[发明专利]一种基于硬件HASH算法的防火墙会话链接表高速查询方法

说明书

本发明属于网络安全应用场景领域，涉及一种基于硬件HASH算法的防火墙会话链接表高速查询方法。一种基于硬件HASH算法的防火墙会话链接表高速查询方法，其特征在于，包括五元组，所述五元组包括源IP，源端口，目的IP，目的端口以及协议号，通过五元组进行HASH算法。通过本申请的HASH算法，可大幅度降低会话链接表冲突，提升链接表查询效率。基于HASH算法的一种HASH索引分配方法，合理的将大量的会话链接表分布于硬件存储器中，便于会话连接表的查询，保证防火墙设备可以建立高达100万条的会话链接。

技术领域

本发明属于网络安全应用场景领域，涉及一种基于硬件HASH算法的防火墙会话链接表高速查询方法。

背景技术

在基于网络安全应用场景领域，由于网络性能需求的不断提升，采用基于硬件的防火墙的需求日益增大。

相关技术中，目前的防火墙会话链接表查询方法大多仅适用于软件，HASH算法和会话链接表的查询规则复杂，需要将128bit的五元组关键信息压缩为24bit的索引号，压缩后的索引号冲突大，硬件实现难度大，造成会话链接表建立困难，当建立的会话链接数量越大，硬件查询命中的难度越大，从而造成安全设备的性能大幅度降低，难以满足网络安全加速设备的快速发展。

故需要开发一种HASH冲突低且同时适用于软件和硬件的HASH算法和会话链接表的高速查询方法，从而保证防火墙设备的性能。

发明内容

为解决上述问题，本发明提供一种HASH冲突低且同时适用于软件和硬件的HASH算法和会话链接表的高速查询方法。

一种基于硬件HASH算法的防火墙会话链接表高速查询方法，包括五元组，所述五元组包括源IP，源端口，目的IP，目的端口以及协议号，通过五元组进行HASH算法的步骤如下：S1，首先定义2048个无符号随机数，并将其组成一个8行256列的无符号的静态二维数组；S2，将源IP、源端口、目的IP以及目的端口进行第一次运算得到一个32位无符号数number1；S3，将协议号和number1进行第二次运算得到一个32位无符号数number2；S4，将源IP和number2进行第三次运算得到一个32位无符号数number3；S5，将目的端口和number3进行第四次运算得到一个32位无符号数number4；S6，将目的IP和number4进行第五次运算得到一个32位无符号数number5；S7，将源端口和number5进行第六次运算得到一个24位无符号数，该数值为最终的哈希值。

进一步的，所述步骤S2具体为：S201，将32位源IP地址的低16位和16位源端口号组合为一个新的32位数num1；S202，将32位目的IP的低16位和16位目的端口号组合为一个新的32位数num2；S203，将num1和num2做异或操作后得到num3；S204，将num3右移8位后与0xff做位与运算，得到一个0-255的数num4；S205，在S1中静态二维数组的第一行中取出num4对应的32位无符号数num5；S206，将num3与0xff做位与运算得到一个0-255的数num6；S207，在S1中静态二维数组的第二行中取出num6对应的32位无符号数num7；S208，将num3右移16位得到num8；S209，将num5 、 num7 以及 num8做异或运算得到一个32位无符号数number1。

进一步的，所述步骤S3具体为：S301,将协议号与number1做异或运算得到num1;S302,将num1与0xff做位与运算得到num2;S303,在静态二维数组的第一行中取出num2对应的32位无符号数num3；S304，将num1右移8位得到num4；S305，将num3与num4做异或运算得到number2。