CN102957577A - 抗重放攻击检测方法和装置 - Google Patents
抗重放攻击检测方法和装置 Download PDFInfo
- Publication number
- CN102957577A CN102957577A CN2011102541906A CN201110254190A CN102957577A CN 102957577 A CN102957577 A CN 102957577A CN 2011102541906 A CN2011102541906 A CN 2011102541906A CN 201110254190 A CN201110254190 A CN 201110254190A CN 102957577 A CN102957577 A CN 102957577A
- Authority
- CN
- China
- Prior art keywords
- udp message
- module
- message bag
- playback attack
- tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Circuits Of Receivers In General (AREA)
Abstract
本发明提供了一种抗重放攻击检测方法和装置,所述抗重放攻击检测方法和装置包括以下步骤:步骤1:隧道建立步骤,即在密码检测平台与送检设备之间建立隧道;步骤2:所述密码检测平台发出一个UDP数据包,对该UDP数据包进行加密并封装后,克隆该UDP数据包并重放该UDP数据包;步骤3:判断所述密码检测平台收到一个UDP数据包或两个UDP数据包,如果收到一个UDP数据包则所述送检设备具备抗重放攻击的能力,如果收到两个UDP数据包则所述送检设备不具备抗重放攻击的能力。本发明所述的抗重放攻击检测方法和装置,实现了对送检设备是否具有抗重放攻击能力的检测。
Description
技术领域
本发明涉及一种检测方法和装置,尤其涉及一种抗重放攻击检测方法和装置。
背景技术
目前国际上销售的IPSec VPN产品检测工具主要有Spirent公司的Avalanche和IXIA公司的400T。两家公司通过销售或租赁检测平台的方式基本上垄断了全球IPSec VPN产品检测市场,其中尤其是Avalanche已成为了业内检测IPSec VPN产品的行业标准。这些检测工具凭借其稳定的功能和优异的性能长期占据着绝大部分检测市场,但这些检测工具往往价格高昂,且不支持国产算法和协议,并不适合我国的实际情况,并且现有的检测工具缺少抗重放攻击的功能。
发明内容
本发明的主要目的在于提供一种抗重放攻击检测方法和装置,实现了对送检设备是否具有抗重放攻击能力的检测。
为了达到上述目的,本发明提供了一种抗重放攻击检测方法,包括以下步骤:
步骤1:隧道建立步骤,即在密码检测平台与送检设备之间建立隧道;
步骤2:所述密码检测平台发出一个UDP数据包,对该UDP数据包进行加密并封装后,克隆该UDP数据包并重放该UDP数据包;
步骤3:判断所述密码检测平台收到一个UDP数据包或两个UDP数据包,如果收到一个UDP数据包则所述送检设备具备抗重放攻击的能力,如果收到两个UDP数据包则所述送检设备不具备抗重放攻击的能力。
实施时,本发明所述的抗重放攻击检测方法,在步骤1前还包括以下步骤:
步骤11:模块初始化,并设置测试重放参数;
步骤12:检测所述测试重放参数的正确性,如果正确则转至步骤1,否则转至步骤13;
步骤13:返回错误编码,记录错误信息,结束本次检测。
实施时,步骤1在隧道建立步骤之前还包括:
步骤14:配置隧道参数,并向送检设备发起密钥协商;
步骤15:判断密钥协商是否成功,成功则转至隧道建立步骤,否则转至步骤13。
本发明提供了一种抗重放攻击检测装置,包括:
隧道建立模块,用于在密码检测平台与送检设备之间建立隧道;
数据包发送模块,用于发出一个UDP数据包,对该UDP数据包进行加密并封装后,克隆该UDP数据包并重放该UDP数据包;
检测模块,用于判断所述数据包发送模块收到一个UDP数据包或两个UDP数据包,如果收到一个UDP数据包则所述送检设备具备抗重放攻击的能力,如果收到两个UDP数据包则所述送检设备不具备抗重放攻击的能力。
实施时,所述隧道建立模块,还用于在密码检测平台与送检设备之间建立隧道之前,在密码检测平台端设置测试重放参数;
所述抗重放攻击检测装置还包括判断模块和错误返回模块,其中,
所述判断模块,用于检测所述测试重放参数的正确性,如果正确则启动所述数据包发送模块,否则启动所述错误返回模块;
所述错误返回模块,用于返回错误编码,记录错误信息。
实施时,本发明所述的抗重放攻击检测装置,还包括密钥协商模块;
所述密钥协商模块,用于向送检设备发起密钥协商;
所述判断模块,还用于判断密钥协商是否成功,成功则启动数据包发送模块,否则启动错误返回模块。
与现有技术相比,本发明所述的抗重放攻击检测方法和装置,实现了对送检设备是否具有抗重放攻击能力的检测。
附图说明
图1是本发明所述的抗重放攻击检测方法的一实施例的流程图;
图2是本发明所述的抗重放攻击检测方法的又一实施例的流程图。
具体实施方式
下面通过具体实施方式结合附图对本发明进行进一步详细介绍:
如图1所示,本发明提供了一种抗重放攻击检测方法,包括以下步骤:
步骤1:隧道建立步骤,即在密码检测平台与送检设备之间建立隧道;
步骤2:数据包发送步骤,即所述密码检测平台发出一个UDP数据包,对该UDP数据包进行加密并封装后,克隆该UDP数据包并重放该UDP数据包;
步骤3:检测步骤,即判断所述密码检测平台收到一个UDP数据包或两个UDP数据包,如果收到一个UDP数据包则所述送检设备具备抗重放攻击的能力,如果收到两个UDP数据包则所述送检设备不具备抗重放攻击的能力。
根据一种具体实施方式,在步骤1前还包括以下步骤:
步骤11:模块初始化,并设置测试重放参数;
步骤12:检测所述测试重放参数的正确性,如果正确则转至步骤1,否则转至步骤13;
步骤13:返回错误编码,记录错误信息,结束本次检测。
实施时,步骤1在隧道建立步骤之前还包括:
步骤14:配置隧道参数,并向送检设备发起密钥协商;
步骤15:判断密钥协商是否成功,成功则转至隧道建立步骤,否则转至步骤13。
如图2所示,根据一种具体实施方式,本发明提供了一种抗重放攻击检测方法,包括以下步骤:
步骤11:模块初始化,并设置测试重放参数;
步骤12:检测所述测试重放参数的正确性,如果正确则转至步骤14,否则转至步骤13;
步骤13:返回错误编码,记录错误信息,结束本次检测;
步骤14:配置隧道参数,并向送检设备发起密钥协商;
步骤15:判断密钥协商是否成功,成功则转至步骤16,否则转至步骤13;
步骤16:隧道建立步骤,即在密码检测平台与送检设备之间建立隧道;
步骤2:数据包发送步骤,即所述密码检测平台发出一个UDP数据包,对该UDP数据包进行加密并封装后,克隆该UDP数据包并重放该UDP数据包;
步骤3:检测步骤,即判断所述密码检测平台收到一个UDP数据包或两个UDP数据包,如果收到一个UDP数据包则所述送检设备具备抗重放攻击的能力,如果收到两个UDP数据包则所述送检设备不具备抗重放攻击的能力。
本发明还提供了一种抗重放攻击检测装置,包括:
隧道建立模块,用于在密码检测平台与送检设备之间建立隧道;
数据包发送模块,用于发出一个UDP数据包,对该UDP数据包进行加密并封装后,克隆该UDP数据包并重放该UDP数据包;
检测模块,用于判断所述数据包发送模块收到一个UDP数据包或两个UDP数据包,如果收到一个UDP数据包则所述送检设备具备抗重放攻击的能力,如果收到两个UDP数据包则所述送检设备不具备抗重放攻击的能力。
实施时,所述隧道建立模块,还用于在密码检测平台与送检设备之间建立隧道之前,在密码检测平台端设置测试重放参数;
所述抗重放攻击检测装置还包括判断模块和错误返回模块,其中,
所述判断模块,用于检测所述测试重放参数的正确性,如果正确则启动所述数据包发送模块,否则启动所述错误返回模块;
所述错误返回模块,用于返回错误编码,记录错误信息。
实施时,所述的抗重放攻击检测装置还包括密钥协商模块;
所述密钥协商模块,用于向送检设备发起密钥协商;
所述判断模块,还用于判断密钥协商是否成功,成功则启动数据包发送模块,否则启动错误返回模块。
本发明所述的抗重放攻击检测方法和装置具有如下优势:
1)支持基于IPSec VPN协议的抗重放攻击;
2)在国内算法套件下的实现了抗重放攻击检测。
以上说明对本发明而言只是说明性的,而非限制性的,本领域普通技术人员理解,在不脱离所附权利要求所限定的精神和范围的情况下,可做出许多修改、变化或等效,但都将落入本发明的保护范围内。
Claims (6)
1.一种抗重放攻击检测方法,其特征在于,包括以下步骤:
步骤1:隧道建立步骤,即在密码检测平台与送检设备之间建立隧道;
步骤2:所述密码检测平台发出一个UDP数据包,对该UDP数据包进行加密并封装后,克隆该UDP数据包并重放该UDP数据包;
步骤3:判断所述密码检测平台收到一个UDP数据包或两个UDP数据包,如果收到一个UDP数据包则所述送检设备具备抗重放攻击的能力,如果收到两个UDP数据包则所述送检设备不具备抗重放攻击的能力。
2.如权利要求1所述的抗重放攻击检测方法,其特征在于,在步骤1前还包括以下步骤:
步骤11:模块初始化,并设置测试重放参数;
步骤12:检测所述测试重放参数的正确性,如果正确则转至步骤1,否则转至步骤13;
步骤13:返回错误编码,记录错误信息,结束本次检测。
3.如权利要求2所述的抗重放攻击检测方法,其特征在于,步骤1在隧道建立步骤之前还包括:
步骤14:配置隧道参数,并向送检设备发起密钥协商;
步骤15:判断密钥协商是否成功,成功则转至隧道建立步骤,否则转至步骤13。
4.一种抗重放攻击检测装置,其特征在于,包括:
隧道建立模块,用于在密码检测平台与送检设备之间建立隧道;
数据包发送模块,用于发出一个UDP数据包,对该UDP数据包进行加密并封装后,克隆该UDP数据包并重放该UDP数据包;
检测模块,用于判断所述数据包发送模块收到一个UDP数据包或两个UDP数据包,如果收到一个UDP数据包则所述送检设备具备抗重放攻击的能力,如果收到两个UDP数据包则所述送检设备不具备抗重放攻击的能力。
5.如权利要求4所述的抗重放攻击检测装置,其特征在于,
所述隧道建立模块,还用于在密码检测平台与送检设备之间建立隧道之前,在密码检测平台端设置测试重放参数;
所述抗重放攻击检测装置还包括判断模块和错误返回模块,其中,
所述判断模块,用于检测所述测试重放参数的正确性,如果正确则启动所述数据包发送模块,否则启动所述错误返回模块;
所述错误返回模块,用于返回错误编码,记录错误信息。
6.如权利要求5所述的抗重放攻击检测装置,其特征在于,还包括密钥协商模块;
所述密钥协商模块,用于向送检设备发起密钥协商;
所述判断模块,还用于判断密钥协商是否成功,成功则启动数据包发送模块,否则启动错误返回模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102541906A CN102957577A (zh) | 2011-08-31 | 2011-08-31 | 抗重放攻击检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102541906A CN102957577A (zh) | 2011-08-31 | 2011-08-31 | 抗重放攻击检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102957577A true CN102957577A (zh) | 2013-03-06 |
Family
ID=47765839
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102541906A Pending CN102957577A (zh) | 2011-08-31 | 2011-08-31 | 抗重放攻击检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102957577A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296791A (zh) * | 2022-06-20 | 2022-11-04 | 河海大学 | 一种用于现场总线的防重放攻击装置及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355428A (zh) * | 2008-09-11 | 2009-01-28 | 上海交通大学 | 采用增量检验来保护数据完整性的方法 |
| CN101583154A (zh) * | 2009-07-07 | 2009-11-18 | 杭州华三通信技术有限公司 | 一种无线局域网中的通信方法及装置 |
| CN101800989A (zh) * | 2010-01-19 | 2010-08-11 | 重庆邮电大学 | 用于工业无线网络的防重放攻击*** |
-
2011
- 2011-08-31 CN CN2011102541906A patent/CN102957577A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355428A (zh) * | 2008-09-11 | 2009-01-28 | 上海交通大学 | 采用增量检验来保护数据完整性的方法 |
| CN101583154A (zh) * | 2009-07-07 | 2009-11-18 | 杭州华三通信技术有限公司 | 一种无线局域网中的通信方法及装置 |
| CN101800989A (zh) * | 2010-01-19 | 2010-08-11 | 重庆邮电大学 | 用于工业无线网络的防重放攻击*** |
Non-Patent Citations (1)
| Title |
|---|
| 陆敏锋,平玲娣,李卓: "基于IPSec网络协议的VPN测试***", 《计算机工程》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296791A (zh) * | 2022-06-20 | 2022-11-04 | 河海大学 | 一种用于现场总线的防重放攻击装置及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11864263B2 (en) | Wireless connection establishing methods and wireless connection establishing apparatuses | |
| WO2015085848A1 (zh) | 一种安全认证方法和双向转发检测bfd设备 | |
| CN102594914B (zh) | 一种基于云平台的远程调试方法 | |
| CN109714221B (zh) | 网络数据包的确定方法、装置及*** | |
| JP2011521510A5 (zh) | ||
| CN103580894A (zh) | 操作、管理和维护oam配置的方法、设备及*** | |
| CN104170353A (zh) | Tcp链路配置方法、装置及设备 | |
| RU2580454C2 (ru) | Способ, устройство и система для тестирования сети при работе механизма ipsec | |
| CN103227777B (zh) | 一种防止dpd探测失败导致ipsec隧道震荡的方法 | |
| US20070076748A1 (en) | Communication apparatus and communication control method | |
| CN105119901A (zh) | 一种钓鱼热点的检测方法及*** | |
| CN106559405B (zh) | 一种Portal认证方法和设备 | |
| WO2013097523A1 (zh) | 一种因特网协议安全隧道切换方法、装置及传输*** | |
| CN105094506A (zh) | 智能终端的解锁屏幕的方法、智能终端及操作平台 | |
| CN104780042A (zh) | 一种即时通信的双层认证方法、装置及*** | |
| WO2015010512A1 (zh) | Gre报文的封装方法、解封装方法及对应的装置 | |
| US9294954B2 (en) | Method and system for online communication | |
| CN104079579A (zh) | 一种配电终端通信加密协议检测的方法 | |
| CN104243225B (zh) | 一种基于深度包检测的流量识别方法 | |
| CN102891850A (zh) | IPSec隧道更新防重放参数的方法 | |
| CN102957577A (zh) | 抗重放攻击检测方法和装置 | |
| CN104468585B (zh) | 基于代理的用户设备可信接入认证方法 | |
| CN104320309A (zh) | 一种自动重拨功能的自动测试***及方法 | |
| CN102333094A (zh) | 一种安全控制方法和设备 | |
| CN106789938B (zh) | 一种实时监控手机端浏览器搜索痕迹的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 100036 No. 7, indigo factory road, Beijing, Fengtai District Applicant after: State Cryptography Administration Commercial Code Testing Center Applicant after: BEIJING TOPSEC TECHNOLOGY CO., LTD. Address before: 100036 No. 7, indigo factory road, Beijing, Fengtai District Applicant before: State Cryptography Administration Commercial Code Testing Center Applicant before: Beijing heaven melts letter Science Technologies Co., Ltd. |
|
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 100036 No. 7, indigo factory road, Beijing, Fengtai District Applicant after: State Cryptography Administration Commercial Code Testing Center Applicant after: Beijing heaven melts letter Science Technologies Co., Ltd. Address before: 100036 No. 7, indigo factory road, Beijing, Fengtai District Applicant before: State Cryptography Administration Commercial Code Testing Center Applicant before: BEIJING TOPSEC TECHNOLOGY CO., LTD. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130306 |