移動(dòng)終端預(yù)設(shè)聯(lián)網(wǎng)地址防火墻隔離應(yīng)用系統(tǒng)的制作方法
【專(zhuān)利摘要】本發(fā)明提出的一種移動(dòng)終端預(yù)設(shè)聯(lián)網(wǎng)地址防火墻隔離應(yīng)用系統(tǒng)�,包括:內(nèi)嵌于移動(dòng)終端操作系統(tǒng)內(nèi)核中的防火墻隔離模塊和通過(guò)數(shù)據(jù)通道傳輸數(shù)據(jù)的應(yīng)用層。防火墻隔離模塊內(nèi)嵌IP地址分析模塊���,IP地址分析模塊對(duì)所有聯(lián)網(wǎng)IP地址數(shù)據(jù)進(jìn)行分析�,根據(jù)內(nèi)含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址和指定IP地址集合模塊�����,對(duì)所有流向外部網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行監(jiān)控��,當(dāng)檢測(cè)到聯(lián)網(wǎng)IP地址數(shù)據(jù)包內(nèi)含有預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址后�����,防火墻隔離模塊啟動(dòng)過(guò)濾規(guī)則���,將非指定聯(lián)網(wǎng)地址外的所有聯(lián)網(wǎng)IP地址數(shù)據(jù)包屏蔽���,禁止訪問(wèn)非指定的聯(lián)網(wǎng)地址外的其它IP地址����,只允許預(yù)設(shè)指定聯(lián)網(wǎng)IP地址數(shù)據(jù)訪問(wèn)各種網(wǎng)絡(luò)��。本發(fā)明通過(guò)移動(dòng)終端聯(lián)網(wǎng)防護(hù)和防火墻管理�����,有效杜絕了訪問(wèn)特定目標(biāo)IP地址連接互聯(lián)網(wǎng)�,賬戶或信息的泄露。
【專(zhuān)利說(shuō)明】移動(dòng)終端預(yù)設(shè)聯(lián)網(wǎng)地址防火墻隔離應(yīng)用系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及移動(dòng)終端操作系統(tǒng)和在操作系統(tǒng)中采用防火墻針對(duì)不同聯(lián)網(wǎng)地址提供數(shù)據(jù)隔離進(jìn)行聯(lián)網(wǎng)的系統(tǒng)及其創(chuàng)建方法�����。
【背景技術(shù)】
[0002]隨著移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展�����,各類(lèi)移動(dòng)應(yīng)用層出不窮���,黑客入侵���、釣魚(yú)網(wǎng)站等各種非法手段無(wú)時(shí)無(wú)刻不在侵害互聯(lián)網(wǎng)的安全�,各種預(yù)裝軟件�、病毒打包等威脅手機(jī)網(wǎng)絡(luò)安全的問(wèn)題日益突出,并逐漸形成黑色產(chǎn)業(yè)鏈�。互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的安全���,日益成為人們關(guān)注的焦點(diǎn)。棱鏡門(mén)之后����,人們發(fā)現(xiàn),在擁有強(qiáng)大技術(shù)實(shí)力的美國(guó)政府面前�,任何互聯(lián)網(wǎng)公司包括當(dāng)前擁有互聯(lián)網(wǎng)技術(shù)最頂尖科技的蘋(píng)果和谷歌公司,只要在互聯(lián)網(wǎng)上建立的信息系統(tǒng)�,即使擁有各類(lèi)安全防護(hù)措施,都無(wú)法避免信息被竊取的安全漏洞��。玩過(guò)游戲私服的朋友都知道�����,私服是極易受到攻擊的����,一旦受到攻擊��,輕則游戲變卡���,重則徹底無(wú)法登錄。那么黑客對(duì)私服發(fā)起了何種攻擊�����,有什么辦法可以讓私服服務(wù)器徹底崩潰呢��?黑客攻擊私服的手段�,不外乎入侵服務(wù)器和DDOS攻擊。前者的成功率不高�����,即使入侵成功�����,最多也就得到GM賬號(hào)��,在游戲里亂改一通。但是后者就完全不一樣了�,DDOS的攻擊威力大得驚人,可以讓游戲中的玩家瞬間集體掉線����,甚至無(wú)法登錄,如果黑客對(duì)某個(gè)私服有深仇大恨����,甚至可以讓私服永久無(wú)法上線,造成毀滅性打擊�����。所謂的DD0S�����,全稱為“分布式拒絕服務(wù)攻擊”��,即黑客控制數(shù)量龐大的肉雞群對(duì)某網(wǎng)站進(jìn)行數(shù)據(jù)包洪水攻擊����,造成網(wǎng)絡(luò)帶寬堵塞����,從而實(shí)現(xiàn)攻擊的效果���。那么DDOS的攻擊力有多大?可以這樣說(shuō)���,100只肉雞可以秒殺個(gè)人網(wǎng)站��,1000只肉雞可以秒殺私服和中型網(wǎng)站��,10000只肉雞可以秒殺地方門(mén)戶網(wǎng)站�����?��?梢?jiàn),要攻擊私服的話只需幾百臺(tái)肉雞就可以完成。一個(gè)不安全的無(wú)線網(wǎng)絡(luò)可能造成服務(wù)丟失或是被利用來(lái)對(duì)其他網(wǎng)絡(luò)發(fā)起攻擊���。
[0003]在傳統(tǒng)【技術(shù)領(lǐng)域】�,物理隔離是保障內(nèi)部網(wǎng)絡(luò)安全最重要最有效的舉措�����,無(wú)論銀行信息系統(tǒng)還是政府信息系統(tǒng)都是使用與互聯(lián)網(wǎng)物理隔離的內(nèi)部網(wǎng)絡(luò)來(lái)保障信息安全的。使用與互聯(lián)網(wǎng)物理隔離的內(nèi)部網(wǎng)絡(luò)由于杜絕了互聯(lián)網(wǎng)的聯(lián)網(wǎng)通道��,任何黑客都無(wú)法進(jìn)行入侵�。對(duì)于普通用戶而言,接入點(diǎn)名稱APN (Access Point Name)只是為了上網(wǎng)而在手機(jī)終端上預(yù)先配置或手工設(shè)定的一組參數(shù)�����。而對(duì)于移動(dòng)網(wǎng)絡(luò)來(lái)說(shuō)����,APN是用來(lái)實(shí)現(xiàn)用戶互聯(lián)網(wǎng)協(xié)議IP報(bào)文路由至相應(yīng)GPRS網(wǎng)絡(luò)路由器GGSN及外部網(wǎng)絡(luò)的必不可少的標(biāo)識(shí),其作用具體包括:APN作為路由標(biāo)識(shí):GPRS服務(wù)支持節(jié)點(diǎn)SGSN根據(jù)APN���,向特定域名系統(tǒng)DNS服務(wù)器查詢?cè)揂PN對(duì)應(yīng)的GGSN IP地址����,以確定用戶應(yīng)接入的GGSN ��;APN作為業(yè)務(wù)域標(biāo)識(shí):GGSN根據(jù)APN不同��,將用戶的業(yè)務(wù)流送到不同的業(yè)務(wù)域����,而不同的業(yè)務(wù)域則對(duì)應(yīng)了不同的業(yè)務(wù)承載組網(wǎng)方式、用戶標(biāo)識(shí)獲取方式�、計(jì)費(fèi)模式等。服務(wù)支持節(jié)點(diǎn)SGSN作為GPRS/TD-SCDMA (WCDMA)核心網(wǎng)分組域設(shè)備重要組成部分����,主要完成分組數(shù)據(jù)包的路由轉(zhuǎn)發(fā)、移動(dòng)性管理�、會(huì)話管理、邏輯鏈路管理���、鑒權(quán)和加密����、話單產(chǎn)生和輸出等功能����。SGSN即GPRS服務(wù)支持節(jié)點(diǎn),它通過(guò)Gb接口提供與無(wú)線分組控制器PCU的連接��,進(jìn)行移動(dòng)數(shù)據(jù)的管理���,如用戶身份識(shí)別��,力口密��,壓縮等功能�;通過(guò)Gr接口與HLR相連,進(jìn)行用戶數(shù)據(jù)庫(kù)的訪問(wèn)及接入控制����;它還通過(guò)Gn接口與GGSN相連,提供IP數(shù)據(jù)包到無(wú)線單元之間的傳輸通路和協(xié)議變換等功能�����;SGSN還可以提供與MSC的Gs接口連接以及與SMSC之間的Gd接口連接�,用以支持?jǐn)?shù)據(jù)業(yè)務(wù)和電路業(yè)務(wù)的協(xié)同工作和短信收發(fā)等功能。SGSN與GGSN配合�����,共同承擔(dān)TD-SCDMA (WCDMA)的PS功能�����。當(dāng)作為GPRS網(wǎng)絡(luò)的一個(gè)基本的組成網(wǎng)元時(shí)���,通過(guò)Gb接口和BSS相連。其主要的作用就是為本SGSN服務(wù)區(qū)域的MS進(jìn)行移動(dòng)性管理�����,并轉(zhuǎn)發(fā)輸入/輸出的IP分組,其地位類(lèi)似于GSM電路網(wǎng)中的VMSC���。此外��,SGSN中還集成了類(lèi)似于GSM網(wǎng)絡(luò)中YLS的功能�����,當(dāng)用戶處于GPRS Attach (GPRS附著)狀態(tài)時(shí)����,SGSN中存儲(chǔ)了同分組相關(guān)的用戶信息和位置信息��。當(dāng)SGSN作為T(mén)D-SCDMA (WCDMA)核心網(wǎng)的PS域功能節(jié)點(diǎn)��,它通過(guò)Iu_PS接口與UTRAN相連�,主要提供PS域的路由轉(zhuǎn)發(fā)、移動(dòng)性管理���、會(huì)話管理����、鑒權(quán)和加密等功能。GGSN9811主要提以中國(guó)移動(dòng)最早提供�、也是目前用戶使用最廣的兩個(gè)APN——CMWAP、CMNET為例:
DCMWAP APN
CMWAP和CMNET是中國(guó)移動(dòng)人為劃分的兩個(gè)GPRS接入通道���。前者是為手機(jī)WAP上網(wǎng)而設(shè)立的��,后者則主要是為PC����、筆記本電腦�����、PDA等利用GPRS上網(wǎng)服務(wù)�。CMWAPAPN在設(shè)計(jì)之初主要面向基于HTTP協(xié)議的業(yè)務(wù),如WAP上網(wǎng)瀏覽�����,彩信等���。隨著數(shù)據(jù)業(yè)務(wù)的不斷發(fā)展�����,為了支持逐漸引入的非超文本傳輸協(xié)議HTTP的業(yè)務(wù)��,無(wú)線應(yīng)用協(xié)議WAP域通過(guò)進(jìn)行升級(jí)改造和配置�����,逐漸演變?yōu)槊嫦蚪^大多數(shù)自營(yíng)業(yè)務(wù)和合作業(yè)務(wù)的默認(rèn)業(yè)務(wù)域�,面向用戶提供彩信���、PM�、流媒體�、通用下載、快訊�、音樂(lè)隨身聽(tīng)、游戲等業(yè)務(wù)�����。CMWAPAPN使用了 WAP網(wǎng)關(guān)作為HTTP訪問(wèn)的代理節(jié)點(diǎn)�����,同時(shí)可面向用戶提供一些輔助功能�,例如免輸手機(jī)號(hào)碼���、內(nèi)容轉(zhuǎn)換、適配預(yù)判等���。
[0004]2) CMNET APN
CMNET是為了開(kāi)展開(kāi)放的互聯(lián)網(wǎng)接入服務(wù)設(shè)置的APN�,用戶可使用任何協(xié)議訪問(wèn)互聯(lián)網(wǎng)���,沒(méi)有任何控制和限制策略�����,但同時(shí)也不提供其它輔助功能�。使用CMNET APN時(shí)����,移動(dòng)終端通過(guò)接入地SGSN就近接入GGSN,業(yè)務(wù)數(shù)據(jù)流通過(guò)GGSN對(duì)應(yīng)的防火墻進(jìn)行NAT地址轉(zhuǎn)換后接入互聯(lián)網(wǎng)����。
[0005]防火墻是設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過(guò)監(jiān)測(cè)����、限制����、更改跨越防火墻的數(shù)據(jù)流����,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息���、結(jié)構(gòu)和運(yùn)行狀況�,以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)?��,F(xiàn)有技術(shù)防火墻��,一般是通過(guò)設(shè)備提供的BYOD管理功能封堵來(lái)歷不明的移動(dòng)終端���,將防火墻作為網(wǎng)關(guān)設(shè)備部署在互聯(lián)網(wǎng)出口,而現(xiàn)有移動(dòng)終端內(nèi)部并未提供相應(yīng)的防火墻�。在邏輯上,防火墻是一個(gè)分離器��,一個(gè)限制器�,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全��。防火墻總體上分為包過(guò)濾�����、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類(lèi)型����。數(shù)據(jù)包過(guò)濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯����,被稱為訪問(wèn)控制表(Access Control Table)。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址��、目的地址�����、所用的端口號(hào)���、協(xié)議狀態(tài)等因素����,或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。數(shù)據(jù)包過(guò)濾防火墻的缺點(diǎn)有二:一是非法訪問(wèn)一旦突破防火墻�,即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊;二是數(shù)據(jù)包的源地址��、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部�,很有可能被竊聽(tīng)或假冒。應(yīng)用級(jí)網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能��。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯����,并在過(guò)濾的同時(shí)���,對(duì)數(shù)據(jù)包進(jìn)行必要的分析��、登記和統(tǒng)計(jì)�����,形成報(bào)告��。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專(zhuān)用工作站系統(tǒng)上��。數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)��,就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過(guò)�。一旦滿足邏輯,則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系����,防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)。
[0006]代理服務(wù)(ProxyService)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gatewaysor TCP Tunnels)�,也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類(lèi)。它是針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)�,其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的〃鏈接〃�����,由兩個(gè)終止代理服務(wù)器上的〃鏈接〃來(lái)實(shí)現(xiàn)����,外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器,從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用�。在廣域網(wǎng)系統(tǒng)中,由于安全的需要�����,總部的局域網(wǎng)可以將各分支機(jī)構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)�,(通過(guò)公網(wǎng)ChinaPac, ChinaDDN, Frame Relay等連接)在總部的局域網(wǎng)和各分支機(jī)構(gòu)連接時(shí)采用防火墻隔離���,并利用VPN構(gòu)成虛擬專(zhuān)網(wǎng);總部的局域網(wǎng)和分支機(jī)構(gòu)的局域網(wǎng)是通過(guò)Internet連接,需要各自安裝防火墻,并利用NetScreen的VPN組成虛擬專(zhuān)網(wǎng)����。
[0007]VPDN是虛擬撥號(hào)專(zhuān)用網(wǎng)絡(luò)(VirtualPrivateDialupNetwork)的縮寫(xiě),它基于撥號(hào)用戶的虛擬專(zhuān)用撥號(hào)網(wǎng)業(yè)務(wù)�����,利用IP和其它網(wǎng)絡(luò)的承載功能�����,結(jié)合相應(yīng)的認(rèn)證和授權(quán)機(jī)制���,可以建立安全的虛擬專(zhuān)用網(wǎng)絡(luò)。VPDN網(wǎng)絡(luò)結(jié)構(gòu)由局端或稱為中心端和客戶系統(tǒng)組成��。VPDN的具體實(shí)現(xiàn)是采用隧道技術(shù)�����,即將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進(jìn)行傳輸����。隧道技術(shù)的基本過(guò)程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)作為負(fù)載封裝����,在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中�,在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝,取出負(fù)載��。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過(guò)的邏輯路徑被稱為“隧道”��。要使數(shù)據(jù)順利地被封裝���、傳送及解封裝���,通信協(xié)議是保證的核心。VPDN業(yè)務(wù)主要面向企業(yè)以及政府管理部門(mén)�����。企業(yè)申請(qǐng)?jiān)摌I(yè)務(wù)后����,只需要將其企業(yè)內(nèi)部網(wǎng)通過(guò)一條專(zhuān)線接入到互聯(lián)網(wǎng)絡(luò),用戶即可在國(guó)內(nèi)任何地方撥號(hào)使用VPDN業(yè)務(wù)進(jìn)入到該虛擬專(zhuān)用網(wǎng)中���,安全地訪問(wèn)自己所需要的信息資源�����。用戶可以方便靈活地自行對(duì)所屬撥號(hào)用戶進(jìn)行開(kāi)戶���、銷(xiāo)戶�����、設(shè)置用戶權(quán)限等操作����。移動(dòng)網(wǎng)絡(luò)VPDN與普通的VPDN不同之處主要體現(xiàn)的是無(wú)線上網(wǎng)的概念�,利用移動(dòng)網(wǎng)絡(luò)的無(wú)線數(shù)據(jù)網(wǎng)絡(luò)為無(wú)線移動(dòng)用戶構(gòu)建虛擬專(zhuān)用網(wǎng)絡(luò),從而使用戶在任何地點(diǎn)都能夠通過(guò)無(wú)線數(shù)據(jù)網(wǎng)絡(luò)�����,實(shí)現(xiàn)專(zhuān)用線路的連接����。無(wú)線VPDN網(wǎng)絡(luò)雖然設(shè)計(jì)上希望可以保障信息與系統(tǒng)安全�����,但是在移動(dòng)終端上VPDN通道的使用存在二大問(wèn)題:
首先,VPDN通道的連接是使用一段撥號(hào)程序進(jìn)行鏈路連接�����,即在數(shù)據(jù)連接通道上使用了 VPN的連接協(xié)議�,其本質(zhì)還是一段公開(kāi)的代碼,不具備數(shù)據(jù)隔離和加密的作用���,不能阻止病毒或黑客的入侵����。其次����,VPDN通道的真正安全的方法是使用MAC地址綁定的方法,但是查詢手機(jī)的MAC地址非常麻煩��,一般用戶使用非常不便捷�。最后,VPDN撥號(hào)程序一般沒(méi)有面向應(yīng)用程序的接口��,應(yīng)用程序無(wú)法通過(guò)調(diào)用的方法實(shí)現(xiàn)普通聯(lián)網(wǎng)通道和VPDN通道的轉(zhuǎn)換����。
[0008]在互聯(lián)網(wǎng)應(yīng)用日益普及的今天�����,人們需要在移動(dòng)終端上兼顧互聯(lián)網(wǎng)應(yīng)用與安全應(yīng)用兩種應(yīng)用模式��。但是�����,當(dāng)前的移動(dòng)終端操作系統(tǒng)��,無(wú)論是瀏覽器還是應(yīng)用程序的API接口都只提供單通道的互聯(lián)網(wǎng)訪問(wèn)模式����,同時(shí)����,移動(dòng)終端的智能系統(tǒng)缺乏自動(dòng)切換不同通道聯(lián)網(wǎng)的接口,給不同的業(yè)務(wù)應(yīng)用帶來(lái)不便�。如何依托公網(wǎng)實(shí)現(xiàn)移動(dòng)終端與企業(yè)內(nèi)網(wǎng)之間的安全通信和數(shù)據(jù)交換成為當(dāng)前各大企業(yè)亟待解決的問(wèn)題。遠(yuǎn)程接入通常涉及三個(gè)部分:接入終端����、接入通道和內(nèi)網(wǎng)應(yīng)用,對(duì)這三個(gè)部分任一個(gè)保護(hù)的不到位都將給整個(gè)遠(yuǎn)程接入過(guò)程帶來(lái)安全隱患�。傳統(tǒng)的基于虛擬專(zhuān)網(wǎng)的移動(dòng)終端接入方案關(guān)注于安全傳輸通道的建立,雖然在一定程度上對(duì)數(shù)據(jù)安全傳輸提供了保證�,但是缺乏對(duì)整個(gè)接入過(guò)程的保護(hù),無(wú)法滿足企事業(yè)對(duì)終端遠(yuǎn)程接入的安全要求���。
當(dāng)前的移動(dòng)終端操作系統(tǒng)在設(shè)計(jì)時(shí)��,往往僅僅通過(guò)權(quán)限管理來(lái)管理應(yīng)用程序的使用權(quán)限����,來(lái)達(dá)到安全防護(hù)的目的����,在移動(dòng)終端實(shí)施聯(lián)網(wǎng)的過(guò)程,沒(méi)有任何防火墻策略����,僅僅實(shí)現(xiàn)移動(dòng)終端與網(wǎng)絡(luò)的連接。但是由于廣大用戶普遍沒(méi)有專(zhuān)業(yè)知識(shí)�����,對(duì)于移動(dòng)終端操作系統(tǒng)的權(quán)限管理的功能非常不了解,很多安卓手機(jī)用戶在刪除系統(tǒng)軟件或者是實(shí)用某些工具的時(shí)候都會(huì)提示需要獲取root權(quán)限���。Root是手機(jī)的神經(jīng)中樞�����,它可以訪問(wèn)和修改手機(jī)幾乎所有的文件�。黑客在入侵系統(tǒng)時(shí)���,都要把權(quán)限提升到Root權(quán)限����,將非法帳戶添加到Root用戶組��。在手機(jī)root或安裝應(yīng)用程序的過(guò)程中����,用戶往往會(huì)打開(kāi)手機(jī)的權(quán)限,從而被植入病毒���,導(dǎo)致賬戶或密碼失竊�,發(fā)生安全隱患���。隨著iPad���、智能手機(jī)等移動(dòng)終端的廣泛應(yīng)用,而于移動(dòng)設(shè)備的威脅呈幾何倍數(shù)的增長(zhǎng)���,對(duì)終端防護(hù)更加處于失控的狀態(tài)����,高級(jí)持續(xù)性攻擊APT攻擊者通過(guò)以智能手機(jī)�、平板電腦等移動(dòng)設(shè)備為跳板繼而入侵企業(yè)信息系統(tǒng)的方式也顯著增加。伴隨著新時(shí)代網(wǎng)絡(luò)帶來(lái)的各種問(wèn)題��,在安全應(yīng)用的通道聯(lián)網(wǎng)過(guò)程中����,增加手機(jī)的聯(lián)網(wǎng)防護(hù)和防火墻管理,有效杜絕移動(dòng)終端在訪問(wèn)特定目標(biāo)IP地址時(shí)���,連接互聯(lián)網(wǎng)��,阻止賬戶或信息的泄露�,是較為安全的構(gòu)想����。
[0009]
【發(fā)明內(nèi)容】
本發(fā)明的目的是針對(duì)上述現(xiàn)有技術(shù)存在不足之處���,提供一種面向操作系統(tǒng)內(nèi)核設(shè)計(jì),能夠在移動(dòng)終端的操作系統(tǒng)上�����,針對(duì)預(yù)設(shè)的聯(lián)網(wǎng)地址的數(shù)據(jù)聯(lián)網(wǎng)提供不同安全防護(hù)策略的防火墻隔離應(yīng)用系統(tǒng)���,以滿足不同應(yīng)用程序在不同聯(lián)網(wǎng)地址��,在數(shù)據(jù)聯(lián)網(wǎng)中實(shí)施不同安全防護(hù)策略的需求����。
[0010]本發(fā)明的上述目的可以通過(guò)以下措施來(lái)得到��,一種移動(dòng)終端預(yù)設(shè)聯(lián)網(wǎng)地址防火墻隔離應(yīng)用系統(tǒng)�����,包括:內(nèi)嵌于移動(dòng)終端操作系統(tǒng)內(nèi)核中的防火墻隔離模塊和通過(guò)數(shù)據(jù)通道傳輸數(shù)據(jù)的應(yīng)用層��,其特征在于:防火墻隔離模塊內(nèi)嵌IP地址分析模塊���,IP地址分析模塊對(duì)所有聯(lián)網(wǎng)IP地址數(shù)據(jù)進(jìn)行分析�,根據(jù)內(nèi)含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址和指定IP地址集合模塊,對(duì)所有流向外部網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行監(jiān)控��,當(dāng)檢測(cè)到聯(lián)網(wǎng)IP地址數(shù)據(jù)包內(nèi)含有預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址后�,防火墻隔離模塊啟動(dòng)過(guò)濾規(guī)則,將非指定聯(lián)網(wǎng)地址外的所有聯(lián)網(wǎng)IP地址數(shù)據(jù)包屏蔽��,禁止訪問(wèn)非指定的聯(lián)網(wǎng)地址外的其它IP地址�,只允許預(yù)設(shè)指定聯(lián)網(wǎng)IP地址數(shù)據(jù)訪問(wèn)各種網(wǎng)絡(luò)��。
[0011]本發(fā)明相比現(xiàn)有移動(dòng)終端操作系統(tǒng)和其它應(yīng)用程序具有如下有益效果:
I)本發(fā)明通過(guò)在移動(dòng)終端操作系統(tǒng)內(nèi)核中內(nèi)嵌防火墻隔離系統(tǒng)�,預(yù)設(shè)指定需要防護(hù)的IP地址,不對(duì)外提供修改防火墻規(guī)則的接口����,使得病毒或黑客無(wú)法修改防火墻規(guī)則,從而確保對(duì)指定IP地址的隔離防護(hù)�。
[0012]2)本發(fā)明內(nèi)嵌于移動(dòng)終端操作系統(tǒng)內(nèi)核的防火墻隔離模塊和內(nèi)置于防火墻模塊的IP地址分析模塊,占用系統(tǒng)資源少����,規(guī)則簡(jiǎn)單,不會(huì)影響移動(dòng)終端操作系統(tǒng)原有的運(yùn)行效率����。
[0013]3)本發(fā)明結(jié)合虛擬專(zhuān)用撥號(hào)網(wǎng)VPDN通道的使用���,可以真正形成數(shù)據(jù)隔離的應(yīng)用形式,極大提高VPDN網(wǎng)絡(luò)的安全性能�。
[0014]4)本發(fā)明IP數(shù)據(jù)分析模塊內(nèi)包含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址,IP數(shù)據(jù)分析模塊對(duì)所有流向外部網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行監(jiān)控�����,自動(dòng)對(duì)指定或預(yù)設(shè)的IP地址進(jìn)行防護(hù)��,應(yīng)用軟件或用戶無(wú)需通過(guò)手工操作�����,極大提高了移動(dòng)終端操作系統(tǒng)在安全防護(hù)模式上的便利性�。
[0015]5)本發(fā)明IP數(shù)據(jù)分析模塊檢測(cè)到IP數(shù)據(jù)包內(nèi)包含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址后,防火墻啟動(dòng)過(guò)濾規(guī)則�,將非指定聯(lián)網(wǎng)地址外的所有IP數(shù)據(jù)包屏蔽,禁止訪問(wèn)非指定的聯(lián)網(wǎng)地址外的其它IP地址��?�?梢葬槍?duì)不同聯(lián)網(wǎng)IP地址設(shè)置不同的防火墻隔離策略�,使用戶在使用不同的IP地址時(shí)�,可以使用不同的安全防護(hù)策略���。本發(fā)明通過(guò)移動(dòng)終端聯(lián)網(wǎng)防護(hù)和防火墻管理�,有效杜絕了訪問(wèn)特定目標(biāo)IP地址時(shí)��,連接互聯(lián)網(wǎng)����,造成賬戶或信息的泄露。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0016]為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白�,下面將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說(shuō)明。需要說(shuō)明的是�����,在不沖突的情況下��,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合�����。
[0017]圖1是本發(fā)明移動(dòng)終端針對(duì)預(yù)設(shè)或指定的聯(lián)網(wǎng)地址的防火墻隔離系統(tǒng)模型結(jié)構(gòu)示意圖。
[0018]圖2是本發(fā)明移動(dòng)終端針對(duì)多個(gè)預(yù)設(shè)聯(lián)網(wǎng)地址和/或地址段的防火墻隔離系統(tǒng)模型的示意圖��。
[0019]圖3是本發(fā)明移動(dòng)終端針對(duì)指定VPDN聯(lián)網(wǎng)地址的防火墻隔離系統(tǒng)模型的示意圖����。【具體實(shí)施方式】
[0020]參閱圖1���。在以下描述的一個(gè)最佳實(shí)施例中�����,支持移動(dòng)終端實(shí)現(xiàn)針對(duì)預(yù)設(shè)或指定聯(lián)網(wǎng)地址的防火墻系統(tǒng)模型�����,主要包括內(nèi)嵌于移動(dòng)終端操作系統(tǒng)內(nèi)核的防火墻模塊和防火墻模塊內(nèi)的IP數(shù)據(jù)分析模塊��。IP數(shù)據(jù)分析模塊內(nèi)包含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址�����,IP數(shù)據(jù)分析模塊對(duì)所有流向外部網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行監(jiān)控�,當(dāng)檢測(cè)到IP數(shù)據(jù)包內(nèi)包含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址后,防火墻啟動(dòng)過(guò)濾規(guī)則���,將非指定聯(lián)網(wǎng)地址外的所有IP數(shù)據(jù)包屏蔽�,禁止訪問(wèn)非指定的聯(lián)網(wǎng)地址外的其它IP地址�����。當(dāng)IP數(shù)據(jù)分析模塊一段時(shí)間內(nèi)沒(méi)有檢測(cè)到聯(lián)網(wǎng)數(shù)據(jù)中包含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址后����,防火墻關(guān)閉過(guò)濾規(guī)則,允許數(shù)據(jù)訪問(wèn)各種網(wǎng)絡(luò)����。
[0021]在上述實(shí)施例中,移動(dòng)終端防火墻啟動(dòng)過(guò)濾規(guī)則的方式包含以下兩種模式:
一��、傳輸控制協(xié)議TCP數(shù)據(jù)包的過(guò)濾規(guī)則
IP數(shù)據(jù)分析模塊在檢測(cè)到IP數(shù)據(jù)包內(nèi)包含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址后�����,檢測(cè)IP數(shù)據(jù)包的類(lèi)型����,如果是傳輸控制協(xié)議TCP,檢測(cè)TCP協(xié)議連接是否建立�,如果TCP連接建立,則防火墻啟動(dòng)過(guò)濾規(guī)則�����。
[0022]當(dāng)IP數(shù)據(jù)分析模塊一段時(shí)間內(nèi)沒(méi)有檢測(cè)到聯(lián)網(wǎng)數(shù)據(jù)中包含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址���,或者接受到TCP連接終止的消息后�����,防火墻關(guān)閉過(guò)濾規(guī)則���,允許數(shù)據(jù)訪問(wèn)所有網(wǎng)絡(luò)。
[0023]二����、用戶數(shù)據(jù)包協(xié)議UDP數(shù)據(jù)包的過(guò)濾規(guī)則
UDP協(xié)議直接位于網(wǎng)際協(xié)議IP協(xié)議的頂層。IP數(shù)據(jù)分析模塊在檢測(cè)到IP數(shù)據(jù)包內(nèi)包含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址后���,檢測(cè)IP數(shù)據(jù)包的類(lèi)型��,如果是UDP協(xié)議���,則防火墻啟動(dòng)過(guò)濾規(guī)則�。
[0024]UDP是一個(gè)無(wú)連接協(xié)議�����,傳輸數(shù)據(jù)之前源端和終端不建立連接�����,當(dāng)它想傳送時(shí)就簡(jiǎn)單地去抓取來(lái)自應(yīng)用程序的數(shù)據(jù)����,并盡可能快地把它扔到網(wǎng)絡(luò)上。在發(fā)送端��,UDP傳送數(shù)據(jù)的速度僅僅是受應(yīng)用程序生成數(shù)據(jù)的速度�����;在接收端���,UDP把每個(gè)消息段放在隊(duì)列中,應(yīng)用程序每次從隊(duì)列中讀一個(gè)消息段���。UDP協(xié)議使用報(bào)頭中的校驗(yàn)值來(lái)保證數(shù)據(jù)的安全����。校驗(yàn)值首先在數(shù)據(jù)發(fā)送方通過(guò)特殊的算法計(jì)算得出,在傳遞到接收方之后��,還需要再重新計(jì)算���。如果某個(gè)數(shù)據(jù)報(bào)在傳輸過(guò)程中被第三方篡改或者由于線路噪音等原因受到損壞��,發(fā)送和接收方的校驗(yàn)計(jì)算值將不會(huì)相符����,檢測(cè)是否出錯(cuò)��。當(dāng)IP數(shù)據(jù)分析模塊一段時(shí)間內(nèi)沒(méi)有檢測(cè)到聯(lián)網(wǎng)數(shù)據(jù)中包含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址后���,防火墻關(guān)閉過(guò)濾規(guī)則��,允許數(shù)據(jù)訪問(wèn)所有網(wǎng)絡(luò)�。
