专利名称:分片报文的网络访问控制方法
技术领域:
本发明涉及一种网络访问控制技术,尤其涉及一种对分片报文进行网络访问控制的方法。
目前对分片报文的访问控制主要有两种一种是对于所有的分片报文采取全部通过或者全部禁止的方法。这种方法存在很大的安全隐患和应用限制;当全部通过的时候,黑客很容易构造分片报文实施流量攻击;当全部禁止的时候,所有的分片报文,包括合法的报文都将被拒绝丢弃,这在实际应用中是不允许的。另一种网络访问控制方法中所应用ACL尽管也包含有三层信息及三层以外信息,例如包含源目的地址信息、协议类型以及三层以外信息,其中三层以外信息包括TCP/用户数据协议(UDP)端口号,互联网控制报文协议(ICMP)类型、代码,但对分片报文仅进行三层信息的规则匹配,以确定分片报文的网络可访问性,其承载的三层以外信息被忽略,这种方法无法保证分片报文的网络访问控制的有效性,黑客构造分片报文实施流量攻击的可能性仍然存在,因而,网络的安全性无法得到更好地保证。
本发明的目的是这样实现的分片报文的网络访问控制方法,包括(1)根据需要记录分片报文中首片报文的属性信息及分片标识;
(2)分片报文中的后续分片报文根据其分片标识,查询与该后续分片报文分片标识相同的首片报文的属性信息;(3)根据上述查询结果确定该后续分片报文的网络可访问性。
所述的步骤(1)包括(21)判断报文是否为分片报文中的首片报文,如果是,执行步骤(22),否则,执行步骤(23);(22)根据需要记录该首片报文的属性信息及分片标识;(23)结束本次判断过程。
所述的属性信息为首片报文的网络可访问性信息。
所述的报文为互联网协议(IP)报文,判断报文是否为分片报文中的首片报文是根据判断报文的分片标志和分片偏移量进行判断的。
所述的属性信息为首片报文的三层以外信息。
所述的根据需要记录分片报文中首片报文的属性信息及分片标识,包括(61)将首片报文的三层信息及三层以外信息与相应的访问控制规则进行匹配,判断该首片报文是否可以进行相应的访问,如可以进行相应的访问,执行步骤(62),否则,执行步骤(63);(62)记录该首片报文的三层以外信息和分片标识;(63)结束本次操作。
所述的三层信息包括网络地址信息、协议类型信息;所述的三层以外信息包括传输控制协议/用户数据报协议(TCP/UDP)端口号、互联网控制报文协议(ICMP)类型、代码。
所述的步骤(62)中记录的三层以外信息和分片标识采用散列树数据结构进行保存。
所述的以散列树数据结构保存三层以外信息和分片标识,包括(91)发生需要记录的首片报文的三层以外信息和分片际识;(92)判断以散列树数据结构组建的状态信息表是否允许添加新的表项,如果允许,执行步骤(93),否则,执行步骤(94);(93)将首片报文的三层以外信息和分片标识记录到状态信息表中;(94)结束本次操作。
由上述技术方案可以看出,本发明可以记录下分片报文中的首片报文的三层以外信息或网络可访问性及分片标识,然后分片报文可以通过所记录的属性信息确定其网络可访问性。本发明解决了现有网络访问控制技术所存在无法保证对分片报文访问网络进行有效控制的缺点,实现了分片报文的网络访问控制也可以与普通报文或首片报文的网络访问控制一样,由访问控制列表中所记录的三层信息及三层以外信息的可访问性确定,从而更好地保证了网络的安全性。
图3为状态信息表的结构示意图。
本发明是针对网络访问控制中所应用的ACL中包含有三层以外信息的情况设计的,本发明采用记录首片报文三层以外信息的方法,以满足分片报文进行相应信息的ACL规则匹配。本发明的实现主要可以包括判断分片报文是否首分片报文,如果是,则记录三层以外的信息;如果是后续分片报文,则以分片标识为检索关键字检索已经记录的属性信息,若检索到,则三层以外信息全部获得,执行普通报文的匹配操作便可实现对分片报文的网络访问进行控制。
为了提高效率和安全性,由于后续分片报文的匹配行为取决于首片分片报文的行为,对于后续分片来说,仅当其首片报文被允许的情况下,ACL中的包含三层以外匹配的规则对后续分片报文作用才有效,才有记录属性信息的必要;因此,当首片报文被ACL允许的时候,才记录该报文的三层以外信息,当首片被ACL规则项禁止的时候,不记录任何信息。另外,后续分片报文的网络可访问性同首片报文是一致的,我们也可以仅通过记录首片报文的网络可访问性信息确定分片报文的网络可访问性,以进一步提高分片报文网络访问控制的效率。
本发明所述的分片报文的网络访问控制方法的具体实现方式,参见图2,如下所述步骤1接收包含有分片特性的IP报文;步骤2根据报文的分片标志和分片偏移量判断是否为分片报文中的首片报文,如果是,执行步骤3,否则,执行步骤5;步骤3将首片报文的三层信息及三层以外信息与相应的访问控制规则进行匹配,判断该首片报文是否可以进行相应的访问,如可以进行相应的访问,执行步骤4,否则,不做任何记录,执行步骤1;步骤4记录该首片报文的三层以外信息和分片标识,执行步骤1;记录的三层以外信息和分片标识采用散列树数据结构进行保存,首先利用散列树数据结构组织建立状态信息表,参见图3;状态信息表中的每一个表项中记录了一个首分片报文的三层以外信息以或者ACL对其过滤行为(允许或者禁止)的信息,线性表存放分片报文的分片标识经过散列运算后的散列序号,相同散列序号的表项再组成一个双向链表;
然后,当发生需要记录的首片报文的三层以外信息和分片标识时,判断以散列树数据结构组建的状态信息表是否允许添加新的表项,如果允许,则将首片报文的三层以外信息和分片标识记录到状态信息表中,否则无法记录首片报文的三层以外信息及分片标识;考虑额外风险,对状态信息表进行了保护,包括限制最大允许记录项总数;限制在散列非均匀分布的情况下,对每个散列支中记录项的数目;提供记录项的时间老化功能,即当在非正常情况下,当记录项不能正常删除的时候,通过超时时间限制来删除,以提高对分片报文进行网络访问控制的可靠性;步骤5则该报文为后续分片报文,根据后续分片报文的分片标识查询是否存在与其分片标识对应的三层以外信息,如存在,执行步骤6,否则,执行步骤7;步骤6根据所记录的关于该后续分片报文的三层以外信息及后续分片报文所承载的三层信息,确定该后续分片报文的网络可访问性;三层信息包括网络地址信息、协议类型信息;三层以外信息包括传输控制协议/用户数据报协议(TCP/UDP)端口号、互联网控制报文协议(ICMP)类型、代码;确定后续分片报文的网络可访问性与确定普通报文的网络可访问性相同,将关于该后续分片报文的三层信息及三层以外信息与相应的ACL规则进行匹配,根据匹配的结果确定其网络可访问性;步骤7禁止该后续分片报文进行相应的访问。
上述具体实施方案中还可以将步骤3省去,即当确定该分片报文为首片报文后,直接记录该首片报文的三层以外信息及分片标识,与该首片报文对应的后续分片报文则可以根据所记录的相应的三层以外信息及分片标识确定其网络可访问性。
本发明所述的分片报文的网络访问控制方法还可以在确定了首片报文的可访问性后,仅将首片报文的可访问性信息及其分片标识记录下来,后续分片报文可以根据分片标识查询与其对应的首片报文的可访问性信息,以确定后续分片报文的网络可访问性;后续分片报文的网络可访问性与所查询到的,与其对应的首片报文的可访问性相同。这一实施方案只记录首片报文的网络可访问性信息和分片标识,减少了记录的信息量,同时也使后续分片报文无需再一次进行规则匹配,从而使分片报文的网络访问控制过程更为方便、快捷。
权利要求
1.一种分片报文的网络访问控制方法,包括(1)根据需要记录分片报文中首片报文的属性信息及分片标识;(2)分片报文中的后续分片报文根据其分片标识,查询与该后续分片报文分片标识相同的首片报文的属性信息;(3)根据上述查询结果确定该后续分片报文的网络可访问性。
2.根据权利要求1所述的分片报文的网络访问控制方法,其特征在于所述的步骤(1)包括(21)判断报文是否为分片报文中的首片报文,如果是,执行步骤(22),否则,执行步骤(23);(22)根据需要记录该首片报文的属性信息及分片标识;(23)结束本次判断过程。
3.根据权利要求1所述的分片报文的网络访问控制方法,其特征在于所述的属性信息为首片报文的网络可访问性信息。
4.根据权利要求2所述的分片报文的网络访问控制方法,其特征在于所述的报文为互联网协议(IP)报文,判断报文是否为分片报文中的首片报文是根据判断报文的分片标志和分片偏移量进行判断的。
5.根据权利要求4所述的分片报文的网络访问控制方法,其特征在于所述的属性信息为首片报文的三层以外信息。
6.根据权利要求5所述的分片报文的网络访问控制方法,其特征在于所述的根据需要记录分片报文中首片报文的属性信息及分片标识,包括(61)将首片报文的三层信息及三层以外信息与相应的访问控制规则进行匹配,判断该首片报文是否可以进行相应的访问,如可以进行相应的访问,执行步骤(62),否则,执行步骤(63);(62)记录该首片报文的三层以外信息和分片标识;(63)结束本次操作。
7.根据权利要求6所述的分片报文的网络访问控制方法,其特征在于所述的三层信息包括网络地址信息、协议类型信息;所述的三层以外信息包括传输控制协议/用户数据报协议(TCP/UDP)端口号、互联网控制报文协议(ICMP)类型、代码。
8.根据权利要求6所述的分片报文的网络访问控制方法,其特征在于所述的步骤(62)中记录的三层以外信息和分片标识采用散列树数据结构进行保存。
9.根据权利要求8所述的分片报文的网络访问控制方法,其特征在于所述的以散列树数据结构保存三层以外信息和分片标识,包括(91)发生需要记录的首片报文的三层以外信息和分片标识;(92)判断以散列树数据结构组建的状态信息表是否允许添加新的表项,如果允许,执行步骤(93),否则,执行步骤(94);(93)将首片报文的三层以外信息和分片标识记录到状态信息表中;(94)结束本次操作。
全文摘要
本发明涉及一种网络访问控制技术中的分片报文的网络访问控制方法。包括首先,根据需要记录分片报文中首片报文的属性信息及分片标识;然后,分片报文中的后续分片报文根据其分片标识,查询与该后续分片报文分片标识相同的首片报文的属性信息;最后,根据上述查询结果确定该后续分片报文的网络可访问性。由上述技术方案可以看出,本发明解决了现有网络访问控制技术所存在无法保证对分片报文访问网络进行有效控制的缺点,实现了分片报文的网络访问控制也可以与普通报文或首片报文的网络访问控制一样方便,从而更好地保证了网络的安全性。
文档编号H04L29/08GK1411218SQ0211728
公开日2003年4月16日 申请日期2002年4月23日 优先权日2002年4月23日
发明者杨炜 申请人:华为技术有限公司