專利名稱：IPSec隧道更新防重放參數(shù)的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，特別涉及一種IPSec隧道更新防重放參數(shù)的方法。
背景技術(shù)：
因特網(wǎng)協(xié)議安全性(IP Security，IPSec)協(xié)議是一個(gè)開放的IP層安全框架協(xié)議。IPSec協(xié)議是一個(gè)三層隧道協(xié)議，對(duì)參與IPSec的設(shè)備之間傳輸?shù)腎P數(shù)據(jù)包進(jìn)行保護(hù)和認(rèn)證，能夠?yàn)閭鬏斆舾袛?shù)據(jù)提供安全保護(hù)。為了保證IP數(shù)據(jù)包不會(huì)被第三方或中間人截獲，IPSec使用防重放機(jī)制，數(shù)據(jù)包修改后再重新插入數(shù)據(jù)流，其中，防重放機(jī)制是通過認(rèn)證標(biāo)頭(Authentication Header,AH)協(xié)議和封裝安全凈載(Encapsulating Security Payload, ESP)協(xié)議在IPSec中實(shí)現(xiàn)的。防重放機(jī)制將跟蹤到VPN端點(diǎn)的每個(gè)數(shù)據(jù)包的序列號(hào)。當(dāng)兩個(gè)VPN端點(diǎn)之間建立了安全關(guān)聯(lián)后，序號(hào)記數(shù)器歸零。通過VPN加密和傳輸?shù)臄?shù)據(jù)包序號(hào)均從I開始。每次發(fā)送數(shù)據(jù)包時(shí)，接收方均會(huì)檢查序號(hào)是不是與上次發(fā)送數(shù)據(jù)包的序號(hào)相同。如果接收方收到了重復(fù)的序號(hào)，則丟棄該數(shù)據(jù)包。同時(shí)向VPN發(fā)送方端點(diǎn)傳送一條錯(cuò)誤信息，并在日志中記錄下這一事件。通常防重放實(shí)現(xiàn)的方法是將收到的報(bào)文中的序列號(hào)與上一次收到的序列號(hào)進(jìn)行比較，大于上一個(gè)序列號(hào)的則認(rèn)為是合法的報(bào)文，序列號(hào)小于或等于的認(rèn)為是非法的。然而對(duì)于主備設(shè)備而言，每個(gè)報(bào)文都進(jìn)行序列號(hào)同步是不現(xiàn)實(shí)的。

發(fā)明內(nèi)容
(一)解決的技術(shù)問題本發(fā)明解決了在主、備設(shè)備發(fā)生切換時(shí)，每發(fā)送或接收多個(gè)報(bào)文時(shí)主、備設(shè)備同步的技術(shù)問題。(二)技術(shù)方案本發(fā)明提出了一種IPSec隧道更新防重放參數(shù)的方法，其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的發(fā)送，其特征在于，所述方法包括A、設(shè)定序列號(hào)閾值；B、主設(shè)備發(fā)送報(bào)文，所述報(bào)文包括序列號(hào)，且每當(dāng)主設(shè)備發(fā)送閾值個(gè)報(bào)文時(shí)，主設(shè)備向備設(shè)備發(fā)送同步信號(hào)，所述同步信號(hào)包括當(dāng)前報(bào)文的序列號(hào)；C :當(dāng)主、備設(shè)備發(fā)生切換時(shí)，確定當(dāng)前報(bào)文的序列號(hào)，D :從確定的當(dāng)前報(bào)文的序列號(hào)開始，利用備設(shè)備發(fā)送報(bào)文。優(yōu)選地，步驟C中當(dāng)前報(bào)文的序列號(hào)N為=N=TXr^Ni ;其中，T為序列號(hào)閾值，η為主、備設(shè)備發(fā)生切換之前主設(shè)備向備設(shè)備發(fā)送同步信號(hào)的次數(shù)，Ni為從主設(shè)備向備設(shè)備最后一次發(fā)送同步信號(hào)到主、備設(shè)備發(fā)生切換時(shí)主設(shè)備發(fā)送的報(bào)文數(shù)。優(yōu)選地，主設(shè)備在每次向備設(shè)備發(fā)送同步信號(hào)后，將對(duì)發(fā)送的報(bào)文進(jìn)行計(jì)數(shù)，計(jì)數(shù)值的初始值為O，每發(fā)送一個(gè)報(bào)文，計(jì)數(shù)值加1，當(dāng)主、備設(shè)備發(fā)生切換時(shí)，主設(shè)備將計(jì)數(shù)值發(fā)送給備設(shè)備，所述計(jì)數(shù)值為Ni。優(yōu)選地，所述隊(duì)為叫=Ut - tn )，其中，ti為主、備設(shè)備發(fā)生切換
1TI tTl-I
時(shí)的時(shí)間，tn為主、備設(shè)備發(fā)生切換前主設(shè)備最后一次向備設(shè)備發(fā)送同步信號(hào)的時(shí)間。優(yōu)選地，所述方法包括序列號(hào)的初始值為O,每發(fā)送一個(gè)報(bào)文,序列號(hào)加I。本發(fā)明提出了一種IPSec隧道更新防重放參數(shù)的方法，其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的接收，其特征在于，所述方法包括
Al、設(shè)定序列號(hào)閾值；BI、主設(shè)備接收?qǐng)?bào)文，所述報(bào)文包括序列號(hào)，且每當(dāng)主設(shè)備接收閾值個(gè)報(bào)文時(shí)，主設(shè)備向備設(shè)備發(fā)送同步信號(hào)，所述同步信號(hào)包括當(dāng)前報(bào)文的序列號(hào)；Cl :當(dāng)主、備設(shè)備發(fā)生切換時(shí)，確定當(dāng)前報(bào)文的序列號(hào)，Dl :從確定的當(dāng)前報(bào)文的序列號(hào)開始，利用備設(shè)備接收?qǐng)?bào)文。優(yōu)選地，步驟Cl中當(dāng)前報(bào)文的序列號(hào)N為=N=TXr^Ni ;其中，T為序列號(hào)閾值，η為主、備設(shè)備發(fā)生切換之前主設(shè)備向備設(shè)備發(fā)送同步信號(hào)的次數(shù)，Ni為從主設(shè)備向備設(shè)備最后一次發(fā)送同步信號(hào)到主、備設(shè)備發(fā)生切換時(shí)主設(shè)備接收的報(bào)文數(shù)。優(yōu)選地，主設(shè)備在每次向備設(shè)備發(fā)送同步信號(hào)后，將對(duì)接收的報(bào)文進(jìn)行計(jì)數(shù)，計(jì)數(shù)值的初始值為0，每接收一個(gè)報(bào)文，計(jì)數(shù)值加1，當(dāng)主、備設(shè)備發(fā)生切換時(shí)，主設(shè)備將計(jì)數(shù)值發(fā)送給備設(shè)備，所述計(jì)數(shù)值為Ni。優(yōu)選地，所述隊(duì)為風(fēng)=，其中為主、備設(shè)備發(fā)生切換
1U tTl-I
時(shí)的時(shí)間，tn為主、備設(shè)備發(fā)生切換前主設(shè)備最后一次向備設(shè)備發(fā)送同步信號(hào)的時(shí)間。優(yōu)選地，所述方法包括序列號(hào)的初始值為O,每發(fā)送一個(gè)報(bào)文,序列號(hào)加I。(三)有益效果本發(fā)明當(dāng)主、備設(shè)備發(fā)生切換后，利用備設(shè)備發(fā)送或接收?qǐng)?bào)文，發(fā)送或接收?qǐng)?bào)文的序列號(hào)與主設(shè)備同步。


圖I是本發(fā)明提出的一種IPSec隧道更新防重放參數(shù)的方法流程圖；圖2是本發(fā)明提出的一種IPSec隧道更新防重放參數(shù)的方法流程圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述。實(shí)施例I本實(shí)施例提出了一種IPSec隧道更新防重放參數(shù)的方法，其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的發(fā)送，如圖I所示，所述方法包括A、設(shè)定序列號(hào)閾值；
B、主設(shè)備發(fā)送報(bào)文，所述報(bào)文包括序列號(hào)，且每當(dāng)主設(shè)備發(fā)送閾值個(gè)報(bào)文時(shí)，主設(shè)備向備設(shè)備發(fā)送同步信號(hào)，所述同步信號(hào)包括當(dāng)前報(bào)文的序列號(hào)；C :當(dāng)主、備設(shè)備發(fā)生切換時(shí)，確定當(dāng)前報(bào)文的序列號(hào)，D :從確定的當(dāng)前報(bào)文的序列號(hào)開始，利用備設(shè)備發(fā)送報(bào)文。實(shí)施例2在本實(shí)施例中包含實(shí)施例I的同時(shí)還包括以下內(nèi)容，當(dāng)前報(bào)文的序列號(hào)N為Ν=ΤΧη+Ν,;其中，T為序列號(hào)閾值，η為主、備設(shè)備發(fā)生切換之前主設(shè)備向備設(shè)備發(fā)送同步信號(hào)的次數(shù)，Ni為從主設(shè)備向備設(shè)備最后一次發(fā)送同步信號(hào)到主、備設(shè)備發(fā)生切換時(shí)主設(shè)備發(fā)送的報(bào)文數(shù)。
對(duì)于Ni值獲得方法有兩種，其中，第一種為主設(shè)備在每次向備設(shè)備發(fā)送同步信號(hào)后，將對(duì)發(fā)送的報(bào)文進(jìn)行計(jì)數(shù)，計(jì)數(shù)值的初始值為0，每發(fā)送一個(gè)報(bào)文，計(jì)數(shù)值加1，當(dāng)主、備設(shè)備發(fā)生切換時(shí)，主設(shè)備將計(jì)數(shù)值發(fā)送給備設(shè)備，所述計(jì)數(shù)值為Ni。獲得Ni值的第二種方法為-.Ni = (ti~tn)~，其中為主、備設(shè)備發(fā)
生切換時(shí)的時(shí)間，tn為主、備設(shè)備發(fā)生切換前主設(shè)備最后一次向備設(shè)備發(fā)送同步信號(hào)的時(shí)間。本實(shí)施例還包括序列號(hào)的初始值為O,每發(fā)送一個(gè)報(bào)文,序列號(hào)加I。實(shí)施例3本實(shí)施例提出的一種IPSec隧道更新防重放參數(shù)的方法，其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的接收，其特征在于，所述方法包括Al、設(shè)定序列號(hào)閾值；BI、主設(shè)備接收?qǐng)?bào)文，所述報(bào)文包括序列號(hào)，且每當(dāng)主設(shè)備接收閾值個(gè)報(bào)文時(shí)，主設(shè)備向備設(shè)備發(fā)送同步信號(hào)，所述同步信號(hào)包括當(dāng)前報(bào)文的序列號(hào)；Cl :當(dāng)主、備設(shè)備發(fā)生切換時(shí)，確定當(dāng)前報(bào)文的序列號(hào)，Dl :從確定的當(dāng)前報(bào)文的序列號(hào)開始，利用備設(shè)備接收?qǐng)?bào)文。優(yōu)選地，步驟Cl中當(dāng)前報(bào)文的序列號(hào)N為=N=TXr^Ni ;其中，T為序列號(hào)閾值，η為主、備設(shè)備發(fā)生切換之前主設(shè)備向備設(shè)備發(fā)送同步信號(hào)的次數(shù)，Ni為從主設(shè)備向備設(shè)備最后一次發(fā)送同步信號(hào)到主、備設(shè)備發(fā)生切換時(shí)主設(shè)備接收的報(bào)文數(shù)。優(yōu)選地，主設(shè)備在每次向備設(shè)備發(fā)送同步信號(hào)后，將對(duì)接收的報(bào)文進(jìn)行計(jì)數(shù)，計(jì)數(shù)值的初始值為0，每接收一個(gè)報(bào)文，計(jì)數(shù)值加1，當(dāng)主、備設(shè)備發(fā)生切換時(shí)，主設(shè)備將計(jì)數(shù)值發(fā)送給備設(shè)備，所述計(jì)數(shù)值為Ni。優(yōu)選地，所述隊(duì)為叫=(U - tn )，其中為主、備設(shè)備發(fā)生切換
Tl iTl-I
時(shí)的時(shí)間，tn為主、備設(shè)備發(fā)生切換前主設(shè)備最后一次向備設(shè)備發(fā)送同步信號(hào)的時(shí)間。優(yōu)選地，所述方法包括序列號(hào)的初始值為O,每發(fā)送一個(gè)報(bào)文,序列號(hào)加I。實(shí)施例4本發(fā)明提出了一種更為具體的一種主備切換時(shí)IPSec隧道更新防重放參數(shù)的方法，具體如下
IPSec隧道協(xié)商起來后從I開始，每發(fā)送一個(gè)報(bào)文，發(fā)送序號(hào)加I。設(shè)定序列號(hào)閾值，如I萬(wàn)，當(dāng)主設(shè)備每接收到I萬(wàn)個(gè)報(bào)文就向備設(shè)備發(fā)送一個(gè)同步信號(hào)。當(dāng)主、備設(shè)備發(fā)生切換時(shí)，備設(shè)備切換為新主設(shè)備，例如新主設(shè)備之前已經(jīng)接收到4次主設(shè)備發(fā)送的同步信號(hào)，最近一次接收同步信號(hào)的時(shí)間點(diǎn)為10點(diǎn)01分01秒，距離上一次接收同步信號(hào)的時(shí)間點(diǎn)10秒鐘，當(dāng)前主、備設(shè)備切換的時(shí)間點(diǎn)為10點(diǎn)01分06秒，那么通過計(jì)算得出此5秒鐘可以大約發(fā)送5千個(gè)報(bào)文，那么新主設(shè)備發(fā)送的報(bào)文序號(hào)從4萬(wàn)5千開始。實(shí)施例5本發(fā)明提出了一種更為具體的一種主備切換時(shí)IPSec隧道更新防重放參數(shù)的方 法，具體如下IPSec隧道協(xié)商后每接收到的序號(hào)必須大于前一個(gè)報(bào)文的序號(hào)。設(shè)定序列號(hào)閾值，如I萬(wàn)，若之前備設(shè)備接收到主設(shè)備發(fā)送的同步信號(hào)有4次，當(dāng)主、備設(shè)備發(fā)生切換時(shí)，備設(shè)備切換為新主設(shè)備，新主設(shè)備接收?qǐng)?bào)文，并將接收到的第一個(gè)報(bào)文的序列號(hào)作為報(bào)文的初始接收序號(hào)，則該初始接收序號(hào)必須大于之前同步的4萬(wàn)的序列號(hào)，并記錄最近一次同步的時(shí)間為10點(diǎn)01分01秒，與上一次信息同步的時(shí)間間隔了 10秒，那么當(dāng)前時(shí)間為10點(diǎn)01分06秒，可算出當(dāng)前接收的序號(hào)為4萬(wàn)5千，則初始序號(hào)為4萬(wàn)5千,之后再接收到的報(bào)文必須序號(hào)大于前一個(gè)報(bào)文序號(hào)。說明設(shè)定序列號(hào)閾值時(shí)可以根據(jù)需求手動(dòng)配置，如I千到10萬(wàn)可配置。以上實(shí)施方式僅用于說明本發(fā)明，而并非對(duì)本發(fā)明的限制，有關(guān)技術(shù)領(lǐng)域的普通技術(shù)人員，在不脫離本發(fā)明的精神和范圍的情況下，還可以做出各種變化和變型，因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇，本發(fā)明的專利保護(hù)范圍應(yīng)由權(quán)利要求限定。
權(quán)利要求
1.一種IPSec隧道更新防重放參數(shù)的方法，其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的發(fā)送，其特征在于，所述方法包括 A、設(shè)定序列號(hào)閾值； B、主設(shè)備發(fā)送報(bào)文，所述報(bào)文包括序列號(hào)，且每當(dāng)主設(shè)備發(fā)送閾值個(gè)報(bào)文時(shí)，主設(shè)備向備設(shè)備發(fā)送同步信號(hào)，所述同步信號(hào)包括當(dāng)前報(bào)文的序列號(hào)； C、當(dāng)主、備設(shè)備發(fā)生切換時(shí)，確定當(dāng)前報(bào)文的序列號(hào)； D、從確定的當(dāng)前報(bào)文的序列號(hào)開始，利用備設(shè)備發(fā)送報(bào)文。
2.根據(jù)權(quán)利要求I所述的方法，其特征在于，步驟C中當(dāng)前報(bào)文的序列號(hào)N為Ν=ΤΧη+Ν,;其中，T為序列號(hào)閾值，η為主、備設(shè)備發(fā)生切換之前主設(shè)備向備設(shè)備發(fā)送同步信號(hào)的次數(shù)，Ni為從主設(shè)備向備設(shè)備最后一次發(fā)送同步信號(hào)到主、備設(shè)備發(fā)生切換時(shí)主設(shè)備發(fā)送的報(bào)文數(shù)。
3.根據(jù)權(quán)利要求2所述的方法，其特征在于，主設(shè)備在每次向備設(shè)備發(fā)送同步信號(hào)后，將對(duì)發(fā)送的報(bào)文進(jìn)行計(jì)數(shù)，計(jì)數(shù)值的初始值為O，每發(fā)送一個(gè)報(bào)文，計(jì)數(shù)值加1，當(dāng)主、備設(shè)備發(fā)生切換時(shí)，主設(shè)備將計(jì)數(shù)值發(fā)送給備設(shè)備，所述計(jì)數(shù)值為隊(duì)。
4.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述隊(duì)為義=H1-tn ) X,其中，ti為主、備設(shè)備發(fā)生切換時(shí)的時(shí)間，tn為主、備設(shè)備發(fā)生切換前主設(shè)備最后一次向備設(shè)備發(fā)送同步信號(hào)的時(shí)間。
5.根據(jù)權(quán)利要求I所述的方法，其特征在于，所述方法包括 序列號(hào)的初始值為O,每發(fā)送一個(gè)報(bào)文,序列號(hào)加I。
6.一種IPSec隧道更新防重放參數(shù)的方法，其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的接收，其特征在于，所述方法包括 Al、設(shè)定序列號(hào)閾值； BI、主設(shè)備接收?qǐng)?bào)文，所述報(bào)文包括序列號(hào)，且每當(dāng)主設(shè)備接收閾值個(gè)報(bào)文時(shí)，主設(shè)備向備設(shè)備發(fā)送同步信號(hào)，所述同步信號(hào)包括當(dāng)前報(bào)文的序列號(hào)； Cl :當(dāng)主、備設(shè)備發(fā)生切換時(shí)，確定當(dāng)前報(bào)文的序列號(hào)； Dl :從確定的當(dāng)前報(bào)文的序列號(hào)開始，利用備設(shè)備接收?qǐng)?bào)文。
7.根據(jù)權(quán)利要求6所述的方法，其特征在于，步驟Cl中當(dāng)前報(bào)文的序列號(hào)N為Ν=ΤΧη+Ν,;其中，T為序列號(hào)閾值，η為主、備設(shè)備發(fā)生切換之前主設(shè)備向備設(shè)備發(fā)送同步信號(hào)的次數(shù)，Ni為從主設(shè)備向備設(shè)備最后一次發(fā)送同步信號(hào)到主、備設(shè)備發(fā)生切換時(shí)主設(shè)備接收的報(bào)文數(shù)。
8.根據(jù)權(quán)利要求7所述的方法，其特征在于，主設(shè)備在每次向備設(shè)備發(fā)送同步信號(hào)后，將對(duì)接收的報(bào)文進(jìn)行計(jì)數(shù)，計(jì)數(shù)值的初始值為O，每接收一個(gè)報(bào)文，計(jì)數(shù)值加1，當(dāng)主、備設(shè)備發(fā)生切換時(shí)，主設(shè)備將計(jì)數(shù)值發(fā)送給備設(shè)備，所述計(jì)數(shù)值為隊(duì)。
9.根據(jù)權(quán)利要求7所述的方法，其特征在于，所述隊(duì)為
10.根據(jù)權(quán)利要求6所述的方法，其特征在于，所述方法包括序列號(hào)的 初始值為O,每發(fā)送一個(gè)報(bào)文,序列號(hào)加I。
全文摘要
本發(fā)明提供了一種IPSec隧道更新防重放參數(shù)的方法，其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的發(fā)送，該方法包括A、設(shè)定序列號(hào)閾值；B、主設(shè)備發(fā)送報(bào)文，所述報(bào)文包括序列號(hào)，且每當(dāng)主設(shè)備發(fā)送閾值個(gè)報(bào)文時(shí)，主設(shè)備向備設(shè)備發(fā)送同步信號(hào)，所述同步信號(hào)包括當(dāng)前報(bào)文的序列號(hào)；C當(dāng)主、備設(shè)備發(fā)生切換時(shí)，確定當(dāng)前報(bào)文的序列號(hào)，D從確定的當(dāng)前報(bào)文的序列號(hào)開始，利用備設(shè)備發(fā)送報(bào)文。本發(fā)明當(dāng)主、備設(shè)備發(fā)生切換后，利用備設(shè)備發(fā)送或接收?qǐng)?bào)文，發(fā)送或接收?qǐng)?bào)文的序列號(hào)與主設(shè)備同步。
文檔編號(hào)H04L12/70GK102891850SQ20121036134
公開日2013年1月23日 申請(qǐng)日期2012年9月25日 優(yōu)先權(quán)日2012年9月25日
發(fā)明者陳海濱 申請(qǐng)人:漢柏科技有限公司