專利名稱：一種貫穿iso二層到七層的網(wǎng)絡(luò)管理和安全訪問控制方法
技術(shù)領(lǐng)域：
本發(fā)明屬于網(wǎng)絡(luò)管理和安全訪問控制領(lǐng)域，尤其是適用于通過集成電路芯片來實(shí)現(xiàn)從二層到七層的網(wǎng)絡(luò)管理和安全訪問控制的方法。
背景技術(shù)：
ISO網(wǎng)絡(luò)分為七層(L1-L7)，其特點(diǎn)是每一層可以實(shí)現(xiàn)模塊化設(shè)計(jì)，各層彼此獨(dú)立，實(shí)現(xiàn)方法也彼此獨(dú)立，對(duì)網(wǎng)絡(luò)的成本降低從而帶來普及和實(shí)現(xiàn)有重大意義。但是，在這分層結(jié)構(gòu)中，現(xiàn)代網(wǎng)絡(luò)對(duì)信息安全及管理方式的要求越來越強(qiáng)烈，要求從二層到七層(L2-L7)的通訊是符合統(tǒng)一的安全及管理策略。也就是說，要求安全及管理策略貫穿從二層到七層(L2-L7)。
傳統(tǒng)的二層到七層(L2-L7)是彼此獨(dú)立的。而現(xiàn)在的網(wǎng)絡(luò)安全管理要求每一層在作出決定的時(shí)候，完全符合貫穿從二層到七層(L2-L7)安全及管理策略。從結(jié)構(gòu)上講，網(wǎng)絡(luò)的安全和管理策略需要一個(gè)縱向結(jié)構(gòu)，縱向結(jié)構(gòu)是貫穿二層到七層(L2-L7)的(如圖2所示)，也就是數(shù)據(jù)的通信需要建立二維的結(jié)構(gòu)，既確保ISO的二層到七層(L2-L7)高效益和可延續(xù)性，又符合安全和管理策略要求貫穿二層到七層(L2-L7)的需要，同時(shí)確保二層到七層(L2-L7)的高帶寬。這就給目前主流的二層到七層(L2-L7)設(shè)計(jì)網(wǎng)絡(luò)帶來了一個(gè)巨大的挑戰(zhàn)。
有兩種解決途徑一、通過CPU介入每一層，實(shí)現(xiàn)管理和安全策略。缺點(diǎn)是，網(wǎng)絡(luò)的2L到3L到7L需要很高的通訊速度，而CPU介入使實(shí)際上通訊速度卻成百倍的降低。
二、在ASIC實(shí)現(xiàn)2層交換3層路由、4層TCP/UDP通訊的時(shí)候，每一層獨(dú)立的決定都由一個(gè)中心的架構(gòu)安全管理策略來貫穿始終。其困難是，需要通過ASIC實(shí)現(xiàn)2層交換3層路由、TCP/UDP的通訊由每層來實(shí)現(xiàn)的，同時(shí)有一個(gè)中心構(gòu)架的功能模塊來實(shí)時(shí)(Real time)介入這個(gè)決策過程。難點(diǎn)在于此電路設(shè)計(jì)非常復(fù)雜且沒有先例。

發(fā)明內(nèi)容
本發(fā)明旨在克服上述現(xiàn)有網(wǎng)絡(luò)管理及安全訪問控制解決方案中存在的問題，提供一種貫穿ISO二層到七層的網(wǎng)絡(luò)管理和安全訪問控制方法。該方法建立了以芯片方式縱向貫穿二層到七層(L2-L7)的中心架構(gòu)的安全管理模式，并確保ISO二層到七層(L2-L7)分層結(jié)構(gòu)的簡單高效性和可連續(xù)性。
本發(fā)明分為兩部分 其一，建立一個(gè)N維空間；其二，建立一個(gè)控制(策略)平臺(tái)，目的是用戶基于N維空間特點(diǎn)實(shí)現(xiàn)所需求的安全管理。
其步驟如下a、建立縱向全部或部分、貫穿二層到七層(L2-L7)的關(guān)聯(lián)體系，即N維空間；b、基于N維空間，建立一個(gè)用戶可編程寫入用于匹配數(shù)據(jù)特征并可進(jìn)行選項(xiàng)的平臺(tái)，該平臺(tái)中的每一項(xiàng)表項(xiàng)與上述a項(xiàng)中的N維空間關(guān)聯(lián)體系一一對(duì)應(yīng)，即N個(gè)表項(xiàng)；c、基于上述a項(xiàng)和b項(xiàng)設(shè)計(jì)完成邏輯，數(shù)據(jù)包與N維空間特性一一匹配，同時(shí)建立N維空間中用戶可編程的執(zhí)行邏輯，使用戶根據(jù)匹配結(jié)果判定并執(zhí)行相應(yīng)的操作。
所述N維空間把數(shù)據(jù)包中包含二層到七層(L2-L7)的相關(guān)子項(xiàng)以彼此獨(dú)立地方關(guān)聯(lián)起來。
所述子項(xiàng)為網(wǎng)絡(luò)數(shù)據(jù)包中包含二層到七層(L2-L7)的包頭的常用的子項(xiàng)，以他們作為可以獨(dú)立變化的空間。
這包括如目的MAC地址、源MAC地址、目的IP地址、源IP地址、802.1的類型(type)；IP header中的各子項(xiàng)，如目的IP地址，源IP地址，IP vision、第4層中TCP端口號(hào)(port)、UDP端口號(hào)(port)、TCP或UDP的session狀態(tài)等。
所述子項(xiàng)為一部分N維空間通過一個(gè)掩碼采樣技術(shù)(masking)，由用戶在使用時(shí)決定，可以是二層到七層(L2-L7)中任何數(shù)據(jù)特征。
這個(gè)掩碼采樣(masking)技術(shù)可以使數(shù)據(jù)包中深度為數(shù)據(jù)包的前64個(gè)字節(jié)或128個(gè)字節(jié)、256個(gè)字節(jié)的任何數(shù)據(jù)特征或者它們的組合，由用戶在使用時(shí)決定根據(jù)具體情況和應(yīng)用來決定。
建立所述用戶可以選項(xiàng)的平臺(tái)的步驟是在N維空間建立之后，在N維的每一維都對(duì)應(yīng)著設(shè)計(jì)一個(gè)數(shù)據(jù)表，也就是N個(gè)數(shù)據(jù)表格，在數(shù)據(jù)表格里的深度為64、128、256、1K或2K，該表格的具體內(nèi)容由網(wǎng)絡(luò)安全管理員按照實(shí)際的網(wǎng)絡(luò)管理及安全措施的要求填入，或根據(jù)通常的網(wǎng)絡(luò)管理及安全措施的要求提供一個(gè)初始配置。
建立所述N維空間中用戶可編程的執(zhí)行邏輯的步驟是在網(wǎng)絡(luò)中收到的每一個(gè)數(shù)據(jù)包時(shí)，數(shù)據(jù)包中與N維空間相關(guān)聯(lián)的子項(xiàng)被提取出，逐一與N維空間中的每一個(gè)子項(xiàng)進(jìn)行匹配，在每一個(gè)維中，完全匹配以1代表，不匹配以0代表，N維空間形成一個(gè)N位的項(xiàng)量；以此項(xiàng)量的部分或者全部，作為搜尋的特征key，在一個(gè)策略表中搜尋，如果沒有匹配到一條策略，就執(zhí)行缺損操作；如果匹配到一條策略，則分析在N維空間的匹配結(jié)果，匹配結(jié)果分為完全匹配和部分匹配；完全匹配對(duì)應(yīng)幾個(gè)具體操作，部分匹配對(duì)應(yīng)獨(dú)立于完全匹配的決策操作。
典型的決策操作包括(但是不限于)是否決定數(shù)據(jù)包通過，是否拒絕數(shù)據(jù)包通過，是否轉(zhuǎn)發(fā)數(shù)據(jù)包到CPU，是否轉(zhuǎn)發(fā)數(shù)據(jù)包到日志端口，是否改變數(shù)據(jù)包流向，是否改變數(shù)據(jù)包內(nèi)容的某些域。
基于這些決策操作，就設(shè)計(jì)完成了N維空間中用戶可以編程的能力，從而實(shí)現(xiàn)用戶所需求的安全和管理策略。
本發(fā)明的優(yōu)點(diǎn)及有益效果表現(xiàn)在該方法建立了以芯片方式縱向貫穿二層到七層(L2-L7)的中心架構(gòu)的安全管理模式，并確保保留ISO二層到七層(L2-L7)分層結(jié)構(gòu)的簡單高效性和可連續(xù)性，采用本發(fā)明可以使關(guān)鍵指標(biāo)能在多端口實(shí)現(xiàn)千兆或者萬兆線速。


圖1為本發(fā)明流程框2為本發(fā)明貫穿ISO二層到七層的結(jié)構(gòu)示意框3為本發(fā)明邏輯框圖具體實(shí)施方式
本發(fā)明的步驟如下a、建立縱向全部或部分貫穿二層到七層(L2-L7)的關(guān)聯(lián)體系即N維空間；b、基于N維空間，建立一個(gè)用戶可編程寫入用于匹配數(shù)據(jù)特征并可進(jìn)行選項(xiàng)的平臺(tái)，該平臺(tái)中的每一項(xiàng)表項(xiàng)與上述a項(xiàng)中的N維空間關(guān)聯(lián)體系一一對(duì)應(yīng)，即N個(gè)表項(xiàng)c、基于上述a項(xiàng)和b項(xiàng)設(shè)計(jì)完成邏輯，數(shù)據(jù)包與N維空間特性一一匹配，同時(shí)建立N維空間中用戶可編程的執(zhí)行邏輯，使用戶根據(jù)匹配結(jié)果判定并執(zhí)行相應(yīng)的操作。
下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)闡述(見圖1、圖2、圖3)一、建立N維空間N維空間的目的是把數(shù)據(jù)包中包含二層到七層(L2-L7)的相關(guān)子項(xiàng)以彼此獨(dú)立地方關(guān)聯(lián)起來。這些子項(xiàng)分為兩類第一類、網(wǎng)絡(luò)數(shù)據(jù)包中包含二層到七層(L2-L7)的包頭的常用的子項(xiàng)，以他們作為可以獨(dú)立變化的空間。
這包括如目的MAC地址、源MAC地址、目的IP地址、源IP地址、802.1的類型(type)，IP header中的各子項(xiàng)，如目的IP地址，源IP地址，IP vision、第4層中TCP端口號(hào)(port)、UDP端口號(hào)(port)、TCP或UDP的session狀態(tài)等。
第二類、N維空間通過一個(gè)掩碼采樣技術(shù)(masking)，由用戶在使用時(shí)決定，可以是二層到七層(L2-L7)中任何數(shù)據(jù)特征。這個(gè)掩碼采樣(masking)技術(shù)可以使數(shù)據(jù)包中深度為數(shù)據(jù)包的前64個(gè)字節(jié)或128個(gè)字節(jié)、256個(gè)字節(jié)的任何數(shù)據(jù)特征或者它們的組合，由用戶在使用時(shí)決定根據(jù)具體情況和應(yīng)用來決定。
二、建立一個(gè)用戶可以選項(xiàng)的平臺(tái)其實(shí)現(xiàn)方式是以步驟一中所訴的方法建立N維空間之后，在N維的每一維都對(duì)應(yīng)著設(shè)計(jì)一個(gè)數(shù)據(jù)表，也就是N個(gè)數(shù)據(jù)表格，在數(shù)據(jù)表格里的深度為M，M的大小可以是64、128、256、1K、2K。這個(gè)表格的具體內(nèi)容由網(wǎng)絡(luò)安全管理員按照實(shí)際的網(wǎng)絡(luò)管理及安全措施的要求填入，設(shè)計(jì)者可以提供一個(gè)初始配置確保符合通常的網(wǎng)絡(luò)管理及安全措施的要求。
三、建立N維空間中用戶可編程的執(zhí)行邏輯。
在網(wǎng)絡(luò)中收到的每一個(gè)數(shù)據(jù)包時(shí)，數(shù)據(jù)包中與N維空間相關(guān)聯(lián)的子項(xiàng)被提取出，逐一與N維空間中的每一個(gè)子項(xiàng)進(jìn)行匹配(匹配算法可以是二選法、hashing，數(shù)狀搜尋法等)，在每一個(gè)維中，完全匹配以1代表，不匹配以0代表。N維空間形成一個(gè)N位的項(xiàng)量；以此項(xiàng)量的部分或者全部，作為搜尋的特征key，在一個(gè)策略表中搜尋。如果沒有匹配到一條策略，就執(zhí)行缺損操作；如果匹配到一條策略，則分析在N維空間的匹配結(jié)果，匹配結(jié)果分為完全匹配和部分匹配。完全匹配對(duì)應(yīng)幾個(gè)具體操作。部分匹配對(duì)應(yīng)獨(dú)立于完全匹配的決策操作。典型的決策操作包括(但是不限于)是否決定數(shù)據(jù)包通過，是否拒絕數(shù)據(jù)包通過，是否轉(zhuǎn)發(fā)數(shù)據(jù)包到CPU，是否轉(zhuǎn)發(fā)數(shù)據(jù)包到日志端口，是否改變數(shù)據(jù)包流向，是否改變數(shù)據(jù)包內(nèi)容的某些域(如VLAN、TOS、COS、MAC地址)等。詳細(xì)情況，見邏輯流程圖3。
基于這些決策操作，就設(shè)計(jì)完成了N維空間中用戶可以編程的能力，從而實(shí)現(xiàn)用戶所需求的安全和管理策略。
系統(tǒng)產(chǎn)品或者集成電路產(chǎn)品或者軟件產(chǎn)品的功能中，凡是把ISO從二層到七層(L2-L7)(部分或全部)網(wǎng)絡(luò)結(jié)構(gòu)中，以縱向貫穿的方式，實(shí)現(xiàn)部分或全部子項(xiàng)的關(guān)聯(lián)關(guān)系，均屬于此專利涵蓋范圍內(nèi)。也就是說打破二層到七層(L2-L7)分層結(jié)構(gòu)的彼此功能模塊獨(dú)立性的做法及思路，都屬于本發(fā)明專利的含概范疇和保護(hù)范疇。
系統(tǒng)產(chǎn)品或者集成電路產(chǎn)品或者軟件產(chǎn)品的功能中，凡是包含了向用戶提供把數(shù)據(jù)包中二層到七層(L2-L7)中部分或全部子項(xiàng)(subsetof bit stream)提取出來，與N維關(guān)聯(lián)的策略子項(xiàng)進(jìn)行匹配的平臺(tái)，都屬于本發(fā)明專利的含概范疇和保護(hù)范疇。
系統(tǒng)產(chǎn)品或者集成電路產(chǎn)品或者軟件產(chǎn)品的功能中，凡是基于數(shù)據(jù)包中二層到七層(L2-L7)中部分或全部子項(xiàng)(subset of bit stream)關(guān)聯(lián)匹配的結(jié)果，進(jìn)行管理和安全操作的功能，都屬于本發(fā)明專利的含概范疇和保護(hù)范疇。
本專利申請文件(說明書、說明書附圖、權(quán)利要求書、說明書摘要、摘要附圖)中所給出的所有英文以及縮略語為本領(lǐng)域?qū)Ｓ谜Z或通用語，如CPU、IP地址等等，直接以英文表示，即便在教科書或科技期刊中亦是如此。這其中“IP vision”意為“IP版號(hào)”，“session”為“連接”，“VLAN”為“虛擬局域網(wǎng)”，“TOS”為“服務(wù)類型”，“COS”為“服務(wù)級(jí)別”，“DA”為“目的地址”，“SA”為“源地址”，“Type”為“類型”，“DATA”為“數(shù)據(jù)”，“Length”為“長度”，“Sport”為“源端口”，“Dsport”為“目的端口”，“Mask Value”為“掩碼值”，“ISO”為“國際標(biāo)準(zhǔn)組織”。
權(quán)利要求
1.一種貫穿ISO二層到七層的網(wǎng)絡(luò)管理和安全訪問控制方法，其特征在于步驟如下a、建立縱向的、全部或部分的、貫穿二層到七層(L2-L7)的關(guān)聯(lián)體系，即N維空間；b、基于N維空間，建立一個(gè)用戶可編程寫入用于匹配數(shù)據(jù)特征并可進(jìn)行選項(xiàng)的平臺(tái)，該平臺(tái)中的每一項(xiàng)表項(xiàng)與上述a項(xiàng)中的N維空間關(guān)聯(lián)體系一一對(duì)應(yīng)，即N個(gè)表項(xiàng)；c、基于上述a項(xiàng)和b項(xiàng)設(shè)計(jì)完成邏輯，數(shù)據(jù)包與N維空間特性一一匹配，同時(shí)建立N維空間中用戶可編程的執(zhí)行邏輯，使用戶根據(jù)匹配結(jié)果判定并執(zhí)行相應(yīng)的操作。
2.根據(jù)權(quán)利要求1所述的一種貫穿ISO二層到七層的網(wǎng)絡(luò)管理和安全訪問控制方法，其特征在于所述N維空間把數(shù)據(jù)包中包含二層到七層(L2-L7)的相關(guān)子項(xiàng)彼此關(guān)聯(lián)起來。
3.根據(jù)權(quán)利要求2所述的一種貫穿ISO二層到七層的網(wǎng)絡(luò)管理和安全訪問控制方法，其特征在于所述子項(xiàng)為網(wǎng)絡(luò)數(shù)據(jù)包中包含二層到七層(L2-L7)的包頭的常用的子項(xiàng)，而且上述子項(xiàng)作為可以獨(dú)立變化的空間。
4.根據(jù)權(quán)利要求3所述的一種貫穿ISO二層到七層的網(wǎng)絡(luò)管理和安全訪問控制方法，其特征在于所述子項(xiàng)包括，目的MAC地址、源MAC地址、目的IP地址、源IP地址、802.1的類型；IP header中的目的IP地址，源IP地址，IP vision；第4層中TCP端口號(hào)、UDP端口號(hào)、TCP或UDP的連接狀態(tài)。
5.根據(jù)權(quán)利要求2所述的一種貫穿ISO二層到七層的網(wǎng)絡(luò)管理和安全訪問控制方法，其特征在于所述子項(xiàng)為一部分N維空間通過掩碼采樣方法，由用戶在使用時(shí)決定，可以是二層到七層中任何數(shù)據(jù)特征。
6.根據(jù)權(quán)利要求5所述的一種貫穿ISO二層到七層的網(wǎng)絡(luò)管理和安全訪問控制方法，其特征在于所述掩碼采樣方法使數(shù)據(jù)包中深度為數(shù)據(jù)包的前64個(gè)字節(jié)或128個(gè)字節(jié)、256個(gè)字節(jié)的任何數(shù)據(jù)特征或者它們的組合，由用戶在使用時(shí)決定根據(jù)具體情況和應(yīng)用來決定。
7.根據(jù)權(quán)利要求1所述的一種貫穿ISO二層到七層的網(wǎng)絡(luò)管理和安全訪問控制方法，其特征在于建立所述用戶可以選項(xiàng)的平臺(tái)的步驟是在N維空間建立之后，在N維的每一維都對(duì)應(yīng)著設(shè)計(jì)一個(gè)數(shù)據(jù)表，也就是N個(gè)數(shù)據(jù)表格，在數(shù)據(jù)表格里的深度為64、128、256、1K或2K，該表格的具體內(nèi)容由網(wǎng)絡(luò)安全管理員按照實(shí)際的網(wǎng)絡(luò)管理及安全措施的要求填入，或根據(jù)通常的網(wǎng)絡(luò)管理及安全措施的要求提供一個(gè)初始配置。
8.根據(jù)權(quán)利要求1所述的一種貫穿ISO二層到七層的網(wǎng)絡(luò)管理和安全訪問控制方法，其特征在于建立所述N維空間中用戶可編程的執(zhí)行邏輯的步驟是在網(wǎng)絡(luò)中收到的每一個(gè)數(shù)據(jù)包時(shí)，數(shù)據(jù)包中與N維空間相關(guān)聯(lián)的子項(xiàng)被提取出，逐一與N維空間中的每一個(gè)子項(xiàng)進(jìn)行匹配，在每一個(gè)維中，完全匹配以1代表，不匹配以0代表，N維空間形成一個(gè)N位的項(xiàng)量；以此項(xiàng)量的部分或者全部，作為搜尋的特征key，在一個(gè)策略表中搜尋，如果沒有匹配到一條策略，就執(zhí)行缺損操作，如果匹配到一條策略，則分析在N維空間的匹配結(jié)果；匹配結(jié)果分為完全匹配和部分匹配，完全匹配對(duì)應(yīng)幾個(gè)具體操作，部分匹配對(duì)應(yīng)獨(dú)立于完全匹配的決策操作。
9.根據(jù)權(quán)利要求8所述的一種貫穿ISO二層到七層的網(wǎng)絡(luò)管理和安全訪問控制方法，其特征在于典型的決策操作包括(但是不限于)是否決定數(shù)據(jù)包通過，是否拒絕數(shù)據(jù)包通過，是否轉(zhuǎn)發(fā)數(shù)據(jù)包到CPU，是否轉(zhuǎn)發(fā)數(shù)據(jù)包到日志端口，是否改變數(shù)據(jù)包流向，是否改變數(shù)據(jù)包內(nèi)容的某些域。
全文摘要
本發(fā)明公開了一種適用于通過集成電路芯片來實(shí)現(xiàn)從二層到七層的網(wǎng)絡(luò)管理和安全訪問控制的方法。其步驟是建立縱向全部或部分貫穿二層到七層的關(guān)聯(lián)體系即N維空間；基于N維空間，建立一個(gè)用戶可編程寫入用于匹配數(shù)據(jù)特征并可進(jìn)行選項(xiàng)的平臺(tái)，該平臺(tái)與所述N維空間中的關(guān)聯(lián)體系一一對(duì)應(yīng)；基于N維空間和所述平臺(tái)設(shè)計(jì)完成邏輯；數(shù)據(jù)包與N維空間特性一一匹配，同時(shí)建立N維空間中用戶可編程的執(zhí)行邏輯，使用戶根據(jù)匹配結(jié)果判定并執(zhí)行相應(yīng)的操作。該方法建立了以芯片方式縱向貫穿二層到七層的中心架構(gòu)的安全管理模式，并確保ISO二層到七層分層結(jié)構(gòu)的簡單高效性和可連續(xù)性。采用本發(fā)明可以使關(guān)鍵指標(biāo)能在多端口實(shí)現(xiàn)千兆線速。
文檔編號(hào)H04L29/06GK1595934SQ20041004005
公開日2005年3月16日 申請日期2004年6月23日 優(yōu)先權(quán)日2004年6月23日
發(fā)明者李為民, 王步偉, 包雅林, 李黎, 陳卓, 孫杰, 馬春晨 申請人:四川南山之橋微電子有限公司