面向安全协议的虚拟化可编程数据平面

摘要

随着网络安全技术的发展,越来越多网络安全协议出现,因此需要网络转发设备对网络安全协议提供支持.可编程数据平面由于其协议的无关性,能够实现安全协议的快速部署.但当前可编程数据平面存在包头多次解析、独占数据平面和密码算法实现难的问题.针对上述问题,该文提出一种面向安全协议的虚拟化可编程数据平面(VCP4),其通过引入描述头降低包头解析次数,提高包头解析效率.使用控制流队列生成器和动态映射表实现可编程数据平面的虚拟化,实现多租户下数据平面的隔离,解决独占数据平面问题.在VCP4的语言编译器中添加密码算法原语,实现密码算法可重用.最后针对VCP4资源利用率,虚拟化性能和安全协议性能进行实验评估,结果显示在实现功能的基础上带来较小的性能损失,且能降低50％的代码量.