CN113923668A - 识别网络攻击行为的方法、装置、芯片及可读存储介质 - Google Patents
识别网络攻击行为的方法、装置、芯片及可读存储介质 Download PDFInfo
- Publication number
- CN113923668A CN113923668A CN202111183144.1A CN202111183144A CN113923668A CN 113923668 A CN113923668 A CN 113923668A CN 202111183144 A CN202111183144 A CN 202111183144A CN 113923668 A CN113923668 A CN 113923668A
- Authority
- CN
- China
- Prior art keywords
- information
- public key
- communication device
- communication
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种识别网络攻击行为的方法、装置、芯片及可读存储介质,本申请提供的技术方案中,如果网络中存在第一公开密钥信息与第二公开密钥信息相同,但第一公开密钥信息对应的第一通信设备标识信息指示的第一通信设备与第二公开密钥信息对应的第二通信设备标识信息指示的第二通信设备不同的情况下,就可以确定出第一通信设备与第二通信设备之间的通信存在网络攻击行为。本申请的技术方案中,不需要数字证书也可以在识别出网络攻击行为,从而可以提高网络通信安全。
Description
技术领域
本申请涉及网络安全领域,并且,更具体地,涉及识别网络攻击行为的方法、装置、芯片及可读存储介质。
背景技术
随着因特网规模以及用户数量的逐年增加,各种网络方式层出不穷,不断改变着人们的生活方式。然而,由于网络的开放性以及匿名性,网络安全问题也日益突出。因此,现有的通信双方在通过网络进行通信前,为了保证传输信息的安全性,通信双方会首先确定出用于加密传输信息的公共密钥。
目前,一种常用的通信双方确定公共密钥的方法为迪菲赫尔曼(也称为DiffieHellman)算法。具体地,通信端A和通信端B首先协商出一个整数g和一个大素数p;然后,通信端A产生一个很大的整数a(1<a<p-1),并计算公开密钥X,通信端B产生一个很大的整数b(1<b<p-1),并计算公开密钥Y,其中,X=gamod(p),Y=gbmod(p)。
通信端A将与自身的用户标识具有映射关系的X通过网络发送至通信端B,通信端B将与自身的用户标识具有映射关系的Y通过网络发送至通信端A。通信端A获得通信端B发送的Y时,确定通信端A与通信端B的公共密钥为KAB=gaY,通信端B获得通信端A发送的X时,确定通信端B与通信端A的公共密钥为KBA=gbX。因为gaY=gabmod(p)且gbX=gabmod(p),因此KAB=KBA,即通信端A和通信端B之间商定得到同一公共密钥KAB。
在后续通信端A与通信端B的通信过程中,通信端A和通信端B可以分别使用该公共密钥KAB对需要进行传输的信息进行加密,以保障信息的安全性。
但是,上述传输信息的方法仍然存在安全性问题,具体原因如下。通信端A和通信端B之间可能会存在可以监听到通信端A与通信端B之间的通信信息的攻击者C。攻击者C监听到p和g之后,产生一个很大的整数c(1<c<p-1),并构造出一个公开密钥Z,Z=gcmod(p)。同时,为了冒充通信端A的身份,攻击者C将从窃取的报文中提取出通信端A的用户标识,并建立通信端A的用户标识与Z之间的映射关系以及将该映射关系发送给通信端B。
通信端B在接收到Z后,会误以为该公开密钥Z为通信端A的公开密钥,并确定出公共密钥为KBC=gbZ,此时,通信端B实际上向攻击者C发送与通信端B的用户标识具有映射关系的Y且Y=gbmod(p)。攻击者C接收到Y之后,能够基于Y获知通信端B确定的与通信端A的公共密钥为KCB=gcY。因为gcY=gc·gbmod(p)=gbcmod(p)且gbZ=gb·gcmod(p)=gbcmod(p),因此KBC=KCB。也就是说,通信端B会将实际上和攻击者C之间商定得到的公共密钥KBC误以为是通信端B和通信端A之间商定得到公共密钥。此时,在后续通信端B与通信端A的通信过程中,通信端B实际上将与通信端A之间的通信信息发送给了攻击者C,从而存在安全性问题。
经分析发现,上述存在网络攻击行为的原因是通信双方没有经过身份确认的过程。因此,在现有技术中,为了能够抵抗上述网络攻击行为,引入了数字证书技术。在该技术中,通信双方在通信时,通过数字证书来进行身份认证,只有在身份认证通过后,通信双方才进行通信。
但是,通过使用数字证书技术来抵抗网络攻击行为时,通信双方都需要为得到数字证书而支付很高的服务费,增加了运行成本。
因此,在没有数字证书的情况下如何识别网络攻击行为以提高网络通信安全称为亟待解决的技术问题。
发明内容
本申请提供一种识别网络攻击行为的方法、装置、芯片及可读存储介质,在没有数字证书的情况下能够识别网络攻击行为,从而提高网络通信安全。
第一方面,本申请实施例提供一种识别网络攻击行为的方法,应用于通信设备,该方法包括:接收第一信息,所述第一信息包括第一公开密钥信息和与第一公开密钥信息对应的第一通信设备标识信息;接收第二信息,第二信息包括第二公开密钥信息和与第二公开密钥信息对应的第二通信设备标识信息;第一公开密钥信息指示的第一公开密钥与第二公开密钥信息指示的第二公开密钥相同,且第一通信设备标识信息指示的第一通信设备与第二通信设备标识信息指示的第二通信设备不同的情况下,确定第一通信设备与第二通信设备之间的通信存在网络攻击行为。
本申请实施例提供的识别网络攻击行为的方法中,如果通信设备确定出网络中存在第一公开密钥信息与第二公开密钥信息相同,但第一公开密钥信息对应的第一通信设备标识信息指示的第一通信设备与第二公开密钥信息对应的第二通信设备标识信息指示的第二通信设备不同的情况下,就可以确定出第一通信设备与第二通信设备之间的通信存在网络攻击行为。
可以理解的是,相比现有技术,本实施例提供的识别网络攻击行为的方法,不需要第一通信设备与第二通信设备分别获得数字证书,从而不需要支付很高的服务费,可以在识别网络攻击行为的方法的同时还能够降低成本。
结合第一方面,在一种可能的实现方式中,所述方法还包括:若接收使用第一公开密钥或第二公开密钥加密的第三信息,不转发第三信息。
该实现方式中,在能够识别出第一通信设备与第二通信设备之间的通信存在网络攻击行为的基础上,还不转发使用第一公开密钥或第二公开密钥加密的第三信息,从而进一步提升了第一通信设备与第二通信设备进行通信时的安全性。
结合第一方面,在一种可能的实现方式中,所述方法还包括:将第一信息和/或第二信息的源通信设备确定为网络攻击行为的攻击者。
该实现方式中,在能够识别出第一通信设备与第二通信设备之间的通信存在网络攻击行为的基础上,还能进一步地确定出实施网络攻击行为的攻击者。
第二方面,本申请提供一种识别网络攻击行为的装置,应用于通信设备,所述装置包括:接收模块,用于接收第一信息及第二信息,第一信息包括第一公开密钥信息和与第一公开密钥信息对应的第一通信设备标识信息,第二信息包括第二公开密钥信息和与第二公开密钥信息对应的第二通信设备标识信息;处理模块,用于第一公开密钥信息指示的第一公开密钥与第二公开密钥信息指示的第二公开密钥相同,且第一通信设备标识信息指示的第一通信设备与第二通信设备标识信息指示的第二通信设备不同的情况下,确定第一通信设备与第二通信设备之间的通信存在网络攻击行为。
结合第二方面,在一种可能的实现方式中,处理模块还用于:若接收使用第一公开密钥或第二公开密钥加密的第三信息,不转发第三信息。
结合第二方面,在一种可能的实现方式中,所述处理模块还用于:将第一信息和/或第二信息的源通信设备确定为网络攻击行为的攻击者。
第三方面,本申请提供一种识别网络攻击行为的装置,包括:存储器和处理器;存储器用于存储程序指令;所述处理器用于调用存储器中的程序指令以执行如第一方面或其中任意一种可能的实现方式所述的方法。
在一些实现方式中,该装置可以是芯片。这种实现方式中,可选地,该装置还可以包括通信接口,用于与其他装置或设备进行通信。
第四方面,本申请提供了一种计算机可读介质,所述计算机可读介质存储用于计算机执行的程序代码,该程序代码包括用于执行如第一方面或其中任意一种可能的实现方式所述的方法。
第五方面,本申请提供了一种计算机程序产品,所述计算机程序产品中包括计算机程序代码,当所述计算机程序代码在计算机上运行时,使得所述计算机实现如第一方面或其中任意一种可能的实现方式所述的方法。
第六方面,本申请提供了一种通信设备,该通信设备包括第一方面或第三方面或其中任意一种可能的实现方式中的装置。
附图说明
图1为本申请提供的通信***的结构性示意图;
图2为现有技术中确定通信双方公共密钥的结构性示意图;
图3为本申请提供的通信***中存在攻击行为时的结构性示意图;
图4为本申请一个实施例提供的通信***的结构性示意图;
图5为本申请一个实施例提供的识别网络攻击行为的方法的流程性示意图;
图6为本申请一个实施例提供的识别网络攻击行为的装置的结构性示意图;
图7为本申请另一个实施例提供的识别网络攻击行为的装置的结构性示意图。
具体实施方式
为于理解,首先对本申请所涉及到的相关术语进行说明。
1、数字证书
数字证书就是网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证。数字证书通常可以由一个权威机构发行,通信各方可以在互联网上用它来识别对方的身份。
2、公开密钥基础设施
公开密钥基础设施(public key infrastructure,PKI),是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术,其包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
3、认证中心
认证中心(certification authority,CA)是一家能向用户签发数字证书以确认用户身份的管理机构。为了防止数字证书的伪造,CA的公共密钥必须是可靠的,CA必须公布其公共密钥或由更高级别的认证中心提供一个电子凭证来证明其公共密钥的有效性。CA颁发数字证书的过程如下:用户产生自己的密钥对后,将公钥及部分个人身份信息发送给CA。CA在核实身份后,将用户发送的公钥及部分个人身份信息做哈希算法得到哈希值,然后用CA自己的私钥对哈希值进行加密,产生CA的数字签名。在向用户颁发数字证书的时候,该数字证书内除附有用户的公钥及部分个人身份信息,同时还附有CA的数字签名信息。当用户想证明其公开密钥的合法性时,就可以提供这一数字证书。
随着因特网规模以及用户数量的逐年增加,各种网络方式层出不穷,不断改变着人们的生活方式。
图1为本申请一个实施例提供的通信***的结构示意图。如图1所示,该通信***包括通信设备101与通信设备102,以及网络103。通信设备101与通信设备102通过网络103进行通信。
通信设备101或通信设备102,可以是一种向用户提供语音和/或数据连通性的设备,例如,具有无线连接功能的手持式设备、车载设备等。终端设备也可以称为用户设备(user equipment,UE)、接入终端(access terminal)、用户单元(user unit)、用户站(userstation)、移动站(mobile station)、移动台(mobile)、远方站(remote station)、远程终端(remote terminal)、移动设备(mobile equipment)、用户终端(user terminal)、无线通信设备(wireless telecom equipment)、用户代理(user agent)、用户装备(userequipment)或用户装置。终端设备可以是无线局域网(wireless local Area networks,WLAN)中的站点(station,STA),可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiation protocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字处理(personal digital assistant,PDA)设备、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备以及下一代通信***(例如,第五代(fifth-generation,5G)通信网络)中的终端或者未来演进的公共陆地移动网络(public land mobile network,PLMN)网络中的终端设备等。其中,5G还可以被称为新空口(new radio,NR)。本申请一种可能的应用的场景中,终端设备也可以为经常工作在地面的终端设备,例如车载设备。
可以理解的是,由于网络103的开放性以及匿名性,通信设备101与通信设备102在使用网络103进行通信时可能存在网络安全问题,例如通信设备101与通信设备102之间的通信信息被泄露或被篡改。因此,为了保证传输信息的安全性,通信设备101与通信设备102在使用网络103进行通信时会首先确定出用于加密传输信息的公共密钥。
目前,一种通信双方确定公共密钥的方法为迪菲赫尔曼(Diffie Hellman)算法。
下面,以通信设备101为主机A,通信设备102为主机B为例,详细说明DiffieHellman算法确定公共密钥的过程。
如图2所示,具体地,主机A和主机B首先协商出一个整数g和一个大素数p;然后,主机A产生一个很大的整数a(1<a<p-1),并计算公开密钥X,主机B产生一个很大的整数b(1<b<p-1),并计算公开密钥Y,其中,X=gamod(p),Y=gbmod(p)。
之后,主机A将自身的用户标识与X通过网络发送至主机B,主机B将自身的用户标识与Y通过网络发送至主机A;当主机A获得主机B的用户标识和Y时,确定主机A与主机B的公共密钥为KAB=gaY,当主机B获得主机A的用户标识和X时,确定主机B与主机A公共密钥为KAB=gbX。因为gaY=gabmod(p)且gbX=gabmod(p),因此KAB=KBA,即主机A和主机B之间商定得到同一公共密钥KAB。
当主机A和主机B商定得到同一公共密钥KAB后,在后续通主机A与主机B的通信过程中,主机A和主机端B可以分别使用该公共密钥KAB对需要进行传输的信息进行加密,以保障信息的安全性。
但是,上述传输信息的方法仍然存在安全性问题。下面,结合图3,说明主机A与主机B通过Diffie Hellman算法确定公共密钥存在安全性问题的具体原因。
如图3所示,主机A和主机B之间可能会存在可以监听到主机A与主机B之间的通信信息的攻击者C,该攻击者C可以监听到X、Y、p和g等信息。攻击者C在监听到p和g后,可以产生一个很大的整数c(1<c<p-1),并构造出一个公开密钥Z,其中,Z=gcmod(p)。同时,为了冒充主机A的身份,攻击者C将从窃取的报文中提取出主机A的用户标识。此时,攻击者C使用主机A的用户标识将Z系发送给主机B。
主机B在接收到Z后,会误以为该公开密钥Z为主机A的公开密钥,并确定出公共密钥为KBC=gbZ。此时,主机B在发送主机B的公开密钥Y与自身的用户标识时,实际上是发送到了攻击者C,其中,Y=gbmod(p)。攻击者C拦截到Y之后,就可以确定出攻击者C与主机B的公共密钥为KCB=gcY。也就是说,主机B会将和攻击者C之间商定得到的公共密钥KBC误以为是主机B和主机A之间商定得到公共密钥。
同理,主机A会将和攻击者C之间商定得到的公共密钥误以为是主机A和主机B之间商定得到公共密钥。假设主机A会将和攻击者C之间商定得到的公共密钥用KAC表示。
此后,主机A发向主机B的报文将通过KAC进行加密,但实际报文会发向攻击者C,攻击者C使用KAC对报文解密并获取相关信息后,如果进行信息的篡改或者修改后,再使用KBC对报文加密,并且将加密报文发向接收端B,就会存在安全性问题。也就是说,在主机A与主机B通信的过程中,存在网络攻击行为。
经分析发现,上述存在网络攻击行为的原因是通信双方没有经过身份确认的过程。因此,现有技术中,为了能够识别上述网络攻击行为,在确定公共密钥的过程中引入了数字证书技术来确认通信双方身份。但是,该方法需要通信双方都能信任认证中心(certification authority,CA)所创建的公开密钥基础设施(public keyinfrastructure,PKI),并且通信书双方都需要为得到数字证书而支付很高的服务费,增加了运行成本。
鉴于此,本申请实施例提供一种识别网络攻击行为的方法,该方法中,如果在网络中存在第一公开密钥信息与第二公开密钥信息相同,但第一公开密钥信息对应的第一通信设备标识信息指示的第一通信设备与第二公开密钥信息对应的第二通信设备标识信息指示的第二通信设备不同的情况下,就可以确定出第一通信设备与第二通信设备之间的通信存在网络攻击行为,该方法可以在识别出存在网络攻击行为的同时还能够降低成本。
为便于理解,图4为本申请实施例提供的通信***的结构性示意图。如图4所示,该通信***包括第一通信设备401、第二通信设备402、第三通信设备403、攻击设备404以及转发设备1、转发设备2、转发设备3、转发设备4与转发设备5。转发设备用于转发通信信息,以实现两个不同的通信设备在网络中的通信。在此说明的是,图4仅示例了5个转发设备,不构成对本申请实施例的限制,例如转发设备的数量还可以是10个,或者更多,或者更少。
对于图4所示的通信***,第一通信设备401与第二通信设备402可以经过转发设备1、转发设备2、转发设备3、转发设备4与转发设备5进行通信,第一通信设备401与第三通信设备403可以通过转发设备1和转发设备2进行通信。
还可以理解的是,无论是第二通信设备401,还是第二通信设备402或者第三通信设备403,为了能够在网络中与其他设备进行通信,其都会经过转发设备的转发,因此,本申请实施例中,执行识别网络攻击行为的方法的执行主体为转发设备,例如是转发设备1、转发设备2、转发设备3、转发设备4与转发设备5。在此说明的是,本申请实施例对转发设备的具体类型不做限定,例如转发设备可以是交换器类型,又或者可以是网关类型。
下面,结合图5,详细说明转发设备识别网络攻击行为的方法。
图5为本申请一个实施例提供的识别网络攻击行为的方法的流程性示意图。如图5所示,本实施例的方法可以包括S501、S502和S503。
首先,可以理解的是,如果进行通信的设备不是攻击设备,例如以图4为例,假设第一通信设备401要与第二通信设备402实现通信,第一通信设备401就要通过转发设备1至转发设备5向第二通信设备402发送包括第一通信设备401生成的公开密钥和第一通信设备401的标识信息,即第一通信设备401发送第一信息,该第一信息包括第一通信设备401生成的公开密钥和第一通信设备401的标识信息,相应地,对于任意一个转发设备,接收的第一信息包括第一通信设备401生成的公开密钥和第一通信设备401的标识信息。同理,第二通信设备402通过转发设备1至转发设备5将第二通信设备402生成的公开密钥信息与第二通信设备402的标识信息发送给第一通信设备401。也就是说,如果第一通信设备401和第二通信设备402不是攻击设备,第一通信设备401发送的标识信息一定是第一通信设备401本身的标识信息,第二通信设备402发送的标识信息一定是第二通信设备402本身的标识信息。然后,第一通信设备401和第二通信设备402就可以确定出公共密钥。
进一步地,继续以图4为例,现假设第一通信设备401还与第三通信设备403进行通信,那么第一通信设备401就要通过转发设备1和转发设备2向第三通信设备403发送第一通信设备401生成的公开密钥(应理解,第一通信设备在与其他不同的通信设备确定公共密钥时,生成的公开密钥可能是不同的,本示例中,将第一通信设备401与第二通信设备402通信时生成的公开密钥称为第一公开密钥,将第一通信设备401与第三通信设备403通信时生成的公开密钥称为第二公开密钥)和第一通信设备401的标识信息,即第一通信设备401还要发送第二信息,该第二信息包括第一通信设备401生成的公开密钥和第一通信设备401的标识信息,相应地,对于任意一个转发设备,接收的第二信息应该是第一通信设备401生成的公开密钥(即第一公开密钥)和第一通信设备401的标识信息。
因此,由于第一通信设备401不是攻击设备,第一通信设备401在发送公开密钥时使用的标识信息都是第一通信设备401的标识信息。
但是,如果进行通信的设备是攻击设备,继续以图4为例,例如是攻击设备404。那么该攻击设备404为了在第一通信设备401与第二通信设备402之间实现攻击行为,在第一通信设备401与第二通信设备402通过Diffie Hellman算法确定公共密钥时,攻击设备404可以监听到第一通信设备401生成的公开密钥X、第二通信设备402生成的公开密钥Y、第一通信设备401与第二通信设备402协商的整数g和一个大素数p等信息。攻击者C在监听到p和g后,首先产生一个很大的整数c(1<c<p-1),并构造出一个公开密钥Z,其中,Z=gcmod(p)。之后,攻击设备404从窃取的第一通信设备401发送的报文中提取出第一通信设备401的标识信息,然后使用第一通信设备401的标识信息向第二通信设备402发送攻击设备生成的公开密钥Z。也就是说,攻击设备404可以通过转发设备向第二通信设备402发送第一信息,该第一信息包括第一通信设备401的标识信息和公开密钥Z。
同理,攻击设备404从窃取的第二通信设备402发送的报文中提取出第二通信设备402的标识信息,然后使用第二通信设备402的标识信息向第一通信设备401发送攻击设备生成的公开密钥Z。也就是说,攻击设备404可以通过转发设备向第一通信设备401发送第二信息,该第二信息包括第二通信设备402的标识信息和公开密钥Z。
因此,如果进行通信的设备是攻击设备,那么该攻击设备为了实现网络攻击,该攻击设备一定会冒充进行通信的通信双方的身份标识信息,即对于攻击设备发送的第一信息与第二信息,会出现同一个公开密钥对应不同的通信设备的标识信息的特点。
下面,通过S501~S503说明转发设备基于第一信息和第二信息识别网络攻击行为的方法。
S501,接收第一信息,第一信息包括第一公开密钥信息和与第一公开密钥信息对应的第一通信设备标识信息。
例如,接收第一信息的可以是图4所示的转发设备1,又或者可以是转发设备2、转发设备3、转发设备4与转发设备5,本申请实施例对此不做限定。
本实施例中,转发设备接收的第一信息包括第一公开密钥信息和与第一公开密钥信息对应的第一通信设备标识信息。其中,与第一公开密钥信息对应的第一通信设备标识信息可以认为是发送第一公开密钥信息的设备在发送第一公开密钥信息时使用的通信设备的标识信息。
如前述所述,发送该第一信息的可能是攻击设备,也有可能不是攻击设备。
可以理解的是,如果发送第一信息的设备不是攻击设备,那么该第一通信设备标识信息就是发送第一公开密钥信息的设备的标识信息。
还可以理解的是,如果发送第一公开密钥信息的设备为攻击设备,那么第一公开密钥信息为该攻击设备生成的,而该攻击设备为了冒充其他通信设备的身份,就需要使用其他通信设备的标识信息来发送该第一公开密钥,即,当发送第一公开密钥信息的设备为攻击设备时,第一通信设备标识信息为其他设备的标识信息。
S502,接收第二信息,第二信息包括第二公开密钥信息和与第二公开密钥信息对应的第二通信设备标识信息。
例如,接收第二信息的可以是图4所示的转发设备1,又或者可以是转发设备2、转发设备3、转发设备4与转发设备5,本申请实施例对此不做限定。但是,应注意,接收第一信息与第二信息的应为同一个转发设备。
本实施例中,转发设备接收的第二信息包括第二公开密钥信息和与第二公开密钥信息对应的第二通信设备标识信息。其中,与第二公开密钥信息对应的第一通信设备标识信息可以认为是发送第二公开密钥信息的设备在发送第二公开密钥信息时使用的通信设备的标识信息。
与步骤S501相同,发送该第一信息的可能是攻击设备,也有可能不是攻击设备。
S503,第一公开密钥信息指示的第一公开密钥与第二公开密钥信息指示的第二公开密钥相同,且第一通信设备标识信息指示的第一通信设备与第二通信设备标识信息指示的第二通信设备不同的情况下,确定第一通信设备与第二通信设备之间的通信存在网络攻击行为。
如前述所述,若某个通信设备不是攻击设备,那么该通信设备在向网络中的任何其他通信设备在发送自己生成的公开密钥时,使用的标识信息都是相同的,即使用的一定是本身的标识信息。但是,若某个设备为攻击设备,那么该攻击设备为了实现网络攻击,该攻击设备一定会冒充进行通信的通信双方的身份标识信息,即对于攻击设备,其会对应不同的标识信息。
示例性地,继续以图4为例,例如是攻击设备404。那么对于攻击设备404而言,其在生成公开密钥后,为了在第一通信设备401与第二通信设备402之间实现攻击,攻击设备404会分别冒充第一通信设备401的标识信息和第二通信设备402的标识信息,具体地,攻击设备404为了冒充第一通信设备401,在向第二通信设备402发送攻击设备生成的公开密钥时使用的是第一通信设备401的标识信息,攻击设备404为了冒充第二通信设备402,在向第一通信设备401发送攻击设备生成的公开密钥时使用的是第二通信设备402的标识信息,即,对于攻击设备404,如果要在第一通信设备401和第二通信设备402之间实现攻击,其会出现同一个公开密钥对应两个通信设备标识信息的特征。
因此,本申请实施例通过同一个公开密钥对应两个不同的标识信息的特征来确定出第一通信设备与第二通信设备之间的通信存在攻击行为。
本申请实施例提供的识别网络攻击行为的方法中,如果转发设备确定出网络中存在第一公开密钥信息与第二公开密钥信息相同,但第一公开密钥信息对应的第一通信设备标识信息指示的第一通信设备与第二公开密钥信息对应的第二通信设备标识信息指示的第二通信设备不同的情况下,就可以确定出第一通信设备与第二通信设备之间的通信存在网络攻击行为。
可以理解的是,相比现有技术,本实施例提供的识别网络攻击行为的方法,不需要第一通信设备与第二通信设备分别获得数字证书,从而不需要支付很高的服务费,可以在识别网络攻击行为的方法的同时还能够降低成本。
作为一个可选的实施例,所述方法还包括:将第一信息和/或第二信息的源通信设备确定为网络攻击行为的攻击者。
其中,第一信息和/或第二信息的源通信设备可以认为是发送该第一信息和第二信息的通信设备。
如上所述,第一信息包括第一公开密钥信息和与第一公开密钥信息对应的第一通信设备标识信息,第二信息包括第二公开密钥信息和与第二公开密钥信息对应的第二通信设备标识信息。
可以理解的是,只有网络攻击行为的攻击者发送的第一信息与第二信息中会出现第一公开密钥信息指示的第一公开密钥与所述第二公开密钥信息指示的第二公开密钥相同,且第一通信设备标识信息指示的第一通信设备与第二通信设备标识信息指示的第二通信设备不同的情况,因此,本实施例中,若出现上述情况,就将发送该第一信息和第二信息的通信设备(第一信息和/或第二信息的源通信设备)确定为网络攻击行为的攻击者。
在一种可能的实现方式中,第一信息与第二信息中携带源通信设备的标识,所述源通信设备的标识用于指示发送第一信息与第二信息的源通信设备,这样,当转发设备获取到第一信息与第二信息中,就可以基于第一信息与第二信息中的源通信设备的标识确定出源通信设备。
该实现方式中,在能够识别出第一设备与第二设备之间存在网络攻击行为的基础上,还能进一步地确定出网络攻击行为的攻击者。
作为一个可选的实施例,所述方法还包括:若接收使用第一公开密钥或第二公开密钥加密的第三信息,不转发第三信息。
本实施例中,可以理解的是,第一公开密钥信息指示的第一公开密钥与第二公开密钥信息指示的第二公开密钥相同,且第一通信设备标识信息指示的第一通信设备与所述第二通信设备标识信息指示的第二通信设备不同的情况下,可以确定出第一公开密钥和第二公开密钥为攻击者生成的密钥,因此,本实施例中,当出现使用第一公开密钥或第二公开密钥加密的第三信息时,就不转发该第三信息。
例如,以图4所示为例,当转发设备2确定出第一信息与第二信息中,存在第一公开密钥信息指示的第一公开密钥与第二公开密钥信息指示的第二公开密钥相同,且第一通信设备标识信息指示的第一通信设备与所述第二通信设备标识信息指示的第二通信设备不同的情况,转发设备2可以切断使用第一公开密钥或第二公开密钥加密的第三信息,这样该第三信息就不会进行转发,相当于转发设备切断了该第三信息在网络中的传输,从而保证了第一通信设备与第二通信设备通信时的安全性。
可选地,可以为各个转发设备统一配置相关的转发策略,比如生成树协议(spanning tree protocol,STP)协议等,以有效防止报文广播而导致的网络效率降低或出错等问题。
