申请/专利权人：广西电网有限责任公司电力科学研究院

申请日：2021-12-15

公开（公告）日：2024-02-23

公开（公告）号：CN114465755B

主分类号：H04L9/40

分类号：H04L9/40;H04L12/46;H04L61/2592

优先权：

专利状态码：有效-授权

法律状态：2024.02.23#授权;2022.05.27#实质审查的生效;2022.05.10#公开

摘要：本发明一种基于IPSec传输异常的检测方法、装置及存储介质，其中方法包括获取对端IPSec节点发送的数据封装包，对其进行解封并删除网络访问层；检测网络层IPSec中的AH报文和ESP报文是否至少一项丢包，若否查看是否已启用IPSec策略的接口和IPSec接口是否已配置NAT策略，若已启动IPSec策略的接口和IPSec接口已配置所述NAT策略；将NAT策略引用的ACL所拒绝的IP地址设为IPSec引用的ACL中的IP地址和将IPSec引用的ACL匹配为经过NAT策略转换后的IP地址。本发明避免对IPSec保护的数据流进行NAT转换，实现对IPSec传输异常的检测和修复，提高了用户体验。

主权项：1.一种基于IPSec传输异常的检测方法，其特征在于，包括以下步骤：步骤S1、获取对端IPSec节点发送的数据封装包，对其进行解封并删除网络访问层；步骤S2、检测网络层IPSec中的AH报文和ESP报文是否至少一项丢包，若是则判定运营商对IPSec报文进行了限制，若否，则执行以下步骤：检测IPSec策略是否正确应用到IPSec隧道接口上；检测ACL保护的数据流是否包含真实的业务网段，若否则检测IPSec节点两端的ACL是否配置正确，所述检测IPSec节点两端的ACL是否配置正确的条件包括若所述IPSec节点两端之间设有NAT设备，则检测所述NAT设备是否开启NAT穿越，若否则开启所述NAT穿越；检测IPSec的认证算法是否为SHA-2加密算法，若是则检测获取的加密报文是否被丢弃，加密报文未被丢弃且IPSec连接认证失败，则将IPSec节点两端的加密算法设为一致；步骤S3、查看是否已启用IPSec策略的接口和IPSec接口是否已配置NAT策略，若已启动所述IPSec策略的接口和IPSec接口已配置所述NAT策略，则进入下一步；步骤S4、将所述NAT策略引用的ACL所拒绝的IP地址设为所述IPSec引用的ACL中的IP地址和将所述IPSec引用的ACL匹配为经过NAT策略转换后的IP地址；所述开启所述NAT穿越之前，检测所述NAT穿越的安全协议是否为ESP协议，若否则修改为ESP协议。

全文数据：

权利要求：

百度查询： 广西电网有限责任公司电力科学研究院 基于IPSec传输异常的检测方法、装置及存储介质

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD