问控制校验请求;
所述安全控制器根据所述访问控制校验请求对所述网络控制器进行metadata信息应答,并由所述网络控制器将应答消息转发至所述请求节点;
所述请求节点下发转发表项,并当流量命中转发表时,转发设置metadata的请求节点报文;
防火墙节点对所述设置metadata的请求节点报文进行访问控制校验,将校验通过的流量放行。
进一步地,如果所述网络控制器的本地数据库中存在所述五元组信息与所述访问控制校验请求的映射关系,则应答所述五元组信息对应的所述访问控制校验请求中对应的metadata信息给所述请求节点。
进一步地,所述安全控制器根据所述访问控制校验请求对所述网络控制器进行metadata信息应答,包括:
所述安全控制器根据防火墙节点上的安全控制策略,判断所述五元组信息所标识的流量是否合法;如果合法,则根据所述五元组信息匹配策略的策略标识,从策略与metadata关系表查找对应的metadata信息,更新转发表项,并向所述网络控制器应答所述metadata信息;否则,则向所述网络控制器应答drop消息。
进一步地,所述根据所述五元组信息匹配策略的策略标识,从策略与metadata关系表查找对应的metadata信息,包括:
从所述五元组信息匹配的策略中提取策略标识以及所述防火墙设备标识,根据所述设备标识和策略标识查找策略与metadata关系表中对应的metadata信息;
如果查找到对应的metadata信息,则向所述网络控制器应答metadata信息;
如果查找不到对应的metadata信息,则根据所述五元组信息匹配的策略中的设备标识和策略标识,生成对应的metadata信息,所述metadata信息唯一标识该策略;将当前的设备标识、策略标识和所述metadata信息插入所述策略与metadata关系表中,并返回所述metadata信息。
进一步地,所述策略与metadata关系表包括设备标识、策略标识、metadata信息以及其对应关系。
进一步地,还包括:
当所述网络控制器接收到所述安全控制器应答的metadata信息时,将所述设备标识、五元组信息与所述metadata信息的映射关系存入本地数据库中,并向所述请求节点应答所述metadata信息。
进一步地,所述SR Policy标识信息所标识的SR路径经过防火墙节点。
在本发明的第二方面,提供了一种访问控制策略处理装置。该装置包括:
请求节点,用于向网络控制器发送访问控制校验请求;所述访问控制校验请求包括流量的五元组信息和SR Policy标识信息;当接收到所述网络控制器发送的所述应答消息时,下发转发表项,当流量命中转发表时,转发设置metadata的请求节点报文;所述设置metadata的请求节点报文用于触发防火墙节点对流量进行访问控制校验,将校验通过的流量放行;
网络控制器,用于当所述网络控制器的本地数据库中不存在所述五元组信息与metadata信息的映射关系时,向安全控制器发送所述访问控制校验请求;并将应答消息转发至所述请求节点
安全控制器,用于根据所述访问控制校验请求对所述网络控制器进行应答。
在本发明的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
在本发明的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本发明的第一方面的方法。
应当理解,发明内容部分中所描述的内容并非旨在限定本发明的实施例的关键或重要特征,亦非用于限制本发明的范围。本发明的其它特征将通过以下的描述变得容易理解。
本发明通过metadata标识来实现访问控制的处理方式,使得防火墙对流量的处理不再是基于五元组,也不需要剥除SRH头部,就能实现对报文的访问控制校验,且只有首包需要进行与安全策略的匹配,后续报文根据metadata就可以直接进行访问控制校验,减少了流量处理的复杂度,提升了处理的性能和效率,提高了系统的性能。
附图说明
结合附图并参考以下详细说明,本发明各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了能够在其中实现本公开的实施例的示例性运行环境的示意图;
图2示出了根据本发明的请求节点、网络控制器和安全控制器的交互方法示意图;
图3示出了根据本发明的实施例的访问控制策略处理方法的流程图;
图4示出了根据本发明的实施例的应答过程示意图;
图5示出了根据本发明的实施例的SRv6节点的构成示意图;
图6示出了根据本发明的实施例的SR-MPLS节点的构成示意图;
图7示出了根据本发明的实施例的访问控制策略处理装置的方框图;
图8示出了能够实施本发明的实施例的示例性电子设备的方框图;
其中,FW为防火墙节点;FW1为第一防火墙节点;N1为SRv6域的首节点;N2为SRv6域的第二节点;R1为SR-MPLS域的首节点;R2为SR-MPLS域的第二节点;C1为第一客户端节点;C2为第二客户端节点;C3为第三客户端节点;C4为第四客户端节点;
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本发明保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本发明中,通过metadata标识来实现访问控制的处理方式,使得防火墙对流量的访问控制校验不再是基于五元组,也不需要剥除SRH头部,通过对metadata的校验就能实现对报文的访问控制校验,且只有首包需要进行与安全策略的匹配,后续报文根据metadata就可以直接进行访问控制校验,减少了流量处理的复杂度,提升了处理的性能和效率,提高了系统的性能。
