CN107124402A - 一种报文过滤的方法和装置 - Google Patents

Abstract

本申请提供一种报文过滤的方法和装置，应用于宽带远程接入服务器。所述方法包括：转发芯片将接收到的报文与会话表项进行匹配；其中，所述会话表项包括MAC地址，以及与所述MAC地址对应的报文处理标签；如果所述报文未命中会话表项，转发芯片将所述报文上送至CPU，由CPU基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，以及将所述会话表项下发至转发芯片；如果所述报文命中会话表项，转发芯片基于所述会话表项中的报文处理标签对所述报文进行过滤处理。采用本申请提供的方法，可以提高设备报文过滤的性能。

Description

一种报文过滤的方法和装置

技术领域

本申请涉及网络通信技术领域，特别涉及一种报文过滤的方法和装置。

背景技术

随着网络技术的不断发展，接入网络的设备数量以及设备的种类越来越多，从而使得在一些特定的使用场景中报文的流量过大，且在这大量的报文中，含有大量杂包，甚至含有大量攻击报文以及窃取网络资源的非法报文等。

在现有技术中，通过带有包过滤功能的设备将这些非法报文进行过滤。在实现时，设备接收到报文时，可以将报文上送至CPU，CPU可以从所述报文中获取该报文的五元组，然后基于所述五元组对该报文进行认证，如果认证通过就可以将该报文正常转发；如果认证失败，可以将该报文丢弃。

然而，现有技术无法彻底对非法报文完全过滤，且现有技术的会话策略是在IP层实现的，需要获取报文的五元组信息，而获得五元组信息需要逐层解析报文，从而使得设备性能较差。

发明内容

有鉴于此，本申请提供一种报文过滤的方法和装置，应用于宽带远程接入服务器，提高网络资源的安全性。

具体地，本申请是通过如下技术方案实现的：

一种报文过滤的方法，应用于宽带远程接入服务器，所述宽带远程接入服务器包括CPU和转发芯片，包括：

转发芯片将接收到的报文与会话表项进行匹配；其中，所述会话表项包括MAC地址，以及与所述MAC地址对应的报文处理标签；

如果所述报文未命中会话表项，转发芯片将所述报文上送至CPU，由CPU基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，以及将所述会话表项下发至转发芯片；

如果所述报文命中会话表项，转发芯片基于所述会话表项中的报文处理标签对所述报文进行过滤处理。

一种报文过滤的装置，应用于宽带远程接入服务器，所述宽带远程接入服务器包括CPU和转发芯片，包括：

匹配单元，用于转发芯片将接收到的报文与会话表项进行匹配；其中，所述会话表项包括MAC地址，以及与所述MAC地址对应的报文处理标签；

生成单元，用于如果所述报文未命中会话表项，转发芯片将所述报文上送至CPU，由CPU基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，以及将所述会话表项下发至转发芯片；

过滤单元，用于如果所述报文命中会话表项，转发芯片基于所述会话表项中的报文处理标签对所述报文进行过滤处理。

在本申请示出的实施例中，宽带远程接入服务器可以将接收到的报文上送至CPU，CPU可以通过该报文的源MAC地址对该报文进行安全认证，然后根据认证结果，针对该MAC地址创建会话表项，并将所述会话表项下发至转发芯片，从而，转发芯片可以根据会话表项对接收到报文进行匹配，并根据匹配结果对报文进行相应的过滤处理。由于本实施的会话策略是在转发芯片上实现，从而可以提高宽带远程接入服务器的报文过滤的性能。

附图说明

图1为本申请一示例性实施例示出的一种报文过滤的方法流程图；

图2为本申请一种报文过滤的装置所在宽带远程接入服务器的一种硬件结构图；

图3为本申请一示例性实施例示出的一种报文过滤的装置。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在网络中，各网络设备通过报文的传输，实现各网络设备之间的通信。其中，所述报文可以分为合法报文和非法报文。

为了将非法报文进行过滤，改善网络环境，在相关技术中，可以采用具有包过滤功能的设备对非法报文进行过滤。具体地，可以在设备的CPU上预配置报文过滤规则，然后将接收到的报文与报文过滤规则进行安全认证，认证成功则允许将该报文进行转发，否则将该报文进行丢弃。

其中，将接收到的报文与报文过滤规则进行安全认证时，设备可以将接收到的报文上传至CPU，然后可以通过获取报文的五元组，所述五元组为源IP地址、目的IP地址、协议类型(TCP包、UDP包)、源端口、目的端口，然后将所述五元组与报文过滤规则进行匹配，其中，所述报文过滤规则为针对报文的五元组制定的规则。从上述匹配过程可以看出该匹配过程在网络协议中的第三层实施的。

然而，一方面，相关技术中，带包过滤功能的设备每接收到报文，就需要将报文上送至CPU，由CPU对报文进行认证处理，这样会导致占用大量的CPU资源。

另一方面，设备接收到的报文中，大量报文的源MAC地址相同，那么采用上述技术方案对报文进行过滤时，均需要将这些报文上送CPU，由CPU对这些报文进行解析，并从中获取五元组，最后基于所述五元组对所述报文进行安全认证，这样的认证速率比较慢。

此外，认证设备上的过滤规则为预先配置的，在网络中传输的报文和种类数量庞大，且网络黑客可以采用相应的技术，将传输的报文规避掉过滤规则，因此，上述技术方案无法将所有的非法报文进行过滤，从而降低了认证设备的认证效率，使得网络资源的安全性降低。

综上所述，可以看出现有技术提出的方法中，设备的报文过滤的性能比较差。

为了解决相关技术中的问题，本申请提供了一种报文过滤的方法，应用于宽带远程接入服务器，所述宽带远程接入服务器包括CPU和转发芯片，通过转发芯片将接收到的报文与会话表项进行匹配；其中，所述会话表项包括MAC地址，以及与所述MAC地址对应的报文处理标签；如果所述报文未命中会话表项，转发芯片将所述报文上送至CPU，由CPU基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，以及将所述会话表项下发至转发芯片；如果所述报文命中会话表项，转发芯片基于所述会话表项中的报文处理标签对所述报文进行过滤处理。

在本申请示出的实施例中，宽带远程接入服务器可以将接收到的报文上送至CPU，CPU可以通过该报文的源MAC地址对该报文进行安全认证，然后根据认证结果，针对该MAC地址创建会话表项，并将所述会话表项下发至转发芯片，从而，转发芯片可以根据会话表项对接收到报文进行匹配，并根据匹配结果对报文进行相应的过滤处理。由于本实施的会话策略是在转发芯片上实现，从而可以提高宽带远程接入服务器的报文过滤的性能。

请参见图1，图1为本申请一示例性实施例示出的一种报文过滤的方法流程图，应用于宽带远程接入服务器，具体执行以下步骤：

步骤101：转发芯片将接收到的报文与会话表项进行匹配；其中，所述会话表项包括MAC地址，以及与所述MAC地址对应的报文处理标签；

步骤102：如果所述报文未命中会话表项，转发芯片将所述报文上送至CPU，由CPU基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，以及将所述会话表项下发至转发芯片；

步骤103：如果所述报文命中会话表项，转发芯片基于所述会话表项中的报文处理标签对所述报文进行过滤处理。

其中，上述宽带远程接入服务器包括CPU和转发芯片。

上述CPU中预先配置了MAC地址名单，用于对上送至CPU的报文进行MAC认证，并基于所述MAC地址创建对应的会话表项，然后将所述会话表项下发至转发芯片。这里只是对CPU上的配置以及CPU的MAC认证功能进行示例性说明，至于CPU的其它配置和功能在此不进行限定。

上述转发芯片的缓存空间中缓存了由若干会话表项组成的会话表，所述转发芯片用于将接收到的报文进行安全认证，然后将认证成功的报文进行转发，以及将认证失败的报文按照预设的处理策略进行处理。这里只是对转发芯片的配置和报文认证功能进行示例性说明，至于转发芯片的其它配置和功能在此不进行限定。

上述会话表项包括MAC地址，以及按照预设策略为MAC地址添加的报文处理标签。其中，所述报文处理标签用于将匹配中的报文，基于所述报文处理标签进行相应的处理。这里只是对会话表项的内容以及功能进行示例性说明，至于会话表项中的其它内容以及功能、会话表项的格式等在此不进行限定。

在本申请中，转发芯片将接收到的报文的MAC地址与缓存空间中的会话表项进行匹配。如果没有匹配成功，将所述报文上传至CPU。CPU对转发芯片上传的报文进行安全认证，并基于认证结果针对所述报文的MAC地址创建会话表项，然后将会话表项下发至转发芯片；如果匹配成功，将所述报文按照与匹配中的会话表项对应的报文处理标签进行处理。

在实现时，CPU上可以预先配置MAC地址白名单。

需要说明的是，在CPU上可以配置MAC地址黑名单。在实际中，需要根据具体的实际情况来考虑，比如，如果网络实际应用场景中限定了接入设备的数量，那么通常可以在CPU上配置MAC地址白名单，也可是黑名单。如果网络应用场景为整个英特网，那么接入网络的设备数量庞大，在CPU上配置MAC地址黑名单工程量比较庞大，一般配置MAC地址白名单比较实际、可行。

以下以CPU上预先配置了MAC地址白名单，对本申请提供的技术方案进行描述。

在示出的一种实施方式中，当转发芯片接收到报文时，可以解析该报文，并可以从该报文中获取该报文的源MAC地址。然后，转发芯片可以将该源MAC地址与缓存空间中缓存的若干会话表项进行匹配。

需要注意的是，在转发芯片解析该报文时，只需要解析到该报文的报头中的第二层，相比于相关技术中，在解析报文时，需要解析到报文的报头中的第三层，在本申请的技术方案中，转发芯片所需要付出的工作量更少。

一方面，如果该源MAC地址未匹配中会话表中的任何会话表项，转发芯片可以将该报文上送至CPU，由CPU对该报文进行安全认证。

当CPU接收到转发芯片上送的报文时，CPU可以解析该报文，并从该报文中获取该报文源MAC地址。然后，CPU可以将该源MAC地址与CPU上配置的MAC地址白名单进行匹配。

在一种可能发生的情况中，如果该源MAC地址匹配中MAC地址白名单中的任一MAC地址，表明发送该报文的目标设备为合法用户的设备，此时，CPU可以针对该源MAC地址创建对应的会话表项，并针对所述源MAC地址在所述会话表项中添加报文处理标签。

需要说明的是，CPU可以针对上述MAC地址添加报文处理标签，也可以不添加报文处理标签，这两种方式均可以，在本申请中对于选择何种方式不作限定。

在另一种可能发生的情况中，如果该源MAC地址与MAC地址白名单中的MAC地址均不匹配，表明发送该报文的目标设备为非法用户的设备，此时，CPU可以针对该源MAC地址创建对应的会话表项，并基于用户预配置的过滤策略，在所述会话表项中添加对应的报文处理标签。

需要说明的是，上述用户预配置的过滤策略可以基于需求进行更新，且所述过滤策略可以是多条过滤策略组成的集合，其中各过滤策略之间可以存在优先级。这里只是对过滤策略的构成形式进行示例性的说明，至于过滤策略的其它构成形式在此不进行限定。

当CPU创建完会话表项后，CPU可以将该会话表项下发至转发芯片。转发芯片接收到CPU下发的会话表项后，可以将该会话表项缓存至缓存空间。

另一方面，如果该源MAC地址匹配中会话表中的任一会话表项，转发芯片可以按照匹配中的会话表项中的报文处理标签，对报文进行相应的处理。

在可选的一种实施方式中，如果在针对MAC地址白名单中的MAC地址创建的会话表项中，也添加了报文处理标签，在这样的情况下，当报文的MAC地址匹配中会话表中的会话表项时，转发芯片可以将该报文按照匹配中的会话表项中的报文处理标签进行相应的处理。

其中，所述报文处理标签包括放行标签、告警标签、阻断标签。

在该实施方式中，转发芯片可以判断该报文匹配中的会话表项中报文处理标签为何种报文处理标签。如果匹配中的会话表项中的报文处理标签为放行标签，转发芯片可以将该报文进行转发。

如果匹配中的会话表项中的报文处理标签为阻断标签，转发芯片可以将该报文进行丢弃。

如果匹配中的会话表项中的报文处理标签为告警标签，转发芯片可以针对该报文生成告警日志，然后将所述告警日志发送至告警日志服务器。

需要说明的是，为了报文宽带远程接入服务器能够将所述告警日志发送至告警服务器，在宽带远程接入服务器上预先配置了告警日志服务器的IP地址及端口等信息。

在可选的另一种实施方式中，如果在针对MAC地址白名单中的MAC地址创建的会话表项中，不添加报文处理标签，在这样的情况下，当报文的MAC地址匹配中会话表中的会话表项时，转发芯片可以判断匹配中的会话表项是否存在报文处理标签。

当该匹配中的会话表项不存在报文处理标签时，转发芯片可以将该报文直接进行转发。

当该匹配中的会话表项中存在报文处理标签时，则转发芯片可以进一步判断该报文处理标签为何种报文处理标签。

如果该匹配中的会话表项中存在报文处理标签，转发芯片可以按照报文处理标签对该报文进行相应的处理。

如果匹配中的会话表项中的报文处理标签为阻断标签，转发芯片可以将该报文进行丢弃。

如果匹配中的会话表项中的报文处理标签为告警标签，转发芯片可以针对该报文生成告警日志，然后将所述告警日志发送至告警日志服务器。

在本申请中，CPU上的MAC地址白名单是用户预先配置的，用户可以对该MAC地址白名单进行更新，用户可以添加、删除或者修改白名单中的MAC地址。

当CPU上的MAC地址白名单发生更新时，CPU可以通知转发芯片清空缓存空间中缓存的会话表项。转发芯片接收到CPU发送的通知后，可以将缓存空间中缓存的若干会话表项进行清空，然后CPU可以对转发芯片上送的报文，基于更新后的MAC地址白名单，重新进行安全认证，以及重新创建对应的会话表项。

由以上本申请提供的技术方案可见，通过转发芯片将接收到的报文与会话表项进行匹配；其中，所述会话表项包括MAC地址，以及与所述MAC地址对应的报文处理标签；如果所述报文未命中会话表项，转发芯片将所述报文上送至CPU，由CPU基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，以及将所述会话表项下发至转发芯片；如果所述报文命中会话表项，转发芯片基于所述会话表项中的报文处理标签对所述报文进行过滤处理。

在本申请示出的实施例中，宽带远程接入服务器可以将接收到的报文上送至CPU，CPU可以通过该报文的源MAC地址对该报文进行安全认证，然后根据认证结果，针对该MAC地址创建会话表项，并将所述会话表项下发至转发芯片，从而，转发芯片可以根据会话表项对接收到报文进行匹配，并根据匹配结果对报文进行相应的过滤处理。由于本实施的会话策略是在转发芯片上实现，从而可以提高宽带远程接入服务器的报文过滤的性能。

与前述一种报文过滤的方法的实施例相对应，本申请还提供了一种报文过滤的装置的实施例。

本申请一种报文过滤的装置的实施例可以应用在宽带远程接入服务器上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在宽带远程接入服务器的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图2所示，为本申请一种报文过滤的装置所在宽带远程接入服务器的一种硬件结构图，除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的宽带远程接入服务器通常根据该报文过滤的实际功能，还可以包括其他硬件，对此不再赘述。

请参考图3，图3为本申请一示例性实施例示出的一种报文过滤的装置，应用于宽带远程接入服务器，所述宽带远程接入服务器包括CPU和转发芯片，所述装置包括：匹配单元310，生成单元320，过滤单元330。

其中，匹配单元310，用于转发芯片将接收到的报文与会话表项进行匹配；其中，所述会话表项包括MAC地址，以及与所述MAC地址对应的报文处理标签；

生成单元320，用于如果所述报文未命中会话表项，转发芯片将所述报文上送至CPU，由CPU基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，以及将所述会话表项下发至转发芯片；

过滤单元330，用于如果所述报文命中会话表项，转发芯片基于所述会话表项中的报文处理标签对所述报文进行过滤处理。

在本申请的实施例中，所述生成单元320具体用于：

获取所述报文的源MAC地址；

将所述源MAC地址与预设的MAC地址白名单进行匹配；

如果所述源MAC地址未命中所述MAC地址白名单，基于所述源MAC地址创建会话表项，并基于用户预配置的过滤策略在所述会话表项中添加对应的报文处理标签。

此外，所述生成单元320进一步用于：

如果所述源MAC地址命中所述MAC地址白名单，基于所述源MAC地址创建会话表项；其中，所述会话表项未携带报文处理标签。

在本申请中，所述报文处理标签包括阻挡标签以及告警标签，所述过滤单元330具体用于：

判断所述会话表项是否携带报文处理标签；

如果所述会话表项未携带报文处理标签，正常转发所述报文；

如果所述会话表项携带报文处理标签，则进一步识别所述处理标签的类型；

如果所述报文处理标签为阻断标签，将所述报文进行丢弃；

如果所述报文处理标签为告警标签，生成告警日志，并将所述生成的告警日志下发至告警日志服务器。

另外，本申请示出的所述装置中还包括：

清空单元，用于当所述预设的MAC地址白名单发生更新时，CPU通知所述转发芯片清空所述会话表中的会话表项。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (10)

1.一种报文过滤的方法，应用于宽带远程接入服务器，所述宽带远程接入服务器包括CPU和转发芯片，其特征在于，包括：

转发芯片将接收到的报文与会话表项进行匹配；其中，所述会话表项包括MAC地址，以及与所述MAC地址对应的报文处理标签；

如果所述报文未命中会话表项，转发芯片将所述报文上送至CPU，由CPU基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，以及将所述会话表项下发至转发芯片；

如果所述报文命中会话表项，转发芯片基于所述会话表项中的报文处理标签对所述报文进行过滤处理。

2.根据权利要求1所述的方法，其特征在于，所述基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，包括：

获取所述报文的源MAC地址；

将所述源MAC地址与预设的MAC地址白名单进行匹配；

如果所述源MAC地址未命中所述MAC地址白名单，基于所述源MAC地址创建会话表项，并基于用户预配置的过滤策略在所述会话表项中添加对应的报文处理标签。

3.根据权利要求2所述的方法，其特征在于，还包括：

如果所述源MAC地址命中所述MAC地址白名单，基于所述源MAC地址创建会话表项；其中，所述会话表项未携带报文处理标签。

4.根据权利要求2或3所述的方法，其特征在于，所述报文处理标签包括阻断标签以及告警标签；

所述基于所述会话表项中的报文处理标签对所述报文进行过滤处理，包括：

判断所述会话表项是否携带报文处理标签；

如果所述会话表项未携带报文处理标签，正常转发所述报文；

如果所述会话表项携带报文处理标签，则进一步识别所述处理标签的类型；

如果所述报文处理标签为阻断标签，将所述报文进行丢弃；

如果所述报文处理标签为告警标签，生成告警日志，并将所述生成的告警日志下发至告警日志服务器。

5.根据权利要求2所述的方法，其特征在于，所述方法还包括：

当所述预设的MAC地址白名单发生更新时，CPU通知所述转发芯片清空所述会话表中的会话表项。

6.一种报文过滤的装置，应用于宽带远程接入服务器，所述宽带远程接入服务器包括CPU和转发芯片，其特征在于，包括：

匹配单元，用于转发芯片将接收到的报文与会话表项进行匹配；其中，所述会话表项包括MAC地址，以及与所述MAC地址对应的报文处理标签；

生成单元，用于如果所述报文未命中会话表项，转发芯片将所述报文上送至CPU，由CPU基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，以及将所述会话表项下发至转发芯片；

过滤单元，用于如果所述报文命中会话表项，转发芯片基于所述会话表项中的报文处理标签对所述报文进行过滤处理。

7.根据权利要求6所述的装置，其特征在于，包括：

所述生成单元具体用于：

获取所述报文的源MAC地址；

将所述源MAC地址与预设的MAC地址白名单进行匹配；

如果所述源MAC地址未命中所述MAC地址白名单，基于所述源MAC地址创建会话表项，并基于用户预配置的过滤策略在所述会话表项中添加对应的报文处理标签。

8.根据权利要求7所述的装置，其特征在于，包括：

所述生成单元进一步用于：

如果所述源MAC地址命中所述MAC地址白名单，基于所述源MAC地址创建会话表项；其中，所述会话表项未携带报文处理标签。

9.根据权利要求7或8所述的装置，其特征在于，所述报文处理标签包括阻断标签以及告警标签；

所述过滤单元具体用于：

判断所述会话表项是否携带报文处理标签；

如果所述会话表项未携带报文处理标签，正常转发所述报文；

如果所述会话表项携带报文处理标签，则进一步识别所述处理标签的类型；

如果所述报文处理标签为阻断标签，将所述报文进行丢弃；

如果所述报文处理标签为告警标签，生成告警日志，并将所述生成的告警日志下发至告警日志服务器。

10.根据权利要求7所述的装置，其特征在于，所述装置还包括：

清空单元，用于当所述预设的MAC地址白名单发生更新时，CPU通知所述转发芯片清空所述会话表中的会话表项。