[发明专利]一种动态粒度自聚合的安全过滤方法及装置

说明书

本发明公开了一种动态粒度自聚合的安全过滤方法及装置，由网络节点接收业务管理服务器下发的白名单，获取白名单中业务终端的IP地址，然后根据网络节点本身控制表项的容量，计算动态起始前缀长度，从动态起始前缀长度开始判断是否满足聚合条件，在满足时对白名单的IP地址进行自适应聚合，聚合为对应的网段，根据聚合后的网段地址来生成控制表项。本发明聚合后的网段最符合实际控制表项允许的转发网段，精确实现控制转发，且大大减少了控制表项的数量。

技术领域

本发明属于访问控制技术领域，尤其涉及一种动态粒度自聚合的安全过滤方法及装置。

背景技术

在集中式管理的信息系统中，管理服务器具有所有节点之间的交互信息，从而可以通过对网络节点的集中管控，下发白名单，在网络节点上添加控制表项，实现数据的转发控制。这种控制数据转发的控制表项一般是所有网络节点均支持的访问控制列表。

然而，由于网络节点的控制表项规格有限，采用静态访问控制列表会导致规格超标，无法适用于业务复杂的系统。动态访问控制列表由管理服务器随着与业务终端之间的交互而进行及时的增加/删除表项。即使如此，网络节点的访问控制列表的表项数量依旧十分紧张，从而导致系统无法采用深层控制表项，影响系统的安全性。

在集中式管理的信息系统中，业务管理服务器实现对所有业务终端和网络节点的控制。默认情况下，网络节点只允许网络基础协议数据和业务终端向业务管理服务器的注册消息通行，其他数据报文一概拒绝转发；当业务终端注册通过后，业务管理服务器才通知该业务终端对到业务管理服务器的路径上的所有网络节点对该业务终端放行该业务终端权限范围内可以交互的信令与数据，即增加白名单，当然该白名单必定包含该业务终端的IP地址。但现有技术中，业务管理服务器仅下发白名单，网络节点的访问控制列表的表项数量依旧十分紧张。

发明内容

本申请的目的是提供一种动态粒度自聚合的安全过滤方法及装置，用以减少网络节点的控制表项，解决网络节点的控制表项数量紧张的问题。

为了实现上述目的，本申请技术方案如下：

一种动态粒度自聚合的安全过滤方法，应用于网络节点，包括：

接收业务管理服务器下发的白名单，获取白名单中业务终端的IP地址；

根据网络节点本身控制表项的容量，获取动态起始前缀长度S；

对获取的IP地址进行统计分析，分别计算前N比特位相同的IP地址对应的特征值，所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方，X等于IP地址的比特位总数减去N，判断计算得到的特征值是否大于等于预设阈值T，如果是则将所述前N位比特相同的IP地址聚合为对应的网段地址，其中N为首个比特位开始连续相同的比特位数，N大于等于S；

生成聚合得到的网段地址对应的控制表项，控制数据的转发。

进一步的，所述动态粒度自聚合的安全过滤方法，还包括：

在根据聚合得到的网段地址生成控制表项时，还将该网段地址中不在白名单中的IP地址放入黑名单，生成黑名单控制表项。

进一步的，所述动态粒度自聚合的安全过滤方法，还包括：

接收业务管理服务器下发的业务终端退出信息，重新计算前N比特位相同的IP地址对应的特征值，所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方，X等于IP地址的比特位总数减去N，判断计算得到的特征值是否大于等于预设阈值T，如果否，则删除聚合得到的网段地址对应的控制表项，生成每个IP地址的单独控制表项。

进一步的，所述动态粒度自聚合的安全过滤方法，还包括：