CN104038505A - 一种IPSec防重放的方法和装置 - Google Patents

Abstract

本发明提供一种IPSec防重放的方法和装置，用于解决多核并发转发报文时，要求防重放窗口过大，导致的计算资源消耗过大的技术问题。本发明针对多核设备，将使用同一隧道的报文分为不同的组，各组维护各自独立的序列号，每个核或转发线程对应一个组，对每个组内的报文进行串行处理，顺序发送，从而避免多核多线程并行发送报文时，设置过大的IPSec防重放窗口，造成设备性能下降的问题，减小了多核系统下的防重放窗口的大小，提高了IPSec处理效率。

Description

一种IPSec防重放的方法和装置

技术领域

本发明涉及通信技术领域，尤其涉及一种IPSec防重放的方法和装置。

背景技术

因特网协议安全(Internet Protocol Security，IPSec)协议给出了应用于IP层上网络数据安全的一整套体系结构，包括认证头(Authentication Header，AH)协议、封装安全载荷(Encapsulating Security Payload，ESP)协议、密钥管理协议(Internet Key Exchange，IKE)和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

Authentication Header协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。Encapsulating Security Payload为IP数据包提供完整性检查、认证和加密。

在经过AH或者ESP封装的报文(以下简称IPSec报文)结构中，SequenceNumber(序列号)为从1开始的32位单增序列号，不允许重复，唯一地标识了每一个发送数据包，为安全关联提供反重播保护。序列号结合防重放窗口和报文验证来防御重放攻击。当收到了一个经过认证的数据以后，防重放窗口会滑动一次，如果该数据报文被重放，由于其顺序号码和原来的相同，因此这个数据会落到窗口之外，数据就会被丢弃。

举例说明序列号和防重放窗口的工作机制，假如防重放窗口的大小为5，序列号从1开始递增。

刚开始时，防重放窗口左右边界对应序列号1和5，首先收到一个序列号为1的报文，落在防重放窗口内，且第一次出现，则判定此报文为正常报文。

收到第二个报文时，若序列号为仍为1，落在防重放窗口内，但由于已经收到过此序列号的报文，因此判定此报文为重放报文，丢弃。

收到第三个报文时，若序列号为3，落在防重放窗口内，且第一次出现，则判定此报文为正常报文。

收到第四个报文时，若序列号为6，落在防重放窗口右侧，则窗口的右边缘滑动到此处，此时防重放窗口的左右边界对应序列号2和6，同时判定此报文为正常报文。

收到第五个报文时，若序列号为1，落在防重放窗口左侧，因此判定此报文为重放报文，丢弃。

总结以上示例，防重放机制的窗口滑动规则及对重放报文的判定规则如下：

规则1、若报文的序列号落在防重放窗口内，即满足：防重放窗口左边界≤接收到的报文序列号≤防重放窗口右边界，则判断是否以前接收过，如果没有则认为是正常报文，窗口不做滑动，如果收到过，则认为是重放报文，丢弃之。

规则2、若报文的序列号落在防重放窗口右侧，且验证为合法报文，则将重放窗口右边界滑动到此报文的序列号处。

规则3、若报文的序列号落在防重放窗口左侧，则认为是重放报文，丢弃之。

单核设备，单个转发线程时，报文按照序列串行依次封装、发出，对端收到的序列号基本不会出现乱序情况，但是多核设备时，多个线程并行处理报文，导致对端收到的IPSec封装报文的序列号容易出现乱序。

假设一个多核设备包含4个核，4个核分别通过自己的线程并行封装、发送在同一序列号空间编号的报文，核1封装、发送序列号为1～100的报文，核2封装、发送序列号为101～200的报文，核3封装、发送序列号为201～300的报文，核4封装、发送序列号为301～400的报文，假如防重放窗口宽度为100，核3首先被调度运行起来，201～300序列的IPSec报文被先发送出去，对端收到报文后，根据防重放机制的窗口滑动规则，将防重放窗口向右滑动到201～300，则序列号为101～200的报文收到后，会被认定为重放报文，被错误的丢弃。

虽然可通过增大防重放窗口在一定程度上避免报文被误丢弃，但增大的防重放窗口尺寸需要与多核设备的核数量成倍数关系，才会取得原有单核相似的效果，当核的数量较多时，防重放窗口将会变的很大，导致每次查找序列号都会消耗大量的计算资源，而且每次查找时都是串行查找，体现不出多核设备并行处理的优势。

发明内容

本发明提供一种IPSec防重放的方法和装置，能够解决多核并发转发报文时，要求防重放窗口过大，导致的计算资源消耗过大的技术问题。

为实现本发明目的，本发明提供一种因特网协议安全IPSec防重放的方法，该方法应用于多核网络设备，包括：

建立与对端网络设备之间的IPSec隧道；

任意一核在使用IPSec封装及转发报文时，独立地为经该核处理的报文分配认证头AH和/或封装安全载荷ESP头中的序列号，且在AH和/或ESP头中携带与该核对应的组号；其中，所述组号与核一一对应，用于对报文进行分组。

进一步地，所述独立地为经该核处理的报文分配认证头AH和/或ESP头中的序列号具体为：在AH和/或ESP头中的原序列号Sequence Number字段中连续的部分比特位构成的组内序列号字段中，为经该核处理的报文分配序列号；

所述在AH和/或ESP头中携带与该核对应的组号具体为：在AH和/或ESP头中的原序列号Sequence Number字段中连续的部分比特位构成的组号字段中，携带该核对应的组号。

进一步地，所述在AH和/或ESP头中携带与该核对应的组号具体为：在AH中的保留位携带与该核对应的组号。

进一步地，所述方法还包括：当任一核在接收到经IPSec封装的报文后，从报文的AH和/或ESP头中获取组号及序列号，针对不同的组号的IPSec报文，使用独立的防重放窗口进行防重放处理。

进一步地，所述方法还包括：在AH和/或ESP头中携带与该核对应的组标记，所述组标记用于指示是否支持对报文按核分组；

当任一核在接收到首个经IPSec封装的报文时，从报文的AH和/或ESP头中获取所述组标记，当所述组标记指示支持对报文按核分组时，标记该报文AH和/或ESP头中安全参数索引SPI字段所指示的IPSec隧道支持按核分组，并对从该IPSec隧道接收的后续报文直接获取组号及序列号。

本发明还提供一种报文防重放的装置，该装置应用于多核网络设备中，该装置包括：

隧道建立模块，用于建立与对端网络设备之间的IPSec隧道；

报文发送模块，用于任意一核在使用IPSec封装及转发报文时，独立地为经该核处理的报文分配认证头AH和/或封装安全载荷ESP头中的序列号，且在AH和/或ESP头中携带与该核对应的组号；其中，所述组号与核一一对应，用于对报文进行分组。

进一步地，所述报文发送模块在AH和/或ESP头中的原序列号SequenceNumber字段中连续的部分比特位构成的组内序列号字段中，为经该核处理的报文分配序列号；所述报文发送模块在AH和/或ESP头中的原序列号Sequence Number字段中连续的部分比特位构成的组号字段中，携带该核对应的组号。

进一步地，所述报文发送模块在AH中的保留位携带与该核对应的组号。

进一步地，所述装置还包括：报文接收模块，该模块用于当任一核在接收到经IPSec封装的报文后，从报文的AH和/或ESP头中获取组号及序列号，针对不同的组号的IPSec报文，使用独立的防重放窗口进行防重放处理。

进一步地，所述报文发送模块还用于在AH和/或ESP头中携带与该核对应的组标记，所述组标记用于指示是否支持对报文按核分组；

所述报文接收模块还用于，当任一核在接收到首个经IPSec封装的报文时，从报文的AH和/或ESP头中获取所述组标记，当所述组标记指示支持对报文按核分组时，标记该报文AH和/或ESP头中安全参数索引SPI字段所指示的IPSec隧道支持按核分组，并对从该IPSec隧道接收的后续报文直接获取组号及序列号。

本发明针对多核设备，将使用同一隧道的报文分为不同的组，各组维护各自独立的序列号，每个核或转发线程对应一个组，对每个组内的报文进行串行处理，顺序发送，从而避免多核多线程并行发送报文时，设置过大的IPSec防重放窗口，造成设备性能下降的问题,减小了多核系统下的防重放窗口的大小，提高了IPSec处理效率。

附图说明

图1为本发明实施例提供的多核设备封装及转发报文的示意图；

图2为本发明一具体实例提供的AH头字段定义示意图；

图3为本发明一具体实例提供的ESP头字段定义示意图；

图4为本发明另一具体实例提供的AH头字段定义示意图；

图5为IPSec同时使用AH和ESP封装报文的报文构示意图；

图6为本发明实施例提供的发送端网络设备IPSec防重放方法流程图；

图7为本发明实施例提供的接收端网络设备IPSec防重放方法流程图；

图8为本发明实施例提供的网络设备IPSec报文防重放装置逻辑结构示意图。

具体实施方式

图1为本发明实施例提供的多核设备封装及转发报文的示意图，本发明实施例中，发送端网络设备为多核设备，拥有N个用于封装、转发的硬件核心芯片Core(简称为核)，N为大于1的自然数，在发送端网络设备向对端网络设备封装、转发报文之前，发送端网络设备和对端网络设备之间要进行IPSec隧道的协商，在协商完成后，建立起IPSec隧道，每个核都通过该建立的IPSec隧道向对端封装、转发报文。依据实际运行情况，也可能是多核网络设备中若干个而非全部核通过同一IPSec隧道向对端网络设备发送报文。

在现有技术中，在IPSec隧道建立后，两端网络设备都默认序列号的起始编号为1，序列号的编号空间假设为1～X,多核网络设备在发送报文时，各核需要互斥地向系统申请同一序列号空间中的序列号，在该序列号空间中的序列号用尽之后，需要重新协商建立IPSec隧道。

而在本发明提供的实施例中，在IPSec隧道建立后，两端网络设备都默认使用相同的序列号空间和起始序列号，但网络设备在发送报文时，各核不需要互斥地向系统申请序列号，而是每个核使用各自的序列号空间为报文分配序列号，由于每个核单独为报文编号，因此增强了序列号空间的利用率，减少了因序列号用尽导致的隧道重建。

在本发明提供的实施例中，基于并行运行的处理线程Thread对报文进行分组，并对属于同一组的报文单独顺序分配序列号，然后基于IPSec协议对报文进行封装后，向接收端网络设备转发，其中报文的AH头或者ESP头中的原Sequence Number字段的前10位被用于指示该报文是否使用分组和/或及该报文所属所对应的分组，也可以使用AH头中的保留Reserved位来指示该报文是否使用分组和/或该报文所属的分组。

图2为本发明一具体实例提供的AH头字段定义示意图，该实施例是针对报文只携带AH头的场景，AH头中原Sequence Number字段的前2位被定义为组标记(Group Flag，GF)，用于指示是否支持对报文分组，将Group Flag置0表示不使用序列号分组技术，将Group Flag置2表示使用序列号分组技术。AH头中原Sequence Number字段的第3到10位被定义为组号(GroupNumber，GN)，用于标记报文的分组。AH头中原Sequence Number字段的第11到32位被定义为组号内序列号(Group Sequence Number，GSN)。

图3为本发明一具体实例提供的ESP头字段定义示意图，该实施例是针对报文只携带ESP头的场景，ESP头中原Sequence Number字段的前2位被定义为组标记(Group Flag，GF)，用于指示是否支持对报文分组，将GroupFlag置0表示不使用序列号分组技术，将Group Flag置2表示使用序列号分组技术。ESP头中原Sequence Number字段的第3到10位被定义为组号(GroupNumber，GN)，用于标记报文的分组。ESP头中原Sequence Number字段的第11到32位被定义为组号内序列号(Group Sequence Number，GSN)。

图4为本发明另一具体实例提供的AH头字段定义示意图，该实施例也是针对报文只携带AH头的场景，AH头中原Reserved字段的前2位定义为组标记Group Flag，用于指示是否支持对报文分组，将Group Flag置0表示不使用序列号分组技术，将Group Flag置2表示使用序列号分组技术。AH头中原Reserved字段剩余位定义为组号Group Number，用于标记报文的分组。

图5为IPSec同时使用AH和ESP封装报文的报文构示意图，在该场景下，本发明可默认在AH头和/或ESP头中携带组标记Group Flag和/或组号Group Number。IPSec使用AH+ESP封装时，AH头和ESP头使用不同的IPSec隧道，两个封装头中的序列号是独立的，也可使用相同的序列号。

图6为本发明实施例提供的发送端网络设备IPSec报文防重放方法流程图，该方法应用于多核网络设备包括：

步骤601、建立与对端网络设备之间的IPSec隧道；

步骤602、任意一核在使用IPSec封装及转发报文时，独立地为经该核处理的报文分配认证头AH和/或封装安全载荷ESP头中的序列号，且在AH和/或ESP头中携带与该核对应的组号；其中，所述组号与核一一对应，用于对报文进行分组。

其中，根据本发明一具体实施例，所述独立地为经该核封装及转发的报文分配AH和/或封装安全载荷ESP头中的序列号是指：各核不是互斥地向系统申请待处理报文的序列号，而是各核各自独立地按默认的起始序列号开始，顺序地为待处理报文的AH和/或ESP头分配序列号。

其中，根据本发明一具体实施例，所述在AH和/或ESP头中携带与该核对应的组号是指：将AH和/或ESP头中的原序列号Sequence Number字段划分为携带组号的字段和组内序列号字段，通过携带组号的字段携带与该核对应的组号，通过组内序列号字段携带所述独立分配的序列号。所述携带组号的字段可进一步划分为组标记Group Flag字段和组号Group Number字段。

其中，根据本发明另一具体实施例，在AH中携带与该核对应的组号是指：在AH中的保留位携带与该核对应的组号，原序列号Sequence Number字段的定义不变。AH中的保留位指现有协议未使用的保留Reserved比特位，该保留位除携带组号Group Number外，还可以进一步携带组标记Group Flag，具体如何在保留位中携带组号或其它信息，本发明不做限定。

接收端网络设备可以是单核网络设备也可以是多核网络设备，本发明不做限定，不管是单核还是多核，接收端网络设备对报文的防重放处理方法都相同。图7为本发明实施例提供的接收端网络设备IPSec报文防重放方法流程图，包括：

步骤701、建立与发送端网络设备的IPSec隧道；

步骤702、任一核在接收到经IPSec封装的报文后，从报文的AH和/或ESP头中获取组号及序列号，针对不同的组号的IPSec报文，使用独立的防重放窗口进行防重放处理。

进一步地，在AH和/或ESP头中还携带与该核对应的组标记，所述组标记用于指示是否支持对报文按核分组；

当任一核在接收到首个经IPSec封装的报文时，从报文的AH和/或ESP头中获取所述组标记，当所述组标记指示支持对报文按核分组时，标记该报文AH和/或ESP头中安全参数索引(Security Parameter Index，SPI)字段所指示的IPSec隧道支持按核分组，并对从该IPSec隧道接收的后续报文直接获取组号及序列号。

例如，基于前述实施例公开的字段定义，当组标记Group Flag字段的高位为1，则表示此报文使用序列号分组技术，标记该报文AH和/或ESP头中SPI字段对应的IPSec隧道支持按核分组，后续接收到该隧道的报文后，直接根据前述实施例公开的组号及序列号的字段定义读取组号及序列号，并针对不同的组号的报文，使用独立的防重放窗口进行防重放处理。

其中，接收端网络设备在接收到报文后，首先从报文的AH头中的GroupNumber字段中读取该报文所属的组号。在本发明一具体实例中，可以将每个组号对应的报文放入对应组号的报文接收队列，针对不同的组号的接收队列，使用独立的防重放窗口进行防重放处理，防重放处理的机制与现有技术中的防重放处理机制相同，此处不再赘述。

本发明针对不同Group Number的IPSec报文使用独立的防重放窗口，保证了同一组内的IPSec报文不会出现乱序，因此不会被防重放机制错误地丢弃。

本发明实例中，发送端网络设备中的核和报文的组号一一对应，保证了同一个核处理的报文的序列号是连续的。接收端网络设备的核与接收到的报文的组号Group Number没有对应关系，即接收端网络设备的每个核处理接收的报文时，会全局查找接收到的报文携带的组号对应的报文接收队列，找到对应的报文接收队列后，再去基于该报文接收队列，根据接收到的报文的序列号判断此报文是否为重放报文。当接收端网络设备接收到某个组的第一个报文时，全局查找不到此报文所在的组对应的报文接收队列，则经验证此报文为合法报文后，会为该组建立对应的报文接收队列及滑动窗口。

虽然，本发明实施例中，将网络设备分为发送端网络设备和接收端网络设备，但当网络设备承担经IPSec封装的报文的双向转发任务时，会同时执行上述发送端网络设备和接收端网络设备的处理步骤。当某一网络设备同时承担发送端角色和接收端角色时，针对同一IPSec隧道，发送方向和接收方向的组号没有关联性，各自使用独立的组编号。

图8为本发明实施例提供的网络设备IPSec报文防重放装置逻辑结构示意图，该装置800应用于多核网络设备中，该装置包括：

隧道建立模块801，用于建立与对端网络设备之间的IPSec隧道；

报文发送模块802，用于任意一核在使用IPSec封装及转发报文时，独立地为经该核处理的报文分配认证头AH和/或封装安全载荷ESP头中的序列号，且在AH和/或ESP头中携带与该核对应的组号；其中，所述组号与核一一对应，用于对报文进行分组。

参考附图2和附图3，根据本发明实施例，所述报文发送模块802在AH和/或ESP头中的原序列号Sequence Number字段中连续的部分比特位构成的组内序列号字段中，为经该核处理的报文分配序列号；所述报文发送模块802在AH和/或ESP头中的原序列号Sequence Number字段中连续的部分比特位构成的组号字段中，携带该核对应的组号。

参考附图4，根据本发明一实施例，所述报文发送模块802在AH中的保留位携带与该核对应的组号。

当网络设备同时承担报文的发送和接收任务时，所述网络设备中还包括：

报文接收模块803，该模块用于当任一核在接收到经IPSec封装的报文后，从报文的AH和/或ESP头中获取组号及序列号，针对不同的组号的IPSec报文，使用独立的防重放窗口进行防重放处理。

根据本发明实施例，所述报文发送模块802还用于在AH和/或ESP头中携带与该核对应的组标记，所述组标记用于指示是否支持对报文按核分组；

所述报文接收模块803还用于，当任一核在接收到首个经IPSec封装的报文时，从报文的AH和/或ESP头中获取所述组标记，当所述组标记指示支持对报文按核分组时，标记该报文AH和/或ESP头中安全参数索引SPI字段所指示的IPSec隧道支持按核分组，并对从该IPSec隧道接收的后续报文直接获取组号及序列号。

不同网络设备互通时如果不启用防重放功能就不会存在互通问题。对于多核设备，在使用本发明提供的IPSec重放方法和装置对报文的AH和/或ESP头进行修改后，因增加分组号带来的负荷要远比不分组、仅增加滑动窗口带来的负荷小，且核越多时，并行处理的优势体现的越明显。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims (10)

1.一种因特网协议安全IPSec防重放的方法，其特征在于，该方法应用于多核网络设备，包括：

建立与对端网络设备之间的IPSec隧道；

任意一核在使用IPSec封装及转发报文时，独立地为经该核处理的报文分配认证头AH和/或封装安全载荷ESP头中的序列号，且在AH和/或ESP头中携带与该核对应的组号；其中，所述组号与核一一对应，用于对报文进行分组。

2.根据权利要求1所述的方法，其特征在于，所述独立地为经该核处理的报文分配认证头AH和/或ESP头中的序列号具体为：在AH和/或ESP头中的原序列号Sequence Number字段中连续的部分比特位构成的组内序列号字段中，为经该核处理的报文分配序列号；

所述在AH和/或ESP头中携带与该核对应的组号具体为：在AH和/或ESP头中的原序列号Sequence Number字段中连续的部分比特位构成的组号字段中，携带该核对应的组号。

3.根据权利要求1所述的方法，其特征在于，所述在AH和/或ESP头中携带与该核对应的组号具体为：在AH中的保留位携带与该核对应的组号。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当任一核在接收到经IPSec封装的报文后，从报文的AH和/或ESP头中获取组号及序列号，针对不同的组号的IPSec报文，使用独立的防重放窗口进行防重放处理。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：在AH和/或ESP头中携带与该核对应的组标记，所述组标记用于指示是否支持对报文按核分组；

当任一核在接收到首个经IPSec封装的报文时，从报文的AH和/或ESP头中获取所述组标记，当所述组标记指示支持对报文按核分组时，标记该报文AH和/或ESP头中安全参数索引SPI字段所指示的IPSec隧道支持按核分组，并对从该IPSec隧道接收的后续报文直接获取组号及序列号。

6.一种报文防重放的装置，其特征在于，该装置应用于多核网络设备中，该装置包括：

隧道建立模块，用于建立与对端网络设备之间的IPSec隧道；

报文发送模块，用于任意一核在使用IPSec封装及转发报文时，独立地为经该核处理的报文分配认证头AH和/或封装安全载荷ESP头中的序列号，且在AH和/或ESP头中携带与该核对应的组号；其中，所述组号与核一一对应，用于对报文进行分组。

7.根据权利要求6所述的装置，其特征在于，

所述报文发送模块在AH和/或ESP头中的原序列号Sequence Number字段中连续的部分比特位构成的组内序列号字段中，为经该核处理的报文分配序列号；

所述报文发送模块在AH和/或ESP头中的原序列号Sequence Number字段中连续的部分比特位构成的组号字段中，携带该核对应的组号。

8.根据权利要求6所述的装置，其特征在于，

所述报文发送模块在AH中的保留位携带与该核对应的组号。

9.根据权利要求6所述的装置，其特征在于，所述装置还包括：

报文接收模块，用于当任一核在接收到经IPSec封装的报文后，从报文的AH和/或ESP头中获取组号及序列号，针对不同的组号的IPSec报文，使用独立的防重放窗口进行防重放处理。

10.根据权利要求9所述的装置，其特征在于，

所述报文发送模块还用于在AH和/或ESP头中携带与该核对应的组标记，所述组标记用于指示是否支持对报文按核分组；

所述报文接收模块还用于，当任一核在接收到首个经IPSec封装的报文时，从报文的AH和/或ESP头中获取所述组标记，当所述组标记指示支持对报文按核分组时，标记该报文AH和/或ESP头中安全参数索引SPI字段所指示的IPSec隧道支持按核分组，并对从该IPSec隧道接收的后续报文直接获取组号及序列号。