[发明专利]一种IPsec内容审计装置及方法

摘要

本发明涉及一种IPsec内容审计装置及方法，包括(1)获取IPsec VPN客户端与服务器端之间的流量；(2)根据数据包中的特征参数进行流量识别和过滤；(3)查找到该连接对应的PSK值，如果查找成功，则返回PSK值，进入步骤(4)；否则，将数据包的特征信息添加到白名单；(4)建立IKE协商；(5)根据IKE协商时计算的密钥，对该连接对应的ESP数据包进行解密，并重新加密后发送给服务器端或客户端；(6)对解密后的结果进行审计。本发明支持使用IPsec VPN应用的移动设备、PC设备流量的实时监管和控制。

主权项

一种IPsec内容审计装置，其特征在于，包括流量过滤模块、IKE模块、PSK查找模块、ESP解密模块、快速转发模块以及内容审计模块；所述流量过滤模块用于对IPsec VPN客户端与服务器端之间的流量进行实时监控；即：从所述快速转发模块中获取流量包，识别流量包中的特征参数和四元组信息，流量包即数据包，所述特征参数包括数据包的responder SPI、数据包模式exchange type、数据包特定位置的负载类型；所述四元组信息包括源IP、目的IP、端口Port、数据包的长度；判定数据包是否为目标流量，如果是目标流量，则将数据包发送至所述IKE模块或所述ESP解密模块；如果不是目标流量，则将数据包发送给所述快速转发模块；所述IKE模块对所述流量过滤模块发来的ISAKMP数据包进一步识别，分析该ISAKMP数据包所在的IKE协商的具体阶段和功能，并分别进行发送PSK查找请求、存储后直接转发、修改后转发，计算密钥、解密、计算哈希值、加密、转发中的一项或者多项处理，之后发送给所述快速转发模块；所述PSK查找模块收到所述IKE模块发送的PSK查找请求后，根据特征数据内容，查找该IKE协商所需的PSK值，如果查找成功，就返回PSK值；如果查找失败，则返回失败消息，同时将该数据包的特征信息添加到所述流量过滤模块中的白名单；所述特征信息是指目的IP；所述ESP解密模块对所述流量过滤模块发来的ESP数据包进一步识别，分析对该ESP数据包解密和加密所需的密钥材料，将解密该ESP数据包后得到的内容发送给所述内容审计模块，再重新加密，并将重新加密之后的结果发送给所述快速转发模块；所述快速转发模块在接收到所述流量过滤模块、所述IKE模块、所述ESP解密模块的数据包后，根据相关特征信息进行转发；所述内容审计模块对从所述ESP解密模块接收到的明文内容进行审计，如果发现异常，即向工作人员发出警报。