專利名稱:一種報(bào)文發(fā)送的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域���,特別涉及一種報(bào)文發(fā)送的方法和裝置。
背景技術(shù):
目前互聯(lián)網(wǎng)交換設(shè)備路由器的安全和性能越來越重要�����,使之成為影響路由器應(yīng)用的主要因素��。在通過互聯(lián)網(wǎng)傳送語(yǔ)音���、數(shù)據(jù)����、視頻等信息時(shí)�,網(wǎng)絡(luò)運(yùn)營(yíng)商需要提供不同類型業(yè)務(wù)的QoS(Quality of Service-服務(wù)質(zhì)量)。對(duì)于最普通的報(bào)文來說�,其在路由器上的優(yōu)先級(jí)最低,如果路由器發(fā)生擁塞�,那么普通報(bào)文很有可能被丟棄,而對(duì)于一些協(xié)議報(bào)文來說��,需要采取較高的優(yōu)先級(jí),以防止被丟棄���。但是有些協(xié)議報(bào)文需要通過多臺(tái)路由器轉(zhuǎn)發(fā)到對(duì)端�,在中間路由器上過路的時(shí)候����,必須使用特殊的端口或者特殊的VLAN_ID(Virtual LANIDentification-虛擬局域網(wǎng)編號(hào))����,對(duì)于這類協(xié)議報(bào)文需要識(shí)別,以提高其優(yōu)先級(jí)或進(jìn)行上送轉(zhuǎn)發(fā)等特殊動(dòng)作處理�。
現(xiàn)有路由器的控制平面和轉(zhuǎn)發(fā)平面通常是分離的,控制平面處理協(xié)議報(bào)文�����,轉(zhuǎn)發(fā)平面轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文��,而識(shí)別這些路由器本地接收或轉(zhuǎn)發(fā)協(xié)議報(bào)文的任務(wù)一般是由轉(zhuǎn)發(fā)平面來執(zhí)行��。對(duì)于每個(gè)路由節(jié)點(diǎn)需要識(shí)別的協(xié)議報(bào)文����,轉(zhuǎn)發(fā)平面根據(jù)協(xié)議報(bào)文中的特征字段或特殊信息來進(jìn)行識(shí)別,例如IP(Internet Protocol-因特網(wǎng)協(xié)議)層的協(xié)議字段���,或UDP(User DatagramProtocol-用戶數(shù)據(jù)報(bào)協(xié)議)報(bào)文的UDP頭的協(xié)議字段����、VLAN_ID或協(xié)議報(bào)文進(jìn)來的端口號(hào)等,如果是特殊協(xié)議報(bào)文���,則進(jìn)行特殊處理���,或者提高報(bào)文轉(zhuǎn)發(fā)的QoS優(yōu)先級(jí),或者上送到控制平面進(jìn)行處理�。發(fā)明人在實(shí)現(xiàn)本發(fā)明的過程中發(fā)現(xiàn)如果攻擊報(bào)文利用特殊VLAN ID或從特殊端口進(jìn)來,模仿協(xié)議報(bào)文��,提高報(bào)文轉(zhuǎn)發(fā)優(yōu)先級(jí)��,那么一旦路由器擁塞��,相同優(yōu)先級(jí)的其他協(xié)議報(bào)文有可能會(huì)被丟棄���,造成拒絕服務(wù)式的攻擊�����。
發(fā)明內(nèi)容
為了克服報(bào)文在經(jīng)過路由器發(fā)送的過程中�,由于路由器擁塞可能被丟棄的問題,本發(fā)明實(shí)施例提供了一種報(bào)文發(fā)送的方法���,所述方法包括收到報(bào)文后�,提取所述報(bào)文中的信息���,將所述信息進(jìn)行邏輯運(yùn)算���,組合成關(guān)鍵字�,并將該關(guān)鍵字與預(yù)先設(shè)置的關(guān)鍵字進(jìn)行匹配;匹配成功后��,查找到與所述邏輯運(yùn)算組合成的關(guān)鍵字對(duì)應(yīng)的動(dòng)作字段���,所述動(dòng)作字段與所述預(yù)先設(shè)置的關(guān)鍵字建立了對(duì)應(yīng)關(guān)系�,并根據(jù)所述查找到的動(dòng)作字段發(fā)送所述報(bào)文�����。
本發(fā)明實(shí)施例提供了一種識(shí)別協(xié)議報(bào)文的方法�,所述方法包括收到報(bào)文后,提取所述報(bào)文中的信息,將所述信息進(jìn)行邏輯運(yùn)算��,組合成關(guān)鍵字��,并將該關(guān)鍵字與預(yù)先設(shè)置的協(xié)議報(bào)文的關(guān)鍵字進(jìn)行匹配�;如果匹配成功,則所述報(bào)文為協(xié)議報(bào)文�����。
本發(fā)明實(shí)施例提供了一種報(bào)文發(fā)送的裝置�����,所述裝置包括保存模塊用于保存設(shè)置好的關(guān)鍵字和動(dòng)作字段的對(duì)應(yīng)關(guān)系��;包接收模塊用于接收?qǐng)?bào)文�,提取報(bào)文中的信息,并將提取出的信息發(fā)送出去����;包發(fā)送模塊用于接收所述包接收模塊發(fā)送的信息,對(duì)該信息進(jìn)行邏輯運(yùn)算���,組合成關(guān)鍵字�,將該關(guān)鍵字與預(yù)先設(shè)置的關(guān)鍵字進(jìn)行匹配,匹配成功后��,根據(jù)所述保存模塊保存的對(duì)應(yīng)關(guān)系查找到與所述邏輯運(yùn)算組合成的關(guān)鍵字對(duì)應(yīng)的動(dòng)作字段�����,并根據(jù)所述查找到的動(dòng)作字段發(fā)送所述報(bào)文�����。
本發(fā)明實(shí)施例提供了一種識(shí)別協(xié)議報(bào)文的裝置�����,所述裝置包括保存模塊用于保存協(xié)議報(bào)文的關(guān)鍵字�����;識(shí)別模塊用于收到報(bào)文后�,提取所述報(bào)文中的信息��,將所述信息進(jìn)行邏輯運(yùn)算�,組合成關(guān)鍵字,并將該關(guān)鍵字與所述保存模塊保存的關(guān)鍵字進(jìn)行匹配��,如果匹配成功,則所述報(bào)文為協(xié)議報(bào)文�����。
本發(fā)明實(shí)施例提供了一種路由器�����,所述路由器包括轉(zhuǎn)發(fā)引擎��、控制引擎和協(xié)處理器����;所述轉(zhuǎn)發(fā)引擎用于接收?qǐng)?bào)文,提取出報(bào)文中的信息�����,并對(duì)信息進(jìn)行邏輯運(yùn)算���,組合成關(guān)鍵字���,將該關(guān)鍵字發(fā)送出去;所述控制引擎用于下發(fā)含有關(guān)鍵字和與關(guān)鍵字對(duì)應(yīng)的動(dòng)作字段的協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)���;所述協(xié)處理器用于接收所述控制引擎下發(fā)的協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)�,以及所述轉(zhuǎn)發(fā)引擎發(fā)送的關(guān)鍵字,并將收到的關(guān)鍵字與所述協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)中的關(guān)鍵字進(jìn)行匹配��。
本發(fā)明實(shí)施例提供的技術(shù)方案的有益效果通過關(guān)鍵字的匹配���,克服了報(bào)文在經(jīng)過路由器發(fā)送的過程中��,由于路由器擁塞可能被丟棄的問題�;通過協(xié)議報(bào)文關(guān)鍵字的匹配���,可以辨別出真假協(xié)議報(bào)文�����,有效地防止了黑客的攻擊����。另外����,當(dāng)傳輸協(xié)議變化的時(shí)候���,可以通過修改關(guān)鍵字����,來實(shí)現(xiàn)報(bào)文的快速發(fā)送,而不需要修改代碼��,增加了報(bào)文發(fā)送的靈活性����。
圖1是本發(fā)明實(shí)施例提供的報(bào)文發(fā)送的方法流程圖;圖2是本發(fā)明實(shí)施例提供的識(shí)別協(xié)議報(bào)文的方法流程圖���;圖3是本發(fā)明實(shí)施例提供的報(bào)文發(fā)送的裝置的結(jié)構(gòu)圖�;圖4是本發(fā)明實(shí)施例提供的識(shí)別協(xié)議報(bào)文的裝置的結(jié)構(gòu)圖�����;圖5是本發(fā)明實(shí)施例提供的路由器的結(jié)構(gòu)框圖���。
具體實(shí)施例方式
為使本發(fā)明的目的�、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方式作進(jìn)一步地詳細(xì)描述�。
本發(fā)明實(shí)施例在收到報(bào)文后����,提取報(bào)文中的信息,將信息進(jìn)行邏輯運(yùn)算�����,組合成關(guān)鍵字��,并將該關(guān)鍵字與預(yù)先設(shè)置的關(guān)鍵字進(jìn)行匹配���;匹配成功后�,查找到與邏輯運(yùn)算組合成的關(guān)鍵字對(duì)應(yīng)的動(dòng)作字段�,動(dòng)作字段與預(yù)先設(shè)置的關(guān)鍵字建立了對(duì)應(yīng)關(guān)系,并根據(jù)查找到的動(dòng)作字段發(fā)送報(bào)文�。下面以路由器為例,但不僅限于此��,還可以是三層交換機(jī)等其他網(wǎng)絡(luò)設(shè)備����,來闡述本發(fā)明實(shí)施例提供的報(bào)文發(fā)送的方法����,具體包括以下步驟���,參見圖1步驟101向路由器的協(xié)處理器或內(nèi)存下發(fā)含有關(guān)鍵字和與關(guān)鍵字對(duì)應(yīng)的動(dòng)作字段的協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)。
協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)中的關(guān)鍵字為協(xié)議報(bào)文進(jìn)來的源端口號(hào)���、VLAN_ID�、協(xié)議報(bào)文的MAC地址(Media Access Control-媒體接入控制)�、協(xié)議報(bào)文源IP地址、協(xié)議報(bào)文目的IP地址和協(xié)議報(bào)文進(jìn)來的TCP(Transmission Control Protocol-傳輸控制協(xié)議)/UDP端口號(hào)等信息中的一種或幾種的邏輯運(yùn)算組合�。
與關(guān)鍵字對(duì)應(yīng)的動(dòng)作字段可以為01、02或03���,但不限于這些字段�����,其中動(dòng)作字段01表示正常轉(zhuǎn)發(fā)�����,即根據(jù)報(bào)文的目的IP地址查找路由表�����,根據(jù)路由表中的報(bào)文出口信息將報(bào)文發(fā)送出去����;動(dòng)作字段02表示上送,即將報(bào)文發(fā)送到路由器的控制平面進(jìn)行處理�;動(dòng)作字段03表示上送加正常轉(zhuǎn)發(fā),即需要復(fù)制一份報(bào)文����,變成兩份,一份發(fā)送到路由器的控制平面進(jìn)行處理��,另一份根據(jù)報(bào)文的目的IP地址查找路由表����,根據(jù)路由表中的報(bào)文出口信息將報(bào)文發(fā)送出去。
步驟102路由器將收到的報(bào)文存儲(chǔ)到路由器的數(shù)據(jù)存儲(chǔ)器中��,提取出報(bào)文中的信息�����。
報(bào)文中的信息包括報(bào)文進(jìn)來的源端口號(hào)�����、VLAN_ID、報(bào)文的MAC地址�、報(bào)文源IP地址��、報(bào)文目的IP地址和報(bào)文進(jìn)來的TCP/UDP端口號(hào)等信息中的一種或幾種���。
步驟103路由器將提取出的報(bào)文中的信息進(jìn)行邏輯運(yùn)算���,組合成關(guān)鍵字,并將該關(guān)鍵字發(fā)送到路由器的協(xié)處理器或內(nèi)存中���。
例如1.路由器將報(bào)文進(jìn)來的源端口號(hào)���、VLAN_ID和報(bào)文的MAC地址邏輯運(yùn)算組合成關(guān)鍵字,其中VLAN_ID為0x64(十進(jìn)制數(shù)100)�����,報(bào)文進(jìn)來的源端口號(hào)為5�����,報(bào)文的MAC地址為0x00af11223344,它們各自占用的寬度如下表1所示
表1那么邏輯運(yùn)算組合成的關(guān)鍵字為0000 0110 0100 00 0101 0000 0000 1010 1111 0001 00010010 0010 0011 0011 0100 0100����,一共66bit。如果路由器的協(xié)處理器要求72bit����,可以在后面補(bǔ)6個(gè)零。
2.路由器將報(bào)文進(jìn)來的源端口號(hào)�����、VLAN_ID�、報(bào)文的MAC地址和報(bào)文的TCP端口號(hào)邏輯運(yùn)算組合成關(guān)鍵字,其中VLAN_ID為0x64(十進(jìn)制數(shù)100)��,報(bào)文進(jìn)來的源端口號(hào)為5��,報(bào)文的MAC地址為0x00af11223344�,報(bào)文的TCP端口號(hào)為5,它們各自占用的寬度如下表2所示
表2那么邏輯運(yùn)算組合成的關(guān)鍵字為0000 0110 0100 00 0101 0000 0000 1010 1111 0001 00010010 0010 0011 0011 0100 0100 0000 0000 0000 0101��,一共82bit��。如果路由器的協(xié)處理器要求72bit�����,那么可以寫兩行,即144bit�,多余的比特位寫零。
3.路由器將報(bào)文進(jìn)來的源端口號(hào)��、VLAN_ID����、報(bào)文的MAC地址��、報(bào)文目的IP地址和報(bào)文的TCP端口號(hào)邏輯運(yùn)算組合成關(guān)鍵字�����,其中VLAN ID為0x64(十進(jìn)制數(shù)100)����,報(bào)文進(jìn)來的源端口號(hào)為5,報(bào)文的MAC地址為0x00af11223344����,報(bào)文目的IP地址為0xC0A80002,報(bào)文的TCP端口號(hào)為5����,它們各自占用的寬度如下表3所示
表3那么邏輯運(yùn)算組合成的關(guān)鍵字為0000 0110 0100 00 0101 0000 0000 1010 1111 0001 00010010 0010 1100 0000 1010 1000 0000 0000 0000 0010 0011 0011 0100 0100 0000 0000 00000101�����,一共114bit���。如果路由器的協(xié)處理器要求72bit,那么可以寫兩行�,即144bit,多余的比特位寫零����。
步驟104路由器的協(xié)處理器或內(nèi)存將收到的關(guān)鍵字與協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)中的關(guān)鍵字進(jìn)行匹配,如果匹配成功��,則執(zhí)行步驟105�����,如果匹配不成功�����,則執(zhí)行步驟106�。
如果路由器的協(xié)處理器或內(nèi)存收到的關(guān)鍵字與協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)中的關(guān)鍵字相同����,則匹配成功���;如果路由器的協(xié)處理器或內(nèi)存收到的關(guān)鍵字與協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)中的關(guān)鍵字不相同�����,則匹配不成功�。
步驟105路由器根據(jù)協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)中與邏輯運(yùn)算組合成的關(guān)鍵字對(duì)應(yīng)的動(dòng)作字段所表示的處理動(dòng)作對(duì)路由器的數(shù)據(jù)存儲(chǔ)器中存儲(chǔ)的報(bào)文進(jìn)行發(fā)送��。
例如針對(duì)步驟103中的關(guān)鍵字0000 0110 0100 00 0101 0000 0000 1010 1111 0001 00010010 0010 0011 0011 0100 0100和步驟101中協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)中的動(dòng)作字段��,如果協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)中與該關(guān)鍵字對(duì)應(yīng)的動(dòng)作字段為01���,則路由器將數(shù)據(jù)存儲(chǔ)器中存儲(chǔ)的報(bào)文發(fā)送出去,即根據(jù)報(bào)文的目的IP地址查找路由表��,根據(jù)路由表中的報(bào)文出口信息將報(bào)文發(fā)送出去��。
步驟106路由器根據(jù)路由表中的報(bào)文出口信息將路由器的數(shù)據(jù)存儲(chǔ)器中存儲(chǔ)的報(bào)文發(fā)送出去�。
路由器根據(jù)路由表中的報(bào)文出口信息將路由器的數(shù)據(jù)存儲(chǔ)器中存儲(chǔ)的報(bào)文發(fā)送出去具體包括路由器根據(jù)報(bào)文進(jìn)來的源端口號(hào)、VLAN_ID�、報(bào)文的MAC地址�、報(bào)文源IP地址��、報(bào)文目的IP地址����、報(bào)文進(jìn)來的TCP/UDP端口號(hào)等信息去查找路由表,查找到報(bào)文的出口信息�����;路由器從其數(shù)據(jù)存儲(chǔ)器中讀取出報(bào)文�����,并根據(jù)報(bào)文出口信息將報(bào)文通過出端口發(fā)送出去�。報(bào)文的出口信息包括報(bào)文出端口號(hào)、下一跳IP地址和封裝報(bào)文頭等信息�����。
本實(shí)施例通過協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)來進(jìn)行關(guān)鍵字的匹配����,進(jìn)而決定對(duì)報(bào)文如何進(jìn)行發(fā)送處理,從而克服了報(bào)文在經(jīng)過路由器發(fā)送的過程中����,由于路由器擁塞可能被丟棄的問題�����,而且還解決了僅由路由器的轉(zhuǎn)發(fā)平面單獨(dú)來進(jìn)行報(bào)文的發(fā)送處理問題����。
在實(shí)際的應(yīng)用中�����,在路由器進(jìn)行關(guān)鍵字匹配之前���,還可以通過查看收到的報(bào)文中的特征字段(例如IP層的協(xié)議字段�����、UDP報(bào)文頭的協(xié)議字段等)來判斷報(bào)文的類型,如果通過報(bào)文中的特征字段可以判斷報(bào)文為協(xié)議報(bào)文���,則路由器將報(bào)文按照協(xié)議報(bào)文進(jìn)行發(fā)送�����,否則路由器進(jìn)行關(guān)鍵字的匹配��,這樣可以提高報(bào)文的發(fā)送速度�����。
本發(fā)明實(shí)施例提供了一種識(shí)別協(xié)議報(bào)文的方法���,方法具體包括收到報(bào)文后�,提取報(bào)文中的信息����,將信息進(jìn)行邏輯運(yùn)算,組合成關(guān)鍵字����,并將該關(guān)鍵字與預(yù)先設(shè)置的協(xié)議報(bào)文的關(guān)鍵字進(jìn)行匹配;如果匹配成功����,則報(bào)文為協(xié)議報(bào)文。下面以路由器為例����,但不僅限于此�,還可以是三層交換機(jī)等其他網(wǎng)絡(luò)設(shè)備���,來闡述本發(fā)明實(shí)施例提供的識(shí)別協(xié)議報(bào)文的方法����,具體包括以下步驟���,參見圖2步驟201向路由器的協(xié)處理器或內(nèi)存下發(fā)協(xié)議報(bào)文的關(guān)鍵字����。
協(xié)議報(bào)文的關(guān)鍵字為協(xié)議報(bào)文進(jìn)來的源端口號(hào)����、VLAN_ID、協(xié)議報(bào)文的MAC地址�、協(xié)議報(bào)文源IP地址、協(xié)議報(bào)文目的IP地址和協(xié)議報(bào)文進(jìn)來的TCP/UDP端口號(hào)等信息中的一種或幾種的邏輯運(yùn)算組合��。
步驟202路由器將收到的報(bào)文存儲(chǔ)到路由器的數(shù)據(jù)存儲(chǔ)器中�,提取出報(bào)文中的信息���。
報(bào)文中的信息包括報(bào)文進(jìn)來的源端口號(hào)�、VLAN_ID、報(bào)文的MAC地址�����、報(bào)文源IP地址�����、報(bào)文目的IP地址和報(bào)文進(jìn)來的TCP/UDP端口號(hào)等信息中的一種或幾種�。
步驟203路由器將提取出的報(bào)文中的信息進(jìn)行邏輯運(yùn)算,組合成關(guān)鍵字�����,并將該關(guān)鍵字發(fā)送到路由器的協(xié)處理器或內(nèi)存中��。
步驟204路由器的協(xié)處理器或內(nèi)存將收到的關(guān)鍵字與協(xié)議報(bào)文的關(guān)鍵字進(jìn)行匹配����,如果匹配成功,則報(bào)文為協(xié)議報(bào)文��,否則為非協(xié)議報(bào)文�����。
本實(shí)施例通過協(xié)議報(bào)文關(guān)鍵字的匹配,可以有效地識(shí)別真?zhèn)螀f(xié)議報(bào)文����,提高了網(wǎng)絡(luò)的安全性。
參見圖3�����,本發(fā)明實(shí)施例提供了一種報(bào)文發(fā)送的裝置��,該裝置包括保存模塊用于保存設(shè)置好的關(guān)鍵字和動(dòng)作字段的對(duì)應(yīng)關(guān)系��;包接收模塊用于接收?qǐng)?bào)文����,提取報(bào)文中的信息,并將提取出的信息發(fā)送出去���;
包發(fā)送模塊用于接收包接收模塊發(fā)送的信息�����,對(duì)該信息進(jìn)行邏輯運(yùn)算�,組合成關(guān)鍵字����,將該關(guān)鍵字與預(yù)先設(shè)置的關(guān)鍵字進(jìn)行匹配,匹配成功后����,根據(jù)保存模塊保存的對(duì)應(yīng)關(guān)系查找到與邏輯運(yùn)算組合成的關(guān)鍵字對(duì)應(yīng)的動(dòng)作字段,并根據(jù)查找到的動(dòng)作字段發(fā)送報(bào)文�。
包發(fā)送模塊包括匹配單元用于接收包接收模塊發(fā)送的信息,對(duì)該信息進(jìn)行邏輯運(yùn)算����,組合成關(guān)鍵字,將該關(guān)鍵字與預(yù)先設(shè)置的關(guān)鍵字進(jìn)行匹配�����,匹配成功后����,發(fā)送關(guān)鍵字匹配成功的消息;上送單元用于接收到匹配單元發(fā)送的關(guān)鍵字匹配成功的消息后���,本地接收?qǐng)?bào)文���。
或者����,包發(fā)送模塊包括匹配單元用于接收包接收模塊發(fā)送的信息��,對(duì)該信息進(jìn)行邏輯運(yùn)算��,組合成關(guān)鍵字���,將該關(guān)鍵字與預(yù)先設(shè)置的關(guān)鍵字進(jìn)行匹配�,匹配成功后�,發(fā)送關(guān)鍵字匹配成功的消息;正常轉(zhuǎn)發(fā)單元用于接收到匹配單元發(fā)送的關(guān)鍵字匹配成功的消息后��,根據(jù)報(bào)文的出口信息將報(bào)文發(fā)送出去�����。
或者�����,包發(fā)送模塊包括匹配單元用于接收包接收模塊發(fā)送的信息�,對(duì)該信息進(jìn)行邏輯運(yùn)算�����,組合成關(guān)鍵字��,將該關(guān)鍵字與預(yù)先設(shè)置的關(guān)鍵字進(jìn)行匹配,匹配成功后��,發(fā)送關(guān)鍵字匹配成功的消息�;上送加正常轉(zhuǎn)發(fā)單元用于接收到匹配單元發(fā)送的關(guān)鍵字匹配成功的消息后,將報(bào)文復(fù)制一份��,并將一份報(bào)文本地接收�����,將另一份報(bào)文根據(jù)報(bào)文的出口信息發(fā)送出去�����。
報(bào)文中的信息包括報(bào)文進(jìn)來的源端口號(hào)�、虛擬局域網(wǎng)編號(hào)VLAN_ID、報(bào)文的媒體接入控制MAC地址����、報(bào)文源IP地址���、報(bào)文目的IP地址和報(bào)文進(jìn)來的傳輸控制協(xié)議/用戶數(shù)據(jù)報(bào)協(xié)議TCP/UDP端口號(hào)中的一種或幾種。
本實(shí)施例通過包發(fā)送模塊將邏輯運(yùn)算組合成的關(guān)鍵字與預(yù)先設(shè)置的關(guān)鍵字進(jìn)行匹配���,進(jìn)而決定對(duì)報(bào)文如何進(jìn)行發(fā)送處理����,從而克服了報(bào)文在經(jīng)過路由器發(fā)送的過程中�,由于路由器擁塞可能被丟棄的問題。
參見圖4��,本發(fā)明實(shí)施例提供了一種識(shí)別協(xié)議報(bào)文的裝置���,該裝置包括保存模塊用于保存協(xié)議報(bào)文的關(guān)鍵字����;識(shí)別模塊用于收到報(bào)文后�����,提取報(bào)文中的信息�����,將信息進(jìn)行邏輯運(yùn)算,組合成關(guān)鍵字����,并將該關(guān)鍵字與保存模塊保存的關(guān)鍵字進(jìn)行匹配,如果匹配成功��,則報(bào)文為協(xié)議報(bào)文��。
本實(shí)施例通過識(shí)別模塊進(jìn)行協(xié)議報(bào)文關(guān)鍵字的匹配���,可以有效地識(shí)別真?zhèn)螀f(xié)議報(bào)文,提高了網(wǎng)絡(luò)的安全性�����。
參見圖5���,本發(fā)明實(shí)施例提供了一種路由器���,該路由器包括轉(zhuǎn)發(fā)引擎、控制引擎和協(xié)處理器�����;轉(zhuǎn)發(fā)引擎用于接收?qǐng)?bào)文,提取出報(bào)文中的信息����,并對(duì)信息進(jìn)行邏輯運(yùn)算,組合成關(guān)鍵字�,將該關(guān)鍵字發(fā)送出去;控制引擎用于下發(fā)含有關(guān)鍵字和與關(guān)鍵字對(duì)應(yīng)的動(dòng)作字段的協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)���;協(xié)處理器用于接收控制引擎下發(fā)的協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)��,以及轉(zhuǎn)發(fā)引擎發(fā)送的關(guān)鍵字��,并將收到的關(guān)鍵字與協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)中的關(guān)鍵字進(jìn)行匹配���。
轉(zhuǎn)發(fā)引擎包括包接收模塊和包轉(zhuǎn)發(fā)模塊;包接收模塊用于接收?qǐng)?bào)文��,提取出報(bào)文中的信息�����,并將信息發(fā)送出去�;包轉(zhuǎn)發(fā)模塊用于接收包接收模塊發(fā)送的信息,對(duì)信息進(jìn)行邏輯運(yùn)算,組合成關(guān)鍵字���,并將該關(guān)鍵字發(fā)送至協(xié)處理器�。
本路由器有效地克服了報(bào)文發(fā)送過程中���,由于自身?yè)砣鴮?dǎo)致的丟棄報(bào)文的問題�����。
本發(fā)明實(shí)施例通過關(guān)鍵字的匹配�����,進(jìn)而決定對(duì)報(bào)文如何進(jìn)行發(fā)送處理,從而克服了報(bào)文在經(jīng)過路由器發(fā)送的過程中�,由于路由器擁塞可能被丟棄的問題,而且還解決了僅由路由器的轉(zhuǎn)發(fā)平面單獨(dú)來進(jìn)行報(bào)文的發(fā)送處理問題��;同時(shí)還可以避免判斷報(bào)文的各種特殊字段���,節(jié)省了路由器轉(zhuǎn)發(fā)平面的代碼��。另外�����,如果傳輸協(xié)議有所改動(dòng)�,那么不用修改路由器轉(zhuǎn)發(fā)平面的代碼,減少了出錯(cuò)幾率�;如果不想做特殊協(xié)議報(bào)文的發(fā)送處理,那么可以從上層通過命令把協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)刪除����,增加了協(xié)議報(bào)文發(fā)送的靈活性。
本發(fā)明實(shí)施例可以利用軟件實(shí)現(xiàn)����,例如利用C語(yǔ)言、匯編語(yǔ)言實(shí)現(xiàn)���,相應(yīng)的軟件可以存儲(chǔ)在可讀取的存儲(chǔ)介質(zhì)中�����,例如計(jì)算機(jī)的硬盤�、內(nèi)存中����。
以上所述僅為本發(fā)明的較佳實(shí)施例�,并不用以限制本發(fā)明�����,凡在本發(fā)明的精神和原則之內(nèi)�,所作的任何修改、等同替換��、改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1.一種報(bào)文發(fā)送的方法�����,其特征在于�����,所述方法包括收到報(bào)文后�����,提取所述報(bào)文中的信息����,將所述信息進(jìn)行邏輯運(yùn)算,組合成關(guān)鍵字�,并將該關(guān)鍵字與預(yù)先設(shè)置的關(guān)鍵字進(jìn)行匹配;匹配成功后����,查找到與所述邏輯運(yùn)算組合成的關(guān)鍵字對(duì)應(yīng)的動(dòng)作字段,所述動(dòng)作字段與所述預(yù)先設(shè)置的關(guān)鍵字建立了對(duì)應(yīng)關(guān)系��,并根據(jù)所述查找到的動(dòng)作字段發(fā)送所述報(bào)文���。
2.如權(quán)利要求1所述的報(bào)文發(fā)送的方法�,其特征在于���,所述根據(jù)所述查找到的動(dòng)作字段發(fā)送所述報(bào)文具體為所述查找到的動(dòng)作字段為表示上送的字段�����,則本地接收所述報(bào)文�����。
3.如權(quán)利要求1所述的報(bào)文發(fā)送的方法���,其特征在于�,所述根據(jù)所述查找到的動(dòng)作字段發(fā)送所述報(bào)文具體為所述查找到的動(dòng)作字段為表示正常轉(zhuǎn)發(fā)的字段���,則根據(jù)所述報(bào)文的出口信息將所述報(bào)文發(fā)送出去���。
4.如權(quán)利要求1所述的報(bào)文發(fā)送的方法,其特征在于�,所述根據(jù)所述查找到的動(dòng)作字段發(fā)送所述報(bào)文具體為所述查找到的動(dòng)作字段為表示上送加正常轉(zhuǎn)發(fā)的字段,則將所述報(bào)文復(fù)制一份��,并將一份報(bào)文本地接收���,將另一份報(bào)文根據(jù)所述報(bào)文的出口信息發(fā)送出去�����。
5.如權(quán)利要求1-4中任一權(quán)利要求所述的報(bào)文發(fā)送的方法��,其特征在于,所述報(bào)文中的信息包括報(bào)文進(jìn)來的源端口號(hào)��、虛擬局域網(wǎng)編號(hào)VLAN_ID、報(bào)文的媒體接入控制MAC地址�、報(bào)文源IP地址、報(bào)文目的IP地址和報(bào)文進(jìn)來的傳輸控制協(xié)議/用戶數(shù)據(jù)報(bào)協(xié)議TCP/UDP端口號(hào)中的一種或幾種��。
6.一種識(shí)別協(xié)議報(bào)文的方法��,其特征在于�,所述方法包括收到報(bào)文后,提取所述報(bào)文中的信息�,將所述信息進(jìn)行邏輯運(yùn)算,組合成關(guān)鍵字����,并將該關(guān)鍵字與預(yù)先設(shè)置的協(xié)議報(bào)文的關(guān)鍵字進(jìn)行匹配;如果匹配成功�����,則所述報(bào)文為協(xié)議報(bào)文�。
7.一種報(bào)文發(fā)送的裝置,其特征在于��,包括保存模塊用于保存設(shè)置好的關(guān)鍵字和動(dòng)作字段的對(duì)應(yīng)關(guān)系��;包接收模塊用于接收?qǐng)?bào)文���,提取報(bào)文中的信息����,并將提取出的信息發(fā)送出去;包發(fā)送模塊用于接收所述包接收模塊發(fā)送的信息�,對(duì)該信息進(jìn)行邏輯運(yùn)算,組合成關(guān)鍵字�,將該關(guān)鍵字與預(yù)先設(shè)置的關(guān)鍵字進(jìn)行匹配,匹配成功后�,根據(jù)所述保存模塊保存的對(duì)應(yīng)關(guān)系查找到與所述邏輯運(yùn)算組合成的關(guān)鍵字對(duì)應(yīng)的動(dòng)作字段,并根據(jù)所述查找到的動(dòng)作字段發(fā)送所述報(bào)文�����。
8.如權(quán)利要求7所述的報(bào)文發(fā)送的裝置���,其特征在于����,所述包發(fā)送模塊包括匹配單元用于接收所述包接收模塊發(fā)送的信息����,對(duì)該信息進(jìn)行邏輯運(yùn)算,組合成關(guān)鍵字,將該關(guān)鍵字與預(yù)先設(shè)置的關(guān)鍵字進(jìn)行匹配�����,匹配成功后��,發(fā)送關(guān)鍵字匹配成功的消息�;上送單元用于接收到所述匹配單元發(fā)送的關(guān)鍵字匹配成功的消息后�����,本地接收所述報(bào)文��。
9.如權(quán)利要求7所述的報(bào)文發(fā)送的裝置����,其特征在于,所述包發(fā)送模塊包括匹配單元用于接收所述包接收模塊發(fā)送的信息���,對(duì)該信息進(jìn)行邏輯運(yùn)算���,組合成關(guān)鍵字,將該關(guān)鍵字與預(yù)先設(shè)置的關(guān)鍵字進(jìn)行匹配��,匹配成功后,發(fā)送關(guān)鍵字匹配成功的消息����;正常轉(zhuǎn)發(fā)單元用于接收到所述匹配單元發(fā)送的關(guān)鍵字匹配成功的消息后,根據(jù)所述報(bào)文的出口信息將所述報(bào)文發(fā)送出去�����。
10.如權(quán)利要求7所述的報(bào)文發(fā)送的裝置��,其特征在于�����,所述包發(fā)送模塊包括匹配單元用于接收所述包接收模塊發(fā)送的信息�����,對(duì)該信息進(jìn)行邏輯運(yùn)算�����,組合成關(guān)鍵字�,將該關(guān)鍵字與預(yù)先設(shè)置的關(guān)鍵字進(jìn)行匹配,匹配成功后���,發(fā)送關(guān)鍵字匹配成功的消息���;上送加正常轉(zhuǎn)發(fā)單元用于接收到所述匹配單元發(fā)送的關(guān)鍵字匹配成功的消息后�����,將所述報(bào)文復(fù)制一份,并將一份報(bào)文本地接收��,將另一份報(bào)文根據(jù)所述報(bào)文的出口信息發(fā)送出去���。
11.如權(quán)利要求7-10中任一權(quán)利要求所述的報(bào)文發(fā)送的裝置�,其特征在于��,所述報(bào)文中的信息包括報(bào)文進(jìn)來的源端口號(hào)��、虛擬局域網(wǎng)編號(hào)VLAN_ID����、報(bào)文的媒體接入控制MAC地址、報(bào)文源IP地址���、報(bào)文目的IP地址和報(bào)文進(jìn)來的傳輸控制協(xié)議/用戶數(shù)據(jù)報(bào)協(xié)議TCP/UDP端口號(hào)中的一種或幾種�。
12.一種識(shí)別協(xié)議報(bào)文的裝置,其特征在于�����,包括保存模塊用于保存協(xié)議報(bào)文的關(guān)鍵字���;識(shí)別模塊用于收到報(bào)文后����,提取所述報(bào)文中的信息���,將所述信息進(jìn)行邏輯運(yùn)算����,組合成關(guān)鍵字����,并將該關(guān)鍵字與所述保存模塊保存的關(guān)鍵字進(jìn)行匹配,如果匹配成功��,則所述報(bào)文為協(xié)議報(bào)文���。
13.一種路由器��,其特征在于�����,包括轉(zhuǎn)發(fā)引擎�����、控制引擎和協(xié)處理器���;所述轉(zhuǎn)發(fā)引擎用于接收?qǐng)?bào)文,提取出報(bào)文中的信息���,并對(duì)信息進(jìn)行邏輯運(yùn)算���,組合成關(guān)鍵字,將該關(guān)鍵字發(fā)送出去�;所述控制引擎用于下發(fā)含有關(guān)鍵字和與關(guān)鍵字對(duì)應(yīng)的動(dòng)作字段的協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng);所述協(xié)處理器用于接收所述控制引擎下發(fā)的協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)���,以及所述轉(zhuǎn)發(fā)引擎發(fā)送的關(guān)鍵字����,并將收到的關(guān)鍵字與所述協(xié)議報(bào)文轉(zhuǎn)發(fā)表項(xiàng)中的關(guān)鍵字進(jìn)行匹配。
14.如權(quán)利要求13所述的路由器�,其特征在于,所述轉(zhuǎn)發(fā)引擎包括包接收模塊和包轉(zhuǎn)發(fā)模塊����;所述包接收模塊用于接收?qǐng)?bào)文,提取出報(bào)文中的信息����,并將信息發(fā)送出去;所述包轉(zhuǎn)發(fā)模塊用于接收所述包接收模塊發(fā)送的信息����,對(duì)信息進(jìn)行邏輯運(yùn)算,組合成關(guān)鍵字����,并將該關(guān)鍵字發(fā)送至所述協(xié)處理器。
全文摘要
本發(fā)明公開了一種報(bào)文發(fā)送的方法和裝置�����,屬于網(wǎng)絡(luò)安全領(lǐng)域�����。所述方法包括收到報(bào)文后,提取報(bào)文中的信息���,將信息進(jìn)行邏輯運(yùn)算����,組合成關(guān)鍵字��,并將該關(guān)鍵字與預(yù)先設(shè)置的關(guān)鍵字進(jìn)行匹配����;匹配成功后,查找到與邏輯運(yùn)算組合成的關(guān)鍵字對(duì)應(yīng)的動(dòng)作字段����,動(dòng)作字段與預(yù)先設(shè)置的關(guān)鍵字建立了對(duì)應(yīng)關(guān)系��,并根據(jù)查找到的動(dòng)作字段發(fā)送報(bào)文��。所述裝置包括保存模塊��、包接收模塊和包發(fā)送模塊�。本發(fā)明還提供了一種路由器,它包括轉(zhuǎn)發(fā)引擎�����、控制引擎和協(xié)處理器。本發(fā)明通過關(guān)鍵字的匹配�,具有了防止報(bào)文在路由器擁塞時(shí)被丟棄的效果。
文檔編號(hào)H04L29/06GK101030947SQ20071009727
公開日2007年9月5日 申請(qǐng)日期2007年4月29日 優(yōu)先權(quán)日2007年4月29日
發(fā)明者楊志崗, 游南林 申請(qǐng)人:華為技術(shù)有限公司