(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211045592.X (22)申请日 2022.08.30 (65)同一申请的已公布的文献号 申请公布号 CN 115134171 A (43)申请公布日 2022.09.30 (73)专利权人 湖南麒麟信安科技股份有限公司 地址 410000 湖南省长 沙市高新 开发区麒 云路20号麒 麟科技园1栋4楼 (72)发明人 申锟铠　苏军　袁柱　刘文清　 杨涛　 (74)专利代理 机构 长沙知行亦创知识产权代理 事务所(普通 合伙) 43240 专利代理师 李杰 (51)Int.Cl. H04L 9/40(2022.01) (56)对比文件 CN 111400744 A,2020.07.10 CN 112202691 A,2021.01.08 CN 113660295 A,2021.1 1.16WO 201619 2402 A1,2016.12.08 WO 2022166359 A1,202 2.08.11 CN 110417602 A,2019.1 1.05 CN 113115132 A,2021.07.13 CN 102724170 A,2012.10.10 CN 110730143 A,2020.01.24 CN 114070801 A,202 2.02.18 CN 103532653 A,2014.01.2 2 CN 114189905 A,2022.03.15 CN 110351208 A,2019.10.18 US 11252109 B1,202 2.02.15 US 7403542 B1,20 08.07.22 JP 2010011122 A,2010.01.14 谢昊飞等.6L oWPAN适配层协议的分片与重 组测试方法设计. 《单片机与嵌入式系统应用》 .2013,(第02期), 陈志坚等.基 于Libpcap和L ibnids的网络入 侵检测系统(N IDS)设计与实现. 《福建电脑》 .2005,(第05期), 审查员 夏文丽 (54)发明名称 隔离网络环境下加密存储报文的方法、 装 置、 系统及 介质 (57)摘要 本申请涉及一种隔离网络环境下加密存储 报文的方法、 装置、 系统及介质， 其中， 方法包括 获取请求报文， 并将请求报文根据报文偏移量进 行数据对齐处理； 将数据对齐处理后的请求报文 按照物理隔离加密设备块大小进行分片报文， 并 行向设置在物理隔离加密设备输入侧的第一报 文聚合转发服务单元发送分片报文； 通过第一报 文聚合转发服务单元接收分片处理后的分片报 文， 并解析分片报文头， 将请求报文转发至物理 隔离加密设备； 根据设置在物理隔离加密设备输 出侧的第二报文聚合转发服务单元从隔离加密 设备中读取加密的分片报文， 通过解析分片请求 报文头以及报文偏移量判断请求报文是否重组完成； 将重组完成的请求报文通过unix域套接字 转发存储。 权利要求书2页 说明书8页 附图2页 CN 115134171 B 2022.11.29 CN 115134171 B 1.一种隔离网络环境下加密存 储报文的方法， 其特 征在于， 包括 步骤： 获取请求报文， 并将所述请求报文根据报文偏移量进行 数据对齐处 理； 将数据对齐处理后的所述请求报文将按照物理隔离加密 设备块大小进行分片报文， 并 行向第一报文聚合转发服务单元发送分片报文， 其中， 所述第一报文聚合转发服务单元设 置在物理隔离加密设备的输入侧； 通过所述第一报文聚合转发服务单元接收分片处理后的分片报文， 并解析分片报文 头， 将所述请求报文转发至所述物理隔离加密设备； 根据第二报文聚合转发服务单元从所述隔离加密 设备中读取加密的分片报文， 通过解 析分片请求报文头以及所述报文偏移量判断所述请求报文是否重组完成， 其中， 所述第二 报文聚合 转发服务单元设置在所述物理隔离加密设备的输出侧； 将重组完成的所述请求报文通过un ix域套接 字转发存 储； 所述获取请求报文， 并将所述请求报文根据偏移量进行 数据对齐处 理包括： 获取请求报文以及所述请求报文中请求数据的偏移量； 若所述偏移量不为所述加密 设备块大小的整数倍， 提取前一个对齐位置到所述请求报 文头部的位置之间的数据作为头 部对齐填充数据； 将所述头部对齐填充数据填充至请求数据的头部， 并将填充后的所述请求数据的头部 位置作为 新的偏移量； 所述获取请求报文以及所述请求报文中请求数据的偏移量之后， 还 包括： 若所述偏移量为所述加密设备块大小的整数倍， 且请求报文尾部为块对齐， 则请求报 文数据对齐完成。 2.根据权利要求1所述的隔离网络环境下加密存储报文的方法， 其特征在于， 所述获取 请求报文以及所述请求报文中请求数据的偏移量之后， 还 包括： 若所述偏移量加上所述请求报文数据 大小之和不为所述加密设备块大小的整数倍， 则 所述请求报文尾部不 为块对齐； 提取所述请求报文尾部的位置,到下一个对齐位置之间的数据作为尾部对齐填充数 据； 将所述尾部对齐填充数据填充到请求数据的尾部 。 3.根据权利要求1所述的隔离网络环境下加密存储报文的方法， 其特征在于， 所述根据 第二报文聚合转 发服务单元从所述隔离加密设备中读取加密的分片报文， 通过解析分片请 求报文头以及所述报文偏移量判断所述请求报文是否 重组完成包括： 解析所述分片请求报文头， 采用请求 ID做索引将 请求报文存 入预设的哈希 表内； 将请求ID对应的分片报文数据基于分片数据偏移量写入分片处理前的请求报文数据 的对应部分， 并记录已收到的请求报文数据的大小； 将已经收到的请求报文数据大小和报文头中总数据大小比较； 若收到的请求报文数据大小等于报文头中数据总大小， 则判定 重组完成。 4.根据权利要求1所述的隔离网络环境下加密存储报文的方法， 其特征在于， 所述将数 据对齐处理后的所述请求报文将按照物理隔离加密设备块大小进 行分片报文， 并行向第一 报文聚合 转发服务单元发送分片报文还 包括： 通过unix域套接字， 使用线程池将分片报文包 并行发送往所述第 一报文聚合转发服务权　利　要　求　书 1/2 页 2 CN 115134171 B 2单元， 并将请求报文放入预设的哈希 表内， 异步 等待请求报文响应结果。 5.根据权利要求1所述的隔离网络环境下加密存储报文的方法， 其特征在于， 所述通过 所述第一报文聚合转发服务单元接 收分片处理后的分片报文， 并解析分片报文头， 将所述 请求报文转发至所述物理隔离加密设备还 包括： 将解析出的所述请求报文头信息放入预设的哈希 表内， 异步 等待请求报文响应结果。 6.一种隔离网络环境下加密存 储报文装置， 其特 征在于， 包括： 获取模块： 用于获取请求报文， 并将所述请求报文根据报文偏移量进行数据对齐处理； 所述获取请求报文， 并将所述请求报文根据偏移量进行 数据对齐处 理包括： 获取请求报文以及所述请求报文中请求数据的偏移量； 若所述偏移量不为加密 设备块大小的整数倍， 提取前一个对齐位置到所述请求报文头 部的位置之间的数据作为头 部对齐填充数据； 将所述头部对齐填充数据填充至请求数据的头部， 并将填充后的所述请求数据的头部 位置作为 新的偏移量； 所述获取请求报文以及所述请求报文中请求数据的偏移量之后， 还 包括： 若所述偏移量为所述加密设备块大小的整数倍， 且请求报文尾部为块对齐， 则请求报 文数据对齐完成； 分片模块： 用于将数据对齐处理后的所述请求报文将按照物理隔离加密 设备块大小进 行分片报文， 并行向第一报文聚合转 发服务单元发送分片报文， 其中， 所述第一报文聚合转 发服务单元设置在物理隔离加密设备的输入侧； 解析模块： 用于通过所述第一报文聚合转发服务单元接收分片处理后的分片报文， 并 解析分片报文头， 将所述请求报文转发至所述物理隔离加密设备； 重组模块： 用于根据第 二报文聚合转发服务单元从所述隔离加密 设备中读取加密的分 片报文， 通过解析分片请求报文头以及所述报文偏移量判断所述请求报文是否重组完成， 其中， 所述第二报文聚合 转发服务单元设置在所述物理隔离加密设备的输出侧； 存储模块： 用于将重组完成的所述请求报文通过un ix域套接 字转发存 储。 7.一种隔离网络环境下加密存储报文的系统， 所述系统包括存储器、 处理器、 以及存储 在所述存储器中并可在所述处理器上运行 的计算机程序， 其特征在于， 所述处理器执行所 述计算机程序时实现如权利要求1至5任一项所述的隔离网络环境下加密存储报文的方法 的步骤。 8.一种存储介质， 所述存储介质存储有计算机程序， 其特征在于， 所述计算机程序被处 理器执行时实现如权利要求1至5任一项所述的隔离网络环境下加密存储报文的方法的步 骤。权　利　要　求　书 2/2 页 3 CN 115134171 B 3