CN104092697B - 一种基于时间的防重放方法及装置 - Google Patents
一种基于时间的防重放方法及装置 Download PDFInfo
- Publication number
- CN104092697B CN104092697B CN201410345904.8A CN201410345904A CN104092697B CN 104092697 B CN104092697 B CN 104092697B CN 201410345904 A CN201410345904 A CN 201410345904A CN 104092697 B CN104092697 B CN 104092697B
- Authority
- CN
- China
- Prior art keywords
- time
- data message
- transmitting terminal
- replay
- local
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于时间的防重放方法及装置,本发明基于IPSec协议,发送端在IPSec封装时,在原序列号字段中携带时间戳,接收端基于报文中的时间戳,结合本地时间及防重放时间窗口确定报文是否为重放报文,不需要发送端和接收端通过时间同步协议保持时间同步。本发明在发送端发包速率较高和多核并发发送报文的情况下,能够有效避免误丢包。
Description
技术领域
本发明涉及英特网协议报文的防重放技术,尤其涉及一种基于时间的防重放方法及装置。
背景技术
英特网协议安全(Internet Protocol Security,IPSec)协议是IETF制定的三层隧道加密协议,该协议给出了应用于IP层上网络数据安全的一整套体系结构。它为internet上传播的数据提供安全服务数据机密性、数据完整性、数据源认证、防重放(Anti-Replay)等功能特性。
传统的IPsec VPN采用端到端的技术,当数据报文被第三方截获,攻击者可以对截取的报文进行破译后,再用重放相同的报文的方式以仿冒身份获取非法访问权。
IPSec协议通过网络认证头(Authentication Header,AH)、封装安全载荷(Encapsulating Security Payload,ESP)中的序列号(Sequence Number)字段来实现防重放检测。
经过AH或者ESP封装的报文结构中,序列号为从1开始的32位单增序列号,不允许重复,唯一地标识了每一个发送数据包,为安全关联提供反重播保护。接收端根据序列号结合防重放窗口和报文验证来防御重放攻击。防重放机制的窗口滑动规则及对重放报文的判定规则如下:
规则1、若报文的序列号落在防重放窗口内,即满足:防重放窗口左边界≤接收到的报文序列号≤防重放窗口右边界,则判断是否以前接收过,如果没有则认为是正常报文,窗口不做滑动,如果收到过,则认为是重放报文,丢弃之。
规则2、若报文的序列号落在防重放窗口右侧,且验证为合法报文,则将重放窗口右边界滑动到此报文的序列号处。
规则3、若报文的序列号落在防重放窗口左侧,则认为是重放报文,丢弃之。
随着现有硬件技术的发展,多核设备(即指拥有多个核心处理芯片的网络设备)已经很常见,多核并行处理数据报文使设备的吞吐量大大提高,但同时也带来IPsec防重放序号乱序的问题,例如,设备A和设备B为两个协商IPsec隧道的对端,其中A是多核设备,每个CPU核心会同时发送报文,以达到并发的效果,由于每个CPU核心处于的工作状态不同,或受外部事件影响,不同CPU核心在同一时刻处理速度不同,导致本应后发出的报文(防重放序号大的报文)比本应先发出的报文(防重放序号小的报文)先发出,B端先收到防重放序号大的报文,会移动防重放窗口,如果流量很快,窗口会被移动很远,防重放序号小的报文到达时,已经处于防重放窗口左侧,就会被误丢弃。
发明内容
有鉴于此,本申请提供一种基于时间的防重放方法及装置,用于解决高速流量和多核并发情况下报文乱序导致误丢包的技术问题。
为实现本发明的发明目的,本发明是这样实现的:
一种基于时间的防重放方法,该方法包括:
接收发送端发送的基于IPSec封装的数据报文,记录接收到所述数据报文时刻的接收端本地绝对时间戳T2,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1;
根据所述接收端本地绝对时间戳T2和所述发送端本地绝对时间戳T1计算两端的时间差值D,并根据所述时间差值D及本地绝对时间T3计算相对调整时间FT;
以所述相对调整时间FT为基准,根据预设的时间窗参数W确定防重放时间窗口左右边缘FT-W和FT+W;
当数据报文中携带时间戳落在所确定的防重放时间窗口之内时放行所述数据报文,否则丢弃所述数据报文。
进一步地,在所述IPSec封装的数据报文的AH和/或ESP的序列号字段携带所述发送端本地绝对时间戳T1。
进一步地,根据预设的相对调整时间更新周期,周期性地在每个相对调整时间更新周期内至多执行一次所述的计算时间差值D、计算相对调整时间FT及确定防重放时间窗口左右边缘FT-W和FT+W的步骤。
基于与上述方法相同的发明构思,本发明实施例还提供一种基于时间的防重放装置,该装置包括:
接收单元,用于接收发送端发送的基于IPSec封装的数据报文,记录接收到所述数据报文时刻的接收端本地绝对时间戳T2,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1;
时间窗确定单元,用于根据所述接收端本地绝对时间戳T2和所述数据报文中携带的发送端本地绝对时间戳T1计算两端的时间差值D,并根据所述时间差值D及本地绝对时间T3计算相对调整时间FT;以所述相对调整时间FT为基准,根据预设的时间窗参数W确定防重放时间窗口左右边缘FT-W和FT+W;
防重放单元,用于执行防重放处理,当数据报文中携带的时间戳落在所确定的防重放时间窗口之内时放行所述数据报文,否则丢弃所述数据报文。
进一步地,所述时间窗确定单元,根据预设的相对调整时间更新周期,周期性地在每个相对调整时间更新周期内至多执行一次所述的计算时间差值D、计算相对调整时间FT及确定防重放时间窗口左右边缘FT-W和FT+W的步骤。
基于本发明实施例的另一方面,本发明还提供一种基于时间的防重放方法,该方法包括:
接收发送端发送的基于IPSec封装的数据报文,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1;
判断所述发送端本地绝对时间戳T1是否大于本地维护的对端时间PT;
若T1大于PT,则放行该数据报文,并将所述本地维护的对端时间PT更新为该数据报文携带的发送端本地绝对时间戳T1;
若T1不大于PT,则判断所述发送端本地绝对时间戳T1是否小于所述本地维护的对端时间PT与预设的时间窗口参数W的差值,若小于则丢弃该数据报文,否则放行该数据报文。
进一步地,在所述IPSec封装的数据报文的AH和/或ESP的序列号字段携带所述发送端本地绝对时间戳T1。
基于与上述方法相同的发明构思,本发明实施例还提供一种基于时间的防重放装置,该装置包括:
接收单元,用于接收发送端发送的基于IPSec封装的数据报文,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1;
判断单元,用于判断所述发送端本地绝对时间戳T1是否大于本地维护的对端时间PT;
维护单元,用于在所述T1大于PT时,将所述本地维护的对端时间PT更新为该数据报文携带的发送端本地绝对时间戳T1;
防重放单元,用于在所述发送端本地绝对时间戳T1小于所述本地维护的对端时间PT与预设的时间窗口参数W的差值时,丢弃该数据报文,否则放行该数据报文。
本发明基于IPSec协议,发送端在IPSec封装时,在原序列号字段中携带时间戳,接收端基于报文中的时间戳,结合本地时间及防重放时间窗口确定报文是否为重放报文,不需要发送端和接收端通过时间同步协议保持时间同步。本发明在发送端发包速率较高和多核并发发送报文的情况下,能够有效避免报文乱序导致误丢包的技术问题。
附图说明
图1为本发明一实施例提供的一种基于时间的防重放方法的步骤流程图;
图2为本发明一实施例提供的基于时间的防重放方法中防重放时间窗口示意图;
图3为本发明另一实施例提供的一种基于时间的防重放方法的步骤流程图;
图4为本发明另一实施例提供的基于时间的防重放方法中防重放时间窗口示意图;
图5为本发明一实施例提供的一种基于时间的防重放装置结构示意图;
图6为本发明另一实施例提供的一种基于时间的防重放装置结构示意图。
具体实施方式
以下举实施例结合附图对本发明技术方案进行详细描述。
图1为本发明一实施例提供的一种基于时间的防重放方法的步骤流程图,该实施例中的步骤以接收端网络设备为执行步骤的主体进行描述,发送端和接收端通过IPsec隧道传送数据报文,该方法包括:
步骤101、接收发送端发送的基于IPSec封装的数据报文,记录接收到所述数据报文时刻的接收端本地绝对时间戳T2,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1;
该实施例通过IPSec协议的AH头和/或ESP中的序列号(Sequence Number)字段携带发送数据报文时刻的本地时间戳,即重新定义认证头AH和/或封装安全载荷ESP中的序列号字段为时间戳字段,用于标识发送数据报文的时间。当然,也可以通过其它字段或保留字段来携带时间戳,本发明不做限定。
发送端网络设备在对数据报文进行IPSec封装时,在AH和/或ESP中的序列号字段填充发送数据报文时刻的发送端本地绝对时间戳T1。所述的发送端本地绝对时间是指发送该数据报文时刻的发送端网络设备本地系统时间,该本地系统时间不要求与接收端网络设备通过时间同步协议进行精确同步,例如,该本地系统时间可以是发送端网络设备的系统滴答时间(Tick Time),即发送端网络设备启动后逝去的毫秒数。
步骤102、根据接收到所述数据报文时刻的接收端本地绝对时间戳T2和所述数据报文中携带的发送端本地绝对时间戳T1计算两端的时间差值D,并根据所述时间差值D及本地绝对时间T3计算相对调整时间FT(Fix Time),以所述相对调整时间FT为基准,根据预设的时间窗口参数W确定防重放时间窗口左右边缘FT-W和FT+W
接收端网络设备在接收到发送端网络设备发送的数据报文时,记录接收到该数据报文时刻的本地绝对时间T2,并从该数据报文的IPSec封装的AH和/或ESP中提取发送端网络设备发送该数据报文时刻的发送端本地绝对时间戳T1。然后基于T2和T1计算两端时间差值D,该实施例中计算的方法如下:
时间差值D=T2-T1 (算式1)
在获得时间差值D后,再根据本地绝对时间T3计算相对调整时间FT,计算方法如下:
相对调整时间FT=T3±D
同理,接收端网络设备接收到数据报文时的本地绝对时间是指接收到数据报文时刻的接收端网络设备本地系统时间,该系统时间不要求与发送端网络设备通过时间同步协议进行精确同步,例如,该系统时间可以是接收端网络设备的系统滴答时间(Tick Time)。
本发明通过时间差值D来计算相对调整时间FT,然后以FT为基准来设置防重放时间窗口的目的是为了屏蔽由于网络设备硬件时间计数的不稳定而导致的时间窗口的漂移。
步骤103、当数据报文中携带时间戳落在所确定的防重放时间窗口之内时放行所述数据报文,否则丢弃所述数据报文。
如图2所示,该步骤中根据所确定的防重放时间窗口对接收到的数据报文进行防重放处理方式如下:
1、当数据报文携带的发送端本地绝对时间戳T1落在防重放时间窗口范围(FT-W,FT+W)之外时,丢弃该是数据报文;
2、当数据报文携带的发送端本地绝对时间戳T1落在防重放时间窗口范围(FT-W,FT+W)之内时,放行该是数据报文。
本发明一具体实施例中,为了避免接收端频繁计算和更新FT对系统性能造成的影响,在接收端预先设定一个相对调整时间更新周期,并设置一个相对调整时间更新定时器,当定时器超时后,只根据最新接收到的一个数据报文中的时间戳重新计算时间差值D,然后进行FT的调整,即在一个相对调整时间更新周期内至多执行一次计算时间差值D、计算相对调整时间FT及确定防重放时间窗口左右边缘FT-W和FT+W的步骤,从而减少对系统性能的影响。
本发明实施例中,窗口参数W的设置需考量的主要因素为网络延迟。如果网络延迟较大,则增大W值,如果延迟小减少W值,W值越小,防重放效果越好,但误丢包的几率更大,W值越大,防重放序号几率会变差(有些重放报文可能拦不住),但误丢包的几率会变小。
本发明实施例中,FT的更新周期考量的因素主要是IPsec协商两端的系统滴答时间的频率。如果两端滴答时间的频率相差较大,则FT的更新周期值宜设置小一些,否则设置大一些。如果IPsec协商两端滴答时间频率相差较大,但是FT的更新频率设置又比较小,那么建议窗口参数W设置大一些,防止因为两端系统滴答时间暂时的不同步而导致防重放检查失败。
图3为本发明另一实施例提供的一种基于时间的防重放方法的步骤流程图,该实施例中的步骤以接收端网络设备为执行步骤的主体进行描述,发送端和接收端通过IPsec隧道传送数据报文,该方法包括:
步骤301、接收发送端发送的基于IPSec封装的数据报文,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1;
该实施例通过IPSec协议的AH头和/或ESP中的序列号字段携带发送数据报文时刻的本地时间戳,即重新定义认证头AH和/或封装安全载荷ESP中的序列号字段为时间戳字段,用于标识发送数据报文的时间。当然,也可以通过其它字段或保留字段来携带时间戳,本发明不做限定。
步骤302、判断所述发送端本地绝对时间戳T1是否大于本地维护的对端时间PT(Peer Time),若大于执行步骤303,否则执行步骤304;
步骤303、放行该数据报文,并将所述本地维护的对端时间PT更新为该数据报文携带的发送端本地绝对时间戳T1;
该实施例在接收端只维护对端的时间PT,该对端的时间PT通过数据报文携带的发送端本地绝对时间戳T1获得,在初始情况下,PT设置为0,保证接收到第一个数据报文时,T1大于PT,当下一个数据报文携带的T1值大于当前PT的值时,则替换当前的PT值,相当于将防重放时间窗口向右移动。
执行完该步骤后,该数据报文的防重放处理过程结束。
步骤304、判断所述发送端本地绝对时间戳T1是否小于所述PT与预设的时间窗口参数W的差值,若小于则丢弃该数据报文,否则放行该数据报文。
如图4所示,该实施例的时间窗口范围为(PT-W,PT),当接收的数据报文携带的时间戳T1小于PT-W时,丢弃该数据报文。
上述实施例中所述的本地绝对时间戳是指网络设备本地系统时间,该系统时间不要求通过时间同步协议保持IPSec隧道两端设备的时间同步,例如,可以系统滴答时间(Tick Time),即网络设备启动后逝去的毫秒数。
上述实施例中,由于发送端报文中时间戳字段是受完整性保护的,不能被篡改,对接收端FT值计算或PT值的维护提供了安全性保证。
本发明提供的基于时间的防重放技术,不再通过序号来决定报文是否丢弃,而是通过防重放时间窗口来判断是否丢弃报文,而且本发明提供的技术方案不要求发送端和接收端的时间或时钟同步。发送端发送报文时无论流量多快,报文中的时间不会有大的变化,到达接收端的报文携带的时间戳只要在防重放时间窗口内被认为是非重放的合法报文,因此可以有效的避免报文乱序导致的丢包,特别是在多核多线程并发发送报文的情况下,效果更佳明显。
基于同样的发明目的及技术原理,本发明一实施例还提供一种基于时间的防重放装置,如图5所示,该装置500包括:
接收单元501,用于接收发送端发送的基于IPSec封装的数据报文,记录接收到该数据报文时刻的接收端本地绝对时间戳T2,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1;
时间窗确定单元502,用于根据所述接收端本地绝对时间戳T2和所述数据报文中携带的发送端本地绝对时间戳T1计算两端的时间差值D,并根据所述时间差值D及本地绝对时间T3计算相对调整时间FT;以所述相对调整时间FT为基准,根据预设的时间窗参数W确定防重放时间窗口左右边缘FT-W和FT+W;
防重放单元503,用于执行防重放处理,当数据报文中携带的时间戳落在所确定的防重放时间窗口之内时放行所述数据报文,否则丢弃所述数据报文。
优选地,在所述IPSec封装的数据报文的AH和/或ESP的序列号字段携带所述发送端本地绝对时间戳T1。
优选地,时间窗确定单元502根据预设的相对调整时间更新周期,周期性地在每个相对调整时间更新周期内至多执行一次所述的计算时间差值D、计算相对调整时间FT及确定防重放时间窗口左右边缘FT-W和FT+W的步骤。
基于同样的发明目的及技术原理,本发明实施例还提供另一种基于时间的防重放装置,如图6所示,该装置600包括:
接收单元601,用于接收发送端发送的基于IPSec封装的数据报文,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1;
判断单元602,用于判断所述发送端本地绝对时间戳T1是否大于本地维护的对端时间PT;
维护单元603,用于在所述T1大于PT时,将所述本地维护的对端时间PT更新为该数据报文携带的发送端本地绝对时间戳T1;
防重放单元604,用于在所述发送端本地绝对时间戳T1小于所述本地维护的对端时间PT与预设的时间窗口参数W的差值时,丢弃该数据报文,否则放行该数据报文。
优选地,在所述IPSec封装的数据报文的AH和/或ESP的序列号字段携带所述发送端本地绝对时间戳T1。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种基于时间的防重放方法,其特征在于,该方法包括:
接收发送端发送的基于IPSec封装的数据报文,记录接收到所述数据报文时刻的接收端本地绝对时间戳T2,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1;
根据所述接收端本地绝对时间戳T2和所述发送端本地绝对时间戳T1计算两端的时间差值D,并根据所述时间差值D及本地绝对时间T3计算相对调整时间FT,所述相对调整时间FT为所述本地绝对时间T3与所述时间差值D之和或之差;
以所述相对调整时间FT为基准,根据预设的时间窗参数W确定防重放时间窗口左右边缘FT-W和FT+W;
当数据报文中携带时间戳落在所确定的防重放时间窗口之内时放行所述数据报文,否则丢弃所述数据报文。
2.根据权利要求1所述的方法,其特征在于,在所述IPSec封装的数据报文的AH和/或ESP的序列号字段携带所述发送端本地绝对时间戳T1。
3.根据权利要求1所述的方法,其特征在于,
根据预设的相对调整时间更新周期,周期性地在每个相对调整时间更新周期内至多执行一次所述的计算时间差值D、计算相对调整时间FT及确定防重放时间窗口左右边缘FT-W和FT+W的步骤。
4.一种基于时间的防重放方法,其特征在于,该方法包括:
接收发送端发送的基于IPSec封装的数据报文,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1;
判断所述发送端本地绝对时间戳T1是否大于本地维护的对端时间PT;
若T1大于PT,则放行该数据报文,并将所述本地维护的对端时间PT更新为该数据报文携带的发送端本地绝对时间戳T1;
若T1不大于PT,则判断所述发送端本地绝对时间戳T1是否小于所述本地维护的对端时间PT与预设的时间窗口参数W的差值,若小于则丢弃该数据报文,否则放行该数据报文。
5.根据权利要求4所述的方法,其特征在于,在所述IPSec封装的数据报文的AH和/或ESP的序列号字段携带所述发送端本地绝对时间戳T1。
6.一种基于时间的防重放装置,其特征在于,该装置包括:
接收单元,用于接收发送端发送的基于IPSec封装的数据报文,记录接收到所述数据报文时刻的接收端本地绝对时间戳T2,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1;
时间窗确定单元,用于根据所述接收端本地绝对时间戳T2和所述数据报文中携带的发送端本地绝对时间戳T1计算两端的时间差值D,并根据所述时间差值D及本地绝对时间T3计算相对调整时间FT,所述相对调整时间FT为所述本地绝对时间T3与所述时间差值D之和或之差;以所述相对调整时间FT为基准,根据预设的时间窗参数W确定防重放时间窗口左右边缘FT-W和FT+W;
防重放单元,用于执行防重放处理,当数据报文中携带的时间戳落在所确定的防重放时间窗口之内时放行所述数据报文,否则丢弃所述数据报文。
7.根据权利要求6所述的装置,其特征在于,在所述IPSec封装的数据报文的AH和/或ESP的序列号字段携带所述发送端本地绝对时间戳T1。
8.根据权利要求6所述的装置,其特征在于,
所述时间窗确定单元,根据预设的相对调整时间更新周期,周期性地在每个相对调整时间更新周期内至多执行一次所述的计算时间差值D、计算相对调整时间FT及确定防重放时间窗口左右边缘FT-W和FT+W的步骤。
9.一种基于时间的防重放装置,其特征在于,该装置包括:
接收单元,用于接收发送端发送的基于IPSec封装的数据报文,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1;
判断单元,用于判断所述发送端本地绝对时间戳T1是否大于本地维护的对端时间PT;
维护单元,用于在所述T1大于PT时,将所述本地维护的对端时间PT更新为该数据报文携带的发送端本地绝对时间戳T1;
防重放单元,用于在所述发送端本地绝对时间戳T1小于所述本地维护的对端时间PT与预设的时间窗口参数W的差值时,丢弃该数据报文,否则放行该数据报文。
10.根据权利要求9所述的装置,其特征在于,在所述IPSec封装的数据报文的AH和/或ESP的序列号字段携带所述发送端本地绝对时间戳T1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410345904.8A CN104092697B (zh) | 2014-07-18 | 2014-07-18 | 一种基于时间的防重放方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410345904.8A CN104092697B (zh) | 2014-07-18 | 2014-07-18 | 一种基于时间的防重放方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104092697A CN104092697A (zh) | 2014-10-08 |
| CN104092697B true CN104092697B (zh) | 2017-09-15 |
Family
ID=51640378
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410345904.8A Active CN104092697B (zh) | 2014-07-18 | 2014-07-18 | 一种基于时间的防重放方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104092697B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791219B (zh) * | 2014-12-22 | 2020-03-20 | 华为技术有限公司 | 抗重放方法和装置 |
| CN106293889B (zh) * | 2015-06-05 | 2019-11-19 | 北京国双科技有限公司 | 一种控制滑动窗口移动的方法及装置 |
| CN104935597B (zh) * | 2015-06-17 | 2018-08-24 | 新华三技术有限公司 | 防重放窗口控制方法以及装置 |
| CN105591730B (zh) * | 2015-10-30 | 2019-09-06 | 新华三技术有限公司 | 一种esn高32位同步方法、装置及系统 |
| CN105682324B (zh) * | 2016-02-24 | 2019-07-26 | 浙江生辉照明有限公司 | 调光数据上报方法、智能照明设备和网关 |
| CN109756460B (zh) * | 2017-11-06 | 2021-07-09 | 中移(杭州)信息技术有限公司 | 一种防重放攻击方法及装置 |
| CN108322330B (zh) * | 2017-12-26 | 2021-03-02 | 成都卫士通信息产业股份有限公司 | 一种ipsec vpn序列号及抗重放窗口同步方法及设备 |
| CN108449206B (zh) * | 2018-03-12 | 2020-11-27 | 新华三技术有限公司 | 一种时间同步方法、装置、设备及存储介质 |
| CN111404840B (zh) * | 2019-01-03 | 2024-07-05 | 华为技术有限公司 | 报文处理方法和装置 |
| CN112448896B (zh) | 2019-08-30 | 2024-04-30 | 华为技术有限公司 | 确定性网络中的发送周期的确定方法和装置 |
| CN112261655B (zh) * | 2020-10-23 | 2024-08-06 | 北京江南天安科技有限公司 | 一种认证模块内消息有效性的方法 |
| CN112578847A (zh) * | 2020-12-21 | 2021-03-30 | 青岛鼎信通讯股份有限公司 | 一种基于Linux系统的多MCU时钟同步方案 |
| CN114697720B (zh) * | 2020-12-31 | 2023-11-07 | 北京易掌云峰科技有限公司 | 自适应音视频rtp时间戳的同步方法和装置 |
| CN114499847A (zh) * | 2022-01-20 | 2022-05-13 | 无锡众星微系统技术有限公司 | 芯片生产测试阶段的敏感信息写入方法 |
| CN117441324A (zh) * | 2022-05-20 | 2024-01-23 | 北京小米移动软件有限公司 | 报文接收方法、装置、存储介质及电子设备 |
| CN116155477B (zh) * | 2023-04-18 | 2023-07-18 | 湖北省楚天云有限公司 | 一种基于动态滑动窗口的IPsec抗重放方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002007404A2 (en) * | 2000-07-17 | 2002-01-24 | Motorola Inc | System and method for secure mobile communication |
| CN1829147A (zh) * | 2005-02-28 | 2006-09-06 | 富士通株式会社 | 时间戳设备、安全设备和时间校正设备的供电方法 |
| CN101800989A (zh) * | 2010-01-19 | 2010-08-11 | 重庆邮电大学 | 用于工业无线网络的防重放攻击系统 |
| CN101969414A (zh) * | 2010-10-15 | 2011-02-09 | 北京交通大学 | 一种标识分离映射网络中IPSec网关自动发现的方法 |
| CN102123002A (zh) * | 2011-03-07 | 2011-07-13 | 上海华为技术有限公司 | 一种基于IPsec的频率同步方法和相关设备 |
| CN102739659A (zh) * | 2012-06-16 | 2012-10-17 | 华南师范大学 | 一种防重放攻击的认证方法 |
| CN102946333A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
-
2014
- 2014-07-18 CN CN201410345904.8A patent/CN104092697B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002007404A2 (en) * | 2000-07-17 | 2002-01-24 | Motorola Inc | System and method for secure mobile communication |
| CN1829147A (zh) * | 2005-02-28 | 2006-09-06 | 富士通株式会社 | 时间戳设备、安全设备和时间校正设备的供电方法 |
| CN101800989A (zh) * | 2010-01-19 | 2010-08-11 | 重庆邮电大学 | 用于工业无线网络的防重放攻击系统 |
| CN101969414A (zh) * | 2010-10-15 | 2011-02-09 | 北京交通大学 | 一种标识分离映射网络中IPSec网关自动发现的方法 |
| CN102123002A (zh) * | 2011-03-07 | 2011-07-13 | 上海华为技术有限公司 | 一种基于IPsec的频率同步方法和相关设备 |
| CN102739659A (zh) * | 2012-06-16 | 2012-10-17 | 华南师范大学 | 一种防重放攻击的认证方法 |
| CN102946333A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104092697A (zh) | 2014-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104092697B (zh) | 一种基于时间的防重放方法及装置 | |
| US10355944B2 (en) | Minimally invasive monitoring of path quality | |
| US9900778B2 (en) | Method and apparatus for securing timing packets over untrusted packet transport network | |
| US10819462B2 (en) | System and method for protecting communication in time-sensitive networks using shared secret information | |
| CN105071987B (zh) | 基于流量分析的加密网络路径质量分析方法 | |
| US9350713B2 (en) | System and method for encrypting traffic on a network | |
| US8656170B2 (en) | Protection of control plane traffic against replayed and delayed packet attack | |
| US8705348B2 (en) | Use of metadata for time based anti-replay | |
| EP2840758B1 (en) | Compact and efficient communication security through combining anti-replay with encryption | |
| US8943578B2 (en) | Method and apparatus for fast check and update of anti-replay window without bit-shifting in internet protocol security | |
| US11374751B2 (en) | Password based key derivation function for NTP | |
| US9832175B2 (en) | Group member recovery techniques | |
| Malekzadeh et al. | A new security model to prevent denial‐of‐service attacks and violation of availability in wireless networks | |
| US7290281B1 (en) | Method and apparatus for cryptographically blocking network denial of service attacks based on payload size | |
| Mazurczyk et al. | On information hiding in retransmissions | |
| CN111585848B (zh) | 一种基于电力安全网关的性能测试方法 | |
| JP2005117246A (ja) | パケット判定装置 | |
| EP3322148B1 (en) | Apparatus, system, and method for protecting against denial of service attacks using one-time cookies | |
| US9667650B2 (en) | Anti-replay checking with multiple sequence number spaces | |
| Rao et al. | An FPGA based reconfigurable IPSec ESP core suitable for IoT applications | |
| Schulz et al. | Tetherway: a framework for tethering camouflage | |
| CN107343001A (zh) | 数据处理方法及装置 | |
| Jacquin et al. | Too big or too small? the PTB-PTS ICMP-based attack against IPsec gateways | |
| Sokol et al. | Cryptographic protocols' performance and network layer security of RSMAD | |
| Raman et al. | Mitigating some security attacks in MPLS-VPN model “C” |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |