本发明专利技术提供一种ESN高32位同步方法、装置及系统,所述方法包括:当检测到ESN高32位的值发送变化时,生成包括变化后的ESN高32位的值的报文;向接收方设备发送所述报文,以使所述接收方设备根据所述报文中包括的变化后的ESN高32位的值更新本地ESN高32位的值。应用本发明专利技术实施例可以实现发送方设备和接收方设备之间的ESN高32位同步,提高接收方设备ESN高32位的正确性。
【技术实现步骤摘要】
本专利技术涉及网络通信
,尤其涉及一种ESN高32位同步方法、装置及系统。
技术介绍
IPsec(InternetProtocolSecurity,互联网协议安全)是IETF(TheInternetEngineeringTaskForce,国际互联网工程任务组)制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN(VirtualPrivateNetwork,虚拟专用网络)的安全技术。特定的通信方之间通过建立IPsec隧道来传输用户的私有数据,并在IP层提供数据机密性、数据完整性、数据来源认证以及防重放等安全服务器。IPsec在两个端点之间提供安全通信,端点被称为IPsec对等体。SA(SecurityAssociation,安全关联)是通信对等体间对某些要素的约定,例如,使用哪种协议(AH(AuthenticatonHeader,认证头)、ESP(EncapsulatingSecurityPayload,封装安全负载)还是两者结合使用)、协议的封装模式(传输模式和隧道模式)、加密算法、特定流中保护数据的共享密钥以及密钥的生存周期等。IPsec可通过IKE(InternetKeyExchangeProtocol,互联网密钥交换协议)协商建立SA。IPsec通过滑动窗口(抗重放窗口)机制检测重放报文。AH和ESP协议报文中带有序列号,如果收到的报文的序列号与已经解封装过的报文序列号相同,或收到的报文的序列号出现得较早,即已经超过了抗重放窗口的范围,则认为该报文为重放报文。AH或ESP协议报文中携带的序号为32位,在流量很快的情况下很容易翻转,所以在IPsecv3(IPsecversion3,IPsec版本3)中提出了ESN(Extended(64-bit)SequenceNumbers,扩展序列号)技术,将IPsecSA的序列号扩展到64位,用于支持这种快流量的IPsec实现。在现有技术中,为了减少带宽,且保证报文格式不变,将低32位序号放在报文头,高32位作为报文发送方和接收方本地维护的序号,不进行传输,仅参与重放报文的检查和ICV(IntegrityCheckValue,完整性检查值)的计算。由于高32位序号是发起方和接收方本地自己维护,对于网络状况不是很好的情况下,一旦丢失了超过2^32个连续的报文,那么发起方和响应方的高32位就会不同步,导致后续所有报文验证失败而被丢弃。因此,如何实现发送方设备和接收方设备ESN高32位的同步,保证接收方设备ESN高32位的正确性成为亟待解决的技术问题。
技术实现思路
本专利技术提供一种ESN高32位同步方法、装置及系统,以解决现有技术中保证接收方设备ESN高32位的正确性的问题。根据本专利技术实施例的第一方面,提供一种ESN高32位同步方法,包括:当检测到ESN高32位的值发送变化时,生成包括变化后的ESN高32位的值的报文;向接收方设备发送所述报文,以使所述接收方设备根据所述报文中包括的变化后的ESN高32位的值更新本地ESN高32位的值。根据本专利技术实施例的第二方面,提供一种ESN高32位同步方法,包括:接收发送方设备发送的包括变化后的ESN高32位的值的报文;根据所述报文中包括的变化后的ESN高32位的值更新本地ESN高32位的值。根据本专利技术实施例的第三方面,提供一种ESN高32位同步装置,包括:生成单元,用于当检测到ESN高32位的值发生变化时,生成包括变化后的ESN高32位的值的报文;发送单元,用于向接收方发送所述报文,以使所述接收方设备根据所述报文中包括的变化后的ESN高32位的值更新本地ESN高32位的值。根据本专利技术实施例的第四方面,提供一种ESN高32位同步装置,包括:接收单元,用于根据接收方设备发送的包括变化后的ESN高32位的值的报文;同步单元,用于根据所述报文中包括的变化后的ESN高32位的值更新本地ESN高32位的值。根据本专利技术实施例的第五方面,提供一种ESN高32位同步系统,包括:发送方设备,用于当检测到ESN高32位的值发送变化时,生成包括变化后的ESN高32位的值的报文,并向接收方设备发送所述报文;接收方设备,用于接收发送方设备发送的包括变化后的ESN高32位的值的报文,并根据所述报文中包括的变化后的ESN高32位的值更新本地ESN高32位的值。应用本专利技术实施例,通过在检测到ESN高32位的值发生变化时,生成包括变化后的ESN高32位的值的报文,并将该报文发送给接收方设备,以使接收方设备根据该报文中包括的变化后的ESN高32位的值更新本地ESN高32位的值,实现了发送方设备和接收方设备之间的ESN高32位同步,提高了接收方设备ESN高32位的正确性。附图说明图1是本专利技术实施例提供的一种ESN高32位同步方法的流程示意图;图2是本专利技术实施例提供的另一种ESN高32位同步方法的流程示意图;图3是本专利技术实施例提供的另一种ESN高32位同步方法的流程示意图;图4是本专利技术实施例提供的一种ESN高32位同步装置的结构示意图;图5是本专利技术实施例提供的一种ESN高32位同步装置的结构示意图;图6是本专利技术实施例提供的一种ESN高32位同步系统的架构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术实施例中技术方案作进一步详细的说明。参见图1,为本专利技术实施例提供的一种ESN高32位同步方法的流程示意图,如图1所示,该ESN高32位同步方法可以包括以下步骤:需要说明的是,步骤101至步骤102的执行主体可以为IPsec对等体中的发送方设备或发送方设备的处理器,如CPU(CenterProcessUnit,中央处理器);其中,该发送方设备可以包括任意支持IPsec协议的设备,如路由器设备。为便于描述,以下以执行主体为发送方设备为例进行描述。步骤101、当检测到ESN高32位的值发生变化时,生成包括变化后的ESN高32位的值的报文。本专利技术实施例中,为了保证IPsec对等体中发送方设备和接收方设备的ESN值同步,以防止由于报文验证失败而导致报文被丢弃,当发送方设备检测到自身维护的ESN高32位的值发生变化时,发送方设备需要通知接收方设备变化后的ESN高32位的值,以使发送本文档来自技高网...
【技术保护点】
一种扩展序列号ESN高32位同步方法,其特征在于,包括:当检测到ESN高32位的值发送变化时,生成包括变化后的ESN高32位的值的报文;向接收方设备发送所述报文,以使所述接收方设备根据所述报文中包括的变化后的ESN高32位的值更新本地ESN高32位的值。
【技术特征摘要】
1.一种扩展序列号ESN高32位同步方法,其特征在于,包括:
当检测到ESN高32位的值发送变化时,生成包括变化后的ESN高32
位的值的报文;
向接收方设备发送所述报文,以使所述接收方设备根据所述报文中包括
的变化后的ESN高32位的值更新本地ESN高32位的值。
2.根据权利要求1所述的方法,其特征在于,所述当检测到ESN高32
位的值发送变化时,生成包括变化后的ESN高32位的值的报文,包括:
当通过互联网协议安全IPsec进程检测到ESN高32位的值发送变化时,
向互联网密钥交换协议IKE进程发送通知消息,所述通知消息中包括变化后
的ESN高32位的值,由所述IKE进程生成包括所述变化后的ESN高32位
的值的IKE协议报文。
3.根据权利要求1或2所述的方法,其特征在于,所述报文为IKE协
议通知INFORMATION报文,所述变化后的ESN高32位的值携带在所述IKE
协议INFORMATION报文中的ESN高32位变化通知载荷中。
4.一种扩展序列号ESN高32位同步方法,其特征在于,包括:
接收发送方设备发送的包括变化后的ESN高32位的值的报文;
根据所述报文中包括的变化后的ESN高32位的值更新本地ESN高32
位的值。
5.根据权利要求4所述的方法,其特征在于,所述报文为互联网密钥交
换协议IKE协议通知INFORMATION报文,所述变化后的ESN高32位的值
携带在所述IKE协议INFORMATION报文中的ESN高32位变化通知载荷中。
6.一种扩展序列号ESN高32位同步装置,其特征在于,包括:
生成单元,用于当检测到ESN高32位的值发生变化时,生成包括变化
后的ESN高32位的值的报文;
发送单元,用于向...
【专利技术属性】
技术研发人员:方姝,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。