[发明专利]车载防火墙的数据处理方法、装置及车载防火墙设备

权利要求书

1.一种车载防火墙的数据处理方法，其特征在于，所述方法包括：

响应于车载应用层内应用数据包的传输，加载基于内核数据包过滤器机制实现的防火墙应用程序，其中，所述防火墙应用程序包括针对不同应用服务设置的检测子程序链，针对每种服务类型的应用数据包，配置相应协议规范的缼省安全策略和防火墙过滤规则，使得每个缼省安全策略和/或防火墙过滤规则形成一种检测子程序链；

当传输的应用数据包经过所述防火墙应用程序在数据路径中内核包过滤器流量控制子系统上挂载的触发点时，利用尾调机制调用所述防火墙应用程序中的检测子程序链，对所述应用数据包执行安全检测；

基于所述防火墙应用程序对应的返回值，对所述应用数据包执行处理动作；

所述防火墙应用程序中检测子程序链对应的顺序为可动态调整的，所述不同应用服务设置的检测子程序链适配有相应服务类型的程序索引标识，所述当传输的应用数据包经过所述防火墙应用程序在数据路径中内核包过滤器流量控制子系统上挂载的触发点时，利用尾调机制调用所述防火墙应用程序中的检测子程序链，对所述应用数据包执行安全检测，包括：

当传输的应用数据包经过所述防火墙应用程序在数据路径中内核包过滤器流量控制子系统上挂载的触发点时，根据所述传输的应用数据包所适配目标服务类型确定所述传输的应用数据包对应执行的目标程序索引标识；

根据所述目标程序索引标识调用所述防火墙应用程序中针对所述传输的应用数据包设置的目标检测子程序链；

利用所述目标检测子程序链解析所述传输的应用数据包，对所述应用数据包执行安全检测。

2.如权利要求1所述的方法，其特征在于，在所述响应于车载应用层内应用数据包的传输，加载基于内核数据包过滤器机制实现的防火墙应用程序之前，所述方法还包括：

在应用层防火墙的控制层面配置针对不同应用服务的缺省安全策略和防火墙过滤规则，并将所述缺省安全策略和防火墙过滤规则存储至数据共享空间；

当所述数据共享空间接收到应用层防火墙的数据层面的访问时，以所述数据共享空间作为传输通道，将所述缺省安全策略和防火墙过滤规则编译成使用不同应用服务的过滤字节码后下发至应用层防火墙的数据层面；

当所述数据共享空间接收到应用层防火墙的控制层面的访问时，所述数据共享空间通过读取所述应用层防火墙的数据层面更新的数据统计信息，并将所述数据统计信息上传至应用层防火墙的控制层面。

3.如权利要求2所述的方法，其特征在于，所述数据共享空间内的缺省安全策略和防火墙过滤规则按照键/值形式存储，

所述在应用层防火墙的控制层面配置针对不同应用服务的缼省安全策略和防火墙过滤规则，并将所述缺省安全策略和防火墙过滤规则存储至数据共享空间，包括：

获取应用层防火墙的控制层面中不同应用服务对应的使用场景，根据所述不同应用服务对应的使用场景在数据共享空间中创建适用不同使用场景的对象空间，并返回与所述对象空间关联的文件描述符；

在所述应用层防火墙的控制层面配置不同应用服务的缼省安全策略和防火墙过滤规则，并利用所述与所述对象空间关联的文件描述符将所述缺省安全策略和防火墙过滤规则存储至数据共享空间中相应的对象空间。

4.如权利要求3所述的方法，其特征在于，所述在所述应用层防火墙的控制层面配置不同应用服务的缼省安全策略和防火墙过滤规则，并利用所述与所述对象空间关联的文件描述符将所述缺省安全策略和防火墙过滤规则存储至数据共享空间，包括：

在所述应用层防火墙的控制层面配置不同应用服务的缼省安全策略和防火墙过滤规则，查询适用于不同应用服务存储的文件描述符；

利用所述适用于不同应用服务存储的文件描述符，将所述缺省安全策略和防火墙过滤规则存储至数据共享空间中适用于相应应用服务的对象空间。

5.如权利要求4所述的方法，其特征在于，在所述应用层防火墙的控制层面配置不同应用服务的缼省安全策略和防火墙过滤规则之后，所述方法还包括：

响应于不同应用服务的缼省安全策略和防火墙过滤规则的操作指令，利用所述与所述对象空间关联的文件描述符对相应应用服务的缼省安全策略和防火墙过滤规则执行处理操作，所述处理操作至少包括查询、添加、更新以及删除中至少一项。