一种支持IPSecVPN数据监控的方法技术

本发明专利技术公开了一种支持IPSec VPN数据监控的方法，步骤包括：VPN内用户数据通过网关发送数据，当网关的信息监控服务使能有效时，信息监控服务器优先对用户数据报文进行深度解析；网关将深度解析结果按照信息组装格式封装InforData；根据网关从信息监控服务器获取到的加密算法和公钥对InforData加密重新生成InforData；构造InforHDR并填写InforHDR标识字段和InforData长度字段到InforHDR；网关根据IPSec业务对用户数据报文的IPSec加密和封装；用户数据报文经过IPSec业务流程加密和封装后，在ESP HDR之上顺序封装构造好的InforData和InforHDR；然后封装一个UDPHDR；按照IPSec原有的业务流程加封外层IP HDR或Outter IP HDR。本发明专利技术实现IPSecESP协议加密后的报文在互联网传输过程中，对VPN内用户进行数据监控，本发明专利技术的方法具有广泛的实用价值和应用前景。和应用前景。和应用前景。

【技术实现步骤摘要】
一种支持IPSec VPN数据监控的方法


[0001]本专利技术涉及计算机网络中的数据传输领域，尤其涉及一种支持IPSec VPN数据监控的方法。

技术介绍

[0002]IPSecVPN指采用IPSec协议来实现远程接入的一种VPN技术。IPSec全称为Internet Protocol Security，是由Internet Engineering Task Force(IETF)定义的安全标准框架，是一系列为IP网络提供安全性的协议和服务的集合。如附图1所示，在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个网关间提供私密数据封包服务。
[0003]其中，IPSec的ESP协议(Encapsulated Security Payload，封装安全载荷)主要提供加密、数据源验证、数据完整性验证和防报文重放功能。IPSec加密和解密的两端称为对等体，只有对等体之间知道对方密钥。IPSec ESP协议有传输模式和隧道模式两种方式：传输模式(Transport mode)对原IP数据包载荷和ESP报尾进行加密，如附图2中A部分所示，其中HDR是Header的缩写，表示头部；隧道模式(Tunnel mode)对原IP数据包的IP头、载荷和ESP报尾一起进行加密，如附图2中B部分所示。
[0004]另外，NAT技术通过将IP报文头中的IP地址转换为另一个IP地址提供了内部网络保护的功能，并且一定程度上缓解了IPv4地址短缺的问题。IPSec和NAT协同工作，可以实现特定通信方之间在IP网络上的安全传输，因此成为越来越多企业或机构部署网络的主流选择。IPSec VPN用户普遍使用NAT
‑
T(NAT Traversal，NAT穿越)来达到使ESP包通过NAT的目的。在IPSec NAT穿越场景中，ESP HDR到ESP Auth数据之间的数据构成新的IP报文载荷，该载荷是不可以被修改的，否则对端就无法通过解密来还原数据；而NAT不可避免地要对IP地址进行修改，所以涉及跨越NAT设备场景时，现有方案一般选择在IPSec报文的IP头后增加一个UDP头来保护ESP报文不被修改。IPSec穿越NAT的报文结构如附图3所示。
[0005]使用IPSec ESP协议来传输数据，通过对用户数据加密，有效保证了数据的机密性和安全性，防止数据在传输过程中被窃听。即使数据在传输过程中被截获，在不知道数据密钥的情况下，暴力破解将面临巨大的数据分析和尝试时间。耗费很大的破解成本也只能得到失去了实时价值的数据。这种效果正是数据安全工作所期望的。
[0006]但是在大数据时代的今天，有效信息源于对海量数据的实时分析与挖掘。互联网各个节点上的数据内容，都可能存在数据采集的需求。而IPSec ESP加密协议加密后的报文在互联网传输的过程中，其数据内容是数据解析服务器或专用解析设备无法轻易获取到的，即使通过暴力破解得到，也要耗费巨大的计算资源和时间，这是现今大数据分析和信息安全监控亟需解决的难题。

技术实现思路

[0007]专利技术目的：本专利技术目的是对IPSecESP协议加密后的报文在互联网传输的过程中，
提供一种支持IPSecVPN场景下数据监控的方法，实现信息监控服务器对数据进行读取、解密及解析，得到用户数据的深度解析结果。
[0008]技术方案：一种支持IPSec VPN数据监控的方法，包括如下步骤：
[0009]步骤1.1：VPN内用户数据通过网关发送数据，当网关的信息监控服务使能有效时，信息监控服务器优先对用户数据报文进行深度解析；
[0010]步骤1.2：网关将深度解析结果按照信息组装格式封装InforData；
[0011]步骤1.3：根据网关从信息监控服务器获取到的加密算法和公钥对InforData进行加密，重新生成InforData；
[0012]步骤1.4：填写InforHDR标识字段和InforData数据长度字段到InforHDR；
[0013]步骤1.5：网关根据IPSec业务对用户数据报文的IPSec加密和封装；
[0014]步骤1.6：用户数据报文经过IPSec业务流程加密和封装后，在ESP HDR之上顺序封装步骤1.3和步骤1.4构造好的InforData和InforHDR；然后封装一个UDP HDR；
[0015]步骤1.7：按照IPSec原有的业务流程加封外层IPHDR或OutterIPHDR。
[0016]进一步地，步骤1还包括：在公网信息监控服务器上配置信息监控管理服务，并启动特定端口监听请求，特定端口需要全网统一。
[0017]进一步地，步骤1还包括在网关上配置信息监控业务使能和信息监控服务器IP地址及端口配置。
[0018]进一步地，步骤1.4中标识字段不少于2个字节。
[0019]进一步地，步骤1.6中UDP HDR设有特殊的目的端口号用于标识其后携带的InforHDR，目的端口号与信息监控服务器监听端口相对应。
[0020]进一步地，信息监控服务器从IPSec穿越报文中获取监控信息的步骤包括：
[0021]步骤2.1：携带InforHDR和InforData的数据报文在信息采集时被信息监控服务器接收；
[0022]步骤2.2：信息安全服务器通过UDP HDR目的端口号识别出数据报文中包含的InforHDR，并根据InforHDR中携带的标识字段确认数据报文的合法性；
[0023]步骤2.3：判断出数据报文合法之后，信息监控服务器根据UDP HDR长度、InforHDR长度，定位到InforData在数据报文中的开始位置；根据InforHDR中保存的InforData数据长度字段定位到InforData数据在数据报文中的结束位置，完成数据读取、解密及解析，得到用户数据的深度解析结果。
[0024]进一步地，IPSecVPN用户接入网关收到对端对等体发送的IPSec穿越报文后，通过UDPHDR目的端口号识别出UDPHDR携带的InforHDR；对InforHDR的标识字段进行校验并确认其格式的正确性；网关定位到InforData结束位置，从数据报文中摘除UDPHDR、InforHDR和InforData，恢复成IPSec加密报文；网关对IPSec报文进行解密，还原出对端用户的数据报文，转发给VPN内用户。
[0025]有益效果：本专利技术具有以下优点：在公网信息监控服务器上配置信息监控管理服务，并启动特定的端口监听请求，同时在网关上配置“信息监控业务使能”和“信息监控服务器IP地址及端口”等，当VPN内用户数据通过网关发送数据时，对用户数据进行深度解析并将解析结果封装在数据报文内，经过封装InforHDR和UDP的报文天然支持NAT穿越，完成IPSecVPN场景下数据的监控。
附图说明
[0026]图1为IPSecVPN应用场景；
[0027]图2中A部分为IPSec传输模式下的报文转化与封装、B本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种支持IPSec VPN数据监控的方法，包括如下步骤：步骤1.1：VPN内用户数据通过网关发送数据，当网关的信息监控服务使能有效时，信息监控服务器优先对用户数据报文进行深度解析；步骤1.2：网关将深度解析结果按照信息组装格式封装InforData；步骤1.3：根据网关从信息监控服务器获取到的加密算法和公钥对InforData进行加密，重新生成InforData；步骤1.4：构造InforHDR并填写InforHDR标识字段和InforData长度字段到InforHDR；步骤1.5：网关根据IPSec业务对用户数据报文的IPSec加密和封装；步骤1.6：用户数据报文经过IPSec业务流程加密和封装后，在ESP HDR之上顺序封装步骤1.3和步骤1.4构造好的InforData和InforHDR，然后封装一个UDP HDR；步骤1.7：按照IPSec原有的业务流程加封外层IPHDR或OutterIPHDR。2.根据权利要求1所述的一种支持IPSec VPN数据监控的方法，其特征在于，所述步骤1还包括：在公网信息监控服务器上配置信息监控管理服务，并启动特定端口监听请求，所述特定端口需要全网统一。3.根据权利要求1所述的一种支持IPSec VPN数据监控的方法，其特征在于，所述步骤1还包括在网关上配置信息监控业务使能和信息监控服务器IP地址及端口配置。4.根据权利要求1所述的一种支持IPSec VPN数据监控的方法，其特征在于，所述步骤1.4中标识字段不少于2个字节。5.根据权利要求1所述的一种支持IPSec VPN数据监控...

【专利技术属性】
技术研发人员：刘进华，许同伟，王彩萍，
申请(专利权)人：江苏农林职业技术学院，
类型：发明
国别省市：