本发明专利技术公开了一种APP访问控制方法、系统、终端设备及存储介质,通过终端设备读取虚拟网卡收发的目标数据包,获取所述目标数据包的目标地址及目标APP标识,从预设控制策略集合中查找到与所述目标APP标识关联的目标控制策略,根据目标控制策略判断目标地址是否为授权地址,当目标地址为授权地址时,允许虚拟网卡将所述目标数据包发送至目标地址,能够避免现有技术的兼容性缺陷,使得无论APP以何种方式访问网络、无论何种操作系统,都能通过虚拟网卡拦截到数据包,进行网络访问控制,防止企业敏感数据泄露到不安全网络,降低了企业数据外泄的风险,提高了数据安全性,提升了用户体验。
【技术实现步骤摘要】
APP访问控制方法、系统、终端设备及存储介质
本专利技术涉及网络访问领域,尤其涉及一种APP访问控制方法、系统、终端设备及存储介质。
技术介绍
消费级智能终端的普及,让移动办公高速发展,同时也带来了严重的安全问题;过去,企业通过部署虚拟专用网络(VirtualPrivateNetwork,VPN)网关设备,让员工可以通过WIFI/2G/3G/4G连接VPN访问企业内网,进行随时随地的办公。但同时导致网络边界、数据边界变得模糊,企业数据随时可能被外发。过去企业为了解决移动终端数据边界变得模糊的问题,对移动终端的企业应用程序(Application,APP)使用了安全沙箱技术,将企业APP产生的数据加密存储在手机的单独区域,实现与个人数据的隔离,防止其它个人/恶意APP窃取企业APP的数据,同时也防止用户将企业APP的数据分享给个人APP,以达到防止企业数据外泄的目的。但依旧还存在以下泄密风险:1)在进行移动办公时,经常需要使用浏览器或其它APP来访问企业内部的站点,企业管理员对浏览器加入安全沙箱后发布给用户作为企业APP使用,用户在移动终端上建立VPN隧道后,浏览器即可以访问企业内网的站点,也可以访问互联网站点,这导致用户可以先通过浏览器下载企业内网的数据和文件保存到手机本地,再通过访问互联网云盘,将企业数据和文件上传到互联网云盘,由于安全沙箱使用的是透明数据加密技术,数据和文件虽然是加密存储在本地,但企业APP读取出来的是已解密后的明文数据,企业数据和文件上传到互联网云盘时存储的是明文数据,这将导致企业数据外泄。2)企业在开发企业APP时,经常需要使用第三方开发库,这些第三方开发库可能存在网络漏洞,黑客可以利用第三方开发库的网络漏洞,通过第三方开发库的网络漏洞来连接到企业APP,窃取企业APP的数据。或者第三方库本身也可能连接其云端服务器收集用户的数据,打破只企业敏感数据外泄。目前业界通常是通过HOOK技术(中文译为“挂钩”或“钩子”,可用于修改系统应用程序编程接口(ApplicationProgrammingInterface,API)的代码执行流程)来解决此问题,即对APP访问网络的API接口进行挂钩,修改访问网络的行为,将允许访问的网络地址放行,将禁止访问的网络地址拦截。但存在如下缺点:1、HOOK技术存在较多兼容性问题,操作系统提供的网络收发接口多种多样,很容易有部分接口未被HOOK,而APP一旦使用该类未被HOOK的接口访问网络收发数据,就会不受系统控制,向任意网络收发数据。2、越来越多的系统会限制HOOK的使用,比如苹果的IOS系统,新版本已经无法对网络访问接口进行HOOK了。
技术实现思路
本专利技术的主要目的在于提供一种APP访问控制方法、系统、终端设备及存储介质,旨在解决现有技术中由于移动办公的普及,企业数据容易外泄的技术问题。为实现上述目的,本专利技术提供一种APP访问控制方法,所述APP访问控制方法包括以下步骤:终端设备读取虚拟网卡收发的目标数据包,获取所述目标数据包的目标地址及目标APP标识;从预设控制策略集合中查找到与所述目标APP标识关联的目标控制策略,根据所述目标控制策略判断所述目标地址是否为授权地址;当所述目标地址为所述授权地址时,允许所述虚拟网卡将所述目标数据包发送至所述目标地址。优选地,所述读取虚拟网卡收发的目标数据包,获取所述目标数据包的目标地址及目标APP标识,具体包括:读取虚拟网卡收发的目标数据包,并根据预设网络协议解析所述目标数据包,获得所述目标数据包的目标地址及目标APP标识。优选地,所述从预设控制策略集合中查找到与所述目标APP标识关联的目标控制策略,根据所述目标控制策略判断所述目标地址是否为授权地址,具体包括:从预设控制策略集合中提取应用控制策略,判断目标APP标识是否为所述应用控制策略中的APP标识;当所述目标APP标识为需要应用控制策略中的APP标识时,查找到与所述目标APP标识关联的目标控制策略;根据所述目标控制策略判断所述目标地址是否为授权地址。优选地,所述根据所述目标控制策略判断所述目标地址是否为授权地址,具体包括:从所述目标控制策略中提取授权控制策略,根据所述授权控制策略判断所述目标地址是否为授权地址。优选地,所述从预设控制策略集合中提取应用控制策略,判断目标APP标识是否为所述应用控制策略中的APP标识之后,所述APP网络访问控制方法还包括:当所述目标APP标识不为所述应用控制策略中的APP标识时,禁止所述虚拟网卡将所述目标数据包发送至所述目标地址。优选地,其特征在于,所述当所述目标地址为所述授权地址时,允许所述虚拟网卡将所述目标数据包发送至所述目标地址之后,所述APP网络访问控制方法还包括:将解析后的目标数据包按照对应的协议格式进行重新组装,并将组装后的目标数据包进行转发。优选地,所述从预设控制策略集合中查找到与所述目标APP标识关联的目标控制策略,根据所述目标控制策略判断所述目标地址是否为授权地址之后,所述APP网络访问控制方法还包括:当所述目标地址不为所述授权地址时,禁止所述虚拟网卡将所述目标数据包发送至所述目标地址。优选地,所述终端设备读取虚拟网卡收发的目标数据包,获取所述目标数据包的目标地址及目标APP标识之前,所述APP网络访问控制方法还包括:接收策略服务器下发的预设控制策略,并实时监听所述虚拟网卡的数据包收发情况,当存在数据包收发时,读取当前传输的数据包。此外,为实现上述目的,本专利技术还提出一种终端设备,所述终端设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的APP访问控制程序,所述APP访问控制程序配置为实现如上文所述的APP访问控制方法的步骤。此外,为实现上述目的,本专利技术还提出一种存储介质,所述存储介质上存储有APP访问控制程序,所述APP访问控制程序被处理器执行时实现如上文所述的APP访问控制方法的步骤。此外,为实现上述目的,本专利技术还提供一种APP访问控制系统,所述APP访问控制系统包括:获取模块,用于读取虚拟网卡收发的目标数据包,获取所述目标数据包的目标地址及目标APP标识;判断模块,用于从预设控制策略集合中查找到与所述目标APP标识关联的目标控制策略,根据所述目标控制策略判断所述目标地址是否为授权地址;数据发送模块,用于当所述目标地址为所述授权地址时,允许所述虚拟网卡将所述目标数据包发送至所述目标地址。优选地,所述判断模块包括:标识识别模块,用于从预设控制策略集合中提取应用控制策略,判断目标APP标识是否为所述应用控制策略中的APP标识;策略查找模块,用于当所述目标APP标识为需要应用控制策略中的APP标识时,查找到与所述目标APP标识关联的目标控制策略;授权判断模块,用于根据所述目标控制策略判断所述目标地址是否为授权地址。本专利技术提出的APP访问控制方法,通过终端设备读取虚拟网卡收发的目标数据包,获取所述目标数据包的目标地址及目标APP标识,从预设控制策略集合中查找到与所述目标APP标识关联的目标控制策略,根据所述目标控制策略判断所述目标地址是否为授权地址,当所述目标地址为所述授权地址时,允许所述虚拟网卡将所述目标数据包发送至所述目标地址,能够避免现有技术的兼容性缺陷,使得无论APP以何种方式访问网本文档来自技高网...
【技术保护点】
1.一种APP访问控制方法,其特征在于,所述APP访问控制方法包括:终端设备读取虚拟网卡收发的目标数据包,获取所述目标数据包的目标地址及目标APP标识;从预设控制策略集合中查找到与所述目标APP标识关联的目标控制策略,根据所述目标控制策略判断所述目标地址是否为授权地址;当所述目标地址为所述授权地址时,允许所述虚拟网卡将所述目标数据包发送至所述目标地址。
【技术特征摘要】
1.一种APP访问控制方法,其特征在于,所述APP访问控制方法包括:终端设备读取虚拟网卡收发的目标数据包,获取所述目标数据包的目标地址及目标APP标识;从预设控制策略集合中查找到与所述目标APP标识关联的目标控制策略,根据所述目标控制策略判断所述目标地址是否为授权地址;当所述目标地址为所述授权地址时,允许所述虚拟网卡将所述目标数据包发送至所述目标地址。2.如权利要求1所述的APP访问控制方法,其特征在于,所述读取虚拟网卡收发的目标数据包,获取所述目标数据包的目标地址及目标APP标识,具体包括:读取虚拟网卡收发的目标数据包,并根据预设网络协议解析所述目标数据包,获得所述目标数据包的目标地址及目标APP标识。3.如权利要求2所述的APP访问控制方法,其特征在于,所述从预设控制策略集合中查找到与所述目标APP标识关联的目标控制策略,根据所述目标控制策略判断所述目标地址是否为授权地址,具体包括:从预设控制策略集合中提取应用控制策略,判断目标APP标识是否为所述应用控制策略中的APP标识;当所述目标APP标识为需要应用控制策略中的APP标识时,查找到与所述目标APP标识关联的目标控制策略;根据所述目标控制策略判断所述目标地址是否为授权地址。4.如权利要求3所述的APP访问控制方法,其特征在于,所述根据所述目标控制策略判断所述目标地址是否为授权地址,具体包括:从所述目标控制策略中提取授权控制策略,根据所述授权控制策略判断所述目标地址是否为授权地址。5.如权利要求4所述的APP访问控制方法,其特征在于,所述从预设控制策略集合中提取应用控制策略,判断目标APP标识是否为所述应用控制策略中的APP标识之后,所述APP访问控制方法还包括:当所述目标APP标识不为所述应用控制策略中的APP标识时,禁止所述虚拟网卡将所述目标数据包发送至所述目标地址。6.如权利要求1-5中任一项所述的APP访问控制方法,其特征在于,所述当所述目标地址为所述授权地址时,允许所述虚拟网卡将所述目标数据包发送至所述目标地址之后,所述APP访问控制方法还包括:将解析后的目标数据包按照对应的协议格式进行重新组装,并...
【专利技术属性】
技术研发人员:汪时灿,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。