一种基于智能网卡的数据高速安全交换方法与流程

本发明涉及计算机网络安全领域，可以集成于安全隔离与信息交换系统，可以支持多个逻辑传输通道的数据高速安全交换。

背景技术：

随着网络技术的不断应用和完善，互联网已经成为信息发布的重要渠道，在信息交流中扮演着不可或缺的重要角色，企业办公、电子商务、政务公开化、各单位信息化建设等一系列网络应用随之蓬勃发展。但是，由于黑客和病毒等原因所带来的网络攻击、病毒泛滥、非授权访问、信息泄密等一系列问题，导致企业和政府机关的信息网络、核心业务数据和外界实现部分共享时存在着安全风险或者时效问题。

技术实现要素：

本发明要解决的技术问题是解决现有目前高敏感网络和低敏感网络之间的数据高速安全交换中所面临的上述技术问题。

为了解决上述技术问题的不足，本发明采用的技术方案为：一种基于智能网卡的数据高速安全交换方法，包括如下步骤：

配置两张智能网卡，分别安装在两个宿主机上作为测试服务器，其中智能网卡的物理接口直连；

发送端的宿主机发送程序将数据写入零拷贝发送通道的内存中，并且限制发送速率，且监控发送状态，在双方网络异常的情况下，实时中断数据传输；

发送程序切换到内核态，将已写入零拷贝发送通道中的数据，转换到成硬件指令插入到iq硬件队列中；

发送程序通过pci-e发送doorbell信号给智能网卡；

智能网卡通过pki获取到原始发送数据，并且将原始数据通过硬件加解密引擎进行数据加密操作；

智能网卡将加密后的数据插入到发送备份队列中，再通发送单元发送给对端；

接收端的智能网卡通过pki接收数据，并且通过加解密引擎将数据解密；

将解密后的数据插入到接收保序队列中，且智能网卡将原始数据通过dma引擎，将原始数据通过pci-e总线传输到宿主机的接收队列中；

接收端的智能网卡通过发送单元将丢包消息以及反压信息转发给对端智能网卡；

接收端宿主机接收程序通过零拷贝接收队列，获取原始数据。

进一步的，当接收端智能网卡未正确配置或者接收通道堵塞时，中断数据传输。

进一步的，内核自动生成数据的序号以实现保序功能。

进一步的，接收端的智能网卡实时监控数据丢包以及接收端宿主机的接收队列。

本发明具有以下优点：采用智能万兆网卡多核平台，将逻辑传输通道内的数据保序、重传、加解密、零拷贝传输等功能由智能网卡的多核平台处理，结合x86提供的专用收发接口实现对内网部网络的隔离和数据交换，确保了高性能、高可靠性、高安全性。

附图说明

图1为本发明的发送逻辑示意图。

图2为本发明的接收逻辑示意图。

具体实施方式

以下结合附图对本发明的具体实施方式做具体说明。

本发明的基于智能网卡的数据高速安全交换方法通过将两张智能加速卡安装到测试服务器上，作为内外网物理隔离的服务器，放置在内网(高敏感网络)和外网(低敏感网络)之间。在这里外网可以是安全性不高的互联网，也有可以是同一部门中密级较低的网络，也可能是不同安全等级中级数较低的部门。当有外网数据进行传送时，可以通过拦截tcp/ip数据流，过滤丢弃tcp/ip协议格式，还原上层应用数据并经过安全处理等一系列安全防护措施之后，再通过本方法将数据安全、高速的交换到内网，反之亦然。

首先进行网络部署：

a)两台测试服务器作为高敏感网络和低敏感网络互联设备。

b)每个测试服务器上，安装一张带有多个万兆网口以上的智能网卡，并将所有万兆接口使用光纤直连。

配置智能网卡多核平台：包括硬件协处理器配置包括pki(收包单元)、pko(发送单元)、dma、crypto(加解密)等，双卡握手协议配置，tx(发送)状态监控配置，tx备份队列配置，tx重传配置，rx(接收)拥塞配置，rx保序队列配置，64路并发逻辑传输通道配置、网口监控统计配置等。

配置x86：数据高速收发零拷贝内存配置，发送速率限制配置，收发状态、接口配置，信息统计管理以及智能网卡相关驱动等。

如图1所示，本发明的发送逻辑如下步骤：

1)整体发送速率限制，(万兆接口能承受的范围之内，此处将速率控制在9gbps以下)：主要是将数据传输控制在合理范围之内，以确保数据的可靠传输。

2)发送状态监控：在双方网络异常的情况下，实时中断/防止数据传输；数据传输过程中，如果出现链路中断，将会自动切换到另外一条有效的链路继续进行数据传输。

3)发送程序将数据写入零拷贝发送通道的内存中。

4)发送程序切换到内核态，将已写入零拷贝发送通道中的数据，转换到成硬件指令。

5)将硬件指令插入到iq硬件队列中。

6)通过pci-e发送doorbell信号给智能网卡。

7)智能网卡通过pki获取到原始发送数据。

8)智能网卡将原始数据通过硬件加解密引擎进行数据加密操作。

9)智能网卡将加密后的数据插入到发送备份队列中。

10)智能网卡将加密后的数据通过pko发送给对端。

在步骤2)中，双方网络异常，包括链路全部中断，对端智能网卡未正确配置，接收通道拥塞。

在步骤4)中，内核自动生成数据的序号以实现保序功能。

在步骤9)中，发送备份队列主要用于保证数据传输的保序/重传。

如图2所示，本发明的接收逻辑如下步骤

1)智能网卡通过pki接收数据

2)智能网卡通过加解密引擎将数据解密。

3)智能网卡将原始数据插入到接收保序队列中。

4)智能网卡将原始数据通过dma引擎，将原始数据通过pci-e总线传输到x86接收队列中。

5)智能网卡实时监控数据丢包以及x86接收队列。

6)智能网卡通过pko将相关消息转发给对端。

7)x86接收程序通过零拷贝接收队列，获取原始数据。

在步骤3)中，接收保序队列主要用于保证数据传输的保序/重传。

在步骤5)中，实时监控x86接收队列，通过发送反压以实现拥塞管理。

在步骤6)中，转发的消息包括丢包消息以及发送反压消息。

本发明采用智能万兆网卡多核平台，将逻辑传输通道内的数据保序、重传、加解密、零拷贝传输等功能由智能网卡的多核平台处理，结合x86提供的专用收发接口实现对内网部网络的隔离和数据交换，确保了高性能、高可靠性、高安全性。

技术特征：

技术总结
本发明公开了一种基于智能网卡的数据高速安全交换方法，通过将两张智能加速卡安装到测试服务器上，作为内外网物理隔离的服务器，放置在内网和外网之间。在这里外网可以是安全性不高的互联网，也有可以是同一部门中密级较低的网络，也可能是不同安全等级中级数较低的部门。当有外网数据进行传送时，可以通过拦截TCP/IP数据流，过滤丢弃TCP/IP协议格式，还原上层应用数据并经过安全处理等一系列安全防护措施之后，再通过本方法将数据安全、高速的交换到内网。

技术研发人员：葛云生;蔡斌
受保护的技术使用者：上海赋华网络科技有限公司
技术研发日：2018.09.14
技术公布日：2019.01.15