專利名稱:基于主從協同處理模式的特征匹配方法及從動模塊的制作方法
技術領域:
本發明涉及網絡安全領域,更具體地說,涉及一種基于主從協同處理模式的特征
匹配方法及從動模塊
背景技術:
深包檢測技術是網絡安全領域的一次重要技術變革,是網絡內容安全的核心技 術。深包檢測技術的核心環節是用特征匹配技術檢測網包負載(packet payload)中是否 出現預定義的特征(pattern)。特征匹配是(PatternMatching)指查找"特征"(Pattern) 在"文本串"(Text)中的一個或全部出現位置的操作,"文本串"的長度大于等于"特征"長 度。高速特征匹配技術對提高網絡安全系統性能有著至關重要的作用。隨著網絡帶寬超越 摩爾定律的高速增長,基于通用處理器的軟件算法無法滿足高速網絡的性能要求,針對特 征匹配設計硬件結構才能更大限度的提高性能。但是特征匹配硬件結構的使用不像軟件算 法只需調用算法函數接口那樣簡單,通常,有兩種使用特征匹配硬件結構的方法, 一是特征 匹配硬件結構以協處理器方式工作,特征匹配結構以協處理器方式工作,與主處理器同在 一塊主板上,之間通過標準協議通訊。這種方案的優點是主控方與特征匹配協處理器可以 實現較高速度的數據交換,達到較高匹配性能。缺點是需要對主控方硬件做修改,且特征匹 配結構需要以協處理器方式工作,不方便使用,不易實現。 一是芯片內處理器核與特征匹配 IP核聯合工作模式,主控微處理器核與特征匹配IP核聯合工作,兩者在同一芯片,之間可 以通過標準協議或自定義接口通訊。這種方案的優點是主控方與特征匹配結構實現片上高 速數據交換,達到高性能。缺點是需要在微處理器設計時集成特征匹配結構硬件IP核,其 使用成本及入門門檻較高,不易推廣和實現。
發明內容
本發明要解決的技術問題在于,針對現有技術的上述不方便使用,不易實現、不易 推廣的缺陷,提供一種使用方便,易于推廣使用的基于主從協同處理模式的特征匹配方法 及從動模塊。 本發明解決其技術問題所采用的技術方案是構造一種基于主從協同處理模式的
特征匹配方法,用于包括主控模塊和從動模塊的系統或設備,包括如下步驟 A)所述主控模塊控制通過其通用接口與其相連的所述從動模塊初始化; B)所述主控模塊傳送需要檢測的數據包到所述從動模塊,控制所述從動模塊對所
述數據包進行特征匹配; C)所述主控模塊控制所述從動模塊將匹配結果返回。
在本發明所述的特征匹配方法中,所述步驟A)進一步包括 Al)所述主控模塊通過連接在其通用接口上的數據傳輸計數單元對其計數器賦初 值,并配置成初始化狀態; A2)所述主控模塊通過連接在其通用接口上的數據傳輸計數單元傳送特征數據到所述從動模塊,通過計數器計數控制傳輸結束。
在本發明所述的特征匹配方法中,所述步驟B)進一步包括 Bl)所述主控模塊通過連接在其通用接口上的數據傳輸計數單元對其計數器賦初 值,并配置成匹配狀態; B2)所述主控模塊通過連接在其通用接口上的數據傳輸計數單元將待匹配數據送 到所述從動模塊,通過計數器計數控制傳輸結束; B3)所述從動模塊對接收到的待匹配數據進行匹配,完成匹配后暫存其匹配結果,
并對數據傳輸計數單元的計數器賦初值,并配置成輸出狀態。 在本發明所述的特征匹配方法中,所述步驟C)進一步包括 Cl)所述主控模塊通過查詢連接在其通用接口上的數據傳輸計數單元的計數器狀 態,若是輸出狀態,進入C2); C2)所述主控模塊通過連接在其通用接口上的數據傳輸計數單元將匹配結果從所
述從動模塊中取回,通過計數器計數控制傳輸結束。
在本發明所述的特征匹配方法中,還包括如下步驟 D)所述主控模塊判斷是否還有待匹配數據,如有,返回步驟B);如沒有,執行步驟 E); E)結束匹配過程并返回。 本發明還揭示了一種用于上述特征匹配方法的從動模塊,所述從動模塊包括數據 傳輸計數單元和特征匹配單元,所述特征匹配單元用于對數據進行特征匹配,其輸入回路 和輸出回路分別與所述數據傳輸計數單元連接;所述數據傳輸計數單元用于通過主控單元 的通用接口與所述主控模塊連接,在所述特征匹配單元和所述主控模塊之間傳送數據。
在本發明所述的從動模塊中,還包括與所述特征匹配模塊相連接的、用于接收并 保存由所述主控模塊在初始化過程中依次通過所述數據傳輸計數單元和特征匹配單元傳 送來的匹配特征數據、并在特征匹配過程中向所述特征匹配單元提供該數據的外接存儲 器。 在本發明所述的從動模塊中,所述特征匹配單元包括字符串匹配電路,所述字符 串匹配電路分別與所述外接存儲器、所述特征匹配單元的輸入回路和輸出回路相連。
在本發明所述的從動模塊中,所述特征匹配單元的輸入回路和輸出回路上分別設 置有輸入緩沖區和輸出緩沖區。 實施本發明的基于主從協同處理模式的特征匹配方法及從動模塊,具有以下有益 效果由于其匹配使用硬件,首先滿足了高速匹配的要求,同時,其從動模塊由主控單元通 過其通用接口控制并傳送信息,降低了其設計難度和使用要求,從而使得其易于推廣應用。
圖1是本發明基于主從協同處理模式的特征匹配方法及從動模塊實施例的匹配 方法流程圖; 圖2是所述實施例中主控模塊和從動模塊的連接示意圖;
圖3是所述實施例中從動模塊的邏輯框圖。
具體實施例方式
下面將結合附圖及實施例對本發明作進一步說明。 如圖1所示,在本發明基于主從協同處理模式的特征匹配方法及從動模塊實施例 中,其特征匹配方法包括如下步驟 步驟Sll主控模塊通過連接在其通用接口上的數據傳輸計數單元對其計數器賦 初值,并配置成初始化狀態;在本實施例中,主控模塊是運行安全系統的硬件處理單元,從 動模塊是特征匹配硬件結構,該特征匹配結構是從設備,處于被動工作模式,主控模塊負責 對其進行初始化、輸入匹配數據、啟動匹配操作、取回匹配結果以及結束等。在本步驟中,主 控模塊通過輸入FIFO先送入需要配置的計數器初值內容和狀態,數據傳輸計數單元將初 始值送入其計數器內,并配置其狀態。 步驟S12主控模塊傳送特征數據集合到從動模塊;主控模塊通過輸入FIF0送入預 編譯好的特征數據,數據傳輸計數單元將其送入特征匹配結構(從動模塊)相應存儲位置, 通過計數器計數控制傳輸結束。 步驟S13主控模塊通過連接在其通用接口上的數據傳輸計數單元對其計數器賦
初值,并配置成匹配狀態;在本步驟中,主控模塊通過輸入FIFO先送入需要配置的計數器
初值內容和狀態,數據傳輸計數單元將初始送入其計數器內,并配置其狀態。 步驟S14主控模塊傳送待匹配的數據到從動模塊在本步驟中,主控模塊送入待
匹配數據,數據傳輸計數單元經過格式轉換將其送到從動模塊的輸入緩沖區中,通過計數
器計數控制傳輸結束,從動模塊(特征匹配結構)匹配輸入緩沖區中數據。在本實施例中,
主控模塊是不作具體的特征匹配操作的,實際上,所有的特征匹配操作都是由上述從動模
塊完成,主動模塊只不過是控制上述從動模塊工作并取得最后的匹配結果,這種機制不僅
使得匹配過程更快,而且更加靈活。主控模塊可以根據待匹配數據的大小,一次或多次傳送
待匹配數據,并依次取回每次傳送數據所對應的匹配結果。 步驟S16主控模塊通過查詢連接在其通用接口上的數據傳輸計數單元的計數器 狀態,若是輸出狀態,進入下一步。 步驟S17所述主控模塊通過連接在其通用接口上的數據傳輸計數單元將匹配結 果從所述從動模塊中取回,通過計數器計數控制傳輸結束。 步驟S18還有待匹配數據主控模塊判斷是否還有需要匹配的數據,如有,跳轉到 步驟S13 ;如果沒有,執行步驟S19。
步驟S19結束匹配并返回主控模塊結束本次匹配并返回。 在本實施例中,還揭示了一種用于上述方法的從動模塊,具體而言,揭示了一種基 于上述方法的內容安全匹配加速卡。 如圖2所示,該內容安全匹配加速卡(從動模塊)和主控模塊通過該主控模塊 的PCI接口相連,在本實施例中,該主控模塊是一個網絡安全系統,而該從動模塊是一個由 FPGA構成的、通過上述網絡安全系統的PCI接口連接的內容安全匹配加速卡。當然,在其他 實施例中,也可以不是通過PCI接口相連,而是通過例如USB接口或其他通用接口連接。由 于采用FPGA,自然要事先設計好其邏輯配置,并在工作前將其編譯后下載到FPGA中,但由 于這些步驟對于本實施例所涉及的方法及裝置而言,均屬于現有技術,故此不再贅述。
本實施例中,整個系統與該安全匹配加速卡相關的過程大致如下首先在上述網絡安全系統所在的宿主機上加載加速卡驅動程序;其次,將安全匹配加速卡的邏輯結構通 過EDA工具編譯成FPGA下載文件,并下載到FPGA中;將設定的匹配特征集合經過特征編譯 器生成特征下載文件,便于在安全匹配加速卡初始化后由主控模塊傳送到該安全匹配加速 卡中,在匹配過程中,通過調用系統接口函數,送待匹配數據到該加速卡中,并從安全匹配 加速卡中取回匹配結果。具體來說,主控模塊通過上述通用接口將待匹配數據送入安全匹 配加速卡,安全匹配加速卡內FPGA實現特征匹配操作,判斷是否匹配,并將匹配結果送到 輸出緩沖區,主控模塊通過通用接口取回匹配結果。 圖3顯示了本實施例中安全匹配加速卡的結構示意圖,該加速卡包括被虛線劃分 的三個部分及外接存儲器4,實線框表示FPGA,上述三個部分均在FPGA內部,只有外接存儲 器4位于FPGA之外;該外接存儲器4與FPGA相連,用于保存由主控模塊在初始化過程中依 次通過數據傳輸計數單元21傳送來的預編譯好的特征數據、并且在特征匹配過程中向特 征匹配單元3提供該數據。上述位于FPGA中的三個部分分別是接口邏輯單元11、數據傳 輸計數單元21和特征匹配單元3,特征匹配單元3用于對數據進行特征匹配,其輸入回路 和輸出回路分別與數據傳輸計數單元21連接;在上述輸入回路和輸出回路上分別設置有 輸入緩沖區22和輸出緩沖區23,用于緩沖進出特征匹配單元3的數據,保證數據傳輸的可 靠進行;數據傳輸計數單元21用于通過主控單元的通用接口與主控模塊連接,在特征匹配 單元3和主控模塊之間傳送數據,之間通過接口邏輯電路11、輸入FIF012、輸出FIF013相 連。而特征匹配單元3包括字符串匹配電路31和初始化控制器電路32,字符串匹配電路 31通過存儲訪問控制器33與外接存儲器4相連;初始化控制電路也與外接存儲器4相連; 字符表達式匹配電路31還分別與特征匹配單元3的輸入回路和輸出回路相連。在本實施 例中,上述安全匹配加速卡通過PCI 9054接口芯片與主控模塊進行數據交換;通過存儲訪 問控制器33與外部存儲單元進行數據交換。 在本實施例中,特征匹配單元3主要有兩個功能,即對外接存儲器4中的內容進行 初始化和更新,以及匹配輸入數據并輸出匹配結果。初始化和更新時,主控模塊啟動FPGA 內部初始化及更新單元,下載特征數據到外接存儲器4。在匹配模式時,主控模塊輸入待匹 配數據到輸入緩沖區22 ;字符串匹配電路31處理輸入緩沖區中的數據,通過對外接存儲器 4的訪問進行狀態跳轉,并輸出匹配結果到輸出緩沖區23。主控模塊從輸出緩沖區23獲得 匹配結果。 以上所述實施例僅表達了本發明的幾種實施方式,其描述較為具體和詳細,但并 不能因此而理解為對本發明專利范圍的限制。應當指出的是,對于本領域的普通技術人員 來說,在不脫離本發明構思的前提下,還可以做出若干變形和改進,這些都屬于本發明的保 護范圍。因此,本發明專利的保護范圍應以所附權利要求為準。
權利要求
一種基于主從協同處理模式的特征匹配方法,用于包括主控模塊和從動模塊的系統或設備,其特征在于,包括如下步驟A)所述主控模塊控制通過其通用接口與其相連的所述從動模塊初始化;B)所述主控模塊傳送需要檢測的數據包到所述從動模塊,控制所述從動模塊對所述數據包進行特征匹配;C)所述主控模塊控制所述從動模塊將匹配結果返回。
2. 根據權利要求1所述的特征匹配方法,其特征在于,所述步驟A)進一步包括Al)所述主控模塊通過連接在其通用接口上的數據傳輸計數單元對其計數器賦初值, 并配置成初始化狀態; A2)所述主控模塊通過連接在其通用接口上的數據傳輸計數單元傳送特征數據到所述 從動模塊,通過計數器計數控制傳輸結束。
3. 根據權利要求2所述的特征匹配方法,其特征在于,所述步驟B)進一步包括Bl)所述主控模塊通過連接在其通用接口上的數據傳輸計數單元對其計數器賦初值, 并配置成匹配狀態;B2)所述主控模塊通過連接在其通用接口上的數據傳輸計數單元將待匹配數據送到所 述從動模塊,通過計數器計數控制傳輸結束;B3)所述從動模塊對接收到的待匹配數據進行匹配,完成匹配后暫存其匹配結果,并對 數據傳輸計數單元的計數器賦初值,并配置成輸出狀態。
4. 根據權利要求3所述的特征匹配方法,其特征在于,所述步驟C)進一步包括CI)所述主控模塊通過查詢連接在其通用接口上的數據傳輸計數單元的計數器狀態, 若是輸出狀態,進入C2);C2)所述主控模塊通過連接在其通用接口上的數據傳輸計數單元將匹配結果從所述從 動模塊中取回,通過計數器計數控制傳輸結束。
5. 根據權利要求l-4任意一項所述的特征匹配方法,其特征在于,還包括如下步驟D) 所述主控模塊判斷是否還有待匹配數據,如有,返回步驟B);如沒有,執行步驟E);E) 結束匹配過程并返回。
6. —種用于如權利要求1所述特征匹配方法中的從動模塊,其特征在于,所述從動模塊包 括數據傳輸計數單元和特征匹配單元,所述特征匹配單元用于對數據進行特征匹配,其輸入回 路和輸出回路分別與所述數據傳輸計數單元連接;所述數據傳輸計數單元用于通過主控單元 的通用接口與所述主控模塊連接,在所述特征匹配單元和所述主控模塊之間傳送數據。
7. 根據權利要求6所述的從動模塊,其特征在于,還包括與所述特征匹配模塊相連接 的、用于接收并保存由所述主控模塊在初始化過程中依次通過所述數據傳輸計數單元和特 征匹配單元傳送來的匹配特征數據、并在特征匹配過程中向所述特征匹配單元提供該數據 的外接存儲器。
8. 根據權利要求7所述的從動模塊,其特征在于,所述特征匹配單元包括字符串匹配 電路,所述字符串匹配電路分別與所述外接存儲器、所述特征匹配單元的輸入回路和輸出 回路相連。
9. 根據權利要求6-8任意一項所述的從動模塊,其特征在于,所述特征匹配單元的輸 入回路和輸出回路上分別設置有輸入緩沖區和輸出緩沖區。
全文摘要
本發明涉及一種基于主從協同處理模式的特征匹配方法,用于包括主控模塊和從動模塊的系統或設備,包括如下步驟所述主控模塊控制通過其通用接口與其相連的所述從動模塊初始化;所述主控模塊傳送需要檢測的數據包到所述從動模塊,控制所述從動模塊對所述數據包進行特征匹配;所述主控模塊控制所述從動模塊將匹配結果返回。本發明還揭示了一種使用上述特征匹配方法的從動模塊。實施本發明的基于主從協同處理模式的特征匹配方法及從動模塊,具有以下有益效果由于其匹配使用硬件,首先滿足了高速匹配的要求,同時,其從動模塊由主控單元通過其通用接口控制并傳送信息,降低了其設計難度和使用要求,從而使得其易于推廣應用。
文檔編號H04L29/06GK101778095SQ20091010486
公開日2010年7月14日 申請日期2009年1月9日 優先權日2009年1月9日
發明者嵩天, 張偉 申請人:深圳市廣道高新技術有限公司;張偉;嵩天