[发明专利]一种报文过滤的方法和装置

说明书

技术领域

本申请涉及网络通信技术领域，特别涉及一种报文过滤的方法和装置。

背景技术

随着网络技术的不断发展，接入网络的设备数量以及设备的种类越来越多，从而使得在一些特定的使用场景中报文的流量过大，且在这大量的报文中，含有大量杂包，甚至含有大量攻击报文以及窃取网络资源的非法报文等。

在现有技术中，通过带有包过滤功能的设备将这些非法报文进行过滤。在实现时，设备接收到报文时，可以将报文上送至CPU，CPU可以从所述报文中获取该报文的五元组，然后基于所述五元组对该报文进行认证，如果认证通过就可以将该报文正常转发；如果认证失败，可以将该报文丢弃。

然而，现有技术无法彻底对非法报文完全过滤，且现有技术的会话策略是在IP层实现的，需要获取报文的五元组信息，而获得五元组信息需要逐层解析报文，从而使得设备性能较差。

发明内容

有鉴于此，本申请提供一种报文过滤的方法和装置，应用于宽带远程接入服务器，提高网络资源的安全性。

具体地，本申请是通过如下技术方案实现的：

一种报文过滤的方法，应用于宽带远程接入服务器，所述宽带远程接入服务器包括CPU和转发芯片，包括：

转发芯片将接收到的报文与会话表项进行匹配；其中，所述会话表项包括MAC地址，以及与所述MAC地址对应的报文处理标签；

如果所述报文未命中会话表项，转发芯片将所述报文上送至CPU，由CPU基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，以及将所述会话表项下发至转发芯片；

如果所述报文命中会话表项，转发芯片基于所述会话表项中的报文处理标签对所述报文进行过滤处理。

一种报文过滤的装置，应用于宽带远程接入服务器，所述宽带远程接入服务器包括CPU和转发芯片，包括：

匹配单元，用于转发芯片将接收到的报文与会话表项进行匹配；其中，所述会话表项包括MAC地址，以及与所述MAC地址对应的报文处理标签；

生成单元，用于如果所述报文未命中会话表项，转发芯片将所述报文上送至CPU，由CPU基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，以及将所述会话表项下发至转发芯片；

过滤单元，用于如果所述报文命中会话表项，转发芯片基于所述会话表项中的报文处理标签对所述报文进行过滤处理。

在本申请示出的实施例中，宽带远程接入服务器可以将接收到的报文上送至CPU，CPU可以通过该报文的源MAC地址对该报文进行安全认证，然后根据认证结果，针对该MAC地址创建会话表项，并将所述会话表项下发至转发芯片，从而，转发芯片可以根据会话表项对接收到报文进行匹配，并根据匹配结果对报文进行相应的过滤处理。由于本实施的会话策略是在转发芯片上实现，从而可以提高宽带远程接入服务器的报文过滤的性能。

附图说明

图1为本申请一示例性实施例示出的一种报文过滤的方法流程图；

图2为本申请一种报文过滤的装置所在宽带远程接入服务器的一种硬件结构图；

图3为本申请一示例性实施例示出的一种报文过滤的装置。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在网络中，各网络设备通过报文的传输，实现各网络设备之间的通信。其中，所述报文可以分为合法报文和非法报文。