本发明专利技术公开了一种基于云协同的安全过滤方法,由业务管理服务器或网络节点获取业务终端的IP地址,然后根据网络节点本身控制表项的容量,计算动态起始前缀长度,从动态起始前缀长度开始判断是否满足聚合条件,在满足时对业务终端的IP地址进行自适应聚合,聚合为对应的网段,将网段地址作为白名单通知给网络节点,或网络节点直接根据自己聚合得到的网段地址,网络节点根据聚合后的网段地址来生成控制表项。本发明专利技术聚合后的网段最符合实际控制表项允许的转发网段,精确实现控制转发,减少了业务管理服务器与网络节点之间的信令交互,且大大减少了控制表项的数量。
【技术实现步骤摘要】
一种基于云协同的安全过滤方法
本专利技术属于访问控制
,尤其涉及一种基于云协同的安全过滤方法。
技术介绍
在集中式管理的信息系统中,管理服务器具有所有节点之间的交互信息,从而可以通过对网络节点的集中管控,下发白名单,在网络节点上添加控制表项,实现数据的转发控制。这种控制数据转发的控制表项一般是所有网络节点均支持的访问控制列表。然而,由于网络节点的控制表项规格有限,采用静态访问控制列表会导致规格超标,无法适用于业务复杂的系统。动态访问控制列表由管理服务器随着与业务终端之间的交互而进行及时的增加/删除表项。即使如此,网络节点的访问控制列表的表项数量依旧十分紧张,从而导致系统无法采用深层控制表项,影响系统的安全性。在集中式管理的信息系统中,业务管理服务器实现对所有业务终端和网络节点的控制。默认情况下,网络节点只允许网络基础协议数据和业务终端向业务管理服务器的注册消息通行,其他数据报文一概拒绝转发;当业务终端注册通过后,业务管理服务器才通知该业务终端对到业务管理服务器的路径上的所有网络节点对该业务终端放行该业务终端权限范围内可以交互的信令与数据,即增加白名单,当然该白名单必定包含该业务终端的IP地址。但现有技术中,业务管理服务器为每一个业务终端向网络节点下发白名单通知消息,由于业务终端加入与退出频繁,导致业务管理服务器与网络节点之间的信令交互非常频繁,造成系统性能和网络带宽的占用都比较大,而且网络节点的访问控制列表的表项数量十分紧张。
技术实现思路
本申请的目的是提供一种基于云协同的安全过滤方法,用以减少业务管理服务器与网络节点之间的信令交互,也解决网络节点的控制表项数量紧张的问题。为了实现上述目的,本申请技术方案如下:业务管理服务器或网络节点获取业务终端的IP地址,对获取的IP地址进行统计分析,根据网络节点本身控制表项的容量,获取动态起始前缀长度S;分别计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则将所述前N位比特相同的IP地址聚合为对应的网段地址,其中N为首个比特位开始连续相同的比特位数,N大于等于S;业务管理服务器将聚合得到的网段地址作为白名单下发给网络节点,网络节点获取白名单中的网段地址,或网络节点直接根据自己聚合得到的网段地址,生成对应的控制表项,控制数据的转发。进一步的,所述基于云协同的安全过滤方法,还包括:业务管理服务器在将聚合得到的网段地址作为白名单下发给网络节点后,如果接收到该网段地址中IP地址对应的业务终端的注册,不再向网络节点下发白名单通知。进一步的,所述基于云协同的安全过滤方法,还包括:网络节点在聚合得到网段地址后,将所述网段地址发送给业务管理服务器,业务管理服务器如果接收到该网段地址中IP地址对应的业务终端的注册,不再向网络节点下发白名单通知。进一步的,所述基于云协同的安全过滤方法,还包括:业务管理服务器在将聚合得到的网段地址作为白名单下发给网络节点时,还将该网段地址中非业务终端的IP地址放入黑名单,生成黑名单下发给网络节点,以便网络节点生成对应的黑名单控制表项。进一步的,所述基于云协同的安全过滤方法,还包括:业务管理服务器如果接收到该网段地址中放入黑名单的IP地址对应的业务终端的注册,向网络节点下发白名单通知,以便网络节点删除对应的黑名单表项。进一步的,所述基于云协同的安全过滤方法,还包括:网络节点在根据聚合得到的网段地址生成控制表项时,还将该网段地址中不在白名单中的IP地址放入黑名单,生成黑名单控制表项;网络节点如果接收到业务管理服务器下发的白名单中的IP地址为该网段地址中放入黑名单的IP地址,则删除对应的黑名单表项。进一步的,所述基于云协同的安全过滤方法,还包括:业务管理服务器接收业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果否,则通知网络节点删除聚合网段地址对应的控制表项,生成对应每个业务终端IP地址的控制表项。进一步的,所述基于云协同的安全过滤方法,还包括:业务管理服务器接收业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是,则将退出业务终端的IP地址放入黑名单,,生成黑名单下发给网络节点。进一步的,所述动态起始前缀长度S,通过如下公式计算:S=IP地址的比特位总数-log2C其中,C为网络节点本身控制表项的容量。本申请提出的一种基于云协同的安全过滤方法,由业务管理服务器或网络节点获取业务终端的IP地址,然后根据网络节点本身控制表项的容量,计算动态起始前缀长度,从动态起始前缀长度开始判断是否满足聚合条件,在满足时对业务终端的IP地址进行自适应聚合,聚合为对应的网段,业务管理服务器将网段地址作为白名单通知给网络节点,或网络节点直接根据自己聚合得到的网段地址,网络节点根据聚合后的网段地址来生成控制表项。本专利技术聚合后的网段最符合实际控制表项允许的转发网段,精确实现控制转发,减少了业务管理服务器与网络节点之间的信令交互,且大大减少了控制表项的数量。附图说明图1为本申请一种基于云协同的安全过滤方法流程图。具体实施方式为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅用以解释本申请,并不用于限定本申请。在集中式管理的信息系统中,随着业务开展,网络节点上白名单允许的控制表项会比较多,业务终端到它需要交互的其他终端的路径上网络节点也会增加相应的白名单控制表项。虽然白名单会随着业务的阶段不同而不断增加删除,但网络节点的转发芯片的控制表项依然十分紧张。此外,业务管理服务器在业务终端向其注册后,需要向相关的网路节点下发白名单,与网络节点进行信令交互。由于系统中业务终端数量非常多,这种信令交互非常频繁。本申请的总体思路是减少业务管理服务器与网络节点的信令交互,同时对网络节点上的控制表项进行必要的聚合处理,以减少控制表项。在一个实施例中,如图1所示,提供了一种基于云协同的安全过滤方法,应用于包括业务管理服务器、业务终端和网络节点的系统,所述基于云协同的安全过滤方法,包括:业务管理服务器或网络节点获取业务终端的IP地址,对获取的IP地址进行统计分析,根据网络节点本身控制表项的容量,获取动态起始前缀长度S;分别计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方本文档来自技高网...
【技术保护点】
1.一种基于云协同的安全过滤方法,应用于包括业务管理服务器、业务终端和网络节点的系统,其特征在于,所述基于云协同的安全过滤方法,包括:/n业务管理服务器或网络节点获取业务终端的IP地址,对获取的IP地址进行统计分析,根据网络节点本身控制表项的容量,获取动态起始前缀长度S;/n分别计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则将所述前N位比特相同的IP地址聚合为对应的网段地址,其中N为首个比特位开始连续相同的比特位数,N大于等于S;/n业务管理服务器将聚合得到的网段地址作为白名单下发给网络节点,网络节点获取白名单中的网段地址,或网络节点直接根据自己聚合得到的网段地址,生成对应的控制表项,控制数据的转发。/n
【技术特征摘要】
1.一种基于云协同的安全过滤方法,应用于包括业务管理服务器、业务终端和网络节点的系统,其特征在于,所述基于云协同的安全过滤方法,包括:
业务管理服务器或网络节点获取业务终端的IP地址,对获取的IP地址进行统计分析,根据网络节点本身控制表项的容量,获取动态起始前缀长度S;
分别计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则将所述前N位比特相同的IP地址聚合为对应的网段地址,其中N为首个比特位开始连续相同的比特位数,N大于等于S;
业务管理服务器将聚合得到的网段地址作为白名单下发给网络节点,网络节点获取白名单中的网段地址,或网络节点直接根据自己聚合得到的网段地址,生成对应的控制表项,控制数据的转发。
2.根据权利要求1所述的基于云协同的安全过滤方法,其特征在于,所述基于云协同的安全过滤方法,还包括:
业务管理服务器在将聚合得到的网段地址作为白名单下发给网络节点后,如果接收到该网段地址中IP地址对应的业务终端的注册,不再向网络节点下发白名单通知。
3.根据权利要求1所述的基于云协同的安全过滤方法,其特征在于,所述基于云协同的安全过滤方法,还包括:
网络节点在聚合得到网段地址后,将所述网段地址发送给业务管理服务器,业务管理服务器如果接收到该网段地址中IP地址对应的业务终端的注册,不再向网络节点下发白名单通知。
4.根据权利要求1所述的基于云协同的安全过滤方法,其特征在于,所述基于云协同的安全过滤方法,还包括:
业务管理服务器在将聚合得到的网段地址作为白名单下发给网络节点时,还将该网段地址中非业务终端的IP地址放入黑名单,生成黑名单下发给网络节点,以便网络节点生成对应的黑名单控制表项。
5.根据权利要求5所述...
【专利技术属性】
技术研发人员:王真震,许志峰,韩剑锋,
申请(专利权)人:浙江信网真科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。