WO2024139279A1 - 访问控制列表规则配置方法、装置、电子设备及存储介质 - Google Patents
访问控制列表规则配置方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- WO2024139279A1 WO2024139279A1 PCT/CN2023/114467 CN2023114467W WO2024139279A1 WO 2024139279 A1 WO2024139279 A1 WO 2024139279A1 CN 2023114467 W CN2023114467 W CN 2023114467W WO 2024139279 A1 WO2024139279 A1 WO 2024139279A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- rule set
- target
- rule
- elements corresponding
- target rule
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 80
- 238000012217 deletion Methods 0.000 claims description 25
- 230000037430 deletion Effects 0.000 claims description 25
- 238000004891 communication Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 8
- 230000008859 change Effects 0.000 abstract description 6
- 230000008569 process Effects 0.000 description 20
- 230000006870 function Effects 0.000 description 15
- 238000007726 management method Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 239000002699 waste material Substances 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 101100233916 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) KAR5 gene Proteins 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 101001121408 Homo sapiens L-amino-acid oxidase Proteins 0.000 description 1
- 101000827703 Homo sapiens Polyphosphoinositide phosphatase Proteins 0.000 description 1
- 102100026388 L-amino-acid oxidase Human genes 0.000 description 1
- 102100023591 Polyphosphoinositide phosphatase Human genes 0.000 description 1
- 101100012902 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) FIG2 gene Proteins 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000010897 surface acoustic wave method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Definitions
- the candidate rule set with the largest number of repeated elements is determined as the element with the highest similarity to the element corresponding to the target rule.
- the elements include at least one or more of a source address, a destination address, a source port, a destination port, and a protocol type.
- the rule adding module is also used to add target rules to the target rule set.
- the rule set reconstruction module includes:
- An element determination unit used to determine, from the elements corresponding to the target rule, a target element that is not included in the elements corresponding to the candidate rule set;
- the rule set reconstruction submodule includes:
- the second rule set reconstruction unit is used to reconstruct the candidate rule set containing the least number of rules according to the elements corresponding to the target rule to obtain the target rule set.
- the rule set reconstruction submodule includes:
- a rule set determination unit used to compare the element corresponding to the target rule with the element corresponding to the candidate rule set, and determine the candidate rule set to which the element with the highest similarity to the element corresponding to the target rule belongs;
- it also includes:
- An instruction acquisition module transporting and acquiring the issued rule deletion instruction; wherein the rule deletion instruction has a corresponding target rule set and target rule information in the target rule set;
- the processor is used to implement the method of the embodiment of the present application when executing the program stored in the memory.
- the embodiment of the present application also discloses a computer non-volatile readable storage medium having instructions stored thereon, which, when executed by one or more processors, enables the processors to execute the method as in the embodiment of the present application.
- the embodiments of the present application include the following advantages: when a rule set currently exists but the target rule cannot be added because its corresponding elements do not contain/do not completely contain the elements corresponding to the target rule, the rule set can be reconstructed to obtain the target rule set for adding the target rule, thereby realizing dynamic management of the rule set, ensuring that in the event of changes in requirements at a later stage, the issued rules can still be added to the rule set, thereby solving the problem that when requirements change at a later stage, the elements in the pre-created rule set cannot generate rules that meet the requirements.
- FIG1 is a flowchart of a method for configuring access control list rules provided in an embodiment of the present application
- FIG3 is a block diagram of an electronic device provided in an embodiment of the present application.
- Step 101 When the issued target rule is obtained, it is determined whether a rule set exists.
- the staff or user can create corresponding target rules on the terminal device according to the needs and issue them.
- it is determined whether there is a rule set at present, so as to perform corresponding rule addition processing according to whether there is a rule set.
- Step 103 Add the target rule to the target rule set.
- the elements corresponding to the target rule set include the elements corresponding to the target rules.
- the rule set when the target rule cannot be added to the currently existing candidate rule set because its corresponding elements do not contain/do not completely contain the elements corresponding to the target rule, the rule set can be reconstructed to obtain the target rule set, so that the elements corresponding to the target rule set can just contain the elements corresponding to the target rule, thereby realizing dynamic management of the rule set, ensuring that in the event of changes in requirements at a later stage, the issued rules can still be added to the rule set, solving the problem that when requirements change at a later stage, the elements in the pre-created rule set cannot generate rules that meet the requirements.
- the preset number is used to characterize the number of rules allowed to be included in the rule set. When the rules in the rule set reach the preset number, no new rules can be added. It should be noted that the preset number can be set according to actual needs, and this is not limited in the embodiments of the present application. For example, the preset number can be 8, 10, 12, etc.
- the candidate rule set is reconstructed according to the elements corresponding to the target rule to obtain the target rule set, including: determining the target element that is not contained in the elements corresponding to the candidate rule set from the elements corresponding to the target rule; and adding the target element to the elements corresponding to the candidate rule set for reconstruction to obtain the target rule set.
- the elements corresponding to the candidate rule set can be compared with the elements corresponding to the target rule, and the target elements that are not contained in the elements corresponding to the candidate rule set can be determined from the elements corresponding to the target rule. Then, the target elements are added to the elements corresponding to the candidate rule set to reconstruct the candidate rule set and obtain the target rule set.
- multiple methods can be used to select one candidate rule set from the multiple candidate rule sets for reconstruction to obtain a target rule set.
- the multiple methods are as follows:
- the candidate rule set is reconstructed according to the elements corresponding to the target rule to obtain the target rule set, including: comparing the elements corresponding to the target rule with the elements corresponding to the candidate rule set to determine the candidate rule set to which the elements having the highest similarity with the elements corresponding to the target rule belong; reconstructing the candidate rule set to which the elements having the highest similarity belong according to the elements corresponding to the target rule to obtain the target rule set.
- the elements corresponding to the target rule are compared with the elements corresponding to the candidate rule set to determine the candidate rule set to which the elements having the highest similarity with the elements corresponding to the target rule belong, including: determining the repeated elements between the elements corresponding to the candidate rule set and the elements corresponding to the target rule; and determining the candidate rule set with the largest number of repeated elements as the candidate rule set to which the elements having the highest similarity with the elements corresponding to the target rule belong.
- the number of rules in all rule sets is equal to the preset number, it means that the number of rules in each rule set has reached the upper limit, and the target rule cannot be added to the rule set, so it is determined that the target rule cannot be added to the rule set.
- a new rule set can still be constructed according to the elements corresponding to the target rule to add the target rule, thereby avoiding the inability to issue the target rule due to the limit on the number of rules in the rule set.
- it also includes: obtaining a rule deletion instruction issued; wherein the rule deletion instruction has a corresponding target rule set and target rule information in the target rule set; and deleting the target rule in the target rule set according to the rule deletion instruction.
- the target elements corresponding to the target rule set may be redundant elements in the elements corresponding to the target rule set, that is, elements that are not used by the rules in the target rule set. Therefore, from the elements corresponding to the target rule set, the target elements that do not overlap with the elements corresponding to the rules in the target rule set are determined, and the target elements are deleted from the elements corresponding to the target rule set to reconstruct the target rule set and obtain the updated target rule set.
- Verification scenario 2 The device has an existing rule set that satisfies ACL delivery: After the device is configured according to the preset conditions, an ACL is created. The ACL is successfully created through the hardware entry, confirming that there are no functional issues with the solution.
- a rule set building module used for building a target rule set according to elements corresponding to the target rule if it is determined that no rule set exists
- the rule adding module is also used to add target rules to the target rule set.
- the rule set determination module is further used to determine from the rule set a target rule set in which an element corresponding to the rule set includes an element corresponding to the target rule and the number of rules in the rule set is less than a preset number;
- the rule adding submodule is also used to add target rules to the target rule set.
- the rule set reconstruction module includes:
- a rule set determination submodule configured to determine, from the rule set, a candidate rule set in which the number of rules in the rule set is less than a preset number, when it is impossible to determine from the rule set that the element corresponding to the rule set contains the element corresponding to the target rule and the number of rules in the rule set is less than a preset number of the target rule set;
- the rule set reconstruction unit is used to add the target element to the element corresponding to the candidate rule set for reconstruction to obtain the target rule set.
- the rule set reconstruction submodule includes:
- the first rule set reconstruction unit is used to reconstruct any candidate rule set according to the elements corresponding to the target rule to obtain the target rule set.
- the rule set reconstruction submodule includes:
- the second rule set reconstruction unit is used to reconstruct the candidate rule set containing the least number of rules according to the elements corresponding to the target rule to obtain the target rule set.
- the rule set reconstruction submodule includes:
- the rule set reconstruction submodule includes:
- a rule set determination unit is used to compare the elements corresponding to the target rule with the elements corresponding to the candidate rule set to determine Find the candidate rule set to which the element with the highest similarity to the element corresponding to the target rule belongs;
- the fourth rule set reconstruction unit is used to reconstruct the candidate rule set to which the element with the highest similarity belongs according to the element corresponding to the target rule to obtain the target rule set.
- the rule set determination unit includes:
- An element determination subunit used to determine the repeated elements between the elements corresponding to the candidate rule set and the elements corresponding to the target rule
- the rule set determination unit is used to determine the candidate rule set with the largest number of repeated elements as the candidate rule set to which the element with the highest similarity to the element corresponding to the target rule belongs.
- it also includes:
- the rule set building module is also used to build a target rule set according to elements corresponding to the target rule when the target rule cannot be added to the rule set;
- the rule adding module is also used to add target rules to the target rule set.
- it also includes:
- it also includes:
- it also includes:
- An element determination module used to determine, from the elements corresponding to the target rule set, target elements that do not overlap with elements corresponding to the rules in the target rule set;
- the element to which the rule set corresponds includes the element to which the rule in the rule set corresponds.
- the embodiment of the present application also provides a computer non-volatile readable storage medium, on which a computer program is stored.
- a computer program is stored.
- the computer program is executed by a processor, each process of the above data acquisition method embodiment is implemented, and the same technical effect can be achieved. To avoid repetition, it is not repeated here.
- the computer non-volatile readable storage medium is, for example, a read-only memory (ROM), a random access memory (RAM), a disk or an optical disk, etc.
- the electronic device 300 includes but is not limited to: a radio frequency unit 301, a network module 302, an audio output unit 303, an input unit 304, a sensor 305, a display unit 306, a user input unit 307, an interface unit 308, a memory 309, a processor 310, and a power supply 311.
- a radio frequency unit 301 includes but is not limited to: a radio frequency unit 301, a network module 302, an audio output unit 303, an input unit 304, a sensor 305, a display unit 306, a user input unit 307, an interface unit 308, a memory 309, a processor 310, and a power supply 311.
- the electronic device structure shown in FIG. 3 does not constitute a limitation on the electronic device, and the electronic device may include more or fewer components than shown, or combine certain components, or arrange the components differently.
- the electronic device includes but is not limited to a mobile phone, a tablet computer, a laptop computer, a PDA, a vehicle-mounted terminal,
- the audio output unit 303 can convert the audio data received by the RF unit 301 or the network module 302 or stored in the memory 309 into an audio signal and output it as sound. Moreover, the audio output unit 303 can also provide audio output related to a specific function performed by the electronic device 300 (for example, a call signal reception sound, a message reception sound, etc.).
- the audio output unit 303 includes a speaker, a buzzer, a receiver, etc.
- the interface unit 308 is an interface for connecting an external device to the electronic device 300.
- the external device may include a wired or wireless headset port, an external power supply (or battery charger) port, a wired or wireless data port, a memory card port, a port for connecting a device with an identification module, an audio input/output (I/O) port, a video I/O port, a headphone port, etc.
- the interface unit 307 may be used to receive input (e.g., data information, power, etc.) from an external device and transmit the received input to one or more elements within the electronic device 300 or may be used to transmit data between the electronic device 300 and an external device.
- the processor 310 is the control center of the electronic device. It uses various interfaces and lines to connect various parts of the entire electronic device. It executes various functions of the electronic device and processes data by running or executing software programs and/or modules stored in the memory 309, and calling data stored in the memory 309, so as to monitor the electronic device as a whole.
- the processor 310 may include one or more processing units; in some embodiments, the processor 310 may integrate an application processor and a modem processor, wherein the application processor mainly processes the operating system, user interface, and application programs, and the modem processor mainly processes wireless communications. It is understandable that the above-mentioned modem processor may not be integrated into the processor 310.
- the electronic device 300 includes some functional modules not shown, which will not be described in detail here.
- the technical solution of the present application can be embodied in the form of a software product, which is stored in a storage medium (such as ROM/RAM, a disk, or an optical disk), and includes a number of instructions for a terminal (which can be a mobile phone, a computer, a resource server, an air conditioner, or a network device, etc.) to execute the methods of each embodiment of the present application.
- a storage medium such as ROM/RAM, a disk, or an optical disk
- a terminal which can be a mobile phone, a computer, a resource server, an air conditioner, or a network device, etc.
- the units described as separate components may or may not be physically separated, and the components shown as units may or may not be physical units, that is, they may be located in one place or distributed on multiple network units. Some or all of the units may be selected according to actual needs to achieve the purpose of the solution of this embodiment.
- each functional unit in each embodiment of the present application may be integrated into one processing unit, or each unit may exist physically separately, or two or more units may be integrated into one unit.
- the function is implemented in the form of a software functional unit and sold or used as an independent product, it can be stored in a computer-readable storage medium.
- the computer software product is stored in a storage medium and includes several instructions for a computer device (which can be a personal computer, a resource server, or a network device, etc.) to perform all or part of the steps of the various embodiments of the present application.
- the aforementioned storage medium includes: various media that can store program codes, such as USB flash drives, mobile hard drives, ROM, RAM, magnetic disks, or optical disks.
Abstract
本申请实施例提供了一种访问控制列表规则配置方法、装置、电子设备及存储介质。方法包括:当获取到下发的目标规则时,确定是否存在规则集(101),其中,目标规则和规则集均具有对应的元素,若确定存在规则集,且规则集对应的元素不包含/不完全包含目标规则对应的元素,则根据目标规则对应的元素对规则集进行重构,得到目标规则集(102),将目标规则添加至目标规则集中(103)。本申请实施例中,在当前存在规则集,且规则集对应的元素不包含/不完全包含目标规则对应的元素时,可以对规则集进行重构得到用于添加目标规则的目标规则集,实现对规则集进行动态管理,保证在后期出现需求变更的情况下,仍然可以在规则集中添加下发的规则。
Description
相关申请的交叉引用
本申请要求于2022年12月30日提交中国专利局,申请号为202211712569.1,申请名称为“访问控制列表规则配置方法、装置、电子设备及存储介质”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
本申请涉及网络通信技术领域,特别是涉及一种访问控制列表规则配置方法、一种访问控制列表规则配置装置、一种电子设备以及一种计算机非易失性可读存储介质。
访问控制列表(Access Control List,简称ACL)是应用在路由器接口的指令列表(规则列表)。这些规则列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。目前,三层交换机设备,ACL规则被大量应用,现有常用交换芯片ACL的工作原理,通常是先创建规则集,然后通过规则集中的元素(如源地址、目的地址、端口号等)任意组合,生成一条规则(ACL表项),并在后续使用过程中不再对规则集进行更改。
然而,对于预先创建的规则集,然后通过规则集中的元素任意组合生成规则的方式,并不能完全保证规则集创建得充分合理,容易在后期出现需求变更时,规则集中的元素无法生成满足需求的规则。
发明内容
本申请实施例是提供一种访问控制列表规则配置方法、装置、电子设备及存储介质,以解决在后期出现需求变更的情况,预先创建的规则集中的元素无法生成满足需求的规则的问题。
本申请实施例公开了一种访问控制列表规则配置方法,方法包括:
当获取到下发的目标规则时,确定是否存在规则集;其中,目标规则和规则集均具有对应的元素;
若确定存在规则集,且规则集对应的元素不包含/不完全包含目标规则对应的元素,则根据目标规则对应的元素对规则集进行重构,得到目标规则集;其中,目标规则集对应的元素包含目标规则对应的元素;
将目标规则添加至目标规则集中。
在一些实施例中,在当获取到下发的目标规则时,确定是否存在规则集之后,还包括:
若确定不存在规则集,则根据目标规则对应的元素构建目标规则集;
将目标规则添加至目标规则集中。
在一些实施例中,在确定存在规则集之后,还包括:
从规则集中确定出规则集对应的元素包含目标规则对应的元素、且规则集中规则的数量小于预设数量的目标规则集;
将目标规则添加至目标规则集中。
在一些实施例中,若确定存在规则集,且规则集对应的元素不包含/不完全包含目标规则对应的元素,则根据目标规则对应的元素对规则集进行重构,得到目标规则集,包括:
当无法从规则集中确定出规则集对应的元素包含目标规则对应的元素、且规则集中规则的数量小于预设数量的目标规则集时,从规则集中确定出规则集中规则的数量小于预设数量的候选规则集;
根据目标规则对应的元素对候选规则集进行重构,得到目标规则集。
在一些实施例中,根据目标规则对应的元素对候选规则集进行重构,得到目标规则集,包括:
从目标规则对应的元素中,确定出候选规则集对应的元素不包含的目标元素;
将目标元素添加至候选规则集对应的元素进行重构,得到目标规则集。
在一些实施例中,根据目标规则对应的元素对候选规则集进行重构,得到目标规则集,包括:
根据目标规则对应的元素对任意一个候选规则集进行重构,得到目标规则集。
在一些实施例中,根据目标规则对应的元素对候选规则集进行重构,得到目标规则集,包括:
根据目标规则对应的元素对包含规则数量最少的候选规则集进行重构,得到目标规则集。
在一些实施例中,根据目标规则对应的元素对候选规则集进行重构,得到目标规则集,包括:
根据目标规则对应的元素对对应元素数量最少的候选规则集进行重构,得到目录规则集。
在一些实施例中,根据目标规则对应的元素对候选规则集进行重构,得到目标规则集,包括:
将目标规则对应的元素与候选规则集对应的元素进行比对,确定出与目标规则对应的元素相似度最高的元素所属的候选规则集;
根据目标规则对应的元素对相似度最高的元素所属的候选规则集进行重构,得到目标规则集。
在一些实施例中,将目标规则对应的元素与候选规则集对应的元素进行比对,确定出与目标规则对应的元素相似度最高的元素所属的候选规则集,包括:
确定候选规则集对应的元素与目标规则对应的元素之间重复的元素;
将重复的元素数量最多的候选规则集,确定为与目标规则对应的元素相似度最高的元素
所属的候选规则集。
在一些实施例中,在确定存在规则集之后,还包括:
当目标规则无法添加至规则集中时,根据目标规则对应的元素构建目标规则集;
将目标规则添加至目标规则集中。
在一些实施例中,还包括:
当全部规则集中规则的数量均等于预设数量时,确定目标规则无法添加至规则集中。
在一些实施例中,还包括:
获取下发的规则删除指令;其中,规则删除指令具有对应的目标规则集、以及目标规则集中的目标规则信息;
根据规则删除指令删除目标规则集中的目标规则。
在一些实施例中,在根据规则删除指令删除目标规则集中的目标规则之后,还包括:
从目标规则集对应的元素中,确定出不与目标规则集中的规则对应的元素重合的目标元素;
从目标规则集对应的元素中删去目标元素进行重构,得到更新后的目标规则集。
在一些实施例中,规则集对应的元素包含规则集中规则对应的元素。
在一些实施例中,元素至少包括源地址、目的地址、源端口、目的端口和协议类型中的一种或多种。
在一些实施例中,预设数量用于表征规则集中允许包含的规则的数量。
本申请实施例中还公开了一种访问控制列表规则配置装置,包括:
规则集确定模块,用于当获取到下发的目标规则时,确定是否存在规则集;其中,目标规则和规则集均具有对应的元素;
规则集重构模块,用于若确定存在规则集,且规则集对应的元素不包含/不完全包含目标规则对应的元素,则根据目标规则对应的元素对规则集进行重构,得到目标规则集;
规则添加模块,用于将目标规则添加至目标规则集中。
在一些实施例中,还包括:
规则集构建模块,用于若确定不存在规则集,则根据目标规则对应的元素构建目标规则集;
规则添加模块,还用于将目标规则添加至目标规则集中。
在一些实施例中,还包括:
规则集确定模块,还用于从规则集中确定出规则集对应的元素包含目标规则对应的元素、且规则集中规则的数量小于预设数量的目标规则集;
规则添加模块,还用于将目标规则添加至目标规则集中。
在一些实施例中,规则集重构模块,包括:
规则集确定子模块,用于当无法从规则集中确定出规则集对应的元素包含目标规则对应的元素、且规则集中规则的数量小于预设数量的目标规则集时,从规则集中确定出规则集中
规则的数量小于预设数量的候选规则集;
规则集重构子模块,用于根据目标规则对应的元素对候选规则集进行重构,得到目标规则集。
在一些实施例中,规则集重构子模块,包括:
元素确定单元,用于从目标规则对应的元素中,确定出候选规则集对应的元素不包含的目标元素;
规则集重构单元,用于将目标元素添加至候选规则集对应的元素进行重构,得到目标规则集。
在一些实施例中,规则集重构子模块,包括:
第一规则集重构单元,用于根据目标规则对应的元素对任意一个候选规则集进行重构,得到目标规则集。
在一些实施例中,规则集重构子模块,包括:
第二规则集重构单元,用于根据目标规则对应的元素对包含规则数量最少的候选规则集进行重构,得到目标规则集。
在一些实施例中,规则集重构子模块,包括:
第三规则集重构单元,用于根据目标规则对应的元素对对应元素数量最少的候选规则集进行重构,得到目录规则集。
在一些实施例中,规则集重构子模块,包括:
规则集确定单元,用于将目标规则对应的元素与候选规则集对应的元素进行比对,确定出与目标规则对应的元素相似度最高的元素所属的候选规则集;
第四规则集重构单元,用于根据目标规则对应的元素对相似度最高的元素所属的候选规则集进行重构,得到目标规则集。
在一些实施例中,规则集确定单元,包括:
元素确定子单元,用于确定候选规则集对应的元素与目标规则对应的元素之间重复的元素;
规则集确定单元,用于将重复的元素数量最多的候选规则集,确定为与目标规则对应的元素相似度最高的元素所属的候选规则集。
在一些实施例中,还包括:
规则集构建模块,还用于当目标规则无法添加至规则集中时,根据目标规则对应的元素构建目标规则集;
规则添加模块,还用于将目标规则添加至目标规则集中。
在一些实施例中,还包括:
状态确定模块,用于当全部规则集中规则的数量均等于预设数量时,确定目标规则无法添加至规则集中。
在一些实施例中,还包括:
指令获取模块,运输获取下发的规则删除指令;其中,规则删除指令具有对应的目标规则集、以及目标规则集中的目标规则信息;
规则删除模块,用于根据规则删除指令删除目标规则集中的目标规则。
在一些实施例中,还包括:
元素确定模块,用于从目标规则集对应的元素中,确定出不与目标规则集中的规则对应的元素重合的目标元素;
第二规则集重构模块,用于从目标规则集对应的元素中删去目标元素进行重构,得到更新后的目标规则集。
在一些实施例中,规则集对应的元素包含规则集中规则对应的元素。
在一些实施例中,元素至少包括源地址、目的地址、源端口、目的端口和协议类型中的一种或多种。
在一些实施例中,预设数量用于表征规则集中允许包含的规则的数量。
本申请实施例还公开了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器、通信接口以及存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现如本申请实施例的方法。
本申请实施例还公开了一种计算机非易失性可读存储介质,其上存储有指令,当由一个或多个处理器执行时,使得处理器执行如本申请实施例的方法。
本申请实施例包括以下优点:在当前存在规则集但因其对应的元素不包含/不完全包含目标规则对应的元素而导致无法添加目标规则时,可以对规则集进行重构得到用于添加目标规则的目标规则集,实现动态对规则集进行管理,保证在后期出现需求变更的情况下,仍然可以在规则集中添加下发的规则,解决在后期出现需求变更时,预先创建的规则集中的元素无法生成满足需求的规则的问题。
图1是本申请实施例中提供的一种访问控制列表规则配置方法的步骤流程图;
图2是本申请实施例中提供的一种访问控制列表规则配置装置的结构框图;
图3是本申请实施例中提供的一种电子设备的框图;
图4是本申请实施例中提供的一种计算机非易失性可读存储介质的框图。
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
目前,在产品预研阶段,通常是静态创建若干规则集,后续ACL规则下发到固定的规
则集中,后续软件流程,规则集不会做任何更改。
然而,预研过程并不能完全保证规则集创建的是否充分合理,若后期出现需求变更的情况,很难调整软件方案。其次,由于每个规则集能够生成的ACL(规则)条目数限制,会出现部分规则集无ACL,部分规则集满的情况,导致硬件资源浪费。另外,由于规则集的数量限制,导致现有规则集不能满足的ACL无法下发。
基于此,本申请实施例公开了一种访问控制列表规则配置方法、装置、电子设备及存储介质,以解决上述存在的问题。
参照图1,示出了本申请实施例中提供的一种访问控制列表规则配置方法的步骤流程图,步骤包括:
步骤101:当获取到下发的目标规则时,确定是否存在规则集。
其中,目标规则和规则集均具有对应的元素,目标规则是由若干元素组成,元素可以包括源地址、目的地址、源端口、目的端口和协议类型等,而规则集对应的元素必须包含该规则集中规则对应的元素,否则规则无法添加至规则集中,一条目标规则可以如下表所示:
具体地,工作人员或用户可以在终端设备上根据需求创建相应的目标规则进行下发,在获取到下发的目标规则时,确定当前是否存在规则集,以便根据是否存在规则集进行相应的规则添加处理。
步骤102:若确定存在规则集,且规则集对应的元素不包含/不完全包含目标规则对应的元素,则根据目标规则对应的元素对规则集进行重构,得到目标规则集。
步骤103:将目标规则添加至目标规则集中。
其中,目标规则集对应的元素包含目标规则对应的元素。
具体地,若确定当前存在规则集,且规则集对应的元素不包含/不完全包含目标规则对应的元素,说明此时规则集对应的元素无法覆盖目标规则对应的元素,即此时的目标规则无法直接添加至规则集中,因此可以根据目标规则对应的元素对规则集进行重构,得到目标规则集,此时,得到的目标规则集对应的元素包含目标规则对应的元素,因此可以直接将目标规则添加至目标规则集中。
本申请实施例中,在当前存在的候选规则集因其对应的元素不包含/不完全包含目标规则对应的元素而导致无法添加目标规则时,可以对规则集进行重构得到目标规则集,使得目标规则集对应的元素可以刚好包含目标规则对应的元素,从而实现对规则集进行动态管理,保证在后期出现需求变更的情况下,仍然可以在规则集中添加下发的规则,解决在后期出现需求变更时,预先创建的规则集中的元素无法生成满足需求的规则的问题。
在上述实施例的基础上,提出了上述实施例的变型实施例,在此需要说明的是,为了使描述简要,在变型实施例中仅描述与上述实施例的不同之处。
在本申请的一可选实施例中,在当获取到下发的目标规则时,确定是否存在规则集之后,还包括:若确定不存在规则集,则根据目标规则对应的元素构建目标规则集;将目标规则添加至目标规则集中。
其中,目标规则集对应的元素包含目标规则对应的元素。
本申请实施例中在设备的初始化过程中不对规则集做预先创建处理,而是基于添加的目标规则创建规则集并进行对应的管理。具体地,在确定当前不存在规则集时,则可以根据目标规则对应的元素构建目标规则集,使构建的目标规则集对应的元素刚好包含目标规则对应的元素,以便将目标规则添加至目标规则集中。
上述实施例中,在当前不存在规则集时,根据当前下发的目标规则对应的元素构建目标规则集,使得构建的目标规则集对应的元素与目标规则对应的元素重合,从而实现无论是新创建的目标规则集还是重构的目标规则集,目标规则集对应的元素总是被规则集中的规则使用,不会存在多余的元素(不被规则使用的元素),进而可以避免硬件资源(如储存资源)的浪费。
在本申请的一可选实施例中,在确定存在规则集之后,还包括:从规则集中确定出规则集对应的元素包含目标规则对应的元素、且规则集中规则的数量小于预设数量的目标规则集;将目标规则添加至目标规则集中。
其中,预设数量用于表征规则集中允许包含的规则的数量,当规则集的规则达到预设数量后,就无法添加新的规则。需要说明的是,预设数量可以根据实际需要进行设置,本申请实施例中对此不加以限制,例如预设数量可以为8、10、12等。
具体地,在规则集对应的元素包含目标规则对应的元素,且规则集中规则的数量小于预设数量这两个条件同时满足的情况下,才能将目标规则直接添加进该规则集中。因此,在确定当前存在规则集之后,需要从各个规则集中确定出规则集对应的元素包含目标规则对应的元素,且规则集中规则的数量小于预设数量的目标规则集,然后才可以将目标规则直接添加至目标规则集中。
在本申请的一可选实施例中,若确定存在规则集,且规则集对应的元素不包含/不完全包含目标规则对应的元素,则根据目标规则对应的元素对规则集进行重构,得到目标规则集,包括:当无法从规则集中确定出规则集对应的元素包含目标规则对应的元素、且规则集中规则的数量小于预设数量的目标规则集时,从规则集中确定出规则集中规则的数量小于预设数量的候选规则集;根据目标规则对应的元素对候选规则集进行重构,得到目标规则集。
具体地,在无法从规则集中确定出规则集对应的元素包含目标规则对应的元素、且规则集中规则的数量小于预设数量的目标规则集时,说明当前存在的规则集都是无法直接添加目标规则,所有的规则集对应的元素均不包含/不完全包含目标规则对应的元素,因此,从规则集中确定出规则集中规则的数量小于预设数量的候选规则集。
然后根据目标规则对应的元素对候选规则集进行重构,得到目标规则集,且目标规则集对应的元素包含目标规则对应的元素,因此可以直接将目标规则添加至目标规则集中。
上述实施例中,在当前存在的候选规则集因其对应的元素不包含目标规则对应的元素,而导致无法添加目标规则时,可以对候选规则集进行重构得到目标规则集,使得目标规则集对应的元素包含目标规则对应的元素,从而实现规则集对应的元素总是被其包含的规则使用,避免因规则集中的元素无法覆盖下发规则的元素导致规则无法下发的情况发生,且规则集对应的元素不会出现多余的元素,进而避免硬件资源的浪费。
另外,本申请实施例中可以根据下发的目标规则的需求创建规则集,或者根据目标规则的需求对规则集进行动态调整(重构),实现动态对规则集进行管理,使得规则集总是可以与下发的目标规则适配,保证规则集的合理性,解决硬件资源使用不充分、软件调整复杂度高、硬件资源使用不合理等问题。
再者,本申请实施例中只有在规则集中的规则数量达到上限的情况下才无法添加新的目标规则,否则只要规则集中的规则未达到上限,那么就可以通过重构的方式添加新的规则,从而可以防止因每个规则集能够生成的ACL(规则)条目数限制,出现部分规则集无ACL,部分规则集满的情况,导致硬件资源浪费的情况发生。
在本申请的一可选实施例中,根据目标规则对应的元素对候选规则集进行重构,得到目标规则集,包括:从目标规则对应的元素中,确定出候选规则集对应的元素不包含的目标元素;将目标元素添加至候选规则集对应的元素进行重构,得到目标规则集。
具体地,在确定出候选规则集后,可以将候选规则集对应的元素与目标规则对应的元素进行比对,从目标规则对应的元素中,确定出候选规则集对应的元素不包含的目标元素,然后将目标元素添加至候选规则集对应的元素中实现对候选规则集进行重构,得到目标规则集。
在确定的候选规则集为多个时,可以采用多种方式从多个候选规则集中选出一个候选规则集进行重构,以得到目标规则集,多种方式具体如下:
在本申请的一可选实施例中,根据目标规则对应的元素对候选规则集进行重构,得到目标规则集,包括:根据目标规则对应的元素对任意一个候选规则集进行重构,得到目标规则集。
具体地,在确定的候选规则集为多个时,可以从中任意(随机)选取一个候选规则集,然后根据目标规则对应的元素对该候选规则集进行重构,得到目标规则集。
在本申请的一可选实施例中,根据目标规则对应的元素对候选规则集进行重构,得到目标规则集,包括:根据目标规则对应的元素对包含规则数量最少的候选规则集进行重构,得到目标规则集。
具体地,可以对多个候选规则集中的规则数量进行比较,确定出包含规则数量最少的候选规则集,然后根据目标规则对应的元素对该规则集进行重构,得到目标规则集。
在本申请的一可选实施例中,根据目标规则对应的元素对候选规则集进行重构,得到目
标规则集,包括:根据目标规则对应的元素对对应元素数量最少的候选规则集进行重构,得到目录规则集。
具体地,可以对候选规则集之间对应的元素的数量进行比较,确定元素数量最少的候选规则集,然后根据目标规则对应的元素对该规则集进行重构,得到目标规则集。
在本申请的一可选实施例中,根据目标规则对应的元素对候选规则集进行重构,得到目标规则集,包括:将目标规则对应的元素与候选规则集对应的元素进行比对,确定出与目标规则对应的元素相似度最高的元素所属的候选规则集;根据目标规则对应的元素对相似度最高的元素所属的候选规则集进行重构,得到目标规则集。
具体地,可以将目标规则对应的元素与候选规则集对应的元素进行比对,确定出与目标规则对应的元素相似度最高的元素所属的候选规则集,比如目标规则对应的元素与候选规则集对应的元素之间重复的元素越多,该候选规则集对应的元素与目标规则对应的元素越相似,将元素最相似的候选规则作为与目标规则对应的元素相似度最高的元素所属的候选规则集,然后根据目标规则对应的元素对该候选规则集进行重构,得到目标规则集。
在本申请的一可选实施例中,将目标规则对应的元素与候选规则集对应的元素进行比对,确定出与目标规则对应的元素相似度最高的元素所属的候选规则集,包括:确定候选规则集对应的元素与目标规则对应的元素之间重复的元素;将重复的元素数量最多的候选规则集,确定为与目标规则对应的元素相似度最高的元素所属的候选规则集。
具体地,候选规则集对应的元素与目标规则对应的元素不同/不完全相同,因此可以确定候选规则集对应的元素与目标规则对应的元素之间重复的元素,且重复的元素的数量越多,候选规则集对应的元素与目标规则对应的元素就越相似,所以可以将重复的元素数量最多的候选规则集,确定为与目标规则对应的元素相似度最高的元素所属的候选规则集。
上述实施例中,将与目标规则对应的元素重复的元素数量最多的候选规则集进行重构,因目标规则对应的元素与该候选规则集对应的元素差别最小,因此重构的难度也最小,只需在该候选规则集对应的元素添加最少的元素就可对其进行重构,从而可以缩短重构时间,减少重构成本和资源。
在本申请的一可选实施例中,在确定存在规则集之后,还包括:当目标规则无法添加至规则集中时,根据目标规则对应的元素构建目标规则集;将目标规则添加至目标规则集中。
具体地,在确定当前存在规则集之后,可以尝试将目标规则添加至规则集中,当目标规则无法添加至规则集中时,可以根据目标规则对应的元素构建目标规则集,然后将目标规则添加至目标规则集中,以避免存在无法添加至规则集中的目标规则。
在本申请的一可选实施例中,还包括:当全部规则集中规则的数量均等于预设数量时,确定目标规则无法添加至规则集中。
具体地,当全部规则集中规则的数量均等于预设数量时,说明每一个规则集中的规则数量已经达到上限,无法再将目标规则添加至该规则集中,因此确定目标规则无法添加至规则集中。
上述实施例中,在全部规则集中规则的数量均达到上限时,仍然可以根据目标规则对应的元素构建新的规则集去添加目标规则,从而可以避免因规则集中规则数量限制,导致的目标规则无法下发。
在本申请的一可选实施例中,还包括:获取下发的规则删除指令;其中,规则删除指令具有对应的目标规则集、以及目标规则集中的目标规则信息;根据规则删除指令删除目标规则集中的目标规则。
具体地,除了在规则集中添加目标规则之外,还可以对规则集中的规则进行删除,具体在获取到工作人员或用户操作终端下发的规则删除指令之后,可以根据规则删除指令对指定的目标规则集中的目标规则进行删除,以删去不需要的目标规则。
在本申请的一可选实施例中,在根据规则删除指令删除目标规则集中的目标规则之后,还包括:从目标规则集对应的元素中,确定出不与目标规则集中的规则对应的元素重合的目标元素;从目标规则集对应的元素中删去目标元素进行重构,得到更新后的目标规则集。
具体地,在将目标规则集中的规则删去之后,目标规则集对应的元素中可能存在多余的元素,即不被目标规则集中规则使用的元素,因此从目标规则集对应的元素中,确定出不与目标规则集中的规则对应的元素重合的目标元素,并从目标规则集对应的元素中删去目标元素实现对目标规则集的重构,得到更新后的目标规则集。
上述实施例中,在删去规则集中的规则之后,可以删去目标规则集中不被目标规则集中规则使用的元素,实现对规则集进行动态管理,防止因规则集存在多余的元素导致硬件资源的浪费。
为使本领域技术人员更好地理解本申请实施例,以下用一示例对本申请实施例进行说明。
设备初始化过程中不对规则集做预先创建处理,软件通过后续ACL(规则)的添加、删除等操作,动态管理规则集。
ACL添加过程,针对当前设备规则集情况可能出现如下几种可能:
1、存在现有规则集的元素能够覆盖这条ACL需要的元素,且该规则集可以下发一条ACL。
2、存在现有规则集的元素能够覆盖这条ACL需要的元素,但该规则集无资源下发一条ACL(规则集中的规则数量已经达到上限)。
3、现有规则集的元素无法覆盖这条ACL需要的元素。
针对这些可能出现的情况,软件处理流程可抽象为查找比对、尝试下发、尝试重构、新建规则集几步。
查找比对过程:软件通过遍历现有规则集和待下发的ACL的匹配情况,生成临时软链表,软链表中记录待下发ACL的元素与现有规则集的元素的交集大小,通过软件加权比对的方式,保证交集越大的规则集,处于链表靠前位置,即越靠近链表头,该ACL与该规则集越相似。
尝试下发:按照查找比对时生成的临时链表,逐个规则集尝试下发ACL,若成功下发,则软件流程结束。
尝试重构:在尝试下发失败时,按照找比对时生成的临时链表顺序,判断是否可重构当前规则集以满足现在ACL下发要求。
新建规则集:当上述步骤均失败后,按照当前ACL情况,创建一个目标规则集。
ACL删除过程,针对当前设备规则集情况可能出现如下几种可能:
1、删除规则集中的当前ACL后,该规则集中的元素仍有ACL使用;
2、删除规则集中的当前ACL后,该规则集中的元素没有ACL继续使用;
针对这些可能出现的情况,在ACL删除时,会对当前规则集中,每个元素的使用情况做更新,根据更新的情况,判断是否需要删除该规则集中的部分元素。
在将本申请实施例中的方法应用到交换机设备上,交换机这部分功能对外呈现并未变化,我们通过针对改进方案的几个关键进点进行了验证。
验证场景一:设备上无ACL规则集情况:设备空起状态下,创建一条ACL,通过硬件表项创建成功,确认方案无功能问题。
验证场景二:设备存在现有规则集满足ACL下发:设备按预设条件配置完成后,创建ACL,通过硬件表项创建成功,确认方案无功能问题。
验证场景三:设备不存在现有规则集满足ACL下发:设备按预设条件配置完成后,创建ACL,查看硬件表项发现,有新创建的规则集,同时该条ACL下发成功,确认方案无功能问题。
验证场景四:设备删除一条ACL后,规则集中存在不被使用的元素:设备按预设条件配置完成后,删除一条ACL,删除完成后查看硬件表项,发现原规则集重构,且ACL删除成功,确认方案无功能问题。
上述实施例中,通过软件管理上优化,由原有的静态构建规则集的方式调整为动态创建,使得ACL规则集的管理不依赖前期预研情况,可以更加灵活地使用现有的硬件资源,解决硬件资源使用不充分、软件调整复杂度高、硬件资源使用不合理等问题。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请实施例并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于本申请的一些实施例,所涉及的动作并不一定是本申请实施例所必须的。
参照图2,示出了本申请实施例中提供的一种访问控制列表规则配置装置的结构框图,访问控制列表规则配置装置包括:
规则集确定模块201,用于当获取到下发的目标规则时,确定是否存在规则集;其中,
目标规则和规则集均具有对应的元素;
规则集重构模块202,用于若确定存在规则集,且规则集对应的元素不包含/不完全包含目标规则对应的元素,则根据目标规则对应的元素对规则集进行重构,得到目标规则集;其中,目标规则集对应的元素包含目标规则对应的元素;
规则添加模块203,用于将目标规则添加至目标规则集中。
在一些实施例中,还包括:
规则集构建模块,用于若确定不存在规则集,则根据目标规则对应的元素构建目标规则集;
规则添加模块,还用于将目标规则添加至目标规则集中。
在一些实施例中,还包括:
规则集确定模块,还用于从规则集中确定出规则集对应的元素包含目标规则对应的元素、且规则集中规则的数量小于预设数量的目标规则集;
规则添加子模块,还用于将目标规则添加至目标规则集中。
在一些实施例中,规则集重构模块,包括:
规则集确定子模块,用于当无法从规则集中确定出规则集对应的元素包含目标规则对应的元素、且规则集中规则的数量小于预设数量的目标规则集时,从规则集中确定出规则集中规则的数量小于预设数量的候选规则集;
规则集重构子模块,用于根据目标规则对应的元素对候选规则集进行重构,得到目标规则集。
在一些实施例中,规则集重构子模块,包括:
元素确定单元,用于从目标规则对应的元素中,确定出候选规则集对应的元素不包含的目标元素;
规则集重构单元,用于将目标元素添加至候选规则集对应的元素进行重构,得到目标规则集。
在一些实施例中,规则集重构子模块,包括:
第一规则集重构单元,用于根据目标规则对应的元素对任意一个候选规则集进行重构,得到目标规则集。
在一些实施例中,规则集重构子模块,包括:
第二规则集重构单元,用于根据目标规则对应的元素对包含规则数量最少的候选规则集进行重构,得到目标规则集。
在一些实施例中,规则集重构子模块,包括:
第三规则集重构单元,用于根据目标规则对应的元素对对应元素数量最少的候选规则集进行重构,得到目录规则集。
在一些实施例中,规则集重构子模块,包括:
规则集确定单元,用于将目标规则对应的元素与候选规则集对应的元素进行比对,确定
出与目标规则对应的元素相似度最高的元素所属的候选规则集;
第四规则集重构单元,用于根据目标规则对应的元素对相似度最高的元素所属的候选规则集进行重构,得到目标规则集。
在一些实施例中,规则集确定单元,包括:
元素确定子单元,用于确定候选规则集对应的元素与目标规则对应的元素之间重复的元素;
规则集确定单元,用于将重复的元素数量最多的候选规则集,确定为与目标规则对应的元素相似度最高的元素所属的候选规则集。
在一些实施例中,还包括:
规则集构建模块,还用于当目标规则无法添加至规则集中时,根据目标规则对应的元素构建目标规则集;
规则添加模块,还用于将目标规则添加至目标规则集中。
在一些实施例中,还包括:
状态确定模块,用于当全部规则集中规则的数量均等于预设数量时,确定目标规则无法添加至规则集中。
在一些实施例中,还包括:
指令获取模块,运输获取下发的规则删除指令;其中,规则删除指令具有对应的目标规则集、以及目标规则集中的目标规则信息;
规则删除模块,用于根据规则删除指令删除目标规则集中的目标规则。
在一些实施例中,还包括:
元素确定模块,用于从目标规则集对应的元素中,确定出不与目标规则集中的规则对应的元素重合的目标元素;
第二规则集重构模块,用于从目标规则集对应的元素中删去目标元素进行重构,得到更新后的目标规则集。
在一些实施例中,规则集对应的元素包含规则集中规则对应的元素。
在一些实施例中,元素至少包括源地址、目的地址、源端口、目的端口和协议类型中的一种或多种。
在一些实施例中,预设数量用于表征规则集中允许包含的规则的数量。
在一些实施例中,目标规则集对应的元素包含目标规则对应的元素。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
另外,本申请实施例还提供了一种电子设备,包括:处理器,存储器,存储在存储器上并可在处理器上运行的计算机程序,该计算机程序被处理器执行时实现上述数据获取方法实
施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本申请实施例还提供了一种计算机非易失性可读存储介质,计算机非易失性可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述数据获取方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,的计算机非易失性可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
图3为实现本申请各个实施例的一种电子设备的硬件结构示意图。
该电子设备300包括但不限于:射频单元301、网络模块302、音频输出单元303、输入单元304、传感器305、显示单元306、用户输入单元307、接口单元308、存储器309、处理器310、以及电源311等部件。本领域技术人员可以理解,图3中示出的电子设备结构并不构成对电子设备的限定,电子设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。在本申请实施例中,电子设备包括但不限于手机、平板电脑、笔记本电脑、掌上电脑、车载终端、可穿戴设备、以及计步器等。
应理解的是,本申请实施例中,射频单元301可用于收发信息或通话过程中,信号的接收和发送,具体的,将来自基站的下行数据接收后,给处理器310处理;另外,将上行的数据发送给基站。通常,射频单元301包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外,射频单元301还可以通过无线通信系统与网络和其他设备通信。
电子设备通过网络模块302为用户提供了无线的宽带互联网访问,如帮助用户收发电子邮件、浏览网页和访问流式媒体等。
音频输出单元303可以将射频单元301或网络模块302接收的或者在存储器309中存储的音频数据转换成音频信号并且输出为声音。而且,音频输出单元303还可以提供与电子设备300执行的特定功能相关的音频输出(例如,呼叫信号接收声音、消息接收声音等等)。音频输出单元303包括扬声器、蜂鸣器以及受话器等。
输入单元304用于接收音频或视频信号。输入单元304可以包括图形处理器(Graphics Processing Unit,GPU)3041和麦克风3042,图形处理器3041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元306上。经图形处理器3041处理后的图像帧可以存储在存储器309(或其它存储介质)中或者经由射频单元301或网络模块302进行发送。麦克风3042可以接收声音,并且能够将这样的声音处理为音频数据。处理后的音频数据可以在电话通话模式的情况下转换为可经由射频单元301发送到移动通信基站的格式输出。
电子设备300还包括至少一种传感器305,比如光传感器、运动传感器以及其他传感器。具体地,光传感器包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板3061的亮度,接近传感器可在电子设备300移动到耳边时,关闭显示面板3061和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般
为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别电子设备姿态(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;传感器305还可以包括指纹传感器、压力传感器、虹膜传感器、分子传感器、陀螺仪、气压计、湿度计、温度计、红外线传感器等,在此不再赘述。
显示单元306用于显示由用户输入的信息或提供给用户的信息。显示单元306可包括显示面板3061,可以采用液晶显示器(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板3061。
用户输入单元307可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。具体地,用户输入单元307包括触控面板3071以及其他输入设备3072。触控面板3071,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板3071上或在触控面板3071附近的操作)。触控面板3071可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器310,接收处理器310发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板3071。除了触控面板3071,用户输入单元307还可以包括其他输入设备3072。具体地,其他输入设备3072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆,在此不再赘述。
进一步的,触控面板3071可覆盖在显示面板3061上,当触控面板3071检测到在其上或附近的触摸操作后,传送给处理器310以确定触摸事件的类型,随后处理器310根据触摸事件的类型在显示面板3061上提供相应的视觉输出。虽然在图3中,触控面板3071与显示面板3061是作为两个独立的部件来实现电子设备的输入和输出功能,但是在某些实施例中,可以将触控面板3071与显示面板3061集成而实现电子设备的输入和输出功能,具体此处不做限定。
接口单元308为外部装置与电子设备300连接的接口。例如,外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。接口单元307可以用于接收来自外部装置的输入(例如,数据信息、电力等等)并且将接收到的输入传输到电子设备300内的一个或多个元件或者可以用于在电子设备300和外部装置之间传输数据。
存储器309可用于存储软件程序以及各种数据。存储器309可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器309可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器310是电子设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器309内的软件程序和/或模块,以及调用存储在存储器309内的数据,执行电子设备的各种功能和处理数据,从而对电子设备进行整体监控。处理器310可包括一个或多个处理单元;在一些实施例中,处理器310可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器310中。
电子设备300还可以包括给各个部件供电的电源311(比如电池),在一些实施例中,电源311可以通过电源管理系统与处理器310逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
另外,电子设备300包括一些未示出的功能模块,在此不再赘述。
本申请实施例还提供了一种计算机非易失性可读存储介质,如图4所示,计算机非易失性可读存储介质上存储有计算机程序401,计算机程序401被处理器执行时实现上述数据获取方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,的计算机非易失性可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,资源服务器,空调器,或者网络设备等)执行本申请各个实施例的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。
本领域普通技术人员可以意识到,结合本申请实施例中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,资源服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (20)
- 一种访问控制列表规则配置方法,其特征在于,所述方法包括:当获取到下发的目标规则时,确定是否存在规则集;其中,所述目标规则和所述规则集均具有对应的元素;若确定存在所述规则集,且所述规则集对应的元素不包含/不完全包含所述目标规则对应的元素,则根据所述目标规则对应的元素对所述规则集进行重构,得到目标规则集;其中,所述目标规则集对应的元素包含所述目标规则对应的元素;将所述目标规则添加至所述目标规则集中。
- 根据权利要求1所述的方法,其特征在于,在所述当获取到下发的目标规则时,确定是否存在规则集之后,还包括:若确定不存在所述规则集,则根据所述目标规则对应的元素构建目标规则集;将所述目标规则添加至所述目标规则集中。
- 根据权利要求1所述的方法,其特征在于,在所述确定存在所述规则集之后,还包括:从所述规则集中确定出所述规则集对应的元素包含所述目标规则对应的元素、且所述规则集中规则的数量小于预设数量的目标规则集;将所述目标规则添加至所述目标规则集中。
- 根据权利要求3所述的方法,其特征在于,所述若确定存在所述规则集,且所述规则集对应的元素不包含/不完全包含所述目标规则对应的元素,则根据所述目标规则对应的元素对所述规则集进行重构,得到目标规则集,包括:当无法从所述规则集中确定出所述规则集对应的元素包含所述目标规则对应的元素、且所述规则集中规则的数量小于所述预设数量的目标规则集时,从所述规则集中确定出所述规则集中规则的数量小于所述预设数量的候选规则集;根据所述目标规则对应的元素对所述候选规则集进行重构,得到目标规则集。
- 根据权利要求4所述的方法,其特征在于,所述根据所述目标规则对应的元素对所述候选规则集进行重构,得到目标规则集,包括:从所述目标规则对应的元素中,确定出所述候选规则集对应的元素不包含的目标元素;将所述目标元素添加至所述候选规则集对应的元素进行重构,得到目标规则集。
- 根据权利要求4所述的方法,其特征在于,所述根据所述目标规则对应的元素对所述候选规则集进行重构,得到目标规则集,包括:根据所述目标规则对应的元素对任意一个所述候选规则集进行重构,得到目标规则集。
- 根据权利要求4所述的方法,其特征在于,所述根据所述目标规则对应的元素对所述候选规则集进行重构,得到目标规则集,包括:根据所述目标规则对应的元素对包含规则数量最少的所述候选规则集进行重构,得到目标规则集。
- 根据权利要求4所述的方法,其特征在于,所述根据所述目标规则对应的元素对所述 候选规则集进行重构,得到目标规则集,包括:根据所述目标规则对应的元素对对应元素数量最少的所述候选规则集进行重构,得到目录规则集。
- 根据权利要求4所述的方法,其特征在于,所述根据所述目标规则对应的元素对所述候选规则集进行重构,得到目标规则集,包括:将所述目标规则对应的元素与所述候选规则集对应的元素进行比对,确定出与所述目标规则对应的元素相似度最高的元素所属的所述候选规则集;根据所述目标规则对应的元素对所述相似度最高的元素所属的所述候选规则集进行重构,得到目标规则集。
- 根据权利要求9所述的方法,其特征在于,所述将所述目标规则对应的元素与所述候选规则集对应的元素进行比对,确定出与所述目标规则对应的元素相似度最高的元素所属的所述候选规则集,包括:确定所述候选规则集对应的元素与所述目标规则对应的元素之间重复的元素;将所述重复的元素数量最多的所述候选规则集,确定为与所述目标规则对应的元素相似度最高的元素所属的所述候选规则集。
- 根据权利要求3所述的方法,其特征在于,在所述确定存在所述规则集之后,还包括:当所述目标规则无法添加至所述规则集中时,根据所述目标规则对应的元素构建目标规则集;将所述目标规则添加至所述目标规则集中。
- 根据权利要求11所述的方法,其特征在于,还包括:当全部所述规则集中规则的数量均等于所述预设数量时,确定所述目标规则无法添加至所述规则集中。
- 根据权利要求1所述的方法,其特征在于,还包括:获取下发的规则删除指令;其中,所述规则删除指令具有对应的目标规则集、以及所述目标规则集中的目标规则信息;根据所述规则删除指令删除所述目标规则集中的所述目标规则。
- 根据权利要求13所述的方法,其特征在于,在所述根据所述规则删除指令删除所述目标规则集中的所述目标规则之后,还包括:从所述目标规则集对应的元素中,确定出不与所述目标规则集中的规则对应的元素重合的目标元素;从所述目标规则集对应的元素中删去所述目标元素进行重构,得到更新后的所述目标规则集。
- 根据权利要求1所述的方法,其特征在于,所述规则集对应的元素包含所述规则集中规则对应的元素。
- 根据权利要求1所述的方法,其特征在于,所述元素至少包括源地址、目的地址、 源端口、目的端口和协议类型中的一种或多种。
- 根据权利要求3所述的方法,其特征在于,所述预设数量用于表征所述规则集中允许包含的规则的数量。
- 一种访问控制列表规则配置装置,其特征在于,包括:规则集确定模块,用于当获取到下发的目标规则时,确定是否存在规则集;其中,所述目标规则和所述规则集均具有对应的元素;规则集重构模块,用于若确定存在所述规则集,且所述规则集对应的元素不包含/不完全包含所述目标规则对应的元素,则根据所述目标规则对应的元素对所述规则集进行重构,得到目标规则集;其中,所述目标规则集对应的元素包含所述目标规则对应的元素;规则添加模块,用于将所述目标规则添加至所述目标规则集中。
- 一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,所述处理器、所述通信接口以及所述存储器通过所述通信总线完成相互间的通信;所述存储器,用于存放计算机程序;所述处理器,用于执行存储器上所存放的程序时,实现如权利要求1-17任一项所述的方法。
- 一种计算机非易失性可读存储介质,其特征在于,其上存储有指令,当由一个或多个处理器执行时,使得所述处理器执行如权利要求1-17任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211712569.1 | 2022-12-30 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2024139279A1 true WO2024139279A1 (zh) | 2024-07-04 |
Family
ID=
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11057376B2 (en) | Method, apparatus, and system for controlling intelligent device, and storage medium | |
| WO2021129762A1 (zh) | 应用分享方法、电子设备及计算机可读存储介质 | |
| WO2021109907A1 (zh) | 应用分享方法、第一电子设备及计算机可读存储介质 | |
| US20220318038A1 (en) | Interface sharing method and electronic device | |
| WO2020020126A1 (zh) | 信息处理方法及终端 | |
| US20220398058A1 (en) | Display method and apparatus | |
| CN109257336B (zh) | 一种基于区块链的密码信息处理方法、终端设备 | |
| WO2020156118A1 (zh) | 管理方法及终端设备 | |
| WO2020220876A1 (zh) | 应用界面显示方法及移动终端 | |
| CN103279288A (zh) | 数据传输方法、装置和终端设备 | |
| WO2018006841A1 (zh) | 二维码信息传输方法、装置以及设备 | |
| WO2021136106A1 (zh) | 群组创建方法、电子设备及服务器 | |
| US11895069B2 (en) | Message sending method and mobile terminal | |
| WO2018049935A1 (zh) | 一种数据迁移的方法及终端 | |
| WO2021057301A1 (zh) | 文件控制方法及电子设备 | |
| WO2021136183A1 (zh) | 粘贴控制方法及电子设备 | |
| CN108270757B (zh) | 一种用户账户切换方法、装置、客户端以及系统 | |
| WO2021129771A1 (zh) | 应用分享方法、第一电子设备及计算机可读存储介质 | |
| WO2020088681A1 (zh) | 模型文件的管理方法和终端设备 | |
| WO2021143669A1 (zh) | 一种获取配置信息的方法及电子设备 | |
| KR20200090260A (ko) | 서비스 처리 방법 및 이동 통신 단말 | |
| US20220236837A1 (en) | View Display Method and Electronic Device | |
| WO2020156117A1 (zh) | 文件处理方法和装置以及终端 | |
| WO2021083108A1 (zh) | 文件压缩方法、文件解压方法和电子设备 | |
| KR101876394B1 (ko) | 단말기에 미디어 데이터를 재생하는 방법 및 장치 |