專利名稱:數(shù)據(jù)卡及其數(shù)據(jù)處理和傳輸方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信應(yīng)用領(lǐng)域,特別是指一種數(shù)據(jù)卡及其數(shù)據(jù)處理和傳輸方法�����。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展���,Internet網(wǎng)絡(luò)中出現(xiàn)了越來(lái)越多的安全隱患���,在開 放式的網(wǎng)絡(luò)中,存在許多不能信任的計(jì)算機(jī)����,這些計(jì)算機(jī)在與Internet網(wǎng)絡(luò)連 接,并傳輸數(shù)據(jù)時(shí),網(wǎng)絡(luò)的病毒�����、木馬或者黑客等不安全因素都會(huì)入侵該計(jì)算 機(jī)�,對(duì)存儲(chǔ)在該計(jì)算機(jī)中的私有敏感信息造成了很大的威脅。
目前計(jì)算機(jī)中數(shù)據(jù)的安全防護(hù)措施通常是防火墻技術(shù)�,在計(jì)算機(jī)中安裝防 火墻或者安裝殺毒軟件來(lái)保證存儲(chǔ)在計(jì)算機(jī)中的數(shù)據(jù)的安全性�����,然而��,這些措 施通常滯后于計(jì)算機(jī)與網(wǎng)絡(luò)間的數(shù)據(jù)傳輸���,也就是說(shuō)�����,往往是發(fā)現(xiàn)了計(jì)算機(jī)被 病毒入侵后再去查殺病毒�,或者通過(guò)對(duì)黑客的攻擊手段的分析��,找出一些針對(duì) 黑客攻擊的防御手段��,但對(duì)于計(jì)算機(jī)中存儲(chǔ)的私有敏感信息, 一旦被黑客竊取���, 則具有不可彌補(bǔ)性�����。
發(fā)明人在實(shí)現(xiàn)本發(fā)明的過(guò)程中�����,發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問(wèn)題
計(jì)算機(jī)與外部網(wǎng)絡(luò)間的傳輸不能真正的得到安全保障���,迫切需要在個(gè)人計(jì) 算機(jī)和外網(wǎng)之間構(gòu)筑一道防線,用以抵御來(lái)自外部網(wǎng)絡(luò)的攻擊�����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是提供一種數(shù)據(jù)卡及其數(shù)據(jù)處理和傳輸方法�,使 計(jì)算機(jī)與外部網(wǎng)絡(luò)之間的通信得到安全性控制,防止對(duì)計(jì)算機(jī)中重要信息資源 的非法存取和訪問(wèn)����,保證計(jì)算機(jī)系統(tǒng)的安全。
為解決上述技術(shù)問(wèn)題�����,本發(fā)明的實(shí)施例提供技術(shù)方案如下
一方面,提供一種數(shù)據(jù)卡���,包括
數(shù)據(jù)卡���,包括
接收模塊,用于接收終端設(shè)備發(fā)送的第 一數(shù)據(jù)4艮文�����;
信號(hào)轉(zhuǎn)換模塊�����,用于將所述第一數(shù)據(jù)報(bào)文進(jìn)行才各式轉(zhuǎn)換后��,生成第二數(shù)據(jù) 報(bào)文����,并向外部網(wǎng)絡(luò)發(fā)送所述第二數(shù)據(jù)報(bào)文�����;以及接收所述外部網(wǎng)絡(luò)根據(jù)所述 第二數(shù)據(jù)報(bào)文發(fā)送的第三數(shù)據(jù)報(bào)文,并對(duì)所述第三數(shù)據(jù)報(bào)文進(jìn)行格式轉(zhuǎn)換后����, 生成第四數(shù)據(jù)報(bào)文;
網(wǎng)絡(luò)處理模塊�,用于對(duì)所述第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹配,若匹配成功����,生 成第五數(shù)據(jù)報(bào)文;
發(fā)送模塊��,用于向所述終端設(shè)備發(fā)送所述第五數(shù)據(jù)報(bào)文����。
另一方面,還提供一種數(shù)據(jù)卡的數(shù)據(jù)處理和傳輸方法���,包括
接收從終端設(shè)備發(fā)送的第 一數(shù)據(jù)報(bào)文����,并將所述第 一數(shù)據(jù)報(bào)文進(jìn)行格式轉(zhuǎn) 換后�,生成第二數(shù)據(jù)報(bào)文,并向外部網(wǎng)絡(luò)發(fā)送所述第二數(shù)據(jù)報(bào)文�;
接收所述外部網(wǎng)絡(luò)根據(jù)所述第二數(shù)據(jù)報(bào)文發(fā)送的第三數(shù)據(jù)報(bào)文����,并對(duì)所述 第三數(shù)據(jù)報(bào)文進(jìn)行格式轉(zhuǎn)換后�����,生成第四數(shù)據(jù)報(bào)文�����;
對(duì)所述第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹配��,若匹配成功�,生成第五數(shù)據(jù)報(bào)文;
向所述終端設(shè)備發(fā)送所述第五數(shù)據(jù)報(bào)文�。
本發(fā)明的實(shí)施例具有以下有益效果
上述方案通過(guò)在數(shù)據(jù)卡上配置防護(hù)策略���,使通過(guò)數(shù)據(jù)卡的數(shù)據(jù)報(bào)文都被過(guò) 濾檢測(cè)�����,從而在外部數(shù)據(jù)流入電腦前加入了最后一道穩(wěn)固的安全屏障��,對(duì)電腦 與外部網(wǎng)絡(luò)之間的通信進(jìn)行過(guò)濾控制��,通過(guò)強(qiáng)制實(shí)施統(tǒng)一的安全策略��,防止對(duì) 重要信息資源的非法存取和訪問(wèn)���,保障個(gè)人的重要����、敏感資料不受侵害�。
圖1為本發(fā)明的實(shí)施例數(shù)據(jù)卡的結(jié)構(gòu)示意圖; 圖2為圖1所示的數(shù)據(jù)卡的一具體結(jié)構(gòu)示意圖�����; 圖3為圖1所示的數(shù)據(jù)卡的又一具體結(jié)構(gòu)示意圖4為圖3所示的數(shù)據(jù)卡安裝在計(jì)算機(jī)中���,與外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)膱?chǎng) 景示意圖5為本發(fā)明的實(shí)施例數(shù)據(jù)卡的數(shù)據(jù)處理和傳輸方法流程示意圖�����。
具體實(shí)施例方式
為使本發(fā)明的實(shí)施例要解決的技術(shù)問(wèn)題�、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,下面將結(jié)合附圖及具體實(shí)施例進(jìn)行詳細(xì)描述���。
本發(fā)明的實(shí)施例針對(duì)現(xiàn)有技術(shù)中計(jì)算機(jī)與外部網(wǎng)絡(luò)間的傳輸不能真正的得到安全保障的問(wèn)題�����,提供一種安裝在計(jì)算機(jī)上的數(shù)據(jù)卡及數(shù)據(jù)卡的數(shù)據(jù)處理和傳輸方法�����。
如圖l所示��,本發(fā)明的實(shí)施例數(shù)據(jù)卡l,包括
接收模塊10,用于接收終端設(shè)備發(fā)送的第一數(shù)據(jù)報(bào)文�;這里的終端設(shè)備 如計(jì)算機(jī)或其他的網(wǎng)絡(luò)通信的終端設(shè)備;
信號(hào)轉(zhuǎn)換模塊11���,用于將第一數(shù)據(jù)報(bào)文進(jìn)行格式轉(zhuǎn)換后�����,生成第二數(shù)據(jù) 報(bào)文���,并向外部網(wǎng)絡(luò)發(fā)送第二數(shù)據(jù)報(bào)文����;以及接收外部網(wǎng)絡(luò)根據(jù)第二數(shù)據(jù)報(bào)文 發(fā)送的第三數(shù)據(jù)報(bào)文�,并對(duì)第三數(shù)據(jù)報(bào)文進(jìn)行格式轉(zhuǎn)換后�����,生成第四數(shù)據(jù)報(bào)文����; 其中,第三數(shù)據(jù)報(bào)文可以為第二數(shù)據(jù)報(bào)文的答應(yīng)報(bào)文��;該信號(hào)轉(zhuǎn)換模塊ll主 要是對(duì)經(jīng)過(guò)數(shù)據(jù)卡1的報(bào)文進(jìn)行調(diào)制解調(diào)���,如將從計(jì)算機(jī)接收的數(shù)據(jù)信號(hào)報(bào)文 轉(zhuǎn)換成網(wǎng)絡(luò)信號(hào)���,或者將網(wǎng)絡(luò)信號(hào)報(bào)文轉(zhuǎn)換成計(jì)算機(jī)可以接收的數(shù)據(jù)信號(hào);
網(wǎng)絡(luò)處理模塊12�����,用于對(duì)第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹配����,若匹配成功,生 成第五數(shù)據(jù)報(bào)文�����;
發(fā)送模塊13,用于向終端設(shè)備發(fā)送第五數(shù)據(jù)報(bào)文,其中��,在具體實(shí)現(xiàn)時(shí)��, 該發(fā)送模塊13可以與上述接收模塊10為一個(gè)模塊����,如數(shù)據(jù)卡的接口模塊,該 數(shù)據(jù)卡可以通過(guò)該接口模塊與終端設(shè)備連接��,那么從終端設(shè)備發(fā)送給數(shù)據(jù)卡的 數(shù)據(jù)所文可以從該接口模塊通過(guò)�����,從數(shù)據(jù)卡發(fā)送給終端設(shè)備的數(shù)據(jù)報(bào)文也可以 從該接口一莫塊通過(guò)���。
該實(shí)施例通過(guò)在數(shù)據(jù)卡1上對(duì)進(jìn)入計(jì)算機(jī)等終端設(shè)備的數(shù)據(jù)進(jìn)行過(guò)濾�����,對(duì) 計(jì)算機(jī)與外部網(wǎng)絡(luò)之間的通信進(jìn)行安全控制���,通過(guò)強(qiáng)制實(shí)施統(tǒng)一的安全策略, 防止外部網(wǎng)絡(luò)對(duì)計(jì)算機(jī)中重要信息資源的非法存取和訪問(wèn)��,達(dá)到保護(hù)計(jì)算機(jī)的 系統(tǒng)及其存儲(chǔ)的資源的安全的目的�。
如圖2所示,為圖1所示的數(shù)據(jù)卡的一具體結(jié)構(gòu)示意圖���,上述網(wǎng)絡(luò)處理模 塊12包括
轉(zhuǎn)發(fā)模塊120��,用于接收接收模塊10所接收的第一數(shù)據(jù)報(bào)文�����,并轉(zhuǎn)發(fā)給 信號(hào)轉(zhuǎn)換模塊11,該第一數(shù)據(jù)報(bào)文通過(guò)該轉(zhuǎn)發(fā)模塊120轉(zhuǎn)發(fā)給信號(hào)轉(zhuǎn)換模塊 11�,目的是讓網(wǎng)絡(luò)處理模塊12能夠事先監(jiān)控到該第一數(shù)據(jù)報(bào)文���,并為該第一 數(shù)據(jù)報(bào)文在數(shù)據(jù)卡1與外部網(wǎng)絡(luò)建立一個(gè)基于應(yīng)用層協(xié)議的連接��,當(dāng)然該第一 數(shù)據(jù)報(bào)文也可以直接由信號(hào)轉(zhuǎn)換模塊11轉(zhuǎn)發(fā)給外部網(wǎng)絡(luò)����,此時(shí)��,由于信號(hào)轉(zhuǎn) 換模塊11也是數(shù)據(jù)卡的一部分,同樣也能夠?yàn)樵摰谝粩?shù)據(jù)報(bào)文在數(shù)據(jù)卡1與 外部網(wǎng)絡(luò)之間建立一個(gè)基于應(yīng)用層協(xié)議的連接�����。
存儲(chǔ)模塊121��,用于存儲(chǔ)通過(guò)終端設(shè)備預(yù)設(shè)的應(yīng)用層協(xié)議的防護(hù)策略配置 信息�����,并根據(jù)更新指令�����,如預(yù)設(shè)的應(yīng)用層協(xié)議的防護(hù)策略配置信息的配置����,對(duì) 存儲(chǔ)的防護(hù)策略配置信息進(jìn)行更新,該防護(hù)策略配置信息如包過(guò)濾��、病毒檢測(cè)��、 黑名單�����、攻擊防范、IP-MAC地址綁定等�����,針對(duì)不同的應(yīng)用層協(xié)議可以配置不 同的防護(hù)策略�,如應(yīng)用層協(xié)議可以為單通道協(xié)議�,雙通道協(xié)議或者其它的應(yīng)用 層協(xié)議。
監(jiān)控模塊122,用于根據(jù)上述存儲(chǔ)模塊121中存儲(chǔ)的應(yīng)用層協(xié)議的防護(hù)策 略配置信息���,監(jiān)控基于上述第一數(shù)據(jù)報(bào)文所在連接的應(yīng)用層協(xié)議的狀態(tài)��,如在 一個(gè)連接建立時(shí)��,基于該連接的應(yīng)用層協(xié)議的源IP�����、目的IP、源端口�����、目的 端口�、協(xié)議號(hào)����、以及報(bào)文數(shù)據(jù)特征等�,不同的應(yīng)用層協(xié)議的狀態(tài)不一樣,這里 不再一一列舉�。
過(guò)濾模塊123,用于根據(jù)上述應(yīng)用層協(xié)議及其狀態(tài)�,創(chuàng)建一過(guò)濾規(guī)則,并 根據(jù)該過(guò)濾規(guī)則對(duì)上述從信號(hào)轉(zhuǎn)換模塊11轉(zhuǎn)換后的第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹 配�����,若匹配成功�,生成第五數(shù)據(jù)報(bào)文,并將該第五數(shù)據(jù)報(bào)文通過(guò)發(fā)送模塊13 發(fā)送給終端設(shè)備�����。這里的過(guò)濾模塊123可以采用如防火墻技術(shù)中通常采用的 ASPF ( Application Specific Packet Filter,應(yīng)用層的包過(guò)濾)來(lái)實(shí)現(xiàn)�,該ASPF 基于連接的狀態(tài),動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過(guò)防火墻或丟棄���。
如圖3所示���,根據(jù)不同的應(yīng)用層協(xié)議及該應(yīng)用層協(xié)議的狀態(tài)��,可以創(chuàng)建不 同的過(guò)濾規(guī)則�����,因此����,在基于連接的單通道協(xié)議時(shí)����,上述過(guò)濾模塊123具體可以為
第一過(guò)濾模塊1231���,用于在檢測(cè)到基于連接的應(yīng)用層協(xié)議為單通道協(xié)議 時(shí)�����,創(chuàng)建第一五元組表項(xiàng)���,該第一五元組表項(xiàng)為五元組的Session表項(xiàng),包含 源IP�、目的IP、源端口 ���、目的端口 ��、協(xié)議號(hào)���,當(dāng)從信號(hào)轉(zhuǎn)換模塊11接收到轉(zhuǎn) 換后的第四數(shù)據(jù)報(bào)文時(shí)�,根據(jù)該第一五元組Session表項(xiàng)對(duì)第四數(shù)據(jù)報(bào)文進(jìn)行 過(guò)濾匹配��,若匹配成功��,則允許該第四數(shù)據(jù)報(bào)文通過(guò)�,生成第五數(shù)據(jù)報(bào)文,并 由發(fā)送模塊13將該第五數(shù)據(jù)報(bào)文發(fā)送給終端設(shè)備�����,否則阻塞該第四數(shù)據(jù)報(bào)文����。 同樣的,當(dāng)應(yīng)用層協(xié)議為基于連接的雙通道協(xié)議時(shí)�,采用了五元組的 session表項(xiàng)+三元組的servermap表項(xiàng)相結(jié)合方式實(shí)現(xiàn),這樣在4艮大程度上保 證了內(nèi)部網(wǎng)絡(luò)的安全性�����,上述過(guò)濾模塊123還可具體為
第二過(guò)濾模塊1232,用于在檢測(cè)到基于連接的應(yīng)用層協(xié)議為雙通道協(xié)議 時(shí)����,創(chuàng)建第二五元組表項(xiàng)和三元組表項(xiàng),該第二五元組表項(xiàng)為五元組的 session 表項(xiàng)���,三元組表項(xiàng)為三元組的servermap表項(xiàng)��,當(dāng)?shù)谒臄?shù)據(jù)報(bào)文來(lái)的時(shí)候��,首 先會(huì)根據(jù)該三元組的servermap表項(xiàng)對(duì)傳輸所述第四數(shù)據(jù)報(bào)文的連接通道進(jìn)行 合法性判斷����,若合法��,數(shù)據(jù)通道建立了之后����,則再根據(jù)該第二五元組的session 表項(xiàng)對(duì)該第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹配���,若匹配成功����,則允許該第四數(shù)據(jù)報(bào)文通 過(guò),生成第五數(shù)據(jù)報(bào)文�����,并由發(fā)送模塊13將該第五數(shù)據(jù)報(bào)文發(fā)送給所述終端 設(shè)備�����,否則阻塞該第四數(shù)據(jù)報(bào)文��。因此這里的三元組servermap表項(xiàng)是一個(gè)"臨 時(shí)入口"表項(xiàng)�����,當(dāng)真正的數(shù)據(jù)報(bào)文來(lái)了以后����,會(huì)根據(jù)這個(gè)數(shù)據(jù)報(bào)文+ servermap 進(jìn)行完整判斷,這個(gè)連接是一個(gè)合法的數(shù)據(jù)通道���。當(dāng)數(shù)據(jù)通道建立了之后�, servermap表項(xiàng)就刪除了���,此時(shí)會(huì)為這個(gè)數(shù)據(jù)通道建立一個(gè)基于五元組的 session通道�����。這樣就避免了�����,因?yàn)槎嗤ǖ绤f(xié)議的特點(diǎn)�����,而產(chǎn)生一個(gè)永久的通 道���,內(nèi)部網(wǎng)絡(luò)暴露的安全隱患����。當(dāng)然�����,上述過(guò)濾模塊123除了為第一過(guò)濾模塊 1231或者為第二過(guò)濾模塊1232�,在針對(duì)不同的應(yīng)用層協(xié)議時(shí)�����,還可以創(chuàng)建針 對(duì)其他應(yīng)用層協(xié)議創(chuàng)建過(guò)濾規(guī)則,根據(jù)該過(guò)濾規(guī)則對(duì)第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾操 作����。
在上述第一過(guò)濾模塊1231或者第二過(guò)濾模塊1232對(duì)第四數(shù)據(jù)報(bào)文進(jìn)行過(guò) 濾操作后,即當(dāng)前連接結(jié)束時(shí)�,需要對(duì)臨時(shí)建立的過(guò)濾規(guī)則,如五元組表項(xiàng)或
者三元組表項(xiàng)進(jìn)行更新�����,因此�,網(wǎng)絡(luò)過(guò)濾模塊12還包括
過(guò)濾更新模塊124,用于在檢測(cè)到第一過(guò)濾模塊1231對(duì)第四數(shù)據(jù)報(bào)文匹 配成功后���,更新該第一五元組表項(xiàng)��,具體講�,可以Y奮改或者刪除該五元組表項(xiàng)�, 到下一次連接建立時(shí),再重新建立五元組表項(xiàng)�,以使每一次的通道連接所采用 的過(guò)濾規(guī)則都不一樣,降低外部網(wǎng)絡(luò)黑客等的攻擊風(fēng)險(xiǎn)�;
該過(guò)濾更新模塊124在檢測(cè)到第二過(guò)濾模塊1232對(duì)傳輸?shù)谒臄?shù)據(jù)報(bào)文的 連接通道判斷為合法時(shí),立即刪除該三元組,以避免內(nèi)部網(wǎng)絡(luò)暴露�,在檢測(cè)到 第二過(guò)濾模塊1232對(duì)第四數(shù)據(jù)報(bào)文匹配成功后,立即修改或者刪除該第二五 元組表項(xiàng)�����,以避免傳輸該第四數(shù)據(jù)報(bào)文的傳輸通道的相關(guān)信息被暴露�����,造成安 全隱患���。
下面再結(jié)合具體的應(yīng)用場(chǎng)景對(duì)上述數(shù)據(jù)卡的具體應(yīng)用進(jìn)行說(shuō)明 如圖4所示���,該應(yīng)用場(chǎng)景包括終端設(shè)備2,如計(jì)算機(jī)�����,安裝在該終端設(shè)備
2的網(wǎng)絡(luò)接口中的數(shù)據(jù)卡1����,該數(shù)據(jù)卡1為諸如無(wú)線上網(wǎng)卡��,調(diào)制解調(diào)器 (Modem)等,以及以無(wú)線方式與該數(shù)據(jù)卡通信的外部網(wǎng)絡(luò)(如Internet等)��; 其中���,數(shù)據(jù)卡1具有的接收模塊10或者發(fā)送模塊13可以為USB接口 �����,
PCMCIA接口或者Express接口等���,該數(shù)據(jù)卡1可以通過(guò)這些接口與計(jì)算機(jī)連接。
