CN106332070B - 一种安全通信方法、装置及系统 - Google Patents
一种安全通信方法、装置及系统 Download PDFInfo
- Publication number
- CN106332070B CN106332070B CN201510375367.6A CN201510375367A CN106332070B CN 106332070 B CN106332070 B CN 106332070B CN 201510375367 A CN201510375367 A CN 201510375367A CN 106332070 B CN106332070 B CN 106332070B
- Authority
- CN
- China
- Prior art keywords
- server
- network
- security
- openvpn
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明提供一种安全通信方法、装置及系统,其中该方法包括:与安全服务器建立加密通道;监测该移动终端中触发的网络数据传输事件,判断该网络数据传输事件的触发者是否为敏感应用程序;若该触发者为该敏感应用程序,则经由该加密通道,通过该安全服务器将该网络数据传输事件对应的目标数据传输给目标服务器;否则,直接将该目标数据传输给该目标服务器。上述方法、装置及系统,可有效提高用户在公用WIFI环境下数据传输的安全性。
Description
技术领域
本发明涉及移动通信技术领域,特别涉及一种安全通信方法、装置及系统。
背景技术
随着移动通信技术的发展,手机等移动终端在人们生活中的应用越来越广泛,在移动网络环境下,为了保护数据的传输安全,通常会使用应用层加密技术,但是基于Android(安卓)系统的移动终端中安装的某些应用程序,在与服务器的通信过程中并没有用到安全套接字层(Security Socket Layer,SSL)协议来保护会话数据。这样当用户在公用WIFI(Wireless Fidelity,无线保真)的环境下使用此类未被保护的应用程序时,如果恰好提供公用WIFI服务的无线接入点(Access Point,AP)又被黑客劫持的话,那么用户的所有流经该AP的数据都会被黑客截获下来并分析出其中的敏感信息如账户名、密码等,从而造成安全泄密并进而给用户带来损失。因此,如何提高用户在公用WIFI环境下数据传输的安全性,是当前急需解决的问题之一。
发明内容
有鉴于此,本发明提供一种安全通信方法、装置及系统,应用于移动终端中,通过与安全服务器建立加密通道,并经由该加密通道传输敏感应用程序的网络数据,可有效提高用户在公用WIFI环境下数据传输的安全性。
本发明实施例提供一种安全通信方法,包括:
与安全服务器建立加密通道;
监测移动终端中触发的网络数据传输事件,判断所述网络数据传输事件的触发者是否为敏感应用程序;
若所述触发者为所述敏感应用程序,则经由所述加密通道,通过所述安全服务器将所述网络数据传输事件对应的目标数据传输给目标服务器。
进一步的,所述与安全服务器建立加密通道包括:
当检测到所述移动终端接入WIFI网络时,与所述安全服务器建立所述加密通道。
进一步的,所述当检测到所述移动终端接入WIFI网络时和所述与所述安全服务器建立所述加密通道之间,还包括:
判断所述WIFI网络是否符合预置的安全条件,若不符合,则与所述安全服务器建立所述加密通道。
进一步的,所述与安全服务器建立所述加密通道还包括:
当检测到所述敏感应用程序启动时,与所述安全服务器建立所述加密通道;
或,当检测到进入安全容器时,与所述安全服务器建立所述加密通道,将所述安全容器内的所有进程对应的应用程序的标识信息添加在预置应用白名单中。
进一步的,所述安全服务器为OpenVPN服务器,则所述与安全服务器建立加密通道包括:
运行OpenVPN客户端,通过所述OpenVPN客户端与所述OpenVPN服务器建立所述加密通道。
进一步的,所述判断所述网络数据传输事件的触发者是否为敏感应用程序,包括:
根据预置应用白名单或预置应用黑名单,判断所述网络数据传输事件的触发者是否为所述敏感应用程序。
进一步的,所述方法还包括:
当检测到退出所述敏感应用程序或退出所述安全容器时,关闭所述加密通道。
本发明实施例提供一种安全通信装置,包括:
加密通道建立模块,用于与安全服务器建立加密通道;
判断模块,用于监测移动终端中触发的网络数据传输事件,判断所述网络数据传输事件的触发者是否为敏感应用程序;
数据传输模块,用于若所述判断模块的判断结果为所述触发者为敏感应用程序,则经由所述加密通道,通过所述安全服务器将所述网络数据传输事件对应的目标数据传输给目标服务器。
进一步的,所述加密通道建立模块包括:
检测模块,用于检测所述移动终端是否接入WIFI网络;
通道建立子模块,用于当所述检测模块检测到所述移动终端接入WIFI网络时,与所述安全服务器建立所述加密通道。
进一步的,所述判断模块,还用于判断所述WIFI网络是否符合预置的安全条件;
所述通道建立子模块,还用于当所述检测模块检测到所述WIFI网络不符合预置的安全条件,与所述安全服务器建立所述加密通道。
进一步的,所述检测模块,还用于检测是否有所述敏感应用程序启动;
所述通道建立子模块,还用于当所述检测模块检测到所述敏感应用程序启动时,与所述安全服务器建立所述加密通道;
所述检测模块,还用于检测是否进入安全容器;
所述通道建立子模块,还用于当所述检测模块检测到进入安全容器时,与所述安全服务器建立所述加密通道;
所述装置,还包括:
名单管理模块,用于将所述安全容器内的所有进程对应的应用程序的标识信息添加在所述预置应用白名单中。
进一步的,所述安全服务器为OpenVPN服务器,所述加密通道建立模块,还用于运行OpenVPN客户端,通过所述OpenVPN客户端与所述OpenVPN服务器建立所述加密通道。
进一步的,所述判断模块,还用于根据预置应用白名单或预置应用黑名单,判断所述网络数据传输事件的触发者是否为所述敏感应用程序。
进一步的,所述检测模块,还用于检测是否退出所述敏感应用程序或退出所述安全容器;
所述装置还包括:
加密通道关闭模块,用于当所述检测模块检测到退出所述敏感应用程序或退出所述安全容器时,关闭所述加密通道。
本发明实施例提供一种安全通信系统,所述系统包括:
无线路由、安全服务器、目标服务器以及包括如权利要求7至14任意一项所述的安全通信装置的移动终端;
所述无线路由,用于为所述移动终端提供WIFI连接;
所述安全服务器,用于与所述移动终端建立所述加密通道,将所述移动终端传输的所述目标数据转发给所述目标服务器。
根据上述实施例中的安全通信方法、装置及系统,通过与安全服务器建立加密通道,并经由该加密通道将敏感应用程序的网络数据传输给目标服务器,由于加密通道中的数据通信是基于预置的已加密的通道协议进行的,因此可有效提高用户在公用WIFI环境下数据传输的安全性。
为让本发明的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。
附图说明
图1为本发明第一实施例提供的一种安全通信方法的流程图;
图2为本发明第二实施例提供的一种安全通信方法的流程图;
图3为本发明第三实施例提供的一种安全通信装置的结构示意图;
图4为本发明第四实施例提供的一种安全通信装置的结构示意图;
图5为本发明第五实施例提供的一种安全通信系统的结构示意图。
具体实施方式
为更进一步阐述本发明为实现预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明的具体实施方式、结构、特征及其功效,详细说明如后。
本发明中的安全通信方法可应用在支持接入无线网络的移动终端中,如:支持接入WIFI网络的智能手机、平板电脑、手提电脑等等。
第一实施例
请参阅图1,本发明第一实施例提供了一种安全通信方法,该方法包括:
步骤S101、与安全服务器建立加密通道;
移动终端根据用户触发的接入指令,与该接入指令指向的无线AP建立WIFI连接,接入该无线AP提供的WIFI网络。或者,移动终端在检测到周围有可用无线AP时,与该可用无线AP建立WIFI连接,接入该可用无线AP提供的WIFI网络。
当检测到移动终端接入WIFI网络时,通过该WIFI网络,登录安全服务器,与该安全服务器建立加密通道,使得移动终端与该安全服务器之间可通过该加密通道,基于预置的已加密的通道协议(Tunneling Protocol)进行加密通讯。具体地,移动终端可通过内置的OpenVPN客户端,根据用户预申请的登录帐号,登录提供VPN(Virtual Private Network,虚拟专用网络)服务的OpenVPN服务器,并通过接入的WIFI网络与OpenVPN服务器建立加密的通道(或隧道,Tunnel)。
步骤S102、监测移动终端中触发的网络数据传输事件,判断该网络数据传输事件的触发者是否为敏感应用程序;
具体地,通过监听系统中各应用程序的进程的活动,监测移动终端中触发的网络传输事件,获取该网络传输事件的触发者,即触发该网络传输事件的应用程序的名称,根据该触发者的名称、以及预置的应用白名单或应用黑名单判断该触发者是否为敏感应用程序。其中,敏感应用程序为可能向目标服务器发送涉及用户的个人隐私、银行帐号、密码等敏感信息的网络数据的应用程序。
步骤S103、若该触发者为该敏感应用程序,则经由该加密通道,通过该安全服务器将该网络数据传输事件对应的目标数据传输给目标服务器;
若移动终端中触发的网络传输事件的触发者为敏感应用程序,则经由该加密通道,将该网络数据传输事件对应的目标数据通过该安全服务器传输给目标服务器。由于该加密通道中的数据经过加密处理,因此,即便被黑客截获,也会因为没有数据的解密密钥而无法破解其中的敏感内容,从而保障该目标数据传输的安全性。
步骤S104、否则,直接将该目标数据传输给该目标服务器。
由于非敏感应用程序传输的网络数据不涉及用户的个人隐私、银行帐号、密码等敏感信息,没有加密的必要,因此若移动终端中被触发的网络传输事件的触发者不为敏感应用程序,则可通过普通通道,直接将该触发者待传输的目标数据传输给目标服务器。
上述实施例中的安全通信方法,通过在移动终端接入WIFI网络时,与安全服务器建立加密通道,并经由该加密通道将敏感应用程序触发的网络数据传输事件对应的目标数据,传输给目标服务器,由于加密通道中的数据通信是基于预置的已加密的通道协议进行的,因此可有效提高用户在公用WIFI环境下数据传输的安全性。
第二实施例
请参阅图2,本发明第二实施例提供了一种安全通信方法,该方法包括:
步骤S201、当检测到移动终端接入WIFI网络时,判断该WIFI网络是否符合预置的安全条件;
移动终端根据用户触发的接入指令,与该接入指令指向的无线AP建立WIFI连接,接入该无线AP提供的WIFI网络。或者,移动终端在检测到周围有可用无线AP时,与该可用无线AP建立WIFI连接,接入该可用无线AP提供的WIFI网络。
当检测到移动终端接入WIFI网络时,根据接入的WIFI网络的标识信息以及WIFI白名单或WIFI黑名单,判断该WIFI网络是否符合预置的安全条件;或者,根据该WIFI网络的接入是否需要发送接入密码,判断该WIFI网络是否符合预置的安全条件。
具体地,移动终端中可预置有WIFI白名单或WIFI黑名单,其中WIFI白名单中记载有一个或多个安全的WIFI网络的标识信息,如WIFI网络的名称,WIFI黑名单中记载有一个或多个不安全的WIFI网络的标识信息。WIFI白名单或WIFI黑名单可定期从网络服务器中获得,或由用户自定义。
当检测到移动终端接入WIFI网络时,获取接入的WIFI网络的标识信息;将该标识信息与WIFI白名单或WIFI黑名单中记载的标识信息进行匹配;若该接入的WIFI网络的标识信息与WIFI白名单中记载的标识信息相匹配,或该接入的WIFI网络的标识信息与WIFI黑名单中记载的标识信息不匹配,则判定该接入的WIFI网络符合预置的安全条件;若该接入的WIFI网络的标识信息与WIFI白名单中记载的标识信息不匹配,或该接入的WIFI网络的标识信息与WIFI黑名单中记载的标识信息相匹配,则判定该接入的WIFI网络不符合预置的安全条件。
具体地,当检测到移动终端接入WIFI网络时,判断移动终端在接入该WIFI网络时是否发送了接入密码,即,判断该WIFI网络的AP是否设置了接入密码,若否,则判定接入的WIFI网络不符合预置的安全条件,若是,则判定接入的WIFI网络符合预置的安全条件。
步骤S202、若不符合,则运行OpenVPN客户端,通过该OpenVPN客户端与VPN服务器建立加密通道;
若接入的WIFI网络不符合预置的安全条件,说明该WIFI网络是不安全的,有可能被黑客劫持,则移动终端运行内置的OpenVPN客户端,根据用户预申请的登录帐号,登录提供VPN服务的OpenVPN服务器,并通过接入的WIFI网络与OpenVPN服务器建立加密通道。
VPN技术利用已加密的通道协议(Tunneling Protocol),达到保密、发送端认证、消息准确性等私人消息安全效果。
OpenVPN利用虚拟网卡,实现了SSL VPN的功能。OpenVPN的服务器和客户端支持TCP和UDP两种连接方式,只需在服务端和客户端预先定义好使用的连接方式和端口号,客户端和服务端在这个连接的基础上进行SSL握手。连接过程包括SSL的握手以及虚拟网络上的管理信息,OpenVPN将虚拟网上的网段、地址、路由发送给客户端。连接成功后,客户端和服务端建立起SSL安全连接,客户端和服务端的数据都流入虚拟网卡做SSL的处理,再在TCP或UDP的连接上从物理网卡发送出去。当发送网络数据时,应用层的外出数据,经过系统调用接口传入核心TCP/IP层做处理,在TCP/IP经过路由到虚拟网卡,虚拟网卡的网卡驱动发送处理程序hard_start_xmit()将数据包加入SKB表并完成数据包从核心区到用户区的复制,OpenVPN调用虚拟网卡的字符处理程序tun_read(),读取到设备上的数据包,对读取的数据包使用SSL协议做封装处理后,通过socket系统调用发送出去。当接收网络数据时,物理网卡接收数据包,经过核心TCP/IP上传到OpenVPN,OpenVPN通过link_socket_read()接收数据包,使用SSL协议进行解包处理,经过处理的数据包OpenVPN调用虚拟网卡的字符处理程序tun_write()写入虚拟网卡的字符设备,设备驱动程序完成数据从用户区到核心区的复制,并将数据写入SKB链表,然后调用网卡netif_rx()接收程序,数据包再次进入系统TCP/IP协议栈,传到上层应用程序。
可以理解地,若接入的WIFI网络符合预置的安全条件,说明该WIFI网络是安全,则不与VPN服务器建立加密通道,将所有的网络数据均直接传输给目标服务器。
在其他实施方式中,也可以是当检测到敏感应用程序启动时,与该安全服务器建立加密通道。具体地,移动终端接入WIFI网络后,当检测到有应用程序启动时,判断启动的该应用程序是否为预置应用白名单中记载的可能发送涉及用户个人隐私、银行帐号、密码等敏感信息的网络数据的敏感应用程序,若是,则运行OpenVPN客户端,通过该OpenVPN客户端与VPN服务器建立加密通道。
或,当检测到进入安全容器时,与该安全服务器建立加密通道,将该安全容器内的所有进程对应的应用程序的标识信息添加在该预置应用白名单中。可以理解地,除了将标识信息添加在预置应用白名单中,还可为该安全容器内的所有进程对应的应用程序添加敏感标记,以将该安全容器内的所有应用程序标记为敏感应用程序。
安全容器是指在操作系统的应用层进行隔离,即共用一个内核和操作系统的中间层,而界面和应用程序会区分为两套进程,这样用户看到的效果就像是两个系统一样。因为这两套应用程序各自使用的数据库不同,所以表现为数据隔离,即用户在安全容器外看到的图片和联系人等资料跟在安全容器内看到的是不同的。可以理解地,安全容器也可以是指在中间层进行隔离,即共用一个内核,在内核之上再增加一层中间层,原有的中间层与新增加的中间层各自对应一套界面和应用程序,将其中之一定义为安全容器之内,另一个则为安全容器之外。
具体地,移动终端接入WIFI网络后,当接收到用户触发的进入安全容器的指令时,进入安全容器,挂起该安全容器外的进程,运行OpenVPN客户端,通过OpenVPN客户端与VPN服务器建立加密通道,并将该安全容器内的所有进程对应的应用程序判定为敏感应用程序,使得该安全容器内的所有网络数据均经由该加密通道通过VPN服务器传输给目标服务器。
通过上述对接入的WIFI网络的安全性进行预判、对启动的应用程序是否为敏感应用程序进行预判、以及对是否进入安全容器进行预判,当接入的WIFI网络为不安全的网络时,或者当敏感应用程序启动时,或者当进入安全容器时,才建立加密通道,可提高通道建立及安全通信管理的灵活性。
步骤S203、监测该移动终端中触发的网络数据传输事件,根据预置应用白名单或预置应用黑名单,判断该网络数据传输事件的触发者是否为敏感应用程序;
具体地,移动终端中预置有应用白名单或应用黑名单。其中,应用白名单中记载有一个或多个可能会发送涉及用户的个人隐私、银行帐号、密码等敏感信息的网络数据的普通应用程序的标识信息,应用黑名单中记载有一个或多个不会发送涉及用户的个人隐私、银行帐号、密码等敏感信息的网络数据的敏感应用程序的标识信息。应用白名单或应用黑名单可定期从网络服务器中获得,或由用户自定义。可以理解的,在其他实施方式中,也可以是在应用黑名单中记载有一个或多个可能会发送涉及用户的个人隐私、银行帐号、密码等敏感信息的网络数据的普通应用程序的标识信息,而在应用白名单中记载有一个或多个不会发送涉及用户的个人隐私、银行帐号、密码等敏感信息的网络数据的敏感应用程序的标识信息。
通过监听系统中各应用程序的进程的活动,监测移动终端中触发的网络传输事件,获取该网络传输事件的触发者,即触发该网络传输事件的应用程序的标识信息,如触发者应用程序的名称。将该触发者的标识信息与预置应用白名单或预置应用黑名单中记载的标识信息进行匹配,以判断该触发者是否为预置应用白名单中的应用程序,或者判断该触发者是否为预置应用黑名单中的应用程序。
若该触发者是预置应用黑名单中的应用程序,则判定该触发者为非敏感应用程序的普通应用程序,否则,判定该触发者为敏感应用程序;或者,若该触发者是预置应用白名单中的应用程序,则判定该触发者为敏感应用程序,否则,判定该触发者为非敏感应用程序的普通应用程序。
步骤S204、若该触发者为该敏感应用程序,则经由该加密通道,通过该安全服务器将该网络数据传输事件对应的目标数据传输给目标服务器;
若移动终端中触发的网络传输事件的触发者为敏感应用程序,则经由该加密通道,将该网络数据传输事件对应的目标数据通过该安全服务器传输给目标服务器。由于该加密通道中的数据经过加密处理,因此,即便被黑客截获,也会因为没有数据的解密密钥而无法破解其中的敏感内容,从而保障该目标数据传输的安全性。
步骤S205、否则,直接将该目标数据传输给该目标服务器;
由于非敏感应用程序传输的网络数据不涉及用户的个人隐私、银行帐号、密码等敏感信息,没有加密的必要,因此若移动终端中触发的网络传输事件的触发者不为敏感应用程序,则可通过普通通道,直接将该触发者待传输的目标数据传输给目标服务器。
进一步的,当检测到移动终端断开WIFI网络时、或退出该敏感应用程序、或退出安全容器时,关闭该加密通道。
当检测到移动终端断开WIFI网络时、或退出敏感应用程序时、或退出安全容器时,通过OpenVPN客户端登出登录帐号,以断开与VPN服务器的连接,关闭该加密通道。
上述实施例中的安全通信方法,通过在移动终端接入WIFI网络时,对接入的WIFI网络的安全性进行预判、对启动的应用程序是否为敏感应用程序进行预判、以及对是否进入安全容器进行预判,当接入的WIFI网络为不安全的网络时,或者当敏感应用程序启动时,或者当进入安全容器时,与安全服务器建立加密通道,并经由该加密通道将敏感应用程序触发的网络数据传输事件对应的目标数据,传输给目标服务器,由于加密通道中的数据通信是基于预置的已加密的通道协议进行的,因此可有效提高用户在公用WIFI环境下数据传输的安全性。
第三实施例
请参阅图3,本发明第三实施例提供了一种安全通信装置,该装置包括:
加密通道建立模块301,用于与安全服务器建立加密通道;
判断模块302,用于监测该移动终端中触发的网络数据传输事件,判断该网络数据传输事件的触发者是否为敏感应用程序;
数据传输模块303,用于若判断模块302的判断结果为该触发者为敏感应用程序,则经由该加密通道,通过该安全服务器将该网络数据传输事件对应的目标数据传输给目标服务器;
数据传输模块303,还用于若判断模块302的判断结果为该触发者不为敏感应用程序,则直接将该目标数据传输给该目标服务器。
关于上述安全防护装置中各模块实现技术方案的其他细节,可参考第一实施例以及第二实施例中的描述,此处不再赘述。
上述实施例中的安全通信装置,通过与安全服务器建立加密通道,并经由该加密通道将敏感应用程序触发的网络数据传输事件对应的目标数据,传输给目标服务器,由于加密通道中的数据通信是基于预置的已加密的通道协议进行的,因此可有效提高用户在公用WIFI环境下数据传输的安全性。
第四实施例
请参阅图4,本发明第四实施例提供了一种安全通信装置,该装置包括:
检测模块401,用于检测移动终端是否接入WIFI网络;
加密通道建立模块402,用于当检测到所述移动终端接入所述WIFI网络时,与安全服务器建立加密通道;
判断模块403,用于监测所述移动终端中触发的网络数据传输事件,判断所述网络数据传输事件的触发者是否为敏感应用程序;
数据传输模块404,用于若判断模块403的判断结果为该触发者为该敏感应用程序,则经由该加密通道,通过该安全服务器将该网络数据传输事件对应的目标数据传输给目标服务器;
数据传输模块404,还用于若判断模块403的判断结果为该触发者不为该敏感应用程序,则直接将该目标数据传输给该目标服务器。
进一步地,判断模块403,还用于根据预置应用白名单或预置应用黑名单,判断该网络数据传输事件的触发者是否为敏感应用程序。
进一步地,判断模块403,还用于判断该WIFI网络是否符合预置的安全条件;
检测模块401,还用于检测该敏感应用程序是否启动,检测是否进入安全容器;
该加密通道建立模块,还用于当判断模块403的判断结果为不符合时,或者当检测模块401检测到该敏感应用程序启动时,或者当检测模块401检测到进入该安全容器时,与该安全服务器建立该加密通道;
该装置,还包括:
名单管理模块405,用于将该安全容器内的所有进程对应的应用程序的标识信息添加在该预置应用白名单中。
进一步地,该安全服务器为OpenVPN服务器,该加密通道建立模块,还用于运行OpenVPN客户端,通过该OpenVPN客户端与该OpenVPN服务器建立该加密通道。
进一步地,检测模块401,还用于检测是否退出该敏感应用程序或退出该安全容器;
该装置还包括:
加密通道关闭模块406,用于当检测模块401检测到退出该敏感应用程序或退出该安全容器时,关闭该加密通道。
关于上述安全防护装置中各模块实现技术方案的其他细节,可参考第一实施例以及第二实施例中的描述,此处不再赘述。
上述实施例中的安全通信装置,通过在移动终端接入WIFI网络时,与安全服务器建立加密通道,并经由该加密通道将敏感应用程序触发的网络数据传输事件对应的目标数据,传输给目标服务器,由于加密通道中的数据通信是基于预置的已加密的通道协议进行的,因此可有效提高用户在公用WIFI环境下数据传输的安全性。
第五实施例
请参阅图5,本发明第五实施例提供了一种安全通信装置,该装置包括:无线路由501、安全服务器502、目标服务器503以及包括上述第三实施例或第四实施例示出的安全通信装置的移动终端504。
其中,无线路由501,用于为移动终端504提供WIFI连接。
安全服务器502,用于与移动终端504建立加密通道,将移动终端504传输的目标数据转发给目标服务器503。
具体地,安全服务器502可以为OpenVPN服务器。移动终端504内置有OpenVPN客户端。移动终端504与无线路由501建立WIFI连接,接入无线路由501提供的WIFI网络。移动终端504在该WIFI网络不符合预置的安全条件时,运行OpenVPN客户端,通过接入的WIFI网络,与安全服务器502建立加密通道;或者,当检测到该敏感应用程序启动时,运行OpenVPN客户端,通过接入的WIFI网络,与安全服务器502建立该加密通道;或者,当检测到进入安全容器时,运行OpenVPN客户端,通过接入的WIFI网络,与安全服务器502建立该加密通道,并将该安全容器内的所有进程对应的应用程序的标识信息添加在该预置应用白名单中。
移动终端504监测移动终端504中触发的网络数据传输事件,根据预置的应用白名单或应用黑名单,判断该网络数据传输事件的触发者是否为敏感应用程序,若该触发者为该敏感应用程序,则经由该加密通道,通过安全服务器502将该网络数据传输事件对应的目标数据传输给目标服务器,否则,直接通过接入的WIFI网络将该目标数据传输给该目标服务器。
可以理解地,安全服务器502将加密通道上的数据报文转发给目标服务器503,并将目标服务器503返回的数据,通过该加密通道利用WIFI网络传输给移动终端504。
如图5所示,内置了OpenVPN接入协议的移动终端504在通过无线路由501提供的公用WIFI网络访问目标服务器503时,数据通信可分为两段,其中第一段为图5中虚线标示的经由通过公用WIFI网络和互联网与OpenVPN服务器502建立的加密通道进行的数据通信,第二段为图5中实线标示的OpenVPN服务器502将通道上的数据报文转发给目标服务器503而形成的数据通信。第一段数据由于采用了加密处理,这样即使黑客获取到了用户流经公用WIFI网络处的数据,也不能从中提取出敏感信息,从而提高了数据传输的安全性。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者装置中还存在另外的相同要素。
本领域技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,该程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容做出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (9)
1.一种安全通信方法,其特征在于,所述方法包括:
当检测到进入安全容器时,与安全服务器建立加密通道,将所述安全容器内的所有进程对应的应用程序的标识信息添加在预置应用白名单中;
监测移动终端中触发的网络数据传输事件,根据预置应用白名单或预置应用黑名单,判断所述网络数据传输事件的触发者是否为敏感应用程序;
若所述触发者为所述敏感应用程序,则经由所述加密通道,通过所述安全服务器将所述网络数据传输事件对应的目标数据传输给目标服务器;
所述安全服务器为OpenVPN服务器,则所述与安全服务器建立加密通道包括:
运行OpenVPN客户端,通过所述OpenVPN客户端与所述OpenVPN服务器建立所述加密通道;
在发送网络数据时,应用层的外出数据,经过系统调用接口传入核心TCP/IP层进行处理,在TCP/IP经过路由到虚拟网卡,虚拟网卡的网卡驱动发送处理程序hard_start_xmit()将数据包加入SKB表并完成数据包从核心区到用户区的复制,OpenVPN调用虚拟网卡的字符处理程序tun_read(),读取到设备上的数据包,对读取的数据包使用SSL协议做封装处理后,通过socket系统调用发送出去;
在接收网络数据时,物理网卡接收数据包,经过核心TCP/IP上传到OpenVPN,OpenVPN通过link_socket_read()接收数据包,使用SSL协议进行解包处理,经过处理的数据包OpenVPN调用虚拟网卡的字符处理程序tun_write()写入虚拟网卡的字符设备,设备驱动程序完成数据从用户区到核心区的复制,并将数据写入SKB链表,然后调用网卡netif_rx()接收程序,数据包再次进入系统TCP/IP协议栈,传到上层应用程序。
2.根据权利要求1所述的方法,其特征在于,所述与安全服务器建立加密通道包括:
当检测到所述移动终端接入WIFI网络时,与所述安全服务器建立所述加密通道。
3.根据权利要求2所述的方法,其特征在于,所述当检测到所述移动终端接入WIFI网络时和所述与所述安全服务器建立所述加密通道之间,还包括:
判断所述WIFI网络是否符合预置的安全条件,若不符合,则与所述安全服务器建立所述加密通道。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当检测到退出所述敏感应用程序或退出所述安全容器时,关闭所述加密通道。
5.一种安全通信装置,其特征在于,所述装置包括:
检测模块,用于检测是否进入安全容器;
通道建立子模块,用于当所述检测模块检测到进入安全容器时,与安全服务器建立加密通道;
名单管理模块,用于将所述安全容器内的所有进程对应的应用程序的标识信息添加在预置应用白名单中;
加密通道建立模块,用于与安全服务器建立加密通道;
判断模块,用于监测移动终端中触发的网络数据传输事件,根据预置应用白名单或预置应用黑名单,判断所述网络数据传输事件的触发者是否为敏感应用程序;
数据传输模块,用于若所述判断模块的判断结果为所述触发者为敏感应用程序,则经由所述加密通道,通过所述安全服务器将所述网络数据传输事件对应的目标数据传输给目标服务器;
所述安全服务器为OpenVPN服务器,则所述与安全服务器建立加密通道包括:
运行OpenVPN客户端,通过所述OpenVPN客户端与所述OpenVPN服务器建立所述加密通道;
在发送网络数据时,应用层的外出数据,经过系统调用接口传入核心TCP/IP层进行处理,在TCP/IP经过路由到虚拟网卡,虚拟网卡的网卡驱动发送处理程序hard_start_xmit()将数据包加入SKB表并完成数据包从核心区到用户区的复制,OpenVPN调用虚拟网卡的字符处理程序tun_read(),读取到设备上的数据包,对读取的数据包使用SSL协议做封装处理后,通过socket系统调用发送出去;
在接收网络数据时,物理网卡接收数据包,经过核心TCP/IP上传到OpenVPN,OpenVPN通过link_socket_read()接收数据包,使用SSL协议进行解包处理,经过处理的数据包OpenVPN调用虚拟网卡的字符处理程序tun_write()写入虚拟网卡的字符设备,设备驱动程序完成数据从用户区到核心区的复制,并将数据写入SKB链表,然后调用网卡netif_rx()接收程序,数据包再次进入系统TCP/IP协议栈,传到上层应用程序。
6.根据权利要求5所述的装置,其特征在于,所述加密通道建立模块包括:
检测模块,用于检测所述移动终端是否接入WIFI网络;
通道建立子模块,用于当所述检测模块检测到所述移动终端接入WIFI网络时,与所述安全服务器建立所述加密通道。
7.根据权利要求6所述的装置,其特征在于,
所述判断模块,还用于判断所述WIFI网络是否符合预置的安全条件;
所述通道建立子模块,还用于当所述检测模块检测到所述WIFI网络不符合预置的安全条件,与所述安全服务器建立所述加密通道。
8.根据权利要求5所述的装置,其特征在于,
所述检测模块,还用于检测是否退出所述敏感应用程序或退出所述安全容器;
所述装置还包括:
加密通道关闭模块,用于当所述检测模块检测到退出所述敏感应用程序或退出所述安全容器时,关闭所述加密通道。
9.一种安全通信系统,其特征在于,所述系统包括:
无线路由、安全服务器、目标服务器以及包括如权利要求5至8任意一项所述的安全通信装置的移动终端;
所述无线路由,用于为所述移动终端提供WIFI连接;
所述安全服务器,用于与所述移动终端建立所述加密通道,将所述移动终端传输的所述目标数据转发给所述目标服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510375367.6A CN106332070B (zh) | 2015-06-30 | 2015-06-30 | 一种安全通信方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510375367.6A CN106332070B (zh) | 2015-06-30 | 2015-06-30 | 一种安全通信方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106332070A CN106332070A (zh) | 2017-01-11 |
| CN106332070B true CN106332070B (zh) | 2020-08-28 |
Family
ID=57722787
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510375367.6A Active CN106332070B (zh) | 2015-06-30 | 2015-06-30 | 一种安全通信方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106332070B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108900473A (zh) * | 2018-06-04 | 2018-11-27 | 麒麟合盛网络技术股份有限公司 | 一种数据监控方法、装置和系统 |
| CN109842624A (zh) * | 2019-02-01 | 2019-06-04 | 南京国电南自软件工程有限公司 | 一种交换机安全代理通信方法及系统 |
| CN112749393A (zh) * | 2019-10-31 | 2021-05-04 | 中国电信股份有限公司 | 安全控制方法、安全控制系统、安全控制装置及存储介质 |
| CN114595465A (zh) * | 2020-12-04 | 2022-06-07 | 成都鼎桥通信技术有限公司 | 数据加密处理方法、装置及电子设备 |
| CN113163407A (zh) * | 2021-05-24 | 2021-07-23 | 青岛中科英泰商用系统股份有限公司 | 一种基于Android设备的wifi通信安全防御方法与装置 |
| CN113438215B (zh) * | 2021-06-11 | 2023-06-30 | 郑州阿帕斯数云信息科技有限公司 | 数据传输方法、装置、设备和存储介质 |
| CN116226255B (zh) * | 2023-03-15 | 2023-08-11 | 中大体育产业集团股份有限公司 | 一种体测数据的高效批量导入方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101180662A (zh) * | 2005-03-07 | 2008-05-14 | 特里斯里昂有限公司 | 安全的数据通信的方法 |
| CN102984044A (zh) * | 2012-11-16 | 2013-03-20 | 深圳市深信服电子科技有限公司 | 基于虚拟专用网络实现数据传输安全性的方法和装置 |
| CN103916394A (zh) * | 2014-03-31 | 2014-07-09 | 魏强 | 公共wifi环境下的数据传输方法及系统 |
| CN104135422A (zh) * | 2014-08-20 | 2014-11-05 | 浪潮(北京)电子信息产业有限公司 | 一种增强OpenVPN数据安全性的方法和系统 |
| CN104270761A (zh) * | 2014-09-30 | 2015-01-07 | 北京金山安全软件有限公司 | 伪wifi的识别和处理方法、装置 |
-
2015
- 2015-06-30 CN CN201510375367.6A patent/CN106332070B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101180662A (zh) * | 2005-03-07 | 2008-05-14 | 特里斯里昂有限公司 | 安全的数据通信的方法 |
| CN102984044A (zh) * | 2012-11-16 | 2013-03-20 | 深圳市深信服电子科技有限公司 | 基于虚拟专用网络实现数据传输安全性的方法和装置 |
| CN103916394A (zh) * | 2014-03-31 | 2014-07-09 | 魏强 | 公共wifi环境下的数据传输方法及系统 |
| CN104135422A (zh) * | 2014-08-20 | 2014-11-05 | 浪潮(北京)电子信息产业有限公司 | 一种增强OpenVPN数据安全性的方法和系统 |
| CN104270761A (zh) * | 2014-09-30 | 2015-01-07 | 北京金山安全软件有限公司 | 伪wifi的识别和处理方法、装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106332070A (zh) | 2017-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106332070B (zh) | 一种安全通信方法、装置及系统 | |
| US9584491B2 (en) | Intelligent security analysis and enforcement for data transfer | |
| Denis et al. | Penetration testing: Concepts, attack methods, and defense strategies | |
| EP2575318B1 (en) | Portable security device and methods for providing network security | |
| US9032493B2 (en) | Connecting mobile devices, internet-connected vehicles, and cloud services | |
| US9143922B2 (en) | Method and system for controlling communication between an UICC and an external application | |
| US20100197293A1 (en) | Remote computer access authentication using a mobile device | |
| KR101788495B1 (ko) | 지역/홈 네트워크를 위한 보안 게이트 | |
| US20130034230A1 (en) | Method and system for embedding security in a mobile communications device | |
| KR101089154B1 (ko) | 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법 | |
| US20130340067A1 (en) | Multi-Wrapped Virtual Private Network | |
| EP3352528A1 (en) | Remote control method and apparatus and mobile terminal | |
| US11336621B2 (en) | WiFiwall | |
| KR20190009497A (ko) | 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법 | |
| KR20140098243A (ko) | 안전한 데이터 전송 | |
| CN105812338B (zh) | 一种数据访问管控方法及网络管理设备 | |
| KR101420650B1 (ko) | 가상 사설망을 이용한 네트워크 기반 망분리 시스템 및 방법 | |
| KR101979157B1 (ko) | 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템 | |
| US11689551B2 (en) | Automatic identification of applications that circumvent permissions and/or obfuscate data flows | |
| US10193899B1 (en) | Electronic communication impersonation detection | |
| CN114254352A (zh) | 一种数据安全传输系统、方法和装置 | |
| KR101365889B1 (ko) | 이동통신 단말기의 모바일 네트워크 보안 방법, 시스템 및 그 프로그램을 기록한 기록매체 | |
| Hernández et al. | Ethical Hacking on Mobile Devices: Considerations and practical uses | |
| CN105827427B (zh) | 一种信息处理方法及电子设备 | |
| KR102277014B1 (ko) | Vpn 기반의 cctv 시스템 및 이를 이용하는 모니터링 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |