本發明公開了一種支持IPSec VPN數據監控的方法，步驟包括：VPN內用戶數據通過網關發送數據，當網關的信息監控服務使能有效時，信息監控服務器優先對用戶數據報文進行深度解析；網關將深度解析結果按照信息組裝格式封裝InforData；根據網關從信息監控服務器獲取到的加密算法和公鑰對InforData加密重新生成InforData；構造InforHDR并填寫InforHDR標識字段和InforData長度字段到InforHDR；網關根據IPSec業務對用戶數據報文的IPSec加密和封裝；用戶數據報文經過IPSec業務流程加密和封裝后，在ESP HDR之上順序封裝構造好的InforData和InforHDR；然后封裝一個UDPHDR；按照IPSec原有的業務流程加封外層IP HDR或Outter IP HDR。本發明實現IPSecESP協議加密后的報文在互聯網傳輸過程中，對VPN內用戶進行數據監控，本發明的方法具有廣泛的實用價值和應用前景。

技術領域

本發明涉及計算機網絡中的數據傳輸領域，尤其涉及一種支持IPSec VPN數據監控的方法。

背景技術

IPSecVPN指采用IPSec協議來實現遠程接入的一種VPN技術。IPSec全稱為Internet Protocol Security，是由Internet Engineering Task Force(IETF)定義的安全標準框架，是一系列為IP網絡提供安全性的協議和服務的集合。如附圖1所示，在公網上為兩個私有網絡提供安全通信通道,通過加密通道保證連接的安全——在兩個網關間提供私密數據封包服務。

其中，IPSec的ESP協議(Encapsulated Security Payload，封裝安全載荷)主要提供加密、數據源驗證、數據完整性驗證和防報文重放功能。IPSec加密和解密的兩端稱為對等體，只有對等體之間知道對方密鑰。IPSec ESP協議有傳輸模式和隧道模式兩種方式：傳輸模式(Transport mode)對原IP數據包載荷和ESP報尾進行加密，如附圖2中A部分所示，其中HDR是Header的縮寫，表示頭部；隧道模式(Tunnel mode)對原IP數據包的IP頭、載荷和ESP報尾一起進行加密，如附圖2中B部分所示。

另外，NAT技術通過將IP報文頭中的IP地址轉換為另一個IP地址提供了內部網絡保護的功能，并且一定程度上緩解了IPv4地址短缺的問題。IPSec和NAT協同工作，可以實現特定通信方之間在IP網絡上的安全傳輸，因此成為越來越多企業或機構部署網絡的主流選擇。IPSec VPN用戶普遍使用NAT-T(NAT Traversal，NAT穿越)來達到使ESP包通過NAT的目的。在IPSec NAT穿越場景中，ESP HDR到ESP Auth數據之間的數據構成新的IP報文載荷，該載荷是不可以被修改的，否則對端就無法通過解密來還原數據；而NAT不可避免地要對IP地址進行修改，所以涉及跨越NAT設備場景時，現有方案一般選擇在IPSec報文的IP頭后增加一個UDP頭來保護ESP報文不被修改。IPSec穿越NAT的報文結構如附圖3所示。

使用IPSec ESP協議來傳輸數據，通過對用戶數據加密，有效保證了數據的機密性和安全性，防止數據在傳輸過程中被竊聽。即使數據在傳輸過程中被截獲，在不知道數據密鑰的情況下，暴力破解將面臨巨大的數據分析和嘗試時間。耗費很大的破解成本也只能得到失去了實時價值的數據。這種效果正是數據安全工作所期望的。

但是在大數據時代的今天，有效信息源于對海量數據的實時分析與挖掘。互聯網各個節點上的數據內容，都可能存在數據采集的需求。而IPSec ESP加密協議加密后的報文在互聯網傳輸的過程中，其數據內容是數據解析服務器或專用解析設備無法輕易獲取到的，即使通過暴力破解得到，也要耗費巨大的計算資源和時間，這是現今大數據分析和信息安全監控亟需解決的難題。

發明內容

發明目的：本發明目的是對IPSecESP協議加密后的報文在互聯網傳輸的過程中，提供一種支持IPSecVPN場景下數據監控的方法，實現信息監控服務器對數據進行讀取、解密及解析，得到用戶數據的深度解析結果。