專利名稱:抗重放攻擊檢測方法和裝置的制作方法
技術領域:
本發(fā)明涉及一種檢測方法和裝置,尤其涉及一種抗重放攻擊檢測方法和裝置�。
背景技術:
目前國際上銷售的IPSec VPN產(chǎn)品檢測工具主要有Spirent公司的Avalanche和IXIA公司的400T。兩家公司通過銷售或租賃檢測平臺的方式基本上壟斷了全球IPSec VPN產(chǎn)品檢測市場����,其中尤其是Avalanche已成為了業(yè)內檢測IPSec VPN產(chǎn)品的行業(yè)標準。這些檢測工具憑借其穩(wěn)定的功能和優(yōu)異的性能長期占據(jù)著絕大部分檢測市場��,但這些檢測工具往往價格高昂,且不支持國產(chǎn)算法和協(xié)議�,并不適合我國的實際情況,并且現(xiàn)有的檢測工具缺少抗重放攻擊的功能����。
發(fā)明內容
本發(fā)明的主要目的在于提供一種抗重放攻擊檢測方法和裝置,實現(xiàn)了對送檢設備是否具有抗重放攻擊能力的檢測�。為了達到上述目的,本發(fā)明提供了一種抗重放攻擊檢測方法��,包括以下步驟步驟I :隧道建立步驟�����,即在密碼檢測平臺與送檢設備之間建立隧道���;步驟2 :所述密碼檢測平臺發(fā)出一個UDP數(shù)據(jù)包���,對該UDP數(shù)據(jù)包進行加密并封裝后,克隆該UDP數(shù)據(jù)包并重放該UDP數(shù)據(jù)包�����;步驟3 :判斷所述密碼檢測平臺收到一個UDP數(shù)據(jù)包或兩個UDP數(shù)據(jù)包�����,如果收到一個UDP數(shù)據(jù)包則所述送檢設備具備抗重放攻擊的能力,如果收到兩個UDP數(shù)據(jù)包則所述送檢設備不具備抗重放攻擊的能力��。實施時����,本發(fā)明所述的抗重放攻擊檢測方法���,在步驟I前還包括以下步驟步驟11 :模塊初始化��,并設置測試重放參數(shù)���;步驟12 :檢測所述測試重放參數(shù)的正確性,如果正確則轉至步驟1���,否則轉至步驟13 ���;步驟13 :返回錯誤編碼,記錄錯誤信息�����,結束本次檢測。實施時���,步驟I在隧道建立步驟之前還包括步驟14 :配置隧道參數(shù)��,并向送檢設備發(fā)起密鑰協(xié)商�����;步驟15 :判斷密鑰協(xié)商是否成功����,成功則轉至隧道建立步驟�����,否則轉至步驟13���。本發(fā)明提供了一種抗重放攻擊檢測裝置��,包括隧道建立模塊����,用于在密碼檢測平臺與送檢設備之間建立隧道;數(shù)據(jù)包發(fā)送模塊���,用于發(fā)出一個UDP數(shù)據(jù)包�,對該UDP數(shù)據(jù)包進行加密并封裝后�����,克隆該UDP數(shù)據(jù)包并重放該UDP數(shù)據(jù)包�����;檢測模塊�����,用于判斷所述數(shù)據(jù)包發(fā)送模塊收到一個UDP數(shù)據(jù)包或兩個UDP數(shù)據(jù)包�����,如果收到一個UDP數(shù)據(jù)包則所述送檢設備具備抗重放攻擊的能力�����,如果收到兩個UDP數(shù)據(jù)包則所述送檢設備不具備抗重放攻擊的能力��。
實施時�����,所述隧道建立模塊��,還用于在密碼檢測平臺與送檢設備之間建立隧道之前����,在密碼檢測平臺端設置測試重放參數(shù);所述抗重放攻擊檢測裝置還包括判斷模塊和錯誤返回模塊��,其中�����,所述判斷模塊����,用于檢測所述測試重放參數(shù)的正確性,如果正確則啟動所述數(shù)據(jù)包發(fā)送模塊�,否則啟動所述錯誤返回模塊;所述錯誤返回模塊��,用于返回錯誤編碼����,記錄錯誤信息�����。實施時���,本發(fā)明所述的抗重放攻擊檢測裝置,還包括密鑰協(xié)商模塊����;所述密鑰協(xié)商模塊,用于向送檢設備發(fā)起密鑰協(xié)商�����;所述判斷模塊����,還用于判斷密鑰協(xié)商是否成功���,成功則啟動數(shù)據(jù)包發(fā)送模塊�����,否則啟動錯誤返回模塊���?����!づc現(xiàn)有技術相比�����,本發(fā)明所述的抗重放攻擊檢測方法和裝置���,實現(xiàn)了對送檢設備是否具有抗重放攻擊能力的檢測。
圖I是本發(fā)明所述的抗重放攻擊檢測方法的一實施例的流程圖���;圖2是本發(fā)明所述的抗重放攻擊檢測方法的又一實施例的流程圖���。
具體實施例方式下面通過具體實施方式
結合附圖對本發(fā)明進行進一步詳細介紹如圖I所示,本發(fā)明提供了一種抗重放攻擊檢測方法���,包括以下步驟步驟I :隧道建立步驟�,即在密碼檢測平臺與送檢設備之間建立隧道���;步驟2 :數(shù)據(jù)包發(fā)送步驟���,即所述密碼檢測平臺發(fā)出一個UDP數(shù)據(jù)包���,對該UDP數(shù)據(jù)包進行加密并封裝后,克隆該UDP數(shù)據(jù)包并重放該UDP數(shù)據(jù)包�����;步驟3 :檢測步驟���,即判斷所述密碼檢測平臺收到一個UDP數(shù)據(jù)包或兩個UDP數(shù)據(jù)包�,如果收到一個UDP數(shù)據(jù)包則所述送檢設備具備抗重放攻擊的能力����,如果收到兩個UDP數(shù)據(jù)包則所述送檢設備不具備抗重放攻擊的能力�����。根據(jù)一種具體實施方式
���,在步驟I前還包括以下步驟步驟11 :模塊初始化����,并設置測試重放參數(shù);步驟12 :檢測所述測試重放參數(shù)的正確性�,如果正確則轉至步驟1,否則轉至步驟13 ��;步驟13 :返回錯誤編碼���,記錄錯誤信息��,結束本次檢測��。實施時����,步驟I在隧道建立步驟之前還包括步驟14 :配置隧道參數(shù)����,并向送檢設備發(fā)起密鑰協(xié)商;步驟15 :判斷密鑰協(xié)商是否成功����,成功則轉至隧道建立步驟,否則轉至步驟13��。如圖2所示,根據(jù)一種具體實施方式
����,本發(fā)明提供了一種抗重放攻擊檢測方法,包括以下步驟步驟11 :模塊初始化��,并設置測試重放參數(shù)���;步驟12 :檢測所述測試重放參數(shù)的正確性��,如果正確則轉至步驟14�����,否則轉至步驟13 ��;
步驟13 :返回錯誤編碼��,記錄錯誤信息����,結束本次檢測�����;步驟14 :配置隧道參數(shù)��,并向送檢設備發(fā)起密鑰協(xié)商�;步驟15 :判斷密鑰協(xié)商是否成功,成功則轉至步驟16����,否則轉至步驟13 ;步驟16 :隧道建立步驟�����,即在密碼檢測平臺與送檢設備之間建立隧道�����;步驟2 :數(shù)據(jù)包發(fā)送步驟��,即所述密碼檢測平臺發(fā)出一個UDP數(shù)據(jù)包�����,對該UDP數(shù)據(jù)包進行加密并封裝后�����,克隆該UDP數(shù)據(jù)包并重放該UDP數(shù)據(jù)包;步驟3 :檢測步驟�,即判斷所述密碼檢測平臺收到一個UDP數(shù)據(jù)包或兩個UDP數(shù)據(jù) 包,如果收到一個UDP數(shù)據(jù)包則所述送檢設備具備抗重放攻擊的能力����,如果收到兩個UDP數(shù)據(jù)包則所述送檢設備不具備抗重放攻擊的能力。本發(fā)明還提供了一種抗重放攻擊檢測裝置����,包括隧道建立模塊,用于在密碼檢測平臺與送檢設備之間建立隧道�;數(shù)據(jù)包發(fā)送模塊,用于發(fā)出一個UDP數(shù)據(jù)包�����,對該UDP數(shù)據(jù)包進行加密并封裝后��,克隆該UDP數(shù)據(jù)包并重放該UDP數(shù)據(jù)包����;檢測模塊,用于判斷所述數(shù)據(jù)包發(fā)送模塊收到一個UDP數(shù)據(jù)包或兩個UDP數(shù)據(jù)包�,如果收到一個UDP數(shù)據(jù)包則所述送檢設備具備抗重放攻擊的能力,如果收到兩個UDP數(shù)據(jù)包則所述送檢設備不具備抗重放攻擊的能力。實施時���,所述隧道建立模塊,還用于在密碼檢測平臺與送檢設備之間建立隧道之前����,在密碼檢測平臺端設置測試重放參數(shù);所述抗重放攻擊檢測裝置還包括判斷模塊和錯誤返回模塊�,其中,所述判斷模塊���,用于檢測所述測試重放參數(shù)的正確性����,如果正確則啟動所述數(shù)據(jù)包發(fā)送模塊�����,否則啟動所述錯誤返回模塊�����;所述錯誤返回模塊�,用于返回錯誤編碼,記錄錯誤信息。實施時���,所述的抗重放攻擊檢測裝置還包括密鑰協(xié)商模塊��;所述密鑰協(xié)商模塊��,用于向送檢設備發(fā)起密鑰協(xié)商�����;所述判斷模塊�,還用于判斷密鑰協(xié)商是否成功�����,成功則啟動數(shù)據(jù)包發(fā)送模塊�����,否則啟動錯誤返回模塊����。本發(fā)明所述的抗重放攻擊檢測方法和裝置具有如下優(yōu)勢I)支持基于IPSec VPN協(xié)議的抗重放攻擊;2)在國內算法套件下的實現(xiàn)了抗重放攻擊檢測����。以上說明對本發(fā)明而言只是說明性的�����,而非限制性的,本領域普通技術人員理解���,在不脫離所附權利要求所限定的精神和范圍的情況下�,可做出許多修改����、變化或等效,但都將落入本發(fā)明的保護范圍內���。
權利要求
1.一種抗重放攻擊檢測方法�����,其特征在于�����,包括以下步驟 步驟I:隧道建立步驟���,即在密碼檢測平臺與送檢設備之間建立隧道���; 步驟2 :所述密碼檢測平臺發(fā)出一個UDP數(shù)據(jù)包,對該UDP數(shù)據(jù)包進行加密并封裝后����,克隆該UDP數(shù)據(jù)包并重放該UDP數(shù)據(jù)包; 步驟3 :判斷所述密碼檢測平臺收到一個UDP數(shù)據(jù)包或兩個UDP數(shù)據(jù)包�����,如果收到一個UDP數(shù)據(jù)包則所述送檢設備具備抗重放攻擊的能力����,如果收到兩個UDP數(shù)據(jù)包則所述送檢設備不具備抗重放攻擊的能力。
2.如權利要求I所述的抗重放攻擊檢測方法�����,其特征在于��,在步驟I前還包括以下步驟 步驟11:模塊初始化�����,并設置測試重放參數(shù); 步驟12 :檢測所述測試重放參數(shù)的正確性��,如果正確則轉至步驟1�����,否則轉至步驟13 �; 步驟13 :返回錯誤編碼,記錄錯誤信息�����,結束本次檢測��。
3.如權利要求2所述的抗重放攻擊檢測方法�����,其特征在于���,步驟I在隧道建立步驟之前還包括 步驟14 :配置隧道參數(shù),并向送檢設備發(fā)起密鑰協(xié)商���; 步驟15 :判斷密鑰協(xié)商是否成功�,成功則轉至隧道建立步驟,否則轉至步驟13���。
4.一種抗重放攻擊檢測裝置���,其特征在于,包括 隧道建立模塊�����,用于在密碼檢測平臺與送檢設備之間建立隧道�; 數(shù)據(jù)包發(fā)送模塊,用于發(fā)出一個UDP數(shù)據(jù)包����,對該UDP數(shù)據(jù)包進行加密并封裝后,克隆該Μ)Ρ數(shù)據(jù)包并重放該UDP數(shù)據(jù)包�����; 檢測模塊��,用于判斷所述數(shù)據(jù)包發(fā)送模塊收到一個UDP數(shù)據(jù)包或兩個UDP數(shù)據(jù)包���,如果收到一個UDP數(shù)據(jù)包則所述送檢設備具備抗重放攻擊的能力����,如果收到兩個UDP數(shù)據(jù)包則所述送檢設備不具備抗重放攻擊的能力。
5.如權利要求4所述的抗重放攻擊檢測裝置�,其特征在于, 所述隧道建立模塊���,還用于在密碼檢測平臺與送檢設備之間建立隧道之前����,在密碼檢測平臺端設置測試重放參數(shù)�����; 所述抗重放攻擊檢測裝置還包括判斷模塊和錯誤返回模塊�����,其中����, 所述判斷模塊�,用于檢測所述測試重放參數(shù)的正確性,如果正確則啟動所述數(shù)據(jù)包發(fā)送模塊�����,否則啟動所述錯誤返回模塊; 所述錯誤返回模塊��,用于返回錯誤編碼��,記錄錯誤信息��。
6.如權利要求5所述的抗重放攻擊檢測裝置�����,其特征在于��,還包括密鑰協(xié)商模塊�; 所述密鑰協(xié)商模塊,用于向送檢設備發(fā)起密鑰協(xié)商�����; 所述判斷模塊��,還用于判斷密鑰協(xié)商是否成功����,成功則啟動數(shù)據(jù)包發(fā)送模塊��,否則啟動錯誤返回模塊����。
全文摘要
本發(fā)明提供了一種抗重放攻擊檢測方法和裝置��,所述抗重放攻擊檢測方法和裝置包括以下步驟步驟1隧道建立步驟�,即在密碼檢測平臺與送檢設備之間建立隧道;步驟2所述密碼檢測平臺發(fā)出一個UDP數(shù)據(jù)包����,對該UDP數(shù)據(jù)包進行加密并封裝后,克隆該UDP數(shù)據(jù)包并重放該UDP數(shù)據(jù)包�;步驟3判斷所述密碼檢測平臺收到一個UDP數(shù)據(jù)包或兩個UDP數(shù)據(jù)包,如果收到一個UDP數(shù)據(jù)包則所述送檢設備具備抗重放攻擊的能力����,如果收到兩個UDP數(shù)據(jù)包則所述送檢設備不具備抗重放攻擊的能力��。本發(fā)明所述的抗重放攻擊檢測方法和裝置�,實現(xiàn)了對送檢設備是否具有抗重放攻擊能力的檢測。
文檔編號H04L29/06GK102957577SQ201110254190
公開日2013年3月6日 申請日期2011年8月31日 優(yōu)先權日2011年8月31日
發(fā)明者李大為, 李金國, 羅鵬, 申錕鎧, 林春, 景鴻理, 王蕊, 鄭曉紅, 鄧開勇 申請人:國家密碼管理局商用密碼檢測中心, 北京天融信科技有限公司