防止IPsec抗重放误判的方法
【技术领域】
[0001]本发明涉及网络通信技术领域,特别涉及一种防止IPsec抗重放误判的方法。
【背景技术】
[0002]IPsec协议中有一条是防止攻击的标准,即当IPsec接收到加解密报文序列号是逆序的时候,说明网络上出现黑客攻击,会进行后续的安全处理,包括断开IPsec隧道或者丢弃逆序报文的处理方式。在传统网络中,使用的都是单核处理网络设备,但随着多核网络处理设备的增多,此种报文乱序的情况越来越多,按照一个多核设备千分之3的乱序概率来说,如果一个IPsec隧道中间经过了 10台网络转发设备,那么就会出现100个报文有3个乱序的情况,按照现在的IPsec抗重放标准,在隧道对报文进行加解密前会对每个隧道记录一个初始值,然后在接收到的加解密报文后,根据报文的序列号,更新这个初始值为当前值,以后这个IPsec隧道接收到的每个报文,都将报文序列号跟这个当前值进行比较,当数值大于这个当前值时,认为报文是正确的报文,当数据小于或等于这个当前值时,则认为是攻击报文,将报文丢弃,这样将造成大量的丢包现象。
【发明内容】
[0003](一 )要解决的技术问题
[0004]本发明解决的就是IPsec抗重放误判导致报文被大量丢弃的问题。
[0005]( 二 )技术方案
[0006]为解决上述技术问题,本发明提供了一种防止IPsec抗重放误判的方法,其特征在于包括:
[0007]S1:在防火墙设备中设置第一全局序列号和第二全局序列号,防火墙设备接收第一个报文,获取报文中的序列号,并将所述第一全局序列号更新为第一报文序列号,解密转发所述第一报文;
[0008]S2:所述防火墙设备接收第二报文,获取报文中的序列号,若第二报文序列号值比所述第一报文序列号值大且数值不连续,则将所述第二报文序列号记录到所述第二全局序列号,对所述第二报文进行解密并转发,否则,丢弃所述第二报文;
[0009]S3:所述防火墙设备接收第三报文,获取报文中的序列号,若第三报文序列号值比所述第一报文序列号值大且数值连续,则将所述第一全局序列号更新为所述第三报文序列号,若所述第三报文序列号值比第一报文序列号值大且数值不连续,则执行步骤S4 ;
[0010]S4:所述防火墙设备接收第四报文、第五报文直至第N报文,并获取报文序列号,若所述第三报文序列号至第N报文序列号数值连续,则将所述第二全局序列号更新为第N报文序列号,将所述第一全局序列号更新为第N报文序列号。
[0011]所述N大于或者等于6。
[0012](三)有益效果
[0013]本发明的方法适用于当网络报文出现乱序时,接收到的报文序列号不连续,通过在防火墙设备中设置两个全局序列号,其中一个全局序列号对接收到的报文序列号进行记录,当此全局序列号记录值连续跳点大于某一预先设定的数值后,另外一个全局序列号进行更新,从而避免IPsec抗重放误判,导致报文被大量丢弃的问题。
【具体实施方式】
[0014]下面对本发明的【具体实施方式】作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
[0015]本实施方式的方法包括以下步骤:
[0016]S1:在防火墙设备中设置第一全局序列号和第二全局序列号,防火墙设备接收第一个报文,获取报文中的序列号,并将第一全局序列号更新为第一报文序列号,解密转发第——?艮文;
[0017]S2:防火墙设备接收第二报文,获取报文中的序列号,若第二报文序列号值比第一报文序列号值大且数值不连续,则将第二报文序列号记录到第二全局序列号,对第二报文进行解密并转发,否则,丢弃第二报文;
[0018]S3:防火墙设备接收第三报文,获取报文中的序列号,若第三报文序列号值比第一报文序列号值大且数值连续,则将第一全局序列号更新为第三报文序列号,若此报文序列号值比第一报文序列号值大且数值不连续,则执行步骤S4 ;
[0019]S4:防火墙设备接收第四报文、第五报文直至第N报文,并获取报文序列号,若第三报文序列号至第N报文序列号数值连续,则将第二全局序列号更新为第N报文序列号,将第一全局序列号更新为第N报文序列号。
[0020]进一步地,所述N大于或者等于6。
[0021]本发明的方法适用于当网络报文出现乱序时,接收到的报文序列号不连续,通过在防火墙设备中设置两个全局序列号,其中一个全局序列号对接收到的报文序列号进行记录,当此全局序列号记录值连续跳点大于某一预先设定的数值后,另外一个全局序列号进行更新,从而避免IPsec抗重放误判,导致报文被大量丢弃的问题。
[0022]以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
【主权项】
1.防止IPsec抗重放误判的方法,其特征在于包括: S1:在防火墙设备中设置第一全局序列号和第二全局序列号,防火墙设备接收第一个报文,获取报文中的序列号,并将所述第一全局序列号更新为第一报文序列号,解密转发所述第一报文; S2:所述防火墙设备接收第二报文,获取报文中的序列号,若第二报文序列号值比所述第一报文序列号值大且数值不连续,则将所述第二报文序列号记录到所述第二全局序列号,对所述第二报文进行解密并转发,否则,丢弃所述第二报文; S3:所述防火墙设备接收第三报文,获取报文中的序列号,若第三报文序列号值比所述第一报文序列号值大且数值连续,则将所述第一全局序列号更新为所述第三报文序列号,若所述第三报文序列号值比第一报文序列号值大且数值不连续,则执行步骤S4 ; S4:所述防火墙设备接收第四报文、第五报文直至第N报文,并获取报文序列号,若所述第三报文序列号至第N报文序列号数值连续,则将所述第二全局序列号更新为第N报文序列号,将所述第一全局序列号更新为第N报文序列号。
2.如权利要求1所述防止IPsec抗重放误判的方法,其特征在于,所述N大于或者等于6。
【专利摘要】本发明公开了一种防止IPsec抗重放误判的方法,包括:S1:在防火墙设备中设置第一全局序列号和第二全局序列号,防火墙设备接收第一个报文,获取报文中的序列号,将第一全局序列号更新为第一报文序列号;S2:接收第二报文,若第二报文序列号值比第一报文序列号值大且数值不连续,则将第二报文序列号记录到所述第二全局序列号,否则,丢弃所述第二报文;S3:接收第三报文,若第三报文序列号值比第一报文序列号值大且数值连续,则将第一全局序列号更新为第三报文序列号,若此报文序列号值比第一报文序列号值大且数值不连续,则执行步骤S4;S4:接收第四报文、第五报文直至第N报文,若第三报文序列号至第N报文序列号数值连续,则将第一、第二全局序列号更新为第N报文序列号。
【IPC分类】H04L29-06
【公开号】CN104735032
【申请号】CN201310719987
【发明人】陈海滨
【申请人】汉柏科技有限公司
【公开日】2015年6月24日
【申请日】2013年12月24日