專利名稱:配置防火墻的方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,尤其涉及一種配置防火墻的方法及其裝置。
背景技術(shù):
隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展��,越來越多的局域網(wǎng)被連接進(jìn)入了互聯(lián)網(wǎng)����,極大的方 便了人們對(duì)于互聯(lián)網(wǎng)的訪問。但同時(shí)針對(duì)互聯(lián)網(wǎng)中站點(diǎn)和各種內(nèi)部服務(wù)器的惡意攻擊也日 益頻繁�,這就使得接入互聯(lián)網(wǎng)的內(nèi)部網(wǎng)絡(luò)的建設(shè)者和管理者必須使用適當(dāng)?shù)姆雷o(hù)措施,提 高內(nèi)部網(wǎng)絡(luò)對(duì)來自于互聯(lián)網(wǎng)的惡意攻擊的防護(hù)能力���。防火墻技術(shù)是目前計(jì)算機(jī)網(wǎng)絡(luò)中安全 防護(hù)的最重要的手段之一����。防火墻技術(shù)主要用于保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)免受外部攻 擊�����,其基本原理是通過對(duì)IP包的過濾和轉(zhuǎn)發(fā),來防止未經(jīng)授權(quán)的外部數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)絡(luò)�����, 以及防止未經(jīng)授權(quán)的內(nèi)部數(shù)據(jù)從內(nèi)網(wǎng)發(fā)出��。防火墻設(shè)備是保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部攻擊的常用設(shè)備�����,可以將內(nèi)部網(wǎng)絡(luò)中的服務(wù) 器保護(hù)起來�,使得內(nèi)部網(wǎng)絡(luò)中的服務(wù)器僅在特定的服務(wù)端端口向外網(wǎng)提供服務(wù)。服務(wù)器提 供的服務(wù)可分為公眾服務(wù)和專用服務(wù)兩種��,前者向全網(wǎng)公眾提供服務(wù)����,如Web、IRC等����,其特 點(diǎn)是永遠(yuǎn)在線,即公眾服務(wù)一直是開放狀態(tài)����;后者是專為系統(tǒng)維護(hù)或?qū)閮?nèi)部人員提供的�����, 如遠(yuǎn)程維護(hù)��、遠(yuǎn)程配置,以及Web頁面更新等��,其特點(diǎn)是偶爾在線�����,即專用服務(wù)端口不能一 直處于開放狀態(tài)�����,專用服務(wù)端口在大多數(shù)時(shí)間里應(yīng)該處于關(guān)閉等待狀態(tài)�。對(duì)于專用服務(wù)端口的設(shè)置,目前的防火墻對(duì)專用服務(wù)端口設(shè)定為“服務(wù)常開(Open always)”狀態(tài)�����,或者“定時(shí)開放(Open on khedule) ”狀態(tài)��,第一種情況相當(dāng)于將專用服務(wù) 設(shè)定為永遠(yuǎn)在線,這樣會(huì)對(duì)內(nèi)部網(wǎng)絡(luò)造成很大的安全隱患���,惡意攻擊人員可以在任何時(shí)間 連續(xù)嘗試對(duì)服務(wù)器進(jìn)行攻擊����,而且嘗試時(shí)間幾乎是無限的����,成熟的防火墻技術(shù)很少使用該 種方式;第二種情況則缺乏靈活性��,相關(guān)維護(hù)和管理人員只能在設(shè)定的時(shí)間段登錄專用服 務(wù)器����,而且由于開放時(shí)段具有規(guī)律性,惡意攻擊人員仍然有機(jī)會(huì)進(jìn)行攻擊���。針對(duì)現(xiàn)有的防火 墻存在的安全性缺陷�,其改進(jìn)的方法包括對(duì)防火墻進(jìn)行按需配置?�,F(xiàn)有的防火墻按需配置的技術(shù)為利用IP通道實(shí)現(xiàn)防火墻的遠(yuǎn)程按需配置�,但由 于IP通道自身的安全性很差,為了能夠支持遠(yuǎn)程配置�,防火墻設(shè)備本身的配置端口必須暴 露在互聯(lián)網(wǎng)中�����,暴露的防火墻配置端口本身就將成為惡意攻擊人員的攻擊目標(biāo)��。而防火墻 的配置端口一旦被黑客攻破�����,則惡意攻擊人員就能夠隨意修改防火墻的配置�����,使得整個(gè)內(nèi) 網(wǎng)的安全性也就會(huì)喪失殆盡,造成災(zāi)難性的后果����。并且對(duì)于惡意攻擊人員來說,針對(duì)IP網(wǎng) 絡(luò)的監(jiān)聽和數(shù)據(jù)篡改都有著較低的技術(shù)門檻和技術(shù)成本��。因此現(xiàn)有的利用IP通道配置防 火墻的方法���,極大的降低了防火墻本身的安全性��。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種配置防火墻的方法及其裝置��,以有效地增強(qiáng)配置防火墻的 安全性���。
本發(fā)明實(shí)施例提供了一種配置防火墻的方法�,包括接收終端通過移動(dòng)通信網(wǎng)絡(luò) 發(fā)送的用于指示配置防火墻的命令短消息����;根據(jù)接收到的所述命令短消息,對(duì)防火墻進(jìn)行 相應(yīng)的配置�����。本發(fā)明實(shí)施例提供了一種配置防火墻的裝置�,包括命令短消息接收單元,用于接 收終端通過移動(dòng)通信網(wǎng)絡(luò)發(fā)送的用于指示配置防火墻的命令短消息��;防火墻配置單元���,用 于根據(jù)命令短消息接收單元接收到的所述命令短消息�,對(duì)防火墻進(jìn)行相應(yīng)的配置�����。本發(fā)明實(shí)施例提供的配置防火墻的方法及其裝置��,利用移動(dòng)通信系統(tǒng)中的短消息 機(jī)制來實(shí)現(xiàn)防火墻的按需配置,結(jié)合移動(dòng)通信系統(tǒng)自身較高的安全性���,有效地提高了配置 防火墻的安全性����。
圖1是本發(fā)明實(shí)施例1提供的配置防火墻的方法的流程圖���;圖2是本發(fā)明實(shí)施例2提供的配置防火墻的方法的流程圖����;圖3是本發(fā)明公開的配置防火墻的方法實(shí)際應(yīng)用的示意圖���;圖4是本發(fā)明實(shí)施例3提供的配置防火墻的裝置的示意圖;圖5是本發(fā)明實(shí)施例4提供的配置防火墻的裝置的示意圖�。
具體實(shí)施例方式本發(fā)明實(shí)施例公開了一種配置防火墻的方案,該方案利用移動(dòng)通信系統(tǒng)中的短消 息機(jī)制來實(shí)現(xiàn)防火墻的按需配置��,結(jié)合移動(dòng)通信系統(tǒng)自身較高的安全性�,有效地提高了配 置防火墻的安全性。該方案的實(shí)現(xiàn)需要在內(nèi)部網(wǎng)絡(luò)的防火墻設(shè)備上增加一套短消息模塊����, 以及相關(guān)的控制程序����。下述將結(jié)合各個(gè)附圖對(duì)本發(fā)明實(shí)施例的具體實(shí)施過程進(jìn)行說明���。本發(fā)明實(shí)施例1提供的一種配置防火墻的方法的流程圖如圖1所示�����,包括S101��、接收終端通過移動(dòng)通信網(wǎng)絡(luò)發(fā)送的用于指示配置防火墻的命令短消息�����;S102��、根據(jù)接收到的所述命令短消息�����,對(duì)防火墻進(jìn)行相應(yīng)的配置�。本發(fā)明利用短消息這一相對(duì)安全的信道來增強(qiáng)配置防火墻的安全性�,簡單易行, 而且由于發(fā)送命令短消息的終端的標(biāo)識(shí)信息(手機(jī)號(hào)碼等)是移動(dòng)網(wǎng)絡(luò)維護(hù)的核心數(shù)據(jù)����, 被惡意攻擊人員攻破的難度非常大���,并且該標(biāo)識(shí)信息也難以偽造,所以利用短消息進(jìn)行防 火墻配置的方法就具有了天然的安全性�。因此本發(fā)明實(shí)施例1提供的配置防火墻的方法使 得配置防火墻的安全性獲得了極大的提高。如果進(jìn)一步在配置防火墻過程中增加一些提 高安全性的措施�����,如對(duì)終端進(jìn)行認(rèn)證�����、對(duì)客戶端IP地址或者端口號(hào)和IP地址進(jìn)行限制和檢 測(cè)���、對(duì)專用服務(wù)端口進(jìn)行外部端口隨機(jī)映射�、對(duì)短消息內(nèi)容進(jìn)行加密等����,就會(huì)進(jìn)一步配置防 火墻的安全性���。能夠有效地提高了防火墻的專用服務(wù)端口的安全性�����,使得服務(wù)器的專用服 務(wù)從全時(shí)間段�����、面向全網(wǎng)變成了時(shí)間特定����、客戶特定的方式,進(jìn)而使得服務(wù)器的安全性也得 到極大地提高����。本發(fā)明實(shí)施例2在實(shí)施例1提供的配置防火墻的方法基礎(chǔ)上,提供了一種具有更 高安全性的配置防火墻方法��,具體應(yīng)用流程�,如圖2所示,包括S201����、防火墻的短消息模塊接收用戶通過特定終端發(fā)送的包含有預(yù)約認(rèn)證請(qǐng)求的 預(yù)約短消息;
S202���、判斷出該終端的標(biāo)識(shí)信息被記錄在“白名單”中時(shí)�����,則通過短消息模塊發(fā)送 一個(gè)要求認(rèn)證短消息到該終端�,該要求認(rèn)證短消息可以包含有一個(gè)認(rèn)證隨機(jī)數(shù);該認(rèn)證隨 機(jī)數(shù)是隨機(jī)產(chǎn)生的�,用于對(duì)該終端進(jìn)行認(rèn)證;“白名單”是一個(gè)預(yù)先存儲(chǔ)了可信終端的標(biāo)識(shí)信息的記錄�,并且該“白名單”至少包 含有一條記錄內(nèi)容;發(fā)送預(yù)約短消息的終端的標(biāo)識(shí)信息可以是手機(jī)號(hào)����,或者客戶識(shí)別模塊 (Subscriber Identity Module, SIM)的卡號(hào)等。S203����、終端收到防火墻的短消息模塊發(fā)送的要求認(rèn)證短消息后,發(fā)送一個(gè)反饋短 消息給防火墻����,如果該要求認(rèn)真短消息攜帶有認(rèn)證隨機(jī)數(shù),則終端用預(yù)先指定的加密方式 對(duì)該認(rèn)證隨機(jī)數(shù)進(jìn)行加密處理����,并將得到的加密結(jié)果置于反饋短消息中�����;S204、防火墻的短消息模塊收到反饋短消息后�����,如果反饋短消息中包含有對(duì)隨機(jī) 數(shù)的加密結(jié)果����,則將該反饋短消息攜帶的終端加密認(rèn)證隨機(jī)數(shù)得到的加密結(jié)果與本地利用 預(yù)先指定的加密方式加密同一個(gè)認(rèn)證隨機(jī)數(shù)得到的加密結(jié)果進(jìn)行比對(duì),若二者相同�,則表 示手機(jī)通過認(rèn)證。發(fā)送一個(gè)認(rèn)證通過短消息到終端�����,指示終端可以發(fā)出命令短消息���;實(shí)施例2的以上步驟是防火墻對(duì)終端的認(rèn)證過程��,該認(rèn)證過程主要是利用了短消 息交互的方式實(shí)現(xiàn)的����,有效地提高了認(rèn)證過程的安全性,甚至可以消除惡意攻擊人員通過 偽裝移動(dòng)終端的標(biāo)識(shí)信息�����,發(fā)送命令短消息�,導(dǎo)致防火墻打開專用服務(wù)端口的可能性,充分 保證了短消息配置防火墻的安全性�。在實(shí)際應(yīng)用中對(duì)終端的認(rèn)證方式可以不局限于這一種 方法,當(dāng)然對(duì)終端的認(rèn)證過程也不是必須的�����。S205��、終端發(fā)出命令短消息�����,命令防火墻打開專用服務(wù)所對(duì)應(yīng)的專用服務(wù)端口 �;為 提高安全性,短消息指令可以包括用戶登錄專用服務(wù)端口將要使用的網(wǎng)絡(luò)終端的IP地址�, 或者包含網(wǎng)絡(luò)終端的IP地址和端口號(hào);并且終端發(fā)出的命令短消息內(nèi)容也可以進(jìn)行加密���;S206�、防火墻的短消息模塊收到該命令短消息后,驗(yàn)證命令短消息中攜帶的終端 包含的命令要求是否符合防火墻自身的安全管理策略����,若符合則對(duì)防火墻進(jìn)行相應(yīng)的配 置����,打開指定的專用服務(wù)端口 ;如果該命令短消息包括有用戶的IP地址�,則設(shè)定防火墻開 放的指定的專用服務(wù)端口可以允許來自該IP地址的網(wǎng)絡(luò)終端的連接,即將該用戶的IP地 址加入到允許訪問該專用服務(wù)端口的可信IP地址信息的記錄中����;并且防火墻可以將專用 服務(wù)端口映射到隨機(jī)的外部端口上,以增加惡意攻擊用戶的攻擊的難度�;如果短消息內(nèi)容 經(jīng)過加密,還包括首先對(duì)短消息內(nèi)容進(jìn)行解密處理�。S207、端口打開后��,防火墻通過短消息模塊向用戶的終端發(fā)出一個(gè)提示短消息��;提 示用戶專用服務(wù)端口已經(jīng)開放�����。該提示短消息還可以包含一個(gè)驗(yàn)證碼,這個(gè)驗(yàn)證碼用于對(duì) 用戶網(wǎng)絡(luò)終端的IP連接進(jìn)行確認(rèn)���,在用戶網(wǎng)絡(luò)終端要求連接到該專用服務(wù)端口時(shí)����,首先要 發(fā)送該驗(yàn)證碼�,在IP通道上進(jìn)行一次認(rèn)證;若專用服務(wù)端口被映射到隨機(jī)外部端口���,則該 提示短消息的內(nèi)容還需要包括該隨機(jī)外部端口號(hào)�����;實(shí)施例2的上述步驟已經(jīng)實(shí)現(xiàn)了配置防火墻的方法��。但是作為一個(gè)用戶訪問防火 墻專用服務(wù)端口的完整過程����,還包括以下步驟S208�����、用戶收到確認(rèn)短消息后��,使用網(wǎng)絡(luò)終端連接防火墻的專用服務(wù)端口 ;若收到 驗(yàn)證碼��,則需要在連接客戶端之前通過IP通道發(fā)送驗(yàn)證碼����,以便防火墻對(duì)該IP連接進(jìn)行確 認(rèn);若收到隨機(jī)外部端口號(hào)��,則使用客戶端通過IP連接到該外部端口 ��;S209��、用戶使用專用服務(wù)端口結(jié)束后�,斷開與專用服務(wù)端口的連接�����;
S210��、防火墻檢測(cè)到專用服務(wù)端口的連接斷開后����,關(guān)閉專用服務(wù)端口,使專用服務(wù) 進(jìn)入“關(guān)閉”狀態(tài)��。實(shí)施例2提供的配置防火墻的方法實(shí)現(xiàn)了對(duì)防火墻的專用服務(wù)端口的配置。根據(jù) 終端發(fā)送的命令的不同�,可以實(shí)現(xiàn)對(duì)防火墻的不同配置,如關(guān)閉已開啟的專用服務(wù)端口���、打 開IP配置通道��、撤銷防火墻的安全監(jiān)控或者設(shè)定防火墻安全級(jí)別等等���。對(duì)應(yīng)于本發(fā)明實(shí)施例2的一個(gè)實(shí)際應(yīng)用的例子如圖3所示,圖中以一塊墻體示意 防火墻系統(tǒng)���,如301所示���,在常規(guī)狀態(tài)下防火墻的專用服務(wù)端口都是關(guān)閉的,任何對(duì)專用服 務(wù)端口的訪問都是無法實(shí)現(xiàn)的��,防火墻對(duì)內(nèi)部的網(wǎng)絡(luò)和服務(wù)器提供一個(gè)很好的保護(hù)����。如302 所示,當(dāng)維護(hù)人員或者特定用戶需要使用專用服務(wù)端口時(shí)���,通過手機(jī)發(fā)送預(yù)約認(rèn)證請(qǐng)求�����,通 過認(rèn)證后����,命令防火墻打開相應(yīng)的專用服務(wù)端口 3389和端口 5900,防火墻接到命令短消息 后���,將上述的兩個(gè)端口打開���,并發(fā)送一個(gè)提示短消息��,維護(hù)人員或者特定用戶接到這個(gè)提示 短消息后��,就可以通過IP通道訪問端口 3389和端口 5900����。而此時(shí)其他專用服務(wù)端口人就 對(duì)外關(guān)閉,實(shí)現(xiàn)了對(duì)防火墻的按需配置����。如303所示,維護(hù)人員或者特定用戶執(zhí)行對(duì)防火墻 系統(tǒng)或者內(nèi)部網(wǎng)絡(luò)服務(wù)器的操作��,而惡意用戶對(duì)防火墻其他端口的攻擊不起任何作用。在 完成相應(yīng)的操作之后���,維護(hù)人員或者特定用戶斷開與上述兩個(gè)端口的IP連接����。如304所示����, 防火墻檢測(cè)到專用服務(wù)端口的相應(yīng)的IP連接斷開后,關(guān)閉端口 3389和端口 5900�����。使得內(nèi) 部網(wǎng)絡(luò)服務(wù)器停止對(duì)外提供專用服務(wù)�,重新進(jìn)入防火墻的保護(hù)狀態(tài)。對(duì)應(yīng)于本發(fā)明實(shí)施例1提供的配置防火墻的方法�,本發(fā)明實(shí)施例3提供了一種配 置防火墻的裝置,如圖4所示�����,包括命令短消息接收單元401����,用于接收終端通過移動(dòng)通信網(wǎng)絡(luò)發(fā)送的用于指示配置 防火墻的命令短消息����;防火墻配置單元402�,用于根據(jù)命令短消息接收單元401接收到的所述命令短消 息,對(duì)防火墻進(jìn)行相應(yīng)的配置�。本發(fā)明利用短消息這一相對(duì)安全的信道來增強(qiáng)配置防火墻的安全性,簡單易行�����, 而且由于發(fā)送短消息的終端的標(biāo)識(shí)信息(手機(jī)號(hào)碼等)是移動(dòng)網(wǎng)絡(luò)維護(hù)的核心數(shù)據(jù)����,被惡 意攻擊人員攻破的難度非常大,并且該標(biāo)識(shí)信息也難以偽造����,所以利用短消息進(jìn)行防火墻 配置的方法就具有了天然的安全性���。但是對(duì)于終端的標(biāo)識(shí)信息的偽造��,還可能導(dǎo)致防火墻 的專用服務(wù)端口意外打開的情況出現(xiàn)��。為此��,本發(fā)明實(shí)施例4提供了一種具有更高安全性 的配置防火墻的裝置�,如圖5所示,包括終端認(rèn)證單元51�����,用于在命令短消息接收單元52接收所述命令短消息之前�,對(duì)發(fā) 送所述短消息的終端通過認(rèn)證。預(yù)約短消息接收子單元511�����,用于接收終端發(fā)送的包含有預(yù)約認(rèn)證請(qǐng)求的預(yù)約短 消息���;第一判斷子單元512���,用于在要求認(rèn)證短消息發(fā)送子單元513向所述終端發(fā)送要 求認(rèn)證短消息之前,判斷出預(yù)先存儲(chǔ)的可信終端的標(biāo)識(shí)信息記錄中包含有發(fā)送預(yù)約短消息 的終端的標(biāo)識(shí)信息��。要求認(rèn)證短消息發(fā)送子單元513��,用于向所述終端發(fā)送攜帶有認(rèn)證隨機(jī)數(shù)的要求 認(rèn)證短消息�����;反饋短消息接收子單元514,用于接收所述終端返回的反饋短消息��,所述反饋短消息中攜帶有所述終端在接收到要求認(rèn)證短消息后���,對(duì)要求認(rèn)證短消息中攜帶的所述認(rèn)證隨 機(jī)數(shù)按照預(yù)先指定的加密方式進(jìn)行加密得到的加密結(jié)果�����;第二判斷子單元515���,用于在判斷出接收到的反饋短消息中攜帶的所述加密結(jié)果, 與本地對(duì)所述認(rèn)證隨機(jī)數(shù)利用所述預(yù)先指定的加密方式進(jìn)行加密得到的加密結(jié)果相同���;認(rèn)證通過短消息發(fā)送子單元516����,用于在確認(rèn)對(duì)所述終端通過認(rèn)證時(shí)�,向所述終端 發(fā)送認(rèn)證通過短消息��。命令短消息接收單元52���,用于接收終端通過移動(dòng)通信網(wǎng)絡(luò)發(fā)送的用于指示配置防 火墻的命令短消息�����;防火墻配置單元53����,用于根據(jù)命令短消息接收單元52接收到的所述命令短消息, 對(duì)防火墻進(jìn)行相應(yīng)的配置�����;防火墻配置單元53還包括專用服務(wù)端口開啟子單元531�����,用于開啟所述防火墻的專用服務(wù)端口�����。提示短消息發(fā)送單元M����,用于在專用服務(wù)端口開啟單元53開啟防火墻的專用服 務(wù)端口之后,向所述終端發(fā)送專用服務(wù)端口已開啟的提示短消息�。實(shí)施例4提供的配置防火墻的裝置實(shí)現(xiàn)了對(duì)防火墻的專用服務(wù)端口的配置����。根據(jù) 命令短消息接收單元52接收的命令短消息的不同����,防火墻配置單元53可以實(shí)現(xiàn)對(duì)防火墻 的不同配置,相應(yīng)的也將包含不同的子單元��,實(shí)現(xiàn)不同的功能如關(guān)閉已開啟的專用服務(wù)端 口�、打開IP配置通道、撤銷防火墻的安全監(jiān)控或者設(shè)定防火墻安全級(jí)別等等�。顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精 神和范圍����。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍 之內(nèi)�����,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)����。
權(quán)利要求
1.一種配置防火墻的方法,其特征在于�,包括接收終端通過移動(dòng)通信網(wǎng)絡(luò)發(fā)送的用于指示配置防火墻的命令短消息;根據(jù)接收到的所述命令短消息���,對(duì)防火墻進(jìn)行相應(yīng)的配置��。
2.如權(quán)利要求1所述的方法�����,其特征在于����,所述對(duì)防火墻進(jìn)行相應(yīng)的配置包括開啟防 火墻的專用服務(wù)端口�����。
3.如權(quán)利要求1所述的方法���,其特征在于����,在接收所述命令短消息之前�����,還包括對(duì)發(fā) 送所述命令短消息的終端通過認(rèn)證。
4.如權(quán)利要求3所述的方法�,其特征在于,對(duì)發(fā)送所述命令短消息的終端通過認(rèn)證具 體包括接收終端發(fā)送的包含有預(yù)約認(rèn)證請(qǐng)求的預(yù)約短消息��;并在判斷出預(yù)先存儲(chǔ)的可信終端的標(biāo)識(shí)信息記錄中包含有發(fā)送預(yù)約短消息的終端的標(biāo) 識(shí)信息時(shí)�����,發(fā)送認(rèn)證通過短消息到發(fā)送預(yù)約短消息的終端���。
5.如權(quán)利要求3所述的方法����,其特征在于�,對(duì)發(fā)送所述命令短消息的終端通過認(rèn)證具 體包括接收終端發(fā)送的包含有預(yù)約認(rèn)證請(qǐng)求的預(yù)約短消息;并向所述終端發(fā)送攜帶有認(rèn)證隨機(jī)數(shù)的要求認(rèn)證短消息��;接收所述終端返回的反饋短消息�����,所述反饋短消息中攜帶有所述終端在接收到要求認(rèn) 證短消息后���,對(duì)要求認(rèn)證短消息中攜帶的所述認(rèn)證隨機(jī)數(shù)按照預(yù)先指定的加密方式進(jìn)行加 密得到的加密結(jié)果����;并在判斷出接收到的反饋短消息中攜帶的所述加密結(jié)果,與本地對(duì)所述認(rèn)證隨機(jī)數(shù)利用 所述預(yù)先指定的加密方式進(jìn)行加密得到的加密結(jié)果相同時(shí)��,發(fā)送認(rèn)證通過短消息到發(fā)送預(yù) 約短消息的終端���。
6.如權(quán)利要求5所述的方法,其特征在于�����,在向所述終端發(fā)送要求認(rèn)證短消息之前�����,還 包括判斷出預(yù)先存儲(chǔ)的可信終端的標(biāo)識(shí)信息記錄中包含有發(fā)送預(yù)約短消息的終端的標(biāo)識(shí) fn息ο
7.如權(quán)利要求2所述的方法�,其特征在于,所述命令短消息中包含有用戶用于訪問所 述專用服務(wù)端口的網(wǎng)絡(luò)標(biāo)識(shí)信息���;并且在開啟所述防火墻的專用服務(wù)端口之后�����,還包括將所述網(wǎng)絡(luò)標(biāo)識(shí)信息添加到允許訪問所述專用服務(wù)端口的可信網(wǎng)絡(luò)標(biāo)識(shí)信息記錄中��。
8.如權(quán)利要求2所述的方法���,其特征在于��,在開啟防火墻的專用服務(wù)端口之后�,還包 括向所述終端發(fā)送專用服務(wù)端口已開啟的提示短消息�����。
9.一種配置防火墻的裝置�,其特征在于,包括命令短消息接收單元���,用于接收終端通過移動(dòng)通信網(wǎng)絡(luò)發(fā)送的用于指示配置防火墻的 命令短消息���;防火墻配置單元,用于根據(jù)命令短消息接收單元接收到的所述命令短消息����,對(duì)防火墻 進(jìn)行相應(yīng)的配置。
10.如權(quán)利要求9所述的裝置�,其特征在于,所述防火墻配置單元包括專用服務(wù)端口開啟子單元,用于開啟所述防火墻的專用服務(wù)端口����。
11.如權(quán)利要求9所述的裝置,其特征在于�,在命令短消息接收單元接收所述命令短消 息之前,還包括終端認(rèn)證單元�,用于在命令短消息接收單元接收所述命令短消息之前,對(duì)發(fā)送所述命 令短消息的終端通過認(rèn)證�。
12.如權(quán)利要求11所述的裝置�,其特征在于,所述終端認(rèn)證單元具體包括預(yù)約短消息接收子單元���,用于接收終端發(fā)送的包含有預(yù)約認(rèn)證請(qǐng)求的預(yù)約短消息����; 判斷子單元�,用于在預(yù)約短消息接收子單元接收到預(yù)約短消息后,判斷出預(yù)先存儲(chǔ)的 可信終端的標(biāo)識(shí)信息記錄中包含有發(fā)送預(yù)約短消息的終端的標(biāo)識(shí)信息�;認(rèn)證通過短消息發(fā)送子單元,用于發(fā)送認(rèn)證通過短消息到發(fā)送預(yù)約短消息的終端���。
13.如權(quán)利要求11所述的裝置����,其特征在于,所述終端認(rèn)證單元具體包括預(yù)約短消息接收子單元��,用于接收終端發(fā)送的包含有預(yù)約認(rèn)證請(qǐng)求的預(yù)約短消息��; 要求認(rèn)證短消息發(fā)送子單元�����,用于在預(yù)約短消息接收子單元接收到預(yù)約短消息后�����,向 所述終端發(fā)送攜帶有認(rèn)證隨機(jī)數(shù)的要求認(rèn)證短消息�����;反饋短消息接收子單元����,用于接收所述終端返回的反饋短消息,所述反饋短消息中攜 帶有所述終端在接收到要求認(rèn)證短消息后��,對(duì)要求認(rèn)證短消息中攜帶的所述認(rèn)證隨機(jī)數(shù)按 照預(yù)先指定的加密方式進(jìn)行加密得到的加密結(jié)果��;第二判斷子單元,用于在判斷出接收到的反饋短消息中攜帶的所述加密結(jié)果�����,與本地 對(duì)所述認(rèn)證隨機(jī)數(shù)利用所述預(yù)先指定的加密方式進(jìn)行加密得到的加密結(jié)果相同����;認(rèn)證通過短消息發(fā)送子單元,用于發(fā)送認(rèn)證通過短消息到發(fā)送預(yù)約短消息的終端�����。
全文摘要
本發(fā)明實(shí)施例提供了一種配置防火墻的方法及其裝置����,該方法包括接收終端通過移動(dòng)通信網(wǎng)絡(luò)發(fā)送的用于指示配置防火墻的命令短消息�;根據(jù)接收到的所述命令短消息,對(duì)防火墻進(jìn)行相應(yīng)的配置��。本發(fā)明公開的方案利用移動(dòng)通信系統(tǒng)中的短消息機(jī)制來實(shí)現(xiàn)防火墻的按需配置��,結(jié)合移動(dòng)通信系統(tǒng)自身較高的安全性��,有效地提高了配置防火墻的安全性�。
文檔編號(hào)H04W4/14GK102055742SQ20091021144
公開日2011年5月11日 申請(qǐng)日期2009年11月10日 優(yōu)先權(quán)日2009年11月10日
發(fā)明者叢才巍, 任輝明, 劉光遠(yuǎn), 孫鳳武, 張弘毅, 徐 明, 楊光宇, 王金星, 甘雷, 裴忠國, 謝麗娜, 鄭光華, 韓曉宇 申請(qǐng)人:中國移動(dòng)通信集團(tuán)吉林有限公司