專利名稱:一種多部件安全隔離并發(fā)處理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全隔離與信息交換技術(shù)領(lǐng)域����,尤其涉及多系統(tǒng)安全互聯(lián)部件的多部件安全隔離并發(fā)處理方法。
背景技術(shù):
安全隔離與信息交換技術(shù)���,基本原理是切斷網(wǎng)絡(luò)之間的通用協(xié)議連接;將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù)�;對靜態(tài)數(shù)據(jù)進(jìn)行安全審查,包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等��;確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元��;內(nèi)部用戶通過嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)����。 在現(xiàn)有安全隔離與信息交換技術(shù)中,內(nèi)外網(wǎng)客戶端與服務(wù)端通過安全互聯(lián)部件進(jìn)行數(shù)據(jù)交換��。安全互聯(lián)部件為多系統(tǒng)架構(gòu),即與外網(wǎng)絡(luò)連接的外端系統(tǒng)�����,與內(nèi)網(wǎng)連接的內(nèi)端系統(tǒng)�����,以及處理安全策略和控制信息的仲裁系統(tǒng)�。如申請人2011-8-29申請的發(fā)明專利申請(申請?zhí)枮?201110250370. 7,201110250372. 6,201110250375. X,201110250369. 4, 201110250349.7)。在多級(jí)互聯(lián)會(huì)話的建立與中止過程中��,存在大量的并發(fā)連接��,對于多個(gè)互聯(lián)部件的系統(tǒng)資源消耗提出了非常高的要求����。在高并發(fā)的情況下,系統(tǒng)進(jìn)程需要監(jiān)視的文件描述符FD會(huì)非常多���,如果采用select/poll技術(shù)���,每次只能查詢一部分描述符,效率較低�。
發(fā)明內(nèi)容
本發(fā)明的發(fā)明目的在于提供并發(fā)處理技術(shù)��,以實(shí)現(xiàn)多部件在進(jìn)行安全隔離與信息交換處理時(shí)的高效率穩(wěn)定交換�����。為了實(shí)現(xiàn)上述的目的��,本發(fā)明是通過下述技術(shù)方案解決上述技術(shù)問題的 一種多部件安全隔離并發(fā)處理方法��,該方法包括
1)支持一個(gè)進(jìn)程打開大數(shù)目的socket描述符(FD)支持的FD上限是最大可以打開文件的數(shù)目�,數(shù)目只與系統(tǒng)內(nèi)存有關(guān)����;
2)10效率不隨FD數(shù)目增加而下降采用事件觸發(fā)機(jī)制,通過在操作系統(tǒng)內(nèi)核添加一個(gè)自創(chuàng)的文件系統(tǒng)��,每一個(gè)或者多個(gè)要監(jiān)視的文件描述符都有一個(gè)對應(yīng)的文件系統(tǒng)的 inode節(jié)點(diǎn)�,有數(shù)據(jù)接收時(shí)���,觸發(fā)事件進(jìn)行自動(dòng)調(diào)用回調(diào)函數(shù)進(jìn)行接收處理���,大幅提高處理效率;
3)使用mmap加速內(nèi)核與用戶空間的消息傳遞使用內(nèi)核空間映射技術(shù)�����,把收到的信息直接映射到應(yīng)用層,無需重復(fù)地拷貝參數(shù)�、不必掃描文件描述符。本發(fā)明的多部件安全隔離并發(fā)處理方法的設(shè)計(jì)思路是在操作系統(tǒng)內(nèi)核添加一個(gè)自創(chuàng)的文件系統(tǒng)�,每一個(gè)或者多個(gè)要監(jiān)視的文件描述符都有一個(gè)對應(yīng)的文件系統(tǒng)的inode 節(jié)點(diǎn),并在節(jié)點(diǎn)中建立事件回調(diào)���。由于在創(chuàng)建文件描述符時(shí)��,已經(jīng)把用戶態(tài)的信息保存到內(nèi)核態(tài)了���,之后等待事件時(shí),不會(huì)重復(fù)地拷貝參數(shù)�����、不必掃描文件描述符�。另外對接收的數(shù)據(jù), 事先建立了內(nèi)核與用戶空間的映射�����,避免內(nèi)存拷貝動(dòng)作���。通過以上技術(shù)改進(jìn)�,可以有效提高在高并發(fā)環(huán)境下的網(wǎng)絡(luò)通信效率。本發(fā)明帶來的有益效果是����,當(dāng)多個(gè)組成部件進(jìn)行大并發(fā)數(shù)據(jù)處理工作時(shí),極大減少系統(tǒng)資源的消耗���,減少對并發(fā)業(yè)務(wù)處理的影響����,保持?jǐn)?shù)據(jù)交換的連續(xù)性��。
具體實(shí)施例方式下面對本發(fā)明作進(jìn)一步詳細(xì)描述
一種多部件安全隔離并發(fā)處理方法�����,該方法包括
1)支持一個(gè)進(jìn)程打開大數(shù)目的socket描述符(FD)
單個(gè)進(jìn)程所能打開的FD在使用select技術(shù)時(shí)是有一定限制的���,一般是IOM或2048, 這對于那些需要支持上萬連接數(shù)目的應(yīng)用服務(wù)來說顯然不夠����。有兩種方法突破此限制一是修改內(nèi)核參數(shù)重新編譯內(nèi)核��;二是選擇多進(jìn)程編程����。第一種方法將使select遍歷空間增大從而降低查詢效率�����,第二種方法必然帶來創(chuàng)建進(jìn)程���,進(jìn)程間通信����,同步等額外開銷��,也存在不足��。本發(fā)明的方法則沒有這個(gè)限制����,它所支持的FD上限是最大可以打開文件的數(shù)目, 數(shù)目只與系統(tǒng)內(nèi)存有關(guān)��,在IGB內(nèi)存的機(jī)器上大約是10萬左右;
2)10效率不隨FD數(shù)目增加而下降
傳統(tǒng)的select/poll必須不斷地遍歷整個(gè)socket集合�,查看每一個(gè)連接是否有數(shù)據(jù)需要接收,導(dǎo)致效率呈現(xiàn)線性下降���。本發(fā)明的方法采用事件觸發(fā)機(jī)制����,通過在操作系統(tǒng)內(nèi)核添加一個(gè)自創(chuàng)的文件系統(tǒng)��,每一個(gè)或者多個(gè)要監(jiān)視的文件描述符都有一個(gè)對應(yīng)的文件系統(tǒng)的 inode節(jié)點(diǎn)����,有數(shù)據(jù)接收時(shí),觸發(fā)事件進(jìn)行自動(dòng)調(diào)用回調(diào)函數(shù)進(jìn)行接收處理�����,大幅提高處理效率��;
3)使用mmap加速內(nèi)核與用戶空間的消息傳遞����,使用內(nèi)核空間映射技術(shù),把收到的信息直接映射到應(yīng)用層��,無需重復(fù)地拷貝參數(shù)�、不必掃描文件描述符。通過內(nèi)核編程����,使用內(nèi)核空間映射技術(shù),把收到的信息直接映射到應(yīng)用層���,在創(chuàng)建文件描述符時(shí)��,用戶狀態(tài)的信息已保存��,之后等待事件時(shí)�,無需重復(fù)地拷貝參數(shù)���、不必掃描文件描述符�����。另外對接收的數(shù)據(jù)�����,事先建立了內(nèi)核與用戶空間的映射����,避免內(nèi)存拷貝動(dòng)作, 進(jìn)一步提高了網(wǎng)絡(luò)接收的效率��。
權(quán)利要求
1.一種多部件安全隔離并發(fā)處理方法�,該方法包括1)支持一個(gè)進(jìn)程打開大數(shù)目的socket描述符FD支持的FD上限是最大可以打開文件的數(shù)目,數(shù)目只與系統(tǒng)內(nèi)存有關(guān)����;2)10效率不隨FD數(shù)目增加而下降采用事件觸發(fā)機(jī)制,通過在操作系統(tǒng)內(nèi)核添加一個(gè)自創(chuàng)的文件系統(tǒng)��,每一個(gè)或者多個(gè)要監(jiān)視的文件描述符都有一個(gè)對應(yīng)的文件系統(tǒng)的 inode節(jié)點(diǎn)�,有數(shù)據(jù)接收時(shí),觸發(fā)事件進(jìn)行自動(dòng)調(diào)用回調(diào)函數(shù)進(jìn)行接收處理�����,大幅提高處理效率�;3)使用mmap加速內(nèi)核與用戶空間的消息傳遞使用內(nèi)核空間映射技術(shù),把收到的信息直接映射到應(yīng)用層���,無需重復(fù)地拷貝參數(shù)�、不必掃描文件描述符����。
2.根據(jù)權(quán)利要求1所述的一種多部件安全隔離并發(fā)處理方法����,其特征在于該方法為多部件安全隔離數(shù)據(jù)處理提供高效并發(fā)支持����。
全文摘要
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全隔離與信息交換技術(shù)領(lǐng)域����,尤其涉及多系統(tǒng)安全互聯(lián)部件的多部件安全隔離并發(fā)處理方法。一種多部件安全隔離并發(fā)處理方法����,該方法包括1)支持一個(gè)進(jìn)程打開大數(shù)目的socket描述符FD;2)IO效率不隨FD數(shù)目增加而下降�;3)使用mmap加速內(nèi)核與用戶空間的消息傳遞。本發(fā)明帶來的有益效果是�����,當(dāng)多個(gè)組成部件進(jìn)行大并發(fā)數(shù)據(jù)處理工作時(shí)����,極大減少系統(tǒng)資源的消耗����,減少對并發(fā)業(yè)務(wù)處理的影響����,保持?jǐn)?shù)據(jù)交換的連續(xù)性。
文檔編號(hào)H04L29/06GK102510376SQ201110318258
公開日2012年6月20日 申請日期2011年10月19日 優(yōu)先權(quán)日2011年10月19日
發(fā)明者劉鵬, 姜學(xué)峰, 季琦, 李健俊, 章志華, 蔣一翔, 錢杰, 黃衛(wèi)忠, 黎勇 申請人:浙江中煙工業(yè)有限責(zé)任公司