本發(fā)明涉及移動通信技術(shù)領(lǐng)域，特別涉及一種安全通信方法、裝置及系統(tǒng)。

背景技術(shù)：

隨著移動通信技術(shù)的發(fā)展，手機等移動終端在人們生活中的應用越來越廣泛，在移動網(wǎng)絡環(huán)境下，為了保護數(shù)據(jù)的傳輸安全，通常會使用應用層加密技術(shù)，但是基于Android(安卓)系統(tǒng)的移動終端中安裝的某些應用程序，在與服務器的通信過程中并沒有用到安全套接字層(Security Socket Layer，SSL)協(xié)議來保護會話數(shù)據(jù)。這樣當用戶在公用WIFI(Wireless Fidelity，無線保真)的環(huán)境下使用此類未被保護的應用程序時，如果恰好提供公用WIFI服務的無線接入點(Access Point，AP)又被黑客劫持的話，那么用戶的所有流經(jīng)該AP的數(shù)據(jù)都會被黑客截獲下來并分析出其中的敏感信息如賬戶名、密碼等，從而造成安全泄密并進而給用戶帶來損失。因此，如何提高用戶在公用WIFI環(huán)境下數(shù)據(jù)傳輸?shù)陌踩?，是當前急需解決的問題之一。

技術(shù)實現(xiàn)要素：

有鑒于此，本發(fā)明提供一種安全通信方法、裝置及系統(tǒng)，應用于移動終端中，通過與安全服務器建立加密通道，并經(jīng)由該加密通道傳輸敏感應用程序的網(wǎng)絡數(shù)據(jù)，可有效提高用戶在公用WIFI環(huán)境下數(shù)據(jù)傳輸?shù)陌踩浴?/p>

本發(fā)明實施例提供一種安全通信方法，包括：

與安全服務器建立加密通道；

監(jiān)測移動終端中觸發(fā)的網(wǎng)絡數(shù)據(jù)傳輸事件，判斷所述網(wǎng)絡數(shù)據(jù)傳輸事件的觸發(fā)者是否為敏感應用程序；

若所述觸發(fā)者為所述敏感應用程序，則經(jīng)由所述加密通道，通過所述安全服務器將所述網(wǎng)絡數(shù)據(jù)傳輸事件對應的目標數(shù)據(jù)傳輸給目標服務器。

進一步的，所述與安全服務器建立加密通道包括：

當檢測到所述移動終端接入WIFI網(wǎng)絡時，與所述安全服務器建立所述加密通道。

進一步的，所述當檢測到所述移動終端接入WIFI網(wǎng)絡時和所述與所述安全服務器建立所述加密通道之間，還包括：

判斷所述WIFI網(wǎng)絡是否符合預置的安全條件，若不符合，則與所述安全服務器建立所述加密通道。

進一步的，所述與安全服務器建立所述加密通道還包括：

當檢測到所述敏感應用程序啟動時，與所述安全服務器建立所述加密通道；

或，當檢測到進入安全容器時，與所述安全服務器建立所述加密通道，將所述安全容器內(nèi)的所有進程對應的應用程序的標識信息添加在預置應用白名單中。

進一步的，所述安全服務器為OpenVPN服務器，則所述與安全服務器建立加密通道包括：

運行OpenVPN客戶端，通過所述OpenVPN客戶端與所述OpenVPN服務器建立所述加密通道。

進一步的，所述判斷所述網(wǎng)絡數(shù)據(jù)傳輸事件的觸發(fā)者是否為敏感應用程序，包括：

根據(jù)預置應用白名單或預置應用黑名單，判斷所述網(wǎng)絡數(shù)據(jù)傳輸事件的觸發(fā)者是否為所述敏感應用程序。

進一步的，所述方法還包括：

當檢測到退出所述敏感應用程序或退出所述安全容器時，關(guān)閉所述加密通道。

本發(fā)明實施例提供一種安全通信裝置，包括：

加密通道建立模塊，用于與安全服務器建立加密通道；

判斷模塊，用于監(jiān)測移動終端中觸發(fā)的網(wǎng)絡數(shù)據(jù)傳輸事件，判斷所述網(wǎng)絡數(shù)據(jù)傳輸事件的觸發(fā)者是否為敏感應用程序；

數(shù)據(jù)傳輸模塊，用于若所述判斷模塊的判斷結(jié)果為所述觸發(fā)者為敏感應用程序，則經(jīng)由所述加密通道，通過所述安全服務器將所述網(wǎng)絡數(shù)據(jù)傳輸事件對應的目標數(shù)據(jù)傳輸給目標服務器。

進一步的，所述加密通道建立模塊包括：

檢測模塊，用于檢測所述移動終端是否接入WIFI網(wǎng)絡；

通道建立子模塊，用于當所述檢測模塊檢測到所述移動終端接入WIFI網(wǎng)絡時，與所述安全服務器建立所述加密通道。

進一步的，所述判斷模塊，還用于判斷所述WIFI網(wǎng)絡是否符合預置的安全條件；

所述通道建立子模塊，還用于當所述檢測模塊檢測到所述WIFI網(wǎng)絡不符合預置的安全條件，與所述安全服務器建立所述加密通道。

進一步的，所述檢測模塊，還用于檢測是否有所述敏感應用程序啟動；

所述通道建立子模塊，還用于當所述檢測模塊檢測到所述敏感應用程序啟動時，與所述安全服務器建立所述加密通道；

所述檢測模塊，還用于檢測是否進入安全容器；

所述通道建立子模塊，還用于當所述檢測模塊檢測到進入安全容器時，與所述安全服務器建立所述加密通道；

所述裝置，還包括：

名單管理模塊，用于將所述安全容器內(nèi)的所有進程對應的應用程序的標識信息添加在所述預置應用白名單中。

進一步的，所述安全服務器為OpenVPN服務器，所述加密通道建立模塊，還用于運行OpenVPN客戶端，通過所述OpenVPN客戶端與所述OpenVPN服務器建立所述加密通道。

進一步的，所述判斷模塊，還用于根據(jù)預置應用白名單或預置應用黑名單，判斷所述網(wǎng)絡數(shù)據(jù)傳輸事件的觸發(fā)者是否為所述敏感應用程序。

進一步的，所述檢測模塊，還用于檢測是否退出所述敏感應用程序或退出所述安全容器；

所述裝置還包括：

加密通道關(guān)閉模塊，用于當所述檢測模塊檢測到退出所述敏感應用程序或退出所述安全容器時，關(guān)閉所述加密通道。

本發(fā)明實施例提供一種安全通信系統(tǒng)，所述系統(tǒng)包括：

無線路由、安全服務器、目標服務器以及包括如權(quán)利要求7至14任意一項所述的安全通信裝置的移動終端；

所述無線路由，用于為所述移動終端提供WIFI連接；

所述安全服務器，用于與所述移動終端建立所述加密通道，將所述移動終端傳輸?shù)乃瞿繕藬?shù)據(jù)轉(zhuǎn)發(fā)給所述目標服務器。

根據(jù)上述實施例中的安全通信方法、裝置及系統(tǒng)，通過與安全服務器建立加密通道，并經(jīng)由該加密通道將敏感應用程序的網(wǎng)絡數(shù)據(jù)傳輸給目標服務器，由于加密通道中的數(shù)據(jù)通信是基于預置的已加密的通道協(xié)議進行的，因此可有效提高用戶在公用WIFI環(huán)境下數(shù)據(jù)傳輸?shù)陌踩浴?/p>

為讓本發(fā)明的上述和其他目的、特征和優(yōu)點能更明顯易懂，下文特舉較佳實施例，并配合所附圖式，作詳細說明如下。

附圖說明

圖1為本發(fā)明第一實施例提供的一種安全通信方法的流程圖；

圖2為本發(fā)明第二實施例提供的一種安全通信方法的流程圖；

圖3為本發(fā)明第三實施例提供的一種安全通信裝置的結(jié)構(gòu)示意圖；

圖4為本發(fā)明第四實施例提供的一種安全通信裝置的結(jié)構(gòu)示意圖；

圖5為本發(fā)明第五實施例提供的一種安全通信系統(tǒng)的結(jié)構(gòu)示意圖。

具體實施方式

為更進一步闡述本發(fā)明為實現(xiàn)預定發(fā)明目的所采取的技術(shù)手段及功效，以下結(jié)合附圖及較佳實施例，對依據(jù)本發(fā)明的具體實施方式、結(jié)構(gòu)、特征及其功效，詳細說明如后。

本發(fā)明中的安全通信方法可應用在支持接入無線網(wǎng)絡的移動終端中，如：支持接入WIFI網(wǎng)絡的智能手機、平板電腦、手提電腦等等。

第一實施例

請參閱圖1，本發(fā)明第一實施例提供了一種安全通信方法，該方法包括：

步驟S101、與安全服務器建立加密通道；

移動終端根據(jù)用戶觸發(fā)的接入指令，與該接入指令指向的無線AP建立WIFI連接，接入該無線AP提供的WIFI網(wǎng)絡?；蛘?，移動終端在檢測到周圍有可用無線AP時，與該可用無線AP建立WIFI連接，接入該可用無線AP提供的WIFI網(wǎng)絡。

當檢測到移動終端接入WIFI網(wǎng)絡時，通過該WIFI網(wǎng)絡，登錄安全服務器，與該安全服務器建立加密通道，使得移動終端與該安全服務器之間可通過該加密通道，基于預置的已加密的通道協(xié)議(Tunneling Protocol)進行加密通訊。具體地，移動終端可通過內(nèi)置的OpenVPN客戶端，根據(jù)用戶預申請的登錄帳號，登錄提供VPN(Virtual Private Network，虛擬專用網(wǎng)絡)服務的OpenVPN服務器，并通過接入的WIFI網(wǎng)絡與OpenVPN服務器建立加密的通道(或隧道，Tunnel)。

步驟S102、監(jiān)測移動終端中觸發(fā)的網(wǎng)絡數(shù)據(jù)傳輸事件，判斷該網(wǎng)絡數(shù)據(jù)傳輸事件的觸發(fā)者是否為敏感應用程序；

具體地，通過監(jiān)聽系統(tǒng)中各應用程序的進程的活動，監(jiān)測移動終端中觸發(fā)的網(wǎng)絡傳輸事件，獲取該網(wǎng)絡傳輸事件的觸發(fā)者，即觸發(fā)該網(wǎng)絡傳輸事件的應用程序的名稱，根據(jù)該觸發(fā)者的名稱、以及預置的應用白名單或應用黑名單判斷該觸發(fā)者是否為敏感應用程序。其中，敏感應用程序為可能向目標服務器發(fā)送涉及用戶的個人隱私、銀行帳號、密碼等敏感信息的網(wǎng)絡數(shù)據(jù)的應用程序。

步驟S103、若該觸發(fā)者為該敏感應用程序，則經(jīng)由該加密通道，通過該安全服務器將該網(wǎng)絡數(shù)據(jù)傳輸事件對應的目標數(shù)據(jù)傳輸給目標服務器；

若移動終端中觸發(fā)的網(wǎng)絡傳輸事件的觸發(fā)者為敏感應用程序，則經(jīng)由該加密通道，將該網(wǎng)絡數(shù)據(jù)傳輸事件對應的目標數(shù)據(jù)通過該安全服務器傳輸給目標服務器。由于該加密通道中的數(shù)據(jù)經(jīng)過加密處理，因此，即便被黑客截獲，也會因為沒有數(shù)據(jù)的解密密鑰而無法破解其中的敏感內(nèi)容，從而保障該目標數(shù)據(jù)傳輸?shù)陌踩浴?/p>

步驟S104、否則，直接將該目標數(shù)據(jù)傳輸給該目標服務器。

由于非敏感應用程序傳輸?shù)木W(wǎng)絡數(shù)據(jù)不涉及用戶的個人隱私、銀行帳號、密碼等敏感信息，沒有加密的必要，因此若移動終端中被觸發(fā)的網(wǎng)絡傳輸事件的觸發(fā)者不為敏感應用程序，則可通過普通通道，直接將該觸發(fā)者待傳輸?shù)哪繕藬?shù)據(jù)傳輸給目標服務器。

上述實施例中的安全通信方法，通過在移動終端接入WIFI網(wǎng)絡時，與安全服務器建立加密通道，并經(jīng)由該加密通道將敏感應用程序觸發(fā)的網(wǎng)絡數(shù)據(jù)傳輸事件對應的目標數(shù)據(jù)，傳輸給目標服務器，由于加密通道中的數(shù)據(jù)通信是基于預置的已加密的通道協(xié)議進行的，因此可有效提高用戶在公用WIFI環(huán)境下數(shù)據(jù)傳輸?shù)陌踩浴?/p>

第二實施例

請參閱圖2，本發(fā)明第二實施例提供了一種安全通信方法，該方法包括：

步驟S201、當檢測到移動終端接入WIFI網(wǎng)絡時，判斷該WIFI網(wǎng)絡是 否符合預置的安全條件；

移動終端根據(jù)用戶觸發(fā)的接入指令，與該接入指令指向的無線AP建立WIFI連接，接入該無線AP提供的WIFI網(wǎng)絡?；蛘?，移動終端在檢測到周圍有可用無線AP時，與該可用無線AP建立WIFI連接，接入該可用無線AP提供的WIFI網(wǎng)絡。

當檢測到移動終端接入WIFI網(wǎng)絡時，根據(jù)接入的WIFI網(wǎng)絡的標識信息以及WIFI白名單或WIFI黑名單，判斷該WIFI網(wǎng)絡是否符合預置的安全條件；或者，根據(jù)該WIFI網(wǎng)絡的接入是否需要發(fā)送接入密碼，判斷該WIFI網(wǎng)絡是否符合預置的安全條件。

具體地，移動終端中可預置有WIFI白名單或WIFI黑名單，其中WIFI白名單中記載有一個或多個安全的WIFI網(wǎng)絡的標識信息，如WIFI網(wǎng)絡的名稱，WIFI黑名單中記載有一個或多個不安全的WIFI網(wǎng)絡的標識信息。WIFI白名單或WIFI黑名單可定期從網(wǎng)絡服務器中獲得，或由用戶自定義。

當檢測到移動終端接入WIFI網(wǎng)絡時，獲取接入的WIFI網(wǎng)絡的標識信息；將該標識信息與WIFI白名單或WIFI黑名單中記載的標識信息進行匹配；若該接入的WIFI網(wǎng)絡的標識信息與WIFI白名單中記載的標識信息相匹配，或該接入的WIFI網(wǎng)絡的標識信息與WIFI黑名單中記載的標識信息不匹配，則判定該接入的WIFI網(wǎng)絡符合預置的安全條件；若該接入的WIFI網(wǎng)絡的標識信息與WIFI白名單中記載的標識信息不匹配，或該接入的WIFI網(wǎng)絡的標識信息與WIFI黑名單中記載的標識信息相匹配，則判定該接入的WIFI網(wǎng)絡不符合預置的安全條件。

具體地，當檢測到移動終端接入WIFI網(wǎng)絡時，判斷移動終端在接入該WIFI網(wǎng)絡時是否發(fā)送了接入密碼，即，判斷該WIFI網(wǎng)絡的AP是否設置了接入密碼，若否，則判定接入的WIFI網(wǎng)絡不符合預置的安全條件，若是，則判定接入的WIFI網(wǎng)絡符合預置的安全條件。

步驟S202、若不符合，則運行OpenVPN客戶端，通過該OpenVPN客 戶端與VPN服務器建立加密通道；

若接入的WIFI網(wǎng)絡不符合預置的安全條件，說明該WIFI網(wǎng)絡是不安全的，有可能被黑客劫持，則移動終端運行內(nèi)置的OpenVPN客戶端，根據(jù)用戶預申請的登錄帳號，登錄提供VPN服務的OpenVPN服務器，并通過接入的WIFI網(wǎng)絡與OpenVPN服務器建立加密通道。

VPN技術(shù)利用已加密的通道協(xié)議(Tunneling Protocol)，達到保密、發(fā)送端認證、消息準確性等私人消息安全效果。

OpenVPN利用虛擬網(wǎng)卡，實現(xiàn)了SSL VPN的功能。OpenVPN的服務器和客戶端支持TCP和UDP兩種連接方式，只需在服務端和客戶端預先定義好使用的連接方式和端口號，客戶端和服務端在這個連接的基礎(chǔ)上進行SSL握手。連接過程包括SSL的握手以及虛擬網(wǎng)絡上的管理信息，OpenVPN將虛擬網(wǎng)上的網(wǎng)段、地址、路由發(fā)送給客戶端。連接成功后，客戶端和服務端建立起SSL安全連接，客戶端和服務端的數(shù)據(jù)都流入虛擬網(wǎng)卡做SSL的處理，再在TCP或UDP的連接上從物理網(wǎng)卡發(fā)送出去。當發(fā)送網(wǎng)絡數(shù)據(jù)時，應用層的外出數(shù)據(jù)，經(jīng)過系統(tǒng)調(diào)用接口傳入核心TCP/IP層做處理，在TCP/IP經(jīng)過路由到虛擬網(wǎng)卡，虛擬網(wǎng)卡的網(wǎng)卡驅(qū)動發(fā)送處理程序hard_start_xmit()將數(shù)據(jù)包加入SKB表并完成數(shù)據(jù)包從核心區(qū)到用戶區(qū)的復制，OpenVPN調(diào)用虛擬網(wǎng)卡的字符處理程序tun_read()，讀取到設備上的數(shù)據(jù)包，對讀取的數(shù)據(jù)包使用SSL協(xié)議做封裝處理后，通過socket系統(tǒng)調(diào)用發(fā)送出去。當接收網(wǎng)絡數(shù)據(jù)時，物理網(wǎng)卡接收數(shù)據(jù)包，經(jīng)過核心TCP/IP上傳到OpenVPN，OpenVPN通過link_socket_read()接收數(shù)據(jù)包，使用SSL協(xié)議進行解包處理，經(jīng)過處理的數(shù)據(jù)包OpenVPN調(diào)用虛擬網(wǎng)卡的字符處理程序tun_write()寫入虛擬網(wǎng)卡的字符設備，設備驅(qū)動程序完成數(shù)據(jù)從用戶區(qū)到核心區(qū)的復制，并將數(shù)據(jù)寫入SKB鏈表，然后調(diào)用網(wǎng)卡netif_rx()接收程序，數(shù)據(jù)包再次進入系統(tǒng)TCP/IP協(xié)議棧，傳到上層應用程序。

可以理解地，若接入的WIFI網(wǎng)絡符合預置的安全條件，說明該WIFI 網(wǎng)絡是安全，則不與VPN服務器建立加密通道，將所有的網(wǎng)絡數(shù)據(jù)均直接傳輸給目標服務器。

在其他實施方式中，也可以是當檢測到敏感應用程序啟動時，與該安全服務器建立加密通道。具體地，移動終端接入WIFI網(wǎng)絡后，當檢測到有應用程序啟動時，判斷啟動的該應用程序是否為預置應用白名單中記載的可能發(fā)送涉及用戶個人隱私、銀行帳號、密碼等敏感信息的網(wǎng)絡數(shù)據(jù)的敏感應用程序，若是，則運行OpenVPN客戶端，通過該OpenVPN客戶端與VPN服務器建立加密通道。

或，當檢測到進入安全容器時，與該安全服務器建立加密通道，將該安全容器內(nèi)的所有進程對應的應用程序的標識信息添加在該預置應用白名單中?？梢岳斫獾?，除了將標識信息添加在預置應用白名單中，還可為該安全容器內(nèi)的所有進程對應的應用程序添加敏感標記，以將該安全容器內(nèi)的所有應用程序標記為敏感應用程序。

安全容器是指在操作系統(tǒng)的應用層進行隔離，即共用一個內(nèi)核和操作系統(tǒng)的中間層，而界面和應用程序會區(qū)分為兩套進程，這樣用戶看到的效果就像是兩個系統(tǒng)一樣。因為這兩套應用程序各自使用的數(shù)據(jù)庫不同，所以表現(xiàn)為數(shù)據(jù)隔離，即用戶在安全容器外看到的圖片和聯(lián)系人等資料跟在安全容器內(nèi)看到的是不同的?？梢岳斫獾?，安全容器也可以是指在中間層進行隔離，即共用一個內(nèi)核，在內(nèi)核之上再增加一層中間層，原有的中間層與新增加的中間層各自對應一套界面和應用程序，將其中之一定義為安全容器之內(nèi)，另一個則為安全容器之外。

具體地，移動終端接入WIFI網(wǎng)絡后，當接收到用戶觸發(fā)的進入安全容器的指令時，進入安全容器，掛起該安全容器外的進程，運行OpenVPN客戶端，通過OpenVPN客戶端與VPN服務器建立加密通道，并將該安全容器內(nèi)的所有進程對應的應用程序判定為敏感應用程序，使得該安全容器內(nèi)的所有網(wǎng)絡數(shù)據(jù)均經(jīng)由該加密通道通過VPN服務器傳輸給目標服務器。

通過上述對接入的WIFI網(wǎng)絡的安全性進行預判、對啟動的應用程序是否為敏感應用程序進行預判、以及對是否進入安全容器進行預判，當接入的WIFI網(wǎng)絡為不安全的網(wǎng)絡時，或者當敏感應用程序啟動時，或者當進入安全容器時，才建立加密通道，可提高通道建立及安全通信管理的靈活性。

步驟S203、監(jiān)測該移動終端中觸發(fā)的網(wǎng)絡數(shù)據(jù)傳輸事件，根據(jù)預置應用白名單或預置應用黑名單，判斷該網(wǎng)絡數(shù)據(jù)傳輸事件的觸發(fā)者是否為敏感應用程序；

具體地，移動終端中預置有應用白名單或應用黑名單。其中，應用白名單中記載有一個或多個可能會發(fā)送涉及用戶的個人隱私、銀行帳號、密碼等敏感信息的網(wǎng)絡數(shù)據(jù)的普通應用程序的標識信息，應用黑名單中記載有一個或多個不會發(fā)送涉及用戶的個人隱私、銀行帳號、密碼等敏感信息的網(wǎng)絡數(shù)據(jù)的敏感應用程序的標識信息。應用白名單或應用黑名單可定期從網(wǎng)絡服務器中獲得，或由用戶自定義。可以理解的，在其他實施方式中，也可以是在應用黑名單中記載有一個或多個可能會發(fā)送涉及用戶的個人隱私、銀行帳號、密碼等敏感信息的網(wǎng)絡數(shù)據(jù)的普通應用程序的標識信息，而在應用白名單中記載有一個或多個不會發(fā)送涉及用戶的個人隱私、銀行帳號、密碼等敏感信息的網(wǎng)絡數(shù)據(jù)的敏感應用程序的標識信息。

通過監(jiān)聽系統(tǒng)中各應用程序的進程的活動，監(jiān)測移動終端中觸發(fā)的網(wǎng)絡傳輸事件，獲取該網(wǎng)絡傳輸事件的觸發(fā)者，即觸發(fā)該網(wǎng)絡傳輸事件的應用程序的標識信息，如觸發(fā)者應用程序的名稱。將該觸發(fā)者的標識信息與預置應用白名單或預置應用黑名單中記載的標識信息進行匹配，以判斷該觸發(fā)者是否為預置應用白名單中的應用程序，或者判斷該觸發(fā)者是否為預置應用黑名單中的應用程序。

若該觸發(fā)者是預置應用黑名單中的應用程序，則判定該觸發(fā)者為非敏感應用程序的普通應用程序，否則，判定該觸發(fā)者為敏感應用程序；或者，若該觸發(fā)者是預置應用白名單中的應用程序，則判定該觸發(fā)者為敏感應用 程序，否則，判定該觸發(fā)者為非敏感應用程序的普通應用程序。

步驟S204、若該觸發(fā)者為該敏感應用程序，則經(jīng)由該加密通道，通過該安全服務器將該網(wǎng)絡數(shù)據(jù)傳輸事件對應的目標數(shù)據(jù)傳輸給目標服務器；

若移動終端中觸發(fā)的網(wǎng)絡傳輸事件的觸發(fā)者為敏感應用程序，則經(jīng)由該加密通道，將該網(wǎng)絡數(shù)據(jù)傳輸事件對應的目標數(shù)據(jù)通過該安全服務器傳輸給目標服務器。由于該加密通道中的數(shù)據(jù)經(jīng)過加密處理，因此，即便被黑客截獲，也會因為沒有數(shù)據(jù)的解密密鑰而無法破解其中的敏感內(nèi)容，從而保障該目標數(shù)據(jù)傳輸?shù)陌踩浴?/p>

步驟S205、否則，直接將該目標數(shù)據(jù)傳輸給該目標服務器；

由于非敏感應用程序傳輸?shù)木W(wǎng)絡數(shù)據(jù)不涉及用戶的個人隱私、銀行帳號、密碼等敏感信息，沒有加密的必要，因此若移動終端中觸發(fā)的網(wǎng)絡傳輸事件的觸發(fā)者不為敏感應用程序，則可通過普通通道，直接將該觸發(fā)者待傳輸?shù)哪繕藬?shù)據(jù)傳輸給目標服務器。

進一步的，當檢測到移動終端斷開WIFI網(wǎng)絡時、或退出該敏感應用程序、或退出安全容器時，關(guān)閉該加密通道。

當檢測到移動終端斷開WIFI網(wǎng)絡時、或退出敏感應用程序時、或退出安全容器時，通過OpenVPN客戶端登出登錄帳號，以斷開與VPN服務器的連接，關(guān)閉該加密通道。

上述實施例中的安全通信方法，通過在移動終端接入WIFI網(wǎng)絡時，對接入的WIFI網(wǎng)絡的安全性進行預判、對啟動的應用程序是否為敏感應用程序進行預判、以及對是否進入安全容器進行預判，當接入的WIFI網(wǎng)絡為不安全的網(wǎng)絡時，或者當敏感應用程序啟動時，或者當進入安全容器時，與安全服務器建立加密通道，并經(jīng)由該加密通道將敏感應用程序觸發(fā)的網(wǎng)絡數(shù)據(jù)傳輸事件對應的目標數(shù)據(jù)，傳輸給目標服務器，由于加密通道中的數(shù)據(jù)通信是基于預置的已加密的通道協(xié)議進行的，因此可有效提高用戶在公用WIFI環(huán)境下數(shù)據(jù)傳輸?shù)陌踩浴?/p>

第三實施例

請參閱圖3，本發(fā)明第三實施例提供了一種安全通信裝置，該裝置包括：

加密通道建立模塊301，用于與安全服務器建立加密通道；

判斷模塊302，用于監(jiān)測該移動終端中觸發(fā)的網(wǎng)絡數(shù)據(jù)傳輸事件，判斷該網(wǎng)絡數(shù)據(jù)傳輸事件的觸發(fā)者是否為敏感應用程序；

數(shù)據(jù)傳輸模塊303，用于若判斷模塊302的判斷結(jié)果為該觸發(fā)者為敏感應用程序，則經(jīng)由該加密通道，通過該安全服務器將該網(wǎng)絡數(shù)據(jù)傳輸事件對應的目標數(shù)據(jù)傳輸給目標服務器；

數(shù)據(jù)傳輸模塊303，還用于若判斷模塊302的判斷結(jié)果為該觸發(fā)者不為敏感應用程序，則直接將該目標數(shù)據(jù)傳輸給該目標服務器。

關(guān)于上述安全防護裝置中各模塊實現(xiàn)技術(shù)方案的其他細節(jié)，可參考第一實施例以及第二實施例中的描述，此處不再贅述。

上述實施例中的安全通信裝置，通過與安全服務器建立加密通道，并經(jīng)由該加密通道將敏感應用程序觸發(fā)的網(wǎng)絡數(shù)據(jù)傳輸事件對應的目標數(shù)據(jù)，傳輸給目標服務器，由于加密通道中的數(shù)據(jù)通信是基于預置的已加密的通道協(xié)議進行的，因此可有效提高用戶在公用WIFI環(huán)境下數(shù)據(jù)傳輸?shù)陌踩浴?/p>

第四實施例

請參閱圖4，本發(fā)明第四實施例提供了一種安全通信裝置，該裝置包括：

檢測模塊401，用于檢測移動終端是否接入WIFI網(wǎng)絡；

加密通道建立模塊402，用于當檢測到所述移動終端接入所述WIFI網(wǎng)絡時，與安全服務器建立加密通道；

判斷模塊403，用于監(jiān)測所述移動終端中觸發(fā)的網(wǎng)絡數(shù)據(jù)傳輸事件，判斷所述網(wǎng)絡數(shù)據(jù)傳輸事件的觸發(fā)者是否為敏感應用程序；

數(shù)據(jù)傳輸模塊404，用于若判斷模塊403的判斷結(jié)果為該觸發(fā)者為該敏感應用程序，則經(jīng)由該加密通道，通過該安全服務器將該網(wǎng)絡數(shù)據(jù)傳輸事 件對應的目標數(shù)據(jù)傳輸給目標服務器；

數(shù)據(jù)傳輸模塊404，還用于若判斷模塊403的判斷結(jié)果為該觸發(fā)者不為該敏感應用程序，則直接將該目標數(shù)據(jù)傳輸給該目標服務器。

進一步地，判斷模塊403，還用于根據(jù)預置應用白名單或預置應用黑名單，判斷該網(wǎng)絡數(shù)據(jù)傳輸事件的觸發(fā)者是否為敏感應用程序。

進一步地，判斷模塊403，還用于判斷該WIFI網(wǎng)絡是否符合預置的安全條件；

檢測模塊401，還用于檢測該敏感應用程序是否啟動，檢測是否進入安全容器；

該加密通道建立模塊，還用于當判斷模塊403的判斷結(jié)果為不符合時，或者當檢測模塊401檢測到該敏感應用程序啟動時，或者當檢測模塊401檢測到進入該安全容器時，與該安全服務器建立該加密通道；

該裝置，還包括：

名單管理模塊405，用于將該安全容器內(nèi)的所有進程對應的應用程序的標識信息添加在該預置應用白名單中。

進一步地，該安全服務器為OpenVPN服務器，該加密通道建立模塊，還用于運行OpenVPN客戶端，通過該OpenVPN客戶端與該OpenVPN服務器建立該加密通道。

進一步地，檢測模塊401，還用于檢測是否退出該敏感應用程序或退出該安全容器；

該裝置還包括：

加密通道關(guān)閉模塊406，用于當檢測模塊401檢測到退出該敏感應用程序或退出該安全容器時，關(guān)閉該加密通道。

關(guān)于上述安全防護裝置中各模塊實現(xiàn)技術(shù)方案的其他細節(jié)，可參考第一實施例以及第二實施例中的描述，此處不再贅述。

上述實施例中的安全通信裝置，通過在移動終端接入WIFI網(wǎng)絡時，與 安全服務器建立加密通道，并經(jīng)由該加密通道將敏感應用程序觸發(fā)的網(wǎng)絡數(shù)據(jù)傳輸事件對應的目標數(shù)據(jù)，傳輸給目標服務器，由于加密通道中的數(shù)據(jù)通信是基于預置的已加密的通道協(xié)議進行的，因此可有效提高用戶在公用WIFI環(huán)境下數(shù)據(jù)傳輸?shù)陌踩浴?/p>

第五實施例

請參閱圖5，本發(fā)明第五實施例提供了一種安全通信裝置，該裝置包括：無線路由501、安全服務器502、目標服務器503以及包括上述第三實施例或第四實施例示出的安全通信裝置的移動終端504。

其中，無線路由501，用于為移動終端504提供WIFI連接。

安全服務器502，用于與移動終端504建立加密通道，將移動終端504傳輸?shù)哪繕藬?shù)據(jù)轉(zhuǎn)發(fā)給目標服務器503。

具體地，安全服務器502可以為OpenVPN服務器。移動終端504內(nèi)置有OpenVPN客戶端。移動終端504與無線路由501建立WIFI連接，接入無線路由501提供的WIFI網(wǎng)絡。移動終端504在該WIFI網(wǎng)絡不符合預置的安全條件時，運行OpenVPN客戶端，通過接入的WIFI網(wǎng)絡，與安全服務器502建立加密通道；或者，當檢測到該敏感應用程序啟動時，運行OpenVPN客戶端，通過接入的WIFI網(wǎng)絡，與安全服務器502建立該加密通道；或者，當檢測到進入安全容器時，運行OpenVPN客戶端，通過接入的WIFI網(wǎng)絡，與安全服務器502建立該加密通道，并將該安全容器內(nèi)的所有進程對應的應用程序的標識信息添加在該預置應用白名單中。

移動終端504監(jiān)測移動終端504中觸發(fā)的網(wǎng)絡數(shù)據(jù)傳輸事件，根據(jù)預置的應用白名單或應用黑名單，判斷該網(wǎng)絡數(shù)據(jù)傳輸事件的觸發(fā)者是否為敏感應用程序，若該觸發(fā)者為該敏感應用程序，則經(jīng)由該加密通道，通過安全服務器502將該網(wǎng)絡數(shù)據(jù)傳輸事件對應的目標數(shù)據(jù)傳輸給目標服務器，否則，直接通過接入的WIFI網(wǎng)絡將該目標數(shù)據(jù)傳輸給該目標服務器。

可以理解地，安全服務器502將加密通道上的數(shù)據(jù)報文轉(zhuǎn)發(fā)給目標服 務器503，并將目標服務器503返回的數(shù)據(jù)，通過該加密通道利用WIFI網(wǎng)絡傳輸給移動終端504。

如圖5所示，內(nèi)置了OpenVPN接入?yún)f(xié)議的移動終端504在通過無線路由501提供的公用WIFI網(wǎng)絡訪問目標服務器503時，數(shù)據(jù)通信可分為兩段，其中第一段為圖5中虛線標示的經(jīng)由通過公用WIFI網(wǎng)絡和互聯(lián)網(wǎng)與OpenVPN服務器502建立的加密通道進行的數(shù)據(jù)通信，第二段為圖5中實線標示的OpenVPN服務器502將通道上的數(shù)據(jù)報文轉(zhuǎn)發(fā)給目標服務器503而形成的數(shù)據(jù)通信。第一段數(shù)據(jù)由于采用了加密處理，這樣即使黑客獲取到了用戶流經(jīng)公用WIFI網(wǎng)絡處的數(shù)據(jù)，也不能從中提取出敏感信息，從而提高了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

需要說明的是，本說明書中的各個實施例均采用遞進的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同相似的部分互相參見即可。對于裝置類實施例而言，由于其與方法實施例基本相似，所以描述的比較簡單，相關(guān)之處參見方法實施例的部分說明即可。

需要說明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序。而且，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者裝置不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者裝置所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括要素的過程、方法、物品或者裝置中還存在另外的相同要素。

本領(lǐng)域技術(shù)人員可以理解實現(xiàn)上述實施例的全部或部分步驟可以通過硬件來完成，也可以通過程序來指令相關(guān)的硬件完成，該程序可以存儲于 一種計算機可讀存儲介質(zhì)中，上述提到的存儲介質(zhì)可以是只讀存儲器，磁盤或光盤等。

以上，僅是本發(fā)明的較佳實施例而已，并非對本發(fā)明作任何形式上的限制，雖然本發(fā)明已以較佳實施例揭露如上，然而并非用以限定本發(fā)明，任何熟悉本專業(yè)的技術(shù)人員，在不脫離本發(fā)明技術(shù)方案范圍內(nèi)，當可利用上述揭示的技術(shù)內(nèi)容做出些許更動或修飾為等同變化的等效實施例，但凡是未脫離本發(fā)明技術(shù)方案內(nèi)容，依據(jù)本發(fā)明的技術(shù)實質(zhì)對以上實施例所作的任何簡單修改、等同變化與修飾，均仍屬于本發(fā)明技術(shù)方案的范圍內(nèi)。