【技术实现步骤摘要】
基于私有HEAD的数据镜像方法
本专利技术涉及无线数据通信领域,特别涉及一种基于私有HEAD的数据镜像方法。
技术介绍
随着笔记本电脑、智能手机、平板电脑等移动终端的日益普及和国内运营商以及各类提供WiFi服务公共场所的大规模建设,中国互联网产业迎来了移动互联网时代。提供无线上网服务的场所也越来越多,比如火车站、飞机场等大型公共场所,购物商场、咖啡厅、KTV等休闲娱乐场所,甚至连小型宾馆酒店、招待所也都普遍提供无线接入互联网服务。这随之带来的就是WLAN上网场所的安全监管问题日益突出,因为在非经营性上网服务场所如宾馆、休闲会所、中西餐厅等,通过WiFi上网都是不需要出示身份证明的,这部分的监管存在很大的漏洞。很多网民在这些场所随意上网,发布一些有害信息,影响社会治安和公共秩序;更有甚者,通过不记名接入互联网,做些违法犯罪的勾当,给公共安全和公民财产等带来巨大安全隐患。公安机关按照互联网管理条例,将WLAN安全监管纳入管理范畴,并进行严格检查和执行。各非经营上网服务的场所,只要是面向公众提供WiFi服务的,必须安装符合公安部82号令的互联网安全审计系统(下称“审计系统”)。审计系统包含前端(设备端)和后端(服务器端)两部分。传统前端审计的方式有两种,一种是直接运行在HOST(宿主系统)上,通过libpcap(网络数据包捕获函数库)机制捕获用户上网数据,这种方式对HOST设备的内存和CPU处理能力有一定要求,同时对HOST设备的整体性能有较大影响;另一种是通过物理端口镜像的方式获取用户上网数据,这种方式一般开启端口镜像的位置在HOST设备的上行网络中,通常位于 ...
【技术保护点】
1.一种基于私有HEAD的数据镜像方法,其特征在于,应用于公安系统的网络安全审计系统,所述网络安全审计系统包括用户终端、HOST设备、审计硬件模块和审计服务器,所述用户终端通过无线方式连接所述HOST设备,所述HOST设备与所述审计硬件模块连接,所述审计硬件模块通过网关与所述审计服务器连接,所述HOST设备中设有AH模块,所述审计硬件模块中设有AS模块,所述方法包括如下步骤:A)所述用户终端访问互联网;B)所述AH模块对所述用户终端访问互联网的上网数据包进行识别,复制满足条件的上网数据包,并在其前部增加私有HEAD进行封装处理,将封装后得到的数据包发送给审计硬件模块;所述HOST设备和审计硬件模块均存在自己的固定网络地址;C)所述审计硬件模块收到所述封装后得到的数据包后,所述AS模块对所述封装后得到的数据包进行解封装处理;D)所述审计硬件模块对解封装后的数据包进行网络安全审计,丢弃掉无用的数据包,并将有用的数据包转换成符合各地市公安的要求标准的数据,并通过网络上报到指定的所述审计服务器。
【技术特征摘要】
1.一种基于私有HEAD的数据镜像方法,其特征在于,应用于公安系统的网络安全审计系统,所述网络安全审计系统包括用户终端、HOST设备、审计硬件模块和审计服务器,所述用户终端通过无线方式连接所述HOST设备,所述HOST设备与所述审计硬件模块连接,所述审计硬件模块通过网关与所述审计服务器连接,所述HOST设备中设有AH模块,所述审计硬件模块中设有AS模块,所述方法包括如下步骤:A)所述用户终端访问互联网;B)所述AH模块对所述用户终端访问互联网的上网数据包进行识别,复制满足条件的上网数据包,并在其前部增加私有HEAD进行封装处理,将封装后得到的数据包发送给审计硬件模块;所述HOST设备和审计硬件模块均存在自己的固定网络地址;C)所述审计硬件模块收到所述封装后得到的数据包后,所述AS模块对所述封装后得到的数据包进行解封装处理;D)所述审计硬件模块对解封装后的数据包进行网络安全审计,丢弃掉无用的数据包,并将有用的数据包转换成符合各地市公安的要求标准的数据,并通过网络上报到指定的所述审计服务器。2.根据权利要求1所述的基于私有HEAD的数据镜像方法,其特征在于,所述私有HEAD采用UDP协议进行封装处理,并把所述上网数据包作为数据内容封装在内,所述私有HEAD采用指定端口号。3.根据权利要求2所述的基于私有HEAD的数据镜像方法,其特征在于,所述步骤B)进一步包括:B1)所述AH模块初始化时,分别注册HOOK函数PREROUTING和POSTROUTING;B2)当有所述终端的上网数据包时,检测所述上网数据包是否满足丢弃条件,如是,对所述上网数据包进行丢弃;否则,执行步骤B3);B3)检测所述上网数据包是否满足镜像处理的条件,如是,执行步骤B4);否则,对所述上网数据包进行放行;B4)对所述上网数据包进行限速处理,执行步骤B5);B5)复制所述上网数据包;B6)检测是否需要分片处理,如是,将所述上网数据包分为两个片段进行发送,执行步骤B7');否则,执行步骤B7);B7)在所述上网数据包的前面添加所述私有HEAD得到所述封装后得到的数据包,执行步骤B8);B7')在每个所述片段的前面分别添加对应的私有HEAD,并在各自的私有HEAD的IP层置位分片标记得到所述封装后得到的数据包,执行步骤B8);B8)将所述封装后得到的数据包通过指定接口发送给所述审计硬件模块,并对所述上网数据包进行放行处理。4.根据权利要求3所述的基于私有HEAD的数据镜像方法,其特征在于,所述丢弃条件包括:所述上网数据包的接口信息是WAN口,且所述上网数据包为ARP报文,询问的地址段是169.254.100.254/30,或者所述上网数据包的接口信息是WAN口,且所述上网数据包为IP报文,所述IP报文中源IP为地址段...
【专利技术属性】
技术研发人员:刘耀明,王维嘉,
申请(专利权)人:深圳云盈网络科技有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。