技術領域

本發明涉及數據通信和互聯網安全領域，特別涉及一種分片處理的方法和系統。

背景技術

IPsec(Internet協議安全性)可以保護主機和主機之間、安全網關和安全網關之間、安全網關和主機之間的多條IP數據流。對于互聯網上的許多安全應用來說，IPsec標準采用IKEv2(Internet?Key?Exchange?Version?2，互聯網密鑰交換協議第二版)作為其默認的自動密鑰配置協議來協商密鑰和加密/認證算法等參數。

IKEv2允許在一對網絡通信設備之間執行多種認證方式并建立起相應的整套安全關聯參數，將其提供給ESP(Encapsulating?Security?Payload，封裝安全負載)或者AH(Authentication?Header，認證頭)協議來保護流經網絡的IP流量。IKEv2在協商秘密參數的過程中，涉及多條消息的交互及非常復雜的身份認證功能，而且還能夠自動的探測本地或遠端是否處于NAT(Network?Address?Translation，網絡地址轉換)的工作方式。IKEv2不僅協商密鑰和加密/認證算法保護自身的消息通信，也協商密鑰和加密/認證算法并和ESP/AH協議交互從而保護IP流量。

雖然采用IKEv2協議可以極大的提高IPsec的安全性，但是IKEv2協議本身面臨Dos(Denial?of?Service，拒絕服務)攻擊的危險。由于IKEv2協議是基于UDP(User?Datagram?Protocol，用戶數據包協議)來傳輸的，在這個過程中涉及到分片處理，而分片一般是由操作系統的TCP/IP協議棧來處理的，這就給以消耗內存資源為特點的DoS攻擊包括DDoS(Distributed?Deny?of?Service，分布式拒絕服務)攻擊提供了良好的機會。

發明內容

為了解決現有IKEv2協議中Dos攻擊的問題，本發明實施例提供了一種分片處理的方法和系統。所述技術方案如下：

一方面，提供了一種分片處理的方法，所述方法包括：

發送方的第一應用層獲取第一消息，對所述第一消息進行分片處理，得到N個分片，其中，所述N個分片中的每個分片包括分片標識符、分片偏移量和分片標志位，并將所述N個分片發送給接收方，所述N為大于1的自然數；

所述接收方的第二應用層獲取所述發送方發送的N個分片，并根據所述N個分片中每個分片的分片標識符、分片偏移量和分片標志位對所述N個分片進行組裝，得到所述第一消息。

所述發送方的第一應用層獲取第一消息，包括：

獲取發送方的網卡接口參數，并計算第一消息的長度；

根據所述網卡接口參數和所述第一消息的長度，判斷所述第一消息是否需要執行分片處理；

如果是，則所述發送方的第一應用層獲取所述第一消息。

所述對所述第一消息進行分片處理，得到N個分片，包括：

所述第一應用層對所述第一消息進行分片處理，得到N個分片；

產生分片標識符，并將所述分片標識符填充到所述N個分片中的每一個分片中，并在所述N個分片的每一個分片中填充所述分片的分片偏移量和分片標志位。

所述接收方的第二應用層獲取所述發送方發送的N個分片，并根據所述N個分片中每個分片的分片標識符、分片偏移量和分片標志位對所述N個分片進行組裝，得到所述第一消息，包括：

接收方依次接收到所述N個分片后，判斷所述每個分片是否為所述第一消息的分片；

如果是，則所述接收方將所述每個分片提交給第二應用層；

所述第二應用層獲取N個具有相同的標識字段的分片，根據所述分片標志位判斷所述第N個分片是否為所述第一消息的最后一個分片；

如果是，則根據所述分片標識符和所述分片偏移量組裝所述N個分片，得到所述第一消息。

所述接收方的第二應用層獲取所述發送方發送的N個分片之后，還包括：

所述第二應用層將所述每個分片的參數信息加入到定時器的隊列中；

所述定時器周期性的對所述定時隊列進行掃描，刪除在預定時間內沒有被組裝的分片；

所述接收方將刪除所述分片的事件通知給所述發送方，所述發送方接收到所述刪除所述分片的事件的通知后，刪除或重發所述分片。

另一方面，提供了一種分片處理的系統，所述系統包括：發送方和接收方，所述發送方包括第一應用層，所述接收方包括第二應用層；