基于优先级的插入删除访问控制列表的方法

摘要

本发明提供一种基于优先级的插入删除访问控制列表的方法，其包括以下步骤：创建至少一个匹配模板并匹配模板的优先级；建立各匹配模板约束集合以确定匹配模板的优先级；建立匹配模板中条目的条目约束以确定各条目的优先级；设定需插入/删除条目的约束条件并根据所设定的约束条件、匹配模板优先级及各条目优先级确定所需插入/删除的条目的匹配模板的模板优先级和条目优先级；根据所需插入/删除的匹配模板的模板优先级和所需插入条目的条目优先级计算所需插入/删除的条目的硬件表项地址；根据所计算的硬件表项地址插入/删除相应条目。本方法中可以根据用户设定的约束条件自动添加和删除条目，并且不对已经存在的其它条目执行顺序造成影响。

说明书

技术领域

本发明涉及访问控制列表技术，尤其涉及一种基于优先级的插入 删除访问控制列表的方法。

背景技术

目前，访问控制列表（Access Control List，ACL）是由匹配字段 集合和动作集合组成的一系列有优先级顺序的规则。网络设备中一般 存在着多个ACL条目，根据网络应用场景的需要，这些ACL条目往 往需要按照一定的执行顺序执行。在网络设备中，ACL条目的执行 顺序是由ACL条目的优先级来保证的，高优先级的先于低优先级条 目执行。ACL条目优先级的设定就是建立一个执行顺序到ACL优先 级的映射关系，即ACL条目的优先级是根据用户要求的ACL执行顺 序的需求制定的，通常根据配置ACL条目的先后顺序基于先配先效 或者后配后生效的原则设定ACL条目的优先级，当添加新的ACL条 目时，用户必须使新添加的ACL条目在整个ACL条目中的优先级满 足如下两个条件：1)新添加ACL条目优先级能够满足该ACL的用户 对ACL执行顺序的要求；2)新添加ACL条目的优先级不会影响当前 已经存在的ACL的用户对ACL执行顺序的要求。如果能够找出满足 条件1、2的优先级的空条目，则该ACL添加成功，否则添加失败。

然而，根据用户需求向ACL列表中添加新的ACL规则，按照现 有的人工配置的方式，必须在配置之前，进行大量的人工计算，以确 定新增加的ACL条目同时满足条件1、2，随着网络设备中ACL条 目的增加，其计算难度也成倍增加。因此，采用现有技术配置ACL 规则，如向ACL中添加新的规则，对已经建立的ACL规则进行顺序 再调整的工作量非常大，从而使用户添加新的ACL规则很不方便。

发明内容

有鉴于此，本发明提供一种能自动插入/删除满足相应约束条件 的ACL条目的基于优先级的插入删除访问控制列表的方法。

一种基于优先级的插入删除访问控制列表的方法，其用于根据用 户需求自动插入和删除ACL条目，所述基于优先级的插入删除访问 控制列表（Access Control List，ACL）的方法包括以下步骤：

创建至少一个ACL匹配模板并确定所述至少一个ACL匹配模板 的优先级；

建立各ACL匹配模板约束集合以确定所述至少一个ACL匹配模 板的优先级；

建立所述至少一个ACL匹配模板的ACL条目的条目约束以确定 各ACL条目的优先级；

设定需插入/删除的ACL条目的约束条件并根据所设定的约束条 件、所述至少一个ACL匹配模板的优先级及各ACL条目的优先级确 定所需插入/删除的ACL条目的匹配模板的模板优先级和条目优先 级；

根据所需插入/删除的ACL条目匹配模板的模板优先级和所需插 入的ACL条目的条目优先级计算所需插入/删除的ACL条目的硬件 表项地址；

根据所计算的硬件表项地址插入/删除相应ACL条目。

与现有技术相比，本发明提供的基于优先级的插入删除访问控制 列表的方法中，可以自动在当前ACL资源中判断是否存在满足约束 条件的未使用资源，并在存在时将要添加ACL条目添加到适当位置， 并进行适当ACL资源优先级的调整来满足用户对ACL执行顺序的要 求，从而通过本方法可以根据用户设定的约束条件自动添加和删除 ACL条目，并且不对已经存在的其它ACL条目执行顺序造成影响。

附图说明

图1是本发明提供的基于优先级的插入删除访问控制列表的方 法流程图。

图2-11是图1中不同约束条件下插入ACL条目的方法流程图。

图12是图1中删除ACL条目的方法流程图。

如下具体实施方式将结合上述附图进一步说明本发明。

具体实施方式

请参阅图1,其为本发明实施方式提供的一种基于优先级的插入 删除访问控制列表（Access Control List，ACL）的方法，其用于根据 用户需求自动插入和删除ACL条目，所述基于优先级的插入删除访 问控制列表的方法包括以下步骤：

S100：创建至少一个ACL匹配模板；

S200：建立各ACL匹配模板约束集合以确定至少一个ACL匹配 模板的优先级；

S300：建立至少一个ACL匹配模板的ACL条目的条目约束以确 定各ACL条目的优先级；

S400：设定需插入/删除的ACL条目的约束条件并根据所设定的 约束条件、至少一个ACL匹配模板的优先级及各ACL条目的优先级 确定所需插入/删除的ACL条目的匹配模板的模板优先级和条目优先 级；

S500：根据所需插入/删除的ACL条目匹配模板的模板优先级和 所需插入的ACL条目的条目优先级计算所需插入/删除的ACL条目 的硬件表项地址；

S600：根据所计算的硬件表项地址插入/删除相应ACL条目。

请参阅图3，在步骤S100、S200及S300中，对ACL资源进行 初始化包括以下步骤：

S110：根据用户需求和硬件特性来分配ACL匹配模板；

S210：设定每个匹配模板的默认优先级并为每个匹配模板建立模 板约束集合且在初始化时模板约束集合为空；

S310：确定整个网络设备的ACL条目优先级范围；

S320：根据每个匹配模板的模板优先级确定每个匹配模板中ACL 条目优先级起始范围；

S330：为每个ACL条目创建一个条目约束集合并初始化该条目 约束集合为空且条目状态设置为未使用。

在步骤S110，匹配模板可能为1到n个，本实施方式中，如图2 所示，根据用户需求将网络设备的ACL资源初始化为4个匹配模板， 分别为匹配模板A、匹配模板B、匹配模板C及匹配模板D。每个匹 配模板中的未使用初始化ACL条目数分别为CountA、CountB、 CountC、及CountD。

在步骤S210中，ACL匹配模板的默认优先级范围为0到匹配模 板数-1，本实施方式中，匹配模板A、B、C及D的模板优先级范围 为0到3，模板A的条目优先级范围为0到CountA-1，模板B的条 目优先级范围为0到CountB-1，模板C的条目优先级范围为0到 CountC-1，模板D的条目优先级范围为0到CountD-1。根据条目所 在匹配模板的模板优先级和条目的条目优先级可以唯一确定条目的 硬件地址。若模板数为n，则每两个模板之间创建一个模板约束，总 共创建个模板约束，本实施方式中，模板A初始优先级为0，模 板B初始优先级为1，模板C初始优先级为2，模板D初始优先级为 3，则模板约束集合为{(A,B)，(A,C)，(A,D)，(B,C)，(B,D)，(C,D)} 共6个模板约束。其中，该模板约束集合中的每个模板约束都带有引 用计数，表示该模板约束被多少个该匹配模板内的条目所引用。

在步骤S310中，整个网络设备的ACL条目优先级范围的最小值 是0，最大值是所有匹配模板中ACL条目数之和减去1。

在步骤S320中，优先级为0的匹配模板的ACL条目优先级范围 为0到该匹配模板ACL条目数减去1，若该匹配模板包含ACL条目 数为n，则ACL条目优先级范围为0到n-1，从而依次可以得到所有 匹配模板中ACL条目的优先级起始范围。

在步骤S400中，设定的约束条件包括第一种约束条件、第二种 约束条件、第三种约束条件及第四种约束条件，本实施方式中，设定 已存在的一个第一ACL条目为条目a、一个第二ACL条目为条目b 以及需插入的ACL条目为条目c，其中，条目a的优先级小于条目b 的优先级。

本实施方式中，各约束条件设定如下：

第一种约束条件：条目c的优先级无限制；

第二种约束条件：条目c的优先级大于条目a的优先级；

第三种约束条件：条目c的优先级小于条目b的优先级；

第四种约束条件：条目c的优先级大于条目a的优先级且小于条 目b的优先级。

请参阅图4，在根据所设定的约束条件进行ACL条目插入步骤 中，若设定的条目c为第一种约束条件时相应的ACL条目插入步骤 包括以下步骤：

S411：判断条目c指定添加的匹配模板中是否存在条目优先级最 低的未使用条目，若是，则进入步骤S412，若否，则添加失败。

S412：选择条目c指定添加的匹配模板中条目优先级最低的未使 用条目进行条目c的添加。

可以理解的是，根据该条目c指定的匹配模板的模板优先级和条 目c优先级计算条目c硬件表项地址，将要添加ACL条目c添加到 对应硬件地址。

例如在本实施方式中，在匹配模板A中添加条目a’，且设定的 约束条件为第一种，则添加条目过程描述：根据添加ACL条目步骤， 选择匹配模板A中的条目优先级最低的条目作为条目a’的添加位置, 添加后条目a的条目优先级为0，匹配模板A的模板优先级为0。

请参阅图5，在根据所设定的约束条件进行ACL条目插入步骤 中，若设定的需插入的ACL条目为第二种约束条件时相应的ACL条 目插入步骤包括以下步骤：

S421：判断条目c与条目a是否属于同一匹配模板，若是，则进 入步骤S422，若否，则进入步骤S422a；

S422：在条目a所属的匹配模板中查找是否存在条目优先级大于 条目a的未使用条目集合，若是，则进入步骤S423，若否，则进入 步骤S423a；

S422a：判断条目c将添加的模板与条目a所属的模板之间是否 存在模板约束，若是，则进入步骤S4222a，若否，则进入步骤S4222b；

S4222a：判断所存在的模板约束与条目c及条目a之间的条目约 束是否冲突，若是，则添加失败，若否，则进入步骤S4222c；

S4222b：在条目c及条目a的模板约束集合中创建该模板约束， 并将该新的模板约束加入模板约束集合，根据新的模板约束集合重新 计算并设置满足条件的所有匹配模板的优先级。其中，设置该新的模 板约束的引用计数为1。

S4222c：在条目c指定添加的匹配模板中选择条目优先级最低的 未使用条目作为插入条目；

S423：在条目a所属的匹配模板的条目优先级大于条目a的未使 用条目集合中选择条目优先级最小的条目作为插入条目；

S423a：在条目a所属的匹配模板中查找是否存在条目优先级小 于条目a的未使用条目集合，若是，则进入步骤S424，若否，则添 加失败；

S424：将条目c的条目优先级设置为条目a的条目优先级，在条 目a所属的匹配模板中条目优先级小于条目a的条目优先级的未使用 条目集合中，选择条目优先级最低的条目的优先级作为条目a的新条 目优先级并按照新的优先级添加条目a与条目c。

可以理解的是，根据条目a及条目c所属匹配模板的模板优先级 和各自条目的条目优先级计算条目a与条目c的硬件表项地址后将条 目a及条目c添加到相应硬件地址。

例如在本实施方式中，在匹配模板B中添加条目b’且设定的约 束条件为优先级条目a<b，则添加过程描述：根据添加ACL条目步 骤，首先判断b’和a条目是否是同一匹配模板，条目a属于模板A， b’属于模板B，不属于同一匹配模板，要满足约束条件，即使模板A 的优先级低于模板B的优先级，创建模板约束A<B，此时匹配模板 A的模板优先级为0，匹配模板B的模板优先级为1，能够满足约束 条件的要求，不需要调整匹配模板的优先级。因此，只需要在匹配模 板B中查找是否存在未使用条目集合，并选择条目优先级最低的一个 条目作为条目b的添加位置即可。添加后条目a的条目优先级为0， 匹配模板A的模板优先级为0，条目b’的条目优先级为0，匹配模板 B的优先级为1。其中模板A与模板B模板之间存在模板约束A<B， 模板约束(A,B)引用计数加1，关系为A<B。

请参阅图6，在根据所设定的约束条件进行ACL条目插入步骤 中，若设定的需插入的ACL条目为第三种约束条件时相应的ACL条 目插入步骤包括以下步骤：

S431：判断条目c与条目a是否属于同一匹配模板，若是，则进 入步骤S432，若否，则进入步骤S432a；

S432：判断在条目b所属匹配模板中是否存在条目优先级小于条 目b的未使用条目集合，若是，则进入步骤S433，若否，则进入步 骤S433a；

S432a：判断条目c将添加的模板与条目b所属的模板之间是否 存在模板约束，若是，则进入步骤S4322a，若否，则进入步骤S4322b；

S4322a：判断所存在的模板约束与条目c及条目b之间的条目约 束是否冲突，若是，则添加失败，若否，则进入步骤S4322c；

S4322b：在条目c及条目b的模板约束集合中创建该模板约束， 并将该新的模板约束加入模板约束集合，根据新的模板约束集合重新 计算并设置满足条件的所有匹配模板的优先级。其中，设置该新的模 板约束的引用计数为1。其中，设置该新的模板约束的引用计数为1。

S4322c：将条目c指定添加的匹配模板中条目优先级最低的未使 用条目作为插入条目；

S433：在条目b所述匹配模板的条目优先级小于条目b优先级的 未使用条目集合中选择条目优先级最小的条目作为插入条目；

S433a：判断在条目b所属的匹配模板中是否存在条目优先级大 于条目b的未使用条目集合时，若是，则进入步骤S434，若否，则 添加失败；

S434：将条目c的条目优先级设置为条目b的条目优先级，在条 目b所属的匹配模板中条目优先级大于条目b的条目优先级的未使用 条目集合中选择条目优先级最低的条目的优先级作为条目b的新条 目优先级并按照新的优先级添加条目b与条目c。

可以理解的是，根据条目b及条目c所属匹配模板的模板优先级 和各自条目的条目优先级计算条目b与条目c的硬件表项地址后将条 目a及条目c添加到相应硬件地址。

例如：在本实施方式中，在匹配模板C中添加条目c’且设定约 束条件为ACL执行优先级为c<b，则添加过程描述：根据添加ACL 条目步骤，首先判断c和b条目是否是同一匹配模板，c属于模板C， b属于模板B，不属于同一匹配模板，要满足约束条件，即使模板C 的优先级要低于模板B的优先级,创建模板约束，C<B。同时A、B 模板间还存在模板约束A<B。首先查询是否存在未使用的小于模板B 的优先级，不存在。

因此，必须使A、B、C之间重新调整优先级，在大于模板B的 未使用模板优先级中选择优先级最低的，作为模板B的新模板优先 级，模板B原有优先级作为模板C优先级。调整后，模板A优先级 为0，模板B优先级为2，模板C优先级为1。然后在模板C的未使 用条目中选择条目优先级最低的条目作为条目c’的添加位置。添加 后，条目a的条目优先级为0，模板A的优先级为0，条目b的条目 优先级为0，模板B优先级为2，条目c’的条目优先级为0，模板C 优先级为1。模板A、B、C间存在约束条件如下：B>A,C<B。此时 模板约束(A,B)引用计数不变，模板约束(B,C)引用计数加1，关系为 B>C。

请结合图7-11，在根据所设定的约束条件进行ACL条目插入步 骤中，若设定的需插入的ACL条目为第四种约束条件时相应的ACL 条目插入步骤包括以下步骤：

S441：判断条目c与条目a是否属于同一匹配模板，若是，则进 入步骤S442，若否，则进入步骤S442a；

S442：判断条目c与条目b是否属于同一匹配模板，若是，则进 入步骤S443，若否，则进入步骤S443a；

S442a：判断条目c与条目b是否属于同一匹配模板，若是，则 进入步骤S4422a，若否，则进入步骤S4422b；

S4422a：判断在条目c指定的匹配模板与条目a所属的匹配模板 之间是否存在模板约束，若是，则进入步骤S4422c；若否，则进入 步骤S4422d；

S4422b：判断条目a与条目b是否属于同一模板，若是，则进入 步骤S4422m，若否，则进入步骤S4422n；

S4422c：判断所存在的模板约束和条目c与条目a之间的条目约 束是否冲突，若是，则添加失败，若否，则进入步骤S4422e；

S4422d：在条目a与条目c的模板约束集合中创建新的模板约束， 并将该新的模板约束加入模板约束集合，根据新的模板约束集合重新 计算并设置满足条件的所有匹配模板的优先级。

S4422e：查找在条目b所属匹配模板中是否存在条目优先级小于 条目b的未使用条目集合，若是，则进入步骤S4422f，若否，则进入 步骤S4422g；

S4422f：选择集合中条目优先级最小的条目作为添加条目并设置 条目c的条目优先级为该条目的条目优先级；

S4422g：查找在条目b所属匹配模板中是否存在条目优先级大于 条目b的未使用条目集合，若是，则进入步骤S4422h，若否，则添 加失败；

S4422h：将条目c的条目优先级设置为所述第二ACL条目的条 目优先级，在条目b所属匹配模板中条目优先级大于条目b的未使用 条目集合中选择条目优先级最小的条目的优先级作为条目b的新条 目优先级；

S4422m：条目c添加失败；

S4422n：判断在条目c指定添加的模板与条目a所属的模板之间 是否存在模板约束，若是，则进入步骤S44222a，若否，则进入步骤 S44222b；

S44222a：判断所存在的模板约束与条目c与条目a及之间的条 目约束是否冲突，若是，添加失败，若否，进入步骤S44222c；

S44222b：在条目c与条目a的模板约束集合中创建新的模板约 束，并将该新的模板约束加入模板约束集合，根据新的模板约束集合 重新计算并设置满足条件的所有匹配模板的优先级；可以理解的是， 根据条目a和条目c所述模板的模板优先级和各自条目的条目优先级 计算条目a与条目c的硬件表项地址后将条目a及条目c添加到相应 硬件地址。

S44222c：判断条目b所属的模板与条目c所属的模板之间是否 存在模板约束，若是，则进入步骤S44222d，若否，则进入步骤 S44222e；

S44222d：判断所存在的模板约束与条目c与条目b及之间的条 目约束是否冲突，若是，则添加失败，若否，则进入步骤S44222f；

S44222e：在条目c与条目b的模板约束集合中创建新的模板约 束，并将该新的模板约束加入模板约束集合，根据新的模板约束集合 重新计算并设置满足条件的所有匹配模板的优先级；可以理解的是， 根据条目b和条目c所述模板的模板优先级和各自条目的条目优先级 计算条目b与条目c的硬件表项地址后将条目b及条目c添加到相应 硬件地址。

S44222f：判断条目a所属的模板与条目b所属的模板之间是否 存在模板约束，若是，则进入步骤S44222g，若否，则进入步骤 S44222h；

S44222g：判断所存在的模板约束与条目a与条目b及之间的条 目约束是否冲突时，若是，则添加失败，若否，则进入步骤S44222i；

S44222h：在条目a与条目b的模板约束集合中创建新的模板约 束，并将该新的模板约束加入模板约束集合，根据新的模板约束集合 重新计算并设置满足条件的所有匹配模板的优先级；

S44222i：查找所需插入ACL条目所属的匹配模板中是否存在未 使用的条目，若是，则进入步骤S44222j，若否，则添加失败；

S44222j：在条目c所属的模板中条目优先级最低的未使用条目 优先级作为条目c的条目优先级；

S443：判断在条目a、条目b及条目c所属的匹配模板中是否存 在条目优先级满足第四种约束条件的未使用条目集合，若是，则进入 步骤S444，若否，则进入步骤S444a；

S443a：判断在条目c指定的匹配模板与条目b所属的匹配模板 之间是否存在模板约束，若是，则进入步骤S4433a，若否，则进入 步骤S4433b；

S4433a：判断所存在的模板约束和条目c与条目b之间的条目约 束是否冲突，若是，则添加失败，若否，则进入步骤S4433c；

S4433b：在模板约束集合中创建条目c与条目b模板约束，并将 该新的模板约束加入模板约束集合，根据新的模板约束集合重新计算 并设置满足条件的所有匹配模板的优先级；可以理解的是，根据条目 b和条目c所述模板的模板优先级和各自条目的条目优先级计算条目 b与条目c的硬件表项地址后将条目b及条目c添加到相应硬件地址。

S4433c：查找在条目a所属匹配模板中是否存在条目优先级大于 条目a的未使用条目集合，若是，则进入步骤S4433d，若否，则进 入步骤S4433e；

S4433d：选择集合中条目优先级最小的条目作为添加条目并设置 条目c的条目优先级为该条目的条目优先级；可以理解的是，根据条 目c或条目a的匹配模板优先级和条目优先级计算该条目硬件表项地 址，将ACL条目c或条目a添加到该硬件地址。

S4433e：查找在条目a所属匹配模板中是否存在条目优先级小于 条目a的未使用条目集合，若是，则进入步骤S4433f，若否，则添加 失败；

S4433f：将条目c的条目优先级设置为条目a的条目优先级，在 条目a所属匹配模板中条目优先级小于条目a的未使用条目集合中选 择条目优先级最小的条目的优先级作为条目a的新条目优先级；

S444：选择集合中条目优先级最低的条目作为插入条目；可以理 解的是，根据条目c所属匹配模板的模板优先级和c条目优先级计算 c条目的硬件表项地址，将ACL条目c添加到相应硬件地址。

S444a：判断条目a、条目b及条目c所属的匹配模板中是否存在 条目优先级小于条目a的未使用条目集合，若是，则进入步骤S4444a， 若否，则进入步骤S4444b；

S4444a：将条目c的条目优先级设置为条目a的条目优先级，在 条目a所属匹配模板的条目优先级小于条目a的未使用条目集合中， 选择条目优先级最小的条目的优先级作为条目a的新条目优先级。可 以理解的是，根据条目a,条目c所属匹配模板的模板优先级和各自条 目的条目优先级计算条目a,c的硬件表项地址，将ACL条目a,c添加 到相应硬件地址。

S4444b：判断在条目a、条目b及条目c所属匹配模板中是否存 在条目优先级大于条目b的未使用条目集合，若是，则进入步骤 S4444c，若否，则添加失败；

S4444c：将条目c的条目优先级设置为条目b的条目优先级，在 条目b所属匹配模板的条目优先级大于条目b的未使用条目集合中， 选择条目优先级最小的条目的优先级作为条目b的新条目优先级。

可以理解的是，根据条目b,条目c所属匹配模板的模板优先级和 各自条目的条目优先级计算条目b和条目c的硬件表项地址，将ACL 条目b和条目c添加到相应硬件地址。

请参阅图12，在步骤S400中设定要删除ACL条目为条目d，则 删除条目d的步骤中包括以下步骤：

S451：在已经存在的ACL条目中查找是否存在到条目d，若是， 则进入步骤S452，若否，则条目c删除成功；

S452：判断条目d的条目约束是否为空，若是，则进入步骤S500， 若否，则进入步骤S453；

S453：判断条目d中的所有条目约束是否属于同一匹配模板，若 是，则执行步骤S454，若否，则进入步骤S454a；

S454：在条目约束中的每一条ACL条目的条目约束集合中删除 相关条目约束；

S454a：在条目约束的ACL条目所在匹配模板中的模板约束集合 中删除相关模板约束；

在步骤S454中，与条目约束中的ACL条目不属于同一匹配模板 模板约束引用计数-1。从条目d所在匹配模板的模板约束集合里找到 d所在模板和非d条目所在模板的模板约束，并对其引用计数-1。如 果引用计数变为0，在条目d所在模板的模板约束集合中删除该约束。 从非条目d所在匹配模板的模板约束集合里找到非c条目所在模板和 d所在模板的模板约束，并对其引用计数-1。如果引用计数变为0， 在非d条目所在模板的模板约束集合中删除该约束。

在步骤S454a中，在删除条目d相关条目约束时，从条目c的条 目约束集合中删除d和非d条目的条目约束，从非条目c的条目约束 集合中删除d和非d条目的条目约束。

例如，在本实施方式中，在匹配模板A中添加条目d且约束条 件为ACL执行优先级d>b，则添加过程描述：根据添加ACL条目步 骤，首先判断b和d条目是否是同一匹配模板，d属于模板A，b属 于模板B，不属于同一匹配模板，要满足约束条件，即使模板A的优 先级高于模板B的优先级，需要修改模板约束(A,B)的关系为A>B， 但由于模板(A,B)间已经存在模板约束，且关系为A<B，则与模板约 束的需求冲突。因此添加条目d失败。即当模板约束已被使用(引用 计数不为0)时，模板约束的关系不能修改。

例如，在匹配模板A中添加条目e且约束条件为ACL执行优先 级e<b，则添加过程描述：根据添加ACL条目步骤，首先判断e和d 条目是否是同一匹配模板，e属于模板A，b属于模板B，不属于同 一匹配模板，要满足约束条件，即使模板A的优先级低模板B的优 先级，模板(A,B)间已经存在模板约束，且关系为A<B，因此对模板 约束(A,B)的引用计数加1，条目e在匹配模板A中顺序添加即可满 足约束条件，此时模板约束(A,B)的引用计数为2。

本发明提供的基于优先级的插入删除访问控制列表的方法中，可 以自动在当前ACL资源中判断是否存在满足约束条件的未使用资 源，并在存在时将要添加ACL条目添加到适当位置，并进行适当ACL 资源优先级的调整来满足用户对ACL执行顺序的要求，从而通过本 方法可以根据用户设定的约束条件自动添加和删除ACL条目，并且 不对已经存在的其它ACL条目执行顺序造成影响。

可以理解的是，对于本领域的普通技术人员来说，可以根据本发 明的技术构思做出其他各种相应的改变与变形，而所有这些改变与变 形都应属于本发明权利要求的保护范围。