[发明专利]基于FPGA的TCP流状态完整性检测方法

权利要求书

1.一种基于FPGA的TCP流状态完整性检测方法，其特征是：

基于FPGA的TCP流状态完整性检测方法由以下步骤组成，

1）、将网络数据通过数据包采集的方式采集后，传输到FIFO缓存；

2）、将FIFO缓存的数据包分成两部分，即TCP头部信息和TCP应用数据，将TCP头部信息提取五元组信息后传输到状态检测控制器进行检测， 同时将TCP应用数据传输到过滤控制器根据状态检测控制器给出是否转发信号进行过滤；

3）、将检测后的头部信息传输到第一CAM和第二CAM，利用第一CAM和第二CAM的地址互访进行TCP头部信息的存储和更新：

4）、将第一CAM和第二CAM更新后的数据传输到状态检测控制器进行检测：

5）、将状态检测控制器检测过关的TCP头部信息通过过滤控制器进行过滤，过滤是指TCP头部信息符合转发要求的，将TCP头部信息和应用数据进入转发程序，TCP头部信息不符合转发要求的，将应用数据丢弃，同时将TCP头部信息在第一CAM做出标签，标签记载的内容包含过滤原因、过滤时间、发送者的IP地址、接受IP地址、数据包编号；

6）、将过滤后的FIFO信息打包成数据包，并转发，

所述的状态检测控制器按以下步骤完成状态检测：

A）、状态检测控制器提取头部信息中的五元组信息；

B）、将五元组信息作为第一CAM的内容进行匹配查寻，匹配查询是利用第二CAM的标签进行匹配，匹配分两种情况，1、匹配成功，2、匹配不成功，分别处理；

C）、在第二CAM中没有相同的标签，则匹配不成功，判断状态信息是否有SYN信号，如果没有，判断为一条无效流，指令过滤掉该信号，状态信息有SYN信息，判断是一条新流；

D）、将第C）步获得的新流开辟第一CAM和第二CAM空间分别存储新流的五元组信息和状态信息；

E）、在第二CAM中有相同的标签，则匹配成功，同时判断相应状态信息是否含有SYN信号，有SYN信号，状态检测控制器判断是一条相关的流，指令更新第一CAM和第二CAM；

F）、第E）步相应状态信息没有SYN信号，则紧接着判断是否有FIN或RST信号，有FIN或RST信号，则更新第一CAM和第二CAM；

G）、第F）步没有FIN或RST信号，检测是否超时，没有超时则修改时间戳并更新第二CAM；

H）、第G）步检测超时，则更新第一CAM和第二CAM；

I）、根据TCP连接的三次握手过程和读取第二CAM中的相关状态信息来判决第H）步获得的流是否让其通过。

2.依据权利要求1所述的基于FPGA的TCP流状态完整性检测方法，其特征是：

所述的第一CAM和第二CAM地址互访，是指第一CAM内容匹配所得地址作为访问第二CAM的地址建立起映射关系图，根据TCP协议流状态相关信息，当这条流无效时，所占用的第一CAM和第二CAM空间要被清除，首先检测第二CAM中的相关状态信息进行判定流是否有效，如无效，第二CAM中的状态信息清除并设置相应标签，与此同时将第二CAM的地址作为第一CAM的访问地址去清除其内容，清除其内容的目的是为下一次对第一CAM进行查找时会跳过其内容匹配，设置标签的作用就是在空间查找时，通过查找第二CAM的内容标签来查找，查找到标签的地址即作为新开辟空间的地址，

所述的第一CAM内容是指五元组信息，即1、源IP地址，2、源端口，3、目的IP地址，4、目的端口5、传输层协议。

3.依据权利要求1所述的基于FPGA的TCP流状态完整性检测方法，其特征是：

所述的利用第一CAM和第二CAM的地址互访进行TCP头部信息的存储和更新，其工作步骤是：

1）、提取第一CAM里面的五元组信息；

2）、对第一CAM里面存储的五元组信息进行匹配，分两种情况进行处理1、匹配成功，则更新第二CAM相应的状态信息并存储，2、匹配不成功，新建一条流；

3）、对匹配不成功的新建流先进行查找已经清除的旧空间的操作，旧空间的查找是通过第二CAM设置相应的标签来查找；

4）、查找成功，则将新建流存储在旧空间；

5）查找不成功，则新建新空间，将新建流存储在新空间；

6）、TCP流建立、连接、存储、释放过程给出明确的通过或者是不通过信号；

7）、状态清零检测，如果满足状态清零条件，则第二CAM清零并设置标签之后，将第一CAM清零：如果不满足状态清零条件，则状态清零检测结束，满足状态清零条件是指程序判断出TCP头部信息为无效流，从而清除第一CAM和第二CAM中的信息。