[发明专利]一种基于时间的防重放方法及装置

说明书

技术领域

本发明涉及英特网协议报文的防重放技术，尤其涉及一种基于时间的防重放方法及装置。

背景技术

英特网协议安全(Internet Protocol Security，IPSec)协议是IETF制定的三层隧道加密协议，该协议给出了应用于IP层上网络数据安全的一整套体系结构。它为internet上传播的数据提供安全服务数据机密性、数据完整性、数据源认证、防重放(Anti-Replay)等功能特性。

传统的IPsec VPN采用端到端的技术，当数据报文被第三方截获，攻击者可以对截取的报文进行破译后，再用重放相同的报文的方式以仿冒身份获取非法访问权。

IPSec协议通过网络认证头(Authentication Header，AH)、封装安全载荷(Encapsulating Security Payload，ESP)中的序列号(Sequence Number)字段来实现防重放检测。

经过AH或者ESP封装的报文结构中，序列号为从1开始的32位单增序列号，不允许重复，唯一地标识了每一个发送数据包，为安全关联提供反重播保护。接收端根据序列号结合防重放窗口和报文验证来防御重放攻击。防重放机制的窗口滑动规则及对重放报文的判定规则如下：

规则1、若报文的序列号落在防重放窗口内，即满足：防重放窗口左边界≤接收到的报文序列号≤防重放窗口右边界，则判断是否以前接收过，如果没有则认为是正常报文，窗口不做滑动，如果收到过，则认为是重放报文，丢弃之。

规则2、若报文的序列号落在防重放窗口右侧，且验证为合法报文，则将重放窗口右边界滑动到此报文的序列号处。

规则3、若报文的序列号落在防重放窗口左侧，则认为是重放报文，丢弃之。

随着现有硬件技术的发展，多核设备(即指拥有多个核心处理芯片的网络设备)已经很常见，多核并行处理数据报文使设备的吞吐量大大提高，但同时也带来IPsec防重放序号乱序的问题，例如，设备A和设备B为两个协商IPsec隧道的对端，其中A是多核设备，每个CPU核心会同时发送报文，以达到并发的效果，由于每个CPU核心处于的工作状态不同，或受外部事件影响，不同CPU核心在同一时刻处理速度不同，导致本应后发出的报文(防重放序号大的报文)比本应先发出的报文(防重放序号小的报文)先发出，B端先收到防重放序号大的报文，会移动防重放窗口，如果流量很快，窗口会被移动很远，防重放序号小的报文到达时，已经处于防重放窗口左侧，就会被误丢弃。

发明内容

有鉴于此，本申请提供一种基于时间的防重放方法及装置，用于解决高速流量和多核并发情况下报文乱序导致误丢包的技术问题。

为实现本发明的发明目的，本发明是这样实现的：

一种基于时间的防重放方法，该方法包括：

接收发送端发送的基于IPSec封装的数据报文，记录接收到所述数据报文时刻的接收端本地绝对时间戳T2，所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1；

根据所述接收端本地绝对时间戳T2和所述发送端本地绝对时间戳T1计算两端的时间差值D，并根据所述时间差值D及本地绝对时间T3计算相对调整时间FT；

以所述相对调整时间FT为基准，根据预设的时间窗参数W确定防重放时间窗口左右边缘FT-W和FT+W；

当数据报文中携带时间戳落在所确定的防重放时间窗口之内时放行所述数据报文，否则丢弃所述数据报文。

进一步地，在所述IPSec封装的数据报文的AH和/或ESP的序列号字段携带所述发送端本地绝对时间戳T1。

进一步地，根据预设的相对调整时间更新周期，周期性地在每个相对调整时间更新周期内至多执行一次所述的计算时间差值D、计算相对调整时间FT及确定防重放时间窗口左右边缘FT-W和FT+W的步骤。

基于与上述方法相同的发明构思，本发明实施例还提供一种基于时间的防重放装置，该装置包括：

接收单元，用于接收发送端发送的基于IPSec封装的数据报文，记录接收到所述数据报文时刻的接收端本地绝对时间戳T2，所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1；

时间窗确定单元，用于根据所述接收端本地绝对时间戳T2和所述数据报文中携带的发送端本地绝对时间戳T1计算两端的时间差值D，并根据所述时间差值D及本地绝对时间T3计算相对调整时间FT；以所述相对调整时间FT为基准，根据预设的时间窗参数W确定防重放时间窗口左右边缘FT-W和FT+W；