本發(fā)明公開了一種基于云協(xié)同的安全過濾方法，由業(yè)務(wù)管理服務(wù)器或網(wǎng)絡(luò)節(jié)點獲取業(yè)務(wù)終端的IP地址，然后根據(jù)網(wǎng)絡(luò)節(jié)點本身控制表項的容量，計算動態(tài)起始前綴長度，從動態(tài)起始前綴長度開始判斷是否滿足聚合條件，在滿足時對業(yè)務(wù)終端的IP地址進行自適應(yīng)聚合，聚合為對應(yīng)的網(wǎng)段，將網(wǎng)段地址作為白名單通知給網(wǎng)絡(luò)節(jié)點，或網(wǎng)絡(luò)節(jié)點直接根據(jù)自己聚合得到的網(wǎng)段地址，網(wǎng)絡(luò)節(jié)點根據(jù)聚合后的網(wǎng)段地址來生成控制表項。本發(fā)明聚合后的網(wǎng)段最符合實際控制表項允許的轉(zhuǎn)發(fā)網(wǎng)段，精確實現(xiàn)控制轉(zhuǎn)發(fā)，減少了業(yè)務(wù)管理服務(wù)器與網(wǎng)絡(luò)節(jié)點之間的信令交互，且大大減少了控制表項的數(shù)量。

技術(shù)領(lǐng)域

本發(fā)明屬于訪問控制技術(shù)領(lǐng)域，尤其涉及一種基于云協(xié)同的安全過濾方法。

背景技術(shù)

在集中式管理的信息系統(tǒng)中，管理服務(wù)器具有所有節(jié)點之間的交互信息，從而可以通過對網(wǎng)絡(luò)節(jié)點的集中管控，下發(fā)白名單，在網(wǎng)絡(luò)節(jié)點上添加控制表項，實現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)控制。這種控制數(shù)據(jù)轉(zhuǎn)發(fā)的控制表項一般是所有網(wǎng)絡(luò)節(jié)點均支持的訪問控制列表。

然而，由于網(wǎng)絡(luò)節(jié)點的控制表項規(guī)格有限，采用靜態(tài)訪問控制列表會導致規(guī)格超標，無法適用于業(yè)務(wù)復雜的系統(tǒng)。動態(tài)訪問控制列表由管理服務(wù)器隨著與業(yè)務(wù)終端之間的交互而進行及時的增加/刪除表項。即使如此，網(wǎng)絡(luò)節(jié)點的訪問控制列表的表項數(shù)量依舊十分緊張，從而導致系統(tǒng)無法采用深層控制表項，影響系統(tǒng)的安全性。

在集中式管理的信息系統(tǒng)中，業(yè)務(wù)管理服務(wù)器實現(xiàn)對所有業(yè)務(wù)終端和網(wǎng)絡(luò)節(jié)點的控制。默認情況下，網(wǎng)絡(luò)節(jié)點只允許網(wǎng)絡(luò)基礎(chǔ)協(xié)議數(shù)據(jù)和業(yè)務(wù)終端向業(yè)務(wù)管理服務(wù)器的注冊消息通行，其他數(shù)據(jù)報文一概拒絕轉(zhuǎn)發(fā)；當業(yè)務(wù)終端注冊通過后，業(yè)務(wù)管理服務(wù)器才通知該業(yè)務(wù)終端對到業(yè)務(wù)管理服務(wù)器的路徑上的所有網(wǎng)絡(luò)節(jié)點對該業(yè)務(wù)終端放行該業(yè)務(wù)終端權(quán)限范圍內(nèi)可以交互的信令與數(shù)據(jù)，即增加白名單，當然該白名單必定包含該業(yè)務(wù)終端的IP地址。

但現(xiàn)有技術(shù)中，業(yè)務(wù)管理服務(wù)器為每一個業(yè)務(wù)終端向網(wǎng)絡(luò)節(jié)點下發(fā)白名單通知消息，由于業(yè)務(wù)終端加入與退出頻繁，導致業(yè)務(wù)管理服務(wù)器與網(wǎng)絡(luò)節(jié)點之間的信令交互非常頻繁，造成系統(tǒng)性能和網(wǎng)絡(luò)帶寬的占用都比較大，而且網(wǎng)絡(luò)節(jié)點的訪問控制列表的表項數(shù)量十分緊張。

發(fā)明內(nèi)容

本申請的目的是提供一種基于云協(xié)同的安全過濾方法，用以減少業(yè)務(wù)管理服務(wù)器與網(wǎng)絡(luò)節(jié)點之間的信令交互，也解決網(wǎng)絡(luò)節(jié)點的控制表項數(shù)量緊張的問題。

為了實現(xiàn)上述目的，本申請技術(shù)方案如下：

業(yè)務(wù)管理服務(wù)器或網(wǎng)絡(luò)節(jié)點獲取業(yè)務(wù)終端的IP地址，對獲取的IP地址進行統(tǒng)計分析，根據(jù)網(wǎng)絡(luò)節(jié)點本身控制表項的容量，獲取動態(tài)起始前綴長度S；

分別計算前N比特位相同的IP地址對應(yīng)的特征值，所述特征值等于前N比特位相同的IP地址的條數(shù)M除以2的X次方，X等于IP地址的比特位總數(shù)減去N，判斷計算得到的特征值是否大于等于預設(shè)閾值T，如果是則將所述前N位比特相同的IP地址聚合為對應(yīng)的網(wǎng)段地址，其中N為首個比特位開始連續(xù)相同的比特位數(shù)，N大于等于S；

業(yè)務(wù)管理服務(wù)器將聚合得到的網(wǎng)段地址作為白名單下發(fā)給網(wǎng)絡(luò)節(jié)點，網(wǎng)絡(luò)節(jié)點獲取白名單中的網(wǎng)段地址，或網(wǎng)絡(luò)節(jié)點直接根據(jù)自己聚合得到的網(wǎng)段地址，生成對應(yīng)的控制表項，控制數(shù)據(jù)的轉(zhuǎn)發(fā)。

進一步的，所述基于云協(xié)同的安全過濾方法，還包括：

業(yè)務(wù)管理服務(wù)器在將聚合得到的網(wǎng)段地址作為白名單下發(fā)給網(wǎng)絡(luò)節(jié)點后，如果接收到該網(wǎng)段地址中IP地址對應(yīng)的業(yè)務(wù)終端的注冊，不再向網(wǎng)絡(luò)節(jié)點下發(fā)白名單通知。

進一步的，所述基于云協(xié)同的安全過濾方法，還包括：

網(wǎng)絡(luò)節(jié)點在聚合得到網(wǎng)段地址后，將所述網(wǎng)段地址發(fā)送給業(yè)務(wù)管理服務(wù)器，業(yè)務(wù)管理服務(wù)器如果接收到該網(wǎng)段地址中IP地址對應(yīng)的業(yè)務(wù)終端的注冊，不再向網(wǎng)絡(luò)節(jié)點下發(fā)白名單通知。

進一步的，所述基于云協(xié)同的安全過濾方法，還包括：