[发明专利]一种支持IPSec VPN数据监控的方法

说明书

本发明公开了一种支持IPSec VPN数据监控的方法，步骤包括：VPN内用户数据通过网关发送数据，当网关的信息监控服务使能有效时，信息监控服务器优先对用户数据报文进行深度解析；网关将深度解析结果按照信息组装格式封装InforData；根据网关从信息监控服务器获取到的加密算法和公钥对InforData加密重新生成InforData；构造InforHDR并填写InforHDR标识字段和InforData长度字段到InforHDR；网关根据IPSec业务对用户数据报文的IPSec加密和封装；用户数据报文经过IPSec业务流程加密和封装后，在ESP HDR之上顺序封装构造好的InforData和InforHDR；然后封装一个UDPHDR；按照IPSec原有的业务流程加封外层IP HDR或Outter IP HDR。本发明实现IPSecESP协议加密后的报文在互联网传输过程中，对VPN内用户进行数据监控，本发明的方法具有广泛的实用价值和应用前景。

技术领域

本发明涉及计算机网络中的数据传输领域，尤其涉及一种支持IPSec VPN数据监控的方法。

背景技术

IPSecVPN指采用IPSec协议来实现远程接入的一种VPN技术。IPSec全称为Internet Protocol Security，是由Internet Engineering Task Force(IETF)定义的安全标准框架，是一系列为IP网络提供安全性的协议和服务的集合。如附图1所示，在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个网关间提供私密数据封包服务。

其中，IPSec的ESP协议(Encapsulated Security Payload，封装安全载荷)主要提供加密、数据源验证、数据完整性验证和防报文重放功能。IPSec加密和解密的两端称为对等体，只有对等体之间知道对方密钥。IPSec ESP协议有传输模式和隧道模式两种方式：传输模式(Transport mode)对原IP数据包载荷和ESP报尾进行加密，如附图2中A部分所示，其中HDR是Header的缩写，表示头部；隧道模式(Tunnel mode)对原IP数据包的IP头、载荷和ESP报尾一起进行加密，如附图2中B部分所示。

另外，NAT技术通过将IP报文头中的IP地址转换为另一个IP地址提供了内部网络保护的功能，并且一定程度上缓解了IPv4地址短缺的问题。IPSec和NAT协同工作，可以实现特定通信方之间在IP网络上的安全传输，因此成为越来越多企业或机构部署网络的主流选择。IPSec VPN用户普遍使用NAT-T(NAT Traversal，NAT穿越)来达到使ESP包通过NAT的目的。在IPSec NAT穿越场景中，ESP HDR到ESP Auth数据之间的数据构成新的IP报文载荷，该载荷是不可以被修改的，否则对端就无法通过解密来还原数据；而NAT不可避免地要对IP地址进行修改，所以涉及跨越NAT设备场景时，现有方案一般选择在IPSec报文的IP头后增加一个UDP头来保护ESP报文不被修改。IPSec穿越NAT的报文结构如附图3所示。

使用IPSec ESP协议来传输数据，通过对用户数据加密，有效保证了数据的机密性和安全性，防止数据在传输过程中被窃听。即使数据在传输过程中被截获，在不知道数据密钥的情况下，暴力破解将面临巨大的数据分析和尝试时间。耗费很大的破解成本也只能得到失去了实时价值的数据。这种效果正是数据安全工作所期望的。

但是在大数据时代的今天，有效信息源于对海量数据的实时分析与挖掘。互联网各个节点上的数据内容，都可能存在数据采集的需求。而IPSec ESP加密协议加密后的报文在互联网传输的过程中，其数据内容是数据解析服务器或专用解析设备无法轻易获取到的，即使通过暴力破解得到，也要耗费巨大的计算资源和时间，这是现今大数据分析和信息安全监控亟需解决的难题。

发明内容

发明目的：本发明目的是对IPSecESP协议加密后的报文在互联网传输的过程中，提供一种支持IPSecVPN场景下数据监控的方法，实现信息监控服务器对数据进行读取、解密及解析，得到用户数据的深度解析结果。