[发明专利]一种基于时间的防重放方法及装置

权利要求书

1.一种基于时间的防重放方法，其特征在于，该方法包括：

接收发送端发送的基于IPSec封装的数据报文，记录接收到所述数据报文时刻的接收端本地绝对时间戳T2，所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1；

根据所述接收端本地绝对时间戳T2和所述发送端本地绝对时间戳T1计算两端的时间差值D，并根据所述时间差值D及本地绝对时间T3计算相对调整时间FT；

以所述相对调整时间FT为基准，根据预设的时间窗参数W确定防重放时间窗口左右边缘FT-W和FT+W；

当数据报文中携带时间戳落在所确定的防重放时间窗口之内时放行所述数据报文，否则丢弃所述数据报文。

2.根据权利要求1所述的方法，其特征在于，在所述IPSec封装的数据报文的AH和/或ESP的序列号字段携带所述发送端本地绝对时间戳T1。

3.根据权利要求1所述的方法，其特征在于，

根据预设的相对调整时间更新周期，周期性地在每个相对调整时间更新周期内至多执行一次所述的计算时间差值D、计算相对调整时间FT及确定防重放时间窗口左右边缘FT-W和FT+W的步骤。

4.一种基于时间的防重放方法，其特征在于，该方法包括：

接收发送端发送的基于IPSec封装的数据报文,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1；

判断所述发送端本地绝对时间戳T1是否大于本地维护的对端时间PT；

若T1大于PT，则放行该数据报文，并将所述本地维护的对端时间PT更新为该数据报文携带的发送端本地绝对时间戳T1；

若T1不大于PT，则判断所述发送端本地绝对时间戳T1是否小于所述本地维护的对端时间PT与预设的时间窗口参数W的差值，若小于则丢弃该数据报文，否则放行该数据报文。

5.根据权利要求4所述的方法，其特征在于，在所述IPSec封装的数据报文的AH和/或ESP的序列号字段携带所述发送端本地绝对时间戳T1。

6.一种基于时间的防重放装置，其特征在于，该装置包括：

接收单元，用于接收发送端发送的基于IPSec封装的数据报文，记录接收到所述数据报文时刻的接收端本地绝对时间戳T2，所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1；

时间窗确定单元，用于根据所述接收端本地绝对时间戳T2和所述数据报文中携带的发送端本地绝对时间戳T1计算两端的时间差值D，并根据所述时间差值D及本地绝对时间T3计算相对调整时间FT；以所述相对调整时间FT为基准，根据预设的时间窗参数W确定防重放时间窗口左右边缘FT-W和FT+W；

防重放单元，用于执行防重放处理，当数据报文中携带的时间戳落在所确定的防重放时间窗口之内时放行所述数据报文，否则丢弃所述数据报文。

7.根据权利要求1所述的装置，其特征在于，在所述IPSec封装的数据报文的AH和/或ESP的序列号字段携带所述发送端本地绝对时间戳T1。

8.根据权利要求1所述的装置，其特征在于，

所述时间窗确定单元，根据预设的相对调整时间更新周期，周期性地在每个相对调整时间更新周期内至多执行一次所述的计算时间差值D、计算相对调整时间FT及确定防重放时间窗口左右边缘FT-W和FT+W的步骤。

9.一种基于时间的防重放装置，其特征在于，该装置包括：

接收单元，用于接收发送端发送的基于IPSec封装的数据报文,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1；

判断单元，用于判断所述发送端本地绝对时间戳T1是否大于本地维护的对端时间PT；

维护单元，用于在所述T1大于PT时，将所述本地维护的对端时间PT更新为该数据报文携带的发送端本地绝对时间戳T1；

防重放单元，用于在所述发送端本地绝对时间戳T1小于所述本地维护的对端时间PT与预设的时间窗口参数W的差值时，丢弃该数据报文，否则放行该数据报文。

10.根据权利要求9所述的装置，其特征在于，在所述IPSec封装的数据报文的AH和/或ESP的序列号字段携带所述发送端本地绝对时间戳T1。