重新构造网络IP报文实现IP非分片化方法技术

本发明专利技术公开了一种IP非分片化方法，属于IP报文的加密封装技术领域，具体涉及一种重新构造网络IP报文实现IP非分片化方法；本发明专利技术针对进入协议栈的网络IP报文，对于分片包或非分片包，通过重新构造网络IP报文的结构，使得新的网络IP报文成为完整的非分片包，可以实现非分片包的加密封装处理并发送，不再需要对整个网络IP报文进行重组、加密封装，再分片发送，当加密封装的网络IP报文，到达对端IPsec vpn设备时,完成解密、解封装以后，根据网络报文中保留的原始分片信息再进行重新构造，恢复原始网络报文的数据结构。报文的数据结构。报文的数据结构。

【技术实现步骤摘要】
重新构造网络IP报文实现IP非分片化方法


[0001]本专利技术公开了一种IP非分片化方法，属于IP报文的加密封装
，具体涉及一种重新构造网络IP报文实现IP非分片化方法。

技术介绍

[0002]传统的IPsec vpn设备实现网络IP报文的加密封装，需要对进入协议栈的网络报文，根据三层IP包头的分片标识和和偏移值，进行重组，形成一个完整的包含三层、四层的头结构的网络IP报文。在此基础上，对完整的网络IP报文进行加密封装，再根据MTU值分片处理后进行发送。
[0003]这样IPsec vpn设备在处理过程中，存在以下问题：
[0004]1.需要大量的缓存空间，对于资源受限的小型高速的IPsec vpn设备，没法实现网络IP报文重组和加密封装处理。
[0005]2.网络IP报文需要根据网络IP报文的长度进行缓存、重组、加密封装处理，再按照MTU值的要求进行分片处理，网络延时往往超过100ms以上，对实时性要求较高的应用场景支持不够。
[0006]3.传统的IPsec vpn设备在完成网络IP报文重组以后，如果遇到极限长度的IP包(已经达到最大长度即65536字节)，因为加密封装还需要增加报文长度，这样封装完成以后就超过了网络IP报文的极限长度，导致网络IP报文无法正确传输。
[0007]上述技术的缺点正是本专利技术所要解决的技术问题。

技术实现思路

[0008]专利技术目的：提供重新构造网络IP报文实现IP非分片化方法，解决上述提到的问题。
[0009]技术方案：重新构造网络IP报文实现IP非分片化方法，所述IP非分片化方法对进入协议栈的网络IP报文，即对于分片包或非分片包进行重新构造网络IP报文的结构，使得新的网络IP报文成为完整的非分片包，并对所述非分片包进行加密封装处理并发送至对端IPsec vpn设备,进行解密和解封装，并根据网络报文中保留的原始分片信息再进行重新构造，恢复原始网络报文的数据结构。
[0010]在进一步的实施例中，所述IP非分片化方法具体包括以下步骤：
[0011]步骤1：构建新的IP头；
[0012]步骤2：增加新的UDP头；
[0013]步骤3：增加新的附加IPA头；
[0014]步骤4：将原始的IP载荷添加到IPA头部后面，形成完整网络IP报文；
[0015]步骤5：重新计算IP包的总长度，修改新的IP头；完成重构网络IP报文结构；
[0016]步骤6：重构完成的IP包，为独立的非分片包，实现当前的网络IP报文和前后网络IP报文无关联；
[0017]步骤7：重构后的网络IP报文，再实现IPsec vpn加密封装处理；
[0018]步骤8：IPsec vpn加密封装处理后的包，到达对端解密设备，解密、解封装以后，再将保存在IPA头部的分片标识和偏移值还原处理。
[0019]在进一步的实施例中，所述构建新的IP头是将原有的网络IP报文的IP头部的IP协议、IP分片信息集中放到新附加IPA头部保留，便于还原时使用；修改原有网络IP报文的IP头部IP协议为UDP，将分片标识MF设置为0，表示非分片包；将片偏移值设为0，重新计算IP头的校验和，其他沿用原来三层IP头的大部分内容，构建完成新的IP头部。
[0020]在进一步的实施例中，所述增加新的附加IPA头是附加IPA的头部需要保留原始网络IP报文的IP协议、IP分片信息。
[0021]在进一步的实施例中，IP分片信息包括：分片标识和偏移值。
[0022]在进一步的实施例中，所述增加新的UDP头是在新的IP头后加入固定的UDP头，UDP头部源端口和目标端口设置为4500。
[0023]有益效果：本专利技术相较于现有技术中IPsec vpn设备实现网络IP报文的加密封装的方法，具有以下优点：
[0024]1.本专利技术提供的网络IP报文预处理方式，完全可以实现低成本、低功耗、高性能的要求。本专利技术提供的技术，能够节省内存空间40倍。
[0025]2.本专利技术针对每一个网络IP报文进行单独预处理，使得网络IP报文无需缓存、重组，即使加密封装完成的网络IP报文，大于MTU值，最多再需要分片一次。经用core i5处理器进行测试验证，网络延时低于5ms。
[0026]3.本专利技术不需要IP包重组，即使是极限长度的网络IP报文，因为只对分片包进行处理，不存在需要处理65536字节的包，不会影响网络正常的通信传输。
附图说明
[0027]图1是本专利技术的方法示意图。
[0028]图2是本专利技术的方法步骤图。
具体实施方式
[0029]下面将结合附图对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0030]在本专利技术的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本专利技术和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本专利技术的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。
[0031]在本专利技术的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本专利技术中的具体含义。此外，下面所描述的本专利技术不同实施方式中所涉及的技术特征只要彼
此之间未构成冲突就可以相互结合。
[0032]重新构造网络IP报文实现IP非分片化方法，针对进入协议栈的网络IP报文，对于分片包或非分片包，通过重新构造网络IP报文的结构，使得新的网络IP报文成为完整的非分片包，可以实现非分片包的加密封装处理并发送，不再需要对整个网络IP报文进行重组、加密封装，再分片发送。当加密封装的网络IP报文，到达对端IPsec vpn设备时,完成解密、解封装以后，根据网络报文中保留的原始分片信息再进行重新构造，恢复原始网络报文的数据结构。
[0033]根据上述阐述，结合附图1，下文给出具体的操作流程：
[0034]封装的对象可以是分片或非分片的网络IP报文，需要通过构建新的IP头部、增加新的UDP头部、增加新附加IPA头，重新构造网络IP报文。
[0035](1)构建新的IP头
[0036]将原有的网络IP报文的IP头部的IP协议、IP分片信息(包括分片标识、偏移值)集中放到新附加IPA头部保留，便于还原时使用。修改原有网络IP报文本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.重新构造网络IP报文实现IP非分片化方法，其特征在于，所述IP非分片化方法对进入协议栈的网络IP报文进行重新构造网络IP报文的结构，使得新的网络IP报文成为完整的非分片包，并对所述非分片包进行加密封装处理并发送至对端IPsec vpn设备；IPsec vpn设备进行解密和解封装，并根据网络报文中保留的原始分片信息再进行重新构造，恢复原始网络报文的数据结构。2.根据权利要求1所述重新构造网络IP报文实现IP非分片化方法，其特征在于，所述IP非分片化方法具体包括以下步骤：步骤1：构建新的IP头；步骤2：增加新的UDP头；步骤3：增加新的附加IPA头；步骤4：将原始的IP载荷添加到IPA头部后面，形成完整网络IP报文；步骤5：重新计算IP包的总长度，修改新的IP头；完成重构网络IP报文结构；步骤6：重构完成的IP包，为独立的非分片包，实现当前的网络IP报文和前后网络IP报文无关联；步骤7：重构后的网络IP报文，再实现IPsec vpn加密封装处理；步骤8：IPsec vpn加密封装处理后的包，到达对端解密设...

【专利技术属性】
技术研发人员：强科华，丁余泉，
申请(专利权)人：乾讯信息技术无锡有限公司，
类型：发明
国别省市：