CN109194558A - 隧道报文认证转发方法及系统 - Google Patents
隧道报文认证转发方法及系统 Download PDFInfo
- Publication number
- CN109194558A CN109194558A CN201810827374.9A CN201810827374A CN109194558A CN 109194558 A CN109194558 A CN 109194558A CN 201810827374 A CN201810827374 A CN 201810827374A CN 109194558 A CN109194558 A CN 109194558A
- Authority
- CN
- China
- Prior art keywords
- message
- cpu
- deblocking
- target
- forwarding cpu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种隧道报文认证转发方法及系统,所述方法包括:当前转发CPU对接收到的预设类型的隧道报文进行解封装,获得解封报文;当解封报文为非认证报文时,当前转发CPU根据解封报文查询系统中已创建的会话表;在当前转发CPU未查询到与解封报文相对应的会话表时,当前转发CPU根据解封报文查询认证表,以确定是否能够为解封报文创建会话表项;当确定能够为解封报文创建会话表项时,目标转发CPU根据解封报文和会话表相关信息,在目标转发CPU对应的会话表中创建会话表项,并基于该会话表项对解封报文进行转发。通过上述技术方案,既可以有效减少CPU之间的切换,也可以有效降低数据维护量,提高系统的转发性能。
Description
技术领域
本公开涉及计算机网络领域,具体地,涉及一种隧道报文认证转发方法及系统。
背景技术
随着计算机技术的发展,基于隧道技术可以实现不同协议的数据帧或包之间的数据传输,即基于隧道技术对原始报文进行外部封装,以获得隧道报文,并将该隧道报文在隧道中进行转发,以实现跨协议的数据传输。
现有技术中,在基于异构平台的网络转发系统中,通常将CPU划分成两类,一类是转发CPU,运行于用户态,用于基于会话表对报文进行转发;一类是逻辑CPU,运行于内核态,用于对隧道报文进行加解密处理,从而将处理后的报文发送至转发CPU,以由转发CPU进行转发。然而,在该过程中不仅需要在运行于用户态的转发CPU和运行与内核态的逻辑CPU之间进行多次切换,而且,需要对隧道报文和原始报文分别创建会话表以实现报文的转发,增加了会话表资源的占用及需要维护的数据量。
发明内容
为了解决上述问题,本公开提供一种隧道报文认证转发方法及系统。
为了实现上述目的,根据本公开的第一方面,提供一种隧道报文认证转发方法,所述方法包括:
当前转发CPU对接收到的预设类型的隧道报文进行解封装,获得解封报文,所述解封报文为所述隧道报文去除掉外层首部后所得报文,所述当前转发CPU为隧道报文认证转发系统中的任一转发CPU,所述系统中的转发CPU运行在用户态;
当所述解封报文为非认证报文时,所述当前转发CPU根据所述解封报文查询所述系统中已创建的会话表;
在所述当前转发CPU未查询到与所述解封报文相对应的会话表时,当前转发CPU根据所述解封报文查询认证表,以确定是否能够为所述解封报文创建会话表项;
当确定能够为所述解封报文创建会话表项时,目标转发CPU根据所述解封报文和会话表相关信息,在所述目标转发CPU对应的会话表中创建会话表项,并基于该会话表项对所述解封报文进行转发,其中,所述会话表相关信息至少包括所述隧道报文的所述外层首部,所述目标转发CPU为所述系统中,用于接收所述解封报文对应的回复报文的转发CPU。
可选地,在当前转发CPU确定能够为所述解封报文创建会话表项之后,在所述目标转发CPU根据所述解封报文和会话表相关信息,在所述目标转发CPU对应的会话表中创建会话表项,并基于该会话表项对所述解封报文进行转发的步骤之前,所述方法还包括:
所述当前转发CPU根据所述解封报文确定所述目标转发CPU;
若所述目标转发CPU不是所述当前转发CPU,所述当前转发CPU将所述解封报文与所述会话表相关信息发送至所述目标转发CPU。
可选地,所述当前转发CPU根据所述解封报文确定目标转发CPU,包括:
所述当前转发CPU根据所述解封报文的内层首部中的五元组确定是否需要进行源地址转换;
在确定需要进行源地址转换时,所述当前转发CPU对所述解封报文的内层首部中的五元组进行源地址转换,获得目标五元组,并根据所述目标五元组确定与所述解封报文对应的回复报文的五元组;
在确定不需要进行源地址转换时,所述当前转发CPU根据所述内层首部中的五元组确定与所述解封报文对应的回复报文的五元组;
所述当前转发CPU根据所述回复报文的五元组,通过所述当前转发CPU所处的当前设备的网卡硬件的RSS算法确定所述目标转发CPU。
可选地,在所述当前转发CPU进行了源地址转换的情况下,所述会话表相关信息还包括所述目标五元组;
所述目标转发CPU根据所述解封报文和会话表相关信息,在所述目标转发CPU对应的会话表中创建会话表项,包括:
在所述当前转发CPU进行了源地址转换的情况下,所述目标转发CPU根据所述解封报文的内层首部中的五元组和所述目标五元组创建会话表项;在所述当前转发CPU未进行源地址转换的情况下,所述目标转发CPU根据所述解封报文的内层首部中的五元组创建会话表项;
所述目标转发CPU在所创建的会话表项中存储所述外层首部。
可选地,所述方法还包括:
所述目标转发CPU在接收到所述解封报文对应的回复报文时,根据所述回复报文的五元组查询所述目标转发CPU对应的会话表,以确定与所述回复报文相对应的目标会话表项;
所述目标转发CPU根据所述目标会话表项中存储的所述外层首部对所述回复报文进行封装,获得封装的回复报文并对所述封装的回复报文进行转发。
可选地,所述方法还包括:
在所述当前转发CPU查询到与所述解封报文相对应的会话表时,若所述查询到的会话表不是当前转发CPU对应的会话表,所述当前转发CPU将所述解封报文发送至所述查询到的会话表对应的转发CPU;
所查询到的会话表对应的转发CPU根据所述解封报文查询该会话表,并基于查询到的会话表项对所述解封报文进行转发。
可选地,所述方法还包括:
当所述解封报文为认证报文时,若所述当前转发CPU不作为所述系统中的认证CPU,所述当前转发CPU将所述解封报文发送至所述系统中的所述认证CPU,以由所述认证CPU对所述解封报文携带的认证信息进行认证,其中,所述系统中的一个转发CPU被指定作为所述认证CPU。
可选地,所述方法还包括:
所述认证CPU在接收到所述解封报文时,在对所述解封报文携带的认证信息进行认证通过后,根据所述认证信息更新所述认证表;
在所述认证表中已更新但未同步的认证表项的数量达到预设阈值或者距离上次生成同步报文的时长达到预设时长时,所述认证CPU将所述认证表中已更新但未同步的认证表项确定为本次待生成的目标同步报文的数据部分;根据所述认证CPU所处的当前设备和待同步的高可用设备的地址信息、以及所述待同步的高可用设备的网卡硬件的RSS算法确定所述目标同步报文的同步五元组;基于所述数据部分和所述同步五元组生成所述目标同步报文,其中,所述目标同步报文用于所述待同步的高可用设备的认证CPU对该高可用设备的认证表进行同步处理;
所述认证CPU根据预设的同步协议对所述目标同步报文进行封装,获得同步封装报文,并将所述同步封装报文发送至所述待同步的高可用设备的认证CPU。
根据本公开的第二方面,提供一种隧道报文认证转发系统,所述系统包括:
网卡;
至少一个转发CPU,运行在用户态,与所述网卡通信,所述转发CPU被配置为执行上述转发CPU所执行方法的步骤。
可选地,所述系统还包括:
认证CPU,运行在用户态,所述认证CPU被配置为至少执行上述认证CPU所执行方法的步骤。
可选地,所述系统还包括:
至少一个逻辑CPU,运行在内核态,与所述至少一个转发CPU一一对应进行通信,所述逻辑CPU用于对接收到的非预设类型的隧道报文进行解密操作,获得解密报文,以及对所述解密报文对应的回复报文进行加密。
在上述技术方案中,当前转发CPU可以对接收到的预设类型的隧道报文进行解封装,获得解封报文;在该解封报文为非认证报文、且在系统中未查询到解封报文对应的会话表时,在确定可以对该解封报文创建会话表项的情况下,根据隧道报文的外层首部与该解封报文创建对应的会话表项,从而对解封报文进行转发。因此,通过上述技术方案,既可以有效减少报文转发过程中CPU之间的切换,有效保证隧道报文认证系统的转发性能;又可以将隧道报文的外层首部与解封报文的会话表项相关联,避免现有技术中为隧道报文和解封报文分别创建会话表项造成的资源占用。同时,通过将会话表与隧道映射关系相结合,也可以有效降低数据维护量,提高隧道报文认证系统的性能。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1是根据本公开的一种实施方式提供的隧道报文认证转发方法的流程图;
图2是当前转发CPU根据所述解封报文确定目标转发CPU的一种示例性实现方式的流程图;
图3是当前转发CPU与认证CPU之间的交互图。
具体实施方式
以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
根据本公开的实施方式提供的隧道报文认证转发系统是基于隧道技术实现的,在该系统中,在基于隧道技术对报文进行转发时,可以采用不固定源IP地址的方式对报文进行封装,如,通过VPN(Virtual Private Network,虚拟专用网络)进行报文转发。在基于不固定源IP地址的隧道技术进行报文转发时,可以通过报文进行封装后的目的IP地址和目的端口号确定其是否为隧道报文。示例地,可以预先设置隧道报文对应的目的IP地址和目的端口号,因此,在接收到报文时,则可以将符合预先设置的目的IP地址和目的端口号的报文确定为隧道报文。
如背景技术中所述,对于隧道报文而言,由于其封装有外层首部,转发CPU在接收到隧道报文时,需要将该隧道报文发送至运行在内核态的逻辑CPU中,由逻辑CPU去除掉隧道报文的外层首部,从而获得解封报文。之后逻辑CPU将解封报文发送至转发CPU,以由转发CPU对解封报文进行转发或丢弃。然而在上述过程中,不仅需要进行多次CPU之间的切换,使得系统的转发性能受到用户态和内核态之间的通道性能的局限;而且由于逻辑CPU运行在内核态,其处理需要占用大量的内核资源。
然而,在基于IPIP(IP over IP)和GRE(Generic Routing Encapsulation,通用路由封装)的隧道技术对报文进行封装时,其封装的外层首部及传输数据是未通过加密算法进行加密和压缩的。示例地,IPIP隧道技术是使用在两个路由器间对IP数据包进行封装的简单协议,即将一个完整的数据包作为另一个数据包的数据部分,在该过程中,并不需要进行加解密等复杂的处理操作。因此,在本公开的技术方案中,对于上述未通过加密算法进行加解密或者压缩、解压缩操作的报文,可以由转发CPU进行解封装或封装操作,以避免切换至内核态的逻辑CPU中对其进行处理。
基于此,本公开提供一种隧道报文认证转发方法。图1所示,为根据本公开的一种实施方式提供的隧道报文认证转发方法的流程图。如图1所示,所述方法包括:
在S11中,当前转发CPU对接收到的预设类型的隧道报文进行解封装,获得解封报文,所述解封报文为所述隧道报文去除掉外层首部后所得报文,所述当前转发CPU为隧道报文认证转发系统中的任一转发CPU,所述系统中的转发CPU运行在用户态。
其中,该预设类型的隧道报文可以是通过上文所述的IPIP或GRE或者其他未通过加密算法进行加密的隧道技术所得的隧道报文。其中,由于该隧道报文的外层首部未通过加密算法进行加密或压缩,因此,可以直接由转发CPU对其进行解封装。
在S12中,当解封报文为非认证报文时,当前转发CPU根据解封报文查询系统中已创建的会话表。
在S13中,在当前转发CPU未查询到与解封报文相对应的会话表时,当前转发CPU根据解封报文查询认证表,以确定是否能够为解封报文创建会话表项。
当前转发CPU可以访问该系统的中各个转发CPU创建的会话表。认证表中存储有认证信息及对应的匹配策略,该匹配策略可以初步判断接收的报文是否合法,即是否可以根据该报文创建会话表项。
示例地,当前转发CPU根据解封报文的五元组查询系统的各个会话表,在查询到与其五元组对应的会话表项时,表示当前转发CPU查询到与解封报文相对应的会话表。其中,解封报文相对应的会话表即为包含解封报文的五元组对应的会话表项的会话表。
因此,当前转发CPU未查询到与解封报文相对应的会话表时,表示在系统中尚未创建与解封报文对应的会话表项,此时,当前转发CPU可以根据解封报文查询认证表,以确定是否能够为解封报文创建会话表项。
在S14中,当确定能够为解封报文创建会话表项时,目标转发CPU根据解封报文和会话表相关信息,在目标转发CPU对应的会话表中创建会话表项,并基于该会话表项对解封报文进行转发,其中,所述会话表相关信息至少包括所述隧道报文的所述外层首部,所述目标转发CPU为所述系统中,用于接收所述解封报文对应的回复报文的转发CPU。
其中,目标转发CPU可以是当前转发CPU,也可以是其他转发CPU,其确定方式在下文进行详述。
在一实施例中,在当前转发CPU根据解封报文查询认证表,并根据认证表中的对应的匹配策略确定解封报文合法时,确定可以根据该解封报文创建会话表项。之后,目标转发CPU便可以根据解封报文和会话表相关信息为解封报文创建会话表项。
在另一实施例中,在当前转发CPU根据解封报文查询认证表,并根据认证表中的对应的匹配策略确定解封报文不合法时,确定不可以根据该解封报文创建会话表项,此时,当前转发CPU可以直接丢弃该解封报文。
其中,目标转发CPU在创建会话表项时,可以根据隧道报文的所述外层首部为解封报文创建会话表项,因此,可以为解封报文和隧道报文创建同一会话表项,同时也可以使得隧道报文的外层首部与解封报文的会话表项相关联。
在上述技术方案中,当前转发CPU可以对接收到的预设类型的隧道报文进行解封装,获得解封报文;在该解封报文为非认证报文、且在系统中未查询到解封报文对应的会话表时,在确定可以对该解封报文创建会话表项的情况下,根据隧道报文的外层首部与该解封报文创建对应的会话表项,从而对解封报文进行转发。因此,通过上述技术方案,既可以有效减少报文转发过程中CPU之间的切换,有效保证隧道报文认证转发系统的转发性能;又可以将隧道报文的外层首部与解封报文的会话表项相关联,避免现有技术中为隧道报文和解封报文分别创建会话表项造成的资源占用。同时,通过将会话表与隧道映射关系相结合,也可以有效降低数据维护量,提高隧道报文认证转发系统的性能。
可选地,在当前转发CPU确定能够为所述解封报文创建会话表项之后,在所述目标转发CPU根据所述解封报文和会话表相关信息,在所述目标转发CPU对应的会话表中创建会话表项,并基于该会话表项对所述解封报文进行转发的步骤之前,所述方法还包括:
当前转发CPU根据解封报文确定目标转发CPU。
若目标转发CPU不是当前转发CPU,当前转发CPU将解封报文与会话表相关信息发送至目标转发CPU。
其中,当前转发CPU在未查询到与解封报文相对应的会话表时,表示当前系统中不存在转发该解封报文所需的会话表项,则需要先创建该解封报文对应的会话表项才能对该解封报文进行转发。
随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。因此,多个计算机采用NAT(Network Address Translation,网络地址转换)的方式通过内部IP地址与Internet进行通信,即通过NAT将其内部IP地址转换成对应的公有IP地址,从而实现与Internet的通信。其中,在系统中存储有SNAT(Source Network AddressTranslation,源网络地址转换)策略,其中包括需要进行源网络地址转换的源IP地址和转换后的IP地址的对应关系的网络地址转换配置。
可选地,所述当前转发CPU根据所述解封报文确定目标转发CPU的一种示例性实现方式如下,如图2所示,包括:
在S21中,当前转发CPU根据解封报文的内层首部中的五元组确定是否需要进行源地址转换。
在S22中,在确定需要进行源地址转换时,当前转发CPU对解封报文的内层首部中的五元组进行源地址转换,获得目标五元组,并根据目标五元组确定与解封报文对应的回复报文的五元组。
其中,当前转发CPU可以根据网络地址转换配置中的对应关系对解封报文的内层首部中的五元组进行源地址转换,获得目标五元组。示例地,可以将所述目标五元组中的源IP地址和目的IP地址互换,并将所述目标五元组中的源端口号和目的端口号互换后所得的五元组确定为回复报文的五元组。示例地,解封报文的内层首部中的五元组表示为:
sip,sport,dip,dport,protocol);
目标五元组表示为:trans_sip,trans_sport,dip,dport,protocol);
因此,在该实施例中,回复报文的五元组则可以表示为:
dip,dport,trans_sip,trans_sport,protocol)。
其中,sip表示解封报文的内层首部中的五元组的源IP地址;
sport表示解封报文的内层首部中的五元组的源端口号;
dip表示解封报文的内层首部中的五元组的目的IP地址;
dport表示解封报文的内层首部中的五元组的目的端口号;
protocol表示解封报文对应的通信协议;
trans_sip表示所述目标五元组中的源IP地址;
trans_sport表示所述目标五元组中的源端口号。
在S23中,在确定不需要进行源地址转换时,当前转发CPU根据内层首部中的五元组确定与解封报文对应的回复报文的五元组。
其中,在确定不需要进行源地址转换时,当前CPU可以直接将解封报文的内层首部中的五元组中的源IP地址和目的IP地址互换、源端口号和目的端口号互换后所得的五元组确定为与解封报文对应的回复报文的五元组。因此,在该实施例中,回复报文的五元组则可以表示为:
dip,dport,sip,sport,protocol)。
在S24中,当前转发CPU根据回复报文的五元组,通过所述当前转发CPU所处的当前设备的网卡硬件的RSS算法确定目标转发CPU。
其中,RSS(Receive Side Scaling)是一种能够在多处理器系统下使接收到的报文在多个CPU之间高效分发的网卡驱动技术。根据五元组基于RSS算法,确定出接收五元组对应的报文的转发CPU的方式为现有技术,在此不再赘述。
在上述技术方案中,通过所述当前转发CPU所处的当前设备的网卡硬件的RSS算法确定目标转发CPU,可以有效保证该系统的负载均衡,从而保证该系统的健壮性和高效性。
在上述技术方案中,在目标转发CPU,即接收所述解封报文对应的回复报文的转发CPU中创建解封报文对应的会话表项,使得目标转发CPU在接收到与该解封报文对应的回复报文时,可以直接根据其创建的会话表项对回复报文进行转发,不需要进行转发CPU之间的切换,进一步提高转发效率。
可选地,在所述当前转发CPU进行了源地址转换的情况下,所述会话表相关信息还包括所述目标五元组;
所述目标转发CPU根据所述解封报文和会话表相关信息,在所述目标转发CPU对应的会话表中创建会话表项的一种示例性实现方式如下,包括:
在所述当前转发CPU进行了源地址转换的情况下,所述目标转发CPU根据所述解封报文的内层首部中的五元组和所述目标五元组创建会话表项;在所述当前转发CPU未进行源地址转换的情况下,所述目标转发CPU根据所述解封报文的内层首部中的五元组创建会话表项;
所述目标转发CPU在所创建的会话表项中存储所述外层首部。
在一实施例中,当前转发CPU进行了源地址转换,则会根据解封报文的五元组得到其对应的目标五元组,示例地,目标转发CPU创建如下会话表项:
sip,sport,dip,dport,protocol)
dip,dport,trans_sip,trans_sport,protocol)
因此,在目标转发CPU接收到的报文的五元组对应上述会话表项时,目标转发CPU便可以基于上述会话表项对其进行转发。另外,目标转发CPU根据所述解封报文的内层首部中的五元组创建会话表项的方式与上文所述方式类似,在此不再赘述。其中,若所述解封报文为分片报文,则将各个分片报文重组后将分片重组信息存储在所述外层首部中。
在上述技术方案中,通过将隧道报文的外层首部存储在解封报文对应的会话表项中,可以将会话表和隧道映射表相结合,以避免同时维护大量的会话表和隧道映射表,有效降低该隧道报文认证转发系统的维护的数据量,从而提高该系统的并发性能和转发性能,降低该系统维护的复杂度。
可选地,所述方法还包括:
所述目标转发CPU在接收到所述解封报文对应的回复报文时,根据所述回复报文的五元组查询所述目标转发CPU对应的会话表,以确定与所述回复报文相对应的目标会话表项;
所述目标转发CPU根据所述目标会话表项中存储的所述外层首部对所述回复报文进行封装,获得封装的回复报文并对所述封装的回复报文进行转发。
在该实施例中,由于目标转发CPU为用于接收解封报文对应的回复报文的转发CPU,且由目标转发CPU创建解封报文对应的会话表项,因此,在目标转发CPU接收到解封报文对应的回复报文时,其对应的会话表项是在该目标转发CPU中创建的。此时,目标转发CPU只需要根据该回复报文的五元组查询目标转发CPU对应的会话表即可确定与该回复报文对应的目标会话表项,既可以有效降低会话表的查询量,又使得在转发回复报文时不需要进行转发CPU之间的切换,进一步提高转发效率。
在隧道报文认证转发系统中,当接收到回复报文时,需要对该回复报文进行封装,之后将封装之后的报文转发出去。现有技术中,系统中存储有单独存在的隧道映射表,其用于对回复报文进行封装。一个隧道映射表下可以对应有多个会话表项,当该隧道映射表项下的所有会话表项都删除之后,该隧道映射表项才可以删除。因此,在上述过程中,在对回复报文进行转发时,需要基于该回复报文确定其对应的会话表项,并基于该会话表项确定其对应的隧道映射表项,从而根据该隧道映射表项对回复报文进行封装。
因此,在本公开中,转发CPU在创建会话表项时,将隧道报文的外层首部存储到该会话表项中,则在目标转发CPU查询到目标会话表项时,可以直接根据该目标会话表项中存储的外层首部对回复报文进行封装。示例地,可以将该存储的外层首部的五元组中的源IP地址和目的IP地址互换、源端口号、目的端口号互换后所得的五元组确定为回复报文封装后的报文的五元组。
通过上述技术方案,将隧道映射表和会话表相结合,可以有效降低该隧道报文认证转发系统的维护数据量。同时,在对回复报文进行转发时,在确定出其对应的会话表项,可以直接、快速确定出其对应的隧道映射关系,从而可以提高报文封装的效率,进一步提高系统的转发效率,提升用户使用体验。
转回图1,在所述当前转发CPU查询到与所述解封报文相对应的会话表时,表示系统中已创建有与解封报文对应的会话表项。其中,根据该查询到的会话表项可以确定出解封报文相对应的会话表所在的转发CPU。
可选地,所述方法还包括:
在所述当前转发CPU查询到与所述解封报文相对应的会话表时,若所述查询到的会话表不是当前转发CPU对应的会话表,所述当前转发CPU将所述解封报文发送至所述查询到的会话表对应的转发CPU;
所查询到的会话表对应的转发CPU根据所述解封报文查询该会话表,并基于查询到的会话表项对所述解封报文进行转发。
在该实施例中,当查询到的与所述解封报文相对应的会话表不是当前转发CPU对应的会话表时,当前转发CPU需要将该解封报文发送至相应的转发CPU进行转发。也就是说,在查询到与所述解封报文相对应的会话表时,只有创建该会话表的转发CPU可以对该解封报文进行转发,其他的CPU只可以对该会话表进行查询访问,基于会话表的操作无需加锁,进一步提升隧道报文认证转发系统的转发性能。并且,查询到的会话表对应的转发CPU可以只查询其自身对应的会话表便可以确定出解封报文对应的会话表项,有效降低会话表的查询范围,提高查询速度。
在另一实施例中,若所述查询到的会话表是当前转发CPU对应的会话表,当前转发CPU可以直接根据该会话表中与解封报文对应的会话表项对所述解封报文进行转发。
可选地,所述方法还包括:
当所述解封报文为认证报文时,若所述当前转发CPU不作为所述系统中的认证CPU,所述当前转发CPU将所述解封报文发送至所述系统中的所述认证CPU,以由所述认证CPU对所述解封报文携带的认证信息进行认证,其中,所述系统中的一个转发CPU被指定作为所述认证CPU。
当解封报文中携带有认证信息时,可以确定其为认证报文。在本公开中,只有认证CPU可以对认证报文进行认证。其中,认证CPU为转发CPU中的一者。
在一实施例中,认证CPU只被配置为实现认证报文相关的认证操作。则,当解封报文为认证报文时,当前转发CPU将解封报文发送至认证CPU。
在另一实施例中,认证CPU被配置为实现认证报文相关的认证操作和对报文的转发操作。则,当解封报文为认证报文时,当前转发CPU在确定其不是该隧道报文认证转发系统中的认证CPU时,当前转发CPU将解封报文发送至认证CPU;若当前转发CPU为系统中的认证CPU时,可以直接由当前转发CPU(即,系统中的认证CPU)对该解封报文进行认证。
在上述技术方案中,在隧道报文认证转发系统中的转发CPU中指定一个作为认证CPU,以对解封报文中的认证信息进行认证。由于在系统中只配置了一个认证CPU,即系统中的认证操作只由一个CPU执行,可以有效保证隧道报文认证转发系统的转发效率。另一方面,由于在系统中只有认证CPU进行认证操作,即只有认证CPU可以实现对认证的相关资源的更改。因此,在认证CPU在更新认证的相关资源时,不会出现多核操作冲突。因此,通过上述技术方案,可以保证多核下、认证CPU更新认证资源时,不需要进行加锁操作,有效保证隧道报文认证转发系统的整体性能,保证数据的准确性和可维护性。
可选地,如图3所示,为当前转发CPU与认证CPU之间的交互图,如图所示:
在S31中,所述认证CPU在接收到解封报文时,在对解封报文携带的认证信息进行认证通过后,根据认证信息更新认证表。
其中,认证CPU可以对解封报文携带的认证信息进行认证。示例地,该认证信息中可以包括用户名和密码以及认证标记符,其中,该认证标记符可以表征对认证表的更新操作,示例地,可以是新建、编辑、删除。例如,解封报文所携带的认证信息中包括用户名和密码、认证标记符类型为新建。认证CPU则将该用户名和密码与数据库中存储的用户名、密码进行比对,在比对一致时,确定该解封报文认证通过,此时,在认证表中新建一认证表项,以用于存储该用户名和密码。同时,在认证通过后,也可以向发送该认证报文的终端反馈一认证通过的通知消息。其中,认证CPU对解封报文中携带的认证信息进行认证的方式为现有技术,在此不再赘述。
为了提高隧道报文认证转发系统的健壮性,在系统中通常会设置HA(HighAvailable,高可用)架构,即会设置多个设备同步该认证信息表,其中,在多个设备中,可以指定一个为主设备,其他为备用设备,当主设备出现故障时,可以直接启用备用设备,以保证系统的转发性能。因此,主设备和备用设备之间需要确定其认证信息为同步信息,以保证系统的安全性。
因此,在主设备对认证表进行更新后,需要与备用设备同步该更新后的认证表。
在S32中,在认证表中已更新但未同步的认证表项的数量达到预设阈值或者距离上次生成同步报文的时长达到预设时长时,认证CPU将认证表中已更新但未同步的认证表项确定为本次待生成的目标同步报文的数据部分;根据认证CPU所处的当前设备和待同步的高可用设备的地址信息、以及所述待同步的高可用设备的网卡硬件的RSS算法确定所述目标同步报文的同步五元组,基于所述数据部分和所述同步五元组生成所述目标同步报文,其中,所述目标同步报文用于所述待同步的高可用设备的认证CPU对该高可用设备的认证表进行同步处理。其中,在该隧道报文认证转发系统中,当前设备为主设备,待同步的高可用设备则为该HA架构中的待同步该认证表的备用设备。
在一实施例中,该预设阈值可以基于经验设置,示例地,该预设阈值可以为32。在该实施例中,当认证表中已更新但未同步的认证表项个数为32时,将该32个认证表项作为本次待生成的目标同步报文的数据部分;同时,基于所述认证CPU所处的当前设备和待同步的高可用设备的地址信息,可以确定出该目标同步报文的同步五元组中的源IP地址和目的IP地址以及通信协议,因此,可以通过所述待同步的高可用设备的网卡硬件的RSS算法确定该目标同步报文的同步五元组,从而生成该目标同步报文。
其中,在通过所述待同步的高可用设备的网卡硬件的RSS算法确定该目标同步报文的同步五元组,可以设定同步五元组的源端口号,从而确定出目的端口号;或者也可以设定同步五元组的目的端口号,从而确定出源端口号;或者也可以同时确定源端口号和目的端口号。其中,根据所述待同步的高可用设备的网卡硬件的RSS算法计算确定五元组为现有技术,在此不再赘述。
在另一实施例中,当所述认证表项的更新数量较少时,为了保证当前设备和待同步的高可用设备的高可用性及认证表的高同步性,可以在距离上次生成同步报文的时长达到预设时长时,对待同步的高可用设备的认证表进行同步处理。示例地,该预设时长可以为0.1ms,即在距离上次生成同步报文的时长为0.1ms时,无论此时认证表中已更新但未同步的认证表项的数量为多少,都会对该认证表进行同步处理。示例地,若此时认证表中已更新但未同步的认证表项的数量为20个,则会将该认证表中的该20个已更新但未同步的认证表项作为本次待生成的目标同步报文的数据部分,进而生成目标同步报文。其中,生成目标同步报文的方式在上文已经详述,在此不再赘述。
在S33中,认证CPU根据预设的同步协议对目标同步报文进行封装,获得同步封装报文,并将同步封装报文发送至待同步的高可用设备的认证CPU。
其中,为了确定当前设备与待同步的高可用设备之间同步的安全性和有效性,可以预设各个同步设备之间传输目标同步报文所使用的同步协议,则可以根据同步设备之间的同步协议对目标同步报文进行封装并转发。
因此,通过上述技术方案,既可以有效降低当前设备与待同步的高可用设备之间同步的频率,又可以保证当前设备和待同步的高可用设备之间的认证表的高同步性,从而提高隧道报文认证转发系统的高可用性,提升用户使用体验。
另外,在生成目标同步报文时,通过待同步的高可用设备的网卡硬件的RSS算法确定同步五元组,从而可以使得同步封装报文可以直接发送至待同步的高可用设备的认证CPU,即,该同步封装报文发送至待同步的高可用设备时,可以由待同步的高可用设备的认证CPU所接收,使得待同步的高可用对目标同步报文进行处理时,不需要进行CPU切换,有效保证同步效率,同时也可以有效提高系统的健壮性。
可选地,当前转发CPU在接收到非预设类型的隧道报文时,需要将该非预设类型的隧道报文发送至逻辑CPU,以由其对该隧道报文进行解密,获得解密报文。之后逻辑CPU将该解密报文发送至转发CPU,以由转发CPU对该解密报文进行转发或丢弃。需要进行说明的是,当前转发CPU在接收到非预设类型的隧道报文,对该隧道报文进行处理的具体实施方式为现有技术,在此不再赘述。
本公开还提供一种隧道报文认证转发系统,所述系统包括:
网卡;
至少一个转发CPU,运行在用户态,与所述网卡通信,所述转发CPU被配置为执行转发CPU所执行方法的步骤。
可选地,所述系统还包括:
认证CPU,运行在用户态,所述认证CPU被配置为至少执行上述认证CPU所执行方法的步骤。
其中,在该隧道报文认证转发系统中,可以从转发CPU中预先指定一者作为认证CPU。在一实施例中,该认证CPU可以只被配置为实现认证报文相关的认证操作,即该认证CPU可以只执行上述认证CPU所执行方法的步骤。在另一实施例中,认证CPU可以被配置为实现认证报文相关的认证操作和对报文的转发操作,即该认证CPU可以执行上述转发CPU和认证CPU所执行方法的步骤。其中,具体实施方式在上文已经详述,在此不再赘述。
可选地,所述系统还包括:
至少一个逻辑CPU,运行在内核态,与所述至少一个转发CPU一一对应进行通信,所述逻辑CPU用于对接收到的非预设类型的隧道报文进行解密操作,获得解密报文,以及对所述解密报文对应的回复报文进行加密。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
以上结合附图详细描述了本公开的优选实施方式,但是,本公开并不限于上述实施方式中的具体细节,在本公开的技术构思范围内,可以对本公开的技术方案进行多种简单变型,这些简单变型均属于本公开的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本公开对各种可能的组合方式不再另行说明。
此外,本公开的各种不同的实施方式之间也可以进行任意组合,只要其不违背本公开的思想,其同样应当视为本公开所公开的内容。
Claims (10)
1.一种隧道报文认证转发方法,其特征在于,所述方法包括:
当前转发CPU对接收到的预设类型的隧道报文进行解封装,获得解封报文,所述解封报文为所述隧道报文去除掉外层首部后所得报文,所述当前转发CPU为隧道报文认证转发系统中的任一转发CPU,所述系统中的转发CPU运行在用户态;
当所述解封报文为非认证报文时,所述当前转发CPU根据所述解封报文查询所述系统中已创建的会话表;
在所述当前转发CPU未查询到与所述解封报文相对应的会话表时,当前转发CPU根据所述解封报文查询认证表,以确定是否能够为所述解封报文创建会话表项;
当确定能够为所述解封报文创建会话表项时,目标转发CPU根据所述解封报文和会话表相关信息,在所述目标转发CPU对应的会话表中创建会话表项,并基于该会话表项对所述解封报文进行转发,其中,所述会话表相关信息至少包括所述隧道报文的所述外层首部,所述目标转发CPU为所述系统中,用于接收所述解封报文对应的回复报文的转发CPU。
2.根据权利要求1所述的方法,其特征在于,在当前转发CPU确定能够为所述解封报文创建会话表项之后,在所述目标转发CPU根据所述解封报文和会话表相关信息,在所述目标转发CPU对应的会话表中创建会话表项,并基于该会话表项对所述解封报文进行转发的步骤之前,所述方法还包括:
所述当前转发CPU根据所述解封报文确定所述目标转发CPU;
若所述目标转发CPU不是所述当前转发CPU,所述当前转发CPU将所述解封报文与所述会话表相关信息发送至所述目标转发CPU。
3.根据权利要求2所述的方法,其特征在于,所述当前转发CPU根据所述解封报文确定目标转发CPU,包括:
所述当前转发CPU根据所述解封报文的内层首部中的五元组确定是否需要进行源地址转换;
在确定需要进行源地址转换时,所述当前转发CPU对所述解封报文的内层首部中的五元组进行源地址转换,获得目标五元组,并根据所述目标五元组确定与所述解封报文对应的回复报文的五元组;
在确定不需要进行源地址转换时,所述当前转发CPU根据所述内层首部中的五元组确定与所述解封报文对应的回复报文的五元组;
所述当前转发CPU根据所述回复报文的五元组,通过所述当前转发CPU所处的当前设备的网卡硬件的RSS算法确定所述目标转发CPU。
4.根据权利要求3所述的方法,其特征在于,在所述当前转发CPU进行了源地址转换的情况下,所述会话表相关信息还包括所述目标五元组;
所述目标转发CPU根据所述解封报文和会话表相关信息,在所述目标转发CPU对应的会话表中创建会话表项,包括:
在所述当前转发CPU进行了源地址转换的情况下,所述目标转发CPU根据所述解封报文的内层首部中的五元组和所述目标五元组创建会话表项;在所述当前转发CPU未进行源地址转换的情况下,所述目标转发CPU根据所述解封报文的内层首部中的五元组创建会话表项;
所述目标转发CPU在所创建的会话表项中存储所述外层首部。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
所述目标转发CPU在接收到所述解封报文对应的回复报文时,根据所述回复报文的五元组查询所述目标转发CPU对应的会话表,以确定与所述回复报文相对应的目标会话表项;
所述目标转发CPU根据所述目标会话表项中存储的所述外层首部对所述回复报文进行封装,获得封装的回复报文并对所述封装的回复报文进行转发。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述当前转发CPU查询到与所述解封报文相对应的会话表时,若所述查询到的会话表不是当前转发CPU对应的会话表,所述当前转发CPU将所述解封报文发送至所述查询到的会话表对应的转发CPU;
所查询到的会话表对应的转发CPU根据所述解封报文查询该会话表,并基于查询到的会话表项对所述解封报文进行转发。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述方法还包括:
当所述解封报文为认证报文时,若所述当前转发CPU不作为所述系统中的认证CPU,所述当前转发CPU将所述解封报文发送至所述系统中的所述认证CPU,以由所述认证CPU对所述解封报文携带的认证信息进行认证,其中,所述系统中的一个转发CPU被指定作为所述认证CPU。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述认证CPU在接收到所述解封报文时,在对所述解封报文携带的认证信息进行认证通过后,根据所述认证信息更新所述认证表;
在所述认证表中已更新但未同步的认证表项的数量达到预设阈值或者距离上次生成同步报文的时长达到预设时长时,所述认证CPU将所述认证表中已更新但未同步的认证表项确定为本次待生成的目标同步报文的数据部分;根据所述认证CPU所处的当前设备和待同步的高可用设备的地址信息、以及所述待同步的高可用设备的网卡硬件的RSS算法确定所述目标同步报文的同步五元组,基于所述数据部分和所述同步五元组生成所述目标同步报文,其中,所述目标同步报文用于所述待同步的高可用设备的认证CPU对该高可用设备的认证表进行同步处理;
所述认证CPU根据预设的同步协议对所述目标同步报文进行封装,获得同步封装报文,并将所述同步封装报文发送至所述待同步的高可用设备的认证CPU。
9.一种隧道报文认证转发系统,其特征在于,所述系统包括:
网卡;
至少一个转发CPU,运行在用户态,与所述网卡通信,所述转发CPU被配置为执行权利要求1-7中任一项所述的方法的步骤。
10.根据权利要求9所述的系统,其特征在于,所述系统还包括:
认证CPU,运行在用户态,所述认证CPU被配置为至少执行权利要求8所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810827374.9A CN109194558B (zh) | 2018-07-25 | 2018-07-25 | 隧道报文认证转发方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810827374.9A CN109194558B (zh) | 2018-07-25 | 2018-07-25 | 隧道报文认证转发方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109194558A true CN109194558A (zh) | 2019-01-11 |
CN109194558B CN109194558B (zh) | 2021-03-05 |
Family
ID=64937368
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810827374.9A Active CN109194558B (zh) | 2018-07-25 | 2018-07-25 | 隧道报文认证转发方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109194558B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111131046A (zh) * | 2019-12-16 | 2020-05-08 | 东软集团股份有限公司 | 报文转发方法和多核系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103312601A (zh) * | 2013-05-31 | 2013-09-18 | 汉柏科技有限公司 | 用户态到内核态的数据报文处理方法 |
CN103825842A (zh) * | 2014-02-28 | 2014-05-28 | 杭州华三通信技术有限公司 | 一种多cpu系统的数据流处理方法和装置 |
US20140189132A1 (en) * | 2008-11-25 | 2014-07-03 | Citrix Systems, Inc. | Systems and methods for gslb based on ssl vpn users |
CN106789617A (zh) * | 2016-12-22 | 2017-05-31 | 东软集团股份有限公司 | 一种报文转发方法及装置 |
CN107948071A (zh) * | 2016-10-12 | 2018-04-20 | 北京金山云网络技术有限公司 | 报文转发方法及装置 |
CN108183919A (zh) * | 2018-01-18 | 2018-06-19 | 华为技术有限公司 | 报文转发方法及vxlan网关 |
US20180191631A1 (en) * | 2016-12-30 | 2018-07-05 | Intel Corporation | Flexible packet processing |
-
2018
- 2018-07-25 CN CN201810827374.9A patent/CN109194558B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140189132A1 (en) * | 2008-11-25 | 2014-07-03 | Citrix Systems, Inc. | Systems and methods for gslb based on ssl vpn users |
CN103312601A (zh) * | 2013-05-31 | 2013-09-18 | 汉柏科技有限公司 | 用户态到内核态的数据报文处理方法 |
CN103825842A (zh) * | 2014-02-28 | 2014-05-28 | 杭州华三通信技术有限公司 | 一种多cpu系统的数据流处理方法和装置 |
CN107948071A (zh) * | 2016-10-12 | 2018-04-20 | 北京金山云网络技术有限公司 | 报文转发方法及装置 |
CN106789617A (zh) * | 2016-12-22 | 2017-05-31 | 东软集团股份有限公司 | 一种报文转发方法及装置 |
US20180191631A1 (en) * | 2016-12-30 | 2018-07-05 | Intel Corporation | Flexible packet processing |
CN108183919A (zh) * | 2018-01-18 | 2018-06-19 | 华为技术有限公司 | 报文转发方法及vxlan网关 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111131046A (zh) * | 2019-12-16 | 2020-05-08 | 东软集团股份有限公司 | 报文转发方法和多核系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109194558B (zh) | 2021-03-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Shin et al. | A security protocol for route optimization in DMM-based smart home IoT networks | |
Jiang et al. | A Blockchain-Based Authentication Protocol for WLAN Mesh Security Access. | |
Chaudhry et al. | A lightweight authentication scheme for 6G-IoT enabled maritime transport system | |
US11799659B2 (en) | Method, architecture and devices for the realization of an encrypted communication protocol of encrypted data packets named ‘Transport Encrypted Protocol’ (TEP) | |
CN107819732B (zh) | 用户终端访问本地网络的方法和装置 | |
CN106878199B (zh) | 一种接入信息的配置方法和装置 | |
CN103179100A (zh) | 一种防止域名系统隧道攻击的方法及设备 | |
CN103701700A (zh) | 一种通信网络中的节点发现方法及系统 | |
JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
CN104917605A (zh) | 一种终端设备切换时密钥协商的方法和设备 | |
Durand et al. | Decentralized LPWAN infrastructure using blockchain and digital signatures | |
CN106464596A (zh) | 开放流通信方法、系统、控制器和业务网关 | |
CN111970699A (zh) | 一种基于ipk的终端wifi登陆认证方法以及系统 | |
CN103067411B (zh) | 防止DS-Lite组网中的DoS攻击方法和装置 | |
Raza et al. | vepc-sec: Securing lte network functions virtualization on public cloud | |
Kumar et al. | Design of secure session key using unique addressing and identification scheme for smart home Internet of Things network | |
CN103327020A (zh) | 一种基于区域划分的安全接入方法和系统 | |
Gondaliya et al. | Comparative evaluation of IP address anti-spoofing mechanisms using a P4/NetFPGA-based switch | |
CN109194558A (zh) | 隧道报文认证转发方法及系统 | |
CN109891857A (zh) | 防止中立主机网络中移动会话标识符的冲突 | |
CN111181730A (zh) | 用户身份生成及更新方法和装置、存储介质和节点设备 | |
CN105898720B (zh) | 一种短消息的处理方法、装置及系统 | |
CN117375862A (zh) | 报文转发方法、系统、网络设备、存储介质及程序产品 | |
Raheem et al. | A secure authentication protocol for IP-based wireless sensor communications using the Location/ID Split Protocol (LISP) | |
CN109792607A (zh) | 用于中立主机网络的移动会话标识符的生成 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |