技術領域

本發明涉及網絡通信技術領域，特別涉及一種防止IPsec抗重放誤判的方法。

背景技術

IPsec協議中有一條是防止攻擊的標準，即當IPsec接收到加解密報文序列號是逆序的時候，說明網絡上出現黑客攻擊，會進行后續的安全處理，包括斷開IPsec隧道或者丟棄逆序報文的處理方式。在傳統網絡中，使用的都是單核處理網絡設備，但隨著多核網絡處理設備的增多，此種報文亂序的情況越來越多，按照一個多核設備千分之3的亂序概率來說，如果一個IPsec隧道中間經過了10臺網絡轉發設備，那么就會出現100個報文有3個亂序的情況，按照現在的IPsec抗重放標準，在隧道對報文進行加解密前會對每個隧道記錄一個初始值，然后在接收到的加解密報文后，根據報文的序列號，更新這個初始值為當前值，以后這個IPsec隧道接收到的每個報文，都將報文序列號跟這個當前值進行比較，當數值大于這個當前值時，認為報文是正確的報文，當數據小于或等于這個當前值時，則認為是攻擊報文，將報文丟棄，這樣將造成大量的丟包現象。

發明內容

(一)要解決的技術問題

本發明解決的就是IPsec抗重放誤判導致報文被大量丟棄的問題。

(二)技術方案

為解決上述技術問題，本發明提供了一種防止IPsec抗重放誤判的方法，其特征在于包括：

S1：在防火墻設備中設置第一全局序列號和第二全局序列號，防火墻設備接收第一個報文，獲取報文中的序列號，并將所述第一全局序列號更新為第一報文序列號，解密轉發所述第一報文；

S2：所述防火墻設備接收第二報文，獲取報文中的序列號，若第二報文序列號值比所述第一報文序列號值大且數值不連續，則將所述第二報文序列號記錄到所述第二全局序列號，對所述第二報文進行解密并轉發，否則，丟棄所述第二報文；

S3：所述防火墻設備接收第三報文，獲取報文中的序列號，若第三報文序列號值比所述第一報文序列號值大且數值連續，則將所述第一全局序列號更新為所述第三報文序列號，若所述第三報文序列號值比第一報文序列號值大且數值不連續，則執行步驟S4；

S4：所述防火墻設備接收第四報文、第五報文直至第N報文，并獲取報文序列號，若所述第三報文序列號至第N報文序列號數值連續，則將所述第二全局序列號更新為第N報文序列號，將所述第一全局序列號更新為第N報文序列號。

所述N大于或者等于6。

(三)有益效果

本發明的方法適用于當網絡報文出現亂序時，接收到的報文序列號不連續，通過在防火墻設備中設置兩個全局序列號，其中一個全局序列號對接收到的報文序列號進行記錄，當此全局序列號記錄值連續跳點大于某一預先設定的數值后，另外一個全局序列號進行更新，從而避免IPsec抗重放誤判，導致報文被大量丟棄的問題。

具體實施方式

下面對本發明的具體實施方式作進一步詳細描述。以下實施例用于說明本發明，但不用來限制本發明的范圍。

本實施方式的方法包括以下步驟：

S1：在防火墻設備中設置第一全局序列號和第二全局序列號，防火墻設備接收第一個報文，獲取報文中的序列號，并將第一全局序列號更新為第一報文序列號，解密轉發第一報文；

S2：防火墻設備接收第二報文，獲取報文中的序列號，若第二報文序列號值比第一報文序列號值大且數值不連續，則將第二報文序列號記錄到第二全局序列號，對第二報文進行解密并轉發，否則，丟棄第二報文；

S3：防火墻設備接收第三報文，獲取報文中的序列號，若第三報文序列號值比第一報文序列號值大且數值連續，則將第一全局序列號更新為第三報文序列號，若此報文序列號值比第一報文序列號值大且數值不連續，則執行步驟S4；

S4：防火墻設備接收第四報文、第五報文直至第N報文，并獲取報文序列號，若第三報文序列號至第N報文序列號數值連續，則將第二全局序列號更新為第N報文序列號，將第一全局序列號更新為第N報文序列號。

進一步地，所述N大于或者等于6。

本發明的方法適用于當網絡報文出現亂序時，接收到的報文序列號不連續，通過在防火墻設備中設置兩個全局序列號，其中一個全局序列號對接收到的報文序列號進行記錄，當此全局序列號記錄值連續跳點大于某一預先設定的數值后，另外一個全局序列號進行更新，從而避免IPsec抗重放誤判，導致報文被大量丟棄的問題。

以上實施方式僅用于說明本發明，而并非對本發明的限制，有關技術領域的普通技術人員，在不脫離本發明的精神和范圍的情況下，還可以做出各種變化和變型，因此所有等同的技術方案也屬于本發明的范疇，本發明的專利保護范圍應由權利要求限定。