(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111360590.5 (22)申请日 2021.11.17 (71)申请人 北京威努特技 术有限公司 地址 100085 北京市海淀区上地 三街9号F 座9层907 (72)发明人 王方立　 (74)专利代理 机构 苏州国卓知识产权代理有限 公司 323 31 代理人 江舟 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于ACL时间域的快速匹配方法 (57)摘要 本发明公开一种基于ACL时间域的快速匹配 方法。 所述方法包括收取数据包； 根据数据包的 五元组建流， 并计算五元组的哈希值， 放入哈希 桶； 根据五元组查找所有可以命中的A CL规则； 对 所有命中的ACL规则的时间域进行排序， 并记录 每个时间域的动作； 把时间域规则返回给流节 点； 当后面的数据报文到来时， 匹配数据报文和 ACL规则的时间域， 执行相应时间域动作。 本申请 技术方案是一种计算复杂度很低的ACL匹配规 则， 通过一次匹配后， 获取从收取数据报文开始 的后面所有时间的动作， 可 以达到一次匹配后， 不用再去匹配规则的目的， 大大降低了ACL匹配 的复杂度。 权利要求书1页 说明书4页 附图1页 CN 114301620 A 2022.04.08 CN 114301620 A 1.一种基于ACL时间域的快速匹配方法， 其特 征在于， 包括： 步骤1、 收取 数据包； 步骤2、 根据数据包的五元组建流， 并计算五元组的哈希值， 放入哈希桶； 步骤3、 根据五元组查找所有可以命中的ACL 规则； 步骤4、 对所有命中的ACL 规则的时间域进行排序， 并记录每 个时间域的动作； 步骤5、 把 排序后的ACL 规则返回给流节点； 步骤6、 当后面的数据报文到来时， 匹配数据报文和ACL规则的时间域， 执行相应时间域 动作。 2.如权利 要求1所述的基于ACL时间域的快速匹配方法， 其特征在于， 所述ACL规则 包括 五元组和时间域， 五元组包括源IP、 目的IP、 源端口、 目的端口、 协议。 3.如权利要求1所述的基于ACL时间域的快速匹配方法， 其特征在于， 时间域的动作包 括丢弃、 放过。 4.如权利要求1所述的基于ACL时间域的快速匹配方法， 其特征在于， 如果没有配置时 间域， 那么时间域默认为无穷大。 5.如权利要求1所述的基于ACL时间域的快速匹配方法， 其特征在于， 匹配数据报文和 ACL规则的时间域， 执行相应时间域动作， 具体为： 获取数据报文的到达时间， 将数据报文的 到达时间与流节点上的ACL 规则的时间域进行匹配， 执 行能够匹配的时间域的动作。 6.一种计算机存储介质， 其特征在于， 所述计算机可读存储介质中包含一个或多个程 序指令， 所述一个或多个程序指令用于被处理器执行如权利要求1 ‑5任一项所述的一种基 于ACL时间域的快速匹配方法。权　利　要　求　书 1/1 页 2 CN 114301620 A 2一种基于AC L时间域的快速匹配方 法 技术领域 [0001]本发明涉及工控安全技 术领域， 尤其涉及一种基于ACL时间域的快速匹配方法。 背景技术 [0002]ACL： 访问控制列表(ACL)是一种基于包过滤的访问控制 技术， 它可以根据设定的 条件对接口上 的数据包进行过滤， 允许其通过或丢弃。 访问控制列表被广泛地应用于路由 器和三层交换机， 借助于访问控制列表， 可以有效地控制用户对网络的访问， 从而最大程度 地保障网络安全 [0003]防火墙的ACL规则往往由五元组、 接口等信息组成， 但是有时候会用到时间域， 来 指定某个时间段的规则， 针对这样的规则， 传统的匹配方式一般都是每次都需要进行时间 域的比对， 比较浪费CPU资源。 发明内容 [0004]本发明提供了一种基于ACL时间域的快速匹配方法， 包括： [0005]步骤1、 收取 数据包； [0006]步骤2、 根据数据包的五元组建流， 并计算五元组的哈希值， 放入哈希桶； [0007]步骤3、 根据五元组查找所有可以命中的ACL 规则； [0008]步骤4、 对所有命中的ACL 规则的时间域进行排序， 并记录每 个时间域的动作； [0009]步骤5、 把 排序后的ACL 规则返回给流节点； [0010]步骤6、 当后面的数据报文到来时， 匹配数据报文和ACL规则的时间域， 执行相应时 间域动作。 [0011]如上所述的一种基于ACL时间域 的快速匹配方法， 其中， 所述ACL规则包括五元组 和时间域， 五元组包括源IP、 目的IP、 源端口、 目的端口、 协议。 [0012]如上所述 的一种基于ACL时间域的快速匹配方法， 其中， 时间域的动作包括丢弃、 放过。 [0013]如上所述 的一种基于ACL时间域的快速匹配方法， 其中， 如果没有配置时间域， 那 么时间域默认为无穷大。 [0014]如上所述的一种基于ACL时间域 的快速匹配方法， 其中， 匹配数据报文和ACL规则 的时间域， 执行相应时间域动作， 具体为： 获取数据报文的到达时间， 将数据报文的到达时 间与流节点上的ACL 规则的时间域进行匹配， 执 行能够匹配的时间域的动作。 [0015]本申请还提供一种计算机存储介质， 所述计算机可读存储介质中包含一个或多个 程序指令， 所述一个或多个程序指令用于被处理器执行上述任一项所述的一种基于ACL时 间域的快速匹配方法。 [0016]本发明实现的有益效果如下： 本申请技术方案是一种计算复杂度很低的ACL匹配 规则， 通过一次匹配后， 获取从收取数据报文开始的后面所有时间的动作， 可以达到一次匹 配后， 不用再去匹配规则的目的， 大 大降低了ACL匹配的复杂度。说　明　书 1/4 页 3 CN 114301620 A 3