CN109688148A - 一种基于软件配置的自定转发协议安全网络的系统及方法 - Google Patents
一种基于软件配置的自定转发协议安全网络的系统及方法 Download PDFInfo
- Publication number
- CN109688148A CN109688148A CN201811637536.9A CN201811637536A CN109688148A CN 109688148 A CN109688148 A CN 109688148A CN 201811637536 A CN201811637536 A CN 201811637536A CN 109688148 A CN109688148 A CN 109688148A
- Authority
- CN
- China
- Prior art keywords
- message
- processing
- configuration
- submodule
- processing submodule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/26—Special purpose or proprietary protocols or architectures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于通信技术领域,公开了一种基于软件配置的自定转发协议安全网络的系统及方法,所述系统包括报文处理模块,报文处理模块还包括报文头关键字提取处理子模块、报文并行流查找处理子模块、报文流动作检查处理子模块和报文并行流编辑处理子模块,所述报文头关键字提取处理子模块用于生成影响配置的内容,所述报文并行流查找处理子模块用于根据影响配置的内容生成配置结果,所述报文流动作检查处理子模块用于根据配置结果,读取相应的处理方法,并对报文进行处理;报文并行流编辑处理子模块用于对处理的报文进行发送前的修改。本发明能够通过软件配置适应不同的通信协议和特性,具有较大的通用性,能够满足市场的快速发展和成本低的优点。
Description
技术领域
本发明涉及通信处理技术领域,具体涉及一种基于软件配置的自定转发协议安全网络的系统及方法。
背景技术
目前通信技术在不断的发展,人们的需求也在不断的变化,所以现在的通信处理器存在着以下问题:一是:现有的通信设备支持的特性和协议很多,这就导致了会有很多不同特性的通信芯片,而这些通信芯片只能支持特定的协议和特性,当出来新的特性和协议后,就需要进行更新,重新生产新的芯片,不能适应市场的快速发展及客户的需求。
二是:通信设备种类繁多,因带宽和特性的不同,需要将通信芯片划成不同的种类,市场上有的通信芯片方案高达数千种,而Intel只需要小于10的芯片方案就可以覆盖整个PC市场。从电信类芯片成本上讲,Intel的一颗CPU的规模往往是电信通信方案的10倍,而成本却不到十分之一。所以基于上述两个原因,通信芯片不停的推出可编程体系架构,Barefoot推出来可编程的 12.8.4TB交换能力的芯片。Broadcom也推出相应的可编程芯片。Marvell、华为、中兴及Intel等公司都在研发自己的NP及MultiCore,并投入了大量资金。这些设备商以及软件公司都在推动一种更加应用广泛的网络处理器来解决上述问题,但目前这些技术成本高昂,只用在电信或数据中心上。所以急需一种新的架构,通过配置就可以解决上述问题。
发明内容
为了解决现有通信芯片只能支持特定的协议,不能适应市场的快速发展及客户的需求,且开发出可编程体系成本高的问题,本发明的目的在于提供一种新的可编程体系架构,通过软件配置就可以适应不同的通信协议和特性,能够快速满足市场的需求且开发成本低的基于软件配置的自定转发协议安全网络的系统及方法。
本发明所采用的技术方案为:
一种基于软件配置的自定转发协议安全网络的系统,包括报文处理模块,其中,所述报文处理模块首先用于读取从通信接收模块进入的报文,然后检测出报文中的关键字,并根据关键字对报文进行相应的处理,最后将处理后的报文通过通信发送模块进行发送;
所述报文处理模块包括报文头关键字提取处理子模块、报文并行流查找处理子模块、报文流动作检查处理子模块和报文并行流编辑处理子模块;
所述报文头关键字提取处理子模块用于提取报文头部中的关键字,其中,所述关键字为影响配置的内容;
所述报文并行流查找处理子模块用于根据所述影响配置的内容,在配置库中查找相应的配置,并生成配置结果;
所述报文流动作检查处理子模块用于根据所述配置结果,在处理方法库中读取相应的处理方法,并对报文进行相应的处理;
所述报文并行流编辑处理子模块用于将处理后的报文进行发送前的修改,修改完成后,再通过通信发送模块发出。
优化的,所述报文头关键字提取处理子模块包括逻辑查找表,其中,每个所述逻辑查找表支持多组起始地址偏移和长度,所述逻辑查找表根据这多组所述起始地址偏移和长度生成所述影响配置的内容。
进一步优化的,所述报文并行流查找处理子模块包括4个并行查找引擎,且每个所述并行查找引擎对应16个所述逻辑查找表,其中,每个所述并行查找引擎可根据逻辑查找表生成的影响配置的内容在配置库中查找要执行的配置,并生成相应的配置结果。
具体的,所述起始偏移和长度的数量为20组
优化的,所述报文流动作检查处理子模块为流处理单元,其中,所述流处理单元根据所述报文并行流查找处理子模块生成的配置结果,读取相对应的处理方法,并根据所述处理方法完成对报文的处理,然后将处理后的报文送入所述报文并行流编辑处理子模块中进行发送前的修改。
优化的,所述报文流动作检查处理子模块和所述报文并行流编辑处理子模块之间还设有报文流队列管理调度子模块,其中,所述报文流队列管理调度子模块用于缓存经所述报文流动作检查处理子模块处理后的报文,并按照优先级将缓存的报文调度出来。
本发明还提供了另一种技术方案:
一种基于软件配置的自定转发协议安全网络的方法,包括以下步骤:
S101.接收传入的报文;
S102.将接收到的报文进行关键字的提取,并根据关键字生成影响配置的内容;
S103.根据影响配置的内容查找相应的配置,并生成配置结果;
S104.根据配置结果查找对应的处理方法,并根据处理方法对报文进行相应的处理;
S105.将处理后的报文进行发送前的修改,在修改完成后进行发送。
优化的,在所述步骤S102中,所述影响配置的内容的是通过逻辑查找表中的多组起始地址偏移和长度在所述报文中确定的。
优化的,在所述步骤S103中,查找相应的配置,并生成配置结果是通过4 个并行查找引擎实现的,所述并行查找引擎根据所述影响配置的内容在配置库中查找要执行的配置。
优化的,在所述步骤S104中,查找对应的处理方法,并根据对应处理方法对报文进行相应的修改是通过流处理单元实现的。
本发明的有益效果为:
本发明为一种基于软件配置的自定转发协议安全网络的系统及方法,所述系统设有报文处理模块,报文处理模块内置有4个子模块,分别为:报文头关键字提取处理子模块、报文并行流查找处理子模块、报文流动作检查处理子模块和报文并行流编辑处理子模块。
当报文通过通信接收模块进入报文处理模块中时,报文头关键字提取处理子模块会首先提取出报文中的关键字,也就报文中的标志位,并生成影响配置的内容,这个标志位确定了报文定义的协议和特性,所以,影响配置的内容则代表的是该报文所支持的通信协议和特性;当生成了影响配置的内容后,报文并行流查找处理子模块会根据配置内容在配置库中查找相应的配置,并生成配置结果,配置结果则是与报文相匹配的通信协议和特性;然后,报文流动作检查处理子模块会根据配置结果,读取相应的处理方法,并根据处理方法对报文进行相应的处理(转发、丢弃、转发到多个端口、复制到CPU端口等);最后,处理后的报文会在所述报文并行流编辑处理子模块中进行发送前的修改(丢弃,数据结构描述了报文需要删除,替换,添加等),修改完后的报文会通过通信发送模块进行发送。
通过上述设计,报文处理模块实现了报文中关键字的提取、查找、检查及编辑的通用化,采用软件配置的方式做到了用户的自定义,可让用户自己配置通信协议及特性,存在着以下优点:
(1)通用性,通过软件配置匹配使用不同的通信协议。
(2)开发快捷性,在报文处理模块中采用了无固定协议的转发,以高灵活性仿真协议,因此开发只关注模块,开发速度远快于普通的网络处理器。
(3)协议完全自定义,成本低,因为通信协议众多是因为发展过程及利益斗争的结果,而自定义协议不考虑与其它网络的兼容性,从软件和硬件上都可以节约很大的成本及时间。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供基于软件配置的自定转发协议安全网络的系统的示意图。
图2是本发明提供的报文头关键字提取处理子模块的工作示意图。
图3是本发明提供的基于软件配置的自定转发协议安全网络的系统的工作原理图。
图4是本发明提供的基于软件配置的自定转发协议安全网络的方法的步骤流程图。
具体实施方式
下面结合具体实施例对本发明作进一步阐述。在此需要说明的是,对于这些实施例方式的说明用于帮助理解本发明,但并不构成对本发明的限定。
实施例一
如图1~4所示,本实施例所提供的基于软件配置的自定转发协议安全网络的系统,包括报文处理模块,其中,所述报文处理模块首先用于读取从通信接收模块进入的报文,然后检测出报文中的关键字,并根据关键字对报文进行相应的处理,最后将处理后的报文通过通信发送模块进行发送。
所述报文处理模块包括报文头关键字提取处理子模块、报文并行流查找处理子模块、报文流动作检查处理子模块和报文并行流编辑处理子模块。
所述报文头关键字提取处理子模块用于提取报文头部中的关键字,其中,所述关键字为影响配置的内容。
所述报文并行流查找处理子模块用于根据所述影响配置的内容,在配置库中查找相应的配置,并生成配置结果。
所述报文流动作检查处理子模块用于根据所述配置结果,在处理方法库中读取相应的处理方法,并对报文进行相应的处理。
所述报文并行流编辑处理子模块用于将处理后的报文进行发送前的修改,修改完成后,再通过通信发送模块发出。
如图1所示,下面对基于软件配置的自定转发协议安全网络的系统进行具体的描述:
所述报文处理模块首先用于读取从通信接收模块进入的报文,然后检测出报文中的关键字,并根据关键字对报文进行相应的处理,最后将处理后的报文进行发送。
所述报文头关键字提取处理子模块用于对报文进行标志位的检测,报文中的标志位也就代表了关键字的存储位置,读出来的关键字组合成了影响配置的内容,即报文所支持的通信协议和特性。
所述报文并行流查找处理子模块用于根据所述影响配置的内容在配置库中查找相应的配置,并生成配置结果,所述配置结果则是与报文相匹配的通信协议和特性。
所述报文流动作检查处理子模块则是根据所述配置结果,在处理方法库中查找与所述配置结果相对应的处理方法,然后再依据所述处理方法对报文进行相应的处理,这里对报文进行相应的处理可以但不仅限于为:对报文进行转发、丢弃、转发到多个端口(多播)和复制到CPU端口(特殊协议)等。
所述报文并行流编辑处理子模块则是将处理后的报文进行发送前的修改,如丢弃、数据结构描述了报文需要删除、替换和添加等,在修改完成后,将报文通过所述通信发送模块进行发出。
在本实施例中,所述报文头关键字提取处理子模块对报文的标志位的检测是在报文头中进行的,报文头包括了MAC(Media Access Control或者Medium Access Control,媒体访问控制)地址、VLAN(Virtual Local Area Network,虚拟局域网)信息和优先级等内容的二层协议头和IP地址等内容的三层协议头。
所述处理方法库是一个数据结构库,是通过一组数据结构来定义一个处理策略,即处理方法,这些数据结构在报文处理前,是用户根据策略需求按照格式要求配置在芯片寄存器中,所述报文流动作检查处理子模块即可在芯片寄存器中进行处理方法的查找。
所述报文并行流编辑处理子模块完成对报文发送前的修改是通过Flow Editing处理单元来实现的。
Flow Editing处理单元是指可以根据控制器的配置,修改报文的报文头信息,Flow Editing实现功能分两部分,一部分是根据协议标准,生成的处理方法,另一部分可以是为了增加安全性,由用户自定义的对报文头进行修改。
Flow Editing处理单元也为一个数据结构,它包括:
{Startoffset;Len;0ptchar;0ptCode;checkDiscard},其中,Startoffset 表示的是起始地址偏移;Len表示的是字段长度;0ptchar表示的是操作数据; 0ptCode表示的是操作码(ADD、Remove、replace、check);checkDiscard用于报文的校验,由于在报文发送时,可能根据需要要对报文内容进行修改(丢弃,数据结构描述了报文需要删除,替换,添加),在校验时,checkDiscard用来做校验比对的参考内容,如果校验成功,则数据不转发,直接丢弃。通过这样设计,没有修改成功的报文就不会发送,这就增加了报文通信的安全性。
所述基于软件配置的自定转发协议安全网络的系统的工作原理为:
在每一个报文进入通信芯片前,会根据报文的内容来匹配配置好的处理方法,即策略,这些处理方法决定这个报文将会被如何处理(是否转发、转发到什么端口、按照什么样的优先级转发等),国际标准组织定义了很多标准,来规范网络设备支持的策略,包括单机完成的特性和多机配合完成的协议,这些特性和协议都在报文中有对应的标志位和相关内容。需要设备在报文进入时进行读取,并根据这个读取的特性和协议完成策略的匹配和计算。
所以本发明通过所述报文处理模块定义了一个可配置的通用机制,通过一组数据结构来自定义配置和策略,即自定义通信协议及与之匹配处理方法,并按照格式要求在报文处理前就存储到芯片寄存器中。
在报文通信时,首先进入所述报文头关键字提取处理子模块,完成对协议和特性的读取,然后通过所述报文并行流查找处理子模块根据这个读取到的特性和协议进行配置的查找,并生成配置结果,再通过所述报文流动作检查处理子模块根据这个配置结果查找相匹配的处理方法,根据查找到的处理方法对报文进行处理。最后,再通过所述报文并行流编辑处理子模块进行发送前的修改,修改完毕后,完成对报文的发送。
由此通过对前述基于软件配置的自定转发协议安全网络的系统的具体描述,一方面,通过所述报文处理模块,用户可通过数据结构,自定义配置和策略,通过这些配置可满足不同的协议,解决了通信协议匹配固定化,不能适应市场快速发展的问题。另一方面,通信协议完全自定义,不需要考虑与其它网络的兼容性,从软件硬件上都可以节约很大的成本,大大的降低了开发成本。
优化的,所述报文头关键字提取处理子模块包括逻辑查找表,其中,每个所述逻辑查找表支持多组起始地址偏移和长度,所述逻辑查找表根据这多组所述起始地址偏移和长度生成所述影响配置的内容。
进一步优化的,所述报文并行流查找处理子模块包括4个并行查找引擎,且每个所述并行查找引擎对应16个所述逻辑查找表,其中,每个所述并行查找引擎可根据逻辑查找表生成的影响配置的内容在配置库中查找要执行的配置,并生成相应的配置结果。
具体的,所述起始偏移和长度的数量为20组。
优化的,所述报文流动作检查处理子模块为流处理单元,其中,所述流处理单元根据所述报文并行流查找处理子模块生成的配置结果,读取相对应的处理方法,并根据所述处理方法完成对报文的处理,然后将处理后的报文送入所述报文转发模块进行转发。
如图1和图2所示,下面对所述报文处理模块进行具体的描述:
首先,所述报文头关键字提取处理子模块会通过逻辑查找表来进行标志位的确定,即逻辑查找表会根据多组所述起始地址偏移和长度在报文中截取关键字,而截取出的关键字则组成了影响配置的内容,所述影响配置的内容即是通信协议和特性,这个通信协议和特性决定报文匹配的处理方法。
当所述报文头关键字提取处理子模块提取出影响配置的内容后,此时,所述并行查找引擎会根据所述影响配置的内容在配置库中查找相应的配置,并生成配置结果,由于所述并行查找引擎的数量为4个,所以会产生4个配置结果。
当所述并行查找引擎查找出配置结果后,所述流处理单元会根据所述配置结果,在处理方法库中,读取出相应的处理方法,并根据这个处理方法对报文进行相应的处理。最后再通过所述报文并行流编辑处理子模块进行发送前的修改,在修改完毕后,对报文进行发送。
所述逻辑查找表属于控制器管理,在网络进行初始化时,下发到所述报文处理模块。
所述并行查找引擎是一种现有技术,它具体为:TCAM(ternary contentaddressable memory,三态内容寻址存储器)。
所述配置库为一个数据库,内置在所述并行查找引擎中,支持算法+TCAM 混合查找。它是根据用户的配置或者协议计算产生,具体内容是根据相关协议标准生成。
所述处理方法库是用户通过一组数据结构来自定义,并在报文处理前就存储在芯片的寄存器中。
所述流处理单元为一种现有技术,本实施例中,所述流处理单元为一个四级处理单元,它可以把一个操作分成四级流水,这样一个需要四个周期处理的操作,可以保证一个周期输出一个结果,可以认为是并行处理的一个变种。当每个所述并行查找引擎查找出所述配置结果后,会将4个所述配置结果分别对应传到到所述流处理单元的四个流水上,进行处理方法的查找。
在本实施中,所述逻辑查找表是通过一个逻辑表达式来配置的,每个所述并行查找引擎都对应16个逻辑查找表,都包括{start offset,length,mask,opcode1,opcode2,optnum1,optnum2},其中,所述影响配置的内容就是根据 Start offset,length从报文中截取出来的,mask用来处理掉所述影响配置的内容中不使用的位,opcode用来表示做大于比较还是小于比较,optnum是比较内容。
只有当((field & mask)opcode1 optnum1)&&((field & mask)opcode2optnum2)这个逻辑表达式成立时,才会表示命中这个逻辑查找表,即表示截取出的影响配置的内容是被支持的,也就是说该报文中的通信协议和特性被支持的。
下面对上述逻辑表达式进行举例解释:
一个包含VLAN标记的报文格式为:6byte目标MAC地址,6byte源MAC地址,4byte的802.1Q VLAN TAG,其他数据内容802.1Q VLAN TAG的格式为: Tag Protocol Identifier(2bytes 0x8100),Priority(3bit),Canonical Format Indicator(1bit),VLANIdentified(12bit)
则要判断报文是否需要进行VLAN处理,定义如下规则:
{start offset,length,mask,opcode1,opcode2,optnum1,optnum2},这个逻辑表达式则为:12 2 0xFFFF><0x80FF Ox8101,如果该规则成立。则需要进行VLAN处理,读取802.1Q VLAN TAG的内容,生成所述影响配置的内容。
所述流处理单元的工作原理为:四级的流处理单元,每一级都对应着一个配置结果,而每一个配置结果都可以读取一个处理方法,处理方法定义一个策略的处理,包括了多个处理操作,可以根据不同的内容执行不同的处理操作。
处理方法是一个标准的数据结构,它有:{Priority;flowQueueID;16个 Express&ActIon},其中,Priority代表的是优先级,是指处理与其它处理产生冲突时,会选择高优先的执行;flowQueueID表示的是流入队列标识; Express&ActIon表示的是条件表达式及行为。
Express也是一个数据结构,它定义了校验一个处理操作是否执行,它包括{FiledID1;0pt1;optNum1;FiledID2;0pt2;optNum2;0PT},其中,FiledID1 表示的是影响配置的内容的标识,指所述关键字处理子模块在报文中截取的字段一选入流处理单元的索引,0pt1表示的是字段一的操作码,包括and,or, xor,>,<,>=,<=,==,!=;optNum1表示字段一的操作数;FiledID2表示的是所述关键字处理子模块在报文中截取的字段二选入流处理单元的索引;0pt2 表示字段二的操作码,包括and,or,xor,>,<,>=,<=,==,!=;optNum2 表示字段二的操作数,0PT表示的是双表达连接逻辑&&,||,!=,==,>,<,>=, <=。
当Express中的(field1opt1optNum1)OPT(field1opt1opyNum1)成立时,执行ActIon。
ActIon也是一个数据结构,它包括{fiowQueueID;Discard;copyCPU; copySPAN;flowStatus;flowPolicer;flowEdit},其中,fiowQueueID是和服务质量控制相关的一个特性,不同的fiowQueueID有不同的转发优先级和发送占比,进入不同的转发队列,会有不同的网络性能;Discard表示的是报文的丢弃;copyCPU表示的是,报文除转发外,另外还要发送到CPU;copySPAN 表示的是报文除转发外,另外还要送到Mirror口;flowStatus表示的是设定 flow Status;flowPolicer表示的是设定flow Policer,flowEdit表示的是设定flow,这里的flow Status、flow Policer和flow都是网络特性。
在流处理单元的处理过程中,Discard、copyCPU和copySPAN是一次命中不可逆的,fiowQueueID是根据优先级决定的,在同一个流处理单元中。Express 越靠前,优先级越高,flowStatus和flowPolicer的执行因带宽的原因,要设置限定,在本实施例中,举例限定为4个,flowEdit对相同的位置要合并,且因为要过Queue,因此也要设置限定(一般为8个),另外,fiowQueueID还会做出报文的需要发送的下一级节点。
优化的,所述报文流动作检查处理子模块和所述报文并行流编辑处理子模块之间还设有报文流队列管理调度子模块,其中,所述报文流队列管理调度子模块用于缓存经所述报文流动作检查处理子模块处理后的报文,并按照优先级将缓存的报文调度出来。在本实施例中,报文的优先级是存储在报文头中的,会随关键字一起被提取出来。通过上述设计,能够根据优先级来调度不同的报文,以实现不同报文进行不同顺序的发送。
在本实施例中,所述通信接收模块和所述通信发送模块均为网络接口。
如图3所示,下面对基于软件配置的自定转发协议安全网络的系统结合控制器及接口进行具体工作原理的阐述:
所述基于软件配置的自定转发协议安全网络的系统可以运行一个控制器,在每个所述基于软件配置的自定转发协议安全网络的系统的接口上配置对应的 Flow Editing,使之编辑的包头,在下一个所述基于软件配置的自定转发协议安全网络的系统接收上的接口可以正确被解析转发。所以每个所述基于软件配置的自定转发协议安全网络的系统设计上出接口与下一个所述基于软件配置的自定转发协议安全网络的系统入接口运行相同的配置协议就可以,而与其它接口相对独立,也就是每个所述基于软件配置的自定转发协议安全网络的系统设备上可以独立运行不同的协议,而且是完全自定义的。
每一对通信的配置计算,下发都是通过控制器来完成,是完全独立的流概念,对入侵者来讲,首先不知道所述基于软件配置的自定转发协议安全网络的系统的配置,也不会知道下一跳所述基于软件配置的自定转发协议安全网络的系统的配置。而且每个所述基于软件配置的自定转发协议安全网络的系统上的每个接口上,根据不同的流也会运行不同的协议,所以攻击与病毒等入侵报文不会被正确转发,最终被丢弃,而产生大量的不正解转发报文,这样会被控制器侦测到,进一步发现攻击源头。
由于采用软件配置的方式,因此所述基于软件配置的自定转发协议安全网络的系统可以非常快速地改变配置来达到快速恢复被攻击网络的目的,就是有一些设备被泄密,通过改变配置迅速恢复,并有效在攻击限制在一定范围内。
综上,采用本实施例所提供的基于软件配置的自定转发协议安全网络的系统,具有如下技术效果:
(1)通用性,通过软件配置匹配使用不同的通信协议。
(2)开发快捷性,在报文处理模块中采用了无固定协议的转发,以高灵活性仿真协议,因此开发只关注模块,开发速度远快于普通的网络处理器。
(3)协议完全自定义,成本低,因为通信协议众多是因为发展过程及利益斗争的结果,而自定义协议不考虑与其它网络的兼容性,从软件和硬件上都可以节约很大的成本及时间。
(4)部署非常快速,相对于NP(Network Processor,网络处理器),Multicore及其它可编程网络,基于软件配置的自定转发协议安全网络的系统部署非常快,而且可以现场修改配置来解决问题。运维成本非常低。
(5)安全性极高,可以适合于安全级别相当高或自定义的网络。
实施例二
如图4所示,本实施例所提供的基于软件配置的自定转发协议安全网络的方法,包括以下步骤:
S101.接收传入的报文;
S102.将接收到的报文进行关键字的提取,并根据关键字生成影响配置的内容;
S103.根据影响配置的内容查找相应的配置,并生成配置结果;
S104.根据配置结果查找对应的处理方法,并根据处理方法对报文进行相应的处理;
S105.将处理后的报文进行发送前的修改,在修改完成后进行发送。
如图4所示,下面对基于软件配置的自定转发协议安全网络的方法进行具体的描述:
本实施例中的基于软件配置的自定转发协议安全网络的方法的工作原理与实施例一中的工作原理相同。
首先,报文从通信接收模块进入报文处理模块,在报文处理模块中的报文头关键字提取处理子模块中进行关键字的提取,生成影响配置的内容;然后通过报文处理模块中的报文并行流查找处理子模块进行配置的查找,并生成配置结果;再通过报文流动作检查处理子模块,根据配置结果在处理方法库中读取相应的处理方法,并根据处理方法对报文进行相应的处理。经过处理后的报文最后通过报文并行流编辑处理子模块进行发送前的修改,在修改完毕后,完成对报文的发送。本实施例中所到达的技术效果与实施例一致,在此不多加赘述。
优化的,在所述步骤S102中,所述影响配置的内容的是通过逻辑查找表中的多组起始地址偏移和长度在所述报文中确定的。
优化的,在所述步骤S103中,查找相应的配置,并生成配置结果是通过4 个并行查找引擎实现的,所述并行查找引擎根据所述影响配置的内容在配置库中查找要执行的配置。
优化的,在所述步骤S104中,查找对应的处理方法,并根据对应处理方法对报文进行相应的修改是通过流处理单元实现的。
所述步骤S102、S103、S104和S105分别对应实施例一中的报文头关键字提取处理子模块、报文并行流查找处理子模块、报文流动作检查处理子模块和报文并行流编辑处理子模块,其工作原理和达到的技术效果与实施例一中的相同,在此不多加赘述。
本发明不局限于上述可选实施方式,任何人在本发明的启示下都可得出其他各种形式的产品,但不论在其形状或结构上作任何变化,凡是落入本发明权利要求界定范围内的技术方案,均落在本发明的保护范围之内。
Claims (10)
1.一种基于软件配置的自定转发协议安全网络的系统,其特征在于:包括报文处理模块,其中,所述报文处理模块首先用于读取从通信接收模块进入的报文,然后检测出报文中的关键字,并根据关键字对报文进行相应的处理,最后将处理后的报文通过通信发送模块进行发送;
所述报文处理模块包括报文头关键字提取处理子模块、报文并行流查找处理子模块、报文流动作检查处理子模块和报文并行流编辑处理子模块;
所述报文头关键字提取处理子模块用于提取报文头部中的关键字,其中,所述关键字为影响配置的内容;
所述报文并行流查找处理子模块用于根据所述影响配置的内容,在配置库中查找相应的配置,并生成配置结果;
所述报文流动作检查处理子模块用于根据所述配置结果,在处理方法库中读取相应的处理方法,并对报文进行相应的处理;
所述报文并行流编辑处理子模块用于将处理后的报文进行发送前的修改,修改完成后,再通过通信发送模块发出。
2.根据权利要求1所述的一种基于软件配置的自定转发协议安全网络的系统,其特征在于:所述报文头关键字提取处理子模块包括逻辑查找表,其中,每个所述逻辑查找表支持多组起始地址偏移和长度,所述逻辑查找表根据这多组所述起始地址偏移和长度生成所述影响配置的内容。
3.根据权利要求2所述的一种基于软件配置的自定转发协议安全网络的系统,其特征在于:所述报文并行流查找处理子模块包括4个并行查找引擎,且每个所述并行查找引擎对应16个所述逻辑查找表,其中,每个所述并行查找引擎可根据逻辑查找表生成的影响配置的内容在配置库中查找要执行的配置,并生成相应的配置结果。
4.根据权利要求3所述的一种基于软件配置的自定转发协议安全网络的系统,其特征在于:所述起始偏移和长度的数量为20组。
5.根据权利要求1所述的一种基于软件配置的自定转发协议安全网络的系统,其特征在于:所述报文流动作检查处理子模块为流处理单元,其中,所述流处理单元根据所述报文并行流查找处理子模块生成的配置结果,读取相对应的处理方法,并根据所述处理方法完成对报文的处理,然后将处理后的报文送入所述报文并行流编辑处理子模块中进行发送前的修改。
6.根据权利要求1所述的一种基于软件配置的自定转发协议安全网络的系统,其特征在于:所述报文流动作检查处理子模块和所述报文并行流编辑处理子模块之间还设有报文流队列管理调度子模块,其中,所述报文流队列管理调度子模块用于缓存经所述报文流动作检查处理子模块处理后的报文,并按照优先级将缓存的报文调度出来。
7.一种基于软件配置的自定转发协议安全网络的方法,其特征在于:包括以下步骤:
S101.接收传入的报文;
S102.将接收到的报文进行关键字的提取,并根据关键字生成影响配置的内容;
S103.根据影响配置的内容查找相应的配置,并生成配置结果;
S104.根据配置结果查找对应的处理方法,并根据处理方法对报文进行相应的处理;
S105.将处理后的报文进行发送前的修改,在修改完成后进行发送。
8.根据权利要求7所述的一种基于软件配置的自定转发协议安全网络的方法,其特征在于:在所述步骤S102中,所述影响配置的内容的是通过逻辑查找表中的多组起始地址偏移和长度在所述报文中确定的。
9.根据权利要求7所述的一种基于软件配置的自定转发协议安全网络的方法,其特征在于:在所述步骤S103中,查找相应的配置,并生成配置结果是通过4个并行查找引擎实现的,所述并行查找引擎根据所述影响配置的内容在配置库中查找要执行的配置。
10.根据权利要求7所述的一种基于软件配置的自定义转发协议安全网络的方法,其特征在于:在所述步骤S104中,查找对应的处理方法,并根据对应处理方法对报文进行相应的修改是通过流处理单元实现的。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811637536.9A CN109688148A (zh) | 2018-12-29 | 2018-12-29 | 一种基于软件配置的自定转发协议安全网络的系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811637536.9A CN109688148A (zh) | 2018-12-29 | 2018-12-29 | 一种基于软件配置的自定转发协议安全网络的系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109688148A true CN109688148A (zh) | 2019-04-26 |
Family
ID=66191338
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811637536.9A Pending CN109688148A (zh) | 2018-12-29 | 2018-12-29 | 一种基于软件配置的自定转发协议安全网络的系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109688148A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110430138A (zh) * | 2019-07-26 | 2019-11-08 | 新华三技术有限公司合肥分公司 | 数据流转发状态记录方法及网络设备 |
CN110636071A (zh) * | 2019-09-26 | 2019-12-31 | 光大兴陇信托有限责任公司 | 一种接口对接方法 |
CN111277612A (zh) * | 2020-05-08 | 2020-06-12 | 常州楠菲微电子有限公司 | 一种网络报文处理策略生成方法、系统及介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850442A (zh) * | 2013-01-29 | 2017-06-13 | 华为技术有限公司 | 报文处理方法和转发设备 |
EP3261314A1 (en) * | 2015-03-13 | 2017-12-27 | Huawei Technologies Co., Ltd. | Access network system, and method and apparatus for processing data packet |
CN108737278A (zh) * | 2017-04-21 | 2018-11-02 | 中兴通讯股份有限公司 | 一种查表方法及装置 |
-
2018
- 2018-12-29 CN CN201811637536.9A patent/CN109688148A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850442A (zh) * | 2013-01-29 | 2017-06-13 | 华为技术有限公司 | 报文处理方法和转发设备 |
EP3261314A1 (en) * | 2015-03-13 | 2017-12-27 | Huawei Technologies Co., Ltd. | Access network system, and method and apparatus for processing data packet |
CN108737278A (zh) * | 2017-04-21 | 2018-11-02 | 中兴通讯股份有限公司 | 一种查表方法及装置 |
Non-Patent Citations (1)
Title |
---|
路兆铭等: "南向网络控制接口", 《软件定义的无线接入网络架构与关键技术》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110430138A (zh) * | 2019-07-26 | 2019-11-08 | 新华三技术有限公司合肥分公司 | 数据流转发状态记录方法及网络设备 |
CN110430138B (zh) * | 2019-07-26 | 2022-02-22 | 新华三技术有限公司合肥分公司 | 数据流转发状态记录方法及网络设备 |
CN110636071A (zh) * | 2019-09-26 | 2019-12-31 | 光大兴陇信托有限责任公司 | 一种接口对接方法 |
CN110636071B (zh) * | 2019-09-26 | 2020-07-07 | 光大兴陇信托有限责任公司 | 一种接口对接方法 |
CN111277612A (zh) * | 2020-05-08 | 2020-06-12 | 常州楠菲微电子有限公司 | 一种网络报文处理策略生成方法、系统及介质 |
CN111277612B (zh) * | 2020-05-08 | 2020-08-07 | 常州楠菲微电子有限公司 | 一种网络报文处理策略生成方法、系统及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112189323B (zh) | 使用安全分段标识符进行分段路由 | |
US8296846B2 (en) | Apparatus and method for associating categorization information with network traffic to facilitate application level processing | |
US8665868B2 (en) | Apparatus and method for enhancing forwarding and classification of network traffic with prioritized matching and categorization | |
EP3139560B1 (en) | Packet processing method, device and computer storage medium | |
US7882554B2 (en) | Apparatus and method for selective mirroring | |
US8024799B2 (en) | Apparatus and method for facilitating network security with granular traffic modifications | |
US8346918B2 (en) | Apparatus and method for biased and weighted sampling of network traffic to facilitate network monitoring | |
CN101771627A (zh) | 互联网实时深度包解析和控制节点设备和方法 | |
CN109688148A (zh) | 一种基于软件配置的自定转发协议安全网络的系统及方法 | |
EP1836808B1 (en) | Fibre channel forwarding information base | |
US9356844B2 (en) | Efficient application recognition in network traffic | |
US20070056029A1 (en) | Apparatus and method for providing security and monitoring in a networking architecture | |
CN104821890A (zh) | 一种基于普通交换芯片的OpenFlow多级流表的实现方法 | |
CN104283786B (zh) | 用于增加软件定义网络的可缩放性的系统和方法 | |
CN111797371A (zh) | 一种交换机加密系统 | |
Backes et al. | Computational soundness of symbolic zero-knowledge proofs against active attackers | |
Yoon et al. | Minimizing the maximum firewall rule set in a network with multiple firewalls | |
CN102427428A (zh) | 基于多域最长匹配的流识别方法及设备 | |
US7451216B2 (en) | Content intelligent network recognition system and method | |
CN107800626A (zh) | 数据报文的处理方法、装置及设备 | |
CN110868362A (zh) | 一种MACsec非受控端口报文的处理方法及装置 | |
Zazo et al. | Automated synthesis of FPGA-based packet filters for 100 Gbps network monitoring applications | |
CN109088756A (zh) | 一种基于网络设备识别的网络拓扑补全方法 | |
CN100393047C (zh) | 一种入侵检测系统与网络设备联动的系统及方法 | |
Kang et al. | FPGA-based real-time abnormal packet detector for critical industrial network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190426 |