CN116527231B - 一种IPSec实现高效抗重放攻击的方法 - Google Patents

一种IPSec实现高效抗重放攻击的方法 Download PDF

Info

Publication number
CN116527231B
CN116527231B CN202310801726.4A CN202310801726A CN116527231B CN 116527231 B CN116527231 B CN 116527231B CN 202310801726 A CN202310801726 A CN 202310801726A CN 116527231 B CN116527231 B CN 116527231B
Authority
CN
China
Prior art keywords
array
message
value
ipsec
sequence number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310801726.4A
Other languages
English (en)
Other versions
CN116527231A (zh
Inventor
张衍
魏志锋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Zuojiang Technology Co ltd
Original Assignee
Beijing Zuojiang Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Zuojiang Technology Co ltd filed Critical Beijing Zuojiang Technology Co ltd
Priority to CN202310801726.4A priority Critical patent/CN116527231B/zh
Publication of CN116527231A publication Critical patent/CN116527231A/zh
Application granted granted Critical
Publication of CN116527231B publication Critical patent/CN116527231B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种IPSec实现高效抗重放攻击的方法,属于网络安全领域。为解决IPSec抗重放功能中滑动窗口操作影响处理IPSec报文速率的问题,本发明利用循环队列与滑动窗口的概念结合,以及对IPpsec报文序列号取模运算,实现在有限的内存空间(循环队列的内存),在循环队列中无限循环(循环队列的特性)操作滑动窗口对报文抗重放处理的过程。本发明基于循环队列的滑动窗口与IPSec报文序列号的取模运算的操作,使用该技术可加速处理IPSec报文抗重放过程。

