[发明专利]IPsec防重放的方法、装置、网络设备及可读存储介质

说明书

本申请实施例提供一种IPsec防重放的方法、装置、网络设备及可读存储介质，属于通信技术领域。该方法包括：接收IPsec报文；判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果；根据判断结果，将第二位图中的所有比特位对应的序列号标记复制到第一位图中对应的比特位；并将第二位图中的所有比特位对应的序列号标记清空；根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。本方案中采用第一位图和第二位图来进行数据的更新替换操作则更简单，使得网络设备中CPU的开销小，进而提高网络设备对报文的处理性能。

技术领域

本申请涉及通信技术领域，具体而言，涉及一种IPsec防重放的方法、装置、网络设备及可读存储介质。

背景技术

IPSec(IP Security，互联网连接协议)协议是一种工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护传输控制协议(Transmission Control Protocol，TCP)/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec在网络层发挥作用，保护和认证IP报文，并与标准算法独立的开放框架，提供数据的机密性、数据完整性和源认证功能。IPSec作为一种实施于网络层的安全协议，具有保证数据来源可靠、保护数据完整、保证数据机密性、防止重放攻击和完美向前保密(PFS)等诸多优点。

IPSec协议给出了应用于IP层上网络数据安全的一整套体系结构，包括认证头(Authentication Header，AH)协议、封装安全载荷(Encapsulating Security Payload，ESP)协议、密钥管理协议(Internet KeyExchange，IKE)和用于网络认证及加密的一些算法等。

AH协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。ESP协议为IP数据包提供完整性检查、认证和加密。

在经过AH或者ESP封装的报文结构中，Sequence Number(序列号)为从1开始的单增序列号，不允许重复，唯一地标识了每一个发送数据包，为安全关联提供反重播保护。

而现有技术中，是通过滑动窗口来对接收到的报文进行重放检测，当接收到的报文的序列号落在滑动窗口的右边且认证通过时，都得执行向前滑动操作，而移动窗口的操作比较麻烦，所以当报文较多时，则会在重放检测时频繁地对窗口进行滑动操作，由此对网络设备的性能的开销比较大，进而影响网络设备的转发性能。

发明内容

本申请实施例的目的在于提供一种IPsec防重放的方法、装置、网络设备及可读存储介质。

第一方面，本申请实施例提供了一种IPsec防重放的方法，所述方法包括：接收IPsec报文，所述IPsec报文中包含有所述IPsec报文的序列号；判断所述IPsec报文的序列号与第一位图的第一序列号区间以及第二位图的第二序列号区间之间的关系，获得判断结果；当所述判断结果为表示所述IPsec报文的序列号超过所述第二序列号区间所表示的最大序列号，且所述IPsec报文的序列号与所述最大序列号的差值小于或等于所述第二位图的比特位的长度N时，N为正整数，将所述第二位图中的所有比特位对应的序列号标记复制到所述第一位图中对应的比特位；并将所述第二位图中的所有比特位对应的序列号标记清空；根据所述IPsec报文的序列号对所述IPsec报文在所述第二位图中对应的比特位进行标记。本方法中，可以通过第一位图和第二位图来代替现有技术中通过滑动窗口的滑动操作来对IPsec报文进行重放检测，由此，当接收到新的报文，即所述IPsec报文的序列号超出第二序列号区间的最大序列号时，采用第一位图和第二位图来对报文进行标记，只需进行数据的更新替换即可，而不需要进行移动操作，所以，相比于滑动操作导致的网络设备中CPU开销比较大，则本方案中采用第一位图和第二位图来进行数据的更新替换操作则更简单，使得网络设备中CPU的开销小，进而提高网络设备对报文的处理性能。