[发明专利]基于流量分析的加密网络路径质量分析方法

摘要

本发明公开了一种基于流量分析的加密网络路径质量分析方法，包括：A、选取加密网络通信过程中的任意中间节点为测量点，采集网络流量；B、对测量点接收到的加密的数据包进行分析，得到IP头部的源地址、目的地址、IPsec头部的SPI，上述三元组确定一个会话。C、分析同一会话的所有数据包，根据数据包IPsec协议头部中的序列号信息，统计出丢包数，最终算出整条链路的丢包率指标。该方法通过分析IPsec加密的数据包，能获得IPsec加密通信路径的质量信息。

主权项

1.一种基于流量分析的加密网络路径质量分析方法，其特征在于步骤如下：A、在加密网络通信过程中任意中间节点采集网络流量；B、以AH协议和ESP协议加密的数据包，对加密的数据包中的AH头部和ESP头部进行分析，并对会话进行跟踪；C、提取AH头部和ESP头部中的序列号，计算丢包率；所述步骤B具体是指：针对以AH协议和ESP协议加密的数据包，插入对应的AH协议和ESP协议的头部，头部中设有SPI字段用于标识一个端到端会话，采用源IP地址、目标IP地址、AH头部或ESP头部的SPI字段三要素作为识别数据包的分类依据，每一类为一个会话，用Si表示；所述步骤C具体是指：在以AH协议和ESP协议加密的数据包，对应协议头部设有一个序列号字段用于标识同一会话中的不同数据包，并且每发送一个加密的数据包，序列号加1；因此，对于一个端到端会话，只需要分析源端发送给目的端的所有数据包的序列号，就可以知道哪些序列号已经到达，哪些序列号已经丢失，已经丢失的序列号视为一次丢包；对于同一加密会话的每个加密的数据包，检查数据包的AH头部或ESP头部中的序列号字段，并与前一个收到的数据包的序列号相比较来判断是否出现丢包；所述“对于同一加密会话的每个加密的数据包，检查数据包的AH头部或ESP头部中的序列号字段，并与前一个收到的数据包的序列号相比较来判断是否出现丢包”的具体步骤是：1）对接收到的加密的数据包进行分析，按照步骤B的方式来确定该加密的数据包所属会话，并设该数据包的序列号为P；对于会话Si，设计多个计数器记录其状态：COUNTi表示所述会话Si所收到的数据包总数，MISSi表示所述会话Si的丢包数，MAXi作为所述会话Si中数据包中的最大序列号，如果收到的数据包不属于任何已存在的会话，则COUNTi=0，MISSi=0，MAXi=P；否则通过分析MAXi和P来确定MISSi 和COUNTi，分以下3种情况：（A）如果P=MAXi+1，则没有出现丢包，利用数据计算公式：COUNTi=COUNTi+1，MAXi=P；（B）如果P>MAXi+1，则表明出现了丢包或数据包失序，暂时都当作丢包处理：计算本次发现的丢包数,采用如下计算公式对各个计数器进行更新:COUNTi=COUNTi+P‑MAXi，MISSi=MISSi+P‑MAXi‑1，MAXi=P；（C）如果P，计算整条加密通信链路的丢包率为。