[发明专利]IPsec协议下标准方式ACL规则的一种管理机制

说明书

技术领域

本发明涉及IPsec协议下标准方式ACL规则的一种处理机制，一种基于二叉树和双向链表的数据结构，支持任意地址范围、重叠地址范围、多级地址范围ACL规则的增加、删除与查找操作。

背景技术

随着现代信息技术的高速发展，网络已经普及到社会的各个方面，但是网络在提供开放和共享资源的同时，也不可避免的存在着安全隐患。如何确保信息系统安全，有效地保障机密信息在网络中安全传输，已经成为人们日益关注的焦点。本发明涉及的IPsec（IP Security）协议依据密码技术提供的认证和加密机制，是一个应用广泛的三层安全协议。

IPsec协议中的安全联盟（Security Associations, SA）是为安全目的创建的一个单向逻辑链接，即针对一条特定的数据流，SA既记录该数据流的特点（如地址信息、端口信息、上层协议等），也记录对该数据流进行安全处理的策略、算法和数据，所有经过相同SA的数据流会得到相同的安全保护。

访问控制列表（Access Control List, ACL）是Cisco公司为网际操作系统提供的一种访问控制技术。ACL使用包过滤技术，在路由器上读取第三层和第四层包头中源地址、目的地址、源端口、目的端口、协议号等信息，根据预先定义的规则对包进行过滤，从而达到访问控制的目的。IPsec协议中的ACL规则仅通过地址信息对IP包进行过滤，具体而言，IPsec协议中的ACL规则定义了允许/阻止对系统进行访问的源/目的地址信息。在实际应用中，一个ACL下可以定义多条不同的ACL规则，用于管理不同数据流，此外，一个ACL有标准、聚合、主机三种定义方式，在实际配置中，对于主机方式的ACL，安全系统针对每个具体的源地址/目的地址生成SA；对于聚合方式的ACL，安全系统只生成一个SA，该SA保护组内所有数据流；对于标准方式的ACL，安全系统生成对应每个ACL的规则，即每条数据流生成一个SA。

在处理IP报文时，IPsec协议根据该报文的地址信息查找属于哪个ACL规则，从而确定与该数据流对应的SA，以便对IP报文进行安全处理，封装发送。因此，如何通过IP报文中的地址信息找到与之匹配的ACL规则是IPsec协议实现的关键之一，其核心是标准方式ACL规则的查找，因为标准方式ACL是一个规则对应一个SA，即一条数据流对应一个SA，而数据流的源地址和目的地址位于一个范围内，例如：rule 1 permit ip source  192.128.64.23-192.128.64.79 destination 192.128.65.23-192.128.65.79。

针对标准方式ACL规则管理的常用方法是采用Radix树，其优点是性能较好，Radix树的扩大对性能影响较小，内存占用较少，添加/删除节点方便，但是Radix树只支持子网掩码方式的地址范围查找，不能用于标准方式ACL规则中任意地址范围的查找。针对任意地址范围查找，通常采用HIPACK方法，其基本原理是根据各条规则的地址范围将整个地址范围分段，既满足源地址范围，又满足目的地址范围的规则即为所求规则。该方法的优点是性能稳定，一般采用折半查找方式定位范围；能满足任意地址范围查找，支持多级查找，但HIPACK方法内存占用高；多级查找时，优先级难以确定；添加/删除操作复杂、效率低，甚至可能需要重构整个范围表。

发明内容

鉴于常用标准方式ACL规则管理方法存在的不足，本发明的目的是设计一种数据结构，该数据结构支持具有任意地址范围、重叠地址范围、多级地址范围（IPsec协议标准方式ACL规则是两级）的ACL规则的添加、查找与删除操作，能有效解决IPsec协议中标准方式ACL规则的管理问题。

为了实现上述目的，本发明针对一个标准方式ACL规则，采用以下步骤进行处理：

步骤一、确定标准方式ACL规则中地址范围的段落码和段内码：设一个地址范围为W至V，将W和V中首个值不等的比特之前的部分定义为地址范围的段落码，剩余部分定义为地址范围的段内码；一个标准方式ACL规则包括源地址范围和目的地址范围，按照上述定义分别确定源地址范围段落码和段内码以及目的地址范围段落码和段内码；对于特定地址范围，其段落码是一固定值（也可能为零），段内码是一个范围，例如地址范围192.128.64.23-192.128.64.79，其段落码和段内码如图1所示。