計(jì)算機(jī)2中的數(shù)據(jù)報(bào)文通過(guò)數(shù)據(jù)卡1發(fā)送給外部網(wǎng)絡(luò)時(shí)��,數(shù)據(jù)卡1會(huì)對(duì)該 數(shù)據(jù)報(bào)文進(jìn)行雙向的過(guò)濾和檢測(cè)�����,具體過(guò)濾時(shí)�����,會(huì)監(jiān)控基于連接的應(yīng)用層協(xié)議 狀態(tài)���,并根據(jù)這些應(yīng)用層協(xié)議狀態(tài)臨時(shí)創(chuàng)建一過(guò)濾規(guī)則�����,并根據(jù)該過(guò)濾規(guī)則對(duì) 經(jīng)過(guò)該數(shù)據(jù)卡1的報(bào)文進(jìn)行過(guò)濾匹配���,若匹配成功����,則允許通過(guò)���,否則阻塞����, 這樣就根本上保證了終端設(shè)備2與外部網(wǎng)絡(luò)之間的通信的所有報(bào)文都經(jīng)過(guò)該 數(shù)據(jù)卡1的安全防護(hù)過(guò)濾��,保證了終端設(shè)備2內(nèi)資源的高度安全���。 再結(jié)合圖4����,介紹上述數(shù)據(jù)卡1的一具體應(yīng)用實(shí)例流程��; 1 )用戶A初始化一個(gè)Telnet會(huì)話�,將該會(huì)話請(qǐng)求通過(guò)數(shù)據(jù)卡1發(fā)送給外 部網(wǎng)絡(luò)����;
2)在數(shù)據(jù)卡1中����,網(wǎng)絡(luò)處理模塊12會(huì)根據(jù)具體的應(yīng)用層協(xié)議完成連接建 立�����,創(chuàng)建相應(yīng)的過(guò)濾規(guī)則�,如在完成TCP三次握手時(shí),連接建立����,并根據(jù)具
體的應(yīng)用層協(xié)議創(chuàng)建相應(yīng)的五元組表項(xiàng)或者三元組表項(xiàng)等過(guò)濾規(guī)則,并維護(hù)這
些五元組表項(xiàng)或者三元組表項(xiàng)�����;
3) 當(dāng)外部網(wǎng)絡(luò)發(fā)送給用戶A的應(yīng)敘艮文通過(guò)數(shù)據(jù)卡時(shí)�,首先會(huì)被信號(hào)轉(zhuǎn) 換模塊11進(jìn)行格式轉(zhuǎn)換后,發(fā)送給網(wǎng)絡(luò)處理模塊12,該網(wǎng)絡(luò)處理模塊12根 據(jù)已經(jīng)創(chuàng)建的過(guò)濾規(guī)則�,對(duì)其接收到的數(shù)據(jù)報(bào)文,如上述的第四數(shù)據(jù)報(bào)文�����,進(jìn) 行過(guò)濾,能匹配上過(guò)濾規(guī)則的報(bào)文可以通過(guò)�����,否則阻塞����,如其他用戶的Telnet 進(jìn)程的報(bào)文被阻塞,不能通過(guò)���;
4) 當(dāng)該Telnet會(huì)話結(jié)束時(shí)�,該過(guò)濾規(guī)則��,如上述的五元組表項(xiàng)或者三元 組表項(xiàng)立即被刪除����,再偽造telnet的非法報(bào)文也無(wú)法通過(guò)了,到下一次連接建 立時(shí)�����,防火墻又會(huì)重新建立一個(gè)新的Session表項(xiàng)�。這樣在很大程度上保證了 內(nèi)部計(jì)算機(jī)系統(tǒng)的安全性���。
綜上所述,本發(fā)明的上述實(shí)施例數(shù)據(jù)卡1,增加了網(wǎng)絡(luò)防護(hù)功能�,其驅(qū)動(dòng) 程序以及配置(如防護(hù)策略、病毒庫(kù)等)可以通過(guò)光盤或者專門的網(wǎng)站進(jìn)行升 級(jí)����,及時(shí)的針對(duì)當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀對(duì)數(shù)據(jù)卡的安全防護(hù)策略進(jìn)行更新配置����。 用戶也可以在個(gè)人電腦上通過(guò)專門的軟件界面對(duì)數(shù)據(jù)卡的安全防護(hù)策略進(jìn)行 靈活配置更改,例如用戶可以通過(guò)電腦的軟件界面配置包過(guò)率��、病毒檢測(cè)���、黑 名單�����、攻擊防范����、IP-MAC綁定等����,從而在外部數(shù)據(jù)流入電腦前加入了最后一 道穩(wěn)固的安全屏障�����,以保障個(gè)人的重要���、敏感資料不受侵害。
如圖5所示����,本發(fā)明的實(shí)施例還提供一種數(shù)據(jù)卡的數(shù)據(jù)處理和傳輸方法, 包括如下步驟
步驟S51,接收終端設(shè)備發(fā)送的第一數(shù)據(jù)報(bào)文���,并將所述第一數(shù)據(jù)報(bào)文進(jìn) 行格式轉(zhuǎn)換后�����,生成第二數(shù)據(jù)報(bào)文����,并向外部網(wǎng)絡(luò)發(fā)送所述第二數(shù)據(jù)報(bào)文��;
步驟S52,接收所述外部網(wǎng)絡(luò)根據(jù)所述第二數(shù)據(jù)報(bào)文發(fā)送的第三數(shù)據(jù)報(bào) 文,并對(duì)所述第三數(shù)據(jù)報(bào)文進(jìn)行格式轉(zhuǎn)換后���,生成第四數(shù)據(jù)報(bào)文�����;其中�����,所述 第三數(shù)據(jù)報(bào)文可以為所述第二數(shù)據(jù)報(bào)文的答應(yīng)報(bào)文;
步驟S53,對(duì)所述第四數(shù)據(jù)才艮文進(jìn)行過(guò)濾匹配����,若匹配成功,生成第五數(shù) 據(jù)報(bào)文�;
步驟S54,向所述終端設(shè)備發(fā)送所述第五數(shù)據(jù)報(bào)文�����。
該實(shí)施例通過(guò)對(duì)外部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)報(bào)文在進(jìn)入電腦前���,先進(jìn)行過(guò)濾處 理��,保證了電腦的安全�。
具體來(lái)講,該實(shí)施例的方法可以有如下具體實(shí)現(xiàn)過(guò)程 步驟S61,接收終端設(shè)備發(fā)送的第一數(shù)據(jù)報(bào)文�����,并將該第一數(shù)據(jù)報(bào)文進(jìn)行 格式轉(zhuǎn)換��,生成第二數(shù)據(jù)報(bào)文���,并向外部網(wǎng)絡(luò)發(fā)磅該第二數(shù)據(jù)報(bào)文�;其中���,該 第 一數(shù)據(jù)才艮文可以為終端設(shè)備對(duì)外部網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求�����,而該第二數(shù)據(jù)"f艮文為第 一數(shù)據(jù)報(bào)文格式轉(zhuǎn)換成生成的網(wǎng)絡(luò)信號(hào)�;
步驟S62���,接收外部網(wǎng)絡(luò)根據(jù)第二數(shù)據(jù)報(bào)文發(fā)送的第三數(shù)據(jù)報(bào)文���,并對(duì)該 第三數(shù)據(jù)報(bào)文進(jìn)行格式轉(zhuǎn)換后���,生成第四數(shù)據(jù)報(bào)文;其中�,第三數(shù)據(jù)報(bào)文可以 為第二數(shù)據(jù)報(bào)文的答應(yīng)報(bào)文,第四數(shù)據(jù)報(bào)文可以為第三數(shù)據(jù)報(bào)文格式轉(zhuǎn)換后生
成的數(shù)據(jù)信號(hào)�����;
步驟S63,根據(jù)基于上述第一數(shù)據(jù)報(bào)文所在的連接的應(yīng)用層協(xié)議及其狀 態(tài)����,創(chuàng)建一過(guò)濾規(guī)則,并根據(jù)所述過(guò)濾規(guī)則對(duì)所述第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹配�, 若匹配成功,生成第五數(shù)據(jù)"R文���;
具體講,在檢測(cè)到基于連接的應(yīng)用層協(xié)議為單通道協(xié)議時(shí)����,創(chuàng)建第一五元 組Session表項(xiàng),根據(jù)該第一五元組Session表項(xiàng)對(duì)上述第四數(shù)據(jù)報(bào)文進(jìn)行過(guò) 濾匹配�,若匹配成功,則生成第五數(shù)據(jù)報(bào)文�,否則阻塞該第四數(shù)據(jù)報(bào)文。
或者在檢測(cè)到基于連接的應(yīng)用層協(xié)議為雙通道協(xié)議時(shí),創(chuàng)建第二五元組表 項(xiàng)和三元組Servermap表項(xiàng)�,根據(jù)該三元組Servermap表項(xiàng)對(duì)傳輸所述第四數(shù) 據(jù)報(bào)文的連接通道進(jìn)行合法性判斷,若合法��,則根據(jù)該第二五元組表項(xiàng)對(duì)所述 第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹配�,若匹配成功,則生成第五數(shù)據(jù)報(bào)文�,否則阻塞所 述第四數(shù)據(jù)報(bào)文。
檢測(cè)到基于連接的其他應(yīng)用層協(xié)議���,出同樣會(huì)創(chuàng)建一個(gè)相應(yīng)的過(guò)濾規(guī)則�����, 并根據(jù)該過(guò)濾規(guī)則對(duì)第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹配����。 步驟S64���,向終端設(shè)備發(fā)送該第五數(shù)據(jù)報(bào)文�。
在上述的步驟S63中�����,當(dāng)根據(jù)過(guò)濾規(guī)則對(duì)第四數(shù)據(jù)報(bào)文匹配成功后,即基 于該應(yīng)用協(xié)議的當(dāng)前連接結(jié)束時(shí)���,刪除或者修改已經(jīng)建立的過(guò)濾規(guī)則��,即修改 或者刪除上述第一五元組表項(xiàng)或者更新上述第二五元組表項(xiàng)��,當(dāng)下一連接建立
時(shí)�����,會(huì)重新創(chuàng)建新的過(guò)濾規(guī)則�,對(duì)數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾�,這樣更大程度上保證了 連接的數(shù)據(jù)通道不被暴露,每一次連接都用不同的過(guò)濾規(guī)則對(duì)經(jīng)過(guò)數(shù)據(jù)卡的數(shù) 據(jù)報(bào)文進(jìn)行過(guò)濾��,保證了計(jì)算機(jī)系統(tǒng)中的資料的高度安全�。
是可以通過(guò)程序來(lái)指令相關(guān)的硬件來(lái)完成,所述的程序可以存儲(chǔ)于一計(jì)算機(jī)可 讀取存儲(chǔ)介質(zhì)中���,該程序在執(zhí)行時(shí),包括如上述方法實(shí)施例的步驟��,所述的存
儲(chǔ)介質(zhì)�����,如ROM/RAM、磁碟���、光盤等��。
以上所述是本發(fā)明的優(yōu)選實(shí)施方式��,應(yīng)當(dāng)指出����,對(duì)于本技術(shù)領(lǐng)域的普通技 術(shù)人員來(lái)說(shuō)��,在不脫離本發(fā)明所述原理的前提下�,還可以作出若干改進(jìn)和潤(rùn)飾, 這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍�。
權(quán)利要求
1.一種數(shù)據(jù)卡,包括接收模塊�,用于接收終端設(shè)備發(fā)送的第一數(shù)據(jù)報(bào)文;信號(hào)轉(zhuǎn)換模塊�����,用于將所述第一數(shù)據(jù)報(bào)文進(jìn)行格式轉(zhuǎn)換后�����,生成第二數(shù)據(jù)報(bào)文,并向外部網(wǎng)絡(luò)發(fā)送所述第二數(shù)據(jù)報(bào)文�;以及接收所述外部網(wǎng)絡(luò)根據(jù)所述第二數(shù)據(jù)報(bào)文發(fā)送的第三數(shù)據(jù)報(bào)文,并對(duì)所述第三數(shù)據(jù)報(bào)文進(jìn)行格式轉(zhuǎn)換后��,生成第四數(shù)據(jù)報(bào)文�;網(wǎng)絡(luò)處理模塊,用于對(duì)所述第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹配���,若匹配成功���,生成第五數(shù)據(jù)報(bào)文;發(fā)送模塊���,用于向所述終端設(shè)備發(fā)送所述第五數(shù)據(jù)報(bào)文�����。
2. 根據(jù)權(quán)利要求1所述的數(shù)據(jù)卡���,其特征在于�����,所述網(wǎng)絡(luò)處理模塊包括 轉(zhuǎn)發(fā)模塊,用于接收所述接收模塊接收的第一數(shù)據(jù)報(bào)文���,并向所述信號(hào)轉(zhuǎn)換模塊轉(zhuǎn)發(fā)����。
3. 根據(jù)權(quán)利要求2所述的數(shù)據(jù)卡����,其特征在于,所述網(wǎng)絡(luò)處理模塊還包括存儲(chǔ)模塊�����,用于存儲(chǔ)預(yù)設(shè)的應(yīng)用層協(xié)議的防護(hù)策略配置信息���,并根據(jù)更新 指令�,對(duì)存儲(chǔ)的所述防護(hù)策略配置信息進(jìn)行更新��。
4. 根據(jù)權(quán)利要求3所述的數(shù)據(jù)卡���,其特征在于���,所述網(wǎng)絡(luò)處理模塊還包括監(jiān)控模塊���,用于根據(jù)所述防護(hù)策略配置信息,監(jiān)控基于所述第一數(shù)據(jù)報(bào)文 所在連接的所述應(yīng)用層協(xié)議的狀態(tài)��;過(guò)濾模塊�,用于根據(jù)所述應(yīng)用層協(xié)議及其狀態(tài),創(chuàng)建一過(guò)濾規(guī)則�,并根據(jù) 所述過(guò)濾規(guī)則對(duì)所述第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹配,若匹配成功���,生成第五數(shù)據(jù) 報(bào)文����。
5. 根據(jù)權(quán)利要求4所述的數(shù)據(jù)卡�����,其特征在于�,所述過(guò)濾模塊為 第一過(guò)濾模塊,用于在檢測(cè)到基于連接的應(yīng)用層協(xié)議為單通道協(xié)議時(shí)�����,創(chuàng)建第一五元組表項(xiàng),根據(jù)所述第一五元組表項(xiàng)對(duì)所述第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹 配���,若匹配成功,生成第五數(shù)據(jù)報(bào)文�����,否則阻塞所述第四數(shù)據(jù)報(bào)文�。
6. 根據(jù)權(quán)利要求4所述的數(shù)據(jù)卡,其特征在于����,所述過(guò)濾模塊為 第二過(guò)濾;溪塊,用于在檢測(cè)到基于連接的應(yīng)用層協(xié)議為雙通道協(xié)議時(shí)�,創(chuàng)建第二五元組表項(xiàng)和三元組表項(xiàng),根據(jù)所述三元組表項(xiàng)對(duì)傳輸所述第四數(shù)據(jù)報(bào) 文的連接通道進(jìn)行合法性判斷�,若合法,則根據(jù)所述第二五元組表項(xiàng)對(duì)所述第 四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹配���,若匹配成功���,生成第五數(shù)據(jù)報(bào)文,否則阻塞所述第 四數(shù)據(jù)報(bào)文。
7. 根據(jù)權(quán)利要求5或6所述的數(shù)據(jù)卡�����,其特征在于����,所述網(wǎng)絡(luò)處理模塊 還包括過(guò)濾更新模塊,用于在檢測(cè)到所述第一過(guò)濾模塊對(duì)所述第四數(shù)據(jù)報(bào)文匹配 成功后�,更新所述第一五元組表項(xiàng);或者在檢測(cè)到所述第二過(guò)濾模塊對(duì)傳輸所述第四數(shù)據(jù)報(bào)文的連接通道判 斷為合法時(shí)���,刪除所迷三元組�����,在檢測(cè)到所述第二過(guò)濾模塊對(duì)所述第四數(shù)據(jù)報(bào) 文匹配成功后����,更新所述第二五元組表項(xiàng)�。
8. —種數(shù)據(jù)卡的數(shù)據(jù)處理和傳輸方法,其特征在于�����,包括 接收從終端設(shè)備發(fā)送的第 一數(shù)據(jù)報(bào)文,并將所述第 一數(shù)據(jù)報(bào)文進(jìn)行格式轉(zhuǎn)換后�����,生成第二數(shù)據(jù)報(bào)文��,并向外部網(wǎng)絡(luò)發(fā)送所述第二數(shù)據(jù)報(bào)文�����;接收所述外部網(wǎng)絡(luò)根據(jù)所述第二數(shù)據(jù)報(bào)文發(fā)送的第三數(shù)據(jù)報(bào)文���,并對(duì)所述第三數(shù)據(jù)報(bào)文進(jìn)行格式轉(zhuǎn)換后,生成第四數(shù)據(jù)報(bào)文��;對(duì)所述第四數(shù)據(jù)"R文進(jìn)行過(guò)濾匹配�����,若匹配成功��,生成第五數(shù)據(jù)報(bào)文����; 向所述終端設(shè)備發(fā)送所述第五數(shù)據(jù)報(bào)文��。
9. 根據(jù)權(quán)利要求8所述的方法�����,其特征在于�,所述對(duì)所述第四數(shù)據(jù)報(bào)文 進(jìn)行過(guò)濾����,生成第五數(shù)據(jù)報(bào)文具體為根據(jù)應(yīng)用層協(xié)議及其狀態(tài),創(chuàng)建一過(guò)濾規(guī)則�,并根據(jù)所述過(guò)濾規(guī)則對(duì)所述 第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹配,若匹配成功�����,生成第五數(shù)據(jù)報(bào)文���。
10. 根據(jù)權(quán)利要求9所述的方法���,其特征在于,所述根據(jù)應(yīng)用層協(xié)議及其 狀態(tài)����,創(chuàng)建一過(guò)濾規(guī)則�����,并根據(jù)所述過(guò)濾規(guī)則對(duì)所述第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹 配�����,若匹配成功��,生成第五數(shù)據(jù)報(bào)文具體為 在檢測(cè)到基于連接的應(yīng)用層協(xié)議為單通道協(xié)議時(shí)���,創(chuàng)建第 一五元組表項(xiàng)�, 根據(jù)所述第一五元組表項(xiàng)對(duì)所述第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹配,若匹配成功�����,生 成第五數(shù)據(jù)報(bào)文����,否則阻塞所述第四數(shù)據(jù)報(bào)文。
11. 根據(jù)權(quán)利要求9所述的方法�����,其特征在于,所述根據(jù)應(yīng)用層協(xié)議及其 狀態(tài)��,創(chuàng)建一過(guò)濾規(guī)則���,并根據(jù)所述過(guò)濾規(guī)則對(duì)所述第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾����, 生成第五數(shù)據(jù)報(bào)文具體為在檢測(cè)到基于連接的應(yīng)用層協(xié)議為雙通道協(xié)議時(shí)����,創(chuàng)建第二五元組表項(xiàng)和 三元組表項(xiàng),根據(jù)所述三元組表項(xiàng)對(duì)傳輸所述第四數(shù)據(jù)報(bào)文的連接通道進(jìn)行合 法性判斷���,若合法��,則根據(jù)所述第二五元組表項(xiàng)對(duì)所述第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾 匹配��,若匹配成功���,生成第五數(shù)據(jù)報(bào)文,否則阻塞所述第四數(shù)據(jù)報(bào)文�。
12. 根據(jù)權(quán)利要求10或11所述的方法,其特征在于�,所述生成第五數(shù)據(jù) 報(bào)文之后或者阻塞所述第四數(shù)據(jù)報(bào)文之后��,還包括更新所述第一五元組表項(xiàng)或者更新所述第二五元組表項(xiàng)����。
全文摘要
本發(fā)明提供一種數(shù)據(jù)卡及其數(shù)據(jù)處理和傳輸方法�����,其中數(shù)據(jù)卡包括接收模塊���,用于接收終端設(shè)備發(fā)送的第一數(shù)據(jù)報(bào)文�;信號(hào)轉(zhuǎn)換模塊���,用于將所述第一數(shù)據(jù)報(bào)文進(jìn)行格式轉(zhuǎn)換后��,生成第二數(shù)據(jù)報(bào)文,并向外部網(wǎng)絡(luò)發(fā)送所述第二數(shù)據(jù)報(bào)文�;以及接收所述外部網(wǎng)絡(luò)根據(jù)所述第二數(shù)據(jù)報(bào)文發(fā)送的第三數(shù)據(jù)報(bào)文,并對(duì)所述第三數(shù)據(jù)報(bào)文進(jìn)行格式轉(zhuǎn)換后���,生成第四數(shù)據(jù)報(bào)文��;網(wǎng)絡(luò)處理模塊��,用于對(duì)所述第四數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾匹配�����,若匹配成功���,生成第五數(shù)據(jù)報(bào)文��;發(fā)送模塊���,用于向所述終端設(shè)備發(fā)送所述第五數(shù)據(jù)報(bào)文。該方案使經(jīng)過(guò)數(shù)據(jù)卡的數(shù)據(jù)報(bào)文都經(jīng)過(guò)過(guò)濾��,保證了流入終端設(shè)備中的數(shù)據(jù)的安全性�。
文檔編號(hào)H04L9/00GK101340275SQ20081011898
公開日2009年1月7日 申請(qǐng)日期2008年8月27日 優(yōu)先權(quán)日2008年8月27日
發(fā)明者李蘇陽(yáng) 申請(qǐng)人:深圳華為通信技術(shù)有限公司