[发明专利]一种报文防重放方法及装置

说明书

本发明提供一种报文防重放方法及装置，所述方法包括：接收报文；当确定为非首次接收到报文时，根据记录的第一防重放序号，确定所述报文对应的第二防重放序号；当所述第二防重放序号与前次同步至所述分布式设备中除所述目标板卡外的其它板卡的防重放序号之间的差值达到预设的序号备份间隔时，将所述第二防重放序号同步至所述其它板卡，用于所述其它板卡记录所述第二防重放序号，并在发生流量切换时，由所述其他板卡中处理流量的板卡根据已同步的防重放序号确定报文对应的防重放序号。应用本发明实施例可以避免流量切换导致的网络中断。

技术领域

本发明涉及网络通信技术领域，尤其涉及一种报文防重放方法及装置。

背景技术

IPsec(Internet Protocol Security，互联网安全)是IETF(The InternetEngineering Task Force，国际互联网工程任务组)制定的三层隧道加密协议，它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证，是一种传统的实现三层VPN(Virtual Private Network，虚拟专用网络)的安全技术。

IPsec通过滑动窗口(防重放窗口)机制检测重放报文。若接收到的报文的序号(防重复序号)落在防重放窗口右侧，则允许报文通过；若接收到的报文的序号落在防重放窗口左侧，则直接丢弃；若接收到的报文的序号落在防重放窗口内，则进一步判断是否接收过携带该序号的报文，接收过则丢弃，否则允许通过。

以图1所示防重放窗口为例，该防重放窗口大小为32，当报文的防重放序号大于186时，该防重放序号落在防重放窗口右侧，允许报文通过；当报文的防重放序号小于155时，该防重放需要落在防重放窗口左侧，则直接丢弃；当报文的防重放序号为155～186之间任一个时，该防重放序号落在防重放窗口内，需要进一步判断是否接收过携带该序号的报文，接收过则丢弃，否则允许通过。

然而实践发现，现有IPsec防重放方案中，对于分布式设备，当发生板卡插拔或主备倒换时，会触发流量切换，当流量被切换到新板卡之后，报文的序号会初始化为0，而接收端并不知道发送端发生了流量切换，其防重放窗口已经滑动到了一定位置，那么从发送端的新板卡发送到接收端的报文基本上都会被丢弃，从而造成网络中断。

发明内容

本发明提供一种报文防重放方法及装置，以解决现有报文防重放方案中流量切换可能会导致网络中断的问题。

根据本发明的第一方面，提供一种报文防重放方法，应用于分布式设备的目标板卡，所述方法包括：

接收报文；

当确定为非首次接收到报文时，根据记录的第一防重放序号，确定所述报文对应的第二防重放序号；

当所述第二防重放序号与前次同步至所述分布式设备中除所述目标板卡外的其它板卡的防重放序号之间的差值达到预设的序号备份间隔时，将所述第二防重放序号同步至所述其它板卡，用于所述其它板卡记录所述第二防重放序号，并在发生流量切换时，由所述其他板卡中处理流量的板卡根据已同步的防重放序号确定报文对应的防重放序号。

可选地，所述接收报文之后，还包括：

当确定为首次接收到报文，且记录的第一防重放序号不为0时，根据所述第一防重放序号、所述序号备份间隔以及流量切换期间内接收到的报文数，确定所述报文对应的第三防重放序号；

将所述第三防重放序号同步至所述其它板卡，用于所述其它板卡记录所述第三防重放序号；

当确定为首次接收到报文，且记录的第一防重放序号为0时，根据所述第一防重放序号，确定所述报文对应的第四防重放序号。

可选地，所述板卡设置有流量处理标志位，且所述流量处理标志位的初始值为第一标识值，所述第一标识值表明所述板卡处于非流量处理状态；