一种信息更新、报文安全性检测方法及装置制造方法及图纸

本发明专利技术实施例提供了一种信息更新、报文安全性检测方法及装置，涉及网络技术领域，应用于网络设备，上述网络设备包括第一接口，第一接口配置有第一SAVA安全表项，上述方法包括：确定是否存在记录有第一接口的标识和第一接口对应的流分类标识的第一ACL表项。若不存在第一ACL表项，则为第一接口分配第一流分类标识，并生成第一ACL表项，路由表中查找与第一源地址匹配的第一路由表项，将第一路由表项记录的流分类标识更新为第一流分类标识。若存在第一ACL表项，则在路由表中查找与第一源地址匹配的第二路由表项，将第二路由表项记录的流分类标识更新为第一ACL表项中记录的流分类标识。应用本发明专利技术实施例提供的方案可以降低存储ACL表项占用的存储空间。ACL表项占用的存储空间。ACL表项占用的存储空间。

【技术实现步骤摘要】
一种信息更新、报文安全性检测方法及装置


[0001]本专利技术涉及网络
，特别是涉及一种信息更新、报文安全性检测方法及装置。

技术介绍

[0002]网络设备可能会接收到来自攻击设备的不安全报文，从而给网络设备带来安全隐患。为了保证网络设备安全，网络设备可以支持SAVA(Source Address Validation Architecture，域内地址合法性检测)协议。这种情况下，网络设备可以获得SAVA安全表项，并针对每一SAVA安全表项生成一个ACL(Access Control Lists，访问控制列表)表项。这样网络设备接收到报文后，先基于上述ACL表项对报文进行安全性检测，通过安全性检测后，再对报文进行转发等后续处理。
[0003]其中，SAVA安全表项中记录有安全设备的地址、用于接收安全设备所发送报文的第一接口的标识。SAVA安全表项对应的ACL表项用于指示：放行从第一接口接收的安全设备发送的报文。安全设备是指不具有攻击性的设备。
[0004]但是由于安全设备往往较多，网络设备获得的SAVA安全表项也较多，进而导致所生成的ACL表项较多，存储ACL表项占用的存储空间较多。

技术实现思路

[0005]本专利技术实施例的目的在于提供一种信息更新、报文安全性检测方法及装置，以降低存储ACL表项占用的存储空间。具体技术方案如下：
[0006]第一方面，本专利技术实施例提供了一种信息更新方法，应用于网络设备，所述网络设备包括第一接口，所述第一接口配置有第一SAVA安全表项，所述第一SAVA安全表项中记录有：能够被所述第一接口放行的报文的第一源地址以及所述第一接口的标识，所述方法包括：
[0007]确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项；
[0008]若不存在所述第一ACL表项，则为所述第一接口分配第一流分类标识，并生成所述第一ACL表项，根据所述第一源地址，在所述网络设备存储的路由表中，查找与所述第一源地址匹配的第一路由表项，将所述第一路由表项记录的流分类标识更新为所述第一流分类标识；
[0009]若存在所述第一ACL表项，则在所述路由表中，查找与所述第一源地址匹配的第二路由表项，将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。
[0010]本专利技术的一个实施例中，所述网络设备还包括：第二接口；
[0011]所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项之前，还包括：
[0012]判断是否存在记录有所述第一源地址，且配置于所述第二接口的第二SAVA安全表项；
[0013]若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项，则为所述第一接口和第二接口分配同一个第二流分类标识，并生成所述第二ACL表项，根据所述第一源地址，在所述网络设备存储的路由表中，查找与所述第一源地址匹配的第三路由表项，将所述第三路由表项记录的流分类标识更新为所述第二流分类标识；
[0014]其中，所述匹配条件为：ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识；
[0015]若存在所述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项，则根据所述第一源地址，在所述网络设备存储的路由表中，查找与所述第一源地址匹配的第四路由表项，将所述第四路由表项记录的流分类标识更新为所述第二ACL表项中记录的流分类标识；
[0016]若不存在所述第二SAVA安全表项，则执行所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项的步骤。
[0017]本专利技术的一个实施例中，在所述为所述第一接口分配第一流分类标识之后，所述方法还包括：
[0018]生成记录有所述第一接口的标识与所述第一流分类标识的接口表项；
[0019]所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项，包括：
[0020]判断是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的接口表项，若存在，则确定存在第一ACL表项。
[0021]第二方面，本专利技术实施例提供了一种报文安全性检测方法，应用于网络设备，所述网络设备包括第一接口，所述方法包括：
[0022]通过所述第一接口，接收数据报文，所述数据报文包括源地址；
[0023]根据所述源地址，在所述网络设备存储的路由表中，查找与所述源地址匹配的路由表项；
[0024]确定与所述第一接口对应的目标ACL表项，所述目标ACL表项中记录所述第一接口的标识和所述第一接口对应的流分类标识；
[0025]判断所述路由表项中记录的流分类标识与所述目标ACL表项中记录的流分类标识是否相同；
[0026]若为是，则确定所述数据报文通过安全性检测。
[0027]本专利技术的一个实施例中，所述第一接口配置有第一SAVA安全表项，所述第一SAVA安全表项中记录有：能够被所述第一接口放行的报文的第一源地址以及所述第一接口的标识，所述方法还包括：
[0028]确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项；
[0029]若不存在所述第一ACL表项，则为所述第一接口分配第一流分类标识，并生成所述第一ACL表项，根据所述第一源地址，在所述网络设备存储的路由表中，查找与所述第一源地址匹配的第一路由表项，将所述第一路由表项记录的流分类标识更新为所述第一流分类
标识；
[0030]若存在所述第一ACL表项，则在所述路由表中，查找与所述第一源地址匹配的第二路由表项，将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。
[0031]本专利技术的一个实施例中，所述网络设备还包括：第二接口；
[0032]所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项之前，还包括：
[0033]判断是否存在记录有所述第一源地址，且配置于所述第二接口的第二SAVA安全表项；
[0034]若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项，则为所述第一接口和第二接口分配同一个第二流分类标识，并生成所述第二ACL表项，根据所述第一源地址，在所述网络设备存储的路由表中，查找与所述第一源地址匹配的第三路由表项，将所述第三路由表项记录的流分类标识更新为所述第二流分类标识；
[0035]其中，所述匹配条件为：ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识；
[0036]若存在所述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项，则根据所述第一源地址，在所述网络设备存储的路由表中，查找与所述第一源地址匹配的第四路由表项，将所述第四路由表项记录的流分类标识更新本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种信息更新方法，其特征在于，应用于网络设备，所述网络设备包括第一接口，所述第一接口配置有第一域内地址合法性检测SAVA安全表项，所述第一SAVA安全表项中记录有：能够被所述第一接口放行的报文的第一源地址以及所述第一接口的标识，所述方法包括：确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一访问控制技术ACL表项；若不存在所述第一ACL表项，则为所述第一接口分配第一流分类标识，并生成所述第一ACL表项，根据所述第一源地址，在所述网络设备存储的路由表中，查找与所述第一源地址匹配的第一路由表项，将所述第一路由表项记录的流分类标识更新为所述第一流分类标识；若存在所述第一ACL表项，则在所述路由表中，查找与所述第一源地址匹配的第二路由表项，将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。2.根据权利要求1所述的方法，其特征在于，所述网络设备还包括：第二接口；所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项之前，还包括：判断是否存在记录有所述第一源地址，且配置于所述第二接口的第二SAVA安全表项；若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项，则为所述第一接口和第二接口分配同一个第二流分类标识，并生成所述第二ACL表项，根据所述第一源地址，在所述网络设备存储的路由表中，查找与所述第一源地址匹配的第三路由表项，将所述第三路由表项记录的流分类标识更新为所述第二流分类标识；其中，所述匹配条件为：ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识；若存在所述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项，则根据所述第一源地址，在所述网络设备存储的路由表中，查找与所述第一源地址匹配的第四路由表项，将所述第四路由表项记录的流分类标识更新为所述第二ACL表项中记录的流分类标识；若不存在所述第二SAVA安全表项，则执行所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项的步骤。3.根据权利要求1或2所述的方法，其特征在于，在所述为所述第一接口分配第一流分类标识之后，所述方法还包括：生成记录有所述第一接口的标识与所述第一流分类标识的接口表项；所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项，包括：判断是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的接口表项，若存在，则确定存在第一ACL表项。4.一种报文安全性检测方法，其特征在于，应用于网络设备，所述网络设备包括第一接口，所述方法包括：通过所述第一接口，接收数据报文，所述数据报文包括源地址；
根据所述源地址，在所述网络设备存储的路由表中，查找与所述源地址匹配的路由表项；确定与所述第一接口对应的目标ACL表项，所述目标ACL表项中记录所述第一接口的标识和所述第一接口对应的流分类标识；判断所述路由表项中记录的流分类标识与所述目标ACL表项中记录的流分类标识是否相同；若为是，则确定所述数据报文通过安全性检测。5.根据权利要求4所述的方法，其特征在于，所述第一接口配置有第一SAVA安全表项，所述第一SAVA安全表项中记录有：能够被所述第一接口放行的报文的第一源地址以及所述第一接口的标识，所述方法还包括：确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项；若不存在所述第一ACL表项，则为所述第一接口分配第一流分类标识，并生成所述第一ACL表项，根据所述第一源地址，在所述网络设备存储的路由表中，查找与所述第一源地址匹配的第一路由表项，将所述第一路由表项记录的流分类标识更新为所述第一流分类标识；若存在所述第一ACL表项，则在所述路由表中，查找与所述第一源地址匹配的第二路由表项，将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。6.根据权利要求5所述的方法，其特征在于，所述网络设备还包括：第二接口；所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项之前，还包括：判断是否存在记录有所述第一源地址，且配置于所述第二接口的第二SAVA安全表项；若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项，则为所述第一接口和第二接口分配同一个第二流分类标识，并生成所述第二ACL表项，根据所述第一源地址，在所述网络设备存储的路由表中，查找与所述第一源地址匹配的第三路由表项，将所述第三路由表项记录的流分类标识更新为所述第二流分类标识；其中，所述匹配条件为：ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识；若存在所述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项，则根据所述第一源地址，在所述网络设备存储的路由表中，查找与所述第一源地址匹配的第四路由表项，将所述第四路由表项记录的流分类标识更新为所述第二ACL表项中记录的流分类标识；若不存在所述第二SAVA安全表项，则执行所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项的步骤。7.一种信...

【专利技术属性】
技术研发人员：李光，袁锋，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：