[发明专利]一种手机智能终端防火墙装置

说明书

本发明公开了一种在通用的智能手机系统内加载一个防火墙模块，从网络中传来的数据经由手机的4G数据接口模块直接发送给防火墙模块，经过安全策略验证通过后再通过防火墙的数据接口发送至CPU进行处理；所述防火墙模块与智能手机设备的数据接口采用串行通信接口或并行数据接口；本发明的本文则针对智能手机系统特点，采用数据过滤与数据安全防护等技术，设计一种专门针对智能手机的防火墙。

技术领域

本发明属于手机防火墙领域，尤其涉及一种手机智能终端防火墙装置。

背景技术

智能终端是一类嵌入式计算机系统设备，因此其体系结构框架与嵌入式系统体系结构是一致的；同时，智能终端作为嵌入式系统的一个应用方向，其应用场景设定较为明确，智能终端的个性化很强，软件与硬件结合紧密，整个系统与具体应用有机结合在一起，因此智能终端的生命周期一般较长，而系统的更新换代往往采用更换整个产品的方式。

因此，在目前的网络安全领域，对于接入网络的智能终端的安全性方面的研究很少。目前的网络安全研究主要针对于某一网络或者某些特定主机、电脑、服务器等终端组成的网络的安全防护，而对于手机等智能终端网络安全防护技术研究投入力度很小，因此如果智能终端，如个人的智能手机遭受到网络攻击，很难保护其中的数据安全以及系统的正常工作。本文则针对嵌入式系统特点，采用数据过滤与数据安全防护等技术，设计一种专门针对智能手机的防火墙。

发明内容

发明目的：为了克服现有技术中存在的不足，本发明提供数据传输更加安全的一种手机智能终端防火墙装置。

技术方案：为实现上述目的，本发明的一种手机智能终端防火墙装置，在通用的智能手机系统内加载一个防火墙模块，从网络中传来的数据经由手机的4G数据接口模块直接发送给防火墙模块，经过安全策略验证通过后再通过防火墙的数据接口发送至CPU进行处理；所述防火墙模块与智能手机设备的数据接口采用串行通信接口或并行数据接口。

进一步的，这种防火墙模块的安全机制是根据分组包的源宿地址，端口号以及协议类型，标志确定是否允许报文通过，所根据的信息源来自于IP、TCP或UDP包头，并且采用常规防火墙中的包过滤技术，只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余不符合条件的数据包则抛弃；另外根据安全策略的规则，对输入输出的数据实行加密，认证，数字签名，完整性校验等安全措施，保证数据传输中的安全。

进一步的，所述防火墙模块的访问控制安全策略是通过对输入输出数据的监控，控制其输入输出，阻挡一部分攻击。根据预先指定的安全规则，对输入输出数据进行监测，符合要求的数据允许通过，否则屏蔽掉该数据包；

所述防火墙模块的数据保密与完整性安全策略是通过对传输数据的加密，封装与认证来保证数据的保密性，使得未授权的用户无法获取信息内容。

进一步的，所述防火墙模块的功能模块包括内存和计算模块；以及所制定的安全策略储存模块和由安全策略制定的规则模块；还有对数据包进行是否符合规则的判断的过滤模块，以及实现和智能终端设备进行数据交换的数据接口模块；还有实现人机交互的APP控制模块，用于人为在手机操作系统中更改安全策略设置。

进一步的，首先数据包从网络传输至智能手机的4G无线数据接口，无线通信技术所采用的通信协议需要进行协议转换才能对其执行后续操作，协议转换之后通过路由表提取相应的规则，对数据包进行安全策略规则判断，也即实现防火墙的包过滤功能。其中不符合安全策略规则的数据包直接丢弃，将符合安全策略的数据包进行封装，对其进行协议转换以及数据加密与认证等一系列工作，当封装完成后，通过智能手机内部的嵌入式数据接口如总线，串口等将其发送至设备的CPU进行运算。智能设备在处理完网络发送进来的数据之后，若需要向外部网络发送数据，同样通过上文的流程，即先通过内部数据接口将数据从CPU发送至防火墙模块进行协议转换与包过滤，再通过外部接口将处理过的数据发送至互联网络。