2. 专利查询
  3. 一种负载均衡设备中驱动安全加速芯片的新方法与流程

一种负载均衡设备中驱动安全加速芯片的新方法与流程

专利查询3月前  30


1.本发明涉及通信技术领域,具体为一种负载均衡设备中驱动安全加速芯片的新方法。


背景技术:

2.ssl是最早由netscape公司提出的一种安全协议,利用数据加密、身份验证和消息完整性验证机制,为网络上数据的传输提供安全性保证。ssl可以为http提供安全连接,从而很大程度上改善了万维网的安全性问题。
3.ssl协议实现的安全机制包括:
4.1、数据传输的机密性:利用对称密钥算法对传输的数据进行加密。
5.2、身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户端的身份验证是可选的。
6.3、消息完整性验证:消息传输过程中使用mac算法来检验消息的完整性。
7.而以上安全机制中使用了大量的计算操作,包括对称加解密,非对称加解密,消息摘要算法等。这些计算操作往往消耗大量的cpu运算资源,一方面导致使用ssl协议的网络性能不佳,另一方面导致系统整体性能下降。
8.由此,一些芯片公司设计了一些专用芯片来专门完成对称加解密、非对称加解密、消息摘要的功能以便减轻cpu负荷和提高ssl协议性能,比如原cavium公司(现被marvell公司收购)的nitrox系列安全加速芯片。
9.现有的nitrox系列安全加速芯片的驱动程序工作在内核态,ssl应用程序需要进行加解密操作时,通过系统调用将需要加解密的数据即相应参数传递给内核中的驱动程序,由驱动程序加载到安全加速芯片设定好的内存区域,芯片再通过dma的方式读取数据,完成数据的运算后再将结果写回该内存区域。之后由驱动程序将运算结果拷贝回用户空间,给应用程序使用。
10.现有的安全加速芯片的驱动方式有如下缺点:
11.1、调试困难:linux内核态相对用户态的调试手段和调试方式都更少,所以出现问题时增加了调试的困难。
12.2、健壮性不强:linux内核态由于没有像用户态的虚拟内存空间进行保护,所以一旦出现代码故障,非常容易导致整个系统的崩溃。
13.3、系统开销大:这也是本发明要解决的最根本问题。由于被加解密数据在用户态和内核态之间传输时,需要对数据进行拷贝,即将待加解密数据从用户态拷贝到内核态,再将加解密后得到的数据从内核态拷贝回用户态,这两次拷贝就大大影响了系统的整体性能。
14.因此上述反映的技术问题是本领域技术人员亟待解决的问题。


技术实现要素:

15.本发明的目的是提供一种负载均衡设备中驱动安全加速芯片的新方法,以解决负载均衡设备中,对安全加速芯片进行驱动时,由于上述传统驱动方式带来的过大系统开销,从而导致的调试困难、健壮性不强和性能不佳的问题,给负载均衡系统的ssl协议处理部分带来更好的网络处理性能。
16.为实现上述目的,采用如下技术方案:一种负载均衡设备中驱动安全加速芯片的新方法,包括以下步骤:
17.一、调用用户态pci库函数pci_init初始化pci模块;
18.二、通过扫描pci总线找到匹配nitrox芯片id的pci设备;
19.三、读取该pci设备的配置寄存器,从而读出其基地址寄存器(baseaddress register)的值,由此可以确定其pci基地址的值;
20.四、用mmap函数将该基地址值映射到用户态。
21.本发明与现有技术相比的优点在于:经过实际对比测试,负载均衡设备的ssl协议吞吐处理能力提高了150%,新建连接处理能力提高了220%。
附图说明
22.图1是现有技术主要框架图。
23.图2是本发明主要框架图。
24.图3是本发明负载均衡设备硬件框图。
具体实施方式
25.下面详细描述本发明的实施例,实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。在本发明的描述中,需要理解的是,术语“上”、“下”、“前”、“后”、“左”、“右”、“内”、“外”、“竖向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
26.结合附图1-3,一种负载均衡设备中驱动安全加速芯片的新方法,包括以下步骤:
27.一、调用用户态pci库函数pci_init初始化pci模块;
28.二、通过扫描pci总线找到匹配nitrox芯片id的pci设备;
29.三、读取该pci设备的配置寄存器,从而读出其基地址寄存器(baseaddress register)的值,由此可以确定其pci基地址的值;
30.四、用mmap函数将该基地址值映射到用户态。
31.由此,就可以在用户态直接访问nitrox芯片的各个寄存器了,此时负载均衡ssl子系统的框架如图2所示。
32.本发明在具体实施时,结合图3,图中所示nitrox c3550即为一种nitrox系列的安全加速芯片。ssl 协议的网络数据通过网卡接收到内存中,由c3550安全加速芯片处理后,再由网卡发出。cpu在这一过程中主要起到了处理ssl协议以及驱动网卡和c3550芯片的作用。
33.通过将c3550芯片的驱动程序移植到用户态,加快了cpu处理网络数据的速度,提高了设备的整体效率。
34.以上对本发明及其实施方式进行了描述,这种描述没有限制性,附图中所示的也只是本发明的实施方式之一,实际的结构并不局限于此。总而言之如果本领域的普通技术人员受其启示,在不脱离本发明创造宗旨的情况下,不经创造性的设计出与该技术方案相似的结构方式及实施例,均应属于本发明的保护范围。


技术特征:
1.一种负载均衡设备中驱动安全加速芯片的新方法,包括以下步骤:一、调用用户态pci库函数pci_init初始化pci模块;二、通过扫描pci总线找到匹配nitrox芯片id的pci设备;三、读取该pci设备的配置寄存器,从而读出其基地址寄存器(baseaddressregister)的值,由此可以确定其pci基地址的值;四、用mmap函数将该基地址值映射到用户态。

技术总结
本发明公开了一种负载均衡设备中驱动安全加速芯片的新方法,包括以下步骤:一、调用用户态PCI库函数pci_init初始化PCI模块;二、通过扫描PCI总线找到匹配Nitrox芯片ID的PCI设备;三、读取该PCI设备的配置寄存器,从而读出其基地址寄存器(BaseAddress Register)的值,由此可以确定其PCI基地址的值;四、用mmap函数将该基地址值映射到用户态。本发明与现有技术相比的优点在于:经过实际对比测试,负载均衡设备的SSL协议吞吐处理能力提高了150%,新建连接处理能力提高了220%。连接处理能力提高了220%。连接处理能力提高了220%。


技术研发人员:王琳
受保护的技术使用者:上海弘积信息科技有限公司
技术研发日:2021.11.26
技术公布日:2022/3/8

专利

最新回复(0)