CN108683606B - IPsec防重放的方法、装置、网络设备及可读存储介质 - Google Patents
IPsec防重放的方法、装置、网络设备及可读存储介质 Download PDFInfo
- Publication number
- CN108683606B CN108683606B CN201810446618.9A CN201810446618A CN108683606B CN 108683606 B CN108683606 B CN 108683606B CN 201810446618 A CN201810446618 A CN 201810446618A CN 108683606 B CN108683606 B CN 108683606B
- Authority
- CN
- China
- Prior art keywords
- sequence number
- bitmap
- ipsec
- message
- ipsec message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/22—Traffic shaping
- H04L47/225—Determination of shaping rate, e.g. using a moving window
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/34—Flow control; Congestion control ensuring sequence integrity, e.g. using sequence numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种IPsec防重放的方法、装置、网络设备及可读存储介质,属于通信技术领域。该方法包括:接收IPsec报文;判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果;根据判断结果,将第二位图中的所有比特位对应的序列号标记复制到第一位图中对应的比特位;并将第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。本方案中采用第一位图和第二位图来进行数据的更新替换操作则更简单,使得网络设备中CPU的开销小,进而提高网络设备对报文的处理性能。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种IPsec防重放的方法、装置、网络设备及可读存储介质。
背景技术
IPSec(IP Security,互联网连接协议)协议是一种工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护传输控制协议(Transmission Control Protocol,TCP)/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec在网络层发挥作用,保护和认证IP报文,并与标准算法独立的开放框架,提供数据的机密性、数据完整性和源认证功能。IPSec作为一种实施于网络层的安全协议,具有保证数据来源可靠、保护数据完整、保证数据机密性、防止重放攻击和完美向前保密(PFS)等诸多优点。
IPSec协议给出了应用于IP层上网络数据安全的一整套体系结构,包括认证头(Authentication Header,AH)协议、封装安全载荷(Encapsulating Security Payload,ESP)协议、密钥管理协议(Internet KeyExchange,IKE)和用于网络认证及加密的一些算法等。
AH协议为IP通信提供数据源认证、数据完整性和反重播保证,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。ESP协议为IP数据包提供完整性检查、认证和加密。
在经过AH或者ESP封装的报文结构中,Sequence Number(序列号)为从1开始的单增序列号,不允许重复,唯一地标识了每一个发送数据包,为安全关联提供反重播保护。
而现有技术中,是通过滑动窗口来对接收到的报文进行重放检测,当接收到的报文的序列号落在滑动窗口的右边且认证通过时,都得执行向前滑动操作,而移动窗口的操作比较麻烦,所以当报文较多时,则会在重放检测时频繁地对窗口进行滑动操作,由此对网络设备的性能的开销比较大,进而影响网络设备的转发性能。
发明内容
本申请实施例的目的在于提供一种IPsec防重放的方法、装置、网络设备及可读存储介质。
第一方面,本申请实施例提供了一种IPsec防重放的方法,所述方法包括:接收IPsec报文,所述IPsec报文中包含有所述IPsec报文的序列号;判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果;当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号区间所表示的最大序列号,且所述IPsec报文的序列号与所述最大序列号的差值小于或等于所述第二位图的比特位的长度N时,N为正整数,将所述第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位;并将所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。本方法中,可以通过第一位图和第二位图来代替现有技术中通过滑动窗口的滑动操作来对IPsec报文进行重放检测,由此,当接收到新的报文,即所述IPsec报文的序列号超出第二序列号区间的最大序列号时,采用第一位图和第二位图来对报文进行标记,只需进行数据的更新替换即可,而不需要进行移动操作,所以,相比于滑动操作导致的网络设备中CPU开销比较大,则本方案中采用第一位图和第二位图来进行数据的更新替换操作则更简单,使得网络设备中CPU的开销小,进而提高网络设备对报文的处理性能。
进一步地,在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果之后,所述方法还包括:当所述判断结果为表示所述IPsec报文的序列号在所述第二序列号区间内时,则判断所述IPsec报文在所述第二位图中对应的比特位是否已被标记;在为否时,根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。通过第一位图和第二位图来对IPsec报文进行重放检测,当IPsec报文不是重放报文时,在位图中进行标记,当IPsec报文是重放报文时,则丢弃该IPsec报文。
进一步地,在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果之后,所述方法还包括:当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小,则判断所述IPsec报文的序列号是否在所述第一序列号区间内;若所述IPsec报文的序列号在所述第一序列号区间内,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值小于或等于所述N时,则丢弃所述IPsec报文,通过第一位图和第二位图来对IPsec报文进行检测,当IPsec报文为过时报文时,则丢弃该IPsec报文。
进一步地,在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果之后,所述方法还包括:当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小,则判断所述IPsec报文的序列号是否在所述第一序列号区间内;当所述IPsec报文的序列号在所述第一序列号区间内,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于所述N时,则判断所述IPsec报文在所述第一位图中对应的比特位是否已被标记;在为否时,根据所述IPsec报文的序列号对所述IPsec报文在所述第一位图中对应的比特位进行标记。通过第一位图和第二位图来对IPsec报文进行重放检测,当IPsec报文不是重放报文时,在位图中进行标记,当IPsec报文是重放报文时,则丢弃该IPsec报文。
进一步地,在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果之后,所述方法还包括:当所述判断结果为表示所述IPsec报文的序列号比所述第一位图和所述第二位图中所标记的当前IPsec报文的最大序列号大,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于或等于所述N时,将所述第一位图及所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第一序列号区间的最大序列号对应的比特位进行标记。通过第一位图和第二位图来对IPsec报文进行检测,当IPsec报文为新的报文时,清空第一位图和第二位图中的所有标记,从而来对新获得的IPsec报文进行标记,而不需要进行移动操作,所以,相比于滑动操作导致的网络设备中CPU开销比较大,则本方案中采用第一位图和第二位图来进行数据的更新替换操作则更简单,使得网络设备中CPU的开销小,进而提高网络设备对报文的处理性能。
第二方面,本申请实施例提供了一种IPsec防重放的装置,所述装置包括:报文接收模块,用于接收IPsec报文,所述IPsec报文中包含有所述IPsec报文的序列号;判断模块,用于判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果;第一检测模块,用于当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号区间所表示的最大序列号,且所述IPsec报文的序列号与所述最大序列号的差值小于或等于所述第二位图的比特位的长度N时,N为正整数,将所述第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位;并将所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。
进一步地,所述装置还包括:第二检测模块,用于当所述判断结果为表示所述IPsec报文的序列号在所述第二序列号区间内时,则判断所述IPsec报文在所述第二位图中对应的比特位是否已被标记;在为否时,根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。
进一步地,所述装置还包括:第三检测模块,用于当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小,则判断所述IPsec报文的序列号是否在所述第一序列号区间内;若所述IPsec报文的序列号在所述第一序列号区间内,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值小于或等于所述N时,则丢弃所述IPsec报文。
进一步地,所述装置还包括:第四检测模块,用于当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小,则判断所述IPsec报文的序列号是否在所述第一序列号区间内;当所述IPsec报文的序列号在所述第一序列号区间内,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于所述N时,则判断所述IPsec报文在所述第一位图中对应的比特位是否已被标记;在为否时,根据所述IPsec报文的序列号对所述IPsec报文在所述第一位图中对应的比特位进行标记。
进一步地,所述装置还包括:第五检测模块,用于当所述判断结果为表示所述IPsec报文的序列号比所述第一位图和所述第二位图中所标记的当前IPsec报文的最大序列号大,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于或等于所述N时,将所述第一位图及所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第一序列号区间的最大序列号对应的比特位进行标记。
第三方面,本申请实施例提供一种网络设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的方法。
第四方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述第一方面提供的方法。
本申请实施例提供一种IPsec防重放的方法、装置、网络设备及可读存储介质,该方法应用于网络设备,首先接收IPsec报文,所述IPsec报文中包含有所述IPsec报文的序列号,再判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果,当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号区间所表示的最大序列号,且所述IPsec报文的序列号与所述最大序列号的差值小于或等于所述第二位图的比特位的长度N时,N为正整数,将所述第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位;并将所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。本方案中,可以通过第一位图和第二位图来代替现有技术中通过滑动窗口的滑动操作来对IPsec报文进行重放检测,由此,当接收到新的报文,即所述IPsec报文的序列号超出第二序列号区间的最大序列号时,采用第一位图和第二位图来对报文进行标记,只需进行数据的更新替换即可,而不需要进行移动操作,所以,相比于滑动操作导致的网络设备中CPU开销比较大,则本方案中采用第一位图和第二位图来进行数据的更新替换操作则更简单,使得网络设备中CPU的开销小,进而提高网络设备对报文的处理性能。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了一种可应用于本申请实施例中的网络设备的结构框图;
图2为现有技术中利用滑动窗口对IPsec报文进行重放检测的示意图;
图3为本申请实施例提供的一种IPsec防重放的方法的流程图;
图4为本申请实施例提供的第一位图和第二位图的结构示意图;
图5为本申请实施例提供的利用第一位图和第二位图对IPsec报文进行重放检测的示意图;
图6为本申请实施例提供的一种IPsec防重放的装置的结构框图;
图7为本申请实施例提供的一种网络设备的另一种结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参照图1,图1示出了一种可应用于本申请实施例中的网络设备100的结构框图。网络设备100可以包括IPsec防重放的装置、存储器101、存储控制器102、处理器103、外设接口104。
所述存储器101、存储控制器102、处理器103、外设接口104各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述IPsec防重放的装置包括至少一个可以软件或固件(firmware)的形式存储于所述存储器101中或固化在所述IPsec防重放的装置的操作系统(operating system,OS)中的软件功能模块。所述处理器103用于执行存储器101中存储的可执行模块,例如所述IPsec防重放的装置包括的软件功能模块或计算机程序。
其中,存储器101可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器101用于存储程序,所述处理器103在接收到执行指令后,执行所述程序,前述本申请实施例任一实施例揭示的流过程定义的服务器所执行的方法可以应用于处理器103中,或者由处理器103实现。
处理器103可以是一种集成电路芯片,具有信号的处理能力。上述的处理器103可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器103也可以是任何常规的处理器等。
所述外设接口104将各种输入/输出装置耦合至处理器103以及存储器101。在一些实施例中,外设接口104,处理器103以及存储控制器102可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
所述外设接口104将各种输入/输出装置耦合至处理器103以及存储器101。在一些实施例中,外设接口104,处理器103以及存储控制器102可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
可以理解,图1所示的结构仅为示意,所述网络设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
两个网络设备之间在进行报文传输时,是通过两个网络设备之间的传输协议,如IPsec协议,在两个网络设备之间建立一条新的IPesc隧道来进行报文的传输的,报文发送端会设置一个报文的序列号计算器,在报文发送开始时,将序列号计算器初始化为0,每当在这个IPesc隧道上发送一个数据包时,序列号计算器就加1,并将报文中的序列号字段值填充为序列号计算器的值。
由于IPsec协议是无连接的、不可靠的,所以,IPsec协议不能保证接收某个数据包时组成该消息的所有数据包都是顺序接收的,因此接收端需要建立长度为WINS的滑动窗口来对报文进行重放检测,一般滑动窗口的默认值为64,窗口大小一般是最终实施IPsec主机的字长的整数倍,例如,64、128、256、512、1024。
如图2所示,现有技术中,通常的方案是利用滑动窗口对IPsec报文进行重放检测,在利用滑动窗口对IPsec报文进行重放检测时,窗口的最右端代表目前已收到的合法数据包的最大序列号N,最左端对应于可以接收的合法报文的最小序列N-W+1,其中W为滑动窗口的长度。例如,滑动窗口长度为64,其当前最大序列号为128,则滑动窗口的最小序列号为65,滑动窗口的序列号为65-128,表示当前滑动窗口对接收到序列号为65-128的报文进行检测,滑动窗口中的每个相应位置均对应了一个序列号,例如,当前接收到的报文的序列号为68,则查找滑动窗口中序列号为68的位置是否被标记为已接收,若没有被标记,表示该报文没有被接收,则将该位置打上标记,若该位置已被打上标记,表示该报文为重放报文,则丢弃该报文。
具体利用滑动窗口进行重放检测的过程如下:
1.如收到的报文的序列号落在窗口的序列号区间内,并且窗口的对应比特位还没有被标记,即该报文不是重放报文,则进行MAC认证,如认证正确,则应在窗口的相应位置作标记。
2.如收到的报文的序列号落在窗口右侧,而且是新的,则进行MAC认证,如认证通孔,则把报文的序列号座位窗口的右边界,将窗口向前滑动,并在窗口的相应位置作标记,表示该序列号的报文已经收到。
3.如报文序列号落在窗口左侧,表示该报文是过时的报文,则将该报文丢弃。
可见,当接收到的报文的序列号落在滑动窗口的右边且认证通过时需要移动窗口,由此每接收到一个新的报文都需要进行窗口的移动,而移动窗口的操作比较麻烦,所以当报文较多时,则会在重放检测时频繁地对窗口进行滑动操作,由此对网络设备的性能的开销比较大,进而影响网络设备的转发性能。
以上现有技术中的方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本申请实施例针对上述问题所提出的解决方案,都应该是发明人在本申请过程中对本申请做出的贡献。
因此,为了解决现有技术中网络设备在接收报文时,需要频繁地对滑动窗口进行移动操作来对报文进行重放检测,进而导致对网络设备的性能的开销比较大,影响网络设备的转发性能的问题,本申请实施例提供了一种IPsec防重放的方法。
请参照图3,图3为本申请实施例提供的一种IPsec防重放的方法的流程图,该方法应用于网络设备,所述方法包括如下步骤:
步骤S110:接收IPsec报文。
两个网络设备之间的信息交互采用IPsec报文进行数据传输,而接收端网络设备接收发送端网络设备发送的IPsec报文,该IPsec报文中包含有所述IPsec报文的序列号,序列号包含在AH和ESP协议头部中的四个字节的Sequence Number字段。
步骤S120:判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果。
所述第一位图和所述第二位图用于根据IPsec报文的序列号对所述IPsec报文进行重放检测,以对接收到的处于所述序列号区间内的IPsec报文在位图中相应的比特位进行标记。
位图(bitmap)可以理解为是一用于存储数据的数组,数组中的每一个数据用二进制位表示,即每一个数据对应一个比特位,0表示数据不存在,1表示数据存在,每个比特位可对应于报文的一个序列号,具体可如图4所示,第一位图和第二位图的比特位长度相同,如均为64比特,若当前第一位图对应需检测的报文的序列号为65-128,第二位图对应需检测的报文的序列号为129-192,则65-128定义为第一位图的第一序列号区间,129-192定义为第二位图的第二序列号区间。
若需要对接收到的IPsec报文进行重放检测,则可将IPsec报文的序列号与第一序列号区间和第二序列号区间进行比对,判断IPsec报文的序列号与第一序列号区间以及第二序列号区间的关系,获得一判断结果。
步骤S130:当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号区间所表示的最大序列号,且所述IPsec报文的序列号与所述最大序列号的差值小于或等于所述第二位图的比特位的长度N时,N为正整数,将所述第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位;并将所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。
例如,接收的IPsec报文的序列号为200,第二序列号区间为上述的129-192,则其第二序列号区间对应的最大序列号为192,由于一位比特位对应一个序列号,所以,N等于64,200大于192,且200与192的差值小于64,因此,IPsec报文的序列号超过了第二位图的右边界,表示该IPsec报文为新的报文,则第一位图中记录的所有序列号标记都不需要再使用了,可以直接舍弃,然后将第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位,并且将第二位图中的所有比特位对应的序列号标记清空,然后根据所述IPsec报文的序列号对IPsec报文在第二位图中对应的比特位进行标记,即第一位图的第一序列号空间变为129-192,第二位图的第二序列号区间193-256,则在第二位图中序列为200对应的比特位进行标记,其具体实现过程可参照图5所示。
若所述IPsec报文的序列号刚好超过第二序列号区间的最大序列号,且与最大序列号的差值等于第二位图的比特位长度N时,如所述IPsec报文的序列号为256时,则也可将第二位图的所有比特对应的序列号标记复制到第一比特位中对应的比特位,然后将第二位图中所有比特位对应的序列号标记清空,即第一位图的第一序列号区间则变为129-192,第二位图的序列号区间变为193-256,则在第二位图中序列号为256对应的比特位进行标记。
其中,对比特位进行标记是指在相应的比特位标记1或0,位图的初始化时所有比特位均为0,标记为1表示该位置处对应的序列号的报文已被接收过了,标记为0表示该位置处对应的序列号的报文未被接收过。
所以,相比于现有技术中,在获得新的IPsec报文时,还需进行窗口移动操作,本方案中不需要进行窗口的移动,而是直接利用两个位图进行交替,从而将多次的移位操作转换为了一次交替操作就完成了,对于网络设备的性能有了很大的提升。
另外,当所述判断结果为表示所述IPsec报文的序列号在所述第二序列号区间内时,即所述IPsec报文的序列号超过所述第一序列号区间的最大序列号,且小于或等于第二序列号区间的最大序列号,则判断所述IPsec报文在所述第二位图中对应的比特位是否已被标记;在为否时,根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。
如IPsec报文的序列号为150,则其在第二序列号区间129-192之内,所以先从第二位图中判定序列号为150对应的比特位是否有被标记,若没有被标记则该IPsec报文是合法报文,待认证通过之后将第二位图中序列号为150对应的比特位进行标记,如果序列号为150的比特位已经被标记,则表示该IPsec报文是重放报文,则直接丢弃。
其中,对IPsec报文进行认证是指对IPsec报文进行错误检测,即检测其IPsec报文内容是否完整、是否正确等,若IPsec报文内容完整且正确,则该IPsec报文通过认证。
当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小,则判断所述IPsec报文的序列号是否在所述第一序列号区间内;若所述IPsec报文的序列号在所述第一序列号区间内,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值小于或等于所述N时,则丢弃所述IPsec报文,即表示接收到的IPsec报文为过时报文,可以丢弃。
例如,第一序列号区间为65-128,第二序列号区间为129-192,N为64,当前第二位图中所标记的当前IPsec报文的最大序列号为190,若接收到的IPsec报文的序列号为127,其与当前IPsec报文的最大序列号之间的差值小于64,则表示该IPsec报文为过时报文,则将该IPsec报文丢弃。
另外,当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小,则判断所述IPsec报文的序列号是否在所述第一序列号区间内;当所述IPsec报文的序列号在所述第一序列号区间内,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于所述N时,则判断所述IPsec报文在所述第一位图中对应的比特位是否已被标记;在为否时,根据所述IPsec报文的序列号对所述IPsec报文在所述第一位图中对应的比特位进行标记。
例如,第一序列号区间为65-128,第二序列号区间为129-192,N为64,当前第二位图中所标记的当前IPsec报文的最大序列号为190,若接收到的IPsec报文的序列号为120,则该IPsec报文的序列号落在第一序列号区间内,且该IPsec报文的序列号与当前IPsec报文的最大序列号的差值为70,大于N,则再判断该IPsec报文的序列号在第一位图中序列号为120对应的比特位是否已被标记,则该IPsec报文是未接收的IPsec报文,即合法报文,在认证通过之后在第一位图中序列号为120对应的比特位进行标记,若第一位图中序列号为120对应的比特位已经被标记了,表示该IPsec报文为重放报文,则将该IPsec报文丢弃。
若所述判断结果为表示接收到的IPsec报文的序列号比所述第一位图和所述第二位图中所标记的当前IPsec报文的最大序列号大,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列的差值大于或等于所述N时,将所述第一位图及所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第一序列号区间的最大序列号对应的比特位进行标记。
例如,第一序列号区间为65-128,第二序列号区间为129-192,N为64,当前第二位图中所标记的当前IPsec报文的最大序列号为190,若接收到的IPsec报文的序列号为260,则该IPsec报文为合法报文,待认证通过之后清空第一位图和第二位图中所有比特位对应的序列号标记,然后将IPsec报文在第一位图中对应的比特位进行标记,即第一序列号区间变为197-260,第二序列号区间变为261-325,则在第一位图中序列号为260对应的比特位对IPsec报文进行标记。
请参照图6,图6为本申请实施例提供的一种IPsec防重放的装置200的结构框图,该装置运行于网络设备,所述装置包括:
报文接收模块210,用于接收IPsec报文,所述IPsec报文中包含有所述IPsec报文的序列号。
判断模块220,用于判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果。
第一检测模块230,用于当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号区间所表示的最大序列号,且所述IPsec报文的序列号与所述最大序列号的差值小于或等于所述第二位图的比特位的长度N时,N为正整数,将所述第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位;并将所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。
作为一种实施方式,所述装置还包括:
第二检测模块,用于当所述判断结果为表示所述IPsec报文的序列号在所述第二序列号区间内时,则判断所述IPsec报文在所述第二位图中对应的比特位是否已被标记;在为否时,根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。
作为一种实施方式,所述装置还包括:
第三检测模块,用于当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小,则判断所述IPsec报文的序列号是否在所述第一序列号区间内;若所述IPsec报文的序列号在所述第一序列号区间内,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值小于或等于所述N时,则丢弃所述IPsec报文。
作为一种实施方式,所述装置还包括:
第四检测模块,用于当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小,则判断所述IPsec报文的序列号是否在所述第一序列号区间内;当所述IPsec报文的序列号在所述第一序列号区间内,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于所述N时,则判断所述IPsec报文在所述第一位图中对应的比特位是否已被标记;在为否时,根据所述IPsec报文的序列号对所述IPsec报文在所述第一位图中对应的比特位进行标记。
作为一种实施方式,所述装置还包括:
第五检测模块,用于当所述判断结果为表示所述IPsec报文的序列号比所述第一位图和所述第二位图中所标记的当前IPsec报文的最大序列号大,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于或等于所述N时,将所述第一位图及所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第一序列号区间的最大序列号对应的比特位进行标记。
请参照图7,图7为本申请实施例提供的一种网络设备的另一种结构示意图,所述网络设备可以包括:至少一个处理器510,例如CPU,至少一个通信接口520,至少一个存储器530和至少一个通信总线540。其中,通信总线540用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口520用于与其他节点设备进行信令或数据的通信。存储器530可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器530可选的还可以是至少一个位于远离前述处理器的存储装置。存储器530中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器510执行时,网络设备执行上述图3所示方法过程。
本申请实施例提供一种可读取存储介质,所述计算机程序被处理器执行时,执行如图3所示方法实施例中网络设备所执行的方法过程。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
综上所述,本申请实施例提供一种IPsec防重放的方法、装置、网络设备及可读存储介质,该方法应用于网络设备,首先接收IPsec报文,所述IPsec报文中包含有所述IPsec报文的序列号,再判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果,当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号区间所表示的最大序列号,且所述IPsec报文的序列号与所述最大序列号的差值小于或等于所述第二位图的比特位的长度N时,N为正整数,将所述第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位;并将所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。本方案中,可以通过第一位图和第二位图来代替现有技术中通过滑动窗口的滑动操作来对IPsec报文进行重放检测,由此,当接收到新的报文,即所述IPsec报文的序列号超出第二序列号区间的最大序列号时,采用第一位图和第二位图来对报文进行标记,只需进行数据的更新替换即可,而不需要进行移动操作,所以,相比于滑动操作导致的网络设备中CPU开销比较大,则本方案中采用第一位图和第二位图来进行数据的更新替换操作则更简单,使得网络设备中CPU的开销小,进而提高网络设备对报文的处理性能。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (12)
1.一种IPsec防重放的方法,其特征在于,所述方法包括:
接收IPsec报文,所述IPsec报文中包含有所述IPsec报文的序列号;
判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果;其中,所述第一位图与所述第二位图的比特位长度相同,一位比特位对应于一个序列号,所述第二序列号区间的最小序列号大于所述第一序列号区间的最大序列号;
当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号区间所表示的最大序列号,且所述IPsec报文的序列号与所述最大序列号的差值小于或等于所述第二位图的比特位的长度N时,N为正整数,将所述第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位;并将所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。
2.根据权利要求1所述的方法,其特征在于,在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果之后,所述方法还包括:
当所述判断结果为表示所述IPsec报文的序列号在所述第二序列号区间内时,则判断所述IPsec报文在所述第二位图中对应的比特位是否已被标记;在为否时,根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。
3.根据权利要求1所述的方法,其特征在于,在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果之后,所述方法还包括:
当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小,则判断所述IPsec报文的序列号是否在所述第一序列号区间内;
若所述IPsec报文的序列号在所述第一序列号区间内,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值小于或等于所述N时,则丢弃所述IPsec报文。
4.根据权利要求1所述的方法,其特征在于,在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果之后,所述方法还包括:
当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小,则判断所述IPsec报文的序列号是否在所述第一序列号区间内;
当所述IPsec报文的序列号在所述第一序列号区间内,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于所述N时,则判断所述IPsec报文在所述第一位图中对应的比特位是否已被标记;在为否时,根据所述IPsec报文的序列号对所述IPsec报文在所述第一位图中对应的比特位进行标记。
5.根据权利要求1所述的方法,其特征在于,在判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果之后,所述方法还包括:
当所述判断结果为表示所述IPsec报文的序列号比所述第一位图和所述第二位图中所标记的当前IPsec报文的最大序列号大,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于或等于所述N时,将所述第一位图及所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第一序列号区间的最大序列号对应的比特位进行标记。
6.一种IPsec防重放的装置,其特征在于,所述装置包括:
报文接收模块,用于接收IPsec报文,所述IPsec报文中包含有所述IPsec报文的序列号;
判断模块,用于判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系,获得判断结果;其中,所述第一位图与所述第二位图的比特位长度相同,一位比特位对应于一个序列号,所述第二序列号区间的最小序列号大于所述第一序列号区间的最大序列号;
第一检测模块,用于当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号区间所表示的最大序列号,且所述IPsec报文的序列号与所述最大序列号的差值小于或等于所述第二位图的比特位的长度N时,N为正整数,将所述第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位;并将所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二检测模块,用于当所述判断结果为表示所述IPsec报文的序列号在所述第二序列号区间内时,则判断所述IPsec报文在所述第二位图中对应的比特位是否已被标记;在为否时,根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第三检测模块,用于当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小,则判断所述IPsec报文的序列号是否在所述第一序列号区间内;若所述IPsec报文的序列号在所述第一序列号区间内,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值小于或等于所述N时,则丢弃所述IPsec报文。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第四检测模块,用于当所述判断结果为表示所述IPsec报文的序列号比所述第一位图以及所述第二位图中所标记的当前IPsec报文的最大序列号小,则判断所述IPsec报文的序列号是否在所述第一序列号区间内;当所述IPsec报文的序列号在所述第一序列号区间内,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于所述N时,则判断所述IPsec报文在所述第一位图中对应的比特位是否已被标记;在为否时,根据所述IPsec报文的序列号对所述IPsec报文在所述第一位图中对应的比特位进行标记。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第五检测模块,用于当所述判断结果为表示所述IPsec报文的序列号比所述第一位图和所述第二位图中所标记的当前IPsec报文的最大序列号大,且所述IPsec报文的序列号与所述当前IPsec报文的最大序列号的差值大于或等于所述N时,将所述第一位图及所述第二位图中的所有比特位对应的序列号标记清空;根据所述IPsec报文的序列号对所述IPsec报文在所述第一序列号区间的最大序列号对应的比特位进行标记。
11.一种网络设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-5中任一项所述的方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-5任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810446618.9A CN108683606B (zh) | 2018-05-11 | 2018-05-11 | IPsec防重放的方法、装置、网络设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810446618.9A CN108683606B (zh) | 2018-05-11 | 2018-05-11 | IPsec防重放的方法、装置、网络设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108683606A CN108683606A (zh) | 2018-10-19 |
CN108683606B true CN108683606B (zh) | 2021-10-08 |
Family
ID=63805490
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810446618.9A Active CN108683606B (zh) | 2018-05-11 | 2018-05-11 | IPsec防重放的方法、装置、网络设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108683606B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110233706B (zh) * | 2019-06-13 | 2022-02-08 | 北京奇艺世纪科技有限公司 | 一种重复数据包检测方法及装置 |
CN112333094B (zh) * | 2020-11-27 | 2022-10-18 | 迈普通信技术股份有限公司 | 数据传输处理方法、装置、网络设备及可读存储介质 |
CN116155477B (zh) * | 2023-04-18 | 2023-07-18 | 湖北省楚天云有限公司 | 一种基于动态滑动窗口的IPsec抗重放方法及系统 |
CN116527231B (zh) * | 2023-07-03 | 2023-09-12 | 北京左江科技股份有限公司 | 一种IPSec实现高效抗重放攻击的方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101243669A (zh) * | 2006-02-09 | 2008-08-13 | 三星电子株式会社 | 在因特网协议安全中更新错误自动修正窗口的方法和装置 |
CN102769572A (zh) * | 2012-07-30 | 2012-11-07 | 福建星网锐捷网络有限公司 | 报文防重放方法及装置、网络设备 |
US8474034B2 (en) * | 2011-04-19 | 2013-06-25 | Futurewei Technologies, Inc. | Method and apparatus for fast check and update of anti-replay window without bit-shifting in internet protocol security |
US8646090B1 (en) * | 2007-10-03 | 2014-02-04 | Juniper Networks, Inc. | Heuristic IPSec anti-replay check |
CN104935597A (zh) * | 2015-06-17 | 2015-09-23 | 杭州华三通信技术有限公司 | 防重放窗口控制方法以及装置 |
-
2018
- 2018-05-11 CN CN201810446618.9A patent/CN108683606B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101243669A (zh) * | 2006-02-09 | 2008-08-13 | 三星电子株式会社 | 在因特网协议安全中更新错误自动修正窗口的方法和装置 |
US8646090B1 (en) * | 2007-10-03 | 2014-02-04 | Juniper Networks, Inc. | Heuristic IPSec anti-replay check |
US8474034B2 (en) * | 2011-04-19 | 2013-06-25 | Futurewei Technologies, Inc. | Method and apparatus for fast check and update of anti-replay window without bit-shifting in internet protocol security |
CN102769572A (zh) * | 2012-07-30 | 2012-11-07 | 福建星网锐捷网络有限公司 | 报文防重放方法及装置、网络设备 |
CN104935597A (zh) * | 2015-06-17 | 2015-09-23 | 杭州华三通信技术有限公司 | 防重放窗口控制方法以及装置 |
Non-Patent Citations (1)
Title |
---|
一种IPsec抗重放技术在VPN隔离网关中的应用方法;吴亚铭 等;《通信技术》;20180331;第51卷(第3期);第688-691段 * |
Also Published As
Publication number | Publication date |
---|---|
CN108683606A (zh) | 2018-10-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108683606B (zh) | IPsec防重放的方法、装置、网络设备及可读存储介质 | |
CN104717201B (zh) | 网络装置以及网络系统 | |
CN109948347B (zh) | 一种数据存储方法及装置、服务器及可读存储介质 | |
JP4107213B2 (ja) | パケット判定装置 | |
CN107864129B (zh) | 一种保证网络数据安全的方法和装置 | |
US20030126429A1 (en) | Node device and communication control method for improving security of packet communications | |
CN110035047B (zh) | 用于检查数据包中的消息完整性的轻型机制 | |
US7139679B1 (en) | Method and apparatus for cryptographic protection from denial of service attacks | |
JP2017121091A (ja) | Ecu、及び車用ネットワーク装置 | |
US10200155B2 (en) | One-way data transmission apparatus, one-way data reception apparatus, and one-way data transmission/reception method using the same | |
US9503552B2 (en) | System and method for adapting to network protocol updates | |
CN114095195B (zh) | 用于安全套接字层代理的自适应控制的方法、网络设备以及非瞬态计算机可读介质 | |
CN110290151B (zh) | 报文发送方法、装置及可读取存储介质 | |
CN110213292B (zh) | 数据发送方法及装置、数据接收方法及装置 | |
Ansari et al. | IntelliCAN: Attack-resilient controller area network (CAN) for secure automobiles | |
CN108833100B (zh) | 信息验证方法、发送端系统、接收端系统及验证端系统 | |
US20130215897A1 (en) | Mitigation of detected patterns in a network device | |
WO2019113629A1 (en) | System and methods for generating and authenticating verifiable network traffic | |
JP7016783B2 (ja) | 情報処理装置、管理装置 | |
US10917502B2 (en) | Method for using metadata in internet protocol packets | |
US10499249B1 (en) | Data link layer trust signaling in communication network | |
US20150237059A1 (en) | Information processing apparatus, information processing method, and non-transitory computer readable medium | |
CN113645176A (zh) | 一种检测伪造流量的方法、装置及电子设备 | |
WO2018181253A1 (ja) | データ分析装置、方法、及びプログラム | |
CN113949561B (zh) | 一种安全控制器的站间安全通信方法、装置及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |