本申请公开了一种报文验证方法及相关装置,涉及网络安全技术领域。本申请中,防护设备接收目标客户端发送的携带有目标增长因子和因子认证码的目标报文;在确定目标增长因子,满足与因子认证码关联的增长因子认证条件时,确定目标报文满足一级防护要求,其中,目标报文满足一级防护要求表征目标报文来自正常客户端。采用这种方式,在报文中嵌入增长因子,用于记录报文的序列号,能够防止攻击端复制正常报文从而产生攻击流量,在报文中嵌入因子认证码用于验证增长因子的真实性,能够进一步防止攻击端破解增长因子,进一步提高了报文验证的准确性。准确性。准确性。
【技术实现步骤摘要】
一种报文验证方法及相关装置
[0001]本申请涉及网络安全
,尤其涉及一种报文验证方法及相关装置。
技术介绍
[0002]分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是指处于不同位置的多个攻击者,同时向一个或多个目标服务端发动攻击,或者一个攻击者控制了位于不同位置的多台计算机,并利用这些计算机对目标服务端同时实施攻击,使攻击的目标服务端无法正常使用。
[0003]重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者首先在网络中嗅探并截获一个目标服务端正常接收的报文,然后再次发送该报文到目标服务端,来达到攻击欺骗系统的目的。
[0004]DDoS重放攻击是DDoS攻击和重放攻击的组合,具体操作是在网络传输的企业边缘侧部署抓包工具,提前获取传输控制协议(Transmission Control Protocol,TCP)或用户数据协议(User Datagram Protocol,UDP)交互中的正常报文,将其复制多个,并通过报文回放工具,短时间高频率地将复制而来的正常报文发送到目标服务端,使目标服务端资源耗尽,无法响应其他客户端所发起的服务请求。由于该报文来源于正常交互过程的报文,其源IP、报文格式和报文内容,均能够绕过的DDoS防护设备配置的防护策略,从而能够使攻击流量误漏到服务端,成为DDoS攻击领域的新型的手段,DDoS重放攻击应用于身份认证过程时,能够破坏认证的正确性,不仅影响用户的正常使用,同时可能造成巨大的经济损失。<br/>[0005]相关技术下,解决重放攻击的防护技术方案,主要包括以下两种:
[0006]方案一、记录随机数
[0007]该方案需要交互双方记住使用过的随机数,若任一方发现报文中有使用过的历史随机数,就认为该报文为重放攻击。
[0008]采用方案一时,交互双方都需要额外保存使用过的随机数,若记录的时间段较长,则保存和查询的开销较大。由于DDoS攻击场景中,通常都是瞬间海量正常报文和攻击报文的到达服务端,需要保存的随机数达到很大的数量级,需要非常大的存储空间,且对于查找和匹配该随机值均需要耗费较大的资源,导致该场景下方案一的代价较大。
[0009]方案二、同步流水号
[0010]具体操作为,交互双方在报文中添加一个逐步递增的整数,只要任一方接收到一个不连续的流水号报文,就认定该报文有重放威胁。
[0011]采用方案二时,攻击者只要对报文解密成功,就可以获得流水号,从而通过将攻击报文中的流水号递增,达到欺骗服务端的目的,另一方面,在大规模流量传输的情况下,网络存在因质量抖动而导致随机丢包的可能性,且网络传输线路可能导致大报文的分片,这两种情况下,正常报文的流水号也会不递增,从而导致方案二在部署应用时失效。
[0012]有鉴于此,需要针对上述问题提出一种新的报文验证方法。
技术实现思路
[0013]本申请提供了一种报文验证方法及相关装置,用以提高正常报文和攻击报文识别的准确性。
[0014]第一方面,本申请实施例提供了一种报文验证方法,所述方法包括:
[0015]接收目标客户端发送的携带有目标增长因子和因子认证码的目标报文,其中,目标增长因子用于记录目标报文的序列号,因子认证码用于验证目标增长因子;
[0016]在确定目标增长因子,满足与因子认证码关联的增长因子认证条件时,确定目标报文满足预设的一级防护要求,其中,目标报文满足预设的一级防护要求表征目标报文来自正常客户端。
[0017]可选的,确定目标增长因子,满足与因子认证码关联的增长因子认证条件,包括:
[0018]基于目标增长因子和预设的密钥,获得认证码检验值;
[0019]若因子认证码与认证码检验值匹配成功,则确定目标增长因子,满足增长因子认证条件。
[0020]可选的,确定目标报文满足预设的一级防护要求之后,还包括:
[0021]确定目标客户端发送目标报文的目标端口,并根据目标端口确定目标客户端发送的上一个历史报文中携带的历史增长因子;
[0022]将历史增长因子,与目标增长因子进行比较,获得比较结果;
[0023]当比较结果表征目标报文满足预设的二级防护要求时,将目标报文发送至目标服务端;其中,目标报文满足预设的二级防护要求表征目标报文为正常报文。
[0024]可选的,目标客户端通过目标端口发送报文时,各报文中携带的增长因子,是按照各报文各自的发送顺序从0到第一设定阈值循环取值获得的;
[0025]则将目标客户端发送的上一个历史报文中携带的历史增长因子,与目标增长因子进行比较,获得比较结果,包括:
[0026]若目标增长因子减去历史增长因子得到的差,大于0且不大于第二设定阈值,则表征目标报文满足二级防护要求;
[0027]若目标增长因子为0,且历史增长因子为第一设定阈值,则表征目标报文满足二级防护要求。
[0028]可选的,将目标报文发送至目标服务端之前,还包括:
[0029]删除目标报文中携带的目标增长因子和因子认证码。
[0030]可选的,还包括:
[0031]若目标报文不满足一级防护要求,则丢弃目标报文;
[0032]若目标报文不满足二级防护要求,则丢弃目标报文。
[0033]第二方面,本申请实施例还提供了一种报文验证装置,所述装置包括:
[0034]接收模块,用于接收目标客户端发送的携带有目标增长因子和因子认证码的目标报文,其中,目标增长因子用于记录目标报文的序列号,因子认证码用于验证目标增长因子;
[0035]验证模块,用于在确定目标增长因子,满足与因子认证码关联的增长因子认证条件时,确定目标报文满足预设的一级防护要求。
[0036]可选的,确定目标增长因子,满足与因子认证码关联的增长因子认证条件时,验证
模块用于:
[0037]基于目标增长因子和预设的密钥,获得认证码检验值;
[0038]若因子认证码与认证码检验值匹配成功,则确定目标增长因子,满足增长因子认证条件。
[0039]可选的,确定目标报文满足预设的一级防护要求之后,验证模块还用于:
[0040]确定目标客户端发送目标报文的目标端口,并根据目标端口确定目标客户端发送的上一个历史报文中携带的历史增长因子;
[0041]将历史增长因子,与目标增长因子进行比较,获得比较结果;
[0042]当比较结果表征目标报文满足预设的二级防护要求时,将目标报文发送至目标服务端;其中,目标报文满足预设的二级防护要求表征目标报文为正常报文。
[0043]可选的,目标客户端通过目标端口发送报文时,各报文中携带的增长因子,是按照各报文各自的发送顺序从0到第一设定阈值循环取值获得的;
[0044]则将目标客户端发送的上一个历史报文中携带的历史增长因子,与目标增长因子进行比较,获得比较结果时,验证模块用于:
[本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种报文验证方法,其特征在于,包括:接收目标客户端发送的携带有目标增长因子和因子认证码的目标报文,其中,所述目标增长因子用于记录所述目标报文的序列号,所述因子认证码用于验证所述目标增长因子;在确定所述目标增长因子,满足与所述因子认证码关联的增长因子认证条件时,确定所述目标报文满足预设的一级防护要求,其中,所述目标报文满足预设的一级防护要求表征所述目标报文来自正常客户端。2.如权利要求1所述的方法,其特征在于,所述确定所述目标增长因子,满足与所述因子认证码关联的增长因子认证条件,包括:基于所述目标增长因子和预设的密钥,获得认证码检验值;若所述因子认证码与所述认证码检验值匹配成功,则确定所述目标增长因子,满足所述增长因子认证条件。3.如权利要求1所述的方法,其特征在于,所述确定所述目标报文满足预设的一级防护要求之后,还包括:确定所述目标客户端发送所述目标报文的目标端口,并根据所述目标端口确定所述目标客户端发送的上一个历史报文中携带的历史增长因子;将所述历史增长因子,与所述目标增长因子进行比较,获得比较结果;当所述比较结果表征所述目标报文满足预设的二级防护要求时,将所述目标报文发送至目标服务端;其中,所述目标报文满足预设的二级防护要求表征所述目标报文为正常报文。4.如权利要求3所述的方法,其特征在于,所述目标客户端通过所述目标端口发送报文时,各报文中携带的增长因子,是按照所述各报文各自的发送顺序从0到第一设定阈值循环取值获得的;则所述将所述目标客户端发送的上一个历史报文中携带的历史增长因子,与所述目标增长因子进行比较,获得比较结果,包括:若所述目标增长因子减去所述历史增长因子得到的差,大于0且不大于第二设定阈值,则表征所述目标报文满足...
【专利技术属性】
技术研发人员:李凯,彭晓军,刘国平,胡怀茂,敖麒,刘业欣,
申请(专利权)人:神州绿盟成都科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。