专利名称:一种贯穿iso二层到七层的网络管理和安全访问控制方法
技术领域:
本发明属于网络管理和安全访问控制领域,尤其是适用于通过集成电路芯片来实现从二层到七层的网络管理和安全访问控制的方法。
背景技术:
ISO网络分为七层(L1-L7),其特点是每一层可以实现模块化设计,各层彼此独立,实现方法也彼此独立,对网络的成本降低从而带来普及和实现有重大意义。但是,在这分层结构中,现代网络对信息安全及管理方式的要求越来越强烈,要求从二层到七层(L2-L7)的通讯是符合统一的安全及管理策略。也就是说,要求安全及管理策略贯穿从二层到七层(L2-L7)。
传统的二层到七层(L2-L7)是彼此独立的。而现在的网络安全管理要求每一层在作出决定的时候,完全符合贯穿从二层到七层(L2-L7)安全及管理策略。从结构上讲,网络的安全和管理策略需要一个纵向结构,纵向结构是贯穿二层到七层(L2-L7)的(如图2所示),也就是数据的通信需要建立二维的结构,既确保ISO的二层到七层(L2-L7)高效益和可延续性,又符合安全和管理策略要求贯穿二层到七层(L2-L7)的需要,同时确保二层到七层(L2-L7)的高带宽。这就给目前主流的二层到七层(L2-L7)设计网络带来了一个巨大的挑战。
有两种解决途径一、通过CPU介入每一层,实现管理和安全策略。缺点是,网络的2L到3L到7L需要很高的通讯速度,而CPU介入使实际上通讯速度却成百倍的降低。
二、在ASIC实现2层交换3层路由、4层TCP/UDP通讯的时候,每一层独立的决定都由一个中心的架构安全管理策略来贯穿始终。其困难是,需要通过ASIC实现2层交换3层路由、TCP/UDP的通讯由每层来实现的,同时有一个中心构架的功能模块来实时(Real time)介入这个决策过程。难点在于此电路设计非常复杂且没有先例。
发明内容
本发明旨在克服上述现有网络管理及安全访问控制解决方案中存在的问题,提供一种贯穿ISO二层到七层的网络管理和安全访问控制方法。该方法建立了以芯片方式纵向贯穿二层到七层(L2-L7)的中心架构的安全管理模式,并确保ISO二层到七层(L2-L7)分层结构的简单高效性和可连续性。
本发明分为两部分 其一,建立一个N维空间;其二,建立一个控制(策略)平台,目的是用户基于N维空间特点实现所需求的安全管理。
其步骤如下a、建立纵向全部或部分、贯穿二层到七层(L2-L7)的关联体系,即N维空间;b、基于N维空间,建立一个用户可编程写入用于匹配数据特征并可进行选项的平台,该平台中的每一项表项与上述a项中的N维空间关联体系一一对应,即N个表项;c、基于上述a项和b项设计完成逻辑,数据包与N维空间特性一一匹配,同时建立N维空间中用户可编程的执行逻辑,使用户根据匹配结果判定并执行相应的操作。
所述N维空间把数据包中包含二层到七层(L2-L7)的相关子项以彼此独立地方关联起来。
所述子项为网络数据包中包含二层到七层(L2-L7)的包头的常用的子项,以他们作为可以独立变化的空间。
这包括如目的MAC地址、源MAC地址、目的IP地址、源IP地址、802.1的类型(type);IP header中的各子项,如目的IP地址,源IP地址,IP vision、第4层中TCP端口号(port)、UDP端口号(port)、TCP或UDP的session状态等。
所述子项为一部分N维空间通过一个掩码采样技术(masking),由用户在使用时决定,可以是二层到七层(L2-L7)中任何数据特征。
这个掩码采样(masking)技术可以使数据包中深度为数据包的前64个字节或128个字节、256个字节的任何数据特征或者它们的组合,由用户在使用时决定根据具体情况和应用来决定。
建立所述用户可以选项的平台的步骤是在N维空间建立之后,在N维的每一维都对应着设计一个数据表,也就是N个数据表格,在数据表格里的深度为64、128、256、1K或2K,该表格的具体内容由网络安全管理员按照实际的网络管理及安全措施的要求填入,或根据通常的网络管理及安全措施的要求提供一个初始配置。
建立所述N维空间中用户可编程的执行逻辑的步骤是在网络中收到的每一个数据包时,数据包中与N维空间相关联的子项被提取出,逐一与N维空间中的每一个子项进行匹配,在每一个维中,完全匹配以1代表,不匹配以0代表,N维空间形成一个N位的项量;以此项量的部分或者全部,作为搜寻的特征key,在一个策略表中搜寻,如果没有匹配到一条策略,就执行缺损操作;如果匹配到一条策略,则分析在N维空间的匹配结果,匹配结果分为完全匹配和部分匹配;完全匹配对应几个具体操作,部分匹配对应独立于完全匹配的决策操作。
典型的决策操作包括(但是不限于)是否决定数据包通过,是否拒绝数据包通过,是否转发数据包到CPU,是否转发数据包到日志端口,是否改变数据包流向,是否改变数据包内容的某些域。
