专利名称:用于ip包分类设备的五元组规则更新方法和装置的制作方法
技术领域:
本发明涉及网络安全应用领域,尤其涉及一种一种用于IP包分类设备的五元组
规则更新方法和装置。
背景技术:
使用普通网卡,应用程序及网卡驱动程序都可以维护五元组规则表。但是都是采
用软件实现的,无法由网卡硬件实现,无法进行软、硬件之间的交互操作等。 目前,相关技术中没有有效的方法进行五元组规则管理,相关技术还不能同时满
足以下几方面要求 (1)支持用户进行动态的添加、删除操作,并将此更改信息及时地更新到过滤网卡 设备中; (2)支持过滤网卡设备进行动态的规则无效操作;
(3)支持规则生命期无效操作。
发明内容
针对相关技术中存在的一个或多个问题,本发明的目的在于提供一种用于IP包
分类设备的五元组规则更新方法和装置,以解决上述问题中的至少之一。 为实现上述目的,根据本发明的一个方面,提供了一种用于IP包分类设备的五元
组规则更新方法,该方法包括通过软件维护用于IP包分类设备的五元组规则表,使用于IP
包分类设备的五元组规则表与过滤网卡设备中的五元组规则表相一致,其中,当用户对用
于IP包分类设备的五元组规则表进行操作时,确定操作的有效性,并在操作有效时更新过
滤网卡设备中的相关信息;当接收到过滤网卡设备发送的规则无效信息时,根据规则无效
信息删除用于IP包分类设备的五元组规则表中相应的规则;以及以预定周期对五元组规
则表中的规则生命期进行判断,删除无效的规则。 优选地,当用户对用于IP包分类设备的五元组规则表进行规则添加操作时,检 查五元组规则表中是否存在将要添加的规则,如果五元组规则表中没有将要添加的规则, 则确定操作有效,进行添加操作,如果五元组规则表中存在将要添加的规则,则确定操作无 效。 优选地,当用户对用于IP包分类设备的五元组规则表进行规则删除操作时,检 查五元组规则表中是否存在将要删除的规则,如果五元组规则表中存在将要删除的规则, 则确定操作有效,进行删除操作,如果五元组规则表中没有将要删除的规则,则确定操作无 效。 优选地,通过定时器来设定在预定周期启动规则生命期判断操作。 优选地,当定时器启动时,开始遍历用于IP包分类设备的五元组规则表,当检查
出规则生命期已经过期时,删除对应的规则。 为实现上述目的,根据本发明的另一个方面,还提供了一种用于IP包分类设备的五元组规则更新装置,该五元组规则更新装置通过软件维护用于IP包分类设备的五元组 规则表,使用于IP包分类设备的五元组规则表与过滤网卡设备中的五元组规则表相一致, 该装置可以包括第一更新单元,用于当用户对用于IP包分类设备的五元组规则表进行操 作时,确定操作的有效性,并在操作有效时更新过滤网卡设备中的相关信息;第二更新单 元,用于当接收到过滤网卡设备发送的规则无效信息时,根据规则无效信息删除用于IP包 分类设备的五元组规则表中相应的规则;以及第三更新单元,用于以预定周期对五元组规 则表中的规则生命期进行判断,删除无效的规则。 优选地,当用户对用于IP包分类设备的五元组规则表进行规则添加操作时,第一 更新单元检查五元组规则表中是否存在将要添加的规则,如果五元组规则表中没有将要添 加的规则,则确定操作有效,进行添加操作,如果五元组规则表中存在将要添加的规则,则 确定操作无效。 优选地,当用户对用于IP包分类设备的五元组规则表进行规则删除操作时,第二 更新单元检查五元组规则表中是否存在将要删除的规则,如果五元组规则表中存在将要删 除的规则,则确定操作有效,进行删除操作,如果五元组规则表中没有将要删除的规则,则 确定操作无效。 优选地,第三更新单元包括定时器,定时器用于设定预定周期,以在预定周期启动 规则生命期判断操作。 优选地,当定时器启动时,第三更新单元开始遍历用于IP包分类设备的五元组规 则表,当检查出规则生命期已经过期时,删除对应的规则。 借助本发明上述至少一个技术方案,通过对五元组进行更新和管理,能够支持用 户进行动态的添加、删除操作,并将此更改信息及时地更新到过滤网卡设备中,支持过滤网 卡设备进行动态地规则无效操作,并且支持规则生命周期无效操作。
图1是根据本发明的用于IP包分类设备的五元组规则更新装置的框图。
具体实施方式
