本发明涉及通信领域， 更具体地， 涉及一种通信安全处理方法及无线 通信装置。 背景技术

随着信息技术和第三代移动通信技术的迅猛发 展， 通讯手段日新月异。 在移动通信领域， 伴随着 GPRS(General Packet Radio Service, 通用无线分 组业务)、 UMTS(Universal Mobile Telecommunication System,通用移动通信 系统）、 HSDPA(High Speed Downlink Packages Access, 高速下行分组接入) 等高速数据移动网的普及， 无线 Modem (调制解调器）作为一种方便快捷 的新型无线接入和互联设备迅速发展起来， 并以其操作简单、 支持高速数 据业务等优点， 被越来越多的计算机用户所接受和使用。

由于数据卡本身体积小巧、便于携带， 通过 USB口即可接入 PC终端； 即使在某一台 PC上第一次使用， 其驱动和 UI程序 （User Interface ) 的安 装过程也非常简单和直观， 所以作为支持高速数据业务的无线调制解调器 的一种， 数据卡产品的应用人群和应用场合已经越加的 普及。

目前的数据卡产品， 在建立数据连接后实现的是数据包的完全透传 ， 即数据卡本身不会对网络交互的信息进行任何 的判断和拦截， 所以即使对 于不同的使用者，他们在同一台 PC上通过数据卡浏览网页的权限是相同的 (因为目前的防火墙都是在 PC侧进行设定和绑定的），不会有任何的差异� �� 尽管数据卡内部的简单处理在一定程度上可以 换取更高的性能， 但是同时 也会给使用者带来一些问题： 例如当家长把数据卡交给孩子使用， 希望他 能够用来访问某些学习网站时，孩子是否能够 如他所愿， 不去浏览一些 "非 法" 的网页是一个问题； 还有， 如果有一位对网络安全非常在乎的用户， 当他在不同的 PC 上使用自己的数据卡时， 就会重复地去检查和设定不同 PC上的防火墙。 这时， 如果这种防火墙也像数据卡一样可以移动就会 非常 方便； 另外， 如果一只数据卡被不小心丟掉后， 原主人当然不希望非所有 者能任意使用自己的数据卡。 发明内容

本发明目的是提出一种网络安全处理方法及无 线通信装置， 以提高系 统的性能和安全性。

为实现上述目的， 本发明的技术方案是这样实现的：

一种网络安全处理方法， 用于与计算机连接的无线通信装置进行网络 信息交互， 所述方法包括：

将防火墙模块内置于无线通信装置中， 基于所述防火墙模块， 直接使 用该无线通信装置对网络信息进行实时监控， 拦截不符合规则设定要求的 网络访问。

其中， 所述规则通过人机接口设定， 且允许修改、 备份和恢复。

其中， 所述防火墙模块内置于无线通信装置的基带处 理器中。

其中， 所述拦截不符合规则设定要求的网络访问的过 程包括： 在层（L ) 2、 L3的数据处理过程中， 将接收或待发送的数据包与所述 规则之间进行有效地对比， 给出 "合法" 或 "非法" 的判断， 放行 "合法" 的数据交互， 舍弃 "非法" 的数据交互。

其中， 所述规则的设定包括以下一种或多种域信息： 规则编号、 规则 状态、 规则方向、 规则约定的信息域、 规则动作、 规则的时效或规则的描 述信息； 其中，

规则编号： 即设定的条目号；

规则状态： 设定了规则是否处于已启用态或已禁止的状态 ； 规则方向： 设定了规则应用的数据处理流向；

规则约定信息域： 设定规则匹配的依据和条件；

规则的动作： 规定了规则满足后的处理行为和动作；

规则的时效： 设定规则启用的时间段；

规则的描述： 对规则进行进一步的详细解释， 便于用户的理解和避免 歧义。

其中，

所述规则约定信息域是多个约束的集合体；

所述规则的动作包括数据包丟弃、 数据包放行；

所述规则的时效， 用于支持根据时间段设定不同的防护规则。

一种无线通信装置， 包括基带处理部分、 射频收发部分和防火墙处理 模块； 其中，

所述基带处理部分， 用于完成数据的处理；

所述射频收发部分， 用于接收和发送无线信号；

所述防火墙模块内置于无线通信装置中， 用于拦截不符合规则设定要 求的网络访问。

其中， 所述规则通过人机接口设定， 且允许修改、 备份和恢复。

其中， 所述防火墙模块内置于无线通信装置的基带处 理部分。

其中， 所述防火墙模块， 用于在 L2、 L3的数据处理过程中， 将接收或 待发送的数据包与所述规则之间进行有效地对 比， 给出 "合法" 或 "非法" 的判断， 放行 "合法" 的数据交互， 舍弃 "非法" 的数据交互。

其中， 所述规则的设定包括以下一种或多种域信息： 规则编号、 规则 状态、 规则方向、 规则约定的信息域、 规则动作、 规则的时效或规则的描 述信息； 其中，

规则编号： 即设定的条目号； 规则状态： 设定了规则是否处于已启用态或已禁止的状态 ； 规则方向： 设定了规则应用的数据处理流向；

规则约定信息域： 设定规则匹配的依据和条件；

规则的动作： 规定了规则满足后的处理行为和动作；

规则的时效： 设定规则启用的时间段；

规则的描述： 对规则进行进一步的详细解释， 便于用户的理解和避免 歧义。

其中，

所述规则约定信息域是多个约束的集合体；

所述规则的动作包括数据包丟弃、 数据包放行；

所述规则的时效， 用于支持根据时间段设定不同的防护规则。

综上所述， 本发明的无线通信装置能够监测外部的网络攻 击， 同时也 对内部的恶意破坏也有极强的防范作用， 从而提高系统的性能和安全性； 并且通过分析数据包的地址、 协议、 端口等， 可以做到对交互数据的全程 动态过滤和监控。 附图说明

图 1为本发明实施例无线通信装置的组成示意图� �

图 2为本发明实施例网络安全处理方法示意图；

图 3为本发明实施例中数据处理流程示意图。 具体实施方式

本发明技术方案将 "防火墙" 功能内置于数据卡， 直接使用数据卡就 可以对网络信息进行实时监控， 拦截对所有者来讲 "非法" （即不符合规则 设定要求的）的网络访问， 保证安全防护设置可以跟随数据卡移动而移动 ； 由于具体规则的设定需要通过密码才能启用， 非所有者会因为无权修改规 则而无法获取更多的网络访问权限； 同时所有的规则均可以通过人机接口 灵活设定， 且允许修改、 备份和恢复， 便于数据卡所有者操作及后期的数 据维护。

请参考图 1 所示， 是本发明实施例无线通信装置的组成示意图， 在该 实施例中， 所述无线通信装置以无线数据卡为例进行说明 。 如图 1 所示， 所述无线数据卡包括基带处理部分、 分集天线、 射频收发部分和防火墙处 理模块。 数据的处理主要由基带处理部分来完成。

在基带处理器中增加的防火墙处理模块， 该模块存储了防火墙的设定 方式， 例如不启用、 规则设定和完全禁止几种模式， 当模式为 "不启用" 时， 同现有的数据处理流程， 即数据卡本身对网络数据包不进行动态监视 和过滤， 不实现防火墙功能； 当模式为 "完全禁止" 时， 数据卡将禁止所 有网络数据包的连入和连出， 即此时用户使用该数据卡将无法进行任何数 据连接的操作； 当模式为 "规则设定" 时， 数据卡通过在层（L ) 2、 L3等 的数据处理过程中， 将接收或待发送的数据包与规则之间进行有效 地对比， 从而给出 "合法" 或 "非法" 的判断， 对于 "合法" 的数据交互给予放行、 对于 "非法" 的交互进行舍弃。 这样不仅能够监测外部的网络攻击， 同时 也对内部的恶意破坏也有极强的防范作用， 从而提高系统的性能和安全性； 并且通过分析数据包的地址、 协议、 端口等， 可以做到对交互数据的全程 动态过滤和监控。

上述规则的配置信息在 UI设定后可以备份在计算机上， 易于恢复。 且 规则设定后最终在数据卡的板侧保存， 人机接口处需要通过密码校验后方 可进行修改， 从而保证了 "防火墙" 功能的安全性和可移动性。

请参考图 2所示， 是本发明实施例一种网络安全处理方法， 并以数据 卡为例进行说明。 其包括如下步驟：

S201 : 数据卡启动时， 读取配置信息完成初始化， 初始化过程中将设 定的规则进行装载；

S202: 通过数据卡无线网络接口实现数据流的交互；

S203: 将数据和比对规程进行对比判断；

在处理器进行数据的 L2或 L3处理时， 增加一个接入控制处理流程； 数据通过接入处理流程时， 提取关键的域信息字段与内存里记录的规则加 以对比和判断；

在 L2处理中， 处理器提取 L2数据信息， 根据提取的信息域值， 搜索 L2规则， 查询是否有满足条件的规则， 如果和规则匹配， 则按照定义的规 则行为进行处理； 如果没有， 则按照预定义的默认行为处理。

S204: 在 L3上的数据处理， 控制处理过程与 L2类似；

S205: 对于完成接入控制处理的数据则按照数据正常 处理流程进行进 一步的处理；

S206: 对于发送的数据增加一个发送的控制处理流程 ；

S207: 按照规则对数据的发送行为进行设定。

扫描待发送的数据包头信息， 提取相关的信息域值， 搜索规则， 按照 规则信息配置的规则或默认的规则， 对数据的发送行为 （丟弃 or发送）进 行设定。

由上可以看到， 规则设定的接入点是在数据解析的处理过程中 进行的， 通过数据流的数据过滤， 分析交互数据包地址、 协议、 接口等相关信息； 将信息与规则进行对照判断， 对不安全的信息予以拒绝， 从而达到安全防 护的防火墙功能。

带有防火墙功能的数据卡， 其防护规则的设定是通过数据卡的人机接 口来配置和管理的， 数据卡将配置的规则存储在数据卡的存储器中 ， 且第 一次加载在数据卡启动时完成； 后续修改时， 可以通过人机接口进行动态 的修改和实时刷新。 一个规则项的设定包含以下域信息： 规则编号、 规则状态、 规则方向、 规则约定的信息域、 规则动作、 规则的时效以及规则的描述信息， 具体含 义如下：

规则编号： 即设定的条目号；

规则状态： 设定了规则是否处于已启用态或已禁止的状态 ；

规则方向： 设定了规则应用的数据处理流向；

规则约定信息域： 设定规则匹配的依据和条件； 可以是多个约束的集 合体；

规则的动作： 规定了规则满足后的处理行为和动作， 如数据包丟弃， 或数据包放行等；

规则的时效： 设定规则启用的时间段； 可以根据时间段设定不同的防 护规则；

规则的描述： 对规则进行进一步的详细解释， 便于用户的理解和避免 歧义。

为了更为清晰的理解本发明的实施方式， 下面以表 1 中一条规则的实 施为例， 阐述数据卡安全通信方法的具体实现。

表 1 处理器在读取到编号为 10的设置规则后， 对规则进行分析， 该规则约 定集合的信息为：目的 IP网络地址为 221.11.55.181远端端口为 22223的 tcp 协议的链接。 处理器将接入点放在数据出口的 L3和 L4处理， 其数据处理 流程如图 3所示,其包括如下步驟：

S301 : 判断 SIP是否等于 221.11.55.181 , 如果等于， 则转入步驟 S302, 如果不等于则放行；

S302: 判断协议号是否等于 6, 如果等于 6, 则转入步驟 S303 , 如果不 等于则放行；

S303 : 判断远端端口是否等于 22223 , 如果等于， 则转入步驟 S304, 如果不等于则放行；

S304: 判断当前时间是否达到， 如果达到， 则拒绝访问， 如果没达到， 则放行。

本发明中数据卡在读取规则处理时， 首先对规则约束的信息域进行分 析， 将规则约束进行详细的拆分， 按照作用的层次进行依次划分， 并按照 规则约定的方向和动作， 对数据卡的数据处理的各个接入点进行详细的 配 置设定； 同时按照约定的时间段对规则进行动态刷新。 这样在数据卡与无 线数据网络之间建立起一组安全控制点， 通过允许、 拒绝， 或重新定向经 过防火墙的数据流， 实现对进、 出内部网络的服务和访问进行审计和控制。 软件具体的设计实现按流程划分以下几个过程 ：

首先基带处理器在透过物理层接收数据 （或等待应用层完成数据分封 装后）， 需要先将数据完整的緩存（如果是碎片包， 需要将碎片聚合 )下来, 进行一些包的预处理， 获取到重要信息。

其次， 再根据数据的源方向的不同， 选择当前节点的最佳匹配规则。 选择好数据的规则， 选择对应的匹配方式， 并对匹配结果进行汇总， 同时完成包的迁移状态的更新， 来实现防火墙的最终功能。 基于设计的实现， 数据的处理是分层分阶段实现的。 如 "-节点 1-节点 2- ...... -节点 N-" , 按照前文所设计的， 可以将防火墙的规则分散到各个节 点上， 再根据个节点匹配的结果决定数据包的迁移状 态， 或放行或丟弃。 每个节点可以含盖 0条、 1条或多条规则。 最终的结果是否这 N个规则匹 配的结果来决定的。

以上为基于软件算法的规则匹配实现， 如 hash查找算法， 根据规则的 key的长度构建多个的 hash表项， 使用时根据不同的 key长度和类型查找 不同的表项。 实现起来较为灵活， 但是需要牺牲一定的空间来提升处理速 度， 所以实现时应确保一定的内存。

当然， 本发明还可有多种实施方式， 在不背离本发明精神及其实质的 情况， 熟悉本领域的技术人员当可根据本发明做出各 种相应的更改或变化， 但凡在本发明的精神和原则之内所作的任何修 改、 等同替换、 改进， 均应 包含在本发明的保护范围之内。