本发明专利技术提供了一种基于处理器拟态交换机控制执行体的方法及系统,处理器控制执行体周期对外发送查询报文;需要加入组播组时,处理器控制执行体向交换芯片回一个报告报文,交换芯片将报告报文发送至处理器控制执行体;处理器控制执行体对收到的报告报文进行处理,分析其所带的信息,将网络端点MAC地址写入组播的MAC地址表中,并将处理后的报文信息通过另一同步交换芯片发送给FPGA调度模块;FPGA调度模块待收到所有异构执行体传送过来的报文信息,进行拟态优化裁决判定,给出唯一执行命令至交换芯片,交换芯片根据执行命令进行网络设置。本发明专利技术可实现多执行体处理器对同一协议报文分别进行处理以及对协议报文的处理更安全化。
【技术实现步骤摘要】
基于处理器拟态交换机控制执行体的方法及系统
本专利技术涉及拟态交换机领域,具体地,涉及一种基于处理器拟态交换机控制执行体的方法及系统。
技术介绍
拟态高安全交换机是基于拟态防御机理研制的,通过引入动态异构冗余的内生安全构造技术,实现交换机对基于未知漏洞、后门攻击的发现与阻断,提供高安全、高可靠网络交换服务。拟态交换机主要由拟态协议软件、拟态控制模组和安全交换芯片组成。拟态协议软件包括了高安全等级拟态架构系列化以太网交换机及配套软件;拟态控制模组针对控制、管理平面未知漏洞和后门攻击防御的拟态架构高安全管理模组;安全交换芯片部分则包含针对数据转发平面未知漏洞和后门攻击防御的拟态架构高安全数据交换芯片。拟态交换机最基本的作用就是进行数据转发,在黑客攻击和病毒侵扰下,拟态交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这就是拟态交换机所需要的最基本的安全功能。同时,拟态交换机作为整个网络的核心,应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是,拟态交换机还应该配合其他网络安全设备,对非授权访问和网络攻击进行监控和阻止。拟态交换机可以应用在军工信息系统、党政信息系统、操作系统、协议栈、网管等层面的未知漏洞、未知后门攻击,是支撑国家网络空间安全战略的重要产品。
技术实现思路
针对现有技术中的缺陷,本专利技术的目的是提供一种基于处理器拟态交换机控制执行体的方法及系统。根据本专利技术提供的一种基于处理器拟态交换机控制执行体的方法,包括如下步骤:查询报文发送步骤:处理器控制执行体周期对外发送查询报文;组播加入判断步骤:处理器控制执行体判断是否存在网络端点需要加入组播组,若判断结果为否,则继续执行查询报文发送步骤,若判断结果为是,则处理器控制执行体向交换芯片回一个报告报文,交换芯片将报告报文发送至处理器控制执行体;报文处理步骤:处理器控制执行体对收到的报告报文进行处理,分析其所带的信息,在内存中映射一张组播地址表,将网络端点MAC地址写入组播的MAC地址表中,并将处理后的报文信息通过另一同步交换芯片发送给FPGA调度模块;判定执行步骤:FPGA调度模块待收到所有异构执行体传送过来的报文信息,进行拟态优化裁决判定,给出唯一执行命令至交换芯片,交换芯片根据执行命令进行网络设置。优选地,所述处理器包括CPS2020处理器。优选地,交换芯片收到报告报文后通过交换芯片与CPU间的Pcie通道分发至处理器控制执行体上。优选地,所述报告报文处理步骤包括IGMPquery报文处理步骤:当收到IGMPquery报文后,若record已经存在,则复位该record的时钟,并向group中所有其他成员发包;若record不存在,则在交换网络中加入路由record,并把路由端口加入所有的组MAC地址,然后向组中所有其他成员发包。优选地,在源IP地址存在的情况下,当收到IGMPquery报文后,处理器控制执行体注册路由端口,更新query信息。优选地,若IGMPquery报文是一般的查询报文,则在VLAN中调整查询报文时间戳;若不是一般报文,且group已经存在的情况下,则在group中调整查询报文时间戳。优选地,所述报告报文处理步骤包括IGMPreport报文处理步骤:当收到IGMPreport报文后,处理器控制执行体对路由端口作出判断,若路由端口已经存在,则获取VLANid和端口号来映射到组播组record中,若组播组record已存在,则直接重置record时钟,并将query数和延时时间戳置0;若record不存在,则创建一个新的record并开启时钟,然后发包给与该端口相连的路由。优选地,当路由端口已经存在于VLAN中时,给其他路由端口发送report报文。优选地,处理器控制执行体将处理后的报文信息以socket接口形式和FPGA调度模块进行通信。优选地,处理器控制执行体和FPGA调度模块间进行无阻塞协议数据交换。根据本专利技术提供的一种基于处理器拟态交换机控制执行体的系统,包括如下模块:处理器控制执行体:周期对外发送查询报文,并将需要加入组播组的网络端点向交换芯片回一个报告报文,对收到的报告报文进行处理,分析其所带的信息,在内存中映射一张组播地址表,将网络端点MAC地址写入组播的MAC地址表中,并将处理后的报文信息通过另一同步交换芯片发送给FPGA调度模块;交换芯片:将报告报文发送至处理器控制执行体、根据FPGA调度模块的执行命令进行网络设置;FPGA调度模块:收到所有异构执行体传送过来的报文信息,进行拟态优化裁决判定,给出唯一执行命令至交换芯片。与现有技术相比,本专利技术具有如下的有益效果:1、本专利技术提出的基于处理器的控制执行体,对高安全交换芯片上报的协议包进行处理后汇总至FPGA调度模块,可实现多执行体处理器对同一协议报文分别进行处理;2、本专利技术通过处理器控制执行体实现协议处理后以socket接口形式发送至FPGA调度模块,经过裁决下发给交换芯片进行相应管理配置,可实现对协议报文的处理更安全化。附图说明通过阅读参照以下附图对非限制性实施例所作的详细描述,本专利技术的其它特征、目的和优点将会变得更明显:图1为基于处理器拟态交换机控制执行体的方法的步骤流程图;图2为本专利技术实施例提供的IGMPquery报文处理流程图;图3为本专利技术实施例提供的IGMPreport报文处理流程图。具体实施方式下面结合具体实施例对本专利技术进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本专利技术,但不以任何形式限制本专利技术。应当指出的是,对本领域的普通技术人员来说,在不脱离本专利技术构思的前提下,还可以做出若干变化和改进。这些都属于本专利技术的保护范围。如图1至图3所示,本专利技术提供了一种基于处理器拟态交换机控制执行体的方法,当拟态交换机收到协议报文时,它将通过交换芯片与CPU间的Pcie通道分发至CPS2020控制执行体上。CPS2020控制执行体上运行网络协议栈,负责对协议数据包的解析和处理,以此为基础进行路由表的更新。网络协议栈能够配合交换机系统正确处理各种类型的协议数据包和异常数据包,确保交换机实现正常的交换功能。以IGMPSnooping协议为例,运行IGMPSnooping协议的二层设备通过对收到的IGMP报文进行分析,为端口和MAC组播地址建立映射关系,并根据映射关系转发组播数据。IGMPSnooping协议,提取相应的信息,形成组播关系成员列表,然后对组播业务按照组成员关系进行转发,保证组成员收到正确的组播业务。当收到IGMPquery报文后,若record已经存在,则复位该record的时钟,并向group中所有其他成员发包;若record不存在,则在交换网络中加入路由record,并把路由端口加入所有的组MAC地址,然后向组中所有其他成员发包。另一方面,在源IP地址存在的情况下,当收到IG本文档来自技高网...
【技术保护点】
1.一种基于处理器拟态交换机控制执行体的方法,其特征在于,包括如下步骤:/n查询报文发送步骤:处理器控制执行体周期对外发送查询报文;/n组播加入判断步骤:处理器控制执行体判断是否存在网络端点需要加入组播组,若判断结果为否,则继续执行查询报文发送步骤,若判断结果为是,则处理器控制执行体向交换芯片回一个报告报文,交换芯片将报告报文发送至处理器控制执行体;/n报文处理步骤:处理器控制执行体对收到的报告报文进行处理,分析其所带的信息,在内存中映射一张组播地址表,将网络端点MAC地址写入组播的MAC地址表中,并将处理后的报文信息通过另一同步交换芯片发送给FPGA调度模块;/n判定执行步骤:FPGA调度模块待收到所有异构执行体传送过来的报文信息,进行拟态优化裁决判定,给出唯一执行命令至交换芯片,交换芯片根据执行命令进行网络设置。/n
【技术特征摘要】
1.一种基于处理器拟态交换机控制执行体的方法,其特征在于,包括如下步骤:
查询报文发送步骤:处理器控制执行体周期对外发送查询报文;
组播加入判断步骤:处理器控制执行体判断是否存在网络端点需要加入组播组,若判断结果为否,则继续执行查询报文发送步骤,若判断结果为是,则处理器控制执行体向交换芯片回一个报告报文,交换芯片将报告报文发送至处理器控制执行体;
报文处理步骤:处理器控制执行体对收到的报告报文进行处理,分析其所带的信息,在内存中映射一张组播地址表,将网络端点MAC地址写入组播的MAC地址表中,并将处理后的报文信息通过另一同步交换芯片发送给FPGA调度模块;
判定执行步骤:FPGA调度模块待收到所有异构执行体传送过来的报文信息,进行拟态优化裁决判定,给出唯一执行命令至交换芯片,交换芯片根据执行命令进行网络设置。
2.根据权利要求1所述的基于处理器拟态交换机控制执行体的方法,其特征在于,所述处理器包括CPS2020处理器。
3.根据权利要求1所述的基于处理器拟态交换机控制执行体的方法,其特征在于,交换芯片收到报告报文后通过交换芯片与CPU间的Pcie通道分发至处理器控制执行体上。
4.根据权利要求1所述的基于处理器拟态交换机控制执行体的方法,其特征在于,所述报告报文处理步骤包括IGMPquery报文处理步骤:
当收到IGMPquery报文后,若record已经存在,则复位该record的时钟,并向组中所有其他成员发包;若record不存在,则在交换网络中加入路由record,并把路由端口加入所有的组MAC地址,然后向组中所有其他成员发包。
5.根据权利要求4所述的基于处理器拟态交换机控制执行体的方法,其特征在于,在源IP地址存在的情况下,当收到IGMPquery报文后,处理器控制执行体注册路由端口,更新query信息。
6.根据权利要求4所...
【专利技术属性】
技术研发人员:左颜,顾燕飞,娄晓明,李阿妮,
申请(专利权)人:华东计算技术研究所中国电子科技集团公司第三十二研究所,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。