[发明专利]一种基于云协同的安全过滤方法

说明书

本发明公开了一种基于云协同的安全过滤方法，由业务管理服务器或网络节点获取业务终端的IP地址，然后根据网络节点本身控制表项的容量，计算动态起始前缀长度，从动态起始前缀长度开始判断是否满足聚合条件，在满足时对业务终端的IP地址进行自适应聚合，聚合为对应的网段，将网段地址作为白名单通知给网络节点，或网络节点直接根据自己聚合得到的网段地址，网络节点根据聚合后的网段地址来生成控制表项。本发明聚合后的网段最符合实际控制表项允许的转发网段，精确实现控制转发，减少了业务管理服务器与网络节点之间的信令交互，且大大减少了控制表项的数量。

技术领域

本发明属于访问控制技术领域，尤其涉及一种基于云协同的安全过滤方法。

背景技术

在集中式管理的信息系统中，管理服务器具有所有节点之间的交互信息，从而可以通过对网络节点的集中管控，下发白名单，在网络节点上添加控制表项，实现数据的转发控制。这种控制数据转发的控制表项一般是所有网络节点均支持的访问控制列表。

然而，由于网络节点的控制表项规格有限，采用静态访问控制列表会导致规格超标，无法适用于业务复杂的系统。动态访问控制列表由管理服务器随着与业务终端之间的交互而进行及时的增加/删除表项。即使如此，网络节点的访问控制列表的表项数量依旧十分紧张，从而导致系统无法采用深层控制表项，影响系统的安全性。

在集中式管理的信息系统中，业务管理服务器实现对所有业务终端和网络节点的控制。默认情况下，网络节点只允许网络基础协议数据和业务终端向业务管理服务器的注册消息通行，其他数据报文一概拒绝转发；当业务终端注册通过后，业务管理服务器才通知该业务终端对到业务管理服务器的路径上的所有网络节点对该业务终端放行该业务终端权限范围内可以交互的信令与数据，即增加白名单，当然该白名单必定包含该业务终端的IP地址。

但现有技术中，业务管理服务器为每一个业务终端向网络节点下发白名单通知消息，由于业务终端加入与退出频繁，导致业务管理服务器与网络节点之间的信令交互非常频繁，造成系统性能和网络带宽的占用都比较大，而且网络节点的访问控制列表的表项数量十分紧张。

发明内容

本申请的目的是提供一种基于云协同的安全过滤方法，用以减少业务管理服务器与网络节点之间的信令交互，也解决网络节点的控制表项数量紧张的问题。

为了实现上述目的，本申请技术方案如下：

业务管理服务器或网络节点获取业务终端的IP地址，对获取的IP地址进行统计分析，根据网络节点本身控制表项的容量，获取动态起始前缀长度S；

分别计算前N比特位相同的IP地址对应的特征值，所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方，X等于IP地址的比特位总数减去N，判断计算得到的特征值是否大于等于预设阈值T，如果是则将所述前N位比特相同的IP地址聚合为对应的网段地址，其中N为首个比特位开始连续相同的比特位数，N大于等于S；

业务管理服务器将聚合得到的网段地址作为白名单下发给网络节点，网络节点获取白名单中的网段地址，或网络节点直接根据自己聚合得到的网段地址，生成对应的控制表项，控制数据的转发。

进一步的，所述基于云协同的安全过滤方法，还包括：

业务管理服务器在将聚合得到的网段地址作为白名单下发给网络节点后，如果接收到该网段地址中IP地址对应的业务终端的注册，不再向网络节点下发白名单通知。

进一步的，所述基于云协同的安全过滤方法，还包括：

网络节点在聚合得到网段地址后，将所述网段地址发送给业务管理服务器，业务管理服务器如果接收到该网段地址中IP地址对应的业务终端的注册，不再向网络节点下发白名单通知。

进一步的，所述基于云协同的安全过滤方法，还包括：