CN106789909A - 应用程序的网络数据传输方法、装置及系统 - Google Patents
应用程序的网络数据传输方法、装置及系统 Download PDFInfo
- Publication number
- CN106789909A CN106789909A CN201611048339.4A CN201611048339A CN106789909A CN 106789909 A CN106789909 A CN 106789909A CN 201611048339 A CN201611048339 A CN 201611048339A CN 106789909 A CN106789909 A CN 106789909A
- Authority
- CN
- China
- Prior art keywords
- access request
- server
- application program
- destination server
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种移动终端中应用程序的网络数据传输方法、系统及装置,该方法包括:检测到隔离应用程序向目标服务器发送访问请求时,将访问请求发送至代理服务;通过代理服务将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器,以使得专用网络服务器对封装加密后的访问请求进行解密,并将解密后的访问请求转发至目标服务器;接收由目标服务器返回的响应于访问请求的反馈数据。本发明的技术方案是的隔离应用程序的访问请求中的用户私密数据能够安全地传输到专用网络服务器,即使在该传输中受到了来自外来的恶意攻击,由于该访问请求中的用户私密数据被加密,所以不会被恶意攻击获取到。
Description
技术领域
本发明涉及通信技术领域,具体而言,本发明涉及一种移动终端中应用程序的网络数据传输方法、一种网络数据传输系统、一种移动终端中应用程序的网络数据传输装置和一种移动终端。
背景技术
随着互联网的发展,移动终端也从传统的数字移动终端发展到了智能移动终端。由于智能移动终端不但实现了传统的数字移动终端的所有功能,还通过安装多种应用程序来满足用户的各种需求,如娱乐需求、学习需求、购物需求、办公需求等。
为了满足上述用户的各种需求,相应的,安装在智能移动终端的应用程序数量和种类也越来越多;而各种应用程序需要通过公共网络通道将其网络数据传输到目标服务器,以实现各种应用程序的功能,从而满足用户的各种需求。但,各种网络数据在公共网络通道传输的过程中,很容易受到来自外来的恶意攻击,如劫持并篡改网络数据,使得用户的私密数据被窃取和篡改,从而造成用户私密数据的泄漏;特别是,财产类应用程序的网络数据,由于该类网络数据中含有大量的关于用户财产类的私密数据,如用户名、密码等账户信息,当其在公共网络通道中进行传输时,一旦受到来自外来的恶意攻击,不仅造成用户的财产类的私密数据的泄漏,还会给用户造成巨大的财产损失。所以如何保证用户的私密数据安全地传输至目标服务器,是防止用户私密数据被恶意劫持和篡改的关键。
发明内容
为克服上述技术问题或者至少部分地解决上述技术问题,特提出以下技术方案:
本发明的一个实施例提出了一种移动终端中应用程序的网络数据传输方法,包括:
检测到隔离应用程序向目标服务器发送访问请求时,将访问请求发送至代理服务;
通过代理服务将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器,以使得专用网络服务器对封装加密后的访问请求进行解密,并将解密后的访问请求转发至目标服务器;
接收由目标服务器返回的响应于访问请求的反馈数据。
优选地,检测到隔离应用程序向目标服务器发送访问请求的步骤,包括:
检测到任一应用程序向目标服务器发送访问请求时,截获访问请求;
基于访问请求中的应用程序标识信息,判断发送访问请求的应用程序是否为隔离应用程序。
优选地,该方法还包括:
若判断发送访问请求的应用程序不是隔离应用程序;则将访问请求通过公共网络通道发送至目标服务器。
优选地,判断发送访问请求的应用程序是否为隔离应用程序的步骤,包括:
基于预定的隔离应用程序的名单,确定应用程序是否为隔离应用程序。
优选地,该方法还包括:
将用于建立公共网络通道的连接接口函数修改为用于建立专用网络通道的预置的桩函数,以建立专用网络通道。
本发明的另一实施例提出了一种网络数据传输系统,包括:
隔离应用客户端,用于将向目标服务器发送的访问请求发送至代理服务器;并接收由目标服务器返回的响应于访问请求的反馈数据;
代理服务器,用于将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器;
专用网络服务器,用于对封装加密后的访问请求进行解密,并将解密后的访问请求转发至目标服务器。
优选地,专用网络服务器,用于获取解密后的访问请求中的目标服务器的IP地址,并基于IP地址将解密后的访问请求转发至目标服务器。
本发明的又一实施例提出了一种移动终端中应用程序的网络数据传输装置包括:
访问请求发送模块,用于检测到隔离应用程序向目标服务器发送访问请求时,将访问请求发送至代理服务;
访问请求封装加密模块,用于通过代理服务将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器,以使得专用网络服务器对封装加密后的访问请求进行解密,并将解密后的访问请求转发至目标服务器;
反馈数据接收模块,用于接收由目标服务器返回的响应于访问请求的反馈数据。
优选地,访问请求发送模块包括:
访问请求截获单元,用于检测到任一应用程序向目标服务器发送访问请求时,截获访问请求;
判断单元,用于基于访问请求中的应用程序标识信息,判断发送访问请求的应用程序是否为隔离应用程序。
优选地,该装置还包括:
判断结果执行模块,用于若判断发送访问请求的应用程序不是隔离应用程序;则将访问请求通过公共网络通道发送至目标服务器。
优选地,判断模块,用于基于预定的隔离应用程序的名单,确定应用程序是否为隔离应用程序。
优选地,该装置还包括:
专用网络通道建立模块,用于将用于公共建立网络通道的连接接口函数修改为用于建立专用网络通道的预置的桩函数,以建立专用网络通道。
本发明的再一实施例提出了一种移动终端,包括移动终端中应用程序的网络数据传输装置实施例中的任一技术方案。
本发明的技术方案中,将隔离应用程序向目标服务器发送的访问请求转发至代理服务;通过代理服务将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器;使得该访问请求中的用户私密数据在专用网络通道中传输时,不会受到来自外来的恶意攻击,从而使得该访问请求中的用户私密数据能够安全地传输到专用网络服务器,即使在该传输中受到了来自外来的恶意攻击,由于该访问请求中的用户私密数据被加密,所以不会被恶意攻击获取到;同时专用网络服务器预置IP校验或其所在机房设置于骨干网中,使得其在将访问请求发送至目标服务器时,能减少被恶意攻击的可能性,从而保证用户的私密数据不被泄漏,以及保证户财产的安全。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明中一个实施例的移动终端中应用程序的网络数据传输方法的流程示意图;
图2为本发明中一个优选实施例的检测到隔离应用程序向目标服务器发送访问请求的流程示意图;
图3为本发明中另一个实施例的网络数据传输系统的数据传输示意图;
图4为本发明中又一个实施例的移动终端中应用程序的网络数据传输装置的结构框架示意图;
图5为本发明中一个优选实施例的访问请求发送模块的结构框架示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,进行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(Personal Communications Service,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
需要说明的是,在本实施例中的执行主体是移动终端,是基于智能移动终端操作系统实现本实施例的,智能移动终端操作系统是基于Linux操作系统自由及开放源代码的操作系统,例如,Android操作系统。
图1为本发明中一个实施例的移动终端中应用程序的网络数据传输方法的流程示意图。
步骤S101:检测到隔离应用程序向目标服务器发送访问请求时,将访问请求发送至代理服务;步骤S102:通过代理服务将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器,以使得专用网络服务器对封装加密后的访问请求进行解密,并将解密后的访问请求转发至目标服务器;步骤S103:接收由目标服务器返回的响应于访问请求的反馈数据。
本发明的技术方案中,将隔离应用程序向目标服务器发送的访问请求转发至代理服务;通过代理服务将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器;使得该访问请求中的用户私密数据在专用网络通道中传输时,不会受到来自外来的恶意攻击,从而使得该访问请求中的用户私密数据能够安全地传输到专用网络服务器,即使在该传输中受到了来自外来的恶意攻击,由于该访问请求中的用户私密数据被加密,所以不会被恶意攻击获取到;同时专用网络服务器预置IP校验或其所在机房设置于骨干网中,使得其在将访问请求发送至目标服务器时,能减少被恶意攻击的可能性,从而保证用户的私密数据不被泄漏,以及保证户财产的安全。
以下针对各个步骤的具体实现做进一步的说明:
步骤S101:检测到隔离应用程序向目标服务器发送访问请求时,将访问请求发送至代理服务。
具体地,如图2所示,检测到隔离应用程序向目标服务器发送访问请求的步骤,包括:步骤S201:检测到任一应用程序向目标服务器发送访问请求时,截获访问请求;步骤S202:基于访问请求中的应用程序标识信息,判断发送访问请求的应用程序是否为隔离应用程序。
需要说明的是,在本优选实施例中,基于沙箱技术为应用程序设置较高的操作、调用等安全权限,从而在Android操作系统中为应用程序形成虚拟空间,即隔离区,并通过虚拟化重定向技术,把应用程序定向到虚拟空间中,如通过虚拟化重定向技术将财产类应用程序定向到在隔离区内。基于沙箱技术设置隔离区的过程是本领域的现有技术手段,在此不再赘述。
具体地,移动终端通过钩子函数对任一应用程序向目标服务器发送访问请求的操作进行监控,当钩子函数检测到任一应用程序向目标服务器发送访问请求时,钩子函数会拦截该访问请求,并通过解析该访问请求中的网络数据,获取其中发送该访问请求中的应用程序的标识信息,如应用程序的名称,并基于该应用程序的标识信息,判断发送该访问请求的应用程序是否为隔离应用程序。
更具体地,判断发送访问请求的应用程序是否为隔离应用程序的步骤,包括:基于预定的隔离应用程序的名单,确定应用程序是否为隔离应用程序。若发送该访问请求的应用程序的标识信息在预定的隔离应用程序的名单中,则判断发送该访问请求的应用程序是隔离应用程序,并将访问请求发送至代理服务。
其中,预定的隔离应用程序的名单中存储有但不限于:财产类应用程序的标识信息;如,“掌上生活”应用程序的标识信息、“同花顺”应用程序的标识信息、“财付通”应用程序的标识信息等。
代理服务包括但不限于:本地VPN代理服务器。
需要说明的是,本实施例的实现是在移动终端与该本地VPN代理服务器相连接的前提下实现的。
若判断发送该访问请求的应用程序不是隔离应用程序;则将该访问请求通过公共网络通道,如IPV6网络通道,发送至目标服务器。
步骤S102:通过代理服务将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器,以使得专用网络服务器对封装加密后的访问请求进行解密,并将解密后的访问请求转发至目标服务器。
其中,专用网络服务器包括但不限于:VPN网络服务器。
具体地,基于代理服务与专用网络服务器之间预定的传输协议,如Socks5传输协议,代理服务对接收到的访问请求中的网路数据进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器;专用网络服务器接收到该封装加密后的访问请求后,基于Socks5传输协议,对该封装加密后的访问请求进行解封装和解密,以获取该访问请求中的网络数据,专用网络服务器基于其自身设置的网卡和从解密后的访问请求中的网络数据中获取到的目标服务器的IP地址,将解密后的访问请求转发至目标服务器。当目标服务器接收到该解密后的访问请求后,将响应于该解密后的访问请求的反馈数据通过专用网络服务器、代理服务返回至移动终端中的隔离应用程序。
需要说明的是,由于专用网络服务器设置了网站IP校验或网络专用服务器所在机房设置在骨干网中,使得专用网络服务器距离目标服务器距离相对很近,所以会在一定程度上避免外来的恶意破坏者对在专用网络服务器与目标服务器之间进行传输的网络数据的攻击,如网络数据的监听和欺骗;并能在很大程度上确保移动终端到目标服务器之间都是安全的。
具体地,该方法还包括:将用于建立公共网络通道的连接接口函数修改为用于建立专用网络通道的预置的桩函数,以建立专用网络通道。
移动终端中的任一应用程序的访问请求通过基于connect连接接口函数建立的公共网络通道发送至目标服务器;代理服务将该connect连接接口函修改为在移动终端Android操作系统中的bionic自定义库中预置的桩函数,使得代理服务将封装加密后的访问请求通过基于该桩函数建立的专用网络通道发送至专用网络服务器,从而间接将公共网络通道转接到专用网络通道上。
需要说明的是,设置在移动终端Android操作系统上的任一应用程序,均通过基于该connect连接接口函数建立的公共网络通道将访问请求发送至目标服务器,通过connect连接接口函数建立的公共网络通道的过程是本领域较为成熟的技术,本领域的技术人员应该是可以预料的,此处就不在赘述了。其中,访问请求中的数据包既可以是IPV4数据包,也可以是IPV6数据包。
步骤S103:接收由目标服务器返回的响应于访问请求的反馈数据。
具体地,隔离应用程序接收由目标服务器响应于该解密后的访问请求的反馈数据,该反馈数据通过专用网络服务器、代理服务返回至移动终端中的隔离应用程序。
图3为本发明中另一个实施例的网络数据传输系统的数据传输示意图。
隔离应用客户端301,将向目标服务器发送的访问请求发送至代理服务器302;并接收由目标服务器304返回的响应于访问请求的反馈数据。代理服务器302,将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器303;专用网络服务器303,对封装加密后的访问请求进行解密,并将解密后的访问请求转发至目标服务器304。
以下针对各个执行客体的具体实现做进一步的说明:
隔离应用客户端301,将向目标服务器304发送的访问请求发送至代理服务器302;并接收由目标服务器304返回的响应于访问请求的反馈数据。
需要说明的是,在本实施例中,基于沙箱技术为应用程序设置较高的操作、调用等安全权限,从而在Android操作系统中为应用程序形成虚拟空间,即隔离区,并通过虚拟化重定向技术,把应用程序定向到虚拟空间中,如通过虚拟化重定向技术将财产类应用程序定向到在隔离区内。基于沙箱技术设置隔离区的过程是本领域的现有技术手段,在此不再赘述。
其中,预定的隔离应用程序的名单中存储有但不限于:财产类应用程序的标识信息;如,“掌上生活”应用程序的标识信息、“同花顺”应用程序的标识信息、“财付通”应用程序的标识信息等。
代理服务器302包括但不限于:本地VPN代理服务器。
需要说明的是,本实施例的实现是在隔离应用客户端301与该本地VPN代理服务器相连接的前提下实现的,隔离应用客户端301与该本地VPN代理服务器相连接实现访问请求的发送是本领域较为成熟的技术,本领域的技术人员应该是可以预料的,此处就不在赘述了。非隔离应用程序客户端将访问请求通过公共网络通道,如IPV6网络通道,发送至目标服务器304。
隔离应用客户端301接收由目标服务器304响应于该解密后的访问请求的反馈数据,该反馈数据通过专用网络服务器303、代理服务器302返回至移动终端中的隔离应用客户端301。
代理服务器302,将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器303。
具体地,基于代理服务器302与专用网络服务器303之间预定的传输协议,如Socks5传输协议,代理服务器302对接收到的访问请求中的网路数据进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器303。
移动终端中的任一应用程序客户端的访问请求通过基于connect连接接口函数建立的公共网络通道发送至目标服务器304;代理服务器302将该connect连接接口函修改为在移动终端Android操作系统中的bionic自定义库中预置的桩函数,使得代理服务器302将封装加密后的访问请求通过基于该桩函数建立的专用网络通道发送至专用网络服务器303,从而间接将公共网络通道转接到专用网络通道上。
需要说明的是,设置在移动终端Android操作系统上的任一应用程序客户端,均通过基于该connect连接接口函数建立的公共网络通道将访问请求发送至目标服务器304,通过connect连接接口函数建立的公共网络通道的过程是本领域较为成熟的技术,本领域的技术人员应该是可以预料的,此处就不在赘述了。其中,访问请求中的数据包既可以是IPV4数据包,也可以是IPV6数据包。
专用网络服务器303,对封装加密后的访问请求进行解密,并将解密后的访问请求转发至目标服务器304。
具体地,专用网络服务器303,获取解密后的访问请求中的目标服务器304的IP地址,并基于IP地址将解密后的访问请求转发至目标服务器304。
其中,专用网络服务器303包括但不限于:VPN网络服务器。
专用网络服务器303接收到该封装加密后的访问请求后,基于Socks5传输协议,对该封装加密后的访问请求进行解封装和解密,以获取该访问请求中的网络数据,专用网络服务器303基于其自身设置的网卡和从解密后的访问请求中的网络数据中获取到的目标服务器304的IP地址,将解密后的访问请求转发至目标服务器304。当目标服务器304接收到该解密后的访问请求后,将响应于该解密后的访问请求的反馈数据通过专用网络服务器303、代理服务器302返回至移动终端中的隔离应用客户端301。
需要说明的是,由于专用网络服务器303设置了网站IP校验或网络专用服务器所在机房设置在骨干网中,使得专用网络服务器303距离目标服务器304距离相对很近,所以会在一定程度上避免外来的恶意破坏者对在专用网络服务器303与目标服务器304之间进行传输的网络数据的攻击,如网络数据的监听和欺骗;并能在很大程度上确保移动终端到目标服务器304之间都是安全的。
图4为本发明中又一个实施例的移动终端中应用程序的网络数据传输装置的结构框架示意图。
访问请求发送模块401,检测到隔离应用程序向目标服务器发送访问请求时,将访问请求发送至代理服务;访问请求封装加密模块402,通过代理服务将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器,以使得专用网络服务器对封装加密后的访问请求进行解密,并将解密后的访问请求转发至目标服务器;反馈数据接收模块403,接收由目标服务器返回的响应于访问请求的反馈数据。
以下针对各个模块的具体作用做进一步的说明:
访问请求发送模块401,检测到隔离应用程序向目标服务器发送访问请求时,将访问请求发送至代理服务。
具体地,如图5所示,访问请求发送模块401包括:访问请求截获单元501,检测到任一应用程序向目标服务器发送访问请求时,截获访问请求;判断单元502,基于访问请求中的应用程序标识信息,判断发送访问请求的应用程序是否为隔离应用程序。
需要说明的是,在本优选实施例中,基于沙箱技术为应用程序设置较高的操作、调用等安全权限,从而在Android操作系统中为应用程序形成虚拟空间,即隔离区,并通过虚拟化重定向技术,把应用程序定向到虚拟空间中,如通过虚拟化重定向技术将财产类应用程序定向到在隔离区内。基于沙箱技术设置隔离区的过程是本领域的现有技术手段,在此不再赘述。
具体地,移动终端中的访问请求发送模块401通过钩子函数对任一应用程序向目标服务器发送访问请求的操作进行监控,当钩子函数检测到任一应用程序向目标服务器发送访问请求时,钩子函数会拦截该访问请求,并通过解析该访问请求中的网络数据,获取其中发送该访问请求中的应用程序的标识信息,如应用程序的名称,并基于该应用程序的标识信息,判断发送该访问请求的应用程序是否为隔离应用程序。
更具体地,该装置还包括:判断模块,基于预定的隔离应用程序的名单,确定应用程序是否为隔离应用程序。若发送该访问请求的应用程序的标识信息在预定的隔离应用程序的名单中,则判断发送该访问请求的应用程序是隔离应用程序,并将访问请求发送至代理服务。
其中,预定的隔离应用程序的名单中存储有但不限于:财产类应用程序的标识信息;如,“掌上生活”应用程序的标识信息、“同花顺”应用程序的标识信息、“财付通”应用程序的标识信息等。
代理服务包括但不限于:本地VPN代理服务器。
需要说明的是,本实施例的实现是在移动终端与该本地VPN代理服务器相连接的前提下实现的。
具体地,该装置还包括:判断结果执行模块,若判断发送访问请求的应用程序不是隔离应用程序;则将访问请求通过公共网络通道,如IPV6网络通道,发送至目标服务器。
访问请求封装加密模块402,通过代理服务将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器,以使得专用网络服务器对封装加密后的访问请求进行解密,并将解密后的访问请求转发至目标服务器。
其中,专用网络服务器包括但不限于:VPN网络服务器。
具体地,基于代理服务与专用网络服务器之间预定的传输协议,如Socks5传输协议,代理服务中的访问请求封装加密模块402对接收到的访问请求中的网路数据进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器;专用网络服务器接收到该封装加密后的访问请求后,基于Socks5传输协议,对该封装加密后的访问请求进行解封装和解密,以获取该访问请求中的网络数据,专用网络服务器基于其自身设置的网卡和从解密后的访问请求中的网络数据中获取到的目标服务器的IP地址,将解密后的访问请求转发至目标服务器。当目标服务器接收到该解密后的访问请求后,将响应于该解密后的访问请求的反馈数据通过专用网络服务器、代理服务返回至移动终端中的隔离应用程序。
需要说明的是,由于专用网络服务器设置了网站IP校验或网络专用服务器所在机房设置在骨干网中,使得专用网络服务器距离目标服务器距离相对很近,所以会在一定程度上避免外来的恶意破坏者对在专用网络服务器与目标服务器之间进行传输的网络数据的攻击,如网络数据的监听和欺骗;并能在很大程度上确保移动终端到目标服务器之间都是安全的。
具体地,该装置还包括:专用网络通道建立模块,将用于公共建立网络通道的连接接口函数修改为用于建立专用网络通道的预置的桩函数,以建立专用网络通道。
移动终端中的任一应用程序的访问请求通过基于connect连接接口函数建立的公共网络通道发送至目标服务器;代理服务中的专用网络通道建立模块将该connect连接接口函修改为在移动终端Android操作系统中的bionic自定义库中预置的桩函数,使得代理服务将封装加密后的访问请求通过基于该桩函数建立的专用网络通道发送至专用网络服务器,从而间接将公共网络通道转接到专用网络通道上。
需要说明的是,设置在移动终端Android操作系统上的任一应用程序,均通过基于该connect连接接口函数建立的公共网络通道将访问请求发送至目标服务器,通过connect连接接口函数建立的公共网络通道的过程是本领域较为成熟的技术,本领域的技术人员应该是可以预料的,此处就不在赘述了。其中,访问请求中的数据包既可以是IPV4数据包,也可以是IPV6数据包。
反馈数据接收模块403,接收由目标服务器返回的响应于访问请求的反馈数据。
具体地,隔离应用程序中的反馈数据接收模块403接收由目标服务器响应于该解密后的访问请求的反馈数据,该反馈数据通过专用网络服务器、代理服务返回至移动终端中的隔离应用程序。
本技术领域技术人员可以理解,本发明包括涉及用于执行本申请中所述操作中的一项或多项的设备。这些设备可以为所需的目的而专门设计和制造,或者也可以包括通用计算机中的已知设备。这些设备具有存储在其内的计算机程序,这些计算机程序选择性地激活或重构。这样的计算机程序可以被存储在设备(例如,计算机)可读介质中或者存储在适于存储电子指令并分别耦联到总线的任何类型的介质中,所述计算机可读介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(Random Access Memory,随即存储器)、EPROM(Erasable ProgrammableRead-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically ErasableProgrammable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
本技术领域技术人员可以理解,可以用计算机程序指令来实现这些结构图和/或框图和/或流图中的每个框以及这些结构图和/或框图和/或流图中的框的组合。本技术领域技术人员可以理解,可以将这些计算机程序指令提供给通用计算机、专业计算机或其他可编程数据处理方法的处理器来实现,从而通过计算机或其他可编程数据处理方法的处理器来执行本发明公开的结构图和/或框图和/或流图的框或多个框中指定的方案。
本技术领域技术人员可以理解,本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地,具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地,现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种移动终端中应用程序的网络数据传输方法,其特征在于,包括:
检测到隔离应用程序向目标服务器发送访问请求时,将所述访问请求发送至代理服务;
通过代理服务将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器,以使得所述专用网络服务器对封装加密后的访问请求进行解密,并将解密后的访问请求转发至目标服务器;
接收由所述目标服务器返回的响应于所述访问请求的反馈数据。
2.根据权利要求1所述的方法,其特征在于,检测到隔离应用程序向目标服务器发送访问请求的步骤,包括:
检测到任一应用程序向目标服务器发送访问请求时,截获所述访问请求;
基于所述访问请求中的应用程序标识信息,判断发送所述访问请求的应用程序是否为所述隔离应用程序。
3.根据权利要求2所述的方法,其特征在于,还包括:
若判断发送所述访问请求的应用程序不是所述隔离应用程序;则将所述访问请求通过公共网络通道发送至所述目标服务器。
4.根据权利要求2或3所述的方法,其特征在于,判断发送所述访问请求的应用程序是否为所述隔离应用程序的步骤,包括:
基于预定的隔离应用程序的名单,确定所述应用程序是否为隔离应用程序。
5.根据权利要求1所述的方法,其特征在于,还包括:
将用于建立公共网络通道的连接接口函数修改为用于建立专用网络通道的预置的桩函数,以建立专用网络通道。
6.一种网络数据传输系统,其特征在于,包括:
隔离应用客户端,用于将向目标服务器发送的访问请求发送至代理服务器;并接收由所述目标服务器返回的响应于所述访问请求的反馈数据;
代理服务器,用于将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器;
专用网络服务器,用于对封装加密后的访问请求进行解密,并将解密后的访问请求转发至目标服务器。
7.根据权利要求6所述的系统,其特征在于,所述专用网络服务器,用于获取所述解密后的访问请求中的目标服务器的IP地址,并基于所述IP地址将所述解密后的访问请求转发至目标服务器。
8.一种移动终端中应用程序的网络数据传输装置,其特征在于,包括:
访问请求发送模块,用于检测到隔离应用程序向目标服务器发送访问请求时,将所述访问请求发送至代理服务;
访问请求封装加密模块,用于通过代理服务将接收到的访问请求进行封装加密,并将封装加密后的访问请求通过预建立的专用网络通道发送至专用网络服务器,以使得所述专用网络服务器对封装加密后的访问请求进行解密,并将解密后的访问请求转发至目标服务器;
反馈数据接收模块,用于接收由所述目标服务器返回的响应于所述访问请求的反馈数据。
9.根据权利要求8所述的装置,其特征在于,所述访问请求发送模块包括:
访问请求截获单元,用于检测到任一应用程序向目标服务器发送访问请求时,截获所述访问请求;
判断单元,用于基于所述访问请求中的应用程序标识信息,判断发送所述访问请求的应用程序是否为所述隔离应用程序。
10.一种移动终端,其特征在于,包括如权利要求9所述移动终端中应用程序的网络数据传输装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611048339.4A CN106789909A (zh) | 2016-11-22 | 2016-11-22 | 应用程序的网络数据传输方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611048339.4A CN106789909A (zh) | 2016-11-22 | 2016-11-22 | 应用程序的网络数据传输方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106789909A true CN106789909A (zh) | 2017-05-31 |
Family
ID=58975635
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611048339.4A Pending CN106789909A (zh) | 2016-11-22 | 2016-11-22 | 应用程序的网络数据传输方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106789909A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107395616A (zh) * | 2017-08-14 | 2017-11-24 | 北京奇虎科技有限公司 | 一种用于对数据文件进行安全处理的方法及系统 |
| CN107920069A (zh) * | 2017-11-15 | 2018-04-17 | 中国联合网络通信集团有限公司 | 加密终端内应用程序安全处理方法及装置 |
| CN108376055A (zh) * | 2018-03-16 | 2018-08-07 | 何小林 | 通过可信通道技术保护磁盘阵列数据安全的方法和系统 |
| CN108616536A (zh) * | 2018-04-28 | 2018-10-02 | 成都睿码科技有限责任公司 | 加密socks协议的一种方法及其应用 |
| CN109450766A (zh) * | 2018-09-21 | 2019-03-08 | 北京奇安信科技有限公司 | 一种工作区级vpn的访问处理方法及装置 |
| CN109756992A (zh) * | 2017-08-24 | 2019-05-14 | 阿里巴巴集团控股有限公司 | 创建网络连接的方法、装置和系统 |
| CN109889468A (zh) * | 2017-12-06 | 2019-06-14 | 腾讯科技(武汉)有限公司 | 网络数据的传输方法、系统、装置、设备及存储介质 |
| CN111132138A (zh) * | 2019-12-06 | 2020-05-08 | 中国电子科技集团公司电子科学研究院 | 一种移动应用程序透明通信保护方法与装置 |
| CN112398842A (zh) * | 2020-11-06 | 2021-02-23 | 北京金山云网络技术有限公司 | 访问外网数据的方法、装置、电子设备及网关服务器 |
| CN112769835A (zh) * | 2021-01-13 | 2021-05-07 | 网宿科技股份有限公司 | 一种访问请求的发起方法及终端设备 |
| CN113542274A (zh) * | 2021-07-15 | 2021-10-22 | 南京中孚信息技术有限公司 | 一种跨网域数据传输方法、装置、服务器及存储介质 |
| CN114006757A (zh) * | 2021-10-29 | 2022-02-01 | 京东方科技集团股份有限公司 | Gis服务的访问控制方法、装置、架构、介质及设备 |
| CN114595465A (zh) * | 2020-12-04 | 2022-06-07 | 成都鼎桥通信技术有限公司 | 数据加密处理方法、装置及电子设备 |
| CN116915867A (zh) * | 2023-09-13 | 2023-10-20 | 北京嗨飞科技有限公司 | 一种网络数据传输方法、装置及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030014628A1 (en) * | 2001-07-06 | 2003-01-16 | Michael Freed | Secure sockets layer proxy architecture |
| CN105100095A (zh) * | 2015-07-17 | 2015-11-25 | 北京奇虎科技有限公司 | 移动终端应用程序安全交互方法及装置 |
| CN105119928A (zh) * | 2015-09-07 | 2015-12-02 | 百度在线网络技术(北京)有限公司 | 安卓智能终端的数据传输方法、装置及系统 |
| CN105282153A (zh) * | 2015-09-30 | 2016-01-27 | 北京奇虎科技有限公司 | 一种实现数据传输的方法及终端设备 |
-
2016
- 2016-11-22 CN CN201611048339.4A patent/CN106789909A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030014628A1 (en) * | 2001-07-06 | 2003-01-16 | Michael Freed | Secure sockets layer proxy architecture |
| CN105100095A (zh) * | 2015-07-17 | 2015-11-25 | 北京奇虎科技有限公司 | 移动终端应用程序安全交互方法及装置 |
| CN105119928A (zh) * | 2015-09-07 | 2015-12-02 | 百度在线网络技术(北京)有限公司 | 安卓智能终端的数据传输方法、装置及系统 |
| CN105282153A (zh) * | 2015-09-30 | 2016-01-27 | 北京奇虎科技有限公司 | 一种实现数据传输的方法及终端设备 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107395616A (zh) * | 2017-08-14 | 2017-11-24 | 北京奇虎科技有限公司 | 一种用于对数据文件进行安全处理的方法及系统 |
| CN107395616B (zh) * | 2017-08-14 | 2020-10-27 | 北京奇虎科技有限公司 | 一种用于对数据文件进行安全处理的方法及系统 |
| CN109756992B (zh) * | 2017-08-24 | 2022-08-30 | 阿里巴巴集团控股有限公司 | 创建网络连接的方法、装置和系统 |
| CN109756992A (zh) * | 2017-08-24 | 2019-05-14 | 阿里巴巴集团控股有限公司 | 创建网络连接的方法、装置和系统 |
| CN107920069A (zh) * | 2017-11-15 | 2018-04-17 | 中国联合网络通信集团有限公司 | 加密终端内应用程序安全处理方法及装置 |
| CN109889468B (zh) * | 2017-12-06 | 2022-06-14 | 腾讯科技(武汉)有限公司 | 网络数据的传输方法、系统、装置、设备及存储介质 |
| CN109889468A (zh) * | 2017-12-06 | 2019-06-14 | 腾讯科技(武汉)有限公司 | 网络数据的传输方法、系统、装置、设备及存储介质 |
| CN108376055A (zh) * | 2018-03-16 | 2018-08-07 | 何小林 | 通过可信通道技术保护磁盘阵列数据安全的方法和系统 |
| CN108376055B (zh) * | 2018-03-16 | 2021-08-17 | 何小林 | 通过可信通道技术保护磁盘阵列数据安全的方法和系统 |
| CN108616536A (zh) * | 2018-04-28 | 2018-10-02 | 成都睿码科技有限责任公司 | 加密socks协议的一种方法及其应用 |
| CN109450766B (zh) * | 2018-09-21 | 2021-05-25 | 北京奇安信科技有限公司 | 一种工作区级vpn的访问处理方法及装置 |
| CN109450766A (zh) * | 2018-09-21 | 2019-03-08 | 北京奇安信科技有限公司 | 一种工作区级vpn的访问处理方法及装置 |
| CN111132138A (zh) * | 2019-12-06 | 2020-05-08 | 中国电子科技集团公司电子科学研究院 | 一种移动应用程序透明通信保护方法与装置 |
| CN112398842A (zh) * | 2020-11-06 | 2021-02-23 | 北京金山云网络技术有限公司 | 访问外网数据的方法、装置、电子设备及网关服务器 |
| CN114595465A (zh) * | 2020-12-04 | 2022-06-07 | 成都鼎桥通信技术有限公司 | 数据加密处理方法、装置及电子设备 |
| CN112769835A (zh) * | 2021-01-13 | 2021-05-07 | 网宿科技股份有限公司 | 一种访问请求的发起方法及终端设备 |
| CN113542274A (zh) * | 2021-07-15 | 2021-10-22 | 南京中孚信息技术有限公司 | 一种跨网域数据传输方法、装置、服务器及存储介质 |
| CN114006757A (zh) * | 2021-10-29 | 2022-02-01 | 京东方科技集团股份有限公司 | Gis服务的访问控制方法、装置、架构、介质及设备 |
| CN114006757B (zh) * | 2021-10-29 | 2024-04-05 | 京东方科技集团股份有限公司 | Gis服务的访问控制方法、装置、架构、介质及设备 |
| CN116915867A (zh) * | 2023-09-13 | 2023-10-20 | 北京嗨飞科技有限公司 | 一种网络数据传输方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106789909A (zh) | 应用程序的网络数据传输方法、装置及系统 | |
| Al‐Turjman et al. | An overview of security and privacy in smart cities' IoT communications | |
| CN102316093B (zh) | 用于移动设备的双模式多服务vpn网络客户端 | |
| CN102333110B (zh) | 用于移动设备的具有动态翻译用户主页的vpn网络客户端 | |
| CN103051602B (zh) | 用于维护验证信息的便携式安全设备和方法 | |
| CN102333075B (zh) | 用于移动设备的具有动态故障转移的多服务vpn网络客户端 | |
| CN102333306B (zh) | 一种蜂窝移动设备以及一种用于蜂窝移动设备的系统和方法 | |
| CN104885427B (zh) | 用于威胁检测的情景感知型网络安全监控 | |
| CN102316153B (zh) | 对网页邮件本地接入动态构造显示的vpn网络客户端 | |
| CN102316092B (zh) | 用于移动设备的具有快速重新连接的vpn网络客户端 | |
| US7661128B2 (en) | Secure login credentials for substantially anonymous users | |
| CN102316094B (zh) | 用于移动设备的具有集成加速的多服务vpn网络客户端 | |
| CN106960148A (zh) | 一种设备标识的分配方法和装置 | |
| Oniga et al. | Analysis, design and implementation of secure LoRaWAN sensor networks | |
| CN106850642A (zh) | 用于直接访问网络的网络位置确定 | |
| CN105100095A (zh) | 移动终端应用程序安全交互方法及装置 | |
| CN103200059B (zh) | 安全网络接入处理方法及装置 | |
| Jeong et al. | An efficient authentication system of smart device using multi factors in mobile cloud service architecture | |
| CN111464563B (zh) | 一种工业控制网络的防护方法及对应的装置 | |
| CN106778291A (zh) | 应用程序的隔离方法及隔离装置 | |
| CN112615858B (zh) | 物联网设备监控方法、装置与系统 | |
| CN106888184A (zh) | 移动终端支付类应用程序安全支付方法及装置 | |
| CN101212753A (zh) | 数据流的安全保护方法 | |
| WO2011037226A1 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
| CN102752303A (zh) | 一种基于旁路的数据获取方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20170724 Address after: 100102, 18 floor, building 2, Wangjing street, Beijing, Chaoyang District, 1801 Applicant after: BEIJING ANYUN SHIJI SCIENCE AND TECHNOLOGY CO., LTD. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: Beijing Qihu Technology Co., Ltd. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170531 |
|
| RJ01 | Rejection of invention patent application after publication |