CN105592030B - Ip报文处理方法及装置 - Google Patents
Ip报文处理方法及装置 Download PDFInfo
- Publication number
- CN105592030B CN105592030B CN201410658611.5A CN201410658611A CN105592030B CN 105592030 B CN105592030 B CN 105592030B CN 201410658611 A CN201410658611 A CN 201410658611A CN 105592030 B CN105592030 B CN 105592030B
- Authority
- CN
- China
- Prior art keywords
- packet
- processing
- data
- encryption
- compression
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了IP报文处理方法及装置。上述方法包括:获得第一IP报文;确定第一IP报文的报文总长度;将第一IP报文的报文总长度与预先设定的分界点长度值进行比较;基于第一IP报文的报文总长度小于等于预先设定的分界点长度值的比较结果,执行第一处理策略;第一处理策略包括:对第一IP报文进行加密处理;对加密处理得到的数据进行压缩处理;生成携带有压缩处理后得到的数据的第二IP报文;发送第二IP报文。在本发明实施例,对于报文总长度小于等于分界点长度的IP报文,先加密,加密中会添加所采用加密协议的首部,再压缩经加密处理后的报文。由于添加的加密协议的首部具备压缩空间,所以可以提高压缩效率。
Description
技术领域
本发明涉及通信技术领域,更具体地说,涉及IP报文处理方法及装置。
背景技术
目前,通信设备(例如安全网关、主机等)的接口带宽是固定的。有时为了提升业务带宽,常常会使用压缩技术:在处理报文时,在发端设备中先将报文进行压缩,然后发送出去,对端收到后再解压缩。以期可以在固定接口带宽的情况下,使得通过这个接口的流量增大。
另外,当前公众越来越多地关注个人隐私的保护,这也推动了对加密技术的广泛应用。
当前主流的互联网加密协议为IPSec(Internet Protocol Security)协议,而IPSec协议采用IP载荷压缩协议(IP Payload Compression Protocol,IPComp)进行压缩。现有压缩算法的工作原理是检查数据的分布状况,删去重复的数据从而达到节约存储空间的目的。加密算法将明文形式的数据转换为看似无序的“密文”。加密算法越好,密文中数据分布的随机性越强。但无论采用何种算法,密文的随机性都意味着难以被压缩。若对加密获得的数据进行压缩,甚至会造成数据不仅不减少反而增加的后果。因此在现有IPSec协议加密压缩过程中,对IP报文的处理方式是先压缩再加密。
然而,在实际应用中发现,在很多情况下采用现有的IPSec协议对待传输的IP报文进行上述处理后得到的数据的长度反而大于处理前的长度,这样影响了IP报文的压缩效率,进而不利于高效利用带宽传输资源。
发明内容
有鉴于此,本发明实施例的目的在于提供IP报文处理方法及装置,以提高IP报文的压缩效率。
为实现上述目的,本发明实施例提供如下技术方案:
根据本发明实施例的第一方面,提供一种IP报文处理方法,包括:
发送方获得第一IP报文;
所述发送方确定所述第一IP报文的报文总长度;
所述发送方将所述第一IP报文的报文总长度与预先设定的分界点长度值进行比较;
基于所述第一IP报文的报文总长度小于等于预先设定的分界点长度值的比较结果,所述发送方执行第一处理策略;所述第一处理策略包括:对所述第一IP报文进行加密处理;对加密处理得到的数据进行压缩处理;
所述发送方生成携带有所述压缩处理后得到的数据的第二IP报文;
所述发送方发送所述第二IP报文。
结合第一方面,在第一种可能的实现方式中,所述对所述第一IP报文进行加密处理包括:对所述第一IP报文的IP报文头和数据载荷部分进行IPSec加密处理。
结合第一方面或第一方面第一种可能的实现方式中,在第二种可能的实现方式中,所述对加密处理得到的数据进行压缩处理包括:对加密处理得到的数据进行IPComp压缩处理。
结合第一方面第二种可能的实现方式,在第三种可能的实现方式中,在所述对加密处理得到的数据进行IPComp压缩处理的步骤之后,所述方法还包括:在经IPComp压缩处理后得到的数据前添加IP首部;所述IP首部中next header字段或协议字段的内容为IPComp协议的协议号。
结合第一方面或第一种可能的实现方式或第二种可能的实现方式或第三种可能的实现方式,在第四种可能的实现方式中,在将所述第一IP报文的报文总长度与预先设定的分界点长度值进行比较之前,所述方法还包括:所述发送方与接收方通信,确定所述发送方和所述接收方都支持所述第一处理策略。
结合第一方面,在第五种可能的实现方式中,还包括:基于所述第一IP报文的报文总长度大于预先设定的分界点长度值的比较结果,所述发送方执行第二处理策略;所述第二处理策略包括,对所述第一IP报文进行压缩处理;对压缩处理后得到的数据进行加密处理;所述发送方生成携带有所述加密处理后得到的数据的第三IP报文;所述发送方发送所述第三IP报文。
根据本发明实施例的第二方面,提供一种IP报文处理方法,包括:
发送方获得第一IP报文,所述第一IP报文包括IP报文头和数据载荷部分;
所述发送方确定所述第一IP报文中数据载荷部分的长度;
所述发送方将所述第一IP报文中数据载荷部分的长度与预先设定的分界点长度值进行比较;
基于所述第一IP报文中数据载荷部分的长度小于等于预先设定的分界点长度值的比较结果,所述发送方执行第一处理策略;所述第一处理策略包括,对所述第一IP报文进行加密处理;对加密处理得到的数据进行压缩处理;
所述发送方生成携带有所述压缩处理后得到的数据的第二IP报文;
所述发送方发送所述第二IP报文。
结合第二方面,在第一种可能的实现方式中,所述对所述第一IP报文进行加密处理包括:对所述第一IP报文的数据载荷部分进行IPSec加密处理。
结合第二方面或第二方面第一种可能的实现方式,在第二种可能的实现方式中,所述对加密处理得到的数据进行压缩处理包括:对加密处理得到的数据进行IPComp压缩处理。
结合第二方面第二种可能的实现方式,在第三种可能的实现方式中,在所述对加密处理得到的数据进行IPComp压缩处理的步骤之后,所述方法还包括:在经IPComp压缩处理后得到的数据前添加IP首部;所述IP首部中next header字段或协议字段的内容为IPComp协议的协议号。
结合第二方面或第二方面第一种可能的实现方式或第二方面第二种可能的实现方式或第二方面第三种可能的实现方式,在第四种可能的实现方式中,在所述发送方将所述第一IP报文中数据载荷部分的长度与预先设定的分界点长度值进行比较之前,还包括:所述发送方与接收方通信,确定所述发送方和所述接收方都支持所述第一处理策略。
结合第二方面,在第五种可能的实现方式中,还包括:基于所述第一IP报文中数据载荷部分的长度大于预先设定的分界点长度值的比较结果,所述发送方执行第二处理策略;所述第二处理策略包括,对所述第一IP报文进行压缩处理;对压缩处理后得到的数据进行加密处理;所述发送方生成携带有所述加密处理后得到的数据的第三IP报文;所述发送方发送所述第三IP报文。
根据本发明实施例的第三方面,提供一种IP报文处理方法,包括:
接收方接收第一IP报文;
所述接收方识别所述第一IP报文是否是经发送方对第二IP报文执行第一处理策略处理后得到的报文,所述第一处理策略包括对所述第二IP报文进行加密处理;对加密处理得到的数据进行压缩处理;
基于所述第一IP报文是经所述第一处理策略处理后得到的报文的识别结果,所述接收方对所述第一IP报文进行解压缩处理,并对解压缩处理得到的数据进行解密处理。
结合第三方面,在第一种可能的实现方式中,还包括:基于所述第一IP报文不是经所述第一处理策略处理后得到的报文的识别结果,所述接收方对所述第一IP报文进行解密处理,并对解密处理得到数据进行解压缩处理。
根据本发明实施例的第四方面,提供一种IP报文处理装置,包括:
获取单元,用于获得第一IP报文;
长度确定单元,用于确定所述第一IP报文的报文总长度;
比较单元,用于将所述第一IP报文的报文总长度与预先设定的分界点长度值进行比较;
第一处理策略执行单元,用于基于所述第一IP报文的报文总长度小于等于预先设定的分界点长度值的比较结果,执行第一处理策略;所述第一处理策略包括:对所述第一IP报文进行加密处理;对加密处理得到的数据进行压缩处理;
第一生成单元,用于生成携带有所述压缩处理后得到的数据的第二IP报文;
第一发送单元,用于发送所述第二IP报文。
结合第四方面,在第一种可能的实现方式中,还包括:第二处理策略执行单元,用于基于所述第一IP报文的报文总长度大于预先设定的分界点长度值的比较结果,执行第二处理策略;所述第二处理策略包括,对所述第一IP报文进行压缩处理;对压缩处理后得到的数据进行加密处理;第二生成单元,用于生成携带有所述加密处理后得到的数据的第三IP报文;第二发送单元,用于发送所述第三IP报文。
根据本发明实施例的第五方面,提供一种IP报文处理装置,包括:
获取单元,用于获得第一IP报文,所述第一IP报文包括IP报文头和数据载荷部分;
确定单元,用于确定所述第一IP报文中数据载荷部分的长度;
比对单元,用于将所述第一IP报文中数据载荷部分的长度与预先设定的分界点长度值进行比较;
第一执行单元,用于基于所述第一IP报文中数据载荷部分的长度小于等于预先设定的分界点长度值的比较结果,执行第一处理策略;所述第一处理策略包括,对所述第一IP报文进行加密处理;对加密处理得到的数据进行压缩处理;
第一生成单元,用于生成携带有所述压缩处理后得到的数据的第二IP报文;
第一发送单元,用于发送所述第二IP报文。
结合第五方面,在第一种可能的实现方式中,还包括:第二执行单元,用于基于所述第一IP报文中数据载荷部分的长度大于预先设定的分界点长度值的比较结果,执行第二处理策略;所述第二处理策略包括,对所述第一IP报文进行压缩处理;对压缩处理后得到的数据进行加密处理;第二生成单元,用于生成携带有所述加密处理后得到的数据的第三IP报文;第二发送单元,用于发送所述第三IP报文。
根据本发明实施例的第六方面,提供一种IP报文处理装置,包括:
接收单元,用于接收第一IP报文;
识别单元,用于识别所述第一IP报文是否是经发送方对第二IP报文执行第一处理策略处理后得到的报文;所述第一处理策略包括对所述第二IP报文进行加密处理;对加密处理得到的数据进行压缩处理;
第一处理单元,用于基于所述第一IP报文是经所述第一处理策略处理后得到的报文的识别结果,对所述第一IP报文进行解压缩处理,并对解压缩处理得到的数据进行解密处理。
结合第六方面,在第一种可能的实现方式中,还包括:第二处理单元,用于基于所述第一IP报文不是经所述第一处理策略处理后得到的报文的识别结果,对所述接收到的第一IP报文进行解密处理,并对解密处理得到数据进行解压缩处理。
可见,在本发明实施例,对于报文总长度小于等于分界点长度的IP报文,先进行加密处理,加密处理中会添加所采用的加密协议的首部,再对经加密处理后的报文进行压缩处理。由于添加的加密协议的首部具备压缩空间,所以可以提高报文总长度小于等于分界点长度的IP报文的压缩效率,减少报文占用带宽,使单位时间传输的报文数增加,进而可以提升业务带宽传输资源的利用效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的采用IPSec协议处理IP报文示意图;
图2a-图2b、图5a-图5b、图7a-图7b为本发明实施例提供的发送方所执行的IP报文处理方法流程图;
图3-图4为本发明实施例提供的采用第一处理策略处理IP报文的示意图;
图6为本发明实施例提供的传输模式下采用第二处理策略处理IP报文的示意图;
图8为本发明实施例提供的IKE协商过程示意图;
图9为本发明实施例提供的IKE协商包格式示意图;
图10a-图10b、图11a-图11b为本发明实施例提供的接收方所执行的IP报文处理方法流程图;
图12-图20为本发明实施例提供的IP报文处理装置结构示意例。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
IPSec是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。
IPSec协议工作在OSI模型的第三层。IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议(AuthenticationHeader,AH)、封装安全载荷协议(Encapsulating Security Payload,ESP)、密钥管理协议(Internet Key Exchange,IKE)和用于网络认证及加密的一些算法等。这些协议用于提供数据认证、数据完整性和加密性三种保护形式。AH和ESP都可以提供认证服务。而IKE主要是对密钥进行交换管理,对算法、协议和密钥3个方面进行协商。
IPSec协议按其封装模式可分为隧道(tunnel)模式和传输(transport)模式。通常,隧道模式可应用在两个安全网关之间的通讯,而传输模式可应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。
IPSec协议采用IP载荷压缩协议(IP Payload Compression Protocol,IPComp)进行压缩。
以隧道模式为例,请参见图1,在现有IPSec协议加密压缩过程中,整个IP报文被当作有效载荷进行压缩。压缩完成后,在压缩数据前面添加IPComp头(头也可称为首部或报头)。然后将IPComp头以及压缩数据一起加密,外面附上新的IP头。其中"内部"IP头(原IP头)指定源地址和目的地址,而"外部"IP头(新IP头)中包含的常常是做中间转发的安全网关地址。
发明人发现:在很多情况下采用现有的IPSec协议对待传输的IP报文进行上述处理后得到的数据的长度反而大于处理前的长度,这样影响了IP报文的压缩效率,进而不利于高效利用带宽传输资源。
为此,本发明提供IP报文处理方法,以提高IP报文的压缩效率。
上述IP报文处理方法可由发送方或接收方执行。发送方或接收方可为主机、网关、用户终端(UE)、基站等可处理、发送IP报文的任意设备。
请参见图2a,上述IP报文处理方法至少可包括如下步骤:
S1、发送方获得第一IP报文。
第一IP报文可来源于其他设备,也即,由其他设备发送给发送方。
此外,第一IP报文也可是在发送方网络层经TCP/IP协议或UDP协议等处理后得到的。
需要说明的是,第一、第二、第三等只用于区别。
S2、发送方确定第一IP报文的报文总长度。
S3、发送方将第一IP报文的报文总长度与预先设定的分界点长度值进行比较。
分界点长度值可根据实际情况而设定,例如可为80字节,还可以选取75字节~85字节范围内的其数值等等。
S4、基于上述第一IP报文的报文总长度小于等于预先设定的分界点长度值的比较结果,发送方执行第一处理策略。
其中,第一处理策略可包括:对上述第一IP报文进行加密处理;对加密处理得到的数据进行压缩处理。
S5、发送方生成携带有压缩处理后得到的数据的第二IP报文;
如何生成携带有压缩处理后得到的数据的第二IP报文可参考现有方式,在此不作赘述。
S6、发送方发送上述第二IP报文。
可见,在本发明实施例,对于报文总长度小于等于分界点长度的IP报文,先进行加密处理,加密处理中会添加所采用的加密协议的首部,再对经加密处理后的报文进行压缩处理。由于添加的加密协议的首部具备压缩空间,所以可以提高报文总长度小于等于分界点长度的IP报文的压缩效率,减少报文占用带宽,使单位时间传输的报文数增加,进而可以提升业务带宽传输资源的利用效率。
或者,请参见图2b,上述IP报文处理方法至少可包括如下步骤:
S1’:发送方获得第一IP报文。
上述第一IP报文包括IP报文头和数据载荷部分。
第一IP报文可来源于其他设备,也即,由其他设备发送给发送方。
此外,第一IP报文也可是在发送方网络层经TCP/IP协议或UDP协议等处理后得到的。
S2’:发送方确定上述第一IP报文中数据载荷部分的长度。
S3’:发送方将上述第一IP报文中数据载荷部分的长度与预先设定的分界点长度值进行比较。
分界点长度值可根据实际情况而设定,例如可为80字节,还可以选取75字节~85字节范围内的其数值等等。
与前述步骤S3不同的是,在本实施例中,是将数据载荷部分的长度与分界点长度值进行比较。这是因为,前述提及,IPSec协议按其封装模式可分为隧道模式和传输模式,对于隧道模式而言,发送方可判断第一IP报文的报文总长度是否小于等于分界点长度。也即,图2a所示实施例针对的是隧道模式。
而对于传输模式,发送方可判断第一IP报文中数据载荷部分是否小于等于分界点长度。也即,本实施例针对的是传输模式。
S4’:基于上述第一IP报文中数据载荷部分的长度小于等于预先设定的分界点长度值的比较结果,上述发送方执行第一处理策略。
上述第一处理策略包括,对上述第一IP报文进行加密处理;对加密处理得到的数据进行压缩处理。
S5’:发送方生成携带有上述压缩处理后得到的数据的第二IP报文;
如何生成携带有压缩处理后得到的数据的第二IP报文可参考现有方式,在此不作赘述。
S6’:上述发送方发送上述第二IP报文。
可见,在本发明实施例,对于数据载荷部分小于等于分界点长度的IP报文,先进行加密处理,加密处理中会添加所采用的加密协议的首部,再对经加密处理后的报文进行压缩处理。由于添加的加密协议的首部具备压缩空间,所以可以提高报文总长度小于等于分界点长度的IP报文的压缩效率,减少报文占用带宽,使单位时间传输的报文数增加,进而可以提升业务带宽传输资源的利用效率。
在本发明其他实施例中,上述所有实施例中的加密处理具体可为IPSec加密处理。
相应的,对于隧道模式而言,上述所有实施例中的“对上述第一IP报文进行加密处理”可具体包括:对上述第一IP报文的IP报文头和数据载荷部分进行IPSec加密处理。
而对于传输模式而言,上述所有实施例中的“对上述第一IP报文进行加密处理”可具体包括:对上述第一IP报文的数据载荷部分进行IPSec加密处理。
当然,本领域技术人员还可采用其他加密处理方式,在此不作赘述。
在本发明其他实施例中,上述所有实施例中的“对加密处理得到的数据进行压缩处理”可具体包括:对加密处理得到的数据进行IPComp压缩处理。当然,本领域技术人员还可采用其他压缩处理方式,在此不作赘述。
在本发明其他实施例中,在对加密处理得到的数据进行IPComp压缩处理之后,生成第二IP报文之前,上述IP报文处理方法还可包括如下步骤:
在经IPComp压缩处理后得到的数据前添加IP首部;其中所添加的IP首部中nextheader字段或协议字段的内容为IPComp协议的协议号。
或者说,第一处理策略还可包括:在经IPComp压缩处理后得到的数据前添加IP首部;其中所添加的IP首部中next header字段或协议字段的内容为IPComp协议的协议号。
由于IPSec协议按其封装模式可分为隧道模式和传输模式,下面将对两模式下的第一处理策略分别进行详细说明。
请参见图3,隧道模式下的第一处理策略的具体包括:
将第一IP报文作为有效载荷,采用IPSec协议中提供的加密算法进行加密处理,得到密文;
在密文前添加IPSec首部,IPSec首部中下一首部(next header)字段中置为4(表示IP-in-IP);
采用IPComp协议中提供的压缩算法对IPSec首部和密文一起进行压缩处理,得到经压缩处理的数据;
在上述经压缩处理的数据前添加IPComp首部(IPComp头),IPComp首部中nextheader字段的内容为50或51,50或51表示IPSec协议类型,分别对应ESP或AH;
在IPComp首部前添加IP首部(新IP头),上述IP首部中next header(下一首部)字段的内容为IPComp协议的协议号(协议号具体为108)。
在本实施例中,由于IPSec首部(头)具备压缩空间,而IPSec头与密文的总长度又达到了一定的压缩最小长度,因而具备了压缩的效果。如下举例:
第一IP报文长度为64字节,加密添加IPSec首部,新增70字节左右的IPSec头(以ESP协议为例),则压缩前IPSec首部和密文的总长度为134字节左右。将这134字节压缩后,最终IPSec首部和密文的总长度大约会变成96-108字节左右,压缩了约20%的空间。
若按现有方式先压缩后加密,64字节经压缩后大约为60-70字节左右,然后再添加IPSec首部(70字节左右),由于IPSec首部未参与压缩,因此,最终,IPSec首部和密文总长度为130-140字节左右,没有达到压缩的效果,有时反而压缩后还会变长。
请参见图4,传输模式下的第一处理策略的具体包括:
采用IPSec协议中提供的加密算法对第一IP报文中的数据载荷部分进行加密处理,得到密文;
在密文前添加IPSec首部,IPSec首部中next header字段中的内容为第一IP报文的IP首部中protocol字段的协议类型,也就是将第一IP报文的IP首部中protocol字段的内容复制到IPSec首部的next header字段;
采用IPComp协议中提供的压缩算法对IPSec首部和密文一起进行压缩处理,得到经压缩处理的数据;
在上述经压缩处理的数据前添加IPComp首部,IPComp首部中next header字段的内容为50或51,50或51表示IPSec协议类型,分别对应ESP或AH;
在IPComp首部前添加第一IP报文的IP首部,并且,所添加IP首部中protocol字段的内容为IPComp协议的协议号(协议号具体为108)。
在本发明其他实施例中,针对隧道模式,请参见图5a,上述IP报文处理方法还可包括如下步骤:
S7、基于第一IP报文的报文总长度大于预先设定的分界点长度值的比较结果,发送方执行第二处理策略。
所谓的第二处理策略,也即现有的IP报文处理方式。
更具体的,上述第二处理策略可包括:对上述第一IP报文进行压缩处理;对压缩处理后得到的数据进行加密处理。
在本发明其他实施例中,“对上述IP报文进行压缩处理”可具体包括:对上述IP报文进行IPComp压缩处理。
而“对压缩处理后得到的数据进行加密处理”可具体包括:对压缩处理后得到的数据进行IPSec加密处理。
更具体的第二处理策略请参见图1及相关记载。
S8、发送方生成携带有上述加密处理后得到的数据的第三IP报文。
S9、发送方发送第三IP报文。
而针对传输模式,请参见图5b,上述IP报文处理方法还可包括如下步骤:
S7’:基于IP报文中数据载荷部分的长度大于预先设定的分界点长度值的比较结果,发送方执行第二处理策略。
所谓的第二处理策略,也即现有的IP报文处理方式。
更具体的,上述第二处理策略可包括:对上述第一IP报文进行压缩处理;对压缩处理后得到的数据进行加密处理。
在本发明其他实施例中,“对上述IP报文进行压缩处理”可具体包括:对上述IP报文进行IPComp压缩处理。
而“对压缩处理后得到的数据进行加密处理”可具体包括:对压缩处理后得到的数据进行IPSec加密处理。
在本发明实施例中,第二处理策略具体可是传输模式下的第二处理策略,请参见图6,其可具体包括:
对第一IP报文的数据载荷部分进行压缩。压缩完成后,在压缩数据前面添加IPComp头,IPComp头中next header字段中的内容为第一IP报文IP头中协议字段(protocol字段)的协议类型(也就是将第一IP报文IP首部中protocol字段的内容复制到IPComp头首部的next header字段);
然后将包含IPComp头以及压缩数据一起加密;
在密文前添加IPSec头,IPSec头的next header字段的内容为IPComp协议的协议号(协议号具体为108);
在IPSec头前添加第一IP报文的IP头,该IP头的protocol字段的内容为50或51,50或51表示IPSec协议类型,分别对应ESP或AH。
S8’:发送方生成携带有上述加密处理后得到的数据的第三IP报文;
S9’:发送方发送上述第三IP报文。
需要说明的是,通过对网上流量分析,互联网中报文总长度或数据载荷部分长度小于等于分界点长度的IP报文占的比例非常高,约为60-80%。例如,在LTE应用场景中,由于LTE为无线业务,基站与安全网关需要通过IPSec业务加密。在此场景中传输的主要是语音、短信、手机上网等业务,这些业务中,报文总长度或数据载荷部分长度小于等于分界点长度的IP报文的比例将会更大。因此,采用本发明实施例所提供的方案,对于提高互联网中IP报文(尤其是报文总长度或数据载荷部分长度小于等于分界点长度的IP报文)的压缩效率有重要意义。
在本发明其他实施例中,请参见图7a或图7b,上述IP报文处理方法还可包括如下步骤:
S0、发送方与接收方通信,确定发送方和接收方都支持第一处理策略。
更具体的,S0这一步骤可在发送方与接收方进行IKE协商过程中执行的。
IKE协商过程中,协商发起方与响应方之间通过IKE协商包进行协商。图8示出了IKE协商的一种示例性过程,发起方与响应方通过6个IKE协商包协商。
其中,IKE协商包1和IKE协商包2用于双方确定SA(安全联盟),HDR表示IKE报头;IKE协商包3和IKE协商包4用于双方确定密钥(KE);IKE协商包5和IKE协商包6用于双方进行身份核对,IKE协商包5和IKE协商包6在HDR后面的“*”号,表示这两个协商包是经过密钥加密的。
本实施例可采用厂商ID载荷来确定双方是否支持第一处理策略。
发起方可在第一个发送的IKE协商包的(也即IKE协商包1)SA载荷之后,加上厂商ID载荷,然后发出。
请参见图9,如加上厂商ID载荷,SA载荷的下一个载荷字段需标注厂商ID(在不添加厂商ID载荷时,SA载荷的下一个载荷字段中标0)。
厂商ID载荷中填入表征第一处理策略的字符串,例如Support IPSeccompression mechanism,或者,也可在厂商ID载荷中填入由上述表征第一处理策略的字符串生成的MD5值。如何生成MD5值可参考现有方式,在此不赘述。
发起方在发出加上厂商ID载荷的第一个IKE协商包后,响应者如同样支持第一处理策略,其返回的第二个IKE协商包(IKE协商包2)中将携带同样的厂商ID载荷,则发送方将确定双方均支持第一处理策略,就可以记录下对方支持第一处理策略。当然,响应者一方也会予以记录。
而如果响应者不支持第一处理策略,返回的第二个IKE协商包(IKE协商包2)将不会携带同样的厂商ID载荷。
下面将介绍接收方如何进行IP报文处理。
请参见图10a,接收方所执行的IP报文处理可包括如下步骤:
S101:接收方接收第一IP报文;
需要说明的是,第一、第二只用于区分。
S102:接收方识别上述第一IP报文是否是经发送方对第二IP报文执行第一处理策略处理后得到的报文;
其中,第一处理策略包括对第二IP报文进行加密处理;对加密处理得到的数据进行压缩处理。
第一处理策略的细节描述请参见本文前述图3、4及相关介绍,在此不作赘述。
S103:基于上述第一IP报文是经第一处理策略处理后得到的报文的识别结果,接收方对上述第一IP报文进行解压缩处理,并对解压缩处理得到的数据进行解密处理。
上述解压缩处理具体可为IPComp解压缩处理,上述解密处理具体可为IPSec解密处理。
将图3和4所示的第一处理策略与图1和6所示的第二处理策略比较可见,第一处理策略执行后,得到的IP报文中IP头的next header字段或协议字段为IPComp协议的协议号;而第二处理策略执行后,得到IP报文中IP头的next header字段或协议字段为IPSec协议类型。
基于上述差别,则请参见图10b,步骤S102可具体包括如下步骤:
S1021’:接收方识别上述第一IP报文的IP首部中的下一首部字段或协议字段是否为IPComp协议的协议号。
相应的,步骤S103可具体包括如下步骤:
S1031’:基于上述下一首部字段或协议字段的内容为IPComp协议的协议号的识别结果,接收方对上述第一IP报文中除IP首部和IPComp首部外的数据,进行IPComp解压缩处理,得到经IPComp解压缩处理后的数据;
当IP首部中的下一首部字段的内容为IPComp协议的协议号时,说明第一IP报文是经发送方对第二IP报文执行第一处理策略处理后得到的报文。所以需要先解压缩再解密。
S1032’:接收方去除经IPComp解压缩处理后的数据中的IPSec首部,对去除IPSec首部的经IPComp解压缩处理后的数据进行解密处理。
若加密时使用的是IPSec加密处理,则解密处理相应为IPSec解密处理。
在本发明其他实施例中,请参见图11a,接收方所执行的IP报文处理方法还可包括如下步骤:
S104:基于上述第一IP报文不是经第一处理策略处理后得到的报文的识别结果,接收方对第一IP报文进行解密处理,并对解密处理后得到的数据进行解压缩处理。
上述解压缩处理具体可为IPComp解压缩处理,上述解密处理具体可为IPSec解密处理。
进一步的,请参见图11b,步骤S104可包括如下步骤:
S1041’:基于上述下一首部字段或协议字段的内容不为IPComp协议的协议号的识别结果,对上述第一IP报文中除IP首部和IPSec首部外的数据,进行解密处理,得到解密处理后的数据;
当IP首部中的下一首部字段或协议字段的内容为IPSec协议类型时,说明第一IP报文为经发送方对第二IP报文执行上述第二处理策略处理后的报文。所以需要先进行IPSec解密再解压缩。
S1042’:接收方去除解密处理后的数据中的IPComp首部,对去除IPComp首部的解密处理后的数据进行解压缩处理。
在本发明其他实施例中,在步骤S101之后、步骤S102之前,上述方法还可包括如下步骤:
接收方确定接收的第一IP报文需进行识别。
需要进行识别的IP报文一般为需本地处理的IP报文。因为如果不是需本地处理的IP报文,直接转发就可以了,只有需本地处理的IP报文,才需要进行后续的解压缩、解密。
与之相对应,本发明还要求保护IP报文处理装置。该IP报文处理装置可作为发送方。
请参见图12,在作为发送方时,上述IP报文处理装置可包括:
获取单元1,用于获得第一IP报文;
长度确定单元2,用于确定第一IP报文的报文总长度;
比较单元3,用于将第一IP报文的报文总长度与预先设定的分界点长度值进行比较;
第一处理策略执行单元4,用于基于上述第一IP报文的报文总长度小于等于预先设定的分界点长度值的比较结果,执行第一处理策略;
上述第一处理策略包括:对上述IP报文进行加密处理;对加密处理得到的数据进行压缩处理。
第一生成单元5,用于生成携带有上述压缩处理后得到的数据的第二IP报文;
第一发送单元6,用于发送上述压缩处理后得到的数据。
具体细节请参见本文前述图2a、图3及相关记载,在此不作赘述。
可见,在本发明实施例,对于报文总长度小于等于分界点长度的IP报文,先进行加密处理,加密处理中会添加所采用的加密协议的首部,再对经加密处理后的报文进行压缩处理。由于添加的加密协议的首部具备压缩空间,所以可以提高报文总长度小于等于分界点长度的IP报文的压缩效率,减少报文占用带宽,使单位时间传输的报文数增加,进而可以提升业务带宽传输资源的利用效率。
在本发明其他实施例中,请参见图13,在作为发送方时,上述所有实施例中的IP报文处理装置还可包括:
协商单元7,用于在上述比较单元3将第一IP报文的报文总长度与预先设定的分界点长度值进行比较之前,与接收方通信,确定发送方和接收方都支持上述第一处理策略。
或者,协商单元7可在获取单元1获得第一IP报文之前,与接收方通信,确定发送方和接收方都支持上述第一处理策略。
更具体的,协商单元7所执行的操作,是在发送方与接收方进行IKE协商过程中执行的。具体详情请参见本文前述图7a、图7b、图8、图9及相关记载,在此不作赘述。
在本发明其他实施例中,请参见图14,在作为发送方时,上述所有实施例中的IP报文处理装置还可包括:
第二处理策略执行单元8,用于基于上述第一IP报文的报文总长度大于预先设定的分界点长度值的比较结果,执行第二处理策略。
上述第二处理策略包括,对上述第一IP报文进行压缩处理;对压缩处理后得到的数据进行加密处理。具体详情请参见本文前述图1、图5a及相关记载,在此不作赘述。
第二生成单元9,用于生成携带有加密处理后得到的数据的第三IP报文;
第二发送单元10,用于发送上述第三IP报文。
在本发明其他实施例中,在对上述第一IP报文进行加密处理的方面,上述所有实施例中的第一处理策略执行单元4可用于:
对上述第一IP报文的IP报文头和数据载荷部分进行IPSec加密处理。
在本发明其他实施例中,在对加密处理得到的数据进行压缩处理的方面,上述第一处理策略执行单元4用于:
对加密处理得到的数据进行IPComp压缩处理。
在本发明其他实施例中,上述所有实施例中的IP报文处理装置还可包括:
封装单元,用于在上述第一处理策略执行单元4对加密处理得到的数据进行IPComp压缩处理之后,在经IPComp压缩处理后得到的数据前添加IP首部;上述IP首部中next header字段或协议字段的内容为IPComp协议的协议号。
封装单元可属于第一处理策略执行单元。
也可说成,在本发明其他实施例中,第一处理策略执行单元还可用于:
在对加密处理得到的数据进行IPComp压缩处理之后,在经IPComp压缩处理后得到的数据前添加IP首部;上述IP首部中next header字段或协议字段的内容为IPComp协议的协议号。
或者,请参见图15,在作为发送方时,上述IP报文处理装置可包括:
获取单元1’,用于获得第一IP报文。
上述第一IP报文包括IP报文头和数据载荷部分;
确定单元2’,用于确定上述第一IP报文中数据载荷部分的长度;
比对单元3’,用于将第一IP报文中数据载荷部分的长度与预先设定的分界点长度值进行比较;
第一执行单元4’,用于基于上述第一IP报文中数据载荷部分的长度小于等于预先设定的分界点长度值的比较结果,执行第一处理策略;上述第一处理策略包括,对上述第一IP报文进行加密处理;对加密处理得到的数据进行压缩处理;
第一生成单元5’,用于生成携带有上述压缩处理后得到的数据的第二IP报文;
第一发送单元6’,用于发送上述第二IP报文。
可见,在本发明实施例,对于数据载荷部分小于等于分界点长度的IP报文,先进行加密处理,加密处理中会添加所采用的加密协议的首部,再对经加密处理后的报文进行压缩处理。由于添加的加密协议的首部具备压缩空间,所以可以提高报文总长度小于等于分界点长度的IP报文的压缩效率,减少报文占用带宽,使单位时间传输的报文数增加,进而可以提升业务带宽传输资源的利用效率。
在本发明其他实施例中,请参见图16,在作为发送方时,上述所有实施例中的IP报文处理装置还可包括:
协商单元7’,用于在上述比对单元3’将第一IP报文中数据载荷部分的长度与预先设定的分界点长度值进行比较之前,与接收方通信,确定发送方与接收方都支持上述第一处理策略。
或者,协商单元7’可用于在上述获取单元1’获得第一IP报文之前,与接收方通信,确定发送方与接收方都支持上述第一处理策略。
在本发明其他实施例中,请参见图17,在作为发送方时,上述所有实施例中的IP报文处理装置还可包括:
第二执行单元8’,用于基于上述第一IP报文中数据载荷部分的长度大于预先设定的分界点长度值的比较结果,执行第二处理策略。
上述第二处理策略包括,对上述第一IP报文进行压缩处理;对压缩处理后得到的数据进行加密处理。
第二生成单元9’,用于生成携带有上述加密处理后得到的数据的第三IP报文。
第二发送单元10’,用于发送上述加密处理后得到的数据。
在本发明其他实施例中,在对上述IP报文进行加密处理的方面,上述所有实施例中的第一执行单元4’可用于:
对上述第一IP报文的数据载荷部分进行IPSec加密处理。
在本发明其他实施例中,在对加密处理得到的数据进行压缩处理的方面,上述第一执行单元4’可用于:
对加密处理得到的数据进行IPComp压缩处理。
在本发明其他实施例中,上述所有实施例中的IP报文处理装置还可包括:
封装单元,用于在上述第一执行单元4’对加密处理得到的数据进行IPComp压缩处理之后,在经IPComp压缩处理后得到的数据前添加IP首部;上述IP首部中next header字段或协议字段的内容为IPComp协议的协议号。
封装单元可属于第一执行单元4’。
也可说成,在本发明其他实施例中,第一执行单元4’还可用于:
在对加密处理得到的数据进行IPComp压缩处理之后,在经IPComp压缩处理后得到的数据前添加IP首部;上述IP首部中next header字段或协议字段的内容为IPComp协议的协议号。
在本发明其他实施例中,请参见图18a,在作为接收方时,上述IP报文处理装置可包括:
接收单元181,用于接收第一IP报文;
识别单元182,用于识别上述第一IP报文是否是经发送方对第二IP报文执行第一处理策略处理后得到的报文。
更具体的,识别单元182可用于识别第一IP报文IP首部中下一首部字段或协议字段的是否为IPComp协议的协议号。
第一处理单元183,用于基于上述第一IP报文是经第一处理策略处理后得到的报文的识别结果,对上述第一IP报文进行解压缩处理,并对解压缩处理得到的数据进行解密处理。
在本发明其他实施例中,请参见图18b,上述所有实施例中的第一处理单元183可具体包括:
第一解压缩处理单元1831,用于基于上述下一首部字段或协议字段的内容为IPComp协议的协议号的识别结果,对上述第一IP报文中除IP首部和IPComp首部外的数据,进行IPComp解压缩处理,得到经IPComp解压缩处理后的数据;
第一解密处理单元1832,用于去除经IPComp解压缩处理后的数据中的IPSec首部,对去除IPSec首部的经IPComp解压缩处理后的数据进行解密处理。
在本发明其他实施例中,请参见图19a,在作为发送方时,上述IP报文处理装置还可包括:
第二处理单元184,用于基于上述第一IP报文不是经第一处理策略处理后得到的报文的识别结果,对上述第一IP报文进行解密处理,并对解密处理得到的数据进行解压缩处理。
在本发明其他实施例中,请参见图19b,上述所有实施例中的第二处理单元184可具体包括:
第二解密处理单元1841,用于基于上述下一首部字段或协议字段的内容不为IPComp协议的协议号的识别结果,对上述第一IP报文中除IP首部和IPSec首部外的数据,进行解密处理,得到解密处理后的数据;
第二解压缩处理单元1842,用于去除解密处理后的数据中的IPComp首部,对去除IPComp首部的解密处理后的数据进行解压缩处理。
需要说明的是,在实际中,某一设备在某一时刻或时段会作为接收方,在某一时刻或时段会作为发送方,因此,上述IP报文处理装置可同时包含图12-19b中的单元。
图20示出了上述装置的一种通用计算机系统结构。上述装置可为主机、网关、用户终端(UE)、基站等。
更具体的,上述装置可包括总线、处理器201、存储器202、通信接口203、输入设备204和输出设备205。处理器201、存储器202、通信接口203、输入设备204和输出设备205通过总线相互连接。其中:
总线可包括一通路,在计算机系统各个部件之间传送信息。
处理器201可以是通用处理器,例如通用中央处理器(CPU)、网络处理器(NetworkProcessor,简称NP)、微处理器等,也可以是特定应用集成电路(application-specificintegrated circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
存储器202中保存有执行本发明技术方案的程序,还可以保存有操作系统和其他应用程序。具体地,程序可以包括程序代码,程序代码包括计算机操作指令。更具体的,存储器202可以是只读存储器(read-only memory,ROM)、可存储静态信息和指令的其他类型的静态存储设备、随机存取存储器(random access memory,RAM)、可存储信息和指令的其他类型的动态存储设备、磁盘存储器等等。
输入设备204可包括接收用户输入的数据和信息的装置,例如键盘、鼠标、摄像头、扫描仪、光笔、语音输入装置、触摸屏等。
输出设备205可包括允许输出信息给用户的装置,例如显示屏、打印机、扬声器等。
通信接口203可包括使用任何收发器一类的装置,以便与其他设备或通信网络通信,如以太网,无线接入网(RAN),无线局域网(WLAN)等。
在作为发送方时,处理器201执行存储器202中所存放的程序代码,执行以下操作:
获得第一IP报文;
确定上述第一IP报文的报文总长度;
将上述第一IP报文的报文总长度与预先设定的分界点长度值进行比较;
基于上述第一IP报文的报文总长度小于等于预先设定的分界点长度值的比较结果,执行第一处理策略。其中,第一处理策略包括,对上述第一IP报文进行加密处理;对加密处理得到的数据进行压缩处理;
生成携带有上述压缩处理后得到的数据的第二IP报文;
发送上述第二IP报文。
上述加密处理具体可为IPSec加密处理;上述压缩处理具体可为IPComp压缩处理。
IPSec协议按其封装模式可分为隧道(tunnel)模式和传输(transport)模式。
对于隧道模式而言,上述所有实施例中的“对上述第一IP报文进行加密处理”可具体包括:对上述第一IP报文的IP报文头和数据载荷部分进行IPSec加密处理。
而对于传输模式而言,上述所有实施例中的“对上述第一IP报文进行加密处理”可具体包括:对上述第一IP报文的数据载荷部分进行IPSec加密处理。
当然,本领域技术人员还可采用其他加密处理方式,在此不作赘述。
在本发明其他实施例中,上述所有实施例中的“对加密处理得到的数据进行压缩处理”可具体包括:对加密处理得到的数据进行IPComp压缩处理。当然,本领域技术人员还可采用其他压缩处理方式,在此不作赘述。
在本发明其他实施例中,在对加密处理得到的数据进行IPComp压缩处理之后,上述处理器201执行存储器202中所存放的程序代码,还可执行以下操作:
在经IPComp压缩处理后得到的数据前添加IP首部;其中所添加的IP首部中nextheader字段或协议字段的内容为IPComp协议的协议号。
隧道模式和传输模式下的第一处理策略的具体描述请参见本文前述图3、图4及相关描述记载,在此不作赘述。
在本发明其他实施例中,针对隧道模式,在作为发送方时,上述处理器201执行存储器202中所存放的程序代码,还可执行以下操作:
基于第一IP报文的报文总长度大于预先设定的分界点长度值的比较结果,执行第二处理策略;上述第二处理策略可包括:对上述第一IP报文进行压缩处理;对压缩处理后得到的数据进行加密处理;
生成携带有上述加密处理后得到的数据的第三IP报文;
发送上述第三IP报文。
而针对传输模式,在作为发送方时,上述处理器201执行存储器202中所存放的程序代码,还可执行如下步骤:
基于第一IP报文中数据载荷部分的长度大于预先设定的分界点长度值的比较结果,发送方执行第二处理策略;第二处理策略可包括:对上述第一IP报文进行压缩处理;对压缩处理后得到的数据进行加密处理;
生成携带有上述加密处理后得到的数据的第三IP报文;
发送上述第三IP报文。
隧道模式和传输模式下的第二处理策略的具体描述请参见本文前述图1、图6及相关描述记载,在此不作赘述。
在本发明其他实施例中,在作为发送方时,上述处理器201执行存储器202中所存放的程序代码,还可执行如下操作:
与接收方通信,确定发送方和接收方都支持第一处理策略。
更具体的,这一步骤可在发送方与接收方进行IKE协商过程中执行的。具体描述请参见本文前述图8-9及相关记载,在此不作赘述。
而在作为接收方时,上述处理器201执行存储器202中所存放的程序代码,可执行如下操作:
接收第一IP报文;
识别上述第一IP报文是否是经发送方对第二IP报文执行第一处理策略处理后得到的的报文;其中,第一处理策略包括对上述第二IP报文进行加密处理;对加密处理得到的数据进行压缩处理;
基于上述第一IP报文是经上述第一处理策略处理后得到的报文的识别结果,对上述第一IP报文进行解压缩处理,并对解压缩处理得到的数据进行解密处理。
在本发明其他实施例中,在作为接收方时,上述处理器201执行存储器202中所存放的程序代码,还可执行如下操作:
基于上述第一IP报文不是经第一处理策略处理后得到的报文的识别结果,对上述第一IP报文进行解密处理,并对解密处理得到数据进行解压缩处理。
相关内容请参见本文前述图10b、图11b及相关描述记载,在此不作赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (14)
1.一种IP报文处理方法,其特征在于,包括:
发送方获得第一IP报文;
所述发送方确定所述第一IP报文的报文总长度;
所述发送方将所述第一IP报文的报文总长度与预先设定的分界点长度值进行比较;
基于所述第一IP报文的报文总长度小于等于预先设定的分界点长度值的比较结果,所述发送方执行第一处理策略;所述第一处理策略包括:对所述第一IP报文的IP报文头和数据载荷部分进行IPSec加密处理;对加密处理得到的数据进行IPComp压缩处理;
所述发送方生成携带有所述压缩处理后得到的数据的第二IP报文;
所述发送方发送所述第二IP报文。
2.如权利要求1所述的方法,其特征在于,在所述对加密处理得到的数据进行IPComp压缩处理的步骤之后,所述方法还包括:
在经IPComp压缩处理后得到的数据前添加IP首部;所述IP首部中next header字段或协议字段的内容为IPComp协议的协议号。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述第一IP报文的报文总长度大于预先设定的分界点长度值的比较结果,所述发送方执行第二处理策略;所述第二处理策略包括,对所述第一IP报文进行压缩处理;对压缩处理后得到的数据进行加密处理;
所述发送方生成携带有所述加密处理后得到的数据的第三IP报文;
所述发送方发送所述第三IP报文。
4.一种IP报文处理方法,其特征在于,包括:
发送方获得第一IP报文,所述第一IP报文包括IP报文头和数据载荷部分;
所述发送方确定所述第一IP报文中数据载荷部分的长度;
所述发送方将所述第一IP报文中数据载荷部分的长度与预先设定的分界点长度值进行比较;
基于所述第一IP报文中数据载荷部分的长度小于等于预先设定的分界点长度值的比较结果,所述发送方执行第一处理策略;所述第一处理策略包括,对所述第一IP报文的数据载荷部分进行IPSec加密处理;对加密处理得到的数据进行IPComp压缩处理;
所述发送方生成携带有所述压缩处理后得到的数据的第二IP报文;
所述发送方发送所述第二IP报文。
5.如权利要求1所述的方法,其特征在于,在所述对加密处理得到的数据进行IPComp压缩处理的步骤之后,所述方法还包括:
在经IPComp压缩处理后得到的数据前添加IP首部;所述IP首部中next header字段或协议字段的内容为IPComp协议的协议号。
6.如权利要求4所述的方法,其特征在于,所述方法还包括:
基于所述第一IP报文中数据载荷部分的长度大于预先设定的分界点长度值的比较结果,所述发送方执行第二处理策略;所述第二处理策略包括,对所述第一IP报文进行压缩处理;对压缩处理后得到的数据进行加密处理;
所述发送方生成携带有所述加密处理后得到的数据的第三IP报文;
所述发送方发送所述第三IP报文。
7.一种IP报文处理方法,其特征在于,包括:
接收方接收第一IP报文;
所述接收方识别所述第一IP报文是否是经发送方对第二IP报文执行第一处理策略处理后得到的报文,所述第一处理策略包括对所述第二IP报文的IP报文头和数据载荷部分进行IPSec加密处理,或对所述第二IP报文的数据载荷部分进行IPSec加密处理;对加密处理得到的数据进行IPComp压缩处理;
基于所述第一IP报文是经所述第一处理策略处理后得到的报文的识别结果,所述接收方对所述第一IP报文进行解压缩处理,并对解压缩处理得到的数据进行解密处理。
8.如权利要求7所述的方法,其特征在于,还包括:
基于所述第一IP报文不是经所述第一处理策略处理后得到的报文的识别结果,所述接收方对所述第一IP报文进行解密处理,并对解密处理得到的数据进行解压缩处理。
9.一种IP报文处理装置,其特征在于,包括:
获取单元,用于获得第一IP报文;
长度确定单元,用于确定所述第一IP报文的报文总长度;
比较单元,用于将所述第一IP报文的报文总长度与预先设定的分界点长度值进行比较;
第一处理策略执行单元,用于基于所述第一IP报文的报文总长度小于等于预先设定的分界点长度值的比较结果,执行第一处理策略;所述第一处理策略包括:对所述第一IP报文的IP报文头和数据载荷部分进行IPSec加密处理;对加密处理得到的数据进行IPComp压缩处理;
第一生成单元,用于生成携带有所述压缩处理后得到的数据的第二IP报文;
第一发送单元,用于发送所述第二IP报文。
10.如权利要求9所述的装置,其特征在于,还包括:
第二处理策略执行单元,用于基于所述第一IP报文的报文总长度大于预先设定的分界点长度值的比较结果,执行第二处理策略;所述第二处理策略包括,对所述第一IP报文进行压缩处理;对压缩处理后得到的数据进行加密处理;
第二生成单元,用于生成携带有所述加密处理后得到的数据的第三IP报文;
第二发送单元,用于发送所述第三IP报文。
11.一种IP报文处理装置,其特征在于,包括:
获取单元,用于获得第一IP报文,所述第一IP报文包括IP报文头和数据载荷部分;
确定单元,用于确定所述第一IP报文中数据载荷部分的长度;
比对单元,用于将所述第一IP报文中数据载荷部分的长度与预先设定的分界点长度值进行比较;
第一执行单元,用于基于所述第一IP报文中数据载荷部分的长度小于等于预先设定的分界点长度值的比较结果,执行第一处理策略;所述第一处理策略包括,对所述第一IP报文的数据载荷部分进行IPSec加密处理;对加密处理得到的数据进行IPComp压缩处理;
第一生成单元,用于生成携带有所述压缩处理后得到的数据的第二IP报文;
第一发送单元,用于发送所述第二IP报文。
12.如权利要求11所述的装置,其特征在于,还包括:
第二执行单元,用于基于所述第一IP报文中数据载荷部分的长度大于预先设定的分界点长度值的比较结果,执行第二处理策略;所述第二处理策略包括,对所述第一IP报文进行压缩处理;对压缩处理后得到的数据进行加密处理;
第二生成单元,用于生成携带有所述加密处理后得到的数据的第三IP报文;
第二发送单元,用于发送所述第三IP报文。
13.一种IP报文处理装置,其特征在于,包括:
接收单元,用于接收第一IP报文;
识别单元,用于识别所述第一IP报文是否是经发送方对第二IP报文执行第一处理策略处理后得到的报文;所述第一处理策略包括对所述第二IP报文的IP报文头和数据载荷部分进行IPSec加密处理或对所述第二IP报文的数据载荷部分进行IPSec加密处理;对加密处理得到的数据进行IPComp压缩处理;
第一处理单元,用于基于所述第一IP报文是经所述第一处理策略处理后得到的报文的识别结果,对所述第一IP报文进行解压缩处理,并对解压缩处理得到的数据进行解密处理。
14.如权利要求13所述的装置,其特征在于,还包括:
第二处理单元,用于基于所述第一IP报文不是经所述第一处理策略处理后得到的报文的识别结果,对所述接收到的第一IP报文进行解密处理,并对解密处理得到的数据进行解压缩处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410658611.5A CN105592030B (zh) | 2014-11-18 | 2014-11-18 | Ip报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410658611.5A CN105592030B (zh) | 2014-11-18 | 2014-11-18 | Ip报文处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105592030A CN105592030A (zh) | 2016-05-18 |
| CN105592030B true CN105592030B (zh) | 2019-06-07 |
Family
ID=55931248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410658611.5A Active CN105592030B (zh) | 2014-11-18 | 2014-11-18 | Ip报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105592030B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912859B (zh) * | 2018-09-17 | 2021-12-14 | 华为技术有限公司 | 发送报文的方法、接收报文的方法及网络设备 |
| CN112995039A (zh) * | 2021-03-05 | 2021-06-18 | 迈普通信技术股份有限公司 | 报文处理方法及系统 |
| CN113194097B (zh) * | 2021-04-30 | 2022-02-11 | 北京数盾信息科技有限公司 | 一种安全网关的数据处理方法、装置及安全网关 |
| CN114301642A (zh) * | 2021-12-15 | 2022-04-08 | 深圳市智莱科技股份有限公司 | 数据传输方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562516A (zh) * | 2008-04-15 | 2009-10-21 | 华为技术有限公司 | 数据同步方法、客户端、服务器及系统 |
| CN102724133A (zh) * | 2012-06-29 | 2012-10-10 | 杭州华三通信技术有限公司 | 一种ip报文传输的方法及装置 |
| CN103139222A (zh) * | 2013-03-19 | 2013-06-05 | 成都卫士通信息产业股份有限公司 | 一种ipsec隧道数据传输方法及装置 |
| CN103646121A (zh) * | 2013-12-27 | 2014-03-19 | 税友软件集团股份有限公司 | 一种标识码及使用方法和装置 |
| CN103888416A (zh) * | 2012-12-20 | 2014-06-25 | 海尔集团公司 | 防止安防系统终端设备存储的ip信息泄露的方法及装置 |
-
2014
- 2014-11-18 CN CN201410658611.5A patent/CN105592030B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562516A (zh) * | 2008-04-15 | 2009-10-21 | 华为技术有限公司 | 数据同步方法、客户端、服务器及系统 |
| CN102724133A (zh) * | 2012-06-29 | 2012-10-10 | 杭州华三通信技术有限公司 | 一种ip报文传输的方法及装置 |
| CN103888416A (zh) * | 2012-12-20 | 2014-06-25 | 海尔集团公司 | 防止安防系统终端设备存储的ip信息泄露的方法及装置 |
| CN103139222A (zh) * | 2013-03-19 | 2013-06-05 | 成都卫士通信息产业股份有限公司 | 一种ipsec隧道数据传输方法及装置 |
| CN103646121A (zh) * | 2013-12-27 | 2014-03-19 | 税友软件集团股份有限公司 | 一种标识码及使用方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105592030A (zh) | 2016-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3701690B1 (en) | Method, device, and system for offloading algorithms | |
| EP3603001B1 (en) | Hardware-accelerated payload filtering in secure communication | |
| CN109450852B (zh) | 网络通信加密解密方法及电子设备 | |
| US9794064B2 (en) | Client(s) to cloud or remote server secure data or file object encryption gateway | |
| EP2742665B1 (en) | Method and apparatus for coordinating compression information through key establishment protocols | |
| JP5640226B2 (ja) | 第1ドメインのクライアントと第2ドメインのサーバとの間でセキュアな通信チャネルを確立するための装置、方法およびプログラム | |
| TW201644252A (zh) | 用於經由代理伺服器之安全視訊、影像、音訊及其他媒體訊務之接收及傳輸最佳化的系統及方法 | |
| CN107046495B (zh) | 用于构建虚拟专用网络的方法、装置和系统 | |
| CN105592030B (zh) | Ip报文处理方法及装置 | |
| CN108401011A (zh) | 内容分发网络中握手请求的加速方法、设备及边缘节点 | |
| CN106714154B (zh) | 用于通用自举架构协议的代理服务器、方法和系统 | |
| US20190207776A1 (en) | Session management for communications between a device and a dtls server | |
| CN107135190B (zh) | 基于传输层安全连接的数据流量归属识别方法及装置 | |
| EP2919498B1 (en) | Method, device and system for packet processing through a relay | |
| US10419212B2 (en) | Methods, systems, apparatuses, and devices for securing network communications using multiple security protocols | |
| CN115622772A (zh) | 一种金融业务服务的金融数据传输方法及应用网关 | |
| JP2017191965A (ja) | 通信装置及びパケット送受信プログラム | |
| Varadarajan et al. | Implementing IPsec in wireless sensor networks | |
| CN105991636B (zh) | 基于ike协议的端口协商方法及装置 | |
| CN103428199B (zh) | 一种适用于IPv6的信息防泄漏方法及系统 | |
| CN107431691A (zh) | 一种数据包传输方法、装置、节点设备以及系统 | |
| US20130283363A1 (en) | Secure data transfer over an arbitrary public or private transport | |
| CN111835613B (zh) | 一种vpn服务器的数据传输方法及vpn服务器 | |
| WO2020140842A1 (zh) | 数据传输方法、设备与系统 | |
| CN108109625B (zh) | 手机语音识别内外网传输系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |