[发明专利]基于Android平台的防火墙系统及其构建方法

权利要求书

1.一种基于Android平台的防火墙系统，其特征在于，包括：

数据包相关信息获取单元，用以获取防火墙规则中所要求过滤的信息域；

防火墙规则形式化表示单元，用以对防火墙规则进行形式化描述；

防火墙规则异常分类单元，用以对防火墙规则异常情况进行描述；

防火墙规则异常分析单元，用以对防火墙规则出现的异常进行处理；以及

数据包过滤实施单元，用以对数据包按照防火墙规则进行过滤。

2.如权利要求1所述的防火墙系统，其特征在于，该数据包相关信息获取单元是直接调用Android内核相关函数以获取防火墙规则中所要求过滤的信息域。

3.如权利要求1所述的防火墙系统，其特征在于，该防火墙规则形式化表示单元将防火墙规则抽象为三部分：规则序号、过滤域和动作域。

4.如权利要求3所述的防火墙系统，其特征在于，该规则序号是一条规则在访问控制列表中的位置标识；该过滤域可由多个子域构成，子域类型包括：协议类型、源IP地址、源端口号、目标IP地址和目标端口号；该动作域包括：接受和拒绝。

5.如权利要求3所述的防火墙系统，其特征在于，每一条防火墙规则可以被形式化描述为：<规则序号，协议类型，源IP地址，源端口号，目标IP地址，目标端口号，动作>，记为：R < R[1]，R[2]，R[3]，R[4]，R[5] ，R[6]，R[7] >。

6.如权利要求1所述的防火墙系统，其特征在于，该防火墙规则异常分类单元将出现的异常分为四类：屏蔽异常、冲突异常、冗余异常和重叠异常。

7.如权利要求6所述的防火墙系统，其特征在于，该防火墙规则异常分类单元给出下列定义：规则R过滤域中的所有子域的笛卡尔积称为R所匹配的数据包集合，记

为：{R} = R[2]                                                 R[3] R[4] R[5] R[6]；

若{Rx}{Ry}，则规则Rx与规则Ry是相关的，否则是不相关的；

若{Ry}{Rx}，Rx[1]<Ry[1]且Rx[7]Ry[7]，则称Ry被Rx屏蔽；

若Rx与Ry相关，{Ry}{Rx}，Rx[7]Ry[7]，则称Ry与Rx冲突；

若{Ry}{Rx}，Rx[1]<Ry[1]且Rx[7]=Ry[7]，则称Ry是冗余的；

若Rx与Ry相关，{Ry}{Rx}，Rx[7]=Ry[7]，则称Ry与Rx重叠。

8.如权利要求1所述的防火墙系统，其特征在于，该防火墙规则异常分析单元给出定义：Rinter[k]=Rx[k]Ry[k]，2k6，{ Rinter }= RxRy，

k(2k6)，Rinter[k]，则Rx与Ry相关；

该防火墙规则异常分析单元处理两条规则之间异常是通过计算两条规则匹配数据包集合的差集并写出与差集相匹配的新规则的；

该防火墙规则异常分析单元首先对所有的防火墙规则按照协议类型进行分类，在每一类中按照规则序号的先后顺序重复执行两条规则之间异常的处理，直到处理完所有两两规则异常。

9.如权利要求1所述的防火墙系统，其特征在于，该数据包过滤实施单元将经过规则异常处理的防火墙规则建立为多叉树，然后依据数据包相关信息深度优先遍历该多叉树，直到遍历到一枝的叶子，从而确定是否传输该数据包。

10.一种如权利要求1至9任一所述的防火墙系统的构建方法，其特征在于，包括：利用Android硬件抽象层进行开发，将防火墙的实现编译成动态链接库，并挂载到系统，供上层应用程序依靠JNI机制调用。