一种ip地址匹配ip范围策略的硬件实现方法
【专利摘要】本发明公开了一种IP地址匹配IP范围策略的硬件实现方法,涉及到网络安全领域,首先提取IP报文的IP地址,与策略IP起始地址做减法运算得出结果1,然后将策略IP范围与结果1再次做减法运算得出结果2,根据结果1和结果2判断所提取的IP地址是否命中策略。本发明通过硬件实现简单的减法运算,在两个时钟周期内完成判断IP地址是否命中一条IP范围策略,与传统软件实现的形式相比,显著降低了系统开销,提高了IP地址匹配IP范围策略的效率。
【专利说明】—种IP地址匹配IP范围策略的硬件实现方法
【技术领域】
[0001]本发明涉及网络安全领域,具体地说是一种IP地址匹配IP范围策略的硬件实现方法。
【背景技术】
[0002]在一些防火墙或网闸设备中,需要对IP地址进行过滤或策略匹配操作,目前多为软件实现,这使得系统开销大,效率降低。因此考虑如何利用硬件方法匹配策略,成为解决IP地址匹配IP范围策略的新尝试。
【发明内容】
[0003]针对现有技术存在的不足之处,本发明提供了一种IP地址匹配IP范围策略的硬件实现方法。
[0004]本发明所述IP地址匹配IP范围策略的硬件实现方法,解决上述技术问题采用的技术方案如下:首先在一个IP报文中提取出IP地址,将所提取的IP地址与策略IP起始地址做减法运算得出结果I ;然后,策略IP范围(即策略IP起始地址与策略IP终止地址的差值)与结果I再次做减法运算得出结果2,根据结果I和结果2判断所提取的IP地址是否命中策略。
[0005]进一步,根据结果I和结果2判断所提取的IP地址是否命中策略是指,检测结果2的标志位是否置位,若置位,则没有命中策略;反之,表示策略命中,进行提取IP报文所需要执行的策略,进行后续操作。
[0006]进一步,所述IP报文中提取的IP地址包含源地址与目的地址,所述策略中也包含源地址和目的地址,并且所述源地址与目的地址是分别匹配的。
[0007]进一步,所述策略包含两种形式,分别为:IP起始地址和IP终止地址形式,以及IP地址和掩码形式,所述IP地址和掩码形式能够由硬件转换为第一种形式,即起始地址和终止地址形式。
[0008]进一步,所述策略的IP地址和掩码形式为192.168.1.0/255.255.255.0,由硬件转换为起始地址和终止地址形式为:192.168.1.0-192.168.1.255。
[0009]本发明所述一种IP地址匹配IP范围策略的硬件实现方法与现有技术对比具有的有益效果:所述IP地址匹配IP范围策略的硬件实现方法,通过硬件实现简单的减法运算,在两个时钟周期内完成判断IP地址是否命中一条IP范围策略,与传统软件实现的形式相t匕,显著降低了系统开销,显著提高了 IP地址匹配IP范围策略的效率。
【专利附图】
【附图说明】
[0010]附图1为所述IP地址匹配IP范围策略的硬件实现方法框图。
【具体实施方式】
[0011]为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图本发明的一种IP地址匹配IP范围策略的硬件实现方法进行详细说明。
[0012]本发明所述IP地址匹配IP范围策略的硬件实现方法,首先在一个IP报文中提取出IP地址,将所提取的IP地址与策略IP起始地址做减法运算得出结果I ;策略IP范围(即策略IP起始地址与策略IP终止地址的差值)与结果I再次做减法运算得出结果2,根据结果I和结果2判断所提取的IP地址是否命中策略。
[0013]上述IP报文中提取的IP地址包含源地址与目的地址,上述策略中也包含源地址和目的地址,并且所述源地址与目的地址是分别匹配的。
[0014]本发明所述IP范围策略包含两种形式,分别为:IP起始地址和IP终止地址形式;IP地址和掩码形式。
[0015]实施例:
下面通过一个实施例,对本发明所述IP地址匹配IP范围策略的硬件实现方法的优点和设计内容,进行详细说明。
[0016]本实施例所述IP地址匹配IP范围策略的硬件实现方法,所述(IP范围)策略包含两种形式,分别为=IP起始地址和IP终止地址形式,如192.168.0.1一
192.168.0.100 ;以及 IP 地址和掩码形式,如 192.168.1.0/255.255.255.0。所述IP地址和掩码形式将由硬件转换为第一种形式,即起始地址和终止地址形式,如192.168.1.0-192.168.1.255。
[0017]附图1为所述IP地址匹配IP范围策略的硬件实现方法框图,如附图1所示,提取IP报文的IP地址假设为X,策略起始IP地址假设为Y,策略终止IP地址假设为Z ;首先,做X-Y和Z-Y运算,得到结果I设为N和策略IP范围设为M ;然后,进行M-N运算,得到结果2设为L,检测L的标志位是否置位,若置位,表示没有命中策略,反之,表示策略命中,提取IP报文所需要执行的策略,进行后续操作。
[0018]从所述IP地址匹配IP范围策略的硬件实现方法的流程可知,结果I只需要一个时钟周期就可以完成,结果2需要两个时钟周期,因此整个过程可以保证在2个时钟周期内完成策略匹配是否命中的判断。通过该方法,硬件实现策略匹配,可以降低系统开销,显著提高了 IP地址匹配IP范围策略的效率。
[0019]上述【具体实施方式】仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述【具体实施方式】,任何符合本发明的权利要求书的且任何所属【技术领域】的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
【权利要求】
1.一种IP地址匹配IP范围策略的硬件实现方法,其特征在于,首先在一个IP报文中提取出IP地址,将所提取的IP地址与策略IP起始地址做减法运算得出结果I ;然后,策略IP范围即策略IP起始地址与策略IP终止地址的差值,与结果I再次做减法运算得出结果2,根据结果I和结果2判断所提取的IP地址是否命中策略。
2.根据权利要求1所述的一种IP地址匹配IP范围策略的硬件实现方法,其特征在于,根据结果I和结果2判断所提取的IP地址是否命中策略是指,检测结果2的标志位是否置位,若置位,则没有命中策略;反之,表示策略命中,进行提取IP报文所需要执行的策略,进行后续操作。
3.根据权利要求2所述的一种IP地址匹配IP范围策略的硬件实现方法,其特征在于,所述策略包含两种形式,分别为:IP起始地址和IP终止地址形式,以及IP地址和掩码形式,所述IP地址和掩码形式能够由硬件转换为第一种形式,即起始地址和终止地址形式。
4.根据权利要求3所述的一种IP地址匹配IP范围策略的硬件实现方法,其特征在于,所述策略的IP地址和掩码形式为192.168.1.0/255.255.255.0,由硬件转换为起始地址和终止地址形式为:192.168.1.0-192.168.1.255。
【文档编号】H04L29/06GK104184732SQ201410420268
【公开日】2014年12月3日 申请日期:2014年8月25日 优先权日:2014年8月25日
【发明者】姜凯, 毕研山, 耿介 申请人:浪潮集团有限公司