一种通过自定义内核网络协议栈实现准入的控制方法与流程

本发明涉及一种网络数据准入方法，尤其涉及一种通过自定义内核网络协议栈实现准入的控制方法。

背景技术：

1、计算机网络准入控制(nac)是只允许可信终端设备(例如pc、服务器、移动终端)接入内部网络的一种网络技术。

2、如果要对内部网络端点实现网络精准控制，则需要对网络内所有外出流入的数据进行准确过滤审计，而目前国内很多实现对网络数据流量抓取的技术方案无法采用dpdk、或者应用层抓包方案。下面罗列两种方案的缺点：

3、1、dpdk方案缺点开发人员的成长和生态系统的构建比较困难并且需要自己开发网络协议栈，浪费时间与精力，同时需要特定ia(intel)架构网卡支持，不适用于国产化涉密等项目，存在不安全因素。

4、2、应用层抓包技术会将网卡的数据包复制到用户层进行分析，数据需要占用大量内存及cpu资源，性能低下，存在丢包等问题。

技术实现思路

1、本发明所要解决的技术问题是提供一种通过自定义内核网络协议栈实现准入的控制方法，本方法能够避免过度占用内存与cpu、并保证高实时性又能够降低开发周期。

2、为解决上述技术问题，本发明的技术方案是：一种通过自定义内核网络协议栈实现准入的控制方法，其特征在于，包括下述步骤：

3、步骤一，配置总出入口交换机，导出监管镜像网络数据；

4、步骤二，配置网络准入控制服务器网卡为混杂模式，接受本网卡所有网络数据；

5、步骤三，将交换机镜像数据网卡接入网络准入控制服务器网卡；

6、步骤四，网卡驱动将所有网络数据汇入自定义网络协议栈；

7、步骤五，自定义网络协议栈根据用户设定对网络数据流量进行判定，根据判定结果准入或阻断；

8、步骤六，自定义网络协议栈对所有放行或阻断的数据包丢弃。

9、作为一种优选的技术方案，在所述步骤五中，根据自定义网络协议栈对网络数据进行判定，具体操作如下：

10、第一步，自定义网络协议栈非暂停模式下，若网络数据为非tcp数据，判定流程结束，放行数据；

11、第二步，网络数据为tcp/ip数据，则进行模式分流：

12、强制模式下，进行tcp数据校验，校验成功则放行数据，校验失败则阻断数据；

13、普通模式下，进行tcp数据校验，校验成功则放行数据，校验失败则进行http请求判定，不是http请求则放行数据，是http请求则进行超时判定，未超时则放行数据，超时则阻断数据。

14、作为一种优选的技术方案，在上述第一步中，自定义网络协议栈处于暂停模式时，网络数据跳过判定步骤，放行数据。

15、作为一种优选的技术方案，在上述第二步中，强制模式下，tcp数据校验成功后，校验nat设备并记录设备资产类型，判定流程结束，放行数据。

16、作为一种优选的技术方案，在上述第二步中，强制模式下，tcp数据校验失败后，记录设备资产类型，依次发送http重定向数据包和rst阻断包，阻断数据。

17、作为一种优选的技术方案，在上述第二步中，普通模式下，tcp数据校验成功后，记录设备资产类型，判定流程结束，放行数据。

18、作为一种优选的技术方案，在上述第二步中，普通模式下，http重定向超时，发送http重定向数据包，http重定向定时器重置，阻断数据。

19、作为一种优选的技术方案，在所述步骤三中，所述交换机镜像数据网卡通过网线接入网络准入控制服务器网卡。

20、作为一种优选的技术方案，所述自定义网络协议栈的时间复杂度为o(n)，为并行分支。

21、由于采用了上述技术方案，一种通过自定义内核网络协议栈实现准入的控制方法，其特征在于，包括下述步骤：步骤一，配置总出入口交换机，导出监管镜像网络数据；步骤二，配置网络准入控制服务器网卡为混杂模式，接受本网卡所有网络数据；步骤三，将交换机镜像数据网卡接入网络准入控制服务器网卡；步骤四，网卡驱动将所有网络数据汇入自定义网络协议栈；步骤五，自定义网络协议栈根据用户设定对网络数据流量进行判定，根据判定结果准入或阻断；步骤六，自定义网络协议栈对所有放行或阻断的数据包丢弃；自定义网络协议栈对所有放行或阻断的数据包都丢弃，防止数据包继续进入网络层或传输层造成不必要的cpu及内存占用，本方法采用内核态自定义网络协议栈，较一般的应用层网络抓包及dpdk等方案对内存的占用及cpu过高占用程序有明显的低资源占用优势；本方法自定义内核网络协议栈准入控制算法简单，计算方便，时间复杂度为o(n)，为并行分支，不会影响原有网络包，该算法运行于操作系统软中断中，处理速度极高。

技术特征：

1.一种通过自定义内核网络协议栈实现准入的控制方法，其特征在于，包括下述步骤：

2.如权利要求1所述的通过自定义内核网络协议栈实现准入的控制方法，其特征在于，在所述步骤五中，根据自定义网络协议栈对网络数据进行判定，具体操作如下：

3.如权利要求2所述的通过自定义内核网络协议栈实现准入的控制方法，其特征在于，在上述第一步中，自定义网络协议栈处于暂停模式时，网络数据跳过判定步骤，放行数据。

4.如权利要求2所述的通过自定义内核网络协议栈实现准入的控制方法，其特征在于，在上述第二步中，强制模式下，tcp数据校验成功后，校验nat设备并记录设备资产类型，判定流程结束，放行数据。

5.如权利要求2所述的通过自定义内核网络协议栈实现准入的控制方法，其特征在于，在上述第二步中，强制模式下，tcp数据校验失败后，记录设备资产类型，依次发送http重定向数据包和rst阻断包，阻断数据。

6.如权利要求2所述的通过自定义内核网络协议栈实现准入的控制方法，其特征在于，在上述第二步中，普通模式下，tcp数据校验成功后，记录设备资产类型，判定流程结束，放行数据。

7.如权利要求2所述的通过自定义内核网络协议栈实现准入的控制方法，其特征在于，在上述第二步中，普通模式下，http重定向超时，发送http重定向数据包，http重定向定时器重置，阻断数据。

8.如权利要求1所述的通过自定义内核网络协议栈实现准入的控制方法，其特征在于，在所述步骤三中，所述交换机镜像数据网卡通过网线接入网络准入控制服务器网卡。

9.如权利要求1所述的通过自定义内核网络协议栈实现准入的控制方法，其特征在于，所述自定义网络协议栈的时间复杂度为o(n)，为并行分支。

技术总结本发明公开了一种通过自定义内核网络协议栈实现准入的控制方法，其特征在于，包括下述步骤：步骤一，配置总出入口交换机，导出监管镜像网络数据；步骤二，配置网络准入控制服务器网卡为混杂模式，接受本网卡所有网络数据；步骤三，将交换机镜像数据网卡接入网络准入控制服务器网卡；步骤四，网卡驱动将所有网络数据汇入自定义网络协议栈；步骤五，根据用户设定对网络数据流量进行判定；步骤六，对所有放行或阻断的数据包丢弃；自定义网络协议栈对所有放行或阻断的数据包都丢弃，防止数据包继续进入网络层或传输层造成不必要的CPU及内存占用；准入控制算法简单，计算方便，时间复杂度为O(n)，为并行分支，不会影响原有网络包，处理速度极高。技术研发人员：李原科受保护的技术使用者：山东泓科信息技术有限公司技术研发日：技术公布日：2024/7/25