本發(fā)明公開了一種協(xié)議數(shù)據(jù)的處理方法及裝置。其中，該方法包括：通過(guò)用戶態(tài)報(bào)文收發(fā)模塊接收協(xié)議數(shù)據(jù)的報(bào)文；通過(guò)用戶態(tài)代理組件將接收到的報(bào)文轉(zhuǎn)發(fā)至加速芯片；接收加速芯片對(duì)報(bào)文進(jìn)行解密后的應(yīng)用層數(shù)據(jù)；將應(yīng)用層數(shù)據(jù)發(fā)送給用戶態(tài)應(yīng)用模塊；用戶態(tài)應(yīng)用模塊處理完成的數(shù)據(jù)報(bào)文，傳送給用戶態(tài)代理組件；用戶態(tài)代理組件將處理后的應(yīng)用數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)至加速芯片，接收加速芯片對(duì)報(bào)文進(jìn)行加密后的應(yīng)用層數(shù)據(jù)報(bào)文，并把此報(bào)文進(jìn)一步傳送給用戶態(tài)報(bào)文收發(fā)模塊；用戶態(tài)報(bào)文收發(fā)模塊發(fā)送協(xié)議數(shù)據(jù)報(bào)文。本發(fā)明解決了相關(guān)技術(shù)中的安全套接字協(xié)議SSL的操作系統(tǒng)采用內(nèi)核態(tài)進(jìn)行報(bào)文轉(zhuǎn)發(fā)，效率較低，通過(guò)CPU進(jìn)行加解密計(jì)算，極大地消耗CPU資源的技術(shù)問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)安全協(xié)議領(lǐng)域，具體而言，涉及一種協(xié)議數(shù)據(jù)的處理方法及裝置。

背景技術(shù)

隨著網(wǎng)絡(luò)安全的重要性逐漸凸顯，用戶隱私以及數(shù)據(jù)泄露等網(wǎng)絡(luò)安全危害事件層出不窮，為了保護(hù)敏感數(shù)據(jù)在互聯(lián)網(wǎng)傳送中的安全性，越來(lái)越多的網(wǎng)站或者應(yīng)用會(huì)部署SSL隧道安全協(xié)議進(jìn)行數(shù)據(jù)保護(hù)。SSL隧道帶來(lái)的問(wèn)題是，讓處于原始的終端用戶SSL客戶端與原始的SSL服務(wù)器端之間的網(wǎng)絡(luò)設(shè)備或者安全設(shè)備無(wú)法對(duì)SSL承載的應(yīng)用層內(nèi)容進(jìn)行有效的監(jiān)控，檢查，過(guò)濾和統(tǒng)計(jì)等，這就需要網(wǎng)絡(luò)設(shè)備或者安全設(shè)備提供SSL代理功能，從而能夠解密HTTPS、POP3S、SMTPS和IMAPS等基于SSL的應(yīng)用層協(xié)議，并對(duì)SSL承載的應(yīng)用層協(xié)議內(nèi)容提供應(yīng)用安全處理，如應(yīng)用識(shí)別，URL過(guò)濾，防病毒，IPS，關(guān)鍵字過(guò)濾，電子郵件過(guò)濾，文件過(guò)濾等。圖1是現(xiàn)有技術(shù)中SSL代理的結(jié)構(gòu)示意圖，如圖1所示，SSL代理功能可工作在如下兩種場(chǎng)景。

第一種場(chǎng)景，當(dāng)設(shè)備作為終端用戶客戶端一側(cè)的網(wǎng)關(guān)時(shí)，SSL代理設(shè)備利用SSL代理證書替換原始的SSL服務(wù)器端的數(shù)字證書，并將SSL代理證書發(fā)送到原始的終端用戶SSL客戶端，在此過(guò)程中，SSL代理設(shè)備既作為SSL客戶端和原始的SSL服務(wù)器端去建立SSL連接，同時(shí)SSL代理設(shè)備又作為SSL服務(wù)器和原始的終端用戶SSL客戶端建立SSL連接，從而SSL代理設(shè)備可以審查加密通信的明文內(nèi)容是否存在安全威脅。其中，SSL代理證書是使用設(shè)備本身的證書對(duì)原始SSL服務(wù)器證書重新簽發(fā)而成的證書。

第二種場(chǎng)景，當(dāng)設(shè)備作為原始的SSL服務(wù)器一側(cè)的網(wǎng)關(guān)時(shí)，SSL代理設(shè)備可充當(dāng)原始的SSL服務(wù)器端，使用原始的SSL服務(wù)器端的證書與原始的終端用戶SSL客戶端建立SSL連接，并將解密后的流量以明文的方式發(fā)送到原始的內(nèi)網(wǎng)SSL服務(wù)器端。

眾所周知，SSL安全隧道建立需要消耗大量的CPU資源，同時(shí)作為網(wǎng)絡(luò)設(shè)備或者安全設(shè)備的SSL代理，需要同時(shí)與原始的終端用戶SSL客戶端，與原始的SSL服務(wù)器端去建立SSL隧道連接，因此SSL代理設(shè)備很容易成為原始的SSL客戶端與原始的SSL服務(wù)器端之間數(shù)據(jù)傳輸?shù)男阅芷款i。針對(duì)目前SSL代理的性能問(wèn)題，目前業(yè)界存在的一些方案，從不同角度解決了部分性能問(wèn)題，例如：

1、無(wú)SSL加速芯片支持的SSL代理：利用CPU資源進(jìn)行SSL隧道協(xié)議協(xié)商以及后續(xù)的應(yīng)用數(shù)據(jù)加解密傳輸。

2、利用SSL加速芯片的SSL代理：SSL隧道協(xié)議與數(shù)據(jù)報(bào)文經(jīng)過(guò)操作系統(tǒng)的內(nèi)核TCP/IP協(xié)議棧，通過(guò)socket被送到用戶態(tài)的應(yīng)用進(jìn)程進(jìn)行SSL隧道協(xié)商以及數(shù)據(jù)加解密處理，用戶態(tài)的應(yīng)用進(jìn)程通過(guò)Epoll機(jī)制實(shí)現(xiàn)異步加解密支持。

當(dāng)今的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境SSL(安全套接字協(xié)議，Secure?Sockets?Layer)隧道盛行，承載在SSL隧道上的應(yīng)用業(yè)務(wù)越來(lái)越多，利用CPU資源計(jì)算的SSL代理或者利用SSL加速芯片與內(nèi)核TCP/IP協(xié)議棧的SSL代理，越來(lái)越不能滿足日益增長(zhǎng)的SSL隧道安全業(yè)務(wù)流量需求。相關(guān)技術(shù)中的安全套接字協(xié)議SSL的操作系統(tǒng)采用內(nèi)核態(tài)進(jìn)行報(bào)文轉(zhuǎn)發(fā)，效率較低，通過(guò)CPU進(jìn)行加解密計(jì)算，極大地消耗CPU資源的技術(shù)問(wèn)題。導(dǎo)致在實(shí)際部署中，SSL代理很難達(dá)到預(yù)期的性能與功能。

針對(duì)上述的問(wèn)題，目前尚未提出有效的解決方案。

發(fā)明內(nèi)容