[发明专利]深度报文检测设备和方法

说明书

技术领域

本发明涉及数据通信领域，尤其是一种基于硬件实现的深度报文检测设 备和方法。

背景技术

随着互联网技术的快速发展，在网络上承载的内容也越来越丰富，而且 网络服务供应商对客户提供了越来越多的服务内容，同时这些服务又是根据 不同的应用进行区分。这就要求网络设备能够提供较复杂的报文处理能力， 能够区分不同的应用，以前使用的应用2-4层报文头信息已经不足于区别 不同网络应用，现在为了更精细的区分报文，通常需要检测报文5-7层的 信息，甚至需要检查报文内容。除了区分报文之外，有时某些特殊应用的场 合也需要对报文的内容进行检查，比如对特定关键字的搜索。实现这些功能 就需要深度报文检测设备。

目前深度报文检查的实现是使用软件方法，通过网络处理器检查报文内 容，这种方法处理速度较慢，并且增加主处理器负担而越来越不适合发展的 需求。

发明内容

本发明要解决的技术问题是提供一种深度报文检测的设备和方法，以实 现硬件报文检测，减轻网络处理器负担，提高检测处理效率。

为解决上述技术问题，本发明提供一种深度报文检测设备，该深度报文 检测设备包括数据输入接口控制及缓存区、报文检测处理模块及数据输出接 口，其中数据输入接口控制及缓存区用于从网络处理器接收数据，并将数据 缓存在内部缓存区中；该报文检测处理模块用于根据网络处理器发送的待检 测报文数据进行检测并记录检测结果；数据输出接口用于读取报文和检测结 果，并发送给网络处理器。

进一步地，该报文检测处理模块包括存储器、报文检测子模块、结果组 织子模块、用于缓存控制信息的控制信息缓存区和用于缓存报文数据的数据 缓存区，其中，

存储器用于存储深度报文检测设备待检测的全部关键字和控制信息；

报文检测子模块用于根据数据输入接口控制及缓存区接收的数据和现 场可编程门阵列外挂存储器的存储信息进行报文检测并向结果组织模块发 送检测结果；

结果组织子模块用于将报文检测子模块的检测结果按控制信息缓存区 所要求的格式组织，并在检测过程结束后将这些检测结果写入控制信息缓存 区，及在报文检测过程中，将已经检测过的报文数据写入数据缓存区。

进一步地，存储器存储的控制信息包括关键字有效标志、需要进一步查 找的标志、进一步查找的关键字组标识及关键字标识，存储器还用于将关键 字拆分成分区能够支持的长度，分别存放在不同的分区，并将这些分区组成 一个链表，关键字的前部置进一步查找标志和当前关键字是某个较长关键字 的一部分的标志。

进一步地，报文检测子模块用于根据网络处理器发送的报文进行疑似匹 配；根据疑似匹配的结果选取报文中相应的数据，并用选取的数据和组标识 做哈希运算产生存储器中关键字的地址，读取其中的内容进行精确匹配，返 回检测结果；在检测到当前待检测关键字时根据是否进一步检测的配置及下 一个关键字信息继续进行检测，直到无法检测到某关键字或检测到所有关键 字，返回检测结束标志。

进一步地，检测到所有关键字时，结果组织子模块写入控制信息缓存区 的深度报文检测设备返回的检测结果包括关键字检测的次数、检测成功标 志、最后一个关键字的信息及检测到的每个关键字的信息，其中最后一个关 键字的信息包括该最后一个关键字的组标识、字标识及其在报文中的位置， 每个关键字的信息包括所有关键字的组标识、字标识及其在报文中的位置； 只检测到部分关键字时，深度报文检测设备返回的检测结果包括检测的次数 及检测到的各个关键字的信息，其中各个关键字的信息包括检测到的各个关 键字的组标识、字标识及其在报文中的位置。

进一步地，该深度报文检测设备采用现场可编程门阵列和外挂存储器实 现。

一种采用上述深度报文检测设备进行深度报文检测的方法，该方法包括 以下步骤：

(a)由网络处理器向深度报文检测设备发送待检测报文数据；

(b)深度报文检测设备根据网络处理器发送的待检测报文数据进行检 测；

(c)深度报文检测设备返回检测结果给网络处理器。

进一步地，步骤(a)中网络处理器发送的待检测报文数据包括待检测报文 及网络处理器附加的控制信息，该控制信息包括当前待检测关键字组标识， 步骤(b)中深度报文检测设备根据网络处理器发送的待检测报文数据进行检 测时，进一步包括：