CN113595909A - 报文处理方法、网络认证设备及网卡芯片 - Google Patents

Abstract

本公开实施例提供一种报文处理方法，该方法应用在包括网卡芯片和CPU的网络认证设备，该网卡芯片通过芯片静默表保存未通过地址认证的客户端IP地址，该方法包括：网卡芯片接收客户端设备发送的流量报文；从芯片静默表中查找流量报文的源IP地址；如果查找到源IP地址，则丢弃流量报文。本公开实施例还提供了网络认证设备和网卡芯片的实施例。本公开实施例可以通过网卡芯片阻断来自于未通过地址认证的客户端持续发送的流量报文，尤其是来自于非法客户端的流量攻击，从而可以节省网络认证设备的设备资源，减少对设备整体性能的消耗，以及避免占用其他客户端设备的流量带宽。

Description

报文处理方法、网络认证设备及网卡芯片

技术领域

本公开涉及网络通信技术领域，具体涉及一种报文处理方法、网络认证设备及网卡芯片。

背景技术

用户在通过客户端设备访问互联网时，网络认证设备可以通过认证IP地址，对客户端的网络访问权限进行认证。通常网络认证设备收到客户端设备发送的流量报文时，会根据报文的源IP地址查找IP地址转发表，如果查找到该源IP地址，则允许该流量报文进行转发；如果未查找到该源IP地址，则需要对流量报文的源IP地址进行认证，认证失败则丢弃该流量报文，认证成功则对该源IP地址进行学习后保存到IP地址转发表。

相关技术中，当某个客户端的流量未通过IP地址认证时，该客户端设备可能会持续发送流量报文到网络认证设备，以进行IP地址认证，从而大量消耗网络认证设备的设备资源，并占用其他客户端设备的流量带宽。

发明内容

有鉴于此，本公开实施例至少提供一种报文处理方法、网络认证设备及网卡芯片。

第一方面，提供一种报文处理方法，所述方法应用在包括网卡芯片和CPU的网络认证设备，所述网卡芯片通过芯片静默表保存未通过地址认证的客户端IP地址，所述方法包括：

所述网卡芯片接收客户端设备发送的流量报文；

从所述芯片静默表中查找所述流量报文的源IP地址；

如果查找到所述源IP地址，则丢弃所述流量报文。

第二方面，提供一种网络认证设备，包括网卡芯片和CPU，其中，

所述网卡芯片，用于通过芯片静默表保存未通过网络认证的客户端IP地址，以及接收客户端设备发送的流量报文，从所述芯片静默表中查找所述流量报文的源IP地址，如果查找到所述源IP地址，则丢弃所述流量报文。

第三方面，提供一种网卡芯片，所述网卡芯片应用于包含CPU的网络认证设备，所述网卡芯片包括：

存储单元，用于保存芯片静默表，所述芯片静默表中包含未通过所述网络认证设备的地址认证的客户端IP地址；

第一接收单元，用于接收客户端设备发送的流量报文；

查找单元，用于从所述芯片静默表中查找所述流量报文的源IP地址；

处理单元，用于如果所述查找单元查找到所述源IP地址，则丢弃所述流量报文。

本公开提供的实施例中，网卡芯片通过芯片静默表保存未通过地址认证的客户端IP地址，因此在网卡芯片接收到客户端设备发送的流量报文时，如果在芯片静默表中查找到流量报文的源IP地址，则说明该客户端设备未通过IP地址认证，直接丢弃该流量报文，而无需将流量报文上送到CPU处理，由此可以通过网卡芯片阻断来自于未通过地址认证的客户端持续发送的流量报文，尤其是来自于非法客户端的流量攻击，从而可以节省网络认证设备的设备资源，减少对设备整体性能的消耗，以及避免占用其他客户端设备的流量带宽。

附图说明

为了更清楚地说明本公开一个或多个实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开一个或多个实施例中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1示出了本公开实施例的一种应用场景示意图；

图2示出了本公开一个实施例提供的一种报文处理方法的流程图；

图3示出了本公开另一个实施例提供的一种报文处理方法的流程图；

图4示出了本公开另一个实施例提供的一种报文处理方法的流程图；

图5示出了本公开另一个实施例提供的一种报文处理方法的流程图；

图6示出了本公开一个实施例提供的一种网络认证设备的结构图；

图7示出了本公开一个实施例提供的一种网卡芯片的结构图。

具体实施方式

为了使本技术领域的人员更好地理解本公开一个或多个实施例中的技术方案，下面将结合本公开一个或多个实施例中的附图，对本公开一个或多个实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开一个或多个实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本公开保护的范围。

参见图1，为本申请实施例的一种应用场景示意图：

图1中包括：客户端设备110和网络认证设备120。

其中，客户端设备110可以包括各种具有网络连接功能的终端设备，例如，智能手机、PC、平板电脑等。网络认证设备120可以包括网卡芯片、CPU、内存等，用于在任一客户端设备110接入网络时，通过客户端设备110发送的流量报文对其进行IP地址认证，并在通过认证时，允许客户端设备110访问网络，实现各种业务功能。

结合图1示出的应用场景，现有技术中，对于未通过IP地址认证的客户端设备，其要访问网络就会持续发送流量报文，而这些流量报文都会上送到认证系统，由CPU进行认证处理，从而大量消耗网络认证设备的设备资源，并占用其他认证通过的客户端设备的流量带宽；因此，本公开实施例在网络认证设备的网卡芯片上维护了芯片静默表，用来保存未通过IP地址认证的客户端设备的客户端IP地址，从而可以在该客户端设备持续发送流量报文时，由网卡芯片直接根据芯片静默表中记录的客户端IP地址，对这些流量报文进行丢弃，而无需再上送到认证系统进行处理，可以节省大量网络认证设备的设备资源，尤其在面对非法客户端的流量攻击时，可以降低设备的性能消耗，把有限的流量带宽提供给其他认证通过的客户端设备使用。

参见图2，为本公开一个实施例提供的一种报文处理方法的流程图，该实施例可以应用在包括网卡芯片和CPU的网络认证设备，例如图1中所述的网络认证设备120，图2示出的实施例可以包括如下步骤：

步骤201：网卡芯片接收客户端设备发送的流量报文。

步骤202：网卡芯片从芯片静默表中查找该流量报文的源IP地址。

步骤203：网卡芯片如果查找到该源IP地址，则丢弃该流量报文。

本实施例中，网卡芯片上可以预先维护一张芯片静默表，通过芯片静默表保存未通过该网络认证设备的IP地址认证的客户端IP地址。

当某个客户端设备连接网络认证设备时，该客户端设备会产生流量报文并发送至网络认证设备，上述流量报文将首先进入网卡芯片，网卡芯片获取该流量表文的源IP地址，源IP地址即为该客户端设备的客户端IP地址。

网卡芯片从芯片静默表中查找流量报文的源IP地址，如果查找到，表示发送流量报文的客户端设备在首次发送流量报文时，未通过客户端设备的IP地址认证，因此其客户端IP地址被记录到了芯片静默表中，此时网卡芯片可以直接丢弃该流量报文。

由上述实施例可见，网卡芯片可以直接丢弃未通过IP地址认证的客户端设备的流量报文，而无需将流量报文上送到CPU处理，由此可以通过网卡芯片阻断来自于未通过地址认证的客户端持续发送的流量报文，尤其是来自于非法客户端的流量攻击，从而可以节省网络认证设备的设备资源，减少对设备整体性能的消耗，以及避免占用其他客户端设备的流量带宽。

参见图3，为本公开一个实施例提供的另一种报文处理方法的流程图，该实施例示出了网络认证设备从接收到客户端设备首次发送的流量报文开始的报文处理过程：

步骤301：网卡芯片接收客户端设备发送的流量报文。

步骤302：判断是否从芯片静默表中查找流量报文的源IP地址，如果是，则执行步骤303；否则，执行步骤304。

步骤303：网卡芯片丢弃流量报文，结束当前流程。

步骤304：网卡芯片将流量报文转发至CPU。

如果网卡芯片没有从芯片静默表中查找到流量报文的源IP地址，说明该客户端设备首次发送流量报文，需要对客户端设备进行IP地址认证，因此网卡芯片将流量报文上送到认证系统，由CPU进行IP地址认证。

步骤305：CPU判断系统IP地址白名单内是否存在该源IP地址，如果是，则执行步骤306；否则，执行步骤307。

本实施例中，在认证系统中分别维护有IP地址白名单和系统静默表，其中，IP地址白单用于记录允许访问网络的IP地址，系统静默表用于记录未通过IP地址认证的客户端IP地址。

需要说明的是，认证系统通过IP地址白名单进行IP地址认证的过程与相关技术一致，在此不再赘述。

步骤306：CPU将流量报文上送业务系统进行处理，结束当前流程。

步骤307：CPU丢弃流量报文，并将该源IP地址添加到系统静默表。

步骤308：CPU向网卡芯片发送该源IP地址。

步骤309：网卡芯片将该源IP地址添加到芯片静默表中，结束当前流程。

由上述实施例可见，网卡芯片通过芯片静默表保存未通过地址认证的客户端IP地址，因此在网卡芯片接收到客户端设备发送的流量报文时，如果在芯片静默表中查找到流量报文的源IP地址，则说明该客户端设备未通过IP地址认证，直接丢弃该流量报文，而无需将流量报文上送到CPU处理，由此可以通过网卡芯片阻断来自于未通过地址认证的客户端持续发送的流量报文，尤其是来自于非法客户端的流量攻击，从而可以节省网络认证设备的设备资源，减少对设备整体性能的消耗，以及避免占用其他客户端设备的流量带宽。

参见图4，为本公开一个实施例提供的另一种报文处理方法的流程图，该实施例示出了网络认证设备根据系统静默表的表项对芯片静默表进行更新的过程：

步骤401：CPU判断是否到达预设的时间周期，如果是，则执行步骤402；如果否，则返回步骤401。

步骤402：CPU通过遍历系统静默表，从系统静默表中删除存在时间超过预设老化时间的目标表项。

本公开实施例中，可以通过设置预设的时间周期，实现对系统静默表的定期检查，假设时间周期为M；以及在向系统静默表中添加包含了未通过IP地址认证的客户端IP地址的表项时，可以为该表项设置老化时间，假设老化时间为N。

当到达时间M时，CPU可以遍历系统静默表，对于遍历到的每一条表项，检查该表项的存在时间是否超过了N，如果超过N，则将该表项删除。

步骤403：CPU向网卡芯片发送第一通知消息，第一通知消息中包含目标表项中的目标IP地址。

本公开实施例中，CPU维护的系统静默表与网卡芯片上的芯片静默表保持所记录的IP地址一致，因此在系统静默表中删除老化表项后，CPU可以向网卡芯片发送通知消息，告知网卡芯片系统静默表中老化删除的表项中的IP地址。

步骤404：网卡芯片根据第一通知消息删除芯片静默表中包含目标IP地址的表项，结束当前流程。

当网卡芯片接收到通知消息后，从芯片静默表中查找对应的IP地址，并删除该IP地址，从而实现芯片静默表与系统静默表的一致。

参见图5，为本公开一个实施例提供的另一种报文处理方法的流程图，该实施例示出了网络认证设备在IP地址白名单更新时对芯片静默表进行更新的过程：

步骤501：在系统IP地址白名单更新时，CPU根据该白名单中的新增IP地址遍历系统静默表。

系统IP地址白名单中维护了允许访问网络的IP地址，比如已通过IP地址认证的客户端IP地址，或者系统管理员所添加的客户端IP地址。

当系统IP地址白名单更新时，如果其中包含了新增IP地址，则CPU可以遍历系统静默表，以检查新增IP地址是否存在于系统静默表。

步骤502：CPU从系统静默表中删除包含新增IP地址的表项。

如果系统静默表中存在新增IP地址，则需要从系统静默表中删除该新增IP地址，以保证新增IP地址对应的客户端可以正常访问网络。

步骤503：CPU向网卡芯片发送第二通知消息，第二通知消息中包含该新增IP地址。

本公开实施例中，CPU维护的系统静默表与网卡芯片上的芯片静默表保持所记录的IP地址一致，因此在系统静默表中删除包含新增IP地址的表项后，CPU可以向网卡芯片发送通知消息，告知网卡芯片该新增IP地址。

步骤504：网卡芯片根据第二通知消息删除芯片静默表中包含该新增IP地址的表项，结束当前流程。

当网卡芯片接收到通知消息后，从芯片静默表中查找新增IP地址，并删除该IP地址，从而实现芯片静默表与系统静默表的一致。

与本公开中的报文处理方法的实施例相对应，本公开还提供了网络认证设备和网卡芯片的实施例。

如图6所示，为本公开一个实施例提供的一种网络认证设备的结构图，该网络认证设备可以包括：网卡芯片610和CPU620。其中，

所述网卡芯片610，用于通过芯片静默表保存未通过网络认证的客户端IP地址，以及接收客户端设备发送的流量报文，从所述芯片静默表中查找所述流量报文的源IP地址，如果查找到所述源IP地址，则丢弃所述流量报文。

在一个可选的例子中：

所述网卡芯片610，还用于如果未查找到所述源IP地址，将所述流量报文转发至所述CPU；

所述CPU620，用于判断系统IP地址白名单内是否存在所述源IP地址，如果不存在，则丢弃所述流量报文，并将所述源IP地址添加到系统静默表，以及向所述网卡芯片发送所述源IP地址；

所述网卡芯片610，还用于将所述源IP地址添加到所述芯片静默表中。

在另一个可选的例子中：

所述CPU620，还用于在预设的时间周期到达时，通过遍历所述系统静默表，从所述系统静默表中删除存在时间超过预设老化时间的目标表项，以及向所述网卡芯片发送第一通知消息，所述第一通知消息中包含所述目标表项中的目标IP地址；

所述网卡芯片610，还用于根据所述第一通知消息删除所述芯片静默表中包含所述目标IP地址的表项。

在另一个可选的例子中：

所述CPU620，还用于当所述系统IP地址白名单更新时，根据所述白名单中的新增IP地址遍历所述系统静默表，从所述系统静默表中删除包含所述新增IP地址的表项，以及向所述网卡芯片发送第二通知消息，所述第二通知消息中包含所述新增IP地址；

所述网卡芯片610，还用于根据所述第二通知消息删除所述芯片静默表中包含所述新增IP地址的表项。

参见图7，为本公开一个实施例提供的一种网卡芯片的结构图，该网卡芯片可以包括：存储单元710、第一接收单元720、查找单元730和处理单元740。

其中，所述存储单元710，用于保存芯片静默表，所述芯片静默表中包含未通过所述网络认证设备的地址认证的客户端IP地址；

第一接收单元720，用于接收客户端设备发送的流量报文；

查找单元730，用于从所述芯片静默表中查找所述流量报文的源IP地址；

处理单元740，用于如果所述查找单元查找到所述源IP地址，则丢弃所述流量报文。

在一个可选的例子中：

所述处理单元740，还用于如果所述查找单元未查找到所述源IP地址，则将所述流量报文转发至所述CPU；

所述网卡芯片还可以包括(图7中未示出)：

添加单元，用于如果接收到所述CPU发送的所述源IP地址，则将所述源IP地址添加到所述芯片静默表中；其中，所述源IP地址为所述CPU判断系统IP地址白名单内未存在所述源IP地址后发送的。

在另一个可选的例子中：

所述网卡芯片还可以包括(图7中未示出)：

第二接收单元，用于接收所述CPU发送的第一通知消息，所述第一通知消息中包含目标表项中的目标IP地址，所述目标表项为所述CPU在达到预设时间周期时，通过遍历所述系统静默表而获得的存在时间超过预设老化时间的表项；

第一删除单元，用于根据所述第一通知消息删除所述芯片静默表中包含所述目标IP地址的表项。

在另一个可选的例子中：

所述网卡芯片还可以包括(图7中未示出)：

第三接收单元，用于接收所述CPU发送的第二通知消息，所述第二通知消息中包含新增IP地址，所述新增IP地址为所述系统IP地址白名单更新时增加的IP地址；

第二删除单元，用于根据所述第二通知消息删除所述芯片静默表中包含所述新增IP地址的表项。

由上述实施例可见，网卡芯片接收到客户端设备发送的流量报文时，如果在芯片静默表中查找到流量报文的源IP地址，则说明该客户端设备未通过IP地址认证，直接丢弃该流量报文，而无需将流量报文上送到CPU处理，由此可以通过网卡芯片阻断来自于未通过地址认证的客户端持续发送的流量报文，尤其是来自于非法客户端的流量攻击，从而可以节省网络认证设备的设备资源，减少对设备整体性能的消耗，以及避免占用其他客户端设备的流量带宽。

本公开中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于数据处理设备实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

上述对本公开特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的行为或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

虽然本公开包含许多具体实施细节，但是这些不应被解释为限制任何公开的范围或所要求保护的范围，而是主要用于描述特定公开的具体实施例的特征。本公开内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面，在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外，虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护，但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除，并且所要求保护的组合可以指向子组合或子组合的变型。

类似地，虽然在附图中以特定顺序描绘了操作，但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行，以实现期望的结果。在某些情况下，多任务和并行处理可能是有利的。此外，上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离，并且应当理解，所描述的程序组件和系统通常可以一起集成在单个软件产品中，或者封装成多个软件产品。

以上所述仅为本公开一个或多个实施例的较佳实施例而已，并不用以限制本公开一个或多个实施例，凡在本公开一个或多个实施例的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本公开一个或多个实施例保护的范围之内。

Claims (12)

1.一种报文处理方法，其特征在于，所述方法应用在包括网卡芯片和CPU的网络认证设备，所述网卡芯片通过芯片静默表保存未通过地址认证的客户端IP地址，所述方法包括：

所述网卡芯片接收客户端设备发送的流量报文；

从所述芯片静默表中查找所述流量报文的源IP地址；

如果查找到所述源IP地址，则丢弃所述流量报文。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

如果未查找到所述源IP地址，将所述流量报文转发至CPU；

所述CPU判断系统IP地址白名单内是否存在所述源IP地址；

如果不存在，则丢弃所述流量报文，并将所述源IP地址添加到系统静默表，以及向所述网卡芯片发送所述源IP地址；

所述网卡芯片将所述源IP地址添加到所述芯片静默表中。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

在预设的时间周期到达时，所述CPU通过遍历所述系统静默表，从所述系统静默表中删除存在时间超过预设老化时间的目标表项；以及，向所述网卡芯片发送第一通知消息，所述第一通知消息中包含所述目标表项中的目标IP地址；

所述网卡芯片根据所述第一通知消息删除所述芯片静默表中包含所述目标IP地址的表项。

4.根据权利要求2所述的方法，其特征在于，所述方法还包括：

当所述系统IP地址白名单更新时，所述CPU根据所述白名单中的新增IP地址遍历所述系统静默表；

所述CPU从所述系统静默表中删除包含所述新增IP地址的表项；以及，向所述网卡芯片发送第二通知消息，所述第二通知消息中包含所述新增IP地址；

所述网卡芯片根据所述第二通知消息删除所述芯片静默表中包含所述新增IP地址的表项。

5.一种网络认证设备，其特征在于，包括网卡芯片和CPU，其中，

所述网卡芯片，用于通过芯片静默表保存未通过网络认证的客户端IP地址，以及接收客户端设备发送的流量报文，从所述芯片静默表中查找所述流量报文的源IP地址，如果查找到所述源IP地址，则丢弃所述流量报文。

6.根据权利要求5所述的网络认证设备，其特征在于，

所述网卡芯片，还用于如果未查找到所述源IP地址，将所述流量报文转发至所述CPU；

所述CPU，用于判断系统IP地址白名单内是否存在所述源IP地址，如果不存在，则丢弃所述流量报文，并将所述源IP地址添加到系统静默表，以及向所述网卡芯片发送所述源IP地址；

所述网卡芯片，还用于将所述源IP地址添加到所述芯片静默表中。

7.根据权利要求6所述的网络认证设备，其特征在于，

所述CPU，还用于在预设的时间周期到达时，通过遍历所述系统静默表，从所述系统静默表中删除存在时间超过预设老化时间的目标表项，以及向所述网卡芯片发送第一通知消息，所述第一通知消息中包含所述目标表项中的目标IP地址；

所述网卡芯片，还用于根据所述第一通知消息删除所述芯片静默表中包含所述目标IP地址的表项。

8.根据权利要求6所述的网络认证设备，其特征在于，

所述CPU，还用于当所述系统IP地址白名单更新时，根据所述白名单中的新增IP地址遍历所述系统静默表，从所述系统静默表中删除包含所述新增IP地址的表项，以及向所述网卡芯片发送第二通知消息，所述第二通知消息中包含所述新增IP地址；

所述网卡芯片，还用于根据所述第二通知消息删除所述芯片静默表中包含所述新增IP地址的表项。

9.一种网卡芯片，其特征在于，所述网卡芯片应用于包含CPU的网络认证设备，所述网卡芯片包括：

存储单元，用于保存芯片静默表，所述芯片静默表中包含未通过所述网络认证设备的地址认证的客户端IP地址；

第一接收单元，用于接收客户端设备发送的流量报文；

查找单元，用于从所述芯片静默表中查找所述流量报文的源IP地址；

处理单元，用于如果所述查找单元查找到所述源IP地址，则丢弃所述流量报文。

10.根据权利要求9所述的网卡芯片，其特征在于，

所述处理单元，还用于如果所述查找单元未查找到所述源IP地址，则将所述流量报文转发至所述CPU；

所述网卡芯片还包括：

添加单元，用于如果接收到所述CPU发送的所述源IP地址，则将所述源IP地址添加到所述芯片静默表中；其中，所述源IP地址为所述CPU判断系统IP地址白名单内未存在所述源IP地址后发送的。

11.根据权利要求9所述的网卡芯片，其特征在于，所述网卡芯片还包括：

第二接收单元，用于接收所述CPU发送的第一通知消息，所述第一通知消息中包含目标表项中的目标IP地址，所述目标表项为所述CPU在达到预设时间周期时，通过遍历所述系统静默表而获得的存在时间超过预设老化时间的表项；

第一删除单元，用于根据所述第一通知消息删除所述芯片静默表中包含所述目标IP地址的表项。

12.根据权利要求10所述的网卡芯片，其特征在于，所述网卡芯片还包括：

第三接收单元，用于接收所述CPU发送的第二通知消息，所述第二通知消息中包含新增IP地址，所述新增IP地址为所述系统IP地址白名单更新时增加的IP地址；

第二删除单元，用于根据所述第二通知消息删除所述芯片静默表中包含所述新增IP地址的表项。

Images