TWI587149B - 管理存取控制清單的裝置、執行裝置以及方法 - Google Patents
管理存取控制清單的裝置、執行裝置以及方法 Download PDFInfo
- Publication number
- TWI587149B TWI587149B TW101122780A TW101122780A TWI587149B TW I587149 B TWI587149 B TW I587149B TW 101122780 A TW101122780 A TW 101122780A TW 101122780 A TW101122780 A TW 101122780A TW I587149 B TWI587149 B TW I587149B
- Authority
- TW
- Taiwan
- Prior art keywords
- rule information
- access control
- command
- control list
- index position
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Warehouses Or Storage Devices (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本發明係關於一種管理/維護存取控制清單的機制,尤指一種用來管理網路設備中之存取控制清單的裝置、執行裝置及相對應的方法。
目前來說,存取控制清單(Access Control List,ACL)是網絡設備的重用組成部分,網絡設備通常利用存取控制清單來對數據流進行分類,並根據類別有針對性的處理封包。此外,存取控制清單中的各條規則資訊之間可能是順序相關的,換句話說,規則資訊A排在規則資訊B之前的狀況,與規則資訊A排在規則資訊B之後的情況,代表著同一筆資料封包有不同的處理結果。而隨著網絡應用的日益豐富,要求網絡設備需能夠更精細得對數據流進行處理,導致網絡設備所要處理之存取控制清單中的規則資訊條目也日益增多,使得如果存取控制清單中的規則資訊之管理與維護皆由處理器來進行,則將導致整體系統的效能大幅下降,此外,處理器亦另負有處理其他軟體運作的工作任務,因此,如果係由處理器來進行存取控制清單的管理與維護,則實無法滿足目前網路設備的需求。
因此,本發明的目的之一在於提供一種用來管理存取控制清單
的執行裝置、裝置及相關的方法,以解決上述習知技術的問題。
根據本發明的實施例,其係揭露一種管理存取控制清單(Access Control List,ACL)的執行裝置。該執行裝置耦接至主控單元,以及該執行裝置係用以接收主控單元所發送過來的一特定命令、依據所接收之特定命令,管理存取控制清單之複數規則資訊(rule information),其中存取控制清單係儲存於一儲存電路中。
根據本發明的實施例,其另揭露一種管理存取控制清單的方法。該方法包含有:從一主控單元發送一特定命令至一執行裝置;使用該執行裝置來接收該特定命令;根據該特定命令,使用該執行硬體來管理該存取控制清單的複數條規則資訊,其中該存取控制清單係儲存於一儲存電路中。
根據本發明的實施例,其另揭露一種管理存取控制清單的裝置。該裝置包含有儲存電路、主控單元與執行裝置,儲存電路係用以儲存存取控制清單,主控單元係用以發送特定命令,以及執行裝置係耦接至儲存電路與主控單元之間並用以依據特定命令來管理該儲存電路所儲存的存取控制清單,其中主控單元係發送該特定命令至該執行裝置,以使用該執行裝置來管理該儲存電路所儲存之該存取控制清單。
請參照第1圖,第1圖是本發明一實施例之用以加速維護網路設備中一存取控制清單(Access Control List,ACL)的裝置100之示意圖。如第1圖所示,裝置100包含有一主控單元105、一執行裝置110、一儲存電路115及一儲存元件120,其中主控單元105實作上例如係為一微控制單元(Micro control unit,MCU),然此並非本發明的限制,主控單元105亦可以是一處理器。執行裝置110係以硬體來實現之,也就是一執行硬體,該執行硬體例如係利用數位邏輯電路的方式來實現。儲存電路115係用以儲存一存取控制清單,該存取控制清單包含有多個條目位置(entry position),每一條目位置係對應於一索引位置(index position)及一規則資訊(或稱為條件資訊),其中索引位置係代表相對應之規則資訊的優先權,在本發明之實施例中,索引位置值愈小者,代表其優先權愈高,舉例來說,索引位置為1的規則資訊‘a’之優先權係高於索引位置為2的規則資訊‘b’之優先權,其他則依此類推。此外,索引位置亦可以代表一規則資訊在儲存電路115中的儲存位址,換言之,多個連續索引位置(例如索引位置1~3)代表相對應的規則資訊(例如規則資訊‘a’~‘c’)係儲存於連續的儲存位址空間,而不連續的兩群索引位置則代表了不連續的儲存位址空間;需注意的是,上述實施例僅是本發明的其中一種實作方式,並非是本發明的限制。而對規則資訊的權先權來說,當網路設備中的資料或資料流量同時滿足兩個以上的規則資訊,則該資料或資料流量的處理方式係決定為以具有最高優先權的規則資訊進行處理;此外,每一規則資訊包含有多個欄位,例如條件欄位、動作欄位及運作欄位等等,因此,在本發明的實施例,管
