CN109274647B - 分布式可信内存交换方法及系统 - Google Patents
分布式可信内存交换方法及系统 Download PDFInfo
- Publication number
- CN109274647B CN109274647B CN201810979248.5A CN201810979248A CN109274647B CN 109274647 B CN109274647 B CN 109274647B CN 201810979248 A CN201810979248 A CN 201810979248A CN 109274647 B CN109274647 B CN 109274647B
- Authority
- CN
- China
- Prior art keywords
- data exchange
- server
- data
- exchange
- rdma
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
- G06F13/20—Handling requests for interconnection or transfer for access to input/output bus
- G06F13/28—Handling requests for interconnection or transfer for access to input/output bus using burst mode transfer, e.g. direct memory access DMA, cycle steal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
- H04L67/5681—Pre-fetching or pre-delivering data based on network characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
Abstract
本发明涉及一种分布式可信内存交换方法及系统。它解决了现有技术设计不够合理等问题。包括以下步骤:发送端的数据交换请求方发出数据请求,进行可信认证,发送端和/或接收端的数据交换服务器分别采用远程直接内存存取RDMA方法向数据库文件服务器读取数据,发送端的数据交换服务器和接收端的数据交换服务器之间采用远程直接内存存取RDMA方法进行数据交换。优点在于:将FAENIC卡与集群和分布式数据文件服务器、交换服务器、可信认证注册管理服务器有机结合,组成分布式可信内存交换系统。充分发挥了FAENIC卡的高速、高效、加密的特点,融入了可信认证机制和审计接口,增加了数据交换接入的安全性,结合集群、分布式的优点。
Description
技术领域
本发明属于网络设备技术领域,尤其是涉及一种分布式可信内存交换方法及系统。
背景技术
随着国家整体信息化程度的提高以及电子政务建设的全面推进,实现社会各行业单位、政府部门信息共享的需求日益增加。为了保障各单位、部门关联业务互联互通、信息资源共享的安全性,在电子政务等企事业单位网络中已广泛应用了数据交换系统。数据交换系统主要由部署在数据交换两侧的服务器组成,提供基于数据库、文件的安全交换。主要功能有:1.安全认证,支持对网络内可信终端、计算机等设备的注册认证,拒绝非注册设备的访问请求。2.支持主流数据库的接入适配,采用中间件技术,将源数据转换为序列化文件进行传输,目的端自动将序列化文件转换为目标格式。
随着网络信息安全技术的发展,数据交换平台提供各子系统接入的接口,实现数据交换平台和各信息系统的有机结合,以统一的接口规范实现数据自动提取、数据转换、数据发送、数据校验、数据审核等,同时支持数据同步、历史数据迁移等。实现“统一标准,统一交换”的构想。为不同数据库、不同数据格式之间,进行数据交换而提供服务的平台。数据交换系统中的服务器与网络的连接采用网卡,其性能和稳定性对于网络通讯来说至关重要,随着通讯技术的不断发展,服务器及其网卡性能也在不断提升。但面对大数据交换、高并发等应用的快速增长,现有TCP/IP软硬件架构和应用高CPU消耗的技术特征导致服务器应用程序运行速度慢,数据交换效率低的问题日趋突出。另外从信息安全方面考虑,数据交换服务器需要做统一可信认证授权管理,交换数据做加密保护,这其中用到的密码设备大多采用密码卡加上工控机主板这类架构方式。
在以太网数据交换系统典型数据传输如图1:数据库服务器1的数据经应用层软件的缓冲区→操作系统TCP/IP协议栈缓冲区(经过层层封装)→驱动层的缓冲区→网卡的缓冲区,最后通过网络传输到接收端数据交换服务器A;接收端数据交换服务器A则通过反方向的层层解析,应用程序才能得到发送端传输过来的数据。为适配不同类型的数据库和文件,一般采用中间件技术,将源数据转换为序列化文件后再进行传输。通过以太网进行数据传输前,同样需经应用层软件的缓冲区→操作系统TCP/IP协议栈缓冲区(经过层层封装)→驱动层的缓冲区→网卡的缓冲区,最后通过网络传输到接收端数据交换服务器B;在以上数据传输过程中,不管是数据库服务器与数据交换服务器,还是数据交换服务器间的数据传输,其网络层,传输层,应用层都要消耗CPU资源,运行基本流程如下:服务器1上的应用程序A向服务器2上的应用B发送数据。作为传输的一部分,服务器2上的内核必须首先接收并解析数据包报头,确定数据属于应用程序B,然后唤醒应用程序B,等待应用程序B执行系统调用到内核,最后复制数据从内核自己的内存空间到应用程序B提供的缓冲区中。这个过程意味着大多数网络通信必须至少在系统的主内存总线上复制两次(一次当主机网卡使用DMA(直接内存存取)将数据放入内核提供的内存缓冲区,另一次内核将数据移动到应用程序的内存缓冲区时),这还意味着计算机必须执行多个上下文切换以在内核上下文和应用程序B上下文之间切换。
上述以太网数据交换系统,存在以下缺点:1.文件格式的转换效率低下,并且存在多次转换现象。2.一次数据交换中存在多次上、下文切换及内存复制操作,当网络流量较高时,上述缺点会更加明显,因为单位时间内需处量的报文数量越多,会导致服务器系统带来极高的CPU负载,并降低其它任务的处理速度及数据交换传输的效率。同样,如果服务器应用较多时会消耗大量CPU资源,降低了服务器处理速度,制约了数据交换的效率。3.网络协议复杂开发难度较大,技术涉及面广,延长了产品开发周期,产品的功能、性能、及稳定性相对更难保证。4.交换格式的调整,会导致数据交换服务器应用程序重新开发。
为了提高以太网服务器间数据交换的效率,常用方法主要是提高硬件性能、采用更高速率传输协议、采用集群或分布式方式。
1、采用最高性能的服务器及网络设备,其拥有多CPU(处理器)多核,较大的内存空间,更高的单端口带宽,如将原来速率为1Gbps(千兆)网口升级为10Gbps(万兆)或更大的20G,40G等,以提高数据处理速度及传输速率。但代价是高昂的成本,对现有网络进行改造的话很可能工程量巨大。
2、采用更高速的传输协议,克服了传输数据软件的固有瓶颈,提高传输速率,虽然在应用层有一定改善,但它仍然大量依赖于服务器的CPU、TCP/IP栈,所以还是会存在以上问题。
3、采用集群或分布式方式,即将同一业务部署在多台服务器上,如数据库服务器及数据交换服务器,通过集群结构来改进、提升单台服务器的工作速度及可靠性,或者将一个业务拆分成多个子业务,由不同服务器在完成。由于一些新技术的出现使原架构中单服务器的性能还有提升空间,放弃提升单服务器的性能而直接采用集群或分布式方式,并不是优选的解决方案。
以往我们将目光都集中在了软件定义网络技术的普及,10G、20G网卡单端口带宽的提升等单方面的新技术,而忽略了整体性能。一个网络的性能高低与每个环节都息息相关,并不是简单地将网络出口由1G换成10G或20G就能改变的,从流量访问一直到应用软件的处理都需要提升,最大的瓶颈在哪里?对于一台交换机,其端口能做线速转发是基本要求,但对于服务器来说就很困难,正如之前所分析的那样因为服务器收到数据流量还要解析,将每个报文的内容都要解析出来,然后提供给应用层软件,发送数据也类似,需要进行层层封装后才交给网卡。为什么交换机能做到线速转发呢?主要是交换机往往做三层解析就足够,而且是由专门芯片来完成,不消耗CPU资源。
从信息安全方面考虑,数据交换服务器需要做统一可信认证授权管理,这其中用到的密码设备大多采用密码卡加上工控机主板这种架构方式。应用系统采用用户名加口令方式实现身份认证,网络之间的信息传输都是明文。这种传统的认证方式存在很多的安全隐患,信息极易泄密。而使用PKI/CA证书体系的身份认证机制,需要事先申请证书,这对用户来说申请过程繁琐、使用复杂,对应用商来说开发难度大、部署困难,难以推广。这类架构在性能(额外占用PCI-E插槽)、成本(需要另购密码卡)、系统应用等方面都有改进空间。因此,设计出一种数据交换传输的效果好的数据交换系统显得尤为必要和迫切。
发明内容
本发明的目的是针对上述问题,提供一种易于实施的分布式可信内存交换方法。
本发明的另一个目的是针对上述问题,提供一种硬件架构简单,提高数据交换效果和安全性的分布式可信内存交换系统。
为达到上述目的,本发明采用了下列技术方案:本分布式可信内存交换方法,包括以下步骤:
S1:发送端的数据交换请求方发出数据请求,发送端的数据交换服务器经可信认证注册管理服务器进行可信认证,
S2:发送端和/或接收端的数据交换服务器分别采用远程直接内存存取RDMA方法向数据库文件服务器读取数据,发送端的数据交换服务器和接收端的数据交换服务器之间采用远程直接内存存取RDMA方法进行数据交换。
本发明首先采用一种新技术来降低数据交换对服务器CPU资源的消耗,以最大程度提升单台服务器的数据交换性能。其次,寻找一种新兴的加密技术并运用到可信认证和数据加密中,以优化或解决现有技术存在的可信认证及传输数据加密问题。最后,当单台服务器性能已经不能满足需求时,采用集群和分布式组合结构,采用分布式结构,将不同业务部署在不同的服务器上,当相同业务处理存在瓶颈时,采用集群方式来增加单业务处理能力,采用这类组合方式以最大程度提升整个系统的性能。即数据交换前服务器先经可信认证注册管理服务器的认证,然后根据用户的需求,数据交换服务器的应用程序向数据库、文件服务器读取数据,数据交换服务器可设计支持多种类型的数据库,并对应不同数据库建立不同交换通道。读取的数据可通过可信远程内存交换卡上传到远端的数据交换服务器。在此交换系统中,服务器间数据交换部分均采用基于RDMA技术进行数据传输。
在上述的分布式可信内存交换方法中,在步骤S2中,发送端的远程直接内存存取RDMA方法包括以下步骤:
获取可使用RDMA设备并完成初始化;
创建用于跟踪通信信息的标识符ID;
将目的IP地址映射到RDMA地址;
创建RDMA设备相关的上下文context;
远程直接内存存取RDMA连接;
与服务端交换缓存地址和访问密钥;
远程的缓冲数据被读到本地缓冲区或者,本地缓冲数据被写到远程缓冲区;
数据交换结束,断开连接。
在上述的分布式可信内存交换方法中,在步骤S2中,接收端的远程直接内存存取RDMA方法及发送端和接收端之间的远程直接内存存取RDMA方法包括以下步骤:
获取可使用RDMA设备并完成初始化;
创建用于跟踪通信信息的标识符ID;
绑定本地地址和端口;
远程直接内存存取RDMA连接监听;
接收发送端的远程直接内存存取RDMA连接及创建RDMA设备相关的上下文context;
接受客户端连接请求;
与客户端交换缓存地址和访问密钥;
远程的缓冲数据被读到本地缓冲区;或者,本地缓冲数据被写到远程缓冲区;
数据交换结束,断开连接。
在上述的分布式可信内存交换方法中,创建RDMA设备相关的上下文context的方法包括以下步骤:
判断是否第一次启动;若判断为第一次启动;
创建完成通道;
创建完成用户定制队列CQ;
创建保护域PD;
创建队列QP;
申请并注册RDMA缓存空间MR;
若判断非第一次启动;
直接进行创建保护域PD;
创建队列QP;
申请并注册RDMA缓存空间MR。
在上述的分布式可信内存交换方法中,断开连接的步骤包括:
释放QP;
释放MR;
释放ID;
关闭通信通道。
在上述的分布式可信内存交换方法中,在步骤S1中,可信认证包括以下步骤:
数据交换服务器要向可信认证注册管理服务器发送数据交换请求,数据交换服务器在自己的信任标识域中加入可信认证注册管理服务器的公钥标识,然后采用可信认证注册管理服务器的公钥标识加密交换请求数据,再使用自己的标识进行签名并发送给可信认证注册管理服务器;
可信认证注册管理服务器收到数据交换服务器的信件,将通过已有的私钥对数据交换服务器的信件进行解密认证;
解密成功后,可信认证注册管理服务器看到了数据交换请求的内容,同时可以看到数据交换服务器对数据所做的签名,该信件进行准确的身份认证,认证通过后,双方可以协商进行数据交换。
在上述的分布式可信内存交换方法中,通过已有的私钥对数据交换服务器的信件进行解密认证;
若可信认证注册管理服务器收到数据交换服务器的信件,没有私钥对数据交换服务器的信件进行解密认证时;需向认证授权管理服务器认证并申请得到对应可信认证注册管理服务器的私钥。
本分布式可信内存交换系统,包括两个数据交换区域,每一个数据交换区域内均具有数据库文件服务器和数据交换服务器,且两个数据交换区域内的数据交换服务器均和可信认证注册管理服务器相连,所述的数据库文件服务器和数据交换服务器内均具有FAENIC卡,同一个数据交换区域内的数据库文件服务器和数据交换服务器中的FAENIC卡通过网络连接且两个数据交换区域内的数据交换服务器中的FAENIC卡通过网络连接。
本发明主要由数据交换两个区域的数据库文件服务器,数据交换服务器,可信认证注册管理服务器等组成。本发明的分布式可信内存交换系统来替代原有方案的数据交换系统,在本发明系统中采用基于ASIC可信远程内存交换卡替代原有方案中的普通网卡,来提升单台服务器的数据交换性能,并结合集群及分布式结构组成数据交换系统。目的在于提高以太网数据交换服务器工作效率,大大降低数据交换对服务器CPU资源的消耗,提高数据交换速率。在此交换卡中还具有加密、解密功能,配合可信认证服务器,能实现数据交换前的可信认证和授权。特别是对已有服务器及网络设备不进行大改,或者新增设备的情况下均是一种理想的方案。
此方案中具有RDMA功能的ASIC属于专用定制功能的FAENIC卡,相比采用FPGA开发RDMA在难度、成本方面都较低,设计周期也短,ASIC技术运用成熟稳定可加速产品上市进程,所以这类芯片在大部分RDMA网络通信里应用很广泛。而FPGA具有并行处理、运算高效的优势,但开发难度大,适合应用于特定场合。本方案充分发挥ASIC和FPGA优点,将其有机结合,采用ASIC芯片完成其善长的RDMA部分,用FPGA来完成光纤链路收发,加、解密运算等功能。
在上述的分布式可信内存交换系统中,所述的数据交换服务器的FAENIC卡上具有审计接口,且所述的审计接口和审计服务器相连。
在上述的分布式可信内存交换系统中,所述的FAENIC卡上具有可信认证模块的算法模块,且所述的可信认证模块的算法模块支持的算法包括SM4国密对称算法、SM2非对称算法、SM9非对称算法、SM3杂凑算法中的任意一种或多种组合。
与现有的技术相比,本分布式可信内存交换方法及系统的优点在于:本发明独创性的将FAENIC卡(FPGA ASIC Encrypt Network Interface Card)与集群和分布式数据文件服务器、交换服务器、可信认证注册管理服务器有机结合,组成分布式可信内存交换系统。充分发挥了FAENIC卡的高速、高效、加密的特点,融入了可信认证机制和审计接口,增加了数据交换接入的安全性,结合集群、分布式的优点,使系统性能得到线性增加。
FAENIC卡充分发挥ASIC和FPGA优点,将其有机结合,采用ASIC芯片完成其善长的RDMA部分,用FPGA来完成光纤链路高速收发,加、解密运算等功能。独创性的将FPGA、ASIC以太网控制器(支持RDMA)、加密技术三种关键技术结合在一张板卡的方式,充分利用了以太网控制器开发难度、成本低,设计周期短,可靠性高,功耗低、尺寸小,结合FPGA并行处理、运算高效的特点,并嵌入了加密卡技术。通过在板卡中采用这些方法,不仅能提高数据交换的速率,提升服务CPU的处理能力,同时也增加了数据交换的安全性。本发明是低成本、性价比高、通用性强的方案。
附图说明
图1为传统架构的数据交换系统示意图;
图2为本发明中分布式可信内存交换系统示意图;
图3为本发明中数据交换流程图;
图4为采用RDMA技术的数据交换的示意图;
图5为RDMA接口架构图;
图6为本发明中创建RDMA设备相关的上下文context
的流程图;
图7为PKI/CA系统可信认证流程图;
图8为基于SM9的可信认证流程图;
图9为本发明中FAENIC卡的原理图;
图中,线路板1、电源电路11、SFP+万兆光接口12、电路状态指示模块13、串口模块14、micro USB接口15、状态指示灯16、FPGA芯片2、EEPROM存储器21、Flash存储器22、SDRAM内存23、时钟电路24、调试接口25、拨码开关26、算法模块27、安全模块28、物理噪声源模块29、PCI-E接口3、ASIC以太网控制器4、IIC接口41、下载接口42、控制器Flash存储器43、控制器EEPROM存储器44、控制器时钟电路45、数据交换服务器5、审计接口51、审计服务器52、可信认证注册管理服务器6、数据库文件服务器7。
具体实施方式
下面结合附图和具体实施方式对本发明做进一步详细的说明。
如图2-3所示,本分布式可信内存交换方法,包括以下步骤:
S1:发送端的数据交换请求方发出数据请求,发送端的数据交换服务器5经可信认证注册管理服务器6进行可信认证,
S2:发送端和/或接收端的数据交换服务器5分别采用远程直接内存存取RDMA方法向数据库文件服务器7读取数据,发送端的数据交换服务器5和接收端的数据交换服务器5之间采用远程直接内存存取RDMA方法进行数据交换。
本发明首先采用一种新技术来降低数据交换对服务器CPU资源的消耗,以最大程度提升单台服务器的数据交换性能。其次,寻找一种新兴的加密技术并运用到可信认证和数据加密中,以优化或解决现有技术存在的可信认证及传输数据加密问题。最后,当单台服务器性能已经不能满足需求时,采用集群和分布式组合结构,采用分布式结构,将不同业务部署在不同的服务器上,当相同业务处理存在瓶颈时,采用集群方式来增加单业务处理能力,采用这类组合方式以最大程度提升整个系统的性能。即数据交换前服务器先经可信认证注册管理服务器6的认证,然后根据用户的需求,数据交换服务器5的应用程序向数据库文件服务器7读取数据,数据交换服务器5可设计支持多种类型的数据库,并对应不同数据库建立不同交换通道。读取的数据可通过可信远程内存交换卡上传到远端的数据交换服务器5。在此交换系统中,服务器间数据交换部分均采用基于RDMA技术进行数据传输。
RDMA是(Remote Direct Memory Access远程直接数据存取技术)的缩写,通俗的说可以看成是远程的DMA技术,为了解决网络传输中服务器端数据处理的延迟而产生的。RDMA允许用户态的应用程序直接读取或写入远程内存,而无内核干预和内存拷贝发生。起初,只应用在高性能计算领域,最近,由于在大规模分布式系统和数据中心中网络瓶颈越来越突出,逐渐走进越来越多人的视野。RDMA提供了从一台计算机的内存到另一台计算机的内存的直接访问,而不涉及任何一台计算机的操作系统。这种技术能够实现高吞吐量、低延迟、低CPU利用率的网络。RDMA目前有三种承载网络,其中基于Ethernet network以太网的RoCE(RDMA over Converged Ethernet)应用的最广泛。
此方案中RDMA远程直接数据存取技术提供了从一台计算机的内存到另一台计算机的内存的直接访问,而不涉及任何一台计算机的操作系统。这种技术能够实现高吞吐量、低延迟、低CPU利用率的网络。
如图4所示,RDMA传输不同于现有的IP(网际层)传输,因为它们绕过了数据传输过程中的内核干预,并且在此过程中大大减少了处理网络数据通常需要的CPU开销。RDMA协议让服务器知道何时有数据包来自网络,哪个应用程序应该接收该数据包,以及它应该去应用程序那块内存空间中。(而不是将数据包发送到要处理的内核,然后复制到用户应用程序的内存中)它是将数据包的内容直接放置在应用程序的缓冲区中,而无需进行任何进一步的干预。然而,它不能使用大多数IP网络应用程序所基于的标准套接字API(应用程序编程接口)来完成,因此它必须提供自己的AP,如图5所示,并且应用程序必须移植到此API中,然后才能直接使用RDMA技术。
如图3所示,在步骤S2中,发送端的远程直接内存存取RDMA方法包括以下步骤:
获取可使用RDMA设备并完成初始化;
创建用于跟踪通信信息的标识符ID;
将目的IP地址映射到RDMA地址;
创建RDMA设备相关的上下文context;
远程直接内存存取RDMA连接;
与服务端交换缓存地址和访问密钥;
远程的缓冲数据被读到本地缓冲区或者,本地缓冲数据被写到远程缓冲区;
数据交换结束,断开连接。
在步骤S2中,接收端的远程直接内存存取RDMA方法及发送端和接收端之间的远程直接内存存取RDMA方法包括以下步骤:
获取可使用RDMA设备并完成初始化;
创建用于跟踪通信信息的标识符ID;
绑定本地地址和端口;
远程直接内存存取RDMA连接监听;
接收发送端的远程直接内存存取RDMA连接及创建RDMA设备相关的上下文context;
接受客户端连接请求;
与客户端交换缓存地址和访问密钥;
远程的缓冲数据被读到本地缓冲区;或者,本地缓冲数据被写到远程缓冲区;
数据交换结束,断开连接。
断开连接的步骤包括:
释放QP;
释放MR;
释放ID;
关闭通信通道。
如图6所示,创建RDMA设备相关的上下文context的方法包括以下步骤:
判断是否第一次启动;若判断为第一次启动;
创建完成通道;
创建完成用户定制队列CQ;
创建保护域PD;
创建队列QP;
申请并注册RDMA缓存空间MR;
若判断非第一次启动;
直接进行创建保护域PD;
创建队列QP;
申请并注册RDMA缓存空间MR。
在数据交换的可信认证方面,目前大多数应用系统采用用户名加口令方式实现身份认证,或者使用PKI/CA证书体系的身份认证机制。为了简化具体安全应用中PKI需要大量交换数字证书的问题,使安全应用更加易于部署和使用,1984年以色列密码学家提出IBC标识密码算法概念,经过近20多年的发展,在2008年我国将IBC技术标准化为中国国家算法标准,并获得国家密码管理局颁发的商密算法型号:SM9(商密九号算法),为我国标识密码技术的应用奠定了坚实的基础。随着互联网的日益普及,SM9算法在电子政务、电子商务、电子娱乐、移动办公、移动商务等领域将有更广泛的应用。为确保数据交换的安全,在数据交换前需进行可信认证,目前广泛应用的PKI/CA系统,如图7所示,基本流程如下:
1、A首先向认证服务器发起可信认证请求,包括自己的身份和随机数,及自已和认证服务器之间共享密钥KA加密的B身份和随机数。
2、认证服务器收到后,根据A的身份找到与A共享的密钥KA解密数据后,首先比较解密得到的随机数与外面的随机数是否相等。若相等,则表明解密正确,实现对A身份的认可。然后认证服务器根据之前解密获得的B身份,表明A需要和B进行认证,它查找得到与B的共享密钥KB,用KB加密身份A和B,表明这一证明是为B认证A而生成的。然后认证服务器将证书发给了A。
3、A收到证书后,转发给了B,(或者认证服务器发给A和B)。
4、B得到证书后,用KB解密证书,对比双方的身份,从而实现对A的认证,认证通过后,双方可以协商进行数据交换了。可采用认证时密钥进行加密传输数据或协商采用其它的密钥,即认证与传输采用不同密钥。
基于IBC技术的SM9加密算法应用相比PKI/CA具有灵活的安全策略、成本低、管理方便等明显的效率和运营优势,所以板卡还支持基于标识密码算法SM9的可信认证。
如图8所示,基本流程如下:
1、“用户X”要向“用户Y”发送数据交换请求,“用户X”在自己的信任标识域中加入“用户Y”的公钥标识(如E-mail地址),然后采用“用户Y”E-mail加密交换请求数据,再使用自己的标识(如E-mail地址)进行签名并发送给“用户Y”。
2、“用户Y”收到了“用户X”的信件,将通过已有的私钥对“用户X”的信件进行解密认证(如果没有私钥的话,需向认证授权管理服务器认证并申请得到对应“用户Y”的私钥),在这个解密和认证的过程中,“用户Y”是不需要与服务器进行认证,因此可以做到离线解密认证。
3、解密成功后“用户Y”看到了数据交换请求的内容,同时可以看到“用户X”对数据所做的签名,所以对该邮件进行准确的身份认证。认证通过后,双方可以协商进行数据交换了。可采用认证时密钥进行加密传输数据或协商采用其它的密钥,即认证与传输采用不同密钥。
此板卡的加密部分支持国密对称算法(SM4)、非对称算法(SM2、SM9)、杂凑算法(SM3)等。可对交换数据进行加密传输,保证数据交换安全性。
具体来讲,如图2所示,在步骤S1中,可信认证包括以下步骤:
数据交换服务器5要向可信认证注册管理服务器6发送数据交换请求,数据交换服务器5在自己的信任标识域中加入可信认证注册管理服务器6的公钥标识,然后采用可信认证注册管理服务器6的公钥标识加密交换请求数据,再使用自己的标识进行签名并发送给可信认证注册管理服务器6;
可信认证注册管理服务器6收到数据交换服务器5的信件,将通过已有的私钥对数据交换服务器5的信件进行解密认证;
解密成功后,可信认证注册管理服务器6看到了数据交换请求的内容,同时可以看到数据交换服务器5对数据所做的签名,该信件进行准确的身份认证,认证通过后,双方可以协商进行数据交换。
通过已有的私钥对数据交换服务器5的信件进行解密认证;
若可信认证注册管理服务器6收到数据交换服务器5的信件,没有私钥对数据交换服务器5的信件进行解密认证时;需向认证授权管理服务器认证并申请得到对应可信认证注册管理服务器6的私钥。
如图2所示,本实施例中的分布式可信内存交换系统,包括两个数据交换区域,每一个数据交换区域内均具有数据库文件服务器7和数据交换服务器5,且两个数据交换区域内的数据交换服务器5均和可信认证注册管理服务器6相连,数据库文件服务器7和数据交换服务器5内均具有FAENIC卡,同一个数据交换区域内的数据库文件服务器7和数据交换服务器5中的FAENIC卡通过网络连接且两个数据交换区域内的数据交换服务器5中的FAENIC卡通过网络连接。
其中,这里的数据交换服务器5的FAENIC卡上具有审计接口51,且审计接口51和审计服务器52相连。FAENIC卡上具有算法模块27的可信认证模块,且可信认证模块的算法模块27支持的算法包括SM4国密对称算法、SM2非对称算法、SM9非对称算法、SM3杂凑算法中的任意一种或多种组合。
本发明主要由数据交换两个区域的数据库文件服务器7,数据交换服务器5,可信认证注册管理服务器6等组成。本发明的分布式可信内存交换系统来替代原有方案的数据交换系统,在本发明系统中采用基于ASIC可信远程内存交换卡替代原有方案中的普通网卡,来提升单台服务器的数据交换性能,并结合集群及分布式结构组成数据交换系统。目的在于提高以太网数据交换服务器工作效率,大大降低数据交换对服务器CPU资源的消耗,提高数据交换速率。在此交换卡中还具有加密、解密功能,配合可信认证服务器,能实现数据交换前的可信认证和授权。特别是对已有服务器及网络设备不进行大改,或者新增设备的情况下均是一种理想的方案。
此方案中具有RDMA功能的ASIC属于专用定制功能的FAENIC卡,相比采用FPGA开发RDMA在难度、成本方面都较低,设计周期也短,ASIC技术运用成熟稳定可加速产品上市进程,所以这类芯片在大部分RDMA网络通信里应用很广泛。而FPGA具有并行处理、运算高效的优势,但开发难度大,适合应用于特定场合。本方案充分发挥ASIC和FPGA优点,将其有机结合,采用ASIC芯片完成其善长的RDMA部分,用FPGA来完成光纤链路收发,加、解密运算等功能。
如图9所示,这里的FAENIC卡包括线路板1,线路板1上设有FPGA芯片2,FPGA芯片2上连接有芯片外围电路,电路板1上设有与FPGA芯片2相连的ASIC以太网控制器4,ASIC以太网控制器4为支持具有RDMA功能的ASIC以太网控制器,线路板1上设有和FPGA芯片2相连的可信认证模块,ASIC以太网控制器4上分别连接有IIC接口41、下载接口42及其外围电路,在线路板1上设有与ASIC以太网控制器4相连的PCI-E接口3,在线路板1上还设有分别和线路板1与FPGA芯片2相连的电源电路11,且FPGA芯片2还分别和若干设置在线路板1上的SFP+万兆光接口12相连。
优选地,这里的芯片外围电路包括分别依次设置在线路板1上且和FPGA芯片2相连的EEPROM存储器21、Flash存储器22、SDRAM内存23和时钟电路24,这里的外围电路包括设置在线路板1上且分别和ASIC以太网控制器4相连的控制器Flash存储器43、控制器EEPROM存储器44以及控制器时钟电路45。
进一步地,这里的可信认证模块包括设置在线路板1上且分别和FPGA芯片2相连的算法模块27、安全模块28以及物理噪声源模块29。
其中,这里的FPGA芯片2分别和设置在线路板1上的调试接口25和拨码开关26相连。这里的线路板1上设有至少一个和FPGA芯片2相连的电路状态指示模块13。
优选地,在线路板1上分别设有串口模块14和micro USB接口15,FPGA芯片2连接有若干设置在线路板1上的状态指示灯16,这里的状态指示灯16主要用于显示对应的SFP+万兆光接口12光纤链路是否连通指示及数据传输、速率指示作用。
其中:FPGA芯片2主用于光纤接口数据收发、配合算法模块27进行数据解密或加密,然后传输给以及网控制器进行处理。
ASIC以太网控制器4利用RoCE(RDMA over Converged Ethernet)技术提供高效的RDMA功能,向带宽和延迟敏感应用领域提供低延迟和高性能的服务。不同系列的以太网控制器提供不同数量的光接口,速率可从支持10G/40G/56G/100G甚至更高。在全双工通讯时,一方面ASIC以太网控制器4通过PCI-E接口3接收来自服务器应用软件的数据,然后发送给FPGA芯片2进行加密后据通过板卡的光口发送到网络上,另一方面,此板卡的光口接收来自网络的数据,经FPGA芯片2解密后传输给ASIC以太网控制器4,其将发送给本服务器的数据缓存在板卡的内存中,供服务器应用程序读取。
FPGA芯片2的EEPROM存储器21主要用于存储密钥等关键数据,Flash存储器22用于存储FPGA芯片2配置程序,SDRAM内存23用于缓存接收、发送的数据。
这里的算法模块27主要实现国密对称算法(SM4等)、非对称算法(SM2、SM9等)、杂凑算法(SM3等)。安全模块28主要用于密钥等关键数据的安全,一旦检测到不符合接口要求的非法访问,安全模块将清除密钥等关键数据,防止泄密。物理噪声源模块29用于产生国密算法要求的硬件随机数。时钟电路24用于产生FPGA芯片2工作所需的时钟信号。拨码开关26用于设置FPGA芯片2工作模式。
ASIC以太网控制器4外围的控制器Flash存储器43用来存储ASIC以太网控制器4配置程序,以设置其工作模式和状态,可以通过下载接口进行下载。控制器EEPROM存储器44用来存储板卡的ID、MAC等信息,可以通过IIC接口进行访问。
micro USB接口15实现与密码钥匙的交互访问,完成身份认证及密码管理功能。其中,这里的串口模块14用于调试时打印调试信息。电路状态指示模块13主要用于FPGA程序运行等相关工作状态指示。调试接口25主要用于FPGA程序下载,仿真。SFP+万兆光接口12用于光纤连接通讯。其中一个光口可将指定的本卡光口数据镜像一份输出到审计服务器52。可以实现数据库访问可视,威胁分析等数据安全功能。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
尽管本文较多地使用了线路板1、电源电路11、SFP+万兆光接口12、电路状态指示模块13、串口模块14、micro USB接口15、状态指示灯16、FPGA芯片2、EEPROM存储器21、Flash存储器22、SDRAM内存23、时钟电路24、调试接口25、拨码开关26、算法模块27、安全模块28、物理噪声源模块29、PCI-E接口3、ASIC以太网控制器4、IIC接口41、下载接口42、控制器Flash存储器43、控制器EEPROM存储器44、控制器时钟电路45、数据交换服务器5、审计接口51、审计服务器52、可信认证注册管理服务器6、数据库文件服务器7等术语,但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质;把它们解释成任何一种附加的限制都是与本发明精神相违背的。
Claims (9)
1.一种分布式可信内存交换方法,其特征在于,本方法包括以下步骤:
S1:发送端的数据交换请求方发出数据请求,发送端的数据交换服务器(5)经可信认证注册管理服务器(6)进行可信认证,
S2:发送端和/或接收端的数据交换服务器(5)分别采用远程直接内存存取RDMA方法向数据库文件服务器(7)读取数据,发送端的数据交换服务器(5)和接收端的数据交换服务器(5)之间采用远程直接内存存取RDMA方法进行数据交换;
在步骤S2中,发送端的远程直接内存存取RDMA方法包括以下步骤:
获取可使用RDMA设备并完成初始化;
创建用于跟踪通信信息的标识符ID;
将目的IP地址映射到RDMA地址;
创建RDMA设备相关的上下文context;
远程直接内存存取RDMA连接;
与服务端交换缓存地址和访问密钥;
远程的缓冲数据被读到本地缓冲区或者,本地缓冲数据被写到远程缓冲区;
数据交换结束,断开连接。
2.根据权利要求1所述的分布式可信内存交换方法,其特征在于,在步骤S2中,接收端的远程直接内存存取RDMA方法及发送端和接收端之间的远程直接内存存取RDMA方法包括以下步骤:
获取可使用RDMA设备并完成初始化;
创建用于跟踪通信信息的标识符ID;
绑定本地地址和端口;
远程直接内存存取RDMA连接监听;
接收发送端的远程直接内存存取RDMA连接及创建RDMA设备相关的上下文context;
接受客户端连接请求;
与客户端交换缓存地址和访问密钥;
远程的缓冲数据被读到本地缓冲区;或者,本地缓冲数据被写到远程缓冲区;
数据交换结束,断开连接。
3.根据权利要求1或2所述的分布式可信内存交换方法,其特征在于,创建RDMA设备相关的上下文context的方法包括以下步骤:
判断是否第一次启动;若判断为第一次启动;
创建完成通道;
创建完成用户定制队列CQ;
创建保护域PD;
创建队列QP;
申请并注册RDMA缓存空间MR;
若判断非第一次启动;
直接进行创建保护域PD;
创建队列QP;
申请并注册RDMA缓存空间MR。
4.根据权利要求1或2所述的分布式可信内存交换方法,其特征在于,断开连接的步骤包括:
释放QP;
释放MR;
释放ID;
关闭通信通道。
5.根据权利要求1或2所述的分布式可信内存交换方法,其特征在于,在步骤S1中,可信认证包括以下步骤:
数据交换服务器(5)要向可信认证注册管理服务器(6)发送数据交换请求,数据交换服务器(5)在自己的信任标识域中加入可信认证注册管理服务器(6)的公钥标识,然后采用可信认证注册管理服务器(6)的公钥标识加密交换请求数据,再使用自己的标识进行签名并发送给可信认证注册管理服务器(6);
可信认证注册管理服务器(6)收到数据交换服务器(5)的信件,将通过已有的私钥对数据交换服务器(5)的信件进行解密认证;
解密成功后,可信认证注册管理服务器(6)看到了数据交换请求的内容,同时可以看到数据交换服务器(5)对数据所做的签名,该信件进行准确的身份认证,认证通过后,双方可以协商进行数据交换。
6.根据权利要求5所述的分布式可信内存交换方法,其特征在于,通过已有的私钥对数据交换服务器(5)的信件进行解密认证;
若可信认证注册管理服务器(6)收到数据交换服务器(5)的信件,没有私钥对数据交换服务器(5)的信件进行解密认证时;需向认证授权管理服务器认证并申请得到对应可信认证注册管理服务器(6)的私钥。
7.一种分布式可信内存交换系统,包括两个数据交换区域,其特征在于,系统实施如权利要求1-6所述的方法,每一个数据交换区域内均具有数据库文件服务器(7)和数据交换服务器(5),且两个数据交换区域内的数据交换服务器(5)均和可信认证注册管理服务器(6)相连,所述的数据库文件服务器(7)和数据交换服务器(5)内均具有FAENIC卡,同一个数据交换区域内的数据库文件服务器(7)和数据交换服务器(5)中的FAENIC卡通过网络连接且两个数据交换区域内的数据交换服务器(5)中的FAENIC卡通过网络连接。
8.根据权利要求7所述的分布式可信内存交换系统,其特征在于,所述的数据交换服务器(5)的FAENIC卡上具有审计接口(51),且所述的审计接口(51)和审计服务器(52)相连。
9.根据权利要求8所述的分布式可信内存交换系统,其特征在于,所述的FAENIC卡上具有算法模块(27)的可信认证模块,且所述的可信认证模块的算法模块(27)支持的算法包括SM4国密对称算法、SM2非对称算法、SM9非对称算法、SM3杂凑算法中的任意一种或多种组合。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810979248.5A CN109274647B (zh) | 2018-08-27 | 2018-08-27 | 分布式可信内存交换方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810979248.5A CN109274647B (zh) | 2018-08-27 | 2018-08-27 | 分布式可信内存交换方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109274647A CN109274647A (zh) | 2019-01-25 |
| CN109274647B true CN109274647B (zh) | 2021-08-10 |
Family
ID=65154165
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810979248.5A Active CN109274647B (zh) | 2018-08-27 | 2018-08-27 | 分布式可信内存交换方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109274647B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11082411B2 (en) | 2019-08-06 | 2021-08-03 | Advanced New Technologies Co., Ltd. | RDMA-based data transmission method, network interface card, server and medium |
| CN110620762A (zh) * | 2019-08-06 | 2019-12-27 | 阿里巴巴集团控股有限公司 | 基于rdma的数据传输方法、网卡、服务器及介质 |
| CN112073399B (zh) * | 2020-08-28 | 2023-01-31 | 华迪计算机集团有限公司 | 基于双向消息队列的数据交换系统 |
| CN112596669A (zh) * | 2020-11-25 | 2021-04-02 | 新华三云计算技术有限公司 | 一种基于分布式存储的数据处理方法及装置 |
| CN116670636A (zh) * | 2021-01-30 | 2023-08-29 | 华为技术有限公司 | 数据存取方法、装置和存储介质 |
| CN117093161B (zh) * | 2023-10-19 | 2024-01-26 | 之江实验室 | 一种基于光收发芯片的内存管理系统、方法、介质及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101409715A (zh) * | 2008-10-22 | 2009-04-15 | 中国科学院计算技术研究所 | 一种利用InfiniBand网络进行通信的方法及系统 |
| CN104205079A (zh) * | 2012-03-30 | 2014-12-10 | 英特尔公司 | Rdma网络上的子网管理数据的高效分配 |
| CN104283938A (zh) * | 2013-07-08 | 2015-01-14 | 英特尔公司 | 用于在存储服务器之间复制数据的技术 |
| CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的系统和方法 |
| CN105408880A (zh) * | 2013-07-31 | 2016-03-16 | 甲骨文国际公司 | 对共享存储装置的持久存储器的直接访问 |
| CN107111579A (zh) * | 2014-12-19 | 2017-08-29 | 亚马逊技术股份有限公司 | 包括用于多个计算子系统的可重新配置的资源的片上系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9854045B2 (en) * | 2015-04-13 | 2017-12-26 | Sap Se | Generic cloud enabling of stateful applications |
-
2018
- 2018-08-27 CN CN201810979248.5A patent/CN109274647B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101409715A (zh) * | 2008-10-22 | 2009-04-15 | 中国科学院计算技术研究所 | 一种利用InfiniBand网络进行通信的方法及系统 |
| CN104205079A (zh) * | 2012-03-30 | 2014-12-10 | 英特尔公司 | Rdma网络上的子网管理数据的高效分配 |
| CN104283938A (zh) * | 2013-07-08 | 2015-01-14 | 英特尔公司 | 用于在存储服务器之间复制数据的技术 |
| CN105408880A (zh) * | 2013-07-31 | 2016-03-16 | 甲骨文国际公司 | 对共享存储装置的持久存储器的直接访问 |
| CN107111579A (zh) * | 2014-12-19 | 2017-08-29 | 亚马逊技术股份有限公司 | 包括用于多个计算子系统的可重新配置的资源的片上系统 |
| CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的系统和方法 |
Non-Patent Citations (2)
| Title |
|---|
| 深入浅出全面解析RDMA;csdn用户;《URL:https://blog.csdn.net/qq_21125183/article/details/80563463》;20180604;全文 * |
| 面向高可用性的MPI并行进程迁移机制研究;王元私;《中国优秀硕士学位论文全文数据库》;20180815;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109274647A (zh) | 2019-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109274647B (zh) | 分布式可信内存交换方法及系统 | |
| WO2019184924A1 (zh) | 身份管理方法、设备、通信网络及存储介质 | |
| CN106022080B (zh) | 一种基于PCIe接口的密码卡及该密码卡的数据加密方法 | |
| CN104917741B (zh) | 一种基于usbkey的明文文档公网安全传输系统 | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| CN112398826B (zh) | 基于国密的数据处理方法、装置、存储介质及电子设备 | |
| WO2009115017A1 (zh) | 网络认证服务系统和方法 | |
| US10944736B2 (en) | Application authentication wrapper | |
| WO2019019853A1 (zh) | 处理数据的方法、终端设备和网络设备 | |
| CN108768669A (zh) | 基于asic可信远程内存交换卡及其数据交换方法 | |
| CN113127914A (zh) | 一种电力物联网数据安全防护方法 | |
| CN100559820C (zh) | 一种拨号安全网关装置 | |
| US20220294771A1 (en) | Secure Virtual Personalized Network | |
| EP4203377A1 (en) | Service registration method and device | |
| CN101515853B (zh) | 信息终端及其信息安全装置 | |
| WO2016000473A1 (zh) | 一种业务访问方法、系统及装置 | |
| EP4336393A1 (en) | Security authentication method, readable medium, and electronic device | |
| CN201315596Y (zh) | 一种拨号安全网关装置 | |
| CN116781764A (zh) | 长连接的任务执行方法、装置及相关设备 | |
| CN113242216A (zh) | 一种基于国产商用密码算法的可信网络摄像机 | |
| CN110995730B (zh) | 数据传输方法、装置、代理服务器和代理服务器集群 | |
| US11005651B2 (en) | Method and terminal for establishing security infrastructure and device | |
| CN111901335A (zh) | 基于中台的区块链数据传输管理方法及系统 | |
| CN111641646A (zh) | 一种安全增强型通信定位终端 | |
| CN113037470A (zh) | 基于云、集群服务器量子加密数据传输系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |