CN115361214A - 报文的访问控制方法、装置、设备、介质及程序 - Google Patents
报文的访问控制方法、装置、设备、介质及程序 Download PDFInfo
- Publication number
- CN115361214A CN115361214A CN202211006737.5A CN202211006737A CN115361214A CN 115361214 A CN115361214 A CN 115361214A CN 202211006737 A CN202211006737 A CN 202211006737A CN 115361214 A CN115361214 A CN 115361214A
- Authority
- CN
- China
- Prior art keywords
- message
- acl
- header
- matching
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000000605 extraction Methods 0.000 claims abstract description 67
- 238000004590 computer program Methods 0.000 claims description 23
- 230000009471 action Effects 0.000 claims description 9
- 238000004458 analytical method Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 12
- 238000007726 management method Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 7
- 238000013467 fragmentation Methods 0.000 description 5
- 238000006062 fragmentation reaction Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 101150082208 DIABLO gene Proteins 0.000 description 1
- 102100033189 Diablo IAP-binding mitochondrial protein Human genes 0.000 description 1
- MHABMANUFPZXEB-UHFFFAOYSA-N O-demethyl-aloesaponarin I Natural products O=C1C2=CC=CC(O)=C2C(=O)C2=C1C=C(O)C(C(O)=O)=C2C MHABMANUFPZXEB-UHFFFAOYSA-N 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开实施例提供了一种报文的访问控制方法、装置、计算机设备、可读存储介质及程序,涉及计算机通信技术领域。该方法包括:获取转发的报文;解析报文的报文头确定报文的报文头类型;根据报文头类型确定报文的上下文特征提取类型;根据报文的上下文特征提取类型提取报文头的关键字段;将报文头的关键字段与访问控制列表ACL组进行匹配;根据匹配结果决定转发报文或者拒绝转发报文。本公开实施例提供的方法,实现对提取的报文头的关键字段的灵活匹配。
Description
技术领域
本公开涉及计算机通信技术领域,尤其涉及一种报文的访问控制方法、装置、计算机设备、可读存储介质及程序。
背景技术
目前,在日益复杂的网络通信环境下,多网络业务的堆叠,复杂的网络报文,对业务处理和资源规划造成很大的压力。现有的报文访问控制的方法中,采用一一关联的方式,并且匹配规则存储独立,导致报文的分析管理不灵活,而且匹配规则存储碎片化。
发明内容
本公开实施例提供了一种报文的访问控制方法、装置、计算机设备、可读存储介质及程序,涉及计算机通信技术领域,将报文头的关键字段与访问控制列表ACL组进行匹配,能够实现对提取的报文头的关键字段的灵活匹配。
本公开实施例提供了一种报文的访问控制方法,其特征在于,包括:获取转发的报文;解析报文的报文头确定报文的报文头类型;根据报文头类型确定报文的上下文特征提取类型;根据报文的上下文特征提取类型提取报文头的关键字段;将报文头的关键字段与访问控制列表ACL组进行匹配;根据匹配结果决定转发报文或者拒绝转发报文。
在一个实施例中,将报文头的关键字段与访问控制列表ACL组进行匹配包括:将报文头的关键字段分别与N种ACL规则匹配;在N种ACL规则匹配结果不一致时,以N种ACL规则中优先级最高的ACL规则的匹配结果为报文头的关键字段的匹配结果,其中,N是大于等于2的整数。
在一个实施例中,将报文头的关键字段与访问控制列表ACL组进行匹配包括:根据ACL规则的区分字段分别调用存储的N种ACL规则;将报文头的关键字段分别与N种ACL规则匹配;其中,N种ACL规则中每种ACL规则均分别具有区分字段、匹配特征和执行动作,所有ACL规则中至少两种ACL规则存储在同一存储区域,其中,N是大于等于2的整数。
在一个实施例中,方法还包括:对存储的N种ACL规则进行规则更新。
在一个实施例中,解析报文的报文头确定报文的报文头类型包括:解析报文的报文头后,使用M种分类器对报文头进行分类;选取优先级最高的分类器的分类结果作为报文头的类型。
在一个实施例中,根据报文的上下文特征提取类型提取报文头的关键字段包括:使用提取模板提取报文头的关键字段;其中,不同报文头的类型对应不同的提取模板。
在一个实施例中,根据报文的上下文特征提取类型提取报文头的关键字段包括:对因为交换机层数不同而导致类型不同的报文使用相同的提取模板。
本公开实施例提供了一种报文的访问控制装置,包括:获取模块,用于获取转发的报文;解析和分类模块,用于解析报文的报文头确定报文的报文头类型;确定模块,用于根据报文头类型确定报文的上下文特征提取类型;提取模块,用于根据报文的上下文特征提取类型提取报文头的关键字段;匹配模块,用于将报文头的关键字段与访问控制列表ACL组进行匹配;执行模块,用于根据匹配结果决定转发报文或者拒绝转发报文。
本公开实施例提供了一种计算机设备,包括处理器、存储器、输入输出接口;处理器分别与存储器和输入输出接口相连,其中,输入输出接口用于接收数据及输出数据,存储器用于存储计算机程序,处理器用于调用计算机程序,以使得计算机设备执行如上实施例中任一项的方法。
本公开实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序适于由处理器加载并执行,以使得具有处理器的计算机设备执行如上实施例中任一项的方法。
本公开实施例提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如上实施例中任一项的方法。
本申请的报文的访问控制方法,通过获取转发的报文,解析报文的报文头确定报文的报文头类型,根据报文头类型确定报文的上下文特征提取类型,根据报文的上下文特征提取类型提取报文头的关键字段,将报文头的关键字段与访问控制列表ACL组进行匹配,根据匹配结果决定转发报文或者拒绝转发报文,可以实现对提取的报文头的关键字段的灵活匹配,可以提高对报文的管理效率。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了相关技术中报文访问控制的方法流程示意图;
图2是本公开实施例提供的一种报文的访问控制方法的流程图;
图3示出了本公开一个实施例的报文的访问控制装置的结构示意图;
图4示出了本公开一个实施例的报文访问控制的方法流程示意图;
图5是本公开实施例提供的一种报文的访问控制装置的结构示意图;
图6是本公开实施例提供的一种计算机设备的结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
在本公开实施例中,可以基于访问控制列表(ACL,Access Control Lists)技术,获取转发的报文;解析报文的报文头确定报文的报文头类型;根据报文头类型确定报文的上下文特征提取类型;根据报文的上下文特征提取类型提取报文头的关键字段;将报文头的关键字段与访问控制列表ACL组进行匹配;根据匹配结果决定转发报文或者拒绝转发报文,从而实现对提取的报文头的关键字段的灵活匹配,提高对报文的管理效率。
下面首先对本公开的一些术语进行说明:
访问控制列表ACL,ACL是一种基于包过滤的访问控制技术,它可以根据设定的条件对路由器或者交换机等设备的接口上的数据包进行过滤,允许数据包通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机。借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。简而言之,ACL是应用在路由器接口的指令列表,用于指示路由器哪些数据包可以收、哪些数据包需要拒绝。
报文(message)是网络中交换与传输的数据单元,即站点一次性要发送的数据块。报文包含了将要发送的完整的数据信息,其长短很不一致,长度不限且可变。通常将位于应用层的信息分组称为报文。报文在传输过程中会不断地封装成分组、包、帧来传输,封装的方式就是添加一些控制信息组成的首部,那些就是报文头。
本公开中字母组合含义如下:
ETH即Ethernet,中文含义是以太网帧头;MPLS是Multi-Protocol LabelSwitching,中文含义是多协议标签交换;IPv4是Internet Protocol version 4,中文含义是互联网协议版本4;IPv6是Internet Protocol version 6,中文含义是互联网协议版本6;BFD是Bidirectional Forwarding Detection,中文含义是双向转发检测;SRv6是Segment Routing IPv6,中文含义是基于IPv6转发平面的段路由;UDP是User DatagramProtocol,中文含义是用户数据报协议;DMAC是Destination MAC,中文含义是目的MAC地址;MAC地址是Media Access Control Address,中文含义是媒体存取控制位址;SMAC是Source MAC,中文含义是中文含义是源MAC地址;Type中文含义是类型;VLAN是VirtualLocal Area Network,中文含义是虚拟局域网;Label中文含义是标签;DIP是DestinationIP,中文含义是目的IP地址;IP是Internet Protocol,中文含义是互联网协议;SIP是Source IP,中文含义是源IP地址;Sport是souce port,中文含义是源端口;Dport是destination port,中文含义是目标端口;permit中文含义是允许;deny中文含义是拒绝。
图1示出了相关技术中报文访问控制的方法流程示意图。
图1方法流程示意图中包括报文分类模块10、上下文特征提取模块102、ACL匹配模块103和ACL存储模块104。经过解析的报文经过分类模块101分类后的每个分类类型对应特征提取模块102中唯一的特征提取类型,唯一的特征提取类型对应ACL匹配模块103中唯一的ACL匹配类型,唯一的ACL匹配类型对应ACL存储模块104中唯一的ACL存储类型,唯一的ACL存储类型中存储有唯一的ACL匹配规则。因此,图1的报文访问控制的方法中,均采用一一关联,一种报文分类只能对应一种特征提取,一种特征提取对应一种ACL匹配,并且ACL规则存储独立,报文的分析管理不灵活,而且匹配规则存储碎片化。
图2是本公开实施例提供的一种报文的访问控制方法的流程图。本公开实施例提供的方法可以由任一具有计算处理能力的电子设备执行,本公开不以此为限。
如图2所示,本公开实施例提供的方法可以包括如下步骤。
在步骤S210中,获取转发的报文。
在该步骤中,路由器或交换机的控制器可以通过接收模块获取其他设备转发的报文。
在步骤S220中,解析报文的报文头确定报文的报文头类型。
在该步骤中,路由器或交换机的控制器对接收的报文的报文头进行解析,例如解析报文头的ETH、MPLS、IPv4、IPv6、BFD、SRv6和UDP中的一个或多个;然后根据解析的报文头确定报文的报文头类型,例如报文的报文头类型为ETH+MPLS、ETH+IPv4、ETH+IPv6、ETH+MPLS+IPv4、ETH+IPv6+SRv6、和ETH+IPv4+UDP的分类中的一种或多种。
在步骤S230中,根据报文头类型确定报文的上下文特征提取类型。
在该步骤中,路由器或交换机的控制器根据报文头类型,例如ETH+MPLS类型,来确定报文的上下文特征提取类型,例如上下文特征提取类型为DIP+SIP+Type+Dport+Sport。
在步骤S240中,根据报文的上下文特征提取类型提取报文头的关键字段。
在该步骤中,路由器或交换机的控制器根据报文的上下文特征提取类型,例如DIP+SIP+Type+Dport+Sport,提取报文头的与DIP+SIP+Type+Dport+Sport对应的关键字段(特征)。
在步骤S250中,将报文头的关键字段与访问控制列表ACL组进行匹配。
在该步骤中,路由器或交换机的控制器将报文头的关键字段,例如DIP:xx.xx.xx.xx、SIP:xx.xx.xx.xx、Type:xxxx、Dport:xxxx和Sport:xxxx与访问控制列表ACL组进行匹配,其中,xx仅用于替代表示有关的内容,并不是代表具体内容。其中,与访问控制列表ACL组进行匹配可以表示将报文头的关键字段发送至多个(多于2个)ACL匹配类型(规则)进行匹配。
在一个实施例中,可以例如将报文头的关键字段分别与N种ACL规则匹配,在N种ACL规则匹配结果不一致时,以N种ACL规则中优先级最高的ACL规则的匹配结果为报文头的关键字段的匹配结果。在进行规则匹配时,路由器或交换机的控制器可以到存储模块的存储区域根据ACL规则的区分字段分别调用存储的N种ACL规则,其中ACL规则中每种ACL规则均分别具有区分字段、匹配特征和执行动作,所有ACL规则中至少两种ACL规则存储在同一存储区域。通过给ACL规则设置区分字段可以将不同ACL规则集中存储在同一个存储模块的存储单元中,实现ACL规则的相对集中的存储,避免ACL规则存储的碎片化。
在步骤S260中,根据匹配结果决定转发报文或者拒绝转发报文。
在该步骤中,路由器或交换机的控制器根据匹配结果决定转发报文或者拒绝转发报文。例如,报文头的关键字段与访问控制列表ACL组进行匹配为通过时,执行允许接收报文动作;报文头的关键字段与访问控制列表ACL组进行匹配为不通过时,执行拒绝报文接收动作。
