[发明专利]基于Hash折叠方法的Ipv6深度包检测方法

说明书

技术领域

本发明属于互联网网络安全技术领域，特别涉及一种基于Hash折叠方法的Ipv6深度包检测方法。

背景技术

互联网的蓬勃发展给人们的生活带来了极大的便利。同时，诸多安全问题也在威胁着互联网用户。针对于此，大型的ISP服务商都会在相应的网络入口位置布置诸如防火墙一类的设备，用来对有害信息进行相应的过滤。这种“过滤”机制需要对相应的流量进行相应的分析、聚类，然后采取相应的动作，这就需要深度包检测技术来帮助完成。

深度包检测技术的实现，主要可以分为两类，软件实现和硬件实现。一般情况下，软件实现的算法复杂性较高，针对大型的流量，不能够满足线速查找匹配的要求。为了解决这种问题，提出来硬件实现的方法。硬件实现的深度包检测技术借助于硬件设备的优点，能够快速地对流量进行查找匹配，从而满足了线速的要求。

基于硬件的深度包检测技术，通常采用FPGA、TCAM、SRAM和网络处理器等硬件技术来加速检测速率，从而实现线速查找。在上述的硬件资源中，如TCAM是比较昂贵，且容量是有限的。相较于Ipv4的32位地址而言，Ipv6拥有长度为128位的地址，这样一来，就会使得每个匹配条目的位宽变得比较大。由于TCAM的每个表项（entry）的长度是一定的，在匹配条目位宽变大的情况下，存储单个匹配条目的表项将会增多，这样就会造成TCAM能够存储的匹配条目较少，从而带来匹配精度下降等问题。

发明内容

为了克服上述现有技术的缺点，本发明的目的在于提供一种基于Hash折叠方法的Ipv6深度包检测方法，在IP数据包中的URL信息提取之后降低URL关键字的位宽长度，进而减少对硬件系统中TCAM资源的消耗。

为了实现上述目的，本发明采用的技术方案是：

一种基于Hash折叠方法的Ipv6深度包检测方法，将数据包送入查找引擎，提取数据包中的URL形成关键字Key，然后再将获得的关键字Key发送给TCAM进行查找并获取结果，其中所述关键字Key的提取方法如下：

1）设定位宽长度为N的Req_url_Key[N]每一位都为0；

2）从包头开始顺序接收IP数据包，并根据http协议格式获取Request_URL的位置信息；

3）根据已经获得的Request_URL位置信息，提取IP数据包中的URL字符串，存放在temp[N]中；

4）每提取N位字符串，将提取到的N位字符串与Req_url_Key[N]进行异或运算，并将结果存放在Req_url_Key[N]中；

5）如果到达结尾，提取的字符串长度小于N，则用0将其补齐为N位；

6）如果存在Host域，则设定位宽长度为N的host_url_Key[N]每一位都为0；

7）获取主机名位置信息，每提取N位与host_url_Key[N]进行异或运算，并将结果存放于host_url_Key[N]；

8）提取结束时，如果提取的字符串的长度小于N，则用0将其补齐为N位，然后与host_url_Key[N]进行异或操作，结果存放于host_url_Key[N]；

9）计算循环右移的位数m=N-（host_length%N）；

10）将Req_url_Key[N]循环右移m位后与host_url_Key[N]进行按位异或运算，得到URL关键字Key；

其中：

Req_url_Key[N]表示用于存储http协议中的request-line行中请求方法URL信息折叠之后的信息；

Request_URL表示会给出URL信息在IP数据包中的起始位置以及长度的信息，在http协议报文的头部会给出Request_URL信息；

host_url_Key[N]表示用于存储http协议中Host主机信息折叠之后的信息；

N表示URL折叠的维度，即按照每N位进行折叠；

host_length表示标示http协议中携带的有关host主机信息的字符串的长度。

所述提取方法在硬件系统中使用FPGA实现。

所述TCAM连续接收关键字Key，在关键字Key完全输入之后的固定延时时间，TCAM输出命中标识和地址指针，然后使用地址指针从SRAM中读取查找结果，将结果和缓存的数据包合并后输出。

所述TCAM接收的相邻两个关键字Key的输入中间没有空的时钟周期。