(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111533783.6 (22)申请日 2021.12.15 (71)申请人 广西电网有限责任公司电力科 学研 究院 地址 530023 广西壮 族自治区南宁市民主 路6-2号 (72)发明人 宾冬梅　杨春燕　余通　凌颖　 黎新　韩松明　 (74)专利代理 机构 广州市专 注鱼专利代理有限 公司 44456 专利代理师 张志鹏 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/46(2006.01) H04L 61/2592(2022.01) (54)发明名称 基于IPSec传输异常的检测方法、 装置及存 储介质 (57)摘要 本发明一种基于IPSec传输异常的检测方 法、 装置及存储介质， 其中方法包括获取对端 IPSec节点发送 的数据封装包， 对其进行解封并 删除网络访问层； 检测网络层IPSec中的AH报文 和ESP报文是否至少一项丢包， 若否查看是否已 启用IPSec策略的接口和IPSec接口是否已配置 NAT策略， 若已启动IPSec策略的接 口和IPSec接 口已配置所述NAT策略； 将NAT策略引用的ACL所 拒绝的IP地址设为IPSec引用的ACL中的IP地址 和将IPSec引用的A CL匹配为经过NAT策略转换后 的IP地址。 本发明避免对IPSec保护的数据流进 行NAT转换， 实现对IPSec传输异常的检测和修 复， 提高了用户体验。 权利要求书1页 说明书5页 附图3页 CN 114465755 A 2022.05.10 CN 114465755 A 1.一种基于IP Sec传输异常的检测方法， 其特 征在于， 包括以下步骤： 步骤S1、 获取对端IP Sec节点发送的数据封装 包， 对其进行解封并删除网络访问层； 步骤S2、 检测网络层IPSec中的AH报文和ESP报文是否至少一项丢包， 若是则判定运营 商对IPSec报文进行了限制， 若否则执 行后续步骤； 步骤S3、 查看是否已启用IPSec策略的接口和IPSec接口是否已配置NAT策略， 若已启动 所述IPSec策略的接口和IP Sec接口已配置所述 NAT策略， 则进入下一 步； 步骤S4、 将所述NAT策略引用的ACL所拒绝的IP地址设为所述IPSec引用的ACL中的IP地 址和将所述 IPSec引用的ACL匹配为经 过NAT策略转换后的IP地址 。 2.根据权利要求1所述的基于IPSec传输异常的检测方法， 其特征在于， 所述执行后续 步骤还具体指： 检测IPSec策略是否正确应用到IP Sec隧道接口上； 检测ACL保护的数据流是否包含真实的业务网段， 若否则检测IPSec节点两端的ACL是 否配置正确； 检测IPSec的认证算法是否为SHA ‑2加密算法， 若是则检测获取的加密报文是否被丢 弃； 加密报文未被丢弃且IP Sec连接认证失败， 则将IP Sec节点两端的加密算法设为 一致。 3.根据权利要求2所述的基于IPSec传输异常的检测方法， 其特征在于， 所述检测IPSec 节点两端的ACL是否配置正确的条件 包括： 若所述IPSec节点两端之间设有NAT设备， 则检测所述NAT设备是否开启NAT穿越， 若否 则开启所述 NAT穿越。 4.根据权利要求3所述的基于IPSec传输异常的检测方法， 其特征在于， 所述开启所述 NAT穿越之前， 检测所述 NAT穿越的安全协议是否为ES P协议， 若否则修改为ES P协议。 5.一种IPSec传输装置， 其特征在于， 所述IPSec传输装置包括至少一个处理器以及与 所述处理器通信连接的存 储器； 所述存储器存储有被所述处理器执行的指令， 所述指令被所述处理器执行， 以使所述 处理器执行权利要求1 ‑4任一项所述的基于IP Sec传输异常的检测方法。 6.一种存储介质， 所述的存储介质中存储有计算机程序， 其特征在于， 运行所述计算机 程序， 执行权利要求1 ‑4任一项所述的基于IP Sec传输异常的检测方法。权　利　要　求　书 1/1 页 2 CN 114465755 A 2基于IPSec传输异常的检测方 法、 装置及存储介质 技术领域 [0001]本发明涉及数据传输检测技术领域， 具体涉及一种基于IPSec传输异常的检测方 法、 装置及存 储介质。 背景技术 [0002]IPSec(Internet  Protocol  Security)互联网安全协议， 通过对IP协议的分组进 行加密和认证来保护IP协 议的网络传输协 议， 其目的是为互联网协议IPv4和IPv6提供具有 较强的互操作能力、 高质量以及基于密码的安全， 包括加密、 认证和数据防篡改功能， 确保 用户数据可以通过安全的IP Sec隧道实现端到端的安全、 保密 传输。 [0003]现如今IPSec已经成为架构虚拟专用网络(Virtu al Private Network， VPN)的基 础， 具备良好的安全性； 由于IPSec是IP层上的协议， 因此很容易在全世界范围内形成一种 规范， 具有非常好的通用性； IPSec不是一个单独的协议， 它给出了应用于IP层上网络数据 安全的一整套体系结构， 包括网络认证协议认证头(Authentication  Header， AH)、 封装安 全有效载荷(Encapsul ating Security  Payload， ESP)协议、 密钥管理协议(Internet  Key  Exchange， IKE)和用于网络认证及加密的一些算法等。 [0004]但是现有的VP N系统在使用IPSec隧道建立成功之后往往会出现传 输异常， 进而导 致用户无法获知 传输异常的原因并进行修复。 发明内容 [0005]本发明的目的在 于提供一种基于IPSec传输异常的检测方法、 装置及存储介质， 可 以解决现有技术中现有的VPN系统在使用IPSec隧道建立成功之后， 出现传输异常时用户无 法获知传输异常原因的问题。 [0006]本发明的目的是通过以下技 术方案实现的： [0007]本发明提供一种基于IP Sec传输异常的检测方法， 包括以下步骤： [0008]步骤S1、 获取对端IPSec节点发送的数据封装包， 对其进行解封并删除网络访问 层； [0009]步骤S2、 检测网络层IPSec中的AH报文和ESP报文是否至少一项丢包， 若是则判定 运营商对IP Sec报文进行了限制， 若否则执 行后续步骤； [0010]步骤S3、 查看是否已启用IPSec策略的接口和IPSec接口是否已配置NAT策略， 若已 启动所述 IPSec策略的接口和IP Sec接口已配置所述 NAT策略， 则进入下一 步； [0011]步骤S4、 将所述NAT策略引用的ACL所拒绝的IP地址设为所述IPSec引用的ACL中的 IP地址和将所述 IPSec引用的ACL匹配为经 过NAT策略转换后的IP地址 。 [0012]进一步的， 所述执 行后续步骤还具体指： [0013]检测IPSec策略是否正确应用到IP Sec隧道接口上； [0014]检测ACL保护的数据流是否包含真实的业务网段， 若否则检测IPSec节点两端的 ACL是否配置正确；说　明　书 1/5 页 3 CN 114465755 A 3