[发明专利]IPsec协议下标准方式ACL规则的一种管理机制

权利要求书

1.IPsec协议下标准方式ACL规则的一种管理机制，其特征在于对一个标准方式ACL规则，按照以下步骤处理：

步骤一、确定标准方式ACL规则中地址范围的段落码和段内码：设一个地址范围为W至V，将W和V中首个值不等的比特之前的部分定义为地址范围的段落码，剩余部分定义为地址范围的段内码；一个标准方式ACL规则包括源地址范围和目的地址范围，按照上述定义分别确定源地址范围段落码和段内码以及目的地址范围段落码和段内码；

步骤二、确定标准方式ACL规则的规则索引：将标准方式ACL规则的规则索引分为源地址范围规则索引和目的地址范围规则索引，定义为RuleIndex= Type+RuleNumber，其中RuleIndex为规则索引；Type用于区分该规则索引的类型，Type=00表示源地址范围类型，Type=01表示目的地址范围类型；RuleNumber为该规则索引的规则号。

2.IPsec协议下标准方式ACL规则的一种管理机制，涉及的数据结构具有以下特征：数据结构由二叉树、段内码链表和规则索引数组组成，段内码链表挂接在二叉树节点上，规则索引数组挂接在段内码节点上；在二叉树中，每个节点的数据字段既有指向下级节点的子树指针、指向上级节点的父指针，也有指向段内码链表的指针；在段内码链表中，节点记录了某个地址范围的段内码信息，并且下挂有满足这个段内码节点的规则索引数组；规则索引数组记录了标准方式ACL规则的规则索引。

3.根据权利要求1所述的对标准方式ACL规则的处理步骤，以及权利要求2所述的数据结构，规则的添加包括以下步骤：

S1、按照权利要求1获取标准方式ACL规则中源地址范围的段落码、段内码、规则索引；

S2、确定源地址范围段内码节点在二叉树中的位置：从二叉树的顶点开始，根据所经历节点中指示的比特测试位进行测试，由段落码在该比特测试位的取值是1还是0确定是继续向右还是继续向左遍历，直到段落码的最后一个比特，这条自上而下的遍历路径由段落码决定，遍历路径上最后一个二叉树节点即为该段落码确定的段内码节点在二叉树中的位置；遍历过程中，若根据段落码某个比特指示的子树节点不存在，则需要添加该节点；

S3、写入源地址范围规则索引，其特征在于包括以下步骤：

S31、判断S2所确定的二叉树节点下挂的段内码链表是否为空，若为空，则创建段内码为源地址范围段内码的节点并挂接到二叉树节点上，再将源地址范围规则索引写入该节点下挂的规则索引数组；

S32、若段内码链表不为空，则遍历该链表中的节点，通过比较段内码判断链表中是否已经添加了段内码为该源地址范围段内码的节点，若没有添加，则创建段内码为源地址范围段内码的节点，添加到链表，并将源地址范围规则索引写入其规则索引数组；

S33、若段内码链表中已经添加了段内码为该源地址范围段内码的节点，则需要比较规则索引值判断新添加的源地址范围规则索引是否已经存在于该节点下挂的规则索引数组中，若存在，属于相同规则重复添加，不处理；若不存在，表示有地址范围相同但规则索引不同的新规则加入，将该源地址范围规则索引写入规则索引数组；

S4、以上过程将一个标准方式ACL规则的源地址范围规则索引写入数据结构，该规则的目的地址范围规则索引的写入过程与源地址范围规则索引相同，两个规则索引都写入后该标准方式ACL规则的添加完成。