【技术实现步骤摘要】
一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法
本专利技术涉及通信安全
,尤其涉及一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法。
技术介绍
访问控制是所有网络系统都需要的一种技术,是按用户身份及所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能使用的一种技术。访问控制功能包括:1)防止非法用户进入受保护的网络资源;2)允许合法用户访问受保护的网络资源;3)防止合法用户对受保护的网络资源进行非授权的访问。目前业界针对IP网络访问控制技术方案已经非常成熟了,但是对于网络层协议不是IP的高速网络的访问控制实现非常少,而针对协议可定制(比如网络层协议可定制为IP、MPLS、专有协议等)的高速网络访问控制基本没有,这主要受制于以下两点:1)协议可定制的高速网络设备媒体介质层以上的协议层可根据具体应用场景进行灵活定制,不能通过通用芯片实现针对可定制协议特征的数据流访问控制;2)通过处理器实现针对可定制协议特征的数据流访问控制达不到高速转...
【技术保护点】
1.一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,其特征在于,CPU根据可定制协议栈访问控制要求制定访问控制表,然后将访问控制表通过FPGA下发到搜索引擎;当网络设备通过FPGA进行高速数据硬转发时,FPGA提取数据流特征,通过搜索引擎进行快速查找,匹配该数据流的访问控制动作;FPGA根据该数据流的访问控制动作对数据做是否转发处理。/n
【技术特征摘要】
1.一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,其特征在于,CPU根据可定制协议栈访问控制要求制定访问控制表,然后将访问控制表通过FPGA下发到搜索引擎;当网络设备通过FPGA进行高速数据硬转发时,FPGA提取数据流特征,通过搜索引擎进行快速查找,匹配该数据流的访问控制动作;FPGA根据该数据流的访问控制动作对数据做是否转发处理。
2.根据权利要求1所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,其特征在于,CPU将web端的访问控制需求转换成访问控制表,通过FPGA下发给搜索引擎。
3.根据权利要求1所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,其特征在于,搜索引擎将访问控制表写入相应的存储区域,能够接收FPGA的搜索请求,快速将搜索结果发送回FPGA。
4.根据权利要求1所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,其特征在于,FPGA负责数据流接口适配、数据流缓存、关键字提取、搜索控制、表项匹配、访问决策及路由转发。
5.根据权利要求1所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,其特征在于,根据不同的网络层协议类型实施不同的访问控制策略:
如果网络层协议类型为IP,则根据源MAC、目的MAC和IP五元组去区分用户,实现访问控制策略;
如果网络层协议类型为专有协议,则根据源MAC、目的MAC、数据流ID、上层协议类型和UDP/TCP端口号去区分用户,实现访问控制策略。
6.根据权利要求1所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法,其特征在于,协议可定制的高速网络实现访问控制的处理流程包括访问控制表配置步骤和数据流访问控制步骤,其中访问控制表配置步骤包括以下子步骤:
S11.用户通过web端配置界面配置访问控制表,其中访问控制表分两个部分,一个是访问控制对象,另一个是对象的访问控制动作;访问控制对象根据网络层协议不...
【专利技术属性】
技术研发人员:刘亮,吴捷,李鉴,王文胜,杨宏,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。