[发明专利]基于流量分析的加密网络路径质量分析方法

说明书

本发明公开了一种基于流量分析的加密网络路径质量分析方法，包括：A、选取加密网络通信过程中的任意中间节点为测量点，采集网络流量；B、对测量点接收到的加密的数据包进行分析，得到IP头部的源地址、目的地址、IPsec头部的SPI，上述三元组确定一个会话。C、分析同一会话的所有数据包，根据数据包IPsec协议头部中的序列号信息，统计出丢包数，最终算出整条链路的丢包率指标。该方法通过分析IPsec加密的数据包，能获得IPsec加密通信路径的质量信息。

技术领域

本发明涉及网络路径质量分析方法技术领域，更确切地说是在加密网络流量情况下基于流量分析的加密网络路径质量分析方法。

背景技术

目前，国内的网络覆盖面不断扩大，同时网络的平均速度也不断地提升。对于用户来说，意味着网络的业务质量好。在大多数情况下，网络确实变好了，但这并不等于用户的上网体验变佳，因为有可能遇到网络阻塞，导致用户间接性的网络性能异常。要快速地检测出因网络线路、拥塞等因素造成故障，经过多年的研究，目前可以通过以下的测量技术来实现：

（1）主动测量。通过对探测数据包所受网络影响而发生特性变化的分析，得到网络状态和性能等参数。例如发送ICMP类型数据包，可以获得网络往返时延、丢包率与连通性等参数。如果向网络发送数据包并不断提高发送速率直到网络饱和，可测量网络的最大负载能力。主动测量可以按测量者的意图进行，测量过程的可控性比较高，操作灵活，机动。

（2）采用流量分析的手段，在端到端网络路径的中间节点采集并分析流量。例如：公开号为CN102868576A，公开日为2013年1月9日公开的中国专利文献公开了一种宽带网用户接入链路下行丢包率测量方法，包括：A、选取服务器端与客户端的任意中间节点为测量点；B、对测量点接收到的服务器端发给客户端的TCP报文进行分析，统计TCP报文首部信息，根据TCP报文携带的序列号和有效载荷长度信息，预测出测量点下一个即将接收到的TCP报文序号；C、待下一TCP报文到来时，将到来的TCP报文序号与预测出的TCP报文序号相比较，判断出是否丢包以及丢包发生的链路是服务器方还是客户端接入链路，再最终得出用户的下行丢包率指标和时延等性能指标的依据。该方法能在局端任意中间节点采集用户与互联网之间的通信流量，通过对流量的分析计算用户接入链路的下行丢包率指标，为宽带网的运营、质量保障、故障诊断提供支撑手段。

然而，随着Internet的飞速发展，互联网安全问题也使许多网络安全协议流行起来，IPsec协议就是其中之一。IPsec是IETF（Internet Engineering Task Force，Internet工程任务组）的IPsec小组建立的一组IP安全协议集。IPsec定义了在网络层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。

上述两种针对公众网络的网络路径质量分析方法对于加密网络而言，都不再适用。原因如下：（1）加密网络中的流量是经过加密处理的。IPsec是工作在OSI模型的第三层的网络安全协议，按协议要求对IP数据包的负载部分或整个数据包加密。因此，无法通过分析IP数据包中的TCP协议首部和载荷来得到网络路径质量；（2）在加密网络中，为了提高安全性，网络中的主机往往禁止各种主动测量数据包，如ping命令产生的ICMP。

因此，对加密网络的端到端路径质量探测，目前尚未有好的解决办法。

发明内容

本发明旨在针对上述现有技术所存在的缺陷和不足，提供一种基于流量分析的加密网络路径质量分析方法，该方法能够通过对IPsec加密的数据包头部的分析，实现对网络端到端路径丢包率的计算，进而得出加密网络的路径质量。

本发明是通过采用下述技术方案实现的：

一种基于流量分析的加密网络路径质量分析方法，其特征在于步骤如下：

A、在加密网络通信过程中的任意中间节点采集网络流量；