[发明专利]一种IPsec内容审计装置及方法

说明书

技术领域

本发明涉及一种IPsec内容审计装置及方法，属于多协议工业通信安全技术领域。

背景技术

随着互联网技术的普及，以及用户对于信息传输的安全性和保密性需求的增加，使得VPN技术被越来越多的用户所使用。

VPN主要用来在不安全的网络环境中建立独立的安全隧道来进行数据传输与通信，而IPSec则是对在隧道之中传输的信息进行加密和解密，保证信息的安全性和完整性。IPsec是一个开放的IP层安全框架协议，是由互联网工程任务组(IETF)制定的，为三层隧道协议。IPsec协议对数据的保护，是通过安全联盟(Security Association，SA)来实现的。IPsec SA由安全参数索引(SPI)、目的IP地址以及安全协议等三个参数来进行唯一标识。SA中定义了通信双方在通信过程中某些策略的约定，例如，使用的加密算法、hash算法、协议、协议的模式、认证方式、密钥的生存周期等。在IKE协商中，发起方发送多个可选SA，由响应方确定最终使用的SA，然后通信双方使用协商好的策略进行后续的IKE协商和加解密，保持SA的一致性是通信双方正常使用该IPsec隧道进行数据传输的基本保证。相对于其他的安全协议，IPsec具有诸多优势，所以成为应用越来越广泛的重要协议之一。

然而，VPN技术对于信息传输的保护，也对网络服务单位和网络使用单位对网络安全保护的实施，以及对网络传输内容的审计造成了一定的困难。

目前，现有技术中并没有针对IPv4环境下的IPsec内容审计的装置或方法，并且现有的IPsec内容审计方案无法实现在不影响ipsec隧道双方正常通信的情况下进行审计。

发明内容

针对现有技术的不足，本发明提供了一种IPsec内容审计装置；

本发明还提供了一种IPsec内容审计方法；

本发明能够对使用IPsec协议的用户与服务器之间的流量进行解密，以便对IPsec协议用户的网络流量进行审计。本发明适用于IPsec协议的审计装置在不影响用户体验的同时，为网络服务单位和网络使用单位审计工作提供方法和途径。

术语解释：

1、ISAKMP(Internet Security Association Key Management Protocol，Internet安全联盟密钥管理协议)由RFC2408定义，定义了协商、建立、修改和删除SA的过程和包格式。ISAKMP只是为SA的属性和协商、修改、删除SA的方法提供了一个通用的框架，并没有定义具体的SA格式。

2、ESP，封装安全载荷协议(Encapsulating SecurityPayloads)，是一种Ipsec协议，用于对IP协议在传输过程中进行数据完整性度量、来源认证、加密以及防回放攻击。可以单独使用，也可以和AH一起使用。在ESP头部之前的IPV4、IPV6或者拓展头部，应该在Protocol(IPV4)或者Next Header(IPV6、拓展头部)部分中包含50，表示引入了ESP协议；

3、Key Exchange，密钥交换；

4、Nonce，是Number once的缩写，在密码学中Nonce是一个只被使用一次的任意或非重复的随机数值。

本发明的技术方案为：

一种IPsec内容审计装置，包括流量过滤模块、IKE模块、PSK查找模块、ESP解密模块、快速转发模块以及内容审计模块；

所述流量过滤模块用于对IPsec VPN客户端与服务器端之间的流量进行实时监控；即：从所述快速转发模块中获取流量包，识别流量包中的特征参数和四元组信息，流量包即数据包，所述特征参数包括数据包的responder SPI、数据包模式exchange type、数据包特定位置的负载类型；该数据包的responder SPI是否为全0，如果是全0，则一定为第一个数据报；数据包的模式exchange type，如main mode，quick mode；数据包特定位置的负载类型，如SPI的next payload为SA，HASH等等；所述四元组信息包括源IP、目的IP、端口Port、数据包的长度；源IP或者目的IP可以作为一个区分数据报的参数，端口Port可以作为区分IKE协商两个阶段的重要信息；而在以上条件都相同时，数据报的长度也可以成为识别数据报的重要依据；判定数据包是否为目标流量，如果是目标流量，则将数据包发送至所述IKE模块或所述ESP解密模块；如果不是目标流量，则将数据包发送给所述快速转发模块；