專利名稱:分片報文的網絡訪問控制方法
技術領域:
本發明涉及一種網絡訪問控制技術,尤其涉及一種對分片報文進行網絡訪問控制的方法。
目前對分片報文的訪問控制主要有兩種一種是對于所有的分片報文采取全部通過或者全部禁止的方法。這種方法存在很大的安全隱患和應用限制;當全部通過的時候,黑客很容易構造分片報文實施流量攻擊;當全部禁止的時候,所有的分片報文,包括合法的報文都將被拒絕丟棄,這在實際應用中是不允許的。另一種網絡訪問控制方法中所應用ACL盡管也包含有三層信息及三層以外信息,例如包含源目的地址信息、協議類型以及三層以外信息,其中三層以外信息包括TCP/用戶數據協議(UDP)端口號,互聯網控制報文協議(ICMP)類型、代碼,但對分片報文僅進行三層信息的規則匹配,以確定分片報文的網絡可訪問性,其承載的三層以外信息被忽略,這種方法無法保證分片報文的網絡訪問控制的有效性,黑客構造分片報文實施流量攻擊的可能性仍然存在,因而,網絡的安全性無法得到更好地保證。
本發明的目的是這樣實現的分片報文的網絡訪問控制方法,包括(1)根據需要記錄分片報文中首片報文的屬性信息及分片標識;
(2)分片報文中的后續分片報文根據其分片標識,查詢與該后續分片報文分片標識相同的首片報文的屬性信息;(3)根據上述查詢結果確定該后續分片報文的網絡可訪問性。
所述的步驟(1)包括(21)判斷報文是否為分片報文中的首片報文,如果是,執行步驟(22),否則,執行步驟(23);(22)根據需要記錄該首片報文的屬性信息及分片標識;(23)結束本次判斷過程。
所述的屬性信息為首片報文的網絡可訪問性信息。
所述的報文為互聯網協議(IP)報文,判斷報文是否為分片報文中的首片報文是根據判斷報文的分片標志和分片偏移量進行判斷的。
所述的屬性信息為首片報文的三層以外信息。
所述的根據需要記錄分片報文中首片報文的屬性信息及分片標識,包括(61)將首片報文的三層信息及三層以外信息與相應的訪問控制規則進行匹配,判斷該首片報文是否可以進行相應的訪問,如可以進行相應的訪問,執行步驟(62),否則,執行步驟(63);(62)記錄該首片報文的三層以外信息和分片標識;(63)結束本次操作。
所述的三層信息包括網絡地址信息、協議類型信息;所述的三層以外信息包括傳輸控制協議/用戶數據報協議(TCP/UDP)端口號、互聯網控制報文協議(ICMP)類型、代碼。
所述的步驟(62)中記錄的三層以外信息和分片標識采用散列樹數據結構進行保存。
所述的以散列樹數據結構保存三層以外信息和分片標識,包括(91)發生需要記錄的首片報文的三層以外信息和分片際識;(92)判斷以散列樹數據結構組建的狀態信息表是否允許添加新的表項,如果允許,執行步驟(93),否則,執行步驟(94);(93)將首片報文的三層以外信息和分片標識記錄到狀態信息表中;(94)結束本次操作。
由上述技術方案可以看出,本發明可以記錄下分片報文中的首片報文的三層以外信息或網絡可訪問性及分片標識,然后分片報文可以通過所記錄的屬性信息確定其網絡可訪問性。本發明解決了現有網絡訪問控制技術所存在無法保證對分片報文訪問網絡進行有效控制的缺點,實現了分片報文的網絡訪問控制也可以與普通報文或首片報文的網絡訪問控制一樣,由訪問控制列表中所記錄的三層信息及三層以外信息的可訪問性確定,從而更好地保證了網絡的安全性。
圖3為狀態信息表的結構示意圖。
本發明是針對網絡訪問控制中所應用的ACL中包含有三層以外信息的情況設計的,本發明采用記錄首片報文三層以外信息的方法,以滿足分片報文進行相應信息的ACL規則匹配。本發明的實現主要可以包括判斷分片報文是否首分片報文,如果是,則記錄三層以外的信息;如果是后續分片報文,則以分片標識為檢索關鍵字檢索已經記錄的屬性信息,若檢索到,則三層以外信息全部獲得,執行普通報文的匹配操作便可實現對分片報文的網絡訪問進行控制。
為了提高效率和安全性,由于后續分片報文的匹配行為取決于首片分片報文的行為,對于后續分片來說,僅當其首片報文被允許的情況下,ACL中的包含三層以外匹配的規則對后續分片報文作用才有效,才有記錄屬性信息的必要;因此,當首片報文被ACL允許的時候,才記錄該報文的三層以外信息,當首片被ACL規則項禁止的時候,不記錄任何信息。另外,后續分片報文的網絡可訪問性同首片報文是一致的,我們也可以僅通過記錄首片報文的網絡可訪問性信息確定分片報文的網絡可訪問性,以進一步提高分片報文網絡訪問控制的效率。
本發明所述的分片報文的網絡訪問控制方法的具體實現方式,參見圖2,如下所述步驟1接收包含有分片特性的IP報文;步驟2根據報文的分片標志和分片偏移量判斷是否為分片報文中的首片報文,如果是,執行步驟3,否則,執行步驟5;步驟3將首片報文的三層信息及三層以外信息與相應的訪問控制規則進行匹配,判斷該首片報文是否可以進行相應的訪問,如可以進行相應的訪問,執行步驟4,否則,不做任何記錄,執行步驟1;步驟4記錄該首片報文的三層以外信息和分片標識,執行步驟1;記錄的三層以外信息和分片標識采用散列樹數據結構進行保存,首先利用散列樹數據結構組織建立狀態信息表,參見圖3;狀態信息表中的每一個表項中記錄了一個首分片報文的三層以外信息以或者ACL對其過濾行為(允許或者禁止)的信息,線性表存放分片報文的分片標識經過散列運算后的散列序號,相同散列序號的表項再組成一個雙向鏈表;
然后,當發生需要記錄的首片報文的三層以外信息和分片標識時,判斷以散列樹數據結構組建的狀態信息表是否允許添加新的表項,如果允許,則將首片報文的三層以外信息和分片標識記錄到狀態信息表中,否則無法記錄首片報文的三層以外信息及分片標識;考慮額外風險,對狀態信息表進行了保護,包括限制最大允許記錄項總數;限制在散列非均勻分布的情況下,對每個散列支中記錄項的數目;提供記錄項的時間老化功能,即當在非正常情況下,當記錄項不能正常刪除的時候,通過超時時間限制來刪除,以提高對分片報文進行網絡訪問控制的可靠性;步驟5則該報文為后續分片報文,根據后續分片報文的分片標識查詢是否存在與其分片標識對應的三層以外信息,如存在,執行步驟6,否則,執行步驟7;步驟6根據所記錄的關于該后續分片報文的三層以外信息及后續分片報文所承載的三層信息,確定該后續分片報文的網絡可訪問性;三層信息包括網絡地址信息、協議類型信息;三層以外信息包括傳輸控制協議/用戶數據報協議(TCP/UDP)端口號、互聯網控制報文協議(ICMP)類型、代碼;確定后續分片報文的網絡可訪問性與確定普通報文的網絡可訪問性相同,將關于該后續分片報文的三層信息及三層以外信息與相應的ACL規則進行匹配,根據匹配的結果確定其網絡可訪問性;步驟7禁止該后續分片報文進行相應的訪問。
上述具體實施方案中還可以將步驟3省去,即當確定該分片報文為首片報文后,直接記錄該首片報文的三層以外信息及分片標識,與該首片報文對應的后續分片報文則可以根據所記錄的相應的三層以外信息及分片標識確定其網絡可訪問性。
本發明所述的分片報文的網絡訪問控制方法還可以在確定了首片報文的可訪問性后,僅將首片報文的可訪問性信息及其分片標識記錄下來,后續分片報文可以根據分片標識查詢與其對應的首片報文的可訪問性信息,以確定后續分片報文的網絡可訪問性;后續分片報文的網絡可訪問性與所查詢到的,與其對應的首片報文的可訪問性相同。這一實施方案只記錄首片報文的網絡可訪問性信息和分片標識,減少了記錄的信息量,同時也使后續分片報文無需再一次進行規則匹配,從而使分片報文的網絡訪問控制過程更為方便、快捷。
權利要求
1.一種分片報文的網絡訪問控制方法,包括(1)根據需要記錄分片報文中首片報文的屬性信息及分片標識;(2)分片報文中的后續分片報文根據其分片標識,查詢與該后續分片報文分片標識相同的首片報文的屬性信息;(3)根據上述查詢結果確定該后續分片報文的網絡可訪問性。
2.根據權利要求1所述的分片報文的網絡訪問控制方法,其特征在于所述的步驟(1)包括(21)判斷報文是否為分片報文中的首片報文,如果是,執行步驟(22),否則,執行步驟(23);(22)根據需要記錄該首片報文的屬性信息及分片標識;(23)結束本次判斷過程。
3.根據權利要求1所述的分片報文的網絡訪問控制方法,其特征在于所述的屬性信息為首片報文的網絡可訪問性信息。
4.根據權利要求2所述的分片報文的網絡訪問控制方法,其特征在于所述的報文為互聯網協議(IP)報文,判斷報文是否為分片報文中的首片報文是根據判斷報文的分片標志和分片偏移量進行判斷的。
5.根據權利要求4所述的分片報文的網絡訪問控制方法,其特征在于所述的屬性信息為首片報文的三層以外信息。
6.根據權利要求5所述的分片報文的網絡訪問控制方法,其特征在于所述的根據需要記錄分片報文中首片報文的屬性信息及分片標識,包括(61)將首片報文的三層信息及三層以外信息與相應的訪問控制規則進行匹配,判斷該首片報文是否可以進行相應的訪問,如可以進行相應的訪問,執行步驟(62),否則,執行步驟(63);(62)記錄該首片報文的三層以外信息和分片標識;(63)結束本次操作。
7.根據權利要求6所述的分片報文的網絡訪問控制方法,其特征在于所述的三層信息包括網絡地址信息、協議類型信息;所述的三層以外信息包括傳輸控制協議/用戶數據報協議(TCP/UDP)端口號、互聯網控制報文協議(ICMP)類型、代碼。
8.根據權利要求6所述的分片報文的網絡訪問控制方法,其特征在于所述的步驟(62)中記錄的三層以外信息和分片標識采用散列樹數據結構進行保存。
9.根據權利要求8所述的分片報文的網絡訪問控制方法,其特征在于所述的以散列樹數據結構保存三層以外信息和分片標識,包括(91)發生需要記錄的首片報文的三層以外信息和分片標識;(92)判斷以散列樹數據結構組建的狀態信息表是否允許添加新的表項,如果允許,執行步驟(93),否則,執行步驟(94);(93)將首片報文的三層以外信息和分片標識記錄到狀態信息表中;(94)結束本次操作。
全文摘要
本發明涉及一種網絡訪問控制技術中的分片報文的網絡訪問控制方法。包括首先,根據需要記錄分片報文中首片報文的屬性信息及分片標識;然后,分片報文中的后續分片報文根據其分片標識,查詢與該后續分片報文分片標識相同的首片報文的屬性信息;最后,根據上述查詢結果確定該后續分片報文的網絡可訪問性。由上述技術方案可以看出,本發明解決了現有網絡訪問控制技術所存在無法保證對分片報文訪問網絡進行有效控制的缺點,實現了分片報文的網絡訪問控制也可以與普通報文或首片報文的網絡訪問控制一樣方便,從而更好地保證了網絡的安全性。
文檔編號H04L29/08GK1411218SQ0211728
公開日2003年4月16日 申請日期2002年4月23日 優先權日2002年4月23日
發明者楊煒 申請人:華為技術有限公司