CN107645513A - 一种IPsec内容审计装置及方法 - Google Patents
一种IPsec内容审计装置及方法 Download PDFInfo
- Publication number
- CN107645513A CN107645513A CN201710997702.5A CN201710997702A CN107645513A CN 107645513 A CN107645513 A CN 107645513A CN 201710997702 A CN201710997702 A CN 201710997702A CN 107645513 A CN107645513 A CN 107645513A
- Authority
- CN
- China
- Prior art keywords
- packet
- psk
- ike
- content
- modules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种IPsec内容审计装置及方法,包括:(1)获取IPsec VPN客户端与服务器端之间的流量;(2)根据数据包中的特征参数进行流量识别和过滤;(3)查找到该连接对应的PSK值,如果查找成功,则返回PSK值,进入步骤(4);否则,将数据包的特征信息添加到白名单;(4)建立IKE协商;(5)根据IKE协商时计算的密钥,对该连接对应的ESP数据包进行解密,并重新加密后发送给服务器端或客户端;(6)对解密后的结果进行审计。本发明支持使用IPsec VPN应用的移动设备、PC设备流量的实时监管和控制。
Description
技术领域
本发明涉及一种IPsec内容审计装置及方法,属于多协议工业通信安全技术领域。
背景技术
随着互联网技术的普及,以及用户对于信息传输的安全性和保密性需求的增加,使得VPN技术被越来越多的用户所使用。
VPN主要用来在不安全的网络环境中建立独立的安全隧道来进行数据传输与通信,而IPSec则是对在隧道之中传输的信息进行加密和解密,保证信息的安全性和完整性。IPsec是一个开放的IP层安全框架协议,是由互联网工程任务组(IETF)制定的,为三层隧道协议。IPsec协议对数据的保护,是通过安全联盟(Security Association,SA)来实现的。IPsec SA由安全参数索引(SPI)、目的IP地址以及安全协议等三个参数来进行唯一标识。SA中定义了通信双方在通信过程中某些策略的约定,例如,使用的加密算法、hash算法、协议、协议的模式、认证方式、密钥的生存周期等。在IKE协商中,发起方发送多个可选SA,由响应方确定最终使用的SA,然后通信双方使用协商好的策略进行后续的IKE协商和加解密,保持SA的一致性是通信双方正常使用该IPsec隧道进行数据传输的基本保证。相对于其他的安全协议,IPsec具有诸多优势,所以成为应用越来越广泛的重要协议之一。
然而,VPN技术对于信息传输的保护,也对网络服务单位和网络使用单位对网络安全保护的实施,以及对网络传输内容的审计造成了一定的困难。
目前,现有技术中并没有针对IPv4环境下的IPsec内容审计的装置或方法,并且现有的IPsec内容审计方案无法实现在不影响ipsec隧道双方正常通信的情况下进行审计。
发明内容
针对现有技术的不足,本发明提供了一种IPsec内容审计装置;
本发明还提供了一种IPsec内容审计方法;
本发明能够对使用IPsec协议的用户与服务器之间的流量进行解密,以便对IPsec协议用户的网络流量进行审计。本发明适用于IPsec协议的审计装置在不影响用户体验的同时,为网络服务单位和网络使用单位审计工作提供方法和途径。
术语解释:
1、ISAKMP(Internet Security Association Key Management Protocol,Internet安全联盟密钥管理协议)由RFC2408定义,定义了协商、建立、修改和删除SA的过程和包格式。ISAKMP只是为SA的属性和协商、修改、删除SA的方法提供了一个通用的框架,并没有定义具体的SA格式。
2、ESP,封装安全载荷协议(Encapsulating SecurityPayloads),是一种Ipsec协议,用于对IP协议在传输过程中进行数据完整性度量、来源认证、加密以及防回放攻击。可以单独使用,也可以和AH一起使用。在ESP头部之前的IPV4、IPV6或者拓展头部,应该在Protocol(IPV4)或者Next Header(IPV6、拓展头部)部分中包含50,表示引入了ESP协议;
3、Key Exchange,密钥交换;
4、Nonce,是Number once的缩写,在密码学中Nonce是一个只被使用一次的任意或非重复的随机数值。
本发明的技术方案为:
一种IPsec内容审计装置,包括流量过滤模块、IKE模块、PSK查找模块、ESP解密模块、快速转发模块以及内容审计模块;
所述流量过滤模块用于对IPsec VPN客户端与服务器端之间的流量进行实时监控;即:从所述快速转发模块中获取流量包,识别流量包中的特征参数和四元组信息,流量包即数据包,所述特征参数包括数据包的responder SPI、数据包模式exchange type、数据包特定位置的负载类型;该数据包的responder SPI是否为全0,如果是全0,则一定为第一个数据报;数据包的模式exchange type,如main mode,quick mode;数据包特定位置的负载类型,如SPI的next payload为SA,HASH等等;所述四元组信息包括源IP、目的IP、端口Port、数据包的长度;源IP或者目的IP可以作为一个区分数据报的参数,端口Port可以作为区分IKE协商两个阶段的重要信息;而在以上条件都相同时,数据报的长度也可以成为识别数据报的重要依据;判定数据包是否为目标流量,如果是目标流量,则将数据包发送至所述IKE模块或所述ESP解密模块;如果不是目标流量,则将数据包发送给所述快速转发模块;
所述IKE模块对所述流量过滤模块发来的ISAKMP数据包进一步识别,分析该ISAKMP数据包所在的IKE协商的具体阶段和功能,并分别进行发送PSK查找请求、存储后直接转发、修改后转发,计算密钥、解密、计算哈希值、加密、转发中的一项或者多项处理,之后发送给所述快速转发模块;以保证在不影响客户端与服务器端正常传输数据的同时,进行IKE协商;
所述PSK查找模块收到所述IKE模块发送的PSK查找请求后,根据特征数据内容,查找该IKE协商所需的PSK值,如果查找成功,就返回PSK值;如果查找失败,则返回失败消息,同时将该数据包的特征信息添加到所述流量过滤模块中的白名单;所述特征信息是指目的IP;
所述ESP解密模块对所述流量过滤模块发来的ESP数据包进一步识别,分析对该ESP数据包解密和加密所需的密钥材料,将解密该ESP数据包后得到的内容发送给所述内容审计模块,再重新加密,并将重新加密之后的结果发送给所述快速转发模块;ESP数据包中,除了SPI和Sequence以外,其他所有内容都是加密的,所以在接收到ESP数据包后,根据SPI来判断解密和加密时应该使用的密钥。
所述快速转发模块在接收到所述流量过滤模块、所述IKE模块、所述ESP解密模块的数据包后,根据相关特征信息进行转发;
所述内容审计模块对从所述ESP解密模块接收到的明文内容进行审计,如果发现异常,即向工作人员发出警报。
上述审计装置对IPsec VPN客户端与服务器之间的流量进行实时解密、加密和转发,并将解密后的流量内容发送至审计模块,实现对IPsec流量内容的审计。
根据本发明优选的,判定是否为目标流量,如果是目标流量,则将数据包发送至所述IKE模块或所述ESP解密模块;包括:如果识别到数据包为IKE协商阶段的数据报时,即ISAKMP数据包,则将该数据包发送给所述IKE模块,如果识别到数据包为ESP数据包时,则将该数据包发送给所述IKE模块。
根据本发明优选的,根据特征数据内容,查找该IKE协商所需的PSK值,包括:
所述IKE模块通过爬虫引擎或者线下破解方式,收集服务器IP与PSK值的映射关系,生成PSK数据库,PSK数据库包括服务器IP以及与其对应的PSK值;所述IKE模块根据服务器IP查找PSK数据库,查找该服务器IP对应的PSK值,所述服务器IP即所述特征数据内容。
当IKE模块收到IKE协商的第一个数据包时,将目标服务器IP地址作为PSK请求的特征信息发送给PSK查找模块,如果查找成功,则返回PSK值;如果失败,则返回失败消息,同时将该数据包的特征信息添加到流量过滤模块的白名单,之后对具有该特征信息的数据包直接转发,不做处理。对于查找PSK成功的连接,IKE模块对数据包进行进一步识别,分析该数据包所在的IKE协商的具体阶段,并分别进行不同的处理:
一种IPsec内容审计方法,包括步骤如下:
(1)获取IPsec VPN客户端与服务器端之间的流量包;
(2)根据步骤(1)获取的数据包中的特征参数进行流量识别和过滤;
(3)根据服务器IP查找到目标流量对应连接对应的PSK值,如果查找成功,则返回该PSK值,进入步骤(4);否则,将所述数据包的特征信息添加到白名单,之后不再处理具有相同服务器IP的数据包;所述特征信息及目的IP;
(4)建立IKE协商;
(5)根据IKE协商时计算的密钥,对目标流量对应连接对应的ESP数据包进行解密,进入步骤(6);并重新加密后发送给服务器端或客户端;
(6)对步骤(5)解密后的结果进行审计。
根据本发明优选的,所述步骤(2)之后,执行以下步骤:对所述数据包进一步识别,分析所述数据包所在的IKE协商的具体阶段和功能,并分别进行发送PSK查找请求、存储、计算数据、哈希、加解密、生成密钥处理。
根据本发明优选的,对所述数据包进一步识别,分析所述数据包所在的IKE协商的具体阶段和功能,包括:
对于IKE协商第一阶段的第1个数据包P1、第2个数据包P2,将连接双向的cookie和安全联盟SA进行记录和保存,将连接服务器端的IP进行识别和提取,发送PSK查找请求,获取PSK值;
对于IKE协商第一阶段的第3个数据包P3,将连接发起方的Key Exchange值KE1、nonce值N1进行记录和保存,生成新的Key Exchange值KE2,并覆盖Key Exchange值KE1;
对于IKE协商第一阶段的第4个数据包P4,将连接响应方的Key Exchange值KE3、nonce值N2进行记录和保存,生成新的Key Exchange值KE4,并覆盖Key Exchange值KE3;同时,根据已有的数据(PSK、KE、nonce、SPI)生成DH共享密钥、以及加解密密钥;
对于IKE协商第一阶段的第5个数据包P5、第6个数据包P6,以及第二阶段的3个数据包P7、P8、P9,将收到的数据包进行解密,再计算和更新hash值。
此处设计的优势在于,在IKE协商和ESP解密两个过程中,为了不影响客户端和服务器之间消息的正常通信,对不同的数据包采取更新部分数值、计算hash以及加密等操作。
本发明的有益效果为:
1、本发明支持使用IPsec VPN应用的移动设备、PC设备流量的实时监管和控制;并可将其用于移动、PC设备任何时间、任何地点IPsec协议的连接和加密传输,应用前景十分广泛;
2、本发明支持识别流经网络设备的IPsec流量传输;
3、本发明查找利用IPsec VPN来保护存在相关审计特征的报文中提取变量内容;
4、本发明支持网络使用单位防止他人利用IPsec VPN进行泄密;
5、本发明帮助网络服务和使用单位及时发现利用IPsec VPN进行的违法行为。
6、相对于现有技术,本申请中的技术方案可以通过DPDK等快速转发技术以及分析审计过程中对IKE协商过程中全部数据包的处理过程,真正实现在审计的同时,ipsec隧道双方可以长时间进行正常通信,从而可以极大地增加安全审计的稳定性和真正达到审计的目的。
附图说明
图1为IPsec内容审计装置模块框图;
图2为IPsec内容审计方法流程框图;
图3为IPsec IKEv1协商过程示意图;
图4为对IPsec VPN保护的流量内容审计流程图。
具体实施方式
下面结合说明书附图和实施例对本发明作进一步限定,但不限于此。
实施例1
一种IPsec内容审计装置,如图1所示,包括流量过滤模块、IKE模块、PSK查找模块、ESP解密模块、快速转发模块以及内容审计模块;
流量过滤模块用于对IPsec VPN客户端与服务器端之间的流量进行实时监控;即:从快速转发模块中获取流量包,识别流量包中的特征参数和四元组信息,流量包即数据包,特征参数包括数据包的responder SPI、数据包模式exchange type、数据包特定位置的负载类型;该数据包的responder SPI是否为全0,如果是全0,则一定为第一个数据报;数据包的模式exchange type,如main mode,quick mode;数据包特定位置的负载类型,如SPI的next payload为SA,HASH等等;四元组信息包括源IP、目的IP、端口Port、数据包的长度;源IP或者目的IP可以作为一个区分数据报的参数,端口Port可以作为区分IKE协商两个阶段的重要信息;而在以上条件都相同时,数据报的长度也可以成为识别数据报的重要依据;如下所示:
判定数据包是否为目标流量,如果是目标流量,则将数据包发送至IKE模块或ESP解密模块;如果不是目标流量,则将数据包发送给快速转发模块;目标流量,分为两部分,一部分是IKE协商的流量,其典型特征是ISAKMP数据包,对于使用PSK且第一阶段为主模式的IKE协商,在识别到是IKE协商阶段的数据报时,将该数据报发送给IKE模块进行下一步处理;另一部分为协商完成,建立连接后的ESP数据包,其主要是通过端口以及在IKE协商中得到的ESP SPI值以及序列号进行识别,识别到ESP数据报时,则发送给ESP解密模块进行处理,如下所示:
IKE模块对流量过滤模块发来的ISAKMP数据包进一步识别,分析该ISAKMP数据包所在的IKE协商的具体阶段和功能,并分别进行发送PSK查找请求、存储后直接转发、修改后转发,计算密钥、解密、计算哈希值、加密、转发中的一项或者多项处理,之后发送给快速转发模块;以保证在不影响客户端与服务器端正常传输数据的同时,进行IKE协商;
PSK查找模块收到所述IKE模块发送的PSK查找请求后,根据特征数据内容,查找该IKE协商所需的PSK值,如果查找成功,就返回PSK值;如果查找失败,则返回失败消息,同时将该数据包的特征信息添加到流量过滤模块中的白名单;特征信息是指目的IP;
ESP解密模块对流量过滤模块发来的ESP数据包进一步识别,分析对该ESP数据包解密和加密所需的密钥材料,将解密该ESP数据包后得到的内容发送给内容审计模块,再重新加密,并将重新加密之后的结果发送给快速转发模块;ESP数据包中,除了SPI和Sequence以外,其他所有内容都是加密的,所以在接收到ESP数据包后,根据SPI来判断解密和加密时应该使用的密钥。
快速转发模块在接收到流量过滤模块、IKE模块、ESP解密模块的数据包后,根据相关特征信息进行转发;
内容审计模块对从ESP解密模块接收到的明文内容进行审计,如果发现异常,即向工作人员发出警报。
上述审计装置对IPsec VPN客户端与服务器之间的流量进行实时解密、加密和转发,并将解密后的流量内容发送至审计模块,实现对IPsec流量内容的审计。
判定是否为目标流量,如果是目标流量,则将数据包发送至所述IKE模块或所述ESP解密模块;包括:如果识别到数据包为IKE协商阶段的数据报时,即ISAKMP数据包,则将该数据包发送给所述IKE模块,如果识别到数据包为ESP数据包时,则将该数据包发送给所述IKE模块。
根据特征数据内容,查找该IKE协商所需的PSK值,包括:IKE模块通过爬虫引擎或者线下破解方式,收集服务器IP与PSK值的映射关系,生成PSK数据库,PSK数据库包括服务器IP以及与其对应的PSK值;IKE模块根据服务器IP查找PSK数据库,查找该服务器IP对应的PSK值,服务器IP即所述特征数据内容。
当IKE模块收到IKE协商的第一个数据包时,将目标服务器IP地址作为PSK请求的特征信息发送给PSK查找模块,如果查找成功,则返回PSK值;如果失败,则返回失败消息,同时将该数据包的特征信息添加到流量过滤模块的白名单,之后对具有该特征信息的数据包直接转发,不做处理。对于查找PSK成功的连接,IKE模块对数据包进行进一步识别,分析该数据包所在的IKE协商的具体阶段,并分别进行不同的处理:
实施例2
一种IPsec内容审计方法,如图2所示,包括步骤如下:
(1)获取IPsec VPN客户端与服务器端之间的流量包;
(2)根据步骤(1)获取的数据包中的特征参数进行流量识别和过滤;对数据包进一步识别,分析数据包所在的IKE协商的具体阶段和功能,并分别进行发送PSK查找请求、存储、计算数据、哈希、加解密、生成密钥处理。包括:
对于IKE协商第一阶段的第1个数据包P1、第2个数据包P2,将连接双向的cookie和安全联盟SA进行记录和保存,将连接服务器端的IP进行识别和提取,发送PSK查找请求,获取PSK值;
对于IKE协商第一阶段的第3个数据包P3,将连接发起方的Key Exchange值KE1、nonce值N1进行记录和保存,生成新的Key Exchange值KE2,并覆盖Key Exchange值KE1;
对于IKE协商第一阶段的第4个数据包P4,将连接响应方的Key Exchange值KE3、nonce值N2进行记录和保存,生成新的Key Exchange值KE4,并覆盖Key Exchange值KE3;同时,根据已有的数据(PSK、KE、nonce、SPI)生成DH共享密钥、hash值、以及加解密密钥;
对于IKE协商第一阶段的第5个数据包P5、第6个数据包P6,以及第二阶段的3个数据包P7、P8、P9,将收到的数据包进行解密,再计算和更新hash值。
此处设计的优势在于,在IKE协商和ESP解密两个过程中,为了不影响客户端和服务器之间消息的正常通信,对不同的数据包采取更新部分数值、计算hash以及加密等操作。
(3)根据服务器IP查找到目标流量对应连接对应的PSK值,如果查找成功,则返回该PSK值,进入步骤(4);否则,将数据包的特征信息添加到白名单,之后不再处理具有相同服务器IP的数据包;特征信息即目的IP;图3为IPsec IKEv1协商过程示意图,根据IPsecIKEv1的协商过程,在本发明的IKE协商策略中,由于协商时身份认证所需的PSK与VPN服务器的IP有着密切的对应关系。因此,PSK查找模块通过爬虫引擎或者线下破解等方式,收集“服务器ip--PSK”的映射关系,生成PSK数据库。当IKE模块收到IKE协商的第一个数据包时,将目标服务器ip地址作为PSK请求的特征信息发送给PSK查找模块,如果查找成功,则返回PSK值;如果失败,则返回失败消息,同时将该数据包的特征信息添加到流量过滤模块的白名单,之后对具有该特征信息的数据包直接转发,不做处理。
(4)建立IKE协商;
(5)根据IKE协商时计算的密钥,对目标流量对应连接对应的ESP数据包进行解密,进入步骤(6);并重新加密后发送给服务器端或客户端;
(6)对步骤(5)解密后的结果进行审计。在IKE协商和ESP解密两个过程中,为了不影响客户端和服务器之间消息的正常通信,还要针对不同的数据包采取更新部分数值、计算hash以及加密等操作。
实施例3
一种IPsec内容审计方法,具体为对IPsec VPN保护的流量内容审计的方法,如图4所示,包括:
数据流经过DPDK转发,经过过滤后发现该数据包为IPsec VPN保护的ESP数据包,并将该ESP数据包进行ESP解密,解密成明文后,将流量内容进行审计;同时为了不影响用户的上网需求,保证客户端与服务器端信息的正常传输,ESP解密后还要将明文经过加密和hash计算等处理,经过DPDK转发发送至对端。
本发明提出的IPsec流量内容审计装置可以将IPsec VPN保护的数据流量解密成明文,写入虚拟网卡或其他网络流量审计工具,为网络服务单位和网络使用单位对网络传输内容的保护和审计提供了可能。
Claims (6)
1.一种IPsec内容审计装置,其特征在于,包括流量过滤模块、IKE模块、PSK查找模块、ESP解密模块、快速转发模块以及内容审计模块;
所述流量过滤模块用于对IPsec VPN客户端与服务器端之间的流量进行实时监控;即:从所述快速转发模块中获取流量包,识别流量包中的特征参数和四元组信息,流量包即数据包,所述特征参数包括数据包的responder SPI、数据包模式exchange type、数据包特定位置的负载类型;所述四元组信息包括源IP、目的IP、端口Port、数据包的长度;判定数据包是否为目标流量,如果是目标流量,则将数据包发送至所述IKE模块或所述ESP解密模块;如果不是目标流量,则将数据包发送给所述快速转发模块;
所述IKE模块对所述流量过滤模块发来的ISAKMP数据包进一步识别,分析该ISAKMP数据包所在的IKE协商的具体阶段和功能,并分别进行发送PSK查找请求、存储后直接转发、修改后转发,计算密钥、解密、计算哈希值、加密、转发中的一项或者多项处理,之后发送给所述快速转发模块;
所述PSK查找模块收到所述IKE模块发送的PSK查找请求后,根据特征数据内容,查找该IKE协商所需的PSK值,如果查找成功,就返回PSK值;如果查找失败,则返回失败消息,同时将该数据包的特征信息添加到所述流量过滤模块中的白名单;所述特征信息是指目的IP;
所述ESP解密模块对所述流量过滤模块发来的ESP数据包进一步识别,分析对该ESP数据包解密和加密所需的密钥材料,将解密该ESP数据包后得到的内容发送给所述内容审计模块,再重新加密,并将重新加密之后的结果发送给所述快速转发模块;
所述快速转发模块在接收到所述流量过滤模块、所述IKE模块、所述ESP解密模块的数据包后,根据相关特征信息进行转发;
所述内容审计模块对从所述ESP解密模块接收到的明文内容进行审计,如果发现异常,即向工作人员发出警报。
2.根据权利要求1所述的一种IPsec内容审计装置,其特征在于,判定是否为目标流量,如果是目标流量,则将数据包发送至所述IKE模块或所述ESP解密模块;包括:如果识别到数据包为IKE协商阶段的数据报时,即ISAKMP数据包,则将该数据包发送给所述IKE模块,如果识别到数据包为ESP数据包时,则将该数据包发送给所述IKE模块。
3.根据权利要求1所述的一种IPsec内容审计装置,其特征在于,根据特征数据内容,查找该IKE协商所需的PSK值,包括:
所述IKE模块通过爬虫引擎或者线下破解方式,收集服务器IP与PSK值的映射关系,生成PSK数据库,PSK数据库包括服务器IP以及与其对应的PSK值;所述IKE模块根据服务器IP查找PSK数据库,查找该服务器IP对应的PSK值,所述服务器IP即所述特征数据内容。
4.一种IPsec内容审计方法,其特征在于,包括步骤如下:
(1)获取IPsec VPN客户端与服务器端之间的流量包;
(2)根据步骤(1)获取的数据包中的特征参数进行流量识别和过滤;
(3)根据服务器IP查找到目标流量对应连接对应的PSK值,如果查找成功,则返回该PSK值,进入步骤(4);否则,将所述数据包的特征信息添加到白名单,之后不再处理具有相同服务器IP的数据包;所述特征信息及目的IP;
(4)建立IKE协商;
(5)根据IKE协商时计算的密钥,对目标流量对应连接对应的ESP数据包进行解密,进入步骤(6);并重新加密后发送给服务器端或客户端;
(6)对步骤(5)解密后的结果进行审计。
5.根据权利要求4所述的一种IPsec内容审计方法,其特征在于,所述步骤(2)之后,执行以下步骤:对所述数据包进一步识别,分析所述数据包所在的IKE协商的具体阶段和功能,并分别进行发送PSK查找请求、存储、计算数据、哈希、加解密、生成密钥处理。
6.根据权利要求5所述的一种IPsec内容审计方法,其特征在于,对所述数据包进一步识别,分析所述数据包所在的IKE协商的具体阶段和功能,包括:
对于IKE协商第一阶段的第1个数据包P1、第2个数据包P2,将连接双向的cookie和安全联盟SA进行记录和保存,将连接服务器端的IP进行识别和提取,发送PSK查找请求,获取PSK值;
对于IKE协商第一阶段的第3个数据包P3,将连接发起方的Key Exchange值KE1、nonce值N1进行记录和保存,生成新的Key Exchange值KE2,并覆盖Key Exchange值KE1;
对于IKE协商第一阶段的第4个数据包P4,将连接响应方的Key Exchange值KE3、nonce值N2进行记录和保存,生成新的Key Exchange值KE4,并覆盖Key Exchange值KE3;同时,根据已有的数据生成DH共享密钥、hash值、以及加解密密钥;
对于IKE协商第一阶段的第5个数据包P5、第6个数据包P6,以及第二阶段的3个数据包P7、P8、P9,将收到的数据包进行解密,再计算和更新hash值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710997702.5A CN107645513A (zh) | 2017-10-24 | 2017-10-24 | 一种IPsec内容审计装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710997702.5A CN107645513A (zh) | 2017-10-24 | 2017-10-24 | 一种IPsec内容审计装置及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107645513A true CN107645513A (zh) | 2018-01-30 |
Family
ID=61124083
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710997702.5A Pending CN107645513A (zh) | 2017-10-24 | 2017-10-24 | 一种IPsec内容审计装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107645513A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108965037A (zh) * | 2018-09-29 | 2018-12-07 | 北京中金安服科技有限公司 | 安全测试数据的获取和审计分析方法及装置 |
CN111385168A (zh) * | 2020-03-03 | 2020-07-07 | 北京字节跳动网络技术有限公司 | 流量监测方法、装置、系统、存储介质及电子设备 |
CN112035851A (zh) * | 2020-07-22 | 2020-12-04 | 北京中安星云软件技术有限公司 | 一种基于ssl的mysql数据库审计方法 |
CN113691608A (zh) * | 2021-08-20 | 2021-11-23 | 京东科技信息技术有限公司 | 流量分发的方法、装置、电子设备及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040088537A1 (en) * | 2002-10-31 | 2004-05-06 | Microsoft Corporation | Method and apparatus for traversing a translation device with a security protocol |
CN102347870A (zh) * | 2010-07-29 | 2012-02-08 | 中国电信股份有限公司 | 一种流量安全检测方法、设备和系统 |
CN104125151A (zh) * | 2014-08-06 | 2014-10-29 | 汉柏科技有限公司 | 一种IPSec报文转发的方法及系统 |
CN107181716A (zh) * | 2016-03-10 | 2017-09-19 | 上海传真通信设备技术研究所有限公司 | 一种基于国家商用密码算法的网络安全通信系统及方法 |
-
2017
- 2017-10-24 CN CN201710997702.5A patent/CN107645513A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040088537A1 (en) * | 2002-10-31 | 2004-05-06 | Microsoft Corporation | Method and apparatus for traversing a translation device with a security protocol |
CN102347870A (zh) * | 2010-07-29 | 2012-02-08 | 中国电信股份有限公司 | 一种流量安全检测方法、设备和系统 |
CN104125151A (zh) * | 2014-08-06 | 2014-10-29 | 汉柏科技有限公司 | 一种IPSec报文转发的方法及系统 |
CN107181716A (zh) * | 2016-03-10 | 2017-09-19 | 上海传真通信设备技术研究所有限公司 | 一种基于国家商用密码算法的网络安全通信系统及方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108965037A (zh) * | 2018-09-29 | 2018-12-07 | 北京中金安服科技有限公司 | 安全测试数据的获取和审计分析方法及装置 |
CN111385168A (zh) * | 2020-03-03 | 2020-07-07 | 北京字节跳动网络技术有限公司 | 流量监测方法、装置、系统、存储介质及电子设备 |
CN112035851A (zh) * | 2020-07-22 | 2020-12-04 | 北京中安星云软件技术有限公司 | 一种基于ssl的mysql数据库审计方法 |
CN113691608A (zh) * | 2021-08-20 | 2021-11-23 | 京东科技信息技术有限公司 | 流量分发的方法、装置、电子设备及介质 |
CN113691608B (zh) * | 2021-08-20 | 2024-02-06 | 京东科技信息技术有限公司 | 流量分发的方法、装置、电子设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102882789B (zh) | 一种数据报文处理方法、系统及设备 | |
US8601152B1 (en) | In-band security protocol decryptor and scanner | |
Bella et al. | Kerberos version IV: Inductive analysis of the secrecy goals | |
US8327129B2 (en) | Method, apparatus and system for internet key exchange negotiation | |
CN102347870B (zh) | 一种流量安全检测方法、设备和系统 | |
CN107645513A (zh) | 一种IPsec内容审计装置及方法 | |
CN102045210B (zh) | 一种支持合法监听的端到端会话密钥协商方法和系统 | |
US20130198509A1 (en) | System and method for innovative management of transport layer security session tickets in a network environment | |
CN105763557A (zh) | 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统 | |
CN102420770B (zh) | Ike报文协商方法及设备 | |
CN103441983A (zh) | 基于链路层发现协议的信息保护方法和装置 | |
CN110099072A (zh) | 一种针对于工业物联网数据传输的安全防护方法 | |
WO2015131609A1 (zh) | 一种实现L2TP over IPsec接入的方法 | |
CN101808089A (zh) | 基于非对称加密算法同态性的秘密数据传输保护方法 | |
CN103227742B (zh) | 一种IPSec隧道快速处理报文的方法 | |
CN102970228A (zh) | 一种基于IPsec的报文传输方法和设备 | |
CN101861712A (zh) | 基于移动因特网协议的服务器的安全方法 | |
CN101521667A (zh) | 一种安全的数据通信方法及装置 | |
CN113489586A (zh) | 一种兼容量子密钥协商的vpn网络系统 | |
Noh et al. | Secure key exchange scheme for WPA/WPA2-PSK using public key cryptography | |
CN115459912A (zh) | 一种基于量子密钥集中管理的通信加密方法及系统 | |
CN111726346A (zh) | 数据安全传输方法、装置及系统 | |
CN102469067B (zh) | 一种基于前置网关的http隐藏按钮保护方法 | |
Cho et al. | Secure open fronthaul interface for 5G networks | |
Liu et al. | Rogue access point based dos attacks against 802.11 wlans |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180130 |