CN102045361A - 一种网络安全处理方法及无线通信装置 - Google Patents

一种网络安全处理方法及无线通信装置 Download PDF

Info

Publication number
CN102045361A
CN102045361A CN2010106145665A CN201010614566A CN102045361A CN 102045361 A CN102045361 A CN 102045361A CN 2010106145665 A CN2010106145665 A CN 2010106145665A CN 201010614566 A CN201010614566 A CN 201010614566A CN 102045361 A CN102045361 A CN 102045361A
Authority
CN
China
Prior art keywords
rule
data
communication device
radio communication
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN2010106145665A
Other languages
English (en)
Inventor
邢树先
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN2010106145665A priority Critical patent/CN102045361A/zh
Publication of CN102045361A publication Critical patent/CN102045361A/zh
Priority to PCT/CN2011/082598 priority patent/WO2012088972A1/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提出一种网络安全处理方法及无线通信装置。所述网络安全处理方法用于与计算机连接的无线通信装置进行网络信息交互,将防火墙模块内置于无线通信装置中,直接使用无线通信装置对网络信息进行实时监控,拦截不符合规则设定要求的网络访问。本发明的无线通信装置能够监测外部的网络攻击,同时也对内部的恶意破坏也有极强的防范作用,从而提高系统的性能和安全;并且通过分析数据包的地址、协议、端口等,可以做到对交互数据的全程动态过滤和监控。

Description

一种网络安全处理方法及无线通信装置
技术领域
本发明涉及通信领域,更具体地,涉及一种通信安全处理方法及无线通信装置。
背景技术
随着信息技术和第三代移动通信技术的迅猛发展,通讯手段日新月异。在移动通信领域,伴随着GPRS(General Packet Radio Service,通用无线分组业务)、UMTS(Universal Mobile Telecommunication System,通用移动通信系统)、HSDPA(High Speed Downlink Packages Access,高速下行分组接入)等高速数据移动网的普及,无线Modem(调制解调器)作为一种方便快捷的新型无线接入和互联设备迅速发展起来,并以其操作简单、支持高速数据业务等优点,被越来越多的计算机用户所接受和使用。
由于数据卡本身体积小巧、便于携带,通过USB口即可接入PC终端;即使在某一台PC上第一次使用,其驱动和UI程序(User Interface)的安装过程也非常简单和直观,所以作为支持高速数据业务的无线调制解调器的一种,数据卡产品的应用人群和应用场合已经越加的普及。
目前的数据卡产品,在建立数据连接后实现的是数据包的完全透传,即数据卡本身不会对网络交互的信息进行任何的判断和拦截,所以即使对于不同的使用者,他们在同一台PC上通过数据卡浏览网页的权限是相同的(因为目前的防火墙都是在PC侧进行设定和绑定的),不会有任何的差异。尽管数据卡内部的简单处理在一定程度上可以换取更高的性能,但是同时也会给使用者带来一些问题:例如当家长把数据卡交给孩子使用,希望他能够用来访问某些学习网站时,孩子是否能够如他所愿,不去浏览一些“非法”的网页是一个问题;还有,如果有一位对网络安全非常在乎的用户,当他在不同的PC上使用自己的数据卡时,就会重复地去检查和设定不同PC上的防火墙。这时,如果这种防火墙也像数据卡一样可以移动就会非常方便;另外,如果一只数据卡被不小心丢掉后,原主人当然不希望非所有者能任意使用自己的数据卡。
发明内容
本发明目的是提出一种网络安全处理方法及无线通信装置。
为实现上述目的,本发明提出一种网络安全处理方法,用于与计算机连接的无线通信装置进行网络信息交互,将防火墙模块内置于无线通信装置中,直接使用无线通信装置对网络信息进行实时监控,拦截不符合规则设定要求的网络访问。
进一步地,所述规则可以通过人机接口设定,且允许修改、备份和恢复。
进一步地,所述防火墙模块内置于无线通信装置的基带处理器中。
进一步地,在数据的L2、L3层数据处理过程中,将接收或待发送的数据包与所述规则之间进行有效地对比,给出“合法”或“非法”的判断,对于“合法”的数据交互给予放行、对于“非法”的交互舍弃。
进一步地,所述规则的设定包括以下一种或多种域信息:规则编号、规则状态、规则方向、规则约定的信息域、规则动作、规则的时效或规则的描述信息;
规则编号:即设定的条目号;
规则状态:设定了规则是否处于已启用态或已禁止的状态;
规则方向:设定了规则应用的数据处理流向;
规则约定信息域:设定规则匹配的依据和条件;可以是多个约束的集合体;
规则的动作:规定了规则满足后的处理行为和动作,如数据包丢弃,或数据包放行等;
规则的时效:设定规则启用的时间段;可以根据时间段设定不同的防护规则;
规则的描述:对规则进行进一步的详细解释,便于用户的理解和避免歧义。
本发明还提出一种无线通信装置,所述无线通信终端包括基带处理部分、射频收发部分和防火墙处理模块;
所述基带处理部分完成数据的处理;
所述射频收发用于对接收和发送无线信号;
所述防火墙模块内置于无线通信装置中,拦截不符合规则设定要求的网络访问。
进一步地,所述规则可以通过人机接口设定,且允许修改、备份和恢复。
进一步地,所述防火墙模块内置于无线通信装置的基带处理部分。
进一步地,在数据的L2、L3层数据处理过程中,将接收或待发送的数据包与所述规则之间进行有效地对比,给出“合法”或“非法”的判断,对于“合法”的数据交互给予放行、对于“非法”的交互舍弃。
进一步地,所述规则的设定包括以下一种或多种域信息:规则编号、规则状态、规则方向、规则约定的信息域、规则动作、规则的时效或规则的描述信息;
规则编号:即设定的条目号;
规则状态:设定了规则是否处于已启用态或已禁止的状态;
规则方向:设定了规则应用的数据处理流向;
规则约定信息域:设定规则匹配的依据和条件;可以是多个约束的集合体;
规则的动作:规定了规则满足后的处理行为和动作,如数据包丢弃,或数据包放行等;
规则的时效:设定规则启用的时间段;可以根据时间段设定不同的防护规则;
规则的描述:对规则进行进一步的详细解释,便于用户的理解和避免歧义。
综上所述,本发明的无线通信装置能够监测外部的网络攻击,同时也对内部的恶意破坏也有极强的防范作用,从而提高系统的性能和安全;并且通过分析数据包的地址、协议、端口等,可以做到对交互数据的全程动态过滤和监控。
附图说明
图1为本发明实施例无线通信装置的组成示意图;
图2为本发明实施例网络安全处理方法示意图;
图3为本发明实施例中数据处理流程示意图。
具体实施方式
本发明技术方案将“防火墙”功能内置于数据卡,直接使用数据卡就可以对网络信息进行实时监控,拦截对所有者来讲“非法”(即不符合规则设定要求的)的网络访问,保证安全防护设置可以跟随数据卡移动而移动;由于具体规则的设定需要通过密码才能启用,非所有者会因为无权修改规则而无法获取更多的网络访问权限;同时所有的规则均可以通过人机接口灵活设定,且允许修改、备份和恢复,便于数据卡所有者操作及后期的数据维护。
请参考图1所示,是本发明实施例无线通信装置的组成示意图,在该实施例中,所述无线通信装置以无线数据卡为例进行说明。如图1所示,所述无线数据卡包括基带处理部分、分集天线、射频收发部分和防火墙处理模块。数据的处理主要由基带处理部分来完成。
