申请/专利权人：深圳供电局有限公司

申请日：2021-09-24

公开（公告）日：2024-01-05

公开（公告）号：CN113839946B

主分类号：H04L9/40

分类号：H04L9/40;H04L69/16

优先权：

专利状态码：有效-授权

法律状态：2024.01.05#授权;2022.01.11#实质审查的生效;2021.12.24#公开

摘要：本发明提供一种IPSec传输的异常检测方法、装置及可读存储介质，包括，获取IPSec对端节点发送的数据封装包，对所述数据封装包进行解封，并删除所述网络访问层；根据解封后的数据封装包，检测所述网络层传输的IPSec中AH报文或和ESP报文是否存在丢包，若存在丢包，则判定网络运营商对IPSec中AH报文或和ESP报文设置了限制，若不存在丢包，则检测是否存在网络地址转换策略干扰IPSec保护数据流；当检测到存在网络地址转换策略干扰IPSec保护数据流时，判定IPSec传输异常；当未检测到存在网络地址转换策略干扰IPSec保护数据流时，判定IPSec传输正常。本发明避免对IPSec保护的数据流进行网络地址转换；实现对IPSec传输异常的检测和修复，提高了用户体验。

主权项：1.一种IPSec传输的异常检测方法，应用于TCPIP通信网络进行传输异常检测，所述TCPIP通信网络至少包括网络访问层、网络层，其特征在于，包括：获取IPSec对端节点发送的数据封装包，对所述数据封装包进行解封，并删除所述网络访问层；根据解封后的数据封装包，检测所述网络层传输的IPSec中AH报文或和ESP报文是否存在丢包，若存在丢包，则判定网络运营商对IPSec中AH报文或和ESP报文设置了限制，若不存在丢包，则检测是否存在网络地址转换策略干扰IPSec保护数据流；当检测到存在网络地址转换策略干扰IPSec保护数据流时，判定IPSec传输异常；当未检测到存在网络地址转换策略干扰IPSec保护数据流时，判定IPSec传输正常；其中，所述检测是否存在网络地址转换策略干扰IPSec保护数据流具体包括：查看是否已启用预设的IPSec策略的接口，并查看所述IPSec策略的接口是否已配置预设的网络地址转换策略；若已启用所述IPSec策略的接口且已配置所述网络地址转换策略，则将所述网络地址转换策略中访问控制列表阻止的IP地址设置为所述IPSec策略引用的访问控制列表中的IP地址，并将所述IPSec策略引用的访问控制列表规则设置为所述网络地址转换策略转换的IP地址；并判定未检测到存在网络地址转换策略干扰IPSec保护数据流；若未启用所述IPSec策略的接口或未配置所述网络地址转换策略，则判定检测到存在网络地址转换策略干扰IPSec保护数据流；在查看是否已启用预设的IPSec策略的接口之前，检测所述网络层的访问控制列表是否包含预设的业务网段；当不包含预设的业务网段时，检测IPSec对端节点两端的访问控制列表是否配置正确，若IPSec对端节点两端的访问控制列表配置不正确，则对访问控制列表进行修正；在检测所述网络层的访问控制列表保护的数据流是否包含预设的业务网段之前，检测所述IPSec策略是否应用到预设的IPSec策略的接口上；若所述IPSec策略未应用到预设的IPSec策略的接口上，则修正所述IPSec策略应用到预设的IPSec策略的接口上；并，检测IPSec对端节点两端之间是否连接有网络地址转换设备，当连接有网络地址转换设备时，检测所述网络地址转换设备是否开启网络地址转换穿越，若所述网络地址转换设备未开启网络地址转换穿越，则开启所述网络地址转换穿越；当开启所述网络地址转换穿越时，检测所述网络地址转换穿越的安全协议是否为ESP协议，若所述网络地址转换穿越的安全协议不为ESP协议，则修改所述网络地址转换穿越的安全协议为ESP协议；以及，检测IPSec的认证算法是否为预设的加密算法，若为预设的加密算法，则检测获取的加密报文是否被丢弃；若所述加密报文未被丢弃且IPSec连接认证失败，则将IPSec节点两端的加密算法设置为预设的加密算法；若IPSec节点两端使用的认证算法均为预设的加密算法且IPSec节点两端数据传输流量不通，则启用预设的加密算法的兼容模式。

全文数据：

权利要求：

百度查询： 深圳供电局有限公司 一种IPSec传输的异常检测方法、装置及可读存储介质

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD