本发明专利技术公开了一种用于网络安全设备的报文处理方法,包括如下步骤:A、收到报文时,查找对应的网络安全规则对该报文进行处理;B、将处理报文产生的统计信息保存到临时统计信息存储器中;C、将所述统计信息通过PCI/PCIE接口总线发送到该网络安全设备的主CPU;D、在对报文进行IPsec VPN处理时,首先将产生的统计信息保存到所述临时统计信息存储器中,然后将该统计信息发送到主CPU。采用本发明专利技术方法由于消除了将统计信息回写到SDRAM的过程,因此能够显著提高网络安全设备的报文处理性能。本发明专利技术还相应公开了一种用于网络安全设备的报文处理装置,包括查找模块、临时统计信息存储器和发送模块。
【技术实现步骤摘要】
本专利技术属于网络安全
,尤其涉及一种用于网络安全设备的报文处理方法 及装置。术语解释网络安全规则在网络安全设备中使用,根据系统管理员配置的规则生成。主要用 于规定每个报文的处理方式,是允许报文通过还是应该阻断报文。网络安全规则ID 每条网络安全规则都有自己唯一标识的编号,网络安全规则ID 表示该安全规则的编号。DDR2/DDR3SDRAM :DDR是Double Data Rate 的缩写,SDRAM是SynchronousDynamic Random Access Memory的缩写,中文名称是同步动态随机存储器。一种大容量、高带宽的存 储器件。在计算机和网络设备上被大量使用,主要用于存储大量的数据。在网络安全设备 中,一般会用来存储网络安全规则。SSRAM SSRAM 是 Synchronous Static Random Access Memory 的缩写,中文名称 是同步静态随机存储器,是一种存储器件。访问机制很简单,具有较高的访问带宽,但容量 一般不大。适合于具有较高的访问带宽要求、但容量要求不高的场合。主CPU CPU是Central Processing Unit的缩写,中文名称是中央处理器。在网 络安全设备中,都存在一个CPU处理器件,用于管理整个设备的正常运行。同时,它还需要 监控网络设备的运行状态、收集设备中通过的报文的各种统计信息,并用直观的方式显示 出来,供设备的管理员查看。该CPU即为主CPU。IP :IP是Internet Protocol的缩写,表示互联网协议。在互联网上,数据都是以 符合互联网协议的格式进行传输,这些符合互联网协议格式的报文一般称为IP报文。PCI/PCI E :PCI 是 Peripheral Component Interconnec t 的缩写,中文名称是周 边元件扩展接口,PCIE是PCI-Expres s的缩写。PCI/PCIE是在计算机和网络设备中广泛 采用的、为CPU和其它器件提供高带宽传输通道的接口标准。PCIE接口是比PCI接口更新 一代的接口标准,和PCI接口相比,PCIE接口具有更高的传输带宽,DMA :DMA是Direct Memory Access的缩写,表示直接寄存器访问方式,是PCI/ PCIE接口标准中的一种使用方式。在连续大流量数据传输时,通过这种方式可以提高PCI/ PCIE总线的使用效率。IPsec VPN :IPsec VPN ^ I nternet Protocol Security Virtual PrivateNetwork的缩写,是一种IP网络上对数据进行加密和解密的协议标准。在发送IP 报文时,网络安全设备可根据IPsec VPN协议对IP报文进行加密来保障IP报文的安全。在 接收时,网络安全设备需要对加密报文进行解密。SA 是Security Associations的缩写。在SA中,将IPsec VPN协议中的安全协 议、IP目标地址和索引号进行安全关联。网络安全设备根据SA中的信息来对IP报文进行 加密和解密处理。SADB 是 Security Associations Database 的缩写,是存储 SA 的数据库。查找模块这里特指硬件实现的网络安全设备中,专门负责查找网络安全规则表 或者SADB的功能模块。
技术介绍
在网络安全设备(以下有的地方也简称为“设备”)中,需要对经过的网络报文进 行规则查找。根据网络安全规则,允许符合网络安全规则的报文通过,阻断不符合网络安全 规则的报文。网络安全规则的条目数量有很多,一般都可达到几百万条的规模。而且每条 网络安全规则的内容也很多,一般都不少于512bit。因此,这些网络安全规则一般都存放 在专门的大容量存储器中,这些存储器主要是DDR2/DDR3SDRAM。在高性能的网络安全设备 中,查表模块都由硬件实现,设备的性能指标主要取决于查找DDR2/DDR3SDRAM的性能。 网络安全规则表中,主要包含了两个方面的内容报文的处理方式、符合该规则 的报文统计信息。报文的处理方式,用于网络安全设备中的硬件转发模块来控制每个报文 的转发方式;而每条规则中的报文统计信息,需要上报到设备中的主CPU,用于生成统计信 息。对于每一个通过网络安全设备的报文来说,都需要查找网络安全规则表,读出规则表中 的报文处理方式和累积的统计信息。同时,还需要根据报文信息来更新规则表的累积统计 信息,然后再将更新后的统计信息回写到大容量存储器中。主CPU会定期查询网络规则表 中的累积统计信息,从而得到所有的统计信息。在网络安全设备处理报文的时候,对于每个报文来说,查找网络安全规则表的时 间取决于读存储器和时间与回写存储器的时间相加的和。经过前面的介绍可以知道,网络安全设备查找网络安全规则的时间由两部分组 成读存储器的时间、回写存储器的时间。为了提高查找性能,现有的技术都围绕着减少这 两个时间来进行设计。为了提高查找存储在大容量存储器中网络安全规则表的查找性能,主要从提高存 储器的带宽和减少访问时间2个方面进行考虑。但存储器的带宽是有限度的,和存储器的 结构和制造工艺密切相关。在网络安全设备上,对大容量存储器的使用方式也很独特,每个 报文只能进行有限长度的访问,不能进行大量的连续访问。因此,对网络安全设备来说,存 储器的带宽已经到了极限,不能再继续拓宽了。所以,现有的技术基本上都是在尽量减少对 存储器的访问时间。目前的一种较为常见的方法,是在回写累积的统计值时,不立即将累积统计值写 到大容量的存储器中,而是先缓存在一个小容量、但具有较快访问速度的SSRAM存储器中。 这种方案的结构如图1所示。在这个方案中,处理一个报文时的处理流程如图2所示,回写的累积统计值暂时 先存储在SSRAM中,等到SSRAM快存满的时候,再将SSRAM中保存的统计值搬移到大容量的 SDRAM中,然后供主CPU来查询。这样,这个SSRAM有点像计算机中常用的cache结构。另外,在这个方案中,还需要一个单独的模块,用来记录SSRAM中每个条目中的生 存时间。对于那些生存时间较长的条目,需要将它们转移到大容量的SDRAM中,通过这种方 式来提高SSRAM的使用效率。目前,在网络安全设备中,除了根据网络安全规则来决定允许报文通过或者阻断 报文外,一般还会支持Ipsec VPN功能,通过对IP报文进行加密来保障报文能够在网络上安全传输。网络安全设备在对报文进行加密或解密处理时,需要查找SADB。每条SA中包含 的信息有加密/解密算法、加密/解密起始点初始值、加密/解密密钥、认证算法、滑动窗 口大小,等等。为了监测网络安全设备的工作情况以及它所处理的报文流量,在SA中还保 存了该SA对应的报文流量等统计信息。主CPU通过主动读取SADB表来获得每条SA中的 统计信息。在网络安全设备中,支持的SA数量越来越多。目前,一般都可支持几万条SA。而 每条SA中存储的内容也比较多,所以,SADB存放在大容量的DDR2/DDR3SDRAM中。上述现有技术方案存在如下缺陷1、结构复杂,加大了实现难度;2、SSRAM的容量很小,只能保存很少的一部分安全规则所对应的统计信息。 只有 符合这些少数安全规则的报文,才能本文档来自技高网...
【技术保护点】
一种用于网络安全设备的报文处理方法,其特征在于包括如下步骤: 步骤1、收到报文时,网络安全设备的查找模块通过查找网络安全规则表中对应的网络安全规则对该报文进行处理; 步骤2、所述查找模块将处理该报文产生的统计信息保存到一个临时统计信息存储器中; 步骤3、将存储在所述临时统计信息存储器中的所述统计信息发送到该网络安全设备的主CPU。
【技术特征摘要】
1.一种用于网络安全设备的报文处理方法,其特征在于包括如下步骤步骤1、收到报文时,网络安全设备的查找模块通过查找网络安全规则表中对应的网络 安全规则对该报文进行处理;步骤2、所述查找模块将处理该报文产生的统计信息保存到一个临时统计信息存储器中;步骤3、将存储在所述临时统计信息存储器中的所述统计信息发送到该网络安全设备 的主CPU。2.根据权利要求1所述的用于网络安全设备的报文处理方法,其特征在于 所述保存到临时统计信息存储器中的统计信息包括所述报文对应的网络安全规则ID,以及所述报文对应的统计信息。3.根据权利要求1所述的用于网络安全设备的报文处理方法,其特征在于,所述查找 模块将所述统计信息保存到所述临时统计信息存储器时采用的方法为在根据该报文对应的网络安全规则处理完该报文并产生了统计信息后,查看所述临时 统计信息存储器中,是否已存在与该报文采用相同的网络安全规则进行处理的报文所产生 的统计信息,如果已存在则将该新产生的统计信息累加到该已有的统计信息中即可,所述 临时统计信息存储器中存储的统计信息个数并不增加;如果不存在则将该报文产生的统计 信息存入所述临时统计信息存储器中,所述临时统计信息存储器中存储的统计信息个数增 加一个。4.根据权利要求1所述的用于网络安全设备的报文处理方法,其特征在于所述临时统计信息存储器和所述主CPU之间通过PCI/PCIE接口总线来传输所述统计信息ο5.根据权利要求4所述的用于网络安全设备的报文处理方法,其特征在于,将存储在 所述临时统计信息存储器中的所述统计信息发送到所述主CPU时采用的方法为将处理N个所述报文产生的N个所述统计信息拼接在一起,构成一个新的统计信息报 文,然后将所述统计信息报文发送给所述...
【专利技术属性】
技术研发人员:甘云慧,
申请(专利权)人:北京天融信科技有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。