本發(fā)明屬于數(shù)據傳輸技術領域，特別涉及一種基于FPGA的網絡安全加速卡及加速方法。本發(fā)明提供一種新的基于FPGA的網絡安全加速卡及加速方法，該基于FPGA的網絡安全加速卡及加速方法采用是經典的五元組精確匹配的流轉發(fā)方式來處理網絡報文，可以對處理器進行網絡處理的分流，使處理器能從繁重的工作中解放出來，處理一些必須它來做的事情，可以進一步提高數(shù)據的轉發(fā)速率。

技術領域

本發(fā)明屬于數(shù)據傳輸技術領域，特別涉及一種基于FPGA的網絡安全加速卡及加速方法。

背景技術

隨著全球大數(shù)據以及人工智能技術的高速發(fā)展，對于網絡性能越來越高，從原來的百兆、千兆的吞吐量迅速增長到現(xiàn)在的10G、25G、40G甚至100G、200G等等吞吐量。外部帶寬很高，但同時對服務器的處理器處理能力帶來了前所未有的挑戰(zhàn)，單靠處理器來進行網絡處理是無法完全滿足需求的，網絡性能問題甚至成了制約功能進一步豐富完善的瓶頸。

發(fā)明內容

為了解決現(xiàn)有技術中存在的問題，本發(fā)明提供一種新的基于FPGA的網絡安全加速卡及加速方法。

本發(fā)明具體技術方案如下：

本發(fā)明提供一種基于FPGA的網絡安全加速方法，包括如下步驟：

S1：接收處理器通過寫入PCIe BAR寄存器的方式寫入的首包的五元組信息、對應的Hash值以及轉發(fā)規(guī)則，將并將五元組信息、對應的Hash值以及轉發(fā)規(guī)則按照Hash值對應的地址寫入到DDR內存中，所述轉發(fā)規(guī)則包括安全策略、路由信息和處理策略；

S2：接收數(shù)據包，通過FIFO緩存所述數(shù)據包并提取所述數(shù)據包的五元組信息；

S3：將數(shù)據包的五元組信息進行Hash哈希運算得到五元組的Hash值；

S4：通過得到的Hash值作為地址訪問對應的DDR內存，順序讀取哈希鏈表，比對存儲在DDR內存中的五元組信息與接收到的是否相同，如果相同，則比對成功，在DDR內存中提取所述Hash值對應的轉發(fā)規(guī)則轉發(fā)通過FIFO緩存的數(shù)據包，如果不同，則讀取哈希鏈表中所述Hash值的下一個記錄，直到比對成功，如果所有的都不相同，則DDR內存中沒有所述數(shù)據包對應的轉發(fā)規(guī)則，將數(shù)據包作為新建五元組流的首包通過DMA的方式經過PCIe總線下傳到主機的處理器。

一種基于FPGA的網絡安全加速卡，包括如下部分：

信息寫入模塊，被配置為接收處理器通過寫入PCIe BAR寄存器的方式寫入的首包的五元組信息、對應的Hash值以及轉發(fā)規(guī)則，將并將五元組信息、對應的Hash值以及轉發(fā)規(guī)則按照Hash值對應的地址寫入到DDR內存中，所述轉發(fā)規(guī)則包括安全策略、路由信息和處理策略；

提取模塊，被配置為接收數(shù)據包，通過FIFO緩存所述數(shù)據包并提取所述數(shù)據包的五元組信息；

哈希運算模塊，被配置為將數(shù)據包的五元組信息進行Hash哈希運算得到五元組的Hash值；

數(shù)據處理模塊，被配置為通過得到的Hash值作為地址訪問對應的DDR內存，順序讀取哈希鏈表，比對存儲在DDR內存中的五元組信息與接收到的是否相同，如果相同，則比對成功，在DDR內存中提取所述Hash值對應的轉發(fā)規(guī)則轉發(fā)通過FIFO緩存的數(shù)據包，如果不同，則讀取哈希鏈表中所述Hash值的下一個記錄，直到比對成功，如果所有的都不相同，則DDR內存中沒有所述數(shù)據包對應的轉發(fā)規(guī)則，將數(shù)據包作為新建五元組流的首包通過DMA的方式經過PCIe總線下傳到主機的處理器。

本發(fā)明的有益效果如下：

本發(fā)明提供一種新的基于FPGA的網絡安全加速卡及加速方法，該基于FPGA的網絡安全加速卡及加速方法采用是經典的五元組精確匹配的流轉發(fā)方式來處理網絡報文，可以對處理器進行網絡處理的分流，使處理器能從繁重的工作中解放出來，處理一些必須它來做的事情，可以進一步提高數(shù)據的轉發(fā)速率。