技術領域

本發(fā)明涉及計算機網絡信息系統(tǒng)安全隔離與信息交換技術領域，尤其涉及多系統(tǒng)安全互聯(lián)部件的多部件安全隔離并發(fā)處理方法。

背景技術

安全隔離與信息交換技術，基本原理是：切斷網絡之間的通用協(xié)議連接；將數(shù)據(jù)包進行分解或重組為靜態(tài)數(shù)據(jù)；對靜態(tài)數(shù)據(jù)進行安全審查，包括網絡協(xié)議檢查和代碼掃描等；確認后的安全數(shù)據(jù)流入內部單元；內部用戶通過嚴格的身份認證機制獲取所需數(shù)據(jù)。在現(xiàn)有安全隔離與信息交換技術中，內外網客戶端與服務端通過安全互聯(lián)部件進行數(shù)據(jù)交換。

安全互聯(lián)部件為多系統(tǒng)架構，即與外網絡連接的外端系統(tǒng)，與內網連接的內端系統(tǒng)，以及處理安全策略和控制信息的仲裁系統(tǒng)。如申請人2011-8-29申請的發(fā)明專利申請（申請?zhí)枮椋?01110250370.7、201110250372.6、201110250375.X、201110250369.4、201110250349.7）。在多級互聯(lián)會話的建立與中止過程中，存在大量的并發(fā)連接，對于多個互聯(lián)部件的系統(tǒng)資源消耗提出了非常高的要求。在高并發(fā)的情況下，系統(tǒng)進程需要監(jiān)視的文件描述符FD會非常多，如果采用select/poll技術，每次只能查詢一部分描述符，效率較低。

發(fā)明內容

本發(fā)明的發(fā)明目的在于提供并發(fā)處理技術，以實現(xiàn)多部件在進行安全隔離與信息交換處理時的高效率穩(wěn)定交換。

為了實現(xiàn)上述的目的，本發(fā)明是通過下述技術方案解決上述技術問題的：

一種多部件安全隔離并發(fā)處理方法，該方法包括：

1)????支持一個進程打開大數(shù)目的socket描述符(FD)：支持的FD上限是最大可以打開文件的數(shù)目，數(shù)目只與系統(tǒng)內存有關；

2)????IO?效率不隨FD數(shù)目增加而下降：采用事件觸發(fā)機制，通過在操作系統(tǒng)內核添加一個自創(chuàng)的文件系統(tǒng)，每一個或者多個要監(jiān)視的文件描述符都有一個對應的文件系統(tǒng)的inode節(jié)點，有數(shù)據(jù)接收時，觸發(fā)事件進行自動調用回調函數(shù)進行接收處理，大幅提高處理效率；

3)????使用mmap加速內核與用戶空間的消息傳遞：使用內核空間映射技術，把收到的信息直接映射到應用層，無需重復地拷貝參數(shù)、不必掃描文件描述符。

本發(fā)明的多部件安全隔離并發(fā)處理方法的設計思路是：在操作系統(tǒng)內核添加一個自創(chuàng)的文件系統(tǒng)，每一個或者多個要監(jiān)視的文件描述符都有一個對應的文件系統(tǒng)的inode節(jié)點，并在節(jié)點中建立事件回調。由于在創(chuàng)建文件描述符時，已經把用戶態(tài)的信息保存到內核態(tài)了，之后等待事件時，不會重復地拷貝參數(shù)、不必掃描文件描述符。另外對接收的數(shù)據(jù)，事先建立了內核與用戶空間的映射，避免內存拷貝動作。通過以上技術改進，可以有效提高在高并發(fā)環(huán)境下的網絡通信效率。

本發(fā)明帶來的有益效果是，當多個組成部件進行大并發(fā)數(shù)據(jù)處理工作時，極大減少系統(tǒng)資源的消耗，減少對并發(fā)業(yè)務處理的影響，保持數(shù)據(jù)交換的連續(xù)性。

具體實施方式

下面對本發(fā)明作進一步詳細描述：

一種多部件安全隔離并發(fā)處理方法，該方法包括：

1)????支持一個進程打開大數(shù)目的socket描述符(FD)

單個進程所能打開的FD在使用select技術時是有一定限制的，一般是1024或2048，這對于那些需要支持上萬連接數(shù)目的應用服務來說顯然不夠。有兩種方法突破此限制：一是修改內核參數(shù)重新編譯內核；二是選擇多進程編程。第一種方法將使select遍歷空間增大從而降低查詢效率，第二種方法必然帶來創(chuàng)建進程，進程間通信，同步等額外開銷，也存在不足。本發(fā)明的方法則沒有這個限制，它所支持的FD上限是最大可以打開文件的數(shù)目，數(shù)目只與系統(tǒng)內存有關,在1GB內存的機器上大約是10萬左右；

2)????IO?效率不隨FD數(shù)目增加而下降

傳統(tǒng)的select/poll必須不斷地遍歷整個socket集合，查看每一個連接是否有數(shù)據(jù)需要接收，導致效率呈現(xiàn)線性下降。本發(fā)明的方法采用事件觸發(fā)機制，通過在操作系統(tǒng)內核添加一個自創(chuàng)的文件系統(tǒng)，每一個或者多個要監(jiān)視的文件描述符都有一個對應的文件系統(tǒng)的inode節(jié)點，有數(shù)據(jù)接收時，觸發(fā)事件進行自動調用回調函數(shù)進行接收處理，大幅提高處理效率；

3)????使用mmap加速內核與?用戶空間的消息傳遞，使用內核空間映射技術，把收到的信息直接映射到應用層，無需重復地拷貝參數(shù)、不必掃描文件描述符。

通過內核編程，使用內核空間映射技術，把收到的信息直接映射到應用層，在創(chuàng)建文件描述符時，用戶狀態(tài)的信息已保存，之后等待事件時，無需重復地拷貝參數(shù)、不必掃描文件描述符。另外對接收的數(shù)據(jù)，事先建立了內核與用戶空間的映射，避免內存拷貝動作，進一步提高了網絡接收的效率。