管理在网关之间的多路径连接中的重放窗口的制作方法

背景技术：

1、在计算网络中，网关用于提供不同计算站点或数据中心之间的连接性。这些网关可以用于基于诸如互联网协议安全(ipsec)的安全协议来实现网络地址转换、封装、加密、防火墙和安全虚拟专用网络(vpn)隧道。在每个计算站点处的计算机可以包括物理计算系统，例如台式计算系统、服务器等，并且还可以包括虚拟计算系统，例如虚拟机、容器等。

2、在一些实现方式中，两个网关之间的连接可以使用多条路径，其中，这些路径中的每条路径可以使用一个或更多个转发设备(诸如路由器)的不同组合来提供该连接。这些不同的路径可以提供不同的延时、带宽、分组丢失率以及网关之间的其他连接特性。然而，虽然可以通过在网关之间选择和使用不同路径来改进连接的特性，但是在管理网关之间的安全连接中可能出现困难。例如，当网关之间使用多个路径时，阻止重放攻击和连接上的其他攻击的序列号会被中断。

技术实现思路

1、在此公开的技术管理与网关之间的多路径连接相关联的重放窗口。在一种实现方式中，一种操作第一网关的方法包括：从第二网关接收具有安全协议报头的分组，以及在安全协议报头中识别唯一路径标识符、与该唯一路径标识符相关联的序列号。该方法进一步提供确定该序列号的值是否在与该唯一路径标识符相关联的重放窗口和窗口更新缓冲区内。至少部分地基于所述序列号的值是否在与所述唯一路径标识符相关联的所述重放窗口和所述窗口更新缓冲区内，丢弃所述分组，或使所述分组经受进一步的入口处理操作。在一些实现方式中，安全协议报头可包括ipsec协议报头。

技术特征：

1.一种操作第一网关的方法，包括：

2.如权利要求1所述的方法，其中所述入口处理操作包括解密所述第一分组和认证所述第一分组。

3.如权利要求1所述的方法，其中所述序列号递增，并且其中所述方法进一步包括：

4.如权利要求1所述的方法，其中所述第一安全协议报头包括第一互联网协议安全报头，并且其中所述第二安全协议报头包括第二互联网协议安全报头。

5.如权利要求1所述的方法，进一步包括：

6.如权利要求5所述的方法，其中选择所述多个路径中的所述路径包括使用伪随机选择来选择路径或基于网络状态信息来选择路径。

7.如权利要求1所述的方法，进一步包括：与所述第二网关交换一个或更多个通信，以确定所述第二网关包括多路径序列号功能。

8.如权利要求1所述的方法，进一步包括：基于在所述第一分组之前的与所述唯一路径标识符相关联地接收的最高序列号来确定所述重放窗口。

9.一种计算装置，包括：

10.如权利要求9所述的计算装置，其中所述入口处理操作包括解密所述第一分组和认证所述第一分组。

11.如权利要求9所述的计算装置，其中所述序列号递增，并且其中所述程序指令进一步引导所述计算装置：

12.如权利要求9所述的计算装置，其中所述第一安全协议报头包括第一互联网协议安全报头，并且其中所述第二安全协议报头包括第二互联网协议安全报头。

13.如权利要求9所述的计算装置，其中所述程序指令进一步引导所述计算装置：

14.如权利要求13所述的计算装置，其中选择所述多个路径中的所述路径包括使用伪随机选择来选择路径或基于网络状态信息来选择路径。

15.如权利要求9所述的计算装置，其中所述程序指令进一步引导所述计算装置与所述第二网关交换一个或更多个通信，以确定所述第二网关包括多路径序列号功能。

16.如权利要求9所述的计算装置，其中确定所述序列号是否小于与所述唯一路径标识符相关联的重放窗口，至少基于与所述唯一路径标识符相关联的翻转值来确定所述序列号是否小于与所述唯一路径标识符相关联的重放窗口。

17.一种系统，包括：

18.如权利要求17所述的系统，其中所述入口处理操作包括解密所述第一分组和认证所述第一分组。

19.如权利要求17所述的系统，其中所述第一安全协议报头包括第一互联网协议安全报头，并且其中所述第二安全协议报头包括第二互联网协议安全报头。

20.如权利要求17所述的系统，其中，所述第一网关进一步被配置为：

技术总结
本文描述的是用于管理网关之间的多路径连接中的重放窗口的系统、方法和软件。在一种实现方式中，第一网关可以接收指向第二网关的分组，并且从多个路径中识别到第二网关的路径。一旦识别，第一网关就可递增与该路径相关联的序列号，并将分组与该路径的唯一标识符封装在具有递增后的序列号的报头中。第一网关将封装分组传送到第二网关。

技术研发人员：A·K·沙玛,王勇,S·巴塔查里亚,D·K·索兰基,S·雷,J·贝伦斯
受保护的技术使用者：威睿公司
技术研发日：
技术公布日：2024/1/15