新四季網

一種快速的防火牆認證功能實現方法

2023-05-12 00:31:36 3

專利名稱:一種快速的防火牆認證功能實現方法
技術領域:
本發明涉及防火牆技術領域,具體涉及一種快速的防火牆認證功能實現方法。
背景技術:
防火牆主要根據網絡層、傳輸層的報文頭部信息進行規則組織,即根據IP位址、埠等信息進行規則設置。在處理時,需轉發的IP報文順序的對規則進行匹配,並根據匹配結果採取相應處理動作。目前,少量部分防火牆帶有認證功能,其在實現上,往往根據用戶認證信息,動態的在防火牆中增加ACL規則,因此現有技術存在的問題是當有大量用戶認證時,防火牆內部規則將不斷增多,系統運行性能快速下降,最終影響用戶網絡的整體性能。

發明內容
本發明的目的是提供一種快速的防火牆認證功能實現方法,以克服現有技術存在當有大量用戶認證時,防火牆內部規則將不斷增多,系統運行性能快速下降,最終影響用戶網絡的整體性能的問題。
為克服現有技術存在的問題,本發明的技術解決手段是一種快速的防火牆認證功能實現方法,依次包括以下幾個步驟,(一)、標籤定義根據用戶屬性信息(例如用戶對應的權限屬性、帶寬屬性等)定義具體的標籤格式,以便系統可以分類處理;(二)、標籤與角色信息的綁定根據具體的用戶屬性信息以及標籤定義格式,形成具體的標籤值,當用戶認證時,將具體的標籤設置在內核中,以便當用戶數據報文到達時,取出對應的標籤,根據具體的標籤值進行處理(三)、標籤設置
根據網絡數據報文的具體信息,取出用戶報文所對應的標籤,並將其設置在報文緩衝區頭部,以便系統後續功能模塊進行處理。
(四)、基於標籤的處理當數據報文的標籤設置完成後,在轉發過程中,後續功能模塊根據標籤定義及具體的標籤值進行相應處理。
上述步驟(一)中,標籤定義格式可以類似於網絡報文頭部格式定義,通過定義不同欄位,來定義不同的意義或功能,通過每個欄位的取值不同,來定義同類功能的不同處理。
上述步驟(三)中採用了快速映射算法,即將源IP位址與標籤建立對應關係,通過源IP位址取出每個用戶報文所對應的標籤。該方法適用於數據分布段較廣,但數據在一些小段上分布相對密集的數據索引、查找方法,通過索引數組對數據分段管理上述步驟(三)中,快速映射算法的具體步驟是1)安全接入認證平臺接收到用戶IP、tag後,檢查該IP位址對應的索引數組是否存在,如果存在,將標籤tag寫到IP-IPFFFFFF00對應的位置中;如果不存在,內核建立一個長度為256的數組,並將數組地址、索引的IP位址範圍(IPFFFFFF00~IPFFFFFF00+255)寫入內核中一個特定鍊表(list)中,同時將tag寫入到索引數組相應的位置中,即寫入到數組的第IP-IPFFFFFF00的元素中;2)當數據報文通過安全接入認證平臺轉發時,內核根據報文IP頭部信息,查找鍊表list,以便找到對應的索引數組,在索引數組的IP-IPFFFFFF00位置上,取出該IP對應的標籤tag,並填寫在承載IP報文的緩衝區的頭部,以便後續功能模塊使用。
與現有技術相比,本發明的優點是1、實現快速防火牆認證本發明是用基於標籤分類方法來組織系統內部的各種規則,其核心是通過將用戶角色與標籤綁定,實現控制用戶對網絡的訪問權限及訪問範圍,可以看出每個用戶的報文只需對與自己所屬角色相對應的規則進行匹配,無需對所有規則進行匹配,其可以有效克服防火牆順序逐條匹配的缺點,減少規則匹配條目,提高系統性能,其功能與普通支持認證功能的防火牆類似,通過實施本發明,可有效控制系統內部ACL的數目,以便支持大規模用戶認證。在技術方案中為提高標籤設置速度,還進一步提出了快速映射算法,保障了當有大量用戶認證時,系統性能不會有顯著下降,防止查找速度隨數據量增大而明顯下降。
本發明通過標籤分類方法,可以有效的降低系統中的規則數目,同時也可以有效控制每個報文所需匹配的規則數目。
2、適用範圍廣本發明在實質上提出了一種新的規則組織模型的具體實現方式,其可以在很多系統中使用,如防火牆、認證計費系統等。
具體實施例方式下面將通過具體實施例對本發明做進一步說明。
實施例1本發明依次包括下述步驟(一)、標籤定義標籤長度為4個字節,為了處理方便,每個信息域長度為一個字節,如下表所示

1)擴展信息長度為一個字節,主要供以後擴展使用;2)ACL規則長度為一個字節,主要用於控制用戶訪問範圍,與ACL規則相對應;3)下行帶寬規則長度為一個字節,主要用於控制用戶下行帶寬,與下行帶寬規則相對應;4)上行帶寬規則長度為一個字節,主要用於控制用戶上行帶寬,與上行帶寬規則相對應;由於每個信息域長度為一個字節,決定了每個信息域最多可與256規則相對應,但在實際使用中,足以滿足用戶需求。
(二)、基於角色的ACL、帶寬規則的建立,實現標籤與角色信息的綁定在實際應用中,大量用戶具有相同的特性,如互連網訪問範圍、帶寬管理方式等,根據這些屬性為用戶定義好相應角色,並在系統中建立與角色相應的規則ACL、帶寬規則,與標籤域的各個信息域相對應,在系統內核中形成對應表,如下表所示(*表示任意值)



(三)、根據用戶信息對IP報文進行標籤設置當一個IP報文進入系統後,系統根據源IP位址找到相應的用戶認證信息,如果沒有查找到,則說明用戶還沒有認證,系統通知用戶進行認證,如果查找到,則根據用戶信息,對用戶報文進行快速分類,設置相應標籤,以便系統後續功能模塊進行處理。具體的步驟如下1)當用戶認證通過後,認證伺服器根據所屬角色的各種信息,形成對應標籤tag。例如用戶所屬角色對應的ACL為ACL1,下行帶寬規則為inband2,下行帶寬規則為outband3,認證伺服器形成的標籤tag為0x00010203;2)認證伺服器將形成的tag以及用戶的IP位址,返回給安全接入認證平臺,由其寫入系統內核,當用戶數據報文進入系統後,系統根據源IP位址,查找到對應標籤,並填寫在承載IP報文的緩衝區的頭部,以便後續功能模塊使用。
(四)、根據標籤進行相應的ACL、帶寬管理當IP報文的標籤設置完成後,在轉發過程中,報文依次通過後續相關的功能模塊,這些功能模塊根據步驟2建立的映射表,進行相應ACL、帶寬處理。
實施例2為了快速實現標籤設置,進一步提高標籤查找速度,在步驟(三)中採用了快速映射方法進行優化,具體實現步驟如下1)安全接入認證平臺接收到用戶IP、tag後,檢查該IP位址對應的索引數組是否存在,如果存在,將標籤tag寫到IP-IPFFFFFF00對應的位置中;如果不存在,內核建立一個長度為256的數組,並將數組地址、索引的IP位址範圍(IPFFFFFF00~IPFFFFFF00+255)寫入內核中一個特定鍊表(list)中,同時將tag寫入到索引數組相應的位置中,即寫入到數組的第IP-IPFFFFFF00的元素中;2)當數據報文通過安全接入認證平臺轉發時,內核根據報文IP頭部信息,查找鍊表list,以便找到對應的索引數組,在索引數組的IP-IPFFFFFF00位置上,取出該IP對應的標籤tag,並填寫在承載IP報文的緩衝區的頭部,以便後續功能模塊使用。
本發明在實質上提出了一種新的規則組織模型的具體實現方式,其可以在很多系統中使用,如防火牆、認證計費系統等,對於依此模型進行的進一步的擴充、修改,都屬本發明的權益範圍之內。
權利要求
1.一種快速的防火牆認證功能實現方法,其特徵在於它依次包括以下幾個步驟,(一)、標籤定義根據用戶屬性信息(例如用戶對應的權限屬性、帶寬屬性等)定義具體的標籤格式,以便系統可以分類處理;(二)、標籤與角色信息的綁定根據具體的用戶屬性信息以及標籤定義格式,形成具體的標籤值,當用戶認證時,將具體的標籤設置在內核中,以便當用戶數據報文到達時,取出對應的標籤,根據具體的標籤值進行處理;(三)、標籤設置根據網絡數據報文的具體信息,取出用戶報文所對應的標籤,並將其設置在報文緩衝區頭部,以便系統後續功能模塊進行處理。(四)、基於標籤的處理;當數據報文的標籤設置完成後,在轉發過程中,後續功能模塊根據標籤定義及具體的標籤值進行相應處理。
2.如權利要求1所述的一種快速的防火牆認證功能實現方法,其特徵在於所述步驟(一)中,標籤定義格式可以類似於網絡報文頭部格式定義,通過定義不同欄位,來定義不同的意義或功能,通過每個欄位的取值不同,來定義同類功能的不同處理。
3.如權利要求1或2所述的一種快速的防火牆認證功能實現方法,其特徵在於所述步驟(三)中採用了快速映射算法,即將源IP位址與標籤建立對應關係,通過源IP位址取出每個用戶報文所對應的標籤。
4.如權利要求3所述的一種快速的防火牆認證功能實現方法,其特徵在於所述步驟(三)中,快速映射算法的具體步驟是,1)安全接入認證平臺接收到用戶IP、tag後,檢查該IP位址對應的索引數組是否存在,如果存在,將標籤tag寫到IP-IPFFFFFF00對應的位置中;如果不存在,內核建立一個長度為256的數組,並將數組地址、索引的IP位址範圍(IPFFFFFF00~IPFFFFFF00+255)寫入內核中一個特定鍊表(list)中,同時將tag寫入到索引數組相應的位置中,即寫入到數組的第IP-IPFFFFFF00的元素中;2)當數據報文通過安全接入認證平臺轉發時,內核根據報文IP頭部信息,查找鍊表list,以便找到對應的索引數組,在索引數組的IP-IPFFFFFF00位置上,取出該IP對應的標籤tag,並填寫在承載IP報文的緩衝區的頭部,以便後續功能模塊使用。
全文摘要
本發明涉及防火牆技術領域,具體涉及一種快速的防火牆認證功能實現方法。本發明的目的是提供一種快速的防火牆認證功能實現方法,以克服現有技術存在當有大量用戶認證時,防火牆內部規則將不斷增多,系統運行性能快速下降,最終影響用戶網絡的整體性能的問題。其技術解決手段是依次包括以下幾個步驟,(一)標籤定義;(二)標籤與角色信息的綁定;(三)標籤設置;(四)基於標籤的處理。在技術方案中為提高標籤設置速度,還進一步提出了快速映射算法,保障了當有大量用戶認證時,系統性能不會有顯著下降,防止查找速度隨數據量增大而明顯下降。
文檔編號H04L29/06GK1697450SQ20051004195
公開日2005年11月16日 申請日期2005年4月14日 優先權日2005年4月14日
發明者張永斌, 廖明濤, 靳衛恆, 向東 申請人:西安交大捷普網絡科技有限公司

同类文章

一種新型多功能組合攝影箱的製作方法

一種新型多功能組合攝影箱的製作方法【專利摘要】本實用新型公開了一種新型多功能組合攝影箱,包括敞開式箱體和前攝影蓋,在箱體頂部設有移動式光源盒,在箱體底部設有LED脫影板,LED脫影板放置在底板上;移動式光源盒包括上蓋,上蓋內設有光源,上蓋部設有磨沙透光片,磨沙透光片將光源封閉在上蓋內;所述LED脫影

壓縮模式圖樣重疊檢測方法與裝置與流程

本發明涉及通信領域,特別涉及一種壓縮模式圖樣重疊檢測方法與裝置。背景技術:在寬帶碼分多址(WCDMA,WidebandCodeDivisionMultipleAccess)系統頻分復用(FDD,FrequencyDivisionDuplex)模式下,為了進行異頻硬切換、FDD到時分復用(TDD,Ti

個性化檯曆的製作方法

專利名稱::個性化檯曆的製作方法技術領域::本實用新型涉及一種檯曆,尤其涉及一種既顯示月曆、又能插入照片的個性化檯曆,屬於生活文化藝術用品領域。背景技術::公知的立式檯曆每頁皆由月曆和畫面兩部分構成,這兩部分都是事先印刷好,固定而不能更換的。畫面或為風景,或為模特、明星。功能單一局限性較大。特別是畫

一種實現縮放的視頻解碼方法

專利名稱:一種實現縮放的視頻解碼方法技術領域:本發明涉及視頻信號處理領域,特別是一種實現縮放的視頻解碼方法。背景技術: Mpeg標準是由運動圖像專家組(Moving Picture Expert Group,MPEG)開發的用於視頻和音頻壓縮的一系列演進的標準。按照Mpeg標準,視頻圖像壓縮編碼後包

基於加熱模壓的纖維增強PBT複合材料成型工藝的製作方法

本發明涉及一種基於加熱模壓的纖維增強pbt複合材料成型工藝。背景技術:熱塑性複合材料與傳統熱固性複合材料相比其具有較好的韌性和抗衝擊性能,此外其還具有可回收利用等優點。熱塑性塑料在液態時流動能力差,使得其與纖維結合浸潤困難。環狀對苯二甲酸丁二醇酯(cbt)是一種環狀預聚物,該材料力學性能差不適合做纖

一種pe滾塑儲槽的製作方法

專利名稱:一種pe滾塑儲槽的製作方法技術領域:一種PE滾塑儲槽一、 技術領域 本實用新型涉及一種PE滾塑儲槽,主要用於化工、染料、醫藥、農藥、冶金、稀土、機械、電子、電力、環保、紡織、釀造、釀造、食品、給水、排水等行業儲存液體使用。二、 背景技術 目前,化工液體耐腐蝕貯運設備,普遍使用傳統的玻璃鋼容

釘的製作方法

專利名稱:釘的製作方法技術領域:本實用新型涉及一種釘,尤其涉及一種可提供方便拔除的鐵(鋼)釘。背景技術:考慮到廢木材回收後再加工利用作業的方便性與安全性,根據環保規定,廢木材的回收是必須將釘於廢木材上的鐵(鋼)釘拔除。如圖1、圖2所示,目前用以釘入木材的鐵(鋼)釘10主要是在一釘體11的一端形成一尖

直流氧噴裝置的製作方法

專利名稱:直流氧噴裝置的製作方法技術領域:本實用新型涉及ー種醫療器械,具體地說是ー種直流氧噴裝置。背景技術:臨床上的放療過程極易造成患者的局部皮膚損傷和炎症,被稱為「放射性皮炎」。目前對於放射性皮炎的主要治療措施是塗抹藥膏,而放射性皮炎患者多伴有局部疼痛,對於止痛,多是通過ロ服或靜脈注射進行止痛治療

新型熱網閥門操作手輪的製作方法

專利名稱:新型熱網閥門操作手輪的製作方法技術領域:新型熱網閥門操作手輪技術領域:本實用新型涉及一種新型熱網閥門操作手輪,屬於機械領域。背景技術::閥門作為流體控制裝置應用廣泛,手輪傳動的閥門使用比例佔90%以上。國家標準中提及手輪所起作用為傳動功能,不作為閥門的運輸、起吊裝置,不承受軸向力。現有閥門

用來自動讀取管狀容器所載識別碼的裝置的製作方法

專利名稱:用來自動讀取管狀容器所載識別碼的裝置的製作方法背景技術:1-本發明所屬領域本發明涉及一種用來自動讀取管狀容器所載識別碼的裝置,其中的管狀容器被放在循環於配送鏈上的文檔匣或託架裝置中。本發明特別適用於,然而並非僅僅專用於,對引入自動分析系統的血液樣本試管之類的自動識別。本發明還涉及專為實現讀