CN115242561A - IPSec传输模式超限包后分片处理方法、设备及介质 - Google Patents
IPSec传输模式超限包后分片处理方法、设备及介质 Download PDFInfo
- Publication number
- CN115242561A CN115242561A CN202211164988.6A CN202211164988A CN115242561A CN 115242561 A CN115242561 A CN 115242561A CN 202211164988 A CN202211164988 A CN 202211164988A CN 115242561 A CN115242561 A CN 115242561A
- Authority
- CN
- China
- Prior art keywords
- fragment
- ipsec
- original
- data packet
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/36—Flow control; Congestion control by determining packet size, e.g. maximum transfer unit [MTU]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种IPSec传输模式超限包后分片处理方法、设备及介质,属于网络加密传输领域,包括步骤:S1,IPSec发送端进行IPSec加密处理;S2,对IPSec加密处理后的载荷进行分片形成第一分片数据包和第二分片数据包并处理;S3,IPSec接收端确定所有分片数据包收齐后,判断是否受IPSec保护并处理;S4,按照重新计算的新的IP头中的分片字段信息,对接收的分片数据包进行重组;S5,对重组后的数据包进行解密处理,完成原始数据恢复。本发明解决了在网络加密传输过程中,IP数据包加密后,MTU数据长度超限导致的网络业务流量中断、不连续的问题。
Description
技术领域
本发明涉及网络加密传输领域,更为具体的,涉及一种IPSec传输模式超限包后分片处理方法、设备及介质。
背景技术
应用IPSec封装保护后的IP数据包会发生数据膨胀。如果膨胀后的报文大于路径MTU,需要对数据报文进行切片处理。
在隧道模式下,IPSec保护了原始报文的IP头和载荷部分,因此不存在IPSec接收端无法识别分片是在IPSec处理前还是IPSec处理后的问题。在传输模式下,IP头不进行IPSec保护。在极端情况下,IP的分片数据包经过IPSec发送端进行处理之后大于路径MTU,需要进行分片。IPsec接收端上的重组过程将无法区分IPsec处理前进行的分片还是IPsec处理后进行的分片。因此RFC4301规定,传输模式的IPSec不支持对IP分片数据包的保护。但是在实际应用环境中确实存在IP分片数据包经过IPSec发送端进行加密处理之后大于路径MTU长度,从而导致加密业务传输出现不正常的问题。
发明内容
本发明的目的在于克服现有技术的不足,提供一种IPSec传输模式超限包后分片处理方法、设备及介质,解决了在网络加密传输过程中,分片数据包MTU数据长度超限出现的网络业务流量中断、不连续的问题。
本发明的目的是通过以下方案实现的:
一种IPSec传输模式超限包后分片处理方法,包括以下步骤:
S1,IPSec发送端的原始报文进行IPSec加密处理;
S2,对IPSec加密处理后的载荷进行分片形成第一分片数据包和第二分片数据包;第一分片数据包包括第一新IP头、Esp头、原始分片字段以及部分原始载荷,这四部分合在一起作为所述第一分片数据包;将原始IP数据包的分片字段提取出来,存放到分片后的载荷前面的字段;并将原始IP头分片字段值重新计算并更新,形成第二新IP头;第二分片数据包包括第三新IP头、原始载荷和Esp尾,对第二分片数据包IP头分片字段进行重新计算,并更新,形成第四新IP头;
S3,IPSec接收端确定所有分片数据包收齐后,判断首个分片数据包的ESP头是否受IPSec保护;如果受保护,使用首片分片数据包的SPI进行SA匹配;匹配失败则进行SPD匹配,按照SPD配置进行丢弃或透传处理;匹配成功则进行步骤S4;如果不受保护,则中断以下步骤;
S4,按照重新计算的第二新IP头和第四新IP头中的分片字段信息,对接收的分片数据包进行重组;
S5,对重组后的数据包进行解密处理,再完成原始数据恢复。
进一步地,在步骤S1中,包括子步骤:首先确定所有分片数据包收齐后,提取首片分片数据包的五元组信息进行SPD匹配,确定IPSec加密处理方式,在完成IPSec加密处理后的分片数据包添加有Esp头、Esp尾字段及原始IP数据包分片字段,且分片数据包长度超过路径MTU最大长度。
进一步地,在步骤S1中,所述IPSec发送端的原始报文经过IPSec加密后添加了Esp头及Esp尾字段以及原始IP数据包分片字段。
进一步地,在步骤S2中,所述将原始IP头分片字段值重新计算具体为将原始IP头中的基地址加上分片偏移地址后重新计算。
进一步地,在步骤S5中,包括子步骤:接收端在解密后按照原始分片字段的分片信息,对原始载荷进行拼接,恢复完整信息。
进一步地,在步骤S1中,所述IPSec加密处理,包括子步骤:对IP数据包的原始分片字段采取保护措施,与数据载荷一同进行加密。
进一步地,在RFC4301协议规范中ESP传输模式下执行步骤S1~步骤S5。
一种计算机设备,包括处理器和存储器,在存储器中存储有程序指令,当程序指令被处理器加载运行时执行如上任一所述的IPSec传输模式超限包后分片处理方法。
一种可读存储介质,包括存储器,在存储器中存储有程序指令,当程序指令被处理器加载运行时执行如上任一所述的IPSec传输模式超限包后分片处理方法。
本发明的有益效果包括:
本发明创新性地提出了一种IPSec传输模式下后分片处理方案,利用加密后分片处理方式,解决了在网络加密传输过程中,IP分片数据包经过IPSec加密后长度超过路径MTU最大长度1518字节后,出现网络业务(如视频业务)流量中断、不连续的棘手问题,例如视频业务等。
本发明提出的后片处理方式,是对RFC4301协议规范一种有益的增补。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为发送端IPsec加密后分片处理的示意图;
图2为接收端IPsec加密后分片处理的示意图。
具体实施方式
本说明书中所有实施例公开的所有特征,或隐含公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合和/或扩展、替换。
术语解释
路径MTU(Maximum Transmission Unit):MTU最大传输单元,路径MTU,它是指一条因特网传输路径中,从源地址到目的地址所经过的“路径”上的所有IP跳的最大传输单元的最小值。
SPD(Security Policy Database,SPD):安全策略数据库
SPI:32比特,标识一个安全关联
SA(Security Association):安全关联
本发明实施例主要应用在IPV4加密传输模式下,通过一种IPSec加密后分片处理方法,解决IP分片数据包经过IPSec加密后,长度超过路径MTU,从而导致业务不连续,甚至中断的问题。
本发明的发明人经过创造性的思考发现,上述技术问题产生的根源在于,IPsec加密之前的分片数据包长度是正常的,没有超过路径MTU长度,但是由于经过加密处理,比如加密后会添加ESP字段,以及加密后产生的附加字段等原因,导致分片超长。因此需要在ESP加密后进行分片处理,把数据包分成若干片,这样每一小片的长度都小于路径MTU。
本发明的发明人经过创造性的思考提出如下解决方案,可解决上述问题,并对重要信息字段进行保护,实现对原IPsec加密传输协议的增强。RFC4301对传输模式下的协议片并未有规定,同时也未见其它公开发表的文章及专利中提供解决方案。因此,本发明实施例提出的加密后分片处理方法添补了此项空白,为此类加密后长度超限问题提供解决方法,并已在实际应用中证明该方法的有效性。
在具体实施过程中,详述如下:在发明构思上,本发明设计思路主要以IPsec协议架构为框架,针对IP分片数据包经过IPsec加密后长度超限,以及IP分片数据包的分片字段易受攻击等问题,用一种加密后处理方式,对IPsec加密传输模式协议进行改进增强设计。
具体而言,关于本发明实施例提出的IPsec加密后分片处理方法,如图1所示,发送端原始报文经过IPsec加密后添加了ESP头及ESP尾字段以及原始IP数据包分片字段,增加这3个字段后,IP分片长度已超过路径MTU最大长度1518字节,网络不能正常传输。本发明实施例技术方案提出对增加了ESP头、ESP尾字段及原始IP数据包分片字段的载荷进行分片,其中第一分片数据包包括了新IP头、ESP头、原始分片字段及部分原始载荷,做为第一分片数据包,并将原始的IP头分片字段值按照新的分片切分方法(将原始IP头中的基地址加上分片偏移地址后重新计算)重新计算,改变IP分片长度;同时将原始IP数据包的分片字段提取出来,存放到载荷前的分片字段。第二分片数据包包括了原始载荷和ESP尾,同时对新IP头中第二分片数据包分片字段进行重新计算,并更新。接收端进行相反过程处理即可。
具体而言,关于本发明实施例提出的IPsec加密传输模式保护增强协议设计。参看图1,对原始分片数据包进行加密分片后,原始分片数据包里的分片字段信息需要在接收端进行解密时应用。具体参看图2,接收端在解密后需要按照原始分片字段的分片信息,对原始载荷进行拼接,恢复完整信息。鉴于原始分片信息的重要性,本发明实施例方案对原始分片字段采取保护措施,与数据载荷一同进行加密。
基于如上技术构思,在本发明实施例中,提供如下工作流程步骤:
第一步:IPsec发送端进行IPsec处理。
第二步:对IP分片加密后添加了ESP头及ESP尾字段以及原始IP数据包分片字段,增加这3个字段后,IP分片长度已超限。其中原始分片字段记录了原始IP头的分片字段信息。
第三步:对加密后的IP数据包进行分片,其中第一包包括了新IP头、ESP头、原始分片字段以及部分原始载荷,这四部分合在一起作为第一个分片的新载荷,并将原始的IP头分片字段值按照新的方法(原始IP头中的基地址加上分片偏移地址后重新计算)重新计算并更新;同时将原始IP数据包的分片字段提取出来,存放到载荷前的分片字段。第二分片数据包包括了原始载荷和ESP尾,同时对第二分片数据包分片字段进行重新计算,并更新。
第四步:IPsec接收端确定所有分片数据包收齐后,判断首个分片数据包的ESP头是否IPsec保护。如果受保护,使用首片分片数据包的SPI进行SA匹配。匹配失败则进行SPD匹配,按照SPD配置进行丢弃或透传处理。匹配成功则需要进行下一步。如果不受保护,则中止以下步骤。
第五步:按照重新计算的新的IP头中的分片字段信息,对接收的分片数据包进行重组。
第六步:对重组后的数据包进行解密处理,再完成原始数据恢复。
在本发明实施例中,RFC4301协议规范中,虽然ESP隧道模式对原IPv4头部进行整体加密保护,安全性得到了保障,但是在某些应用场景,例如对于需要提供QOS服务的网络中需要提供IP头中的明文地址信息,即ESP隧道模式不能满足应用需求,需要使用ESP传输模式;但是在RFC4301协议规范中,ESP传输模式不承载分片。如前所述,即RFC4301协议规范中ESP传输模式协议不能满足加密后分片长度超限的实际应用需求,而本发明提出的后片处理方式,是对RFC4301协议规范一种有益的增补。
实施例1
一种IPSec传输模式超限包后分片处理方法,包括以下步骤:
S1,IPSec发送端的原始报文进行IPSec加密处理;
S2,对IPSec加密处理后的载荷进行分片形成第一分片数据包和第二分片数据包;第一分片数据包包括第一新IP头、Esp头、原始分片字段以及部分原始载荷,这四部分合在一起作为所述第一分片数据包;将原始IP数据包的分片字段提取出来,存放到分片后的载荷前面的字段;并将原始IP头分片字段值重新计算并更新,形成第二新IP头;第二分片数据包包括第三新IP头、原始载荷和Esp尾,对第二分片数据包IP头分片字段进行重新计算,并更新,形成第四新IP头;
S3,IPSec接收端确定所有分片数据包收齐后,判断首个分片数据包的ESP头是否受IPSec保护;如果受保护,使用首片分片数据包的SPI进行SA匹配;匹配失败则进行SPD匹配,按照SPD配置进行丢弃或透传处理;匹配成功则进行步骤S4;如果不受保护,则中断以下步骤;
S4,按照重新计算的第二新IP头和第四新IP头中的分片字段信息,对接收的分片数据包进行重组;
S5,对重组后的数据包进行解密处理,再完成原始数据恢复。
实施例2
在实施例1的基础上,在步骤S1中,包括子步骤:首先确定所有分片数据包收齐后,提取首片分片数据包的五元组信息进行SPD匹配,确定IPSec加密处理方式,在完成IPSec加密处理后的分片数据包添加有Esp头、Esp尾字段及原始IP数据包分片字段,且分片数据包长度超过路径MTU最大长度。
实施例3
在实施例1的基础上,在步骤S1中,所述IPSec发送端的原始报文经过IPSec加密后添加了Esp头及Esp尾字段以及原始IP数据包分片字段。
实施例4
在实施例1的基础上,在步骤S2中,所述将原始IP头分片字段值重新计算具体为将原始IP头中的基地址加上分片偏移地址后重新计算。
实施例5
在实施例1的基础上,在步骤S5中,包括子步骤:接收端在解密后按照原始分片字段的分片信息,对原始载荷进行拼接,恢复完整信息。
实施例6
在实施例1的基础上,在步骤S1中,所述IPSec加密处理,包括子步骤:对IP数据包的原始分片字段采取保护措施,与数据载荷一同进行加密。
实施例7
在实施例1的基础上,在RFC4301协议规范中ESP传输模式下执行步骤S1~步骤S5。
实施例8
一种计算机设备,包括处理器和存储器,在存储器中存储有程序指令,当程序指令被处理器加载运行时执行如实施例1~实施例7任一所述的IPSec传输模式超限包后分片处理方法。
实施例9
一种可读存储介质,包括存储器,在存储器中存储有程序指令,当程序指令被处理器加载运行时执行如实施例1~实施例7任一所述的IPSec传输模式超限包后分片处理方法。
描述于本发明实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种可选实现方式中提供的方法。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现上述实施例中所述的方法。
本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。
上述技术方案只是本发明的一种实施方式,对于本领域内的技术人员而言,在本发明公开了应用方法和原理的基础上,很容易做出各种类型的改进或变形,而不仅限于本发明上述具体实施方式所描述的方法,因此前面描述的方式只是优选的,而并不具有限制性的意义。
除以上实例以外,本领域技术人员根据上述公开内容获得启示或利用相关领域的知识或技术进行改动获得其他实施例,各个实施例的特征可以互换或替换,本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (9)
1.一种IPSec传输模式超限包后分片处理方法,其特征在于,包括以下步骤:
S1,IPSec发送端的原始报文进行IPSec加密处理;
S2,对IPSec加密处理后的载荷进行分片形成第一分片数据包和第二分片数据包;第一分片数据包包括第一新IP头、Esp头、原始分片字段以及部分原始载荷,这四部分合在一起作为所述第一分片数据包;将原始IP数据包的分片字段提取出来,存放到分片后的载荷前面的字段;并将原始IP头分片字段值重新计算并更新,形成第二新IP头;第二分片数据包包括第三新IP头、原始载荷和Esp尾,对第二分片数据包IP头分片字段进行重新计算,并更新,形成第四新IP头;
S3,IPSec接收端确定所有分片数据包收齐后,判断首个分片数据包的ESP头是否受IPSec保护;如果受保护,使用首片分片数据包的SPI进行SA匹配;匹配失败则进行SPD匹配,按照SPD配置进行丢弃或透传处理;匹配成功则进行步骤S4;如果不受保护,则中断以下步骤;
S4,按照重新计算的第二新IP头和第四新IP头中的分片字段信息,对接收的分片数据包进行重组;
S5,对重组后的数据包进行解密处理,再完成原始数据恢复。
2.根据权利要求1所述的IPSec传输模式超限包后分片处理方法,其特征在于,在步骤S1中,包括子步骤:首先确定所有分片数据包收齐后,提取首片分片数据包的五元组信息进行SPD匹配,确定IPSec加密处理方式,在完成IPSec加密处理后的分片数据包添加有Esp头、Esp尾字段及原始IP数据包分片字段,且分片数据包长度超过路径MTU最大长度。
3.根据权利要求1所述的IPSec传输模式超限包后分片处理方法,其特征在于,在步骤S1中,所述IPSec发送端的原始报文经过IPSec加密后添加了Esp头及Esp尾字段以及原始IP数据包分片字段。
4.根据权利要求1所述的IPSec传输模式超限包后分片处理方法,其特征在于,在步骤S2中,所述将原始IP头分片字段值重新计算具体为将原始IP头中的基地址加上分片偏移地址后重新计算。
5.根据权利要求1所述的IPSec传输模式超限包后分片处理方法,其特征在于,在步骤S5中,包括子步骤:接收端在解密后按照原始分片字段的分片信息,对原始载荷进行拼接,恢复完整信息。
6.根据权利要求1所述的IPSec传输模式超限包后分片处理方法,其特征在于,在步骤S1中,所述IPSec加密处理,包括子步骤:对IP数据包的原始分片字段采取保护措施,与数据载荷一同进行加密。
7.根据权利要求1所述的IPSec传输模式超限包后分片处理方法,其特征在于,在RFC4301协议规范中ESP传输模式下执行步骤S1~步骤S5。
8.一种计算机设备,其特征在于,包括处理器和存储器,在存储器中存储有程序指令,当程序指令被处理器加载运行时执行如权利要求1~7任一所述的IPSec传输模式超限包后分片处理方法。
9.一种可读存储介质,其特征在于,包括存储器,在存储器中存储有程序指令,当程序指令被处理器加载运行时执行如权利要求1~7任一所述的IPSec传输模式超限包后分片处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211164988.6A CN115242561B (zh) | 2022-09-23 | 2022-09-23 | IPSec传输模式超限包后分片处理方法、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211164988.6A CN115242561B (zh) | 2022-09-23 | 2022-09-23 | IPSec传输模式超限包后分片处理方法、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115242561A true CN115242561A (zh) | 2022-10-25 |
| CN115242561B CN115242561B (zh) | 2023-01-31 |
Family
ID=83667437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211164988.6A Active CN115242561B (zh) | 2022-09-23 | 2022-09-23 | IPSec传输模式超限包后分片处理方法、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115242561B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115720214A (zh) * | 2022-11-15 | 2023-02-28 | 北京安盟信息技术股份有限公司 | IPSec传输模式下IP数据报文重组方法、系统、介质及设备 |
| CN116389169A (zh) * | 2023-06-02 | 2023-07-04 | 源山讯通(北京)科技有限公司 | 一种避免国密IPSecVPN网关数据包乱序、分片的方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006079139A1 (en) * | 2004-10-12 | 2006-08-03 | Canon Kabushiki Kaisha | Concurrent ipsec processing system and method |
| CN102377524A (zh) * | 2011-10-11 | 2012-03-14 | 北京邮电大学 | 分片处理的方法和系统 |
| CN103888450A (zh) * | 2014-03-06 | 2014-06-25 | 江苏金陵科技集团有限公司 | 一种Windows平台IPSec处理方法 |
| CN104394148A (zh) * | 2014-11-26 | 2015-03-04 | 东南大学 | IPv6下IPSec协议外出处理硬件实现系统 |
| CN110430221A (zh) * | 2019-08-30 | 2019-11-08 | 天津大学 | 一种基于邻居发现协议的ndp-esp网络安全方法 |
| CN111245862A (zh) * | 2020-02-25 | 2020-06-05 | 无锡艾立德智能科技有限公司 | 一种物联网终端数据安全接收、发送的系统 |
| CN114244577A (zh) * | 2021-11-24 | 2022-03-25 | 贵州电网有限责任公司 | 一种基于esp的报文处理方法 |
| CN115037563A (zh) * | 2022-08-11 | 2022-09-09 | 中国电子科技集团公司第三十研究所 | 一种IPSec加密传输模式下IP数据报的预分片处理方法 |
-
2022
- 2022-09-23 CN CN202211164988.6A patent/CN115242561B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006079139A1 (en) * | 2004-10-12 | 2006-08-03 | Canon Kabushiki Kaisha | Concurrent ipsec processing system and method |
| CN102377524A (zh) * | 2011-10-11 | 2012-03-14 | 北京邮电大学 | 分片处理的方法和系统 |
| CN103888450A (zh) * | 2014-03-06 | 2014-06-25 | 江苏金陵科技集团有限公司 | 一种Windows平台IPSec处理方法 |
| CN104394148A (zh) * | 2014-11-26 | 2015-03-04 | 东南大学 | IPv6下IPSec协议外出处理硬件实现系统 |
| CN110430221A (zh) * | 2019-08-30 | 2019-11-08 | 天津大学 | 一种基于邻居发现协议的ndp-esp网络安全方法 |
| CN111245862A (zh) * | 2020-02-25 | 2020-06-05 | 无锡艾立德智能科技有限公司 | 一种物联网终端数据安全接收、发送的系统 |
| CN114244577A (zh) * | 2021-11-24 | 2022-03-25 | 贵州电网有限责任公司 | 一种基于esp的报文处理方法 |
| CN115037563A (zh) * | 2022-08-11 | 2022-09-09 | 中国电子科技集团公司第三十研究所 | 一种IPSec加密传输模式下IP数据报的预分片处理方法 |
Non-Patent Citations (2)
| Title |
|---|
| 徐竹冰: "IPSec网络安全构架", 《计算机系统应用》 * |
| 郭栋等: "基于IPv6流标签的IPsec无开销封装模式", 《通信技术》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115720214A (zh) * | 2022-11-15 | 2023-02-28 | 北京安盟信息技术股份有限公司 | IPSec传输模式下IP数据报文重组方法、系统、介质及设备 |
| CN115720214B (zh) * | 2022-11-15 | 2024-04-16 | 北京安盟信息技术股份有限公司 | IPSec传输模式下IP数据报文重组方法、系统、介质及设备 |
| CN116389169A (zh) * | 2023-06-02 | 2023-07-04 | 源山讯通(北京)科技有限公司 | 一种避免国密IPSecVPN网关数据包乱序、分片的方法 |
| CN116389169B (zh) * | 2023-06-02 | 2023-08-04 | 源山讯通(北京)科技有限公司 | 一种避免国密IPSecVPN网关数据包乱序、分片的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115242561B (zh) | 2023-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115242561B (zh) | IPSec传输模式超限包后分片处理方法、设备及介质 | |
| US7818564B2 (en) | Deciphering of fragmented enciphered data packets | |
| EP1203477B1 (en) | Protection of communications | |
| US7003118B1 (en) | High performance IPSEC hardware accelerator for packet classification | |
| US20020188871A1 (en) | System and method for managing security packet processing | |
| US9130800B2 (en) | Method for inserting/removal padding from packets | |
| US7082477B1 (en) | Virtual application of features to electronic messages | |
| US20220174051A1 (en) | Packet transmission method and apparatus and computer storage medium | |
| US20090249059A1 (en) | Packet encryption method, packet decryption method and decryption device | |
| US20040215955A1 (en) | Encrypted packet, processing device, method, program, and program recording medium | |
| JP5205075B2 (ja) | 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置 | |
| EP1580958A1 (en) | Internet protocol tunnelling using templates | |
| EP4145790A1 (en) | Method and device for verifying srv6 packet | |
| US10044841B2 (en) | Methods and systems for creating protocol header for embedded layer two packets | |
| JP2007135035A (ja) | 通信装置及びパケット処理方法 | |
| CN115037563B (zh) | 一种IPSec加密传输模式下IP数据报的预分片处理方法 | |
| US7969977B2 (en) | Processing apparatus and method for processing IP packets | |
| US9467471B2 (en) | Encrypted communication apparatus and control method therefor | |
| KR100415554B1 (ko) | 정보 보호 인터넷 프로토콜 패킷의 송수신 방법 | |
| CN106899606A (zh) | 一种报文处理方法和装置 | |
| CN106161386B (zh) | 一种实现IPsec分流的方法和装置 | |
| JP2004343731A (ja) | 暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体 | |
| CN109587163B (zh) | 一种dr模式下的防护方法和装置 | |
| JP2006005425A (ja) | 暗号化パケットの受信方法ならびに受信処理装置 | |
| CN115529180B (zh) | IPSec加解密卸载方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |