CN101243669A - 在因特网协议安全中更新错误自动修正窗口的方法和装置 - Google Patents
在因特网协议安全中更新错误自动修正窗口的方法和装置 Download PDFInfo
- Publication number
- CN101243669A CN101243669A CNA2006800298372A CN200680029837A CN101243669A CN 101243669 A CN101243669 A CN 101243669A CN A2006800298372 A CNA2006800298372 A CN A2006800298372A CN 200680029837 A CN200680029837 A CN 200680029837A CN 101243669 A CN101243669 A CN 101243669A
- Authority
- CN
- China
- Prior art keywords
- bitmap
- sequence number
- window
- automatically
- grouping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/12—Arrangements for detecting or preventing errors in the information received by using return channel
- H04L1/16—Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
- H04L1/18—Automatic repetition systems, e.g. Van Duuren systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5603—Access techniques
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Abstract
公开了一种在因特网协议安全(IPSec)中更新反重放窗口的方法和装置。所述方法包括:确定在从接收分组中提取的序列号与错误自动修正窗口的序列号的最大值之间的差是否大于预定值;如果确定所述差大于预定值,则分别生成基于错误自动修正窗口的大小的第一位图和基于从接收分组中提取的序列号的第二位图;将预定时间期间接收的分组的第一位图中的位值的数量与预定时间期间接收的分组的第二位图中的位值的数量进行比较,并且更新错误自动修正窗口。因此,能够更新错误自动修正窗口,从而网络上的主机能够根据分组的接收状态更稳定地彼此通信。
Description
技术领域
本发明一般在因特网协议安全(IPSec)中更新错误自动修正(anti-replay)窗口的方法和装置,更具体地,涉及一种根据分组的状态在IPSec中更新错误自动修正窗口的方法和装置,从而网络上的主机能够更稳定地彼此通信。
背景技术
当两个主机在网络上相互通信时,使用因特网协议安全(IPSec)以便建立更稳定的通信环境。IPSec使用“错误自动修正窗口”概念以便防止第三方的分组重放攻击。
传统上,错误自动修正窗口包括32位图,使用该32位图检查接收的ESP/AH分组的序列号,并且确定分组是否适当。
为了防止网络上的两个主机之间接收或发送的分组在两个主机相互通信时被任意第三方重发,从而避免发生通信问题,错误自动修正窗口确定是否最后接收或丢弃通过网络发送的分组。
然而,由于可以根据错误自动修正窗口的范围来丢弃适当的分组,因此必须仔细地更新错误自动修正窗口的范围。
分组接收主机仅接收包括错误自动修正窗口的范围内的序列号的分组并且丢弃范围外的剩余分组。如果传统的错误自动修正窗口接收具有比最后接收的分组的序列号大的序列号的分组,则错误自动修正窗口的参考值无条件地增加。在这种情况下,如果分组接收主机接收具有从第三方任意发送的足够大的序列号的分组,则错误自动修正窗口的参考值增加。由此,打算接收的适当分组由于该适当分组未在错误自动修正窗口的范围之内而被丢弃。也就是,由于来自第三方的不适当的分组,会发生其中未接收到从真正通信方发送的适当分组的问题。
图1是图解说明在因特网协议安全(IPSec)中更新错误自动修正窗口的传统方法的流程图。参考图1,首先,接收主机从发送主机接收分组(操作S100)。然后,接收主机提取在操作S100中接收的分组的序列号(操作S110)。
然后,确定在操作S110中提取的分组的序列号是否大于错误自动修正窗口的序列号的最大值(操作S120)。这里,错误自动修正窗口的序列号的最大值表示直到这一点为止接收的分组的序列号的最大值。
如果在操作S120中确定在操作S110中提取的分组的序列号大于错误自动修正窗口的序列号的最大值,则操作S110中提取的分组的序列号被决定为错误自动修正窗口的序列号的最大值,并且更新错误自动修正窗口(操作S125)。
同时,如果在操作S120中确定在操作S110中提取的分组的序列号不大于错误自动修正窗口的序列号的最大值,则确定操作S110中提取的分组的序列号是否小于错误自动修正窗口的序列号的最小值(操作S130)。
如果在操作S130中确定操作S110中提取的分组的序列号小于错误自动修正窗口的序列号的最小值,则在操作S100中接收的分组被决定为重发分组并且被丢弃(操作S135)。
同时,如果在操作S130中确定操作S110中提取的分组的序列号等于或大于错误自动修正窗口的序列号的最小值,则确定对于在操作S110中提取的分组的序列号的位图的位值是否等于“1”(操作S140)。
如果在操作S140中确定对于序列号的位图的位值等于在操作S110中提取的分组的序列号的值“1”,则操作S100中接收的分组被决定为重放分组并且被丢弃(操作S145)。
同时,如果在操作S140中确定对于在操作S110中提取的分组的序列号的位图的位值是否等于“0”,则接受操作S100中接收的分组,并且在操作S110中提取的分组的序列号的位图的位值变为“1”(操作S150)。
然后,结束所述处理。
图1中所示的流程图可以表示为以下表格。
[表格1]
| 情况1 | ·如果满足错误自动修正窗口的序列号的范围·如果首先接收到相应分组 | ·接受·改变错误自动修正窗口的位图的位值 |
| 情况2 | ·如果满足错误自动修正窗口的序列号的范围 | ·丢弃 |
| ·如果接收到两倍或者更多的相应分组 | ||
| 情况3 | ·如果接收分组的序列号小于错误自动修正窗口的序列号的最小值 | ·丢弃 |
| 情况4 | ·如果接收分组的序列号大于错误自动修正窗口的序列号的最大值 | ·接受·更新错误自动修正窗口 |
图2是用于解释图1中所示的更新错误自动修正窗口的传统方法的示例的视图。参考图2,当前错误自动修正窗口包括32位图,其中序列号的最小值是39,序列号的最大值是70。
下文中,将描述接收主机接收其序列号是40的分组的情况。这里,由于接收分组的序列号40满足错误自动修正窗口的序列号的范围并且首先接收到相应的分组,因此接收分组在其对应于表格1的情况1时被接受。而且,错误自动修正窗口的序列号40的位值变为“1”。
然后,将描述接收主机接收其序列号为71的分组的情况。由于接收分组的序列号71不满足错误自动修正窗口的序列号的范围并且接收分组的序列号大于错误自动修正窗口的序列号的最大值,因此接收分组在其对应于表格1的情况4时被接受。而且,接收分组的序列号被决定为错误自动修正窗口的序列号的最大值,并且更新错误自动修正窗口。根据错误自动修正窗口的更新结果,错误自动修正窗口包括32位图,其中错误自动修正窗口的序列号的最小值是40,错误自动修正窗口的序列号的最大值是71。
然后,将描述接收主机接收其序列号为35的分组的情况。由于接收分组的序列号35不满足错误自动修正窗口的序列号的范围并且接收分组的序列号小于错误自动修正窗口的序列号的最小值,因此接收分组在其对应于表格1的情况3时被丢弃。
图3是用于解释图1中所示的更新错误自动修正窗口的传统方法的问题的示例。参考图3,当前错误自动修正窗口包括32位图,其中错误自动修正窗口的序列号的最小值是39,序列号的最大值是70。
第一种情况,将描述接收主机接收其序列号是150的分组。由于接收分组的序列号150不满足错误自动修正窗口的序列号的范围并且接收分组的序列号大于错误自动修正窗口的序列号的最大值,因此接收分组在其对应于表格1的情况4时被接受。而且,接收分组的序列号被决定为错误自动修正窗口的序列号的最大值,并且更新错误自动修正窗口。在第二种情况中,错误自动修正窗口包括32位图,其中错误自动修正窗口的序列号的最小值是119,序列号的最大值是150。
然后,将描述接收主机接收具有序列号71至118的分组的情况。由于序列号71至118不满足错误自动修正窗口的序列号的范围并且接收分组的序列号小于错误自动修正窗口的序列号的最小值,因此接收分组在其对应于表格3的情况3时被丢弃。如此,在丢弃具有序列号71至118的接收分组的情况下存在问题。
技术方案
本发明提供了一种使用与定时器分离的位图根据在预定时间期间接收的分组的状态在IPSec中更新错误自动修正窗口的方法和装置。
有利效果
本发明可被体现为计算机记录介质上的计算机可读代码。计算机可读记录介质是能够存储之后可由计算机系统读取的数据的任何数据存储设备。计算机可读记录介质的示例包括只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘、光数据存储设备和载波(诸如通过因特网的数据传输)。计算机可读记录介质也可以通过网络耦接的计算机系统分布,从而计算机可读代码以分布的方式存储和执行。
在IPSec中更新错误自动修正窗口的方法和装置中,根据本发明,由于可以避免任意第三方的临时分组重放攻击并且可以根据网络环境灵活地更新错误自动修正窗口,因此能够极大地减少接收分组的丢失。
而且,在没有分离的检查处理情况下增加错误自动修正窗口的传统方法中存在一个问题,并且从发送主机不能适当地接收发送的分组。然而,因为本发明在临时接收包括大序列号的分组之后,在预定时间期间根据分组的接收状态更新错误自动修正窗口,因此可以解决上面的问题。
当由于网络环境的改变使得分组的传输路径被极大地缩短或者路由时间减少时,可以首先接收另一主机发送的适当分组。然而,传统上,当接收分组的序列号大大超过错误自动修正窗口的范围时存在一个问题,丢弃分组并且不能接收从发送主机发送的适当分组。然而,由于本发明在接收包括大序列号的分组之后,在预定时间期间根据分组的接收状态更新错误自动修正窗口,,暂时可以解决上面的问题。
尽管已经参考本发明的示例性实施例具体示出并描述了本发明,但是本领域的普通技术人员应当理解,在不背离由所附权利要求定义的本发明的精神和范围的情况下,可以在形式和细节上进行各种修改。
附图说明
通过参考附图详细描述本发明的示例性实施例,本发明的上面和其他特征和优点将变得更加明显,其中:
图1是图解说明在因特网协议安全(IPSec)中更新错误自动修正窗口的传统方法的流程图;
图2是用于解释图1中所示的更新错误自动修正窗口的传统方法的示例的视图;
图3是用于解释图1中所示的更新错误自动修正窗口的传统方法的问题的示例;
图4A和图4B是图解说明根据本发明实施例的在IPSec中更新错误自动修正窗口的方法的流程图;
图5是用于解释根据本发明实施例的、图4中所示的更新错误自动修正窗口的方法的示例的视图;
图6是用于解释根据本发明实施例的、图4中所示的更新错误自动修正窗口的方法的另一示例的视图;和
图7是根据本发明实施例的用于在IPSec中更新错误自动修正窗口的装置的方框图。
最佳实施方式
根据本发明的一方面,提供了一种在因特网协议安全(IPSec)中更新错误自动修正窗口的方法,包括:(a)确定从接收分组中提取的序列号与错误自动修正窗口的序列号的最大值之间的差是否大于预定值;(b)如果在操作(a)中确定所述差大于预定值,则分别生成基于错误自动修正窗口的大小的第一位图和基于从接收分组中提取的序列号的第二位图;和(c)将预定时间期间接收的分组的第一位图中的位值的数量与预定时间期间接收的分组的第二位图中的位值的数量进行比较,并且更新错误自动修正窗口。
根据本发明的另一方面,提供了一种在因特网协议安全(IPSec)中更新错误自动修正窗口的装置,包括:确定单元,确定从接收分组中提取的序列号与错误自动修正窗口的序列号的最大值之间的差是否大于预定值;位图生成单元,如果所述差大于预定值,则分别生成基于错误自动修正窗口的大小的第一位图和基于从接收分组中提取的序列号的第二位图;和更新单元,将预定时间期间接收的分组的第一位图中的位值的数量与预定时间期间接收的分组的第二位图中的位值的数量进行比较,并且更新错误自动修正窗口。
具体实施方式
现在将参考附图更全面地描述本发明,附图中示出了本发明的示例性实施例。
图4A和图4B是图解说明根据本发明实施例的在因特网协议安全(IPSec)中更新错误自动修正窗口的方法的流程图。
参考图4,接收主机从发送主机接收分组(操作S400)。
然后,接收主机提取在操作S400中接收的分组的序列号(操作S410)。
然后,确定在操作S410中提取的分组的序列号是否小于错误自动修正窗口的序列号的最小值(操作S420)。通过指定参考值,考虑通信主机之间的通信特性,或者根据用户的要求,可以不同地设置错误自动修正窗口的大小。
如果在操作S420中确定在操作S410中提取的分组的序列号小于错误自动修正窗口的序列号的最小值,则所述分组被决定为重发的分组并且被丢弃(操作S422)。
同时,如果在操作S420中确定在操作S410中提取的分组的序列号等于或大于错误自动修正窗口的序列号的最小值,则确定在操作S410中提取的分组的序列号是否大于错误自动修正窗口的序列号的最大值(操作S430)。
如果在操作S430中确定在操作S410中提取的分组的序列号等于或小于错误自动修正窗口的序列号的最大值,则确定对于与在操作S410中提取的分组的序列号相同的、错误自动修正窗口的序列号的位图的位值是否等于相应的位值“1”(操作S432)。
如果在操作S432中确定与在操作S410中提取的分组的序列号相同的、错误自动修正窗口的序列号的位图的位值等于相应的位值“0”,则接受所接收的分组,并且对于错误自动修正窗口的相应序列号的位图的位值变为“1”(操作S434)。
同时,如果在操作S432中确定与在操作S410中提取的分组的序列号相同的、错误自动修正窗口的序列号的位图的位值等于相应的位值“1”,则接收的分组被决定为重发的分组并且被丢弃(操作S436)。
同时,如果在操作S430中确定在操作S410中提取的分组的序列号大于错误自动修正窗口的序列号的最大值,则确定在操作S410中提取的分组的序列号与错误自动修正窗口的序列号的最大值之间的差是否大于预定值(操作S440)。
例如,在操作S440中,预定值可以被设置为通过从错误自动修正窗口的序列号的最大值中减去错误自动修正窗口的序列号的最小值而获得的值。另外,预定值可以根据系统的类型而不同地设置。
在该操作中,通过指定参考值,考虑通信主机之间的通信特性,或者根据用户的要求,可以不同地改变预定值。
如果在操作S440中确定在操作S410中提取的分组的序列号与错误自动修正窗口的序列号的最大值之间的差不大于预定值,则在操作S410中提取的分组的序列号被决定为错误自动修正窗口的序列号的最大值,并且更新错误自动修正窗口(操作S442)。
同时,如果在操作S440中确定在操作S410中提取的分组的序列号与错误自动修正窗口的序列号的最大值之间的差大于预定值,则生成基于当前错误自动修正窗口的大小的第一位图和基于在操作S410中提取的分组的序列号的第二位图(操作S450)。
这里,所述第一位图包括当前错误自动修正窗口的大小并且比当前错误自动修正窗口的序列号的最大值大预定大小。更具体地,例如,第一位图可以是当前错误自动修正窗口的大小的两倍。
而且,第二位图可以具有在操作S410中提取的分组的序列号作为其中间值,并且具有与第一位图相同的大小。
在操作S450中,定时器运行,并且在预定时间期间在第一位图和第二位图上显示指示是否接收到分组的信息(操作S460)。
在操作S460中,通过指定参考值,考虑通信主机之间的通信特性,或者根据用户的要求,可以改变预定值。
在操作S460之后,如果定时器的运行完成,则确定第一位图中的1位值的数量是否大于第二位图中的1位值的数量(操作S470)。
如果在操作S470中确定第一位图中的1位值的数量大于第二位图中的1位值的数量,则基于第一位图来更新错误自动修正窗口(操作S472)。
如果在操作S470中确定第二位图中的1位值的数量大于第一位图中的1位值的数量,则基于第二位图来更新错误自动修正窗口(操作S474)。
在操作S422、S434、S436、S442、S472和S474之后,结束所述处理。
图5是用于解释根据本发明实施例的、图4中所示的更新错误自动修正窗口的方法的示例的视图。
参考图5,错误自动修正窗口包括32位图,其中当前抗重复窗口的序列号的最小值是39,序列号的最大值是70。
下文中,将描述具有序列号150的接收分组的情况。接收分组的序列号150大于错误自动修正窗口的序列号的最大值70,并且假设序列号150与错误自动修正窗口的序列号的最大值70之间的差80大于图4的操作S440中的预定值。
在该实施例中,第一位图是64位图,其最小值是39,并且其最大值是102,中间是当前错误自动修正窗口的序列号的最大值70。第二位图是64位图,其最小值是119,并且其最大值是182,中间是所提取的分组的序列号150。当生成第一位图和第二位图时,当前错误自动修正窗口的最大值70的位值和所提取的分组的序列号150的位值在第一位图和第二位图中被分别设置为“1”。
接着,将描述接收主机接收具有序列号151的分组的情况。由于接收分组的序列号151被包含在第二位图中,第二位图的序列号151的位值被设置为“1”。
之后,将描述接收主机接收具有序列号153的分组的情况。由于接收分组的序列号153被包含在第二位图中,序列号153的位值被设置为“1”。
在预定时间期间使用定时器来执行上述操作。在图5中,如果当接收到具有序列号153的分组时超过定时器的操作,则第一位图中的1位值的数量与第二位图中的1位值的数量进行比较。在图5中,由于第一位图中的1位值的数量和第二位图中的1位值的数量是3,因此基于第二位图更新错误自动修正窗口。更具体地,使用为具有第二位图中的位值“1”的序列号的最大值的序号153,作为错误自动修正窗口的序列号的最大值,来更新错误自动修正窗口。
图6是用于解释根据本发明实施例的、图4中所示的更新错误自动修正窗口的方法的另一示例的视图。
参考图6,错误自动修正窗口包括32位图,其中序列号的最小值是39,序列号的最大值是70。
现在,将描述接收主机接收具有序列号150的接收分组的情况。接收分组的序列号150大于错误自动修正窗口的序列号的最大值,并且假设提取的分组的序列号150与错误自动修正窗口的序列号的最大值70之间的差80大于图4的操作S440中的预定值。
在该实施例中,第一位图是64位图,其最小值是39,并且其最大值是102,中间是当前错误自动修正窗口的序列号的最大值70。第二位图是64位图,其最小值是119,并且其最大值是182,中间是所提取的分组的序列号150。当生成第一位图和第二位图时,当前错误自动修正窗口的最大值70的位值和所提取的分组的序列号150的位值被设置为“1”。
接着,将描述接收主机接收具有序列号41的分组的情况。由于接收分组的序列号41被包含在第一位图中,第一位图的序列号41的位值被设置为“1”。
然后,将描述接收主机接收具有序列号73的分组的情况。由于接收分组的序列号73被包含在第一位图中,第一位图的序列号73的位值被设置为“1”。
在预定时间期间使用定时器来执行上述操作。在图6中,如果当接收到具有序列号73的分组时超过定时器的操作,则第一位图中的1位值的数量与第二位图中的1位值的数量进行比较。在图6中,由于第一位图中的1位值的数量是3和第二位图中的1位值的数量是1,因此基于第一位图更新错误自动修正窗口。更具体地,使用为具有第一位图中的1位值的序列号的最大值的序号73,作为错误自动修正窗口的序列号的最大值,来更新错误自动修正窗口。
图7是根据本发明实施例的用于在IPSec中更新错误自动修正窗口的装置的方框图。
参考图7,在IPSec中更新错误自动修正窗口的装置包括分组接收器710、序列号提取器720、确定单元730、存储单元740、位图生成单元750、更新单元760和定时器770。
分组接收器710接收从发送主机发送的分组。
序列号提取器720提取从分组接收器710接收的分组的序列号。
存储单元740存储当前错误自动修正窗口。
确定单元730确定由序列号提取器720提取的序列号与在存储单元740中存储的错误自动修正窗口的序列号的最大值之间的差是否大于预定值。例如,预定值可以被设置为通过从序列号的最大值中减去错误自动修正窗口的序列号的最小值而获得的值。而且,预定值可以根据系统的类型被不同地设置。
如果确定单元730确定所提取的序列号与错误自动修正窗口的序列号的最大值之间的差大于预定值,则位图生成单元740分别生成基于错误自动修正窗口的大小的第一位图和基于由接收的分组提取的序列号的第二位图。
这里,第一位图包括整个当前错误自动修正窗口,并且比当前错误自动修正窗口的序列号的最大值大预定值。
更具体地,例如,第一位图可以是当前错误自动修正窗口的大小的两倍。
而且,第二位图可以具有由序列号提取器720提取的分组的序列号作为中间值,并且可以与第一位图的大小相同。
更新单元760将预定时间期间在由位图生成单元740生成的各自第一位图和第二位图中接收的分组的位值的数量进行比较,并且更新错误自动修正窗口。
更具体地,更新单元760将在预定时间期间第一位图中的1位值的数量与第二位图中的1位值的数量进行比较,并且基于具有最多1位值的数量的位图来更新错误自动修正窗口。
也就是,如果确定第一位图的1位值的数量多于第二位图的1位值的数量,则更新单元760使用具有第一位图中的位值“1”的序列号的最大值作为错误自动修正窗口的序列号的最大值来更新错误自动修正窗口。而且,如果确定第二位图的1位值的数量多于第一位图的1位值的数量,则更新单元760使用具有第二位图中的位值“1”的序列号的最大值作为错误自动修正窗口的序列号的最大值来更新错误自动修正窗口。
而且,从接收分组中提取的序列号小于错误自动修正窗口的序列号的最小值,更新单元760丢弃接收分组。
当从位图生成单元750接收到位图生成信号时,定时器770开始运行,并且允许更新单元760仅在预定时间期间将第一位图中的接收分组的位值的数量与第二位图中的接收分组的位值的数量进行比较。
图7中未描述的部分可以参考图4至图6至所示。
Claims (21)
1.一种在因特网协议安全(IPSec)中更新错误自动修正窗口的方法,包括:
(a)确定在从接收分组中提取的序列号与错误自动修正窗口的序列号的最大值之间的差是否大于预定值;
(b)如果在操作(a)中确定所述差大于预定值,则分别生成基于错误自动修正窗口的大小的第一位图和基于从接收分组中提取的序列号的第二位图;和
(c)将预定时间期间接收的分组的第一位图中的位值的数量与预定时间期间接收的分组的第二位图中的位值的数量进行比较,并且更新错误自动修正窗口。
2.如权利要求1所述的方法,其中,在操作(a)中,通过从错误自动修正窗口的序列号的最大值中减去错误自动修正窗口的序列号的最小值来获得预定值。
3.如权利要求1所述的方法,其中,使用在生成第一位图和第二位图之后操作的定时器来测量预定时间。
4.如权利要求1所述的方法,其中,其中所述第一位图包括错误自动修正窗口的大小并且比错误自动修正窗口的序列号的最大值大预定大小。
5.如权利要求4所述的方法,其中,其中所述第一位图是错误自动修正窗口的大小的两倍。
6.如权利要求4所述的方法,其中,所述第二位图具有从接收的分组中提取的序列号作为中间值,并且具有与第一位图相同的大小。
7.如权利要求1所述的方法,其中,在第一位图和第二位图中分别接收的分组的位值被设置为“1”。
8.如权利要求7所述的方法,其中,在操作(c)中,在预定时间期间第一位图中的1位值的数量与第二位图中的1位值的数量进行比较,并且基于具有最多1位值的位图来更新错误自动修正窗口。
9.如权利要求8所述的方法,其中,如果确定第一位图中的1位值的数量大于第二位图中的1位值的数量,则使用包括1位值的第一位图的序列号的最大值作为错误自动修正窗口的序列号的最大值来更新错误自动修正窗口。
10.如权利要求8所述的方法,其中,如果确定第二位图中的1位值的数量大于第一位图中的1位值的数量,则使用包括1位值的第二位图的序列号的最大值作为错误自动修正窗口的序列号的最大值来更新错误自动修正窗口。
11.如权利要求1所述的方法,还包括:
操作(a)中的操作(d),如果所述差不大于预定值并且从接收的分组中提取的序列号大于错误自动修正窗口的序列号的最大值,则使用从接收的分组中提取的序列号作为错误自动修正窗口的序列号的最大值来更新错误自动修正窗口。
12.如权利要求1所述的方法,还包括:
操作(a)中的操作(d),如果所述差不大于预定值并且从接收的分组中提取的序列号小于错误自动修正窗口的序列号的最小值,则丢弃接收的分组。
13.一种在因特网协议安全(IPSec)中更新错误自动修正窗口的装置,包括:
确定单元,确定在从接收分组中提取的序列号与错误自动修正窗口的序列号的最大值之间的差是否大于预定值;
位图生成单元,如果所述差大于预定值,则分别生成基于错误自动修正窗口的大小的第一位图和基于从接收分组中提取的序列号的第二位图;和
更新单元,将预定时间期间接收的分组的第一位图中的位值的数量与预定时间期间接收的分组的第二位图中的位值的数量进行比较,并且更新错误自动修正窗口。
14.如权利要求13所述的装置,其中,通过从错误自动修正窗口的序列号的最大值中减去错误自动修正窗口的序列号的最小值来获得预定值。
15.如权利要求13所述的装置,其中,通过在生成第一位图和第二位图之后操作的定时器来测量预定时间。
16.如权利要求13所述的装置,其中,所述第一位图包括错误自动修正窗口的大小并且比错误自动修正窗口的序列号的最大值大预定大小。
17.如权利要求16所述的装置,其中,所述第二位图具有从接收的分组中提取的序列号作为中间值,并且具有与第一位图相同的大小。
18.如权利要求13所述的装置,其中,在第一位图和第二位图中分别接收的分组的位值被设置为“1”。
19.如权利要求18所述的装置,其中,所述更新单元在预定时间期间将第一位图中的1位值的数量与第二位图中的1位值的数量进行比较,并且基于具有最多1位值的位图来更新错误自动修正窗口。
20.如权利要求13所述的装置,其中,如果所述确定单元确定所述差不大于预定值并且从接收的分组中提取的序列号小于错误自动修正窗口的序列号的最小值,则所述更新单元丢弃接收的分组。
21.一种计算机可读记录介质,其存储用于执行权利要求1所述的方法的计算机程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060012588A KR100772394B1 (ko) | 2006-02-09 | 2006-02-09 | IPSec에서의 재전송 방지 윈도우 갱신 방법 및 장치 |
| KR1020060012588 | 2006-02-09 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101243669A true CN101243669A (zh) | 2008-08-13 |
Family
ID=38345335
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006800298372A Pending CN101243669A (zh) | 2006-02-09 | 2006-11-10 | 在因特网协议安全中更新错误自动修正窗口的方法和装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20080295163A1 (zh) |
| EP (1) | EP1982491A1 (zh) |
| JP (1) | JP2009526464A (zh) |
| KR (1) | KR100772394B1 (zh) |
| CN (1) | CN101243669A (zh) |
| WO (1) | WO2007091758A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101577725B (zh) * | 2009-06-26 | 2012-09-26 | 杭州华三通信技术有限公司 | 一种防重放机制中的信息同步方法、装置和系统 |
| CN108683606A (zh) * | 2018-05-11 | 2018-10-19 | 迈普通信技术股份有限公司 | IPsec防重放的方法、装置、网络设备及可读存储介质 |
| CN113746782A (zh) * | 2020-05-28 | 2021-12-03 | 华为技术有限公司 | 报文处理方法、装置及相关设备 |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8646090B1 (en) * | 2007-10-03 | 2014-02-04 | Juniper Networks, Inc. | Heuristic IPSec anti-replay check |
| US8191133B2 (en) * | 2007-12-17 | 2012-05-29 | Avaya Inc. | Anti-replay protection with quality of services (QoS) queues |
| US20100165839A1 (en) * | 2008-12-29 | 2010-07-01 | Motorola, Inc. | Anti-replay method for unicast and multicast ipsec |
| US9363684B2 (en) | 2010-09-29 | 2016-06-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Determining loss of IP packets |
| CN105791219B (zh) * | 2014-12-22 | 2020-03-20 | 华为技术有限公司 | 抗重放方法和装置 |
| US9992223B2 (en) | 2015-03-20 | 2018-06-05 | Nxp Usa, Inc. | Flow-based anti-replay checking |
| US10374904B2 (en) | 2015-05-15 | 2019-08-06 | Cisco Technology, Inc. | Diagnostic network visualization |
| US9967158B2 (en) | 2015-06-05 | 2018-05-08 | Cisco Technology, Inc. | Interactive hierarchical network chord diagram for application dependency mapping |
| US10142353B2 (en) | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
| US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| US10289438B2 (en) | 2016-06-16 | 2019-05-14 | Cisco Technology, Inc. | Techniques for coordination of application components deployed on distributed virtual machines |
| US10187316B2 (en) * | 2016-07-18 | 2019-01-22 | Arm Limited | Data item replay protection |
| US10708183B2 (en) | 2016-07-21 | 2020-07-07 | Cisco Technology, Inc. | System and method of providing segment routing as a service |
| US10972388B2 (en) | 2016-11-22 | 2021-04-06 | Cisco Technology, Inc. | Federated microburst detection |
| US10708152B2 (en) | 2017-03-23 | 2020-07-07 | Cisco Technology, Inc. | Predicting application and network performance |
| US10523512B2 (en) | 2017-03-24 | 2019-12-31 | Cisco Technology, Inc. | Network agent for generating platform specific network policies |
| US10594560B2 (en) | 2017-03-27 | 2020-03-17 | Cisco Technology, Inc. | Intent driven network policy platform |
| US10250446B2 (en) | 2017-03-27 | 2019-04-02 | Cisco Technology, Inc. | Distributed policy store |
| US10764141B2 (en) | 2017-03-27 | 2020-09-01 | Cisco Technology, Inc. | Network agent for reporting to a network policy system |
| US10873794B2 (en) | 2017-03-28 | 2020-12-22 | Cisco Technology, Inc. | Flowlet resolution for application performance monitoring and management |
| US10680887B2 (en) | 2017-07-21 | 2020-06-09 | Cisco Technology, Inc. | Remote device status audit and recovery |
| US10554501B2 (en) | 2017-10-23 | 2020-02-04 | Cisco Technology, Inc. | Network migration assistant |
| US10523541B2 (en) | 2017-10-25 | 2019-12-31 | Cisco Technology, Inc. | Federated network and application data analytics platform |
| US10594542B2 (en) | 2017-10-27 | 2020-03-17 | Cisco Technology, Inc. | System and method for network root cause analysis |
| US11233821B2 (en) | 2018-01-04 | 2022-01-25 | Cisco Technology, Inc. | Network intrusion counter-intelligence |
| US10999149B2 (en) | 2018-01-25 | 2021-05-04 | Cisco Technology, Inc. | Automatic configuration discovery based on traffic flow data |
| US10826803B2 (en) | 2018-01-25 | 2020-11-03 | Cisco Technology, Inc. | Mechanism for facilitating efficient policy updates |
| US10798015B2 (en) | 2018-01-25 | 2020-10-06 | Cisco Technology, Inc. | Discovery of middleboxes using traffic flow stitching |
| US10574575B2 (en) | 2018-01-25 | 2020-02-25 | Cisco Technology, Inc. | Network flow stitching using middle box flow stitching |
| US11128700B2 (en) | 2018-01-26 | 2021-09-21 | Cisco Technology, Inc. | Load balancing configuration based on traffic flow telemetry |
| CN116155477B (zh) * | 2023-04-18 | 2023-07-18 | 湖北省楚天云有限公司 | 一种基于动态滑动窗口的IPsec抗重放方法及系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7107464B2 (en) * | 2001-07-10 | 2006-09-12 | Telecom Italia S.P.A. | Virtual private network mechanism incorporating security association processor |
| KR100770869B1 (ko) * | 2001-10-22 | 2007-10-26 | 삼성전자주식회사 | 패킷 재 정렬 방법 |
| KR100480279B1 (ko) * | 2003-01-03 | 2005-04-07 | 삼성전자주식회사 | 무선 환경에서 전송 제어 프로토콜의 성능 향상을 위한버퍼 관리 장치 및 방법 |
| KR100544182B1 (ko) * | 2003-03-11 | 2006-01-23 | 삼성전자주식회사 | Ip 보안에서의 슬라이딩 윈도우의 관리방법 및 장치 |
| JP4306498B2 (ja) | 2004-03-11 | 2009-08-05 | 日本電気株式会社 | リプライ・アタックエラー検出方法および装置 |
| US7748034B2 (en) * | 2005-10-12 | 2010-06-29 | Cisco Technology, Inc. | Strong anti-replay protection for IP traffic sent point to point or multi-cast to large groups |
-
2006
- 2006-02-09 KR KR1020060012588A patent/KR100772394B1/ko not_active IP Right Cessation
- 2006-11-10 EP EP06812522A patent/EP1982491A1/en not_active Withdrawn
- 2006-11-10 JP JP2008554113A patent/JP2009526464A/ja active Pending
- 2006-11-10 WO PCT/KR2006/004688 patent/WO2007091758A1/en active Application Filing
- 2006-11-10 CN CNA2006800298372A patent/CN101243669A/zh active Pending
- 2006-11-10 US US12/092,734 patent/US20080295163A1/en not_active Abandoned
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101577725B (zh) * | 2009-06-26 | 2012-09-26 | 杭州华三通信技术有限公司 | 一种防重放机制中的信息同步方法、装置和系统 |
| CN108683606A (zh) * | 2018-05-11 | 2018-10-19 | 迈普通信技术股份有限公司 | IPsec防重放的方法、装置、网络设备及可读存储介质 |
| CN108683606B (zh) * | 2018-05-11 | 2021-10-08 | 迈普通信技术股份有限公司 | IPsec防重放的方法、装置、网络设备及可读存储介质 |
| CN113746782A (zh) * | 2020-05-28 | 2021-12-03 | 华为技术有限公司 | 报文处理方法、装置及相关设备 |
| CN113746782B (zh) * | 2020-05-28 | 2022-06-10 | 华为技术有限公司 | 报文处理方法、装置及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080295163A1 (en) | 2008-11-27 |
| JP2009526464A (ja) | 2009-07-16 |
| KR100772394B1 (ko) | 2007-11-01 |
| WO2007091758A1 (en) | 2007-08-16 |
| EP1982491A1 (en) | 2008-10-22 |
| KR20070080977A (ko) | 2007-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101243669A (zh) | 在因特网协议安全中更新错误自动修正窗口的方法和装置 | |
| US8334755B2 (en) | Method for recognizing radio frequency identification tag reader and apparatus thereof | |
| CN103703453B (zh) | 提供用于消息负载均衡的推送服务的系统及其方法 | |
| CN1826728A (zh) | 使用在未知数据中分布的已知或可预测的比特模式更新自适应均衡器系数 | |
| CN105847108A (zh) | 容器间的通信方法及装置 | |
| CN107257277A (zh) | 串行帧同步多型锁定控制方法 | |
| EP2670100B1 (en) | Method and apparatus for synchronization of data and error samples in a communications system | |
| CN117395329B (zh) | 收发以太二层协议报文的方法、装置及存储介质 | |
| CN112615662B (zh) | 一种低轨卫星的mac层的数据传输方法 | |
| CN108712494A (zh) | 处理异步消息的方法、装置及设备 | |
| EP2869650A1 (en) | Method, base station and system for achieving time division duplex configuration of auxiliary cell | |
| US10708174B2 (en) | Communication system, transmitter, receiver, communication method, transmission method, and reception method | |
| CN105704210B (zh) | 充电桩信息更新方法和系统 | |
| US20100103457A1 (en) | Image forming apparatus and print system | |
| CN104821889A (zh) | 一种备份报文的处理方法和设备 | |
| CN107454659A (zh) | 一种终端识别方法、系统、终端设备和基站 | |
| US9876805B2 (en) | Apparatus and method for transmitting and receiving messages | |
| CN106911380B (zh) | 一种通道恢复方法及装置 | |
| CN110069274A (zh) | 池化服务器ReDriver芯片配置更新方法及装置 | |
| CN106385322B (zh) | 一种数据组呼方法、装置及系统 | |
| CN113050978B (zh) | 应用的灰度发布控制方法、装置、设备及计算机存储介质 | |
| CN110138819B (zh) | 网络交换机的主机状态检测方法与系统 | |
| EP3550893B1 (en) | Power saving modes | |
| CN101014023A (zh) | 一种会话标识匹配方法及装置以及通讯系统 | |
| CN106506250A (zh) | 数据采集方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080813 |