基于移动设备上的防火墙软件的研究与设计.docVIP

基于移动设备上的防火墙软件的研究与设计 　　摘要：在互联网+迅速崛起的时代，人们使用终端设备进行网上购物、获取知识等，在使用终端设备进行数据信息交互的同时，也带来了很大的安全隐患，例如黑客攻击、非法监听等都可能会泄露用户的个人信息，基于终端设备的防火墙软件的设计势在必行，它能够很好的阻截一些黑客攻击和非法访问等网络行为，保证用户的使用安全。 中国论文网 /8/view-7181919.htm 　　关键词：移动终端设备 安全 防火墙软件 　　中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2015）12-0000-00 　　1 防火墙软件技术原理 　　本文所设计的防火墙软件，是以PC机为基础来进行相关研发的，在对内存资源的相关限制以及处理器自身的运行速率这两个问题上，本文使用了JNI技术，通过对数据包过滤这一个模块的调用，很好的将过滤模块中存在的性能瓶颈解决掉。主要技术介绍： （1） 监测输入数据流。监测输入数据流是防火墙的一个主要功能，它能够控制木马、病毒等恶意信息对终端设备的非法入侵。对于移动终端设备来说，网络流量属于御用的最大数据流动部分，对传输的数据进行合理的分析、匹配模式、重组数据以及分析相关协议和行为等，很好的消除了安全隐患。（2） 检测输出数据流。防火墙能够对输出数据进行实时的监测，根据判断的结果来决定数据的传输是否可行。我们可以使用数字水印这一技术来判断程序是否已经被恶意篡改。（3） 对系统文件进行防护，保障其安全。建立一个相对安全区在终端智能设备上，如果有访问行为发生，系统会自行判断所要访问的数据在不在安全区中，在安全区，这个访问行为就需要用户对其进行授权才可以进行访问，否则会禁止方位。 　　2 防火墙软件相关产品介绍 　　通过实现防火墙技术的不同，我们分成几类防火墙：包过滤、状态检测以及应用代理这三种防火墙软件。 　　应用代理类：该类型防火墙的实现是在传输层还有应用层中的，当内网的用户要对外网进行访问时，必须先将访问行为传给防火墙，由防火墙来完成对外网访问，再将结果返回给内网用户。 　　状态检测类：其原理就是对网络连接的相关状况进行检测，判断其安全与否，如果安全则允许该行为继续访问，否则拒绝。 　　本文使用的是包过滤防火墙，其优点如下：（1） 在智能终端设备中，用户通常都是访问小型的网站，包过滤的防护更加简单和便捷；（2） 在IP、TCP这个层面就可以实现相关过滤操作，所以其处理数据的相关效率要远高于其他防火墙软件。（3） 该防火墙自身的实现技术对用户来说是很方便使用的，用户不需要做什么工作就可以完成。 　　3 本文设计的防火墙软件的技术创新点 　　（1） 本文使用的JNI技术，调用了扩展之后的系统内核，解决了数据包过滤模式下的性能瓶颈这一问题。我们通过包过滤模块进行内核的扩展，再用JNI技术调用过滤模块，这一过程在应用层即可实现，这就提高了工作效率。（2）通过数字水印技术来构建数据安全区，便于对入侵检测的控制。我们将一些重要的保密信息存放在安全区内，当有外来的访问行为时，防火墙会对这些行为进行检测，还可以通过数字水印这一技术来检查安全区内的相关数据文件，一旦这些数据被恶意篡改，我么都可以检测出来。 　　4 防火墙软件的设计和实现 　　4.1数据包结构skbuff 　　在我们常用的操作系统Android中，所有的数据信息都是存储在skbuff这一结构里的，该结构包含三个数据结构： 　　一是sk_buff_data_t transport_header，该结构可以将传输层当中的报文头读取出来；二是sk_buff_data_t network_header，可以将网络层所存储的报文头读取出来；三是sk_buff_data_t mac_header，可以将MAC层李存储的报文头读取出来。skbuff这个数据包结构的主要作用就是读取出每个层中所带有的头部指针，进而我们用这些指针来找到我们要的数据。 　　4.2防火墙规则检测算法 　　本文使用了基于FDD法的这一类型的防火墙规则来对移动终端设备进行遍历检测。下文对这一规则的最初原理规则进行了介绍： 　　I 防火墙收到数据包的对应端口； D 数据包对应的目标地址； 　　S 数据包对应的源地址； P 数据包传输协议代表的类型 　　通过对已有的规则进行观察，在原始规则中有着冗余和冲突的情况，本文为解决这一问题，对规则进行了精简和完善，以原始规则为基础，先建立一个对应的多叉树，通过一步步的删减，我们将冗余以及冲突逐渐消除，最终得到图1所示的多叉树。 　　图1 精简后的多叉树 　　当防火墙接收到数据包的时候，首先会解析其自带的skbuff结构，从中解析出端口、源地址以及目的地址等相关信息；其次从根部开始遍历多叉树，