CN117749865A - 会话处理方法、系统、装置、设备及存储介质 - Google Patents
会话处理方法、系统、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117749865A CN117749865A CN202410166937.XA CN202410166937A CN117749865A CN 117749865 A CN117749865 A CN 117749865A CN 202410166937 A CN202410166937 A CN 202410166937A CN 117749865 A CN117749865 A CN 117749865A
- Authority
- CN
- China
- Prior art keywords
- security protocol
- layer security
- host
- transport layer
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 27
- 238000000034 method Methods 0.000 claims abstract description 87
- 238000012545 processing Methods 0.000 claims abstract description 61
- 238000004891 communication Methods 0.000 claims abstract description 57
- 230000005540 biological transmission Effects 0.000 claims abstract description 52
- 238000004590 computer program Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 abstract description 29
- 238000005516 engineering process Methods 0.000 description 21
- 238000012546 transfer Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 13
- 239000003795 chemical substances by application Substances 0.000 description 8
- 230000008901 benefit Effects 0.000 description 4
- 230000006872 improvement Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种会话处理方法、系统、装置、设备及存储介质,包括在检测到主机中的目标应用存在待传输层安全协议卸载服务且待传输层安全协议卸载服务和传输层安全协议代理模块建立通信连接的情况下,接收主机发送的目标信息;根据目标信息向虚拟交换机下发对应的流表,以使虚拟交换机通过流表将待代理的传输层安全协议会话上传至传输层安全协议代理模块;在检测到接收主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据目标信息代替主机与客户端建立传输层安全协议会话。通过由智能网卡代替主机完成与客户端的传输层安全协议会话连接,主机只需要处理普通的报文,使其更集中处理业务而不是网络流量。
Description
技术领域
本申请涉及会话连接技术领域,特别是涉及一种会话处理方法、系统、装置、设备及存储介质。
背景技术
目前,由于网络安全需求的不断提高,网络协议使用明文传输的场景不断减少,在大部分网络通信需求中,都需要使用各种各样的网络加密协议来对内容进行加密处理,而最常见的HTTP(HyperText Transfer Protocol,超文本传输协议)通信协议,则使用TLS(Transport Layer Security,传输层安全协议)协议进行内容加密。
TLS协议满足了HTTP安全通信的需求,然而由于加密协议本身限制,主机侧的CPU(中央处理器,Central Processing Unit)需要花费大量CPU时间来处理TLS协议以及对明文进行加解密,这不仅仅占用了主机侧用来处理业务的CPU资源,而且带来的上下文开销也较大,在面对多短连接的网络业务场景中,这种开销则更加明显。
相关技术中,在上述业务场景中,对于TLS协议一般是由支持TLS硬件卸载的专用硬件进行运算,然而上述方法会对主机存在较高的配置要求,导致无法适配各种应用场景。
发明内容
有鉴于此,本申请旨在提出一种会话处理方法、系统、装置、设备及存储介质。
依据本申请的第一方面,提供了一种会话处理方法,应用于传输层安全协议代理模块,所述传输层安全协议代理模块搭载于智能网卡,所述智能网卡还包括虚拟交换机,所述智能网卡搭载于服务端,所述方法包括:
在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息;
根据所述目标信息向虚拟交换机下发对应的流表,以使所述虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至所述传输层安全协议代理模块;
在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
可选地,所述目标信息包括连接信息和服务器证书信息,所述连接信息包括监听互联网协议地址和端口信息。
可选地,在所述在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话的步骤之后,所述方法包括:
获取所述连接信息,并继续与所述主机进行非传输层安全协议会话。
可选地,在所述获取所述连接信息,并继续与所述主机进行非传输层安全协议会话的步骤之后,所述方法包括:
在检测到所述传输层安全协议会话建立完成的情况下,所述主机通过所述非传输层安全协议会话与所述客户端通信。
可选地,在所述在检测到所述传输层安全协议会话建立完成的情况下,所述主机通过所述非传输层安全协议会话与所述客户端通信的步骤之后,所述方法包括:
接收所述客户端发送的加密数据,并将所述加密数据通过所述非传输层安全协议会话转发至所述主机中的目标应用;
接收所述主机中的目标应用发送的应用层数据,并将所述应用层数据通过所述传输层安全协议会话进行加密处理,得到加密后的应用层数据;
将所述加密后的应用层数据转发至所述客户端。
可选地,在所述接收所述客户端发送的加密数据,并将所述加密数据通过所述非传输层安全协议会话转发至所述主机中的目标应用的步骤之前,所述方法包括:
接收所述主机发送的预设加密算法支持列表、服务器证书信息。
可选地,所述将所述应用层数据通过传输层安全协议会话进行加密处理,得到加密后的应用层数据包括:
通过所述预设加密算法支持列表和所述传输层安全协议会话将所述应用层数据进行加密处理,得到加密后的应用层数据。
