CN116527231B - 一种IPSec实现高效抗重放攻击的方法 - Google Patents
一种IPSec实现高效抗重放攻击的方法 Download PDFInfo
- Publication number
- CN116527231B CN116527231B CN202310801726.4A CN202310801726A CN116527231B CN 116527231 B CN116527231 B CN 116527231B CN 202310801726 A CN202310801726 A CN 202310801726A CN 116527231 B CN116527231 B CN 116527231B
- Authority
- CN
- China
- Prior art keywords
- array
- message
- value
- ipsec
- sequence number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000008569 process Effects 0.000 claims abstract description 17
- 230000006870 function Effects 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种IPSec实现高效抗重放攻击的方法,属于网络安全领域。为解决IPSec抗重放功能中滑动窗口操作影响处理IPSec报文速率的问题,本发明利用循环队列与滑动窗口的概念结合,以及对IPpsec报文序列号取模运算,实现在有限的内存空间(循环队列的内存),在循环队列中无限循环(循环队列的特性)操作滑动窗口对报文抗重放处理的过程。本发明基于循环队列的滑动窗口与IPSec报文序列号的取模运算的操作,使用该技术可加速处理IPSec报文抗重放过程。
Description
技术领域
本发明属于网络安全领域,具体涉及一种IPSec实现高效抗重放攻击的方法。
背景技术
IPSec(InternetProtocol Security)是当前因特网主流安全协议,其协议规定了如何在对等层间选择安全协议、确定安全算法和密钥协商交换,向上提供访问控制、数据源认证、数据加密等网络安全服务。IPSce协议能够保证数据传输的完成性以及数据内容的安全性,但不能防止报文在传输中窃听。IPsec协议AH头或者ESP头结构中规定了32位或64位单增序列号(SequenceNumber),收到的报文序列号不能重复,并且此报文在当前所属SA滑动窗内有效。例如,收到一个序列号值在所属SA窗内并且完整性验证成功的报文,窗口根据报文序号的大小改变窗口范围值或在窗内对应位图标记此报文。当此报文被窃听重放,如在窗口内,则根据标记判断为重放报文,如在窗口外,则判断为重放报文。重放报文丢弃不处理。
常规的IPSec抗重放窗口滑动操作对于处理IPSec报文速率影响是显而易见的。大多情况下收到的报文是非重放、顺序序列号报文,窗口随之进行滑动操作,此操作需拷贝、修改整块位图缓冲区,影响报文处理速率,限制一定的性能。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是如何提供一种IPSec实现高效抗重放攻击的方法,以解决IPSec抗重放功能中滑动窗口操作影响处理IPSec报文速率的问题。
(二)技术方案
为了解决上述技术问题,本发明提出一种IPSec实现高效抗重放攻击的方法,该方法包括:
使用有限大小w的数组作为位图标记空间,位图标记值即数组值为1,则证明已经收到过相应报文序列号,标记值为0,则相应报文序列号未收到过;
IPSec报文序列号取模值作为数组下标a,窗口大小为w,当前最大并且正确验证成功的报文的序列号为c,假设收到报文序列号m并进行窗内、外判断,处理过程包括如下几种情况:
C1、接收报文序列号连续情况:把数组看做循环队列,假设首尾相连,当此次接收到的报文序列号m是上次最大且验证成功报文序列号c的后续连续报文序号,即m=c+1,则设置数组下标为m%w的数组值为1;
C2、序列号落入窗内情况包括:
C2.1、如果c>w,c-w<m并且c>=m,则根据数组下标m%w的当前数组值决定丢弃报文或将数组值置为1;
C2.2、当c-w>m,此报文序列号在有效窗口外,则丢弃报文;
C3、序列号非连续情况包括:
C3.1、如果m>c,c%w-m%w=0,则设置数组下标c%w与m%w之间的数组值为0,即清空窗口向前滑动过的位置;
C3.2、如果m>c,c%w-m%w=1,则设置数组下标c%w至数组下标w与数组下标0至m%w之间的数组值为0;
C3.3、如果m>c,c%w-m%w>1,则设置整个数组的值为0。
(三)有益效果
本发明提出一种IPSec实现高效抗重放攻击的方法,本发明利用循环队列与滑动窗口的概念结合,以及对IPpsec报文序列号取模运算,实现在有限的内存空间(循环队列的内存),在循环队列中无限循环(循环队列的特性)操作滑动窗口对报文抗重放处理的过程。
传统抗重放攻击功能实现方式存在位图内存空间频繁整体拷贝、修改的问题,导致接收的每一个数据包在过抗重攻击时,速率有所下降。本发明基于循环队列的滑动窗口与IPSec报文序列号的取模运算的操作,使用该技术可加速处理IPSec报文抗重放过程。
根据各个系统、处理器运行频率、内存资源的网络设备以及窗口大小的不同,本发明均可显著提高对报文通过抗重放过程的速度。
附图说明
图1为本发明序列号连续情况窗口滑动过程图;
图2a为序列号落入窗内无效过程图;
图2b为序列号落入窗内有效过程图;
图3a为序列号非连续情况窗口滑动过程图;
图3b为序列号非连续情况窗口滑动过程图;
图3c为序列号非连续情况窗口滑动过程图。
具体实施方式
为使本发明的目的、内容和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
IPSec部署在大型网络安全服务器上,对高速率、高性能、高并发有苛刻的要求,抗重放攻击作为网络安全的不可缺少且数据进入上层系统前的安全防御功能,抗重放性能尤为重要。本发明旨在解决IPSec抗重放功能中滑动窗口操作影响处理IPSec报文速率的问题,避免每次收到IPSec报文后对窗口位图缓冲区的整体拷贝、修改弊端,提高处理IPSec报文处理速度。
使用有限大小w的数组作为位图标记空间,位图标记值即数组值为1,则证明已经收到过相应报文序列号,标记值为0,则相应报文序列号未收到过;IPSec报文序列号取模值作为数组下标a,窗口大小为w,当前最大并且正确验证成功的报文的序列号为c。假设收到报文序列号m并进行窗内、外判断,处理过程包括如下几种情况:
C1、如图1所示,接收报文序列号连续情况:
把数组看做循环队列,假设首尾相连,当此次接收到的报文序列号m是上次最大且验证成功报文序列号c的后续连续报文序号,即m=c+1,则设置数组下标为m%w的数组值为1。
C2、序列号落入窗内情况包括:
C2.1、如果c>w,c-w<m并且c>=m,则根据数组下标m%w的当前数组值决定丢弃报文或将数组值置为1。
如图2a所示,判断数组下标m%w的当前数组值,如当前数组值为1,则丢弃报文,此报文为重放报文。如图2b所示,如当前数组值为0,则将数组值置为1。
C2.2、当c-w>m,此报文序列号在有效窗口外,则丢弃报文。
C3、序列号非连续情况包括:
C3.1、如图3a所示,如果m>c,c%w-m%w=0,则设置数组下标c%w与m%w之间的数组值为0,即清空窗口向前滑动过的位置。此处,数组下标c%w的数组值也置为0。数组下标m%w的数组值不置为0。
C3.2、如图3b所示,如果m>c,c%w-m%w=1,则设置数组下标c%w至数组下标w与数组下标0至m%w之间的数组值为0。此处,数组下标c%w的数组值也置为0。数组下标m%w的数组值不置为0。
C3.2、如图3c所示,如果m>c,c%w-m%w>1,则设置整个数组的值为0。
进一步地,该方法用于网络安全服务器上的IPSec报文抗重放过程。
进一步地,数组位于内存空间中。
进一步地,报文序列号对窗口大小w取模作为数组下标a。
本发明利用循环队列与滑动窗口的概念结合,以及对IPpsec报文序列号取模运算,实现在有限的内存空间(循环队列的内存),在循环队列中无限循环(循环队列的特性)操作滑动窗口对报文抗重放处理的过程。
传统抗重放攻击功能实现方式存在位图内存空间频繁整体拷贝、修改的问题,导致接收的每一个数据包在过抗重攻击时,速率有所下降。本发明基于循环队列的滑动窗口与IPSec报文序列号的取模运算的操作,使用该技术可加速处理IPSec报文抗重放过程。
根据各个系统、处理器运行频率、内存资源的网络设备以及窗口大小的不同,本发明技术可显著提高对报文通过抗重放过程的速度。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种IPSec实现高效抗重放攻击的方法,其特征在于,该方法包括:
使用有限大小w的数组作为位图标记空间,位图标记值即数组值为1,则证明已经收到过相应报文序列号,标记值为0,则相应报文序列号未收到过;
IPSec报文序列号取模值作为数组下标a,窗口大小为w,当前最大并且正确验证成功的报文的序列号为c,假设收到报文序列号m并进行窗内、外判断,处理过程包括如下几种情况:
C1、接收报文序列号连续情况:把数组看做循环队列,假设首尾相连,当此次接收到的报文序列号m是上次最大且验证成功报文序列号c的后续连续报文序号,即m=c+1,则设置数组下标为m%w的数组值为1;
C2、序列号落入窗内情况包括:
C2.1、如果c>w,c-w<m并且c>=m,则根据数组下标m%w的当前数组值决定丢弃报文或将数组值置为1;
C2.2、当c-w>m,此报文序列号在有效窗口外,则丢弃报文;
C3、序列号非连续情况包括:
C3.1、如果m>c,c%w-m%w=0,则设置数组下标c%w与m%w之间的数组值为0,即清空窗口向前滑动过的位置;
C3.2、如果m>c,c%w-m%w=1,则设置数组下标c%w至数组下标w与数组下标0至m%w之间的数组值为0;
C3.3、如果m>c,c%w-m%w>1,则设置整个数组的值为0。
2.如权利要求1所述的IPSec实现高效抗重放攻击的方法,其特征在于,该方法用于网络安全服务器上的IPSec报文抗重放过程。
3.如权利要求1所述的IPSec实现高效抗重放攻击的方法,其特征在于,数组位于内存空间中。
4.如权利要求1所述的IPSec实现高效抗重放攻击的方法,其特征在于,报文序列号对窗口大小w取模作为数组下标a。
5.如权利要求1-4任一项所述的IPSec实现高效抗重放攻击的方法,其特征在于,所述C2.1中,判断数组下标m%w的当前数组值,如当前数组值为1,则丢弃报文,此报文为重放报文。
6.如权利要求5所述的IPSec实现高效抗重放攻击的方法,其特征在于,所述C2.1中,判断数组下标m%w的当前数组值,如当前数组值为0,则将数组值置为1。
7.如权利要求1-4任一项所述的IPSec实现高效抗重放攻击的方法,其特征在于,所述C3.1中,数组下标c%w的数组值也置为0。
8.如权利要求7所述的IPSec实现高效抗重放攻击的方法,其特征在于,所述C3.1中,数组下标m%w的数组值不置为0。
9.如权利要求1-4任一项所述的IPSec实现高效抗重放攻击的方法,其特征在于,所述C3.2中,数组下标c%w的数组值也置为0。
10.如权利要求9所述的IPSec实现高效抗重放攻击的方法,其特征在于,所述C3.2中,数组下标m%w的数组值不置为0。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310801726.4A CN116527231B (zh) | 2023-07-03 | 2023-07-03 | 一种IPSec实现高效抗重放攻击的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310801726.4A CN116527231B (zh) | 2023-07-03 | 2023-07-03 | 一种IPSec实现高效抗重放攻击的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116527231A CN116527231A (zh) | 2023-08-01 |
CN116527231B true CN116527231B (zh) | 2023-09-12 |
Family
ID=87390656
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310801726.4A Active CN116527231B (zh) | 2023-07-03 | 2023-07-03 | 一种IPSec实现高效抗重放攻击的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116527231B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101471784A (zh) * | 2007-12-29 | 2009-07-01 | 北京天融信网络安全技术有限公司 | 一种实现ipsec抗重放攻击的方法 |
US8646090B1 (en) * | 2007-10-03 | 2014-02-04 | Juniper Networks, Inc. | Heuristic IPSec anti-replay check |
CN108683606A (zh) * | 2018-05-11 | 2018-10-19 | 迈普通信技术股份有限公司 | IPsec防重放的方法、装置、网络设备及可读存储介质 |
-
2023
- 2023-07-03 CN CN202310801726.4A patent/CN116527231B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8646090B1 (en) * | 2007-10-03 | 2014-02-04 | Juniper Networks, Inc. | Heuristic IPSec anti-replay check |
CN101471784A (zh) * | 2007-12-29 | 2009-07-01 | 北京天融信网络安全技术有限公司 | 一种实现ipsec抗重放攻击的方法 |
CN108683606A (zh) * | 2018-05-11 | 2018-10-19 | 迈普通信技术股份有限公司 | IPsec防重放的方法、装置、网络设备及可读存储介质 |
Non-Patent Citations (1)
Title |
---|
一种IPsec 抗重放技术在VPN 隔离网关中的应用方法;吴亚铭等;《通信技术》;第51卷(第3期);第688-691页 * |
Also Published As
Publication number | Publication date |
---|---|
CN116527231A (zh) | 2023-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Leurent et al. | {SHA-1} is a shambles: First {Chosen-Prefix} collision on {SHA-1} and application to the {PGP} web of trust | |
KR100431231B1 (ko) | Tcp syn 플러딩 공격을 좌절시키기 위한 방법 및시스템 | |
Snoeren et al. | Single-packet IP traceback | |
US5958053A (en) | Communications protocol with improved security | |
Handley et al. | Network Intrusion Detection: Evasion, Traffic Normalization, and {End-to-End} Protocol Semantics | |
Snoeren et al. | Hash-based IP traceback | |
US8484361B1 (en) | Tuning of SSL session caches based on SSL session IDS | |
US7584352B2 (en) | Protection against denial of service attacks | |
US9130978B2 (en) | Systems and methods for detecting and preventing flooding attacks in a network environment | |
US7675854B2 (en) | System and method for an adaptive TCP SYN cookie with time validation | |
JP4271451B2 (ja) | インターネット鍵交換データパケットをフラグメント化および再組み立てするための方法および装置 | |
CN101147376A (zh) | 降低tcp洪泛攻击同时节省无线网络带宽的装置、方法和计算机程序产品 | |
US20100228867A1 (en) | Establishing a split-terminated communication connection through a stateful firewall, with network transparency | |
US7630364B2 (en) | Securely managing network element state information in transport-layer associations | |
CN102377524B (zh) | 分片处理的方法和系统 | |
US10129294B2 (en) | Method and device for categorizing a stream control transmission protocol (SCTP) receiver terminal as a malicious SCTP receiver terminal | |
US7139679B1 (en) | Method and apparatus for cryptographic protection from denial of service attacks | |
Thornburgh | Adobe's Secure Real-Time Media Flow Protocol | |
US20190020681A1 (en) | Method and system for processing forged tcp packet | |
Zuquete | Improving the functionality of SYN cookies | |
US7873997B2 (en) | Deterministic packet marking | |
Schepers et al. | Practical side-channel attacks against WPA-TKIP | |
EP1154610A2 (en) | Methods and system for defeating TCP Syn flooding attacks | |
CN116527231B (zh) | 一种IPSec实现高效抗重放攻击的方法 | |
Goldschmidt et al. | Defense against syn flood dos attacksˇ using network-based mitigation techniques |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |