CN104601459A - 一种组域虚拟专用网络中报文处理方法和装置 - Google Patents
一种组域虚拟专用网络中报文处理方法和装置 Download PDFInfo
- Publication number
- CN104601459A CN104601459A CN201510069360.1A CN201510069360A CN104601459A CN 104601459 A CN104601459 A CN 104601459A CN 201510069360 A CN201510069360 A CN 201510069360A CN 104601459 A CN104601459 A CN 104601459A
- Authority
- CN
- China
- Prior art keywords
- message
- cbar
- equipment
- unique identification
- list item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种组域虚拟专用网络中报文处理方法,该方法包括:GM设备接收到其它GM设备发送的报文时,根据接收到的报文携带的GM唯一标识在本地匹配CBAR表项;当未匹配到CBAR表项时,解封装处理接收到的报文,并生成所述GM唯一标识对应的CBAR表项;当匹配到CBAR表项时,根据所述报文携带的序列号,以及匹配到的CBAR表项进行CBAR检测;若检测确定接收到的报文为重放报文,则丢弃所述报文;否则,解封装处理接收到的报文并更新匹配到的CBAR表项。基于同样的发明构思,本申请还提出一种组域虚拟专用网络中报文处理装置,能够在不丢弃有用报文的基础上降低资源的消耗。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种组域虚拟专用网络中报文处理方法和装置。
背景技术
因特网协议安全(IP Security,IPsec)是IETF制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种传统的实现三层虚拟专用网络(Virtual Private Network,VPN)的安全技术。IPsec通过在特定通信方之间,如两个安全网关之间建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
重放报文,通常是指设备再次接收到的已经被IPsec处理过的报文。为了抗重放已处理的报文,提出了基于报文计数的抗重放(Counter-basedanti-replay,CBAR)实现方案。IPsec通过滑动窗口,即抗重放窗口机制检测重放报文。如果收到的报文的序列号与已经解封装过的报文序列号相同,或收到的报文的序列号出现得较早,即已经超过了抗重放窗口的范围,则认为该报文为重放报文,直接将重放报文丢弃。
但是这种实现中,组域虚拟专用网络(Group Domain VPN,GDVPN)中,如果不同组成员(Group member,GM)设备,如GM设备1和GM设备2都需要向GM设备3发送报文,且GM设备1先发送了一个序列号为1的报文到GM设备3后,GM设备2又向GM设备3发送一个序列号为0的报文;GM设备3在接收到GM设备1发送的序列号为1的报文处理后,再接收到GM设备2发送的序列号为0的报文时,确定该报文为重放报文,会将其丢弃。
发明内容
有鉴于此,本申请提供一种组域虚拟专用网络中报文处理方法和装置,以解决在抗重放过程中丢弃有用报文的问题。
为解决上述技术问题,本申请的技术方案是这样实现的:
一种组域虚拟专用网络中报文处理方法,应用于组成员GM上,该方法包括:
该GM设备接收到其它GM设备发送的报文时,根据接收到的报文携带的GM唯一标识在本地匹配基于报文计数的抗重放CBAR表项;所述其它GM设备发送的报文携带GM唯一标识和序列号,所述GM唯一标识为发送该报文的GM设备的GM唯一标识;
当未匹配到CBAR表项时,解封装处理接收到的报文,并生成所述GM唯一标识对应的CBAR表项;
当匹配到CBAR表项时,根据所述报文携带的序列号,以及匹配到的CBAR表项进行CBAR检测;若检测确定接收到的报文为重放报文,则丢弃所述报文;否则,解封装处理接收到的报文并更新匹配到的CBAR表项。
一种组域虚拟专用网络中报文处理装置,应用于组成员GM中,该装置包括:
收发单元,用于接收其它GM设备发送的报文;
匹配单元,用于根据所述收发单元接收到的报文携带的GM唯一标识在本地匹配基于报文计数的组抗重放CBAR表项;所述其它GM设备发送的报文携带GM唯一标识和序列号,所述GM唯一标识为发送该报文的GM设备的GM唯一标识;
处理单元,用于当所述匹配单元未匹配到CBAR表项时,解封装处理接收到的报文,并生成所述GM唯一标识对应的CBAR表项;当所述匹配单元匹配到CBAR表项时,根据所述报文携带的序列号,以及匹配到的CBAR表项进行CBAR检测;若检测确定接收到的报文为重放报文,则丢弃所述报文;否则,解封装处理接收到的报文并更新匹配到的CBAR表项。
由上面的技术方案可知,本申请中在组域VPN(Group Domain VPN,GDVPN)中的GM设备上增加抗重放功能,相对于现有实现的CBAR检测实现抗重放,本申请实施例中还引入了GM唯一标识来识别发送报文的GM设备,从而实现GDVPN中的报文抗重放,能够在不丢弃有用报文的基础上降低资源的消耗。
附图说明
图1为本申请实施例中发送的报文的结构示意图;
图2为本申请实施例中组域虚拟专用网络中报文处理方法流程图;
图3为本申请实施例中GDVPN组网示意图;
图4为GM设备1向GM设备2发送的报文的结构示意图;
图5为本申请实施例中应用于上述技术的装置结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图并举例,对本发明的技术方案进行详细说明。
本申请实施例中提供一种组域虚拟专用网络中报文处理方案,在GDVPN中的GM设备上增加抗重放功能,相对于现有实现的CBAR检测实现抗重放,本申请实施例中还引入了GM唯一标识来识别发送报文的GM设备从而实现GDVPN中的报文抗重放。
本申请实施例中引入的GM唯一标识为发送该报文的GM设备的GM唯一标识;可以是GM设备的媒体访问控制(MAC)地址、因特网协议(IP)地址,设备标识、GM注册地址等。
本申请具体实现时,可以在需要应用本申请的设备上增加本申请提供的抗重放功能,可以灵活配置开启该功能或关闭该功能。为了描述方便,本申请实施例中的抗重放功能称为基于报文计数的组抗重放(Group Counter-basedanti-replay,GCBAR)功能。
当开启本申请提供的抗重放功能GCBAR功能,GM设备在发送报文时,需在报文中携带GM唯一标识和发送该报文的序列号;至于序列号的具体值,可以按现有实现中向目的GM设备发送的报文条数确定;该GM接收到其它GM设备发送的报文时,需要根据报文中携带的GM唯一标识和序列号进行CBAR检测,进一步根据检测结果确定如何处理接收到的报文。
参见图1,图1为本申请实施例中发送的报文的结构示意图。在发送报文时,图1中将GM唯一标识和序列号携带在所述报文的封装安全载荷(EncapsulateSecurity Payload,ESP)头和内层IP头之间。
当未开启本申请提供的抗重放功能GCBAR功能时,发送报文时不携带GM唯一标识和序列号,若使用现有的抗重放功能,则仅携带序列号;在接收到其它GM设备发送的报文时,若报文中携带序列号,仅根据现有实现CBAR检测实现抗重放。
下面结合附图,详细说明本申请实施例中在接收端和发送端均开启本申请提供的抗重放功能时,如何实现报文的抗重放处理。
参见图2,图2为本申请实施例中组域虚拟专用网络中报文处理方法流程图。具体步骤为:
步骤201,任一GM设备接收到其它GM设备发送的报文时,根据接收到的报文携带的GM唯一标识在本地匹配CBAR表项。
为了防止网络攻击报文,在步骤201中任一GM设备接收到其它GM设备发送的报文时,根据接收到的报文携带的GM唯一标识在本地匹配CBAR表项之前,进一步包括:
该GM设备根据ESP尾中的校验码对接收到的报文进行校验,若校验成功,确定接收到的报文为合法报文,执行步骤201中的根据接收到的报文携带的GM唯一标识在本地匹配CBAR表项步骤;否则,确定接收到的报文为非法报文,丢弃接收到的报文。该过程同现有实现,本申请对该过程不做限制。
步骤202,该GM设备当未匹配到CBAR表项时,解封装处理接收到的报文,并生成所述GM唯一标识对应的CBAR表项,结束本流程。
生成的GM唯一标识对应的CBAR表项,与现有实现的CBAR表项包含的内容相同,只是需要针对不同的GM唯一标识均生成一个CBAR表项。在具体实现时,可以将GM唯一标识增加到CBAR表项中,也可以与对应的CBAR表项绑定即可。
步骤203,该GM设备当匹配到CBAR表项时,根据所述报文携带的序列号,以及匹配到的CBAR表项进行CBAR检测;若检测确定接收到的报文为重放报文,则丢弃所述报文;否则,解封装处理接收到的报文并更新匹配到的CBAR表项。
下面结合附图,详细说明本申请如何实现组域虚拟专用网络中报文处理的。
参见图3,图3为本申请实施例中GDVPN组网示意图。图3中,某企业的三个分公司,通过三台GM设备,分别为GM设备1、GM设备2和GM设备3接入公网,互相通信。密钥服务器上配置的ACL为保护10.1.0.0/16网段的流量。3台GM设备使用相同的安全联盟(Security Association,SA)对匹配的ACL流量进行加解封装。三台GM设备均开启本申请提供的抗重放功能。
GM设备1的GM注册地址为1.1.1.1,GM设备2的GM注册地址为2.2.2.2,GM设备3的GM注册地址为3.3.3.3。
GM设备1的私网10.1.1.2发送报文到GM设备2的私网10.1.2.2,封装报文中携带GM设备1的注册地址1.1.1.1和序列号0(假设GM设备1首次向GM设备2发送报文)。参见图4,图4为GM设备1向GM设备2发送的报文的结构示意图。在图1中GM注册地址1.1.1.1和序列号0携带在报文的ESP头和内层IP头之间。
GM设备2接收到GM设备1发送的报文时,根据接收到的报文携带的GM注册地址1.1.1.1在本地匹配CBAR表项,由于GM设备1首次向GM设备2发送报文,因此,不能在本地匹配到GM注册地址1.1.1.1对应的CBAR表项,则解封装处理接收到的报文,并生成GM注册地址1.1.1.1对应的CBAR表项。
参见表1,表1为本申请实施例中CBAR表项包含的内容。生成的CBAR表项中GM注册地址为1.1.1.1,R为0,M为0,W为64。其中,R为接收序列号(Received Sequence-Number),M为最大接收序列号(Max ReceivedSequence-Number),W为预先配置的抗重放窗口的大小(Anti-replay windowsize)。生成一个GM注册地址对应的CBAR表项时,R和M均为接收到的报文携带的序列号。
表1中还假设GM设备2已生成GM注册地址3.3.3.3对应的CBAR表项。
GM注册地址 | R | M | W |
1.1.1.1 | 0 | 0 | 64 |
3.3.3.3 | 4 | 25 | 64 |
表1
当GM设备3再次需要向GM设备2发送报文时,确定上次向GM设备2发送报文携带的序列号为26时,在报文中携带GM注册地址3.3.3.3和序列号27,并发送给GM设备2。
GM设备2接收到GM设备3发送的报文时,根据报文携带的GM注册地址3.3.3.3在本地匹配CBAR表项,由表1可见,GM注册地址3.3.3.3能够匹配到对应的表项,则根据接收到的报文携带的序列号27,以及匹配到的CBAR表项进行CBAR检测。
报文携带的序列号27大于CBAR表项中的R对应的4,且大于M对应的25,因此,确定接收到的报文不为重放报文,解封装处理接收到的报文;并且将R对应的4加1,更新为5,使用27替换M对应的25。
参见表2,表2为表1更新后的CBAR表包含的内容。
GM注册地址 | R | M | W |
1.1.1.1 | 0 | 0 | 64 |
3.3.3.3 | 5 | 27 | 64 |
表2
若GM设备2接收到GM设备3发送的报文携带的序列号小于或等于4时,则确认该报文为重放报文,直接丢弃。
若GM设备2接收到GM设备3发送的报文携带的序列号等于25时,则确认该报文为重放报文,直接丢弃。
若GM设备2接收到GM设备3发送的报文携带的序列号大于R且小于M时,当接收到的报文携带的序列号小于M-W,则确定接收到的报文为重放报文,直接丢弃;否则,确定接收到的报文不为重放报文,对接收到的报文进行解封装处理,并使用接收到的报文携带的序列号更新R对应的值。
基于同样的发明构思,本申请还提出一种组域虚拟专用网络中报文处理装置,应用于组成员GM设备中。参见图5,图5为本申请实施例中应用于上述技术的装置结构示意图。该装置包括:
收发单元501,用于接收其它GM设备发送的报文;
匹配单元502,用于根据收发单元501接收到的报文携带的GM唯一标识在本地匹配CBAR表项;所述其它GM设备发送的报文携带GM唯一标识和序列号,所述GM唯一标识为发送该报文的GM设备的GM唯一标识;
处理单元503,用于当匹配单元502未匹配到CBAR表项时,解封装处理接收到的报文,并生成所述GM唯一标识对应的CBAR表项;当匹配单元502匹配到CBAR表项时,根据所述报文携带的序列号,以及匹配到的CBAR表项进行CBAR检测;若检测确定接收到的报文为重放报文,则丢弃所述报文;否则,解封装处理接收到的报文并更新匹配到的CBAR表项。
较佳地,
收发单元501,进一步用于向其它GM设备发送报文时,携带本GM设备的GM唯一标识和发送该报文的序列号,以使所述其它GM设备根据该报文携带的GM唯一标识和序列号进行CBAR检测。
较佳地,
所述GM唯一标识和序列号携带在所述报文的ESP头和内层IP头之间。
较佳地,
所述GM唯一标识为GM设备的GM注册地址、MAC地址、IP地址或设备ID。
上述实施例的单元可以集成于一体,也可以分离部署;可以合并为一个单元,也可以进一步拆分成多个子单元。
综上所述,本申请通过在GDVPN中的GM设备上增加抗重放功能,相对于现有实现的CBAR检测实现抗重放,本申请实施例中还引入了GM唯一标识来识别发送报文的GM设备从而实现GDVPN中的报文抗重放,能够在不丢弃有用报文的基础上降低资源的消耗。
本申请提供的抗重放技术方案只需在GM设备上进行相关处理,无需在KS上进行任何处理。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种组域虚拟专用网络中报文处理方法,应用于组成员GM设备上,其特征在于,该方法包括:
该GM设备接收到其它GM设备发送的报文时,根据接收到的报文携带的GM唯一标识在本地匹配基于报文计数的抗重放CBAR表项;所述其它GM设备发送的报文携带GM唯一标识和序列号,所述GM唯一标识为发送该报文的GM设备的GM唯一标识;
当未匹配到CBAR表项时,解封装处理接收到的报文,并生成所述GM唯一标识对应的CBAR表项;
当匹配到CBAR表项时,根据所述报文携带的序列号,以及匹配到的CBAR表项进行CBAR检测;若检测确定接收到的报文为重放报文,则丢弃所述报文;否则,解封装处理接收到的报文并更新匹配到的CBAR表项。
2.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
该GM设备向其它GM设备发送报文时,携带本GM设备的GM唯一标识和发送该报文的序列号,以使所述其它GM设备根据该报文携带的GM唯一标识和序列号进行CBAR检测。
3.根据权利要求1或2所述的方法,其特征在于,
所述GM唯一标识和序列号携带在所述报文的封装安全载荷ESP头和内层因特网协议IP头之间。
4.根据权利要求1或2所述的方法,其特征在于,
所述GM唯一标识为GM设备的GM注册地址、媒体访问控制MAC地址、IP地址或设备标识ID。
5.一种组域虚拟专用网络中报文处理装置,应用于组成员GM设备中,其特征在于,该装置包括:
收发单元,用于接收其它GM设备发送的报文;
匹配单元,用于根据所述收发单元接收到的报文携带的GM唯一标识在本地匹配基于报文计数的组抗重放CBAR表项;所述其它GM设备发送的报文携带GM唯一标识和序列号,所述GM唯一标识为发送该报文的GM设备的GM唯一标识;
处理单元,用于当所述匹配单元未匹配到CBAR表项时,解封装处理接收到的报文,并生成所述GM唯一标识对应的CBAR表项;当所述匹配单元匹配到CBAR表项时,根据所述报文携带的序列号,以及匹配到的CBAR表项进行CBAR检测;若检测确定接收到的报文为重放报文,则丢弃所述报文;否则,解封装处理接收到的报文并更新匹配到的CBAR表项。
6.根据权利要求5所述的装置,其特征在于,
所述收发单元,进一步用于向其它GM设备发送报文时,携带本GM设备的GM唯一标识和发送该报文的序列号,以使所述其它GM设备根据该报文携带的GM唯一标识和序列号进行CBAR检测。
7.根据权利要求5或6所述的装置,其特征在于,
所述GM唯一标识和序列号携带在所述报文的封装安全载荷ESP头和内层因特网协议IP头之间。
8.根据权利要求5或6所述的装置,其特征在于,
所述GM唯一标识为GM设备的GM注册地址、媒体访问控制MAC地址、IP地址或设备标识ID。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510069360.1A CN104601459B (zh) | 2015-02-10 | 2015-02-10 | 一种组域虚拟专用网络中报文处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510069360.1A CN104601459B (zh) | 2015-02-10 | 2015-02-10 | 一种组域虚拟专用网络中报文处理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104601459A true CN104601459A (zh) | 2015-05-06 |
CN104601459B CN104601459B (zh) | 2019-02-22 |
Family
ID=53126978
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510069360.1A Active CN104601459B (zh) | 2015-02-10 | 2015-02-10 | 一种组域虚拟专用网络中报文处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104601459B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453221A (zh) * | 2016-06-29 | 2017-02-22 | 华为技术有限公司 | 报文检测的方法及设备 |
CN106899606A (zh) * | 2017-03-16 | 2017-06-27 | 新华三技术有限公司 | 一种报文处理方法和装置 |
CN109450810A (zh) * | 2018-12-30 | 2019-03-08 | 国网北京市电力公司 | 识别冗余消息的方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101471784A (zh) * | 2007-12-29 | 2009-07-01 | 北京天融信网络安全技术有限公司 | 一种实现ipsec抗重放攻击的方法 |
US20110153862A1 (en) * | 2009-12-18 | 2011-06-23 | Cisco Technology, Inc. | Sender-Specific Counter-Based Anti-Replay for Multicast Traffic |
CN102223353A (zh) * | 2010-04-14 | 2011-10-19 | 华为技术有限公司 | 主机标识协议安全通道复用方法及装置 |
CN102891850A (zh) * | 2012-09-25 | 2013-01-23 | 汉柏科技有限公司 | IPSec隧道更新防重放参数的方法 |
CN104038505A (zh) * | 2014-06-24 | 2014-09-10 | 杭州华三通信技术有限公司 | 一种IPSec防重放的方法和装置 |
-
2015
- 2015-02-10 CN CN201510069360.1A patent/CN104601459B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101471784A (zh) * | 2007-12-29 | 2009-07-01 | 北京天融信网络安全技术有限公司 | 一种实现ipsec抗重放攻击的方法 |
US20110153862A1 (en) * | 2009-12-18 | 2011-06-23 | Cisco Technology, Inc. | Sender-Specific Counter-Based Anti-Replay for Multicast Traffic |
CN102223353A (zh) * | 2010-04-14 | 2011-10-19 | 华为技术有限公司 | 主机标识协议安全通道复用方法及装置 |
CN102891850A (zh) * | 2012-09-25 | 2013-01-23 | 汉柏科技有限公司 | IPSec隧道更新防重放参数的方法 |
CN104038505A (zh) * | 2014-06-24 | 2014-09-10 | 杭州华三通信技术有限公司 | 一种IPSec防重放的方法和装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453221A (zh) * | 2016-06-29 | 2017-02-22 | 华为技术有限公司 | 报文检测的方法及设备 |
CN106899606A (zh) * | 2017-03-16 | 2017-06-27 | 新华三技术有限公司 | 一种报文处理方法和装置 |
CN106899606B (zh) * | 2017-03-16 | 2020-02-11 | 新华三技术有限公司 | 一种报文处理方法和装置 |
CN109450810A (zh) * | 2018-12-30 | 2019-03-08 | 国网北京市电力公司 | 识别冗余消息的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104601459B (zh) | 2019-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
RU2707715C2 (ru) | Динамическая защищенная коммуникационная сеть и протокол | |
Kent et al. | Security architecture for the internet protocol | |
CN106992917B (zh) | 报文转发方法和装置 | |
CN105376239B (zh) | 一种支持移动终端进行IPSec VPN报文传输方法及装置 | |
US20140181967A1 (en) | Providing-replay protection in systems using group security associations | |
US10397111B2 (en) | Communication device, communication system, and communication method | |
JP5246034B2 (ja) | パケット送受信システム、パケット送受信装置、および、パケット送受信方法 | |
CN101645851B (zh) | 一种ip分片报文的重组方法和装置 | |
CN109474507B (zh) | 一种报文转发方法及装置 | |
TW200640189A (en) | Method, apparatus and computer program product enabling negotiation of firewall features by endpoints | |
CN104993993A (zh) | 一种报文处理方法、设备和系统 | |
US20230336529A1 (en) | Enhanced privacy preserving access to a vpn service | |
CN104601459A (zh) | 一种组域虚拟专用网络中报文处理方法和装置 | |
CN110474922B (zh) | 一种通信方法、pc系统及接入控制路由器 | |
CN103227742B (zh) | 一种IPSec隧道快速处理报文的方法 | |
CN106161386A (zh) | 一种实现IPsec分流的方法和装置 | |
AU2015301504B2 (en) | End point secured network | |
CN104702612B (zh) | 一种用户认证处理方法及装置 | |
CN106685861B (zh) | 一种软件定义网络系统及其报文转发控制方法 | |
CN100466599C (zh) | 一种专用局域网的安全访问方法及用于该方法的装置 | |
CN104052668B (zh) | 一种ah报文的转发方法及系统 | |
CN104333554B (zh) | 一种因特网协议安全安全联盟协商方法和装置 | |
US8185642B1 (en) | Communication policy enforcement in a data network | |
CN106302456A (zh) | 会话保持方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |