CN112068974A - 一种访问控制管理方法、装置及介质 - Google Patents
一种访问控制管理方法、装置及介质 Download PDFInfo
- Publication number
- CN112068974A CN112068974A CN202010980115.7A CN202010980115A CN112068974A CN 112068974 A CN112068974 A CN 112068974A CN 202010980115 A CN202010980115 A CN 202010980115A CN 112068974 A CN112068974 A CN 112068974A
- Authority
- CN
- China
- Prior art keywords
- acl
- target
- quintuple
- source
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/547—Remote procedure calls [RPC]; Web services
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种访问控制管理方法、装置及介质,该方法包括:在增加或减少ACL节点的情况下,遍历ACL链表,判断使能标识是否有效,在使能标识有效的情况下,获取与使能标识对应的节点的所有ACL五元组信息,并将该五元组信息配置到ACL接口中,若使能标识无效,则不进行ACL节点的配置。由于在配置ACL节点前先判断使能标识是否有效,防止了不需要进行ACL节点配置的节点重新进行配置,即只有使能标识有效的节点进行配置,其它的节点不需要重新配置,因此减少了内存资源的消耗,同时降低了时间的消耗,提高了基于DPDK开发并支持ACL功能的软件的运行速度。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种访问控制管理方法、装置及介质。
背景技术
随着计算机网络的广泛普及,新的应用软件层出不穷,这些应用软件极大地影响和改变了人们工作和生活的方式,提高了人们对计算机的依赖程度。近年来,由于计算机信息系统本身的复杂性和广泛的可接入性导致系统面临着日益增多的安全威胁,在这种情况下,访问控制最为一种重要的安全支撑技术得到了广泛的应用,由于访问控制明确地定义和限制了用户对于资源的访问操作,因此有效的保护了信息资源的机密性和完整性。
现有的技术主要是访问控制(Access Control Lists,ACL)接口配置后不能动态变配,在增加或删除ACL节点时,需要将所有的ACL节点的接口配置删除释放后,重新对所有的ACL节点进行重新的配置,因此内存资源会造成大量的消耗,同时也会消耗大量时间,影响了基于数据平面开发套件(Data Plane Development Kit,DPDK)开发并支持ACL功能的软件系统的时效性。
发明内容
本申请的目的是提供一种访问控制管理方法,有利于减少系统内存资源的消耗,提高系统的时效性。本申请的目的是还供一种基于二维双向链表的访问控制管理装置及介质。
为解决上述技术问题,本申请提供一种访问控制管理方法,该方法包括:
在增加或减少ACL节点的情况下,遍历ACL链表,判断使能标识是否有效;其中,预先在节点中设置所述使能标识;
在所述使能标识有效的情况下,获取与所述使能标识对应的节点的各ACL五元组信息;
将各所述ACL五元组信息配置至ACL接口;
在所述使能标识无效的情况下,不进行ACL配置。
优选的,在所述遍历ACL链表前,还包括:预先设置ACL二维双向链表;
所述遍历ACL链表具体为:
遍历所述ACL二维双向链表中的每一ACL列及每一所述ACL列中的每一所述节点。
优选的,所述增加ACL节点具体包括:
获取增加的第一目标ACL节点的第一目标名字和目标五元组信息;
遍历所述ACL链表,判断是否存在第二目标节点;
在存在所述第二目标节点的情况下,遍历所述第二目标节点的ACL节点链表,判断所述第一目标名字与各ACL名字及所述目标五元组信息与各所述ACL五元组信息是否均不重复;
在均不重复的情况下,增加所述第一目标ACL节点至所述第二目标节点。
优选的,所述判断目标五元组信息与各ACL五元组信息是否均不重复具体为:
判断所述目标五元组的源、目的端口与各所述ACL五元组的源、目的端口是否均不相等;
判断所述目标五元组的传输协议与各所述ACL五元组的传输协议是否均不相等;
在所述目标五元组的源、目的IP掩码长度与各所述ACL五元组的源、目的IP掩码长度相等时,判断所述目标五元组的源、目的IP掩码与各所述ACL五元组的源、目的IP掩码是否均不相等;
在所述目标五元组的源、目的IP掩码长度大于各所述ACL五元组的源、目的IP掩码长度时,则在所述目标五元组的源、目的IP和各所述ACL五元组的源、目的IP分别与上各所述ACL五元组的源、目的IP后,判断所述目标五元组的源、目的IP掩码与各所述ACL五元组的源、目的IP掩码是否均不相等;
在所述目标五元组的源、目的IP掩码长度小于各所述ACL五元组的源、目的IP掩码长度时,则在所述目标五元组的源、目的IP和各所述ACL五元组的源、目的IP分别与上所述目标五元组的源、目的IP后,判断所述目标五元组的源、目的IP掩码与各所述ACL五元组的源、目的IP掩码是否均不相等;
在所述目标五元组的源、目的端口,传输协议及源、目的IP掩码与各所述ACL五元组的源、目的端口,传输协议及源、目的IP掩码均不相等时,确定所述目标五元组信息与各所述ACL五元组信息均不重复。
优选的,所述减少ACL节点具体包括:
获取减少的第二目标ACL节点的第二目标名字;
遍历所述ACL链表,判断是否存在第三目标节点;
在存在所述第三目标节点的情况下,遍历所述第三目标节点的ACL节点链表,判断所述第二目标名字与各ACL名字是否相同;
在相同的情况下,删除所述第二目标ACL节点。
优选的,所述减少ACL节点还包括:
在系统空闲时通过应用程序设置所述第三目标节点的使能标识有效。
为解决上述技术问题,本申请还提供一种访问控制管理装置,该装置包括:
第一判断模块,用于在增加或减少ACL节点的情况下,遍历ACL链表,判断使能标识是否有效;其中,预先在节点中设置所述使能标识;
第一获取模块,用于在所述使能标识有效的情况下,获取与所述使能标识对应的节点的各ACL五元组信息;
配置模块,用于将各所述ACL五元组信息配置至ACL接口。
执行模块,用于在所述使能标识无效的情况下,不进行ACL配置。
为解决上述技术问题,本申请还提供一种访问控制管理装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的访问控制管理方法的步骤。
为解决上述技术问题,本申请还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的访问控制管理方法的步骤。
本申请所提供的一种访问控制管理方法,在增加或减少ACL节点的情况下,遍历ACL链表,判断使能标识是否有效,在使能标识有效的情况下,获取与使能标识对应的节点的所有ACL五元组信息,并将该五元组信息配置到ACL接口中,若使能标识无效,则不进行ACL节点的配置。由于在配置ACL节点前先判断使能标识是否有效,防止了不需要进行ACL节点配置的节点重新进行配置,即只有使能标识有效的节点进行配置,其它的节点不需要重新配置,因此减少了内存资源的消耗,同时降低了时间的消耗,提高了基于DPDK开发并支持ACL功能的软件的运行速度。
此外,本申请提供的一种访问控制管理装置及介质,与上述访问控制管理方法对应,效果同上。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种访问控制管理方法的流程图;
图2为本申请实施例提供的一种ACL二维双向链表的结构图;
图3为本申请实施例提供的一种增加ACL节点的流程图;
图4为本申请实施例提供的一种判断目标五元组信息与各ACL五元组信息是否均不重复的流程图;
图5为本申请实施例提供的一种减少ACL节点的流程图;
图6为本申请实施例提供的一种访问控制管理装置的结构图;
图7为本申请实施例提供的另一种访问控制管理装置的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
本申请的核心是提供一种访问控制管理方法、装置及介质。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
图1为本申请实施例提供的一种访问控制管理方法的流程图。如图1所示,该方法包括:
S10:判断是否增加或减少访问控制(Access Control Lists,ACL)节点,如果是,则进入S11,如果否,则结束ACL配置。
S11:遍历ACL链表,判断使能标识是否有效,如果是,则进入S12,如果否,则结束ACL配置。
需要说明的是,使能标识为预先在节点中设置的,使能标识不做具体的限制,其有效和无效的状态也不做限制,通常情况下,使能标识置1为有效,使能标识置0为无效。
S12:获取与使能标识对应的节点的各ACL五元组信息。
需要说明的是,ACL五元组信息具体为源网络协议(Internet Protocol,IP)、目的IP、源端口、目的端口及传输协议。
S13:将各ACL五元组信息配置至ACL接口。
需要说明的是,ACL接口具体为数据平面开发套件(Data Plane DevelopmentKit,DPDK)的ACL接口。
作为优选的实施例,在S12前或S13前还可包括删除原有的ACL接口配置。
本实施例所提供的一种访问控制管理方法,在增加或减少ACL节点的情况下,遍历ACL链表,判断使能标识是否有效,在使能标识有效的情况下,获取与使能标识对应的节点的所有ACL五元组信息,并将该五元组信息配置到ACL接口中,若使能标识无效,则不进行ACL节点的配置。由于在配置ACL节点前先判断使能标识是否有效,防止了不需要进行ACL节点配置的节点重新进行配置,即只有使能标识有效的节点进行配置,其它的节点不需要重新配置,因此减少了内存资源的消耗,同时降低了时间的消耗,提高了基于DPDK开发并支持ACL功能的软件的运行速度。
在上述实施例的基础上,在遍历ACL链表前,还包括:预先设置ACL二维双向链表。
遍历ACL链表具体为:遍历ACL二维双向链表中的每一ACL列及每一ACL列中的每一节点。
图2为本申请实施例提供的一种ACL二维双向链表的结构图。如图2所示,ACL列链表由ACL列的头指针组成,ACL列由头指针和多个节点组成,ACL节点链表由一个节点和多个ACL节点组成,其中节点包括列名字,使能标识及ACL头指针,ACL节点包括节点名字,源、目的IP,源、目的端口及传输协议。
遍历ACL链表的具体方法为:在ACL列链表里遍历ACL列头指针,找到与ACL头指针对应的ACL列,在ACL列里遍历每一个节点,找到与节点对应的各ACL节点。
需要说明的是,节点的数据不做限制,ACL节点的数量不做限制,ACL节点与节点的连接依据不做限制,例如可以将统一资源的相似访问限制放置在同一节点中。
本实施例所提供的一种访问控制管理方法,预先设置ACL二维双向链表,通过遍历每一ACL列及每一ACL列的各节点遍历ACL二维双向链表。由于设置了二维双向链表,因此在增加、减少ACL节点以及进行ACL配置的情况下,能够高效快速的遍历ACL链表,减少了遍历所有ACL节点所花费的时间,进一步提高基于DPDK开发并支持ACL功能的软件的运行速度。
图3为本申请实施例提供的一种增加ACL节点的流程图。如图3所示,在上述实施例的基础上,增加ACL节点的方法具体为:
S20:获取增加的第一目标ACL节点的第一目标名字和目标五元组信息。
需要说明的是,第一目标ACL节点为要增加的ACL节点。
S21:遍历ACL链表,判断是否存在第二目标节点,如果是,则进入S22,如果否,则结束增加ACL节点。
S22:遍历第二目标节点的ACL节点链表,判断第一目标名字与各ACL名字及目标五元组信息与各ACL五元组信息是否均不重复,如果是,则进入S23,如果否,则结束增加ACL节点。
S23:增加第一目标ACL节点至第二目标节点下。
需要说明的是,在增加第一目标ACL节点后,第二目标节点的使能标识的状态会变成有效状态,方便后续进行ACL的配置。
本实施例提供的一种访问控制管理方法,获取要增加的ACL节点的目标节点名字和目标五元组信息,在存在第二目标节点的情况下,遍历第二目标节点的ACL节点链表,判断目标节点名字和目标五元组信息与各ACL名字和五元组信息是否均不重复,如果均不重复,则添加ACL节点。由于通过遍历ACL二维双向链表增加ACL节点,相较于现有的ACL单链表,本申请实施例提供的方法只需要判断要增加的ACL节点与第二目标节点的原有的ACL节点是否重复,其他的ACL节点不需要判断,因此减少了增加ACL节点的时间消耗。
图4为本申请实施例提供的一种判断目标五元组信息与各ACL五元组信息是否均不重复的流程图。如图4所示,在上述实施例的基础上,该方法包括:
S30:判断目标五元组的源、目的端口与各ACL五元组的源、目的端口是否均不相等,如果是,则进入S31,如果否,则结束判断。
S31:判断目标五元组的传输协议与各ACL五元组的传输协议是否均不相等,如果是,则进入S32,如果否,则结束判断。
S32:比较目标五元组的源、目的IP掩码长度与各ACL五元组的源、目的IP掩码长度,如果目标五元组的源、目的IP掩码长度大于各ACL五元组的源、目的IP掩码长度,则进入S33,如果目标五元组的源、目的IP掩码长度小于,则进入S34,如果相等,则进入S35。
S33:目标五元组的源、目的IP和各ACL五元组的源、目的IP分别与上各ACL五元组的源、目的IP,进入S35。
S34:目标五元组的源、目的IP和各ACL五元组的源、目的IP分别与上目标五元组的源、目的IP,进入S35。
S35:判断目标五元组的源、目的IP掩码与各ACL五元组的源、目的IP掩码是否均不相等,如果是,则进入S36,如果否,则结束判断。
S36:确定目标五元组信息与各ACL五元组信息均不重复。
需要说明的是,判断目标五元组的源、目的端口与各ACL五元组的源、目的端口是否均不相等、判断目标五元组的传输协议与各ACL五元组的传输协议是否均不相等,以及判断目标五元组的源、目的IP掩码与各ACL五元组的源、目的IP掩码是否均不相等,三者之间没有前后顺序,可按如图4所示的顺序进行判断,也可以不按该顺序进行,还可以同时进行判断。
本实施例提供的一种访问控制管理方法,分别判断目标五元组的源、目的端口,传输协议以及源、目的IP与第二目标节点的各ACL五元组的源、目的端口,传输协议以及源、目的IP是否均不相等,在均不相等的情况下,确定目标五元组信息与各ACL五元组信息均不重复,本申请实施例提供的方法只需判断增加的ACL五元组信息是否与第二目标节点的各ACL五元组信息即可,无需与所有ACL五元组信息判断,因此减少了增加ACL节点的时间消耗。
图5为本申请实施例提供的一种减少ACL节点的流程图。如图5所示,在上述实施例的基础上,减少ACL节点的方法具体为:
S40:获取减少的第二目标ACL节点的第二目标名字。
需要说明的是,第二目标ACL节点为要删除的ACL节点。
S41:遍历ACL链表,判断是否存在第三目标节点,如果是,则进入S42,如果否,则结束删除ACL节点。
S42:遍历第三目标节点的ACL节点链表,判断第二目标名字与各ACL名字是否相同,如果是,则进入S43,如果否,则结束删除ACL节点。
S43:删除第二目标ACL节点。
需要说明的是,在删除第二目标ACL节点后,第三目标节点的使能标识的状态会变成有效状态,方便后续进行ACL的配置。
作为优选的实施例,还包括:在系统空闲的时候,通过应用程序设置所述第三目标节点的使能标识有效。在删除ACL节点的过程中,由于应用程序可以单独控制每个节点,因此通过应用程序给第三目标节点的使能标识置1或置0,可以决定是否在系统空闲的时候进行ACL配置,所以在系统空闲时进行ACL配置有利于系统的长久运行,同时有效的避免了因删除多个ACL节点时频繁配置造成的资源消耗。
本实施例提供的一种访问控制管理方法,获取要删除的ACL节点的目标节点名字,在存在第三目标节点的情况下,遍历第三目标节点的ACL节点链表,判断目标节点名字与第三目标节点的各ACL名字是否相同,如果相同,则删除ACL节点。由于通过遍历ACL二维双向链表删除ACL节点,相较于现有的ACL单链表,本申请实施例提供的方法只需要判断要删除的ACL节点与第三目标节点的原有的ACL节点是否相同,其他的ACL节点不需要判断,因此减少了删除ACL节点的时间消耗。
在上述实施例中,对于访问控制管理方法进行了详细描述,本申请还提供访问控制管理装置对应的实施例。需要说明的是,本申请从两个角度对装置部分的实施例进行描述,一种是基于功能模块的角度,另一种是基于硬件的角度。
图6为本申请实施例提供的一种访问控制管理装置的结构图。如图6所示,基于功能模块的角度,该装置包括:
第一判断模块10,用于在增加或减少ACL节点的情况下,遍历ACL链表,判断使能标识是否有效。
第一获取模块11,用于在使能标识有效的情况下,获取与使能标识对应的节点的各ACL五元组信息。
配置模块12,用于将各ACL五元组信息配置至ACL接口。
执行模块13,用于在使能标识无效的情况下,不进行ACL配置。
作为优选的实施例,还包括:
第一设置模块,用于预先设置ACL二维双向链表。
还包括:
第二获取模块,用于获取增加的第一目标ACL节点的第一目标名字和目标五元组信息。
第二判断模块,用于遍历ACL链表,判断是否存在第二目标节点。
第三判断模块,用于在存在第二目标节点的情况下,遍历第二目标节点的ACL节点链表,判断第一目标名字与各ACL名字及目标五元组信息与各ACL五元组信息是否均不重复。
增加模块,用于在均不重复的情况下,增加第一目标ACL节点至第二目标节点。
还包括:
第三获取模块,用于获取减少的第二目标ACL节点的第二目标名字。
第四判断模块,用于遍历ACL链表,判断是否存在第三目标节点。
第五判断模块,用于在存在第三目标节点的情况下,遍历第三目标节点的ACL节点链表,判断第二目标名字与各ACL名字是否相同。
删除模块,用于在相同的情况下,删除第二目标ACL节点。
第二设置模块,用于在系统空闲时通过应用程序设置第三目标节点的使能标识有效。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本实施例所提供的一种访问控制管理装置,在增加或减少ACL节点的情况下,遍历ACL链表,判断使能标识是否有效,在使能标识有效的情况下,获取与使能标识对应的节点的所有ACL五元组信息,并将该五元组信息配置到ACL接口中,若使能标识无效,则不进行ACL节点的配置。由于在配置ACL节点前先判断使能标识是否有效,防止了不需要进行ACL节点配置的节点重新进行配置,即只有使能标识有效的节点进行配置,其它的节点不需要重新配置,因此减少了内存资源的消耗,同时降低了时间的消耗,提高了基于DPDK开发并支持ACL功能的软件的运行速度。
图7为本申请实施例提供的另一种访问控制管理装置的结构图。如图7所示,基于硬件结构的角度,该装置包括:
存储器20,用于存储计算机程序;
处理器21,用于执行计算机程序时实现如上述实施例中访问控制管理方法的步骤。
其中,处理器21可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器21可以采用数字信号处理(Digital Signal Processing,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable LogicArray,PLA)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称中央处理器(CentralProcessing Unit,CPU);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以在集成有图像处理器(Graphics Processing Unit,GPU),GPU用于负责显示屏所需要显示的内容的渲染和绘制。
存储器20可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器20至少用于存储以下计算机程序201,其中,该计算机程序被处理器21加载并执行之后,能够实现前述任一实施例公开的访问控制管理方法的相关步骤。另外,存储器20所存储的资源还可以包括操作系统202和数据203等,存储方式可以是短暂存储或者永久存储。其中,操作系统202可以包括Windows、Unix、Linux等。数据203可以包括但不限于访问控制管理方法中涉及的数据等。
在一些实施例中,访问控制管理装置还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。
本领域技术人员可以理解,图7中示出的结构并不构成对访问控制管理装置的限定,可以包括比图示更多或更少的组件。
本实施例提供的访问控制管理装置,包括存储器和处理器,处理器在执行存储器存储的程序时,能够实现如下方法:在增加或减少ACL节点的情况下,遍历ACL链表,判断使能标识是否有效,在使能标识有效的情况下,获取与使能标识对应的节点的所有ACL五元组信息,并将该五元组信息配置到ACL接口中,若使能标识无效,则不进行ACL节点的配置。由于在配置ACL节点前先判断使能标识是否有效,防止了不需要进行ACL节点配置的节点重新进行配置,即只有使能标识有效的节点进行配置,其它的节点不需要重新配置,因此减少了内存资源的消耗,同时降低了时间的消耗,提高了基于DPDK开发并支持ACL功能的软件的运行速度。
最后,本申请还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。
可以理解的是,如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本实施例提供的计算机可读存储介质,该介质上存储有计算机程序,计算机程序被处理器执行时,能够实现如下方法:在增加或减少ACL节点的情况下,遍历ACL链表,判断使能标识是否有效,在使能标识有效的情况下,获取与使能标识对应的节点的所有ACL五元组信息,并将该五元组信息配置到ACL接口中,若使能标识无效,则不进行ACL节点的配置。由于在配置ACL节点前先判断使能标识是否有效,防止了不需要进行ACL节点配置的节点重新进行配置,即只有使能标识有效的节点进行配置,其它的节点不需要重新配置,因此减少了内存资源的消耗,同时降低了时间的消耗,提高了基于DPDK开发并支持ACL功能的软件的运行速度。
以上对本申请所提供的一种访问控制管理方法、装置及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (9)
1.一种访问控制管理方法,其特征在于,该方法包括:
在增加或减少ACL节点的情况下,遍历ACL链表,判断使能标识是否有效;其中,预先在节点中设置所述使能标识;
在所述使能标识有效的情况下,获取与所述使能标识对应的节点的各ACL五元组信息;
将各所述ACL五元组信息配置至ACL接口;
在所述使能标识无效的情况下,不进行ACL配置。
2.根据权利要求1所述的访问控制管理方法,其特征在于,在所述遍历ACL链表前,还包括:预先设置ACL二维双向链表;
所述遍历ACL链表具体为:
遍历所述ACL二维双向链表中的每一ACL列及每一所述ACL列中的每一所述节点。
3.根据权利要求2所述的访问控制管理方法,其特征在于,所述增加ACL节点具体包括:
获取增加的第一目标ACL节点的第一目标名字和目标五元组信息;
遍历所述ACL链表,判断是否存在第二目标节点;
在存在所述第二目标节点的情况下,遍历所述第二目标节点的ACL节点链表,判断所述第一目标名字与各ACL名字及所述目标五元组信息与各所述ACL五元组信息是否均不重复;
在均不重复的情况下,增加所述第一目标ACL节点至所述第二目标节点。
4.根据权利要求3所述的访问控制管理方法,其特征在于,所述判断目标五元组信息与各ACL五元组信息是否均不重复具体为:
判断所述目标五元组的源、目的端口与各所述ACL五元组的源、目的端口是否均不相等;
判断所述目标五元组的传输协议与各所述ACL五元组的传输协议是否均不相等;
在所述目标五元组的源、目的IP掩码长度与各所述ACL五元组的源、目的IP掩码长度相等时,判断所述目标五元组的源、目的IP掩码与各所述ACL五元组的源、目的IP掩码是否均不相等;
在所述目标五元组的源、目的IP掩码长度大于各所述ACL五元组的源、目的IP掩码长度时,则在所述目标五元组的源、目的IP和各所述ACL五元组的源、目的IP分别与上各所述ACL五元组的源、目的IP后,判断所述目标五元组的源、目的IP掩码与各所述ACL五元组的源、目的IP掩码是否均不相等;
在所述目标五元组的源、目的IP掩码长度小于各所述ACL五元组的源、目的IP掩码长度时,则在所述目标五元组的源、目的IP和各所述ACL五元组的源、目的IP分别与上所述目标五元组的源、目的IP后,判断所述目标五元组的源、目的IP掩码与各所述ACL五元组的源、目的IP掩码是否均不相等;
在所述目标五元组的源、目的端口,传输协议及源、目的IP掩码与各所述ACL五元组的源、目的端口,传输协议及源、目的IP掩码均不相等时,确定所述目标五元组信息与各所述ACL五元组信息均不重复。
5.根据权利要求2所述的访问控制管理方法,其特征在于,所述减少ACL节点具体包括:
获取减少的第二目标ACL节点的第二目标名字;
遍历所述ACL链表,判断是否存在第三目标节点;
在存在所述第三目标节点的情况下,遍历所述第三目标节点的ACL节点链表,判断所述第二目标名字与各ACL名字是否相同;
在相同的情况下,删除所述第二目标ACL节点。
6.根据权利要求5所述的访问控制管理方法,其特征在于,所述减少ACL节点还包括:
在系统空闲时通过应用程序设置所述第三目标节点的使能标识有效。
7.一种访问控制管理装置,其特征在于,该装置包括:
第一判断模块,用于在增加或减少ACL节点的情况下,遍历ACL链表,判断使能标识是否有效;其中,预先在节点中设置所述使能标识;
第一获取模块,用于在所述使能标识有效的情况下,获取与所述使能标识对应的节点的各ACL五元组信息;
配置模块,用于将各所述ACL五元组信息配置至ACL接口;
执行模块,用于在所述使能标识无效的情况下,不进行ACL配置。
8.一种访问控制管理装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1-6任一项所述的访问控制管理方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-6任一项所述的访问控制管理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010980115.7A CN112068974A (zh) | 2020-09-17 | 2020-09-17 | 一种访问控制管理方法、装置及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010980115.7A CN112068974A (zh) | 2020-09-17 | 2020-09-17 | 一种访问控制管理方法、装置及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112068974A true CN112068974A (zh) | 2020-12-11 |
Family
ID=73680538
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010980115.7A Pending CN112068974A (zh) | 2020-09-17 | 2020-09-17 | 一种访问控制管理方法、装置及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112068974A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112882944A (zh) * | 2021-03-12 | 2021-06-01 | 苏州科达科技股份有限公司 | 媒体驱动调试方法、装置、电子设备及存储介质 |
-
2020
- 2020-09-17 CN CN202010980115.7A patent/CN112068974A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112882944A (zh) * | 2021-03-12 | 2021-06-01 | 苏州科达科技股份有限公司 | 媒体驱动调试方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210273972A1 (en) | Dynamic Hierarchical Tagging System and Method | |
JP6644399B2 (ja) | フロー制御方法および装置 | |
WO2019080429A1 (zh) | 电子装置、访问请求控制方法和计算机可读存储介质 | |
JP2011526387A (ja) | コンピューティングプロセスのための最小特権アクセスの付与 | |
CN112883390B (zh) | 一种权限控制方法、装置及存储介质 | |
WO2018054200A1 (zh) | 文件读取方法和装置 | |
CN110445828B (zh) | 一种基于Redis的数据分布式处理方法及其相关设备 | |
JP2017505942A (ja) | インテリジェントファイアウォールアクセスルール | |
CN112068974A (zh) | 一种访问控制管理方法、装置及介质 | |
CN115758459A (zh) | 数据权限管理方法及装置 | |
CN110297810B (zh) | 一种流数据处理方法、装置及电子设备 | |
CN108900482B (zh) | 脚本的执行方法、服务器管理系统及存储介质 | |
CN110569987A (zh) | 自动化运维方法、运维设备、存储介质及装置 | |
CN112965760A (zh) | 修改根目录的方法、装置、电子设备和可读存储介质 | |
CN117170784A (zh) | 菜单及其页面的渲染方法、装置和电子设备 | |
US11163888B2 (en) | Detecting second-order security vulnerabilities via modelling information flow through persistent storage | |
CN112947907A (zh) | 一种创建代码分支的方法 | |
CN110650101A (zh) | 一种cifs网络带宽的优化方法、装置和介质 | |
CN110378086B (zh) | 权限的管理方法和装置 | |
CN115118515A (zh) | 一种基于分布式系统的ad域控制方法、装置及介质 | |
CN110826027B (zh) | 一种计算机软件用户权限分配方法和系统 | |
KR102324950B1 (ko) | 취약점을 효율적으로 탐지할 수 있는 아키텍처로 구성된 힙 영역 메모리 관리 방법 및 그 장치 | |
CN106130969A (zh) | 一种云计算网络的安全控制方法、及系统 | |
CN105939214B (zh) | 一种实现网卡功能的方法和装置 | |
CN109598118A (zh) | 一种子目录访问控制方法及相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |