基於行動作業系統的網絡數據訪問控制方法及系統與流程

2023-10-19 12:16:27 2

本發明涉及移動通信技術領域，尤其涉及一種基於行動作業系統的網絡數據訪問控制方法及系統。

背景技術：

目前，隨著移動網際網路的不斷發展，基於各大行動作業系統(例如，安卓(android)作業系統、ios作業系統、windowsphone作業系統等)的各種應用程式越來越多，使得智慧型手機訪問網絡的數據流量不斷增加，從而導致用戶花費在購買數據流量上的成本越來越高。同時，隨著移動網際網路領域黑客技術的不斷進步，很多劫持客戶信息的偽基站越來越多，這些偽基站可以在適當條件下(例如，用戶誤操作連接上偽基站)輕易劫持重要應用程式的重要數據(例如，交易數據等)。因此，如何降低數據流量的消耗，以及如何提高重要應用程式的網絡數據安全，已經成為一個亟待解決的技術問題。

技術實現要素：

本發明的主要目的在於提供一種基於行動作業系統的網絡數據訪問控制方法及系統，旨在降低數據流量的消耗，並且提高重要應用程式的網絡數據安全。

為實現上述目的，本發明提供一種基於行動作業系統的網絡數據訪問控制方法，所述基於行動作業系統的網絡數據訪問控制方法包括如下步驟：

監控並攔截各個應用程式的ip數據包；

識別攔截的所述ip數據包，確定其中需要發往遠程代理伺服器的ip數據包；

將攔截的所述ip數據包轉化為預設協議數據包；

根據需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器，標識需要發往遠程代理伺服器的ip數據包的預設協議數據包；

解析由攔截的所述ip數據包轉化的所述預設協議數據包，確定標識的所述預設協議數據包；

將標識的所述預設協議數據包發送至對應的遠程代理伺服器。

優選地，所述識別攔截的所述ip數據包，確定其中需要發往遠程代理伺服器的ip數據包的步驟包括：

根據預設的應用程式與遠程代理伺服器的映射關係，識別攔截的所述ip數據包，從中識別出與各個所述遠程代理伺服器存在映射關係的ip數據包。

優選地，所述根據需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器，標識需要發往遠程代理伺服器的ip數據包的預設協議數據包的步驟包括：

根據預存的遠程代理伺服器與遠程代理伺服器標識的映射關係，及預設的應用程式與遠程代理伺服器的映射關係，確定需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器的標識；

根據需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器的標識，標識需要發往遠程代理伺服器的ip數據包對應的預設協議數據包。

優選地，所述基於行動作業系統的網絡數據訪問控制方法還包括：

將未標識的所述預設協議數據包發送至原地址。

本發明還提供一種基於行動作業系統的網絡數據訪問控制系統，所述基於行動作業系統的網絡數據訪問控制系統包括：

監控模塊，用於監控並攔截各個應用程式的ip數據包；

包處理模塊，用於：識別攔截的所述ip數據包，確定其中需要發往遠程代理伺服器的ip數據包；將攔截的所述ip數據包轉化為預設協議數據包；以及根據需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器，標識需要發往遠程代理伺服器的ip數據包的預設協議數據包；

訪問控制模塊，用於：解析由攔截的所述ip數據包轉化的所述預設協議數據包，確定標識的所述預設協議數據包；將標識的所述預設協議數據包發送至對應的遠程代理伺服器。

優選地，所述包處理模塊具體用於：

根據預設的應用程式與遠程代理伺服器的映射關係，識別攔截的所述ip數據包，從中識別出與各個所述遠程代理伺服器存在映射關係的ip數據包。

優選地，所述包處理模塊還用於：

根據預存的遠程代理伺服器與遠程代理伺服器標識的映射關係，及預設的應用程式與遠程代理伺服器的映射關係，確定需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器的標識；

根據需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器的標識，標識需要發往遠程代理伺服器的ip數據包對應的預設協議數據包。

優選地，所述訪問控制模塊還用於：

將未標識的所述預設協議數據包發送至原地址。

本發明監控並攔截各個應用程式的ip數據包，識別攔截的ip數據包，確定其中需要發往遠程代理伺服器的ip數據包；並將攔截的ip數據包轉化為預設協議數據包；然後根據需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器，標識需要發往遠程代理伺服器的ip數據包對應的預設協議數據包，並將解析出標識的所述預設協議數據包發送至對應的遠程代理伺服器供遠程代理伺服器進行處理，採用這種方法，不對非對應發送至遠程代理伺服器的ip數據包進行處理，減少了數據處理的壓力，從而可降低數據流量的消耗，並且根據遠程代理伺服器的標識向其發送對應的數據，因而可提高重要應用程式的網絡數據安全。

附圖說明

圖1為本發明基於行動作業系統的網絡數據訪問控制方法第一實施例的流程示意圖；

圖2為圖1中步驟s40的細化流程示意圖；

圖3為本發明基於行動作業系統的網絡數據訪問控制方法第二實施例的流程示意圖；

圖4為本發明基於行動作業系統的網絡數據訪問控制系統第一實施例的結構示意圖。

本發明目的的實現、功能特點及優點將結合實施例，參照附圖做進一步說明。

具體實施方式

應當理解，此處所描述的具體實施例僅僅用以解釋本發明，並不用於限定本發明。

本發明提供一種基於行動作業系統的網絡數據訪問控制方法。

參照圖1，圖1為本發明基於行動作業系統的網絡數據訪問控制方法第一實施例的流程示意圖。

本發明一實施例中，基於行動作業系統的網絡數據訪問控制方法包括：

步驟s1，監控並攔截各個應用程式的ip數據包；

步驟s2，識別攔截的所述ip數據包，確定其中需要發往遠程代理伺服器的ip數據包；

步驟s3，將攔截的所述ip數據包轉化為預設協議數據包；

步驟s4，根據需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器，標識需要發往遠程代理伺服器的ip數據包對應的預設協議數據包；

步驟s5，解析由攔截的所述ip數據包轉化的所述預設協議數據包，確定標識的所述預設協議數據包；

步驟s6，將標識的所述預設協議數據包發送至對應的遠程代理伺服器。

本發明實施例所提供的方法，監控用戶基於各大行動作業系統所發出的各個應用程式對應的ip數據包，本實施例可通過vpnservice模塊等具有監控功能的模塊進行監控，並在這些ip數據包發送至對應的遠程代理伺服器之前，將其攔截，並識別所攔截的所述ip數據包，確定其中需要發往遠程代理伺服器的ip數據包，本實施例可通過tun2socks模塊等功能模塊進行識別並處理。本實施例中，預先設置了各個應用程式與遠程代理伺服器之間的映射關係，每個遠程代理伺服器可對應有一個或多個應用程式，具體地，在攔截到所述ip數據包後，根據應用程式與遠程代理伺服器的映射關係，從攔截到的所述ip數據包中，識別出與各個所述遠程代理伺服器存在映射關係的ip數據包。

在攔截到所述ip數據包後，將與各個所述遠程代理伺服器存在映射關係的ip數據包以及不存在映射關係的ip數據包進行數據轉換，即將ip數據包轉化成預設協議數據包，例如轉化為基於sock5協議等的可被遠程代理伺服器識別並接收的協議數據包；然後，根據需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器，標識需要發往遠程代理伺服器的ip數據包對應的預設協議數據包，即為ip數據包對應的預設協議數據包標識為遠程代理伺服器所 預設的標識。

對ip數據包的預設協議數據包進行標識後，對攔截的所述ip數據包轉化而成的所述預設協議數據包進行解析，以確定其中標識了為遠程代理伺服器所預設的標識的預設協議數據包，這一部分預設協議數據包所在的ip數據包則進一步被確定為需要發往遠程代理伺服器的ip數據包，因此，將標識有遠程代理伺服器的標識的所述預設協議數據包發送至對應的遠程代理伺服器，以供遠程代理伺服器進行相應的處理。

本發明實施例，監控並攔截各個應用程式的ip數據包，識別攔截的ip數據包，確定其中需要發往遠程代理伺服器的ip數據包；並將攔截的ip數據包轉化為預設協議數據包；然後根據需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器，標識需要發往遠程代理伺服器的ip數據包對應的預設協議數據包，並將解析出標識的所述預設協議數據包發送至對應的遠程代理伺服器供遠程代理伺服器進行處理，採用這種方法，不對非對應發送至遠程代理伺服器的ip數據包進行處理，減少了數據處理的壓力，從而可降低數據流量的消耗，並且根據遠程代理伺服器的標識向其發送對應的數據，因而可提高重要應用程式的網絡數據安全。

參照圖2，圖2為圖1中步驟s4的細化流程示意圖。

在上述實施例中，步驟s4具體包括：

步驟s41，根據預存的遠程代理伺服器與遠程代理伺服器標識的映射關係，及預設的應用程式與遠程代理伺服器的映射關係，確定需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器的標識；

步驟s42，根據需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器的標識，標識需要發往遠程代理伺服器的ip數據包對應的預設協議數據包。

本實施例預先存儲有遠程代理伺服器與遠程代理伺服器標識的映射關係，一個遠程代理伺服器對應一個標識，在標識需要發往遠程代理伺服器的ip數據包的預設協議數據包時，根據預存的遠程代理伺服器與遠程代理伺服器標識之間的映射關係，確定預設協議數據包所對應的遠程代理伺服器及其標識；然後，根據確定的遠程代理伺服器的標識，對預設協議數據包進行與 該標識同樣的標識。例如，遠程代理伺服器a的標識可以設為「11」，遠程代理伺服器b的標識可以設為「22」、、、、、；若遠程代理伺服器a對應a應用程式，遠程代理伺服器b對應b應用程式，並且攔截的各應用程式的ip數據包中包括a應用程式的ip數據包和b應用程式的ip數據包，則為a應用程式的ip數據包對應的預設協議數據包標識a代理伺服器的標識「11」，並為b應用程式的ip數據包對應的預設協議數據包標識b代理伺服器的標識「22」。

參照圖3，圖3為本發明基於行動作業系統的網絡數據訪問控制方法第二實施例的流程示意圖。

基於上述本發明基於行動作業系統的網絡數據訪問控制方法第一實施例，提出本發明第二實施例，在第二實施例中，該方法還包括：

步驟s7，將未標識的所述預設協議數據包發送至原地址。

本實施例中，在標識了需要發往遠程代理伺服器的ip數據包的預設協議數據包之後，對於未標識的所述預設協議數據包，不做其他處理，而將其發送至原地址，即發送回發出該預設協議數據包的地址。這樣，對於不是對應發送至遠程代理伺服器的ip數據包，不會進行識別和標識處理，從而進一步減少了數據處理的壓力，降低了數據流量的消耗。

本發明還提供一種基於行動作業系統的網絡數據訪問控制系統。

參照圖4，圖4為本發明基於行動作業系統的網絡數據訪問控制系統第一實施例的結構示意圖。

本發明實施例所提供的基於行動作業系統的網絡數據訪問控制系統，包括監控模塊10、包處理模塊20和訪問控制模塊30，其中：

監控模塊10用於監控並攔截各個應用程式的ip數據包；

包處理模塊20用於：

識別攔截的所述ip數據包，確定其中需要發往遠程代理伺服器的ip數據包；

將攔截的所述ip數據包轉化為預設協議數據包；

以及根據需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器， 標識需要發往遠程代理伺服器的ip數據包的預設協議數據包；

訪問控制模塊30，用於：

解析由攔截的所述ip數據包轉化的所述預設協議數據包，確定標識的所述預設協議數據包；

將標識的所述預設協議數據包發送至對應的遠程代理伺服器。

本發明實施例所提供的方法，通過監控模塊10監控用戶基於各大行動作業系統所發出的各個應用程式對應的ip數據包，本實施例可通過vpnservice模塊等具有監控功能的模塊進行監控，並在這些ip數據包發送至對應的遠程代理伺服器之前，將其攔截，並通過包處理模塊20識別所攔截的所述ip數據包，確定其中需要發往遠程代理伺服器的ip數據包，本實施例可通過tun2socks模塊等功能模塊進行識別並處理。本實施例中，預先設置了各個應用程式與遠程代理伺服器之間的映射關係，每個遠程代理伺服器可對應有一個或多個應用程式，具體地，包處理模塊20在攔截到所述ip數據包後，根據應用程式與遠程代理伺服器的映射關係，從攔截到的所述ip數據包中，識別出與各個所述遠程代理伺服器存在映射關係的ip數據包。

在攔截到所述ip數據包後，包處理模塊20將與各個所述遠程代理伺服器存在映射關係的ip數據包以及不存在映射關係的ip數據包進行數據轉換，即將ip數據包轉化成預設協議數據包，例如轉化為基於sock5協議等的可被遠程代理伺服器識別並接收的協議數據包；然後，包處理模塊20根據需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器，標識需要發往遠程代理伺服器的ip數據包對應的預設協議數據包，即為ip數據包對應的預設協議數據包標識為遠程代理伺服器所預設的標識。

對ip數據包的預設協議數據包進行標識後，訪問控制模塊30對攔截的所述ip數據包轉化而成的所述預設協議數據包進行解析，以確定其中標識了為遠程代理伺服器所預設的標識的預設協議數據包，這一部分預設協議數據包所在的ip數據包則進一步被確定為需要發往遠程代理伺服器的ip數據包，因此，訪問控制模塊30將標識有遠程代理伺服器的標識的所述預設協議數據包發送至對應的遠程代理伺服器，以供遠程代理伺服器進行相應的處理。

本發明實施例，監控並攔截各個應用程式的ip數據包，識別攔截的ip數據包，確定其中需要發往遠程代理伺服器的ip數據包；並將攔截的ip數據包 轉化為預設協議數據包；然後根據需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器，標識需要發往遠程代理伺服器的ip數據包對應的預設協議數據包，並將解析出標識的所述預設協議數據包發送至對應的遠程代理伺服器供遠程代理伺服器進行處理，採用這種方法，不對非對應發送至遠程代理伺服器的ip數據包進行處理，減少了數據處理的壓力，從而可降低數據流量的消耗，並且根據遠程代理伺服器的標識向其發送對應的數據，因而可提高重要應用程式的網絡數據安全。

在上述實施例中，所述包處理模塊20還用於：

根據預存的遠程代理伺服器與遠程代理伺服器標識的映射關係，及預設的應用程式與遠程代理伺服器的映射關係，確定需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器的標識；

根據需要發往遠程代理伺服器的ip數據包對應的遠程代理伺服器的標識，標識需要發往遠程代理伺服器的ip數據包對應的預設協議數據包。

本實施例預先存儲有遠程代理伺服器與遠程代理伺服器標識的映射關係，一個遠程代理伺服器對應一個標識，在標識需要發往遠程代理伺服器的ip數據包的預設協議數據包時，包處理模塊20根據預存的遠程代理伺服器與遠程代理伺服器標識之間的映射關係，確定預設協議數據包所對應的遠程代理伺服器及其標識；然後，包處理模塊20根據確定的遠程代理伺服器的標識，對預設協議數據包進行與該標識同樣的標識。例如，遠程代理伺服器a的標識可以設為「11」，遠程代理伺服器b的標識可以設為「22」、、、、、；若遠程代理伺服器a對應a應用程式，遠程代理伺服器b對應b應用程式，並且攔截的各應用程式的ip數據包中包括a應用程式的ip數據包和b應用程式的ip數據包，則為a應用程式的ip數據包對應的預設協議數據包標識a代理伺服器的標識「11」，並為b應用程式的ip數據包對應的預設協議數據包標識b代理伺服器的標識「22」。

基於上述本發明基於行動作業系統的網絡數據訪問控制系統第一實施例，提出本發明第二實施例，在第二實施例中，訪問控制模塊30還用於：

將未標識的所述預設協議數據包發送至原地址。

本實施例中，在標識了需要發往遠程代理伺服器的ip數據包的預設協議數據包之後，對於未標識的所述預設協議數據包，不做其他處理，而就通過訪問控制模塊30將其發送至原地址，即發送回發出該預設協議數據包的地址。這樣，對於不是對應發送至遠程代理伺服器的ip數據包，不會進行識別和標識處理，從而進一步減少了數據處理的壓力，降低了數據流量的消耗。

以上僅為本發明的優選實施例，並非因此限制本發明的專利範圍，凡是利用本發明說明書及附圖內容所作的等效結構或等效流程變換，或直接或間接運用在其他相關的技術領域，均同理包括在本發明的專利保護範圍內。