一种基于ＣＳ结构的网络数据包过滤方法及系统技术方案

本发明专利技术涉及一种基于ＣＳ结构的网络数据包过滤方法及系统，该方法包括：１）基本域管理实体与移动节点建立连接；２）基本域管理实体和移动节点进行过滤处理。本发明专利技术提供了一种确保移动节点和基本域管理实体之间的网络数据包的正确收发，并增强系统的安全性的基于ＣＳ结构的网络数据包的过滤方法及系统。

【技术实现步骤摘要】

本专利技术属于网络安全
，涉及一种基于CS(客户端/服务器)结构的网络 数据包过滤方法及系统。
技术介绍
数据包过滤(Packet Filtering)是一个用软件或硬件设备对向网络上传或从网络下 载的数据流进行有选择的控制过程。数据包过滤器通常是在将数据包从一个网络向另一 个网络传送的过程中，更为常见的是在从英特网向内部网络传输数据时，或从内部网络 向英特网传输时，允许或阻止它们的通过。若要完成数据包过滤，就要设置好规则来指 定哪些类型的数据包被允许通过和哪些类型的数据包将会被阻止。数据包过滤技术一般应用在防火墙上面。当前对于数据包过滤技术，一般通过 对防火墙的过滤规则进行设置，根据过滤规则设置情况，对通过防火墙的进出数据进行 控制，以允许或者阻止网络数据包的传输。目前这种数据包过滤主要存在仅能够从防火墙部分进行数据包的过滤，而对系 统内部的设备之间，例如，客户端之间或客户端与服务器之间的数据访问，设备无法进 行有效的数据过滤操作。
技术实现思路
为了解决
技术介绍
中存在的上述技术问题，本专利技术提供了一种确保移动节点和 基本域管理实体之间的网络数据包的正确收发，并增强系统的安全性的基于CS结构的网 络数据包的过滤方法及系统。本专利技术的技术解决方案是本专利技术提供了一种基于CS结构的网络数据包过滤方 法，其特殊之处在于所述基于CS结构的网络数据包过滤方法包括以下步骤1)基本域管理实体与移动节点建立连接1.1)通过基本域管理实体承载的WEB管理系统，对所要进行过滤的参数进行配 置；1.2)基本域管理实体对所设置的过滤参数进行过滤；1.3)基本域管理实体与移动节点建立连接之后，然后通过基本域管理实体与移 动节点之间的通信隧道，将相应的协议过滤参数配置数据通过通信隧道转发给移动节点 端，移动节点接收到协议过滤参数配置数据之后，通过I/O数据处理将协议过滤参数配 置数据转发给中间层驱动，中间层驱动进行过滤处理；2)基本域管理实体和移动节点进行过滤处理2.1)中间层驱动程序实现网络数据包的过滤；2.2)中间层驱动程序与移动节点的交互。上述步骤1.2)中基本域管理实体即对所设置的过滤参数进行过滤时，是利用 Iptables实现的。4上述步骤2.1)的具体实施方式是2.1.1)移动节点发送用户数据，用户数据经过协议驱动程序封装成网络数据 包；2.1.2)利用中间层驱动程序实现网络数据包过滤。上述步骤2丄2)的具体实施方式是2.1.2.1.1)中间层驱动接收到网络数据包后，根据移动节点发送给中间层驱动的 协议过滤参数，对网络数据包进行过滤，过滤后的数据包根据过滤策略，要么丢弃，要 么继续转发；2.1.2.1.2)中间层驱动对过滤后的数据包进行加密，形成加密数据包，直接转发 给物理网卡进行发送；2.1.2.1.3)加密数据包经过封包处理，成为封装数据包；2.1.2.1.4)中间层驱动程序得到的封装数据包后再经过物理网卡成为新网络数据 包后发送给基本域管理实体。上述步骤2丄2)的具体实施方式是2.1.2.2.1)中间层驱动接收到网络数据包后，根据移动节点发送给中间层驱动的 协议过滤参数，对网络数据包进行过滤，过滤后的数据包根据过滤策略，要么丢弃，要 么继续转发；2.1.2.2.2)中间层驱动对过滤后的数据包直接转发给物理网卡进行发送；2.1.2.2.3)步骤2.1.2.2.2)所得到的数据包经过封包处理，成为封装数据包；2.1.2.2.4)中间层驱动程序得到的封装数据包后再经过物理网卡成为新网络数据 包后发送给基本域管理实体。上述步骤2.2)的具体实施方式是2.2.1)移动节点将过滤参数通过I/O数据处理过程转发给中间层驱动程序；2.2.2)中间层驱动程序将过滤状态通过I/O数据处理转发给移动节点。上述步骤2.2)的具体实施方式在步骤2.2.2)之后还包括2.2.3)移动节点向I/O数据处理过程发送状态查询命令来对中间层驱动程序的状 态进行查询。上述中间层驱动程序是位于微端口和协议之间的驱动程序，是网络驱动中留出 来的接口，用于用户实现用户对数据包进行处理操作的程序。上述步骤1.1)中对所要进行过滤的参数进行配置时，所述配置是过滤协议、IP 信息或过滤策略；所述过滤协议是TCP协议、UDP协议、ICMP协议、IGMP协议、 HTTP 协议、FTP 协议、SMTP 协议、POP3 协议、TELNET 协议、IMAP 协议、CitrixICA协议、RDP协议以及PCOIP协议中的一种或多种；所述IP信息是设备源IP地址、目的IP地址、源端口或目标端口；所述过滤策略是允许和拒绝通过配置一种基于CS结构的网络数据包过滤系统，其特殊之处在于所述基于CS结构 的网络数据包过滤系统包括基本域管理实体WEB管理系统、基本域管理实体以及移动节 点；所述基本域管理实体WEB管理系统对所要进行过滤的协议参数进行配置；所述基本 域管理实体根据基本域管理实体WEB管理系统所进行的协议过滤参数配置进行相应的协 议过滤处理；所述移动节点与基本域管理实体端建立连接后，所述基本域管理实体将相应的协议过滤参数配置数据，通过通信隧道转发给移动节点端；所述移动节点接收到协 议过滤参数配置数据之后，进行相应的协议过滤处理。本专利技术使移动节点和基本域管理实体建立连接，完成相互间的安全认证；IP自 适应网络技术应用在移动节点和基本域管理实体之间的数据通信方面，即通过IP自适应 网络技术体系的数据通信隧道，基本域管理实体将协议过滤配置参数转发给移动节点， 系统的移动节点获得下发的过滤协议，进而再通过系统的移动节点的协议过滤模块，对 下发的协议进行过滤处理。系统的移动节点的协议过滤模块，完成对数据包的协议过 滤，确保移动节点和基本域管理实体之间的网络数据包的正确收发，进而在移动节点部 分，增强系统的安全性。附图说明图1是本专利技术所提供的基于CS结构的网络数据包过滤方法的较佳实施例示意 图；图2是本专利技术所提供的中间层驱动实现网络数据包过滤的数据流图；图3是本专利技术所提供的移动节点与中间层驱动程序的交互数据流图。具体实施例方式本专利技术提供了一种基于CS结构的网络数据包过滤方法及系统。参见图1，给出本专利技术基于CS结构的网络数据包过滤方法的实施例，其具体步 骤如下1、系统管理员通过基本域管理实体承载的WEB管理系统，对所要进行过滤的 参数进行配置，可配置过滤协议和/或IP信息和/或过滤策略。其中，过滤协议包括一种 或多种应用协议，该应用协议可以是TCP、UDP、ICMP、IGMP、HTTP、FTP、SMTP、 POP3、TELNET、IMAP、Citrix ICA、RDP 和 PCOIP 等；IP 信息可为设备源 IP 地址、 目的IP地址、源端口和/或目标端口等；过滤策略包括允许和拒绝通过等配置。其中， 基本域管理实体可以为普通的服务器、(Adaptive-IPNetwork Technologies，IP自适应移动 安全接入技术)服务器等。2、通过基本域管理实体WEB管理系统，管理员完成了所要过滤的参数配置 以后，基本域管理实体即可对所设置的过滤参数进行过滤。其中，过滤时，可利用 Iptables(Iptables是Linux内核集成的IP信息包过滤系统)来实现。3、移动节点(本文档来自技高网...

【技术保护点】
一种基于ＣＳ结构的网络数据包过滤方法，其特征在于：所述基于ＣＳ结构的网络数据包过滤方法包括以下步骤：１）基本域管理实体与移动节点建立连接：１．１）通过基本域管理实体承载的ＷＥＢ管理系统，对所要进行过滤的参数进行配置；１．２）基本域管理实体对所设置的过滤参数进行过滤；１．３）基本域管理实体与移动节点建立连接之后，然后通过基本域管理实体与移动节点之间的通信隧道，将相应的协议过滤参数配置数据通过通信隧道转发给移动节点端，移动节点接收到协议过滤参数配置数据之后，通过Ｉ／Ｏ数据处理将协议过滤参数配置数据转发给中间层驱动，中间层驱动进行过滤处理；２）基本域管理实体和移动节点进行过滤处理：２．１）中间层驱动程序实现网络数据包的过滤；２．２）中间层驱动程序与移动节点的交互。

【技术特征摘要】
1.一种基于CS结构的网络数据包过滤方法，其特征在于所述基于CS结构的网络 数据包过滤方法包括以下步骤1)基本域管理实体与移动节点建立连接1.1)通过基本域管理实体承载的WEB管理系统，对所要进行过滤的参数进行配置；1.2)基本域管理实体对所设置的过滤参数进行过滤；1.3)基本域管理实体与移动节点建立连接之后，然后通过基本域管理实体与移动节 点之间的通信隧道，将相应的协议过滤参数配置数据通过通信隧道转发给移动节点端， 移动节点接收到协议过滤参数配置数据之后，通过I/O数据处理将协议过滤参数配置数 据转发给中间层驱动，中间层驱动进行过滤处理；2)基本域管理实体和移动节点进行过滤处理2.1)中间层驱动程序实现网络数据包的过滤；2.2)中间层驱动程序与移动节点的交互。2.根据权利要求1所述的基于CS结构的网络数据包过滤方法，其特征在于所述步 骤1.2)中基本域管理实体即对所设置的过滤参数进行过滤时，是利用Iptables实现的。3.根据权利要求1所述的基于CS结构的网络数据包过滤方法，其特征在于所述步 骤2.1)的具体实施方式是2.1.1)移动节点发送用户数据，用户数据经过协议驱动程序封装成网络数据包；2.1.2)利用中间层驱动程序实现网络数据包过滤。4.根据权利要求3所述的基于CS结构的网络数据包过滤方法，其特征在于所述步 骤2丄2)的具体实施方式是2.1.2.1.1)中间层驱动接收到网络数据包后，根据移动节点发送给中间层驱动的协议 过滤参数，对网络数据包进行过滤，过滤后的数据包根据过滤策略，要么丢弃，要么继 续转发；2.1.2.1.2)中间层驱动对过滤后的数据包进行加密，形成加密数据包，直接转发给物 理网卡进行发送；2.1.2.1.3)加密数据包经过封包处理，成为封装数据包；2.1.2.1.4)中间层驱动程序得到的封装数据包后再经过物理网卡成为新网络数据包后 发送给基本域管理实体。5.根据权利要求3所述的基于CS结构的网络数据包过滤方法，其特征在于所述步 骤2丄2)的具体实施方式是2.1.2.2.1)中间层驱动接收到网络数据包后，根据移动节点发送给中间层驱动的协议 过滤参数，对网络数据包进行过滤，过滤后的数据包根据过滤策略，要么丢弃，要么继 续转发；2丄2.2.2)中间层驱动对过滤后的数据包直接转发给物理网卡...

【专利技术属性】
技术研发人员：张喜斌，张强，万晓辉，
申请(专利权)人：西安西电捷通无线网络通信股份有限公司，
类型：发明
国别省市：87[中国|西安]