[发明专利]报文处理方法和虚拟专用网络SSLVPN服务器

说明书

本发明提供一种报文处理方法和虚拟专用网络SSLVPN服务器，用于解决现有的SSLVPN服务器报文处理效率低下的技术问题。所述方法应用于虚拟专用网络SSLVPN服务器，所述SSLVPN服务器包括工作于内核态的数据流处理器，所述方法包括：所述SSLVPN服务器接收客户端发送的连接控制报文，所述连接控制报文用于与所述客户端进行安全套接层SSL的密钥协商；所述SSLVPN服务器将所述连接控制报文从所述SSLVPN服务器的内核态发送至用户态进程，所述用户态进程用于对所述连接控制报文进行处理，得到协商结果；所述SSLVPN服务器接收数据报文，并利用所述数据流处理器根据所述协商结果对所述数据报文进行处理。

技术领域

本发明涉及计算机领域，具体地，涉及一种报文处理方法和虚拟专用网络SSLVPN服务器。

背景技术

VPN(Virtual Private Network，虚拟专用网络)本质上是将以公开明文方式在公共网络上传输的数据报文按照一定的协议和加密方案进行新的封装，一方面实现了跨越公共网络的私有数据传输，另一方面使远程用户在感觉上如同与内部网络直接连接通信一样，增加了用户使用内部网络的透明程度。

SSLVPN(Secure Sockets Layer VPN，安全套接层VPN)作为VPN的一种，是在SSL协议基础上建立的。随着技术的发展，现有技术出现了将SSLVPN移植到道高性能的异构转发平台下的技术方案。

具体地，SSLVPN保护的是三层及以上的协议传输，通过虚拟设备引流，完成明文的加密加封装和密文的解密解封装。其中协商通信过程涉及的流量信息可以分为控制连接流和数据流，其中，控制连接流主要用于通过SSL协议协商出一条安全通道，数据流是在控制连接流协商的安全通道的基础上，进行数据的传输。

现有技术中，移植到异构转发平台下的SSLVPN，通过一个父进程调用多个子进程的方式实现多核下的多连接处理，并且，每个进程内部是同步处理结构，既处理控制连接流量，又处理数据流量，并且，用户态和内核态之间的双向数据通信通过Netlink实现。

发明内容

本发明的目的是提供一种报文处理方法和虚拟专用网络SSLVPN服务器，以解决现有SSLVPN服务器对报文的处理效率低下的技术问题。

为了实现上述目的，本发明提供第一方面提供一种报文处理方法，其特征在于，所述方法应用于虚拟专用网络SSLVPN服务器，所述SSLVPN服务器包括工作于内核态的数据流处理器，所述方法包括：

所述SSLVPN服务器接收客户端发送的连接控制报文，所述连接控制报文用于与所述客户端进行安全套接层SSL的密钥协商；

所述SSLVPN服务器将所述连接控制报文从所述SSLVPN服务器的内核态发送至用户态进程，所述用户态进程用于对所述连接控制报文进行处理，得到协商结果；

所述SSLVPN服务器接收数据报文，并利用所述数据流处理器根据所述协商结果对所述数据报文进行处理。

可选地，所述SSLVPN服务器将所述连接控制报文从所述SSLVPN服务器的内核态发送至用户态进程，包括：

所述SSLVPN服务器根据套接字复用Reuseport机制将所述连接控制报文从所述SSLVPN服务器的内核态发送至当前连接对应的用户态进程，其中，所述SSLVPN服务器与客户端建立的每一连接对应一个用户态进程。

可选地，所述SSLVPN服务器根据Reuseport机制将所述连接控制报文从所述SSLVPN服务器的内核态发送至当前连接对应的用户态进程，包括：