[发明专利]一种在安全网络中保证报文不被分片的方法和系统

说明书

本发明涉及一种在安全网络中保证报文不被分片方法和系统。本发明所述的方法包括以下步骤：在服务器和客户端分别增加一个加解密设备，用于保护数据在网络上的传输安全；加解密设备监控所有报文，判断报文的大小是否超过安全阀值，如果否，则正常发送报文；当有报文的大小超过安全阀值的时候，则加解密设备就根据该报文的信息，伪造一个ICMP报文告诉主机，从而让主机主动修改PMTU的值，同时把该报文丢弃。采用本发明所述的方法和系统可以在无IP的加解密设备上，在安全网络中保证报文不被分片，从而更高效的进行数据传输。

技术领域

本发明属于网络安全技术领域，具体涉及一种在安全网络中保证报文不被分片的方法和系统。

背景技术

现有技术中，在进行报文的网络传输时，通常会加入一个带IP的网络设备处理报文的加解密，同时处理MTU(maximum transmission unit)的事宜，保证加密后每个报文的大小不超过PMTU(Path maximum transmission unit)。然而，这一技术方案存在以下问题：(1)需要在网络中添加一个带IP的网络设备，对原有业务造成一定影响；(2)通常用SSL VPN或IPSec VPN加上NAT技术进行组网，网络规划比较复杂。

数据报文在加密之后，会比原有的未加密的网络报文大。如果原有网络报文的大小已经接近或等于PMTU的最大报文大小，在加密后，就会超过PMTU的限制，网络传输中，会被其它网络设备作分片处理。即一个大的报文拆分成2个小的报文。而单个报文的加解密信息是分别存储的，如协商出来的过程密钥信息或随机数信息，甚至校验用的MAC值都是存在单个报文中的。由于加解密设备不拥有IP地址，故通常不能把分片报文重新组装，也就无法正确解密被分片的加密报文。

为了解决在安全网络中保证报文不被分片的问题，不影响原有网络架构，又要保证网络通信的安全，可以在服务器和客户端各自加入一个无IP的设备来对数据进行加解密。但是由于加密后的报文通常会比不加密的报文大，并且这个过程对客户端和服务器端是透明的，所以容易造成加密后的报文大小大于PMTU，导致报文分片并且分片后的报文不能被正确解密。因此，急需一种新的技术解决方案来解决现有技术中所存的上述问题。

发明内容

针对现有技术中存在的缺陷，本发明的目的是提供一种在安全网络中保证报文不被分片的方法和系统。该方法和系统能够在无IP的加解密设备上，在安全网络中保证报文不被分片，从而更高效的进行数据传输。

为达到以上目的，本发明采用的技术方案是：

一种在安全网络中保证报文不被分片的方法，包括以下步骤：

在服务器和客户端分别增加一个加解密设备，用于保护数据在Internet上的传输安全；

加解密设备监控所有报文，判断报文的大小是否超过安全阀值，如果否，则正常发送报文；

当有报文的大小超过安全阀值的时候，则加解密设备就根据该报文的信息，伪造一个ICMP报文(ICMP Destination Unreachable message)告诉主机，从而让主机主动修改PMTU的值，同时把该报文丢弃。

进一步，所述的加解密设备是一个无IP地址的网络设备。

进一步，所述的安全阀值为1300-1450个字节。

更进一步，所述的安全阀值为1400个字节。

本发明还提供了一种在安全网络中保证报文不被分片的系统，包括服务器和客户端，并且在服务器和客户端分别增加了一个加解密设备，用于保护数据在Internet上的传输安全，所述的加解密设备是一个无IP地址的网络设备。

进一步，所述的加解密设备包括以下模块：

判断模块，用于判断报文的大小是否超过安全阀值；