CN113726737A - 一种通信方法、设备及介质 - Google Patents
一种通信方法、设备及介质 Download PDFInfo
- Publication number
- CN113726737A CN113726737A CN202110843347.2A CN202110843347A CN113726737A CN 113726737 A CN113726737 A CN 113726737A CN 202110843347 A CN202110843347 A CN 202110843347A CN 113726737 A CN113726737 A CN 113726737A
- Authority
- CN
- China
- Prior art keywords
- message
- data flow
- flow label
- vpn device
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 230000006854 communication Effects 0.000 title claims abstract description 37
- 238000004891 communication Methods 0.000 title claims abstract description 32
- 230000008569 process Effects 0.000 claims abstract description 17
- 238000012545 processing Methods 0.000 claims description 34
- 238000004590 computer program Methods 0.000 claims description 10
- 238000003860 storage Methods 0.000 claims description 10
- 238000010586 diagram Methods 0.000 description 17
- 238000004422 calculation algorithm Methods 0.000 description 13
- 238000013461 design Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 230000009286 beneficial effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
- H04L12/465—Details on frame tagging wherein a single frame includes a plurality of VLAN tags
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种通信方法、设备及介质,用以实现接收侧VPN设备对报文的分组调度,提高通信性能。该方法包括:第一VPN设备确定第一报文的数据流标签,其中,所述第一报文由所述第一VPN设备通过用户接口获取,所述数据流标签根据所述第一报文的五元组确定;所述第一VPN设备通过所述数据流标签对应的线程对所述第一报文处理,获得第二报文,其中,所述第二报文包括所述数据流标签;所述第一VPN设备通过所述数据流标签对应的发送队列将第二报文发送至第二VPN设备。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种通信方法、设备及介质。
背景技术
因特网协议安全(Internet Protocol Security,IPSec)协议族是一套比较完整成体系的虚拟专用网络(Virtual Private Network,VPN)技术,它规定了一系列的协议标准。IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全,为网际互连协议(Internet Protocol,IP)数据包提供了安全性保障。IPSec VPN的吞吐和时延性能指标与加解密算法、认证算法和网络环境有关,其中加解密算法的性能只有认证算法的性能的10%~35%,因此,提高加解密算法的性能对提高IPsec VPN的整体性能指标具有显著的效果。目前,网络安全厂商大多采用多流水线并行加解密的方法来提升IPSec VPN的性能,将报文调度至不同流水线的分组调度方法是决定流水线并行处理性能的关键。
现有技术中,分组调度方法方式之一是按五元组分组调度。该方式中,发送侧IPsec VPN根据IP头五元组信息进行分组,同属一个分组的报文调度至同一条流水线上进行加密处理,但接收侧IPsec VPN在处理等待解密的报文时,原始的IP头五元组信息已经被加密隐藏,无法实现分组调度,无法发挥多流水线并行处理的优势,IPSec VPN性能的提升效果有限。
发明内容
本发明提供了一种通信方法、设备及介质,用以解决接收侧IPsec VPN无法实现分组调度的问题。
第一方面,本发明提供了一种通信方法,所述方法包括:
第一VPN设备确定第一报文的数据流标签,其中,所述第一报文由所述第一VPN设备通过用户接口获取,所述数据流标签根据所述第一报文的五元组确定;所述第一VPN设备通过所述数据流标签对应的线程对所述第一报文处理,获得第二报文,其中,所述第二报文包括所述数据流标签;所述第一VPN设备通过所述数据流标签对应的发送队列将第二报文发送至第二VPN设备。
基于该方法,第一VPN设备和第二VPN设备可以共享数据流标签,使得第二VPN设备接收到第二报文后能够根据第二报文携带的数据流标签进行第二报文的分组调度,提高通信性能。
在一种可能的设计中,所述第一VPN设备确定第一报文的数据流标签,包括:所述第一VPN设备确定所述第一报文的五元组的哈希值;所述第一VPN设备根据所述哈希值确定所述数据流标签。
采用该设计,根据五元组的哈希值确定数据流标签,使得五元组相同的报文通过同一线程处理,能够确保通信过程中报文按照先后顺序进行保序传输。同时,哈希值具备单向性和均匀散列的特征,可以确保第一报文在通信过程中的安全性和分配线程的均匀性。
在一种可能的设计中,还包括:所述第一VPN设备根据所述数据流标签将所述第一报文调度至所述线程。
在一种可能的设计中,所述第一VPN设备对所述第一报文处理获得第二报文,包括:所述第一VPN设备加密所述第一报文获得第二报文,所述第二报文的头部携带所述数据流标签。
第二方面,本申请还提供了一种通信方法,所述方法包括:第二VPN设备接收来自于第一VPN设备的第二报文,其中,所述第二报文包括数据流标签;所述第二VPN设备通过所述数据流标签对应的线程对所述第二报文处理获得所述第一报文;所述第二VPN设备通过所述数据流标签对应的发送队列将第二报文发送至所述第一报文的目的用户设备。
在一种可能的设计中,还包括:所述第二VPN设备根据所述数据流标签将所述第二报文调度至所述线程。
在一种可能的设计中,所述第二VPN设备通过所述数据流标签对应的线程对所述第二报文处理获得所述第一报文,包括:所述第二VPN设备通过所述数据流标签对应的线程对所述第二报文进行解密,获得所述第一报文。
在一种可能的设计中,所述第二报文的头部携带所述数据流标签。
第三方面,本申请还提供了一种电子设备,所述电子设备包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如上述第一方面、第二方面或第一方面或第二方面中任一可能的设计所述方法的步骤。
第四方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行第一方面、第二方面或第一方面或第二方面中任一可能的设计所述方法的步骤。
另外,第二方面至第四方面的有益效果可以参见如第一方面所述的有益效果,此处不再赘述。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种网络系统架构示意图;
图2为本申请实施例提供的一种通信方法的过程示意图;
图3为本申请实施例提供的一种第一VPN设备处理过程示意图;
图4为本申请实施例提供的一种第二VPN设备处理过程示意图;
图5为本申请实施例提供的一种通信装置的模块化结构示意图;
图6为本申请实施例提供的一种通信方法的通信装置结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发申请一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
为了设计一套通信方法以提高IPSec VPN性能,本发明实施例提供了一种通信方法、设备及介质。
本申请实施例提供的通信方法可应用于如图1所示的通信系统,但不限于应用于该通信系统。其中,当客户端n中的应用A需要访问目的用户设备时,客户端通过用户接口n将一系列报文发送至第一VPN设备,n为1、2……N中的一个,N为正整数,用户接口可以是以太网(ethernet,Eth)接口,此时客户端n为源用户设备。第一VPN设备的接收队列接收到报文后,通过加密线程对报文进行加密处理,再通过发送队列,将处理后的报文从VPN接口(如IPSec接口1)通过互联网(Internet)的VPN隧道发送到第二VPN设备。第二VPN设备通过VPN接口(如IPSec接口2)接收到VPN隧道传输的报文后,对报文进行解密,再将解密后的报文发送到目的用户设备,其中,目的用户设备可能是应用A的应用服务器,不具体限定。
