技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，特別涉及一種IPSec隧道更新防重放參數(shù)的方法。

背景技術(shù)

因特網(wǎng)協(xié)議安全性（IP?Security，IPSec）協(xié)議是一個(gè)開放的IP層安全框架協(xié)議。IPSec協(xié)議是一個(gè)三層隧道協(xié)議，對參與IPSec的設(shè)備之間傳輸?shù)腎P數(shù)據(jù)包進(jìn)行保護(hù)和認(rèn)證，能夠?yàn)閭鬏斆舾袛?shù)據(jù)提供安全保護(hù)。

為了保證IP數(shù)據(jù)包不會(huì)被第三方或中間人截獲，IPSec使用防重放機(jī)制，數(shù)據(jù)包修改后再重新插入數(shù)據(jù)流，其中，防重放機(jī)制是通過認(rèn)證標(biāo)頭(Authentication?Header，AH)協(xié)議和封裝安全凈載(Encapsulating?Security?Payload，ESP)協(xié)議在IPSec中實(shí)現(xiàn)的。防重放機(jī)制將跟蹤到VPN端點(diǎn)的每個(gè)數(shù)據(jù)包的序列號。當(dāng)兩個(gè)VPN端點(diǎn)之間建立了安全關(guān)聯(lián)后，序號記數(shù)器歸零。通過VPN加密和傳輸?shù)臄?shù)據(jù)包序號均從1開始。每次發(fā)送數(shù)據(jù)包時(shí)，接收方均會(huì)檢查序號是不是與上次發(fā)送數(shù)據(jù)包的序號相同。如果接收方收到了重復(fù)的序號，則丟棄該數(shù)據(jù)包。同時(shí)向VPN發(fā)送方端點(diǎn)傳送一條錯(cuò)誤信息，并在日志中記錄下這一事件。

通常防重放實(shí)現(xiàn)的方法是將收到的報(bào)文中的序列號與上一次收到的序列號進(jìn)行比較，大于上一個(gè)序列號的則認(rèn)為是合法的報(bào)文，序列號小于或等于的認(rèn)為是非法的。

然而對于主備設(shè)備而言，每個(gè)報(bào)文都進(jìn)行序列號同步是不現(xiàn)實(shí)的。

發(fā)明內(nèi)容

（一）解決的技術(shù)問題

本發(fā)明解決了在主、備設(shè)備發(fā)生切換時(shí)，每發(fā)送或接收多個(gè)報(bào)文時(shí)主、備設(shè)備同步的技術(shù)問題。

（二）技術(shù)方案

本發(fā)明提出了一種IPSec隧道更新防重放參數(shù)的方法，其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的發(fā)送，其特征在于，所述方法包括：

A、設(shè)定序列號閾值；

B、主設(shè)備發(fā)送報(bào)文，所述報(bào)文包括序列號，且每當(dāng)主設(shè)備發(fā)送閾值個(gè)報(bào)文時(shí)，主設(shè)備向備設(shè)備發(fā)送同步信號，所述同步信號包括當(dāng)前報(bào)文的序列號；

C：當(dāng)主、備設(shè)備發(fā)生切換時(shí)，確定當(dāng)前報(bào)文的序列號，

D：從確定的當(dāng)前報(bào)文的序列號開始，利用備設(shè)備發(fā)送報(bào)文。

優(yōu)選地，步驟C中當(dāng)前報(bào)文的序列號N為：N=T×n+N_i；其中，T為序列號閾值，n為主、備設(shè)備發(fā)生切換之前主設(shè)備向備設(shè)備發(fā)送同步信號的次數(shù)，N_i為從主設(shè)備向備設(shè)備最后一次發(fā)送同步信號到主、備設(shè)備發(fā)生切換時(shí)主設(shè)備發(fā)送的報(bào)文數(shù)。

優(yōu)選地，主設(shè)備在每次向備設(shè)備發(fā)送同步信號后，將對發(fā)送的報(bào)文進(jìn)行計(jì)數(shù)，計(jì)數(shù)值的初始值為0，每發(fā)送一個(gè)報(bào)文，計(jì)數(shù)值加1，當(dāng)主、備設(shè)備發(fā)生切換時(shí)，主設(shè)備將計(jì)數(shù)值發(fā)送給備設(shè)備，所述計(jì)數(shù)值為N_i。

優(yōu)選地，所述N_i為：其中，t_i為主、備設(shè)備發(fā)生切換時(shí)的時(shí)間，t_n為主、備設(shè)備發(fā)生切換前主設(shè)備最后一次向備設(shè)備發(fā)送同步信號的時(shí)間。

優(yōu)選地，所述方法包括：

序列號的初始值為0，每發(fā)送一個(gè)報(bào)文，序列號加1。

本發(fā)明提出了一種IPSec隧道更新防重放參數(shù)的方法，其中利用主設(shè)備或者備設(shè)備進(jìn)行報(bào)文的接收，其特征在于，所述方法包括：

A1、設(shè)定序列號閾值；

B1、主設(shè)備接收報(bào)文，所述報(bào)文包括序列號，且每當(dāng)主設(shè)備接收閾值個(gè)報(bào)文時(shí)，主設(shè)備向備設(shè)備發(fā)送同步信號，所述同步信號包括當(dāng)前報(bào)文的序列號；

C1：當(dāng)主、備設(shè)備發(fā)生切換時(shí)，確定當(dāng)前報(bào)文的序列號，

D1：從確定的當(dāng)前報(bào)文的序列號開始，利用備設(shè)備接收報(bào)文。

優(yōu)選地，步驟C1中當(dāng)前報(bào)文的序列號N為：N=T×n+N_i；其中，T為序列號閾值，n為主、備設(shè)備發(fā)生切換之前主設(shè)備向備設(shè)備發(fā)送同步信號的次數(shù)，N_i為從主設(shè)備向備設(shè)備最后一次發(fā)送同步信號到主、備設(shè)備發(fā)生切換時(shí)主設(shè)備接收的報(bào)文數(shù)。

優(yōu)選地，主設(shè)備在每次向備設(shè)備發(fā)送同步信號后，將對接收的報(bào)文進(jìn)行計(jì)數(shù)，計(jì)數(shù)值的初始值為0，每接收一個(gè)報(bào)文，計(jì)數(shù)值加1，當(dāng)主、備設(shè)備發(fā)生切換時(shí)，主設(shè)備將計(jì)數(shù)值發(fā)送給備設(shè)備，所述計(jì)數(shù)值為N_i。

優(yōu)選地，所述N_i為：其中，t_i為主、備設(shè)備發(fā)生切換時(shí)的時(shí)間，t_n為主、備設(shè)備發(fā)生切換前主設(shè)備最后一次向備設(shè)備發(fā)送同步信號的時(shí)間。

優(yōu)選地，所述方法包括：

序列號的初始值為0，每發(fā)送一個(gè)報(bào)文，序列號加1。

（三）有益效果