A3.2. Re-synchronization Process (重新同步过程)

当达到上述触发点时, 将选择一个 "坏" 数据包, 使用序列号上半部分 (Seqh) 的连续较大值重试身份验证。这些值通过每次重试递增一来生成。重试次数应该受到限制, 以防这是来自 "过去" 的数据包或虚假数据包。限制值是本地参数。(由于 Seqh 值隐式地放置在 ESP (或 AH) 有效载荷之后, 因此可以通过在数据包上执行完整性算法直到有效载荷的端点来优化此过程, 然后通过改变 Seqh 的值来计算不同的候选 ICV。) 通过此过程成功验证数据包会重置连续失败计数, 并将 T 的值设置为接收数据包的值。

此解决方案仅需要接收方的支持, 从而允许向后兼容性。此外, 由于重新同步工作将在后台进行或使用额外的处理器, 因此此解决方案不会影响流量处理, 并且拒绝服务攻击不能将资源从流量处理中转移出去。