本申请中可将第一VPN设备称为发送侧VPN设备,将第二VPN设备称为接收侧VPN设备,其中,第一VPN设备和第二VPN设备可以是IPSec VPN设备,如防火墙,VPN隧道可以是IPSec VPN隧道。
下面将结合方法实施例对本申请提供的通信过程进行介绍。
图2为本发明实施例提供的一种通信方法的过程示意图,该过程包括以下步骤:
S101:第一VPN设备确定第一报文的数据流标签,其中,第一报文由第一VPN设备通过用户接口获取,数据流标签根据第一报文的五元组确定。
具体的,第一VPN设备可以包括接收线程、流水线线程和发送线程。其中,用户接口可以是客户端,第一报文可以是一系列原始IP报文,五元组信息是指IP报文中的源IP地址、目的IP地址、协议号、源端口号和目的端口号。
示例性的,结合图1,客户端1(IP地址为10.1.1.1)的应用A和客户端N(IP地址为10.1.1.3)的应用A访问目的用户设备(IP地址为20.1.1.1)的原始IP报文进入第一VPN设备,第一VPN设备的接收线程分别从用户接口1到用户接口N上接收一系列原始IP报文。其中,应用A使用传输控制协议(Transmission Control Protocol,TCP)的25222端口,目的用户设备使用TCP协议的25666端口。
可选的,在S101的一种可能的实现方式中,第一VPN设备可以先确定第一报文的五元组的哈希值,再根据哈希值确定数据流标签。其中,具有相同五元组信息的报文,其数据流标签相同。
可选的,第一报文的五元组的哈希值可以使用哈希(Hash)散列函数确定,例如MD5信息摘要算法(MD5 Message-Digest Algorithm),以下简称MD5算法。
示例性的,结合图1,第一VPN设备的接收线程从用户接口1上接收到客户端1的应用A的一系列原始IP报文,其五元组信息分别为:IP头的源IP地址为10.1.1.1、目的IP地址为20.1.1.1、协议号为6(TCP)、源端口为25222、目的端口为25666,根据五元组信息使用MD5算法分配出一个数据流标签为0x5299c。其次,第一VPN设备的接收线程从用户接口N上接收到客户端2的应用A的一系列原始IP报文,其五元组信息分别为:IP头的源IP地址为10.1.1.3、目的IP地址为20.1.1.1、协议号为6(TCP)、源端口为25222、目的端口为25666,根据五元组信息使用MD5算法再分配出一个数据流标签为0xbc2ac。以数据流标签的长度为20比特为例,来自于客户端1的IP报文的数据流标签的计算公式为:
md5sum_20bit(10.1.1.1,20.1.1.1,6,25222,25666)=0x5299c。 (公式1)
其中,md5sum_20bit表示MD5算法。
同理,来自于客户端2的IP报文的数据流标签的计算公式为:
md5sum_20bit(10.1.1.3,20.1.1.1,6,25222,25666)=0xbc2ac。 (公式2)
以上公式1和公式2仅仅是示例性的说明,实际应用中也可以根据其他公式,和/或确定其他长度的哈希值,用于确定数据流标签。
哈希值具备单向性和均匀散列(或称均匀性)的特征。其中,单向性是指只能根据五元组信息获得哈希值,而不能通过哈希值得到通信报文的五元组信息。均匀散列是指哈希值能够随机散布到整个取值区间内,且散布到取值区间中的任何一个值的概率是相等的。哈希值的单向性的特征有利于提高通信过程的安全性,其均匀散列的特征则有利于多条线程分担作业时的负载均衡。
S102:第一VPN设备通过数据流标签对应的线程对第一报文处理,获得第二报文,其中,第二报文包括数据流标签。
可选的,在S102的一种可能的实现方式中,第一VPN设备可以根据数据流标签将第一报文调度至对应线程进行处理。前述线程可以是流水线线程,也称流水线,其中,每条流水线可以对应于一个接收队列和一个发送队列。
具体的,第一VPN设备的接收线程根据数据流标签的取值进行报文调度。可选的,依据流水线的数目将数据流标签均匀切分为相应数目的区间,例如,第一VPN设备具有2条流水线时,20比特数据流标签的全部取值的范围为0~0xFFFFF,此时可以分配流水线1对应的数据流标签区间为0~0x7FFFF,以及分配流水线2对应的数据流标签区间为0x80000~0xFFFFF。第一VPN设备将落入某个数据流标签区间的第一报文调度至相应的流水线上,依次放入该流水线对应的接收队列中。
由此可见,当多个报文具有相同的五元组(例如这些报文的源用户设备相同且目的用户设备相同)时,按照MD5算法(或类似算法)确定的多个报文的数据流标签相同,因此,第一VPN设备将采用相同的接收队列、线程和发送队列处理按照接收到这些报文的顺序先后处理和发送这些报文,实现报文的保序传输。
第一VPN设备对第一报文的调度处理如图3所示。其中如图3所示,第一VPN设备的接收线程可用于获取报文,第一VPN设备的发送线程可用于向第二VPN设备发送报文。
示例性的,结合图3,第一VPN设备的接收线程根据数据流标签将第一报文发送至数据流标签对应的流水线。由于本实施例中第一VPN设备内部总共有2条流水线,所以将20比特数据流标签的范围(0~0xFFFFF)均分为两段区间,可分配流水线1的数据流标签区间为0~0x7FFFF,以及分配流水线2的数据流标签区间为0x80000~0xFFFFF。第一VPN设备将落入某个数据流标签区间的原始IP报文调度至对应的流水线上,将数据流标签与原始IP报文一同放入该流水线对应的接收队列。也就是说,数据流标签为0x5299c的原始IP报文被分发到流水线1上进行处理,数据流标签为0xbc2ac的原始IP报文被分发到流水线2上进行处理。
可选的,第一VPN设备通过数据流标签对应的线程对第一报文处理过程中,数据流标签与线程的对应关系还可以是包括表格或者映射在内的其他形式,本申请不做限定。
可选的,在S102的一种可能的实现方式中,第一VPN设备可以对第一报文进行加密和添加头部等处理获得第二报文,第二报文的头部携带数据流标签。此时,第一VPN设备的流水线线程也被称为加密流水线线程,或称加密流水线。
具体的,第一VPN设备的加密流水线线程从接收队列中取出第一报文,进行IPsecVPN加密处理,然后将数据流标签填入新IP头中,获得第二报文,然后加密流水线线程按照接收第一报文的先后顺序,依次将第一报文对应的第二报文放入加密流水线对应的发送队列。其中,如果使用互联网通信协议第6版(Internet Protocol Version 6,IPv6),则可将数据流标签填入新IP头的流标签(Flow Label)字段中。如果使用互联网通信协议第4版(Internet Protocol version 4,IPv4),则可将新IP头填入选项字段中。
示例性的,仍结合图3,第一VPN设备的流水线1和流水线2分别从各自对应的接收队列取出数据流标签和原始IP报文,进行IPsec VPN加密处理,加密完成后封装新IP头,流水线1和流水线2分别封装的新IP头中携带的源IP地址为第一VPN设备的VPN接口IP地址,目的IP地址为目标用户设备所属的第二VPN设备的VPN接口IP地址。例如,第一VPN设备的VPN接口IP地址为30.1.1.1,则新IP头中携带的源IP地址为30.1.1.1,又如,第一VPN设备确定目标用户设备所属的第二VPN设备的VPN接口的地址为30.1.1.2,则新IP头中携带的目的IP地址为30.1.1.2。
此外,第一VPN设备可将数据流标签填入新IP头中,例如,流水线1中的某个IP报文的新IP头填入的数据流标签为0x5299c,流水线2中的某个IP报文的新IP头填入的数据流标签为0xbc2ac。
S103:第一VPN设备通过数据流标签对应的发送队列将第二报文发送至第二VPN设备。
具体的,第一VPN设备的发送线程从各个流水线对应的发送队列取出第二报文,根据新IP头的目的IP地址进行IPSec VPN路由选择,然后将第二报文从对应的VPN接口依次发送出去,第二报文经过Internet上的VPN隧道传输到第二VPN设备。
示例性的,结合图1以及图3,第一VPN设备的发送线程依次从流水线1和流水线2分别对应的发送队列取出第二报文,根据新IP报文头的目的IP地址(30.1.1.2)进行IPSecVPN路由选择,本实施例中路由出接口为VPN接口1,因此将加密报文从VPN接口1依次发送出去,第二报文经过Internet上的VPN隧道传输到第二VPN设备。
S104:第二VPN设备接收来自于第一VPN设备的第二报文,其中,第二报文包括数据流标签。其中,第二VPN设备可以包括接收线程、流水线线程和发送线程,第二报文可由第二VPN设备的接收线程从VPN接口接收。
示例性的,结合图1,第二VPN设备的接收线程从VPN接口1接收到一系列第二报文。
S105:第二VPN设备通过数据流标签对应的线程对第二报文处理获得第一报文。
可选的,在S105的一种可能的实现方式中,第二VPN设备可以根据数据流标签将第二报文调度至对应线程,前述线程即为流水线线程,也称流水线,其中,每条流水线可以对应于一个接收队列和一个发送队列。
第二VPN设备对第二报文的调度处理如图4所示。其中,第二VPN设备的接收线程可用于接收来自第一VPN设备的报文,第二VPN设备的发送线程可用于向目的用户设备发送报文。
具体的,第二VPN设备从第二报文的新IP头中提取出数据流标签,根据流水线的数目将数据流标签均匀切分为相应数目的区间,以图4为例,第二VPN设备具有3条流水线时,20比特数据流标签的取值范围为0~0xFFFFF,则可分配流水线1的数据流标签区间为0~0x55555,分配流水线2的数据流标签区间为0x55556~0xAAAAA,以及分配流水线3的数据流标签区间为0xAAAAB~0xFFFFF。第二VPN设备将落入某个数据流标签区间的第二报文放入该流水线对应的接收队列中。
示例性的,结合图4,第二VPN设备从一系列加密报文的新IP头中提取出数据流标签0x5299c和0xbc2ac。根据流水线的数目将数据流标签均匀切分为相应数目的区间,由于第二VPN设备内部总共有3条流水线,所以将20比特数据流标签的范围(0~0xFFFFF)均分为3段区间,每个流水线对应的数据流标签的取值范围可参见上述说明。第二VPN设备将落入某个数据流标签区间的加密报文调度至数据流标签对应的流水线上,即将第二报文依次放入数据流标签对应的流水线的接收队列中。如图4所示,第二VPN设备分别将数据流标签为0x5299c的加密报文调度到解密流水线1上,将数据流标签为0xbc2ac的加密报文调度到解密流水线3上。
可选的,除了根据报文的数据流标签的取值范围确定报文对应的线程以外,第一VPN设备和/或第二VPN设备根据数据流标签将报文调度至对应线程的方法还可以是通过表格或者映射关系实现的,本申请不做限定。比如,第一VPN设备和/或第二VPN设备在获得报文的数据流标签后,根据数据流标签的取值与线程的对应关系表格或映射关系,将报文调度至对应的线程。
可选的,第二VPN设备根据数据流标签将第二报文调度至对应线程的方法可以与第一VPN设备根据数据流标签将第一报文调度至对应线程的方法相同或不同。
可选的,在S105的一种可能的实现方式中,第二VPN设备可以通过数据流标签的线程对第二报文进行解密,获得第一报文。此时,第一VPN设备的流水线线程也被称为解密流水线线程,或称解密流水线。
具体的,第二VPN设备的解密流水线线程从接收队列中取出第二报文,进行IPsecVPN解密处理,获得第一报文。
示例性的,仍结合图4,第二VPN设备的流水线1和流水线3分别从各自对应的接收队列中取出报文,进行IPsec VPN解密处理,获得原始IP报文。
S106:第二VPN设备通过数据流标签对应的发送队列将第二报文发送至第一报文的目的用户设备。其中,目的用户设备即为第一报文中目的地址对应的设备,可以是服务器,也可以是其他设备。
具体的,第二VPN设备将第一报文依次放入解密流水线对应的发送队列。第二VPN设备的发送线程从各个流水线分别对应的发送队列中取出第一报文。第二VPN设备根据第一报文的IP头中的目的IP地址进行用户路由选择,将第一报文依次发送到目的用户设备。
示例性的,结合图1以及图4,第二VPN设备将原始IP报文依次放入各自对应的发送队列。第二VPN设备的发送线程依次从流水线1和流水线3各自对应的发送队列中取出原始IP报文。第二VPN设备根据原始IP报文的IP头中的目的IP地址(20.1.1.1)进行用户路由选择,本实施例中,目的用户设备是应用A服务器,路由出接口为连接应用A服务器的目的用户接口,因此将原始IP报文从目的用户接口依次发送到应用A服务器。
可选的,图5所示为本申请实施例提供的一种通信装置(或设备)的模块化结构示意图。其中,处理模块501可用于执行处理动作,收发模块502可用于实现通信动作。例如,在通过该结构实现以上方法实施例介绍的第一VPN设备时,处理模块501可用于执行S101和/或S102,收发模块502可用于执行S103向第二VPN设备发送第二报文。在通过该结构实现以上方法实施例介绍的第二VPN设备时,收发模块502可用于S104和/或S106,并由处理模块501执行S105。具体执行的动作和功能这里不再具体展开,可参照前述方法实施例部分的说明。
示例性的,在通过图5所示结构实现第一VPN设备时,处理模块501可用于确定第一报文的数据流标签,并通过数据流标签对应的线程根据第一报文获得第二报文。收发模块502可用于发送前述第二报文。
处理模块501具体可确定第一报文的五元组的哈希值,并根据所述哈希值确定数据流标签。
处理模块501还可根据数据流标签将第一报文调度至数据流标签对应的线程。
处理模块501具体可通过所述数据流标签对应的线程加密第一报文获得第二报文。
另外,在通过图5所示结构实现第二VPN设备时,收发模块502可用于接收前述第二报文,其中携带数据流标签。处理模块501可用于通过数据流标签对应的线程根据第二报文获得第一报文。收发模块502还可通过数据流标签对应的发送队列将第一报文发送至目的用户设备。
处理模块501还可用于根据所述数据流标签将所述第二报文调度至所述线程。
处理模块501具体可通过所述数据流标签对应的线程对所述第二报文进行解密,获得所述第一报文。
图6示出了本申请实施例提供的一种通信方法的通信装置(或设备)结构示意图。
本申请实施例中的电子设备可包括处理器601。处理器601是该装置的控制中心,可以利用各种接口和线路连接该装置的各个部分,通过运行或执行存储在存储器602内的指令以及调用存储在存储器602内的数据。可选的,处理器601可包括一个或多个处理单元,处理器601可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器601中。在一些实施例中,处理器601和存储器602可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器601可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的第一VPN设备和/或第二VPN设备所执行的步骤可以直接由硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
在本申请实施例中,存储器602存储有可被至少一个处理器601执行的指令,至少一个处理器601通过执行存储器602存储的指令,可以用于执行前述由第一VPN设备和/或第二VPN设备执行的通信过程。
存储器602作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器602可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器602是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器602还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
本申请实施例中,该装置还可以包括通信接口603,电子设备可以通过该通信接口603传输数据。例如电子设备为第一VPN设备,通信接口603可用于向第二VPN设备发放报文。
可选的,可由图6所示处理器601(或处理器601和存储器602)实现图5所示的处理模块501,和/或,由通信接口603实现图5所示的收发模块502。
基于相同的发明构思,本申请实施例还提供一种计算机可读存储介质,其中可存储有指令,当该指令在计算机上运行时,使得计算机执行上述方法实施例提供的操作步骤。该计算机可读存储介质可以是图6所示的存储器602。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种通信方法,其特征在于,所述方法包括:
第一VPN设备确定第一报文的数据流标签,其中,所述第一报文由所述第一VPN设备通过用户接口获取,所述数据流标签根据所述第一报文的五元组确定;
所述第一VPN设备通过所述数据流标签对应的线程对所述第一报文处理,获得第二报文,其中,所述第二报文包括所述数据流标签;
所述第一VPN设备通过所述数据流标签对应的发送队列将第二报文发送至第二VPN设备。
2.如权利要求1所述的方法,其特征在于,所述第一VPN设备确定第一报文的数据流标签,包括:
所述第一VPN设备确定所述第一报文的五元组的哈希值;
所述第一VPN设备根据所述哈希值确定所述数据流标签。
3.如权利要求1所述的方法,其特征在于,还包括:
所述第一VPN设备根据所述数据流标签将所述第一报文调度至所述线程。
4.如权利要求1所述的方法,其特征在于,所述对所述第一报文处理获得第二报文,包括:
所述第一VPN设备加密所述第一报文获得第二报文,所述第二报文的头部携带所述数据流标签。
5.一种通信方法,其特征在于,所述方法包括:
第二VPN设备接收来自于第一VPN设备的第二报文,其中,所述第二报文包括数据流标签;
所述第二VPN设备通过所述数据流标签对应的线程对所述第二报文处理获得所述第一报文;
所述第二VPN设备通过所述数据流标签对应的发送队列将第二报文发送至所述第一报文的目的用户设备。
6.如权利要求5所述的方法,其特征在于,还包括:
所述第二VPN设备根据所述数据流标签将所述第二报文调度至所述线程。
7.如权利要求5所述的方法,其特征在于,所述第二VPN设备通过所述数据流标签对应的线程对所述第二报文处理获得所述第一报文,包括:
所述第二VPN设备通过所述数据流标签对应的线程对所述第二报文进行解密,获得所述第一报文。
8.如权利要求5所述的方法,其特征在于,所述第二报文的头部携带所述数据流标签。
9.一种电子设备,其特征在于,所述电子设备包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-8中任一所述方法的步骤。
10.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-8中任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110843347.2A CN113726737A (zh) | 2021-07-26 | 2021-07-26 | 一种通信方法、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110843347.2A CN113726737A (zh) | 2021-07-26 | 2021-07-26 | 一种通信方法、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113726737A true CN113726737A (zh) | 2021-11-30 |
Family
ID=78674066
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110843347.2A Pending CN113726737A (zh) | 2021-07-26 | 2021-07-26 | 一种通信方法、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113726737A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599901A (zh) * | 2009-07-15 | 2009-12-09 | 杭州华三通信技术有限公司 | 远程接入mpls vpn的方法、系统和网关 |
| CN102546617A (zh) * | 2011-12-29 | 2012-07-04 | 汉柏科技有限公司 | 多核多线程系统中IPSec转发的方法 |
| CN102710497A (zh) * | 2012-04-24 | 2012-10-03 | 汉柏科技有限公司 | 多核多线程网络设备的报文处理方法及系统 |
| CN103004145A (zh) * | 2011-07-21 | 2013-03-27 | 华为技术有限公司 | 一种虚拟专用网络的分流方法、分流设备和分流系统 |
| CN105939312A (zh) * | 2015-08-26 | 2016-09-14 | 杭州迪普科技有限公司 | 一种数据的传输方法和装置 |
| CN106789152A (zh) * | 2016-11-17 | 2017-05-31 | 东软集团股份有限公司 | 基于多队列网卡的处理器扩展方法及装置 |
| CN110365586A (zh) * | 2019-07-16 | 2019-10-22 | 迈普通信技术股份有限公司 | 报文传输的方法及装置 |
| WO2020125651A1 (zh) * | 2018-12-17 | 2020-06-25 | 中兴通讯股份有限公司 | 标签属性识别方法、装置、设备及存储介质 |
| CN111385259A (zh) * | 2018-12-28 | 2020-07-07 | 中兴通讯股份有限公司 | 一种数据传输方法、装置、相关设备及存储介质 |
-
2021
- 2021-07-26 CN CN202110843347.2A patent/CN113726737A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599901A (zh) * | 2009-07-15 | 2009-12-09 | 杭州华三通信技术有限公司 | 远程接入mpls vpn的方法、系统和网关 |
| CN103004145A (zh) * | 2011-07-21 | 2013-03-27 | 华为技术有限公司 | 一种虚拟专用网络的分流方法、分流设备和分流系统 |
| CN102546617A (zh) * | 2011-12-29 | 2012-07-04 | 汉柏科技有限公司 | 多核多线程系统中IPSec转发的方法 |
| CN102710497A (zh) * | 2012-04-24 | 2012-10-03 | 汉柏科技有限公司 | 多核多线程网络设备的报文处理方法及系统 |
| CN105939312A (zh) * | 2015-08-26 | 2016-09-14 | 杭州迪普科技有限公司 | 一种数据的传输方法和装置 |
| CN106789152A (zh) * | 2016-11-17 | 2017-05-31 | 东软集团股份有限公司 | 基于多队列网卡的处理器扩展方法及装置 |
| WO2020125651A1 (zh) * | 2018-12-17 | 2020-06-25 | 中兴通讯股份有限公司 | 标签属性识别方法、装置、设备及存储介质 |
| CN111385259A (zh) * | 2018-12-28 | 2020-07-07 | 中兴通讯股份有限公司 | 一种数据传输方法、装置、相关设备及存储介质 |
| CN110365586A (zh) * | 2019-07-16 | 2019-10-22 | 迈普通信技术股份有限公司 | 报文传输的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 余铭华: "亿级人像比对系统架构设计及优化", 《软件导刊》, vol. 18, no. 07, pages 132 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110661620B (zh) | 一种基于虚拟量子链路的共享密钥协商方法 | |
| CN109450852B (zh) | 网络通信加密解密方法及电子设备 | |
| US8413153B2 (en) | Methods and systems for sharing common job information | |
| EP3707880A1 (en) | Nic with programmable pipeline | |
| CN110677241B (zh) | 一种量子网络虚拟化架构方法与装置 | |
| CN110690961B (zh) | 一种量子网络功能虚拟化方法与装置 | |
| CN1540916A (zh) | 加密信息包处理设备、方法、程序和程序记录媒体 | |
| WO2021022794A1 (zh) | 基于rdma的数据传输方法、网卡、服务器及介质 | |
| US20170302454A1 (en) | Encryption for transactions in a memory fabric | |
| CN112367163A (zh) | 一种量子网络虚拟化方法与装置 | |
| CN109218451A (zh) | 一种分布式集群系统的数据传输方法、装置、设备及介质 | |
| CN113193957A (zh) | 一种与量子网络分离的量子密钥服务方法与系统 | |
| CN110336661B (zh) | Aes-gcm数据处理方法、装置、电子设备及存储介质 | |
| CN112948867A (zh) | 加密报文的生成与解密方法、装置及电子设备 | |
| CN112367160A (zh) | 一种虚拟量子链路服务方法与装置 | |
| WO2020248906A1 (zh) | 智融标识网络的安全数据传输方法和装置 | |
| US8560832B2 (en) | Information processing apparatus | |
| CN117355834A (zh) | 使用隐私信息检索和安全多方计算的隐私安全批量检索 | |
| CN113726737A (zh) | 一种通信方法、设备及介质 | |
| CN111262837B (zh) | 一种数据加密方法、数据解密方法、系统、设备和介质 | |
| Kirichek et al. | Implementation the protection method of data transmission in network | |
| CN107343001A (zh) | 数据处理方法及装置 | |
| CN107454116A (zh) | 单隧道模式下IPsec ESP协议的优化方法及装置 | |
| CN110381034B (zh) | 一种报文处理方法、装置、设备及可读存储介质 | |
| Liu et al. | An ICN-based Secure Task Cooperation Scheme in Challenging Wireless Edge Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211130 |