WO2023056747A1

WO2023056747A1 - 应用程序流量的控制方法、装置、设备及存储介质

Info

Publication number: WO2023056747A1
Application number: PCT/CN2022/092230
Authority: WO
Inventors: 褚阳波
Original assignee: 深圳市广和通无线股份有限公司
Priority date: 2021-10-09
Filing date: 2022-05-11
Publication date: 2023-04-13
Also published as: CN114024717A; CN114024717B

Abstract

公开了应用程序流量的控制方法、装置、设备及存储介质。该方法包括采用防火墙的输出链中的预设规则对各应用程序的报文进行匹配；当确定各应用程序的报文中存在与输出链中的预设规则匹配的目标报文时，确定目标报文所属的目标应用程序，并通过输出链拒绝传输目标应用程序的报文。

Description

应用程序流量的控制方法、装置、设备及存储介质

本申请要求于2021年10月09日提交中国国家知识产权局，申请号为202111175962.7、发明名称为“应用程序流量的控制方法、装置、设备及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

领域

本公开大体上涉及数据处理领域，更具体地涉及一种应用程序流量的控制方法、装置、设备及存储介质。

背景

随着技术的发展，智能硬件设备越来越多，智能硬件设备普遍有接入互联网并基于互联网向用户提供更好服务的需求。目前，智能硬件设备可以通过接入无线网络或者移动数据网络来达到接入互联网的目的，但是通过无线网络接入互联网的方式，适用于那些使用位置固定的智能硬件设备，对于使用时经常移动的智能硬件设备而言，接入移动数据网络才能满足需求。

当前当智能硬件设备中的移动数据网络开关打开时，智能硬件设备中的所有应用程序(APP)均能够接入移动数据网络，而当智能硬件设备中的移动数据网络开关关闭时，智能硬件设备中的所有应用程序均不能接入移动数据网络。可见，在当前的移动数据网络接入方案中，难以做到使智能硬件设备中的部分应用程序接入移动数据网络，而另外的部分应用程序则完全禁止接入移动数据网络。

概述

第一方面，本公开涉及应用程序流量的控制方法，包括：

采用防火墙输出链中的预设规则对各应用程序的报文进行匹配，；

当确定各所述应用程序的报文中存在与所述输出链中的预设规则匹配的目标报文时，确定所述目标报文所属的目标应用程序，并通过所述输出链拒绝传输所述目标应用程序的报文。

在某些实施方案中，采用防火墙的输出链中的预设规则对各应用程序的报文进行匹配，包括：

获取预先添加到所述防火墙的过滤表中的自定义链；

采用所述输出链调用所述自定义链中的预设规则对各所述应用程序的报文进行匹配。

在某些实施方案中，采用所述输出链调用所述自定义链中的预设规则对各所述应用程序的报文进行匹配，包括：

获取所述自定义链中的预设规则中的匹配条件，所述匹配条件包括所述目标应用程序的身份证明；

采用所述匹配条件对来自于各应用程序的报文进行匹配。

在某些实施方案中，采用所述匹配条件对来自于各应用程序的报文进行匹配，包括：

获取产生各所述报文的进程的标识；

当所述标识中存在与所述目标应用程序的身份证明一致的目标标识时，确定所述匹配条件与所述目标标识对应的报文匹配。

在某些实施方案中，采用所述输出链调用所述自定义链中的预设规则对各所述应用程序的报文进行匹配之前，还包括：

确定所述目标应用程序的标识为第一标识，所述第一标识用于指示拒绝所述目标应用程序接入移动数据网络。

在某些实施方案中，采用防火墙的输出链中的预设规则对各应用程序的报文进行匹配之前，还包括：

确定数据网络接口的网络状态指示所有的应用程序均允许接入移动数据网络，所述数据网络接口为网卡的接口。

在某些实施方案中，采用所述输出链调用所述自定义链中的预设规则对各所述应用程序的报文进行匹配之后，还包括：

当确定所述目标应用程序的标识由第一标识切换为第二标识时，删除所述自定义链中与所述目标应用程序对应的预设规则，并经由所述输出链传输所述目标应用程序的报文；

所述第二标识用于指示允许所述目标应用程序接入移动数据网络。

第二方面，本公开涉及应用程序流量的控制装置，包括：

匹配单元，用于采用防火墙的输出链中的预设规则对各应用程序的报文进行匹配；

拒绝单元，用于当确定各所述应用程序的报文中存在与所述输出链中的预设规则匹配的目标报文时，确定所述目标报文所属的目标应用程序，并通过所述输出链拒绝传输所述目标应用程序的报文。

第三方面，本公开涉及一种电子设备，包括：处理器、存储器和通信总线，其中，处理器和存储器通过通信总线完成相互间的通信；

所述存储器，用于存储计算机程序；

所述处理器，用于执行所述存储器中所存储的程序，实现第一方面所述的应用程序流量的控制方法。

第四方面，本公开涉及计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现第一方面所述的应用程序流量的控制方法。

在某些实施方案中，本公开通过采用防火墙的输出链中的预设规则对各应用程序的报文进行匹配；当确定各应用程序的报文中存在与输出链中的预设规则匹配的目标报文时，确定目标报文所属的目标应用程序，并通过输出链拒绝传输目标应用程序的报文。通过输出链中的预设规则，实现对指定应用程序(即目标应用程序)的报文的拦截，进而实现阻止目标应用程序接入移动数据网络，实现该指定应用程序完全不可使用移动数据网络的定制需求。

附图简要说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

为了更清楚地说明本公开的技术方案，下面将对本公开所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本公开一实施例提供的对智能硬件设备设置界面的一个截图的示意图；

图2为本公开另一实施例提供的对智能硬件设备设置界面的又一个截图的示意图；

图3为本公开另一实施例提供的对智能硬件设备设置界面的又一个截图的示意图；

图4为本公开实施例提供的应用程序流量的控制方法的流程示意图；

图5为本公开实施例提供的报文在用户空间与内核空间传输的示意图；

图6为本公开实施例提供的应用程序流量的控制装置的结构示意图；

图7为本公开实施例提供的电子设备的结构示意图。

详述

为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开的一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本公开保护的范围。

应理解，本公开示出的流程示意图中的各个步骤按照箭头的指示依次显示但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，图中的至少部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次执行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替执行。

以智能硬件设备中的操作系统为Android系统为例对相关技术进行阐述：

在某些实施方案中，请参照图1，图1为对智能硬件设备设置界面的一个截图的示意图，该截图示出了对移动数据网络开关(Mobile data)的控制。当Mobile data开启时，在没有WiFi等高优先级的网络接入时，所有声明了网络权限的应用程序都可以接入移动数据网络；关闭Mobile data之后，Android系统上安装的所有APP均不能再接入移动数据网络。

为了避免智能设备中的APP对流量的超额使用，智能硬件设备会对使用的流量进行提醒。在某些实施方案中，请参照图2，图2为对智能硬件设备设置界面的又一个截图示意图，该截图示出了Android系统上对流量的警告和限制。当设置流量警告开关(Set data warning)开启时，一旦流量达到警告值，会对用户进行提醒；当设置流量限制开关(Set data limit)开启时，一旦流量达到限制值，将会自动关闭Mobile data，此时所有的APP将不能接入移动数据网络。并且这个流量是Android设备计算的，与实际消耗可能会存在一些误差，所以难免因此而产生一些额外的费用。

为了进一步节省流量，一些版本较高的Android系统上集成了流量节省程序。在某些实施方案中，请参照图3，图3为对智能硬件设备设置界面的又一个截图示意图，该截图示出了集成有流量节省程序的设置界面，其中为了减少流量消耗，流量节省程序会阻止某些APP在后台收发数据，当前使用的APP可以收发数据。举例来说，当流量节省程序阻止的APP为浏览器时，在使用浏览器打开网页时，网页上的图片不会直接显示出来，但会预留图片框，需要用户点击图片框之后才能显示网络图片。

然而在实际应用中，尤其是一些特殊行业，往往会有这样的需求：在只有移动数据网络的情况下，由于流量的限制，完全不想让用户使用某些流量消耗较大的应用(如视频播放类应用)，但又必须允许某些定制的应用使用数据网络，这时候传统的数据网络开关以及流量节省程序就显得力不从心了。

假设有这样的场景：小A手机流量是包月的，每个月只有5GB流量，当他发现仅半个月就已经用了4GB流量之后，为了防止后半个月流量使用超标，如果只是简单的关闭移动数据网络，势必会给使用带来不便，这个时候，小A的需求可能只是想让部分流量消耗较大的APP(比如视频播放类应用)不可以使用数据网络，而不是整个操作系统都不可以使用数据网络了。

目前原生的Android系统，都无法满足上述需求，主要因为：

缺陷一：现有数据网络的开关控制是整体的，开关打开全部应用都可使用数据网络，关闭则都不能使用，无法满足仅仅限制某些指定APP不可使用数据网络的特定需求；

缺陷二：流量节省程序尽管可以针对单独的APP进行流量控制，但也不是完全禁止该APP使用数据网络，依然还是无法满足限制指定APP完全不可使用数据网络的定制需求。

为了解决上述技术问题，本公开在某些实施方案中提供一种应用程序流量的控制方法，该方法可以应用于电子设备中；

本公开实施例所描述电子设备可以包括智能手机(如Android手机、iOS手机、Windows Phone手机等)、平板电脑、掌上电脑、笔记本电脑、视频矩阵、监控平台、移动互联网设备(MID，Mobile Internet Devices)或穿戴式设备等，上述仅是举例，而非穷举，包含但不限于上述装置，当然，上述电子设备还可以为服务器，例如，云服务器。

如图4所示，该方法可以包括以下步骤：

步骤401、采用防火墙的输出链中的预设规则对各应用程序的报文进行匹配。

在某些实施方案中，防火墙可以采用Linux系统中基于包过滤的netfiler/iptables(后续简称iptables)实现，其可以对流入、流出及流经服务器的数据包进行精细的控制，可以完成封包过滤、封包重定向和网络地址转换(NAT)等功能。

iptables实际为客户端代理，用户通过iptables这个代理，将用户空间的安全设定执行到对应的“安全框架”中，这个“安全框架”为真正的防火墙，这个安全框架的名字为netfiler，位于内核空间。

请参照图5所示，图5为在某些实施方案中提供的报文在用户空间与内核空间传输的示意图。内核空间中，iptables中的输出链包括：路由器前链(preouting)、输入链(input)、转发链(forward)、输出链(output)和路由后链(postrouting)。不同类型的报文流分别如下所示：

到本机某进程的报文：preouting→input；

到本机转发后的报文：preouting→forward→postrouting；

本机某进程发出报文：output→postrouting。

在某些实施方案中，iptables中的每条输出链均为多条规则的集合，这些规则串在一起，形成了输出链。经过输出链的报文，需要与输出链上所有的规则进行匹配，如果匹配到符合条件的规则，则执行规则对应的动作。

在某些实施方案中，由于每条“链”上都可以设置一串规则，这些规则难免有些会相似，因此将实现相同功能的规则放在一起，将具有相同功能的规则的集合叫做“表”。iptables中定义了四种表，具体如下：

filter表：负责过滤功能；对应内核模块：iptables_filter

nat表：网络地址转换功能；对应内核模块：iptable_nat

mangle表：拆解报文，作出修改，并重新进行封装；对应内核模块：iptable_mangle

raw表：关闭nat表上启用的连接追踪机制；对应内核模块：iptable_raw。

在某些实施方案中，为了实现对目标应用程序流量的拦截，预先在防火墙的过滤表(filter表)中添加自定义链，并在接收到来自于各应用程序的报文时，由输出链调用自定义链中的预设规则对各应用程序的报文进行匹配。

在某些实施方案中，自定义链中的规则可以为空，即自定义链中没有预设规则。且在自定义链被使用时，只能被某个默认的链当作动作调用才能起作用，对应到本实施例中，该默认的链为输出链。

iptables中的规则由匹配条件和处理动作组成。匹配条件常用的参数包括p协议、s源地址、d目的地址、i指定输入网卡和o指定输出网卡等。其中，p协议用于匹配报文的协议类型；i指定输入网卡用于匹配报文是从哪个网卡接口流入；o指定输出网卡用于匹配报文将要从哪个网卡接口流出。处理动作在iptables中被称为target，常见的处理动作可以为：ACCEPT：允许数据包通过；DROP：直接丢弃数据包，不给任何回应信息，过了超时时间才会有反应；REJECT：明确拒绝数据包通过，客户端刚请求就会收到拒绝的信息；等。

基于上述iptables中的规则的组成，本实施例中的预设规则也包括匹配条件和处理动作。因此在采用预设规则对来自于各应用程序的报文进行匹配时，由预设规则中的匹配条件对报文进行匹配。

在某些实施方案中，获取filter表预设规则中的匹配条件，匹配条件中包括目标应用程序的身份证明(uid)；采用匹配条件对来自于各应用程序的报文进行匹配。

其中采用匹配条件对来自于各应用程序的报文进行匹配的具体实现过程为，获取产生各报文的进程的标识；当标识中存在与目标应用程序的身份证明一致的目标标识时，确定匹配条件与目标标识对应的报文匹配。

在某些实施方案中，考虑到可能需要同时禁止多个应用程序接入移动数据网络，因此在预先在输出链中添加自定义输出链，并在输出链中添加预设规则。

在某些实施方案中，为了一键设置所有APP禁止接入移动数据网络，该电子设备中还设置了数据网络接口的网络状态，该网络状态的优先级高于第二标识的优先级，具体地，当该网络状态指示所有的应用程序均禁止接入移动数据网络时，即使APP的标识为第二标识，APP仍然不能接入移动数据网络，因此通过设置数据网络接口的网络状态为所有的应用程序均禁止接入移动数据网络，可以一键设置实现使电子设备内所有的APP均不能接入移动数据网络；只有该网络状态指示所有的应用程序均允许接入移动数据网络时，APP的报文才有可能通过数据网络接口进行传输，其中，第二状态用于指示允许该APP接入移动数据网络。

其中，数据网络接口为网卡的接口，APP通过数据网络接口能够接入移动数据网络。

在某些实施方案中，考虑到移动互联网时代，用户存在随时使用目标应用程序的可能，因此为了不影响用户对目标应用程序的使用，可以设置通常情况下，并不在输出链中使用该预设规则，而当目标应用程序的标识指示拒绝目标应用程序接入移动数据网络时，才在输出链中使用该预设规则对各应用程序的报文进行匹配，从而达到禁止目标应用程序连接移动数据网络的效果。

在某些实施方案中，可以通过向输出链中添加预设规则的方式，实现使预设规则对各应用程序的报文进行匹配。

具体地，采用防火墙的输出链中的预设规则对各应用程序的报文进行匹配之前，确定目标应用程序的标识是否为第一标识，并当确定目标应用程序的标识为第一标识时，在输出链中添加预设规则，第一标识用于指示拒绝目标应用程序接入移动数据网络。

在某些实施方案中，可以通过标记有效位的方式将输出链中的预设规则置于有效，从而实现使预设规则对各应用程序的报文进行匹配。

在某些实施方案中，当预设规则为添加到输出链的规则时，当用户想重新使用目标应用程序接入移动数据网络时，为了不影响用户的使用，还可以将预设规则从输出链中删除。

具体地，当确定目标应用程序的标识由第一标识切换为第二标识时，删除自定义链中与目标应用程序对应的预设规则，并经由输出链传输目标应用程序的报文。

在某些实施方案中，当通过标记有效位的方式在自定义链中使用预设规则时，当确定目标应用程序的标识由第一标识切换为第二标识时，更新预设规则的有效位，以便通过传输目标应用程序的报文。

步骤402、当确定各应用程序的报文中存在与输出链中的预设规则匹配的目标报文时，确定目标报文所属的目标应用程序，并通过输出链拒绝传输目标应用程序的报文。

在某些实施方案中，本公开通过采用防火墙输出链中的预设规则对各应用程序的报文进行匹配；当确定各应用程序的报文中存在与输出链中的预设规则匹配的目标报文时，确定目标报文所属的目标应用程序，并通过输出链拒绝传输目标应用程序的报文。通过输出链中的预设规则，实现对指定应用程序(即目标应用程序)的报文的拦截，进而实现阻止目标应用程序接入移动数据网络，实现该指定应用程序完全不可使用移动数据网络的定制需求。

基于同一构思，在某些实施方案中提供了一种应用程序流量的控制装置，该装置的具体实施可参见方法实施例部分的描述，重复之处不再赘述，如图6所示，该装置主要包括：

匹配单元601，用于采用防火墙输出链中的预设规则对各应用程序的报文进行匹配；

拒绝单元602，用于当确定各应用程序的报文中存在与输出链中的预设规则匹配的目标报文时，确定目标报文所属的目标应用程序，并通过输出链拒绝传输目标应用程序的报文。

在某些实施方案中，匹配单元601用于：

获取预先添加到所述防火墙的过滤表中的自定义链；

在某些实施方案中，匹配单元601用于：

获取自定义链中的预设规则中的匹配条件，匹配条件包括目标应用程序的身份证明；

采用匹配条件对来自于各应用程序的报文进行匹配。

在某些实施方案中，匹配单元601用于：

获取产生各所述报文的进程的标识；

在某些实施方案中，该装置还用于：

采用所述输出链调用所述自定义链中的预设规则对各所述应用程序的报文进行匹配之前，确定目标应用程序的标识为第一标识，第一标识用于指示拒绝目标应用程序接入移动数据网络。

在某些实施方案中，该装置还用于：

采用输出链中的预设规则对各应用程序的报文进行匹配之前，确定数据网络接口的网络状态指示所有的应用程序均允许接入移动数据网络。

在某些实施方案中，该装置还用于：

采用所述输出链调用所述自定义链中的预设规则对各所述应用程序的报文进行匹配之前，当确定目标应用程序的标识由第一标识切换为第二标识时，删除自定义链中与目标应用程序对应的预设规则，并经由输出链传输目标应用程序的报文；

第二标识用于指示允许目标应用程序接入移动数据网络。

应理解，本公开中的各个单元或模块可全部或部分通过软件、硬件及其组合来实现。其中，网络接口可以是以太网或无线网卡。上述各模块或单元可以以硬件形式内嵌于或独立于服务器中的处理器中，也可以以软件形式存储于服务器中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

基于同一构思，本公开还提供了一种电子设备，如图7所示，该电子设备主要包括：处理器701、存储器702和通信总线703，其中，处理器701和存储器702通过通信总线703完成相互间的通信。其中，存储器702中存储有可被处理器701执行的程序，处理器701执行存储器702中存储的程序，实现如下步骤：

采用防火墙输出链中的预设规则对各应用程序的报文进行匹配；

当确定各应用程序的报文中存在与输出链中的预设规则匹配的目标报文时，确定目标报文所属的目标应用程序，并通过输出链拒绝传输目标应用程序的报文。

上述电子设备中提到的通信总线703可以是外设部件互连标准(Peripheral Component Interconnect，简称PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture，简称EISA)总线等。该通信总线703可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器702可以包括随机存取存储器(Random Access Memory，简称RAM)，也可以包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。在某些实施方案中，存储器还可以是至少一个位于远离前述处理器701的存储装置。

上述的处理器701可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等，还可以是数字信号处理器(Digital Signal Processing，简称DSP)、专用集成电路(Application Specific Integrated Circuit，简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在某些实施方案中，本公开还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，当该计算机程序在计算机上运行时，使得计算机执行上述实施例中所描述的应用程序流量的控制方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机指令时，全部或部分地产生按照本公开实施例所述的流程或功能。该计算机可以时通用计算机、专用计算机、计算机网络或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、微波等)方式向另外一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如软盘、硬盘、磁带等)、光介质(例如DVD)或者半导体介质(例如固态硬盘)等。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

应用程序流量的控制方法，包括：

采用防火墙的输出链中的预设规则对各应用程序的报文进行匹配；

当确定各所述应用程序的报文中存在与所述输出链中的预设规则匹配的目标报文时，确定所述目标报文所属的目标应用程序，并通过所述输出链拒绝传输所述目标应用程序的报文。
根据权利要求1所述的方法，其中，采用防火墙的输出链中的预设规则对各应用程序的报文进行匹配，包括：

获取预先添加到所述防火墙的过滤表中的自定义链；

采用所述输出链调用所述自定义链中的预设规则对各所述应用程序的报文进行匹配。
根据权利要求2所述的方法，其中，采用所述输出链调用所述自定义链中的预设规则对各所述应用程序的报文进行匹配，包括：

获取所述自定义链中的预设规则中的匹配条件，所述匹配条件包括所述目标应用程序的身份证明；

采用所述匹配条件对来自于各应用程序的报文进行匹配。
根据权利要求3所述的方法，其中，采用所述匹配条件对来自于各应用程序的报文进行匹配，包括：

获取产生各所述报文的进程的标识；

当所述标识中存在与所述目标应用程序的身份证明一致的目标标识时，确定所述匹配条件与所述目标标识对应的报文匹配。
根据权利要求2-4任一项所述的方法，其中，采用所述输出链调用所述自定义链中的预设规则对各所述应用程序的报文进行匹配之前，还包括：

确定所述目标应用程序的标识为第一标识，所述第一标识用于指示拒绝所述目标应用程序接入移动数据网络。
根据权利要求1-5任一项所述的方法，其中，采用防火墙的输出链中的预设规则对各应用程序的报文进行匹配之前，还包括：

确定数据网络接口的网络状态指示所有的应用程序均允许接入移动数据网络，所述数据网络接口为网卡的接口。
根据权利要求2-5任一项所述的方法，其中，采用所述输出链调用所述自定义链中的预设规则对各所述应用程序的报文进行匹配之后，还包括：

当确定所述目标应用程序的标识由第一标识切换为第二标识时，删除所述自定义链中与所述目标应用程序对应的预设规则，并经由所述输出链传输所述目标应用程序的报文；

所述第二标识用于指示允许所述目标应用程序接入移动数据网络。
应用程序流量的控制装置，包括：

匹配单元，用于采用防火墙输出链中的预设规则对各应用程序的报文进行匹配；

拒绝单元，用于当确定各所述应用程序的报文中存在与所述输出链中的预设规则匹配的目标报文时，确定所述目标报文所属的目标应用程序，并通过所述输出链拒绝传输所述目标应用程序的报文。
电子设备，包括：处理器、存储器和通信总线，其中，处理器和存储器通过通信总线完成相互间的通信；

所述存储器，用于存储计算机程序；

所述处理器，用于执行所述存储器中所存储的程序，实现权利要求1-7任一项所述的应用程序流量的控制方法。
计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-7任一项所述的应用程序流量的控制方法。