【技术实现步骤摘要】
本专利技术属于网络安全,更具体地说,是涉及一种ike协议激进模式抗重放攻击方法及装置。
技术介绍
1、ike(internet key exchange,互联网密钥交换)协议是用于在ipsec vpn中建立安全连接的关键协议,主要则负责在通信的两端(通常是vpn客户端和服务端之间)协商安全参数、建立安全关联以及交换密钥。ike协议支持两种模式:主动模式和激进模式。在激进模式中,仅在第一阶段进行身份验证,而主动模式则在两个阶段都进行身份验证。同时,为了适应客户端数量和地址不固定的场景,服务端多采用fqdn(fully qualified domainname,完全限定域名)的方式对客户端进行身份认证,从而使得激进模式更加高效,但由于攻击者有更多机会截取通信消息从而进行重放攻击,所以也增加了一定的风险。
2、在ike激进模式下,由于其快速建立安全关联的特点,需要特别关注抗重放攻击。重放攻击不仅能够篡改通信数据,还会破坏通信的完整性,从而降低通信数据的可信度。尽管目前有多种方法可以抵御重放攻击,但仍存在一些局限性。例如,设置抗重放...
【技术保护点】
1.一种IKE协议激进模式抗重放攻击方法,其特征在于,该方法包括以下步骤:
2.根据权利要求1所述的一种IKE协议激进模式抗重放攻击方法,其特征在于,还包括:在进行状态检查时,利用IKE协议的保活机制来更新FQDN状态库,如果状态为active的IKE连接保活失效,则其状态将被更新为closed。
3.根据权利要求1所述的一种IKE协议激进模式抗重放攻击方法,其特征在于,还包括:在进行状态检查时,攻击判定结果会实时进行处理,当检测到黑名单中的用户或在规定的时间窗口内无法完成IKE协商的行为都会由预警模块生成警报并进行发送。
4.根据...
【技术特征摘要】
1.一种ike协议激进模式抗重放攻击方法,其特征在于,该方法包括以下步骤:
2.根据权利要求1所述的一种ike协议激进模式抗重放攻击方法,其特征在于,还包括:在进行状态检查时,利用ike协议的保活机制来更新fqdn状态库,如果状态为active的ike连接保活失效,则其状态将被更新为closed。
3.根据权利要求1所述的一种ike协议激进模式抗重放攻击方法,其特征在于,还包括:在进行状态检查时,攻击判定结果会实时进行处理,当检测到黑名单中的用户或在规定的时间窗口内无法完成ike协商的行为都会由预警模块生成警报并进行发送。
4.根据权利要求1所述的一种ike协议激进模式抗重放攻击方法,其特征在于,在s1中,过滤规则为“protocol type==ike”或“udp.port==xxx”。
5.根据权利要求1所述的一种ike协议激进模式抗重放攻击方法,其特征在于,ike协商时间窗口t的初始值可以通过统计当前网络中正常ike协商所需时间的最大值来确定,同时在监测的过程中不断更新t值,避免因网络状况错误、时间窗口设置过短而拒绝合法的ike连接。
6.一种ike协议激进模式抗重放攻击装置,其特征在于,包括抗重放攻击网关,所述抗重放攻击网关包括处理模块、检查模块、存储模块;
7.根据权利要求6所述的一种ike协议激进模式抗重放攻击装置,其特征在于,在处理进程中,在抗重放网关启动监听...
【专利技术属性】
技术研发人员:李军,王佰玲,孙云霄,刘扬,刘红日,
申请(专利权)人:哈尔滨工业大学威海,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。