[发明专利]一种利用请求/数据聚合提高WebServer的https应用性能的方法

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种利用请求/数据聚合提高WebServer的https应用性能的方法。

背景技术

为了保护敏感数据在传送过程中的安全，越来越多的政府、企业、银行开始部署基于SSL的https通信。安全套接层协议SSL(Secure Socket Layer)是使用公钥和私钥技术组合的安全网络通讯协议。SSL协议是Netscape推出的基于Web应用的安全协议，SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证，主要用于提高应用程序之间数据的安全性，对传送的数据进行加密和隐藏，使客户端/服务器应用之间的通信不被攻击者窃听，确保数据在传送中不被改变，即确保数据的完整性。

OpenSSL是一个开源代码的安全项目，目标是用强大的加密算法来实现安全的Socket层(Secure Sockets Layer,SSL v2/v3)和传输层的安全性(Transport Layer Security,TLS vl)。它包含了完整的加密算法，数字签名算法及证书签名算法等。可以很好的保证数据的完整性、保密性和正确性。

目前基于WebServer领域的硬件加/解密系统的设计分为五个层次：WebServer应用层，OpenSSL层，CryptoDev层，硬件加/解密驱动层，以及硬件加/解密引擎层。如图1所示，其中WebServer应用层和OpenSSL层工作在用户空间。WebServer自身采用多线程方式维持系统负载均衡，监听用户的连接请求，并对客户端的请求做出响应。在处理客户端请求过程中，WebServer需要通过OpenSSL提供的加/解密功能，完成用户的身份认证和安全检查等功能。启用https传输之后，WebServer将需要传输的数据通过OpenSSL进行SSL数据处理后再传输给客户端。OpenSSL将加/解密请求和信息摘要请求发送给CryptoDev。CryptoDev层和硬件驱动层工作在内核空间。CryptoDev将OpenSSL层下发的请求转换为硬件加/解密驱动识别的请求发送给硬件加/解密驱动。硬件加/解密驱动将请求构造成硬件加/解密引擎能够识别的数据结构，并将其填写到硬件加/解密引擎的请求队列中。当硬件加/解密引擎完成加/解密或信息摘要操作后产生中断，异步返回结果。

OpenSSL向上响应上层Web应用提交的各种加/解密、信息摘要请求，向下通过与硬件驱动交互，实现硬件加/解密引擎的调用和结果返回。

上层Web应用将加/解密请求下发给OpenSSL，OpenSSL对原始数据进行SSL数据处理后，将加/解密请求下发给硬件，从而调用硬件加/解密引擎实现加/解密运算。若OpenSSL接收到的上层加/解密请求中，原始数据大小超过SSL记录层最大源数据长度时，OpenSSL将以SSL最大源数据长度为单位将原始数据分割成多个数据块(最后一个数据块可能小于SSL最大源数据长度)，然后使用同步方式依次对每一个数据块进行压缩、MAC值计算以及封装处理，再将处理后的数据块下发到硬件驱动，调用硬件加密引擎进行相应的加/解密运算。

OpenSSL层分割及封装后的每一个数据块，通过调用硬件实现加/解密操作都会涉及到内核态与用户态切换开销(Mode Switch)和上下文切换开销(Context Switch)。包括以下切换开销：

1)用户态进程通过ioctl接口传递原始数据到内核驱动，ioctl(ctx->cfd,CIOCCRYPT,&cryp)，产生一次Mode Switch；

2)内核提交请求给驱动之后，通过waitfor()等待驱动执行完成，此时用户进程进入sleep状态，内核调度另外一个进程运行，产生一次Context Switch；

3)硬件异步执行加解密请求，执行完成之后产生中断，中断处理会产生一次Context Switch；

4)中断处理完成之后，通过complete()函数通知用户进程该请求已经执行完成，内核会唤醒sleep状态的用户进程来完成后面的工作，这里产生一次Context Switch；

5)用户态进程提交的请求得到结果返回用户态，产生一次Mode Switch。