(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 20221098479 9.7 (22)申请日 2022.08.17 (65)同一申请的已公布的文献号 申请公布号 CN 115086233 A (43)申请公布日 2022.09.20 (73)专利权人 北京左江科技股份有限公司 地址 100095 北京市海淀区高里掌 路3号院 9号楼1层101、 2层201 (72)发明人 李耀飞　陈俊来　孙光来　于洪涛　 (74)专利代理 机构 中国兵器 工业集团公司专利 中心 11011 专利代理师 辛海明 (51)Int.Cl. H04L 45/745(2022.01) H04L 9/40(2022.01)H04L 69/10(2022.01) H04L 47/431(2022.01) (56)对比文件 CN 114138707 A,202 2.03.04 CN 16125 62 A,2005.05.04 CN 1097142 92 A,2019.0 5.03 US 20151 16001 A1,2015.04.3 0 殷哲波.基 于FPGA的数控系统现场总线技 术 的研究. 《中国优秀硕士学位 论文全文数据库-信 息科技辑》 .2010, 审查员 方苏叶 (54)发明名称 一种基于FPGA的网络报文关键信息提取转 发的方法 (57)摘要 本发明涉及一种基于FPGA的网络报文关键 信息提取转发的方法， 属于网络报文处理领域。 本发明对报文进行处理的过程包括8个模块： 接 收模块、 查表模块、 分片模块、 分离模块、 封装模 块、 算法模块、 组合模块和发送模块。 本发明实现 对数据和控制信息快速提取和转发， 快速对报文 进行解析和处理， 实现了报文查表， 加密或解密 的高效实现； 采用流水方式， 完成报文高效处理； 采用流水方式， 利于时序优化； 采用fifo进行缓 存并转发到下一级， 节约资源。 本发明使用该技 术处理性能可以达到线速， 并发处理和加入流水 大大提升了处理性能， 提升了速率的同时也节省 资源， 减小开发和调试难度， 可复用性增强。 权利要求书2页 说明书6页 附图2页 CN 115086233 B 2022.11.11 CN 115086233 B 1.一种基于FPGA的网络报文关键信息提取转发的方法， 其特征在于， 该方法包括8个步 骤， 分别由接收模块、 查表模块、 分片模块、 分离模块、 封装模块、 算法模块、 组合模块和发送 模块执行； 第一步： 接收模块完成报文接收和校验， 对校验通过的报文完成控制信息的获取， 控制 信息包括： 整个报文长度信息、 二层头长度信息、 三层头长度信息、 四层头长度信息以及五 元组信息， 控制 信息传入控制总线CB US， 原始报文传 入数据总线DBUS， 对校验不通过的报文 直接丢弃； 第二步： 查表模块使用接收模块获取的五元组信息完成查表， 完成策略匹配， 策略匹配 的报文进行匹配策略结果的获取， 策略不匹配的根据需求上送审计或者丢弃； 第三步： 分片模块对超过最大包长值的报文进行分片， 使用接收模块获取的长度信 息， 对报文进行分片， 并完成报文长度的更新； 第四步： 分离模块在报文加密前将头部信息和数据信息分离开， 使用分片模块更新的 头部长度信息将报文头部和数据部分分离； 数据总线DBUS分成两个总线， 一部分总线DBUS 承载payl oad,一部分总线HBUS承载报文头 部; 第五步： 密文头封装模块完成密文头部信息封装并缓存， 封装密文头部引起报文长度 变化， 完成长度信息更新， 完成三层校验和c heck_sum计算并缓存更新至控制总线CBUS； 第六步： 算法模块将整个报文以16B为单位做累加和， 封装在报文尾部， 累加和称为报 文认证码； 算法模块对报文 进行加密和解密， 完成四层校验和C HECK_SUM计算并缓存； 第七步： 组合模块解析控制总 线， 使用报文长度信息将报文头部和密文进行组合， 解析 四层校验和C HECK_SUM信息， 完成报文头 部四层校验和更新， 完成报文填充； 第八步： 发送模块将 报文通过网口发送出去。 2.如权利要求1所述的基于FPGA的网络报文关键信 息提取转发的方法， 其特征在于， 每 个模块完成相应的处理后， 通过数据总线和控制总线将报文和控制信息转发给下一级模 块。 3.如权利要求1所述的基于FPGA的网络报文关键信 息提取转发的方法， 其特征在于， 所 述第二步中， 数据总线DBUS： 根据查表结果， 如果查表匹配策略， 数据总线不变； 如果查表 不 匹配， 该报文准备上送审计或丢弃； 控制总线CBUS： 如果查表匹配策 略， 更新控制信息帧格 式中的查表匹配策略； 如果查表不匹配， 若需要审计 即更新审计原因字段和报文长度字段， 若需要丢弃， 则将控制总线上 该报文信息 丢弃。 4.如权利要求3所述的基于FPGA的网络报文关键信 息提取转发的方法， 其特征在于， 所 述第三步中， 数据总线DBUS： 根据长度信息完成分片， 根据头部长度信息， 截取数据报文头 部复制到 两个报文分片头 部完成封装； 控制总线CBUS： 完成分片报文长度和分片标识更新。 5.如权利要求4所述的基于FPGA的网络报文关键信 息提取转发的方法， 其特征在于， 所 述第四步中， 数据总线DBUS： 数据总线分成两个总线， 一部分总线DBUS承 载payload,一部分 总线HBUS承载报文头部； DBUS直接用于后级模块进行数据加解密处理， HBUS用于后续封装 使用； 控制总线CBUS： 此模块控制总线CBUS不做更新。 6.如权利要求5所述的基于FPGA的网络报文关键信 息提取转发的方法， 其特征在于， 所 述第五步中， 数据总线DBUS： 此模块DBUS不做更新； HBUS:按照封装需求封装四层头尾部， 完 成密文头的封装； 控制总线CBUS：  更新三层校验和c heck_sum部分， 完成报文长度更新。权　利　要　求　书 1/2 页 2 CN 115086233 B 27.如权利要求6所述的基于FPGA的网络报文关键信 息提取转发的方法， 其特征在于， 所 述第六步中， 数据总线DBUS： 完成认证码的计算和封装， 经过算法模块由明文变成密文； HBUS:添加认证码后报文长度改变， 完成报文长度更新； 控制总线CBUS： 完成四层校验和 CHECK_SUM更新， 完成认证码更新以及完成报文长度更新。 8.如权利要求7所述的基于FPGA的网络报文关键信 息提取转发的方法， 其特征在于， 所 述第七步中， 解析控制总线， 使用报文长度信息将HBUS承载的头部报文和DBUS承载的密文 进行组合， 解析控制总线上四层校验和CHECK_SUM信息， 完成报文头部四层校验和更新， 完 成报文填充； 数据总线DBUS： 将 HBUS封装到DBUS密文 前， 封装成一个完成报文， 准备发送， 根 据报文长度， 完成填充； 控制总线CBUS： 控制总线不做更新。 9.如权利要求8所述的基于FPGA的网络报文关键信 息提取转发的方法， 其特征在于， 所 述第八步中， 数据总线DBUS： 报文直接发送出去， 控制总线CBUS： 控制总线对应该报文的控 制信息即可清空。 10.如权利要求1 ‑9任一项所述的基于FPGA的网络报文关键信息提取转发的方法， 其特 征在于， 该方法的控制信息帧格式包括整个报文长度信息、 报文头部长度信息、 五元组信 息、 匹配策略、 校验和 和指示信息， 其中， 整个报文长度信息:用于指示数据总线数据处理长度， 用于区分包边界， 计算填充长 度； 报文头部长度信息:获取二层头长， 三层头长， 四层头长信息， 在后续封装过程中直接 取出进行使用； 五元组信息:获取报文源IP、 目的IP、 源端口、 目的端口号、 协议号五元组信息用以进行 查表， 匹配策略； 匹配策略:由五元组信息获取查表策略结果； 校验和:将三层校验和check_sum、 四层校验和CHECK_SUM在流水操作中重新计算并缓 存， 在后续报文处 理中进行 更新； 指示信息:报文处 理过程中的标志信息， 包括报文类型和审计原因。权　利　要　求　书 2/2 页 3 CN 115086233 B 3