理存取控制清單中的規則資訊係交由執行裝置110來進行,對主控單元105來說,僅需發送一特定命令至執行裝置110,以告知執行裝置110此時進行何種管理命令即可,主控單元105不需耗費資源來存取儲存電路115中的存取控制清單之資訊,存取儲存電路115中存取控制清單之資訊的操作係交由執行裝置110來完成。因此,當主控單元105發送一特定命令至執行裝置110時,執行裝置110係分析所接收到的特定命令,並根據分析的結果來維護該存取控制清單,由於主控單元105不需實際存取該存取控制清單中所對應之規則資訊,將不會耗費大量的軟體資源,所以可大幅提升維護該存取控制清單的效能。需注意的是,在其他實施例中,主控單元105亦可進行簡單運算之後,將運算的結果發送至執行裝置110,再由執行裝置110實際存取儲存電路105中的存取控制清單之資訊,達到管理該存取控制清單的效果。換言之,當產生該特定命令時,部分的軟體運算可由主控單元105完成,而其他部分的硬體運作則由執行裝置110來完成。
具體來說,執行裝置110係電性耦接至主控單元105並用以接收主控單元105所發送過來的一特定命令,以及用以分析該接收的特定命令並根據所接收的特定命令來管理該存取控制清單中的複數個規則資訊(儲存於儲存電路115中)。儲存元件120係以靜態隨機存取記憶體(Static Random Access Memory,SRAM)來實現,用以儲存部分的規則資訊,然此並非是本發明的限制;在其他實施例中,儲存元件120也可以利用其他儲存元件來實現,例如利用動態隨機
存取記憶體〈Dynamic Random Access Memory,DRAM〉、同步動態隨機存取記憶體〈Synchronous Dynamic Random Access Memory,SDRAM〉、雙倍數據率同步動態隨機存取記憶體(Double Data Rate Synchronous Dynamic Random Access Memory,DDR SDRAM)或硬體內部的暫存器或記憶元件來實現之。當需要維護或管理該存取控制清單時,主控單元105向執行裝置110發出指令,執行裝置110係解析主控單元105發出的指令,並決定對該存取控制清單之規則資訊進行維護的方式,進而自動化地對規則資訊進行搬移、清除或交換等動作。而在完成上述的搬移、清除或交換等動作之後,執行裝置110係可透過一中斷訊號來主動告知主控單元105,或者在另一實施方式中,執行裝置110可以設定一狀態標誌(或狀態旗標)的狀態,供主控單元105自行查詢。由於執行裝置110可完全負責規則資訊的維護操作,降低了主控單元105的負擔,提高了系統的整體性能。另外,上述的特定命令係包含有一添加命令、一插入命令、一搬移命令、一刪除命令、一交換命令、一排序命令及上述複數命令的任意組合。以下分別對不同類型的命令作詳細的說明。
當對該存取控制清單的規則資訊進行搬移時,主控單元105係計算需要搬移之規則資訊的索引位置及數目,所需要搬移的規則資訊可以是複數筆或是一筆,在計算出索引位置及數目後,主控單元105發出搬移命令至執行裝置110,而該搬移命令係指示出所指定進行搬移的索引位置及規則資訊的數目,具體來說,該搬移命令在實現時可以指示出起始的索引位置、目標的索引位置以及進行搬移的
規則資訊數目,當執行裝置110接收到搬移命令時,執行裝置110根據該搬移命令指示的起始索引位置與搬移數目可計算出一起始的索引區域,而根據該搬移命令指示的目標索引位置與搬移數目可計算出一目標的索引區域,因此,執行裝置110可依索引位置的順序進行規則資訊的搬移。此外,由於主控單元105僅需負責計算出搬移的起始索引位置、目標索引位置和搬移的規則資訊之數目,其餘的運算工作皆由執行裝置110來完成,因此主控單元105可以繼續執行其他的任務。
此外,在另一實施例中,該搬移命令可指示出來源起始位置、來源結束位置與目標起始位置,其中來源起始位置與來源結束位置分別定義出規則資訊搬移之前的儲存區段〈例如搬移之前第一筆規則資訊儲存在來源起始位置,而最後一筆規則資訊儲存在來源結束位置〉,而目標起始位置則是規則資訊搬移之後第一筆規則資訊預計的儲存位置,藉由來源起始位置、來源結束位置與目標起始位置,執行裝置110可計算出一目標結束位置,其中該目標結束位置是規則資訊搬移之後最後一筆規則資訊預計的儲存位置,因此,根據來源起始位置、來源結束位置與目標起始位置,執行裝置110可依順序從該存取控制清單中之該來源起始位置與來源結束位置所定義的儲存空間,將至少一規則資訊搬移至該存取控制清單中該目標起始位置與目標結束位置所定義的儲存空間,進行並完成規則資訊的搬移。另外,在其他的實施例中,該搬移命令可指示出來源起始位置、目標起始位置與目標結束位置,其中來源起始位置與目標起始位置
分別定義出規則資訊搬移之前第一筆規則資訊儲存的位置以及規則資訊搬移之後第一筆規則資訊儲存的位置,而目標結束位置則是規則資訊搬移之後最後一筆規則資訊預計的儲存位置,藉由來源起始位置、目標起始位置與目標結束位置,執行裝置110可計算出一來源結束位置,其中該來源結束位置是規則資訊搬移之前最後一筆規則資訊的儲存位置,因此,根據來源起始位置、目標起始位置與目標結束位置,執行裝置110可依順序從該存取控制清單中之該來源起始位置與來源結束位置所定義的儲存空間,將至少一規則資訊搬移至該存取控制清單中該目標起始位置與目標結束位置所定義的儲存空間,進行並完成規則資訊的搬移。
請參照第2A圖,第2A圖是第1圖所示之執行裝置110進行規則資訊搬移的一實施例示意圖。如第2A圖所示,目前儲存電路115所儲存之存取控制清單係包含有六筆規則資訊‘a’至‘f’,該些規則資訊分別儲存在索引位置1~索引位置6。主控單元105發送一搬移命令至執行裝置110,該搬移命令指示出起始索引位置係為索引位置1、目標索引位置係為索引位置5以及搬移的規則資訊係為六筆,依據該搬移命令的資訊,執行裝置110可計算出規則資訊的搬移係將索引位置1~索引位置6所形成之起始索引區域的規則資訊搬移至索引位置5~索引位置10所形成的目標索引區域。而在搬移之前,為了避免規則資訊的數據被覆蓋,如果目標索引位置的值(例如索引位置5)大於起始索引位置的值(例如索引位置1),則執行裝置110係從起始索引區域中最後一筆規則資訊依照由後往前的順序將規則
資訊依序搬移至目標索引區域,以本例來說,執行裝置110係先將索引位置6所對應之規則資訊‘f’(最後一筆的規則資訊)搬移至索引位置10的儲存空間,接著將索引位置5所對應之規則資訊‘e’搬移至索引位置9的儲存空間,接著將索引位置4所對應之規則資訊‘d’搬移至索引位置8的儲存空間,其他依此類推,最後將索引位置1所對應之規則資訊‘a’搬移至索引位置5的儲存空間,完成規則資訊的搬移。
反之,如果一目標索引位置的值小於一起始索引位置的值,則執行裝置110係從起始索引區域中最前一筆規則資訊依照由前往後的順序將規則資訊依序搬移至目標索引區域,請參照第2B圖,第2B圖是第1圖所示之執行裝置110進行規則資訊搬移的另一實施例示意圖。如第2B圖所示,目前儲存電路115所儲存之存取控制清單係包含有六筆規則資訊‘a’至‘f’,該些規則資訊分別儲存在索引位置1~索引位置6。主控單元105發送一搬移命令至執行裝置110,該搬移命令指示出起始索引位置係為索引位置1、目標索引位置係為索引位置0以及搬移的規則資訊係為六筆,依據該搬移命令的資訊,執行裝置110可計算出規則資訊的搬移係將索引位置1~索引位置6所形成之起始索引區域的規則資訊搬移至索引位置0~索引位置5所形成的目標索引區域。而在搬移之前,為了避免規則資訊的數據被覆蓋,當目標索引位置的值(例如索引位置0)小於起始索引位置的值(例如索引位置1),執行裝置110係先將索引位置1所對應之規則資訊‘a’(最前一筆的規則資訊)搬移至索引位置0的儲存
空間,接著將索引位置2所對應之規則資訊‘b’搬移至索引位置1的儲存空間,接著將索引位置3所對應之規則資訊‘c’搬移至索引位置2的儲存空間,依此類推,最後將索引位置6所對應之規則資訊‘d’搬移至索引位置5的儲存空間,完成規則資訊的搬移。亦即,從起始索引區域中最前一筆規則資訊依照由前往後的順序將規則資訊依序搬移至目標索引區域。
另外,執行裝置110亦可用來進行智能型的規則資訊搬移。執行裝置110對存取控制清單中目前之規則資訊的內容進行分析,得到一分析結果,並根據該分析結果來搬移規則資訊,使具有相似內容的規則資訊在搬移之後可以位於鄰近的索引位置,方便執行裝置110後續的讀取或寫入。舉例來說,規則資訊的內容可以包含有一條件欄位、動作欄位及運作欄位等,執行裝置110可對不同的欄位或僅針對某一欄位進行分析來得到分析結果,以根據該分析結果來進行規則資訊的搬移。此外,為了使讀者更能了解本發明之實施例中上述規則資訊的搬移運作方式,第2C圖係繪示了第1圖所示之執行裝置110進行規則資訊之搬移的操作流程示意圖。倘若大體上可達到相同的結果,並不需要一定照第2C圖所示之流程中的步驟順序來進行,且第2C圖所示之步驟不一定要連續進行,亦即其他步驟亦可插入其中。為避免篇幅過於冗長,詳細的流程步驟說明請搭配參照第2C圖的步驟說明及前段關於規則資訊之搬移的操作說明,於此不另贅述。
當對該存取控制清單添加或插入一筆或多筆的規則資訊時,主控單元105發出添加命令或插入命令至執行裝置110,由執行裝置110藉由分析添加命令或插入命令來決定規則資訊所對應添加的索引位置或插入的索引位置。換言之,主控單元105僅需告知必要的訊息(例如所添加或插入的規則資訊之儲存位址),由執行裝置110根據所添加或插入的規則資訊的內容以及目前存取控制清單中的規則資訊內容,自行分析並決定對應添加的索引位置或插入的索引位置。換言之,主控單元105的部分計算或運算的功能可交由執行裝置110的硬體處理邏輯來實現。舉例來說,請再次參閱第1圖,當對該存取控制清單添加一筆規則資訊時,主控單元105係發出添加命令至執行裝置110以告知該筆規則資訊係儲存在一儲存元件120之一儲存空間(儲存元件120係為靜態隨機存取記憶體或緩衝器),因此,執行裝置110可根據該添加命令由儲存元件120的儲存空間讀取出該筆規則資訊,接著將該筆規則資訊添加至儲存電路115中的存取控制清單,例如,執行裝置110係將該筆規則資訊添加至該存取控制清單中某一空白的(尚未有資料寫入)索引位置的儲存空間,例如是索引位置0或是索引位置16的儲存空間,換言之,在本實施例中,當添加規則資訊時,係將該筆規則資訊添加至目前現有之規則資訊的前一索引位置之儲存空間或是後一索引位置之儲存空間,使得所有目前的規則資訊係儲存在連續的儲存空間中;然而,這一實施方式並非是本發明的限制。
此外,當對該存取控制清單插入一筆規則資訊時,主控單元105
係發出插入命令至執行裝置110以告知該筆規則資訊係儲存在一儲存元件120之一儲存空間(儲存元件120係為靜態隨機存取記憶體或緩衝器),因此,執行裝置110可根據該插入命令由儲存元件120的儲存空間讀取出該筆規則資訊,接著將該筆規則資訊插入至儲存電路115中的存取控制清單,此時,執行裝置110係分析目前存取控制清單中的規則資訊的重要性以及所讀取之該筆規則資訊的重要性,或是分析該些規則資訊的相關聯訊息來決定所欲插入之該筆規則資訊應寫入至哪一索引位置較為恰當;而當決定出所欲插入之索引位置後,執行裝置110係自動將相對應的規則資訊進行搬移,以騰出該索引位置給所欲插入之該筆規則資訊,之後再將該筆規則資訊寫入至該索引位置,完成插入該筆規則資訊的命令,並將結果回報給主控單元105。需注意的是,由於執行裝置110的規則資訊搬移操作已敘明於前述的段落中,因此,為了避免篇幅過於冗長,在此不另贅述,此外,上述添加或插入規則資訊的操作係可使用來將複數筆的規則資訊添加或插入至存取控制清單中。
此外,當對該存取控制清單的規則資訊進行交換操作時,主控單元105發出一交換命令至執行裝置110,該交換命令係指示出第一組索引位置與第二組索引位置,執行裝置110可根據該交換命令中所指示的索引位置來交換相對應規則資訊(依序進行規則資訊的交換),此外,該交換命令亦可指示出某一規則資訊係與另一規則資訊作交換,由執行裝置110根據該交換命令,分析目前存取控制清單中的規則資訊,找出進行交換之規則資訊的索引位置,然後依據
該索引位置來對規則資訊進行交換。請參照第3A圖,第3A圖是第1圖所示之執行裝置進行規則資訊交換的一實施例示意圖。如第3A圖所示,執行裝置110係依據一交換命令,將索引位置5至索引位置7的規則資訊‘e’至規則資訊‘g’及索引位置10至索引位置12的規則資訊‘j’至規則資訊‘l’依位置先後順序進行交換,交換後之存取控制清單儲存的規則資訊結果可見於第3B圖。
此外,當對該存取控制清單的規則資訊進行刪除操作(或清除操作)時,主控單元105發出一刪除命令至執行裝置110,該刪除命令係指示出一個需要被清空的索引位置或是多個需要被清空的索引位置,例如,該刪除命令可以指示出需被清空的起始索引位置及結尾索引位置,或是該刪除命令也可以指示出需被清空的起始索引位置以及需清除之規則資訊的數目,而執行裝置110可根據該刪除命令中所指示的上述資訊,依序地刪除或清空相對應的規則資訊,此外,該刪除命令亦可指示出符合一特定條件的某一筆規則資訊或複數筆規則資訊需被清除,由執行裝置110根據該刪除命令,分析目前存取控制清單中的規則資訊,找出需被刪除之規則資訊的索引位置,然後依據該索引位置,將規則資訊刪除或清除。此外,在刪除規則資訊後,執行裝置110亦可將索引位置較大的一筆或多筆規則資訊向前搬移,以填補被刪除之規則資訊的空缺,如第4圖所示,執行裝置110在刪除或清空索引位置7至索引位置11所對應的規則資訊內容後,係將索引位置12~索引位置15所對應的規則資訊‘l’~規則資訊‘o’依序地搬移至索引位置7~索引位置10所分別對應的儲
存空間,來填補空缺,使索引位置得以連續。由於規則資訊的搬移係已描述於前述的段落之中,為了避免篇幅過於冗長,在此不另贅述。需注意的是,清除或刪除一索引位置的某一筆規則資訊可將該規則資訊的內容清空(null)或是將所對應的內容設定為初始的預定值,以表示該內容已被清除。
另外,當對該存取控制清單的規則資訊進行排序操作時,主控單元105發出一排序命令至執行裝置110,執行裝置110係根據該排序命令來對存取控制清單中的規則資訊進行排序,該排序命令係可指示出依據規則資訊的內容(例如某一特定欄位或某幾個特定的欄位),舉例來說,一規則資訊可包含有一條件欄位、動作欄位及運作欄位等,該排序命令可指示出依據某一欄位來排序,例如如果該排序命令係指示依據條件欄位的內容來進行排序,則執行裝置110係依據該排序命令,分析存取控制清單中的規則資訊之條件欄位的內容,並分類出不同類型的條件內容,以及依據不同類型之條件內容給予不同的優先順序,之後排序時依據所制訂的優先順序,將對應於相同類型的條件內容排在連續的索引位置中,此外,執行裝置110亦可依據動作欄位或運作欄位等其他的欄位內容來進行規則資訊的排序。另外,該排序命令亦可指示出依據某一特定數值來進行規則資訊的排序,舉例來說,請搭配參照第5A圖與第5B圖,第5A圖係繪示了規則資訊排序前的示意圖,而第5B圖係繪示了規則資訊排序後的示意圖,如第5A圖所示,在規則資訊排序之前,存取控制清單中所儲存的規則資訊依序由‘a’至‘o’,而其分別對應的某
一特定數值(例如權重數值)如第5A圖所示,該排序命令指示了依據權重的大小進行排序,在本實施例中,權重數值愈小者,代表其權重愈大,因此,執行裝置110係分析每一規則資訊的相對應權重數值,之後根據分析結果來將規則資訊進行排序,排序過程中所使用到的規則資訊搬移操作等係如前述的段落說明所述,在此不另贅述,而排序完的結果則如第5B圖所示。
綜上所述,本發明之實施例係藉由使用一個以硬體處理邏輯實現的執行裝置來執行主控單元管理存取控制清單的命令或指令,使得主控單元本身的資源可使用來執行其他運算,而不需將資源耗費在管理存取控制清單的規則資訊中,因此,可有效地提升網路設備的處理速度與效能。
以上所述僅為本發明之較佳實施例,凡依本發明申請專利範圍所做之均等變化與修飾,皆應屬本發明之涵蓋範圍。
100‧‧‧用以維護/管理存取控制清單的
裝置
105‧‧‧主控單元
110‧‧‧執行裝置
115‧‧‧儲存電路
120‧‧‧儲存元件
第1圖為本發明一實施例之用以加速維護/管理網路設備中一存取控制清單的裝置之示意圖。
第2A圖為第1圖所示之執行裝置進行規則資訊搬移的一實施例示意圖。
第2B圖為第1圖所示之執行裝置進行規則資訊搬移的另一實施例示意圖。
第2C圖為第1圖所示之執行裝置進行規則資訊之搬移的操作流程示意圖。
第3A圖為第1圖所示之執行裝置進行規則資訊交換的一實施例示意圖。
第3B圖為第3A圖所示之規則資訊在進行交換以後之規則資訊結果的實施例示意圖。
第4圖為第1圖所示之執行裝置在刪除部分規則資訊後將部分規則資訊進行搬移的實施例示意圖。
第5A圖~第5B圖為第1圖所示之執行裝置進行規則資訊之排序的實施例示意圖。
100‧‧‧用以維護/管理存取控制清單的裝置
105‧‧‧主控單元
110‧‧‧執行裝置
115‧‧‧儲存電路
120‧‧‧儲存元件
Claims (10)
- 一種管理一存取控制清單(Access Control List,ACL)的執行裝置,該執行裝置耦接至一主控單元,以及該執行裝置係用以接收該主控單元所發送過來的一特定命令、依據所接收之該特定命令,管理該存取控制清單之複數規則資訊(rule information),其中該存取控制清單係儲存於一儲存電路中,其中該執行裝置係依據該特定命令的指示,分析該存取控制清單之目前複數規則資訊以產生一分析結果,並依據該分析結果,存取該存取控制清單以執行該特定命令所指示的添加、插入、搬移、刪除、交換及排序之至少一操作。
- 如申請專利範圍第1項所述的執行裝置,其中該特定命令係一添加命令,該執行裝置係用以依據該添加命令,將一第一規則資訊寫入該儲存電路所儲存之存取控制清單中的一第一索引位置(index position)。
- 如申請專利範圍第2項所述的執行裝置,其中該添加命令係一插入命令,該執行裝置係用以依據該插入命令,將該第一規則資訊插入於該存取控制清單之複數索引位置之間的第一索引位置;以及,該執行裝置係先將該第一索引位置原先儲存之一第二規則資訊搬移至一第二索引位置,以及將該第一規則資訊寫入至該第一索引位置;該第二索引位置之一優先權係低於該第一索引位置之一優先權。
- 如申請專利範圍第2項所述的執行裝置,其中該第一規則資訊係預先儲存於一儲存元件中,該添加命令係指示出該儲存元件儲存該第一規則資訊的一位址,以及該執行裝置係依據該添加命令所指示之該位址來取得該第一規則資訊,分析該存取控制清單的該目前複數規則資訊以產生該分析結果,並依據該分析結果,將該第一規則資訊寫入該存取控制清單之該第一索引位置。
- 如申請專利範圍第1項所述的執行裝置,其中該特定命令係一排序命令,該執行裝置係用以依據該排序命令,對該儲存電路之該存取控制清單中複數索引位置之該目前複數規則資訊進行分析,產生該分析結果,並依據該分析結果來排序該目前複數規則資訊。
- 一種管理一存取控制清單的方法,其包含有:從一主控單元發送一特定命令至一執行裝置;使用該執行裝置來接收該特定命令;根據該特定命令,使用該執行裝置來管理該存取控制清單之複數規則資訊,其中該存取控制清單係儲存於一儲存電路中,以及使用該執行裝置來管理該存取控制清單之複數規則資訊的步驟包含有:依據該特定命令的指示,分析該存取控制清單之目前複數規則資訊以產生一分析結果,並依據該分析結果,存取該存取控制清單以執行該特定命令所指示的操作。
- 如申請專利範圍第6項所述的方法,其中該特定命令係一添加命令,以及管理該存取控制清單之該複數規則資訊的步驟包含有:依據該添加命令,將一第一規則資訊寫入該存取控制清單中的一第一索引位置。
- 如申請專利範圍第7項所述的方法,其中該添加命令係一插入命令,以及將該第一規則資訊寫入該存取控制清單中該第一索引位置的步驟包含有:依據該插入命令,將該第一規則資訊插入於該存取控制清單之複數索引位置之間的該第一索引位置,以及將該第一規則資訊插入於該存取控制清單之複數索引位置之間的該第一索引位置的步驟包含:將該第一索引位置原先儲存之一第二規則資訊搬移至一第二索引位置;以及將該第一規則資訊寫入至該第一索引位置,其中該第二索引位置之一優先權係低於該第一索引位置之一優先權。
- 如申請專利範圍第7項所述的方法,其中該第一規則資訊係預先儲存於一儲存元件中,該添加命令係指示出該儲存元件儲存該第一規則資訊的一位址,以及將該第一規則資訊寫入該存取控制清單中該第一索引位置的步驟包含有:依據該添加命令所指示之該位址來取得該第一規則資訊; 分析該存取控制清單的該目前複數規則資訊以產生該分析結果;以及依據該分析結果,將該第一規則資訊寫入該存取控制清單之該第一索引位置。
- 一種管理一存取控制清單的裝置,其包含有:一儲存電路,用以儲存該存取控制清單;一主控單元,用以發送一特定命令;以及一執行裝置,耦接至該儲存電路與該主控單元之間,用以依據該特定命令來管理該儲存電路所儲存之該存取控制清單;其中該主控單元係發送該特定命令至該執行裝置,以使用該執行裝置來管理該儲存電路所儲存之該存取控制清單,以及該執行裝置係依據該特定命令的指示,分析該存取控制清單之目前複數規則資訊以產生一分析結果,並依據該分析結果,存取該存取控制清單以執行該特定命令所指示的操作。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012101341216A CN103377261A (zh) | 2012-04-28 | 2012-04-28 | 管理存取控制清单的装置、执行装置以及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201344454A TW201344454A (zh) | 2013-11-01 |
| TWI587149B true TWI587149B (zh) | 2017-06-11 |
Family
ID=49462387
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW101122780A TWI587149B (zh) | 2012-04-28 | 2012-06-26 | 管理存取控制清單的裝置、執行裝置以及方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20130290535A1 (zh) |
| CN (1) | CN103377261A (zh) |
| TW (1) | TWI587149B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111382163B (zh) * | 2018-12-27 | 2023-03-21 | 技嘉科技股份有限公司 | 效能管理系统、提供和更新效能参数的方法及存储媒体 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200515149A (en) * | 2003-10-22 | 2005-05-01 | Hon Hai Prec Ind Co Ltd | Method for getting user's access authority by traveling around access control list |
| TW200639673A (en) * | 2005-05-04 | 2006-11-16 | Microsoft Corp | Region-based security |
| TW200805068A (en) * | 2006-07-07 | 2008-01-16 | Hon Hai Prec Ind Co Ltd | A network access control system and method |
| TW200818817A (en) * | 2006-08-09 | 2008-04-16 | Qualcomm Inc | Apparatus and method for supporting broadcast/multicast IP packets through a simplified sockets interface |
| TW201004221A (en) * | 2008-07-08 | 2010-01-16 | Ic Plus Corp | Entry generation method of access control list |
| TW201210261A (en) * | 2010-08-24 | 2012-03-01 | Gemtek Technolog Co Ltd | Routing apparatus and method for processing network packet thereof |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8489669B2 (en) * | 2000-06-07 | 2013-07-16 | Apple Inc. | Mobile data processing system moving interest radius |
| US20020032766A1 (en) * | 2000-09-08 | 2002-03-14 | Wei Xu | Systems and methods for a packeting engine |
| FR2820848B1 (fr) * | 2001-02-13 | 2003-04-11 | Gemplus Card Int | Gestion dynamique de listes de droits d'acces dans un objet electronique portable |
| US7117504B2 (en) * | 2001-07-10 | 2006-10-03 | Microsoft Corporation | Application program interface that enables communication for a network software platform |
| US7054315B2 (en) * | 2001-09-17 | 2006-05-30 | Pmc-Sierra Ltd. | Efficiency masked matching |
| US8700771B1 (en) * | 2006-06-26 | 2014-04-15 | Cisco Technology, Inc. | System and method for caching access rights |
| US20090125470A1 (en) * | 2007-11-09 | 2009-05-14 | Juniper Networks, Inc. | System and Method for Managing Access Control Lists |
| CN101677441B (zh) * | 2008-09-18 | 2013-03-20 | 华为终端有限公司 | 一种授权控制的方法、装置和系统 |
| US7808929B2 (en) * | 2008-09-30 | 2010-10-05 | Oracle America, Inc. | Efficient ACL lookup algorithms |
| CN101447940B (zh) * | 2008-12-23 | 2011-03-30 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
| CN101557312B (zh) * | 2009-05-08 | 2012-07-04 | 中兴通讯股份有限公司 | 控制网络设备的访问控制列表的方法及装置 |
| CN101820383B (zh) * | 2010-01-27 | 2014-12-10 | 中兴通讯股份有限公司 | 限制交换机远程访问的方法及装置 |
| CN101945117A (zh) * | 2010-09-28 | 2011-01-12 | 杭州华三通信技术有限公司 | 防止源地址欺骗攻击的方法及设备 |
| US8750144B1 (en) * | 2010-10-20 | 2014-06-10 | Google Inc. | System and method for reducing required memory updates |
| CN102316040B (zh) * | 2011-09-09 | 2017-12-26 | 中兴通讯股份有限公司 | 一种访问控制列表查找的方法及数据流分类装置 |
-
2012
- 2012-04-28 CN CN2012101341216A patent/CN103377261A/zh active Pending
- 2012-06-26 TW TW101122780A patent/TWI587149B/zh active
-
2013
- 2013-04-25 US US13/869,978 patent/US20130290535A1/en not_active Abandoned
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200515149A (en) * | 2003-10-22 | 2005-05-01 | Hon Hai Prec Ind Co Ltd | Method for getting user's access authority by traveling around access control list |
| TWI309775B (en) * | 2003-10-22 | 2009-05-11 | Hon Hai Prec Ind Co Ltd | Method for getting user's access authority by traveling around access control list |
| TW200639673A (en) * | 2005-05-04 | 2006-11-16 | Microsoft Corp | Region-based security |
| TW200805068A (en) * | 2006-07-07 | 2008-01-16 | Hon Hai Prec Ind Co Ltd | A network access control system and method |
| TW200818817A (en) * | 2006-08-09 | 2008-04-16 | Qualcomm Inc | Apparatus and method for supporting broadcast/multicast IP packets through a simplified sockets interface |
| TW201004221A (en) * | 2008-07-08 | 2010-01-16 | Ic Plus Corp | Entry generation method of access control list |
| TW201210261A (en) * | 2010-08-24 | 2012-03-01 | Gemtek Technolog Co Ltd | Routing apparatus and method for processing network packet thereof |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201344454A (zh) | 2013-11-01 |
| CN103377261A (zh) | 2013-10-30 |
| US20130290535A1 (en) | 2013-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2021120789A1 (zh) | 数据写入方法、装置及存储服务器和计算机可读存储介质 | |
| US20170300426A1 (en) | Read cache management method and apparatus based on solid state drive | |
| JP6401512B2 (ja) | キャッシュメモリシステム及びその動作方法 | |
| WO2016141735A1 (zh) | 缓存数据的确定方法及装置 | |
| WO2015172533A1 (zh) | 数据库查询方法和服务器 | |
| US10049035B1 (en) | Stream memory management unit (SMMU) | |
| CN110674053A (zh) | Ssd数据存储节点管理方法、装置、计算机设备及存储介质 | |
| CN107122130B (zh) | 一种数据重删方法及装置 | |
| WO2017117734A1 (zh) | 一种缓存管理方法、缓存控制器以及计算机系统 | |
| CN110297810B (zh) | 一种流数据处理方法、装置及电子设备 | |
| CN109086141A (zh) | 内存管理方法和装置以及计算机可读存储介质 | |
| KR20150129808A (ko) | 메모리 노드를 포함하는 분산형 메모리 시스템을 위한 방법 및 장치 | |
| US20190042662A1 (en) | Techniques for information graph compression | |
| WO2016202113A1 (zh) | 一种队列管理方法、装置及存储介质 | |
| CN116996449A (zh) | 数据报文处理系统、方法、计算机设备、存储介质 | |
| CN106201918A (zh) | 一种基于大数据量和大规模缓存快速释放的方法和系统 | |
| TWI587149B (zh) | 管理存取控制清單的裝置、執行裝置以及方法 | |
| CN107003932B (zh) | 多核处理器系统的缓存目录处理方法和目录控制器 | |
| CN111858612B (zh) | 基于图数据库的数据加速访问方法、装置及存储介质 | |
| CN116431080B (zh) | 一种数据落盘方法、系统、设备及计算机可读存储介质 | |
| CN109189343A (zh) | 一种元数据落盘方法、装置、设备及计算机可读存储介质 | |
| CN115840654B (zh) | 消息的处理方法、系统、计算设备及可读存储介质 | |
| CN109710547B (zh) | 一种工业物联网中的缓冲内存管理设计与实现方法 | |
| WO2023060833A1 (zh) | 数据交互方法、电子设备、存储介质 | |
| CN112068948B (zh) | 数据散列方法、可读存储介质和电子设备 |