背景技术:
1、在计算网络中,网关用于提供不同计算站点或数据中心之间的连接性。这些网关可以用于基于诸如互联网协议安全(ipsec)的安全协议来实现网络地址转换、封装、加密、防火墙和安全虚拟专用网络(vpn)隧道。在每个计算站点处的计算机可以包括物理计算系统,例如台式计算系统、服务器等,并且还可以包括虚拟计算系统,例如虚拟机、容器等。
2、在一些实现方式中,两个网关之间的连接可以使用多条路径,其中,这些路径中的每条路径可以使用一个或更多个转发设备(诸如路由器)的不同组合来提供该连接。这些不同的路径可以提供不同的延时、带宽、分组丢失率以及网关之间的其他连接特性。然而,虽然可以通过在网关之间选择和使用不同路径来改进连接的特性,但是在管理网关之间的安全连接中可能出现困难。例如,当网关之间使用多个路径时,阻止重放攻击和连接上的其他攻击的序列号会被中断。
技术实现思路
1、在此公开的技术管理与网关之间的多路径连接相关联的重放窗口。在一种实现方式中,一种操作第一网关的方法包括:从第二网关接收具有安全协议报头的分组,以及在安全协议报头中识别唯一路径标识符、与该唯一路径标识符相关联的序列号。该方法进一步提供确定该序列号的值是否在与该唯一路径标识符相关联的重放窗口和窗口更新缓冲区内。至少部分地基于所述序列号的值是否在与所述唯一路径标识符相关联的所述重放窗口和所述窗口更新缓冲区内,丢弃所述分组,或使所述分组经受进一步的入口处理操作。在一些实现方式中,安全协议报头可包括ipsec协议报头。
1.一种操作第一网关的方法,包括:
2.如权利要求1所述的方法,其中所述入口处理操作包括解密所述第一分组和认证所述第一分组。
3.如权利要求1所述的方法,其中所述序列号递增,并且其中所述方法进一步包括:
4.如权利要求1所述的方法,其中所述第一安全协议报头包括第一互联网协议安全报头,并且其中所述第二安全协议报头包括第二互联网协议安全报头。
5.如权利要求1所述的方法,进一步包括:
6.如权利要求5所述的方法,其中选择所述多个路径中的所述路径包括使用伪随机选择来选择路径或基于网络状态信息来选择路径。
7.如权利要求1所述的方法,进一步包括:与所述第二网关交换一个或更多个通信,以确定所述第二网关包括多路径序列号功能。
8.如权利要求1所述的方法,进一步包括:基于在所述第一分组之前的与所述唯一路径标识符相关联地接收的最高序列号来确定所述重放窗口。
9.一种计算装置,包括:
10.如权利要求9所述的计算装置,其中所述入口处理操作包括解密所述第一分组和认证所述第一分组。
11.如权利要求9所述的计算装置,其中所述序列号递增,并且其中所述程序指令进一步引导所述计算装置:
12.如权利要求9所述的计算装置,其中所述第一安全协议报头包括第一互联网协议安全报头,并且其中所述第二安全协议报头包括第二互联网协议安全报头。
13.如权利要求9所述的计算装置,其中所述程序指令进一步引导所述计算装置:
14.如权利要求13所述的计算装置,其中选择所述多个路径中的所述路径包括使用伪随机选择来选择路径或基于网络状态信息来选择路径。
15.如权利要求9所述的计算装置,其中所述程序指令进一步引导所述计算装置与所述第二网关交换一个或更多个通信,以确定所述第二网关包括多路径序列号功能。
16.如权利要求9所述的计算装置,其中确定所述序列号是否小于与所述唯一路径标识符相关联的重放窗口,至少基于与所述唯一路径标识符相关联的翻转值来确定所述序列号是否小于与所述唯一路径标识符相关联的重放窗口。
17.一种系统,包括:
18.如权利要求17所述的系统,其中所述入口处理操作包括解密所述第一分组和认证所述第一分组。
19.如权利要求17所述的系统,其中所述第一安全协议报头包括第一互联网协议安全报头,并且其中所述第二安全协议报头包括第二互联网协议安全报头。
20.如权利要求17所述的系统,其中,所述第一网关进一步被配置为: