CN109040112B - 网络控制方法和装置 - Google Patents

Abstract

本发明提供了一种网络控制方法和装置，该方法包括：截获TCP第一次握手包；若TCP第一次握手包为发送的数据包，则将握手包进行伪造，得到伪造的握手包并发送，伪造的握手包的包括终端设备的登录用户授权网络通讯的至少一个用户信息；若TCP第一次握手包为接收的数据包，则若TCP第一次握手包为伪造的握手包，则判断TCP第一次握手包中的至少一个用户信息是否包括终端设备的登录用户信息；若TCP第一次握手包中的至少一个用户信息包括终端设备的登录用户信息，则将截获的伪造的握手包还原为伪造前的TCP第一次握手包并发送；若TCP第一次握手包为正常的握手包，或，伪造的握手包中的至少一个用户信息不包括终端设备的登录用户信息，则将截获的TCP第一次握手包丢弃。

Description

网络控制方法和装置

技术领域

本发明涉及计算机网络技术领域，特别是涉及一种网络控制方法和装置。

背景技术

目前，在终端设备的网络访问进行控制时，采用的普遍方法是拦截终端设备上的网络访问数据包，该网络访问数据包可以是向外部发送的，也可以是从外部接收的；对拦截的网络访问数据包判断其IP地址、端口号是否为预设IP地址(包括多个IP地址)、预设端口号(包括多个端口号)，从而决定禁止或放行该网络访问数据包。

例如企业的某个管理人员使用的终端设备1的IP地址在网络访问的控制范围之内，即该预设IP地址包括终端设备1的IP地址，那么如果该管理人员所使用的终端设备从终端设备1更换为终端设备2时，造成其权限下的终端设备的IP地址或端口号变更，则需要对每台终端设备重新配置新的预设IP地址、新的预设端口号，其中，新的IP地址中将终端设备1的IP地址修改为终端设备2的IP地址，端口号同理。

因此，发明人在实现本发明的过程中发现，相关技术中的这种网络控制方法只能针对固定的IP地址段以及端口段进行网络访问控制，而不能对不同用户之间的网络访问进行控制，存在着网络控制不够灵活的问题。

发明内容

本发明提供了一种网络控制方法和装置，以解决相关技术中的网络控制方案所存在的网络控制无法区分用户的问题。

为了解决上述问题，根据本发明的一个方面，本发明公开了一种网络控制方法，应用于终端设备，所述方法包括：

截获TCP第一次握手包；

若所述TCP第一次握手包为向外部发送的数据包，则将所述TCP第一次握手包进行伪造，得到伪造的TCP第一次握手包并发送至链路层，其中，所述伪造的TCP第一次握手包的TCP原始头部信息被修改为预设头部信息，且所述伪造的TCP第一次握手包包括TCP原始头部信息的备份信息、与所述终端设备的登录用户授权网络通讯的至少一个用户信息；

若所述TCP第一次握手包为从外部接收的数据包，则判断所述TCP第一次握手包的TCP头部信息是否为预设头部信息；

若所述TCP第一次握手包的TCP头部信息为预设头部信息，则判断所述TCP第一次握手包中的至少一个用户信息是否包括所述终端设备的登录用户信息；

若所述TCP第一次握手包中的至少一个用户信息包括所述终端设备的登录用户信息，则根据所述TCP第一次握手包中的TCP原始头部信息的备份信息，将截获的所述TCP第一次握手包还原为伪造前的原始的TCP第一次握手包并发送至网络层；

若所述TCP第一次握手包的TCP头部信息不为预设头部信息，或，若所述TCP第一次握手包中的至少一个用户信息不包括所述终端设备的登录用户信息，则将截获的所述TCP第一次握手包丢弃。

根据本发明的另一方面，本发明还公开了一种网络控制装置，应用于终端设备，所述装置包括：

截获模块，用于截获TCP第一次握手包；

伪造模块，用于若所述TCP第一次握手包为向外部发送的数据包，则将所述TCP第一次握手包进行伪造，得到伪造的TCP第一次握手包并发送至链路层，其中，所述伪造的TCP第一次握手包的TCP原始头部信息被修改为预设头部信息，且所述伪造的TCP第一次握手包包括TCP原始头部信息的备份信息、与所述终端设备的登录用户授权网络通讯的至少一个用户信息；

第一判断模块，用于若所述TCP第一次握手包为从外部接收的数据包，则判断所述TCP第一次握手包的TCP头部信息是否为预设头部信息；

第二判断模块，用于若所述第一判断模块确定所述TCP第一次握手包的TCP头部信息为预设头部信息，则判断所述TCP第一次握手包中的至少一个用户信息是否包括所述终端设备的登录用户信息；

第一发送模块，用于若所述第二判断模块确定所述TCP第一次握手包中的至少一个用户信息包括所述终端设备的登录用户信息，则根据所述TCP第一次握手包中的TCP原始头部信息的备份信息，将截获的所述TCP第一次握手包还原为伪造前的原始的TCP第一次握手包并发送至网络层；

第一丢弃模块，用于若所述第一判断模块确定所述TCP第一次握手包的TCP头部信息不为预设头部信息，或，若所述第二判断模块确定所述TCP第一次握手包中的至少一个用户信息不包括所述终端设备的登录用户信息，则将截获的所述TCP第一次握手包丢弃。

与现有技术相比，本发明包括以下优点：

本发明通过截获TCP第一次握手包，并在该数据包为发送数据时，对其进行伪造，使得伪造后的TCP第一次握手包携带有与发送该数据包的终端设备的登录用户存在授权网络通讯的对应关系的至少一个用户信息，将伪造的TCP第一次握手包发送至下层；而当截获到的TCP第一次握手包为接收数据时，则判断其是否是伪造的数据包，如果是则说明发送该伪造数据包的终端设备是信任终端，并进一步判断伪造的TCP第一次握手包中的用户信息是否包括本终端设备的登录用户的用户信息，如果该用户信息包括本终端设备的登录用户的用户信息，则确定本终端设备的登录用户授权与发送该伪造的TCP第一次握手包的终端用户的登录用户进行网络通讯，可以将截获的TCP第一次握手包进行还原并发送；如果该用户信息不包括本终端设备的登录用户的用户信息，则将截获的该TCP第一次握手包丢弃从而使得发送该TCP握手包的终端设备的登录用户无法与本终端设备的登录用户进行网络通讯，使网络控制能够区分用户。

附图说明

图1是本发明的一种网络控制方法实施例的步骤流程图；

图2是本发明的一种数据包伪造实施例的示意图；

图3是本发明的一种网络控制系统实施例的架构图；

图4是本发明的一种网络控制系统实施例的工作流程图；

图5是本发明的一种网络控制装置实施例的结构框图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

参照图1，示出了本发明的一种网络控制方法实施例的步骤流程图，应用于终端设备，该方法具体可以包括如下步骤：

步骤101，截获TCP第一次握手包；

TCP(传输控制协议)在发送新数据之前需要有三次握手，因此，为了对终端设备进行网络控制，可以截获TCP第一次握手请求，即TCP第一次握手包。

其中，该TCP第一次握手包可以是所述终端设备作为发送端向外发送的数据包，也可以是所述终端设备作为接收端从外部接收的数据包。

其中，TCP第一次握手包可以携带表示是向外发送的数据包，还是从外部接收的数据包的预设标识，因此，可以通过TCP第一次握手包中的该预设标识来判定截获的TCP第一次握手包是发送的数据包，还是接收的数据包。

步骤102，若所述TCP第一次握手包为向外部发送的数据包，则将所述TCP第一次握手包进行伪造，得到伪造的TCP第一次握手包并发送至链路层；

其中，如果该TCP第一次握手包为向外部发送的数据包，即该终端设备发起了TCP第一次握手，那么本发明实施例的方法可以对截获的该TCP第一次握手包进行伪造，得到伪造的TCP第一次握手包并发送至链路层；

由于在计算机网络OSI模型的七层架构中，从上到下依次为应用层、表示层、会话层、传输层(TCP层)、网络层(IP层)、链路层、物理层。其中，NDIS(Network DriverInterface Specification，网络驱动接口规范)中间层驱动程序位于网络层和链路层之间，本发明实施例的方法可以借助于NDIS中间层驱动程序来拦截所有IP数据包，并对IP数据包中的TCP第一次握手包进行截获，并对TCP第一次握手包进行伪造，由于这里的TCP第一次握手包为向外部发送的数据包，即为从上述四层架构中从上至下，从网络层传输出来待发送至链路层的数据包，因此，本发明实施例的NDIS中间层驱动可以将伪造的TCP第一次握手包发送至链路层从而向外发送伪造的TCP第一次握手包。

其中，所述伪造的TCP第一次握手包的TCP原始头部信息被修改为预设头部信息，且所述伪造的TCP第一次握手包包括TCP原始头部信息的备份信息、与所述终端设备的登录用户授权网络通讯的至少一个用户信息；

其中，该至少一个用户信息可以是一个或多个用户的信息(例如用户名、用户标识等信息)；该至少一个用户信息也可以是一个或多个用户所分别属于的用户组的信息，其中，该用户组的信息可以是用户组的标识信息(例如组标识、组名称等)，还可以是既包括用户组的标识信息又包括用户组内各用户成员的用户信息。

那么当以用户单位进行网络控制时，则在伪造TCP第一次握手包时，可以在伪造的TCP第一次握手包中携带授权与终端设备的登录用户进行网络通讯的一个或多个用户的信息；

那么当以用户组单位进行网络控制时，则在伪造TCP第一次握手包时，可以在伪造的TCP第一次握手包中携带授权与终端设备的登录用户所属的用户组进行网络通讯的一个或多个用户组的信息；或者，可以在伪造的TCP第一次握手包中携带授权与终端设备的登录用户进行网络通讯的一个或多个用户组的信息。

具体携带哪种用户信息可以根据网络控制策略的不同而灵活设置。

此外，TCP原始头部信息的备份信息可以是备份的TCP头部的原始信息，也可以是TCP头部的原始信息中的关键信息(例如TCP包头的序列号)的备份信息(其中，该关键信息可以对TCP头部信息的还原起到关键性作用)。

其中，预设头部信息可以预先保存在使用本发明实施例方法的NDIS中间层驱动程序中，从而在NDIS中间层驱动程序伪造TCP第一次握手包时，能够使用预先保存的预设头部信息来对该握手包的TCP头部进行伪造。

步骤103，若所述TCP第一次握手包为从外部接收的数据包，则判断所述TCP第一次握手包的TCP头部信息是否为预设头部信息；

其中，如果该TCP第一次握手包为从外部接收的数据包，即其他终端设备向本发明实施例的终端设备发起了TCP第一次握手，那么本发明实施例的NDIS中间层驱动程序可以判断接收到的该TCP第一次握手包的TCP头部信息是否为预设头部信息。

若否，则步骤106，将截获的所述TCP第一次握手包丢弃。

其中，如果接收到的该TCP第一次握手包的TCP头部信息不是预设头部信息，则说明发送该TCP第一次握手包的终端设备未使用本发明实施例的方法进行网络控制，因此，其是非信任终端，不可以与本发明实施例的终端设备的登录用户(即受保护的用户成员)进行网络连接，因此，将截获的所述TCP第一次握手包丢弃，使得发送该TCP第一次握手包的终端设备无法与本发明实施例的终端设备进行TCP协议的网络通讯。

若是，则步骤104，判断所述TCP第一次握手包中的至少一个用户信息是否包括所述终端设备的登录用户信息；

其中，如果接收到的该TCP第一次握手包的TCP头部信息为预设头部信息，则确定该TCP第一次握手包为经过本发明实施例的方法伪造的TCP第一次握手包，即，说明发送该TCP第一次握手包的终端设备在发送该TCP第一次握手包时使用本发明实施例的方法对其进行了伪造，发送该TCP第一次握手包的终端设备属于信任终端，但是，还需要进一步确认发送该伪造的TCP第一次握手包的终端设备的登录用户与本发明实施例的终端设备的登录用户是否存在信任关系，即授权网络通讯的对应关系。

因此，可以判断所述TCP第一次握手包中的至少一个用户信息是否包括本发明实施例的终端设备的登录用户信息，其中，该至少一个用户信息的具体定义可以参照步骤102处的描述，其原理类似，这里不再赘述。

其中，由于伪造TCP第一次握手包的终端设备B会将授权与终端设备B的登录用户B进行网络通讯的用户或用户组信息写入到该伪造的TCP第一次握手包中，因此，本发明实施例的方法可以判断该用户或用户组信息中是否存在本发明实施例的终端设备(例如终端设备A)的登录用户的信息或所属的用户组的信息，从而确定这里由登录用户A使用的终端设备A能否与登录用户B使用的终端设备B进行TCP网络通讯。

若是，则步骤105，根据所述TCP第一次握手包中的TCP原始头部信息的备份信息，将截获的所述TCP第一次握手包还原为伪造前的原始的TCP第一次握手包并发送至网络层；

其中，如果所述TCP第一次握手包中的至少一个用户信息包括本发明实施例的终端设备A的登录用户A的信息，则可以将截获到的伪造的TCP第一次握手包进行还原，还原成伪造之前的正常的TCP第一次握手包，具体还原操作可以是根据截获的TCP第一次握手包中的TCP原始头部信息的备份信息，将截获的所述TCP第一次握手包还原为伪造前的原始的TCP第一次握手包。由于这里截获的TCP第一次握手包为接收到的数据包，因此，NDIS中间层驱动可以将从链路层截获的伪造的TCP第一次握手包进行还原，并将还原后的原始的TCP第一次握手包向上层(即网络层)发送。

若否，则步骤106，将截获的所述TCP第一次握手包丢弃。

其中，如果所述TCP第一次握手包中的至少一个用户信息中不包括本发明实施例的终端设备A的登录用户A的信息，则说明登录用户A与登录用户B不存在授权通讯的对应关系，因此，二者不能进行通讯，所以将截获的TCP第一次握手包丢弃。

借助于本发明上述实施例的技术方案，本发明通过截获TCP第一次握手包，并在该数据包为发送数据时，对其进行伪造，使得伪造后的TCP第一次握手包携带有与发送该数据包的终端设备的登录用户存在授权网络通讯的对应关系的至少一个用户信息，将伪造的TCP第一次握手包发送至下层；而当截获到的TCP第一次握手包为接收数据时，则判断其是否是伪造的数据包，如果是则说明发送该伪造数据包的终端设备是信任终端，并进一步判断伪造的TCP第一次握手包中的用户信息是否包括本终端设备的登录用户的用户信息，如果该用户信息包括本终端设备的登录用户的用户信息，则确定本终端设备的登录用户授权与发送该伪造的TCP第一次握手包的终端用户的登录用户进行网络通讯，可以将截获的TCP第一次握手包进行还原并发送；如果该用户信息不包括本终端设备的登录用户的用户信息，则将截获的该TCP第一次握手包丢弃从而使得发送该TCP握手包的终端设备的登录用户无法与本终端设备的登录用户进行网络通讯，使网络控制能够区分用户。

可选地，在一个实施例中，在步骤102或步骤103之前，根据本发明实施例的方法还可包括：

接收授权网络通讯的不同用户组之间的对应关系并保存；

其中，服务器可以向所有使用本发明实施例的方法终端设备下发相同的总信任关系W，该总信任关系W包括授权网络通讯的不同用户组之间的对应关系，其中，每个用户组包括至少一个用户成员的信息。

例如部门1和部门2可以进行网络通讯；部门3和部门4可以进行网络通讯，且默认部门内部中的不同用户成员可以相互通讯。

那么该总信任关系W包括部门1与部门2的对应关系，部门3和部门4的对应关系，并且，对4个部门中每个部门都包括哪些用户成员也进行了记载。

相应的，在执行步骤102时，可以通过以下S201～S202来实现：

S201，若所述TCP第一次握手包为向外部发送的数据包，则根据保存的所述对应关系确定所述终端设备的登录用户所属的第一目标用户组，以及所述对应关系中与所述第一目标用户组对应的至少一个第二目标用户组；

例如用户A登录了终端设备A(本发明实施例的终端设备)，且用户A属于部门1，那么可以从上述总信任关系中确定第一目标用户组即部门1，此外，还可以从上述总信任关系中确定与部门1存在对应关系的部门2，即部门2为第二目标用户组。

S202，将所述TCP第一次握手包的TCP原始头部信息修改为预设头部信息，在所述TCP第一次握手包的TCP头部写入所述TCP第一次握手包的TCP原始头部信息的备份信息，并在所述数据区域写入所述第一目标用户组的信息以及所述至少一个第二目标用户组的信息，得到伪造的TCP第一次握手包并发送；

其中，参照图2，在伪造TCP第一次握手包时，首先对TCP头部进行伪造：可以将TCP头部的标识域的SYN标识修改为预设标识(例如应答+数据包的标识)，并将自定义的一个预设序列号写入至该TCP头部的一个空闲区域，使得TCP原始头部信息修改为预设头部信息(包括预设标识、预设序列号)；此外，还可以在TCP头部写入该TCP第一次握手包的TCP原始头部信息的备份信息(例如TCP头部的关键信息)。

参照图2，还可以在TCP第一次握手包的数据区域写入信任的组信息，这里包括第一目标用户组的信息以及所述至少一个第二目标用户组的信息。例如可以写入部门1和部门2；再如，可以写入部门1和部门2，并且将这两个部门的用户成员的信息也都写入。

相应的，在执行步骤104时，可以通过以下S301～S302来实现：

S301，根据保存的所述对应关系确定所述终端设备的登录用户所属的第一目标用户组；

其中，可以根据上述总信任关系来确定终端设备A的登录用户A所属的用户组，这里为部门1。

S302，判断所述TCP第一次握手包中的至少一个用户组的信息是否包括所述第一目标用户组。

其中，可以判断伪造的该TCP第一次握手包中的一个或多个用户组(即授权与终端设备B的用户B所属的用户组进行网络通讯的一个或多个用户组，例如部门1和部门2)的信息中是否包括该部门1。

这样，本发明实施例可以向使用本发明实施例的方法的所有终端设备下发用户组之间的信任关系，从而在用户可以使用任意一个终端设备时，本发明实施例的方法都可以对用户之间，或用户组之间的网络访问进行控制，用户组之间的信任关系不与终端、IP绑定，达到网络控制区分用户的目的。并可以针对用户组内部及有信任关系的组间网络通讯，予以放行；针对外部非授信用户与非授信用户组之间的网络通讯，予以禁止，网络控制更加方便、高效和灵活。

可选地，在另一个实施例中，所述接收授权网络通讯的不同用户组之间的对应关系并保存之后，根据本发明实施例的方法还可以包括：

若再次接收到授权网络通讯的不同用户组之间的对应关系，则根据再次接收到的所述对应关系对本地保存的授权网络通讯的不同用户组之间的对应关系进行更新。

其中，每当上述总信任关系W中存在授权网络通讯的不同用户组之间的对应关系发生变化，和/或，其中的任意一个用户组的用户成员或用户成员的信息发生变化时，服务器都可以随时下发新的总信任关系W’，或者下发总信任关系W中发生变化或增加的对应关系/用户成员信息。这样，当再次接收到授权网络通讯的不同用户组之间的对应关系(包括不同用户组的对应关系和/或任意一个用户组的用户成员的信息)，都会根据再次接收到的所述对应关系对本地保存的授权网络通讯的不同用户组之间的对应关系进行更新。

在本发明实施例中，当用户组内、用户组间信任关系更新后，只需要由服务器重新向所有控制范围内的终端设备下发新的信任关系(或存在更新的信任关系)，无需改变任何物理连接以及对终端设备的网络配置的变更，网络控制更加灵活方便。

可选地，在一个实施例中，在步骤101之前，根据本发明实施例的方法还可以包括：

拦截所有IP数据包；

检测拦截到的任意一个目标IP数据包的协议类型；

其中，这里可检测IP数据包的上层协议类型。

若所述目标IP数据包的协议类型为UDP协议，则将拦截的所述目标IP数据包丢弃；

其中，本发明实施例的方法可以不支持UDP数据访问。

若所述目标IP数据包的协议类型为TCP协议，则判断所述目标IP数据包是否为第一次握手的SYN数据包；

若所述目标IP数据包不是第一次握手的SYN数据包，则将拦截的所述目标IP数据包放过；

例如该目标IP数据包为第二次握手的TCP数据包、或，第三次握手的TCP数据包、或，三次握手之后的TCP数据包，则允许访问，对其放过。

相应的，在执行步骤101时，则若所述目标IP数据包为第一次握手的SYN数据包，则将拦截的所述目标IP数据包确定为TCP第一次握手包并截获。

若所述目标IP数据包的协议类型为除TCP协议、UDP协议之外的协议类型，则将拦截的所述目标IP数据包放过。

例如目标IP数据包的协议类型为ICMP协议，则对其放过，允许访问。

这样，本发明实施例通过拦截所有IP数据包，并判断其协议类型，针对TCP第一次握手包进行截获处理，对UDP数据包进行丢弃，拒绝UDP数据访问，对其他类型的IP数据包放过，允许数据访问，从而实现了对不同协议的网络访问控制。

可选地，在另一个实施例中，步骤106之后，也即，若所述TCP第一次握手包的TCP头部信息不为预设头部信息，或，若所述TCP第一次握手包中的至少一个用户信息不包括所述终端设备的登录用户信息，则将截获的所述TCP第一次握手包丢弃之后，根据本发明实施例的方法还可以包括：

将丢弃的所述TCP第一次握手包记录至目标日志文件中；

其中，丢弃的TCP第一次握手包，即拒绝网络访问的数据包，因此，可以将非授权网络访问的TCP第一次握手包记录到非授权访问的日志文件中。

其中，在该日志文件中该TCP第一次握手包的记录形式可以是发送该TCP第一次握手包的终端设备的信息，也可以是发送该TCP第一次握手包的终端设备的登录用户的信息，或者其他日志可以记录的信息。

按照预设周期将所述目标日志文件上报至服务器。

其中，可以按照一定时间周期来定期将非授权网络范围的日志上报到服务器，以便服务器统计非授权访问数据。

参照图3，示出了本发明一个网络控制系统实施例的架构图，应用于终端设备。

本发明实施例的网络控制系统是基于用户组信任关系的网络控制系统，总体上划分为两个层次：处于应用层的策略、日志管理服务和处于内核层的NDIS中间层驱动程序。应用层的策略、日志管理服务，主要负责策略的接收、解析和下发，同时收集网络相关的处理日志并进行上报，上报到控制系统的服务器；NDIS中间层驱动程序负责接收应用层的策略数据，拦截终端设备上的所有的IP数据包，并根据策略数据进行控制，记录相关日志(被拒绝连接访问的日志，非授权访问)，同时定时通知应用层。

其中，如图3所示，应用层的策略、日志管理服务，由策略解析模块、策略数据下发模块、日志上传模块组成。

策略解析模块，接收服务器下发的策略数据，将收到的策略数据进行解析，转化成与NDIS中间层驱动程序同步的策略数据结构；

策略数据下发模块，负责将解析好的策略数据下发给NDIS中间层驱动；

日志上传模块，负责从NDIS中间层驱动程序中取得日志记录信息，并上传到指定服务器。

NDIS中间层驱动程序，由对外通讯接口模块、网络数据包拦截模块、网络数据包处理模块组成。

对外通讯接口模块，负责响应用层的请求，接收策略数据或者向上回送日志信息；

网络数据包拦截模块，负责拦截由网络层向链路层下发的，以及由链路层向网络层上传的所有IP数据包，并调用网络数据包处理模块进行处理，并根据网络数据包处理模块的处理结果进行操作，例如丢弃数据包，或者，向上层(网络层)或者向下层(链路层)传递数据数据包；

网络数据包处理模块，用于根据配置的策略数据对网络数据包拦截模块截获的数据包进行相关处理，例如对向外发送的TCP第一次握手数据包进行伪造修改、对接收的TCP第一次握手数据包进行解析处理、将接收到的伪造的TCP第一次握手数据包进行还原，将接收到的正常的TCP第一次握手数据包进行丢弃，并生成相关日志，通知应用层。

本发明实施例采用NDIS中间层驱动技术，可以拦截网络通讯的所有数据包，并针对指定协议的数据包类型进行处理，拒绝、放行或者修改数据包后继续发送。

本发明实施例中主要是控制TCP协议的通讯，TCP协议有三次握手的机制，发送端第一次发起握手请求时，发送端NDIS中间层驱动程序会拦截到，此时将第一次握手请求包进行修改，将TCP头部中相关数据进行更新和备份，同时，在数据包的数据区域附加发送端的登录用户所属的用户组，以及与该用户组授权通讯的组间信任关系，最后将组装好的数据包发送出去，经过网卡、交换机；

而接收端NDIS中间层驱动程序，拦截到IP数据包后，会对接收到的TCP的第一次握手数据包进行解析判断，丢弃正常的第一次握手数据包(可以接收到正常的握手包，说明发送端未安装本发明实施例的系统，所以，发送端未授权与接收端通讯)；对接收到的伪造过的第一次握手数据包(说明发送端安装了本发明实施例的系统)进行相关判断后(判断该数据包中的信任关系里面是否包括接收端的登录用户所属的用户组)，满足条件则对伪造的第一次握手数据包进行还原操作(将数据包还原成原始的TCP第一次握手包)，然后发送给网络层；否则丢弃该伪造的数据包(说明信任关系里面不包括接收端的登录用户所属的用户组，不能与与该登录用户通讯)。这样就保证了，非信任终端不能与受保护的用户组成员进行网络连接。

本发明实施例的系统从实际需求和应用的角度出发，使用基于NDIS的中间层驱动技术，实现对终端计算机网络通讯进行管控。基于NDIS的中间层驱动，可接收用户组及组间信任关系的策略数据，针对用户组内部及有信任关系的组间网络通讯，予以放行；针对外部非授信用户与非授信用户组内部的网络通讯，予以禁止。用户组成员及组间信任关系调整后，重新给NDIS中间层驱动下发策略即可，无需改变任何物理连接及网络设备的配置变更。在装有本应用的所有终端上，用户可以使用任意终端，用户组的策略不与终端、IP等绑定，方便、高效、灵活。此外，整个控制过程只对TCP发起连接时的第一次握手数据包进行处理，几乎不影响网络处理效率。

参照图4，示出了本发明实施例的网络控制系统的工作流程图。

这里只针对主要工作流程进行了概述，其他可选流程可以参照上述控制方法实施例，这里不再赘述。

S1，系统开机后，应用层管理模块解析策略数据并下发给NDIS中间层驱动，转至S2执行；

S2，NDIS中间层驱动截获所有IP数据包并进行处理，转至S3执行；

S3，检查IP数据包协议类型，例如是UDP协议则转至S4执行；若是TCP协议，则判断其是否是第一次握手的SYN数据包，若不是第一次握手的SYN数据包，则转至S4执行；若是第一次握手的SYN数据包，则转至S5执行；若既不是TCP协议，也不是UDP协议，则转至S4执行；

S4、丢弃UDP协议数据包(本发明实施例的方法不支持UDP数据访问)，表示拒绝访问；其他类型数据包放过，例如ICMP协议数据包、TCP协议的非第一次握手的SYN数据包(例如第二次握手的数据包、第三次握手的数据包、握手成功之后传输的数据包等)，表示允许访问，转至第11处执行；

S5，检查该IP数据包(即第一次握手的SYN数据包)是否为接收数据(即，判断其是接收的数据包，还是发送的数据包，因为，发送和接收的数据包都会经过NDIS中间层驱动程序)，如果是接收数据则转至S6执行，否则(即表示是发送数据)转至S10执行；

S6，解析收到的IP数据包，转至S7执行；

S7，检查解析后的IP数据包是否为伪造的特殊数据包(其中，本发明实施例的NDIS中间层驱动程序预先存储了上述预设序列号和应答+数据包的标识，如果该IP数据包的包头中包括该预设序列号和应答+数据包的标识，则确定是伪造的特殊数据包，即说明发送端安装了本发明实施例的NDIS中间层驱动程序)且满足信任关系(即，判断IP数据包的数据区域的用户组信息中是否包括本终端设备的登录用户所属的用户组)，如果均满足，则转至S8执行，否则转至S9执行。

其中，不论是哪个终端的NIDS中间层驱动程序伪造的数据包，其使用的预设序列号、应答+数据包的标识都是一样的。因此，通过在NDIS中间层驱动程序中预先存储了上述序列号和标识，然后伪造第一次握手的SYN数据包时，采用该预设序列号和标识进行伪造，而在接收数据包时，则根据预先存储的该预设序列号和标识进行判别是否为伪造的数据包。

S8，利用伪造的特殊数据包中的备份信息，将伪造的第一次握手的SYN数据包还原成原始的第一次握手的SYN数据包，并向上层，即NDIS中间层驱动程序的上层(网络层)传递，完成后转至S11执行；

S9，丢弃第一次握手SYN数据包(其中，当发送端没安装本发明实施例的NDIS中间层驱动程序时，S7中解析得到的第一次握手SYN数据包未被伪造成特殊的数据包，所以，该发送端为非授权终端，因此，丢弃其发生的第一次握手SYN数据包，使得该发送端与本发明实施例的接收端，即终端设备无法进行TCP通讯，进行网络访问)；此外，丢弃伪造的特殊数据包(虽然发送端安装了本发明的驱动，但是其不是能够与这里的终端设备的登录用户进行通讯的可信任的用户，所以也需要丢弃该发送端伪造的该特殊数据包，使得该发送端的登录用户与本发明实施例的终端设备的登录用户之间无法进行TCP通讯，进行用户间的网络范围控制)。然后，转至S11处执行；

S10，这里经过S5判断该第一次握手SYN数据包为终端设备向外发送的数据包，因此，可以将拦截到的第一次握手SYN数据包伪造成特殊的数据包，具体伪造操作参见上述实施例这里不再赘述。其中，伪造后的IP数据包的数据区域附带终端设备的登录用户所属的组信息，以及与该组存在信任关系的其他组信息，并向下层传输，即向NDIS中间层驱动程序的下层，链路层传输；

S11，检查是否退出系统，若否，则转至S2执行；若是，则退出，结束。

本发明实施例的网络控制系统可以根据用户需求，将不同用户划分成不同组，各组之间根据情况可配置是否允许相互访问，以实现不同安全级别之间的隔离，灵活实现真实网络下的虚拟隔离，防止泄密发生。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。

与上述本发明实施例所提供的方法相对应，参照图5，示出了本发明一种网络控制装置实施例的结构框图，应用于终端设备，所述装置具体可以包括如下模块：

截获模块51，用于截获TCP第一次握手包；

伪造模块52，用于若所述TCP第一次握手包为向外部发送的数据包，则将所述TCP第一次握手包进行伪造，得到伪造的TCP第一次握手包并发送至链路层，其中，所述伪造的TCP第一次握手包的TCP原始头部信息被修改为预设头部信息，且所述伪造的TCP第一次握手包包括TCP原始头部信息的备份信息、与所述终端设备的登录用户授权网络通讯的至少一个用户信息；

第一判断模块53，用于若所述TCP第一次握手包为从外部接收的数据包，则判断所述TCP第一次握手包的TCP头部信息是否为预设头部信息；

第二判断模块54，用于若所述第一判断模块53确定所述TCP第一次握手包的TCP头部信息为预设头部信息，则判断所述TCP第一次握手包中的至少一个用户信息是否包括所述终端设备的登录用户信息；

第一发送模块55，用于若所述第二判断模块54确定所述TCP第一次握手包中的至少一个用户信息包括所述终端设备的登录用户信息，则根据所述TCP第一次握手包中的TCP原始头部信息的备份信息，将截获的所述TCP第一次握手包还原为伪造前的原始的TCP第一次握手包并发送至网络层；

第一丢弃模块56，用于若所述第一判断模块53确定所述TCP第一次握手包的TCP头部信息不为预设头部信息，或，若所述第二判断模块54确定所述TCP第一次握手包中的至少一个用户信息不包括所述终端设备的登录用户信息，则将截获的所述TCP第一次握手包丢弃。

可选地，所述装置还包括：

接收模块，用于接收授权网络通讯的不同用户组之间的对应关系并保存，其中，每个用户组包括至少一个用户成员的信息；

所述伪造模块52包括：

第一确定子模块，用于若所述TCP第一次握手包为向外部发送的数据包，则根据保存的所述对应关系确定所述终端设备的登录用户所属的第一目标用户组，以及所述对应关系中与所述第一目标用户组对应的至少一个第二目标用户组；

修改子模块，用于将所述TCP第一次握手包的TCP原始头部信息修改为预设头部信息，在所述TCP第一次握手包的TCP头部写入所述TCP第一次握手包的TCP原始头部信息的备份信息，并在所述数据区域写入所述第一目标用户组的信息以及所述至少一个第二目标用户组的信息，得到伪造的TCP第一次握手包并发送；

所述第二判断模块54包括：

第二确定子模块，用于根据保存的所述对应关系确定所述终端设备的登录用户所属的第一目标用户组；

判断子模块，用于判断所述TCP第一次握手包中的至少一个用户组的信息是否包括所述第一目标用户组。

可选地，所述装置还包括：

更新模块，用于若所述接收模块再次接收到授权网络通讯的不同用户组之间的对应关系，则根据所述接收模块再次接收到的所述对应关系对本地保存的授权网络通讯的不同用户组之间的对应关系进行更新。

可选地，所述装置还包括：

拦截模块，用于拦截所有IP数据包；

检测模块，用于检测拦截到的任意一个目标IP数据包的协议类型；

第二丢弃模块，用于若所述目标IP数据包的协议类型为UDP协议，则将拦截的所述目标IP数据包丢弃；

第三判断模块，用于若所述目标IP数据包的协议类型为TCP协议，则判断所述目标IP数据包是否为第一次握手的SYN数据包；

放过模块，用于若所述第三判断模块确定所述目标IP数据包不是第一次握手的SYN数据包，则将拦截的所述目标IP数据包放过；

所述截获模块51，还用于若所述第三判断模块确定所述目标IP数据包为第一次握手的SYN数据包，则将拦截的所述目标IP数据包确定为TCP第一次握手包并截获；

所述放过模块，还用于若所述目标IP数据包的协议类型为除TCP协议、UDP协议之外的协议类型，则将拦截的所述目标IP数据包放过。

可选地，所述装置还包括：

记录模块，用于将丢弃的所述TCP第一次握手包记录至目标日志文件中；

上报模块，用于按照预设周期将所述目标日志文件上报至服务器。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本发明所提供的一种网络控制方法和一种网络控制装置，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种网络控制方法，其特征在于，应用于终端设备，所述方法包括：

截获TCP第一次握手包；

若所述TCP第一次握手包为向外部发送的数据包，则将所述TCP第一次握手包进行伪造，得到伪造的TCP第一次握手包并发送至链路层，其中，所述伪造的TCP第一次握手包的TCP原始头部信息被修改为预设头部信息，且所述伪造的TCP第一次握手包包括TCP原始头部信息的备份信息和与所述终端设备的登录用户授权网络通讯的至少一个用户信息；

若所述TCP第一次握手包为从外部接收的数据包，则判断所述TCP第一次握手包的TCP头部信息是否为预设头部信息；

若所述TCP第一次握手包的TCP头部信息为预设头部信息，则判断所述TCP第一次握手包中的至少一个用户信息是否包括所述终端设备的登录用户信息；

若所述TCP第一次握手包中的至少一个用户信息包括所述终端设备的登录用户信息，则根据所述TCP第一次握手包中的TCP原始头部信息的备份信息，将截获的所述TCP第一次握手包还原为伪造前的原始的TCP第一次握手包并发送至网络层；

若所述TCP第一次握手包的TCP头部信息不为预设头部信息，或，若所述TCP第一次握手包中的至少一个用户信息不包括所述终端设备的登录用户信息，则将截获的所述TCP第一次握手包丢弃。

2.根据权利要求1所述的方法，其特征在于，

所述若所述TCP第一次握手包为向外部发送的数据包，则将所述TCP第一次握手包进行伪造，得到伪造的TCP第一次握手包并发送之前，所述方法还包括：

接收授权网络通讯的不同用户组之间的对应关系并保存，其中，每个用户组包括至少一个用户成员的信息；

所述若所述TCP第一次握手包为向外部发送的数据包，则将所述TCP第一次握手包进行伪造，得到伪造的TCP第一次握手包并发送，包括：

若所述TCP第一次握手包为向外部发送的数据包，则根据保存的所述对应关系确定所述终端设备的登录用户所属的第一目标用户组，以及所述对应关系中与所述第一目标用户组对应的至少一个第二目标用户组；

将所述TCP第一次握手包的TCP原始头部信息修改为预设头部信息，在所述TCP第一次握手包的TCP头部写入所述TCP第一次握手包的TCP原始头部信息的备份信息，并在所述数据区域写入所述第一目标用户组的信息以及所述至少一个第二目标用户组的信息，得到伪造的TCP第一次握手包并发送；

所述判断所述TCP第一次握手包中的至少一个用户信息是否包括所述终端设备的登录用户信息，包括：

根据保存的所述对应关系确定所述终端设备的登录用户所属的第一目标用户组；

判断所述TCP第一次握手包中的至少一个用户组的信息是否包括所述第一目标用户组。

3.根据权利要求2所述的方法，其特征在于，所述接收授权网络通讯的不同用户组之间的对应关系并保存之后，所述方法还包括：

若再次接收到授权网络通讯的不同用户组之间的对应关系，则根据再次接收到的所述对应关系对本地保存的授权网络通讯的不同用户组之间的对应关系进行更新。

4.根据权利要求1所述的方法，其特征在于，

所述截获TCP第一次握手包之前，所述方法还包括：

拦截所有IP数据包；

检测拦截到的任意一个目标IP数据包的协议类型；

若所述目标IP数据包的协议类型为UDP协议，则将拦截的所述目标IP数据包丢弃；

若所述目标IP数据包的协议类型为TCP协议，则判断所述目标IP数据包是否为第一次握手的SYN数据包；

若所述目标IP数据包不是第一次握手的SYN数据包，则将拦截的所述目标IP数据包放过；

所述截获TCP第一次握手包，包括：

若所述目标IP数据包为第一次握手的SYN数据包，则将拦截的所述目标IP数据包确定为TCP第一次握手包并截获；

若所述目标IP数据包的协议类型为除TCP协议、UDP协议之外的协议类型，则将拦截的所述目标IP数据包放过。

5.根据权利要求1所述的方法，其特征在于，所述若所述TCP第一次握手包的TCP头部信息不为预设头部信息，或，若所述TCP第一次握手包中的至少一个用户信息不包括所述终端设备的登录用户信息，则将截获的所述TCP第一次握手包丢弃之后，所述方法还包括：

将丢弃的所述TCP第一次握手包记录至目标日志文件中；

按照预设周期将所述目标日志文件上报至服务器。

6.一种网络控制装置，其特征在于，应用于终端设备，所述装置包括：

截获模块，用于截获TCP第一次握手包；

伪造模块，用于若所述TCP第一次握手包为向外部发送的数据包，则将所述TCP第一次握手包进行伪造，得到伪造的TCP第一次握手包并发送至链路层，其中，所述伪造的TCP第一次握手包的TCP原始头部信息被修改为预设头部信息，且所述伪造的TCP第一次握手包包括TCP原始头部信息的备份信息和与所述终端设备的登录用户授权网络通讯的至少一个用户信息；

第一判断模块，用于若所述TCP第一次握手包为从外部接收的数据包，则判断所述TCP第一次握手包的TCP头部信息是否为预设头部信息；

第二判断模块，用于若所述第一判断模块确定所述TCP第一次握手包的TCP头部信息为预设头部信息，则判断所述TCP第一次握手包中的至少一个用户信息是否包括所述终端设备的登录用户信息；

第一发送模块，用于若所述第二判断模块确定所述TCP第一次握手包中的至少一个用户信息包括所述终端设备的登录用户信息，则根据所述TCP第一次握手包中的TCP原始头部信息的备份信息，将截获的所述TCP第一次握手包还原为伪造前的原始的TCP第一次握手包并发送至网络层；

第一丢弃模块，用于若所述第一判断模块确定所述TCP第一次握手包的TCP头部信息不为预设头部信息，或，若所述第二判断模块确定所述TCP第一次握手包中的至少一个用户信息不包括所述终端设备的登录用户信息，则将截获的所述TCP第一次握手包丢弃。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

接收模块，用于接收授权网络通讯的不同用户组之间的对应关系并保存，其中，每个用户组包括至少一个用户成员的信息；

所述伪造模块包括：

第一确定子模块，用于若所述TCP第一次握手包为向外部发送的数据包，则根据保存的所述对应关系确定所述终端设备的登录用户所属的第一目标用户组，以及所述对应关系中与所述第一目标用户组对应的至少一个第二目标用户组；

修改子模块，用于将所述TCP第一次握手包的TCP原始头部信息修改为预设头部信息，在所述TCP第一次握手包的TCP头部写入所述TCP第一次握手包的TCP原始头部信息的备份信息，并在所述数据区域写入所述第一目标用户组的信息以及所述至少一个第二目标用户组的信息，得到伪造的TCP第一次握手包并发送；

所述第二判断模块包括：

第二确定子模块，用于根据保存的所述对应关系确定所述终端设备的登录用户所属的第一目标用户组；

判断子模块，用于判断所述TCP第一次握手包中的至少一个用户组的信息是否包括所述第一目标用户组。

8.根据权利要求7所述的装置，其特征在于，所述装置还包括：

更新模块，用于若所述接收模块再次接收到授权网络通讯的不同用户组之间的对应关系，则根据所述接收模块再次接收到的所述对应关系对本地保存的授权网络通讯的不同用户组之间的对应关系进行更新。

9.根据权利要求6所述的装置，其特征在于，所述装置还包括：

拦截模块，用于拦截所有IP数据包；

检测模块，用于检测拦截到的任意一个目标IP数据包的协议类型；

第二丢弃模块，用于若所述目标IP数据包的协议类型为UDP协议，则将拦截的所述目标IP数据包丢弃；

第三判断模块，用于若所述目标IP数据包的协议类型为TCP协议，则判断所述目标IP数据包是否为第一次握手的SYN数据包；

放过模块，用于若所述第三判断模块确定所述目标IP数据包不是第一次握手的SYN数据包，则将拦截的所述目标IP数据包放过；

所述截获模块，还用于若所述第三判断模块确定所述目标IP数据包为第一次握手的SYN数据包，则将拦截的所述目标IP数据包确定为TCP第一次握手包并截获；

所述放过模块，还用于若所述目标IP数据包的协议类型为除TCP协议、UDP协议之外的协议类型，则将拦截的所述目标IP数据包放过。

10.根据权利要求6所述的装置，其特征在于，所述装置还包括：

记录模块，用于将丢弃的所述TCP第一次握手包记录至目标日志文件中；

上报模块，用于按照预设周期将所述目标日志文件上报至服务器。

Images