技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)，尤其涉及智能移動終端的防火墻系統(tǒng)。

背景技術(shù)

隨著科學技術(shù)的快速發(fā)展，在當今信息化的社會中，我們生活和工作中的許多資源與信息都通過計算機系統(tǒng)來存儲和處理，伴隨著網(wǎng)絡(luò)技術(shù)的不斷進步和完善，這些信息都通過網(wǎng)絡(luò)來傳送、接收和處理，所以網(wǎng)絡(luò)在社會生活中的作用越來越大。智能移動終端的迅猛發(fā)展為個人信息處理帶來了巨大的便捷，其正成為計算資源中越來越重要的一部分。為了維護網(wǎng)絡(luò)安全，人們提出了許多手段和方法，采用防火墻是其中最主要、最核心、最有效的手段之一。防火墻是網(wǎng)絡(luò)安全策略的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實施對網(wǎng)絡(luò)安全的有效管理，將防火墻應(yīng)用到智能移動終端顯得勢在必行。

防火墻系統(tǒng)的技術(shù)原理是在信息傳輸時依據(jù)規(guī)則對被傳輸數(shù)據(jù)進行過濾，僅僅使得被允許的數(shù)據(jù)可被傳輸，不被允許的數(shù)據(jù)傳輸則被拒絕。其中規(guī)則是防火墻系統(tǒng)的使用者可根據(jù)實際應(yīng)用需要自行設(shè)計的，以實現(xiàn)對信息交換和訪問行為的有效管理。網(wǎng)絡(luò)數(shù)量的增長和網(wǎng)絡(luò)應(yīng)用的增加使防火墻的安全策略變得越來越復(fù)雜，具體表現(xiàn)為防火墻規(guī)則集所包含的規(guī)則的數(shù)量不斷增加，再加上編輯規(guī)則時不可避免的人為錯誤等原因，幾乎所有的防火墻規(guī)則集都會存在或多或少的錯誤和冗余，致使預(yù)想的安全策略無法有效地實施。因此，處理防火墻規(guī)則之間的異常成為整個防火墻系統(tǒng)面臨的一個主要任務(wù)。

傳統(tǒng)PC平臺的防火墻系統(tǒng)已經(jīng)提出一些規(guī)則異常的模型和算法。防火墻的規(guī)則配置應(yīng)該滿足三個條件：一致性，完整性和緊密型，并采用FDD（Firewall?Decision?Diagram，防火墻決策圖）來表示防火墻的初始配置，把一些類的算法引用到FDD上，從而保證了防火墻規(guī)則配置的上述三個條件。改模型主要基于策略樹和狀態(tài)及理論檢測防火墻規(guī)則之間可能存在的異常，同時采用翻譯樹完成規(guī)則的高層翻譯。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題在于改進上述現(xiàn)有防火墻技術(shù)的不足，而提出一種基于Android平臺的防火墻系統(tǒng)及其構(gòu)建方法，能夠減少移動智能終端防火墻系統(tǒng)的開銷、提高防火墻過濾效率。

本發(fā)明針對Android（安卓）平臺，采用的防火墻模型從集合角度對規(guī)則及規(guī)則之間的異常進行定義，并結(jié)合Android平臺資源的有限性對防火墻規(guī)則異常分析方法進行優(yōu)化，根據(jù)協(xié)議劃分及先后次序?qū)σ?guī)則異常進行處理，可減少異常處理開銷，節(jié)約處理時間和計算資源；并基于Android硬件抽象層（HAL，Hardware?Abstraction?Layer)在智能移動終端上實現(xiàn)上述防火墻系統(tǒng)。

本發(fā)明解決上述技術(shù)問題采用的技術(shù)方案包括，提出一種基于Android平臺的防火墻系統(tǒng)，包括：

數(shù)據(jù)包相關(guān)信息獲取單元，用以獲取防火墻規(guī)則中所要求過濾的信息域；

防火墻規(guī)則形式化表示單元，用以對防火墻規(guī)則進行形式化描述；

防火墻規(guī)則異常分類單元，用以對防火墻規(guī)則異常情況進行描述；

防火墻規(guī)則異常分析單元，用以對防火墻規(guī)則出現(xiàn)的異常進行處理；

數(shù)據(jù)包過濾實施單元，用以對數(shù)據(jù)包按照防火墻規(guī)則進行過濾。

在本發(fā)明中，該數(shù)據(jù)包相關(guān)信息獲取單元是直接調(diào)用Android內(nèi)核相關(guān)函數(shù)以獲取防火墻規(guī)則中所要求過濾的信息域。

在本發(fā)明中，該防火墻規(guī)則形式化表示單元將防火墻規(guī)則抽象為三部分：規(guī)則序號、過濾域和動作域。

該規(guī)則序號是一條規(guī)則在訪問控制列表中的位置標識；該過濾域可由多個子域構(gòu)成，子域類型包括：協(xié)議類型、源IP地址、源端口號、目標IP地址和目標端口號；該動作域包括：接受和拒絕。

每一條防火墻規(guī)則可以被形式化描述為：<規(guī)則序號，協(xié)議類型，源IP地址，源端口號，目標IP地址，目標端口號，動作>，記為：R?<?R[1]，R[2]，R[3]，R[4]，R[5]?，R[6]，R[7]?>。

在本發(fā)明中，該防火墻規(guī)則異常分類單元將出現(xiàn)的異常分為四類：屏蔽異常、沖突異常、冗余異常和重疊異常。

該防火墻規(guī)則異常分類單元給出下列定義：

規(guī)則R過濾域中的所有子域的笛卡爾積稱為R所匹配的數(shù)據(jù)包集合，記

為：{R}?=?R[2]?????????????????????????????????????????????????R[3]?R[4]?R[5]?R[6]；

若{Rx}{Ry}，則規(guī)則Rx與規(guī)則Ry是相關(guān)的，否則是不相關(guān)的；