本發(fā)明屬于信息安全網(wǎng)絡(luò)技術(shù)領(lǐng)域，具體涉及一種防止重放攻擊的方法和裝置，包括下列步驟：接收端存儲(chǔ)器初始化設(shè)置兩個(gè)臨時(shí)變量；接收端接收數(shù)據(jù)包，對(duì)數(shù)據(jù)包逐包進(jìn)行功能分包和增加新的數(shù)據(jù)包包頭；解密操作后讀取數(shù)據(jù)包包頭；將接收到數(shù)據(jù)包包頭轉(zhuǎn)換為長整型數(shù)值和整型數(shù)值；判斷是否為重放包數(shù)據(jù)；判斷通信是否結(jié)束。本發(fā)明與現(xiàn)有的加隨機(jī)數(shù)相比，接收方不需保存所有發(fā)送過的隨機(jī)數(shù)，大大節(jié)約了接收方系統(tǒng)的開銷；本發(fā)明與現(xiàn)有的時(shí)間戳相比，巧妙利用了時(shí)鐘信號(hào)的遞增性，而無需系統(tǒng)進(jìn)行時(shí)間同步；本發(fā)明與現(xiàn)有的加流水號(hào)相比，本發(fā)發(fā)明利用數(shù)據(jù)包按功能分包增加了破解難度；本發(fā)明用于防止重放攻擊。

技術(shù)領(lǐng)域

本發(fā)明屬于信息安全網(wǎng)絡(luò)技術(shù)領(lǐng)域，具體涉及一種防止重放攻擊的方法和裝置。

背景技術(shù)

重放攻擊(Replay Attacks)又稱重播攻擊、回放攻擊或新鮮性攻擊(FreshnessAttacks)，是指攻擊者發(fā)送一個(gè)目的主機(jī)已接收過的包，來達(dá)到欺騙系統(tǒng)的目的，重放攻擊在任何網(wǎng)絡(luò)通訊過程中都可能發(fā)生，尤其在關(guān)鍵信息基礎(chǔ)設(shè)施通訊網(wǎng)絡(luò)中重放攻擊的危害巨大。

通信系統(tǒng)為保護(hù)數(shù)據(jù)的安全性，通用做法是使用加密傳輸，數(shù)據(jù)加密可有效防止數(shù)據(jù)被竊密、篡改和偽造，然而如果系統(tǒng)不能鑒別重發(fā)的數(shù)據(jù)包，尤其是該重發(fā)數(shù)據(jù)包具備獨(dú)立的功能(如：一條指令或一個(gè)交易)時(shí)，重放攻擊就會(huì)使攻擊者在無需解密數(shù)據(jù)的情況下達(dá)到攻擊破壞的目的。在加密通信系統(tǒng)中通用的防重放攻擊的主要方法是，在通信過程中加入隨機(jī)數(shù)、時(shí)間戳、流水號(hào)等一種或兩種方法相結(jié)合的方式。

常用防重放攻擊方法的缺點(diǎn)如下：1、加隨機(jī)數(shù)的方法實(shí)際中存在有可能出現(xiàn)隨機(jī)數(shù)重復(fù)的現(xiàn)象造成誤判；2、時(shí)間戳方法存在對(duì)系統(tǒng)時(shí)間同步的較高要求；3、流水號(hào)方法存在對(duì)系統(tǒng)資源占用和維護(hù)復(fù)雜的特點(diǎn)；4、另外“核電站儀控系統(tǒng)的防止重放攻擊方法和裝置”提出了執(zhí)行指令每次申請(qǐng)并發(fā)送驗(yàn)證授權(quán)碼的方式解決重放攻擊，雖然可以解決重放攻擊但對(duì)系統(tǒng)的實(shí)時(shí)性必然帶來了一定的損失。

發(fā)明內(nèi)容

針對(duì)上述的技術(shù)問題，本發(fā)明提供了一種成本低、操作簡(jiǎn)單、效率高的防止重放攻擊的方法及裝置。

為了解決上述技術(shù)問題，本發(fā)明采用的技術(shù)方案為：

一種防止重放攻擊的方法，包括下列步驟：

S1、接收端存儲(chǔ)器初始化設(shè)置兩個(gè)臨時(shí)變量：長整型T0＝0，整型X0＝0；

S2、接收端接收數(shù)據(jù)包，對(duì)數(shù)據(jù)包逐包進(jìn)行功能分包和增加新的數(shù)據(jù)包包頭；

S3、解密操作后讀取數(shù)據(jù)包包頭；

S4、將接收到數(shù)據(jù)包包頭的前32bit轉(zhuǎn)換為長整型數(shù)值T1，后16bit轉(zhuǎn)換為整型數(shù)值X1；

S5、比較T0和T1，若T0T1時(shí)判斷為重放包數(shù)據(jù)，做丟棄包處理，然后返回S3進(jìn)行下一數(shù)據(jù)包包頭的處理；

S6、若T0T1時(shí)，賦值T0＝T1，X0＝0，進(jìn)入正常數(shù)據(jù)處理流程；

S7、若T0＝T1時(shí)，則比較X0和X1，如果X0≥X1時(shí)判斷為重放包數(shù)據(jù)，做丟棄包處理，然后返回S3進(jìn)行下一數(shù)據(jù)包包頭的處理；

S8、若X0X1時(shí)，賦值X0＝X1，進(jìn)入正常數(shù)據(jù)處理流程；

S9、判斷通信是否結(jié)束，否則返回S3進(jìn)行下一數(shù)據(jù)包包頭的處理，是時(shí)則結(jié)束通信。

所述S2中對(duì)數(shù)據(jù)包逐包進(jìn)行功能分包的過程為：

身份認(rèn)證1、{[密鑰協(xié)商1、(數(shù)據(jù)包11、數(shù)據(jù)包12…數(shù)據(jù)包1n)]，[密鑰協(xié)商2、(數(shù)據(jù)包21、數(shù)據(jù)包22…數(shù)據(jù)包2n)]…，[密鑰協(xié)商m、(數(shù)據(jù)包m1、數(shù)據(jù)包m2…數(shù)據(jù)包mn)]}，