【技术实现步骤摘要】
本专利技术涉及网络加解密,尤其涉及一种sslvpn数据传输框架。
技术介绍
1、传统技术中,虚拟专用网络(vpn)实现驻留在用户空间或内核空间中,诸如安全套接字层(ssl)、传输层安全性(tls)、openvpn等传统实现通常驻留在用户空间中,另外还有一些常规实现,例如internet协议安全(ipsec)和第二层隧道协议(l2tp)专门在内核空间中运行。
2、sslvpn是基于安全套接字层协议建立远程安全访问通道的vpn技术,由于操作系统限制内核空间中的操作,所以安全通信更容易在用户空间中实现,因此sslvpn实现通常驻留在用户空间中。然而,用户空间只能有限地访问内核空间中可用的资源,从而阻碍了高效的操作;另外sslvpn的瓶颈在于加解密操作造成的数据在用户空间与内核空间的多次切换,这会导致sslvpn隧道性能的下降。
技术实现思路
1、本专利技术旨在至少解决相关技术中存在的技术问题之一。为此,本专利技术提供一种sslvpn数据传输框架。
2、本专利技术提供一种sslvpn数据传输框架,包括用户空间及内核空间,所述内核空间耦合外部网络,所述用户空间内驻留有控制平面,所述内核空间驻留有数据平面,所述数据平面卸载至所述内核空间;
3、所述控制平面与所述数据平面耦合用于通过数据传输执行协议握手,并通过所述协议握手提供对称加密算法和对称加密密钥,所述对称加密算法和所述对称加密密钥用于所述用户空间及所述内核空间的对称加密。
4、根据本专利技术
5、根据本专利技术提供的一种sslvpn数据传输框架,所述协议握手为ssl/tls握手。
6、根据本专利技术提供的一种sslvpn数据传输框架,所述控制平面还用于vpn协议握手及分配vpn隧道配置参数。
7、根据本专利技术提供的一种sslvpn数据传输框架,所述vpn隧道配置参数包括ip地址、路由及dns服务器。
8、根据本专利技术提供的一种sslvpn数据传输框架,所述控制平面还用于通过提供控制和认证操作,与第三方软件交互。
9、根据本专利技术提供的一种sslvpn数据传输框架,所述数据平面还用于vpn数据包的加密及解密,还用于vpn数据包的压缩及解压,还用于将vpn数据包封装至传输协议。
10、根据本专利技术提供的一种sslvpn数据传输框架,所述传输协议包括udp传输协议及tcp传输协议。
11、根据本专利技术提供的一种sslvpn数据传输框架,所述数据平面与连接的低级驱动器数据交换时同步操作。
12、根据本专利技术提供的一种sslvpn数据传输框架,所述sslvpn数据传输框架通过改变网络吞吐量分配所述用户空间及所述内核空间的任务处理比率。
13、本专利技术提供的一种sslvpn数据传输框架,公开了一种在内核空间中布置数据平面的系统,该数据平面具有数据对称加解密和通过网络传输数据的功能,数据平面耦合到驻留在用户空间中的控制平面,控制平面提供可操作以控制内核空间中加密数据的传输的指令。使用内核tls技术在用户空间中的控制平面完成ssl/tls握手并协商出对称加解密需要的对称加密算法和密钥,将对称加解密操作卸载到内核中,在内核中完成数据的对称加解密操作。相比较传统sslvpn,该方案消除了在用户空间加解密导致的用户态与内核态的切换和数据的拷贝操作,提升数据传输性能,提升sslvpn系统整体性能。
14、本专利技术的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。
本文档来自技高网...【技术保护点】
1.一种SSLVPN数据传输框架,其特征在于,包括用户空间及内核空间,所述内核空间耦合外部网络,所述用户空间内驻留有控制平面,所述内核空间驻留有数据平面,所述数据平面卸载至所述内核空间;
2.根据权利要求1所述的一种SSLVPN数据传输框架,其特征在于,所述用户空间内还驻留有API接口,所述API接口为所述控制平面的子集,所述API接口与所述数据平面耦合。
3.根据权利要求1所述的一种SSLVPN数据传输框架,其特征在于,所述协议握手为SSL/TLS握手。
4.根据权利要求1所述的一种SSLVPN数据传输框架,其特征在于,所述控制平面还用于VPN协议握手及分配VPN隧道配置参数。
5.根据权利要求4所述的一种SSLVPN数据传输框架,其特征在于,所述VPN隧道配置参数包括IP地址、路由及DNS服务器。
6.根据权利要求1所述的一种SSLVPN数据传输框架,其特征在于,所述控制平面还用于通过提供控制和认证操作,与第三方软件交互。
7.根据权利要求1所述的一种SSLVPN数据传输框架,其特征在于,所述数据平面还用
8.根据权利要求7所述的一种SSLVPN数据传输框架,其特征在于,所述传输协议包括UDP传输协议及TCP传输协议。
9.根据权利要求1所述的一种SSLVPN数据传输框架,其特征在于,所述数据平面与连接的低级驱动器数据交换时同步操作。
10.根据权利要求1所述的一种SSLVPN数据传输框架,其特征在于,所述SSLVPN数据传输框架通过改变网络吞吐量分配所述用户空间及所述内核空间的任务处理比率。
...【技术特征摘要】
1.一种sslvpn数据传输框架,其特征在于,包括用户空间及内核空间,所述内核空间耦合外部网络,所述用户空间内驻留有控制平面,所述内核空间驻留有数据平面,所述数据平面卸载至所述内核空间;
2.根据权利要求1所述的一种sslvpn数据传输框架,其特征在于,所述用户空间内还驻留有api接口,所述api接口为所述控制平面的子集,所述api接口与所述数据平面耦合。
3.根据权利要求1所述的一种sslvpn数据传输框架,其特征在于,所述协议握手为ssl/tls握手。
4.根据权利要求1所述的一种sslvpn数据传输框架,其特征在于,所述控制平面还用于vpn协议握手及分配vpn隧道配置参数。
5.根据权利要求4所述的一种sslvpn数据传输框架,其特征在于,所述vpn隧道配置参数包括ip地址、路由及dns服务器。
【专利技术属性】
技术研发人员:袁勋,李长春,谢绍宁,罗印威,
申请(专利权)人:天翼云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。