分布式会话报文的处理方法及处理装置与流程

1.本发明涉及信息处理技术领域，具体而言，涉及一种分布式会话报文的处理方法及处理装置。


背景技术：

2.相关技术中，当今快速增长的网络和数据通信发展，对安全产品提出了更高的要求。尤其在数据中心网络安全领域，快速的网络发展和数据中心的业务集中，为数据中心安全设备的性能与容量要求提出了全新挑战。一方面，随着高清视频、流媒体和p2p等高带宽应用的增多，网络流量激增；宽带的普及和移动互联网的发展带来海量用户同时在线，这就要求安全设备具备处理大流量和海量网络访问的能力。同时，网络实时业务的推广和网络焦点事件的增多也使海量用户突发大规模同时访问的频率越来越高。面对这些种种挑战，对于安全设备提出了超高的吞吐量、并发连接数和每秒新建连接数的全面性能与容量要求，并且可以按需进行安全性能与容量线性扩展，应用安全处理能力也需具备高性能与高容量扩展性。业界典型的传统高端安全产品架构中，都会采用多cpu的分布式架构。
3.针对目前高端安全产品架构，目前业界存在的一些方案，都无法很好地解决安全设备资源充分利用问题以及性能与容量线性扩展问题。例如，第一种，堆叠式架构，堆叠式架构是将多个安全设备在一个大的系统中互连起来，这些互连起来的成员安全设备对外表现为一个整体安全设备，以此来提升堆叠安全设备整机的数据处理能力。这些互连叠加起来的安全设备，由于每个成员安全设备一般都具有相同的软硬件资源配置，然后通过一定的选举机制选出整机主控角色成员设备以及整机备份主控角色成员设备，这些当选的主控角色成员设备往往由于cpu或者内存等资源限制，在成员设备较多时，往往很难胜任主控角色。同时成员设备之间的互连存在链路带宽资源瓶颈，导致成员设备之间的流量转发也存在较大的性能与容量限制。第二种，常规分布式架构，图1是现有技术中一种可选的分布式架构安全设备的示意图，分布式架构安全设备包括交换背板、主控板卡、业务板卡以及接口板卡，板卡之间通过高速的交换背板进行相互连接。数据报文转发是在业务板卡和接口板卡上全分布进行的，当数据报文由接口板卡的网络接口进入安全设备后，数据报文可以通过接口板卡直接进行快速转发，或者根据业务流量的处理要上送到业务板卡，接着在业务板卡上进行分布式处理后，再转发到网络接口。
4.图1所示的常规分布式架构安全设备，存在较大弊端：业务板卡与接口板卡的数量必要按照一定的比例进行部署配置，否则很难充分利用已有的板卡cpu与内存资源，在实际部署中，很难发挥出全部板卡资源的潜力。这也为板卡升级扩容带来更大的麻烦与代价，导致无法通过简单的增加板卡实现线性扩容。
5.同时，由于分布式架构安全设备的插卡数量是有限的，因此在实际部署中，一般很难达到整机安全设备的最高性能与容量。另外现有的分布式架构安全设备，由于需要同时维护传统业务板卡与传统接口板卡，为研发与生成维护也带来一定的额外成本。
6.现有的分布式架构安全设备设计方案中，整机系统的性能与容量、线性扩展性以
及可靠性都有很大的限制，越来越不能满足日益增长的大容量网络的安全业务流量需求。
7.针对上述的问题，目前尚未提出有效的解决方案。


技术实现要素：

8.本发明实施例提供了一种分布式会话报文的处理方法及处理装置，以至少解决相关技术中分布式架构安全设备的业务板卡与接口板卡的数量必要按照一定的比例进行部署配置，无法充分利用板卡资源的技术问题。
9.根据本发明实施例的一个方面，提供了一种分布式会话报文的处理方法，应用于分布式架构安全设备的联合板卡，所述联合板卡外接网络接口，包括：采用第一会话处理实体接收所述网络接口传输的会话报文；采用所述第一会话处理实体根据所述会话报文的特征字段，在第一会话流表中进行查询，得到第一会话流，其中，所述第一会话流表中包括会话报文的特征字段、第一会话流、以及会话报文的特征字段与第一会话流的对应关系；若所述第一会话流的类型为第一类型，则将所述会话报文转发至对应的第一网络业务接口；若所述第一会话流的类型为第二类型，则将所述会话报文转发至第二会话处理实体，其中，所述第二会话处理实体根据所述会话报文的特征字段，将所述会话报文转发至对应的第二网络业务接口。
10.可选地，在采用所述第一会话处理实体根据所述会话报文的特征字段，在第一会话流表中进行查询，包括：若在所述第一会话流表中匹配不到第一会话流，所述第一会话处理实体根据报文分发算法选择第二会话处理实体；采用所述第一会话处理实体将所述会话报文转发至所述第二会话处理实体。
11.可选地，在采用所述第一会话处理实体将所述会话报文转发至所述第二会话处理实体之后，所述处理方法还包括：采用所述第二会话处理实体根据所述会话报文的特征字段创建第二会话流；根据第二会话流的会话信息向所述第一会话实体下发相应的第一会话流。
12.可选地，所述第二会话处理实体根据所述会话报文的特征字段，将所述会话报文转发至对应的第二网络业务接口的步骤，包括：所述第二会话处理实体根据所述会话报文的特征字段，查找第二会话流；所述第二会话处理实体根据查找到的第二会话流的会话信息对所述会话报文进行应用业务处理；所述第二会话处理实体对所述会话报文进行应用业务处理之后，根据所述会话报文匹配第二会话流的转发信息；基于所述第二会话流的转发信息，将所述会话报文转发至对应的联合板卡的第二网络业务接口。
13.可选地，所述第二会话处理实体根据查找到的第二会话流的会话信息对所述会话报文进行应用业务处理的步骤，包括：所述第二会话处理实体根据查找到的第二会话流的会话信息对所述会话报文的报文流量进行监测，并对所述会话报文的报文传输流量进行控制。
14.可选地，对所述分布式架构安全设备的联合板卡的板卡内存进行扩充，以同时容纳第一会话流和第二会话流。
15.可选地，所述分布式架构安全设备的联合板卡连接至交换背板，所述交换背板上还连接有主控板卡。
16.根据本发明实施例的另一方面，还提供了一种分布式会话报文的处理装置，应用
于分布式架构安全设备的联合板卡，所述联合板卡外接网络接口，包括：接收单元，用于采用第一会话处理实体接收所述网络接口传输的会话报文；查询单元，用于采用所述第一会话处理实体根据所述会话报文的特征字段，在第一会话流表中进行查询，得到第一会话流，其中，所述第一会话流表中包括会话报文的特征字段、第一会话流、以及会话报文的特征字段与第一会话流的对应关系；第一转发单元，用于在所述第一会话流的类型为第一类型时，将所述会话报文转发至对应的第一网络业务接口；第二转发单元，用于在所述第一会话流的类型为第二类型时，将所述会话报文转发至第二会话处理实体，其中，所述第二会话处理实体根据所述会话报文的特征字段，将所述会话报文转发至对应的第二网络业务接口。
17.可选地，所述分布式会话报文的处理装置还包括：第一选择单元，用于在采用所述第一会话处理实体根据所述会话报文的特征字段，在第一会话流表中进行查询，若在所述第一会话流表中匹配不到第一会话流，所述第一会话处理实体根据报文分发算法选择第二会话处理实体；第三转发单元，用于采用所述第一会话处理实体将所述会话报文转发至所述第二会话处理实体。
18.可选地，所述分布式会话报文的处理装置还包括：创建单元，用于在采用所述第一会话处理实体将所述会话报文转发至所述第二会话处理实体之后，采用所述第二会话处理实体根据所述会话报文的特征字段创建第二会话流；下发单元，用于根据第二会话流的会话信息向所述第一会话实体下发相应的第一会话流。
19.可选地，所述第二转发单元包括：第一查找模块，用于所述第二会话处理实体根据所述会话报文的特征字段，查找第二会话流；应用业务处理模块，用于所述第二会话处理实体根据查找到的第二会话流的会话信息对所述会话报文进行应用业务处理；匹配模块，用于所述第二会话处理实体对所述会话报文进行应用业务处理之后，根据所述会话报文匹配第二会话流的转发信息；转发模块，用于基于所述第二会话流的转发信息，将所述会话报文转发至对应的联合板卡的第二网络业务接口。
20.可选地，所述应用业务处理模块，包括：检测模块，用于所述第二会话处理实体根据查找到的第二会话流的会话信息对所述会话报文的报文流量进行监测，并对所述会话报文的报文传输流量进行控制。
21.可选地，对所述分布式架构安全设备的联合板卡的板卡内存进行扩充，以同时容纳第一会话流和第二会话流。
22.可选地，所述分布式架构安全设备的联合板卡连接至交换背板，所述交换背板上还连接有主控板卡。
23.根据本发明实施例的另一方面，还提供了一种分布式架构安全设备，包括：交换背板以及与交换背板连接的多个联合板卡，其中，每个所述联合板卡外接网络接口，所述联合板卡配置为执行上述任意一项所述的分布式会话报文的处理方法；主控板卡，与所述交换背板连接。
24.根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述任意一项所述的分布式会话报文的处理方法。
25.本发明实施例中，采用第一会话处理实体接收所述网络接口传输的会话报文，采用所述第一会话处理实体根据所述会话报文的特征字段，在第一会话流表中进行查询，得
到第一会话流，其中，所述第一会话流表中包括会话报文的特征字段、第一会话流、以及会话报文的特征字段与第一会话流的对应关系，若所述第一会话流的类型为第一类型，则将所述会话报文转发至对应的第一网络业务接口，若所述第一会话流的类型为第二类型，则将所述会话报文转发至第二会话处理实体，其中，所述第二会话处理实体根据所述会话报文的特征字段，将所述会话报文转发至对应的第二网络业务接口。在该实施例中，通过新型的联合板卡代替传统的业务板卡和接口板卡，结合了传统业务板卡的功能丰富特性以及传统接口板卡的高速转发特性，充分发挥每个板卡cpu资源的计算潜力，从而极大地提高了分布式架构安全设备整机报文处理性能与容量，同时为板卡的升级扩容带来更大的便利性，从而解决相关技术中分布式架构安全设备的业务板卡与接口板卡的数量必要按照一定的比例进行部署配置，无法充分利用板卡资源的技术问题。
附图说明
26.此处所说明的附图用来提供对本发明的进一步理解，构成本技术的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
27.图1是现有技术中一种可选的分布式架构安全设备的示意图；
28.图2是根据本发明实施例的一种可选的分布式架构安全设备的示意图；
29.图3是根据本发明实施例的一种可选的分布式会话报文的处理方法的流程图；
30.图4是根据本发明实施例的一种可选的分布式架构安全设备的第一会话流与第二会话流的交互示意图；
31.图5是根据本发明实施例的一种可选的分布式架构安全设备根据第一类型的会话流进行数据转发的示意图；
32.图6根据本发明实施例的一种可选的分布式架构安全设备根据第二类型的会话流进行数据转发的示意图；
33.图7是根据本发明实施例的一种可选的分布式架构安全设备常规会话与精简会话流创建流图；
34.图8是根据本发明实施例的一种分布式架构安全设备根据捷径型精简会话流进行报文转发的示意图；
35.图9是根据本发明实施例的一种分布式架构安全设备根据正常型精简会话流进行报文转发的示意图；
36.图10根据本发明实施例的一种可选的分布式会话报文的处理装置的示意图。
具体实施方式
37.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
38.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用
的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
39.为便于本领域技术人员理解本发明，下面对本发明各实施例中涉及的部分术语或者名词做出解释：
40.精简会话流，第一会话流，协议连接会话单向流，并且仅包括必要的链路层、网络层与传输层转发字段信息，即精简正向发起连接数据流或精简反向响应连接数据流；
41.常规会话流，第二会话流，协议连接会话双向流，即正向发起连接数据流与反向响应连接数据流；
42.捷径型精简会话流，第一种类型的精简会话流，匹配此精简会话流的报文转发目的地为联合板卡网络接口；
43.正常型精简会话流，第二种类型的精简会话流，匹配此精简会话流的报文转发目的地为联合板卡常规会话处理实体。
44.本发明可以适用于各种网络安全设备(包括物理环境，虚拟化环境以及容器环境等各种场合的目标主体，包括但不限于网络访问控制设备、网络应用安全设备、网络数据安全设备、网络流量管理设备，如fw/ngfw、ids/ips、waf等等)，同时适用于虚拟化网络安全功能或者虚拟化网络安全设备(包括但不限于虚拟化网络访问控制功能或者设备、虚拟化网络应用安全功能或者设备，虚拟化网络数据安全功能或者设备，虚拟化网络流量管理功能或者设备，如vfw/vngfw、vids/vips、vwaf等等。
45.本发明可以应用于分布式架构安全设备上，实现一种传统业务板卡与传统接口板卡融合的全分布可线性扩展的报文处理架构，提出了一种联合板卡代替传统业务板卡与传统接口板卡，结合了传统业务板卡的功能丰富特性以及传统接口板卡的高速转发特性，充分发挥每个板卡cpu资源的计算潜力，从而极大地提高了分布式架构安全设备整机报文处理性能与容量，同时为板卡的升级扩容带来更大的便利性。下面结合各个实施例来详细说明本发明。
46.实施例一
47.图2是根据本发明实施例的一种可选的分布式架构安全设备的示意图，如图2所示，该分布式架构安全设备包括：
48.交换背板21以及与交换背板连接的多个联合板卡22，其中，每个联合板卡外接网络接口；
49.主控板卡23，与交换背板连接。
50.图2所示的新分布式架构安全设备中，传统分布式架构中的业务板卡与接口板卡，全部被新式的联合板卡取代。
51.新分布式架构安全设备的联合板卡，内存需要做适当增加，以便于同时容纳下常规会话和精简会话流。
52.另外，本实施例中提供的新分布式架构安全设备，可以基于全分布报文分流算法，以及全分布动态对象存储、备份以及同步机制。
53.根据本发明实施例，提供了一种分布式会话报文的处理方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
54.本发明实施例提供了一种分布式会话报文的处理方法，应用于上述图2所示的分布式架构安全设备的联合板卡，联合板卡外接网络接口。本发明实施例提供对分布式架构安全设备的联合板卡的板卡内存进行扩充(联合板卡的内存做适当增加，以便于同时容纳下常规会话流和精简会话流)，以同时容纳第一会话流(指示精简会话流)和第二会话流(指示常规会话流)；同时，分布式架构安全设备的联合板卡连接至交换背板，交换背板上还连接有主控板卡。
55.图3是根据本发明实施例的一种可选的分布式会话报文的处理方法的流程图，如图3所示，该方法包括如下步骤：
56.步骤s302，采用第一会话处理实体接收所述网络接口传输的会话报文；
57.步骤s304，采用所述第一会话处理实体根据所述会话报文的特征字段，在第一会话流表中进行查询，得到第一会话流，其中，所述第一会话流表中包括会话报文的特征字段、第一会话流、以及会话报文的特征字段与第一会话流的对应关系；
58.步骤s306，若所述第一会话流的类型为第一类型，则将所述会话报文转发至对应的第一网络业务接口；
59.步骤s308，若所述第一会话流的类型为第二类型，则将所述会话报文转发至第二会话处理实体，其中，所述第二会话处理实体根据所述会话报文的特征字段，将所述会话报文转发至对应的第二网络业务接口。
60.通过上述步骤，可以采用第一会话处理实体接收所述网络接口传输的会话报文，采用所述第一会话处理实体根据所述会话报文的特征字段，在第一会话流表中进行查询，得到第一会话流，其中，所述第一会话流表中包括会话报文的特征字段、第一会话流、以及会话报文的特征字段与第一会话流的对应关系，若所述第一会话流的类型为第一类型，则将所述会话报文转发至对应的第一网络业务接口，若所述第一会话流的类型为第二类型，则将所述会话报文转发至第二会话处理实体，其中，所述第二会话处理实体根据所述会话报文的特征字段，将所述会话报文转发至对应的第二网络业务接口。在该实施例中，通过新型的联合板卡代替传统的业务板卡和接口板卡，结合了传统业务板卡的功能丰富特性以及传统接口板卡的高速转发特性，充分发挥每个板卡cpu资源的计算潜力，从而极大地提高了分布式架构安全设备整机报文处理性能与容量，同时为板卡的升级扩容带来更大的便利性，从而解决相关技术中分布式架构安全设备的业务板卡与接口板卡的数量必要按照一定的比例进行部署配置，无法充分利用板卡资源的技术问题。
61.下面结合上述各实施步骤来详细说明本发明实施例。
62.本实施例中，第一网络业务接口与第二网络业务接口可以为相同类型的接口，不做具体接口区分。
63.步骤s302，采用第一会话处理实体接收所述网络接口传输的会话报文。
64.本实施例中，第一会话处理实体可以是指联合板卡的精简会话处理实体。下述的第二会话处理实体可以是指常规会话处理实体，联合板卡的第一会话处理实体从网络接口
接收会话报文，并根据报文的特征字段，查找第一会话流表进行报文分发。
65.本实施例中，可通过联合板卡的第一会话处理实体(指精简会话处理实体)才会直接从(用户外部可见的)网络接口接收报文。第二会话处理实体(指示常规会话处理实体)不能从(用户外部可见的)网络接口接收报文，只能从联合网卡板间(用户外部不可见的)级联接口或成为跨版接口(包括同板卡级联接口)接收报文。在本实施例中，通过第一会话处理实体(指精简会话处理实体)从网络接口接收报文，并根据报文的特征字段，查找第一会话流表进行报文分发。如果找不到匹配的第一会话流，根据报文分发算法选择第二会话处理实体，并把报文转发给相应的第二会话处理实体。第二会话处理实体可根据收到的报文特征字段创建第二会话，得到第二会话流，并根据第二会话信息向第一会话实体下发相应的第一会话流(例如，捷径型精简会话流或正常型精简会话流)。
66.图4是根据本发明实施例的一种可选的分布式架构安全设备的第一会话流与第二会话流的交互示意图，如图4所示，包括两个联合板卡(联合板卡a和联合板卡b)，每个联合板卡可以包括cpu资源(例如，图4中的cpu a0、cpu a1
…
以及cpu b0、cpu b1
…
)和交换芯片，每个cpu资源内可以包括第一会话处理实体(处理第一会话流)和第二会话处理实体(处理第二会话、第二会话流)，图4中的交换芯片(包括交换芯片a和交换芯片b外接有多个网络接口，从网络接口接收会话报文/数据报文)。其中，虚线箭头指示第一会话配置安装消息走向图，实线箭头指示第二会话创建触发报文走向图。
67.步骤s304，采用所述第一会话处理实体根据所述会话报文的特征字段，在第一会话流表中进行查询，得到第一会话流，其中，所述第一会话流表中包括会话报文的特征字段、第一会话流、以及会话报文的特征字段与第一会话流的对应关系。
68.可选的，本实施例中的报文特征字段包括但不限于：会话报文的源ip、目的ip、源端口、目的端口以及ip协议号等。根据报文特征字段的创新流量分配算法，分布式架构安全设备的每个联合板卡可以均匀地处理流量负载，极大提高了分布式架构安全设备整机性能与容量。
69.可选的，在采用第一会话处理实体根据会话报文的特征字段，在第一会话流表中进行查询，包括：若在第一会话流表中匹配不到第一会话流，第一会话处理实体根据报文分发算法选择第二会话处理实体；采用第一会话处理实体将会话报文转发至第二会话处理实体。
70.另一种可选的，在采用第一会话处理实体将会话报文转发至第二会话处理实体之后，处理方法还包括：采用第二会话处理实体根据会话报文的特征字段创建第二会话流；根据第二会话流的会话信息向第一会话实体下发相应的第一会话流。
71.第二会话处理实体可以创建第二会话流，同时对于满足第一会话处理实体转发条件的第二会话流，第二会话处理实体会根据第二会话流去抽取其中的关键转发信息，组织形成第一会话流表项并通知第一会话处理实体更新第一会话流表。
72.步骤s306，若所述第一会话流的类型为第一类型，则将所述会话报文转发至对应的第一网络业务接口。
73.第一会话处理实体从网络接口接收报文，并根据报文的特征字段，查找第一会话流表进行报文分发，如果找到匹配的第一会话流，则根据第一会话流的类型进行报文转发。
74.可选的，本实施例中的第一会话流的类型包括：第一类型
‑
捷径型精简会话流，第
二类型
‑
正常型精简会话流。
75.如果匹配到第一类型的会话流，则根据第一会话流中保存的转发信息，把报文转发到对应的联合板卡的网络业务接口。
76.图5是根据本发明实施例的一种可选的分布式架构安全设备根据第一类型的会话流进行数据转发的示意图，如图5所示，虚线箭头指示同板卡数据报文走向图，实线箭头指示跨板卡数据走向图。根据第一会话流中保存的转发信息，把会话报文转发到对应的联合板卡的网络业务接口。
77.步骤s308，若所述第一会话流的类型为第二类型，则将所述会话报文转发至第二会话处理实体，其中，所述第二会话处理实体根据所述会话报文的特征字段，将所述会话报文转发至对应的第二网络业务接口。
78.可选的，第二会话处理实体根据会话报文的特征字段，将会话报文转发至对应的第二网络业务接口的步骤，包括：第二会话处理实体根据会话报文的特征字段，查找第二会话流；第二会话处理实体根据查找到的第二会话流的会话信息对会话报文进行应用业务处理；第二会话处理实体对会话报文进行应用业务处理之后，根据会话报文匹配第二会话流的转发信息；基于第二会话流的转发信息，将会话报文转发至对应的联合板卡的第二网络业务接口。
79.图6根据本发明实施例的一种可选的分布式架构安全设备根据第二类型的会话流进行数据转发的示意图，如图6所示，包括四种会话报文/数据报文的转发方式：第一种，第二会话与第一会话流同板卡，且报文入出接口同板卡报文走向；第二种，第二会话与第一会话流同板卡，且报文入出接口跨板卡报文走向；第三种，第二会话与第一会话流跨板卡，且报文入出接口同板卡报文走向；第四种，第二会话与第一会话流跨板卡，且报文入出接口跨板卡报文走向。
80.把报文转发到对应的联合板卡的第二会话处理实体。第二会话处理实体，根据收到的报文特征字段查找第二会话，并根据第二会话信息做进一步的应用业务处理(如应用层处理，流量控制处理等)。第二会话处理实体对报文进行处理完成后，接着根据此报文匹配方向的第二会话流的转发信息，最终把报文转发到对应的联合板卡的网络业务接口。
81.另一种可选的，第二会话处理实体根据查找到的第二会话流的会话信息对会话报文进行应用业务处理的步骤，包括：第二会话处理实体根据查找到的第二会话流的会话信息对会话报文的报文流量进行监测，并对会话报文的报文传输流量进行控制。
82.通过上述实施例，能够针对传统的分布式安全设备架构，提出一种全新的联合板卡代替传统业务板卡与传统接口板卡，结合了传统业务板卡的功能丰富特性以及传统接口板卡的高速转发特性，从架构层面提高了分布式架构安全设备整机报文处理性能与容量，为用户提供了高性能，高容量且高性价比的新分布式架构安全设备技术解决方案。
83.下面结合另一种可选的实施例来说明本发明。
84.实施例二
85.本实施例中涉及的精简会话对应上述实施例一中的第一会话，常规会话对应上述实施例一中的第二会话，精简会话处理实体对应上述实施例一中的第一会话处理实体，常规会话处理实体对应上述实施例一中的第二会话处理实体。
86.图7是根据本发明实施例的一种可选的分布式架构安全设备常规会话与精简会话
流创建流图，如图7所示，对于联合板卡a和联合板卡b，每个联合板卡可以包括cpu资源(例如，图7中的cpu a0、cpu a1
…
以及cpu b0、cpu b1
…
)和交换芯片(包括交换芯片a和交换芯片b外接有多个网络接口，从网络接口接收会话报文/数据报文)，每个cpu资源内可以包括第一会话处理实体(处理第一会话流)和第二会话处理实体(处理第二会话、第二会话流)。图7包括精简会话配置安装消息走向图和常规会话创建触发报文走向图。
87.连接会话建立流程，包括：
88.a.联合板卡的精简会话处理实体从网络接口接收报文，并根据报文的特征字段，查找精简会话流表进行报文分发。
89.b.找不到匹配的精简会话流，从而根据报文分发算法选择常规会话处理实体，并把报文转发给相应的常规会话处理实体。
90.c.常规会话处理实体，根据收到的报文特征字段创建常规会话，并根据常规会话信息向精简会话实体下发相应的精简会话流(捷径型精简会话流或正常型精简会话流)。
91.数据报文转发流程，包括：
92.a.联合板卡的精简会话处理实体从网络接口接收报文，并根据报文的特征字段，查找精简会话流表进行报文分发。
93.b.找到匹配的精简会话流，则根据精简会话流的类型进行报文转发。
94.1)如果匹配捷径型精简会话流，则根据精简会话流中保存的转发信息，把报文转发到对应的联合板卡的网络业务接口。图8是根据本发明实施例的一种分布式架构安全设备根据捷径型精简会话流进行报文转发的示意图，如图8所示，包括精简会话同板卡数据报文走向图和精简会话跨板卡数据报文走向图。
95.2)如果匹配正常型精简会话流，则把报文转发到对应的联合板卡的常规会话实体。常规会话处理实体，根据收到的报文特征字段查找常规会话，并根据常规会话信息做进一步的应用业务处理(如应用层处理，流量控制处理等)。常规会话处理实体对报文进行处理完成后，接着根据此报文匹配方向的常规会话流的转发信息，最终把报文转发到对应的联合板卡的网络业务接口。图9是根据本发明实施例的一种分布式架构安全设备根据正常型精简会话流进行报文转发的示意图，如图9所示，包括四种报文转发方式：第一种，常规会话与精简会话流跨板卡，且报文入出接口跨板卡会话报文走向图；第二种，常规会话与精简会话流同板卡，且报文入出接口同板卡数据报文走向图；第三种，常规会话与精简会话流同板卡，且报文入出接口跨板卡会话报文走向图；第四种，常规会话与精简会话流跨板卡，且报文入出接口跨板卡数据报文走向图。
96.通过上述实施例，针对传统的分布式安全设备架构提出了传统业务板卡与传统接口板卡融合的全分布可线性扩展的报文处理架构。在设计中系统结合了传统业务板卡的功能丰富特性以及传统接口板卡的高速转发特性，从架构层面提高了分布式架构安全设备整机报文处理性能与容量。为用户提供了高性能，高容量且高性价比的新分布式架构安全设备技术解决方案。
97.通过上述实施例，能够达到如下有益技术效果：
98.第一，性能与容量大幅提升，新分布式架构安全设备，可以充分发挥每个联合板卡的cpu资源的计算潜力，每个联合板卡可以均匀地处理负载流量，极大提高了分布式架构安全设备整机处理性能与容量。
99.第二，扩展性强，新分布式架构安全设备，可以根据需求动态增加联合板卡的插卡数目，同时实现性能与容量的线性扩展，为部署与升级扩容带来了便利。
100.第三，研发与生产维护成本低，传统分布式架构安全设备，需要研发与生产维护各种类型的传统业务板卡以及传统接口板卡，新分布式架构安全设备对于业务处理板卡仅需要研发与生产维护联合板卡，减少了研发与生产维护开销。
101.下面结合另一种可选的实施例来说明本发明。
102.实施例三
103.本实施例中提供了一种分布式会话报文的处理装置，该处理装置包含了多个实施单元，每个实施单元对应于上述实施例一中的各个实施步骤。
104.图10根据本发明实施例的一种可选的分布式会话报文的处理装置的示意图，应用于分布式架构安全设备的联合板卡，联合板卡外接网络接口，如图10所示，该处理装置可以包括：接收单元1001、查询单元1003、第一转发单元1005、第二转发单元1007，其中，
105.接收单元1001，用于采用第一会话处理实体接收网络接口传输的会话报文；
106.查询单元1003，用于采用第一会话处理实体根据会话报文的特征字段，在第一会话流表中进行查询，得到第一会话流，其中，第一会话流表中包括会话报文的特征字段、第一会话流、以及会话报文的特征字段与第一会话流的对应关系；
107.第一转发单元1005，用于在第一会话流的类型为第一类型时，将会话报文转发至对应的第一网络业务接口；
108.第二转发单元1007，用于在第一会话流的类型为第二类型时，将会话报文转发至第二会话处理实体，其中，第二会话处理实体根据会话报文的特征字段，将会话报文转发至对应的第二网络业务接口。
109.上述分布式会话报文的处理装置，可以通过接收单元1001采用第一会话处理实体接收所述网络接口传输的会话报文，通过查询单元1003采用所述第一会话处理实体根据所述会话报文的特征字段，在第一会话流表中进行查询，得到第一会话流，其中，所述第一会话流表中包括会话报文的特征字段、第一会话流、以及会话报文的特征字段与第一会话流的对应关系，通过第一转发单元1005在所述第一会话流的类型为第一类型，则将所述会话报文转发至对应的第一网络业务接口，通过第二转发单元1007在所述第一会话流的类型为第二类型，则将所述会话报文转发至第二会话处理实体，其中，所述第二会话处理实体根据所述会话报文的特征字段，将所述会话报文转发至对应的第二网络业务接口。在该实施例中，通过新型的联合板卡代替传统的业务板卡和接口板卡，结合了传统业务板卡的功能丰富特性以及传统接口板卡的高速转发特性，充分发挥每个板卡cpu资源的计算潜力，从而极大地提高了分布式架构安全设备整机报文处理性能与容量，同时为板卡的升级扩容带来更大的便利性，从而解决相关技术中分布式架构安全设备的业务板卡与接口板卡的数量必要按照一定的比例进行部署配置，无法充分利用板卡资源的技术问题。
110.可选地，分布式会话报文的处理装置还包括：第一选择单元，用于在采用第一会话处理实体根据会话报文的特征字段，在第一会话流表中进行查询，得到第一会话流之后，若在第一会话流表中匹配不到第一会话流，第一会话处理实体根据报文分发算法选择第二会话处理实体；第三转发单元，用于采用第一会话处理实体将会话报文转发至第二会话处理实体。
111.可选地，分布式会话报文的处理装置还包括：创建单元，用于在采用第一会话处理实体将会话报文转发至第二会话处理实体之后，采用第二会话处理实体根据会话报文的特征字段创建第二会话流；下发单元，用于根据第二会话流的会话信息向第一会话实体下发相应的第一会话流。
112.可选地，第二转发单元包括：第一查找模块，用于第二会话处理实体根据会话报文的特征字段，查找第二会话流；应用业务处理模块，用于第二会话处理实体根据查找到的第二会话流的会话信息对会话报文进行应用业务处理；匹配模块，用于第二会话处理实体对会话报文进行应用业务处理之后，根据会话报文匹配第二会话流的转发信息；转发模块，用于基于第二会话流的转发信息，将会话报文转发至对应的联合板卡的第二网络业务接口。
113.可选地，应用业务处理模块，包括：检测模块，用于第二会话处理实体根据查找到的第二会话流的会话信息对会话报文的报文流量进行监测，并对会话报文的报文传输流量进行控制。
114.可选地，对分布式架构安全设备的联合板卡的板卡内存进行扩充，以同时容纳第一会话流和第二会话流。
115.可选地，分布式架构安全设备的联合板卡连接至交换背板，交换背板上还连接有主控板卡。
116.上述的分布式会话报文的处理装置还可以包括处理器和存储器，上述接收单元1001、查询单元1003、第一转发单元1005、第二转发单元1007等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
117.上述处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来转发会话报文。
118.上述存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
119.根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，计算机可读存储介质包括存储的计算机程序，其中，在计算机程序运行时控制计算机可读存储介质所在设备执行上述任意一项的分布式会话报文的处理方法。
120.本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：采用第一会话处理实体接收网络接口传输的会话报文；采用第一会话处理实体根据会话报文的特征字段，在第一会话流表中进行查询，得到第一会话流，其中，第一会话流表中包括会话报文的特征字段、第一会话流、以及会话报文的特征字段与第一会话流的对应关系；若第一会话流的类型为第一类型，则将会话报文转发至对应的第一网络业务接口；若第一会话流的类型为第二类型，则将会话报文转发至第二会话处理实体，其中，第二会话处理实体根据会话报文的特征字段，将会话报文转发至对应的第二网络业务接口。
121.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
122.在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
123.在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的
方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
124.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
125.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
126.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read
‑
only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
127.以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。