針對(duì)移動(dòng)終端不同聯(lián)網(wǎng)通道的防火墻聯(lián)網(wǎng)系統(tǒng)的制作方法
【專利摘要】本發(fā)明提出的一種針對(duì)移動(dòng)終端不同聯(lián)網(wǎng)通道的防火墻系統(tǒng)，在含有移動(dòng)終端操作系統(tǒng)和應(yīng)用軟件的應(yīng)用層與移動(dòng)終端聯(lián)網(wǎng)模塊之外，設(shè)有用于區(qū)分不同聯(lián)網(wǎng)通道的聯(lián)網(wǎng)分類模塊，以及用于實(shí)施聯(lián)網(wǎng)安全防護(hù)策略的防火墻，且一個(gè)防火墻對(duì)應(yīng)一個(gè)接入點(diǎn)名稱APN聯(lián)網(wǎng)通道，應(yīng)用層和聯(lián)網(wǎng)分類模塊分別通過數(shù)據(jù)通道鏈接每個(gè)對(duì)應(yīng)聯(lián)網(wǎng)通道的防火墻；其中，應(yīng)用層向移動(dòng)終端聯(lián)網(wǎng)模塊發(fā)起聯(lián)網(wǎng)請(qǐng)求，聯(lián)網(wǎng)分類模塊根據(jù)移動(dòng)終端聯(lián)網(wǎng)模塊成功聯(lián)網(wǎng)的通道類型，啟動(dòng)對(duì)應(yīng)的防火墻，聯(lián)網(wǎng)分類模塊在收到移動(dòng)終端聯(lián)網(wǎng)模塊發(fā)布的斷網(wǎng)消息時(shí)，聯(lián)網(wǎng)分類模塊關(guān)閉聯(lián)網(wǎng)通道對(duì)應(yīng)的防火墻。使得不同聯(lián)網(wǎng)通道的防火墻在啟用與關(guān)閉的設(shè)置相互間不干擾，杜絕了病毒或木馬對(duì)內(nèi)網(wǎng)信息的竊取。
【專利說明】針對(duì)移動(dòng)終端不同聯(lián)網(wǎng)通道的防火墻聯(lián)網(wǎng)系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及移動(dòng)終端操作系統(tǒng)和在操作系統(tǒng)中實(shí)現(xiàn)針對(duì)不同聯(lián)網(wǎng)通道提供不同安全防護(hù)策略防火墻進(jìn)行聯(lián)網(wǎng)的系統(tǒng)和創(chuàng)建方法。
【背景技術(shù)】
[0002]對(duì)于普通用戶而言，APN(Access Point Name，接入點(diǎn)名稱)只是為了上網(wǎng)而在手機(jī)終端上預(yù)先配置或手工設(shè)定的一組參數(shù)。而對(duì)于移動(dòng)網(wǎng)絡(luò)來說，APN是用來實(shí)現(xiàn)用戶互聯(lián)網(wǎng)協(xié)議IP報(bào)文路由至相應(yīng)GPRS網(wǎng)絡(luò)路由器GGSN及外部網(wǎng)絡(luò)的必不可少的標(biāo)識(shí)，其作用具體包括:APN作為路由標(biāo)識(shí):GPRS服務(wù)支持節(jié)點(diǎn)SGSN根據(jù)APN，向特定域名系統(tǒng)DNS服務(wù)器查詢?cè)揂PN對(duì)應(yīng)的GGSN IP地址，以確定用戶應(yīng)接入的GGSN ；APN作為業(yè)務(wù)域標(biāo)識(shí):GGSN根據(jù)APN不同，將用戶的業(yè)務(wù)流送到不同的業(yè)務(wù)域，而不同的業(yè)務(wù)域則對(duì)應(yīng)了不同的業(yè)務(wù)承載組網(wǎng)方式、用戶標(biāo)識(shí)獲取方式、計(jì)費(fèi)模式等。服務(wù)支持節(jié)點(diǎn)SGSN作為GPRS/TD-SCDMA(WCDMA)核心網(wǎng)分組域設(shè)備重要組成部分，主要完成分組數(shù)據(jù)包的路由轉(zhuǎn)發(fā)、移動(dòng)性管理、會(huì)話管理、邏輯鏈路管理、鑒權(quán)和加密、話單產(chǎn)生和輸出等功能。