CN114095231B - 一种报文过滤方法、装置、设备及介质 - Google Patents
一种报文过滤方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114095231B CN114095231B CN202111351692.0A CN202111351692A CN114095231B CN 114095231 B CN114095231 B CN 114095231B CN 202111351692 A CN202111351692 A CN 202111351692A CN 114095231 B CN114095231 B CN 114095231B
- Authority
- CN
- China
- Prior art keywords
- target
- ace
- hash value
- preset
- character string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 57
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000000899 pressurised-fluid extraction Methods 0.000 claims abstract description 30
- 238000004364 calculation method Methods 0.000 claims description 27
- 238000012545 processing Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 14
- 238000010276 construction Methods 0.000 claims description 5
- 230000010355 oscillation Effects 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 14
- 102100033189 Diablo IAP-binding mitochondrial protein Human genes 0.000 description 11
- 101710101225 Diablo IAP-binding mitochondrial protein Proteins 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 238000010187 selection method Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本申请提供了一种报文过滤方法、装置、设备及介质,由于在本申请中接收MAC芯片转发的目标报文,若确定该目标报文中携带有预设字段,则根据接入控制列表ACL中的访问控制表项ACE是否被设置掩码的信息,计算该目标报文的目标哈希值,通过计算目标报文的目标哈希值,再从ACL中查找与该目标报文的目标哈希值一致的ACE,将查找到的ACE中与该目标报文最匹配的目标ACE,避免了将目标报文与ACL中的所有ACE进行比对,提高了报文过滤的效率,避免了由于报文过滤效率低,导致的报文延迟,减小了协议震荡以及出现断流的概率。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种报文过滤方法、装置、设备及介质。
背景技术
在交换机中,对报文的过滤都是借助媒体访问控制(Media Access Control,MAC)芯片实现,但是对于接收到的需要发送给CPU的报文,在由MAC芯片进行过滤之后,还需要通过接入控制列表(Access Control Lists,ACL)进行二次过滤。其中,ACL也被称为访问列表(Access Lists),俗称为防火墙。ACL中包括至少一个访问控制表项(Access ControlEntry,ACE),其中每个ACE中定义了至少一个规则。当电子设备接收到报文后,将该报文与ACL中的每个ACE包含的规则进行匹配,在全部匹配完成后,选择ACL中与该报文最匹配的ACE,并根据该ACE对应的处理方式,对该报文进行过滤,如允许通过、丢弃等,从而实现了对接收到的报文的过滤。
但是在现有技术中,在ACL中的ACE的数量很多的情况下,将报文与ACL中的每个ACE对应的规则进行匹配,会极大地影响报文的过滤性能,出现报文延迟的情况,进而造成协议震荡,出现断流等问题。
发明内容
本申请提供了一种报文过滤方法、装置、设备及介质,用以解决现有技术中在进行报文过滤时当ACL中携带的ACE数量过多时,需要将报文与每个ACE进行匹配,报文的过滤效率低,导致出现报文延迟,进而造成协议震荡,出现断流的问题。
本申请提供了一种报文过滤方法,所述方法包括:
接收媒体访问控制MAC芯片转发的目标报文,若确定所述目标报文中携带有预设字段,则根据接入控制列表ACL中的访问控制表项ACE是否被设置掩码的信息,计算所述目标报文的目标哈希值;
根据所述目标哈希值,查找所述ACL中与所述目标哈希值一致的每个ACE;
根据与所述哈希值一致的每个ACE对应的规则,查找与所述目标报文匹配的目标ACE,并根据所述目标ACE对所述目标报文进行过滤。
进一步地,所述根据接入控制列表ACL中的访问控制表项ACE是否被设置有掩码的信息,计算所述目标报文的目标哈希值包括:
获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;
按照预设的规则,将所述第一字符串拆分为预设数量的第一子字符串;
若所述ACL中不存在被设置有掩码的ACE,则根据所述预设数量的第一子字符串,计算所述第一字符串的第一哈希值,并将所述第一哈希值确定为所述目标报文的目标哈希值。
进一步地,所述根据接入控制列表ACL中的访问控制表项ACE是否被设置有掩码的信息,计算所述目标报文的目标哈希值包括:
获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;
若所述ACL中存在至少一个被设置有掩码的ACE,则针对每个掩码,获取预先保存的该掩码对应的第二字符串;
将所述目标报文对应的第一字符串与所述每个第二字符串分别进行掩码计算,确定每个第三字符串,并按照预设的规则,将所述每个第三字符串拆分为预设数量的第二子字符串;根据所述预设数量的第二子字符串,计算所述每个第三字符串的每个第二哈希值,并将所述每个第二哈希值确定为所述目标报文的目标哈希值。
进一步地,所述根据所述目标哈希值,查找所述ACL中与所述目标哈希值一致的每个ACE包括:
根据所述目标哈希值与预先配置的哈希值与哈希桶的对应关系,查找对应的哈希值为所述目标哈希值的目标哈希桶,其中每个哈希桶中携带有哈希值相同的ACE的链表头;
获取所述目标哈希桶中保存的每个链表头,并将所述每个链表头对应的ACE确定为ACL中与所述目标哈希值一致的每个ACE。
进一步地,所述哈希桶的构建方法包括:
若所述ACL中不存在被设置有掩码的ACE,则针对所述ACL中的每个ACE,获取该ACE的至少两个预设位对应的第二字符;根据预设的顺序,将该ACE的预设位对应的第二字符进行组合,生成第四字符串;按照预设的规则,将所述第四字符串拆分为预设数量的第三子字符串;根据所述预设数量的第三子字符串,计算所述第四字符串的第三哈希值;
统计每个ACE的第三哈希值,将第三哈希值相同的ACE的链表头保存在同一哈希桶中。
进一步地,所述哈希桶的构建方法包括:
若所述ACL中存在至少一个被设置有掩码的ACE,则将预先保存的默认掩码确定为未被设置有掩码的ACE对应的掩码,并针对所述ACL中的每个ACE,获取该ACE的预设位对应的第三字符;根据预设的顺序,将该ACE的预设位对应的第三字符进行组合,生成第五字符串;获取该ACE对应的掩码的预设位对应的第六字符,并根据预设的顺序,将所述掩码的预设位对应的第六字符进行组合,生成并保存第二字符串;将所述第二字符串与所述第五字符串进行掩码计算,确定第六字符串;按照预设的规则,将所述第六字符串拆分为预设数量的第四子字符串;根据所述预设数量的第四子字符串,计算所述第六字符串的第四哈希值;
统计每个ACE的第四哈希值,将第四哈希值相同的ACE的链表头保存在同一哈希桶中。
进一步地,所述根据与所述哈希值一致的每个ACE对应的规则,查找与所述目标报文匹配的目标ACE包括:
获取与所述目标哈希值一致的每个ACE在所述ACL中的序列号;
根据所述序列号以及与所述目标哈希值一致的每个ACE对应的规则,控制所述目标报文依次与所述目标哈希值一致的每个ACE进行匹配;
将首个与所述报文匹配的ACE,确定为与所述目标报文匹配的目标ACE。
进一步地,若确定所述目标报文中未携带有预设字段,所述方法还包括:
判断所述目标报文中是否携带有拒绝标记,其中,所述拒绝标记为所述MAC芯片标识的;
若存在,则不响应所述目标报文。
本申请还提供了一种报文过滤装置,所述装置包括:
处理模块,用于接收媒体访问控制MAC芯片转发的目标报文,若确定所述目标报文中携带有预设字段,则根据接入控制列表ACL中的访问控制表项ACE是否被设置掩码的信息,计算所述目标报文的目标哈希值;
查找模块,用于根据所述目标哈希值,查找所述ACL中与所述目标哈希值一致的每个ACE;根据与所述哈希值一致的每个ACE对应的规则,查找与所述目标报文匹配的目标ACE;
过滤模块,用于根据所述目标ACE对所述目标报文进行过滤。
进一步地,所述处理模块,具体用于获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;按照预设的规则,将所述第一字符串拆分为预设数量的第一子字符串;若所述ACL中不存在被设置有掩码的ACE,则根据所述预设数量的第一子字符串,计算所述第一字符串的第一哈希值,并将所述第一哈希值确定为所述目标报文的目标哈希值。
进一步地,所述处理模块,具体用于获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;若所述ACL中存在至少一个被设置有掩码的ACE,则针对每个掩码,获取预先保存的该掩码对应的第二字符串;将所述目标报文对应的第一字符串与所述每个第二字符串分别进行掩码计算,确定每个第三字符串,并按照预设的规则,将所述每个第三字符串拆分为预设数量的第二子字符串;根据所述预设数量的第二子字符串,计算所述每个第三字符串的每个第二哈希值,并将所述每个第二哈希值确定为所述目标报文的目标哈希值。
进一步地,所述查找模块,具体用于根据所述目标哈希值与预先配置的哈希值与哈希桶的对应关系,查找对应的哈希值为所述目标哈希值的目标哈希桶,其中每个哈希桶中携带有哈希值相同的ACE的链表头;获取所述目标哈希桶中保存的每个链表头,并将所述每个链表头对应的ACE确定为ACL中与所述目标哈希值一致的每个ACE。
进一步地,所述查找模块,具体用于获取与所述目标哈希值一致的每个ACE在所述ACL中的序列号;根据所述序列号以及与所述目标哈希值一致的每个ACE对应的规则,控制所述目标报文依次与所述目标哈希值一致的每个ACE进行匹配;将首个与所述报文匹配的ACE,确定为与所述目标报文匹配的目标ACE。
本申请还提供了一种电子设备,所述电子设备至少包括处理器和存储器,所述处理器用于执行存储器中存储的计算机程序时实现上述任一所述的报文过滤方法的步骤。
本申请还提供了一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述的报文过滤方法的步骤。
在本申请中,接收MAC芯片转发的目标报文,若确定该目标报文中携带有预设字段,则根据接入控制列表ACL中的访问控制表项ACE是否被设置掩码的信息,计算该目标报文的目标哈希值,根据该目标哈希值,查找ACL中与该目标哈希值一致的每个ACE,根据与该目标哈希值一致的每个ACE对应的规则,查找与该报文最匹配的目标ACE,并根据该目标ACE对该报文进行过滤。由于在本申请中通过计算目标报文的目标哈希值,再从ACL中查找与该目标报文的目标哈希值一致的ACE,将查找到的ACE中与该目标报文最匹配的目标ACE,避免了将目标报文与ACL中的所有ACE进行比对,提高了报文过滤的效率,避免了由于报文过滤效率低,导致的报文延迟,减小了协议震荡以及出现断流的概率。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种报文过滤过程示意图;
图2为本申请实施例提供的报文过滤流程示意图;
图3为本申请实施例提供的一种报文过滤装置的结构示意图;
图4为本申请提供的一种电子设备结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为了提高报文过滤效率,避免由于报文过滤耗时较长导致的报文延迟,进而造成协议震荡,出现断流,本申请提供了一种报文过滤方法、装置、设备及介质。
实施例1:
图1为本申请实施例提供的一种报文过滤过程示意图,该过程包括以下步骤:
S101:接收媒体访问控制(MAC)芯片转发的目标报文,若确定所述目标报文中携带有预设字段,则根据ACL中的ACE是否被设置掩码的信息,计算所述目标报文的目标哈希值。
本申请提供的一种报文过滤方法应用于CPU,其中该CPU安装在电子设备中,该电子设备可以是交换机等,并且该电子设备中还安装有MAC芯片。
在本申请中,当电子设备的接收模块接收到一条目标报文后,先将该目标报文发送到MAC芯片,首先由该MAC芯片对该目标报文进行一次过滤,若该目标报文中存在预设字段,则由CPU对该目标报文进行二次过滤。具体的,MAC芯片先判断该目标报文是否匹配拒绝规则,若是,则在该目标报文上标识拒绝标记,例如在该目标报文上标识MATCH_DENY的标记,并将该目标报文发送给CPU,由CPU对携带有预设字段的目标报文再次进行过滤。
CPU接收到MAC芯片转发的目标报文后,判断该目标报文是否携带有预设字段。对于存在预设字段的目标报文,MAC芯片在对该目标报文进行过滤时,由于MAC芯片不能识别该预设字段,导致MAC芯片在确定是否舍弃该目标报文,会受到该预设字段的影响,将该目标报文确定为待舍弃的报文。例如,目标报文中携带有预设字段,并且电子设备应该响应该预设字段,但是由于该目标报文中携带有预设字段,且MAC芯片不能识别该预设字段,导致该MAC芯片确定该目标报文为待舍弃的报文,进而MAC芯片导致过滤结果不准确,因此,在本申请中,CPU识别到携带有预设字段的目标报文时,会对该报文再次进行过滤。其中,该本申请中,该预设字段可以为用于存储自定义的数据的IP option字段等,在此不做限制,可以由技术人员根据实际使用环境进行设置。
具体的,在本申请中,CPU接收MAC芯片转发的目标报文,若确定该目标报文中携带有预设字段,则从ACL中查找与该目标报文匹配的ACE,并根据与该目标报文匹配的ACE对该目标报文再次进行过滤。为了避免将目标报文与每个ACE分别进行匹配,在本申请中,会根据目标报文,对ACE进行筛选,再将筛选后的ACE与目标报文进行匹配。其中,在本申请,根据目标报文,对ACL中的ACE进行初步的筛选时,是基于目标报文的哈希值进行的。因此,在接收到MAC芯片转发的目标报文,并确定该目标报文中携带有预设字段后,CPU会根据ACL中的ACE是否被设置掩码的信息,计算该目标报文的目标哈希值。
S102:根据所述目标哈希值,查找所述ACL中与所述目标哈希值一致的每个ACE。
在本申请中,在计算了目标报文的目标哈希值之后,为了避免将目标报文与每个ACE分别进行匹配,在本申请中,会根据目标报文的目标哈希值,对ACL中的ACE进行初步的筛选。其中,在本申请中,CPU中预先保存ACL中每个ACE对应的哈希值,以便于根据目标哈希值,对ACL中的ACE进行初步的筛选。
具体的,在本申请中,在确定了目标报文的目标哈希值后,根据该目标哈希值,在ACL中查找哈希值与该目标哈希值一致的每个ACE。
S103:根据与所述哈希值一致的每个ACE对应的规则,查找与所述目标报文匹配的目标ACE,并根据所述目标ACE对所述目标报文进行过滤。
在本申请中,在对ACL中的ACE进行初步的筛选得到哈希值与目标哈希值一致的每个ACE,再从该每个ACE中查找与目标报文匹配的目标ACE,避免了将目标报文与每个ACE分别进行匹配,提高了对目标报文的过滤效率。
具体的,在本申请中,每个ACE均对应至少一个规则,在查找到哈希值与目标哈希值一致的每个ACE后,针对与目标哈希值一致的每个ACE,获取预先保存的该ACE对应的规则,并判断目标报文是否满足该规则,若是,则确定该ACE为与该目标报文匹配的目标ACE,并根据该目标ACE对该目标报文进行过滤。其中,ACE对应的规则可以是查找目标报文的某个字段是否为预设字段,如查找目标报文的某个字段是否为违规字段等,在此不做限制。
此外,在本申请中,若存在至少两个与目标报文匹配的ACE,则根据预设的目标ACE选择方法,从与该目标报文匹配的至少两个ACE中选择一个作为目标ACE,其中,该预设的目标ACE选择方法可以是选择与目标报文匹配的至少两个ACE中序列号在前的ACE作为目标ACE。
由于在本申请中通过计算目标报文的目标哈希值,在从ACL中查找与该目标报文的目标哈希值一致的ACE,在从与该目标报文的目标哈希值一致的ACE中查找该目标报文最匹配的目标ACE,避免了将目标报文与ACL中的所有ACE进行比对,提高了报文过滤的效率,避免了由于报文过滤效率低,导致的报文延迟,减小了协议震荡以及出现断流的概率。
实施例2:
为了计算目标报文的哈希值,在上述实施例的基础上,在本申请中,所述根据接入控制列表ACL中的访问控制表项ACE是否被设置有掩码的信息,计算所述目标报文的目标哈希值包括:
获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;
按照预设的规则,将所述第一字符串拆分为预设数量的第一子字符串;
若所述ACL中不存在被设置有掩码的ACE,则根据所述预设数量的第一子字符串,计算所述第一字符串的第一哈希值,并将所述第一哈希值确定为所述目标报文的目标哈希值。
在本申请中,在确定接收到的目标报文携带有预设字段后,会基于ACL中的ACE是否被设置有掩码的信息,计算该目标报文的目标哈希值。具体的,获取该目标报文的至少两个预设位对应的第一字符,并根据预设的顺序,将该至少两个第一字符进行组合,生成第一字符串,并按照预设的规则,将该第一字符串拆分为预设数量的第一子字符串。判断ACL中是否存在被设置有掩码的ACE,若该ACL中不存在被设置有掩码的ACE,则根据该预设数量的第一子字符串,计算该第一字符串的第一哈希值,并将该第一哈希值确定为该目标报文的目标哈希值。
其中,在本申请中,该预设位包括:源MAC、目标MAC、源IP、目标IP、协议号、源端口以及目标端口中的至少两个。若预设位包括:源MAC、目标MAC、源IP、目标IP、协议号、源端口以及目标端口,在根据第一字符串进行哈希计算,得到该第一字符串对应的第一哈希值时,可以采用以下方法进行计算:
hash_value=smac[0]^dmac[0]^sip[0]^dip[0]^prot[0]^sport[0]^dport[0]+(smac[1]^dmac[1]^sip[1]^dip[1]^prot[1]^sport[1]^dport[1])<<1+(smac[2]^dmac[2]^sip[2]^dip[2]^smac[4]^dmac[4])<<2+(smac[3]^dmac[3]^sip[3]^dip[3]^smac[4]^dmac[4])<<3&HASH_MAX
其中,hash_value为第一字符串对应的第一哈希值,smac[0]-smac[4]为源MAC对应的第一字符,dmac[0]-dmac[4]为目标MAC对应的第一字符,sip[0]-sip[3]为源IP对应的第一字符,dip[0]-dip[4]为目标IP对应的第一字符,prot[0]-prot[1]为协议号对应的第一字符,sport[0]-sport[1]为源端口对应的第一字符,dport[0]-dport[1]为目标端口对应的第一字符,HASH_MAX为预先保存的ACL对应的哈希桶的桶深,^为异或,<<2为左移2位,<<1为左移1位,<<3为左移3位,&为与。具体的,依次对smac[0]、dmac[0]、sip[0]、dip[0]、prot[0]、sport[0]、dport[0]进行异或计算,得到第一数值,依次对smac[1]、dmac[1]、sip[1]、dip[1]、prot[1]、sport[1]、dport[1]进行异或计算,得到第二数值,依次对smac[2]、dmac[2]、sip[2]、dip[2]、smac[4]、dmac[4]进行异或计算,得到第三数值,依次对smac[3]、dmac[3]、sip[3]、dip[3]、smac[4]、dmac[4]进行异或计算,得到第四数值,其中该第一数值、第二数值、第三数值、第四数值分别为0或1,将第一数值确定为二进制字符串的第一位,将第二数值确定为二进制字符串的第二位,第三数值确定为二进制字符串的第三位,第四数值确定为二进制字符串的第四位,得到一个字符串,将该字符串与哈希桶桶深的与运算结果确定为第一字符串对应的第一哈希值。
实施例3:
为了计算目标报文的哈希值,在上述各实施例的基础上,在本申请中,所述根据接入控制列表ACL中的访问控制表项ACE是否被设置有掩码的信息,计算所述目标报文的目标哈希值包括:
获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;
若所述ACL中存在至少一个被设置有掩码的ACE,则针对每个掩码,获取预先保存的该掩码对应的第二字符串;
将所述目标报文对应的第一字符串与所述每个第二字符串分别进行掩码计算,确定每个第三字符串,并按照预设的规则,将所述每个第三字符串拆分为预设数量的第二子字符串;根据所述预设数量的第二子字符串,计算所述每个第三字符串的每个第二哈希值,并将所述每个第二哈希值确定为所述目标报文的目标哈希值。
在本申请中,为了提高保密性,针对部分ACE,会对该ACE被设置有掩码,即ACL中存在被设置有掩码的ACE,则在计算目标报文的目标哈希值时,针对该ACL中的每个掩码,需将该掩码与目标报文进行掩码计算,再计算进行掩码计算后的目标报文的目标哈希值。
具体的,在本申请中,在获取该目标报文的至少两个预设位对应的第一字符,并根据预设的顺序,将该至少两个第一字符进行组合,生成第一字符串。判断ACL中是否存在至少一个被设置有掩码的ACE,若该ACL中存在至少一个被设置有掩码的ACE,则获取每个ACE对应的掩码,并针对每个掩码,获取预先保存的该掩码对应的第二字符串,并将目标报文对应的第一字符串与每个第二字符串进行掩码计算,确定每个第三字符串,并按照预设的规则,将该第三字符串拆分为预设数量的第二子字符串。再根据每个第三字符串对应的预设数量的第二子字符串,计算该每个第三字符串的每个第二哈希值,并将该每个第二哈希值确定为该目标报文的目标哈希值,即ACL中存在几个被设置有掩码的ACE,就计算出多少个目标哈希值。
实施例4:
为了从ACL中查找哈希值与目标报文的目标哈希值一致的每个ACE,在上述各实施例的基础上,在本申请中,所述根据所述目标哈希值,查找所述ACL中与所述目标哈希值一致的每个ACE包括:
根据所述目标哈希值与预先配置的哈希值与哈希桶的对应关系,查找对应的哈希值为所述目标哈希值的目标哈希桶,其中每个哈希桶中携带有哈希值相同的ACE的链表头;
获取所述目标哈希桶中保存的每个链表头,并将所述每个链表头对应的ACE确定为ACL中与所述目标哈希值一致的每个ACE。
为了从ACL中查找哈希值与目标哈希值一致的每个ACE,同时也为了避免每次在进行查找时都重复计算一次ACE的哈希值,减少CPU的负载压力,在本申请中,CPU中预先保存有每个ACE的哈希值,并且为了便于查找,将哈希值相同的ACE的链表头保存在同一个哈希桶中,并保存哈希桶与哈希值的对应关系。
在本申请中,在计算出目标报文的目标哈希值,并在ACL中查找与目标哈希值一致的每个ACE时,根据目标哈希值与预先保存的哈希值与哈希桶的对应关系,确定该目标哈希值对应的目标哈希桶,并获取该目标哈希桶中的保存的每个链表头,并将每个链表头对应的ACE确定为ACL中哈希值与该目标哈希值一致的每个ACE。
实施例5:
为了预先保存ACL中每个ACE的哈希值,在上述各实施例的基础上,在本申请中,所述哈希桶的构建方法包括:
若所述ACL中不存在被设置有掩码的ACE,则针对所述ACL中的每个ACE,获取该ACE的至少两个预设位对应的第二字符;根据预设的顺序,将该ACE的预设位对应的第二字符进行组合,生成第四字符串;按照预设的规则,将所述第四字符串拆分为预设数量的第三子字符串;根据所述第四字符串,计算该ACE的第三哈希值;
统计每个ACE的第三哈希值,将第三哈希值相同的ACE的链表头保存在同一哈希桶中。
在本申请中,ACL中是否存在有被设置有掩码的ACE,在构建哈希桶时,构建方法不同。
具体的,若ACL中不存在被设置有掩码的ACE,则针对该ACL中的每个ACE,获取该ACE的至少两个预设位对应的第二字符,其中,该预设位包括源MAC、目标MAC、源IP、目标IP、协议号、源端口以及目标端口中的至少两个。将该ACE的预设位对应的第二字符按照预设的顺序进行组合,生成第四字符串。并按照预设的规则,将该第四字符串拆分为预设的预设数量的第三子字符串,根据该预设数量的第三子字符串,计算该ACE的第三哈希值,统计每个ACE的第三哈希值,将第三哈希值相同的ACE的链表头保存在同一哈希桶中。
为了预先保存ACL中每个ACE的哈希值,在上述各实施例的基础上,在本申请中,所述哈希桶的构建方法包括:
若所述ACL中存在至少一个被设置有掩码的ACE,则将预先保存的默认掩码确定为未被设置有掩码的ACE对应的掩码,并针对所述ACL中的每个ACE,获取该ACE的预设位对应的第三字符;根据预设的顺序,将该ACE的预设位对应的第三字符进行组合,生成第五字符串;获取该ACE对应的掩码的预设位对应的第六字符,并根据预设的顺序,将所述掩码的预设位对应的第六字符进行组合,生成并保存第二字符串;将所述第二字符串与所述第五字符串进行掩码计算,确定第六字符串;按照预设的规则,将所述第六字符串拆分为预设数量的第四子字符串;根据所述预设数量的第四子字符串,计算所述第六字符串的第四哈希值;
统计每个ACE的第四哈希值,将第四哈希值相同ACE的链表头保存在同一哈希桶中。
为了提高保密性,在本申请中,针对ACL中的部分ACE,会对该ACE被设置有掩码,即ACL中存在被设置有掩码的ACE,则在计算该ACL中的每个ACE对应的哈希值时,针对每个ACE,先将该ACE对应的掩码与该ACE进行掩码计算,再计算进行掩码计算后的ACE的哈希值。
具体的,在本申请中,若ACL中存在至少一个被设置有掩码的ACE,且该ACL中存在未被设置有掩码的ACE,则将预先保存的默认掩码确定为未被设置有掩码的ACE对应的掩码。针对该ACL中的每个ACE,获取该ACE的预设位对应的第三字符,并按照预设的顺序,将该ACE的预设位对应的第三字符进行组合,生成第五字符串。以及获取该ACE对应的掩码的预设位对应的第六字符,并按照预设的顺序,将该掩码的预设位对应的第六字符进行组合,生成并保存第二字符串。将该第二字符串与该第五字符串进行掩码计算,确定第六字符串。并按照预设的规则,将该第六字符串拆分为预设数量的第四子字符串,根据该预设数量的第四子字符串,计算该第六字符串的第四哈希值,统计每个ACE的第四哈希值,将第四哈希值相同ACE的链表头保存在同一哈希桶中。
其中,在本申请中,该默认掩码可以为全为1的字符串。
实施例6:
为了实现在ACL中查找与目标报文匹配的ACE,在上述各实施例的基础上,在本申请中,所述根据与所述哈希值一致的每个ACE对应的规则,查找与所述目标报文匹配的目标ACE包括:
获取与所述目标哈希值一致的每个ACE在所述ACL中的序列号;
根据所述序列号以及与所述目标哈希值一致的每个ACE对应的规则,控制所述目标报文依次与所述目标哈希值一致的每个ACE进行匹配;
将首个与所述报文匹配的ACE,确定为与所述目标报文匹配的目标ACE。
在本申请中,ACL中的每个ACE都存在对应的序列号,该序列号为该ACE在ACL中的保存顺序,并且序列号越靠前,该序列号对应的ACE的重要程度越高。
并且,在本申请中,在查找与目标报文对应的目标ACE时,为了准确的对该目标报文进行过滤,会从哈希值与目标哈希值一致的每个ACE中选择一个ACE作为目标ACE。因此,在选择目标ACE时,可以根据每个ACE的序列号进行选择。
具体的,在本申请中,在将目标报文与每个哈希值为目标哈希值的ACE进行匹配时,可以按照ACE对应的序列号,将每个ACE对应的规则与目标报文进行匹配,并将首个与该目标报文匹配的ACE,确定为该目标报文匹配的目标ACE。
图2为本申请实施例提供的报文过滤流程示意图,如图2所示,该过程包括:
S201:接收到MAC发送的目标报文,判断该目标报文是否携带有预设字段,若是,则执行S202。
S202:根据ACL中的ACE是否被设置有掩码的信息,计算该目标报文的目标哈希值。
S203:根据该目标哈希值,查找该ACL中与该目标哈希值一致的每个ACE。
S204:根据与该哈希值一致的每个ACE对应的规则,查找与该目标报文匹配的目标ACE,并根据该目标ACE对该目标报文进行过滤。
实施例7:
为了对未携带有预设字段的目标报文进行过滤,在上述实施例的基础上,在本申请中,若确定所述目标报文中未携带有预设字段,所述方法还包括:
判断所述目标报文中是否携带有拒绝标记,其中,所述拒绝标记为所述MAC芯片标识的;
若存在,则不响应所述目标报文。
在本申请中,当接收到一条目标报文后,先将该目标报文发送到MAC芯片,由该MAC芯片对该目标报文进行过滤。具体的,该MAC芯片先判断该目标报文是否匹配拒绝规则,若是,则在该目标报文上标识拒绝标记,例如在该目标报文上标识MATCH_DENY的标记。
但是,对于存在预设字段的目标报文,MAC在对该目标报文进行过滤时,由于该预设字段的干扰可能导致过滤结果不准确,需要由CPU对该报文进行再次过滤。此外,在本申请中,若该目标报文未携带有预设字段,则根据MAC芯片对该目标报文的过滤结果,确定是否响应该目标报文。
具体的,若目标报文中未携带有预设字段,则MAC芯片对该目标报文的过滤结果是准确的。基于此,在本申请中,若确定目标报文中未携带有预设字段,则判断该目标报文中是否携带有该MAC芯片为该目标报文标识的拒绝标记;若存在,则不响应该目标报文,即丢弃该目标报文,若不存在,则根据该目标报文携带的内容,响应该目标报文。
实施例8:
图3为本申请实施例提供的一种报文过滤装置的结构示意图,如图3所示,该装置包括:
处理模块301,用于接收媒体访问控制MAC芯片转发的目标报文,若确定所述目标报文中携带有预设字段,则根据接入控制列表ACL中的访问控制表项ACE是否被设置掩码的信息,计算所述目标报文的目标哈希值;
查找模块302,用于根据所述目标哈希值,查找所述ACL中与所述目标哈希值一致的每个ACE;根据与所述哈希值一致的每个ACE对应的规则,查找与所述目标报文匹配的目标ACE;
过滤模块303,用于根据所述目标ACE对所述目标报文进行过滤。
在一种可能的实施方式中,所述处理模块301,具体用于获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;按照预设的规则,将所述第一字符串拆分为预设数量的第一子字符串;若所述ACL中不存在被设置有掩码的ACE,则根据所述预设数量的第一子字符串,计算所述第一字符串的第一哈希值,并将所述第一哈希值确定为所述目标报文的目标哈希值。
在一种可能的实施方式中,所述处理模块301,具体用于获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;若所述ACL中存在至少一个被设置有掩码的ACE,则针对每个掩码,获取预先保存的该掩码对应的第二字符串;将所述目标报文对应的第一字符串与所述每个第二字符串分别进行掩码计算,确定每个第三字符串,并按照预设的规则,将所述每个第三字符串拆分为预设数量的第二子字符串;根据所述预设数量的第二子字符串,计算所述每个第三字符串的每个第二哈希值,并将所述每个第二哈希值确定为所述目标报文的目标哈希值。
在一种可能的实施方式中,所述查找模块302,具体用于根据所述目标哈希值与预先配置的哈希值与哈希桶的对应关系,查找对应的哈希值为所述目标哈希值的目标哈希桶,其中每个哈希桶中携带有哈希值相同的ACE的链表头;获取所述目标哈希桶中保存的每个链表头,并将所述每个链表头对应的ACE确定为ACL中与所述目标哈希值一致的每个ACE。
在一种可能的实施方式中,所述装置还包括:
创建模块304,用于若所述ACL中不存在被设置有掩码的ACE,则针对所述ACL中的每个ACE,获取该ACE的至少两个预设位对应的第二字符;根据预设的顺序,将该ACE的预设位对应的第二字符进行组合,生成第四字符串;按照预设的规则,将所述第四字符串拆分为预设数量的第三子字符串;根据所述预设数量的第三子字符串,计算所述第四字符串的第三哈希值;统计每个ACE的第三哈希值,将第三哈希值相同的ACE的链表头保存在同一哈希桶中。
在一种可能的实施方式中,所述创建模块304,还用于若所述ACL中存在至少一个被设置有掩码的ACE,则将预先保存的默认掩码确定为未被设置有掩码的ACE对应的掩码,并针对所述ACL中的每个ACE,获取该ACE的预设位对应的第三字符;根据预设的顺序,将该ACE的预设位对应的第三字符进行组合,生成第五字符串;获取该ACE对应的掩码的预设位对应的第六字符,并根据预设的顺序,将所述掩码的预设位对应的第六字符进行组合,生成并保存第二字符串;将所述第二字符串与所述第五字符串进行掩码计算,确定第六字符串;按照预设的规则,将所述第六字符串拆分为预设数量的第四子字符串;根据所述预设数量的第四子字符串,计算所述第六字符串的第四哈希值;统计每个ACE的第四哈希值,将第四哈希值相同的ACE的链表头保存在同一哈希桶中。
在一种可能的实施方式中,所述查找模块302,具体用于获取与所述目标哈希值一致的每个ACE在所述ACL中的序列号;根据所述序列号以及与所述目标哈希值一致的每个ACE对应的规则,控制所述目标报文依次与所述目标哈希值一致的每个ACE进行匹配;将首个与所述报文匹配的ACE,确定为与所述目标报文匹配的目标ACE。
在一种可能的实施方式中,若确定所述目标报文中未携带有预设字段,所述过滤模块303,还用于判断所述目标报文中是否携带有拒绝标记,其中,所述拒绝标记为所述MAC芯片标识的;若存在,则不响应所述目标报文。
实施例9:
图4为本申请提供的一种电子设备结构示意图,在上述各实施例的基础上,本申请还提供了一种电子设备,如图4所示,包括:处理器401、通信接口402、存储器403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信;
所述存储器403中存储有计算机程序,当所述程序被所述处理器401执行时,使得所述处理器401执行如下步骤:
接收媒体访问控制MAC芯片转发的目标报文,若确定所述目标报文中携带有预设字段,则根据接入控制列表ACL中的访问控制表项ACE是否被设置掩码的信息,计算所述目标报文的目标哈希值;
根据所述目标哈希值,查找所述ACL中与所述目标哈希值一致的每个ACE;
根据与所述哈希值一致的每个ACE对应的规则,查找与所述目标报文匹配的目标ACE,并根据所述目标ACE对所述目标报文进行过滤。
在一种可能的实施方式中,所述根据接入控制列表ACL中的访问控制表项ACE是否被设置有掩码的信息,计算所述目标报文的目标哈希值包括:
获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;
按照预设的规则,将所述第一字符串拆分为预设数量的第一子字符串;
若所述ACL中不存在被设置有掩码的ACE,则根据所述预设数量的第一子字符串,计算所述第一字符串的第一哈希值,并将所述第一哈希值确定为所述目标报文的目标哈希值。
在一种可能的实施方式中,所述根据接入控制列表ACL中的访问控制表项ACE是否被设置有掩码的信息,计算所述目标报文的目标哈希值包括:
获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;
若所述ACL中存在至少一个被设置有掩码的ACE,则针对每个掩码,获取预先保存的该掩码对应的第二字符串;
将所述目标报文对应的第一字符串与所述每个第二字符串分别进行掩码计算,确定每个第三字符串,并按照预设的规则,将所述每个第三字符串拆分为预设数量的第二子字符串;根据所述预设数量的第二子字符串,计算所述每个第三字符串的每个第二哈希值,并将所述每个第二哈希值确定为所述目标报文的目标哈希值。
在一种可能的实施方式中,所述根据所述目标哈希值,查找所述ACL中与所述目标哈希值一致的每个ACE包括:
根据所述目标哈希值与预先配置的哈希值与哈希桶的对应关系,查找对应的哈希值为所述目标哈希值的目标哈希桶,其中每个哈希桶中携带有哈希值相同的ACE的链表头;
获取所述目标哈希桶中保存的每个链表头,并将所述每个链表头对应的ACE确定为ACL中与所述目标哈希值一致的每个ACE。
在一种可能的实施方式中,所述哈希桶的构建方法包括:
若所述ACL中不存在被设置有掩码的ACE,则针对所述ACL中的每个ACE,获取该ACE的至少两个预设位对应的第二字符;根据预设的顺序,将该ACE的预设位对应的第二字符进行组合,生成第四字符串;按照预设的规则,将所述第四字符串拆分为预设数量的第三子字符串;根据所述预设数量的第三子字符串,计算所述第四字符串的第三哈希值;
统计每个ACE的第三哈希值,将第三哈希值相同的ACE的链表头保存在同一哈希桶中。
在一种可能的实施方式中,所述哈希桶的构建方法包括:
若所述ACL中存在至少一个被设置有掩码的ACE,则将预先保存的默认掩码确定为未被设置有掩码的ACE对应的掩码,并针对所述ACL中的每个ACE,获取该ACE的预设位对应的第三字符;根据预设的顺序,将该ACE的预设位对应的第三字符进行组合,生成第五字符串;获取该ACE对应的掩码的预设位对应的第六字符,并根据预设的顺序,将所述掩码的预设位对应的第六字符进行组合,生成并保存第二字符串;将所述第二字符串与所述第五字符串进行掩码计算,确定第六字符串;按照预设的规则,将所述第六字符串拆分为预设数量的第四子字符串;根据所述预设数量的第四子字符串,计算所述第六字符串的第四哈希值;
统计每个ACE的第四哈希值,将第四哈希值相同的ACE的链表头保存在同一哈希桶中。
在一种可能的实施方式中,所述根据与所述哈希值一致的每个ACE对应的规则,查找与所述目标报文匹配的目标ACE包括:
获取与所述目标哈希值一致的每个ACE在所述ACL中的序列号;
根据所述序列号以及与所述目标哈希值一致的每个ACE对应的规则,控制所述目标报文依次与所述目标哈希值一致的每个ACE进行匹配;
将首个与所述报文匹配的ACE,确定为与所述目标报文匹配的目标ACE。
在一种可能的实施方式中,若确定所述目标报文中未携带有预设字段,所述方法还包括:
判断所述目标报文中是否携带有拒绝标记,其中,所述拒绝标记为所述MAC芯片标识的;
若存在,则不响应所述目标报文。
由于上述电子设备解决问题的原理与报文过滤方法相似,因此上述电子设备的实施可以参见上述实施例,重复之处不再赘述。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。通信接口402用于上述电子设备与其他设备之间的通信。存储器可以包括随机存取存储器(RandomAccess Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。上述处理器可以是通用处理器,包括中央处理器、网络处理器(Network Processor,NP)等;还可以是数字指令处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
实施例10:
在上述各实施例的基础上,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有可由处理器执行的计算机程序,当所述程序在所述处理器上运行时,使得所述处理器执行时实现如下步骤:
接收媒体访问控制MAC芯片转发的目标报文,若确定所述目标报文中携带有预设字段,则根据接入控制列表ACL中的访问控制表项ACE是否被设置掩码的信息,计算所述目标报文的目标哈希值;
根据所述目标哈希值,查找所述ACL中与所述目标哈希值一致的每个ACE;
根据与所述哈希值一致的每个ACE对应的规则,查找与所述目标报文匹配的目标ACE,并根据所述目标ACE对所述目标报文进行过滤。
在一种可能的实施方式中,所述根据接入控制列表ACL中的访问控制表项ACE是否被设置有掩码的信息,计算所述目标报文的目标哈希值包括:
获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;
按照预设的规则,将所述第一字符串拆分为预设数量的第一子字符串;
若所述ACL中不存在被设置有掩码的ACE,则根据所述预设数量的第一子字符串,计算所述第一字符串的第一哈希值,并将所述第一哈希值确定为所述目标报文的目标哈希值。
在一种可能的实施方式中,所述根据接入控制列表ACL中的访问控制表项ACE是否被设置有掩码的信息,计算所述目标报文的目标哈希值包括:
获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;
若所述ACL中存在至少一个被设置有掩码的ACE,则针对每个掩码,获取预先保存的该掩码对应的第二字符串;
将所述目标报文对应的第一字符串与所述每个第二字符串分别进行掩码计算,确定每个第三字符串,并按照预设的规则,将所述每个第三字符串拆分为预设数量的第二子字符串;根据所述预设数量的第二子字符串,计算所述每个第三字符串的每个第二哈希值,并将所述每个第二哈希值确定为所述目标报文的目标哈希值。
在一种可能的实施方式中,所述根据所述目标哈希值,查找所述ACL中与所述目标哈希值一致的每个ACE包括:
根据所述目标哈希值与预先配置的哈希值与哈希桶的对应关系,查找对应的哈希值为所述目标哈希值的目标哈希桶,其中每个哈希桶中携带有哈希值相同的ACE的链表头;
获取所述目标哈希桶中保存的每个链表头,并将所述每个链表头对应的ACE确定为ACL中与所述目标哈希值一致的每个ACE。
在一种可能的实施方式中,所述哈希桶的构建方法包括:
若所述ACL中不存在被设置有掩码的ACE,则针对所述ACL中的每个ACE,获取该ACE的至少两个预设位对应的第二字符;根据预设的顺序,将该ACE的预设位对应的第二字符进行组合,生成第四字符串;按照预设的规则,将所述第四字符串拆分为预设数量的第三子字符串;根据所述预设数量的第三子字符串,计算所述第四字符串的第三哈希值;
统计每个ACE的第三哈希值,将第三哈希值相同的ACE的链表头保存在同一哈希桶中。
在一种可能的实施方式中,所述哈希桶的构建方法包括:
若所述ACL中存在至少一个被设置有掩码的ACE,则将预先保存的默认掩码确定为未被设置有掩码的ACE对应的掩码,并针对所述ACL中的每个ACE,获取该ACE的预设位对应的第三字符;根据预设的顺序,将该ACE的预设位对应的第三字符进行组合,生成第五字符串;获取该ACE对应的掩码的预设位对应的第六字符,并根据预设的顺序,将所述掩码的预设位对应的第六字符进行组合,生成并保存第二字符串;将所述第二字符串与所述第五字符串进行掩码计算,确定第六字符串;按照预设的规则,将所述第六字符串拆分为预设数量的第四子字符串;根据所述预设数量的第四子字符串,计算所述第六字符串的第四哈希值;
统计每个ACE的第四哈希值,将第四哈希值相同的ACE的链表头保存在同一哈希桶中。
在一种可能的实施方式中,所述根据与所述哈希值一致的每个ACE对应的规则,查找与所述目标报文匹配的目标ACE包括:
获取与所述目标哈希值一致的每个ACE在所述ACL中的序列号;
根据所述序列号以及与所述目标哈希值一致的每个ACE对应的规则,控制所述目标报文依次与所述目标哈希值一致的每个ACE进行匹配;
将首个与所述报文匹配的ACE,确定为与所述目标报文匹配的目标ACE。
在一种可能的实施方式中,若确定所述目标报文中未携带有预设字段,所述方法还包括:
判断所述目标报文中是否携带有拒绝标记,其中,所述拒绝标记为所述MAC芯片标识的;
若存在,则不响应所述目标报文。
由于上述提供的计算机可读取介质解决问题的原理与报文过滤方法相似,因此处理器执行上述计算机可读取介质中的计算机程序后,实现的步骤可以参见上述实施例,重复之处不再赘述。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (11)
1.一种报文过滤方法,其特征在于,所述方法包括:
接收媒体访问控制MAC芯片转发的目标报文,若确定所述目标报文中携带有预设字段,则根据接入控制列表ACL中的访问控制表项ACE是否被设置掩码的信息,计算所述目标报文的目标哈希值;
根据所述目标哈希值,查找所述ACL中与所述目标哈希值一致的每个ACE;
根据与所述哈希值一致的每个ACE对应的规则,查找与所述目标报文匹配的目标ACE,并根据所述目标ACE对所述目标报文进行过滤;
其中,所述根据接入控制列表ACL中的访问控制表项ACE是否被设置有掩码的信息,计算所述目标报文的目标哈希值包括:
获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;
按照预设的规则,将所述第一字符串拆分为预设数量的第一子字符串;
若所述ACL中不存在被设置有掩码的ACE,则根据所述预设数量的第一子字符串,计算所述第一字符串的第一哈希值,并将所述第一哈希值确定为所述目标报文的目标哈希值;或者,
获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;
若所述ACL中存在至少一个被设置有掩码的ACE,则针对每个掩码,获取预先保存的该掩码对应的第二字符串;
将所述目标报文对应的第一字符串与所述每个第二字符串分别进行掩码计算,确定每个第三字符串,并按照预设的规则,将所述每个第三字符串拆分为预设数量的第二子字符串;根据所述预设数量的第二子字符串,计算所述每个第三字符串的每个第二哈希值,并将所述每个第二哈希值确定为所述目标报文的目标哈希值。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标哈希值,查找所述ACL中与所述目标哈希值一致的每个ACE包括:
根据所述目标哈希值与预先配置的哈希值与哈希桶的对应关系,查找对应的哈希值为所述目标哈希值的目标哈希桶,其中每个哈希桶中携带有哈希值相同的ACE的链表头;
获取所述目标哈希桶中保存的每个链表头,并将所述每个链表头对应的ACE确定为ACL中与所述目标哈希值一致的每个ACE。
3.根据权利要求2所述的方法,其特征在于,所述哈希桶的构建方法包括:
若所述ACL中不存在被设置有掩码的ACE,则针对所述ACL中的每个ACE,获取该ACE的至少两个预设位对应的第二字符;根据预设的顺序,将该ACE的预设位对应的第二字符进行组合,生成第四字符串;按照预设的规则,将所述第四字符串拆分为预设数量的第三子字符串;根据所述预设数量的第三子字符串,计算所述第四字符串的第三哈希值;
统计每个ACE的第三哈希值,将第三哈希值相同的ACE的链表头保存在同一哈希桶中。
4.根据权利要求2所述的方法,其特征在于,所述哈希桶的构建方法包括:
若所述ACL中存在至少一个被设置有掩码的ACE,则将预先保存的默认掩码确定为未被设置有掩码的ACE对应的掩码,并针对所述ACL中的每个ACE,获取该ACE的预设位对应的第三字符;根据预设的顺序,将该ACE的预设位对应的第三字符进行组合,生成第五字符串;获取该ACE对应的掩码的预设位对应的第六字符,并根据预设的顺序,将所述掩码的预设位对应的第六字符进行组合,生成并保存第二字符串;将所述第二字符串与所述第五字符串进行掩码计算,确定第六字符串;按照预设的规则,将所述第六字符串拆分为预设数量的第四子字符串;根据所述预设数量的第四子字符串,计算所述第六字符串的第四哈希值;
统计每个ACE的第四哈希值,将第四哈希值相同的ACE的链表头保存在同一哈希桶中。
5.根据权利要求1所述的方法,其特征在于,所述根据与所述哈希值一致的每个ACE对应的规则,查找与所述目标报文匹配的目标ACE包括:
获取与所述目标哈希值一致的每个ACE在所述ACL中的序列号;
根据所述序列号以及与所述目标哈希值一致的每个ACE对应的规则,控制所述目标报文依次与所述目标哈希值一致的每个ACE进行匹配;
将首个与所述报文匹配的ACE,确定为与所述目标报文匹配的目标ACE。
6.根据权利要求1所述的方法,其特征在于,若确定所述目标报文中未携带有预设字段,所述方法还包括:
判断所述目标报文中是否携带有拒绝标记,其中,所述拒绝标记为所述MAC芯片标识的;
若存在,则不响应所述目标报文。
7.一种报文过滤装置,其特征在于,所述装置包括:
处理模块,用于接收媒体访问控制MAC芯片转发的目标报文,若确定所述目标报文中携带有预设字段,则根据接入控制列表ACL中的访问控制表项ACE是否被设置掩码的信息,计算所述目标报文的目标哈希值;
查找模块,用于根据所述目标哈希值,查找所述ACL中与所述目标哈希值一致的每个ACE;根据与所述哈希值一致的每个ACE对应的规则,查找与所述目标报文匹配的目标ACE;
过滤模块,用于根据所述目标ACE对所述目标报文进行过滤;
其中,所述处理模块,具体用于获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;按照预设的规则,将所述第一字符串拆分为预设数量的第一子字符串;若所述ACL中不存在被设置有掩码的ACE,则根据所述预设数量的第一子字符串,计算所述第一字符串的第一哈希值,并将所述第一哈希值确定为所述目标报文的目标哈希值;或,
所述处理模块,具体用于获取所述目标报文的至少两个预设位对应的第一字符,根据预设的顺序,将所述目标报文的预设位对应的第一字符进行组合,生成第一字符串;若所述ACL中存在至少一个被设置有掩码的ACE,则针对每个掩码,获取预先保存的该掩码对应的第二字符串;将所述目标报文对应的第一字符串与所述每个第二字符串分别进行掩码计算,确定每个第三字符串,并按照预设的规则,将所述每个第三字符串拆分为预设数量的第二子字符串;根据所述预设数量的第二子字符串,计算所述每个第三字符串的每个第二哈希值,并将所述每个第二哈希值确定为所述目标报文的目标哈希值。
8.根据权利要求7所述的装置,其特征在于,所述查找模块,具体用于根据所述目标哈希值与预先配置的哈希值与哈希桶的对应关系,查找对应的哈希值为所述目标哈希值的目标哈希桶,其中每个哈希桶中携带有哈希值相同的ACE的链表头;获取所述目标哈希桶中保存的每个链表头,并将所述每个链表头对应的ACE确定为ACL中与所述目标哈希值一致的每个ACE。
9.根据权利要求7所述的装置,其特征在于,所述查找模块,具体用于获取与所述目标哈希值一致的每个ACE在所述ACL中的序列号;根据所述序列号以及与所述目标哈希值一致的每个ACE对应的规则,控制所述目标报文依次与所述目标哈希值一致的每个ACE进行匹配;将首个与所述报文匹配的ACE,确定为与所述目标报文匹配的目标ACE。
10.一种电子设备,其特征在于,所述电子设备至少包括处理器和存储器,所述处理器用于执行存储器中存储的计算机程序时实现权利要求1-6中任一所述的报文过滤方法的步骤。
11.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6中任一所述的报文过滤方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111351692.0A CN114095231B (zh) | 2021-11-16 | 2021-11-16 | 一种报文过滤方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111351692.0A CN114095231B (zh) | 2021-11-16 | 2021-11-16 | 一种报文过滤方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114095231A CN114095231A (zh) | 2022-02-25 |
CN114095231B true CN114095231B (zh) | 2023-11-17 |
Family
ID=80300777
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111351692.0A Active CN114095231B (zh) | 2021-11-16 | 2021-11-16 | 一种报文过滤方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114095231B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1823514A (zh) * | 2003-09-10 | 2006-08-23 | 思科技术公司 | 使用基于角色的访问控制来提供网络安全的方法和装置 |
US10778721B1 (en) * | 2016-02-26 | 2020-09-15 | Arista Networks, Inc. | Hash-based ACL lookup offload |
CN111950000A (zh) * | 2020-07-30 | 2020-11-17 | 新华三技术有限公司 | 一种接入访问控制方法及设备 |
CN113438252A (zh) * | 2021-07-08 | 2021-09-24 | 恒安嘉新(北京)科技股份公司 | 报文访问控制方法、装置、设备及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9497281B2 (en) * | 2013-04-06 | 2016-11-15 | Citrix Systems, Inc. | Systems and methods to cache packet steering decisions for a cluster of load balancers |
-
2021
- 2021-11-16 CN CN202111351692.0A patent/CN114095231B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1823514A (zh) * | 2003-09-10 | 2006-08-23 | 思科技术公司 | 使用基于角色的访问控制来提供网络安全的方法和装置 |
US10778721B1 (en) * | 2016-02-26 | 2020-09-15 | Arista Networks, Inc. | Hash-based ACL lookup offload |
CN111950000A (zh) * | 2020-07-30 | 2020-11-17 | 新华三技术有限公司 | 一种接入访问控制方法及设备 |
CN113438252A (zh) * | 2021-07-08 | 2021-09-24 | 恒安嘉新(北京)科技股份公司 | 报文访问控制方法、装置、设备及存储介质 |
Non-Patent Citations (3)
Title |
---|
"SFDS: A Security and Flexible Data Sharing Scheme in Cloud Environment";Dongliang Lei 等;《2014 International Conference on Cloud Computing and Big Data》;全文 * |
"移动IPv6下包过滤防火墙研究";段林茂;《中国优秀博硕士学位论文全文数据库 (硕士)·信息科技辑》;全文 * |
基于FPGA的高速硬件防火墙报文检测系统设计;李长胜;龙文;;微计算机信息(第02期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114095231A (zh) | 2022-02-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10742722B2 (en) | Server load balancing | |
US7684400B2 (en) | Logarithmic time range-based multifield-correlation packet classification | |
US10313495B1 (en) | Compiler and hardware interactions to remove action dependencies in the data plane of a network forwarding element | |
WO2010065418A1 (en) | Graph-based data search | |
CN110012124B (zh) | 一种对网络地址范围段进行拆分的方法及装置 | |
CN111131041B (zh) | 基于NetFlow与BGP的VPN流量获取方法及装置 | |
CN113285918A (zh) | 针对网络攻击的acl过滤表项建立方法及装置 | |
CN107147581B (zh) | 路由表项的维护方法和装置 | |
CN116545921A (zh) | 基于ecmp的报文转发方法、装置、设备及存储介质 | |
CN114095231B (zh) | 一种报文过滤方法、装置、设备及介质 | |
CN112187636B (zh) | Ecmp路由的存储方法及装置 | |
KR100456671B1 (ko) | 네트워크 라우터의 고속 패킷 전달을 위한 병렬 룩업 엔진및 그 방법 | |
CN113098852A (zh) | 一种日志处理方法及装置 | |
CN109450797B (zh) | 一种报文转发方法、装置和计算机设备 | |
CN116015796A (zh) | 一种流表更新方法、装置、防火墙设备及存储介质 | |
CN108650237B (zh) | 一种基于存活时间的报文安全检查方法及系统 | |
CN113347173B (zh) | 一种包过滤方法、装置及电子设备 | |
WO2016176853A1 (zh) | 一种路由查询方法和网络设备 | |
CN115834229A (zh) | 一种报文安全检测方法、设备及存储介质 | |
CN112437096B (zh) | 加速策略查找方法及系统 | |
CN111683036B (zh) | 数据存储方法、装置以及报文识别方法和装置 | |
CN109905325B (zh) | 一种流量引导方法及流量识别设备 | |
CN109104437B (zh) | 路由域、用于在路由域中处理ip报文的方法和装置 | |
CN107948091B (zh) | 一种网包分类的方法及装置 | |
CN111353018A (zh) | 基于深度包检测的数据处理方法、装置和网络设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |