專利名稱:分片報文的網(wǎng)絡(luò)訪問控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)訪問控制技術(shù)��,尤其涉及一種對分片報文進行網(wǎng)絡(luò)訪問控制的方法�����。
目前對分片報文的訪問控制主要有兩種一種是對于所有的分片報文采取全部通過或者全部禁止的方法�。這種方法存在很大的安全隱患和應(yīng)用限制����;當全部通過的時候,黑客很容易構(gòu)造分片報文實施流量攻擊��;當全部禁止的時候�,所有的分片報文,包括合法的報文都將被拒絕丟棄���,這在實際應(yīng)用中是不允許的�����。另一種網(wǎng)絡(luò)訪問控制方法中所應(yīng)用ACL盡管也包含有三層信息及三層以外信息���,例如包含源目的地址信息�����、協(xié)議類型以及三層以外信息��,其中三層以外信息包括TCP/用戶數(shù)據(jù)協(xié)議(UDP)端口號����,互聯(lián)網(wǎng)控制報文協(xié)議(ICMP)類型�����、代碼��,但對分片報文僅進行三層信息的規(guī)則匹配����,以確定分片報文的網(wǎng)絡(luò)可訪問性,其承載的三層以外信息被忽略��,這種方法無法保證分片報文的網(wǎng)絡(luò)訪問控制的有效性����,黑客構(gòu)造分片報文實施流量攻擊的可能性仍然存在,因而�����,網(wǎng)絡(luò)的安全性無法得到更好地保證���。
本發(fā)明的目的是這樣實現(xiàn)的分片報文的網(wǎng)絡(luò)訪問控制方法���,包括(1)根據(jù)需要記錄分片報文中首片報文的屬性信息及分片標識;
(2)分片報文中的后續(xù)分片報文根據(jù)其分片標識�,查詢與該后續(xù)分片報文分片標識相同的首片報文的屬性信息;(3)根據(jù)上述查詢結(jié)果確定該后續(xù)分片報文的網(wǎng)絡(luò)可訪問性����。
所述的步驟(1)包括(21)判斷報文是否為分片報文中的首片報文,如果是����,執(zhí)行步驟(22),否則,執(zhí)行步驟(23)����;(22)根據(jù)需要記錄該首片報文的屬性信息及分片標識;(23)結(jié)束本次判斷過程�����。
所述的屬性信息為首片報文的網(wǎng)絡(luò)可訪問性信息�����。
所述的報文為互聯(lián)網(wǎng)協(xié)議(IP)報文����,判斷報文是否為分片報文中的首片報文是根據(jù)判斷報文的分片標志和分片偏移量進行判斷的。
所述的屬性信息為首片報文的三層以外信息�����。
所述的根據(jù)需要記錄分片報文中首片報文的屬性信息及分片標識���,包括(61)將首片報文的三層信息及三層以外信息與相應(yīng)的訪問控制規(guī)則進行匹配,判斷該首片報文是否可以進行相應(yīng)的訪問�,如可以進行相應(yīng)的訪問,執(zhí)行步驟(62),否則��,執(zhí)行步驟(63)��;(62)記錄該首片報文的三層以外信息和分片標識�;(63)結(jié)束本次操作。
所述的三層信息包括網(wǎng)絡(luò)地址信息���、協(xié)議類型信息�����;所述的三層以外信息包括傳輸控制協(xié)議/用戶數(shù)據(jù)報協(xié)議(TCP/UDP)端口號�、互聯(lián)網(wǎng)控制報文協(xié)議(ICMP)類型����、代碼。
所述的步驟(62)中記錄的三層以外信息和分片標識采用散列樹數(shù)據(jù)結(jié)構(gòu)進行保存����。
所述的以散列樹數(shù)據(jù)結(jié)構(gòu)保存三層以外信息和分片標識,包括(91)發(fā)生需要記錄的首片報文的三層以外信息和分片際識�����;(92)判斷以散列樹數(shù)據(jù)結(jié)構(gòu)組建的狀態(tài)信息表是否允許添加新的表項,如果允許���,執(zhí)行步驟(93)����,否則�����,執(zhí)行步驟(94)�;(93)將首片報文的三層以外信息和分片標識記錄到狀態(tài)信息表中;(94)結(jié)束本次操作�。
由上述技術(shù)方案可以看出,本發(fā)明可以記錄下分片報文中的首片報文的三層以外信息或網(wǎng)絡(luò)可訪問性及分片標識�����,然后分片報文可以通過所記錄的屬性信息確定其網(wǎng)絡(luò)可訪問性��。本發(fā)明解決了現(xiàn)有網(wǎng)絡(luò)訪問控制技術(shù)所存在無法保證對分片報文訪問網(wǎng)絡(luò)進行有效控制的缺點�,實現(xiàn)了分片報文的網(wǎng)絡(luò)訪問控制也可以與普通報文或首片報文的網(wǎng)絡(luò)訪問控制一樣,由訪問控制列表中所記錄的三層信息及三層以外信息的可訪問性確定���,從而更好地保證了網(wǎng)絡(luò)的安全性���。
圖3為狀態(tài)信息表的結(jié)構(gòu)示意圖。
本發(fā)明是針對網(wǎng)絡(luò)訪問控制中所應(yīng)用的ACL中包含有三層以外信息的情況設(shè)計的�,本發(fā)明采用記錄首片報文三層以外信息的方法,以滿足分片報文進行相應(yīng)信息的ACL規(guī)則匹配����。本發(fā)明的實現(xiàn)主要可以包括判斷分片報文是否首分片報文,如果是��,則記錄三層以外的信息�;如果是后續(xù)分片報文,則以分片標識為檢索關(guān)鍵字檢索已經(jīng)記錄的屬性信息��,若檢索到�����,則三層以外信息全部獲得�,執(zhí)行普通報文的匹配操作便可實現(xiàn)對分片報文的網(wǎng)絡(luò)訪問進行控制。
為了提高效率和安全性����,由于后續(xù)分片報文的匹配行為取決于首片分片報文的行為,對于后續(xù)分片來說����,僅當其首片報文被允許的情況下����,ACL中的包含三層以外匹配的規(guī)則對后續(xù)分片報文作用才有效��,才有記錄屬性信息的必要����;因此,當首片報文被ACL允許的時候�,才記錄該報文的三層以外信息,當首片被ACL規(guī)則項禁止的時候���,不記錄任何信息�。另外�����,后續(xù)分片報文的網(wǎng)絡(luò)可訪問性同首片報文是一致的��,我們也可以僅通過記錄首片報文的網(wǎng)絡(luò)可訪問性信息確定分片報文的網(wǎng)絡(luò)可訪問性���,以進一步提高分片報文網(wǎng)絡(luò)訪問控制的效率�����。
本發(fā)明所述的分片報文的網(wǎng)絡(luò)訪問控制方法的具體實現(xiàn)方式�����,參見圖2�,如下所述步驟1接收包含有分片特性的IP報文�����;步驟2根據(jù)報文的分片標志和分片偏移量判斷是否為分片報文中的首片報文����,如果是,執(zhí)行步驟3�����,否則���,執(zhí)行步驟5��;步驟3將首片報文的三層信息及三層以外信息與相應(yīng)的訪問控制規(guī)則進行匹配��,判斷該首片報文是否可以進行相應(yīng)的訪問����,如可以進行相應(yīng)的訪問,執(zhí)行步驟4�����,否則���,不做任何記錄�,執(zhí)行步驟1��;步驟4記錄該首片報文的三層以外信息和分片標識����,執(zhí)行步驟1;記錄的三層以外信息和分片標識采用散列樹數(shù)據(jù)結(jié)構(gòu)進行保存�����,首先利用散列樹數(shù)據(jù)結(jié)構(gòu)組織建立狀態(tài)信息表���,參見圖3�;狀態(tài)信息表中的每一個表項中記錄了一個首分片報文的三層以外信息以或者ACL對其過濾行為(允許或者禁止)的信息,線性表存放分片報文的分片標識經(jīng)過散列運算后的散列序號��,相同散列序號的表項再組成一個雙向鏈表���;
然后�,當發(fā)生需要記錄的首片報文的三層以外信息和分片標識時�����,判斷以散列樹數(shù)據(jù)結(jié)構(gòu)組建的狀態(tài)信息表是否允許添加新的表項��,如果允許��,則將首片報文的三層以外信息和分片標識記錄到狀態(tài)信息表中�,否則無法記錄首片報文的三層以外信息及分片標識����;考慮額外風險,對狀態(tài)信息表進行了保護���,包括限制最大允許記錄項總數(shù)����;限制在散列非均勻分布的情況下,對每個散列支中記錄項的數(shù)目���;提供記錄項的時間老化功能���,即當在非正常情況下,當記錄項不能正常刪除的時候�����,通過超時時間限制來刪除����,以提高對分片報文進行網(wǎng)絡(luò)訪問控制的可靠性;步驟5則該報文為后續(xù)分片報文�,根據(jù)后續(xù)分片報文的分片標識查詢是否存在與其分片標識對應(yīng)的三層以外信息,如存在�,執(zhí)行步驟6,否則��,執(zhí)行步驟7�;步驟6根據(jù)所記錄的關(guān)于該后續(xù)分片報文的三層以外信息及后續(xù)分片報文所承載的三層信息,確定該后續(xù)分片報文的網(wǎng)絡(luò)可訪問性����;三層信息包括網(wǎng)絡(luò)地址信息�����、協(xié)議類型信息�����;三層以外信息包括傳輸控制協(xié)議/用戶數(shù)據(jù)報協(xié)議(TCP/UDP)端口號�、互聯(lián)網(wǎng)控制報文協(xié)議(ICMP)類型�����、代碼�;確定后續(xù)分片報文的網(wǎng)絡(luò)可訪問性與確定普通報文的網(wǎng)絡(luò)可訪問性相同����,將關(guān)于該后續(xù)分片報文的三層信息及三層以外信息與相應(yīng)的ACL規(guī)則進行匹配,根據(jù)匹配的結(jié)果確定其網(wǎng)絡(luò)可訪問性��;步驟7禁止該后續(xù)分片報文進行相應(yīng)的訪問��。
上述具體實施方案中還可以將步驟3省去���,即當確定該分片報文為首片報文后�����,直接記錄該首片報文的三層以外信息及分片標識�����,與該首片報文對應(yīng)的后續(xù)分片報文則可以根據(jù)所記錄的相應(yīng)的三層以外信息及分片標識確定其網(wǎng)絡(luò)可訪問性�����。
本發(fā)明所述的分片報文的網(wǎng)絡(luò)訪問控制方法還可以在確定了首片報文的可訪問性后���,僅將首片報文的可訪問性信息及其分片標識記錄下來�����,后續(xù)分片報文可以根據(jù)分片標識查詢與其對應(yīng)的首片報文的可訪問性信息�,以確定后續(xù)分片報文的網(wǎng)絡(luò)可訪問性����;后續(xù)分片報文的網(wǎng)絡(luò)可訪問性與所查詢到的,與其對應(yīng)的首片報文的可訪問性相同�。這一實施方案只記錄首片報文的網(wǎng)絡(luò)可訪問性信息和分片標識��,減少了記錄的信息量�����,同時也使后續(xù)分片報文無需再一次進行規(guī)則匹配��,從而使分片報文的網(wǎng)絡(luò)訪問控制過程更為方便�����、快捷��。
權(quán)利要求
1.一種分片報文的網(wǎng)絡(luò)訪問控制方法���,包括(1)根據(jù)需要記錄分片報文中首片報文的屬性信息及分片標識;(2)分片報文中的后續(xù)分片報文根據(jù)其分片標識���,查詢與該后續(xù)分片報文分片標識相同的首片報文的屬性信息;(3)根據(jù)上述查詢結(jié)果確定該后續(xù)分片報文的網(wǎng)絡(luò)可訪問性��。
2.根據(jù)權(quán)利要求1所述的分片報文的網(wǎng)絡(luò)訪問控制方法�����,其特征在于所述的步驟(1)包括(21)判斷報文是否為分片報文中的首片報文,如果是��,執(zhí)行步驟(22)�,否則,執(zhí)行步驟(23)�����;(22)根據(jù)需要記錄該首片報文的屬性信息及分片標識�����;(23)結(jié)束本次判斷過程�。
3.根據(jù)權(quán)利要求1所述的分片報文的網(wǎng)絡(luò)訪問控制方法,其特征在于所述的屬性信息為首片報文的網(wǎng)絡(luò)可訪問性信息����。
4.根據(jù)權(quán)利要求2所述的分片報文的網(wǎng)絡(luò)訪問控制方法,其特征在于所述的報文為互聯(lián)網(wǎng)協(xié)議(IP)報文�����,判斷報文是否為分片報文中的首片報文是根據(jù)判斷報文的分片標志和分片偏移量進行判斷的���。
5.根據(jù)權(quán)利要求4所述的分片報文的網(wǎng)絡(luò)訪問控制方法����,其特征在于所述的屬性信息為首片報文的三層以外信息。
6.根據(jù)權(quán)利要求5所述的分片報文的網(wǎng)絡(luò)訪問控制方法�,其特征在于所述的根據(jù)需要記錄分片報文中首片報文的屬性信息及分片標識,包括(61)將首片報文的三層信息及三層以外信息與相應(yīng)的訪問控制規(guī)則進行匹配�����,判斷該首片報文是否可以進行相應(yīng)的訪問�,如可以進行相應(yīng)的訪問,執(zhí)行步驟(62)�����,否則�,執(zhí)行步驟(63);(62)記錄該首片報文的三層以外信息和分片標識;(63)結(jié)束本次操作����。
7.根據(jù)權(quán)利要求6所述的分片報文的網(wǎng)絡(luò)訪問控制方法�����,其特征在于所述的三層信息包括網(wǎng)絡(luò)地址信息��、協(xié)議類型信息;所述的三層以外信息包括傳輸控制協(xié)議/用戶數(shù)據(jù)報協(xié)議(TCP/UDP)端口號��、互聯(lián)網(wǎng)控制報文協(xié)議(ICMP)類型��、代碼�。
8.根據(jù)權(quán)利要求6所述的分片報文的網(wǎng)絡(luò)訪問控制方法��,其特征在于所述的步驟(62)中記錄的三層以外信息和分片標識采用散列樹數(shù)據(jù)結(jié)構(gòu)進行保存���。
9.根據(jù)權(quán)利要求8所述的分片報文的網(wǎng)絡(luò)訪問控制方法��,其特征在于所述的以散列樹數(shù)據(jù)結(jié)構(gòu)保存三層以外信息和分片標識��,包括(91)發(fā)生需要記錄的首片報文的三層以外信息和分片標識����;(92)判斷以散列樹數(shù)據(jù)結(jié)構(gòu)組建的狀態(tài)信息表是否允許添加新的表項,如果允許��,執(zhí)行步驟(93)�,否則,執(zhí)行步驟(94)�;(93)將首片報文的三層以外信息和分片標識記錄到狀態(tài)信息表中;(94)結(jié)束本次操作。
全文摘要
本發(fā)明涉及一種網(wǎng)絡(luò)訪問控制技術(shù)中的分片報文的網(wǎng)絡(luò)訪問控制方法�。包括首先����,根據(jù)需要記錄分片報文中首片報文的屬性信息及分片標識;然后,分片報文中的后續(xù)分片報文根據(jù)其分片標識��,查詢與該后續(xù)分片報文分片標識相同的首片報文的屬性信息;最后��,根據(jù)上述查詢結(jié)果確定該后續(xù)分片報文的網(wǎng)絡(luò)可訪問性���。由上述技術(shù)方案可以看出�,本發(fā)明解決了現(xiàn)有網(wǎng)絡(luò)訪問控制技術(shù)所存在無法保證對分片報文訪問網(wǎng)絡(luò)進行有效控制的缺點,實現(xiàn)了分片報文的網(wǎng)絡(luò)訪問控制也可以與普通報文或首片報文的網(wǎng)絡(luò)訪問控制一樣方便,從而更好地保證了網(wǎng)絡(luò)的安全性��。
文檔編號H04L29/08GK1411218SQ0211728
公開日2003年4月16日 申請日期2002年4月23日 優(yōu)先權(quán)日2002年4月23日
發(fā)明者楊煒 申請人:華為技術(shù)有限公司