【技术实现步骤摘要】
本专利技术属于计算机技术,具体涉及一种在android系统中不依赖虚拟网卡实现动态访问控制的方法和系统。
技术介绍
1、在android系统中,现有的动态访问技术基于虚拟网卡技术与云端动态访问控制网关协作来实现。如图1所示,其基本思想是在android设备中安装一个客户端程序,利用该客户端程序与动态访问控制网关建立数据传输隧道,以隧道为粒度进行动态访问控制。基本原理是客户端程序读取android系统tun虚拟网卡中的数据,根据隧道封装格式对数据包进行封装,从而与动态访问控制网关建立数据传输隧道,使android系统中的应用数据经由传输隧道发送至动态访问控制网关,并由动态访问控制网关转发/代理至应用服务端。
2、现有方案的基本流程如下:
3、a)系统启动时动态访问控制客户端启动tun网卡,并绑定该网卡,同时在操作系统中配置路由表项,指明需要路由至tun网卡的数据包;
4、b)应用app客户端发起业务访问时,终端操作系统根据路由表信息将数据包发送至tun网卡;
5、c)动态访问控制客户端监听tun网卡并读取数据包,根据自身与动态访问控制网关之间的通讯协议格式对数据包进行封装;
6、d)动态访问控制客户端将封装完成的数据包再次经由操作系统协议栈发送出去;
7、e)终端操作系统根据路由信息将动态访问控制客户端封装后的数据包转发给物理网卡;
8、f)数据通过物理网卡发送至动态访问控制网关;
9、g)动态访问控制网关根据协议格式对数据包进行解封装
10、现有的动态访问控制技术的实现依赖于android系统中的虚拟网卡。动态访问控制客户端绑定虚拟网卡收取应用客户端收发的数据包并基于自身与动态访问控制网关的通讯协议格式对数据包进行封装,从而使客户端数据包均到达动态访问控制网关,并由动态访问控制网关进行代理或转发至应用服务端。但在一些定制化android系统下,系统虚拟网卡被禁用,导致动态访问控制客户端无法启动虚拟网卡进行数据包的收发与封装/解封装。
技术实现思路
1、本专利技术的目的是提供一种不依赖于android系统虚拟网卡技术实现动态访问控制的方法和系统。
2、本专利技术采用的技术方案如下:
3、一种在android系统中不依赖虚拟网卡实现动态访问控制的方法,包括以下步骤:
4、应用客户端将自身业务数据发送至本地回环地址的特定端口;
5、动态访问控制客户端监听本地回环地址的对应端口,获取应用客户端的数据包;
6、动态访问控制客户端与动态访问控制网关建立连接,并向动态访问控制网关转发所获取的数据包;
7、动态访问控制网关收到数据包后,根据配置的转发规则,将数据包转发至应用服务端。
8、进一步地,所述动态访问控制客户端包含环境安全感知模块;所述环境安全感知模块检测移动终端应用的运行环境安全状态,并将感知结果上报至访问控制策略中心;所述访问控制策略中心动态生成访问控制策略并下发至所述动态访问控制网关,在所述动态访问控制网关进行业务请求数据转发之前决定是否要阻断对应请求。
9、进一步地,所述应用服务端在所述动态访问控制网关注册,告知所述动态访问控制网关自身对外提供服务的地址与端口,形成所述动态访问控制网关的地址、端口与所述应用服务端的地址、端口的转发映射关系。
10、进一步地,所述动态访问控制网关收取来自所述动态访问控制客户端的数据包,根据所述转发映射关系,结合访问控制策略中心生成的访问控制策略,决定是否对进行转发,若转发则将请求转发至对应的应用服务端;若阻断则放弃转发该业务请求数据。
11、进一步地,所述动态访问控制客户端与所述动态访问控制网关之间的转发映射关系由管理员配置完成,形成应用客户端-动态访问控制客户端-动态访问控制网关-应用服务端的完整数据转发路径。
12、进一步地,所述环境安全感知模块采集android终端的设备信息、用户信息、安全风险信息、地理位置信息、网络连接信息,上传至访问控制策略中心,访问控制策略中心根据采集到的终端信息编排访问控制策略,并将访问控制策略下发至动态访问控制网关。
13、一种android终端,所述android终端包括应用客户端、动态访问控制客户端和本地回环地址;其中:
14、应用客户端将自身业务数据发送至本地回环地址的特定端口;
15、动态访问控制客户端监听本地回环地址的对应端口,获取应用客户端的数据包;
16、动态访问控制客户端与动态访问控制网关建立连接,并向动态访问控制网关转发所获取的数据包。
17、一种不依赖虚拟网卡实现动态访问控制的系统,包括android终端、访问控制策略中心、动态访问控制网关和应用服务端;所述android终端包括应用客户端、动态访问控制客户端和本地回环地址;其中:
18、应用客户端将自身业务数据发送至本地回环地址的特定端口;
19、动态访问控制客户端监听本地回环地址的对应端口,获取应用客户端的数据包;
20、动态访问控制客户端与动态访问控制网关建立连接,并向动态访问控制网关转发所获取的数据包;
21、动态访问控制网关收到数据包后,根据配置的转发规则,将数据包转发至应用服务端;
22、所述动态访问控制客户端包含环境安全感知模块;所述环境安全感知模块检测移动终端应用的运行环境安全状态,并将感知结果上报至访问控制策略中心;所述访问控制策略中心动态生成访问控制策略并下发至所述动态访问控制网关,在所述动态访问控制网关进行业务请求数据转发之前决定是否要阻断对应请求。
23、本专利技术的有益效果如下:
24、1)在android设备虚拟网卡不可使用的情况下,只需对原有应用客户端进行ip地址和端口配置等极少量信息的改造,即可以实现动态访问控制功能;
25、2)对原有应用服务端无需进行改造,仅需管理员将应用服务端信息在动态访问控制网关进行注册即可;
26、3)本方法对现有的业务访问方式改造小,不颠覆已有的业务对接成果,应用客户端和应用系统服务端对于数据交互的调用方式不变,用户使用体验没有改变;
27、4)本方法中,动态访问控制网关除串接部署方式外,还可支持旁路部署。旁路部署方式不改变现有设备部署模式,可快速部署。
本文档来自技高网...【技术保护点】
1.一种在Android系统中不依赖虚拟网卡实现动态访问控制的方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的方法,其特征在于,所述动态访问控制客户端包含环境安全感知模块;所述环境安全感知模块检测移动终端应用的运行环境安全状态,并将感知结果上报至访问控制策略中心;所述访问控制策略中心动态生成访问控制策略并下发至所述动态访问控制网关,在所述动态访问控制网关进行业务请求数据转发之前决定是否要阻断对应请求。
3.根据权利要求1或2所述的方法,其特征在于,所述动态访问控制客户端以用户态app的形式运行。
4.根据权利要求1或2所述的方法,其特征在于,所述应用服务端在所述动态访问控制网关注册,告知所述动态访问控制网关自身对外提供服务的地址与端口,形成所述动态访问控制网关的地址、端口与所述应用服务端的地址、端口的转发映射关系。
5.根据权利要求4所述的方法,其特征在于,所述动态访问控制网关收取来自所述动态访问控制客户端的数据包,根据所述转发映射关系,结合访问控制策略中心生成的访问控制策略,决定是否对进行转发,若转发则将请求转发至对应的
6.根据权利要求4所述的方法,其特征在于,所述动态访问控制客户端与所述动态访问控制网关之间的转发映射关系由管理员配置完成,形成应用客户端-动态访问控制客户端-动态访问控制网关-应用服务端的完整数据转发路径。
7.根据权利要求2所述的方法,其特征在于,所述环境安全感知模块采集Android终端的设备信息、用户信息、安全风险信息、地理位置信息、网络连接信息,上传至访问控制策略中心,访问控制策略中心根据采集到的终端信息编排访问控制策略,并将访问控制策略下发至动态访问控制网关。
8.一种Android终端,其特征在于,所述Android终端包括应用客户端、动态访问控制客户端和本地回环地址;其中:
9.一种不依赖虚拟网卡实现动态访问控制的系统,其特征在于,包括Android终端、访问控制策略中心、动态访问控制网关和应用服务端;所述Android终端包括应用客户端、动态访问控制客户端和本地回环地址;其中:
...【技术特征摘要】
1.一种在android系统中不依赖虚拟网卡实现动态访问控制的方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的方法,其特征在于,所述动态访问控制客户端包含环境安全感知模块;所述环境安全感知模块检测移动终端应用的运行环境安全状态,并将感知结果上报至访问控制策略中心;所述访问控制策略中心动态生成访问控制策略并下发至所述动态访问控制网关,在所述动态访问控制网关进行业务请求数据转发之前决定是否要阻断对应请求。
3.根据权利要求1或2所述的方法,其特征在于,所述动态访问控制客户端以用户态app的形式运行。
4.根据权利要求1或2所述的方法,其特征在于,所述应用服务端在所述动态访问控制网关注册,告知所述动态访问控制网关自身对外提供服务的地址与端口,形成所述动态访问控制网关的地址、端口与所述应用服务端的地址、端口的转发映射关系。
5.根据权利要求4所述的方法,其特征在于,所述动态访问控制网关收取来自所述动态访问控制客户端的数据包,根据所述转发映射关系,结合访问控制策略中心生成的访问控制策略...
【专利技术属性】
技术研发人员:崔华俊,张棪,杨慧然,于光喜,杨兴华,王伟平,李杨,张亚文,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。