[发明专利]数据流报文发送控制方法及装置

说明书

技术领域

本发明涉及互联网技术领域，尤指一种用于在线数据流检查过滤的数据流报文发送控制方法及装置。

背景技术

在互联网中的在线数据流传输过程中，防火墙跟踪完整的数据交互过程，在一定的上下文环境中，审核数据交互过程中双方每个往来报文的合法性，根据规则允许或阻止报文通过。防火墙可以通过流记录来记录数据交互过程中的上下文环境。

传输控制协议(Transmission Control Protocol，TCP协议)是一种通过设置报文序列号来保证传送的数据流报文的数据包的有序性的、可靠的面向连接的数据流协议。TCP协议中，防火墙通过“窗口”(window)的概念来进行流量控制，实现数据流报文的过滤功能。“窗口”就是接收端所能提供的缓冲区大小。即当发送端发送数据的速度很快而接收端接收速度很慢的情况下，为了保证数据不丢失，需要进行流量控制，来协调好通信双方的工作节奏。

例如：TCP报文的一次数据交互过程一般是以SYN报文开始的，防火墙收到该报文后创建一个流记录，然后，接收端会返回SYNACK响应报文，符合该交互过程的报文是合法报文，否则为非法报文，从而决定报文的取舍。同时，TCP协议中利用接收窗口来告诉发送端能为它所发送的数据提供多大的缓冲区。利用窗口大小和接收到的报文序列号计算出接收端最大可接收的数据序列号，来控制数据流量。现有的TCP报文序列号检查算法包含如下规则：

1)每条报文的报文序列号(Sequence number)与该报文的数据长度(n)之和不允许超过接收端当前的接收缓冲上限，即：

Seq<=maxpktssentbyDst,seenbyFireWALL{Ack+max(win,1)}]]>

其中，接收端当前接收缓冲的上限为当前已经通过防火墙的所有接收端接收报文的确认序列号与接收窗口的长度之和的最大值。防火墙根据接收端接收到报文后的响应报文得到确认序列号，接收窗口的长度为设定值，并随着确认序列号的更新而移动。

例如：Max(win，1)表示：如果某条报文的window域值是0，则该报文窗口大小取值为1。

也就是说通过防火墙发往接收端的每条报文必须满足：报文序列号不大于当前已经通过防护墙的所有“接收报文的确认序列号与窗口大小之和”的最大值。

2)每条报文的序列号(Sequence number)与报文数据长度(n)之和的下限保证接收端已经收到的报文不应被重发，即：