[go: up one dir, main page]

CN111865963A - 一种基于ip选项的ip数据包处理方法与系统 - Google Patents

一种基于ip选项的ip数据包处理方法与系统 Download PDF

Info

Publication number
CN111865963A
CN111865963A CN202010684949.3A CN202010684949A CN111865963A CN 111865963 A CN111865963 A CN 111865963A CN 202010684949 A CN202010684949 A CN 202010684949A CN 111865963 A CN111865963 A CN 111865963A
Authority
CN
China
Prior art keywords
data packet
packet processing
index
index number
processing strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010684949.3A
Other languages
English (en)
Other versions
CN111865963B (zh
Inventor
张鲁国
丁琦
孙晓鹏
李鑫
李顶占
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Jiean Information Technology Co Ltd
Original Assignee
Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Jiean Information Technology Co Ltd filed Critical Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority to CN202010684949.3A priority Critical patent/CN111865963B/zh
Publication of CN111865963A publication Critical patent/CN111865963A/zh
Application granted granted Critical
Publication of CN111865963B publication Critical patent/CN111865963B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/90335Query processing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Computational Linguistics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于IP选项的IP数据包处理方法及系统,其中,通信方通过IP数据包处理策略表存储对每一次通信的IP包数据处理策略,使用IP数据包首部的选项区域承载IP数据包处理策略表项索引号信息,从而收到IP数据包时可以直接根据IP选项中的IP数据包处理策略表项的索引号信息,读取相应的IP数据包处理策略表项,获得对收到的IP数据包的处理策略,并对IP数据包进行相应处理。本发明技术方案复杂度低,也不需要额外的硬件资源,可以用很低的代价达到高速处理的目标。更进一步,通过索引表存储和管理待分配的IP数据包处理策略表项的索引号,可以方便、灵活地对多个通信连接进行管理。

Description

一种基于IP选项的IP数据包处理方法与系统
技术领域
本发明涉及网络通信和网络安全领域,具体涉及一种基于IP选项的IP数据包处理方法及系统。
背景技术
随着信息技术的发展和网络应用的普及,虚拟机、虚拟化网络得到了广泛应用。在通信终端上,经常会有多连接、高速通信的需求,有时根据应用的实际需要会配置多个虚拟机以提高网络通信效率,虚拟机基于主机网卡的物理基础,实现各通信参与方之间的网络通信。在通信连接数量较多、通信数据量较大、通信速度要求较高时,通信终端对IP数据报文的处理速度会成为通信的瓶颈。
现有技术中,虚拟机的网络通信常常通过虚拟交换机模式实现。虚拟交换机连接虚拟网卡和物理网卡,通过物理主机上的物理网卡作为上行链路与外界网络进行连接,将虚拟机上的数据报文从物理网卡转发出去,并从物理网卡上接收报文转发给对应的虚拟网卡。常用的虚拟交换机如OpenFlow虚拟交换机,通常采用SRAM和DRAM等地址寻址存储器存储OpenFlow流表,流表查找的效率对虚拟交换机的速度有极大的影响。OpenFlow虚拟交换机采用元组空间搜索法(TSS),虚拟交换机依据其匹配字段组成的流标识符,逐个探测掩码,即将流标识符与对应的掩码进行与运算,然后在对应的流表中查找匹配流表项,通过流表项可得到IP数据包的处理策略,进而实现数据包的转发处理。元组空间搜索法一般将元组信息进行哈希处理,用哈希运算结果构建哈希表,实现元组信息与流表信息之间的对应关系。哈希表由于其良好的散列性能且易于硬件实现,成为高速匹配处理时的主要手段,但是哈希冲突往往难以避免,而要解决哈希冲突的问题,又需要很高的额外时间和空间开销,严重影响到哈希表匹配性能。全硬件匹配引擎内容寻址存储器件TCAM以其较高的匹配性能在高速报文处理领域得到广泛应用,然而TCAM这种高性能并行匹配机制带来了高能耗与散热的问题,同时TCAM的成本也非常高,可以达到SRAM的30倍。
发明内容
本发明的目的是针对通信终端高速报文处理的需求,提供一种基于IP选项的IP数据包处理方法及系统,可以低成本、高速度地处理IP数据包,以极低的代价提高通信终端报文处理的速度。
为了实现上述目的,本发明第一方面提供一种基于IP选项的IP数据包处理方法,包括以下步骤:
建立IP数据包处理策略表;
通信连接成功后,将本次连接中对于IP数据包的处理方式作为表项内容存储入所述IP数据包处理策略表,并记录对应表项的索引号;
在发送IP数据包时,把所述索引号作为自定义IP选项参数放入所述IP数据包首部的选项区域;
接收到应答IP数据包后,提取所述应答IP数据包首部的选项区域中的索引号,再通过所述索引号获得所述IP数据包处理策略表的表项内容;其中,所述应答IP数据包首部的选项区域中的内容为所述自定义IP选项的内容复制;
根据所述表项内容中记载的本次连接中对于IP数据包的处理方式,对所述应答IP数据包进行相应处理。
基于上述,建立索引表,用于存储和管理每个IP数据包处理策略表项的索引号,所述索引号与所述IP数据包处理策略表项的首地址一一对应;
通信连接成功后,通过所述索引表的首指针获取一个空的IP数据包处理策略表项的索引号,在所述索引号对应的IP数据包处理策略表项地址存储IP数据包处理策略,并将所述索引表的首指针指向下一个待分配的IP数据包处理策略表项的索引号。
基于上述,所述索引表为固定长度,每个索引表项的第一个参数为所述索引表项对应的IP数据包处理策略表项的索引号,第二个参数为链接的下一个IP数据包处理策略表项的索引号;所述索引表的首指针指向第一个索引表项,尾指针指向最后一个索引表项。
基于上述,建立通信连接后,通信双方通过VPN隧道通信模式协商IP数据包的处理方式。
基于上述,所述的对于IP数据包的处理方式,包括以下处理方式中的一项或多项:
直接解析IP数据包读取和使用数据;
使用己方存储的密钥对IP数据包的数据加密后,再发送;
使用己方存储的密钥对IP数据包的数据解密后,再读取/使用明文数据;
对数据包进行检测,在检测结果为正确或错误时,分别按照对应的IP数据包处理策略表中记录的相应处理方式进行处理。
本发明第二方面提供一种基于IP选项的IP数据包处理系统,包括:
策略表存储管理单元,用于建立IP数据包处理策略表;用于通信连接成功后,将本次连接中对于IP数据包的处理方式作为表项内容存储入所述IP数据包处理策略表,并记录对应表项的索引号;还用于在发送IP数据包时,把所述索引号作为自定义IP选项参数放入所述IP数据包首部的选项区域;
IP数据包处理单元,用于在接收到应答IP数据包后,提取所述应答IP数据包首部的选项区域中的索引号,通过所述索引号获得所述IP数据包处理策略表的表项内容;其中,所述应答IP数据包首部的选项区域中的内容为所述自定义IP选项的内容复制;再根据所述表项内容中记载的本次连接中对于IP数据包的处理方式,对所述应答IP数据包进行相应处理。
基于上述,该基于IP选项的IP数据包处理系统还包括:索引表存储管理单元,用于建立索引表,所述索引表用于存储和管理每个IP数据包处理策略表项的索引号,所述索引号与所述IP数据包处理策略表项的首地址一一对应;
还用于在通信连接成功后,通过所述索引表的首指针获取一个空的IP数据包处理策略表项的索引号,在所述索引号对应的IP数据包处理策略表项地址存储IP数据包处理策略,并将所述索引表的首指针指向下一个待分配的IP数据包处理策略表项的索引号。
基于上述,所述索引表为固定长度,每个索引表项的第一个参数为所述索引表项对应的IP数据包处理策略表项的索引号,第二个参数为链接的下一个IP数据包处理策略表项的索引号;所述索引表的首指针指向第一个索引表项,尾指针指向最后一个索引表项。
本发明第三方面提供一种通信终端,包括存储器、处理器、以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的基于IP选项的IP数据包处理方法的步骤。
本发明第四方面提供一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现所述的基于IP选项的IP数据包处理方法的步骤。
本发明的技术方案中,通信终端通过IP数据包处理策略表存储对每一次通信的IP数据包处理方式,使用IP数据包首部的选项区域承载IP数据包处理策略表项索引号信息,从而收到IP数据包时可以直接根据IP选项中的IP数据包处理策略表项索引号信息,读取相应的IP数据包处理策略表项,获得对收到的IP数据包的处理方式,对IP数据包进行相应处理。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体地说:
1、本发明技术方案与常用的虚拟交换机流表查找方式相比,收到IP数据包时可以直接根据IP选项中的IP数据包处理策略表项的索引号信息,读取相应的IP数据包处理策略表项内容,获得对收到的IP数据包的处理方式,对IP数据包进行相应处理,复杂度大大降低,可以达到高速处理IP数据包的目标,也不需要额外的硬件资源,代价很低。
2、本发明技术方案使用索引表存储和管理待分配的IP数据包处理策略表项的索引号,可以方便灵活地管理IP数据包处理策略表项,从而简单、快捷地对多个通信连接进行服务与管理。
3、本发明技术方案可以与虚拟交换机配合使用,也可以不通过虚拟交换机,使用本发明技术方案直接方便快速地处理IP数据包。
附图说明
图1是本发明的基于IP选项的IP数据包处理方法中,初始化后的IP数据包处理策略表和索引表的示意图。
具体实施方式
实施例1
本实施例提供了一种基于IP选项的IP数据包处理方法,所述方法包括以下步骤:
建立IP数据包处理策略表;
通信连接成功后,将本次连接中对于IP数据包的处理方式作为表项内容存储入所述IP数据包处理策略表,并记录对应表项的索引号;
在发送IP数据包时,把所述索引号作为自定义IP选项参数放入所述IP数据包首部的选项区域;
接收到应答IP数据包后,提取所述应答IP数据包首部的选项区域中的索引号,再通过所述索引号获得所述IP数据包处理策略表的表项内容;其中,所述应答IP数据包首部的选项区域中的内容为所述自定义IP选项的内容复制;
根据所述表项内容中记载的本次连接中对于IP数据包的处理方式,对所述应答IP数据包进行相应处理。
本实施例中,IP选项指的是IP数据包首部的选项字段或者选项区域。
本实施例中,通信双方可以在通信协商的时候,对于IP选项的处理方式进行协商约定。通信双方可以构建VPN隧道通信模式,在VPN隧道通信模式下更可以保证具有自定义IP选项的IP数据包在通信过程中畅通无阻。
本实施例方案在具体实现时,还有建立索引表,用于存储和管理每个IP数据包处理策略表项的索引号,所述索引号与所述IP数据包处理策略表项的首地址一一对应;通信连接成功后,通过所述索引表的首指针获取一个空的IP数据包处理策略表项的索引号,在所述索引号对应的IP数据包处理策略表项地址存储IP数据包处理策略,并将所述索引表的首指针指向下一个待分配的IP数据包处理策略表项的索引号。
本实施例中,所述索引表为固定长度,每个索引表项的第一个参数为所述索引表项对应的IP数据包处理策略表项索引号,第二个参数为链接的下一个IP数据包处理策略表项索引号;所述索引表的首指针指向第一个存储有待分配索引号的索引表项,尾指针指向最后一个存储有待分配索引号的索引表项。
具体的,索引表可以用与如下代码所示类似的方式进行定义:
定义索引表的数据结构:
Typedef struct _IP_data_table
{
UINT16 block_number; //索引表中的索引号从0到N-1,
//与IP数据处理策略表项的首地址一一对应
UINT16 next_block_number; //该索引号链接的下一个可用索引号,
//若为最后一个索引号或者该索引号已占用则为0XFFFF
} IP_data_table;
定义表空间: UINT32 Table[N];
定义表头指针:void * IP_data_table_Head; IP_data_table_Head=&Table[0];
定义表尾指针:void * IP_data_table_Tail; IP_data_table_Tail=&Table[N-1];
初始化时,当block_number=M,则next_block_number=M+1;当block_number=N-1时,next_block_number=0xFFFF。其中IP数据包处理策略表项的个数,以及IP数据包处理策略索引表的最大长度都为N。
初始化后的IP数据包处理策略表和索引表如图1所示。
需要使用待分配IP数据包处理策略表项存储块时,通过索引表首指针获取待分配存储块对应的索引号,并将对应的索引号从索引表中删除,即将索引表首指针指向next_block_number所指示的索引表项,且令next_block_number=0xFFFF。假设第X个IP数据处理策略表项存储块被占用,则第X个索引表项数据组织为:IP_data_table_Head = &Table[next_block_number],block_number保持不变,next_block_number=0xFFFF。
若第Y块IP数据处理策略表项存储块被释放,则IP_data_table_Tail指示的索引表项数据为:block_number保持不变,next_block_number=Y,IP_data_table_Tail = &Table[Y]。
占用一个索引表项的过程为:
从IP_data_table_Head中获取索引号block_number, IP_data_table_Head指向next_block_number所指示的索引表项,将原来指向的索引表项的next_block_number值设置为0xFFFF。通过索引号block_number即可获取IP数据包处理策略表项的首地址。
释放用一个索引表项的过程为:
由IP数据包处理策略表项存储块首地址得到该表项所对应的索引表中的索引号block_numbe’,IP_data_table_Tail原来指示的索引表项数据的block_number保持不变,next_block_number=该表项所对应的索引表中的索引号block_numbe’,然后将IP_data_table_Tail指针指向该表项所对应的索引表项,即该表项所对应的索引号block_number’。
索引表中管理的是待分配的IP数据包处理策略表的存储空间。建立通信连接时,根据索引表的首指针指向的索引号,占用该索引号,以及占用对应的IP数据包处理策略表项存储块来存储本次通信连接中的IP数据包处理策略;同时把索引表首指针指向下一未被占用的索引表项,这样索引表中待分配的索引号就不再有该项被占用的索引表项。当此次通信结束时,可以释放该IP数据处理策略表项存储块,把对应的索引号加入到索引表尾部,成为待分配的索引号。即对应的IP数据处理策略表项存储块也成为待分配的存储块。
使用本实施例的IP数据包处理方法,每个通信方可以同时建立多个通信连接,例如各自使用多个虚拟机,或者使用多个应用,每个虚拟机或者每个应用建立不同的通信连接。
本实施例中,所述的对于IP数据包的处理方式,包括以下处理方式中的一项或多项:
直接解析IP数据包读取和使用数据;
使用己方存储的密钥对IP数据包的数据加密后,再发送给对方;
使用己方存储的密钥对IP数据包的数据解密后,再读取/使用明文数据;
对数据包进行检测,在检测结果为正确或错误时,分别按照对应的IP数据包处理策略中记录的相应处理方法进行处理;
本实施例在具体实现的时候,所述的IP数据处理策略表的表项内容还包括选用的密码算法、加解密运算模式、会话密钥的生成方式、主密钥、IP数据包头数据组织格式、数据包检测模式与相关处理方法中的一项或多项,以实现对IP数据包的处理。
实施例2
基于与上述方法同样的发明构思,本实施例中提供了一种基于IP选项的IP数据包处理系统,包括:
策略表存储管理单元,用于建立IP数据包处理策略表;用于通信连接成功后,将本次连接中对于IP数据包的处理方式作为表项内容存储入所述IP数据包处理策略表,并记录对应表项的索引号;还用于在发送IP数据包时,把所述索引号作为自定义IP选项参数放入所述IP数据包首部的选项区域;
IP数据包处理单元,用于在接收到应答IP数据包后,提取所述应答IP数据包首部的选项区域中的索引号,通过所述索引号获得所述IP数据包处理策略表的表项内容;其中,所述应答IP数据包首部的选项区域中的内容为所述自定义IP选项的内容复制;再根据所述表项内容中记载的本次连接中对于IP数据包的处理方式,对所述应答IP数据包进行相应处理。
本实施例中,该基于IP选项的IP数据包处理系统还包括:索引表存储管理单元,用于建立索引表,所述索引表用于存储和管理每个IP数据包处理策略表项的索引号,所述索引号与所述IP数据包处理策略表项的首地址一一对应;还用于在通信连接成功后,通过所述索引表的首指针获取一个空的IP数据包处理策略表项的索引号,在所述索引号对应的IP数据包处理策略表项地址存储IP数据包处理策略,并将所述索引表的首指针指向下一个待分配的IP数据包处理策略表项的索引号。
本实施例中,所述索引表为固定长度,每个索引表项的第一个参数为所述索引表项对应的IP数据包处理策略表项的索引号,第二个参数为链接的下一个IP数据包处理策略表项的索引号;所述索引表的首指针指向第一个索引表项,尾指针指向最后一个索引表项。
实施例3
本实施例提供一种通信终端,包括存储器、处理器、以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的基于IP选项的IP数据包处理方法的步骤。
在通信终端上可配置多个虚拟机,虚拟机可利用主机网卡进行网络通信。基于IP选项的IP数据包处理方法,能够大大提高通信终端对IP数据报文的处理速度,在多个虚拟机同时进行网络通信时也可以保证通信质量。
实施例4
本实施例提供一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现所述的基于IP选项的IP数据包处理方法的步骤。
以上内容仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明权利要求书的保护范围之内。

Claims (10)

1.一种基于IP选项的IP数据包处理方法,其特征在于,包括以下步骤:
建立IP数据包处理策略表;
通信连接成功后,将本次连接中对于IP数据包的处理方式作为表项内容存储入所述IP数据包处理策略表,并记录对应表项的索引号;
在发送IP数据包时,把所述索引号作为自定义IP选项参数放入所述IP数据包首部的选项区域;
接收到应答IP数据包后,提取所述应答IP数据包首部的选项区域中的索引号,再通过所述索引号获得所述IP数据包处理策略表的表项内容;其中,所述应答IP数据包首部的选项区域中的内容为所述自定义IP选项的内容复制;
根据所述表项内容中记载的本次连接中对于IP数据包的处理方式,对所述应答IP数据包进行相应处理。
2.根据权利要求1所述的基于IP选项的IP数据包处理方法,其特征在于:
建立索引表,用于存储和管理每个IP数据包处理策略表项的索引号,所述索引号与所述IP数据包处理策略表项的首地址一一对应;
通信连接成功后,通过所述索引表的首指针获取一个空的IP数据包处理策略表项的索引号,在所述索引号对应的IP数据包处理策略表项地址存储IP数据包处理策略,并将所述索引表的首指针指向下一个待分配的IP数据包处理策略表项的索引号。
3.根据权利要求2所述的基于IP选项的IP数据包处理方法,其特征在于:所述索引表为固定长度,每个索引表项的第一个参数为所述索引表项对应的IP数据包处理策略表项的索引号,第二个参数为链接的下一个IP数据包处理策略表项的索引号;所述索引表的首指针指向第一个索引表项,尾指针指向最后一个索引表项。
4.根据权利要求1所述的基于IP选项的IP数据包处理方法,其特征在于:建立通信连接后,通信双方通过VPN隧道通信模式协商IP数据包的处理方式。
5.根据权利要求1所述的基于IP选项的IP数据包处理方法,其特征在于:所述的对于IP数据包的处理方式,包括以下处理方式中的一项或多项:
直接解析IP数据包读取和使用数据;
使用己方存储的密钥对IP数据包的数据加密后,再发送;
使用己方存储的密钥对IP数据包的数据解密后,再读取/使用明文数据;
对数据包进行检测,在检测结果为正确或错误时,分别按照对应的IP数据包处理策略表中记录的相应处理方式进行处理。
6.一种基于IP选项的IP数据包处理系统,其特征在于包括:
策略表存储管理单元,用于建立IP数据包处理策略表;用于通信连接成功后,将本次连接中对于IP数据包的处理方式作为表项内容存储入所述IP数据包处理策略表,并记录对应表项的索引号;还用于在发送IP数据包时,把所述索引号作为自定义IP选项参数放入所述IP数据包首部的选项区域;
IP数据包处理单元,用于在接收到应答IP数据包后,提取所述应答IP数据包首部的选项区域中的索引号,通过所述索引号获得所述IP数据包处理策略表的表项内容;其中,所述应答IP数据包首部的选项区域中的内容为所述自定义IP选项的内容复制;再根据所述表项内容中记载的本次连接中对于IP数据包的处理方式,对所述应答IP数据包进行相应处理。
7.根据权利要求6所述的基于IP选项的IP数据包处理系统,其特征在于,还包括:索引表存储管理单元,用于建立索引表,所述索引表用于存储和管理每个IP数据包处理策略表项的索引号,所述索引号与所述IP数据包处理策略表项的首地址一一对应;
还用于在通信连接成功后,通过所述索引表的首指针获取一个空的IP数据包处理策略表项的索引号,在所述索引号对应的IP数据包处理策略表项地址存储IP数据包处理策略,并将所述索引表的首指针指向下一个待分配的IP数据包处理策略表项的索引号。
8.根据权利要求6所述的基于IP选项的IP数据包处理系统,其特征在于:所述索引表为固定长度,每个索引表项的第一个参数为所述索引表项对应的IP数据包处理策略表项的索引号,第二个参数为链接的下一个IP数据包处理策略表项的索引号;所述索引表的首指针指向第一个索引表项,尾指针指向最后一个索引表项。
9.一种通信终端,包括存储器、处理器、以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-5任一项所述的基于IP选项的IP数据包处理方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现权利要求1-5任一项所述的基于IP选项的IP数据包处理方法的步骤。
CN202010684949.3A 2020-07-16 2020-07-16 一种基于ip选项的ip数据包处理方法与系统 Active CN111865963B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010684949.3A CN111865963B (zh) 2020-07-16 2020-07-16 一种基于ip选项的ip数据包处理方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010684949.3A CN111865963B (zh) 2020-07-16 2020-07-16 一种基于ip选项的ip数据包处理方法与系统

Publications (2)

Publication Number Publication Date
CN111865963A true CN111865963A (zh) 2020-10-30
CN111865963B CN111865963B (zh) 2022-02-25

Family

ID=72983614

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010684949.3A Active CN111865963B (zh) 2020-07-16 2020-07-16 一种基于ip选项的ip数据包处理方法与系统

Country Status (1)

Country Link
CN (1) CN111865963B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040162819A1 (en) * 2002-07-12 2004-08-19 Ntt Docomo, Inc. Node search method, node, mobile communication system, and computer program product
US20100202451A1 (en) * 2008-10-31 2010-08-12 Enfora, Inc. Modified internet protocol (ip) data packet for asynchronous ip communications
CN102612095A (zh) * 2012-03-05 2012-07-25 电信科学技术研究院 一种ip数据包的传输方法和设备
CN102714657A (zh) * 2009-11-25 2012-10-03 思杰系统有限公司 用于经由tcp选项插入客户机ip地址的系统和方法
CN105024985A (zh) * 2014-04-30 2015-11-04 深圳市中兴微电子技术有限公司 一种报文处理方法及装置
CN105429879A (zh) * 2014-08-26 2016-03-23 杭州华为数字技术有限公司 流表项查询方法、设备及系统
CN106878194A (zh) * 2016-12-30 2017-06-20 新华三技术有限公司 一种报文处理方法和装置
CN107483508A (zh) * 2017-09-30 2017-12-15 北京东土军悦科技有限公司 报文过滤方法、装置、设备及存储介质
CN108696492A (zh) * 2017-04-12 2018-10-23 联芯科技有限公司 Ip报文的处理方法与装置
CN110535747A (zh) * 2019-09-09 2019-12-03 杭州迪普信息技术有限公司 报文处理设备和方法
CN111327532A (zh) * 2020-01-21 2020-06-23 南京贝伦思网络科技股份有限公司 一种网络设备超大转发策略表容量的实现方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040162819A1 (en) * 2002-07-12 2004-08-19 Ntt Docomo, Inc. Node search method, node, mobile communication system, and computer program product
US20100202451A1 (en) * 2008-10-31 2010-08-12 Enfora, Inc. Modified internet protocol (ip) data packet for asynchronous ip communications
CN102714657A (zh) * 2009-11-25 2012-10-03 思杰系统有限公司 用于经由tcp选项插入客户机ip地址的系统和方法
CN102612095A (zh) * 2012-03-05 2012-07-25 电信科学技术研究院 一种ip数据包的传输方法和设备
CN105024985A (zh) * 2014-04-30 2015-11-04 深圳市中兴微电子技术有限公司 一种报文处理方法及装置
CN105429879A (zh) * 2014-08-26 2016-03-23 杭州华为数字技术有限公司 流表项查询方法、设备及系统
CN106878194A (zh) * 2016-12-30 2017-06-20 新华三技术有限公司 一种报文处理方法和装置
CN108696492A (zh) * 2017-04-12 2018-10-23 联芯科技有限公司 Ip报文的处理方法与装置
CN107483508A (zh) * 2017-09-30 2017-12-15 北京东土军悦科技有限公司 报文过滤方法、装置、设备及存储介质
CN110535747A (zh) * 2019-09-09 2019-12-03 杭州迪普信息技术有限公司 报文处理设备和方法
CN111327532A (zh) * 2020-01-21 2020-06-23 南京贝伦思网络科技股份有限公司 一种网络设备超大转发策略表容量的实现方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
YI-TING FANG; TZUNG-CHIAN HUANG; PI-CHUNG WANG: "Ternary CAM Compaction for IP Address Lookup", 《22ND INTERNATIONAL CONFERENCE ON ADVANCED INFORMATION NETWORKING AND APPLICATIONS - WORKSHOPS (AINA WORKSHOPS 2008)》 *
李金库;马建峰;张德运: "一种基于索引指针的可扩展IP包分类算法", 《微电子学与计算机》 *

Also Published As

Publication number Publication date
CN111865963B (zh) 2022-02-25

Similar Documents

Publication Publication Date Title
CN100471196C (zh) 用于卸载对多个网络业务流的密码处理的方法和装置
US12028378B2 (en) Secure communication session resumption in a service function chain preliminary class
US7392241B2 (en) Searching method for a security policy database
CN112449751B (zh) 一种数据传输方法、交换机及站点
CN108173769B (zh) 一种报文传输方法、装置及计算机可读存储介质
CN110336661B (zh) Aes-gcm数据处理方法、装置、电子设备及存储介质
CN111786867B (zh) 一种数据传输方法及服务器
CN103905311A (zh) 流表匹配方法和装置以及交换机
EP1662700B1 (en) Network communication security processor and data processing method
CN114978676B (zh) 基于FPGA、eBPF协同的数据包加解密方法及系统
CN1741444B (zh) 可重新配置的密钥搜索引擎
CN112636908B (zh) 密钥查询方法及装置、加密设备及存储介质
CN111786869B (zh) 一种服务器之间的数据传输方法及服务器
CN113810397A (zh) 协议数据的处理方法及装置
US20250193116A1 (en) Data Processing Method, Apparatus, and System
CN108259348B (zh) 一种报文传输方法和装置
CN111786868B (zh) 服务器之间的数据传输方法及strongswan服务器
CN111786870B (zh) 数据传输方法及strongswan服务器
CN118590327B (zh) 基于fpga卸载的新型高速加密解密系统及方法
CN111865963B (zh) 一种基于ip选项的ip数据包处理方法与系统
US20230208819A1 (en) Inter-node privacy communication method and network node
CN111641592B (zh) 基于中间件的数据传输方法、装置和计算机设备
CN116527405B (zh) 一种srv6报文加密传输方法、装置及电子设备
CN110177116A (zh) 智融标识网络的安全数据传输方法和装置
CN116527608A (zh) 前后级处理方法和装置、计算设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A Method and System for IP Packet Processing Based on IP Options

Granted publication date: 20220225

Pledgee: Bank of Zhengzhou Co.,Ltd. Zhongyuan Science and Technology City Sub branch

Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd.

Registration number: Y2024980007004