[发明专利]APP访问控制方法、系统、终端设备及存储介质

说明书

本发明公开了一种APP访问控制方法、系统、终端设备及存储介质，通过终端设备读取虚拟网卡收发的目标数据包，获取所述目标数据包的目标地址及目标APP标识，从预设控制策略集合中查找到与所述目标APP标识关联的目标控制策略，根据目标控制策略判断目标地址是否为授权地址，当目标地址为授权地址时，允许虚拟网卡将所述目标数据包发送至目标地址，能够避免现有技术的兼容性缺陷，使得无论APP以何种方式访问网络、无论何种操作系统，都能通过虚拟网卡拦截到数据包，进行网络访问控制，防止企业敏感数据泄露到不安全网络，降低了企业数据外泄的风险，提高了数据安全性，提升了用户体验。

技术领域

本发明涉及网络访问领域，尤其涉及一种APP访问控制方法、系统、终端设备及存储介质。

背景技术

消费级智能终端的普及，让移动办公高速发展，同时也带来了严重的安全问题；过去，企业通过部署虚拟专用网络(Virtual Private Network，VPN)网关设备，让员工可以通过WIFI/2G/3G/4G连接VPN访问企业内网，进行随时随地的办公。但同时导致网络边界、数据边界变得模糊，企业数据随时可能被外发。过去企业为了解决移动终端数据边界变得模糊的问题，对移动终端的企业应用程序(Application，APP)使用了安全沙箱技术，将企业APP产生的数据加密存储在手机的单独区域，实现与个人数据的隔离，防止其它个人/恶意APP窃取企业APP的数据，同时也防止用户将企业APP的数据分享给个人APP，以达到防止企业数据外泄的目的。但依旧还存在以下泄密风险：

1)在进行移动办公时，经常需要使用浏览器或其它APP来访问企业内部的站点，企业管理员对浏览器加入安全沙箱后发布给用户作为企业APP使用，用户在移动终端上建立VPN隧道后，浏览器即可以访问企业内网的站点，也可以访问互联网站点，这导致用户可以先通过浏览器下载企业内网的数据和文件保存到手机本地，再通过访问互联网云盘，将企业数据和文件上传到互联网云盘，由于安全沙箱使用的是透明数据加密技术，数据和文件虽然是加密存储在本地，但企业APP读取出来的是已解密后的明文数据，企业数据和文件上传到互联网云盘时存储的是明文数据，这将导致企业数据外泄。

2)企业在开发企业APP时，经常需要使用第三方开发库，这些第三方开发库可能存在网络漏洞，黑客可以利用第三方开发库的网络漏洞，通过第三方开发库的网络漏洞来连接到企业APP，窃取企业APP的数据。或者第三方库本身也可能连接其云端服务器收集用户的数据，打破只企业敏感数据外泄。目前业界通常是通过HOOK技术(中文译为“挂钩”或“钩子”，可用于修改系统应用程序编程接口(Application Programming Interface，API)的代码执行流程)来解决此问题，即对APP访问网络的API接口进行挂钩，修改访问网络的行为，将允许访问的网络地址放行，将禁止访问的网络地址拦截。但存在如下缺点：

1、HOOK技术存在较多兼容性问题，操作系统提供的网络收发接口多种多样，很容易有部分接口未被HOOK，而APP一旦使用该类未被HOOK的接口访问网络收发数据，就会不受系统控制，向任意网络收发数据。

2、越来越多的系统会限制HOOK的使用，比如苹果的IOS系统，新版本已经无法对网络访问接口进行HOOK了。

发明内容

本发明的主要目的在于提供一种APP访问控制方法、系统、终端设备及存储介质，旨在解决现有技术中由于移动办公的普及，企业数据容易外泄的技术问题。

为实现上述目的，本发明提供一种APP访问控制方法，所述APP访问控制方法包括以下步骤：

终端设备读取虚拟网卡收发的目标数据包，获取所述目标数据包的目标地址及目标APP标识；

从预设控制策略集合中查找到与所述目标APP标识关联的目标控制策略，根据所述目标控制策略判断所述目标地址是否为授权地址；

当所述目标地址为所述授权地址时，允许所述虚拟网卡将所述目标数据包发送至所述目标地址。