專利名稱:IPSec隧道更新防重放參數(shù)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����,特別涉及一種IPSec隧道更新防重放參數(shù)的方法。
背景技術(shù):
因特網(wǎng)協(xié)議安全性(IP Security���,IPSec)協(xié)議是一個(gè)開放的IP層安全框架協(xié)議�。IPSec協(xié)議是一個(gè)三層隧道協(xié)議���,對參與IPSec的設(shè)備之間傳輸?shù)腎P數(shù)據(jù)包進(jìn)行保護(hù)和認(rèn)證��,能夠?yàn)閭鬏斆舾袛?shù)據(jù)提供安全保護(hù)�����。為了保證IP數(shù)據(jù)包不會被第三方或中間人截獲�����,IPSec使用防重放機(jī)制��,數(shù)據(jù)包修改后再重新插入數(shù)據(jù)流����,其中���,防重放機(jī)制是通過認(rèn)證標(biāo)頭(Authentication Header,AH)協(xié)議和封裝安全凈載(Encapsulating Security Payload, ESP)協(xié)議在IPSec中實(shí)現(xiàn)的��。防重放機(jī)制將跟蹤到VPN端點(diǎn)的每個(gè)數(shù)據(jù)包的序列號����。當(dāng)兩個(gè)VPN端點(diǎn)之間建立了安全關(guān)聯(lián)后�����,序號記數(shù)器歸零��。通過VPN加密和傳輸?shù)臄?shù)據(jù)包序號均從I開始。每次發(fā)送數(shù)據(jù)包時(shí)�����,接收方均會檢查序號是不是與上次發(fā)送數(shù)據(jù)包的序號相同�����。如果接收方收到了重復(fù)的序號����,則丟棄該數(shù)據(jù)包。同時(shí)向VPN發(fā)送方端點(diǎn)傳送一條錯(cuò)誤信息���,并在日志中記錄下這一事件����。通常防重放實(shí)現(xiàn)的方法是將收到的報(bào)文中的序列號與上一次收到的序列號進(jìn)行比較�����,大于上一個(gè)序列號的則認(rèn)為是合法的報(bào)文��,序列號小于或等于的認(rèn)為是非法的。然而對于主備設(shè)備而言�����,每個(gè)報(bào)文都進(jìn)行序列號同步是不現(xiàn)實(shí)的��。
發(fā)明內(nèi)容
(一)解決的技術(shù)問題本發(fā)明解決了在主���、備設(shè)備發(fā)生切換時(shí),每發(fā)送或接收多個(gè)報(bào)文時(shí)主�����、備設(shè)備同步的技術(shù)問題���。(二)技術(shù)方案本發(fā)明提出了一種IPSec隧道更新防重放參數(shù)的方法,其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的發(fā)送,其特征在于����,所述方法包括A、設(shè)定序列號閾值�;B、主設(shè)備發(fā)送報(bào)文��,所述報(bào)文包括序列號,且每當(dāng)主設(shè)備發(fā)送閾值個(gè)報(bào)文時(shí)�,主設(shè)備向備設(shè)備發(fā)送同步信號,所述同步信號包括當(dāng)前報(bào)文的序列號��;C :當(dāng)主��、備設(shè)備發(fā)生切換時(shí)����,確定當(dāng)前報(bào)文的序列號,D :從確定的當(dāng)前報(bào)文的序列號開始�����,利用備設(shè)備發(fā)送報(bào)文�����。優(yōu)選地����,步驟C中當(dāng)前報(bào)文的序列號N為=N=TXr^Ni ;其中,T為序列號閾值�,η為主、備設(shè)備發(fā)生切換之前主設(shè)備向備設(shè)備發(fā)送同步信號的次數(shù)�����,Ni為從主設(shè)備向備設(shè)備最后一次發(fā)送同步信號到主、備設(shè)備發(fā)生切換時(shí)主設(shè)備發(fā)送的報(bào)文數(shù)����。優(yōu)選地,主設(shè)備在每次向備設(shè)備發(fā)送同步信號后�����,將對發(fā)送的報(bào)文進(jìn)行計(jì)數(shù)�,計(jì)數(shù)值的初始值為O�,每發(fā)送一個(gè)報(bào)文,計(jì)數(shù)值加1�,當(dāng)主、備設(shè)備發(fā)生切換時(shí)�����,主設(shè)備將計(jì)數(shù)值發(fā)送給備設(shè)備��,所述計(jì)數(shù)值為Ni�����。優(yōu)選地,所述隊(duì)為叫=Ut - tn )���,其中���,ti為主、備設(shè)備發(fā)生切換
1TI tTl-I
時(shí)的時(shí)間�����,tn為主�、備設(shè)備發(fā)生切換前主設(shè)備最后一次向備設(shè)備發(fā)送同步信號的時(shí)間。優(yōu)選地�����,所述方法包括序列號的初始值為O,每發(fā)送一個(gè)報(bào)文,序列號加I���。本發(fā)明提出了一種IPSec隧道更新防重放參數(shù)的方法����,其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的接收���,其特征在于��,所述方法包括
Al�、設(shè)定序列號閾值;BI��、主設(shè)備接收報(bào)文����,所述報(bào)文包括序列號,且每當(dāng)主設(shè)備接收閾值個(gè)報(bào)文時(shí)�����,主設(shè)備向備設(shè)備發(fā)送同步信號����,所述同步信號包括當(dāng)前報(bào)文的序列號���;Cl :當(dāng)主��、備設(shè)備發(fā)生切換時(shí)��,確定當(dāng)前報(bào)文的序列號�����,Dl :從確定的當(dāng)前報(bào)文的序列號開始�,利用備設(shè)備接收報(bào)文。優(yōu)選地��,步驟Cl中當(dāng)前報(bào)文的序列號N為=N=TXr^Ni ;其中����,T為序列號閾值,η為主��、備設(shè)備發(fā)生切換之前主設(shè)備向備設(shè)備發(fā)送同步信號的次數(shù)���,Ni為從主設(shè)備向備設(shè)備最后一次發(fā)送同步信號到主����、備設(shè)備發(fā)生切換時(shí)主設(shè)備接收的報(bào)文數(shù)����。優(yōu)選地,主設(shè)備在每次向備設(shè)備發(fā)送同步信號后�����,將對接收的報(bào)文進(jìn)行計(jì)數(shù)�����,計(jì)數(shù)值的初始值為0,每接收一個(gè)報(bào)文���,計(jì)數(shù)值加1�����,當(dāng)主�����、備設(shè)備發(fā)生切換時(shí)���,主設(shè)備將計(jì)數(shù)值發(fā)送給備設(shè)備,所述計(jì)數(shù)值為Ni��。優(yōu)選地����,所述隊(duì)為風(fēng)=�����,其中為主、備設(shè)備發(fā)生切換
1U tTl-I
時(shí)的時(shí)間�����,tn為主����、備設(shè)備發(fā)生切換前主設(shè)備最后一次向備設(shè)備發(fā)送同步信號的時(shí)間。優(yōu)選地�����,所述方法包括序列號的初始值為O,每發(fā)送一個(gè)報(bào)文,序列號加I�����。(三)有益效果本發(fā)明當(dāng)主�、備設(shè)備發(fā)生切換后,利用備設(shè)備發(fā)送或接收報(bào)文��,發(fā)送或接收報(bào)文的序列號與主設(shè)備同步��。
圖I是本發(fā)明提出的一種IPSec隧道更新防重放參數(shù)的方法流程圖�;圖2是本發(fā)明提出的一種IPSec隧道更新防重放參數(shù)的方法流程圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述。實(shí)施例I本實(shí)施例提出了一種IPSec隧道更新防重放參數(shù)的方法�,其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的發(fā)送,如圖I所示��,所述方法包括A�����、設(shè)定序列號閾值��;
B�����、主設(shè)備發(fā)送報(bào)文�,所述報(bào)文包括序列號,且每當(dāng)主設(shè)備發(fā)送閾值個(gè)報(bào)文時(shí)�����,主設(shè)備向備設(shè)備發(fā)送同步信號��,所述同步信號包括當(dāng)前報(bào)文的序列號��;C :當(dāng)主�、備設(shè)備發(fā)生切換時(shí),確定當(dāng)前報(bào)文的序列號��,D :從確定的當(dāng)前報(bào)文的序列號開始�,利用備設(shè)備發(fā)送報(bào)文。實(shí)施例2在本實(shí)施例中包含實(shí)施例I的同時(shí)還包括以下內(nèi)容���,當(dāng)前報(bào)文的序列號N為Ν=ΤΧη+Ν,;其中�����,T為序列號閾值�,η為主��、備設(shè)備發(fā)生切換之前主設(shè)備向備設(shè)備發(fā)送同步信號的次數(shù)�,Ni為從主設(shè)備向備設(shè)備最后一次發(fā)送同步信號到主、備設(shè)備發(fā)生切換時(shí)主設(shè)備發(fā)送的報(bào)文數(shù)�����。
對于Ni值獲得方法有兩種,其中�����,第一種為主設(shè)備在每次向備設(shè)備發(fā)送同步信號后�����,將對發(fā)送的報(bào)文進(jìn)行計(jì)數(shù)��,計(jì)數(shù)值的初始值為0�,每發(fā)送一個(gè)報(bào)文,計(jì)數(shù)值加1��,當(dāng)主����、備設(shè)備發(fā)生切換時(shí),主設(shè)備將計(jì)數(shù)值發(fā)送給備設(shè)備�����,所述計(jì)數(shù)值為Ni�����。獲得Ni值的第二種方法為-.Ni = (ti~tn)~,其中為主�����、備設(shè)備發(fā)
生切換時(shí)的時(shí)間���,tn為主、備設(shè)備發(fā)生切換前主設(shè)備最后一次向備設(shè)備發(fā)送同步信號的時(shí)間�。本實(shí)施例還包括序列號的初始值為O,每發(fā)送一個(gè)報(bào)文,序列號加I。實(shí)施例3本實(shí)施例提出的一種IPSec隧道更新防重放參數(shù)的方法���,其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的接收����,其特征在于���,所述方法包括Al�����、設(shè)定序列號閾值�����;BI���、主設(shè)備接收報(bào)文����,所述報(bào)文包括序列號�����,且每當(dāng)主設(shè)備接收閾值個(gè)報(bào)文時(shí)�����,主設(shè)備向備設(shè)備發(fā)送同步信號����,所述同步信號包括當(dāng)前報(bào)文的序列號;Cl :當(dāng)主���、備設(shè)備發(fā)生切換時(shí)���,確定當(dāng)前報(bào)文的序列號,Dl :從確定的當(dāng)前報(bào)文的序列號開始���,利用備設(shè)備接收報(bào)文���。優(yōu)選地�,步驟Cl中當(dāng)前報(bào)文的序列號N為=N=TXr^Ni ;其中���,T為序列號閾值,η為主����、備設(shè)備發(fā)生切換之前主設(shè)備向備設(shè)備發(fā)送同步信號的次數(shù),Ni為從主設(shè)備向備設(shè)備最后一次發(fā)送同步信號到主�、備設(shè)備發(fā)生切換時(shí)主設(shè)備接收的報(bào)文數(shù)。優(yōu)選地���,主設(shè)備在每次向備設(shè)備發(fā)送同步信號后���,將對接收的報(bào)文進(jìn)行計(jì)數(shù),計(jì)數(shù)值的初始值為0��,每接收一個(gè)報(bào)文�,計(jì)數(shù)值加1,當(dāng)主��、備設(shè)備發(fā)生切換時(shí),主設(shè)備將計(jì)數(shù)值發(fā)送給備設(shè)備�����,所述計(jì)數(shù)值為Ni���。優(yōu)選地�,所述隊(duì)為叫=(U - tn )�,其中為主、備設(shè)備發(fā)生切換
Tl iTl-I
時(shí)的時(shí)間��,tn為主����、備設(shè)備發(fā)生切換前主設(shè)備最后一次向備設(shè)備發(fā)送同步信號的時(shí)間。優(yōu)選地�����,所述方法包括序列號的初始值為O,每發(fā)送一個(gè)報(bào)文,序列號加I�����。實(shí)施例4本發(fā)明提出了一種更為具體的一種主備切換時(shí)IPSec隧道更新防重放參數(shù)的方法�,具體如下
IPSec隧道協(xié)商起來后從I開始��,每發(fā)送一個(gè)報(bào)文��,發(fā)送序號加I���。設(shè)定序列號閾值,如I萬���,當(dāng)主設(shè)備每接收到I萬個(gè)報(bào)文就向備設(shè)備發(fā)送一個(gè)同步信號��。當(dāng)主、備設(shè)備發(fā)生切換時(shí)�,備設(shè)備切換為新主設(shè)備,例如新主設(shè)備之前已經(jīng)接收到4次主設(shè)備發(fā)送的同步信號���,最近一次接收同步信號的時(shí)間點(diǎn)為10點(diǎn)01分01秒�,距離上一次接收同步信號的時(shí)間點(diǎn)10秒鐘���,當(dāng)前主��、備設(shè)備切換的時(shí)間點(diǎn)為10點(diǎn)01分06秒����,那么通過計(jì)算得出此5秒鐘可以大約發(fā)送5千個(gè)報(bào)文,那么新主設(shè)備發(fā)送的報(bào)文序號從4萬5千開始��。實(shí)施例5本發(fā)明提出了一種更為具體的一種主備切換時(shí)IPSec隧道更新防重放參數(shù)的方 法���,具體如下IPSec隧道協(xié)商后每接收到的序號必須大于前一個(gè)報(bào)文的序號����。設(shè)定序列號閾值��,如I萬�����,若之前備設(shè)備接收到主設(shè)備發(fā)送的同步信號有4次����,當(dāng)主、備設(shè)備發(fā)生切換時(shí)����,備設(shè)備切換為新主設(shè)備,新主設(shè)備接收報(bào)文��,并將接收到的第一個(gè)報(bào)文的序列號作為報(bào)文的初始接收序號,則該初始接收序號必須大于之前同步的4萬的序列號��,并記錄最近一次同步的時(shí)間為10點(diǎn)01分01秒�,與上一次信息同步的時(shí)間間隔了 10秒,那么當(dāng)前時(shí)間為10點(diǎn)01分06秒���,可算出當(dāng)前接收的序號為4萬5千�,則初始序號為4萬5千,之后再接收到的報(bào)文必須序號大于前一個(gè)報(bào)文序號���。說明設(shè)定序列號閾值時(shí)可以根據(jù)需求手動配置����,如I千到10萬可配置���。以上實(shí)施方式僅用于說明本發(fā)明,而并非對本發(fā)明的限制�,有關(guān)技術(shù)領(lǐng)域的普通技術(shù)人員,在不脫離本發(fā)明的精神和范圍的情況下��,還可以做出各種變化和變型����,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇,本發(fā)明的專利保護(hù)范圍應(yīng)由權(quán)利要求限定。
權(quán)利要求
1.一種IPSec隧道更新防重放參數(shù)的方法���,其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的發(fā)送�,其特征在于����,所述方法包括 A、設(shè)定序列號閾值�����; B����、主設(shè)備發(fā)送報(bào)文,所述報(bào)文包括序列號�����,且每當(dāng)主設(shè)備發(fā)送閾值個(gè)報(bào)文時(shí)����,主設(shè)備向備設(shè)備發(fā)送同步信號,所述同步信號包括當(dāng)前報(bào)文的序列號����; C�����、當(dāng)主����、備設(shè)備發(fā)生切換時(shí)��,確定當(dāng)前報(bào)文的序列號�; D、從確定的當(dāng)前報(bào)文的序列號開始����,利用備設(shè)備發(fā)送報(bào)文。
2.根據(jù)權(quán)利要求I所述的方法���,其特征在于�����,步驟C中當(dāng)前報(bào)文的序列號N為Ν=ΤΧη+Ν,;其中,T為序列號閾值�,η為主、備設(shè)備發(fā)生切換之前主設(shè)備向備設(shè)備發(fā)送同步信號的次數(shù),Ni為從主設(shè)備向備設(shè)備最后一次發(fā)送同步信號到主��、備設(shè)備發(fā)生切換時(shí)主設(shè)備發(fā)送的報(bào)文數(shù)��。
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于�����,主設(shè)備在每次向備設(shè)備發(fā)送同步信號后�,將對發(fā)送的報(bào)文進(jìn)行計(jì)數(shù),計(jì)數(shù)值的初始值為O��,每發(fā)送一個(gè)報(bào)文����,計(jì)數(shù)值加1,當(dāng)主�����、備設(shè)備發(fā)生切換時(shí)���,主設(shè)備將計(jì)數(shù)值發(fā)送給備設(shè)備���,所述計(jì)數(shù)值為隊(duì)��。
4.根據(jù)權(quán)利要求2所述的方法����,其特征在于�,所述隊(duì)為義=H1-tn ) X,其中,ti為主���、備設(shè)備發(fā)生切換時(shí)的時(shí)間���,tn為主、備設(shè)備發(fā)生切換前主設(shè)備最后一次向備設(shè)備發(fā)送同步信號的時(shí)間����。
5.根據(jù)權(quán)利要求I所述的方法,其特征在于��,所述方法包括 序列號的初始值為O,每發(fā)送一個(gè)報(bào)文,序列號加I����。
6.一種IPSec隧道更新防重放參數(shù)的方法,其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的接收���,其特征在于���,所述方法包括 Al、設(shè)定序列號閾值��; BI���、主設(shè)備接收報(bào)文���,所述報(bào)文包括序列號,且每當(dāng)主設(shè)備接收閾值個(gè)報(bào)文時(shí)�,主設(shè)備向備設(shè)備發(fā)送同步信號,所述同步信號包括當(dāng)前報(bào)文的序列號��; Cl :當(dāng)主�、備設(shè)備發(fā)生切換時(shí),確定當(dāng)前報(bào)文的序列號�; Dl :從確定的當(dāng)前報(bào)文的序列號開始,利用備設(shè)備接收報(bào)文���。
7.根據(jù)權(quán)利要求6所述的方法��,其特征在于�,步驟Cl中當(dāng)前報(bào)文的序列號N為Ν=ΤΧη+Ν,;其中,T為序列號閾值�����,η為主��、備設(shè)備發(fā)生切換之前主設(shè)備向備設(shè)備發(fā)送同步信號的次數(shù)�����,Ni為從主設(shè)備向備設(shè)備最后一次發(fā)送同步信號到主��、備設(shè)備發(fā)生切換時(shí)主設(shè)備接收的報(bào)文數(shù)��。
8.根據(jù)權(quán)利要求7所述的方法�����,其特征在于�����,主設(shè)備在每次向備設(shè)備發(fā)送同步信號后����,將對接收的報(bào)文進(jìn)行計(jì)數(shù)����,計(jì)數(shù)值的初始值為O����,每接收一個(gè)報(bào)文����,計(jì)數(shù)值加1,當(dāng)主���、備設(shè)備發(fā)生切換時(shí)��,主設(shè)備將計(jì)數(shù)值發(fā)送給備設(shè)備�,所述計(jì)數(shù)值為隊(duì)����。
9.根據(jù)權(quán)利要求7所述的方法,其特征在于�����,所述隊(duì)為
10.根據(jù)權(quán)利要求6所述的方法��,其特征在于,所述方法包括序列號的 初始值為O,每發(fā)送一個(gè)報(bào)文,序列號加I����。
全文摘要
本發(fā)明提供了一種IPSec隧道更新防重放參數(shù)的方法,其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的發(fā)送����,該方法包括A、設(shè)定序列號閾值�����;B����、主設(shè)備發(fā)送報(bào)文,所述報(bào)文包括序列號�����,且每當(dāng)主設(shè)備發(fā)送閾值個(gè)報(bào)文時(shí)����,主設(shè)備向備設(shè)備發(fā)送同步信號,所述同步信號包括當(dāng)前報(bào)文的序列號;C當(dāng)主��、備設(shè)備發(fā)生切換時(shí)��,確定當(dāng)前報(bào)文的序列號����,D從確定的當(dāng)前報(bào)文的序列號開始,利用備設(shè)備發(fā)送報(bào)文��。本發(fā)明當(dāng)主����、備設(shè)備發(fā)生切換后���,利用備設(shè)備發(fā)送或接收報(bào)文��,發(fā)送或接收報(bào)文的序列號與主設(shè)備同步���。
文檔編號H04L12/70GK102891850SQ20121036134
公開日2013年1月23日 申請日期2012年9月25日 優(yōu)先權(quán)日2012年9月25日
發(fā)明者陳海濱 申請人:漢柏科技有限公司