功能概述 考虑到相关技术中存在的一个或多个问题,本发明提出了一种用于IP包分类设 备的五元组规则更新方法和装置,通过对五元组进行更新和管理,能够支持用户进行动态 的添加、删除操作,并将此更改信息及时地更新到过滤网卡设备中,支持过滤网卡设备进行 动态地规则无效操作,并且支持规则生命周期无效操作。 根据本发明的用于IP包分类设备的五元组规则更新方法通过软件维护用于IP包 分类设备的五元组规则表,使用于IP包分类设备的五元组规则表与过滤网卡设备中的五 元组规则表相一致,该方法包括以下处理 当用户对用于IP包分类设备的五元组规则表进行操作时,确定操作的有效性,并 在操作有效时更新过滤网卡设备中的相关信息; 当接收到过滤网卡设备发送的规则无效信息时,根据规则无效信息删除用于IP 包分类设备的五元组规则表中相应的规则;以及
以预定周期对五元组规则表中的规则生命期进行判断,删除无效的规则。
其中,以上更新操作没有先后顺序之分,需要时可以同时进行操作,其先后顺序对 本发明的效果没有影响。
其中,当用户对用于IP包分类设备的五元组规则表进行规则添加操作时,检查 五元组规则表中是否存在将要添加的规则,如果五元组规则表中没有将要添加的规则,则 确定操作有效,进行添加操作,并且规则总数加一,如果五元组规则表中存在将要添加的规 则,则确定操作无效。
其中,当用户对用于IP包分类设备的五元组规则表进行规则删除操作时,检查 五元组规则表中是否存在将要删除的规则,如果五元组规则表中存在将要删除的规则,则 确定操作有效,进行删除操作,并且规则总数减一,如果五元组规则表中没有将要删除的规 则,则确定操作无效。
其中,可以通过定时器来设定在预定周期启动规则生命期判断操作。当定时器启 动时,开始遍历用于IP包分类设备的五元组规则表,当检查出规则生命期已经过期时,删 除对应的规则。具体地,例如,规则生命期由秒数表示,无规则生命期的用-1表示秒数,软 件中的定时器程序会在每秒中遍历此五元组规则表,当检查规则生命期已经为1秒时,就 可以将此规则,总规则数减一
其中,用户可以通过软件提供的接口添加或者删除五元组规则,软件负责维护这 些五元组规则,形成五元组规则表,统计了总规则数。
图1是根据本发明的用于IP包分类设备的五元组规则更新装置的框图。该五元 组规则更新装置通过软件维护用于IP包分类设备的五元组规则表,使用于IP包分类设备 的五元组规则表与过滤网卡设备中的五元组规则表相一致。
如图1所示,根据本发明的用于IP包分类设备的五元组规则更新装置100可以包 括第一更新单元102,用于当用户对用于IP包分类设备的五元组规则表进行操作时,确定 操作的有效性,并在操作有效时更新过滤网卡设备中的相关信息;第二更新单元104,用于 当接收到过滤网卡设备发送的规则无效信息时,根据规则无效信息删除用于IP包分类设 备的五元组规则表中相应的规则,并且规则总数相应减少;以及第三更新单元106,用于以 预定周期对五元组规则表中的规则生命期进行判断,删除无效的规则。
其中,当用户对用于IP包分类设备的五元组规则表进行规则添加操作时,第一更 新单元检查五元组规则表中是否存在将要添加的规则,如果五元组规则表中没有将要添加 的规则,则确定操作有效,进行添加操作,并且规则总数加一,如果五元组规则表中存在将 要添加的规则,则确定操作无效。
其中,当用户对用于IP包分类设备的五元组规则表进行规则删除操作时,第二更 新单元检查五元组规则表中是否存在将要删除的规则,并且规则总数减一,如果五元组规 则表中存在将要删除的规则,则确定操作有效,进行删除操作,如果五元组规则表中没有将 要删除的规则,则确定操作无效。
其中,第三更新单元包括定时器,定时器用于设定预定周期,以在预定周期启动规 则生命期判断操作。当定时器启动时,第三更新单元开始遍历用于IP包分类设备的五元组 规则表,当检查出规则生命期已经过期时,删除对应的规则。
具体地,例如,规则生命期由秒数表示,无规则生命期的用-1表示秒数,软件中的定时器程序会在每秒中遍历此五元组规则表,当检查规则生命期已经为1秒时,就可以将 此规则,总规则数减一。 综上所述,借助本发明上述至少一个技术方案,通过软件维护五元组规则表,可以
满足各种对五元组规则表的操作,保证过滤网卡设备中的五元组规则表是正确的。 显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用
的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成
的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储
在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们
中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的
硬件和软件结合。 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
一种用于IP包分类设备的五元组规则更新方法,其特征在于,所述方法包括通过软件维护用于IP包分类设备的五元组规则表,使用于IP包分类设备的所述五元组规则表与过滤网卡设备中的五元组规则表相一致,其中,当用户对用于IP包分类设备的所述五元组规则表进行操作时,确定操作的有效性,并在操作有效时更新所述过滤网卡设备中的相关信息;当接收到所述过滤网卡设备发送的规则无效信息时,根据所述规则无效信息删除用于IP包分类设备的所述五元组规则表中相应的规则;以及以预定周期对所述五元组规则表中的规则生命期进行判断,删除无效的规则。
2. 根据权利要求1所述的方法,其特征在于,当用户对用于IP包分类设备的所述五元 组规则表进行规则添加操作时,检查所述五元组规则表中是否存在将要添加的规则,如果 所述五元组规则表中没有将要添加的规则,则确定操作有效,进行添加操作,如果所述五元 组规则表中存在将要添加的规则,则确定操作无效。
3. 根据权利要求1所述的方法,其特征在于,当用户对用于IP包分类设备的所述五元 组规则表进行规则删除操作时,检查所述五元组规则表中是否存在将要删除的规则,如果 所述五元组规则表中存在将要删除的规则,则确定操作有效,进行删除操作,如果所述五元 组规则表中没有将要删除的规则,则确定操作无效。
4. 根据权利要求1所述的方法,其特征在于,通过定时器来设定在预定周期启动规则 生命期判断操作。
5. 根据权利要求4所述的方法,其特征在于,当所述定时器启动时,开始遍历所述用于 IP包分类设备的所述五元组规则表,当检查出规则生命期已经过期时,删除对应的规则。
6. —种用于IP包分类设备的五元组规则更新装置,其特征在于,所述五元组规则更新 装置通过软件维护用于IP包分类设备的五元组规则表,使用于IP包分类设备的所述五元 组规则表与过滤网卡设备中的五元组规则表相一致,所述装置包括第一更新单元,用于当用户对用于IP包分类设备的所述五元组规则表进行操作时,确 定操作的有效性,并在操作有效时更新所述过滤网卡设备中的相关信息;第二更新单元,用于当接收到所述过滤网卡设备发送的规则无效信息时,根据所述规 则无效信息删除用于IP包分类设备的所述五元组规则表中相应的规则;以及第三更新单元,用于以预定周期对所述五元组规则表中的规则生命期进行判断,删除 无效的规则。
7. 根据权利要求6所述的装置,其特征在于,当用户对用于IP包分类设备的所述五元 组规则表进行规则添加操作时,所述第一更新单元检查所述五元组规则表中是否存在将要 添加的规则,如果所述五元组规则表中没有将要添加的规则,则确定操作有效,进行添加操 作,如果所述五元组规则表中存在将要添加的规则,则确定操作无效。
8. 根据权利要求1所述的装置,其特征在于,当用户对用于IP包分类设备的所述五元 组规则表进行规则删除操作时,所述第二更新单元检查所述五元组规则表中是否存在将要 删除的规则,如果所述五元组规则表中存在将要删除的规则,则确定操作有效,进行删除操 作,如果所述五元组规则表中没有将要删除的规则,则确定操作无效。
9. 根据权利要求1所述的装置,其特征在于,所述第三更新单元包括定时器,所述定时 器用于设定预定周期,以在预定周期启动规则生命期判断操作。
10.根据权利要求4所述的装置,其特征在于,当所述定时器启动时,所述第三更新单 元开始遍历所述用于IP包分类设备的所述五元组规则表,当检查出规则生命期已经过期 时,删除对应的规则。
全文摘要
本发明提供一种用于IP包分类设备的五元组规则更新方法和装置,其中,该方法包括通过软件维护用于IP包分类设备的五元组规则表,使用于IP包分类设备的五元组规则表与过滤网卡设备中的五元组规则表相一致,其中,当用户对用于IP包分类设备的五元组规则表进行操作时,确定操作的有效性,并在操作有效时更新过滤网卡设备中的相关信息;当接收到过滤网卡设备发送的规则无效信息时,根据规则无效信息删除用于IP包分类设备的五元组规则表中相应的规则;以及以预定周期对五元组规则表中的规则生命期进行判断,删除无效的规则。通过软件维护五元组规则表,可以满足各种对五元组规则表的操作,保证过滤网卡设备中的五元组规则表是正确的。
文档编号H04L29/06GK101702726SQ20091023800
公开日2010年5月5日 申请日期2009年11月13日 优先权日2009年11月13日
发明者历军, 吴震, 李永成, 聂华, 邵宗有, 陈训逊 申请人:曙光信息产业(北京)有限公司