本發(fā)明屬于信息安全應(yīng)用，尤其涉及一種基于arm+asic異構(gòu)實現(xiàn)的報文卸載智能網(wǎng)卡。

背景技術(shù)：

1、在信息安全應(yīng)用領(lǐng)域中，網(wǎng)絡(luò)安全應(yīng)用軟件從底層的網(wǎng)卡硬件和操作系統(tǒng)的協(xié)議棧收取報文，網(wǎng)卡和協(xié)議棧軟件負責對網(wǎng)絡(luò)數(shù)據(jù)包進行收發(fā)和處理。對網(wǎng)絡(luò)數(shù)據(jù)的傳輸工作消耗了大量的cpu計算資源。隨著萬兆帶寬時代的到來，一味通過提高服務(wù)器cpu的工作頻率、擴充服務(wù)器內(nèi)存等方法來提升服務(wù)器對網(wǎng)絡(luò)數(shù)據(jù)包的處理速度，將會面臨功耗、成本、機房散熱等一系列瓶頸。更重要的是，服務(wù)器cpu對網(wǎng)絡(luò)數(shù)據(jù)的處理能力并非隨cpu速度的增長而線性增長。如果cpu的很多開銷是進行響應(yīng)中斷、數(shù)據(jù)拷貝、校驗、對網(wǎng)絡(luò)數(shù)據(jù)包的地址進行過濾等比較簡單但費時的i/o類操作，其能夠為應(yīng)用層處理軟件提供的計算能力將受到很大影響，從而影響應(yīng)用層處理軟件的速度與性能。

2、現(xiàn)有的智能網(wǎng)卡為fpga智能網(wǎng)卡，由于fpga芯片本身價格較高，而且設(shè)計、開發(fā)和調(diào)試所需的人力成本也較高，這使得fpga智能網(wǎng)卡的整體成本高昂。fpga資源有限，包括邏輯單元、存儲器和輸入/輸出引腳等。在設(shè)計復(fù)雜的報文處理邏輯時，可能會受到資源約束，限制了其性能和功能擴展。fpga智能網(wǎng)卡的處理時延通常較大，并且難以預(yù)測和控制。由于fpga的可編程性，邏輯電路的布局與時鐘分配可能導(dǎo)致不確定的時延，這對于實時性要求高的應(yīng)用來說是不可接受的。fpga芯片通常具有較高的功耗，特別是在處理高速數(shù)據(jù)流時，功耗會進一步增加。這不僅增加了設(shè)備的能耗成本，還可能導(dǎo)致散熱和穩(wěn)定性方面的問題。fpga智能網(wǎng)卡的設(shè)計和開發(fā)周期通常較長。由于需要使用硬件描述語言編寫邏輯、進行綜合、布局和布線等步驟，整個開發(fā)過程需要投入大量時間和精力。并且一旦fpga智能網(wǎng)卡部署，想要對其進行功能升級或修復(fù)缺陷可能比較困難。因為硬件設(shè)計一旦確定，修改和升級將需要重新進行設(shè)計、驗證和部署，因此fpga智能網(wǎng)卡難以維護和升級。

3、通過取消uc（un-cacheable）模式、采用零拷貝、數(shù)據(jù)預(yù)取等方式，可在一定程度上提高網(wǎng)絡(luò)數(shù)據(jù)處理能力，但其對上層cpu負載卸載有限?，F(xiàn)有部分nic可提供校驗和計算并減少cpu約10%的負載，但是對于64字節(jié)小包來說，使用nic卸載校驗和運算對于降低cpu使用率并無多大幫助，這是因為校驗和運算是基于字節(jié)的運算，因此卸載校驗和對于大數(shù)據(jù)報文比較有效而對64字節(jié)小包效果很小。利用硬件處理的高速性以及可并行處理的特性，可將比較簡單但費時的i/o類操作由智能網(wǎng)卡來完成，從而有效降低cpu工作負載并提高網(wǎng)絡(luò)數(shù)據(jù)報文的捕獲能力，特別是對密集小報文的處理能力。現(xiàn)有的asic是專門為特定應(yīng)用而設(shè)計的定制集成電路，其硬件結(jié)構(gòu)經(jīng)過優(yōu)化，可以實現(xiàn)更高的性能和更低的時延。asic在處理高速數(shù)據(jù)流和復(fù)雜算法時通常比fpga具有更好的性能表現(xiàn)，從而配合服務(wù)器應(yīng)用層處理軟件提供更高的網(wǎng)絡(luò)數(shù)據(jù)報文捕獲與處理能力。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的在于提供一種基于arm+asic異構(gòu)實現(xiàn)的報文卸載智能網(wǎng)卡，用以解決fpga智能網(wǎng)卡存在的成本高、資源受限、時延不可控、功耗高、開發(fā)周期長以及難以維護和升級的的技術(shù)問題。

2、為解決上述技術(shù)問題，本發(fā)明采用的技術(shù)方案如下：

3、一種基于arm+asic異構(gòu)實現(xiàn)的報文卸載智能網(wǎng)卡，包括報文分析模塊、arm+asic異構(gòu)模塊、流量過濾模塊和標簽添加模塊，所述arm+asic異構(gòu)模塊與報文分類模塊連接，所述報文分類模塊與所述流量過濾模塊連接，所述流量過濾模塊與所述標簽添加模塊連接；

4、所述報文分析模塊，用于實現(xiàn)對報文的協(xié)議進行分析；

5、所述arm+asic異構(gòu)模塊，用于根據(jù)用戶配置規(guī)則對硬件的報文進行分類和處理；

6、所述流量過濾模塊，用于把上層不需要的流量直接過濾掉；

7、所述標簽添加模塊，用于對上層需要的流量添加協(xié)議標簽并提交給服務(wù)器的應(yīng)用層數(shù)據(jù)處理軟件處理，由應(yīng)用層數(shù)據(jù)處理軟件對智能網(wǎng)卡獲取的網(wǎng)絡(luò)數(shù)據(jù)進行應(yīng)用層數(shù)據(jù)的解析；

8、所述arm+asic異構(gòu)模塊包括gigabit?mac模塊、規(guī)則設(shè)置模塊、規(guī)則查找模塊、ddr3?sdram控制器、qdrsram控制器、pci-e接口；

9、所述gigabit?mac模塊實現(xiàn)對數(shù)據(jù)流的反壓，mac側(cè)數(shù)據(jù)mib信息的監(jiān)控，報文的crc校驗，包長度設(shè)置，將接收到的鏈路層數(shù)據(jù)的前導(dǎo)碼和crc去掉，給后續(xù)模塊，將發(fā)送的報文加上前導(dǎo)碼和crc發(fā)送出去，檢測報文是否為ip報文，根據(jù)軟件的設(shè)置開啟vlan工作模式并把五元組信息提取出來給后續(xù)模塊；

10、所述規(guī)則設(shè)置模塊根據(jù)應(yīng)用軟件的配置，更新硬件中的規(guī)則表；

11、所述規(guī)則查找模塊根據(jù)接收到報文的五元組信息在規(guī)則表中查找，若找到，則根據(jù)規(guī)則指定的動作丟棄報文或上傳報文至cpu；

12、所述ddr3?sdram控制器和qdr?sram控制器分別實現(xiàn)ddr3、qdr總線仲裁機制及配置控制；

13、所述pci-e接口實現(xiàn)上傳報文到cpu，下載規(guī)則到arm+asic異構(gòu)，配置arm+asic異構(gòu)內(nèi)部寄存器，監(jiān)控arm+asic異構(gòu)內(nèi)部工作狀態(tài)，根據(jù)eeprom中的內(nèi)容做pci-e的基本配置。

14、優(yōu)選的，所述arm+asic異構(gòu)模塊還設(shè)有兩個執(zhí)行模塊，包括報文接收模塊和五元組過濾模塊，所述報文接收模塊和五元組過濾模塊之間的接口為先入先出報文索引緩沖隊列。

15、優(yōu)選的，當所述報文接收模塊接收到報文后，把報文索引放入五元組過濾模塊的輸入隊列，由五元組過濾模塊從隊列中取出報文索引，作進一步處理。

16、優(yōu)選的，報文索引緩沖隊列中保存報文在ddr3中的緩沖區(qū)索引，同時也是報頭信息在bram中的存儲區(qū)索引，所述報頭信息包括五元組、payload偏移。

17、優(yōu)選的，當所述報文接收模塊接收到報文后，報文接收模塊從全局可用緩沖區(qū)隊列獲得一個空閑緩沖區(qū)索引，把報文存入緩沖區(qū)后，把緩沖區(qū)索引送入五元組過濾模塊的輸入隊列，待報文過濾模塊處理完緩沖區(qū)內(nèi)的報文后把報文緩沖區(qū)索引再放入全局可用緩沖隊列。

18、優(yōu)選的，所述報文接收模塊設(shè)有兩個子模塊，兩個所述子模塊包括報文緩沖模塊和鏈路層過濾模塊，所述報文緩沖模塊把mac來的報文在片內(nèi)緩沖，若不是ip報文，則丟棄；若是ip報文則緩沖到ddr3?sdram控制器，當報文在片內(nèi)緩沖時，報頭信息提取模塊負責把報頭中的五元組信息提取出來，存入bram中。

19、優(yōu)選的，所述五元組過濾模塊包括并發(fā)流匹配模塊、規(guī)則匹配模塊、規(guī)則控制模、并發(fā)流控制模塊、命中動作執(zhí)行模塊；

20、所述并發(fā)流匹配模塊根據(jù)存在bram中的報文的五元組，到ddr3中的并發(fā)流hash表中尋找該報文對應(yīng)的流，若找到，則根據(jù)該流的命中動作，把報文索引放入丟棄或上傳隊列。若未找到，則把該報文交給規(guī)則匹配模塊進行五元組規(guī)則的匹配；

21、當一個報文是一個流中的第一個報文時，在并發(fā)流哈希表中沒有該流的表項，并發(fā)流匹配模塊不能決定對該報文的動作，通過規(guī)則匹配模塊負責查找五元組規(guī)則表，把報文五元組和查找到的規(guī)則表項比較，不管是否命中規(guī)則，規(guī)則過濾模塊都會通知規(guī)則控制模塊把該報文的五元組和對應(yīng)動作寫入并發(fā)流表，并把報文索引放入丟棄或上傳隊列；

22、所述五元組規(guī)則表為一個哈希表。

23、優(yōu)選的，當一個新的流被規(guī)則匹配模塊發(fā)現(xiàn)后，把該流的五元組寫入并發(fā)流表，每條規(guī)則有一個生存期，保存在一個規(guī)則生存期數(shù)組中；其中，若規(guī)則的生存期無限長，則用0表示；

24、所述規(guī)則控制模塊每隔一秒輪詢一遍規(guī)則的生存期數(shù)組，把生存期減少，對生存期從1降到0的規(guī)則，把有效標志位置為無效，并對并發(fā)流中的每一個流，所述并發(fā)流控制模塊也處理其超時。

25、優(yōu)選的，當一個報文在并發(fā)流表中匹配上相應(yīng)的五元組后，根據(jù)該流應(yīng)該采取的動作，報文的索引進入丟棄或上傳隊列，當一個報文在規(guī)則表中命中了某條規(guī)則后，進入丟棄或上傳隊列，所述命中動作執(zhí)行模塊是從丟棄和上傳隊列中獲取要處理的報文索引，執(zhí)行相應(yīng)的動作。

26、優(yōu)選的，所述五元組過濾模塊的五元組規(guī)則匹配算法為：

27、每一個規(guī)則通過哈希運算進入哈希表，每一個報文通過哈希運算查找哈希表中的規(guī)則，在此過程中，包括是五元組掩碼過程，具體為先把規(guī)則加上每個元素的掩碼標志，構(gòu)成固定的規(guī)則；然后把規(guī)則存入一個哈希表中；再對收到的每個報文的五元組信息，也加上每個元素的掩碼規(guī)則，構(gòu)成五元組待匹配項；最后每個待匹配項通過哈希表查找規(guī)則，進行匹配；

28、其中，每個元素包括ip、協(xié)議、端口；

29、五元組待匹配項的數(shù)量為包括32至1中的任意個數(shù)。

30、本發(fā)明的有益效果包括：

31、本發(fā)明提供的基于arm+asic異構(gòu)實現(xiàn)的報文卸載智能網(wǎng)卡，包括報文分析模塊、arm+asic異構(gòu)模塊、流量過濾模塊和標簽添加模塊，其中arm+asic異構(gòu)模塊包括gigabitmac模塊、規(guī)則設(shè)置模塊、規(guī)則查找模塊、ddr3?sdram控制器、qdrsram控制器、pci-e接口。

32、本技術(shù)的基于arm+asic異構(gòu)實現(xiàn)的報文卸載智能網(wǎng)卡通過設(shè)置arm+asic異構(gòu)模塊，利用國產(chǎn)化芯片低成本、低時延的優(yōu)勢，實現(xiàn)報文分類和處理的高效率和高性能，可以在硬件中實現(xiàn)報文的分類和過濾，有效卸載應(yīng)用軟件進行底層網(wǎng)絡(luò)報文處理的開銷，在高速網(wǎng)絡(luò)上的網(wǎng)絡(luò)安全應(yīng)用軟件，基于智能網(wǎng)卡開發(fā)報文捕獲和數(shù)據(jù)采集功能，大大提升了系統(tǒng)的整體性能。