专利名称:一种接入控制方法及装置的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及网络安全相关领域,具体的讲是一 种接入控制方法及装置。
背景技术:
访问策略表项,是指对指定的某一类报文,使用指定的行为来处理的表项。策略表项由三部分组成规则(rule),掩码(mask),行为(action)。如 图l所示为现有技术中策略表项规则和掩码的示意图。规则指事先定义好的一个比较对象或比较范围,每个需要比较的对象与 这个定义的比较对象进行比较,看自己是否等于或包含于这个比较对象中。 规则由有限个数的具体特征组成,如介质接入控制地址(MAC: Media Access Control ),传输控制协议地址 (IP: Transport Control Protocol)等。将各个特征称为字段,每个字段由连续 的几个字节组成。规则中的字段可以分为两类固定字段,自定义字段。固 定字段指这个字段只能用于表示某个特征,如针对与IPv4协议的规则中第1 -6字节只能用于表示SMAC字段等(SMAC是源MAC地址的縮写,DMAC是目的M AC的縮写,SIP是源IP地址的縮写,DIP是目的IP地址的縮写)。自定义字 段指此字段所表示的内容可以由用户自己定义,用户可以使用自定义字段去 表示头部中的任何字段。如规则中的自定义字段可以用来表示协议类型,也 可以用来表示TCP的源端口号。自定义字段可以由用户自己定义所表示的内 容,则自定义字段也可以用来表示与固定字段同样的内容。如,固定字段包 含有SMAC字段,但用户同样可以用自定义字段来表示SMAC。自定义字段要表示什么内容,由模板来决定。模板,用于决定在自定义字段所要表示的字段内容。对于每一类报文,有自己独立的模板,可以用来 表示不同的内容。在规则中,并不是所有的字段都要去进行匹配比较。例如在某些使用中只需要去比较MAC地址,而不想去比较IP地址,这时候就需要使用上掩码来表 示比较过程中关心的字段。掩码(mask)指在配置的规则中,需要关心的是哪 些字段内容,同时不关心哪些字段内容。用"1"来表示关心,"0"表示不 关心。对于字段中的每一个最小单元,即每一位,都要明确的定义是关心还 是不关心。如只想要比较MAC地址字段,而不想去比较IP地址字段,则将MAC 地址字段对应的掩码设置为全l,表示要关心,同时将IP地址字段的掩码设置 为0,表示不关心。在字段内,也可以只关心字段中的部分内容。行为指满足了配置的规则及掩码时,要让满足的对象所要做的动作。策 略中的行为是对匹配的报文的处理动作,包括如让报文通过或丢弃,修改报 文的某些内容等动作。每一个要进行比较的报文,从报文中提取出与规则相对应字段的内容, 由这些内容组成的一个序列称为关键字。然后就用这个关键字与规则进行比 较了。当有多条规则存在时,关键字按顺序与规则进行比较。从第一个规则 开始。如果关键字与此规则没有匹配中,则与下一条规则进行比较;如果匹 配中了,则使用规则对应的行为对报文进行处理,且不要往下比较了。在比 较过程中,如掩码中此位值为l,则关键字及规则中的此位要完全一致才说明 匹配中了。如果掩码中此位值为0,则关键字的此位无论为何值都说明匹配中 了。只有所有的位都匹配中了,才说明关键字与规则是匹配中的。当关键字 与规则匹配中时,则对匹配中的报文使用对应的行为进行处理。互联网协议第四版(IPv4: Internet Protocol version 4)及地址解析 协议(ARP: Address Resolution Protocol)是现有网络中最常见的两种报 文,同时攻击报文中大部分都是IPv4及ARP报文。为此,使用策略表项来设置 不同报文的行为是阻止攻击报文是一种有效的手段。管理员将可信任报文的行为设置为通过,其它非法报文的行为设置为丢弃。攻击报文属于非法报文,将被丢弃。对于IPv4报文, 一般通过SMAC , SIP来识别报文是否为可信任的 IPv4报文。对于ARP报文, 一般通过SMAC, SENDER IP来识别报文是否为可信 任的ARP报文。针对于IPv4报文来说,如我们想要让SIP为192. 168. 2. 10 , SMAC为 0000. 0000. 0002的报文通过,让其它的IP报文都丢弃。先处理规则部分。在SMAC字段填上OOOO. 0000. 0002 , 在SIP字段填上 192.168.2.10。不需要DMAC, DIP,自定义字段,则在DMAC, DIP,自定义字 段处填上O。再处理掩码部分。因为要关心SMAC, SIP,则在这两个字段上设置为全l; 不需要DMAC, DIP,自定义字段,则在DMAC, DIP,自定义字段上设置为全O。 行为部分是通过。对于让其它的IP报文都丢弃。即它并不关心进来的IP报文的SMAC, SI P, DMAC, DIP,自定义字段了。所以在规则部分都设置为O,在掩码部分都设 置为O即可。当一个IPv4报文进来后,它会提取出与规则字段内容一样的关键字,其 中的自定义部分由模板指定。如图2所示为现有技术中针对于IPv4报文关键 字示意图,SMAC为0000. 0000. 0002, DMAC为0000. 0000. 0005, SIP为192. 1 68.2.10, DIP为192. 168. 5, 5。在与关键字进行SMAC和SIP的匹配后,得出 IP报文与关键字相同的结果,则允许通过。针对于地址解析协议报文(ARP: Address Resolution Protocol)来说, 一般通过SMAC,发送方IP (SENDER IP)来识别报文是否为可信任的ARP报 文,而现有的交换芯片的策略控制引擎一般都没有提供针对ARP的SENDER I P的固定字段,要使用自定义字段来表示SENDER IP,假设SENDER IP为192. 168. 2. 10, SMAC为0000. 0000. 0002的ARP报文是可信任ARP报文,则要让此 报文通过。其它的ARP报文为非法报文,则要丢弃其它的ARP报文。图3为现有技术中针对于ARP报文的策略控制示意图。当收到一个SMAC为0000. 0000. 0002, DMAC为0000. 0000. 008, SENDER IP为192. 168. 2. 10的ARP报文时,提取出关键字,如图4所示为现有技术针 对于ARP报文提取的关键字示意图。此关键字与上面的规则进行比较,会匹配中第一条,则使用第一条的行 为来处理此报文,即让此报文通过。当一个可信任用户连接在交换机某个端口下时,则此用户的IPv4及ARP报 文都是可信任的。此用户的IPv4报文具有如下特征源工P为用户分配得到的 IP地址,源MAC为用户的MAC地址。此用户的ARP报文具有如下特征SENDER IP 为用户分配得到的IP地址,源MAC为用户的MAC地址。在开启ARP CHECK功能的 情况下,在交换机上则要生成一条针对此用户IPv4报文的策略表项(称为IPv4 表项)及一条针对此用户ARP报文的策略表项(ARP CHECK表项)。然而,在交换芯片中,由于策略表项资源往往需要使用价值比较昂贵的 三重内容可寻址存储器 (TCAM: ternary content addressable memory)来 存储,因此业界现有的交换芯片中策略表项的大小往往都是有限的,利用上 述现有技术容易造成策略表项的浪费,并且成本相对较高。特别针对于开启A RP-CHECK后,添加一个可信任用户时需要增加两条表项 一条用于匹配此信 任用户的IPv4报文,即IPv4表项,另一条用于匹配此信任用户的ARP报文, 即ARP-CHECK表项,用户可配置的用户数目最多为策略表项数目的一半,限 制了可配置的最大可信任用户数。以引入方式将其合并于此。发明内容本发明的目的在于提供一种接入控制方法,用于解决现有技术中针对于 不同类型的报文需要不同的接入策略表项的不足,实现了一种借助自定义字 段进行多种协议类型使用同一个接入策略表项的方法。本发明的目的还在于提供一种一种接入控制装置,用于实现上述方法, 并且不需要在现有网络设备上进行大的改动,实现成本低。为了解决上述现有问题,本发明实施例提供了一种接入控制方法,其特 征在于该方法包括,在所述模板的自定义字段写入与接入控制相关的特定字段,并在接入策略表规则的自定义字段写入特定值;根据所述模板提取不同 类型报文的信息,并构成该报文的关键字,将所述报文特定字段的数值写入 关键字的自定义字段,将该关键字与所述规则进行匹配,根据匹配的结果进 行预先定义的行为操作。根据本发明实施例所述的一种接入控制方法的一个进一步的方面,根据 所述模板提取不同类型报文信息的步骤中,所述不同类型报文包括IPv4报文 和ARP报文。根据本发明实施例所述的一种接入控制方法的再一个进一步的方面,在 所述模板的自定义字段写入与接入控制相关的特定字段的步骤中,对于ARP 报文的模板,在所述自定义字段写入发送者IP地址字段的信息;对于IPv4 报文的模板,在所述自定义字段写入源IP地址字段的信息。根据本发明实施例所述的一种接入控制方法的另一个进一步的方面,在 接入策略表规则的自定义字段写入特定值的步骤中,在所述规则的自定义字 段中写入允许接入的IP地址信息。根据本发明实施例所述的一种接入控制方法的另一个进一步的方面,将 所述报文特定字段的数值写入关键字的自定义字段步骤中,对于ARP报文, 将所述发送者IP地址信息写入所述关键字的自定义字段中;对于IPv4报文, 将所述源IP地址信息写入所述关键字的自定义字段中。根据本发明实施例所述的一种接入控制方法的另一个进一步的方面,将 该关键字与所述规则进行匹配的步骤中,所述匹配包括匹配所述关键字自定 义字段中的数值与所述规则自定义字段中的数值。根据本发明实施例所述的一种接入控制方法的另一个进一步的方面,如果所述关键字与所述规则匹配成功,则进行预先定义的行为操作是指,允许 所述报文接入。根据本发明实施例所述的一种接入控制方法的另一个进一步的方面,如 果所述关键字与所述规则匹配不成功,则将该关键字与其它规则相匹配,如 果匹配成功则进行与所述其它规则相应的行为操作。为了解决上述现有问题,本发明实施例还提供了一种接入控制装置,其 特征在于该装置包括,模板修改单元,模板单元,提取单元,接入策略修改单元,接入策略表单元,匹配单元,行为单元;所述模板修改单元在所述模板单元的自定义字段写入与接入控制相关的特定字段;所述接入策略修改单元在所述接入策略表单元规则的自定义字段 写入特定值;所述提取单元根据所述模板单元中的模板提取不同类型报文的 信息,并构成该报文的关键字,将所述报文特定字段的数值写入关键字的自 定义字段;所述匹配单元将所述提取单元输出的关键字与所述接入策略表单 元中的规则进行匹配,并将匹配结果传送给所述行为单元进行处理。根据本发明实施例所述的一种接入控制装置的一个进一步的方面,所述 不同类i报文包括IPv4报文和ARP报文。本发明实施例的有益效果在于,本发明有效地解决了现有技术中开启 ARP-C服CK情况下,同时生成一条IPv4表项及一条ARP-CHECK表项而消耗过多策略表项的问题。通过调整表项内字段的设置及对模板的不同定义,达到 共享一条表项就能控制IPv4报文及ARP报文,从而极大地节省了表项的使用, 将表项的利用率提高了近一倍。而在没有开启ARP-CHECK情况下,只要做很 小的变化,就能只控制IP报文,从而可以有效的节约所述存储器,降低接入 控制的成本。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中图1所示为现有技术中策略表项规则和掩码的示意图; 图2所示为现有技术中针对于IPv4报文关键字示意图;图3为现有技术中针对于ARP报文的策略控制示意图;图4所示为现有技术针对于ARP报文提取的关键字示意图;图5所示为本发明接入控制方法第一实施例流程图;图6所示为本发明接入控制方法中模板和掩码第二实施例示意图;图7为本发明接入控制对IPv4报文提取关键字第二实施例示意图;图8为本发明接入控制对ARP报文提取关键字示意图;图9所示为本发明接入控制方法规则和掩码第三实施例的示意图;如图10所示为本发明接入控制方法针对于IPv4报文的关键字第三实施例的示意图;如图11所示为本发明接入控制方法针对于ARP报文的关键字第三实施例 的示意图;图12所示为本发明实施例接入控制装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施方式 和附图,对本发明做进一步详细说明。在此,本发明的示意性实施方式及其 说明用于解释本发明,但并不作为对本发明的限定。本发明实施例提供一种。以下结合附图对本发明进行详细说明。如图5所示为本发明接入控制方法第一实施例流程图。包括步骤501,修改网络中接入控制设备上的规则、模板和掩码,在所述 模板的自定义字段加入进行接入控制相关的特定字段;在所述规则与所述模 板自定义字段相应的字段加入所要控制的特定值。所述特定字段包括,网络设备进行接入控制时需要知道接入方的信息, 例如接入报文的SIP地址或者SMAC地址等。所述规则中加入的特定值包括,如果接入方符合该特定值则将进行某种 行为。修改所述掩码是指,按照现有技术中的掩码修改方式进行修改,对那些 接入控制中关心的字段进行相应设置。步骤502,当有报文接入时,在所述网络设备上根据所述模板提取不同协议类型的接入报文的关键字。因为根据上述模板提取关键字,所以该关键字在自定义字段具有相应的特定字段的数值。例如在自定义字段具有SIP字段的数值,或者Sender IP字 段的数值。步骤503,将所述关键字与所述规则作匹配,如果在掩码关心的字段匹配 成功,则进入步骤504,否则进入步骤505。步骤504,根据与所述规则对应的行为进行操作。 步骤505,根据默认的行为进行操作。以IPv4报文和ARP报文为例,如图6所示为本发明接入控制方法中模板和 掩码第二实施例示意图,图7为本发明接入控制对IPv4报文提取关键字第二实 施例示意图,图8为本发明接入控制对ARP报文提取关键字示意图。在所述模板中的自定义字段写入IP字段,该IP字段如图7中的SIP,或者 如图8中的Sender IP,掩码只关心SMAC字段、报文类型字段和自定义字段的I P字段内容,如果当接入的报文在SMAC地址、报文类型和IP字段的内容与规则 中定义的一样,则进行相应的行为操作,可以是使符合上述规则的报文通过 或者拒绝该报文通过。对于报文类型字段,因为要同时匹配中IPv4及ARP,则要将报文类型的 规则设置为0x0800,掩码设置为0xFFF9,这样设置之后,可以同时提取报文 类型值为0x0800 (IP报文),0x0802 (目前未用到),0x0804 (目前未用到),0x0806 (ARP报文)。由于以上设置会将以太网类型值为0x0802, 0x0804也包含在内,如果刚 好这类报文的SMAC字段值与设置的规则相同,同时在Sender IP对应位置处 的值与设置的值相同,则这样的报文也会被匹配中,在实现时应提供界面允 许网管配置接入控制表(ACL)使得这两类报文可以先匹配中优先级高的策略 规则而不受本策略规则的影响。同时要设置IPv4报文及ARP报文的模板。对于IPv4报文,在模板中设置需 要得到的是SIP字段。SIP字段为从IP包头部开始的偏移量12字节到15字节的 内容,上述四个字节组成SIP字段。在提取关键字时,将该S工P字段的数据写 入如图7所示的IP字段。对于ARP报文,在模板中设置需要得到的是Sender IP字段,Sender IP字 段为从ARP包头部开始的偏移量14字节到17字节的内容,上述四个字节组成Se nder IP字段。在提取关键字时,将该Sender IP字段的数据写入如图8所示的 IP字段。当IPv4报文接入时,根据模板提取该报文的关键字,并按照规则进行关 键字的匹配,除了匹配IPv4报文接入控制中所需要匹配的SMAC地址和IP报文 类型之外,将关键字的IP字段与规则的IP字段进行匹配,在关键字段中为SIP 地址,所述规则的IP字段同样为SIP地址,如果上述字段内容均匹配,则按照 接入控制的策略中的行为进行操作,允许接入或者拒绝接入。当ARP报文接入时,根据模板提取该报文的关键字,并按照规则进行关键 字的匹配,除了匹配ARP报文接入控制中所需要匹配的SMAC地址和ARP报文类 型之外,将关键字的IP字段与规则的IP字段进行匹配,在关键字段中为Sende r IP地址,所述规则的IP字段同样为Sender IP地址,如果上述字段内容均匹配,则按照接入控制的策略中的行为进行操作,允许接入或者拒绝接入。如果在未开启ARP-CHECK时,只需要将报文类型修改为只匹配IPv4报文即 可。可对规则及其对应的掩码进行如下设置(其他关于SMAC地址和SIP地址的规则、掩码不需要改变)规则0x0800,掩码OxFFFF。这样在开启ARP-CHECK 及关闭ARP-CHECK之间进行切换时,能够方便地进行实现。
通过本发明的解决方案,在开启ARP-CHECK时,使用一条表项就能够匹 配中IPv4报文及ARP报文,对IPv4报文及ARP报文进行控制,从而节省了一半的表项的使用。管理员可配置的信任用户数目提高了一倍。同时在关闭 ARP-CHECK时,只要做很小的改动,就能让表项只匹配中IPv4报文。
如图9所示为本发明接入控制方法规则和掩码第三实施例的示意图,如图 10所示为本发明接入控制方法针对于IPv4报文的关键字第三实施例的示意 图,如图11所示为本发明接入控制方法针对于ARP报文的关键字第三实施例的 示意图。
网络设备修改访问策略中的模板,将IPv4报文模板的自定义字段设置为I P报文的12字节至15字节的内容,将ARP模板的自定义字段设置为IP报文的14 字节至7字节的内容。
在图9中的规则1为SMAC地址为0000. 0000. 0002,协议类型为0800 (即工P报 文),自定义字段的取值为192. 168.2. 10 (即SIP地址为192. 168. 2. 10),对 应的掩码l, SMAC字段的掩码为FFFF.FFFF.FFFF,协议类型字段的掩码为FFF9 (即对于规则为0800、 0802、 0804、 0806均可以进行匹配),自定义字段的掩 码为255. 255. 255. 255。确定了只有当接入报文的SMAC地址为OOOO. 0000. 0002, 协议类型为0800、 0802、 0804或0806,自定义字段的SIP地址为192. 168. 2, 10的报文才能匹配成功,进行某种预定的行为操作,在本例中为允许接入。
在图9中的规则2为SMAC地址为0000. 0000. 0000,协议类型为0800 (即IP 报文),自定义字段的取值为O. 0.0.0 (g卩SIP地址为O. 0.0.0)。在与规则2 相对应的掩码2中,SMAC字段的掩码为OOOO. 0000. 0000,协议类型字段的掩码 为FFF9 (即对于规则为0800、 0802、 0804、 0806均可以进行匹配),表示任 意的SMAC字段数值和0800、 0802、 0804、 0806的协议类型都可以在规则2中匹 配成功,自定义字段的掩码为O. 0.0.0,表示任意的自定义字段数值都与规则2匹配。当接入报文与规则2和相应的掩码2匹配成功,则进行某种预定的行为 操作,在本例中为不允许接入。当所述接入报文分别与所有的接入策略表项(即所有的规则和相应的掩 码)进行匹配后,都没有匹配成功,则在一般情况下允许该报文接入。当接入的报文为IPv4类型的IP报文,该报文的SMAC为0000. 0000. 0002, DMAC为0000. 0000. 0005, SIP为192. 168. 2. 10, DIP为192. 168. 5. 5,提取出的 关键字如图10所示。当接入报文为ARP类型的ARP报文,该报文SMAC为0000. 0000. 0002, DMAC 为OOOO. 0000. 0008, SENDER IP为192. 168.2. 10,提取出的关键字如图ll所示。当有报文进入该网络设备后,例如为交换机,该设备将接入报文按照模 板提取数据内容,构成关键字,并将该关键字与上述图9中的规则相匹配,如 果与规则l匹配成功则进行相应的行为,在本例中为允许该接入数据报文通过 本交换机,如果与规则1不相匹配则与规则2相匹配,在本例中,凡是与规则l 匹配不成功的报文均会与规则2匹配成功。即,(SMAC, SIP)不是 (0000. 0000. 0002, 192. 168. 2. 10)的IPv4报文不会匹配中规则l,都会匹配中 规则2。同时(SMAC, SENDER IP)不是(0000. 0000. 0002, 192. 168. 2. 10)的ARP 报文不会匹配中规则l,都会匹配中规则2。在关闭ARP-CHECK时,只要将以太网类型字段的掩码设置为相应IPv4对应 的数值,在本例中为FFFF,此时上述的ARP报文在以太网类型字段不会匹配中, 所以不会匹配中任何规则。解决了交换机等网络设备在开启ARP-CHECK情况下,访问策略表需要同 时生成一条IPv4表项及一条ARP-CHECK表项,消耗过多策略表项的问题。通 过调整表项内字段的设置及对模板的不同定义,达到共享一条表项就能控制 IPv4报文及ARP报文,从而极大地节省了表项的使用,将表项的利用率提高 了近一倍。而在没有开启ARP-CHECK情况下,只要做很小的变化,就能只控 制IP报文。如图12所示为本发明实施例接入控制装置的结构示意图。包括模板修改单元1201,模板单元1202,提取单元1203,接入策略修改 单元1204,访问策略表单元1205,匹配单元1206,行为单元1207。所述模板修改单元1201与模板单元1202相连接,所述模板单元1202与提 取单元1203相连接,所述提取单元1203与匹配单元1206相连接,所述接入策 略修改单元1204与访问策略表单元1205相连接,所述访问策略表单元1205与 匹配单元1206相连接,所述匹配单元1206与行为单元1207相连接。所述访问策略表单元1205—般采用TCAM作为存储器,所以造价很高,在 本发明实施例中通过模板修改单元1201对所述模板单元1202进行修改,将模 板单元1202中模板的自定义字段修改为特定字段,例如,对于IPv4类型的报 文将对应的模板自定义字段修改为SIP,对于ARP类型的报文对应的模板自定 义字段修改为Sender IP。所述提取单元1203,根据所述模板单元1202中针对于不同协议类型的报文提取报文中的数据构成相应的关键字。所述接入策略修改单元1204,用于修改访问策略表单元1205中的规则和掩码,修改规则后可以控制具有特定值的报文可以接入或者拒绝接入所述接 入控制装置所在的网络设备,例如交换机,修改掩码后可以控制规则的有效 性。所述匹配单元1206,用于将所述提取单元1203提取的报文关键字与所述 访问策略表单元1205中的规则、掩码进行匹配,将匹配结果传送给所述行为 单元1207。所述行为单元1207,用于根据匹配结果,即成功或者不成功按照事先预 定的行为对所述报文进行处理,例如允许接入所述交换机或者拒绝接入所述 交换机。本发明有益效果在于,节省了网络设备的访问策略表的存储空间,节省 了该访问策略表的成本,并且只需作很小的改变就可以应用于现有的网络设备上,实现成本低,并且能够有效的控制接入访问。以上所述的具体实施方式
,对本发明的目的、技术方案和有益效果进行 了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式
而 已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做 的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种接入控制方法,其特征在于该方法包括,在所述模板的自定义字段写入与接入控制相关的特定字段,并在接入策略表规则的自定义字段写入特定值;根据所述模板提取不同类型报文的信息,并构成该报文的关键字,将所述报文特定字段的数值写入关键字的自定义字段,将该关键字与所述规则进行匹配,根据匹配的结果进行预先定义的行为操作。
2. 根据权利要求1所述的一种接入控制方法,其特征在于,根据所述模 板提取不同类型报文信息的步骤中,所述不同类型报文包括IPv4报文和地址 解析协议报文。
3. 根据权利要求2所述的一种接入控制方法,其特征在于,在所述模板 的自定义字段写入与接入控制相关的特定字段的步骤中,对于地址解析协议 报文的模板,在所述自定义字段写入发送者IP地址字段的信息;对于IPv4 报文的模板,在所述自定义字段写入源IP地址字段的信息。
4. 根据权利要求3所述的一种接入控制方法,其特征在于,在接入策略 表规则的自定义字段写入特定值的步骤中,在所述规则的自定义字段中写入 允许接入的IP地址信息。
5. 根据权利要求4所述的一种接入控制方法,其特征在于,将所述报文特定字段的数值写入关键字的自定义字段步骤中,对于地址解析协议报文, 将所述发送者IP地址信息写入所述关键字的自定义字段中;对于IPv4报文, 将所述源IP地址信息写入所述关键字的自定义字段中。
6. 根据权利要求5所述的一种接入控制方法,其特征在于,将该关键字 与所述规则进行匹配的步骤中,所述匹配包括匹配所述关键字自定义字段中 的数值与所述规则自定义字段中的数值。
7. 根据权利要求5所述的一种接入控制方法,其特征在于,如果所述关键字与所述规则匹配成功,则进行预先定义的行为操作是指,允许所述报文 接入。
8. 根据权利要求5所述的一种接入控制方法,其特征在于,如果所述关 键字与所述规则匹配不成功,则将该关键字与其它规则相匹配,如果匹配成 功则进行与所述其它规则相应的行为操作。
9. 一种接入控制装置,其特征在于该装置包括,模板修改单元,模板单 元,提取单元,接入策略修改单元,接入策略表单元,匹配单元,行为单元;所述模板修改单元在所述模板单元的自定义字段写入与接入控制相关的 特定字段;所述接入策略修改单元在所述接入策略表单元规则的自定义字段 写入特定值;所述提取单元根据所述模板单元中的模板提取不同类型报文的 信息,并构成该报文的关键字,将所述报文特定字段的数值写入关键字的自 定义字段;所述匹配单元将所述提取单元输出的关键字与所述接入策略表单 元中的规则进行匹配,并将匹配结果传送给所述行为单元进行处理。
10. 根据权利要求9所述的一种接入控制装置,其特征在于,所述不同 类型报文包括IPv4报文和地址解析协议报文。
全文摘要
本发明涉及通信安全领域,为了解决现有技术中用于接入策略表的存储器造价较高,而目前针对于不同类型报文采用不同策略表项造成存储器浪费的不足,提供了一种接入控制方法及装置,该方法包括在所述模板的自定义字段写入与接入控制相关的特定字段,并在接入策略表规则的自定义字段写入特定值;根据所述模板提取不同类型报文的信息,并构成该报文的关键字,将所述报文特定字段的数值写入关键字的自定义字段,将该关键字与所述规则进行匹配,根据匹配的结果进行预先定义的行为操作。本发明的有益效果在于,可以有效的节约所述存储器,降低接入控制的成本。
文档编号H04L12/56GK101409677SQ20081018156
公开日2009年4月15日 申请日期2008年11月27日 优先权日2008年11月27日
发明者肖文清 申请人:福建星网锐捷网络有限公司