图1示出了能够在其中实现本公开的实施例的示例性运行环境的示意图;
在运行环境100中包括请求节点102、网络控制器104和安全控制器106。
请求节点102可以是SR域的首节点,例如SRv6节点或者SR-MPLS节点;网络控制器104可以是SDN控制器,即对SR域的所有SR节点进行管控的装置;安全控制器106可以是对安全设备进行管理的安全管控装置,例如安全设备包括防火墙、以及安全组等。
图2示出了根据本发明的请求节点、网络控制器和安全控制器的交互方法示意图;
方法200可以由图1中的请求节点102、网络控制器104和安全控制器106交互执行。
框202,请求节点102向网络控制器104发送访问控制校验请求。
框204,所述网络控制器104接收所述请求节点102发送的访问控制校验请求,在本地数据库中查找是否存在所述五元组信息与metadata信息的映射关系;
当所述网络控制器的本地数据库中不存在所述五元组信息与metadata信息的映射关系时,框206,所述网络控制器104向安全控制器106发送所述访问控制校验请求;所述访问控制校验请求包含流量需要经过的防火墙设备的标识以及所需要校验的五元组信息;
框208,所述安全控制器106对所述访问校验请求进行匹配,根据匹配结果生成应答消息,发送至所述网络控制器104.
框210,所述网络控制器104接收所述安全控制器106发送的应答消息,发送至所述请求节点102,对所述请求节点102进行应答。
框212,所述请求节点102接收到所述应答消息,所述应答消息携带metadata信息以及metadata的呈现方式,所述请求节点将metadata相关信息下发至转发表项。所述metadata的呈现方式可以作为一个SRH TLV,也可以作为本地的业务SID呈现在报文中,本专利不限制metadata的呈现方式。
框214,当流量命中转发表时,请求节点设置报文的metadata并转发报文;所述设置metadata的请求节点报文用于触发防火墙节点对流量进行访问控制校验,将校验通过的流量放行。
下面,通过两个具体的实施例对本发明的访问控制策略处理方法进行阐述。
在本发明第一个实施例中,所述访问控制策略处理方法应用的场景是SRv6节点,如图3所示,所述方法包括:
S301,请求节点向网络控制器发送访问控制校验请求;所述访问控制校验请求包括流量的五元组信息和SR Policy标识信息。
在本实施例中,所述请求节点为SRv6节点。如图5所示,防火墙节点支持SRv6,SRv6域包括SRv6域的首节点N1、SRv6域的第二节点N2和防火墙节点FW,本实例中,防火墙节点FW对流量进行访问控制校验。SRv6域的首节点N1接收到第一客户端节点C1的流量,并且没有命中相关的准入控制转发表项。首节点N1根据客户流量的会话信息和SR Policy标识,向网络控制器提交访问控制校验请求,网络控制器接收到所述SRv6的首节点发送的访问控制校验请求后,根据SR Policy标识检查SR路径是否经过防火墙节点,若没有经过防火墙节点,则直接应答请求节点,应答消息中携带流量放行的信息;若SR路径经过防火墙节点,则向安全控制器发送访问控制校验请求;所述访问控制校验请求中包含流量的会话信息和防火墙设备标识;所述流量的会话信息是指五元组信息,包括源地址,源端口、目的地址、目的端口以及协议。五元组信息如下表1所示:
源地址 | 源端口 | 目的地址 | 目的端口 | 协议 |
192.168.0.1 | * | 192.168.10.1 | 8080 | tcp |
表1
SR Policy标识包括SR路径所经过的首节点、目的节点以及标识SR路径业务等级的颜色属性,通过SR Policy标识的首节点、目的节点和颜色属性唯一确定一条隧道。
S302,当所述网络控制器的本地数据库中不存在所述五元组信息与metadata信息的映射关系时,所述网络控制器向安全控制器发送所述访问控制校验请求;所述访问控制校验请求包含流量需要经过的防火墙设备的标识以及所需要校验的五元组信息。
而当所述网络控制器的本地数据库中存在所述五元组信息与所述访问控制校验请求的映射关系时,则应答所述五元组信息对应的所述访问控制校验请求中对应的metadata信息给所述请求节点。
在本实施例中,所述网络控制器接收到SRv6的首节点发送的访问控制校验请求,向网络控制器中的安全代理提交防火墙节点信息和需要进行访问控制校验的五元组信息;所述防火墙节点信息在SR Policy标识中已经进行指定。
安全代理确认网络控制器的本地数据库是否存在所述五元组信息与metadata的关系信息;如果本地数据库中存在所述五元组信息与metadata的关系信息,则直接将对应metadata进行应答。如果本地数据库中不存在所述五元组信息与metadata的关系信息,则安全代理向所述安全控制器提交访问控制校验请求。
S303,所述安全控制器根据所述访问控制校验请求对所述网络控制器进行应答,并由所述网络控制器将应答消息转发至所述请求节点。
如图4所示,在本实施例中,所述安全控制器根据防火墙节点上的安全控制策略,判断所述五元组信息所标识的流量是否合法;如果合法,则根据所述五元组信息匹配策略的策略标识和设备标识,从策略与metadata关系表查找对应的metadata信息,更新转发表项,并向所述网络控制器应答所述metadata信息;否则,则向所述网络控制器应答drop消息。
所述判断所述五元组信息所标识的流量合法性的过程,包括:
如果所述五元组信息存在相关的访问控制策略,且能够与防火墙设备上现有的安全控制策略匹配,且策略动作为允许,则认为是合法流量;例如表1中的五元组经过匹配,确认与策略标识为100的策略匹配,则认为表1所标识的流量为合法流量,如下表2所示:
策略标识 | 源地址 | 源端口 | 目的地址 | 目的端口 | 协议 | 动作 |
100 | 192.168.0.0/24 | * | 192.168.10.0/24 | * | * | 允许 |
表2
接下来则需要根据策略标识查找访问控制策略与metadata的映射关系表。
如果所述五元组信息不存在相关的访问控制策略,或虽然存在相关的访问控制策略,但与防火墙设备上现有的安全控制策略匹配不上;或策略动作为拒绝,满足以上任意一条则认为是非法流量,如果流量为非法流量,则应答drop消息,表示该流量需要被丢弃。
在本过程中,对流量的合法性进行判断,通过跟本地的访问控制策略进行匹配,对流量进行初筛,丢弃掉非法流量,保留合法流量,节约了访问控制过程中的步骤,降低了流量处理的复杂度,提高了处理性能。
对于合法流量,从其五元组信息匹配的策略中提取策略标识和设备标识,根据所述策略标识查找策略与metadata关系表中对应的metadata信息。如果策略与metadata关系表中已经存在该防火墙设中所述策略标识与metadata的映射关系,则应答metadata信息即可。如果查找不到对应的metadata信息,即策略与metadata关系表中不存在所述策略标识与metadata的映射关系,则根据访问控制策略生成metadata信息,并将对应的设备标识、策略标识和metadata信息以及metadata的呈现方式插入到所述策略与metadata关系表中。所述策略与metadata关系表,如表3所示:
设备标识 | 策略标识 | metadata | Type |
001 | 010 | 001010 | 1 |
表3
设备标识和策略标识生成一个唯一的metadata信息,例如通过标识叠加的方式,即设备标识为001,策略标识为010,则metadata信息为001010。一个metadata信息唯一标识一个策略,type字段标识metadata的呈现方式,不同的枚举值,代表metadata在报文中不同的呈现方式,metadata可以作为SRH TLV,metadata Label或者本地SID方式,或者其他的方式存在于报文中,只要能够唯一标识一条访问控制策略即可。
安全控制器根据访问控制策略所关联的metadata信息更新转发表项,并向安全代理应答metadata信息;安全代理将接收到的应答消息中的防火墙设备标识、五元组与metadata的关系信息存储在本地数据库中,并将metadata信息向网络控制器进行应答。
网络控制器向SRv6首节点进行应答metadata信息。
S304,所述请求节点下发转发表项,并当流量命中转发表时,转发设置metadata的请求节点报文。所述请求节点为SRv6首节点。
S305,防火墙节点对所述设置metadata的请求节点报文进行访问控制校验,将校验通过的流量放行。
防火墙根据SRv6首节点携带的metadata信息,对流量进行访问控制校验;如果metadata信息匹配,则通过;否则丢弃该报文。
在本发明第二个实施例中,所述方法包括:
请求节点向网络控制器发送访问控制校验请求;所述访问控制校验请求包括流量的五元组信息和SR Policy标识信息。
在本实施例中,所述请求节点为SR-MPLS域的首节点。如图6所示,防火墙节点FW1支持SR-MPLS,SR-MPLS域包括首节点R1、第二节点R2和第一防火墙节点FW1。首节点R1接收到第一客户端节点C1的流量,并且没有命中相关的转发表项。首节点R1根据客户流量的会话信息和SR Policy中所经过的防火墙设备标识,向网络控制器提交访问控制校验请求,安全控制器接收网络控制器发送的访问控制校验请求。所述访问控制校验请求中包含流量的会话信息和防火墙标识;所述流量的会话信息是指五元组信息,包括源地址,源端口、目的地址、目的端口以及协议。五元组信息如下
表4所示:
源地址 | 源端口 | 目的地址 | 目的端口 | 协议 |
192.168.0.2 | * | 192.168.10.2 | 8081 | tcp |
表4
当所述网络控制器的本地数据库中不存在所述五元组信息与metadata信息的映射关系时,所述网络控制器向安全控制器发送所述访问控制校验请求。
而当所述网络控制器的本地数据库中存在所述五元组信息与所述访问控制校验请求的映射关系时,则应答所述五元组信息对应的所述访问控制校验请求中对应的metadata信息给所述请求节点。
在本实施例中,所述网络控制器接收到SR-MPLS的首节点发送的访问控制校验请求,向网络控制器中的安全代理提交防火墙节点信息和需要进行访问控制校验的五元组信息;所述防火墙节点信息在SR Policy标识中已经进行指定。
安全代理确认网络控制器的本地数据库是否存在所述五元组信息与metadata的关系信息;如果本地数据库中存在所述五元组信息与metadata的关系信息,则直接将对应metadata进行应答。如果本地数据库中不存在所述五元组信息与metadata的关系信息,则安全代理向所述安全控制器提交访问控制校验请求。
所述安全控制器根据所述访问控制校验请求对所述网络控制器进行应答,并由所述网络控制器将应答消息转发至所述请求节点。
如图4所示,在本实施例中,所述安全控制器根据防火墙节点上的安全控制策略,判断所述五元组信息所标识的流量是否合法;如果合法,则根据所述五元组信息匹配策略的策略标识和防火墙设备标识,从策略与metadata关系表查找对应的metadata信息,更新转发表项,并向所述网络控制器应答所述metadata信息;否则,则向所述网络控制器应答drop消息。
所述判断所述五元组信息所标识的流量合法性的过程,包括:
如果所述五元组信息存在相关的访问控制策略,且能够与防火墙设备上现有的安全控制策略匹配,且策略动作为允许,则认为是合法流量。
接下来则需要根据策略标识查找访问控制策略与metadata的映射关系表。
如果所述五元组信息不存在相关的访问控制策略,或虽然存在相关的访问控制策略,但与防火墙设备上现有的安全控制策略匹配不上;或策略动作为拒绝,满足以上任意一条则认为是非法流量,如果流量为非法流量,则应答drop消息,表示该流量需要被丢弃。
在本过程中,对流量的合法性进行判断,通过跟本地的访问控制策略进行匹配,对流量进行初筛,丢弃掉非法流量,保留合法流量,节约了访问控制过程中的步骤,降低了流量处理的复杂度,提高了处理性能。
对于合法流量,从其五元组信息匹配的策略中提取策略标识和设备标识,根据所述策略标识和设备标识查找策略与metadata关系表中对应的metadata信息。如果策略与metadata关系表中已经存在该防火墙设中所述策略标识与metadata的映射关系,则应答metadata信息即可。如果查找不到对应的metadata信息,即策略与metadata关系表中不存在所述策略标识与metadata的映射关系,则根据访问控制策略生成metadata信息,并将对应的设备标识、策略标识和metadata信息以及metadata的呈现方式插入到所述策略与metadata关系表中。所述策略与metadata关系表,如表5所示:
设备标识 | 策略标识 | metadata | Type |
002 | 020 | 002020 | 2 |
表5
设备标识和策略标识生成一个唯一的metadata信息,例如通过标识叠加的方式,即设备标识为002,策略标识为020,则metadata信息为002020。一个metadata信息唯一标识一个策略,type为2标识metadata的呈现方式为是本地SID方式。
安全控制器根据访问控制策略所关联的metadata信息更新转发表项,并向安全代理应答metadata信息;metadata信息包含metadata值以及metadata的呈现方式;安全代理将接收到的应答消息中的设备标识、五元组与metadata的关系信息存储在本地数据库中,并将metadata信息向网络控制器进行应答。
网络控制器向SR首节点R1进行应答metadata信息。
所述metadata信息用于触发SR-MPLS首节点下发转发表项。
当流量命中转发表时,转发设置metadata的请求节点报文;所述设置metadata的请求节点报文用于触发防火墙节点对流量进行访问控制校验,将校验通过的流量放行。
防火墙根据报文携带的metadata信息,对流量进行访问控制校验;如果metadata信息匹配,则通过;否则丢弃该报文。
根据本发明的上述方法实施例,通过metadata标识来实现访问控制的处理方式,使得防火墙对流量的处理不再是基于五元组,也不需要剥除SRH头部,通过对metadata的校验就能实现对报文的访问控制校验,且只有首包需要进行与安全策略的匹配,后续报文根据metadata就可以直接进行访问控制校验,减少了流量处理的复杂度,提升了处理的性能和效率,大大减少了流量处理的复杂度,提高了系统的性能。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本发明所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本发明所述方案进行进一步说明。
如图7所示,装置包括:请求节点、网络控制器和安全控制器。
所述请求节点,用于向网络控制器发送访问控制校验请求;所述访问控制校验请求包括流量的五元组信息和SR Policy标识信息;所述访问控制校验请求中包含流量的会话信息和SR Policy标识;所述流量的会话信息是指五元组信息,包括源地址,源端口、目的地址、目的端口以及协议。
SR Policy所标识的SR路径经过防火墙节点。
所述请求节点,为SR域的首节点,例如SRv6节点。防火墙节点支持SR。SR域的首节点接收到第一客户端节点C1的流量,并且没有命中相关的转发表项。首节点根据客户流量的会话信息和SR Policy标识,向网络控制器提交访问控制校验请求。
当接收到所述网络控制器发送的所述应答消息时,所述请求节点下发转发表项,当流量命中转发表时,转发设置metadata的请求节点报文;所述设置metadata的请求节点报文用于触发防火墙节点对流量进行访问控制校验,将校验通过的流量放行。防火墙根据报文携带的metadata信息,对流量进行访问控制校验;如果metadata信息匹配,则通过;否则丢弃该报文。
网络控制器,首先检查SR Policy所指定的SR路径是否经过防火墙节点,确认SR路径经过防火墙节点FW;SR业务模块向安全代理模块提交访问控制校验请求,所述访问控制代理请求中携带五元组信息以及SR路径所经过的防火墙节点FW标识;安全代理模块向安全控制器发送所述访问控制校验请求;接收安全控制器发送的应答消息,并向所述请求节点应答所述应答消息。
所述网络控制器,包括SR业务模块和安全代理模块。
所述SR业务模块,用于管理SR Policy信息包括其所经过的业务路径,通过南向接口接收SR首节点发出的访问控制校验请求消息,请求消息里面携带客户端流量的五元组信息以及承载该客户端流量的SR Policy的标识。SR业务模块根据SR Policy的信息对检测SRPolicy的路径是否经过防火墙节点,如果没有经过防火墙节点,则应答空的metadata信息给请求节点,标识放行该流量。SR业务节点向安全代理节点提交访问控制校验请求消息,包括客户端流量的五元组信息、以及SR路径所经过的防火墙设备标识。
所述安全代理模块,用于管理五元组信息与metadata的关系表,同时实现网络控制器与安全控制器之间的安全业务的交互。安全代理接收到五元组的访问控制校验请求消息之后,首先检查五元组与metadata的映射关系是否存在,如果存在,则应答metadata信息,metadata信息中包含metadata的值和呈现方式,否则向安全控制器发出访问控制校验申请信息。
五元组与metadata关系表如下:
设备标识 | 源地址 | 源端口 | 目的地址 | 目的端口 | 协议 | 动作 | metadata |
表6
安全控制器,用于对所述访问控制校验请求进行匹配后,根据匹配结果生成包含metadata信息或drop信息的应答消息,发送至所述网络控制器。
所述安全控制器由访问控制策略管理模块和metadata管理模块构成。
所述访问控制策略管理模块,用于管理运维人员设置的访问控制策略。
所述metadata管理模块,用于管理访问控制策略标识和metadata的映射关系,以及metadata的计算。
metadata管理模块根据设备标识和策略标识查询metadata,没有找到相关的映射表项,管理模块根据设备表和策略标识生成metadata值,metatada值唯一标识一条访问控制策略,metadata的呈现方式根据防火墙节点的处理能力确定,并将策略标识与metadata的映射关系插入到表中,同时更新相关的准入控制转发表项,支持对metadata的处置,在准入控制表项中,以metadata作为匹配字段;并应答metadata信息给网络控制器节点;网络控制器节点将接收到的metadata信息入库,并应答给请求节点节点;SR域首节点根据接收到的metadata信息,下发转发表项;当第一客户端C1后续流量到达首节点,根据五元组命中相关的转发表,为报文设置metadata,构建携带metadata信息的SR报文并转发;防火墙节点接收到携带metadata的报文,通过校验metadata实现对流量的访问控制校验;并放行通过校验的流量。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
如图8所示,设备包括中央处理单元(CPU),其可以根据存储在只读存储器(ROM)中的计算机程序指令或者从存储单元加载到随机访问存储器(RAM)中的计算机程序指令,来执行各种适当的动作和处理。在RAM中,还可以存储设备操作所需的各种程序和数据。CPU、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。
设备中的多个部件连接至I/O接口,包括:输入单元,例如键盘、鼠标等;输出单元,例如各种类型的显示器、扬声器等;存储单元,例如磁盘、光盘等;以及通信单元,例如网卡、调制解调器、无线通信收发机等。通信单元允许设备通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理单元执行上文所描述的各个方法和处理,例如方法S301~S305。例如,在一些实施例中,方法S301~S305可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元。在一些实施例中,计算机程序的部分或者全部可以经由ROM和/或通信单元而被载入和/或安装到设备上。当计算机程序加载到RAM并由CPU执行时,可以执行上文描述的方法S301~S305的一个或多个步骤。备选地,在其他实施例中,CPU可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法S301~S305。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)等等。
用于实施本发明的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
此外,虽然采用特定次序描绘了各操作,但是这应当理解为要求这样操作以所示出的特定次序或以顺序次序执行,或者要求所有图示的操作应被执行以取得期望的结果。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本发明的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实现中。相反地,在单个实现的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
Claims (10)
1.一种访问控制策略处理方法,其特征在于,包括:
请求节点向网络控制器发送访问控制校验请求;所述访问控制校验请求包括流量的五元组信息和SR Policy标识信息;
当所述网络控制器的本地数据库中不存在所述五元组信息与metadata信息的映射关系时,所述网络控制器向安全控制器发送所述访问控制校验请求;
所述安全控制器根据所述访问控制校验请求对所述网络控制器进行应答,并由所述网络控制器将应答消息转发至所述请求节点;
所述请求节点下发转发表项,并当流量命中转发表时,转发设置metadata的请求节点报文;
防火墙设备对所述设置metadata的请求节点报文进行访问控制校验,将校验通过的流量放行。
2.根据权利要求1所述的方法,其特征在于,如果所述网络控制器的本地数据库中存在所述五元组信息与所述访问控制校验请求的映射关系,则应答所述五元组信息对应的所述访问控制校验请求中对应的metadata信息给所述请求节点。
3.根据权利要求1所述的方法,其特征在于,所述安全控制器根据所述访问控制校验请求对所述网络控制器进行应答,包括:
所述安全控制器根据防火墙节点上的安全控制策略,判断所述五元组信息所标识的流量是否合法;如果合法,则根据所述五元组信息匹配策略的策略标识,从策略与metadata关系表查找对应的metadata信息,更新转发表项,并向所述网络控制器应答所述metadata信息;否则,则向所述网络控制器应答drop消息。
4.根据权利要求3所述的方法,其特征在于,所述根据所述五元组信息匹配策略的策略标识,从策略与metadata关系表查找对应的metadata信息,包括:
从所述五元组信息匹配的策略中提取策略标识以及所述防火墙设备标识,根据所述策略标识和设备标识查找策略与metadata关系表中对应的metadata信息;
如果查找到对应的metadata信息,则向所述网络控制器应答metadata信息;
如果查找不到对应的metadata信息,则根据所述五元组信息匹配的策略中的设备标识和策略标识,生成对应的metadata信息,所述metadata信息唯一标识该策略;将当前的设备标识、策略标识和所述metadata信息插入所述策略与metadata关系表中,并返回所述metadata信息。
5.根据权利要求3或4所述的方法,其特征在于,所述策略与metadata关系表包括设备标识、策略标识、metadata信息以及其对应关系。
6.根据权利要求1所述的方法,其特征在于,还包括:
当所述网络控制器接收到所述安全控制器应答的metadata信息时,所述五元组信息与所述metadata信息的映射关系存入本地数据库中,并向所述请求节点应答所述metadata信息。
7.根据权利要求1所述的方法,其特征在于,所述SR Policy标识信息所标识的SR路径经过防火墙节点。
8.一种访问控制策略处理装置,其特征在于,包括:
请求节点,用于向网络控制器发送访问控制校验请求;所述访问控制校验请求包括流量的五元组信息和SR Policy标识信息;当接收到所述网络控制器发送的所述应答消息时,下发转发表项,当流量命中转发表时,转发设置metadata的请求节点报文;所述设置metadata的请求节点报文用于触发防火墙节点对流量进行访问控制校验,将校验通过的流量放行;
网络控制器,用于当所述网络控制器的本地数据库中不存在所述五元组信息与metadata信息的映射关系时,向安全控制器发送所述访问控制校验请求;并将应答消息转发至所述请求节点
安全控制器,用于根据所述访问控制校验请求对所述网络控制器进行应答。
9.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010679121.9A CN111901317B (zh) | 2020-07-15 | 2020-07-15 | 一种访问控制策略处理方法、系统和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010679121.9A CN111901317B (zh) | 2020-07-15 | 2020-07-15 | 一种访问控制策略处理方法、系统和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111901317A true CN111901317A (zh) | 2020-11-06 |
CN111901317B CN111901317B (zh) | 2022-05-17 |
Family
ID=73192728
