一种支持IPSec VPN数据监控的方法

摘要

本发明公开了一种支持IPSec VPN数据监控的方法，步骤包括：VPN内用户数据通过网关发送数据，当网关的信息监控服务使能有效时，信息监控服务器优先对用户数据报文进行深度解析；网关将深度解析结果按照信息组装格式封装InforData；根据网关从信息监控服务器获取到的加密算法和公钥对InforData加密重新生成InforData；构造InforHDR并填写InforHDR标识字段和InforData长度字段到InforHDR；网关根据IPSec业务对用户数据报文的IPSec加密和封装；用户数据报文经过IPSec业务流程加密和封装后，在ESP HDR之上顺序封装构造好的InforData和InforHDR；然后封装一个UDPHDR；按照IPSec原有的业务流程加封外层IP HDR或Outter IP HDR。本发明实现IPSecESP协议加密后的报文在互联网传输过程中，对VPN内用户进行数据监控，本发明的方法具有广泛的实用价值和应用前景。

说明书

技术领域

本发明涉及计算机网络中的数据传输领域，尤其涉及一种支持IPSec VPN数据监控的方法。

背景技术

IPSecVPN指采用IPSec协议来实现远程接入的一种VPN技术。IPSec全称为Internet Protocol Security，是由Internet Engineering Task Force(IETF)定义的安全标准框架，是一系列为IP网络提供安全性的协议和服务的集合。如附图1所示，在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个网关间提供私密数据封包服务。

其中，IPSec的ESP协议(Encapsulated Security Payload，封装安全载荷)主要提供加密、数据源验证、数据完整性验证和防报文重放功能。IPSec加密和解密的两端称为对等体，只有对等体之间知道对方密钥。IPSec ESP协议有传输模式和隧道模式两种方式：传输模式(Transport mode)对原IP数据包载荷和ESP报尾进行加密，如附图2中A部分所示，其中HDR是Header的缩写，表示头部；隧道模式(Tunnel mode)对原IP数据包的IP头、载荷和ESP报尾一起进行加密，如附图2中B部分所示。

另外，NAT技术通过将IP报文头中的IP地址转换为另一个IP地址提供了内部网络保护的功能，并且一定程度上缓解了IPv4地址短缺的问题。IPSec和NAT协同工作，可以实现特定通信方之间在IP网络上的安全传输，因此成为越来越多企业或机构部署网络的主流选择。IPSec VPN用户普遍使用NAT-T(NAT Traversal，NAT穿越)来达到使ESP包通过NAT的目的。在IPSec NAT穿越场景中，ESP HDR到ESP Auth数据之间的数据构成新的IP报文载荷，该载荷是不可以被修改的，否则对端就无法通过解密来还原数据；而NAT不可避免地要对IP地址进行修改，所以涉及跨越NAT设备场景时，现有方案一般选择在IPSec报文的IP头后增加一个UDP头来保护ESP报文不被修改。IPSec穿越NAT的报文结构如附图3所示。

使用IPSec ESP协议来传输数据，通过对用户数据加密，有效保证了数据的机密性和安全性，防止数据在传输过程中被窃听。即使数据在传输过程中被截获，在不知道数据密钥的情况下，暴力破解将面临巨大的数据分析和尝试时间。耗费很大的破解成本也只能得到失去了实时价值的数据。这种效果正是数据安全工作所期望的。

但是在大数据时代的今天，有效信息源于对海量数据的实时分析与挖掘。互联网各个节点上的数据内容，都可能存在数据采集的需求。而IPSec ESP加密协议加密后的报文在互联网传输的过程中，其数据内容是数据解析服务器或专用解析设备无法轻易获取到的，即使通过暴力破解得到，也要耗费巨大的计算资源和时间，这是现今大数据分析和信息安全监控亟需解决的难题。

发明内容

发明目的：本发明目的是对IPSecESP协议加密后的报文在互联网传输的过程中，提供一种支持IPSecVPN场景下数据监控的方法，实现信息监控服务器对数据进行读取、解密及解析，得到用户数据的深度解析结果。

技术方案：一种支持IPSec VPN数据监控的方法，包括如下步骤：

步骤1.1：VPN内用户数据通过网关发送数据，当网关的信息监控服务使能有效时，信息监控服务器优先对用户数据报文进行深度解析；

步骤1.2：网关将深度解析结果按照信息组装格式封装InforData；

步骤1.3：根据网关从信息监控服务器获取到的加密算法和公钥对InforData进行加密，重新生成InforData；

步骤1.4：填写InforHDR标识字段和InforData数据长度字段到InforHDR；

步骤1.5：网关根据IPSec业务对用户数据报文的IPSec加密和封装；

步骤1.6：用户数据报文经过IPSec业务流程加密和封装后，在ESP HDR之上顺序封装步骤1.3和步骤1.4构造好的InforData和InforHDR；然后封装一个UDP HDR；

步骤1.7：按照IPSec原有的业务流程加封外层IPHDR或OutterIPHDR。

进一步地，步骤1还包括：在公网信息监控服务器上配置信息监控管理服务，并启动特定端口监听请求，特定端口需要全网统一。

进一步地，步骤1还包括在网关上配置信息监控业务使能和信息监控服务器IP地址及端口配置。

进一步地，步骤1.4中标识字段不少于2个字节。

进一步地，步骤1.6中UDP HDR设有特殊的目的端口号用于标识其后携带的InforHDR，目的端口号与信息监控服务器监听端口相对应。

进一步地，信息监控服务器从IPSec穿越报文中获取监控信息的步骤包括：

步骤2.1：携带InforHDR和InforData的数据报文在信息采集时被信息监控服务器接收；

步骤2.2：信息安全服务器通过UDP HDR目的端口号识别出数据报文中包含的InforHDR，并根据InforHDR中携带的标识字段确认数据报文的合法性；

步骤2.3：判断出数据报文合法之后，信息监控服务器根据UDP HDR长度、InforHDR长度，定位到InforData在数据报文中的开始位置；根据InforHDR中保存的InforData数据长度字段定位到InforData数据在数据报文中的结束位置，完成数据读取、解密及解析，得到用户数据的深度解析结果。

进一步地，IPSecVPN用户接入网关收到对端对等体发送的IPSec穿越报文后，通过UDPHDR目的端口号识别出UDPHDR携带的InforHDR；对InforHDR的标识字段进行校验并确认其格式的正确性；网关定位到InforData结束位置，从数据报文中摘除UDPHDR、InforHDR和InforData，恢复成IPSec加密报文；网关对IPSec报文进行解密，还原出对端用户的数据报文，转发给VPN内用户。

有益效果：本发明具有以下优点：在公网信息监控服务器上配置信息监控管理服务，并启动特定的端口监听请求，同时在网关上配置“信息监控业务使能”和“信息监控服务器IP地址及端口”等，当VPN内用户数据通过网关发送数据时，对用户数据进行深度解析并将解析结果封装在数据报文内，经过封装InforHDR和UDP的报文天然支持NAT穿越，完成IPSecVPN场景下数据的监控。

附图说明

图1为IPSecVPN应用场景；

图2中A部分为IPSec传输模式下的报文转化与封装、B部分为隧道模式下的报文转化与封装；

图3为IPSec NAT穿越场景报文封装；

图4为本发明的信息监控服务器监控IPSec VPN的应用场景；

图5为本发明的传输模式下和隧道模式下IPSec加密后的报文；

图6为本发明的网关监控信息获取和封装处理流程图；

图7为本发明的传输模式下和隧道模式下IPSec加密后的报文增加InforHDR和UDP封装；

图8为本发明的信息监控服务器从IPSec穿越报文中获取监控信息流程图；

图9为本发明的对端对等体收到携带监控信息的IPSec穿越报文的处理流程图。

具体实施方式

下面结合附图对本发明的技术方案作进一步说明。

如图4所示，在公网信息监控服务器上配置“信息监控管理服务”，并启动特定的端口监听请求，该端口需要全网统一。

在网关上配置“信息监控业务使能”和“信息监控服务器IP地址及端口”等配置。一旦配置完成，网关主动与信息监控服务器建立连接，并进行会话协商。协商内容包括欲提取信息的类别、信息组装格式、InforHDR格式、信息加密的公钥、公钥更新时间等。一旦会话协商完成，网关上“信息监控业务使能”才会生效。

VPN内用户数据通过网关发送数据时，处理流程如图6所示，一旦发现网关“信息监控服务使能”有效，会优先对用户数据报文进行深度解析，并将深度解析出来的信息根据信息监控服务器规定的格式组装成一个InforData，并根据网关从信息监控服务器获取到的加密算法和公钥对InforData进行加密，重新生成InforData。然后为InforData构造一个描述符，用于封装InforData并记录InforData数据长度，该描述符格式和长度固定，除了记录InforData数据长度之外，还需要具备一个标识字段，优选不少于2字节，用于识别该描述符，该描述符这里称为InforHeader，简称InforHDR。

网关根据IPSec业务处理完成对用户数据报文的IPSec加密和封装，如图5所示。

用户数据报文经过IPSec业务流程加密和封装后，在ESP HDR之上顺序封装之前构造好的InforData和InforHDR，然后再封装一个UDP HDR。该UDP HDR需要通过特殊的目的端口号来标识其后携带的InforHDR，同时可以保证在穿越NAT时，不会造成其后的数据被修改。这里的UDP目的端口号与信息监控服务器监听端口是相对应的。

按照IPSec原有的业务流程加封外层IPHDR或OutterIPHDR，封装后的数据格式如图7所示。

封装了InforHDR和UDP的报文天然支持了NAT穿越。该类数据报文在公网传输时是可以作为普通UDP报文进行处理的。

信息监控服务器从IPSec穿越报文中获取监控信息的流程如图8所示。携带InforHDR和InforData的数据报文在信息采集时一旦被信息监控服务器接收，信息安全服务器通过UDP目的端口号可以识别出该数据报文中包含InforHDR，并根据InforHDR中携带的标识字段进一步确认其合法性。判断出数据合法性之后，信息监控服务器根据数据包中UDP HDR部长度、InforHDR长度，定位到InforData在报文中的开始位置，然后再根据InforHDR中保存的InforData数据长度字段即可定位到InforData数据在报文数据中的结束位置，进而完成数据读取、解密及解析，得到了用户数据的深度解析结果。从而在用户数据加密的情况下得到了数据解析结果，完成了信息监控。

IPSec对等体，也即IPSecVPN用户，接入网关收到对端对等体发送的IPSec穿越报文后，如图9所示，通过UDP端口号识别出UDP HDR携带的InforHDR，然后通过InforHDR的标识字段进行校验，确定其格式正确性。网关获取Infor中保存的InforData字段长度，然后根据长度字段和InforHDR字段，把UDPHDR、InforHDR和InforData从报文中摘除，恢复成一个如图3所示IPSec加密报文。网关对IPSec报文进行解密还原出对端用户的数据报文，转发给VPN内用户。