公开/公告号CN101848191A
专利类型发明专利
公开/公告日2010-09-29
原文格式PDF
申请/专利权人 北京鼎信高科信息技术有限公司;
申请/专利号CN200910080661.9
发明设计人 宋浩;
申请日2009-03-23
分类号H04L29/06(20060101);H04L29/12(20060101);H04L12/56(20060101);
代理机构11246 北京众合诚成知识产权代理有限公司;
代理人童晓琳
地址 100085 北京市海淀区上地信息路11号彩虹大厦北楼306室
入库时间 2023-12-18 00:48:18
法律状态公告日
法律状态信息
法律状态
2023-03-10
未缴年费专利权终止 IPC(主分类):H04L29/06 专利号:ZL2009100806619 申请日:20090323 授权公告日:20121226
专利权的终止
2017-10-17
专利权的转移 IPC(主分类):H04L29/06 登记生效日:20170925 变更前: 变更后: 申请日:20090323
专利申请权、专利权的转移
2017-09-08
专利权保全的解除 IPC(主分类):H04L29/06 授权公告日:20121226 解除日:20170711 申请日:20090323
专利权的保全及其解除
2016-08-17
专利权的保全 IPC(主分类):H04L29/06 授权公告日:20121226 登记生效日:20160711 申请日:20090323
专利权的保全及其解除
2013-07-03
专利权的转移 IPC(主分类):H04L29/06 变更前: 变更后: 登记生效日:20130607 申请日:20090323
专利申请权、专利权的转移
2012-12-26
授权
授权
2010-11-17
实质审查的生效 IPC(主分类):H04L29/06 申请日:20090323
实质审查的生效
2010-09-29
公开
公开
查看全部
技术领域
本发明属于网络信息安全技术领域,尤其涉及一种基于IP数据集合的多模式IPMAC绑定策略。
背景技术
当前,很多网络安全系统提供专门的客户端工具,来处理数据包与设定的工作模式之间的匹配问题。用户可以通过设置特定的数据包规则集,来满足不同级别的安全性要求。通常系统提供不同规则选项,用于指定数据包与规则匹配所应具有的特征。
在IP数据包处理中,如果去匹配多个IP地址就会写入多条IP数据包处理的规则(这些IP都是无规律性的),如果需要匹配几百甚至上千个IP地址,那么性能就会受到严重的影响。
发明内容
本发明的目的在于,提供一种基于IP数据集合的多模式IPMAC绑定策略,解决当前网络安全系统在IP数据包处理过程中,性能过低的问题。
本发明的技术方案是,一种基于IP数据集合的多模式IPMAC绑定处理方法,其特征在于,所述方法包括下列步骤:
步骤1:选定数据包处理模式;
步骤2:调用IPMAC数据集合工具,建立与要绑定的IPMAC网段地址相符的IP数据集合;并在系统内核空间中,创建与每个IP数据集合代表的网络地址范围大小相适应的存储区域,用于存放IP数据集合中的IPMAC绑定信息;区域中每8个字节存放一个IP数据集合中的一个IP对应的IPMAC绑定标识,并称为结点,该结点的前2个字节存放绑定标志位,代表一个IPMAC是否绑定;后6个字节存放绑定的MAC地址;
步骤3:向IP数据集合加入IPMAC数据,并向存放IP数据集合中的IPMAC绑定信息的存储区域中,加入IP对应的IPMAC绑定标识信息;
步骤4:按照选定的处理模式,进行数据包处理。
所述绑定标志位,当值为1时,代表IPMAC已绑定;值为0时,代表IPMAC未绑定。
所述IP数据集合包括IP数据集合名称、绑定的IPMAC数据代表的网段地址以及绑定的IP地址和MAC地址。
所述数据包处理模式包括白名单模式、黑名单模式和普通模式;其中,白名单模式为IP数据集合中绑定的IPMAC能通过,其它都不能通过;黑名单模式为IP数据集合中绑定的IPMAC不能通过,其它的都能通过;普通模式为双向绑定模式,即IP和MAC都匹配时才能通过。
所述步骤4包括下列步骤:
步骤41:获取数据包的IP地址、MAC地址和网络端口;
步骤42:遍历系统内核中存放IP数据集合中的IPMAC绑定信息的存储区域,查找与数据包MAC地址相同的结点;
步骤43:判断是否找到相同的结点,如果找到相同的结点,执行步骤44;否则,返回步骤41,进行下一个数据包的处理;
步骤44:通过绑定标志位判断IPMAC是否已绑定,如果已经绑定,则按照选定的处理模式,进行数据包处理。
本发明的效果在于,基于IP数据集合的多模式IPMAC绑定策略,在网络安全系统的IP数据包处理过程中,无须写入多条IP数据包处理的规则,不需要匹配众多的IP地址,从而使处理性能得到大幅度的提高;另外,本发明可以按任意网段进行IPMAC绑定,对网段内的IPMAC数据进行管理,支持任意多网段,这种方式能够适应当前防火墙对IP地址方便灵活管理的要求。
附图说明
图1是实现本发明各模块之间的关系图。
图2是实现基于IP数据集合的多模式IPMAC绑定处理方法流程图。
图3是IP数据集合结构示意图。
图4是存放IP数据集合中的IPMAC绑定信息的存储区域结构示意图。
图5是按照选定处理模式进行数据包处理流程图。
具体实施方式
下面结合附图,对优选实施例作详细说明。应该强调的是,下述说明仅仅是示例性的,而不是为了限制本发明的范围及其应用。
图1是实现本发明各模块之间关系图。图1中,用户空间的数据集合生成模块负责生成IP数据集合,并且与内核空间中的数据查找匹配模块进行通信。用户空间的数据集合解析模块,负责解析IP数据集合命令。内核空间中的数据查找匹配模块负责调用IP数据集合进行数据查找,且依赖于数据处理模块。内核空间中的数据处理模块为内核主模块,负责实际的数据处理。
进一步,以绑定IP地址:192.168.1.25,MAC地址:E3:24:A5:07:23:11为例,对本发明具体实现过程进行说明。
图2是实现基于IP数据集合的多模式IPMAC绑定处理方法流程图。图2中,本发明通过下列步骤来实现:
步骤1:选定数据包处理模式。通常数据包处理模式包括三种:白名单模式、黑名单模式和普通模式。其中,白名单模式为IP数据集合中绑定的IPMAC能通过,其它都不能通过;黑名单模式为IP数据集合中绑定的IPMAC不能通过,其它的都能通过;普通模式为双向绑定模式,即IP和MAC都匹配时才能通过。
步骤2:调用IPMAC数据集合工具,建立与要绑定的IPMAC网段地址相符的IP数据集合。IPMAC数据集合工具是用户态的程序,可以通过命令行来实现,如下:
IPMACBOND-N数据集合名称macipmap-network网段
其中,IPMACBOND是IP数据集合建立命令。如果绑定的IP地址为192.168.1.25,MAC地址为E3:24:A5:07:23:11,则在本是示例中,通过命令行IPMACBOND-N IPSET macipmap-network 192.168.1.0/255.255.255.0来建立IP数据集合。图3是IP数据集合结构示意图,图3中,IP数据集合包括IP数据集合名称(即图3中的IPSET)、绑定的IPMAC数据代表的网段地址(本实施例中,网段地址为192.168.1.0-192.168.1.25)以及绑定的IP地址和MAC地址。
在建立IP数据集合的同时,会在系统内核空间中,创建与每个IP数据集合代表的网络地址范围大小相适应的存储区域,用于存放IP数据集合中的IPMAC绑定信息。
图4是存放IP数据集合中的IPMAC绑定信息的存储区域结构示意图。图4中,区域中每8个字节存放一个IP数据集合中的一个IP对应的IPMAC绑定标识,并称为结点,该结点的前2个字节存放绑定标志位,代表一个IPMAC是否绑定;后6个字节存放绑定的MAC地址。
设定绑定标志位,当值为1时,代表IPMAC已绑定;值为0时,代表IPMAC未绑定。
步骤3:向IP数据集合加入IPMAC数据,并向存放IP数据集合中的IPMAC绑定信息的存储区域中,加入IP对应的IPMAC绑定标识信息。
向IP数据集合加入IPMAC数据,通过命令:
IPMACBOND-A数据集合名称IP:MAC来完成。本例中,IPMACBOND-AIPSET 192.168.1.25:E3:24:A5:07:23:11即可将192.168.1.25和与之对应的MAC地址E3:24:A5:07:23:11加入IP数据集合。与此同时,向存放IP数据集合中的IPMAC绑定信息的存储区域中,加入IP对应的IPMAC绑定标识信息。
步骤4:按照选定的处理模式,进行数据包处理。图5是按照选定处理模式进行数据包处理流程图。图5中,数据包处理流程包括:
步骤41:获取数据包的IP地址、MAC地址和网络端口。
步骤42:遍历系统内核中的相应的存放IP数据集合中的IPMAC绑定信息的存储区域,查找与数据包MAC地址相同的结点。
步骤43:判断是否找到相同的结点,如果找到相同的结点,执行步骤44。否则,返回步骤41,进行下一个数据包的处理。
步骤44:通过绑定标志位判断IPMAC是否已绑定,如果已经绑定,则根据数据包相应的处理模式,进行数据包处理。
在本实施例中,如果在存放IP数据集合中的IPMAC绑定信息的存储区域找到结点,即有结点存储的MAC地址为E3:24:A5:07:23:11,则判断该结点的绑定标志位是否为1,如果为1,则根据数据包相应的处理模式,进行数据包处理。
IPMAC_WHITE_ADD,IPMAC_BLCAK_ADD,IPMAC_NORMAL_ADD分别为IP数据包处理工具按照不同的处理模式的处理命令。
当步骤1中选定的数据包处理模式为白名单模式时,使用命令:
IPMAC_WHITE_ADD-m set--set IPSET src-j ACCEPT,
其中,IPSET是IP数据集合名称。该命令使得该IP数据集合中的绑定的IPMAC数据经过时全部通过。即数据包中的MAC地址与IP数据集合中的MAC地址相同,且在存放IP数据集合中的IPMAC绑定信息的存储区域的相应结点的绑定标志位为1的相应的数据包可以通过。
当步骤1中选择的数据包处理模式为黑名单模式时,使用命令:
IPMAC_BLCAK_ADD-m set--set IPSET src-j DROP,
其中,IPSET是IP数据集合名称。该命令使得该IP数据集合中的IPMAC数据经过时全部被拒绝。
当步骤1中选择的数据包处理模式为普通模式(该模式为双向绑定模式,实际上不需要IP数据集合处理)时:使用命令:
IPMAC_NORMAL_ADD -s 192.168.1.25-m mac --mac-source !E3:24:A5:07:23:11-j DROP
IPMAC_NORMAL_ADD -s !192.168.1.25-m mac --mac-sourceE3:24:A5:07:23:11-jDROP
此时,IP地址是192.168.1.25,MAC地址不是E3:24:A5:07:23:11的数据包被拒绝;IP地址不是192.168.1.25,MAC地址是E3:24:A5:07:23:11的数据包也被拒绝;只有IP地址是192.168.1.25,MAC地址是E3:24:A5:07:23:11的数据才能通过。
本发明通过构建IP数据集合,在数据结构和匹配查找上做了很大的改善,从而使系统处理性能得到大幅度的提高;另外,本发明可以按任意网段进行IPMAC绑定,对网段内的IPMAC数据进行管理,支持任意多网段,这种方式能够适应当前防火墙对IP地址方便灵活管理的要求。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
机译: 用于在无线通信系统中提供基于IP的服务的系统和方法,特别是用于通过在无线通信系统中对应于基于IP的服务来使用转发策略
机译: 服务提供商功能以及绑定到SIP的策略实施功能层
机译: 在基于ipv6的无线网络中移动结点的发生时使用绑定更新消息来控制分组传输的方法和系统,特别是通过使用绑定更新消息来快速恢复分组传输率
