CN110890960B - 一种基于多重校验机制的数据重放攻击识别与防护方法 - Google Patents

一种基于多重校验机制的数据重放攻击识别与防护方法 Download PDF

Info

Publication number
CN110890960B
CN110890960B CN201911123255.6A CN201911123255A CN110890960B CN 110890960 B CN110890960 B CN 110890960B CN 201911123255 A CN201911123255 A CN 201911123255A CN 110890960 B CN110890960 B CN 110890960B
Authority
CN
China
Prior art keywords
verification
message
time
data
random number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911123255.6A
Other languages
English (en)
Other versions
CN110890960A (zh
Inventor
王聪
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201911123255.6A priority Critical patent/CN110890960B/zh
Publication of CN110890960A publication Critical patent/CN110890960A/zh
Application granted granted Critical
Publication of CN110890960B publication Critical patent/CN110890960B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于多重校验机制的数据重放攻击识别与防护方法,通过获取发送至目标主机的所有消息并进行多重校验,基于多重校验的结果进行判断,校验通过则目标主机认证通过当前消息,等待下一个消息,否则判定为重放攻击消息并复位。本发明的多重校验包括基于随机数的数据验证机制、基于信息时间标识的数据验证机制以及基于一次性口令的校验机制,根据时间校验、随机数校验、一次性口令校验三个维度同时验证的结果进行综合判别,实现重放攻击信号的有效识别并进行安全防护,对识别的重放消息进行有效屏蔽,提高重要系统的数据抗重放攻击防护能力,有效提高重放攻击行为的识别率及识别准确率,有效的解决重放消息无法实时准确识别与防护的问题。

Description

一种基于多重校验机制的数据重放攻击识别与防护方法
技术领域
本发明涉及电通信技术的技术领域,特别涉及一种基于多重校验机制的数据重放攻击识别与防护方法。
背景技术
重放攻击(Replay Attacks)是指攻击者发送一个目的主机已接收过的包,主要用于身份认证过程,来达到欺骗系统的目的、破坏认证的正确性;重放攻击可以由发起者、也可以由拦截并重发该数据的敌方进行,攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。
重放攻击在任何网络通信过程中都可能发生,一旦重放攻击成功将导致服务器被非法认证成功,进而造成服务器数据泄露、数据被篡改的风险。
随着信息化的发展,越来越多的物联网终端需要进行认证而让用户进行权限控制,例如蓝牙钥匙开启车门,智能门锁,自动售卖机等等,而不发分子一旦完成正常用户操作过程里数据信号的捕获,再伺机对目标系统进行数据信号重放,则将非法实现系统认证,获取敏感信息,甚至损害目标系统。
对于重放攻击行为的识别和防护工作,最重要的是验证发起数据的新鲜性与唯一性,现有技术中,主要基于设备日志与时间戳进行消息验证。然而,现有技术的缺陷在于,黑客捕获信号数据后,可以对信号数据进行编辑,故而基于时间戳的验证就失效了,同时设备日志也不能有效验证是否为重放信息,这将遗漏大量的重放攻击,无法达到保护目标主机的目的。
发明内容
本发明解决了现有技术中,要基于设备日志与时间戳进行消息验证,而导致的基于时间戳的验证可能因为黑客对数据的篡改而失效,设备日志亦无法有效验证重放信息,将遗漏大量的重放攻击,无法保护目标主机的问题,提供了一种优化的基于多重校验机制的数据重放攻击识别与防护方法,采用多重校验机制结合的方式进行重放攻击消息判别,提高识别的准确度,并针对识别的重放攻击行为进行系统安全防护,防止重要业务系统被执行数据重放攻击而非法入侵,提高重要业务系统的抗重放攻击能力。
本发明所采用的技术方案是,一种基于多重校验机制的数据重放攻击识别与防护方法,所述方法包括以下步骤:
步骤1:获取发送至目标主机的所有消息;
步骤2:对消息进行多重校验;
步骤3:基于多重校验的结果进行判断,若校验通过,则目标主机认证通过当前消息,返回步骤1,否则,进行下一步;
步骤4:判定为重放攻击消息,复位。
优选地,所述步骤2中,多重校验包括随机数校验、时间校验和一次性口令校验。
优选地,所述随机数校验包括以下步骤:
步骤2.1.1:预设消息发送规则,在消息的数据报文中增加随机数;
步骤2.1.2:获得步骤1的消息,基于预设的规则提取随机数;
步骤2.1.3:将随机数与已存储的数据进行比较,所述已存储的数据为存储历史消息的随机数库内的数据;
步骤2.1.4:若存在已存储的数据与随机数相同,则校验不通过,判定当前校验结果为疑似重放攻击消息,否则,通过当前校验。
优选地,所述时间校验包括以下步骤:
步骤2.2.1:获得步骤1的消息,提取时间字段;
步骤2.2.2:将所述时间字段与目标主机的时间进行比较;
步骤2.2.3:若时间差异超过阈值,则校验不通过,判定当前校验结果为疑似重放攻击消息,否则,通过当前校验。
优选地,所述步骤2.2.3中,阈值为不超过5秒。
优选地,所述一次性口令校验包括以下步骤:
步骤2.3.1:目标主机收到消息,向消息发出端返回验证口令码A;
步骤2.3.2:由消息发出端识别所述验证口令码A、记录,并将识别及记录的验证口令码A’发送至目标主机;
步骤2.3.3:若A和A’不一致,则校验不通过,判定当前校验结果为疑似重放攻击消息,否则,通过当前校验。
优选地,所述多重校验中,时间校验、随机数校验和一次性口令校验同步进行。
优选地,所述步骤3中,当多重校验的结果均为不通过时,则直接进行步骤4,否则,目标主机认证通过,接收消息并返回步骤1。
本发明提供了一种优化的基于多重校验机制的数据重放攻击识别与防护方法,通过获取发送至目标主机的所有消息并进行多重校验,基于多重校验的结果进行判断,校验通过则目标主机认证通过当前消息,等待下一个消息,否则判定为重放攻击消息并复位。
本发明的多重校验包括基于随机数的数据验证机制、基于信息时间标识的数据验证机制以及基于一次性口令的校验机制,根据时间校验、随机数校验、一次性口令校验三个维度同时验证的结果进行综合判别,实现重放攻击信号的有效识别并进行安全防护,对识别的重放消息进行有效屏蔽,提高重要系统的数据抗重放攻击防护能力,有效提高重放攻击行为的识别率及识别准确率,有效的解决重放消息无法实时准确识别与防护的问题。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种基于多重校验机制的数据重放攻击识别与防护方法,采用随机数校验、时间校验、一次性口令校验三重维度的校验机制,从重放攻击消息的根本特征出发去进行判别,达到快速完成重放攻击消息判别,同时对于识别的重放攻击信号进行复位,防护目标主机免遭侵害。
所述方法包括以下步骤。
步骤1:获取发送至目标主机的所有消息。
本发明中,消息是指认证消息,具体来说,为疑似重放攻击的认证消息。
步骤2:对消息进行多重校验。
所述步骤2中,多重校验包括随机数校验、时间校验和一次性口令校验。
所述随机数校验包括以下步骤:
步骤2.1.1:预设消息发送规则,在消息的数据报文中增加随机数;
步骤2.1.2:获得步骤1的消息,基于预设的规则提取随机数;
步骤2.1.3:将随机数与已存储的数据进行比较,所述已存储的数据为存储历史消息的随机数库内的数据;
步骤2.1.4:若存在已存储的数据与随机数相同,则校验不通过,判定当前校验结果为疑似重放攻击消息,否则,通过当前校验。
所述时间校验包括以下步骤:
步骤2.2.1:获得步骤1的消息,提取时间字段;
步骤2.2.2:将所述时间字段与目标主机的时间进行比较;
步骤2.2.3:若时间差异超过阈值,则校验不通过,判定当前校验结果为疑似重放攻击消息,否则,通过当前校验。
所述步骤2.2.3中,阈值为不超过5秒。
所述一次性口令校验包括以下步骤:
步骤2.3.1:目标主机收到消息,向消息发出端返回验证口令码A;
步骤2.3.2:由消息发出端识别所述验证口令码A、记录,并将识别及记录的验证口令码A’发送至目标主机;
步骤2.3.3:若A和A’不一致,则校验不通过,判定当前校验结果为疑似重放攻击消息,否则,通过当前校验。
本发明中,对于随机数校验来说,针对发送给目标主机的认证消息,每次在消息的数据报文里增加一个随机数的字段,如以“随机数、数据1、数据2……”的形式,由于每次发起的认证消息报文的随机数均不一样,若存在数据信号重放,则黑客发起的重放攻击信号包含的随机数就会与历史随机数信息相同,既可以从随机数维度有效识别数据重放攻击行为。
本发明中,对于时间校验来说,针对发送给主机的认证消息,提取时间字段,针对消息时间与目标主机时间进行比对,如发现时间差异很大,则可以判别为该消息的非新鲜性,可能为历史重放信息。一般来说,阈值设置为小于5秒的时间,这关系到系统的防护级别,时间差异越小,时间同步越精确,实时性越高,历史信息可能性越小。
本发明中,对于一次性口令校验来说,针对发送给目标主机的消息,通过目标主机返回随机的一次性验证口令,挑战发送消息侧的识别与记录能力,并实时响应,如识别与记录的口令与目标主机返回的口令一致,则判别一次性验证通过,否则为不通过。
步骤3:基于多重校验的结果进行判断,若校验通过,则目标主机认证通过当前消息,返回步骤1,否则,进行下一步。
所述多重校验中,时间校验、随机数校验和一次性口令校验同步进行。
所述步骤3中,当多重校验的结果均为不通过时,则直接进行步骤4,否则,目标主机认证通过,接收消息并返回步骤1。
本发明中,分别记录三个维度重放攻击完全匹配项与概率,提取三个维度针对重放攻击完全匹配项、概率数据并做综合研判。
本发明中,一般来说,为了防止效率损耗,多重校验的依循时间校验、随机数校验和一次性口令校验同步进行。
本发明中,当认证通过即可以正常进行通信。
步骤4:判定为重放攻击消息,复位。
本发明中,当判定为重放攻击消息,则需要断开发送给目标主机的攻击消息连接。
本发明通过获取发送至目标主机的消息并进行多重校验,基于多重校验的结果进行判断,校验通过则目标主机认证通过当前消息,等待下一个消息,否则判定为重放攻击消息并复位。
本发明的多重校验包括基于随机数的数据验证机制、基于信息时间标识的数据验证机制以及基于一次性口令的校验机制,根据时间校验、随机数校验、一次性口令校验三个维度同时验证的结果进行综合判别,实现重放攻击信号的有效识别并进行安全防护,对识别的重放消息进行有效屏蔽,提高重要系统的数据抗重放攻击防护能力,有效提高重放攻击行为的识别率及识别准确率,有效的解决重放消息无法实时准确识别与防护的问题。

Claims (4)

1.一种基于多重校验机制的数据重放攻击识别与防护方法,其特征在于:所述方法包括以下步骤:
步骤1:获取发送至目标主机的所有消息;
步骤2:对消息进行多重校验,包括随机数校验、时间校验和一次性口令校验;
所述随机数校验包括以下步骤:
步骤2.1.1:预设消息发送规则,在消息的数据报文中增加随机数;
步骤2.1.2:获得步骤1的消息,基于预设的规则提取随机数;
步骤2.1.3:将随机数与已存储的数据进行比较,所述已存储的数据为存储历史消息的随机数库内的数据;
步骤2.1.4:若存在已存储的数据与随机数相同,则校验不通过,判定当前校验结果为疑似重放攻击消息,否则,通过当前校验;
所述时间校验包括以下步骤:
步骤2.2.1:获得步骤1的消息,提取时间字段;
步骤2.2.2:将所述时间字段与目标主机的时间进行比较;
步骤2.2.3:若时间差异超过阈值,则校验不通过,判定当前校验结果为疑似重放攻击消息,否则,通过当前校验;
所述一次性口令校验包括以下步骤:
步骤2.3.1:目标主机收到消息,向消息发出端返回验证口令码A;
步骤2.3.2:由消息发出端识别所述验证口令码A、记录,并将识别及记录的验证口令码A’发送至目标主机;
步骤2.3.3:若A和A’不一致,则校验不通过,判定当前校验结果为疑似重放攻击消息,否则,通过当前校验;
步骤3:基于多重校验的结果进行判断,若校验通过,则目标主机认证通过当前消息,返回步骤1,否则,进行下一步;
步骤4:判定为重放攻击消息,复位。
2.根据权利要求1所述的一种基于多重校验机制的数据重放攻击识别与防护方法,其特征在于:所述步骤2.2.3中,阈值为不超过5秒。
3.根据权利要求1所述的一种基于多重校验机制的数据重放攻击识别与防护方法,其特征在于:所述多重校验中,时间校验、随机数校验和一次性口令校验同步进行。
4.根据权利要求1所述的一种基于多重校验机制的数据重放攻击识别与防护方法,其特征在于:所述步骤3中,当多重校验的结果均为不通过时,则直接进行步骤4,否则,目标主机认证通过,接收消息并返回步骤1。
CN201911123255.6A 2019-11-16 2019-11-16 一种基于多重校验机制的数据重放攻击识别与防护方法 Active CN110890960B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911123255.6A CN110890960B (zh) 2019-11-16 2019-11-16 一种基于多重校验机制的数据重放攻击识别与防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911123255.6A CN110890960B (zh) 2019-11-16 2019-11-16 一种基于多重校验机制的数据重放攻击识别与防护方法

Publications (2)

Publication Number Publication Date
CN110890960A CN110890960A (zh) 2020-03-17
CN110890960B true CN110890960B (zh) 2023-04-18

Family

ID=69747698

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911123255.6A Active CN110890960B (zh) 2019-11-16 2019-11-16 一种基于多重校验机制的数据重放攻击识别与防护方法

Country Status (1)

Country Link
CN (1) CN110890960B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111669380B (zh) * 2020-05-28 2022-07-19 成都安恒信息技术有限公司 一种基于运维审计系统的免密登录方法
CN113055361A (zh) * 2021-02-26 2021-06-29 华为技术有限公司 一种用于dc互联的安全通信方法、装置及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102739659B (zh) * 2012-06-16 2015-07-08 华南师范大学 一种防重放攻击的认证方法
CN109309565B (zh) * 2017-07-28 2021-08-10 中国移动通信有限公司研究院 一种安全认证的方法及装置

Also Published As

Publication number Publication date
CN110890960A (zh) 2020-03-17

Similar Documents

Publication Publication Date Title
US9961077B2 (en) System and method for biometric authentication with device attestation
US7093291B2 (en) Method and system for detecting and preventing an intrusion in multiple platform computing environments
CN110866246B (zh) 一种恶意代码攻击的检测方法、装置及电子设备
CN109660556B (zh) 基于信息安全的用户登陆方法、装置、设备和存储介质
CN111083165B (zh) 基于联合防撞库平台的登录拦截方法和系统
CN110890960B (zh) 一种基于多重校验机制的数据重放攻击识别与防护方法
CN107077561B (zh) 验证上层应用身份的方法、自助终端及应用服务器
US20170171188A1 (en) Non-transitory computer-readable recording medium, access monitoring method, and access monitoring apparatus
CN110912855A (zh) 一种基于渗透性测试用例集的区块链架构安全评估方法及系统
Alaswad et al. Vulnerabilities of biometric authentication threats and countermeasures
CN112422527B (zh) 变电站电力监控系统的威胁评估系统、方法和装置
CN113553599A (zh) 工控主机软件加固方法及系统
CN111949952B (zh) 验证码请求处理方法及计算机可读存储介质
CN115118442B (zh) 一种软件定义边界框架下的端口保护方法及装置
KR101900494B1 (ko) 계정 도용 탐지 방법 및 장치
KR101576993B1 (ko) 캡차를 이용한 아이디도용 차단방법 및 차단 시스템
JP6842951B2 (ja) 不正アクセス検出装置、プログラム及び方法
US20220303293A1 (en) Methods of monitoring and protecting access to online services
CN115150137A (zh) 一种基于Redis的高频访问预警方法及设备
CN116707844A (zh) 基于公共账号的行为追踪方法、装置、电子设备及介质
CN113111336A (zh) 一种基于安全计算机的认证方法
CN108289102B (zh) 一种微服务接口安全调用装置
CN104780170A (zh) 一种安全验证方法和装置
CN117336102B (zh) 一种多重校验的身份鉴别系统及其鉴别方法
CN110996321B (zh) 一种eSIM卡鉴权的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant