[發(fā)明專利]一種移動式網(wǎng)線防火墻裝置在審
| 申請?zhí)枺?/td> | 201810988255.1 | 申請日: | 2018-08-28 |
| 公開(公告)號: | CN109274648A | 公開(公告)日: | 2019-01-25 |
| 發(fā)明(設(shè)計)人: | 華翔;孫一陽 | 申請(專利權(quán))人: | 西安工業(yè)大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 無錫松禾知識產(chǎn)權(quán)代理事務所(普通合伙) 32316 | 代理人: | 朱亮淞 |
| 地址: | 720021 陜*** | 國省代碼: | 陜西;61 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 嵌入式系統(tǒng) 防火墻 防火墻裝置 安全策略 移動式 網(wǎng)線 通用嵌入式系統(tǒng) 數(shù)據(jù)傳輸接口 數(shù)據(jù)傳輸連接 網(wǎng)絡(luò)安全領(lǐng)域 標準以太網(wǎng) 嵌入式設(shè)備 數(shù)據(jù)安全性 安全數(shù)據(jù) 數(shù)據(jù)過濾 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)攻擊 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)數(shù)據(jù) 網(wǎng)線連接 狀態(tài)檢測 嵌入式 通用的 加載 外接 過濾 驗證 互聯(lián)網(wǎng) 運轉(zhuǎn) 安全 研究 | ||
1.一種移動式網(wǎng)線防火墻裝置,其特征在于:在通用的嵌入式系統(tǒng)的網(wǎng)絡(luò)接口外,加載一個外接的防火墻,網(wǎng)絡(luò)數(shù)據(jù)通過網(wǎng)線連接的防火墻的安全策略驗證過濾后,將安全數(shù)據(jù)傳入通用嵌入式系統(tǒng)中;所述防火墻與嵌入式設(shè)備之間的數(shù)據(jù)傳輸接口,采用標準以太網(wǎng)RJ45接口數(shù)據(jù)傳輸連接。
2.根據(jù)權(quán)利要求1所示的一種移動式網(wǎng)線防火墻裝置,其特征在于:所述防火墻的功能模塊包括內(nèi)存和CPU模塊,以及實現(xiàn)從安全策略到規(guī)則轉(zhuǎn)換的rule模塊,還有對數(shù)據(jù)包進行是否符合規(guī)則的判斷的過濾模塊,以及實現(xiàn)和嵌入式設(shè)備或者網(wǎng)絡(luò)的數(shù)據(jù)交換的數(shù)據(jù)接口模塊;其中數(shù)據(jù)接口模塊分為兩部分,一邊是連接嵌入式設(shè)備的數(shù)據(jù)I/O口,另一邊是與無線網(wǎng)絡(luò)進行數(shù)據(jù)交換的I/O口;
首先數(shù)據(jù)包從通過網(wǎng)線傳輸至防火墻的網(wǎng)絡(luò)數(shù)據(jù)接口,然后通過路由表提取相應的規(guī)則,對數(shù)據(jù)包進行安全策略規(guī)則判斷,也即實現(xiàn)防火墻的包過濾功能。其中不符合安全策略規(guī)則的數(shù)據(jù)包直接丟棄,將符合安全策略的數(shù)據(jù)包進行封裝,對其進行協(xié)議轉(zhuǎn)換以及數(shù)據(jù)加密與認證等一系列工作,當封裝完成后,通過嵌入式數(shù)據(jù)接口如總線,串口等將其發(fā)送至CPU進行運算。嵌入式系統(tǒng)在處理完網(wǎng)絡(luò)發(fā)送進來的數(shù)據(jù)之后,若需要向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù),同樣通過上文的流程,即先通過內(nèi)部數(shù)據(jù)接口將數(shù)據(jù)從CPU發(fā)送至防火墻模塊進行協(xié)議轉(zhuǎn)換與包過濾,再通過防火墻的外部接口將處理過的數(shù)據(jù)發(fā)送至互聯(lián)網(wǎng)絡(luò)。
3.根據(jù)權(quán)利要求2所示的一種移動式網(wǎng)線防火墻裝置,其特征在于:所述防火墻的安全機制是根據(jù)分組包的源宿地址,端口號以及協(xié)議類型,標志確定是否允許報文通過;所根據(jù)的信息源來自于IP、TCP或UDP包頭,采用常規(guī)防火墻中的包過濾技術(shù),只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應的目的地出口端,其余不符合條件的數(shù)據(jù)包則拋棄;根據(jù)安全策略的規(guī)則,對輸入輸出的數(shù)據(jù)實行加密,認證,數(shù)字簽名,完整性校驗等安全措施,保證數(shù)據(jù)傳輸中的安全。
4.根據(jù)權(quán)利要求3所示的一種移動式網(wǎng)線防火墻裝置,其特征在于:防火墻的訪問控制安全策略是通過對輸入輸出數(shù)據(jù)的監(jiān)控,控制其輸入輸出,可以阻擋一部分攻擊。根據(jù)預先指定的安全規(guī)則,對輸入輸出數(shù)據(jù)進行監(jiān)測,符合要求的數(shù)據(jù)允許通過,否則屏蔽掉該數(shù)據(jù)包,由于嵌入式設(shè)備往往提供的網(wǎng)絡(luò)功能相對較少,對于不必要的數(shù)據(jù)就可以控制其進出;數(shù)據(jù)保密與完整性安全策略是通過對傳輸數(shù)據(jù)的加密,封裝與認證來保證數(shù)據(jù)的保密性,使得未授權(quán)的用戶無法獲取信息內(nèi)容。
5.根據(jù)權(quán)利要求4所示的一種移動式網(wǎng)線防火墻裝置,其特征在于:所述防火墻的硬件結(jié)構(gòu)包括有進行規(guī)則運算以及數(shù)據(jù)加密運算的CPU模塊;和儲存安全策略規(guī)則的RAM存儲模塊;以及提供運行內(nèi)存的Flash閃存模塊;供電模塊;還有最重要的數(shù)據(jù)接口模塊,分為兩部分,一部分負責與嵌入式系統(tǒng)進行數(shù)據(jù)交互,還有一部分負責連接網(wǎng)線,接收網(wǎng)絡(luò)數(shù)據(jù)。
6.根據(jù)權(quán)利要求5所示的一種移動式網(wǎng)線防火墻裝置,其特征在于:在嵌入式系統(tǒng)中引入防火墻的安全機制接口的概念,其數(shù)據(jù)報文處理流程是在嵌入式系統(tǒng)運行內(nèi)核中注冊一安全機制接口,安全機制接口與實際的網(wǎng)絡(luò)接口一一對應;然后在路由表中增加指向防火墻安全機制接口的入口,使所有輸入輸出的數(shù)據(jù)包直接送往安全處理機制接口;然后將分組封裝處理程序放在安全處理機制里,從而使得不必修改IP的源碼,防火墻安全治理機制中的模塊包括:策略數(shù)據(jù)庫SPD的查詢,規(guī)則的選擇以及分組的封裝處理;最后的數(shù)據(jù)包送往嵌入式系統(tǒng)的數(shù)據(jù)接口,實現(xiàn)了安全通信。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于西安工業(yè)大學,未經(jīng)西安工業(yè)大學許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810988255.1/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
