[发明专利]一种信息更新、报文安全性检测方法及装置

说明书

本发明实施例提供了一种信息更新、报文安全性检测方法及装置，涉及网络技术领域，应用于网络设备，上述网络设备包括第一接口，第一接口配置有第一SAVA安全表项，上述方法包括：确定是否存在记录有第一接口的标识和第一接口对应的流分类标识的第一ACL表项。若不存在第一ACL表项，则为第一接口分配第一流分类标识，并生成第一ACL表项，路由表中查找与第一源地址匹配的第一路由表项，将第一路由表项记录的流分类标识更新为第一流分类标识。若存在第一ACL表项，则在路由表中查找与第一源地址匹配的第二路由表项，将第二路由表项记录的流分类标识更新为第一ACL表项中记录的流分类标识。应用本发明实施例提供的方案可以降低存储ACL表项占用的存储空间。

技术领域

本发明涉及网络技术领域，特别是涉及一种信息更新、报文安全性检测方法及装置。

背景技术

网络设备可能会接收到来自攻击设备的不安全报文，从而给网络设备带来安全隐患。为了保证网络设备安全，网络设备可以支持SAVA(Source Address ValidationArchitecture，域内地址合法性检测)协议。这种情况下，网络设备可以获得SAVA安全表项，并针对每一SAVA安全表项生成一个ACL(Access Control Lists，访问控制列表)表项。这样网络设备接收到报文后，先基于上述ACL表项对报文进行安全性检测，通过安全性检测后，再对报文进行转发等后续处理。

其中，SAVA安全表项中记录有安全设备的地址、用于接收安全设备所发送报文的第一接口的标识。SAVA安全表项对应的ACL表项用于指示：放行从第一接口接收的安全设备发送的报文。安全设备是指不具有攻击性的设备。

但是由于安全设备往往较多，网络设备获得的SAVA安全表项也较多，进而导致所生成的ACL表项较多，存储ACL表项占用的存储空间较多。

发明内容

本发明实施例的目的在于提供一种信息更新、报文安全性检测方法及装置，以降低存储ACL表项占用的存储空间。具体技术方案如下：

第一方面，本发明实施例提供了一种信息更新方法，应用于网络设备，所述网络设备包括第一接口，所述第一接口配置有第一SAVA安全表项，所述第一SAVA安全表项中记录有：能够被所述第一接口放行的报文的第一源地址以及所述第一接口的标识，所述方法包括：

确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项；

若不存在所述第一ACL表项，则为所述第一接口分配第一流分类标识，并生成所述第一ACL表项，根据所述第一源地址，在所述网络设备存储的路由表中，查找与所述第一源地址匹配的第一路由表项，将所述第一路由表项记录的流分类标识更新为所述第一流分类标识；

若存在所述第一ACL表项，则在所述路由表中，查找与所述第一源地址匹配的第二路由表项，将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。

本发明的一个实施例中，所述网络设备还包括：第二接口；

所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项之前，还包括：

判断是否存在记录有所述第一源地址，且配置于所述第二接口的第二SAVA安全表项；

若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项，则为所述第一接口和第二接口分配同一个第二流分类标识，并生成所述第二ACL表项，根据所述第一源地址，在所述网络设备存储的路由表中，查找与所述第一源地址匹配的第三路由表项，将所述第三路由表项记录的流分类标识更新为所述第二流分类标识；

其中，所述匹配条件为：ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识；