专利名称:IPSec隧道更新防重放参数的方法
技术领域:
本发明涉及网络通信技术领域,特别涉及一种IPSec隧道更新防重放参数的方法。
背景技术:
因特网协议安全性(IP Security,IPSec)协议是一个开放的IP层安全框架协议。IPSec协议是一个三层隧道协议,对参与IPSec的设备之间传输的IP数据包进行保护和认证,能够为传输敏感数据提供安全保护。为了保证IP数据包不会被第三方或中间人截获,IPSec使用防重放机制,数据包修改后再重新插入数据流,其中,防重放机制是通过认证标头(Authentication Header,AH)协议和封装安全净载(Encapsulating Security Payload, ESP)协议在IPSec中实现的。防重放机制将跟踪到VPN端点的每个数据包的序列号。当两个VPN端点之间建立了安全关联后,序号记数器归零。通过VPN加密和传输的数据包序号均从I开始。每次发送数据包时,接收方均会检查序号是不是与上次发送数据包的序号相同。如果接收方收到了重复的序号,则丢弃该数据包。同时向VPN发送方端点传送一条错误信息,并在日志中记录下这一事件。通常防重放实现的方法是将收到的报文中的序列号与上一次收到的序列号进行比较,大于上一个序列号的则认为是合法的报文,序列号小于或等于的认为是非法的。然而对于主备设备而言,每个报文都进行序列号同步是不现实的。
发明内容
(一)解决的技术问题本发明解决了在主、备设备发生切换时,每发送或接收多个报文时主、备设备同步的技术问题。(二)技术方案本发明提出了一种IPSec隧道更新防重放参数的方法,其中利用主设备或者备设备进行报文的发送,其特征在于,所述方法包括A、设定序列号阈值;B、主设备发送报文,所述报文包括序列号,且每当主设备发送阈值个报文时,主设备向备设备发送同步信号,所述同步信号包括当前报文的序列号;C :当主、备设备发生切换时,确定当前报文的序列号,D :从确定的当前报文的序列号开始,利用备设备发送报文。优选地,步骤C中当前报文的序列号N为=N=TXr^Ni ;其中,T为序列号阈值,η为主、备设备发生切换之前主设备向备设备发送同步信号的次数,Ni为从主设备向备设备最后一次发送同步信号到主、备设备发生切换时主设备发送的报文数。优选地,主设备在每次向备设备发送同步信号后,将对发送的报文进行计数,计数值的初始值为O,每发送一个报文,计数值加1,当主、备设备发生切换时,主设备将计数值发送给备设备,所述计数值为Ni。优选地,所述队为叫=Ut - tn ),其中,ti为主、备设备发生切换
1TI tTl-I
时的时间,tn为主、备设备发生切换前主设备最后一次向备设备发送同步信号的时间。优选地,所述方法包括序列号的初始值为O,每发送一个报文,序列号加I。本发明提出了一种IPSec隧道更新防重放参数的方法,其中利用主设备或者备设备进行报文的接收,其特征在于,所述方法包括
Al、设定序列号阈值;BI、主设备接收报文,所述报文包括序列号,且每当主设备接收阈值个报文时,主设备向备设备发送同步信号,所述同步信号包括当前报文的序列号;Cl :当主、备设备发生切换时,确定当前报文的序列号,Dl :从确定的当前报文的序列号开始,利用备设备接收报文。优选地,步骤Cl中当前报文的序列号N为=N=TXr^Ni ;其中,T为序列号阈值,η为主、备设备发生切换之前主设备向备设备发送同步信号的次数,Ni为从主设备向备设备最后一次发送同步信号到主、备设备发生切换时主设备接收的报文数。优选地,主设备在每次向备设备发送同步信号后,将对接收的报文进行计数,计数值的初始值为0,每接收一个报文,计数值加1,当主、备设备发生切换时,主设备将计数值发送给备设备,所述计数值为Ni。优选地,所述队为风=,其中为主、备设备发生切换
1U tTl-I
时的时间,tn为主、备设备发生切换前主设备最后一次向备设备发送同步信号的时间。优选地,所述方法包括序列号的初始值为O,每发送一个报文,序列号加I。(三)有益效果本发明当主、备设备发生切换后,利用备设备发送或接收报文,发送或接收报文的序列号与主设备同步。
图I是本发明提出的一种IPSec隧道更新防重放参数的方法流程图;图2是本发明提出的一种IPSec隧道更新防重放参数的方法流程图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。实施例I本实施例提出了一种IPSec隧道更新防重放参数的方法,其中利用主设备或者备设备进行报文的发送,如图I所示,所述方法包括A、设定序列号阈值;
B、主设备发送报文,所述报文包括序列号,且每当主设备发送阈值个报文时,主设备向备设备发送同步信号,所述同步信号包括当前报文的序列号;C :当主、备设备发生切换时,确定当前报文的序列号,D :从确定的当前报文的序列号开始,利用备设备发送报文。实施例2在本实施例中包含实施例I的同时还包括以下内容,当前报文的序列号N为Ν=ΤΧη+Ν,;其中,T为序列号阈值,η为主、备设备发生切换之前主设备向备设备发送同步信号的次数,Ni为从主设备向备设备最后一次发送同步信号到主、备设备发生切换时主设备发送的报文数。
对于Ni值获得方法有两种,其中,第一种为主设备在每次向备设备发送同步信号后,将对发送的报文进行计数,计数值的初始值为0,每发送一个报文,计数值加1,当主、备设备发生切换时,主设备将计数值发送给备设备,所述计数值为Ni。获得Ni值的第二种方法为-.Ni = (ti~tn)~,其中为主、备设备发
生切换时的时间,tn为主、备设备发生切换前主设备最后一次向备设备发送同步信号的时间。本实施例还包括序列号的初始值为O,每发送一个报文,序列号加I。实施例3本实施例提出的一种IPSec隧道更新防重放参数的方法,其中利用主设备或者备设备进行报文的接收,其特征在于,所述方法包括Al、设定序列号阈值;BI、主设备接收报文,所述报文包括序列号,且每当主设备接收阈值个报文时,主设备向备设备发送同步信号,所述同步信号包括当前报文的序列号;Cl :当主、备设备发生切换时,确定当前报文的序列号,Dl :从确定的当前报文的序列号开始,利用备设备接收报文。优选地,步骤Cl中当前报文的序列号N为=N=TXr^Ni ;其中,T为序列号阈值,η为主、备设备发生切换之前主设备向备设备发送同步信号的次数,Ni为从主设备向备设备最后一次发送同步信号到主、备设备发生切换时主设备接收的报文数。优选地,主设备在每次向备设备发送同步信号后,将对接收的报文进行计数,计数值的初始值为0,每接收一个报文,计数值加1,当主、备设备发生切换时,主设备将计数值发送给备设备,所述计数值为Ni。优选地,所述队为叫=(U - tn ),其中为主、备设备发生切换
Tl iTl-I
时的时间,tn为主、备设备发生切换前主设备最后一次向备设备发送同步信号的时间。优选地,所述方法包括序列号的初始值为O,每发送一个报文,序列号加I。实施例4本发明提出了一种更为具体的一种主备切换时IPSec隧道更新防重放参数的方法,具体如下
IPSec隧道协商起来后从I开始,每发送一个报文,发送序号加I。设定序列号阈值,如I万,当主设备每接收到I万个报文就向备设备发送一个同步信号。当主、备设备发生切换时,备设备切换为新主设备,例如新主设备之前已经接收到4次主设备发送的同步信号,最近一次接收同步信号的时间点为10点01分01秒,距离上一次接收同步信号的时间点10秒钟,当前主、备设备切换的时间点为10点01分06秒,那么通过计算得出此5秒钟可以大约发送5千个报文,那么新主设备发送的报文序号从4万5千开始。实施例5本发明提出了一种更为具体的一种主备切换时IPSec隧道更新防重放参数的方 法,具体如下IPSec隧道协商后每接收到的序号必须大于前一个报文的序号。设定序列号阈值,如I万,若之前备设备接收到主设备发送的同步信号有4次,当主、备设备发生切换时,备设备切换为新主设备,新主设备接收报文,并将接收到的第一个报文的序列号作为报文的初始接收序号,则该初始接收序号必须大于之前同步的4万的序列号,并记录最近一次同步的时间为10点01分01秒,与上一次信息同步的时间间隔了 10秒,那么当前时间为10点01分06秒,可算出当前接收的序号为4万5千,则初始序号为4万5千,之后再接收到的报文必须序号大于前一个报文序号。说明设定序列号阈值时可以根据需求手动配置,如I千到10万可配置。以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
权利要求
1.一种IPSec隧道更新防重放参数的方法,其中利用主设备或者备设备进行报文的发送,其特征在于,所述方法包括 A、设定序列号阈值; B、主设备发送报文,所述报文包括序列号,且每当主设备发送阈值个报文时,主设备向备设备发送同步信号,所述同步信号包括当前报文的序列号; C、当主、备设备发生切换时,确定当前报文的序列号; D、从确定的当前报文的序列号开始,利用备设备发送报文。
2.根据权利要求I所述的方法,其特征在于,步骤C中当前报文的序列号N为Ν=ΤΧη+Ν,;其中,T为序列号阈值,η为主、备设备发生切换之前主设备向备设备发送同步信号的次数,Ni为从主设备向备设备最后一次发送同步信号到主、备设备发生切换时主设备发送的报文数。
3.根据权利要求2所述的方法,其特征在于,主设备在每次向备设备发送同步信号后,将对发送的报文进行计数,计数值的初始值为O,每发送一个报文,计数值加1,当主、备设备发生切换时,主设备将计数值发送给备设备,所述计数值为队。
4.根据权利要求2所述的方法,其特征在于,所述队为義=H1-tn ) X,其中,ti为主、备设备发生切换时的时间,tn为主、备设备发生切换前主设备最后一次向备设备发送同步信号的时间。
5.根据权利要求I所述的方法,其特征在于,所述方法包括 序列号的初始值为O,每发送一个报文,序列号加I。
6.一种IPSec隧道更新防重放参数的方法,其中利用主设备或者备设备进行报文的接收,其特征在于,所述方法包括 Al、设定序列号阈值; BI、主设备接收报文,所述报文包括序列号,且每当主设备接收阈值个报文时,主设备向备设备发送同步信号,所述同步信号包括当前报文的序列号; Cl :当主、备设备发生切换时,确定当前报文的序列号; Dl :从确定的当前报文的序列号开始,利用备设备接收报文。
7.根据权利要求6所述的方法,其特征在于,步骤Cl中当前报文的序列号N为Ν=ΤΧη+Ν,;其中,T为序列号阈值,η为主、备设备发生切换之前主设备向备设备发送同步信号的次数,Ni为从主设备向备设备最后一次发送同步信号到主、备设备发生切换时主设备接收的报文数。
8.根据权利要求7所述的方法,其特征在于,主设备在每次向备设备发送同步信号后,将对接收的报文进行计数,计数值的初始值为O,每接收一个报文,计数值加1,当主、备设备发生切换时,主设备将计数值发送给备设备,所述计数值为队。
9.根据权利要求7所述的方法,其特征在于,所述队为
10.根据权利要求6所述的方法,其特征在于,所述方法包括序列号的 初始值为O,每发送一个报文,序列号加I。
全文摘要
本发明提供了一种IPSec隧道更新防重放参数的方法,其中利用主设备或者备设备进行报文的发送,该方法包括A、设定序列号阈值;B、主设备发送报文,所述报文包括序列号,且每当主设备发送阈值个报文时,主设备向备设备发送同步信号,所述同步信号包括当前报文的序列号;C当主、备设备发生切换时,确定当前报文的序列号,D从确定的当前报文的序列号开始,利用备设备发送报文。本发明当主、备设备发生切换后,利用备设备发送或接收报文,发送或接收报文的序列号与主设备同步。
文档编号H04L12/70GK102891850SQ20121036134
公开日2013年1月23日 申请日期2012年9月25日 优先权日2012年9月25日
发明者陈海滨 申请人:汉柏科技有限公司