[发明专利]连接建立方法和装置

说明书

本申请提供一种连接建立方法和装置，应用于服务端，包括：在检测到针对预设的SSL策略的数字证书引用指令时，对所述数字证书引用指令指定的数字证书进行解析，以获取所述数字证书中的域名信息；对所述数字证书中的域名信息和所述SSL策略进行对应保存；在接收到客户端发送的握手请求时，检测所述握手请求是否携带主机信息；如果所述握手请求携带主机信息，则判断是否保存有与所述主机信息匹配的域名信息；如果保存有与所述主机信息匹配的域名信息，则基于与所述主机信息匹配的域名信息对应的SSL策略，与所述客户端建立连接。本申请技术方案可以减少消耗的CPU资源，从而可以提高服务端的CPU性能。

技术领域

本申请涉及通信技术领域，尤其涉及一种连接建立方法和装置。

背景技术

SNI(Server Name Indication)是TLS(Transport Layer Security，安全传输层协议)的扩展协议的一部分，允许客户端向服务端提供其所请求的域名。SNI在SSL(SecureSockets Layer，安全套接层)3.0版本/TLS1.0版本中被启用。

相关技术中，客户端向服务端发送的TLS握手请求(即Client Hello报文)携带其所请求的域名信息。服务端在接收到该握手请求后，首先获取该握手请求中的域名信息，后续再逐个对本地保存的数字证书进行解析，以将各个数字证书中的域名信息与该握手请求中的域名信息进行比较，从而选择域名信息与该握手请求中的域名信息相同的数字证书，作为本次TLS通信的服务端证书。

然而，当服务端保存的数字证书数量较多，或者客户端的访问请求量较大时，服务端在每次TLS握手时都需要利用标准的数字证书结构规范，对大量的数字证书进行解析，从而会消耗大量的CPU资源，对服务端的CPU性能造成极大影响。

发明内容

有鉴于此，本申请提供一种连接建立方法和装置，以解决相关技术中服务端的CPU性能受到影响的问题。

具体地，本申请是通过如下技术方案实现的：

第一方面，本申请提供一种连接建立方法，所述方法应用于服务端，所述方法包括：

在检测到针对预设的SSL策略的数字证书引用指令时，对所述数字证书引用指令指定的数字证书进行解析，以获取所述数字证书中的域名信息；

对所述数字证书中的域名信息和所述SSL策略进行对应保存；

在接收到客户端发送的握手请求时，检测所述握手请求是否携带主机信息；

如果所述握手请求携带主机信息，则判断是否保存有与所述主机信息匹配的域名信息；

如果保存有与所述主机信息匹配的域名信息，则基于与所述主机信息匹配的域名信息对应的SSL策略，与所述客户端建立连接。

第二方面，本申请提供一种连接建立装置，所述装置应用于服务端，所述装置包括：

解析单元，用于在检测到针对预设的SSL策略的数字证书引用指令时，对所述数字证书引用指令指定的数字证书进行解析，以获取所述数字证书中的域名信息；

保存单元，用于对所述数字证书中的域名信息和所述SSL策略进行对应保存；

检测单元，用于在接收到客户端发送的握手请求时，检测所述握手请求是否携带主机信息；

判断单元，用于当所述握手请求携带主机信息时，判断是否保存有与所述主机信息匹配的域名信息；

第一建立单元，用于当保存有与所述主机信息匹配的域名信息时，基于与所述主机信息匹配的域名信息对应的SSL策略，与所述客户端建立连接。