本公开图2的实施例,通过获取转发的报文,解析报文的报文头确定报文的报文头类型,根据报文头类型确定报文的上下文特征提取类型,根据报文的上下文特征提取类型提取报文头的关键字段,将报文头的关键字段与访问控制列表ACL组进行匹配,根据匹配结果决定转发报文或者拒绝转发报文,可以实现对提取的报文头的关键字段的灵活匹配,可以提高对报文的管理效率。
图3示出了本公开一个实施例的报文的访问控制装置300的结构示意图。图3的装置可以用于执行图2中的报文的访问控制方法。
参考图3,报文的访问控制装置300包括报文解析模块301、报文分类模块302、上下文特征提取模块303、ACL匹配模块304、结果执行模块305、ACL规则存储模块306和ACL规则下发模块307。
其中,报文解析模块301用于对获取转发的报文的报文头进行解析,解析报文的报文头所包括的报文头的ETH、MPLS、IPv4、IPv6、BFD、SRv6和UDP中的一个或多个。报文分类模块302用于根据报文头解析的结果,确定报文的报文头类型属于ETH+MPLS、ETH+IPv4、ETH+IPv6、ETH+MPLS+IPv4、ETH+IPv6+SRv6、和ETH+IPv4+UDP的分类中的一种或多种。上下文特征提取模块303用于根据报文头的分类结果,选择上下文(提取模板)提取报文头的关键字段(特征),其中,不同报文头的类型对应不同的提取模板。ACL匹配模块304可以包括多个ACL匹配类型,每个ACL匹配对应不同的ACL匹配规则,用于将报文头的关键字段与ACL匹配规则进行匹配。ACL匹配模块304在进行匹配时,可以到ACL规则存储模块306查询对应的ACL匹配规则。ACL规则存储模块306中存储着不同的ACL匹配规则,图3仅示出了一个实施例的ACL规则,但实际可以具有多个。每种ACL规则均分别具有区分字段、匹配特征和执行动作,区分字段存储在剩余空间中,用于区分不同ACL规则和用于ACL匹配模块304调用。ACL规则存储模块306可以包括一个或多个存储单元,每个存储单元中存储着多个ACL规则。ACL规则下发模块307用于对ACL规则存储模块306中的ACL规则进行更新或者更改参数。
图3的报文的访问控制装置,通过报文解析模块对获取转发的报文的报文头进行解析,报文分类模块根据报文头解析的结果,确定报文的报文头类型,上下文特征提取模块根据报文头的分类结果,选择上下文(提取模板)提取报文头的关键字段,ACL匹配模块将报文头的关键字段与一个或者多个ACL匹配规则进行匹配,ACL规则存储模块包括一个或多个存储单元,每个存储单元中存储着多个ACL规则,从而实现对提取的报文头的关键字段的灵活匹配,可以提高对报文的管理效率,还实现了多个ACL规则集中存储,避免存储空间的碎片化。
图4示出了本公开一个实施例的报文访问控制的方法流程示意图。图4的方法流程可以与图2中的报文的访问控制方法对应。
图4的实施例中,包括分类模块401、上下文特征提取模块402、ACL匹配模块403和ACL规则存储模块404,其中,每个模块都包括多个类型。
经过解析的报文的报文头,可以使用分类模块401中的多种分类器(类型)对报文头进行分类,然后选取优先级最高的分类类型的分类结果作为报文头的分类类型。例如,Eth+IPV6报文如果走二层转发,会命中转发头是ETH+ipv6的分类器,如果走三层转发,则命中转发头是eth+IPV6的分类器,从而达到不同业务报文的精准分类处理,提升处理效率;其中,大写表示转发头,转发头是转发芯片或控制器根据报文的具体哪个头部确认转发行为。
上下文特征提取模块402也可以构造多种特征提取类型。不同的报文分类类型,相应字段的位置、长度、偏移不同,对应不同的上下文特征提取类型,以此来达到精准特征(关键字段)提取。对因为交换机层数不同而导致类型不同的报文可以使用相同的提取模板。例如,Eth+IPV6报文可能会命中两种报文类型分类器,但是报文结构是一样的,可以用同一个上下文特征提取类型(例如特征提取3)来提取报文特征。
ACL匹配模块403也可以构造多种匹配类型,比如二层ACL,三层ACL,MPLS ACL。不同的ACL规则匹配,需要不同的ACL匹配类型来执行。例如,Eth+IPV6报文经过特征提取后,可能执行二层ACL或者三层ACL的匹配,一个特征提取类型和两个ACL匹配类型关联,灵活实现匹配。图4中,特征提取类型提取的特征可以发送至多个ACL匹配类型(ACL组),例如,上下文特征提取类型2发送至ACL匹配2和ACL匹配3;上下文特征提取类型3发送至ACL匹配2,ACL匹配3和ACL匹配n;若ACL规则匹配结果不一致时,以ACL规则中优先级最高的ACL规则的匹配结果为报文头的关键字段的匹配结果。从而实现对提取的报文头的关键字段的灵活匹配,可以提高对报文的管理效率。
ACL规则存储模块404可以划分多个存储块(类型),来存储不同的ACL规则,每个存储块可以存储多个ACL规则,便于ACL规则下发模块的管理和ACL规则匹配模块的查询。图4中,仅示出一个存储块(例如ACL存储1)只对应一个ACL匹配规则,但是实际应用中,ACL存储1可以存储多个ACL规则,不同的ACL规则通过在剩余空间存储的区分字段来进行区分,从而实现不同规则存储模块可以共用空间,节约资源并避免出现资源碎片化。ACL存储块中存储的ACL规则可以由剩余字段、匹配特征和执行动作组成,剩余字段可以从最高比特开始使用,来区分不同ACL匹配规则对应的ACL存储块。例如,一个存储块由320bits组成,匹配特征和动作使用318bits,剩余2bits,则该ACL存储块可以被4个ACL匹配模块使用,因为两个字节可以是11、10、01、00的组合,该ACL存储块可以存储4个匹配规则。
图4的实施例,通过多个分类类型可以对应一个特征提取类型,一个特征提取类型可以对应多个ACL匹配类型,ACL存储类型中可以存储多个ACL匹配规则,可以实现对提取的报文头的关键字段的灵活匹配,可以提高对报文的管理效率,也可以实现不同规则存储模块共用空间,节约资源并避免出现资源碎片化。
图5是本公开实施例提供的一种报文的访问控制装置的结构示意图。
如图5所示,本公开实施例提供的报文的访问控制装置500可以包括:
获取模块510,用于获取转发的报文。
解析和分类模块520,用于解析报文的报文头确定报文的报文头类型。
确定模块530,用于根据报文头类型确定报文的上下文特征提取类型。
提取模块540,用于根据报文的上下文特征提取类型提取报文头的关键字段。
匹配模块550,用于将报文头的关键字段与访问控制列表ACL组进行匹配。
执行模块560,用于根据匹配结果决定转发报文或者拒绝转发报文。
图5所示的报文的访问控制装置,通过获取模块获取转发的报文,解析和分类模块解析报文的报文头确定报文的报文头类型,确定模块根据报文头类型确定报文的上下文特征提取类型,提取模块根据报文的上下文特征提取类型提取报文头的关键字段,匹配模块将报文头的关键字段与访问控制列表ACL组进行匹配,执行模块根据匹配结果决定转发报文或者拒绝转发报文,可以实现对提取的报文头的关键字段的灵活匹配,可以提高对报文的管理效率。
在一个实施例中,匹配模块550还用于将报文头的关键字段分别与N种ACL规则匹配;在N种ACL规则匹配结果不一致时,以N种ACL规则中优先级最高的ACL规则的匹配结果为报文头的关键字段的匹配结果,其中,N是大于等于2的整数。
在一个实施例中,匹配模块550还用于根据ACL规则的区分字段分别调用存储的N种ACL规则;将报文头的关键字段分别与N种ACL规则匹配;其中,N种ACL规则中每种ACL规则均分别具有区分字段、匹配特征和执行动作,所有ACL规则中至少两种ACL规则存储在同一存储区域,其中,N是大于等于2的整数。
在一个实施例中,访问控制装置500还包括ACL规则更新模块,用于对存储的N种ACL规则进行规则更新。
在一个实施例中,解析和分类模块520还用于解析报文的报文头后,使用M种分类器对报文头进行分类;选取优先级最高的分类器的分类结果作为报文头的类型。
在一个实施例中,提取模块540还用于使用提取模板提取报文头的关键字段;其中,不同报文头的类型对应不同的提取模板。
在一个实施例中,提取模块540还用于对因为交换机层数不同而导致类型不同的报文使用相同的提取模板。
参见图6,图6是本公开实施例提供的一种计算机设备600的结构示意图。如图6所示,本公开实施例中的计算机设备可以包括:一个或多个处理器601、存储器602和输入输出接口603。该处理器601、存储器602和输入输出接口603通过总线604连接。存储器602用于存储计算机程序,该计算机程序包括程序指令,输入输出接口603用于接收数据及输出数据,如用于宿主机与计算机设备之间进行数据交互,或者用于在宿主机中的各个虚拟机之间进行数据交互;处理器601用于执行存储器602存储的程序指令。
其中,该处理器601可以执行如下操作:
获取转发的报文;解析报文的报文头确定报文的报文头类型;根据报文头类型确定报文的上下文特征提取类型;根据报文的上下文特征提取类型提取报文头的关键字段;将报文头的关键字段与访问控制列表ACL组进行匹配;根据匹配结果决定转发报文或者拒绝转发报文。
在一些可行的实施方式中,该处理器601可以是中央处理单元(centralprocessing unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(digitalsignal processor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field-programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
该存储器602可以包括只读存储器和随机存取存储器,并向处理器601和输入输出接口603提供指令和数据。存储器602的一部分还可以包括非易失性随机存取存储器。例如,存储器602还可以存储设备类型的信息。
