一种基于时间的防重放方法及装置制造方法及图纸
【技术实现步骤摘要】
-种基于时间的防重放方法及装置
[0001 ] 本专利技术涉及英特网协议报文的防重放技术,尤其涉及一种基于时间的防重放方法 及装置。
技术介绍
英特网协议安全(Internet Protocol Security,IPSec)协议是 IETF 制定的 三层隧道加密协议,该协议给出了应用于IP层上网络数据安全的一整套体系结构。它 为internet上传播的数据提供安全服务数据机密性、数据完整性、数据源认证、防重放 (Anti-Replay)等功能特性。 传统的IPsec VPN采用端到端的技术,当数据报文被第三方截获,攻击者可以对截 取的报文进行破译后,再用重放相同的报文的方式以仿冒身份获取非法访问权。 IPSec协议通过网络认证头(Authentication Header, AH)、封装安全载荷 (Encapsulating Security Payload,ESP)中的序列号(Sequence Number)字段来实现防 重放检测。 经过AH或者ESP封装的报文结构中,序列号为从1开始的32位单增序列号,不允 许重复,唯一地标识了每一个发送数据包,为安全关联提供反重播保护。接收端根据序列号 结合防重放窗口和报文验证来防御重放攻击。防重放机制的窗口滑动规则及对重放报文的 判定规则如下: 规则1、若报文的序列号落在防重放窗口内,即满足:防重放窗口左边界<接收到 的报文序列号 < 防重放窗口右边界,则判断是否以前接收过,如果没有则认为是正常报文, 窗口不做滑动,如果收到过,则认为是重放报文,丢弃之。 ...
【技术保护点】
一种基于时间的防重放方法,其特征在于,该方法包括:接收发送端发送的基于IPSec封装的数据报文,记录接收到所述数据报文时刻的接收端本地绝对时间戳T2,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对时间戳T1;根据所述接收端本地绝对时间戳T2和所述发送端本地绝对时间戳T1计算两端的时间差值D,并根据所述时间差值D及本地绝对时间T3计算相对调整时间FT;以所述相对调整时间FT为基准,根据预设的时间窗参数W确定防重放时间窗口左右边缘FT‑W和FT+W;当数据报文中携带时间戳落在所确定的防重放时间窗口之内时放行所述数据报文,否则丢弃所述数据报文。
【技术特征摘要】
1. 一种基于时间的防重放方法,其特征在于,该方法包括: 接收发送端发送的基于IPSec封装的数据报文,记录接收到所述数据报文时刻的接收 端本地绝对时间戳T2,所述数据报文中携带发送端发送该数据报文时刻的发送端本地绝对 时间戳T1 ; 根据所述接收端本地绝对时间戳T2和所述发送端本地绝对时间戳T1计算两端的时间 差值D,并根据所述时间差值D及本地绝对时间T3计算相对调整时间FT ; 以所述相对调整时间FT为基准,根据预设的时间窗参数W确定防重放时间窗口左右边 缘 FT-W 和 FT+W ; 当数据报文中携带时间戳落在所确定的防重放时间窗口之内时放行所述数据报文,否 则丢弃所述数据报文。2. 根据权利要求1所述的方法,其特征在于,在所述IPSec封装的数据报文的AH和/ 或ESP的序列号字段携带所述发送端本地绝对时间戳T1。3. 根据权利要求1所述的方法,其特征在于, 根据预设的相对调整时间更新周期,周期性地在每个相对调整时间更新周期内至多执 行一次所述的计算时间差值D、计算相对调整时间FT及确定防重放时间窗口左右边缘FT-W 和FT+W的步骤。4. 一种基于时间的防重放方法,其特征在于,该方法包括: 接收发送端发送的基于IPSec封装的数据报文,所述数据报文中携带发送端发送该数 据报文时刻的发送端本地绝对时间戳T1 ; 判断所述发送端本地绝对时间戳T1是否大于本地维护的对端时间PT ; 若T1大于PT,则放行该数据报文,并将所述本地维护的对端时间PT更新为该数据报文 携带的发送端本地绝对时间戳T1 ; 若T1不大于PT,则判断所述发送端本地绝对时间戳T1是否小于所述本地维护的对端 时间PT与预设的时间窗口参数W的差值,若小于则丢弃该数据报文,否则放行该数据报文。5. 根据权利要求4所述的方法,其特征在于,在所述IPSec封装的数据报文的AH和/ 或ESP的序列号字段携带所述发送端本地绝对时间戳T1。6. -种基于时间的防重放装置,其特征在于,该装置包括...
【专利技术属性】
技术研发人员:宋晓欢,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。