一种快速访问ACL规则链的方法及系统.pdf

本发明提供一种快速访问ACL规则链的方法及系统，通过使用ACL头部控制块信息和辅助数组加速对ACL规则链的访问，当ACE链中的ACE数量大于预先设定的门限值时，插入ACE时使用辅助数组对待插入ACE区间进行快速定位，进而通过遍历待插入ACE区间查找插入位置，执行插入ACE操作，然后更新辅助数组各成员；删除ACE时使用辅助数组对待删除ACE区间进行快速定位，进而通过遍历查找待删除ACE区间查找待删除的ACE，查找成功后更新辅助数组各成员，然后执行删除ACE操作。本发明的方法及系统解决了当ACL的ACE链中存在大量ACE时访问耗时的问题，同时增强了用户体验。

权利要求书1.  一种快速访问ACL规则链的方法，其特征在于，包括以下步骤：A、通过访问控制列表ACL头部控制块信息统计访问控制表项ACE链中的ACE数量；B、判断得到的ACE数量是否大于等于第一门限值，如是，则执行步骤C，否则执行步骤D；C、当ACE数量大于或等于第一门限值，构建辅助数组，所述辅助数组各个成员分别与ACE链等分位置一一对应；当请求插入或删除ACE时，使用辅助数组查找待插入或删除的ACE区间，通过遍历待插入或删除的ACE区间查找待插入或删除ACE位置，执行插入或删除ACE操作；D、当ACE数量小于第一门限值，请求插入或删除ACE时，通过遍历ACE链查找插入或删除ACE位置，执行插入或删除ACE操作。2.  根据权利要求1所述的方法，其特征在于，所述ACL头部控制块信息至少包括：第一指针字段、第一计数字段、启用辅助数组标志字段以及第二计数字段；所述第一指针字段指向ACE链第一条ACE；所述第一计数字段统计ACE链中ACE数量；所述启用辅助数组标志字段，当未启用辅助数组加速访问ACE链时启用辅助数组标志字段设置为第一参数，否则设置为第二参数；所述第二计数字段统计插入或删除ACE总次数；所述的辅助数组各成员至少包括：第二指针字段、前向访问计数字段、后向访问计数字段以及移动门限字段；所述第二指针字段指向ACE链等分位置ACE，所述前向访问计数字段统计在当前ACE链等分位置前插入或删除ACE次数，所述后向访问计数字段统计在当前ACE链等分位置后插入或删除ACE次数，所述移动门限字段为第二指针字段需要移动时的移动门限值。3.  根据权利要求1或2所述的方法，其特征在于，所述步骤C中插入ACE的具体方法为：C1、根据待插入ACE的序号，通过辅助数组查找待插入ACE区间，通过遍历待插入ACE区间查找插入位置；C2、执行插入该ACE操作；C3、插入该ACE成功后，更新辅助数组成员。4.  根据权利要求1或2所述的方法，其特征在于，所述步骤C中删除ACE 的具体方法为：C1、根据待删除ACE的序号，通过辅助数组查找待删除ACE区间，通过遍历待删除ACE区间查找待删除ACE；C2、查找待删除ACE成功后，更新辅助数组成员；C3、执行删除该ACE操作。5.  根据权利要求4所述的方法，其特征在于，当所述步骤C2查找到的待删除ACE为ACE链等分位置处ACE时，判断指向该等分位置处ACE的数组成员的后向访问计数字段与前向访问计数字段的差值是否大于或等于0，若大于或等于0，则该辅助数组成员重新对应该等分位置的后一个ACE，否则该辅助数组成员所对应该等分位置的前一个ACE，然后更新辅助数组成员，执行删除该ACE操作，并释放该ACE所占内存空间。6.  根据权利要求5所述的方法，其特征在于，所述更新辅助数组成员具体包括：当ACE插入区间在辅助数组成员所对应ACE链等分位置之后，则辅助数组成员的后向访问计数字段加一；当ACE插入区间在辅助数组成员所对应ACE链等分位置之前，则辅助数组成员的前向访问计数字段加一；当ACE删除区间在辅助数组成员所对应ACE链等分位置之后，则辅助数组成员的后向访问计数字段减一；当ACE删除区间在辅助数组成员所对应ACE链等分位置之前，则辅助数组成员的前向访问计数字段减一。7.  根据权利要求5所述的方法，其特征在于，所述步骤C还包括辅助数组成员第二指针字段的移动操作，当辅助数组成员的后向访问计数字段和前向访问计数字段都为0，则该辅助数组成员的第二指针字段不移动；当辅助数组成员的后向访问计数字段和前向访问计数字段之差大于或等于移动门限值字段，则将辅助数组成员的后向访问计数字段和前向访问计数字段分别设置为0，辅助数组成员的第二指针字段指向原所对应ACE链等分位置的后一个ACE；当辅助数组成员的后向访问计数字段和前向访问计数字段之差小于移动门限值字段，则将辅助数组成员的后向访问计数字段和前向访问计数字段分别设置为0，辅助数组成员的第二指针字段指向原所对应ACE链等分位置的前一个ACE。8.  根据权利要求7所述的方法，其特征在于，当第二计数字段大于第二门 限值时，则将第二计数字段置为0，重新计算辅助数组成员的第二指针字段所指向的ACE，并将前向访问计数字段和后向访问计数字段分别设置为0。9.  一种快速访问ACL规则链的系统，其特征在于，用于实施权利要求1-8任一项所述快速访问ACL规则链的方法，包括数据管理模块、判断模块以及ACE操作模块；所述数据管理模块，包括用于统计ACE链中的ACE数量的ACL头部控制块信息，以及用于快速查找待插入或者删除ACE的区间的辅助数组；所述判断模块，用于根据ACL头部控制块信息统计的ACE数量，判断统计的ACE数量是否大于等于第一门限值，若是则启用辅助数组加速访问ACE链，否则不启用辅助数组加速访问ACE链；所述ACE操作模块，用于对ACE进行插入或删除操作。10.  根据权利要求9所述的系统，其特征在于，所述启用辅助数组具体为：构建辅助数组，并且辅助数组成员与ACE链等分位置一一对应。

说明书一种快速访问ACL规则链的方法及系统
技术领域
本发明属于数据报文控制领域，具体涉及一种快速访问ACL规则的方法及系统。
背景技术
ACL(Access Control List，访问控制列表)是用来实现数据识别功能的，ACL表由一条或若干条ACE(Access Control Entry，访问控制表项，即规则表项，也称为规则链)顺序链接而成。数据在ACE链中查找匹配规则，查找到匹配规则后，根据匹配规则定义的动作，对数据进行过滤。
ACL是数据通信领域中过滤数据报文、地址等的一种重要功能。在实际应用环境中，一个ACL模板可能含有比较少的ACE，也可能含有很多ACE(如一个ACL模板中含有数万条ACE)。
在ACL的ACE数量很大的时候，按照顺序链表的一般的访问方法：插入ACE时，顺寻遍历ACE链，查找到插入ACE位置，然后将ACE插入该位置；删除时，先顺序查找ACE链，查找到删除的ACE，将ACE下链。重要的顺序查找都比较耗时，用户体验不好。
如何快速查找到插入ACE位置和需要删除的ACE，在ACL功能中相当重要。
发明内容
本发明所要解决的技术问题是：当ACL中ACE数量很大时，进行ACE的插入或删除操作费时的问题，本发明提出一种快速访问ACL规则链的方法。
本发明解决其技术问题采用的技术方案是：一种快速访问ACL规则链的方法，具体包括以下步骤：
A、通过访问控制列表ACL头部控制块信息统计访问控制表项ACE链中的ACE数量；
B、判断得到的ACE数量是否大于等于第一门限值，如是，则执行步骤C，否则执行步骤D；
C、当ACE数量大于或等于第一门限值，构建辅助数组，所述辅助数组各个成员分别与ACE链等分位置一一对应；当请求插入或删除ACE时，使用辅助数组查找待插入或删除的ACE区间，通过遍历待插入或删除的ACE区间查找待插 入或删除ACE位置，执行插入或删除ACE操作；
D、当ACE数量小于第一门限值，请求插入或删除ACE时，通过遍历ACE链查找插入或删除ACE位置，执行插入或删除ACE操作。
进一步地，所述ACL头部控制块信息至少包括：第一指针字段、第一计数字段、启用辅助数组标志字段以及第二计数字段；所述第一指针字段指向ACE链第一条ACE；所述第一计数字段统计ACE链中ACE数量；所述启用辅助数组标志字段，当未启用辅助数组加速访问ACE链时启用辅助数组标志字段设置为第一参数，否则设置为第二参数；所述第二计数字段统计插入或删除ACE总次数；
所述的辅助数组各成员至少包括：第二指针字段、前向访问计数字段、后向访问计数字段以及移动门限字段；所述第二指针字段指向ACE链等分位置ACE，所述前向访问计数字段统计在当前ACE链等分位置前插入或删除ACE次数，所述后向访问计数字段统计在当前ACE链等分位置后插入或删除ACE次数，所述移动门限字段为第二指针字段需要移动时的移动门限值；
进一步地，所述步骤C插入ACE的具体方法为：
C1、构建辅助数组，所述辅助数组各个成员分别与ACE链等分位置一一对应；
C2、根据待插入ACE的序号，通过辅助数组查找待插入ACE区间，通过遍历待插入ACE区间查找插入位置；
C3、执行插入该ACE操作；
C4、插入该ACE成功后，更新辅助数组成员；
进一步地，所述步骤C删除ACE的具体方法为：
C1、构建辅助数组，所述辅助数组各个成员分别与ACE链等分位置一一对应；
C2、根据待删除ACE的序号，通过辅助数组查找待删除ACE区间，通过遍历待删除ACE区间查找待删除ACE；
C3、查找待删除ACE成功后，更新辅助数组成员；
C4、执行删除该ACE操作。
进一步地，当所述步骤C2查找到的待删除ACE为ACE链等分位置处ACE时，判断指向该等分位置处ACE的数组成员的后向访问计数字段与前向访问计数字 段的差值是否大于或等于0，若大于或等于0，则该辅助数组成员重新对应该等分位置的后一个ACE，否则该辅助数组成员所对应该等分位置的前一个ACE，然后更新辅助数组成员，执行删除该ACE操作，并释放该ACE所占内存空间。
进一步地，所述更新辅助数组成员具体包括：当ACE插入区间在辅助数组成员所对应ACE链等分位置之后，则辅助数组成员的后向访问计数字段加一；当ACE插入区间在辅助数组成员所对应ACE链等分位置之前，则辅助数组成员的前向访问计数字段加一；当ACE删除区间在辅助数组成员所对应ACE链等分位置之后，则辅助数组成员的后向访问计数字段减一；当ACE删除区间在辅助数组成员所对应ACE链等分位置之前，则辅助数组成员的前向访问计数字段减一。
进一步地，所述步骤C还包括辅助数组成员第二指针字段的移动操作，当辅助数组成员的后向访问计数字段和前向访问计数字段都为0，则该辅助数组成员的第二指针字段不移动；
当辅助数组成员的后向访问计数字段和前向访问计数字段之差大于或等于移动门限值字段，则将辅助数组成员的后向访问计数字段和前向访问计数字段分别设置为0，辅助数组成员的第二指针字段指向原所对应ACE链等分位置的后一个ACE；
当辅助数组成员的后向访问计数字段和前向访问计数字段之差小于移动门限值字段，则将辅助数组成员的后向访问计数字段和前向访问计数字段分别设置为0，辅助数组成员的第二指针字段指向原所对应ACE链等分位置的前一个ACE。
进一步地，当第二计数字段大于第二门限值时，则将第二计数字段置为0，重新计算辅助数组成员的第二指针字段所指向的ACE，并将前向访问计数字段和后向访问计数字段分别设置为0。
本发明还提供一种快速访问ACL规则链的系统，包括数据管理模块、判断模块以及ACE操作模块；
所述数据管理模块，包括用于统计ACE链中的ACE数量的ACL头部控制块信息，以及用于快速查找待插入或者删除ACE的区间的辅助数组；
所述判断模块，用于根据ACL头部控制块信息统计的ACE数量，判断统计的ACE数量是否大于等于第一门限值，若是则启用辅助数组加速访问ACE链，否则不启用辅助数组加速访问ACE链；
所述ACE操作模块，用于对ACE进行插入或删除操作。
进一步地，所述启用辅助数组具体为：构建辅助数组，所述辅助数组成员与ACE链等分位置一一对应。
本发明的有益效果：本发明的快速访问ACL规则链的方法及系统，通过使用ACL头部控制块信息和辅助数组加速对ACL规则链的访问，当ACE链中的ACE数量大于预先设定的门限值时，插入ACE时使用辅助数组对待插入ACE区间进行快速定位，进而通过遍历待插入ACE区间查找插入位置，执行插入ACE操作，然后更新辅助数组各成员；删除ACE时使用辅助数组对待删除ACE区间进行快速定位，进而通过遍历查找待删除ACE区间查找待删除的ACE，查找成功后更新辅助数组各成员，然后执行删除ACE操作。本发明的方法及系统解决了当ACL的ACE链中存在大量ACE时访问耗时的问题，同时增强了用户体验。
附图说明
图1为本发明实施例提供的方法流程图。
图2为本发明实施例提供的ACL头部控制块信息示意图。
图3为本发明实施例提供的辅助数组示意图。
图4为本发明实施例提供的辅助数组与ACE链等分位置对应关系示意图。
图5为本发明实施例提供的插入规则的流程图。
图6为本发明实施例提供的使用二分法查找ACE的区间或位置的示意图。
图7为本发明实施例提供的删除规则的流程图。
具体实施方式
为方便本领域计数人员理解本发明的技术内容，下面结合附图对本发明作进一步解释。
如图1所示为本发明的方法流程图，本发明的一种快速访问ACL规则链的方法，通过引入ACL头部控制块信息和辅助数组加速对ACL规则链的访问，具体包括以下步骤：
A、通过ACL头部控制块信息统计ACE链中的ACE数量；
B、判断步骤A得到的ACE数量是否大于或等于第一门限值，如果是，则执行步骤C，否则执行步骤D；
C、当ACE数量大于等于第一门限值，构建辅助数组，所述辅助数组各个成 员分别与ACE链等分位置一一对应；当请求插入或删除ACE时，使用辅助数组查找待插入或删除的ACE区间，通过遍历待插入或删除的ACE区间查找待插入或删除ACE位置，执行插入或删除ACE操作；
D、当ACE数量小于第一门限值，请求插入或删除ACE时，通过遍历ACE链查找插入或删除ACE位置，执行插入或删除ACE操作。
如图2所示为本发明实施例提供的ACL头部控制块信息示意图，所述ACL头部控制块信息至少包括：
指向ACE链第一条ACE的第一指针字段ACE_HEAD；
统计ACE链中ACE数量的第一计数字段ACE_COUNT，例如当ACE链中每增加一条ACE则第一计数字段ACE_COUNT计数加1，ACE链中删除一条ACE则第一计数字段ACE_COUNT计数减1；
启用辅助数组标志字段ACE_ACCESS_ACCELERATE_USE，未启用辅助数组加速访问ACE链时启用辅助数组标志字段设置为第一参数，否则设置第二参数，例如启用辅助数组加速访问ACE链时，则ACE_ACCESS_ACCELERATE_USE置1，即第二参数，未启用辅助数组加速访问ACE，则ACE_ACCESS_ACCELERATE_USE置0，即第一参数；所述访问表示对ACE链进行插入或者删除ACE操作，后文中不再进行解释。
统计插入或删除ACE总次数的第二计数字段ACCESS_ACE_COUNT，在启用辅助数组加速访问ACE链时才修改该字段，例如插入或者删除一条ACE，则ACCESS_ACE_COUNT计数加1。
如图3所示为辅助数组示意图，在ACE比较多的时候，例如根据ACE数量预先设定第一门限值为1000，当ACE数量大于1000时，为了在ACE链中快速插入或者删除ACE，构造辅助数组S[N](N是经验值)，将ACE链划分成N等分，辅助数组各个成员与ACE链的等分位置一一对应，如图4所示。
所述的辅助数组各成员至少包括：
指向ACE链等分位置ACE的第二指针字段ACE_ED_PTR，记为S[i].ACE_ED_PTR，其中，i＝0，2，…，N-1，下面不再对i的取值范围作解释；
统计在当前ACE链等分位置前插入或删除ACE次数的前向访问计数字段PRE_COUNT，简记为S[i].PRE_COUNT；
统计在当前ACE链等分位置后插入或删除ACE次数的后向访问计数字段NEXT_COUNT,简记为S[i].NEXT_COUNT；
第二指针字段ACE_ED_PTR需要移动时的移动门限字段MOVE_COUNT，简记为S[i].MOVE_COUNT，这个值是根据辅助数组长度预先设定的，例如，具有8个成员的数组S[8]的各个成员对应的S[i].MOVE_COUNT依次为：8、4、8、2、8、4、8、8，即成员S[0]所对应的移动门限为S[0].MOVE_COUNT＝8，成员S[1]、S[2]……S[6]所对应的移动门限以成员S[0]为例，不再详细说明。
第一次启用辅助数组的操作流程如下：
ACE_ACCESS_ACCELERATE_USE为第一参数，表示未启用辅助数组加速访问ACE链，如图5所示，当向ACE链中执行插入ACE操作后，且ACE数量ACE_COUNT大于等于第一门限值，例如所述第一门限值根据ACE数量预设为1000，当ACE_COUNT大于等于1000时，则设置ACE_ACCESS_ACCELERATE_USE为第二参数，表示启用辅助数组进行访问加速，并构造辅助数组，如图6所示，这里的辅助数组的成员数以8为例进行说明，辅助数组成员S[0]、S[1]、S[2]、S[3]、S[4]、S[5]、S[6]依次与ACE链表的中的N/8，2N/8，3N/8，4N/8，5N/8，6N/8，7N/8等分位置对应，其中的第二指针字段ACE_ED_PTR依次指向ACE链表中的N/8，2N/8，3N/8，4N/8，5N/8，6N/8，7N/8等分位置处的ACE，S[7]不使用，且S[i].PRE_COUNT(其中i＝0，1，2，3，4，5，6，7)和S[i].NEXT_COUNT(其中i＝0，1，2，3，4，5，6，7)分别置为0。
所述步骤S3包括插入ACE操作以及删除ACE操作，如图7所示为启用辅助数组后插入ACE操作的流程：
如图6所示为使用二分法查找ACE的区间或位置的示意图，设插入ACE的序号为SEQ0，如果ACE_ACCESS_ACCELERATE_USE为第二参数，且ACE数量ACE_COUNT大于或等于第一门限值，则依次在ACE的辅助数组成员中遍历查找插入位置的区间，这里选择使用二分法进行遍历查找，其中，二分法查找流程为：比较序列号SEQ0与4N/8位置的ACE的序列号SEQ4n/8的大小，如果SEQ0>SEQ4n/8，继续判断SEQ0与6N/8位置的ACE序列号SEQ6n/8的大小，如果SEQ0>SEQ6n/8，继续判断SEQ0与7N/8位置的ACE的序列号的大小，如果SEQ0>SEQ7n/8，则从7N/8位置向后查找需要插入的位置，如果SEQ0<SEQ7n/8，则从7N/8位置向前查找插 入的位置,插入ACE后更新数组成员S[0]，S[1]，S[2]，S[3]，S[4]，S[5]，S[6]。其它位置区间的查找与此完全一致，这里就不叙述了。
如图7所示为删除规则的流程图，启用辅助数组后删除ACE的流程：
设删除ACE0的序号为SEQ0，如果ACE_ACCESS_ACCELERATE_USE为第二参数，且ACE数量超过第一门限值，则依次在ACE的辅助数组成员中遍历查找删除位置的区间，这里可以使用二分法进行遍历查找删除ACE0所在的区间。
查找到ACE0后，则作如下步骤的操作：
(1)如果ACE0正好是辅助数组成员S[i].ACE_ED_PTR所指向的ACE，则执行(3)，否则执行(2)；
(2)对辅助数组成员S[i]进行更新操作，然后执行步骤(4)；
(3)如果S[i].NEXT_COUNT-S[i].PRE_COUNT>＝0，则S[i].ACE_ED_PTR指向原所对应等分位置S[i].ACE_ED_PTR的后一个ACE，否则S[i].ACE_ED_PTR重新指向原所对应等分位置的前一个ACE，然后对辅助数组成员S[i]进行更新操作，执行步骤(4)；
(4)从ACE链表上删除ACE0，释放ACE0所占的内存空间。
当ACE_ACCESS_ACCELERATE_USE为第二参数，ACE数量小于第一门限值，即不需要启用辅助数组加速访问ACE链，则修改CE_ACCESS_ACCELERATE_USE为第一参数，直接遍历查找删除的ACE，链上存在ACE则从ACE链上删除。
所述辅助数组成员的更新操作包括插入更新操作以及删除更新操作，其中插入更新操作为：ACE插入区间在辅助数组成员S[i]所指向的ACE之后，辅助数组成员S[i]更新操作为：S[i].NEXT_COUNT加1，ACE插入区间在某个辅助数组成员所指向的ACE之前，则更新操作为：S[i]PRE_COUNT加1。
其中删除后的更新操作为：ACE删除区间在辅助数组成员S[i]所指向的ACE之后，辅助数组成员S[i]更新操作为：S[i].NEXT_COUNT减1，ACE插入区间在辅助数组成员S[i]所指向的ACE之前，则更新操作为：S[i].PRE_COUNT减1。
所述第二指针字段的移动操作具体为：当S[i].NEXT_COUNT和S[i].PRE_COUNT都为0则S[i].ACE_ED_PTR不移动；当S[i].NEXT_COUNT-S[i].PRE_COUNT>＝S[i].MOVE_COUNT，则S[i].NEXT_COUNT和S[i].PRE_COUNT分别设置为0，S[i].ACE_ED_PTR指向原所对应等分位置的后一个ACE；当 S[i].NEXT_COUNT-S[i].PRE_COUNT<S[i].MOVE_COUNT，则S[i].NEXT_COUNT和S[i].PRE_COUNT分别设置为0，S[i].ACE_ED_PTR指向原所对应等分位置前的ACE。
当多次插入和删除ACE后，S[i].ACE_ED_PTR所对应的等分位置与ACE实际等分位置可能产生误差。处理误差的方法为：当总的访问操作次数ACCESS_ACE_COUNT大于等于第二门限值，例如第二门限值根据总的访问次数预设为100，当ACCESS_ACE_COUNT大于等于100，则需要将ACCESS_ACE_COUNT设置为0，并重新计算辅助数组的成员中的ACE_ED_PTR所指向的等分位置，然后将S[i].NEXT_COUNT和S[i].PRE_COUNT分别设置为0。
所述步骤D插入ACE的操作为：遍历ACE链查找待插入ACE的位置，执行插入ACE操作；删除ACE操作为：遍历ACE链查找待删除ACE，执行删除ACE操作。
本发明还提供一种快速访问ACL规则链的系统，
包括：用于统计ACE链中的ACE数量的ACL头部控制块信息；用于快速查找待插入或者删除ACE的区间的辅助数组；判断模块以及ACE操作模块；
所述判断模块，根据ACL头部控制块信息统计的ACE数量，判断统计的ACE数量是否大于等于第一门限值，若是则启用辅助数组加速访问ACE链，否则不启用辅助数组加速访问ACE链；
所述ACE操作模块用于对ACE进行插入或删除操作；
所述启用辅助数组具体为：构建辅助数组，所述辅助数组成员与ACE链等分位置一一对应。本发明的快速访问ACL规则链的方法及系统，通过使用ACL头部控制块信息和辅助数组加速对ACL规则链的访问，当ACE链中的ACE数量大于预先设定的门限值时，插入ACE时使用辅助数组对待插入ACE区间进行快速定位，进而通过遍历待插入ACE区间查找插入位置，执行插入ACE操作，然后更新辅助数组各成员；删除ACE时使用辅助数组对待删除ACE区间进行快速定位，进而通过遍历查找待删除ACE区间查找待删除的ACE，查找成功后更新辅助数组各成员，然后执行删除ACE操作。本发明的方法及系统解决了当ACL的ACE链中存在大量ACE时访问耗时的问题，同时增强了用户体验。
本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施 例。对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的权利要求范围之内。