分享自:

高速网络链路上的IPSec性能分析与增强

期刊:future generation computer systemsDOI:10.1016/j.future.2020.01.049

该文档属于类型a,以下是根据要求生成的学术报告:

作者与机构
本研究的作者包括Sami Ullah、Joontae Choi和Heekuck Oh,均来自韩国汉阳大学计算机科学与工程系。该研究于2020年发表在《Future Generation Computer Systems》期刊上,卷号为107,页码为112-125。

学术背景
本研究的主要科学领域是网络安全与高性能网络传输。随着高速网络(如10Gb/s和40Gb/s链路)的普及,现有的IPSec(Internet Protocol Security,互联网协议安全)解决方案在网络吞吐量和延迟方面表现不佳。特别是在Linux内核中,由于系统调用导致的上下文切换和网络层之间的数据拷贝操作,网络数据包处理速度显著降低。为了解决这一问题,研究者们受到Intel DPDK(Data Plane Development Kit,数据平面开发套件)在普通数据包处理中10倍性能提升的启发,探索了在数据平面中实现IPSec的性能优化。研究的主要目标是分析StrongSwan(一种IPSec实现)中的性能瓶颈模块,并通过数据平面技术(如DPDK)重新设计这些模块,以提升高速网络链路下的IPSec性能。

研究流程
本研究包括以下几个主要步骤:
1. 性能瓶颈分析:首先,研究者分析了StrongSwan在控制平面中的性能瓶颈,包括网络数据包处理模块和ESP(Encapsulating Security Payload,封装安全载荷)数据包处理模块。特别是在10Gb/s和40Gb/s链路速度下,StrongSwan的加密模块性能较低,吞吐量仅为700-1200Mbps。
2. 数据平面模块设计:为了提升性能,研究者设计了基于DPDK的网络数据包处理模块和ESP数据包处理模块。DPDK通过绕过内核栈,直接在用户空间处理数据包,避免了上下文切换和中间拷贝操作。
3. 多核加密模块设计:研究者还设计了多核加密模块,以提升加密操作的并行处理能力。在控制平面中,多核加密模块的吞吐量显著提升。
4. 性能测试与对比:通过实验,研究者对比了控制平面和数据平面设计在不同加密算法组合下的吞吐量和延迟表现。测试环境包括两台通过高速点对点连接的计算机构成的测试平台,使用iperf和qperf工具分别测量吞吐量和延迟。
5. 数据平面解决方案的提出:最终,研究者提出了一种完全基于DPDK的StrongSwan用户空间设计方案,消除了所有已识别的性能瓶颈模块,并在加密模块中实现了多核处理。

主要结果
1. 性能瓶颈分析:研究发现,StrongSwan在控制平面中的主要性能瓶颈包括网络数据包处理模块的上下文切换和拷贝操作,以及ESP数据包处理模块中的加密操作效率低下。
2. 数据平面模块性能:基于DPDK的网络数据包处理模块显著提升了性能,吞吐量提升了3.54倍,延迟降低了2.54倍。使用AES128-GCM加密方案时,仅使用两个核心即可实现4.795Gbps的最大吞吐量。
3. 多核加密模块性能:在控制平面中,多核加密模块的吞吐量显著提升,使用四个核心时,吞吐量达到657.4Mbps,超过了原始StrongSwan用户空间设计的436.25Mbps。
4. 数据平面解决方案性能:完全基于DPDK的StrongSwan用户空间设计方案在吞吐量和延迟方面均优于控制平面设计。在AES256-CBC-SHA256加密方案下,数据平面设计的吞吐量比控制平面设计高出约3倍。

结论与意义
本研究通过数据平面技术显著提升了IPSec在高速网络链路下的性能。研究结果表明,数据平面解决方案能够有效消除控制平面中的性能瓶颈,特别是在网络数据包处理和加密操作方面。这不仅为IPSec应用提供了更高的吞吐量和更低的延迟,还为未来在高速网络中部署安全协议提供了新的思路。此外,研究提出的多核加密模块设计也为加密操作的并行处理提供了参考。

研究亮点
1. 性能瓶颈的全面分析:本研究首次系统分析了StrongSwan在高速网络链路下的性能瓶颈,并提出了针对性的优化方案。
2. 数据平面技术的创新应用:通过将DPDK技术应用于IPSec,研究者成功绕过了内核栈的性能限制,实现了显著的性能提升。
3. 多核加密模块的设计:研究提出的多核加密模块设计为加密操作的高效并行处理提供了新的解决方案。
4. 实验结果的广泛对比:研究通过大量实验对比了不同加密算法组合下的性能表现,为实际应用中的算法选择提供了参考。

其他有价值的内容
研究还探讨了不同加密算法(如AES-CTR和AES-CBC)以及不同哈希算法(如SHA1和SHA256)对性能的影响。结果表明,数据平面设计中,加密算法的选择对吞吐量影响较大,而哈希算法的影响相对较小。此外,研究还分析了TCP和UDP协议在IPSec中的性能差异,发现UDP在延迟敏感型应用中表现更优。

以上报告详细介绍了该研究的背景、流程、结果及其意义,为相关领域的研究者提供了全面的参考。

上述解读依据用户上传的学术文献,如有不准确或可能侵权之处请联系本站站长:admin@fmread.com