CN117938409A - 一种在Android系统中不依赖虚拟网卡实现动态访问控制的方法和系统 - Google Patents
一种在Android系统中不依赖虚拟网卡实现动态访问控制的方法和系统 Download PDFInfo
- Publication number
- CN117938409A CN117938409A CN202211304129.2A CN202211304129A CN117938409A CN 117938409 A CN117938409 A CN 117938409A CN 202211304129 A CN202211304129 A CN 202211304129A CN 117938409 A CN117938409 A CN 117938409A
- Authority
- CN
- China
- Prior art keywords
- access control
- dynamic access
- client
- dynamic
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 230000008447 perception Effects 0.000 claims abstract description 18
- 238000013507 mapping Methods 0.000 claims description 12
- 230000007613 environmental effect Effects 0.000 claims description 6
- 230000000903 blocking effect Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 abstract description 2
- 230000008859 change Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000011217 control strategy Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种在Android系统中不依赖虚拟网卡实现动态访问控制的方法和系统。该方法包括:应用客户端将自身业务数据发送至本地回环地址的特定端口;动态访问控制客户端监听该端口并获取应用客户端的数据包;动态访问控制客户端向动态访问控制网关转发所获取的数据包;动态访问控制网关根据配置的转发规则将数据包转发至应用服务端。所述动态访问控制客户端包含的环境安全感知模块感知移动终端应用的运行环境安全状态,由访问控制策略中心根据感知结果动态生成访问控制策略以决定对用户访问行为放行或阻断。本发明在Android设备虚拟网卡不可使用的情况下,只需对原有应用客户端进行IP地址和端口配置等极少量信息的改造,即可实现动态访问控制功能。
Description
技术领域
本发明属于计算机技术技术领域,具体涉及一种在Android系统中不依赖虚拟网卡实现动态访问控制的方法和系统。
背景技术
在Android系统中,现有的动态访问技术基于虚拟网卡技术与云端动态访问控制网关协作来实现。如图1所示,其基本思想是在Android设备中安装一个客户端程序,利用该客户端程序与动态访问控制网关建立数据传输隧道,以隧道为粒度进行动态访问控制。基本原理是客户端程序读取Android系统TUN虚拟网卡中的数据,根据隧道封装格式对数据包进行封装,从而与动态访问控制网关建立数据传输隧道,使Android系统中的应用数据经由传输隧道发送至动态访问控制网关,并由动态访问控制网关转发/代理至应用服务端。
现有方案的基本流程如下:
a)系统启动时动态访问控制客户端启动TUN网卡,并绑定该网卡,同时在操作系统中配置路由表项,指明需要路由至TUN网卡的数据包;
b)应用app客户端发起业务访问时,终端操作系统根据路由表信息将数据包发送至TUN网卡;
c)动态访问控制客户端监听TUN网卡并读取数据包,根据自身与动态访问控制网关之间的通讯协议格式对数据包进行封装;
d)动态访问控制客户端将封装完成的数据包再次经由操作系统协议栈发送出去;
e)终端操作系统根据路由信息将动态访问控制客户端封装后的数据包转发给物理网卡;
f)数据通过物理网卡发送至动态访问控制网关;
g)动态访问控制网关根据协议格式对数据包进行解封装,并由动态访问控制网关将业务数据转发或代理至应用服务端。
现有的动态访问控制技术的实现依赖于Android系统中的虚拟网卡。动态访问控制客户端绑定虚拟网卡收取应用客户端收发的数据包并基于自身与动态访问控制网关的通讯协议格式对数据包进行封装,从而使客户端数据包均到达动态访问控制网关,并由动态访问控制网关进行代理或转发至应用服务端。但在一些定制化Android系统下,系统虚拟网卡被禁用,导致动态访问控制客户端无法启动虚拟网卡进行数据包的收发与封装/解封装。
发明内容
本发明的目的是提供一种不依赖于Android系统虚拟网卡技术实现动态访问控制的方法和系统。
本发明采用的技术方案如下:
一种在Android系统中不依赖虚拟网卡实现动态访问控制的方法,包括以下步骤:
应用客户端将自身业务数据发送至本地回环地址的特定端口;
动态访问控制客户端监听本地回环地址的对应端口,获取应用客户端的数据包;
动态访问控制客户端与动态访问控制网关建立连接,并向动态访问控制网关转发所获取的数据包;
动态访问控制网关收到数据包后,根据配置的转发规则,将数据包转发至应用服务端。
进一步地,所述动态访问控制客户端包含环境安全感知模块;所述环境安全感知模块检测移动终端应用的运行环境安全状态,并将感知结果上报至访问控制策略中心;所述访问控制策略中心动态生成访问控制策略并下发至所述动态访问控制网关,在所述动态访问控制网关进行业务请求数据转发之前决定是否要阻断对应请求。
进一步地,所述应用服务端在所述动态访问控制网关注册,告知所述动态访问控制网关自身对外提供服务的地址与端口,形成所述动态访问控制网关的地址、端口与所述应用服务端的地址、端口的转发映射关系。
进一步地,所述动态访问控制网关收取来自所述动态访问控制客户端的数据包,根据所述转发映射关系,结合访问控制策略中心生成的访问控制策略,决定是否对进行转发,若转发则将请求转发至对应的应用服务端;若阻断则放弃转发该业务请求数据。
进一步地,所述动态访问控制客户端与所述动态访问控制网关之间的转发映射关系由管理员配置完成,形成应用客户端-动态访问控制客户端-动态访问控制网关-应用服务端的完整数据转发路径。
进一步地,所述环境安全感知模块采集Android终端的设备信息、用户信息、安全风险信息、地理位置信息、网络连接信息,上传至访问控制策略中心,访问控制策略中心根据采集到的终端信息编排访问控制策略,并将访问控制策略下发至动态访问控制网关。
一种Android终端,所述Android终端包括应用客户端、动态访问控制客户端和本地回环地址;其中:
应用客户端将自身业务数据发送至本地回环地址的特定端口;
动态访问控制客户端监听本地回环地址的对应端口,获取应用客户端的数据包;
动态访问控制客户端与动态访问控制网关建立连接,并向动态访问控制网关转发所获取的数据包。
一种不依赖虚拟网卡实现动态访问控制的系统,包括Android终端、访问控制策略中心、动态访问控制网关和应用服务端;所述Android终端包括应用客户端、动态访问控制客户端和本地回环地址;其中:
应用客户端将自身业务数据发送至本地回环地址的特定端口;
动态访问控制客户端监听本地回环地址的对应端口,获取应用客户端的数据包;
动态访问控制客户端与动态访问控制网关建立连接,并向动态访问控制网关转发所获取的数据包;
动态访问控制网关收到数据包后,根据配置的转发规则,将数据包转发至应用服务端;
所述动态访问控制客户端包含环境安全感知模块;所述环境安全感知模块检测移动终端应用的运行环境安全状态,并将感知结果上报至访问控制策略中心;所述访问控制策略中心动态生成访问控制策略并下发至所述动态访问控制网关,在所述动态访问控制网关进行业务请求数据转发之前决定是否要阻断对应请求。
本发明的有益效果如下:
1)在Android设备虚拟网卡不可使用的情况下,只需对原有应用客户端进行IP地址和端口配置等极少量信息的改造,即可以实现动态访问控制功能;
2)对原有应用服务端无需进行改造,仅需管理员将应用服务端信息在动态访问控制网关进行注册即可;
3)本方法对现有的业务访问方式改造小,不颠覆已有的业务对接成果,应用客户端和应用系统服务端对于数据交互的调用方式不变,用户使用体验没有改变;
4)本方法中,动态访问控制网关除串接部署方式外,还可支持旁路部署。旁路部署方式不改变现有设备部署模式,可快速部署。
附图说明
图1是现有方案的总体架构图。
图2是本发明的总体架构图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面通过具体实施例和附图,对本发明做进一步详细说明。
1.总体工作流程
如图2所示,在Android终端上虚拟网卡已被禁用,动态访问控制客户端以用户态app的形式运行。在服务端,动态访问控制网关置于应用服务器之前。本发明的一种在Android系统中不依赖虚拟网卡实现动态访问控制的方法,其基本思想是:应用客户端将自身业务数据发送至本地回环地址的特定端口,动态访问控制客户端监听本地回环地址的对应端口获取应用客户端的数据包,并与动态访问控制网关建立连接用于转发其所获取的数据包。在数据到达动态访问控制网关后(以下简称网关),网关根据管理员配置的转发规则,将数据转发至不同的应用服务端。在上述过程中,动态访问控制客户端的环境安全感知模块需检测移动终端应用的运行环境安全状态,并将感知结果上报至访问控制策略中心(以下简称策略中心),由策略中心动态生成访问控制策略下发至网关,在网关进行业务请求数据转发之前决定是否要阻断对应请求。
2.业务访问流程
a)应用客户端修改自身服务端(应用客户端对应的服务端)的地址和端口配置,将业务访问请求发送至本地回环地址(Loopback Address)的特定端口;应用服务端在动态访问控制网关注册,告知动态访问控制网关自身对外提供服务的地址与端口,再形成动态访问控制网关的地址、端口与应用服务端的地址、端口的转发映射关系;
b)动态访问控制客户端监听本地回环地址的对应端口并获取应用客户端的业务访问请求数据,根据自身与动态访问控制网关的通讯协议格式对数据封装,将业务访问请求数据转发至动态访问控制网关;
c)动态访问控制网关收取来自动态访问控制客户端的数据,根据步骤a)中形成的转发映射关系,结合访问控制策略中心生成的访问控制策略,决定是否对业务请求数据进行转发,若转发则将请求转发至对应的应用服务端;若阻断,则放弃转发该请求;
d)若业务请求数据到达应用服务端,则应用服务端形成对应的响应数据,原路返回至应用客户端。
3.本发明的关键点
1)在Android设备虚拟网卡不可用的情况下,基于端口转发的思想,将应用客户端进行少量改造,使得应用客户端的业务请求数据发送至由动态访问控制客户端监听的特定本地回环地址和端口,可以是应用客户端和动态访问控制客户端协商好的一个或者多个端口。
2)动态访问控制网关与应用服务端之间的转发映射关系由管理员进行配置,管理员在动态访问控制网关中登记应用服务端的地址和端口,形成网关与应用服务端的地址和端口的转发映射关系。
3)动态访问控制客户端与动态访问控制网关之间的通讯连接可以采用包括但不限于TLS/SSL等方式,实现对业务请求数据的机密性和完整性保护。
4)动态访问控制客户端与动态访问控制网关之间的转发映射关系可由管理员配置完成,与关键点1)相结合,形成应用客户端-动态访问控制客户端-动态访问控制网关-应用服务端的完整数据转发路径。
5)动态访问控制客户端除进行业务请求数据转发外,还需设置一个环境安全感知模块,用于感知当前移动终端的的环境安全状态,将感知结果上传至访问控制策略中心,由访问控制策略中心根据感知结果动态生成访问控制策略,决定对用户访问行为放行或阻断。
其中,动态访问控制客户端的环境安全感知模块感知当前移动终端的的环境安全状态的方法可以是:通过移动终端设备管理(MDM),移动应用管理(MAM),移动病毒扫描、漏洞扫描等模块,采集Android终端的设备信息、用户信息、安全风险信息、地理位置信息、网络连接信息等,上传至与动态访问控制网关配套工作的访问控制策略中心,由访问控制策略中心根据采集到的终端信息,编排访问控制策略,并将访问控制策略下发至动态访问控制网关,由动态访问控制网关根据访问控制策略决定是否阻断某些用户行为。访问控制策略的生成方法可以是个性化的,根据不同的业务需求、应用场景可以生成不同的访问控制策略。比如可以指定终端只能在某个固定的地理位置区域内使用,也可以指定只能某个用户在某个时间段内使用,也可以指定如果一个设备中毒,则彻底不允许这个设备接入到业务系统等等。
本发明中,动态访问控制网关除串接部署方式外,还可支持旁路部署。其中串接是指动态访问控制网关部署在用户访问服务端的必经之路上,旁路是指动态访问控制网关不是部署在必经之路上。旁路部署方式不改变现有设备部署模式,可快速部署。
本发明的另一实施例提供一种Android终端,所述Android终端包括应用客户端、动态访问控制客户端和本地回环地址;其中:
应用客户端将自身业务数据发送至本地回环地址的特定端口;
动态访问控制客户端监听本地回环地址的对应端口,获取应用客户端的数据包;
动态访问控制客户端与动态访问控制网关建立连接,并向动态访问控制网关转发所获取的数据包。
本发明的另一实施例提供一种不依赖虚拟网卡实现动态访问控制的系统,包括Android终端、访问控制策略中心、动态访问控制网关和应用服务端;所述Android终端包括应用客户端、动态访问控制客户端和本地回环地址;其中:
应用客户端将自身业务数据发送至本地回环地址的特定端口;
动态访问控制客户端监听本地回环地址的对应端口,获取应用客户端的数据包;
动态访问控制客户端与动态访问控制网关建立连接,并向动态访问控制网关转发所获取的数据包;
动态访问控制网关收到数据包后,根据配置的转发规则,将数据包转发至应用服务端;
所述动态访问控制客户端包含环境安全感知模块;所述环境安全感知模块检测移动终端应用的运行环境安全状态,并将感知结果上报至访问控制策略中心;所述访问控制策略中心动态生成访问控制策略并下发至所述动态访问控制网关,在所述动态访问控制网关进行业务请求数据转发之前决定是否要阻断对应请求。
以上公开的本发明的具体实施例,其目的在于帮助理解本发明的内容并据以实施,本领域的普通技术人员可以理解,在不脱离本发明的精神和范围内,各种替换、变化和修改都是可能的。本发明不应局限于本说明书的实施例所公开的内容,本发明的保护范围以权利要求书界定的范围为准。
Claims (9)
1.一种在Android系统中不依赖虚拟网卡实现动态访问控制的方法,其特征在于,包括以下步骤:
应用客户端将自身业务数据发送至本地回环地址的特定端口;
动态访问控制客户端监听本地回环地址的对应端口,获取应用客户端的数据包;
动态访问控制客户端与动态访问控制网关建立连接,并向动态访问控制网关转发所获取的数据包;
动态访问控制网关收到数据包后,根据配置的转发规则,将数据包转发至应用服务端。
2.根据权利要求1所述的方法,其特征在于,所述动态访问控制客户端包含环境安全感知模块;所述环境安全感知模块检测移动终端应用的运行环境安全状态,并将感知结果上报至访问控制策略中心;所述访问控制策略中心动态生成访问控制策略并下发至所述动态访问控制网关,在所述动态访问控制网关进行业务请求数据转发之前决定是否要阻断对应请求。
3.根据权利要求1或2所述的方法,其特征在于,所述动态访问控制客户端以用户态app的形式运行。
4.根据权利要求1或2所述的方法,其特征在于,所述应用服务端在所述动态访问控制网关注册,告知所述动态访问控制网关自身对外提供服务的地址与端口,形成所述动态访问控制网关的地址、端口与所述应用服务端的地址、端口的转发映射关系。
5.根据权利要求4所述的方法,其特征在于,所述动态访问控制网关收取来自所述动态访问控制客户端的数据包,根据所述转发映射关系,结合访问控制策略中心生成的访问控制策略,决定是否对进行转发,若转发则将请求转发至对应的应用服务端;若阻断则放弃转发该业务请求数据。
6.根据权利要求4所述的方法,其特征在于,所述动态访问控制客户端与所述动态访问控制网关之间的转发映射关系由管理员配置完成,形成应用客户端-动态访问控制客户端-动态访问控制网关-应用服务端的完整数据转发路径。
7.根据权利要求2所述的方法,其特征在于,所述环境安全感知模块采集Android终端的设备信息、用户信息、安全风险信息、地理位置信息、网络连接信息,上传至访问控制策略中心,访问控制策略中心根据采集到的终端信息编排访问控制策略,并将访问控制策略下发至动态访问控制网关。
8.一种Android终端,其特征在于,所述Android终端包括应用客户端、动态访问控制客户端和本地回环地址;其中:
应用客户端将自身业务数据发送至本地回环地址的特定端口;
动态访问控制客户端监听本地回环地址的对应端口,获取应用客户端的数据包;
动态访问控制客户端与动态访问控制网关建立连接,并向动态访问控制网关转发所获取的数据包。
9.一种不依赖虚拟网卡实现动态访问控制的系统,其特征在于,包括Android终端、访问控制策略中心、动态访问控制网关和应用服务端;所述Android终端包括应用客户端、动态访问控制客户端和本地回环地址;其中:
应用客户端将自身业务数据发送至本地回环地址的特定端口;
动态访问控制客户端监听本地回环地址的对应端口,获取应用客户端的数据包;
动态访问控制客户端与动态访问控制网关建立连接,并向动态访问控制网关转发所获取的数据包;
动态访问控制网关收到数据包后,根据配置的转发规则,将数据包转发至应用服务端;
所述动态访问控制客户端包含环境安全感知模块;所述环境安全感知模块检测移动终端应用的运行环境安全状态,并将感知结果上报至访问控制策略中心;所述访问控制策略中心动态生成访问控制策略并下发至所述动态访问控制网关,在所述动态访问控制网关进行业务请求数据转发之前决定是否要阻断对应请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211304129.2A CN117938409A (zh) | 2022-10-24 | 2022-10-24 | 一种在Android系统中不依赖虚拟网卡实现动态访问控制的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211304129.2A CN117938409A (zh) | 2022-10-24 | 2022-10-24 | 一种在Android系统中不依赖虚拟网卡实现动态访问控制的方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117938409A true CN117938409A (zh) | 2024-04-26 |
Family
ID=90754400
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211304129.2A Pending CN117938409A (zh) | 2022-10-24 | 2022-10-24 | 一种在Android系统中不依赖虚拟网卡实现动态访问控制的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117938409A (zh) |
-
2022
- 2022-10-24 CN CN202211304129.2A patent/CN117938409A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8885649B2 (en) | Method, apparatus, and system for implementing private network traversal | |
KR101478662B1 (ko) | 클라이언트의 ip주소를 서버로 전송하는 중계 시스템 및 방법 | |
EP1303096B1 (en) | Virtual network with adaptive dispatcher | |
CN112104754B (zh) | 网络代理方法、系统、装置、设备及存储介质 | |
US10742768B2 (en) | Relaying system and method of transmitting IP address of client to server using encapsulation protocol | |
EP2939401B1 (en) | Method for guaranteeing service continuity in a telecommunication network and system thereof | |
US20150127837A1 (en) | Relay apparatus and data transfer method | |
CN111262715B (zh) | 一种虚拟内网加速方法、系统和计算机设备 | |
CN110995829B (zh) | 实例调用方法、装置及计算机存储介质 | |
US7818437B2 (en) | Connection management system, connection management method, and management server | |
CN116633934A (zh) | 负载均衡方法、装置、节点及存储介质 | |
CN114501593A (zh) | 网络切片接入方法、装置、系统和存储介质 | |
CN114500176B (zh) | 用于vpn的多流负载均衡方法、装置、系统及存储介质 | |
EP1305920A1 (en) | A method of communication | |
CN113271252B (zh) | 通信建立方法、系统和计算机可读存储介质 | |
CN114025010B (zh) | 建立连接的方法和网络设备 | |
CN117938409A (zh) | 一种在Android系统中不依赖虚拟网卡实现动态访问控制的方法和系统 | |
EP3107352B1 (en) | Information transfer method, system and apparatus | |
CN110535743B (zh) | 一种数据包的处理方法、装置、存储介质及电子装置 | |
CN113141390B (zh) | Netconf通道管理方法及装置 | |
CN115297098A (zh) | 边缘服务获取方法和装置、边缘计算系统、介质、设备 | |
KR20190113200A (ko) | 메시지 서버 및 이를 포함하는 메시지 처리 장치 | |
CN103368841A (zh) | 报文转发方法和装置 | |
JP5889122B2 (ja) | 制御ノード及び通信制御方法 | |
CN116668558B (zh) | 一种针对udp协议流量实行动态访问控制的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |