公开(公告)号：CN107645513A

公开(公告)日：2018-01-30

申请号：CN201710997702.5

申请日：2017-10-24

Applicant: 哈尔滨工业大学(威海) ,  威海天之卫网络空间安全科技有限公司

Inventor： 王冠群 ,  何清刚 ,  黄俊恒 ,  孙云霄 ,  王佰玲 ,  王巍

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明涉及一种IPsec内容审计装置及方法，包括：(1)获取IPsec VPN客户端与服务器端之间的流量；(2)根据数据包中的特征参数进行流量识别和过滤；(3)查找到该连接对应的PSK值，如果查找成功，则返回PSK值，进入步骤(4)；否则，将数据包的特征信息添加到白名单；(4)建立IKE协商；(5)根据IKE协商时计算的密钥，对该连接对应的ESP数据包进行解密，并重新加密后发送给服务器端或客户端；(6)对解密后的结果进行审计。本发明支持使用IPsec VPN应用的移动设备、PC设备流量的实时监管和控制。

公开(公告)号：CN107786554A

公开(公告)日：2018-03-09

申请号：CN201710997699.7

申请日：2017-10-24

Applicant: 哈尔滨工业大学(威海) ,  威海天之卫网络空间安全科技有限公司

Inventor： 王冠群 ,  何清刚 ,  黄俊恒 ,  孙云霄 ,  王佰玲 ,  刘扬

IPC: H04L29/06 ,  H04L9/08

Abstract: 本发明涉及一种自动检测IPsec协议中间人攻击的方法与装置，包括步骤如下：(1)在IPsec建立安全隧道时，在客户端或服务器端获取各数据报的发送、返回时间；(2)计算相邻两个数据报之间的时间间隔；(3)计算相邻两个数据报之间的时间间隔的方差；(4)比较方差与设置阈值的大小，如果方差大于设置阈值，则发出中间人攻击警报，提醒工作人员进行处理；否则，则认为是正常连接；本发明提出的自动检测IPsec中间人攻击的方法和装置，可以在IKE协商阶段就对IPsec流量是否遭受中间人攻击进行识别，以便工作人员尽早发现，及时处理。

公开(公告)号：CN107786554B

公开(公告)日：2019-08-02

申请号：CN201710997699.7

申请日：2017-10-24

Applicant: 哈尔滨工业大学(威海) ,  威海天之卫网络空间安全科技有限公司

Inventor： 王冠群 ,  何清刚 ,  黄俊恒 ,  孙云霄 ,  王佰玲 ,  刘扬

IPC: H04L29/06 ,  H04L9/08

Abstract: 本发明涉及一种自动检测IPsec协议中间人攻击的方法与装置，包括步骤如下：(1)在IPsec建立安全隧道时，在客户端或服务器端获取各数据报的发送、返回时间；(2)计算相邻两个数据报之间的时间间隔；(3)计算相邻两个数据报之间的时间间隔的方差；(4)比较方差与设置阈值的大小，如果方差大于设置阈值，则发出中间人攻击警报，提醒工作人员进行处理；否则，则认为是正常连接；本发明提出的自动检测IPsec中间人攻击的方法和装置，可以在IKE协商阶段就对IPsec流量是否遭受中间人攻击进行识别，以便工作人员尽早发现，及时处理。