一种在安全网络中保证报文不被分片的方法和系统技术方案

本发明专利技术涉及一种在安全网络中保证报文不被分片方法和系统。本发明专利技术所述的方法包括以下步骤：在服务器和客户端分别增加一个加解密设备，用于保护数据在网络上的传输安全；预先在加解密设备上设置一个安全的MTU值，加解密设备监控所有报文，并分析出DHCP ACK报文；当有DHCP ACK报文经过时，设备分析出该报文的分配给客户机的IP地址，所述的IP地址通常在“yiaddr”域中；结合服务器的源IP构造出一个伪的ICMP报文，将事先设置的安全MTU值填入ICMP报文中的“Next‑Hop MTU”，让客户端认为PMTU是预先设定的值。采用本发明专利技术所述的方法和系统可以在无IP的加解密设备上，在安全网络中保证报文不被分片，从而更高效的进行数据传输。

【技术实现步骤摘要】
一种在安全网络中保证报文不被分片的方法和系统
本专利技术属于网络安全
，具体涉及一种在安全网络中保证报文不被分片的方法和系统。
技术介绍
现有技术中，在进行报文的网络传输时，通常会加入一个带IP的网络设备处理报文的加解密，同时处理MTU(maximumtransmissionunit)的事宜，保证加密后每个报文的大小不超过PMTU(Pathmaximumtransmissionunit)。然而，这一技术方案存在以下问题：(1)需要在网络中添加一个带IP的网络设备，对原有业务造成一定影响；(2)通常用SSLVPN或IPSecVPN加上NAT技术进行组网，网络规划比较复杂。数据报文在加密之后，会比原有的未加密的网络报文大。如果原有网络报文的大小已经接近或等于PMTU的最大报文大小，在加密后，就会超过PMTU的限制，网络传输中，会被其它网络设备作分片处理。即一个大的报文拆分成2个小的报文。而单个报文的加解密信息是分别存储的，如协商出来的过程密钥信息或随机数信息，甚至校验用的MAC值都是存在单个报文中的。由于加解密设备不拥有IP地址，故通常不能把分片报文重新组装，也就无法正确解密被分片的加密报文。为了解决在安全网络中保证报文不被分片的问题，不影响原有网络架构，又要保证网络通信的安全，可以在服务器和客户端各自加入一个无IP的设备来对数据进行加解密。但是由于加密后的报文通常会比不加密的报文大，并且这个过程对客户端和服务器端是透明的，所以容易造成加密后的报文大小大于PMTU，导致报文分片并且分片后的报文不能被正确解密。因此，急需一种新的技术解决方案来解决现有技术中所存的上述问题。
技术实现思路
针对现有技术中存在的缺陷，本专利技术的目的是提供一种在安全网络中保证报文不被分片的方法和系统。该方法和系统能够在无IP的加解密设备上，在安全网络中保证报文不被分片，从而更高效的进行数据传输。为达到以上目的，本专利技术采用的技术方案是：一种在安全网络中保证报文不被分片的方法，包括以下步骤：在服务器和客户端分别增加一个加解密设备，用于保护数据在Internet上的传输安全；预先在加解密设备上设置一个安全的MTU值，加解密设备监控所有报文，并分析出DHCPACK报文；当有DHCPACK报文经过时，设备分析出该报文的分配给客户机的IP地址，所述的IP地址通常在“yiaddr”域中；结合服务器的源IP构造出一个伪的ICMP报文，将事先设置的安全MTU值填入ICMP报文中的“Next-HopMTU”，让客户端认为PMTU是预先设定的值。进一步，所述的加解密设备是一个无IP地址的网络设备；进一步，所述的安全阀值为1300-1450个字节。更进一步，所述的安全阀值为1400个字节。本专利技术还提供了一种在安全网络中保证报文不被分片的系统，包括服务器和客户端，并且在服务器和客户端分别增加了一个加解密设备，用于保护数据在Internet上的传输安全，所述的加解密设备是一个无IP地址的网络设备。进一步，所述的加解密设备包括以下模块：MTU值设置模块，用于预先在加解密设备上设置一个安全的MTU值；报文监控模块，用于监控所有报文，并分析出DHCPACK报文；IP地址解析模块，用于当有DHCPACK报文经过时，设备分析出该报文的分配给客户机的IP地址，所述的IP地址通常在“yiaddr”域中；伪的ICMP报文构造模块，用于结合服务器的源IP构造出一个伪的ICMP报文，将事先设置的安全MTU值填入ICMP报文中的“Next-HopMTU”，让客户端认为PMTU是预先设定的值。本专利技术的效果在于：采用本专利技术所述的方法和系统，可以在无IP的加解密设备上，在安全网络中保证报文不被分片，从而更高效的进行数据传输。附图说明图1是现有技术中的网络架构图；图2是采用本专利技术所述方法和系统后的网络架构图；图3是本专利技术具体实施方式中所述方法的流程图；图4是本专利技术具体实施方式中所述系统中的加密设备的结构框图。具体实施方式下面结合附图和具体实施方式对本专利技术作进一步描述。本专利技术的核心在于采用了新的网络架构，在服务器和客户端都加了一个加解密设备，用于保护数据在Internet上的传输安全。新加入的加解密设备，为了不影响原有的网络架构，可以是一个无IP地址的网络设备。如图2所示，一种在安全网络中保证报文不被分片的系统，包括服务器和客户端，并且在服务器和客户端分别增加了一个加解密设备，用于保护数据在Internet上的传输安全，所述的加解密设备是一个无IP地址的网络设备。本实施例中，所述的加解密设备包括以下模块：MTU值设置模块，用于预先在加解密设备上设置一个安全的MTU值；报文监控模块，用于监控所有报文，并分析出DHCPACK报文；IP地址解析模块，用于当有DHCPACK报文经过时，设备分析出该报文的分配给客户机的IP地址，所述的IP地址通常在“yiaddr”域中；伪的ICMP报文构造模块，用于结合服务器的源IP构造出一个伪的ICMP报文，将事先设置的安全MTU值填入ICMP报文中的“Next-HopMTU”，让客户端认为PMTU是预先设定的值。如图3所示，一种在安全网络中保证报文不被分片的方法，包括以下步骤：步骤S1，在服务器和客户端分别增加一个加解密设备，用于保护数据在Internet上的传输安全；步骤S2，预先在加解密设备上设置一个安全的MTU值，加解密设备监控所有报文，并分析出DHCPACK报文；步骤S3，当有DHCPACK报文经过时，设备分析出该报文的分配给客户机的IP地址，所述的IP地址通常在“yiaddr”域中；步骤S4，结合服务器的源IP构造出一个伪的ICMP报文，将事先设置的安全MTU值填入ICMP报文中的“Next-HopMTU”，让客户端认为PMTU是预先设定的值。所述的加解密设备是一个无IP地址的网络设备，所述的安全阀值为1300-1450个字节。本实施例中，所述的安全阀值为1400个字节。要想解决报文被分片的问题，必须要在源头控制报文大小，让源头的主机“认为”PMTU的值是一个比实际PMTU更小的值，这样从这主机发出的报文大小就在安全阀值之内，通过加密设备之后也不会被分片。由于加密设备是不拥有IP地址的，所以无法按照标准协议进行PMTU的协商和传递。本专利技术提出的解决方案是：预先在加解密设备上设置一个安全的MTU值(如1400)。同时，加解密设备监控所有报文，并分析出DHCPACK报文。当有DHCPACK报文经过时，设备分析出该报文的分配给客户机的IP地址，通常在“yiaddr”域中。结合服务器的源IP就能构造出一个伪的ICMP报文，将事先预制的安全MTU值填入ICMP报文中的“Next-HopMTU”，让客户端认为PMTU是预先设定的值。举例如下：通常，网络中的PMTU的值为1500，加密要预留100个字节左右的冗余空间，那么安全阀值是1400个字节。加解密设备上预设一个安全的MTU值为1400。加解密设备时刻监控经过的报文，当有DHCPACK报文经过时，就分析该报文的分配给客户机的IP地址，通常在“yiaddr”域中。结合服务器的源IP就能构造出一个伪的ICMP报文，将事先预制的安全MTU值(1400)填入ICMP报文中的“Next-HopMTU”，让客户端本文档来自技高网...

【技术保护点】
1.一种在安全网络中保证报文不被分片的方法，包括以下步骤：在服务器和客户端分别增加一个加解密设备，用于保护数据在网络上的传输安全；预先在加解密设备上设置一个安全的MTU值，加解密设备监控所有报文，并分析出DHCP ACK报文；当有DHCP ACK报文经过时，设备分析出该报文的分配给客户机的IP地址，所述的IP地址通常在“yiaddr”域中；结合服务器的源IP构造出一个伪的ICMP报文，将事先设置的安全MTU值填入ICMP报文中的“Next‑Hop MTU”，让客户端认为PMTU是预先设定的值。

【技术特征摘要】
1.一种在安全网络中保证报文不被分片的方法，包括以下步骤：在服务器和客户端分别增加一个加解密设备，用于保护数据在网络上的传输安全；预先在加解密设备上设置一个安全的MTU值，加解密设备监控所有报文，并分析出DHCPACK报文；当有DHCPACK报文经过时，设备分析出该报文的分配给客户机的IP地址，所述的IP地址通常在“yiaddr”域中；结合服务器的源IP构造出一个伪的ICMP报文，将事先设置的安全MTU值填入ICMP报文中的“Next-HopMTU”，让客户端认为PMTU是预先设定的值。2.如权利要求1所述的一种在安全网络中保证报文不被分片的方法，其特征是：所述的加解密设备是一个无IP地址的网络设备。3.如权利要求1或2所述的一种在安全网络中保证报文不被分片的方法，其特征是：所述的安全阀值为1300-1450个字节。4.如权利要求3所述的一种在安全网络中保证报文不被分片的方法，其特征是：所述的安全阀值为1400个字节。5.一种在安全网络中保证报文不被分片的系统，包括服务器和客户端，其特征在于：在服务器和客户端分别增加了一个加...

【专利技术属性】
技术研发人员：陆勇，王幼君，
申请(专利权)人：北京握奇智能科技有限公司，北京握奇数据股份有限公司，
类型：发明
国别省市：北京,11