CN115766172A - 基于dpu和国密的报文转发方法、装置、设备及介质 - Google Patents

Abstract

本文公开涉及一种基于DPU和国密的报文转发方法、装置、设备及介质，该方法包括：将接收到的至少一个客户虚机的报文传输至DPU；查询DPU中是否存储有与报文匹配的，用于将报文发送到对端VPN网关的IPSec SA；若存储有，则触发DPU基于IPSec SA和国密算法对报文进行加密，并将加密后的数据转发给对端VPN网关。本公开通过将国密加密和数据转发卸载到DPU，来释放服务器的算力，并且由于DPU的数据处理能力更强，可以让多个客户共用一个DPU，节约客户成本。

Description

基于DPU和国密的报文转发方法、装置、设备及介质

技术领域

本公开涉及通信技术领域，具体涉及一种基于DPU和国密的报文转发方法、装置、设备及介质。

背景技术

目前IPSec(Internet Protocol Security，互联网安全协议)隧道可以用来保护IP(Internet Protocol，网际互连协议)分组不受攻击，IPSec技术的广泛使用，可以显著地提高局域网和互联网环境中的信息在网络传输过程中的安全水平。国际IPSec协议族，定义了12个RFC(Request For Comments)和几十个草案，可以满足当前的工业标准。但是国际通用IPSec协议遇到了系列的算法安全、协议安全等难题，因此国家密码管理局制定了国家密码算法标准的VPN(Virtual Private Network，虚拟专用网络)技术规范<IPSec VPN技术规范>，目的是为了对国密算法的IPSec产品提供一种参考规范。基于国密算法的VPN网关主要采用国用密码来确保网络通信安全。

目前市面上很多安全产品都支持了国密算法，但是只支持了安全算法的硬件卸载，流量转发还是需要依托软件转发，只有在加解密上下文才使用硬件加速，导致VPN的性能受到限制。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种基于DPU和国密的报文转发方法、装置、设备及介质。

第一方面，本公开提供了一种基于DPU和国密的报文转发方法，包括：

将接收到的至少一个客户虚机的报文传输至DPU；

查询所述DPU中是否存储有与所述报文匹配的，用于将所述报文发送到对端VPN网关的IPSec SA；

若存储有，则触发所述DPU基于所述IPSec SA和国密算法对所述报文进行加密，并将加密后的数据转发给所述对端VPN网关。

可选的，所述方法还包括：

若未存储有，则与所述对端VPN网关重新协商获得所述IPSec SA，并将所述IPSecSA同步到所述DPU中。

可选的，所述与所述对端VPN网关重新协商获得所述IPSec SA，包括：

与所述对端VPN网关进行国密IKE协商，获得IKE SA；

基于所述IKE SA与所述对端VPN网关协商获得所述IPSec SA。

可选的，所述DPU包括DOE引擎、PPE引擎和国密CRYPTO；

所述查询所述DPU中是否存储有与所述报文匹配的，用于将所述报文发送到对端VPN网关的IPSec SA，包括：

查询所述DOE引擎中是否存储有与所述报文匹配的，用于将所述报文发送到对端VPN网关的IPSec SA；

所述触发所述DPU基于所述IPSec SA和国密算法对所述报文进行加密，并将加密后的数据转发给所述对端VPN网关，包括：

触发所述PPE引擎调用所述国密CRYPTO对所述报文进行加密，并基于所述IPSecSA将加密后的数据转发给所述对端VPN网关。

第二方面，本公开提供了一种基于DPU和国密的报文转发装置，包括：

接收模块，用于将接收到的至少一个客户虚机的报文传输至DPU；

查询模块，用于查询所述DPU中是否存储有与所述报文匹配的，用于将所述报文发送到对端VPN网关的IPSec SA；

转发模块，用于若存储有，则触发所述DPU基于所述IPSec SA和国密算法对所述报文进行加密，并将加密后的数据转发给所述对端VPN网关。

可选的，所述装置还包括协商模块，用于若未存储有，则与所述对端VPN网关重新协商获得所述IPSec SA，并将所述IPSec SA同步到所述DPU中。

可选的，所述协商模块在与所述对端VPN网关重新协商获得所述IPSec SA时，具体用于与所述对端VPN网关进行国密IKE协商，获得IKE SA；基于所述IKE SA与所述对端VPN网关协商获得所述IPSec SA。

可选的，所述DPU包括DOE引擎、PPE引擎和国密CRYPTO；所述查询模块在查询所述DPU中是否存储有与所述报文匹配的，用于将所述报文发送到对端VPN网关的IPSec SA时，具体用于查询所述DOE引擎中是否存储有与所述报文匹配的，用于将所述报文发送到对端VPN网关的IPSec SA；所述转发模块在触发所述DPU基于所述IPSec SA和国密算法对所述报文进行加密，并将加密后的数据转发给所述对端VPN网关，具体用于触发所述PPE引擎调用所述国密CRYPTO对所述报文进行加密，并基于所述IPSec SA将加密后的数据转发给所述对端VPN网关。

第三方面，本公开提供了一种电子设备，包括：

存储器；

处理器；以及

计算机程序；

其中，所述计算机程序存储在所述存储器中，并被配置为由所述处理器执行以实现如第一方面所述的方法。

第四方面，本公开提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面所述的方法。

本公开提供的技术方案与现有技术相比具有如下优点：

本公开提供的基于DPU和国密的报文转发方法、装置、设备及介质，通过将接收到的客户虚机的报文传输至DPU中，然后查询DPU中是否存储有用于将报文发送到对端VPN网关的IPSec SA，若有则触发DPU基于IPSec SA和国密算法对报文进行加密，并将加密后的数据转发给对端VPN网关，实现将国密加密和数据转发卸载到DPU，由此释放服务器的算力，并且由于DPU的数据处理能力更强，可以让多个客户共用一个DPU，节约客户成本。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本公开实施例提供的一种基于DPU和国密的报文转发方法流程图；

图2为本公开实施例提供的一种应用场景的示意图；

图3为本公开实施例提供的基于DPU和国密的报文转发装置的结构示意图；

图4为本公开实施例提供的电子设备的结构示意图。

具体实施方式

为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。

VPN网关可以建立VPC(虚拟私有云)与企业数据中心或者其它区域VPC的安全可靠加密通道，是通过VPN技术可以实现不同的网络互联，是总部与分支机构网络互通的最好形式。VPC无法与本地数据中心直接进行通信，如果要安全地连通网络，可以选用VPN网关。VPN网关支持国密算法卸载已经成为政务云、金融云的必备门槛。相比国际算法，国密算法更加安全，但是由于流量转发还是需要依托软件转发，只有在加解密上下文才使用硬件加速，导致VPN的性能受到限制。基于此，本公开实施例提出一种基于DPU和国密的报文转发方法，硬件依赖DPU，可以广泛应用于VPN网关，该方法可以卸载IPSec流量到DPU进行转发。

图1为本公开提供的一种基于DPU和国密的报文转发方法流程图，该方法可以由VPN网关的报文转发装置执行，该VPN网关的报文转发装置可以采用软件结合硬件的方式实现，该VPN网关的报文转发装置可配置于电子设备中，例如服务器。另外，图2为本公开实施例提供的一种应用场景的示意图，该方法可以应用于图2所示的应用场景，图2所示的应用场景中包括服务器201、DPU202、VPN网关203以及客户虚机204。

下面结合图2所示的应用场景，对图1所示的基于DPU和国密的报文转发方法进行介绍，例如，图2中的服务器201可以执行该方法。该方法包括如下步骤：

S101、将接收到的至少一个客户虚机的报文传输至DPU。

示例性的，在服务器201通过MAC接收到客户虚机204的报文时，将报文传输至DPU202中，由DPU202来执行后续步骤的报文转发。图2示例中具体是传输至DPU202中的PPE引擎2022中，PPE(Packet Processing Engine)引擎为数据包处理引擎，用于转发报文数据包。

S102、查询DPU中是否存储有与报文匹配的，用于将报文发送到对端VPN网关的IPSec SA。

服务器201查询DPU202中是否存储有，用于将客户虚机204的报文发送给VPN网关203的IPSec SA。在图2示例中，具体是查询DPU202中的DOE引擎2021中是否存储有该IPSecSA，其中DOE(Data Offload Engine)引擎为数据存储引擎。

