本发明专利技术实施例公开了一种报文访问控制方法、装置、设备及存储介质。该方法应用于汇聚分流设备中的可编程芯片,包括:实时接收目标报文,并通过芯片的入口管道和出口管道分别对所述目标报文进行解析,得到目标数据,所述目标数据中包括报文载荷部分的内容;通过芯片的入口管道和出口管道,分别根据解析得到的目标数据查询掩码访问控制列表,获取匹配的处理策略;根据匹配的处理策略,对所述目标报文进行相应的转发或丢弃。本发明专利技术实施例的技术方案,利用芯片管道对报文的载荷部分进行数据解析,实现对UDF报文的ACL过滤。实现对UDF报文的ACL过滤。实现对UDF报文的ACL过滤。
【技术实现步骤摘要】
报文访问控制方法、装置、设备及存储介质
[0001]本专利技术实施例涉及通信
,尤其涉及一种报文访问控制方法、装置、设备及存储介质。
技术介绍
[0002]随着通信技术的发展,协议的类型越来越多,用户定义功能(User
‑
Defined Function,UDF)使得用户可以按照自定义的报文头进行访问控制列表(Access Control List,ACL)匹配。
[0003]目前,基于网络安全的现网汇聚分流需求,汇聚分流设备接收报文以后,可能需要从报文载荷头部自定义的固定偏移开始,匹配若干个字节做ACL过滤。但是,当载荷部分是可变长的时候,传统汇聚分流设备无法解析载荷部分。如果通过CPU来解析报文载荷部分或者非传统意义上的报文,性能比较低。
技术实现思路
[0004]本专利技术实施例提供一种报文访问控制方法、装置、设备及存储介质,利用芯片管道对报文的载荷部分进行数据解析,实现对UDF报文的ACL过滤。
[0005]第一方面,本专利技术实施例提供了一种报文访问控制方法,应用于汇聚分流设备中的可编程芯片,包括:
[0006]实时接收目标报文,并通过芯片的入口管道和出口管道分别对目标报文进行解析,得到目标数据,目标数据中包括报文载荷部分的内容;
[0007]通过芯片的入口管道和出口管道,分别根据解析得到的目标数据查询掩码访问控制列表,获取匹配的处理策略;
[0008]根据匹配的处理策略,对目标报文进行相应的转发或丢弃。
[0009]可选的,通过芯片的入口管道对目标报文进行解析,得到目标数据,包括:
[0010]通过入口管道中的分析器模块,为目标报文的所有相关的报文头定义对应的存储区域,通过移动指针位置,依次对目标报文的各报文头进行解码并存储到对应的存储区域中;
[0011]当指针移动到报文载荷部分的起始位置时,调用芯片中的lookahead关键字,获取指针指向的当前位置之后的预设长度的报文内容,作为目标数据。
[0012]可选的,通过芯片的出口管道对目标报文进行解析,得到目标数据,包括:
[0013]通过出口管道中的分析器模块,调用芯片中的lookahead关键字,获取指针指向的当前位置之后的预设长度的报文内容,作为目标数据;
[0014]其中,指针当前指向目标报文的起始位置。
[0015]可选的,还包括:
[0016]通过入口管道的MAU模块或者出口管道的MAU模块,获取控制函数下发的实体数据,并根据所述实体数据更新掩码访问控制表;
[0017]其中,所述实体数据包括响应于用户配置操作生成的与配置信息对应的key值和掩码,所述配置信息包括起始偏移位置和待匹配数据。
[0018]可选的,实体数据的生成方式,包括:
[0019]分别获取预设长度的第一内存空间和第二内存空间;
[0020]在第一内存空间中,从起始偏移位置开始存储待匹配数据,并将其余字节设置为0;
[0021]在第二内存空间中,将与第一内存空间中的待匹配数据对应的字节设置为1,将其余字节设置为0;
[0022]将第一内存空间中的key值与第二内存空间中的掩码,作为实体数据。
[0023]可选的,通过芯片的入口管道和出口管道,分别根据解析得到的目标数据查询掩码访问控制列表,获取匹配的处理策略,包括:
[0024]通过入口管道的MAU模块,将入口管道解析得到的目标数据与入口管道的掩码访问控制列表中的掩码做与运算,以及将入口管道的掩码访问控制列表中的key值与掩码做与运算,判断两者的运算结果是否一致;
[0025]如果一致,则在掩码访问控制列表中,匹配目标报文的处理策略;以及
[0026]通过出口管道的MAU模块,将出口管道解析得到的目标数据与出口管道的掩码访问控制列表中的掩码做与运算,以及将出口管道的掩码访问控制列表中的key值与掩码做与运算,判断两者的运算结果是否一致;
[0027]如果一致,则在掩码访问控制列表中,匹配目标报文的处理策略。
[0028]可选的,可编程芯片包括Tofino芯片。
[0029]第二方面,本专利技术实施例还提供了一种报文访问控制装置,应用于汇聚分流设备中的可编程芯片,包括:
[0030]报文解析模块,用于实时接收目标报文,并通过芯片的入口管道和出口管道分别对目标报文进行解析,得到目标数据,目标数据中包括报文载荷部分的内容;
[0031]查表匹配模块,用于通过芯片的入口管道和出口管道,分别根据解析得到的目标数据查询掩码访问控制列表,获取匹配的处理策略;
[0032]报文处理模块,用于根据匹配的处理策略,对目标报文进行相应的转发或丢弃。
[0033]第三方面,本专利技术实施例还提供了一种汇聚分流设备,汇聚分流设备包括:
[0034]一个或多个可编程芯片;
[0035]存储装置,用于存储一个或多个程序,
[0036]当一个或多个程序被一个或多个可编程芯片执行,使得一个或多个可编程芯片实现本专利技术任意实施例提供的报文访问控制方法。
[0037]第四方面,本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被可编程芯片执行时实现本专利技术任意实施例提供的报文访问控制方法。
[0038]本专利技术实施例的技术方案,应用于汇聚分流设备中的可编程芯片,包括:实时接收目标报文,并通过芯片的入口管道和出口管道分别对目标报文进行解析,得到目标数据,目标数据中包括报文载荷部分的内容;通过芯片的入口管道和出口管道,分别根据解析得到的目标数据查询掩码访问控制列表,获取匹配的处理策略;根据匹配的处理策略,对目标报文进行相应的转发或丢弃,解决了现有技术中传统汇聚分流设备无法解析报文载荷部分数
据的问题,利用芯片管道对报文的载荷部分进行数据解析,实现对UDF报文的ACL过滤。
附图说明
[0039]图1a是本专利技术实施例一中的一种报文访问控制方法的流程图;
[0040]图1b是本专利技术实施例一中的一种实体数据下发流程图;
[0041]图2a是本专利技术实施例二中的一种报文访问控制方法的流程图;
[0042]图2b是本专利技术实施例二中的一种入口管道报文解析示意图;
[0043]图2c是本专利技术实施例二中的一种入口管道建立的ACL表格示意图;
[0044]图2d是本专利技术实施例二中的一种出口管道报文解析示意图;
[0045]图2e是本专利技术实施例二中的一种出口管道建立的ACL表格示意图;
[0046]图3是本专利技术实施例三中的一种报文访问控制装置的结构示意图;
[0047]图4是本专利技术实施例四中的一种汇聚分流设备的结构示意图。
具体实施方式
[0048]下面结合附图和实施例对本专利技术作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本专利技术,而非对本专利技术的限定。另外还需要说明的是,为了便于描述,附图中本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种报文访问控制方法,其特征在于,应用于汇聚分流设备中的可编程芯片,包括:实时接收目标报文,并通过芯片的入口管道和出口管道分别对所述目标报文进行解析,得到目标数据,所述目标数据中包括报文载荷部分的内容;通过芯片的入口管道和出口管道,分别根据解析得到的目标数据查询掩码访问控制列表,获取匹配的处理策略;根据匹配的处理策略,对所述目标报文进行相应的转发或丢弃。2.根据权利要求1所述的方法,其特征在于,通过芯片的入口管道对所述目标报文进行解析,得到目标数据,包括:通过入口管道中的分析器模块,为目标报文的所有相关的报文头定义对应的存储区域,通过移动指针位置,依次对目标报文的各报文头进行解码并存储到对应的存储区域中;当指针移动到报文载荷部分的起始位置时,调用芯片中的lookahead关键字,获取指针指向的当前位置之后的预设长度的报文内容,作为目标数据。3.根据权利要求1所述的方法,其特征在于,通过芯片的出口管道对所述目标报文进行解析,得到目标数据,包括:通过出口管道中的分析器模块,调用芯片中的lookahead关键字,获取指针指向的当前位置之后的预设长度的报文内容,作为目标数据;其中,指针当前指向目标报文的起始位置。4.根据权利要求1所述的方法,其特征在于,还包括:通过入口管道的MAU模块或者出口管道的MAU模块,获取控制函数下发的实体数据,并根据所述实体数据更新掩码访问控制表;其中,所述实体数据包括响应于用户配置操作生成的与配置信息对应的key值和掩码,所述配置信息包括起始偏移位置和待匹配数据。5.根据权利要求4所述的方法,其特征在于,所述实体数据的生成方式,包括:分别获取预设长度的第一内存空间和第二内存空间;在所述第一内存空间中,从起始偏移位置开始存储所述待匹配数据,并将其余字节设置为0;在所述第二内存空间中,将与第一内存空间中的待匹配数据对应的字节设置为1,将其余字节设置为0;将第一内存空间中的key值与第二...
【专利技术属性】
技术研发人员:王新菊,贾李健,王征归,梁彧,蔡琳,杨满智,王杰,田野,金红,陈晓光,傅强,张园,李路,
申请(专利权)人:恒安嘉新北京科技股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。