CN115695014B 访问控制列表构建和数据报文处理方法、装置、系统 （北京百度网讯科技有限公司）.docxVIP

(19)国家知识产权局

(12)发明专利

(10)授权公告号CN115695014B(45)授权公告日2025.07.01

(21)申请号202211364189.3

(22)申请日2022.11.02

(65)同一申请的已公布的文献号申请公布号CN115695014A

(43)申请公布日2023.02.03

(56)对比文件

US2016191530A1,2016.06.30CN106027459A,2016.10.12

审查员丁思齐

(73)专利权人北京百度网讯科技有限公司

地址100085北京市海淀区上地十街10号

百度大厦2层

(72)发明人李鸿明曹帮伟李兆耕

(74)专利代理机构上海弼兴律师事务所31283专利代理师罗朗

(51)Int.CI.

H04L9/40(2022.01)

权利要求书6页说明书15页附图3页

(54)发明名称

访问控制列表构建和数据报文处理方法、装置、系统

(57)摘要

CN115695014B本公开提供了访问控制列表构建和数据报文处理方法、装置、系统、电子设备、存储介质、计算机程序产品、网络设备，涉及互联网技术领域，尤其涉及访问控制列表技术领域。访问控制列表构建包括：根据匹配项掩码对访问控制列表ACL集合包含的ACL规则进行分组，得到至少两个规则组；生成对应于各个规则组的访问控制列表；对应于各个规则组的访问控制列表用于并行匹配数据报文的ACL规则。本公开通过匹配项掩码对ACL规则进行分组，生成对应于各个规则组的访问控制列表，能够实现并行匹配数据报文的ACL规则，提高ACL规则匹配的准确度和匹配效

CN115695014B

根据匹配项掩码对

根据匹配项掩码对ACL集合包含的ACL规则进行分组，得到至少两个规则组

生成对应于各个规则组的访问控制列表

102

CN115695014B权利要求书1/6页

2

1.一种访问控制列表构建方法，包括：

根据匹配项掩码对访问控制列表ACL集合包含的ACL规则进行分组，得到至少两个规则组，每个规则组对应一个匹配项掩码且每个规则组中ACL规则包含的匹配项与对应的匹配项掩码相匹配；

生成对应于各个规则组的访问控制列表；所述对应于各个规则组的访问控制列表用于并行匹配数据报文的ACL规则；

所述根据匹配项掩码对ACL集合包含的ACL规则进行分组之前还包括：

根据各个ACL规则的通配符掩码和/或控制器的第一数量确定所述匹配项掩码；其中，每个控制器用于从一个访问控制列表中匹配所述数据报文的ACL规则；

所述匹配项掩码与所述通配符掩码的差值小于差值阈值。

2.根据权利要求1所述的访问控制列表构建方法，所述规则组的第二数量小于等于所述第一数量。

3.根据权利要求1所述的访问控制列表构建方法，所述根据匹配项掩码对ACL集合包含的ACL规则进行分组包括：

确定控制器的第一数量；每个控制器用于从一个访问控制列表中匹配所述数据报文的ACL规则；

确定根据所述匹配项掩码对所述ACL规则进行分组，得到的规则组的第二数量；

判断所述第二数量是否大于所述第一数量；

若所述第二数量大于所述第一数量，则更新所述匹配项掩码，并根据更新后的匹配项掩码对所述ACL规则进行重新分组，以使重新分组得到的规则组的第二数量小于等于所述第一数量。

4.根据权利要求1所述的访问控制列表构建方法，所述根据匹配项掩码对所述ACL规则进行分组包括：

判断所述ACL规则是否包含通配符掩码；

若所述ACL规则包含通配符掩码，则根据所述匹配项掩码对所述ACL规则的匹配项进行拆分，并将拆分后的匹配项对应的ACL规则划分入相匹配的匹配项掩码对应的规则组；

若所述ACL规则不包含通配符掩码，则将所述ACL规则划分入相匹配的匹配项掩码对应的规则组。

5.根据权利要求1所述的访问控制列表构建方法，其中，所述生成对应于各个规则组的访问控制列表包括：

对各个规则组中的ACL规则的匹配项或者精确匹配项分别进行哈希运算，生成对应于各个规则组的访问控制列表；其中，所述精确匹配项为所述匹配项中排除了匹配项掩码对应的位数之外的部分。

6.根据权利要求1所述的访问控制列表构建方法，还包括：

响应于规则新增指令，获取待新增ACL规则，并根据所述待新增ACL规则的通配符掩码确定所述待新增ACL规则待分入的规则组；

根据所述待分入的规则组的匹配项掩码，对所述待新增ACL规则进行拆分