CN113992699A - 一种基于网卡镜像的跨网络全流量数据监管方法 - Google Patents

一种基于网卡镜像的跨网络全流量数据监管方法 Download PDF

Info

Publication number
CN113992699A
CN113992699A CN202111262009.6A CN202111262009A CN113992699A CN 113992699 A CN113992699 A CN 113992699A CN 202111262009 A CN202111262009 A CN 202111262009A CN 113992699 A CN113992699 A CN 113992699A
Authority
CN
China
Prior art keywords
data
security gateway
network
packet
mirror image
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111262009.6A
Other languages
English (en)
Other versions
CN113992699B (zh
Inventor
马玉喜
朱振中
张晓伟
赵毅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Koal Safety Technology Co ltd
Original Assignee
Shanghai Koal Safety Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Koal Safety Technology Co ltd filed Critical Shanghai Koal Safety Technology Co ltd
Priority to CN202111262009.6A priority Critical patent/CN113992699B/zh
Priority claimed from CN202111262009.6A external-priority patent/CN113992699B/zh
Publication of CN113992699A publication Critical patent/CN113992699A/zh
Application granted granted Critical
Publication of CN113992699B publication Critical patent/CN113992699B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开的一种基于网卡镜像的跨网络全流量数据监管方法,包括以下步骤:对安全网关的网络端口进行配置;对终端设备、安全网关、应用服务器和监管服务器的IP地址进行配置;终端设备将数据请求包进行加密处理并发送至安全网关;安全网关对数据请求包进行解密处理,一方面将解密后的数据请求包发送至应用服务器,另一方面对解密后的数据请求包进行流量镜像处理并发送至所述监管服务器;应用服务器对数据请求包进行处理,生成数据响应包,并发送至所述安全网关;以及安全网关接收到数据响应包后,一方面将数据响应包发送至终端设备,另一方面对数据响应包进行流量镜像处理并发送至监管服务器。本发明实现了基于网卡镜像的跨网络全流量数据监管。

Description

一种基于网卡镜像的跨网络全流量数据监管方法
技术领域
本发明涉及计算机网络通信技术领域,尤其涉及一种基于网卡镜像的跨网络全流量数据监管方法。
背景技术
基于网络的各种技术的快速发展,互联网也逐渐成为人们工作生活的必需品。企业办公、信息交流等活动越来越依赖于网络,随之而来数据安全,网络监管也成为了各大企业所需要面对的问题。
对于很多公司而言,通常会将受保护的应用服务器通过内外网进行隔离,再在网络边界处部署一台安全网关将内外网串联,使得内网应用对外提供服务。如果在复杂的网络环境下,例如某公司存在多处办事处或分公司,应用资源位于不同的城市中;某公司的内网应用在公司的内、外网不同VLAN中都存在使用,在这种情况下,安全网关的网卡镜像都是将网卡流量进行镜像,转发给指定目标,但是转发的数据中的来源地址和目的地址均没有改变,这种流量镜像的监管方法会限制流量镜像在复杂网络环境中的运用。
为此,本申请人经过有益的探索和研究,找到了解决上述问题的方法,下面将要介绍的技术方案便是在这种背景下产生的。
发明内容
本发明所要解决的技术问题在于:针对现有技术的不足而提供一种基于网卡镜像的跨网络全流量数据监管方法。
本发明所要解决的技术问题可以采用如下技术方案来实现:
一种基于网卡镜像的跨网络全流量数据监管方法,包括以下步骤:
将安全网关的第一网络端口与终端设备进行网络连接,其第二网络端口与应用服务器进行网络连接,其第三网络端口与监管服务器进行网络连接;
对所述终端设备的IP地址、所述安全网关的IP地址、所述应用服务器的IP地址以及所述监管服务器的IP地址进行配置;
当所述终端设备需要访问所述应用服务器时,所述终端设备将数据请求包进行加密处理并发送至所述安全网关;
所述安全网关对接收到的数据请求包进行解密处理,一方面通过所述安全网关的第二网络端口将解密后的数据请求包发送至所述应用服务器,另一方面对解密后的数据请求包进行流量镜像处理,并将处理后得到的镜像数据包通过所述安全网关的第三网络端口发送至所述监管服务器;
所述应用服务器对所述安全网关发送的数据请求包进行处理,生成数据响应包,并通过所述安全网关的第二网络端口将所述数据响应包发送至所述安全网关;以及
所述安全网关接收到所述数据响应包后,一方面将所述数据响应包发送至终端设备,另一方面对所述数据响应包进行流量镜像处理,并将处理后得到的镜像数据包通过所述安全网关的第三网络端口发送至所述监管服务器。
在本发明的一个优选实施例中,所述对解密后的数据请求包进行流量镜像处理,并将处理后得到的镜像数据包通过所述安全网关的第三网络端口发送至所述监管服务器,包括以下步骤:
在所述安全网关与所述应用服务器连接的第二网络端口上添加数据发送策略;
根据数据发送策略采用TEE模块对解密后的数据请求包进行流量镜像处理,并通过TEE模块将处理得到的镜像数据包的目标地址修改为所述监管服务器的IP地址;以及
将处理得到的镜像数据包通过所述安全网关的第三网络端口发送至所述监管服务器。
在本发明的一个优选实施例中,所述数据发送策略为所有从所述安全网关的第二网络端口发送的数据包均采用TEE模块进行流量镜像处理,并通过TEE模块将处理得到的镜像数据包的目标地址修改为所述监管服务器的IP地址,以使得处理得到的镜像数据包从所述安全网关的第三网络端口发送至所述监管服务器。
在本发明的一个优选实施例中,所述对所述数据响应包进行流量镜像处理,并将处理后得到的镜像数据包通过所述安全网关的第三网络端口发送至所述监管服务器,包括以下步骤:
在所述安全网关与所述应用服务器连接的第二网络端口上添加数据接收策略;
根据数据接收策略采用TEE模块对接收到的数据响应包进行流量镜像处理,并通过TEE模块将处理得到的镜像数据包的目标地址修改为所述监管服务器的IP地址;以及
将处理得到的镜像数据包通过所述安全网关的第三网络端口发送至所述监管服务器。
在本发明的一个优选实施例中,所述数据接收策略为所有从所述安全网关的第二网络端口接收到的数据包均采用TEE模块进行流量镜像处理,并通过TEE模块将处理得到的镜像数据包的目标地址修改为所述监管服务器的IP地址,以使得处理得到的镜像数据包从所述安全网关的第三网络端口发送至所述监管服务器。
由于采用了如上技术方案,本发明的有益效果在于:本发明在可以获取到明文数据包的安全网关上,使用端口流量镜像复制出一份相同的数据包,并通过修改数据包的目的地址,使得数据包在网络传输中按照正常的数据包进行传输,不受网络环境的影响,从而达到在复杂的网络环境中实现全流量数据监管的效果,即实现了基于网卡镜像的跨网络全流量数据监管。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的流程示意图。
图2是本发明所应用的系统的结构示意图。
图3是本发明的访问者请求发送监管的示意图。
图4是本发明的应用服务器汇报发送监管的示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
参见图1并结合图2,图中给出的是一种基于网卡镜像的跨网络全流量数据监管方法,包括以下步骤:
步骤S10,将安全网关100的第一网络端口110(eth0)与终端设备200进行网络连接,其第二网络端口120(eth1)与应用服务器300进行网络连接,其第三网络端口130(eth2)与监管服务器400进行网络连接。
步骤S20,对终端设备200的IP地址、安全网关100的IP地址、应用服务器300的IP地址以及监管服务器400的IP地址进行配置。在本实施例中,终端设备200的IP地址配置为c1:x.x.1.1(cip);安全网关100的IP地址配置为第一网络端口110(eth0)为x.x.1.2(g0ip),第二网络端口120(eth1)为x.x.2.1(g1ip),第三网络端口130(eth2)为x.x.3.1(g2ip);应用服务器300的IP地址配置为x.x.2.2(sip);监管服务器400的IP地址配置为x.x.4.1(tip)。
步骤S30,当终端设备200需要访问应用服务器300时,终端设备200将数据请求包进行加密处理并发送至安全网关100。
步骤S40,安全网关100对接收到的数据请求包进行解密处理,一方面通过安全网关100的第二网络端口120将解密后的数据请求包发送至应用服务器300,另一方面对解密后的数据请求包进行流量镜像处理,并将处理后得到的镜像数据包通过安全网关100的第三网络端口130发送至监管服务器400,如图3所示。
步骤S50,应用服务器300对安全网关100发送的数据请求包进行处理,生成数据响应包,并通过安全网关100的第二网络端口120将数据响应包发送至安全网关100。
步骤S60,安全网关100接收到数据响应包后,一方面将数据响应包发送至终端设备200,另一方面对数据响应包进行流量镜像处理,并将处理后得到的镜像数据包通过安全网关100的第三网络端口130发送至监管服务器400,如图4所示。
在步骤S40中,对解密后的数据请求包进行流量镜像处理,并将处理后得到的镜像数据包通过安全网关100的第三网络端口130发送至监管服务器400,包括以下步骤:
步骤S41,在安全网关100与应用服务器300连接的第二网络端口120上添加数据发送策略。在本实施例中,该数据发送策略为即在iptables的postrouting链上增加所有从安全网关100的第二网络端口120发送的数据包均采用TEE模块进行流量镜像处理,并通过TEE模块将处理得到的镜像数据包的目标地址修改为监管服务器400的IP地址,以使得处理得到的镜像数据包从安全网关100的第三网络端口130发送至监管服务器400。
步骤S42,根据数据发送策略采用TEE模块对解密后的数据请求包进行流量镜像处理,并通过TEE模块将处理得到的镜像数据包的目标地址修改为监管服务器400的IP地址。
步骤S43,将处理得到的镜像数据包通过安全网关100的第三网络端口130发送至监管服务器400。
在步骤S60中,对数据响应包进行流量镜像处理,并将处理后得到的镜像数据包通过安全网关100的第三网络端口130发送至监管服务器400,包括以下步骤:
步骤S61,在安全网关100与应用服务器300连接的第二网络端口120上添加数据接收策略。具体地,该数据接收策略为在iptables的postrouting链上增加所有从安全网关100的第二网络端口120接收到的数据包均采用TEE模块进行流量镜像处理,并通过TEE模块将处理得到的镜像数据包的目标地址修改为监管服务器400的IP地址,以使得处理得到的镜像数据包从安全网关100的第三网络端口130发送至监管服务器400。
步骤S62,根据数据接收策略采用TEE模块对接收到的数据响应包进行流量镜像处理,并通过TEE模块将处理得到的镜像数据包的目标地址修改为监管服务器400的IP地址。
步骤S63,将处理得到的镜像数据包通过安全网关100的第三网络端口130发送至监管服务器400。
本发明使用iptables的TEE模块实现指定网卡的数据镜像。由于传统的TEE模块是将网卡流量镜像,再发往指定的路由下一跳设备,并没有针对镜像流量的数据包进行处理,也就是说,监管服务器必须与安全网关在同一网络下,如果不在同一网络,中间设备无法进行路由转发,达到数据监管的目的。为了解决此问题,本发明需要编写iptables的TEE模块,即将TEE模块修改成并不是简单的流量镜像转发,而是对镜像流量的数据报在网络传输层,将目的地址修改成监管的地址,然后按照正常的网络数据报进行发送。
本发明在可以获取到明文数据包的安全网关上,使用端口流量镜像复制处一份相同的数据包,并通过修改数据包的目的地址,使得数据包在网络传输中按照正常的数据包进行传输,不受网络环境的影响,从而达到在复杂的网络环境中实现全流量数据监管的效果,即实现了基于网卡镜像的跨网络全流量数据监管。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (5)

1.一种基于网卡镜像的跨网络全流量数据监管方法,其特征在于,包括以下步骤:
将安全网关的第一网络端口与终端设备进行网络连接,其第二网络端口与应用服务器进行网络连接,其第三网络端口与监管服务器进行网络连接;
对所述终端设备的IP地址、所述安全网关的IP地址、所述应用服务器的IP地址以及所述监管服务器的IP地址进行配置;
当所述终端设备需要访问所述应用服务器时,所述终端设备将数据请求包进行加密处理并发送至所述安全网关;
所述安全网关对接收到的数据请求包进行解密处理,一方面通过所述安全网关的第二网络端口将解密后的数据请求包发送至所述应用服务器,另一方面对解密后的数据请求包进行流量镜像处理,并将处理后得到的镜像数据包通过所述安全网关的第三网络端口发送至所述监管服务器;
所述应用服务器对所述安全网关发送的数据请求包进行处理,生成数据响应包,并通过所述安全网关的第二网络端口将所述数据响应包发送至所述安全网关;以及
所述安全网关接收到所述数据响应包后,一方面将所述数据响应包发送至终端设备,另一方面对所述数据响应包进行流量镜像处理,并将处理后得到的镜像数据包通过所述安全网关的第三网络端口发送至所述监管服务器。
2.如权利要求1所述的基于网卡镜像的跨网络全流量数据监管方法,其特征在于,所述对解密后的数据请求包进行流量镜像处理,并将处理后得到的镜像数据包通过所述安全网关的第三网络端口发送至所述监管服务器,包括以下步骤:
在所述安全网关与所述应用服务器连接的第二网络端口上添加数据发送策略;
根据数据发送策略采用TEE模块对解密后的数据请求包进行流量镜像处理,并通过TEE模块将处理得到的镜像数据包的目标地址修改为所述监管服务器的IP地址;以及
将处理得到的镜像数据包通过所述安全网关的第三网络端口发送至所述监管服务器。
3.如权利要求2所述的基于网卡镜像的跨网络全流量数据监管方法,其特征在于,所述数据发送策略为所有从所述安全网关的第二网络端口发送的数据包均采用TEE模块进行流量镜像处理,并通过TEE模块将处理得到的镜像数据包的目标地址修改为所述监管服务器的IP地址,以使得处理得到的镜像数据包从所述安全网关的第三网络端口发送至所述监管服务器。
4.如权利要求1所述的基于网卡镜像的跨网络全流量数据监管方法,其特征在于,所述对所述数据响应包进行流量镜像处理,并将处理后得到的镜像数据包通过所述安全网关的第三网络端口发送至所述监管服务器,包括以下步骤:
在所述安全网关与所述应用服务器连接的第二网络端口上添加数据接收策略;
根据数据接收策略采用TEE模块对接收到的数据响应包进行流量镜像处理,并通过TEE模块将处理得到的镜像数据包的目标地址修改为所述监管服务器的IP地址;以及
将处理得到的镜像数据包通过所述安全网关的第三网络端口发送至所述监管服务器。
5.如权利要求4所述的基于网卡镜像的跨网络全流量数据监管方法,其特征在于,所述数据接收策略为所有从所述安全网关的第二网络端口接收到的数据包均采用TEE模块进行流量镜像处理,并通过TEE模块将处理得到的镜像数据包的目标地址修改为所述监管服务器的IP地址,以使得处理得到的镜像数据包从所述安全网关的第三网络端口发送至所述监管服务器。
CN202111262009.6A 2021-10-28 一种基于网卡镜像的跨网络全流量数据监管方法 Active CN113992699B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111262009.6A CN113992699B (zh) 2021-10-28 一种基于网卡镜像的跨网络全流量数据监管方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111262009.6A CN113992699B (zh) 2021-10-28 一种基于网卡镜像的跨网络全流量数据监管方法

Publications (2)

Publication Number Publication Date
CN113992699A true CN113992699A (zh) 2022-01-28
CN113992699B CN113992699B (zh) 2024-07-05

Family

ID=

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040181599A1 (en) * 2001-03-21 2004-09-16 Norbert Kreusch Method and telecommunications system for monitoring a data flow in a data network
CN105743734A (zh) * 2016-01-22 2016-07-06 北京航空航天大学 虚拟机镜像流量传输的控制方法和装置
CN106375160A (zh) * 2016-10-28 2017-02-01 上海优刻得信息科技有限公司 流量监测系统及流量监测方法
CN106375384A (zh) * 2016-08-28 2017-02-01 北京瑞和云图科技有限公司 一种虚拟网络环境中镜像网络流量的管理系统和控制方法
CN108494657A (zh) * 2018-04-08 2018-09-04 苏州云杉世纪网络科技有限公司 基于Open vSwitch的OpenStack云平台虚拟探针镜像方法
CN109194747A (zh) * 2018-09-10 2019-01-11 四川长虹电器股份有限公司 云环境下的流量镜像方法及系统
CN110198297A (zh) * 2018-10-08 2019-09-03 腾讯科技(深圳)有限公司 流量数据监控方法、装置、电子设备及计算机可读介质
CN110545213A (zh) * 2019-08-12 2019-12-06 安徽云探索网络科技有限公司 计算机网络数据流量监测系统及方法
CN111181799A (zh) * 2019-10-14 2020-05-19 腾讯科技(深圳)有限公司 一种网络流量监控方法及设备
CN113507461A (zh) * 2021-07-01 2021-10-15 交通运输信息安全中心有限公司 基于大数据的网络监控系统及网络监控方法

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040181599A1 (en) * 2001-03-21 2004-09-16 Norbert Kreusch Method and telecommunications system for monitoring a data flow in a data network
CN105743734A (zh) * 2016-01-22 2016-07-06 北京航空航天大学 虚拟机镜像流量传输的控制方法和装置
CN106375384A (zh) * 2016-08-28 2017-02-01 北京瑞和云图科技有限公司 一种虚拟网络环境中镜像网络流量的管理系统和控制方法
CN106375160A (zh) * 2016-10-28 2017-02-01 上海优刻得信息科技有限公司 流量监测系统及流量监测方法
CN108494657A (zh) * 2018-04-08 2018-09-04 苏州云杉世纪网络科技有限公司 基于Open vSwitch的OpenStack云平台虚拟探针镜像方法
CN109194747A (zh) * 2018-09-10 2019-01-11 四川长虹电器股份有限公司 云环境下的流量镜像方法及系统
CN110198297A (zh) * 2018-10-08 2019-09-03 腾讯科技(深圳)有限公司 流量数据监控方法、装置、电子设备及计算机可读介质
CN110545213A (zh) * 2019-08-12 2019-12-06 安徽云探索网络科技有限公司 计算机网络数据流量监测系统及方法
CN111181799A (zh) * 2019-10-14 2020-05-19 腾讯科技(深圳)有限公司 一种网络流量监控方法及设备
CN113507461A (zh) * 2021-07-01 2021-10-15 交通运输信息安全中心有限公司 基于大数据的网络监控系统及网络监控方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
LIANG-MIN WANG等: "Design of a Real-Time Traffic Mirroring System", 2021 IFIP/IEEE INTERNATIONAL SYMPOSIUM ON INTEGRATED NETWORK MANAGEMENT (IM), 30 June 2021 (2021-06-30) *
李憧;刘鹏;蔡国庆;: "基于流量感知的动态网络资产监测研究", 信息安全研究, no. 06, 4 June 2020 (2020-06-04) *
陈训逊, 方滨兴, 李蕾: "高速网络环境下入侵检测系统结构研究", 计算机研究与发展, no. 09, 16 September 2004 (2004-09-16) *

Similar Documents

Publication Publication Date Title
US6044402A (en) Network connection blocker, method, and computer readable memory for monitoring connections in a computer network and blocking the unwanted connections
US7873993B2 (en) Propagating black hole shunts to remote routers with split tunnel and IPSec direct encapsulation
JP3009737B2 (ja) 相互接続コンピュータネットワークの機密保護装置
US7533409B2 (en) Methods and systems for firewalling virtual private networks
US6591306B1 (en) IP network access for portable devices
US8019850B2 (en) Virtual private network management
US8548132B1 (en) Lawful intercept trigger support within service provider networks
US7480794B2 (en) System and methods for transparent encryption
US7962743B2 (en) System and method for protected spoke to spoke communication using an unprotected computer network
CN101999120B (zh) 用于启用直接访问和安全评估共享的硬件接口
US8510376B2 (en) Processing requests transmitted using a first communication directed to an application that uses a second communication protocol
US20130074173A1 (en) Control of Security Application in a LAN from Outside the LAN
US20020133549A1 (en) Generic external proxy
US20090199290A1 (en) Virtual private network system and method
US8199916B2 (en) Selectively loading security enforcement points with security association information
US20070002768A1 (en) Method and system for learning network information
US20050086533A1 (en) Method and apparatus for providing secure communication
KR20030013496A (ko) 다중 터널 브이피엔 게이트웨이를 이용한 데이터 전송 장치
CN116170409B (zh) 一种基于虚拟域名的sd-wan网络地址规划系统
CN113992699A (zh) 一种基于网卡镜像的跨网络全流量数据监管方法
CN113992699B (zh) 一种基于网卡镜像的跨网络全流量数据监管方法
US7577837B1 (en) Method and apparatus for encrypted unicast group communication
EP3796602B1 (en) Network system, network operation center, network device, and program
CN110086702B (zh) 报文转发方法、装置、电子设备及机器可读存储介质
US20060198374A1 (en) Special format computer network address for use with a computer network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant