CN102752189B - 一种处理报文的方法及设备 - Google Patents
一种处理报文的方法及设备 Download PDFInfo
- Publication number
- CN102752189B CN102752189B CN201110101993.8A CN201110101993A CN102752189B CN 102752189 B CN102752189 B CN 102752189B CN 201110101993 A CN201110101993 A CN 201110101993A CN 102752189 B CN102752189 B CN 102752189B
- Authority
- CN
- China
- Prior art keywords
- message
- sequence number
- replay attack
- priority
- message received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种处理报文的方法及设备,用于在支持报文优先级的情况下解决重放攻击问题,保证系统的正常运行。本发明实施例方法包括:接收报文,其中,接收到的报文携带的用于防止重放攻击的序列号和用于指示报文优先级的信息;根据接收到的报文携带的用于防止重放攻击的序列号和用于指示报文优先级的信息判断是否发生重放攻击,若是,丢弃接收到的报文,若不是,处理接收到的报文。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种处理报文的方法及设备。
背景技术
重放攻击是一种很常用的网络攻击方法,攻击者预先截获网络上传递的报文,并选择在以后合适的时机在网上重新发送截获的报文,从而扰乱受害者设备的状态,达到攻击的目的。
目前,许多路由协议以及安全协议都使用序列号来防止重放攻击,即在每个报文中携带一个序列号,序列号单调递增,当系统收到一个报文时,对报文进行处理,若收到的报文的序列号比之前处理过的报文的序列号小,则认为是重放攻击,系统会将收到的报文丢弃。
Internet工程任务组(IETF,Internet Engineering Task Force)的路由协议密钥交换和身份认证(karp,Keying and Authentication for Routing Protocols)工作组讨论认为目前的这种报文处理方式,虽然能够防止重放攻击,但是由于不支持报文优先级(packet prioritization)(优先级高的报文虽然接收的晚,但是会被优先处理),因此,后接收到的报文若优先级高则会被提前处理,在没有发生重放攻击的情况下,当先前接收到的优先级低的报文被处理时,系统认为该先前接收到的报文的序列号小于之前处理的报文,进而误认为发生了重放攻击,会将该先前接收到的合法报文丢弃掉,最终导致系统的紊乱。
发明内容
本发明实施例提供了一种处理报文的方法及设备,用于在支持报文优先级的情况下解决重放攻击问题,保证系统的正常运行。
一方面,提供一种处理报文的方法,包括:
接收报文,其中,接收到的报文携带用于防止重放攻击的序列号和用于指示报文优先级的信息;
根据接收到的报文携带的用于防止重放攻击的序列号和用于指示报文优先级的信息判断是否发生重放攻击,若是,丢弃接收到的报文,若不是,处理接收到的报文。
另一方面,提供一种处理报文的设备,包括:
报文接收单元,用于接收报文,其中,接收到的报文携带用于防止重放攻击的序列号和用于指示报文优先级的信息;
重放攻击判断单元,用于根据接收到的报文携带的用于防止重放攻击的序列号和用于指示报文优先级的信息判断是否发生重放攻击,若是,触发报文丢弃单元,若不是,触发报文处理单元;
报文丢弃单元,用于当发生了重放攻击时,丢弃接收到的报文;
报文处理单元,用于当没有发生重放攻击时,处理接收到的报文。
从以上技术方案可以看出,本发明实施例具有以下优点:
在本发明实施例中,接收到报文以后,根据接收到的报文携带的用于防止重放攻击的序列号和用于指示报文优先级的信息判断是否发生重放攻击,由于判断是否发生重放攻击时按照报文用于防止重放攻击的序列号和用于指示报文优先级的信息,当判断结果为不是重放攻击时才对该报文进行处理,而会将判断结果为重放攻击的报文丢弃,故能够避免在先发送的报文(优先级低)被误丢弃的问题,在支持报文优先级的情况下解决了重放攻击问题,保证了系统的正常运行。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种处理报文的方法示意图;
图2为本发明实施例二提供的一种处理报文的方法示意图;
图3为本发明实施例三提供的一种处理报文的方法示意图;
图4为本发明实施例四提供的一种处理报文的设备示意图。
具体实施方式
本发明实施例提供了一种处理报文的方法及设备,用于在支持报文优先级的情况下解决重放攻击问题,保证系统的正常运行。
为使得本发明实施例的目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域的技术人员所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例提供的一种处理报文的方法,参见图1,具体可包括:
101、接收报文,其中,接收到的报文携带用于防止重放攻击的序列号和用于指示报文优先级的信息;
102、根据接收到的报文携带的用于防止重放攻击的序列号和用于指示报文优先级的信息判断是否发生重放攻击,若是,执行103,若不是,执行104;
103、丢弃接收到的报文;
104、处理接收到的报文。
在本发明实施例中,接收到报文以后,根据接收到的报文携带的用于防止重放攻击的序列号和用于指示报文优先级的信息判断是否发生重放攻击,由于判断是否发生重放攻击时按照报文用于防止重放攻击的序列号和用于指示报文优先级的信息,当判断结果为不是重放攻击时才对该报文进行处理,而会将判断结果为重放攻击的报文丢弃,故能够避免在先发送的报文(优先级低)被误丢弃的问题,在支持报文优先级的情况下解决了重放攻击问题,保证了系统的正常运行。
下面将以更具体的实施例对本发明中的处理报文的方法进行说明,请参阅实施例二。
实施例二
201、接收报文,其中,接收到的报文携带有N个用于防止重放攻击的序列号,N是报文优先级的级别个数;
在本发明实施例中,作为报文的发送方为报文配置和该报文的级别个数相同的多个序列号,然后发送给接收方,以便于接收方能够根据该报文的不同优先级使用不同的序列号。例如,报文共有8个优先级,则就为报文配置8个序列号。
当报文携带的序列号超过一个时,报文携带的序列号的数据格式可以是相同的,或者不同的,在实际应用中,具体可以为32位或64位的无符号整数,当然也可以是其它的数据格式,此处不作限定。
202、判断接收到的报文携带的第M个序列号是否大于自身存储的第M个序列号,若是,执行203和204,若不是,执行205,其中,M为接收到的报文的优先级的级别;
可选的,可以将报文按照优先级顺序从高到低依次进行判断。假设接收到的报文的优先级是M,则判断接收到的报文携带的第M个序列号是否大于存储的第M个序列号,即在报文的优先级不同的情况下,使用的是不同的序列号进行比较判断。例如接收到的报文的优先级是6,则判断该接收到的报文携带的第6个序列号是否大于自身存储的第6个序列号。
203、处理接收到的报文;
根据202的判断结果,当报文携带的第M个序列号大于自身存储的第M个序列号时,认为没有发生重放攻击,对报文进行处理。
204、将接收到的报文携带的第M个序列号存储为新的第M个序列号;
根据202的判断结果,该报文的第M个序列号大于自身存储的第M个序列号,则说明没有发生重放攻击,更新第M个序列号,将报文的第M个序列号存储为新的第M个序列号。
需要说明的是,203和204之间没有先后顺序,可以先执行203后执行204,也可以先执行204再执行203,还可以同时执行203和204,此处不作限定。
205、丢弃接收到的报文。
根据202的判断结果,当报文携带的第M个序列号小于或者等于自身存储的第M个序列号时,认为发生了重放攻击,将接收到的报文丢弃,解决了防止重放攻击的问题,保护了系统的正常运行。
在本发明实施例中,当接收到报文后,根据接收到的报文携带的第M个序列号判断是否发生了重放攻击,M为接收到的报文的优先级的级别,由于在判断时使用的序列号是根据优先级不同而使用不同的序列号,所以高优先级报文的序列号和低优先级报文的序列号是不同的,故能够避免在先发送的报文(优先级低)被误丢弃的问题,在支持报文优先级的情况下解决了重放攻击问题,保证了系统的正常运行。
下面将以另一个具体的实施例对本发明中的处理报文的方法进行说明,请参阅实施例三。
实施例三
301、接收报文,其中,接收到的报文携带用于防止重放攻击的序列号和用于指示报文优先级的标签;
302、根据上述用于指示报文优先级的标签,在同一个优先级别中,判断接收到的报文携带的用于防止重放攻击的序列号是否大于自身存储的序列号,若是,执行303和304,若不是,执行305;
可选的,可以将报文按照优先级顺序从高到低依次进行判断。
303、处理接收到的报文;
根据302的判断结果,在同一个优先级别中,当接收到的报文携带的用于防止重放攻击的序列号大于自身存储的序列号时,认为没有发生重放攻击,对报文进行处理。
304、将接收到的报文携带的序列号存储为新的序列号;
根据302的判断结果,该报文的序列号大于与该序列号的优先级标签相同的自身存储的序列号,则说明没有发生重放攻击,更新该存储的序列号,将该序列号存储为新的序列号。
需要说明的是,303和304之间没有先后顺序,可以先执行303后执行304,也可以先执行304再执行303,还可以同时执行303和304,此处不作限定。
305、丢弃接收到的报文。
根据步骤302的判断结果,在同一个优先级别中,当接收到的报文携带的用于防止重放攻击的序列号小于或等于自身存储的序列号时,认为发生了重放攻击,将接收到的报文丢弃,解决了防止重放攻击的问题,保护了系统的正常运行。
在本发明实施例中,当接收到报文后,根据报文携带用于防止重放攻击的序列号和用于指示报文优先级的标签判断接收到的报文是否为重放攻击报文,在判断接收到的报文是否为重放攻击报文时是在在同一个优先级别中判断,所以高优先级报文的序列号和低优先级报文的序列号是不同的,故能够避免在先发送的报文(优先级低)被误丢弃的问题,在支持报文优先级的情况下解决了重放攻击问题,保证了系统的正常运行。
上述实施例描述了处理报文的方法,接下来描述使用本发明实施例的处理报文的方法的相应装置,请参阅实施例四。
实施例四
本发明实施例提供的一种处理报文的设备,参见图4,处理报文的设备400,具体可包括:
报文接收单元401,用于接收报文,其中,接收到的报文携带的用于防止重放攻击的序列号和用于指示报文优先级的信息;
重放攻击判断单元402,用于根据接收到的报文携带的用于防止重放攻击的序列号和用于指示报文优先级的信息判断是否发生重放攻击,若是,触发报文丢弃单元403,若不是,触发报文处理单元404;
报文丢弃单元403,用于当发生了重放攻击时,丢弃接收到的报文;
报文处理单元404,用于当没有发生重放攻击时,处理接收到的报文。
需要说明的是,在不同的实际应用场景中,各单元还可以分别包括不同的子单元。例如,当报文接收单元401接收到的报文携带有N个序列号,其中,N是报文优先级的级别个数时,重放攻击判断单元402可以包括:
第一判断模块4021,用于判断接收到的报文携带的第M个序列号是否大于自身存储的第M个序列号,若是,触发报文处理单元404,若不是,触发报文丢弃单元403,其中,M为接收到的报文的优先级的级别。
可选的,处理报文的设备400还可以包括:
第一存储单元405,用于当根据接收到的报文携带的第M个序列号判断没有发生重放攻击之后,将第M个序列号存储为新的第M个序列号。
又例如,当报文接收单元401接收到的报文携带用于防止重放攻击的序列号以及用于指示报文优先级的标签时,重放攻击判断单元402可以包括:
第二判断模块4022,用于根据用于指示报文优先级的标签,在同一个优先级别中,判断接收到的报文携带的用于防止重放攻击的序列号是否大于自身存储的序列号,若是,触发报文处理单元404,若不是,触发报文丢弃单元403。
可选的,处理报文的设备400还可以包括:
第二存储单元406,用于当根据用于指示报文优先级的标签,在同一个优先级别中判断没有发生重放攻击之后,将接收到的报文携带的序列号存储为新的序列号。
在本发明实施例中,报文接收单元401接收到报文以后,重放攻击判断单元402根据接收到的报文携带的用于防止重放攻击的序列号和用于指示报文优先级的信息判断是否发生重放攻击,由于判断是否发生重放攻击时按照报文用于防止重放攻击的序列号和用于指示报文优先级的信息,当判断结果为不是重放攻击时才对该报文进行处理,而会将判断结果为重放攻击的报文丢弃,故能够避免在先发送的报文(优先级低)被误丢弃的问题,在支持报文优先级的情况下解决了重放攻击问题,保证了系统的正常运行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的一种处理报文的方法及设备进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (4)
1.一种处理报文的方法,其特征在于,包括:
接收报文,其中,接收到的报文携带用于防止重放攻击的序列号和用于指示报文优先级的信息;
根据所述接收到的报文携带的用于防止重放攻击的序列号和所述用于指示报文优先级的信息判断是否发生重放攻击,若是,丢弃所述接收到的报文,若不是,处理所述接收到的报文;
所述接收到的报文携带用于防止重放攻击的序列号和用于指示报文优先级的信息包括:
所述接收到的报文携带有N个序列号,其中,N是报文优先级的级别个数;
所述根据接收到的报文携带的用于防止重放攻击的序列号和用于指示报文优先级的信息判断是否发生重放攻击具体为:
判断所述接收到的报文携带的第M个序列号是否大于自身存储的第M个序列号,若是,则没有发生重放攻击,若不是,则发生了重放攻击,其中,M为所述接收到的报文的优先级的级别。
2.根据权利要求1所述的处理报文的方法,其特征在于,所述根据所述接收到的报文携带的第M个序列号判断没有发生重放攻击之后,所述方法还包括:将所述接收到的报文携带的第M个序列号存储为新的第M个序列号。
3.一种处理报文的设备,其特征在于,包括:
报文接收单元,用于接收报文,其中,接收到的报文携带用于防止重放攻击的序列号和用于指示报文优先级的信息;
重放攻击判断单元,用于根据所述接收到的报文携带的用于防止重放攻击的序列号和用于指示报文优先级的信息判断是否发生重放攻击,若是,触发报文丢弃单元,若不是,触发报文处理单元;
报文丢弃单元,用于当发生了重放攻击时,丢弃所述接收到的报文;
报文处理单元,用于当没有发生重放攻击时,处理所述接收到的报文;
当所述报文接收单元接收到的报文携带有N个序列号,其中,N是报文优先级的级别个数时,
所述重放攻击判断单元包括:
第一判断模块,用于判断接收到的报文携带的第M个序列号是否大于自身存储的第M个序列号,若是,触发报文处理单元,若不是,触发报文丢弃单元,其中,M为所述接收到的报文的优先级的级别。
4.根据权利要求3所述的处理报文的设备,其特征在于,所述设备还包括:
第一存储单元,用于当根据接收到的报文携带的第M个序列号判断没有发生重放攻击之后,将接收到的报文携带的第M个序列号存储为新的第M个序列号。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110101993.8A CN102752189B (zh) | 2011-04-22 | 2011-04-22 | 一种处理报文的方法及设备 |
PCT/CN2012/074272 WO2012142946A1 (zh) | 2011-04-22 | 2012-04-18 | 一种处理报文的方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110101993.8A CN102752189B (zh) | 2011-04-22 | 2011-04-22 | 一种处理报文的方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102752189A CN102752189A (zh) | 2012-10-24 |
CN102752189B true CN102752189B (zh) | 2015-08-19 |
Family
ID=47032093
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110101993.8A Expired - Fee Related CN102752189B (zh) | 2011-04-22 | 2011-04-22 | 一种处理报文的方法及设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN102752189B (zh) |
WO (1) | WO2012142946A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103414637B (zh) * | 2013-07-29 | 2016-03-30 | 北京华为数字技术有限公司 | 一种流量转发的方法及相关装置 |
CN108134751B (zh) * | 2017-12-12 | 2020-08-04 | 杭州迪普科技股份有限公司 | 一种tcp分段报文待检测文本重组方法及装置 |
CN114598523A (zh) * | 2022-03-04 | 2022-06-07 | 昆高新芯微电子(江苏)有限公司 | 一种用于防御MACsec的重放窗口重放攻击的方法及装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100571124C (zh) * | 2005-06-24 | 2009-12-16 | 华为技术有限公司 | 防止重放攻击的方法以及保证消息序列号不重复的方法 |
JP5181134B2 (ja) * | 2009-02-13 | 2013-04-10 | エスアイアイ・ネットワーク・システムズ株式会社 | パケット通信装置、パケット通信方法及びパケット通信プログラム |
CN101583154B (zh) * | 2009-07-07 | 2011-11-16 | 杭州华三通信技术有限公司 | 一种无线局域网中的通信方法及装置 |
CN102035814B (zh) * | 2009-09-30 | 2014-08-27 | 瞻博网络公司 | 通过vpn ipsec隧道确保服务质量 |
-
2011
- 2011-04-22 CN CN201110101993.8A patent/CN102752189B/zh not_active Expired - Fee Related
-
2012
- 2012-04-18 WO PCT/CN2012/074272 patent/WO2012142946A1/zh active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2012142946A1 (zh) | 2012-10-26 |
CN102752189A (zh) | 2012-10-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102892089B (zh) | 消息推送处理方法、装置和系统 | |
EP3605881B1 (en) | Method and device for transmitting and receiving network management information, transmitting apparatus and receiving apparatus | |
CN101710856B (zh) | 一种聚合链路的环回检测处理方法及设备 | |
CN107465613B (zh) | 链路聚合接口通信状态切换方法及装置 | |
CN101699799A (zh) | 防止网络环路的方法、网络设备和生成树协议网络系统 | |
CN103023804A (zh) | 一种聚合链路自适应流量负载均衡方法、装置及网络设备 | |
CN104038505A (zh) | 一种IPSec防重放的方法和装置 | |
CN104301141A (zh) | 一种保存配置信息的方法、装置及系统 | |
CN104579746A (zh) | 双链路传输控制方法及装置 | |
CN110831039A (zh) | 多路并发系统中的数据传输方法及传输服务器 | |
CN102752189B (zh) | 一种处理报文的方法及设备 | |
CN101719872B (zh) | 基于零拷贝方式的多队列报文发送和接收方法和装置 | |
CN101771718A (zh) | 剪贴板同步方法及系统 | |
CN107483084B (zh) | 一种宽带载波组网方法、站点及系统 | |
CN103152266A (zh) | 一种网络设备间的同步方法、网络设备及系统 | |
US9596131B2 (en) | Method for transiting operation mode of routing processor | |
CN103199990A (zh) | 一种路由协议认证迁移的方法和装置 | |
WO2019041747A1 (zh) | 一种sip信息分析方法、装置、服务器及介质 | |
CN110808917B (zh) | 多链路聚合数据重传方法及发送设备 | |
CN111555984A (zh) | 用于数据传输的方法及装置、智能家居设备、存储介质 | |
CN107819684B (zh) | 同步处理方法及装置 | |
CN106850153B (zh) | 数据重传方法及系统 | |
KR101964755B1 (ko) | 모의기 연동을 위한 최적화된 시간-동기화 방법 및 시스템 | |
CN103957079A (zh) | 一种hdlc网络中的协商方法和设备 | |
EP3223478A1 (en) | Packet processing method and device, and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C53 | Correction of patent for invention or patent application | ||
CB02 | Change of applicant information |
Address after: 100085 Beijing, Haidian District on the road, No. 3 Applicant after: Beijing Huawei Digital Technology Co.,Ltd. Address before: 100085 Beijing, Haidian District on the road, No. 3 Applicant before: Huawei Digit Technology Co., Ltd. |
|
COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: HUAWEI DIGIT TECHNOLOGY CO., LTD. TO: BEIJING HUAWEI DIGITAL TECHNOLOGY CO., LTD. |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150819 Termination date: 20190422 |