基于这些决策操作,就设计完成了N维空间中用户可以编程的能力,从而实现用户所需求的安全和管理策略。
本发明的优点及有益效果表现在该方法建立了以芯片方式纵向贯穿二层到七层(L2-L7)的中心架构的安全管理模式,并确保保留ISO二层到七层(L2-L7)分层结构的简单高效性和可连续性,采用本发明可以使关键指标能在多端口实现千兆或者万兆线速。
图1为本发明流程框2为本发明贯穿ISO二层到七层的结构示意框3为本发明逻辑框图具体实施方式
本发明的步骤如下a、建立纵向全部或部分贯穿二层到七层(L2-L7)的关联体系即N维空间;b、基于N维空间,建立一个用户可编程写入用于匹配数据特征并可进行选项的平台,该平台中的每一项表项与上述a项中的N维空间关联体系一一对应,即N个表项c、基于上述a项和b项设计完成逻辑,数据包与N维空间特性一一匹配,同时建立N维空间中用户可编程的执行逻辑,使用户根据匹配结果判定并执行相应的操作。
下面结合附图对本发明作进一步详细阐述(见图1、图2、图3)一、建立N维空间N维空间的目的是把数据包中包含二层到七层(L2-L7)的相关子项以彼此独立地方关联起来。这些子项分为两类第一类、网络数据包中包含二层到七层(L2-L7)的包头的常用的子项,以他们作为可以独立变化的空间。
这包括如目的MAC地址、源MAC地址、目的IP地址、源IP地址、802.1的类型(type),IP header中的各子项,如目的IP地址,源IP地址,IP vision、第4层中TCP端口号(port)、UDP端口号(port)、TCP或UDP的session状态等。
第二类、N维空间通过一个掩码采样技术(masking),由用户在使用时决定,可以是二层到七层(L2-L7)中任何数据特征。这个掩码采样(masking)技术可以使数据包中深度为数据包的前64个字节或128个字节、256个字节的任何数据特征或者它们的组合,由用户在使用时决定根据具体情况和应用来决定。
二、建立一个用户可以选项的平台其实现方式是以步骤一中所诉的方法建立N维空间之后,在N维的每一维都对应着设计一个数据表,也就是N个数据表格,在数据表格里的深度为M,M的大小可以是64、128、256、1K、2K。这个表格的具体内容由网络安全管理员按照实际的网络管理及安全措施的要求填入,设计者可以提供一个初始配置确保符合通常的网络管理及安全措施的要求。
三、建立N维空间中用户可编程的执行逻辑。
在网络中收到的每一个数据包时,数据包中与N维空间相关联的子项被提取出,逐一与N维空间中的每一个子项进行匹配(匹配算法可以是二选法、hashing,数状搜寻法等),在每一个维中,完全匹配以1代表,不匹配以0代表。N维空间形成一个N位的项量;以此项量的部分或者全部,作为搜寻的特征key,在一个策略表中搜寻。如果没有匹配到一条策略,就执行缺损操作;如果匹配到一条策略,则分析在N维空间的匹配结果,匹配结果分为完全匹配和部分匹配。完全匹配对应几个具体操作。部分匹配对应独立于完全匹配的决策操作。典型的决策操作包括(但是不限于)是否决定数据包通过,是否拒绝数据包通过,是否转发数据包到CPU,是否转发数据包到日志端口,是否改变数据包流向,是否改变数据包内容的某些域(如VLAN、TOS、COS、MAC地址)等。详细情况,见逻辑流程图3。
基于这些决策操作,就设计完成了N维空间中用户可以编程的能力,从而实现用户所需求的安全和管理策略。
系统产品或者集成电路产品或者软件产品的功能中,凡是把ISO从二层到七层(L2-L7)(部分或全部)网络结构中,以纵向贯穿的方式,实现部分或全部子项的关联关系,均属于此专利涵盖范围内。也就是说打破二层到七层(L2-L7)分层结构的彼此功能模块独立性的做法及思路,都属于本发明专利的含概范畴和保护范畴。
系统产品或者集成电路产品或者软件产品的功能中,凡是包含了向用户提供把数据包中二层到七层(L2-L7)中部分或全部子项(subsetof bit stream)提取出来,与N维关联的策略子项进行匹配的平台,都属于本发明专利的含概范畴和保护范畴。
系统产品或者集成电路产品或者软件产品的功能中,凡是基于数据包中二层到七层(L2-L7)中部分或全部子项(subset of bit stream)关联匹配的结果,进行管理和安全操作的功能,都属于本发明专利的含概范畴和保护范畴。
本专利申请文件(说明书、说明书附图、权利要求书、说明书摘要、摘要附图)中所给出的所有英文以及缩略语为本领域专用语或通用语,如CPU、IP地址等等,直接以英文表示,即便在教科书或科技期刊中亦是如此。这其中“IP vision”意为“IP版号”,“session”为“连接”,“VLAN”为“虚拟局域网”,“TOS”为“服务类型”,“COS”为“服务级别”,“DA”为“目的地址”,“SA”为“源地址”,“Type”为“类型”,“DATA”为“数据”,“Length”为“长度”,“Sport”为“源端口”,“Dsport”为“目的端口”,“Mask Value”为“掩码值”,“ISO”为“国际标准组织”。
权利要求
1.一种贯穿ISO二层到七层的网络管理和安全访问控制方法,其特征在于步骤如下a、建立纵向的、全部或部分的、贯穿二层到七层(L2-L7)的关联体系,即N维空间;b、基于N维空间,建立一个用户可编程写入用于匹配数据特征并可进行选项的平台,该平台中的每一项表项与上述a项中的N维空间关联体系一一对应,即N个表项;c、基于上述a项和b项设计完成逻辑,数据包与N维空间特性一一匹配,同时建立N维空间中用户可编程的执行逻辑,使用户根据匹配结果判定并执行相应的操作。
2.根据权利要求1所述的一种贯穿ISO二层到七层的网络管理和安全访问控制方法,其特征在于所述N维空间把数据包中包含二层到七层(L2-L7)的相关子项彼此关联起来。
3.根据权利要求2所述的一种贯穿ISO二层到七层的网络管理和安全访问控制方法,其特征在于所述子项为网络数据包中包含二层到七层(L2-L7)的包头的常用的子项,而且上述子项作为可以独立变化的空间。
4.根据权利要求3所述的一种贯穿ISO二层到七层的网络管理和安全访问控制方法,其特征在于所述子项包括,目的MAC地址、源MAC地址、目的IP地址、源IP地址、802.1的类型;IP header中的目的IP地址,源IP地址,IP vision;第4层中TCP端口号、UDP端口号、TCP或UDP的连接状态。
5.根据权利要求2所述的一种贯穿ISO二层到七层的网络管理和安全访问控制方法,其特征在于所述子项为一部分N维空间通过掩码采样方法,由用户在使用时决定,可以是二层到七层中任何数据特征。
6.根据权利要求5所述的一种贯穿ISO二层到七层的网络管理和安全访问控制方法,其特征在于所述掩码采样方法使数据包中深度为数据包的前64个字节或128个字节、256个字节的任何数据特征或者它们的组合,由用户在使用时决定根据具体情况和应用来决定。
7.根据权利要求1所述的一种贯穿ISO二层到七层的网络管理和安全访问控制方法,其特征在于建立所述用户可以选项的平台的步骤是在N维空间建立之后,在N维的每一维都对应着设计一个数据表,也就是N个数据表格,在数据表格里的深度为64、128、256、1K或2K,该表格的具体内容由网络安全管理员按照实际的网络管理及安全措施的要求填入,或根据通常的网络管理及安全措施的要求提供一个初始配置。
8.根据权利要求1所述的一种贯穿ISO二层到七层的网络管理和安全访问控制方法,其特征在于建立所述N维空间中用户可编程的执行逻辑的步骤是在网络中收到的每一个数据包时,数据包中与N维空间相关联的子项被提取出,逐一与N维空间中的每一个子项进行匹配,在每一个维中,完全匹配以1代表,不匹配以0代表,N维空间形成一个N位的项量;以此项量的部分或者全部,作为搜寻的特征key,在一个策略表中搜寻,如果没有匹配到一条策略,就执行缺损操作,如果匹配到一条策略,则分析在N维空间的匹配结果;匹配结果分为完全匹配和部分匹配,完全匹配对应几个具体操作,部分匹配对应独立于完全匹配的决策操作。
9.根据权利要求8所述的一种贯穿ISO二层到七层的网络管理和安全访问控制方法,其特征在于典型的决策操作包括(但是不限于)是否决定数据包通过,是否拒绝数据包通过,是否转发数据包到CPU,是否转发数据包到日志端口,是否改变数据包流向,是否改变数据包内容的某些域。
全文摘要
本发明公开了一种适用于通过集成电路芯片来实现从二层到七层的网络管理和安全访问控制的方法。其步骤是建立纵向全部或部分贯穿二层到七层的关联体系即N维空间;基于N维空间,建立一个用户可编程写入用于匹配数据特征并可进行选项的平台,该平台与所述N维空间中的关联体系一一对应;基于N维空间和所述平台设计完成逻辑;数据包与N维空间特性一一匹配,同时建立N维空间中用户可编程的执行逻辑,使用户根据匹配结果判定并执行相应的操作。该方法建立了以芯片方式纵向贯穿二层到七层的中心架构的安全管理模式,并确保ISO二层到七层分层结构的简单高效性和可连续性。采用本发明可以使关键指标能在多端口实现千兆线速。
文档编号H04L29/06GK1595934SQ20041004005
公开日2005年3月16日 申请日期2004年6月23日 优先权日2004年6月23日
发明者李为民, 王步伟, 包雅林, 李黎, 陈卓, 孙杰, 马春晨 申请人:四川南山之桥微电子有限公司