[发明专利]一种手机智能终端防火墙装置

权利要求书

1.一种手机智能终端防火墙装置，其特征在于：在通用的智能手机系统内加载一个防火墙模块，从网络中传来的数据经由手机的4G数据接口模块直接发送给防火墙模块，经过安全策略验证通过后再通过防火墙的数据接口发送至CPU进行处理；所述防火墙模块与智能手机设备的数据接口采用串行通信接口或并行数据接口。

2.根据权利要求1所述的一种手机智能终端防火墙装置，其特征在于：这种防火墙模块的安全机制是根据分组包的源宿地址，端口号以及协议类型，标志确定是否允许报文通过，所根据的信息源来自于IP、TCP或UDP包头，并且采用常规防火墙中的包过滤技术，只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余不符合条件的数据包则抛弃；另外根据安全策略的规则，对输入输出的数据实行加密，认证，数字签名，完整性校验等安全措施，保证数据传输中的安全。

3.根据权利要求2所述的一种手机智能终端防火墙装置，其特征在于：所述防火墙模块的访问控制安全策略是通过对输入输出数据的监控，控制其输入输出，阻挡一部分攻击。根据预先指定的安全规则，对输入输出数据进行监测，符合要求的数据允许通过，否则屏蔽掉该数据包；

所述防火墙模块的数据保密与完整性安全策略是通过对传输数据的加密，封装与认证来保证数据的保密性，使得未授权的用户无法获取信息内容。

4.根据权利要求3所述的一种手机智能终端防火墙装置，其特征在于：所述防火墙模块的功能模块包括内存和计算模块；以及所制定的安全策略储存模块和由安全策略制定的规则模块；还有对数据包进行是否符合规则的判断的过滤模块，以及实现和智能终端设备进行数据交换的数据接口模块；还有实现人机交互的APP控制模块，用于人为在手机操作系统中更改安全策略设置。

5.根据权利要求4所述的一种手机智能终端防火墙装置，其特征在于：首先数据包从网络传输至智能手机的4G无线数据接口，无线通信技术所采用的通信协议需要进行协议转换才能对其执行后续操作，协议转换之后通过路由表提取相应的规则，对数据包进行安全策略规则判断，也即实现防火墙的包过滤功能。其中不符合安全策略规则的数据包直接丢弃，将符合安全策略的数据包进行封装，对其进行协议转换以及数据加密与认证等一系列工作，当封装完成后，通过智能手机内部的嵌入式数据接口如总线，串口等将其发送至设备的CPU进行运算。智能设备在处理完网络发送进来的数据之后，若需要向外部网络发送数据，同样通过上文的流程，即先通过内部数据接口将数据从CPU发送至防火墙模块进行协议转换与包过滤，再通过外部接口将处理过的数据发送至互联网络。

6.根据权利要求4所述的一种手机智能终端防火墙装置，其特征在于：所述智能手机防火墙模块的软件模块组成部分为4个模块，分别为Bootloader,操作系统，网络接口驱动和规则判决程序。以操作系统为核心，Bootloader负责硬件的初始化，网络接口驱动程序实现与物理传输媒介的交互，规则判决程序实现防火墙的各种功能；Bootloader初始化硬件设备，建立内存空间的映射图，为最终调用嵌入式系统操作内核准备正确启动的环境；操作系统加载驱动程序，使得防火墙能够正确的接受和发送数据包；由操作系统调用规则判决程序，处理接收的数据包，并返回处理结果；根据规则判决程序的处理结果，操作系统调用规则判决程序发送允许通过的数据包。

7.根据权利要求6所述的一种手机智能终端防火墙装置，其特征在于：首先确定智能手机防火墙的硬件结构，其硬件包括有进行规则运算以及数据加密运算的CPU模块；和储存安全策略规则的RAM存储模块；以及提供运行内存的Flash闪存模块；实现无线数据协议转换的ASIC芯片模块；还有最重要的与智能手机进行数据交互的数据接口模块；供电模块；智能手机防火墙的人机接口，采用JAVA开发软件设计APP，实现人对手机上的防火墙进行监控和交互；

在智能手机的数据报文处理流程是在智能终端设备运行内核中注册一安全机制接口，安全机制接口与实际的网络接口一一对应，然后在路由表中增加指向防火墙安全机制接口的入口，使所有输入输出的数据包直接送往安全处理机制接口，然后将分组封装处理程序放在安全处理机制(即防火墙)里，从而使得不必修改IP的源码，防火墙安全治理机制中的模块包括：策略数据库SPD的查询，规则的选择以及分组的封装处理；最后的数据包送往智能终端设备的数据接口，实现了安全通信。