[发明专利]一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法

说明书

本发明涉及通信安全领域，本发明公开了一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法，CPU根据可定制协议栈访问控制要求制定访问控制表，然后将访问控制表通过FPGA下发到搜索引擎；当网络设备通过FPGA进行高速数据硬转发时，FPGA提取数据流特征，通过搜索引擎进行快速查找，匹配该数据流的访问控制动作；FPGA根据该数据流的访问控制动作对数据做是否转发处理。本发明从协议可定制的高速网络全协议栈访问控制需求入手，采用CPU+FPGA+搜索引擎平台实现了灵活可配置的可定制协议的高速网络设备全协议栈访问控制，解决了协议可定制的高速网络访问控制实现的困难，其在对高可靠、自主化要求高、协议定制化的保密通信网络场景中具有很高的应用价值。

技术领域

本发明涉及通信安全技术领域，尤其涉及一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法。

背景技术

访问控制是所有网络系统都需要的一种技术，是按用户身份及所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能使用的一种技术。访问控制功能包括：

1)防止非法用户进入受保护的网络资源；

2)允许合法用户访问受保护的网络资源；

3)防止合法用户对受保护的网络资源进行非授权的访问。

目前业界针对IP网络访问控制技术方案已经非常成熟了，但是对于网络层协议不是IP的高速网络的访问控制实现非常少，而针对协议可定制(比如网络层协议可定制为IP、MPLS、专有协议等)的高速网络访问控制基本没有，这主要受制于以下两点：

1)协议可定制的高速网络设备媒体介质层以上的协议层可根据具体应用场景进行灵活定制，不能通过通用芯片实现针对可定制协议特征的数据流访问控制；

2)通过处理器实现针对可定制协议特征的数据流访问控制达不到高速转发性能要求。

军事、金融、政府办公及企业重要内网等典型网络基础设施，对网络专有自主性、安全性和速度性具有高要求。这些场景下需要具备安全、可靠、高效的路由通信设备去构建一个稳定、安全的保密通信专有高速网络，其网络层协议根据各自场景要求不甚相同。

业界厂商对可定制协议的高速网络设备的访问控制实现，一般多采用交换芯片+FPGA的平台方案，这种方案主要针对物理端口或者媒体介质层特征进行数据流访问控制，访问控制粗糙；同时网络层协议可定制性很差，仅支持少数几种公有协议，满足不了针对可定制化协议整个协议栈的访问控制要求。此外，也有业界厂商采用CPU实现针对可定制协议的整个协议栈的访问控制，但仅在低速网络设备上实现，满足不了高速转发的要求。

发明内容

为了解决上述问题，本发明提出一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法，可实现根据可定制协议的全协议栈特征，定义用户的合法性，防止非法的用户进入专有高速网络，允许合法用户访问专有高速网络，允许合法用户有条件的访问专有高速网络，防止合法的用户对受保护的专有高速网络资源进行非授权的访问。

本发明的一种基于CPU+FPGA+搜索引擎平台实现网络访问控制的方法，CPU根据可定制协议栈访问控制要求制定访问控制表，然后将访问控制表通过FPGA下发到搜索引擎；当网络设备通过FPGA进行高速数据硬转发时，FPGA提取数据流特征，通过搜索引擎进行快速查找，匹配该数据流的访问控制动作；FPGA根据该数据流的访问控制动作对数据做是否转发处理。

进一步的，CPU将web端的访问控制需求转换成访问控制表，通过FPGA下发给搜索引擎。

进一步的，搜索引擎将访问控制表写入相应的存储区域，能够接收FPGA的搜索请求，快速将搜索结果发送回FPGA。

进一步的，FPGA负责数据流接口适配、数据流缓存、关键字提取、搜索控制、表项匹配、访问决策及路由转发。