[发明专利]基于时钟的重发保护

说明书

技术领域

本发明一般地涉及网络系统。更具体地说，本发明涉及网络安全性。 

背景技术

这一部分中描述的方法可以实现，但是不一定是先前已想到或已实现的方法。因此，除非另外指出，否则这一部分中描述的方法不是该申请的权利要求的现有技术，并且也不应当因为被包括在这一部分中而看作是现有技术。 

如因特网任务工程组的请求注释(RFC)2030中所述的简单网络时间协议可以被用来在可容忍时间范围内对网络设备的时钟进行同步。在SNTP中和其他现有方法中，网络中的时钟同步取决于中央服务器、或者一组协作的服务器，从这些服务器系统可以获得相同的主或者“壁挂时钟”(wall clock)时间。SNTP的主要用途是利用在服务器和客户端之间发送的时间戳来同步时钟。 

RFC1510的Kerberos协议使用时间戳来声明在分组中包括的Derberos“票据”(ticket)的新鲜度。但是，Kerberos时间戳并不被用于发送者和接收者之间的同步。 

智能安全因特网服务器(IS-IS)路由选择协议利用序列号而不是时间戳对网络中的包括协议数据单元(PDU)的链接状态分组(LSP)进行自同步。在IS-IS中，序列号被与特定的LSP相关联。从邻居接收到具有较高序列号的LSP指示LSP的更近版本。从邻居接收到具有较低序列号的LSP导致路由器利用其LSP的最近版本作出响应。 

这些方法中的每种都有缺点。例如，SNTP和其他时间同步机制在群组包括大量的成员时并且/或者群组成员分布在广域网上时难以使用。另外，存在许多联网场景，在这些场景中，时间服务不可用，或者得不到执 行认证服务的设备支持。 

在数据加密协议，例如RFC2401和其他RFC中所述的因特网协议安全性(IPSec)中，通常接收者将接受由发送者发送的有效分组不超过一次。接受有效分组仅一次有助于实现检测和挫败敌对方有意重发(replay)的分组，以及检测并丢弃网络中偶然复制的分组。如果接收者不检测重发的分组，则攻击者可以利用该重发的分组来使接收者接受陈旧的数据，如同该数据是新鲜数据一样。如果分组中的信息是时间敏感的，则这种重发可能是灾难性的。 

此外，对重发的分组进行处理浪费了资源。重发的分组可能导致密码末端不必要地花费CPU或存储器资源，这种资源被攻击者用于恶意目的。例如，重发的分组可能被用于拒绝服务(DoS)攻击以及寻求欺骗接收者的攻击。 

与将陈旧数据误认为新鲜数据相关联的问题、以及与由重发分组可能导致的资源浪费相关联的问题在分组被发送向群组时可能被极大地放大。例如，具有1000个接收者的IP多播组对于攻击者可能是尤其有吸引力的目标，因为多播分组的单个流的重发将影响到所有1000个接收者。如果陈旧的数据被重发，则整个群组都受到愚弄从而接受不正确的信息，这对攻击者有利。在DoS攻击的情形中，整个接收者群组都可能由于资源耗尽而不能使用。类似地，偶然重发的多播分组也向所有接收者提供不正确的数据或者使资源变紧张。 

IPSec包括用于保护分组流的协议，以及用于交换建立安全流时使用的加密密钥的协议。用于保护分组流的一种IPSec协议是在RFC2406中所述的封装安全性有效载荷(ESP)，该协议对分组流进行加密。RFC2402的IPSec认证头部(AH)向分组流提供认证和消息完整性保证(但是不提供秘密性(confidentiality))。 

ESP和AH协议提供重发保护来检测系统之间的重复分组。但是，重发保护是针对恰好两个系统之间的逐对(pair-wise)通信设计的。当IPSec被用于保护多发送者群组流量时，重发保护就变的有问题了。ESP和AH通过使用序列号来提供重发保护。但是，当IPSec被应用于具有多于一个 发送者的群组流量时，多个发送者可能使用同一个序列号。结果，IPSec序列号对于防止重发是无效的，因为序列号的唯一性属性被违背，因此接收到具有相同序列号的两个分组并不指示重发。 

发明内容

根据本发明的一个实施例，提供了一种用于检测重发的分组的机器实现方法，包括：确定与在接收者处对由发送者发送的分组的接收相关联的第一伪时间；基于所述分组中的信息确定第二伪时间；以及基于对所述第一伪时间和所述第二伪时间的比较，确定是否处理所述分组；其中，所述第一伪时间和所述第二伪时间中的每个是由所述接收者和所述发送者分别从代表真实时间中的时刻序列的值序列独立确定的。