可选地,本申请实施例提供的识别网络攻击行为的方法可以只存在于通信双方的公开密钥交换过程,而不是之后的真实数据传输过程,以提升整体网络的运行效率。
图6为本申请一个实施例提供的识别网络攻击行为的装置,应用于通信设备,所述装置600包括:接收模块601,用于接收第一信息及第二信息,第一信息包括第一公开密钥信息和与第一公开密钥信息对应的第一通信设备标识信息,第二信息包括第二公开密钥信息和与第二公开密钥信息对应的第二通信设备标识信息;处理模块602,用于第一公开密钥信息指示的第一公开密钥与第二公开密钥信息指示的第二公开密钥相同,且第一通信设备标识信息指示的第一通信设备与第二通信设备标识信息指示的第二通信设备不同的情况下,确定第一通信设备与第二通信设备之间的通信存在网络攻击行为。
作为一种示例,接收模块601可以用于执行图5所述的方法中的接收第一信息步骤。例如,接收模块601用于执行S501。
作为另一种示例,处理模块602可以用于执行图5所述的方法中的确定第一通信设备与第二通信设备之间的通信存在网络攻击行为步骤。例如,处理模块602用于执行S503。
在一种可能的实现方式中,处理模块602还用于:若接收使用第一公开密钥或第二公开密钥加密的第三信息,不转发第三信息。
在一种可能的实现方式中,所述处理模块602还用于:将第一信息和/或第二信息的源通信设备确定为网络攻击行为的攻击者。
图7为本申请另一个实施例提供的识别网络攻击行为的装置的结构性示意图。图7所示的装置可以用于执行前述任意一个实施例所述的方法。
如图7所示,本实施例的装置700包括:存储器701、处理器702、通信接口703以及总线704。其中,存储器701、处理器702、通信接口703通过总线704实现彼此之间的通信连接。
存储器701可以是只读存储器(read only memory,ROM),静态存储设备,动态存储设备或者随机存取存储器(random access memory,RAM)。存储器701可以存储程序,当存储器701中存储的程序被处理器702执行时,处理器702用于执行图5所示的方法的各个步骤。
处理器702可以采用通用的中央处理器(central processing unit,CPU),微处理器,应用专用集成电路(application specific integrated circuit,ASIC),或者一个或多个集成电路,用于执行相关程序,以实现本申请方法实施例的方法。
处理器702还可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,本申请实施例的方法的各个步骤可以通过处理器702中的硬件的集成逻辑电路或者软件形式的指令完成。
上述处理器702还可以是通用处理器、数字信号处理器(digital signalprocessing,DSP)、专用集成电路(ASIC)、现成可编程门阵列(field programmable gatearray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器701,处理器702读取存储器701中的信息,结合其硬件完成本申请装置包括的单元所需执行的功能,例如,可以执行图5所示实施例的各个步骤/功能。
通信接口703可以使用但不限于收发器一类的收发装置,来实现装置700与其他设备或通信网络之间的通信。
总线704可以包括在装置700各个部件(例如,存储器701、处理器702、通信接口703)之间传送信息的通路。
应理解,本申请实施例所示的装置700可以是电子设备,或者,也可以是配置于电子设备中的芯片。
上述实施例,可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种识别网络攻击行为的方法,其特征在于,应用于通信设备,所述方法包括:
接收第一信息,所述第一信息包括第一公开密钥信息和与所述第一公开密钥信息对应的第一通信设备标识信息;
接收第二信息,所述第二信息包括第二公开密钥信息和与所述第二公开密钥信息对应的第二通信设备标识信息;
所述第一公开密钥信息指示的第一公开密钥与所述第二公开密钥信息指示的第二公开密钥相同,且所述第一通信设备标识信息指示的第一通信设备与所述第二通信设备标识信息指示的第二通信设备不同的情况下,确定所述第一通信设备与所述第二通信设备之间的通信存在网络攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若接收使用所述第一公开密钥或所述第二公开密钥加密的第三信息,不转发所述第三信息。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
将所述第一信息和/或所述第二信息的源通信设备确定为所述网络攻击行为的攻击者。
4.一种识别网络攻击行为的装置,其特征在于,应用于通信设备,所述装置包括:
接收模块,用于接收第一信息及第二信息,所述第一信息包括第一公开密钥信息和与所述第一公开密钥信息对应的第一通信设备标识信息,所述第二信息包括第二公开密钥信息和与所述第二公开密钥信息对应的第二通信设备标识信息;
处理模块,用于所述第一公开密钥信息指示的第一公开密钥与所述第二公开密钥信息指示的第二公开密钥相同,且所述第一通信设备标识信息指示的第一通信设备与所述第二通信设备标识信息指示的第二通信设备不同的情况下,确定所述第一通信设备与所述第二通信设备之间的通信存在网络攻击行为。
5.根据权利要求4所述的装置,其特征在于,所述处理模块还用于:
若接收使用所述第一公开密钥或所述第二公开密钥加密的第三信息,不转发所述第三信息。
6.根据权利要求4或5所述的装置,其特征在于,所述处理模块还用于:
将所述第一信息和/或所述第二信息的源通信设备确定为所述网络攻击行为的攻击者。
7.一种识别网络攻击行为的装置,其特征在于,包括:存储器和处理器;
所述存储器用于存储程序指令;
所述处理器用于调用所述存储器中的程序指令执行如权利要求1至3中任一项所述的方法。
8.一种芯片,其特征在于,包括至少一个处理器和通信接口,所述通信接口和所述至少一个处理器通过线路互联,所述至少一个处理器用于运行计算机程序或指令,以执行如权利要求1至3中任一项所述的方法。
9.一种计算机可读介质,其特征在于,所述计算机可读介质存储用于计算机执行的程序代码,该程序代码包括用于执行如权利要求1至3中任一项所述的方法的指令。
10.一种通信设备,其特征在于,包括用于权利要求4至6中以及7中任一项所述的识别网络攻击行为的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111183144.1A CN113923668B (zh) | 2021-10-11 | 2021-10-11 | 识别网络攻击行为的方法、装置、芯片及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111183144.1A CN113923668B (zh) | 2021-10-11 | 2021-10-11 | 识别网络攻击行为的方法、装置、芯片及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113923668A true CN113923668A (zh) | 2022-01-11 |
| CN113923668B CN113923668B (zh) | 2023-07-25 |
Family
ID=79239284
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111183144.1A Active CN113923668B (zh) | 2021-10-11 | 2021-10-11 | 识别网络攻击行为的方法、装置、芯片及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113923668B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915475A (zh) * | 2022-05-18 | 2022-08-16 | 中国联合网络通信集团有限公司 | 攻击路径的确定方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610510A (zh) * | 2009-06-10 | 2009-12-23 | 南京邮电大学 | 层簇式无线自组织网络中的节点合法性多重认证方法 |
| CN105553966A (zh) * | 2015-12-10 | 2016-05-04 | 中国联合网络通信集团有限公司 | 密钥交换的方法及装置 |
| US20160366115A1 (en) * | 2015-06-09 | 2016-12-15 | Verizon Patent And Licensing Inc. | Call encryption systems and methods |
| CN108322464A (zh) * | 2018-01-31 | 2018-07-24 | 中国联合网络通信集团有限公司 | 一种密钥验证方法及设备 |
| CN112019647A (zh) * | 2018-02-12 | 2020-12-01 | 华为技术有限公司 | 一种获得设备标识的方法及装置 |
| CN112398800A (zh) * | 2019-08-19 | 2021-02-23 | 华为技术有限公司 | 一种数据处理方法及装置 |
| CN113395247A (zh) * | 2020-03-11 | 2021-09-14 | 华为技术有限公司 | 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备 |
-
2021
- 2021-10-11 CN CN202111183144.1A patent/CN113923668B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610510A (zh) * | 2009-06-10 | 2009-12-23 | 南京邮电大学 | 层簇式无线自组织网络中的节点合法性多重认证方法 |
| US20160366115A1 (en) * | 2015-06-09 | 2016-12-15 | Verizon Patent And Licensing Inc. | Call encryption systems and methods |
| CN105553966A (zh) * | 2015-12-10 | 2016-05-04 | 中国联合网络通信集团有限公司 | 密钥交换的方法及装置 |
| CN108322464A (zh) * | 2018-01-31 | 2018-07-24 | 中国联合网络通信集团有限公司 | 一种密钥验证方法及设备 |
| CN112019647A (zh) * | 2018-02-12 | 2020-12-01 | 华为技术有限公司 | 一种获得设备标识的方法及装置 |
| CN112398800A (zh) * | 2019-08-19 | 2021-02-23 | 华为技术有限公司 | 一种数据处理方法及装置 |
| CN113395247A (zh) * | 2020-03-11 | 2021-09-14 | 华为技术有限公司 | 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备 |
Non-Patent Citations (2)
| Title |
|---|
| MIROSLAV MITEV等: "Man-in-the-Middle and Denial of Service Attacks in Wireless Secret Key Generation", 2019 IEEE GLOBAL COMMUNICATIONS CONFERENCE (GLOBECOM) * |
| 吴越, 疏朝明, 卜勇华, 胡爱群, 毕光国: "基于IPSec的虚拟专用网络密钥交换实现及其安全分析", 东南大学学报(自然科学版), no. 04 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915475A (zh) * | 2022-05-18 | 2022-08-16 | 中国联合网络通信集团有限公司 | 攻击路径的确定方法、装置、设备及存储介质 |
| CN114915475B (zh) * | 2022-05-18 | 2023-06-27 | 中国联合网络通信集团有限公司 | 攻击路径的确定方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113923668B (zh) | 2023-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110971415B (zh) | 一种天地一体化空间信息网络匿名接入认证方法及*** | |
| He et al. | A strong user authentication scheme with smart cards for wireless communications | |
| KR100983050B1 (ko) | 네트워크 엔티티들 사이에서 데이터 협정을 인증하기 위한시스템, 방법 및 컴퓨터 프로그램 제품 | |
| Zhu et al. | A new authentication scheme with anonymity for wireless environments | |
| US11432150B2 (en) | Method and apparatus for authenticating network access of terminal | |
| WO2018050081A1 (zh) | 设备身份认证的方法、装置、电子设备及存储介质 | |
| EP2416524B1 (en) | System and method for secure transaction of data between wireless communication device and server | |
| CA2976795C (en) | Implicitly certified digital signatures | |
| EP2078371B1 (en) | Method and system for using pkcs registration on mobile environment | |
| FI122847B (fi) | Menetelmä ja järjestelmä turvalliseksi PKI-avaimen (Public Key Infrastructure) rekisteröimiseksi matkaviestinympäristössä | |
| MX2007009790A (es) | Secreto compartido de contexto limitado. | |
| JPH07193569A (ja) | 通信の安全を保つ方法及び安全にデータを転送する装置 | |
| CN106576043A (zh) | 病毒式可分配可信消息传送 | |
| KR101856682B1 (ko) | 엔티티의 인증 방법 및 장치 | |
| Ullah et al. | A secure NDN framework for Internet of Things enabled healthcare | |
| Nikooghadam et al. | A provably secure ECC-based roaming authentication scheme for global mobility networks | |
| JPH05347617A (ja) | 無線通信システムの通信方法 | |
| CN115580396A (zh) | 匿踪查询***及匿踪查询方法 | |
| CN111433800B (zh) | 交易处理方法及相关设备 | |
| Ostad‐Sharif et al. | Efficient privacy‐preserving authentication scheme for roaming consumer in global mobility networks | |
| US20240064011A1 (en) | Identity authentication method and apparatus, device, chip, storage medium, and program | |
| CN111654481A (zh) | 一种身份认证方法、装置和存储介质 | |
| CN113923668B (zh) | 识别网络攻击行为的方法、装置、芯片及可读存储介质 | |
| CN103368918A (zh) | 一种动态口令认证方法、装置及*** | |
| CN108322464B (zh) | 一种密钥验证方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |