[发明专利]一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法

权利要求书

1.一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法，其特征在于，CPU根据可定制协议栈访问控制要求制定访问控制表，然后将访问控制表通过FPGA下发到搜索引擎；当网络设备通过FPGA进行高速数据硬转发时，FPGA提取数据流特征，通过搜索引擎进行快速查找，匹配该数据流的访问控制动作；FPGA根据该数据流的访问控制动作对数据做是否转发处理；

根据不同的网络层协议类型实施不同的访问控制策略：如果网络层协议类型为IP，则根据源MAC、目的MAC和IP五元组去区分用户，实现访问控制策略；如果网络层协议类型为专有协议，则根据源MAC、目的MAC、数据流ID、上层协议类型和UDP/TCP端口号去区分用户，实现访问控制策略。

2.根据权利要求1所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法，其特征在于，CPU将web端的访问控制需求转换成访问控制表，通过FPGA下发给搜索引擎。

3.根据权利要求1所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法，其特征在于，搜索引擎将访问控制表写入相应的存储区域，能够接收FPGA的搜索请求，快速将搜索结果发送回FPGA。

4.根据权利要求1所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法，其特征在于，FPGA负责数据流接口适配、数据流缓存、关键字提取、搜索控制、表项匹配、访问决策及路由转发。

5.根据权利要求1所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法，其特征在于，协议可定制的高速网络实现访问控制的处理流程包括访问控制表配置步骤和数据流访问控制步骤，其中访问控制表配置步骤包括以下子步骤：

S11. 用户通过web端配置界面配置访问控制表，其中访问控制表分两个部分，一个是访问控制对象，另一个是对象的访问控制动作；访问控制对象根据网络层协议不同分为IP网络访问控制对象和专有网络协议访问控制对象；对象的访问控制动作包括禁止访问、有条件访问和允许访问，其中有条件访问包括带宽限制后访问；

S12. CPU通过网口接收用户配置的访问控制列表数据；

S13. CPU根据用户的访问控制数据生成访问控制表；

S14. CPU通过网口将访问控制表下发给FPGA；

S15. FPGA通过网口接收CPU下发的访问控制表，将访问控制表按地址写入搜索引擎相应的存储单元。

6.根据权利要求5所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法，其特征在于，数据流访问控制步骤包括以下子步骤：

S21. FPGA缓存数据流，并提取查表关键字；查表关键字提取部分需自动甄别数据包类型；

S22. FPGA根据查表关键字生成搜索请求，发送给搜索引擎进行搜索；

S23. FPGA等待搜索引擎搜索结果返回；

S24. FPGA解析搜索结果，如果没有匹配到表项，则没有访问控制限制，读取缓存数据后直接转发；

S25. FPGA解析搜索结果，如果匹配到表项，则根据表项内容读取数据做进一步处理，若访问控制动作为禁止访问，则直接丢弃缓存中的数据包；若访问控制动作为有条件访问，则对缓存中数据进行限流后转发；若访问控制动作为允许访问，则读取数据后直接转发。

7.根据权利要求6所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法，其特征在于，步骤S11中，IP网络访问对象通过源MAC地址、目的MAC地址和IP五元组区分；专有网络协议访问对象通过源MAC地址、目的MAC地址、数据流ID、上层协议类型和TCP/UDP端口号区分。

8.根据权利要求7所述的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法，其特征在于，步骤S21中，如果数据包类型是IP包，则提取源MAC地址、目的MAC地址和IP五元组作为关键字；如果数据包类型是专有协议包，则提取源MAC地址、目的MAC地址、数据流ID、上层协议类型和TCP/UDP端口号作为关键字。