面对该发送模块62进行说明。
[0047]发送模块62,连接至上述处理模块24,用于将整形后的报文发送给中央处理器CPU处理。
[0048]图7是根据本发明实施例的线卡的结构框图,如图7所示,该线卡70包括上述任一项的报文处理装置72。
[0049]针对相关技术中,在在对报文进行攻击防范的可靠性不高的问题,考虑当前网络上报文类型很多,如果只是基于IP地址而不考虑报文类型的话,那么很多场景的报文攻击会导致正常的业务受到影响。比如,同一个IP地址发来的报文有1588协议报文和操作管理维护(Operat1n Administrat1n Maintenance,简称为OAM)报文等,如果1588协议报是正常的报文,0ΑΜ报文是攻击者模拟该IP地址发来的攻击报文,目前的方法由于只根据IP地址进行分类控制,会导致OAM攻击报文影响正常的1588协议报文。基于此,在本实施例中,提出了一种依据报文类型进行攻击防范的处理方法,根据报文类型进行再分类,使报文得到细化的控制和调度,完善了目前通用的攻击防范方法,有效地提高了攻击防范的可靠性。
[0050]该依据报文类型进行攻击防范的处理方法,主要在分组传送网(PacketTransport Network,简称为PTN)/路由器设备上提供攻击防范的功能,提高设备的可靠性和稳定性,可以有效解决网络设备的安全性问题。
[0051]下面基于附图对该攻击防范方法进行说明。
[0052]图8是根据本发明实施例的依据报文类型进行攻击防范的线卡框架示意图,如图8所示,该架构包括:报文识别模块10,入队缓冲区模块12 (上述两模块功能相当于上述存储模块22)和流量控制模块14 (相当于上述处理模块24),相关的模块都位于设备的线卡处理单元。下边分别介绍各模块的功能:
[0053]报文识别模块10:用于扫描设备接收的报文,识别出需要发送给cpu进行处理的报文,并对该报文进行特殊标识,用以区分不同的业务报文类型。
[0054]入队缓冲区模块12:用于存放接收到的报文。对于不同类型的业务报文可以存放在不同的缓冲区中。
[0055]流量控制模块14:用于根据配置的整形值,对缓冲区的入队报文进行整形和控制。
[0056]需要说明的是,对上述3个模块需要进行相应的配置工作。
[0057]报文识别模块10:设备支持处理的报文有很多种,需要对各种报文分配特殊标识符,并配置相关标识符报文到入队缓冲区的映射关系。
[0058]入队缓冲区模块12:在芯片中根据支持的报文种类分配多个不同的缓冲区,用以存放对应的报文,并配置相应的缓冲区到流量控制模块的映射关系。
[0059]流量控制模块14:根据支持的报文种类,配置整形值,需要根据设备对不同报文的处理能力,分别配置不同类型报文的整形值。
[0060]基于上述线卡的架构示意图,在本实施例中,还提供了一种依据报文类型进行攻击防范的方法,图9是根据本发明实施例的依据报文类型进行攻击防范方法的流程图,如图9所示,该流程包括如下步骤:
[0061]步骤S902,报文识别模块12对接收到的报文进行读取,识别出需要支持的报文类型,并根据配置的标识符信息,对相关的报文进行标识;
[0062]步骤S904,报文识别模块12根据配置的报文到入队缓冲区的映射关系,将报文发送到对应的缓冲区;
[0063]步骤S906,入队缓冲区模块14在接收到报文后,根据配置的到流量控制模块的映射关系,将报文传递给流量控制模块16 ;
[0064]步骤S908,流控控制模块16接收到入队缓冲区报文后,根据配置的整形值完成不同类型报文的整形;
[0065]步骤S910,流量控制模块16将接整形后的报文发送给CPU进行处理。
[0066]通过上述实施例及优选实施方式,由于流量控制模块16中配置的整形值是根据设备支持的处理能力配置的,因此,可以确保设备在异常攻击情况下只接收到与其处理能力匹配的报文数,从而确保了设备的可靠性。
[0067]下面结合PTN设备,对该实现方案进行,本实施例中相关的模块都在PTN设备线卡上,支持处理的报文类型有1588协议报文,数据通信网络(Data Communicat1n Network,简称为DCN)协议报文,OAM报文,其他普通协议报文等。
[0068]图10是根据本发明优选实施例的PTN设备依据报文类型进行攻击防范方法的流程图,如图10所示,该流程包括如下步骤:
[0069]步骤S1002,PTN设备线卡的微码芯片中报文识别模块12对接收到的报文进行读取,识别出需要支持的报文类型,并根据配置的标识符信息,对相关的报文进行标识;
[0070]步骤S1004,报文识别模块12根据配置的标识符报文到入队缓冲区的映射关系,将报文发送到交换网芯片的对应缓冲区队列中;
[0071]步骤S1006,入队缓冲区模块14在接收到报文后,根据配置的到流量控制模块16的映射关系,将报文传递给流量控制模块16 ;
[0072]步骤S1008,流量控制模块16接收到入队缓冲区报文后,根据配置的整形值完成不同报文的整形;
[0073]步骤S1010,流量控制模块16将接收到的报文发送给CPU进行处理。
[0074]显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
[0075]以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种报文处理方法,其特征在于,包括: 将接收到的报文依据报文类型存储到与所述报文类型对应的缓冲区; 对存储在所述缓冲区的报文进行整形处理。2.根据权利要求1所述的方法,其特征在于,在将接收到的所述报文依据所述报文类型存储到与所述报文类型对应的所述缓冲区之前,还包括: 建立所述报文类型与所述缓冲区的映射关系,依据所述映射关系将所述报文存储到与所述报文类型对应的所述缓冲区。3.根据权利要求1所述的方法,其特征在于,将接收到的所述报文依据所述报文类型存储到与所述报文类型对应的所述缓冲区包括: 对接收到的所述报文进行标识,依据标识对接收到的所述报文的类型进行区分。4.根据权利要求1所述的方法,其特征在于,对存储在所述缓冲区的所述报文进行整形处理包括: 依据所述报文类型对应的报文配置用于限定所述报文类型的报文流量的整形值; 依据配置的所述整形值对存储在所述缓冲区的所述报文进行整形处理。5.根据权利要求1至4中任一项所述的方法,其特征在于,在对存储在所述缓冲区的所述报文进行整形处理之后,还包括: 将整形后的报文发送给中央处理器CPU处理。6.一种报文处理装置,其特征在于,包括: 存储模块,用于将接收到的报文依据报文类型存储到与所述报文类型对应的缓冲区; 处理模块,用于对存储在所述缓冲区的报文进行整形处理。7.根据权利要求6所述的装置,其特征在于,还包括: 建立模块,用于建立所述报文类型与所述缓冲区的映射关系,依据所述映射关系将所述报文存储到与所述报文类型对应的所述缓冲区。8.根据权利要求6所述的装置,其特征在于,所述存储模块包括: 标识单元,用于对接收到的所述报文进行标识,依据标识对接收到的所述报文的类型进行区分。9.根据权利要求6所述的装置,其特征在于,所述处理模块包括: 配置单元,用于依据所述报文类型对应的报文配置用于限定所述报文类型的报文流量的整形值; 处理单元,用于依据配置的所述整形值对存储在所述缓冲区的所述报文进行整形处理。10.根据权利要求6至9中任一项所述的装置,其特征在于,还包括: 发送模块,用于将整形后的报文发送给中央处理器CPU处理。11.一种线卡,其特征在于,包括权利要求6至10中任一项所述的装置。
【专利摘要】本发明提供了一种报文处理方法、装置及线卡,其中,该方法包括:将接收到的报文依据报文类型存储到与报文类型对应的缓冲区;对存储在缓冲区的报文进行整形处理,通过本发明,解决了相关技术中,存在对报文进行攻击防范的可靠性不高的问题,进而达到了对攻击报文进行有效控制,提高了设备可靠性的效果。
【IPC分类】H04L12/815, H04L12/861
【公开号】CN105306384
【申请号】CN201410289436
【发明人】干建, 李小伟
【申请人】中兴通讯股份有限公司
【公开日】2016年2月3日
【申请日】2014年6月24日
【公告号】WO2015196799A1