[发明专利]一种IPSec传输的异常检测方法、装置及可读存储介质

说明书

本发明提供一种IPSec传输的异常检测方法、装置及可读存储介质，包括，获取IPSec对端节点发送的数据封装包，对所述数据封装包进行解封，并删除所述网络访问层；根据解封后的数据封装包，检测所述网络层传输的IPSec中AH报文或/和ESP报文是否存在丢包，若存在丢包，则判定网络运营商对IPSec中AH报文或/和ESP报文设置了限制，若不存在丢包，则检测是否存在网络地址转换策略干扰IPSec保护数据流；当检测到存在网络地址转换策略干扰IPSec保护数据流时，判定IPSec传输异常；当未检测到存在网络地址转换策略干扰IPSec保护数据流时，判定IPSec传输正常。本发明避免对IPSec保护的数据流进行网络地址转换；实现对IPSec传输异常的检测和修复，提高了用户体验。

技术领域

本发明涉及IPSec异常检测技术领域，特别是涉及一种IPSec传输的异常检测方法、装置及可读存储介质。

背景技术

IPSec(Internet Protocol Security)互联网安全协议，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议，其目的是为互联网协议IPv4和IPv6提供具有较强的互操作能力、高质量以及基于密码的安全，包括加密、认证和数据防篡改功能，确保用户数据可以通过安全的IPSec隧道实现端到端的安全、保密传输。

现如今IPSec已经成为架构虚拟专用网络(Virtual Private Network，VPN)的基础，具备良好的安全性；由于IPSec是IP层上的协议，因此很容易在全世界范围内形成一种规范，具有非常好的通用性；IPSec不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议认证头(Authentication Header，AH)、封装安全有效载荷(Encapsulating Security Payload，ESP)协议、密钥管理协议(Internet KeyExchange，IKE)和用于网络认证及加密的一些算法等。但是，现有的VPN系统在使用IPSec隧道建立成功之后往往会出现传输异常，尽而导致用户无法获知传输异常的原因并进行修复。

发明内容

本发明的目的在于，提出一种PSec传输的异常检测方法、装置及可读存储介质，解决现有方法用户无法即使确定IPSec传输异常的技术问题。

一方面，提供一种IPSec传输的异常检测方法，应用于TCP/IP通信网络进行传输异常检测，所述TCP/IP通信网络至少包括网络访问层、网络层，包括：

获取IPSec对端节点发送的数据封装包，对所述数据封装包进行解封，并删除所述网络访问层；

根据解封后的数据封装包，检测所述网络层传输的IPSec中AH报文或/和ESP报文是否存在丢包，若存在丢包，则判定网络运营商对IPSec中AH报文或/和ESP报文设置了限制，若不存在丢包，则检测是否存在网络地址转换策略干扰IPSec保护数据流；

当检测到存在网络地址转换策略干扰IPSec保护数据流时，判定IPSec传输异常；当未检测到存在网络地址转换策略干扰IPSec保护数据流时，判定IPSec传输正常。

优选地，所述检测是否存在网络地址转换策略干扰IPSec保护数据流具体包括：

查看是否已启用预设的IPSec策略的接口，并查看所述IPSec策略的接口是否已配置预设的网络地址转换策略；

若已启用所述IPSec策略的接口且已配置所述网络地址转换策略，则将所述网络地址转换策略中访问控制列表阻止的IP地址设置为所述IPSec策略引用的访问控制列表中的IP地址，并将所述IPSec策略引用的访问控制列表规则设置为所述网络地址转换策略转换的IP地址；并判定未检测到存在网络地址转换策略干扰IPSec保护数据流；

若未启用所述IPSec策略的接口或未配置所述网络地址转换策略，则判定检测到存在网络地址转换策略干扰IPSec保护数据流。