[发明专利]报文处理方法、装置及相关设备

说明书

本申请提供了一种报文处理方法，该方法包括：网络设备接收第一报文，其中，第一报文中包括第一序列号，网络设备的防重放窗口保存有一个或者多个序列号；如果网络设备确定防重放窗口保存的一个或者多个序列号中不存在第一序列号、且防重放窗口中序列号的数量达到上限值，并且第一序列号大于防重放窗口保存的多个序列号中的最小值，则网络设备用第一序列号替换防重放窗口中的最小值并保存第一报文。通过上述防重放窗口的更新机制，能够减少因乱序报文引起的误判丢包问题。

技术领域

本申请涉及计算机技术领域，尤其涉及一种报文处理方法、装置及相关设备。

背景技术

重放攻击的原理是攻击者窃取通信双方正常通信的数据包，然后向目的主机发送窃取的数据包，从而造成目的主机再次接收到此前已接收过的报文。通过重放攻击攻击者能够达到欺骗目的主机，冒充合法发送者与目的主机通信的目的。

互联网协议安全(internet protocol security，IPSec)通过滑动窗口机制来防止重放攻击。发送端在发送的报文中携带单调递增的序列号依，接收端设备维护一个以滑动方式更新的防重放窗口。接收端设备在接收到一个报文之后，根据报文中携带的序列号以及防重放窗口保存的序列号，确定接收到的报文是否是用于重放攻击的报文，进而确定是否丢弃接收到的报文。但是由于报文在传输过程中会出现乱序，即序列号大的报文可能会比序列号小的报文先到达接收端设备，当前防重放攻击的方法中，当接收端设备先接收到序列号大的乱序报文时，会导致后到达的序列号较小的报文被误认为是用于重放攻击的报文或过期报文而被丢弃。如何避免防重放攻击时的误判丢包成为一个广泛探讨的问题。

发明内容

本申请实施例公开了一种报文处理方法、装置及相关设备，能够在防重放的同时降低报文被错误丢弃的数量。

第一方面，本申请实施例提供了一种报文处理方法，该方法包括：网络设备接收第一报文，其中，第一报文中包括第一序列号，网络设备的防重放窗口保存有一个或者多个序列号，当所述防重放窗口保存多个序列号时，防重放窗口顺序保存上述多个序列号；如果网络设备确定防重放窗口保存的一个或者多个序列号中不存在第一序列号、且防重放窗口中序列号的数量达到上限值，并且第一序列号大于防重放窗口保存的多个序列号中的最小值，则网络设备用第一序列号替换防重放窗口中的最小值并保存第一报文。

网络设备在接收到上述第一报文之后，网络设备将第一报文中的第一序列号与防重放窗口中已经存在的序列号进行对比。如果防重放窗口中已经存在的序列号中不存在第一序列号，防重放窗口中序列号的数量达到的上限值，且第一序列号大于上述防重放窗口中序列号的最小值，则网络设备确定第一报文不是攻击者用于重放攻击的重放报文网络设备保存第一报文以获取报文中的数据。并且网络设备用第一报文携带的第一序列号替换防重放窗口中已经存在的序列号中的最小值，采用新接收到的报文的序列号替换防重放窗口中已有序列号的最小值，能够避免网络设备在接收到序列号较大的乱序报文后，根据乱序报文携带的较大的序列号滑动防重放窗口，使得防重放窗口的最小值大于未到达的报文的序列号，导致序列号较小的报文到达时被错误丢弃的问题，降低被错误丢弃的报文的数量。

在一种可能的实施方式中，上述方法还包括：网络设备接收第二报文，第二报文中包括第二序列号；如果网络设备确定防重放窗口保存的一个或多个序列号中不存在第二序列号、且防重放窗口中序列号的数量达到上限值且第二序列号小于防重放窗口保存的一个或多个序列号中的最小值，网络设备丢弃第二报文。

网络设备根据接收到的报文携带的序列号小于防重放窗口中已经存在的序列号的最小值，确定接收到的第二报文是用于重放攻击的报文或者是过期报文，网络设备丢弃第二报文，能够防止攻击者实施重放攻击。

在一种可能的实施方式中，上述方法还包括：网络设备接收第三报文，第三报文中包括第三序列号；如果网络设备确定防重放窗口保存的一个或多个序列号中不存在第三序列号、且防重放窗口中序列号的数量未达到上限值，网络设备保存第三序列号至防重放窗口中，并保存第三报文。