专利名称:一种多部件安全隔离并发处理方法
技术领域:
本发明涉及计算机网络信息系统安全隔离与信息交换技术领域,尤其涉及多系统安全互联部件的多部件安全隔离并发处理方法。
背景技术:
安全隔离与信息交换技术,基本原理是切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。 在现有安全隔离与信息交换技术中,内外网客户端与服务端通过安全互联部件进行数据交换。安全互联部件为多系统架构,即与外网络连接的外端系统,与内网连接的内端系统,以及处理安全策略和控制信息的仲裁系统。如申请人2011-8-29申请的发明专利申请(申请号为:201110250370. 7,201110250372. 6,201110250375. X,201110250369. 4, 201110250349.7)。在多级互联会话的建立与中止过程中,存在大量的并发连接,对于多个互联部件的系统资源消耗提出了非常高的要求。在高并发的情况下,系统进程需要监视的文件描述符FD会非常多,如果采用select/poll技术,每次只能查询一部分描述符,效率较低。
发明内容
本发明的发明目的在于提供并发处理技术,以实现多部件在进行安全隔离与信息交换处理时的高效率稳定交换。为了实现上述的目的,本发明是通过下述技术方案解决上述技术问题的 一种多部件安全隔离并发处理方法,该方法包括
1)支持一个进程打开大数目的socket描述符(FD)支持的FD上限是最大可以打开文件的数目,数目只与系统内存有关;
2)10效率不随FD数目增加而下降采用事件触发机制,通过在操作系统内核添加一个自创的文件系统,每一个或者多个要监视的文件描述符都有一个对应的文件系统的 inode节点,有数据接收时,触发事件进行自动调用回调函数进行接收处理,大幅提高处理效率;
3)使用mmap加速内核与用户空间的消息传递使用内核空间映射技术,把收到的信息直接映射到应用层,无需重复地拷贝参数、不必扫描文件描述符。本发明的多部件安全隔离并发处理方法的设计思路是在操作系统内核添加一个自创的文件系统,每一个或者多个要监视的文件描述符都有一个对应的文件系统的inode 节点,并在节点中建立事件回调。由于在创建文件描述符时,已经把用户态的信息保存到内核态了,之后等待事件时,不会重复地拷贝参数、不必扫描文件描述符。另外对接收的数据, 事先建立了内核与用户空间的映射,避免内存拷贝动作。通过以上技术改进,可以有效提高在高并发环境下的网络通信效率。本发明带来的有益效果是,当多个组成部件进行大并发数据处理工作时,极大减少系统资源的消耗,减少对并发业务处理的影响,保持数据交换的连续性。
具体实施例方式下面对本发明作进一步详细描述
一种多部件安全隔离并发处理方法,该方法包括
1)支持一个进程打开大数目的socket描述符(FD)
单个进程所能打开的FD在使用select技术时是有一定限制的,一般是IOM或2048, 这对于那些需要支持上万连接数目的应用服务来说显然不够。有两种方法突破此限制一是修改内核参数重新编译内核;二是选择多进程编程。第一种方法将使select遍历空间增大从而降低查询效率,第二种方法必然带来创建进程,进程间通信,同步等额外开销,也存在不足。本发明的方法则没有这个限制,它所支持的FD上限是最大可以打开文件的数目, 数目只与系统内存有关,在IGB内存的机器上大约是10万左右;
2)10效率不随FD数目增加而下降
传统的select/poll必须不断地遍历整个socket集合,查看每一个连接是否有数据需要接收,导致效率呈现线性下降。本发明的方法采用事件触发机制,通过在操作系统内核添加一个自创的文件系统,每一个或者多个要监视的文件描述符都有一个对应的文件系统的 inode节点,有数据接收时,触发事件进行自动调用回调函数进行接收处理,大幅提高处理效率;
3)使用mmap加速内核与用户空间的消息传递,使用内核空间映射技术,把收到的信息直接映射到应用层,无需重复地拷贝参数、不必扫描文件描述符。通过内核编程,使用内核空间映射技术,把收到的信息直接映射到应用层,在创建文件描述符时,用户状态的信息已保存,之后等待事件时,无需重复地拷贝参数、不必扫描文件描述符。另外对接收的数据,事先建立了内核与用户空间的映射,避免内存拷贝动作, 进一步提高了网络接收的效率。
权利要求
1.一种多部件安全隔离并发处理方法,该方法包括1)支持一个进程打开大数目的socket描述符FD支持的FD上限是最大可以打开文件的数目,数目只与系统内存有关;2)10效率不随FD数目增加而下降采用事件触发机制,通过在操作系统内核添加一个自创的文件系统,每一个或者多个要监视的文件描述符都有一个对应的文件系统的 inode节点,有数据接收时,触发事件进行自动调用回调函数进行接收处理,大幅提高处理效率;3)使用mmap加速内核与用户空间的消息传递使用内核空间映射技术,把收到的信息直接映射到应用层,无需重复地拷贝参数、不必扫描文件描述符。
2.根据权利要求1所述的一种多部件安全隔离并发处理方法,其特征在于该方法为多部件安全隔离数据处理提供高效并发支持。
全文摘要
本发明涉及计算机网络信息系统安全隔离与信息交换技术领域,尤其涉及多系统安全互联部件的多部件安全隔离并发处理方法。一种多部件安全隔离并发处理方法,该方法包括1)支持一个进程打开大数目的socket描述符FD;2)IO效率不随FD数目增加而下降;3)使用mmap加速内核与用户空间的消息传递。本发明带来的有益效果是,当多个组成部件进行大并发数据处理工作时,极大减少系统资源的消耗,减少对并发业务处理的影响,保持数据交换的连续性。
文档编号H04L29/06GK102510376SQ201110318258
公开日2012年6月20日 申请日期2011年10月19日 优先权日2011年10月19日
发明者刘鹏, 姜学峰, 季琦, 李健俊, 章志华, 蒋一翔, 钱杰, 黄卫忠, 黎勇 申请人:浙江中烟工业有限责任公司