一种流量安全检测方法、设备和系统技术方案

本发明专利技术公开了一种IPSec流量安全检测方法、设备和系统，包括：发起方通过网关设备向响应方发起IPsec通信的IKE请求时，网关设备截获IKE请求，提取该请求的源地址和响应方对应的目的地址并保存在本地数据表中；分别与所述发起方、响应方进行加密协商，并分别建立与发起方、响应方的IPsec安全隧道；发起方将需要发送给响应方的数据包采用与网关设备协商的加密方法进行加密，通过与网关设备建立的IPsec安全隧道发送至所述网关设备；网关设备收到所述数据包后，通过与发起方协商好的加密方法对该数据包进行解密后，进行深度包检测；如果深度包检测通过，网关设备将该数据包通过与所述响应方协商好的加密方法进行加密后，通过与所述响应方建立的IPsec安全隧道发送至所述响应方。

【技术实现步骤摘要】

本专利技术涉及网络通信技术，特别是指一种互联网协议安全(IPSec，Internet Protocol Security)流量安全检测方法、设备和系统。
技术介绍
近二十年来，互联网用户和终端数目的急剧增长、网络技术的飞速进步，证明了具有简单、开放的设计理念的互联网的巨大成功。然而，正是由于互联网的简单和开放，互联网也面临着越来越多的新的要求和挑战，例如安全性差，难以控制和管理，面对故障和攻击难以及时做出反应等。随着互联网的进一步普及，这些问题越来越引人注目，网络生存性所需要应对的威胁也从单纯的随机故障扩展到了包括人为攻击在内的各种异常。人们普遍认识到，未来的网络应该具有新的特性，使得用户在使用它的时候更加方便的同时，也更加安全；也应该使得网络的运营者在面临各种异常状态时能及时地发现，并有效地做出反应。达到更高的安全性往往需要对网络的控制和管理能力提出更高的要求。为了实现真正的可信和安全，网络必须具有对用户行为高度的控制和管理能力。随着IPv4地址的耗尽，互联网向IPv6(Internet Protocol version 6)过渡已经迫在眉睫。IPv6是IETF为IP协议分组通信制定的新的因特网标准，在IPv6中IPsec(Internet Protocol Security)成为了必选内容。这样做的目的，是为了随着IPv6的进一步流行，IPsec可以得到更为广泛的使用。IPsec是保护IP协议安全通信的标准，通过对IP包为单位的信息加密来对传输途中的信息包进行加密或者防篡改的一种方法。第一版IPsec协议在RFCs 2401-2409中定义。在2005年第二版标准文档发布，新的文档定义在RFC4301和RFC4309中。虽然IPsec可以保证通信期间用户端到端的信息安全，然而过多的使用IPsec协议将会使得通信内容完全加密，无法达到对互联网内容及流量可管可控的要求。同时由于IPsec的加密，无法实现队列调度，更加难以管理。因此，在IPsec普及之前，必须采用适当的方案能够在维持IPsec安全性的同时，一定程度上实现对用户行为、网络运行状态和网络资源的有效控制和流量和内容的管控。这种能力不仅对于建设安全的网络是必不可少的，而且对于未来网络的健康发展和持续的技术革新，都是必不可少的。目前，有两种技术来实现IPsec下的包检测。第一种方案是基于流的的IPsec深度检测，通过对IPsec VPN报文序列的上下文的分析和检测，按照标准的IPsec VPN报文序列格式去解析，定位SA协商请求报文和协商响应报文，并提取VPN关键信息。对于接收到的VPN序列，按照标准的IPsec VPN报文序列格式去解析，进行上下文的分析和检测。如果能正确解析，那么该IPsec VPN报文序列是标准的，如果不能解析，那么说明IPsec VPN报文序列是非标准的或者是伪造的。对于非标准报文，根据上下文信息特征分析检测出哪个报文是协商响应报文，再对这些非标准的报文进行关键字段的提取，如果根据上下文特征还检测不出来，则认为是伪造的IPsec VPN报文。另一种检测方式是对上面一种方式的改进，该方式利用报文自身的偏移量模式特征，不依赖于上下文信息，而使用基于报文偏移量匹配的方法检测出来的协商响应报文，找到哪个是非标准的协商响应分组，然后在非标准的协商响应分组中的SA_payload字段中提取其中算法信息。这种方法可以检测使用不符合中国密码管理委员会政策规定的算法，或者是VPN生产厂家不按标准协议格式设计的非标准的IPsec协议的VPN，从而判断伪造的IPsec报文，并按照设置安全规则进行报警或记录日志的处理。虽然现有技术能够识别和分析IPsec VPN报文是否为伪造，是否是非标准格式报文，但以上两种方案都只能通过序列中的格式来分析其加密方法如何，是否符合标准，即都仅支持对加密格式的检测。而加密后的内容仍然无法被检测到，无法对不同流量类型进行区别处理，更无法对于关键字进行监控监测，无法实现真正对该报文的深度检测。另外，伴随IPv6的普及，可能带来IPsec的滥用情况，也会给网络的信息和通信安全带来一定的隐患。
技术实现思路
有鉴于此，本专利技术的目的在于提出一种基于网关的对IPsec深度包检测方法、设备和系统，通过对IPsec的深度包检测，判断不同流量类型分配系统资源，设定不同的队列调度机制，实现差别服务，保证通信质量，防止系统高负荷运行状态下，系统丢弃关键流量，导致网络性能迅速恶化；另一方面也可以通过这个技术实现对关键字词的检测和安全监控。基于上述目的本专利技术提供的一种IPSec流量安全检测方法，包括：A.发起方通过网关设备向响应方发起IPsec通信的IKE请求时，所述网关设备截获IKE请求，提取该请求的源地址和响应方对应的目的地址并保存在本地数据表中；B.所述网关设备分别与所述发起方、响应方进行加密协商，并分别建立与发起方、响应方的IPsec安全隧道；C.所述发起方将需要发送给所述响应方的数据包采用与所述网关设备协商的加密方法进行加密，通过与所述网关设备建立的IPsec安全隧道发送至所述网关设备；D.所述网关设备收到所述数据包后，通过与发起方协商好的加密方法对该数据包进行解密后，进行深度包检测；E.如果深度包检测通过，所述网关设备将该数据包通过与所述响应方协商好的加密方法进行加密后，通过与所述响应方建立的IPsec安全隧道发送至所述响应方。可选的，该方法所述步骤A进一步包括：101，所述发起方向所述响应方发起IPsec通信的第一IKE请求；102，所述网关设备监听到发起方当前发出的如果是端口号码为500或者4500的UDP数据包，则判定为该发起方准备与安全区域外部建立IPsec连接的所述第一IKE请求；103，所述网关设备截断当前第一IKE请求的数据包，提取该数据包的源地址和响应方对应的目的地址并保存在本地数据表中，同时设置标识以表示该发起方希望建立安全连接；104，所述网关设备回复所述发起方IKE请求失败通知消息，在该消息种携带该网关设备自身地址。可选的，该方法所述网关设备启用LibpCap或者WinpCap功能进行监听。可选的，该方法所述步骤B进一步包括：201，所述发起方向所述响应方发起IPsec通信的第一IKE请求后，如果收到所述网关设备的失败通知本文档来自技高网...

【技术保护点】
１．一种ＩＰＳｅｃ流量安全检测方法，其特征在于，包括：Ａ．发起方通过网关设备向响应方发起ＩＰｓｅｃ通信的ＩＫＥ请求时，所述网关设备截获ＩＫＥ请求，提取该请求的源地址和响应方对应的目的地址并保存在本地数据表中；Ｂ．所述网关设备分别与所述发起方、响应方进行加密协商，并分别建立与发起方、响应方的ＩＰｓｅｃ安全隧道；Ｃ．所述发起方将需要发送给所述响应方的数据包采用与所述网关设备协商的加密方法进行加密，通过与所述网关设备建立的ＩＰｓｅｃ安全隧道发送至所述网关设备；Ｄ．所述网关设备收到所述数据包后，通过与发起方协商好的加密方法对该数据包进行解密后，进行深度包检测；Ｅ．如果深度包检测通过，所述网关设备将该数据包通过与所述响应方协商好的加密方法进行加密后，通过与所述响应方建立的ＩＰｓｅｃ安全隧道发送至所述响应方。

【技术特征摘要】
1.一种IPSec流量安全检测方法，其特征在于，包括：
A.发起方通过网关设备向响应方发起IPsec通信的IKE请求时，
所述网关设备截获IKE请求，提取该请求的源地址和响应方对应的目
的地址并保存在本地数据表中；
B.所述网关设备分别与所述发起方、响应方进行加密协商，并分
别建立与发起方、响应方的IPsec安全隧道；
C.所述发起方将需要发送给所述响应方的数据包采用与所述网关
设备协商的加密方法进行加密，通过与所述网关设备建立的IPsec安全
隧道发送至所述网关设备；
D.所述网关设备收到所述数据包后，通过与发起方协商好的加密
方法对该数据包进行解密后，进行深度包检测；
E.如果深度包检测通过，所述网关设备将该数据包通过与所述响
应方协商好的加密方法进行加密后，通过与所述响应方建立的IPsec安
全隧道发送至所述响应方。
2.根据权利要求1所述的方法，其特征在于，所述步骤A进一步
包括：
101，所述发起方向所述响应方发起IPsec通信的第一IKE请求；
102，所述网关设备监听到发起方当前发出的如果是端口号码为500
或者4500的UDP数据包，则判定为该发起方准备与安全区域外部建立
IPsec连接的所述第一IKE请求；
103，所述网关设备截断当前第一IKE请求的数据包，提取该数据
包的源地址和响应方对应的目的地址并保存在本地数据表中，同时设置
标识以表示该发起方希望建立安全连接；
104，所述网关设备回复所述发起方IKE请求失败通知消息，在该
消息种携带该网关设备自身地址。
3.根据权利要求2所述的方法，其特征在于，所述网关设备启用
LibpCap或者WinpCap功能进行监听。
4.根据权利要求1所述的方法，其特征在于，所述步骤B进一步
包括：
201，所述发起方向所述响应方发起IPsec通信的第一IKE请求
后，如果收到所述网关设备的失败通知消息，提取所述网关设备地址；
向所述网关设备发起第二IKE请求，请求协商沟通使用的加密算法和
密钥；
202，所述网关设备收到所述第二IKE请求后，查询本地数据表，
如果发现表示该发起方希望建立安全连接的标识，则判定该发起方曾发
送过所述第一IKE请求，并在所述数据表中提取出所述目的地址；
203，所述网关设备向所述目的地址对应的响应方发起第三IKE请
求；
204，所述网关设备与响应方之间协商加密方法，协商成功后，响
应方返回第三IKE请求成功消息，网关设备与响应方建立IPsec安全隧
道；
205，所述网关设备向发起方返回第二IKE协商成功的响应消息，
并将数据表中的所述标识复位；网关设备与发起方通过IKE确认双方
身份后，协商加密方法，网关设备和发起方建立IPsec安全隧道。
5.根据权利要求1所述的方法，其特征在于，所述加密方法为AH
和/或ESP加密协议。
6.根据权利要求1所述的方法，其特征在于，所述步骤E后进一
步包括：通信完毕后，所述网关设备拆除与发起方、响应方建立的两条<...

【专利技术属性】
技术研发人员：高歆雅，陈晓益，江志峰，刘波，王和宇，陈运清，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：11