本发明专利技术公开一种IPSec传输模式下IP数据报文重组方法、系统、介质及设备,其中,所述系统包括第一IPSec和第二IPSec网关第一IPSec网关和第二IPSec网关均内置有封装模块、解封模块、数据报文重组模块和对数据报文进行分片处理的分片处理模块;第一终端通过第一IPSec网关和第二IPSec网关与第二终端通信连接。本发明专利技术通过对IP头数据分片字段保存的方式,对IPSec加密传输模式协议进行改进设计,解决了IPSec发送端进行处理后超过MTU长度导致加密业务传输不正常的问题。输不正常的问题。输不正常的问题。
【技术实现步骤摘要】
IPSec传输模式下IP数据报文重组方法、系统、介质及设备
[0001]本专利技术涉及通信
,具体地说是一种IPSec传输模式下IP数据报文重组方法、系统、介质及设备。
技术介绍
[0002]应用IPSec封装保护后的IP数据包会产生数据膨胀。如果膨胀后的报文大于路径MTU,需要对数据报文进行分片处理。在隧道模式下,IPSec保护了原始报文的IP头和载荷部分,因此IPSec接收端可以识别重组数据包。在传输模式下,IP头不进行IPSec保护。在发送端数据包较大的情况下,IP的分片包经过IPSec发送端进行处理之后大于路径MTU,需要进行分片。IPSec接收端上将无法重组成原始数据包。因此RFC4301规定,IPSec传输模式不支持对IP分片包的保护。但是在实际应用环境中,确实存在IP分片包经过IPSec发送端进行处理之后超过MTU长度,从而导致加密业务传输不正常的情况。
技术实现思路
[0003]为此,本专利技术所要解决的技术问题在于提供一种IPSec传输模式下IP数据报文重组方法、系统、介质及设备,通过对IP头数据分片字段保存的方式,对IPSec加密传输模式协议进行改进设计,解决了IPSec发送端进行处理后超过MTU长度导致加密业务传输不正常的问题。
[0004]为解决上述技术问题,本专利技术提供如下技术方案:
[0005]IPSec传输模式下IP数据报文重组方法,包括如下步骤:
[0006]S1)第一IPSec网关接收原始IP数据报文,将原始IP数据报文加密封装为IPSec报文并将原始IP数据报文报头中的标识和分片偏移量记录在IPSec报文载荷数据的特定位置,然后第一IPSec网关将IPsec报文发送至第二IPSec网关;当IPsec报文长度大于最大传输单元时,触发因特网协议允许对IPSec报文进行分片,第一IP网关将IPSec报文分成大于或等于2个新的IPsec报文,每个新的IPSec报文的长度均小于或等于最大传输单元,第一IPSec网关将分片后得到的新的IPSec报文发送至第二IPsec网关;
[0007]S2)第二IP网关接收到分片后得到的新的IPSec报文后,向将分片后得到的新的IPSec报文重组成分片前的IPSec报文,然后对分片前的IPSec报文进行解封装,再将写在分片前的IPSec报文载荷数据特定位置的原始IP数据报文报头中的标识和分片偏移量取出并写入原始IP数据报文报头中的相应位置,然后将原始IP数据报文发出。
[0008]上述IPSec传输模式下IP数据报文重组方法,在步骤S1)中,所有的新的IPSec报文均包含有原IP数据报文报头中的标识。
[0009]上述IPSec传输模式下IP数据报文重组方法,分片偏移量的偏移单位为8个字节。
[0010]上述IPSec传输模式下IP数据报文重组方法,每个新的IPSec报文均具有一个新的IP头。
[0011]IPSec传输模式下IP数据报文重组系统,包括:
[0012]第一IPSec网关,用于接收IP数据报文并对IP数据报文进行封装与解封操作;第一IPSec网关内置有封装模块、解封模块、数据报文重组模块和对数据报文进行分片处理的分片处理模块;
[0013]第二IPSec网关,用于接收IP数据报文并对IP数据报文进行封装与解封操作;第二IPSec网关内置有封装模块、解封模块、数据报文重组模块和对数据报文进行分片处理的分片处理模块;
[0014]第一终端通过第一IPSec网关和第二IPSec网关与第二终端通信连接。
[0015]计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述IPSec传输模式下IP数据报文重组方法。
[0016]计算机设备,包括可读存储介质、处理器以及存储在可读存储介质上并可在处理器上运行的计算机程序,其特征在于,所述计算机程序被处理器执行时实现上述IPSec传输模式下IP数据报文重组方法。
[0017]本专利技术的技术方案取得了如下有益的技术效果:
[0018]在确保可以通过IPSec传输模式下正常传输IP数据报文的情况下,能够有效提高IPSec传输模式下IP数据报文的传输速度。
附图说明
[0019]图1为本专利技术中IPSec传输模式下IP数据报文重组系统的工作原理图;
[0020]图2为IPSec传输模式下IP数据包重组系统进行IP数据报文发送重组的流程图;
[0021]图3为IP数据报文IPSec加密封装并分片的流程图;
[0022]图4为分片后的IPSec报文解封并重组的流程图;
[0023]图5为IP数据报文的结构图;
[0024]图6为IPsec报文的结构图;
[0025]图7为本专利技术中可进行IPSec传输模式下IP数据报文重组的计算机设备原理图。
具体实施方式
[0026]下面结合示例,针对本专利技术进行进一步说明。
[0027]如图1所示,IPSec传输模式下IP数据报文重组系统,包括第一IPSec网关和第二IPSec网关,第一终端通过第一IPSec网关和第二IPSec网关与第二终端通信连接。其中,第一IPSec网关,用于接收IP数据报文并对IP数据报文进行封装与解封操作;第一IPSec网关内置有封装模块、解封模块、数据报文重组模块和对数据报文进行分片处理的分片处理模块;第二IPSec网关,用于接收IP数据报文并对IP数据报文进行封装与解封操作;第二IPSec网关内置有封装模块、解封模块、数据报文重组模块和对数据报文进行分片处理的分片处理模块。
[0028]在实际应用过程中,可以通过一个IPSec网关实现第一IPSec网关和第二IPSec网关联合使用的功能。
[0029]如图2所示,在两个终端通过所述IPSec传输模式下IP数据报文重组系统在IPSec传输模式下进行IP数据报文传输时,IP数据报文通过如下步骤重组:
[0030]S1)第一IPSec网关接收原始IP数据报文,将原始IP数据报文加密封装为IPSec报
文并将原始IP数据报文报头中的标识和分片偏移量记录在IPSec报文载荷数据的特定位置,然后第一IPSec网关将IPsec报文发送至第二IPSec网关;当IPsec报文长度大于最大传输单元(MTU)时,触发因特网协议允许对IPSec报文进行分片,第一IPSec网关将IPSec报文分成大于或等于2个新的IPsec报文,每个新的IPSec报文的长度均小于或等于最大传输单元,第一IPSec网关将分片后得到的新的IPSec报文发送至第二IPsec网关,如图3所示;
[0031]S2)第二IPSec网关接收到分片后得到的新的IPSec报文后,将分片后得到的新的IPSec报文重组成分片前的IPSec报文,然后对分片前的IPSec报文进行解封装,再将写在分片前的IPSec报文载荷数据特定位置的原始IP数据报文报头中的标识和分片偏移量取出并写入原始IP数据报文报头中的相应位置,然后将原始IP数本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.IPSec传输模式下IP数据报文重组方法,其特征在于,包括如下步骤:S1)第一IPSec网关接收原始IP数据报文,将原始IP数据报文加密封装为IPSec报文并将原始IP数据报文报头中的标识和分片偏移量记录在IPSec报文载荷数据的特定位置,然后第一IPSec网关将IPsec报文发送至第二IPSec网关;当IPsec报文长度大于最大传输单元时,触发因特网协议允许对IPSec报文进行分片,第一IP网关将IPSec报文分成大于或等于2个新的IPsec报文,每个新的IPSec报文的长度均小于或等于最大传输单元,第一IPSec网关将分片后得到的新的IPSec报文发送至第二IPsec网关;S2)第二IP网关接收到分片后得到的新的IPSec报文后,向将分片后得到的新的IPSec报文重组成分片前的IPSec报文,然后对分片前的IPSec报文进行解封装,再将写在分片前的IPSec报文载荷数据特定位置的原始IP数据报文报头中的标识和分片偏移量取出并写入原始IP数据报文报头中的相应位置,然后将原始IP数据报文发出。2.根据权利要求1所述的IPSec传输模式下IP数据报文重组方法,其特征在于,在步骤S1)中,所有的新的IPSec报文均包含有原IP数据报文报头中的标识。3.根据权利要求1所...
【专利技术属性】
技术研发人员:奚炜乾,张大伟,
申请(专利权)人:北京安盟信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。