移动应用的网络接入方法及系统与流程

本发明涉及互联网技术领域，具体涉及一种移动应用的网络接入方法及系统。

背景技术：

目前，随着互联网以及移动设备的日益普及，移动应用的数量也与日俱增。通常，移动设备中会安装大量的移动应用。这些移动应用通常需要接入网络以实现联网功能。在现有方式中，移动应用只要触发网络接入请求，并正确输入网络接入密码，即可快速接入各类网络。

但是，发明人在实现本发明的过程中发现，上述方式至少存在如下缺陷：对于部分安全性较高的局域网络而言，需要验证移动应用的安全性，并控制非法移动应用的接入，以避免非法移动应用接入后所带来的网络安全隐患。但是，在现有技术中，尚没有一种有效地控制移动应用接入网络的方法。

技术实现要素：

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的移动应用的网络接入方法及系统。

根据本发明的一个方面，提供了一种移动应用的网络接入方法，包括：

针对移动应用进行vsa封装处理；

动态监测所述移动应用的应用行为信息，根据监测结果判断所述移动应用是否执行预设黑名单中的违规行为；

若是，拦截所述移动应用的网络接入请求。

可选地，所述动态监测所述移动应用的应用行为信息包括：

通过vsa虚拟机接管移动应用的应用数据接口，通过监测所述移动应用的应用数据接口监测移动应用的实时应用行为。

可选地，所述预设黑名单中的违规行为包括以下中的至少一种：

获取设备信息、调用摄像头、获取定位信息、以及获取录音信息；其中，所述设备信息包括：存储于设备中的通讯录信息、图像信息、以及imei信息。

可选地，所述拦截所述移动应用的网络接入请求包括：

通过网关设备拦截移动应用触发的网络接入请求。

可选地，所述通过网关设备拦截移动应用触发的网络接入请求包括：

获取所述网络接入请求中包含的接入参数；

根据所述接入参数判断所述网络接入请求是否为用于接入企业内网的接入请求；

若是，通过网关设备拦截所述网络接入请求。

根据本发明的又一个方面，提供了一种移动应用的网络接入系统，包括：

封装模块，适于针对移动应用进行vsa封装处理；

监测模块，适于动态监测所述移动应用的应用行为信息，根据监测结果判断所述移动应用是否执行预设黑名单中的违规行为；

拦截模块，适于若是，拦截所述移动应用的网络接入请求。

可选地，所述监测模块具体适于：

通过vsa虚拟机接管移动应用的应用数据接口，通过监测所述移动应用的应用数据接口监测移动应用的实时应用行为。

可选地，所述预设黑名单中的违规行为包括以下中的至少一种：

获取设备信息、调用摄像头、获取定位信息、以及获取录音信息；其中，所述设备信息包括：存储于设备中的通讯录信息、图像信息、以及imei信息。

根据本发明的又一方面，提供了一种电子设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行上述移动应用的网络接入方法对应的操作。

根据本发明的再一方面，提供了一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行如上述移动应用的网络接入方法对应的操作。

在本发明所提供的移动应用的网络接入方法及系统中，能够针对移动应用进行vsa封装处理，从而动态监测移动应用的应用行为信息，并在发现移动应用执行预设黑名单中的违规行为时，拦截该移动应用的网络接入请求。该方式能够根据应用行为拦截非法移动应用的网络接入行为，从而提升网络安全性，避免非法移动应用接入后执行攻击行为所导致的安全风险。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本发明一个实施例的移动应用的网络接入方法的流程示意图；

图2示出了根据本发明另一个实施例的移动应用的网络接入方法的流程示意图；

图3示出了根据本发明又一个实施例的移动应用的网络接入系统的结构示意图；

图4示出了根据本发明的一种电子设备的结构示意图；

图5示出了一个示例提供的移动应用的网络接入系统架构图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

图1示出了根据本发明一个实施例的移动应用的网络接入方法的流程示意图，如图1所示，该方法包括：

步骤s110：针对移动应用进行vsa封装处理。

具体地，vsa(virtualsecurityarea)即为虚拟安全域，用于通过虚拟机技术实现安全防护功能。相应的，vsa封装处理即为通过vsa虚拟机技术对移动应用进行封装，以使移动应用运行于虚拟机中，从而便于通过vsa虚拟机监管移动应用行为。

步骤s120：动态监测移动应用的应用行为信息，根据监测结果判断移动应用是否执行预设黑名单中的违规行为。

具体地，经vsa封装处理后，由虚拟机动态监测移动应用的应用行为信息，以确定移动应用的各项实时行为。其中，预设黑名单用于存储已知的违规行为，相应的，将监测到的移动应用的应用行为与预设黑名单中存储的各个违规行为进行比对，以确定移动应用是否执行预设黑名单中的违规行为。

步骤s130：若是，拦截移动应用的网络接入请求。

当判断移动应用执行预设黑名单中的违规行为时，说明移动应用为非安全应用，因此，需要从网关处拦截该移动应用的网络接入请求，以防止其接入网络。

由此可见，在本发明所提供的移动应用的网络接入方法中，能够针对移动应用进行vsa封装处理，从而动态监测移动应用的应用行为信息，并在发现移动应用执行预设黑名单中的违规行为时，拦截该移动应用的网络接入请求。该方式能够根据应用行为拦截非法移动应用的网络接入行为，从而提升网络安全性，避免非法移动应用接入后执行攻击行为所导致的安全风险。

图2示出了根据本发明另一个实施例的移动应用的网络接入方法的流程示意图。如图2所示，该方法包括：

步骤s210：针对移动应用进行vsa封装处理。

具体地，vsa(virtualsecurityarea)即为虚拟安全域，用于通过虚拟机技术实现安全防护功能。相应的，vsa封装处理即为通过vsa虚拟机技术对移动应用进行封装，以使移动应用运行于虚拟机中，从而便于通过vsa虚拟机监管移动应用行为。

步骤s220：动态监测移动应用的应用行为信息。

具体地，经vsa封装处理后，由虚拟机动态监测移动应用的应用行为信息，以确定移动应用的各项实时行为。其中，通过vsa虚拟机接管移动应用的应用数据接口，通过监测移动应用的应用数据接口监测移动应用的实时应用行为。其中，移动应用的应用数据接口包括各类用于实现数据收发功能的操作接口，如下发定位指令并获取定位数据的操作接口、下发录音指令并获取录音数据的操作接口、下发设备信息读取指令并获取设备信息的操作接口等。通过监测各个应用数据接口能够全面监控移动应用的各项行为信息。

步骤s230：根据监测结果判断移动应用是否执行预设黑名单中的违规行为。

其中，预设黑名单用于存储已知的违规行为，相应的，将监测到的移动应用的应用行为与预设黑名单中存储的各个违规行为进行比对，以确定移动应用是否执行预设黑名单中的违规行为。具体地，预设黑名单中的违规行为包括以下中的至少一种：获取设备信息、调用摄像头、获取定位信息、以及获取录音信息；其中，所述设备信息包括：存储于设备中的通讯录信息、图像信息、以及imei信息。由此可见，预设黑名单中的各项操作行为均为非法获取数据的行为，能够对终端设备的安全运行带来安全隐患，因此，需要拦截。

实际情况中，预设黑名单还可以动态更新。例如，当检测到成功接入企业内网的非法移动应用时，根据获取到的该非法移动应用的应用行为动态扩充预设黑名单，从而使黑名单中的行为类型更加全面。

步骤s240：若是，通过网关设备拦截移动应用触发的网络接入请求。

具体地，可以针对指定的安全性要求较高的局域网络的网络接入请求进行拦截。相应的，获取网络接入请求中包含的接入参数；根据接入参数判断该网络接入请求是否为用于接入企业内网的接入请求；若是，通过网关设备拦截网络接入请求。其中，接入参数包括各类信息，例如，包括移动应用的应用信息，待接入的局域网络的网络信息。相应的，通过该接入参数能够判断该网络接入请求所要接入的局域网络。当该局域网络为企业内网时，则进行拦截，以提升企业内网的安全性。

为了便于理解，下面以一个具体示例为例详细描述本发明实施例中的实现方式：

在企业业务移动化的过程中，员工移动设备(手机、平板等)在非办公场所接入企业内网时，由于移动设备处于互联网环境，移动应用可能是不安全的非官方应用等。在这种情况下，移动应用接入企业内网会给企业带来潜在的隐患。

为了解决上述问题，本示例提供了一种对基于移动应用行为进行动态安全接入的方法，通过vsa技术，动态监控移动应用的行为，如果移动应用有违反规则的行为(如获取设备信息imei、通讯录、照片、后台调用摄像头、后台获取定位，后台获取录音等等)，则在网关对应用准入进行控制，拦截非法应用接入企业内网的请求。

其中，vsa(virtualsecurityarea)是指：一种通过接管移动应用和os(android，ios等操作系统)之间通信，来实现移动设备上虚拟机的技术。通过该虚拟化技术，vsa与操作系统底层的驱动挂钩，使得任何企业级应用都可安全的运行在虚拟机之中，以实现应用的安全和细粒度的控制。

具体地，在本示例中，通过以下步骤实现接入控制功能：

步骤一、针对应用进行vsa封装，该应用需要通过移动应用网关接入企业内网。

步骤二、动态分析移动应用的行为，是否含有以下行为：设备信息imei、通讯录、照片、后台调用摄像头、后台获取定位，后台获取录音等。

步骤三、如果移动应用有以上违反规则的行为，则在移动应用安全网关处进行拦截，该应用不可以接入内网。

由此可见，本示例提供了一种对基于移动应用行为进行动态安全接入的方法，通过vsa技术，动态监控移动应用的行为，如果移动应用有违反规则的行为，则在网关则对应用的准入进行控制，拦截应用接入企业内网的请求。该基于移动应用行为进行动态安全接入的方法，通过vsa技术，动态监控移动应用的行为，如果移动应用有违反规则的行为(如获取设备信息imei、通讯录、照片、后台调用摄像头、后台获取定位，后台获取录音等等)，则在网关对应用准入进行控制，拦截非法应用接入企业内网的请求。

图5示出了本示例的系统架构图。如图5所示，当安全应用(即移动应用)欲接入企业内网时，企业防火墙充当了网关设备的功能，用于拦截不安全的移动应用。其中，移动应用安全网关(mag)确保移动应用全部需通过https协议访问，传输通道使用ssl/tls加密技术进行加密，确保所有数据在一个安全、可信的信道(加密隧道)中传输，保障企业数据的传输通道的安全性。其中，加密隧道用于保障业务通信安全，因此需要通过加密传输隧道实现业务数据的传输加密功能。该方式能够实现准入控制：只有符合合规要求的用户、设备和应用的请求才能通过，并对不合规请求进行拦截。该方式还能够实现安全审计：基于用户、设备、应用、资源等多个维度访问日志记录，进行多维度的审计分析及可视化的展现。

图3示出了根据本发明又一个实施例的移动应用的网络接入系统的结构示意图，如图3所示，该系统包括：

封装模块31，适于针对移动应用进行vsa封装处理；

监测模块32，适于动态监测所述移动应用的应用行为信息，根据监测结果判断所述移动应用是否执行预设黑名单中的违规行为；

拦截模块33，适于若是，拦截所述移动应用的网络接入请求。

可选地，所述监测模块具体适于：

通过vsa虚拟机接管移动应用的应用数据接口，通过监测所述移动应用的应用数据接口监测移动应用的实时应用行为。

可选地，所述预设黑名单中的违规行为包括以下中的至少一种：

获取设备信息、调用摄像头、获取定位信息、以及获取录音信息；其中，所述设备信息包括：存储于设备中的通讯录信息、图像信息、以及imei信息。

上述各个模块的具体结构和工作原理可参照方法实施例中相应步骤的描述，此处不再赘述。

本申请实施例提供了一种非易失性计算机存储介质，所述计算机存储介质存储有至少一可执行指令，该计算机可执行指令可执行上述任意方法实施例中的移动应用的网络接入方法。

图4示出了根据本发明实施例的一种电子设备的结构示意图，本发明具体实施例并不对电子设备的具体实现做限定。

如图4所示，该电子设备可以包括：处理器(processor)402、通信接口(communicationsinterface)404、存储器(memory)406、以及通信总线408。

其中：

处理器402、通信接口404、以及存储器406通过通信总线408完成相互间的通信。

通信接口404，用于与其它设备比如客户端或其它服务器等的网元通信。

处理器402，用于执行程序410，具体可以执行上述域名解析方法实施例中的相关步骤。

具体地，程序410可以包括程序代码，该程序代码包括计算机操作指令。

处理器402可能是中央处理器cpu，或者是特定集成电路asic(applicationspecificintegratedcircuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。电子设备包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个cpu；也可以是不同类型的处理器，如一个或多个cpu以及一个或多个asic。

存储器406，用于存放程序410。存储器406可能包含高速ram存储器，也可能还包括非易失性存储器(non-volatilememory)，例如至少一个磁盘存储器。

程序410具体可以用于使得处理器402执行上述方法实施例中的各项操作。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的电子设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者系统程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干系统的单元权利要求中，这些系统中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。