CN110191470A - 一种安全防火墙的方法及其对应系统 - Google Patents

Abstract

本发明公开了一种安全防火墙的方法及其对应系统，其中所述对应系统为包括安全防火墙的系统。考虑终端处于移动的状态下，将认证请求和业务请求合二为一，并且根据传输信道的特性、业务特点自适应选择传输方式，通过获取网络设备实时流量，解析并提取出流量中携带的用户标识、应用标识或关键字段，根据用户标识确定用户身份，根据应用标识确定应用程序，基于应用程序行为动作与关键字段的对应关系，确定实时流量对应的行为动作，实现对应用程序流量的分析，获知用户在使用什么应用程序，进行什么类型的操作，达到精细化管理的目的。

Description

一种安全防火墙的方法及其对应系统

技术领域

本申请涉及通信技术领域，尤其涉及一种安全防火墙的方法及其对应系统。

背景技术

用户会接触很多应用程序，有使用应用程序处理工作，然而也有使用例如即时通讯工具进行与工作无关的聊天，甚至发表一些可能泄露公司机密、或者不利公司的言论。这些行为都不利于提高工作效率，不利于公司形象的维护。尤其是当用户终端处于移动的状态下，如何优先保证重要用户不泄密，就显得非常重要。

发明内容

本发明的目的在于提供一种安全防火墙的方法及其对应系统，其中所述对应系统为包括安全防火墙的系统。考虑终端处于移动的状态下，将认证请求和业务请求合二为一，并且根据传输信道的特性、业务特点自适应选择传输方式，实现对应用程序流量的分析，获知用户在使用什么应用程序，进行什么类型的操作，达到精细化管理的目的。

第一方面，本申请提供一种安全防火墙的方法，所述方法包括：

用户终端获取应用层的网络数据，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择调制方式，向服务器发送认证请求；所述认证请求中携带有网络数据，所述网络数据包括用户标识、应用标识或关键字段中一个或多个；

其中，所述选择调制方式包括：估计载波所在的传输信道的第一CSI值，设置循环前缀的长度，根据所述第一CSI值自适应选择一种调制阶数，按照选择的调制方式和调制阶数，把所述认证请求数据流调制为信息符号，通过传输网络发送到安全防火墙；所述循环前缀的长度大于传输信道的最大时延扩展；

安全防火墙的通信模块通过传输网络接收信息符号，所述通信模块估计传输信道的第二CSI值，根据所述第二CSI值自适应选择一种调制阶数，根据上一次成功传输的业务数据包，获得传输的业务重要性，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择解调方式，按照选择的解调方式和调制阶数，把接收到的信息符号解调为数据流；

安全防火墙从所述数据流中提取出所述网络数据，解析并提取出流量中携带的用户标识、应用标识或关键字段中一个或多个；根据应用标识确定应用程序，基于应用程序行为动作与关键字段的对应关系，确定实时流量对应的行为动作；深度分析流量携带的数据包，判断是否包含与工作业务相关的关键字、或包含不良言论相关的关键字；

所述安全防火墙根据用户标识确定用户身份，将该用户身份和用户标识上传给服务器，所述服务器将用户身份与本地特定对象的访问关系模型进行匹配，判断用户对应的角色，选择相应的认证策略，将该认证策略下发给所述安全防火墙；

所述安全防火墙根据所述认证策略，解析网络数据，判断所述用户终端的应用程序行为动作和访问对象是否与用户对应的角色匹配；如果匹配则用户终端通过认证，允许用户终端继续使用应用程序访问流量；如果不匹配则拒绝用户终端的认证请求，中断用户终端使用应用程序的访问流量，并发送通知给用户终端。

结合第一方面，在第一方面第一种可能的实现方式中，所述根据应用标识确定应用程序，还包括：

如果流量中提取不出应用标识，则通过提取的关键字段，查询应用程序行为动作与关键字段的对应关系，得出可能的应用程序。

结合第一方面，在第一方面第二种可能的实现方式中，所述关键字段包括动作指令、命令、特殊标识、特殊校验位的一个或多个。

结合第一方面，在第一方面第三种可能的实现方式中，所述传输业务包括：

多媒体数据、音频数据、视频数据、文本数据中的一种或若干种组合。

第二方面，本申请提供一种包括安全防火墙的系统，所述系统包括：

用户终端，用于获取应用层的网络数据，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择调制方式，向服务器发送认证请求；所述认证请求中携带有网络数据，所述网络数据包括用户标识、应用标识或关键字段中一个或多个；

其中，所述选择调制方式包括：估计载波所在的传输信道的第一CSI值，设置循环前缀的长度，根据所述第一CSI值自适应选择一种调制阶数，按照选择的调制方式和调制阶数，把所述认证请求数据流调制为信息符号，通过传输网络发送到安全防火墙；所述循环前缀的长度大于传输信道的最大时延扩展；

安全防火墙，用于借助其通信模块通过传输网络接收信息符号，所述通信模块估计传输信道的第二CSI值，根据所述第二CSI值自适应选择一种调制阶数，根据上一次成功传输的业务数据包，获得传输的业务重要性，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择解调方式，按照选择的解调方式和调制阶数，把接收到的信息符号解调为数据流；从所述数据流中提取出所述网络数据，解析并提取出流量中携带的用户标识、应用标识或关键字段中一个或多个；根据应用标识确定应用程序，基于应用程序行为动作与关键字段的对应关系，确定实时流量对应的行为动作；深度分析流量携带的数据包，判断是否包含与工作业务相关的关键字、或包含不良言论相关的关键字；

所述安全防火墙根据用户标识确定用户身份，将该用户身份和用户标识上传给服务器；所述安全防火墙根据所述认证策略，解析网络数据，判断所述用户终端的应用程序行为动作和访问对象是否与用户对应的角色匹配；如果匹配则用户终端通过认证，允许用户终端继续使用应用程序访问流量；如果不匹配则拒绝用户终端的认证请求，中断用户终端使用应用程序的访问流量，并发送通知给用户终端；

服务器，用于将用户身份与本地特定对象的访问关系模型进行匹配，判断用户对应的角色，选择相应的认证策略，将该认证策略下发给所述安全防火墙。

结合第二方面，在第二方面第一种可能的实现方式中，所述根据应用标识确定应用程序，还包括：

如果流量中提取不出应用标识，则通过提取的关键字段，查询应用程序行为动作与关键字段的对应关系，得出可能的应用程序。

结合第二方面，在第二方面第二种可能的实现方式中，所述关键字段包括动作指令、命令、特殊标识、特殊校验位的一个或多个。

结合第二方面，在第二方面第三种可能的实现方式中，所述传输业务包括：

多媒体数据、音频数据、视频数据、文本数据中的一种或若干种组合。

本发明提供一种安全防火墙的方法及其对应系统，其中所述对应系统为包括安全防火墙的系统。考虑终端处于移动的状态下，将认证请求和业务请求合二为一，并且根据传输信道的特性、业务特点自适应选择传输方式，通过获取网络设备实时流量，解析并提取出流量中携带的用户标识、应用标识或关键字段，根据用户标识确定用户身份，根据应用标识确定应用程序，基于应用程序行为动作与关键字段的对应关系，确定实时流量对应的行为动作，实现对应用程序流量的分析，获知用户在使用什么应用程序，进行什么类型的操作，达到精细化管理的目的。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明安全防火墙的方法的流程图；

图2为本发明包括安全防火墙的系统的框架图。

具体实施方式

下面结合附图对本发明的优选实施例进行详细阐述，以使本发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。

图1为本申请提供的安全防火墙的方法的流程图，所述方法包括：

用户终端获取应用层的网络数据，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择调制方式，向服务器发送认证请求；所述认证请求中携带有网络数据，所述网络数据包括用户标识、应用标识或关键字段中一个或多个；

其中，所述选择调制方式包括：估计载波所在的传输信道的第一CSI值，设置循环前缀的长度，根据所述第一CSI值自适应选择一种调制阶数，按照选择的调制方式和调制阶数，把所述认证请求数据流调制为信息符号，通过传输网络发送到安全防火墙；所述循环前缀的长度大于传输信道的最大时延扩展；

安全防火墙的通信模块通过传输网络接收信息符号，所述通信模块估计传输信道的第二CSI值，根据所述第二CSI值自适应选择一种调制阶数，根据上一次成功传输的业务数据包，获得传输的业务重要性，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择解调方式，按照选择的解调方式和调制阶数，把接收到的信息符号解调为数据流；

安全防火墙从所述数据流中提取出所述网络数据，解析并提取出流量中携带的用户标识、应用标识或关键字段中一个或多个；根据应用标识确定应用程序，基于应用程序行为动作与关键字段的对应关系，确定实时流量对应的行为动作；深度分析流量携带的数据包，判断是否包含与工作业务相关的关键字、或包含不良言论相关的关键字；

所述安全防火墙根据用户标识确定用户身份，将该用户身份和用户标识上传给服务器，所述服务器将用户身份与本地特定对象的访问关系模型进行匹配，判断用户对应的角色，选择相应的认证策略，将该认证策略下发给所述安全防火墙；

所述安全防火墙根据所述认证策略，解析网络数据，判断所述用户终端的应用程序行为动作和访问对象是否与用户对应的角色匹配；如果匹配则用户终端通过认证，允许用户终端继续使用应用程序访问流量；如果不匹配则拒绝用户终端的认证请求，中断用户终端使用应用程序的访问流量，并发送通知给用户终端。

在一些优选实施例中，所述根据应用标识确定应用程序，还包括：

如果流量中提取不出应用标识，则通过提取的关键字段，查询应用程序行为动作与关键字段的对应关系，得出可能的应用程序。

在一些优选实施例中，所述关键字段包括动作指令、命令、特殊标识、特殊校验位的一个或多个。

在一些优选实施例中，所述传输业务包括：

多媒体数据、音频数据、视频数据、文本数据中的一种或若干种组合。

图2为本申请提供的包括安全防火墙的系统的框架图，所述系统包括：

用户终端，用于获取应用层的网络数据，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择调制方式，向服务器发送认证请求；所述认证请求中携带有网络数据，所述网络数据包括用户标识、应用标识或关键字段中一个或多个；

其中，所述选择调制方式包括：估计载波所在的传输信道的第一CSI值，设置循环前缀的长度，根据所述第一CSI值自适应选择一种调制阶数，按照选择的调制方式和调制阶数，把所述认证请求数据流调制为信息符号，通过传输网络发送到安全防火墙；所述循环前缀的长度大于传输信道的最大时延扩展；

安全防火墙，用于借助其通信模块通过传输网络接收信息符号，所述通信模块估计传输信道的第二CSI值，根据所述第二CSI值自适应选择一种调制阶数，根据上一次成功传输的业务数据包，获得传输的业务重要性，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择解调方式，按照选择的解调方式和调制阶数，把接收到的信息符号解调为数据流；从所述数据流中提取出所述网络数据，解析并提取出流量中携带的用户标识、应用标识或关键字段中一个或多个；根据应用标识确定应用程序，基于应用程序行为动作与关键字段的对应关系，确定实时流量对应的行为动作；深度分析流量携带的数据包，判断是否包含与工作业务相关的关键字、或包含不良言论相关的关键字；

所述安全防火墙根据用户标识确定用户身份，将该用户身份和用户标识上传给服务器；所述安全防火墙根据所述认证策略，解析网络数据，判断所述用户终端的应用程序行为动作和访问对象是否与用户对应的角色匹配；如果匹配则用户终端通过认证，允许用户终端继续使用应用程序访问流量；如果不匹配则拒绝用户终端的认证请求，中断用户终端使用应用程序的访问流量，并发送通知给用户终端；

服务器，用于将用户身份与本地特定对象的访问关系模型进行匹配，判断用户对应的角色，选择相应的认证策略，将该认证策略下发给所述安全防火墙。

在一些优选实施例中，所述根据应用标识确定应用程序，还包括：

如果流量中提取不出应用标识，则通过提取的关键字段，查询应用程序行为动作与关键字段的对应关系，得出可能的应用程序。

在一些优选实施例中，所述关键字段包括动作指令、命令、特殊标识、特殊校验位的一个或多个。

在一些优选实施例中，所述传输业务包括：

多媒体数据、音频数据、视频数据、文本数据中的一种或若干种组合。

具体实现中，本发明还提供一种计算机存储介质，其中，该计算机存储介质可以存储有程序，该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称：ROM)或随机存储记忆体(简称：RAM)等。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书各个实施例之间相同相似的部分互相参见即可。尤其，对于实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (8)

1.一种安全防火墙的方法，其特征在于，包括：

用户终端获取应用层的网络数据，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择调制方式，向服务器发送认证请求；所述认证请求中携带有网络数据，所述网络数据包括用户标识、应用标识或关键字段中一个或多个；

其中，所述选择调制方式包括：估计载波所在的传输信道的第一CSI值，设置循环前缀的长度，根据所述第一CSI值自适应选择一种调制阶数，按照选择的调制方式和调制阶数，把所述认证请求数据流调制为信息符号，通过传输网络发送到安全防火墙；所述循环前缀的长度大于传输信道的最大时延扩展；

安全防火墙的通信模块通过传输网络接收信息符号，所述通信模块估计传输信道的第二CSI值，根据所述第二CSI值自适应选择一种调制阶数，根据上一次成功传输的业务数据包，获得传输的业务重要性，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择解调方式，按照选择的解调方式和调制阶数，把接收到的信息符号解调为数据流；

安全防火墙从所述数据流中提取出所述网络数据，解析并提取出流量中携带的用户标识、应用标识或关键字段中一个或多个；根据应用标识确定应用程序，基于应用程序行为动作与关键字段的对应关系，确定实时流量对应的行为动作；深度分析流量携带的数据包，判断是否包含与工作业务相关的关键字、或包含不良言论相关的关键字；

所述安全防火墙根据用户标识确定用户身份，将该用户身份和用户标识上传给服务器，所述服务器将用户身份与本地特定对象的访问关系模型进行匹配，判断用户对应的角色，选择相应的认证策略，将该认证策略下发给所述安全防火墙；

所述安全防火墙根据所述认证策略，解析网络数据，判断所述用户终端的应用程序行为动作和访问对象是否与用户对应的角色匹配；如果匹配则用户终端通过认证，允许用户终端继续使用应用程序访问流量；如果不匹配则拒绝用户终端的认证请求，中断用户终端使用应用程序的访问流量，并发送通知给用户终端。

2.根据权利要求1所述的方法，其特征在于，所述根据应用标识确定应用程序，还包括：

如果流量中提取不出应用标识，则通过提取的关键字段，查询应用程序行为动作与关键字段的对应关系，得出可能的应用程序。

3.根据权利要求1-2任一所述的方法，其特征在于，所述关键字段包括动作指令、命令、特殊标识、特殊校验位的一个或多个。

4.根据权利要求1-3任一所述的方法，其特征在于，所述传输业务包括：

多媒体数据、音频数据、视频数据、文本数据中的一种或若干种组合。

5.一种包括安全防火墙的系统，其特征在于，所述系统包括：

用户终端，用于获取应用层的网络数据，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择调制方式，向服务器发送认证请求；所述认证请求中携带有网络数据，所述网络数据包括用户标识、应用标识或关键字段中一个或多个；

其中，所述选择调制方式包括：估计载波所在的传输信道的第一CSI值，设置循环前缀的长度，根据所述第一CSI值自适应选择一种调制阶数，按照选择的调制方式和调制阶数，把所述认证请求数据流调制为信息符号，通过传输网络发送到安全防火墙；所述循环前缀的长度大于传输信道的最大时延扩展；

安全防火墙，用于借助其通信模块通过传输网络接收信息符号，所述通信模块估计传输信道的第二CSI值，根据所述第二CSI值自适应选择一种调制阶数，根据上一次成功传输的业务数据包，获得传输的业务重要性，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择解调方式，按照选择的解调方式和调制阶数，把接收到的信息符号解调为数据流；从所述数据流中提取出所述网络数据，解析并提取出流量中携带的用户标识、应用标识或关键字段中一个或多个；根据应用标识确定应用程序，基于应用程序行为动作与关键字段的对应关系，确定实时流量对应的行为动作；深度分析流量携带的数据包，判断是否包含与工作业务相关的关键字、或包含不良言论相关的关键字；

所述安全防火墙根据用户标识确定用户身份，将该用户身份和用户标识上传给服务器；所述安全防火墙根据所述认证策略，解析网络数据，判断所述用户终端的应用程序行为动作和访问对象是否与用户对应的角色匹配；如果匹配则用户终端通过认证，允许用户终端继续使用应用程序访问流量；如果不匹配则拒绝用户终端的认证请求，中断用户终端使用应用程序的访问流量，并发送通知给用户终端；

服务器，用于将用户身份与本地特定对象的访问关系模型进行匹配，判断用户对应的角色，选择相应的认证策略，将该认证策略下发给所述安全防火墙。

6.根据权利要求5所述的系统，其特征在于，所述根据应用标识确定应用程序，还包括：

如果流量中提取不出应用标识，则通过提取的关键字段，查询应用程序行为动作与关键字段的对应关系，得出可能的应用程序。

7.根据权利要求5-6任一所述的系统，其特征在于，所述关键字段包括动作指令、命令、特殊标识、特殊校验位的一个或多个。

8.根据权利要求5-7任一所述的系统，其特征在于，所述传输业务包括：

多媒体数据、音频数据、视频数据、文本数据中的一种或若干种组合。