一種基于流粒度的訪問控制方法
【技術(shù)領域】
[0001]本發(fā)明涉及訪問控制的技術(shù)領域�,具體涉及一種基于流粒度的訪問控制方法�。
【背景技術(shù)】
[0002]目前,各種應用層出不窮���,每種應用通常都包含多種業(yè)務流類型�����。對于企業(yè)通訊來說�����,一般都會包含兩種業(yè)務類型��,一種是敏感業(yè)務�,另一種是非敏感業(yè)務����。而某些敏感類業(yè)務可能只能在某個部門內(nèi)使用,或者限制在某層樓使用�����,這就需要在邊界網(wǎng)關(guān)處能夠?qū)眠M行以流為粒度的訪問控制���,實現(xiàn)靈活高效的業(yè)務通信�����。
[0003]申請?zhí)枮?00910106116.2的中國發(fā)明專利公開了一種交換機實現(xiàn)全線速調(diào)度業(yè)務流的方法��,調(diào)度帶有業(yè)務標識的業(yè)務流生成一個虛隊列��,然后對沒有業(yè)務標識的業(yè)務流和虛隊列進行調(diào)度���,其提供了一種業(yè)務區(qū)分服務方案,可以實現(xiàn)不同業(yè)務的帶寬區(qū)分對待����,但是并未提供以流為粒度的訪問控制方案。
【發(fā)明內(nèi)容】
[0004]為了解決上述技術(shù)問題��,本發(fā)明提供了一種基于流粒度的訪問控制方法��,能夠支持以流為粒度的訪問控制。
[0005]為了達到上述目的���,本發(fā)明的技術(shù)方案是:一種基于流粒度的訪問控制方法��,其步驟如下:
步驟1:業(yè)務流管理模塊對數(shù)據(jù)包進行類型分析��,對數(shù)據(jù)包進行粗粒度和細粒度判斷�,分別獲取數(shù)據(jù)包的業(yè)務類型和數(shù)據(jù)流類型�;
步驟2:隊列管理模塊將不同類型的數(shù)據(jù)包放入不同的類型隊列中;
步驟3:利用訪問控制管理模塊建立以流為粒度的訪問控制策略�����;
步驟4:隊列管理模塊根據(jù)訪問控制策略對不同的數(shù)據(jù)包進行隊列調(diào)度��,若訪問控制策略為通過���,對每個隊列進行依次調(diào)度;若訪問控制策略未通過����,將該隊列清空���。
[0006]所述業(yè)務流管理模塊用于對數(shù)據(jù)包進行捕獲處理��,并按照類型將數(shù)據(jù)包放入相應的發(fā)送隊列中���;業(yè)務流管理模塊包括業(yè)務流管理單元,用于對數(shù)據(jù)包進行捕獲并分析業(yè)務類型�。
[0007]所述隊列管理模塊用于根據(jù)訪問控制策略對不同類型的數(shù)據(jù)包進行隊列調(diào)度;隊列管理模塊包括隊列管理單元�,用于將不同類型的數(shù)據(jù)包放入不同的隊列,并協(xié)同訪問控制管理模塊進行隊列調(diào)度���。
[0008]所述訪問控制管理模塊用于根據(jù)用戶需求建立訪問控制策略;訪問控制管理模塊包括訪問控制單元�����,訪問控制單元用于根據(jù)用戶需求對訪問控制策略進行更新維護��。
[0009]所述業(yè)務流管理模塊以LKM形式加載在操作系統(tǒng)中��,業(yè)務流管理模塊為內(nèi)核態(tài)�,可伴隨系統(tǒng)自啟動;在業(yè)務流管理模塊中設有基于Netfilter框架下掛載點添加的鉤子函數(shù)�。
[0010]所述訪問控制策略存儲在訪問控制策略表,訪問控制策略表在內(nèi)核態(tài)下以二維數(shù)組的形式存在��,行代表業(yè)務類型,列代表數(shù)據(jù)流類型��。[0011 ]所述業(yè)務流管理模塊獲取數(shù)據(jù)包的業(yè)務類型和數(shù)據(jù)流類型的方法是:利用業(yè)務流識別方法對數(shù)據(jù)包進行業(yè)務類型識別����,判斷數(shù)據(jù)包所屬的業(yè)務類型,判斷數(shù)據(jù)包所屬數(shù)據(jù)流類型���,每個業(yè)務類型建立一個數(shù)據(jù)包鏈表����,業(yè)務類型判斷完成的數(shù)據(jù)包掛載在的鏈表后面��。
[0012]所述業(yè)務流識別方法包括L7識別法��、DPI或DFI�。
[0013]所述鏈表結(jié)構(gòu)采用單向鏈表實現(xiàn)。
[0014]本發(fā)明通過在邊界網(wǎng)關(guān)處對不同的業(yè)務進行類型識別區(qū)分��,根據(jù)類型識別建立訪問控制策略表���,然后根據(jù)預先設定的訪問控制策略�,查找訪問控制策略表對不同類型的業(yè)務流進行區(qū)分控制��。本發(fā)明可以對一個業(yè)務進行不同的流劃分,比如視頻流��、音頻流�����、文件流��、其他等���,且針對用戶的需求將業(yè)務以流為粒度進行訪問控制,可以更安全�����、更靈活的進行數(shù)據(jù)通信�����。
【附圖說明】
[0015]圖1為本發(fā)明的流程圖�����。
[0016]圖2為本發(fā)明數(shù)據(jù)傳輸?shù)氖疽鈭D����。
【具體實施方式】
[0017]為了使本發(fā)明所要解決的技術(shù)問題���、技術(shù)方案及有益效果更加清楚明白,以下結(jié)合實施例���,對本發(fā)明進行詳細的說明�。應當說明的是����,此處所描述的具體實施例僅用以解釋本發(fā)明,并不用于限定本發(fā)明��。
[0018]一種基于流粒度的訪問控制方法����,如圖1所示,其步驟如下:
步驟1:業(yè)務流管理模塊對數(shù)據(jù)包進行類型分析����,對數(shù)據(jù)包進行粗粒度和細粒度判斷,分別獲取數(shù)據(jù)包的業(yè)務類型和數(shù)據(jù)流類型���。
[0019]業(yè)務流管理模塊用于對數(shù)據(jù)包進行捕獲處理���,并按照類型將數(shù)據(jù)包放入相應的發(fā)送隊列中�。業(yè)務流管理模塊包括業(yè)務流管理單元�,用于對數(shù)據(jù)包進行捕獲并分析業(yè)務類型。業(yè)務流管理模塊以LKM(LoadabIe Kernel Module)形式加載在操作系統(tǒng)中的���,其為內(nèi)核態(tài)����,可伴隨系統(tǒng)自啟動�����。具體工作時�,在業(yè)務流管理模塊基于Netfilter框架下的掛載點添加相應的鉤子函數(shù)�,就可以自動的對數(shù)據(jù)包進行捕獲分析。數(shù)據(jù)包的五元組信息可以唯一標識一條業(yè)務流���。業(yè)務流管理模塊對于本機發(fā)送的所有數(shù)據(jù)包進行分析操作���,可以查看其五元組信息,即源IP地址��,目的IP地址,源端口號���,目的端口號���,協(xié)議類型,通過Hash運算����,定位數(shù)據(jù)包的ID入口,從而識別出數(shù)據(jù)包的類型�����。
[0020]業(yè)務流管理單元掛載在操作系統(tǒng)內(nèi)核態(tài)下���,可以實時的對通過本機的數(shù)據(jù)包進行捕獲分析���。當業(yè)務流管理單元捕獲到數(shù)據(jù)包后,可以采用已經(jīng)比較成熟的業(yè)務流識別方法��,比如L7(Layer_7)識別法���、DPI (Deep Packet Inspect1n)���、DFI (Deep/Dynamic FlowInspect1n)等��。業(yè)務流管理單元識別包括兩步��,第一步屬于粗粒度識別��,即先識別出屬于哪種應用���,比如數(shù)據(jù)包是QQ、迅雷等�����;第二部屬于細粒度識別��,即識別該數(shù)據(jù)包的具體業(yè)務流類型���,比如視頻、音頻��、文件��、其他等����。
[0021]步驟2::隊列管理模塊將不同類型的數(shù)據(jù)包放入不同的類型隊列中��。
[0022]隊列管理模塊用于根據(jù)訪問控制策略對不同類型的數(shù)據(jù)包進行隊列調(diào)度�����。隊列管理模塊包括隊列管理單元���,用于將不同類型的數(shù)據(jù)包放入不同的隊列,并協(xié)同訪問控制管理模塊進行隊列調(diào)度��。根據(jù)業(yè)務流管理單元識別出的數(shù)據(jù)包的業(yè)務類型和數(shù)據(jù)流類型����,隊列管理單元將不同業(yè)務類型的數(shù)據(jù)包存放在不同的數(shù)據(jù)列表中,不同數(shù)據(jù)流類型的數(shù)據(jù)包放入業(yè)務流表的類型入口處��,將數(shù)據(jù)包掛載在對應的類型隊列中去���??梢灶A先設定不同的業(yè)務類型�,比如視頻、音頻�����、文件和其他,然后為每種類型設置數(shù)據(jù)包隊列�。可以采用數(shù)據(jù)鏈表的實現(xiàn)形式����,將數(shù)據(jù)包放入對應類型的數(shù)據(jù)包中。
[0023]如圖2所示�����,首先判斷數(shù)據(jù)包是否屬于已經(jīng)存在的數(shù)據(jù)列表DataTable中�����,如果存在���,則根據(jù)數(shù)據(jù)包的業(yè)務類型定位到數(shù)據(jù)流表Flow Table的類型入口處�����,如果不存在,則將該數(shù)據(jù)包所屬業(yè)務類型添加至數(shù)據(jù)列表Data Table中����,根據(jù)數(shù)據(jù)包的業(yè)務類型定位到數(shù)據(jù)流表Flow Table的類型入口處�����,最后將數(shù)據(jù)包掛載在對應的類型鏈表隊列Queue List中去���。具體地,首先�,判斷數(shù)據(jù)包所屬的業(yè)務類型,確定業(yè)務類型后�����,判斷該數(shù)據(jù)包所屬數(shù)據(jù)流類型�,需要說明的是,每個業(yè)務類型后面對應一個數(shù)據(jù)包鏈表��,鏈表結(jié)構(gòu)可以采用數(shù)據(jù)結(jié)構(gòu)中的常用鏈表類型�,比如單向鏈表,每個業(yè)務類型判斷完成的數(shù)據(jù)包就會直接掛載對應的鏈表后面����。
[0024]步驟3:利用訪問控制管理模塊建立以流為粒度的訪問控制策略。
[0025]訪問控制管理模塊用于根據(jù)用戶需求建立訪問控制策略?��??