CN104184732A - 一种ip地址匹配ip范围策略的硬件实现方法 - Google Patents
一种ip地址匹配ip范围策略的硬件实现方法 Download PDFInfo
- Publication number
- CN104184732A CN104184732A CN201410420268.0A CN201410420268A CN104184732A CN 104184732 A CN104184732 A CN 104184732A CN 201410420268 A CN201410420268 A CN 201410420268A CN 104184732 A CN104184732 A CN 104184732A
- Authority
- CN
- China
- Prior art keywords
- address
- strategy
- result
- scope
- hardware implementation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种IP地址匹配IP范围策略的硬件实现方法,涉及到网络安全领域,首先提取IP报文的IP地址,与策略IP起始地址做减法运算得出结果1,然后将策略IP范围与结果1再次做减法运算得出结果2,根据结果1和结果2判断所提取的IP地址是否命中策略。本发明通过硬件实现简单的减法运算,在两个时钟周期内完成判断IP地址是否命中一条IP范围策略,与传统软件实现的形式相比,显著降低了系统开销,提高了IP地址匹配IP范围策略的效率。
Description
技术领域
本发明涉及网络安全领域,具体地说是一种IP地址匹配IP范围策略的硬件实现方法。
背景技术
在一些防火墙或网闸设备中,需要对IP地址进行过滤或策略匹配操作,目前多为软件实现,这使得系统开销大,效率降低。因此考虑如何利用硬件方法匹配策略,成为解决IP地址匹配IP范围策略的新尝试。
发明内容
针对现有技术存在的不足之处,本发明提供了一种IP地址匹配IP范围策略的硬件实现方法。
本发明所述IP地址匹配IP范围策略的硬件实现方法,解决上述技术问题采用的技术方案如下:首先在一个IP报文中提取出IP地址,将所提取的IP地址与策略IP起始地址做减法运算得出结果1;然后,策略IP范围(即策略IP起始地址与策略IP终止地址的差值)与结果1再次做减法运算得出结果2,根据结果1和结果2判断所提取的IP地址是否命中策略。
进一步,根据结果1和结果2判断所提取的IP地址是否命中策略是指,检测结果2的标志位是否置位,若置位,则没有命中策略;反之,表示策略命中,进行提取IP报文所需要执行的策略,进行后续操作。
进一步,所述IP报文中提取的IP地址包含源地址与目的地址,所述策略中也包含源地址和目的地址,并且所述源地址与目的地址是分别匹配的。
进一步,所述策略包含两种形式,分别为:IP起始地址和IP终止地址形式,以及IP地址和掩码形式,所述IP地址和掩码形式能够由硬件转换为第一种形式,即起始地址和终止地址形式。
进一步,所述策略的IP地址和掩码形式为192.168.1.0/255.255.255.0,由硬件转换为起始地址和终止地址形式为:192.168.1.0-192.168.1.255。
本发明所述一种IP地址匹配IP范围策略的硬件实现方法与现有技术对比具有的有益效果:所述IP地址匹配IP范围策略的硬件实现方法,通过硬件实现简单的减法运算,在两个时钟周期内完成判断IP地址是否命中一条IP范围策略,与传统软件实现的形式相比,显著降低了系统开销,显著提高了IP地址匹配IP范围策略的效率。
附图说明
附图1为所述IP地址匹配IP范围策略的硬件实现方法框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图
本发明的一种IP地址匹配IP范围策略的硬件实现方法进行详细说明。
本发明所述IP地址匹配IP范围策略的硬件实现方法,首先在一个IP报文中提取出IP地址,将所提取的IP地址与策略IP起始地址做减法运算得出结果1;策略IP范围(即策略IP起始地址与策略IP终止地址的差值)与结果1再次做减法运算得出结果2,根据结果1和结果2判断所提取的IP地址是否命中策略。
上述IP报文中提取的IP地址包含源地址与目的地址,上述策略中也包含源地址和目的地址,并且所述源地址与目的地址是分别匹配的。
本发明所述IP范围策略包含两种形式,分别为:IP起始地址和IP终止地址形式;IP地址和掩码形式。
实施例:
下面通过一个实施例,对本发明所述IP地址匹配IP范围策略的硬件实现方法的优点和设计内容,进行详细说明。
本实施例所述IP地址匹配IP范围策略的硬件实现方法,所述(IP范围)策略包含两种形式,分别为:IP起始地址和IP终止地址形式,如192.168.0.1—
192.168.0.100;以及IP地址和掩码形式,如192.168.1.0/255.255.255.0。所述IP地址和掩码形式将由硬件转换为第一种形式,即起始地址和终止地址形式,如192.168.1.0-192.168.1.255。
附图1为所述IP地址匹配IP范围策略的硬件实现方法框图,如附图1所示,提取IP报文的IP地址假设为X,策略起始IP地址假设为Y,策略终止IP地址假设为Z;首先,做X-Y和Z-Y运算,得到结果1设为N和策略IP范围设为M;然后,进行M-N运算,得到结果2设为L,检测L的标志位是否置位,若置位,表示没有命中策略,反之,表示策略命中,提取IP报文所需要执行的策略,进行后续操作。
从所述IP地址匹配IP范围策略的硬件实现方法的流程可知,结果1只需要一个时钟周期就可以完成,结果2需要两个时钟周期,因此整个过程可以保证在2个时钟周期内完成策略匹配是否命中的判断。通过该方法,硬件实现策略匹配,可以降低系统开销,显著提高了IP地址匹配IP范围策略的效率。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
Claims (4)
1.一种IP地址匹配IP范围策略的硬件实现方法,其特征在于, 首先在一个IP报文中提取出IP地址,将所提取的IP地址与策略IP起始地址做减法运算得出结果1;然后,策略IP范围即策略IP起始地址与策略IP终止地址的差值,与结果1再次做减法运算得出结果2,根据结果1和结果2判断所提取的IP地址是否命中策略。
2.根据权利要求1所述的一种IP地址匹配IP范围策略的硬件实现方法,其特征在于, 根据结果1和结果2判断所提取的IP地址是否命中策略是指,检测结果2的标志位是否置位,若置位,则没有命中策略;反之,表示策略命中,进行提取IP报文所需要执行的策略,进行后续操作。
3.根据权利要求2所述的一种IP地址匹配IP范围策略的硬件实现方法,其特征在于, 所述策略包含两种形式,分别为:IP起始地址和IP终止地址形式,以及IP地址和掩码形式,所述IP地址和掩码形式能够由硬件转换为第一种形式,即起始地址和终止地址形式。
4.根据权利要求3所述的一种IP地址匹配IP范围策略的硬件实现方法,其特征在于, 所述策略的IP地址和掩码形式为192.168.1.0/255.255.255.0,由硬件转换为起始地址和终止地址形式为:192.168.1.0-192.168.1.255。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410420268.0A CN104184732A (zh) | 2014-08-25 | 2014-08-25 | 一种ip地址匹配ip范围策略的硬件实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410420268.0A CN104184732A (zh) | 2014-08-25 | 2014-08-25 | 一种ip地址匹配ip范围策略的硬件实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104184732A true CN104184732A (zh) | 2014-12-03 |
Family
ID=51965474
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410420268.0A Pending CN104184732A (zh) | 2014-08-25 | 2014-08-25 | 一种ip地址匹配ip范围策略的硬件实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104184732A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107707485A (zh) * | 2017-10-23 | 2018-02-16 | 济南浪潮高新科技投资发展有限公司 | 一种范围型ip报文策略匹配电路及方法 |
| CN108449445A (zh) * | 2018-04-13 | 2018-08-24 | 济南浪潮高新科技投资发展有限公司 | 一种范围型报文匹配电路及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050018683A1 (en) * | 2003-07-21 | 2005-01-27 | Zhao Yigiang Q. | IP address storage technique for longest prefix match |
| CN1809033A (zh) * | 2006-02-16 | 2006-07-26 | 四川南山之桥微电子有限公司 | 网络地址转换的硬件实现方法 |
| CN101039253A (zh) * | 2006-03-17 | 2007-09-19 | 中兴通讯股份有限公司 | 一种实现三重内容可寻址存储器范围匹配的前缀扩展方法 |
| CN102055594A (zh) * | 2010-12-30 | 2011-05-11 | 上海顶竹通讯技术有限公司 | 一种根据ip地址确认计费策略的方法及装置 |
| CN102291472A (zh) * | 2011-09-09 | 2011-12-21 | 华为数字技术有限公司 | 一种网络地址查找方法及装置 |
| US20140075050A1 (en) * | 2010-12-16 | 2014-03-13 | Microsoft Corporation | Identifying an efficient destination server |
-
2014
- 2014-08-25 CN CN201410420268.0A patent/CN104184732A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050018683A1 (en) * | 2003-07-21 | 2005-01-27 | Zhao Yigiang Q. | IP address storage technique for longest prefix match |
| CN1809033A (zh) * | 2006-02-16 | 2006-07-26 | 四川南山之桥微电子有限公司 | 网络地址转换的硬件实现方法 |
| CN101039253A (zh) * | 2006-03-17 | 2007-09-19 | 中兴通讯股份有限公司 | 一种实现三重内容可寻址存储器范围匹配的前缀扩展方法 |
| US20140075050A1 (en) * | 2010-12-16 | 2014-03-13 | Microsoft Corporation | Identifying an efficient destination server |
| CN102055594A (zh) * | 2010-12-30 | 2011-05-11 | 上海顶竹通讯技术有限公司 | 一种根据ip地址确认计费策略的方法及装置 |
| CN102291472A (zh) * | 2011-09-09 | 2011-12-21 | 华为数字技术有限公司 | 一种网络地址查找方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 中国铁路总公司: "数据通信网基本概念", 《高速铁路通信技术 承载网》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107707485A (zh) * | 2017-10-23 | 2018-02-16 | 济南浪潮高新科技投资发展有限公司 | 一种范围型ip报文策略匹配电路及方法 |
| CN108449445A (zh) * | 2018-04-13 | 2018-08-24 | 济南浪潮高新科技投资发展有限公司 | 一种范围型报文匹配电路及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2016178090A3 (en) | Establishing media paths in real time communications | |
| CN102780641B (zh) | 快速转发引擎的流表老化方法、装置以及交换机 | |
| CN103152341A (zh) | 一种虚实结合的网络安全态势感知仿真方法及系统 | |
| EP2683130A3 (en) | Social network protection system | |
| CN104184732A (zh) | 一种ip地址匹配ip范围策略的硬件实现方法 | |
| CN105791027B (zh) | 一种工业网络异常中断的检测方法 | |
| EP2560342A3 (en) | Method, system and apparatus for protecting a BSF entity from attack, and BSF entity | |
| CN103442015A (zh) | 一种基于linux虚拟网卡的在无线网络控制器上对capwap隧道数据的处理方法及系统 | |
| CN104852921A (zh) | 网络设备防开放端口攻击测试系统及方法 | |
| EP2811715A3 (en) | Systems and methods for intermediate message authentication in a switched-path network | |
| CN104519021A (zh) | 防止恶意流量攻击的方法及装置 | |
| CN102752208B (zh) | 防止半连接攻击的方法及系统 | |
| CN102413460A (zh) | 无线传感器网络协议安全性测试系统 | |
| CN106487718A (zh) | 一种自主可控路由器控制交换系统 | |
| CN105049437A (zh) | 一种网络应用层数据过滤方法 | |
| CN103188355B (zh) | 一种通过预判断对报文进行动态匹配的方法 | |
| CN105488394A (zh) | 一种面向蜜罐系统进行入侵行为识别和分类的方法及系统 | |
| CN104539528A (zh) | 多核通信设备及其与radius服务器间报文交互方法 | |
| CN107948139B (zh) | 一种基于安全策略管控的变电站监控网络调试方法 | |
| CN102752304B (zh) | 防止半连接攻击的方法及系统 | |
| CN103716288B (zh) | 用于数据处理的系统和方法 | |
| CN201947299U (zh) | 基于量子化节点的横向数据认证系统 | |
| CN105187324A (zh) | 一种sdn流转发的数量限制方法和控制系统 | |
| CN105740706A (zh) | 基于api名称和立即数的启发式样本检测方法及系统 | |
| CN106130910A (zh) | 一种报文匹配方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141203 |
|
| WD01 | Invention patent application deemed withdrawn after publication |