一种组域虚拟专用网络中报文处理方法和装置转让专利
申请号 : CN201510069360.1
文献号 : CN104601459B
文献日 : 2019-02-22
发明人 : 张太博 , 韩东亮
申请人 : 新华三技术有限公司
摘要 :
本发明提供了一种组域虚拟专用网络中报文处理方法,该方法包括:GM设备接收到其它GM设备发送的报文时,根据接收到的报文携带的GM唯一标识在本地匹配CBAR表项;当未匹配到CBAR表项时,解封装处理接收到的报文,并生成所述GM唯一标识对应的CBAR表项;当匹配到CBAR表项时,根据所述报文携带的序列号,以及匹配到的CBAR表项进行CBAR检测;若检测确定接收到的报文为重放报文,则丢弃所述报文;否则,解封装处理接收到的报文并更新匹配到的CBAR表项。基于同样的发明构思,本申请还提出一种组域虚拟专用网络中报文处理装置,能够在不丢弃有用报文的基础上降低资源的消耗。
权利要求 :
1.一种组域虚拟专用网络中报文处理方法,应用于组成员GM设备上,其特征在于,该方法包括:该GM设备接收到其它GM设备发送的报文时,根据接收到的报文携带的GM唯一标识在本地匹配基于报文计数的抗重放CBAR表项;所述其它GM设备发送的报文携带GM唯一标识和序列号,所述GM唯一标识为发送该报文的GM设备的GM唯一标识;
当未匹配到CBAR表项时,解封装处理接收到的报文,并生成所述GM唯一标识对应的CBAR表项;
当匹配到CBAR表项时,根据所述报文携带的序列号,以及匹配到的CBAR表项进行CBAR检测;若检测确定接收到的报文为重放报文,则丢弃所述报文;否则,解封装处理接收到的报文并更新匹配到的CBAR表项;
其中,
所述GM唯一标识和序列号携带在所述报文的封装安全载荷ESP头和内层因特网协议IP头之间。
2.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:该GM设备向其它GM设备发送报文时,携带本GM设备的GM唯一标识和发送该报文的序列号,以使所述其它GM设备根据该报文携带的GM唯一标识和序列号进行CBAR检测。
3.根据权利要求1或2所述的方法,其特征在于,
所述GM唯一标识为GM设备的GM注册地址、媒体访问控制MAC地址、IP地址或设备标识ID。
4.一种组域虚拟专用网络中报文处理装置,应用于组成员GM设备中,其特征在于,该装置包括:收发单元,用于接收其它GM设备发送的报文;
匹配单元,用于根据所述收发单元接收到的报文携带的GM唯一标识在本地匹配基于报文计数的组抗重放CBAR表项;所述其它GM设备发送的报文携带GM唯一标识和序列号,所述GM唯一标识为发送该报文的GM设备的GM唯一标识;
处理单元,用于当所述匹配单元未匹配到CBAR表项时,解封装处理接收到的报文,并生成所述GM唯一标识对应的CBAR表项;当所述匹配单元匹配到CBAR表项时,根据所述报文携带的序列号,以及匹配到的CBAR表项进行CBAR检测;若检测确定接收到的报文为重放报文,则丢弃所述报文;否则,解封装处理接收到的报文并更新匹配到的CBAR表项;
其中,
所述GM唯一标识和序列号携带在所述报文的封装安全载荷ESP头和内层因特网协议IP头之间。
5.根据权利要求4所述的装置,其特征在于,
所述收发单元,进一步用于向其它GM设备发送报文时,携带本GM设备的GM唯一标识和发送该报文的序列号,以使所述其它GM设备根据该报文携带的GM唯一标识和序列号进行CBAR检测。
6.根据权利要求4或5所述的装置,其特征在于,
所述GM唯一标识为GM设备的GM注册地址、媒体访问控制MAC地址、IP地址或设备标识ID。
说明书 :
一种组域虚拟专用网络中报文处理方法和装置
技术领域
[0001] 本发明涉及通信技术领域,特别涉及一种组域虚拟专用网络中报文处理方法和装置。
背景技术
[0002] 因特网协议安全(IP Security,IPsec)是IETF制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种传统的实现三层虚拟专用网络(Virtual Private Network,VPN)的安全技术。IPsec通过在特定通信方之间,如两个安全网关之间建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
[0003] 重放报文,通常是指设备再次接收到的已经被IPsec处理过的报文。为了抗重放已处理的报文,提出了基于报文计数的抗重放(Counter-based anti-replay,CBAR)实现方案。IPsec通过滑动窗口,即抗重放窗口机制检测重放报文。如果收到的报文的序列号与已经解封装过的报文序列号相同,或收到的报文的序列号出现得较早,即已经超过了抗重放窗口的范围,则认为该报文为重放报文,直接将重放报文丢弃。
[0004] 但是这种实现中,组域虚拟专用网络(Group Domain VPN,GDVPN)中,如果不同组成员(Group member,GM)设备,如GM设备1和GM设备2都需要向GM设备3发送报文,且GM设备1先发送了一个序列号为1的报文到GM设备3后,GM设备2又向GM设备3发送一个序列号为0的报文;GM设备3在接收到GM设备1发送的序列号为1的报文处理后,再接收到GM设备2发送的序列号为0的报文时,确定该报文为重放报文,会将其丢弃。
发明内容
[0005] 有鉴于此,本申请提供一种组域虚拟专用网络中报文处理方法和装置,以解决在抗重放过程中丢弃有用报文的问题。
[0006] 为解决上述技术问题,本申请的技术方案是这样实现的:
[0007] 一种组域虚拟专用网络中报文处理方法,应用于组成员GM上,该方法包括:
[0008] 该GM设备接收到其它GM设备发送的报文时,根据接收到的报文携带的GM唯一标识在本地匹配基于报文计数的抗重放CBAR表项;所述其它GM设备发送的报文携带GM唯一标识和序列号,所述GM唯一标识为发送该报文的GM设备的GM唯一标识;
[0009] 当未匹配到CBAR表项时,解封装处理接收到的报文,并生成所述GM唯一标识对应的CBAR表项;
[0010] 当匹配到CBAR表项时,根据所述报文携带的序列号,以及匹配到的CBAR表项进行CBAR检测;若检测确定接收到的报文为重放报文,则丢弃所述报文;否则,解封装处理接收到的报文并更新匹配到的CBAR表项。
[0011] 一种组域虚拟专用网络中报文处理装置,应用于组成员GM中,该装置包括:
[0012] 收发单元,用于接收其它GM设备发送的报文;
[0013] 匹配单元,用于根据所述收发单元接收到的报文携带的GM唯一标识在本地匹配基于报文计数的组抗重放CBAR表项;所述其它GM设备发送的报文携带GM唯一标识和序列号,所述GM唯一标识为发送该报文的GM设备的GM唯一标识;
[0014] 处理单元,用于当所述匹配单元未匹配到CBAR表项时,解封装处理接收到的报文,并生成所述GM唯一标识对应的CBAR表项;当所述匹配单元匹配到CBAR表项时,根据所述报文携带的序列号,以及匹配到的CBAR表项进行CBAR检测;若检测确定接收到的报文为重放报文,则丢弃所述报文;否则,解封装处理接收到的报文并更新匹配到的CBAR表项。
[0015] 由上面的技术方案可知,本申请中在组域VPN(Group Domain VPN,GDVPN)中的GM设备上增加抗重放功能,相对于现有实现的CBAR检测实现抗重放,本申请实施例中还引入了GM唯一标识来识别发送报文的GM设备,从而实现GDVPN中的报文抗重放,能够在不丢弃有用报文的基础上降低资源的消耗。
附图说明
[0016] 图1为本申请实施例中发送的报文的结构示意图;
[0017] 图2为本申请实施例中组域虚拟专用网络中报文处理方法流程图;
[0018] 图3为本申请实施例中GDVPN组网示意图;
[0019] 图4为GM设备1向GM设备2发送的报文的结构示意图;
[0020] 图5为本申请实施例中应用于上述技术的装置结构示意图。
具体实施方式
[0021] 为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图并举例,对本发明的技术方案进行详细说明。
[0022] 本申请实施例中提供一种组域虚拟专用网络中报文处理方案,在GDVPN中的GM设备上增加抗重放功能,相对于现有实现的CBAR检测实现抗重放,本申请实施例中还引入了GM唯一标识来识别发送报文的GM设备从而实现GDVPN中的报文抗重放。
[0023] 本申请实施例中引入的GM唯一标识为发送该报文的GM设备的GM唯一标识;可以是GM设备的媒体访问控制(MAC)地址、因特网协议(IP)地址,设备标识、GM注册地址等。
[0024] 本申请具体实现时,可以在需要应用本申请的设备上增加本申请提供的抗重放功能,可以灵活配置开启该功能或关闭该功能。为了描述方便,本申请实施例中的抗重放功能称为基于报文计数的组抗重放(Group Counter-based anti-replay,GCBAR)功能。
[0025] 当开启本申请提供的抗重放功能GCBAR功能,GM设备在发送报文时,需在报文中携带GM唯一标识和发送该报文的序列号;至于序列号的具体值,可以按现有实现中向目的GM设备发送的报文条数确定;该GM接收到其它GM设备发送的报文时,需要根据报文中携带的GM唯一标识和序列号进行CBAR检测,进一步根据检测结果确定如何处理接收到的报文。
[0026] 参见图1,图1为本申请实施例中发送的报文的结构示意图。在发送报文时,图1中将GM唯一标识和序列号携带在所述报文的封装安全载荷(Encapsulate Security Payload,ESP)头和内层IP头之间。
[0027] 当未开启本申请提供的抗重放功能GCBAR功能时,发送报文时不携带GM唯一标识和序列号,若使用现有的抗重放功能,则仅携带序列号;在接收到其它GM设备发送的报文时,若报文中携带序列号,仅根据现有实现CBAR检测实现抗重放。
[0028] 下面结合附图,详细说明本申请实施例中在接收端和发送端均开启本申请提供的抗重放功能时,如何实现报文的抗重放处理。
[0029] 参见图2,图2为本申请实施例中组域虚拟专用网络中报文处理方法流程图。具体步骤为:
[0030] 步骤201,任一GM设备接收到其它GM设备发送的报文时,根据接收到的报文携带的GM唯一标识在本地匹配CBAR表项。
[0031] 为了防止网络攻击报文,在步骤201中任一GM设备接收到其它GM设备发送的报文时,根据接收到的报文携带的GM唯一标识在本地匹配CBAR表项之前,进一步包括:
[0032] 该GM设备根据ESP尾中的校验码对接收到的报文进行校验,若校验成功,确定接收到的报文为合法报文,执行步骤201中的根据接收到的报文携带的GM唯一标识在本地匹配CBAR表项步骤;否则,确定接收到的报文为非法报文,丢弃接收到的报文。该过程同现有实现,本申请对该过程不做限制。
[0033] 步骤202,该GM设备当未匹配到CBAR表项时,解封装处理接收到的报文,并生成所述GM唯一标识对应的CBAR表项,结束本流程。
[0034] 生成的GM唯一标识对应的CBAR表项,与现有实现的CBAR表项包含的内容相同,只是需要针对不同的GM唯一标识均生成一个CBAR表项。在具体实现时,可以将GM唯一标识增加到CBAR表项中,也可以与对应的CBAR表项绑定即可。
[0035] 步骤203,该GM设备当匹配到CBAR表项时,根据所述报文携带的序列号,以及匹配到的CBAR表项进行CBAR检测;若检测确定接收到的报文为重放报文,则丢弃所述报文;否则,解封装处理接收到的报文并更新匹配到的CBAR表项。
[0036] 下面结合附图,详细说明本申请如何实现组域虚拟专用网络中报文处理的。
[0037] 参见图3,图3为本申请实施例中GDVPN组网示意图。图3中,某企业的三个分公司,通过三台GM设备,分别为GM设备1、GM设备2和GM设备3接入公网,互相通信。密钥服务器上配置的ACL为保护10.1.0.0/16网段的流量。3台GM设备使用相同的安全联盟(Security Association,SA)对匹配的ACL流量进行加解封装。三台GM设备均开启本申请提供的抗重放功能。
[0038] GM设备1的GM注册地址为1.1.1.1,GM设备2的GM注册地址为2.2.2.2,GM设备3的GM注册地址为3.3.3.3。
[0039] GM设备1的私网10.1.1.2发送报文到GM设备2的私网10.1.2.2,封装报文中携带GM设备1的注册地址1.1.1.1和序列号0(假设GM设备1首次向GM设备2发送报文)。参见图4,图4为GM设备1向GM设备2发送的报文的结构示意图。在图1中GM注册地址1.1.1.1和序列号0携带在报文的ESP头和内层IP头之间。
[0040] GM设备2接收到GM设备1发送的报文时,根据接收到的报文携带的GM注册地址1.1.1.1在本地匹配CBAR表项,由于GM设备1首次向GM设备2发送报文,因此,不能在本地匹配到GM注册地址1.1.1.1对应的CBAR表项,则解封装处理接收到的报文,并生成GM注册地址
1.1.1.1对应的CBAR表项。
1.1.1.1对应的CBAR表项。
[0041] 参见表1,表1为本申请实施例中CBAR表项包含的内容。生成的CBAR表项中GM注册地址为1.1.1.1,R为0,M为0,W为64。其中,R为接收序列号(Received Sequence-Number),M为最大接收序列号(Max Received Sequence-Number),W为预先配置的抗重放窗口的大小(Anti-replay window size)。生成一个GM注册地址对应的CBAR表项时,R和M均为接收到的报文携带的序列号。
[0042] 表1中还假设GM设备2已生成GM注册地址3.3.3.3对应的CBAR表项。
[0043]GM注册地址 R M W
1.1.1.1 0 0 64
3.3.3.3 4 25 64
1.1.1.1 0 0 64
3.3.3.3 4 25 64
[0044] 表1
[0045] 当GM设备3再次需要向GM设备2发送报文时,确定上次向GM设备2发送报文携带的序列号为26时,在报文中携带GM注册地址3.3.3.3和序列号27,并发送给GM设备2。
[0046] GM设备2接收到GM设备3发送的报文时,根据报文携带的GM注册地址3.3.3.3在本地匹配CBAR表项,由表1可见,GM注册地址3.3.3.3能够匹配到对应的表项,则根据接收到的报文携带的序列号27,以及匹配到的CBAR表项进行CBAR检测。
[0047] 报文携带的序列号27大于CBAR表项中的R对应的4,且大于M对应的25,因此,确定接收到的报文不为重放报文,解封装处理接收到的报文;并且将R对应的4加1,更新为5,使用27替换M对应的25。
[0048] 参见表2,表2为表1更新后的CBAR表包含的内容。
[0049]GM注册地址 R M W
1.1.1.1 0 0 64
3.3.3.3 5 27 64
1.1.1.1 0 0 64
3.3.3.3 5 27 64
[0050] 表2
[0051] 若GM设备2接收到GM设备3发送的报文携带的序列号小于或等于4时,则确认该报文为重放报文,直接丢弃。
[0052] 若GM设备2接收到GM设备3发送的报文携带的序列号等于25时,则确认该报文为重放报文,直接丢弃。
[0053] 若GM设备2接收到GM设备3发送的报文携带的序列号大于R且小于M时,当接收到的报文携带的序列号小于M-W,则确定接收到的报文为重放报文,直接丢弃;否则,确定接收到的报文不为重放报文,对接收到的报文进行解封装处理,并使用接收到的报文携带的序列号更新R对应的值。
[0054] 基于同样的发明构思,本申请还提出一种组域虚拟专用网络中报文处理装置,应用于组成员GM设备中。参见图5,图5为本申请实施例中应用于上述技术的装置结构示意图。该装置包括:
[0055] 收发单元501,用于接收其它GM设备发送的报文;
[0056] 匹配单元502,用于根据收发单元501接收到的报文携带的GM唯一标识在本地匹配CBAR表项;所述其它GM设备发送的报文携带GM唯一标识和序列号,所述GM唯一标识为发送该报文的GM设备的GM唯一标识;
[0057] 处理单元503,用于当匹配单元502未匹配到CBAR表项时,解封装处理接收到的报文,并生成所述GM唯一标识对应的CBAR表项;当匹配单元502匹配到CBAR表项时,根据所述报文携带的序列号,以及匹配到的CBAR表项进行CBAR检测;若检测确定接收到的报文为重放报文,则丢弃所述报文;否则,解封装处理接收到的报文并更新匹配到的CBAR表项。
[0058] 较佳地,
[0059] 收发单元501,进一步用于向其它GM设备发送报文时,携带本GM设备的GM唯一标识和发送该报文的序列号,以使所述其它GM设备根据该报文携带的GM唯一标识和序列号进行CBAR检测。
[0060] 较佳地,
[0061] 所述GM唯一标识和序列号携带在所述报文的ESP头和内层IP头之间。
[0062] 较佳地,
[0063] 所述GM唯一标识为GM设备的GM注册地址、MAC地址、IP地址或设备ID。
[0064] 上述实施例的单元可以集成于一体,也可以分离部署;可以合并为一个单元,也可以进一步拆分成多个子单元。
[0065] 综上所述,本申请通过在GDVPN中的GM设备上增加抗重放功能,相对于现有实现的CBAR检测实现抗重放,本申请实施例中还引入了GM唯一标识来识别发送报文的GM设备从而实现GDVPN中的报文抗重放,能够在不丢弃有用报文的基础上降低资源的消耗。
[0066] 本申请提供的抗重放技术方案只需在GM设备上进行相关处理,无需在KS上进行任何处理。
[0067] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。