IPsec防重放的方法、装置、网络设备及可读存储介质制造方法及图纸

本申请实施例提供一种IPsec防重放的方法、装置、网络设备及可读存储介质，属于通信技术领域。该方法包括：接收IPsec报文；判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果；根据判断结果，将第二位图中的所有比特位对应的序列号标记复制到第一位图中对应的比特位；并将第二位图中的所有比特位对应的序列号标记清空；根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。本方案中采用第一位图和第二位图来进行数据的更新替换操作则更简单，使得网络设备中CPU的开销小，进而提高网络设备对报文的处理性能。

【技术实现步骤摘要】
IPsec防重放的方法、装置、网络设备及可读存储介质
本申请涉及通信
，具体而言，涉及一种IPsec防重放的方法、装置、网络设备及可读存储介质。
技术介绍
IPSec(IPSecurity，互联网连接协议)协议是一种工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护传输控制协议(TransmissionControlProtocol，TCP)/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec在网络层发挥作用，保护和认证IP报文，并与标准算法独立的开放框架，提供数据的机密性、数据完整性和源认证功能。IPSec作为一种实施于网络层的安全协议，具有保证数据来源可靠、保护数据完整、保证数据机密性、防止重放攻击和完美向前保密(PFS)等诸多优点。IPSec协议给出了应用于IP层上网络数据安全的一整套体系结构，包括认证头(AuthenticationHeader，AH)协议、封装安全载荷(EncapsulatingSecurityPayload，ESP)协议、密钥管理协议(InternetKeyExchange，IKE)和用于网络认证及加密的一些算法等。AH协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。ESP协议为IP数据包提供完整性检查、认证和加密。在经过AH或者ESP封装的报文结构中，SequenceNumber(序列号)为从1开始的单增序列号，不允许重复，唯一地标识了每一个发送数据包，为安全关联提供反重播保护。而现有技术中，是通过滑动窗口来对接收到的报文进行重放检测，当接收到的报文的序列号落在滑动窗口的右边且认证通过时，都得执行向前滑动操作，而移动窗口的操作比较麻烦，所以当报文较多时，则会在重放检测时频繁地对窗口进行滑动操作，由此对网络设备的性能的开销比较大，进而影响网络设备的转发性能。
技术实现思路
本申请实施例的目的在于提供一种IPsec防重放的方法、装置、网络设备及可读存储介质。第一方面，本申请实施例提供了一种IPsec防重放的方法，所述方法包括：接收IPsec报文，所述IPsec报文中包含有所述IPsec报文的序列号；判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果；当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号区间所表示的最大序列号，且所述IPsec报文的序列号与所述最大序列号的差值小于或等于所述第二位图的比特位的长度N时，N为正整数，将所述第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位；并将所述第二位图中的所有比特位对应的序列号标记清空；根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。本方法中，可以通过第一位图和第二位图来代替现有技术中通过滑动窗口的滑动操作来对IPsec报文进行重放检测，由此，当接收到新的报文，即所述IPsec报文的序列号超出第二序列号区间的最大序列号时，采用第一位图和第二位图来对报文进行标记，只需进行数据的更新替换即可，而不需要进行移动操作，所以，相比于滑动操作导致的网络设备中CPU开销比较大，则本方案中采用第一位图和第二位图来进行数据的更新替换操作则更简单，使得网络设备中CPU的开销小，进而提高网络设备对报文的处理性能。进一步地，在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果之后，所述方法还包括：当所述判断结果为表示所述IPsec报文的序列号在所述第二序列号区间内时，则判断所述IPsec报文在所述第二位图中对应的比特位是否已被标记；在为否时，根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。通过第一位图和第二位图来对IPsec报文进行重放检测，当IPsec报文不是重放报文时，在位图中进行标记，当IPsec报文是重放报文时，则丢弃该IPsec报文。进一步地，在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果之后，所述方法还包括：当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小，则判断所述IPsec报文的序列号是否在所述第一序列号区间内；若所述IPsec报文的序列号在所述第一序列号区间内，且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值小于或等于所述N时，则丢弃所述IPsec报文，通过第一位图和第二位图来对IPsec报文进行检测，当IPsec报文为过时报文时，则丢弃该IPsec报文。进一步地，在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果之后，所述方法还包括：当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小，则判断所述IPsec报文的序列号是否在所述第一序列号区间内；当所述IPsec报文的序列号在所述第一序列号区间内，且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于所述N时，则判断所述IPsec报文在所述第一位图中对应的比特位是否已被标记；在为否时，根据所述IPsec报文的序列号对所述IPsec报文在所述第一位图中对应的比特位进行标记。通过第一位图和第二位图来对IPsec报文进行重放检测，当IPsec报文不是重放报文时，在位图中进行标记，当IPsec报文是重放报文时，则丢弃该IPsec报文。进一步地，在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果之后，所述方法还包括：当所述判断结果为表示所述IPsec报文的序列号比所述第一位图和所述第二位图中所标记的当前IPsec报文的最大序列号大，且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于或等于所述N时，将所述第一位图及所述第二位图中的所有比特位对应的序列号标记清空；根据所述IPsec报文的序列号对所述IPsec报文在所述第一序列号区间的最大序列号对应的比特位进行标记。通过第一位图和第二位图来对IPsec报文进行检测，当IPsec报文为新的报文时，清空第一位图和第二位图中的所有标记，从而来对新获得的IPsec报文进行标记，而不需要进行移动操作，所以，相比于滑动操作导致的网络设备中CPU开销比较大，则本方案中采用第一位图和第二位图来进行数据的更新替换操作则更简单，使得网络设备中CPU的开销小，进而提高网络设备对报文的处理性能。第二方面，本申请实施例提供了一种IPsec防重放的装置，所述装置包括：报文接收模块，用于接收IPsec报文，所述IPsec报文中包含有所述IPsec报文的序列号；判断模块，用于判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果；第一检测模块，用于当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号本文档来自技高网...

【技术保护点】
1.一种IPsec防重放的方法，其特征在于，所述方法包括：接收IPsec报文，所述IPsec报文中包含有所述IPsec报文的序列号；判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果；当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号区间所表示的最大序列号，且所述IPsec报文的序列号与所述最大序列号的差值小于或等于所述第二位图的比特位的长度N时，N为正整数，将所述第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位；并将所述第二位图中的所有比特位对应的序列号标记清空；根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。

【技术特征摘要】
1.一种IPsec防重放的方法，其特征在于，所述方法包括：接收IPsec报文，所述IPsec报文中包含有所述IPsec报文的序列号；判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果；当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号区间所表示的最大序列号，且所述IPsec报文的序列号与所述最大序列号的差值小于或等于所述第二位图的比特位的长度N时，N为正整数，将所述第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位；并将所述第二位图中的所有比特位对应的序列号标记清空；根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。2.根据权利要求1所述的方法，其特征在于，在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果之后，所述方法还包括：当所述判断结果为表示所述IPsec报文的序列号在所述第二序列号区间内时，则判断所述IPsec报文在所述第二位图中对应的比特位是否已被标记；在为否时，根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。3.根据权利要求1所述的方法，其特征在于，在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果之后，所述方法还包括：当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小，则判断所述IPsec报文的序列号是否在所述第一序列号区间内；若所述IPsec报文的序列号在所述第一序列号区间内，且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值小于或等于所述N时，则丢弃所述IPsec报文。4.根据权利要求1所述的方法，其特征在于，在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果之后，所述方法还包括：当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小，则判断所述IPsec报文的序列号是否在所述第一序列号区间内；当所述IPsec报文的序列号在所述第一序列号区间内，且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于所述N时，则判断所述IPsec报文在所述第一位图中对应的比特位是否已被标记；在为否时，根据所述IPsec报文的序列号对所述IPsec报文在所述第一位图中对应的比特位进行标记。5.根据权利要求1所述的方法，其特征在于，在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果之后，所述方法还包括：当所述判断结果为表示所述IPsec报文的序列号比所述第一位图和所述第二位图中所标记的当前IPsec报文的最大序列号大，且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于或等于所述N时，将所述第一位图及所述第二位图中的所有比特位对应的序列号标记清空；根据所述IPsec报文的序列号对所述IPsec报文在所述第一序列号区间的最大序列号...

【专利技术属性】
技术研发人员：张超迪，
申请(专利权)人：迈普通信技术股份有限公司，
类型：发明
国别省市：四川,51