(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111533890.9 (22)申请日 2021.12.15 (71)申请人 广西电网有限责任公司电力科 学研 究院 地址 530023 广西壮 族自治区南宁市民主 路6-2号 (72)发明人 宾冬梅　杨春燕　余通　凌颖　 黎新　韩松明　 (74)专利代理 机构 广州市专 注鱼专利代理有限 公司 44456 专利代理师 刘玉珠 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) H04L 9/08(2006.01) (54)发明名称 一种审查 IPSec VPN传输内容的方法及系统 (57)摘要 本发明公开了一种审查IPSec  VPN传输内容 的方法及系统， 其中方法包括获取数据包； 识别 所述数据包是否为IPSec  VPN数据包； 对所述 IPSec VPN数据包进行解析， 若解析通过则提取 IPSec VPN数据包， 并对所述IPSec  VPN数据包的 内容进行安全检测； 若解析不通过则分析所述 IPSec VPN数据包的SA上下文信息特征， 并提取 SA协商响应报文， 从所述SA协商响应报文中提取 关键字段进行安全检测； 若安全检测通过则放行 所述IPSec  VPN数据包。 本发明能够更好的对VPN 的使用进行监督， 以及防止伪造的VPN报文的攻 击， 提升了监管的效率和网络安全性。 权利要求书1页 说明书4页 附图1页 CN 114826640 A 2022.07.29 CN 114826640 A 1.一种审查 IPSec VPN传输内容的方法， 其特 征在于， 包括以下步骤： 步骤S101、 获取 数据包； 步骤S102、 识别所述数据包是否为 IPSec VPN数据包， 若是则执 行下一步； 步骤S103、 对所述IPS ec VPN数据包进行解析， 若解析通过则提取IPS ec VPN数据包， 并 对所述IPSec  VPN数据包的内容进行安全检测； 若解析不通过则分析所述IPSec  VPN数据包 的SA上下文信息特征， 并提取SA协商响应报文， 从所述SA协商响应报文中提取关键字段进 行安全检测； 步骤S104、 若安全检测通过则放行 所述IPSec VPN数据包。 2.根据权利要求1所述的审查IPSec  VPN传输内容的方法， 其特征在于， 所述对所述 IPSec VPN数据包进行解析具体指依照标准的IPSec  VPN数据包格式对所述IPSec  VPN数据 包进行解析。 3.根据权利要求1所述的审查IPSec  VPN传输内容的方法， 其特征在于， 所述分析所述 IPSec VPN数据包的SA上下文信息特征， 并提取SA协商响应报文 中， 若分析所述IPSec  VPN 数据包的SA上下文信息特征无法提取出SA协商响应报文， 则判定所述IPSec  VPN数据包不 合法、 阻止所述 IPSec VPN数据包通过。 4.根据权利要求1至3任一项所述的审查IPSec  VPN传输内容的方法， 其特征在于， 所述 对所述IPSec VPN数据包的内容进行安全检测具体包括： 识别IPSec VPN数据包是否为AH 封装或ES P封装； 若所述IPSec  VPN数据包为AH封装， 则对所述IPSec  VPN数据包进行解封后进行安全检 测； 若所述IPSec  VPN数据包为ESP封装， 则对所述IPSecVPN数据包进行解封后， 利用在隧 道建立阶段与客户端协商的密钥对IPSecVPN数据包中的数据进 行解密， 对解密得到的内容 数据内容进行安全检测。 5.根据权利要求1所述的审查IPSec  VPN传输内容的方法， 其特征在于， 所述SA上下文 信息特征包括SA 协商请求报文在前和SA 协商响应报文在后。 6.根据权利要求1所述的审查IPSec  VPN传输内容的方法， 其特征在于， 所述获取数据 包指从终端电脑的端口获取 数据包。 7.根据权利要求6所述的审查IPSec  VPN传输内容的方法， 其特征在于， 所述数据包包 括运营商的接入设备接受终端电脑发送的数据包。 8.一种审查 IPSec VPN传输内容的系统， 其特 征在于， 包括： 获取单元， 用于获取 数据包； 识别单元， 用于识别所述数据包是否为 IPSec VPN数据包； 解析单元， 用于对所述 IPSec VPN数据包进行解析； 审查单元， 用于放行/阻止所述 IPSec VPN数据包。权　利　要　求　书 1/1 页 2 CN 114826640 A 2一种审查IPSec  VPN传输内容的方 法及系统 技术领域 [0001]本发明涉及网络监管技术领域， 具体涉及一种审查IPSec  VPN传输内容 的方法及 系统。 背景技术 [0002]VPN具有双面性， 一方面可以提高数据传输的安全性， 另一方面也可能造成信息传 输方式出现安全漏洞。 因此对IPSec  VPN传输内容的审查， 是对信息传输安全性监管不可或 缺的一部分。 但是 目前的无法提供有效的审查IPSec  VPN 传输内容的方法， 导致网络监管 不到位， 监管效率低的问题。 发明内容 [0003]本发明的目的在于提供一种审查IPSec  VPN传输内容 的方法及系统， 可以解决现 有技术中因审查 IPSec VPN传输内容的困难， 导 致网络监管不到位的问题。 [0004]本发明的目的是通过以下技 术方案实现的： [0005]本发明提供一种审查 IPSec VPN传输内容的方法， 包括以下步骤： [0006]步骤S101、 获取 数据包； [0007]步骤S102、 识别所述数据包是否为 IPSec VPN数据包， 若是则执 行下一步； [0008]步骤S103、 对所述IPSec  VPN数据包进 行解析， 若解析通过则提取IPSec  VPN 数据 包， 并对所述IPSec  VPN数据包的内容进行安全检测； 若解析不通过则分析所述IPSec  VPN 数据包的SA上下文信息特征， 并提取SA协商响应报文， 从所述SA协商响应报文中提取关键 字段进行安全检测； [0009]步骤S104、 若安全检测通过则放行 所述IPSec VPN数据包。 [0010]进一步的， 所述对所述IPSec  VPN数据包进行解析具体指依照标准的IPSec VPN数 据包格式对所述 IPSec VPN数据包进行解析。 [0011]进一步的， 所述分析所述IPSec  VPN数据包的SA上下文信息特征， 并提取  SA协商 响应报文中， 若分析所述IPSec  VPN数据包的SA上下文信息特征无法提取出SA协商响应报 文， 则判定所述 IPSec VPN数据包不 合法、 阻止所述 IPSec VPN 数据包通过。 [0012]进一步的， 所述对所述 IPSec VPN数据包的内容进行安全检测具体包括： [0013]识别IPSec VPN数据包是否为AH 封装或ES P封装； [0014]若所述IPSec  VPN数据包为AH封装， 则对所述IPSec  VPN数据包进行解封后进行安 全检测； [0015]若所述IPSec  VPN数据包为ESP封装， 则对所述IPSecVPN数据包进行解封后， 利用 在隧道建立阶段与客户端协商的密钥对IPSecVPN数据包中的数据进行解密， 对解密得到的 内容数据内容进行安全检测。 [0016]进一步的， 所述SA 上下文信息特征包括SA协商请求报文在前和SA协商响应报文在 后。说　明　书 1/4 页 3 CN 114826640 A 3