技術領域

本發明涉及一種檢測方法和裝置，尤其涉及一種抗重放攻擊檢測方法和裝置。

背景技術

目前國際上銷售的IPSec?VPN產品檢測工具主要有Spirent公司的Avalanche和IXIA公司的400T。兩家公司通過銷售或租賃檢測平臺的方式基本上壟斷了全球IPSec?VPN產品檢測市場，其中尤其是Avalanche已成為了業內檢測IPSec?VPN產品的行業標準。這些檢測工具憑借其穩定的功能和優異的性能長期占據著絕大部分檢測市場，但這些檢測工具往往價格高昂，且不支持國產算法和協議，并不適合我國的實際情況，并且現有的檢測工具缺少抗重放攻擊的功能。

發明內容

本發明的主要目的在于提供一種抗重放攻擊檢測方法和裝置，實現了對送檢設備是否具有抗重放攻擊能力的檢測。

為了達到上述目的，本發明提供了一種抗重放攻擊檢測方法，包括以下步驟：

步驟1：隧道建立步驟，即在密碼檢測平臺與送檢設備之間建立隧道；

步驟2：所述密碼檢測平臺發出一個UDP數據包，對該UDP數據包進行加密并封裝后，克隆該UDP數據包并重放該UDP數據包；

步驟3：判斷所述密碼檢測平臺收到一個UDP數據包或兩個UDP數據包，如果收到一個UDP數據包則所述送檢設備具備抗重放攻擊的能力，如果收到兩個UDP數據包則所述送檢設備不具備抗重放攻擊的能力。

實施時，本發明所述的抗重放攻擊檢測方法，在步驟1前還包括以下步驟：

步驟11：模塊初始化，并設置測試重放參數；

步驟12：檢測所述測試重放參數的正確性，如果正確則轉至步驟1，否則轉至步驟13；

步驟13：返回錯誤編碼，記錄錯誤信息，結束本次檢測。

實施時，步驟1在隧道建立步驟之前還包括：

步驟14：配置隧道參數，并向送檢設備發起密鑰協商；

步驟15：判斷密鑰協商是否成功，成功則轉至隧道建立步驟，否則轉至步驟13。

本發明提供了一種抗重放攻擊檢測裝置，包括：

隧道建立模塊，用于在密碼檢測平臺與送檢設備之間建立隧道；

數據包發送模塊，用于發出一個UDP數據包，對該UDP數據包進行加密并封裝后，克隆該UDP數據包并重放該UDP數據包；

檢測模塊，用于判斷所述數據包發送模塊收到一個UDP數據包或兩個UDP數據包，如果收到一個UDP數據包則所述送檢設備具備抗重放攻擊的能力，如果收到兩個UDP數據包則所述送檢設備不具備抗重放攻擊的能力。

實施時，所述隧道建立模塊，還用于在密碼檢測平臺與送檢設備之間建立隧道之前，在密碼檢測平臺端設置測試重放參數；

所述抗重放攻擊檢測裝置還包括判斷模塊和錯誤返回模塊，其中，

所述判斷模塊，用于檢測所述測試重放參數的正確性，如果正確則啟動所述數據包發送模塊，否則啟動所述錯誤返回模塊；

所述錯誤返回模塊，用于返回錯誤編碼，記錄錯誤信息。

實施時，本發明所述的抗重放攻擊檢測裝置，還包括密鑰協商模塊；

所述密鑰協商模塊，用于向送檢設備發起密鑰協商；

所述判斷模塊，還用于判斷密鑰協商是否成功，成功則啟動數據包發送模塊，否則啟動錯誤返回模塊。

與現有技術相比，本發明所述的抗重放攻擊檢測方法和裝置，實現了對送檢設備是否具有抗重放攻擊能力的檢測。

附圖說明

圖1是本發明所述的抗重放攻擊檢測方法的一實施例的流程圖；

圖2是本發明所述的抗重放攻擊檢測方法的又一實施例的流程圖。

具體實施方式

下面通過具體實施方式結合附圖對本發明進行進一步詳細介紹：

如圖1所示，本發明提供了一種抗重放攻擊檢測方法，包括以下步驟：

步驟1：隧道建立步驟，即在密碼檢測平臺與送檢設備之間建立隧道；

步驟2：數據包發送步驟，即所述密碼檢測平臺發出一個UDP數據包，對該UDP數據包進行加密并封裝后，克隆該UDP數據包并重放該UDP數據包；

步驟3：檢測步驟，即判斷所述密碼檢測平臺收到一個UDP數據包或兩個UDP數據包，如果收到一個UDP數據包則所述送檢設備具備抗重放攻擊的能力，如果收到兩個UDP數據包則所述送檢設備不具備抗重放攻擊的能力。

根據一種具體實施方式，在步驟1前還包括以下步驟：

步驟11：模塊初始化，并設置測試重放參數；

步驟12：檢測所述測試重放參數的正確性，如果正確則轉至步驟1，否則轉至步驟13；