本發(fā)明涉及ssl協(xié)議產(chǎn)品性能測(cè)試領(lǐng)域，尤其涉及一種高并發(fā)ssl會(huì)話管理方法。

背景技術(shù)：

近年來，網(wǎng)絡(luò)的飛速發(fā)展給人們帶來便利的同時(shí)也帶來了一系列安全隱患。由于傳統(tǒng)的tcp/ip協(xié)議族在設(shè)計(jì)時(shí)并沒有考慮到安全問題，網(wǎng)絡(luò)中的信息基本采取非加密形式進(jìn)行傳輸，因此傳輸中的信息可能遭受各種各樣的攻擊，比如信息失竊、信息篡改、未授權(quán)訪問等，網(wǎng)絡(luò)信息安全的重要性和緊迫性日益突出。

為了保證網(wǎng)絡(luò)信息進(jìn)行安全的傳輸，網(wǎng)絡(luò)安全協(xié)議應(yīng)運(yùn)而生。目前網(wǎng)絡(luò)安全協(xié)議主要有ssl、stt和set。其中，ssl協(xié)議是由網(wǎng)景公司研究制定的網(wǎng)絡(luò)安全傳輸協(xié)議，它通過建立一條安全的網(wǎng)絡(luò)傳輸通道，以為數(shù)據(jù)提供完整性、機(jī)密性和身份認(rèn)證等多方面的安全保護(hù)。像個(gè)人電子郵件、網(wǎng)上銀行、電子商務(wù)網(wǎng)站等對(duì)安全需求高的信息傳輸過程，都是基于ssl協(xié)議的。ssl協(xié)議已經(jīng)成為互聯(lián)網(wǎng)上安全通信的工業(yè)標(biāo)準(zhǔn)，并被廣泛應(yīng)用于互聯(lián)網(wǎng)和互聯(lián)網(wǎng)的客戶端和服務(wù)器產(chǎn)品中。由于ssl安全協(xié)議保護(hù)的信息都具有極高的安全性要求，為了了解ssl協(xié)議產(chǎn)品是否具有協(xié)議設(shè)計(jì)時(shí)聲稱的安全功能，就需要對(duì)ssl協(xié)議產(chǎn)品進(jìn)行測(cè)試。

ssl錄屬于會(huì)話層，處于應(yīng)用層和傳輸層之間。ssl協(xié)議作為一種安全的數(shù)據(jù)交換協(xié)議，它已經(jīng)在網(wǎng)絡(luò)中得到了非常廣泛的應(yīng)用，如應(yīng)用于http、ftp、telnet、smtp、pop3等應(yīng)用服務(wù)的安全保障上，同時(shí)大量基于深度數(shù)據(jù)包檢測(cè)(dpi,deeppacketinspection)技術(shù)的系統(tǒng)也支持ssl協(xié)議。但是伴隨著安全性能的提高而來的是傳輸性能的下滑，大量頻繁的ssl連接訪問會(huì)導(dǎo)致重負(fù)載下的ssl服務(wù)器性能急劇下降，甚至導(dǎo)致服務(wù)器崩潰。由于加密解密ssl數(shù)據(jù)是一個(gè)非常耗費(fèi)cpu資源的任務(wù)，ssl數(shù)據(jù)檢測(cè)使dpi系統(tǒng)遇到很大的性能問題。

為了了解基于ssl協(xié)議產(chǎn)品提供的網(wǎng)絡(luò)服務(wù)的性能，以確定其產(chǎn)品所提供服務(wù)的質(zhì)量，我們就需要一定的方法或者標(biāo)準(zhǔn)對(duì)其產(chǎn)品進(jìn)行性能測(cè)試。生成ssl會(huì)話是ssl協(xié)議產(chǎn)品性能測(cè)試的關(guān)鍵，如何自動(dòng)化高效管理高并發(fā)ssl會(huì)話是ssl協(xié)議產(chǎn)品性能測(cè)試需要解決的關(guān)鍵問題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于提供一種自動(dòng)化高效的高并發(fā)ssl會(huì)話管理方法，實(shí)現(xiàn)對(duì)百萬(wàn)級(jí)別并發(fā)ssl會(huì)話的高效管理，滿足對(duì)高并發(fā)ssl會(huì)話性能測(cè)試的需求。

本發(fā)明提供了一種高并發(fā)ssl會(huì)話管理方法，包括以下步驟：通過壓縮協(xié)議會(huì)話對(duì)象數(shù)據(jù)字段，精簡(jiǎn)ssl會(huì)話對(duì)象結(jié)構(gòu)的步驟；通過大散列表來高效管理ssl會(huì)話對(duì)象結(jié)構(gòu)的步驟；通過使用定時(shí)器觸發(fā)機(jī)制，對(duì)ssl會(huì)話定時(shí)的步驟。

精簡(jiǎn)ssl會(huì)話對(duì)象結(jié)構(gòu)的步驟具體為：

將網(wǎng)絡(luò)中的每個(gè)ssl客戶端或者服務(wù)端用ssl會(huì)話結(jié)構(gòu)表示；

將所有會(huì)話采用標(biāo)準(zhǔn)的五元組<type，src_ip，src_port，dst_ip，dst_port>進(jìn)行唯一表示；

判斷流量場(chǎng)景，對(duì)于雙臂流量場(chǎng)景，采用一對(duì)會(huì)話對(duì)象分別表示ssl客戶端和服務(wù)端；對(duì)于單臂流量場(chǎng)景，采用一個(gè)會(huì)話對(duì)象表示；

用ssl_state、tcp_state、type、src_ip、src_port、dst_ip、dst_port、ssl_pcb、tcp_pcb、輸入輸出緩存隊(duì)列、會(huì)話定時(shí)器表示會(huì)話基本結(jié)構(gòu)，所述的ssl_state、tcp_state為基于有限狀態(tài)自動(dòng)機(jī)實(shí)現(xiàn)的協(xié)議狀態(tài)自動(dòng)機(jī)；所述的type標(biāo)定該會(huì)話對(duì)象類類型，默認(rèn)為ssl類型；所述的src_ip、src_port、dst_ip、dst_port分別表示源地址、源端口、目的地址、目的端口；所述的ssl_pcb和tcp_pcb用以保存協(xié)議的控制和管理數(shù)據(jù)；所述的輸入輸出緩存隊(duì)列分別保存該會(huì)話的流量輸入和輸出分組隊(duì)列；所述的會(huì)話定時(shí)器用于所述會(huì)話對(duì)象上的流量事件定時(shí)。

通過大散列表來高效管理ssl會(huì)話對(duì)象結(jié)構(gòu)的步驟具體為：

通過五元組計(jì)算散列表的hash值，計(jì)算公式如下：

key＝hash(type，src_ip，src_port，dst_ip，dst_port)＝(type+src_ip+src_port+dst_ip+dst_port)％

將hash值定位到鏈表頭部，如果鏈表頭為空，則說明不存在相應(yīng)會(huì)話，如果非空，則循環(huán)判斷此鏈表中會(huì)話五元組，以找到需要的會(huì)話。

通過使用定時(shí)器觸發(fā)機(jī)制，對(duì)ssl會(huì)話定時(shí)的步驟具體為：

給會(huì)話安裝tcp重傳定時(shí)器、延遲ack定時(shí)器、?；疃〞r(shí)器、time_wait定時(shí)器中的一種，等到定時(shí)器到期觸發(fā)下一個(gè)動(dòng)作的執(zhí)行。

本發(fā)明的有益效果是本發(fā)明通過精簡(jiǎn)ssl會(huì)話結(jié)構(gòu)，減小了協(xié)議會(huì)話對(duì)象內(nèi)存開銷，提高了ssl協(xié)議并發(fā)會(huì)話量，通過大散列表來管理ssl會(huì)話對(duì)象結(jié)構(gòu)，大幅度降低了會(huì)話對(duì)象查找開銷和會(huì)話訪問沖突，從而支持海量會(huì)話對(duì)象的并發(fā)訪問，提高系統(tǒng)ssl并發(fā)會(huì)話性能，另外，相比循環(huán)等待觸發(fā)，通過安裝會(huì)話定時(shí)器，能夠?qū)崿F(xiàn)對(duì)ssl會(huì)話高效、靈活的管理，滿足了對(duì)高并發(fā)ssl會(huì)話測(cè)試的需求。

附圖說明

圖1是本發(fā)明高并發(fā)ssl會(huì)話管理方法流程圖；

圖2為本發(fā)明高并發(fā)ssl會(huì)話管理方法實(shí)施過程中ssl會(huì)話結(jié)構(gòu)示意圖；

圖3為本發(fā)明高并發(fā)ssl會(huì)話管理方法實(shí)施過程中基于散列表的ssl會(huì)話管理設(shè)計(jì)圖；

圖4為本發(fā)明高并發(fā)ssl會(huì)話管理方法實(shí)施過程中ssl會(huì)話觸發(fā)機(jī)制示意圖。

具體實(shí)施方式

具體實(shí)施方式一：結(jié)合圖1來說明，本實(shí)施方式是一種高并發(fā)ssl會(huì)話管理方法，包括以下步驟：通過壓縮協(xié)議會(huì)話對(duì)象數(shù)據(jù)字段，精簡(jiǎn)ssl會(huì)話對(duì)象結(jié)構(gòu)的步驟；通過大散列表來高效管理ssl會(huì)話對(duì)象結(jié)構(gòu)的步驟；通過使用定時(shí)器觸發(fā)機(jī)制，對(duì)ssl會(huì)話定時(shí)的步驟。

具體實(shí)施方式二：本實(shí)施方式是對(duì)具體實(shí)施方式一的進(jìn)一步限定，所述的通過壓縮協(xié)議會(huì)話對(duì)象數(shù)據(jù)字段，精簡(jiǎn)ssl會(huì)話對(duì)象結(jié)構(gòu)的步驟為：

將網(wǎng)絡(luò)中的每個(gè)ssl客戶端或者服務(wù)端用ssl會(huì)話結(jié)構(gòu)表示；

將所有會(huì)話采用標(biāo)準(zhǔn)的五元組<type，src_ip，src_port，dst_ip，dst_port>進(jìn)行唯一表示；

判斷流量場(chǎng)景，對(duì)于雙臂流量場(chǎng)景，采用一對(duì)會(huì)話對(duì)象分別表示ssl客戶端和服務(wù)端；對(duì)于單臂流量場(chǎng)景，采用一個(gè)會(huì)話對(duì)象表示；

用ssl_state、tcp_state、type、src_ip、src_port、dst_ip、dst_port、ssl_pcb、tcp_pcb、輸入輸出緩存隊(duì)列、會(huì)話定時(shí)器表示會(huì)話基本結(jié)構(gòu)，所述的ssl_state、tcp_state為基于有限狀態(tài)自動(dòng)機(jī)實(shí)現(xiàn)的協(xié)議狀態(tài)自動(dòng)機(jī)；所述的type標(biāo)定該會(huì)話對(duì)象類類型，默認(rèn)為ssl類型；所述的src_ip、src_port、dst_ip、dst_port分別表示源地址、源端口、目的地址、目的端口；所述的ssl_pcb和tcp_pcb用以保存協(xié)議的控制和管理數(shù)據(jù)；所述的輸入輸出緩存隊(duì)列分別保存該會(huì)話的流量輸入和輸出分組隊(duì)列；所述的會(huì)話定時(shí)器用于所述會(huì)話對(duì)象上的流量事件定時(shí)。

具體實(shí)施方式三：本實(shí)施方式是對(duì)具體實(shí)施方式二的進(jìn)一步限定，所述的通過大散列表來高效管理ssl會(huì)話對(duì)象結(jié)構(gòu)的步驟為：

通過五元組計(jì)算散列表的hash值，計(jì)算公式如下：

key＝hash(type，src_ip，src_port，dst_ip，dst_port)＝(type+src_ip+src_port+dst_ip+dst_port)％

將hash值定位到鏈表頭部，如果鏈表頭為空，則說明不存在相應(yīng)會(huì)話，如果非空，則循環(huán)判斷此鏈表中會(huì)話五元組，以找到需要的會(huì)話。

具體實(shí)施方式四：本實(shí)施方式是對(duì)具體實(shí)施方式一至三的進(jìn)一步限定，所述的通過使用定時(shí)器觸發(fā)機(jī)制，對(duì)ssl會(huì)話定時(shí)的步驟為：

給會(huì)話安裝tcp重傳定時(shí)器、延遲ack定時(shí)器、保活定時(shí)器、time_wait定時(shí)器中的一種，等到定時(shí)器到期觸發(fā)下一個(gè)動(dòng)作的執(zhí)行。

以上所述，僅為本發(fā)明的具體實(shí)施方式，本發(fā)明的保護(hù)范圍并不局限于此，對(duì)于本領(lǐng)域普通技術(shù)人員來說，可以根據(jù)上述說明不加創(chuàng)造性地進(jìn)行改進(jìn)或變換，而所有這些改進(jìn)和變換都應(yīng)屬于本發(fā)明所附權(quán)利要求的保護(hù)范圍。