[发明专利]一种基于拟态边缘网关的TCP数据包的归一化方法

说明书

本发明公开了一种基于拟态边缘网关的TCP数据包的归一化方法，属于计算机网络技术领域，该归一化方法具体为：对于每一条拟态环境和外部主机的TCP连接，构造会话缓存存储拟态环境内部各主机TCP与这条TCP连接的映射关系，使得拟态环境内各主机通过同一条TCP连接与外部主机进行通信。本发明基于拟态边缘网关，通过关键信息缓存的方法加快了拟态网关内部TCP数据包的处理速度，并能有效支持MQTT、ModeBus等多种工业协议。

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种基于拟态边缘网关的TCP数据包的归一化方法。

背景技术

随着工业互联网规模的逐步扩大，新型网络架构日趋复杂以及网络协议的多样化，网络攻击手段也愈发隐蔽和复杂。传统的安全防护手段已经难以满足网络安全的要求，因而构造自适应的内生安全系统成为了工业互联网领域新要求。拟态边缘网关的作为拟态域的边界，发挥了隔离拟态网络和非拟态网络的门户作用，对于构建自适应的内生安全系统有着重要意义。现有技术是设置代理服务器发挥网关功能对拟态环境内外部主机的通信进行管理，并在代理服务器内部进行TCP数据包的拆包组包，实现TCP数据包的归一化。这种实现方式要求代理服务器分别与拟态环境内外部各主机建立多条TCP连接，一旦代理服务器遭到攻击，将无法保证拟态环境的安全性。

发明内容

本发明的目的在于针对现有技术的不足，提供一种基于拟态边缘网关的TCP数据包的归一化方法。

本发明是通过以下技术方案实现的：一种基于拟态边缘网关的TCP数据包的归一化方法，包括以下步骤：

步骤一：拟态边缘网关采用轮询方式轮流从不同主机队列的不同输入网口采集TCP数据包；所述TCP数据包分为来自拟态环境内部执行体的TCP数据包和来自拟态环境外部的TCP数据包；

步骤二：将来自拟态环境内部执行体的TCP数据包解析四元组后，若存在对应的会话缓存，所述TCP数据包映射到对应的会话缓存，将会话缓存存储到对应执行体的缓存队列中，并启动输出超时计时器；若不存在对应会话缓存，则构造以四元组为索引值的会话缓存，并再将所述TCP数据包映射到构造的会话缓存，将会话缓存存储到对应执行体的缓存队列中，并启动输出超时计时器；对于来自拟态环境外部的TCP数据包，在其进入拟态边缘网关后进行四元组解析，得到该四元组映射的会话缓存，直接进行归一化操作；

步骤三：对于所有启动输出超时计时器的会话缓存，若所有执行体缓存队列均非空，则将该会话缓存中所有执行体缓存队列的第一个TCP数据包取出，并进行归一化操作；否则等到输出超时计时器超时后，若有半数以上的执行体缓存队列非空，则将该会话缓存中所有执行体缓存队列的第一个TCP数据包取出，进行归一化操作并更新会话缓存各字段；若所有执行体缓存队列至少有一个TCP数据包，则清除该会话缓存内所有数据；

步骤四：拟态边缘网关对收到的TCP数据包进行关键信息的归一化操作；

步骤五：将归一化的TCP数据包通过对应网口发给对应主机。

进一步地，拟态边缘网关用2个不同队列分别对应拟态环境内部的执行体和拟态环境外部的远端主机，所述拟态环境内部的执行体共享同一IP地址；TCP数据包通过不同输入网口进入拟态边缘网关。

进一步地，构造以四元组为索引值的会话缓存的方法为：将来自各执行体第一个TCP数据包的关键字段初始化会话缓存。

进一步地，步骤二中所述四元组包括：拟态环境内IP地址、拟态环境外IP地址、拟态环境外端口、网口。

进一步地，所述关键信息包括：四元组、拟态环境外端口号、TCP数据包的序列号、TCP数据包的确认号、TCP数据包的窗口大小、TCP数据包的packet_id以及TCP数据包option字段的内容；所述TCP数据包option字段的内容包括：TCP会话的单个数据包的最大传输长度、TCP会话接收队列窗口的拓展倍数、TCP会话是否支持选择重传的标志位和TCP数据包的时间戳；