專利名稱:報(bào)文防重放方法及裝置�����、網(wǎng)絡(luò)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信系統(tǒng)����,具體地�����,涉及一種基于IPSec的報(bào)文防重放方法及裝置����、網(wǎng)絡(luò)設(shè)備����。
背景技術(shù):
IPSec (IP Security)是IETF制定的三層隧道加密協(xié)議,它為互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的�、可互操作的、基于密碼學(xué)的安全保證�����。IPsec為通信方提供了加密與數(shù)據(jù)源認(rèn)證等安全服務(wù)�,其中包括防重放(Anti-Replay),即IPSec接收方可檢測(cè)并拒絕接收過時(shí)或重復(fù)的報(bào)文�����。重放是指攻擊者截獲并記錄協(xié)議運(yùn)行中的信息�����,在以后的協(xié)議運(yùn)行中把所記錄的信息重傳給相同的信息接收者��,以獲得相應(yīng)的秘密信息��,攻擊者并不需要知道所重放信息的具體內(nèi)容���。
例如����,A與B進(jìn)行通信時(shí)���,首先相互傳輸身份驗(yàn)證信息�,然后相互傳輸數(shù)據(jù)信息�����。假如攻擊者C截獲了 A發(fā)送給B的身份驗(yàn)證信息��,雖然不知道其具體內(nèi)容���,但可以把該信息原樣記錄下來���。然后攻擊者C通過向B重新發(fā)送這段信息��,就有可能騙過B的驗(yàn)證而獲得B所發(fā)送的數(shù)據(jù)信息���,從而實(shí)現(xiàn)重放攻擊。其中重放的數(shù)據(jù)包可以是原數(shù)據(jù)包�����,也可以是經(jīng)過修改的數(shù)據(jù)包�,重放的目的是為了冒充合法的通信者和另一方進(jìn)行通信,之所以采用重放方式而非直接發(fā)送偽造的數(shù)據(jù)包��,是因?yàn)橛械南到y(tǒng)會(huì)將部分信息進(jìn)行簡(jiǎn)單加密或者認(rèn)證���,偽造的數(shù)據(jù)包可能無法取得數(shù)據(jù)包接收方的信任����。重放攻擊會(huì)迫使系統(tǒng)被迫處理大量不必要的操作���,嚴(yán)重時(shí)可導(dǎo)致拒絕服務(wù)��。重放可能導(dǎo)致攻擊者獲得會(huì)話密鑰或成功地冒充其他人�,干擾系統(tǒng)的正常運(yùn)行處理致使系統(tǒng)癱瘓。IPSec協(xié)議提供的防重放服務(wù)��,通過單調(diào)遞增的序列號(hào)和“滑動(dòng)”窗口機(jī)制來阻擋這種攻擊���。在基于IPSec的發(fā)送端,在每個(gè)基于IPSec的數(shù)據(jù)包的包頭內(nèi)都包含了一個(gè)序列號(hào)字段���,當(dāng)創(chuàng)建一個(gè)新的安全聯(lián)盟(SA, Security Associate) (SA用于提供通信安全服務(wù))時(shí)�,序列號(hào)計(jì)數(shù)器便會(huì)初始化為0����,每當(dāng)在這一 SA上發(fā)送一個(gè)數(shù)據(jù)包���,序列號(hào)計(jì)數(shù)器的值加I并將序列號(hào)字段的值設(shè)置成計(jì)數(shù)器的值�����。計(jì)數(shù)器的值嚴(yán)格單調(diào)遞增,當(dāng)達(dá)到其最大值232-1時(shí)����,就應(yīng)建立一個(gè)新的SA。在基于IPSec的接收端建立具有若干連續(xù)比特位的滑動(dòng)窗口�,滑動(dòng)窗口的長(zhǎng)度為W,W的推薦值為64比特,每個(gè)比特的值表示一個(gè)數(shù)據(jù)報(bào)文���。窗口最左端對(duì)應(yīng)于窗口起始位置報(bào)文的序列號(hào)N���,而最右端對(duì)應(yīng)于可接收的合法報(bào)文的最高序列號(hào)N+W-1。每收到一個(gè)報(bào)文����,接收端按如下原則進(jìn)行處理I、如果分組序列號(hào)落在滑動(dòng)窗口之內(nèi)���,并且先前沒有接收過����,則接收該分組并標(biāo)記該報(bào)文為已接收��;若先前接收過����,則該報(bào)文是重放報(bào)文,丟棄該分組����。2��、如果收到的分組序列號(hào)落在窗口的左側(cè)����,說明該報(bào)文是過期報(bào)文����,過期報(bào)文包括未接收到的報(bào)文或者是重放報(bào)文���,則丟棄該分組��。3�����、如果收到的分組的序列號(hào)落在窗口的右側(cè)���,即分組序列號(hào)大于N+W-1,則對(duì)該分組進(jìn)行完整性檢查��,若未通過檢查則丟棄����;若通過則向右移動(dòng)滑動(dòng)窗口,使窗口的右邊界剛好包含該分組的序列號(hào)。下面都以W = 8為例說明通過滑動(dòng)窗口防重放的處理過程���。在圖Ia示例中���,窗口最左端的序列號(hào)為N,最右端的序列號(hào)為N+7��。圖中用0和陰影表示數(shù)據(jù)包尚未收到���,即編號(hào)為N�����、N+3�����、N+6���、N+8和N+10以及之后的數(shù)據(jù)包尚未收到。如果最近收到的數(shù)據(jù)包N+9通過了真實(shí)性檢查���,窗口便會(huì)向右滑動(dòng)2個(gè)位置�,使窗口左側(cè)變成N+2,右側(cè)變成N+9����。這樣便會(huì)造成數(shù)據(jù)包N無可挽回地被丟棄,因?yàn)樗F(xiàn)在變成在滑動(dòng)接收窗口的左側(cè)����,如圖Ib所示。相反地,如果收到的N+9包沒有通過真實(shí)性檢查�,則丟棄該包���,窗口的位置不變��。這樣��,對(duì)于有序到達(dá)的報(bào)文�,通過對(duì)滑動(dòng)窗口內(nèi)比特位的連續(xù)更新和比特移位操作來實(shí)現(xiàn)滑動(dòng)窗口的移動(dòng)�����;對(duì)于攻擊者重放的數(shù)據(jù)包����,由于時(shí)延的原因?qū)o法通過滑動(dòng)窗 口的檢查而被丟棄�����。同理��,通過IPSec滑動(dòng)窗口的檢查也將攔截住偽造的數(shù)據(jù)包��。目前���,滑動(dòng)窗口的長(zhǎng)度通常被定義為最小32位、最大64位,但是針對(duì)最小窗口的具體大小目前還沒有一個(gè)具體的標(biāo)準(zhǔn)���。針對(duì)重新排序的報(bào)文���,窗口的長(zhǎng)度一般都要基于合理的規(guī)劃。而針對(duì)帶有多個(gè)密碼核的多核的網(wǎng)絡(luò)處理器���,由于不同核之間的協(xié)作處理將會(huì)導(dǎo)致各個(gè)IPSec的處理延時(shí)���,此時(shí)窗口大小一般將會(huì)超過64位或者128位。在這種情況下�,滑動(dòng)窗口的移位消耗的資源就會(huì)變得很大,甚至需要借助硬件來加速處理窗口的移位操作����。尤其是針對(duì)亂序到達(dá)的報(bào)文的處理�����,將會(huì)產(chǎn)生系統(tǒng)之間更多的互操作性���,并降低系統(tǒng)的性能?�?梢?���,在現(xiàn)有技術(shù)中,在基于IPSec的滑動(dòng)窗口進(jìn)行防重放的處理中�����,存在處理復(fù)雜��、處理效率低的問題�����。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明實(shí)施例提供了一種基于IPSec的防重放方法及裝置��、網(wǎng)絡(luò)設(shè)備����,用以解決現(xiàn)有技術(shù)中通過滑動(dòng)窗口防重放的處理存在的處理復(fù)雜��、處理效率低的問題�����。本發(fā)明實(shí)施例技術(shù)方案如下一種報(bào)文防重放方法�,包括對(duì)于當(dāng)前接收到的IPSec報(bào)文,將IPSec報(bào)文的序列號(hào)與預(yù)設(shè)的接收窗口中的滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間進(jìn)行對(duì)比����;根據(jù)對(duì)比結(jié)果在接收窗口中循環(huán)移位滑動(dòng)窗口來過濾重放報(bào)文。一種報(bào)文防重放裝置�����,包括接收模塊��,用于接收IPSec報(bào)文����;對(duì)比模塊��,用于將所述接收模塊當(dāng)前接收到的IPSec報(bào)文的序列號(hào)與預(yù)設(shè)的接收窗口中的滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間進(jìn)行對(duì)比��;移位模塊����,用于根據(jù)所述對(duì)比模塊的對(duì)比結(jié)果在接收窗口中循環(huán)移位滑動(dòng)窗口來過濾重放報(bào)文��。一種網(wǎng)絡(luò)設(shè)備����,包括如上所述的報(bào)文防重放裝置。根據(jù)本發(fā)明實(shí)施例的技術(shù)方案���,將IPSec報(bào)文的序列號(hào)與預(yù)設(shè)的接收窗口中的滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間進(jìn)行對(duì)比����,根據(jù)對(duì)比結(jié)果在接收窗口中循環(huán)移位滑動(dòng)窗口來過濾重放報(bào)文�����,能夠通過僅在接收窗口中循環(huán)移位滑動(dòng)窗口來實(shí)現(xiàn)滑動(dòng)窗口的滑動(dòng)移位�,以及通過循環(huán)移位的滑動(dòng)窗口來過濾重放報(bào)文,能夠降低移位滑動(dòng)窗口的處理復(fù)雜度�����,降低系統(tǒng)開銷�����,提高處理效率�����,從而能夠解決現(xiàn)有技術(shù)中�,通過順序移位的方式移位滑動(dòng)窗口進(jìn)行報(bào)文防重放處理而存在的處理復(fù)雜、處理效率低的問題����。本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述,并且��,部分地從說明書中變得顯而易見��,或者通過實(shí)施本發(fā)明而了解�。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在所寫的說明書、權(quán)利要求書、以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得���。
圖Ia為現(xiàn)有技術(shù)中基于IPSec的滑動(dòng)窗口的結(jié)構(gòu)框圖�;圖Ib為現(xiàn)有技術(shù)中基于IPSec的滑動(dòng)窗口過濾重放報(bào)文的示意圖����;圖2為本發(fā)明實(shí)施例提供的報(bào)文防重放方法的工作流程
圖3為圖2所示的方法的優(yōu)選實(shí)施方式的工作流程圖;圖4為本發(fā)明實(shí)施例提供的接收窗口和滑動(dòng)窗口的結(jié)構(gòu)框圖��;圖5a為本發(fā)明實(shí)施例提供的滑動(dòng)窗口的具體示例�����;圖5b為圖5a所示滑動(dòng)窗口循環(huán)移位的示例一�����;圖5c為圖5a所示滑動(dòng)窗口循環(huán)移位的示例二 ���;圖5d為圖5a所示滑動(dòng)窗口循環(huán)移位的示例三����;圖5e為圖5a所示滑動(dòng)窗口循環(huán)移位的示例四�����;圖6為本發(fā)明實(shí)施例提供的報(bào)文防重放裝置的結(jié)構(gòu)框圖�。
具體實(shí)施例方式以下結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行說明,應(yīng)當(dāng)理解�����,此處所描述的實(shí)施例僅用于說明和解釋本發(fā)明���,并不用于限定本發(fā)明�。本發(fā)明實(shí)施例針對(duì)現(xiàn)有技術(shù)中通過順序移位的方式移位滑動(dòng)窗口進(jìn)行報(bào)文防重放處理而存在的處理復(fù)雜��、處理效率低的問題�����,提出了一種報(bào)文防重放方案���,以解決該問題�。在本發(fā)明實(shí)施例提供的技術(shù)方案中�,將IPSec報(bào)文的序列號(hào)與預(yù)設(shè)的接收窗口中的滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間進(jìn)行對(duì)比,根據(jù)對(duì)比結(jié)果在接收窗口中循環(huán)移位滑動(dòng)窗口來過濾重放報(bào)文����,能夠通過僅在接收窗口中循環(huán)移位滑動(dòng)窗口來實(shí)現(xiàn)滑動(dòng)窗口的滑動(dòng)移位����,以及通過循環(huán)移位的滑動(dòng)窗口來過濾重放報(bào)文�,能夠降低移位滑動(dòng)窗口的處理復(fù)雜度,降低系統(tǒng)開銷���,提高處理效率���,從而能夠解決現(xiàn)有技術(shù)中,通過順序移位的方式移位滑動(dòng)窗口進(jìn)行報(bào)文防重放處理而存在的處理復(fù)雜���、處理效率低的問題����。圖2示出了本發(fā)明實(shí)施例提供的報(bào)文防重放方法的工作流程圖���,如圖2所示�����,該方法包括如下處理過程步驟21�����、對(duì)于接收到的IPSec報(bào)文�����,將IPSec報(bào)文的序列號(hào)與預(yù)設(shè)的接收窗口中的滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間進(jìn)行對(duì)比����;步驟22�、根據(jù)對(duì)比結(jié)果在接收窗口中循環(huán)移位滑動(dòng)窗口來過濾重放報(bào)文。根據(jù)上述處理過程����,能夠通過僅在接收窗口中循環(huán)移位滑動(dòng)窗口來實(shí)現(xiàn)滑動(dòng)窗口的滑動(dòng)移位,以及通過循環(huán)移位的滑動(dòng)窗口來過濾重放報(bào)文�,能夠降低移位滑動(dòng)窗口的處理復(fù)雜度,降低系統(tǒng)開銷�,提高處理效率,從而能夠解決現(xiàn)有技術(shù)中��,通過順序移位的方式移位滑動(dòng)窗口進(jìn)行報(bào)文防重放處理而存在的處理復(fù)雜����、處理效率低的問題�。圖3示出了圖2所示的方法的優(yōu)選實(shí)施方式���,如圖3所示�����,該處理過程包括步驟301��、預(yù)先設(shè)置接收窗口和滑動(dòng)窗口���,接收窗口的長(zhǎng)度為M比特,M=2m�,接收窗口中包括S個(gè)邏輯塊(Block),每個(gè)邏輯塊的長(zhǎng)度為T���,T=2t��,滑動(dòng)窗口最多包括S — I個(gè)邏輯塊�,這樣可以在接收窗口中為滑動(dòng)窗口保留足夠的冗余空間��,使得滑動(dòng)窗口在接收窗口中在循環(huán)移位時(shí)�,滑動(dòng)窗口的左邊界和右邊界分別處于不同的邏輯塊,從而避免循環(huán)移位帶來的滑動(dòng)窗口自身交疊的現(xiàn)象����;當(dāng)滑動(dòng)窗口包括S — I個(gè)邏輯塊時(shí)����,相比于滑動(dòng)窗口包括其它數(shù)目的邏輯塊����,可以減少占用的系統(tǒng)資源���、提高系統(tǒng)的處理效率��;滑動(dòng)窗口的長(zhǎng)度為W比特�����,例如�����,當(dāng)滑動(dòng)窗口包括S — I個(gè)邏輯塊時(shí)���,W = (S— I) XT^*,M��、m、S��、T��、t�����、M^為自然數(shù)�����;在報(bào)文防重放的處理過程中���,將接收窗口和滑動(dòng)窗口中的比特位與IPSec報(bào)文的序列號(hào)一一對(duì)應(yīng)����,接收窗口和滑動(dòng)窗口中的比特位對(duì)應(yīng)的報(bào)文序列號(hào)從左至右順序遞增�����, 接收窗口和滑動(dòng)窗口的結(jié)構(gòu)可如圖4所示�;接收窗口和滑動(dòng)窗口的長(zhǎng)度可以根據(jù)處理器具體的處理能力來設(shè)置;步驟302、對(duì)于當(dāng)前接收到的IPSec報(bào)文���,解析提取出該報(bào)文的序列號(hào)N �;步驟303����、將提取的IPSec報(bào)文的序列號(hào)N與滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間進(jìn)行對(duì)t匕,也即判斷報(bào)文的序列號(hào)N與滑動(dòng)窗口左邊界WB對(duì)應(yīng)的序列號(hào)和右邊界WT對(duì)應(yīng)的序列號(hào)的關(guān)系�;具體地,如果IPSec報(bào)文的序列號(hào)N處于滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間之內(nèi)����,即報(bào)文的序列號(hào)N大于或等于滑動(dòng)窗口左邊界WB對(duì)應(yīng)的序列號(hào)Nto�、且小于或等于滑動(dòng)窗口右邊界WT對(duì)應(yīng)的序列號(hào)Nwt,Nwb ^ Nwt則處理進(jìn)行到步驟304 ���;如果IPSec報(bào)文的序列號(hào)N小于滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間���,也即報(bào)文的序列號(hào)N小于滑動(dòng)窗口左邊界WB對(duì)應(yīng)的序列號(hào)Nto,N<Nm,說明該報(bào)文是過期報(bào)文�,過期報(bào)文包括重放報(bào)文,處理進(jìn)行到步驟306;如果IPSec報(bào)文的序列號(hào)N大于滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間��,也即報(bào)文的序列號(hào)N大于滑動(dòng)窗口右邊界WT對(duì)應(yīng)的序列號(hào)���,N>NffT,處理進(jìn)行到步驟307 �����;步驟304��、判斷之前是否接收過該報(bào)文��,具體地�����,可判斷滑動(dòng)窗口中與該報(bào)文的序列號(hào)N對(duì)應(yīng)的比特位是否標(biāo)記有已接收?qǐng)?bào)文的標(biāo)識(shí)�����,如果沒有標(biāo)識(shí)已接收?qǐng)?bào)文的標(biāo)識(shí)��,說明該報(bào)文應(yīng)當(dāng)接收��,處理進(jìn)行到步驟305����,如果已經(jīng)具有已接收?qǐng)?bào)文的標(biāo)記,說明該報(bào)文是重放報(bào)文,處理進(jìn)行到步驟306 ��;步驟305���、接收該報(bào)文��,并將滑動(dòng)窗口中與該報(bào)文的序列號(hào)N對(duì)應(yīng)的比特位標(biāo)記為報(bào)文已接收�����,處理返回步驟302 �����;步驟306�����、丟棄該報(bào)文,處理返回步驟302 ����;步驟307、檢查該報(bào)文的完整性����,如果通過檢查��,處理進(jìn)行到步驟308��,否則�,處理返回步驟306 �����;步驟308���、接收該報(bào)文�����;步驟309�����、確定該報(bào)文的序列號(hào)N與滑動(dòng)窗口對(duì)應(yīng)的最大序列號(hào)之間的差值a����,也即確定該報(bào)文的序列號(hào)N與滑動(dòng)窗口右邊界WT對(duì)應(yīng)的序列號(hào)Nwt之間的差值a����,a=N 一 Nwt ��;
步驟310����、判斷與差值a相同位數(shù)的比特是否大于接收窗口的長(zhǎng)度M���,在判斷為大于的情況下����,處理進(jìn)行到步驟311���,否則����,處理進(jìn)行到步驟312 ��;步驟311�、將差值a設(shè)置為接收窗口的長(zhǎng)度M����,即a = M;步驟312���、判斷移位后滑動(dòng)窗口的右邊界WT是否超過接收窗口的右邊界MT,也即判斷a是否大于接收窗口的右邊界MT與滑動(dòng)窗口的右邊界WT的比特位差值�����,a> (MT —WT)��,在判斷成立的情況下��,處理進(jìn)行到步驟313��,否則�,處理進(jìn)行到步驟315 ;步驟313���、確定移位后滑動(dòng)窗口的右邊界WT’超過接收窗口的右邊界MT的比特位數(shù) b����,即 b=WT’ 一 MT=WT+a — MT ����;步驟314、將接收窗口從左邊界MB起始與超過的比特位數(shù)b相同位數(shù)的比特位作為移位后滑動(dòng)窗口的右邊界WT’����,即WT’ =MB - 1+b����,將滑動(dòng)窗口的左邊界WB移位與差值a相同位數(shù)的比特位(即移位a個(gè)比特)作為移位后滑動(dòng)窗口的左邊界WB’��,WB’ =WB+a;處理進(jìn)行到步驟316; 步驟315�、將滑動(dòng)窗口的右邊界WT移位與差值a相同位數(shù)的比特位(即移位a個(gè)比特)作為移位后滑動(dòng)窗口的右邊界WT’,WT’ =WT+a,將滑動(dòng)窗口的左邊界WB移位與差值a相同位數(shù)的比特位(即移位a個(gè)比特)作為移位后滑動(dòng)窗口的左邊界WB’�����,WB’ =WB+a �;步驟316、根據(jù)該報(bào)文的序列號(hào)依次更新移位后滑動(dòng)窗口的各比特位對(duì)應(yīng)的序列號(hào)�����,具體地���,將滑動(dòng)窗口內(nèi)各比特位對(duì)應(yīng)的序列號(hào)加上差值a后的序列號(hào)作為各比特位移位后對(duì)應(yīng)的序列號(hào)���;步驟317、將滑動(dòng)窗口中該報(bào)文序列號(hào)N對(duì)應(yīng)的比特位標(biāo)記為報(bào)文已接收����;步驟318、在滑動(dòng)窗口的右邊界WT移位的a個(gè)比特位中�����,將除滑動(dòng)窗口的右邊界對(duì)應(yīng)的比特位之外其它的比特位標(biāo)記為未接收到報(bào)文���;進(jìn)一步�,如果滑動(dòng)窗口的右邊界WT移位后與移位前處于不同的邏輯塊�����,在移位后右邊界WT所在邏輯塊中��,將右邊界WT右側(cè)的比特位標(biāo)記為未接收到報(bào)文�,也即滑動(dòng)窗口移位的位數(shù)超過了滑動(dòng)窗口的右邊界WT與接收窗口的右邊界MT的距離,超出的部分從接收窗口的左邊界MB開始計(jì)數(shù)移位�����,則����,在滑動(dòng)窗口右邊界WT所在的邏輯塊中����,右邊界WT右側(cè)的對(duì)應(yīng)的序列號(hào)均為未接收到的報(bào)文的序列號(hào)�,因此,在該邏輯塊中將滑動(dòng)窗口右邊界WT右側(cè)的比特位標(biāo)記為未接收到報(bào)文����;并且,在移位后滑動(dòng)窗口的左邊界WB所在的邏輯塊中����,將左邊界WB左側(cè)的比特位標(biāo)記為不檢測(cè),也即滑動(dòng)窗口左邊界WB移位后�,報(bào)文序列號(hào)小于滑動(dòng)窗口左邊界WB對(duì)應(yīng)的序列號(hào)的報(bào)文為過期報(bào)文,該過期報(bào)文包括未接收到的報(bào)文或者是重放報(bào)文���,因此����,在滑動(dòng)窗口左邊界WB移位后����,將左邊界WB左側(cè)的比特位標(biāo)記為不檢測(cè),可以有效地過濾重放報(bào)文;處理返回步驟302�����。通過上述過濾報(bào)文的處理(即步驟303至步驟318)可以看出���,本發(fā)明實(shí)施提供的技術(shù)方案能夠?qū)崿F(xiàn)對(duì)重放報(bào)文的過濾和攔截,通過循環(huán)移位的處理(即步驟307至步驟318)����,能夠在預(yù)設(shè)的接收窗口內(nèi)循環(huán)移位滑動(dòng)窗口,通過這種在接收窗口內(nèi)循環(huán)移位的方式����,能夠?qū)⒒瑒?dòng)窗口移位所占用的系統(tǒng)資源控制在有限的范圍內(nèi),相比于現(xiàn)有技術(shù)中通過順序移位的方式移位滑動(dòng)窗口所占用的系統(tǒng)資源�����,能夠有效地降低系統(tǒng)開銷�,提高處理效率,從而能夠解決現(xiàn)有技術(shù)中報(bào)文防重放處理存在的處理復(fù)雜�����、處理效率低的問題。下面通過具體示例來更進(jìn)一步地說明上述循環(huán)移位的處理�����。在下述的示例中����,預(yù)設(shè)的接收窗口的長(zhǎng)度M為32bit,接收窗口包括4個(gè)邏輯塊Block����,即Block(TBlock3,每個(gè)Block包括8比特���,即bit0 bit7���,滑動(dòng)窗口包括3個(gè)Block,滑動(dòng)窗口的長(zhǎng)度W為24bit��,滑動(dòng)窗口的左邊界為WB�����、右邊界為WT�,接收窗口的左邊界為MB、右邊界為MT,比特位標(biāo)識(shí)為C表示該比特位為應(yīng)當(dāng)檢測(cè)的比特位(Check bit),比特位標(biāo)識(shí)為C包括0和I兩種情形,0表示尚未接收到報(bào)文�����,I表示已接收到報(bào)文��,比特位標(biāo)識(shí)為X表示該比特位不需檢測(cè)(Don��,tCare bit)�����。如圖5a所示��,當(dāng)前滑動(dòng)窗口在接收窗口中的位置為BlockO的bit6至Block3的bit5,即滑動(dòng)窗口的左邊界WB處于BlockO的bit6��,右邊界WT處于Block3的bit5�����。例一���,當(dāng)前接收到的IPSec報(bào)文的序列號(hào)N=WT+1,也即a = 1����,此時(shí)���,a〈M,且a〈MT —WT=7 - 5=2���,根據(jù)上述步驟301至步驟315的處理����,將滑動(dòng)窗口在接收窗口內(nèi)從左向右移位I個(gè)bit��,也即WT’ =WT+1�����,WB’ =WB+1����,移位后的滑動(dòng)窗口如圖5b所示;并將移位后的滑動(dòng)窗口內(nèi)各比特位對(duì)應(yīng)的序列號(hào)加I ;將移位后的WT’對(duì)應(yīng)的比特位標(biāo)記為I��。
例二���,當(dāng)前接收到的IPSec報(bào)文的序列號(hào)N=WT+6���,也即a=6�,根據(jù)本發(fā)明實(shí)施例提供循環(huán)移位的處理���,即上述步驟310至314的處理��,如圖5c所示�����,a〈M�,且a>MT-WT=7-5=2���,確定滑動(dòng)窗口移位后超過接收窗口右邊界的比特位b,b = WT+a-MT=5+6-7=4�,確定移位后的滑動(dòng)窗口的右邊界WT’,WT’ =MB-1+b=0-1+4=3,即將BlockO的bit3作為移位后滑動(dòng)窗口的右邊界WT’�,確定移位后的滑動(dòng)窗口的左邊界WB’,WB’ =WB+6,即將滑動(dòng)窗口的左邊界從Block, 0的bit6移位到Blockl的bit4 ;并將移位后的滑動(dòng)窗口內(nèi)各比特位對(duì)應(yīng)的序列號(hào)加6 ;在滑動(dòng)窗口右邊界WT移位的6個(gè)比特位中�����,將除右邊界所在比特以外的其它比特標(biāo)識(shí)為0����,即將Block3的bit6 bit7以及Blockl的bit0 bit2和bit4 bit7標(biāo)識(shí)為0���,在滑動(dòng)窗口左邊界WB移位后所在的Blockl中,將滑動(dòng)窗口左邊界WB左側(cè)的比特標(biāo)識(shí)為X����,即將Blockl 的 bitO bit3 標(biāo)記為 X。例三�,當(dāng)前接收到的IPSec報(bào)文的序列號(hào)N=WT+11,也即a=ll�����,根據(jù)本發(fā)明實(shí)施例提供循環(huán)移位的處理��,即上述步驟310至314的處理���,如圖5d所示����,a〈M���,且a>MT-WT=7-5=2�,確定滑動(dòng)窗口移位后超過接收窗口右邊界的比特位b,b = WT+a-MT=5+l 1-7=9���,確定移位后的滑動(dòng)窗口的右邊界WT’�,WT’ =MB-1+b=0-1+9=8,即將Blockl的bitO作為移位后滑動(dòng)窗口的右邊界WT ’�,確定移位后的滑動(dòng)窗口的左邊界WB ’,WB ’ =WB+11���,即將滑動(dòng)窗口的左邊界從BlockO的bit6移位到Block2的bitl ;并將移位后的滑動(dòng)窗口內(nèi)各比特位對(duì)應(yīng)的序列號(hào)加11 ;在滑動(dòng)窗口右邊界WT移位的11個(gè)比特位中���,將除右邊界WT所在比特以外的其它比特標(biāo)識(shí)為0,將右邊界WT所在邏輯塊中WT右側(cè)的比特位標(biāo)記為0�����,即將Block3的bit6 bit7����、BlockO的bit0 bit7以及Blockl的bitl bit7標(biāo)識(shí)為0�����,在滑動(dòng)窗口左邊界WB移位后所在的Blockl中���,將滑動(dòng)窗口左邊界WB左側(cè)的比特標(biāo)識(shí)為X����,即將Block2的bitO標(biāo)記為X。例四����、當(dāng)前接收到的IPSec報(bào)文的序列號(hào)N=WT+35,也即a=35���,根據(jù)本發(fā)明實(shí)施例提供循環(huán)移位的處理����,即上述步驟310至314的處理��,如圖5e所示���,a>M�,則令a=32�,這樣移位后滑動(dòng)窗口的右邊界WT和左邊界WB的位置不變,即移位后滑動(dòng)窗口的右邊界WT為Block3的bit5����,左邊界WB為BlockO的bit6 ;在滑動(dòng)窗口右邊界WT移位的32個(gè)比特位中����,將除右邊界WT所在比特以外的其它比特標(biāo)識(shí)為0��,將右邊界WT所在邏輯塊中WT右側(cè)的比特位標(biāo)記為 0,即將 BlockO 的 bit6 bit7�、Blockl 的 bitO bit7、Block2 的 bitO bit7 以及Block3的bitl bit4和bit6 bit7標(biāo)識(shí)為0�,在滑動(dòng)窗口左邊界WB移位后所在的BlockO中,將滑動(dòng)窗口左邊界WB左側(cè)的比特標(biāo)識(shí)為X�,即將BlockO的bit(Tbit5標(biāo)記為X。在具體實(shí)現(xiàn)的過程中�,上述滑動(dòng)窗口的左邊界WB、右邊界WT可以通過指針或索引來實(shí)現(xiàn)���,滑動(dòng)窗口的循環(huán)移位處理可以根據(jù)上述的處理方法通過在接收窗口內(nèi)更新指針或索引的方式來實(shí)現(xiàn)��,更新滑動(dòng)窗口內(nèi)比特位對(duì)應(yīng)的序列號(hào)的操作可以通過動(dòng)態(tài)地更新滑動(dòng)窗口的比特位與序列號(hào)之間的映射關(guān)系來實(shí)現(xiàn)����,而這樣操作都是占用系統(tǒng)資源非常少的操作���,從而使得本發(fā)明實(shí)施例提供的技術(shù)方案占用的系統(tǒng)資源極為有限,尤其是針對(duì)多密碼核的網(wǎng)絡(luò)處理器協(xié)作處理滑動(dòng)窗口移位的操作僅占用有限的系統(tǒng)資源�����,針對(duì)亂序到達(dá)的報(bào)文能夠顯著地降低系統(tǒng)之間的互操作性,可見本發(fā)明實(shí)施例提供的技術(shù)方案能夠顯著地降低通過滑動(dòng)窗口防重放處理的復(fù)雜度����,降低占用的系統(tǒng)資源,提供系統(tǒng)的處理效率��?����;谙嗤陌l(fā)明構(gòu)思����,本發(fā)明實(shí)施例還提供了一種報(bào)文防重放裝置。圖6示出了本發(fā)明實(shí)施例提供的報(bào)文防重放裝置的結(jié)構(gòu)框圖�����,如圖6所示���,該裝置包括
接收模塊61�,用于接收IPSec報(bào)文;對(duì)比模塊62��,連接到接收模塊61����,用于將接收模塊61當(dāng)前接收到的IPSec報(bào)文的序列號(hào)與預(yù)設(shè)的接收窗口中的滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間進(jìn)行對(duì)比;具體地�����,接收窗口的長(zhǎng)度為M比特�,M=2m,接收窗口中包括S個(gè)邏輯塊��,每個(gè)邏輯塊的長(zhǎng)度為T�����,T=2t�����,滑動(dòng)窗口包括S — I個(gè)邏輯塊���,M��、m���、S、T����、t均為自然數(shù);接收窗口和滑動(dòng)窗口中的比特位與IPSec報(bào)
文的序列號(hào)--對(duì)應(yīng)�����,并且接收窗口和滑動(dòng)窗口中的比特位對(duì)應(yīng)的報(bào)文序列號(hào)從左至右順
序遞增�;移位模塊63,連接到對(duì)比模塊62��,用于根據(jù)對(duì)比模塊62的對(duì)比結(jié)果在接收窗口中循環(huán)移位滑動(dòng)窗口來過濾重放報(bào)文����。具體地,移位模塊63根據(jù)對(duì)比模塊62的對(duì)比結(jié)果在接收窗口中循環(huán)移位滑動(dòng)窗口來過濾重放報(bào)文的操作包括如果IPSec報(bào)文的序列號(hào)處于滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間之內(nèi)�����,且之前未接收過該報(bào)文�����,則接收該報(bào)文,并將滑動(dòng)窗口中該序列號(hào)對(duì)應(yīng)的比特位標(biāo)記為報(bào)文已接收��,如果之前接收過該報(bào)文�,則丟棄該報(bào)文;如果IPSec報(bào)文的序列號(hào)小于滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間,則丟棄該報(bào)文����;如果IPSec報(bào)文的序列號(hào)大于滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間,且該報(bào)文通過了完整性檢查�,則接收該報(bào)文,并在接收窗口內(nèi)從左至右循環(huán)移位滑動(dòng)窗口����,使移位后滑動(dòng)窗口對(duì)應(yīng)的最大序列號(hào)為該報(bào)文的序列號(hào),根據(jù)該報(bào)文的序列號(hào)依次更新移位后滑動(dòng)窗口的各比特位對(duì)應(yīng)的序列號(hào)�,并將滑動(dòng)窗口中該報(bào)文序列號(hào)對(duì)應(yīng)的比特位標(biāo)記為報(bào)文已接收;如果該報(bào)文未通過完整性檢查�����,則丟棄該報(bào)文��。具體地�����,移位模塊63在接收窗口內(nèi)從左至右循環(huán)移位滑動(dòng)窗口的操作包括確定IPSec報(bào)文的序列號(hào)與滑動(dòng)窗口對(duì)應(yīng)的最大序列號(hào)之間的差值a,在接收窗口內(nèi)從左向右將滑動(dòng)窗口移動(dòng)與該差值a相同位數(shù)的比特位;如果移位后滑動(dòng)窗口的右邊界超過接收窗口的右邊界�,確定超過的比特位數(shù)b,將接收窗口從左邊界起始與超過的比特位數(shù)b相同位數(shù)的比特位作為移位后滑動(dòng)窗口的右邊界����;其中����,a、b為自然數(shù)���;優(yōu)選地�,移位模塊63在滑動(dòng)窗口的右邊界移位的a個(gè)比特位中���,將除滑動(dòng)窗口的右邊界對(duì)應(yīng)的比特位之外其它的比特位標(biāo)記為未接收到報(bào)文�;如果與差值a相同位數(shù)的比特大于接收窗口的長(zhǎng)度M,則將差值a設(shè)置為接收窗口的長(zhǎng)度M ;將滑動(dòng)窗口內(nèi)各比特位對(duì)應(yīng)的序列號(hào)加上差值a后的序列號(hào)作為各比特位移位后對(duì)應(yīng)的序列號(hào)�����。圖6所示裝置的工作原理如圖2所示的方法或其優(yōu)選實(shí)施方法�,這里不再贅述����。通過圖6所示的裝置�,也能夠降低移位滑動(dòng)窗口的處理復(fù)雜度,降低系統(tǒng)開銷����,提高處理效率,從而能夠解決現(xiàn)有技術(shù)中��,通過順序移位的方式移位滑動(dòng)窗口進(jìn)行報(bào)文防重放處理而存在的處理復(fù)雜�、處理效率低的問題?;谙嗤陌l(fā)明構(gòu)思,本發(fā)明實(shí)施例還提供了一種網(wǎng)絡(luò)設(shè)備���,該網(wǎng)絡(luò)設(shè)備包括如圖6所示的報(bào)文防重放裝置����。優(yōu)選地�,在具體應(yīng)用中,該網(wǎng)絡(luò)設(shè)備可以是路由器�。綜上所述,根據(jù)本發(fā)明實(shí)施例的技術(shù)方案�,將IPSec報(bào)文的序列號(hào)與預(yù)設(shè)的接收窗口中的滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間進(jìn)行對(duì)比����,根據(jù)對(duì)比結(jié)果在接收窗口中循環(huán)移位滑動(dòng)窗口來過濾重放報(bào)文����,能夠通過僅在接收窗口中循環(huán)移位滑動(dòng)窗口來實(shí)現(xiàn)滑動(dòng)窗口的滑動(dòng)移位,以及通過循環(huán)移位的滑動(dòng)窗口來過濾重放報(bào)文����,能夠降低移位滑動(dòng)窗口的處理復(fù)雜度���,降低系統(tǒng)開銷�,提高處理效率����,從而能夠解決現(xiàn)有技術(shù)中,通過順序移位的方式移位滑 動(dòng)窗口進(jìn)行報(bào)文防重放處理而存在的處理復(fù)雜�、處理效率低的問題。顯然�,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣����,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)�����,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)����。
權(quán)利要求
1.一種報(bào)文防重放方法���,其特征在于��,包括 對(duì)于當(dāng)前接收到的IPSec報(bào)文�����,將IPSec報(bào)文的序列號(hào)與預(yù)設(shè)的接收窗口中的滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間進(jìn)行對(duì)比�; 根據(jù)對(duì)比結(jié)果在接收窗口中循環(huán)移位滑動(dòng)窗口來過濾重放報(bào)文����。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于�����,接收窗口和滑動(dòng)窗口中的比特位與IPSec報(bào)文的序列號(hào)一一對(duì)應(yīng),并且接收窗口和滑動(dòng)窗口中的比特位對(duì)應(yīng)的報(bào)文序列號(hào)從左至右順序遞增�����; 根據(jù)對(duì)比結(jié)果在接收窗口中循環(huán)移位滑動(dòng)窗口來過濾重放報(bào)文��,具體包括 如果IPSec報(bào)文的序列號(hào)處于滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間之內(nèi)�,且之前未接收過該報(bào)文,則接收該報(bào)文��,并將滑動(dòng)窗口中該序列號(hào)對(duì)應(yīng)的比特位標(biāo)記為報(bào)文已接收����,如果之前接收過該報(bào)文,則丟棄該報(bào)文����; 如果IPSec報(bào)文的序列號(hào)小于滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間��,則丟棄該報(bào)文���; 如果IPSec報(bào)文的序列號(hào)大于滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間�����,且該報(bào)文通過了完整性檢查��,則接收該報(bào)文���,并在接收窗口內(nèi)從左至右循環(huán)移位滑動(dòng)窗口����,使移位后滑動(dòng)窗口對(duì)應(yīng)的最大序列號(hào)為該報(bào)文的序列號(hào)��,根據(jù)該報(bào)文的序列號(hào)依次更新移位后滑動(dòng)窗口的各比特位對(duì)應(yīng)的序列號(hào)����,并將滑動(dòng)窗口中該報(bào)文序列號(hào)對(duì)應(yīng)的比特位標(biāo)記為報(bào)文已接收;如果該報(bào)文未通過完整性檢查����,則丟棄該報(bào)文。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于����,接收窗口的長(zhǎng)度為M比特,M=2m,接收窗口中包括S個(gè)邏輯塊��,每個(gè)邏輯塊的長(zhǎng)度為T�,T=2t,滑動(dòng)窗口最多包括S - I個(gè)邏輯塊����,M、m���、S����、T�����、t均為自然數(shù)�; 在接收窗口內(nèi)從左至右循環(huán)移位滑動(dòng)窗口,具體包括 確定IPSec報(bào)文的序列號(hào)與滑動(dòng)窗口對(duì)應(yīng)的最大序列號(hào)之間的差值a����,在接收窗口內(nèi)從左向右將滑動(dòng)窗口移動(dòng)與該差值a相同位數(shù)的比特位����;如果移位后滑動(dòng)窗口的右邊界超過接收窗口的右邊界�����,確定超過的比特位數(shù)b��,將接收窗口從左邊界起始與超過的比特位數(shù)b相同位數(shù)的比特位作為移位后滑動(dòng)窗口的右邊界���;其中,a��、b為自然數(shù)���。
4.根據(jù)權(quán)利要求3所述的方法���,其特征在于,在接收窗口內(nèi)從左向右將滑動(dòng)窗口移動(dòng)與差值a相同位數(shù)的比特位,還包括 如果與差值a相同位數(shù)的比特大于接收窗口的長(zhǎng)度M����,則將差值a設(shè)置為接收窗口的長(zhǎng)度M。
5.根據(jù)權(quán)利要求3所述的方法�,其特征在于,根據(jù)該報(bào)文的序列號(hào)依次更新移位后滑動(dòng)窗口的各比特位對(duì)應(yīng)的序列號(hào)�����,具體包括 將滑動(dòng)窗口內(nèi)各比特位對(duì)應(yīng)的序列號(hào)加上差值a后的序列號(hào)作為各比特位移位后對(duì)應(yīng)的序列號(hào)。
6.根據(jù)權(quán)利要求3所述的方法���,其特征在于�,所述方法還包括 在滑動(dòng)窗口的右邊界移位的a個(gè)比特位中���,將除滑動(dòng)窗口的右邊界對(duì)應(yīng)的比特位之外 其它的比特位標(biāo)記為未接收到報(bào)文��。
7.根據(jù)權(quán)利要求3所述的方法����,其特征在于����,所述方法還包括 如果滑動(dòng)窗口的右邊界移位后與移位前處于不同的邏輯塊,在移位后滑動(dòng)窗口的右邊界所在邏輯塊中����,將滑動(dòng)窗口右邊界WT右側(cè)的比特位標(biāo)記為未接收到報(bào)文。
8.根據(jù)權(quán)利要求3所述的方法���,其特征在于��,所述方法還包括 在移位后滑動(dòng)窗ロ的左邊界所在的邏輯塊中���,將滑動(dòng)窗ロ的左邊界左側(cè)的比特位標(biāo)記為不檢測(cè)。
9.一種報(bào)文防重放裝置��,其特征在于�����,包括 接收模塊���,用于接收IPSec報(bào)文���; 對(duì)比模塊,用于將所述接收模塊當(dāng)前接收到的IPSec報(bào)文的序列號(hào)與預(yù)設(shè)的接收窗ロ中的滑動(dòng)窗ロ對(duì)應(yīng)的序列號(hào)區(qū)間進(jìn)行對(duì)比���; 移位模塊���,用于根據(jù)所述對(duì)比模塊的對(duì)比結(jié)果在接收窗口中循環(huán)移位滑動(dòng)窗ロ來過濾重放報(bào)文。
10.根據(jù)權(quán)利要求9所述的裝置���,其特征在于��,接收窗口和滑動(dòng)窗口中的比特位與IPSec報(bào)文的序列號(hào)對(duì)應(yīng),并且接收窗口和滑動(dòng)窗口中的比特位對(duì)應(yīng)的報(bào)文序列號(hào)從左至右順序遞增�����;則�, 所述移位模塊,具體用于 如果IPSec報(bào)文的序列號(hào)處于滑動(dòng)窗ロ對(duì)應(yīng)的序列號(hào)區(qū)間之內(nèi)�,且之前未接收過該報(bào)文,則接收該報(bào)文��,并將滑動(dòng)窗口中該序列號(hào)對(duì)應(yīng)的比特位標(biāo)記為報(bào)文已接收��,如果之前接收過該報(bào)文���,則丟棄該報(bào)文���; 如果IPSec報(bào)文的序列號(hào)小于滑動(dòng)窗ロ對(duì)應(yīng)的序列號(hào)區(qū)間,則丟棄該報(bào)文��; 如果IPSec報(bào)文的序列號(hào)大于滑動(dòng)窗ロ對(duì)應(yīng)的序列號(hào)區(qū)間���,且該報(bào)文通過了完整性檢查���,則接收該報(bào)文�����,并在接收窗ロ內(nèi)從左至右循環(huán)移位滑動(dòng)窗ロ,使移位后滑動(dòng)窗ロ對(duì)應(yīng)的最大序列號(hào)為該報(bào)文的序列號(hào)�����,根據(jù)該報(bào)文的序列號(hào)依次更新移位后滑動(dòng)窗ロ的各比特位對(duì)應(yīng)的序列號(hào)���,并將滑動(dòng)窗口中該報(bào)文序列號(hào)對(duì)應(yīng)的比特位標(biāo)記為報(bào)文已接收�;如果該報(bào)文未通過完整性檢查���,則丟棄該報(bào)文�����。
11.根據(jù)權(quán)利要求10所述的裝置�����,其特征在于�,接收窗ロ的長(zhǎng)度為M比持����,M=2m����,接收窗口中包括S個(gè)邏輯塊�,每個(gè)邏輯塊的長(zhǎng)度為T,T=2t��,滑動(dòng)窗ロ最多包括S — I個(gè)邏輯塊���,M����、m���、S���、T、t均為自然數(shù)�;則, 所述移位模塊���,具體用于 確定IPSec報(bào)文的序列號(hào)與滑動(dòng)窗ロ對(duì)應(yīng)的最大序列號(hào)之間的差值a����,在接收窗口內(nèi)從左向右將滑動(dòng)窗ロ移動(dòng)與該差值a相同位數(shù)的比特位;如果移位后滑動(dòng)窗ロ的右邊界超過接收窗ロ的右邊界�,確定超過的比特位數(shù)b,將接收窗ロ從左邊界起始與超過的比特位數(shù)b相同位數(shù)的比特位作為移位后滑動(dòng)窗ロ的右邊界��;其中����,a�����、b為自然數(shù)����。
12.根據(jù)權(quán)利要求11所述的裝置,其特征在于�����,所述移位模塊�����,還用于 如果與差值a相同位數(shù)的比特大于接收窗ロ的長(zhǎng)度M,則將差值a設(shè)置為接收窗ロ的長(zhǎng)度M���。
13.根據(jù)權(quán)利要求11所述的裝置�,其特征在于��,所述移動(dòng)模塊���,具體用于 將滑動(dòng)窗口內(nèi)各比特位對(duì)應(yīng)的序列號(hào)加上差值a后的序列號(hào)作為各比特位移位后對(duì)應(yīng)的序列號(hào)�����。
14.根據(jù)權(quán)利要求11所述的裝置��,其特征在于��,所述移位模塊���,還用于 在滑動(dòng)窗ロ的右邊界移位的a個(gè)比特位中,將除滑動(dòng)窗ロ的右邊界對(duì)應(yīng)的比特位之外其它的比特位標(biāo)記為未接收到報(bào)文����。
15.根據(jù)權(quán)利要求11所述的裝置,其特征在于,所述移位模塊�����,還用于 如果滑動(dòng)窗ロ的右邊界移位后與移位前處于不同的邏輯塊�����,在移位后滑動(dòng)窗ロ的右邊界所在邏輯塊中�,將滑動(dòng)窗ロ右邊界WT右側(cè)的比特位標(biāo)記為未接收到報(bào)文。
16.根據(jù)權(quán)利要求11所述的裝置����,其特征在于���,所述移位模塊�����,還用于 在移位后滑動(dòng)窗ロ的左邊界所在的邏輯塊中����,將滑動(dòng)窗ロ的左邊界左側(cè)的比特位標(biāo)記為不檢測(cè)����。
17.—種網(wǎng)絡(luò)設(shè)備���,其特征在于,包括如權(quán)利要求9至16中任一項(xiàng)所述的報(bào)文防重放裝置��。
全文摘要
本發(fā)明公開了一種基于IPSec的防重放方法及裝置�����、網(wǎng)絡(luò)設(shè)備���,根據(jù)該方法��,將IPSec報(bào)文的序列號(hào)與預(yù)設(shè)的接收窗口中的滑動(dòng)窗口對(duì)應(yīng)的序列號(hào)區(qū)間進(jìn)行對(duì)比�����,根據(jù)對(duì)比結(jié)果在接收窗口中循環(huán)移位滑動(dòng)窗口來過濾重放報(bào)文�,能夠通過僅在接收窗口中循環(huán)移位滑動(dòng)窗口來實(shí)現(xiàn)滑動(dòng)窗口的滑動(dòng)移位�,以及通過循環(huán)移位的滑動(dòng)窗口來過濾重放報(bào)文,能夠降低移位滑動(dòng)窗口的處理復(fù)雜度�,降低系統(tǒng)開銷,提高處理效率�����,從而能夠解決現(xiàn)有技術(shù)中,通過順序移位的方式移位滑動(dòng)窗口進(jìn)行報(bào)文防重放處理而存在的處理復(fù)雜���、處理效率低的問題���。
文檔編號(hào)H04L12/56GK102769572SQ20121026719
公開日2012年11月7日 申請(qǐng)日期2012年7月30日 優(yōu)先權(quán)日2012年7月30日
發(fā)明者黃志忠 申請(qǐng)人:福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司