本申请实施例涉及通信传输领域,特别涉及一种网络抗重放方法、装置、电子设备及存储介质。其中,网络抗重放方法包括:根据当前接收的数据包的当前数据包号,确定当前数据包号在重放窗口内的所属区间,其中,重放窗口被划分为多个区间,区间用于记录属于区间内的L个已接收的数据包的数据包号;L小于T,T为属于区间内的数据包号的总数;在当前数据包号与确定的所属区间内记录的数据包号不重复,且当前数据包号与最近收到的历史N个数据包的数据包号不重复的情况下,对当前接收的数据包进行完整性认证,N为大于1的自然数。本申请实施方式能够有效降低抗重放过程中的资源占用,减少对于芯片面积的开销。面积的开销。面积的开销。
【技术实现步骤摘要】
网络抗重放方法、装置、电子设备及存储介质
[0001]本申请实施例涉及通信传输领域,特别涉及一种网络抗重放方法、装置、电子设备及存储介质。
技术介绍
[0002]在介质访问控制层安全协议(Media Access Control Security,MACsec)中,报文封装、加解密和认证所需要的参数均从安全联盟(Secure Association,SA)中得到,包括密钥、识别号等参数。在发送侧,用户数据将32
‑
bit的数据包号(Packet Number,PN)标记在安全标签(Security Tag,SecTAG)中,与用户数据一起做完整性或机密性保护后发出。每发送一帧数据PN自动加一,实现顺序、流水标记。在互联网安全协议(Internet Protocol Security,IPsec)中称为序列号(Sequence Number,SN),与PN等价。理想状态下接收侧能够顺序接收,但实际上存在网络延迟,同时每包数据经过的路径可能不相同,导致到达接收侧时数据包会发生乱序。因此,接收侧需要提供一个重放窗口,既能接收乱序容忍范围内的数据包,又能过滤掉延迟包。除此之外,在发送到接收的过程中还会存在重播攻击,即第三方截获发送侧的数据包,隔较短或较长的周期向接收侧重复发送报文,从而造成接收侧网络拥塞。假如重播报文的PN落后于重放窗口则可以被过滤掉,但如果恰好落在重放窗口内,则需要识别并过滤重播报文。IPsec中的方法是对接收的SN进行标记,从而能够识别重播报文并丢弃处理。
[0003]近些年来通信技术发展迅速,在高速网络下,乱序和延迟导致重放窗口所需占用的资源空间越来越大。例如,在100Gbps的流量下,对于256B的典型包长,假设允许2s的延迟,则最大可能有(100Gbps*2s)/(256*8bit)=97M的数据包乱序,相当于需要设置2
27
bit容量的重放窗口。如果全部标记,单个SA需要128Mbit的随机存取存储器(Random Access Memory,RAM)来存储标记位,对于MACsec而言,多条安全通道(Secure Channel,SC)上包括多个SA,需要多个512Mbit的RAM来存储标记;对于IPsec而言,更是需要上千个128Mbit的RAM来存储标记位,这对于芯片面积的开销是巨大的。
技术实现思路
[0004]本申请实施例的主要目的在于提出一种网络抗重放方法、装置、电子设备及存储介质,有效降低抗重放过程中的资源占用,减少对于芯片面积的开销。
[0005]为实现上述目的,本申请实施例提供了一种网络抗重放方法,包括:根据当前接收的数据包的当前数据包号,确定当前数据包号在重放窗口内的所属区间,其中,重放窗口被划分为多个区间,区间用于记录属于区间内的L个已接收的数据包的数据包号;L小于T,T为属于区间内的数据包号的总数;在当前数据包号与确定的所属区间内记录的数据包号不重复,且当前数据包号与最近收到的历史N个数据包的数据包号不重复的情况下,对当前接收的数据包进行完整性认证,N为大于1的自然数。
[0006]为实现上述目的,本申请实施例还提供一种网络抗重放装置,包括:区间确定模
块,用于根据当前接收的数据包的当前数据包号,确定当前数据包号在重放窗口内的所属区间,其中,重放窗口被划分为多个区间,区间用于记录属于区间内的L个已接收的数据包的数据包号;L小于T,T为属于区间内的数据包号的总数;检测模块,用于在当前数据包号与确定的所属区间内记录的数据包号不重复,且当前数据包号与最近收到的历史N个数据包的数据包号不重复的情况下,对当前接收的数据包进行完整性认证,N为大于1的自然数。
[0007]为实现上述目的,本申请实施例还提供了一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述的网络抗重放方法。
[0008]为实现上述目的,本申请实施例还提供了一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述的网络抗重放方法。
[0009]在本实施方式中,对重放窗口进行划分,通过对当前接收的数据包的当前数据包号进行所属区间识别,在所属区间中进行重复性检测,或者进一步与最近收到的历史N个数据包进行重复性检测,以判断所接收到的数据包是否为重放数据。由于不需要对于收到的所有历史数据包进行标记存储,极大程度上减少了抗重放过程中重放窗口所需要占用的存储资源,同时也能降低对于RAM的需求,减少芯片面积的开销。
附图说明
[0010]图1是本专利技术一个实施例中所提供的网络抗重放方法的流程图;
[0011]图2是本专利技术一个实施例中所提供的网络抗重放方法的示意图一;
[0012]图3是本专利技术一个实施例中所提供的网络抗重放方法的示意图二;
[0013]图4是本专利技术一个实施例中所提供的网络抗重放方法的示意图三;
[0014]图5是本专利技术一个实施例中所提供的网络抗重放方法的示意图四;
[0015]图6是根据本专利技术另一个实施例中提供的一种网络抗重放装置的示意图;
[0016]图7是根据本专利技术另一个实施例的电子设备的结构示意图。
具体实施方式
[0017]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请的各实施例进行详细的阐述。然而,本领域的普通技术人员可以理解,在本申请各实施例中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施例的种种变化和修改,也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本申请的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
[0018]本专利技术的一个实施例涉及一种网络抗重放方法,本实施例的应用场景可以包括但不限于:介质访问控制层安全协议(Media Access Control Security,MACsec)、互联网安全协议(Internet Protocol Security,IPsec)等需要使用抗重放的场景中,在高速网络(100Gbps)下优势更加显著。本实施例的网络抗重放的具体流程可以如图1所示,包括:
[0019]步骤101,根据当前接收的数据包的当前数据包号,确定当前数据包号在重放窗口内的所属区间,其中,重放窗口被划分为多个区间,区间用于记录属于区间内的L个已接收
的数据包的数据包号;L小于T,T为属于区间内的数据包号的总数;
[0020]步骤102,在当前数据包号与确定的所属区间内记录的数据包号不重复,且当前数据包号与最近收到的历史N个数据包的数据包号不重复的情况下,对当前接收的数据包进行完整性认证,N为大于1的自然数。
[0021]下面对本实施例的网络抗重放方法的实现细节进行具体的说明,以下内容仅为方便理解提供的实现细本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络抗重放方法,其特征在于,包括:根据当前接收的数据包的当前数据包号,确定所述当前数据包号在重放窗口内的所属区间,其中,所述重放窗口被划分为多个区间,所述区间用于记录属于所述区间内的L个已接收的数据包的数据包号;所述L小于T,所述T为属于所述区间内的数据包号的总数;在所述当前数据包号与确定的所述所属区间内记录的数据包号不重复,且所述当前数据包号与最近收到的历史N个数据包的数据包号不重复的情况下,对所述当前接收的数据包进行完整性认证,所述N为大于1的自然数。2.根据权利要求1所述的网络抗重放方法,其特征在于,在所述根据当前接收的数据包的当前数据包号,确定所述当前数据包号在重放窗口内的所属区间之前,还包括:确定所述当前数据包号小于所述重放窗口的窗口下限。3.根据权利要求1所述的网络抗重放方法,其特征在于,在所述根据当前接收的数据包的当前数据包号,确定所述当前数据包号在重放窗口内的所属区间之后,还包括:在所述当前数据包号与确定的所述所属区间内记录的数据包号重复,或所述当前数据包号与最近收到的历史N个数据包的数据包号重复的情况下,丢弃所述当前接收的数据包。4.根据权利要求1至3中任一项所述的网络抗重放方法,其特征在于,在所述对所述当前接收的数据包进行完整性认证之后,还包括:在所述当前接收的数据包通过所述完整性认证的情况下,将所述当前数据包号更新至确定的所述所属区间,和/或,根据所述当前数据包号更新所述历史N个数据包的数据包号。5.根据权利要求1至3中任一项所述的网络抗重放方法,其特征在于,在所述对所述当前接收的数据包进行完整性认证之后,还包括:在所...
【专利技术属性】
技术研发人员:张振丰,孙昊,李正祥,王坤,王赛,
申请(专利权)人:深圳市中兴微电子技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。