[发明专利]一种基于CS结构的网络数据包过滤方法及系统

说明书

技术领域

本发明属于网络安全技术领域，涉及一种基于CS(客户端/服务器)结构的网络数据包过滤方法及系统。

背景技术

数据包过滤(Packet Filtering)是一个用软件或硬件设备对向网络上传或从网络下载的数据流进行有选择的控制过程。数据包过滤器通常是在将数据包从一个网络向另一个网络传送的过程中，更为常见的是在从英特网向内部网络传输数据时，或从内部网络向英特网传输时，允许或阻止它们的通过。若要完成数据包过滤，就要设置好规则来指定哪些类型的数据包被允许通过和哪些类型的数据包将会被阻止。

数据包过滤技术一般应用在防火墙上面。当前对于数据包过滤技术，一般通过对防火墙的过滤规则进行设置，根据过滤规则设置情况，对通过防火墙的进出数据进行控制，以允许或者阻止网络数据包的传输。

目前这种数据包过滤主要存在仅能够从防火墙部分进行数据包的过滤，而对系统内部的设备之间，例如，客户端之间或客户端与服务器之间的数据访问，设备无法进行有效的数据过滤操作。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种确保移动节点和基本域管理实体之间的网络数据包的正确收发，并增强系统的安全性的基于CS结构的网络数据包的过滤方法及系统。

本发明的技术解决方案是：本发明提供了一种基于CS结构的网络数据包过滤方法，其特殊之处在于：所述基于CS结构的网络数据包过滤方法包括以下步骤：

1)基本域管理实体与移动节点建立连接：

1.1)通过基本域管理实体承载的WEB管理系统，对所要进行过滤的参数进行配置；

1.2)基本域管理实体对所设置的过滤参数进行过滤；

1.3)基本域管理实体与移动节点建立连接之后，然后通过基本域管理实体与移动节点之间的通信隧道，将相应的协议过滤参数配置数据通过通信隧道转发给移动节点端，移动节点接收到协议过滤参数配置数据之后，通过I/O数据处理将协议过滤参数配置数据转发给中间层驱动，中间层驱动进行过滤处理；

2)基本域管理实体和移动节点进行过滤处理：

2.1)中间层驱动程序实现网络数据包的过滤；

2.2)中间层驱动程序与移动节点的交互。

上述步骤1.2)中基本域管理实体即对所设置的过滤参数进行过滤时，是利用Iptables实现的。

上述步骤2.1)的具体实施方式是：

2.1.1)移动节点发送用户数据，用户数据经过协议驱动程序封装成网络数据包；

2.1.2)利用中间层驱动程序实现网络数据包过滤。

上述步骤2.1.2)的具体实施方式是：

2.1.2.1.1)中间层驱动接收到网络数据包后，根据移动节点发送给中间层驱动的协议过滤参数，对网络数据包进行过滤，过滤后的数据包根据过滤策略，要么丢弃，要么继续转发；

2.1.2.1.2)中间层驱动对过滤后的数据包进行加密，形成加密数据包，直接转发给物理网卡进行发送；

2.1.2.1.3)加密数据包经过封包处理，成为封装数据包；

2.1.2.1.4)中间层驱动程序得到的封装数据包后再经过物理网卡成为新网络数据包后发送给基本域管理实体。

上述步骤2.1.2)的具体实施方式是：

2.1.2.2.1)中间层驱动接收到网络数据包后，根据移动节点发送给中间层驱动的协议过滤参数，对网络数据包进行过滤，过滤后的数据包根据过滤策略，要么丢弃，要么继续转发；

2.1.2.2.2)中间层驱动对过滤后的数据包直接转发给物理网卡进行发送；

2.1.2.2.3)步骤2.1.2.2.2)所得到的数据包经过封包处理，成为封装数据包；

2.1.2.2.4)中间层驱动程序得到的封装数据包后再经过物理网卡成为新网络数据包后发送给基本域管理实体。

上述步骤2.2)的具体实施方式是：

2.2.1)移动节点将过滤参数通过I/O数据处理过程转发给中间层驱动程序；

2.2.2)中间层驱动程序将过滤状态通过I/O数据处理转发给移动节点。

上述步骤2.2)的具体实施方式在步骤2.2.2)之后还包括：

2.2.3)移动节点向I/O数据处理过程发送状态查询命令来对中间层驱动程序的状态进行查询。

上述中间层驱动程序是位于微端口和协议之间的驱动程序，是网络驱动中留出来的接口，用于用户实现用户对数据包进行处理操作的程序。