按照RFC4301的建议，研究了一种互联网安全协议（Internet Protocol Security,IPSec）复杂处理模型，使得IPSec的相关处理对用户完全透明。该模型包含完整的分片重组功能，非初始分片报文必须使用初始分片报文的关键字信息进行模组存在的串行检测（Serial Presence Detect,SPD）条目或安全关联（Security Association,SA）条目匹配，解决了IPSec处理中非初始分片报文如何映射到正确的SPD条目或SA条目的问题。在IPSec封装前分片或IPSec封装后分片，可以解决IPSec封装开销导致报文长度膨胀大于最大传输单元（Maximum Transmission Unit,MTU）的问题。文章深入研究了分片处理与重组处理的原理，分析了IPSec处理中分片重组对网络传输效率与安全性的影响。

• 单位
  中国电子科技集团公司第三十研究所