CN114363074A - 一种访问控制实现方法、装置、设备及存储介质 - Google Patents
一种访问控制实现方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114363074A CN114363074A CN202210017454.4A CN202210017454A CN114363074A CN 114363074 A CN114363074 A CN 114363074A CN 202210017454 A CN202210017454 A CN 202210017454A CN 114363074 A CN114363074 A CN 114363074A
- Authority
- CN
- China
- Prior art keywords
- acl
- protocol stack
- access control
- updated
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000004590 computer program Methods 0.000 claims description 10
- 230000006870 function Effects 0.000 description 10
- 238000012217 deletion Methods 0.000 description 6
- 230000037430 deletion Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种访问控制实现方法、装置、设备及存储介质,该方法包括:确定需实现访问控制的任意数据包对应网络地址所属的协议栈为目标协议栈;从多个ACL表中选取与目标协议栈对应的ACL表为目标ACL表;利用目标ACL表实现相应数据包的访问控制;其中,ACL表为预先基于相应协议栈的ACL五元组信息按照ACL规则创建得到的。本发明预先配置与多个协议栈分别对应的ACL表,进而在需要实现对任意数据包的访问控制时,基于与该任意数据包对应网络地址所属协议栈的ACL表实现对该任意数据包的访问控制;可见,本申请能够支持多个协议栈的访问控制,能够满足当前网络地址增长量巨大的情况,进而保证访问控制功能的有效实现。
Description
技术领域
本发明涉及网络安全技术领域,更具体地说,涉及一种访问控制实现方法、装置、设备及存储介质。
背景技术
当前网络环境时常会有违规的访问者或者攻击者对用户网络进行非法访问、植入木马或DDOS等危害用户主机的违规行为,导致用户主机上的信息安全遭到侵害,个人信息落入违法人员手中。为了帮助用户在网络上对从某些已知网络地址发起的或者对自己某些具体网络地址和端口的访问做限制,ACL(Access Control Lists,访问控制,对某些数据包的五元组进行访问限制的方法)有效精确隔绝非法访问的手段得以问世。目前的访问控制均是单独服务于IPv4这一协议栈的,明显已无法满足当前网络地址增长量巨大的情况。
发明内容
本发明的目的是提供一种访问控制实现方法、装置、设备及存储介质,本申请能够支持多个协议栈的访问控制,能够满足当前网络地址增长量巨大的情况,进而保证访问控制功能的有效实现。
为了实现上述目的,本发明提供如下技术方案:
一种访问控制实现方法,包括:
如果需要实现任意数据包的访问控制,则确定该任意数据包对应网络地址所属的协议栈为目标协议栈;
从预先配置的多个ACL表中选取与所述目标协议栈对应的ACL表为目标ACL表;其中,所述ACL表为预先基于相应协议栈的ACL五元组信息按照ACL规则创建得到的;
利用所述目标ACL表实现相应数据包的访问控制。
优选的,从预先配置的多个ACL表中选取与所述目标协议栈对应的ACL表为目标ACL表之前,还包括:
设置主配置及备配置,在所述主配置中创建多个ACL表,并设置所述主配置为激活状态,备配置为待机状态,以供从所述主配置中选取目标ACL表;
如果需要更新ACL表,则将更新完成后各ACL表存储至所述备配置中,并将所述主配置及所述备配置分别更新为备配置及主配置。
优选的,将更新完成后各ACL表存储至所述备配置中,包括:
如果需要更新全部ACL表,则分别基于各ACL表对应的ACL五元组信息按照ACL规则在所述备配置中创建相应的ACL表,否则,基于需要更新的ACL表对应的ACL五元组信息按照ACL原则在所述备配置中创建相应的ACL表,并将不需更新的ACL表由所述主配置中复制至所述备配置中。
优选的,基于所述ACL表对应的ACL五元组信息按照ACL原则在所述备配置中创建相应的ACL表,包括:
确定需要更新的任意ACL表为待更新ACL表,如果所述备配置中存在所述待更新ACL表,则将所述备配置中存在的所述待更新ACL表删除,并在所述备配置中基于所述待更新ACL表对应的ACL五元组信息按照ACL规则创建相应的ACL表,否则,直接在所述备配置中基于所述待更新ACL表对应的ACL五元组信息按照ACL规则创建相应的ACL表。
优选的,确定需要更新的任意ACL表为待更新ACL表之前,还包括:
定时或者实时检测各协议栈的ACL五元组信息是否发生变化,如果存在ACL五元组信息发生变化的任意协议栈,则确定该任意协议栈对应的ACL表为需要更新的ACL表。
优选的,还包括:
如果需要添加新的ACL,则确定该新的ACL为待添加ACL,如果相应协议栈的ACL中存在与所述待添加ACL的名称匹配的ACL,则拒绝添加所述待添加ACL,如果相应协议栈的ACL中不存在与所述待添加ACL的名称匹配的ACL,则判断相应协议栈的ACL中是否存在与所述待添加ACL的ACL五元组信息匹配的ACL,如果是,则拒绝添加所述待添加ACL,否则,将所述待添加ACL的名称及ACL五元组信息添加至相应协议栈;
如果需要删除任意ACL,则确定该任意ACL为待删除ACL,如果相应协议栈的ACL中存在与所述待删除ACL的名称匹配的ACL,则删除该与所述待删除ACL的名称匹配的ACL,否则,确定无需删除相应ACL。
优选的,所述访问控制实现方法基于DPDK框架实现。
一种访问控制实现装置,包括:
确定模块,用于:如果需要实现任意数据包的访问控制,则确定该任意数据包对应网络地址所属的协议栈为目标协议栈;
选取模块,用于:从预先配置的多个ACL表中选取与所述目标协议栈对应的ACL表为目标ACL表;其中,所述ACL表为预先基于相应协议栈的ACL五元组信息按照ACL规则创建得到的;
控制模块,用于:利用所述目标ACL表实现相应数据包的访问控制。
一种访问控制实现设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一项所述访问控制实现方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上任一项所述访问控制实现方法的步骤。
本发明提供了一种访问控制实现方法、装置、设备及存储介质,该方法包括:如果需要实现任意数据包的访问控制,则确定该任意数据包对应网络地址所属的协议栈为目标协议栈;从预先配置的多个ACL表中选取与所述目标协议栈对应的ACL表为目标ACL表;利用所述目标ACL表实现相应数据包的访问控制;其中,所述ACL表为预先基于相应协议栈的ACL五元组信息按照ACL规则创建得到的。本发明预先配置与多个协议栈分别对应的ACL表,进而在需要实现对任意数据包的访问控制时,基于与该任意数据包对应网络地址所属协议栈的ACL表实现对该任意数据包的访问控制;可见,本申请能够支持多个协议栈的访问控制,能够满足当前网络地址增长量巨大的情况,进而保证访问控制功能的有效实现。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种访问控制实现方法的流程图;
图2为本发明实施例提供的一种访问控制实现装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,其示出了本发明实施例提供的一种访问控制实现方法的流程图,可以包括:
S11:如果需要实现任意数据包的访问控制,则确定该任意数据包对应网络地址所属的协议栈为目标协议栈。
需要说明的是,访问控制即为对从某些网络地址发出的数据包或者对用户网络自身某些具体网络地址和端口进行访问的数据包进行拦截或者放行等操作,因此本申请实施例在需要实现任意数据包的访问控制时,可以先确定发出该任意数据包的网络地址或者该任意数据包需要访问用户网络的网络地址为该任意数据包对应的网络地址,进而确定该任意数据包对应网络地址所属的协议栈则为该任意数据包对应的目标协议栈。
S12:从预先配置的多个ACL表中选取与目标协议栈对应的ACL表为目标ACL表;其中,ACL表为预先基于相应协议栈的ACL五元组信息按照ACL规则创建得到的。
需要说明的是,本申请实施例可以支持多种协议栈的访问控制功能,协议栈包括但不限于IPv4、IPv6(当协议栈仅包含IPv4、IPv6时本申请实施例实现的为IPv4\IPv6双栈访问控制实现方法);对于任意的协议栈,可以预先获取与该任意协议栈对应的各ACL,然后基于各ACL的五元组信息按照ACL规则创建得到相应的ACL表,以基于创建得到的ACL表实现该任意协议栈的访问控制。其中,ACL的五元组信息包括但不限于源目的IP、源目的端口和协议信息,而为了便于实现对ACL的管理,本申请实施例可以预先设置有与各协议栈一一对应的ACL列,并且在任意协议栈对应的ACL列中包含节点链表,该任意协议栈对应ACL列的节点链表中包含多个表示该任意协议栈的ACL的节点(即ACL节点,一个节点表示一个五元组结构体),每个ACL节点中存储有相应ACL的五元组信息、节点名称以及IP类型。其中,基于任意协议栈的ACL五元组信息按照ACL规则创建得到相应的ACL表与现有技术中实现ACL配置的实现原理相同,可以包括将已存在的该任意协议栈的ACL表删除(若无已存在的该任意协议栈的ACL表则无需进行相应删除操作),遍历该任意协议栈的ACL列中的节点链表获取相应的ACL五元组信息,将获取的ACL五元组信息配置到DPDK(Data Plane Development Kit,数据平面开发套件)的ACL规则创建接口(其是一个接口函数,由其他函数库提供的)中,得到相应的ACL表。
