技術(shù)領(lǐng)域

本發(fā)明涉及一種網(wǎng)絡(luò)訪問控制技術(shù)，具體涉及一種訪問控制列表的分類匹配方法。

背景技術(shù)

自從因特網(wǎng)（Internet）面世以來，其迅猛增長的勢頭就從未停止，目前它已成為世界上規(guī)模最大、擁有用戶和資源最多的一個(gè)重要的超大型計(jì)算機(jī)網(wǎng)絡(luò)。因特網(wǎng)的商業(yè)化使得基于網(wǎng)絡(luò)的應(yīng)用越來越多，特別是由于寬帶多媒體業(yè)務(wù)日益普及，用戶對(duì)因特網(wǎng)的要求也不再僅僅滿足于簡單的文件傳輸，而是要去網(wǎng)絡(luò)提供更加安全、快速和多樣化的服務(wù)。

在現(xiàn)代網(wǎng)絡(luò)設(shè)備中，報(bào)文過濾已經(jīng)成為最常用的功能之一，如防火墻的安全控制策略，路由器的訪問列表都是網(wǎng)絡(luò)安全最基本的保障手段。

但是現(xiàn)代網(wǎng)絡(luò)也同樣對(duì)轉(zhuǎn)發(fā)的性能有著越來越高的要求，尤其是核心網(wǎng)設(shè)備和匯聚接入設(shè)備。在硬件轉(zhuǎn)發(fā)能力不斷提升的情況下，報(bào)文過濾在時(shí)間上的消耗，開始成為影響整機(jī)轉(zhuǎn)發(fā)能力的瓶頸。尤其當(dāng)控制策略的數(shù)量巨大的時(shí)候，傳統(tǒng)的查詢方式，幾乎帶來災(zāi)難性的結(jié)果。

有些對(duì)規(guī)則過濾的實(shí)現(xiàn)使用了狀態(tài)機(jī)制，并使用hash?table?來進(jìn)行查找。?雖然比簡單的鏈表管理快了很多，但是在流量數(shù)目巨大的情況下，由于hash沖突的存在,?其下降的幅度也相當(dāng)明顯。即使增加表項(xiàng)容量，也并不能很好的改善沖突率，同時(shí)也增加了內(nèi)存消耗。?其次，對(duì)于規(guī)則控制這樣一種可以不斷復(fù)雜化的過濾方式，如果要靠狀態(tài)來完全區(qū)分不同的兩條流，它所需要比對(duì)的域的數(shù)量在每次查詢操作中都對(duì)查詢速度有著舉足輕重的作用，那么當(dāng)訪問列表要控制的區(qū)域不僅僅是地址，端口，協(xié)議時(shí)，消耗就變大了。

發(fā)明內(nèi)容

本發(fā)明針對(duì)現(xiàn)有報(bào)文過濾在時(shí)間上的消耗大的問題，而提供一種訪問列表的分類匹配方法，該方法加速大規(guī)模訪問列表的查詢速度，并使得查詢時(shí)間不受規(guī)則數(shù)量的影響。

為了達(dá)到上述目的，本發(fā)明采用如下的技術(shù)方案：

一種訪問列表的分類匹配方法，該方法包括如下步驟：

（1）將訪問規(guī)則的每個(gè)域在訪問控制列表里的每種值或范圍都設(shè)定一個(gè)對(duì)應(yīng)到規(guī)則列表的bitmap,?其中每一個(gè)bit都代表以該bit在bitmap里的位置為索引，對(duì)應(yīng)到訪問控制列表里的相應(yīng)訪問規(guī)則在該域上設(shè)定的值是否在該bitmap所代表的范圍內(nèi)；

（2）根據(jù)經(jīng)過的報(bào)文需要被控制的信息，得到在訪問規(guī)則的每個(gè)域中對(duì)應(yīng)報(bào)文相關(guān)信息的bitmap,并將得到的所有bitmap進(jìn)行與操作，得到表示報(bào)文與所有訪問控制列表之間的匹配關(guān)系的bitmap。

在本發(fā)明的優(yōu)選實(shí)例中，當(dāng)訪問規(guī)則數(shù)量很多時(shí)，將每個(gè)域的每種取值對(duì)應(yīng)到訪問控制列表的bitmap?進(jìn)行排列組合，形成了多級(jí)索引表項(xiàng)。

進(jìn)一步的，在已經(jīng)配置的訪問規(guī)則所設(shè)定的范圍之外再增加一個(gè)單獨(dú)索引表項(xiàng)。

根據(jù)上述技術(shù)方案形成的本發(fā)明針對(duì)靜態(tài)配置好的安全策略，訪問列表等具有很好效果。

相比之前以簡單鏈表形式構(gòu)造的訪問列表，本發(fā)明在規(guī)則數(shù)量巨大的時(shí)候，有著轉(zhuǎn)發(fā)性能方面本質(zhì)上的提高。實(shí)驗(yàn)的數(shù)據(jù)表明，10條以內(nèi)的規(guī)則數(shù)目，普通的鏈表存儲(chǔ)查詢會(huì)快些，但之后隨著規(guī)則數(shù)的逐步增加，普通的鏈表管理將使整機(jī)性能急劇下降，達(dá)到500條以后，完全可以做為不宜于實(shí)際使用來定性。但使用本發(fā)明提供的分類匹配方法，下降幅度始終在10幾條普通鏈表規(guī)則時(shí)的數(shù)值。

附圖說明

以下結(jié)合附圖和具體實(shí)施方式來進(jìn)一步說明本發(fā)明。

圖1為等價(jià)集合示意圖。

圖2為分類匹配示意圖。

具體實(shí)施方式

為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解，下面結(jié)合具體圖示，進(jìn)一步闡述本發(fā)明。

為加速大規(guī)模訪問控制列表的查詢速度，并使其不受規(guī)則數(shù)量的影響，本發(fā)明采用一種訪問控制列表的分類匹配方法，該方法的實(shí)現(xiàn)機(jī)理如下：

（1）對(duì)于一條訪問規(guī)則，不去具體的分類其域的含義，即不考慮域的類型是ip地址或是協(xié)議號(hào)，只是作為數(shù)據(jù)流中某個(gè)位置的期望值。由于所有訪問規(guī)則所能設(shè)定的域的數(shù)量是相同的，所以本發(fā)明為每個(gè)域在訪問控制列表里所有可能的不同值或范圍都設(shè)定一個(gè)bitmap,?其中每一個(gè)bit都代表以這個(gè)bit在bitmap里的位置為索引，對(duì)應(yīng)到規(guī)則列表里的那個(gè)規(guī)則在這個(gè)域上設(shè)定的值是否在這個(gè)bitmap?所代表的范圍內(nèi)。

（2）當(dāng)一條流或是一個(gè)報(bào)文經(jīng)過，根據(jù)報(bào)文里的需要被控制的信息，得到在每個(gè)域中對(duì)應(yīng)報(bào)文相關(guān)信息的bitmap。

其中，有多少個(gè)域就能得到多少個(gè)bitmap,?將得到的所有bitmap進(jìn)行與操作，得到新的bitmap?就是該報(bào)文與所有訪問列表之間的匹配關(guān)系。