SGSN即GPRS服務(wù)支持節(jié)點(diǎn)，它通過Gb接口提供與無線分組控制器PCU的連接，進(jìn)行移動(dòng)數(shù)據(jù)的管理，如用戶身份識(shí)別，力口密，壓縮等功能；通過Gr接口與HLR相連，進(jìn)行用戶數(shù)據(jù)庫(kù)的訪問及接入控制；它還通過Gn接口與GGSN相連，提供IP數(shù)據(jù)包到無線單元之間的傳輸通路和協(xié)議變換等功能；SGSN還可以提供與MSC的Gs接口連接以及與SMSC之間的Gd接口連接，用以支持?jǐn)?shù)據(jù)業(yè)務(wù)和電路業(yè)務(wù)的協(xié)同工作和短信收發(fā)等功能。SGSN與GGSN配合，共同承擔(dān)TD-SCDMA (WCDMA)的PS功能。當(dāng)作為GPRS網(wǎng)絡(luò)的一個(gè)基本的組成網(wǎng)元時(shí)，通過Gb接口和BSS相連。其主要的作用就是為本SGSN服務(wù)區(qū)域的MS進(jìn)行移動(dòng)性管理，并轉(zhuǎn)發(fā)輸入/輸出的IP分組，其地位類似于GSM電路網(wǎng)中的VMSC。此外，SGSN中還集成了類似于GSM網(wǎng)絡(luò)中VLR的功能，當(dāng)用戶處于GPRS Attach (GPRS附著)狀態(tài)時(shí)，SGSN中存儲(chǔ)了同分組相關(guān)的用戶信息和位置信息。當(dāng)SGSN作為TD-SCDMA (WCDMA)核心網(wǎng)的PS域功能節(jié)點(diǎn)，它通過Iu_PS接口與UTRAN相連，主要提供PS域的路由轉(zhuǎn)發(fā)、移動(dòng)性管理、會(huì)話管理、鑒權(quán)和加密等功能。GGSN9811主要提以中國(guó)移動(dòng)最早提供、也是目前用戶使用最廣的兩個(gè)APN——CMWAP、CMNET為例:
DCMWAP APN
CMWAP和CMNET是中國(guó)移動(dòng)人為劃分的兩個(gè)GPRS接入通道。前者是為手機(jī)WAP上網(wǎng)而設(shè)立的，后者則主要是為PC、筆記本電腦、PDA等利用GPRS上網(wǎng)服務(wù)。CMWAPAPN在設(shè)計(jì)之初主要面向基于HTTP協(xié)議的業(yè)務(wù)，如WAP上網(wǎng)瀏覽，彩信等。隨著數(shù)據(jù)業(yè)務(wù)的不斷發(fā)展，為了支持逐漸引入的非超文本傳輸協(xié)議HTTP的業(yè)務(wù)，無線應(yīng)用協(xié)議WAP域通過進(jìn)行升級(jí)改造和配置，逐漸演變?yōu)槊嫦蚪^大多數(shù)自營(yíng)業(yè)務(wù)和合作業(yè)務(wù)的默認(rèn)業(yè)務(wù)域，面向用戶提供彩信、PM、流媒體、通用下載、快訊、音樂隨身聽、游戲等業(yè)務(wù)。CMWAPAPN使用了 WAP網(wǎng)關(guān)作為HTTP訪問的代理節(jié)點(diǎn)，同時(shí)可面向用戶提供一些輔助功能，例如免輸手機(jī)號(hào)碼、內(nèi)容轉(zhuǎn)換、適配預(yù)判等。
[0003]2) CMNET APN CMNET是為了開展開放的互聯(lián)網(wǎng)接入服務(wù)設(shè)置的APN，用戶可使用任何協(xié)議訪問互聯(lián)網(wǎng)，沒有任何控制和限制策略，但同時(shí)也不提供其他輔助功能。使用CMNET APN時(shí)，移動(dòng)終端通過接入地SGSN就近接入GGSN，業(yè)務(wù)數(shù)據(jù)流通過GGSN對(duì)應(yīng)的防火墻進(jìn)行NAT地址轉(zhuǎn)換后接入互聯(lián)網(wǎng)。除了 APN通道以外，移動(dòng)終端還有WIFI上網(wǎng)的聯(lián)網(wǎng)通道。
[0004]在當(dāng)前一些金融機(jī)構(gòu)、政府等應(yīng)用中，常常會(huì)使用完全與互聯(lián)網(wǎng)相隔離的聯(lián)網(wǎng)通道來進(jìn)行辦公或信息化工作。
[0005]隨著移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展，各類移動(dòng)應(yīng)用層出不窮，應(yīng)用紛繁復(fù)雜，網(wǎng)絡(luò)危機(jī)四伏，黑客入侵、釣魚網(wǎng)站等各種非法手段無時(shí)無刻不在侵害互聯(lián)網(wǎng)的安全，各種預(yù)裝軟件、病毒打包等威脅手機(jī)網(wǎng)絡(luò)安全的問題日益突出，并逐漸形成黑色產(chǎn)業(yè)鏈。互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的安全，日益成為人們關(guān)注的焦點(diǎn)。棱鏡門之后，人們發(fā)現(xiàn)，在擁有強(qiáng)大技術(shù)實(shí)力的美國(guó)政府面前，任何互聯(lián)網(wǎng)公司包括當(dāng)前擁有互聯(lián)網(wǎng)技術(shù)最頂尖科技的蘋果和谷歌公司，只要在互聯(lián)網(wǎng)上建立的信息系統(tǒng)，即使擁有各類安全防護(hù)措施，都無法避免信息被竊取的安全漏洞。
[0006]在傳統(tǒng)【技術(shù)領(lǐng)域】，物理隔離是保障內(nèi)部網(wǎng)絡(luò)安全最重要最有效的舉措，無論銀行信息系統(tǒng)還是政府信息系統(tǒng)都是使用與互聯(lián)網(wǎng)物理隔離的內(nèi)部網(wǎng)絡(luò)來保障信息安全的。使用與互聯(lián)網(wǎng)物理隔離的內(nèi)部網(wǎng)絡(luò)由于杜絕了互聯(lián)網(wǎng)的聯(lián)網(wǎng)通道，任何黑客都無法進(jìn)行入侵。現(xiàn)有技術(shù)防火墻，一般是通過設(shè)備提供的BYOD管理功能封堵來歷不明的移動(dòng)終端，將防火墻作為網(wǎng)關(guān)設(shè)備部署在互聯(lián)網(wǎng)出口，而現(xiàn)有移動(dòng)終端內(nèi)部并未提供相應(yīng)的防火墻。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。
[0007]當(dāng)前的移動(dòng)終端操作系統(tǒng)在設(shè)計(jì)時(shí)，往往僅僅通過權(quán)限管理來管理應(yīng)用程序的使用權(quán)限，來達(dá)到安全防護(hù)的目的，在移動(dòng)終端實(shí)施聯(lián)網(wǎng)的過程，沒有任何防火墻策略，僅僅實(shí)現(xiàn)移動(dòng)終端與網(wǎng)絡(luò)的連接。但是由于廣大用戶普遍沒有專業(yè)知識(shí)，對(duì)于移動(dòng)終端操作系統(tǒng)的權(quán)限管理的功能非常不了解，很多安卓手機(jī)用戶在刪除系統(tǒng)軟件或者是實(shí)用某些工具的時(shí)候都會(huì)提示需要獲取root權(quán)限。Root是手機(jī)的神經(jīng)中樞，它可以訪問和修改手機(jī)幾乎所有的文件。黑客在入侵系統(tǒng)時(shí)，都要把權(quán)限提升到Root權(quán)限，將非法帳戶添加到Root用戶組。在手機(jī)root或安裝應(yīng)用程序的過程中，用戶往往會(huì)打開手機(jī)的權(quán)限，從而被植入病毒，導(dǎo)致賬戶或密碼失竊，發(fā)生安全隱患。隨著iPad、智能手機(jī)等移動(dòng)終端的廣泛應(yīng)用，而于移動(dòng)設(shè)備的威脅呈幾何倍數(shù)的增長(zhǎng)，對(duì)終端防護(hù)更加處于失控的狀態(tài)，高級(jí)持續(xù)性攻擊APT攻擊者通過以智能手機(jī)、平板電腦等移動(dòng)設(shè)備為跳板繼而入侵企業(yè)信息系統(tǒng)的方式也顯著增加。伴隨著新時(shí)代網(wǎng)絡(luò)帶來的各種問題，在安全應(yīng)用的通道聯(lián)網(wǎng)過程中，增加手機(jī)的聯(lián)網(wǎng)防護(hù)和防火墻管理，有效杜絕移動(dòng)終端在使用內(nèi)網(wǎng)APN時(shí)，連接互聯(lián)網(wǎng)，阻止賬戶或信息的泄露，是較為安全的構(gòu)想。
[0008]
【發(fā)明內(nèi)容】

本發(fā)明的目的是針對(duì)上述現(xiàn)有技術(shù)存在不足之處，提供一種面向應(yīng)用框架層設(shè)計(jì)，能夠在移動(dòng)終端的操作系統(tǒng)上，針對(duì)不同聯(lián)網(wǎng)通道的聯(lián)網(wǎng)請(qǐng)求提供不同安全防護(hù)策略的防火墻系統(tǒng)，以滿足不同應(yīng)用程序在不同聯(lián)網(wǎng)通道進(jìn)行聯(lián)網(wǎng)實(shí)施不同安全防護(hù)策略的需求。
[0009]本發(fā)明的上述目的可以通過以下措施來得到，一種針對(duì)移動(dòng)終端不同聯(lián)網(wǎng)通道的防火墻系統(tǒng)，包括:應(yīng)用層、移動(dòng)終端聯(lián)網(wǎng)模塊、驅(qū)動(dòng)模塊和防火墻，其特征在于:在含有移動(dòng)終端操作系統(tǒng)和應(yīng)用軟件的應(yīng)用層與移動(dòng)終端聯(lián)網(wǎng)模塊之外，設(shè)有用于區(qū)分不同聯(lián)網(wǎng)通道的聯(lián)網(wǎng)分類模塊，以及用于實(shí)施聯(lián)網(wǎng)安全防護(hù)策略的防火墻，且一個(gè)防火墻對(duì)應(yīng)一個(gè)接入點(diǎn)名稱APN聯(lián)網(wǎng)通道，應(yīng)用層和聯(lián)網(wǎng)分類模塊分別通過數(shù)據(jù)通道鏈接每個(gè)對(duì)應(yīng)聯(lián)網(wǎng)通道的防火墻；其中，應(yīng)用層向移動(dòng)終端聯(lián)網(wǎng)模塊發(fā)起聯(lián)網(wǎng)請(qǐng)求，聯(lián)網(wǎng)分類模塊根據(jù)移動(dòng)終端聯(lián)網(wǎng)模塊成功聯(lián)網(wǎng)的通道類型，啟動(dòng)對(duì)應(yīng)的防火墻，聯(lián)網(wǎng)分類模塊在收到移動(dòng)終端聯(lián)網(wǎng)模塊發(fā)布的斷網(wǎng)消息時(shí)，聯(lián)網(wǎng)分類模塊關(guān)閉聯(lián)網(wǎng)通道對(duì)應(yīng)的防火墻。
[0010]本發(fā)明相比現(xiàn)有移動(dòng)終端操作系統(tǒng)有以下有益效果:
I)本發(fā)明在移動(dòng)終端操作系統(tǒng)中針對(duì)不同聯(lián)網(wǎng)通道設(shè)置對(duì)應(yīng)不同的防火墻，使用戶在使用不同的聯(lián)網(wǎng)通道時(shí)，可以使用不同的安全防護(hù)策略。
[0011]2)本發(fā)明在移動(dòng)終端操作系統(tǒng)中針對(duì)不同聯(lián)網(wǎng)通道設(shè)置對(duì)應(yīng)不同的防火墻對(duì)移動(dòng)終端的聯(lián)網(wǎng)控制，通過可以互相并列疊加的多重防火墻，使得不同聯(lián)網(wǎng)通道的防火墻在啟用與關(guān)閉的設(shè)置相互間不干擾。
[0012]3)本發(fā)明在移動(dòng)終端操作系統(tǒng)中針對(duì)不同聯(lián)網(wǎng)通道設(shè)置對(duì)應(yīng)不同的防火墻，可全面應(yīng)對(duì)應(yīng)用層威脅。通過深入洞察網(wǎng)絡(luò)流量中應(yīng)用和內(nèi)容，能夠?yàn)橛脩籼峁┯行У膽?yīng)用層一體化安全防護(hù)。防火墻規(guī)則按照安全防護(hù)要求從高到低，優(yōu)先保護(hù)安全等級(jí)高的應(yīng)用；使得多個(gè)業(yè)務(wù)并發(fā)時(shí)，優(yōu)先保護(hù)安全等級(jí)要求高的應(yīng)用。
[0013]4)本發(fā)明針對(duì)移動(dòng)終端操作系統(tǒng)框架層進(jìn)行修改，修改內(nèi)容屬于系統(tǒng)內(nèi)核，不在用戶權(quán)限管理范圍之內(nèi)，移動(dòng)終端用戶無法在root以后，取消防火墻的設(shè)置，使得移動(dòng)終端用戶在root以后依然提供保護(hù)。增加了移動(dòng)終端在root以后的聯(lián)網(wǎng)防護(hù)性能，可以保障移動(dòng)內(nèi)網(wǎng)應(yīng)用的安全。
[0014]5)本發(fā)明通過在移動(dòng)終端操作系統(tǒng)框架增加防火墻，采用防火墻隔離，控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包；可以阻止病毒或木馬程序?qū)Π踩雷o(hù)的聯(lián)網(wǎng)通道進(jìn)行信息竊取。
[0015]本發(fā)明在應(yīng)用軟件的應(yīng)用層與移動(dòng)終端聯(lián)網(wǎng)模塊之外加入?yún)^(qū)分不同聯(lián)網(wǎng)通道的聯(lián)網(wǎng)分類模塊和對(duì)應(yīng)APN聯(lián)網(wǎng)通道，實(shí)施聯(lián)網(wǎng)安全防護(hù)策略的互相并列疊加的多重防火墻，徹底杜絕了病毒或木馬對(duì)內(nèi)網(wǎng)信息的竊取，強(qiáng)化了手機(jī)安全的性能，在用戶root情況下也能保障內(nèi)網(wǎng)應(yīng)用的安全。
【專利附圖】

【附圖說明】
[0016]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白，下面將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說明。需要說明的是，在不沖突的情況下，本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。
[0017]圖1是本發(fā)明針對(duì)移動(dòng)終端不同聯(lián)網(wǎng)通道的防火墻系統(tǒng)模型的結(jié)構(gòu)示意圖?！揪唧w實(shí)施方式】
[0018]參閱圖1。在以下實(shí)施例的一個(gè)最佳實(shí)施例中，支持移動(dòng)終端實(shí)現(xiàn)針對(duì)不同聯(lián)網(wǎng)通道實(shí)施不同安全策略的防火墻系統(tǒng)模型，主要包括應(yīng)用層、移動(dòng)終端聯(lián)網(wǎng)模塊、聯(lián)網(wǎng)分類模塊和防火墻。應(yīng)用層包括移動(dòng)終端上的操作系統(tǒng)或應(yīng)用軟件。用于區(qū)分不同聯(lián)網(wǎng)通道的聯(lián)網(wǎng)分類模塊和用于實(shí)施聯(lián)網(wǎng)安全防護(hù)策略的防火墻，在含有移動(dòng)終端操作系統(tǒng)應(yīng)用軟件的應(yīng)用層與移動(dòng)終端聯(lián)網(wǎng)模塊之外，一個(gè)防火墻對(duì)應(yīng)一個(gè)接入點(diǎn)名稱APN聯(lián)網(wǎng)通道。應(yīng)用層和聯(lián)網(wǎng)分類模塊分別通過數(shù)據(jù)通道鏈接每個(gè)對(duì)應(yīng)聯(lián)網(wǎng)通道的防火墻。應(yīng)用層向移動(dòng)終端聯(lián)網(wǎng)模塊發(fā)起聯(lián)網(wǎng)請(qǐng)求，移動(dòng)終端聯(lián)網(wǎng)模塊收到應(yīng)用層的聯(lián)網(wǎng)請(qǐng)求后，開始聯(lián)網(wǎng)，聯(lián)網(wǎng)成功后發(fā)送聯(lián)網(wǎng)成功的系統(tǒng)消息。移動(dòng)終端聯(lián)網(wǎng)模塊聯(lián)網(wǎng)成功后，聯(lián)網(wǎng)區(qū)分模塊收到移動(dòng)終端聯(lián)網(wǎng)模塊成功聯(lián)網(wǎng)的消息后，根據(jù)成功聯(lián)網(wǎng)的通道類型，啟動(dòng)對(duì)應(yīng)的防火墻。反之，聯(lián)網(wǎng)區(qū)分模塊在收到移動(dòng)終端聯(lián)網(wǎng)模塊發(fā)布的斷網(wǎng)消息時(shí)，關(guān)閉聯(lián)網(wǎng)通道對(duì)應(yīng)的防火墻。
[0019]APN聯(lián)網(wǎng)通道是指包含APN聯(lián)網(wǎng)參數(shù)的移動(dòng)數(shù)據(jù)聯(lián)網(wǎng)通道，不同的APN聯(lián)網(wǎng)參數(shù)代表不同的APN網(wǎng)絡(luò)。
[0020]聯(lián)網(wǎng)分類模塊收到移動(dòng)終端聯(lián)網(wǎng)模塊發(fā)送的聯(lián)網(wǎng)成功消息后，提取網(wǎng)絡(luò)名稱信息，按照預(yù)設(shè)的分類對(duì)應(yīng)關(guān)系，啟動(dòng)對(duì)應(yīng)的防火墻應(yīng)用規(guī)則，防火墻啟動(dòng)后，對(duì)應(yīng)用層使用聯(lián)網(wǎng)通道的應(yīng)用規(guī)則進(jìn)行防護(hù)。防火墻的應(yīng)用規(guī)則包括:
1)應(yīng)用層僅允許連接指定聯(lián)網(wǎng)通道，其它聯(lián)網(wǎng)通道一律阻止；
2)應(yīng)用層僅允許連接APN內(nèi)網(wǎng)通道，不允許訪問互聯(lián)網(wǎng)通道，例如:WIF1、CMNET、CMWAP或彩信通道。不同運(yùn)營(yíng)商指定的訪問互聯(lián)網(wǎng)的通道有所不同，中國(guó)移動(dòng)是CMNET或CMWAP，中國(guó)聯(lián)通是UNINET或UNIWAP，中國(guó)電信是CTNET或CTWAP ；
3)所有通道可以并發(fā)訪問；
4)特殊指定的其它網(wǎng)絡(luò)訪問規(guī)則。
[0021]同理，聯(lián)網(wǎng)分類模塊收到移動(dòng)終端關(guān)閉聯(lián)網(wǎng)通道的消息后，提取網(wǎng)絡(luò)名稱信息，將對(duì)應(yīng)的防火墻取消。
[0022]聯(lián)網(wǎng)分類模塊對(duì)于不同聯(lián)網(wǎng)通道的區(qū)分包括:采用特征字符的區(qū)分和/或數(shù)據(jù)名單方式，特征字符采用特征字開頭的命名標(biāo)識(shí)來進(jìn)行聯(lián)網(wǎng)通道分類，例如以CMA字母開頭的聯(lián)網(wǎng)通道，標(biāo)記為僅允許通過該通道進(jìn)行聯(lián)網(wǎng)，其它聯(lián)網(wǎng)通道一律阻止；以CMB字母開頭的聯(lián)網(wǎng)通道，標(biāo)記為僅允許通過內(nèi)網(wǎng)通道進(jìn)行聯(lián)網(wǎng)，不允許訪問互聯(lián)網(wǎng)通道等等；數(shù)據(jù)名單方式包括在某一類的防火墻對(duì)應(yīng)的聯(lián)網(wǎng)通道的詳細(xì)名稱或IP地址的方式，例如，在上述某一類防火墻對(duì)應(yīng)的聯(lián)網(wǎng)通道，在數(shù)據(jù)庫(kù)中標(biāo)識(shí)為CMPAY，10.112.113等等。
[0023]由于在移動(dòng)終端的實(shí)際聯(lián)網(wǎng)過程中，IP地址也是用來區(qū)分不同網(wǎng)絡(luò)的重要手段。所述的特征字符包括:采用特征IP地址的區(qū)分，還可以使用不同的IP地址范圍來標(biāo)識(shí)不同的聯(lián)網(wǎng)防火墻規(guī)范。
[0024]防火墻設(shè)計(jì)策略可以基于特定的Firewall，定義完成服務(wù)訪問策略的規(guī)則。通常有兩種基本的設(shè)計(jì)策略:允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。第一種的特點(diǎn)是安全但不好用，第二種是好用但不安全，通常采用第二種類型的設(shè)計(jì)策略。而多數(shù)防火墻都在兩種之間采取折衷。
[0025]以上所述的僅是本發(fā)明的優(yōu)選實(shí)施例。應(yīng)當(dāng)指出，對(duì)于本領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以作出若干變形和改進(jìn)，比如所述程序可以存儲(chǔ)于移動(dòng)終端可讀存儲(chǔ)介質(zhì)中，可選地，上述實(shí)施例終端各模塊/單元可以采用硬件的形式實(shí)現(xiàn)，也可采用軟件功能模塊的形式實(shí)現(xiàn)。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合，亦屬于本發(fā)明的范疇，這些變更和改變應(yīng)視為屬于本發(fā)明的保護(hù)范圍。
【權(quán)利要求】
1.一種針對(duì)移動(dòng)終端不同聯(lián)網(wǎng)通道的防火墻系統(tǒng)，包括:應(yīng)用層、移動(dòng)終端聯(lián)網(wǎng)模塊、驅(qū)動(dòng)模塊和防火墻，其特征在于:在含有移動(dòng)終端操作系統(tǒng)和應(yīng)用軟件的應(yīng)用層與移動(dòng)終端聯(lián)網(wǎng)模塊之外，設(shè)有用于區(qū)分不同聯(lián)網(wǎng)通道的聯(lián)網(wǎng)分類模塊，以及用于實(shí)施聯(lián)網(wǎng)安全防護(hù)策略的防火墻，且一個(gè)防火墻對(duì)應(yīng)一個(gè)接入點(diǎn)名稱APN聯(lián)網(wǎng)通道，應(yīng)用層和聯(lián)網(wǎng)分類模塊分別通過數(shù)據(jù)通道鏈接每個(gè)對(duì)應(yīng)聯(lián)網(wǎng)通道的防火墻；其中，應(yīng)用層向移動(dòng)終端聯(lián)網(wǎng)模塊發(fā)起聯(lián)網(wǎng)請(qǐng)求，聯(lián)網(wǎng)分類模塊根據(jù)移動(dòng)終端聯(lián)網(wǎng)模塊成功聯(lián)網(wǎng)的通道類型，啟動(dòng)對(duì)應(yīng)的防火墻，聯(lián)網(wǎng)分類模塊在收到移動(dòng)終端聯(lián)網(wǎng)模塊發(fā)布的斷網(wǎng)消息時(shí)，聯(lián)網(wǎng)分類模塊關(guān)閉聯(lián)網(wǎng)通道對(duì)應(yīng)的防火墻。
2.如權(quán)利要求1所述的針對(duì)移動(dòng)終端不同聯(lián)網(wǎng)通道的防火墻系統(tǒng)，其特征在于:聯(lián)網(wǎng)分類模塊收到移動(dòng)終端聯(lián)網(wǎng)模塊發(fā)送的聯(lián)網(wǎng)成功消息后，提取網(wǎng)絡(luò)名稱信息，按照預(yù)設(shè)的分類對(duì)應(yīng)關(guān)系，啟動(dòng)對(duì)應(yīng)的防火墻應(yīng)用規(guī)則，防火墻啟動(dòng)后，對(duì)應(yīng)用層使用聯(lián)網(wǎng)通道的應(yīng)用規(guī)則進(jìn)行防護(hù)。
3.如權(quán)利要求1所述的針對(duì)移動(dòng)終端不同聯(lián)網(wǎng)通道的防火墻系統(tǒng)，其特征在于:防火墻應(yīng)用規(guī)則包括: 1)應(yīng)用層僅允許連接指定聯(lián)網(wǎng)通道，其它聯(lián)網(wǎng)通道一律阻止； 2)應(yīng)用層僅允許連接APN內(nèi)網(wǎng)通道，不允許訪問互聯(lián)網(wǎng)通道，例如:WIF1、CMNET、CMWAP或彩信通道；不同運(yùn)營(yíng)商指定的訪問互聯(lián)網(wǎng)的通道有所不同，中國(guó)移動(dòng)是CMNET或CMWAP，中國(guó)聯(lián)通是UNINET或UNIWAP，中國(guó)電信是CTNET或CTWAP ； 3)所有通道可以并發(fā)訪問； 4)特殊指定的其它網(wǎng)絡(luò)訪問規(guī)則。
4.如權(quán)利要求1所述的針對(duì)移動(dòng)終端不同聯(lián)網(wǎng)通道的防火墻系統(tǒng)，其特征在于:聯(lián)網(wǎng)分類模塊收到移動(dòng)終端關(guān)閉聯(lián)網(wǎng)通道的消息后，提取網(wǎng)絡(luò)名稱信息，將對(duì)應(yīng)的防火墻取消。
5.如權(quán)利要求1所述的針對(duì)移動(dòng)終端不同聯(lián)網(wǎng)通道的防火墻系統(tǒng)，其特征在于:聯(lián)網(wǎng)分類模塊對(duì)于不同聯(lián)網(wǎng)通道的區(qū)分包括:采用特征字符的區(qū)分和/或數(shù)據(jù)名單方式。
6.如權(quán)利要求5所述的針對(duì)移動(dòng)終端不同聯(lián)網(wǎng)通道的防火墻系統(tǒng)，其特征在于:特征字符采用特征字開頭的命名標(biāo)識(shí)來進(jìn)行聯(lián)網(wǎng)通道分類，例如以CMA字母開頭的聯(lián)網(wǎng)通道，標(biāo)記為僅允許通過該通道進(jìn)行聯(lián)網(wǎng)，其它聯(lián)網(wǎng)通道一律阻止；以CMB字母開頭的聯(lián)網(wǎng)通道，標(biāo)記為僅允許通過內(nèi)網(wǎng)通道進(jìn)行聯(lián)網(wǎng)，不允許訪問互聯(lián)網(wǎng)通道。
7.如權(quán)利要求5所述的針對(duì)移動(dòng)終端不同聯(lián)網(wǎng)通道的防火墻系統(tǒng)，其特征在于:數(shù)據(jù)名單方式包括在某一類的防火墻對(duì)應(yīng)的聯(lián)網(wǎng)通道的詳細(xì)名稱或IP地址的方式。
8.如權(quán)利要求5所述的針對(duì)移動(dòng)終端不同聯(lián)網(wǎng)通道的防火墻系統(tǒng)，其特征在于:所述的特征字符包括:采用特征IP地址的區(qū)分，或使用不同的IP地址范圍來標(biāo)識(shí)不同的聯(lián)網(wǎng)防火墻規(guī)范。
【文檔編號(hào)】H04L29/06GK103795736SQ201410083859
【公開日】2014年5月14日 申請(qǐng)日期:2014年3月10日 優(yōu)先權(quán)日:2014年3月10日
【發(fā)明者】朱雄關(guān), 劉曉巖 申請(qǐng)人:成都達(dá)信通通訊設(shè)備有限公司