專利名稱:一種報文處理方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及通信網(wǎng)絡路由安全技術,尤其涉及一種報文處理方法及系統(tǒng)�����。
背景技術:
重放攻擊又稱重播攻擊����,是一種常見的網(wǎng)絡攻擊方法,攻擊者首先截獲在通信雙方在某次交互過程中由其中一方發(fā)送的數(shù)據(jù)包����,并在以后某個合適的時機向該數(shù)據(jù)包的接收端重新發(fā)送截獲的數(shù)據(jù),如果在所述數(shù)據(jù)包中沒有包含足夠的信息使接收端能夠判斷出該數(shù)據(jù)包是第一次發(fā)送的數(shù)據(jù)包還是重發(fā)的數(shù)據(jù)包���,攻擊者就能夠冒充通信雙方中的一方來欺騙另一方�,以達到攻擊的目的����。重放攻擊會不斷惡意或欺詐性地重復一個有效的數(shù)據(jù)傳輸,重放攻擊可以由發(fā)起者���,也可以由攔截并重發(fā)該數(shù)據(jù)的敵方進行����。攻擊者利用網(wǎng)絡監(jiān)聽或者其他方式盜取認證憑據(jù),之后再把它重新發(fā)給認證服務器�����。通常采用加密和IPSec中重放窗口來抵抗重放攻擊����。中間系統(tǒng)到中間系統(tǒng)(IS-1S)協(xié)議是目前在網(wǎng)絡中應用最廣泛的內(nèi)部網(wǎng)關路由協(xié)議之一,該路由協(xié)議使用三大類報文=Hello報文����、鏈路狀態(tài)數(shù)據(jù)包(LSP)和序列號數(shù)據(jù)包(SNP)����,Hello報文用來建立和維持IS-1S路由之間的鄰接關系;LSP用來承載和泛洪路由器的鏈路狀態(tài)信息����,并且LSP是路由器進行最短路徑優(yōu)先(SPF)技術的依據(jù);SNP用來進行鏈路狀態(tài)數(shù)據(jù)庫的同步�����,并且用來對LSP進行請求和確認。根據(jù)不同的IS-1SPDU類型和特定的網(wǎng)絡環(huán)境��,緊跟在各種類型IS-1SPDU之后的是 TLV(Type/Length/Value)字段���,PDU 包頭與 TLV 字段構成了一個完整的 IS-1SPDU����。TLV字段用來通告各種不同的路由選擇信息�����,其中包括:LSP ID����、LSP序列號、LSP校驗和��、區(qū)域關聯(lián)狀態(tài)等���。當一臺運行IS-1S路由器接入網(wǎng)絡中后����,它產(chǎn)生的第一個LSP的序列號為I。當網(wǎng)絡環(huán)境發(fā)生變化時����,路由器將重新生成LSP,并將LSP序列號加I����。同樣,當?shù)竭_LSP的刷新間隔時�����,路由器將刷新此LSP并擴散到網(wǎng)絡中����,這時LSP序列號也同樣加I?��?梢钥闯觯琇SP序列號主要用于使路由器能夠識別一個LSP的新舊版本����,不能用來抵抗重放攻擊。Internet協(xié)議安全性(IPSec)是一種開放標準的框架結構,通過使用加密的安全服務以確保在Internet協(xié)議(IP)網(wǎng)絡上進行保密而安全的通訊����。反重播窗口確保每個IP包的唯一性��,保證信息萬一被截取復制后�����,不能再被重新利用���、重新傳輸回目的地址。該特性可以防止攻擊者截取破譯信息后�����,再用相同的信息包冒取非法訪問權�。IS-1S使用人工配置密鑰,并且�,在報文傳輸過程中,密鑰更新困難����。IS-1S使用手工密鑰配置,IPSec配置參數(shù)較多�,對于IS-1S這種大型網(wǎng)絡如果使用IPSec來增強IS-1S的安全性,IPSec配置困難,需要非常大的人力資源進行管理��,所以對于手工配置的IS-1S不易使用IPSec中的抵抗重放窗口來預防重放攻擊�。并且,由于現(xiàn)有IPSec抗重放攻擊滑動窗口是按照窗口最大值進行滑動���,對于延遲的數(shù)據(jù)包有可能被誤認為是重播數(shù)據(jù)包�,進而會將有效的數(shù)據(jù)包丟棄��。RFC3567�����、RFC5304�、RFC5310 詳細介紹了 IS-1S 使用 Hashed MessageAuthentication Code-Message Digest 5(HMAC-MD5)和Hashed Message AuthenticationCode-Secure Hash Algorithm(HMAC-SHA)密鑰算法來增強IS-1S的安全性,但是使用這兩種算法不能用來防止重放攻擊。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明的主要目的在于提供一種報文處理方法及系統(tǒng)��,能夠有效抵擋重放攻擊�,增強系統(tǒng)安全性及可靠性。為達到上述目的����,本發(fā)明的技術方案是這樣實現(xiàn)的:一種報文處理方法,包括:接收側收到來自發(fā)送側的報文�����,所述報文至少攜帶鑒定序列號INum �����;接收側將所述報文的INum與滑動窗口的窗頭值LNum和/或滑動窗口的窗尾值HNum進行比較����,判斷是否丟棄所述報文。該方法還包括:發(fā)送側向接收側發(fā)送報文���,其中�����,發(fā)送側發(fā)送的第一個報文的INum為手工配置或默認配置�,之后�����,發(fā)送新報文時�,INum增加I。所述接收側將所述報文的INum與滑動窗口的窗頭值LNum和/或滑動窗口的窗尾值HNum進行比較,判斷是否丟棄所述報文為:INum > HNum,且INum與HNum的差值小于預先設置的閾值�,則判定所述報文為有效報文;INum > HNum,且INum與HNum的差值不小于預先設置的閾值,則判定所述報文為無效報文���,丟棄所述報文�����;INum < LNum,則判定所述報文是重播報文�,丟棄所述報文�����;INum位于接收窗口內(nèi)�,則查找接收窗口內(nèi)是否有相應的記錄。所述INum > HNum,且INum與HNum的差值小于預先設置的閾值的情況下,該方法還包括:HNum位置有記錄���,則將HNum的值保存在滑動窗口內(nèi)�����,并且將滑動窗口窗尾值HNum設置為INum�。所述INum位于接收窗口內(nèi)的情況下���,該方法還包括:INum = LNum���,則重新設置窗口的大小或者移動窗口 ;否則�,遍歷滑動窗口,如果窗口內(nèi)有與INum相應的記錄�,則認為所述報文為重播報文,丟棄所述報文�����,如果窗口內(nèi)沒有與INum相應的記錄,則將所述INum插入到窗口中相應位置��。所述重新設置窗口的大小或者移動窗口為:INum = LNum,并且窗口中LNum+1的位置沒有記錄,重設窗頭值或者移動窗口一個位置����;重設窗頭值的情況下,將LNum設置為LNum+1���,并且給新的窗頭值設置一個生存時間��,超過所述生存時間����,自動將窗頭值置” I ” ;滑動窗口的情況下,將窗口向右滑動一個單位���,此時窗頭值LNum和窗尾值HNum都增加1���,并且給新的窗頭值設置一個生存時間,超過所述生存時間���,自動將該窗頭值置” I”��;INum = LNum,并且窗頭值后有連續(xù)的η記錄不為空,重設窗頭值或者移動窗口 η+1個位置��;重設窗頭值的情況下���,將LNum設置為LNum+n+1,并且給新的窗頭值設置一個生存時間����,超過所述生存時間,自動將窗頭值置” I ” ;滑動窗口的情況下���,將窗口向右滑動η+1個單位�����,此時窗頭值和窗尾值都增加n+1�����,����,并且給新的窗頭值設置一個生存時間�����,超過所述生存時間�,則自動將窗頭值置” I ”。該方法還包括:如果重新設置窗頭值后�����,窗口大小不小于預先設定的最小窗口值��,則只需要重新設置窗頭值����,不需要滑動窗口 ;如果重新設置窗頭值后���,窗口大小小于比預先設定的最小窗口值�����,則需要滑動窗口�����。所述接收側接收到的報文還包括報文序列號�,接收側判定不需要丟棄所述報文后,該方法還包括:判斷是否需要更新數(shù)據(jù)庫���,具體為:接收側在數(shù)據(jù)庫中搜索對應的記錄��,若記錄不存在�����,則將其加入數(shù)據(jù)庫中�,并廣播新數(shù)據(jù)庫內(nèi)容��;若數(shù)據(jù)庫中的報文序列號小于所述報文的報文序列號���,就替換為新報文�,并廣播新數(shù)據(jù)庫內(nèi)容。一種報文處理系統(tǒng)��,該系統(tǒng)包括報文接收模塊����、判斷模塊和執(zhí)行模塊;其中�����,所述報文接收模塊���,用于接收來自發(fā)送側的報文,所述報文至少攜帶鑒定序列號INum ���;所述判斷模塊��,用于將所述報文的INum與滑動窗口的窗頭值LNum和/或滑動窗口的窗尾值HNum進行比較�����,判斷是否丟棄所述報文����;所述執(zhí)行模塊,用于根據(jù)判斷模塊的判斷結果執(zhí)行相應的操作�����。所述判斷模塊將所述報文的INum與滑動窗口的窗頭值LNum和/或滑動窗口的窗尾值HNum進行比較��,判斷是否丟棄所述報文為:INum > HNum,且INum與HNum的差值小于預先設置的閾值��,則判定所述報文為有效報文�;INum > HNum,且INum與HNum的差值不小于預先設置的閾值,則判定所述報文為無效報文,丟棄所述報文�����;INum < LNum,則判定所述報文是重播報文�,丟棄所述報文;INum位于接收窗口內(nèi)�,則查找接收窗口內(nèi)是否有相應的記錄。所述執(zhí)行模塊�����,還用于在INum > HNum,且INum與HNum的差值小于預先設置的閾值�、且HNum位置有記錄的情況下,將HNum的值保存在滑動窗口內(nèi),并且將滑動窗口窗尾值HNum設置為INum���。所述INum位于接收窗口內(nèi)的情況下���,所述執(zhí)行模塊,還用于在INum = LNum時,則重新設置窗口的大小或者移動窗口 ;否則����,遍歷滑動窗口,如果窗口內(nèi)有與INum相應的記錄��,則認為所述報文為重播報文�,丟棄所述報文,如果窗口內(nèi)沒有與INum相應的記錄����,則將所述INum插入到窗口中相應位置����。所述執(zhí)行模塊重新設置窗口的大小或者移動窗口為:INum = LNum,并且窗口中LNum+1的位置沒有記錄,重設窗頭值或者移動窗口一個位置;重設窗頭值的情況下�,將LNum設置為LNum+1,并且給新的窗頭值設置一個生存時間�,超過所述生存時間,自動將窗頭值置” I ” ;滑動窗口的情況下,將窗口向右滑動一個單位��,此時窗頭值LNum和窗尾值HNum都增加1�����,并且給新的窗頭值設置一個生存時間���,超過所述生存時間�����,自動將該窗頭值置” I”��;INum = LNum,并且窗頭值后有連續(xù)的η記錄不為空,重設窗頭值或者移動窗口 η+1個位置�;重設窗頭值的情況下��,將LNum設置為LNum+n+1�����,并且給新的窗頭值設置一個生存時間�,超過所述生存時間,自動將窗頭值置” I ”滑動窗口的情況下�����,將窗口向右滑動η+1個單位,此時窗頭值和窗尾值都增加η+1����,,并且給新的窗頭值設置一個生存時間��,超過所述生存時間�����,則自動將窗頭值置” I ”�����。所述執(zhí)行模塊重新設置窗口的大小或者移動窗口為:如果重新設置窗頭值后�,窗口大小不小于預先設定的最小窗口值,則只需要重新設置窗頭值��,不需要滑動窗口 ����;如果重新設置窗頭值后�����,窗口大小小于比預先設定的最小窗口值,則需要滑動窗口�。所述判斷模塊,還用于在判定不需要丟棄所述報文后�����,進一步判斷是否需要更新數(shù)據(jù)庫�����,具體為:在數(shù)據(jù)庫中搜索對應的記錄�����,若記錄不存在���,則將其加入數(shù)據(jù)庫中����,并廣播新數(shù)據(jù)庫內(nèi)容�����;若數(shù)據(jù)庫中的報文序列號小于所述報文的報文序列號,就替換為新報文����,并廣播新數(shù)據(jù)庫內(nèi)容。本發(fā)明報文處理方法及系統(tǒng)����,接收側收到來自發(fā)送側的報文,所述報文至少攜帶鑒定序列號INum ;接收側將所述報文的INum與滑動窗口的窗頭值LNum和/或滑動窗口的窗尾值HNum進行比較���,判斷是否丟棄所述報文��。通過本發(fā)明�,滑動窗口依據(jù)窗頭值(最小值)進行滑動���,且滑動窗口的大小是不固定的�,所以能夠有效的抵抗重放攻擊��,并且對于延遲報文有很好的處理效果�,增強系統(tǒng)安全性及可靠性。
圖1為本發(fā)明報文處理方法流程示意圖���;圖2為本發(fā)明實施例2的方法流程示意圖��;圖3為本發(fā)明實施例3的方法流程示意圖��;圖4為本發(fā)明實施例4的方法流程示意圖����;圖5為本發(fā)明實施例5的一滑動窗口不意圖�����;圖6為本發(fā)明實施例5的另一滑動窗口示意圖�����;圖7為本發(fā)明實施例5的又一滑動窗口示意圖����;圖8為本發(fā)明實施例5的又一滑動窗口示意圖;圖9為本發(fā)明實施例5的又一滑動窗口不意圖����;圖10為本發(fā)明實施例5的又一滑動窗口不意圖。
具體實施例方式本發(fā)明的基本思想是:接收側收到來自發(fā)送側的報文�����,所述報文至少攜帶鑒定序列號INum ;接收側將所述報文的INum與滑動窗口的窗頭值LNum和/或滑動窗口的窗尾值HNum進行比較,判斷是否丟棄所述報文����。圖1為本發(fā)明報文處理方法流程示意圖,如圖1所示�,該方法包括:步驟101:接收側收到來自發(fā)送側的報文,所述報文至少攜帶鑒定序列號INum�����。這里�,發(fā)送側發(fā)送的第一個報文的INum —般為手工配置或默認配置,之后��,發(fā)送新報文時����,INum增加I。
步驟102:接收側將所述報文的INum與滑動窗口的窗頭值LNum和/或滑動窗口的窗尾值HNum進行比較��,判斷是否丟棄所述報文�。該步驟可以為:如果INum > HNum,并且INum與HNum的差值小于預先設置的閾值,則認為該報文為有效報文;如果INum與HNum的差值不小于預先設置的閾值�,則認為該報文為無效報文,丟棄該報文;如果INum < LNum,則認為該報文是重播報文�����,丟棄該報文����;如果INum位于接收窗口內(nèi)����,則查找接收窗口內(nèi)是否有相應的記錄。INum > HNum,且INum與HNum的差值小于預先設置的閾值的情況下,如果HNum位置有記錄����,則將HNum的值保存在滑動窗口內(nèi),并且將滑動窗口窗尾值即HNum設置為INum��,此時不滑動窗口只是改變滑動窗口窗尾值的大小��,窗頭值不改變�。INum位于接收窗口內(nèi)的情況下,如果INum = LNum,則重新設置窗口的大小或者移動窗口 ;否則��,遍歷滑動窗口��,如果窗口內(nèi)有與INum相應的記錄,則認為該報文為重播報文,丟棄該報文��,如果窗口內(nèi)沒有與INum相應的記錄��,則將該INum插入到窗口中相應位置�����。重新設置窗口的大小或者移動窗口時�����,如果INum = LNum,并且窗口中LNum+1的位置沒有記錄�����,將重設窗頭值或者移動窗口 一個位置�;如果重設窗頭值,則將LNum設置為LNum+1�,并且給新的窗頭值設置一個生存時間,如果超過這個時間��,則自動將該窗頭值置” I” ���;如果滑動窗口��,則將窗口向右滑動一個單位���,此時窗頭值LNum和窗尾值HNum都增加1�����,并且給新的窗頭值設置一個生存時間,如果超過這個時間��,則自動將該窗頭值置” I”����。如果INum = LNum,并且窗頭值后有連續(xù)的η記錄不為空,則將重設窗頭值或者移動窗口 η+1個似直�。如果重設窗頭值,則將LNum設直為LNum+η+Ι���,并且給新的窗頭值設直一個生存時間����,如果超過這個時間����,則自動將該窗頭值置” I ”;如果滑動窗口時,則將窗口向右滑動η+1個單位,此時窗頭值和窗尾值都增加η+1��,��,并且給新的窗頭值設置一個生存時間����,如果超過這個時間,則自動將該窗頭值置” I”���。本發(fā)明中��,需要重新設置窗頭值還是需要滑動窗口�����,需要將現(xiàn)在窗口大小與預先設定的最小窗口值進行比較:如果重新設置窗頭值后�,此時的窗口大小不小于預先設定的最小窗口值�����,則只需要重新設直窗頭值�,不需要滑動窗口。如果重新設置窗頭值后��,此時的窗口大小小于比預先設定的最小窗口值,則需要滑動窗口�����,使得重新設置窗頭值后�����,窗口大小為最小滑動窗口���。步驟103:判定不需要丟棄所述報文,所述接收側進一步判別是否需要更新數(shù)據(jù)庫�����。需要說明的是�����,所述接收側接收到的報文還包括報文序列號����。這里,接收側判斷所述報文的報文序列號是否為最新報文:接收側在數(shù)據(jù)庫中搜索對應的記錄����,若記錄不存在����,則將其加入數(shù)據(jù)庫中�,并廣播新數(shù)據(jù)庫內(nèi)容。若數(shù)據(jù)庫中的報文序列號小于所述報文的報文序列號����,就替換為新報文,并廣播新數(shù)據(jù)庫內(nèi)容���。若數(shù)據(jù)庫中的報文序列號大于所述報文的報文序列號���,就向入端接口發(fā)送一個包含本地數(shù)據(jù)庫值的新報文。若數(shù)據(jù)庫中的報文序列號等于所述報文的報文序列號�,則不做任何事情。本發(fā)明還相應地提出了一種報文處理系統(tǒng)�����,包括報文接收模塊����、判斷模塊和執(zhí)行模塊���;其中,所述報文接收模塊���,用于接收來自發(fā)送側的報文�����,所述報文至少攜帶鑒定序列號INum ��;所述判斷模塊�����,用于將所述報文的INum與滑動窗口的窗頭值LNum和/或滑動窗口的窗尾值HNum進行比較�,判斷是否丟棄所述報文��;所述執(zhí)行模塊�����,用于根據(jù)判斷模塊的判斷結果執(zhí)行相應的操作�����。所述判斷模塊將所述報文的INum與滑動窗口的窗頭值LNum和/或滑動窗口的窗尾值HNum進行比較�����,判斷是否丟棄所述報文為:INum > HNum,且INum與HNum的差值小于預先設置的閾值���,則判定所述報文為有效報文�����;INum > HNum,且INum與HNum的差值不小于預先設置的閾值,則判定所述報文為無效報文�,丟棄所述報文���;INum < LNum,則判定所述報文是重播報文�����,丟棄所述報文��;INum位于接收窗口內(nèi)����,則查找接收窗口內(nèi)是否有相應的記錄�����。所述執(zhí)行模塊,還用于在INum > HNum,且INum與HNum的差值小于預先設置的閾值����、且HNum位置有記錄的情況下,將HNum的值保存在滑動窗口內(nèi)����,并且將滑動窗口窗尾值HNum設置為INum。所述INum位于接收窗口內(nèi)的情況下�,所述執(zhí)行模塊,還用于在INum = LNum時,則重新設置窗口的大小或者移動窗口 ;否則��,遍歷滑動窗口�����,如果窗口內(nèi)有與INum相應的記錄���,則認為所述報文為重播報文,丟棄所述報文�����,如果窗口內(nèi)沒有與INum相應的記錄,則將所述INum插入到窗口中相應位置���。所述執(zhí)行模塊重新設置窗口的大小或者移動窗口為:INum = LNum,并且窗口中LNum+1的位置沒有記錄,重設窗頭值或者移動窗口一個位置�;重設窗頭值的情況下�,將LNum設置為LNum+1,并且給新的窗頭值設置一個生存時間�����,超過所述生存時間���,自動將窗頭值置” I ” ;滑動窗口的情況下�����,將窗口向右滑動一個單位���,此時窗頭值LNum和窗尾值HNum都增加1,并且給新的窗頭值設置一個生存時間�����,超過所述生存時間,自動將該窗頭值置” I”��;INum = LNum,并且窗頭值后有連續(xù)的η記錄不為空,重設窗頭值或者移動窗口 η+1個位置��;重設窗頭值的情況下����,將LNum設置為LNum+n+1,并且給新的窗頭值設置一個生存時間�,超過所述生存時間,自動將窗頭值置” I ”滑動窗口的情況下����,將窗口向右滑動η+1個單位,此時窗頭值和窗尾值都增加η+1��,��,并且給新的窗頭值設置一個生存時間���,超過所述生存時間��,則自動將窗頭值置” I ”����。所述執(zhí)彳了|旲塊重新設直窗口的大小或者移動窗口為:如果重新設直窗頭值后��,窗口大小不小于預先設定的最小窗口值���,則只需要重新設置窗頭值�,不需要滑動窗口 �;如果重新設置窗頭值后,窗口大小小于比預先設定的最小窗口值���,則需要滑動窗口��。所述判斷模塊���,還用于在判定不需要丟棄所述報文后,進一步判斷是否需要更新數(shù)據(jù)庫�����,具體為:在數(shù)據(jù)庫中搜索對應的記錄��,若記錄不存在�����,則將其加入數(shù)據(jù)庫中,并廣播新數(shù)據(jù)庫內(nèi)容���;若數(shù)據(jù)庫中的報文序列號小于所述報文的報文序列號���,就替換為新報文,并廣播新數(shù)據(jù)庫內(nèi)容���。下面通過具體實施例對本發(fā)明的技術方案作進一步詳細說明�����。實施例1以中間系統(tǒng)到中間系統(tǒng)(IS-1S)路由環(huán)境下實現(xiàn)抵抗重放攻擊為例����,本實施例可以通過擴展IS-1S報文中的TLV片段來實現(xiàn)抵抗重放攻擊的功能����,具體的,可以在TLV中添加鑒定序列號IdentifyNumber (INum),并設置滑動窗口窗頭值LowNumber (LNum)和滑動窗口窗尾值HighNumber(HNum)來實現(xiàn)抵抗重放攻擊����,該滑動窗口的移動是依據(jù)窗口最小值移動,并且滑動窗口的大小不固定��,本發(fā)明實施例對于報文出現(xiàn)延遲的情況也能很好的實現(xiàn)抗重放攻擊的功能。本實施例包括以下步驟:1���、廣播網(wǎng)絡中指定中間系統(tǒng)或者點到點網(wǎng)絡中的發(fā)送端發(fā)送新報文時���,INum增加1��,當IS-1S系統(tǒng)建立后���,發(fā)送的第一個報文INum為手工配置或默認配置��,以后再發(fā)送報文��,INum增加I���。2、接收路由收到報文后���,發(fā)送報文的INum與滑動窗口中的窗頭值LNum�����、窗尾值HNum進行比較��。3�、接收路由收到報文后,發(fā)送報文的LSP Sequence Number與數(shù)據(jù)庫中的LSPSequence Number 進行比較��。在本實施例步驟I中��,當IS-1S系統(tǒng)建立后�,發(fā)送的第一個報文INum為管理員配置,并且接收路由LNum的值比INum的值要小���,并且預先設置一個最小窗口大小����,HNum的值為LNum與所述最小窗口大小值之和減I ;設置一個閾值�����,若果收到的INum與滑動窗口最大值的差值大于這個閾值���,則認為該報文為無效報文�����。進一步地��,在實施例步驟2包括以下步驟:(a’ )中間系統(tǒng)收到報文的INum與滑動窗口中的LNum���、HNum進行比較���,如果INum> HNum,并且INum與HNum的差值小于預先設置的閾值,則將認為該報文為有效報文����;如果INum與HNum的差值不小于預先設置的閾值�,則認為該報文為無效報文。(b’ )中間系統(tǒng)收到報文的INum與數(shù)據(jù)庫中的LNum�����、HNum進行比較��,如果INum< LNum���,則認為該報文是重播報文�,丟棄該報文���。(c’ )中間系統(tǒng)收到報文的INum位于接收窗口內(nèi)����,則將查找接收窗口內(nèi)是否有相應的記錄。進一步地,在本發(fā)明中,在上述步驟(a’)中,若INum > HNum,如果HNum位置有記錄����,則將HNum的值保存在滑動窗口內(nèi),并且將滑動窗口窗尾值即HNum設置為INum���,此時不滑動窗口只是改變滑動窗口窗尾值的大小�����,窗頭值不改變�����。進一步地��,在本實施例步驟(c’ )包括以下步驟:(a”)如果INum = LNum,則重新設置窗口的大小或者移動窗口�����。(b”)否則�,遍歷滑動窗口��,如果窗口內(nèi)有與INum相等的記錄,則認為該報文為重播報文�,丟棄該報文。(c”)否則�����,則將該IN.插入到窗口中相應位置����。進一步地,本實施例步驟(a”)包括以下內(nèi)容:(a”’)如果INum = LNum,并且窗口中LNum+1的位置沒有記錄,將重設窗頭值或者移動窗口 個似直�����。如果重設窗頭值����,則將LNum設直為LNum+Ι���,并且給新的窗頭值設直一個生存時間�����,如果超過這個時間���,則自動將該窗頭值置” I”;如果滑動窗口時����,則將窗口向右滑動一個單位�����,此時窗頭值LNum和窗尾值都增加1�,并且給新的窗頭值設置一個生存時間,如果超過這個時間���,則自動將該窗頭值置” I”��。(b”’ )如果INum = LNum,并且窗頭值后有連續(xù)的η記錄不為空��,則將重設窗頭值或者移動窗口 η+1個似直�����。如果重設窗頭值��,則將LNum設直為Lnum+n+Ι��,并且給新的窗頭值設置一個生存時間���,如果超過這個時間�����,則自動將該窗頭值置” I”;如果滑動窗口時���,則將窗口向右滑動η+1個單位,此時窗頭值和窗尾值都增加η+1����,,并且給新的窗頭值設置一個生存時間�,如果超過這個時間,則自動將該窗頭值置” I ”����。進一步地���,本實施例步驟3包括以下步驟:(a)中間系統(tǒng)接收到報文���,在數(shù)據(jù)庫中搜索對應的記錄。若記錄不存在,則將其加入數(shù)據(jù)庫中�,并廣播新數(shù)據(jù)庫內(nèi)容。(b)若數(shù)據(jù)庫中的 LSP Sequence Number 小于報文中的 LSP Sequence Number,就替換為新報文���,并廣播新數(shù)據(jù)庫內(nèi)容�����。(C)若數(shù)據(jù)庫中的LSP Sequence Number比較大,就向入端接口發(fā)送一個包含本地數(shù)據(jù)庫值的新報文����。(d))若數(shù)據(jù)庫中的 LSP Sequence Number 等于報文中的 LSP Sequence Number,則不做任何處理���。本實施例的滑動窗口依據(jù)窗頭值(最小值)的進行滑動�,且滑動窗口的大小是不固定的�����,可以很好的解決報文在傳輸過程中遇到延遲的情況���,并能有效的抵抗重放攻擊��。實施例2本實施例為在廣播網(wǎng)絡中����,路由器使用CSNP來保證鏈路狀態(tài)數(shù)據(jù)庫的完整性,通過本發(fā)明方法抵抗重放攻擊��。圖2為本發(fā)明實施例2的方法流程示意圖���,如圖2所示�����,該流程包括以下步驟:步驟201:在廣播網(wǎng)絡中��,指定中間系統(tǒng)周期性的發(fā)送全時序協(xié)議數(shù)據(jù)單元(CSNP),并且每次生成新的報文,其IdentifyNumber(INum)增加I ;如果是新的系統(tǒng)建立����,則生成的第一個CSNP報文的INum為人工配置�,接收路由LNum的值比INum的值要小,并且預先設置一個最小窗口大小�����,HNum的值為LNum與窗口大小值之和減1����,并且預先設置一個閾值為T。步驟202:在廣播網(wǎng)絡中�,CSNP報文泛洪到每個路由器。步驟203:判別本地中間系統(tǒng)使用HMAC-MD5安全機制生成密鑰與報文所攜帶的密鑰是否匹配�����,如果匹配��,執(zhí)行步驟205 ;否則�,執(zhí)行步驟204。步驟204:密鑰不匹配����,認為該報文為無效報文,丟棄該報文�����。步驟205:比較全時序數(shù)據(jù)單元的INum是否小于本地滑動窗口的窗頭值LNum,如果是��,執(zhí)行步驟206 ;否則���,執(zhí)行步驟207�����。
步驟206:全時序數(shù)據(jù)單元的INum小于接收窗口的窗頭值LNum���,則認為該報文為重播報文�����,丟棄該報文����。步驟207:比較報文CSNP的INum是否大于滑動窗口最大值HNum���,如果是���,執(zhí)行步驟208 ;否則,執(zhí)行步驟209��。步驟208:如果報文CSNP的INum大于HNum�,并且Inum與HNum的差值小于預先設置的閾值T,則將認為該報文為有效報文�����;如果HNum在滑動窗口中有記錄�����,則將HNum的值保存在窗口中��,并且將滑動窗口窗尾值即HNum設置為INum�,此時不滑動窗口只是改變滑動窗口窗尾值的大小,窗頭值不改變�。如果Inum與HNum的差值不小于預先設置的閾值T,則認為該報文為無效報文。步驟209:報文CSNP的INum值在滑動窗口內(nèi)���,則查找滑動窗口內(nèi)是否保存有與INum值相等的記錄�,如果是����,執(zhí)行步驟210 ;否則,執(zhí)行步驟211�����。步驟210:滑動窗口中存儲有記錄與INum值相等�,則認為該全時序數(shù)據(jù)單元為重播報文,丟棄該報文�。步驟211:滑動窗口內(nèi)中沒有相應的記錄,將INum值插入到滑動窗口的相應位置�����,并且,如果INum = LNum,則重新設置窗口的最小值或者移動窗口���。具體步驟如下:(a)如果INum = LNum,并且窗口中LNum+Ι的位置沒有記錄,將重設窗頭值或者移動窗口 個位直���;如果重設窗頭值,則將LNum設直為LNum+1���,并且給新的窗頭值設直Iv生存時間���,如果超過這個時間,則自動將該窗頭值置” I”;如果滑動窗口時��,則將窗口向右滑動一個單位�����,此時窗頭值LNum和窗尾值都增加1�����,并且給新的窗頭值設置一個生存時間,如果超過這個時間����,則自動將該窗頭值置” I”。(b)如果INum = LNum,并且窗頭值后有連續(xù)的η記錄不為空,則將重設窗頭值或者移動窗口 η+1個似直�����;如果重設窗頭值��,則將LNum設直為LNum+η+Ι�,并且給新的窗頭值設置一個生存時間���,如果超過這個時間��,則自動將該窗頭值置” I”;如果滑動窗口時��,則將窗口向右滑動η+1個單位���,此時窗頭值和窗尾值都增加η+1,�,并且給新的窗頭值設置一個生存時間,如果超過這個時間��,則自動將該窗頭值置” I ”�����。步驟212:將收到的CSNP報文序列號(Sequence Number)與已有的序列號進行比較:(a)中間系統(tǒng)接收到報文,在數(shù)據(jù)庫中搜索對應的記錄��。若記錄不存在���,則將其加入數(shù)據(jù)庫中�����,并廣播新數(shù)據(jù)庫內(nèi)容�。(b)若數(shù)據(jù)庫中的 LSP Sequence Number 小于報文中的 LSP Sequence Number,就替換為新報文�����,并廣播新數(shù)據(jù)庫內(nèi)容�����。(C)若數(shù)據(jù)庫中的LSP Sequence Number比較大,就向入端接口發(fā)送一個包含本地數(shù)據(jù)庫值的新報文��。(d))若數(shù)據(jù)庫中的 LSP Sequence Number 等于報文中的 LSP Sequence Number,則不做任何處理����。步驟213:使用CSNP中的LSP摘要信息與本地的鏈路狀態(tài)數(shù)據(jù)庫中的LSP進行比較���,如果發(fā)現(xiàn)本地鏈路狀態(tài)數(shù)據(jù)庫中的信息不完整或者沒有同步,則本地路由器使用PSNP向指定中間系統(tǒng)請求缺少的LSP條目���。這個PSNP報文包含請求的LSP條目的摘要信息��。
步驟214:當指定路由器DIS收到其他路由器發(fā)送的PSNP報文后���,發(fā)送一個完整的LSP報文�,這個LSP報文就是其他路由器所缺少的LSP條目。實施例3本實施例為在點到點網(wǎng)絡中(P2P)中�,路由器不會周期性的發(fā)送CSNP報文,CSNP報文只在鏈路激活時發(fā)送一次����,而且鏈路兩端的路由器都會發(fā)送CSNP報文以描述本地鏈路狀態(tài)數(shù)據(jù)庫中所有LSP的摘要信息。在CSNP傳輸過程中通過本發(fā)明方法抵抗重放攻擊���。圖3為本發(fā)明實施例3的方法流程示意圖�,如圖3所示�����,該流程包括以下步驟:步驟301:在P2P網(wǎng)絡中,鏈路發(fā)送端發(fā)送一次全時序協(xié)議數(shù)據(jù)單元(CSNP)����,并且鏈路端每次發(fā)送新的報文,其IdentifyNumber(INum)增加I ;如果是新的系統(tǒng)建立,則生成的第一個CSNP報文的INum為人工配置�����;并且接收路由LNum的值比INum的值要小�,并且預先設置一個最小窗口大小,HNum的值為LNum與窗口大小值之和減I ;并且預先設置一個閾值T�。步驟302:在點到點的網(wǎng)絡中,CSNP報文從鏈路一端傳送到另一端���。步驟303:判別本地中間系統(tǒng)使用HMAC-MD5安全機制生成密鑰與報文所攜帶的密鑰是否匹配���,如果是,執(zhí)行步驟305 ;否則���,執(zhí)行步驟304����。步驟304:密鑰不匹配,則認為該報文為無效報文�,丟棄該報文。步驟305:比較全時序數(shù)據(jù)單元的INum是否小于本地滑動窗口的窗頭值LNum,如果是����,執(zhí)行步驟306 ;否則,執(zhí)行步驟307��。步驟306:全時序數(shù)據(jù)單元的INum小于接收窗口的窗頭值LNum�,則認為該報文為重播報文,丟棄該報文�����。步驟307:比較報文CSNP的INum是否大于本地數(shù)據(jù)庫存儲的HNum�,如果是���,執(zhí)行步驟308 ;否則��,執(zhí)行步驟309��。步驟308:如果報文CSNP的INum大于HNum���,并且Inum與HNum的差值小于預先設置的閾值T�����,則將認為該報文為有效報文����;如果HNum在滑動窗口中有記錄��,則將HNum的值保存在窗口中�����,并且將滑動窗口窗尾值即HNum設置為INum���,此時不滑動窗口只是改變滑動窗口窗尾值的大小���,窗頭值不改變。如果Inum與HNum的差值不小于預先設置的閾值T,則認為該報文為無效報文�。步驟309:如果報文CSNP的INum值在滑動窗口內(nèi),則查找滑動窗口內(nèi)是否保存有與INum值相等的記錄,如果是,執(zhí)行步驟310 ;否則,執(zhí)行步驟311����。步驟310:滑動窗口中存儲有記錄與INum值相等,則認為該全時序數(shù)據(jù)單元為重播報文,丟棄該報文��。步驟311:滑動窗口內(nèi)中沒有相應的記錄,將INum值插入到滑動窗口的相應位置���,進一步的�,如果INum = LNum,則重新設置窗口的最小值或者移動窗口�,具體步驟如下:(a)如果INum = LNum,并且窗口中LNum+Ι的位置沒有記錄,將重設窗頭值或者移動窗口 個位直�;如果重設窗頭值,則將LNum設直為LNum+1���,并且給新的窗頭值設直Iv生存時間����,如果超過這個時間��,則自動將該窗頭值置” I”;如果滑動窗口時�����,則將窗口向右滑動一個單位��,此時窗頭值LNum和窗尾值都增加1����,并且給新的窗頭值設置一個生存時間,如果超過這個時間���,則自動將該窗頭值置” I”�����。(b)如果INum = LNum,并且窗頭值后有連續(xù)的η記錄不為空,則將重設窗頭值或者移動窗口 η+1個似直��;如果重設窗頭值���,則將LNum設直為LNum+η+Ι,并且給新的窗頭值設置一個生存時間�����,如果超過這個時間�,則自動將該窗頭值置” I”;如果滑動窗口時,則將窗口向右滑動η+1個單位��,此時窗頭值和窗尾值都增加η+1�����,��,并且給新的窗頭值設置一個生存時間,如果超過這個時間�,則自動將該窗頭值置” I ”。步驟312:將收到的CSNP報文序列號(Sequence Number)與已有的序列號進行比較:(a)如果收到的LSP比已有的序列號更大��,則將這個新的LSP存入自己的LSDB中��,再通過一個PSNP報文來確認收到此LSP�,最后將這個新LSP再接著發(fā)到所有其他鄰居。(b)如果收到的LSP和已有的具有相同的序列號�,則直接通過一個PSNP報文確認收到此LSP。(c)如果收到的LSP比已有的序列號更小�,則通過一個PSNP報文確認此LSP,再發(fā)送給對方我們版本的LSP���,然后等待對方給我一個PSNP報文作為回答���。步驟313:使用CSNP中的LSP摘要信息與本地的鏈路狀態(tài)數(shù)據(jù)庫中的LSP進行比較,如果發(fā)現(xiàn)本地鏈路狀態(tài)數(shù)據(jù)庫中的信息不完整或者沒有同步��,則本地路由器使用PSNP向鏈路發(fā)送端請求缺少的LSP條目�����。這個PSNP報文包含就是請求的LSP條目的摘要信息�����。步驟314:當發(fā)送端路由器收到對端路由器發(fā)送的PSNP報文后����,將會發(fā)送一個完整的LSP報文,這個LSP報文就是對端路由器所缺少的LSP條目��。步驟315:接收端收到LSP報文后��,發(fā)送確認報文PSNP給發(fā)送端���,通知對端已收到完整的報文���。實施例4本實施例為廣播網(wǎng)絡中指定中間系統(tǒng)或者點到點網(wǎng)絡中的發(fā)送端接收到請求消息PSNP后,指定中間系統(tǒng)或鏈路發(fā)送端發(fā)送LSP的過程���,在LSP傳輸過程中使用本發(fā)明方法抵抗重放攻擊��。圖4為本發(fā)明實施例4的流程示意圖���,如圖4所示,該流程包括以下步驟:步驟401:廣播網(wǎng)絡中指定中間系統(tǒng)或者點到點網(wǎng)絡中的發(fā)送端接收到請求消息PSNP后,指定中間系統(tǒng)或鏈路發(fā)送端發(fā)送LSP,其IdentifyNumber(INum)增加I ;步驟402:在廣播網(wǎng)絡中,LSP報文泛洪到每個路由器��;在點到點的網(wǎng)絡中���,LSP報文從鏈路一端傳送到另一端��。步驟403:判別本地中間系統(tǒng)使用HMAC-MD5安全機制生成密鑰與報文所攜帶的密鑰是否匹配�����,如果匹配�,執(zhí)行步驟405 ;否則�,執(zhí)行步驟404。步驟404:密鑰不匹配����,則認為該報文為無效報文,丟棄該報文����。步驟405:比較全時序數(shù)據(jù)單元的INum是否小于本地滑動窗口的窗頭值LNum,如果是,執(zhí)行步驟406 ;否則��,執(zhí)行步驟407�����。步驟406:全時序數(shù)據(jù)單元的INum小于接收窗口的窗頭值LNum,則認為該報文為重播報文����,丟棄該報文��。步驟407:比較報文CSNP的INum是否大于本地數(shù)據(jù)庫存儲的HNum����,如果是,執(zhí)行步驟408 ;否則��,執(zhí)行步驟409�。步驟408:如果報文CSNP的INum大于HNum,并且Inum與HNum的差值小于預先設置的閾值T,則將認為該報文為有效報文���;如果HNum在滑動窗口中有記錄�,則將HNum的值保存在窗口中����,并且將滑動窗口窗尾值即HNum設置為INum,此時不滑動窗口只是改變滑動窗口窗尾值的大小��,窗頭值不改變。如果Inum與HNum的差值不小于預先設置的閾值T���,則認為該報文為無效報文���。步驟409:報文CSNP的INum值滑動窗口內(nèi),則查找滑動窗口內(nèi)是否保存有與INum值相等的記錄�����,如果是�����,執(zhí)行步驟410 ;否則�,執(zhí)行步驟411。步驟410:滑動窗口中存儲有記錄與INum值相等,則認為該全時序數(shù)據(jù)單元為重播報文�,丟棄該報文。步驟411:滑動窗口內(nèi)中沒有相應的記錄�,將INum值插入到滑動窗口的相應位置,如果INum = LNum,則重新設置窗口的最小值或者移動窗口�,具體步驟如下:(a)如果INum = LNum,并且窗口中LNum+Ι的位置沒有記錄,將重設窗頭值或者移動窗口 個位直;如果重設窗頭值��,則將LNum設直為LNum+1�����,并且給新的窗頭值設直Iv生存時間,如果超過這個時間���,則自動將該窗頭值置” I ”;如果滑動窗口時���,則將窗口向右滑動一個單位����,此時窗頭值LNum和窗尾值都增加1,并且給新的窗頭值設置一個生存時間��,如果超過這個時間�����,則自動將該窗頭值置” I”����。(b)如果INum = LNum,并且窗頭值后有連續(xù)的η記錄不為空,則將重設窗頭值或者移動窗口 η+1個似直;如果重設窗頭值����,則將LNum設直為LNum+η+Ι��,并且給新的窗頭值設置一個生存時間��,如果超過這個時間���,則自動將該窗頭值置” I”;如果滑動窗口時,則將窗口向右滑動η+1個單位��,此時窗頭值和窗尾值都增加η+1�,,并且給新的窗頭值設置一個生存時間��,如果超過這個時間�,則自動將該窗頭值置” I ”。步驟412:將收到的CSNP報文序列號(Sequence Number)與已有的序列號進行比較���。步驟413:接收端路由器將收到的LSP條目儲存在本地數(shù)據(jù)庫中���。實施例5本實施例具體說明滑動窗口更新過程,具體步驟如下:步驟1:假設此時滑動窗口的窗頭值(最小值)值為31�����,最右端(最大值)為70����,預先設定最小窗口大小為40�����,如圖5所示�。步驟2:當接收到一個INum值為31的報文后����,由于INum = LNum,所以此時LNum的值也即滑動窗口最小值都更改為32,并且為窗頭值設置一個生存時間��,如圖6所示���。步驟3:當接收到一個INum值為72的報文后,由于INum > HNum,所以此時HNum的值更改為72���?���;瑒哟翱趦?nèi)存儲內(nèi)容如圖7所示����。步驟4:當接收到一個INum值為33的報文后�����,由于滑動窗口中沒有相應的記錄��,則將該值插入滑動窗口的相應位置�����,如圖8所示�。當窗頭值超過生存時間后�����,滑動窗口的存儲情況如圖9所示步驟5:如果重新設置窗頭值后��,此時的窗口大小小于比預先設定的最小窗口值���,則需要滑動窗口�����,使得重新設置窗頭值后��,窗口大小為最小滑動窗口����,如圖10所示。以上所述��,僅為本發(fā)明的較佳實施例而已�,并非用于限定本發(fā)明的保護范圍。
權利要求
1.一種報文處理方法,其特征在于,該方法包括: 接收側收到來自發(fā)送側的報文����,所述報文至少攜帶鑒定序列號INum ; 接收側將所述報文的INum與滑動窗口的窗頭值LNum和/或滑動窗口的窗尾值HNum進行比較��,判斷是否丟棄所述報文�����。
2.根據(jù)權利要求1所述的方法��,其特征在于����,該方法還包括:發(fā)送側向接收側發(fā)送報文�,其中,發(fā)送側發(fā)送的第一個報文的INum為手工配置或默認配置�,之后����,發(fā)送新報文時��,INum增加I��。
3.根據(jù)權利要求1所述的方法����,其特征在于,所述接收側將所述報文的INum與滑動窗口的窗頭值LNum和/或滑動窗口的窗尾值HNum進行比較�,判斷是否丟棄所述報文為: INum > HNum,且INum與HNum的差值小于預先設置的閾值,則判定所述報文為有效報文�; INum > HNum,且INum與HNum的差值不小于預先設置的閾值,則判定所述報文為無效報文,丟棄所述報文��; INum < LNum���,則判定所述報文是重播報文�����,丟棄所述報文����; INum位于接收窗口內(nèi),則查找接收窗口內(nèi)是否有相應的記錄��。
4.根據(jù)權利要求3所述的方法,其特征在于�����,所述INum> HNum,且INum與HNum的差值小于預先設置的閾值的情況下�,該方法還包括: HNum位置有記錄,則將HNum的值保存在滑動窗口內(nèi)���,并且將滑動窗口窗尾值HNum設置為 INum�����。
5.根據(jù)權利要求3所述的方法�,其特征在于��,所述INum位于接收窗口內(nèi)的情況下���,該方法還包括: INum = LNum,則重新設置窗口的大小或者移動窗口 ����;否則���,遍歷滑動窗口,如果窗口內(nèi)有與INum相應的記錄�����,則認為所述報文為重播報文���,丟棄所述報文����,如果窗口內(nèi)沒有與INum相應的記錄,則將所述INum插入到窗口中相應位置�。
6.根據(jù)權利要求5所述的方法,其特征在于��,所述重新設置窗口的大小或者移動窗口為: INum = LNum,并且窗口中LNum+1的位置沒有記錄,重設窗頭值或者移動窗口一個位置����;重設窗頭值的情況下,將LNum設置為LNum+1�����,并且給新的窗頭值設置一個生存時間,超過所述生存時間�,自動將窗頭值置” I ” ;滑動窗口的情況下,將窗口向右滑動一個單位�,此時窗頭值LNum和窗尾值HNum都增加1,并且給新的窗頭值設置一個生存時間��,超過所述生存時間�����,自動將該窗頭值置” I”�; INum = LNum,并且窗頭值后有連續(xù)的η記錄不為空���,重設窗頭值或者移動窗口 η+1個位置�����;重設窗頭值的情況下��,將LNum設置為LNum+n+1����,并且給新的窗頭值設置一個生存時間��,超過所述生存時間����,自動將窗頭值置” I ” ;滑動窗口的情況下,將窗口向右滑動η+1個單位���,此時窗頭值和窗尾值都增加η+1����,����,并且給新的窗頭值設置一個生存時間,超過所述生存時間�,則自動將窗頭值置” I”。
7.根據(jù)權利要求5或6所述的方法�,其特征在于,該方法還包括:如果重新設置窗頭值后��,窗口大小不小于預先設定的最小窗口值�����,則只需要重新設置窗頭值���,不需要滑動窗口 ����;如果重新設直窗頭值后,窗口大小小于比預先設定的最小窗口值��,則需要滑動窗口��。
8.根據(jù)權利要求1所述的方法�,其特征在于,所述接收側接收到的報文還包括報文序列號����,接收側判定不需要丟棄所述報文后,該方法還包括:判斷是否需要更新數(shù)據(jù)庫���,具體為: 接收側在數(shù)據(jù)庫中搜索對應的記錄�����,若記錄不存在��,則將其加入數(shù)據(jù)庫中�����,并廣播新數(shù)據(jù)庫內(nèi)容�; 若數(shù)據(jù)庫中的報文序列號小于所述報文的報文序列號,就替換為新報文��,并廣播新數(shù)據(jù)庫內(nèi)容���。
9.一種報文處理系統(tǒng),其特征在于����,該系統(tǒng)包括報文接收模塊、判斷模塊和執(zhí)行模塊��;其中��, 所述報文接收模塊�����,用于接收來自發(fā)送側的報文�,所述報文至少攜帶鑒定序列號INum ; 所述判斷模塊���,用于將所述報文的INum與滑動窗口的窗頭值LNum和/或滑動窗口的窗尾值HNum進行比較����,判斷是否丟棄所述報文; 所述執(zhí)行模塊����,用于根據(jù)判斷模塊的判斷結果執(zhí)行相應的操作。
10.根據(jù)權利要求9所述的系統(tǒng)��,其特征在于����,所述判斷模塊將所述報文的INum與滑動窗口的窗頭值LNum和/或滑動窗口的窗尾值HNum進行比較,判斷是否丟棄所述報文為: INum > HNum,且INum與HNum的差值小于預先設置的閾值��,則判定所述報文為有效報文����; INum > HNum,且INum與HNum的差值不小于預先設置的閾值,則判定所述報文為無效報文,丟棄所述報文����; INum < LNum,則判定所述報文是重播報文��,丟棄所述報文���; INum位于接收窗口內(nèi)��,則查找接收窗口內(nèi)是否有相應的記錄��。
11.根據(jù)權利要求10所述的系統(tǒng)��,其特征在于���, 所述執(zhí)行模塊,還用于在INum > HNum,且INum與HNum的差值小于預先設置的閾值����、且HNum位置有記錄的情況下,將HNum的值保存在滑動窗口內(nèi)�,并且將滑動窗口窗尾值HNum設置為INum。
12.根據(jù)權利要求10所述的系統(tǒng)��,其特征在于�,所述INum位于接收窗口內(nèi)的情況下, 所述執(zhí)行模塊���,還用于在INum = LNum時,則重新設置窗口的大小或者移動窗口 �;否則��,遍歷滑動窗口,如果窗口內(nèi)有與INum相應的記錄��,則認為所述報文為重播報文�,丟棄所述報文,如果窗口內(nèi)沒有與INum相應的記錄,則將所述INum插入到窗口中相應位置�����。
13.根據(jù)權利要求12所述的系統(tǒng)�,其特征在于,所述執(zhí)行模塊重新設置窗口的大小或者移動窗口為: INum = LNum,并且窗口中LNum+1的位置沒有記錄,重設窗頭值或者移動窗口一個位置��;重設窗頭值的情況下���,將LNum設置為LNum+1����,并且給新的窗頭值設置一個生存時間�����,超過所述生存時間�����,自動將窗頭值置” I ” ;滑動窗口的情況下,將窗口向右滑動一個單位��,此時窗頭值LNum和窗尾值HNum都增加1���,并且給新的窗頭值設置一個生存時間��,超過所述生存時間���,自動將該窗頭值置” I”; INum = LNum,并且窗頭值后有連續(xù)的η記錄不為空���,重設窗頭值或者移動窗口 η+1個位置;重設窗頭值的情況下��,將LNum設置為LNum+n+1�����,并且給新的窗頭值設置一個生存時間��,超過所述生存時間��,自動將窗頭值置” I”滑動窗口的情況下,將窗口向右滑動η+1個單位�����,此時窗頭值和窗尾值都增加η+1��,�,并且給新的窗頭值設置一個生存時間,超過所述生存時間�����,則自動將窗頭值置” I”��。
14.根據(jù)權利要求13所述的系統(tǒng)�,其特征在于,所述執(zhí)行模塊重新設置窗口的大小或者移動窗口為:如果重新設置窗頭值后��,窗口大小不小于預先設定的最小窗口值����,則只需要重新設置窗頭值,不需要滑動窗口 ����;如果重新設置窗頭值后�,窗口大小小于比預先設定的最小窗口值���,則需要滑動窗口���。
15.根據(jù)權利要求9所述的系統(tǒng),其特征在于���, 所述判斷模塊��,還用于在判定不需要丟棄所述報文后��,進一步判斷是否需要更新數(shù)據(jù)庫�,具體為: 在數(shù)據(jù)庫中搜索對應的記 錄�,若記錄不存在,則將其加入數(shù)據(jù)庫中�,并廣播新數(shù)據(jù)庫內(nèi)容�����; 若數(shù)據(jù)庫中的報文序列號小于所述報文的報文序列號����,就替換為新報文��,并廣播新數(shù)據(jù)庫內(nèi)容��。
全文摘要
本發(fā)明公開了一種報文處理方法���,包括接收側收到來自發(fā)送側的報文,所述報文至少攜帶鑒定序列號INum��;接收側將所述報文的INum與滑動窗口的窗頭值LNum和/或滑動窗口的窗尾值HNum進行比較���,判斷是否丟棄所述報文����。本發(fā)明還相應地公開了一種報文處理系統(tǒng)����。通過本發(fā)明,滑動窗口依據(jù)窗頭值(最小值)進行滑動���,且滑動窗口的大小是不固定的����,所以能夠有效的抵抗重放攻擊�����,對于延遲報文有很好的處理效果,增強系統(tǒng)安全性及可靠性����。
文檔編號H04L29/06GK103095563SQ201110339389
公開日2013年5月8日 申請日期2011年11月1日 優(yōu)先權日2011年11月1日
發(fā)明者苗忠明, 梁小萍, 韋銀星 申請人:中興通訊股份有限公司