可选地,所述根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话包括:
当接收到由所述虚拟交换机转发的传输层安全协议会话请求时,根据所述服务器证书信息、传输层安全协议加密算法支持列表以及连接信息与客户端建立传输层安全协议会话话。
可选地,在所述根据所述目标信息向虚拟交换机下发对应的流表的步骤之后,所述方法包括:
在检测到所述客户端与所述服务端的所述主机建立传输控制协议连接的情况下,所述虚拟交换机转发网络流量。
可选地,在所述在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话的步骤之后,所述方法包括:
在检测到所述服务端或者所述客户端发送的传输控制协议会话关闭请求的情况下,将关闭传输控制协议连接,并释放资源。
可选地,所述在检测到所述服务端或者所述客户端发送的传输控制协议会话关闭请求的情况下,将关闭传输控制协议连接,并释放资源包括:
当接收到所述客户端的传输控制协议会话关闭请求或者所述服务端的所述待传输层安全协议卸载服务的所述传输控制协议会话关闭请求时,将关闭传输控制协议代理,释放所述传输层安全协议代理模块中对应的连接资源,并等待下一次传输层安全协议连接请求。
可选地,在所述在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息的步骤之前,所述方法包括:
在所述智能网卡的所述虚拟交换机配置对应的流表,以使所述虚拟交换机和所述主机建立通信连接,所述主机包括目标应用,所述目标应用包括待传输层安全协议卸载服务,所述待传输层安全协议卸载服务通过所述虚拟交换机和所述传输层安全协议代理模块建立连接,其中,所述流表包括预设虚拟交换机数据包转发规则。
可选地,所述接收所述主机发送的目标信息包括:
接收所述主机发送的互联网协议地址和端口信息,其中,所述互联网协议地址和所述端口信息在所述主机中注册。
可选地,所述与所述客户端建立传输层安全协议会话包括:服务器证书验证处理,密钥交换处理以及加密信道建立处理。
依据本申请的第二方面,提供了另一种会话处理方法,应用于主机,所述主机搭载于服务端,所述方法包括:
在检测到所述主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和传输层安全协议代理模块建立通信连接的情况下,通过虚拟交换机向智能网卡的传输层安全协议代理模块发送目标信息,以使所述传输层安全协议代理模块根据所述目标信息向所述虚拟交换机下发对应的流表,以使所述虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至所述传输层安全协议代理模块,在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
根据本申请的又一方面,还提供一种会话处理系统,所述会话处理系统包括服务端和客户端,所述服务端包括智能网卡和主机,所述智能网卡包括传输层安全协议代理模块和虚拟交换机;
所述传输层安全协议代理模块用于在检测到所述主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息;根据所述目标信息向所述虚拟交换机下发对应的流表,以使所述虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至所述传输层安全协议代理模块;在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话;
所述主机用于在检测到所述主机中的所述目标应用存在所述待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,通过所述虚拟交换机向所述智能网卡的传输层安全协议代理模块发送所述目标信息。
根据本申请的又一方面,还提供一种会话处理装置,应用于传输层安全协议代理模块,所述传输层安全协议代理模块搭载于智能网卡,所述智能网卡还包括虚拟交换机,所述智能网卡搭载于服务端,所述装置包括:
接收模块,用于在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息;
下发模块,用于根据所述目标信息向虚拟交换机下发对应的流表,以使所述虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至所述传输层安全协议代理模块;
代替模块,用于在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
根据本申请的又一方面,还提供另一种会话处理装置,应用于主机,所述主机搭载于服务端,所述装置包括:
发送模块,用于在检测到所述主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和传输层安全协议代理模块建立通信连接的情况下,通过虚拟交换机向智能网卡的传输层安全协议代理模块发送目标信息,以使所述传输层安全协议代理模块根据所述目标信息向所述虚拟交换机下发对应的流表,以使所述虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至所述传输层安全协议代理模块,在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
根据本申请的又一方面,还提供一种电子设备,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如上所述的会话处理方法。
根据本申请的又一方面,还提供一种可读存储介质,所述可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如上所述的会话处理方法的步骤。
本申请实施例提供的会话处理方法,通过在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息;根据所述目标信息向虚拟交换机下发对应的流表,以使虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至传输层安全协议代理模块;在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。通过智能网卡卸载技术,将HTTP通信中传输层安全协议会话中的TLS协议部分卸载到智能网卡进行处理,利用智能网卡的CPU处理能力技术,由智能网卡代替主机完成与客户端的传输层安全协议会话连接,主机只需要处理普通的HTTP报文,从而解放主机CPU,使其更集中处理业务而不是网络流量,从而带来性能提升。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是本申请实施例提供的一种会话处理方法的步骤流程图;
图2是本申请实施例提供的另一种会话处理方法的步骤流程图;
图3是本申请实施例提供的另一种会话处理方法的步骤流程图;
图4是本申请实施例提供的另一种会话处理方法的步骤流程图;
图5是本申请实施例提供的另一种会话处理方法的步骤流程图;
图6是本申请实施例提供的一种会话处理系统的示意图;
图7是本申请实施例提供的一种会话处理装置的装置框图;
图8是本申请实施例提供的另一种会话处理装置的装置框图;
图9是本申请实施例提供的一种电子设备的结构示意图;
图10是本申请实施例提供的一种TLS连接建立过程图;
图11是本申请实施例提供的一种TLS模块工作示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本申请各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本申请的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
参照图1,示出了本申请实施例提供的一种会话处理方法的步骤流程图,应用于传输层安全协议代理模块,所述传输层安全协议代理模块搭载于智能网卡,所述智能网卡还包括虚拟交换机,所述智能网卡搭载于服务端,所述方法可以包括以下步骤:
需要说明的是,在步骤101之前,可以包括:在所述智能网卡的所述虚拟交换机配置对应的流表,以使所述虚拟交换机和所述主机建立通信连接,所述主机包括目标应用,所述目标应用包括待传输层安全协议卸载服务,所述待传输层安全协议卸载服务通过所述虚拟交换机和所述传输层安全协议代理模块建立连接,其中,所述流表包括预设虚拟交换机数据包转发规则。
需要说明的是,在本申请实施例中,主机包括目标应用,目标应用可以是任何运行在主机CPU中的应用,SOC侧的TLS代理模块绑定智能网卡提供的SOC侧的网卡,并在智能网卡的OVS配置对应流表使其与Host的应用可以互通。由于TLS代理模块工作原理涉及到手动构建网络流量并转发,所以TLS代理模块应当挂载用户态驱动以避免其使用内核协议栈。
其中,OVS(OpenvSwitch,虚拟交换机)是一种软件实现的虚拟交换机,应用于与智能网卡技术搭配使用以适配单主机复杂的网络使用场景,例如虚拟机或者容器,在本申请实施例中可以支持自定义网络,为用户提供定义网络。
其中,流表可以包括预设虚拟交换机数据包转发规则,即OVS进行数据包转发的基本规则。
其中,SOC (System on a Chip,片上系统),是一种集成了多个功能组件的芯片,在本申请实施例中SOC表示智能网卡。
其中,智能网卡卸载(SmartNic offload)是将需要主机CPU处理的网络或存储协议卸载到智能网卡的硬件或者CPU中,释放主机CPU资源使其能更高效地处理主机业务。
步骤101,在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息;
进一步地,所述接收所述主机发送的目标信息包括:
接收所述主机发送的互联网协议地址和端口信息,其中,所述互联网协议地址和端口信息在主机中注册。
需要说明的是,TLS(Transport Layer Security,传输层安全性协议)是一种网络通信协议,用于在网络上保护数据的安全性和完整性,一般与http应用层协议搭配使用以实现加密的应用层协议,与http组合使用形成的协议称之为Https协议。
需要说明的是,在本申请实施例中,其中,待传输层安全协议卸载服务即待TLS卸载服务,主机内需要进行TLS卸载的服务首先通过进程间通信的方法(管道或者共享内存)与智能网卡侧的OVS(OpenvSwitch,虚拟交换机)建立通信,智能网卡侧的OVS和TLS代理模块之间也建立有通信连接,进而,待传输层安全协议卸载服务和传输层安全协议代理模块建立通信连接,随后将其监听的IP地址和端口在Host中注册,Host将该信息传递给SOC的TLS模块。
步骤102,根据所述目标信息向虚拟交换机下发对应的流表,以使虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至传输层安全协议代理模块;
需要说明的是,在本申请实施例中,在主机内需要进行TLS卸载的服务首先通过OVS网络与SOC侧的TLS代理模块建立连接之后,将其监听的IP地址和端口在SOC的TLS代理模块中注册,随后SOC的TLS代理模块在OVS下发对应流表使得OVS可以将该连接的TLS会话正确upload到SOC的TLS代理模块。
步骤103,在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
需要说明的是,智能网卡的TLS代理模块在下发对应流表之后,会使得送往主机的TLS会话流量和送至客户端的非TLS会话流量能正确的送到智能网卡侧的TLS代理模块,此时TLS代理模块会获取连接信息,连接信息属于目标信息,包括监听IP地址和端口Port信息。
连接信息是主机发送的,主机服务会向TLS代理模块发送TLS协议建立所需的服务器证书信息、连接信息以及TLS握手时需要的加密算法支持列表。
因此,根据目标信息可以代替所述主机继续TLS会话,即与所述客户端建立传输层安全协议会话。
其中,TLS 握手需要经过传输控制协议三次握手后才能进行,因为Https都是基于传输控制协议传输协议实现的,需要先建立完可靠的传输控制协议连接才能进行TLS握手。
因此,在本申请实施例中,客户端与服务器主机建立传输控制协议连接,进而客户端向服务器发送建立传输层安全协议会话请求。
需要说明的是,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话,具体的,主机将TLS协议建立需要的服务器证书,以及TLS握手时需要的加密算法支持列表和服务器信息储存到智能网卡的TLS模块上,当SOC侧的TLS代理模块收到由OVS转发的TLS会话请求时,可以根据Host侧服务提供的证书和TLS信息,和客户端正确协商和建立TLS会话,同时在后续通信中SOC侧的TLS代理模块将与服务器的服务应用进行未加密的TCP会话传递服务器与客户端之间的应用层数据。
其中,由于实际上是智能网卡的SOC系统与客户端建立TLS关系,算法支持列表应该和SOC支持的算法列表保持一致,即需要保证SOC的TLS版本应当尽可能兼容客户端的TLS版本。
进一步地,所述与所述客户端建立传输层安全协议会话包括:服务器证书验证处理,密钥交换处理以及加密信道建立处理。
具体的,例如,客户端向服务器发送TLS的“hello message”请求建立TLS会话,此阶段智能网卡通过下发到OVS的data path的流表对该网络包进行捕获并将其upload到SOC的TLS代理模块,TLS代理模块记录该TCP连接的状态信息,包括双方的TCP,IP,以及数据链路层等信息,随后依赖获取到的连接信息以及配置的服务器TLS信息,代替Host与客户端建立TLS会话,包括证书验证,密钥交换,以及加密信道建立过程。
其中,data path表示OVS中负责处理数据包的模块,数据链路层包括源mac以及目的mac。
本申请实施例提供的会话处理方法,通过智能网卡卸载技术,将HTTP通信中传输层安全协议会话中的TLS协议部分卸载到智能网卡进行处理,利用智能网卡的CPU处理能力技术,由智能网卡代替主机完成与客户端的传输层安全协议会话连接,主机只需要处理普通的HTTP报文,从而解放主机CPU,使其更集中处理业务而不是网络流量,从而带来性能提升。
参照图2,示出了本申请实施例提供的另一种会话处理方法的步骤流程图,所述方法可以包括以下步骤:
步骤201,在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息;
步骤202,根据所述目标信息向虚拟交换机下发对应的流表,以使虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至传输层安全协议代理模块;
步骤203,在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
需要说明的是,上述步骤201-203参照前序论述,在此不再阐述。
步骤204,获取所述连接信息,并继续与所述主机进行非传输层安全协议会话;
步骤205,在检测到所述传输层安全协议会话建立完成的情况下,所述主机通过所述非传输层安全协议会话与客户端通信。
步骤206,接收所述客户端发送的加密数据,并将所述加密数据通过所述非传输层安全协议会话转发至所述主机中的目标应用;
步骤207,接收主机中的目标应用发送的应用层数据,并将所述应用层数据通过传输层安全协议会话进行加密处理,得到加密后的应用层数据;
步骤208,将所述加密后的应用层数据转发至所述客户端。
需要说明的是,上述步骤204-208中,参考图11所示,图11是一种TLS模块工作示意图,是TLS模块在实现代理过程中的完整流程。
需要说明的是,所述目标信息包括连接信息和服务器证书信息,所述连接信息包括监听互联网协议地址和端口信息,因此,在开始代替所述主机与所述客户端建立传输层安全协议会话后一直到TLS会话建立完成,这个期间,TLS代理模块会继续获取连接信息,并继续与所述主机进行非TSL会话,主机等待TLS会话建立完成,当TLS会话建立完成之后,主机服务继续使用非TLS会话与客户端通信,但是智能网卡侧的TLS模块将来自客户端的加密数据解密并将解密后的加密数据通过非TLS会话转发至主机的目标应用,并将主机的目标应用的应用层数据通过TLS会话加密后传送至客户端。
在这个过程中,已经实现了TLS代理模块代替主机和客户端建立TLS会话连接,并且在这个阶段加解密过程也无需在主机进行,而是均在TLS代理模块进行,并且,通过OVS可以将这些加密数据和主机以及客户端之间传递,也无需在主机侧也设置一个TLS代理模块。
具体的,客户端向服务器发送TLS的“hello message”请求建立TLS会话,此阶段智能网卡通过下发到OVS的data path的流表对该网络包进行捕获并将其upload到SOC的TLS代理模块,TLS代理模块记录该TCP连接的状态信息,包括双方的TCP,IP,以及数据链路层等信息,随后依赖获取到的连接信息以及预先配置的服务器TLS信息,代替Host与客户端建立TLS会话,包括证书验证,密钥交换,以及加密信道建立过程。
SOC的TLS代理模块下发流表使得服务器送往客户端的非TLS加密的会话送到SOC的TLS模块以完成对Host会话的代理。
SOC的TLS代理模块会将从客户端收到的Https会话的应用层数据通过解密算法解密。然后根据TLS代理模块记录的TCP连接信息,继续与Host的服务进行非加密的TCP会话传递应用层数据。此时SOC的TLS代理模块在客户端和Host之间完成了从客户端到服务端的会话代理的工作。
SOC的TLS代理模块在完成TLS会话代理后,Host侧使用该连接的进程对TLS会话被代理的情况是无感的,其继续使用未加密的TCP会话回应客户端的请求,并通过标准网络socket进行发包。网络报文到达SOC后通过流表送至SOC侧的TLS代理模块,TLS代理模块则获取该报文的数据,根据记录的会话信息,使用TLS加密数据后将其发送给客户端。
目前相关技术中,在智能网卡或者非智能网卡应用场景中,TLS协议要么不卸载,直接由主机侧CPU进行处理,要么由支持TLS硬件卸载的专用加解密硬件进行运算,这种硬件不仅通用性较差并且需要专门的驱动与配置才能完成TLS协议卸载,这给用户带来了不便,而通过本申请中利用智能网卡SOC的CPU处理能力技术,将TLS协议的加密信道建立过程和通信内容的加解密过程卸载到智能网卡去,可以实现更好的兼容性,从而兼容多种场景下的TLS协议卸载。
另外,通过智能网卡卸载技术,将HTTP通信中传输层安全协议会话中的TLS协议部分卸载到智能网卡进行处理,利用智能网卡的CPU处理能力技术,由智能网卡代替主机完成与客户端的传输层安全协议会话连接,主机只需要处理普通的HTTP报文,从而解放主机CPU,使其更集中处理业务而不是网络流量,从而带来性能提升。
参照图3,示出了本申请实施例提供的另一种会话处理方法的步骤流程图,所述方法可以包括以下步骤:
步骤301,在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息;
步骤302,根据所述目标信息向虚拟交换机下发对应的流表,以使虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至传输层安全协议代理模块;
步骤303,接收所述主机发送的预设加密算法支持列表、服务器证书信息。
其中,服务器证书信息是TLS协议建立需要的服务器证书。
步骤304,在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
进一步地,所述根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话包括:
当接收到由虚拟交换机转发的传输层安全协议会话请求时,根据所述服务器证书信息、传输层安全协议加密算法支持列表以及连接信息与客户端建立传输层安全协议会话。
步骤305,获取所述连接信息,并继续与所述主机进行非传输层安全协议会话;
步骤306,在检测到所述传输层安全协议会话建立完成的情况下,所述主机通过所述非传输层安全协议会话与客户端通信。
步骤307,接收所述客户端发送的加密数据,并将所述加密数据通过所述非传输层安全协议会话转发至所述主机中的目标应用;
步骤308,接收主机中的目标应用发送的应用层数据,并将所述应用层数据通过传输层安全协议会话进行加密处理,得到加密后的应用层数据;
进一步地,步骤308,即所述将所述应用层数据通过传输层安全协议会话进行加密处理,得到加密后的应用层数据包括:
通过所述预设加密算法支持列表和传输层安全协议会话将所述应用层数据进行加密处理,得到加密后的应用层数据。
SOC的TLS代理模块会将从客户端收到的Https会话的应用层数据通过解密算法解密。然后根据TLS代理模块记录的TCP连接信息,继续与Host的服务进行非加密的TCP会话传递应用层数据。此时SOC的TLS代理模块在客户端和Host之间完成了从客户端到服务端的会话代理的工作。
SOC的TLS代理模块在完成TLS会话代理后,Host侧使用该连接的进程对TLS会话被代理的情况是无感的,其继续使用未加密的TCP会话回应客户端的请求,并通过标准网络socket进行发包。网络报文到达SOC后通过流表送至SOC侧的TLS代理模块,TLS代理模块则获取该报文的数据,根据记录的会话信息,使用TLS加密数据后将其发送给客户端。
步骤309,将所述加密后的应用层数据转发至所述客户端。
本申请实施例提供的会话处理方法,通过智能网卡卸载技术,将HTTP通信中传输层安全协议会话中的TLS协议部分卸载到智能网卡进行处理,利用智能网卡的CPU处理能力技术,由智能网卡代替主机完成与客户端的传输层安全协议会话连接,主机只需要处理普通的HTTP报文,从而解放主机CPU,使其更集中处理业务而不是网络流量,从而带来性能提升。
参照图4,示出了本申请实施例提供的另一种会话处理方法的步骤流程图,所述方法可以包括以下步骤:
步骤401,在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息;
步骤402,根据所述目标信息向虚拟交换机下发对应的流表,以使虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至传输层安全协议代理模块;
需要说明的是,上述步骤401-402参照前序论述,在此不再阐述。
步骤403,在检测到所述客户端与所述服务端的所述主机建立传输控制协议连接的情况下,虚拟交换机转发网络流量。
需要说明的是,在本申请实施例中,客户端与服务器主机建立TCP连接,因为Https和TLS会话的传输层协议为TCP,所以Https首先需要建立TCP连接,此阶段智能网卡仅需要正常转发网络流量即可。
步骤404,在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
需要说明的是,上述步骤404参照前序论述,在此不再阐述。
步骤405,在检测到所述服务端或者所述客户端发送的传输控制协议会话关闭请求的情况下,将关闭传输控制协议连接,并释放资源。
进一步地,所述在检测到所述服务端或者所述客户端发送的传输控制协议会话关闭请求的情况下,将关闭传输控制协议连接,并释放资源包括:
当接收到所述客户端的传输控制协议会话关闭请求或者所述服务端的待传输层安全协议卸载服务的传输控制协议会话关闭请求时,将关闭传输控制协议代理,释放所述传输层安全协议代理模块中对应的连接资源,并等待下一次传输层安全协议连接请求。
需要说明的是,在本申请实施例中,当SOC的TLS模块收到来自客户端或者是Host服务的TCP关闭请求,将关闭TCP连接并释放对应资源,并等待下一次TLS连接请求。
其中,连接资源是TLS模块关于该连接的各种信息,例如,目标信息,目标信息中的连接信息,服务器证书信息等等。
本申请实施例提供的会话处理方法,通过智能网卡卸载技术,将HTTP通信中传输层安全协议会话中的TLS协议部分卸载到智能网卡进行处理,利用智能网卡的CPU处理能力技术,由智能网卡代替主机完成与客户端的传输层安全协议会话连接,主机只需要处理普通的HTTP报文,从而解放主机CPU,使其更集中处理业务而不是网络流量,从而带来性能提升。
参照图5,示出了本申请实施例提供的另一种会话处理方法的步骤流程图,应用于主机,所述主机搭载于服务端,所述方法可以包括以下步骤:
步骤501,在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和传输层安全协议代理模块建立通信连接的情况下,通过虚拟交换机向智能网卡的传输层安全协议代理模块发送目标信息,以使所述传输层安全协议代理模块根据所述目标信息向虚拟交换机下发对应的流表,以使虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至传输层安全协议代理模块,在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
需要说明的是,在本申请实施例中,应用于主机,所述主机搭载于服务端,对于主机侧来讲,通过虚拟交换机向智能网卡的传输层安全协议代理模块发送目标信息。
具体的,主机内需要进行TLS卸载的服务首先通过OVS网络与SOC侧的TLS代理模块建立连接,随后将其监听的IP地址和端口在SOC的TLS代理模块中注册,随后SOC的TLS代理模块在OVS下发对应流表使得OVS可以将该连接的TLS会话正确upload到SOC的TLS代理模块。
以及,主机将TLS协议建立需要的服务器证书,以及TLS握手时需要的加密算法支持列表和服务器信息储存到智能网卡的TLS模块上。
其中,由于实际上是智能网卡的SOC系统与客户端建立TLS关系,加密算法支持列表应该和SOC支持的算法列表保持一致,即需要保证SOC的TLS版本应当尽可能兼容客户端的TLS版本。
本申请实施例提供的会话处理方法,通过智能网卡卸载技术,将HTTP通信中传输层安全协议会话中的TLS协议部分卸载到智能网卡进行处理,利用智能网卡的CPU处理能力技术,由智能网卡代替主机完成与客户端的传输层安全协议会话连接,主机只需要处理普通的HTTP报文,从而解放主机CPU,使其更集中处理业务而不是网络流量,从而带来性能提升。
参照图6,示出了本申请实施例提供的一种会话处理系统示意图,所述会话处理系统包括服务端和客户端,所述服务端包括智能网卡和主机,所述智能网卡包括传输层安全协议代理模块和虚拟交换机;
所述传输层安全协议代理模块用于在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息;根据所述目标信息向虚拟交换机下发对应的流表,以使虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至传输层安全协议代理模块;在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话;
所述主机用于在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,通过虚拟交换机向智能网卡的传输层安全协议代理模块发送目标信息。
需要说明的是,在本申请实施例中,如图10所示,图10示出了一种TLS连接建立过程图,即TLS会话建立的过程,在SOC和主机服务器TLS会话建立完成之后,为了保证,需要在SOC上对服务器和客户端之间的数据进行加解密。
本申请实施例通过智能网卡卸载技术,将HTTP通信中传输层安全协议会话中的TLS协议部分卸载到智能网卡进行处理,利用智能网卡的CPU处理能力技术,由智能网卡代替主机完成与客户端的传输层安全协议会话连接,主机只需要处理普通的HTTP报文,从而解放主机CPU,使其更集中处理业务而不是网络流量,从而带来性能提升。
根据本申请实施例还提供了一种会话处理装置,参照图7,图7是本申请实施例提供的一种会话处理装置的装置框图,所述会话处理装置包括:
接收模块701,用于在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息;
下发模块702,用于根据所述目标信息向虚拟交换机下发对应的流表,以使虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至传输层安全协议代理模块;
代替模块703,用于在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
本申请实施例通过智能网卡卸载技术,将HTTP通信中传输层安全协议会话中的TLS协议部分卸载到智能网卡进行处理,利用智能网卡的CPU处理能力技术,由智能网卡代替主机完成与客户端的传输层安全协议会话连接,主机只需要处理普通的HTTP报文,从而解放主机CPU,使其更集中处理业务而不是网络流量,从而带来性能提升。
根据本申请实施例还提供了一种会话处理装置,参照图8,图8是本申请实施例提供的另一种会话处理装置的装置框图,所述会话处理装置包括:
发送模块801,用于在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和传输层安全协议代理模块建立通信连接的情况下,通过虚拟交换机向智能网卡的传输层安全协议代理模块发送目标信息,以使所述传输层安全协议代理模块根据所述目标信息向虚拟交换机下发对应的流表,以使虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至传输层安全协议代理模块,在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
本申请实施例通过智能网卡卸载技术,将HTTP通信中传输层安全协议会话中的TLS协议部分卸载到智能网卡进行处理,利用智能网卡的CPU处理能力技术,由智能网卡代替主机完成与客户端的传输层安全协议会话连接,主机只需要处理普通的HTTP报文,从而解放主机CPU,使其更集中处理业务而不是网络流量,从而带来性能提升。
本申请实施例还提供了一种电子设备,如图9所示,包括处理器901、通信接口902、存储器903和通信总线904,其中,处理器901,通信接口902,存储器903通过通信总线904完成相互间的通信,
存储器903,用于存放计算机程序;
处理器901,用于执行存储器903上所存放的程序时,实现如下步骤:
在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息;
根据所述目标信息向虚拟交换机下发对应的流表,以使虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至传输层安全协议代理模块;
在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
上述终端提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的会话处理方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk (SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (20)
1.一种会话处理方法,其特征在于,应用于传输层安全协议代理模块,所述传输层安全协议代理模块搭载于智能网卡,所述智能网卡还包括虚拟交换机,所述智能网卡搭载于服务端,所述方法包括:
在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息;
根据所述目标信息向虚拟交换机下发对应的流表,以使所述虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至所述传输层安全协议代理模块;
在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
2.根据权利要求1所述的方法,其特征在于,所述目标信息包括连接信息和服务器证书信息,所述连接信息包括监听互联网协议地址和端口信息。
3.根据权利要求2所述的方法,其特征在于,在所述在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话的步骤之后,所述方法包括:
获取所述连接信息,并继续与所述主机进行非传输层安全协议会话。
4.根据权利要求3所述的方法,其特征在于,在所述获取所述连接信息,并继续与所述主机进行非传输层安全协议会话的步骤之后,所述方法包括:
在检测到所述传输层安全协议会话建立完成的情况下,所述主机通过所述非传输层安全协议会话与所述客户端通信。
5.根据权利要求4所述的方法,其特征在于,在所述在检测到所述传输层安全协议会话建立完成的情况下,所述主机通过所述非传输层安全协议会话与所述客户端通信的步骤之后,所述方法包括:
接收所述客户端发送的加密数据,并将所述加密数据通过所述非传输层安全协议会话转发至所述主机中的目标应用;
接收所述主机中的目标应用发送的应用层数据,并将所述应用层数据通过所述传输层安全协议会话进行加密处理,得到加密后的应用层数据;
将所述加密后的应用层数据转发至所述客户端。
6.根据权利要求5所述的方法,其特征在于,在所述接收所述客户端发送的加密数据,并将所述加密数据通过所述非传输层安全协议会话转发至所述主机中的目标应用的步骤之前,所述方法包括:
接收所述主机发送的预设加密算法支持列表、服务器证书信息。
7.根据权利要求6所述的方法,其特征在于,所述将所述应用层数据通过传输层安全协议会话进行加密处理,得到加密后的应用层数据包括:
通过所述预设加密算法支持列表和所述传输层安全协议会话将所述应用层数据进行加密处理,得到加密后的应用层数据。
8.根据权利要求6所述的方法,其特征在于,所述根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话包括:
当接收到由所述虚拟交换机转发的传输层安全协议会话请求时,根据所述服务器证书信息、传输层安全协议加密算法支持列表以及连接信息与客户端建立传输层安全协议会话。
9.根据权利要求1所述的方法,其特征在于,在所述根据所述目标信息向虚拟交换机下发对应的流表的步骤之后,所述方法包括:
在检测到所述客户端与所述服务端的所述主机建立传输控制协议连接的情况下,所述虚拟交换机转发网络流量。
10.根据权利要求1所述的方法,其特征在于,在所述在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话的步骤之后,所述方法包括:
在检测到所述服务端或者所述客户端发送的传输控制协议会话关闭请求的情况下,将关闭传输控制协议连接,并释放资源。
11.根据权利要求10所述的方法,其特征在于,所述在检测到所述服务端或者所述客户端发送的传输控制协议会话关闭请求的情况下,将关闭传输控制协议连接,并释放资源包括:
当接收到所述客户端的传输控制协议会话关闭请求或者所述服务端的所述待传输层安全协议卸载服务的所述传输控制协议会话关闭请求时,将关闭传输控制协议代理,释放所述传输层安全协议代理模块中对应的连接资源,并等待下一次传输层安全协议连接请求。
12.根据权利要求1所述的方法,其特征在于,在所述在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息的步骤之前,所述方法包括:
在所述智能网卡的所述虚拟交换机配置对应的流表,以使所述虚拟交换机和所述主机建立通信连接,所述主机包括目标应用,所述目标应用包括待传输层安全协议卸载服务,所述待传输层安全协议卸载服务通过所述虚拟交换机和所述传输层安全协议代理模块建立连接,其中,所述流表包括预设虚拟交换机数据包转发规则。
13.根据权利要求1所述的方法,其特征在于,所述接收所述主机发送的目标信息包括:
接收所述主机发送的互联网协议地址和端口信息,其中,所述互联网协议地址和所述端口信息在所述主机中注册。
14.根据权利要求1所述的方法,其特征在于,所述与所述客户端建立传输层安全协议会话包括:服务器证书验证处理,密钥交换处理以及加密信道建立处理。
15.一种会话处理方法,其特征在于,应用于主机,所述主机搭载于服务端,所述方法包括:
在检测到所述主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和传输层安全协议代理模块建立通信连接的情况下,通过虚拟交换机向智能网卡的传输层安全协议代理模块发送目标信息,以使所述传输层安全协议代理模块根据所述目标信息向所述虚拟交换机下发对应的流表,以使所述虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至所述传输层安全协议代理模块,在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
16.一种会话处理系统,其特征在于,所述会话处理系统包括服务端和客户端,所述服务端包括智能网卡和主机,所述智能网卡包括传输层安全协议代理模块和虚拟交换机;
所述传输层安全协议代理模块用于在检测到所述主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息;根据所述目标信息向所述虚拟交换机下发对应的流表,以使所述虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至所述传输层安全协议代理模块;在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话;
所述主机用于在检测到所述主机中的所述目标应用存在所述待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,通过所述虚拟交换机向所述智能网卡的传输层安全协议代理模块发送所述目标信息。
17.一种会话处理装置,其特征在于,应用于传输层安全协议代理模块,所述传输层安全协议代理模块搭载于智能网卡,所述智能网卡还包括虚拟交换机,所述智能网卡搭载于服务端,所述装置包括:
接收模块,用于在检测到主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和所述传输层安全协议代理模块建立通信连接的情况下,接收所述主机发送的目标信息;
下发模块,用于根据所述目标信息向虚拟交换机下发对应的流表,以使所述虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至所述传输层安全协议代理模块;
代替模块,用于在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
18.一种会话处理装置,其特征在于,应用于主机,所述主机搭载于服务端,所述装置包括:
发送模块,用于在检测到所述主机中的目标应用存在待传输层安全协议卸载服务,且,所述待传输层安全协议卸载服务和传输层安全协议代理模块建立通信连接的情况下,通过虚拟交换机向智能网卡的传输层安全协议代理模块发送目标信息,以使所述传输层安全协议代理模块根据所述目标信息向所述虚拟交换机下发对应的流表,以使所述虚拟交换机通过所述流表将待代理的传输层安全协议会话上传至所述传输层安全协议代理模块,在检测到接收所述主机的传输层安全协议会话流量以及客户端的非传输层安全协议会话流量的情况下,根据所述目标信息代替所述主机与所述客户端建立传输层安全协议会话。
19.一种电子设备,其特征在于,包括:
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如权利要求1至14中任一项所述的会话处理方法,或者,实现如权利要求15中所述的会话处理方法。
20.一种可读存储介质,其特征在于,所述可读存储介质上存储计算机程序,所述计算机程序被处理器执行时以实现如权利要求1至14中任一项所述的会话处理方法,或者,实现如权利要求15中所述的会话处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410166937.XA CN117749865B (zh) | 2024-02-06 | 2024-02-06 | 会话处理方法、系统、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410166937.XA CN117749865B (zh) | 2024-02-06 | 2024-02-06 | 会话处理方法、系统、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117749865A true CN117749865A (zh) | 2024-03-22 |
| CN117749865B CN117749865B (zh) | 2024-08-16 |
Family
ID=90279549
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410166937.XA Active CN117749865B (zh) | 2024-02-06 | 2024-02-06 | 会话处理方法、系统、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117749865B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118175114A (zh) * | 2024-05-13 | 2024-06-11 | 中移(苏州)软件技术有限公司 | 虚拟机报文发送的方法、装置、系统、电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3367621A1 (en) * | 2017-02-28 | 2018-08-29 | Intel Corporation | Method and apparatus for local traffic acceleration |
| US20180262599A1 (en) * | 2017-03-10 | 2018-09-13 | Microsoft Technology Licensing, Llc | Packet processor in virtual filtering platform |
| CN109714302A (zh) * | 2017-10-25 | 2019-05-03 | 阿里巴巴集团控股有限公司 | 算法的卸载方法、装置和系统 |
| CN109936513A (zh) * | 2019-02-18 | 2019-06-25 | 网宿科技股份有限公司 | 基于fpga的数据报文处理方法、智能网卡和cdn服务器 |
| US20200068048A1 (en) * | 2017-01-03 | 2020-02-27 | Intel Corporation | Cross-device segmentation offload |
| CN115866103A (zh) * | 2022-12-19 | 2023-03-28 | 苏州浪潮智能科技有限公司 | 一种报文处理方法、装置、智能网卡和服务器 |
| CN116232944A (zh) * | 2023-05-06 | 2023-06-06 | 珠海星云智联科技有限公司 | 用于传输层安全协议报文业务的方法、设备及介质 |
-
2024
- 2024-02-06 CN CN202410166937.XA patent/CN117749865B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200068048A1 (en) * | 2017-01-03 | 2020-02-27 | Intel Corporation | Cross-device segmentation offload |
| EP3367621A1 (en) * | 2017-02-28 | 2018-08-29 | Intel Corporation | Method and apparatus for local traffic acceleration |
| US20180262599A1 (en) * | 2017-03-10 | 2018-09-13 | Microsoft Technology Licensing, Llc | Packet processor in virtual filtering platform |
| CN109714302A (zh) * | 2017-10-25 | 2019-05-03 | 阿里巴巴集团控股有限公司 | 算法的卸载方法、装置和系统 |
| CN109936513A (zh) * | 2019-02-18 | 2019-06-25 | 网宿科技股份有限公司 | 基于fpga的数据报文处理方法、智能网卡和cdn服务器 |
| CN115866103A (zh) * | 2022-12-19 | 2023-03-28 | 苏州浪潮智能科技有限公司 | 一种报文处理方法、装置、智能网卡和服务器 |
| CN116232944A (zh) * | 2023-05-06 | 2023-06-06 | 珠海星云智联科技有限公司 | 用于传输层安全协议报文业务的方法、设备及介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118175114A (zh) * | 2024-05-13 | 2024-06-11 | 中移(苏州)软件技术有限公司 | 虚拟机报文发送的方法、装置、系统、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117749865B (zh) | 2024-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108156178B (zh) | 一种ssl/tls数据监控系统和方法 | |
| US9756135B2 (en) | Accessing network services from external networks | |
| CN117749865B (zh) | 会话处理方法、系统、装置、设备及存储介质 | |
| US8873746B2 (en) | Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes | |
| CN110719248B (zh) | 用户数据报协议报文的转发方法及装置 | |
| JP5607655B2 (ja) | 非暗号化ネットワーク動作解決策 | |
| US11303431B2 (en) | Method and system for performing SSL handshake | |
| JP4047303B2 (ja) | 提供装置、提供プログラム、及び、提供方法 | |
| US7631182B1 (en) | Secure protocol handshake offload using TNICs | |
| US9191406B2 (en) | Message relaying apparatus, communication establishing method, and computer program product | |
| EP3522473A1 (en) | Data transmission method, apparatus and system | |
| CN110677432A (zh) | 一种网络协议内部代理转发方法、装置、介质及终端设备 | |
| CN114338844B (zh) | 一种客户端服务器之间的跨协议通信方法及装置 | |
| WO2015164999A1 (zh) | 虚拟卡下载方法、终端及中间设备 | |
| JP2001237818A (ja) | プロキシ暗号通信システム及び方法並びにプログラムを記録した記録媒体 | |
| CN114586316A (zh) | 管理安全IoT设备应用的方法和系统 | |
| US9083682B2 (en) | Communication device and computer program product | |
| CN111835613B (zh) | 一种vpn服务器的数据传输方法及vpn服务器 | |
| JP2009177239A (ja) | ネットワーク中継装置 | |
| CN115967511A (zh) | 加解密方法、装置及计算机可读存储介质 | |
| US11637810B2 (en) | Link-layer authentication for legacy network nodes using a remote network access server | |
| CN114553938B (zh) | 一种通信报文的处理方法、装置、电子设备及存储介质 | |
| US12028747B2 (en) | Methods and apparatus for reducing communications delay | |
| US20240214431A1 (en) | Network Traffic Capture | |
| JP2003069597A (ja) | 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |