專利名稱:存取控制列表的條目產(chǎn)生方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種存取控制列表�����,特別是涉及一種存取控制列表的條目 產(chǎn)生方法���。
背景技術(shù):
存取控制列表(Access Control List,簡稱ACL)已經(jīng)普遍使用在各 系統(tǒng)或各通訊裝置中����。當(dāng)系統(tǒng)或通訊裝置接收到分組(Packet)時,會利 用存取控制列表來用來過濾(Filter)分組��,并據(jù)以將分組分配至各目的 地����。以下配合附圖詳細(xì)地說明。
圖l是現(xiàn)有的一種存取控制列表的示意圖。請參照圖1�,假設(shè)存取控制 列表10具有16個條目(Entry )與3個項目。16個條目分別為En—0~En—15���。 3個項目分別為媒體存取控制地址(Media Access Control Address,簡稱 MAC Address)����、因特網(wǎng)協(xié)i義地址(Internet Procotol Address,筒稱IP Address)與動作(Action)�。此外���,假設(shè)各條目中對應(yīng)于i某體存取控制地 址���、因特網(wǎng)協(xié)議地址與動作的參數(shù)的位寬度(Bit Width)分別為48bits、 32bits�����、 4bits���。
在條目En_0中���,首先會檢查分組的媒體存取控制地址是否為 0090c3000001,并檢查因特網(wǎng)協(xié)議地址是否為192.168.1.10。當(dāng)分組的媒 體存取控制地址為0090c3000001且因特網(wǎng)協(xié)議地址為192.168.1.10時, 則執(zhí)行動作Q001;反之�,則不執(zhí)行動作OOOl。
如上所述�����,在條目En — I中����,首先會檢查分組的媒體存取控制地址是否 為0080cl000008,并檢查因特網(wǎng)協(xié)議地址是否為192. 168. 1. 10��。當(dāng)分組的 媒體存取控制地址為0080cl000008且因特網(wǎng)協(xié)議地址為192. 168. 1. 10時��, 則執(zhí)行動作0010;反之�,則不執(zhí)行動作0010。
以此類推�����,在條目En_15中��,首先會檢查因特網(wǎng)協(xié)議地址是否為 192.168.101.88����。當(dāng)分組的因特網(wǎng)協(xié)議地址為192. 168. 101. 88時����,則執(zhí)行 動作llll;反之��,則不執(zhí)行動作llll���。值得一提的是���,在條目En—lS中,雖無須檢查分組的媒體存取控制地址��,但條目En_15中對應(yīng)于媒體存取控 制地址的參數(shù)卻仍需占用48bits的空間�����,其可視為一種空間浪費��。
另外��,在現(xiàn)有技術(shù)中�����,條目En—0�、 En-l對應(yīng)于因特網(wǎng)協(xié)議地址的參數(shù) 雖皆為192. 168. 1. 10。但條目En_0���、 En_l中的網(wǎng)路協(xié)議地址的參數(shù)卻仍需 占用32bits+32bits=64bits的空間����。也就是說��,即便有多條目中的部分參 數(shù)相同�,各條目所占用的空間也無法降低。再從另一角度來看����,存取控制 列表10的各條目皆需占用48bits+32bits+4bits=84bits。由于存取控制列 表10具有16個條目���,因此存取控制列表10共需占用84 x 16=1344bits�。 即便存取控制列表10僅使用16個條目中的其中一個�����,存取控制列表10仍 需占用1344bits�。換個角,變來看,依照現(xiàn)有所采用的技術(shù)�����,1344 bits僅 能提供16個條目,其空間的使用效率相當(dāng)差����。
再者,在現(xiàn)有技術(shù)中���,存取控制列表10的各條目皆必須具有相同的項 目�����。換言的��,假設(shè)條目En-O需要新增特定項目時�,條目En-l En — 15也必 須對應(yīng)新增相同的特定條目����。因此現(xiàn)有技術(shù)中常會發(fā)生僅有少數(shù)幾個條目 需要用到特定項目���,但其他條目的特定項目仍會占用相當(dāng)多的空間�。此種 空間浪費的情形會隨著條目數(shù)量的增加而更形嚴(yán)重����。
發(fā)明內(nèi)容
本發(fā)明提供一種存取控制列表的條目產(chǎn)生方法�,可降低存取控制列表 所占的儲存空間��。
本發(fā)明提出 一種存取控制列表的條目產(chǎn)生方法�����,其包括定義多個程序 單元��,各程序單元包括項目與對應(yīng)上述項目的參數(shù)����。另外,產(chǎn)生存取控制 列表的第一條目��,其中第一條目連結(jié)上述程序單元中的Ni個程序單元�����,N, 為正整數(shù)�����,且各程序單元還能供其他條目進(jìn)行連結(jié)��。
在本發(fā)明的一實施例中,上述的條目產(chǎn)生方法還包括產(chǎn)生存取控制列 表的第二條目���,其中第二條目連結(jié)上述程序單元中的N2個程序單元�����,N2為 正整數(shù)�����。在另一實施例中�����,N1 = N2�。在又一實施例中�����,N—N2�。
在本發(fā)明的一實施例中�����,定義程序單元的步驟包括定義項目,此項目 為邏輯運算子��、決策或動作�。此外,定義參數(shù)����。在另一實施例中,邏輯運 算子包括AND��、 NAND�����、 0R����、 N0R、 N0T�����、 X0R或XN0R…等�����。在又一實施例中, 決策包括檢查媒體存取控制地址或因特網(wǎng)協(xié)議地址���。在再一實施例中���,動作包括傳送至一目的地、過濾�����、廣播或復(fù)制…等�。在另一實施例中,定義參數(shù)的步驟包括定義參數(shù)的位寬度�。
本發(fā)明定義多個程序單元。另外��,產(chǎn)生存取控制列表的條目����,此條目連結(jié)上述程序單元中的N,個程序單元,Ni為正整數(shù)���,且各程序單元還能供其他條目進(jìn)行連結(jié)�。因此能降低存取控制列表所占的儲存空間��。
為使本發(fā)明的上述特征和優(yōu)點能更明顯易懂�,下文特舉幾個實施例,并結(jié)合附圖詳細(xì)說明如下�。
圖1是現(xiàn)有的一種存取控制列表的示意圖。
圖2是依照本發(fā)明的一實施例的一種存取控制列表的條目產(chǎn)生方法的流程圖���。
圖3是依照本發(fā)明的 一 實施例的多個程序單元的示意圖�����。圖4是依照本發(fā)明的一實施例的多個條目的示意圖���。
附圖符號說明
10:存取控制列表
S201、 S202:存取控制列表的條目產(chǎn)生方法的各步驟En_0~En_15�、 Ent一0 Ent —3:條目P卜P10:程序單元E1 E10:項目A1 A1Q:參數(shù)
具體實施例方式
在現(xiàn)有技術(shù)中,存取控制列表中的各條目皆必須具有相同的項目��,因此容易造成空間浪費���。有鑒于此�����,本發(fā)明的實施例提供一種存取控制列表的條目產(chǎn)生方法�����。首先可定義多個程序單元�����,各程序單元可包括項目與參數(shù)�����。接著再從上述多個程序單元進(jìn)行挑選與組合��,藉以產(chǎn)生條目�����。因此當(dāng)多個條目采用相同的程序單元時�,則可有效降低存取控制列表所占用的空間。以下配合附圖作更詳細(xì)的說明����。
圖2是依照本發(fā)明的一實施例的一種存取控制列表的條目產(chǎn)生方法的流程圖。圖3是依照本發(fā)明的一實施例的多個程序單元的示意圖���。請合并參照圖2與圖3�,首先可由步驟S201,定義多個程序單元,在本實施例中多個程序單元以10個程序單元為例進(jìn)行說明�����,其分別為P1 P10��。以下先以定義程序單元Pl為例進(jìn)行說明���。
在定義程序單元P1的過程中,可先定義程序單元P1的項目El的種類及位寬度(Bit Width)�。在本實施例中,項目El的種類為一決策���,此決策的內(nèi)容以檢查媒體存取控制地址為例進(jìn)行說明����,而項目El的位寬度則以4bits為例進(jìn)行說明�。本領(lǐng)域的技術(shù)人員可依其需求定義決策的內(nèi)容,本發(fā)明并不以此為限�����。舉例來說,在其他實施例中����,決策的內(nèi)容亦可檢查因特網(wǎng)協(xié)議地址。
接著可對程序單元P1的參數(shù)A1及參數(shù)A1的位寬度進(jìn)行定義��,其中參數(shù)A1對應(yīng)于項目El����。在本實施例中,參數(shù)A1以0090c3000001為例進(jìn)行說明��,而參數(shù)A1的位寬度則以48bits為例進(jìn)行說明��。值得一提的是���,隨著項目的種類不同�����,其所對應(yīng)的參數(shù)的位寬度也可隨之改變��。換言之�,若項目的種類相同����,其對應(yīng)的參數(shù)的位寬度可設(shè)定為相同����。以此類推�����,在本實施例中�,程序單元P2的項目E2�����、項目E2的位寬度�����、參數(shù)A2與參數(shù)A2的位寬度分別定義為媒體存取控制地址�����、4bits����、 0080cl000008與48bits�����。
在本實施例中����,程序單元P3的項目E3�����、項目E3的位寬度����、參數(shù)A3與參數(shù)A3的位寬度分別定義為動作、4bits����、 0001與4bits。程序單元P4的項目E4�、項目E4的位寬度、參數(shù)A4與參數(shù)A4的位寬度分別定義為動作��、4bits���、 0010與4bits�。程序單元P5的項目E5、項目E5的位寬度�、參數(shù)A5與參數(shù)A5的位寬度分別定義為動作、4bits����、 0011與4bits。在本實施例中����,參數(shù)A3為0001代表廣播(Broadcast),參數(shù)A4為0010代表傳送至一目的地,參數(shù)A5為0011代表過濾���。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)知道參數(shù)A3~A5僅是一種選擇實施例,本發(fā)明并不以此為限��。舉例說明�����,在另一實施例中����,參數(shù)A3為0001可代表其他動作,例如復(fù)制��。在又一實施例中,參數(shù)A3也可以為111100,藉以代表廣播�。
程序單元P6的項目E6、項目E6的位寬度�����、參數(shù)A6與參數(shù)A6的位寬度分別定義為決策(檢查因特網(wǎng)協(xié)議地址)��、4bits�、 192.168.101.88與32bits。程序單元P7的項目E7����、項目E7的位寬度、參數(shù)A7與參數(shù)A7的位寬度分別定義為決策(檢查因特網(wǎng)協(xié)議地址)�、4bits、 192. 168. 1. 1 0與32bits�。
程序單元P8的項目E8、項目E8的位寬度�����、參數(shù)A8與參數(shù)A8的位寬度分別定義為邏輯運算子(Logic Operator) ���、 4bits����、 001與4bits。程序單元P9的項目E9���、項目E9的位寬度�����、參數(shù)A9與參數(shù)A9的位寬度分別定義為邏輯運算子���、4bits、 010與4bits��。程序單元P10的項目EIO�����、項目E10的位寬度�����、參數(shù)A10與參數(shù)A10的位寬度分別定義為邏輯運算子�����、4bits���、011與4bits��。在本實施例中���,參數(shù)A8為001代表AND,參數(shù)A9為010代表0R,參數(shù)A10為011代表NOT���。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)知道參數(shù)A8 ~A10僅是一種選擇實施例�����,本發(fā)明并不以此為限�。舉例說明��,在另一實施例中����,參數(shù)A8為001可代表其他邏輯運算子,例如NAND���、 NOR�����、 XOR或XNOR…等�����。在又一實施例中��,參數(shù)A8也可以為10100,藉以代表AND�。
完成步驟S201之后可接續(xù)步驟S202,產(chǎn)生存取控制列表的條目,此條目可連結(jié)程序單元Pl ~ P10的多個程序單元��。值得注意的是����,程序單元Pl ~P10可重復(fù)地被多個條目進(jìn)行連結(jié)。此外�,本領(lǐng)域技術(shù)人員可重復(fù)執(zhí)行步驟S202藉以產(chǎn)生多個條目。舉例來說��,圖4是依照本發(fā)明的一實施例的多個條目的示意圖���。請合并參照圖2 圖4,在本實施例中,多個條目以4個條目為例進(jìn)行說明�,其分別為Ent —0~Ent-3。
條目Ent —O依序連結(jié)了程序單元Pl�����、 P9��、 P2����、 P3。條目Ent — 0代表的意義為當(dāng)接收到分組時���,會檢查分組的媒體存取控制地址是否為0090c30000(U或 0080clOOOOOS �。當(dāng)分組的i某體存取控制地址為0090c3000001或0080cl000008則廣纟番分組�;反之,則不廣播分組����。
條目Ent —1依序連結(jié)了程序單元Pl、 P8��、 P6���、 P4��。條目Ent —l代表的意義為當(dāng)接收到分組時���,會檢查分組的媒體存取控制地址是否為0090c3000001且因特網(wǎng)協(xié)議地址是否為192. 168. 101. 88��。當(dāng)分組的媒體存取控制地址為0090c3000001且因特網(wǎng)協(xié)議地址為192,168.101.88時�,則將分組傳送至一目的地�����;反之��,則不傳送此分組至上述目的地����。
條目Ent —2依序連結(jié)了程序單元P1、 P9����、 P2、 P9����、 P7�����、 P5。條目Ent一2代表的意義為當(dāng)接收到分組時����,會檢查分組的媒體存取控制地址是否為0090c3000001或媒體存取控制地址是否為0080cl 000008或因特網(wǎng)協(xié)議地址是否為192. 168. 1. 10。當(dāng)分組的媒體存取控制地址為0090c3000001或媒體存取控制地址為Q080cl000008或因特網(wǎng)協(xié)議地址為192. 168. 1. 1 0時�����,則過濾分組�����;反之��,則不過濾分組�。
條目Ent-3依序連結(jié)了程序單元P10、 Pl��、 P5�。條目Ent-2代表的意義為當(dāng)接收到分組時,會檢查分組的媒體存取控制地址是否不是0090c3000001��。當(dāng)分組的i某體存取控制地址不為0090c3000001時,則過濾分組�;反之,則不過濾分組�。
從上述可清楚看出,本實施例的存取控制列表的各條目可擁有相同數(shù)量的程序單元�,也可擁有相異數(shù)量的程序單元。更具體地說���,本實施例的存取控制列表的各條目彼此互相獨立(Independent)����,并不受限于必須具有相同的程序單元�����。與現(xiàn)有相較之下���,本實施例各條目中的程序單元皆能有效地被利用���。
另外,在條目Ent —0-Ent-3都有使用程序單元P1�,也就是說程序單元P4雖被使用了 4次,但程序單元P1卻僅占了 48bits���。與現(xiàn)有技術(shù)相比較����,現(xiàn)有若有4個條目皆檢查相同的媒體存取控制地址,則需要占用48x4 =19 2b i t s �����。因此本實施例可有效降低存取控制列表所占用的空間����。
再者�,本實施例中各條目因配合使用了程序單元P8-P10的邏輯運算子A8 A10,因此能使各條目更有彈性變化���。
雖然上述實施例中已經(jīng)對存取控制列表的條目產(chǎn)生方法描繪出了一個可能的型態(tài)����,但所屬技術(shù)領(lǐng)域的技術(shù)人員應(yīng)當(dāng)知道����,各廠商對于存取控制列表的條目產(chǎn)生方法的步驟設(shè)計都不一樣,因此本發(fā)明的應(yīng)用當(dāng)不限制于此種可能的型態(tài)�。換言之���,只要是此存取控制列表的條目產(chǎn)生方法定義了多個程序單元,并利用條目連結(jié)上述多個程序單元的Ni個程序單元����,且各
程序單元還能供其他條目進(jìn)行連結(jié),就已經(jīng)是符合了本發(fā)明的精神所在�。以下再舉幾個實施方式以便本領(lǐng)域技術(shù)人員能夠更進(jìn)一步的了解本發(fā)明的
精神,并實施本發(fā)明�。
上述實施例中,各程序單元的項目雖僅以媒體存取控制地址�����、動作�����、因特網(wǎng)協(xié)議地址與邏輯運算子為例進(jìn)行說明����,但本發(fā)明并不以此為限。在其他實施例中�����,本領(lǐng)域技術(shù)技術(shù)人員可依其需求將程序單元的項目定義為其他內(nèi)容。
另外�����,上述實施例中���,各程序單元的項目與參數(shù)的位寬度僅是一種選擇實施例��,本發(fā)明并不以此為限。在其他實施例中���,本領(lǐng)域技術(shù)技術(shù)人員可依其需求自行定義各程序單元的項目與參數(shù)的位寬度���。請再參照圖3,值得一提的是,上述實施例中的各程序單元可互相獨立�。更具體地說,上述實施例中參數(shù)Al與參數(shù)A2的位寬度雖設(shè)置為相同�����,但本發(fā)明并不以此為限��。在其他實施例中,參數(shù)Al與參數(shù)A2的位寬度也可設(shè)置為不同�����。
綜上所述�,本發(fā)明定義多個程序單元。另外�����,產(chǎn)生存取控制列表的條目��,此條目連結(jié)多個程序單元中的N,個程序單元���,N!為正整數(shù)���,且各程序單元還能供其他條目進(jìn)行連結(jié)。因此能降低存取控制列表所占的儲存空間����。再者,本發(fā)明的實施例至少具有下列功效
1. 本發(fā)明的實施例中存取控制列表的各條目彼此互相獨立�,并不受限于必須具有相同的程序單元。與現(xiàn)有相比較����,本發(fā)明的實施例各條目中的程序單元皆能有效地被利用���。
2. 由于程序單元可重復(fù)被使用,因此可有效降低存取控制列表所占用的空間�。
3. 配合使用了程序單元的邏輯運算子,因此能使各條目更有彈性變化�����。雖然本發(fā)明已以幾個實施例揭示如上��,然其并非用以限定本發(fā)明�,本
領(lǐng)域的技術(shù)人員在不脫離本發(fā)明的精神和范圍的前提下可作若干的更動與潤飾,因此本發(fā)明的保護(hù)范圍以本發(fā)明的權(quán)利要求為準(zhǔn)����。
9
權(quán)利要求
1.一種存取控制列表的條目產(chǎn)生方法���,包括定義多個程序單元�����,各該程序單元包括一項目與對應(yīng)該項目的一參數(shù)��;以及產(chǎn)生該存取控制列表的一第一條目����,其中該第一條目連結(jié)所述程序單元中的N1個程序單元,N1為正整數(shù)��,且所述程序單元還能供其他條目進(jìn)行連結(jié)�����。
2. 如權(quán)利要求1所述的存取控制列表的條目產(chǎn)生方法�����,還包括 產(chǎn)生該存取控制列表的一第二條目��,其中該第二條目連結(jié)所述程序單元中的N2個程序單元�,N2為正整數(shù)。
3. 如權(quán)利要求2所述的存取控制列表的條目產(chǎn)生方法����,其中Ni = N2。
4. 如權(quán)利要求2所述的存取控制列表的條目產(chǎn)生方法�����,其中N—N2。
5. 如權(quán)利要求1所述的存取控制列表的條目產(chǎn)生方法��,其中定義所述 程序單元的步驟包括定義該項目�����,該項目為一邏輯運算子���、 一決策或一動作�����;以及 定義該參數(shù)��。
6. 如權(quán)利要求5所述的存取控制列表的條目產(chǎn)生方法���,其中該邏輯運 算子包括AND、 NAND�、 0R�、 N0R、 N0T����、 X0R或XN0R�����。
7. 如權(quán)利要求5所述的存取控制列表的條目產(chǎn)生方法����,其中該決策包 括檢查媒體存取控制地址或因特網(wǎng)協(xié)議地址��。
8. 如權(quán)利要求5所述的存取控制列表的條目產(chǎn)生方法�����,其中該動作包 括傳送至一目的地��、過濾����、廣播或復(fù)制。
9. 如權(quán)利要求5所述的存取控制列表的條目產(chǎn)生方法����,其中定義該參 數(shù)的步驟包括定義該參數(shù)的位寬度。
10. 如權(quán)利要求1所述的存取控制列表的條目產(chǎn)生方法����,其中各該程序 單元互為獨立���。
全文摘要
一種存取控制列表的條目產(chǎn)生方法,其包括定義多個程序單元�����,各程序單元包括項目與對應(yīng)上述項目的參數(shù)�����。另外�,產(chǎn)生存取控制列表的條目。此條目連結(jié)上述程序單元中的N<sub>1</sub>個程序單元��,N<sub>1</sub>為正整數(shù)����,且各程序單元還能供其他條目進(jìn)行連結(jié)。因此能降低存取控制列表所占的儲存空間�����。
文檔編號H04L29/08GK101645913SQ20081012982
公開日2010年2月10日 申請日期2008年8月7日 優(yōu)先權(quán)日2008年8月7日
發(fā)明者楊文信 申請人:九旸電子股份有限公司