技術領域

本發明涉及移動通信領域，具體而言，本發明涉及一種移動終端支付類應用程序安全支付方法及其裝置。

背景技術

隨著智能移動終端的不斷發展，出現了越來越多的移動終端應用程序，而應用程序在為用戶提供服務的過程中，需要連網與其服務器進行通信，由于移動網絡提供的套餐流量有限，限制了用戶的使用，所以通常用戶更喜歡連接不受限制使用的無線網絡，如免費WiFi，也因此促進了免費WiFi的發展勢頭，用戶使用免費WiFi工具和使用免費WiFi聯網快速得到普及，隨時隨地找免費WiFi已經成為用戶移動上網的日常習慣。

但如果在通信過程中連接了不安全的無線局域網，會造成一定的風險。如連接到植入了釣魚功能的WiFi路由器，通信過程中發送的數據包就可能被劫持，造成用戶的信息泄露，特別是對于一些如支付寶、微信、網銀等重要的支付類應用，信息泄露會給用戶帶來極大損失。不法分子通過惡意DNS、ARP欺騙、ICMP劫持等惡意網絡劫持手段，竊取用戶的身份、賬號、交易等敏感信息，甚至對交易過程進行劫持或釣魚欺詐。針對這種不安全通信情況，Android系統提供了VPN服務，但當所有應用的流量都通過VPN服務，那么必然會超出VPN服務器的處理能力，造成網絡阻塞，使得用戶的應用體驗變差。因此，如何在所接入網絡未經安全確認或者并不安全的情況下保證支付類應用程序的安全交互，避免重要數據或信息泄露，變成了亟待解決的問題。

發明內容

本發明的目的旨在解決上述至少一個問題，提供一種移動終端支付類應用程序安全支付方法及相應裝置，有選擇性地對支付類應用程序進行保 護，提供安全通道，在保證支付安全的同事避免給VPN服務器帶來過大壓力。

為了實現上述目的，本發明提供一種移動終端支付類應用程序安全支付方法，包括以下步驟：

監聽支付類應用程序進入支付場景；

通過預先向系統注冊的VPN服務向VPN服務器發送連接請求，以建立與VPN服務器之間的安全通道；

基于該安全通道向遠程服務器發送支付數據以完成支付操作。

進一步，所述建立安全通道的步驟還包括：

所述VPN服務與VPN服務器建立連接后進行通信以確定建立通道采用的通信協議、加密算法、密鑰及相關參數信息。

可選的，所述安全通道基于PPTP、L2TP、IPSec中的任意一種協議實現。

進一步，所述建立安全通道之前還包括提供安全DNS服務，具體包括以下步驟：

捕獲所述移動終端發送的DNS請求數據包，將所述DNS數據包轉換為對應的DNSSEC請求數據包；

發送所述DNSSEC請求數據包至DNS服務器，以接收所述DNS服務器返回的DNSSEC響應數據包；

捕獲所述移動終端接收的所述DNSSEC響應數據包，將所述DNSSEC響應數據包轉換為對應的DNS響應數據包。

具體的，利用鉤子函數捕獲移動終端系統應用層的DNS解析接口以獲取DNS請求數據包。

更進一步，還包括步驟：提供一用戶界面，用于詢問是否建立通道，以用戶選定為依據確定是否建立所述安全通道。

優選的，所述支付類應用程序進行支付之前，先執行清場操作。

優選的，建立所述安全通道后，對經所述安全通道傳輸的支付數據包進行加密。

具體的，所述支付數據包的加密采用非對稱加密算法。

進一步，還包括建立白名單，用于記錄支付應用程序的身份標識信息，僅對白名單中的支付應用程序建立所述安全通道。

進一步，還包括步驟，獲取支付應用程序的身份標識信息，依據該身份標識信息判斷該支付應用程序是否存在于所述白名單中。

更進一步，還包括接收用戶指令，對白名單中的支付應用程序進行增加或刪除操作。

進一步，接收用戶對已安裝支付應用程序的選定指令，將選定的支付應用程序的標識信息記錄于所述白名單。

具體的，所述支付應用程序的身份標識信息包括該應用程序的UID、包名。

一種移動終端支付類應用程序安全支付裝置，包括：

監聽模塊：用于監聽支付類應用程序進入支付場景；

安全通道建立模塊：用于通過預先向系統注冊的VPN服務向VPN服務器發送連接請求，以建立與VPN服務器之間的安全通道；

支付模塊：用于基于該安全通道向遠程服務器發送支付數據以完成支付操作。

具體的，所述安全通道建立模塊執行的步驟包括：