《IPSEC隧道更新防重放参数的方法.pdf》由会员分享,可在线阅读,更多相关《IPSEC隧道更新防重放参数的方法.pdf(9页完整版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 102891850 A (43)申请公布日 2013.01.23 C N 1 0 2 8 9 1 8 5 0 A *CN102891850A* (21)申请号 201210361345.0 (22)申请日 2012.09.25 H04L 29/06(2006.01) H04L 12/70(2013.01) (71)申请人汉柏科技有限公司 地址 300384 天津市华苑产业区海泰西18 号西3楼104室 (72)发明人陈海滨 (74)专利代理机构北京路浩知识产权代理有限 公司 11002 代理人王莹 (54) 发明名称 IPSec隧道更新防重放参数的方法 (57) 摘要。
2、 本发明提供了一种IPSec隧道更新防重放参 数的方法,其中利用主设备或者备设备进行报文 的发送,该方法包括:A、设定序列号阈值;B、主设 备发送报文,所述报文包括序列号,且每当主设备 发送阈值个报文时,主设备向备设备发送同步信 号,所述同步信号包括当前报文的序列号;C:当 主、备设备发生切换时,确定当前报文的序列号, D:从确定的当前报文的序列号开始,利用备设备 发送报文。本发明当主、备设备发生切换后,利用 备设备发送或接收报文,发送或接收报文的序列 号与主设备同步。 (51)Int.Cl. 权利要求书2页 说明书4页 附图2页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权。
3、利要求书 2 页 说明书 4 页 附图 2 页 1/2页 2 1.一种IPSec隧道更新防重放参数的方法,其中利用主设备或者备设备进行报文的发 送,其特征在于,所述方法包括: A、设定序列号阈值; B、主设备发送报文,所述报文包括序列号,且每当主设备发送阈值个报文时,主设备向 备设备发送同步信号,所述同步信号包括当前报文的序列号; C、当主、备设备发生切换时,确定当前报文的序列号; D、从确定的当前报文的序列号开始,利用备设备发送报文。 2.根据权利要求1所述的方法,其特征在于,步骤C中当前报文的序列号N为: N=Tn+N i ;其中,T为序列号阈值,n为主、备设备发生切换之前主设备向备设备发。
4、送同步信 号的次数,N i 为从主设备向备设备最后一次发送同步信号到主、备设备发生切换时主设备 发送的报文数。 3.根据权利要求2所述的方法,其特征在于,主设备在每次向备设备发送同步信号后, 将对发送的报文进行计数,计数值的初始值为0,每发送一个报文,计数值加1,当主、备设 备发生切换时,主设备将计数值发送给备设备,所述计数值为N i 。 4.根据权利要求2所述的方法,其特征在于,所述N i 为: 其中,t i 为主、备设备发生切换时的时间,t n 为主、备设备发生切换前主设备最后一次向备 设备发送同步信号的时间。 5.根据权利要求1所述的方法,其特征在于,所述方法包括: 序列号的初始值为0,。
5、每发送一个报文,序列号加1。 6.一种IPSec隧道更新防重放参数的方法,其中利用主设备或者备设备进行报文的接 收,其特征在于,所述方法包括: A1、设定序列号阈值; B1、主设备接收报文,所述报文包括序列号,且每当主设备接收阈值个报文时,主设备 向备设备发送同步信号,所述同步信号包括当前报文的序列号; C1:当主、备设备发生切换时,确定当前报文的序列号; D1:从确定的当前报文的序列号开始,利用备设备接收报文。 7.根据权利要求6所述的方法,其特征在于,步骤C1中当前报文的序列号N为: N=Tn+N i ;其中,T为序列号阈值,n为主、备设备发生切换之前主设备向备设备发送同步信 号的次数,N。
6、 i 为从主设备向备设备最后一次发送同步信号到主、备设备发生切换时主设备 接收的报文数。 8.根据权利要求7所述的方法,其特征在于,主设备在每次向备设备发送同步信号后, 将对接收的报文进行计数,计数值的初始值为0,每接收一个报文,计数值加1,当主、备设 备发生切换时,主设备将计数值发送给备设备,所述计数值为N i 。 9.根据权利要求7所述的方法,其特征在于,所述N i 为: 其中,t i 为主、备设备发生切换时的时间,t n 为主、备设备发生切换前主设备最后一次向备 设备发送同步信号的时间。 10.根据权利要求6所述的方法,其特征在于,所述方法包括: 权 利 要 求 书CN 10289185。
7、0 A 2/2页 3 序列号的初始值为0,每发送一个报文,序列号加1。 权 利 要 求 书CN 102891850 A 1/4页 4 IPSec 隧道更新防重放参数的方法 技术领域 0001 本发明涉及网络通信技术领域,特别涉及一种IPSec隧道更新防重放参数的方 法。 背景技术 0002 因特网协议安全性(IP Security,IPSec)协议是一个开放的IP层安全框架协议。 IPSec协议是一个三层隧道协议,对参与IPSec的设备之间传输的IP数据包进行保护和认 证,能够为传输敏感数据提供安全保护。 0003 为了保证IP数据包不会被第三方或中间人截获,IPSec使用防重放机制,数据包 。
8、修改后再重新插入数据流,其中,防重放机制是通过认证标头(Authentication Header, AH)协议和封装安全净载(Encapsulating Security Payload,ESP)协议在IPSec中实现 的。防重放机制将跟踪到VPN端点的每个数据包的序列号。当两个VPN端点之间建立了安 全关联后,序号记数器归零。通过VPN加密和传输的数据包序号均从1开始。每次发送数 据包时,接收方均会检查序号是不是与上次发送数据包的序号相同。如果接收方收到了重 复的序号,则丢弃该数据包。同时向VPN发送方端点传送一条错误信息,并在日志中记录下 这一事件。 0004 通常防重放实现的方法是将收。
9、到的报文中的序列号与上一次收到的序列号进行 比较,大于上一个序列号的则认为是合法的报文,序列号小于或等于的认为是非法的。 0005 然而对于主备设备而言,每个报文都进行序列号同步是不现实的。 发明内容 0006 (一)解决的技术问题 0007 本发明解决了在主、备设备发生切换时,每发送或接收多个报文时主、备设备同步 的技术问题。 0008 (二)技术方案 0009 本发明提出了一种IPSec隧道更新防重放参数的方法,其中利用主设备或者备设 备进行报文的发送,其特征在于,所述方法包括: 0010 A、设定序列号阈值; 0011 B、主设备发送报文,所述报文包括序列号,且每当主设备发送阈值个报文时。
10、,主设 备向备设备发送同步信号,所述同步信号包括当前报文的序列号; 0012 C:当主、备设备发生切换时,确定当前报文的序列号, 0013 D:从确定的当前报文的序列号开始,利用备设备发送报文。 0014 优选地,步骤C中当前报文的序列号N为:N=Tn+N i ;其中,T为序列号阈值,n为 主、备设备发生切换之前主设备向备设备发送同步信号的次数,N i 为从主设备向备设备最 后一次发送同步信号到主、备设备发生切换时主设备发送的报文数。 0015 优选地,主设备在每次向备设备发送同步信号后,将对发送的报文进行计数,计数 说 明 书CN 102891850 A 2/4页 5 值的初始值为0,每发送。
11、一个报文,计数值加1,当主、备设备发生切换时,主设备将计数值 发送给备设备,所述计数值为N i 。 0016 优选地,所述N i 为:其中,t i 为主、备设备发生切换 时的时间,t n 为主、备设备发生切换前主设备最后一次向备设备发送同步信号的时间。 0017 优选地,所述方法包括: 0018 序列号的初始值为0,每发送一个报文,序列号加1。 0019 本发明提出了一种IPSec隧道更新防重放参数的方法,其中利用主设备或者备设 备进行报文的接收,其特征在于,所述方法包括: 0020 A1、设定序列号阈值; 0021 B1、主设备接收报文,所述报文包括序列号,且每当主设备接收阈值个报文时,主 。
12、设备向备设备发送同步信号,所述同步信号包括当前报文的序列号; 0022 C1:当主、备设备发生切换时,确定当前报文的序列号, 0023 D1:从确定的当前报文的序列号开始,利用备设备接收报文。 0024 优选地,步骤C1中当前报文的序列号N为:N=Tn+N i ;其中,T为序列号阈值,n为 主、备设备发生切换之前主设备向备设备发送同步信号的次数,N i 为从主设备向备设备最 后一次发送同步信号到主、备设备发生切换时主设备接收的报文数。 0025 优选地,主设备在每次向备设备发送同步信号后,将对接收的报文进行计数,计数 值的初始值为0,每接收一个报文,计数值加1,当主、备设备发生切换时,主设备将。
13、计数值 发送给备设备,所述计数值为N i 。 0026 优选地,所述N i 为:其中,t i 为主、备设备发生切换 时的时间,t n 为主、备设备发生切换前主设备最后一次向备设备发送同步信号的时间。 0027 优选地,所述方法包括: 0028 序列号的初始值为0,每发送一个报文,序列号加1。 0029 (三)有益效果 0030 本发明当主、备设备发生切换后,利用备设备发送或接收报文,发送或接收报文的 序列号与主设备同步。 附图说明 0031 图1是本发明提出的一种IPSec隧道更新防重放参数的方法流程图; 0032 图2是本发明提出的一种IPSec隧道更新防重放参数的方法流程图。 具体实施方式。
14、 0033 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述。 0034 实施例1 0035 本实施例提出了一种IPSec隧道更新防重放参数的方法,其中利用主设备或者备 设备进行报文的发送,如图1所示,所述方法包括: 0036 A、设定序列号阈值; 说 明 书CN 102891850 A 3/4页 6 0037 B、主设备发送报文,所述报文包括序列号,且每当主设备发送阈值个报文时,主设 备向备设备发送同步信号,所述同步信号包括当前报文的序列号; 0038 C:当主、备设备发生切换时,确定当前报文的序列号, 0039 D:从确定的当前报文的序列号开始,利用备设备发。
15、送报文。 0040 实施例2 0041 在本实施例中包含实施例1的同时还包括以下内容,当前报文的序列号N为: N=Tn+N i ;其中,T为序列号阈值,n为主、备设备发生切换之前主设备向备设备发送同步信 号的次数,N i 为从主设备向备设备最后一次发送同步信号到主、备设备发生切换时主设备 发送的报文数。 0042 对于N i 值获得方法有两种,其中,第一种为:主设备在每次向备设备发送同步信号 后,将对发送的报文进行计数,计数值的初始值为0,每发送一个报文,计数值加1,当主、备 设备发生切换时,主设备将计数值发送给备设备,所述计数值为N i 。 0043 获得N i 值的第二种方法为:其中,t 。
16、i 为主、备设备发 生切换时的时间,t n 为主、备设备发生切换前主设备最后一次向备设备发送同步信号的时 间。 0044 本实施例还包括: 0045 序列号的初始值为0,每发送一个报文,序列号加1。 0046 实施例3 0047 本实施例提出的一种IPSec隧道更新防重放参数的方法,其中利用主设备或者备 设备进行报文的接收,其特征在于,所述方法包括: 0048 A1、设定序列号阈值; 0049 B1、主设备接收报文,所述报文包括序列号,且每当主设备接收阈值个报文时,主 设备向备设备发送同步信号,所述同步信号包括当前报文的序列号; 0050 C1:当主、备设备发生切换时,确定当前报文的序列号, 。
17、0051 D1:从确定的当前报文的序列号开始,利用备设备接收报文。 0052 优选地,步骤C1中当前报文的序列号N为:N=Tn+N i ;其中,T为序列号阈值,n为 主、备设备发生切换之前主设备向备设备发送同步信号的次数,N i 为从主设备向备设备最 后一次发送同步信号到主、备设备发生切换时主设备接收的报文数。 0053 优选地,主设备在每次向备设备发送同步信号后,将对接收的报文进行计数,计数 值的初始值为0,每接收一个报文,计数值加1,当主、备设备发生切换时,主设备将计数值 发送给备设备,所述计数值为N i 。 0054 优选地,所述N i 为:其中,t i 为主、备设备发生切换 时的时间,。
18、t n 为主、备设备发生切换前主设备最后一次向备设备发送同步信号的时间。 0055 优选地,所述方法包括: 0056 序列号的初始值为0,每发送一个报文,序列号加1。 0057 实施例4 0058 本发明提出了一种更为具体的一种主备切换时IPSec隧道更新防重放参数的方 法,具体如下: 说 明 书CN 102891850 A 4/4页 7 0059 IPSec隧道协商起来后从1开始,每发送一个报文,发送序号加1。 0060 设定序列号阈值,如1万,当主设备每接收到1万个报文就向备设备发送一个同步 信号。 0061 当主、备设备发生切换时,备设备切换为新主设备,例如新主设备之前已经接收到 4次主。
19、设备发送的同步信号,最近一次接收同步信号的时间点为10点01分01秒,距离上 一次接收同步信号的时间点10秒钟,当前主、备设备切换的时间点为10点01分06秒,那 么通过计算得出此5秒钟可以大约发送5千个报文,那么新主设备发送的报文序号从4万 5千开始。 0062 实施例5 0063 本发明提出了一种更为具体的一种主备切换时IPSec隧道更新防重放参数的方 法,具体如下: 0064 IPSec隧道协商后每接收到的序号必须大于前一个报文的序号。 0065 设定序列号阈值,如1万,若之前备设备接收到主设备发送的同步信号有4次,当 主、备设备发生切换时,备设备切换为新主设备,新主设备接收报文,并将接。
20、收到的第一个 报文的序列号作为报文的初始接收序号,则该初始接收序号必须大于之前同步的4万的序 列号,并记录最近一次同步的时间为10点01分01秒,与上一次信息同步的时间间隔了10 秒,那么当前时间为10点01分06秒,可算出当前接收的序号为4万5千,则初始序号为4 万5千,之后再接收到的报文必须序号大于前一个报文序号。 0066 说明:设定序列号阈值时可以根据需求手动配置,如1千到10万可配置。 0067 以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通 技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有 等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。 说 明 书CN 102891850 A 1/2页 8 图1 说 明 书 附 图CN 102891850 A 2/2页 9 图2 说 明 书 附 图CN 102891850 A 。