S13:利用目标ACL表实现相应数据包的访问控制。
本发明预先配置与多个协议栈分别对应的ACL表,进而在需要实现对任意数据包的访问控制时,基于与该任意数据包对应网络地址所属协议栈的ACL表实现对该任意数据包的访问控制;可见,本申请能够支持多个协议栈的访问控制,能够满足当前网络地址增长量巨大的情况,进而保证访问控制功能的有效实现。
本发明实施例提供的一种访问控制实现方法,从预先配置的多个ACL表中选取与目标协议栈对应的ACL表为目标ACL表之前,还可以包括:
设置主配置及备配置,在主配置中创建多个ACL表,并设置主配置为激活状态,备配置为待机状态,以供从主配置中选取目标ACL表;
如果需要更新ACL表,则将更新完成后各ACL表存储至备配置中,并将主配置及备配置分别更新为备配置及主配置。
将更新完成后各ACL表存储至备配置中,可以包括:
如果需要更新全部ACL表,则分别基于各ACL表对应的ACL五元组信息按照ACL规则在备配置中创建相应的ACL表,否则,基于需要更新的ACL表对应的ACL五元组信息按照ACL原则在备配置中创建相应的ACL表,并将不需更新的ACL表由主配置中复制至备配置中。
基于ACL表对应的ACL五元组信息按照ACL原则在备配置中创建相应的ACL表,可以包括:
确定需要更新的任意ACL表为待更新ACL表,如果备配置中存在待更新ACL表,则将备配置中存在的待更新ACL表删除,并在备配置中基于待更新ACL表对应的ACL五元组信息按照ACL规则创建相应的ACL表,否则,直接在备配置中基于待更新ACL表对应的ACL五元组信息按照ACL规则创建相应的ACL表。
为了保证后续对ACL进行修改更新时ACL功能业务不会中断,以进一步保证用户网络的安全性,本申请实施例可以首先启用一个定时器任务定时读取各ACL列是否有修改,如果有则触发ACL表更新机制。具体来说,各ACL表保存两份,分别为主配置和备配置(主配置及备配置中均有独有的ACL表),且主配置为激活状态,备配置为待机状态;首次创建ACL表时,将各ACL表创建在主配置中,以由主配置提供相应的ACL功能业务;当ACL表更新机制触发时,主配置继续提供ACL功能业务,备配置实现相应的ACL表更新,此时针对备配置的操作可以包括根据修改更新的ACL列对应何种协议栈来决定对何种协议栈对应的ACL表进行删除重建(删除是在已存在对应ACL表的情况下,如果不存在则无需删除),进而将需要删除重建的ACL表删除后在备配置重新构建得到相应ACL表,不需要删除重建的ACL表则直接通过内存拷贝来从主配置复制到备配置,从而减少内存资源的消耗,并在完成ACL表的更新后主配置降为备配置,备配置升为主配置,也即主配置及备配置的身份互换。另外,考虑到在一段时间内用户可能多次修改ACL列,因此本申请实施例中除了定时读取ACL列之外,如果各ACL列均有修改,则可在一次ACL表更新中同时实现相应的ACL表更新。
本发明实施例提供的一种访问控制实现方法,确定需要更新的任意ACL表为待更新ACL表之前,还可以包括:
定时或者实时检测各协议栈的ACL五元组信息是否发生变化,如果存在ACL五元组信息发生变化的任意协议栈,则确定该任意协议栈对应的ACL表为需要更新的ACL表。
为了减少资源浪费,本申请实施例中可以定时检测各协议栈的ACL列是否发生变化,而为了保证更新及时,本申请实施例中也可以实时检测各协议栈的ACL列是否发生变化,从而通过这种方式在不同场景下选择不同的检测方式,进一步满足不同场景下用户的实际需求。
本发明实施例提供的一种访问控制实现方法,还可以包括:
如果需要添加新的ACL,则确定该新的ACL为待添加ACL,如果相应协议栈的ACL中存在与待添加ACL的名称匹配的ACL,则拒绝添加待添加ACL,如果相应协议栈的ACL中不存在与待添加ACL的名称匹配的ACL,则判断相应协议栈的ACL中是否存在与待添加ACL的ACL五元组信息匹配的ACL,如果是,则拒绝添加待添加ACL,否则,将待添加ACL的名称及ACL五元组信息添加至相应协议栈;
如果需要删除任意ACL,则确定该任意ACL为待删除ACL,如果相应协议栈的ACL中存在与待删除ACL的名称匹配的ACL,则删除该与待删除ACL的名称匹配的ACL,否则,确定无需删除相应ACL。
本申请实施例在需要实现任意ACL的添加时,需要通过相应的查重操作确定是否需要实现ACL添加,而查重操作具体可以包括:比较新添加的ACL的ACL名称(ACL名称即为相应的节点名称)是否与相应协议栈的ACL列中任意ACL节点的ACL名称相同,如果是则返回失败,否则继续实现五元组信息查重;在实现五元组信息查重时,比较新添加的ACL和相应协议栈对应ACL列中各ACL的五元组信息是否匹配,如匹配则返回失败,否则实现ACL添加。另外,源目的端口和协议只需比较是否相等,而源目的IP的比较,则可以包括:当新添加ACL时备份该ACL的源目的IP掩码,然后遍历相应的ACL列,如果新添加ACL的源目的IP掩码的掩码长度大于相应ACL列中ACL(可以简称为原有ACL)的源目的IP掩码的掩码长度,则将新添加ACL和原有ACL的源目的IP各自与上(&&)原有ACL的掩码长度后再进行比较,如果不相等则代表未匹配,可以添加,否则代表匹配无需添加;如果新添加ACL的源目的IP掩码的掩码长度小于原有ACL的源目的IP掩码的掩码长度,则将新添加ACL和原有ACL的源目的IP各自与上(&&)新添加ACL的掩码长度后再进行比较,如果不相等则代表未匹配,可以添加,如果相等则代表IP冲突,退出;如果新添加ACL的源目的IP掩码的掩码长度等于原有ACL的源目的IP掩码的掩码长度,则可以按照如果新添加ACL的源目的IP掩码的掩码长度大于或者小于原有ACL的源目的IP掩码的掩码长度时的操作实现比较。而在删除ACL时仅需遍历相应的ACL列,只对ACL名称进行比对,如存在相同的名称则删除ACL列中的相应ACL,否则无需删除ACL。从而通过上述方式能够有效准确的实现ACL添加及删除时的查重操作。
另外,本申请实施例提供的访问控制实现方法可以基于DPDK框架实现。从而不仅能够实现较高的网络数据处理速度,且支持巨量的ACL添加;因此本申请能够提高设备的网络数据处理速度、减少访问控制添加时的内存消耗和提高查找访问控制表速度。并且,由于各协议栈的ACL分开存储,因此本申请中某一协议栈的ACL表发生改变时不会影响另一个协议栈的结构。
本申请基于DPDK开发的多栈协议的访问控制实现方法可以有效提高并支持ACL功能的软件运行速率,减少系统内存的消耗。
本发明实施例还提供了一种访问控制实现装置,如图2所示,可以包括:
确定模块11,用于:如果需要实现任意数据包的访问控制,则确定该任意数据包对应网络地址所属的协议栈为目标协议栈;
选取模块12,用于:从预先配置的多个ACL表中选取与目标协议栈对应的ACL表为目标ACL表;其中,ACL表为预先基于相应协议栈的ACL五元组信息按照ACL规则创建得到的;
控制模块13,用于:利用目标ACL表实现相应数据包的访问控制。
本发明实施例提供的一种访问控制实现装置,还可以包括:
配置更新模块,用于:从预先配置的多个ACL表中选取与目标协议栈对应的ACL表为目标ACL表之前,设置主配置及备配置,在主配置中创建多个ACL表,并设置主配置为激活状态,备配置为待机状态,以供从主配置中选取目标ACL表;如果需要更新ACL表,则将更新完成后各ACL表存储至备配置中,并将主配置及备配置分别更新为备配置及主配置。
本发明实施例提供的一种访问控制实现装置,配置更新模块可以包括:
更新单元,用于:如果需要更新全部ACL表,则分别基于各ACL表对应的ACL五元组信息按照ACL规则在备配置中创建相应的ACL表,否则,基于需要更新的ACL表对应的ACL五元组信息按照ACL原则在备配置中创建相应的ACL表,并将不需更新的ACL表由主配置中复制至备配置中。
本发明实施例提供的一种访问控制实现装置,更新单元可以包括:
更新子单元,用于:确定需要更新的任意ACL表为待更新ACL表,如果备配置中存在待更新ACL表,则将备配置中存在的待更新ACL表删除,并在备配置中基于待更新ACL表对应的ACL五元组信息按照ACL规则创建相应的ACL表,否则,直接在备配置中基于待更新ACL表对应的ACL五元组信息按照ACL规则创建相应的ACL表。
本发明实施例提供的一种访问控制实现装置,还可以包括:
检测模块,用于:确定需要更新的任意ACL表为待更新ACL表之前,定时或者实时检测各协议栈的ACL五元组信息是否发生变化,如果存在ACL五元组信息发生变化的任意协议栈,则确定该任意协议栈对应的ACL表为需要更新的ACL表。
本发明实施例提供的一种访问控制实现装置,还可以包括:
添加模块,用于:如果需要添加新的ACL,则确定该新的ACL为待添加ACL,如果相应协议栈的ACL中存在与待添加ACL的名称匹配的ACL,则拒绝添加待添加ACL,如果相应协议栈的ACL中不存在与待添加ACL的名称匹配的ACL,则判断相应协议栈的ACL中是否存在与待添加ACL的ACL五元组信息匹配的ACL,如果是,则拒绝添加待添加ACL,否则,将待添加ACL的名称及ACL五元组信息添加至相应协议栈;
删除模块,用于:如果需要删除任意ACL,则确定该任意ACL为待删除ACL,如果相应协议栈的ACL中存在与待删除ACL的名称匹配的ACL,则删除该与待删除ACL的名称匹配的ACL,否则,确定无需删除相应ACL。
本发明实施例提供的一种访问控制实现装置可以基于DPDK框架实现。
本发明实施例还提供了一种访问控制实现设备,可以包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上任一项访问控制实现方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可以实现如上任一项访问控制实现方法的步骤。
需要说明的是,本发明实施例提供的一种访问控制实现装置、设备及存储介质中相关部分的说明请参见本发明实施例提供的一种访问控制实现方法中对应部分的详细说明,在此不再赘述。另外本发明实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种访问控制实现方法,其特征在于,包括:
如果需要实现任意数据包的访问控制,则确定该任意数据包对应网络地址所属的协议栈为目标协议栈;
从预先配置的多个ACL表中选取与所述目标协议栈对应的ACL表为目标ACL表;其中,所述ACL表为预先基于相应协议栈的ACL五元组信息按照ACL规则创建得到的;
利用所述目标ACL表实现相应数据包的访问控制。
2.根据权利要求1所述的方法,其特征在于,从预先配置的多个ACL表中选取与所述目标协议栈对应的ACL表为目标ACL表之前,还包括:
设置主配置及备配置,在所述主配置中创建多个ACL表,并设置所述主配置为激活状态,备配置为待机状态,以供从所述主配置中选取目标ACL表;
如果需要更新ACL表,则将更新完成后各ACL表存储至所述备配置中,并将所述主配置及所述备配置分别更新为备配置及主配置。
3.根据权利要求2所述的方法,其特征在于,将更新完成后各ACL表存储至所述备配置中,包括:
如果需要更新全部ACL表,则分别基于各ACL表对应的ACL五元组信息按照ACL规则在所述备配置中创建相应的ACL表,否则,基于需要更新的ACL表对应的ACL五元组信息按照ACL原则在所述备配置中创建相应的ACL表,并将不需更新的ACL表由所述主配置中复制至所述备配置中。
4.根据权利要求3所述的方法,其特征在于,基于所述ACL表对应的ACL五元组信息按照ACL原则在所述备配置中创建相应的ACL表,包括:
确定需要更新的任意ACL表为待更新ACL表,如果所述备配置中存在所述待更新ACL表,则将所述备配置中存在的所述待更新ACL表删除,并在所述备配置中基于所述待更新ACL表对应的ACL五元组信息按照ACL规则创建相应的ACL表,否则,直接在所述备配置中基于所述待更新ACL表对应的ACL五元组信息按照ACL规则创建相应的ACL表。
5.根据权利要求4所述的方法,其特征在于,确定需要更新的任意ACL表为待更新ACL表之前,还包括:
定时或者实时检测各协议栈的ACL五元组信息是否发生变化,如果存在ACL五元组信息发生变化的任意协议栈,则确定该任意协议栈对应的ACL表为需要更新的ACL表。
6.根据权利要求5所述的方法,其特征在于,还包括:
如果需要添加新的ACL,则确定该新的ACL为待添加ACL,如果相应协议栈的ACL中存在与所述待添加ACL的名称匹配的ACL,则拒绝添加所述待添加ACL,如果相应协议栈的ACL中不存在与所述待添加ACL的名称匹配的ACL,则判断相应协议栈的ACL中是否存在与所述待添加ACL的ACL五元组信息匹配的ACL,如果是,则拒绝添加所述待添加ACL,否则,将所述待添加ACL的名称及ACL五元组信息添加至相应协议栈;
如果需要删除任意ACL,则确定该任意ACL为待删除ACL,如果相应协议栈的ACL中存在与所述待删除ACL的名称匹配的ACL,则删除该与所述待删除ACL的名称匹配的ACL,否则,确定无需删除相应ACL。
7.根据权利要求6所述的方法,其特征在于,所述访问控制实现方法基于DPDK框架实现。
8.一种访问控制实现装置,其特征在于,包括:
确定模块,用于:如果需要实现任意数据包的访问控制,则确定该任意数据包对应网络地址所属的协议栈为目标协议栈;
选取模块,用于:从预先配置的多个ACL表中选取与所述目标协议栈对应的ACL表为目标ACL表;其中,所述ACL表为预先基于相应协议栈的ACL五元组信息按照ACL规则创建得到的;
控制模块,用于:利用所述目标ACL表实现相应数据包的访问控制。
9.一种访问控制实现设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述访问控制实现方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述访问控制实现方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210017454.4A CN114363074B (zh) | 2022-01-07 | 2022-01-07 | 一种访问控制实现方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210017454.4A CN114363074B (zh) | 2022-01-07 | 2022-01-07 | 一种访问控制实现方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114363074A true CN114363074A (zh) | 2022-04-15 |
CN114363074B CN114363074B (zh) | 2024-04-16 |
Family
ID=81107500
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210017454.4A Active CN114363074B (zh) | 2022-01-07 | 2022-01-07 | 一种访问控制实现方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114363074B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024139279A1 (zh) * | 2022-12-30 | 2024-07-04 | 苏州元脑智能科技有限公司 | 访问控制列表规则配置方法、装置、电子设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104160655A (zh) * | 2011-02-23 | 2014-11-19 | 泰科消防及安全有限公司 | 用于网络上的主/从设备的自动配置的系统和方法 |
US20200089628A1 (en) * | 2018-08-10 | 2020-03-19 | Shenzhen GOODIX Technology Co., Ltd. | Soc chip and method for controlling bus access |
CN110958262A (zh) * | 2019-12-15 | 2020-04-03 | 国网山东省电力公司电力科学研究院 | 电力行业泛在物联网安全防护网关系统、方法及部署架构 |
CN111342995A (zh) * | 2020-02-03 | 2020-06-26 | 杭州迪普科技股份有限公司 | 同步装置、方法和服务器系统 |
CN111666579A (zh) * | 2020-06-18 | 2020-09-15 | 安谋科技(中国)有限公司 | 计算机设备及其访问控制方法和计算机可读介质 |
CN112311595A (zh) * | 2020-10-15 | 2021-02-02 | 烽火通信科技股份有限公司 | 一种高效访问控制链表及其实现方法 |
-
2022
- 2022-01-07 CN CN202210017454.4A patent/CN114363074B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104160655A (zh) * | 2011-02-23 | 2014-11-19 | 泰科消防及安全有限公司 | 用于网络上的主/从设备的自动配置的系统和方法 |
US20200089628A1 (en) * | 2018-08-10 | 2020-03-19 | Shenzhen GOODIX Technology Co., Ltd. | Soc chip and method for controlling bus access |
CN110958262A (zh) * | 2019-12-15 | 2020-04-03 | 国网山东省电力公司电力科学研究院 | 电力行业泛在物联网安全防护网关系统、方法及部署架构 |
CN111342995A (zh) * | 2020-02-03 | 2020-06-26 | 杭州迪普科技股份有限公司 | 同步装置、方法和服务器系统 |
CN111666579A (zh) * | 2020-06-18 | 2020-09-15 | 安谋科技(中国)有限公司 | 计算机设备及其访问控制方法和计算机可读介质 |
CN112311595A (zh) * | 2020-10-15 | 2021-02-02 | 烽火通信科技股份有限公司 | 一种高效访问控制链表及其实现方法 |
Non-Patent Citations (1)
Title |
---|
曾璎珞等: "基于系统可信度的动态安全访问控制模型", 计算机工程, no. 10, 20 May 2010 (2010-05-20) * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024139279A1 (zh) * | 2022-12-30 | 2024-07-04 | 苏州元脑智能科技有限公司 | 访问控制列表规则配置方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114363074B (zh) | 2024-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9275238B2 (en) | Method and apparatus for data security reading | |
CN109981493B (zh) | 一种用于配置虚拟机网络的方法和装置 | |
US10768941B2 (en) | Operating system management | |
EP1872216A2 (en) | System and method for detecting peer-to-peer network software | |
US20150215165A1 (en) | Management device and method of managing configuration information of network device | |
US20050234966A1 (en) | System and method for managing supply of digital content | |
WO2021197214A1 (zh) | 云平台的升级方法、装置和服务器 | |
WO2022127762A1 (zh) | 云平台及其提供的对象存储服务的桶管理方法 | |
US20240039825A1 (en) | Network switching method and apparatus, electronic device, and storage medium | |
US9330266B2 (en) | Safe data storage method and device | |
CN109144776A (zh) | 虚拟机镜像文件处理方法及装置 | |
WO2021169163A1 (zh) | 一种文件数据存取方法、装置和计算机可读存储介质 | |
CN114363074B (zh) | 一种访问控制实现方法、装置、设备及存储介质 | |
CN114710263B (zh) | 密钥管理方法、密钥管理装置、密钥管理设备及存储介质 | |
CN112491789A (zh) | 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质 | |
WO2016091027A1 (zh) | 一种网络地址转换与访问控制列表规则聚合方法和装置 | |
CN107357691B (zh) | 镜像文件的处理方法及装置 | |
JP2011522337A (ja) | サーバクラスタに配信されるコンピュータシステムのソフトウェアモジュールの同期化方法、同期化システムおよびデータストレージへの適用 | |
US11262932B2 (en) | Host-aware discovery and backup configuration for storage assets within a data protection environment | |
CN110661655B (zh) | 一种集群部署方法、系统、电子设备及存储介质 | |
US11829261B2 (en) | Providing a logical data isolation with intermittent connectivity | |
US20240305566A1 (en) | Host authentication using a non-addressable domain controller | |
US20240248968A1 (en) | Systems of and methods for managing tenant and user identity information in a multi-tenant environment | |
CN118409897A (zh) | 分布式数据库多副本恢复方法、装置、设备、存储介质及产品 | |
CN117082066A (zh) | 一种进程跨云迁移的方法、装置、设备以及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |