面對(duì)該發(fā)送模塊62進(jìn)行說(shuō)明����。
[0047]發(fā)送模塊62�����,連接至上述處理模塊24,用于將整形后的報(bào)文發(fā)送給中央處理器CPU處理���。
[0048]圖7是根據(jù)本發(fā)明實(shí)施例的線卡的結(jié)構(gòu)框圖����,如圖7所示��,該線卡70包括上述任一項(xiàng)的報(bào)文處理裝置72���。
[0049]針對(duì)相關(guān)技術(shù)中�,在在對(duì)報(bào)文進(jìn)行攻擊防范的可靠性不高的問(wèn)題��,考慮當(dāng)前網(wǎng)絡(luò)上報(bào)文類型很多��,如果只是基于IP地址而不考慮報(bào)文類型的話�����,那么很多場(chǎng)景的報(bào)文攻擊會(huì)導(dǎo)致正常的業(yè)務(wù)受到影響����。比如�,同一個(gè)IP地址發(fā)來(lái)的報(bào)文有1588協(xié)議報(bào)文和操作管理維護(hù)(Operat1n Administrat1n Maintenance,簡(jiǎn)稱為OAM)報(bào)文等���,如果1588協(xié)議報(bào)是正常的報(bào)文�,0ΑΜ報(bào)文是攻擊者模擬該IP地址發(fā)來(lái)的攻擊報(bào)文�,目前的方法由于只根據(jù)IP地址進(jìn)行分類控制,會(huì)導(dǎo)致OAM攻擊報(bào)文影響正常的1588協(xié)議報(bào)文��?;诖耍诒緦?shí)施例中�,提出了一種依據(jù)報(bào)文類型進(jìn)行攻擊防范的處理方法,根據(jù)報(bào)文類型進(jìn)行再分類��,使報(bào)文得到細(xì)化的控制和調(diào)度�����,完善了目前通用的攻擊防范方法��,有效地提高了攻擊防范的可靠性�。
[0050]該依據(jù)報(bào)文類型進(jìn)行攻擊防范的處理方法,主要在分組傳送網(wǎng)(PacketTransport Network,簡(jiǎn)稱為PTN)/路由器設(shè)備上提供攻擊防范的功能,提高設(shè)備的可靠性和穩(wěn)定性�����,可以有效解決網(wǎng)絡(luò)設(shè)備的安全性問(wèn)題�����。
[0051]下面基于附圖對(duì)該攻擊防范方法進(jìn)行說(shuō)明�����。
[0052]圖8是根據(jù)本發(fā)明實(shí)施例的依據(jù)報(bào)文類型進(jìn)行攻擊防范的線卡框架示意圖���,如圖8所示,該架構(gòu)包括:報(bào)文識(shí)別模塊10�,入隊(duì)緩沖區(qū)模塊12 (上述兩模塊功能相當(dāng)于上述存儲(chǔ)模塊22)和流量控制模塊14 (相當(dāng)于上述處理模塊24),相關(guān)的模塊都位于設(shè)備的線卡處理單元�。下邊分別介紹各模塊的功能:
[0053]報(bào)文識(shí)別模塊10:用于掃描設(shè)備接收的報(bào)文,識(shí)別出需要發(fā)送給cpu進(jìn)行處理的報(bào)文����,并對(duì)該報(bào)文進(jìn)行特殊標(biāo)識(shí),用以區(qū)分不同的業(yè)務(wù)報(bào)文類型����。
[0054]入隊(duì)緩沖區(qū)模塊12:用于存放接收到的報(bào)文��。對(duì)于不同類型的業(yè)務(wù)報(bào)文可以存放在不同的緩沖區(qū)中�。
[0055]流量控制模塊14:用于根據(jù)配置的整形值����,對(duì)緩沖區(qū)的入隊(duì)報(bào)文進(jìn)行整形和控制。
[0056]需要說(shuō)明的是���,對(duì)上述3個(gè)模塊需要進(jìn)行相應(yīng)的配置工作�����。
[0057]報(bào)文識(shí)別模塊10:設(shè)備支持處理的報(bào)文有很多種��,需要對(duì)各種報(bào)文分配特殊標(biāo)識(shí)符����,并配置相關(guān)標(biāo)識(shí)符報(bào)文到入隊(duì)緩沖區(qū)的映射關(guān)系�。
[0058]入隊(duì)緩沖區(qū)模塊12:在芯片中根據(jù)支持的報(bào)文種類分配多個(gè)不同的緩沖區(qū),用以存放對(duì)應(yīng)的報(bào)文��,并配置相應(yīng)的緩沖區(qū)到流量控制模塊的映射關(guān)系����。
[0059]流量控制模塊14:根據(jù)支持的報(bào)文種類�,配置整形值��,需要根據(jù)設(shè)備對(duì)不同報(bào)文的處理能力�����,分別配置不同類型報(bào)文的整形值����。
[0060]基于上述線卡的架構(gòu)示意圖,在本實(shí)施例中��,還提供了一種依據(jù)報(bào)文類型進(jìn)行攻擊防范的方法���,圖9是根據(jù)本發(fā)明實(shí)施例的依據(jù)報(bào)文類型進(jìn)行攻擊防范方法的流程圖,如圖9所示�����,該流程包括如下步驟:
[0061]步驟S902����,報(bào)文識(shí)別模塊12對(duì)接收到的報(bào)文進(jìn)行讀取,識(shí)別出需要支持的報(bào)文類型,并根據(jù)配置的標(biāo)識(shí)符信息���,對(duì)相關(guān)的報(bào)文進(jìn)行標(biāo)識(shí)����;
[0062]步驟S904����,報(bào)文識(shí)別模塊12根據(jù)配置的報(bào)文到入隊(duì)緩沖區(qū)的映射關(guān)系,將報(bào)文發(fā)送到對(duì)應(yīng)的緩沖區(qū)�����;
[0063]步驟S906��,入隊(duì)緩沖區(qū)模塊14在接收到報(bào)文后�,根據(jù)配置的到流量控制模塊的映射關(guān)系,將報(bào)文傳遞給流量控制模塊16 ���;
[0064]步驟S908���,流控控制模塊16接收到入隊(duì)緩沖區(qū)報(bào)文后,根據(jù)配置的整形值完成不同類型報(bào)文的整形�����;
[0065]步驟S910,流量控制模塊16將接整形后的報(bào)文發(fā)送給CPU進(jìn)行處理����。
[0066]通過(guò)上述實(shí)施例及優(yōu)選實(shí)施方式,由于流量控制模塊16中配置的整形值是根據(jù)設(shè)備支持的處理能力配置的���,因此��,可以確保設(shè)備在異常攻擊情況下只接收到與其處理能力匹配的報(bào)文數(shù)�����,從而確保了設(shè)備的可靠性��。
[0067]下面結(jié)合PTN設(shè)備����,對(duì)該實(shí)現(xiàn)方案進(jìn)行��,本實(shí)施例中相關(guān)的模塊都在PTN設(shè)備線卡上��,支持處理的報(bào)文類型有1588協(xié)議報(bào)文,數(shù)據(jù)通信網(wǎng)絡(luò)(Data Communicat1n Network,簡(jiǎn)稱為DCN)協(xié)議報(bào)文�,OAM報(bào)文,其他普通協(xié)議報(bào)文等�。
[0068]圖10是根據(jù)本發(fā)明優(yōu)選實(shí)施例的PTN設(shè)備依據(jù)報(bào)文類型進(jìn)行攻擊防范方法的流程圖,如圖10所示�,該流程包括如下步驟:
[0069]步驟S1002,PTN設(shè)備線卡的微碼芯片中報(bào)文識(shí)別模塊12對(duì)接收到的報(bào)文進(jìn)行讀取����,識(shí)別出需要支持的報(bào)文類型,并根據(jù)配置的標(biāo)識(shí)符信息��,對(duì)相關(guān)的報(bào)文進(jìn)行標(biāo)識(shí)�;
[0070]步驟S1004,報(bào)文識(shí)別模塊12根據(jù)配置的標(biāo)識(shí)符報(bào)文到入隊(duì)緩沖區(qū)的映射關(guān)系��,將報(bào)文發(fā)送到交換網(wǎng)芯片的對(duì)應(yīng)緩沖區(qū)隊(duì)列中�����;
[0071]步驟S1006����,入隊(duì)緩沖區(qū)模塊14在接收到報(bào)文后,根據(jù)配置的到流量控制模塊16的映射關(guān)系�����,將報(bào)文傳遞給流量控制模塊16 ;
[0072]步驟S1008���,流量控制模塊16接收到入隊(duì)緩沖區(qū)報(bào)文后����,根據(jù)配置的整形值完成不同報(bào)文的整形��;
[0073]步驟S1010����,流量控制模塊16將接收到的報(bào)文發(fā)送給CPU進(jìn)行處理。
[0074]顯然����,本領(lǐng)域的技術(shù)人員應(yīng)該明白,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn)��,它們可以集中在單個(gè)的計(jì)算裝置上�,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上,可選地�����,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn)��,從而���,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來(lái)執(zhí)行����,并且在某些情況下�,可以以不同于此處的順序執(zhí)行所示出或描述的步驟,或者將它們分別制作成各個(gè)集成電路模塊����,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)。這樣��,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合�。
[0075]以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā)明���,對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)�,本發(fā)明可以有各種更改和變化����。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改����、等同替換��、改進(jìn)等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
【主權(quán)項(xiàng)】
1.一種報(bào)文處理方法�����,其特征在于���,包括: 將接收到的報(bào)文依據(jù)報(bào)文類型存儲(chǔ)到與所述報(bào)文類型對(duì)應(yīng)的緩沖區(qū)��; 對(duì)存儲(chǔ)在所述緩沖區(qū)的報(bào)文進(jìn)行整形處理����。2.根據(jù)權(quán)利要求1所述的方法���,其特征在于����,在將接收到的所述報(bào)文依據(jù)所述報(bào)文類型存儲(chǔ)到與所述報(bào)文類型對(duì)應(yīng)的所述緩沖區(qū)之前���,還包括: 建立所述報(bào)文類型與所述緩沖區(qū)的映射關(guān)系�,依據(jù)所述映射關(guān)系將所述報(bào)文存儲(chǔ)到與所述報(bào)文類型對(duì)應(yīng)的所述緩沖區(qū)���。3.根據(jù)權(quán)利要求1所述的方法�,其特征在于���,將接收到的所述報(bào)文依據(jù)所述報(bào)文類型存儲(chǔ)到與所述報(bào)文類型對(duì)應(yīng)的所述緩沖區(qū)包括: 對(duì)接收到的所述報(bào)文進(jìn)行標(biāo)識(shí)����,依據(jù)標(biāo)識(shí)對(duì)接收到的所述報(bào)文的類型進(jìn)行區(qū)分�。4.根據(jù)權(quán)利要求1所述的方法,其特征在于����,對(duì)存儲(chǔ)在所述緩沖區(qū)的所述報(bào)文進(jìn)行整形處理包括: 依據(jù)所述報(bào)文類型對(duì)應(yīng)的報(bào)文配置用于限定所述報(bào)文類型的報(bào)文流量的整形值; 依據(jù)配置的所述整形值對(duì)存儲(chǔ)在所述緩沖區(qū)的所述報(bào)文進(jìn)行整形處理�。5.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的方法,其特征在于���,在對(duì)存儲(chǔ)在所述緩沖區(qū)的所述報(bào)文進(jìn)行整形處理之后�����,還包括: 將整形后的報(bào)文發(fā)送給中央處理器CPU處理��。6.一種報(bào)文處理裝置�,其特征在于,包括: 存儲(chǔ)模塊��,用于將接收到的報(bào)文依據(jù)報(bào)文類型存儲(chǔ)到與所述報(bào)文類型對(duì)應(yīng)的緩沖區(qū)�����; 處理模塊����,用于對(duì)存儲(chǔ)在所述緩沖區(qū)的報(bào)文進(jìn)行整形處理。7.根據(jù)權(quán)利要求6所述的裝置��,其特征在于�,還包括: 建立模塊,用于建立所述報(bào)文類型與所述緩沖區(qū)的映射關(guān)系�,依據(jù)所述映射關(guān)系將所述報(bào)文存儲(chǔ)到與所述報(bào)文類型對(duì)應(yīng)的所述緩沖區(qū)。8.根據(jù)權(quán)利要求6所述的裝置��,其特征在于,所述存儲(chǔ)模塊包括: 標(biāo)識(shí)單元�����,用于對(duì)接收到的所述報(bào)文進(jìn)行標(biāo)識(shí)��,依據(jù)標(biāo)識(shí)對(duì)接收到的所述報(bào)文的類型進(jìn)行區(qū)分��。9.根據(jù)權(quán)利要求6所述的裝置�����,其特征在于����,所述處理模塊包括: 配置單元���,用于依據(jù)所述報(bào)文類型對(duì)應(yīng)的報(bào)文配置用于限定所述報(bào)文類型的報(bào)文流量的整形值���; 處理單元,用于依據(jù)配置的所述整形值對(duì)存儲(chǔ)在所述緩沖區(qū)的所述報(bào)文進(jìn)行整形處理��。10.根據(jù)權(quán)利要求6至9中任一項(xiàng)所述的裝置����,其特征在于�����,還包括: 發(fā)送模塊�����,用于將整形后的報(bào)文發(fā)送給中央處理器CPU處理����。11.一種線卡�����,其特征在于�����,包括權(quán)利要求6至10中任一項(xiàng)所述的裝置����。
【專利摘要】本發(fā)明提供了一種報(bào)文處理方法、裝置及線卡��,其中,該方法包括:將接收到的報(bào)文依據(jù)報(bào)文類型存儲(chǔ)到與報(bào)文類型對(duì)應(yīng)的緩沖區(qū)���;對(duì)存儲(chǔ)在緩沖區(qū)的報(bào)文進(jìn)行整形處理����,通過(guò)本發(fā)明��,解決了相關(guān)技術(shù)中�,存在對(duì)報(bào)文進(jìn)行攻擊防范的可靠性不高的問(wèn)題,進(jìn)而達(dá)到了對(duì)攻擊報(bào)文進(jìn)行有效控制���,提高了設(shè)備可靠性的效果。
【IPC分類】H04L12/815, H04L12/861
【公開(kāi)號(hào)】CN105306384
【申請(qǐng)?zhí)枴緾N201410289436
【發(fā)明人】干建, 李小偉
【申請(qǐng)人】中興通訊股份有限公司
【公開(kāi)日】2016年2月3日
【申請(qǐng)日】2014年6月24日
【公告號(hào)】WO2015196799A1