具体实现中,该计算机设备可通过其内置的各个功能模块执行如上述实施例中各个步骤所提供的实现方式,具体可参见上述实施例中各个步骤所提供的实现方式,在此不再赘述。
本公开实施例通过提供一种计算机设备,包括:处理器、输入输出接口、存储器,通过处理器获取存储器中的计算机程序,执行上述实施例中所示方法的各个步骤,进行传输操作。
本公开实施例还提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序适于由该处理器加载并执行上述实施例中各个步骤所提供的方法,具体可参见上述实施例中各个步骤所提供的实现方式,在此不再赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本公开所涉及的计算机可读存储介质实施例中未披露的技术细节,请参照本公开方法实施例的描述。作为示例,计算机程序可被部署为在一个计算机设备上执行,或者在位于一个地点的多个计算机设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算机设备上执行。
该计算机可读存储介质可以是前述任一实施例提供的装置或者该计算机设备的内部存储单元,例如计算机设备的硬盘或内存。该计算机可读存储介质也可以是该计算机设备的外部存储设备,例如该计算机设备上配备的插接式硬盘,智能存储卡(smart mediacard,SMC),安全数字(secure digital,SD)卡,闪存卡(flash card)等。进一步地,该计算机可读存储介质还可以既包括该计算机设备的内部存储单元也包括外部存储设备。该计算机可读存储介质用于存储该计算机程序以及该计算机设备所需的其他程序和数据。该计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本公开实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例中的各种可选方式中所提供的方法。
本公开实施例的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别不同对象,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或模块,而是可选地还包括没有列出的步骤或模块,或可选地还包括对于这些过程、方法、装置、产品或设备固有的其他步骤单元。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在该说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本公开的范围。
本公开实施例提供的方法及相关装置是参照本公开实施例提供的方法流程图和/或结构示意图来描述的,具体可由计算机程序指令实现方法流程图和/或结构示意图的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。这些计算机程序指令可提供到通用计算机、专用计算机、嵌入式处理机或其他可编程传输设备的处理器以产生一个机器,使得通过计算机或其他可编程传输设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或结构示意图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程传输设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或结构示意图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程传输设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或结构示意一个方框或多个方框中指定的功能的步骤。
以上所揭露的仅为本公开较佳实施例而已,当然不能以此来限定本公开之权利范围,因此依本公开权利要求所作的等同变化,仍属本公开所涵盖的范围。
Claims (11)
1.一种报文的访问控制方法,其特征在于,包括:
获取转发的报文;
解析所述报文的报文头确定所述报文的报文头类型;
根据所述报文头类型确定所述报文的上下文特征提取类型;
根据所述报文的上下文特征提取类型提取所述报文头的关键字段;
将所述报文头的关键字段与访问控制列表ACL组进行匹配;
根据匹配结果决定转发所述报文或者拒绝转发所述报文。
2.根据权利要求1所述的方法,其特征在于,将所述报文头的关键字段与访问控制列表ACL组进行匹配包括:
将所述报文头的关键字段分别与N种ACL规则匹配;
在N种ACL规则匹配结果不一致时,以N种ACL规则中优先级最高的ACL规则的匹配结果为所述报文头的关键字段的匹配结果,其中,N是大于等于2的整数。
3.根据权利要求1所述的方法,其特征在于,将所述报文头的关键字段与访问控制列表ACL组进行匹配包括:
根据ACL规则的区分字段分别调用存储的N种ACL规则;
将所述报文头的关键字段分别与N种ACL规则匹配;
其中,N种ACL规则中每种ACL规则均分别具有区分字段、匹配特征和执行动作,所有ACL规则中至少两种ACL规则存储在同一存储区域,其中,N是大于等于2的整数。
4.根据权利要求3所述的方法,其特征在于,还包括:
对存储的N种ACL规则进行规则更新。
5.根据权利要求1所述的方法,其特征在于,解析所述报文的报文头确定所述报文的报文头类型包括:
解析所述报文的报文头后,使用M种分类器对所述报文头进行分类;
选取优先级最高的分类器的分类结果作为所述报文头的类型。
6.根据权利要求1所述的方法,其特征在于,根据所述报文的上下文特征提取类型提取所述报文头的关键字段包括:
使用提取模板提取所述报文头的关键字段;
其中,不同所述报文头的类型对应不同的所述提取模板。
7.根据权利要求6所述的方法,其特征在于,根据所述报文的上下文特征提取类型提取所述报文头的关键字段包括:
对因为交换机层数不同而导致类型不同的所述报文使用相同的所述提取模板。
8.一种报文的访问控制装置,其特征在于,包括:
获取模块,用于获取转发的报文;
解析和分类模块,用于解析所述报文的报文头确定所述报文的报文头类型;
确定模块,用于根据所述报文头类型确定所述报文的上下文特征提取类型;
提取模块,用于根据所述报文的上下文特征提取类型提取所述报文头的关键字段;
匹配模块,用于将所述报文头的关键字段与访问控制列表ACL组进行匹配;
执行模块,用于根据匹配结果决定转发所述报文或者拒绝转发所述报文。
9.计算机设备,其特征在于,包括处理器、存储器、输入输出接口;
所述处理器分别与所述存储器和所述输入输出接口相连,其中,所述输入输出接口用于接收数据及输出数据,所述存储器用于存储计算机程序,所述处理器用于调用所述计算机程序,以使得所述计算机设备执行权利要求1-7任一项所述的方法。
10.计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序适于由处理器加载并执行,以使得具有所述处理器的计算机设备执行权利要求1-7任一项所述的方法。
11.计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211006737.5A CN115361214A (zh) | 2022-08-22 | 2022-08-22 | 报文的访问控制方法、装置、设备、介质及程序 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211006737.5A CN115361214A (zh) | 2022-08-22 | 2022-08-22 | 报文的访问控制方法、装置、设备、介质及程序 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115361214A true CN115361214A (zh) | 2022-11-18 |
Family
ID=84002290
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211006737.5A Pending CN115361214A (zh) | 2022-08-22 | 2022-08-22 | 报文的访问控制方法、装置、设备、介质及程序 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115361214A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841474A (zh) * | 2010-04-15 | 2010-09-22 | 华为技术有限公司 | 访问控制列表的实现装置 |
| WO2015131717A1 (zh) * | 2014-10-09 | 2015-09-11 | 中兴通讯股份有限公司 | 一种网络设备的访问控制列表管理方法和装置 |
| CN106487769A (zh) * | 2015-09-01 | 2017-03-08 | 深圳市中兴微电子技术有限公司 | 一种访问控制列表acl的实现方法及装置 |
| CN114760108A (zh) * | 2022-03-22 | 2022-07-15 | 杭州迪普科技股份有限公司 | 报文匹配方法及装置 |
-
2022
- 2022-08-22 CN CN202211006737.5A patent/CN115361214A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841474A (zh) * | 2010-04-15 | 2010-09-22 | 华为技术有限公司 | 访问控制列表的实现装置 |
| WO2015131717A1 (zh) * | 2014-10-09 | 2015-09-11 | 中兴通讯股份有限公司 | 一种网络设备的访问控制列表管理方法和装置 |
| CN106487769A (zh) * | 2015-09-01 | 2017-03-08 | 深圳市中兴微电子技术有限公司 | 一种访问控制列表acl的实现方法及装置 |
| CN114760108A (zh) * | 2022-03-22 | 2022-07-15 | 杭州迪普科技股份有限公司 | 报文匹配方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3896932B1 (en) | Message processing method and network device | |
| US20220103477A1 (en) | Packet processing method for implementing qos guarantee, device, and system | |
| CN107819663B (zh) | 一种实现虚拟网络功能服务链的方法和装置 | |
| US20160301603A1 (en) | Integrated routing method based on software-defined network and system thereof | |
| US11374858B2 (en) | Methods and systems for directing traffic flows based on traffic flow classifications | |
| US7408957B2 (en) | Selective header field dispatch in a network processing system | |
| US9154418B1 (en) | Efficient packet classification in a network device | |
| US11909668B2 (en) | Programmable packet data processing system | |
| CN104618244A (zh) | 一种sdn网络与传统ip网络互通的方法及系统 | |
| US11818022B2 (en) | Methods and systems for classifying traffic flows based on packet processing metadata | |
| US20180367431A1 (en) | Heavy network flow detection method and software-defined networking switch | |
| EP3783837B1 (en) | Service fault locating method and apparatus | |
| CN108737217B (zh) | 一种抓包方法及装置 | |
| CN112437009B (zh) | SRv6端到端流策略的方法、路由器、路由系统和存储介质 | |
| CN100574312C (zh) | 分析数据分组的分析器 | |
| WO2019108102A1 (en) | Packet value based packet processing | |
| US20230362053A1 (en) | Network configuration sending method and apparatus, storage medium, and electronic device | |
| CN112702254A (zh) | 报文处理方法、装置及电子设备 | |
| CN115361214A (zh) | 报文的访问控制方法、装置、设备、介质及程序 | |
| US10284426B2 (en) | Method and apparatus for processing service node ability, service classifier and service controller | |
| CN115001831A (zh) | 基于恶意行为知识库动态部署网络安全服务的方法及系统 | |
| CN111092772B (zh) | 一种网络业务处理方法、装置及系统 | |
| CN116192463B (zh) | 一种数据过滤方法、装置、电子设备及存储介质 | |
| RU2795295C1 (ru) | Способ фильтрации сетевого трафика на основе правил с маской при пакетной коммутации | |
| CN116192777B (zh) | 路径学习方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |