(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111388267.9 (22)申请日 2021.11.22 (71)申请人 北京威努特技 术有限公司 地址 100085 北京市海淀区上地 三街9号F 座9层907 (72)发明人 王轩　王方立　 (74)专利代理 机构 苏州国卓知识产权代理有限 公司 323 31 代理人 江舟 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/60(2013.01) (54)发明名称 一种ACL访问控制列表规则过滤去重的方法 及装置 (57)摘要 本发明公开一种ACL访问控制列表规则过滤 去重的方法及装置。 所述方法包括： 统计未经处 理的ACL规则集合A； 为每条ACL规则添加权值来 标识规则的可控范围； 首次过滤去重时， 取出集 合A的条目1计算权值， 将计算权值后的选项添加 到集合B中； 顺序计算集合A中后续条目权值， 将 该条目与集合B对比， 若规则有冲突则丢弃； 否则 将规则根据权值插入集合B中的对应位置； 当集 合A中所有规则对比结束时， 集合B就是集合A经 过滤去重后的无冗余规则集合； 将集合B中的规 则按照索引顺序排序得到最终ACL规则集合。 本 发明在ACL规则过滤去重的过程中， 根据权值来 统计各条规则的控制范围， 后续的对比都是从权 值最小开始对比， 从而提升ACL规则的冲突命中 率。 权利要求书2页 说明书9页 附图1页 CN 114362991 A 2022.04.15 CN 114362991 A 1.一种ACL访问控制列表规则过 滤去重的方法， 其特 征在于， 包括： 步骤1、 统计整理现有未 经过处理的ACL规则集合， 命名为 集合A， 以索引标记其 顺序； 步骤2、 针对每条ACL具体规则， 添加一个权值， 来标识此 条规则的一个可控范围大小； 步骤3、 首次过滤去重时， 取出ACL规则集合A中的第一个规则条目进行权值计算， 并将 计算权值后的选项添加到一个新的集 合中， 命名为 集合B； 步骤4、 顺序计算集合A中的后续条目的权值， 并将集合A的ACL规则各属性字段与 集合B 中存有的规则条 目进行对比， 若有冲突， 则将此条对比的ACL规则丢弃； 否则， 根据权值， 将 对比的ACL 规则插入集合B中的对应位置； 步骤5、 如果集合A中还有待对比的规则， 则返回步骤4执行； 当集合A中所有规则 对比结 束， 此时集 合B中就是原有规则集 合A经过过滤去重后的无冗余ACL 规则集合； 步骤6、 将集 合B中的规则按照索引从小到大的顺序进行排序， 得到最终ACL 规则集合。 2.如权利要求1所述的ACL访 问控制列表规则过滤去重的方法， 其特征在于， 针对每条 ACL具体规则， 权值越小则标识对应的ACL规则对 数据流的控制范围越 大， 数据包命中该ACL 规则的概 率就会越高。 3.如权利 要求1所述的ACL访问控制列表规则过滤去重的方法， 其特征在于， 计算ACL规 则集合A中各规则条目的权 重， 具体包括： 定义ACL对比步长标准； 分别计算 规则条目中各字段的权值； 求和各字段权值， 得到该规则ACL条目的权值。 4.如权利 要求3所述的ACL访问控制列表规则过滤去重的方法， 其特征在于， 定义ACL对 比步长标准 为ACL_WEIGHT_COM MON_STEP， 分别计算 规则条目中各字段的权值， 具体包括： (1)MAC权值计算： 设定Any为权值 最大等于 0； 其他情况为ACL_WEIGHT_COM MON_STEP； (2)IP权值计算： 设定源IP和目的IP取值范围均是ipFrom和ipTo， IP权值计算方式如下： ①若ipFrom与ipTo都是Any的情况 下， 则权值 等于0； ②若ipFrom与ipTo有至少一项不为Any， 则根据ip范围(ipRange＝ipTo ‑ipFrom)计算 如下： A、 ipRange等于 0： IP权值 ＝5*ACL_WEIGHT_COM MON_STEP； B、 ipRange在a a.bb.cc.0–aa.bb.cc.FF范围内： IP权值 ＝4*ACL_WEIGHT_COM MON_STEP； C、 ipRange在a a.bb.0.0–aa.bb.FF.FF范围内， IP权值 ＝3*ACL_WEIGHT_COM MON_STEP； D、 ipRange在a a.0.0.0–aa.FF.FF.FF范围内， IP权值 ＝2*ACL_WEIGHT_COM MON_STEP； E、 ipRange在0 0.0.0.0–FF.FF.FF.FF范围内， IP权值 ＝ACL_WEIGHT_COM MON_STEP； F、 ipRange等于 0xFFFFFFFF： IP权值 ＝0； (3)端口号权值计算： 端口号权值计算方式与IP类似， 但取值范围有所不同， 端口号步进为0， 0xF， 0xFF， 0xFFF和0xFFFF； 若端口号为0‑65535， 则设定 权值＝0； (4)协议类型权值计算： 设定协议类型为Any以及协议类型为0 ‑255时权值为0， 其他协议类型权值设定为ACL_权　利　要　求　书 1/2 页 2 CN 114362991 A 2WEIGHT_COM MON_STEP。 5.如权利要求1所述的ACL访问控制列表规则过滤去重的方法， 其特征在于， 将集合B与 集合A做条 目比较， 若集合B中某一条ACL规则包含了集合A 中对比的ACL规则， 则认为集合A 与集合B有冲突， 则丢弃 此条ACL规则。 6.如权利要求5所述的ACL访问控制列表规则过滤去重的方法， 其特征在于， 集合B与集 合A的条目比较， 具体包括： 将集合B作为对比规则， 集合A作为被对比规则， 设定各字段的比较状态， 包括对比规则 与被对比规则相同、 对比规则项包含了被对比规则项、 被对比规则项包含了对比规则项、 对 比规则与被对比规则不同； 对条目字段进行比较， 为各字段设置对应的比较 状态； 经过比较后， 通过状态机来确定两个比较的规则条目最终的状态， 根据最终状态决定 ACL规则的丢弃或保存。 7.如权利要求6所述的ACL访 问控制列表规则过滤去重的方法， 其特征在于， 设定各字 段的比较状态包括MS_SAME， MS_SRC_COVER_DEST， MS_DEST_COVER_SRC和MS_DIFFERENT， 其 中， SRC指 对比规则项， DEST指被对比规则项， MS_SAME指明对比规则与被对比规则相同； MS_ SRC_COVER_DEST指明对比规则项包含了被对比规则项； MS_DEST_COVER_S RC指明被对比规 则项包含了对比规则项； MS_DIFFERENT指明对比规则与被对比规则不同； 对条目字段进行 比较， 具体包括： ①MAC比较： a.如果src和dest为全0或src  MAC＝＝dest MAC， 则MS_SAM E； b.如果src为全0， dest非全0， 则MS_SRC_COVER_DEST； c.如果dest为全0， src非全0， 则MS_DEST_COVER_SRC； d.若非上述情况， 则MS_DIF FERENT； ②IP比较： a.如果src  ip与dest ip相同， 则MS_SAM E； b.如果src  ip为Any， 则MS_SRC_COVER_DEST； c.如果dest  ip为Any， 则MS_DEST_COVER_SRC； d.如果src  ipFrom<＝ dest ip From， 并且src  ipTo>＝dest ipTo， 则MS_SRC_COVER_ DEST； e.如果dest  ipFrom<＝src  ip From， 并且dest  ipTo>＝src  ipTo， 则MS_DEST_COVER_ SRC； f.若非上述情况， 则MS_DIF FERENT； ③端口比较和协议比较： 端口比较和协议比较与IP比较相同。 8.一种工控设备， 其特征在于， 包括： 所述设备执行如权利要求1 ‑7任一项所述的一种 ACL访问控制列表规则过 滤去重的方法。 9.一种计算机存储介质， 其特征在于， 所述计算机存储介质中包含一个或多个程序指 令， 所述一个或多个程序指 令用于被处理器执行如权利要求 1‑7任一项所述的一种ACL访问 控制列表规则过 滤去重的方法。权　利　要　求　书 2/2 页 3 CN 114362991 A 3