CN105721477A - 移动终端的基于iptables的控制隐私泄漏的方法与系统 - Google Patents
移动终端的基于iptables的控制隐私泄漏的方法与系统 Download PDFInfo
- Publication number
- CN105721477A CN105721477A CN201610105316.6A CN201610105316A CN105721477A CN 105721477 A CN105721477 A CN 105721477A CN 201610105316 A CN201610105316 A CN 201610105316A CN 105721477 A CN105721477 A CN 105721477A
- Authority
- CN
- China
- Prior art keywords
- data
- mobile terminal
- packet
- iptables
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及一种移动终端的基于IPTABLES的控制隐私泄漏的方法与系统,所述方法包括:构建IPTABLES的规则链,设置移动终端的数据包的传输策略;对所述的数据包进行传输的规则检查,通过规则检查的数据包可以进行数据传输,不能通过规则检测的数据包,则拒绝数据传输。所述方法与系统在启动过程中启动完整性通过检测的程序,对系统程序被恶意修改过和程序实施不启动和报告操作;在系统运行阶段实现的检测系统的安全性,对关键参数和代码作完整性度量;所述方法实现了从软硬件级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行可信衡量;实现了对移动终端进入系统时作了安全防护技术,从而提高了系统的抗攻击性。
Description
技术领域
本发明涉及通讯技术领域,尤其涉及一种移动终端的基于IPTABLES的控制隐私泄漏的方法与系统。
背景技术
在当前移动终端应用程序中,对应用在传输数据时,当涉及到权限时,系统会申请权限让用户确权,当用户确权后,数据可以传输出移动终端,没有确权时,视为安全数据,则数据可以直接传输出移动终端。
上述数据传输有可能会在传输时,造成用户私密信息泄漏的问题,如应用在获取GPS地理位置信息时,恶意应用会把移动终端中部分个人私密数据一起传输出去;在传输其他相关数据时,也在传输移动终端中的个人私密信息。
移动终端的应用在传输数据时,得到用户确权的信息当包含其他相关私密数据时,这些数据会一起传输出移动终端,并且对普通数据传输没有相关检测机制,可以直接传输出移动终端。
因此,有必要提供一种移动终端的可防止用户私密信息的泄漏的方法与系统。
发明内容
本发明提供了一种移动终端的基于IPTABLES的控制隐私泄漏的方法,包括:
S1,构建IPTABLES的规则链,设置移动终端的数据包的传输策略;
S2,对所述的数据包进行传输的规则检查,通过规则检查的数据包可以进行数据传输,不能通过规则检测的数据包,则拒绝数据传输。
进一步地,在所述步骤S1后还包括:
S3,移动终端的数据包包括个人隐私数据以及非个人隐私数据,当移动终端的数据包为个人隐私数据时,首先由用户进行判断,再根据判断结果选择是否跳到步骤S2;当移动终端的数据包为非个人隐私数据时,无需用户进行判断,直接跳到步骤S2。
进一步地,当用户判断所述个人隐私数据可以传输时,跳到步骤S2,否则直接拒绝数据传输。
进一步地,所述移动终端的数据包通过移动数据或WLAN尝试传输。
进一步地,将所述移动数据和/或WLAN网关设置进IPTABLES的规则链中,使得移动终端的数据包在通过移动数据和/或WLAN网关传输数据时,需在进行规则检查。
进一步地,所述IPTABLES的规则链包括:
S1.1,传入数据过滤;
S1.2,对移动终端的数据包进行数据包分析;
S1.3,对传出数据进行过滤。
进一步地,所述数据包分析的内容包括:通话记录、联系人、短信、密钥、安全证书、网银数据、GPS数据、帐号、密码、上网记录。
本发明提供的移动终端的基于IPTABLES的控制隐私泄漏的方法在启动过程中启动完整性通过检测的程序,对系统程序被恶意修改过和程序实施不启动和报告操作;在系统运行阶段实现的检测系统的安全性,对关键参数和代码作完整性度量;所述方法实现了从软硬件级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行可信衡量;实现了对移动终端进入系统时作了安全防护技术,从而提高了系统的抗攻击性。
附图说明
图1为本发明实施例提供的一种移动终端的基于IPTABLES的控制隐私泄漏的方法示意图。
图2为图1中移动终端的数据包经过IPTABLES规则链的示意图。
图3为本发明实施例提供的移动终端的基于IPTABLES的控制隐私泄漏系统的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本发明实施例的理解,下面将结合附图以具体实施例做进一步的解释说明,实施例并不构成对本发明实施例的限定。
图1与图2,本发明实施例提供的移动终端的基于IPTABLES的控制隐私泄漏的方法,所述方法包括如下步骤:
步骤S1,构建IPTABLES的规则链,设置移动终端的数据包的传输策略。
所述移动终端的数据包通过移动数据或WLAN尝试传输。将所述移动数据和/或WLAN网关设置进IPTABLES的规则链中,使得移动终端的数据包在通过移动数据和/或WLAN网关传输数据时,需在进行规则检查。
进一步地,所述IPTABLES的规则链包括:
S1.1,传入数据过滤;
S1.2,对移动终端的数据包进行数据包分析;
S1.3,对传出数据进行过滤。
数据包分析主要由INPUTFILTER、OUTPUTFILTER和DEA三部分组成,分析所有的数据包信息。在本实施例中,所述数据包分析的内容包括:通话记录、联系人、短信、密钥、安全证书、网银数据、GPS数据、帐号、密码、上网记录。
步骤S3,移动终端的数据包包括个人隐私数据以及非个人隐私数据,当移动终端的数据包为个人隐私数据时,首先由用户进行判断,当用户判断所述个人隐私数据可以传输时,跳到步骤S2,当移动终端的数据包为非个人隐私数据时,无需用户进行判断,直接跳到步骤S2。
步骤S2,对所述的数据包进行传输的规则检查,通过规则检查的数据包可以进行数据传输,不能通过规则检测的数据包,则拒绝数据传输。
在本实施例中,通过规则检查的数据包可以进行数据传输时,所述IPTABLES的规则如下:
$iptables-tfilter-AOUTPUT-owlan-mowner--uid-ownerapp_uid-jREJECT
$iptables-tfilter-AOUTPUT-owall-mowner--uid-ownerapp_uid-jREJECT
未通过规则检查的数据包,不能通过规则检测的数据包时,所述IPTABLE的规则如下:
$iptables-tfilter-AOUTPUT-owlan-mowner--uid-ownerapp_uid-jDROP
$iptables-tfilter-AOUTPUT-owall-mowner--uid-ownerapp_uid-jDROP.
可以理解的是,所述IPTABLES的规则链一般创建在移动终端LINUX的内核中,在数据包传入和传出之间。而移动终端可以看作是一个路由器,数据在从路由器中进行数据传输时,经过IPTABLES的规则检查,则可以把IPTABLES的规则链看作是路由器的防火墙,应用在传输数据时时,数据包在传输过程中经过IPTABLES的规则链的过程包括:
第一步,应用数据包发出请求(INPUT)。
第二步,经过路由前匹配链(PREROUTIN)。
第三步,进行所述IPTABLES的规则检查。其中,所述IPTABLES的规则检查包括:传入数据过滤(INPUTFILTER);对移动终端的数据包进行数据包分析(DEA);以及对传出数据进行过滤(OUTPUTFILTER)。
第四步,到达路由后匹配链(POSTROUTIN)。
第五步,再确认是否将数据包传输(OUTPUT)。
本发明提供的移动终端的基于IPTABLES的控制隐私泄漏的方法在启动过程中启动完整性通过检测的程序,对系统程序被恶意修改过和程序实施不启动和报告操作;在系统运行阶段实现的检测系统的安全性,对关键参数和代码作完整性度量;所述方法实现了从软硬件级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行可信衡量;实现了对移动终端进入系统时作了安全防护技术,从而提高了系统的抗攻击性。
图3,本发明实施例提供的一种移动终端的基于IPTABLES的控制隐私泄漏系统20,所述系统包括:输入模块31,处理模块32以及输出模块33。
所述输入模块31用于输入所述移动终端的数据包。所述移动终端的数据包通过移动数据或WLAN尝试传输。
所述处理模块32用于构建IPTABLES的规则链,设置移动终端的数据包的传输策略,并对所述的数据包进行传输的规则检查。将所述移动数据和/或WLAN网关设置进IPTABLES的规则链中,使得移动终端的数据包在通过移动数据和/或WLAN网关传输数据时,需在进行规则检查。在本实施例中,所述处理模块32进一步包括构建单元321与分析单元322,所述构建单元321用于构建IPTABLES的规则链,设置移动终端的数据包的传输策略,所述分析单元322用于根据所述IPTABLES的规则链对所述数据包进行数据包分析。所述数据包分析的内容包括:通话记录、联系人、短信、密钥、安全证书、网银数据、GPS数据、帐号、密码、上网记录。
所述输出模块33用于输出通过规则检查的数据包。
进一步地,在本实施例中,所述移动终端的基于IPTABLES的控制隐私泄漏系统20进一步包括用户判断单元34。所述数据包包括个人隐私数据以及非个人隐私数据。所当用户判断单元34用于接收所述输入模块31输入的数据包,所述用户判断单元34判断所述数据为个人隐私数据时,直接拒绝数据传输;当所述用户判断单元34判断所述数据为非个人隐私数据时,所述用户判断单元将所述非个人隐私数据传送至所述处理模块32。
本发明提供的移动终端的基于IPTABLES的控制隐私泄漏系统20在启动过程中启动完整性通过检测的程序,对系统程序被恶意修改过和程序实施不启动和报告操作;在系统运行阶段实现的检测系统的安全性,对关键参数和代码作完整性度量;所述方法实现了从软硬件级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行可信衡量;实现了对移动终端进入系统时作了安全防护技术,从而提高了系统的抗攻击性。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础上,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种移动终端的基于IPTABLES的控制隐私泄漏的方法,其特征在于,包括:
S1,构建IPTABLES的规则链,设置移动终端的数据包的传输策略;
S2,对所述的数据包进行传输的规则检查,通过规则检查的数据包可以进行数据传输,不能通过规则检测的数据包,则拒绝数据传输。
2.根据权利要求1所述的移动终端的基于IPTABLES的控制隐私泄漏的方法,其特征在于,在所述步骤S1后还包括:
S3,移动终端的数据包包括个人隐私数据以及非个人隐私数据,当移动终端的数据包为个人隐私数据时,首先由用户进行判断,再根据判断结果选择是否跳到步骤S2;当移动终端的数据包为非个人隐私数据时,无需用户进行判断,直接跳到步骤S2。
3.根据权利要求2所述的移动终端的基于IPTABLES的控制隐私泄漏的方法,其特征在于,当用户判断所述个人隐私数据可以传输时,跳到步骤S2,否则直接拒绝数据传输。
4.根据权利要求1所述的移动终端的基于IPTABLES的控制隐私泄漏的方法,其特征在于,将所述移动数据和/或WLAN网关设置进IPTABLES的规则链中,使得移动终端的数据包在通过移动数据和/或WLAN网关传输数据时,需在进行规则检查。
5.根据权利要求1所述的移动终端的基于IPTABLES的控制隐私泄漏的方法,其特征在于,所述IPTABLES的规则链包括:
S1.1,传入数据过滤;
S1.2,对移动终端的数据包进行数据包分析;
S1.3,对传出数据进行过滤。
6.根据权利要求5所述的移动终端的基于IPTABLES的控制隐私泄漏的方法,其特征在于,所述数据包分析的内容包括:通话记录、联系人、短信、密钥、安全证书、网银数据、GPS数据、帐号、密码、上网记录。
7.一种移动终端的基于IPTABLES的控制隐私泄漏系统,其特征在于,所述系统包括:
输入模块,用于输入所述移动终端的数据包;
处理模块,用于构建IPTABLES的规则链,设置移动终端的数据包的传输策略,并对所述的数据包进行传输的规则检查;以及
输出模块,用于输出通过规则检查的数据包。
8.根据权利要求7所述的系统,其特征在于,所述数据包包括个人隐私数据以及非个人隐私数据,所述移动终端进一步包括用户判断单元,所当用户判断单元用于接收所述输入模块输入的数据包,所述用户判断单元判断所述数据为个人隐私数据时,直接拒绝数据传输;当所述用户判断单元判断所述数据为非个人隐私数据时,所述用户判断单元将所述非个人隐私数据传送至所述处理模块。
9.根据权利要求7所述的系统,其特征在于,所述处理模块进一步包括构建单元与分析单元,所述构建单元用于构建IPTABLES的规则链,设置移动终端的数据包的传输策略,所述分析单元用于根据所述IPTABLES的规则链对所述数据包进行数据包分析。
10.根据权利要求9所述的系统,其特征在于,所述数据包分析的内容包括:通话记录、联系人、短信、密钥、安全证书、网银数据、GPS数据、帐号、密码、上网记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610105316.6A CN105721477B (zh) | 2016-02-25 | 2016-02-25 | 移动终端的基于iptables的控制隐私泄漏的方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610105316.6A CN105721477B (zh) | 2016-02-25 | 2016-02-25 | 移动终端的基于iptables的控制隐私泄漏的方法与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105721477A true CN105721477A (zh) | 2016-06-29 |
| CN105721477B CN105721477B (zh) | 2019-11-01 |
Family
ID=56157084
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610105316.6A Active CN105721477B (zh) | 2016-02-25 | 2016-02-25 | 移动终端的基于iptables的控制隐私泄漏的方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105721477B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932377A (zh) * | 2012-11-28 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种ip报文过滤方法及装置 |
| CN103309808A (zh) * | 2013-06-13 | 2013-09-18 | 中国科学院信息工程研究所 | 基于标签的安卓用户隐私泄露黑盒检测方法及系统 |
| CN103327183A (zh) * | 2013-06-13 | 2013-09-25 | 中国科学院信息工程研究所 | 基于标签的安卓用户隐私数据黑盒防护方法及系统 |
| US20140115712A1 (en) * | 2012-10-23 | 2014-04-24 | International Business Machines Corporation | Method and apparatus for generating privacy profiles |
| CN104579831A (zh) * | 2014-12-26 | 2015-04-29 | 北京网秦天下科技有限公司 | 数据传输处理方法及装置 |
| CN104754564A (zh) * | 2015-04-10 | 2015-07-01 | 上海斐讯数据通信技术有限公司 | 一种基于iptables控制使用互联网的方法 |
-
2016
- 2016-02-25 CN CN201610105316.6A patent/CN105721477B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140115712A1 (en) * | 2012-10-23 | 2014-04-24 | International Business Machines Corporation | Method and apparatus for generating privacy profiles |
| CN102932377A (zh) * | 2012-11-28 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种ip报文过滤方法及装置 |
| CN103309808A (zh) * | 2013-06-13 | 2013-09-18 | 中国科学院信息工程研究所 | 基于标签的安卓用户隐私泄露黑盒检测方法及系统 |
| CN103327183A (zh) * | 2013-06-13 | 2013-09-25 | 中国科学院信息工程研究所 | 基于标签的安卓用户隐私数据黑盒防护方法及系统 |
| CN104579831A (zh) * | 2014-12-26 | 2015-04-29 | 北京网秦天下科技有限公司 | 数据传输处理方法及装置 |
| CN104754564A (zh) * | 2015-04-10 | 2015-07-01 | 上海斐讯数据通信技术有限公司 | 一种基于iptables控制使用互联网的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105721477B (zh) | 2019-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101679578B1 (ko) | IoT 보안을 위한 제어 서비스 제공 장치 및 방법 | |
| EP3906652B1 (en) | Protecting a telecommunications network using network components as blockchain nodes | |
| CN104702584B (zh) | 一种基于自学习规则的Modbus通信访问控制方法 | |
| EP3349085A1 (en) | Secure control of unmanned vehicles | |
| RU2636640C2 (ru) | Способ защиты элементов виртуальных частных сетей связи от ddos-атак | |
| CN101416441A (zh) | 基于分层信任的姿态报告和策略实施 | |
| KR101414084B1 (ko) | 모바일 단말의 악성 어플리케이션 탐지 시스템 및 방법 | |
| CN104462970A (zh) | 一种基于进程通信的Android应用程序权限滥用检测方法 | |
| CN104244281A (zh) | 基站的检测方法和装置 | |
| KR20140022975A (ko) | 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법 | |
| CN103813334A (zh) | 权限控制方法和权限控制装置 | |
| CN106332070B (zh) | 一种安全通信方法、装置及系统 | |
| CN106888184A (zh) | 移动终端支付类应用程序安全支付方法及装置 | |
| CN113382076A (zh) | 物联网终端安全威胁分析方法及防护方法 | |
| CN107332803A (zh) | 一种基于终端主机安全状态的准入控制方法和系统 | |
| CN105721477A (zh) | 移动终端的基于iptables的控制隐私泄漏的方法与系统 | |
| CN112118578A (zh) | 一种基于伪基站蜂窝多载波通信的屏蔽系统 | |
| McGee | Evaluating the cyber security in the internet of things: Smart home vulnerabilities | |
| KHVOSTOV et al. | Security threats to personal data in the implementation of distance educational services using mobile technologies | |
| CN115174262A (zh) | 安全访问内部网络的方法、装置及电子设备 | |
| WO2019140276A1 (en) | Asserting user, app, and device binding in an unmanaged mobile device | |
| EP3163839A1 (en) | Detecting malicious applications | |
| CN118282781B (zh) | 结合云计算的网络安全检测方法及系统 | |
| Zaidan et al. | Website Vulnerability Analysis of AB and XY Office in East Java | |
| CN106888186A (zh) | 移动终端支付类应用程序安全支付方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201112 Address after: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: Hangzhou Jiji Intellectual Property Operation Co.,Ltd. Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666 Patentee before: Phicomm (Shanghai) Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20221222 Address after: Chinatelecom tower, No. 19, Chaoyangmen North Street, Dongcheng District, Beijing 100010 Patentee after: Tianyi Safety Technology Co.,Ltd. Address before: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province Patentee before: Hangzhou Jiji Intellectual Property Operation Co.,Ltd. |