本站原创【摘 要 】长延时信道传输TCP/IP数据受信道时延特性影响,分组传输速度由延时决定,而不取决于信道速率,造成信道速率越高传输效率越低下的问题.采用IP协议加速器可以有效提高卫星信道传输速率,进而提高卫星信道利用效率.但是,加密IP数据将传输层数据作为一个整体进行处理,传统的加速方法无法适用于这种数据的加速传输.将经过加密的传输层数据作为一个整体,重新封装成标准TCP或UDP格式,使用相应的加速策略,判断加速与否,采用相应加速方法,加速数据传输,从而解决加密IP数据的加速问题.
【关 键 词 】TCP/IP长延时信道加密重新封装
一、引言
TCP是一种TCP/IP协议族中的面向连接的可靠传输协议,数据传输的可靠性是TCP数据段的检措编码和确认机制实现,而卫星通信具有通信距离远,延时大的固有缺点,通过卫星链路传输TCP数据,一次往返所需时间长,导致在高带宽的信道条件下,信道利用率随着信道速率的提高而迅速降低,从而出现各种TCP加速方法,如TCP Spliting、TCP spoofing、selective ACK、增大TCP滑动窗口值、改善TCP慢启动特性等[1][2],改变原有TCP传输路径或原TCP传输过程,从而提高传输效率.各种加速方法各有侧重,有各自的优势也有各自的缺陷.尤其在处理加密IP数据时,因为IP数据加密隐藏了TCP数据段格式,并加入了防止数据篡改机制,所有依靠TCP数据段格式加速或依靠改变TCP内容加速的方法在面对加密IP数据时均显得无能为力[3][4].
二、加密TCP/IP协议分析
加密TCP/IP协议比较成熟的是IPsec和TSL/SSL两种,常用IPsec.IPsec有两种工作模式:传输模式和隧道模式,每一种模式有两种封装:AH封装和ESP封装,最常用的隧道模式ESP封装如图1所示.
三、IP加速器简介
一种典型的IP加速器,也叫性能增强写作技巧PEP,其工作原理的必要条件是:IP加速器是根据TCP报头进行加速的,因此必须要能看见IP报中的TCP报头才能加速;同时,A、B两端加速器要实现加速,必须改变TCP原有的确认机制,即必须要修改部分TCP内容.所以要实现加速不但要TCP结构即TCP报头可见,而且要具有可更改性.
四、解决方法
IPSec加密IP数据包隐藏了TCP特性参数,利用TCP特性参数进行加速的TCP加速方法无法使用.同时由于IPsec VPN的广泛性,研究IPsec VPN穿过加速器具有重要意义.
很多研究机构提出了不少的方法,有的采用一种特殊的3DES的VPN模式,部分改善了卫星信道传输加密IP报文和IP加速器矛盾的问题;也有机构提出一种SLE(Selective Layer Encryption)技术,也部分提高了两者兼容工作的性能;还有部分研究表明,合理调整加速和加密位置也可以在部分环境解决这一矛盾,先加速再加密的方法也得到部分应用;有研究指出,采用特殊的VPN技术,保留基本完整的IP报头和TCP报头;很多人建议通过卫星信道的业务传输,采用应用层VPN技术(如SSL等),可以较好地解决矛盾[5][6][7].这些方法都具有一定的局限性,适合于特定的应用环境,在目前技术条件下,还没有找到一种完善的解决方法.