【技术实现步骤摘要】
本公开涉及计算机,尤其涉及一种信息配置方法、装置、设备及存储介质。
技术介绍
1、为实现不同网络之间的安全组网互联,基于互联网安全协议的虚拟私有网(internet protocol security virtual private network,ipsec vpn)是部署最为广泛的主流技术,能够在充分保障数据机密性和完整性的基础上实现私有网络的异地互联。传统的ipsec vpn设备通常采用中央处理器(central processing unit,cpu)与网络接口卡协同工作的方案,网络接口卡负责网络报文的收发,cpu提供vpn网络报文处理能力,其中包括对报文进行加解密以及封装解封装的操作,以及基于互联网密钥交换(internet keyexchange,ike)协议完成初始的协商过程,但上述方法需要占用大量的主机cpu处理资源,不但会影响主机性能,还会导致ipsec业务处理效率低下。
2、为减轻cpu的处理压力,一般会设置数据处理器(data processing unit,dpu)替代cpu和网络接口卡的工作,将ipsec中数据平面和控制平面的工作都卸载到dpu上,由dpu上的cpu执行原本由主机cpu执行的全部任务,但在dpu上的cpu执行任务的过程中,基于ike协议的协商过程较为复杂,在同时建立很多vpn时并发压力较大,虽然dpu中的数据处理芯片具备较强的数据处理能力,但dpu中的cpu往往性能不佳,大量的ike协商压力会影响dpu整体的工作稳定性。
技术实现思路>
1、为了解决上述技术问题,本公开提供了一种信息配置方法、装置、设备及存储介质。
2、本公开实施例的第一方面提供了一种信息配置方法,该方法适用于一种数据处理器,所述数据处理器包括协议栈和报文处理块,该方法包括:
3、基于所述协议栈获取互联网密钥交换应用程序发送的第一协商报文,并将所述第一协商报文转发至所述报文处理块,所述互联网密钥交换应用程序部署在与所述数据处理器连接的主机的中央处理器中;
4、基于所述报文处理块将所述第一协商报文发送至目标设备,并接收所述目标设备返回的第二协商报文,将所述第二协商报文发送至所述协议栈;
5、基于所述协议栈将所述第二协商报文转发至所述互联网密钥交换应用程序,并接收所述互联网密钥交换应用程序发送的安全配置信息,将所述安全配置信息下发至所述报文处理块,以使所述报文处理块基于所述安全配置信息完成互联网安全协议配置。
6、本公开实施例的第二方面提供了一种信息配置装置,该装置适用于一种数据处理器,所述数据处理器包括协议栈和报文处理块,该装置包括:
7、第一发送模块,用于基于所述协议栈获取互联网密钥交换应用程序发送的第一协商报文,并将所述第一协商报文转发至所述报文处理块,所述互联网密钥交换应用程序部署在与所述数据处理器连接的主机的中央处理器中;
8、第二发送模块,用于基于所述报文处理块将所述第一协商报文发送至目标设备,并接收所述目标设备返回的第二协商报文,将所述第二协商报文发送至所述协议栈;
9、第三发送模块,用于基于所述协议栈将所述第二协商报文转发至所述互联网密钥交换应用程序,并接收所述互联网密钥交换应用程序发送的安全配置信息,将所述安全配置信息下发至所述报文处理块,以使所述报文处理块基于所述安全配置信息完成互联网安全协议配置。
10、本公开实施例的第三方面提供了一种计算机设备,包括存储器和处理器,以及计算机程序,其中,存储器中存储有计算机程序,当计算机程序被处理器执行时,实现如上述第一方面的信息配置方法。
11、本公开实施例的第四方面提供了一种计算机可读存储介质,存储介质中存储有计算机程序,当计算机程序被处理器执行时,实现如上述第一方面的信息配置方法。
12、本公开实施例提供的技术方案与现有技术相比具有如下优点:
13、在本公开实施例提供的信息配置方法、装置、设备及存储介质中,通过基于协议栈获取互联网密钥交换应用程序发送的第一协商报文,并将第一协商报文转发至报文处理块,互联网密钥交换应用程序部署在与数据处理器连接的主机的中央处理器中,基于报文处理块将第一协商报文发送至目标设备,并接收目标设备返回的第二协商报文,将第二协商报文发送至协议栈,基于协议栈将第二协商报文转发至互联网密钥交换应用程序,并接收互联网密钥交换应用程序发送的安全配置信息,将安全配置信息下发至报文处理块,以使报文处理块基于安全配置信息完成互联网安全协议配置,能够将互联网密钥交换应用程序设置在主机cpu中,并利用主机与dpu之间的交互以及dpu管理的报文传输能力完成第一协商报文的收发,从而基于主机cpu更优的处理性能完成ike协商工作,其他工作仍由dpu完成,能够平衡主机cpu与dpu之间的处理压力,避免大量的ike协商任务影响dpu整体的工作的稳定性。
本文档来自技高网...【技术保护点】
1.一种信息配置方法,其特征在于,所述方法适用于一种数据处理器,所述数据处理器包括协议栈和报文处理块,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述协议栈获取互联网密钥交换应用程序发送的第一协商报文,包括:
3.根据权利要求1所述的方法,其特征在于,所述安全配置信息包括安全策略信息和安全联盟信息,所述安全策略信息包括目标地址、传输协议与安全联盟信息的标识之间的对应关系,所述安全联盟信息包括用于对数据包进行加解密、封装和解封装处理的处理信息。
4.根据权利要求3所述的方法,其特征在于,所述将所述安全配置信息下发至所述报文处理块之后,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
6.根据权利要求3所述的方法,其特征在于,所述将所述安全配置信息下发至所述报文处理块之后,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,所述将经过处理的第二数据包发送至所述第二数据包对应的第二虚拟机,包括:
8.一种信息配置装置,其特征在于,所述装置适用于一
9.一种计算机设备,其特征在于,包括:存储器;处理器;以及计算机程序;其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序,当所述计算机程序被处理器执行时,实现如权利要求1-7中任一项所述的信息配置方法。
...【技术特征摘要】
1.一种信息配置方法,其特征在于,所述方法适用于一种数据处理器,所述数据处理器包括协议栈和报文处理块,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述协议栈获取互联网密钥交换应用程序发送的第一协商报文,包括:
3.根据权利要求1所述的方法,其特征在于,所述安全配置信息包括安全策略信息和安全联盟信息,所述安全策略信息包括目标地址、传输协议与安全联盟信息的标识之间的对应关系,所述安全联盟信息包括用于对数据包进行加解密、封装和解封装处理的处理信息。
4.根据权利要求3所述的方法,其特征在于,所述将所述安全配置信息下发至所述报文处理块之后,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
6.根据权利...
【专利技术属性】
技术研发人员:杨磊,赵鲲鹏,
申请(专利权)人:中科驭数北京科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。