(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111401807.2 (22)申请日 2021.11.19 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 刘佃村　李玮　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 蒋姗 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/02(2006.01) H04L 67/146(2022.01) (54)发明名称 一种报文安全转 发方法、 装置及网络安全设 备 (57)摘要 本申请提供一种报文安全转发方法、 装置及 网络安全设备。 该方法包括： 当FPGA加速网卡接 收到第一流量报文后， 将第一流量报文发送至处 理器； 处理器调用DPDK 驱动程序， 根据预设的OVS 网桥配置， 将第一流量报文传输至安全服务链中 进行测试； 当第一流量报文在安全服务链的所有 网元中均测试通过后， 将第一流量报文发送至 FPGA加速网卡， 以使FPGA加速网卡将第一流量报 文发送至与第一流量报文所对应的终端设备。 与 现有技术中通过内核态实现的方式相比， 能够节 约处理流程， 提高转发效率， 同时该方式也能够 提高处理器与FPGA加速网卡的之间的报文转发 速率， 进而提高网络设备整体性能。 权利要求书3页 说明书12页 附图3页 CN 114070639 A 2022.02.18 CN 114070639 A 1.一种报文安全转发方法， 其特 征在于， 应用于网络安全设备， 所述方法包括： 当FPGA加速网卡接收到第一 流量报文后， 将所述第一 流量报文发送至处 理器； 所述处理器调用DPDK驱动程序， 根据预设的OVS网桥配置， 将所述第一流量报文传输至 安全服务链中进 行测试； 当所述第一流量报文在所述安全服务链的所有网元中均测试通过 后， 将所述第一流量报文发送至所述FPGA加 速网卡， 以使所述FPGA加速网卡将所述第一流 量报文发送至与所述第一 流量报文所对应的终端设备。 2.根据权利要求1所述的方法， 其特征在于， 所述OVS网桥配置中包括网元流表； 所述网 元流表包括所述 安全服务链中的各网元的测试顺序； 所述根据 预设的OVS网桥配置， 将所述第一流量报文传输至安全服务链中进行测试， 包 括： 基于所述网元流表， 将所述第 一流量报文依次发送至所述安全服务链的网元中进行测 试； 其中， 当所述第一流量报文通过当前网元的测试后， 则进行下一网元的测试， 当所述第 一流量报文未通过当前网元的测试， 则将所述第一 流量报文进行丢弃。 3.根据权利要求2所述的方法， 其特征在于， 所述OVS网桥配置中还包括： 会话控制表； 所述会话控制表包括会话控制标识项和安全服 务链标识项； 所述根据 预设的OVS网桥配置， 将所述第一流量报文传输至安全服务链中进行测试， 包 括： 基于所述第一 流量报文的五元组信息生成目标会话控制标识； 判断所述会话控制标识项中是否包 含所述目标会话控制标识； 若否， 则将所述目标会话控制标识添加至所述会话控制标识项中， 以及在与所述目标 会话控制标识对应的安全服务链标识项中设置初始服务链标识； 再基于所述网元流表， 将 所述第一流量报文依次发送至所述安全服务链的网元中进 行测试； 当所述第一流量报文通 过当前网元 的测试后， 则进行下一网元 的测试， 且将所述初始服务链标识中与当前网元对 应的标识数据进行更新， 当所述第一流量报文未通过当前网元的测试， 则将所述第一流量 报文进行丢弃。 4.根据权利要求3所述的方法， 其特征在于， 在判断所述会话控制标识项中是否包含所 述目标会话控制标识之后， 所述方法还 包括： 若是， 则根据与所述目标会话控制标识对应的安全服务链标识确定所述第 一流量报文 的处理操作； 其中， 当与 所述目标会话控制标识对应的安全服务链标识中的标识数据表征通过所有 网元测试后， 则所述第一流量报文的处理操作为将所述第一流量报文直接发送至所述FPGA 加速网卡， 以使 所述FPGA加速网卡将所述第一流量报文发送至与所述第一流量报文 所对应 的终端设备； 当与所述目标会话控制标识对应的安全服务链 标识标志中的标识数据存在表 征未通过网元检测的数据， 则所述第一 流量报文的处 理操作为将所述第一 流量报文丢弃。 5.根据权利要求3所述的方法， 其特征在于， 在所述第 一流量报文经所述安全服务链中 的所有网元测试通过后， 所述方法还 包括： 将所述目标会话控制标识发送至所述FPGA加速网卡； 相应的， 在所述FPGA加速网卡接收到第二 流量报文时， 所述方法还 包括： 所述FPGA加速网卡基于所述第二流量报文的五元组信 息生成对应的会话控制标识； 当权　利　要　求　书 1/3 页 2 CN 114070639 A 2所述第二流量报文的五元组信息对应的会话控制标识与所述目标会话控制标识相同时， 直 接将所述第二 流量报文发送至与所述第二 流量报文对应的终端设备。 6.根据权利要求5所述的方法， 其特征在于， 所述将所述目标会话控制标识发送至所述 FPGA加速网卡， 包括： 将所述目标会话控制标识通过链 表或哈希 表进行缓存； 将缓存后的目标会话控制标识发送至所述FPGA加速网卡。 7.一种报文安全转发方法， 其特征在于， 应用于网络安全设备中的FPGA加速网卡， 所述 方法包括： 当接收到第一流量报文后， 将所述第一流量报文发送至所述网络安全设备中的处理 器； 以使所述处理器调用DPDK驱动程序， 根据预设 的OVS网桥配置， 将所述第一流量报文传 输至安全服 务链中进行测试； 接收所述处理器发送的所述第 一流量报文， 并将所述第 一流量报文发送至与 所述第一 流量报文所对应的终端设备； 其中， 当所述FPGA加速网卡接收到所述处理器发送的所述第 一流量报文， 则表征 所述第一 流量报文在所述 安全服务链的所有网元中均测试通过。 8.根据权利要求7 所述的方法， 其特 征在于， 所述方法还 包括： 接收所述处理器发送的目标会话控制标识； 其中， 所述目标会话控制标识基于所述第 一流量报文的五元组信息生 成； 当所述FPGA加速网卡接收到所述处理器发送的所述目标会 话控制标识， 则表征所述目标会话控制标识对应的报文在所述安全服务链的所有网元中均 测试通过； 当接收到第 二流量报文时， 基于所述第 二流量报文的五元组信 息生成对应的会话控制 标识； 当所述第二流量报文的五元组信息对应的会话控制标识与所述目标会话控制标识相 同时， 直接将所述第二 流量报文发送至与所述第二 流量报文对应的终端设备。 9.一种报文安全转发装置， 其特征在于， 应用于网络安全设备中的FPGA加速网卡， 所述 装置包括： 第一发送模块， 用于当接收到第一流量报文后， 将所述第一流量报文发送至所述网络 安全设备中的处理器； 以使所述处理器调用DPDK驱动程序， 根据预设 的OVS网桥配置， 将所 述第一流量报文传输 至安全服 务链中进行测试； 第二发送模块， 用于接收所述处理器发送的所述第一流量报文， 并将所述第一流量报 文发送至与所述第一流量报文所对应的终端设备； 其中， 当所述FPGA加速网卡接收到所述 处理器发送的所述第一流量报文， 则表征所述第一流量报文在所述安全服务链的所有网元 中均测试通过。 10.一种网络安全设备， 其特 征在于， 包括： FPGA加速网卡及处 理器； 所述FPGA加速网卡， 用于接收到第一流量报文后， 将所述第一流量报文发送至所述处 理器； 所述处理器用于调用DPDK驱动程序， 根据预设的OVS网桥配置， 将所述第一流量报文传 输至安全服务链中进 行测试； 当所述第一流量报文在所述安全服务链的所有网元中均测试 通过后， 将所述第一流量报文发送至所述FPGA加 速网卡， 以使所述FPGA加 速网卡将所述第 一流量报文发送至与所述第一 流量报文所对应的终端设备。权　利　要　求　书 2/3 页 3 CN 114070639 A 3