CN117811787A - 信息配置方法、装置、设备及存储介质 - Google Patents
信息配置方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117811787A CN117811787A CN202311810485.6A CN202311810485A CN117811787A CN 117811787 A CN117811787 A CN 117811787A CN 202311810485 A CN202311810485 A CN 202311810485A CN 117811787 A CN117811787 A CN 117811787A
- Authority
- CN
- China
- Prior art keywords
- information
- data packet
- message
- security
- processing block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 230000005540 biological transmission Effects 0.000 claims description 33
- 238000004590 computer program Methods 0.000 claims description 12
- 238000004806 packaging method and process Methods 0.000 claims description 3
- 238000005538 encapsulation Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 11
- UXOKNLLQRMTSSJ-UHFFFAOYSA-N 2-(4-fluorophenyl)-3-[4-(2-piperidin-1-ylethoxy)phenoxy]-1-benzothiophen-6-ol Chemical compound C=1C=C(F)C=CC=1C=1SC2=CC(O)=CC=C2C=1OC(C=C1)=CC=C1OCCN1CCCCC1 UXOKNLLQRMTSSJ-UHFFFAOYSA-N 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种信息配置方法、装置、设备及存储介质,适用于一种包括协议栈和报文处理块的数据处理器,该方法包括:基于协议栈获取主机的中央处理器中的互联网密钥交换应用程序发送的第一协商报文并转发至报文处理块;基于报文处理块将第一协商报文发送至目标设备,并将目标设备返回的第二协商报文转发至协议栈;基于协议栈将第二协商报文转发至应用程序,并将应用程序发送的安全配置信息下发至报文处理块,以使报文处理块基于安全配置信息完成互联网安全协议配置。本公开通过将IKE应用程序设置在主机CPU中,利用主机CPU更优的处理性能完成IKE协商工作,能够平衡主机CPU与DPU的处理压力,避免大量的IKE协商任务影响DPU的工作稳定性。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种信息配置方法、装置、设备及存储介质。
背景技术
为实现不同网络之间的安全组网互联,基于互联网安全协议的虚拟私有网(Internet Protocol Security Virtual Private Network,IPSec VPN)是部署最为广泛的主流技术,能够在充分保障数据机密性和完整性的基础上实现私有网络的异地互联。传统的IPSec VPN设备通常采用中央处理器(Central Processing Unit,CPU)与网络接口卡协同工作的方案,网络接口卡负责网络报文的收发,CPU提供VPN网络报文处理能力,其中包括对报文进行加解密以及封装解封装的操作,以及基于互联网密钥交换(Internet KeyExchange,IKE)协议完成初始的协商过程,但上述方法需要占用大量的主机CPU处理资源,不但会影响主机性能,还会导致IPSec业务处理效率低下。
为减轻CPU的处理压力,一般会设置数据处理器(Data Processing Unit,DPU)替代CPU和网络接口卡的工作,将IPSec中数据平面和控制平面的工作都卸载到DPU上,由DPU上的CPU执行原本由主机CPU执行的全部任务,但在DPU上的CPU执行任务的过程中,基于IKE协议的协商过程较为复杂,在同时建立很多VPN时并发压力较大,虽然DPU中的数据处理芯片具备较强的数据处理能力,但DPU中的CPU往往性能不佳,大量的IKE协商压力会影响DPU整体的工作稳定性。
发明内容
为了解决上述技术问题,本公开提供了一种信息配置方法、装置、设备及存储介质。
本公开实施例的第一方面提供了一种信息配置方法,该方法适用于一种数据处理器,所述数据处理器包括协议栈和报文处理块,该方法包括:
基于所述协议栈获取互联网密钥交换应用程序发送的第一协商报文,并将所述第一协商报文转发至所述报文处理块,所述互联网密钥交换应用程序部署在与所述数据处理器连接的主机的中央处理器中;
基于所述报文处理块将所述第一协商报文发送至目标设备,并接收所述目标设备返回的第二协商报文,将所述第二协商报文发送至所述协议栈;
基于所述协议栈将所述第二协商报文转发至所述互联网密钥交换应用程序,并接收所述互联网密钥交换应用程序发送的安全配置信息,将所述安全配置信息下发至所述报文处理块,以使所述报文处理块基于所述安全配置信息完成互联网安全协议配置。
本公开实施例的第二方面提供了一种信息配置装置,该装置适用于一种数据处理器,所述数据处理器包括协议栈和报文处理块,该装置包括:
第一发送模块,用于基于所述协议栈获取互联网密钥交换应用程序发送的第一协商报文,并将所述第一协商报文转发至所述报文处理块,所述互联网密钥交换应用程序部署在与所述数据处理器连接的主机的中央处理器中;
第二发送模块,用于基于所述报文处理块将所述第一协商报文发送至目标设备,并接收所述目标设备返回的第二协商报文,将所述第二协商报文发送至所述协议栈;
第三发送模块,用于基于所述协议栈将所述第二协商报文转发至所述互联网密钥交换应用程序,并接收所述互联网密钥交换应用程序发送的安全配置信息,将所述安全配置信息下发至所述报文处理块,以使所述报文处理块基于所述安全配置信息完成互联网安全协议配置。
本公开实施例的第三方面提供了一种计算机设备,包括存储器和处理器,以及计算机程序,其中,存储器中存储有计算机程序,当计算机程序被处理器执行时,实现如上述第一方面的信息配置方法。
本公开实施例的第四方面提供了一种计算机可读存储介质,存储介质中存储有计算机程序,当计算机程序被处理器执行时,实现如上述第一方面的信息配置方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
在本公开实施例提供的信息配置方法、装置、设备及存储介质中,通过基于协议栈获取互联网密钥交换应用程序发送的第一协商报文,并将第一协商报文转发至报文处理块,互联网密钥交换应用程序部署在与数据处理器连接的主机的中央处理器中,基于报文处理块将第一协商报文发送至目标设备,并接收目标设备返回的第二协商报文,将第二协商报文发送至协议栈,基于协议栈将第二协商报文转发至互联网密钥交换应用程序,并接收互联网密钥交换应用程序发送的安全配置信息,将安全配置信息下发至报文处理块,以使报文处理块基于安全配置信息完成互联网安全协议配置,能够将互联网密钥交换应用程序设置在主机CPU中,并利用主机与DPU之间的交互以及DPU管理的报文传输能力完成第一协商报文的收发,从而基于主机CPU更优的处理性能完成IKE协商工作,其他工作仍由DPU完成,能够平衡主机CPU与DPU之间的处理压力,避免大量的IKE协商任务影响DPU整体的工作的稳定性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本公开实施例提供的一种信息配置方法的流程图;
图2是本公开实施例提供的一种应用场景图;
图3是本公开实施例提供的一种接收数据包的方法的流程图;
图4是本公开实施例提供的另一种接收数据包的方法的流程图;
图5是本公开实施例提供的一种发送数据包的方法的流程图;
图6是本公开实施例提供的另一种发送数据包的方法的流程图;
图7是本公开实施例提供的一种信息配置装置的结构示意图;
图8是本公开实施例提供的一种计算机设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。
图1是本公开实施例提供的一种信息配置方法的流程图,该方法可以由一种信息配置装置执行,该信息配置装置可以设置在数据处理器中,数据处理器包括协议栈和报文处理块。如图1所示,本实施例提供的信息配置方法包括如下步骤:
S101、基于协议栈获取互联网密钥交换应用程序发送的第一协商报文,并将第一协商报文转发至报文处理块,互联网密钥交换应用程序部署在与数据处理器连接的主机的中央处理器中。
本公开实施例中的协议栈又称协议堆叠,是计算机网络协议套件的一个具体的软件实现,包含多层网络协议,比如Socket、TCP/UDP、IP、Ethernet等,通过协议栈可以对报文进行逐层解析,并传递至相应的处理模块。可选的,在将基于互联网安全协议的虚拟私有网(Internet Protocol Security Virtual Private Network,IPSec VPN)从主机设备卸载到数据处理器(Data Processing Unit,DPU)设备上时,协议栈被卸载至DPU上的SOC中,具体可以被卸载至SOC中的中央处理器(Central Processing Unit,CPU)中。
本公开实施例中的报文处理块可以理解为用于对报文进行加工处理的模块,可选的,为实现IPSec相关功能,报文处理块可以包括基础的二三层报文处理块和IPSec报文处理块,报文处理块可以设置在DPU上的数据处理芯片中。
本公开实施例中的互联网密钥交换应用程序可以理解为用于执行互联网密钥交换(Internet Key Exchange,IKE)协议相关工作的应用程序,具体为用于执行基于IKE协议,对加密协议、散列函数、封装协议、封装模式、密钥有效期等信息进行协商的应用程序,协商过程中会与目标设备进行多次报文交换,多次交换中传输的报文内容不同,但传输路径和传输方式相同。其中,为实现IPSec处理功能的卸载,在DPU上设置了协议栈和报文处理块,而IKE应用程序产生的报文想要发送至DPU上的协议栈,需要在IKE应用程序中设置动态库,通过动态库预加载的方式旁路主机侧协议栈,从而使得IKE应用程序能够将报文发送至DPU上的协议栈。
本公开实施例中的第一协商报文可以是根据用户配置的信息,比如目的设备的IP地址、目标使用的加解密算法、密钥、密钥有效期等信息,通过IKE应用程序生成的协商报文,在协商的不同阶段,IKE应用程序生成的第一协商报文的内容也不同。
本公开实施例中,在需要与目标设备进行IKE协商时,部署在主机CPU上的IKE应用程序会向部署在DPU上的协议栈发送第一协商报文,协议栈在获得第一协商报文后会将其转发至DPU上的报文处理块,具体可以转发至二三层报文处理块,其中,DPU上的协议栈与报文处理块之间可以通过高速串行计算机扩展总线(Peripheral Component InterconnectExpress,PCIE)连接,进而基于PCIE进行报文传输。
在本公开实施例的一种示例性的实施方式中,主机中部署有第一随机存储器,数据处理器中部署有第二随机存储器,第一随机存储器与第二随机存储器之间保持数据同步,信息配置装置可以在互联网密钥交换应用程序将第一协商报文发送至第一随机存储器后,基于协议栈获取第二随机存储器中的第一协商报文。
图2是本公开实施例提供的一种应用场景图,下面参考图2进行说明。
如图2所示,主机中的第一随机存储器和DPU中的第二随机存储器通过PCIE连接,主机和DPU中分别设置有灵活直接存储访问设备(Flexible-Direct Memory AccessDevice,F-DMA Device),主机中的IKE应用程序需要将第一协商报文转发至DPU中的协议栈,为实现上述过程,可以在IKE应用程序内部设置动态库,并通过预加载动态库的方式旁路主机侧的内核协议栈,将第一协商报文写入主机中的F-DMA设备,并由主机中的F-DMA设备将第一协商报文发送至第一随机存储器,第一随机存储器基于PCIE将第一协商报文同步至第二随机存储器,DPU中的F-DMA设备从第二随机存储器中获取第一协商报文,再将第一协商报文发送给DPU中的协议栈,以使协议栈获取到第二随机存储器中的第一协商报文。
S102、基于报文处理块将第一协商报文发送至目标设备,并接收目标设备返回的第二协商报文,将第二协商报文发送至协议栈。
本公开实施例中的目标设备可以理解为需要进行IKE协商的其他IPSec VPN设备。
本公开实施例中的第二协商报文可以理解为目标设备在收到第一协商报文后返回的报文,协商过程中需要与目标设备进行多次报文交换,在协商的不同阶段,第二协商报文的内容也不同。
本公开实施例中,信息配置装置可以在基于协议栈将第一协商报文转发至报文处理块后,基于报文处理块将第一协商报文发送至目标设备,具体可以通过DPU上设置的网络接口将第一协商报文发送至目标设备,并接收目标设备在收到第一协商报文后返回的第二协商报文,将第二协商报文发送至协议栈。
S103、基于协议栈将第二协商报文转发至互联网密钥交换应用程序,并接收互联网密钥交换应用程序发送的安全配置信息,将安全配置信息下发至报文处理块,以使报文处理块基于安全配置信息完成互联网安全协议配置。
本公开实施例中的安全配置信息可以理解为用于实现互联网安全协议(InternetProtocol Security,IPSec)的相关处理的配置信息,可选的,安全配置信息包括安全策略信息和安全联盟信息,安全策略信息包括目标地址、传输协议与安全联盟信息的标识之间的对应关系,根据安全策略信息可以定位至具体的安全联盟信息,安全联盟信息包括用于对数据包进行加解密、封装和解封装处理的处理信息。
本公开实施例中,信息配置装置可以在基于报文处理块将目标设备返回的第二协商报文转发至协议栈后,基于协议栈将第二协商报文进一步转发至IKE应用程序,以使IKE应用程序对第二协商报文进行处理,基于该第二协商报文生成下一条第一协商报文,继续执行S101、S102中的操作,直至协商过程执行完毕,IKE应用程序根据协商结果生成安全配置信息,并将安全配置信息下发给报文处理块,具体可以下发给IPSec报文处理块,以使其基于安全配置信息完成IPSec配置,进而基于该配置对目标设备相关的数据报文进行相应处理。
在本公开实施例的一种示例性的实施方式中,信息配置装置可以基于协议栈将第二协商报文发送至第二随机存储器,以使互联网密钥交换应用程序获取第一随机存储器中的第二协商报文,并在互联网密钥交换应用程序将安全配置信息发送至第一随机存储器后,基于协议栈获取第二随机存储器中的安全配置信息。
参考图2,DPU中的协议栈在将第二协商报文转发至主机中的IKE应用程序时,可以将第二协商报文写入DPU上的F-DMA设备,DPU上的F-DMA设备将第二协商报文发送至第二随机存储器,通过第一随机存储器与第二随机存储器之间的PCIe连接,主机上的第一随机存储器同步得到第二协商报文,主机上的F-DMA设备从第一随机存储器中获取第二协商报文,转发给IKE应用程序,从而实现报文处理块将第二协商报文转发至IKE应用程序。IKE应用程序在接收到第二协商报文并确定协商过程执行完毕后,可以根据协商结果生成安全配置信息,通过预加载动态库的方式旁路主机侧协议栈,将安全配置信息写入主机中的F-DMA设备,F-DMA设备将安全配置信息发送给第一随机存储器,DPU上的第二随机存储器基于PCIe连接通过数据同步获得该安全配置信息,DPU上的F-DMA设备获取第二随机存储器中的安全配置信息并转发给协议栈,进而由协议栈下发至报文处理块进行IPSec配置。
本公开实施例通过基于协议栈获取互联网密钥交换应用程序发送的第一协商报文,并将第一协商报文转发至报文处理块,互联网密钥交换应用程序部署在与数据处理器连接的主机的中央处理器中,基于报文处理块将第一协商报文发送至目标设备,并接收目标设备返回的第二协商报文,将第二协商报文发送至协议栈,基于协议栈将第二协商报文转发至互联网密钥交换应用程序,并接收互联网密钥交换应用程序发送的安全配置信息,将安全配置信息下发至报文处理块,以使报文处理块基于安全配置信息完成互联网安全协议配置,能够将互联网密钥交换应用程序设置在主机CPU中,并利用主机与DPU之间的交互以及DPU管理的报文传输能力完成第一协商报文的收发,从而基于主机CPU更优的处理性能完成IKE协商工作,其他工作仍由DPU完成,能够平衡主机CPU与DPU之间的处理压力,避免大量的IKE协商任务影响DPU整体的工作的稳定性。
图3是本公开实施例提供的一种接收数据包的方法的流程图,如图3所示,在上述实施例的基础上,可以通过如下方法接收数据包。
S301、基于报文处理块接收部署在主机中的第一虚拟机发送的第一数据包,在安全策略信息中查找第一数据包中的第一地址和第一传输协议对应的安全联盟信息的第一标识。
本公开实施例中的第一地址可以理解为第一数据包对应的源地址和目标地址,具体可以为互联网协议(Internet Protocol,IP)地址。
本公开实施例中的传输协议可以具体采用协议号的方式进行表示。
本公开实施例中,部署在主机上的虚拟机与DPU上的报文处理块之间存在基于SR-IOV(Single Root IO Virtualization)的虚拟接口,信息配置装置可以基于报文处理块接收第一虚拟机通过虚拟接口发送的第一数据包,由于第一数据包为明文数据包,报文处理块可以直接从第一数据包中提取到第一地址的信息和第一传输协议的信息,基于预先配置的安全策略信息,查找和匹配第一地址和第一传输协议对应的第一标识,该第一标识即为安全联盟信息的第一标识,也可以称为安全联盟信息的索引。
在本公开实施例的一种示例性的实施方式中,信息配置装置可以基于二三层报文处理模块提取第一数据包中的第一地址和第一传输协议,并根据第一地址和第一传输协议判断第一数据包是否需要进行IPSec相关处理,若需要,则将第一数据包、第一地址和第一传输协议发送至IPSec报文处理块,由IPSec报文处理块在安全策略信息中查找第一地址和第一传输协议对应的安全联盟信息的第一标识。
S302、从第一标识对应的安全联盟信息中获取第一处理信息,基于第一处理信息对第一数据包进行加密和封装处理。
本公开实施例中的第一处理信息可以理解为用于对第一数据包进行加解密、封装和解封装等IPSec相关处理所需要的信息,具体地,第一处理信息可以包括加解密算法、密钥、密钥有效期、封装协议、封装模式等信息,在此不做限定。
本公开实施例中,信息配置装置可以在基于报文处理块确定第一数据包对应的安全联盟信息的第一标识后,进一步基于报文处理块确定第一标识对应的安全联盟信息,从中获取第一处理信息,并根据第一处理信息,采用相应的密钥和加密算法对第一数据包进行加密处理,再利用封装协议和封装模式的信息完成对第一数据包的封装。
在本公开实施例的一种示例性的实施方式中,信息配置装置可以基于IPSec报文处理块从第一标识对应的安全联盟信息中获取第一处理信息,再基于第一处理信息对第一数据包进行加密和封装处理。
S303、将经过处理的第一数据包发送至第一数据包对应的第一设备。
本公开实施例中的第一设备可以理解为第一数据包目标发送的设备。
本公开实施例中,信息配置装置可以在基于报文处理块对第一数据包进行加密和封装处理后,将经过处理的第一数据包发送至第一数据包对应的第一设备。
在本公开实施例的一种示例性的实施方式中,信息配置装置可以在基于IPSec报文处理块对第一数据包进行加密和封装处理后,将经过处理的第一数据包发送至二三层报文处理块,由二三层报文处理块转发给第一设备。
本公开实施例通过基于报文处理块接收部署在主机中的第一虚拟机发送的第一数据包,在安全策略信息中查找第一数据包中的第一地址和第一传输协议对应的安全联盟信息的第一标识,从第一标识对应的安全联盟信息中获取第一处理信息,基于第一处理信息对第一数据包进行加密和封装处理,将经过处理的第一数据包发送至第一数据包对应的第一设备,能够根据待发送数据包对应的安全策略信息和安全配置信息对待发送数据包进行加密和封装处理之后发给第一设备,提高数据包在传输过程中的安全性。
图4是本公开实施例提供的另一种接收数据包的方法的流程图,如图4所示,在上述实施例的基础上,可以通过如下方法接收数据包。
S401、从第一标识对应的安全联盟信息中获取第二地址,第二地址为第一设备对应的传输通道的地址。
本公开实施例中,将第一数据包发送至对应的第一设备时需要通过预先建立的传输通道发送,第二地址即为第一设备对应的传输通道的地址,第一标识对应的安全联盟信息中不仅包含第一处理信息,还包含该第一设备对应的传输通道的第二地址。
本公开实施例中,信息配置装置可以基于报文处理块从第一标识对应的安全联盟信息中获取第一设备对应的传输通道的第二地址。
在本公开实施例的一种示例性的实施方式中,信息配置装置可以基于IPSec报文处理块从第一标识对应的安全联盟信息中获取第二地址,并将其发送给二三层报文处理块。
S402、基于第二地址,将经过处理的第一数据包通过第一设备对应的传输通道发送至第一设备。
本公开实施例中,信息配置装置可以在基于报文处理块确定第二地址后,基于该第二地址查找路由,将经过处理的第一数据包通过第一设备对应的传输通道发送至第一设备。
