(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111408453.4 (22)申请日 2021.11.25 (65)同一申请的已公布的文献号 申请公布号 CN 113824747 A (43)申请公布日 2021.12.21 (73)专利权人 之江实验室 地址 310023 浙江省杭州市余杭区文一西 路1818号 (72)发明人 薛镭　卢东辉　邹涛　张汝云　 (74)专利代理 机构 北京志霖恒远知识产权代理 事务所(普通 合伙) 11435 代理人 张荣鑫 (51)Int.Cl. H04L 9/40(2022.01) H04L 45/745(2022.01)审查员 朱华慧 (54)发明名称 一种支持报文负载加密可定义的数据平面 可编程实现方法 (57)摘要 本发明公开了一种支持报文负载加密可定 义的数据平 面可编程实现方法， 该方法将一部分 原本在服务器端完成的报文加密任务下放到可 编程的数据平 面上执行， 当数据包 经过数据平面 时， 报文加密任务也可以相应完成,不仅可以缓 解服务器负 担， 还为服务器计算速度的提升和网 络的整体运行 带来了显著的性能优势。 权利要求书1页 说明书7页 附图2页 CN 113824747 B 2022.02.18 CN 113824747 B 1.一种支持报文负载加密可定义的数据平面可编 程实现方法， 其特征在于包括以下步 骤： （1） 、 数据包通过12个输入端口之一进入可编程交换机： 可编程交换机共有12个输入端 口， 包括8个1G以太网端口和4个10G光纤模块端口； 交换机采用12条pipeline同时并行选择 数据包分别进入 对应的12个网卡； （2） 、 根据用户自定义的协议类型， 自动配置识别数据包的类型域， 同时根据类型域提 取相应的匹配域并将其组合得到包头域， 并向后一级处 理单元输出； （3） 、 前一级解析完之后， 数据包根据流表匹配相应的动作； （4） 、 数据包执 行匹配的动作； 所述步骤 （4） 通过以下子步骤来实现： （4.1） 定义一个动作， 使用偏移、 类型、 长度和内容四个字段来描述， 以四元组<offset，   type， length， content>表示； （4.2） 在代码中声 明自定义加密函数encrypt_with_payload()， 在上述自定义动作中 调用encrypt_w ith_payl oad()； （4.3） 定义一个专门为用户存放自定义组件的文件夹命名为udef_folder， 用户自定义 的加密组件都放在该文件夹里； （4.4） 增加用户自定义组件添加菜单， 直接弹出编译选项菜单， 由用户选择哪些驱动需 要编译进内核； （4.5） 根据配置选项文件， 将udef_folder文件夹中部分C文件合并到与硬件相关的底 层文件中， 编译成二进制运行到可编程交换机上， 实现软件可定义的数据平面功能； （4.6） 当数据包到达某个端口时， 通过对头部解析后提取报文负载， 在转发报文前进行 加密。 2.根据权利要求1所述的一种支持报文负载加密可定义的数据平面可编程实现方法， 其特征在于， 所述 步骤 （2） 中协议 解析的过程包括 提取包头的类型域和匹配域。 3.根据权利要求1所述的一种支持报文负载加密可定义的数据平面可编程实现方法， 其特征在于， 所述步骤 （3） 中的流表的构 造结构中流表匹配查找方式支持精确匹配、 前缀匹 配、 范围匹配、 字符串匹配和正则表达式匹配模式。 4.根据权利要求1所述的一种支持报文负载加密可定义的数据平面可编程实现方法， 其特征在于， 所述子步骤 （4.1） 中偏移是指动作执 行位置在整个数据包中的偏移量。 5.根据权利要求1所述的一种支持报文负载加密可定义的数据平面可编程实现方法， 其特征在于， 所述子步骤 （4.1） 中类型 是指描述动作执 行方式是添加、 删除或修改。 6.根据权利要求1所述的一种支持报文负载加密可定义的数据平面可编程实现方法， 其特征在于， 所述子步骤 （4.1） 中长度是指以比特为单位的动作内容的长度。 7.根据权利要求1所述的一种支持报文负载加密可定义的数据平面可编程实现方法， 其特征在于， 所述子步骤 （4.1） 中 内容是按比特 给出实际的动作内容。权　利　要　求　书 1/1 页 2 CN 113824747 B 2一种支持报 文负载加密可定义的数据平面可编程 实现方法 技术领域 [0001]本发明涉及计算机网络技术领域， 尤其涉及一种支持报文负 载加密可定义的数据 平面可编程实现方法。 背景技术 [0002]传统网络 的结构是刚性的， 从网络构造 的角度是基于单一网络结构提供服务， 数 据计算和逻辑处 理在服务器上进行， 计算效率得不到提升， 无法有效解决网络堵塞。 [0003]近十多年来， 为创新网络技术， 多国在新型网络领域开展相关研究和重要技术攻 关。 美国不断发布相关未来战略计划来引导网络的发展， 如FIND、 FIA等计划， 并在2016年发 起“网络和信息技术研发计划 ”， 将包括大规模 数据管理分析， 软件设计与生产， 网络安全与 信息保障等技术作为研发重点。 欧盟也在信息网络领域投入了大量的研发精力， 发起了 FIRE和FIRE+计划。 2018年， 国际电信联盟创建了Network2 030焦点组， 为2 030年以后的网络 架构探索新发展技术。 日本也启动NWGN计划， 并发布 《科学技术创新 综合战略2016》 ， 综合配 置设备系统， 应用研发与产业化， 人工智能技术。 我国也先后启动 “863”计划，“973”计划等， 以提高我国网络基础设施的研发升级速度。 [0004]在此背景下， 学术界也在不断探求未来网络架构。 针对随机故障或漏洞后门扰动 时的相似性和静态性问题， 我国邬江兴团队提出拟态构造技术， 为解决网络广义控制问题 提供了新思路。 为了从网络构 造角度来提升网络功能， 建立全维可定义的网络架构， 使网络 能够为海量业务提供多 元， 个性， 高效的服务， 邬江兴院士团队提出了基于全维可定义平台 的开放式网络架构的多模态网络体系。 在此基础之上， 在可编程的数据平面实现可定义的 报文负载加密， 从而实现数据加密从服务器端下放到可编程数据平面， 从而缓解服务器负 担， 提升服 务器计算效能。 发明内容 [0005]本发明的目的在于针对现有技术的不足， 提供一种支持报文负 载加密可定义的数 据平面可编程实现方法。 [0006]本发明的目的是通过以下技术方案来实现的： 一种支持报文负 载加密可定义的数 据平面可编程实现方法， 包括以下步骤： [0007]（1） 数据包通过12个输入端口之一进入可编程交换机即数据平面： 可编程交换机 共有12个输入端口， 包括8个1G以太网端口和4个10G光纤模块端口； 交换机采用12条 pipeline(管道线)同时并行选择 数据包分别进入 对应的12个网卡； [0008]（2） 路由器在加电后， 配置表调入RAM和TCAM。 RAM （R andom Access Memory） 是一种 随机访问存储器； TCAM  (ternary  content addressable  memory)是一种三态内容寻址存 储器。 RAM和TCAM主 要用于快速查找 ACL、 路由等表项。 [0009]根据用户自定义的协议类型， 自动配置识别数据 包的类型域， 同时根据类型域 （简 称T） 提取相应匹配域(简称M)并将其组合得到包头域。 每一层包头解析都可以表示为{T，  说　明　书 1/7 页 3 CN 113824747 B 3