一种访问控制实现方法、装置、设备及存储介质制造方法及图纸

本发明专利技术公开了一种访问控制实现方法、装置、设备及存储介质，该方法包括：确定需实现访问控制的任意数据包对应网络地址所属的协议栈为目标协议栈；从多个ACL表中选取与目标协议栈对应的ACL表为目标ACL表；利用目标ACL表实现相应数据包的访问控制；其中，ACL表为预先基于相应协议栈的ACL五元组信息按照ACL规则创建得到的。本发明专利技术预先配置与多个协议栈分别对应的ACL表，进而在需要实现对任意数据包的访问控制时，基于与该任意数据包对应网络地址所属协议栈的ACL表实现对该任意数据包的访问控制；可见，本申请能够支持多个协议栈的访问控制，能够满足当前网络地址增长量巨大的情况，进而保证访问控制功能的有效实现。进而保证访问控制功能的有效实现。进而保证访问控制功能的有效实现。

【技术实现步骤摘要】
一种访问控制实现方法、装置、设备及存储介质


[0001]本专利技术涉及网络安全
，更具体地说，涉及一种访问控制实现方法、装置、设备及存储介质。

技术介绍

[0002]当前网络环境时常会有违规的访问者或者攻击者对用户网络进行非法访问、植入木马或DDOS等危害用户主机的违规行为，导致用户主机上的信息安全遭到侵害，个人信息落入违法人员手中。为了帮助用户在网络上对从某些已知网络地址发起的或者对自己某些具体网络地址和端口的访问做限制，ACL(Access Control Lists，访问控制，对某些数据包的五元组进行访问限制的方法)有效精确隔绝非法访问的手段得以问世。目前的访问控制均是单独服务于IPv4这一协议栈的，明显已无法满足当前网络地址增长量巨大的情况。

技术实现思路

[0003]本专利技术的目的是提供一种访问控制实现方法、装置、设备及存储介质，本申请能够支持多个协议栈的访问控制，能够满足当前网络地址增长量巨大的情况，进而保证访问控制功能的有效实现。
[0004]为了实现上述目的，本专利技术提供如下技术方案：
[0005]一种访问控制实现方法，包括：
[0006]如果需要实现任意数据包的访问控制，则确定该任意数据包对应网络地址所属的协议栈为目标协议栈；
[0007]从预先配置的多个ACL表中选取与所述目标协议栈对应的ACL表为目标ACL表；其中，所述ACL表为预先基于相应协议栈的ACL五元组信息按照ACL规则创建得到的；
[0008]利用所述目标ACL表实现相应数据包的访问控制。
[0009]优选的，从预先配置的多个ACL表中选取与所述目标协议栈对应的ACL表为目标ACL表之前，还包括：
[0010]设置主配置及备配置，在所述主配置中创建多个ACL表，并设置所述主配置为激活状态，备配置为待机状态，以供从所述主配置中选取目标ACL表；
[0011]如果需要更新ACL表，则将更新完成后各ACL表存储至所述备配置中，并将所述主配置及所述备配置分别更新为备配置及主配置。
[0012]优选的，将更新完成后各ACL表存储至所述备配置中，包括：
[0013]如果需要更新全部ACL表，则分别基于各ACL表对应的ACL五元组信息按照ACL规则在所述备配置中创建相应的ACL表，否则，基于需要更新的ACL表对应的ACL五元组信息按照ACL原则在所述备配置中创建相应的ACL表，并将不需更新的ACL表由所述主配置中复制至所述备配置中。
[0014]优选的，基于所述ACL表对应的ACL五元组信息按照ACL原则在所述备配置中创建相应的ACL表，包括：
[0015]确定需要更新的任意ACL表为待更新ACL表，如果所述备配置中存在所述待更新ACL表，则将所述备配置中存在的所述待更新ACL表删除，并在所述备配置中基于所述待更新ACL表对应的ACL五元组信息按照ACL规则创建相应的ACL表，否则，直接在所述备配置中基于所述待更新ACL表对应的ACL五元组信息按照ACL规则创建相应的ACL表。
[0016]优选的，确定需要更新的任意ACL表为待更新ACL表之前，还包括：
[0017]定时或者实时检测各协议栈的ACL五元组信息是否发生变化，如果存在ACL五元组信息发生变化的任意协议栈，则确定该任意协议栈对应的ACL表为需要更新的ACL表。
[0018]优选的，还包括：
[0019]如果需要添加新的ACL，则确定该新的ACL为待添加ACL，如果相应协议栈的ACL中存在与所述待添加ACL的名称匹配的ACL，则拒绝添加所述待添加ACL，如果相应协议栈的ACL中不存在与所述待添加ACL的名称匹配的ACL，则判断相应协议栈的ACL中是否存在与所述待添加ACL的ACL五元组信息匹配的ACL，如果是，则拒绝添加所述待添加ACL，否则，将所述待添加ACL的名称及ACL五元组信息添加至相应协议栈；
[0020]如果需要删除任意ACL，则确定该任意ACL为待删除ACL，如果相应协议栈的ACL中存在与所述待删除ACL的名称匹配的ACL，则删除该与所述待删除ACL的名称匹配的ACL，否则，确定无需删除相应ACL。
[0021]优选的，所述访问控制实现方法基于DPDK框架实现。
[0022]一种访问控制实现装置，包括：
[0023]确定模块，用于：如果需要实现任意数据包的访问控制，则确定该任意数据包对应网络地址所属的协议栈为目标协议栈；
[0024]选取模块，用于：从预先配置的多个ACL表中选取与所述目标协议栈对应的ACL表为目标ACL表；其中，所述ACL表为预先基于相应协议栈的ACL五元组信息按照ACL规则创建得到的；
[0025]控制模块，用于：利用所述目标ACL表实现相应数据包的访问控制。
[0026]一种访问控制实现设备，包括：
[0027]存储器，用于存储计算机程序；
[0028]处理器，用于执行所述计算机程序时实现如上任一项所述访问控制实现方法的步骤。
[0029]一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上任一项所述访问控制实现方法的步骤。
[0030]本专利技术提供了一种访问控制实现方法、装置、设备及存储介质，该方法包括：如果需要实现任意数据包的访问控制，则确定该任意数据包对应网络地址所属的协议栈为目标协议栈；从预先配置的多个ACL表中选取与所述目标协议栈对应的ACL表为目标ACL表；利用所述目标ACL表实现相应数据包的访问控制；其中，所述ACL表为预先基于相应协议栈的ACL五元组信息按照ACL规则创建得到的。本专利技术预先配置与多个协议栈分别对应的ACL表，进而在需要实现对任意数据包的访问控制时，基于与该任意数据包对应网络地址所属协议栈的ACL表实现对该任意数据包的访问控制；可见，本申请能够支持多个协议栈的访问控制，能够满足当前网络地址增长量巨大的情况，进而保证访问控制功能的有效实现。
附图说明
[0031]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
[0032]图1为本专利技术实施例提供的一种访问控制实现方法的流程图；
[0033]图2为本专利技术实施例提供的一种访问控制实现装置的结构示意图。
具体实施方式
[0034]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0035]请参阅图1，其示出了本专利技术实施例提供的一种访问控制实现方法的流程图，可以包括：
...

【技术保护点】

【技术特征摘要】
1.一种访问控制实现方法，其特征在于，包括：如果需要实现任意数据包的访问控制，则确定该任意数据包对应网络地址所属的协议栈为目标协议栈；从预先配置的多个ACL表中选取与所述目标协议栈对应的ACL表为目标ACL表；其中，所述ACL表为预先基于相应协议栈的ACL五元组信息按照ACL规则创建得到的；利用所述目标ACL表实现相应数据包的访问控制。2.根据权利要求1所述的方法，其特征在于，从预先配置的多个ACL表中选取与所述目标协议栈对应的ACL表为目标ACL表之前，还包括：设置主配置及备配置，在所述主配置中创建多个ACL表，并设置所述主配置为激活状态，备配置为待机状态，以供从所述主配置中选取目标ACL表；如果需要更新ACL表，则将更新完成后各ACL表存储至所述备配置中，并将所述主配置及所述备配置分别更新为备配置及主配置。3.根据权利要求2所述的方法，其特征在于，将更新完成后各ACL表存储至所述备配置中，包括：如果需要更新全部ACL表，则分别基于各ACL表对应的ACL五元组信息按照ACL规则在所述备配置中创建相应的ACL表，否则，基于需要更新的ACL表对应的ACL五元组信息按照ACL原则在所述备配置中创建相应的ACL表，并将不需更新的ACL表由所述主配置中复制至所述备配置中。4.根据权利要求3所述的方法，其特征在于，基于所述ACL表对应的ACL五元组信息按照ACL原则在所述备配置中创建相应的ACL表，包括：确定需要更新的任意ACL表为待更新ACL表，如果所述备配置中存在所述待更新ACL表，则将所述备配置中存在的所述待更新ACL表删除，并在所述备配置中基于所述待更新ACL表对应的ACL五元组信息按照ACL规则创建相应的ACL表，否则，直接在所述备配置中基于所述待更新ACL表对应的ACL五元组信息按照ACL规则创建相应的ACL表。5.根据权利要求4所述的方法，其特征在于，确定需要更新的任意ACL表为待更新ACL表之前，还包括...

【专利技术属性】
技术研发人员：茅仁周，范渊，杨勃，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：