移動終端預設聯網地址防火墻隔離應用系統(tǒng)的制作方法
【專利摘要】本發(fā)明提出的一種移動終端預設聯網地址防火墻隔離應用系統(tǒng),包括:內嵌于移動終端操作系統(tǒng)內核中的防火墻隔離模塊和通過數據通道傳輸數據的應用層。防火墻隔離模塊內嵌IP地址分析模塊,IP地址分析模塊對所有聯網IP地址數據進行分析,根據內含預設指定的聯網IP地址和指定IP地址集合模塊,對所有流向外部網絡的數據流進行監(jiān)控,當檢測到聯網IP地址數據包內含有預設指定的聯網IP地址后,防火墻隔離模塊啟動過濾規(guī)則,將非指定聯網地址外的所有聯網IP地址數據包屏蔽,禁止訪問非指定的聯網地址外的其它IP地址,只允許預設指定聯網IP地址數據訪問各種網絡。本發(fā)明通過移動終端聯網防護和防火墻管理,有效杜絕了訪問特定目標IP地址連接互聯網,賬戶或信息的泄露。
【專利說明】移動終端預設聯網地址防火墻隔離應用系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及移動終端操作系統(tǒng)和在操作系統(tǒng)中采用防火墻針對不同聯網地址提供數據隔離進行聯網的系統(tǒng)及其創(chuàng)建方法。
【背景技術】
[0002]隨著移動互聯網的高速發(fā)展,各類移動應用層出不窮,黑客入侵、釣魚網站等各種非法手段無時無刻不在侵害互聯網的安全,各種預裝軟件、病毒打包等威脅手機網絡安全的問題日益突出,并逐漸形成黑色產業(yè)鏈。互聯網應用系統(tǒng)的安全,日益成為人們關注的焦點。棱鏡門之后,人們發(fā)現,在擁有強大技術實力的美國政府面前,任何互聯網公司包括當前擁有互聯網技術最頂尖科技的蘋果和谷歌公司,只要在互聯網上建立的信息系統(tǒng),即使擁有各類安全防護措施,都無法避免信息被竊取的安全漏洞。玩過游戲私服的朋友都知道,私服是極易受到攻擊的,一旦受到攻擊,輕則游戲變卡,重則徹底無法登錄。那么黑客對私服發(fā)起了何種攻擊,有什么辦法可以讓私服服務器徹底崩潰呢?黑客攻擊私服的手段,不外乎入侵服務器和DDOS攻擊。前者的成功率不高,即使入侵成功,最多也就得到GM賬號,在游戲里亂改一通。但是后者就完全不一樣了,DDOS的攻擊威力大得驚人,可以讓游戲中的玩家瞬間集體掉線,甚至無法登錄,如果黑客對某個私服有深仇大恨,甚至可以讓私服永久無法上線,造成毀滅性打擊。所謂的DD0S,全稱為“分布式拒絕服務攻擊”,即黑客控制數量龐大的肉雞群對某網站進行數據包洪水攻擊,造成網絡帶寬堵塞,從而實現攻擊的效果。那么DDOS的攻擊力有多大?可以這樣說,100只肉雞可以秒殺個人網站,1000只肉雞可以秒殺私服和中型網站,10000只肉雞可以秒殺地方門戶網站。可見,要攻擊私服的話只需幾百臺肉雞就可以完成。一個不安全的無線網絡可能造成服務丟失或是被利用來對其他網絡發(fā)起攻擊。
[0003]在傳統(tǒng)【技術領域】,物理隔離是保障內部網絡安全最重要最有效的舉措,無論銀行信息系統(tǒng)還是政府信息系統(tǒng)都是使用與互聯網物理隔離的內部網絡來保障信息安全的。使用與互聯網物理隔離的內部網絡由于杜絕了互聯網的聯網通道,任何黑客都無法進行入侵。對于普通用戶而言,接入點名稱APN (Access Point Name)只是為了上網而在手機終端上預先配置或手工設定的一組參數。而對于移動網絡來說,APN是用來實現用戶互聯網協(xié)議IP報文路由至相應GPRS網絡路由器GGSN及外部網絡的必不可少的標識,其作用具體包括:APN作為路由標識:GPRS服務支持節(jié)點SGSN根據APN,向特定域名系統(tǒng)DNS服務器查詢該APN對應的GGSN IP地址,以確定用戶應接入的GGSN ;APN作為業(yè)務域標識:GGSN根據APN不同,將用戶的業(yè)務流送到不同的業(yè)務域,而不同的業(yè)務域則對應了不同的業(yè)務承載組網方式、用戶標識獲取方式、計費模式等。服務支持節(jié)點SGSN作為GPRS/TD-SCDMA (WCDMA)核心網分組域設備重要組成部分,主要完成分組數據包的路由轉發(fā)、移動性管理、會話管理、邏輯鏈路管理、鑒權和加密、話單產生和輸出等功能。SGSN即GPRS服務支持節(jié)點,它通過Gb接口提供與無線分組控制器PCU的連接,進行移動數據的管理,如用戶身份識別,力口密,壓縮等功能;通過Gr接口與HLR相連,進行用戶數據庫的訪問及接入控制;它還通過Gn接口與GGSN相連,提供IP數據包到無線單元之間的傳輸通路和協(xié)議變換等功能;SGSN還可以提供與MSC的Gs接口連接以及與SMSC之間的Gd接口連接,用以支持數據業(yè)務和電路業(yè)務的協(xié)同工作和短信收發(fā)等功能。SGSN與GGSN配合,共同承擔TD-SCDMA (WCDMA)的PS功能。當作為GPRS網絡的一個基本的組成網元時,通過Gb接口和BSS相連。其主要的作用就是為本SGSN服務區(qū)域的MS進行移動性管理,并轉發(fā)輸入/輸出的IP分組,其地位類似于GSM電路網中的VMSC。此外,SGSN中還集成了類似于GSM網絡中YLS的功能,當用戶處于GPRS Attach (GPRS附著)狀態(tài)時,SGSN中存儲了同分組相關的用戶信息和位置信息。當SGSN作為TD-SCDMA (WCDMA)核心網的PS域功能節(jié)點,它通過Iu_PS接口與UTRAN相連,主要提供PS域的路由轉發(fā)、移動性管理、會話管理、鑒權和加密等功能。GGSN9811主要提以中國移動最早提供、也是目前用戶使用最廣的兩個APN——CMWAP、CMNET為例:
DCMWAP APN
CMWAP和CMNET是中國移動人為劃分的兩個GPRS接入通道。前者是為手機WAP上網而設立的,后者則主要是為PC、筆記本電腦、PDA等利用GPRS上網服務。CMWAPAPN在設計之初主要面向基于HTTP協(xié)議的業(yè)務,如WAP上網瀏覽,彩信等。隨著數據業(yè)務的不斷發(fā)展,為了支持逐漸引入的非超文本傳輸協(xié)議HTTP的業(yè)務,無線應用協(xié)議WAP域通過進行升級改造和配置,逐漸演變?yōu)槊嫦蚪^大多數自營業(yè)務和合作業(yè)務的默認業(yè)務域,面向用戶提供彩信、PM、流媒體、通用下載、快訊、音樂隨身聽、游戲等業(yè)務。CMWAPAPN使用了 WAP網關作為HTTP訪問的代理節(jié)點,同時可面向用戶提供一些輔助功能,例如免輸手機號碼、內容轉換、適配預判等。
[0004]2) CMNET APN
CMNET是為了開展開放的互聯網接入服務設置的APN,用戶可使用任何協(xié)議訪問互聯網,沒有任何控制和限制策略,但同時也不提供其它輔助功能。使用CMNET APN時,移動終端通過接入地SGSN就近接入GGSN,業(yè)務數據流通過GGSN對應的防火墻進行NAT地址轉換后接入互聯網。
[0005]防火墻是設置在不同網絡(如可信任的企業(yè)內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。現有技術防火墻,一般是通過設備提供的BYOD管理功能封堵來歷不明的移動終端,將防火墻作為網關設備部署在互聯網出口,而現有移動終端內部并未提供相應的防火墻。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內部網和Internet之間的任何活動,保證了內部網絡的安全。防火墻總體上分為包過濾、應用級網關和代理服務器等幾大類型。數據包過濾(Packet Filtering)技術是在網絡層對數據包進行選擇,選擇的依據是系統(tǒng)內設置的過濾邏輯,被稱為訪問控制表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數據包通過。數據包過濾防火墻的缺點有二:一是非法訪問一旦突破防火墻,即可對主機上的軟件和配置漏洞進行攻擊;二是數據包的源地址、目的地址以及IP的端口號都在數據包的頭部,很有可能被竊聽或假冒。應用級網關(Application Level Gateways)是在網絡應用層上建立協(xié)議過濾和轉發(fā)功能。它針對特定的網絡應用服務協(xié)議使用指定的數據過濾邏輯,并在過濾的同時,對數據包進行必要的分析、登記和統(tǒng)計,形成報告。實際中的應用網關通常安裝在專用工作站系統(tǒng)上。數據包過濾和應用網關防火墻有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。一旦滿足邏輯,則防火墻內外的計算機系統(tǒng)建立直接聯系,防火墻外部的用戶便有可能直接了解防火墻內部的網絡結構和運行狀態(tài)。
[0006]代理服務(ProxyService)也稱鏈路級網關或TCP通道(Circuit Level Gatewaysor TCP Tunnels),也有人將它歸于應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火墻技術,其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統(tǒng)間應用層的〃鏈接〃,由兩個終止代理服務器上的〃鏈接〃來實現,外部計算機的網絡鏈路只能到達代理服務器,從而起到了隔離防火墻內外計算機系統(tǒng)的作用。在廣域網系統(tǒng)中,由于安全的需要,總部的局域網可以將各分支機構的局域網看成不安全的系統(tǒng),(通過公網ChinaPac, ChinaDDN, Frame Relay等連接)在總部的局域網和各分支機構連接時采用防火墻隔離,并利用VPN構成虛擬專網;總部的局域網和分支機構的局域網是通過Internet連接,需要各自安裝防火墻,并利用NetScreen的VPN組成虛擬專網。
[0007]VPDN是虛擬撥號專用網絡(VirtualPrivateDialupNetwork)的縮寫,它基于撥號用戶的虛擬專用撥號網業(yè)務,利用IP和其它網絡的承載功能,結合相應的認證和授權機制,可以建立安全的虛擬專用網絡。VPDN網絡結構由局端或稱為中心端和客戶系統(tǒng)組成。VPDN的具體實現是采用隧道技術,即將企業(yè)網的數據封裝在隧道中進行傳輸。隧道技術的基本過程是在源局域網與公網的接口處將數據作為負載封裝,在一種可以在公網上傳輸的數據格式中,在目的局域網與公網的接口處將數據解封裝,取出負載。被封裝的數據包在互聯網上傳遞時所經過的邏輯路徑被稱為“隧道”。要使數據順利地被封裝、傳送及解封裝,通信協(xié)議是保證的核心。VPDN業(yè)務主要面向企業(yè)以及政府管理部門。企業(yè)申請該業(yè)務后,只需要將其企業(yè)內部網通過一條專線接入到互聯網絡,用戶即可在國內任何地方撥號使用VPDN業(yè)務進入到該虛擬專用網中,安全地訪問自己所需要的信息資源。用戶可以方便靈活地自行對所屬撥號用戶進行開戶、銷戶、設置用戶權限等操作。移動網絡VPDN與普通的VPDN不同之處主要體現的是無線上網的概念,利用移動網絡的無線數據網絡為無線移動用戶構建虛擬專用網絡,從而使用戶在任何地點都能夠通過無線數據網絡,實現專用線路的連接。無線VPDN網絡雖然設計上希望可以保障信息與系統(tǒng)安全,但是在移動終端上VPDN通道的使用存在二大問題:
首先,VPDN通道的連接是使用一段撥號程序進行鏈路連接,即在數據連接通道上使用了 VPN的連接協(xié)議,其本質還是一段公開的代碼,不具備數據隔離和加密的作用,不能阻止病毒或黑客的入侵。其次,VPDN通道的真正安全的方法是使用MAC地址綁定的方法,但是查詢手機的MAC地址非常麻煩,一般用戶使用非常不便捷。最后,VPDN撥號程序一般沒有面向應用程序的接口,應用程序無法通過調用的方法實現普通聯網通道和VPDN通道的轉換。
[0008]在互聯網應用日益普及的今天,人們需要在移動終端上兼顧互聯網應用與安全應用兩種應用模式。但是,當前的移動終端操作系統(tǒng),無論是瀏覽器還是應用程序的API接口都只提供單通道的互聯網訪問模式,同時,移動終端的智能系統(tǒng)缺乏自動切換不同通道聯網的接口,給不同的業(yè)務應用帶來不便。如何依托公網實現移動終端與企業(yè)內網之間的安全通信和數據交換成為當前各大企業(yè)亟待解決的問題。遠程接入通常涉及三個部分:接入終端、接入通道和內網應用,對這三個部分任一個保護的不到位都將給整個遠程接入過程帶來安全隱患。傳統(tǒng)的基于虛擬專網的移動終端接入方案關注于安全傳輸通道的建立,雖然在一定程度上對數據安全傳輸提供了保證,但是缺乏對整個接入過程的保護,無法滿足企事業(yè)對終端遠程接入的安全要求。
當前的移動終端操作系統(tǒng)在設計時,往往僅僅通過權限管理來管理應用程序的使用權限,來達到安全防護的目的,在移動終端實施聯網的過程,沒有任何防火墻策略,僅僅實現移動終端與網絡的連接。但是由于廣大用戶普遍沒有專業(yè)知識,對于移動終端操作系統(tǒng)的權限管理的功能非常不了解,很多安卓手機用戶在刪除系統(tǒng)軟件或者是實用某些工具的時候都會提示需要獲取root權限。Root是手機的神經中樞,它可以訪問和修改手機幾乎所有的文件。黑客在入侵系統(tǒng)時,都要把權限提升到Root權限,將非法帳戶添加到Root用戶組。在手機root或安裝應用程序的過程中,用戶往往會打開手機的權限,從而被植入病毒,導致賬戶或密碼失竊,發(fā)生安全隱患。隨著iPad、智能手機等移動終端的廣泛應用,而于移動設備的威脅呈幾何倍數的增長,對終端防護更加處于失控的狀態(tài),高級持續(xù)性攻擊APT攻擊者通過以智能手機、平板電腦等移動設備為跳板繼而入侵企業(yè)信息系統(tǒng)的方式也顯著增加。伴隨著新時代網絡帶來的各種問題,在安全應用的通道聯網過程中,增加手機的聯網防護和防火墻管理,有效杜絕移動終端在訪問特定目標IP地址時,連接互聯網,阻止賬戶或信息的泄露,是較為安全的構想。
[0009]
【發(fā)明內容】
本發(fā)明的目的是針對上述現有技術存在不足之處,提供一種面向操作系統(tǒng)內核設計,能夠在移動終端的操作系統(tǒng)上,針對預設的聯網地址的數據聯網提供不同安全防護策略的防火墻隔離應用系統(tǒng),以滿足不同應用程序在不同聯網地址,在數據聯網中實施不同安全防護策略的需求。
[0010]本發(fā)明的上述目的可以通過以下措施來得到,一種移動終端預設聯網地址防火墻隔離應用系統(tǒng),包括:內嵌于移動終端操作系統(tǒng)內核中的防火墻隔離模塊和通過數據通道傳輸數據的應用層,其特征在于:防火墻隔離模塊內嵌IP地址分析模塊,IP地址分析模塊對所有聯網IP地址數據進行分析,根據內含預設指定的聯網IP地址和指定IP地址集合模塊,對所有流向外部網絡的數據流進行監(jiān)控,當檢測到聯網IP地址數據包內含有預設指定的聯網IP地址后,防火墻隔離模塊啟動過濾規(guī)則,將非指定聯網地址外的所有聯網IP地址數據包屏蔽,禁止訪問非指定的聯網地址外的其它IP地址,只允許預設指定聯網IP地址數據訪問各種網絡。
[0011]本發(fā)明相比現有移動終端操作系統(tǒng)和其它應用程序具有如下有益效果:
I)本發(fā)明通過在移動終端操作系統(tǒng)內核中內嵌防火墻隔離系統(tǒng),預設指定需要防護的IP地址,不對外提供修改防火墻規(guī)則的接口,使得病毒或黑客無法修改防火墻規(guī)則,從而確保對指定IP地址的隔離防護。
[0012]2)本發(fā)明內嵌于移動終端操作系統(tǒng)內核的防火墻隔離模塊和內置于防火墻模塊的IP地址分析模塊,占用系統(tǒng)資源少,規(guī)則簡單,不會影響移動終端操作系統(tǒng)原有的運行效率。
[0013]3)本發(fā)明結合虛擬專用撥號網VPDN通道的使用,可以真正形成數據隔離的應用形式,極大提高VPDN網絡的安全性能。
[0014]4)本發(fā)明IP數據分析模塊內包含預設指定的聯網IP地址,IP數據分析模塊對所有流向外部網絡的數據流進行監(jiān)控,自動對指定或預設的IP地址進行防護,應用軟件或用戶無需通過手工操作,極大提高了移動終端操作系統(tǒng)在安全防護模式上的便利性。
[0015]5)本發(fā)明IP數據分析模塊檢測到IP數據包內包含預設指定的聯網IP地址后,防火墻啟動過濾規(guī)則,將非指定聯網地址外的所有IP數據包屏蔽,禁止訪問非指定的聯網地址外的其它IP地址??梢葬槍Σ煌摼WIP地址設置不同的防火墻隔離策略,使用戶在使用不同的IP地址時,可以使用不同的安全防護策略。本發(fā)明通過移動終端聯網防護和防火墻管理,有效杜絕了訪問特定目標IP地址時,連接互聯網,造成賬戶或信息的泄露。
【專利附圖】
【附圖說明】
[0016]為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚明白,下面將結合附圖對本發(fā)明的實施例進行詳細說明。需要說明的是,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互任意組合。
[0017]圖1是本發(fā)明移動終端針對預設或指定的聯網地址的防火墻隔離系統(tǒng)模型結構示意圖。
[0018]圖2是本發(fā)明移動終端針對多個預設聯網地址和/或地址段的防火墻隔離系統(tǒng)模型的示意圖。
[0019]圖3是本發(fā)明移動終端針對指定VPDN聯網地址的防火墻隔離系統(tǒng)模型的示意圖?!揪唧w實施方式】
[0020]參閱圖1。在以下描述的一個最佳實施例中,支持移動終端實現針對預設或指定聯網地址的防火墻系統(tǒng)模型,主要包括內嵌于移動終端操作系統(tǒng)內核的防火墻模塊和防火墻模塊內的IP數據分析模塊。IP數據分析模塊內包含預設指定的聯網IP地址,IP數據分析模塊對所有流向外部網絡的數據流進行監(jiān)控,當檢測到IP數據包內包含預設指定的聯網IP地址后,防火墻啟動過濾規(guī)則,將非指定聯網地址外的所有IP數據包屏蔽,禁止訪問非指定的聯網地址外的其它IP地址。當IP數據分析模塊一段時間內沒有檢測到聯網數據中包含預設指定的聯網IP地址后,防火墻關閉過濾規(guī)則,允許數據訪問各種網絡。
[0021]在上述實施例中,移動終端防火墻啟動過濾規(guī)則的方式包含以下兩種模式:
一、傳輸控制協(xié)議TCP數據包的過濾規(guī)則
IP數據分析模塊在檢測到IP數據包內包含預設指定的聯網IP地址后,檢測IP數據包的類型,如果是傳輸控制協(xié)議TCP,檢測TCP協(xié)議連接是否建立,如果TCP連接建立,則防火墻啟動過濾規(guī)則。
[0022]當IP數據分析模塊一段時間內沒有檢測到聯網數據中包含預設指定的聯網IP地址,或者接受到TCP連接終止的消息后,防火墻關閉過濾規(guī)則,允許數據訪問所有網絡。
[0023]二、用戶數據包協(xié)議UDP數據包的過濾規(guī)則
UDP協(xié)議直接位于網際協(xié)議IP協(xié)議的頂層。IP數據分析模塊在檢測到IP數據包內包含預設指定的聯網IP地址后,檢測IP數據包的類型,如果是UDP協(xié)議,則防火墻啟動過濾規(guī)則。
[0024]UDP是一個無連接協(xié)議,傳輸數據之前源端和終端不建立連接,當它想傳送時就簡單地去抓取來自應用程序的數據,并盡可能快地把它扔到網絡上。在發(fā)送端,UDP傳送數據的速度僅僅是受應用程序生成數據的速度;在接收端,UDP把每個消息段放在隊列中,應用程序每次從隊列中讀一個消息段。UDP協(xié)議使用報頭中的校驗值來保證數據的安全。校驗值首先在數據發(fā)送方通過特殊的算法計算得出,在傳遞到接收方之后,還需要再重新計算。如果某個數據報在傳輸過程中被第三方篡改或者由于線路噪音等原因受到損壞,發(fā)送和接收方的校驗計算值將不會相符,檢測是否出錯。當IP數據分析模塊一段時間內沒有檢測到聯網數據中包含預設指定的聯網IP地址后,防火墻關閉過濾規(guī)則,允許數據訪問所有網絡。
[0025]內嵌于操作系統(tǒng)內核的防火墻隔離模塊,通過系統(tǒng)編譯成為系統(tǒng)內核的一部分,并杜絕系統(tǒng)模塊加載接口,對外不提供修改接口,使得無論應用層或其它手段無法修改防火墻設定。
[0026]參閱圖2。所示IP地址集合模塊包括預設指定的聯網IP地址,指定IP地址1、指定IP地址2、指定IP地址3...,多個指定IP地址的集合和/或一段IP地址段。
[0027]內嵌與操作系統(tǒng)內核的防火墻模塊可以根據預設的不同的指定的聯網IP地址,設置不同的過濾規(guī)則,不同的過濾規(guī)則同時存在,針對不同的指定的IP聯網地址發(fā)生作用。過濾規(guī)則包括以下兩種形式:
I)僅允許單個指定的聯網IP地址的數據包通過,其他聯網地址數據一律丟棄。
[0028]2)允許2個或多個指定的聯網IP地址和/或一段聯網地址段的數據包通過,其他規(guī)則以外的數據包一律丟棄。
[0029]IP數據分析模塊關閉防火墻過濾規(guī)則的時間設定,可以根據實際應用中,網絡延時或系統(tǒng)響應時間的具體情況,將不同的指定的網絡地址的過濾規(guī)則的關閉時間設定為不同的時間長度。
[0030]參閱圖3。在上述實施例中,當把預設的指定的聯網地址變成虛擬專用撥號網VPDN聯網地址時,移動終端可以在VPDN網絡連接成功以后,保障移動終端、VPDN專網都處于與互聯網隔離的內部網絡中,就可以避免VPDN專網實際使用中,終端沒有進行數據隔離的安全隱患,從而保障VPDN數據網絡的安全。
[0031]上述實施例中,所述的移動終端包括手機、、平板電腦、無線上網卡或其它移動設備。
[0032]以上所述的僅是本發(fā)明的優(yōu)選實施例。應當指出,對于本領域的普通技術人員來說,在不脫離本發(fā)明原理的前提下,還可以作出若干變形和改進,比如所述程序可以存儲于移動終端可讀存儲介質中,可選地,上述實施例終端各模塊/單元可以采用硬件的形式實現,也可采用軟件功能模塊的形式實現。本發(fā)明不限制于任何特定形式的硬件和軟件的結合,亦屬于本發(fā)明的范疇,這些變更和改變應視為屬于本發(fā)明的保護范圍。
【權利要求】
1.一種移動終端預設聯網地址防火墻隔離應用系統(tǒng),包括:內嵌于移動終端操作系統(tǒng)內核中的防火墻隔離模塊和通過數據通道傳輸數據的應用層,其特征在于:防火墻隔離模塊內嵌IP地址分析模塊,IP地址分析模塊對所有聯網IP地址數據進行分析,根據內含預設指定的聯網IP地址和指定IP地址集合模塊,對所有流向外部網絡的數據流進行監(jiān)控,當檢測到聯網IP地址數據包內含有預設指定的聯網IP地址后,防火墻隔離模塊啟動過濾規(guī)貝U,將非指定聯網地址外的所有聯網IP地址數據包屏蔽,禁止訪問非指定的聯網地址外的其它IP地址,只允許預設指定聯網IP地址數據訪問各種網絡。
2.如權利要求1所述的移動終端預設聯網地址防火墻隔離應用系統(tǒng),其特征在于:移動終端防火墻啟動過濾規(guī)則的方式包含傳輸控制協(xié)議TCP數據包的過濾規(guī)則模式:IP數據分析模塊在檢測到IP數據包內包含預設指定的聯網IP地址后,檢測IP數據包的類型,如果是傳輸控制協(xié)議TCP,檢測TCP協(xié)議連接是否建立,如果TCP連接建立,則防火墻啟動過濾規(guī)則。
3.如權利要求1或2所述的移動終端預設聯網地址防火墻隔離應用系統(tǒng),其特征在于:當IP數據分析模塊一段時間內沒有檢測到聯網數據中包含預設指定的聯網IP地址,或者接受到TCP連接終止的消息后,防火墻關閉過濾規(guī)則,允許數據訪問所有網絡。
4.如權利要求1所述的移動終端預設聯網地址防火墻隔離應用系統(tǒng),其特征在于:移動終端防火墻啟動過濾規(guī)則的方式還包含用戶數據包協(xié)議UDP數據包的過濾規(guī)則模式:IP數據分析模塊在檢測到IP數據包內包含預設指定的聯網IP地址后,檢測IP數據包的類型,如果是UDP協(xié)議,則防火墻啟動過濾規(guī)則,UDP協(xié)議直接位于網際協(xié)議IP協(xié)議的頂層。
5.如權利要求1所述的移動終端預設聯網地址防火墻隔離應用系統(tǒng),其特征在于:內嵌于操作系統(tǒng)內核的防火墻隔離模塊,通過系統(tǒng)編譯成為移動終端操作系統(tǒng)內核的一部分,并杜絕移動終端操作系統(tǒng)模塊加載接口,對外不提供修改接口。
6.如權利要求1所述的移動終端預設聯網地址防火墻隔離應用系統(tǒng),其特征在于:防火墻模塊根據預設的不同的指定的聯網IP地址,設置不同的過濾規(guī)則,不同的過濾規(guī)則同時存在,針對不同的指定的IP聯網地址發(fā)生作用。
7.如權利要求1所述的移動終端預設聯網地址防火墻隔離應用系統(tǒng),其特征在于:過濾規(guī)則包括以下兩種形式: 1)僅允許單個指定的聯網IP地址的數據包通過,其它聯網地址數據一律丟棄; 2)允許2個或多個指定的聯網IP地址和/或一段聯網地址段的數據包通過,其他規(guī)則以外的數據包一律丟棄。
8.如權利要求1所述的移動終端預設聯網地址防火墻隔離應用系統(tǒng),其特征在于:IP數據分析模塊關閉防火墻過濾規(guī)則的時間設定,根據實際應用中,網絡延時或系統(tǒng)響應時間的具體情況,將不同的指定的網絡地址的過濾規(guī)則的關閉時間設定為不同的時間長度。
9.如權利要求1所述的移動終端預設聯網地址防火墻隔離應用系統(tǒng),其特征在于:所述的IP地址集合模塊包括預設指定的聯網IP地址,指定IP地址1、指定IP地址2、指定IP地址3...,多個指定IP地址的集合和/或一段IP地址段。
10.如權利要求1所述的移動終端預設聯網地址防火墻隔離應用系統(tǒng),其特征在于:當把預設的指定的聯網地址變成虛擬專用撥號網VPDN聯網地址時,移動終端在VPDN網絡連接成功以后,移動終端、VPDN專網都處于與互聯網隔離的內部網絡中。
【文檔編號】H04L29/08GK103973700SQ201410214696
【公開日】2014年8月6日 申請日期:2014年5月21日 優(yōu)先權日:2014年5月21日
【發(fā)明者】朱雄關, 劉曉巖 申請人:成都達信通通訊設備有限公司