加密数据分组转发制造技术

技术编号：42745399 阅读：1 留言：0更新日期：2024-09-18 13:37

一种传输加密数据分组的方法包括利用处理器：响应于接收到加密数据分组，在位于内核空间内的快速数据路径(XDP)钩点处执行扩展伯克利分组过滤器(eBPF)应用；基于eBPF应用的分析，确定是否经由可信执行环境(TEE)中的可信应用(TA)处理加密数据分组；以及基于处理加密数据分组的方式，识别对分组转发决策进行定义的应用智能数据。

全部详细技术资料下载

【技术实现步骤摘要】
【国外来华专利技术】

本公开一般而言涉及对数据分组的传输和处理。具体而言，本公开涉及如下系统和方法：所述系统和方法经由快速数据路径(express data path，xdp)层访问并通过执行扩展伯克利分组过滤器(extended berkeley packet filter，ebpf)应用、以安全的方式传输和处理加密数据分组，以用于识别对分组转发决策进行定义的应用智能数据(application intelligence data)。

技术介绍

1、计算机联网无处不在，并且允许数据从网络内的第一计算设备传输到与第一计算设备通信耦合的第二计算设备。在许多情况下，计算网络内传输的数据可以包括加密数据分组，这些分组对延迟敏感，因为加密数据分组被要求尽快交付(例如，在实时(real-time，rt)通信中)。当应用被要求共享加密数据分组头部或有效载荷的加密密钥以解密加密数据分组，但出于安全目的又不允许这样时，可能出现问题。虽然可以在负责处理加密数据分组的计算设备的内核(kernel)层处理传输后安全(transport later security，tls)协议，但采用这种处理需要大量的处理时间，而且大多数应用可以在用户空间中控制这种处理。这可能导致ebpf应用缺乏所需的关于将加密数据分组转发到哪里的转发决策方面的应用智能。由于这种处理需要大量的时间和计算资源，因此几乎不可能具有提供及时转发rt通信的能力。

技术实现思路

【技术保护点】

1.一种传输加密数据分组的方法，包括利用处理器：

2.根据权利要求1所述的方法，还包括：

3.根据权利要求2所述的方法，其中，所述eBPF映射数据库包括映射类型，所述映射类型包括所述加密数据分组的加密部分和标识应用类型的数据结构。

4.根据权利要求2或3所述的方法，其中，对所述过滤判据指示经由所述TA进行额外处理的确定至少部分地基于：对用于在所述TA已被预安装的情况下进行识别的多个初始分组的处理、所述初始分组是否已被传输到触发所述eBPF映射数据库的更新的所述TA处理应用、或其组合。

5.根据权利要求1至4中任一项所述的方法，其中，所述加密数据分组包括支持QUIC传输协议的流量，所述流量包括经4元组化的标识符和经编码的ConnectionID。

6.根据权利要求1至5中任一项所述的方法，其中，所述加密数据分组包括：

7.根据权利要求2至6中任一项所述的方法，还包括：基于对所述eBPF映射数据库的所述更新，基于经更新的eBPF映射数据库来处理后续的加密数据分组。

8.根据权利要求1至7中任一项所述的方法，还包括：

9.根据权利要求8所述的方法，还包括：

10.根据权利要求9所述的方法，其中，所述eBPF应用包括多个处理器的TA安装状态的清单。

11.一种计算设备，包括：

12.根据权利要求11所述的计算设备，所述操作还包括：

13.根据权利要求12所述的计算设备，其中，所述eBPF映射数据库包括映射类型，所述映射类型包括所述加密数据分组的加密部分和标识应用类型的数据结构。

14.根据权利要求12或13所述的计算设备，其中，对所述过滤判据指示经由所述TA进行额外处理的确定至少部分地基于：对用于在所述TA已被预安装的情况下进行识别的多个初始分组的处理、所述初始分组是否已被传输到触发所述eBPF映射数据库的更新的所述TA处理应用、或其组合。

15.根据权利要求11至14中任一项所述的计算设备，其中，所述加密数据分组包括支持QUIC传输协议的流量，所述流量包括经4元组化的标识符和经编码的ConnectionID。

16.根据权利要求11至15中任一项所述的计算设备，其中，所述加密数据分组包括：

17.根据权利要求12至16中任一项所述的计算设备，所述操作还包括：基于对所述eBPF映射数据库的所述更新，基于经更新的eBPF映射数据库来处理后续的加密数据分组。

18.根据权利要求11至17中任一项所述的计算设备，所述操作还包括：

19.根据权利要求18所述的计算设备，所述操作还包括：

20.根据权利要求19所述的计算设备，其中，所述eBPF应用包括多个处理器的TA安装状态的清单。

21.一种用于传输加密数据分组的装置，包括：

22.根据权利要求21所述的装置，还包括用于实施根据权利要求2至10中任一项所述方法的组件。

23.一种计算机程序、计算机程序产品或计算机可读介质，包括指令，所述指令当被计算机执行时，使所述计算机执行权利要求1至10中任一项所述方法的步骤。

...

【技术特征摘要】
【国外来华专利技术】

1.一种传输加密数据分组的方法，包括利用处理器：

2.根据权利要求1所述的方法，还包括：

3.根据权利要求2所述的方法，其中，所述ebpf映射数据库包括映射类型，所述映射类型包括所述加密数据分组的加密部分和标识应用类型的数据结构。

4.根据权利要求2或3所述的方法，其中，对所述过滤判据指示经由所述ta进行额外处理的确定至少部分地基于：对用于在所述ta已被预安装的情况下进行识别的多个初始分组的处理、所述初始分组是否已被传输到触发所述ebpf映射数据库的更新的所述ta处理应用、或其组合。

5.根据权利要求1至4中任一项所述的方法，其中，所述加密数据分组包括支持quic传输协议的流量，所述流量包括经4元组化的标识符和经编码的connectionid。

6.根据权利要求1至5中任一项所述的方法，其中，所述加密数据分组包括：

7.根据权利要求2至6中任一项所述的方法，还包括：基于对所述ebpf映射数据库的所述更新，基于经更新的ebpf映射数据库来处理后续的加密数据分组。

8.根据权利要求1至7中任一项所述的方法，还包括：

9.根据权利要求8所述的方法，还包括：

10.根据权利要求9所述的方法，其中，所述ebpf应用包括多个处理器的ta安装状态的清单。

11.一种计算设备，包括：

12.根据权利要求11所述的计算设备，所述操作还包括：

13.根据权利要求12所述的计算设备，其中，所述ebpf映射数据库包括映射类型，所述映射类型...

【专利技术属性】
技术研发人员：拉杰什·英迪拉·维斯万巴兰，拉姆·莫汉·拉文德拉纳特，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人