一种多部件安全隔离并发处理方法.pdf

摘要
申请专利号：	CN201110318258.2	申请日：	2011.10.19
公开号：	CN102510376A	公开日：	2012.06.20
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20111019\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	浙江中烟工业有限责任公司
发明人：	李健俊; 章志华; 季琦; 蒋一翔; 姜学峰; 黄卫忠; 黎勇; 刘鹏; 钱杰
地址：	310008 浙江省杭州市建国南路288号
优先权：
专利代理机构：	杭州丰禾专利事务所有限公司 33214	代理人：	王从友
PDF下载：	PDF下载

内容摘要

本发明涉及计算机网络信息系统安全隔离与信息交换技术领域，尤其涉及多系统安全互联部件的多部件安全隔离并发处理方法。一种多部件安全隔离并发处理方法，该方法包括：1）支持一个进程打开大数目的socket描述符FD；2）IO效率不随FD数目增加而下降；3）使用mmap加速内核与用户空间的消息传递。本发明带来的有益效果是，当多个组成部件进行大并发数据处理工作时，极大减少系统资源的消耗，减少对并发业务处理的影响，保持数据交换的连续性。

权利要求书

1：一种多部件安全隔离并发处理方法，该方法包括： 1）支持一个进程打开大数目的 socket 描述符 FD ：支持的 FD 上限是最大可以打开文件的数目，数目只与系统内存有关； 2） IO 效率不随 FD 数目增加而下降：采用事件触发机制，通过在操作系统内核添加一个自创的文件系统，每一个或者多个要监视的文件描述符都有一个对应的文件系统的 inode 节点，有数据接收时，触发事件进行自动调用回调函数进行接收处理，大幅提高处理效率； 3）使用 mmap 加速内核与用户空间的消息传递：使用内核空间映射技术，把收到的信息直接映射到应用层，无需重复地拷贝参数、不必扫描文件描述符。2：根据权利要求 1 所述的一种多部件安全隔离并发处理方法，其特征在于：该方法为多部件安全隔离数据处理提供高效并发支持。

说明书

一种多部件安全隔离并发处理方法
    技术领域本发明涉及计算机网络信息系统安全隔离与信息交换技术领域，尤其涉及多系统安全互联部件的多部件安全隔离并发处理方法。
     背景技术安全隔离与信息交换技术，基本原理是：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。在现有安全隔离与信息交换技术中，内外网客户端与服务端通过安全互联部件进行数据交换。
     安全互联部件为多系统架构，即与外网络连接的外端系统，与内网连接的内端系统，以及处理安全策略和控制信息的仲裁系统。如申请人 2011-8-29 申请的发明专利申请（申请号为： 201110250370.7、 201110250372.6、 201110250375.X、 201110250369.4、 201110250349.7）。在多级互联会话的建立与中止过程中，存在大量的并发连接，对于多个互联部件的系统资源消耗提出了非常高的要求。在高并发的情况下，系统进程需要监视的文件描述符 FD 会非常多，如果采用 select/poll 技术，每次只能查询一部分描述符，效率较低。
     发明内容
     本发明的发明目的在于提供并发处理技术，以实现多部件在进行安全隔离与信息交换处理时的高效率稳定交换。
     为了实现上述的目的，本发明是通过下述技术方案解决上述技术问题的：一种多部件安全隔离并发处理方法，该方法包括： 1) 支持一个进程打开大数目的 socket 描述符 (FD) ：支持的 FD 上限是最大可以打开文件的数目，数目只与系统内存有关； 2)IO 效率不随 FD 数目增加而下降：采用事件触发机制，通过在操作系统内核添加一个自创的文件系统，每一个或者多个要监视的文件描述符都有一个对应的文件系统的 inode 节点，有数据接收时，触发事件进行自动调用回调函数进行接收处理，大幅提高处理效率； 3) 使用 mmap 加速内核与用户空间的消息传递：使用内核空间映射技术，把收到的信息直接映射到应用层，无需重复地拷贝参数、不必扫描文件描述符。
     本发明的多部件安全隔离并发处理方法的设计思路是：在操作系统内核添加一个自创的文件系统，每一个或者多个要监视的文件描述符都有一个对应的文件系统的 inode 节点，并在节点中建立事件回调。由于在创建文件描述符时，已经把用户态的信息保存到内核态了，之后等待事件时，不会重复地拷贝参数、不必扫描文件描述符。另外对接收的数据，事先建立了内核与用户空间的映射，避免内存拷贝动作。通过以上技术改进，可以有效提高在高并发环境下的网络通信效率。
     本发明带来的有益效果是，当多个组成部件进行大并发数据处理工作时，极大减少系统资源的消耗，减少对并发业务处理的影响，保持数据交换的连续性。具体实施方式
     下面对本发明作进一步详细描述：一种多部件安全隔离并发处理方法，该方法包括： 1) 支持一个进程打开大数目的 socket 描述符 (FD) 单个进程所能打开的 FD 在使用 select 技术时是有一定限制的，一般是 1024 或 2048，这对于那些需要支持上万连接数目的应用服务来说显然不够。有两种方法突破此限制：一是修改内核参数重新编译内核；二是选择多进程编程。第一种方法将使 select 遍历空间增大从而降低查询效率，第二种方法必然带来创建进程，进程间通信，同步等额外开销，也存在不足。本发明的方法则没有这个限制，它所支持的 FD 上限是最大可以打开文件的数目，数目只与系统内存有关 , 在 1GB 内存的机器上大约是 10 万左右； 2)IO 效率不随 FD 数目增加而下降传统的 select/poll 必须不断地遍历整个 socket 集合，查看每一个连接是否有数据需要接收，导致效率呈现线性下降。本发明的方法采用事件触发机制，通过在操作系统内核添加一个自创的文件系统，每一个或者多个要监视的文件描述符都有一个对应的文件系统的 inode 节点，有数据接收时，触发事件进行自动调用回调函数进行接收处理，大幅提高处理效率； 3) 使用 mmap 加速内核与用户空间的消息传递，使用内核空间映射技术，把收到的信息直接映射到应用层，无需重复地拷贝参数、不必扫描文件描述符。
     通过内核编程，使用内核空间映射技术，把收到的信息直接映射到应用层，在创建文件描述符时，用户状态的信息已保存，之后等待事件时，无需重复地拷贝参数、不必扫描文件描述符。另外对接收的数据，事先建立了内核与用户空间的映射，避免内存拷贝动作，进一步提高了网络接收的效率。4

资源描述

《一种多部件安全隔离并发处理方法.pdf》由会员分享，可在线阅读，更多相关《一种多部件安全隔离并发处理方法.pdf（4页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102510376 A (43)申请公布日 2012.06.20 C N 1 0 2 5 1 0 3 7 6 A *CN102510376A* (21)申请号 201110318258.2 (22)申请日 2011.10.19 H04L 29/06(2006.01) (71)申请人浙江中烟工业有限责任公司地址 310008 浙江省杭州市建国南路288号 (72)发明人李健俊章志华季琦蒋一翔姜学峰黄卫忠黎勇刘鹏钱杰 (74)专利代理机构杭州丰禾专利事务所有限公司 33214 代理人王从友 (54) 发明名称一种多部件安全隔离并发处理方法 (57) 。

2、摘要本发明涉及计算机网络信息系统安全隔离与信息交换技术领域，尤其涉及多系统安全互联部件的多部件安全隔离并发处理方法。一种多部件安全隔离并发处理方法，该方法包括：1）支持一个进程打开大数目的socket描述符FD；2）IO效率不随FD数目增加而下降；3）使用mmap加速内核与用户空间的消息传递。本发明带来的有益效果是，当多个组成部件进行大并发数据处理工作时，极大减少系统资源的消耗，减少对并发业务处理的影响，保持数据交换的连续性。 (51)Int.Cl. 权利要求书1页说明书2页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 1 页说明书 2 页。

3、1/1页 2 1.一种多部件安全隔离并发处理方法，该方法包括： 1）支持一个进程打开大数目的socket描述符FD：支持的FD上限是最大可以打开文件的数目，数目只与系统内存有关； 2）IO 效率不随FD数目增加而下降：采用事件触发机制，通过在操作系统内核添加一个自创的文件系统，每一个或者多个要监视的文件描述符都有一个对应的文件系统的 inode节点，有数据接收时，触发事件进行自动调用回调函数进行接收处理，大幅提高处理效率； 3）使用mmap加速内核与用户空间的消息传递：使用内核空间映射技术，把收到的信息直接映射到应用层，无需重复地拷贝参数、不必扫描文件描述符。 2.根据权利要求1所述的。

4、一种多部件安全隔离并发处理方法，其特征在于：该方法为多部件安全隔离数据处理提供高效并发支持。权利要求书CN 102510376 A 1/2页 3 一种多部件安全隔离并发处理方法技术领域 0001 本发明涉及计算机网络信息系统安全隔离与信息交换技术领域，尤其涉及多系统安全互联部件的多部件安全隔离并发处理方法。背景技术 0002 安全隔离与信息交换技术，基本原理是：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。在现有安全隔离与信息交。

5、换技术中，内外网客户端与服务端通过安全互联部件进行数据交换。 0003 安全互联部件为多系统架构，即与外网络连接的外端系统，与内网连接的内端系统，以及处理安全策略和控制信息的仲裁系统。如申请人2011-8-29申请的发明专利申请（申请号为：201110250370.7、201110250372.6、201110250375.X、201110250369.4、 201110250349.7）。在多级互联会话的建立与中止过程中，存在大量的并发连接，对于多个互联部件的系统资源消耗提出了非常高的要求。在高并发的情况下，系统进程需要监视的文件描述符FD会非常多，如果采用select/poll技。

6、术，每次只能查询一部分描述符，效率较低。发明内容 0004 本发明的发明目的在于提供并发处理技术，以实现多部件在进行安全隔离与信息交换处理时的高效率稳定交换。 0005 为了实现上述的目的，本发明是通过下述技术方案解决上述技术问题的：一种多部件安全隔离并发处理方法，该方法包括： 1)支持一个进程打开大数目的socket描述符(FD)：支持的FD上限是最大可以打开文件的数目，数目只与系统内存有关； 2)IO 效率不随FD数目增加而下降：采用事件触发机制，通过在操作系统内核添加一个自创的文件系统，每一个或者多个要监视的文件描述符都有一个对应的文件系统的 inode节点，有数据接收时，触。

7、发事件进行自动调用回调函数进行接收处理，大幅提高处理效率； 3)使用mmap加速内核与用户空间的消息传递：使用内核空间映射技术，把收到的信息直接映射到应用层，无需重复地拷贝参数、不必扫描文件描述符。 0006 本发明的多部件安全隔离并发处理方法的设计思路是：在操作系统内核添加一个自创的文件系统，每一个或者多个要监视的文件描述符都有一个对应的文件系统的inode 节点，并在节点中建立事件回调。由于在创建文件描述符时，已经把用户态的信息保存到内核态了，之后等待事件时，不会重复地拷贝参数、不必扫描文件描述符。另外对接收的数据，事先建立了内核与用户空间的映射，避免内存拷贝动作。通过以上技术改。

8、进，可以有效提高说明书CN 102510376 A 2/2页 4 在高并发环境下的网络通信效率。 0007 本发明带来的有益效果是，当多个组成部件进行大并发数据处理工作时，极大减少系统资源的消耗，减少对并发业务处理的影响，保持数据交换的连续性。具体实施方式 0008 下面对本发明作进一步详细描述：一种多部件安全隔离并发处理方法，该方法包括： 1)支持一个进程打开大数目的socket描述符(FD) 单个进程所能打开的FD在使用select技术时是有一定限制的，一般是1024或2048，这对于那些需要支持上万连接数目的应用服务来说显然不够。有两种方法突破此限制：一是修改内核参数重新。

9、编译内核；二是选择多进程编程。第一种方法将使select遍历空间增大从而降低查询效率，第二种方法必然带来创建进程，进程间通信，同步等额外开销，也存在不足。本发明的方法则没有这个限制，它所支持的FD上限是最大可以打开文件的数目，数目只与系统内存有关,在1GB内存的机器上大约是10万左右； 2)IO 效率不随FD数目增加而下降传统的select/poll必须不断地遍历整个socket集合，查看每一个连接是否有数据需要接收，导致效率呈现线性下降。本发明的方法采用事件触发机制，通过在操作系统内核添加一个自创的文件系统，每一个或者多个要监视的文件描述符都有一个对应的文件系统的 inode节点，有数据接收时，触发事件进行自动调用回调函数进行接收处理，大幅提高处理效率； 3)使用mmap加速内核与用户空间的消息传递，使用内核空间映射技术，把收到的信息直接映射到应用层，无需重复地拷贝参数、不必扫描文件描述符。 0009 通过内核编程，使用内核空间映射技术，把收到的信息直接映射到应用层，在创建文件描述符时，用户状态的信息已保存，之后等待事件时，无需重复地拷贝参数、不必扫描文件描述符。另外对接收的数据，事先建立了内核与用户空间的映射，避免内存拷贝动作，进一步提高了网络接收的效率。说明书CN 102510376 A 。

展开阅读全文