一种审查IPSEC VPN传输内容的方法及系统

技术领域

本发明涉及审查IPSEC VPN技术领域，特别是涉及一种审查IPSEC VPN传输内容的方法及系统。

背景技术

VPN作为一项成熟的技术，广泛应用于组织总部和分支机构之间的组网互联，其利用组织已有的互联网出口，虚拟出一条“专线”，将组织的分支机构和总部连接起来，组成一个大的局域网。VPN用户访问内网资源还需为拨入到UTM25的用户分配一个虚拟的私有IP，使SSL VPN客户端的用户可以像局域网用户一样能正常访问局域网内的资源。

IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术，IPSec全称为Internet Protocol Security，是由Internet Engineering Task Force(IETF)定义的安全标准框架，在公网上为两个私有网络提供安全通信通道，通过加密通道保证连接的安全，在两个公共网关间提供私密数据封包服务，IPSEC是一套比较完整成体系的VPN技术，它规定了一系列的协议标准。

导入IPSEC协议，原因有2个，一个是原来的TCP/IP体系中间，没有包括基于安全的设计，任何人，只要能够搭入线路，即可分析所有的通讯数据。IPSEC引进了完整的安全机制，包括加密、认证和数据防篡改功能。另外一个原因，是因为Internet迅速发展，接入越来越方便，很多客户希望能够利用这种上网的带宽，实现异地网络的相互连通。

但是，VPN具有双面性，一方面可以提高数据传输的安全性，另一方面为不法分子提供了较为安全的信息传输方式；因此，对IPSEC VPN传输内容的审查，是打击违法犯罪不可或缺的一部分。

发明内容

本发明的目的在于，提出一种审查IPSEC VPN传输内容的方法及系统，解决现有方法无法有效的审查IPSEC VPN传输内容，导致网络监管不到位、效率低的技术问题。

一方面，提供一种审查IPSEC VPN传输内容的方法，包括：

获取传输的数据包并识别所述传输的数据包是否为IPSEC VPN数据包；

当所述传输的数据包为IPSEC VPN数据包时，对所述传输数据包进行解析，若解析成功，则对所述传输数据包的内容进行安全检测；若解析不成功，则识别所述传输数据包中的SA协商响应报文，得到识别结果；其中，所述识别结果包括识别成功或不成功；当所述识别结果为成功时，根据所述SA协商响应报文进行安全检测；

若安全检测通过，则放行所述传输的数据包，若安全检测不通过，则不放行所述传输的数据包。

优选地，所述对所述传输数据包进行解析具体包括：

按照预设的IPSEC VPN数据包标准格式对所述传输数据包进行解析；

若按预设的IPSEC VPN数据包标准格式能解析出对应项目的数据，则判定所述传输数据包解析成功；

若按预设的IPSEC VPN数据包标准格式不能解析出对应项目的数据，则判定所述传输数据包解析不成功。

优选地，所述对所述传输数据包的内容进行安全检测具体包括：

识别所述传输的数据包中扩展包头包含的封装信息，并根据该封装信息判断所述传输的数据包是否为AH封装或ESP封装；

若所述传输的数据包为AH封装，则解封所述传输的数据包并进行安全检测；

若所述传输的数据包为ESP封装，则对所述传输的数据包进行解封，并利用预设的密钥对所述传输的数据包中的数据进行解密，得到所述传输的数据包的关键字眼，对所述关键字眼进行安全检测。

优选地，所述识别所述传输数据包中的SA协商响应报文具体包括：

识别所述传输数据包的SA上下文信息特征；并根据所述SA上下文信息特征中提取SA协商响应报文：

若无法提取出SA协商响应报文，则判定数据包不合法并阻止数据包通过，生成识别结果为不成功；

若提取出SA协商响应报文，则判定数据包合法，生成识别结果为成功。

优选地，所述根据所述SA协商响应报文进行安全检测具体包括：

解析所述SA上下文信息特征内包括的SA协商请求报文和SA协商响应报文，判断所述SA协商请求报文和所述SA协商响应报文的加密位置；

若所述SA协商请求报文和所述SA协商响应报文的加密位置为非标准格式，则判定安全检测不通过；

若所述SA协商请求报文和所述SA协商响应报文的加密位置为标准格式，则判定安全检测通过；

其中，所述标准格式至少包括设置在前端的SA协商请求报文、设置在后端的SA协商响应报文。

另一方面，还提供一种审查IPSEC VPN传输内容的系统，用以实现所述审查IPSECVPN传输内容的方法，包括：

获取模块，用以获取传输的数据包并识别所述传输的数据包是否为IPSEC VPN数据包；

解析模块，用以当所述传输的数据包为IPSEC VPN数据包时，对所述传输数据包进行解析，若解析成功，则对所述传输数据包的内容进行安全检测；若解析不成功，则识别所述传输数据包中的SA协商响应报文，得到识别结果；其中，所述识别结果包括识别成功或不成功；当所述识别结果为成功时，根据所述SA协商响应报文进行安全检测；

审查模块，用以若安全检测通过，则放行所述传输的数据包，若安全检测不通过，则不放行所述传输的数据包。

优选地，所述解析模块还用于按照预设的IPSEC VPN数据包标准格式对所述传输数据包进行解析；

若按预设的IPSEC VPN数据包标准格式能解析出对应项目的数据，则判定所述传输数据包解析成功；

若按预设的IPSEC VPN数据包标准格式不能解析出对应项目的数据，则判定所述传输数据包解析不成功；

以及用于识别所述传输数据包的SA上下文信息特征；并根据从所述SA上下文信息特征中提取SA协商响应报文：

若无法提取出SA协商响应报文，则判定数据包不合法并阻止数据包通过，生成识别结果为不成功；

若提取出SA协商响应报文，则判定数据包合法，生成识别结果为成功。

优选地，所述审查模块还用于识别所述传输的数据包中扩展包头包含的封装信息，并根据该封装信息判断所述传输的数据包是否为AH封装或ESP封装；

若所述传输的数据包为AH封装，则解封所述传输的数据包并进行安全检测；

若所述传输的数据包为ESP封装，则对所述传输的数据包进行解封，并利用预设的密钥对所述传输的数据包中的数据进行解密，得到所述传输的数据包的关键字眼，对所述关键字眼进行安全检测；

优选地，解析所述SA上下文信息特征内包括的SA协商请求报文和SA协商响应报文，判断所述SA协商请求报文和所述SA协商响应报文的加密位置；

若所述SA协商请求报文和所述SA协商响应报文的加密位置为非标准格式，则判定安全检测不通过；

若所述SA协商请求报文和所述SA协商响应报文的加密位置为标准格式，则判定安全检测通过；

其中，所述标准格式至少包括设置在前端的SA协商请求报文、设置在后端的SA协商响应报文。

综上，实施本发明的实施例，具有如下的有益效果：

本发明提供的审查IPSEC VPN传输内容的方法及系统，通过获取并识别数据包是否为IPSEC VPN数据包、若为是，则对IPSEC VPN数据包进行解析，解析通过则提取IPSECVPN数据包、并对IPSEC VPN数据包的内容进行安全检测，若解析不通过则分析IPSEC VPN数据包的SA上下文信息特征、并提取SA协商响应报文，从SA协商响应报文中提取关键字段进行安全检测；安全检测通过则放行IPSEC VPN数据包；从而能够更好的对VPN的使用进行监督，以及防止伪造的VPN报文的攻击，提升了监管的效率和网络安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，根据这些附图获得其他的附图仍属于本发明的范畴。

图1为本发明实施例中一种审查IPSEC VPN传输内容的方法的主流程示意图。

图2为本发明实施例中一种审查IPSEC VPN传输内容的系统的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述。

如图1所示，为本发明提供的一种审查IPSEC VPN传输内容的方法的一个实施例的示意图。在该实施例中，所述方法包括以下步骤：

获取传输的数据包并识别所述传输的数据包是否为IPSEC VPN数据包。

具体实施例中，在进行IPSEC VPN传输时，IPSEC VPN传输的一端连接终端设备(如终端电脑)，终端电脑通过其上设置的UDP 500端口或UDP 4500端口连接IPSEC VPN，当需要获取传输的数据包时，可直接调取对应端口(UDP 500端口或UDP 4500端口)收发的数据包；IPSEC VPN传输的一端连接运营商的接入设备，当需要获取传输的数据包时，可直接调取运营商的接入设备中获取数据包。当接入设备获取与终端设备收发的数据包，也就是传输的数据包；判断所述传输的数据包是否符合预设的IPSEC VPN数据包标准，若符合，则判定所述传输的数据包为IPSEC VPN数据包，若不符合，则判定所述传输的数据包不为IPSEC VPN数据包。

当所述传输的数据包为IPSEC VPN数据包时，对所述传输数据包进行解析，若解析成功，则对所述传输数据包的内容进行安全检测；若解析不成功，则识别所述传输数据包中的SA协商响应报文，得到识别结果；其中，所述识别结果包括识别成功或不成功；当所述识别结果为成功时，根据所述SA协商响应报文进行安全检测；可理解的是，依照标准的IPSECVPN数据包格式进行解析；若解析不通过则分析所述IPSEC VPN数据包的SA上下文信息特征、并提取SA协商响应报文中：若分析所述IPSEC VPN数据包的SA上下文信息特征无法提取出SA协商响应报文则判定所述IPSEC VPN数据包不合法、阻止所述IPSEC VPN数据包通过，无法提取出SA协商响应报文证明接收方VPN收到SA协商请求报文后，未能进行反馈，即没有利用IKE协议发送唯一认可的一个传输方案，说明所述IPSEC VPN数据包不是利用IKE协议发送唯一认可的一个传输方案，可能是伪造的VPN报文的攻击，也可能是其他非法的数据包，则需要对伪造的IPSEC VPN数据包进行阻止，也就是限制这类伪造或非法的IPSEC VPN数据包的传输，例如将伪造或非法的IPSEC VPN数据包加入黑名单或限制名单中。

具体实施例中，解析过程具体为，按照预设的IPSEC VPN数据包标准格式对所述传输数据包进行解析；若按预设的IPSEC VPN数据包标准格式能解析出对应项目的数据，则判定所述传输数据包解析成功；解析成功后，识别所述传输的数据包中扩展包头包含的封装信息，并判断所述传输的数据包是否为AH封装或ESP封装；若所述传输的数据包为AH封装，则解封所述传输的数据包并进行安全检测；若所述传输的数据包为ESP封装，则对所述传输的数据包进行解封，并利用预设的密钥对所述传输的数据包中的数据进行解密，得到所述传输的数据包的关键字眼，对所述关键字眼进行安全检测。也就是，识别IPSEC VPN数据包是否为AH封装或ESP封装；其中，识别IPSEC VPN数据包是否为AH封装或ESP封装包括：从数据包的扩展包头中进行识别。若IPSEC VPN数据包为AH封装则对IPSEC VPN数据包进行解封后进行安全检测；若IPSEC VPN数据包为ESP封装则对IPSecVPN数据包进行解封后，利用在隧道建立阶段与客户端协商的密钥对IPSecVPN数据包中的数据进行解密，对解密得到的内容数据内容进行安全检测；其中，安全检测包括审查数据中的关键字眼。

进一步，若按预设的IPSEC VPN数据包标准格式不能解析出对应项目的数据，则判定所述传输数据包解析不成功。具体地，解析不成功，则需要对信息进行识别，识别所述传输数据包的SA上下文信息特征；并从所述SA上下文信息特征中提取SA协商响应报文：若无法提取出SA协商响应报文，则判定数据包不合法并阻止数据包通过，生成识别结果为不成功；若提取出SA协商响应报文，则判定数据包合法，生成识别结果为成功。

具体地，解析所述SA上下文信息特征内包括的SA协商请求报文和SA协商响应报文，判断所述SA协商请求报文和所述SA协商响应报文的加密位置；若所述SA协商请求报文和所述SA协商响应报文的加密位置为非标准格式，则判定安全检测不通过；若所述SA协商请求报文和所述SA协商响应报文的加密位置为标准格式，则判定安全检测通过；其中，所述标准格式至少包括设置在前端的SA协商请求报文、设置在后端的SA协商响应报文。也就是，从SA协商响应报文中提取关键字段进行安全检测之前包括：从SA协商响应报文中解析出IPSEC VPN数据包使用的加密算法加密形成的加密格式，若加密格式为非标准算法则阻止IPSEC VPN数据包通过。IPSEC VPN数据包为标准格式，则不需要根据SA上下文信息特征提取SA协商响应报文，只提取SA协商响应报文即可。SA协商请求报文和SA协商响应报文，是指：IPSec VPN采用IKE协议完成密钥协商过程，发起方VPN首先向接收方VPN发起开始ISAKMP SA协商的请求，即利用IKE协议发送包含多个包含不同加密算法、哈希算法组合的传输方案，称该网络报文为SA协商请求报文；接收方VPN收到该报文后，对发起方进行反馈，即利用IKE协议发送唯一认可的一个传输方案，称为SA协商响应报文。

若安全检测通过，则放行所述传输的数据包，若安全检测不通过，则不放行所述传输的数据包。

如图2所示，为本发明提供的一种审查IPSEC VPN传输内容的系统的一个实施例的示意图。在该实施例中，所述系统用以实现所述审查IPSEC VPN传输内容方法包括：

获取模块，用以获取传输的数据包并识别所述传输的数据包是否为IPSEC VPN数据包。

解析模块，用以当所述传输的数据包为IPSEC VPN数据包时，对所述传输数据包进行解析，若解析成功，则对所述传输数据包的内容进行安全检测；若解析不成功，则识别所述传输数据包中的SA协商响应报文，得到识别结果；其中，所述识别结果包括识别成功或不成功；当所述识别结果为成功时，根据所述SA协商响应报文进行安全检测。

具体地，所述解析模块还用于按照预设的IPSEC VPN数据包标准格式对所述传输数据包进行解析；若按预设的IPSEC VPN数据包标准格式能解析出对应项目的数据，则判定所述传输数据包解析成功；若按预设的IPSEC VPN数据包标准格式不能解析出对应项目的数据，则判定所述传输数据包解析不成功；

以及用于识别所述传输数据包的SA上下文信息特征；并从所述SA上下文信息特征中提取SA协商响应报文：若无法提取出SA协商响应报文，则判定数据包不合法并阻止数据包通过，生成识别结果为不成功；若提取出SA协商响应报文，则判定数据包合法，生成识别结果为成功。

审查模块，用以若安全检测通过，则放行所述传输的数据包，若安全检测不通过，则不放行所述传输的数据包。

具体地，所述审查模块还用于识别所述传输的数据包中扩展包头包含的封装信息，并判断所述传输的数据包是否为AH封装或ESP封装；若所述传输的数据包为AH封装，则解封所述传输的数据包并进行安全检测；若所述传输的数据包为ESP封装，则对所述传输的数据包进行解封，并利用预设的密钥对所述传输的数据包中的数据进行解密，得到所述传输的数据包的关键字眼，对所述关键字眼进行安全检测；

以及用于解析所述SA上下文信息特征内包括的SA协商请求报文和SA协商响应报文，判断所述SA协商请求报文和所述SA协商响应报文的加密位置；若所述SA协商请求报文和所述SA协商响应报文的加密位置为非标准格式，则判定安全检测不通过；若所述SA协商请求报文和所述SA协商响应报文的加密位置为标准格式，则判定安全检测通过；其中，所述标准格式至少包括设置在前端的SA协商请求报文、设置在后端的SA协商响应报文。

关于一种审查IPSEC VPN传输内容的系统的具体实现过程，可参考上述的审查IPSEC VPN传输内容的方法的具体实现过程，在此不再赘述。

综上，实施本发明的实施例，具有如下的有益效果：

本发明提供的审查IPSEC VPN传输内容的方法及系统，通过获取并识别数据包是否为IPSEC VPN数据包、若为是，则对IPSEC VPN数据包进行解析，解析通过则提取IPSECVPN数据包、并对IPSEC VPN数据包的内容进行安全检测，若解析不通过则分析IPSEC VPN数据包的SA上下文信息特征、并提取SA协商响应报文，从SA协商响应报文中提取关键字段进行安全检测；安全检测通过则放行IPSEC VPN数据包；从而能够更好的对VPN的使用进行监督，以及防止伪造的VPN报文的攻击，提升了监管的效率和网络安全性。

以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。