[发明专利]一种基于云协同的安全过滤方法

权利要求书

1.一种基于云协同的安全过滤方法，应用于包括业务管理服务器、业务终端和网络节点的系统，其特征在于，所述基于云协同的安全过滤方法，包括：

业务管理服务器或网络节点获取业务终端的IP地址，对获取的IP地址进行统计分析，根据网络节点本身控制表项的容量，获取动态起始前缀长度S；

分别计算前N比特位相同的IP地址对应的特征值，所述特征值等于M/(2^X)，M为前N比特位相同的IP地址的条数，X等于IP地址的比特位总数减去N，判断计算得到的特征值是否大于等于预设阈值T，如果是则将所述前N比特位相同的IP地址聚合为对应的网段地址，其中N为首个比特位开始连续相同的比特位数，N大于等于S；

业务管理服务器将聚合得到的网段地址作为白名单下发给网络节点，网络节点获取白名单中的网段地址，或网络节点直接根据自己聚合得到的网段地址，生成对应的控制表项，控制数据的转发。

2.根据权利要求1所述的基于云协同的安全过滤方法，其特征在于，所述基于云协同的安全过滤方法，还包括：

业务管理服务器在将聚合得到的网段地址作为白名单下发给网络节点后，如果接收到该网段地址中IP地址对应的业务终端的注册，不再向网络节点下发白名单通知。

3.根据权利要求1所述的基于云协同的安全过滤方法，其特征在于，所述基于云协同的安全过滤方法，还包括：

网络节点在聚合得到网段地址后，将所述网段地址发送给业务管理服务器，业务管理服务器如果接收到该网段地址中IP地址对应的业务终端的注册，不再向网络节点下发白名单通知。

4.根据权利要求1所述的基于云协同的安全过滤方法，其特征在于，所述基于云协同的安全过滤方法，还包括：

业务管理服务器在将聚合得到的网段地址作为白名单下发给网络节点时，还将该网段地址中非业务终端的IP地址放入黑名单，生成黑名单下发给网络节点，以便网络节点生成对应的黑名单控制表项。

5.根据权利要求4所述的基于云协同的安全过滤方法，其特征在于，所述基于云协同的安全过滤方法，还包括：

业务管理服务器如果接收到该网段地址中放入黑名单的IP地址对应的业务终端的注册，向网络节点下发白名单通知，以便网络节点删除对应的黑名单表项。

6.根据权利要求1所述的基于云协同的安全过滤方法，其特征在于，所述基于云协同的安全过滤方法，还包括：

网络节点在根据聚合得到的网段地址生成控制表项时，还将该网段地址中不在白名单中的IP地址放入黑名单，生成黑名单控制表项；

网络节点如果接收到业务管理服务器下发的白名单中的IP地址为该网段地址中放入黑名单的IP地址，则删除对应的黑名单表项。

7.根据权利要求1所述的基于云协同的安全过滤方法，其特征在于，所述基于云协同的安全过滤方法，还包括：

业务管理服务器接收业务终端退出信息，重新计算前N比特位相同的IP地址对应的特征值，所述特征值等于M/(2^X)，M为前N比特位相同的IP地址的条数M，X等于IP地址的比特位总数减去N，判断计算得到的特征值是否大于等于预设阈值T，如果否，则通知网络节点删除聚合网段地址对应的控制表项，生成对应每个业务终端IP地址的控制表项。

8.根据权利要求1所述的基于云协同的安全过滤方法，其特征在于，所述基于云协同的安全过滤方法，还包括：

业务管理服务器接收业务终端退出信息，重新计算前N比特位相同的IP地址对应的特征值，所述特征值等于M/(2^X)，M为前N比特位相同的IP地址的条数，X等于IP地址的比特位总数减去N，判断计算得到的特征值是否大于等于预设阈值T，如果是，则将退出业务终端的IP地址放入黑名单，生成黑名单下发给网络节点。

9.根据权利要求1所述的基于云协同的安全过滤方法，其特征在于，所述动态起始前缀长度S，通过如下公式计算：

S＝IP地址的比特位总数-log₂C其中，C为网络节点本身控制表项的容量。