[发明专利]一种基于TCAM的报文关键字匹配方法和装置

说明书

本发明公开了一种基于TCAM的报文关键字匹配方法和装置，该方法包括：基于关键字规则数据库和TCAM芯片生成规则索引数据库和规则全文数据库；将第一查询命令字符在所述规则索引数据库中进行匹配；若命中与所述第一查询命令字符相关的索引规则，将第二查询命令字符在所述规则全文数据库中进行匹配；若命中与所述第二查询命令字符相关的规则全文，则基于获取命中的所述规则全文，处理待处理的报文。本发明基于硬件TCAM芯片的匹配速度快但是容量有限的特点，将关键字规则分为长度较短的规则索引和较长的规则全文进行分阶段匹配，兼顾了TCAM芯片的利用率和匹配性能，同时方案无需更改或增加硬件设备，复杂度低，具有较强的实用性。

技术领域

本说明书涉及关键字匹配领域，特别是一种基于TCAM的报文关键字匹配方法和装置。

背景技术

DPI(deep packet inspection)深度报文检测技术是一种基于应用层的流量检测和控制技术，所谓“深度”是和普通的报文分析层次相比较而言的，普通报文检测仅分析IP包的4层以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型。而DPI除了对前面的层次分析外，还增加了应用层分析，识别各种应用及其内容。DPI技术就是通过对应用流中的数据报文内容进行探测，从而确定数据报文的真正应用,其核心是基于关键字匹配的报文特征识别算法，关键字匹配算法的性能直接决定了DPI系统的性能。

目前业界针对关键字匹配提出了多种算法和解决方案，如Aho–Corasick算法、Hyperscan软件库等，但这些解决方案大多是基于CPU的软件解决方案，在以硬件为基础的汇聚分流设备中难以应用这些方法，而利用硬件芯片本身去实现DPI功能面临难以同时满足规则容量与匹配性能要求、开发难度大、灵活性不够等困难。

以相关技术中TCAM芯片在关键字匹配上的应用为例，关键字匹配需要对整个报文进行全包扫描，现有的TCAM用法无法满足这种需求，因为关键字规则匹配通常需要对报文进行全包扫描，由于目标字符位置不定，无法直接确定偏移位置。因此如果直接把关键字规则写入TCAM芯片进行常规匹配，则需要以1个字节为步进单位从报文指定位置(载荷头)开始取固定字长的内容进行遍历查询，这个查询效率极其低下。此外，若将关键字规则进行展开，则TCAM容量会限制规则条数，从而不具有太大实用价值。因此直接将TCAM用于关键字匹配的话难以满足性能和容量的双重需求，目前也很少见到这种方案。

发明内容

本说明书实施例的目的在于，提供了一种基于TCAM的报文关键字匹配方法和装置，具有较高实用性、在TCAM的匹配性能与规则容量之间获得一个平衡，具有开发周期短、实现难度较低及灵活性高等特点。

为达到上述目的，一方面，本说明书实施例提供了一种基于TCAM的报文关键字匹配方法，包括：

基于关键字规则数据库和TCAM芯片生成规则索引数据库和规则全文数据库；

获取待处理的报文；

定位报文的载荷起始位，初始化第一偏移位置offset_L，其中offset_L＝0；

基于载荷起始位和初始化第一偏移位置offset_L，取T_LI个字节作为第一查询命令字符，其中，T_LI为规则索引库的查询命令字符长度；

将第一查询命令字符在规则索引数据库中进行匹配；

若命中与第一查询命令字符相关的索引规则，基于命中的索引规则的编号N_ID，计算报文的第二偏移位置offset_LN，其中offset_LN＝N_ID％(T_LI-R_LI+1)，其中，R_LI为规则索引的长度；