[发明专利]一种接入控制方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及网络安全相关领域，具体的讲是一种接入控制方法及装置。

背景技术

访问策略表项，是指对指定的某一类报文，使用指定的行为来处理的表项。策略表项由三部分组成：规则(rule)，掩码(mask)，行为(action)。如图1所示为现有技术中策略表项规则和掩码的示意图。

规则指事先定义好的一个比较对象或比较范围，每个需要比较的对象与这个定义的比较对象进行比较，看自己是否等于或包含于这个比较对象中。规则由有限个数的具体特征组成，如介质接入控制地址(MAC：Media Access Control)，传输控制协议地址(IP：Transport Control Protocol)等。将各个特征称为字段，每个字段由连续的几个字节组成。规则中的字段可以分为两类：固定字段，自定义字段。固定字段指这个字段只能用于表示某个特征，如针对与IPv4协议的规则中第1-6字节只能用于表示SMAC字段等(SMAC是源MAC地址的缩写，DMAC是目的MAC的缩写，SIP是源IP地址的缩写，DIP是目的IP地址的缩写)。自定义字段指此字段所表示的内容可以由用户自己定义，用户可以使用自定义字段去表示头部中的任何字段。如规则中的自定义字段可以用来表示协议类型，也可以用来表示TCP的源端口号。自定义字段可以由用户自己定义所表示的内容，则自定义字段也可以用来表示与固定字段同样的内容。如，固定字段包含有SMAC字段，但用户同样可以用自定义字段来表示SMAC。

自定义字段要表示什么内容，由模板来决定。模板，用于决定在自定义字段所要表示的字段内容。对于每一类报文，有自己独立的模板，可以用来表示不同的内容。

在规则中，并不是所有的字段都要去进行匹配比较。例如在某些使用中只需要去比较MAC地址，而不想去比较IP地址，这时候就需要使用上掩码来表示比较过程中关心的字段。掩码(mask)指在配置的规则中，需要关心的是哪些字段内容，同时不关心哪些字段内容。用“1”来表示关心，“0”表示不关心。对于字段中的每一个最小单元，即每一位，都要明确的定义是关心还是不关心。如只想要比较MAC地址字段，而不想去比较IP地址字段，则将MAC地址字段对应的掩码设置为全1，表示要关心，同时将IP地址字段的掩码设置为0，表示不关心。在字段内，也可以只关心字段中的部分内容。

行为指满足了配置的规则及掩码时，要让满足的对象所要做的动作。策略中的行为是对匹配的报文的处理动作，包括如让报文通过或丢弃，修改报文的某些内容等动作。

每一个要进行比较的报文，从报文中提取出与规则相对应字段的内容，由这些内容组成的一个序列称为关键字。然后就用这个关键字与规则进行比较了。当有多条规则存在时，关键字按顺序与规则进行比较。从第一个规则开始。如果关键字与此规则没有匹配中，则与下一条规则进行比较；如果匹配中了，则使用规则对应的行为对报文进行处理，且不要往下比较了。在比较过程中，如掩码中此位值为1，则关键字及规则中的此位要完全一致才说明匹配中了。如果掩码中此位值为0，则关键字的此位无论为何值都说明匹配中了。只有所有的位都匹配中了，才说明关键字与规则是匹配中的。当关键字与规则匹配中时，则对匹配中的报文使用对应的行为进行处理。

互联网协议第四版(IPv4：Internet Protocol version 4)及地址解析协议(ARP：Address Resolution Protocol)是现有网络中最常见的两种报文，同时攻击报文中大部分都是IPv4及ARP报文。为此，使用策略表项来设置不同报文的行为是阻止攻击报文是一种有效的手段。管理员将可信任报文的行为设置为通过，其它非法报文的行为设置为丢弃。攻击报文属于非法报文，将被丢弃。对于IPv4报文，一般通过SMAC，SIP来识别报文是否为可信任的IPv4报文。对于ARP报文，一般通过SMAC，SENDER IP来识别报文是否为可信任的ARP报文。

针对于IPv4报文来说，如我们想要让SIP为192.168.2.10，SMAC为0000.0000.0002的报文通过，让其它的IP报文都丢弃。

先处理规则部分。在SMAC字段填上0000.0000.0002，在SIP字段填上192.168.2.10。不需要DMAC，DIP，自定义字段，则在DMAC，DIP，自定义字段处填上0。

再处理掩码部分。因为要关心SMAC，SIP，则在这两个字段上设置为全1；不需要DMAC，DIP，自定义字段，则在DMAC，DIP，自定义字段上设置为全0。行为部分是通过。