在基带处理器中增加的防火墙处理模块,该模块存储了防火墙的设定方式,例如不启用、规则设定和完全禁止几种模式,当模式为“不启用”时,同现有的数据处理流程,即数据卡本身对网络数据包不进行动态监视和过滤,不实现防火墙功能;当模式为“完全禁止”时,数据卡将禁止所有网络数据包的连入和连出,即此时用户使用该数据卡将无法进行任何数据连接的操作;当模式为“规则设定”时,数据卡通过在数据的L2、L3层等数据处理过程中,将接收或待发送的数据包与规则之间进行有效地对比,从而给出“合法”或“非法”的判断,对于“合法”的数据交互给予放行、对于“非法”的交互进行舍弃。这样不仅能够监测外部的网络攻击,同时也对内部的恶意破坏也有极强的防范作用,从而提高系统的性能和安全;并且通过分析数据包的地址、协议、端口等,可以做到对交互数据的全程动态过滤和监控。
上述规则的配置信息在UI设定后可以备份在计算机上,易于恢复。且规则设定后最终在数据卡的板侧保存,人机接口处需要通过密码校验后方可进行修改,从而保证了“防火墙”功能的安全性和可移动性。
请参考图2所示,是本发明实施例一种网络安全处理方法,并以数据卡为例进行说明。其包括如下步骤:
S201:数据卡启动时,读取配置信息完成初始化,初始化过程中将设定的规则进行装载;
S202:通过数据卡无线网络接口实现数据流的交互;
S203:将数据和比对规程进行对比判断;
在处理器进行数据的层2或层3处理时,增加一个接入控制处理流程;数据通过接入处理流程时,提取关键的域信息字段与内存里记录的规则加以对比和判断;
在层2处理中,处理器提取层2数据信息,根据提取的信息域值,搜索层2规则,查询是否有满足条件的规则,如果和规则匹配,则按照定义的规则行为进行处理;如果没有,则按照预定义的默认行为处理。
S204:在层3上的数据处理,控制处理过程与层2类似;
S205:对于完成接入控制处理的数据则按照数据正常处理流程进行进一步的处理;
S206:对于发送的数据增加一个发送的控制处理流程;
S207:按照规则对数据的发送行为进行设定。
扫描待发送的数据包头信息,提取相关的信息域值,搜索规则,按照规则信息配置的规则或默认的规则,对数据的发送行为(丢弃or发送)进行设定。
由上可以看到,规则设定的接入点是在数据解析的处理过程中进行的,通过数据流的数据过滤,分析交互数据包地址、协议、接口等相关信息;将信息与规则进行对照判断,对不安全的信息予以拒绝,从而达到安全防护的防火墙功能。
带有防火墙功能的数据卡,其防护规则的设定是通过数据卡的人机接口来配置和管理的,数据卡将配置的规则存储在数据卡的存储器中,且第一次加载在数据卡启动时完成;后续修改时,可以通过人机接口进行动态的修改和实时刷新。
一个规则项的设定包含以下域信息:规则编号、规则状态、规则方向、规则约定的信息域、规则动作、规则的时效以及规则的描述信息,具体含义如下:
规则编号:即设定的条目号;
规则状态:设定了规则是否处于已启用态或已禁止的状态;
规则方向:设定了规则应用的数据处理流向;
规则约定信息域:设定规则匹配的依据和条件;可以是多个约束的集合体;
规则的动作:规定了规则满足后的处理行为和动作,如数据包丢弃,或数据包放行等;
规则的时效:设定规则启用的时间段;可以根据时间段设定不同的防护规则;
规则的描述:对规则进行进一步的详细解释,便于用户的理解和避免歧义。
为了更为清晰的理解本发明的实施方式,下面以如下一条规则的实施为例,阐述数据卡安全通信方法的具体实现。
Figure BDA0000041708480000061
处理器在读取到编号为10的设置规则后,对规则进行分析,该规则约定集合的信息为:目的IP网络地址为221.11.55.181远端端口为22223的tcp协议的链接。处理器将接入点放在数据出口的层3和层4处理,其数据处理流程如图3所示,其包括如下步骤:
S301:判断SIP是否等于221.11.55.181,如果等于,则转入步骤S302,如果不等于则放行;
S302:判断协议号是否等于6,如果等于6,则转入步骤S303,如果不等于则放行;
S303:判断远端端口是否等于22223,如果等于,则转入步骤S304,如果不等于则放行;
S304:判断当前时间是否达到,如果达到,则拒绝访问,如果没达到,则放行。
本发明中数据卡在读取规则处理时,首先对规则约束的信息域进行分析,将规则约束进行详细的拆分,按照作用的层次进行依次划分,并按照规则约定的方向和动作,对数据卡的数据处理的各个接入点进行详细的配置设定;同时按照约定的时间段对规则进行动态刷新。这样在数据卡与无线数据网络之间建立起一组安全控制点,通过允许、拒绝,或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问进行审计和控制。软件具体的设计实现按流程划分以下几个过程:
首先基带处理器在透过物理层接收数据(或等待应用层完成数据分封装后),需要先将数据完整的缓存(如果是碎片包,需要将碎片聚合)下来,进行一些包的预处理,获取到重要信息。
其次,再根据数据的源方向的不同,选择当前节点的最佳匹配规则。
选择好数据的规则,选择对应的匹配方式,并对匹配结果进行汇总,同时完成包的迁移状态的更新,来实现防火墙的最终功能。
基于设计的实现,数据的处理是分层分阶段实现的。如“-节点1-节点2-......-节点N-”,按照前文所设计的,我们将防火墙的规则分散到各个节点上,再根据个节点匹配的结果决定数据包的迁移状态,或放行或丢弃。每个节点可以含盖0条、1条或多条规则。最终的结果是否这N个规则匹配的结果来决定的。
以上为基于软件算法的规则匹配实现,如hash查找算法,根据规则的key的长度构建多个的hash表项,使用时根据不同的key长度和类型查找不同的表项。实现起来较为灵活,但是需要牺牲一定的空间来提升处理速度,所以实现时应确保一定的内存。
当然,本发明还可有多种实施方式,在不背离本发明精神及其实质的情况,熟悉本领域的技术人员当可根据本发明做出各种相应的更改或变化,但凡在本发明的精神和原则之内所作的任何修改、等同替换、改进,均应包含在本发明的保护范围之内。

Claims (10)

1.一种网络安全处理方法,用于与计算机连接的无线通信装置进行网络信息交互,其特征在于,将防火墙模块内置于无线通信装置中,直接使用无线通信装置对网络信息进行实时监控,拦截不符合规则设定要求的网络访问。
2.如权利要求1所述的方法,其特征在于,所述规则可以通过人机接口设定,且允许修改、备份和恢复。
3.如权利要求1所述的方法,其特征在于,所述防火墙模块内置于无线通信装置的基带处理器中。
4.如权利要求1所述的方法,其特征在于,在数据的L2、L3层数据处理过程中,将接收或待发送的数据包与所述规则之间进行有效地对比,给出“合法”或“非法”的判断,对于“合法”的数据交互给予放行、对于“非法”的交互舍弃。
5.如权利要求1所述的方法,其特征在于,所述规则的设定包括以下一种或多种域信息:规则编号、规则状态、规则方向、规则约定的信息域、规则动作、规则的时效或规则的描述信息;
规则编号:即设定的条目号;
规则状态:设定了规则是否处于已启用态或已禁止的状态;
规则方向:设定了规则应用的数据处理流向;
规则约定信息域:设定规则匹配的依据和条件;可以是多个约束的集合体;
规则的动作:规定了规则满足后的处理行为和动作,如数据包丢弃,或数据包放行等;
规则的时效:设定规则启用的时间段;可以根据时间段设定不同的防护规则;
规则的描述:对规则进行进一步的详细解释,便于用户的理解和避免歧义。
6.一种无线通信装置,其特征在于,所述无线通信终端包括基带处理部分、射频收发部分和防火墙处理模块;
所述基带处理部分完成数据的处理;
所述射频收发用于对接收和发送无线信号;
所述防火墙模块内置于无线通信装置中,拦截不符合规则设定要求的网络访问。
7.如权利要求6所述的装置,其特征在于,所述规则可以通过人机接口设定,且允许修改、备份和恢复。
8.如权利要求6所述的装置,其特征在于,所述防火墙模块内置于无线通信装置的基带处理部分。
9.如权利要求6所述的装置,其特征在于,在数据的L2、L3层数据处理过程中,将接收或待发送的数据包与所述规则之间进行有效地对比,给出“合法”或“非法”的判断,对于“合法”的数据交互给予放行、对于“非法”的交互舍弃。
10.如权利要求6所述的装置,其特征在于,所述规则的设定包括以下一种或多种域信息:规则编号、规则状态、规则方向、规则约定的信息域、规则动作、规则的时效或规则的描述信息;
规则编号:即设定的条目号;
规则状态:设定了规则是否处于已启用态或已禁止的状态;
规则方向:设定了规则应用的数据处理流向;
规则约定信息域:设定规则匹配的依据和条件;可以是多个约束的集合体;
规则的动作:规定了规则满足后的处理行为和动作,如数据包丢弃,或数据包放行等;
规则的时效:设定规则启用的时间段;可以根据时间段设定不同的防护规则;
规则的描述:对规则进行进一步的详细解释,便于用户的理解和避免歧义。
CN2010106145665A 2010-12-30 2010-12-30 一种网络安全处理方法及无线通信装置 Pending CN102045361A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2010106145665A CN102045361A (zh) 2010-12-30 2010-12-30 一种网络安全处理方法及无线通信装置
PCT/CN2011/082598 WO2012088972A1 (zh) 2010-12-30 2011-11-22 一种网络安全处理方法及无线通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010106145665A CN102045361A (zh) 2010-12-30 2010-12-30 一种网络安全处理方法及无线通信装置

Publications (1)

Publication Number Publication Date
CN102045361A true CN102045361A (zh) 2011-05-04

Family

ID=43911131

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010106145665A Pending CN102045361A (zh) 2010-12-30 2010-12-30 一种网络安全处理方法及无线通信装置

Country Status (2)

Country Link
CN (1) CN102045361A (zh)
WO (1) WO2012088972A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103916857A (zh) * 2014-04-04 2014-07-09 杭州华三通信技术有限公司 一种无线接入控制装置和方法
US8856330B2 (en) 2013-03-04 2014-10-07 Fmr Llc System for determining whether to block internet access of a portable system based on its current network configuration
CN105516073B (zh) * 2014-10-20 2018-12-25 中国银联股份有限公司 网络入侵防御方法
CN109561487A (zh) * 2017-09-25 2019-04-02 中兴通讯股份有限公司 降低移动终端能耗的方法、装置以及移动终端

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030084334A1 (en) * 2001-11-01 2003-05-01 Takeshi Miyao Firewall computer system
CN1559122A (zh) * 2001-09-28 2004-12-29 ض� 使无线连接设备的中断服务和功耗最小化的方法
CN101340275A (zh) * 2008-08-27 2009-01-07 深圳华为通信技术有限公司 数据卡及其数据处理和传输方法
CN101502146A (zh) * 2006-06-08 2009-08-05 夏兰·布莱德里 基于sim的防火墙的方法和设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1559122A (zh) * 2001-09-28 2004-12-29 ض� 使无线连接设备的中断服务和功耗最小化的方法
US20030084334A1 (en) * 2001-11-01 2003-05-01 Takeshi Miyao Firewall computer system
CN101502146A (zh) * 2006-06-08 2009-08-05 夏兰·布莱德里 基于sim的防火墙的方法和设备
CN101340275A (zh) * 2008-08-27 2009-01-07 深圳华为通信技术有限公司 数据卡及其数据处理和传输方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856330B2 (en) 2013-03-04 2014-10-07 Fmr Llc System for determining whether to block internet access of a portable system based on its current network configuration
CN103916857A (zh) * 2014-04-04 2014-07-09 杭州华三通信技术有限公司 一种无线接入控制装置和方法
CN103916857B (zh) * 2014-04-04 2017-10-17 新华三技术有限公司 一种无线接入控制装置和方法
CN105516073B (zh) * 2014-10-20 2018-12-25 中国银联股份有限公司 网络入侵防御方法
CN109561487A (zh) * 2017-09-25 2019-04-02 中兴通讯股份有限公司 降低移动终端能耗的方法、装置以及移动终端

Also Published As

Publication number Publication date
WO2012088972A1 (zh) 2012-07-05

Similar Documents

Publication Publication Date Title
Cvitić et al. CLASSIFICATION OF SECURITY RISKS IN THE IOT ENVIRONMENT.
KR101679578B1 (ko) IoT 보안을 위한 제어 서비스 제공 장치 및 방법
US10462185B2 (en) Policy-managed secure code execution and messaging for computing devices and computing device security
Han et al. Automotive cybersecurity for in-vehicle communication
CN105049412B (zh) 一种不同网络间数据安全交换方法、装置及设备
CN103944890A (zh) 基于客户端/服务器模式的虚拟交互系统及方法
US20170237749A1 (en) System and Method for Blocking Persistent Malware
EP3750289B1 (en) Method, apparatus, and computer readable medium for providing security service for data center
CN109995769B (zh) 一种多级异构跨区域的全实时安全管控方法和系统
Mohindru et al. Security attacks in internet of things: A review
CN108566643A (zh) App访问控制方法、系统、终端设备及存储介质
CN103401885A (zh) 网络文档权限控制方法、装置及系统
CN102045361A (zh) 一种网络安全处理方法及无线通信装置
Alfaqih et al. Internet of things security based on devices architecture
CN103795736B (zh) 针对移动终端不同联网通道的防火墙联网系统
US9712556B2 (en) Preventing browser-originating attacks
CN108738015A (zh) 网络安全保护方法、设备及系统
Ferdous et al. Threat taxonomy for Cloud of Things
CN105681352B (zh) 一种无线网络访问安全管控方法和系统
CN103686700A (zh) 数据链路层流量处理方法及系统
Sara et al. Survey on Internet of Things and 4G
CN106537962A (zh) 无线网络配置、接入和访问方法、装置及设备
CN106254389A (zh) 大数据安全管理方法及系统
KR102178624B1 (ko) 적어도 하나의 디바이스에 데이터를 송신하기 위한 방법, 데이터 송신 제어 서버, 저장 서버, 처리 서버 및 시스템
CN205864753U (zh) 一种终端设备的加密防护系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20110504