访问控制方法和装置的制造方法

访问控制方法和装置的制造方法
【专利摘要】本发明提供一种访问控制方法和装置，应用在网络设备上，所述方法包括：在接收到客户端设备发送的业务报文后，解析所述业务报文的报文特征；判断所述报文特征是否匹配协议识别表，所述协议识别表包括报文特征与协议类型的对应关系；如果匹配，则根据匹配到的表项确定所述业务报文的协议类型；根据所述协议类型，对所述业务报文进行访问控制处理。应用本发明实施例，网络设备在接收到自客户端设备发送的业务报文后，基于业务报文的报文特征，根据协议识别表可以快速识别业务报文的协议类型，无需对业务报文进行载荷内容读取、应用层信息重组等繁琐操作，因此，对网络设备的CPU消耗小，且识别效率高。
【专利说明】
访问控制方法和装置
技术领域
[0001] 本发明设及计算机技术领域，尤其设及一种访问控制方法和装置。
【背景技术】
[0002] 随着网络信息系统应用的发展，网络技术应用逐渐呈现复杂化、多元化趋势，运种 趋势会导致网络出口拥堵、职员工作状态无法监控，甚至泄漏公司机密和法律违规等严重 问题。为解决上述问题，可W对用户的网络应用的访问进行控制处理，相关技术中，可W采 用DPUDe巧Packet Inspection,深度包检测）技术对业务报文的协议类型进行检测识别， 从而确定该业务报文的所属应用，并对该所属应用进行访问控制处理。
[0003] 但是，DPI技术在识别业务报文的协议类型中，对网络设备（例如，防火墙、路由 器）的CPU消耗较大，且识别效率较低。

【发明内容】

[0004] 有鉴于此，本发明提供一种访问控制方法和装置，W解决对业务报文进行协议类 型识别过程中，网络设备的CPU消耗较大，识别效率较低的问题。 阳0化]具体地，本发明是通过如下技术方案实现的：
[0006] 本发明提供一种访问控制方法，应用在网络设备上，所述方法包括：
[0007] 在接收到客户端设备发送的业务报文后，解析所述业务报文的报文特征；
[0008] 判断所述报文特征是否匹配协议识别表，所述协议识别表包括报文特征与协议类 型的对应关系；
[0009] 如果匹配，则根据匹配到的表项确定所述业务报文的协议类型；
[0010] 根据所述协议类型，对所述业务报文进行访问控制处理。
[0011] 本发明提供一种访问控制装置，应用在网络设备上，所述装置包括：
[0012] 解析单元，用于在接收到客户端设备发送的业务报文后，解析所述业务报文的报 文特征；
[0013] 第一判断单元，用于判断所述报文特征是否匹配协议识别表，所述协议识别表包 括报文特征与协议类型的对应关系；
[0014] 协议确定单元，用于当所述报文特征匹配协议识别表时，根据匹配到的表项确定 所述业务报文的协议类型；
[0015] 执行单元，用于根据所述协议类型，对所述业务报文进行访问控制处理。
[0016] 应用本发明实施例，网络设备在接收到自客户端设备发送的业务报文后，基于业 务报文的报文特征，根据协议识别表可W快速识别业务报文的协议类型，无需对业务报文 进行载荷内容读取、应用层信息重组等繁琐操作，因此，对网络设备的CPU消耗小，且识别 效率高。
【附图说明】
[0017] 图I是本发明一示例性实施例示出的一种访问控制方法的流程图；
[001引图2是本发明一示例性实施例示出的另一种访问控制方法的流程图；
[0019] 图3是本发明一示例性实施例示出的一种访问控制装置的一硬件结构示意图；
[0020] 图4是本发明一示例性实施例示出的一种访问控制装置的结构框图；
[0021] 图5是本发明一示例性实施例示出的另一种访问控制装置的结构框图；
[0022] 图6是本发明一示例性实施例示出的另一种访问控制装置的结构框图。
【具体实施方式】
[0023] 运里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述设及 附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。W下示例性实施例 中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附 权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
[0024] 在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。 在本发明和所附权利要求书中所使用的单数形式的"一种"、"所述"和"该"也旨在包括多 数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语"和/或"是指 并包含一个或多个相关联的列出项目的任何或所有可能组合。
[00巧]应当理解，尽管在本发明可能采用术语第一、第二、第=等来描述各种信息，但运 些信息不应限于运些术语。运些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离 本发明范围的情况下，第一信息也可W被称为第二信息，类似地，第二信息也可W被称为第 一信息。取决于语境，如在此所使用的词语"如果"可W被解释成为"在……时"或"当…… 时"或"响应于确定"。
[00%] 本技术领域人员可W理解的是，DPI技术是一种基于应用层的流量检测和控制技 术，能够对应用层的内容进行深度分析，从而根据应用层的净荷特征识别业务报文的应用 类型或内容，例如，当IP报文通过基于DPI技术的网络设备时，网络设备可W通过深入读取 IP报文载荷的内容来对OSI屯层协议中的应用层信息进行重组，从而识别IP报文的应用层 协议，然后按照网络设备中的流量管理策略对该IP报文进行访问控制处理。综上所述，对 于每一个业务报文，如果采用DPI的识别方式，都要进行上述载荷内容读取、应用层信息重 组等操作，因此，运种协议识别方式对所在网络设备的CPU消耗较大，且识别效率较低。 [0027] 在本发明实施例的网络设备中，当网络设备接收到来自客户端设备的业务报文 时，可W从该业务报文中提取出报文特征，并将该报文特征匹配协议识别表，其中，该协议 识别表存储了一个或者多个报文特征与协议类型的对应关系，当该报文特征能够匹配上该 协议识别表中的任一个表项时，就可W根据该表项确定该业务报文的协议类型，管理员可 W在网络设备中配置流量管理策略，运样，网络设备就可W根据该协议类型，对业务报文进 行访问控制处理，例如，放通协议类型命中白名单的业务报文，阻止协议类型命中黑名单的 业务报文。需要说明的是，本发明实施例中设及到的协议类型主要包括业务报文的应用层 协议类型。
[002引图1是本发明一示例性实施例示出的一种访问控制方法的流程图。如图1所示， 一种访问控制方法，应用在网络设备上，所述方法包括：
[0029] 步骤S110,在接收到客户端设备发送的业务报文后，解析所述业务报文的报文特 征。
[0030] 在本发明实施例中，网络设备（例如，防火墙、路由器）接收到客户端设备发送的 业务报文时，可W解析业务报文的报文特征，所述报文特征可W为：业务报文的目的IP地 址、目的端口号和传输层协议类型中的一个或者多个。
[0031] 步骤S120,判断所述报文特征是否匹配协议识别表，其中，所述协议识别表包括报 文特征与协议类型的对应关系。若匹配，则执行步骤S130。
[0032] 所述协议识别表中可W存储有报文特征与协议类型的对应关系。在本实施例中， 所述协议识别表可W由管理员或者技术人员进行设置，也可W由网络设备在接收到业务报 文后，采用相关技术中的识别方式对协议类型进行识别，并根据识别结果生成所述协议识 别表，本发明对此不作特殊限制。
[0033] 在本步骤中，可朗尋步骤SllO中解析到的报文特征与协议识别表进行匹配，如果 所述解析到的报文特征与所述协议表中任意一个表项中存储的报文特征匹配上，则执行步 骤 S130。
[0034] 表 1
[0035]
[0036] 表1为本实施例一种协议识别表的示意图，如表1中所示，该表项中存储了目的IP 地址为211. 11. 172. 183与协议类型为天涯博客协议的对应关系，表1中仅是作为一种协议 识别表的示例表项，不作为对协议识别表的限制，只要满足协议识别表中是报文特征和协 议类型的对应关系即可，比如，所述协议识别表中还可W存储目的IP地址、目的端口号与 协议类型的对应关系，如下表2所示：
[0037] 表 2
[0038]
[0039] 步骤S130,根据匹配到的表项确定所述业务报文的协议类型。
[0040] 在本步骤中，根据所述报文特征匹配到的表项，可W确定业务报文的协议类型。W 表1中所示表项为例，假设业务报文的报文特征为目的IP地址211. 11. 172. 183,与表1中 所示的表项中的目的IP地址匹配，则根据该表项可W确定该业务报文的协议类型为天涯 博客协议。
[0041] 步骤S140,根据所述协议类型，对所述业务报文进行访问控制处理。
[0042] 管理员或者技术人员可W根据实际应用需要，在网络设备中配置流量管理策略， 例如，将需要放通的业务报文的协议类型存储到白名单中，将要阻止访问的业务报文的协 议类型存储到黑名单中，从而可W对业务报文进行访问控制处理。假设，需要阻止访问QQ、 天涯博客、网络游戏等，则可W将需要过滤的应用程序的协议类型保存到黑名单中，从而丢 弃该协议类型的业务报文，W阻止QQ、天涯博客、网络游戏等的业务访问。
[0043] 应用上述实施例，网络设备在接收到自客户端设备发送的业务报文后，基于业务 报文的报文特征，根据协议识别表可W快速识别业务报文的协议类型，无需对业务报文进 行载荷内容读取、应用层信息重组等繁琐操作，因此，对网络设备的CPU消耗小，且识别效 率高。
[0044] 根据本发明的一优选实施例，当所述业务报文的报文特征匹配上所述协议识别表 时，还可W更新该匹配到的表项的表项时间，在到达预设时间周期时，将删除当前时间与表 项时间的时间差值大于或者等于预设差值的表项。比如，如表3中所示的表项：
[0045] 表 3
[0046]
[0047] 女日表3中巧I小，'四化二'r巧W，化二'r巧W口'J巧W口'J IW刀-方。为13:01，13:03， 13:00,假设预设时间周期为5min，到达预设时间周期时的当前时间为13:06,运S个表项 的时间差值分别为5min，3min，6min，再假设预设差值为4min，因此，可W删除目的IP地址 为211. 11. 172. 183、协议类型为天涯博客协议、表项时间为13:01的表项，W及删除目的IP 地址为117. 27. 230. 86、协议类型为网络游戏协议W及表项时间为13:00的表项。
[0048] 应用上述优选实施例，可W将长时间没有被匹配到的表项删除，避免协议识别表 越来越多，减少对网络设备的内存空间的耗费。 W例图2是本发明一示例性实施例示出的另一种访问控制方法的流程图。基于前述图 1所示的实施例，本发明还提供另一种可选实施例，当图1中的步骤S120确定所述业务报文 的报文特征没有匹配协议识别表时，如图2所示，一种访问控制方法，还包括：
[0050] 步骤S210,当业务报文的报文特征没有匹配协议识别表时，通过第一检测技术检 测所述业务报文的协议类型。
[0051] 第一检测技术可W是DPI技术，在通过协议识别表无法确定所述业务报文的协议 类型时，可W通过DPI技术对业务报文的协议类型进行检测。
[0052] 步骤S220,判断检测出的所述协议类型是否匹配预设类型，若匹配，执行步骤 S230〇
[0053] 管理员或者技术人员可W提取流量较大，且服务器较稳定的应用程序的协议类型 作为预设类型，例如，QQ协议、微信协议、网络游戏协议等。然而，对于FTP、RTSP、P2P等协 商协议，其服务器变化较快、不稳定，所W，协商协议不作为本发明实施例中的预设类型的 协议。
[0054] 步骤S230,将所述业务报文的报文特征与检测出的所述协议类型的对应关系保存 至协议识别表中。
[0055] 在本步骤中，可W提取协议类型匹配预设类型的业务报文的报文特征，例如，业务 报文的目的IP地址、目的端口号和传输层协议类型中的一个或者多个，且将报文特征与业 务报文的协议类型的对应关系保存到协议识别表中，更新协议识别表的表项。
[0056] 可选地，当第一检测技术不能检测出业务报文的协议类型时，可W通过第二检测 技术，例如，FPI (Flow Pattern Inspection,流模型检测）技术，检测业务报文的协议类型。 由于FPI技术主要是检测协商协议，因此，通过FPI技术检测出的协议类型不属于预设类 型，不必将业务报文的报文特征与检测出的协议类型的对应关系更新到协议识别表中。
[0057] 应用上述可选实施例，在通过协议识别表无法确定业务报文的协议类型时，可W 通过DPI检测技术对业务报文的协议类型进行检测，并根据预设类型对检测出的协议类型 进行筛选，将匹配预设类型的协议类型W及报文特征的对应关系保存到协议识别表中，因 此，可W不断更新和完善协议识别表。
[005引与前述访问控制方法的实施例相对应，本发明还提供了访问控制装置的实施例。
[0059] 本发明访问控制装置400的实施例可W应用在网络设备上，例如，防火墙、路由 器。装置实施例可W通过软件实现，也可W通过硬件或者软硬件结合的方式实现。W软件 实现为例，作为一个逻辑意义上的装置，是通过其所在网络设备的处理器将非易失性存储 器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图3所示，为本 发明一示例性实施例示出的一种访问控制装置的一硬件结构示意图，除了图3所示的处理 器、内存、网络接口、W及非易失性存储器之外，实施例中访问控制装置400所在的网络设 备通常根据该设备的实际功能，还可W包括其他硬件，对此不再寶述。
[0060] 图4是本发明一示例性实施例示出的一种访问控制装置的结构框图。如图4所 示，一种访问控制装置400,应用在网络设备上，所述装置包括：解析单元401、第一判断单 元402、协议确定单元403和执行单元404。
[0061] 解析单元401用于在接收到客户端设备发送的业务报文后，解析所述业务报文的 报文特征。
[0062] 第一判断单元402用于判断所述报文特征是否匹配协议识别表，所述协议识别表 包括报文特征与协议类型的对应关系。
[0063] 协议确定单元403用于当所述报文特征匹配协议识别表时，根据匹配到的表项确 定所述业务报文的协议类型。
[0064] 执行单元404用于根据所述协议类型，对所述业务报文进行访问控制处理。
[0065] 图5是本发明一示例性实施例示出的另一种访问控制装置的结构框图。基于上述 图4所示的实施例，如图5所示，访问控制装置400还可W包括：时间更新单元405和表项 删除单元406。
[0066] 时间更新单元405用于当所述报文特征匹配所述协议识别表时，更新匹配到的表 项的表项时间，表项删除单元406用于在到达预设时间周期时，删除当前时间与表项时间 的时间差值大于或者等于预设差值的表项。
[0067] 图6是本发明一示例性实施例示出的另一种访问控制装置的结构框图。基于上述 图4所示的实施例，当第一判断单元402确定所述报文特征没有匹配协议识别表时，本发明 还提供一种可选实施例，如图6所示，访问控制装置400还可W包括：第一检测单元407、第 二判断单元408和表项保存单元409。
[0068] 第一检测单元407用于当所述报文特征没有匹配协议识别表时，通过第一检测技 术检测所述业务报文的协议类型，其中，所述第一检测技术可W为DPI技术，第二判断单元 408用于判断检测出的所述协议类型是否匹配预设类型，表项保存单元409用于当检测出 的所述协议类型匹配上预设类型时，将所述业务报文的报文特征与检测出的所述协议类型 的对应关系保存至协议识别表中。
[0069] 优选地，还可W包括第二检测单元410,用于当所述第一检测技术没有检测出所述 业务报文的协议类型时，通过第二检测技术检测所述业务报文的协议类型。其中，第二检测 技术可W为FPI技术。
[0070] 上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的 实现过程，在此不再寶述。
[0071] 对于装置实施例而言，由于其基本对应于方法实施例，所W相关之处参见方法实 施例的部分说明即可。W上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件 说明的单元可W是或者也可W不是物理上分开的，作为单元显示的部件可W是或者也可W 不是物理单元，即可W位于一个地方，或者也可W分布到多个网络单元上。可W根据实际的 需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付 出创造性劳动的情况下，即可W理解并实施。
[0072] W上所述仅为本发明的较佳实施例而已，并不用W限制本发明，凡在本发明的精 神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
【主权项】
1. 一种访问控制方法，应用在网络设备上，其特征在于，所述方法包括： 在接收到客户端设备发送的业务报文后，解析所述业务报文的报文特征； 判断所述报文特征是否匹配协议识别表，所述协议识别表包括报文特征与协议类型的 对应关系； 如果匹配，则根据匹配到的表项确定所述业务报文的协议类型； 根据所述协议类型，对所述业务报文进行访问控制处理。2. 根据权利要求1所述的方法，其特征在于，所述方法还包括： 当所述报文特征匹配所述协议识别表时，更新匹配到的表项的表项时间； 在到达预设时间周期时，删除当前时间与表项时间的时间差值大于或者等于预设差值 的表项。3. 根据权利要求1所述的方法，其特征在于，所述方法还包括： 当所述报文特征没有匹配协议识别表时，通过第一检测技术检测所述业务报文的协议 类型； 判断检测出的所述协议类型是否匹配预设类型； 如果匹配，则将所述业务报文的报文特征与检测出的所述协议类型的对应关系保存至 协议识别表中。4. 根据权利要求3所述的方法，其特征在于，所述方法还包括： 当所述第一检测技术没有检测出所述业务报文的协议类型时，通过第二检测技术检测 所述业务报文的协议类型。5. 根据权利要求4所述的方法，其特征在于，所述第一检测技术为DPI深度包检测技 术，所述第二检测技术为FPI流模型检测技术。6. -种访问控制装置，应用在网络设备上，其特征在于，所述装置包括： 解析单元，用于在接收到客户端设备发送的业务报文后，解析所述业务报文的报文特 征； 第一判断单元，用于判断所述报文特征是否匹配协议识别表，所述协议识别表包括报 文特征与协议类型的对应关系； 协议确定单元，用于当所述报文特征匹配协议识别表时，根据匹配到的表项确定所述 业务报文的协议类型； 执行单元，用于根据所述协议类型，对所述业务报文进行访问控制处理。7. 根据权利要求6所述的装置，其特征在于，所述装置还包括： 时间更新单元，用于当所述报文特征匹配所述协议识别表时，更新匹配到的表项的表 项时间； 表项删除单元，用于在到达预设时间周期时，删除当前时间与表项时间的时间差值大 于或者等于预设差值的表项。8. 根据权利要求6所述的装置，其特征在于，所述装置还包括： 第一检测单元，用于当所述报文特征没有匹配协议识别表时，通过第一检测技术检测 所述业务报文的协议类型； 第二判断单元，用于判断检测出的所述协议类型是否匹配预设类型； 表项保存单元，用于当检测出的所述协议类型匹配预设类型时，将所述业务报文的报 文特征与检测出的所述协议类型的对应关系保存至协议识别表中。9. 根据权利要求8所述的装置，其特征在于，所述装置还包括： 第二检测单元，用于当所述第一检测技术没有检测出所述业务报文的协议类型时，通 过第二检测技术检测所述业务报文的协议类型。10. 根据权利要求9所述的装置，其特征在于，所述第一检测技术为DPI深度包检测技 术，所述第二检测技术为FPI流模型检测技术。
【文档编号】H04L29/06GK105939305SQ201510358582
【公开日】2016年9月14日
【申请日】2015年6月24日
【发明人】张晓东
【申请人】杭州迪普科技有限公司