訪問控制方法和裝置的制造方法
【專利摘要】本發明提供一種訪問控制方法和裝置，應用在網絡設備上，所述方法包括：在接收到客戶端設備發送的業務報文后，解析所述業務報文的報文特征；判斷所述報文特征是否匹配協議識別表，所述協議識別表包括報文特征與協議類型的對應關系；如果匹配，則根據匹配到的表項確定所述業務報文的協議類型；根據所述協議類型，對所述業務報文進行訪問控制處理。應用本發明實施例，網絡設備在接收到自客戶端設備發送的業務報文后，基于業務報文的報文特征，根據協議識別表可以快速識別業務報文的協議類型，無需對業務報文進行載荷內容讀取、應用層信息重組等繁瑣操作，因此，對網絡設備的CPU消耗小，且識別效率高。
【專利說明】
訪問控制方法和裝置
技術領域
[0001] 本發明設及計算機技術領域，尤其設及一種訪問控制方法和裝置。
【背景技術】
[0002] 隨著網絡信息系統應用的發展，網絡技術應用逐漸呈現復雜化、多元化趨勢，運種 趨勢會導致網絡出口擁堵、職員工作狀態無法監控，甚至泄漏公司機密和法律違規等嚴重 問題。為解決上述問題，可W對用戶的網絡應用的訪問進行控制處理，相關技術中，可W采 用DPUDe巧Packet Inspection,深度包檢測）技術對業務報文的協議類型進行檢測識別， 從而確定該業務報文的所屬應用，并對該所屬應用進行訪問控制處理。
[0003] 但是，DPI技術在識別業務報文的協議類型中，對網絡設備（例如，防火墻、路由 器）的CPU消耗較大，且識別效率較低。

【發明內容】

[0004] 有鑒于此，本發明提供一種訪問控制方法和裝置，W解決對業務報文進行協議類 型識別過程中，網絡設備的CPU消耗較大，識別效率較低的問題。 陽0化]具體地，本發明是通過如下技術方案實現的：
[0006] 本發明提供一種訪問控制方法，應用在網絡設備上，所述方法包括：
[0007] 在接收到客戶端設備發送的業務報文后，解析所述業務報文的報文特征；
[0008] 判斷所述報文特征是否匹配協議識別表，所述協議識別表包括報文特征與協議類 型的對應關系；
[0009] 如果匹配，則根據匹配到的表項確定所述業務報文的協議類型；
[0010] 根據所述協議類型，對所述業務報文進行訪問控制處理。
[0011] 本發明提供一種訪問控制裝置，應用在網絡設備上，所述裝置包括：
[0012] 解析單元，用于在接收到客戶端設備發送的業務報文后，解析所述業務報文的報 文特征；
[0013] 第一判斷單元，用于判斷所述報文特征是否匹配協議識別表，所述協議識別表包 括報文特征與協議類型的對應關系；
[0014] 協議確定單元，用于當所述報文特征匹配協議識別表時，根據匹配到的表項確定 所述業務報文的協議類型；
[0015] 執行單元，用于根據所述協議類型，對所述業務報文進行訪問控制處理。
[0016] 應用本發明實施例，網絡設備在接收到自客戶端設備發送的業務報文后，基于業 務報文的報文特征，根據協議識別表可W快速識別業務報文的協議類型，無需對業務報文 進行載荷內容讀取、應用層信息重組等繁瑣操作，因此，對網絡設備的CPU消耗小，且識別 效率高。
【附圖說明】
[0017] 圖I是本發明一示例性實施例示出的一種訪問控制方法的流程圖；
[001引圖2是本發明一示例性實施例示出的另一種訪問控制方法的流程圖；
[0019] 圖3是本發明一示例性實施例示出的一種訪問控制裝置的一硬件結構示意圖；
[0020] 圖4是本發明一示例性實施例示出的一種訪問控制裝置的結構框圖；
[0021] 圖5是本發明一示例性實施例示出的另一種訪問控制裝置的結構框圖；
[0022] 圖6是本發明一示例性實施例示出的另一種訪問控制裝置的結構框圖。
【具體實施方式】
[0023] 運里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述設及 附圖時，除非另有表示，不同附圖中的相同數字表示相同或相似的要素。W下示例性實施例 中所描述的實施方式并不代表與本發明相一致的所有實施方式。相反，它們僅是與如所附 權利要求書中所詳述的、本發明的一些方面相一致的裝置和方法的例子。
[0024] 在本發明使用的術語是僅僅出于描述特定實施例的目的，而非旨在限制本發明。 在本發明和所附權利要求書中所使用的單數形式的"一種"、"所述"和"該"也旨在包括多 數形式，除非上下文清楚地表示其他含義。還應當理解，本文中使用的術語"和/或"是指 并包含一個或多個相關聯的列出項目的任何或所有可能組合。
[00巧]應當理解，盡管在本發明可能采用術語第一、第二、第=等來描述各種信息，但運 些信息不應限于運些術語。運些術語僅用來將同一類型的信息彼此區分開。例如，在不脫離 本發明范圍的情況下，第一信息也可W被稱為第二信息，類似地，第二信息也可W被稱為第 一信息。取決于語境，如在此所使用的詞語"如果"可W被解釋成為"在……時"或"當…… 時"或"響應于確定"。
[00%] 本技術領域人員可W理解的是，DPI技術是一種基于應用層的流量檢測和控制技 術，能夠對應用層的內容進行深度分析，從而根據應用層的凈荷特征識別業務報文的應用 類型或內容，例如，當IP報文通過基于DPI技術的網絡設備時，網絡設備可W通過深入讀取 IP報文載荷的內容來對OSI屯層協議中的應用層信息進行重組，從而識別IP報文的應用層 協議，然后按照網絡設備中的流量管理策略對該IP報文進行訪問控制處理。綜上所述，對 于每一個業務報文，如果采用DPI的識別方式，都要進行上述載荷內容讀取、應用層信息重 組等操作，因此，運種協議識別方式對所在網絡設備的CPU消耗較大，且識別效率較低。 [0027] 在本發明實施例的網絡設備中，當網絡設備接收到來自客戶端設備的業務報文 時，可W從該業務報文中提取出報文特征，并將該報文特征匹配協議識別表，其中，該協議 識別表存儲了一個或者多個報文特征與協議類型的對應關系，當該報文特征能夠匹配上該 協議識別表中的任一個表項時，就可W根據該表項確定該業務報文的協議類型，管理員可 W在網絡設備中配置流量管理策略，運樣，網絡設備就可W根據該協議類型，對業務報文進 行訪問控制處理，例如，放通協議類型命中白名單的業務報文，阻止協議類型命中黑名單的 業務報文。需要說明的是，本發明實施例中設及到的協議類型主要包括業務報文的應用層 協議類型。
[002引圖1是本發明一示例性實施例示出的一種訪問控制方法的流程圖。如圖1所示， 一種訪問控制方法，應用在網絡設備上，所述方法包括：
[0029] 步驟S110,在接收到客戶端設備發送的業務報文后，解析所述業務報文的報文特 征。
[0030] 在本發明實施例中，網絡設備（例如，防火墻、路由器）接收到客戶端設備發送的 業務報文時，可W解析業務報文的報文特征，所述報文特征可W為：業務報文的目的IP地 址、目的端口號和傳輸層協議類型中的一個或者多個。
[0031] 步驟S120,判斷所述報文特征是否匹配協議識別表，其中，所述協議識別表包括報 文特征與協議類型的對應關系。若匹配，則執行步驟S130。
[0032] 所述協議識別表中可W存儲有報文特征與協議類型的對應關系。在本實施例中， 所述協議識別表可W由管理員或者技術人員進行設置，也可W由網絡設備在接收到業務報 文后，采用相關技術中的識別方式對協議類型進行識別，并根據識別結果生成所述協議識 別表，本發明對此不作特殊限制。
[0033] 在本步驟中，可朗尋步驟SllO中解析到的報文特征與協議識別表進行匹配，如果 所述解析到的報文特征與所述協議表中任意一個表項中存儲的報文特征匹配上，則執行步 驟 S130。
[0034] 表 1
[0035]
[0036] 表1為本實施例一種協議識別表的示意圖，如表1中所示，該表項中存儲了目的IP 地址為211. 11. 172. 183與協議類型為天涯博客協議的對應關系，表1中僅是作為一種協議 識別表的示例表項，不作為對協議識別表的限制，只要滿足協議識別表中是報文特征和協 議類型的對應關系即可，比如，所述協議識別表中還可W存儲目的IP地址、目的端口號與 協議類型的對應關系，如下表2所示：
[0037] 表 2
[0038]
[0039] 步驟S130,根據匹配到的表項確定所述業務報文的協議類型。
[0040] 在本步驟中，根據所述報文特征匹配到的表項，可W確定業務報文的協議類型。W 表1中所示表項為例，假設業務報文的報文特征為目的IP地址211. 11. 172. 183,與表1中 所示的表項中的目的IP地址匹配，則根據該表項可W確定該業務報文的協議類型為天涯 博客協議。
[0041] 步驟S140,根據所述協議類型，對所述業務報文進行訪問控制處理。
[0042] 管理員或者技術人員可W根據實際應用需要，在網絡設備中配置流量管理策略， 例如，將需要放通的業務報文的協議類型存儲到白名單中，將要阻止訪問的業務報文的協 議類型存儲到黑名單中，從而可W對業務報文進行訪問控制處理。假設，需要阻止訪問QQ、 天涯博客、網絡游戲等，則可W將需要過濾的應用程序的協議類型保存到黑名單中，從而丟 棄該協議類型的業務報文，W阻止QQ、天涯博客、網絡游戲等的業務訪問。
[0043] 應用上述實施例，網絡設備在接收到自客戶端設備發送的業務報文后，基于業務 報文的報文特征，根據協議識別表可W快速識別業務報文的協議類型，無需對業務報文進 行載荷內容讀取、應用層信息重組等繁瑣操作，因此，對網絡設備的CPU消耗小，且識別效 率高。
[0044] 根據本發明的一優選實施例，當所述業務報文的報文特征匹配上所述協議識別表 時，還可W更新該匹配到的表項的表項時間，在到達預設時間周期時，將刪除當前時間與表 項時間的時間差值大于或者等于預設差值的表項。比如，如表3中所示的表項：
[0045] 表 3
[0046]
[0047] 女日表3中巧I小，'四化二'r巧W，化二'r巧W口'J巧W口'J IW刀-方。為13:01，13:03， 13:00,假設預設時間周期為5min，到達預設時間周期時的當前時間為13:06,運S個表項 的時間差值分別為5min，3min，6min，再假設預設差值為4min，因此，可W刪除目的IP地址 為211. 11. 172. 183、協議類型為天涯博客協議、表項時間為13:01的表項，W及刪除目的IP 地址為117. 27. 230. 86、協議類型為網絡游戲協議W及表項時間為13:00的表項。
[0048] 應用上述優選實施例，可W將長時間沒有被匹配到的表項刪除，避免協議識別表 越來越多，減少對網絡設備的內存空間的耗費。 W例圖2是本發明一示例性實施例示出的另一種訪問控制方法的流程圖。基于前述圖 1所示的實施例，本發明還提供另一種可選實施例，當圖1中的步驟S120確定所述業務報文 的報文特征沒有匹配協議識別表時，如圖2所示，一種訪問控制方法，還包括：
[0050] 步驟S210,當業務報文的報文特征沒有匹配協議識別表時，通過第一檢測技術檢 測所述業務報文的協議類型。
[0051] 第一檢測技術可W是DPI技術，在通過協議識別表無法確定所述業務報文的協議 類型時，可W通過DPI技術對業務報文的協議類型進行檢測。
[0052] 步驟S220,判斷檢測出的所述協議類型是否匹配預設類型，若匹配，執行步驟 S230〇
[0053] 管理員或者技術人員可W提取流量較大，且服務器較穩定的應用程序的協議類型 作為預設類型，例如，QQ協議、微信協議、網絡游戲協議等。然而，對于FTP、RTSP、P2P等協 商協議，其服務器變化較快、不穩定，所W，協商協議不作為本發明實施例中的預設類型的 協議。
[0054] 步驟S230,將所述業務報文的報文特征與檢測出的所述協議類型的對應關系保存 至協議識別表中。
[0055] 在本步驟中，可W提取協議類型匹配預設類型的業務報文的報文特征，例如，業務 報文的目的IP地址、目的端口號和傳輸層協議類型中的一個或者多個，且將報文特征與業 務報文的協議類型的對應關系保存到協議識別表中，更新協議識別表的表項。
[0056] 可選地，當第一檢測技術不能檢測出業務報文的協議類型時，可W通過第二檢測 技術，例如，FPI (Flow Pattern Inspection,流模型檢測）技術，檢測業務報文的協議類型。 由于FPI技術主要是檢測協商協議，因此，通過FPI技術檢測出的協議類型不屬于預設類 型，不必將業務報文的報文特征與檢測出的協議類型的對應關系更新到協議識別表中。
[0057] 應用上述可選實施例，在通過協議識別表無法確定業務報文的協議類型時，可W 通過DPI檢測技術對業務報文的協議類型進行檢測，并根據預設類型對檢測出的協議類型 進行篩選，將匹配預設類型的協議類型W及報文特征的對應關系保存到協議識別表中，因 此，可W不斷更新和完善協議識別表。
[005引與前述訪問控制方法的實施例相對應，本發明還提供了訪問控制裝置的實施例。
[0059] 本發明訪問控制裝置400的實施例可W應用在網絡設備上，例如，防火墻、路由 器。裝置實施例可W通過軟件實現，也可W通過硬件或者軟硬件結合的方式實現。W軟件 實現為例，作為一個邏輯意義上的裝置，是通過其所在網絡設備的處理器將非易失性存儲 器中對應的計算機程序指令讀取到內存中運行形成的。從硬件層面而言，如圖3所示，為本 發明一示例性實施例示出的一種訪問控制裝置的一硬件結構示意圖，除了圖3所示的處理 器、內存、網絡接口、W及非易失性存儲器之外，實施例中訪問控制裝置400所在的網絡設 備通常根據該設備的實際功能，還可W包括其他硬件，對此不再寶述。
[0060] 圖4是本發明一示例性實施例示出的一種訪問控制裝置的結構框圖。如圖4所 示，一種訪問控制裝置400,應用在網絡設備上，所述裝置包括：解析單元401、第一判斷單 元402、協議確定單元403和執行單元404。
[0061] 解析單元401用于在接收到客戶端設備發送的業務報文后，解析所述業務報文的 報文特征。
[0062] 第一判斷單元402用于判斷所述報文特征是否匹配協議識別表，所述協議識別表 包括報文特征與協議類型的對應關系。
[0063] 協議確定單元403用于當所述報文特征匹配協議識別表時，根據匹配到的表項確 定所述業務報文的協議類型。
[0064] 執行單元404用于根據所述協議類型，對所述業務報文進行訪問控制處理。
[0065] 圖5是本發明一示例性實施例示出的另一種訪問控制裝置的結構框圖。基于上述 圖4所示的實施例，如圖5所示，訪問控制裝置400還可W包括：時間更新單元405和表項 刪除單元406。
[0066] 時間更新單元405用于當所述報文特征匹配所述協議識別表時，更新匹配到的表 項的表項時間，表項刪除單元406用于在到達預設時間周期時，刪除當前時間與表項時間 的時間差值大于或者等于預設差值的表項。
[0067] 圖6是本發明一示例性實施例示出的另一種訪問控制裝置的結構框圖。基于上述 圖4所示的實施例，當第一判斷單元402確定所述報文特征沒有匹配協議識別表時，本發明 還提供一種可選實施例，如圖6所示，訪問控制裝置400還可W包括：第一檢測單元407、第 二判斷單元408和表項保存單元409。
[0068] 第一檢測單元407用于當所述報文特征沒有匹配協議識別表時，通過第一檢測技 術檢測所述業務報文的協議類型，其中，所述第一檢測技術可W為DPI技術，第二判斷單元 408用于判斷檢測出的所述協議類型是否匹配預設類型，表項保存單元409用于當檢測出 的所述協議類型匹配上預設類型時，將所述業務報文的報文特征與檢測出的所述協議類型 的對應關系保存至協議識別表中。
[0069] 優選地，還可W包括第二檢測單元410,用于當所述第一檢測技術沒有檢測出所述 業務報文的協議類型時，通過第二檢測技術檢測所述業務報文的協議類型。其中，第二檢測 技術可W為FPI技術。
[0070] 上述裝置中各個單元的功能和作用的實現過程具體詳見上述方法中對應步驟的 實現過程，在此不再寶述。
[0071] 對于裝置實施例而言，由于其基本對應于方法實施例，所W相關之處參見方法實 施例的部分說明即可。W上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件 說明的單元可W是或者也可W不是物理上分開的，作為單元顯示的部件可W是或者也可W 不是物理單元，即可W位于一個地方，或者也可W分布到多個網絡單元上。可W根據實際的 需要選擇其中的部分或者全部模塊來實現本發明方案的目的。本領域普通技術人員在不付 出創造性勞動的情況下，即可W理解并實施。
[0072] W上所述僅為本發明的較佳實施例而已，并不用W限制本發明，凡在本發明的精 神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本發明保護的范圍之內。
【主權項】
1. 一種訪問控制方法，應用在網絡設備上，其特征在于，所述方法包括： 在接收到客戶端設備發送的業務報文后，解析所述業務報文的報文特征； 判斷所述報文特征是否匹配協議識別表，所述協議識別表包括報文特征與協議類型的 對應關系； 如果匹配，則根據匹配到的表項確定所述業務報文的協議類型； 根據所述協議類型，對所述業務報文進行訪問控制處理。2. 根據權利要求1所述的方法，其特征在于，所述方法還包括： 當所述報文特征匹配所述協議識別表時，更新匹配到的表項的表項時間； 在到達預設時間周期時，刪除當前時間與表項時間的時間差值大于或者等于預設差值 的表項。3. 根據權利要求1所述的方法，其特征在于，所述方法還包括： 當所述報文特征沒有匹配協議識別表時，通過第一檢測技術檢測所述業務報文的協議 類型； 判斷檢測出的所述協議類型是否匹配預設類型； 如果匹配，則將所述業務報文的報文特征與檢測出的所述協議類型的對應關系保存至 協議識別表中。4. 根據權利要求3所述的方法，其特征在于，所述方法還包括： 當所述第一檢測技術沒有檢測出所述業務報文的協議類型時，通過第二檢測技術檢測 所述業務報文的協議類型。5. 根據權利要求4所述的方法，其特征在于，所述第一檢測技術為DPI深度包檢測技 術，所述第二檢測技術為FPI流模型檢測技術。6. -種訪問控制裝置，應用在網絡設備上，其特征在于，所述裝置包括： 解析單元，用于在接收到客戶端設備發送的業務報文后，解析所述業務報文的報文特 征； 第一判斷單元，用于判斷所述報文特征是否匹配協議識別表，所述協議識別表包括報 文特征與協議類型的對應關系； 協議確定單元，用于當所述報文特征匹配協議識別表時，根據匹配到的表項確定所述 業務報文的協議類型； 執行單元，用于根據所述協議類型，對所述業務報文進行訪問控制處理。7. 根據權利要求6所述的裝置，其特征在于，所述裝置還包括： 時間更新單元，用于當所述報文特征匹配所述協議識別表時，更新匹配到的表項的表 項時間； 表項刪除單元，用于在到達預設時間周期時，刪除當前時間與表項時間的時間差值大 于或者等于預設差值的表項。8. 根據權利要求6所述的裝置，其特征在于，所述裝置還包括： 第一檢測單元，用于當所述報文特征沒有匹配協議識別表時，通過第一檢測技術檢測 所述業務報文的協議類型； 第二判斷單元，用于判斷檢測出的所述協議類型是否匹配預設類型； 表項保存單元，用于當檢測出的所述協議類型匹配預設類型時，將所述業務報文的報 文特征與檢測出的所述協議類型的對應關系保存至協議識別表中。9. 根據權利要求8所述的裝置，其特征在于，所述裝置還包括： 第二檢測單元，用于當所述第一檢測技術沒有檢測出所述業務報文的協議類型時，通 過第二檢測技術檢測所述業務報文的協議類型。10. 根據權利要求9所述的裝置，其特征在于，所述第一檢測技術為DPI深度包檢測技 術，所述第二檢測技術為FPI流模型檢測技術。
【文檔編號】H04L29/06GK105939305SQ201510358582
【公開日】2016年9月14日
【申請日】2015年6月24日
【發明人】張曉東
【申請人】杭州迪普科技有限公司