[发明专利]报文访问控制方法、装置、设备及存储介质有效
| 申请号: | 202110772439.6 | 申请日: | 2021-07-08 |
| 公开(公告)号: | CN113438252B | 公开(公告)日: | 2023-01-10 |
| 发明(设计)人: | 王新菊;贾李健;王征归;梁彧;蔡琳;杨满智;王杰;田野;金红;陈晓光;傅强;张园;李路 | 申请(专利权)人: | 恒安嘉新(北京)科技股份公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 北京品源专利代理有限公司 11332 | 代理人: | 赵迎迎 |
| 地址: | 100098 北京市海淀区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 报文 访问 控制 方法 装置 设备 存储 介质 | ||
本发明实施例公开了一种报文访问控制方法、装置、设备及存储介质。该方法应用于汇聚分流设备中的可编程芯片,包括:实时接收目标报文,并通过芯片的入口管道和出口管道分别对所述目标报文进行解析,得到目标数据,所述目标数据中包括报文载荷部分的内容;通过芯片的入口管道和出口管道,分别根据解析得到的目标数据查询掩码访问控制列表,获取匹配的处理策略;根据匹配的处理策略,对所述目标报文进行相应的转发或丢弃。本发明实施例的技术方案,利用芯片管道对报文的载荷部分进行数据解析,实现对UDF报文的ACL过滤。
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种报文访问控制方法、装置、设备及存储介质。
背景技术
随着通信技术的发展,协议的类型越来越多,用户定义功能(User-DefinedFunction,UDF)使得用户可以按照自定义的报文头进行访问控制列表(Access ControlList,ACL)匹配。
目前,基于网络安全的现网汇聚分流需求,汇聚分流设备接收报文以后,可能需要从报文载荷头部自定义的固定偏移开始,匹配若干个字节做ACL过滤。但是,当载荷部分是可变长的时候,传统汇聚分流设备无法解析载荷部分。如果通过CPU来解析报文载荷部分或者非传统意义上的报文,性能比较低。
发明内容
本发明实施例提供一种报文访问控制方法、装置、设备及存储介质,利用芯片管道对报文的载荷部分进行数据解析,实现对UDF报文的ACL过滤。
第一方面,本发明实施例提供了一种报文访问控制方法,应用于汇聚分流设备中的可编程芯片,包括:
实时接收目标报文,并通过芯片的入口管道和出口管道分别对目标报文进行解析,得到目标数据,目标数据中包括报文载荷部分的内容;
通过芯片的入口管道和出口管道,分别根据解析得到的目标数据查询掩码访问控制列表,获取匹配的处理策略;
根据匹配的处理策略,对目标报文进行相应的转发或丢弃。
可选的,通过芯片的入口管道对目标报文进行解析,得到目标数据,包括:
通过入口管道中的分析器模块,为目标报文的所有相关的报文头定义对应的存储区域,通过移动指针位置,依次对目标报文的各报文头进行解码并存储到对应的存储区域中;
当指针移动到报文载荷部分的起始位置时,调用芯片中的lookahead关键字,获取指针指向的当前位置之后的预设长度的报文内容,作为目标数据。
可选的,通过芯片的出口管道对目标报文进行解析,得到目标数据,包括:
通过出口管道中的分析器模块,调用芯片中的lookahead关键字,获取指针指向的当前位置之后的预设长度的报文内容,作为目标数据;
其中,指针当前指向目标报文的起始位置。
可选的,还包括:
通过入口管道的MAU模块或者出口管道的MAU模块,获取控制函数下发的实体数据,并根据所述实体数据更新掩码访问控制表;
其中,所述实体数据包括响应于用户配置操作生成的与配置信息对应的key值和掩码,所述配置信息包括起始偏移位置和待匹配数据。
可选的,实体数据的生成方式,包括:
分别获取预设长度的第一内存空间和第二内存空间;
在第一内存空间中,从起始偏移位置开始存储待匹配数据,并将其余字节设置为0;
在第二内存空间中,将与第一内存空间中的待匹配数据对应的字节设置为1,将其余字节设置为0;
将第一内存空间中的key值与第二内存空间中的掩码,作为实体数据。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于恒安嘉新(北京)科技股份公司,未经恒安嘉新(北京)科技股份公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110772439.6/2.html,转载请声明来源钻瓜专利网。
