[发明专利]一种基于CS结构的网络数据包过滤方法及系统

权利要求书

1.一种基于CS结构的网络数据包过滤方法，其特征在于：所述基于CS结构的网络数据包过滤方法包括以下步骤：

1)基本域管理实体与移动节点建立连接：

1.1)通过基本域管理实体承载的WEB管理系统，对所要进行过滤的参数进行配置；

1.2)基本域管理实体对所设置的过滤参数进行过滤；

1.3)基本域管理实体与移动节点建立连接之后，然后通过基本域管理实体与移动节点之间的通信隧道，将相应的协议过滤参数配置数据通过通信隧道转发给移动节点端，移动节点接收到协议过滤参数配置数据之后，通过I/O数据处理将协议过滤参数配置数据转发给中间层驱动，中间层驱动进行过滤处理；

2)基本域管理实体和移动节点进行过滤处理：

2.1)中间层驱动程序实现网络数据包的过滤；

2.2)中间层驱动程序与移动节点的交互。

2.根据权利要求1所述的基于CS结构的网络数据包过滤方法，其特征在于：所述步骤1.2)中基本域管理实体即对所设置的过滤参数进行过滤时，是利用Iptables实现的。

3.根据权利要求1所述的基于CS结构的网络数据包过滤方法，其特征在于：所述步骤2.1)的具体实施方式是：

2.1.1)移动节点发送用户数据，用户数据经过协议驱动程序封装成网络数据包；

2.1.2)利用中间层驱动程序实现网络数据包过滤。

4.根据权利要求3所述的基于CS结构的网络数据包过滤方法，其特征在于：所述步骤2.1.2)的具体实施方式是：

2.1.2.1.1)中间层驱动接收到网络数据包后，根据移动节点发送给中间层驱动的协议过滤参数，对网络数据包进行过滤，过滤后的数据包根据过滤策略，要么丢弃，要么继续转发；

2.1.2.1.2)中间层驱动对过滤后的数据包进行加密，形成加密数据包，直接转发给物理网卡进行发送；

2.1.2.1.3)加密数据包经过封包处理，成为封装数据包；

2.1.2.1.4)中间层驱动程序得到的封装数据包后再经过物理网卡成为新网络数据包后发送给基本域管理实体。

5.根据权利要求3所述的基于CS结构的网络数据包过滤方法，其特征在于：所述步骤2.1.2)的具体实施方式是：

2.1.2.2.1)中间层驱动接收到网络数据包后，根据移动节点发送给中间层驱动的协议过滤参数，对网络数据包进行过滤，过滤后的数据包根据过滤策略，要么丢弃，要么继续转发；

2.1.2.2.2)中间层驱动对过滤后的数据包直接转发给物理网卡进行发送；

2.1.2.2.3)步骤2.1.2.2.2)所得到的数据包经过封包处理，成为封装数据包；

2.1.2.2.4)中间层驱动程序得到的封装数据包后再经过物理网卡成为新网络数据包后发送给基本域管理实体。

6.根据权利要求1或2或3或4或5所述的基于CS结构的网络数据包过滤方法，其特征在于：所述步骤2.2)的具体实施方式是：

2.2.1)移动节点将过滤参数通过I/O数据处理过程转发给中间层驱动程序；

2.2.2)中间层驱动程序将过滤状态通过I/O数据处理转发给移动节点。

7.根据权利要求6所述的基于CS结构的网络数据包过滤方法，其特征在于：所述步骤2.2)的具体实施方式在步骤2.2.2)之后还包括：

2.2.3)移动节点向I/O数据处理过程发送状态查询命令来对中间层驱动程序的状态进行查询。

8.根据权利要求7所述的基于CS结构的网络数据包过滤方法，其特征在于：所述中间层驱动程序是位于微端口和协议之间的驱动程序，是网络驱动中留出来的接口，用于用户实现用户对数据包进行处理操作的程序。

9.根据权利要求1所述的基于CS结构的网络数据包过滤方法，其特征在于：所述步骤1.1)中对所要进行过滤的参数进行配置时，所述配置是过滤协议、IP信息或过滤策略；所述过滤协议是TCP协议、UDP协议、ICMP协议、IGMP协议、HTTP协议、FTP协议、SMTP协议、POP3协议、TELNET协议、IMAP协议、CitrixICA协议、RDP协议以及PCOIP协议中的一种或多种；所述IP信息是设备源IP地址、目的IP地址、源端口或目标端口；所述过滤策略是允许和拒绝通过配置。

10.一种基于CS结构的网络数据包过滤系统，其特征在于：所述基于CS结构的网络数据包过滤系统包括基本域管理实体WEB管理系统、基本域管理实体以及移动节点；所述基本域管理实体WEB管理系统对所要进行过滤的协议参数进行配置；所述基本域管理实体根据基本域管理实体WEB管理系统所进行的协议过滤参数配置进行相应的协议过滤处理；所述移动节点与基本域管理实体端建立连接后，所述基本域管理实体将相应的协议过滤参数配置数据，通过通信隧道转发给移动节点端；所述移动节点接收到协议过滤参数配置数据之后，通过I/O处理将协议过滤参数配置数据转发给中间层驱动，中间层驱动进行相应的协议过滤处理。