[发明专利]一种基于安全关联的数据包快速转发方法

说明书

本发明公开了一种基于安全关联的数据包快速转发方法，包括步骤：在同一个表结构中，通过五元组信息建立快速转发表与各个安全功能的关联关系，在进行后续数据包的转发时只需要匹配一个所述快速转发表就能够通过与安全功能的关联关系，获取到各个安全功能所需要的信息；本发明在数据包的快速转发过程中，把快速转发表与各个安全功能表项通过五元组信息进行关联，在数据包匹配快速转发表的同时，获取各个安全功能所需要的信息并直接对该数据包进行安全服务处理。相比传统的方法，本发明减少了匹配多个安全服务表的时耗，提高了数据包的快速转发效率。

技术领域

本发明涉及网络安全设备数据转发领域，更为具体的，涉及一种基于安全关联的数据包快速转发方法。

背景技术

多功能网络安全设备出于性能的考虑基本上都具有数据包快速转发功能：在会话最初建立时，根据会话和数据包信息(五元组信息、校验和、TOS等)计算各个安全功能所需要的数据，从而构建多个保存数据的表结构，如快速转发表、包过滤表、NAT表、ipsec表、qos表等等。后续数据包到来后，安全设备迅速把数据包信息与这些表结构进行匹配，若成功命中则直接采用表结构中的数据对数据包进行处理、封装和转发，避免了数据的重复计算。然而，这种数据转发方式需要针对多个安全功能分别配置表结构，因此后续数据包需要在多个表结构中依次进行数据匹配和处理，有着一定的性能损耗，并且，一旦安全功能增多，所造成的性能下降也在不断增大。

发明内容

本发明的目的在于克服现有技术的不足，针对网络安全设备在数据包快速转发过程中需要匹配多个安全服务功能表项来对数据包进行处理，造成性能下降的问题，提供一种基于安全关联的数据包快速转发方法，减少了匹配多个安全服务表的时耗，提高了数据包的快速转发效率等。

本发明的目的是通过以下方案实现的：

一种基于安全关联的数据包快速转发方法，包括步骤：

在同一个表结构中，通过五元组信息建立快速转发表与各个安全功能的关联关系，在进行后续数据包的转发时只需要匹配一个所述快速转发表就能够通过与安全功能的关联关系，获取到各个安全功能所需要的信息。

进一步地，包括步骤：

S1，在建立网络会话时，构建针对此会话的快速转发表的表项，同时根据用户配置启用相应的安全服务功能，构建针对此会话的各个安全服务表项信息；

S2，在安全服务表项构建完成后，在快速转发表结构中相应地把各个安全服务表项指针进行赋值，使其指向其对应的安全服务表项；

S3，后续此会话的网络数据包到来时，则根据步骤S2中的这些安全服务表项指针快速对数据包进行处理和封装。

进一步地，在步骤S2中，如果需要增加安全服务功能，则直接在快速转发表结构中增加一个相应安全服务功能的表项指针。

进一步地，在步骤S3中，包括步骤：若设定时间之内没有与快速转发表表项匹配的数据包到来，则把该表项以及对应的多个安全服务表项进行删除。

进一步地，在步骤S1中，所述安全服务表项信息包括：路由信息表项、Nat信息表项、包过滤信息表项、Ipsec信息表项和Qos信息表项。

进一步地，包括如下步骤：

S1，初始化配置信息；

S2，从网卡驱动获取网络数据包；

S3，解析数据包，获取五元组信息，与快速转发表进行匹配，判断数据包是否在快速转发表中存在表项；若不存在，则进入S4处理流程；否则，进入S8处理流程；

S4，对当前会话进行检测，根据五元组信息创建快速转发表表项；