SA(Security Association，安全联盟)是通信对等体间对某些要素的协定，它描述了对等体间如何利用安全服务(例如加密)进行安全的通信。这些要素包括对等体间使用何种安全协议、需要保护的数据流特征、对等体间传输的数据的封装模式、协议采用的加密和验证算法，以及用于数据安全转换、传输的密钥和SA的生存周期等。

若存储有，则直接执行S104；

若未存储有，则先执行S103，然后执行S104；

在一些实施例中，该方法还包括S103、与对端VPN网关重新协商获得IPSec SA，并将IPSec SA同步到DPU中。

服务器201在DPU202中未查询到用于将客户虚机204的报文发送给VPN网关203的IPSec SA时，会与VPN网关重新协商获得IPSec SA,并将IPSec SA同步到DPU202中。

S104、触发DPU基于IPSec SA和国密算法对报文进行加密，并将加密后的数据转发给对端VPN网关。

在DPU202中存储有该IPSec SA的情况下，触发DPU202基于IPSec SA包含的国密算法对报文加密，得到加密后的数据，并同时基于该IPSec SA将加密后的数据转发给VPN网关203。在图2示例中，具体是在DOE引擎2021中存储有该IPSec SA时，触发DPU202中的PPE引擎2022调用国密CRYPTO来对报文进行国密算法加密，得到加密后的报文数据包，然后PPE引擎2022基于IPSec SA将加密后的报文数据包转发给VPN网关203，后续由VPN网关203对加密后的报文数据包进行解密，并将解密得到的报文路由给相应的客户虚机。

本公开实施例通过将接收到的客户虚机的报文传输至DPU中，然后查询DPU中是否存储有用于将报文发送到对端VPN网关的IPSec SA，若有则触发DPU基于IPSec SA和国密算法对报文进行加密，并将加密后的数据转发给对端VPN网关，实现将国密加密和数据转发卸载到DPU，由此释放服务器的算力，并且由于DPU的数据处理能力更强，可以让多个客户共用一个DPU，节约客户成本。

在一些实施例中，与对端VPN网关重新协商获得IPSec SA，包括：与对端VPN网关进行国密IKE协商，获得IKE SA；基于IKE SA与对端VPN网关协商获得IPSec SA。

由于在手工配置IPSec SA的方式下，建立SA所需的全部参数都需要用户手工配置，也只能手工刷新，在中大型网络中，这种方式的密钥管理成本很高，所以通常通过IKE方式来建立IPSec SA。在IKE方式下，建立IPSec SA需要的加密、验证密钥是通过DH算法生成的，可以动态刷新，因而密钥管理成本低，且安全性较高。IKE方式是通过先协商一个IKESA，在这个IKE SA加密的基础上协商IPSec SA。其中IKE是一个复合协议，因特网密钥交换IKE协议建立在Internet SA和密钥管理协议ISAKMP定义的框架上，是基于UDP(UserDatagram Protocol)500端口号的应用层协议。

在图2示例中，DPU202的SOC2024(System on Chip，片上系统)安装有DPDK(DPDK：Data Plane Development Kit)，DPDK是一套将从网卡收上来的数据包直接映射到用户空间的开发套件。在协商IPSec SA的过程中，服务器201中的IKE进程首先与VPN网关203进行国密IKE协商，得到IKE SA，然后在协商获得的IKE SA的基础上进行国密IPSec协商，进而获得IPSec SA，然后服务器201将协商得到的IPSec SA同步给DPU202上的SOC2024中的IPSec进程，由IPSec进程通过RTE_FLOW接口将流信息和IPSec SA信息同步给硬件引擎(RTE_FLOW接口为DPDK提供的通用API，用于配置硬件以匹配特定的Ingress或Egress流量)，保存在DOE引擎2021中，后续报文的数据包则由PPE引擎2022基于协商获得的IPSec SA转发给VPN网关203，利用PPE引擎2022对报文流量数据转发进行硬件加速，提高VPN的流量转发效率，由此实现卸载相关IPSec流量运行数据到DPU硬件引擎。

本公开实施例通过先协商获得IKE SA，然后基于IKE SA与对端VPN网关协商获得IPSec SA，由此降低密钥管理成本，提高安全性，同时将协商得到的IPSec SA同步到DPU中，使得后续报文的数据报文由DPU来转发，从而卸载相关IPsec流量运行数据到DPU，释放服务器侧的算力。

在上述实施例的基础上，DPU包括DOE引擎、PPE引擎和国密CRYPTO；查询DPU中是否存储有与报文匹配的，用于将报文发送到对端VPN网关的IPSec SA，包括：查询DOE引擎中是否存储有与报文匹配的，用于将报文发送到对端VPN网关的IPSec SA；触发DPU基于IPSecSA和国密算法对报文进行加密，并将加密后的数据转发给对端VPN网关，包括：触发PPE引擎调用国密CRYPTO对报文进行加密，并基于IPSec SA将加密后的数据转发给对端VPN网关。

结合图2，DPU202中包括DOE引擎2021、PPE引擎2022和国密CRYPTO2023，其均为硬件引擎，其中DOE引擎2021为数据存储引擎，用于存储IPSec SA信息；PPE引擎2022为数据包处理引擎，用于转发报文的流量数据，并在转发时进行硬件加速；国密CRYPTO2023为硬件逻辑实现的国密算法，可以对报文的加密进行硬件加速。

在服务器201查询DPU202中是否存储有发送用于将客户虚机204的报文发送给VPN网关203的IPSec SA是，具体从DPU202中的DOE引擎2021进行查询；在触发DPU202基于IPSecSA和国密算法对报文进行加密，并将加密后的数据转发给VPN网关203时，具体是触发PPE引擎2022调用国密CRYPTO2023对报文进行加密，利用国密CRYPTO对报文进行哈希运算、加密和添加ESP头，其中使用的算法均为国密算法，实现对国密算法加密的硬件加速，然后再由PPE引擎2022基于IPSec SA将加密后的数据转发给VPN网关203，实现对IPSec流量转发的硬件加速。

国密算法为国家密码局颁布的密码学算法，包含对称加密算法SM1、SM3、SM4和Hash算法，非对称算法SM2，以及其他密码学算法。例如国密CRYPTO可以是SM3算法和SM4算法的硬件实现，SM3、SM4算法均为开源算法。ESP(Encapsulating Security Payload)为封装安全载荷，属于IPsec的一种协议，用于提供IP数据包的机密性、数据完整性以及对数据源鉴别以及抗重放攻击的功能。

本公开实施例通过在DPU中设置DOE引擎、PPE引擎和国密CRYPTO，由DOE引擎来存储IPSec SA信息，由PPE引擎调用国密CRYPTO对报文进行加密，并由PPE引擎基于IPSec SA将加密后的数据转发给对端VPN网关，从而实现将国密算法加密和报文流量转发卸载到DPU，使得报文无需经过服务器处理，释放服务器侧CPU的算力。

图3为本公开实施例提供的基于DPU和国密的报文转发装置的结构示意图。该基于DPU和国密的报文转发装置可以是如上实施例的服务器中的部件或组件。本公开实施例提供的基于DPU和国密的报文转发装置可以执行基于DPU和国密的报文转发方法实施例提供的处理流程，如图3所示，该基于DPU和国密的报文转发装置300包括：接收模块301，用于将接收到的至少一个客户虚机的报文传输至DPU；查询模块302，用于查询DPU中是否存储有与报文匹配的，用于将报文发送到对端VPN网关的IPSec SA；转发模块303，用于若存储有，则触发DPU基于IPSec SA和国密算法对报文进行加密，并将加密后的数据转发给对端VPN网关。

在一些实施例中，该基于DPU和国密的报文转发装置300还包括协商模块304，用于若未存储有，则与对端VPN网关重新协商获得IPSec SA，并将IPSec SA同步到DPU中。

在一些实施例中，协商模块304在与对端VPN网关重新协商获得IPSec SA时，具体用于与对端VPN网关进行国密IKE协商，获得IKE SA；基于IKE SA与对端VPN网关协商获得IPSec SA。

在一些实施例中，DPU包括DOE引擎、PPE引擎和国密CRYPTO；查询模块302在查询DPU中是否存储有与报文匹配的，用于将报文发送到对端VPN网关的IPSec SA时，具体用于查询DOE引擎中是否存储有与报文匹配的，用于将报文发送到对端VPN网关的IPSec SA；转发模块303在触发DPU基于IPSec SA和国密算法对报文进行加密，并将加密后的数据转发给对端VPN网关，具体用于触发PPE引擎调用国密CRYPTO对报文进行加密，并基于IPSec SA将加密后的数据转发给对端VPN网关。

图3所示实施例的基于DPU和国密的报文转发装置可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图4为本公开实施例提供的电子设备的结构示意图。该电子设备可以是如上实施例的服务器。本公开实施例提供的电子设备可以执行基于DPU和国密的报文转发方法实施例提供的处理流程，如图4所示，电子设备400包括：存储器401、处理器402、计算机程序和通讯接口403；其中，计算机程序存储在存储器401中，并被配置为由处理器402执行如上的基于DPU和国密的报文转发方法。

另外，本公开实施例还提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行以实现上述实施例的基于DPU和国密的报文转发方法。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种基于DPU和国密的报文转发方法，其特征在于，包括：

将接收到的至少一个客户虚机的报文传输至DPU；

查询所述DPU中是否存储有与所述报文匹配的，用于将所述报文发送到对端VPN网关的IPSec SA；

若存储有，则触发所述DPU基于所述IPSec SA和国密算法对所述报文进行加密，并将加密后的数据转发给所述对端VPN网关。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

若未存储有，则与所述对端VPN网关重新协商获得所述IPSec SA，并将所述IPSec SA同步到所述DPU中。

3.如权利要求2所述的方法，其特征在于，所述与所述对端VPN网关重新协商获得所述IPSec SA，包括：

与所述对端VPN网关进行国密IKE协商，获得IKE SA；

基于所述IKE SA与所述对端VPN网关协商获得所述IPSec SA。

4.如权利要求1所述的方法，其特征在于，所述DPU包括DOE引擎、PPE引擎和国密CRYPTO；

所述查询所述DPU中是否存储有与所述报文匹配的，用于将所述报文发送到对端VPN网关的IPSec SA，包括：

查询所述DOE引擎中是否存储有与所述报文匹配的，用于将所述报文发送到对端VPN网关的IPSec SA；

所述触发所述DPU基于所述IPSec SA和国密算法对所述报文进行加密，并将加密后的数据转发给所述对端VPN网关，包括：

触发所述PPE引擎调用所述国密CRYPTO对所述报文进行加密，并基于所述IPSec SA将加密后的数据转发给所述对端VPN网关。

5.一种基于DPU和国密的报文转发装置，其特征在于，包括：

接收模块，用于将接收到的至少一个客户虚机的报文传输至DPU；

查询模块，用于查询所述DPU中是否存储有与所述报文匹配的，用于将所述报文发送到对端VPN网关的IPSec SA；

转发模块，用于若存储有，则触发所述DPU基于所述IPSec SA和国密算法对所述报文进行加密，并将加密后的数据转发给所述对端VPN网关。

6.如权利要求5所述的装置，其特征在于，所述装置还包括协商模块，用于若未存储有，则与所述对端VPN网关重新协商获得所述IPSec SA，并将所述IPSec SA同步到所述DPU中。

7.如权利要求6所述的装置，其特征在于，所述协商模块在与所述对端VPN网关重新协商获得所述IPSec SA时，具体用于与所述对端VPN网关进行国密IKE协商，获得IKE SA；基于所述IKE SA与所述对端VPN网关协商获得所述IPSec SA。

8.如权利要求5所述的装置，其特征在于，所述DPU包括DOE引擎、PPE引擎和国密CRYPTO；

所述查询模块在查询所述DPU中是否存储有与所述报文匹配的，用于将所述报文发送到对端VPN网关的IPSec SA时，具体用于查询所述DOE引擎中是否存储有与所述报文匹配的，用于将所述报文发送到对端VPN网关的IPSec SA；

所述转发模块在触发所述DPU基于所述IPSec SA和国密算法对所述报文进行加密，并将加密后的数据转发给所述对端VPN网关，具体用于触发所述PPE引擎调用所述国密CRYPTO对所述报文进行加密，并基于所述IPSec SA将加密后的数据转发给所述对端VPN网关。

9.一种电子设备，其特征在于，包括：

存储器；

处理器；以及

计算机程序；

其中，所述计算机程序存储在所述存储器中，并被配置为由所述处理器执行以实现如权利要求1-4中任一项所述的方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-4中任一项所述的方法。

Images