[发明专利]一种基于网闸实现数据传输的方法

权利要求书

1.一种基于网闸实现数据传输的方法，其特征在于包括：

步骤1：一端主机模块和另一端主机模块建立HASH桶数组，一端主机模块建立IP报文的隔离规则，并通过隔离交换模块传输隔离规则给另一端主机模块；一端主机模块与另一端主机模块，根据IP报文对应的HASH ID值自动把隔离规则添加到HASH桶数组中对应单向链表序号的单向链表头中；

步骤2：当一个IP报文通过网闸时，IP报文通过一端主机模块进行HASH ID值计算；一端主机模块根据此HASH ID值查找隔离规则，若此IP报文找到隔离规则，则返回当前HASH ID值和单向链表序号值，执行步骤3；否则，丢弃该IP报文； 

步骤3：一端主机模块将该IP报文的HASH ID值、单向链表序号值和四层及以上IP报文数据通过隔离交换模块发送给另一端主机模块，执行步骤4；

步骤4：另一端主机模块接收到数据后，根据HASH ID值和单向链表序号值，在HASH桶数组项中查找对应的隔离规则，并得到IP报文协议号、源地址、目的地址信息，随后重新组建IP报文并发送出去。

2.根据权利要求1所述的一种基于网闸实现数据传输的方法，其特征在于所述HASH ID值H是根据源地址、目的地址以及HASH桶数组值掩码MASK，计算HASH ID值，具体计算公式是：H= ((0xffff  & sip)  ^(sip >> 16) + (0xffff & dip)  ^(dip >> 16)) % MASK，其中sip指的是数据包的源地址，dip指的是数据包的目的地址。

3.根据权利要求2所述的一种基于网闸实现数据传输的方法，其特征在于所述隔离规则包括协议号、源地址、目的地址以及对应安全策略。

4.根据权利要求1所述的一种基于网闸实现数据传输的方法，其特征在于所述步骤2中一端主机模块根据此HASH ID值在其HASH桶数组项中查找隔离规则具体步骤是：一端主机模块根据此HASH ID值在HASH桶数组项中查找隔离规则，若根据该数组的单向链表头没有指向任何隔离规则，则丢弃IP报文；若单向链表头指向一条隔离规则，则把IP报文的协议号、源地址、目的地址信息与隔离规则中的协议号、源地址、目的地址进行匹配，若匹配成功，则返回成功；若当前隔离规则匹配不成功，且无下一条规则，则返回失败；若当前隔离规则匹配不成功，但是存在下一隔离规则，则进行匹配，依次类推，最终如果找到隔离规则，则返回当前HASH ID值和单向链表序号值；如果没找到隔离规则，则返回失败。

5.根据权利要求1所述的一种基于网闸实现数据传输的方法，其特征在于所述HASH通数组建立过程包括：

步骤1：创建MASK+1的HASH桶数组，每个桶数组成员为单向链表头，指向为空；每个桶数组成员可存储隔离规则；

步骤2：当有X个终端需要通过网闸发送IP报文时，一般情况下：

通过网闸的IP报文会进行一次HASH ID计算，单向链表查表次数为N=1+X/MASK；

当X≤MASK时，通过网闸的X个IP报文中通过一次HASH ID值计算和查一次单向链表得到对应的隔离规则；

当X>MASK时，通过网闸的前MASK个IP报文通过一次HASH值计算和查一次单向链表，得到对应的隔离规则；（MASK+1）个到X-X%MASK个IP报文通过一次HASH值计算和(X/MASK）个单向链表号依次查单向链表，得到对应的隔离规则；（X-X%MASK）+1到X个IP报文通过HASH值计算和（（X/MASK）+1）个单向链表号依次查单向链表，得到对应的隔离规则。

6.根据权利要求1至5之一所述的一种基于网闸实现数据传输的方法，其特征在于所述当网闸需要添加一条隔离规则时，添加步骤具体为：

步骤51：一端主机模块根据输入的IP报文的协议号、源地址、目的地址信息作为散列算法的数据输入计算HASH ID值；

步骤52：一端主机模块与领一端主机模块对应创建隔离规则，并把IP报文的协议号、源地址及目的地址信息填充到隔离规则中，并让该HASH ID值对应的HASH桶数组中的单向链表头指向该隔离规则；

步骤53：一端主机模块把该HASH ID值、隔离规则通过隔离交换模块发送给另一端主机模块，另一端主机模块根据其HASH ID值自动把隔离规则添加到对应HASH桶数组中的单向链表头中。