【技术实现步骤摘要】
本专利技术涉及网络安全领域,具体而言,涉及一种网络安全设备的local区域数据处理方法。
技术介绍
1、随着dpdk开发套件及其相关技术的日益成熟,越来越多的网络安全设备采用dpdk与用户态协议栈来提高整机性能。该方案能够大幅提升网络安全设备的trust区域,untrust区域,dmz区域之间的转发性能。但是,local区域的数据处理问题仍然不能得到很好解决。比如:相关的安全业务(包过滤,会话状态检测,重定向,aspf等)将如何处理等。
2、现有技术通常需要安装用户态协议栈插件(动态库)接管socket,实现local区域应用与用户态协议栈通信,进一步对外提供服务。该方法高度依赖插件,插件需要满足所有应用程序要求,开发难度大。同时应用程序的运行需要修改运行库路径,系统集成与部署比较麻烦。比如:专利《一种数据加载方法、装置、设备及计算机可读介质》,公开号为cn116383175a。其次,开源项目vpp(linux-cp)也提供了用户态协议栈与local区域数据处理方法,但是,其为纯数据处理,未考虑增加相关安全业务后带来的功能与性能问题等。再次,大部分研究涉及用户态协议栈的转发,未进行local区域的数据处理,也未考虑相关安全业务结合问题。比如:专利《一种数据处理系统及方法》,公开号为cn116049085a;专利《一种基于dpdk与vpp的sslvpn实现方法》,公开号为cn114095251a;专利《数据处理装置及数据处理方法》,公开号为cn108268328a。
技术实现思路p>
1、本专利技术旨在提供一种网络安全设备的local区域数据处理方法,以解决上述存在的问题。
2、本专利技术提供的一种网络安全设备的local区域数据处理方法,包括:
3、创建用户态协议栈1~n以及用户态协议栈m;
4、在local区域数据包的处理中,用户态协议栈1~n完成网络协议栈及相关安全业务处理功能;用户态协议栈m完成软件系统初始化和数据包的分发功能。
5、进一步的,所述网络安全设备的local区域数据处理方法,包括如下步骤:
6、用户态协议栈m处理一的步骤;
7、用户态协议栈1~n处理一的步骤;
8、linux本地协议栈处理的步骤;
9、用户态协议栈m处理二的步骤;
10、用户态协议栈1~n处理二的步骤。
11、进一步的,所述用户态协议栈m处理一的步骤包括:
12、设备上电,创建用户态协议栈m以及用户态协议栈1~n的进程或者线程,每个用户态协议栈并行地运行在独立的cpu核心上并设置孤立核;
13、为用户态协议栈1~n分配网卡接收队列与发送队列;
14、为网卡创建虚拟网口n,用于用户态协议栈与linux本地协议栈之间数据传输;
15、以及系统软件初始化。
16、进一步的,所述用户态协议栈1~n处理一的步骤包括:
17、步骤2.1,用户态协议栈1~n将接收到的数据包进行协议栈及相关安全业务处理;对重定向数据包建立nat-map与本用户态协议栈编号的映射表m2,对aspf处理的数据包建立aspf-map与本用户态协议栈编号的映射表m3;
18、步骤2.2,将路由到local区域数据包建立的映射表m2和映射表m3发送到用户态协议栈m;
19、步骤2.3,将路由到local区域的数据包通过创建的虚拟网口n发送到linux本地协议栈。
20、进一步的,所述linux本地协议栈处理的步骤包括:
21、linux本地协议栈从虚拟网口n接收数据包,在完成正常的业务处理后再由虚拟网口n发送出去。
22、进一步的,所述用户态协议栈m处理二的步骤包括:
23、步骤4.1,用户态协议栈m将从用户态协议栈1~n接收的映射表m2和映射表m3以hash表的方式存储;
24、步骤4.2,用户态协议栈m将从虚拟网口n接收到的数据包按照分发算法m4发送到相应的用户态协议栈。
25、进一步的,步骤4.2中的分发算法m4应确保local区域的同一条会话流数据包在同一个用户态协议栈上处理。
26、进一步的,步骤4.2中的分发算法m4如下:
27、步骤4.2.1,使用数据包五元组信息hash查找映射表m2,若命中则将其发送到其对应的用户态协议栈,否则,进入下一步;
28、步骤4.2.2,使用数据包五元组信息hash查找映射表m3,若命中则将其发送到其对应的用户态协议栈。否则,进入下一步;
29、步骤4.2.3,采用网卡队列的数据包分配算法m1计算出对应的用户态协议栈,并将其发送到其对应的用户态协议栈。
30、进一步的,步骤4.2中用户态协议栈m与用户态协议栈1~n之间的数据传输接口采用dpdk提供的无锁环形列,数据结构采用mbuf。
31、进一步的,所述用户态协议栈1~n处理二的步骤包括:
32、用户态协议栈1~n接收到源为local区域的数据包后,完成相应的协议栈及安全业务处理后,最终将数据包从物理网口发送出去。
33、综上所述,由于采用了上述技术方案,本专利技术的有益效果是:
34、1、本专利技术可以在不影响原local区域应用程序安装,运行和部署的情况下,使用户无感地使用用户态协议栈并享受其带来的好处。本专利技术采用虚拟接口技术建立linux与用户态之间的接口映射,使linux系统应用程序使用网口的方法与之前物理网口一样,无需做任何修改就能正常工作。
35、2、本专利技术采用了精准分流技术,可以解决同一条会话数据流在不同用户态协议栈上处理带来的安全业务失效等问题。在多核网络安全设备中,大多数情况下需要保证同一条数据流在同一个用户态协议栈中处理,否则会存在业务功能或性能问题。比如:包过滤,会话状态检测,nat,aspf等。同时,本专利技术将数据流分配到其对应的用户态协议栈上并行处理,可以提升local区域数据处理性能。本专利技术通过将不同的数据流分配到不同的用户态协议栈处理,即将比较消耗性能的安全处理均匀的分配到了不同的用户态协议栈并行处理,可以提高系统的安全业务处理性能。
本文档来自技高网...【技术保护点】
1.一种网络安全设备的local区域数据处理方法,其特征在于,包括:
2.根据权利要求1所述的网络安全设备的local区域数据处理方法,其特征在于,包括如下步骤:
3.根据权利要求2所述的网络安全设备的local区域数据处理方法,其特征在于,所述用户态协议栈m处理一的步骤包括:
4.根据权利要求3所述的网络安全设备的local区域数据处理方法,其特征在于,所述用户态协议栈1~n处理一的步骤包括:
5.根据权利要求4所述的网络安全设备的local区域数据处理方法,其特征在于,所述Linux本地协议栈处理的步骤包括:
6.根据权利要求5所述的网络安全设备的local区域数据处理方法,其特征在于,所述用户态协议栈m处理二的步骤包括:
7.根据权利要求6所述的网络安全设备的local区域数据处理方法,其特征在于,步骤4.2中的分发算法M4应确保local区域的同一条会话流数据包在同一个用户态协议栈上处理。
8.根据权利要求7所述的网络安全设备的local区域数据处理方法,其特征在于,步骤4.2中的分发算法
9.根据权利要求8所述的网络安全设备的local区域数据处理方法,其特征在于,步骤4.2中用户态协议栈m与用户态协议栈1~n之间的数据传输接口采用dpdk提供的无锁环形列,数据结构采用mbuf。
10.根据权利要求9所述的网络安全设备的local区域数据处理方法,其特征在于,所述用户态协议栈1~n处理二的步骤包括:
...【技术特征摘要】
1.一种网络安全设备的local区域数据处理方法,其特征在于,包括:
2.根据权利要求1所述的网络安全设备的local区域数据处理方法,其特征在于,包括如下步骤:
3.根据权利要求2所述的网络安全设备的local区域数据处理方法,其特征在于,所述用户态协议栈m处理一的步骤包括:
4.根据权利要求3所述的网络安全设备的local区域数据处理方法,其特征在于,所述用户态协议栈1~n处理一的步骤包括:
5.根据权利要求4所述的网络安全设备的local区域数据处理方法,其特征在于,所述linux本地协议栈处理的步骤包括:
6.根据权利要求5所述的网络安全设备的local区域数据处理方法,其特征在于,所述用户态协议栈...
【专利技术属性】
技术研发人员:李雷,彭凯,邵伟,杨皓森,王正学,曾婷,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。