本发明专利技术公开了一种在通用的智能手机系统内加载一个防火墙模块,从网络中传来的数据经由手机的4G数据接口模块直接发送给防火墙模块,经过安全策略验证通过后再通过防火墙的数据接口发送至CPU进行处理;所述防火墙模块与智能手机设备的数据接口采用串行通信接口或并行数据接口;本发明专利技术的本文则针对智能手机系统特点,采用数据过滤与数据安全防护等技术,设计一种专门针对智能手机的防火墙。
【技术实现步骤摘要】
一种手机智能终端防火墙装置
本专利技术属于手机防火墙领域,尤其涉及一种手机智能终端防火墙装置。
技术介绍
智能终端是一类嵌入式计算机系统设备,因此其体系结构框架与嵌入式系统体系结构是一致的;同时,智能终端作为嵌入式系统的一个应用方向,其应用场景设定较为明确,智能终端的个性化很强,软件与硬件结合紧密,整个系统与具体应用有机结合在一起,因此智能终端的生命周期一般较长,而系统的更新换代往往采用更换整个产品的方式。因此,在目前的网络安全领域,对于接入网络的智能终端的安全性方面的研究很少。目前的网络安全研究主要针对于某一网络或者某些特定主机、电脑、服务器等终端组成的网络的安全防护,而对于手机等智能终端网络安全防护技术研究投入力度很小,因此如果智能终端,如个人的智能手机遭受到网络攻击,很难保护其中的数据安全以及系统的正常工作。本文则针对嵌入式系统特点,采用数据过滤与数据安全防护等技术,设计一种专门针对智能手机的防火墙。
技术实现思路
专利技术目的:为了克服现有技术中存在的不足,本专利技术提供数据传输更加安全的一种手机智能终端防火墙装置。技术方案:为实现上述目的,本专利技术的一种手机智能终端防火墙装置,在通用的智能手机系统内加载一个防火墙模块,从网络中传来的数据经由手机的4G数据接口模块直接发送给防火墙模块,经过安全策略验证通过后再通过防火墙的数据接口发送至CPU进行处理;所述防火墙模块与智能手机设备的数据接口采用串行通信接口或并行数据接口。进一步的,这种防火墙模块的安全机制是根据分组包的源宿地址,端口号以及协议类型,标志确定是否允许报文通过,所根据的信息源来自于IP、TCP或UDP包头,并且采用常规防火墙中的包过滤技术,只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余不符合条件的数据包则抛弃;另外根据安全策略的规则,对输入输出的数据实行加密,认证,数字签名,完整性校验等安全措施,保证数据传输中的安全。进一步的,所述防火墙模块的访问控制安全策略是通过对输入输出数据的监控,控制其输入输出,阻挡一部分攻击。根据预先指定的安全规则,对输入输出数据进行监测,符合要求的数据允许通过,否则屏蔽掉该数据包;所述防火墙模块的数据保密与完整性安全策略是通过对传输数据的加密,封装与认证来保证数据的保密性,使得未授权的用户无法获取信息内容。进一步的,所述防火墙模块的功能模块包括内存和计算模块;以及所制定的安全策略储存模块和由安全策略制定的规则模块;还有对数据包进行是否符合规则的判断的过滤模块,以及实现和智能终端设备进行数据交换的数据接口模块;还有实现人机交互的APP控制模块,用于人为在手机操作系统中更改安全策略设置。进一步的,首先数据包从网络传输至智能手机的4G无线数据接口,无线通信技术所采用的通信协议需要进行协议转换才能对其执行后续操作,协议转换之后通过路由表提取相应的规则,对数据包进行安全策略规则判断,也即实现防火墙的包过滤功能。其中不符合安全策略规则的数据包直接丢弃,将符合安全策略的数据包进行封装,对其进行协议转换以及数据加密与认证等一系列工作,当封装完成后,通过智能手机内部的嵌入式数据接口如总线,串口等将其发送至设备的CPU进行运算。智能设备在处理完网络发送进来的数据之后,若需要向外部网络发送数据,同样通过上文的流程,即先通过内部数据接口将数据从CPU发送至防火墙模块进行协议转换与包过滤,再通过外部接口将处理过的数据发送至互联网络。进一步的,所述智能手机防火墙模块的软件模块组成部分为4个模块,分别为Bootloader,操作系统,网络接口驱动和规则判决程序。以操作系统为核心,Bootloader负责硬件的初始化,网络接口驱动程序实现与物理传输媒介的交互,规则判决程序实现防火墙的各种功能;Bootloader初始化硬件设备,建立内存空间的映射图,为最终调用嵌入式系统操作内核准备正确启动的环境;操作系统加载驱动程序,使得防火墙能够正确的接受和发送数据包;由操作系统调用规则判决程序,处理接收的数据包,并返回处理结果;根据规则判决程序的处理结果,操作系统调用规则判决程序发送允许通过的数据包。进一步的,首先确定智能手机防火墙的硬件结构,其硬件包括有进行规则运算以及数据加密运算的CPU模块;和储存安全策略规则的RAM存储模块;以及提供运行内存的Flash闪存模块;实现无线数据协议转换的ASIC芯片模块;还有最重要的与智能手机进行数据交互的数据接口模块;供电模块;智能手机防火墙的人机接口,采用JAVA开发软件设计APP,实现人对手机上的防火墙进行监控和交互;在智能手机的数据报文处理流程是在智能终端设备运行内核中注册一安全机制接口,安全机制接口与实际的网络接口一一对应,然后在路由表中增加指向防火墙安全机制接口的入口,使所有输入输出的数据包直接送往安全处理机制接口,然后将分组封装处理程序放在安全处理机制(即防火墙)里,从而使得不必修改IP的源码,防火墙安全治理机制中的模块包括:策略数据库SPD的查询,规则的选择以及分组的封装处理;最后的数据包送往智能终端设备的数据接口,实现了安全通信。有益效果:本专利技术的本文则针对智能手机系统特点,采用数据过滤与数据安全防护等技术,设计一种专门针对智能手机的防火墙,智能手机防火墙提供的实现人机交互的防火墙操作APP,使得用户可以根据个人习惯进行安全策略的调整,阻止执行或下载某些程序,或者隔离特定的IP实现对传输数据选择性的过滤,以适应不同用户的上网习惯。同时还可以记录拦截数据的日志以供用户查询。附图说明图1.智能终端设备接入网络示意图;图2.智能手机防火墙示意图;图3.防火墙功能模块图;图4.防火墙工作流程图;图5.信息交互结构图;图6.智能手机防火墙的硬件结构示意图。具体实施方式下面结合附图对本专利技术作更进一步的说明。如附图1至6所示,目前市场中常用的智能终端设备,其嵌入式系统在接入网络时,直接从网络服务器接收数据,缺乏硬件和软件安全防护手段,极易受到攻击。通用的以无线方式连接网络的智能终端图示如下。如图1可知,信息直接从网络中传输到智能终端设备的数据接口,然后由数据接口发送至CPU模块。本文提出的智能手机防火墙设计,在通用的智能手机系统内加载一个防火墙模块,从网络中传来的数据经由手机的4G数据接口模块直接发送给防火墙模块,经过安全策略验证通过后再通过防火墙的数据接口发送至CPU进行处理。图2所示如下。其中防火墙与智能手机设备的数据接口可以采用串行通信接口,如UART、SPI、USB、JTAG接口等,也可以采用并行数据接口,如SPP或者EPP接口。以满足不同设备的不同需要。而无线数据接口则可以根据不同的无线通信技术采用相对应的接口,如3G、4G、5G等移动通信,以及Zigbee、WiFi、蓝牙、超宽带等无线通信。由于智能终端设备储存器较小,处理器处理数据能力较差,因此采用独立的外接模块加载在终端的嵌入式系统上,智能终端设备与网络之间的数据交换全部需要通过这个外接模块的检测过滤,以此实现防火墙功能。智能终端设备功能相对单一,所受到的攻击模式一般也比较单一。而且智能终端设备的网络功能比较单一,这样就可以限制其它的访问方式,减少被攻击的机会。嵌入式系统的储存能力相对较弱,使得一些常驻存储器的病毒较难存在,同时也使得内本文档来自技高网...
【技术保护点】
1.一种手机智能终端防火墙装置,其特征在于:在通用的智能手机系统内加载一个防火墙模块,从网络中传来的数据经由手机的4G数据接口模块直接发送给防火墙模块,经过安全策略验证通过后再通过防火墙的数据接口发送至CPU进行处理;所述防火墙模块与智能手机设备的数据接口采用串行通信接口或并行数据接口。
【技术特征摘要】
1.一种手机智能终端防火墙装置,其特征在于:在通用的智能手机系统内加载一个防火墙模块,从网络中传来的数据经由手机的4G数据接口模块直接发送给防火墙模块,经过安全策略验证通过后再通过防火墙的数据接口发送至CPU进行处理;所述防火墙模块与智能手机设备的数据接口采用串行通信接口或并行数据接口。2.根据权利要求1所述的一种手机智能终端防火墙装置,其特征在于:这种防火墙模块的安全机制是根据分组包的源宿地址,端口号以及协议类型,标志确定是否允许报文通过,所根据的信息源来自于IP、TCP或UDP包头,并且采用常规防火墙中的包过滤技术,只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余不符合条件的数据包则抛弃;另外根据安全策略的规则,对输入输出的数据实行加密,认证,数字签名,完整性校验等安全措施,保证数据传输中的安全。3.根据权利要求2所述的一种手机智能终端防火墙装置,其特征在于:所述防火墙模块的访问控制安全策略是通过对输入输出数据的监控,控制其输入输出,阻挡一部分攻击。根据预先指定的安全规则,对输入输出数据进行监测,符合要求的数据允许通过,否则屏蔽掉该数据包;所述防火墙模块的数据保密与完整性安全策略是通过对传输数据的加密,封装与认证来保证数据的保密性,使得未授权的用户无法获取信息内容。4.根据权利要求3所述的一种手机智能终端防火墙装置,其特征在于:所述防火墙模块的功能模块包括内存和计算模块;以及所制定的安全策略储存模块和由安全策略制定的规则模块;还有对数据包进行是否符合规则的判断的过滤模块,以及实现和智能终端设备进行数据交换的数据接口模块;还有实现人机交互的APP控制模块,用于人为在手机操作系统中更改安全策略设置。5.根据权利要求4所述的一种手机智能终端防火墙装置,其特征在于:首先数据包从网络传输至智能手机的4G无线数据接口,无线通信技术所采用的通信协议需要进行协议转换才能对其执行后续操作,协议转换之后通过路由表提取相应的规则,对数据包进行安全策略规则判断,也即实现防火墙的包过滤功能。其中不符合安全策略规则的数据包直接丢弃,将符合安全策略的数据包进行封装,对其进行协议转换...
【专利技术属性】
技术研发人员:华翔,孙一阳,
申请(专利权)人:西安工业大学,
类型:发明
国别省市:陕西,61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。