免root權限的聯(lián)網(wǎng)防火墻的實現(xiàn)方法及客戶端的制作方法
【專利摘要】本發(fā)明公開了一種免root權限的聯(lián)網(wǎng)防火墻的實現(xiàn)方法及客戶端���。其中方法包括:獲取網(wǎng)絡連接請求,將所述網(wǎng)絡連接請求重定向至本地服務進程���,所述本地服務進程是由本地VPN服務提供的��;在所述本地服務進程中��,通過查詢系統(tǒng)文件獲得發(fā)起所述網(wǎng)絡連接請求的應用的應用名��;查詢預配置文件�,得到所述預配置文件中記錄的與所述應用名對應的配置策略;按照所述配置策略對所述網(wǎng)絡連接請求進行處理���。由于在操作系統(tǒng)框架內(nèi)允許VPN框架里的應用對網(wǎng)絡連接具有更高的控制權����,因此利用VPN框架使得本發(fā)明應用無需獲得root權限即可實現(xiàn)對其它應用的網(wǎng)絡連接的控制�����。
【專利說明】免root權限的聯(lián)網(wǎng)防火墻的實現(xiàn)方法及客戶端
【技術領域】
[0001] 本發(fā)明涉及互聯(lián)網(wǎng)【技術領域】�����,具體涉及一種免root權限的聯(lián)網(wǎng)防火墻的實現(xiàn)方 法及客戶端�����。
【背景技術】
[0002] 隨著智能手機的普及和移動互聯(lián)網(wǎng)技術的發(fā)展��,手機上網(wǎng)成為"手機網(wǎng)民"不可或 缺的需求����,智能手機上的應用也越來越多���。相對于PC而言,手機私密性很強����,手機安全隱患 對用戶的威脅更大,一些手機流氓軟件��、手機黑客��、盜取手機流量等安全問題導致用戶無故 的花費支出和其它形式的損失�����。
[0003] 為了加強手機上網(wǎng)的安全性���,現(xiàn)有技術提供了聯(lián)網(wǎng)防火墻技術,用戶利用聯(lián)網(wǎng)防 火墻可以實現(xiàn)設置應用程序上網(wǎng)規(guī)則����,屏蔽和允許應用程序上網(wǎng),設置黑白名單�,統(tǒng)計上網(wǎng) 流量,獲取上網(wǎng)流量日志以及顯示網(wǎng)絡狀態(tài)等功能���。但是�����,由于手機操作系統(tǒng)的權限限制����, 現(xiàn)有的聯(lián)網(wǎng)防火墻要實現(xiàn)上述功能必須獲得root權限,然后根據(jù)獲得的root權限對其它 應用程序進行管理和控制����。然而,要獲得root權限需要通過刷機實現(xiàn)����,對于實現(xiàn)上述功能 來說,由于系統(tǒng)文件的刷新需要一定延遲���,所以現(xiàn)有技術的聯(lián)網(wǎng)防火墻一般都具有反饋結 果延遲的問題�����。
【發(fā)明內(nèi)容】
[0004] 鑒于上述問題�����,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上 述問題的客戶端和相應的免root權限的聯(lián)網(wǎng)防火墻的實現(xiàn)方法��。
[0005] 根據(jù)本發(fā)明的一個方面��,提供了一種免root權限的聯(lián)網(wǎng)防火墻的實現(xiàn)方法����,包 括:
[0006] 獲取網(wǎng)絡連接請求,將所述網(wǎng)絡連接請求重定向至本地服務進程���,所述本地服務 進程是由本地VPN服務提供的�����;
[0007] 在所述本地服務進程中�,通過查詢系統(tǒng)文件獲得發(fā)起所述網(wǎng)絡連接請求的應用的 應用名�;
[0008] 查詢預配置文件�,得到所述預配置文件中記錄的與所述應用名對應的配置策略;
[0009] 按照所述配置策略對所述網(wǎng)絡連接請求進行處理��。
[0010] 根據(jù)本發(fā)明的另一方面�����,提供了一種客戶端,包括:
[0011] 重定向模塊�����,適于獲取網(wǎng)絡連接請求�,將所述網(wǎng)絡連接請求重定向至本地服務進 程,所述本地服務進程是由本地VPN服務提供的�����;
[0012] 應用名獲取模塊����,適于在所述本地服務進程中,通過查詢系統(tǒng)文件獲得發(fā)起所述 網(wǎng)絡連接請求的應用的應用名��;
[0013] 查詢模塊����,適于查詢預配置文件,得到所述預配置文件中記錄的與所述應用名對 應的配置策略����;
[0014] 處理模塊,適于按照所述配置策略對所述網(wǎng)絡連接請求進行處理。
[0015] 根據(jù)本發(fā)明提供的方案���,通過在客戶端內(nèi)部創(chuàng)建本地VPN服務而提供的本地服務 進程用于對應用的網(wǎng)絡連接進行處理����,即:通過查詢系統(tǒng)文件獲得發(fā)起網(wǎng)絡連接請求的應 用的應用名��,進而通過查詢配置文件得到對應的配置策略��,按照配置策略對網(wǎng)絡連接請求 進行處理�。由于在操作系統(tǒng)框架內(nèi)允許VPN框架里的應用對網(wǎng)絡連接具有更高的控制權, 因此利用VPN框架使得本發(fā)明應用無需獲得root權限即可實現(xiàn)對其它應用的網(wǎng)絡連接的 控制��,解決了現(xiàn)有技術中存在的反饋結果延遲的問題��。
[0016] 上述說明僅是本發(fā)明技術方案的概述�����,為了能夠更清楚了解本發(fā)明的技術手段����, 而可依照說明書的內(nèi)容予以實施,并且為了讓本發(fā)明的上述和其它目的��、特征和優(yōu)點能夠 更明顯易懂���,以下特舉本發(fā)明的【具體實施方式】��。
【專利附圖】
【附圖說明】
[0017] 通過閱讀下文優(yōu)選實施方式的詳細描述�����,各種其他的優(yōu)點和益處對于本領域普通 技術人員將變得清楚明了���。附圖僅用于示出優(yōu)選實施方式的目的,而并不認為是對本發(fā)明 的限制����。而且在整個附圖中,用相同的參考符號表示相同的部件�����。在附圖中:
[0018] 圖1示出了根據(jù)本發(fā)明一個實施例的免root權限的聯(lián)網(wǎng)防火墻的實現(xiàn)方法的流 程圖�����;
[0019] 圖2示出了根據(jù)本發(fā)明一個實施例的免root權限的聯(lián)網(wǎng)防火墻的實現(xiàn)方法的流 程圖�����;
[0020] 圖3示出了根據(jù)本發(fā)明一個實施例的客戶端的功能結構框圖;
[0021] 圖4示出了根據(jù)本發(fā)明另一個實施例的客戶端的功能結構框圖���。
【具體實施方式】
