[发明专利]一种对终端设备透明的TCP/IP网络传输报文重组方法

说明书

本发明涉及一种对终端设备透明的TCP/IP网络传输报文重组方法，其中，包括：从明文侧网口收到连接A的明文数据包；根据TCP/IP头部的五元组信息，找到连接A的明文侧接收队列，将明文数据包按照TCP序列号顺序插入到连接A的明文侧接收队列中；当连接A的明文侧接收队列的连续报文总长度超过16K字节时，从明文侧接收队列中取出一组连续的多个数据报文的载荷信息组成16K明文载荷块，放入到加解密队列中；对16K明文载荷块进行SSL加密处理，加密后数据变长；将加密后的密文重新分包，对加密后变长的部分参照本组报文的原始头进行组包，并对分包后的每个报文增加重组头部信息；将重组后的报文插入到连接A的密文侧发送队列，经密文侧网口发出。

技术领域

本发明涉及计算机网络通信技术，特别涉及一种对终端设备透明的TCP/IP网络传输报文重组方法。

背景技术

在网络通信系统中，TCP/IP协议是最常用的通讯协议，SSL协议作为应用最广泛的传输层安全协议对TCP/IP协议传输通道的数据载荷提供安全认证和数据传输加密服务。

图1所示为现有SSL协议的应用示意图，如图1所示。现有情况下，如需使用SSL协议对TCP/IP网络传输数据进行安全保护时，需要对运行于终端设备的网络应用程序进行更改。SSL协议作为一个安全组件对网络应用程序开放身份认证和数据加解密API接口，供应用程序在使用SSL协议时调用。这种实现方式技术难度低，已经成为目前网络应用最为广泛的传输层加密技术。但同时也导致重复工作量较多，管理分散的缺点。种类繁多的各种网络应用程序，如需使用SSL协议进行安全防护，每种网络应用程序的开发人员都需独自完成于SSL协议对接的开发和调试工作，而这些工作基本上都是类似的。特别是当SSL协议安全组件发现新的安全漏洞需要升级时，如何保证各网络应用程序开发商同步开展升级，管理难度巨大。

发明内容

本发明的目的在于提供一种对终端设备透明的TCP/IP网络传输报文重组方法，用于解决上述现有技术的问题。

本发明一种对终端设备透明的TCP/IP网络传输报文重组方法，其中，包括：从明文侧网口收到连接A的明文数据包；根据TCP/IP头部的五元组信息，找到连接A的明文侧接收队列，将明文数据包按照TCP序列号顺序插入到连接A的明文侧接收队列中；当连接A的明文侧接收队列的连续报文总长度超过16K字节时，从明文侧接收队列中取出一组连续的多个数据报文的载荷信息组成16K明文载荷块，放入到加解密队列中；对16K明文载荷块进行SSL加密处理，加密后数据变长；将加密后的密文重新分包，对加密后变长的部分参照本组报文的原始头进行组包，并对分包后的每个报文增加重组头部信息，头部信息记录了报文重组顺序信息和长度变化信息；将重组后的报文插入到连接A的密文侧发送队列，经密文侧网口发出。

根据本发明的对终端设备透明的TCP/IP网络传输报文重组方法的一实施例，其中，数据解密时的流还原处理中，密文侧网口接收到的数据包按照连接的不同进入不同的处理队列，流重组顺序按照重组头部记录的顺序号，在对数据解密处理后，数据会变短，在分包时，由于报文长度与处理前一致。

根据本发明的对终端设备透明的TCP/IP网络传输报文重组方法的一实施例，其中，数据解密时的流还原处理包括：从密文侧网口收到连接A的密文数据包；根据TCP/IP头部的五元组信息，找到连接A的密文侧接收队列，将密文数据包按照重组头部顺序信息插入到连接A的密文侧接收队列中；根据重组头部信息，当一组密文收齐之后，从该组密文数据报文中提取载荷信息组成16KB密文块，放入加解密队列中；对16KB密文块进行SSL解密处理，解密后数据变短；将解密后的明文参照重组头部信息重新分包，删除重组头部信息，将报文还原为加密前的原始状态；将重组后的报文插入到连接A的明文侧发送队列，经明文侧网口发出。

根据本发明的对终端设备透明的TCP/IP网络传输报文重组方法的一实施例，其中，设定重组序号用于记录重组顺序号。