专利名称:数据卡及其数据处理和传输方法
技术领域:
本发明涉及通信应用领域,特别是指一种数据卡及其数据处理和传输方法。
背景技术:
随着网络技术的发展,Internet网络中出现了越来越多的安全隐患,在开 放式的网络中,存在许多不能信任的计算机,这些计算机在与Internet网络连 接,并传输数据时,网络的病毒、木马或者黑客等不安全因素都会入侵该计算 机,对存储在该计算机中的私有敏感信息造成了很大的威胁。
目前计算机中数据的安全防护措施通常是防火墙技术,在计算机中安装防 火墙或者安装杀毒软件来保证存储在计算机中的数据的安全性,然而,这些措 施通常滞后于计算机与网络间的数据传输,也就是说,往往是发现了计算机被 病毒入侵后再去查杀病毒,或者通过对黑客的攻击手段的分析,找出一些针对 黑客攻击的防御手段,但对于计算机中存储的私有敏感信息, 一旦被黑客窃取, 则具有不可弥补性。
发明人在实现本发明的过程中,发现现有技术中至少存在如下问题
计算机与外部网络间的传输不能真正的得到安全保障,迫切需要在个人计 算机和外网之间构筑一道防线,用以抵御来自外部网络的攻击。
发明内容
本发明要解决的技术问题是提供一种数据卡及其数据处理和传输方法,使 计算机与外部网络之间的通信得到安全性控制,防止对计算机中重要信息资源 的非法存取和访问,保证计算机系统的安全。
为解决上述技术问题,本发明的实施例提供技术方案如下
一方面,提供一种数据卡,包括
数据卡,包括
接收模块,用于接收终端设备发送的第 一数据4艮文;
信号转换模块,用于将所述第一数据报文进行才各式转换后,生成第二数据 报文,并向外部网络发送所述第二数据报文;以及接收所述外部网络根据所述 第二数据报文发送的第三数据报文,并对所述第三数据报文进行格式转换后, 生成第四数据报文;
网络处理模块,用于对所述第四数据报文进行过滤匹配,若匹配成功,生 成第五数据报文;
发送模块,用于向所述终端设备发送所述第五数据报文。
另一方面,还提供一种数据卡的数据处理和传输方法,包括
接收从终端设备发送的第 一数据报文,并将所述第 一数据报文进行格式转 换后,生成第二数据报文,并向外部网络发送所述第二数据报文;
接收所述外部网络根据所述第二数据报文发送的第三数据报文,并对所述 第三数据报文进行格式转换后,生成第四数据报文;
对所述第四数据报文进行过滤匹配,若匹配成功,生成第五数据报文;
向所述终端设备发送所述第五数据报文。
本发明的实施例具有以下有益效果
上述方案通过在数据卡上配置防护策略,使通过数据卡的数据报文都被过 滤检测,从而在外部数据流入电脑前加入了最后一道稳固的安全屏障,对电脑 与外部网络之间的通信进行过滤控制,通过强制实施统一的安全策略,防止对 重要信息资源的非法存取和访问,保障个人的重要、敏感资料不受侵害。
图1为本发明的实施例数据卡的结构示意图; 图2为图1所示的数据卡的一具体结构示意图; 图3为图1所示的数据卡的又一具体结构示意图4为图3所示的数据卡安装在计算机中,与外部网络进行数据传输的场 景示意图5为本发明的实施例数据卡的数据处理和传输方法流程示意图。
具体实施例方式
为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明的实施例针对现有技术中计算机与外部网络间的传输不能真正的得到安全保障的问题,提供一种安装在计算机上的数据卡及数据卡的数据处理和传输方法。
如图l所示,本发明的实施例数据卡l,包括
接收模块10,用于接收终端设备发送的第一数据报文;这里的终端设备 如计算机或其他的网络通信的终端设备;
信号转换模块11,用于将第一数据报文进行格式转换后,生成第二数据 报文,并向外部网络发送第二数据报文;以及接收外部网络根据第二数据报文 发送的第三数据报文,并对第三数据报文进行格式转换后,生成第四数据报文; 其中,第三数据报文可以为第二数据报文的答应报文;该信号转换模块ll主 要是对经过数据卡1的报文进行调制解调,如将从计算机接收的数据信号报文 转换成网络信号,或者将网络信号报文转换成计算机可以接收的数据信号;
网络处理模块12,用于对第四数据报文进行过滤匹配,若匹配成功,生 成第五数据报文;
发送模块13,用于向终端设备发送第五数据报文,其中,在具体实现时, 该发送模块13可以与上述接收模块10为一个模块,如数据卡的接口模块,该 数据卡可以通过该接口模块与终端设备连接,那么从终端设备发送给数据卡的 数据所文可以从该接口模块通过,从数据卡发送给终端设备的数据报文也可以 从该接口一莫块通过。
该实施例通过在数据卡1上对进入计算机等终端设备的数据进行过滤,对 计算机与外部网络之间的通信进行安全控制,通过强制实施统一的安全策略, 防止外部网络对计算机中重要信息资源的非法存取和访问,达到保护计算机的 系统及其存储的资源的安全的目的。
如图2所示,为图1所示的数据卡的一具体结构示意图,上述网络处理模 块12包括
转发模块120,用于接收接收模块10所接收的第一数据报文,并转发给 信号转换模块11,该第一数据报文通过该转发模块120转发给信号转换模块 11,目的是让网络处理模块12能够事先监控到该第一数据报文,并为该第一 数据报文在数据卡1与外部网络建立一个基于应用层协议的连接,当然该第一 数据报文也可以直接由信号转换模块11转发给外部网络,此时,由于信号转 换模块11也是数据卡的一部分,同样也能够为该第一数据报文在数据卡1与 外部网络之间建立一个基于应用层协议的连接。
存储模块121,用于存储通过终端设备预设的应用层协议的防护策略配置 信息,并根据更新指令,如预设的应用层协议的防护策略配置信息的配置,对 存储的防护策略配置信息进行更新,该防护策略配置信息如包过滤、病毒检测、 黑名单、攻击防范、IP-MAC地址绑定等,针对不同的应用层协议可以配置不 同的防护策略,如应用层协议可以为单通道协议,双通道协议或者其它的应用 层协议。
监控模块122,用于根据上述存储模块121中存储的应用层协议的防护策 略配置信息,监控基于上述第一数据报文所在连接的应用层协议的状态,如在 一个连接建立时,基于该连接的应用层协议的源IP、目的IP、源端口、目的 端口、协议号、以及报文数据特征等,不同的应用层协议的状态不一样,这里 不再一一列举。
过滤模块123,用于根据上述应用层协议及其状态,创建一过滤规则,并 根据该过滤规则对上述从信号转换模块11转换后的第四数据报文进行过滤匹 配,若匹配成功,生成第五数据报文,并将该第五数据报文通过发送模块13 发送给终端设备。这里的过滤模块123可以采用如防火墙技术中通常采用的 ASPF ( Application Specific Packet Filter,应用层的包过滤)来实现,该ASPF 基于连接的状态,动态地决定数据包是否被允许通过防火墙或丟弃。
如图3所示,根据不同的应用层协议及该应用层协议的状态,可以创建不 同的过滤规则,因此,在基于连接的单通道协议时,上述过滤模块123具体可以为
第一过滤模块1231,用于在检测到基于连接的应用层协议为单通道协议 时,创建第一五元组表项,该第一五元组表项为五元组的Session表项,包含 源IP、目的IP、源端口 、目的端口 、协议号,当从信号转换模块11接收到转 换后的第四数据报文时,根据该第一五元组Session表项对第四数据报文进行 过滤匹配,若匹配成功,则允许该第四数据报文通过,生成第五数据报文,并 由发送模块13将该第五数据报文发送给终端设备,否则阻塞该第四数据报文。 同样的,当应用层协议为基于连接的双通道协议时,采用了五元组的 session表项+三元组的servermap表项相结合方式实现,这样在4艮大程度上保 证了内部网络的安全性,上述过滤模块123还可具体为
第二过滤模块1232,用于在检测到基于连接的应用层协议为双通道协议 时,创建第二五元组表项和三元组表项,该第二五元组表项为五元组的 session 表项,三元组表项为三元组的servermap表项,当第四数据报文来的时候,首 先会根据该三元组的servermap表项对传输所述第四数据报文的连接通道进行 合法性判断,若合法,数据通道建立了之后,则再根据该第二五元组的session 表项对该第四数据报文进行过滤匹配,若匹配成功,则允许该第四数据报文通 过,生成第五数据报文,并由发送模块13将该第五数据报文发送给所述终端 设备,否则阻塞该第四数据报文。因此这里的三元组servermap表项是一个"临 时入口"表项,当真正的数据报文来了以后,会根据这个数据报文+ servermap 进行完整判断,这个连接是一个合法的数据通道。当数据通道建立了之后, servermap表项就删除了,此时会为这个数据通道建立一个基于五元组的 session通道。这样就避免了,因为多通道协议的特点,而产生一个永久的通 道,内部网络暴露的安全隐患。当然,上述过滤模块123除了为第一过滤模块 1231或者为第二过滤模块1232,在针对不同的应用层协议时,还可以创建针 对其他应用层协议创建过滤规则,根据该过滤规则对第四数据报文进行过滤操 作。
在上述第一过滤模块1231或者第二过滤模块1232对第四数据报文进行过 滤操作后,即当前连接结束时,需要对临时建立的过滤规则,如五元组表项或
者三元组表项进行更新,因此,网络过滤模块12还包括
过滤更新模块124,用于在检测到第一过滤模块1231对第四数据报文匹 配成功后,更新该第一五元组表项,具体讲,可以Y奮改或者删除该五元组表项, 到下一次连接建立时,再重新建立五元组表项,以使每一次的通道连接所采用 的过滤规则都不一样,降低外部网络黑客等的攻击风险;
该过滤更新模块124在检测到第二过滤模块1232对传输第四数据报文的 连接通道判断为合法时,立即删除该三元组,以避免内部网络暴露,在检测到 第二过滤模块1232对第四数据报文匹配成功后,立即修改或者删除该第二五 元组表项,以避免传输该第四数据报文的传输通道的相关信息被暴露,造成安 全隐患。
下面再结合具体的应用场景对上述数据卡的具体应用进行说明 如图4所示,该应用场景包括终端设备2,如计算机,安装在该终端设备
2的网络接口中的数据卡1,该数据卡1为诸如无线上网卡,调制解调器 (Modem)等,以及以无线方式与该数据卡通信的外部网络(如Internet等); 其中,数据卡1具有的接收模块10或者发送模块13可以为USB接口 ,
PCMCIA接口或者Express接口等,该数据卡1可以通过这些接口与计算机连接。
计算机2中的数据报文通过数据卡1发送给外部网络时,数据卡1会对该 数据报文进行双向的过滤和检测,具体过滤时,会监控基于连接的应用层协议 状态,并根据这些应用层协议状态临时创建一过滤规则,并根据该过滤规则对 经过该数据卡1的报文进行过滤匹配,若匹配成功,则允许通过,否则阻塞, 这样就根本上保证了终端设备2与外部网络之间的通信的所有报文都经过该 数据卡1的安全防护过滤,保证了终端设备2内资源的高度安全。 再结合图4,介绍上述数据卡1的一具体应用实例流程; 1 )用户A初始化一个Telnet会话,将该会话请求通过数据卡1发送给外 部网络;
2)在数据卡1中,网络处理模块12会根据具体的应用层协议完成连接建 立,创建相应的过滤规则,如在完成TCP三次握手时,连接建立,并根据具
体的应用层协议创建相应的五元组表项或者三元組表项等过滤规则,并維护这
些五元组表项或者三元组表项;
3) 当外部网络发送给用户A的应叙艮文通过数据卡时,首先会被信号转 换模块11进行格式转换后,发送给网络处理模块12,该网络处理模块12根 据已经创建的过滤规则,对其接收到的数据报文,如上述的第四数据报文,进 行过滤,能匹配上过滤规则的报文可以通过,否则阻塞,如其他用户的Telnet 进程的报文被阻塞,不能通过;
4) 当该Telnet会话结束时,该过滤规则,如上述的五元组表项或者三元 组表项立即被删除,再伪造telnet的非法报文也无法通过了,到下一次连接建 立时,防火墙又会重新建立一个新的Session表项。这样在很大程度上保证了 内部计算机系统的安全性。
综上所述,本发明的上述实施例数据卡1,增加了网络防护功能,其驱动 程序以及配置(如防护策略、病毒库等)可以通过光盘或者专门的网站进行升 级,及时的针对当前的网络安全现状对数据卡的安全防护策略进行更新配置。 用户也可以在个人电脑上通过专门的软件界面对数据卡的安全防护策略进行 灵活配置更改,例如用户可以通过电脑的软件界面配置包过率、病毒检测、黑 名单、攻击防范、IP-MAC绑定等,从而在外部数据流入电脑前加入了最后一 道稳固的安全屏障,以保障个人的重要、敏感资料不受侵害。
如图5所示,本发明的实施例还提供一种数据卡的数据处理和传输方法, 包括如下步骤
步骤S51,接收终端设备发送的第一数据报文,并将所述第一数据报文进 行格式转换后,生成第二数据报文,并向外部网络发送所述第二数据报文;
步骤S52,接收所述外部网络根据所述第二数据报文发送的第三数据报 文,并对所述第三数据报文进行格式转换后,生成第四数据报文;其中,所述 第三数据报文可以为所述第二数据报文的答应报文;
步骤S53,对所述第四数据才艮文进行过滤匹配,若匹配成功,生成第五数 据报文;
步骤S54,向所述终端设备发送所述第五数据报文。
该实施例通过对外部网络发送的数据报文在进入电脑前,先进行过滤处 理,保证了电脑的安全。
具体来讲,该实施例的方法可以有如下具体实现过程 步骤S61,接收终端设备发送的第一数据报文,并将该第一数据报文进行 格式转换,生成第二数据报文,并向外部网络发磅该第二数据报文;其中,该 第 一数据才艮文可以为终端设备对外部网络的访问请求,而该第二数据"f艮文为第 一数据报文格式转换成生成的网络信号;
步骤S62,接收外部网络根据第二数据报文发送的第三数据报文,并对该 第三数据报文进行格式转换后,生成第四数据报文;其中,第三数据报文可以 为第二数据报文的答应报文,第四数据报文可以为第三数据报文格式转换后生
成的数据信号;
步骤S63,根据基于上述第一数据报文所在的连接的应用层协议及其状 态,创建一过滤规则,并根据所述过滤规则对所述第四数据报文进行过滤匹配, 若匹配成功,生成第五数据"R文;
具体讲,在检测到基于连接的应用层协议为单通道协议时,创建第一五元 组Session表项,根据该第一五元组Session表项对上述第四数据报文进行过 滤匹配,若匹配成功,则生成第五数据报文,否则阻塞该第四数据报文。
或者在检测到基于连接的应用层协议为双通道协议时,创建第二五元组表 项和三元组Servermap表项,根据该三元组Servermap表项对传输所述第四数 据报文的连接通道进行合法性判断,若合法,则根据该第二五元组表项对所述 第四数据报文进行过滤匹配,若匹配成功,则生成第五数据报文,否则阻塞所 述第四数据报文。
检测到基于连接的其他应用层协议,出同样会创建一个相应的过滤规则, 并根据该过滤规则对第四数据报文进行过滤匹配。 步骤S64,向终端设备发送该第五数据报文。
在上述的步骤S63中,当根据过滤规则对第四数据报文匹配成功后,即基 于该应用协议的当前连接结束时,删除或者修改已经建立的过滤规则,即修改 或者删除上述第一五元组表项或者更新上述第二五元组表项,当下一连接建立
时,会重新创建新的过滤规则,对数据报文进行过滤,这样更大程度上保证了 连接的数据通道不被暴露,每一次连接都用不同的过滤规则对经过数据卡的数 据报文进行过滤,保证了计算机系统中的资料的高度安全。
是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可 读取存储介质中,该程序在执行时,包括如上述方法实施例的步骤,所述的存
储介质,如ROM/RAM、磁碟、光盘等。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技 术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰, 这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种数据卡,包括接收模块,用于接收终端设备发送的第一数据报文;信号转换模块,用于将所述第一数据报文进行格式转换后,生成第二数据报文,并向外部网络发送所述第二数据报文;以及接收所述外部网络根据所述第二数据报文发送的第三数据报文,并对所述第三数据报文进行格式转换后,生成第四数据报文;网络处理模块,用于对所述第四数据报文进行过滤匹配,若匹配成功,生成第五数据报文;发送模块,用于向所述终端设备发送所述第五数据报文。
2. 根据权利要求1所述的数据卡,其特征在于,所述网络处理模块包括 转发模块,用于接收所述接收模块接收的第一数据报文,并向所述信号转换模块转发。
3. 根据权利要求2所述的数据卡,其特征在于,所述网络处理模块还包括存储模块,用于存储预设的应用层协议的防护策略配置信息,并根据更新 指令,对存储的所述防护策略配置信息进行更新。
4. 根据权利要求3所述的数据卡,其特征在于,所述网络处理模块还包括监控模块,用于根据所述防护策略配置信息,监控基于所述第一数据报文 所在连接的所述应用层协议的状态;过滤模块,用于根据所述应用层协议及其状态,创建一过滤规则,并根据 所述过滤规则对所述第四数据报文进行过滤匹配,若匹配成功,生成第五数据 报文。
5. 根据权利要求4所述的数据卡,其特征在于,所述过滤模块为 第一过滤模块,用于在检测到基于连接的应用层协议为单通道协议时,创建第一五元组表项,根据所述第一五元组表项对所述第四数据报文进行过滤匹 配,若匹配成功,生成第五数据报文,否则阻塞所述第四数据报文。
6. 根据权利要求4所述的数据卡,其特征在于,所述过滤模块为 第二过滤;溪块,用于在检测到基于连接的应用层协议为双通道协议时,创建第二五元组表项和三元组表项,根据所述三元组表项对传输所述第四数据报 文的连接通道进行合法性判断,若合法,则根据所述第二五元组表项对所述第 四数据报文进行过滤匹配,若匹配成功,生成第五数据报文,否则阻塞所述第 四数据报文。
7. 根据权利要求5或6所述的数据卡,其特征在于,所述网络处理模块 还包括过滤更新模块,用于在检测到所述第一过滤模块对所述第四数据报文匹配 成功后,更新所述第一五元组表项;或者在检测到所述第二过滤模块对传输所述第四数据报文的连接通道判 断为合法时,删除所迷三元组,在检测到所述第二过滤模块对所述第四数据报 文匹配成功后,更新所述第二五元组表项。
8. —种数据卡的数据处理和传输方法,其特征在于,包括 接收从终端设备发送的第 一数据报文,并将所述第 一数据报文进行格式转换后,生成第二数据报文,并向外部网络发送所述第二数据报文;接收所述外部网络根据所述第二数据报文发送的第三数据报文,并对所述第三数据报文进行格式转换后,生成第四数据报文;对所述第四数据"R文进行过滤匹配,若匹配成功,生成第五数据报文; 向所述终端设备发送所述第五数据报文。
9. 根据权利要求8所述的方法,其特征在于,所述对所述第四数据报文 进行过滤,生成第五数据报文具体为根据应用层协议及其状态,创建一过滤规则,并根据所述过滤规则对所述 第四数据报文进行过滤匹配,若匹配成功,生成第五数据报文。
10. 根据权利要求9所述的方法,其特征在于,所述根据应用层协议及其 状态,创建一过滤规则,并根据所述过滤规则对所述第四数据报文进行过滤匹 配,若匹配成功,生成第五数据报文具体为 在检测到基于连接的应用层协议为单通道协议时,创建第 一五元组表项, 根据所述第一五元组表项对所述第四数据报文进行过滤匹配,若匹配成功,生 成第五数据报文,否则阻塞所述第四数据报文。
11. 根据权利要求9所述的方法,其特征在于,所述根据应用层协议及其 状态,创建一过滤规则,并根据所述过滤规则对所述第四数据报文进行过滤, 生成第五数据报文具体为在检测到基于连接的应用层协议为双通道协议时,创建第二五元组表项和 三元组表项,根据所述三元组表项对传输所述第四数据报文的连接通道进行合 法性判断,若合法,则根据所述第二五元组表项对所述第四数据报文进行过滤 匹配,若匹配成功,生成第五数据报文,否则阻塞所述第四数据报文。
12. 根据权利要求10或11所述的方法,其特征在于,所述生成第五数据 报文之后或者阻塞所述第四数据报文之后,还包括更新所述第一五元组表项或者更新所述第二五元组表项。
全文摘要
本发明提供一种数据卡及其数据处理和传输方法,其中数据卡包括接收模块,用于接收终端设备发送的第一数据报文;信号转换模块,用于将所述第一数据报文进行格式转换后,生成第二数据报文,并向外部网络发送所述第二数据报文;以及接收所述外部网络根据所述第二数据报文发送的第三数据报文,并对所述第三数据报文进行格式转换后,生成第四数据报文;网络处理模块,用于对所述第四数据报文进行过滤匹配,若匹配成功,生成第五数据报文;发送模块,用于向所述终端设备发送所述第五数据报文。该方案使经过数据卡的数据报文都经过过滤,保证了流入终端设备中的数据的安全性。
文档编号H04L9/00GK101340275SQ20081011898
公开日2009年1月7日 申请日期2008年8月27日 优先权日2008年8月27日
发明者李苏阳 申请人:深圳华为通信技术有限公司