一种基于FPGA的多主机的安全系统和通信方法技术方案

本发明专利技术涉及一种基于FPGA的多主机的安全系统和通信方法，属于网络安全领域。为解决在白名单库查找比对时只能遍历查找，不能使用寻址的方式查找，从而导致白名单库较大时影响通信带宽的问题，本发明专利技术采用表的映衬关系，将较长白名单内容替换为通道号，通过通道号寻址查询通道开通状态决定数据是否允许通过，以虚拟通道的概念简化的多主机安全通信架构设计。减少了主机间大数据集中通信时，遍历白名单所需时间和报文中白名单内容提取工作量提高性能的同时减少了功耗。本发明专利技术通过一个定时器使得一个通道最多被使用5分钟，5分钟后需要重新申请该通道号的使用，杜绝了特殊情况下该通道被攻破，一直被攻击的使用情况。一直被攻击的使用情况。一直被攻击的使用情况。

【技术实现步骤摘要】
一种基于FPGA的多主机的安全系统和通信方法


[0001]本专利技术属于网络安全领域，具体涉及一种基于FPGA的多主机的安全系统和通信方法。

技术介绍

[0002]在多主机通信过程中会存在很多不被期望的网络报文，这个不仅仅影响通信带宽，而且存在被攻击的网络风险。在FPGA实现多主机安全通信的时候，本设计提供了一种多主机的安全系统。
[0003]目前基于FPGA的多主机安全架构设计，基本上都是提取报文中的身份信息（目的ip、源ip、目的端口号、源端口号、协议号或者特殊身份序列），然后在允许通过的身份信息的白名单库中遍历，由遍历结果判断该报文是否允许通过。因为每个报文都需要解析提取身份信息，而且身份信息内容一般大于8字节，所以在白名单库查找比对时只能遍历查找，不能使用寻址的方式查找，从而导致白名单库较大时影响通信带宽。

技术实现思路

[0004]（一）要解决的技术问题本专利技术要解决的技术问题是如何提供一种基于FPGA的多主机的安全系统和通信方法，以解决在白名单库查找比对时只能遍历查找，不能使用寻址的方式查找，从而导致白名单库较大时影响通信带宽的问题。
[0005]（二）技术方案为了解决上述技术问题，本专利技术提出一种基于FPGA的多主机的安全系统，该系统包括一个白名单库、一个通道号开通表、一个定时器、对内处理逻辑和对外接口，对内处理逻辑包括：通道号申请处理逻辑和通道号检查逻辑，对外接口包括：配置接口、通道号申请接口、申请结果返回接口、数据进入接口和数据输出接口；白名单库，由允许呼入的身份信息组成的数据库；通道号开通表，为一个寻址为X的数据1bit的ram，地址代表通道号，数据内容为0表示该通道是关闭状态不允许数据通过，数据内容为1表示该通道是开通状态允许数据通过；定时器，每当一个通道号被申请使用时开始计时，一个通道号最多被使用Y分钟，计时结束后自动关闭，该通道号需要重新申请后才能使用。
[0006]通道号申请处理逻辑，包括：第一步解析从通道号申请接口收到的呼出端的通道号申请报文，提取报文中的白名单内容；第二步在白名单库中进行遍历查询，如果查询到相匹配的白名单进行第三步，否则直接通过申请结果返回接口向呼出端返回消息，消息内容为：白名单匹配失败的遍历结果，通道号申请失败；第三步在通道号开通表中进行遍历查询，如果查询到未使用的通道号，则将该通道号开通，并且将对应的通道号通过申请结果返回接口返回给呼出端；如果查询到所有通道都是开通状态，则通过申请结果返回接口向呼
出端返回消息，消息内容为：通道全部被占用，通道号申请失败；通道号检查逻辑，用于解析提取出呼出端通过数据进入接口发送的数据报文中的通道号，以通道号作为地址查询通道号开通表，如果该通道号是开通状态，允许数据通过数据输出接口输出至呼入端；否则丢弃数据报文，并且向呼出端返回消息，消息内容为：该通道处于关闭状态，当前数据被丢弃；配置接口，呼入端通过配置接口对白名单库进行增、删、改、查操作。
[0007]进一步地，所述白名单库最多配置256个身份信息白名单。
[0008]进一步地，身份信息包括：目的ip、源ip、目的端口号、源端口号、协议号和特殊身份序列。
[0009]进一步地，X=256。
[0010]进一步地，Y=5。
[0011]进一步地，呼出端通过通道号申请接口发送通道号申请报文，经过通道号申请处理逻辑申请未被占用的通道号，通道号申请处理逻辑将申请结果通过申请结果返回接口返回至呼出端。
[0012]进一步地，呼出端通过数据进入接口将数据报文发送至通道号检查逻辑，通道号检查逻辑通过数据输出接口将数据报文发送至呼入端。
[0013]本专利技术还提供一种基于FPGA的多主机的安全通信方法，该方法包括如下步骤：S101、流程启动；S102、配置白名单库：cpuB通过配置接口向白名单库中注入白名单内容；S103、通道号申请：cpuA发送通道号申请报文申请使用通道号；S104、提取白名单内容：提取cpuA发送的通道号申请报文中的白名单内容；S105、白名单查询匹配：遍历白名单库，如果查询到相匹配的白名单，则匹配成功继续进行下个流程；否则匹配失败，向cpuA返回消息，消息内容为：白名单匹配失败导致通道号申请失败，流程结束；S106、查询未使用的通道号：遍历通道号开通表，如果查询到未使用的通道号则进行下个流程，否则，向cpuA返回消息，消息内容为：通道全部被占用导致通道号申请失败，流程结束；S107、通道号申请结果返回：将申请到的通道号返回至cpuA；S108、发送数据报文：cpuA将通信的数据报文通过数据进入接口发送给通道号检查逻辑；S109、通道号检查：通道号检查逻辑提取数据报文中的通道号，以通道号作为地址在通道号开通表中寻址，通过寻址的内容判断该通道是开通还是关闭；如果通道是开通状态则进行下个流程，否则，向cpuA返回消息，消息内容为：数据被丢弃因为该通道处于关闭状态，流程结束；S110、数据报文发送结束：通道号检查逻辑将数据报文发送至cpuB；S111、流程结束。
[0014]进一步地，cpuA为呼出端，cpuB为呼入端。
[0015]进一步地，该方法还包括通道号关闭的步骤：最后一帧数据报文中有个标志位，通过该标志位关闭本次使用的通道号；或者通道号使用时长达到Y分钟自动关闭。
[0016]（三）有益效果本专利技术提出一种基于FPGA的多主机的安全系统和通信方法，本专利技术实现了基于FPGA的多主机大数据量安全快速通信系统设计，本专利技术的有益效果是：1、采用表的映衬关系，将较长白名单内容（身份信息）替换为通道号，通过通道号寻址查询通道开通状态决定数据是否允许通过，以虚拟通道的概念简化的多主机安全通信架构设计。减少了主机间大数据集中通信时，遍历白名单所需时间和报文中白名单内容提取工作量提高性能的同时减少了功耗。
[0017]2．本专利技术通过一个定时器使得一个通道最多被使用5分钟，5分钟后需要重新申请该通道号的使用，杜绝了特殊情况下该通道被攻破，一直被攻击的使用情况。
附图说明
[0018]图1为本专利技术基于FPGA的多主机的安全系统框图；图2为白名单库、通道号开通表示意图；图3为本专利技术的通信方法流程图。
具体实施方式
[0019]为使本专利技术的目的、内容和优点更加清楚，下面结合附图和实施例，对本专利技术的具体实施方式作进一步详细描述。
[0020]本专利技术的目的就是提供一种基于FPGA的多主机大数据量安全快速通信系统设计。
[0021]本专利技术的安全系统如图1所示，包括：一个白名单库、一个通道号开通表、一个定时器、对内处理逻辑和对外接口，对内处理逻辑包括：通道号申请处理逻辑及通道号检查逻辑，对外接口包括：配置接口、通道号申请接口、申请结果返回接口、数据进入接口和数据输出接口。该安全系统基于FPGA实现。
[0022]白名单库，如图2所示，由允许呼入的身份信息组成的数据库，本专利技术允许最多配置256个身份信息白名单，具体白名单库的深度可以根据项目本身确定。身份信息包括：本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于FPGA的多主机的安全系统，其特征在于，该系统包括一个白名单库、一个通道号开通表、一个定时器、对内处理逻辑和对外接口，对内处理逻辑包括：通道号申请处理逻辑和通道号检查逻辑，对外接口包括：配置接口、通道号申请接口、申请结果返回接口、数据进入接口和数据输出接口；白名单库，由允许呼入的身份信息组成的数据库；通道号开通表，为一个寻址为X的数据1bit的ram，地址代表通道号，数据内容为0表示该通道是关闭状态不允许数据通过，数据内容为1表示该通道是开通状态允许数据通过；定时器，每当一个通道号被申请使用时开始计时，一个通道号最多被使用Y分钟，计时结束后自动关闭，该通道号需要重新申请后才能使用；通道号申请处理逻辑，包括：第一步解析从通道号申请接口收到的呼出端的通道号申请报文，提取报文中的白名单内容；第二步在白名单库中进行遍历查询，如果查询到相匹配的白名单进行第三步，否则直接通过申请结果返回接口向呼出端返回消息，消息内容为：白名单匹配失败的遍历结果，通道号申请失败；第三步在通道号开通表中进行遍历查询，如果查询到未使用的通道号，则将该通道号开通，并且将对应的通道号通过申请结果返回接口返回给呼出端；如果查询到所有通道都是开通状态，则通过申请结果返回接口向呼出端返回消息，消息内容为：通道全部被占用，通道号申请失败；通道号检查逻辑，用于解析提取出呼出端通过数据进入接口发送的数据报文中的通道号，以通道号作为地址查询通道号开通表，如果该通道号是开通状态，允许数据通过数据输出接口输出至呼入端；否则丢弃数据报文，并且向呼出端返回消息，消息内容为：该通道处于关闭状态，当前数据被丢弃；配置接口，呼入端通过配置接口对白名单库进行增、删、改、查操作。2.如权利要求1所述的基于FPGA的多主机的安全系统，其特征在于，所述白名单库最多配置256个身份信息白名单。3.如权利要求2所述的基于FPGA的多主机的安全系统，其特征在于，身份信息包括：目的ip、源ip、目的端口号、源端口号、协议号和特殊身份序列。4.如权利要求2所述的基于FPGA的多主机的安全系统，其特征在于，X=256。5.如权利要求1所述的基于FPGA的多主机的安全系统，其特征在于，Y=5。6.如权利要求1所述的基于FPGA的多主机的安全...

【专利技术属性】
技术研发人员：马雪振，张伟，于礼斌，陈俊来，
申请(专利权)人：北京左江科技股份有限公司，
类型：发明
国别省市：