[发明专利]IPSec隧道更新防重放参数的方法

说明书

技术领域

本发明涉及网络通信技术领域，特别涉及一种IPSec隧道更新防重放参数的方法。

背景技术

因特网协议安全性（IP Security，IPSec）协议是一个开放的IP层安全框架协议。IPSec协议是一个三层隧道协议，对参与IPSec的设备之间传输的IP数据包进行保护和认证，能够为传输敏感数据提供安全保护。

为了保证IP数据包不会被第三方或中间人截获，IPSec使用防重放机制，数据包修改后再重新插入数据流，其中，防重放机制是通过认证标头(Authentication Header，AH)协议和封装安全净载(Encapsulating Security Payload，ESP)协议在IPSec中实现的。防重放机制将跟踪到VPN端点的每个数据包的序列号。当两个VPN端点之间建立了安全关联后，序号记数器归零。通过VPN加密和传输的数据包序号均从1开始。每次发送数据包时，接收方均会检查序号是不是与上次发送数据包的序号相同。如果接收方收到了重复的序号，则丢弃该数据包。同时向VPN发送方端点传送一条错误信息，并在日志中记录下这一事件。

通常防重放实现的方法是将收到的报文中的序列号与上一次收到的序列号进行比较，大于上一个序列号的则认为是合法的报文，序列号小于或等于的认为是非法的。

然而对于主备设备而言，每个报文都进行序列号同步是不现实的。

发明内容

（一）解决的技术问题

本发明解决了在主、备设备发生切换时，每发送或接收多个报文时主、备设备同步的技术问题。

（二）技术方案

本发明提出了一种IPSec隧道更新防重放参数的方法，其中利用主设备或者备设备进行报文的发送，其特征在于，所述方法包括：

A、设定序列号阈值；

B、主设备发送报文，所述报文包括序列号，且每当主设备发送阈值个报文时，主设备向备设备发送同步信号，所述同步信号包括当前报文的序列号；

C：当主、备设备发生切换时，确定当前报文的序列号，

D：从确定的当前报文的序列号开始，利用备设备发送报文。

优选地，步骤C中当前报文的序列号N为：N=T×n+N_i；其中，T为序列号阈值，n为主、备设备发生切换之前主设备向备设备发送同步信号的次数，N_i为从主设备向备设备最后一次发送同步信号到主、备设备发生切换时主设备发送的报文数。

优选地，主设备在每次向备设备发送同步信号后，将对发送的报文进行计数，计数值的初始值为0，每发送一个报文，计数值加1，当主、备设备发生切换时，主设备将计数值发送给备设备，所述计数值为N_i。

优选地，所述N_i为：其中，t_i为主、备设备发生切换时的时间，t_n为主、备设备发生切换前主设备最后一次向备设备发送同步信号的时间。

优选地，所述方法包括：

序列号的初始值为0，每发送一个报文，序列号加1。

本发明提出了一种IPSec隧道更新防重放参数的方法，其中利用主设备或者备设备进行报文的接收，其特征在于，所述方法包括：

A1、设定序列号阈值；

B1、主设备接收报文，所述报文包括序列号，且每当主设备接收阈值个报文时，主设备向备设备发送同步信号，所述同步信号包括当前报文的序列号；

C1：当主、备设备发生切换时，确定当前报文的序列号，

D1：从确定的当前报文的序列号开始，利用备设备接收报文。

优选地，步骤C1中当前报文的序列号N为：N=T×n+N_i；其中，T为序列号阈值，n为主、备设备发生切换之前主设备向备设备发送同步信号的次数，N_i为从主设备向备设备最后一次发送同步信号到主、备设备发生切换时主设备接收的报文数。

优选地，主设备在每次向备设备发送同步信号后，将对接收的报文进行计数，计数值的初始值为0，每接收一个报文，计数值加1，当主、备设备发生切换时，主设备将计数值发送给备设备，所述计数值为N_i。

优选地，所述N_i为：其中，t_i为主、备设备发生切换时的时间，t_n为主、备设备发生切换前主设备最后一次向备设备发送同步信号的时间。

优选地，所述方法包括：

序列号的初始值为0，每发送一个报文，序列号加1。

（三）有益效果