[0022] 下面將參照附圖更詳細地描述本公開的示例性實施例���。雖然附圖中顯示了本公開 的示例性實施例,然而應當理解�,可以以各種形式實現(xiàn)本公開而不應被這里闡述的實施例 所限制。相反����,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍 完整的傳達給本領域的技術人員�����。
[0023] 本發(fā)明實施例是基于在客戶端內(nèi)部創(chuàng)建的本地VPN服務(VPN client)而實現(xiàn)的�����。 本文中��,客戶端可以是智能手機���、平板式電腦等具有移動聯(lián)網(wǎng)服務的移動終端設備�?��?蛻?端的操作系統(tǒng)為了便于使用VPN服務�����,開放了多個系統(tǒng)接口(API)�����,在得到用戶確認的情況 下�,VPN服務能夠獲得控制和管理其它應用的權限����。具體地,通過調(diào)用操作系統(tǒng)提供的API���, 可將客戶端內(nèi)部的VPN服務打開�����,當客戶端的其它應用要訪問網(wǎng)絡時����,應用所發(fā)起的網(wǎng)絡 連接請求均經(jīng)過本地VPN服務的處理,使得客戶端能夠有效且安全地訪問網(wǎng)絡資源�。
[0024] 以一種應用場景為例,客戶端在安裝或首次啟動用于實現(xiàn)本發(fā)明方案的獨立的應 用(以下稱為本發(fā)明應用)時��,本發(fā)明應用需要創(chuàng)建本地VPN服務��,此時本發(fā)明應用向用戶 發(fā)出信任或不信任本應用的提示信息���,如果用戶選擇信任�����,則本發(fā)明應用創(chuàng)建本地VPN服 務�。在創(chuàng)建本地VPN服務之后���,由于在操作系統(tǒng)框架內(nèi)允許VPN框架里的應用對其它應用 具有更高的控制權���,所以本發(fā)明應用對于網(wǎng)絡連接的控制級別高于其它應用。在用戶要使 用某些應用且希望在使用這些應用的過程中對這些應用發(fā)起的網(wǎng)絡連接進行處理時���,啟動 上述創(chuàng)建本地VPN服務的本發(fā)明應用�����,點擊本發(fā)明應用的設置開關用于啟動VPN client�����。 在啟動VPN client后�����,執(zhí)行本實施例提供的方法���。
[0025] 圖1示出了根據(jù)本發(fā)明一個實施例的免root權限的聯(lián)網(wǎng)防火墻的實現(xiàn)方法的流 程圖�����。如圖1所示,該方法包括如下步驟:
[0026] 步驟S100,獲取網(wǎng)絡連接請求���,將網(wǎng)絡連接請求重定向至本地服務進程�����,本地服務 進程是由本地VPN服務提供的�����。
[0027] 基于上面的描述可知�����,在本發(fā)明應用創(chuàng)建本地VPN服務之后�����,本發(fā)明應用對于網(wǎng) 絡連接的控制級別高于其它應用��。在其它應用發(fā)出網(wǎng)絡連接請求時�����,本發(fā)明應用能攔截網(wǎng) 絡連接請求�����,將網(wǎng)絡連接請求重定向至本發(fā)明應用內(nèi)的本地服務進程進行后續(xù)處理��。以微 博應用為例�,當用戶啟動微博應用發(fā)起訪問微博內(nèi)容的網(wǎng)絡連接請求時,由于本發(fā)明應用 對網(wǎng)絡連接的控制級別高于微博應用,本發(fā)明應用攔截該網(wǎng)絡連接請求����,將網(wǎng)絡連接請求 重定向至本發(fā)明應用內(nèi)的本地服務進程進行后續(xù)處理。
[0028] 步驟S101�,在本地服務進程中,通過查詢系統(tǒng)文件獲得發(fā)起網(wǎng)絡連接請求的應用 的應用名�。
[0029] 系統(tǒng)文件記錄有當前系統(tǒng)中所有tcp連接和/或udp連接的情況。以Android系 統(tǒng)為例����,當前系統(tǒng)中所有tcp連接和/或udp連接的網(wǎng)絡連接信息都保存在proc文件中。 proc文件是內(nèi)核的一個快照���,它存儲了系統(tǒng)運行時的狀態(tài)信息,同時又可以作為輸入接 口--用戶可以修改proc目錄下一些文件中的內(nèi)容來改變內(nèi)核運行時的參數(shù)設置����。本文 利用proc文件存儲狀態(tài)信息的功能,即通過讀取proc文件來實現(xiàn)netstat命令的一些基 本功能�����,包括tcp和udp端口的掃描����,進而獲得發(fā)起網(wǎng)絡連接請求的應用的應用名���。
[0030] 步驟S102,查詢預配置文件,得到預配置文件中記錄的與應用名對應的配置策略�����。
[0031] 本發(fā)明提供了用于存儲各種配置策略的預配置文件�����,該預配置文件向用戶提供了 配置接口�����,用戶可以通過該配置接口選擇哪些應用使用哪些配置策略�。根據(jù)用戶的選擇,每 種配置策略對應有應用名列表�����,該應用名列表中每一個應用都采用對應的配置策略進行處 理����。
[0032] 舉例來說,預配置文件中存儲有防火墻策略,一種防火墻策略具體為:在無線移動 網(wǎng)(如3G或4G)聯(lián)網(wǎng)情況下禁止應用訪問網(wǎng)絡��,用戶可選擇微博應用使用該防火墻策略���, 則在預配置文件中將微博應用名寫入防火墻策略對應的應用名列表��?���?蛇x地�����,另一種防火 墻策略具體為:在無線移動網(wǎng)聯(lián)網(wǎng)情況下禁止后臺程序訪問網(wǎng)絡�����,用戶可選擇使用該策略 的應用����,在預配置文件中將用戶選擇的應用名寫入該防火墻策略對應的應用名列表���;用戶 也可選擇不使用該策略的應用(即排他性選擇)�����,在預配置文件中將用戶選擇的應用以外 的應用名寫入該防火墻策略對應的應用名列表�。一般來說,對于微信���、微博這些即時通訊軟 件��,用戶需要實時地獲取通知消息�����,所以在預配置文件中也可排除這些應用的應用名����,以避 免這些應用處于后臺時不能及時地獲取通知消息����。
[0033] 步驟S103,按照配置策略對網(wǎng)絡連接請求進行處理。
[0034] 在得到發(fā)起網(wǎng)絡連接請求的應用名及其對應的配置策略之后�,按照該配置策略對 網(wǎng)絡連接請求進行處理。對于微博應用�,若當前聯(lián)網(wǎng)情況是無線移動網(wǎng)聯(lián)網(wǎng),則阻斷微博應 用發(fā)起的網(wǎng)絡連接請求���。對于某個后臺程序�����,若它屬于禁止后臺程序訪問網(wǎng)絡的防火墻策 略對應的應用名列表��,且當前聯(lián)網(wǎng)情況為無線移動網(wǎng)聯(lián)網(wǎng)�����,則阻斷該后臺程序發(fā)起的網(wǎng)絡 連接請求����。
[0035] 根據(jù)本實施例提供的方法,通過在客戶端內(nèi)部創(chuàng)建本地VPN服務而提供的本地服 務進程用于對應用的網(wǎng)絡連接進行處理����,即:通過查詢系統(tǒng)文件獲得發(fā)起網(wǎng)絡連接請求的 應用的應用名,進而通過查詢配置文件得到對應的配置策略�����,按照配置策略對網(wǎng)絡連接請 求進行處理����。一方面,由于在操作系統(tǒng)框架內(nèi)允許VPN框架里的應用對網(wǎng)絡連接具有更高 的控制權����,因此利用VPN框架使得本發(fā)明應用無需獲得root權限即可實現(xiàn)對其它應用的網(wǎng) 絡連接的控制,解決了現(xiàn)有技術中存在的反饋結果延遲的問題����;另一方面,通過功能獨立的 本發(fā)明應用來實現(xiàn)本實施例的上述方法���,無需在每個應用中分別設置配置策略�����,通過在本 發(fā)明應用提供的配置接口中統(tǒng)一設置配置策略形成預配置文件�����,即可對應用名列表中的所 有應用采用統(tǒng)一的配置策略進行處理�,方便用戶使用�。
[0036] 另外,在本發(fā)明實施例中�,除了客戶端本地配置的上述用于存儲各種配置策略的 預配置文件以外,云端也會提供一些默認配置策略����。例如�����,云端提供了讓用戶一鍵設置的功 能��,支持云端配置如下策略:禁止平時只在前臺使用的應用(例如瀏覽器���、視頻播放軟件等 應用)在后臺聯(lián)網(wǎng),和/或��,禁止無需聯(lián)網(wǎng)的應用(例如計算器等應用)進行聯(lián)網(wǎng)��。在云端 配置的策略可定時同步到客戶端��,存儲在預配置文件中以供匹配使用���。
[0037] 圖2示出了根據(jù)本發(fā)明一個實施例的免root權限的聯(lián)網(wǎng)防火墻的實現(xiàn)方法的流 程圖����。如圖2所示����,該方法包括如下步驟:
[0038] 步驟S200,獲取網(wǎng)絡連接請求���。
[0039] 對于客戶端內(nèi)部安裝的某個應用����,如果該應用需要訪問網(wǎng)絡��,則需要先發(fā)起網(wǎng)絡 連接請求��,例如tcp連接請求或udp連接請求�����。本實施例在該應用發(fā)出這樣的網(wǎng)絡連接請 求之前�,獲取該網(wǎng)絡連接請求,執(zhí)行后續(xù)流程����。
[0040] 步驟S201,從網(wǎng)絡連接請求中解析出路由信息��,判斷解析出的路由信息是否與預 先下發(fā)的路由表中記錄的信息相匹配�����,若是,執(zhí)行步驟S202 ;若否�,則本方法流程結束。
[0041] 本發(fā)明實施例預先下發(fā)了路由表���,該路由表中記錄了需要進行網(wǎng)絡連接優(yōu)化處理 的路由信息���,如果網(wǎng)絡連接請求中的路由信息與該路由表中記錄的信息相匹配,則執(zhí)行后 續(xù)方法流程�。如果網(wǎng)絡連接請求中的路由信息與該路由表中記錄的信息不相匹配,則表明 此次網(wǎng)絡連接請求無需進行網(wǎng)絡連接優(yōu)化處理��,后續(xù)可按照現(xiàn)有技術的流程繼續(xù)處理��。
[0042] 步驟S202,將網(wǎng)絡連接請求重定向至本地服務進程��。
[0043] 基于上面的描述可知���,在本發(fā)明應用創(chuàng)建本地VPN服務之后��,本發(fā)明應用對于網(wǎng) 絡連接的控制級別高于其它應用���。在其它應用發(fā)出網(wǎng)絡連接請求時,本發(fā)明應用能攔截網(wǎng) 絡連接請求,將網(wǎng)絡連接請求重定向至本發(fā)明應用內(nèi)的本地服務進程進行后續(xù)處理��。
[0044] 步驟S203,調(diào)用用于獲取地址和端口的系統(tǒng)接口���,獲取網(wǎng)絡連接請求對應的地址 和端口。
[0045] 在本地服務進程接收到網(wǎng)絡連接請求之后�,通過調(diào)用系統(tǒng)接口可獲取發(fā)起網(wǎng)絡 連接請求的應用的本地地址和端口,即ip:P〇rt�����。在Android系統(tǒng)中提供了 getpeername 接口�,當本地服務進程接收到網(wǎng)絡連接請求后,獲取該網(wǎng)絡連接請求對應的socket�,將該 socket傳遞給getpeername接口,就能獲取發(fā)起網(wǎng)絡連接請求的應用的本地地址和端口���。
[0046] 步驟S204,根據(jù)網(wǎng)絡連接請求對應的地址和端口查詢系統(tǒng)文件�����,獲得發(fā)起網(wǎng)絡連 接請求的應用的應用標識����。
[0047] 系統(tǒng)文件記錄有當前系統(tǒng)中所有tcp連接和/或udp連接的情況。以Android系 統(tǒng)為例�,當前系統(tǒng)中所有tcp連接和/或udp連接的網(wǎng)絡連接信息都保存在proc文件中。 具體地�,有關tcp連接的網(wǎng)絡連接信息保存在/proc/net/tcp文件中,有關udp連接的網(wǎng) 絡連接信息保存在/proc/net/udp�,還有一些網(wǎng)絡連接信息保存在/proc/net/tcp6中。因 此�����,本發(fā)明實施例所要查詢的系統(tǒng)文件包含以下文件中的一個或多個:/proc/net/tcp ;/ proc/net/udp ;/proc/net/tcp6�����。其中���,在查詢系統(tǒng)文件/proc/net/tcp6之前還包括:將地 址和端口由IPV4協(xié)議轉換為IPV6協(xié)議�����。
[0048] 具體地�����,在查詢時��,首先查詢/proc/net/tcp文件���;如果沒有查詢到�����,接著查詢/ proc/net/udp文件����;如果還沒有查詢到����,最后查詢/proc/net/tcp6文件���。
[0049] 下面給出通過執(zhí)行netstat-tn命令查詢/proc/net/tcp文件輸出的信息的具體 示例:
[0050] si local_address rem_address st tx_queue rx_queue tr tm->when retrnsmt uid timeout inode
[0051] 1:3A00AA0A:00C7 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 25926 1 f73bc080 3000 002-1
[0052] 在上述示例中��,si表示打開套接字的編號����;local_address表示格式為十六進制 (網(wǎng)絡字節(jié)序)的本地IP地址:端口號����;rem_address表示遠程地址;st表示連接狀態(tài);uid 表示發(fā)起網(wǎng)絡連接請求的應用標識���。其它信息與本方案沒有直接關系��,不再贅述�����。
[0053] 通過以上示例可以看出��,在獲知網(wǎng)絡連接請求對應的本地地址和端口的情況下���, 可以通過查詢系統(tǒng)文件得到對應的uid。
[0054] /proc/net/udp文件和/proc/net/tcp6文件也與上述示例類似���,只是在遠程地址 和狀態(tài)信息上有所區(qū)別�,在此不再贅述�����。
[0055] 步驟S205,根據(jù)應用標識調(diào)用用于獲取應用名的系統(tǒng)接口��,獲取發(fā)起網(wǎng)絡連接請 求的應用的應用名��。
[0056] 在獲得應用標識之后,通過調(diào)用系統(tǒng)接口進一步獲得應用名�����。具體地�,利用 Android系統(tǒng)提供的getApplicationName接口,得到發(fā)起網(wǎng)絡連接請求的應用名���。
[0057] 步驟S206,查詢預配置文件���,得到預配置文件中記錄的與應用名對應的配置策略。
[0058] 本發(fā)明提供了用于存儲各種配置策略的預配置文件���,該預配置文件向用戶提供了 配置接口,用戶可以通過該配置接口選擇哪些應用使用哪些配置策略��。作為一種具體示例���, 預配置文件中可包含如下配置策略:
[0059] (1)在無線移動網(wǎng)聯(lián)網(wǎng)情況下���,阻斷一些應用名對應的應用發(fā)起的網(wǎng)絡連接請 求;
[0060] (2)在無線移動網(wǎng)聯(lián)網(wǎng)情況下��,禁止某些后臺程序訪問網(wǎng)絡;
[0061] (3)在無線局域網(wǎng)聯(lián)網(wǎng)情況下�,對一些應用名對應的應用發(fā)起的用于訪問支付頁 面的網(wǎng)絡連接請求進行加密處理,即加密策略��。
[0062] 根據(jù)用戶的選擇���,每種配置策略對應有應用名列表�����,該應用名列表中每一個應用 都采用對應的配置策略進行處理�。以上述防火墻策略(1)為例�,若用戶選擇優(yōu)酷、搜狐視頻 等應用使用該防火墻策略�����,那么在預配置文件中該防火墻策略對應的應用名列表中添加上 述應用的應用名�,形成該防火墻策略的應用黑名單;以上述防火墻策略(2)為例��,若用戶選 擇微博�、微信等應用不使用該防火墻策略,那么在預配置文件中將除了微博����、微信以外的應 用的應用名添加到該防火墻策略對應的應用名列表中��,形成該防火墻策略的應用黑名單����; 以加密策略(3)為例���,若用戶選擇淘寶����、支付寶�、京東、當當網(wǎng)等支付類應用使用加密策略�����, 那么在預配置文件中加密策略對應的應用名列表中添加上述支付類應用的應用名�����,形成加 密策略的應用黑名單�。
[0063] 在實際應用過程中����,可根據(jù)情況設置其它配置策略�����,本發(fā)明對此不做限制�。
[0064] 另外���,在本實施例中�,除了客戶端本地配置的上述用于存儲各種配置策略的預配 置文件以外��,云端也會提供一些默認配置策略���。例如����,云端提供了讓用戶一鍵設置的功能��, 支持云端配置如下策略:禁止平時只在前臺使用的應用(例如瀏覽器�����、視頻播放軟件等應 用)在后臺聯(lián)網(wǎng)��,和/或,禁止無需聯(lián)網(wǎng)的應用(例如計算器等應用)進行聯(lián)網(wǎng)����。在云端配 置的策略可定時同步到客戶端,存儲在預配置文件中以供匹配使用��。
[0065] 步驟S207,按照配置策略對網(wǎng)絡連接請求進行處理��。
[0066] 在得到發(fā)起網(wǎng)絡連接請求的應用名及其對應的配置策略之后�,按照該配置策略對 網(wǎng)絡連接請求進行處理。在上述示例中�,如果發(fā)起網(wǎng)絡連接請求的應用屬于防火墻策略(1) 的應用黑名單,則進一步判斷當前聯(lián)網(wǎng)是否屬于無線移動(例如3G或4G)聯(lián)網(wǎng)情況�����,如是����, 則阻斷該應用發(fā)起的網(wǎng)絡連接請求;通過這樣的方式����,可以大大降低數(shù)據(jù)流量����,達到省流量 的目的����。如果發(fā)起網(wǎng)絡連接請求的應用屬于防火墻策略(2)的應用黑名單����,則進一步判斷 當前聯(lián)網(wǎng)是否屬于無線移動聯(lián)網(wǎng)情況以及該應用是否為后臺程序,如是����,則阻斷該應用發(fā) 起的網(wǎng)絡連接請求;通過這樣的方式����,也能達到省流量的目的。如果發(fā)起網(wǎng)絡連接請求的應 用屬于加密策略的應用黑名單����,則進一步判斷當前聯(lián)網(wǎng)是否屬于無線局域網(wǎng)(例如wifi)聯(lián) 網(wǎng)情況,如是�,則對該應用發(fā)起的用于訪問支付頁面的網(wǎng)絡連接請求進行加密處理,以提高 網(wǎng)絡訪問的安全性��。
[0067] 根據(jù)本實施例提供的方法,通過在客戶端內(nèi)部創(chuàng)建本地VPN服務而提供的本地服 務進程用于對應用的網(wǎng)絡連接進行處理����,即:通過查詢系統(tǒng)文件獲得發(fā)起網(wǎng)絡連接請求的 應用的應用名,進而通過查詢配置文件得到對應的配置策略����,按照配置策略對網(wǎng)絡連接請 求進行處理。一方面���,由于在操作系統(tǒng)框架內(nèi)允許VPN框架里的應用對網(wǎng)絡連接具有更高 的控制權��,因此利用VPN框架使得本發(fā)明應用無需獲得root權限即可實現(xiàn)對其它應用的網(wǎng) 絡連接的控制�,解決了現(xiàn)有技術中存在的反饋結果延遲的問題����;另一方面,通過功能獨立的 本發(fā)明應用來實現(xiàn)本實施例的上述方法���,無需在每個應用中分別設置配置策略����,通過在本 發(fā)明應用提供的配置接口中統(tǒng)一設置配置策略形成預配置文件��,即可對應用名列表中的所 有應用采用統(tǒng)一的配置策略進行處理,方便用戶使用���。進一步的,通過配置上述防火墻策 略���,可使某些應用在3G或4G等無線移動聯(lián)網(wǎng)情況下禁止聯(lián)網(wǎng)�����,避免了這些應用耗費移動流 量���,達到省流量的目的,減少了用戶對流量的支出��;而且�����,用戶可通過本發(fā)明應用統(tǒng)一管理 和配置其它應用的流量輸出�����,操作實用且便捷�����;通過配置上述加密策略,可對某些支付類應 用在wifi等無線局域網(wǎng)聯(lián)網(wǎng)情況下對支付頁面的訪問進行加密處理��,避免了用戶私密信息 泄露導致的財產(chǎn)損失問題�����,提高了網(wǎng)絡訪問的安全性�。
[0068] 圖3示出了根據(jù)本發(fā)明一個實施例的客戶端的功能結構框圖。如圖3所示��,該客 戶端包括:重定向模塊300�、應用名獲取模塊310、查詢模塊320以及處理模塊330�����。這里的 各個功能模塊具體為本發(fā)明應用內(nèi)部的功能模塊�。
[0069] 重定向模塊300適于獲取網(wǎng)絡連接請求,將網(wǎng)絡連接請求重定向至本地服務進 程���,本地服務進程是由本地VPN服務提供的���。在本發(fā)明應用創(chuàng)建本地VPN服務之后���,本發(fā)明 應用對于網(wǎng)絡連接的控制級別高于其它應用。在其它應用發(fā)出網(wǎng)絡連接請求時���,本發(fā)明應 用中的重定向模塊300能攔截網(wǎng)絡連接請求,將網(wǎng)絡連接請求重定向至本地服務進程進行 后續(xù)處理����。
[0070] 應用名獲取模塊310適于在本地服務進程中,通過查詢系統(tǒng)文件獲得發(fā)起網(wǎng)絡連 接請求的應用的應用名�。系統(tǒng)文件記錄有當前系統(tǒng)中所有tcp連接和/或udp連接的情況。 以Android系統(tǒng)為例���,當前系統(tǒng)中所有tcp連接和/或udp連接的網(wǎng)絡連接信息都保存在 proc文件中���。proc文件是內(nèi)核的一個快照,它存儲了系統(tǒng)運行時的狀態(tài)信息��,同時又可以 作為輸入接口--用戶可以修改proc目錄下一些文件中的內(nèi)容來改變內(nèi)核運行時的參數(shù) 設置�����。本文利用proc文件存儲狀態(tài)信息的功能��,即通過讀取proc文件來實現(xiàn)netstat命 令的一些基本功能,包括tcp和udp端口的掃描�����,進而獲得發(fā)起網(wǎng)絡連接請求的應用的應 用名��。
[0071] 查詢模塊320適于查詢預配置文件�,得到預配置文件中記錄的與應用名對應的配 置策略。本發(fā)明提供了用于存儲各種配置策略的預配置文件�����,該預配置文件向用戶提供了 配置接口��,用戶可以通過該配置接口選擇哪些應用使用哪些配置策略�。根據(jù)用戶的選擇,每 種配置策略對應有應用名列表��,該應用名列表中每一個應用都采用對應的配置策略進行處 理�����。
[0072] 處理模塊330適于按照配置策略對網(wǎng)絡連接請求進行處理��。在得到發(fā)起網(wǎng)絡連接 請求的應用名及其對應的配置策略之后��,由處理模塊330按照該配置策略對網(wǎng)絡連接請求 進行處理。
[0073] 圖4示出了根據(jù)本發(fā)明另一個實施例的客戶端的功能結構框圖����。如圖4所示,該客 戶端包括:預配置文件存儲模塊400��、判斷模塊410�����、重定向模塊420�、應用名獲取模塊430�、 查詢模塊440以及處理模塊450。
[0074] 預配置文件存儲模塊400用于存儲預配置文件�,該預配置文件向用戶提供了配置 接口,用戶可以通過該配置接口選擇哪些應用使用哪些配置策略����。作為一種具體示例,預配 置文件中可包含如下配置策略:在無線移動網(wǎng)聯(lián)網(wǎng)情況下���,阻斷一些應用名對應的應用發(fā) 起的網(wǎng)絡連接請求�����;和/或���,在無線移動網(wǎng)聯(lián)網(wǎng)情況下��,禁止一些應用名對應的應用作為后 臺程序訪問網(wǎng)絡�����;和/或����,在無線局域網(wǎng)聯(lián)網(wǎng)情況下��,對一些應用名對應的應用發(fā)起的用于 訪問支付頁面的網(wǎng)絡連接請求進行加密處理���。
[0075] 根據(jù)用戶的選擇�����,每種配置策略對應有應用名列表��,該應用名列表中每一個應用 都采用對應的配置策略進行處理��。以上述方法實施例描述的防火墻策略(1)為例�����,若用戶 選擇優(yōu)酷��、搜狐視頻等應用使用該防火墻策略�����,那么在預配置文件中該防火墻策略對應的 應用名列表中添加上述應用的應用名���,形成該防火墻策略的應用黑名單���;以上述方法實施 例描述的防火墻策略(2)為例���,若用戶選擇微博�、微信等應用不使用該防火墻策略�����,那么在 預配置文件中將除了微博��、微信以外的應用的應用名添加到該防火墻策略對應的應用名列 表中�����,形成該防火墻策略的應用黑名單;以上述方法實施例描述的加密策略(3)為例��,若用 戶選擇淘寶����、支付寶、京東�����、當當網(wǎng)等支付類應用使用加密策略�,那么在預配置文件中加密 策略對應的應用名列表中添加上述支付類應用的應用名,形成加密策略的應用黑名單��。
[0076] 在實際應用過程中����,可根據(jù)情況設置其它配置策略,本發(fā)明對此不做限制�。
[0077] 判斷模塊410適于從網(wǎng)絡連接請求中解析出路由信息,判斷解析出的路由信息是 否與預先下發(fā)的路由表中記錄的信息相匹配���。
[0078] 重定向模塊420進一步適于:若判斷模塊410的判斷結果為匹配���,則將網(wǎng)絡連接請 求重定向至本地服務進程�����。
[0079] 進一步的�����,應用名獲取模塊430包括:第一調(diào)用模塊431�、系統(tǒng)文件查詢模塊432 以及第二調(diào)用模塊433��。
[0080] 第一調(diào)用模塊431適于調(diào)用用于獲取地址和端口的系統(tǒng)接口����,獲取網(wǎng)絡連接請求 對應的地址和端口。具體地����,第一調(diào)用模塊431可調(diào)用getpeername接口�,用于獲取發(fā)起網(wǎng) 絡連接請求的應用的本地地址和端口。
[0081] 系統(tǒng)文件查詢模塊432適于根據(jù)網(wǎng)絡連接請求對應的地址和端口查詢系統(tǒng)文件���, 獲得發(fā)起網(wǎng)絡連接請求的應用的應用標識�。系統(tǒng)文件記錄有當前系統(tǒng)中所有tcp連接和/ 或udp連接的情況。以Android系統(tǒng)為例����,當前系統(tǒng)中所有tcp連接和/或udp連接的網(wǎng) 絡連接信息都保存在proc文件中。具體地�,有關tcp連接的網(wǎng)絡連接信息保存在/proc/ net/tcp文件中,有關udp連接的網(wǎng)絡連接信息保存在/proc/net/udp,還有一些網(wǎng)絡連接 信息保存在/proc/net/t Cp6中��。因此��,系統(tǒng)文件查詢模塊432所要查詢的系統(tǒng)文件包含以 下文件中的一個或多個:/proc/net/tcp ;/proc/net/udp ;/proc/net/tcp6�。系統(tǒng)文件查詢 模塊432還適于:在查詢系統(tǒng)文件/proc/net/tcp6之前,將地址和端口由IPV4協(xié)議轉換為 IPV6協(xié)議����。關于查詢系統(tǒng)文件可參見方法實施例的具體描述。
[0082] 第二調(diào)用模塊433適于根據(jù)應用標識調(diào)用用于獲取應用名的系統(tǒng)接口�����,獲取發(fā)起 網(wǎng)絡連接請求的應用的應用名�。具體地,第二調(diào)用模塊433可調(diào)用Android系統(tǒng)提供的 getApp 1 i cat ionName接口�,得到發(fā)起網(wǎng)絡連接請求的應用名��。
[0083] 查詢模塊440適于查詢預配置文件�����,得到預配置文件中記錄的與應用名對應的配 置策略����。具體地����,查詢模塊440查詢每種配置策略的應用名列表,如果某種配置策略的應 用名列表中包含發(fā)起網(wǎng)絡連接請求的應用名���,則確定該配置策略為與應用名對應的配置策 略�。
[0084] 處理模塊450適于按照配置策略對網(wǎng)絡連接請求進行處理�。例如,如果發(fā)起網(wǎng)絡 連接請求的應用屬于防火墻策略(1)的應用黑名單�����,則處理模塊450進一步判斷當前聯(lián)網(wǎng) 是否屬于無線移動(例如3G或4G)聯(lián)網(wǎng)情況�,如是�����,則處理模塊450阻斷該應用發(fā)起的網(wǎng)絡 連接請求。如果發(fā)起網(wǎng)絡連接請求的應用屬于防火墻策略(2)的應用黑名單�,則處理模塊 450進一步判斷當前聯(lián)網(wǎng)是否屬于無線移動聯(lián)網(wǎng)情況以及該應用是否為后臺程序,如是�����,則 處理模塊450阻斷該應用發(fā)起的網(wǎng)絡連接請求����。如果發(fā)起網(wǎng)絡連接請求的應用屬于加密策 略的應用黑名單,則處理模塊450進一步判斷當前聯(lián)網(wǎng)是否屬于無線局域網(wǎng)(例如wifi)聯(lián) 網(wǎng)情況����,如是,則處理模塊450對該應用發(fā)起的用于訪問支付頁面的網(wǎng)絡連接請求進行加 密處理���,以提高網(wǎng)絡訪問的安全性��。
[0085] 根據(jù)本發(fā)明上述實施例提供的客戶端����,通過在其內(nèi)部創(chuàng)建本地VPN服務而提供的 本地服務進程用于對應用的網(wǎng)絡連接進行處理����,即:通過查詢系統(tǒng)文件獲得發(fā)起網(wǎng)絡連接 請求的應用的應用名����,進而通過查詢配置文件得到對應的配置策略�,按照配置策略對網(wǎng)絡 連接請求進行處理。一方面��,由于在操作系統(tǒng)框架內(nèi)允許VPN框架里的應用對網(wǎng)絡連接具 有更高的控制權��,因此利用VPN框架使得本發(fā)明應用無需獲得root權限即可實現(xiàn)對其它應 用的網(wǎng)絡連接的控制����,解決了現(xiàn)有技術中存在的反饋結果延遲的問題;另一方面��,通過功能 獨立的本發(fā)明應用來實現(xiàn)本實施例的上述方案����,無需在每個應用中分別設置配置策略,通 過在本發(fā)明應用提供的配置接口中統(tǒng)一設置配置策略形成預配置文件����,即可對應用名列表 中的所有應用采用統(tǒng)一的配置策略進行處理,方便用戶使用��。進一步的,通過配置上述防火 墻策略�����,可使某些應用在3G或4G等無線移動聯(lián)網(wǎng)情況下禁止聯(lián)網(wǎng)�����,避免了這些應用耗費移 動流量��,達到省流量的目的�����,減少了用戶對流量的支出�����;而且��,用戶可通過本發(fā)明應用統(tǒng)一 管理和配置其它應用的流量輸出�,操作實用且便捷�;通過配置上述加密策略,可對某些支付 類應用在wifi等無線局域網(wǎng)聯(lián)網(wǎng)情況下對支付頁面的訪問進行加密處理����,避免了用戶私密 信息泄露導致的財產(chǎn)損失問題��,提高了網(wǎng)絡訪問的安全性�。
[0086] 在此提供的算法和顯示不與任何特定計算機�、虛擬系統(tǒng)或者其它設備固有相關。 各種通用系統(tǒng)也可以與基于在此的示教一起使用����。根據(jù)上面的描述,構造這類系統(tǒng)所要求 的結構是顯而易見的����。此外,本發(fā)明也不針對任何特定編程語言�。應當明白,可以利用各種 編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容�����,并且上面對特定語言所做的描述是為了披露本發(fā) 明的最佳實施方式����。
[0087] 在此處所提供的說明書中,說明了大量具體細節(jié)。然而��,能夠理解�,本發(fā)明的實施 例可以在沒有這些具體細節(jié)的情況下實踐。在一些實例中���,并未詳細示出公知的方法�����、結構 和技術,以便不模糊對本說明書的理解���。
[0088] 類似地�����,應當理解����,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個���,在 上面對本發(fā)明的示例性實施例的描述中�����,本發(fā)明的各個特征有時被一起分組到單個實施 例�、圖、或者對其的描述中��。然而�����,并不應將該公開的方法解釋成反映如下意圖:即所要求保 護的本發(fā)明要求比在每個權利要求中所明確記載的特征更多的特征�。更確切地說,如下面 的權利要求書所反映的那樣���,發(fā)明方面在于少于前面公開的單個實施例的所有特征��。因此�, 遵循【具體實施方式】的權利要求書由此明確地并入該【具體實施方式】�,其中每個權利要求本身 都作為本發(fā)明的單獨實施例。
[0089] 本領域那些技術人員可以理解�����,可以對實施例中的設備中的模塊進行自適應性地 改變并且把它們設置在與該實施例不同的一個或多個設備中���?���?梢园褜嵤├械哪K或單 元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或 子組件��。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外���,可以采用任 何組合對本說明書(包括伴隨的權利要求�、摘要和附圖)中公開的所有特征以及如此公開 的任何方法或者設備的所有過程或單元進行組合�。除非另外明確陳述���,本說明書(包括伴 隨的權利要求���、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代 特征來代替�。
[0090] 此外,本領域的技術人員能夠理解����,盡管在此所述的一些實施例包括其它實施例 中所包括的某些特征而不是其它特征,但是不同實施例的特征的組合意味著處于本發(fā)明的 范圍之內(nèi)并且形成不同的實施例�����。例如,在下面的權利要求書中�,所要求保護的實施例的任 意之一都可以以任意的組合方式來使用��。
[0091] 本發(fā)明的各個部件實施例可以以硬件實現(xiàn)��,或者以在一個或者多個處理器上運行 的軟件模塊實現(xiàn)��,或者以它們的組合實現(xiàn)�。本領域的技術人員應當理解,可以在實踐中使用 微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的客戶端中的一些或者全 部部件的一些或者全部功能�����。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或 者全部的設備或者裝置程序(例如�����,計算機程序和計算機程序產(chǎn)品)�����。這樣的實現(xiàn)本發(fā)明的 程序可以存儲在計算機可讀介質(zhì)上���,或者可以具有一個或者多個信號的形式��。這樣的信號 可以從因特網(wǎng)網(wǎng)站上下載得到��,或者在載體信號上提供���,或者以任何其他形式提供��。
[0092] 應該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制����,并且本領 域技術人員在不脫離所附權利要求的范圍的情況下可設計出替換實施例��。在權利要求中����, 不應將位于括號之間的任何參考符號構造成對權利要求的限制��。單詞"包含"不排除存在 未列在權利要求中的元件或步驟�����。位于元件之前的單詞"一"或"一個"不排除存在多個這 樣的元件����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當編程的計算機來 實現(xiàn)�。在列舉了若干裝置的單元權利要求中����,這些裝置中的若干個可以是通過同一個硬件 項來具體體現(xiàn)。單詞第一�����、第二���、以及第三等的使用不表示任何順序����?�?蓪⑦@些單詞解釋為 名稱���。
[0093] 本發(fā)明公開了 :A1�����、一種免root權限的聯(lián)網(wǎng)防火墻的實現(xiàn)方法��,包括:
[0094] 獲取網(wǎng)絡連接請求����,將所述網(wǎng)絡連接請求重定向至本地服務進程,所述本地服務 進程是由本地VPN服務提供的����;
[0095] 在所述本地服務進程中,通過查詢系統(tǒng)文件獲得發(fā)起所述網(wǎng)絡連接請求的應用的 應用名�;
[0096] 查詢預配置文件,得到所述預配置文件中記錄的與所述應用名對應的配置策略��;
[0097] 按照所述配置策略對所述網(wǎng)絡連接請求進行處理�����。
[0098] A2�����、根據(jù)A1所述的方法�����,在所述將網(wǎng)絡連接請求重定向至本地服務進程之前進一 步包括:從所述網(wǎng)絡連接請求中解析出路由信息�,判斷解析出的路由信息是否與預先下發(fā) 的路由表中記錄的信息相匹配;
[0099] 所述將網(wǎng)絡連接請求重定向至本地服務進程具體為:若判斷結果為匹配��,則將所 述網(wǎng)絡連接請求重定向至本地服務進程�。
[0100] A3、根據(jù)A1或A2所述的方法����,所述通過查詢系統(tǒng)文件獲得發(fā)起所述網(wǎng)絡連接請求 的應用的應用名進一步包括:
[0101] 調(diào)用用于獲取對端地址和端口的系統(tǒng)接口,獲取所述網(wǎng)絡連接請求對應的地址和 端口��;
[0102] 根據(jù)所述網(wǎng)絡連接請求對應的地址和端口查詢系統(tǒng)文件�,獲得所述發(fā)起網(wǎng)絡連接 請求的應用的應用標識;
[0103] 根據(jù)所述應用標識調(diào)用用于獲取應用名的系統(tǒng)接口�,獲取所述發(fā)起網(wǎng)絡連接請求 的應用的應用名。
[0104] A4����、根據(jù)A3所述的方法,所述系統(tǒng)文件包含以下文件中的一個或多個:/proc/ net/tcp ;/proc/net/udp ;/proc/net/tcp6〇
[0105] A5��、根據(jù)A4所述的方法����,在查詢系統(tǒng)文件/proc/net/tcp6之前還包括:將所述地 址和端口由IPV4協(xié)議轉換為IPV6協(xié)議。
[0106] A6�、根據(jù)A1-A5任一項所述的方法�����,所述配置策略包含:
[0107] 在無線移動網(wǎng)聯(lián)網(wǎng)情況下��,阻斷一些應用名對應的應用發(fā)起的網(wǎng)絡連接請求����;
[0108] 和/或�,在無線移動網(wǎng)聯(lián)網(wǎng)情況下,禁止一些應用名對應的應用作為后臺程序訪 問網(wǎng)絡�����;
[0109] 和/或���,在無線局域網(wǎng)聯(lián)網(wǎng)情況下��,對一些應用名對應的應用發(fā)起的用于訪問支 付頁面的網(wǎng)絡連接請求進行加密處理�。
[0110] 本發(fā)明還公開了:B7��、一種客戶端����,包括:
[0111] 重定向模塊,適于獲取網(wǎng)絡連接請求�,將所述網(wǎng)絡連接請求重定向至本地服務進 程,所述本地服務進程是由本地VPN服務提供的���;
[0112] 應用名獲取模塊��,適于在所述本地服務進程中�,通過查詢系統(tǒng)文件獲得發(fā)起所述 網(wǎng)絡連接請求的應用的應用名�;
[0113] 查詢模塊,適于查詢預配置文件�����,得到所述預配置文件中記錄的與所述應用名對 應的配置策略����;
[0114] 處理模塊,適于按照所述配置策略對所述網(wǎng)絡連接請求進行處理�。
[0115] B8、根據(jù)B7所述的客戶端���,還包括:判斷模塊��,適于從所述網(wǎng)絡連接請求中解析出 路由信息��,判斷解析出的路由信息是否與預先下發(fā)的路由表中記錄的信息相匹配�����;
[0116] 所述重定向模塊進一步適于:若所述判斷模塊的判斷結果為匹配���,則將所述網(wǎng)絡 連接請求重定向至本地服務進程�。
[0117] B9���、根據(jù)B7或B8所述的客戶端����,所述應用名獲取模塊包括:
[0118] 第一調(diào)用模塊��,適于調(diào)用用于獲取地址和端口的系統(tǒng)接口���,獲取所述網(wǎng)絡連接請 求對應的地址和端口��;
[0119] 系統(tǒng)文件查詢模塊�,適于根據(jù)所述網(wǎng)絡連接請求對應的地址和端口查詢系統(tǒng)文 件�,獲得所述發(fā)起網(wǎng)絡連接請求的應用的應用標識��;
[0120] 第二調(diào)用模塊�,適于根據(jù)所述應用標識調(diào)用用于獲取應用名的系統(tǒng)接口�����,獲取所 述發(fā)起網(wǎng)絡連接請求的應用的應用名�。
[0121] B10�、根據(jù)B9所述的客戶端,所述系統(tǒng)文件查詢模塊進一步適于查詢以下系統(tǒng)文 件中的一個或多個:/proc/net/tcp ;/proc/net/udp ;/proc/net/tcp6〇
[0122] B11�����、根據(jù)B10所述的客戶端�,所述系統(tǒng)文件查詢模塊還適于:在查詢系統(tǒng)文件/ proc/net/tcp6之前,將所述地址和端口由IPV4協(xié)議轉換為IPV6協(xié)議���。
[0123] B12�、根據(jù)B7-B11任一項所述的客戶端�,預配置文件存儲模塊,用于存儲所述預配 置文件��,所述預配置文件中記錄的配置策略包含:
[0124] 在無線移動網(wǎng)聯(lián)網(wǎng)情況下���,阻斷一些應用名對應的應用發(fā)起的網(wǎng)絡連接請求����;
[0125] 和/或,在無線移動網(wǎng)聯(lián)網(wǎng)情況下���,禁止一些應用名對應的應用作為后臺程序訪 問網(wǎng)絡�����;
[0126] 和/或����,在無線局域網(wǎng)聯(lián)網(wǎng)情況下�����,對一些應用名對應的應用發(fā)起的用于訪問支 付頁面的網(wǎng)絡連接請求進行加密處理�����。
【權利要求】
1. 一種免root權限的聯(lián)網(wǎng)防火墻的實現(xiàn)方法�����,包括: 獲取網(wǎng)絡連接請求,將所述網(wǎng)絡連接請求重定向至本地服務進程���,所述本地服務進程 是由本地VPN服務提供的�; 在所述本地服務進程中����,通過查詢系統(tǒng)文件獲得發(fā)起所述網(wǎng)絡連接請求的應用的應用 名; 查詢預配置文件���,得到所述預配置文件中記錄的與所述應用名對應的配置策略; 按照所述配置策略對所述網(wǎng)絡連接請求進行處理����。
2. 根據(jù)權利要求1所述的方法,在所述將網(wǎng)絡連接請求重定向至本地服務進程之前進 一步包括:從所述網(wǎng)絡連接請求中解析出路由信息��,判斷解析出的路由信息是否與預先下 發(fā)的路由表中記錄的信息相匹配����; 所述將網(wǎng)絡連接請求重定向至本地服務進程具體為:若判斷結果為匹配,則將所述網(wǎng) 絡連接請求重定向至本地服務進程�����。
3. 根據(jù)權利要求1或2所述的方法,所述通過查詢系統(tǒng)文件獲得發(fā)起所述網(wǎng)絡連接請 求的應用的應用名進一步包括: 調(diào)用用于獲取對端地址和端口的系統(tǒng)接口���,獲取所述網(wǎng)絡連接請求對應的地址和端 Π �; 根據(jù)所述網(wǎng)絡連接請求對應的地址和端口查詢系統(tǒng)文件���,獲得所述發(fā)起網(wǎng)絡連接請求 的應用的應用標識���; 根據(jù)所述應用標識調(diào)用用于獲取應用名的系統(tǒng)接口,獲取所述發(fā)起網(wǎng)絡連接請求的應 用的應用名��。
4. 根據(jù)權利要求3所述的方法����,所述系統(tǒng)文件包含以下文件中的一個或多個:/proc/ net/tcp ;/proc/net/udp ;/proc/net/tcp6〇
5. 根據(jù)權利要求4所述的方法,在查詢系統(tǒng)文件/pr〇C/net/tCp6之前還包括:將所述 地址和端口由IPV4協(xié)議轉換為IPV6協(xié)議��。
6. 根據(jù)權利要求1-5任一項所述的方法���,所述配置策略包含: 在無線移動網(wǎng)聯(lián)網(wǎng)情況下�,阻斷一些應用名對應的應用發(fā)起的網(wǎng)絡連接請求�����; 和/或,在無線移動網(wǎng)聯(lián)網(wǎng)情況下���,禁止一些應用名對應的應用作為后臺程序訪問網(wǎng) 絡�����; 和/或�,在無線局域網(wǎng)聯(lián)網(wǎng)情況下����,對一些應用名對應的應用發(fā)起的用于訪問支付頁 面的網(wǎng)絡連接請求進行加密處理。
7. -種客戶端����,包括: 重定向模塊����,適于獲取網(wǎng)絡連接請求,將所述網(wǎng)絡連接請求重定向至本地服務進程�����,所 述本地服務進程是由本地VPN服務提供的���; 應用名獲取模塊���,適于在所述本地服務進程中�,通過查詢系統(tǒng)文件獲得發(fā)起所述網(wǎng)絡 連接請求的應用的應用名����; 查詢模塊,適于查詢預配置文件����,得到所述預配置文件中記錄的與所述應用名對應的 配置策略; 處理模塊�����,適于按照所述配置策略對所述網(wǎng)絡連接請求進行處理����。
8. 根據(jù)權利要求7所述的客戶端,還包括:判斷模塊��,適于從所述網(wǎng)絡連接請求中解析 出路由信息��,判斷解析出的路由信息是否與預先下發(fā)的路由表中記錄的信息相匹配����; 所述重定向模塊進一步適于:若所述判斷模塊的判斷結果為匹配����,則將所述網(wǎng)絡連接 請求重定向至本地服務進程����。
9. 根據(jù)權利要求7或8所述的客戶端,所述應用名獲取模塊包括: 第一調(diào)用模塊���,適于調(diào)用用于獲取地址和端口的系統(tǒng)接口�,獲取所述網(wǎng)絡連接請求對 應的地址和端口��; 系統(tǒng)文件查詢模塊���,適于根據(jù)所述網(wǎng)絡連接請求對應的地址和端口查詢系統(tǒng)文件,獲 得所述發(fā)起網(wǎng)絡連接請求的應用的應用標識���; 第二調(diào)用模塊��,適于根據(jù)所述應用標識調(diào)用用于獲取應用名的系統(tǒng)接口�����,獲取所述發(fā) 起網(wǎng)絡連接請求的應用的應用名����。
10. 根據(jù)權利要求9所述的客戶端,所述系統(tǒng)文件查詢模塊進一步適于查詢以下系統(tǒng) 文件中的一個或多個:/proc/net/tcp ;/proc/net/udp ;/proc/net/tcp6〇
【文檔編號】H04L29/06GK104092691SQ201410334918
【公開日】2014年10月8日 申請日期:2014年7月15日 優(yōu)先權日:2014年7月15日
【發(fā)明者】蘇云琳, 王鵬程 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司