數據流報文發送控制方法及裝置的製作方法

2023-10-06 11:05:04 1

專利名稱：數據流報文發送控制方法及裝置的製作方法
技術領域：
本發明涉及網際網路技術領域，尤指一種用於在線數據流檢查過濾的數據流報文發送控制方法及裝置。
背景技術：
在網際網路中的在線數據流傳輸過程中，防火牆跟蹤完整的數據交互過程，在一定 的上下文環境中，審核數據交互過程中雙方每個往來報文的合法性，根據規則允許或阻止 報文通過。防火牆可以通過流記錄來記錄數據交互過程中的上下文環境。傳輸控制協議(Transmission Control Protocol, TCP協議)是一種通過設置報 文序列號來保證傳送的數據流報文的數據包的有序性的、可靠的面向連接的數據流協議。 TCP協議中，防火牆通過「窗口」(window)的概念來進行流量控制，實現數據流報文的過濾 功能。「窗口」就是接收端所能提供的緩衝區大小。即當發送端發送數據的速度很快而接收 端接收速度很慢的情況下，為了保證數據不丟失，需要進行流量控制，來協調好通信雙方的 工作節奏。例如TCP報文的一次數據交互過程一般是以SYN報文開始的，防火牆收到該報文 後創建一個流記錄，然後，接收端會返回SYNACK響應報文，符合該交互過程的報文是合法 報文，否則為非法報文，從而決定報文的取捨。同時，TCP協議中利用接收窗口來告訴發送 端能為它所發送的數據提供多大的緩衝區。利用窗口大小和接收到的報文序列號計算出接 收端最大可接收的數據序列號，來控制數據流量。現有的TCP報文序列號檢查算法包含如 下規則1)每條報文的報文序列號(Sequence number)與該報文的數據長度(η)之和不允
許超過接收端當前的接收緩衝上限，即
maxSeq <= Pkts sent ^ Dst， {Ack + max(win,l)}
seen by FireWALL其中，接收端當前接收緩衝的上限為當前已經通過防火牆的所有接收端接收報文 的確認序列號與接收窗口的長度之和的最大值。防火牆根據接收端接收到報文後的響應報 文得到確認序列號，接收窗口的長度為設定值，並隨著確認序列號的更新而移動。例如Max(win，1)表示如果某條報文的window域值是0，則該報文窗口大小取 值為1。也就是說通過防火牆發往接收端的每條報文必須滿足報文序列號不大於當前已 經通過防護牆的所有「接收報文的確認序列號與窗口大小之和」的最大值。2)每條報文的序列號(Sequence number)與報文數據長度(η)之和的下限保證接
收端已經收到的報文不應被重發，即
maxmaxSeq +η >= Pkts ^ ^ {Seq + n}— pkts sent by Dst {max(win>1)}
nseen by FireWALseen by Firewall防火牆每接收到一條報文，計算報文序列號與報文的用戶數據長度之和，並記錄計算得到的所有和值中的最大值。同時，防火牆每接收到一條報文，記錄所聲明窗口的最大值。通過防火牆發往接收端的每條報文必須滿足報文序列號與數據長度之和 > 當前 已經通過防火牆的所有「發送端報文的序列號與數據長度之和」的最大值與當前已經通過 防火牆的所有接收端報文窗口最大值之差。3)確認序列號(Acknowledgement number)的上限只允許響應報文確認已經接收 到的數據，即
maxAck <= Pkts sent by Dst』 { Seq + η }
seen by FireWALL通過防火牆的每條報文必須滿足確認序列號不大於所有「當前已經通過防火牆 的接收端報文的序列號與數據長度之和」的最大值。4)確認序列號(Ack number)的下限最大限度避免延遲的響應報文被錯誤阻擋。 即
maxAck >= PktssentbyDst, {Seq + n} — MAXACKWINDOW
seen by FireWAL 1 M s其中，MAXACKWINDOW —般取值為66000。通常TCP協議報文的報頭的WINDOW域佔 16位，二進位中的16位能表示的最大值是65535。因此，MAXACKWINDOW取值為66000時幾 乎等同於對報文的下限不做設置。防火牆根據上述TCP序列號檢查算法對通過的報文進行合法性檢測，通過檢測通 訊雙方當前已通過防火牆的所有報文的確認序列號與接收窗口之和的最大值、報文序列號 與報文數據長度之和的最大值、當前已經通過防火牆的報文所聲明的窗口的最大值，確定 出當前接收到報文是否是符合轉發規則的合法報文。上述方式，當發送端不顧接收端聲明的接收窗口大小，而持續、高速、大量地發送 報文，對報文接收端進行攻擊時，能夠有效的起到防止攻擊的作用，避免過度消耗接收端的 帶寬。當然也會導致防火牆頻繁檢測報文是是否落在窗口內，從而消耗系統的計算資源。但上述方式，由於其第1)條規則過於嚴格，當接收端未來得及及時回復響應報文 時，發送端已經開始發送下一條報文時，由於報文確認序列號尚未得到及時更新，從而會導 致接收端發送的下一條報文在第1)條檢測規則時被檢測為不合法，從而防火牆會將該合 法的報文丟棄。具體舉例分析如下(1)防火牆收到接收端(B端)的響應報文P_B1，確認序列號為ACK_B1，則防火牆 計算其確認序列號與接收窗口長度之和(ACK_B1+WIN_B1)，並與之前計算的到的該接收端 的所有確認序列號與接收窗口長度之和比較得到一個最大值，並將流記錄中的確認序列號 與接收窗口長度之和的最大值更新為新得到ACK_B1+WIN_B1。(2)然後，防火牆接收到來自發送端(A端)的報文P_A1，其報文序列號為SEQ_A1。 假設ACK_B1 < SEQ_A1 ACK_B1+WIN_B1，即報文序列號大於了接收端的緩衝上限， 則報文P_A2的報文序列號不符合第1)條規則，防火牆將會丟棄該報文。如果防火牆在接收到響應報文P_B2之後，才接收到報文P_A2，則此時由於根據 新接收到的確認報文得到的緩衝上限SEQ_A1+N_A1+WIN_B2大於原來的緩衝上限ACK_ B1+WIN_B1，防火牆的緩衝上限已經更新為SEQ_A1+N_A1+WIN_B2，則接收到的報文P_A2，其 報文序列號SEQ_A1+N_A1小於更新後的緩衝上限SEQ_A1+N_A1+WIN_B2，則P_A2是合法的， 可以通過防火牆發往接收端。可見，報文P_A2被丟棄的原因是防火牆沒有及時收到接收端的響應報文，更新接 收緩衝上限，從而導致該合法的報文被丟棄。

發明內容
本發明提供一種數據流報文發送控制方法及裝置，用以解決現有技術中存在數據 流報文發送控制過程中控制策略過於嚴格導致合法報文被丟棄的問題。一種數據流報文發送控制方法，包括當判斷出接收到的數據報文的報文序列號大於接收端的接收緩衝上限時，判斷接 收端的接收緩衝上限的增長速率是否大於等於發送端報文序列號增長速率；若接收端的接收緩衝上限的增長速率大於等於發送端報文序列號增長速率，轉發 所述數據報文至接收端；否則丟棄所述數據報文。一種數據流報文發送控制裝置，包括第一判斷模塊，用於判斷出接收到的數據報文的報文序列號是否大於接收端的接 收緩衝上限；第二判斷模塊，用於當第一判斷模塊判斷出接收到的數據報文的報文序列號超過 接收端的接收緩衝上限時，判斷接收端的接收緩衝上限的增長速率是否大於等於發送端報 文序列號增長速率；執行模塊，用於若第二判斷模塊判斷出接收端的接收緩衝上限的增長速率大於等 於發送端報文序列號增長速率，轉發所述數據報文至接收端；否則丟棄所述數據報文。一種網絡設備，包括上述的數據流報文發送控制裝置。本發明有益效果如下本發明提供的數據流報文發送控制方法及裝置，通過當判斷出接收到的數據報文 的報文序列號大於接收端的接收緩衝上限時，判斷接收端的接收緩衝上限的增長速率是否 大於等於發送端報文序列號增長速率；若接收端的接收緩衝上限的增長速率大於等於發送 端報文序列號增長速率，轉發所述數據報文至接收端；否則丟棄所述數據報文。該方法當接 收到的數據報文的報文序列號超過接收端的接收緩衝上限時，不直接進行過濾，進一步判 斷接收緩衝上限的增長速率與發送端報文序列號增長速率的大小關係，再決定是否丟棄報 文，有效的避免了合法報文被丟棄和攔截的問題，減少合法報文被誤攔截的發生概率，提高了報文轉發效率，節約了系統資源。


圖1為本發明實施例一中數據流報文發送控制方法的流程圖；圖2為本發明實施例二中數據流報文發送控制方法示例的流程圖；圖3為本發明實施例中數據流報文發送控制裝置的結構示意圖。
具體實施例方式本申請實施例提供一種數據流報文發送控制方法，防火牆在對報文進行合法性檢測時，改變原有檢測標準過於嚴格的做法，在報文序列號超過接收端接收緩衝上限時，進一 步檢測報文序列號的增長速率和接收端的響應報文確認序列號的增長速率，從而避免防火 牆沒有及時接收到確認序列號沒有及時更新緩衝上限時，導致的合法報文被丟棄的問題。實施例一本申請實施例一提供的數據流報文發送控制方法，其流程如圖1所示，執行步驟 如下步驟SlOl 防火牆接收發送端發送的數據報文。防火牆每接收到發送端發送的一條數據報文，均會在該數據報文所屬的流記錄中 記錄其報文序列號和數據長度。步驟S102 判斷接收到的數據報文的序列號是否超過(即大於)接收端的緩衝上限。防火牆接收到發送端發送的數據報文後，首先根據該報文的序列號按照現有技術 中的第1)條規則判斷其序列號是否超過了接收端的緩衝上限。其中，接收端的接收緩衝上 限根據接收端的接收緩衝窗口的長度和已確認接收到的數據報文所對應的響應報文的確 認序列號確定，即接收緩衝窗口隨著接收到的數據報文所對應的響應報文的確認序列號的 更新，向前移動。因此，判斷的過程具體包括計算接收端接收到數據報文後返回的響應報文的確認序列號和接收端的接收緩 衝窗口的長度之和。確定得到的數據報文的響應報文的確認序列號和接收端的接收緩衝窗口的長度 之和的最大值，作為接收端的接收緩衝上限。比較接收到的數據報文的報文序列號與確定出的接收緩衝上限的大小。即比較接 收到的數據報文的報文序列號是否大於確定出的接收緩衝上限，大於時，確定接收到的數 據報文的序列號是否超過了接收端的緩衝上限。若是接收到的數據報文的報文序列號超過確定出的接收緩衝上限，執行步驟 S103，若否，執行步驟S106。步驟S103 確定接收端的接收緩衝上限的增長速率和發送端的報文序列號增長速率。防火牆根據發送端發送的數據報文的發送時間，計算數據報文的報文序列號增長 速率，具體包括接收到發送端發送的數據報文時，記錄數據報文的發送時間。
選取從最新接收到的數據報文發送時間開始，之前的設定時間長度範圍內的一個 發送報文。可以選擇和最新接收到的數據報文相鄰的上一個數據報文，也可以選擇和最新 接收到的數據報文間隔至少一個數據報文的數據報文。由於防火牆只會在流記錄中記錄一 段時間內的數據報文的信息，因此，設定的時間長度範圍一般不超過防火牆所記錄數據報 文的時間段的範圍。根據選取的發送報文的發送時間和報文序列號，以及最新接收到的數據報文的報 文序列號和發送時間，計算發送端發送數據報文的報文序列號的增長速率。防火牆根據接收端返回的響應報文的返回時間，計算響應報文的確認序列號增長 速率，得到接收端的接收緩衝上限增長速率，具體包括接收到接收端返回的響應報文時，記錄響應報文的返回時間。選取從最新接收到的響應報文返回時間開始，之前的設定時間長度範圍內的一個 響應報文。可以選擇和最新接收到的響應報文相鄰的上一個數據報文，也可以選擇和最新 接收到的響應報文間隔至少一個響應報文的響應報文。由於防火牆只會在流記錄中記錄一 段時間內的響應報文的信息，因此，設定的時間長度範圍一般不超過防火牆所記錄響應報 文的時間段的範圍。根據選取的響應報文的返回時間點和確認序列號，以及最新接收到的響應報文的 確認序列號和返回時間點，計算接收端的響應報文的確認序列號的增長速率，得到接收端 緩衝上限的增長速率。步驟S104 比較得到的接收緩衝上限的增長速率和報文序列號增長速率的大小。若接收端的接收緩衝上限增長速率大於等於發送端的報文序列號增長速率，則執 行步驟S106 ；否則，執行步驟S105。步驟S105 丟棄接收到的數據報文。步驟S106 將接收到的數據報文轉發給對應的接收端。當然，較佳的，在將數據報文發送給接收端之前，需要判斷報文是否符合現有的第 2)、3)、4)條規則。此為現有協議中已有的做法，此處不再贅述。較佳的，防火牆將接收到的數據報文發送給接收端，還包括步驟S107 接收接收端返回的響應報文，發送給發送端。將接收到的數據報文發送給接收端之後，防火牆還會將接收端返回的響應報文， 轉發給發送端。同時，防火牆還會根據接收到的響應報文的確認序列號和接收端的接收緩衝窗口 的長度實時更新接收端的接收緩衝上限。其中，響應報文的確認序列號等於數據報文的報 文序列號與數據報文的報文數據長度之和。也就是說，防火牆每接收到接收端返回的一條響應報文，均會記錄報文的確認序列號和接收緩衝窗口的長度值，並計算確認序列號與接收緩衝窗口的長度值之和，如果計 算得到的和值超過原來的接收緩衝上限，則更新接收端的接收緩衝上限為計算得到的和 值。從而實現確定得到的數據報文的響應報文的確認序列號和接收端的接收緩衝窗口的長 度之和的最大值，作為接收端的接收緩衝上限這一目的。實施例二本申請實施例二提供一種數據流報文發送控制的具體實現過程示例，其流程如圖2所示，執行步驟如下步驟S201 防火牆接收到接收端返回的響應報文P_B1。防火牆收到接收端(B端)的響應報文P_B1，防火牆將響應報文P_B1轉發給發送 端，同時記錄該響應報文的確認序列號和接收端的接收緩衝窗口的長度。例如該響應報文 的確認序列號為ACK_B1，則防火牆計算其確認序列號與接收窗口長度之和(ACK_B1+WIN_ Bi)。然後，防火牆將計算得到的和與之前計算的到的該接收端的所有確認序列號與接 收窗口長度之和比較得到一個最大值，並將流記錄中的確認序列號與接收窗口長度之和的 最大值更新為新得到ACK_B1+WIN_B1。步驟S202 防火牆接收發送端發送的數據報文P_A1。然後，防火牆接收到來自發送端(A端)的報文P_A1，並記錄其報文序列號為SEQ_ Al。步驟S203 判斷出接收到的數據報文P_A1的序列號未超過接收端的緩衝上限。假設ACK_B1 < SEQ_A1 ACK_B1+WIN_B1，則報文P_A2的報文序列號不 符合第1)條規則，即接收到的數據報文P_A2的序列號超過了接收端的緩衝上限。步驟S207 確定接收端的接收緩衝上限的增長速率(RECV_MAX_RATE)和發送端的 報文序列號增長速率(SEND_MAX_RATE)。例如防火牆根據記錄的數據報文的發送時間，計算數據報文P_A1和P_A2的報文序列號之差和發送時間之差，並用報文序列號之差除以發送時間之差，得到發送端的報文 序列號增長速率VI。當然也可以選擇數據報文P_A2和此前一段時間範圍內的一個數據報文進行計
笪弁。同時，防火牆根據記錄的響應報文的返回時間，計算響應報文P_B1和此前一段時 間範圍內的一個響應報文的確認序列號之差和返回時間之差，並用確認序列號之差除以返 回時間之差，得到接收端的響應報文確認序列號的增長速率，作為接收端的接收緩衝上限的增長速率V2。防火牆也可以在每次接收到數據報文時計算發送端的報文序列號增長速率，在每次接收到響應報文時計算接收端的接收緩衝上限的增長速率，並保存在流記錄中記錄，當 需要時直接調用即可。步驟S208 比較得到的接收緩衝上限的增長速率和報文序列號增長速率的大小。若接收端的接收緩衝上限增長速率大於等於發送端的報文序列號增長速率，則執 行步驟S210 ；否則，執行步驟S209。例如上述計算的到的V2大於等於VI，則執行步驟S210 ；否則，執行步驟S209。步驟S209 丟棄接收到的數據報文。步驟S210 將接收到的數據報文轉發給對應的接收端。上述計算的到的V2大於等於Vl時，數據報文P_A2不會被認為是非法報文而丟 棄，而是會發送給接收端。原有的TCP協議的報文序列號檢查算法以「報文序列號不超過接收端接收緩衝上 限」為唯一標準，對報文進行過濾，本申請則放寬過濾標準，在報文序列號超過接收端接收 緩衝上限，且接收端接收緩衝上限增長速率小於發送端報文序列號增長速率時，才進行攔 截和丟棄，使得當接收端來不及告知防火牆其接收緩衝上限已經增長，防火牆可以根據所 記錄的接收端接收緩衝上限增長速率，判斷出其接收緩衝上限「極有可能」已經增長，於是 轉發當前的發送端報文。當接收端出於某種原因，接收窗口不再移動，與現有算法相比，本改進方案會導致 誤放行幾條接收端不願接收的數據報文，直到接收端接收緩衝上限增長速率小於發送端報 文序列號增長速率時為止。接收端可以並丟棄這幾條報文，其操作開銷不大，對系統性能不 會有影響。而且一般只有接收端作業系統出現致命故障，比如磁碟空間滿等，才會導致接收 端在接收過程中接收窗口停止移動，屬於小概率事件。因此，本申請以可能存在的極微小的 代價獲得了更高的報文轉發速率，減少了合法報文被攔截的可能性。根據本申請實施例提供的上述數據流報文發送控制方法，可以構建一種數據流報 文發送控制裝置，如圖3所示，包括第一判斷模塊10、第二判斷模塊20和執行模塊30。第一判斷模塊10，用於判斷出接收到的數據報文的報文序列號是否大於接收端的 接收緩衝上限。較佳的，第一判斷模塊10，具體包括第一計算單元101、第一確定單元102和第一 比較單元103。第一計算單元101，用於計算接收端接收到數據報文後返回的響應報文的確認序 列號和接收端的接收緩衝窗口的長度之和。第一確定單元102，用於確定得到的數據報文的響應報文的確認序列號和接收端 的接收緩衝窗口的長度之和的最大值，作為接收端的接收緩衝上限。第一比較單元103，用於比較接收到的數據報文的報文序列號是否大於確定出的 接收緩衝上限。第二判斷模塊20，用於當第一判斷模塊10判斷出接收到的數據報文的報文序列 號超過接收端的接收緩衝上限時，判斷接收端的接收緩衝上限的增長速率是否大於等於發 送端報文序列號增長速率。
較佳的，第二判斷模塊20，具體包括第二計算單元201、第二確定單元202和第二 比較單元203。第二計算單元201，用於根據接收端返回的響應報文的返回時間，計算響應報文的確認序列號增長速率，得到接收端的接收緩衝上限增長速率。較佳的，第二計算單元201，具體包括第一記錄子單元2011、第一選取子單元 2012和第一計算子單元2013。第一記錄子單元2011，用於接收到接收端返回的響應報文時，記錄響應報文的返 回時間。第一選取子單元2012，用於選取從最新接收到的響應報文返回時間開始，之前的 設定時間長度範圍內的一個響應報文。第一計算子單元2013，用於根據選取的響應報文的返回時間點和確認序列號，以 及最新接收到的響應報文的確認序列號和返回時間點，計算接收端的響應報文的確認序列 號的增長速率，得到接收端緩衝上限的增長速率。第二確定單元202，用於根據發送端發送的數據報文的發送時間，計算數據報文的 報文序列號增長速率。較佳的，第二確定單元202，具體包括第二記錄子單元2021、第二選取子單元 2022和第二計算子單元2023。第二記錄子單元2021，用於接收到發送端發送的數據報文時，記錄數據報文的發 送時間。第二選取子單元2022，用於選取從最新接收到的數據報文發送時間開始，之前的 設定時間長度範圍內的一個發送報文。第二計算子單元2023，用於根據選取的發送報文的發送時間和報文序列號，以及 最新接收到的數據報文的報文序列號和發送時間，計算發送端發送數據報文的報文序列號 的增長速率。第二比較單元203，用於比較計算的到的接收端接收緩衝上限增長速率大於等於 報文序列號增長速率。執行模塊30，用於若第二判斷模塊20判斷出接收端的接收緩衝上限的增長速率 大於等於發送端報文序列號增長速率，轉發接收到的數據報文至接收端；否則丟棄所述數 據報文。同時，執行模塊30也會在第一判斷模塊10判斷出接收到的數據報文的報文序列 號小於等於接收端的接收緩衝上限時，轉發接收到的數據報文至接收端。上述數據流報文發送控制裝置，還包括更新模塊40，用於根據接收到的響應報 文的確認序列號和接收端的接收緩衝窗口的長度，實時更新接收端的接收緩衝上限。該數據流報文發送控制裝置，可以設置在網絡防火牆或其他網絡設備中，實現對 經過網絡防火牆或其他網絡設備的數據流報文的合法性檢測。適用於網絡防火牆、網絡防 毒、網絡入侵檢測/防禦、以及敏感字眼攔截、網址過濾等在線數據流內容過濾過程。本申請實施例提供的上述數據流報文發送控制方法及裝置，在檢測到發送短髮送 的報文序列號大於接收端的接收緩衝上限時，進一步判斷接收端的接收緩衝上限的增長速 率是否大於等於接收端發送數據報文的報文序列號增長速率，若是的話，說明接收端有足夠的處理能力處理髮送端的發送的數據報文，只是個別的報文響應回復不及時，因此，將不會丟棄接收端的數據報文，而是將其發送給接收端。從而避免了現有報文檢測過濾標準過 於單一和嚴格，導致TCP協議通訊過程中合法報文被誤認為非法的問題；該方式有效的減 少合法報文被誤攔截的發生概率，實現了支持更高的TCP協議報文轉發速率。
顯然，本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精 神和範圍。這樣，倘若本發明的這些修改和變型屬於本發明權利要求及其等同技術的範圍 之內，則本發明也意圖包含這些改動和變型在內。
權利要求
一種數據流報文發送控制方法，其特徵在於，包括當判斷出接收到的數據報文的報文序列號大於接收端的接收緩衝上限時，判斷接收端的接收緩衝上限的增長速率是否大於等於發送端報文序列號增長速率；若接收端的接收緩衝上限的增長速率大於等於發送端報文序列號增長速率，轉發所述數據報文至接收端；否則丟棄所述數據報文。
2.如權利要求1所述的方法，其特徵在於，判斷接收到的數據報文的報文序列號是否 大於接收端的接收緩衝上限的步驟，具體包括計算接收端接收到數據報文後返回的響應報文的確認序列號和接收端的接收緩衝窗 口的長度之和；確定得到的數據報文的響應報文的確認序列號和接收端的接收緩衝窗口的長度之和 的最大值，作為接收端的接收緩衝上限；比較接收到的數據報文的報文序列號是否大於確定出的接收緩衝上限。
3.如權利要求1所述的方法，其特徵在於，所述判斷接收端的接收緩衝上限的增長速 率是否大於等於發送端報文序列號增長速率，具體包括根據接收端返回的響應報文的返回時間，計算響應報文的確認序列號增長速率，得到 接收端的接收緩衝上限增長速率；根據發送端發送的數據報文的發送時間，計算數據報文的報文序列號增長速率；比較計算的到的接收端接收緩衝上限增長速率是否大於等於報文序列號增長速率。
4.如權利要求3所述的方法，其特徵在於，計算響應報文的確認序列號增長速率，得到 接收緩衝上限的增長速率的步驟，具體包括接收到接收端返回的響應報文時，記錄響應報文的返回時間；選取從最新接收到的響應報文返回時間開始，之前的設定時間長度範圍內的一個響應 報文；根據選取的響應報文的返回時間點和確認序列號，以及最新接收到的響應報文的確認 序列號和返回時間點，計算接收端的響應報文的確認序列號的增長速率，得到接收端緩衝 上限的增長速率。
5.如權利要求3所述的方法，其特徵在於，根據發送端發送的數據報文的發送時間，計 算數據報文的報文序列號增長速率，具體包括接收到發送端發送的數據報文時，記錄數據報文的發送時間；選取從最新接收到的數據報文發送時間開始，之前的設定時間長度範圍內的一個發送 報文；根據選取的發送報文的發送時間和報文序列號，以及最新接收到的數據報文的報文序 列號和發送時間，計算發送端發送數據報文的報文序列號的增長速率。
6.如權利要求1-5任一所述的方法，其特徵在於，轉發所述數據報文至接收端之後，還 包括接收接收端返回的所述數據報文的響應報文；根據接收到的響應報文的確認序列號和接收端的接收緩衝窗口的長度，實時更新所述 接收端的接收緩衝上限。
7.一種數據流報文發送控制裝置，其特徵在於，包括第一判斷模塊，用於判斷出接收到的數據報文的報文序列號是否大於接收端的接收緩 衝上限；第二判斷模塊，用於當第一判斷模塊判斷出接收到的數據報文的報文序列號超過接收 端的接收緩衝上限時，判斷接收端的接收緩衝上限的增長速率是否大於等於發送端報文序 列號增長速率；執行模塊，用於若第二判斷模塊判斷出接收端的接收緩衝上限的增長速率大於等於發 送端報文序列號增長速率，轉發所述數據報文至接收端；否則丟棄所述數據報文。
8.如權利要求7所述的裝置，其特徵在於，所述第一判斷模塊，具體包括第一計算單元，用於計算接收端接收到數據報文後返回的響應報文的確認序列號和接 收端的接收緩衝窗口的長度之和；第一確定單元，用於確定得到的數據報文的響應報文的確認序列號和接收端的接收緩 衝窗口的長度之和的最大值，作為接收端的接收緩衝上限；第一比較單元，用於比較接收到的數據報文的報文序列號是否大於確定出的接收緩衝 上限。
9.如權利要求7所述的裝置，其特徵在於，所述第二判斷模塊，具體包括第二計算單元，用於根據接收端返回的響應報文的返回時間，計算響應報文的確認序 列號增長速率，得到接收端的接收緩衝上限增長速率；第二確定單元，用於根據發送端發送的數據報文的發送時間，計算數據報文的報文序 列號增長速率；第二比較單元，用於比較計算的到的接收端接收緩衝上限增長速率是否大於等於報文 序列號增長速率。
10.如權利要求9所述的裝置，其特徵在於，所述第二計算單元，具體包括 第一記錄子單元，用於接收到接收端返回的響應報文時，記錄響應報文的返回時間； 第一選取子單元，用於選取從最新接收到的響應報文返回時間開始，之前的設定時間長度範圍內的一個響應報文；第一計算子單元，用於根據選取的響應報文的返回時間點和確認序列號，以及最新接 收到的響應報文的確認序列號和返回時間點，計算接收端的響應報文的確認序列號的增長 速率，得到接收端緩衝上限的增長速率。
11.如權利要求9所述的裝置，其特徵在於，所述第二確定單元，具體包括 第二記錄子單元，用於接收到發送端發送的數據報文時，記錄數據報文的發送時間； 第二選取子單元，用於選取從最新接收到的數據報文發送時間開始，之前的設定時間長度範圍內的一個發送報文；第二計算子單元，用於根據選取的發送報文的發送時間和報文序列號，以及最新接收 到的數據報文的報文序列號和發送時間，計算發送端發送數據報文的報文序列號的增長速 率。
12.如權利要求7-11任一所述的裝置，其特徵在於，還包括更新模塊，用於根據接收到的響應報文的確認序列號和接收端的接收緩衝窗口的長 度，實時更新所述接收端的接收緩衝上限。
13.—種網絡設備，其特徵在於，包括如權利要求8-11任一所述的數據流報文發送控制裝置 。
全文摘要
本發明公開了一種數據流報文發送控制方法及裝置，該方法包括當判斷出接收到的數據報文的報文序列號大於接收端的接收緩衝上限時，判斷接收端的接收緩衝上限的增長速率是否大於等於發送端報文序列號增長速率；若接收端的接收緩衝上限的增長速率大於等於發送端報文序列號增長速率，轉發所述數據報文至接收端；否則丟棄所述數據報文。該方法有效的避免了合法報文被丟棄和攔截的問題，提高了報文轉發效率，節約了系統資源。
文檔編號H04L12/56GK101841468SQ201010126859
公開日2010年9月22日 申請日期2010年3月16日 優先權日2010年3月16日
發明者黃凱明 申請人:北京星網銳捷網絡技術有限公司