本申请提供一种连接建立方法和装置,应用于服务端,包括:在检测到针对预设的SSL策略的数字证书引用指令时,对所述数字证书引用指令指定的数字证书进行解析,以获取所述数字证书中的域名信息;对所述数字证书中的域名信息和所述SSL策略进行对应保存;在接收到客户端发送的握手请求时,检测所述握手请求是否携带主机信息;如果所述握手请求携带主机信息,则判断是否保存有与所述主机信息匹配的域名信息;如果保存有与所述主机信息匹配的域名信息,则基于与所述主机信息匹配的域名信息对应的SSL策略,与所述客户端建立连接。本申请技术方案可以减少消耗的CPU资源,从而可以提高服务端的CPU性能。
【技术实现步骤摘要】
连接建立方法和装置
本申请涉及通信
,尤其涉及一种连接建立方法和装置。
技术介绍
SNI(ServerNameIndication)是TLS(TransportLayerSecurity,安全传输层协议)的扩展协议的一部分,允许客户端向服务端提供其所请求的域名。SNI在SSL(SecureSocketsLayer,安全套接层)3.0版本/TLS1.0版本中被启用。相关技术中,客户端向服务端发送的TLS握手请求(即ClientHello报文)携带其所请求的域名信息。服务端在接收到该握手请求后,首先获取该握手请求中的域名信息,后续再逐个对本地保存的数字证书进行解析,以将各个数字证书中的域名信息与该握手请求中的域名信息进行比较,从而选择域名信息与该握手请求中的域名信息相同的数字证书,作为本次TLS通信的服务端证书。然而,当服务端保存的数字证书数量较多,或者客户端的访问请求量较大时,服务端在每次TLS握手时都需要利用标准的数字证书结构规范,对大量的数字证书进行解析,从而会消耗大量的CPU资源,对服务端的CPU性能造成极大影响。
技术实现思路
有鉴于此,本申请提供一种连接建立方法和装置,以解决相关技术中服务端的CPU性能受到影响的问题。具体地,本申请是通过如下技术方案实现的:第一方面,本申请提供一种连接建立方法,所述方法应用于服务端,所述方法包括:在检测到针对预设的SSL策略的数字证书引用指令时,对所述数字证书引用指令指定的数字证书进行解析,以获取所述数字证书中的域名信息;对所述数字证书中的域名信息和所述SSL策略进行对应保存;在接收到客户端发送的握手请求时,检测所述握手请求是否携带主机信息;如果所述握手请求携带主机信息,则判断是否保存有与所述主机信息匹配的域名信息;如果保存有与所述主机信息匹配的域名信息,则基于与所述主机信息匹配的域名信息对应的SSL策略,与所述客户端建立连接。第二方面,本申请提供一种连接建立装置,所述装置应用于服务端,所述装置包括:解析单元,用于在检测到针对预设的SSL策略的数字证书引用指令时,对所述数字证书引用指令指定的数字证书进行解析,以获取所述数字证书中的域名信息;保存单元,用于对所述数字证书中的域名信息和所述SSL策略进行对应保存;检测单元,用于在接收到客户端发送的握手请求时,检测所述握手请求是否携带主机信息;判断单元,用于当所述握手请求携带主机信息时,判断是否保存有与所述主机信息匹配的域名信息;第一建立单元,用于当保存有与所述主机信息匹配的域名信息时,基于与所述主机信息匹配的域名信息对应的SSL策略,与所述客户端建立连接。分析上述技术方案可知,服务端可以预先对保存的数字证书进行解析,以获取该数字证书中的域名信息,并对该域名信息和引用该数字证书的SSL策略进行对应保存。后续服务端在接收到客户端发送的握手请求时,可以直接将该握手请求携带的主机信息与保存的域名信息进行匹配,并在保存有匹配的域名信息时,基于该域名信息对应的SSL策略与该客户端建立连接。与相关技术相比,本申请技术方案中服务端无需在每次接收到客户端发送的握手请求时,都利用标准的数字证书结构规范,对大量的数字证书进行解析,而仅需将该握手请求携带的主机信息与预先从数字证书中获取域名信息进行匹配,以确定本次通信所使用的SSL策略,这样可以减少消耗的CPU资源,从而可以提高服务端的CPU性能。附图说明图1是本申请一示例性实施例示出的一种连接建立方法的流程图;图2是本申请一示例性实施例示出的另一种连接建立方法的流程图;图3是本申请一示例性实施例示出的一种连接建立装置所在设备的硬件结构图;图4是本申请一示例性实施例示出的一种连接建立装置的框图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。为了解决相关技术中服务端的CPU性能受到影响的问题,本申请提供一种连接建立方法和装置,以提高服务端的CPU性能,从而提高服务端的业务处理能力。请参考图1,为本申请一示例性实施例示出的一种连接建立方法的流程图。该方法可以应用于服务端,包括如下步骤:步骤101:在检测到针对预设的SSL策略的数字证书引用指令时,对所述数字证书引用指令指定的数字证书进行解析,以获取所述数字证书中的域名信息。步骤102:对所述数字证书中的域名信息和所述SSL策略进行对应保存。在本实施例中,服务端可以向用户提供用户界面,用户可以预先通过该用户界面配置一条或多条SSL策略,并由服务端引用这一条或多条SSL策略,即由服务端保存用户配置的SSL策略。此外,用户还可以为每条SSL策略配置一个数字证书,并由服务端针对该SSL策略引用该数字证书。具体地,服务端可以将该数字证书整合至该SSL策略中进行保存,也可以保存该SSL策略与该数字证书的对应关系。当然,在实际应用中,通常必为每条SSL策略配置一个数字证书,以保证每条SSL策略的正常使用。服务端在检测到来自用户的针对某一SSL策略的数字证书引用指令时,可以首先对该数字证书引用指令所指定的数字证书(即用户为该SSL策略引用的数字证书)进行解析,从而可以获取该数字证书中的域名信息。后续,服务端在获取到上述数字证书中的域名信息后,可以对该域名信息和上述SSL策略进行对应保存。具体地,服务端可以将该域名信息直接整合至该SSL策略中,并对整合后的、包含该域名信息的SSL策略进行保存,从而可以实现对该数字证书中的域名信息和该SSL策略的对应保存。或者,服务端在对该域名信息和该SSL策略进行保存的同时,还可以直接保存该域名信息与该SSL策略的对应关系,从而可以实现对该数字证书中的域名信息和该SSL策略的对应保存。步骤103:在接收到客户端发送的握手请求时,检测所述握手请求是否携带主机信息。步骤104:如果所述握手请求携带主机信息,则判断是否保存有与所述主机信息匹配的域名信息。步骤105:如果保存有与所述主机信息匹配的域名信息,则基于与所述主机信息匹配的域名信息对应的SSL策略,与所述客户端建立连接。在本实施例中,服务端在接收到客户端发送的握手请求(即ClientHello报文)时,可以首先检测该握手请求是否携带主机(host)信息。如果该握手请求携带主机信息,则服务端可以进一步本文档来自技高网...
【技术保护点】
一种连接建立方法,其特征在于,所述方法应用于服务端,所述方法包括:在检测到针对预设的SSL策略的数字证书引用指令时,对所述数字证书引用指令指定的数字证书进行解析,以获取所述数字证书中的域名信息;对所述数字证书中的域名信息和所述SSL策略进行对应保存;在接收到客户端发送的握手请求时,检测所述握手请求是否携带主机信息;如果所述握手请求携带主机信息,则判断是否保存有与所述主机信息匹配的域名信息;如果保存有与所述主机信息匹配的域名信息,则基于与所述主机信息匹配的域名信息对应的SSL策略,与所述客户端建立连接。
【技术特征摘要】
1.一种连接建立方法,其特征在于,所述方法应用于服务端,所述方法包括:在检测到针对预设的SSL策略的数字证书引用指令时,对所述数字证书引用指令指定的数字证书进行解析,以获取所述数字证书中的域名信息;对所述数字证书中的域名信息和所述SSL策略进行对应保存;在接收到客户端发送的握手请求时,检测所述握手请求是否携带主机信息;如果所述握手请求携带主机信息,则判断是否保存有与所述主机信息匹配的域名信息;如果保存有与所述主机信息匹配的域名信息,则基于与所述主机信息匹配的域名信息对应的SSL策略,与所述客户端建立连接。2.根据权利要求1所述的方法,其特征在于,所述对所述数字证书中的域名信息和所述SSL策略进行对应保存,包括:将所述数字证书中的域名信息整合至所述SSL策略中进行保存;或者保存所述数字证书中的域名信息与所述SSL策略的对应关系。3.根据权利要求1所述的方法,其特征在于,所述主机信息为域名信息;所述判断是否保存有与所述主机信息匹配的域名信息,包括:判断是否保存有与所述主机信息相同的域名信息;如果保存有与所述主机信息相同的域名信息,则确定保存有与所述主机信息匹配的域名信息。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:如果所述握手请求未携带主机信息,则基于保存的默认SSL策略,与所述客户端建立连接。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:如果未保存有与所述主机信息匹配的域名信息,则基于保存的默认SSL策略,与所述客户端建立连接。6.一种连接建立装置,其特征在于,所述装置应...
【专利技术属性】
技术研发人员:李华伟,孙艳杰,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。