WO2023093381A1

WO2023093381A1 - 报文防重放的方法和装置

Info

Publication number: WO2023093381A1
Application number: PCT/CN2022/126120
Authority: WO
Inventors: 贺奇; 陈小兰; 范斌; 郑佳
Original assignee: 华为技术有限公司
Priority date: 2021-11-26
Filing date: 2022-10-19
Publication date: 2023-06-01
Also published as: CN116192412A

Abstract

本申请实施例提供了一种报文防重放的方法和装置，该方法包括：第一设备接收互联网安全协议IPsec报文，该IPsec报文包括第一字段(承载第一信息的值)，根据第一映射关系从N个防重放窗口中确定第一防重放窗口，该第一映射关系包括N个防重放窗口与N个第一信息的值集合的对应关系，该第一防重放窗口用于处理该IPsec报文，该N个防重放窗口对应相同的IPsec安全联盟，N为大于或等于2的整数。通过本申请实施例的报文防重放的方法和装置，能够在同一IPsec安全联盟下，使得不同类型的报文在不同的防重放窗口进行处理，避免报文因为乱序触发序列号落在防重放窗口后沿之外而丢包。

Description

报文防重放的方法和装置

本申请要求于2021年11月26日提交中国国家知识产权局、申请号为202111421943.8、申请名称为“报文防重放的方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信领域，并且，更具体地，涉及报文防重放的方法和装置。

背景技术

互联网安全协议(internet protocolsecurity，IPsec)是国际互联网工程任务组(the Internet engineering task force，IETF)制定的三层隧道加密协议，它为互联网上传输的数据提供了安全保证。IPsec为通信双方提供了加密与数据源认证等安全服务，其中包括防重放(anti-replay)，即IPSec报文的接收端可检测并拒绝接收过时或重复的报文。

重放是指攻击者截取报文并进行复制后，将复制的报文发送给接收端，在不破解密文(加密后的报文)的前提下对接收端进行拒绝服务(denial ofservice，DoS)攻击，攻击者并不需要知道所重放信息的具体内容。IPSec协议提供的防重放服务，通过单调递增的序列号和“滑动”窗口机制来阻挡这种攻击。

每个IPsec安全联盟(security association，SA)维护独立的防重放窗口(对应上述“滑动”窗口)，在报文传输过程中，高优先级的报文被优先处理，当报文到达接收端时，高优先级报文的封装安全载荷(encapsulate security payload，ESP)/认证头(authentication header，AH)头部序列号(sequence number，SN)可能远大于后续低优先级报文的序列号，此时防重放窗口的前沿被拉动至高优先级的报文序列号处，导致在后续报文传输过程中，低优先级报文的序列号落在防重放窗口的后沿之外，即后续的这些低优先级报文被迫成为过时报文，被接收端拒收，造成丢包问题。

发明内容

本申请实施例提供一种报文防重放的方法和装置，能够在同一IPsec安全联盟下，使得不同类型的报文在不同的防重放窗口进行处理，避免报文因为乱序触发序列号落在防重放窗口后沿之外而丢包。

第一方面，提供了一种报文防重放的方法。该方法可以由第一设备执行，或者，也可以由配置在第一设备中的部件(如芯片或芯片系统等)执行。该方法包括：第一设备接收互联网安全协议IPsec报文，该IPsec报文包括第一字段，该第一字段承载第一信息的值，根据第一映射关系从N个防重放窗口中确定第一防重放窗口，该第一映射关系包括N个防重放窗口与N个第一信息的值集合的对应关系，该第一字段承载的第一信息的值属于该第一防重放窗口对应的第一信息的值集合，该第一防重放窗口用于处理该IPsec报文，该 N个防重放窗口对应相同的IPsec安全联盟，N为大于或等于2的整数。

基于上述方案，IPsec报文的接收端的一个IPsec安全联盟对应多个防重放窗口，从而IPsec报文的接收端可以根据IPsec报文中的第一字段确定该IPsec报文的优先级，并根据优先级选择对应的防重放窗口处理该IPsec报文，实现不同优先级的IPsec报文在不同的防重放窗口内处理，每个防重放窗口处理的报文为相同优先级，因此可以避免因乱序导致的丢包，同时也避免了按照RFC4301标准4.1章节提出的平行IPsec安全联盟方案产生的新增的IPsec安全联盟而引发增大系统资源消耗等成本增加问题。

结合第一方面，在第一方面的某些实现方式中，该第一信息包括差分服务代码点DSCP或者流标签。

结合第一方面，在第一方面的某些实现方式中，根据第一信息生成该N个防重放窗口。

相同IPsec安全联盟情况下，不同IPsec报文(IPsec报文包括ESP报文和AH报文)的DSCP值代表了不同优先级，基于本申请提供的方案，高优先级报文和低优先级报文可以在不同的防重放窗口内处理，可以避免低优先级报文丢包。

相同IPsec安全联盟情况下，不同IPsec报文的流标签值代表了不同的业务，不同的业务可能在传输过程中映射不同的服务质量，基于本申请提供的方案，对应不同服务质量的业务可以在不同的防重放窗口内独立处理，可以避免低优先级报文丢包。

结合第一方面，在第一方面的某些实现方式中，该N个防重放窗口为第一设备本地静态配置的。

结合第一方面，在第一方面的某些实现方式中，该N个防重放窗口为第一设备和第二设备根据第一信息协商生成的，具体包括：发送第一报文，该第一报文包括第一设备期望的第一信息的值集合，接收第二报文，该第二报文包括第二设备基于第一报文进行协商后的第一信息的值集合，根据该第二报文中的第一信息的值集合生成该N个防重放窗口。

结合第一方面，在第一方面的某些实现方式中，该第二报文包括流量选择器类型字段和扩展字段，当流量选择器类型字段取值为预定值时，解析该扩展字段，该扩展字段包括的扩展类型为第一信息的范围，该扩展字段还包括至少一个第一信息的起始值和至少一个第一信息的结束值，该至少一个第一信息的起始值和至少一个第一信息的结束值用于确定M个第一信息的值集合，M为大于或等于1的整数。

结合第一方面，在第一方面的某些实现方式中，第一报文，和/或第二报文为包括流量选择器载荷的因特网密钥交换报文。

结合第一方面，在第一方面的某些实现方式中，流量选择器类型字段包括：流量选择器互联网协议版本IPv6地址范围和扩展的流量选择器IPv6地址范围，或，流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围。

基于上述方案，本申请在现有流量选择器IPv4或IPv6地址范围字段基础上新增了扩展的流量选择器IPv4或IPv6地址范围，可兼容支持协商生成多个防重放窗口的设备和不支持协商生成多个防重放窗口的设备，当支持协商生成多个防重放窗口的设备发送第一报文时，可以在流量选择器载荷中放置相同地址范围的流量选择器IPv4地址范围字段和扩展的流量选择器IPv4地址范围字段，或者在流量选择器载荷中放置相同地址范围的流量选择器IPv6地址范围字段和扩展的流量选择器IPv6地址范围字段。当支持协商生成多个防重放窗口的设备接收到第二报文后，确定第二报文中的流量选择器载荷中的流量选择器类型字段为相同地址范围的流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围，或者相同地址范围的流量选择器IPv6和扩展的流量选择器IPv6地址范围时，可仅解析扩展的流量选择器IPv4/IPv6地址范围。当不支持协商生成多个防重放窗口的设备接收到第二报文后，不能识别扩展的流量选择器IPv4/IPv6地址范围字段，因此只解析流量选择器IPv4/IPv6地址范围字段。

第二方面，提供了一种报文防重放的方法。该方法可以由第二设备执行，或者，也可以由配置在第二设备中的部件(如芯片或芯片系统等)执行。该方法包括：第二设备发送互联网安全协议IPsec报文，该IPsec报文包括第一字段，该第一字段承载第一信息的值，该第一字段用于从N个防重放窗口中确定第一防重放窗口，该第一字段承载的第一信息的值属于该第一防重放窗口对应的第一信息的值集合，该第一防重放窗口用于处理该IPsec报文，该N个防重放窗口对应相同的IPsec安全联盟，N为大于或等于2的整数。

结合第二方面，在第二方面的某些实现方式中，该第一信息包括差分服务代码点DSCP或者流标签。

相同IPsec安全联盟情况下，不同IPsec报文的DSCP值代表了不同优先级，基于本申请提供的方案，高优先级报文和低优先级报文可以在不同的防重放窗口内处理，可以避免低优先级报文丢包。

结合第二方面，在第二方面的某些实现方式中，接收第一报文，该第一报文包括第一设备期望的第一信息的值集合，发送第二报文，该第二报文包括第二设备基于第一报文进行协商后的第一信息的值集合，该第二报文中的第一信息的值集合用于生成该N个防重放窗口。

结合第二方面，在第二方面的某些实现方式中，该第一报文包括流量选择器类型字段和扩展字段，当流量选择器类型字段取值为预定值时，解析该扩展字段，该扩展字段包括的扩展类型为第一信息的范围，该扩展字段还包括至少一个第一信息的起始值和至少一个第一信息的结束值。

结合第二方面，在第二方面的某些实现方式中，第一报文，和/或第二报文为包括流量选择器载荷的因特网密钥交换报文。

结合第二方面，在第二方面的某些实现方式中，该流量选择器类型字段包括：流量选择器互联网协议版本IPv6地址范围和扩展的流量选择器IPv6地址范围，或，流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围。

基于上述方案，本申请在现有流量选择器IPv4或IPv6地址范围字段基础上新增了扩展的流量选择器IPv4或IPv6地址范围，可兼容支持协商生成多个防重放窗口的设备和不支持协商生成多个防重放窗口的设备，当支持协商生成多个防重放窗口的设备接收到第一报文后，确定第一报文中的流量选择器载荷中的流量选择器类型字段为相同地址范围的流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围，或者相同地址范围的流量选择器IPv6地址范围和扩展的流量选择器IPv6地址范围，此时可仅解析扩展的流量选择器IPv4/IPv6地址范围。当不支持协商生成多个防重放窗口的设备接收到第一报文后，不能识别扩展的流量选择器IPv4/IPv6地址范围字段，因此只解析流量选择器IPv4/IPv6地址范围字段。

第三方面，提供了一种报文防重放的装置。该装置可以是第一设备，或者，也可以是配置在第一设备中的部件(如芯片或芯片系统等)。该装置包括：收发单元，用于接收互联网安全协议IPsec报文，该IPsec报文包括第一字段，该第一字段承载第一信息的值，处理单元，用于根据该第一字段从N个防重放窗口中确定第一防重放窗口，该第一映射关系包括N个防重放窗口与N个第一信息的值集合的对应关系，该第一字段承载的第一信息的值属于该第一防重放窗口对应的第一信息的值集合，该第一防重放窗口用于处理该IPsec报文，该N个防重放窗口对应相同的IPsec安全联盟，N为大于或等于2的整数。

结合第三方面，在第三方面的某些实现方式中，该第一信息包括差分服务代码点DSCP或者流标签。

结合第三方面，在第三方面的某些实现方式中，该处理单元，还用于根据第一信息生成该N个防重放窗口。

结合第三方面，在第三方面的某些实现方式中，该N个防重放窗口为本地静态配置的。

结合第三方面，在第三方面的某些实现方式中，该N个防重放窗口为第一设备和第二设备根据第一信息的值协商生成的，该收发单元，还用于发送第一报文，该第一报文包括第一设备期望的第一信息的值集合，该收发单元，还用于接收第二报文，该第二报文包括第二设备基于第一报文进行协商后的第一信息值集合，该处理单元，还用于根据该第二报文中的第一信息的值集合生成该N个防重放窗口。

结合第三方面，在第三方面的某些实现方式中，该第二报文包括流量选择器类型字段和扩展字段，当流量选择器类型字段取值为预定值时，该处理单元，还用于解析该扩展字段，该扩展字段包括的扩展类型为第一信息的范围，该扩展字段还包括至少一个第一信息的起始值和至少一个第一信息的结束值，该至少一个DSCP起始值和至少一个第一信息的结束值用于确定M个第一信息的值集合，M为大于或等于1的整数。

结合第三方面，在第三方面的某些实现方式中，第一报文，和/或第二报文为包括流量选择器载荷的因特网密钥交换报文。

结合第三方面，在第三方面的某些实现方式中，流量选择器类型字段包括：流量选择器互联网协议版本IPv6地址范围和扩展的流量选择器IPv6地址范围，或，流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围。

第四方面，提供了一种报文防重放的装置。该装置可以是第二设备，或者，也可以是配置在第二设备中的部件(如芯片或芯片系统等)。该装置包括：收发单元和处理单元，该收发单元用于发送互联网安全协议IPsec报文，该IPsec报文包括第一字段，该第一字段承载第一信息的值，该第一字段用于从N个防重放窗口中确定第一防重放窗口，该第一字段承载的第一信息的值属于该第一防重放窗口对应的第一信息的值集合，该第一防重放窗口用于处理该IPsec报文，该N个防重放窗口对应相同的IPsec安全联盟，N为大于或等于2的整数。

结合第四方面，在第四方面的某些实现方式中，该第一信息包括差分服务代码点DSCP或者流标签。

结合第四方面，在第四方面的某些实现方式中，该收发单元，还用于接收第一报文，该第一报文包括第一设备期望的第一信息的值集合，发送第二报文，该第二报文包括第二设备基于第一报文进行协商后的第一信息的值集合，该第二报文中的第一信息的值集合用于生成该N个防重放窗口。

结合第四方面，在第四方面的某些实现方式中，该第一报文包括流量选择器类型字段和扩展字段，当流量选择器类型字段取值为预定值时，该处理单元，用于解析该扩展字段，该扩展字段包括的扩展类型为第一信息的范围，该扩展字段还包括至少一个第一信息的起始值和至少一个第一信息的结束值。

结合第四方面，在第四方面的某些实现方式中，第一报文，和/或第二报文为包括流量选择器载荷的因特网密钥交换报文。

结合第四方面，在第四方面的某些实现方式中，该流量选择器类型字段包括：流量选择器互联网协议版本IPv6地址范围和扩展的流量选择器IPv6地址范围，或，流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围。

第五方面，提供一种通信装置，该装置包括处理器，该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第一方面或，第一方面中任一种可能实现方式中的方法。可选地，该装置还包括存储器，该存储器与处理器可能是分离部署的，也可能是集中部署的。可选地，该装置还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该装置为第一设备中的部件，该装置为芯片时，该通信接口可以是该芯片或芯片系统上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。该处理器也可以体现为处理电路或逻辑电路。

可选地，该收发器可以为收发电路。可选地，所述输入/输出接口可以为输入/输出电路。

在具体实现过程中，上述处理器可以为一个或多个芯片，输入电路可以为输入管脚，输出电路可以为输出管脚，处理电路可以为晶体管、门电路、触发器和各种逻辑电路等。输入电路所接收的输入的信号可以是但不限于接收器接收并输入的，输出电路所输出的信号可以是但不限于输出给发射器并由发射器发射的，且输入电路和输出电路可以是同一电路，该电路在不同的时刻分别用作输入电路和输出电路。本申请实施例对处理器及各种电路的具体实现方式不做限定。

第六方面，提供一种通信装置，该装置包括处理器，该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第二方面，或第二方面中任一种可能实现方式中的方法。可选地，该装置还包括存储器，该存储器与处理器可能是分离部署的，也可能是集中部署的。可选地，该装置还包括通信接口，处理器与通信接口耦合。

在另一种实现方式中，该装置为第二设备中的部件，该装置为芯片时，该通信接口可以是该芯片或芯片系统上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。该处理器也可以体现为处理电路或逻辑电路。

第七方面，提供一种通信装置，该装置包括逻辑电路，该逻辑电路用于与输入/输出接口耦合，通过该输入/输出接口传输数据，以执行上述第一方面至第二方面中的任一方面，以及第一方面至第二方面中任一种可能实现方式中的方法。

第八方面，提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序(也可以称为代码，或指令)当其在计算机上运行时，使得计算机执行上述第一方面至第二方面中的任一方面，以及第一方面至第二方面中任一种可能实现方式中的方法。

第九方面，提供了一种计算机程序产品，该计算机程序产品包括：计算机程序(也可以称为代码，或指令)，当该计算机程序被运行时，使得计算机执行上述第一方面至第二方面中的任一方面，以及第一方面至第二方面中任一种可能实现方式中的方法。

上述第五方面至第九方面带来的有益效果具体可以参考第一方面至第二方面中有益效果的描述，此处不再赘述。

附图说明

图1是适用于本申请实施例的通信系统100的示意图。

图2是本申请实施例提供的一种报文防重放的方法的流程示意图。

图3是本申请实施例提供的一种协商多个防重放窗口的流程示意图。

图4是本申请实施例提供的流量选择器载荷的格式示意图。

图5是本申请实施例提供的另一种协商多个防重放窗口的流程示意图。

图6是本申请实施例提供的一种通信装置的示意性框图。

图7是本申请实施例提供的另一种通信装置的示意性框图。

图8是本申请实施例提供的一种通信装置的结构示意图。

图9是本申请实施例提供的另一种处通信装置的结构示意图。

图10是本申请实施例提供的又一种通信装置的结构示意图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行描述。

图1是适用于本申请实施例的通信系统100的示意图。

如图1所示，该通信系统100可以包括第一设备，例如，图1所示的第一设备110或120。该通信系统100还可以包括第二设备，例如，图1所示的第二设备130。第一设备与第二设备之间，第一设备与第一设备之间可以建立连接进行通信，发送数据报文。例如，第一设备120与第二设备130之间传输数据报文，或第一设备110与第二设备130之间传输数据报文时，该数据报文需进行IPsec加密。第一设备和第二设备可以是支持因特网密钥交换(internet key exchange，IKE或IKEv2)/IPsec的任何终端、基站、主机、交换机、路由器、安全网关等节点。本申请实施例提供的方法可应用于第一设备和第二设备之间的数据报文传输，但本申请对此不做限制，任何在传输数据报文的过程中涉及IPsec加密的发送端或者接收端都在本申请保护范围内。

本申请实施例的技术方案可以应用于各种通信系统，例如：全球移动通信(global system formobile communications，GSM)系统、码分多址(code division multiple access，CDMA)系统、宽带码分多址(wideband code division multiple access，WCDMA)系统、通用分组无线业务(general packet radio service，GPRS)、LTE系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动通信系统(universal mobile telecommunication system，UMTS)、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)系统或未来演进的通信系统，车到其它设备(vehicle-to-X V2X)，其中V2X可以包括车到互联网(vehicle to network，V2N)、车到车(vehicle to vehicle，V2V)、车到基础设施(vehicle to infrastructure，V2I)、车到行人(vehicle to pedestrian，V2P)等、车间通信长期演进技术(long term evolution-vehicle，LTE-V)、车联网、机器类通信(machine type communication，MTC)、物联网(Internet of things，IoT)、机器间通信长期演进技术(long term evolution-machine，LTE-M)，机器到机器(machine to machine，M2M)，设备到设备(deviceto device，D2D)等。

本申请实施例中基站包括但不限于：演进型节点B(evolved Node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved nodeB，或Home Node B，HNB)、基带单元(base band unit，BBU)，无线保真(wireless fidelity，WIFI)系统中的接入点(access point，AP)、无线中继节点、无线回传节点、传输点(transmission point，TP)或者发送接收点(transmission and reception point，TRP)等，还可以为5G，如，NR，系统中的gNB，或，传输点(TRP或TP)，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)等。

在一些部署中，gNB可以包括集中式单元(centralized unit，CU)和DU。gNB还可以包括有源天线单元(active antenna unit，简称AAU)。CU实现gNB的部分功能，DU 实现gNB的部分功能。比如，CU负责处理非实时协议和服务，实现无线资源控制(radio resource control，RRC)，分组数据汇聚层协议(packet data convergence protocol，PDCP)层的功能。DU负责处理物理层协议和实时服务，实现无线链路控制(radio link control，RLC)层、媒体接入控制(media access control，MAC)层和物理(physical，PHY)层的功能。AAU实现部分物理层处理功能、射频处理及有源天线的相关功能。由于RRC层的信息最终会变成PHY层的信息，或者，由PHY层的信息转变而来，因而，在这种架构下，高层信令，如RRC层信令，也可以认为是由DU发送的，或者，由DU+AAU发送的。可以理解的是，网络设备可以为包括CU节点、DU节点、AAU节点中一项或多项的设备。此外，可以将CU划分为接入网(radio access network，RAN)中的网络设备，也可以将CU划分为核心网(core network，CN)中的网络设备，本申请对此不做限定。

IPsec主要由以下协议组成：

一、认证头(AH)，为IP数据报文提供无连接数据完整性、消息认证以及防重放攻击保护；

二、封装安全载荷(ESP)，提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性；

三、IPsec安全联盟(SA)，提供算法和数据包，提供AH、ESP操作所需的参数。

因特网密钥交换(internet key exchange，IKE或IKEv2)是一种网上协议，归属于IPsec协议族之下，用以创建IPsec安全联盟。

在一种实施方式中，IPSec报文的发送端，在每个IPSec报文(IPSec报文包括ESP报文和AH报文)头部包括一个序列号字段，当创建一个新的IPSec安全联盟时，序列号计数器便会初始化为0，每当在这一IPSec安全联盟上发送一个数据报文，序列号计数器的值加1并将序列号字段的值设置成计数器的值。计数器的值单调递增，当计数器的值接近2 ³²时，应建立一个新的IPSec安全联盟，此时序列号的长度是32位。或者，使用扩展的序列(extended sequence)时，序列号的长度也可以是64位，当序列号的长度为64位时，计数器的值接近2 ⁶⁴时应建立一个新的IPSec安全联盟，应理解，未来序列号的长度还可以是128或256位，本申请对此不做限制。

在IPSec报文的接收端建立防重放窗口，防重放窗口的宽度为W，假设W为64，则表示防重放窗口的宽度是64个连续的报文。窗口前沿对应于窗口起始位置IPSec报文的序列号P，而窗口后沿对应于可接收的IPSec报文的最低序列号P-W+1。每收到一个IPSec报文，接收端按如下原则进行处理：

1、如果收到的IPSec报文的序列号落在防重放窗口之内，并且先前没有接收过，则接收该报文并标记该报文为已接收；若先前接收过，则该报文是重放报文，丢弃该报文。

2、如果收到的IPSec报文的序列号落在防重放窗口的后沿之外，即序列号小于P-W+1，说明该报文是过期报文，则丢弃该报文。

3、如果收到的IPSec报文的序列号落在防重放窗口的前沿之外，即序列号大于P，则向前移动防重放窗口，使防重放窗口的前沿刚好包含该报文的序列号。

在基站的安全回传场景中，即基站与服务网关(serving gateway，S-GW)之间传输数据报文时，S1数据平面链路映射一个IPSec安全联盟，一个IPSec安全联盟维护一个防重放窗口。S1数据平面链路中，GTPECHOREQUEST报文和GTP ECHO REPLY报文是高优先级报文，大流量的普通数据报文是低优先级报文，当GTP ECHO报文因为高优先级而提前到达基站，且序列号远高于后续的普通数据报文，则会将防重放窗口向前沿方向拉动至GTP ECHO报文序列号处，使得普通数据对应的IPsec报文落在防重放窗口的后沿之外，成为过时报文，被接收端丢弃。

鉴于上述问题，一种可能的实施方式，可以在接收端关闭防重放特性，牺牲安全等级来保障业务。但是防重放是IPsec的基本安全特性，如果关闭了防重放特性，系统将无法抵抗重放攻击，安全问题无法解决。

另一种可能的实施方式，发送端和接收端之间维护多个IPsec安全联盟，该方案在RFC4301标准4.1章节描述，即针对相同的流量选择器(traffic selector，TS)，基于差分服务代码点(differentiated services code point，DSCP)产生多条IPsec安全联盟，每条IPsec安全联盟维护一个防重放窗口且针对一个/一段DSCP值，在解决安全问题的同时，增加了系统的消耗。

鉴于此，本申请实施例提供一种报文防重放的方法和装置，能够在同一IPsec安全联盟下，使得不同优先级的报文在不同的防重放窗口内独立处理，避免报文因乱序触发序列号落在防重放窗口后沿之外而丢包，相较于维护多个IPsec安全联盟的方案而言，本申请实施例提供的方案能够节约成本。

图2是本申请实施例提供的一种报文防重放的方法的流程示意图。图2所示的方法200包括：

步骤S210，第二设备向第一设备发送IPsec报文，该IPsec报文包括第一字段，该第一字段承载第一信息的值。对应的，第一设备接收该IPsec报文。

可选地，第一字段包括DSCP字段或者流标签字段，即第一信息为DSCP或流标签。

示例地，对于互联网协议版本6(internet protocolversion 6，IPv6)报文而言，该报文的IP头中包括流标签(flowlabel，FL)字段和DSCP字段，对于IPv4报文而言，该报文的IP头中只包括DSCP字段。

步骤S220，第一设备根据第一映射关系从N个防重放窗口中确定第一防重放窗口，该第一映射关系包括N个防重放窗口与N个第一信息的值集合的对应关系，该第一字段承载的第一信息的值属于该第一防重放窗口对应的第一信息的值集合，该第一防重放窗口用于处理该IPsec报文，该N个防重放窗口对应相同的IPsec安全联盟，N为大于或等于2的整数。

第一设备端，一个IPsec安全联盟对应多个防重放窗口，且多个防重放窗口与多个第一信息的值集合之间存在第一映射关系，第一映射关系可以是一个防重放窗口对应一个第一信息的值集合，或者一个防重放窗口对应多个第一信息的值集合，或者多个防重放窗口对应一个第一信息的值集合。

示例地，不同的防重放窗口可对应不同的DSCP值或流标签值，第一设备可根据IPsec报文的IP头中的DSCP值或流标签值从多个防重放窗口中确定，与该DSCP值或流标签值对应的防重放窗口处理该IPsec报文。

示例地，第一设备端，一个IPsec安全联盟对应3个防重放窗口，分别是对应于DSCP值集合为[32，47]，[48，48]，和其他值的防重放窗口#1，防重放窗口#2，防重放窗口#3，其中，防重放窗口#1处理IP头中的DSCP值为32-47的报文，防重放窗口#2处理IP头中的DSCP值为48的报文，防重放窗口#3处理IP头中的DSCP值为32-48之外的其他值的报文。

应理解，本申请的值集合可以是连续的值区间，例如值集合[32，47]，也可以是不连续的值的集合，例如值集合为32-48之外的其他值，本申请对此不做限制。

假设第一设备接收到IPv4报文，该报文的IP头中的DSCP值为48，则在防重放窗口#2中处理该IPv4报文。假设第一设备接收到IPv4报文，该报文的IP头中的DSCP值为50，则在防重放窗口#3中处理该IPv4报文。

应理解，每建立一个新的IPsec安全联盟，序列号计数器便会初始化为0，每当在这一IPsec安全联盟上发送一个数据报文，序列号计数器的值加1并将序列号字段的值设置成计数器的值。计数器的值单调递增，当接近最大值时，应建立一个新的IPsec安全联盟，也就是触发更新密钥(rekey)。上述举例是计数器的值接近最大值时，触发rekey流程，当然，还可通过其他方式触发rekey流程，例如从建立一个新的IPsec安全联盟开始，开启计时器，当计时器接近协商时间后，触发rekey流程。当触发rekey流程后，序列号计数器初始化为0，每发一个报文，序列号计数器的值加1，IPsec安全联盟上发送的第一个报文的序列号是1。应理解，在此过程中，防重放窗口也会重置，因在处理报文的过程中，N个防重放窗口会随着处理进程滑动，因此触发rekey流程后需要将N个防重放窗口重置。

可选地，第一设备在收到IPsec报文前，根据DSCP值或流标签值生成N个防重放窗口。

应理解，第一设备还可以根据其他用于表示优先级的值生成N个防重放窗口，本申请对此不做限制。

一种可能的实施方式，第一设备在本地静态配置N个防重放窗口。

应理解，本地手动静态配置(静态配置是指不通过与第二设备协商，可以直接在本地配置)N个防重放窗口时，可任意配置同一个IPsec安全联盟对应的防重放窗口与DSCP值(或流标签值)的对应关系，以DSCP值举例，第一设备在本地静态配置3个防重放窗口，防重放窗口#1对应的DSCP值为[46]，防重放窗口#2对应的DSCP值为[48]，防重放窗口#3对应的DSCP值为除46和48之外的其他值。

一种可能的实施方式，第一设备与第二设备协商生成N个防重放窗口。

图3是本申请实施例提供的一种通过DSCP值协商多个防重放窗口的流程示意图。图3示出的方法300包括：

步骤S310，第一设备向第二设备发送第一报文，该第一报文包括第一设备期望的第一信息的值集合，第一信息为DSCP。对应的，第二设备接收该第一报文。

可选地，第一报文包括流量选择器载荷，流量选择器载荷包括流量选择器类型字段和扩展字段，当流量选择器类型字段取值为预定值时，第二设备解析扩展字段，扩展字段包括的扩展类型为DSCP范围，该扩展字段还包括至少一个DSCP起始值和至少一个DSCP结束值。

可选地，第一报文包括第一设备期望的DSCP值集合信息。

应理解，流量选择器载荷包括1个或多个个体(individual)流量选择器载荷，个体流量选择器载荷的格式如图4所示，现有定义的流量选择器类型(TS Type)字段：流量选择器IPv4地址范围(TS_IPV4_ADDR_RANGE)取值为7，流量选择器IPv6地址范围 (TS_IPV6_ADDR_RANGE)取值为8。

本申请对流量选择器类型字段进行扩展，例如，流量选择器类型字段扩展为：扩展的流量选择器IPv4地址范围(TS_EXT_IPV4_ADDR_RANGE)取值为X，现有协议中定义了流量选择器类型字段值0-9(其中0-6保留值，7-9为已定义)，因此，X可以取10-255中任意值。

当流量选择器类型字段取值为预定值，即流量选择器类型字段取值为X时，第二设备解析扩展字段，如图4所示，扩展字段包括扩展类型(extension type)，扩展长度(extension length)，起始值(start value)，结束值(end value)。其中扩展类型可以是DSCP范围，扩展长度为DSCP长度，起始值为DSCP起始值，结束值为DSCP结束值。

示例地，扩展类型的长度为1个字节，取值范围为0-255，表示扩展类型有256种，其中一种扩展类型可以为INDEP_ANTIREPLAY_DSCP_RANGE，扩展类型可以取0-255中的任意值，本申请对此不做限制；扩展长度的长度为1个字节，取值范围为0-255；起始值的长度和取值范围不等，根据扩展类型而定，例如扩展类型为INDEP_ANTIREPLAY_DSCP_RANGE时，长度为1个字节，取值范围为0-63，高位2比特固定为全0；结束值的长度和取值范围不等，根据扩展类型而定，例如扩展类型为INDEP_ANTIREPLAY_DSCP_RANGE时，长度为1个字节，取值范围为0-63，高位2比特为全0，并且结束值应当大于或等于起始值。

应理解，上述流量选择器类型扩展字段的名称，以及扩展类型字段的名称仅为示例，本申请对此不做限制。

步骤S320，第二设备向第一设备发送第二报文，该第二报文包括第二设备基于第一报文进行协商后的DSCP值集合。对应的，第一设备接收该第二报文。

示例地，第一报文包括第一设备期望的DSCP值集合信息，第二报文包括第二设备基于第一报文中的DSCP值集合信息进行协商后的DSCP值集合。

可选地，第二报文包括流量选择器类型字段和扩展字段，当流量选择器类型字段取值为预定值时，第一设备解析扩展字段，扩展字段包括的扩展类型为DSCP范围，扩展字段还包括至少一个DSCP起始值和至少一个DSCP结束值，所述至少一个DSCP起始值和至少一个DSCP结束值用于确定M个DSCP值集合，M为大于或等于1的整数。

示例地，扩展字段中的DSCP起始值和DSCP结束值可以确定2个DSCP值集合，第一设备可根据该2个DSCP值集合生成3个防重放窗口，或者生成2个防重放窗口，或者生成1个防重放窗口，也就是说上述M可以小于，或等于，或大于N，本申请对此不做限制。

应理解，预定值同步骤S310中所述，在此不做赘述。

步骤S330，第一设备根据第二报文中的DSCP值集合生成N个防重放窗口。

可选地，第一报文，和/或第二报文为包括流量选择器载荷的因特网密钥交换(internet key exchange，IKE)报文。

示例地，第一报文，和/或第二报文为IKE_AUTH或CREATE_CHILD_SA报文。

应理解，第一报文，和/或第二报文还可以是其他包括流量选择器载荷的报文，本申请对此不做任何限制。

可选地，流量选择器类型字段包括：流量选择器IPv4地址范围和扩展的流量选择器 IPv4地址范围，或流量选择器IPv6地址范围和扩展的流量选择器IPv6地址范围。

当第一/二报文中的流量选择器类型字段同时包括流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围时，或同时包括流量选择器IPv6地址范围和扩展的流量选择器IPv6地址范围时，可兼容支持协商生成多个防重放窗口的设备和不支持协商生成多个防重放窗口的设备，当支持协商生成多个防重放窗口的设备接收到第一/二报文后，确定第一/二报文中的流量选择器载荷中的流量选择器类型字段为相同地址范围的流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围，或者相同地址范围的流量选择器IPv6和扩展的流量选择器IPv6地址范围时，可仅解析扩展的流量选择器IPv4/IPv6地址范围。当不支持协商生成多个防重放窗口的设备接收到第一/二报文后，不能识别扩展的流量选择器IPv4/IPv6地址范围字段，因此只解析流量选择器IPv4/IPv6地址范围字段。

图5是本申请实施例提供的一种通过流标签值协商多个防重放窗口的流程示意图。图5示出的方法400包括：

步骤S410，第一设备向第二设备发送第三报文，该第三报文包括第一设备期望的第一信息的值集合，第一信息为流标签。对应的，第二设备接收该第三报文。

可选地，第三报文包括第一设备期望的流标签值集合信息。

可选地，第三报文包括流量选择器载荷，流量选择器载荷包括流量选择器类型字段和扩展字段，当流量选择器类型字段取值为预定值时，第二设备解析扩展字段，扩展字段包括的扩展类型为流标签范围，该扩展字段还包括至少一个流标签起始值和至少一个流标签结束值。

应理解，流量选择器载荷包括1个或多个个体(individual)流量选择器载荷，个体流量选择器载荷的格式与图4类似，现有定义的流量选择器类型(TS Type)字段：流量选择器IPv4地址范围(TS_IPV4_ADDR_RANGE)取值为7，流量选择器IPv6地址范围(TS_IPV6_ADDR_RANGE)取值为8。

本申请对流量选择器类型字段进行扩展，例如，流量选择器类型字段扩展为：扩展的流量选择器IPv6地址范围(TS_EXT_IPV6_ADDR_RANGE)取值为Y，现有协议中定义了流量选择器类型字段值0-9(其中0-6保留值，7-9为已定义)，因此，Y可以取10-255中任意值，且Y和上述X取不同值。

当流量选择器类型字段取值为预定值，即流量选择器类型字段取值为Y时，第二设备解析扩展字段，与图4类似，扩展字段包括扩展类型(extension type)，扩展长度(extension length)，起始值(start value)，结束值(end value)。其中扩展类型可以是流标签范围，扩展长度为流标签长度，起始值为流标签起始值，结束值为流标签结束值。

示例地，扩展类型的长度为1个字节，取值范围为0-255，表示扩展类型有256种，其中一种扩展类型可以为INDEP_ANTIREPLAY_FLOWLABEL_RANGE，扩展类型可以取0-255中的任意值，本申请对此不做限制；扩展长度的长度为1个字节，取值范围为0-255；起始值的长度和取值范围不等，根据扩展类型而定，例如扩展类型为INDEPENDENT_ANTIREPLAY_FLOWLABEL_RANGE时，长度为2.5个字节，取值范围为0-(2 ²⁰-1)；结束值的长度和取值范围不等，根据扩展类型而定，例如扩展类型为INDEPENDENT_ANTIREPLAY_FLOWLABEL_RANGE时，长度为2.5个字节，取值范围为0-(2 ²⁰-1)，并且结束值应当大于或等于起始值。

应注意，图4示例的是基于DSCP协商的报文中的个体流量选择器载荷的格式，对于基于流标签协商的报文而言，其中个体流量选择器载荷的格式与图4类似，但起始值和结束值所占字节为2.5，与图4不同。

步骤S420，第二设备向第一设备发送第四报文，该第四报文包括第二设备基于第三报文进行协商后的确定流标签值集合。对应的，第一设备接收该第四报文。

示例地，第三报文包括第一设备期望的流标签值集合信息，第二报文包括第二设备基于第三报文中的流标签值集合信息进行协商后的流标签值集合。

可选地，第四报文包括流量选择器类型字段和扩展字段，当流量选择器类型字段取值为预定值时，第一设备解析扩展字段，该扩展字段包括的扩展类型为流标签范围，该扩展字段还包括至少一个流标签起始值和至少一个流标签结束值，所述至少一个流标签起始值和至少一个流标签结束值用于确定M个流标签值集合，M为大于或等于1的整数。

示例地，扩展字段中的流标签起始值和流标签结束值可以确定2个流标签值集合，第一设备可根据该2个流标签值集合生成3个防重放窗口，或者生成2个防重放窗口，或者生成1个防重放窗口，也就是说上述M可以小于，或等于，或大于N，本申请对此不做限制。

应理解，预定值同步骤S410中所述，在此不做赘述。

步骤S430，第一设备根据第四报文中的流标签值集合生成N个防重放窗口。

可选地，第三报文，和/或第四报文为包括流量选择器载荷的IKE报文。

示例地，第三报文，和/或第四报文为IKE_AUTH或CREATE_CHILD_SA报文。

应理解，第三报文，和/或第四报文还可以是其他包括流量选择器载荷的报文，本申请对此不做任何限制。

可选地，流量选择器类型字段包括：流量选择器IPv6地址范围和扩展的流量选择器IPv6地址范围。

当第三/四报文中的流量选择器类型字段同时包括流量选择器IPv6地址范围和扩展的流量选择器IPv6地址范围时，可兼容支持协商生成多个防重放窗口的设备和不支持协商生成多个防重放窗口的设备，当支持协商生成多个防重放窗口的设备接收到第三/四报文后，确定第三/四报文中的流量选择器载荷中的流量选择器类型字段为相同地址范围的流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围，或者相同地址范围的流量选择器IPv6和扩展的流量选择器IPv6地址范围时，可仅解析扩展的流量选择器IPv4/IPv6地址范围。当不支持协商生成多个防重放窗口的设备接收到第三/四报文后，不能识别扩展的流量选择器IPv4/IPv6地址范围字段，因此只解析流量选择器IPv4/IPv6地址范围字段。

下面通过具体场景的示例介绍如何通过DSCP协商确定多个防重放窗口。

场景1：第一设备端配置为允许基于DSCP生成多个防重放窗口，且第一设备端配置了多个DSCP值，第二设备端配置为允许基于DSCP生成多个防重放窗口，且第二设备端配置的DSCP值为ANY(即DSCP值为0-63中的任意值)。

IKE消息交互过程和防重放窗口生成过程如下：

第一设备向第二设备发送的第一报文中携带的流量选择器载荷中包括扩展字段，其中，流量选择器类型为TS_EXT_IPV6_ADDR_RANGE(在流量选择器载荷示例中以EXT_IPV6表示，后文出现的流量选择器载荷示例的也是以EXT_IPV6表示，不再赘述)，流量选择器长度为56，扩展类型为INDEP_ANTIREPLAY_DSCP_RANGE(在流量选择器载荷示例中以DSCP_RANGE表示，后文出现的流量选择器载荷示例的也是以DSCP_RANGE表示，不再赘述)，扩展长度为8，DSCP区间为[32，47]和[48，63]。

具体的流量选择器载荷示例如下：

TSi载荷：

TS_Type＝EXT_IPv6、TS_Len＝56、Str_Addr＝1::0、End Addr＝1::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝32、End Val＝47

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝48、End Val＝63

TSr载荷：

TS_Type＝EXT_IPv6、TS_Len＝56、Str_Addr＝2::0、End Addr＝2::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝32、End Val＝47

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝48、End Val＝63

应理解，在IKE报文交互过程中，先发起报文的一端叫做initiator，响应端叫做responder，因此initiator发出的流量选择器叫做TSi(traffic selector–initiator)，responder发出的流量选择器叫做TSr(traffic selector–responder)。

第二设备响应的第二报文中携带的流量选择器载荷中包括扩展字段，其中，流量选择器类型为TS_IPV6_ADDR_RANGE，流量选择器长度为56，扩展类型为INDEP_ANTIREPLAY_DSCP_RANGE，扩展长度为8，DSCP区间为[32，47]和[48，63]

具体的流量选择器载荷示例如下：

TSi载荷：

TS_Type＝EXT_IPv6、TS_Len＝56、Str_Addr＝1::0、End Addr＝1::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝32、End Val＝47

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝48、End Val＝63

TSr载荷：

TS_Type＝EXT_IPv6、TS_Len＝56、Str_Addr＝2::0、End Addr＝2::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝32、End Val＝47

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝48、End Val＝63

通过第一报文和第二报文后，第一设备和第二设备协商的DSCP区间为[32，47]，[48，63]和其他，则第一设备和第二设备可根据上述区间生成3个防重放窗口，例如防重放窗口#1对应的DSCP值为32-47，防重放窗口#2对应的DSCP值为48-63，防重放窗口#3对应的DSCP值为除[32，47]和[48，63]之外的其他值。

至此，IPsec安全联盟协商完毕，该安全联盟的IPsec报文在接收方向被该IPsec报文中的DSCP值对应的防重放窗口处理。

场景2：第一设备端配置为允许基于DSCP生成多个防重放窗口，且第一设备端配置的DSCP值为ANY(即DSCP值为0-63中的任意值)，第二设备配置为允许基于DSCP生成多个防重放窗口，且第二设备端配置了多个DSCP值。

IKE消息交互过程和防重放窗口生成过程如下：

第一设备向第二设备发送的第一报文中携带的流量选择器载荷中包括扩展字段，其中，流量选择器类型为TS_EXT_IPV6_ADDR_RANGE，流量选择器长度为48，扩展类型为INDEP_ANTIREPLAY_DSCP_RANGE，扩展长度为8，DSCP区间为[0，63]。

具体的流量选择器载荷示例如下：

TSi载荷：

TS_Type＝EXT_IPv6、TS_Len＝48、Str_Addr＝::、End Addr＝FFFF::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝0、End Val＝255

TSr载荷：

TS_Type＝EXT_IPv6、TS_Len＝48、Str_Addr＝::、End Addr＝FFFF::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝0、End Val＝255

具体的流量选择器载荷示例如下：

TSi载荷：

TS_Type＝EXT_IPv6、TS_Len＝56、Str_Addr＝1::0、End Addr＝1::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝32、End Val＝47

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝48、End Val＝63

TSr载荷：

TS_Type＝EXT_IPv6、TS_Len＝56、Str_Addr＝2::0、End Addr＝2::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝32、End Val＝47

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝48、End Val＝63

场景3：第一设备端配置为允许基于DSCP生成多个防重放窗口，且第一设备端配置了多个DSCP值，第二设备配置为允许基于DSCP生成多个防重放窗口，且第二设备端也配置了多个DSCP值。

IKE消息交互过程和防重放窗口生成过程如下：

第一设备向第二设备发送的第一报文中携带的流量选择器载荷中包括扩展字段，其中，流量选择器类型为TS_EXT_IPV6_ADDR_RANGE，流量选择器长度为48，扩展类型为INDEP_ANTIREPLAY_DSCP_RANGE，扩展长度为8，DSCP区间为[32，63]。

具体的流量选择器载荷示例如下：

TSi载荷：

TS_Type＝EXT_IPv6、TS_Len＝48、Str_Addr＝1::0、End Addr＝1::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝32、End Val＝63

TSr载荷：

TS_Type＝EXT_IPv6、TS_Len＝48、Str_Addr＝2::0、End Addr＝2::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝32、End Val＝63

第二设备响应的第二报文中携带的流量选择器载荷中包括扩展字段，其中，流量选择器类型为TS_IPV6_ADDR_RANGE，流量选择器长度为56，扩展类型为INDEP_ANTIREPLAY_DSCP_RANGE，扩展长度为8，DSCP区间为[46，46]和[48，48]

具体的流量选择器载荷示例如下：

TSi载荷：

TS_Type＝EXT_IPv6、TS_Len＝56、Str_Addr＝1::0、End Addr＝1::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝46、End Val＝46

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝48、End Val＝48

TSr载荷：

TS_Type＝EXT_IPv6、TS_Len＝56、Str_Addr＝2::0、End Addr＝2::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝46、End Val＝46

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝48、End Val＝48

通过第一报文和第二报文后，第一设备和第二设备协商的DSCP区间为[46，46]，[48，48]和其他，则第一设备和第二设备可根据上述区间生成3个防重放窗口，例如防重放窗口#1对应的DSCP值为46，防重放窗口#2对应的DSCP值为48，防重放窗口#3对应的DSCP值为除46和48之外的其他值。

场景4：第一设备端配置为允许基于DSCP生成多个防重放窗口，第二设备配置为不允许基于DSCP生成多个防重放窗口。

第二设备配置为不允许基于DSCP生成多个防重放窗口可以理解为第二设备支持基于DSCP生成多个防重放窗口(第二设备能识别扩展的流量选择器字段)，但第二设备被配置为不允许基于DSCP生成多个防重放窗口(第二设备响应的第二报文中包括流量选择器字段，而不是扩展的流量选择器字段)。

IKE消息交互过程和防重放窗口生成过程如下：

具体的流量选择器载荷示例如下：

TSi载荷：

TS_Type＝EXT_IPv6、TS_Len＝48、Str_Addr＝1::0、End Addr＝1::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝32、End Val＝63

TSr载荷：

TS_Type＝EXT_IPv6、TS_Len＝48、Str_Addr＝2::0、End Addr＝2::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝32、End Val＝63

第二设备响应的第二报文中携带的流量选择器载荷中不包括扩展字段，因第二设备能识别扩展流量选择器，但是由于配置为不允许基于DSCP生成多个防重放窗口，因此响应的第二报文中包括非扩展流量选择器。

具体的流量选择器载荷示例如下：

TSi载荷：

TS_Type＝IPv6、TS_Len＝40、Str_Addr＝1::0、End Addr＝1::FFFF、

TSr载荷：

TS_Type＝IPv6、TS_Len＝40、Str_Addr＝2::0、End Addr＝2::FFFF、

通过第一报文和第二报文后，第一设备和第二设备没有协商出DSCP区间，则第一设备和第二设备生成1个默认防重放窗口。

至此，IPsec安全联盟协商完毕，该安全联盟的IPsec报文在接收方向被默认的防重放窗口处理。

场景5：第一设备端配置为允许基于DSCP生成多个防重放窗口，第二设备配置为不支持基于DSCP生成多个防重放窗口

场景5是一个兼容场景，第一设备配置为允许基于DSCP生成多个防重放窗口，但是第一设备并不知道第二设备是否支持基于DSCP生成多个防重放窗口，因此发送的流量选择器里包括2组，1组是非扩展的流量选择器，1组是扩展的流量选择器，2组的地址范围相同。

第一种情况：当第二设备支持基于DSCP生成多个防重放窗口时，第二设备能识别扩展的流量选择器，由于2组流量选择器的地址范围相同，第二设备仅处理扩展的流量选择器。

第二种情况：当第二设备不支持基于DSCP生成多个防重放窗口时，第二设备无法识别扩展的流量选择器，因此仅处理非扩展的流量选择器即可，在此过程中也能保证协商成功。

因此兼容场景5描述了支持本申请的设备(可识别扩展的流量选择器)和不支持本申请的设备的向下兼容，避免基本协商失败。

IKE消息交互过程和防重放窗口生成过程如下：

第一设备向第二设备发送的第一报文中携带的流量选择器载荷中包括扩展字段，其中，流量选择器类型为TS_IPV6_ADDR_RANGE和TS_EXT_IPV6_ADDR_RANGE，其中，非扩展的流量选择器长度为40，扩展的流量选择器长度为48，扩展类型为INDEP_ANTIREPLAY_DSCP_RANGE，扩展长度为8，DSCP区间为[32，63]。

具体的流量选择器载荷示例如下：

TSi载荷：

TS_Type＝IPv6、TS_Len＝40、Str_Addr＝1::0、End Addr＝1::FFFF；

TS_Type＝EXT_IPv6、TS_Len＝48、Str_Addr＝1::0、End Addr＝1::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝32、End Val＝63

TSr载荷：

TS_Type＝IPv6、TS_Len＝40、Str_Addr＝2::0、End Addr＝2::FFFF；

TS_Type＝EXT_IPv6、TS_Len＝48、Str_Addr＝1::0、End Addr＝1::FFFF、

Ext_Type＝DSCP_RANGE、Ext_Len＝8、Str Val＝32、End Val＝63

第二设备不支持基于DSCP生成多个防重放窗口，因此只解析第一报文中的字段TS_Type＝IPv6，不解析字段TS_Type＝EXT_IPv6，以及扩展字段。第二设备响应的第二报文中携带的流量选择器载荷中不包括扩展字段。

具体的流量选择器载荷示例如下：

TSi载荷：

TS_Type＝IPv6、TS_Len＝40、Str_Addr＝1::0、End Addr＝1::FFFF；

TSr载荷：

TS_Type＝IPv6、TS_Len＝40、Str_Addr＝2::0、End Addr＝2::FFFF；

本申请提供的方案，扩展性强，扩展类型可以有256个不同值，本申请实施例定义的Ext_Type＝“INDEP_ANTIREPLAY_DSCP”与“INDEP_ANTIREPLAY_FLOWLABEL”仅占其中2个值，后续其他值可扩展为其他特性所用。

通过流标签协商确定多个防重放窗口的具体内容与通过DSCP协商确定多个防重放窗口类似，协商流程相同，仅在字段名称和具体取值方面有所不同，在此不做赘述。

场景6：第一设备本地静态配置至少一个防重放窗口

应理解，场景1-5介绍的是第一设备如何通过DSCP值协商生成多个防重放窗口，场景6介绍第一设备无需与第二设备协商，在本地根据DSCP值或流标签值静态配置至少一个防重放窗口。

下面主要以第一设备在本地根据DSCP值静态配置至少一个防重放窗口为例，第一设备在本地根据流标签值静态配置至少一个防重放窗口的过程与之类似，不再赘述。

示例地，第一设备被配置为允许基于DSCP生成多个防重放窗口，按照现有技术，一个IPsec安全联盟可对应一个防重放窗口(默认的防重放窗口)，在此基础上，对应于该IPsec安全联盟，在第一设备还可以静态配置至少一个防重放窗口。例如，对应于一个IPsec安全联盟，第一设备在本地基于DSCP值静态配置了2个防重放窗口，其中防重放窗口#1对应的DSCP值为[46]，防重放窗口#2对应的DSCP值为[48]，防重放窗口#3(默认的防重放窗口)对应的DSCP值为除46和48之外的其他值。

至此，第一设备本地静态配置至少一个防重放窗口完成。后续，第一设备接收到IPsec报文后，根据IPsec报文中的DSCP值选择对应的防重放窗口，例如，IPsec报文中的DSCP值为48，则该IPsec报文被防重放窗口#2处理。

可选地，第一设备本地的多个防重放窗口有优先级，也就是说第一设备接收到IPsec报文后，按照该多个防重放窗口的优先级，依次将防重放窗口对应的DSCP值与IPsec报文中的DSCP值比较，直至找到IPsec报文中的DSCP值对应的防重放窗口，通过该防重放窗口处理该IPsec报文。

示例地，第一设备在本地基于DSCP值静态配置了2个防重放窗口，按照优先级从高到低依次是防重放窗口#1(对应的DSCP值为[46])，防重放窗口#2(对应的DSCP值为[48])，防重放窗口#3(默认的防重放窗口，对应的DSCP值为除46和48之外的其他值)。

例如，后续第一设备接收到的IPsec报文#1的DSCP值为48，按照优先级首先选择的第一个防重放窗口为防重放窗口#1，但是防重放窗口#1的DSCP值与48不匹配，接下来按照优先级选防重放窗口#2，防重放窗口#2的DSCP值与48匹配，因此该IPsec报文#1在防重放窗口#2处理。

例如，后续第一设备接收到的IPsec报文#2的DSCP值为47，按照优先级首先选择的第一个防重放窗口为防重放窗口#1，但是防重放窗口#1的DSCP值与47不匹配，接下来按照优先级选防重放窗口#2，防重放窗口#2的DSCP值依然与47不匹配，因此该IPsec报文#2在防重放窗口#3处理。

应理解，本申请实施例提供的方法可以单独使用，也可以结合使用，本申请对此不做限制。

需注意的是，上述方法实施例中提及的执行主体仅为示例，该执行主体也可以是支持该执行主体实现上述方法实施例的芯片、芯片系统、或处理器，本申请对此不作限制。

上文结合附图3和5描述了本申请实施例的方法实施例，下面描述本申请实施例的装置实施例。可以理解，方法实施例的描述与装置实施例的描述可以相互对应，因此，未描述的部分可以参见前面方法实施例。

可以理解的是，上述图3和5所示的实施例中，由第一设备实现的方法和操作，也可以由可用于第一设备的部件(例如芯片或者电路)实现，由第二设备实现的方法和操作，也可以由可用于第二设备的部件(例如芯片或者电路)实现。

上述主要从节点之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，各个网元，例如发射端设备或者接收端设备，为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对发射端设备或者接收端设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。下面以采用对应各个功能划分各个功能模块为例进行说明。

图6是本申请实施例提供的处理数据的装置的示意性框图。该装置500包括收发单元510和处理单元520。收发单元510可以与外部进行通信，处理单元520用于进行数据处理。收发单元510还可以称为通信接口或通信单元。

可选地，该装置500还可以包括存储单元，该存储单元可以用于存储指令或者和/或数据，处理单元520可以读取存储单元中的指令或者和/或数据。

在一种设计中，该装置500可以为数据交换网络中的第一设备，收发单元510用于执行上文方法实施例中第一设备的接收或发送的操作，处理单元520用于执行上文方法实施例中第一设备内部处理的操作。

在另一种设计中，该装置500可以为包括第一设备的设备。或者，该装置500可以为配置在第一设备中的部件，例如，第一设备中的芯片。这种情况下，收发单元510可以为接口电路、管脚等。具体地，接口电路可以包括输入电路和输出电路，处理单元520可以包括处理电路。

一种可能的实现方式，收发单元510用于接收互联网安全协议IPsec报文，该IPsec报文包括第一字段，该第一字段承载第一信息的值，处理单元520用于根据第一映射关系从N个防重放窗口中确定第一防重放窗口，该第一映射关系包括N个防重放窗口与N个第一信息的值集合的对应关系，该第一字段承载的第一信息的值属于该第一防重放窗口对应的第一信息的值集合，该第一防重放窗口用于处理该IPsec报文，该N个防重放窗口对应相同的IPsec安全联盟，N为大于或等于2的整数。

一种可能的实现方式，该第一信息包括差分服务代码点DSCP或者流标签。

一种可能的实现方式，该处理单元520还用于根据第一信息生成该N个防重放窗口。

一种可能的实现方式，该N个防重放窗口为本地静态配置的。

一种可能的实现方式，该N个防重放窗口为第一设备和第二设备根据第一信息的值协商生成的，该收发单元510还用于发送第一报文，该第一报文包括第一设备期望的第一信息的值集合，该收发单元510还用于接收第二报文，该第二报文包括第二设备基于第一报文进行协商后的第一信息的值集合，该处理单元520还用于根据该第二报文中的第一信息的值集合生成该N个防重放窗口。

一种可能的实现方式，该第二报文包括流量选择器类型字段和扩展字段，当流量选择器类型字段取值为预定值时，该处理单元520还用于解析该扩展字段，该扩展字段包括的扩展类型为第一信息的范围，该扩展字段还包括至少一个第一信息的起始值和至少一个第一信息的结束值，该至少一个第一信息的起始值和至少一个第一信息的结束值用于确定M个第一信息的值集合，M为大于或等于1的整数。

一种可能的实现方式，第一报文，和/或第二报文为包括流量选择器载荷的因特网密钥交换报文。

一种可能的实现方式，流量选择器类型字段包括：流量选择器互联网协议版本IPv6地址范围和扩展的流量选择器IPv6地址范围，或，流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围。

基于上述方案，本申请在现有流量选择器IPv4或IPv6地址范围字段基础上新增了扩展的流量选择器IPv4或IPv6地址范围，可兼容支持协商生成多个防重放窗口的设备和不支持协商生成多个防重放窗口的设备，当支持协商生成多个防重放窗口的设备接收到第二报文后，当支持协商生成多个防重放窗口的设备发送第一报文时，可以在流量选择器载荷中放置相同地址范围的流量选择器IPv4地址范围字段和扩展的流量选择器IPv4地址范围字段，或者在流量选择器载荷中放置相同地址范围的流量选择器IPv6地址范围字段和扩展的流量选择器IPv6地址范围字段。确定第二报文中的流量选择器载荷中的流量选择器类型字段为相同地址范围的流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围，或者相同地址范围的流量选择器IPv6和扩展的流量选择器IPv6地址范围时，可仅解析扩展的流量选择器IPv4/IPv6地址范围。当不支持协商生成多个防重放窗口的设备接收到第二报文后，不能识别扩展的流量选择器IPv4/IPv6地址范围字段，因此只解析流量选择器IPv4/IPv6地址范围字段。。

图7是本申请实施例提供的处理数据的装置的示意性框图。该装置600包括收发单元610和处理单元620。收发单元610可以与外部进行通信，处理单元620用于进行数据处理。收发单元610还可以称为通信接口或通信单元。

可选地，该装置600还可以包括存储单元630，该存储单元630可以用于存储指令或者和/或数据，处理单元620可以读取存储单元630中的指令或者和/或数据。

在一种设计中，该装置600可以为数据交换网络中的第二设备，收发单元610用于执行上文方法实施例中第二设备的接收或发送的操作，处理单元620用于执行上文方法实施例中第二设备内部处理的操作。

在另一种设计中，该装置600可以为包括第二设备的设备。或者，该装置600可以为配置在第二设备中的部件，例如，第二设备中的芯片。这种情况下，收发单元610可以为接口电路、管脚等。具体地，接口电路可以包括输入电路和输出电路，处理单元620可以包括处理电路。

一种可能的实现方式，该收发单元610用于发送互联网安全协议IPsec报文，该IPsec报文包括第一字段，该第一字段承载第一信息的值，该第一字段用于从N个防重放窗口中确定第一防重放窗口，该第一字段承载的第一信息的值属于该第一防重放窗口对应的第一信息的值集合，该第一防重放窗口用于处理该IPsec报文，该N个防重放窗口对应相同的IPsec安全联盟，N为大于或等于2的整数。

相同IPsec安全联盟情况下，不同IPsec的DSCP值代表了不同优先级，基于本申请提供的方案，高优先级报文和低优先级报文可以在不同的防重放窗口内处理，可以避免低优先级报文丢包。

一种可能的实现方式，该收发单元610还用于接收第一报文，该第一报文包括第一设备期望的第一信息的值集合，发送第二报文，该第二报文包括第二设备基于第一报文进行协商后的第一信息的值集合，该第二报文中的第一信息的值集合用于生成该N个防重放窗口。

一种可能的实现方式，该第一报文包括流量选择器类型字段和扩展字段，当流量选择器类型字段取值为预定值时，该处理单元620用于解析该扩展字段，该扩展字段包括的扩展类型为第一信息的范围，该扩展字段还包括至少一个第一信息的起始值和至少一个第一信息的结束值。

一种可能的实现方式，该流量选择器类型字段包括：流量选择器互联网协议版本IPv6地址范围和扩展的流量选择器IPv6地址范围，或，流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围。

如图8所示，本申请实施例还提供一种处理数据的装置700。该装置700包括处理器710，处理器710与存储器720耦合，存储器720用于存储计算机程序或指令或者和/或数据，处理器710用于执行存储器720存储的计算机程序或指令和/或者数据，使得上文方法实施例中的方法被执行。

可选地，该装置700包括的处理器710为一个或多个。

可选地，如图8所示，该装置700还可以包括存储器720。

可选地，该装置700包括的存储器720可以为一个或多个。

可选地，该存储器720可以与该处理器710集成在一起，或者分离设置。

可选地，如图8所示，该装置700还可以包括收发器730和/或通信接口，收发器730和/或通信接口用于信号的接收和/或发送。例如，处理器710用于控制收发器730和/或通信接口进行信号的接收和/或发送。

作为一种方案，该装置700用于实现上文方法实施例中由第一设备执行的操作。例如，处理器710用于实现上文方法实施例中由第一设备内部执行的操作，收发器730用于实现上文方法实施例中由第一设备执行的接收或发送的操作。装置500中的处理单元520可以为图8中的处理器，收发单元510可以为图8中的收发器。处理器710执行的操作具体可以参见上文对处理单元520的说明，收发器730执行的操作可以参见对收发单元510的说明，这里不再赘述。

如图9所示，本申请实施例还提供一种处理数据的装置800。该装置800包括处理器810，处理器810与存储器820耦合，存储器820用于存储计算机程序或指令或者和/或数据，处理器810用于执行存储器820存储的计算机程序或指令和/或者数据，使得上文方法实施例中的方法被执行。

可选地，该装置800包括的处理器810为一个或多个。

可选地，如图9所示，该装置800还可以包括存储器820。

可选地，该装置800包括的存储器820可以为一个或多个。

可选地，该存储器820可以与该处理器810集成在一起，或者分离设置。

可选地，如图9所示，该装置800还可以包括收发器830和/或通信接口，收发器830和/或通信接口用于信号的接收和/或发送。例如，处理器810用于控制收发器830进行信号的接收和/或发送。

作为一种方案，该装置800用于实现上文方法实施例中由第二设备执行的操作。

例如，处理器810用于实现上文方法实施例中由第二设备内部执行的操作，收发器830用于实现上文方法实施例中由第二设备执行的接收或发送的操作。装置600中的处理单元620可以为图9中的处理器，收发单元610可以为图9中的收发器和/或通信接口。处理器810执行的操作具体可以参见上文对处理单元620的说明，收发器830执行的操作可以参见对收发单元610的说明，这里不再赘述。

本申请实施例还提供了一种处理数据的装置，包括处理器，该处理器与输入/输出接口耦合，通过该输入/输出接口传输数据，该处理器用于执行上述任一方法实施例中的方法。

如图10，本申请实施例还提供了一种处理数据的装置900。该装置900包括逻辑电路910以及输入/输出接口(input/output interface)920。

其中，逻辑电路910可以为装置900中的处理电路。逻辑电路910可以耦合连接存储单元，调用存储单元中的指令，使得装置900可以实现本申请各实施例的方法和功能。输入/输出接口920，可以为装置900中的输入输出电路，将装置900处理好的信息输出，或将待处理的数据或信令信息输入装置900进行处理。

作为一种方案，该装置900用于实现上文各个方法实施例中由第一设备执行的操作。

例如，逻辑电路910用于实现上文方法实施例中由第一设备执行的处理相关的操作，输入/输出接口920用于实现上文方法实施例中由第一设备执行的发送和/或接收相关的操作。逻辑电路910执行的操作具体可以参见上文对处理单元520的说明，输入/输出接口920执行的操作可以参见上文对收发单元510的说明，这里不再赘述。

作为另一种方案，该装置900用于实现上文各个方法实施例中由第二设备执行的操作。

例如，逻辑电路910用于实现上文方法实施例中由第二设备执行的处理相关的操作，输入/输出接口920用于实现上文方法实施例中由第二设备执行的发送和/或接收相关的操作。逻辑电路910执行的操作具体可以参见上文对处理单元620的说明，输入/输出接口 920执行的操作可以参见上文对收发单元610的说明，这里不再赘述。

应理解，上述装置可以是一个或多个芯片。例如，该装置可以是现场可编程门阵列(field programmable gate array，FPGA)，可以是专用集成芯片(application specific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processor unit，CPU)，还可以是网络处理器(network processor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logic device，PLD)或其他集成芯片。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

应注意，本申请实施例中的处理器可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本申请实施例还提供一种数据交换系统，该系统包括第一设备和第二设备。

根据本申请实施例提供的方法，本申请还提供一种计算机可读介质，该计算机可读介质存储有程序代码，当该程序代码在计算机上运行时，使得该计算机执行上文实施例的方法。例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由第一设备执行的方法，或由第二设备执行的方法。

本申请实施例还提供一种包含指令的计算机程序产品，该指令被计算机执行时使得该计算机实现上述方法实施例中由第一设备执行的方法，或由第二设备执行的方法。

上述提供的任一种数据处理装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例，此处不再赘述。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disc，SSD))等。

上述各个装置实施例中的网络设备和终端设备与方法实施例中的网络设备和终端设备对应，由相应的模块或单元执行相应的步骤，例如通信单元(收发器)执行方法实施例中接收或发送的步骤，除发送、接收外的其它步骤可以由处理单元(处理器)执行。具体单元的功能可以参考相应的方法实施例。其中，处理器可以为一个或多个。

在本说明书中使用的术语“部件”、“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如，部件可以是但不限于，在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。通过图示，在计算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程和/或执行线程中，部件可位于一个计算机上和/或分布在两个或更多个计算机之间。此外，这些部件可从在上面存储有各种数据结构的各种计算机可读介质执行。部件可例如根据具有一个或多个数据分组(例如来自与本地系统、分布式系统和/或网络间的另一部件交互的二个部件的数据，例如通过信号与其它系统交互的互联网)的信号通过本地和/或远程进程来通信。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种报文防重放的方法，其特征在于，包括：

第一设备接收互联网安全协议IPsec报文，所述IPsec报文包括第一字段，所述第一字段承载第一信息的值；

所述第一设备根据第一映射关系从N个防重放窗口中确定第一防重放窗口，所述第一映射关系包括N个防重放窗口与N个所述第一信息的值集合的对应关系，所述第一字段承载的所述第一信息的值属于所述第一防重放窗口对应的所述第一信息的值集合，所述第一防重放窗口用于处理所述IPsec报文，所述N个防重放窗口对应相同的IPsec安全联盟，所述N为大于或等于2的整数。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述第一设备根据所述第一信息生成所述N个防重放窗口。
根据权利要求2所述的方法，其特征在于，所述第一设备根据所述第一信息生成所述N个防重放窗口，包括：

所述第一设备发送第一报文，所述第一报文包括所述第一设备期望的所述第一信息的值集合；

所述第一设备接收第二报文，所述第二报文包括第二设备基于所述第一报文进行协商后的所述第一信息的值集合；

所述第一设备根据所述第二报文中的所述第一信息的值集合生成所述N个防重放窗口。
根据权利要求3所述的方法，其特征在于，所述第二报文包括流量选择器类型字段和扩展字段，所述方法还包括：

当流量选择器类型字段取值为预定值时，所述第一设备解析所述扩展字段，所述扩展字段包括的扩展类型为所述第一信息的范围，所述扩展字段还包括至少一个所述第一信息的起始值和至少一个所述第一信息的结束值，所述至少一个所述第一信息的起始值和至少一个所述第一信息的结束值用于确定M个所述第一信息的值集合，所述M为大于或等于1的整数。
根据权利要求4所述的方法，其特征在于，所述流量选择器类型字段包括：流量选择器互联网协议版本IPv6地址范围和扩展的流量选择器IPv6地址范围，或，流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围。
根据权利要求3至5中任一项所述的方法，其特征在于，所述第一报文，和/或所述第二报文为包括流量选择器载荷的因特网密钥交换报文。
根据权利要求1至6中任一项所述的方法，其特征在于，所述第一信息包括差分服务代码点DSCP或者流标签。
根据权利要求1至7中任一项所述的方法，其特征在于，所述N个防重放窗口是在本地静态配置的。
一种报文防重放的方法，其特征在于，包括：

第二设备生成互联网安全协议IPsec报文，所述IPsec报文包括第一字段，所述第一字段承载第一信息的值，所述第一字段用于从N个防重放窗口中确定第一防重放窗口，所述第一字段承载的所述第一信息的值属于所述第一防重放窗口对应的所述第一信息的值集合，所述第一防重放窗口用于处理所述IPsec报文，所述N个防重放窗口对应相同的IPsec安全联盟，所述N为大于或等于2的整数；

所述第二设备发送所述IPsec报文。
根据权利要求9所述的方法，其特征在于，所述方法还包括：

所述第二设备接收第一报文，所述第一报文包括第一设备期望的所述第一信息的值集合；

所述第二设备发送第二报文，所述第二报文包括所述第二设备基于所述第一报文进行协商后的所述第一信息的值集合，所述第二报文中的所述第一信息的值集合用于生成所述N个防重放窗口。
根据权利要求10所述的方法，其特征在于，所述第一报文包括流量选择器类型字段和扩展字段，所述方法还包括：

当流量选择器类型字段取值为预定值时，所述第二设备解析所述扩展字段，所述扩展字段包括的扩展类型为所述第一信息的范围，所述扩展字段还包括至少一个所述第一信息的起始值和至少一个所述第一信息的结束值。
根据权利要求11所述的方法，其特征在于，所述流量选择器类型字段包括：流量选择器互联网协议版本IPv6地址范围和扩展的流量选择器IPv6地址范围，或，流量选择器IPv4地址范围和扩展的流量选择器IPv4地址范围。
根据权利要求10至12中任一项所述的方法，其特征在于，所述第一报文，和/或所述第二报文为包括流量选择器载荷的因特网密钥交换报文。
根据权利要求9至13中任一项所述的方法，其特征在于，所述第一字段包括差分服务代码点DSCP字段或者流标签字段。
一种通信装置，其特征在于，包括：

用于实现权利要求1至8中任意一项所述的方法的单元；或者

用于实现权利要求9至14中任意一项所述的方法的单元。
一种通信装置，其特征在于，所述装置包括处理器，所述处理器与存储器耦合，所述存储器存储有指令，所述指令被所述处理器运行时，

使得所述处理器执行如权利要求1至8中任意一项所述的方法，或者

使得所述处理器执行如权利要求9至14中任意一项所述的方法。
一种通信装置，其特征在于，所述装置包括逻辑电路，所述逻辑电路用于与输入/输出接口耦合，通过所述输入/输出接口传输数据，以执行如权利要求1至8中任一项所述的方法，或者，以执行如权利要求9至14中任一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行如权利要求1至8中任一项所述的方法，或使得所述计算机执行如权利要求9至14中任一项所述的方法。
一种计算机程序产品，其特征在于，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码被运行时，实现如权利要求1至8中任一项所述的方法，或实现如权利要求9至14中任一项所述的方法。
一种芯片，其特征在于，包括处理器和通信接口，所述处理器用于读取指令以执行如权利要求1至8中任一项所述的方法，或，执行如权利要求9至14中任一项所述的方法。
一种通信系统，其特征在于，包括第一设备和第二设备，所述第一设备用于执行如权利要求1至8中任一项所述的方法，所述第二设备用于执行如权利要求9至14中任一项所述的方法。