[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN111629276B - 一种控制表项自转换的安全过滤方法及装置 - Google Patents

一种控制表项自转换的安全过滤方法及装置 Download PDF

Info

Publication number
CN111629276B
CN111629276B CN202010412911.0A CN202010412911A CN111629276B CN 111629276 B CN111629276 B CN 111629276B CN 202010412911 A CN202010412911 A CN 202010412911A CN 111629276 B CN111629276 B CN 111629276B
Authority
CN
China
Prior art keywords
control table
address
destination
unicast control
addresses
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010412911.0A
Other languages
English (en)
Other versions
CN111629276A (zh
Inventor
王真震
许志峰
韩剑锋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Xinwangzhen Technology Co ltd
Original Assignee
Zhejiang Xinwangzhen Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Xinwangzhen Technology Co ltd filed Critical Zhejiang Xinwangzhen Technology Co ltd
Priority to CN202010412911.0A priority Critical patent/CN111629276B/zh
Publication of CN111629276A publication Critical patent/CN111629276A/zh
Application granted granted Critical
Publication of CN111629276B publication Critical patent/CN111629276B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/64Addressing
    • H04N21/6408Unicasting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/47End-user applications
    • H04N21/472End-user interface for requesting content, additional data or services; End-user interface for interacting with content, e.g. for content reservation or setting reminders, for requesting event notification, for manipulating displayed content
    • H04N21/47202End-user interface for requesting content, additional data or services; End-user interface for interacting with content, e.g. for content reservation or setting reminders, for requesting event notification, for manipulating displayed content for requesting content on demand, e.g. video on demand
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/64Addressing
    • H04N21/6405Multicasting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
    • H04N7/181Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast for receiving images from a plurality of remote sources

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种控制表项自转换的安全过滤方法及装置,网络节点学习单播控制表项,在发现同一个源IP地址的多个单播控制表项的目的IP地址符合聚合条件时,则将所述多个单播控制表项的目的IP地址聚合为对应的网段地址;然后将所述多个单播控制表项合并为一个组播控制表项,所述组播控制表项的目的IP地址为聚合后的网段地址。本申请通过将单播控制表项转换为组播控制表项,大大减少了控制表项的数量。

Description

一种控制表项自转换的安全过滤方法及装置
技术领域
本发明属于访问控制技术领域,尤其涉及一种控制表项自转换的安全过滤方法及装置。
背景技术
在集中式管理的信息系统中,管理服务器具有所有节点之间的交互信息,从而可以通过对网络节点的集中管控,下发白名单,在网络节点上添加控制表项,实现数据的转发控制。这种控制数据转发的控制表项一般是所有网络节点均支持的访问控制列表。
然而,由于网络节点的控制表项规格有限,采用静态访问控制列表会导致规格超标,无法适用于业务复杂的系统。动态访问控制列表由管理服务器随着与业务终端之间的交互而进行及时的增加/删除表项。即使如此,网络节点的访问控制列表的表项数量依旧十分紧张,从而导致系统无法采用深层控制表项,影响系统的安全性。
在集中式管理的信息系统中,业务管理服务器实现对所有业务终端和网络节点的控制。默认情况下,网络节点只允许网络基础协议数据和业务终端向业务管理服务器的注册消息通行,其他数据报文一概拒绝转发;当业务终端注册通过后,业务管理服务器才通知该业务终端对到业务管理服务器的路径上的所有网络节点对该业务终端放行该业务终端权限范围内可以交互的信令与数据,即增加白名单,当然该白名单必定包含该业务终端的IP地址。
但现有技术中,业务管理服务器为每一个业务终端向网络节点下发白名单通知消息,由于业务终端加入与退出频繁,导致业务管理服务器与网络节点之间的信令交互非常频繁,造成系统性能和网络带宽的占用都比较大,而且网络节点的访问控制列表的表项数量十分紧张。
发明内容
本申请的目的是提供一种控制表项自转换的安全过滤方法及装置,用以解决网络节点的控制表项数量紧张的问题。
为了实现上述目的,本申请技术方案如下:
一种控制表项自转换的安全过滤方法,应用于网络节点,包括:
学习单播控制表项,判断同一个源IP地址的多个单播控制表项的目的IP地址是否符合聚合条件;
如果发现同一个源IP地址的多个单播控制表项的目的IP地址符合聚合条件,则将所述多个单播控制表项的目的IP地址聚合为对应的网段地址;
将所述多个单播控制表项合并为一个组播控制表项,所述组播控制表项的源IP地址为所述多个单播控制表项的源IP地址,所述组播控制表项的目的IP地址为聚合后的网段地址。
进一步的,所述控制表项自转换的安全过滤方法,还包括:
在发现所述多个单播控制表项中一条或多条不再有效时,重新判断剩余单播控制表项的目的IP地址是否符合聚合条件;
如果仍然满足,则将剩余单播控制表项的目的IP地址聚合为对应的网段地址,否则删除对应的组播控制表项,根据单播控制表项进行转发。
进一步的,所述判断同一个源IP地址的多个单播控制表项的目的IP地址是否符合聚合条件,包括:
比较所述多个单播控制表项的目的IP地址,获取从首个比特位开始连续相同的比特位数N,计算N对应的特征值,所述特征值等于所述多个单播控制表项的条数M除以2的X次方,X等于目的IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则判断符合聚合条件。
进一步的,所述控制表项自转换的安全过滤方法,还包括:
在将所述多个单播控制表项合并为一个组播控制表项时,还将该网段地址中不属于所述单播控制表项的目的IP地址中的IP地址放入黑名单,生成黑名单单播控制表项。
进一步的,所述控制表项自转换的安全过滤方法,还包括:
如果发现同一个源IP地址的多个单播控制表项的目的IP地址不同,且不能进行聚合,但是出接口相同,则生成一个一对多的控制表项,所述一对多的控制表项的源IP地址为所述多个单播控制表项的源IP地址,所述一对多的控制表项的目的IP地址为包括所有所述多个单播控制表项的目的IP地址。
本申请还提出了一种控制表项自转换的安全过滤装置,应用于网络节点,包括:
判断模块,用于学习单播控制表项,判断同一个源IP地址的多个单播控制表项的目的IP地址是否符合聚合条件;
聚合模块,用于如果发现同一个源IP地址的多个单播控制表项的目的IP地址符合聚合条件,则将所述多个单播控制表项的目的IP地址聚合为对应的网段地址,将所述多个单播控制表项合并为一个组播控制表项,所述组播控制表项的源IP地址为所述多个单播控制表项的源IP地址,所述组播控制表项的目的IP地址为聚合后的网段地址。
进一步的,所述判断模块,还用于在发现所述多个单播控制表项中一条或多条不再有效时,重新判断剩余单播控制表项的目的IP地址是否符合聚合条件;
所述聚合模块,还用于在如果仍然满足时,则将剩余单播控制表项的目的IP地址聚合为对应的网段地址,否则删除对应的组播控制表项,根据单播控制表项进行转发。
进一步的,所述判断模块在判断同一个源IP地址的多个单播控制表项的目的IP地址是否符合聚合条件时,执行如下操作:
比较所述多个单播控制表项的目的IP地址,获取从首个比特位开始连续相同的比特位数N,计算N对应的特征值,所述特征值等于所述多个单播控制表项的条数M除以2的X次方,X等于目的IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则判断符合聚合条件。
进一步的,所述聚合模块,还用于:
在将所述多个单播控制表项合并为一个组播控制表项时,还将该网段地址中不属于所述单播控制表项的目的IP地址中的IP地址放入黑名单,生成黑名单单播控制表项。
进一步的,所述聚合模块,还用于:
如果发现同一个源IP地址的多个单播控制表项的目的IP地址不同,且不能进行聚合,但是出接口相同,则生成一个一对多的控制表项,所述一对多的控制表项的源IP地址为所述多个单播控制表项的源IP地址,所述一对多的控制表项的目的IP地址为包括所有所述多个单播控制表项的目的IP地址。
本申请提出的一种控制表项自转换的安全过滤方法及装置,网络节点学习单播控制表项,在发现同一个源IP地址的多个单播控制表项的目的IP地址符合聚合条件时,则将所述多个单播控制表项的目的IP地址聚合为对应的网段地址;然后将所述多个单播控制表项合并为一个组播控制表项,所述组播控制表项的目的IP地址为聚合后的网段地址。本申请通过将单播控制表项转换为组播控制表项,大大减少了控制表项的数量。
附图说明
图1为本申请一种控制表项自转换的安全过滤方法流程图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅用以解释本申请,并不用于限定本申请。
在集中式管理的信息系统中,随着业务开展,网络节点上白名单允许的控制表项会比较多,业务终端到它需要交互的其他终端的路径上网络节点也会增加相应的白名单控制表项。虽然白名单会随着业务的阶段不同而不断增加删除,但网络节点的转发芯片的控制表项依然十分紧张。此外,业务管理服务器在业务终端向其注册后,需要向相关的网路节点下发白名单,与网络节点进行信令交互。由于系统中业务终端数量非常多,这种信令交互非常频繁。本申请的总体思路是对网络节点上的控制表项进行必要的合并处理,以减少控制表项。
在一个实施例中,如图1所示,提供了一种控制表项自转换的安全过滤方法,应用于网络节点,包括:
学习单播控制表项,如果发现同一个源IP地址的多个单播控制表项的目的IP地址符合聚合条件,则将所述多个单播控制表项的目的IP地址聚合为对应的网段地址;
将所述多个单播控制表项合并为一个组播控制表项,所述组播控制表项的源IP地址为所述同一个源IP地址,所述组播控制表项的目的IP地址为聚合后的网段地址。
在本实施例中,网络节点负责数据的转发,例如在视频监控系统中,视频管理服务器是业务管理服务器,而摄像机、视频客户端等都是业务终端。摄像机采集视频图像数据,视频客户端查看摄像机采集的视频图像数据,摄像机采集的视频图像数据通过网络节点发送到视频客户端。在网络节点上设置控制表项,控制数据的转发。
通常来说,视频客户端都需要注册到视频管理服务器,在视频客户端查看视频源的视频图像,需要与视频管理服务器进行交互,先进行注册。视频客户端与视频管理服务器之间的网路节点,例如路由器、交换机、网关设备等,首先只允许网络基础协议数据和视频客户端向视频管理服务器的注册消息通行,其他数据报文一概拒绝转发。当视频客户端注册通过后,视频管理服务器向网络节点下发白名单信息,通知路径上的所有网络节点对该业务终端放行该视频客户端权限范围内可以交互的信令与数据,即在网络节点上增加白名单控制表项。同样,对于摄像机也需要先注册到视频管理服务器,摄像机到视频管理服务器之间的网络节点,也同样接收到视频管理服务器下发的白名单,生成白名单控制表项进行数据转发。
以下直接以业务终端、业务管理服务器和网络节点进行说明,不限于具体的应用系统,可以是视频监控系统,也可以是其他通信系统。
网络节点根据业务管理服务器下发的白名单,生成控制表项,控制数据的转发。在网络节点的转发芯片中,单播控制表项和组播控制表项分别处于不同的区域,因为表项结构不同,前者只有一个出接口,后者有多个出接口。
本申请通过将多个单播控制表项合并为一个组播控制表项,能够减少网络节点中转发芯片的控制表项数量。
例如摄像机A(IP地址:10.10.10.120)被多个视频客户端点播,假设点播的视频客户端有三个,其中视频客户端1的IP地址为20.20.20.128,视频客户端2的IP地址为20.20.20.129,视频客户端3的IP地址为20.20.20.130。
容易理解的是,视频客户端注册到视频管理服务器后,视频管理服务器向网络节点下发白名单信息,网络节点生成对应的三条单播控制表项,这三条单播控制表项的源IP地址是10.10.10.120,目的地址分别是20.20.20.128、20.20.20.129和20.20.20.130。
需要说明的是,各个单播控制表项的出接口可以相同,也可以不同,在单播控制表项的出接口不同时,一般来说必须有多条单播控制表项。本申请利用组播控制表项支持多个出接口的特征,将多个单播控制表项转换为组播控制表项,以减少控制表项的数量。
本申请希望观察单播控制表项,在同一个源IP地址的多个单播控制表项的目的IP地址符合聚合条件时,则将所述多个单播控制表项的目的IP地址聚合为对应的网段地址,将所述多个单播控制表项合并为一个组播控制表项。在生成组播控制表项后,删除原来的单播控制表项,从而减少网络节点转发芯片中的控制表项数量。
以上述视频客户端点播摄像机A为例,单播控制表项的源IP地址为10.10.10.120,目的地址分别为20.20.20.128、20.20.20.129和20.20.20.130。以下阐述如何判断目的地址是否符合聚合条件,并在满足聚合条件时,将目的IP地址聚合为对应的网段地址。
本实施例,考虑多个IP地址是否满足聚合条件,优选的通过如下方法来判断同一个源IP地址的多个单播控制表项的目的IP地址是否符合聚合条件:
比较所述多个单播控制表项的目的IP地址,获取从首个比特位开始连续相同的比特位数N,计算N对应的特征值,所述特征值等于所述多个单播控制表项的条数M除以2的X次方,X等于目的IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则判断符合聚合条件。
在本实施例中很容易发现三个目的IP地址前面30比特位相同,对于上述目的IP地址,其IP地址的比特位总数为32,其中N(首个比特位开始连续相同的比特位数)为30,总共有三条IP地址,则M等于3。
则:特征值=M/(2(32-30))=3/4
假设设定的阈值T为50%,则可以发现上述三个IP地址满足聚合条件,对他们进行聚合,聚合为对应的网段地址。对于上述三个IP地址,可以聚合成20.20.20.128/30这一网段。
20.20.20.128/30这一网段包括四个主机地址,分别为:20.20.20.128~20.20.20.131。因此可以将阈值T设为50%,即需要聚合的IP地址占该网段地址池的比例为50%。本申请在设置阈值T时,考虑聚合后网段地址的地址池的IP地址数量,一般以占该网段地址的地址池的比例为40%~80%为宜。聚合后的网段地址可以为包括需要聚合的IP地址中IP地址的最小网段,关于聚合后的网段地址,以下不再赘述。
在进行IP地址聚合后,就将所述多个单播控制表项合并为一个组播控制表项,并删除原来的多个单播控制表项。
例如,上述三个单播控制表项,可以合并成一个组播控制表项(S,G),(S,G)表项中的G为聚合后的IP网段地址,S为摄像机的IP地址。针对上面的例子,合并后的组播控制表项(S,G)为(10.10.10.120,20.20.20.128/30)。
需要说明的是,如果计算的特征值小于预设阈值T,则不对单播控制表项进行处理,仍然按照单播控制表项进行转发。
本实施例,网络节点只需向自身转发芯片下发关于20.20.20.128/30的网段控制表项,同时从转发芯片中删除上述三个分散的控制表项,从而减少了2个控制表项,减少了控制表项的条数。
在另一个实施例中,为了进一步增加安全性,可以同时增加黑名单,以填补聚合后网段造成的“窟窿”。例如,上述的聚合后网段控制表项可能导致20.20.20.128的非法终端的流量入侵,则可以在网络节点中增加一个关于20.20.20.128的黑名单控制表项,从而避免隐患。如此,总体上还是节约了1个控制表项。
即,本申请一种控制表项自转换的安全过滤方法,还包括:
在将所述多个单播控制表项合并为一个组播控制表项时,还将该网段地址中不属于所述单播控制表项的目的IP地址中的IP地址放入黑名单,生成黑名单单播控制表项。
对于聚合后的网段地址20.20.20.128/30,网络节点允许向这一网段组播发送数据,然而由于该网段包括4个IP地址,其中20.20.20.128,不是视频客户端的IP地址,需要将其加入黑名单,并生成对应的黑名单控制表项,拒绝转发20.20.20.128的数据。
在另一个实施例中,网络节点在发现有单播控制表项不再有效时,需要对聚合的网段地址重新进行分析。
即,本申请一种控制表项自转换的安全过滤方法,还包括:
在发现所述多个单播控制表项中一条或多条不再有效时,重新判断剩余单播控制表项的目的IP地址是否符合聚合条件;
如果仍然满足,则将剩余单播控制表项的目的IP地址聚合为对应的网段地址,否则删除对应的组播控制表项,根据单播控制表项进行转发。
仍然以上面的视频客户端点播摄像机为例,在生成组播控制表项(S,G)为(10.10.10.120,20.20.20.128/30)后,网络节点会记录原来的单播控制表项,但是会在转发芯片中删除实际控制数据转发的单播控制表项,仅以组播控制表项来进行数据转发。如果视频客户端1不再点播摄像机A的数据,则网络节点记录的对应单播控制表项不再有效,此时组播控制表项还在向20.20.20.128发送组播数据,需要进行调整。
本实施例在发现网络节点记录的单播控制表项不再有效时,重新判断剩余单播控制表项的目的IP地址是否符合聚合条件,如果仍然满足,则将剩余单播控制表项的目的IP地址聚合为对应的网段地址,否则删除对应的组播控制表项,根据单播控制表项进行转发。
例如,当视频客户端1退出后,M等于2,重新计算特征值:
特征值=M/(2(32-30))=2/4
可见此时,仍然等于阈值T(50%),可以继续采用聚合网段20.20.20.128/30对应的组播控制表项。而如果视频客户端2也退出,则M等于1,计算的特征值等于1/4,小于阈值T,此时就需要删除聚合网段地址20.20.20.128/30对应的组播控制表项,而需要恢复视频客户端3对应的单播控制表项,来控制数据的转发。
容易理解的是,在视频客户端1退出后,特征值仍然等于阈值T(50%),可以继续采用聚合网段20.20.20.128/30对应的组播控制表项,但可以将视频客户端1放入黑名单,生成对应的黑名单单播控制表项,拒绝对其进行数据转发,这里不再赘述。
在另一个实施例中,所述控制表项自转换的安全过滤方法,还包括:
如果发现同一个源IP地址的多个单播控制表项的目的IP地址不同,且不能进行聚合,但是出接口相同,则生成一个一对多的控制表项,所述一对多的控制表项的源IP地址为所述多个单播控制表项的源IP地址,所述一对多的控制表项的目的IP地址为包括所有所述多个单播控制表项的目的IP地址。
同样以摄像机A被多个视频客户端点播为例,例如被视频客户端4(20.20.20.131)、视频客户端5(30.30.30.100)、视频客户端6(40.40.40.110)点播。
网络节点学习单播控制表项时,发现源IP相同,但目的IP地址有多个,且都属于不同的网段,不能进行聚合。则在转发芯片中开辟新的表项空间,转换为1对多的控制表项,下发转发芯片。
该一对多的控制表项的形式为:一个源IP,多个目的IP地址,一个出接口。对应上述的例子,源IP地址为10.10.10.120(摄像机A),目的地址为20.20.20.131(视频客户端4)、30.30.30.100(视频客户端5)、40.40.40.110(视频客户端6)。同时从转发芯片中删除三个单播控制表项。
此时,网络节点允许该摄像机A发送数据流至此三个客户端。需要说明的是,这里只是允许该摄像机发送流到这三个客户端,但并不要求同时将一个流发往三个客户端,这与组播表项的处理方法是完全不同的。
当其中某个视频客户端放弃点播,业务管理服务器通知网络节点删除对应白名单,则网络节点只需要从转发芯片中删除该一对多控制表项的某个目的地址即可。只有所有的视频客户端都退出点播,则从转发芯片中彻底删除该一对多控制表项。当只剩下一个视频客户端点播视频,则该表项变为纯粹的一对一的单播控制表项,则在转发芯片的控制表项空间中生成一个单播控制表项。并删除对应的一对多控制表项,从而节约转发表项的空间。
本申请技术方案将单播控制表项转变为组播控制表项,单播控制表项的出接口只有一个,而组播控制表项的出接口可以有多个,通过这种转换,实现了将多个具有不同出接口的单播控制表项,合并为一个组播控制表项,减少了大量的单播控制表项。而对于多个出接口相同,但是目的地址不能聚合的单播控制表项,可以生成一个一对多的控制表项,同样也减少了单播控制表项的数量。
在一个实施例中,本申请还提供了一种控制表项自转换的安全过滤装置,应用于网络节点,包括:
判断模块,用于学习单播控制表项,判断同一个源IP地址的多个单播控制表项的目的IP地址是否符合聚合条件;
聚合模块,用于如果发现同一个源IP地址的多个单播控制表项的目的IP地址符合聚合条件,则将所述多个单播控制表项的目的IP地址聚合为对应的网段地址,将所述多个单播控制表项合并为一个组播控制表项,所述组播控制表项的源IP地址为所述多个单播控制表项的源IP地址,所述组播控制表项的目的IP地址为聚合后的网段地址。
关于控制表项自转换的安全过滤装置的具体限定可以参见上文中对于控制表项自转换的安全过滤方法的限定,在此不再赘述。上述控制表项自转换的安全过滤装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
本申请一种控制表项自转换的安全过滤装置的一个实施例,所述判断模块,还用于在发现所述多个单播控制表项中一条或多条不再有效时,重新判断剩余单播控制表项的目的IP地址是否符合聚合条件;
所述聚合模块,还用于在如果仍然满足时,则将剩余单播控制表项的目的IP地址聚合为对应的网段地址,否则删除对应的组播控制表项,根据单播控制表项进行转发。
本申请一种控制表项自转换的安全过滤装置的另一个实施例,所述判断模块在判断同一个源IP地址的多个单播控制表项的目的IP地址是否符合聚合条件时,执行如下操作:
比较所述多个单播控制表项的目的IP地址,获取从首个比特位开始连续相同的比特位数N,计算N对应的特征值,所述特征值等于所述多个单播控制表项的条数M除以2的X次方,X等于目的IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则判断符合聚合条件。
本申请一种控制表项自转换的安全过滤装置的另一个实施例,所述聚合模块,还用于:
在将所述多个单播控制表项合并为一个组播控制表项时,还将该网段地址中不属于所述单播控制表项的目的IP地址中的IP地址放入黑名单,生成黑名单单播控制表项。
本申请一种控制表项自转换的安全过滤装置的另一个实施例,所述聚合模块,还用于:
如果发现同一个源IP地址的多个单播控制表项的目的IP地址不同,且不能进行聚合,但是出接口相同,则生成一个一对多的控制表项,所述一对多的控制表项的源IP地址为所述多个单播控制表项的源IP地址,所述一对多的控制表项的目的IP地址为包括所有所述多个单播控制表项的目的IP地址。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (8)

1.一种控制表项自转换的安全过滤方法,应用于网络节点,其特征在于,所述控制表项自转换的安全过滤方法,包括:
学习单播控制表项,判断同一个源IP地址的多个单播控制表项的目的IP地址是否符合聚合条件;
如果发现同一个源IP地址的多个单播控制表项的目的IP地址符合聚合条件,则将所述多个单播控制表项的目的IP地址聚合为对应的网段地址;
将所述多个单播控制表项合并为一个组播控制表项,所述组播控制表项的源IP地址为所述多个单播控制表项的源IP地址,所述组播控制表项的目的IP地址为聚合后的网段地址;
其中,所述判断同一个源IP地址的多个单播控制表项的目的IP地址是否符合聚合条件,包括:
比较所述多个单播控制表项的目的IP地址,获取从首个比特位开始连续相同的比特位数N,计算N对应的特征值,所述特征值等于所述多个单播控制表项的条数M除以2的X次方,X等于目的IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则判断符合聚合条件。
2.根据权利要求1所述的控制表项自转换的安全过滤方法,其特征在于,所述控制表项自转换的安全过滤方法,还包括:
在发现所述多个单播控制表项中一条或多条不再有效时,重新判断剩余单播控制表项的目的IP地址是否符合聚合条件;
如果仍然满足,则将剩余单播控制表项的目的IP地址聚合为对应的网段地址,否则删除对应的组播控制表项,根据单播控制表项进行转发。
3.根据权利要求1所述的控制表项自转换的安全过滤方法,其特征在于,所述控制表项自转换的安全过滤方法,还包括:
在将所述多个单播控制表项合并为一个组播控制表项时,还将该网段地址中不属于所述单播控制表项的目的IP地址中的IP地址放入黑名单,生成黑名单单播控制表项。
4.根据权利要求1所述的控制表项自转换的安全过滤方法,其特征在于,所述控制表项自转换的安全过滤方法,还包括:
如果发现同一个源IP地址的多个单播控制表项的目的IP地址不同,且不能进行聚合,但是出接口相同,则生成一个一对多的控制表项,所述一对多的控制表项的源IP地址为所述多个单播控制表项的源IP地址,所述一对多的控制表项的目的IP地址为包括所有所述多个单播控制表项的目的IP地址。
5.一种控制表项自转换的安全过滤装置,应用于网络节点,其特征在于,所述控制表项自转换的安全过滤装置,包括:
判断模块,用于学习单播控制表项,判断同一个源IP地址的多个单播控制表项的目的IP地址是否符合聚合条件;
聚合模块,用于如果发现同一个源IP地址的多个单播控制表项的目的IP地址符合聚合条件,则将所述多个单播控制表项的目的IP地址聚合为对应的网段地址,将所述多个单播控制表项合并为一个组播控制表项,所述组播控制表项的源IP地址为所述多个单播控制表项的源IP地址,所述组播控制表项的目的IP地址为聚合后的网段地址;
其中,所述判断模块在判断同一个源IP地址的多个单播控制表项的目的IP地址是否符合聚合条件时,执行如下操作:
比较所述多个单播控制表项的目的IP地址,获取从首个比特位开始连续相同的比特位数N,计算N对应的特征值,所述特征值等于所述多个单播控制表项的条数M除以2的X次方,X等于目的IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则判断符合聚合条件。
6.根据权利要求5所述的控制表项自转换的安全过滤装置,其特征在于,所述判断模块,还用于在发现所述多个单播控制表项中一条或多条不再有效时,重新判断剩余单播控制表项的目的IP地址是否符合聚合条件;
所述聚合模块,还用于在如果仍然满足时,则将剩余单播控制表项的目的IP地址聚合为对应的网段地址,否则删除对应的组播控制表项,根据单播控制表项进行转发。
7.根据权利要求5所述的控制表项自转换的安全过滤装置,其特征在于,所述聚合模块,还用于:
在将所述多个单播控制表项合并为一个组播控制表项时,还将该网段地址中不属于所述单播控制表项的目的IP地址中的IP地址放入黑名单,生成黑名单单播控制表项。
8.根据权利要求5所述的控制表项自转换的安全过滤装置,其特征在于,所述聚合模块,还用于:
如果发现同一个源IP地址的多个单播控制表项的目的IP地址不同,且不能进行聚合,但是出接口相同,则生成一个一对多的控制表项,所述一对多的控制表项的源IP地址为所述多个单播控制表项的源IP地址,所述一对多的控制表项的目的IP地址为包括所有所述多个单播控制表项的目的IP地址。
CN202010412911.0A 2020-05-15 2020-05-15 一种控制表项自转换的安全过滤方法及装置 Active CN111629276B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010412911.0A CN111629276B (zh) 2020-05-15 2020-05-15 一种控制表项自转换的安全过滤方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010412911.0A CN111629276B (zh) 2020-05-15 2020-05-15 一种控制表项自转换的安全过滤方法及装置

Publications (2)

Publication Number Publication Date
CN111629276A CN111629276A (zh) 2020-09-04
CN111629276B true CN111629276B (zh) 2022-04-19

Family

ID=72271875

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010412911.0A Active CN111629276B (zh) 2020-05-15 2020-05-15 一种控制表项自转换的安全过滤方法及装置

Country Status (1)

Country Link
CN (1) CN111629276B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115167218B (zh) * 2022-07-20 2024-06-21 重庆长安汽车股份有限公司 一种车载局部网络管理方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1595879A (zh) * 2003-09-08 2005-03-16 华为技术有限公司 一种大容量组播路由表下提高组播数据转发效率的方法
CN101605103A (zh) * 2009-07-16 2009-12-16 杭州华三通信技术有限公司 一种组播数据静态转发的方法及装置
CN104426781A (zh) * 2013-09-05 2015-03-18 华为技术有限公司 实现组播路由汇聚的方法、组播方法及路由设备
CN106254244A (zh) * 2016-07-28 2016-12-21 上海斐讯数据通信技术有限公司 一种基于sdn网络的合并流表项方法
CN106656809A (zh) * 2015-11-03 2017-05-10 中国电信股份有限公司 流表聚合方法、控制器、网元和系统
JP2019075741A (ja) * 2017-10-18 2019-05-16 日本電信電話株式会社 トラヒック変換方法、配信システム、ユニキャスト・マルチキャスト変換装置、マルチキャスト・ユニキャスト変換装置、ユニキャスト・マルチキャスト変換プログラム、及びマルチキャスト・ユニキャスト変換プログラム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1595879A (zh) * 2003-09-08 2005-03-16 华为技术有限公司 一种大容量组播路由表下提高组播数据转发效率的方法
CN101605103A (zh) * 2009-07-16 2009-12-16 杭州华三通信技术有限公司 一种组播数据静态转发的方法及装置
CN104426781A (zh) * 2013-09-05 2015-03-18 华为技术有限公司 实现组播路由汇聚的方法、组播方法及路由设备
CN106656809A (zh) * 2015-11-03 2017-05-10 中国电信股份有限公司 流表聚合方法、控制器、网元和系统
CN106254244A (zh) * 2016-07-28 2016-12-21 上海斐讯数据通信技术有限公司 一种基于sdn网络的合并流表项方法
JP2019075741A (ja) * 2017-10-18 2019-05-16 日本電信電話株式会社 トラヒック変換方法、配信システム、ユニキャスト・マルチキャスト変換装置、マルチキャスト・ユニキャスト変換装置、ユニキャスト・マルチキャスト変換プログラム、及びマルチキャスト・ユニキャスト変換プログラム

Also Published As

Publication number Publication date
CN111629276A (zh) 2020-09-04

Similar Documents

Publication Publication Date Title
US8213347B2 (en) Scalable IP-services enabled multicast forwarding with efficient resource utilization
WO2021207922A1 (zh) 报文传输方法、装置及系统
US8081640B2 (en) Network system, network management server, and access filter reconfiguration method
CN109067578B (zh) 一种组播快速切换的方法和装置
CN106130962B (zh) 一种报文处理方法和装置
CN111245740B (zh) 配置业务的服务质量策略方法、装置和计算设备
CN110830371A (zh) 报文重定向方法、装置、电子设备及可读存储介质
KR102025680B1 (ko) Sdn 기반의 arp 구현 방법 및 장치
CN104883363A (zh) 异常访问行为分析方法及装置
EP2218214B1 (en) Network location service
CN112866435A (zh) Mac地址老化处理方法及设备
CN110278152B (zh) 一种建立快速转发表的方法及装置
KR101786620B1 (ko) 소프트웨어 정의 네트워크에서 서브넷을 지원하는 방법, 장치 및 컴퓨터 프로그램
CN111629276B (zh) 一种控制表项自转换的安全过滤方法及装置
US11700189B2 (en) Method for performing task processing on common service entity, common service entity, apparatus and medium for task processing
CN110138730B (zh) 一种协议转换设备的订阅方法、装置及存储介质
CN104283801A (zh) 一种业务数据处理的方法和系统
CN110086771B (zh) 一种协议转换设备的管理方法和装置
CN105471817B (zh) 业务流的卸载方法、装置和系统
CN111629275B (zh) 一种组播表项自聚合的安全过滤方法
CN111695149B (zh) 一种基于云协同的安全过滤方法
CN113055427B (zh) 一种基于业务的服务器集群接入方法及装置
CN111695150B (zh) 一种动态粒度自聚合的安全过滤方法及装置
CN113472916A (zh) Mac地址老化处理方法及设备
CN111695148B (zh) 一种网络节点自学习的安全过滤方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant