一種基于時間的防重放方法及裝置制造方法
【專利摘要】本申請公開了一種基于時間的防重放方法及裝置,本發(fā)明基于IPSec協(xié)議,發(fā)送端在IPSec封裝時,在原序列號字段中攜帶時間戳,接收端基于報文中的時間戳,結合本地時間及防重放時間窗口確定報文是否為重放報文,不需要發(fā)送端和接收端通過時間同步協(xié)議保持時間同步。本發(fā)明在發(fā)送端發(fā)包速率較高和多核并發(fā)發(fā)送報文的情況下,能夠有效避免誤丟包。
【專利說明】-種基于時間的防重放方法及裝置
【技術領域】
[0001 ] 本發(fā)明涉及英特網協(xié)議報文的防重放技術,尤其涉及一種基于時間的防重放方法 及裝置。
【背景技術】
[0002] 英特網協(xié)議安全(Internet Protocol Security,IPSec)協(xié)議是 IETF 制定的 三層隧道加密協(xié)議,該協(xié)議給出了應用于IP層上網絡數據安全的一整套體系結構。它 為internet上傳播的數據提供安全服務數據機密性、數據完整性、數據源認證、防重放 (Anti-Replay)等功能特性。
[0003] 傳統(tǒng)的IPsec VPN采用端到端的技術,當數據報文被第三方截獲,攻擊者可以對截 取的報文進行破譯后,再用重放相同的報文的方式以仿冒身份獲取非法訪問權。
[0004] IPSec協(xié)議通過網絡認證頭(Authentication Header, AH)、封裝安全載荷 (Encapsulating Security Payload,ESP)中的序列號(Sequence Number)字段來實現防 重放檢測。
[0005] 經過AH或者ESP封裝的報文結構中,序列號為從1開始的32位單增序列號,不允 許重復,唯一地標識了每一個發(fā)送數據包,為安全關聯提供反重播保護。接收端根據序列號 結合防重放窗口和報文驗證來防御重放攻擊。防重放機制的窗口滑動規(guī)則及對重放報文的 判定規(guī)則如下:
[0006] 規(guī)則1、若報文的序列號落在防重放窗口內,即滿足:防重放窗口左邊界<接收到 的報文序列號 < 防重放窗口右邊界,則判斷是否以前接收過,如果沒有則認為是正常報文, 窗口不做滑動,如果收到過,則認為是重放報文,丟棄之。
[0007] 規(guī)則2、若報文的序列號落在防重放窗口右側,且驗證為合法報文,則將重放窗口 右邊界滑動到此報文的序列號處。
[0008] 規(guī)則3、若報文的序列號落在防重放窗口左側,則認為是重放報文,丟棄之。
[0009] 隨著現有硬件技術的發(fā)展,多核設備(即指擁有多個核心處理芯片的網絡設備) 已經很常見,多核并行處理數據報文使設備的吞吐量大大提高,但同時也帶來IPsec防重 放序號亂序的問題,例如,設備A和設備B為兩個協(xié)商IPsec隧道的對端,其中A是多核設 備,每個CPU核心會同時發(fā)送報文,以達到并發(fā)的效果,由于每個CPU核心處于的工作狀態(tài) 不同,或受外部事件影響,不同CPU核心在同一時刻處理速度不同,導致本應后發(fā)出的報文 (防重放序號大的報文)比本應先發(fā)出的報文(防重放序號小的報文)先發(fā)出,B端先收到 防重放序號大的報文,會移動防重放窗口,如果流量很快,窗口會被移動很遠,防重放序號 小的報文到達時,已經處于防重放窗口左側,就會被誤丟棄。
【發(fā)明內容】
[0010] 有鑒于此,本申請?zhí)峁┮环N基于時間的防重放方法及裝置,用于解決高速流量和 多核并發(fā)情況下報文亂序導致誤丟包的技術問題。 toon] 為實現本發(fā)明的發(fā)明目的,本發(fā)明是這樣實現的:
[0012] -種基于時間的防重放方法,該方法包括:
[0013] 接收發(fā)送端發(fā)送的基于IPSec封裝的數據報文,記錄接收到所述數據報文時刻的 接收端本地絕對時間戳T2,所述數據報文中攜帶發(fā)送端發(fā)送該數據報文時刻的發(fā)送端本地 絕對時間戳T1 ;
[0014] 根據所述接收端本地絕對時間戳T2和所述發(fā)送端本地絕對時間戳T1計算兩端的 時間差值D,并根據所述時間差值D及本地絕對時間T3計算相對調整時間FT ;
[0015] 以所述相對調整時間FT為基準,根據預設的時間窗參數W確定防重放時間窗口左 右邊緣FT-W和FT+W ;
[0016] 當數據報文中攜帶時間戳落在所確定的防重放時間窗口之內時放行所述數據報 文,否則丟棄所述數據報文。
[0017] 進一步地,在所述IPSec封裝的數據報文的AH和/或ESP的序列號字段攜帶所述 發(fā)送端本地絕對時間戳T1。
[0018] 進一步地,根據預設的相對調整時間更新周期,周期性地在每個相對調整時間更 新周期內至多執(zhí)行一次所述的計算時間差值D、計算相對調整時間FT及確定防重放時間窗 口左右邊緣FT-W和FT+W的步驟。
[0019] 基于與上述方法相同的發(fā)明構思,本發(fā)明實施例還提供一種基于時間的防重放裝 置,該裝置包括:
[0020] 接收單元,用于接收發(fā)送端發(fā)送的基于IPSec封裝的數據報文,記錄接收到所述 數據報文時刻的接收端本地絕對時間戳T2,所述數據報文中攜帶發(fā)送端發(fā)送該數據報文時 刻的發(fā)送端本地絕對時間戳T1 ;
[0021] 時間窗確定單元,用于根據所述接收端本地絕對時間戳T2和所述數據報文中攜 帶的發(fā)送端本地絕對時間戳T1計算兩端的時間差值D,并根據所述時間差值D及本地絕對 時間T3計算相對調整時間FT ;以所述相對調整時間FT為基準,根據預設的時間窗參數W確 定防重放時間窗口左右邊緣FT-W和FT+W ;
[0022] 防重放單元,用于執(zhí)行防重放處理,當數據報文中攜帶的時間戳落在所確定的防 重放時間窗口之內時放行所述數據報文,否則丟棄所述數據報文。
[0023] 進一步地,所述時間窗確定單元,根據預設的相對調整時間更新周期,周期性地在 每個相對調整時間更新周期內至多執(zhí)行一次所述的計算時間差值D、計算相對調整時間FT 及確定防重放時間窗口左右邊緣FT-W和FT+W的步驟。
[0024] 基于本發(fā)明實施例的另一方面,本發(fā)明還提供一種基于時間的防重放方法,該方 法包括:
[0025] 接收發(fā)送端發(fā)送的基于IPSec封裝的數據報文,所述數據報文中攜帶發(fā)送端發(fā)送 該數據報文時刻的發(fā)送端本地絕對時間戳T1 ;
[0026] 判斷所述發(fā)送端本地絕對時間戳T1是否大于本地維護的對端時間PT ;
[0027] 若T1大于PT,則放行該數據報文,并將所述本地維護的對端時間PT更新為該數據 報文攜帶的發(fā)送端本地絕對時間戳T1 ;
[0028] 若T1不大于PT,則判斷所述發(fā)送端本地絕對時間戳T1是否小于所述本地維護的 對端時間PT與預設的時間窗口參數W的差值,若小于則丟棄該數據報文,否則放行該數據 報文。
[0029] 進一步地,在所述IPSec封裝的數據報文的AH和/或ESP的序列號字段攜帶所述 發(fā)送端本地絕對時間戳T1。
[0030] 基于與上述方法相同的發(fā)明構思,本發(fā)明實施例還提供一種基于時間的防重放裝 置,該裝置包括:
[0031] 接收單元,用于接收發(fā)送端發(fā)送的基于IPSec封裝的數據報文,所述數據報文中 攜帶發(fā)送端發(fā)送該數據報文時刻的發(fā)送端本地絕對時間戳T1 ;
[0032] 判斷單元,用于判斷所述發(fā)送端本地絕對時間戳T1是否大于本地維護的對端時 間PT ;
[0033] 維護單元,用于在所述T1大于PT時,將所述本地維護的對端時間PT更新為該數 據報文攜帶的發(fā)送端本地絕對時間戳T1 ;
[0034] 防重放單元,用于在所述發(fā)送端本地絕對時間戳T1小于所述本地維護的對端時 間PT與預設的時間窗口參數W的差值時,丟棄該數據報文,否則放行該數據報文。
[0035] 本發(fā)明基于IPSec協(xié)議,發(fā)送端在IPSec封裝時,在原序列號字段中攜帶時間戳, 接收端基于報文中的時間戳,結合本地時間及防重放時間窗口確定報文是否為重放報文, 不需要發(fā)送端和接收端通過時間同步協(xié)議保持時間同步。本發(fā)明在發(fā)送端發(fā)包速率較高和 多核并發(fā)發(fā)送報文的情況下,能夠有效避免報文亂序導致誤丟包的技術問題。
【專利附圖】
【附圖說明】
[0036] 圖1為本發(fā)明一實施例提供的一種基于時間的防重放方法的步驟流程圖;
[0037] 圖2為本發(fā)明一實施例提供的基于時間的防重放方法中防重放時間窗口示意圖;
[0038] 圖3為本發(fā)明另一實施例提供的一種基于時間的防重放方法的步驟流程圖;
[0039] 圖4為本發(fā)明另一實施例提供的基于時間的防重放方法中防重放時間窗口示意 圖;
[0040] 圖5為本發(fā)明一實施例提供的一種基于時間的防重放裝置結構示意圖;
[0041] 圖6為本發(fā)明另一實施例提供的一種基于時間的防重放裝置結構示意圖。
【具體實施方式】
[0042] 以下舉實施例結合附圖對本發(fā)明技術方案進行詳細描述。
[0043] 圖1為本發(fā)明一實施例提供的一種基于時間的防重放方法的步驟流程圖,該實施 例中的步驟以接收端網絡設備為執(zhí)行步驟的主體進行描述,發(fā)送端和接收端通過IPsec隧 道傳送數據報文,該方法包括:
[0044] 步驟101、接收發(fā)送端發(fā)送的基于IPSec封裝的數據報文,記錄接收到所述數據報 文時刻的接收端本地絕對時間戳T2,所述數據報文中攜帶發(fā)送端發(fā)送該數據報文時刻的發(fā) 送端本地絕對時間戳T1 ;
[0045] 該實施例通過IPSec協(xié)議的AH頭和/或ESP中的序列號(Sequence Number)字 段攜帶發(fā)送數據報文時刻的本地時間戳,即重新定義認證頭AH和/或封裝安全載荷ESP中 的序列號字段為時間戳字段,用于標識發(fā)送數據報文的時間。當然,也可以通過其它字段或 保留字段來攜帶時間戳,本發(fā)明不做限定。
[0046] 發(fā)送端網絡設備在對數據報文進行IPSec封裝時,在AH和/或ESP中的序列號字 段填充發(fā)送數據報文時刻的發(fā)送端本地絕對時間戳T1。所述的發(fā)送端本地絕對時間是指發(fā) 送該數據報文時刻的發(fā)送端網絡設備本地系統(tǒng)時間,該本地系統(tǒng)時間不要求與接收端網絡 設備通過時間同步協(xié)議進行精確同步,例如,該本地系統(tǒng)時間可以是發(fā)送端網絡設備的系 統(tǒng)滴答時間(Tick Time),即發(fā)送端網絡設備啟動后逝去的毫秒數。
[0047] 步驟102、根據接收到所述數據報文時刻的接收端本地絕對時間戳T2和所述數據 報文中攜帶的發(fā)送端本地絕對時間戳T1計算兩端的時間差值D,并根據所述時間差值D及 本地絕對時間T3計算相對調整時間FT (Fix Time),以所述相對調整時間FT為基準,根據預 設的時間窗口參數W確定防重放時間窗口左右邊緣FT-W和FT+W
[0048] 接收端網絡設備在接收到發(fā)送端網絡設備發(fā)送的數據報文時,記錄接收到該數據 報文時刻的本地絕對時間T2,并從該數據報文的IPSec封裝的AH和/或ESP中提取發(fā)送端 網絡設備發(fā)送該數據報文時刻的發(fā)送端本地絕對時間戳T1。然后基于T2和T1計算兩端時 間差值D,該實施例中計算的方法如下:
[0049] 時間差值D = T2-T1 (算式1)
[0050] 在獲得時間差值D后,再根據本地絕對時間T3計算相對調整時間FT,計算方法如 下:
[0051] 相對調整時間FT = T3 土 D
[0052] 同理,接收端網絡設備接收到數據報文時的本地絕對時間是指接收到數據報文時 刻的接收端網絡設備本地系統(tǒng)時間,該系統(tǒng)時間不要求與發(fā)送端網絡設備通過時間同步協(xié) 議進行精確同步,例如,該系統(tǒng)時間可以是接收端網絡設備的系統(tǒng)滴答時間(Tick Time)。
[0053] 本發(fā)明通過時間差值D來計算相對調整時間FT,然后以FT為基準來設置防重放時 間窗口的目的是為了屏蔽由于網絡設備硬件時間計數的不穩(wěn)定而導致的時間窗口的漂移。
[0054] 步驟103、當數據報文中攜帶時間戳落在所確定的防重放時間窗口之內時放行所 述數據報文,否則丟棄所述數據報文。
[0055] 如圖2所示,該步驟中根據所確定的防重放時間窗口對接收到的數據報文進行防 重放處理方式如下:
[0056] 1、當數據報文攜帶的發(fā)送端本地絕對時間戳T1落在防重放時間窗口范圍(FT-W, FT+W)之外時,丟棄該是數據報文;
[0057] 2、當數據報文攜帶的發(fā)送端本地絕對時間戳T1落在防重放時間窗口范圍(FT-W, FT+W)之內時,放行該是數據報文。
[0058] 本發(fā)明一具體實施例中,為了避免接收端頻繁計算和更新FT對系統(tǒng)性能造成的 影響,在接收端預先設定一個相對調整時間更新周期,并設置一個相對調整時間更新定時 器,當定時器超時后,只根據最新接收到的一個數據報文中的時間戳重新計算時間差值D, 然后進行FT的調整,即在一個相對調整時間更新周期內至多執(zhí)行一次計算時間差值D、計 算相對調整時間FT及確定防重放時間窗口左右邊緣FT-W和FT+W的步驟,從而減少對系統(tǒng) 性能的影響。
[0059] 本發(fā)明實施例中,窗口參數W的設置需考量的主要因素為網絡延遲。如果網絡延 遲較大,則增大W值,如果延遲小減少W值,W值越小,防重放效果越好,但誤丟包的幾率更 大,W值越大,防重放序號幾率會變差(有些重放報文可能攔不?。?,但誤丟包的幾率會變 小。
[0060] 本發(fā)明實施例中,FT的更新周期考量的因素主要是IPsec協(xié)商兩端的系統(tǒng)滴答時 間的頻率。如果兩端滴答時間的頻率相差較大,則FT的更新周期值宜設置小一些,否則設 置大一些。如果IPsec協(xié)商兩端滴答時間頻率相差較大,但是FT的更新頻率設置又比較小, 那么建議窗口參數W設置大一些,防止因為兩端系統(tǒng)滴答時間暫時的不同步而導致防重放 檢查失敗。
[0061] 圖3為本發(fā)明另一實施例提供的一種基于時間的防重放方法的步驟流程圖,該實 施例中的步驟以接收端網絡設備為執(zhí)行步驟的主體進行描述,發(fā)送端和接收端通過IPsec 隧道傳送數據報文,該方法包括:
[0062] 步驟301、接收發(fā)送端發(fā)送的基于IPSec封裝的數據報文,所述數據報文中攜帶發(fā) 送端發(fā)送該數據報文時刻的發(fā)送端本地絕對時間戳T1 ;
[0063] 該實施例通過IPSec協(xié)議的AH頭和/或ESP中的序列號字段攜帶發(fā)送數據報文 時刻的本地時間戳,即重新定義認證頭AH和/或封裝安全載荷ESP中的序列號字段為時間 戳字段,用于標識發(fā)送數據報文的時間。當然,也可以通過其它字段或保留字段來攜帶時間 戳,本發(fā)明不做限定。
[0064] 步驟302、判斷所述發(fā)送端本地絕對時間戳T1是否大于本地維護的對端時間 PT (Peer Time),若大于執(zhí)行步驟303,否則執(zhí)行步驟304 ;
[0065] 步驟303、放行該數據報文,并將所述本地維護的對端時間PT更新為該數據報文 攜帶的發(fā)送端本地絕對時間戳T1 ;
[0066] 該實施例在接收端只維護對端的時間PT,該對端的時間PT通過數據報文攜帶的 發(fā)送端本地絕對時間戳T1獲得,在初始情況下,PT設置為0,保證接收到第一個數據報文 時,T1大于PT,當下一個數據報文攜帶的T1值大于當前PT的值時,則替換當前的PT值,相 當于將防重放時間窗口向右移動。
[0067] 執(zhí)行完該步驟后,該數據報文的防重放處理過程結束。
[0068] 步驟304、判斷所述發(fā)送端本地絕對時間戳T1是否小于所述PT與預設的時間窗口 參數W的差值,若小于則丟棄該數據報文,否則放行該數據報文。
[0069] 如圖4所示,該實施例的時間窗口范圍為(PT_W,PT),當接收的數據報文攜帶的時 間戳T1小于PT-W時,丟棄該數據報文。
[0070] 上述實施例中所述的本地絕對時間戳是指網絡設備本地系統(tǒng)時間,該系統(tǒng)時間 不要求通過時間同步協(xié)議保持IPSec隧道兩端設備的時間同步,例如,可以系統(tǒng)滴答時間 (Tick Time),即網絡設備啟動后逝去的毫秒數。
[0071] 上述實施例中,由于發(fā)送端報文中時間戳字段是受完整性保護的,不能被篡改,對 接收端FT值計算或PT值的維護提供了安全性保證。
[0072] 本發(fā)明提供的基于時間的防重放技術,不再通過序號來決定報文是否丟棄,而是 通過防重放時間窗口來判斷是否丟棄報文,而且本發(fā)明提供的技術方案不要求發(fā)送端和接 收端的時間或時鐘同步。發(fā)送端發(fā)送報文時無論流量多快,報文中的時間不會有大的變化, 到達接收端的報文攜帶的時間戳只要在防重放時間窗口內被認為是非重放的合法報文,因 此可以有效的避免報文亂序導致的丟包,特別是在多核多線程并發(fā)發(fā)送報文的情況下,效 果更佳明顯。
[0073] 基于同樣的發(fā)明目的及技術原理,本發(fā)明一實施例還提供一種基于時間的防重放 裝置,如圖5所示,該裝置500包括:
[0074] 接收單元501,用于接收發(fā)送端發(fā)送的基于IPSec封裝的數據報文,記錄接收到該 數據報文時刻的接收端本地絕對時間戳T2,所述數據報文中攜帶發(fā)送端發(fā)送該數據報文時 刻的發(fā)送端本地絕對時間戳T1 ;
[0075] 時間窗確定單元502,用于根據所述接收端本地絕對時間戳T2和所述數據報文中 攜帶的發(fā)送端本地絕對時間戳T1計算兩端的時間差值D,并根據所述時間差值D及本地絕 對時間T3計算相對調整時間FT ;以所述相對調整時間FT為基準,根據預設的時間窗參數W 確定防重放時間窗口左右邊緣FT-W和FT+W ;
[0076] 防重放單元503,用于執(zhí)行防重放處理,當數據報文中攜帶的時間戳落在所確定的 防重放時間窗口之內時放行所述數據報文,否則丟棄所述數據報文。
[0077] 優(yōu)選地,在所述IPSec封裝的數據報文的AH和/或ESP的序列號字段攜帶所述發(fā) 送端本地絕對時間戳T1。
[0078] 優(yōu)選地,時間窗確定單元502根據預設的相對調整時間更新周期,周期性地在每 個相對調整時間更新周期內至多執(zhí)行一次所述的計算時間差值D、計算相對調整時間FT及 確定防重放時間窗口左右邊緣FT-W和FT+W的步驟。
[0079] 基于同樣的發(fā)明目的及技術原理,本發(fā)明實施例還提供另一種基于時間的防重放 裝置,如圖6所示,該裝置600包括:
[0080] 接收單元601,用于接收發(fā)送端發(fā)送的基于IPSec封裝的數據報文,所述數據報文 中攜帶發(fā)送端發(fā)送該數據報文時刻的發(fā)送端本地絕對時間戳T1 ;
[0081] 判斷單元602,用于判斷所述發(fā)送端本地絕對時間戳T1是否大于本地維護的對端 時間PT ;
[0082] 維護單元603,用于在所述T1大于PT時,將所述本地維護的對端時間PT更新為該 數據報文攜帶的發(fā)送端本地絕對時間戳T1;
[0083] 防重放單元604,用于在所述發(fā)送端本地絕對時間戳T1小于所述本地維護的對端 時間PT與預設的時間窗口參數W的差值時,丟棄該數據報文,否則放行該數據報文。
[0084] 優(yōu)選地,在所述IPSec封裝的數據報文的AH和/或ESP的序列號字段攜帶所述發(fā) 送端本地絕對時間戳T1。
[0085] 以上所述僅為本申請的較佳實施例而已,并不用以限制本申請,凡在本申請的精 神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本申請保護的范圍之內。
【權利要求】
1. 一種基于時間的防重放方法,其特征在于,該方法包括: 接收發(fā)送端發(fā)送的基于IPSec封裝的數據報文,記錄接收到所述數據報文時刻的接收 端本地絕對時間戳T2,所述數據報文中攜帶發(fā)送端發(fā)送該數據報文時刻的發(fā)送端本地絕對 時間戳T1 ; 根據所述接收端本地絕對時間戳T2和所述發(fā)送端本地絕對時間戳T1計算兩端的時間 差值D,并根據所述時間差值D及本地絕對時間T3計算相對調整時間FT ; 以所述相對調整時間FT為基準,根據預設的時間窗參數W確定防重放時間窗口左右邊 緣 FT-W 和 FT+W ; 當數據報文中攜帶時間戳落在所確定的防重放時間窗口之內時放行所述數據報文,否 則丟棄所述數據報文。
2. 根據權利要求1所述的方法,其特征在于,在所述IPSec封裝的數據報文的AH和/ 或ESP的序列號字段攜帶所述發(fā)送端本地絕對時間戳T1。
3. 根據權利要求1所述的方法,其特征在于, 根據預設的相對調整時間更新周期,周期性地在每個相對調整時間更新周期內至多執(zhí) 行一次所述的計算時間差值D、計算相對調整時間FT及確定防重放時間窗口左右邊緣FT-W 和FT+W的步驟。
4. 一種基于時間的防重放方法,其特征在于,該方法包括: 接收發(fā)送端發(fā)送的基于IPSec封裝的數據報文,所述數據報文中攜帶發(fā)送端發(fā)送該數 據報文時刻的發(fā)送端本地絕對時間戳T1 ; 判斷所述發(fā)送端本地絕對時間戳T1是否大于本地維護的對端時間PT ; 若T1大于PT,則放行該數據報文,并將所述本地維護的對端時間PT更新為該數據報文 攜帶的發(fā)送端本地絕對時間戳T1 ; 若T1不大于PT,則判斷所述發(fā)送端本地絕對時間戳T1是否小于所述本地維護的對端 時間PT與預設的時間窗口參數W的差值,若小于則丟棄該數據報文,否則放行該數據報文。
5. 根據權利要求4所述的方法,其特征在于,在所述IPSec封裝的數據報文的AH和/ 或ESP的序列號字段攜帶所述發(fā)送端本地絕對時間戳T1。
6. -種基于時間的防重放裝置,其特征在于,該裝置包括: 接收單元,用于接收發(fā)送端發(fā)送的基于IPSec封裝的數據報文,記錄接收到所述數據 報文時刻的接收端本地絕對時間戳T2,所述數據報文中攜帶發(fā)送端發(fā)送該數據報文時刻的 發(fā)送端本地絕對時間戳T1 ; 時間窗確定單元,用于根據所述接收端本地絕對時間戳T2和所述數據報文中攜帶的 發(fā)送端本地絕對時間戳T1計算兩端的時間差值D,并根據所述時間差值D及本地絕對時間 T3計算相對調整時間FT ;以所述相對調整時間FT為基準,根據預設的時間窗參數W確定防 重放時間窗口左右邊緣FT-W和FT+W ; 防重放單元,用于執(zhí)行防重放處理,當數據報文中攜帶的時間戳落在所確定的防重放 時間窗口之內時放行所述數據報文,否則丟棄所述數據報文。
7. 根據權利要求1所述的裝置,其特征在于,在所述IPSec封裝的數據報文的AH和/ 或ESP的序列號字段攜帶所述發(fā)送端本地絕對時間戳T1。
8. 根據權利要求1所述的裝置,其特征在于, 所述時間窗確定單元,根據預設的相對調整時間更新周期,周期性地在每個相對調整 時間更新周期內至多執(zhí)行一次所述的計算時間差值D、計算相對調整時間FT及確定防重放 時間窗口左右邊緣FT-W和FT+W的步驟。
9. 一種基于時間的防重放裝置,其特征在于,該裝置包括: 接收單元,用于接收發(fā)送端發(fā)送的基于IPSec封裝的數據報文,所述數據報文中攜帶 發(fā)送端發(fā)送該數據報文時刻的發(fā)送端本地絕對時間戳T1 ; 判斷單元,用于判斷所述發(fā)送端本地絕對時間戳T1是否大于本地維護的對端時間PT ; 維護單元,用于在所述T1大于PT時,將所述本地維護的對端時間PT更新為該數據報 文攜帶的發(fā)送端本地絕對時間戳T1 ; 防重放單元,用于在所述發(fā)送端本地絕對時間戳T1小于所述本地維護的對端時間PT 與預設的時間窗口參數W的差值時,丟棄該數據報文,否則放行該數據報文。
10. 根據權利要求9所述的裝置,其特征在于,在所述IPSec封裝的數據報文的AH和/ 或ESP的序列號字段攜帶所述發(fā)送端本地絕對時間戳T1。
【文檔編號】H04L29/06GK104092697SQ201410345904
【公開日】2014年10月8日 申請日期:2014年7月18日 優(yōu)先權日:2014年7月18日
【發(fā)明者】宋曉歡 申請人:杭州華三通信技術有限公司