[发明专利]一种报文加解密方法、网路设备及系统

说明书

一种报文加解密方法、网路设备及系统，该方法包括：第一网络设备与第二网络设备预先协商确定原始密钥，然后第一网络设备利用原始密钥生成子密钥集合，进而从子密钥集合中确定出一个子密钥，并利用这个子密钥与自身生成的数据报文的序列号的第一字段进行加密处理，从而生成加密字段，第一网络设备利用这个加密字段替换该序列号的第一字段，然后得到修改后的数据报文，将修改后的数据报文发送至第二网络设备，因为数据报文中的序列号被加密了，所以攻击者即使截取了数据报文也无法解密得到原始序列号，因而有效地预防重放攻击的问题。

技术领域

本申请涉及信息技术领域，尤其涉及一种报文加解密方法、网路设备及系统。

背景技术

目前，随着网络通信在越来越多的政府部门和企业机构的广泛应用，共享信息与网上业务的不断增加，网络攻击和犯罪活动猖獗。如何防止网络中机密信息的泄露和篡改、阻止与打击信息犯罪、保障网络与信息安全，给人们提出了严峻的挑战。网络通信每天都面临着大量的各种方式的攻击，攻击可以分为主动攻击和被动攻击。主动攻击是指以各种方式有选择地破坏信息，如修改、删除、伪造、添加、重放、乱序冒充等。被动攻击是指在不干扰网络系统正常工作的情况下，进行侦收、截获、窃取、破译等。其中，重放是一种重要的攻击手段。

重放攻击是指攻击者首先通过网络截取通信对等双方正常通信的数据包，然后将数据包原封不动，或经过修改，在等待一段时间之后，再发给数据包的接收者，即“重放”。重放的目的是为了冒充合法的一方和另一方进行通信。之所以采用重放的方式而不是直接发送伪造的数据包，是因为有的系统会将部分信息进行加密和认证，伪造的数据包可能无法取得数据包接收方的信任，而采用重放原本合法的数据包则可以达到此目的。

现有技术为了解决重放攻击的问题，在每个安全性网络协议(internet protocolsecurity，IPSec)报头内，都包含了一个独一无二、且单调递增的序列号，通过每个数据包的序列号和一个“滑动”的接收窗口来主动筛选出重放报文，但是由于序列号单调递增，易猜测，容易造成防重放机制失效。

发明内容

有鉴于此，本申请提供了一种报文加解密方法、网络设备及系统，用以解决有效地预防重放攻击的问题。

第一方面，本申请实施例提供了一种报文加密方法，该方法包括：第一网络设备与第二网络设备预先协商确定原始密钥，然后第一网络设备利用原始密钥生成子密钥集合，进而从子密钥集合中确定出一个子密钥，并利用这个子密钥与生成的数据报文的序列号的第一字段进行加密处理，从而生成加密字段，第一网络设备利用这个加密字段替换该数据报文的序列号的第一字段，然后得到修改后的数据报文，将修改后的数据报文发送至第二网络设备。

因为数据报文中的序列号被加密了，所以攻击者即使截取了数据报文也无法解密得到原始序列号，所以可以有效地预防重放攻击的问题。

其中，第一网络设备与第二网络设备预先协商确定原始密钥的方式主要是采用IKE协商，协商过程是第一网络设备向所述第二网络设备发送因特网密钥交换IKE协商请求报文，其中IKE协商请求报文中的预定标识位的值指示第一网络设备支持对序列号加密传输；然后第二网络设备向第一网络设备发送IKE协商响应报文，其中，IKE协商响应报文中的预定标识位的值指示所述第二网络设备支持对序列号加密传输，并且在协商过程中利用密钥种子生成一个原始密钥。

进而，第一网络设备将与所述第二网络设备协商确定的原始密钥拆分为N个字段，然后将所述N个字段复制成M个字段，并生成由M个字段组成的子密钥集合，之所以这样做，是为了增加子密钥的随机性和复杂性，避免被攻击者猜测出来。