用于查询增加或删除信息处理规则方法设备

(19)中华人民共和国国家知识产权(12)发明专B(19)中华人民共和国国家知识产权(12)发明专B10CN(45)授权公告日(21)申请号(56)CN101056221US2008/0183857(22)申请日(73)专利权人百度在线网络技术（北京有限司审查员鞠(72)发明人蒋浩刘宁刘涛张诚傅吴教(74)专利代理机构北京汉昊知识产权代理事代理人罗G06F17/30H04L9/32552222页附55(57)用于查询信息处理规则的方案，该待处理的网络传输信息中获取至少一个识别信CN102184234权利要求书CN102184234权利要求书CN102184234的识别信息：i11对于一个包含IPIP地址的地址类识别信息部分相同的地址信息；i12IP地址的地IP地址的地址类识别信息对应的字段下步骤：2权利要求书CN102184234权利要求书CN102184234所述匹配信息所得的查询索引信息中至少一者相关的索引规则库中增加由该待处理的规则更新信息中获取的信息处理规则。当判断所获取的所有匹配信息均不能进行所述数字签名处理，根据由所述待处理的规则的单列规则库中增加、更新或删除根据该待处理的规则更新信息所得的信息处理规能够进行所述数字签名处理的匹配信息中的至少一者进行所述数字签名处理来获得所述一个或多个查询索引信息。-对所获取的至少一个匹配信息中的至少一者进行数字签名处理来获得数字处理结型的匹配信息：；；3权利要求书CN102184234权利要求书CN102184234信息能够用于识别所述网络传输信息；置以及第一查询装置根据所获取的所述至少一个识别信息中的每个识别信息来执行操所述第一索引获取装置用于对所获取的所述至少一个识别信息中的每个识别信息来至少一种类型的识别信息：IPIP地址的地址类识别信息部分相同的地址信息；根据权利要求204权利要求书CN102184234权利要求书CN102184234括：信息用于匹配查询所述信息处理规则；理所获得的处理结果；第二规则处理装置，用于当判断所获取的所有匹配信息均不能进行所述数字签名处5权利要求书CN102184234权利要求书CN102184234至少一项：6CN102184234CN102184234 查询所述信息处理规则；7CN102184234 取装置以及第一查询装置根据所获取的所述至少一个识别信息中的每个识别信息来执行CN102184234 取装置以及第一查询装置根据所获取的所述至少一个识别信息中的每个识别信息来执行 匹配信息用于匹配查询所述信息处理规则； 1)2)3)4) 8CN102184234 CN102184234 [0035][0036]1[0037]S11)包括但不限于： 9CN102184234IPv6IP65192比特位来获得一个识别信 CN102184234IPv6IP65192比特位来获得一个识别信 ARP3IP报文报头中的TOS字段等。[0045]S12，DSARSA加密处理等。[0047]S11TOS息Server1采用哈希函数hash_1进行数字签名处理获得数字处理结“Sind1并将该数“Sind1TOSServer1 例如，预置的对应关系中包括包含“Sind1”的查询索引信息与索引规则库CN102184234CN102184234 和步S122(图未)段类别包括IHLTTLTOSIPSourceIP例如以太网数据包的识别信的字段类别包括DestinationMACSourceMAC等如前述步骤S12中的举规则查询装置在步骤S11中获得一个包含字段的服务类识别信息并在步骤S121中对该服务类识别信息Server1采用哈希函数1进行数字签名处理来获得数字处理结接着规则查询装置根据预获取的服务类识别信息Server1的字段类ef确定服务类识别信息Server1对应的查询索引信息包括数字处理结“Sind1和字段类“TypeofService[09] 需要说明的是上述举例仅为更好地说明本发明的技术方而非对本发明的限制本领域技术人员应该理解任何根据所述数字处理结果并结合预获取的该识别信息对应的字段类型来确定该识别信息的一个或多个查询索引信息的实现方式均应包含在本发明的范围内。 关 )询装置根据识别信息Server1执行步骤S12和步骤S13，获得与其所属网络传输信息匹配的级较高的信息处理规R1来执行相应操作 CN102184234装置根据识别信息Server1执行步骤CN102184234装置根据识别信息Server1执行步骤S12和步骤S13获得与其所属网络传输信息匹配的信[0070]2S11S12以及步骤S13S12S123S124S11IP地址的地 骤S123S124以及步骤S13。该IPIP地址的地址类识别信息包括但不限于网络传输信息包含的源IPIP地址信息。预定地位范围包含的地址信息生成所述多个与该IP地址类识别信息部分相同的地址信查询装置在步骤S11中获取的一个包含IP地址的地址类识别信息IP1192.168.1.0规则查询装置由地址类识别信息IP1中获取第一个字节的地址信息192以生成与该地址IP1192.0.0.0IP1中获取前二个字节的地址信息192.168以生成与该地址类识别信息IP1部分相同的地址信息192.168.0.0192.168.1IP1192.168.1.02)IPIPCN102184234CN102184234制本领域技术人员应该理解任何对于一个包含IP地址的地址类识别信息生成多个与该IP地址类识别信息部分相同的地址信息的实现方式均应包含在本发明的范围内。[00] 在步骤S124中规则查询装置分别对所生成的多个地址信息进行所述数字签名处理来获得与该IP地址类识别信息对应的多个查询索引信息。其中所述规则查询装置分别根据所生成的多个地址信息进行所述数字签名处理来获得与该IP地址类识别信息对应的多个查询索引信息的实现方式与图1骤S12则信息进行数字签名处理以获得该识别信息的一个或多个查询索引信息的实现方式相同，并以引用的方式包含与此不再赘述。 询装置每生成一个地址信息即执行步骤S124来获得该地址信息的查询索引信息。 步骤S13已在图1所示的实施例中予以详述并以引用的方式包含于此不再赘 IPCN102184234网络服务器路由器交换机等设备其中所述网络包括但不限于互联网广域网CN102184234网络服务器路由器交换机等设备其中所述网络包括但不限于互联网广域网城域网局域网VPN网络等。其中根据本实施例的方法包括步骤S21步骤S22和步骤S23。[00] 在步骤S21中规则匹配装置由待处理的规则更新信息中获取至少一个匹配信息。其中所述规则更新信息中至少包括以下两项1)规则处理指令2)与规则处理指令所对应的匹配信息其中所述规则处理指令包括但不限于以下指令1)规则建立指令2)规则删除指令3)规则更新指令等其中所述匹配信息用于匹配查询信息处理规则以确定该匹配信息对应的规则处理指令所需处理信息处理规则。例如所述规则更新信息包“delete192.168.0.0其中“delete表示规则删除指令“192.168.0.0为匹配信息当预定规则更新信息中的地址信息为源P地址信则该规则更新信息表删除用于处理源IP“192.168.0.0网段的信息处理规则。其中规则配置装置获取所述待处理的规则更新信息的方式包括但不限于1)规则配置装置获取用户输入的规则更新信息2)规3) MacVLANIPARP CN102184234CN102184234[0104]S22S121及图2立指令将由待处理的规则更新信息所获得的信息处理规则添加至索引规则库Add[Ind1][0108]需要说明的是，上述举例仅为更好地说明本发明的技术方案，而非对本发明的限CN102184234CN102184234S21中获得的匹[0112]例如，规则配置装置在步S21中获得的匹配信息包括目的地址信息IP1和源地IP2S22中获得目的地址信IP1对应的查询索引信息为Ind1地址信息IP2对应的查询索引信息为Ind2。则规则配置装置根据预置的对应关系确定查询索引信Add[Ind1]Ind配置装置根据所获得的匹配信IP1和IP2在索引规则库Add[Ind1]Add[Ind2]中进行查询，由Add[Ind1中获得IP1相关的信息处理规R3和R4Add[Ind2]中获得与IP2R4，并Add[Ind2中删R5。[0113]作为本发明的优选实施例之一，其中，所述步S23进一步包括步S233(图)信息前述步骤S232中予以详述在此不再赘述。此处仅对规则配置装置获得与所述匹配信息中至该查询所得的信息处理规则的实现方式进行说明地址192.168.1.0更改为目的地址192.168.2.0”的内容信息，则规则配置装置根据所述更新信息来更新所获得的信息处理规则，并获得更新后的信息处理规则包括“目的地址[17]的规则更新信息中获取的更新信息来更新该查询所得的信息处理规则的实现方式，均应设备中配置信息处理规则的效率图根CN102184234 CN102184234 数字签名处理。规则配置装置在步骤S21中获得的两个匹配信息分别包括目的地址信息 [15]置装置根据由所述待处理的规则更新信息中获取的规则处理指令进行以下操作1)2)3)在步骤S221CN102184234 IP报文的信息处理规则可包含的内容类型包括IHLTTLCN102184234 IP报文的信息处理规则可包含的内容类型包括IHLTTLTOSDestinationIP、DestinationMACSourceMAC等。 IP2IP1Hash_2IP”，确定匹配信息IP1对应的查询索引信息包括数字处理结果“Ind1”和字段类别字签名处理两大类型来更加优化对于信息处理规则的组织简化了无需进行数字签名处理的信息处理规则的增加删除和更新方式进一步提高了信息处理规则的配置效率。[14] 图5示意出了本发明一个方面的网络设备实现的用于查询信息处理规则的规则查询装置的结构示意图根据本实施例的规则查询装置包括第一获取装置11第一索引获1213网络传输信息包括但12)数据3数据帧等。所述网络传输信息中包括[0136]11 一个识别信息11712比特位CN102184234CN102184234第97比特位至128比特位来获得一个识别信息当根据所述前四个比特位的信息确定版本为IPv6时，进一步获取该IP报文报头中第65比特位至192比特位来获得一个识别信息。 ARP3IP报文报头中的TOS字段等。[0143]121311[0145]1211TOS服务类识别信息Server1采用哈希函数hash_1进行数字签名处理，获得数字处理结果“Sind1Sind1”TOSServer1 13 例如，预置的对应关系中包括包含“Sind1”的查询索引信息与索引规则库CN102184234“Sind1CN102184234“Sind1以在所述索引规则Add[Ind1]中进行查询，并Add[Ind1中获得与所述网络传输信息匹配的信息处理规则R1。[0153]第一签名处理装置对该识别信息进行所述数字签名处理来获得数字处理结果段类别包括IHLTTLTOSIPSourceIP例如以太网数据包的识别信的字段类别包括DestinationMACSourceMAC等TOS字段的服务类识别信息Server1并且第一签名处理装置对该服务类识别信息Server1采用哈希函hash_1进行数字签名处理来获得数字处理结“Sind1；第一索引确定装Service信息Server1对应的查询索引信息包括数字处理结果“Sind1”和字段类别“TypeService装置(图未示所述总规则库还包括单列规则库该单列规则库中的任意规则均与任何查索引信息无关第二查询装置在包含与任何查询索引信息均无关的多个信息处理规则的单列规 CN102184234CN102184234 11所获得的至少一个识别信息包括一个或多个包含IP地址的地址类识别信息。IP地址的地址类识别信息包括但不限于网络传输信息包含的源IPIP地址信息。预定地位范围包含的地址信息生成所述多个与该IP11IPIP1192.168.1.0123CN102184234获取前二个字节的地址信息192.1CN102184234获取前二个字节的地址信息192.168以生成与该地址类识别信息IP1部分相同的地址信息192.168.0.0生成装置123由地址类识别信息中获取前三个字节的地址信息192.168.1，以生成与该地址类识别信息IP1部分相同的地址信息192.168.1.0。[0174]2通过将IP地址类识别信息与多个掩码进行运算，获得所述多个与IP地类识别信息部分相同的地址信息分别与地址类识别信息IP1部分相同的地址信息需要说明的上述举例仅为更好地说明本发明的技术方而非对本发明的制本领域技术人员应该理解任何对于一个包含IP地址的地址类识别信息生成多个与该IP地址类识别信息部分相同的地址信息的实现方式均应包含在本发明的范围内。[17] 第一子索引获取装置4分别对所生成的多个地址信息进行所述数字签名处，来获得与该IP地址类识别信息对应的多个查询索引信息其中所述第一子索引获取装置124分别根据所生成的多个地址信息进行所述数字签名处理来获得与该IP地址类识别信息对应的多个查询索引信息的实现方式与图5所示实施例中第一索引获取装置2对识别信息进行数字签名处理以获得该识别信息的一个或多个查询索引信息的实现方式相同，并以引用的方式包含与此不再赘述。 不再赘述二签名处理装图未和第二索引确定装图未)[11] 第二签名处理装置对所生成的多个地址信息进行所述数字签名处理来获得数字处理结果。第二索引确定装置根据所述数字处理结果，并结合预获取的该包IP地址的址类识别信息对应的字段类型，来确定该包含IP地址的地址类识别信息的多个查询索引址的地址类识别信息对应的字段类型，来确定该包含IP地址的地址类识别信息的多个查 确定所述识别信息所属网络传输信息可能对应的多个网段并获得与该网段相应的信息CN102184234 2122CN102184234 212223。“delete“192.168.0.0 IP21从第一个冒号后开始获 MacVLANIPARP数据包报头中的协议类型字段等内容信息[0195]22CN102184234 第一规则处理装置23根据由所述待处理的规则更新信息中获取的规则处理指CN102184234 第一规则处理装置23根据由所述待处理的规则更新信息中获取的规则处理指[0200]需要说明的是，上述举例仅为更好地说明本发明的技术方案，而非对本发明的限1256询装置能够根据基于数字签名处理所得的查询索引信息来获得与网络传输信息匹配的信息处理规则。 “Ind1置的对应关系确“Ind1与索引规则库Add[Ind1]相关则规则增加装置根据规则建立指令将由待处理的规则更新信息所获得的信息处理规则添加至索引规则库Add[Ind1]中。[25] 需要说明的是上述举例仅为更好地说明本发明的技术方而非对本发明的限制本领域技术人员应该理解任何当所述由待处理的规则更新信息中获取的规则处理令为规则建立指令时在与根据所述匹配信息所得的查索引信息中至少一者相关的索引规则库中增加由该待处理的规则更新信息中获取的信息处理规则的实现方式均应包含在 CN102184234CN102184234中进行查询，来获得与所第二获取装置21获得的匹配信息中至少一者相匹配的信息处例如，第二获取装置21获得的匹配信息包括目的地址信息IP1和源地址信息并且第二索引获取装置22获得目的地址信息IP1对应的查询索引信息为Ind1，源地址信息IP2对应的查询索引信息为Ind2。则规则删除装置根据预置的对应关系，确定查询索引信Add[Ind1]Ind删除装置根据所获得的匹配信息IP1和IP2，在索引规则库Add[Ind1]Add[Ind2]中进行查询，由Add[Ind1]中获得IP1相关的信息处理规R3R4，由Add[Ind2中获得IP2R4，并Add[Ind2]中删R5。 新装置(图未示)。[21] 当所述由待处理的规则更新信息中获取的规处理指令为规则更新指令时规则更新装置在与根据所述匹配信息所得的至少一个查询索引信息相关的索引规则库中进行查询来获得与所述匹配信息中至少一者相匹配的信息处理规则并根据由该待处理的则更新信息中获取的更新信息来更新该查询得的信息处理规则。其中所述更新信息包含与待处理的规则更新信息中的匹配信息相匹配的信息处理规则所需更新的内容信。[22] 其中规则更新装置在与根据所述匹配信息得的查询索引信息中至少一者相关的索引规则库中进行查询来获得与所述匹配信息中至一者相匹配的信息处理规则的方式已在前述规则删除装置中予以详述在此不再赘述。此处仅对规则更新装置获得与所述匹配信息中至少一者相匹配的信息处理规则根据由该待处理的规则更新信息中获取的更新信息来更新该查询所得的信息处理规则的实现方式进行说明。地址192.168.1.0更改为目的地址192.168.2.0”的内容信息，则规则更新装置根据所述更新信息来更新所获得的信息处理规则，并获得更新后的信息处理规则包括“目的地址的规则更新信息中获取的更新信息来更新该查询所得的信息处理规则的实现方CN102184234 配置装置的结构示意图。根据本实施例的规则配置装置包括第二获取装置2124第二规则处理装置2523以及包含于第二索引获取装置22CN102184234 配置装置的结构示意图。根据本实施例的规则配置装置包括第二获取装置2124第二规则处理装置2523以及包含于第二索引获取装置22中的第二子息进行数字签名处理。第二获取装置21获得的两个匹配信息分别包括目的地址信息 规则添加至所述单列规则库中2)若规则处理指令为规则删除指令，则根据所获取得的所有理规则并删除3)在所述 CN102184234CN102184234IP1对应的查询索引信息Ind1[26]字签名处理来获得所述一个或多个查询索引信息的实现方式，均应包含在本发明的范围[27]22进一步包括第三子索引获