【技术实现步骤摘要】
本专利技术属于网络数据传输,具体涉及一种实现rdma面向连接操作安全传输的rocev2数据包结构。
技术介绍
1、远程直接存储访问rdma(remote direct memory access)技术作为硬件内核旁路网络的代表,通过将可靠的传输协议固化到硬件中并支持零拷贝技术,减少了对主机处理器的占用和操作系统调用,提高了性能,因此在高性能计算、数据中心中得到了广泛应用。rocev2(rdma over converged ethernet version2)实现的rdma通信方法具有和传统以太网兼容,且具有能跨越路由器在ip(internet protocol)网络上传输的优点。原有rocev2实现的rdma通信方法的数据包中没有定义安全相关字段,不支持安全传输功能。
技术实现思路
1、针对上述
技术介绍
介绍中存在的问题,本专利技术的目的在于提供了一种支持传输消息加密,密钥更新,跨数据包完整性校验和消息源验证的功能特性的实现rdma面向连接操作安全传输的rocev2数据包结构。
2、本专利技术采用的技术方案是:
3、一种实现rdma面向连接操作安全传输的rocev2数据包结构,包括rocev2udp(userdatagram protocol)报文,所述rocev2 udp报文包括infiniband(无限带宽技术)基本传输头(infiniband base transport header,bht)、infiniband载荷(infiniband payl
4、进一步,所述安全传输控制位包括:
5、载荷加密属性位(payload encrypted,penc),用于表示本数据包中包括扩展安全字段在内的载荷字段是否被加密;
6、密钥更新表示位(key update valid,kuv),由数据发送端按需填入,用于提示接收端传输密钥将被更新,指示接收端重新生成密钥,且载荷内包含发送端的密钥产生数据字段(next key generation value,nkgv),供接收端生成密钥使用;
7、数据包密钥已更新表示位(packet key renewed,pkr),用于提示接收端本次传输的数据包载荷字段源方是用新的密钥加密的,接收端应用新产生的密钥来解密和进行标签计算;
8、源队列对编号存在表示位(source queue pair number valid,sqpnv),用于提示接收端本数据包载荷内存在源队列对编号字段(source queue pair number,sqpn),接收端可据此查看本地保存的已建立链接记录中是否有此源队列对编号字段记录,判断源队列对编号字段的合法性,防范非法源队列对的攻击;
9、载荷开始标签操作表示位(payload tagging start,phts),用于提示接收端从当前数据包开始重新进行标签运算操作,当前包载荷字段是本次标签操作的起始段;
10、载荷内基于哈希运算的消息认证码(hash-based message authenticationcode,hmac)标签有效表示位(in payload hmac tag valid,iphtv),用于提示接收端当前接收的数据包末尾存在标签字段(in payload hmac tag,ipht),当前包除标签本身外的载荷字段(不包括标签本身)是本次标签操作的末尾段,当前接收端hmac运算可在处理完本数据包后输出结果以供比对。
11、进一步,一个标签对象为从具有载荷开始标签操作表示位到具有载荷内hmac标签有效表示位的一组连续数据包,从而可实现跨数据包的消息来源和完整性验证。
12、进一步,所述安全传输用字段包括:
13、新密钥产生数据字段(next key generating value,nkgv),面向基于椭圆曲线的迪菲-赫尔曼(diffie-hellman)密钥交换协议,用于表示密钥更新运算时本数据包发送端提供的更新密钥用数据;
14、源队列对编号字段(source queue pair number,sqpn),用于记录rdma操作发送端队列对编号供接收端使用,接收端可据此查看本地保存的已建立链接记录中是否有此源队列对编号字段记录,判断源队列对编号字段的合法性,防范非法源队列对的攻击;
15、载荷内哈希运算消息认证码标签字段(in payload hmac tag,ipht),用于跨数据包完整性校验,使用基于哈希运算消息认证码(hash-based message authenticationcode,hmac)算法获得,采用结果的低128位或总256位。运算过程中使用仅在接收端和发送端共享的数据为hmac算法密钥,可用于跨数据包完整性校验,消息源验证。
16、进一步,所述新密钥产生数据字段、源队列对编号字段依次设置在实际纯载荷之前,载荷内哈希运算消息认证码标签字段在实际纯载荷之后,所述新密钥产生数据字段、源队列对编号字段、实际纯载荷、载荷内哈希运算消息认证码标签字段共同组成了新的载荷字段。
17、进一步,所述新密钥产生数据字段、源队列对编号字段、载荷内哈希运算消息认证码标签字段均是可选字段。
18、进一步,所述新密钥产生数据字段和载荷内哈希运算消息认证码标签字段具有长模式和短模式两种模式;处于长模式时,所述新密钥产生数据字段为512位,所述载荷内哈希运算消息认证码标签字段为256位;处于短模式时,所述新密钥产生数据字段为256位,所述载荷内哈希运算消息认证码标签字段为128位。短模式相对长模式节省相关数据包所需传输带宽。短模式时新密钥产生数据字段只有x维度,需要接收端计算出y部分的密钥更新用数据,长模式时新密钥产生数据字段包含x/y两个维度,更有利于运算。长模式时载荷内哈希运算消息认证码标签字段安全性更好。设立两种模式以供用户在运算时间,安全性,带宽需求之间按不同要求场合配置。
19、进一步,所述源队列对编号字段为24位。
20、本专利技术与现有技术相比,其显著优点包括:使原本不支持安全传输的rocev2数据包支持传输消息加密,密钥更新,跨数据包完整性校验,消息源验证。改进后数据包格式是面向端到端的,只需在发送端和接收端两端处理本格式数据包,网络中其余路由和交换节点不用感知包格式的变化或处理包,不增加网络部署的复杂性。
本文档来自技高网...【技术保护点】
1.一种实现RDMA面向连接操作安全传输的RoCEv2数据包结构,包括RoCEv2UDP报文,所述RoCEv2 UDP报文包括InfiniBand基本传输头、InfiniBand载荷,其特征在于:所述InfiniBand基本传输头字段的保留位中定义了安全传输控制位,所述InfiniBand载荷字段中实际纯载荷前后定义了安全传输用字段。
2.根据权利要求1所述的一种实现RDMA面向连接操作安全传输的RoCEv2数据包结构,其特征在于:所述安全传输控制位包括:
3.根据权利要求2所述的一种实现RDMA面向连接操作安全传输的RoCEv2数据包结构,其特征在于:一个标签对象为从具有载荷开始标签操作表示位到具有载荷内HMAC标签有效表示位的一组连续数据包。
4.根据权利要求1所述的一种实现RDMA面向连接操作安全传输的RoCEv2数据包结构,其特征在于:所述安全传输用字段包括:
5.根据权利要求4所述的一种实现RDMA面向连接操作安全传输的RoCEv2数据包结构,其特征在于:所述新密钥产生数据字段、源队列对编号字段依次设置在实际纯载荷之前,载
6.根据权利要求5所述的一种实现RDMA面向连接操作安全传输的RoCEv2数据包结构,其特征在于:所述新密钥产生数据字段、源队列对编号字段、载荷内哈希运算消息认证码标签字段均是可选字段。
7.根据权利要求4所述的一种实现RDMA面向连接操作安全传输的RoCEv2数据包结构,其特征在于:所述新密钥产生数据字段和载荷内HMAC标签字段具有长模式和短模式两种模式;处于长模式时,所述新密钥产生数据字段为512位,所述载荷内HMAC标签字段为256位;处于短模式时,所述新密钥产生数据字段为256位,所述载荷内HMAC标签字段为128位。
8.根据权利要求4所述的一种实现RDMA面向连接操作安全传输的RoCEv2数据包结构,其特征在于:所述源队列对编号字段为24位。
...【技术特征摘要】
1.一种实现rdma面向连接操作安全传输的rocev2数据包结构,包括rocev2udp报文,所述rocev2 udp报文包括infiniband基本传输头、infiniband载荷,其特征在于:所述infiniband基本传输头字段的保留位中定义了安全传输控制位,所述infiniband载荷字段中实际纯载荷前后定义了安全传输用字段。
2.根据权利要求1所述的一种实现rdma面向连接操作安全传输的rocev2数据包结构,其特征在于:所述安全传输控制位包括:
3.根据权利要求2所述的一种实现rdma面向连接操作安全传输的rocev2数据包结构,其特征在于:一个标签对象为从具有载荷开始标签操作表示位到具有载荷内hmac标签有效表示位的一组连续数据包。
4.根据权利要求1所述的一种实现rdma面向连接操作安全传输的rocev2数据包结构,其特征在于:所述安全传输用字段包括:
5.根据权利要求4所述的一种实现rdma面向连接操作安全传输的rocev2数据包结构,其特征在于:...
【专利技术属性】
技术研发人员:全励,陈心怡,张宇弘,
申请(专利权)人:北京网迅科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。