在本公开实施例的一种示例性的实施方式中,信息配置装置可以基于二三层报文处理块,将第二地址设置为目标地址,将经过处理的第一数据包通过第一设备对应的传输通道发送至第一设备。
本公开实施例通过从第一标识对应的安全联盟信息中获取第二地址,第二地址为第一设备对应的传输通道的地址,基于第二地址,将经过处理的第一数据包通过第一设备对应的传输通道发送至第一设备,能够在将第一数据包进行加密和封装处理后,基于从安全联盟信息中获取第二地址,实现对第一数据包的准确发送。
图5是本公开实施例提供的一种发送数据包的方法的流程图。如图5所示,在上述实施例的基础上,可以通过如下方法发送数据包。
S501、基于报文处理块接收第二设备发送的第二数据包,并从第二数据包中获取第二标识。
本公开实施例中的第二设备可以理解为已建立IPSec VPN连接的设备。
本公开实施例中,基于IPSec协议经过加密和封装处理的数据包中包含有安全联盟信息的标识,即安全联盟索引,信息配置装置可以基于报文处理块接收第二设备发送的第二数据包,并从第二数据包中获取第二标识。
在本公开实施例的一种示例性的实施方式中,信息配置装置可以基于二三层报文处理块接收第二设备发送的第二数据包,并从第二数据包中获取第二标识,将第二标识和第二数据包发送至IPSec报文处理块。
S502、从第二标识对应的安全联盟信息中获取第二处理信息,基于第二处理信息对第二数据包进行解密和解封装处理。
本公开实施例中的第二处理信息可以理解为用于对第而数据包进行IPSec相关处理所需要的信息。
本公开实施例中,信息配置装置可以在基于报文处理块确定第一数据包包含的第二标识后,进一步基于报文处理块确定第二标识对应的安全联盟信息,从中获取第二处理信息,并根据第二处理信息,利用封装协议和封装模式的信息完成对第二数据包的解封装,再采用相应的密钥和加密算法对第二数据包进行解密。
在本公开实施例的一种示例性的实施方式中,信息配置装置可以基于IPSec报文处理块从第二标识对应的安全联盟信息中获取第二处理信息,基于第二处理信息对第二数据包进行解密和解封装处理。
S503、将经过处理的第二数据包发送至第二数据包对应的第二虚拟机。
本公开实施例中,信息配置装置可以在基于报文处理块对第二数据包进行解密和解封装处理后,将经过处理的第二数据包发送至第二数据包对应的第二虚拟机。
在本公开实施例的一种示例性的实施方式中,信息配置装置可以基于二三层报文处理块将经过处理的第二数据包通过第二虚拟机对应的虚拟接口发送至第二虚拟机。
本公开实施例通过基于报文处理块接收第二设备发送的第二数据包,并从第二数据包中获取第二标识,从第二标识对应的安全联盟信息中获取第二处理信息,基于第二处理信息对第二数据包进行解密和解封装处理,将经过处理的第二数据包发送至第二数据包对应的第二虚拟机,能够在获得密文传输的第二数据包后,在DPU中完成解密解封装的处理,以使第二虚拟机在收到经过处理的第二数据包后能直接获取其中的信息,降低主机的处理压力。
图6是本公开实施例提供的另一种发送数据包的方法的流程图,如图6所示,在上述实施例的基础上,可以通过如下方法发送数据包。
S601、从经过处理的第二数据包中获取第二虚拟机的第三地址。
本公开实施例中,信息配置装置可以在基于报文处理块对第二数据包进行解密解封装处理后,从明文形式的第二数据包中直接获取第二虚拟机的第三地址。
在本公开实施例的一种示例性的实施方式中,信息配置装置可以在基于IPSec报文处理块对第二数据包进行解密解封装处理后,将明文形式的第二数据包发给二三层报文处理块,基于二三层报文处理块从第二数据包中获取第二虚拟机的第三地址。
S602、基于第三地址,将经过处理的第二数据包发送至第二虚拟机。
本公开实施例中,信息配置装置可以在确定第三地址后,基于第三地址查找路由,将经过处理的第二数据包发送至第二虚拟机。
在本公开实施例的一种示例性的实施方式中,信息配置装置可以基于二三层报文处理块根据第三地址将经过处理的第二数据包发送至第二虚拟机。
本公开实施例通过从经过处理的第二数据包中获取第二虚拟机的第三地址,基于第三地址,将经过处理的第二数据包发送至第二虚拟机,能够在将第一数据包进行解密和解封装处理后,基于从明文形式的第二数据包中获取的第三地址,实现对第二数据包的准确发送。
图7是本公开实施例提供的一种信息配置装置的结构示意图。如图7所示,该信息配置装置700包括:第一发送模块710,第二发送模块720,第三发送模块730,其中,第一发送模块710,用于基于所述协议栈获取互联网密钥交换应用程序发送的第一协商报文,并将所述第一协商报文转发至所述报文处理块,所述互联网密钥交换应用程序部署在与所述数据处理器连接的主机的中央处理器中;第二发送模块720,用于基于所述报文处理块将所述第一协商报文发送至目标设备,并接收所述目标设备返回的第二协商报文,将所述第二协商报文发送至所述协议栈;第三发送模块730,用于基于所述协议栈将所述第二协商报文转发至所述互联网密钥交换应用程序,并接收所述互联网密钥交换应用程序发送的安全配置信息,将所述安全配置信息下发至所述报文处理块,以使所述报文处理块基于所述安全配置信息完成互联网安全协议配置。
可选的,所述第一发送模块710,具体用于在所述互联网密钥交换应用程序将所述第一协商报文发送至第一随机存储器后,基于所述协议栈获取第二随机存储器中的所述第一协商报文,所述第一随机存储器部署在所述主机中,所述第二随机存储器部署在所述数据处理器中,所述第一随机存储器与所述第二随机存储器保持数据同步;所述第三发送模块730,具体用于基于所述协议栈将所述第二协商报文发送至所述第二随机存储器,以使所述互联网密钥交换应用程序获取所述第一随机存储器中的所述第二协商报文,在所述互联网密钥交换应用程序将所述安全配置信息发送至所述第一随机存储器后,基于所述协议栈获取所述第二随机存储器中的所述安全配置信息。
可选的,所述安全配置信息包括安全策略信息和安全联盟信息,所述安全策略信息包括目标地址、传输协议与安全联盟信息的标识之间的对应关系,所述安全联盟信息包括用于对数据包进行加解密、封装和解封装处理的处理信息。
可选的,所述信息配置装置700还包括:第一接收模块,用于基于所述报文处理块接收部署在所述主机中的第一虚拟机发送的第一数据包,在所述安全策略信息中查找所述第一数据包中的第一地址和第一传输协议对应的安全联盟信息的第一标识;第一处理模块,用于从所述第一标识对应的安全联盟信息中获取第一处理信息,基于所述第一处理信息对所述第一数据包进行加密和封装处理;第四发送模块,用于将经过处理的第一数据包发送至所述第一数据包对应的第一设备。
可选的,所述信息配置装置700还包括:获取模块,用于从所述第一标识对应的安全联盟信息中获取第二地址,所述第二地址为所述第一设备对应的传输通道的地址;所述第四发送模块,具体用于基于所述第二地址,将所述经过处理的第一数据包通过所述第一设备对应的传输通道发送至所述第一设备。
可选的,所述信息配置装置还包括:第二接收模块,用于基于所述报文处理块接收第二设备发送的第二数据包,并从所述第二数据包中获取第二标识;第二处理模块,用于从所述第二标识对应的安全联盟信息中获取第二处理信息,基于所述第二处理信息对所述第二数据包进行解密和解封装处理;第五发送模块,用于将经过处理的第二数据包发送至所述第二数据包对应的第二虚拟机。
可选的,所述第五发送模块,包括:获取单元,用于从所述经过处理的第二数据包中获取所述第二虚拟机的第三地址;发送单元,用于基于所述第三地址,将所述经过处理的第二数据包发送至所述第二虚拟机。
本实施例提供的信息配置装置能够执行上述任一实施例所述的方法,其执行方式和有益效果类似,在这里不再赘述。
图8是本公开实施例提供的一种计算机设备的结构示意图。
如图8所示,该计算机设备可以包括处理器810以及存储有计算机程序指令的存储器820。
具体地,上述处理器810可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
存储器820可以包括用于信息或指令的大容量存储器。举例来说而非限制,存储器820可以包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个及其以上这些的组合。在合适的情况下,存储器820可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器820可在综合网关设备的内部或外部。在特定实施例中,存储器820是非易失性固态存储器。在特定实施例中,存储器820包括只读存储器(Read-Only Memory,ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable ROM,PROM)、可擦除PROM(Electrical Programmable ROM,EPROM)、电可擦除PROM(Electrically ErasableProgrammable ROM,EEPROM)、电可改写ROM(Electrically Alterable ROM,EAROM)或闪存,或者两个或及其以上这些的组合。
处理器810通过读取并执行存储器820中存储的计算机程序指令,以执行本公开实施例所提供的信息配置方法的步骤。
在一个示例中,该计算机设备还可包括收发器830和总线840。其中,如图8所示,处理器810、存储器820和收发器830通过总线840连接并完成相互间的通信。
总线840包括硬件、软件或两者。举例来说而非限制,总线可包括加速图形端口(Accelerated Graphics Port,AGP)或其他图形总线、增强工业标准架构(ExtendedIndustry Standard Architecture,EISA)总线、前端总线(Front Side BUS,FSB)、超传输(Hyper Transport,HT)互连、工业标准架构(Industrial Standard Architecture,ISA)总线、无限带宽互连、低引脚数(Low Pin Count,LPC)总线、存储器总线、微信道架构(MicroChannel Architecture,MCA)总线、外围控件互连(Peripheral Component Interconnect,PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial Advanced TechnologyAttachment,SATA)总线、视频电子标准协会局部(Video Electronics StandardsAssociation Local Bus,VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线840可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
本公开实施例还提供了一种计算机可读存储介质,该存储介质可以存储有计算机程序,当计算机程序被处理器执行时,使得处理器实现本公开实施例所提供的信息配置方法。
上述的存储介质可以例如包括计算机程序指令的存储器820,上述指令可由信息配置设备的处理器810执行以完成本公开实施例所提供的信息配置方法。可选的,存储介质可以是非临时性计算机可读存储介质,例如,非临时性计算机可读存储介质可以是ROM、随机存取存储器(Random Access Memory,RAM)、光盘只读存储器(Compact Disc ROM,CD-ROM)、磁带、软盘和光数据存储设备等。上述计算机程序可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种信息配置方法,其特征在于,所述方法适用于一种数据处理器,所述数据处理器包括协议栈和报文处理块,所述方法包括:
基于所述协议栈获取互联网密钥交换应用程序发送的第一协商报文,并将所述第一协商报文转发至所述报文处理块,所述互联网密钥交换应用程序部署在与所述数据处理器连接的主机的中央处理器中;
基于所述报文处理块将所述第一协商报文发送至目标设备,并接收所述目标设备返回的第二协商报文,将所述第二协商报文发送至所述协议栈;
基于所述协议栈将所述第二协商报文转发至所述互联网密钥交换应用程序,并接收所述互联网密钥交换应用程序发送的安全配置信息,将所述安全配置信息下发至所述报文处理块,以使所述报文处理块基于所述安全配置信息完成互联网安全协议配置。
2.根据权利要求1所述的方法,其特征在于,所述基于所述协议栈获取互联网密钥交换应用程序发送的第一协商报文,包括:
在所述互联网密钥交换应用程序将所述第一协商报文发送至第一随机存储器后,基于所述协议栈获取第二随机存储器中的所述第一协商报文,所述第一随机存储器部署在所述主机中,所述第二随机存储器部署在所述数据处理器中,所述第一随机存储器与所述第二随机存储器保持数据同步;
所述基于所述协议栈将所述第二协商报文转发至所述互联网密钥交换应用程序,包括:
基于所述协议栈将所述第二协商报文发送至所述第二随机存储器,以使所述互联网密钥交换应用程序获取所述第一随机存储器中的所述第二协商报文;
所述接收所述互联网密钥交换应用程序发送的安全配置信息,包括:
在所述互联网密钥交换应用程序将所述安全配置信息发送至所述第一随机存储器后,基于所述协议栈获取所述第二随机存储器中的所述安全配置信息。
3.根据权利要求1所述的方法,其特征在于,所述安全配置信息包括安全策略信息和安全联盟信息,所述安全策略信息包括目标地址、传输协议与安全联盟信息的标识之间的对应关系,所述安全联盟信息包括用于对数据包进行加解密、封装和解封装处理的处理信息。
4.根据权利要求3所述的方法,其特征在于,所述将所述安全配置信息下发至所述报文处理块之后,所述方法还包括:
基于所述报文处理块接收部署在所述主机中的第一虚拟机发送的第一数据包,在所述安全策略信息中查找所述第一数据包中的第一地址和传输协议对应的安全联盟信息的第一标识;
从所述第一标识对应的安全联盟信息中获取第一处理信息,基于所述第一处理信息对所述第一数据包进行加密和封装处理;
将经过处理的第一数据包发送至所述第一数据包对应的第一设备。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
从所述第一标识对应的安全联盟信息中获取第二地址,所述第二地址为所述第一设备对应的传输通道的地址;
所述将经过处理的第一数据包发送至所述第一数据包对应的第一设备,包括:
基于所述第二地址,将所述经过处理的第一数据包通过所述第一设备对应的传输通道发送至所述第一设备。
6.根据权利要求3所述的方法,其特征在于,所述将所述安全配置信息下发至所述报文处理块之后,所述方法还包括:
基于所述报文处理块接收第二设备发送的第二数据包,并从所述第二数据包中获取第二标识;
从所述第二标识对应的安全联盟信息中获取第二处理信息,基于所述第二处理信息对所述第二数据包进行解密和解封装处理;
将经过处理的第二数据包发送至所述第二数据包对应的第二虚拟机。
7.根据权利要求6所述的方法,其特征在于,所述将经过处理的第二数据包发送至所述第二数据包对应的第二虚拟机,包括:
从所述经过处理的第二数据包中获取所述第二虚拟机的第三地址;
基于所述第三地址,将所述经过处理的第二数据包发送至所述第二虚拟机。
8.一种信息配置装置,其特征在于,所述装置适用于一种数据处理器,所述数据处理器包括协议栈和报文处理块,所述装置包括:
第一发送模块,用于基于所述协议栈获取互联网密钥交换应用程序发送的第一协商报文,并将所述第一协商报文转发至所述报文处理块,所述互联网密钥交换应用程序部署在与所述数据处理器连接的主机的中央处理器中;
第二发送模块,用于基于所述报文处理块将所述第一协商报文发送至目标设备,并接收所述目标设备返回的第二协商报文,将所述第二协商报文发送至所述协议栈;
第三发送模块,用于基于所述协议栈将所述第二协商报文转发至所述互联网密钥交换应用程序,并接收所述互联网密钥交换应用程序发送的安全配置信息,将所述安全配置信息下发至所述报文处理块,以使所述报文处理块基于所述安全配置信息完成互联网安全协议配置。
9.一种计算机设备,其特征在于,包括:存储器;处理器;以及计算机程序;其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序,当所述计算机程序被处理器执行时,实现如权利要求1-7中任一项所述的信息配置方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311810485.6A CN117811787A (zh) | 2023-12-26 | 2023-12-26 | 信息配置方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311810485.6A CN117811787A (zh) | 2023-12-26 | 2023-12-26 | 信息配置方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117811787A true CN117811787A (zh) | 2024-04-02 |
Family
ID=90419398
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311810485.6A Pending CN117811787A (zh) | 2023-12-26 | 2023-12-26 | 信息配置方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117811787A (zh) |
-
2023
- 2023-12-26 CN CN202311810485.6A patent/CN117811787A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10958627B2 (en) | Offloading communication security operations to a network interface controller | |
| EP3605976B1 (en) | Message sending method and network device | |
| US10250571B2 (en) | Systems and methods for offloading IPSEC processing to an embedded networking device | |
| TWI499342B (zh) | 網路卸載方法與系統 | |
| CN102882789B (zh) | 一种数据报文处理方法、系统及设备 | |
| CN109150688B (zh) | IPSec VPN数据传输方法及装置 | |
| US20190173860A1 (en) | MACsec for encrypting tunnel data packets | |
| US9015467B2 (en) | Tagging mechanism for data path security processing | |
| CN110719248B (zh) | 用户数据报协议报文的转发方法及装置 | |
| JP5640226B2 (ja) | 第1ドメインのクライアントと第2ドメインのサーバとの間でセキュアな通信チャネルを確立するための装置、方法およびプログラム | |
| US12028378B2 (en) | Secure communication session resumption in a service function chain preliminary class | |
| CN110535742B (zh) | 报文转发方法、装置、电子设备及机器可读存储介质 | |
| WO2020063528A1 (zh) | 数据中心中虚拟机之间的通信方法、装置和系统 | |
| US9473466B2 (en) | System and method for internet protocol security processing | |
| CN106161386B (zh) | 一种实现IPsec分流的方法和装置 | |
| CN109905310B (zh) | 数据传输方法、装置、电子设备 | |
| CN117254976B (zh) | 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备 | |
| CN116527405B (zh) | 一种srv6报文加密传输方法、装置及电子设备 | |
| CN111835613B (zh) | 一种vpn服务器的数据传输方法及vpn服务器 | |
| CN117811787A (zh) | 信息配置方法、装置、设备及存储介质 | |
| CN112217769A (zh) | 基于隧道的数据解密方法、加密方法、装置、设备和介质 | |
| US11677727B2 (en) | Low-latency MACsec authentication | |
| KR101653956B1 (ko) | 암호화된 트래픽을 모니터링하는 방법 및 장치 | |
| US20230164246A1 (en) | Radio access network (ran) architecture | |
| US20210092103A1 (en) | In-line encryption of network data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |