技術領域

本發明涉及網絡通信、網絡安全和組網技術領域，特別涉及一種TCP序列號檢查的硬件實現方法

背景技術

隨著Internet的高速發展，越來越多的個人和企業加入其中，隨之而來的網絡安全問題也越來越受重視。TCP/IP協議是互聯網事實上的標準網絡協議，TCP/IP協議的安全問題是保障互聯網絡安全的關鍵環節。

序列號是TCP協議用于保證數據可靠性的重要手段，序列號檢查是目前網絡安全設備必備的狀態檢測功能的一個重要組成部分。序列號檢查包括數據包序列號邊界檢查和確認包ACK序列號邊界檢查，其中數據包序列號邊界檢查包括數據包序列號上界檢查和數據包序列號下界檢查，確認包ACK序列號邊界檢查包括確認包ACK序列號上界檢查和確認包ACK序列號下界檢查。無論進行數據包序列號邊界檢查還是確認包ACK序列號邊界檢查，都需要結合當前數據包攜帶的序列號、ACK序列號等信息和本TCP連接的上一數據包攜帶的序列號、ACK序列號等信息進行檢查，硬件實現比較困難。

另外，隨著各種多媒體應用的開發和普及，網絡帶寬越來越高，以前只有2兆的出口帶寬，而現在已經千兆入戶，需要網絡安全設備提供吉比特級速率支持，對序列號檢查提出了高速率的要求，需要硬件實現。

目前，序列號檢查通常有以下兩種實現方式：

a、軟件實現序列號檢查

這是目前網絡安全系統最常用的實現方式，主要是為每一個TCP連接創建狀態跟蹤表，用該表來記錄輸入包的狀態信息，依據表中的狀態信息對接收到TCP數據包進行序列號檢查來實現其狀態過濾。這種方式實現簡單，靈活性好，但數據處理速度慢，無法適應吉比特網絡環境。

b、硬件實現序列號檢查

目前已提出的硬件實現序列號檢查的方法是基于動態隨機存儲器(DRAM)實現的，為每一個TCP連接創建狀態表，通過hash算法實現一個TCP連接所必需的五元組信息(源IP地址、目的IP地址、源端口號、目的端口號及協議號)向存儲該TCP連接狀態信息表項地址的映射，通過訪問狀態表中存儲的信息實現對接收到TCP數據包的序列號檢查。這種方式實現難度較大，一次檢查需要多次訪存，且性能依賴于hash算法，很難達到線速檢查，無法充分發揮硬件高速的特點。

發明內容

本發明的目的是針對現有序列號檢查實現方法難以滿足網絡高速環境需求的問題，提供一種基于三態地址關聯存儲器(TCAM)序偶的硬件實現方法，能夠支持吉比特速率序列號檢查，且易于工程實現。

TCAM基于內容實現并行查找，無論表項的條目數有多大，都可以一次查表命中，是一種適合吉比特速率下的查表解決方案。本發明所述序列號硬件檢查方法基于TCAM和靜態隨機存取存儲器(SRAM)實現，具體的說，利用TCAM來存儲需要進行序列號檢查的TCP連接的標識信息(即源IP，目的IP，源端口，目的端口和協議)，又稱查表關鍵字，每一個查表關鍵字可唯一標識一個TCP連接；利用SRAM存儲每一個進行序列號檢查的TCP連接的序列號檢查信息。TCAM和SRAM組成常見的硬件查表結構，在本發明所述方法的支持下，共同實現高速序列號檢查。

本發明所述方法具體包括四個步驟：

步驟a：在TCAM上實現基于查表關鍵字序偶對的存儲單元邏輯化分

每個TCP連接由源IP，目的IP，源端口，目的端口和協議等五元組信息唯一確定，進行TCP序列號檢查時需以五元組信息作為查表關鍵字。本方法要求，表項初始配置時應按照以下步驟對TCAM內查表關鍵字的存儲區域進行邏輯化分：假設TCAM的地址空間為N，TCAM單個地址單元存放的數據寬度是L，上述五元組的總長度是L’，則需要將TCAM從地址0到地址N-1按序進行單元塊劃分，每一個單元塊包括個地址，代表上界取整。劃分完畢后，統一對所有單元塊進行整數編號，例如，單元塊0包括TCAM的0到地址空間，單元塊1包括TCAM的到地址空間，其余單元塊依次類推。由于TCP連接是全雙工過程，則在單元塊編號完畢后，需按照(0，1)，(2，3)…(i，i+1)…的方式將單元塊組成序偶對，其中i為偶數，單元塊i對應的TCAM地址空間包括：共個地址，一對序偶表征一條TCP連接的正向、反向兩個方向。對于任意序偶對(i，i+1)，i和i+1互為序偶，即i為i+1的序偶，i+1為i的序偶。對于任意正整數j，若j為奇數時，其序偶為j-1，若j為偶數時，其序偶為i+1。

步驟b：輸入SYN包的檢查及表項建立