一種快速的防火牆認證功能實現方法
2023-05-12 00:31:36 3
專利名稱:一種快速的防火牆認證功能實現方法
技術領域:
本發明涉及防火牆技術領域,具體涉及一種快速的防火牆認證功能實現方法。
背景技術:
防火牆主要根據網絡層、傳輸層的報文頭部信息進行規則組織,即根據IP位址、埠等信息進行規則設置。在處理時,需轉發的IP報文順序的對規則進行匹配,並根據匹配結果採取相應處理動作。目前,少量部分防火牆帶有認證功能,其在實現上,往往根據用戶認證信息,動態的在防火牆中增加ACL規則,因此現有技術存在的問題是當有大量用戶認證時,防火牆內部規則將不斷增多,系統運行性能快速下降,最終影響用戶網絡的整體性能。
發明內容
本發明的目的是提供一種快速的防火牆認證功能實現方法,以克服現有技術存在當有大量用戶認證時,防火牆內部規則將不斷增多,系統運行性能快速下降,最終影響用戶網絡的整體性能的問題。
為克服現有技術存在的問題,本發明的技術解決手段是一種快速的防火牆認證功能實現方法,依次包括以下幾個步驟,(一)、標籤定義根據用戶屬性信息(例如用戶對應的權限屬性、帶寬屬性等)定義具體的標籤格式,以便系統可以分類處理;(二)、標籤與角色信息的綁定根據具體的用戶屬性信息以及標籤定義格式,形成具體的標籤值,當用戶認證時,將具體的標籤設置在內核中,以便當用戶數據報文到達時,取出對應的標籤,根據具體的標籤值進行處理(三)、標籤設置
根據網絡數據報文的具體信息,取出用戶報文所對應的標籤,並將其設置在報文緩衝區頭部,以便系統後續功能模塊進行處理。
(四)、基於標籤的處理當數據報文的標籤設置完成後,在轉發過程中,後續功能模塊根據標籤定義及具體的標籤值進行相應處理。
上述步驟(一)中,標籤定義格式可以類似於網絡報文頭部格式定義,通過定義不同欄位,來定義不同的意義或功能,通過每個欄位的取值不同,來定義同類功能的不同處理。
上述步驟(三)中採用了快速映射算法,即將源IP位址與標籤建立對應關係,通過源IP位址取出每個用戶報文所對應的標籤。該方法適用於數據分布段較廣,但數據在一些小段上分布相對密集的數據索引、查找方法,通過索引數組對數據分段管理上述步驟(三)中,快速映射算法的具體步驟是1)安全接入認證平臺接收到用戶IP、tag後,檢查該IP位址對應的索引數組是否存在,如果存在,將標籤tag寫到IP-IPFFFFFF00對應的位置中;如果不存在,內核建立一個長度為256的數組,並將數組地址、索引的IP位址範圍(IPFFFFFF00~IPFFFFFF00+255)寫入內核中一個特定鍊表(list)中,同時將tag寫入到索引數組相應的位置中,即寫入到數組的第IP-IPFFFFFF00的元素中;2)當數據報文通過安全接入認證平臺轉發時,內核根據報文IP頭部信息,查找鍊表list,以便找到對應的索引數組,在索引數組的IP-IPFFFFFF00位置上,取出該IP對應的標籤tag,並填寫在承載IP報文的緩衝區的頭部,以便後續功能模塊使用。
與現有技術相比,本發明的優點是1、實現快速防火牆認證本發明是用基於標籤分類方法來組織系統內部的各種規則,其核心是通過將用戶角色與標籤綁定,實現控制用戶對網絡的訪問權限及訪問範圍,可以看出每個用戶的報文只需對與自己所屬角色相對應的規則進行匹配,無需對所有規則進行匹配,其可以有效克服防火牆順序逐條匹配的缺點,減少規則匹配條目,提高系統性能,其功能與普通支持認證功能的防火牆類似,通過實施本發明,可有效控制系統內部ACL的數目,以便支持大規模用戶認證。在技術方案中為提高標籤設置速度,還進一步提出了快速映射算法,保障了當有大量用戶認證時,系統性能不會有顯著下降,防止查找速度隨數據量增大而明顯下降。
本發明通過標籤分類方法,可以有效的降低系統中的規則數目,同時也可以有效控制每個報文所需匹配的規則數目。
2、適用範圍廣本發明在實質上提出了一種新的規則組織模型的具體實現方式,其可以在很多系統中使用,如防火牆、認證計費系統等。
具體實施例方式下面將通過具體實施例對本發明做進一步說明。
實施例1本發明依次包括下述步驟(一)、標籤定義標籤長度為4個字節,為了處理方便,每個信息域長度為一個字節,如下表所示
1)擴展信息長度為一個字節,主要供以後擴展使用;2)ACL規則長度為一個字節,主要用於控制用戶訪問範圍,與ACL規則相對應;3)下行帶寬規則長度為一個字節,主要用於控制用戶下行帶寬,與下行帶寬規則相對應;4)上行帶寬規則長度為一個字節,主要用於控制用戶上行帶寬,與上行帶寬規則相對應;由於每個信息域長度為一個字節,決定了每個信息域最多可與256規則相對應,但在實際使用中,足以滿足用戶需求。
(二)、基於角色的ACL、帶寬規則的建立,實現標籤與角色信息的綁定在實際應用中,大量用戶具有相同的特性,如互連網訪問範圍、帶寬管理方式等,根據這些屬性為用戶定義好相應角色,並在系統中建立與角色相應的規則ACL、帶寬規則,與標籤域的各個信息域相對應,在系統內核中形成對應表,如下表所示(*表示任意值)
(三)、根據用戶信息對IP報文進行標籤設置當一個IP報文進入系統後,系統根據源IP位址找到相應的用戶認證信息,如果沒有查找到,則說明用戶還沒有認證,系統通知用戶進行認證,如果查找到,則根據用戶信息,對用戶報文進行快速分類,設置相應標籤,以便系統後續功能模塊進行處理。具體的步驟如下1)當用戶認證通過後,認證伺服器根據所屬角色的各種信息,形成對應標籤tag。例如用戶所屬角色對應的ACL為ACL1,下行帶寬規則為inband2,下行帶寬規則為outband3,認證伺服器形成的標籤tag為0x00010203;2)認證伺服器將形成的tag以及用戶的IP位址,返回給安全接入認證平臺,由其寫入系統內核,當用戶數據報文進入系統後,系統根據源IP位址,查找到對應標籤,並填寫在承載IP報文的緩衝區的頭部,以便後續功能模塊使用。
(四)、根據標籤進行相應的ACL、帶寬管理當IP報文的標籤設置完成後,在轉發過程中,報文依次通過後續相關的功能模塊,這些功能模塊根據步驟2建立的映射表,進行相應ACL、帶寬處理。
實施例2為了快速實現標籤設置,進一步提高標籤查找速度,在步驟(三)中採用了快速映射方法進行優化,具體實現步驟如下1)安全接入認證平臺接收到用戶IP、tag後,檢查該IP位址對應的索引數組是否存在,如果存在,將標籤tag寫到IP-IPFFFFFF00對應的位置中;如果不存在,內核建立一個長度為256的數組,並將數組地址、索引的IP位址範圍(IPFFFFFF00~IPFFFFFF00+255)寫入內核中一個特定鍊表(list)中,同時將tag寫入到索引數組相應的位置中,即寫入到數組的第IP-IPFFFFFF00的元素中;2)當數據報文通過安全接入認證平臺轉發時,內核根據報文IP頭部信息,查找鍊表list,以便找到對應的索引數組,在索引數組的IP-IPFFFFFF00位置上,取出該IP對應的標籤tag,並填寫在承載IP報文的緩衝區的頭部,以便後續功能模塊使用。
本發明在實質上提出了一種新的規則組織模型的具體實現方式,其可以在很多系統中使用,如防火牆、認證計費系統等,對於依此模型進行的進一步的擴充、修改,都屬本發明的權益範圍之內。
權利要求
1.一種快速的防火牆認證功能實現方法,其特徵在於它依次包括以下幾個步驟,(一)、標籤定義根據用戶屬性信息(例如用戶對應的權限屬性、帶寬屬性等)定義具體的標籤格式,以便系統可以分類處理;(二)、標籤與角色信息的綁定根據具體的用戶屬性信息以及標籤定義格式,形成具體的標籤值,當用戶認證時,將具體的標籤設置在內核中,以便當用戶數據報文到達時,取出對應的標籤,根據具體的標籤值進行處理;(三)、標籤設置根據網絡數據報文的具體信息,取出用戶報文所對應的標籤,並將其設置在報文緩衝區頭部,以便系統後續功能模塊進行處理。(四)、基於標籤的處理;當數據報文的標籤設置完成後,在轉發過程中,後續功能模塊根據標籤定義及具體的標籤值進行相應處理。
2.如權利要求1所述的一種快速的防火牆認證功能實現方法,其特徵在於所述步驟(一)中,標籤定義格式可以類似於網絡報文頭部格式定義,通過定義不同欄位,來定義不同的意義或功能,通過每個欄位的取值不同,來定義同類功能的不同處理。
3.如權利要求1或2所述的一種快速的防火牆認證功能實現方法,其特徵在於所述步驟(三)中採用了快速映射算法,即將源IP位址與標籤建立對應關係,通過源IP位址取出每個用戶報文所對應的標籤。
4.如權利要求3所述的一種快速的防火牆認證功能實現方法,其特徵在於所述步驟(三)中,快速映射算法的具體步驟是,1)安全接入認證平臺接收到用戶IP、tag後,檢查該IP位址對應的索引數組是否存在,如果存在,將標籤tag寫到IP-IPFFFFFF00對應的位置中;如果不存在,內核建立一個長度為256的數組,並將數組地址、索引的IP位址範圍(IPFFFFFF00~IPFFFFFF00+255)寫入內核中一個特定鍊表(list)中,同時將tag寫入到索引數組相應的位置中,即寫入到數組的第IP-IPFFFFFF00的元素中;2)當數據報文通過安全接入認證平臺轉發時,內核根據報文IP頭部信息,查找鍊表list,以便找到對應的索引數組,在索引數組的IP-IPFFFFFF00位置上,取出該IP對應的標籤tag,並填寫在承載IP報文的緩衝區的頭部,以便後續功能模塊使用。
全文摘要
本發明涉及防火牆技術領域,具體涉及一種快速的防火牆認證功能實現方法。本發明的目的是提供一種快速的防火牆認證功能實現方法,以克服現有技術存在當有大量用戶認證時,防火牆內部規則將不斷增多,系統運行性能快速下降,最終影響用戶網絡的整體性能的問題。其技術解決手段是依次包括以下幾個步驟,(一)標籤定義;(二)標籤與角色信息的綁定;(三)標籤設置;(四)基於標籤的處理。在技術方案中為提高標籤設置速度,還進一步提出了快速映射算法,保障了當有大量用戶認證時,系統性能不會有顯著下降,防止查找速度隨數據量增大而明顯下降。
文檔編號H04L29/06GK1697450SQ20051004195
公開日2005年11月16日 申請日期2005年4月14日 優先權日2005年4月14日
發明者張永斌, 廖明濤, 靳衛恆, 向東 申請人:西安交大捷普網絡科技有限公司