[0025]內(nèi)嵌于操作系統(tǒng)內(nèi)核的防火墻隔離模塊����,通過(guò)系統(tǒng)編譯成為系統(tǒng)內(nèi)核的一部分�����,并杜絕系統(tǒng)模塊加載接口��,對(duì)外不提供修改接口��,使得無(wú)論應(yīng)用層或其它手段無(wú)法修改防火墻設(shè)定����。
[0026]參閱圖2�。所示IP地址集合模塊包括預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址,指定IP地址1�����、指定IP地址2�����、指定IP地址3...����,多個(gè)指定IP地址的集合和/或一段IP地址段。
[0027]內(nèi)嵌與操作系統(tǒng)內(nèi)核的防火墻模塊可以根據(jù)預(yù)設(shè)的不同的指定的聯(lián)網(wǎng)IP地址��,設(shè)置不同的過(guò)濾規(guī)則�����,不同的過(guò)濾規(guī)則同時(shí)存在���,針對(duì)不同的指定的IP聯(lián)網(wǎng)地址發(fā)生作用����。過(guò)濾規(guī)則包括以下兩種形式:
I)僅允許單個(gè)指定的聯(lián)網(wǎng)IP地址的數(shù)據(jù)包通過(guò)����,其他聯(lián)網(wǎng)地址數(shù)據(jù)一律丟棄。
[0028]2)允許2個(gè)或多個(gè)指定的聯(lián)網(wǎng)IP地址和/或一段聯(lián)網(wǎng)地址段的數(shù)據(jù)包通過(guò)��,其他規(guī)則以外的數(shù)據(jù)包一律丟棄���。
[0029]IP數(shù)據(jù)分析模塊關(guān)閉防火墻過(guò)濾規(guī)則的時(shí)間設(shè)定�,可以根據(jù)實(shí)際應(yīng)用中���,網(wǎng)絡(luò)延時(shí)或系統(tǒng)響應(yīng)時(shí)間的具體情況����,將不同的指定的網(wǎng)絡(luò)地址的過(guò)濾規(guī)則的關(guān)閉時(shí)間設(shè)定為不同的時(shí)間長(zhǎng)度。
[0030]參閱圖3���。在上述實(shí)施例中��,當(dāng)把預(yù)設(shè)的指定的聯(lián)網(wǎng)地址變成虛擬專(zhuān)用撥號(hào)網(wǎng)VPDN聯(lián)網(wǎng)地址時(shí)���,移動(dòng)終端可以在VPDN網(wǎng)絡(luò)連接成功以后,保障移動(dòng)終端�����、VPDN專(zhuān)網(wǎng)都處于與互聯(lián)網(wǎng)隔離的內(nèi)部網(wǎng)絡(luò)中��,就可以避免VPDN專(zhuān)網(wǎng)實(shí)際使用中�����,終端沒(méi)有進(jìn)行數(shù)據(jù)隔離的安全隱患�,從而保障VPDN數(shù)據(jù)網(wǎng)絡(luò)的安全。
[0031]上述實(shí)施例中��,所述的移動(dòng)終端包括手機(jī)��、���、平板電腦����、無(wú)線上網(wǎng)卡或其它移動(dòng)設(shè)備�。
[0032]以上所述的僅是本發(fā)明的優(yōu)選實(shí)施例。應(yīng)當(dāng)指出����,對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明原理的前提下����,還可以作出若干變形和改進(jìn),比如所述程序可以存儲(chǔ)于移動(dòng)終端可讀存儲(chǔ)介質(zhì)中����,可選地,上述實(shí)施例終端各模塊/單元可以采用硬件的形式實(shí)現(xiàn)�����,也可采用軟件功能模塊的形式實(shí)現(xiàn)����。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合��,亦屬于本發(fā)明的范疇��,這些變更和改變應(yīng)視為屬于本發(fā)明的保護(hù)范圍����。
【權(quán)利要求】
1.一種移動(dòng)終端預(yù)設(shè)聯(lián)網(wǎng)地址防火墻隔離應(yīng)用系統(tǒng)����,包括:內(nèi)嵌于移動(dòng)終端操作系統(tǒng)內(nèi)核中的防火墻隔離模塊和通過(guò)數(shù)據(jù)通道傳輸數(shù)據(jù)的應(yīng)用層,其特征在于:防火墻隔離模塊內(nèi)嵌IP地址分析模塊���,IP地址分析模塊對(duì)所有聯(lián)網(wǎng)IP地址數(shù)據(jù)進(jìn)行分析�,根據(jù)內(nèi)含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址和指定IP地址集合模塊�����,對(duì)所有流向外部網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行監(jiān)控�,當(dāng)檢測(cè)到聯(lián)網(wǎng)IP地址數(shù)據(jù)包內(nèi)含有預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址后,防火墻隔離模塊啟動(dòng)過(guò)濾規(guī)貝U��,將非指定聯(lián)網(wǎng)地址外的所有聯(lián)網(wǎng)IP地址數(shù)據(jù)包屏蔽�,禁止訪問(wèn)非指定的聯(lián)網(wǎng)地址外的其它IP地址,只允許預(yù)設(shè)指定聯(lián)網(wǎng)IP地址數(shù)據(jù)訪問(wèn)各種網(wǎng)絡(luò)。
2.如權(quán)利要求1所述的移動(dòng)終端預(yù)設(shè)聯(lián)網(wǎng)地址防火墻隔離應(yīng)用系統(tǒng)�����,其特征在于:移動(dòng)終端防火墻啟動(dòng)過(guò)濾規(guī)則的方式包含傳輸控制協(xié)議TCP數(shù)據(jù)包的過(guò)濾規(guī)則模式:IP數(shù)據(jù)分析模塊在檢測(cè)到IP數(shù)據(jù)包內(nèi)包含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址后��,檢測(cè)IP數(shù)據(jù)包的類(lèi)型��,如果是傳輸控制協(xié)議TCP��,檢測(cè)TCP協(xié)議連接是否建立�,如果TCP連接建立��,則防火墻啟動(dòng)過(guò)濾規(guī)則�����。
3.如權(quán)利要求1或2所述的移動(dòng)終端預(yù)設(shè)聯(lián)網(wǎng)地址防火墻隔離應(yīng)用系統(tǒng)���,其特征在于:當(dāng)IP數(shù)據(jù)分析模塊一段時(shí)間內(nèi)沒(méi)有檢測(cè)到聯(lián)網(wǎng)數(shù)據(jù)中包含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址���,或者接受到TCP連接終止的消息后,防火墻關(guān)閉過(guò)濾規(guī)則����,允許數(shù)據(jù)訪問(wèn)所有網(wǎng)絡(luò)�。
4.如權(quán)利要求1所述的移動(dòng)終端預(yù)設(shè)聯(lián)網(wǎng)地址防火墻隔離應(yīng)用系統(tǒng)�����,其特征在于:移動(dòng)終端防火墻啟動(dòng)過(guò)濾規(guī)則的方式還包含用戶數(shù)據(jù)包協(xié)議UDP數(shù)據(jù)包的過(guò)濾規(guī)則模式:IP數(shù)據(jù)分析模塊在檢測(cè)到IP數(shù)據(jù)包內(nèi)包含預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址后�,檢測(cè)IP數(shù)據(jù)包的類(lèi)型,如果是UDP協(xié)議��,則防火墻啟動(dòng)過(guò)濾規(guī)則��,UDP協(xié)議直接位于網(wǎng)際協(xié)議IP協(xié)議的頂層��。
5.如權(quán)利要求1所述的移動(dòng)終端預(yù)設(shè)聯(lián)網(wǎng)地址防火墻隔離應(yīng)用系統(tǒng)�����,其特征在于:內(nèi)嵌于操作系統(tǒng)內(nèi)核的防火墻隔離模塊�����,通過(guò)系統(tǒng)編譯成為移動(dòng)終端操作系統(tǒng)內(nèi)核的一部分���,并杜絕移動(dòng)終端操作系統(tǒng)模塊加載接口�����,對(duì)外不提供修改接口�。
6.如權(quán)利要求1所述的移動(dòng)終端預(yù)設(shè)聯(lián)網(wǎng)地址防火墻隔離應(yīng)用系統(tǒng),其特征在于:防火墻模塊根據(jù)預(yù)設(shè)的不同的指定的聯(lián)網(wǎng)IP地址�����,設(shè)置不同的過(guò)濾規(guī)則�,不同的過(guò)濾規(guī)則同時(shí)存在,針對(duì)不同的指定的IP聯(lián)網(wǎng)地址發(fā)生作用�����。
7.如權(quán)利要求1所述的移動(dòng)終端預(yù)設(shè)聯(lián)網(wǎng)地址防火墻隔離應(yīng)用系統(tǒng)�����,其特征在于:過(guò)濾規(guī)則包括以下兩種形式: 1)僅允許單個(gè)指定的聯(lián)網(wǎng)IP地址的數(shù)據(jù)包通過(guò)����,其它聯(lián)網(wǎng)地址數(shù)據(jù)一律丟棄�; 2)允許2個(gè)或多個(gè)指定的聯(lián)網(wǎng)IP地址和/或一段聯(lián)網(wǎng)地址段的數(shù)據(jù)包通過(guò),其他規(guī)則以外的數(shù)據(jù)包一律丟棄����。
8.如權(quán)利要求1所述的移動(dòng)終端預(yù)設(shè)聯(lián)網(wǎng)地址防火墻隔離應(yīng)用系統(tǒng)����,其特征在于:IP數(shù)據(jù)分析模塊關(guān)閉防火墻過(guò)濾規(guī)則的時(shí)間設(shè)定�����,根據(jù)實(shí)際應(yīng)用中�,網(wǎng)絡(luò)延時(shí)或系統(tǒng)響應(yīng)時(shí)間的具體情況,將不同的指定的網(wǎng)絡(luò)地址的過(guò)濾規(guī)則的關(guān)閉時(shí)間設(shè)定為不同的時(shí)間長(zhǎng)度�����。
9.如權(quán)利要求1所述的移動(dòng)終端預(yù)設(shè)聯(lián)網(wǎng)地址防火墻隔離應(yīng)用系統(tǒng)����,其特征在于:所述的IP地址集合模塊包括預(yù)設(shè)指定的聯(lián)網(wǎng)IP地址,指定IP地址1����、指定IP地址2、指定IP地址3...���,多個(gè)指定IP地址的集合和/或一段IP地址段���。
10.如權(quán)利要求1所述的移動(dòng)終端預(yù)設(shè)聯(lián)網(wǎng)地址防火墻隔離應(yīng)用系統(tǒng)�,其特征在于:當(dāng)把預(yù)設(shè)的指定的聯(lián)網(wǎng)地址變成虛擬專(zhuān)用撥號(hào)網(wǎng)VPDN聯(lián)網(wǎng)地址時(shí)����,移動(dòng)終端在VPDN網(wǎng)絡(luò)連接成功以后,移動(dòng)終端��、VPDN專(zhuān)網(wǎng)都處于與互聯(lián)網(wǎng)隔離的內(nèi)部網(wǎng)絡(luò)中�����。
【文檔編號(hào)】H04L29/08GK103973700SQ201410214696
【公開(kāi)日】2014年8月6日 申請(qǐng)日期:2014年5月21日 優(yōu)先權(quán)日:2014年5月21日
【發(fā)明者】朱雄關(guān), 劉曉巖 申請(qǐng)人:成都達(dá)信通通訊設(shè)備有限公司