【技术实现步骤摘要】
IPsec防重放的方法、装置、网络设备及可读存储介质
本申请涉及通信
,具体而言,涉及一种IPsec防重放的方法、装置、网络设备及可读存储介质。
技术介绍
IPSec(IPSecurity,互联网连接协议)协议是一种工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护传输控制协议(TransmissionControlProtocol,TCP)/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec在网络层发挥作用,保护和认证IP报文,并与标准算法独立的开放框架,提供数据的机密性、数据完整性和源认证功能。IPSec作为一种实施于网络层的安全协议,具有保证数据来源可靠、保护数据完整、保证数据机密性、防止重放攻击和完美向前保密(PFS)等诸多优点。IPSec协议给出了应用于IP层上网络数据安全的一整套体系结构,包括认证头(AuthenticationHeader,AH)协议、封装安全载荷(EncapsulatingSecurityPayload,ESP)协议、密钥管理协议(InternetKeyExchange,IKE)和用于网络认证及加密的一些算法等。AH协议为IP通信提供数据源认证、数据完整性和反重播保证,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。ESP协议为IP数据包提供完整性检查、认证和加密。在经过AH或者ESP封装的报文结构中,SequenceNumber(序列号)为从1开始的单增序列号,不允许重复,唯一地标识了每一个发送数据包,为安全关联提供反重播保护。而现有技术中,是通过滑动窗口来对接收到的报文 ...
【技术保护点】
1.一种IPsec防重放的方法,其特征在于,所述方法包括:接收IPsec报文,所述IPsec报文中包含有所述IPsec报文的序列号;判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果;当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号区间所表示的最大序列号,且所述IPsec报文的序列号与所述最大序列号的差值小于或等于所述第二位图的比特位的长度N时,N为正整数,将所述第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位;并将所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。
【技术特征摘要】
1.一种IPsec防重放的方法,其特征在于,所述方法包括:接收IPsec报文,所述IPsec报文中包含有所述IPsec报文的序列号;判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果;当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号区间所表示的最大序列号,且所述IPsec报文的序列号与所述最大序列号的差值小于或等于所述第二位图的比特位的长度N时,N为正整数,将所述第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位;并将所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。2.根据权利要求1所述的方法,其特征在于,在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果之后,所述方法还包括:当所述判断结果为表示所述IPsec报文的序列号在所述第二序列号区间内时,则判断所述IPsec报文在所述第二位图中对应的比特位是否已被标记;在为否时,根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。3.根据权利要求1所述的方法,其特征在于,在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果之后,所述方法还包括:当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小,则判断所述IPsec报文的序列号是否在所述第一序列号区间内;若所述IPsec报文的序列号在所述第一序列号区间内,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值小于或等于所述N时,则丢弃所述IPsec报文。4.根据权利要求1所述的方法,其特征在于,在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果之后,所述方法还包括:当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小,则判断所述IPsec报文的序列号是否在所述第一序列号区间内;当所述IPsec报文的序列号在所述第一序列号区间内,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于所述N时,则判断所述IPsec报文在所述第一位图中对应的比特位是否已被标记;在为否时,根据所述IPsec报文的序列号对所述IPsec报文在所述第一位图中对应的比特位进行标记。5.根据权利要求1所述的方法,其特征在于,在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果之后,所述方法还包括:当所述判断结果为表示所述IPsec报文的序列号比所述第一位图和所述第二位图中所标记的当前IPsec报文的最大序列号大,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于或等于所述N时,将所述第一位图及所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第一序列号区间的最大序列号...
【专利技术属性】
技术研发人员:张超迪,
申请(专利权)人:迈普通信技术股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。