[发明专利]一种报文处理的方法及装置

说明书

本申请涉及一种报文处理的方法及装置，涉及信息安全技术领域，用以简化FPGA对IP分片报文进行会话过滤的方法。本申请的方案包括：CPU获取并缓存FPGA传输的多个互联网协议IP分片报文，每个IP分片报文承载的数据为同一原始数据中的部分数据，多个IP分片报文中的首片IP分片报文包括五元组，除首片IP分片报文之外的其他IP分片报文包括三元组。然后根据五元组，为除首片IP分片报文之外的其他IP分片报文填充包含于五元组且未包含于三元组的信息，然后向FPGA传输首片IP分片报文以及填充后的其他IP分片报文，以使得FPGA根据各IP分片报文包括的五元组，分别将各IP分片报文与待过滤的会话信息进行匹配。

技术领域

本申请涉及信息安全技术领域，特别是涉及一种报文处理的方法及装置。

背景技术

目前，在网络中，可通过过滤设备实现对网络流量的过滤。例如，对于公司的内部局域网，过滤设备可以屏蔽终端对聊天应用、娱乐网站等与工作无关的网站的访问。

过滤设备通常部署在客户端与服务器之间，用于对客户端与服务器之间的会话进行过滤。客户端与服务器之间存在会话连接，以实现客户端与服务器之间的通信。同时，过滤设备能够与审计服务器进行数据交互，以从审计服务器处获取过滤会话信息，即需要被过滤的会话的会话信息。

其中，过滤设备采用中央处理器(Central Processing Unit，CPU)与现场可编程门阵列(Field Programmable Gate Array，FPGA)相互结合的架构。

CPU可获取审计服务器发送的过滤会话信息，并将过滤会话信息传输至过滤设备中的FPGA，从而FPGA对接收到的报文进行会话匹配。会话匹配的方法为将接收到的互联网协议(Internet Protocol，IP)报文的五元组与过滤会话信息进行匹配，若接收到的IP报文的五元组与过滤会话信息匹配成功，则删除该IP报文。

若一个IP报文以分片的形式进行传输，通常只有首片IP分片报文中包括完整的五元组，所以在FPGA收到IP分片报文后，需对该IP分片报文进行缓存，直至确定接收到属于同一原始数据的所有IP分片报文后，才可根据上述首片IP分片报文中包括的五元组，对属于同一原始数据的各IP分片报文进行会话匹配。

若通过FPGA实现对IP分片报文的缓存功能，则需要为FPGA设置一套内存管理机制，以对接收到的IP分片报文进行缓存。且需要为FPGA设置一套缓存超时机制，以实现在属于同一原始数据的IP分片报文超过预设时间段仍未被接收的情况下，将属于该原始数据的已被缓存的IP分片报文进行超时处理。

然而，在FPGA上实现内存管理机制及缓存超时机制较为复杂，导致FPGA对IP分片报文进行会话过滤的实现方法较为复杂。

发明内容

有鉴于此，本申请实施例提供一种报文处理的方法及装置，以简化FPGA对IP分片报文进行会话过滤的方法。具体技术方案如下：

第一方面，本申请一种报文处理的方法，该方法应用于过滤设备中的中央处理器CPU，过滤设备中还包括现场可编程门阵列FPGA，该方法包括：

获取并缓存FPGA传输的多个互联网协议IP分片报文，每个IP分片报文承载的数据为同一原始数据中的部分数据，多个IP分片报文中的首片IP分片报文包括五元组，除首片IP分片报文之外的其他IP分片报文包括三元组；

根据五元组，为除首片IP分片报文之外的其他IP分片报文填充包含于五元组且未包含于三元组的信息；

向FPGA传输首片IP分片报文以及填充后的其他IP分片报文，以使得FPGA根据各IP分片报文包括的五元组，分别将各IP分片报文与待过滤的会话信息进行匹配。

在一种可能的实现方式中，缓存FPGA传输的多个IP分片报文，包括：