本發明公開了一種動態粒度自聚合的安全過濾方法及裝置，由網絡節點接收業務管理服務器下發的白名單，獲取白名單中業務終端的IP地址，然后根據網絡節點本身控制表項的容量，計算動態起始前綴長度，從動態起始前綴長度開始判斷是否滿足聚合條件，在滿足時對白名單的IP地址進行自適應聚合，聚合為對應的網段，根據聚合后的網段地址來生成控制表項。本發明聚合后的網段最符合實際控制表項允許的轉發網段，精確實現控制轉發，且大大減少了控制表項的數量。

技術領域

本發明屬于訪問控制技術領域，尤其涉及一種動態粒度自聚合的安全過濾方法及裝置。

背景技術

在集中式管理的信息系統中，管理服務器具有所有節點之間的交互信息，從而可以通過對網絡節點的集中管控，下發白名單，在網絡節點上添加控制表項，實現數據的轉發控制。這種控制數據轉發的控制表項一般是所有網絡節點均支持的訪問控制列表。

然而，由于網絡節點的控制表項規格有限，采用靜態訪問控制列表會導致規格超標，無法適用于業務復雜的系統。動態訪問控制列表由管理服務器隨著與業務終端之間的交互而進行及時的增加/刪除表項。即使如此，網絡節點的訪問控制列表的表項數量依舊十分緊張，從而導致系統無法采用深層控制表項，影響系統的安全性。

在集中式管理的信息系統中，業務管理服務器實現對所有業務終端和網絡節點的控制。默認情況下，網絡節點只允許網絡基礎協議數據和業務終端向業務管理服務器的注冊消息通行，其他數據報文一概拒絕轉發；當業務終端注冊通過后，業務管理服務器才通知該業務終端對到業務管理服務器的路徑上的所有網絡節點對該業務終端放行該業務終端權限范圍內可以交互的信令與數據，即增加白名單，當然該白名單必定包含該業務終端的IP地址。但現有技術中，業務管理服務器僅下發白名單，網絡節點的訪問控制列表的表項數量依舊十分緊張。

發明內容

本申請的目的是提供一種動態粒度自聚合的安全過濾方法及裝置，用以減少網絡節點的控制表項，解決網絡節點的控制表項數量緊張的問題。

為了實現上述目的，本申請技術方案如下：

一種動態粒度自聚合的安全過濾方法，應用于網絡節點，包括：

接收業務管理服務器下發的白名單，獲取白名單中業務終端的IP地址；

根據網絡節點本身控制表項的容量，獲取動態起始前綴長度S；

對獲取的IP地址進行統計分析，分別計算前N比特位相同的IP地址對應的特征值，所述特征值等于前N比特位相同的IP地址的條數M除以2的X次方，X等于IP地址的比特位總數減去N，判斷計算得到的特征值是否大于等于預設閾值T，如果是則將所述前N位比特相同的IP地址聚合為對應的網段地址，其中N為首個比特位開始連續相同的比特位數，N大于等于S；

生成聚合得到的網段地址對應的控制表項，控制數據的轉發。

進一步的，所述動態粒度自聚合的安全過濾方法，還包括：

在根據聚合得到的網段地址生成控制表項時，還將該網段地址中不在白名單中的IP地址放入黑名單，生成黑名單控制表項。

進一步的，所述動態粒度自聚合的安全過濾方法，還包括：

接收業務管理服務器下發的業務終端退出信息，重新計算前N比特位相同的IP地址對應的特征值，所述特征值等于前N比特位相同的IP地址的條數M除以2的X次方，X等于IP地址的比特位總數減去N，判斷計算得到的特征值是否大于等于預設閾值T，如果否，則刪除聚合得到的網段地址對應的控制表項，生成每個IP地址的單獨控制表項。

進一步的，所述動態粒度自聚合的安全過濾方法，還包括：