The invention provides a message processing method and a virtual private network SSLVPN server, which are used to solve the technical problems of the low efficiency of the existing SSLVPN server message processing. The application of the method in the virtual private network SSLVPN server, the SSLVPN server including data in kernel stream processor, the method comprises: connecting the SSLVPN server receives the control message sent by the client, the connection control message for SSL SSL key agreement with the client; the the SSLVPN server transmits the connection control message sent to the user from the kernel state process of the SSLVPN server, the user mode process is used for processing the connection control message, get the negotiation result; the SSLVPN server receives the data packet, and using the data stream processor according to the results of the consultation the data message processing.
【技术实现步骤摘要】
本专利技术涉及计算机领域,具体地,涉及一种报文处理方法和虚拟专用网络SSLVPN服务器。
技术介绍
VPN(VirtualPrivateNetwork,虚拟专用网络)本质上是将以公开明文方式在公共网络上传输的数据报文按照一定的协议和加密方案进行新的封装,一方面实现了跨越公共网络的私有数据传输,另一方面使远程用户在感觉上如同与内部网络直接连接通信一样,增加了用户使用内部网络的透明程度。SSLVPN(SecureSocketsLayerVPN,安全套接层VPN)作为VPN的一种,是在SSL协议基础上建立的。随着技术的发展,现有技术出现了将SSLVPN移植到道高性能的异构转发平台下的技术方案。具体地,SSLVPN保护的是三层及以上的协议传输,通过虚拟设备引流,完成明文的加密加封装和密文的解密解封装。其中协商通信过程涉及的流量信息可以分为控制连接流和数据流,其中,控制连接流主要用于通过SSL协议协商出一条安全通道,数据流是在控制连接流协商的安全通道的基础上,进行数据的传输。现有技术中,移植到异构转发平台下的SSLVPN,通过一个父进程调用多个子进程的方式实现多核下的多连接处理,并且,每个进程内部是同步处理结构,既处理控制连接流量,又处理数据流量,并且,用户态和内核态之间的双向数据通信通过Netlink实现。
技术实现思路
本专利技术的目的是提供一种报文处理方法和虚拟专用网络SSLVPN服务器,以解决现有SSLVPN服务器对报文的处理效率低下的技术问题。为了实现上述目的,本专利技术提供第一方面提供一种报文处理方法,其特征在于,所述方法应用于虚拟专用网络SSLVPN服务 ...
【技术保护点】
一种报文处理方法,其特征在于,所述方法应用于虚拟专用网络SSLVPN服务器,所述SSLVPN服务器包括工作于内核态的数据流处理器,所述方法包括:所述SSLVPN服务器接收客户端发送的连接控制报文,所述连接控制报文用于与所述客户端进行安全套接层SSL的密钥协商;所述SSLVPN服务器将所述连接控制报文从所述SSLVPN服务器的内核态发送至用户态进程,所述用户态进程用于对所述连接控制报文进行处理,得到协商结果;所述SSLVPN服务器接收数据报文,并利用所述数据流处理器根据所述协商结果对所述数据报文进行处理。
【技术特征摘要】
1.一种报文处理方法,其特征在于,所述方法应用于虚拟专用网络SSLVPN服务器,所述SSLVPN服务器包括工作于内核态的数据流处理器,所述方法包括:所述SSLVPN服务器接收客户端发送的连接控制报文,所述连接控制报文用于与所述客户端进行安全套接层SSL的密钥协商;所述SSLVPN服务器将所述连接控制报文从所述SSLVPN服务器的内核态发送至用户态进程,所述用户态进程用于对所述连接控制报文进行处理,得到协商结果;所述SSLVPN服务器接收数据报文,并利用所述数据流处理器根据所述协商结果对所述数据报文进行处理。2.根据权利要求1所述的方法,其特征在于,所述SSLVPN服务器将所述连接控制报文从所述SSLVPN服务器的内核态发送至用户态进程,包括:所述SSLVPN服务器根据套接字复用Reuseport机制将所述连接控制报文从所述SSLVPN服务器的内核态发送至当前连接对应的用户态进程,其中,所述SSLVPN服务器与客户端建立的每一连接对应一个用户态进程。3.根据权利要求2所述的方法,其特征在于,所述SSLVPN服务器根据Reuseport机制将所述连接控制报文从所述SSLVPN服务器的内核态发送至当前连接对应的用户态进程,包括:在当前的所述用户态进程中不存在所述连接控制报文的连接信息时,将所述连接控制报文中的标识AUTH-ID作为key值在第一公共哈希表中确定是否对应的value值,所述value值包括用户态进程标识PID,所述AUTH-ID是根据当前连接的内存地址相对于预留公共内存池起始地址的偏移值计算得到的;在所述第一公共哈希表存在所述AUTH-ID的value值时,根据所述value值将所述连接控制报文从所述SSLVPN服务器的内核态发送至所述PID标识的用户态进程。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:所述SSLVPN服务器的公共哈希表管理进程在接收到所述PID标识的用户态进程发送的更新信号时,对第二公共哈希表进行更新,根据所述第二公共哈希表定时更新所述第一公共哈希表。5.根据权利要求3或4所述的方法,其特征在于,所述方法还包括:在所述第一公共哈希表中不存在对应所述AUTH-ID的value值时,根据所述控制连接报文通过所述预留公共内存池建立...
【专利技术属性】
技术研发人员:党丽娜,刘健男,
申请(专利权)人:东软集团股份有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。