[发明专利]报文防重放方法及装置、网络设备

说明书

技术领域

本发明涉及数据通信系统，具体地，涉及一种基于IPSec的报文防重放方法及装置、网络设备。

背景技术

IPSec（IP Security）是IETF制定的三层隧道加密协议，它为互联网上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。IPsec为通信方提供了加密与数据源认证等安全服务，其中包括防重放（Anti-Replay），即IPSec接收方可检测并拒绝接收过时或重复的报文。

重放是指攻击者截获并记录协议运行中的信息，在以后的协议运行中把所记录的信息重传给相同的信息接收者，以获得相应的秘密信息，攻击者并不需要知道所重放信息的具体内容。

例如，A与B进行通信时，首先相互传输身份验证信息，然后相互传输数据信息。假如攻击者C截获了A发送给B的身份验证信息，虽然不知道其具体内容，但可以把该信息原样记录下来。然后攻击者C通过向B重新发送这段信息，就有可能骗过B的验证而获得B所发送的数据信息，从而实现重放攻击。

其中重放的数据包可以是原数据包，也可以是经过修改的数据包，重放的目的是为了冒充合法的通信者和另一方进行通信，之所以采用重放方式而非直接发送伪造的数据包，是因为有的系统会将部分信息进行简单加密或者认证，伪造的数据包可能无法取得数据包接收方的信任。重放攻击会迫使系统被迫处理大量不必要的操作，严重时可导致拒绝服务。重放可能导致攻击者获得会话密钥或成功地冒充其他人，干扰系统的正常运行处理致使系统瘫痪。

IPSec协议提供的防重放服务，通过单调递增的序列号和“滑动”窗口机制来阻挡这种攻击。

在基于IPSec的发送端，在每个基于IPSec的数据包的包头内都包含了一个序列号字段，当创建一个新的安全联盟（SA，Security Associate）（SA用于提供通信安全服务）时，序列号计数器便会初始化为0，每当在这一SA上发送一个数据包，序列号计数器的值加1并将序列号字段的值设置成计数器的值。计数器的值严格单调递增，当达到其最大值232-1时，就应建立一个新的SA。

在基于IPSec的接收端建立具有若干连续比特位的滑动窗口，滑动窗口的长度为W，W的推荐值为64比特，每个比特的值表示一个数据报文。窗口最左端对应于窗口起始位置报文的序列号N，而最右端对应于可接收的合法报文的最高序列号N+W-1。每收到一个报文，接收端按如下原则进行处理：

1、如果分组序列号落在滑动窗口之内，并且先前没有接收过，则接收该分组并标记该报文为已接收；若先前接收过，则该报文是重放报文，丢弃该分组。

2、如果收到的分组序列号落在窗口的左侧，说明该报文是过期报文，过期报文包括未接收到的报文或者是重放报文，则丢弃该分组。

3、如果收到的分组的序列号落在窗口的右侧，即分组序列号大于N+W-1，则对该分组进行完整性检查，若未通过检查则丢弃；若通过则向右移动滑动窗口，使窗口的右边界刚好包含该分组的序列号。

下面都以W＝8为例说明通过滑动窗口防重放的处理过程。在图1a示例中，窗口最左端的序列号为N，最右端的序列号为N+7。图中用0和阴影表示数据包尚未收到，即编号为N、N+3、N+6、N+8和N+10以及之后的数据包尚未收到。

如果最近收到的数据包N+9通过了真实性检查，窗口便会向右滑动2个位置，使窗口左侧变成N+2，右侧变成N+9。这样便会造成数据包N无可挽回地被丢弃，因为它现在变成在滑动接收窗口的左侧，如图1b所示。相反地，如果收到的N+9包没有通过真实性检查，则丢弃该包，窗口的位置不变。

这样，对于有序到达的报文，通过对滑动窗口内比特位的连续更新和比特移位操作来实现滑动窗口的移动；对于攻击者重放的数据包，由于时延的原因将无法通过滑动窗口的检查而被丢弃。同理，通过IPSec滑动窗口的检查也将拦截住伪造的数据包。

目前，滑动窗口的长度通常被定义为最小32位、最大64位，但是针对最小窗口的具体大小目前还没有一个具体的标准。针对重新排序的报文，窗口的长度一般都要基于合理的规划。而针对带有多个密码核的多核的网络处理器，由于不同核之间的协作处理将会导致各个IPSec的处理延时，此时窗口大小一般将会超过64位或者128位。在这种情况下，滑动窗口的移位消耗的资源就会变得很大，甚至需要借助硬件来加速处理窗口的移位操作。尤其是针对乱序到达的报文的处理，将会产生系统之间更多的互操作性，并降低系统的性能。

可见，在现有技术中，在基于IPSec的滑动窗口进行防重放的处理中，存在处理复杂、处理效率低的问题。

发明内容