专利名称:手机终端及防火墙监控方法
技术领域:
本发明涉及信息安全领域,尤其涉及一种手机终端及防火墙监控方法。
背景技术:
手机面临的安全威胁日益增加,除了面对病毒、恶意软件窃取敏感信息外,还会导致通讯费用的大量流失。因此设计手机设备上的防火墙系统具有非常重要的意义。目前,手机中主要包含调制解调(MODEM)子系统 和应用处理子系统,MODEM子系统主要负责与无线网络相关的功能实现及手机卡的管理,应用处理子系统主要负责用户使用的各种业务实现。手机接收到的下行数据通过MODEM子系统传送给应用处理子系统进行处理,应用处理子系统产生的上行数据通过MODEM子系统发送出去。现有技术中通过在手机应用层即应用处理子系统的开发中添加号码过滤,短信内容过滤等接口实现手机防火墙功能,现有技术存在的问题主要体现在以下几个方面第一,防火墙功能在应用层实现,使得病毒,恶意程序很容易使用更为底层的技术绕过防火墙限制。比如,手机收到的短信内容在经过MODEM子系统到达应用处理子系统后,虽然在应用处理子系统中设置有防火墙模块,但病毒,恶意程序等可能在防火墙模块执行号码过滤,短信内容过滤等操作前,就截取到短信内容,进而对短信内容进行恶意操作。第二,控制范围存在很大局限性,只能针对号码、短信内容等做简单过滤,没有或很难实现对电路域和分组域业务全面灵活的访问控制。
发明内容
本发明实施例提供一种手机终端及防火墙监控方法,用于增强手机终端上的防火墙系统的功能。一种手机终端,包括用于实现与无线网络相关的功能及智能卡管理的调制解调MODEM子系统、以及用于实现用户使用的各种业务的应用处理子系统,还包括设置在所述MODEM子系统与所述应用处理子系统之间的AT防火墙子系统;所述AT防火墙子系统用于截取所述MODEM子系统和所述应用处理子系统中任意一方发往另一方的数据,根据预先设定的传输控制规则确定是否允许截取到的数据的传输,若允许,则将截取到的数据发给另一方,否则,拒绝将截取到的数据的发给另一方。一种防火墙监控方法,该方法包括AT防火墙子系统截取MODEM子系统和应用处理子系统中任意一方发往另一方的数据;AT防火墙子系统根据预先设定的传输控制规则确定是否允许截取到的数据的传输,若允许,则将截取到的数据发给另一方,否则,拒绝将截取到的数据的发给另一方。本方案中,在手机终端的MODEM子系统与应用处理子系统之间设置AT防火墙子系统,AT防火墙子系统截取MODEM子系统和应用处理子系统中任意一方发往另一方的数据,根据预先设定的传输控制规则确定是否允许截取到的数据的传输,若允许,则将截取到的数据发给另一方,否则,拒绝将截取到的数据的发给另一方。可见,本方案中通过在MODEM子系统与应用处理子系统之间设置AT防火墙子系统,并由AT防火墙子系统对MODEM子系统与应用处理子系统之间的数据传输进行控制,可以有效防止MODEM子系统将来自网络等的恶意数据或用户无权限接收的数据发送给应用处理子系统,也可以有效防止应用处理子系统将产生的恶意数据或用户无权限发送的数据发送给MODEM子系统,与现有技术中只能针对号码、短信内容等做简单过滤的防火墙系统相比,本发明可以对手机终端的MODEM子系统与应用处理子系统之间传输的任何数据进行监控,包括电路域和分组域业务数据的监控,因此本发明提供的防火墙监控系统的功能更加强大。
图I为本发明实施例提供的系统结构示意图;
图2为本发明实施例提供的方法流程示意图;图3为本发明实施例一的流程示意图。
具体实施例方式为了增强手机终端上的防火墙系统的功能,本发明实施例提供一种手机终端,本手机终端中,在MODEM子系统与应用处理子系统之间设置AT防火墙子系统,AT防火墙子系统截取MODEM子系统和应用处理子系统中任意一方发往另一方的数据,根据预先设定的传输控制规则确定是否允许截取到的数据的传输,若允许,则将截取到的数据发给另一方,否贝U,拒绝将截取到的数据的发给另一方。参见图1,本发明实施例提供的手机终端,包括用于实现与无线网络相关的功能及智能卡管理的MODEM子系统10、以及用于实现用户使用的各种业务的应用处理子系统11,还包括设置在所述MODEM子系统10与所述应用处理子系统11之间的AT防火墙子系统12 ;AT防火墙子系统12用于截取MODEM子系统10和应用处理子系统11中任意一方发往另一方的数据,根据预先设定的传输控制规则确定是否允许截取到的数据的传输,若允许,则将截取到的数据发给另一方,否则,拒绝将截取到的数据的发给另一方。进一步的,AT防火墙子系统12包括访问判别接口模块120和规则存储模块121,其中访问判别接口模块120,用于截取MODEM子系统10和应用处理子系统11中任意一方发往另一方的数据;读取规则存储模块121中存储的传输控制规则,根据读取到的传输控制规则确定是否允许截取到的数据的传输,若允许,则将截取到的数据发给另一方,否贝U,拒绝将截取到的数据的发给另一方;规则存储模块121,用于存储传输控制规则。较佳的,访问判别接口模块120在根据读取到的传输控制规则确定不允许截取到的数据的传输后,可以发出是否放弃本次数据传输的提示信息,在用户选择放弃后,再拒绝将截取到的数据的发给另一方,并丢弃该数据。进一步的,AT防火墙子系统12进一步包括访问控制接口模块122,用于执行如下操作中的至少一个操作
操作一接收应用处理子系统11发送的传输控制规则,将该传输控制规则存储在规则存储模块121中;具体的,应用处理子系统11在用户选择规则设置的菜单项后,提示用户输入验证信息(比如密码)以进行身份验证,在身份验证通过后,将规则存储模块121中当前已存储的传输控制规则显示给用户,用户可对显示的传输控制规则进行编辑,包括增加、删除、修改等;在用户对显示的传输控制规则的编辑完成后,将编辑后的传输控制规则发送给AT防火墙子系统12的访问控制接口模块122,访问控制接口模块122接收到应用处理子系统11发送的传输控制规则后,将接收的传输控制规则存储在规则存储模块121中。操作二 接收应用处理子系统11发送的防火墙状态设置请求,根据该防火墙状态设置请求将AT防火墙子系统12的状态设置为开启或关闭;
具体的,应用处理子系统11在用户选择状态设置的菜单项后,提示用户输入验证信息(比如密码)以进行身份验证,在身份验证通过后,提示用户输入需要设置的AT防火墙子系统12的状态(比如开启或关闭),在用户输入需要设置的AT防火墙子系统12的状态的信息后,向AT防火墙子系统12的访问控制接口模块122发送防火墙状态设置请求,其中携带用户输入的AT防火墙子系统12的状态的信息;访问控制接口模块122接收到应用处理子系统11发送的防火墙状态设置请求后,将AT防火墙子系统12的状态设置为该防火墙状态设置请求中携带的用户输入的AT防火墙子系统12的状态。操作三接收应用处理子系统11发送的防火墙状态查询请求,确定AT防火墙子系统12的当前状态,并将确定结果返回给应用处理子系统11。应用处理子系统11可以将AT防火墙子系统12的当前状态进行显示。具体的,应用处理子系统11在用户选择状态查询的菜单项后,提示用户输入验证信息(比如密码)以进行身份验证,在身份验证通过后,向AT防火墙子系统12的访问控制接口模块122发送防火墙状态查询请求,访问控制接口模块122接收到应用处理子系统11发送的防火墙状态查询请求后,根据AT防火墙子系统12的状态标志位确定AT防火墙子系统12的当前状态,并将AT防火墙子系统12的当前状态的信息发送给应用处理子系统11,应用处理子系统11将防火墙子系统12的当前状态显示给用户。AT防火墙子系统12的状态标志位可以预先设置在AT防火墙子系统12中,其初始值可以设置为开启或关闭。进一步的,AT防火墙子系统12进一步包括日志管理接口模块123,用于记录访问判别接口模块允许和/或拒绝将截取到的数据发给另一方的信息;并在接收到应用处理子系统11发送的日志查询请求后,将记录的信息返回给应用处理子系统U。应用处理子系统11可以将接收到的信息进行显示。具体的,应用处理子系统11在用户选择日志查询的菜单项后,提示用户输入验证信息(比如密码)以进行身份验证,在身份验证通过后,向AT防火墙子系统12的日志管理接口模块123发送日志查询请求,日志管理接口模块123在接收到应用处理子系统11发送的日志查询请求后,将记录的信息返回给应用处理子系统11。进一步的,访问判别接口模块120用于在读取规则存储模块中存储的传输控制规则时,确定截取到的数据所对应的业务类型,从规则存储模块中读取该业务类型对应的传输控制规则。举例说明
例I :在截取到的数据为应用处理子系统11发往的MODEM子系统10的数据、且截取到的数据所对应的业务类型为呼叫业务时,该业务类型对应的传输控制规则可以包括具有呼叫权限的被叫号码,此时访问判别接口模块120确定是否允许截取到的数据的传输的具体实现为判断截取到的数据中的被叫号码是否包含在传输控制规则中,若是,则确定允许截取到的数据的传输,否则,不允许截取到的数据的传输。在截取到的数据为MODEM子系统10发往应用处理子系统11的数据、且截取到的数据所对应的业务类型为呼叫业务时,该业务类型对应的传输控制规则可以包括具有呼叫接收权限的主叫号码,此时访问判别接口模块120确定是否允许截取到的数据的传输的具体实现为判断截取到的数据中的主叫号码是否 包含在传输控制规则中,若是,则确定允许截取到的数据的传输,否则,不允许截取到的数据的传输。此时,截取到的数据为AT命令。例2 :在截取到的数据为应用处理子系统11发往的MODEM子系统10的数据、且截取到的数据所对应的业务类型为短信息业务时,该业务类型对应的传输控制规则可以包括具有短信接收权限的被叫号码,此时访问判别接口模块120确定是否允许截取到的数据的传输的具体实现为判断截取到的数据中的被叫号码是否包含在传输控制规则中,若是,则确定允许截取到的数据的传输,否则,不允许截取到的数据的传输。在截取到的数据为MODEM子系统10发往应用处理子系统11的数据、且截取到的数据所对应的业务类型为短信息业务时,该业务类型对应的传输控制规则可以包括垃圾短信所包含的关键字,此时访问判别接口模块120确定是否允许截取到的数据的传输的具体实现为判断截取到的数据中的短信息内容是否包含传输控制规则中的关键字,若是,则确定不允许截取到的数据的传输,否则,允许截取到的数据的传输。此时,截取到的数据为AT命令。例3 :在截取到的数据为应用处理子系统11发往的MODEM子系统10的数据、且截取到的数据所对应的业务类型为网络业务时,该业务类型对应的传输控制规则可以包括允许访问的站点的域名,此时访问判别接口模块120确定是否允许截取到的数据的传输的具体实现为判断截取到的数据中的域名是否包含在传输控制规则中,若是,则确定允许截取至IJ的数据的传输,否则,不允许截取到的数据的传输。在截取到的数据为MODEM子系统10发往应用处理子系统11的数据、且截取到的数据所对应的业务类型为网络业务时,该业务类型对应的传输控制规则可以包括允许访问的站点的IP地址,此时访问判别接口模块120确定是否允许截取到的数据的传输的具体实现为判断截取到的数据中的源IP地址是否包含在传输控制规则中,若是,则确定允许截取到的数据的传输,否则,不允许截取到的数据的传输。此时,截取到的数据为协议数据,比如HTTP协议数据等。例4 :在截取到的数据为应用处理子系统11发往的MODEM子系统10的数据、且截取到的数据所对应的业务类型为电子邮箱业务时,该业务类型对应的传输控制规则可以包括允许通信的邮箱的名称,此时访问判别接口模块120确定是否允许截取到的数据的传输的具体实现为判断截取到的数据中的邮箱的名称是否包含在传输控制规则中,若是,则确定允许截取到的数据的传输,否则,不允许截取到的数据的传输。在截取到的数据为MODEM子系统10发往应用处理子系统11的数据、且截取到的数据所对应的业务类型为电子邮箱业务时,该业务类型对应的传输控制规则可以包括垃圾邮件包含的关键字,此时访问判别接口模块120确定是否允许截取到的数据的传输的具体实现为判断截取到的数据中是否包含传输控制规则中的关键字,若是,则确定不允许截取到的数据的传输,否则,允许截取到的数据的传输。此时,截取到的数据为协议数据,比如HTTP协议数据等。进一步的,AT防火墙子系统12截取到的数据即MODEM子系统10与应用处理子系统11之间传输的数据为AT命令或协议数据。 参见图2,本发明实施例提供一种防火墙监控方法,包括以下步骤步骤20 :AT防火墙子系统截取MODEM子系统和应用处理子系统中任意一方发往另一方的数据;步骤21 AT防火墙子系统根据预先设定的传输控制规则确定是否允许截取到的数据的传输,若允许,则将截取到的数据发给另一方,否则,拒绝将截取到的数据的发给另一方。具体的,由AT防火墙子系统的访问判别接口模块截取MODEM子系统和所述应用处理子系统中任意一方发往另一方的数据;读取规则存储模块中存储的传输控制规则,根据读取到的传输控制规则确定是否允许截取到的数据的传输,若允许,则将截取到的数据发给另一方,否则,拒绝将截取到的数据的发给另一方。较佳的,访问判别接口模块在根据读取到的传输控制规则确定不允许截取到的数据的传输后,可以发出是否放弃本次数据传输的提示信息,在用户选择放弃后,再拒绝将截取到的数据的发给另一方,并丢弃该数据。较佳的,AT防火墙子系统的访问控制接口模块可以执行如下操作中的至少一个操作操作一接收应用处理子系统发送的传输控制规则,将该传输控制规则存储在规则存储模块中;操作一接收应用处理子系统11发送的传输控制规则,将该传输控制规则存储在规则存储模块121中;具体的,应用处理子系统在用户选择规则设置的菜单项后,提示用户输入验证信息(比如密码)以进行身份验证,在身份验证通过后,将规则存储模块中当前已存储的传输控制规则显示给用户,用户可对显示的传输控制规则进行编辑,包括增加、删除、修改等;在用户对显示的传输控制规则的编辑完成后,将编辑后的传输控制规则发送给AT防火墙子系统的访问控制接口模块,访问控制接口模块接收到应用处理子系统发送的传输控制规则后,将接收的传输控制规则存储在规则存储模块中。操作二 接收应用处理子系统发送的防火墙状态设置请求,根据该防火墙状态设置请求将AT防火墙子系统的状态设置为开启或关闭;具体的,应用处理子系统在用户选择状态设置的菜单项后,提示用户输入验证信息(比如密码)以进行身份验证,在身份验证通过后,提示用户输入需要设置的AT防火墙子系统的状态(比如开启或关闭),在用户输入需要设置的AT防火墙子系统的状态的信息后,向AT防火墙子系统的访问控制接口模块发送防火墙状态设置请求,其中携带用户输入的AT防火墙子系统的状态的信息;访问控制接口模块接收到应用处理子系统发送的防火墙状态设置请求后,将AT防火墙子系统的状态设置为该防火墙状态设置请求中携带的用户输入的AT防火墙子系统的状态。操作三接收应用处理子系统发送的防火墙状态查询请求,确定AT防火墙子系统的当前状态,并将确定结果返回给应用处理子系统。应用处理子系统11可以将AT防火墙子系统的当前状态进行显示。
具体的,应用处理子系统在用户选择状态查询的菜单项后,提示用户输入验证信息(比如密码)以进行身份验证,在身份验证通过后,向AT防火墙子系统的访问控制接口模块122发送防火墙状态查询请求,访问控制接口模块接收到应用处理子系统发送的防火墙状态查询请求后,根据AT防火墙子系统的状态标志位确定AT防火墙子系统的当前状态,并将AT防火墙子系统的当前状态的信息发送给应用处理子系统,应用处理子系统将防火墙子系统的当前状态显示给用户。AT防火墙子系统的状态标志位可以预先设置在AT防火墙子系统12中,其初始值可以设置为开启或关闭。较佳的,AT防火墙子系统的日志管理接口模块可以记录访问判别接口模块允许和/或拒绝将截取到的数据发给另一方的信息;并在接收到应用处理子系统发送的用户发起的日志查询请求后,将记录的信息返回给所述应用处理子系统。应用处理子系统可以将接收到的信息进行显示。具体的,应用处理子系统在用户选择日志查询的菜单项后,提示用户输入验证信息(比如密码)以进行身份验证,在身份验证通过后,向AT防火墙子系统的日志管理接口模块发送日志查询请求,日志管理接口模块在接收到应用处理子系统发送的日志查询请求后,将记录的信息返回给应用处理子系统。较佳的,访问判别接口模块读取规则存储模块中存储的传输控制规则时,首先确定截取到的数据所对应的业务类型,然后从规则存储模块中读取该业务类型对应的传输控制规则。实施例一如图3所示,具体流程如下步骤30 :用户在手机上发起呼叫后,手机的应用处理子系统向MODEM子系统发送呼叫相关的AT命令;步骤31 :手机的AT防火墙子系统截取应用处理子系统发送的AT命令,根据预先设定的传输控制规则确定是否允许截取到的AT命令的传输,若允许,则将截取到的AT命令发给MODEM子系统,MODEM子系统将AT命令通过网络发送出去,以实现呼叫业务;否则,拒绝将截取到的AT命令发给MODEM子系统;步骤32 :手机的MODEM子系统接收来自网络的呼叫相关的AT命令,MODEM子系统向应用处理子系统发送该AT命令; 步骤33 :手机的AT防火墙子系统截取MODEM子系统发送的AT命令,根据预先设定的传输控制规则确定是否允许截取到的AT命令的传输,若允许,则将截取到的AT命令发给应用处理子系统,应用处理子系统根据该AT命令实现呼叫业务;否则,拒绝将截取到的AT命令发给应用处理子系统。实施例二 步骤一用户在手机上发起短信发送后,手机的应用处理子系统向MODEM子系统发送短信相关的AT命令;步骤二 手机的AT防火墙子系统截取应用处理子系统发送的AT命令,根据预先设定的传输控制规则确定是否允许截取到的AT命令的传输,若允许,则将截取到的AT命令发给MODEM子系统,MODEM子系统将AT命令通过网络发送出去,以实现短信发送业务;否则,拒绝将截取到的AT命令发给MODEM子系统;步骤三手机的MODEM子系统接收来自网络的短信相关的AT命令,MODEM子系统向应用处理子系统发送该AT命令; 步骤四手机的AT防火墙子系统截取MODEM子系统发送的AT命令,根据预先设定的传输控制规则确定是否允许截取到的AT命令的传输,若允许,则将截取到的AT命令发给应用处理子系统,应用处理子系统将该AT命令中的短信息进行显示;否则,拒绝将截取到的AT命令发给应用处理子系统。实施例三步骤一用户在手机上发起上网业务后,手机的应用处理子系统向MODEM子系统发送网络数据获取相关的协议数据;步骤二 手机的AT防火墙子系统截取应用处理子系统发送的协议数据,根据预先设定的传输控制规则确定是否允许截取到的协议数据的传输,若允许,则将截取到的协议数据发给MODEM子系统,MODEM子系统将协议数据通过网络发送出去,以获取网络数据;否贝U,拒绝将截取到的协议数据发给MODEM子系统;步骤三手机的MODEM子系统接收来自网络的网络数据接收相关的协议数据,MODEM子系统向应用处理子系统发送该协议数据;步骤四手机的AT防火墙子系统截取MODEM子系统发送的协议数据,根据预先设定的传输控制规则确定是否允许截取到的协议数据的传输,若允许,则将截取到的协议数据发给应用处理子系统,应用处理子系统将该协议数据中的网络数据进行显示;否则,拒绝将截取到的协议数据发给应用处理子系统。实施例四步骤一用户在手机上发起电子邮箱发件业务后,手机的应用处理子系统向MODEM子系统发送电子邮件发送相关的协议数据;步骤二 手机的AT防火墙子系统截取应用处理子系统发送的协议数据,根据预先设定的传输控制规则确定是否允许截取到的协议数据的传输,若允许,则将截取到的协议数据发给MODEM子系统,MODEM子系统将协议数据通过网络发送出去,以发送电子邮件;否贝U,拒绝将截取到的协议数据发给MODEM子系统;步骤三手机的MODEM子系统接收来自网络的电子邮件接收相关的协议数据,MODEM子系统向应用处理子系统发送该协议数据;步骤四手机的AT防火墙子系统截取MODEM子系统发送的协议数据,根据预先设定的传输控制规则确定是否允许截取到的协议数据的传输,若允许,则将截取到的协议数据发给应用处理子系统,应用处理子系统将该协议数据中的邮件信息进行显示;否则,拒绝将截取到的协议数据发给应用处理子系统。综上,本发明的有益效果包括本发明实施例提供的方案中,在手机终端的MODEM子系统与应用处理子系统之间设置AT防火墙子系统,AT防火墙子系统截取MODEM子系统和应用处理子系统中任意一方发往另一方的数据,根据预先设定的传输控制规则确定是否允许截取到的数据的传输,若允许,则将截取到的数据发给另一方,否则,拒绝将截取到的数据的发给另一方。可见,本方案中通过在MODEM子系统与应用处理子系统之间设置AT防火墙子系统,并由AT防火墙子系统对MODEM子系统与应用处理子系统之间的数据传输进行控制,可以有效防止MODEM子系统将来自网络等的恶意数据或用户无权限接收的数据发送给应用处理子系统,也可以有效防止应用处理子系统将产生的恶意数据或用户无权限发送的数据发送给MODEM子系统,与现有技术中只能针对号码、短信内容等做简单过 滤的防火墙系统相比,本发明可以对手机终端的MODEM子系统与应用处理子系统之间传输的任何数据进行监控,包括电路域和分组域业务数据的监控,因此本发明提供的防火墙监控系统的功能更加强大。同时,本发明是在MODEM子系统与应用处理子系统之间设置AT防火墙子系统,与现有技术中在应用层实现防火墙功能相比,本发明提供的手机终端的安全性更高,原因在于其一,现有技术中MODEM子系统的数据直接传送给应用处理子系统,而本发明中MODEM子系统的数据需要经过AT防火墙子系统的过滤后才能到达应用处理子系统;其二,现有技术中应用处理子系统的数据可能在防火墙模块执行号码过滤,短信内容过滤等操作前,就被病毒,恶意程序等截取到而进行恶意操作,而本发明中由于应用处理子系统发送的所有数据都要经过AT防火墙子系统的过滤,因此可以有效杜绝恶意数据传输给MODEM子系统。进一步的,本发明的AT防火墙子系统中设置有访问控制接口模块(可以软件实现),外部的应用程序的可以通过该访问控制接口模块设置、更新、查询传输控制规则和AT防火墙子系统的状态,也即本发明提供了统一的API (应用程序接口)供外部的应用程序调用,从而提高了 AT防火墙子系统的灵活性和适用性。本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动 和变型在内。
权利要求
1.一种手机终端,包括用于实现与无线网络相关的功能及智能卡管理的调制解调MODEM子系统、以及用于实现用户使用的各种业务的应用处理子系统,其特征在于,还包括设置在所述MODEM子系统与所述应用处理子系统之间的AT防火墙子系统; 所述AT防火墙子系统用于截取所述MODEM子系统和所述应用处理子系统中任意一方发往另一方的数据,根据预先设定的传输控制规则确定是否允许截取到的数据的传输,若允许,则将截取到的数据发给另一方,否则,拒绝将截取到的数据的发给另一方。
2.如权利要求I所述的手机终端,其特征在于,所述AT防火墙子系统包括 访问判别接口模块,用于截取所述MODEM子系统和所述应用处理子系统中任意一方发往另一方的数据;读取规则存储模块中存储的传输控制规则,根据读取到的传输控制规则确定是否允许截取到的数据的传输,若允许,则将截取到的数据发给另一方,否则,拒绝将截取到的数据的发给另一方; 规则存储模块,用于存储传输控制规则。
3.如权利要求2所述的手机终端,其特征在于,所述AT防火墙子系统进一步包括 访问控制接口模块,用于执行如下操作中的至少一个操作 操作一接收所述应用处理子系统发送的传输控制规则,将该传输控制规则存储在所述规则存储模块中; 操作二 接收所述应用处理子系统发送的防火墙状态设置请求,根据该防火墙状态设置请求将AT防火墙子系统的状态设置为开启或关闭; 操作三接收所述应用处理子系统发送的防火墙状态查询请求,确定AT防火墙子系统的当前状态,并将确定结果返回给所述应用处理子系统。
4.如权利要求2所述的手机终端,其特征在于,所述AT防火墙子系统进一步包括 日志管理接口模块,用于记录所述访问判别接口模块允许和/或拒绝将截取到的数据发给另一方的信息;并在接收到所述应用处理子系统发送的日志查询请求后,将记录的信息返回给所述应用处理子系统。
5.如权利要求2所述的手机终端,其特征在于,所述访问判别接口模块用于 在读取规则存储模块中存储的传输控制规则时,确定截取到的数据所对应的业务类型,从规则存储模块中读取该业务类型对应的传输控制规则。
6.一种防火墙监控方法,其特征在于,该方法包括 AT防火墙子系统截取MODEM子系统和应用处理子系统中任意一方发往另一方的数据;AT防火墙子系统根据预先设定的传输控制规则确定是否允许截取到的数据的传输,若允许,则将截取到的数据发给另一方,否则,拒绝将截取到的数据的发给另一方。
7.如权利要求6所述的方法,其特征在于,由所述AT防火墙子系统的访问判别接口模块截取所述MODEM子系统和所述应用处理子系统中任意一方发往另一方的数据;读取规则存储模块中存储的传输控制规则,根据读取到的传输控制规则确定是否允许截取到的数据的传输,若允许,则将截取到的数据发给另一方,否则,拒绝将截取到的数据的发给另一方。
8.如权利要求7所述的方法,其特征在于,进一步包括所述AT防火墙子系统的访问控制接口模块执行如下操作中的至少一个操作 操作一接收所述应用处理子系统发送的传输控制规则,将该传输控制规则存储在所述规则存储模块中;操作二 接收所述应用处理子系统发送的防火墙状态设置请求,根据该防火墙状态设置请求将AT防火墙子系统的状态设置为开启或关闭; 操作三接收所述应用处理子系统发送的防火墙状态查询请求,确定AT防火墙子系统的当前状态,并将确定结果返回给所述应用处理子系统。
9.如权利要求7所述的方法,其特征在于,进一步包括 所述AT防火墙子系统的日志管理接口模块记录所述访问判别接口模块允许和/或拒绝将截取到的数据发给另一方的信息;并在接收到所述应用处理子系统发送的用户发起的日志查询请求后,将记录的信息返回给所述应用处理子系统。
10.如权利要求7所述的方法,其特征在于,所述访问判别接口模块读取规则存储模块中存储的传输控制规则的步骤包括 所述访问判别接口模块确定截取到的数据所对应的业务类型,从规则存储模块中读取该业务类型对应的传输控制规则。
全文摘要
本发明实施例公开了一种手机终端及防火墙监控方法,涉及信息安全领域,用于增强手机终端上的防火墙系统的功能。本发明中,在手机终端的MODEM子系统与应用处理子系统之间设置AT防火墙子系统,AT防火墙子系统截取MODEM子系统和应用处理子系统中任意一方发往另一方的数据,根据预先设定的传输控制规则确定是否允许截取到的数据的传输,若允许,则将截取到的数据发给另一方,否则,拒绝将截取到的数据的发给另一方。采用本发明,能够增强手机终端上的防火墙系统的功能。
文档编号H04M1/725GK102769703SQ20121024854
公开日2012年11月7日 申请日期2012年7月17日 优先权日2012年7月17日
发明者张强 申请人:青岛海信移动通信技术股份有限公司