本發(fā)明涉及一種自動檢測IPsec協(xié)議中間人攻擊的方法與裝置，包括步驟如下：(1)在IPsec建立安全隧道時(shí)，在客戶端或服務(wù)器端獲取各數(shù)據(jù)報(bào)的發(fā)送、返回時(shí)間；(2)計(jì)算相鄰兩個(gè)數(shù)據(jù)報(bào)之間的時(shí)間間隔；(3)計(jì)算相鄰兩個(gè)數(shù)據(jù)報(bào)之間的時(shí)間間隔的方差；(4)比較方差與設(shè)置閾值的大小，如果方差大于設(shè)置閾值，則發(fā)出中間人攻擊警報(bào)，提醒工作人員進(jìn)行處理；否則，則認(rèn)為是正常連接；本發(fā)明提出的自動檢測IPsec中間人攻擊的方法和裝置，可以在IKE協(xié)商階段就對IPsec流量是否遭受中間人攻擊進(jìn)行識別，以便工作人員盡早發(fā)現(xiàn)，及時(shí)處理。

技術(shù)領(lǐng)域

本發(fā)明涉及一種自動檢測IPsec協(xié)議中間人攻擊的方法與裝置，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。

背景技術(shù)

隨著網(wǎng)絡(luò)通信技術(shù)的發(fā)展，人們越來越發(fā)現(xiàn)，Internet缺乏安全性已是不爭的事實(shí)，所以，各種安全協(xié)議也應(yīng)運(yùn)而生。作為一個(gè)開放的IP層安全框架協(xié)議，IPsec協(xié)議位于網(wǎng)絡(luò)層，在有效地保障了高層各協(xié)議安全性的同時(shí)，還減少了在TCP/IP網(wǎng)絡(luò)上部署安全的復(fù)雜性。

目前，IPsec協(xié)議有多種實(shí)現(xiàn)，例如Linux的2.6版本目前已經(jīng)內(nèi)嵌IPsec的功能，F(xiàn)reeswan等開源項(xiàng)目也使得Linux的2.4版本可以支持IPsec；Windows2000以上的Windows系列操作系統(tǒng)也都提供對IPsec的支持。因?yàn)镮Psec協(xié)議的諸多優(yōu)點(diǎn)，很多企業(yè)或單位使用IPsec協(xié)議建立安全隧道，保護(hù)機(jī)密信息，同時(shí)保障員工可以對公司內(nèi)網(wǎng)進(jìn)行訪問，這是IPsec協(xié)議應(yīng)用較為廣泛的場景之一。

IPsec協(xié)議包括AH(驗(yàn)證頭)和ESP(封裝安全載荷)等核心協(xié)議，還有HASH算法、安全策略、安全聯(lián)盟、ISAKMP等作為支撐。在第一階段，通信雙方通過協(xié)商建立IKE SA，即安全聯(lián)盟(Security Association)，里面包含了接下來協(xié)商、認(rèn)證、加密所使用的協(xié)議和加解密算法，以及生命周期等。第二階段則在IKE SA的保護(hù)下，為接下來對建立的隧道和通信數(shù)據(jù)的保護(hù)進(jìn)行進(jìn)一步協(xié)商，來確定最終的密鑰和算法。所以IPsec安全隧道的安全性建立在IKE協(xié)商的基礎(chǔ)之上，而DH交換是IKE協(xié)商的安全基礎(chǔ)。由于DH交換本身的缺點(diǎn)，IKE協(xié)商比較容易受到中間人攻擊，所以需要PSK(預(yù)共享密鑰)或者CA認(rèn)證的方式對通信雙方的身份進(jìn)行認(rèn)證。現(xiàn)在，已經(jīng)有人對于預(yù)共享密鑰的暴力破解的可行性進(jìn)行了驗(yàn)證，一旦預(yù)共享密鑰被破解，中間人便可以冒充普通用戶對保密數(shù)據(jù)進(jìn)行訪問。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)的不足，本發(fā)明提供了一種自動檢測IPsec協(xié)議中間人攻擊的方法；

本發(fā)明還提供了一種自動檢測IPsec協(xié)議中間人攻擊的裝置；

本發(fā)明通過對IPsec協(xié)議正常連接的數(shù)據(jù)包和中間人攻擊數(shù)據(jù)包，以及PSK中間人攻擊的原理的分析，總結(jié)得到被中間人攻擊的IPsec協(xié)議流量的關(guān)鍵特征，進(jìn)而對目標(biāo)流量進(jìn)行識別，得出判斷結(jié)論，可以有效地幫助網(wǎng)絡(luò)安全事件處理人員對IPsec中間人攻擊進(jìn)行及早識別和處理。

本發(fā)明的技術(shù)方案為：

一種自動檢測IPsec協(xié)議中間人攻擊的方法，包括步驟如下：

A、IKE協(xié)商第一階段：

(1)在IPsec建立安全隧道時(shí)，在客戶端或服務(wù)器端獲取IKE協(xié)商第一階段各數(shù)據(jù)報(bào)的發(fā)送、返回時(shí)間；

(2)計(jì)算相鄰兩個(gè)數(shù)據(jù)報(bào)之間的時(shí)間間隔，即t2、t3、t4、t5、t6；相鄰兩個(gè)數(shù)據(jù)報(bào)之間的時(shí)間間隔是指發(fā)出或接收到上一個(gè)數(shù)據(jù)包后至接收到或發(fā)出下一個(gè)數(shù)據(jù)包之間的時(shí)間間隔；

(3)計(jì)算相鄰兩個(gè)數(shù)據(jù)報(bào)之間的時(shí)間間隔t2、t3、t4、t5、t6的方差e1；