本申请实施例提供了一种报文防重放的方法和装置,该方法包括:第一设备接收互联网安全协议IPsec报文,该IPsec报文包括第一字段(承载第一信息的值),根据第一映射关系从N个防重放窗口中确定第一防重放窗口,该第一映射关系包括N个防重放窗口与N个第一信息的值集合的对应关系,该第一防重放窗口用于处理该IPsec报文,该N个防重放窗口对应相同的IPsec安全联盟,N为大于或等于2的整数。通过本申请实施例的报文防重放的方法和装置,能够在同一IPsec安全联盟下,使得不同类型的报文在不同的防重放窗口进行处理,避免报文因为乱序触发序列号落在防重放窗口后沿之外而丢包。序列号落在防重放窗口后沿之外而丢包。序列号落在防重放窗口后沿之外而丢包。
【技术实现步骤摘要】
报文防重放的方法和装置
[0001]本申请实施例涉及通信领域,并且,更具体地,涉及报文防重放的方法和装置。
技术介绍
[0002]互联网安全协议(internet protocolsecurity,IPsec)是国际互联网工程任务组(the Internet engineering task force,IETF)制定的三层隧道加密协议,它为互联网上传输的数据提供了安全保证。IPsec为通信双方提供了加密与数据源认证等安全服务,其中包括防重放(anti
‑
replay),即IPSec报文的接收端可检测并拒绝接收过时或重复的报文。
[0003]重放是指攻击者截取报文并进行复制后,将复制的报文发送给接收端,在不破解密文(加密后的报文)的前提下对接收端进行拒绝服务(denial ofservice,DoS)攻击,攻击者并不需要知道所重放信息的具体内容。IPSec协议提供的防重放服务,通过单调递增的序列号和“滑动”窗口机制来阻挡这种攻击。
[0004]每个IPsec安全联盟(security association,SA)维护独立的防重放窗口(对应上述“滑动”窗口),在报文传输过程中,高优先级的报文被优先处理,当报文到达接收端时,高优先级报文的封装安全载荷(encapsulate security payload,ESP)/认证头(authentication header,AH)头部序列号(sequence number,SN)可能远大于后续低优先级报文的序列号,此时防重放窗口的前沿被拉动至高优先级的报文序列号处,导致在后续报文传输过程中,低优先级报文的序列号落在防重放窗口的后沿之外,即后续的这些低优先级报文被迫成为过时报文,被接收端拒收,造成丢包问题。
技术实现思路
[0005]本申请实施例提供一种报文防重放的方法和装置,能够在同一IPsec安全联盟下,使得不同类型的报文在不同的防重放窗口进行处理,避免报文因为乱序触发序列号落在防重放窗口后沿之外而丢包。
[0006]第一方面,提供了一种报文防重放的方法。该方法可以由第一设备执行,或者,也可以由配置在第一设备中的部件(如芯片或芯片系统等)执行。该方法包括:第一设备接收互联网安全协议IPsec报文,该IPsec报文包括第一字段,该第一字段承载第一信息的值,根据第一映射关系从N个防重放窗口中确定第一防重放窗口,该第一映射关系包括N个防重放窗口与N个第一信息的值集合的对应关系,该第一字段承载的第一信息的值属于该第一防重放窗口对应的第一信息的值集合,该第一防重放窗口用于处理该IPsec报文,该N个防重放窗口对应相同的IPsec安全联盟,N为大于或等于2的整数。
[0007]基于上述方案,IPsec报文的接收端的一个IPsec安全联盟对应多个防重放窗口,从而IPsec报文的接收端可以根据IPsec报文中的第一字段确定该IPsec报文的优先级,并根据优先级选择对应的防重放窗口处理该IPsec报文,实现不同优先级的IPsec报文在不同的防重放窗口内处理,每个防重放窗口处理的报文为相同优先级,因此可以避免因乱序导致的丢包,同时也避免了按照RFC4301标准4.1章节提出的平行IPsec安全联盟方案产生的
新增的IPsec安全联盟而引发增大系统资源消耗等成本增加问题。
[0008]结合第一方面,在第一方面的某些实现方式中,该第一信息包括差分服务代码点DSCP或者流标签。
[0009]结合第一方面,在第一方面的某些实现方式中,根据第一信息生成该N个防重放窗口。
[0010]相同IPsec安全联盟情况下,不同IPsec报文(IPsec报文包括ESP报文和AH报文)的DSCP值代表了不同优先级,基于本申请提供的方案,高优先级报文和低优先级报文可以在不同的防重放窗口内处理,可以避免低优先级报文丢包。
[0011]相同IPsec安全联盟情况下,不同IPsec报文的流标签值代表了不同的业务,不同的业务可能在传输过程中映射不同的服务质量,基于本申请提供的方案,对应不同服务质量的业务可以在不同的防重放窗口内独立处理,可以避免低优先级报文丢包。
[0012]结合第一方面,在第一方面的某些实现方式中,该N个防重放窗口为第一设备本地静态配置的。
[0013]结合第一方面,在第一方面的某些实现方式中,该N个防重放窗口为第一设备和第二设备根据第一信息协商生成的,具体包括:发送第一报文,该第一报文包括第一设备期望的第一信息的值集合,接收第二报文,该第二报文包括第二设备基于第一报文进行协商后的第一信息的值集合,根据该第二报文中的第一信息的值集合生成该N个防重放窗口。
[0014]结合第一方面,在第一方面的某些实现方式中,该第二报文包括流量选择器类型字段和扩展字段,当流量选择器类型字段取值为预定值时,解析该扩展字段,该扩展字段包括的扩展类型为第一信息的范围,该扩展字段还包括至少一个第一信息的起始值和至少一个第一信息的结束值,该至少一个第一信息的起始值和至少一个第一信息的结束值用于确定M个第一信息的值集合,M为大于或等于1的整数。
[0015]结合第一方面,在第一方面的某些实现方式中,第一报文,和/或第二报文为包括流量选择器载荷的因特网密钥交换报文。
[0016]结合第一方面,在第一方面的某些实现方式中,流量选择器类型字段包括:流量选择器互联网协议版本IPv6地址范围和扩展的流量选择器IPv6地址范围,或,流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围。
[0017]基于上述方案,本申请在现有流量选择器IPv4或IPv6地址范围字段基础上新增了扩展的流量选择器IPv4或IPv6地址范围,可兼容支持协商生成多个防重放窗口的设备和不支持协商生成多个防重放窗口的设备,当支持协商生成多个防重放窗口的设备发送第一报文时,可以在流量选择器载荷中放置相同地址范围的流量选择器IPv4地址范围字段和扩展的流量选择器IPv4地址范围字段,或者在流量选择器载荷中放置相同地址范围的流量选择器IPv6地址范围字段和扩展的流量选择器IPv6地址范围字段。当支持协商生成多个防重放窗口的设备接收到第二报文后,确定第二报文中的流量选择器载荷中的流量选择器类型字段为相同地址范围的流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围,或者相同地址范围的流量选择器IPv6和扩展的流量选择器IPv6地址范围时,可仅解析扩展的流量选择器IPv4/IPv6地址范围。当不支持协商生成多个防重放窗口的设备接收到第二报文后,不能识别扩展的流量选择器IPv4/IPv6地址范围字段,因此只解析流量选择器IPv4/IPv6地址范围字段。
[0018]第二方面,提供了一种报文防重放的方法。该方法可以由第二设备执行,或者,也可以由配置在第二设备中的部件(如芯片或芯片系统等)执行。该方法包括:第二设备发送互联网安全协议IPsec报文,该IPsec报文包括第一字段,该第一字段承载第一信息的值,该第一字段用于从N个防重放窗口中确定第一防重放本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种报文防重放的方法,其特征在于,包括:第一设备接收互联网安全协议IPsec报文,所述IPsec报文包括第一字段,所述第一字段承载第一信息的值;所述第一设备根据第一映射关系从N个防重放窗口中确定第一防重放窗口,所述第一映射关系包括N个防重放窗口与N个所述第一信息的值集合的对应关系,所述第一字段承载的所述第一信息的值属于所述第一防重放窗口对应的所述第一信息的值集合,所述第一防重放窗口用于处理所述IPsec报文,所述N个防重放窗口对应相同的IPsec安全联盟,N为大于或等于2的整数。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述第一设备根据所述第一信息生成所述N个防重放窗口。3.根据权利要求1或2所述的方法,其特征在于,所述N个防重放窗口是在本地静态配置的。4.根据权利要求2所述的方法,其特征在于,所述第一设备根据所述第一信息生成所述N个防重放窗口,包括:所述第一设备发送第一报文,所述第一报文包括所述第一设备期望的所述第一信息的值集合;所述第一设备接收第二报文,所述第二报文包括第二设备基于所述第一报文进行协商后的所述第一信息的值集合;所述第一设备根据所述第二报文中的所述第一信息的值集合生成所述N个防重放窗口。5.根据权利要求4所述的方法,其特征在于,所述第二报文包括流量选择器类型字段和扩展字段,所述方法还包括:当流量选择器类型字段取值为预定值时,所述第一设备解析所述扩展字段,所述扩展字段包括的扩展类型为所述第一信息的范围,所述扩展字段还包括至少一个所述第一信息的起始值和至少一个所述第一信息的结束值,所述至少一个所述第一信息的起始值和至少一个所述第一信息的结束值用于确定M个所述第一信息的值集合,M为大于或等于1的整数。6.根据权利要求4或5所述的方法,其特征在于,所述第一报文,和/或所述第二报文为包括流量选择器载荷的因特网密钥交换报文。7.根据权利要求5或6所述的方法,其特征在于,所述流量选择器类型字段包括:流量选择器互联网协议版本IPv6地址范围和扩展的流量选择器IPv6地址范围,或,流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围。8.根据权利要求1至7中任一项所述的方法,其特征在于,所述第一信息包括差分服务代码点DSCP或者流标签。9.一种报文防重放的方法,其特征在于,包括:第二设备发送互联网安全协议IPsec报文,所述IPsec报文包括第一字段,所述第一字段承载第一信息的值,所述第一字段用于从N个防重放窗口中确定第一防重放窗口,所述第一字段承载的所述第一信息的值属于所述第一防重放窗口对应的所述第一信息的值集合,所述第一防重放窗口用于处理所述...
【专利技术属性】
技术研发人员:贺奇,陈小兰,范斌,郑佳,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。