申请/专利权人：北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司

申请日：2021-11-19

公开（公告）日：2024-04-23

公开（公告）号：CN114070639B

主分类号：H04L9/40

分类号：H04L9/40;H04L12/02;H04L67/146

优先权：

专利状态码：有效-授权

法律状态：2024.04.23#授权;2022.03.08#实质审查的生效;2022.02.18#公开

摘要：本申请提供一种报文安全转发方法、装置及网络安全设备。该方法包括：当FPGA加速网卡接收到第一流量报文后，将第一流量报文发送至处理器；处理器调用DPDK驱动程序，根据预设的OVS网桥配置，将第一流量报文传输至安全服务链中进行测试；当第一流量报文在安全服务链的所有网元中均测试通过后，将第一流量报文发送至FPGA加速网卡，以使FPGA加速网卡将第一流量报文发送至与第一流量报文所对应的终端设备。与现有技术中通过内核态实现的方式相比，能够节约处理流程，提高转发效率，同时该方式也能够提高处理器与FPGA加速网卡的之间的报文转发速率，进而提高网络设备整体性能。

主权项：1.一种报文安全转发方法，其特征在于，应用于网络安全设备，所述方法包括：当FPGA加速网卡接收到第一流量报文后，将所述第一流量报文发送至处理器；所述处理器调用DPDK驱动程序，根据预设的OVS网桥配置，将所述第一流量报文传输至安全服务链中进行测试；当所述第一流量报文在所述安全服务链的所有网元中均测试通过后，将所述第一流量报文发送至所述FPGA加速网卡，以使所述FPGA加速网卡将所述第一流量报文发送至与所述第一流量报文所对应的终端设备；FPGA加速网卡所接收到的第一流量报文为网络安全设备外部的其他终端设备所发送的报文；所述OVS网桥配置中包括网元流表；所述网元流表包括所述安全服务链中的各网元的测试顺序；所述OVS网桥配置中还包括：会话控制表；所述会话控制表包括会话控制标识项和安全服务链标识项；其中，所述根据预设的OVS网桥配置，将所述第一流量报文传输至安全服务链中进行测试，包括：基于所述第一流量报文的五元组信息生成目标会话控制标识；判断所述会话控制标识项中是否包含所述目标会话控制标识；若否，则将所述目标会话控制标识添加至所述会话控制标识项中，以及在与所述目标会话控制标识对应的安全服务链标识项中设置初始服务链标识；再基于所述网元流表，将所述第一流量报文依次发送至所述安全服务链的网元中进行测试；当所述第一流量报文通过当前网元的测试后，则进行下一网元的测试，且将所述初始服务链标识中与当前网元对应的标识数据进行更新，当所述第一流量报文未通过当前网元的测试，则将所述第一流量报文进行丢弃；若是，则根据与所述目标会话控制标识对应的安全服务链标识确定所述第一流量报文的处理操作；其中，当与所述目标会话控制标识对应的安全服务链标识中的标识数据表征通过所有网元测试后，则所述第一流量报文的处理操作为将所述第一流量报文直接发送至所述FPGA加速网卡，以使所述FPGA加速网卡将所述第一流量报文发送至与所述第一流量报文所对应的终端设备；当与所述目标会话控制标识对应的安全服务链标识标志中的标识数据存在表征未通过网元检测的数据，则所述第一流量报文的处理操作为将所述第一流量报文丢弃；其中，在所述第一流量报文经所述安全服务链中的所有网元测试通过后，所述方法还包括：将所述目标会话控制标识发送至所述FPGA加速网卡；相应的，在所述FPGA加速网卡接收到第二流量报文时，所述方法还包括：所述FPGA加速网卡基于所述第二流量报文的五元组信息生成对应的会话控制标识；当所述第二流量报文的五元组信息对应的会话控制标识与所述目标会话控制标识相同时，直接将所述第二流量报文发送至与所述第二流量报文对应的终端设备。

全文数据：

权利要求：

百度查询： 北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司 一种报文安全转发方法、装置及网络安全设备

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD