本公開涉及計算機(jī)網(wǎng)絡(luò)信息安全，具體涉及面向rdma的用戶數(shù)據(jù)訪問控制方法及系統(tǒng)。

背景技術(shù)：

1、本部分的陳述僅僅是提供了與本公開相關(guān)的背景技術(shù)信息，不必然構(gòu)成在先技術(shù)。

2、遠(yuǎn)程直接數(shù)據(jù)存取(remote?direct?memory?access,rdma)技術(shù)在設(shè)計時，一般假定其運(yùn)行的環(huán)境是安全的，因此幾乎沒有考慮任何密碼學(xué)上的安全防護(hù)機(jī)制。但是在算力網(wǎng)絡(luò)中，用戶可能需要向多個算力提供商提交計算任務(wù)，或者需要多個算力提供商協(xié)同完成計算任務(wù)。在這一場景下，需要采用rdma技術(shù)提升在不同計算節(jié)點(diǎn)之間讀取內(nèi)存數(shù)據(jù)的效率。

3、但這些計算節(jié)點(diǎn)分屬不同的算力提供商或數(shù)據(jù)中心，彼此之間的安全策略、安全防護(hù)措施各不相同，安全管理運(yùn)營機(jī)制也不相同，很難視為同一個安全域。對于跨安全域的rdma內(nèi)存數(shù)據(jù)訪問，單純的邊界防護(hù)不能很好的保護(hù)rdma流量，需要對rdma進(jìn)行安全加固。無限帶寬技術(shù)(infiniband，ib)協(xié)議是完全為rdma所設(shè)計的新協(xié)議，ib協(xié)議本身幾乎沒有設(shè)計安全防護(hù)措施，可能會導(dǎo)致各種惡意攻擊，數(shù)據(jù)遭受攻擊的風(fēng)險較大，安全性比較低，因此對rdma的安全增強(qiáng)主要集中在ib協(xié)議上。

技術(shù)實(shí)現(xiàn)思路

1、本公開為了解決上述問題，提出了面向rdma的用戶數(shù)據(jù)訪問控制方法及系統(tǒng)，通過對ib協(xié)議進(jìn)行安全性增強(qiáng)，進(jìn)而增強(qiáng)rdma對數(shù)據(jù)訪問的安全控制機(jī)制。

2、根據(jù)一些實(shí)施例，本公開采用如下技術(shù)方案：

3、面向rdma的用戶數(shù)據(jù)訪問控制方法，包括：

4、初始化rdma網(wǎng)絡(luò)，建立通信協(xié)議機(jī)制；

5、通信過程中，在rdma網(wǎng)絡(luò)中部署密鑰生成中心，獲取終端節(jié)點(diǎn)接入rdma網(wǎng)絡(luò)的請求后，向密鑰生成中心進(jìn)行終端節(jié)點(diǎn)身份注冊，身份認(rèn)證后生成終端節(jié)點(diǎn)與密鑰生成中心的共享密鑰；

6、當(dāng)終端節(jié)點(diǎn)之間通過rdma機(jī)制安全傳輸數(shù)據(jù)時，首先利用各終端節(jié)點(diǎn)與密鑰生成中心的共享密鑰，生成終端節(jié)點(diǎn)與終端節(jié)點(diǎn)之間的共享會話密鑰，再使用國產(chǎn)密碼算法sm3對要傳輸?shù)臄?shù)據(jù)生成消息鑒別碼mac，并使用國產(chǎn)密碼算法sm4對數(shù)據(jù)負(fù)載進(jìn)行加密后發(fā)送至通信接收端；

7、通信接收端接收到加密后的消息后，首先利用終端節(jié)點(diǎn)與終端節(jié)點(diǎn)之間的共享會話密鑰，使用sm4算法對消息進(jìn)行解密；然后利用消息鑒別碼，對發(fā)送端發(fā)送的數(shù)據(jù)進(jìn)行mac校驗(yàn)，校驗(yàn)成功則接受消息，否則則丟棄消息，完成一次數(shù)據(jù)傳輸。

8、根據(jù)一些實(shí)施例，本公開采用如下技術(shù)方案：

9、面向rdma的用戶數(shù)據(jù)訪問控制系統(tǒng)，包括：

10、初始化模塊，用于初始化rdma網(wǎng)絡(luò)，建立通信協(xié)議機(jī)制；

11、數(shù)據(jù)通信控制模塊，用于通信過程中，在rdma網(wǎng)絡(luò)中部署密鑰生成中心，獲取終端節(jié)點(diǎn)接入rdma網(wǎng)絡(luò)的請求后，向密鑰生成中心進(jìn)行終端節(jié)點(diǎn)身份注冊，身份認(rèn)證后生成終端節(jié)點(diǎn)與密鑰生成中心的共享密鑰；

12、當(dāng)終端節(jié)點(diǎn)之間通過rdma機(jī)制安全傳輸數(shù)據(jù)時，首先利用各終端節(jié)點(diǎn)與密鑰生成中心的共享密鑰，生成終端節(jié)點(diǎn)與終端節(jié)點(diǎn)之間的共享會話密鑰，再使用國產(chǎn)密碼算法sm3對要傳輸?shù)臄?shù)據(jù)生成消息鑒別碼mac，并使用國產(chǎn)密碼算法sm4對數(shù)據(jù)負(fù)載進(jìn)行加密后發(fā)送至通信接收端；

13、通信接收端接收到加密后的消息后，首先利用終端節(jié)點(diǎn)與終端節(jié)點(diǎn)之間的共享會話密鑰，使用sm4算法對消息進(jìn)行解密；然后利用消息鑒別碼，對發(fā)送端發(fā)送的數(shù)據(jù)進(jìn)行mac校驗(yàn)，校驗(yàn)成功則接受消息，否則則丟棄消息，完成一次數(shù)據(jù)傳輸。

14、根據(jù)一些實(shí)施例，本公開采用如下技術(shù)方案：

15、一種非暫態(tài)計算機(jī)可讀存儲介質(zhì)，所述非暫態(tài)計算機(jī)可讀存儲介質(zhì)用于存儲計算機(jī)指令，所述計算機(jī)指令被處理器執(zhí)行時，實(shí)現(xiàn)所述的面向rdma的用戶數(shù)據(jù)訪問控制方法。

16、根據(jù)一些實(shí)施例，本公開采用如下技術(shù)方案：

17、一種電子設(shè)備，包括：處理器、存儲器以及計算機(jī)程序；其中，處理器與存儲器連接，計算機(jī)程序被存儲在存儲器中，當(dāng)電子設(shè)備運(yùn)行時，所述處理器執(zhí)行所述存儲器存儲的計算機(jī)程序，以使電子設(shè)備執(zhí)行實(shí)現(xiàn)所述的面向rdma的用戶數(shù)據(jù)訪問控制方法。

18、與現(xiàn)有技術(shù)相比，本公開的有益效果為：

19、本公開的面向rdma的用戶數(shù)據(jù)訪問控制方法，采用國產(chǎn)密碼算法對ib協(xié)議進(jìn)行安全性增強(qiáng)，能夠?qū)⒃萺dma的明文數(shù)據(jù)傳輸，增強(qiáng)為加密通信并實(shí)現(xiàn)數(shù)據(jù)訪問控制。主要過程包括，在終端節(jié)點(diǎn)進(jìn)行安全通信之前，在rdma網(wǎng)絡(luò)中部署密鑰生成中心kgc，用于管理、生成、分發(fā)終端節(jié)點(diǎn)安全通信所需要的共享會話密鑰；通過國產(chǎn)sm4算法對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，實(shí)現(xiàn)密文數(shù)據(jù)傳輸；對ib協(xié)議包結(jié)構(gòu)中原有的crc校驗(yàn)進(jìn)行更改，使用密碼學(xué)的消息鑒別碼mac，該消息鑒別碼不僅具有消息完整性驗(yàn)證的功能，同時隱含有身份認(rèn)證的功能。總之，安全增強(qiáng)后的ib協(xié)議采用輕量化的安全機(jī)制，能夠增強(qiáng)rdma對數(shù)據(jù)訪問的安全控制機(jī)制同時又不影響rdma本身的性能。

技術(shù)特征：

1.面向rdma的用戶數(shù)據(jù)訪問控制方法，其特征在于，包括：

2.如權(quán)利要求1所述的面向rdma的用戶數(shù)據(jù)訪問控制方法，其特征在于，

3.如權(quán)利要求1所述的面向rdma的用戶數(shù)據(jù)訪問控制方法，其特征在于，

4.如權(quán)利要求3所述的面向rdma的用戶數(shù)據(jù)訪問控制方法，其特征在于，

5.如權(quán)利要求1所述的面向rdma的用戶數(shù)據(jù)訪問控制方法，其特征在于，

6.如權(quán)利要求1所述的面向rdma的用戶數(shù)據(jù)訪問控制方法，其特征在于，

7.如權(quán)利要求1所述的面向rdma的用戶數(shù)據(jù)訪問控制方法，其特征在于，在通信接收端，先對數(shù)據(jù)負(fù)載解密，再對明文mac碼進(jìn)行驗(yàn)證，若驗(yàn)證不通過，則丟棄該數(shù)據(jù)包。

8.面向rdma的用戶數(shù)據(jù)訪問控制系統(tǒng)，其特征在于，包括：

9.一種非暫態(tài)計算機(jī)可讀存儲介質(zhì)，其特征在于，所述非暫態(tài)計算機(jī)可讀存儲介質(zhì)用于存儲計算機(jī)指令，所述計算機(jī)指令被處理器執(zhí)行時，實(shí)現(xiàn)如權(quán)利要求1-7任一項所述的面向rdma的用戶數(shù)據(jù)訪問控制方法。

10.一種電子設(shè)備，其特征在于，包括：處理器、存儲器以及計算機(jī)程序；其中，處理器與存儲器連接，計算機(jī)程序被存儲在存儲器中，當(dāng)電子設(shè)備運(yùn)行時，所述處理器執(zhí)行所述存儲器存儲的計算機(jī)程序，以使電子設(shè)備執(zhí)行實(shí)現(xiàn)如權(quán)利要求1-7任一項所述的面向rdma的用戶數(shù)據(jù)訪問控制方法。

技術(shù)總結(jié)
本公開提供了面向RDMA的用戶數(shù)據(jù)訪問控制方法及系統(tǒng)，涉及計算機(jī)網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，包括：初始化RDMA網(wǎng)絡(luò)，建立通信協(xié)議機(jī)制；通信過程中，在RDMA網(wǎng)絡(luò)中部署密鑰生成中心，獲取終端節(jié)點(diǎn)接入RDMA網(wǎng)絡(luò)的請求后，向密鑰生成中心進(jìn)行終端節(jié)點(diǎn)身份注冊，身份認(rèn)證后生成終端節(jié)點(diǎn)與密鑰生成中心的共享密鑰，以及終端節(jié)點(diǎn)與終端節(jié)點(diǎn)之間的共享會話密鑰；通信接收端接收到加密后的消息后，首先利用終端節(jié)點(diǎn)與終端節(jié)點(diǎn)之間的共享會話密鑰，使用SM4算法對消息進(jìn)行解密；然后利用消息鑒別碼，對發(fā)送端發(fā)送的數(shù)據(jù)進(jìn)行MAC校驗(yàn)，校驗(yàn)成功則接受消息，否則則丟棄消息，完成一次數(shù)據(jù)傳輸。

技術(shù)研發(fā)人員：潘景山,王繼志,付勇,楊新群
受保護(hù)的技術(shù)使用者：濟(jì)南超級計算技術(shù)研究院
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/23