基于Android系统的免Root无侵入的安全通信方法及系统与流程

本发明涉及通信安全领域，具体涉及一种基于Android系统的免Root无侵入的安全通信方法及系统。

背景技术：

随着Android手机、Android平板等Android智能设备大量涌入企业的办公环境中，企业员工通过这些智能设备处理公司相关业务，在享受移动办公带来便利性的同时，各种恶意攻击也在不知不觉中威胁着企业的信息安全，Android智能系统安全漏洞层出不穷，恶意软件铺天盖地，使企业急需使用安全设备在移动办公的环境下保护企业信息系统的安全性。现有的安全解决方案是在企业互联网入口部署传统VPN设备或安全网关设备，通过VPN设备或安全网关设备隔离功能对企业内部网络进行网络隔离及边界防护。

VPN设备在Android智能设备上使用虚拟网卡建立安全隧道，信息系统客户端通过虚拟网卡建立的安全隧道与信息系统服务器进行数据交互，但是这样的安全解决方案存在以下问题：使用安全隧道的应用程序身份不明确，恶意程序也可以使用安全通道访问企业内部网络，对企业内部网关进行攻击，窃取企业敏感信息；整个智能终端只能有一条安全隧道，各个应用系统间数据不能进行隔离，可能导致应用系统客户端越权访问其他应用系统服务器数据，存在安全隐患。

传统安全网关在Android智能终端上采用获取Root权限，将网络数据包模块集成到操作系统中，通过接管系统相关功能实现应用系统网络数据包，该技术存在以下问题：需要获取Root权限，通过侵入接管系统相关功能，获取Root技术会根据不同的智能终端，采用不同Root方案，技术复杂且成功率低；获取Root权限后，恶意程序可以获取Root权限，导致整个智能终端被控制，进而对企业内部网络造成更大危害。

因此，研究出一种基于Android系统的免Root无侵入并且具有独立安全通道的通信方法及系统具有非常重要的意义。

技术实现要素：

有鉴于此，本申请提供一种基于Android系统的免Root无侵入的安全通信方法及系统，通过在Android智能终端植入安全客户端和动态抓包模块，使Android智能终端的当前应用程序在和服务器进行数据交互前先进行动态抓包模块加载，加载成功后，当前应用程序再通过安全客户端和动态抓包模块共享的安全应用代理模块与服务器进行数据交互，整个数据交互过程免Root无侵入，既独立又安全。本发明通过以下技术方案实现：

基于Android系统的免Root无侵入的安全通信方法，该方法用于实现Android智能设备与服务器之间的数据安全交互，包括：

在Android智能设备中植入动态抓包模块和包含有安全应用代理模块的安全客户端模块；

启动Android智能设备的应用程序；

应用程序加载动态抓包模块，加载成功，则应用程序继续运行，加载失败，则应用程序停止运行；

应用程序与服务器通过安全应用代理模块进行数据交互。

进一步地，所述应用程序加载动态抓包模块包括：

应用程序主动加载动态抓包模块；

动态抓包模块从安全客户端模块下载安全策略并解析；

动态抓包模块根据解析后的安全策略判别当前应用程序是否安全合法，如果是，则应用程序继续运行，如果不是，则应用程序停止运行；

动态抓包模块通过Android智能设备的AOP框架将当前应用程序使用的网络连接模块反射到安全代理模块，应用程序成功将动态抓包模块加载到应用程序网络框架中。

进一步地，所述应用程序与服务器通过安全应用代理模块进行数据交互包括：

应用程序调用网络连接模块中的网络接口；

动态抓包模块调用安全客户端模块的安全应用代理模块；

Android智能设备的AOP框架将应用程序调用的网络接口自动发射给安全代理模块；

应用程序将数据发送给安全代理模块；

安全代理模块将从应用程序接收到的数据发送给服务器。

进一步地，所述应用程序与服务器通过安全应用代理模块进行数据交互还包括：

服务器发送数据给安全代理模块；

安全代理模块将从服务器接收到的数据发送给Android智能设备的AOP框架；

应用程序自动通过Android智能设备的AOP框架接收数据。

进一步地，在应用程序与服务器通过安全应用代理模块进行数据交互前还包括：通过安全客户端模块对服务器进行用户身份鉴别，如果服务器安全合法，则进行数据交互，反之，则不进行数据交互。

一种基于Android系统的免Root无侵入的安全通信系统，该系统通过上述安全通信方法在Android智能设备与服务器之间实现数据安全交互，所述安全通信系统包括：

动态抓包模块：植入于Android智能设备，用于供Android智能设备中的应用程序进行加载；

安全客户端模块：植入于Android智能设备，用于为所述动态抓包模块提供安全策略；

所述安全客户端模块内包含有安全应用代理模块，所述动态抓包模块自动调用所述安全应用代理模块，所述安全应用代理模块用于为应用程序和服务端的数据交互提供安全通道。

进一步地，所述动态抓包模块包括：

安全策略管理模块：用于从所述安全客户端模块下载安全策略并解析；

应用程序识别模块：用于根据解析后的安全策略判别当前应用程序是否安全合法；

网络框架动态加载模块：用于加载到Android智能设备的应用程序网路框架中。

进一步地，所述安全客户端模块还设置有安全策略下发模块，所述安全策略下发模块用于为动态抓包模块提供安全策略。

进一步地，所述安全客户端模块还设置有用户身份鉴别模块，所述用户身份鉴别模块用于鉴别服务器是否安全合法。

使用本发明时，首先，无需获取Root权限，可以实现免Root非侵入的数据交互，有效杜绝了获取系统Root权限带来的安全风险；其次，Android智能设备中每一个应用程序在都会加载一个动态抓包模块，并通过安全应用代理模块实现与服务器之间的通信。因此，不同的应用程序与服务器之间的信息通道是彼此独立的，可以有效隔离不同应用程序之间的数据，防止应用程序越权访问。另外，本发明能够准确识别应用程序是否安全合法，可以杜绝恶意软件对企业内部网络造成威胁。

附图说明

图1为本发明实施例1提供的通信方法流程图。

图2为本发明实施例1提供的应用程序加载动态抓包模块的具体流程图。

图3为本发明实施例1提供的应用程序与服务器通过安全应用代理模块进行数据交互的具体流程图。

图4为本发明实施例2提供的通信系统的结构框图。

具体实施方式

为了使本领域的技术人员更好地理解本发明的技术方案，下面结合附图和具体实施例对本发明作进一步的详细说明。

实施例1

如图1所示，本实施例提供一种基于Android系统的免Root无侵入的安全通信方法，该方法用于实现Android智能设备与服务器之间的数据安全交互，包括：

步骤S1：在Android智能设备中植入动态抓包模块和包含有安全应用代理模块的安全客户端模块；

步骤S2：启动Android智能设备的应用程序；

步骤S3：应用程序加载动态抓包模块，加载成功，则应用程序继续运行，加载失败，则应用程序停止运行；

步骤S4：应用程序与服务器通过安全应用代理模块进行数据交互。

具体地，如图2所示，步骤S4中所述应用程序加载动态抓包模块包括：

步骤S301：应用程序主动加载动态抓包模块；

步骤S302：动态抓包模块从安全客户端模块下载安全策略并解析；

步骤S303：动态抓包模块根据解析后的安全策略判别当前应用程序是否安全合法，如果是，则应用程序继续运行，如果不是，则应用程序停止运行；

步骤S304：动态抓包模块通过Android智能设备的AOP框架将当前应用程序使用的网络连接模块反射到安全代理模块，应用程序成功将动态抓包模块加载到应用程序网络框架中。

具体地，如图3所示，步骤S4所述应用程序与服务器通过安全应用代理模块进行数据交互包括：

步骤S401：应用程序调用网络连接模块中的网络接口；

步骤S402：动态抓包模块调用安全客户端模块的安全应用代理模块；

步骤S403：Android智能设备的AOP框架将应用程序调用的网络接口自动发射给安全代理模块；

步骤S404：应用程序将数据发送给安全代理模块；

步骤S405：安全代理模块将从应用程序接收到的数据发送给服务器。

本实施例中，步骤S4还包括：

步骤S406：服务器发送数据给安全代理模块；

步骤S407：安全代理模块将从服务器接收到的数据发送给Android智能设备的AOP框架；

步骤S408：应用程序自动通过Android智能设备的AOP框架接收数据。

作为优选，在应用程序与服务器通过安全应用代理模块进行数据交互前还包括：通过安全客户端模块对服务器进行用户身份鉴别，如果服务器安全合法，则进行数据交互，反之，则不进行数据交互。

其中，AOP是指针对业务处理过程中切面进行提取，它所面对的是处理过程中的某个步骤或阶段，以获得逻辑过程中各个部分之间的低耦合性的特殊功能。

实施本实施例时，Android智能设备中的应用程序在使用网络连接时，可以获取指定应用程序的网络数据包，实现网络数据的安全透明代理，无需获取Android智能设备Root权限，无需侵入Android系统，能够精准识别不同应用程序，更重要的是，使用本发明时，Android智能设备的不同应用程序是通过不同的安全通道与服务器通信的，相互之间的数据完全隔离，保证了企业内部网络的安全性。

实施例2

如图4所示，本实施例提供一种基于Android系统的免Root无侵入的安全通信系统，该系统通过实施例1提供的安全通信方法在Android智能设备与服务器之间实现数据安全交互，通信系统包括：

动态抓包模块：植入于Android智能设备，用于供Android智能设备中的应用程序进行加载；

安全客户端模块：植入于Android智能设备，用于为所述动态抓包模块提供安全策略；

所述安全客户端模块内包含有安全应用代理模块，所述动态抓包模块自动调用所述安全应用代理模块，所述安全应用代理模块用于为应用程序和服务端的数据交互提供安全通道。

具体地，动态抓包模块包括：

安全策略管理模块：用于从所述安全客户端模块下载安全策略并解析；

应用程序识别模块：用于根据解析后的安全策略判别当前应用程序是否安全合法；

网络框架动态加载模块：用于加载到Android智能设备的应用程序网路框架中。

具体地，安全客户端模块包括安全策略下发模块，安全策略下发模块用于为动态抓包模块提供安全策略。

作为优选，本实施例的安全客户端模块还包括用户身份鉴别模块，用户身份鉴别模块用于鉴别服务器是否安全合法。

实施本实施例时，在Android智能设备的应用程序初始化时，加载动态抓包模块，动态抓包模块加载成功后，会通过Android系统AOP框架提供的类代理及反射功能，通过动态抓包模块内的类加载器，将动态抓包模块内的网络框架动态加载模块加载到当前应用程序中，当应用程序调用网络相关接口时，将会自动调用到网络框架动态加载模块，网络框架动态模块在被调用时，通过安全应用代理模块将网络数据转发到服务器，应用程序识别模块在运行中会对当前应用程序进行智能识别，判断当前应用程序是否合法，由于每个应用程序均单独加载了动态网络抓包模块，能够智能识别当前应用程序是否合法，并且通过不同的安全通道与服务器通信，不同应用程序之间的数据完全隔离，保证了企业内部网络的安全性。

以上仅是本发明的优选实施方式，应当指出的是，上述优选实施方式不应视为对本发明的限制，本发明的保护范围应当以权利要求所限定的范围为准。对于本技术领域的普通技术人员来说，在不脱离本发明的精神和范围内，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。