一種長延時信道的加密IP數據加速方法

【摘要】長延時信道傳輸TCP/IP數據受信道時延特性影響，分組傳輸速度由延時決定，而不取決于信道速率，造成信道速率越高傳輸效率越低下的問題。采用IP協議加速器可以有效提高衛星信道傳輸速率，進而提高衛星信道利用效率。但是，加密IP數據將傳輸層數據作為一個整體進行處理，傳統的加速方法無法適用于這種數據的加速傳輸。將經過加密的傳輸層數據作為一個整體，重新封裝成標準TCP或UDP格式，使用相應的加速策略，判斷加速與否，采用相應加速方法，加速數據傳輸，從而解決加密IP數據的加速問題。

【關鍵詞】TCP/IP長延時信道加密重新封裝

一、引言

TCP是一種TCP/IP協議族中的面向連接的可靠傳輸協議，數據傳輸的可靠性是TCP數據段的檢措編碼和確認機制實現，而衛星通信具有通信距離遠，延時大的固有缺點，通過衛星鏈路傳輸TCP數據，一次往返所需時間長，導致在高帶寬的信道條件下，信道利用率隨著信道速率的提高而迅速降低，從而出現各種TCP加速方法，如TCP Spliting、TCP spoofing、selective ACK、增大TCP滑動窗口值、改善TCP慢啟動特性等[1][2]，改變原有TCP傳輸路徑或原TCP傳輸過程，從而提高傳輸效率。各種加速方法各有側重，有各自的優勢也有各自的缺陷。尤其在處理加密IP數據時，因為IP數據加密隱藏了TCP數據段格式，并加入了防止數據篡改機制，所有依靠TCP數據段格式加速或依靠改變TCP內容加速的方法在面對加密IP數據時均顯得無能為力[3][4]。

二、加密TCP/IP協議分析

加密TCP/IP協議比較成熟的是IPsec和TSL/SSL兩種，常用IPsec。IPsec有兩種工作模式：傳輸模式和隧道模式，每一種模式有兩種封裝：AH封裝和ESP封裝，最常用的隧道模式ESP封裝如圖1所示。

三、IP加速器簡介

一種典型的IP加速器，也叫性能增強代理PEP，其工作原理的必要條件是：IP加速器是根據TCP報頭進行加速的，因此必須要能看見IP報中的TCP報頭才能加速；同時，A、B兩端加速器要實現加速，必須改變TCP原有的確認機制，即必須要修改部分TCP內容。所以要實現加速不但要TCP結構即TCP報頭可見，而且要具有可更改性。

四、解決方法

IPSec加密IP數據包隱藏了TCP特性參數，利用TCP特性參數進行加速的TCP加速方法無法使用。同時由于IPsec VPN的廣泛性，研究IPsec VPN穿過加速器具有重要意義。

很多研究機構提出了不少的方法，有的采用一種特殊的3DES的VPN模式，部分改善了衛星信道傳輸加密IP報文和IP加速器矛盾的問題；也有機構提出一種SLE（Selective Layer Encryption）技術，也部分提高了兩者兼容工作的性能；還有部分研究表明，合理調整加速和加密位置也可以在部分環境解決這一矛盾，先加速再加密的方法也得到部分應用；有研究指出，采用特殊的VPN技術，保留基本完整的IP報頭和TCP報頭；很多人建議通過衛星信道的業務傳輸，采用應用層VPN技術（如SSL等），可以較好地解決矛盾[5][6][7]。這些方法都具有一定的局限性，適合于特定的應用環境，在目前技術條件下，還沒有找到一種完善的解決方法。

五、一種可供選擇的方法

參考文獻

[1]郭偉. Spoofing技術在衛星鏈路TCP傳輸運用研究煤炭技術[J].煤炭技術，2010.11：146-147

[2]張亞生，彭華，谷聚娟.衛星TCP加速技術研究[J].無線電通信技術. 2010. 5：29-31

[3]葉青娣.衛星鏈路中TCP傳輸性能改進與仿真[J].現代電子技術，2010.11：51-54

[4]王健，王海濤.衛星通信網中TCP加速技術研究[J].科學技術與工程. 2009. 11：3148-3152

[5]梅松.一種新的采用TCP封裝的IPSec廣域網加速通信研究[J].計算機工程與科學. 2010. 7：4-7

[6] Y.Zhang.A Multilayer IP Security Protocol for TCP Performance Enhancement in Wireless Network.IEEE Journal on Selected Areas in Communication.2004.VOL.22.PP：767-776.

[7] Peter j Brown.VPN Over Satellite：More Than Viable[J].ViaSatellite.2007.3

[8] H.Fereidooni，A.Parichehreh，H，Taheri and etc.ML-IPSec+：An End to End Accelerated VPN for Satellite Links [J].IJCSNS International Journal of Computer Science and Network Security.2009.VOL.9 NO.1