算法的卸载方法、装置和系统制造方法及图纸

本申请公开了一种算法的卸载方法、装置和系统。其中，该方法包括：扩展装置根据主机调用的接口，启动本地的传输层安全协议来处理任务；在传输层安全协议处理任务之后，扩展装置使用网络协议处理单元将处理结果作为数据报文进行封装；扩展装置内部署的网络控制器外发封装后的数据报文。本申请解决了现有技术采用局部硬件卸载的方案导致服务器主机的资源占用仍旧比较大的技术问题。

The Unloading Method, Device and System of the Algorithms

【技术实现步骤摘要】
算法的卸载方法、装置和系统
本申请涉及互联网领域，具体而言，涉及一种算法的卸载方法、装置和系统。
技术介绍
随着互联网技术的发展，用户可以通过互联网来获取各种各样的信息，并享受互联网提供的各种在线服务，例如，网上购物、支付、转账等。HTTP(HyperTextTransferProtocol)超文本传输协议是目前互联网上应用最广泛的应用层协议，基于传输层的TCP协议进行通信，在客户端与服务器之间传输超文本文件。但是，由于互联网是开放环境，而HTTP协议被用于在Web浏览器和网络服务器之间传递信息时，是以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网络服务器之间的传输报文，可以直接读懂其中的信息，因而，HTTP协议不适合传输一些敏感信息，例如，银行卡号、密码等信息。SSL(SecureSocketsLayer，安全套接层)，及其继任者传输层安全(TransportLayerSecurity，TLS)是为网络通信提供安全及数据完整性的一种安全传输协议，在HTTP的基础上加入SSL协议(即HTTPS，HyperTextTransferProtocoloverSecureSocketLayer)，可以实现数据的安全传输。因而，HTTPS是以安全为目标的HTTP通道，在Web浏览器与网站服务器进行数据加密传输、身份认证，可以用于敏感信息的传输，例如，交易支付等信息。目前，TLS/SSL是现有网络通信中应用最广泛的安全协议层，许多互联网公司也都早已提出全网HTTPS的目标。但是TLS/SSL协议的一个显著代价是握手协商中(加密/解密/压缩/解压缩等运算步骤)的计算密集性，服务器主机需要耗费大量时间处理(这也是HTTPS比HTTP明显要慢的主要原因)。通过硬件加速和卸载(即Offload，需要注意的是，此处的卸载是指通过增加芯片或其他PCI插卡等来处理或运行本应该在服务器上的CPU内运行的一些算法，从而降低对服务器CPU资源的消耗)的方式，可以将运算密集的加解密算法等操作在服务器主机的CPU之外单独进行，从而使CPU能够处理更多的协议栈和操作系统层面的请求、并达到较少延迟、提高性能的目的。但是在传统TLS/SSL卸载方法中，采用的都是局部卸载，即网络协议全流程仍然在主机上运行，只是对其中的若干步骤进行卸载。这种局部的卸载和优化程度不够完全，虽然能够减少主机上的一些主要加解密算法步骤的计算压力，但是对于整个流程而言，会另外引入一些资源开销和时延代价。这部分引入的折衷代价在某些场景下甚至会和卸载方案本身带来的好处抵消(如AES加密流数据时，频繁调用卸载的开销有时会大于主机直接计算的开销)。针对上述现有技术采用局部硬件卸载的方案导致服务器主机的资源占用仍旧比较大的问题，目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种算法的卸载方法、装置和系统，以至少解决现有技术采用局部硬件卸载的方案导致服务器主机的资源占用仍旧比较大的技术问题。根据本专利技术实施例的一个方面，提供了一种算法的卸载方法，包括：扩展装置根据主机调用的接口，启动本地的传输层安全协议来处理任务；在传输层安全协议处理任务之后，扩展装置使用网络协议处理单元将处理结果作为数据报文进行封装；扩展装置内部署的网络控制器外发封装后的数据报文。根据本专利技术实施例的一个方面，还提供了一种算法的卸载方法，包括：扩展装置接收数据报文，并使用本地的网络控制器将数据报文传输至网络协议处理单元进行解析；扩展装置使用本地的传输层安全协议对解析结果进行处理；扩展装置将处理结果上传到主机。根据本专利技术实施例的另一方面，还提供了一种存储介质，存储介质包括存储的程序，其中，在程序运行时控制存储介质所在设备执行上述任意一项的算法的卸载方法。根据本专利技术实施例的另一方面，还提供了一种计算机设备，计算机设备用于运行程序，其中，程序运行时执行上述任意一项的算法的卸载方法。根据本专利技术实施例的另一方面，还提供了一种算法的卸载系统，包括：处理器；以及存储器，与处理器连接，用于为处理器提供处理以下处理步骤的指令：扩展装置根据主机调用的接口，启动本地的传输层安全协议来处理任务；在传输层安全协议处理任务之后，扩展装置使用网络协议处理单元将处理结果作为数据报文进行封装；扩展装置内部署的网络控制器外发封装后的数据报文。根据本专利技术实施例的另一方面，还提供了一种算法的卸载系统，包括：处理器；以及存储器，与处理器连接，用于为处理器提供处理以下处理步骤的指令：扩展装置接收数据报文，并使用本地的网络控制器将数据报文传输至网络协议处理单元进行解析；扩展装置使用本地的传输层安全协议对解析结果进行处理；扩展装置将处理结果上传到主机。根据本专利技术实施例的另一方面，还提供了一种算法的卸载系统，包括：主机，用于提供应用程序；扩展装置，与所述主机通过扩展接口连接，用于在所述主机发送数据报文的情况下，根据主机调用的接口，启动本地的传输层安全协议来处理任务，并在所述传输层安全协议处理任务之后，使用网络协议处理单元将处理结果作为数据报文进行封装后，通过网络控制器发送；其中，所述扩展装置还用于在所述主机接收数据报文的情况下，接收所述数据报文，使用本地的网络控制器将所述数据报文传输至网络协议处理单元进行解析，并使用本地的传输层安全协议对解析结果进行处理后，将处理结果上传到所述主机。根据本专利技术实施例的另一方面，还提供了一种集成芯片，包括：扩展接口，用于与主机连接，其中，所述主机用于提供应用程序；传输层安全协议处理单元，用于根据所述主机调用的接口处理任务；网络协议处理单元，与所述传输层安全协议处理单元通信，用于数据报文进行封装或解析；网络控制器，用于发送或接收数据报文。在本专利技术实施例中，通过扩展装置根据主机调用的接口，启动本地的传输层安全协议来处理任务；在传输层安全协议处理任务之后，扩展装置使用网络协议处理单元将处理结果作为数据报文进行封装；扩展装置内部署的网络控制器外发封装后的数据报文，达到了使得扩展卡完成了TLS/SSL协议层之下的几乎全部流程的目的，从而实现了减少主机上的计算压力、有更多的计算资源提供给应用程序使用，同时扩展卡上通过并行计算核心等方式保证了安全网络协议中的延时和吞吐量的技术效果，进而解决了现有技术采用局部硬件卸载的方案导致服务器主机的资源占用仍旧比较大的技术问题。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1是根据现有技术的一种可选的TLS/SSL卸载方案的硬件结构示意图；图2(a)是根据现有技术的一种可选的TLS/SSL卸载方案在发送数据包时的工作流程示意图；图2(b)是根据现有技术的一种可选的TLS/SSL卸载方案在接收数据包时的工作流程示意图；图3是根据本申请实施例的一种可选的算法的卸载系统示意图；图4是根据本申请实施例的一种可选的TLS/SSL卸载方案的硬件结构示意图；图5是根据本申请实施例的一种算法的卸载方法流程图；图6(a)是根据本申请实施例的一种可选的TLS/SSL卸载方案在发送数据包时的工作流程示意图；图6(b)是根据本申请实施例的一种可选的TLS/SSL卸载方案本文档来自技高网...

【技术保护点】
1.一种算法的卸载方法，其特征在于，包括：扩展装置根据主机调用的接口，启动本地的传输层安全协议来处理任务；在所述传输层安全协议处理任务之后，所述扩展装置使用网络协议处理单元将处理结果作为数据报文进行封装；所述扩展装置内部署的网络控制器外发所述封装后的数据报文。

【技术特征摘要】
1.一种算法的卸载方法，其特征在于，包括：扩展装置根据主机调用的接口，启动本地的传输层安全协议来处理任务；在所述传输层安全协议处理任务之后，所述扩展装置使用网络协议处理单元将处理结果作为数据报文进行封装；所述扩展装置内部署的网络控制器外发所述封装后的数据报文。2.根据权利要求1所述的方法，其特征在于，在扩展装置根据主机调用的接口，启动本地的传输层安全协议来处理任务之前，所述方法还包括：所述主机发起任务，并由所述主机的应用程序调用所述扩展装置的传输层安全协议的接口，使得所述扩展装置对所述任务完成传输层安全协议算法、网络协议封装，和底层网络协议栈的功能。3.根据权利要求1所述的方法，其特征在于，启动本地的传输层安全协议来处理任务，包括：判断是否需要使用所述传输层安全协议来处理任务；如果需要，则对所述任务进行仲裁，并将所述任务发送至算法加速单元进行处理，得到任务的处理结果。4.根据权利要求3所述的方法，其特征在于，所述扩展装置使用网络协议处理单元将处理结果作为数据报文进行封装，包括：所述网络协议处理单元对所述处理结果进行封装，并将封装结果配置给所述网络控制器。5.根据权利要求1所述的方法，其特征在于，在所述扩展装置上，使用软件栈来运行所述传输层安全协议的服务，通过传输层安全协议的引擎单元来进行加解密算法的卸载，通过TCP卸载引擎来执行网络协议的硬件加速处理。6.根据权利要求5所述的方法，其特征在于，在所述扩展装置使用网络协议处理单元将处理结果作为数据报文进行封装之前，所述方法还包括：判断所述扩展装置中是否存在所述TCP卸载引擎；如果存在，则使用所述TCP卸载引擎执行所述网络协议的硬件加速处理。7.根据权利要求6所述的方法，其特征在于，如果不存在，则判断所述扩展装置的资源使用量是否超过预定阈值，如果超过则使用负载均衡调度模块将部分流量旁路到所述主机上处理。8.一种算法的卸载方法，其特征在于，包括：扩展装置接收数据报文，并使用本地的网络控制器将所述数据报文传输至网络协议处理单元进行解析；所述扩展装置使用本地的传输层安全协议对解析结果进行处理；所述扩展装置将处理结果上传到主机。9.根据权利要求8所述的方法，其特征在于，使用本地的网络控制器将所述数据报文传输至网络协议处理单元进行解析，包括：判断所述解析结果中的数据是否经过加密；如果所述解析结果中的数据没有经过加密，则直接将解析结果上传至所述主机；如果所述解析结果中的数据经过加密，则执行使用本地的传输层安全协议对解析结果进行处理的步骤。10.根据权利要求9所述的方法，其特征在于，使用本地的传输层安全协议对解析结果进行处理，包括：所述传输层安全协议层对所述解析结果进行处理，得到处理结果；将所述处理结果进行仲裁，并发送至对应的算法加速单元进行加解密处理，得到解密结果。11.根据权利要求8所述的方法，其特征在于，在扩展装置接收数据报文之后，所述方法还包括：判断所述扩展装置中是否存在TCP卸载引擎；如果存在，则使用所述TCP卸载引擎执行所述网络协议处理单元的硬件加速处理，并将所述数据报文存储到处理器的内存区。12.根据权利要求11所述的方法，其特征在于，所述扩展装置使用本地的传输层安全协议对解析结果进行处理，包括：所述扩展装置的处理器判断所述解析结果是否需要发给所述传输层安全协议的安全套接层进行处理；如果需要，则使用所述传输层安全协议的安全...

【专利技术属性】
技术研发人员：张晓昱，蒋晓维，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY