CN105721477B - 移动终端的基于iptables的控制隐私泄漏的方法与系统 - Google Patents
移动终端的基于iptables的控制隐私泄漏的方法与系统 Download PDFInfo
- Publication number
- CN105721477B CN105721477B CN201610105316.6A CN201610105316A CN105721477B CN 105721477 B CN105721477 B CN 105721477B CN 201610105316 A CN201610105316 A CN 201610105316A CN 105721477 B CN105721477 B CN 105721477B
- Authority
- CN
- China
- Prior art keywords
- data
- data packet
- mobile terminal
- iptables
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例涉及一种移动终端的基于IPTABLES的控制隐私泄漏的方法与系统,所述方法包括:构建IPTABLES的规则链,设置移动终端的数据包的传输策略;对所述的数据包进行传输的规则检查,通过规则检查的数据包可以进行数据传输,不能通过规则检测的数据包,则拒绝数据传输。所述方法与系统在启动过程中启动完整性通过检测的程序,对系统程序被恶意修改过和程序实施不启动和报告操作;在系统运行阶段实现的检测系统的安全性,对关键参数和代码作完整性度量;所述方法实现了从软硬件级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行可信衡量;实现了对移动终端进入系统时作了安全防护技术,从而提高了系统的抗攻击性。
Description
技术领域
本发明涉及通讯技术领域,尤其涉及一种移动终端的基于IPTABLES的控制隐私泄漏的方法与系统。
背景技术
在当前移动终端应用程序中,对应用在传输数据时,当涉及到权限时,系统会申请权限让用户确权,当用户确权后,数据可以传输出移动终端,没有确权时,视为安全数据,则数据可以直接传输出移动终端。
上述数据传输有可能会在传输时,造成用户私密信息泄漏的问题,如应用在获取GPS地理位置信息时,恶意应用会把移动终端中部分个人私密数据一起传输出去;在传输其他相关数据时,也在传输移动终端中的个人私密信息。
移动终端的应用在传输数据时,得到用户确权的信息当包含其他相关私密数据时,这些数据会一起传输出移动终端,并且对普通数据传输没有相关检测机制,可以直接传输出移动终端。
因此,有必要提供一种移动终端的可防止用户私密信息的泄漏的方法与系统。
发明内容
本发明提供了一种移动终端的基于IPTABLES的控制隐私泄漏的方法,包括:
S1,构建IPTABLES的规则链,设置移动终端的数据包的传输策略;
S2,对所述的数据包进行传输的规则检查,通过规则检查的数据包可以进行数据传输,不能通过规则检测的数据包,则拒绝数据传输。
进一步地,在所述步骤S1后还包括:
S3,移动终端的数据包包括个人隐私数据以及非个人隐私数据,当移动终端的数据包为个人隐私数据时,首先由用户进行判断,再根据判断结果选择是否跳到步骤S2;当移动终端的数据包为非个人隐私数据时,无需用户进行判断,直接跳到步骤S2。
进一步地,当用户判断所述个人隐私数据可以传输时,跳到步骤S2,否则直接拒绝数据传输。
进一步地,所述移动终端的数据包通过移动数据或WLAN尝试传输。
进一步地,将所述移动数据和/或WLAN网关设置进IPTABLES的规则链中,使得移动终端的数据包在通过移动数据和/或WLAN网关传输数据时,需在进行规则检查。
进一步地,所述IPTABLES的规则链包括:
S1.1,传入数据过滤;
S1.2,对移动终端的数据包进行数据包分析;
S1.3,对传出数据进行过滤。
进一步地,所述数据包分析的内容包括:通话记录、联系人、短信、密钥、安全证书、网银数据、GPS数据、帐号、密码、上网记录。
本发明提供的移动终端的基于IPTABLES的控制隐私泄漏的方法在启动过程中启动完整性通过检测的程序,对系统程序被恶意修改过和程序实施不启动和报告操作;在系统运行阶段实现的检测系统的安全性,对关键参数和代码作完整性度量;所述方法实现了从软硬件级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行可信衡量;实现了对移动终端进入系统时作了安全防护技术,从而提高了系统的抗攻击性。
附图说明
图1为本发明实施例提供的一种移动终端的基于IPTABLES的控制隐私泄漏的方法示意图。
图2为图1中移动终端的数据包经过IPTABLES规则链的示意图。
图3为本发明实施例提供的移动终端的基于IPTABLES的控制隐私泄漏系统的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本发明实施例的理解,下面将结合附图以具体实施例做进一步的解释说明,实施例并不构成对本发明实施例的限定。
图1与图2,本发明实施例提供的移动终端的基于IPTABLES的控制隐私泄漏的方法,所述方法包括如下步骤:
步骤S1,构建IPTABLES的规则链,设置移动终端的数据包的传输策略。
所述移动终端的数据包通过移动数据或WLAN尝试传输。将所述移动数据和/或WLAN网关设置进IPTABLES的规则链中,使得移动终端的数据包在通过移动数据和/或WLAN网关传输数据时,需在进行规则检查。
进一步地,所述IPTABLES的规则链包括:
S1.1,传入数据过滤;
S1.2,对移动终端的数据包进行数据包分析;
S1.3,对传出数据进行过滤。
数据包分析主要由INPUTFILTER、OUTPUTFILTER和DEA三部分组成,分析所有的数据包信息。在本实施例中,所述数据包分析的内容包括:通话记录、联系人、短信、密钥、安全证书、网银数据、GPS数据、帐号、密码、上网记录。
步骤S3,移动终端的数据包包括个人隐私数据以及非个人隐私数据,当移动终端的数据包为个人隐私数据时,首先由用户进行判断,当用户判断所述个人隐私数据可以传输时,跳到步骤S2,当移动终端的数据包为非个人隐私数据时,无需用户进行判断,直接跳到步骤S2。
步骤S2,对所述的数据包进行传输的规则检查,通过规则检查的数据包可以进行数据传输,不能通过规则检测的数据包,则拒绝数据传输。
在本实施例中,通过规则检查的数据包可以进行数据传输时,所述IPTABLES的规则如下:
$iptables-t filter-A OUTPUT-o wlan-m owner--uid-owner app_uid-jREJECT
$iptables-t filter-A OUTPUT-o wall-m owner--uid-owner app_uid-jREJECT
未通过规则检查的数据包,不能通过规则检测的数据包时,所述IPTABLE的规则如下:
$iptables-t filter-A OUTPUT-o wlan-m owner--uid-owner app_uid-j DROP
$iptables-t filter-A OUTPUT-o wall-m owner--uid-owner app_uid-j DROP.
可以理解的是,所述IPTABLES的规则链一般创建在移动终端LINUX的内核中,在数据包传入和传出之间。而移动终端可以看作是一个路由器,数据在从路由器中进行数据传输时,经过IPTABLES的规则检查,则可以把IPTABLES的规则链看作是路由器的防火墙,应用在传输数据时时,数据包在传输过程中经过IPTABLES的规则链的过程包括:
第一步,应用数据包发出请求(INPUT)。
第二步,经过路由前匹配链(PREROUTIN)。
第三步,进行所述IPTABLES的规则检查。其中,所述IPTABLES的规则检查包括:传入数据过滤(INPUTFILTER);对移动终端的数据包进行数据包分析(DEA);以及对传出数据进行过滤(OUTPUTFILTER)。
第四步,到达路由后匹配链(POSTROUTIN)。
第五步,再确认是否将数据包传输(OUTPUT)。
本发明提供的移动终端的基于IPTABLES的控制隐私泄漏的方法在启动过程中启动完整性通过检测的程序,对系统程序被恶意修改过和程序实施不启动和报告操作;在系统运行阶段实现的检测系统的安全性,对关键参数和代码作完整性度量;所述方法实现了从软硬件级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行可信衡量;实现了对移动终端进入系统时作了安全防护技术,从而提高了系统的抗攻击性。
图3,本发明实施例提供的一种移动终端的基于IPTABLES的控制隐私泄漏系统20,所述系统包括:输入模块31,处理模块32以及输出模块33。
所述输入模块31用于输入所述移动终端的数据包。所述移动终端的数据包通过移动数据或WLAN尝试传输。
所述处理模块32用于构建IPTABLES的规则链,设置移动终端的数据包的传输策略,并对所述的数据包进行传输的规则检查。将所述移动数据和/或WLAN网关设置进IPTABLES的规则链中,使得移动终端的数据包在通过移动数据和/或WLAN网关传输数据时,需在进行规则检查。在本实施例中,所述处理模块32进一步包括构建单元321与分析单元322,所述构建单元321用于构建IPTABLES的规则链,设置移动终端的数据包的传输策略,所述分析单元322用于根据所述IPTABLES的规则链对所述数据包进行数据包分析。所述数据包分析的内容包括:通话记录、联系人、短信、密钥、安全证书、网银数据、GPS数据、帐号、密码、上网记录。
所述输出模块33用于输出通过规则检查的数据包。
进一步地,在本实施例中,所述移动终端的基于IPTABLES的控制隐私泄漏系统20进一步包括用户判断单元34。所述数据包包括个人隐私数据以及非个人隐私数据。所当用户判断单元34用于接收所述输入模块31输入的数据包,所述用户判断单元34判断所述数据为个人隐私数据时,直接拒绝数据传输;当所述用户判断单元34判断所述数据为非个人隐私数据时,所述用户判断单元将所述非个人隐私数据传送至所述处理模块32。
本发明提供的移动终端的基于IPTABLES的控制隐私泄漏系统20在启动过程中启动完整性通过检测的程序,对系统程序被恶意修改过和程序实施不启动和报告操作;在系统运行阶段实现的检测系统的安全性,对关键参数和代码作完整性度量;所述方法实现了从软硬件级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行可信衡量;实现了对移动终端进入系统时作了安全防护技术,从而提高了系统的抗攻击性。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础上,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种移动终端的基于IPTABLES的控制隐私泄漏的方法,其特征在于,包括:
步骤S1,构建IPTABLES的规则链,设置移动终端的数据包的传输策略;
步骤S2,对所述的数据包进行传输的规则检查,通过规则检查的数据包可以进行数据传输,不能通过规则检测的数据包,则拒绝数据传输;
在所述步骤S1后还包括:
步骤S3,移动终端的数据包包括个人隐私数据以及非个人隐私数据,当移动终端的数据包为个人隐私数据时,首先由用户进行判断,再根据判断结果选择是否跳到步骤S2;当移动终端的数据包为非个人隐私数据时,无需用户进行判断,直接跳到步骤S2。
2.根据权利要求1所述的移动终端的基于IPTABLES的控制隐私泄漏的方法,其特征在于,当用户判断所述个人隐私数据可以传输时,跳到步骤S2,否则直接拒绝数据传输。
3.根据权利要求1所述的移动终端的基于IPTABLES的控制隐私泄漏的方法,其特征在于,所述IPTABLES的规则链包括:
S1.1,传入数据过滤;
S1.2,对移动终端的数据包进行数据包分析;
S1.3,对传出数据进行过滤。
4.根据权利要求3所述的移动终端的基于IPTABLES的控制隐私泄漏的方法,其特征在于,所述数据包分析的内容包括:通话记录、联系人、短信、密钥、安全证书、网银数据、GPS数据、帐号、密码、上网记录。
5.一种移动终端的基于IPTABLES的控制隐私泄漏系统,其特征在于,所述系统包括:
输入模块,用于输入所述移动终端的数据包;
处理模块,用于构建IPTABLES的规则链,设置移动终端的数据包的传输策略,并对所述的数据包进行传输的规则检查;以及
输出模块,用于输出通过规则检查的数据包;
所述数据包包括个人隐私数据以及非个人隐私数据,所述移动终端进一步包括用户判断单元,所当用户判断单元用于接收所述输入模块输入的数据包,所述用户判断单元判断所述数据包为个人隐私数据时,直接拒绝数据传输;当所述用户判断单元判断所述数据包为非个人隐私数据时,所述用户判断单元将所述非个人隐私数据传送至所述处理模块。
6.根据权利要求5所述的系统,其特征在于,所述处理模块进一步包括构建单元与分析单元,所述构建单元用于构建IPTABLES的规则链,设置移动终端的数据包的传输策略,所述分析单元用于根据所述IPTABLES的规则链对所述数据包进行数据包分析。
7.根据权利要求6所述的系统,其特征在于,所述数据包分析的内容包括:通话记录、联系人、短信、密钥、安全证书、网银数据、GPS数据、帐号、密码、上网记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610105316.6A CN105721477B (zh) | 2016-02-25 | 2016-02-25 | 移动终端的基于iptables的控制隐私泄漏的方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610105316.6A CN105721477B (zh) | 2016-02-25 | 2016-02-25 | 移动终端的基于iptables的控制隐私泄漏的方法与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105721477A CN105721477A (zh) | 2016-06-29 |
| CN105721477B true CN105721477B (zh) | 2019-11-01 |
Family
ID=56157084
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610105316.6A Active CN105721477B (zh) | 2016-02-25 | 2016-02-25 | 移动终端的基于iptables的控制隐私泄漏的方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105721477B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932377A (zh) * | 2012-11-28 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种ip报文过滤方法及装置 |
| CN103309808A (zh) * | 2013-06-13 | 2013-09-18 | 中国科学院信息工程研究所 | 基于标签的安卓用户隐私泄露黑盒检测方法及系统 |
| CN103327183A (zh) * | 2013-06-13 | 2013-09-25 | 中国科学院信息工程研究所 | 基于标签的安卓用户隐私数据黑盒防护方法及系统 |
| CN104579831A (zh) * | 2014-12-26 | 2015-04-29 | 北京网秦天下科技有限公司 | 数据传输处理方法及装置 |
| CN104754564A (zh) * | 2015-04-10 | 2015-07-01 | 上海斐讯数据通信技术有限公司 | 一种基于iptables控制使用互联网的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9536108B2 (en) * | 2012-10-23 | 2017-01-03 | International Business Machines Corporation | Method and apparatus for generating privacy profiles |
-
2016
- 2016-02-25 CN CN201610105316.6A patent/CN105721477B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932377A (zh) * | 2012-11-28 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种ip报文过滤方法及装置 |
| CN103309808A (zh) * | 2013-06-13 | 2013-09-18 | 中国科学院信息工程研究所 | 基于标签的安卓用户隐私泄露黑盒检测方法及系统 |
| CN103327183A (zh) * | 2013-06-13 | 2013-09-25 | 中国科学院信息工程研究所 | 基于标签的安卓用户隐私数据黑盒防护方法及系统 |
| CN104579831A (zh) * | 2014-12-26 | 2015-04-29 | 北京网秦天下科技有限公司 | 数据传输处理方法及装置 |
| CN104754564A (zh) * | 2015-04-10 | 2015-07-01 | 上海斐讯数据通信技术有限公司 | 一种基于iptables控制使用互联网的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105721477A (zh) | 2016-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106878008B (zh) | 一种车载T‑Box与用户手机信息交互安全认证系统及方法 | |
| Li et al. | TSP security in intelligent and connected vehicles: Challenges and solutions | |
| CN101199183B (zh) | 保证汽车部件通过无线通信连接与外部通信伙伴的安全通信的方法、装置和系统 | |
| CN105207775B (zh) | 验证信息的读取方法及装置 | |
| CN102404727B (zh) | 移动终端的安全控制方法及装置 | |
| CN104641377A (zh) | 用于移动计算设备的数据丢失防护 | |
| CN104767748A (zh) | Opc服务器安全防护系统 | |
| CN106888184A (zh) | 移动终端支付类应用程序安全支付方法及装置 | |
| CN101286978B (zh) | 语义完整的tcp连接隔离与控制方法和系统 | |
| CN104182695A (zh) | 确保验证和授权操作期间所用信息的保密性的系统和方法 | |
| Oyler et al. | Security in automotive telematics: a survey of threats and risk mitigation strategies to counter the existing and emerging attack vectors | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| CN106330811A (zh) | 域名可信度确定的方法及装置 | |
| CN105721477B (zh) | 移动终端的基于iptables的控制隐私泄漏的方法与系统 | |
| CN107332803A (zh) | 一种基于终端主机安全状态的准入控制方法和系统 | |
| CN101783804A (zh) | 可提高安全协定封包处理效能的方法 | |
| EP3738012B1 (en) | Asserting user, app, and device binding in an unmanaged mobile device | |
| CN115150209B (zh) | 数据处理方法、工业控制系统、电子设备及存储介质 | |
| CN115174262A (zh) | 安全访问内部网络的方法、装置及电子设备 | |
| CN114006754A (zh) | 一种防护api接口配置安全策略数据的方法及基于网关调用开放平台服务的方法及系统 | |
| CN113407947A (zh) | 一种云环境下面向移动终端用户的可信连接验证方法 | |
| Deng | Linux network security technology | |
| Singh et al. | Website attacks: Challenges and preventive methodologies | |
| Soni et al. | Security requirements in internet of things: Challenges and methods | |
| Ellison et al. | The car as an Internet-enabled device, or how to make trusted networked cars |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201112 Address after: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: Hangzhou Jiji Intellectual Property Operation Co.,Ltd. Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666 Patentee before: Phicomm (Shanghai) Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20221222 Address after: Chinatelecom tower, No. 19, Chaoyangmen North Street, Dongcheng District, Beijing 100010 Patentee after: Tianyi Safety Technology Co.,Ltd. Address before: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province Patentee before: Hangzhou Jiji Intellectual Property Operation Co.,Ltd. |