本发明涉及通讯
技术领域:
:,尤其涉及一种移动终端的基于IPTABLES的控制隐私泄漏的方法与系统。
背景技术:
::在当前移动终端应用程序中,对应用在传输数据时,当涉及到权限时,系统会申请权限让用户确权,当用户确权后,数据可以传输出移动终端,没有确权时,视为安全数据,则数据可以直接传输出移动终端。上述数据传输有可能会在传输时,造成用户私密信息泄漏的问题,如应用在获取GPS地理位置信息时,恶意应用会把移动终端中部分个人私密数据一起传输出去;在传输其他相关数据时,也在传输移动终端中的个人私密信息。移动终端的应用在传输数据时,得到用户确权的信息当包含其他相关私密数据时,这些数据会一起传输出移动终端,并且对普通数据传输没有相关检测机制,可以直接传输出移动终端。因此,有必要提供一种移动终端的可防止用户私密信息的泄漏的方法与系统。技术实现要素:本发明提供了一种移动终端的基于IPTABLES的控制隐私泄漏的方法,包括:S1,构建IPTABLES的规则链,设置移动终端的数据包的传输策略;S2,对所述的数据包进行传输的规则检查,通过规则检查的数据包可以进行数据传输,不能通过规则检测的数据包,则拒绝数据传输。进一步地,在所述步骤S1后还包括:S3,移动终端的数据包包括个人隐私数据以及非个人隐私数据,当移动终端的数据包为个人隐私数据时,首先由用户进行判断,再根据判断结果选择是否跳到步骤S2;当移动终端的数据包为非个人隐私数据时,无需用户进行判断,直接跳到步骤S2。进一步地,当用户判断所述个人隐私数据可以传输时,跳到步骤S2,否则直接拒绝数据传输。进一步地,所述移动终端的数据包通过移动数据或WLAN尝试传输。进一步地,将所述移动数据和/或WLAN网关设置进IPTABLES的规则链中,使得移动终端的数据包在通过移动数据和/或WLAN网关传输数据时,需在进行规则检查。进一步地,所述IPTABLES的规则链包括:S1.1,传入数据过滤;S1.2,对移动终端的数据包进行数据包分析;S1.3,对传出数据进行过滤。进一步地,所述数据包分析的内容包括:通话记录、联系人、短信、密钥、安全证书、网银数据、GPS数据、帐号、密码、上网记录。本发明提供的移动终端的基于IPTABLES的控制隐私泄漏的方法在启动过程中启动完整性通过检测的程序,对系统程序被恶意修改过和程序实施不启动和报告操作;在系统运行阶段实现的检测系统的安全性,对关键参数和代码作完整性度量;所述方法实现了从软硬件级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行可信衡量;实现了对移动终端进入系统时作了安全防护技术,从而提高了系统的抗攻击性。附图说明图1为本发明实施例提供的一种移动终端的基于IPTABLES的控制隐私泄漏的方法示意图。图2为图1中移动终端的数据包经过IPTABLES规则链的示意图。图3为本发明实施例提供的移动终端的基于IPTABLES的控制隐私泄漏系统的示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。为便于对本发明实施例的理解,下面将结合附图以具体实施例做进一步的解释说明,实施例并不构成对本发明实施例的限定。图1与图2,本发明实施例提供的移动终端的基于IPTABLES的控制隐私泄漏的方法,所述方法包括如下步骤:步骤S1,构建IPTABLES的规则链,设置移动终端的数据包的传输策略。所述移动终端的数据包通过移动数据或WLAN尝试传输。将所述移动数据和/或WLAN网关设置进IPTABLES的规则链中,使得移动终端的数据包在通过移动数据和/或WLAN网关传输数据时,需在进行规则检查。进一步地,所述IPTABLES的规则链包括:S1.1,传入数据过滤;S1.2,对移动终端的数据包进行数据包分析;S1.3,对传出数据进行过滤。数据包分析主要由INPUTFILTER、OUTPUTFILTER和DEA三部分组成,分析所有的数据包信息。在本实施例中,所述数据包分析的内容包括:通话记录、联系人、短信、密钥、安全证书、网银数据、GPS数据、帐号、密码、上网记录。步骤S3,移动终端的数据包包括个人隐私数据以及非个人隐私数据,当移动终端的数据包为个人隐私数据时,首先由用户进行判断,当用户判断所述个人隐私数据可以传输时,跳到步骤S2,当移动终端的数据包为非个人隐私数据时,无需用户进行判断,直接跳到步骤S2。步骤S2,对所述的数据包进行传输的规则检查,通过规则检查的数据包可以进行数据传输,不能通过规则检测的数据包,则拒绝数据传输。在本实施例中,通过规则检查的数据包可以进行数据传输时,所述IPTABLES的规则如下:$iptables-tfilter-AOUTPUT-owlan-mowner--uid-ownerapp_uid-jREJECT$iptables-tfilter-AOUTPUT-owall-mowner--uid-ownerapp_uid-jREJECT未通过规则检查的数据包,不能通过规则检测的数据包时,所述IPTABLE的规则如下:$iptables-tfilter-AOUTPUT-owlan-mowner--uid-ownerapp_uid-jDROP$iptables-tfilter-AOUTPUT-owall-mowner--uid-ownerapp_uid-jDROP.可以理解的是,所述IPTABLES的规则链一般创建在移动终端LINUX的内核中,在数据包传入和传出之间。而移动终端可以看作是一个路由器,数据在从路由器中进行数据传输时,经过IPTABLES的规则检查,则可以把IPTABLES的规则链看作是路由器的防火墙,应用在传输数据时时,数据包在传输过程中经过IPTABLES的规则链的过程包括:第一步,应用数据包发出请求(INPUT)。第二步,经过路由前匹配链(PREROUTIN)。第三步,进行所述IPTABLES的规则检查。其中,所述IPTABLES的规则检查包括:传入数据过滤(INPUTFILTER);对移动终端的数据包进行数据包分析(DEA);以及对传出数据进行过滤(OUTPUTFILTER)。第四步,到达路由后匹配链(POSTROUTIN)。第五步,再确认是否将数据包传输(OUTPUT)。本发明提供的移动终端的基于IPTABLES的控制隐私泄漏的方法在启动过程中启动完整性通过检测的程序,对系统程序被恶意修改过和程序实施不启动和报告操作;在系统运行阶段实现的检测系统的安全性,对关键参数和代码作完整性度量;所述方法实现了从软硬件级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行可信衡量;实现了对移动终端进入系统时作了安全防护技术,从而提高了系统的抗攻击性。图3,本发明实施例提供的一种移动终端的基于IPTABLES的控制隐私泄漏系统20,所述系统包括:输入模块31,处理模块32以及输出模块33。所述输入模块31用于输入所述移动终端的数据包。所述移动终端的数据包通过移动数据或WLAN尝试传输。所述处理模块32用于构建IPTABLES的规则链,设置移动终端的数据包的传输策略,并对所述的数据包进行传输的规则检查。将所述移动数据和/或WLAN网关设置进IPTABLES的规则链中,使得移动终端的数据包在通过移动数据和/或WLAN网关传输数据时,需在进行规则检查。在本实施例中,所述处理模块32进一步包括构建单元321与分析单元322,所述构建单元321用于构建IPTABLES的规则链,设置移动终端的数据包的传输策略,所述分析单元322用于根据所述IPTABLES的规则链对所述数据包进行数据包分析。所述数据包分析的内容包括:通话记录、联系人、短信、密钥、安全证书、网银数据、GPS数据、帐号、密码、上网记录。所述输出模块33用于输出通过规则检查的数据包。进一步地,在本实施例中,所述移动终端的基于IPTABLES的控制隐私泄漏系统20进一步包括用户判断单元34。所述数据包包括个人隐私数据以及非个人隐私数据。所当用户判断单元34用于接收所述输入模块31输入的数据包,所述用户判断单元34判断所述数据为个人隐私数据时,直接拒绝数据传输;当所述用户判断单元34判断所述数据为非个人隐私数据时,所述用户判断单元将所述非个人隐私数据传送至所述处理模块32。本发明提供的移动终端的基于IPTABLES的控制隐私泄漏系统20在启动过程中启动完整性通过检测的程序,对系统程序被恶意修改过和程序实施不启动和报告操作;在系统运行阶段实现的检测系统的安全性,对关键参数和代码作完整性度量;所述方法实现了从软硬件级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行可信衡量;实现了对移动终端进入系统时作了安全防护技术,从而提高了系统的抗攻击性。以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础上,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。当前第1页1 2 3 当前第1页1 2 3