專利名稱:一種快速的防火墻認(rèn)證功能實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及防火墻技術(shù)領(lǐng)域,具體涉及一種快速的防火墻認(rèn)證功能實(shí)現(xiàn)方法。
背景技術(shù):
防火墻主要根據(jù)網(wǎng)絡(luò)層、傳輸層的報(bào)文頭部信息進(jìn)行規(guī)則組織,即根據(jù)IP地址、端口等信息進(jìn)行規(guī)則設(shè)置。在處理時(shí),需轉(zhuǎn)發(fā)的IP報(bào)文順序的對規(guī)則進(jìn)行匹配,并根據(jù)匹配結(jié)果采取相應(yīng)處理動(dòng)作。目前,少量部分防火墻帶有認(rèn)證功能,其在實(shí)現(xiàn)上,往往根據(jù)用戶認(rèn)證信息,動(dòng)態(tài)的在防火墻中增加ACL規(guī)則,因此現(xiàn)有技術(shù)存在的問題是當(dāng)有大量用戶認(rèn)證時(shí),防火墻內(nèi)部規(guī)則將不斷增多,系統(tǒng)運(yùn)行性能快速下降,最終影響用戶網(wǎng)絡(luò)的整體性能。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種快速的防火墻認(rèn)證功能實(shí)現(xiàn)方法,以克服現(xiàn)有技術(shù)存在當(dāng)有大量用戶認(rèn)證時(shí),防火墻內(nèi)部規(guī)則將不斷增多,系統(tǒng)運(yùn)行性能快速下降,最終影響用戶網(wǎng)絡(luò)的整體性能的問題。
為克服現(xiàn)有技術(shù)存在的問題,本發(fā)明的技術(shù)解決手段是一種快速的防火墻認(rèn)證功能實(shí)現(xiàn)方法,依次包括以下幾個(gè)步驟,(一)、標(biāo)簽定義根據(jù)用戶屬性信息(例如用戶對應(yīng)的權(quán)限屬性、帶寬屬性等)定義具體的標(biāo)簽格式,以便系統(tǒng)可以分類處理;(二)、標(biāo)簽與角色信息的綁定根據(jù)具體的用戶屬性信息以及標(biāo)簽定義格式,形成具體的標(biāo)簽值,當(dāng)用戶認(rèn)證時(shí),將具體的標(biāo)簽設(shè)置在內(nèi)核中,以便當(dāng)用戶數(shù)據(jù)報(bào)文到達(dá)時(shí),取出對應(yīng)的標(biāo)簽,根據(jù)具體的標(biāo)簽值進(jìn)行處理(三)、標(biāo)簽設(shè)置
根據(jù)網(wǎng)絡(luò)數(shù)據(jù)報(bào)文的具體信息,取出用戶報(bào)文所對應(yīng)的標(biāo)簽,并將其設(shè)置在報(bào)文緩沖區(qū)頭部,以便系統(tǒng)后續(xù)功能模塊進(jìn)行處理。
(四)、基于標(biāo)簽的處理當(dāng)數(shù)據(jù)報(bào)文的標(biāo)簽設(shè)置完成后,在轉(zhuǎn)發(fā)過程中,后續(xù)功能模塊根據(jù)標(biāo)簽定義及具體的標(biāo)簽值進(jìn)行相應(yīng)處理。
上述步驟(一)中,標(biāo)簽定義格式可以類似于網(wǎng)絡(luò)報(bào)文頭部格式定義,通過定義不同字段,來定義不同的意義或功能,通過每個(gè)字段的取值不同,來定義同類功能的不同處理。
上述步驟(三)中采用了快速映射算法,即將源IP地址與標(biāo)簽建立對應(yīng)關(guān)系,通過源IP地址取出每個(gè)用戶報(bào)文所對應(yīng)的標(biāo)簽。