[发明专利]抗重放攻击检测方法和装置

说明书

技术领域

本发明涉及一种检测方法和装置，尤其涉及一种抗重放攻击检测方法和装置。

背景技术

目前国际上销售的IPSec VPN产品检测工具主要有Spirent公司的Avalanche和IXIA公司的400T。两家公司通过销售或租赁检测平台的方式基本上垄断了全球IPSec VPN产品检测市场，其中尤其是Avalanche已成为了业内检测IPSec VPN产品的行业标准。这些检测工具凭借其稳定的功能和优异的性能长期占据着绝大部分检测市场，但这些检测工具往往价格高昂，且不支持国产算法和协议，并不适合我国的实际情况，并且现有的检测工具缺少抗重放攻击的功能。

发明内容

本发明的主要目的在于提供一种抗重放攻击检测方法和装置，实现了对送检设备是否具有抗重放攻击能力的检测。

为了达到上述目的，本发明提供了一种抗重放攻击检测方法，包括以下步骤：

步骤1：隧道建立步骤，即在密码检测平台与送检设备之间建立隧道；

步骤2：所述密码检测平台发出一个UDP数据包，对该UDP数据包进行加密并封装后，克隆该UDP数据包并重放该UDP数据包；

步骤3：判断所述密码检测平台收到一个UDP数据包或两个UDP数据包，如果收到一个UDP数据包则所述送检设备具备抗重放攻击的能力，如果收到两个UDP数据包则所述送检设备不具备抗重放攻击的能力。

实施时，本发明所述的抗重放攻击检测方法，在步骤1前还包括以下步骤：

步骤11：模块初始化，并设置测试重放参数；

步骤12：检测所述测试重放参数的正确性，如果正确则转至步骤1，否则转至步骤13；

步骤13：返回错误编码，记录错误信息，结束本次检测。

实施时，步骤1在隧道建立步骤之前还包括：

步骤14：配置隧道参数，并向送检设备发起密钥协商；

步骤15：判断密钥协商是否成功，成功则转至隧道建立步骤，否则转至步骤13。

本发明提供了一种抗重放攻击检测装置，包括：

隧道建立模块，用于在密码检测平台与送检设备之间建立隧道；

数据包发送模块，用于发出一个UDP数据包，对该UDP数据包进行加密并封装后，克隆该UDP数据包并重放该UDP数据包；

检测模块，用于判断所述数据包发送模块收到一个UDP数据包或两个UDP数据包，如果收到一个UDP数据包则所述送检设备具备抗重放攻击的能力，如果收到两个UDP数据包则所述送检设备不具备抗重放攻击的能力。

实施时，所述隧道建立模块，还用于在密码检测平台与送检设备之间建立隧道之前，在密码检测平台端设置测试重放参数；

所述抗重放攻击检测装置还包括判断模块和错误返回模块，其中，

所述判断模块，用于检测所述测试重放参数的正确性，如果正确则启动所述数据包发送模块，否则启动所述错误返回模块；

所述错误返回模块，用于返回错误编码，记录错误信息。

实施时，本发明所述的抗重放攻击检测装置，还包括密钥协商模块；

所述密钥协商模块，用于向送检设备发起密钥协商；

所述判断模块，还用于判断密钥协商是否成功，成功则启动数据包发送模块，否则启动错误返回模块。

与现有技术相比，本发明所述的抗重放攻击检测方法和装置，实现了对送检设备是否具有抗重放攻击能力的检测。

附图说明

图1是本发明所述的抗重放攻击检测方法的一实施例的流程图；

图2是本发明所述的抗重放攻击检测方法的又一实施例的流程图。

具体实施方式

下面通过具体实施方式结合附图对本发明进行进一步详细介绍：

如图1所示，本发明提供了一种抗重放攻击检测方法，包括以下步骤：

步骤1：隧道建立步骤，即在密码检测平台与送检设备之间建立隧道；

步骤2：数据包发送步骤，即所述密码检测平台发出一个UDP数据包，对该UDP数据包进行加密并封装后，克隆该UDP数据包并重放该UDP数据包；

步骤3：检测步骤，即判断所述密码检测平台收到一个UDP数据包或两个UDP数据包，如果收到一个UDP数据包则所述送检设备具备抗重放攻击的能力，如果收到两个UDP数据包则所述送检设备不具备抗重放攻击的能力。

根据一种具体实施方式，在步骤1前还包括以下步骤：

步骤11：模块初始化，并设置测试重放参数；

步骤12：检测所述测试重放参数的正确性，如果正确则转至步骤1，否则转至步骤13；