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010679121.9A Active CN111901317B (zh) | 2020-07-15 | 2020-07-15 | 一种访问控制策略处理方法、系统和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111901317B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113204371A (zh) * | 2021-05-28 | 2021-08-03 | 金蝶软件(中国)有限公司 | 一种访问控制方法、相关装置及存储介质 |
CN114205282A (zh) * | 2021-12-08 | 2022-03-18 | 中国电信股份有限公司 | SRv6 Policy的调度方法、系统、路由器和控制器 |
CN116962081A (zh) * | 2023-09-19 | 2023-10-27 | 南京聚铭网络科技有限公司 | 安全报警研判方法、装置及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465807A (zh) * | 2008-12-17 | 2009-06-24 | 成都市华为赛门铁克科技有限公司 | 一种数据流控制方法和装置 |
US20140207824A1 (en) * | 2013-01-22 | 2014-07-24 | Amazon Technologies, Inc. | Access controls on the use of freeform metadata |
CN105760498A (zh) * | 2016-02-22 | 2016-07-13 | 浪潮通用软件有限公司 | 一种xml数据与关系型数据库匹配的实现方法 |
CN107567704A (zh) * | 2015-04-27 | 2018-01-09 | 思科技术公司 | 使用带内元数据的网络路径通过验证 |
CN108650154A (zh) * | 2018-06-29 | 2018-10-12 | 新华三技术有限公司 | 流量控制方法及装置 |
CN109587065A (zh) * | 2017-09-28 | 2019-04-05 | 北京金山云网络技术有限公司 | 转发报文的方法、装置、交换机、设备及存储介质 |
US10282927B1 (en) * | 2017-03-29 | 2019-05-07 | Alarm.Com Incorporated | Access control provisioning |
CN111163060A (zh) * | 2019-12-11 | 2020-05-15 | 中盈优创资讯科技有限公司 | 一种基于应用组的转发方法、设备以及系统 |
CN111224964A (zh) * | 2019-12-30 | 2020-06-02 | 北京三快在线科技有限公司 | 访问控制方法及设备 |
-
2020
- 2020-07-15 CN CN202010679121.9A patent/CN111901317B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465807A (zh) * | 2008-12-17 | 2009-06-24 | 成都市华为赛门铁克科技有限公司 | 一种数据流控制方法和装置 |
US20140207824A1 (en) * | 2013-01-22 | 2014-07-24 | Amazon Technologies, Inc. | Access controls on the use of freeform metadata |
CN107567704A (zh) * | 2015-04-27 | 2018-01-09 | 思科技术公司 | 使用带内元数据的网络路径通过验证 |
CN105760498A (zh) * | 2016-02-22 | 2016-07-13 | 浪潮通用软件有限公司 | 一种xml数据与关系型数据库匹配的实现方法 |
US10282927B1 (en) * | 2017-03-29 | 2019-05-07 | Alarm.Com Incorporated | Access control provisioning |
CN109587065A (zh) * | 2017-09-28 | 2019-04-05 | 北京金山云网络技术有限公司 | 转发报文的方法、装置、交换机、设备及存储介质 |
CN108650154A (zh) * | 2018-06-29 | 2018-10-12 | 新华三技术有限公司 | 流量控制方法及装置 |
CN111163060A (zh) * | 2019-12-11 | 2020-05-15 | 中盈优创资讯科技有限公司 | 一种基于应用组的转发方法、设备以及系统 |
CN111224964A (zh) * | 2019-12-30 | 2020-06-02 | 北京三快在线科技有限公司 | 访问控制方法及设备 |
Non-Patent Citations (1)
Title |
---|
李凤华: "面向网络空间的访问控制模型", 《通信学报》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113204371A (zh) * | 2021-05-28 | 2021-08-03 | 金蝶软件(中国)有限公司 | 一种访问控制方法、相关装置及存储介质 |
CN113204371B (zh) * | 2021-05-28 | 2023-09-19 | 金蝶软件(中国)有限公司 | 一种访问控制方法、相关装置及存储介质 |
CN114205282A (zh) * | 2021-12-08 | 2022-03-18 | 中国电信股份有限公司 | SRv6 Policy的调度方法、系统、路由器和控制器 |
CN116962081A (zh) * | 2023-09-19 | 2023-10-27 | 南京聚铭网络科技有限公司 | 安全报警研判方法、装置及存储介质 |
CN116962081B (zh) * | 2023-09-19 | 2023-12-12 | 南京聚铭网络科技有限公司 | 安全报警研判方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111901317B (zh) | 2022-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111901317B (zh) | 一种访问控制策略处理方法、系统和设备 | |
US9397901B2 (en) | Methods, systems, and computer readable media for classifying application traffic received at a network traffic emulation device that emulates multiple application servers | |
US11606301B2 (en) | Verifying intents in stateful networks using atomic address objects | |
US10567384B2 (en) | Verifying whether connectivity in a composed policy graph reflects a corresponding policy in input policy graphs | |
CN104253820A (zh) | 软件定义网安全控制系统和控制方法 | |
US7333430B2 (en) | Systems and methods for passing network traffic data | |
CN114257413B (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
CN114041276A (zh) | 屏蔽外部源地址的网络架构的安全策略实施和可见性 | |
CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
CN111224882A (zh) | 报文处理方法及装置、存储介质 | |
CN113630418B (zh) | 一种网络服务识别方法、装置、设备及介质 | |
CN106874371A (zh) | 一种数据处理方法及装置 | |
CN113098852B (zh) | 一种日志处理方法及装置 | |
CN102281189A (zh) | 一种基于第三方设备私有属性的业务实现方法及其装置 | |
CN112448963A (zh) | 分析自动攻击工业资产的方法、装置、设备及存储介质 | |
CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
CN112688899A (zh) | 云内安全威胁检测方法、装置、计算设备及存储介质 | |
CN114143079B (zh) | 包过滤策略的验证装置及方法 | |
JP4617898B2 (ja) | アクセス制御方式および方法、サーバ装置、端末装置ならびにプログラム | |
CN113922972A (zh) | 基于md5标识码的数据转发方法和装置 | |
CN113259386A (zh) | 恶意请求拦截方法、装置及计算机设备 | |
CN110505189B (zh) | 终端安全代理突破的识别方法、识别设备及存储介质 | |
CN109840264B (zh) | 一种应用程序数据库访问审计的方法和装置 | |
CN106559439A (zh) | 一种业务处理方法及设备 | |
CN111786938A (zh) | 防止恶意获取资源的方法、系统和电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder |
Address after: Room 702-2, No. 4811 Caoan Road, Jiading District, Shanghai, 201800 Patentee after: CHINA UNITECHS Address before: Room 1004-4, 10 / F, 1112 Hanggui Road, Anting Town, Jiading District, Shanghai 201800 Patentee before: CHINA UNITECHS |
|
CP02 | Change in the address of a patent holder |