本发明专利技术涉及通信安全领域,本发明专利技术公开了一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,CPU根据可定制协议栈访问控制要求制定访问控制表,然后将访问控制表通过FPGA下发到搜索引擎;当网络设备通过FPGA进行高速数据硬转发时,FPGA提取数据流特征,通过搜索引擎进行快速查找,匹配该数据流的访问控制动作;FPGA根据该数据流的访问控制动作对数据做是否转发处理。本发明专利技术从协议可定制的高速网络全协议栈访问控制需求入手,采用CPU+FPGA+搜索引擎平台实现了灵活可配置的可定制协议的高速网络设备全协议栈访问控制,解决了协议可定制的高速网络访问控制实现的困难,其在对高可靠、自主化要求高、协议定制化的保密通信网络场景中具有很高的应用价值。
【技术实现步骤摘要】
一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法
本专利技术涉及通信安全
,尤其涉及一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法。
技术介绍
访问控制是所有网络系统都需要的一种技术,是按用户身份及所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能使用的一种技术。访问控制功能包括:1)防止非法用户进入受保护的网络资源;2)允许合法用户访问受保护的网络资源;3)防止合法用户对受保护的网络资源进行非授权的访问。目前业界针对IP网络访问控制技术方案已经非常成熟了,但是对于网络层协议不是IP的高速网络的访问控制实现非常少,而针对协议可定制(比如网络层协议可定制为IP、MPLS、专有协议等)的高速网络访问控制基本没有,这主要受制于以下两点:1)协议可定制的高速网络设备媒体介质层以上的协议层可根据具体应用场景进行灵活定制,不能通过通用芯片实现针对可定制协议特征的数据流访问控制;2)通过处理器实现针对可定制协议特征的数据流访问控制达不到高速转发性能要求。军事、金融、政府办公及企业重要内网等典型网络基础设施,对网络专有自主性、安全性和速度性具有高要求。这些场景下需要具备安全、可靠、高效的路由通信设备去构建一个稳定、安全的保密通信专有高速网络,其网络层协议根据各自场景要求不甚相同。业界厂商对可定制协议的高速网络设备的访问控制实现,一般多采用交换芯片+FPGA的平台方案,这种方案主要针对物理端口或者媒体介质层特征进行数据流访问控制,访问控制粗糙;同时网络层协议可定制性很差,仅支持少数几种公有协议,满足不了针对可定制化协议整个协议栈的访问控制要求。此外,也有业界厂商采用CPU实现针对可定制协议的整个协议栈的访问控制,但仅在低速网络设备上实现,满足不了高速转发的要求。
技术实现思路
为了解决上述问题,本专利技术提出一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,可实现根据可定制协议的全协议栈特征,定义用户的合法性,防止非法的用户进入专有高速网络,允许合法用户访问专有高速网络,允许合法用户有条件的访问专有高速网络,防止合法的用户对受保护的专有高速网络资源进行非授权的访问。本专利技术的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,CPU根据可定制协议栈访问控制要求制定访问控制表,然后将访问控制表通过FPGA下发到搜索引擎;当网络设备通过FPGA进行高速数据硬转发时,FPGA提取数据流特征,通过搜索引擎进行快速查找,匹配该数据流的访问控制动作;FPGA根据该数据流的访问控制动作对数据做是否转发处理。进一步的,CPU将web端的访问控制需求转换成访问控制表,通过FPGA下发给搜索引擎。进一步的,搜索引擎将访问控制表写入相应的存储区域,能够接收FPGA的搜索请求,快速将搜索结果发送回FPGA。进一步的,FPGA负责数据流接口适配、数据流缓存、关键字提取、搜索控制、表项匹配、访问决策及路由转发。进一步的,根据不同的网络层协议类型实施不同的访问控制策略:如果网络层协议类型为IP,则根据源MAC、目的MAC和IP五元组去区分用户,实现访问控制策略;如果网络层协议类型为专有协议,则根据源MAC、目的MAC、数据流ID、上层协议类型和UDP/TCP端口号去区分用户,实现访问控制策略。进一步的,协议可定制的高速网络实现访问控制的处理流程包括访问控制表配置步骤和数据流访问控制步骤,其中访问控制表配置步骤包括以下子步骤:S11.用户通过web端配置界面配置访问控制表,其中访问控制表分两个部分,一个是访问控制对象,另一个是对象的访问控制动作;访问控制对象根据网络层协议不同分为IP网络访问控制对象和专有网络协议访问控制对象;对象的访问控制动作包括禁止访问、有条件访问和允许访问,其中有条件访问包括带宽限制后访问;S12.CPU通过网口接收用户配置的访问控制列表数据;S13.CPU根据用户的访问控制数据生成访问控制表;S14.CPU通过网口将访问控制表下发给FPGA;S15.FPGA通过网口接收CPU下发的访问控制表,将访问控制表按地址写入搜索引擎相应的存储单元。进一步的,数据流访问控制步骤包括以下子步骤:S21.FPGA缓存数据流,并提取查表关键字;查表关键字提取部分需自动甄别数据包类型;S22.FPGA根据查表关键字生成搜索请求,发送给搜索引擎进行搜索;S23.FPGA等待搜索引擎搜索结果返回;S24.FPGA解析搜索结果,如果没有匹配到表项,则没有访问控制限制,读取缓存数据后直接转发;S25.FPGA解析搜索结果,如果匹配到表项,则根据表项内容读取数据做进一步处理,若访问控制动作为禁止访问,则直接丢弃缓存中的数据包;若访问控制动作为有条件访问,则对缓存中数据进行限流后转发;若访问控制动作为允许访问,则读取数据后直接转发。进一步的,步骤S11中,IP网络访问对象通过源MAC地址、目的MAC地址和IP五元组区分;专有网络协议访问对象通过源MAC地址、目的MAC地址、数据流ID、上层协议类型和TCP/UDP端口号区分。进一步的,步骤S21中,如果数据包类型是IP包,则提取源MAC地址、目的MAC地址和IP五元组作为关键字;如果数据包类型是专有协议包,则提取源MAC地址、目的MAC地址、数据流ID、上层协议类型和TCP/UDP端口号作为关键字。本专利技术的有益效果在于:本专利技术采用CPU+FPGA+搜索引擎平台实现了灵活可配置的可定制协议的高速网络设备的全协议栈访问控制,其访问控制需求可根据可定制协议具体内容,网络需求进行灵活配置;本专利技术采用CPU+FPGA+搜索引擎平台实现了访问控制,数据转发和访问控制层面由FPGA和搜索引擎的硬件实现,转发速度不受CPU转发速率限制,以满足高速专有网络访问控制需求;本专利技术从协议可定制的高速网络全协议栈访问控制需求入手,采用CPU+FPGA+搜索引擎平台实现了灵活可配置的可定制协议的高速网络设备全协议栈访问控制,解决了协议可定制的高速网络访问控制实现的困难,其在对高可靠、自主化要求高、协议定制化的保密通信网络场景中具有很高的应用价值。附图说明图1本专利技术的协议可定制的高速网络访问控制方法的示意图;图2某专有网络数据包格式;图3某专有网络网络层协议头;图4本专利技术的访问控制表配置流程图;图5本专利技术的数据流访问控制流程图。具体实施方式为了对本专利技术的技术特征、目的和效果有更加清楚的理解,现说明本专利技术的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术,即所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本实本文档来自技高网...
【技术保护点】
1.一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,其特征在于,CPU根据可定制协议栈访问控制要求制定访问控制表,然后将访问控制表通过FPGA下发到搜索引擎;当网络设备通过FPGA进行高速数据硬转发时,FPGA提取数据流特征,通过搜索引擎进行快速查找,匹配该数据流的访问控制动作;FPGA根据该数据流的访问控制动作对数据做是否转发处理。/n
【技术特征摘要】
1.一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,其特征在于,CPU根据可定制协议栈访问控制要求制定访问控制表,然后将访问控制表通过FPGA下发到搜索引擎;当网络设备通过FPGA进行高速数据硬转发时,FPGA提取数据流特征,通过搜索引擎进行快速查找,匹配该数据流的访问控制动作;FPGA根据该数据流的访问控制动作对数据做是否转发处理。
2.根据权利要求1所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,其特征在于,CPU将web端的访问控制需求转换成访问控制表,通过FPGA下发给搜索引擎。
3.根据权利要求1所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,其特征在于,搜索引擎将访问控制表写入相应的存储区域,能够接收FPGA的搜索请求,快速将搜索结果发送回FPGA。
4.根据权利要求1所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,其特征在于,FPGA负责数据流接口适配、数据流缓存、关键字提取、搜索控制、表项匹配、访问决策及路由转发。
5.根据权利要求1所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,其特征在于,根据不同的网络层协议类型实施不同的访问控制策略:
如果网络层协议类型为IP,则根据源MAC、目的MAC和IP五元组去区分用户,实现访问控制策略;
如果网络层协议类型为专有协议,则根据源MAC、目的MAC、数据流ID、上层协议类型和UDP/TCP端口号去区分用户,实现访问控制策略。
6.根据权利要求1所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,其特征在于,协议可定制的高速网络实现访问控制的处理流程包括访问控制表配置步骤和数据流访问控制步骤,其中访问控制表配置步骤包括以下子步骤:
S11.用户通过web端配置界面配置访问控制表,其中访问控制表分两个部分,一个是访问控制对象,另一个是对象的访问控制动作;访问控制对象根据网络层协议不...
【专利技术属性】
技术研发人员:刘亮,吴捷,李鉴,王文胜,杨宏,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。