[发明专利]一种IPsec内容审计装置及方法

权利要求书

1.一种IPsec内容审计装置，其特征在于，包括流量过滤模块、IKE模块、PSK查找模块、ESP解密模块、快速转发模块以及内容审计模块；

所述流量过滤模块用于对IPsec VPN客户端与服务器端之间的流量进行实时监控；即：从所述快速转发模块中获取流量包，识别流量包中的特征参数和四元组信息，流量包即数据包，所述特征参数包括数据包的responder SPI、数据包模式exchange type、数据包特定位置的负载类型；所述四元组信息包括源IP、目的IP、端口Port、数据包的长度；判定数据包是否为目标流量，如果是目标流量，则将数据包发送至所述IKE模块或所述ESP解密模块；如果不是目标流量，则将数据包发送给所述快速转发模块；

所述IKE模块对所述流量过滤模块发来的ISAKMP数据包进一步识别，分析该ISAKMP数据包所在的IKE协商的具体阶段和功能，并分别进行发送PSK查找请求、存储后直接转发、修改后转发，计算密钥、解密、计算哈希值、加密、转发中的一项或者多项处理，之后发送给所述快速转发模块；

所述PSK查找模块收到所述IKE模块发送的PSK查找请求后，根据特征数据内容，查找该IKE协商所需的PSK值，如果查找成功，就返回PSK值；如果查找失败，则返回失败消息，同时将该数据包的特征信息添加到所述流量过滤模块中的白名单；所述特征信息是指目的IP；

所述ESP解密模块对所述流量过滤模块发来的ESP数据包进一步识别，分析对该ESP数据包解密和加密所需的密钥材料，将解密该ESP数据包后得到的内容发送给所述内容审计模块，再重新加密，并将重新加密之后的结果发送给所述快速转发模块；

所述快速转发模块在接收到所述流量过滤模块、所述IKE模块、所述ESP解密模块的数据包后，根据相关特征信息进行转发；

所述内容审计模块对从所述ESP解密模块接收到的明文内容进行审计，如果发现异常，即向工作人员发出警报。

2.根据权利要求1所述的一种IPsec内容审计装置，其特征在于，判定是否为目标流量，如果是目标流量，则将数据包发送至所述IKE模块或所述ESP解密模块；包括：如果识别到数据包为IKE协商阶段的数据报时，即ISAKMP数据包，则将该数据包发送给所述IKE模块，如果识别到数据包为ESP数据包时，则将该数据包发送给所述IKE模块。

3.根据权利要求1所述的一种IPsec内容审计装置，其特征在于，根据特征数据内容，查找该IKE协商所需的PSK值，包括：

所述IKE模块通过爬虫引擎或者线下破解方式，收集服务器IP与PSK值的映射关系，生成PSK数据库，PSK数据库包括服务器IP以及与其对应的PSK值；所述IKE模块根据服务器IP查找PSK数据库，查找该服务器IP对应的PSK值，所述服务器IP即所述特征数据内容。

4.一种IPsec内容审计方法，其特征在于，包括步骤如下：

(1)获取IPsec VPN客户端与服务器端之间的流量包；

(2)根据步骤(1)获取的数据包中的特征参数进行流量识别和过滤；

(3)根据服务器IP查找到目标流量对应连接对应的PSK值，如果查找成功，则返回该PSK值，进入步骤(4)；否则，将所述数据包的特征信息添加到白名单，之后不再处理具有相同服务器IP的数据包；所述特征信息及目的IP；

(4)建立IKE协商；

(5)根据IKE协商时计算的密钥，对目标流量对应连接对应的ESP数据包进行解密，进入步骤(6)；并重新加密后发送给服务器端或客户端；

(6)对步骤(5)解密后的结果进行审计。

5.根据权利要求4所述的一种IPsec内容审计方法，其特征在于，所述步骤(2)之后，执行以下步骤：对所述数据包进一步识别，分析所述数据包所在的IKE协商的具体阶段和功能，并分别进行发送PSK查找请求、存储、计算数据、哈希、加解密、生成密钥处理。

6.根据权利要求5所述的一种IPsec内容审计方法，其特征在于，对所述数据包进一步识别，分析所述数据包所在的IKE协商的具体阶段和功能，包括：

对于IKE协商第一阶段的第1个数据包P1、第2个数据包P2，将连接双向的cookie和安全联盟SA进行记录和保存，将连接服务器端的IP进行识别和提取，发送PSK查找请求，获取PSK值；

对于IKE协商第一阶段的第3个数据包P3，将连接发起方的Key Exchange值KE1、nonce值N1进行记录和保存，生成新的Key Exchange值KE2，并覆盖Key Exchange值KE1；

对于IKE协商第一阶段的第4个数据包P4，将连接响应方的Key Exchange值KE3、nonce值N2进行记录和保存，生成新的Key Exchange值KE4，并覆盖Key Exchange值KE3；同时，根据已有的数据生成DH共享密钥、hash值、以及加解密密钥；

对于IKE协商第一阶段的第5个数据包P5、第6个数据包P6，以及第二阶段的3个数据包P7、P8、P9，将收到的数据包进行解密，再计算和更新hash值。