CN113709139A - 基于NUMA架构的openstack东西向转发性能优化方法和系统 - Google Patents

基于NUMA架构的openstack东西向转发性能优化方法和系统 Download PDF

Info

Publication number
CN113709139A
CN113709139A CN202110985132.4A CN202110985132A CN113709139A CN 113709139 A CN113709139 A CN 113709139A CN 202110985132 A CN202110985132 A CN 202110985132A CN 113709139 A CN113709139 A CN 113709139A
Authority
CN
China
Prior art keywords
encryption
virtual machine
block node
data
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110985132.4A
Other languages
English (en)
Other versions
CN113709139B (zh
Inventor
马玥
谭航
鲍全松
范亮凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Future Networks Innovation Institute
Original Assignee
Jiangsu Future Networks Innovation Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Future Networks Innovation Institute filed Critical Jiangsu Future Networks Innovation Institute
Priority to CN202110985132.4A priority Critical patent/CN113709139B/zh
Publication of CN113709139A publication Critical patent/CN113709139A/zh
Application granted granted Critical
Publication of CN113709139B publication Critical patent/CN113709139B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/546Message passing systems or structures, e.g. queues
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Bioethics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于NUMA架构的openstack东西向转发性能优化方法;S1、在区块节点内部进行数据信息访问;S2、第一处理器和第二处理器根据地址协议实现对访问数据的若干第一内接虚拟机和若干第二内接虚拟机进行访问;S3、且第一区块节点和第二节点在进行数据访问和传输;S4、在第一区块节点和第二区块节点进行数据传输的时候进行加密和安全防护;本发明通过一组外接的虚拟机实现区块点之间的数据互通传输,能够完成区块点与区块点,以及区块点内部的虚拟机之间的数据信息的快速东西向的转发传输,并且在进行区块点之间的数据信息传输的时候,通过加密机和防护模块实现对数据信息进行安全防护和加密处理,提高数据信息的安全性能。

Description

基于NUMA架构的openstack东西向转发性能优化方法和系统
技术领域
本发明属于东西向转发技术领域,具体涉及基于NUMA架构的openstack东西向转发性能优化方法和系统。
背景技术
控制器之间的接口称之为东西向接口,用于完成控制器之间的通信,东西向转发既是控制器之间的数据信息的传输,NUMA技术可以使众多服务器像单一系统那样运转,同时保留小系统便于编程和管理的优点。NUMA通过提供分离的存储器给各个处理器,避免当多个处理器访问同一个存储器产生的性能损失来试图解决这个问题。对于涉及到分散的数据的应用(在服务器和类似于服务器的应用中很常见),NUMA可以通过一个共享的存储器提高性能至n倍,而n大约是处理器(或者分离的存储器)的个数,Openstack是一个云平台管理的项目,它不是一个软件。这个项目由几个主要的组件组合起来完成一些具体的工作。Openstack是一个旨在为公共及私有云的建设与管理提供软件的开源项目。Openstack项目的首要任务是简化云的部署过程并为其带来良好的可扩展性。然而市面上各种的东西向转发仍存在各种各样的问题。
如授权公告号为CN110752989A所公开的一种东西向流量转发方法与装置,其虽然实现了使用传统路由协议实现东西向流量转发,避免开发新路由协议,组网模式简单并且稳定性高,但是并未解决现有无法实现对区块点内部的虚拟机进行有效的互通查询,提高数据存储,以及不能够实现区块点与区块点之间的数据传输,并且不能够实现对数据进行有效的处理和加密等的问题,为此我们提出基于NUMA架构的openstack东西向转发性能优化方法和系统。
发明内容
本发明的目的在于提供基于NUMA架构的openstack东西向转发性能优化方法和系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:基于NUMA架构的openstack东西向转发性能优化的系统,至少包括有第一区块节点和第二区块节点,所述第一区块节点和所述第二区块节点之间相互通讯连接,所述第一区块节点内部设有若干第一内接虚拟机,若干所述第一内接虚拟机均通讯连接有第一处理器,所述第一处理器上通讯连接有第一外接虚拟机,若干所述第一内接虚拟机、所述第一处理器和所述第一外接虚拟机上均通讯连接有第一云端控制系统和第一云端存储数据库,所述第一外接虚拟机上分别电性连接有第一加密机和第一防护模块;
所述第二区块节点内部设有若干第二内接虚拟机,若干所述第二内接虚拟机均通讯连接有第二处理器,所述第二处理器上通讯连接有第二外接虚拟机,若干所述第二内接虚拟机、所述第二处理器和所述第二外接虚拟机上均通讯连接有第二云端控制系统和第二云端存储数据库,所述第二外接虚拟机上分别电性连接有第二加密机和第二防护模块;
所述第一区块节点和所述第二区块节点内均遵从AMQP消息队列协议,所述第一区块节点和所述第二区块节点之间通过第一外接虚拟机和第二外接虚拟机进行通讯连接,所述第一外接虚拟机和所述第二外接虚拟机均通过网络通讯基站进行通讯连接。
优选的,所述第一处理器和所述第二处理器内部均包括有控制芯片、信息接收模块、信息转换模块、信息发送模块和信息滤波模块,所述控制芯片用于实现对接收的协议地址进行分析处理,并且根据协议地址实现对若干所述第一内接虚拟机或者所述第二内接虚拟机进行通讯连接,实现对本体外的所述第一内接虚拟机或者所述第二内接虚拟机进行数据访问和提取。
优选的,所述信息接收模块用于实现对访问和提取的数据信息进行接收,在接收后的数据信息通过所述信息转换模块进行数据格式进行转换处理,再通过所述信息滤波模块实现对传输的数据信息滤波处理,最后再通过信息发送模块实现对数据信息发送给请求的所述第一内接虚拟机或者所述第二内接虚拟机。
优选的,若干所述第一内接虚拟机和若干所述第二内接虚拟机分别通讯连接运行机,若干所述第一内接虚拟机和若干所述第二内接虚拟机内分别镶嵌安装有存储模块,所述存储模块至少包括有两组。
优选的,所述第一加密机和所述第二加密机TCP/IP协议分别与所述第一外接虚拟机和所述第二外接虚拟机进行通讯连接,所述第一加密机和所述第二加密机的内部包括有加密芯片、随机数发生器、密码存储模块、加密卡和PCI-E接口,所述加密卡通过所述PCI-E接口与所述加密芯片通讯连接,所述随机数发生器和所述密码存储模块与所述加密芯片电性连接。
优选的,所述第一防护模块和所述第二防护模块中包括有防火墙、木马识别模块、木马存储模块、木马信息截停模块,所述防火墙用于防护所述第一区块节点和所述第二区块节点的安全性,所述木马识别模块用于实现对数据信息携带的木马进行识别,且在识别木马之后通过所述木马信息截停模块实现对携带木马的信息进行拒收,并且将木马信息存储在所述木马存储模块内,且在所述木马识别模块进行识别木马的时候根据所述木马存储模块中的木马信息进行比对识别。
优选的,所述第一云端存储数据库和所述第二云端存储数据库分别是用于实现对所述第一区块节点和所述第二区块节点内部的共同数据信息进行存储,且所述第一云端存储数据库和所述第二云端存储数据库的访问方式采用的是队列访问。
基于NUMA架构的openstack东西向转发性能优化方法,包括有以下方法步骤:
S1、在区块节点内部进行数据信息访问:第一区块节点或者第二区块节点内部的若干第一内接虚拟机或者若干第二内接虚拟机在进行数据访问的时候,先向第一处理器或者第二处理器进行发送自己的地址协议和访问的地址协议,并且将地址协议作为访问数据信息的表头;
S2、第一处理器和第二处理器根据地址协议实现对访问数据的若干第一内接虚拟机和若干第二内接虚拟机进行访问:第一处理器和第二处理器根据访问的地址协议实现对访问数据的若干第一内接虚拟机和若干第二内接虚拟机进行访问,并且实现对数据信息进行提取,实现对第一区块节点或者第二区块节点内部进行NUMA架构的访问;
S3、且第一区块节点和第二节点在进行数据访问和传输:第一区块节点和第二区块节点通过内部的第一外接虚拟机和第二外接虚拟机进行通讯连接,且在第一外接虚拟机和第二外接虚拟机通过边界网关协议表项和边界网关协议路由进行通讯连接,然后实现数据信息的接收和传输;
S4、在第一区块节点和第二区块节点进行数据传输的时候进行加密和安全防护:在第一区块节点和第二区块节点进行数据传输连接的时候,比如:第一外接虚拟机向第二外接虚拟机进行数据通讯传输的时候,第一外接虚拟机先向第二外接虚拟机通过边界网关协议表项和边界网关协议路由发送协议地址,且在发送数据信息的时候,先通过第一加密机进行加密处理,然后第二外接虚拟机通过第二防护模块进行检测识别安全性能,然后第二外接虚拟机将需要传输的数据信息在内部进行获取,即通过S1中的方法进行查找获取,然后通过第二加密机实现对数据进行加密处理,使得数据信息在进行传输的时候能够具有较高的安全性,完成区块点之间的数据传输。
优选的,所述第一加密机和所述第二加密机中的加密芯片内部自带密码运算模块,算法种类包括算法种类包括SM1、SM2、SM3、SM4、AES、DES、3DES、RSA1024、RSA2048、SHA1、SHA256、SHA384、SHA512和HMAC算法。
优选的,所述3DES算法的加解密过程分别是对明文/密文数据进行三次DES加密或解密,得到相应的密文或明文,
假设EK()和DK()分别表示DES的加密和解密函数,P表示明文,C表示密文,那么加解密的公式如下:
加密:C=EK3(DK2(EK1(P))),即对明文数据进行加密-解密-加密的过程,最后得到密文数据;
解密:P=DK1(EK2(DK3(C))),即对密文数据进行解密-加密-解密的过程,最后得到明文数据;
其中:K1表示3DES中第一个8字节密钥,K2表示第二个8字节密钥,K3表示第三个8字节密钥,K1、K2、K3决定了算法的安全性,若三个密钥互不相同,本质上就相当于用一个长为168位的密钥进行加密,K1可以等于K3,在这种情况下,密钥的有效长度为112位,即K1对应KL的左8字节,K2对应KR的右8字节,K3对应KL的左8字节。
与现有技术相比,本发明的有益效果是:
(1)本发明通过在区块点内部的若干内部虚拟机之间进行通讯连接,实现对区块点内部的虚拟机实现的NUMA架构的设计,提高区块点内部的数据信息存储高速快捷,数据信息的互通利用,并且通过一组外接的虚拟机实现区块点之间的数据互通传输,能够完成区块点与区块点,以及区块点内部的虚拟机之间的数据信息的快速东西向的转发传输。
(2)本发明设有处理器,通过处理器对虚拟机之前的数据信息和指令进行有效的处理,实现对不同虚拟机之间进行连接,能够有效的快速的获取地址,并且能够完成对数据信息的获取和上传,并且在进行区块点之间的数据信息传输的时候,通过加密机和防护模块实现对数据信息进行安全防护和加密处理,提高数据信息的安全性能。
附图说明
图1为本发明的系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明提供一种技术方案:基于NUMA架构的openstack东西向转发性能优化的系统,至少包括有第一区块节点和第二区块节点,所述第一区块节点和所述第二区块节点之间相互通讯连接,所述第一区块节点内部设有若干第一内接虚拟机,若干所述第一内接虚拟机均通讯连接有第一处理器,所述第一处理器上通讯连接有第一外接虚拟机,若干所述第一内接虚拟机、所述第一处理器和所述第一外接虚拟机上均通讯连接有第一云端控制系统和第一云端存储数据库,所述第一外接虚拟机上分别电性连接有第一加密机和第一防护模块;
所述第二区块节点内部设有若干第二内接虚拟机,若干所述第二内接虚拟机均通讯连接有第二处理器,所述第二处理器上通讯连接有第二外接虚拟机,若干所述第二内接虚拟机、所述第二处理器和所述第二外接虚拟机上均通讯连接有第二云端控制系统和第二云端存储数据库,所述第二外接虚拟机上分别电性连接有第二加密机和第二防护模块;
所述第一区块节点和所述第二区块节点内均遵从AMQP消息队列协议,所述第一区块节点和所述第二区块节点之间通过第一外接虚拟机和第二外接虚拟机进行通讯连接,所述第一外接虚拟机和所述第二外接虚拟机均通过网络通讯基站进行通讯连接。
为了实现对需要进行传输的数据信息进行处理,完成对若干第一内接虚拟机或者若干第二内接虚拟机进行通讯连接传输,本实施例中,优选的,所述第一处理器和所述第二处理器内部均包括有控制芯片、信息接收模块、信息转换模块、信息发送模块和信息滤波模块,所述控制芯片用于实现对接收的协议地址进行分析处理,并且根据协议地址实现对若干所述第一内接虚拟机或者所述第二内接虚拟机进行通讯连接,实现对本体外的所述第一内接虚拟机或者所述第二内接虚拟机进行数据访问和提取。
为了实现传输的数据信息进行有效的传输前进行处理,使得数据信息能够保持安全性和准确性,本实施例中,优选的,所述信息接收模块用于实现对访问和提取的数据信息进行接收,在接收后的数据信息通过所述信息转换模块进行数据格式进行转换处理,再通过所述信息滤波模块实现对传输的数据信息滤波处理,最后再通过信息发送模块实现对数据信息发送给请求的所述第一内接虚拟机或者所述第二内接虚拟机。
为了实现对若干第一内接虚拟机和若干第二内接虚拟机进行数据存储,并且保持数据信息不会发生混乱,本实施例中,优选的,若干所述第一内接虚拟机和若干所述第二内接虚拟机分别通讯连接运行机,若干所述第一内接虚拟机和若干所述第二内接虚拟机内分别镶嵌安装有存储模块,所述存储模块至少包括有两组。
为了实现对需要传输的数据信息进行加密处理,使得数据信息在传输的时候能够具有较高的安全性,本实施例中,优选的,所述第一加密机和所述第二加密机TCP/IP协议分别与所述第一外接虚拟机和所述第二外接虚拟机进行通讯连接,所述第一加密机和所述第二加密机的内部包括有加密芯片、随机数发生器、密码存储模块、加密卡和PCI-E接口,所述加密卡通过所述PCI-E接口与所述加密芯片通讯连接,所述随机数发生器和所述密码存储模块与所述加密芯片电性连接。
为了实现传输的数据信息进行安全检测,防止携带木马侵入,造成区块节点内部的设备瘫痪,本实施例中,优选的,所述第一防护模块和所述第二防护模块中包括有防火墙、木马识别模块、木马存储模块、木马信息截停模块,所述防火墙用于防护所述第一区块节点和所述第二区块节点的安全性,所述木马识别模块用于实现对数据信息携带的木马进行识别,且在识别木马之后通过所述木马信息截停模块实现对携带木马的信息进行拒收,并且将木马信息存储在所述木马存储模块内,且在所述木马识别模块进行识别木马的时候根据所述木马存储模块中的木马信息进行比对识别。
为了实现提高数据信息的传输效率,通过第一云端存储数据库和第二云端存储数据库实现对公用数据信息进行存储,本实施例中,优选的,所述第一云端存储数据库和所述第二云端存储数据库分别是用于实现对所述第一区块节点和所述第二区块节点内部的共同数据信息进行存储,且所述第一云端存储数据库和所述第二云端存储数据库的访问方式采用的是队列访问。
基于NUMA架构的openstack东西向转发性能优化方法,包括有以下方法步骤:
S1、在区块节点内部进行数据信息访问:第一区块节点或者第二区块节点内部的若干第一内接虚拟机或者若干第二内接虚拟机在进行数据访问的时候,先向第一处理器或者第二处理器进行发送自己的地址协议和访问的地址协议,并且将地址协议作为访问数据信息的表头;
S2、第一处理器和第二处理器根据地址协议实现对访问数据的若干第一内接虚拟机和若干第二内接虚拟机进行访问:第一处理器和第二处理器根据访问的地址协议实现对访问数据的若干第一内接虚拟机和若干第二内接虚拟机进行访问,并且实现对数据信息进行提取,实现对第一区块节点或者第二区块节点内部进行NUMA架构的访问;
S3、且第一区块节点和第二节点在进行数据访问和传输:第一区块节点和第二区块节点通过内部的第一外接虚拟机和第二外接虚拟机进行通讯连接,且在第一外接虚拟机和第二外接虚拟机通过边界网关协议表项和边界网关协议路由进行通讯连接,然后实现数据信息的接收和传输;
S4、在第一区块节点和第二区块节点进行数据传输的时候进行加密和安全防护:在第一区块节点和第二区块节点进行数据传输连接的时候,比如:第一外接虚拟机向第二外接虚拟机进行数据通讯传输的时候,第一外接虚拟机先向第二外接虚拟机通过边界网关协议表项和边界网关协议路由发送协议地址,且在发送数据信息的时候,先通过第一加密机进行加密处理,然后第二外接虚拟机通过第二防护模块进行检测识别安全性能,然后第二外接虚拟机将需要传输的数据信息在内部进行获取,即通过S1中的方法进行查找获取,然后通过第二加密机实现对数据进行加密处理,使得数据信息在进行传输的时候能够具有较高的安全性,完成区块点之间的数据传输。
为了实现对数据信息进行加密传输,提高数据信息的安全性,本实施例中,优选的,所述第一加密机和所述第二加密机中的加密芯片内部自带密码运算模块,算法种类包括SM1、SM2、SM3、SM4、AES、DES、3DES、RSA1024、RSA2048、SHA1、SHA256、SHA384、SHA512和HMAC算法。
为了实现对数据信息进行加密和解密计算处理,本实施例中,优选的,所述3DES算法的加解密过程分别是对明文/密文数据进行三次DES加密或解密,得到相应的密文或明文,
假设EK()和DK()分别表示DES的加密和解密函数,P表示明文,C表示密文,那么加解密的公式如下:
加密:C=EK3(DK2(EK1(P))),即对明文数据进行加密-解密-加密的过程,最后得到密文数据;
解密:P=DK1(EK2(DK3(C))),即对密文数据进行解密-加密-解密的过程,最后得到明文数据;
其中:K1表示3DES中第一个8字节密钥,K2表示第二个8字节密钥,K3表示第三个8字节密钥,K1、K2、K3决定了算法的安全性,若三个密钥互不相同,本质上就相当于用一个长为168位的密钥进行加密,K1可以等于K3,在这种情况下,密钥的有效长度为112位,即K1对应KL的左8字节,K2对应KR的右8字节,K3对应KL的左8字节。
本发明的工作原理及使用流程:
第一步、在区块节点内部进行数据信息访问:第一区块节点或者第二区块节点内部的若干第一内接虚拟机或者若干第二内接虚拟机在进行数据访问的时候,先向第一处理器或者第二处理器进行发送自己的地址协议和访问的地址协议,并且将地址协议作为访问数据信息的表头;
第二步、第一处理器和第二处理器根据地址协议实现对访问数据的若干第一内接虚拟机和若干第二内接虚拟机进行访问:第一处理器和第二处理器根据访问的地址协议实现对访问数据的若干第一内接虚拟机和若干第二内接虚拟机进行访问,并且实现对数据信息进行提取,实现对第一区块节点或者第二区块节点内部进行NUMA架构的访问;
第三步、且第一区块节点和第二节点在进行数据访问和传输:第一区块节点和第二区块节点通过内部的第一外接虚拟机和第二外接虚拟机进行通讯连接,且在第一外接虚拟机和第二外接虚拟机通过边界网关协议表项和边界网关协议路由进行通讯连接,然后实现数据信息的接收和传输;
第四步、在第一区块节点和第二区块节点进行数据传输的时候进行加密和安全防护:在第一区块节点和第二区块节点进行数据传输连接的时候,比如:第一外接虚拟机向第二外接虚拟机进行数据通讯传输的时候,第一外接虚拟机先向第二外接虚拟机通过边界网关协议表项和边界网关协议路由发送协议地址,且在发送数据信息的时候,先通过第一加密机进行加密处理,然后第二外接虚拟机通过第二防护模块进行检测识别安全性能,然后第二外接虚拟机将需要传输的数据信息在内部进行获取,即通过S1中的方法进行查找获取,然后通过第二加密机实现对数据进行加密处理,使得数据信息在进行传输的时候能够具有较高的安全性,完成区块点之间的数据传输。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (10)

1.基于NUMA架构的openstack东西向转发性能优化的系统,其特征在于:至少包括有第一区块节点和第二区块节点,所述第一区块节点和所述第二区块节点之间相互通讯连接,所述第一区块节点内部设有若干第一内接虚拟机,若干所述第一内接虚拟机均通讯连接有第一处理器,所述第一处理器上通讯连接有第一外接虚拟机,若干所述第一内接虚拟机、所述第一处理器和所述第一外接虚拟机上均通讯连接有第一云端控制系统和第一云端存储数据库,所述第一外接虚拟机上分别电性连接有第一加密机和第一防护模块;
所述第二区块节点内部设有若干第二内接虚拟机,若干所述第二内接虚拟机均通讯连接有第二处理器,所述第二处理器上通讯连接有第二外接虚拟机,若干所述第二内接虚拟机、所述第二处理器和所述第二外接虚拟机上均通讯连接有第二云端控制系统和第二云端存储数据库,所述第二外接虚拟机上分别电性连接有第二加密机和第二防护模块;
所述第一区块节点和所述第二区块节点内均遵从AMQP消息队列协议,所述第一区块节点和所述第二区块节点之间通过第一外接虚拟机和第二外接虚拟机进行通讯连接,所述第一外接虚拟机和所述第二外接虚拟机均通过网络通讯基站进行通讯连接。
2.根据权利要求1所述的基于NUMA架构的openstack东西向转发性能优化的系统,其特征在于:所述第一处理器和所述第二处理器内部均包括有控制芯片、信息接收模块、信息转换模块、信息发送模块和信息滤波模块,所述控制芯片用于实现对接收的协议地址进行分析处理,并且根据协议地址实现对若干所述第一内接虚拟机或者所述第二内接虚拟机进行通讯连接,实现对本体外的所述第一内接虚拟机或者所述第二内接虚拟机进行数据访问和提取。
3.根据权利要求2所述的基于NUMA架构的openstack东西向转发性能优化的系统,其特征在于:所述信息接收模块用于实现对访问和提取的数据信息进行接收,在接收后的数据信息通过所述信息转换模块进行数据格式进行转换处理,再通过所述信息滤波模块实现对传输的数据信息滤波处理,最后再通过信息发送模块实现对数据信息发送给请求的所述第一内接虚拟机或者所述第二内接虚拟机。
4.根据权利要求1所述的基于NUMA架构的openstack东西向转发性能优化的系统,其特征在于:若干所述第一内接虚拟机和若干所述第二内接虚拟机分别通讯连接运行机,若干所述第一内接虚拟机和若干所述第二内接虚拟机内分别镶嵌安装有存储模块,所述存储模块至少包括有两组。
5.根据权利要求1所述的基于NUMA架构的openstack东西向转发性能优化的系统,其特征在于:所述第一加密机和所述第二加密机TCP/IP协议分别与所述第一外接虚拟机和所述第二外接虚拟机进行通讯连接,所述第一加密机和所述第二加密机的内部包括有加密芯片、随机数发生器、密码存储模块、加密卡和PCI-E接口,所述加密卡通过所述PCI-E接口与所述加密芯片通讯连接,所述随机数发生器和所述密码存储模块与所述加密芯片电性连接。
6.根据权利要求1所述的基于NUMA架构的openstack东西向转发性能优化的系统,其特征在于:所述第一防护模块和所述第二防护模块中包括有防火墙、木马识别模块、木马存储模块、木马信息截停模块,所述防火墙用于防护所述第一区块节点和所述第二区块节点的安全性,所述木马识别模块用于实现对数据信息携带的木马进行识别,且在识别木马之后通过所述木马信息截停模块实现对携带木马的信息进行拒收,并且将木马信息存储在所述木马存储模块内,且在所述木马识别模块进行识别木马的时候根据所述木马存储模块中的木马信息进行比对识别。
7.根据权利要求1所述的基于NUMA架构的openstack东西向转发性能优化的系统,其特征在于:所述第一云端存储数据库和所述第二云端存储数据库分别是用于实现对所述第一区块节点和所述第二区块节点内部的共同数据信息进行存储,且所述第一云端存储数据库和所述第二云端存储数据库的访问方式采用的是队列访问。
8.基于NUMA架构的openstack东西向转发性能优化方法,其特征在于:包括有以下方法步骤:
S1、在区块节点内部进行数据信息访问:第一区块节点或者第二区块节点内部的若干第一内接虚拟机或者若干第二内接虚拟机在进行数据访问的时候,先向第一处理器或者第二处理器进行发送自己的地址协议和访问的地址协议,并且将地址协议作为访问数据信息的表头;
S2、第一处理器和第二处理器根据地址协议实现对访问数据的若干第一内接虚拟机和若干第二内接虚拟机进行访问:第一处理器和第二处理器根据访问的地址协议实现对访问数据的若干第一内接虚拟机和若干第二内接虚拟机进行访问,并且实现对数据信息进行提取,实现对第一区块节点或者第二区块节点内部进行NUMA架构的访问;
S3、且第一区块节点和第二节点在进行数据访问和传输:第一区块节点和第二区块节点通过内部的第一外接虚拟机和第二外接虚拟机进行通讯连接,且在第一外接虚拟机和第二外接虚拟机通过边界网关协议表项和边界网关协议路由进行通讯连接,然后实现数据信息的接收和传输;
S4、在第一区块节点和第二区块节点进行数据传输的时候进行加密和安全防护:在第一区块节点和第二区块节点进行数据传输连接的时候,比如:第一外接虚拟机向第二外接虚拟机进行数据通讯传输的时候,第一外接虚拟机先向第二外接虚拟机通过边界网关协议表项和边界网关协议路由发送协议地址,且在发送数据信息的时候,先通过第一加密机进行加密处理,然后第二外接虚拟机通过第二防护模块进行检测识别安全性能,然后第二外接虚拟机将需要传输的数据信息在内部进行获取,即通过S1中的方法进行查找获取,然后通过第二加密机实现对数据进行加密处理,使得数据信息在进行传输的时候能够具有较高的安全性,完成区块点之间的数据传输。
9.根据权利要求8所述的基于NUMA架构的openstack东西向转发性能优化方法,其特征在于:所述第一加密机和所述第二加密机中的加密芯片内部自带密码运算模块,算法种类包括算法种类包括SM1、SM2、SM3、SM4、AES、DES、3DES、RSA1024、RSA2048、SHA1、SHA256、SHA384、SHA512和HMAC算法。
10.根据权利要求9所述的基于NUMA架构的openstack东西向转发性能优化方法,其特征在于:所述3DES算法的加解密过程分别是对明文/密文数据进行三次DES加密或解密,得到相应的密文或明文,
假设EK()和DK()分别表示DES的加密和解密函数,P表示明文,C表示密文,那么加解密的公式如下:
加密:C=EK3(DK2(EK1(P))),即对明文数据进行加密-解密-加密的过程,最后得到密文数据;
解密:P=DK1(EK2(DK3(C))),即对密文数据进行解密-加密-解密的过程,最后得到明文数据;
其中:K1表示3DES中第一个8字节密钥,K2表示第二个8字节密钥,K3表示第三个8字节密钥,K1、K2、K3决定了算法的安全性,若三个密钥互不相同,本质上就相当于用一个长为168位的密钥进行加密,K1可以等于K3,在这种情况下,密钥的有效长度为112位,即K1对应KL的左8字节,K2对应KR的右8字节,K3对应KL的左8字节。
CN202110985132.4A 2021-08-26 2021-08-26 基于NUMA架构的openstack东西向转发性能优化方法和系统 Active CN113709139B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110985132.4A CN113709139B (zh) 2021-08-26 2021-08-26 基于NUMA架构的openstack东西向转发性能优化方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110985132.4A CN113709139B (zh) 2021-08-26 2021-08-26 基于NUMA架构的openstack东西向转发性能优化方法和系统

Publications (2)

Publication Number Publication Date
CN113709139A true CN113709139A (zh) 2021-11-26
CN113709139B CN113709139B (zh) 2023-03-24

Family

ID=78654915

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110985132.4A Active CN113709139B (zh) 2021-08-26 2021-08-26 基于NUMA架构的openstack东西向转发性能优化方法和系统

Country Status (1)

Country Link
CN (1) CN113709139B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101867530A (zh) * 2010-05-31 2010-10-20 西安电子科技大学 基于虚拟机的物联网网关系统及数据交互方法
CN105704098A (zh) * 2014-11-26 2016-06-22 杭州华为数字技术有限公司 一种虚拟化网络的数据传输方法,节点控制器及系统
WO2017214883A1 (en) * 2016-06-15 2017-12-21 Alibaba Group Holding Limited Network system and method for cross region virtual private network peering
CN108694068A (zh) * 2017-03-29 2018-10-23 丛林网络公司 用于虚拟环境中的方法和系统
CN110752989A (zh) * 2019-10-18 2020-02-04 苏州浪潮智能科技有限公司 一种东西向流量转发方法与装置
CN110798412A (zh) * 2019-10-18 2020-02-14 北京浪潮数据技术有限公司 组播业务处理方法、装置、云平台、设备及可读存储介质
CN111211890A (zh) * 2019-12-31 2020-05-29 江苏省未来网络创新研究院 一种基于sdn的网络安全防御系统及其工作方法
CN112042170A (zh) * 2018-04-30 2020-12-04 微软技术许可有限责任公司 用于虚拟机的节点上dhcp实现

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101867530A (zh) * 2010-05-31 2010-10-20 西安电子科技大学 基于虚拟机的物联网网关系统及数据交互方法
CN105704098A (zh) * 2014-11-26 2016-06-22 杭州华为数字技术有限公司 一种虚拟化网络的数据传输方法,节点控制器及系统
WO2017214883A1 (en) * 2016-06-15 2017-12-21 Alibaba Group Holding Limited Network system and method for cross region virtual private network peering
US20190097940A1 (en) * 2016-06-15 2019-03-28 Alibaba Group Holding Limited Network system and method for cross region virtual private network peering
CN108694068A (zh) * 2017-03-29 2018-10-23 丛林网络公司 用于虚拟环境中的方法和系统
CN112042170A (zh) * 2018-04-30 2020-12-04 微软技术许可有限责任公司 用于虚拟机的节点上dhcp实现
CN110752989A (zh) * 2019-10-18 2020-02-04 苏州浪潮智能科技有限公司 一种东西向流量转发方法与装置
CN110798412A (zh) * 2019-10-18 2020-02-14 北京浪潮数据技术有限公司 组播业务处理方法、装置、云平台、设备及可读存储介质
CN111211890A (zh) * 2019-12-31 2020-05-29 江苏省未来网络创新研究院 一种基于sdn的网络安全防御系统及其工作方法

Also Published As

Publication number Publication date
CN113709139B (zh) 2023-03-24

Similar Documents

Publication Publication Date Title
CN1284327C (zh) 分组加密系统和方法
CN100358280C (zh) 一种网络安全装置及其实现方法
US20220244999A1 (en) Technologies for hybrid field-programmable gate array application-specific integrated circuit code acceleration
WO2016190476A1 (ko) 클라우드 서비스를 위한 암호화 키 관리 방법 및 그 장치
CN110009201B (zh) 一种基于区块链技术的电力数据链接系统及方法
US11729042B2 (en) IPSec acceleration method, apparatus, and system
US7937592B2 (en) Network communication security processor and data processing method
CN108810023A (zh) 安全加密方法、密钥共享方法以及安全加密隔离网关
CN108964880A (zh) 一种数据传输方法及装置
CN110011892A (zh) 一种虚拟专用网络的通信方法及相关装置
CN108768669A (zh) 基于asic可信远程内存交换卡及其数据交换方法
CN109426631A (zh) 一种基于rdma的通信方法、装置及存储介质
CN103457952A (zh) 一种基于加密引擎的IPSec处理方法和设备
CN112449751B (zh) 一种数据传输方法、交换机及站点
CN103763301B (zh) 一种采用ppp协议封装IPsec框架结构的系统及方法
CN105262668A (zh) 一种应用于云计算网络的防火墙配置
CN114124416B (zh) 一种网络之间数据快速交换系统及交换方法
CN101471839A (zh) 多核异步实现IPSec vpn的方法
CN113709139B (zh) 基于NUMA架构的openstack东西向转发性能优化方法和系统
CN113132083A (zh) 应用于北斗导航系统的安全认证系统、方法和装置
CN112217769B (zh) 基于隧道的数据解密方法、加密方法、装置、设备和介质
CN108734019A (zh) 一种私有区块链的实现方法
CN114978676B (zh) 基于FPGA、eBPF协同的数据包加解密方法及系统
CN115361210A (zh) 数据处理方法、装置、电子设备及计算机可读存储介质
CN113572591B (zh) 智慧能源服务系统实时高并发安全接入装置和接入方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant