【技术实现步骤摘要】
本专利技术涉及网络通信技术,特别是指一种互联网协议安全(IPSec,Internet Protocol Security)流量安全检测方法、设备和系统。
技术介绍
近二十年来,互联网用户和终端数目的急剧增长、网络技术的飞速进步,证明了具有简单、开放的设计理念的互联网的巨大成功。然而,正是由于互联网的简单和开放,互联网也面临着越来越多的新的要求和挑战,例如安全性差,难以控制和管理,面对故障和攻击难以及时做出反应等。随着互联网的进一步普及,这些问题越来越引人注目,网络生存性所需要应对的威胁也从单纯的随机故障扩展到了包括人为攻击在内的各种异常。人们普遍认识到,未来的网络应该具有新的特性,使得用户在使用它的时候更加方便的同时,也更加安全;也应该使得网络的运营者在面临各种异常状态时能及时地发现,并有效地做出反应。达到更高的安全性往往需要对网络的控制和管理能力提出更高的要求。为了实现真正的可信和安全,网络必须具有对用户行为高度的控制和管理能力。随着IPv4地址的耗尽,互联网向IPv6(Internet Protocol version 6)过渡已经迫在眉睫。IPv6是IETF为IP协议分组通信制定的新的因特网标准,在IPv6中IPsec(Internet Protocol Security)成为了必选内容。这样做的目的,是为了随着IPv6的进一步流行,IPsec可以得到更为广泛的使用。IPse ...
【技术保护点】
1.一种IPSec流量安全检测方法,其特征在于,包括:A.发起方通过网关设备向响应方发起IPsec通信的IKE请求时,所述网关设备截获IKE请求,提取该请求的源地址和响应方对应的目的地址并保存在本地数据表中;B.所述网关设备分别与所述发起方、响应方进行加密协商,并分别建立与发起方、响应方的IPsec安全隧道;C.所述发起方将需要发送给所述响应方的数据包采用与所述网关设备协商的加密方法进行加密,通过与所述网关设备建立的IPsec安全隧道发送至所述网关设备;D.所述网关设备收到所述数据包后,通过与发起方协商好的加密方法对该数据包进行解密后,进行深度包检测;E.如果深度包检测通过,所述网关设备将该数据包通过与所述响应方协商好的加密方法进行加密后,通过与所述响应方建立的IPsec安全隧道发送至所述响应方。
【技术特征摘要】
1.一种IPSec流量安全检测方法,其特征在于,包括:
A.发起方通过网关设备向响应方发起IPsec通信的IKE请求时,
所述网关设备截获IKE请求,提取该请求的源地址和响应方对应的目
的地址并保存在本地数据表中;
B.所述网关设备分别与所述发起方、响应方进行加密协商,并分
别建立与发起方、响应方的IPsec安全隧道;
C.所述发起方将需要发送给所述响应方的数据包采用与所述网关
设备协商的加密方法进行加密,通过与所述网关设备建立的IPsec安全
隧道发送至所述网关设备;
D.所述网关设备收到所述数据包后,通过与发起方协商好的加密
方法对该数据包进行解密后,进行深度包检测;
E.如果深度包检测通过,所述网关设备将该数据包通过与所述响
应方协商好的加密方法进行加密后,通过与所述响应方建立的IPsec安
全隧道发送至所述响应方。
2.根据权利要求1所述的方法,其特征在于,所述步骤A进一步
包括:
101,所述发起方向所述响应方发起IPsec通信的第一IKE请求;
102,所述网关设备监听到发起方当前发出的如果是端口号码为500
或者4500的UDP数据包,则判定为该发起方准备与安全区域外部建立
IPsec连接的所述第一IKE请求;
103,所述网关设备截断当前第一IKE请求的数据包,提取该数据
包的源地址和响应方对应的目的地址并保存在本地数据表中,同时设置
标识以表示该发起方希望建立安全连接;
104,所述网关设备回复所述发起方IKE请求失败通知消息,在该
消息种携带该网关设备自身地址。
3.根据权利要求2所述的方法,其特征在于,所述网关设备启用
LibpCap或者WinpCap功能进行监听。
4.根据权利要求1所述的方法,其特征在于,所述步骤B进一步
包括:
201,所述发起方向所述响应方发起IPsec通信的第一IKE请求
后,如果收到所述网关设备的失败通知消息,提取所述网关设备地址;
向所述网关设备发起第二IKE请求,请求协商沟通使用的加密算法和
密钥;
202,所述网关设备收到所述第二IKE请求后,查询本地数据表,
如果发现表示该发起方希望建立安全连接的标识,则判定该发起方曾发
送过所述第一IKE请求,并在所述数据表中提取出所述目的地址;
203,所述网关设备向所述目的地址对应的响应方发起第三IKE请
求;
204,所述网关设备与响应方之间协商加密方法,协商成功后,响
应方返回第三IKE请求成功消息,网关设备与响应方建立IPsec安全隧
道;
205,所述网关设备向发起方返回第二IKE协商成功的响应消息,
并将数据表中的所述标识复位;网关设备与发起方通过IKE确认双方
身份后,协商加密方法,网关设备和发起方建立IPsec安全隧道。
5.根据权利要求1所述的方法,其特征在于,所述加密方法为AH
和/或ESP加密协议。
6.根据权利要求1所述的方法,其特征在于,所述步骤E后进一
步包括:通信完毕后,所述网关设备拆除与发起方、响应方建立的两条<...
【专利技术属性】
技术研发人员:高歆雅,陈晓益,江志峰,刘波,王和宇,陈运清,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。