Description

一种IPSec实现高效抗重放攻击的方法
技术领域
本发明属于网络安全领域,具体涉及一种IPSec实现高效抗重放攻击的方法。
背景技术
IPSec(InternetProtocol Security)是当前因特网主流安全协议,其协议规定了如何在对等层间选择安全协议、确定安全算法和密钥协商交换,向上提供访问控制、数据源认证、数据加密等网络安全服务。IPSce协议能够保证数据传输的完成性以及数据内容的安全性,但不能防止报文在传输中窃听。IPsec协议AH头或者ESP头结构中规定了32位或64位单增序列号(SequenceNumber),收到的报文序列号不能重复,并且此报文在当前所属SA滑动窗内有效。例如,收到一个序列号值在所属SA窗内并且完整性验证成功的报文,窗口根据报文序号的大小改变窗口范围值或在窗内对应位图标记此报文。当此报文被窃听重放,如在窗口内,则根据标记判断为重放报文,如在窗口外,则判断为重放报文。重放报文丢弃不处理。
常规的IPSec抗重放窗口滑动操作对于处理IPSec报文速率影响是显而易见的。大多情况下收到的报文是非重放、顺序序列号报文,窗口随之进行滑动操作,此操作需拷贝、修改整块位图缓冲区,影响报文处理速率,限制一定的性能。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是如何提供一种IPSec实现高效抗重放攻击的方法,以解决IPSec抗重放功能中滑动窗口操作影响处理IPSec报文速率的问题。
(二)技术方案
为了解决上述技术问题,本发明提出一种IPSec实现高效抗重放攻击的方法,该方法包括:
使用有限大小w的数组作为位图标记空间,位图标记值即数组值为1,则证明已经收到过相应报文序列号,标记值为0,则相应报文序列号未收到过;
IPSec报文序列号取模值作为数组下标a,窗口大小为w,当前最大并且正确验证成功的报文的序列号为c,假设收到报文序列号m并进行窗内、外判断,处理过程包括如下几种情况:
C1、接收报文序列号连续情况:把数组看做循环队列,假设首尾相连,当此次接收到的报文序列号m是上次最大且验证成功报文序列号c的后续连续报文序号,即m=c+1,则设置数组下标为m%w的数组值为1;
C2、序列号落入窗内情况包括:
C2.1、如果c>w,c-w<m并且c>=m,则根据数组下标m%w的当前数组值决定丢弃报文或将数组值置为1;
C2.2、当c-w>m,此报文序列号在有效窗口外,则丢弃报文;
C3、序列号非连续情况包括:
C3.1、如果m>c,c%w-m%w=0,则设置数组下标c%w与m%w之间的数组值为0,即清空窗口向前滑动过的位置;
C3.2、如果m>c,c%w-m%w=1,则设置数组下标c%w至数组下标w与数组下标0至m%w之间的数组值为0;
C3.3、如果m>c,c%w-m%w>1,则设置整个数组的值为0。
(三)有益效果
本发明提出一种IPSec实现高效抗重放攻击的方法,本发明利用循环队列与滑动窗口的概念结合,以及对IPpsec报文序列号取模运算,实现在有限的内存空间(循环队列的内存),在循环队列中无限循环(循环队列的特性)操作滑动窗口对报文抗重放处理的过程。
传统抗重放攻击功能实现方式存在位图内存空间频繁整体拷贝、修改的问题,导致接收的每一个数据包在过抗重攻击时,速率有所下降。本发明基于循环队列的滑动窗口与IPSec报文序列号的取模运算的操作,使用该技术可加速处理IPSec报文抗重放过程。
根据各个系统、处理器运行频率、内存资源的网络设备以及窗口大小的不同,本发明均可显著提高对报文通过抗重放过程的速度。
附图说明
图1为本发明序列号连续情况窗口滑动过程图;
图2a为序列号落入窗内无效过程图;
图2b为序列号落入窗内有效过程图;
图3a为序列号非连续情况窗口滑动过程图;
图3b为序列号非连续情况窗口滑动过程图;
图3c为序列号非连续情况窗口滑动过程图。
具体实施方式
为使本发明的目的、内容和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
IPSec部署在大型网络安全服务器上,对高速率、高性能、高并发有苛刻的要求,抗重放攻击作为网络安全的不可缺少且数据进入上层系统前的安全防御功能,抗重放性能尤为重要。本发明旨在解决IPSec抗重放功能中滑动窗口操作影响处理IPSec报文速率的问题,避免每次收到IPSec报文后对窗口位图缓冲区的整体拷贝、修改弊端,提高处理IPSec报文处理速度。
使用有限大小w的数组作为位图标记空间,位图标记值即数组值为1,则证明已经收到过相应报文序列号,标记值为0,则相应报文序列号未收到过;IPSec报文序列号取模值作为数组下标a,窗口大小为w,当前最大并且正确验证成功的报文的序列号为c。假设收到报文序列号m并进行窗内、外判断,处理过程包括如下几种情况:
C1、如图1所示,接收报文序列号连续情况:
把数组看做循环队列,假设首尾相连,当此次接收到的报文序列号m是上次最大且验证成功报文序列号c的后续连续报文序号,即m=c+1,则设置数组下标为m%w的数组值为1。
C2、序列号落入窗内情况包括:
C2.1、如果c>w,c-w<m并且c>=m,则根据数组下标m%w的当前数组值决定丢弃报文或将数组值置为1。
如图2a所示,判断数组下标m%w的当前数组值,如当前数组值为1,则丢弃报文,此报文为重放报文。如图2b所示,如当前数组值为0,则将数组值置为1。
C2.2、当c-w>m,此报文序列号在有效窗口外,则丢弃报文。
C3、序列号非连续情况包括:
C3.1、如图3a所示,如果m>c,c%w-m%w=0,则设置数组下标c%w与m%w之间的数组值为0,即清空窗口向前滑动过的位置。此处,数组下标c%w的数组值也置为0。数组下标m%w的数组值不置为0。
C3.2、如图3b所示,如果m>c,c%w-m%w=1,则设置数组下标c%w至数组下标w与数组下标0至m%w之间的数组值为0。此处,数组下标c%w的数组值也置为0。数组下标m%w的数组值不置为0。
C3.2、如图3c所示,如果m>c,c%w-m%w>1,则设置整个数组的值为0。
进一步地,该方法用于网络安全服务器上的IPSec报文抗重放过程。
进一步地,数组位于内存空间中。
进一步地,报文序列号对窗口大小w取模作为数组下标a。
本发明利用循环队列与滑动窗口的概念结合,以及对IPpsec报文序列号取模运算,实现在有限的内存空间(循环队列的内存),在循环队列中无限循环(循环队列的特性)操作滑动窗口对报文抗重放处理的过程。
传统抗重放攻击功能实现方式存在位图内存空间频繁整体拷贝、修改的问题,导致接收的每一个数据包在过抗重攻击时,速率有所下降。本发明基于循环队列的滑动窗口与IPSec报文序列号的取模运算的操作,使用该技术可加速处理IPSec报文抗重放过程。
根据各个系统、处理器运行频率、内存资源的网络设备以及窗口大小的不同,本发明技术可显著提高对报文通过抗重放过程的速度。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (10)

1.一种IPSec实现高效抗重放攻击的方法,其特征在于,该方法包括:
使用有限大小w的数组作为位图标记空间,位图标记值即数组值为1,则证明已经收到过相应报文序列号,标记值为0,则相应报文序列号未收到过;
IPSec报文序列号取模值作为数组下标a,窗口大小为w,当前最大并且正确验证成功的报文的序列号为c,假设收到报文序列号m并进行窗内、外判断,处理过程包括如下几种情况:
C1、接收报文序列号连续情况:把数组看做循环队列,假设首尾相连,当此次接收到的报文序列号m是上次最大且验证成功报文序列号c的后续连续报文序号,即m=c+1,则设置数组下标为m%w的数组值为1;
C2、序列号落入窗内情况包括:
C2.1、如果c>w,c-w<m并且c>=m,则根据数组下标m%w的当前数组值决定丢弃报文或将数组值置为1;
C2.2、当c-w>m,此报文序列号在有效窗口外,则丢弃报文;
C3、序列号非连续情况包括:
C3.1、如果m>c,c%w-m%w=0,则设置数组下标c%w与m%w之间的数组值为0,即清空窗口向前滑动过的位置;
C3.2、如果m>c,c%w-m%w=1,则设置数组下标c%w至数组下标w与数组下标0至m%w之间的数组值为0;
C3.3、如果m>c,c%w-m%w>1,则设置整个数组的值为0。
2.如权利要求1所述的IPSec实现高效抗重放攻击的方法,其特征在于,该方法用于网络安全服务器上的IPSec报文抗重放过程。
3.如权利要求1所述的IPSec实现高效抗重放攻击的方法,其特征在于,数组位于内存空间中。
4.如权利要求1所述的IPSec实现高效抗重放攻击的方法,其特征在于,报文序列号对窗口大小w取模作为数组下标a。
5.如权利要求1-4任一项所述的IPSec实现高效抗重放攻击的方法,其特征在于,所述C2.1中,判断数组下标m%w的当前数组值,如当前数组值为1,则丢弃报文,此报文为重放报文。
6.如权利要求5所述的IPSec实现高效抗重放攻击的方法,其特征在于,所述C2.1中,判断数组下标m%w的当前数组值,如当前数组值为0,则将数组值置为1。
7.如权利要求1-4任一项所述的IPSec实现高效抗重放攻击的方法,其特征在于,所述C3.1中,数组下标c%w的数组值也置为0。
8.如权利要求7所述的IPSec实现高效抗重放攻击的方法,其特征在于,所述C3.1中,数组下标m%w的数组值不置为0。
9.如权利要求1-4任一项所述的IPSec实现高效抗重放攻击的方法,其特征在于,所述C3.2中,数组下标c%w的数组值也置为0。
10.如权利要求9所述的IPSec实现高效抗重放攻击的方法,其特征在于,所述C3.2中,数组下标m%w的数组值不置为0。
CN202310801726.4A 2023-07-03 2023-07-03 一种IPSec实现高效抗重放攻击的方法 Active CN116527231B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310801726.4A CN116527231B (zh) 2023-07-03 2023-07-03 一种IPSec实现高效抗重放攻击的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310801726.4A CN116527231B (zh) 2023-07-03 2023-07-03 一种IPSec实现高效抗重放攻击的方法

Publications (2)

Publication Number Publication Date
CN116527231A CN116527231A (zh) 2023-08-01
CN116527231B true CN116527231B (zh) 2023-09-12

Family

ID=87390656

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310801726.4A Active CN116527231B (zh) 2023-07-03 2023-07-03 一种IPSec实现高效抗重放攻击的方法

Country Status (1)

Country Link
CN (1) CN116527231B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101471784A (zh) * 2007-12-29 2009-07-01 北京天融信网络安全技术有限公司 一种实现ipsec抗重放攻击的方法
US8646090B1 (en) * 2007-10-03 2014-02-04 Juniper Networks, Inc. Heuristic IPSec anti-replay check
CN108683606A (zh) * 2018-05-11 2018-10-19 迈普通信技术股份有限公司 IPsec防重放的方法、装置、网络设备及可读存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8646090B1 (en) * 2007-10-03 2014-02-04 Juniper Networks, Inc. Heuristic IPSec anti-replay check
CN101471784A (zh) * 2007-12-29 2009-07-01 北京天融信网络安全技术有限公司 一种实现ipsec抗重放攻击的方法
CN108683606A (zh) * 2018-05-11 2018-10-19 迈普通信技术股份有限公司 IPsec防重放的方法、装置、网络设备及可读存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种IPsec 抗重放技术在VPN 隔离网关中的应用方法;吴亚铭等;《通信技术》;第51卷(第3期);第688-691页 *

Also Published As

Publication number Publication date
CN116527231A (zh) 2023-08-01

Similar Documents

Publication Publication Date Title
Leurent et al. {SHA-1} is a shambles: First {Chosen-Prefix} collision on {SHA-1} and application to the {PGP} web of trust
KR100431231B1 (ko) Tcp syn 플러딩 공격을 좌절시키기 위한 방법 및시스템
Snoeren et al. Single-packet IP traceback
US5958053A (en) Communications protocol with improved security
Handley et al. Network Intrusion Detection: Evasion, Traffic Normalization, and {End-to-End} Protocol Semantics
Snoeren et al. Hash-based IP traceback
US8484361B1 (en) Tuning of SSL session caches based on SSL session IDS
US7584352B2 (en) Protection against denial of service attacks
US9130978B2 (en) Systems and methods for detecting and preventing flooding attacks in a network environment
US7675854B2 (en) System and method for an adaptive TCP SYN cookie with time validation
JP4271451B2 (ja) インターネット鍵交換データパケットをフラグメント化および再組み立てするための方法および装置
CN101147376A (zh) 降低tcp洪泛攻击同时节省无线网络带宽的装置、方法和计算机程序产品
US20100228867A1 (en) Establishing a split-terminated communication connection through a stateful firewall, with network transparency
US7630364B2 (en) Securely managing network element state information in transport-layer associations
CN102377524B (zh) 分片处理的方法和系统
US10129294B2 (en) Method and device for categorizing a stream control transmission protocol (SCTP) receiver terminal as a malicious SCTP receiver terminal
US7139679B1 (en) Method and apparatus for cryptographic protection from denial of service attacks
Thornburgh Adobe's Secure Real-Time Media Flow Protocol
US20190020681A1 (en) Method and system for processing forged tcp packet
Zuquete Improving the functionality of SYN cookies
US7873997B2 (en) Deterministic packet marking
Schepers et al. Practical side-channel attacks against WPA-TKIP
EP1154610A2 (en) Methods and system for defeating TCP Syn flooding attacks
CN116527231B (zh) 一种IPSec实现高效抗重放攻击的方法
Goldschmidt et al. Defense against syn flood dos attacksˇ using network-based mitigation techniques

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant