[发明专利]一种IPSec传输的异常检测方法、装置及可读存储介质

权利要求书

1.一种IPSec传输的异常检测方法，应用于TCP/IP通信网络进行传输异常检测，所述TCP/IP通信网络至少包括网络访问层、网络层，其特征在于，包括：

获取IPSec对端节点发送的数据封装包，对所述数据封装包进行解封，并删除所述网络访问层；

根据解封后的数据封装包，检测所述网络层传输的IPSec中AH报文或/和ESP报文是否存在丢包，若存在丢包，则判定网络运营商对IPSec中AH报文或/和ESP报文设置了限制，若不存在丢包，则检测是否存在网络地址转换策略干扰IPSec保护数据流；

当检测到存在网络地址转换策略干扰IPSec保护数据流时，判定IPSec传输异常；当未检测到存在网络地址转换策略干扰IPSec保护数据流时，判定IPSec传输正常。

2.如权利要求1所述的方法，其特征在于，所述检测是否存在网络地址转换策略干扰IPSec保护数据流具体包括：

查看是否已启用预设的IPSec策略的接口，并查看所述IPSec策略的接口是否已配置预设的网络地址转换策略；

若已启用所述IPSec策略的接口且已配置所述网络地址转换策略，则将所述网络地址转换策略中访问控制列表阻止的IP地址设置为所述IPSec策略引用的访问控制列表中的IP地址，并将所述IPSec策略引用的访问控制列表规则设置为所述网络地址转换策略转换的IP地址；并判定未检测到存在网络地址转换策略干扰IPSec保护数据流；

若未启用所述IPSec策略的接口或未配置所述网络地址转换策略，则判定检测到存在网络地址转换策略干扰IPSec保护数据流。

3.如权利要求2所述的方法，其特征在于，所述检测是否存在网络地址转换策略干扰IPSec保护数据流具体还包括：

在查看是否已启用预设的IPSec策略的接口之前，检测所述网络层的访问控制列表是否包含预设的业务网段；

当不包含预设的业务网段时，检测IPSec对端节点两端的访问控制列表是否配置正确，若IPSec对端节点两端的访问控制列表配置不正确，则对访问控制列表进行修正。

4.如权利要求3所述的方法，其特征在于，所述检测是否存在网络地址转换策略干扰IPSec保护数据流具体还包括：

在检测所述网络层的访问控制列表保护的数据流是否包含预设的业务网段之前，检测所述IPSec策略是否应用到预设的IPSec策略的接口上；

若所述IPSec策略未应用到预设的IPSec策略的接口上，则修正所述IPSec策略应用到预设的IPSec策略的接口上。

5.如权利要求4所述的方法，其特征在于，所述检测是否存在网络地址转换策略干扰IPSec保护数据流具体还包括：

检测IPSec对端节点两端之间是否连接有网络地址转换设备，当连接有网络地址转换设备时，检测所述网络地址转换设备是否开启网络地址转换穿越，若所述网络地址转换设备未开启网络地址转换穿越，则开启所述网络地址转换穿越；

当开启所述网络地址转换穿越时，检测所述网络地址转换穿越的安全协议是否为ESP协议，若所述网络地址转换穿越的安全协议不为ESP协议，则修改所述网络地址转换穿越的安全协议为ESP协议。

6.如权利要求5所述的方法，其特征在于，所述检测是否存在网络地址转换策略干扰IPSec保护数据流具体还包括：

检测IPSec的认证算法是否为预设的加密算法，若为预设的加密算法，则检测获取的加密报文是否被丢弃；

若所述加密报文未被丢弃且IPSec连接认证失败，则将IPSec节点两端的加密算法设置为预设的加密算法；

若IPSec节点两端使用的认证算法均为预设的加密算法且IPSec节点两端数据传输流量不通，则启用预设的加密算法的兼容模式。

7.一种IPSec传输的异常检测装置，其特征在于，包括至少一个处理器，与所述处理器通信连接的存储器；

其中，所述存储器存储有可被所述处理器执行的指令，所述指令被所述处理器执行，以使所述处理器能够执行权利要求1至6中任一项所述的IPSec传输的异常检方法。

8.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的IPSec传输的异常检方法的步骤。