(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210959295.X (22)申请日 2022.08.11 (65)同一申请的已公布的文献号 申请公布号 CN 115037563 A (43)申请公布日 2022.09.09 (73)专利权人 中国电子科技 集团公司第三十 研 究所 地址 610000 四川省成 都市高新区创业路6 号 (72)发明人 陈世康　陈敏　陈浩　周冰　 李克楠　陈益龙　程威睿　陈洋　 杨乐怡　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 专利代理师 王会改(51)Int.Cl. H04L 9/40(2022.01) (56)对比文件 CN 1777174 A,20 06.05.24 CN 1777174 A,20 06.05.24 CN 114050920 A,202 2.02.15 WO 2009018510 A1,20 09.02.05 3GPP."5G System Public Land Mobi le Network (PLMN) Interconnection". 《3GPP TS 29.573 V15.2.0》 .2019, 刘伟等.Windows平台中IPSec VPN的设计与 实现. 《微计算机信息》 .20 06,(第36期), 审查员 张洁 (54)发明名称 一种IPSec加密传输模式下IP数据报的预分 片处理方法 (57)摘要 本发明公开了一种IPSec加密传输模式下IP 数据报的预分片处理方法， 包括以下步骤： 若IP 数据报的长度大于路径MTU， 则对IP数据报进行 分片处理； 采用IPSec加密传输模式保护增强协 议， 对分片得到的IP数据报分片进行加密； 对加 密后的所述IP数据报分片进行解密， 恢复原始的 所述IP数据报。 本发明对IP数据 报进行加密前预 先分片， 确保IP数据报分片即使经过加密后， 也 不会出现长度超过路径MTU最大长度的情况， 解 决了在网络加密传输过程中， IP数据报长度超 限， 导致某些业 务不连续、 业 务中断等问题。 权利要求书1页 说明书4页 附图2页 CN 115037563 B 2022.12.09 CN 115037563 B 1.一种IPSec加密传输模式下IP数据报的预分片处理方法， 其特征在于， 包括以下步 骤： 步骤1： 若IP数据报的长度大于路径MT U， 则对IP数据报进行分片处 理； 步骤2： 采用IP Sec加密传输模式保护增强协议， 对分片得到的IP数据报分片进行加密； IPSec接收端提取每 个IP数据报分片的载荷， 判断其是否为 IPSec保护； 若IP数据报分片的载荷受IP Sec保护， 则使用ES P头的SPI进行SA匹配； 步骤3： 对加密后的所述 IP数据报分片进行解密， 恢复原 始的所述 IP数据报； 所述IP数据报包括IP头和载荷； 所述IP数据报分片包括IP1头和载荷片； 所述IP1头的 分片字段由IP头的分片字段和载荷的分片 指针共同决定， 重新 修改IP数据报的长度； 加密后的所述IP数据报 分片包括IP2头、 ESP头和加密保护区域； 其中， 加密保护区域由 分片字段、 载荷分片和ESP尾构成； 分片字段位于ESP头 之后， 载荷片之前； E sp尾位于载荷片 之后； 加密后的所述IP数据报分片的分片字段清零， 然后保留IP1头的分片字段信息， 并计算 头校验， 生成组包完成后的IP2头 。 2.根据权利要求1所述的方法， 其特 征在于， 所述对IP数据报进行分片处 理， 包括： 步骤11： IPSec发送端对IP数据报进行IPSec处理， 确定所有需要分片的IP数据报， 提取 其中首个IP数据报的五元组信息进行S PD匹配， 确定处 理方式； 步骤12： 对所有需要分片的IP数据报进行分片处 理。 3.根据权利要求2所述的方法， 其特 征在于， 所述 步骤12包括： 分别对所有需要分片的IP数据报进行分片， 得到每个IP数据报对应的多个IP数据报分 片。 4.根据权利要求1所述的方法， 其特征在于， 加密后的所述IP数据报分片的长度不超过 路径MTU的最大长度。 5.根据权利要求1所述的方法， 其特征在于， 若SA匹配失败， 则进行SPD匹配， 按照SPD配 置进行丢弃或透传处 理； 若SA匹配成功， 则对加密的IP数据报分片进行解密。 6.根据权利要求1所述的方法， 其特 征在于， 所述 步骤3包括： 接收端分别提取加密后的所有IP数据报分片的有效载荷解密； 其中， 每个加密后的IP 数据报分片都能够独立被解密， 无需等待所有加密后的IP数据报分片收齐； 解密后， 再按照IP1头的分片字段信息将解密后得到的所有IP数据报分片重组， 恢复原 始的IP数据报信息 。权　利　要　求　书 1/1 页 2 CN 115037563 B 2一种IPSec加密传输模式下IP数据报的预分片处理 方法 技术领域 [0001]本发明涉及计算机网络通信技术领域， 特别是一种IPSec加密传输模式下IP数据 报的预分片处 理方法。 背景技术 [0002]应用IPSec封装保护后的IP数据包会发生数据膨胀。 如果膨胀后的报文大于路径 MTU， 需要对 数据报文进行切片处理。 在隧道模式下， IPSec 保护了原始报文的IP 头和载荷部 分， 因此不存在IPSec接收端无法识别分片是在IPSec处理前还是IPSec处理后的问题。 在传 输模式下， IP头不进行IPSec保护。 在极端情况下， IP的分片包经过IPSec发送端进行处理之 后大于路径MTU， 需要进行分片。 IPSec接收端 上的重组过程将无法区分IPSec处理前进 行的 分片还是IPSec处理后进行的分片。 因此 RFC4301规定， IPSec传输模式不支持对IP分片包的 保护。 但是在实际应用环 境中确实存在IP分片包 经过IPSec发送端进 行处理之后大于MTU长 度， 从而导 致加密业 务传输不 正常。 发明内容 [0003]针对IP数据报分片经过IPSec加密后长度超限， 以及IP数据报分片的分片字段易 受攻击等问题， 通过利用对加密前IP数据报进 行分片预处理的方式， 对IPSec加密传输模式 协议进行改进增强设计， 本发明提供了一种IPSec加密传输模式下IP数据报的预分片处理 方法。 [0004]本发明公开了一种IPSec加密传输模式下IP数据报的预分片处理方法， 包括以下 步骤： [0005]步骤1： 若IP数据报的长度大于路径MT U， 则对IP数据报进行分片处 理； [0006]步骤2： 采用IPSec加密传输模式保护增强协议， 对分片得到的IP数据报分片进行 加密； [0007]步骤3： 对加密后的所述 IP数据报分片进行解密， 恢复原 始的所述 IP数据报。 [0008]进一步地， 所述对IP数据报进行分片处 理， 包括： [0009]步骤11： IPSec发送端对IP数据报进行IPSec处理， 确定所有需要分片的IP数据报， 提取其中首个IP数据报的五元组信息进行S PD匹配， 确定处 理方式； [0010]步骤12： 对所有需要分片的IP数据报进行分片处 理。 [0011]进一步地， 所述步骤12包括： [0012]分别对所有需要 分片的IP数据报进行分片， 得到每个IP数据报对应的多个IP数据 报分片。 [0013]进一步地， 所述IP数据报包括IP头和载荷； 所述IP数据报分片包括IP1头和载荷 片； 所述IP1头的分片 字段由IP头的分片 字段和载荷的分片指针共同决定， 重新修改IP数据 报的长度。 [0014]进一步地， 加密后的所述IP数据报分片包括IP2头、 ESP头和加密保护区域； 其中，说　明　书 1/4 页 3 CN 115037563 B 3