該方法適用于數(shù)據(jù)分布段較廣,但數(shù)據(jù)在一些小段上分布相對密集的數(shù)據(jù)索引、查找方法,通過索引數(shù)組對數(shù)據(jù)分段管理上述步驟(三)中,快速映射算法的具體步驟是1)安全接入認(rèn)證平臺(tái)接收到用戶IP、tag后,檢查該IP地址對應(yīng)的索引數(shù)組是否存在,如果存在,將標(biāo)簽tag寫到IP-IP&FFFFFF00對應(yīng)的位置中;如果不存在,內(nèi)核建立一個(gè)長度為256的數(shù)組,并將數(shù)組地址、索引的IP地址范圍(IP&FFFFFF00~I(xiàn)P&FFFFFF00+255)寫入內(nèi)核中一個(gè)特定鏈表(list)中,同時(shí)將tag寫入到索引數(shù)組相應(yīng)的位置中,即寫入到數(shù)組的第IP-IP&FFFFFF00的元素中;2)當(dāng)數(shù)據(jù)報(bào)文通過安全接入認(rèn)證平臺(tái)轉(zhuǎn)發(fā)時(shí),內(nèi)核根據(jù)報(bào)文IP頭部信息,查找鏈表list,以便找到對應(yīng)的索引數(shù)組,在索引數(shù)組的IP-IP&FFFFFF00位置上,取出該IP對應(yīng)的標(biāo)簽tag,并填寫在承載IP報(bào)文的緩沖區(qū)的頭部,以便后續(xù)功能模塊使用。
與現(xiàn)有技術(shù)相比,本發(fā)明的優(yōu)點(diǎn)是1、實(shí)現(xiàn)快速防火墻認(rèn)證本發(fā)明是用基于標(biāo)簽分類方法來組織系統(tǒng)內(nèi)部的各種規(guī)則,其核心是通過將用戶角色與標(biāo)簽綁定,實(shí)現(xiàn)控制用戶對網(wǎng)絡(luò)的訪問權(quán)限及訪問范圍,可以看出每個(gè)用戶的報(bào)文只需對與自己所屬角色相對應(yīng)的規(guī)則進(jìn)行匹配,無需對所有規(guī)則進(jìn)行匹配,其可以有效克服防火墻順序逐條匹配的缺點(diǎn),減少規(guī)則匹配條目,提高系統(tǒng)性能,其功能與普通支持認(rèn)證功能的防火墻類似,通過實(shí)施本發(fā)明,可有效控制系統(tǒng)內(nèi)部ACL的數(shù)目,以便支持大規(guī)模用戶認(rèn)證。在技術(shù)方案中為提高標(biāo)簽設(shè)置速度,還進(jìn)一步提出了快速映射算法,保障了當(dāng)有大量用戶認(rèn)證時(shí),系統(tǒng)性能不會(huì)有顯著下降,防止查找速度隨數(shù)據(jù)量增大而明顯下降。
本發(fā)明通過標(biāo)簽分類方法,可以有效的降低系統(tǒng)中的規(guī)則數(shù)目,同時(shí)也可以有效控制每個(gè)報(bào)文所需匹配的規(guī)則數(shù)目。
2、適用范圍廣本發(fā)明在實(shí)質(zhì)上提出了一種新的規(guī)則組織模型的具體實(shí)現(xiàn)方式,其可以在很多系統(tǒng)中使用,如防火墻、認(rèn)證計(jì)費(fèi)系統(tǒng)等。
具體實(shí)施例方式下面將通過具體實(shí)施例對本發(fā)明做進(jìn)一步說明。
實(shí)施例1本發(fā)明依次包括下述步驟(一)、標(biāo)簽定義標(biāo)簽長度為4個(gè)字節(jié),為了處理方便,每個(gè)信息域長度為一個(gè)字節(jié),如下表所示
1)擴(kuò)展信息長度為一個(gè)字節(jié),主要供以后擴(kuò)展使用;2)ACL規(guī)則長度為一個(gè)字節(jié),主要用于控制用戶訪問范圍,與ACL規(guī)則相對應(yīng);3)下行帶寬規(guī)則長度為一個(gè)字節(jié),主要用于控制用戶下行帶寬,與下行帶寬規(guī)則相對應(yīng);4)上行帶寬規(guī)則長度為一個(gè)字節(jié),主要用于控制用戶上行帶寬,與上行帶寬規(guī)則相對應(yīng);由于每個(gè)信息域長度為一個(gè)字節(jié),決定了每個(gè)信息域最多可與256規(guī)則相對應(yīng),但在實(shí)際使用中,足以滿足用戶需求。
(二)、基于角色的ACL、帶寬規(guī)則的建立,實(shí)現(xiàn)標(biāo)簽與角色信息的綁定在實(shí)際應(yīng)用中,大量用戶具有相同的特性,如互連網(wǎng)訪問范圍、帶寬管理方式等,根據(jù)這些屬性為用戶定義好相應(yīng)角色,并在系統(tǒng)中建立與角色相應(yīng)的規(guī)則ACL、帶寬規(guī)則,與標(biāo)簽域的各個(gè)信息域相對應(yīng),在系統(tǒng)內(nèi)核中形成對應(yīng)表,如下表所示(*表示任意值)
(三)、根據(jù)用戶信息對IP報(bào)文進(jìn)行標(biāo)簽設(shè)置當(dāng)一個(gè)IP報(bào)文進(jìn)入系統(tǒng)后,系統(tǒng)根據(jù)源IP地址找到相應(yīng)的用戶認(rèn)證信息,如果沒有查找到,則說明用戶還沒有認(rèn)證,系統(tǒng)通知用戶進(jìn)行認(rèn)證,如果查找到,則根據(jù)用戶信息,對用戶報(bào)文進(jìn)行快速分類,設(shè)置相應(yīng)標(biāo)簽,以便系統(tǒng)后續(xù)功能模塊進(jìn)行處理。具體的步驟如下1)當(dāng)用戶認(rèn)證通過后,認(rèn)證服務(wù)器根據(jù)所屬角色的各種信息,形成對應(yīng)標(biāo)簽tag。例如用戶所屬角色對應(yīng)的ACL為ACL1,下行帶寬規(guī)則為inband2,下行帶寬規(guī)則為outband3,認(rèn)證服務(wù)器形成的標(biāo)簽tag為0x00010203;2)認(rèn)證服務(wù)器將形成的tag以及用戶的IP地址,返回給安全接入認(rèn)證平臺(tái),由其寫入系統(tǒng)內(nèi)核,當(dāng)用戶數(shù)據(jù)報(bào)文進(jìn)入系統(tǒng)后,系統(tǒng)根據(jù)源IP地址,查找到對應(yīng)標(biāo)簽,并填寫在承載IP報(bào)文的緩沖區(qū)的頭部,以便后續(xù)功能模塊使用。
(四)、根據(jù)標(biāo)簽進(jìn)行相應(yīng)的ACL、帶寬管理當(dāng)IP報(bào)文的標(biāo)簽設(shè)置完成后,在轉(zhuǎn)發(fā)過程中,報(bào)文依次通過后續(xù)相關(guān)的功能模塊,這些功能模塊根據(jù)步驟2建立的映射表,進(jìn)行相應(yīng)ACL、帶寬處理。
實(shí)施例2為了快速實(shí)現(xiàn)標(biāo)簽設(shè)置,進(jìn)一步提高標(biāo)簽查找速度,在步驟(三)中采用了快速映射方法進(jìn)行優(yōu)化,具體實(shí)現(xiàn)步驟如下1)安全接入認(rèn)證平臺(tái)接收到用戶IP、tag后,檢查該IP地址對應(yīng)的索引數(shù)組是否存在,如果存在,將標(biāo)簽tag寫到IP-IP&FFFFFF00對應(yīng)的位置中;如果不存在,內(nèi)核建立一個(gè)長度為256的數(shù)組,并將數(shù)組地址、索引的IP地址范圍(IP&FFFFFF00~IP&FFFFFF00+255)寫入內(nèi)核中一個(gè)特定鏈表(list)中,同時(shí)將tag寫入到索引數(shù)組相應(yīng)的位置中,即寫入到數(shù)組的第IP-IP&FFFFFF00的元素中;2)當(dāng)數(shù)據(jù)報(bào)文通過安全接入認(rèn)證平臺(tái)轉(zhuǎn)發(fā)時(shí),內(nèi)核根據(jù)報(bào)文IP頭部信息,查找鏈表list,以便找到對應(yīng)的索引數(shù)組,在索引數(shù)組的IP-IP&FFFFFF00位置上,取出該IP對應(yīng)的標(biāo)簽tag,并填寫在承載IP報(bào)文的緩沖區(qū)的頭部,以便后續(xù)功能模塊使用。
本發(fā)明在實(shí)質(zhì)上提出了一種新的規(guī)則組織模型的具體實(shí)現(xiàn)方式,其可以在很多系統(tǒng)中使用,如防火墻、認(rèn)證計(jì)費(fèi)系統(tǒng)等,對于依此模型進(jìn)行的進(jìn)一步的擴(kuò)充、修改,都屬本發(fā)明的權(quán)益范圍之內(nèi)。
權(quán)利要求
1.一種快速的防火墻認(rèn)證功能實(shí)現(xiàn)方法,其特征在于它依次包括以下幾個(gè)步驟,(一)、標(biāo)簽定義根據(jù)用戶屬性信息(例如用戶對應(yīng)的權(quán)限屬性、帶寬屬性等)定義具體的標(biāo)簽格式,以便系統(tǒng)可以分類處理;(二)、標(biāo)簽與角色信息的綁定根據(jù)具體的用戶屬性信息以及標(biāo)簽定義格式,形成具體的標(biāo)簽值,當(dāng)用戶認(rèn)證時(shí),將具體的標(biāo)簽設(shè)置在內(nèi)核中,以便當(dāng)用戶數(shù)據(jù)報(bào)文到達(dá)時(shí),取出對應(yīng)的標(biāo)簽,根據(jù)具體的標(biāo)簽值進(jìn)行處理;(三)、標(biāo)簽設(shè)置根據(jù)網(wǎng)絡(luò)數(shù)據(jù)報(bào)文的具體信息,取出用戶報(bào)文所對應(yīng)的標(biāo)簽,并將其設(shè)置在報(bào)文緩沖區(qū)頭部,以便系統(tǒng)后續(xù)功能模塊進(jìn)行處理。(四)、基于標(biāo)簽的處理;當(dāng)數(shù)據(jù)報(bào)文的標(biāo)簽設(shè)置完成后,在轉(zhuǎn)發(fā)過程中,后續(xù)功能模塊根據(jù)標(biāo)簽定義及具體的標(biāo)簽值進(jìn)行相應(yīng)處理。
2.如權(quán)利要求1所述的一種快速的防火墻認(rèn)證功能實(shí)現(xiàn)方法,其特征在于所述步驟(一)中,標(biāo)簽定義格式可以類似于網(wǎng)絡(luò)報(bào)文頭部格式定義,通過定義不同字段,來定義不同的意義或功能,通過每個(gè)字段的取值不同,來定義同類功能的不同處理。
3.如權(quán)利要求1或2所述的一種快速的防火墻認(rèn)證功能實(shí)現(xiàn)方法,其特征在于所述步驟(三)中采用了快速映射算法,即將源IP地址與標(biāo)簽建立對應(yīng)關(guān)系,通過源IP地址取出每個(gè)用戶報(bào)文所對應(yīng)的標(biāo)簽。
4.如權(quán)利要求3所述的一種快速的防火墻認(rèn)證功能實(shí)現(xiàn)方法,其特征在于所述步驟(三)中,快速映射算法的具體步驟是,1)安全接入認(rèn)證平臺(tái)接收到用戶IP、tag后,檢查該IP地址對應(yīng)的索引數(shù)組是否存在,如果存在,將標(biāo)簽tag寫到IP-IP&FFFFFF00對應(yīng)的位置中;如果不存在,內(nèi)核建立一個(gè)長度為256的數(shù)組,并將數(shù)組地址、索引的IP地址范圍(IP&FFFFFF00~I(xiàn)P&FFFFFF00+255)寫入內(nèi)核中一個(gè)特定鏈表(list)中,同時(shí)將tag寫入到索引數(shù)組相應(yīng)的位置中,即寫入到數(shù)組的第IP-IP&FFFFFF00的元素中;2)當(dāng)數(shù)據(jù)報(bào)文通過安全接入認(rèn)證平臺(tái)轉(zhuǎn)發(fā)時(shí),內(nèi)核根據(jù)報(bào)文IP頭部信息,查找鏈表list,以便找到對應(yīng)的索引數(shù)組,在索引數(shù)組的IP-IP&FFFFFF00位置上,取出該IP對應(yīng)的標(biāo)簽tag,并填寫在承載IP報(bào)文的緩沖區(qū)的頭部,以便后續(xù)功能模塊使用。
全文摘要
本發(fā)明涉及防火墻技術(shù)領(lǐng)域,具體涉及一種快速的防火墻認(rèn)證功能實(shí)現(xiàn)方法。本發(fā)明的目的是提供一種快速的防火墻認(rèn)證功能實(shí)現(xiàn)方法,以克服現(xiàn)有技術(shù)存在當(dāng)有大量用戶認(rèn)證時(shí),防火墻內(nèi)部規(guī)則將不斷增多,系統(tǒng)運(yùn)行性能快速下降,最終影響用戶網(wǎng)絡(luò)的整體性能的問題。其技術(shù)解決手段是依次包括以下幾個(gè)步驟,(一)標(biāo)簽定義;(二)標(biāo)簽與角色信息的綁定;(三)標(biāo)簽設(shè)置;(四)基于標(biāo)簽的處理。在技術(shù)方案中為提高標(biāo)簽設(shè)置速度,還進(jìn)一步提出了快速映射算法,保障了當(dāng)有大量用戶認(rèn)證時(shí),系統(tǒng)性能不會(huì)有顯著下降,防止查找速度隨數(shù)據(jù)量增大而明顯下降。
文檔編號(hào)H04L29/06GK1697450SQ20051004195
公開日2005年11月16日 申請日期2005年4月14日 優(yōu)先權(quán)日2005年4月14日
發(fā)明者張永斌, 廖明濤, 靳衛(wèi)恒, 向東 申請人:西安交大捷普網(wǎng)絡(luò)科技有限公司