本發(fā)明涉及移動(dòng)終端通訊，具體涉及一種移動(dòng)終端多業(yè)務(wù)接入管控方法。

背景技術(shù)：

1、在移動(dòng)終端上部署虛擬化技術(shù)的目的是一機(jī)多用，如同時(shí)兼顧工作和生活。但是，承載多種業(yè)務(wù)的單系統(tǒng)終端不能采用雙通的方式聯(lián)網(wǎng)，否則相當(dāng)于是用移動(dòng)終端將兩張物理隔離的網(wǎng)絡(luò)聯(lián)通了。圖1以專網(wǎng)終端為例呈現(xiàn)了單系統(tǒng)終端的聯(lián)網(wǎng)方式。

2、這種情況下，專網(wǎng)和互聯(lián)網(wǎng)的安全隔離強(qiáng)度完全依賴于終端虛擬化技術(shù)。對(duì)于linux內(nèi)核的移動(dòng)終端來(lái)說(shuō)，無(wú)論是os級(jí)容器還是應(yīng)用級(jí)容器，都是基于命名空間進(jìn)行隔離，且應(yīng)用級(jí)虛擬化技術(shù)并未對(duì)終端的聯(lián)網(wǎng)模塊進(jìn)行虛擬化，隔離強(qiáng)度有所降低。一旦互聯(lián)網(wǎng)攻擊者突破容器隔離，就會(huì)利用專網(wǎng)終端的合法身份進(jìn)入專網(wǎng)，所有的安全防護(hù)邊界都會(huì)失效。如果是byod終端，一般將工作空間限定在一個(gè)容器或沙箱中，byod終端聯(lián)網(wǎng)時(shí)也存在同樣的問(wèn)題。

3、為了避免出現(xiàn)這種情況，一般會(huì)嚴(yán)格要求移動(dòng)終端任意時(shí)間只能連接一張網(wǎng)絡(luò)，如圖2所示。

4、但如果移動(dòng)終端以單通方式聯(lián)網(wǎng)，當(dāng)專網(wǎng)鏈路處于連通狀態(tài)時(shí)，將會(huì)有很多互聯(lián)網(wǎng)應(yīng)用因?yàn)闊o(wú)法進(jìn)行協(xié)議轉(zhuǎn)換而無(wú)法穿越安全隔離邊界(網(wǎng)閘)；當(dāng)互聯(lián)網(wǎng)鏈路處于連通狀態(tài)時(shí)，很多基于長(zhǎng)連接的專網(wǎng)業(yè)務(wù)也無(wú)法穿越安全隔離邊界，導(dǎo)致終端無(wú)法支撐多業(yè)務(wù)接入，形成信息孤島。

5、中國(guó)專利申請(qǐng)cn113422772a公開(kāi)了一種專網(wǎng)終端訪問(wèn)處理方法、裝置及電子設(shè)備，包括獲取專網(wǎng)終端的目標(biāo)位置信息和業(yè)務(wù)信息，根據(jù)預(yù)存的位置信息與訪問(wèn)列表對(duì)應(yīng)關(guān)系確定與目標(biāo)位置信息對(duì)應(yīng)的目標(biāo)訪問(wèn)列表，根據(jù)業(yè)務(wù)信息判斷專網(wǎng)終端是否與目標(biāo)訪問(wèn)列表相匹配，若判斷結(jié)果為相匹配，則將業(yè)務(wù)信息發(fā)送至業(yè)務(wù)服務(wù)器，以使業(yè)務(wù)服務(wù)器根據(jù)業(yè)務(wù)信息實(shí)現(xiàn)對(duì)應(yīng)的業(yè)務(wù)，其中，業(yè)務(wù)服務(wù)器為目標(biāo)訪問(wèn)列表中的訪問(wèn)地址對(duì)應(yīng)的服務(wù)器。該方案是在網(wǎng)絡(luò)側(cè)獲取業(yè)務(wù)路由，基于業(yè)務(wù)路由的目的地址將流量分流到互聯(lián)網(wǎng)或?qū)＞W(wǎng)上。從網(wǎng)絡(luò)層面來(lái)看，終端僅用一張sim卡可同時(shí)連接互聯(lián)網(wǎng)和專網(wǎng)，而這種網(wǎng)橋式聯(lián)網(wǎng)具有較大的安全隱患，終端專網(wǎng)和互聯(lián)網(wǎng)業(yè)務(wù)安全隔離一旦被突破，極易造成專網(wǎng)信息泄露。

6、論文cel?ls:a?virtual?mobi?le?smartphone?architecture(作者：jeremyandrus,christoffer?dal?l,alexander?van’t?hof,oren?laadan,and?jason?nieh，機(jī)構(gòu)：department?of?computer?science,columbia?univers?ity，發(fā)表時(shí)間：technical?reportcucs-022-11may?2011)主要描述了一種應(yīng)用于智能手機(jī)型移動(dòng)終端的os級(jí)虛擬方案。這種方案可以在一臺(tái)物理智能手機(jī)上，以一種安全隔離的方式同時(shí)運(yùn)行多個(gè)虛擬手機(jī)(vp)。cells利用智能手機(jī)一個(gè)前端虛擬手機(jī)+多個(gè)背景虛擬手機(jī)的使用模式，提出了設(shè)備命名空間的概念，為所有應(yīng)用提供原生硬件性能的前提下，實(shí)現(xiàn)多個(gè)虛擬手機(jī)高效、安全地復(fù)用手機(jī)硬件資源。這種方案可以復(fù)用所有終端硬件資源，如幀緩沖器、gpu、網(wǎng)絡(luò)、觸屏按鈕等輸入、傳感器等，所有vp可支持全量電信能力。

7、cel?ls框架采用os級(jí)虛擬化技術(shù)實(shí)現(xiàn)雙系統(tǒng)智能手機(jī)終端，一臺(tái)物理終端上有兩個(gè)虛擬的智能手機(jī)os環(huán)境，對(duì)于兩個(gè)隔離os的跨域交互通道進(jìn)行嚴(yán)格管控，網(wǎng)絡(luò)鏈路可以保持雙活，確保在任意一個(gè)系統(tǒng)駐留時(shí)也可以及時(shí)收到另一個(gè)系統(tǒng)中應(yīng)用的更新消息。但cel?ls方案實(shí)現(xiàn)的雙系統(tǒng)智能手機(jī)定制化成本很高。

技術(shù)實(shí)現(xiàn)思路

1、針對(duì)現(xiàn)有技術(shù)的不足，本發(fā)明旨在提供一種移動(dòng)終端多業(yè)務(wù)接入管控方法。

2、為了實(shí)現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案：

3、一種移動(dòng)終端多業(yè)務(wù)接入管控方法，包括如下步驟：

4、一、多業(yè)務(wù)接入管控組件監(jiān)測(cè)app的運(yùn)行狀態(tài)信息：

5、a1、多業(yè)務(wù)接入管控組件啟動(dòng)，基于數(shù)字證書(shū)與多業(yè)務(wù)接入管控網(wǎng)關(guān)完成認(rèn)證；

6、a2、多業(yè)務(wù)接入管控組件監(jiān)測(cè)app的運(yùn)行狀態(tài)變化；

7、a3、如果是運(yùn)行狀態(tài)發(fā)生變化的app是互聯(lián)網(wǎng)app，且該app為動(dòng)態(tài)端口應(yīng)用，則不限定目的端口，多業(yè)務(wù)接入管控組件基于源地址、目的地址和源端口生成該app的簽名信息；如果該app為專網(wǎng)app，或該app為互聯(lián)網(wǎng)app且為靜態(tài)端口應(yīng)用，則限定目的端口，多業(yè)務(wù)接入管控組件基于app的源地址、目的地址、源端口和目的端口生成app的簽名信息；源地址為移動(dòng)終端的地址，目的地址為服務(wù)端的地址，源端口為移動(dòng)終端的端口，目的端口為服務(wù)端的端口；

8、app的簽名信息包括app?uid、類(lèi)型、子類(lèi)型、源地址、目的地址、源端口、目的端口和運(yùn)行狀態(tài)；所述類(lèi)型為互聯(lián)網(wǎng)app或?qū)＞W(wǎng)app，子類(lèi)型為動(dòng)態(tài)端口應(yīng)用或靜態(tài)端口應(yīng)用；不限定目的端口時(shí)目的端口為空；運(yùn)行狀態(tài)為啟動(dòng)或休眠；

9、a4、多業(yè)務(wù)接入管控組件將步驟a3生成的app的簽名信息用數(shù)字證書(shū)私鑰或衍生的共享密鑰加密后，發(fā)送給多業(yè)務(wù)接入管控網(wǎng)關(guān)；

10、二、多業(yè)務(wù)接入管控網(wǎng)關(guān)進(jìn)行路由選路：

11、b1、多業(yè)務(wù)接入管控網(wǎng)關(guān)收到多業(yè)務(wù)接入管控組件發(fā)送的app的簽名信息的密文；

12、b2、多業(yè)務(wù)接入管控網(wǎng)關(guān)用數(shù)字證書(shū)公鑰或衍生的共享密鑰對(duì)密文進(jìn)行解密，獲取app的簽名信息；

13、b3、多業(yè)務(wù)接入管控網(wǎng)關(guān)根據(jù)app的簽名信息包含的app的類(lèi)型和子類(lèi)型進(jìn)行路由選路：

14、如果是app的運(yùn)行狀態(tài)是休眠，刪除該app對(duì)應(yīng)的策略路由；

15、如果是app的運(yùn)行狀態(tài)是啟動(dòng)，并且app是互聯(lián)網(wǎng)app且為動(dòng)態(tài)端口應(yīng)用，則不限定目的端口，基于源地址、目的地址和源端口生成策略路由；

16、如果app的運(yùn)行狀態(tài)是啟動(dòng)，并且app是專網(wǎng)app且為動(dòng)態(tài)端口應(yīng)用，先限定目的端口，即基于app的源地址、目的地址、源端口和目的端口生成策略路由，再監(jiān)聽(tīng)動(dòng)態(tài)端口上報(bào)接口，接收app通過(guò)動(dòng)態(tài)端口上報(bào)接口上報(bào)的端口狀態(tài)，如果app從動(dòng)態(tài)端口上報(bào)接口上報(bào)的端口狀態(tài)是打開(kāi)，則新生成策略路由，如果該app從動(dòng)態(tài)端口上報(bào)接口上報(bào)的端口狀態(tài)是關(guān)閉，則刪除對(duì)應(yīng)的策略路由；

17、如果app的運(yùn)行狀態(tài)是啟動(dòng)，并且app為靜態(tài)端口應(yīng)用，則限定目的端口，即基于app的源地址、目的地址、源端口和目的端口生成策略路由。

18、進(jìn)一步地，多業(yè)務(wù)接入管控網(wǎng)關(guān)創(chuàng)建策略路由時(shí)為雙向路由。

19、進(jìn)一步地，多業(yè)務(wù)接入管控網(wǎng)關(guān)維護(hù)有一張app策略路由表，當(dāng)新生成app的策略路由時(shí)，將對(duì)應(yīng)app的app?uid和策略路由錄入app策略路由表；當(dāng)需要?jiǎng)h除策略路由時(shí)，根據(jù)app?uid查詢app策略路由表，刪除對(duì)應(yīng)的策略路由。

20、進(jìn)一步地，app通過(guò)動(dòng)態(tài)端口上報(bào)接口上報(bào)的端口狀態(tài)信息的格式為：app?uid、目的端口和指令，指令的內(nèi)容為打開(kāi)或關(guān)閉。

21、本發(fā)明的有益效果在于：本發(fā)明通過(guò)app業(yè)務(wù)識(shí)別和動(dòng)態(tài)端口管控，對(duì)專網(wǎng)應(yīng)用和互聯(lián)網(wǎng)應(yīng)用的接入進(jìn)行管控和分流，確保移動(dòng)終端多業(yè)務(wù)接入符合任意時(shí)刻只能連接一張網(wǎng)絡(luò)的安全要求，同時(shí)在一個(gè)空間駐留時(shí)又可以及時(shí)收到另一個(gè)空間應(yīng)用的更新消息，從而避免傳統(tǒng)網(wǎng)閘隔離造成的性能影響和互聯(lián)網(wǎng)業(yè)務(wù)中斷，在支持多業(yè)務(wù)接入的同時(shí)，使單系統(tǒng)終端的隔離強(qiáng)度達(dá)到或高于雙系統(tǒng)終端的隔離強(qiáng)度。