TW200826571A

TW200826571A - Identification and management system and method applicable to a point-to-point gateway

Info

Publication number: TW200826571A
Application number: TW095145974A
Authority: TW
Inventors: Po-Ching Lin; Meng-Fu Cai; Chao-Jiang Zhang; Ying-Da Lin; Yuan-Cheng Lai
Original assignee: Univ Nat Chiao Tung
Priority date: 2006-12-08
Filing date: 2006-12-08
Publication date: 2008-06-16
Also published as: US20080141358A1; TWI319278B

Description

200826571 九 '發明說明：【發明所屬之技術領域】本發明係有關一種點對點閘道器之管理系統，特可乃』疋才日一種應用於點對點閘道器上，可增進網路速度及效能之辨別及管理系統。 · 【先前技術】在過去幾年中，點對點（⑽）檔案分享在網際網路傳輸方面以驚人的速度成長，因此如何管理點對點通訊之效能便成為一口 , 蛩之课題。系統管理員通常利用眾所周知的幾個固定連接埠號將網路網路通訊進行八類μ 理’包括㈣定制程式的通訊傳輸_掉，及衫翻容過渡（如病毒掃描）後飾導向至代理伺服H (pn)xy)。歧，這種分類方法在點對點通訊上並不細，因為大錄的點對點顧程式·用動態連鱗，也就是自動選取一個連接埠而不是使用固定那幾個眾所周知的連接埠，因此，點對點應脉絲就細層（applieatiGn•丨aye0訊息之雖來進行分類。傳統上分類步驟係於核d間（kemel spaee)完成，因為其鮮特徵與資料内容的前齡元_合，細，蹄點分享儲上所做之職喊與掃毒等管理中’亦包含由封包所組成的資料複雜内容處理，由此觀之，此步驟於使用者空間中進行似乎較為自然。縱使於使用者空間上執行，諸如InstantScan及p2padm等點對點管理工具必須在核心空間及使用者空間之間交換資料，然而㈣交換係將核心玉間之資料複製到使用者空間，會大量消耗效能，而事實上，此消耗亦存在於網路伺服器套件（WebSerVerpackages)中，如伺服器HTTpd。為減少消耗’另一種核心内（in_kemei)套件之伺服器1^ΤΤΡ(1將伺服器HTXPd 5 200826571 移至核心空間中，以直接於核心中掌握回應訊息，可避免資料交換並真正提供比應用使用者空間之伺服器HTTPd更高的效能。 ET^P2PADM之架構及管理綠，其為-種赋作㈣統之閘道聽構，管理目的包括：⑴點對點應_式之連線分類；（2)濾除不想要之點對點應用程式郁十對點對點分享檔案進行掃毒；⑷將聊天訊息及傳輸檔案過渡並審查；以及(5)控制點對點通訊之頻寬。如第一圖所示之架構，核心空間令利用第七層_器（L7_filter) 1〇2辨認連線分類，並將連線分類之封包倚存於仔列1G4中；代_服器中之一主要執行緒(咖㈣㈣透ϋ呼1Uibipq函式庫122及在封包處置程式⑶巾執行前置處理作業，如總合檢查、封包分類及處理TCP序列後，從核心空間1〇的仔列ι〇4中取得接著主要執行緒呼叫一特定應用程式之執行緒，以控制與該應用私式協疋相關之作業，每―應用程式之執行緒皆負責—特定連線，並決定要連線内之封包要通過或丟棄掉。 P2PADM從仵歹,j104中以Hbipq函式庫122取得封包，此列函式庫 122為i應用於iptaWe上之開發函式庫，其提供—應雜式介面以與 P—queue核心核組通訊’此。麵核心模組係利用胸版功能框架進 ’ 仃且錄，以將封包於核心空間10及使用者空間12之間傳遞。因此，P2Padm 、、、行核〜與使用者模式之間的内容置換，將資料從核心空間⑺中複製二間12來管理點對點通訊，而複製資料會降低P2PADM之執行效能。因此’本發明即針對上述習知技術中之缺失，提出—種應用於點對點 200826571 閘道器上之_及管理系統，以增加效能，有效克服上述之該等問題。【發明内容】之主要目的在k供一種應用於點對點閘道器上之辨別及管理系 -系《置核〜；^組’其外掛於核心、空間上，將應用程式模組設置於核核对處理通賴定、過濾及審查等卫作，便於修改細程式通訊協定之處理工作。本發明之另一目的在提供一種應用於點對點問道器上之辨別及管理系統。其係没置-連線快取以處理封包之來源/目❸Ip位址及目的/來源連接埠號等資訊，當具有與上述資訊_之封包時㈣斷為重新連線封包，而連線快取可將該封包阻擋下。本發明之再一目的在提供一種應用於點對點閘道器上之辨別及管理系統’其係利用快速通過（fastpass)機制，在閘道器中將脫序封包複製下來，並讓脫序封包快速通過，用以縮短封包遺失時之不確定性延遲。為達上述之目的，本發明提供一種應用於點對點閘道器上之辨別及管糸、充其係5又置於作業糸統下核心空間（kernel space)，包含一連線快取 (connectioncache)及一第七層過濾器(L7_filter)，連線快取接收複數封包，利用第七層過濾器比對封包之特徵進行分類，並於可識別連線之封包上加上一識別記號，再進行前置處理；一核心模組，外掛於核心空間上，該核心模組中包含至少一應用程式模組負責處理相關之封包的通訊協定處理、過渡及審查；以及在一使用者空間（userspace)中處理病毒掃描。本發明另提供一種上述應用點對點閘道器辨別及管理系統之方法，包 200826571 括下列步驟··複數封包進入一一核心空間中之一連線快取中檢查封包之來源

包處置程式進行前置處理，· :記一識別記號於可識別連線之封包上；核心空包濾除或進行頻寬控制，再將封包傳送至一封以及利用一核心模組處理封包之通訊協定、過遽及審查後，封包處置程式將封包傳送出去。底下藉由具體實施例詳加說明，當更容易瞭解本發明之目的、技術内谷、特點及其所達成之功效。【實施方式】本毛月係ϋ、種應用於點對點閘道器上之辨別及管理系統，如第〆圖所示’本發明之顧於點對闕道器上之辨別及管理系統巾包括一核心空間（kernel space) 20、一核心模組22及一使用者空間（userspace) ^，其中核心㈣2G中更包含一連線快取（CGnneetk)n eaehe)观、一第七層 (Loiter) 203 > (queue) 2〇4 . (packet handler) 206及至少一應用程式資料2〇8。連線快取2〇2用以檢查來源/目的 ip位址、目的連接埠號及通訊協定編號（prot〇c〇i id)，當連線快取2〇2收到具有與上述四點相同之封包，就視為重新連線之封包，則將其阻擋；第七層過濾、H 203崎封包之雜進行分類，並於可酬麟之封包上加上一個識別a己5虎，而具有識別記號之封包則依序儲存於仔列204中；封包處理程式206用以檢查封包檢查碼（checksum)、識別連線（c〇nnecti〇n identification)以及處理TCP序列（TCP handling)等封包前置處理動作； 200826571 Μ用私式> 料2〇8中將程式碼切成複數個區段(_如)以便於做後續處理。核〜棋組22中至少一應用程式模組η2，其與應用程式資料2〇8相對應’用以處理相關的封包’負責設定封包之通訊協定（卿㈣^進行處理、過渡及審查該封包等判決（veMiet)。而封包之病毒掃描卫作由於會消耗許多時間，可能中斷核心的運作，故將掃毒工作設置於使用者空間中。而版叫函式庫26則設置於核心模組22及使用者空間24之間的介面。 -開始’所有的封包都進入連線快取2〇2 +，檢查封包之來源正位址、目的1p位址、目的連接蟑號以及通訊協定編號；接著利用第七層過濾器203 在核心㈣20内進行分類連線及特徵比對，首先，第七層過滤請收集開頭最多八個封包賊組合絲雌式訊息（applkati_essage),再進行特徵比對’若第七層過渡器2〇3可識別此封包中所載連線，則標記一事先定義的識別記號於該封包上，有識別記號的封包儲存於件列2⑽中，核心空間20會依據識別記號將不要之封⑽除或進行頻寬控制，再將封包傳送至封包處置程式2%進行前置處理；當封包前置處理完成後，會呼叫核心模組22中特定的應用程式模組222，利用核心模組22處理封包之通訊協定、過濾及審查。本發明之系統偶爾會呼叫⑽此函式，把咖控制權讓給其他行程使用，以避免發生餓死（st_ti〇n)的情況。函式是一個位於 schedulex中的Linux核心函式，其作用係對行程（pr〇cess)進行排程。如果沒有其他行雜要制CPU，則CPU控娜會再_本發日騎、統中。此外，本發賴提供之线會呼叫eall—use_dehdper函式以在使用者空間中 9 200826571 進行病毒掃描紅作’並且會阻擋Linu_心的執行直到病毒掃描的工作完成，為了預防長時間的阻擋，檔案資料會被分為許多片段（piece)來進行掃描。掃描完一個片段的資料之後，呼叫schedule函式，把CPU控制權讓給核心空間20或其他行程。當應用本發明之系統於Linux作業系統下，其封包的流程如第三晒示’首先如步驟Sl0及S12 ’在Linux核心中喚起她行程後，建立一個新的核心執行緒，此核心執行緒用以執行本發明之系統，並且在Limjx關 (shutdown)時被終止；核心内的管理架構等待新的連線，以及呼叫_姚函式將CPU控制權轉移給其他的行程以避免餓死的發生，如步驟训所述。接著如步驟S16判斷是否接收到封包，若是，則如步驟灿及⑽所述’從netlink取得封包並判斷檢查碼是否正確；反之則回到步驟训再次呼叫scheme函式。Netlink是Linux系統中之Ip服務通訊協定，當檢查碼不正確時’為了避免封包遺失或是反覆送出確認訊號，故如步驟您所述讓封包快速通過，回到步驟S14再次呼叫schedule函式。當總合正確時，接受一個新的連線，且如步驟汹所述，本發明之系統需雉護-份該連線套接口（soc⑻的資料結構，並可利用這师料結構進行!/〇操作，而不必依賴較高層的函式。接著進行前置處理，如步讓及S28所述之封包分類與Tcp序列處理，當前置處理作業皆完成後，如步驟跑伽所述’本發明之系統以訊號通知特定的應用程式執行緒⑽ t㈣處理封包，然後應雜式執行緒將設定封包的判決（喊小依據判決決定要將該封包丟棄（drop)或接收。 200826571 本發明可有效處理脫序（out-of-order)封包，方法為在閘道器中複製那些脫序封包，並讓它們立刻通過，如第三圖中之步驟S22，如此一來，接收端可以早一點收到完整的檔案。在先前技術中，若是有任何封包遺失，這些脫序封包會在閘道器中排隊等候（queue)並由TCp逾時引發重新傳輸，這會延長傳輸時間；而本發明中，接收端會收到脫序封包並送出三個相同 ACK訊號給發送端，以引發重新傳輸，由於重新傳輸是由三個相同的訊號，而非由TCP逾時所引發，因此會縮短封包遺失時之不確定性延遲。第四圖所示為有快速通過及沒有快速通過在不同封包遺失速率下之傳送時間曲線圖，封包遺失率從〇%至5%以模擬實際環境。快速通過可減少 FTP客戶端與FTP伺服器端之間的傳輸時間，由圖中可知兩點：⑴封包遺失率愈向，則有快速通過及沒有快速通過兩者間之傳輸時間差距愈多；以及(2)延遲時間愈長，則愈多傳輸時間可被減少。造成第一點的原因在於當封包遺失率增加時，閘道器中佇列時間會愈長，因此傳輸時間會更大；第二點是因為當每一封包之延遲增加時閘道器中之佇列時間會變長。簡而言之，當延遲時間及丟棄封包率增大時，快速通過可減少更多的傳輸時間。通過量及CPU使用率為一閘道器系統中測量效能的兩個主要標準，底下以第五圖及第六圖分別顯示在不同組態下，本發明之系統與先前技術中之P2PADM系統之通過量及CPU使用率之比較，其中第六圖不只是完全地 CPU使用率，同時提供核心部份之CPU使用率。由圖中可知，本發明之系統比P2PADM傳輸速率快，其原因不只是因為在核心空間編碼可減少資料從核心被複製到使用者空間，也因為可減少呼叫函式的數目。 200826571 本發明之系統上具有連線快取時之通過

使cpu使用率永遠可達到約loo%。第七圖及第八圖顯示當 CPU使用率。在試驗中，利來之封包，迫使被阻授夕會, 其快速通過以避免不確定性延遲（non_deterministi 處理部份搬移到核心空間中，減少在核心空間及〇遞動作來達到更好的封包處理效能，。述本U提供之應用於點對點閘道器上之辨別及管理系統及其方法可快速掌握飾連線的封包並將之阻針，麵序封包產生時則讓 ^rministic delays)，更將封包前置空間及使用者空間之間的資料傳唯以上所述者’僅為本發明之較佳實施例而已貝範圍故即凡依本發明申請範圍所述之特徵及精神所為之均等變化或修飾，均應包括於本發明之申請專利範圍内。【圖式簡單說明】第-圖為先前技術中P2PADM系統之示意圖。第-圖為本發明細於點對闕道紅之卿及管轉統之方塊圖。第三圖為本發明之系統中封包之流程圖。第四圖為有無快速通過在不同封包遺失速率下之傳送時間曲線圖。第五圖為林15]域下，本㈣H賴P2PADM线之通過量示意圖。第’、圖為在不同組態下，本發明之系統與P2PADM系統之CPU使用率示意 12 200826571 圖。第七圖為本發明之系統上具有連線快取時之通過量示意圖。第八圖為本發明之系統上具有連線快取時之CPU使用率示意圖。【主要元件符號說明】 10核心空間 102第七層過濾器 104佇列 12使用者空間 122 libipq函式庫 124封包處置程式 20核心空間 202連線快取 203第七層過濾器 204佇列 206封包處置程式 208應用程式資料 209程式區段 22核心模組 222應用程式模組 24使用者空間 26 libipq函式庫 13

Claims

200826571 十、申請專利範圍： 1. -種顧於點對點閘道器上之辨別及管理系統，其係設置於作業系統下之虛擬記憶體空間中，包括： -核心_ U_ispaee)，包含—連線快取(_eetiQneaehe)及 1 七層過濾器(L7-f㈣，該連線快取接收複數封包，利用該第七層過爐器比對該封包之特徵進行分類，並於可識別連線之該封包上加上一識別記號，再進行前置處理； -核心模組’外掛於該核心空間上，該核心模組中包含至少一應用程式模組負責處理相關之該封包的通訊協定處理、過濾及審查；以及 -使用者空間（userspaee)，於該使用者空間中處理病毒掃描之工作。 2·如申請專職圍第1項所述之應麟點對點閘道器上之卿及管理系統，其中該連線快取於系統剛啟動後，在該封包進入之前係為空的，使所有該封包皆可進入該連線快取中。 3·如申請專利範圍第1項所述之應用於點對點閘道器上之辨別及管理系統，其中該連線快取係檢查該封包之來源IP位址、目的Ip位址及連接埠號。 4·如申請專利範圍第1項所述之應用於點對點閘道器上之辨別及管理系統’其中該連線快取可更新連線資訊。 5·如申請專利範圍第1項所述之應用於點對點閘道器上之辨別及管理系統’其中該核心空間可依據該識別記號將不想要之該封包濾除或進行頻寬控制。 6·如申請專利範圍第1項所述之應用於點對點閘道器上之辨別及管理系 200826571 統，其中該第七層過濾器收集至多八個開頭之該封包以重新組合成一應用程式訊息，並進行特徵比對。 7·如申請專利範圍第1項所述之應用於點對點閘道器上之辨別及管理系統，更包括一封包處置程式(packet handler)，進行檢查該封包之檢查碼 (checksum)、連線識別及TCP序列處理等前置處理動作。 8·如申請專利範圍第7項所述之應用於點對點閘道器上之辨別及管理系統，更包括至少一佇列，將具有該識別記號之該封包儲存於該佇列中，依序送出至該封包處置程式。 9·如申請專利範圍第1項所述之應用於點對點閘道器上之辨別及管理系統，其中該使用者空間中在進行掃毒工作時，該核心空間及該核心模組之動作將會暫停。 10·如申請專利範圍第1項所述之應用於點對點閘道器上之辨別及管理系統’更包括一排程函式，用以將行程(process)排程，呼叫該排程函式以將中央處理器之控制權轉讓給其他行程使用。 11·如申請專利範圍第丨項所述之應用於點對點閘道器上之辨別及管理系統’其中該連線快取係判斷接受該封包或丟棄。 12·如申請專利範圍第丨項所述之應用於點對點閘道器上之辨別及管理系統，其中該連線快取係過濾重覆連線，以提升系統效能。 13·—種應用點對點閘道器辨別及管理系統之方法，包括下列步驟：複數封包進入-核心空間中之-連線快取中檢查該封包之來源ιρ位址、目的IP位址及連接埠號； 15 200826571 利用一第七層過濾器在該核心空間内進行分類連線及特徵比對，並標記一識別記號於可識別連線之該封包上；該核心空間依據該識別記號將不要之該封包濾除或進行頻寬控制，再將該封包傳送至一封包處置程式進行前置處理；以及利用一核心模組處理該封包之通訊協定、過濾及審查後，該封包處置程式將該封包傳送出去。 14·如申清專利範圍第13項所述之應用於點對點閘道器上之辨別及管理方法’其中该連線快取在該封包進入之前係為空的，使所有該封包皆可進入該連線快取中。 15·如申請專利範圍第13項所述之應用於點對點閘道器上之辨別及管理方法’其中該連線快取可更新連線資訊。 16·如申睛專利範圍第13項所述之應用於點對點閘道器上之辨別及管理方法’其中該第七層過濾器收集至多八個開頭之該封包以重新組合成一應用程式訊息，並進行特徵比對。 17·如申請專利範圍第13項所述之應用於點對點閘道器上之辨別及管理方法’其中该前置處理動作係包含檢查封包檢查碼、連線識別及Tcp序列處理等。 18·如申請專利範圍第13項所述之應用於點對點閘道器上之辨別及管理方法’其中該第七層過濾器更將具有該識別記號之該封包儲存於一符列中’依序送出至該封包處置程式。 19·如申請專利範圍第13項所述之應用於點對點閘道器上之辨別及管理方 200826571 法，其中該封包之病毒掃描動作係在一使用者空間中進行。 20.如申請專利細第β賴述之_於賴闕辦上之_及管理方法’其中該使用者空間中在進行掃毒工作時，該核心空間及該核心模組之動作將會暫停。 21·如申4專概圍第π項所狀制於點對點閘道器上之綱及管理方法，更包括一排程函式，用以將行程(process)排程，呼叫該排程函式以將中央處理器之控制權轉讓給其他行程使用。

22·如申請專利範圍第13項所述之應用於點對點閘道器上之辨別及管理方法，其中該核心模組係外掛於該核心空間之外。 17