CN108322361B - 一种IPSec VPN隧道内业务流量统计方法及装置 - Google Patents

一种IPSec VPN隧道内业务流量统计方法及装置 Download PDF

Info

Publication number
CN108322361B
CN108322361B CN201810068744.5A CN201810068744A CN108322361B CN 108322361 B CN108322361 B CN 108322361B CN 201810068744 A CN201810068744 A CN 201810068744A CN 108322361 B CN108322361 B CN 108322361B
Authority
CN
China
Prior art keywords
service data
data message
strategy
preset
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810068744.5A
Other languages
English (en)
Other versions
CN108322361A (zh
Inventor
黄春平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201810068744.5A priority Critical patent/CN108322361B/zh
Publication of CN108322361A publication Critical patent/CN108322361A/zh
Application granted granted Critical
Publication of CN108322361B publication Critical patent/CN108322361B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种IPSec VPN隧道内业务流量统计方法,所述方法包括:当业务数据报文经过IPSec VPN隧道时,根据预设的SA策略中的参数对所述业务数据报文进行加解密处理,所述加解密处理包括加密处理或解密处理;将每次加密或解密处理的所述业务数据报文的字节数进行记录。

Description

一种IPSec VPN隧道内业务流量统计方法及装置
技术领域
本申请涉及通信技术领域,尤其涉及一种IPSec VPN隧道内业务流量统计方法及装置。
背景技术
随着企业信息化程度的提高,各地分公司、办事处与企业总部的信息交互,企业与客户之间的信息传递,基于IPSec协议的VPN技术被广泛应用。在IPSec VPN技术应用的过程中,需要对业务流量进行监控,需要实时的观察经过IPSec VPN隧道的流量大小,这就需要对经过IPSec VPN隧道的流量进行统计。特别的对于框式设备(由一个或两个主控板卡、多个业务办卡组成,主控板卡处理控制类请求,业务办卡处理业务数据请求,各个板卡之间是分离的)的多板分离,业务流量经过多个业务板卡时,更需要流量统计来体现当前的IPSecVPN隧道状态。
现有的IPSec VPN隧道内流量统计方法诸多,基本都是在需要获取流量统计信息时实时的从系统内核以及各个业务板卡中获取,当获取流量信息时在用户态下的进程下发请求到系统内核及各个业务板卡,系统内核及各个业务板卡搜集相关的流量信息上报给在用户态下的进程。这样虽然能做到流量统计信息的相对及时性,但是会明显增加设备系统的负荷,并且从多个业务板卡搜集的信息,也有可能存在回报信息出错导致流量统计不准确的问题。
发明内容
有鉴于此,本申请提供一种IPSec VPN隧道内业务流量统计方法及装置。
具体地,本申请是通过如下技术方案实现的:
一种IPSec VPN隧道内业务流量统计方法,所述方法包括:
当业务数据报文经过IPSec VPN隧道时,根据预设的SA策略中的参数对所述业务数据报文进行加解密处理,所述加解密处理包括加密处理或解密处理;
将每次加密或解密处理的所述业务数据报文的字节数进行记录。
一种IPSec VPN隧道内业务流量统计装置,所述装置包括:
加解密处理单元,用于当业务数据报文经过IPSec VPN隧道时,根据预设的SA策略中的参数对所述业务数据报文进行加解密处理,所述加解密处理包括加密处理或解密处理;
字节数记录单元,用于将每次加密或解密处理的所述业务数据报文的字节数进行记录。
本申请通过将每次加解密处理的所述业务数据报文的字节数进行记录,并周期性的读取所记录的每次加解密处理的业务数据报文的字节数追加记录到对应的流量信息统计模板,解决了获取IPSec VPN隧道内流量信息时突增设备系统负荷的问题,更加有效的保证了设备系统的稳定性,简单方便的实现了IPSec VPN隧道内流量的统计。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请一示例性实施例示出的一种应用场景示意图;
图2是本申请一示例性实施例示出的IPSec VPN隧道内业务流量统计方法的一种实施流程图;
图3是本申请一示例性实施例示出的IPSec VPN隧道内业务流量统计方法的一种优选实施流程图;
图4是本申请一示例性实施例示出的一种框式设备示意图;
图5是本申请一示例性实施例示出的IPSec VPN隧道内业务流量统计装置的一种结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先对本申请一种IPSec VPN隧道内业务流量统计方法进行说明,该方法可以包括以下步骤:
当业务数据报文经过IPSec VPN隧道时,根据预设的SA策略中的参数对所述业务数据报文进行加解密处理,所述加解密处理包括加密处理或解密处理;
将每次加密或解密处理的所述业务数据报文的字节数进行记录。
在背景技术中提到,在IPSec VPN技术应用的过程中,如图1所示的一示例性应用场景示意图,需要对业务流量进行监控,需要实时的观察经过IPSec VPN隧道的流量大小,因此需要对经过IPSec VPN隧道的流量进行统计。鉴于现有的IPSec VPN隧道内流量统计方法存在的问题,本申请在业务数据报文经过IPSec VPN隧道的情况下,根据预设的SA(Security Association,安全联盟)策略中的参数对业务数据报文进行加密处理或解密处理,将每次加密或解密处理的业务数据报文的字节数进行记录,至此所有经过IPSec VPN隧道的业务流量大小都记录下来。
具体的在IPSec VPN隧道内业务流量统计的过程中,对于盒式设备(控制类报文和业务数据报文都是在一个板卡上处理的)或框式设备,当业务流量经过IPSec VPN隧道时,对于接收到的需要解密的业务数据报文,根据报文中携带的SPI值在预设的SA策略链表中查找对应的预设SA策略,根据查找到的对应的预设SA策略中的解密信息对所述业务数据报文进行解密;或对于接收到的需要加密的业务数据报文,根据报文中携带的五元组信息在预设的SA策略链表中查找对应的预设SA策略,根据查找到的对应的预设SA策略中的加密信息对所述业务数据报文进行加密;将每次加密或加密处理的所述业务数据报文的字节数进行记录;特别对于框式设备,存在多个业务板卡,需要统计所有业务板卡经过的流量信息,将框式设备中所有业务板卡所记录的每次加密或解密处理的所述业务数据报文的字节数追加记录到主控板上;当所述网络设备为盒式设备时,按照预设的周期读取所记录的每次加密或解密处理的所述业务数据报文的字节数,记录到与盒式设备内核所对应的预先建立的流量信息统计模板;当所述网络设备为框式设备时,按照预设的周期读取主控板上所追加记录的每次加密或解密处理的所述业务数据报文的字节数,记录到与框式设备主控板内核所对应的预先建立的流量信息统计模板;在接收到用户态下的进程下发的流量信息统计请求时,根据所述请求中携带的IPSec VPN隧道信息匹配对应的流量信息统计模板,将匹配到的对应的流量信息统计模板中记录的每次加密或解密处理的所述业务数据报文的字节数返回给用户态下的进程,所述IPSec VPN隧道信息包括:IPSec VPN隧道连接名称、与本地建立隧道的对端设备IP地址以及感兴趣流。为了对本申请进一步说明,提供下列实施例:
如图2所示,为本申请IPSec VPN隧道内业务流量统计方法的一种实施流程图,其具体可以包括以下步骤:
S101,当业务数据报文经过IPSec VPN隧道时,根据预设的SA策略中的参数对所述业务数据报文进行加解密处理,所述加解密处理包括加密处理或解密处理;
在一实施例中,对于盒式设备或框式设备,IPSec两端(本端和对端)通过协商建立IPSec VPN隧道,将协商成功后所产生的IPSec隧道加解密等信息下发到系统内核,内核对于每一条IPSec VPN隧道建立出方向(加密处理)和入方向(解密处理)的两个SA策略,并建立与这两个SA策略相对应的流量信息统计模板,所述流量信息统计模板可以用来记录流量大小、流量速率等。
当业务数据报文经过盒式设备的板卡时,对于接收到的需要解密的业务数据报文,根据报文中携带的SPI值在本地预设的SA策略链表中查找对应的预设SA策略,即查找入方向的SA策略,根据查找到的对应的预设SA策略中的解密信息对所述业务数据报文进行解密;对于接收到的需要加密的数据报文,通过报文中携带的五元组信息(源IP地址、目的IP地址、协议、源端口、目的端口)查找对应的预设SA策略,即查找出方向的SA策略,根据查找到的对应的预设SA策略中的加密信息对所述业务数据报文进行加密。
当业务数据报文经过框式设备的多个业务板卡时,对于每个业务板卡经过的业务数据报文,接收到的需要解密的业务数据报文,根据报文中携带的SPI值在本地预设的SA策略链表中查找对应的预设SA策略,即查找入方向的SA策略,根据查找到的对应的预设SA策略中的解密信息对所述业务数据报文进行解密;接收到的需要加密的数据报文,通过报文中携带的五元组信息(源IP地址、目的IP地址、协议、源端口、目的端口)查找对应的预设SA策略,即查找出方向的SA策略,根据查找到的对应的预设SA策略中的加密信息对所述业务数据报文进行加密。
至此对于盒式设备或框式设备,当业务数据报文经过IPSec VPN隧道时,根据查找到的入方向的SA策略或出方向的SA策略进行解密处理或加密处理。
S102,将每次加密或解密处理的所述业务数据报文的字节数进行记录。
在一实施例中,对于接收到的需要解密的业务数据报文,根据查找到的入方向的SA策略中的解密信息对数据报文进行解密,解密成功后将业务数据报文字节数记录下来,作为一实施例,可以将报文字节数追加记录在入方向的SA策略中的packet_ca字段;对于接收到的需要加密的业务数据报文,根据查找到的出方向的SA策略中的加密信息对所述业务数据报文进行加密,加密成功后将业务数据报文字节数记录下来,作为一实施例,可以将报文字节数追加记录在出方向的SA策略中的packet_ca字段。至此,所有经过IPSec VPN隧道的业务流量大小都被记录下来,作为实施例都追加记录在相应的SA策略中的packet_ca字段。
对于盒式设备,相应的业务流量大小记录在板卡上,作为一实施例,记录在相应的SA策略中的packet_ca字段;对于框式设备,相应的业务流量大小记录在每个业务板卡上,作为一实施例,记录在每个业务板卡上相应的SA策略中的packet_ca字段。
如图3所示,为本申请提供的另一优选实施例,其具体可以增加如下步骤:
S103,当所述网络设备为框式设备时,对于框式设备中业务板卡所记录的每次加密或解密处理的所述业务数据报文的字节数,将其追加记录到框式设备的主控板上;
在一实施例中,当所述网络设备为框式设备时,如图4所示的框式设备示意图,包括1个主控板,3个业务板卡,对于每个业务板卡所记录的加密或解密处理的所述业务数据报文的字节数,将其追加记录到框式设备的主控板上,即对于业务板卡1、业务板卡2、业务板卡3上所记录的报文字节数,例如业务板卡1入方向的SA策略中的packet_ca字段记录的报文字节数,出方向的SA策略中的packet_ca字段记录的报文字节数,同理业务板卡2、业务板卡3上所记录的报文字节数,将其追加记录到框式设备的主控板上。作为一实施例,由于框式设备主控板和各业务板的SA策略相同,可以通过入方向SA策略中的SPI和出方向SA的索引值查找到主控板上的相对应的SA策略,其中出方向的SA侧路中的索引值是唯一的,且与入方向的SA策略中的SPI相关联,将每个业务板卡所记录的加密或解密处理的所述业务数据报文的字节数追加记录到相对应的SA策略中的packet_ca字段,即对于每个业务板卡的入方向的SA策略中packet_ca字段记录的字节数追加记录到主控板上入方向的SA策略中packet_ca字段,对于每个业务板卡出方向的SA策略中的packet_ca字段记录的字节数追加记录到主控板上出方向的SA策略中packet_ca字段。
至此对于框式设备,每个业务板卡所记录的每次加密或解密处理的所述业务数据报文的字节数,将其追加记录到框式设备的主控板上。对此可以设置周期,按照预设的周期每个业务板卡所记录的每次加密或解密处理的所述业务数据报文的字节数,将其追加记录到框式设备的主控板上,作为一实施例,每个业务板卡每5秒钟将SA策略中的字节数发送给主控板,主控板接收到以后将其追加记录到相应的SA策略中。
S104,按照预设的周期读取所记录的每次加密或解密处理的所述业务数据报文的字节数,记录到预先建立的流量信息统计模板;
在一实施例中,当所述网络设备为盒式设备时,按照预设的周期读取板卡所记录的每次加密或解密处理的所述业务数据报文的字节数,记录到与盒式设备内核所对应的预先建立的流量信息统计模板,例如主控板上出方向SA策略以及入方向SA侧路中记录的报文字节数,每5秒钟读取一次将其记录到流量信息统计模板;当所述网络设备为框式设备时,按照预设的周期读取主控板上所追加记录的每次加密或解密处理的所述业务数据报文的字节数,记录到与框式设备主控板内核所对应的预先建立的流量信息统计模板,例如每5秒钟将主控板的SA策略中记录的报文字节数追加记录到与框式设备主控板内核所对应的预先建立的流量信息统计模板。
S105,在接收到用户态下的进程下发的流量信息统计请求时,根据所述请求中携带的IPSec VPN隧道信息匹配对应的流量信息统计模板,将匹配到的对应的流量信息统计模板中记录的每次加密或解密处理的所述业务数据报文的字节数返回给用户态下的进程;
在一实施例中,在接收到用户态下的进程下发的流量信息统计请求时,根据所述请求中携带的IPSec VPN隧道信息,所述IPSec VPN隧道信息包括:IPSec VPN隧道连接名称、与本地建立隧道的对端设备IP地址以及感兴趣流,匹配对应的流量信息统计模板,将匹配到的对应的流量信息统计模板中记录的每次加密或解密处理的所述业务数据报文的字节数返回给用户态下的进程。对于框式设备,由于主控板上记录了所有经过业务板卡的IPSec流量信息,因此主控板内核对应的流量信息统计模板会将记录的每次加密或解密处理的所述业务数据报文的字节数返回给用户态下的进程。
通过本申请的技术方案,将每次加解密处理的业务数据报文的字节数进行记录,并周期性的读取所记录的每次加解密处理的业务数据报文的字节数追加记录到对应的流量信息统计模板,解决了获取IPSec VPN隧道内流量信息时突增设备系统负荷的问题,更加有效的保证了设备系统的稳定性,简单方便的实现了IPSec VPN隧道内流量的统计。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
与前述IPSec VPN隧道内流量统计方法的实施例相对应,本申请还提供了IPSecVPN隧道内流量统计装置的实施例,如图5所示,包括加解密处理单元200,字节数记录单元210。
所述加解密处理单元200,用于当业务数据报文经过IPSec VPN隧道时,根据预设的SA策略中的参数对所述业务数据报文进行加解密处理,所述加解密处理包括加密处理或解密处理;
所述字节数记录单元210,用于将每次加密或解密处理的所述业务数据报文的字节数进行记录。
在本申请的一种具体实施方式中,所述网络设备为盒式设备或框式设备,所述加解密处理单元200具体用于:
当业务数据报文经过IPSec VPN隧道时,对于接收到的需要解密的业务数据报文,根据报文中携带的SPI值在预设的SA策略链表中查找对应的预设SA策略,根据查找到的对应的预设SA策略中的解密信息对所述业务数据报文进行解密;
对于接收到的需要加密的业务数据报文,根据报文中携带的五元组信息在预设的SA策略链表中查找对应的预设SA策略,根据查找到的对应的预设SA策略中的加密信息对所述业务数据报文进行加密。
在本申请的一种具体实施方式中,所述装置还包括:追加记录单元220、字节数读取单元230、字节数返回单元240
所述追加记录单元220,用于当所述网络设备为框式设备时,对于框式设备中业务板卡所记录的每次加密或解密处理的所述业务数据报文的字节数,将其追加记录到框式设备的主控板上;
所述字节数读取单元230,用于当所述网络设备为盒式设备时,按照预设的周期读取所记录的每次加密或解密处理的所述业务数据报文的字节数,记录到与盒式设备内核所对应的预先建立的流量信息统计模板,当所述网络设备为框式设备时,按照预设的周期读取主控板上所追加记录的每次加密或解密处理的所述业务数据报文的字节数,记录到与框式设备主控板内核所对应的预先建立的流量信息统计模板。
所述字节数返回单元240,用于在接收到用户态下的进程下发的流量信息统计请求时,根据所述请求中携带的IPSec VPN隧道信息匹配对应的流量信息统计模板,将匹配到的对应的流量信息统计模板中记录的每次加密或解密处理的所述业务数据报文的字节数返回给用户态下的进程。
在本申请的一种具体实施方式中,所述IPSec VPN隧道信息包括:
IPSec VPN隧道连接名称、与本地建立隧道的对端设备IP地址以及感兴趣流。
上述系统中各个单元的作用实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于系统实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本发明可以在由计算机执行的计算值可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
以上所述仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (4)

1.一种IPSec VPN隧道内业务流量统计方法,其特征在于,应用于网络设备,所述方法包括:
当业务数据报文经过IPSec VPN隧道时,根据预设的安全联盟SA策略中的参数对所述业务数据报文进行加解密处理,所述加解密处理包括加密处理或解密处理;
将每次加密或解密处理的所述业务数据报文的字节数进行记录;
所述当业务数据报文经过IPSec VPN隧道时,根据预设的SA策略中的参数对所述业务数据报文进行加解密处理,包括:
当业务数据报文经过IPSec VPN隧道时,对于接收到的需要解密的业务数据报文,根据报文中携带的安全参数索引SPI值在预设的SA策略链表中查找对应的预设SA策略,根据查找到的对应的预设SA策略中的解密信息对所述业务数据报文进行解密;
对于接收到的需要加密的业务数据报文,根据报文中携带的五元组信息在预设的SA策略链表中查找对应的预设SA策略,根据查找到的对应的预设SA策略中的加密信息对所述业务数据报文进行加密;
当所述网络设备为框式设备时,对于框式设备中业务板卡所记录的每次加密或解密处理的所述业务数据报文的字节数,将其追加记录到框式设备的主控板上;
当所述网络设备为盒式设备时,按照预设的周期读取所记录的每次加密或解密处理的所述业务数据报文的字节数,记录到与盒式设备内核所对应的预先建立的流量信息统计模板;
当所述网络设备为框式设备时,按照预设的周期读取主控板上所追加记录的每次加密或解密处理的所述业务数据报文的字节数,记录到与框式设备主控板内核所对应的预先建立的流量信息统计模板。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在接收到用户态下的进程下发的流量信息统计请求时,根据所述请求中携带的IPSecVPN隧道信息匹配对应的流量信息统计模板,将匹配到的对应的流量信息统计模板中记录的每次加密或解密处理的所述业务数据报文的字节数返回给用户态下的进程。
3.根据权利要求2所述的方法,其特征在于,所述IPSec VPN隧道信息包括:
IPSec VPN隧道连接名称、与本地建立隧道的对端设备IP地址以及感兴趣流。
4.一种IPSec VPN隧道内业务流量统计装置,其特征在于,应用于网络设备,所述装置包括:
加解密处理单元,用于当业务数据报文经过IPSec VPN隧道时,根据预设的安全联盟SA策略中的参数对所述业务数据报文进行加解密处理,所述加解密处理包括加密处理或解密处理;
字节数记录单元,用于将每次加密或解密处理的所述业务数据报文的字节数进行记录;
所述加解密处理单元具体用于:
当业务数据报文经过IPSec VPN隧道时,对于接收到的需要解密的业务数据报文,根据报文中携带的安全参数索引SPI值在预设的SA策略链表中查找对应的预设SA策略,根据查找到的对应的预设SA策略中的解密信息对所述业务数据报文进行解密;
对于接收到的需要加密的业务数据报文,根据报文中携带的五元组信息在预设的SA策略链表中查找对应的预设SA策略,根据查找到的对应的预设SA策略中的加密信息对所述业务数据报文进行加密;
追加记录单元,用于当所述网络设备为框式设备时,对于框式设备中业务板卡所记录的每次加密或解密处理的所述业务数据报文的字节数,将其追加记录到框式设备的主控板上;
字节数读取单元,用于当所述网络设备为盒式设备时,按照预设的周期读取所记录的每次加密或解密处理的所述业务数据报文的字节数,记录到与盒式设备内核所对应的预先建立的流量信息统计模板,当所述网络设备为框式设备时,按照预设的周期读取主控板上所追加记录的每次加密或解密处理的所述业务数据报文的字节数,记录到与框式设备主控板内核所对应的预先建立的流量信息统计模板。
CN201810068744.5A 2018-01-24 2018-01-24 一种IPSec VPN隧道内业务流量统计方法及装置 Active CN108322361B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810068744.5A CN108322361B (zh) 2018-01-24 2018-01-24 一种IPSec VPN隧道内业务流量统计方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810068744.5A CN108322361B (zh) 2018-01-24 2018-01-24 一种IPSec VPN隧道内业务流量统计方法及装置

Publications (2)

Publication Number Publication Date
CN108322361A CN108322361A (zh) 2018-07-24
CN108322361B true CN108322361B (zh) 2020-08-04

Family

ID=62887597

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810068744.5A Active CN108322361B (zh) 2018-01-24 2018-01-24 一种IPSec VPN隧道内业务流量统计方法及装置

Country Status (1)

Country Link
CN (1) CN108322361B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109150688B (zh) * 2018-10-22 2021-07-09 网宿科技股份有限公司 IPSec VPN数据传输方法及装置
CN111835613B (zh) * 2019-04-23 2022-07-08 厦门网宿有限公司 一种vpn服务器的数据传输方法及vpn服务器
CN112217769B (zh) * 2019-07-11 2023-01-24 奇安信科技集团股份有限公司 基于隧道的数据解密方法、加密方法、装置、设备和介质
CN110365570B (zh) * 2019-07-19 2021-05-28 杭州迪普科技股份有限公司 IPSec流量转发方法、装置、电子设备
CN112217819B (zh) * 2020-10-12 2021-04-27 珠海市鸿瑞信息技术股份有限公司 基于双因子认证体系的工业控制报文语意解析审计方法
CN113114522B (zh) * 2021-03-03 2022-07-01 杭州迪普信息技术有限公司 流量监控设备
CN116319098B (zh) * 2023-05-20 2023-07-21 湖北省楚天云有限公司 一种边缘计算服务器安全互联系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1984131A (zh) * 2005-12-14 2007-06-20 北京三星通信技术研究有限公司 分布式IPSec处理的方法
CN103973687A (zh) * 2014-05-08 2014-08-06 杭州华三通信技术有限公司 Ip安全联盟维护方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8228818B2 (en) * 2005-06-24 2012-07-24 At&T Intellectual Property Ii, Lp Systems, methods, and devices for monitoring networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1984131A (zh) * 2005-12-14 2007-06-20 北京三星通信技术研究有限公司 分布式IPSec处理的方法
CN103973687A (zh) * 2014-05-08 2014-08-06 杭州华三通信技术有限公司 Ip安全联盟维护方法及装置

Also Published As

Publication number Publication date
CN108322361A (zh) 2018-07-24

Similar Documents

Publication Publication Date Title
CN108322361B (zh) 一种IPSec VPN隧道内业务流量统计方法及装置
US20210194700A1 (en) System and method for using a distributed ledger gateway
US8972612B2 (en) Collecting asymmetric data and proxy data on a communication network
US8938534B2 (en) Automatic provisioning of new users of interest for capture on a communication network
CN106790420B (zh) 一种多会话通道建立方法和系统
US20120096145A1 (en) Multi-tier integrated security system and method to enhance lawful data interception and resource allocation
US20050050316A1 (en) Passive SSL decryption
US20140059024A1 (en) System and method of storage, recovery, and management of data intercepted on a communication network
CN107169364B (zh) 一种数据保全方法及相关系统
US10164908B2 (en) Filtration of network traffic using virtually-extended ternary content-addressable memory (TCAM)
CN116049626A (zh) 一种数据统计方法、装置、设备以及存储介质
US20120117123A1 (en) Assigning resources to a binary tree structure
CN103152346B (zh) 海量用户的隐私保护方法、服务器和系统
US20230040466A1 (en) Key broker for a network monitoring device, and applications thereof
US11811918B2 (en) Key broker for a network monitoring device, and applications thereof
CN111917630A (zh) 数据传输方法、装置、存储介质及电子装置
CN108093048B (zh) 一种用于获取应用交互数据的方法与装置
CN113839882A (zh) 一种报文流分流方法及装置
CN106506400B (zh) 一种数据流识别方法及出口设备
CN112422434A (zh) Ipfix消息处理方法及其应用、asic芯片
CN108512889A (zh) 一种基于http的应用响应推送方法及代理服务器
CN105099930B (zh) 加密数据流流量控制方法及装置
CN103166913B (zh) 加密媒体流的录制方法及交换控制设备
CN109145620A (zh) 数据流分流处理方法及装置
CN111506913B (zh) 音频加密方法和装置、存储介质及电子装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant