The invention relates to a reconfigurable switch forwarding engine parser which can destroy hardware Trojan horse, including data preprocessing units, several cascaded basic processing units and extraction units; the key path of the first basic processing unit extracts and shifts the key bit keys, and sends the results to the data path at the same level and the key path at the next level; and the basic processing order. The data path of the element extracts and shifts the key field of the data frame, generates the extraction field offset of the next basic processing unit, the offset of each field at the same level, and the field identification and the shifted data frame, which are sent to the next or the first basic processing unit respectively; the other basic processing units at different levels extract and shift the keyword of the key frame and the data frame in turn; The element extracts key frames and data frames from the last basic processing unit and forwards them to the subsequent packet processing unit. The invention can be widely used in the design of the parser of the switch forwarding engine.
【技术实现步骤摘要】
一种可破坏硬件木马的可重构交换机转发引擎解析器
本专利技术属于网络交换机芯片设计
,特别是关于一种可破坏硬件木马的可重构交换机转发引擎解析器。
技术介绍
交换机转发引擎是交换机芯片的核心部件,它的任务是对接收的第2层包(也称为帧)进行解析处理,形成路由表的查表请求发给搜索引擎,并根据搜索引擎返回的查表结果对包进行转发处理,包括包头部的修改(替换、添加和删除等),最终将封装好的新的包进行转发或者丢弃。而决定包处理操作的是包头部的关键字段和交换机设置的转发和分类规则,因此需要对包头部进行解析和提取。交换机转发引擎的parser(解析器)就是根据网络协议标准定义的帧格式对包头部进行解析的功能模块,它把来自交换机转发引擎输入端口的包头部和对应的端口信息、存储地址等描述信息(描述符)作为输入数据,对这些输入数据中的关键字段进行解析、识别和提取操作,输出给后续的包处理流程。软件定义网络(SDN)是一种新型网络创造架构,是网络虚拟化的一种实现方式。对于包的解析技术而言,SDN的需求体现在支持用户自定义的协议,即通过软件编程使得芯片能够识别并解析不同的帧格式,这就要求parser的硬件设计具有一定的灵活性,即通过软件配置能够使得同一硬件支持用户自定义的协议的包的解析。硬件木马攻击技术是通过在硬件中植入后门,内外配合实施,触发系统的非定义行为(执行错误操作或者非法操作)而实现攻击的安全攻击技术。然而,不论上述哪种方式,硬件木马攻击都必须有良好的隐蔽性,以避免在测试过程中被发现,或者在使用过程中被误触发,从而过早暴露,所以它一般会有一个特定的触发条件。只有匹配了这个触发 ...
【技术保护点】
1.一种可破坏硬件木马的可重构交换机转发引擎解析器,其特征在于:其包括:数据预处理单元、若干级联的基本处理单元以及与最后级基本处理单元相连的提取单元;各级所述基本处理单元结构相同,均包括数据通路和密钥通路;所述数据预处理单元用于按照解析器截取的交换机以太网端口输入的包头部生成等长的密钥,并将所述密钥作为密钥帧输出至第一级基本处理单元的密钥通路,将输入的包头部与所述密钥按位异或后将异或的结果作为数据帧输出至所述第一级基本处理单元的数据通路;所述第一级基本处理单元的密钥通路用于对密钥帧进行密钥关键字提取和移位,提取的密钥关键字值发送至本级基本处理单元的数据通路,移位后的密钥值发送至下级基本处理单元的密钥通路;所述第一级基本处理单元的数据通路根据本级密钥通路提取的密钥关键字值,对所述数据帧进行关键字段提取和移位,并将提取的字段偏移量发送至本级基本处理单元的密钥通路以及下一级基本处理单元的密钥通路和数据通路,移位后的数据帧发送至下一级基本处理单元的数据通路;其他各级基本处理单元依次对接收到的密钥帧和数据帧进行字段提取和移位后,输出到下一级基本处理单元;所述提取单元根据接收到的密钥值和关键字偏移 ...
【技术特征摘要】
1.一种可破坏硬件木马的可重构交换机转发引擎解析器,其特征在于:其包括:数据预处理单元、若干级联的基本处理单元以及与最后级基本处理单元相连的提取单元;各级所述基本处理单元结构相同,均包括数据通路和密钥通路;所述数据预处理单元用于按照解析器截取的交换机以太网端口输入的包头部生成等长的密钥,并将所述密钥作为密钥帧输出至第一级基本处理单元的密钥通路,将输入的包头部与所述密钥按位异或后将异或的结果作为数据帧输出至所述第一级基本处理单元的数据通路;所述第一级基本处理单元的密钥通路用于对密钥帧进行密钥关键字提取和移位,提取的密钥关键字值发送至本级基本处理单元的数据通路,移位后的密钥值发送至下级基本处理单元的密钥通路;所述第一级基本处理单元的数据通路根据本级密钥通路提取的密钥关键字值,对所述数据帧进行关键字段提取和移位,并将提取的字段偏移量发送至本级基本处理单元的密钥通路以及下一级基本处理单元的密钥通路和数据通路,移位后的数据帧发送至下一级基本处理单元的数据通路;其他各级基本处理单元依次对接收到的密钥帧和数据帧进行字段提取和移位后,输出到下一级基本处理单元;所述提取单元根据接收到的密钥值和关键字偏移量,从最后一级基本处理单元的密钥通路和数据通路中进行密钥帧和数据帧字段的提取,并转发至后续包处理部分。2.如权利要求1所述的一种可破坏硬件木马的可重构交换机转发引擎解析器,其特征在于:所述各级基本处理单元中,数据通路包括:数据帧寄存器单元、第一移位器单元、若干第一PA单元、PB单元、PC单元、若干偏移量缓存单元;所述数据帧寄存器单元的输入为所述数据预处理单元或前一级基本处理单元发送的数据帧,输出连接本级所述第一移位器单元;所述第一移位器单元将本级的协议帧头部及其载荷向右移动到下一层协议帧的固定起始位置,其输入为本级所述PC单元输出的下一层协议帧头部在当前数据帧中的偏移量、本级数据帧寄存器单元输出的数据帧,输出为移位后的新的数据帧;各所述第一PA单元的输入为前一级基本处理单元中PC单元输出的关键字段偏移量、本级数据帧寄存器单元的待提取的数据帧,输出为提取出来的固定长度的关键字段;所述PB单元的输入为本级各所述第一PA单元输出的固定长度的关键字段、本级密钥通路输出的密钥关键字值,输出为与输入的关键字段组合所匹配的模板对应的协议分类和类型信息,如果关键字段和任何特征模板都不匹配,则发送非法标识到所述PC单元;所述PC单元是查表单元,其输入为本级PB单元的协议分类和类型信息,输出为下一级基本处理单元所需要的关键字段偏移量、本级封装帧头部中的各个字段的偏移量和字段标识以及下一级数据帧的偏移量;当根据本级提取协议下一层协议不需要解析时,应当跳过时,PC单元输出bypass信号给下一级基本处理单元;当所述PB单元发送的为非法标识信息时,所述PC单元输出非法标识给下一级基本处理单元;后续各级所述基本处理单元接收到bypass信号后,把密钥和数据帧、所述第一PA单元的输入原样复制到下一级的对应端口上,不再执行其它操作;后续各级所述基本处理单元接收到非法标识信号时,把密钥和数据帧原样复制到下一级,不再执行其它操作,同时复制非法标识到后级基本处理单元;所述偏移量缓存单元的输入为前一级基本处理单元的偏移量缓存的所有输出和本级PC单元输出的本级封装帧头部中各个字段的偏移量和字段标识,输出为存储的所有字段偏移量和字段标识数据。3.如权利要求2所述的一种可破坏硬件木马的可重构交换机转发引擎解析器,其特征在于:所述第一PA单元的数量根据每级基本处理单元对应处理的封装帧头部待提取的所有关键字总长度和每个所述第一PA单元能提取的关键字位宽确定。4.如权利要求2所述的一...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。