CN105187423B - 网络资源的隔离方法、网络资源的隔离系统和移动终端 - Google Patents
网络资源的隔离方法、网络资源的隔离系统和移动终端 Download PDFInfo
- Publication number
- CN105187423B CN105187423B CN201510543304.7A CN201510543304A CN105187423B CN 105187423 B CN105187423 B CN 105187423B CN 201510543304 A CN201510543304 A CN 201510543304A CN 105187423 B CN105187423 B CN 105187423B
- Authority
- CN
- China
- Prior art keywords
- namespace
- microsoft loopback
- loopback adapter
- internet resources
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种网络资源的隔离方法、网络资源的隔离系统和移动终端,其中网络资源的隔离方法包括:确定进程中指定进程对应的网络通信机制,根据网络通信机制与命名空间的映射关系将指定进程设置于相应的命名空间;确认进程中除指定进程外的其他进程,并将进程中除指定进程外的其他进程设置于源进程所属的命名空间,其中,指定进程所属的命名空间作为第一类命名空间,源进程所属的命名空间作为第二类命名空间,第一类命名空间的进程隔离于预置物理网卡的网络资源,第二类命名空间的进程可识别预置物理网卡的网络资源。通过本发明的技术方案,可以实现移动终端上的进程的隔离上网模式,从而提高终端用户的数据安全。
Description
技术领域
本发明涉及终端技术领域,具体而言,涉及一种网络资源的隔离方法、一种网络资源的隔离系统和一种移动终端。
背景技术
在相关技术中,现有的多用户域方案中,多个用户域都在同一个网络命名空间中,也就是说多个用户域之间共用一套网络设备,即具有相同的IP地址、路由表和路由规则,给不同用户域之间的网络差异化处理带来了很大的困难,例如,要实现某个用户域只能上固定的网站,或者禁止某个用户域连接外网,或者控制某个用户域通过指定的网卡上网,而这些情况在现有技术中无法得到解决。
因此,如何设计一种新的网络资源的隔离方案,以实现移动终端的进程的网络隔离成为目前亟待解决的技术问题。
发明内容
本发明正是基于上述问题,提出了一种新的网络资源的隔离方案,通过将进程划分到不同的命名空间,可以实现移动终端上的进程的隔离上网模式,从而提高终端用户的数据安全,提升了用户体验。
有鉴于此,本发明提出了一种网络资源的隔离方法,包括:确定所述进程中指定进程对应的网络通信机制,根据所述网络通信机制与命名空间的映射关系将所述指定进程设置于相应的命名空间;确认所述进程中除指定进程外的其他进程,并将所述进程中除指定进程外的其他进程设置于所述源进程所属的命名空间,其中,所述指定进程所属的命名空间作为第一类命名空间,所述源进程所属的命名空间作为第二类命名空间,所述第一类命名空间的进程隔离于预置物理网卡的网络资源,所述第二类命名空间的进程可识别所述预置物理网卡的网络资源。
在该技术方案中,在确定指定进程对应的网络通信机制之后,根据网络通信机制与命名空间的映射关系,将指定进程设置在对应的命名空间中,指定进程之外的其它进程默认设置在源进程所属的命名空间中,并且将包含指定进程的命名空间作为第一类命名空间,将包含其它进程的命名空间作为第二类命名空间,使得指定进程无法访问预置物理网卡的网络资源,而其他进程可以访问预置物理网卡中的资源,也即移动终端中的进程通过命名空间(如采用网络命名空间“Network Namespace”等)实现了网络隔离,满足了移动终端上的进程对网络的差异化需求,提升了用户的体验。
具体地,在根据用户指令或用户使用习惯确定进程需要进行网络隔离时,上述网络命名空间中的源进程需要进行网络隔离的进程进行克隆创建,克隆创建的进程中包括指定进程和除指定进程以外的其他进程,其他进程默认存在于源进程所在的网络命名空间中,对于预置物理网卡是可见的,而指定进程对于预置物理网卡是透明的。
在上述技术方案中,优选的,还包括:获取用户预设的网络通信机制;通过所述Linux内核的源进程创建所述终端上的应用程序对应的进程。
在该技术方案中,通过获取用户预设的网络通信机制,能够确定指定进程对应的网络通信机制,从而方便地将指定进程设置在相应的命名空间中,并且通过Linux内核的源进程创建应用程序对应的进程。
具体地,通过获取用户预设的网络通信机制,即进程A只能上固定的网站,进程B禁止连接外网,进程C只能通过Wi-Fi上网,则Linux内核的源进程创建进程B对应的进程,并放置到第一类命名空间中,使得进程B无法访问预置物理网卡的网络资源,从而实现禁止连接外网,进程A和进程C设置在第二类命名空间中,可以访问预置物理网卡的网络资源,从而实现网络连接。
在上述任一项技术方案中,优选的,还包括:在所述第一类命名空间和所述第二类命名空间之间创建虚拟网络设备,以实现所述第一类命名空间的进程和所述第二类命名空间的进程之间的数据交互,所述虚拟网络设备包括串联连接的第一虚拟网卡、第二虚拟网卡、第三虚拟网卡和第四虚拟网卡,其中,所述第一虚拟网卡连接至所述第一类命名空间,所述第四虚拟网卡连接至所述第二类命名空间。
在该技术方案中,虚拟网络设备包括第一虚拟网卡、第二虚拟网卡、第三虚拟网卡和第四虚拟网卡,并且四个虚拟网卡以串联的方式进行连接,并且通过虚拟网卡将第一类命名空间和第二类命名空间连接起来,以实现第一类命名空间和第二类命名空间的数据交互,其中,第一类命名空间连接至虚拟网络设备的第一虚拟网卡,第二类命名空间连接至虚拟网络设备的第四虚拟网卡,即虚拟网络设备提供了数据交互的通道。
在上述任一项技术方案中,优选的,还包括:通过所述Linux内核创建Linux桥(即Linux Bridge),并将所述Linux桥连接至所述第三虚拟网卡和所述虚拟网络设备之间,以控制所述第二类命名空间中的进程依次通过所述第四虚拟网卡、第三虚拟网卡和所述Linux桥连接至所述预置物理网卡。
在该技术方案中,通过Linux内核创建Linux桥,并将Linux桥连接至第三虚拟网卡,第二类命名空间中的进程可以依次通过第四虚拟网卡、第三虚拟网卡和Linux桥,连接至预置物理网卡,满足了用户将第二类命名空间连接至外部网络的需要,提升了用户体验。
在上述任一项技术方案中,优选的,还包括:将所述Linux桥连接至所述第二虚拟网卡和所述虚拟网络设备之间,以控制所述第一类命名空间中的进程依次通过所述第一虚拟网卡、第二虚拟网卡和所述Linux桥连接至所述预置物理网卡。
在该技术方案中,通过Linux内核创建Linux桥,并将Linux桥连接至第二虚拟网卡,使得第一类命名空间中的进程可以依次通过第一虚拟网卡、第二虚拟网卡和Linux桥,连接至预置物理网卡,使得第一类命名空间中的进程可以连接至外网,满足了用户将第一类命名空间连接至外部网络的需要,提升了用户体验。
在上述任一项技术方案中,优选的,所述预置物理网卡的网络资源包括局域网网络资源、Wi-Fi网络资源和蜂窝数据网络资源中的至少一种。
在该技术方案中,通过在预置物理网卡的网络资源中设置局域网网络资源、Wi-Fi网络资源和蜂窝数据网络资源中的一种或者多种,可以实现移动终端上的进程的隔离上网模式,从而提高终端用户的数据安全。
根据本发明的第二方面,提出了一种网络资源的隔离系统,包括:设置单元,用于确定所述进程中指定进程对应的网络通信机制,根据所述网络通信机制与命名空间的映射关系将所述指定进程设置于相应的命名空间;所述设置单元还用于:确认所述进程中除指定进程外的其他进程,并将所述进程中除指定进程外的其他进程设置于所述源进程所属的命名空间,其中,所述指定进程所属的命名空间作为第一类命名空间,所述源进程所属的命名空间作为第二类命名空间,所述第一类命名空间的进程隔离于预置物理网卡的网络资源,所述第二类命名空间的进程可识别所述预置物理网卡的网络资源。
在该技术方案中,在确定指定进程对应的网络通信机制之后,根据网络通信机制与命名空间的映射关系,将指定进程设置在对应的命名空间中,指定进程之外的其它进程默认设置在源进程所属的命名空间中,并且将包含指定进程的命名空间作为第一类命名空间,将包含其它进程的命名空间作为第二类命名空间,使得指定进程无法访问预置物理网卡的网络资源,而其他进程可以访问预置物理网卡中的资源,也即移动终端中的进程通过命名空间(如采用网络命名空间“Network Namespace”等)实现了网络隔离,满足了移动终端上的进程对网络的差异化需求,提升了用户的体验。
具体地,在根据用户指令或用户使用习惯确定进程需要进行网络隔离时,上述网络命名空间中的源进程需要进行网络隔离的进程进行克隆创建,克隆创建的进程中包括指定进程和除指定进程以外的其他进程,其他进程默认存在于源进程所在的网络命名空间中,对于预置物理网卡是可见的,而指定进程对于预置物理网卡是透明的。
在上述技术方案中,优选的,还包括:获取单元,用于获取用户预设的网络通信机制;创建单元,用于通过所述Linux内核的源进程创建所述终端上的应用程序对应的进程。
在该技术方案中,通过获取用户预设的网络通信机制,能够确定指定进程对应的网络通信机制,从而方便地将指定进程设置在相应的命名空间中,并且通过Linux内核的源进程创建应用程序对应的进程。
具体地,通过获取用户预设的网络通信机制,即进程A只能上固定的网站,进程B禁止连接外网,进程C只能通过Wi-Fi上网,则Linux内核的源进程创建进程B对应的进程,并放置到第一类命名空间中,使得进程B无法访问预置物理网卡的网络资源,从而实现禁止连接外网,进程A和进程C设置在第二类命名空间中,可以访问预置物理网卡的网络资源,从而实现网络连接。
在上述任一项技术方案中,优选的,所述创建单元还用于:在所述第一类命名空间和所述第二类命名空间之间创建虚拟网络设备,以实现所述第一类命名空间的进程和所述第二类命名空间的进程之间的数据交互,所述虚拟网络设备包括串联连接的第一虚拟网卡、第二虚拟网卡、第三虚拟网卡和第四虚拟网卡,其中,所述第一虚拟网卡连接至所述第一类命名空间,所述第四虚拟网卡连接至所述第二类命名空间。
在该技术方案中,虚拟网络设备包括第一虚拟网卡、第二虚拟网卡、第三虚拟网卡和第四虚拟网卡,并且四个虚拟网卡以串联的方式进行连接,并且通过虚拟网卡将第一类命名空间和第二类命名空间连接起来,以实现第一类命名空间和第二类命名空间的数据交互,其中,第一类命名空间连接至虚拟网络设备的第一虚拟网卡,第二类命名空间连接至虚拟网络设备的第四虚拟网卡,即虚拟网络设备提供了数据交互的通道。
在上述任一项技术方案中,优选的,所述创建单元还用于:通过所述Linux内核创建Linux桥,并将所述Linux桥连接至所述第三虚拟网卡和所述虚拟网络设备之间,以控制所述第二类命名空间中的进程依次通过所述第四虚拟网卡、第三虚拟网卡和所述Linux桥连接至所述预置物理网卡。
在该技术方案中,通过Linux内核创建Linux桥,并将Linux桥连接至第三虚拟网卡,第二类命名空间中的进程可以依次通过第四虚拟网卡、第三虚拟网卡和Linux桥,连接至预置物理网卡,满足了用户将第二类命名空间连接至外部网络的需要,提升了用户体验。
在上述任一项技术方案中,优选的,所述创建单元还用于:将所述Linux桥连接至所述第二虚拟网卡和所述虚拟网络设备之间,以控制所述第一类命名空间中的进程依次通过所述第一虚拟网卡、第二虚拟网卡和所述Linux桥连接至所述预置物理网卡。
在该技术方案中,通过Linux内核创建Linux桥,并将Linux桥连接至第二虚拟网卡,使得第一类命名空间中的进程可以依次通过第一虚拟网卡、第二虚拟网卡和Linux桥,连接至预置物理网卡,使得第一类命名空间中的进程可以连接至外网,满足了用户将第一类命名空间连接至外部网络的需要,提升了用户体验。
根据本发明的第三方面,提出了一种移动终端,包括:如上述任一项技术方案中所述的网络资源的隔离系统。以此,该移动终端具有如上述任一项技术方案中所述的网络资源的隔离系统相同的技术效果,在此不再赘述。
通过以上技术方案,在确定指定进程对应的网络通信机制之后,根据网络通信机制与命名空间的映射关系,将指定进程设置在对应的命名空间中,指定进程之外的其它进程默认设置在源进程所属的命名空间中,并且将包含指定进程的命名空间作为第一类命名空间,将包含其它进程的命名空间作为第二类命名空间,使得指定进程无法访问预置物理网卡的网络资源,而其他进程可以访问预置物理网卡中的资源,也即移动终端中的进程通过命名空间(如采用网络命名空间“Network Namespace”等)实现了网络隔离,满足了移动终端上的进程对网络的差异化需求,提升了用户的体验。
附图说明
图1示出了根据本发明的实施例的网络资源的隔离方法的示意流程图;
图2示出了根据本发明的一个实施例的网络资源的隔离系统的示意框图;
图3示出了根据本发明的实施例的移动终端的示意框图;
图4示出了根据本发明的实施例的网络资源的隔离系统的示意框图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了根据本发明的实施例的网络资源的隔离方法的示意流程图。
如图1所示,根据本发明的实施例的网络资源的隔离方法,包括:步骤102,确定所述进程中指定进程对应的网络通信机制,根据所述网络通信机制与命名空间的映射关系将所述指定进程设置于相应的命名空间;步骤104,确认所述进程中除指定进程外的其他进程,并将所述进程中除指定进程外的其他进程设置于所述源进程所属的命名空间,其中,所述指定进程所属的命名空间作为第一类命名空间,所述源进程所属的命名空间作为第二类命名空间,所述第一类命名空间的进程隔离于预置物理网卡的网络资源,所述第二类命名空间的进程可识别所述预置物理网卡的网络资源。
在该技术方案中,在确定指定进程对应的网络通信机制之后,根据网络通信机制与命名空间的映射关系,将指定进程设置在对应的命名空间中,指定进程之外的其它进程默认设置在源进程所属的命名空间中,并且将包含指定进程的命名空间作为第一类命名空间,将包含其它进程的命名空间作为第二类命名空间,使得指定进程无法访问预置物理网卡的网络资源,而其他进程可以访问预置物理网卡中的资源,也即移动终端中的进程通过命名空间(如采用网络命名空间“Network Namespace”等)实现了网络隔离,满足了移动终端上的进程对网络的差异化需求,提升了用户的体验。
具体地,在根据用户指令或用户使用习惯确定进程需要进行网络隔离时,上述网络命名空间中的源进程需要进行网络隔离的进程进行克隆创建,克隆创建的进程中包括指定进程和除指定进程以外的其他进程,其他进程默认存在于源进程所在的网络命名空间中,对于预置物理网卡是可见的,而指定进程对于预置物理网卡是透明的。
在上述技术方案中,优选的,还包括:获取用户预设的网络通信机制;通过所述Linux内核的源进程创建所述终端上的应用程序对应的进程。
在该技术方案中,通过获取用户预设的网络通信机制,能够确定指定进程对应的网络通信机制,从而方便地将指定进程设置在相应的命名空间中,并且通过Linux内核的源进程创建应用程序对应的进程。
具体地,通过获取用户预设的网络通信机制,即进程A只能上固定的网站,进程B禁止连接外网,进程C只能通过Wi-Fi上网,则Linux内核的源进程创建进程B对应的进程,并放置到第一类命名空间中,使得进程B无法访问预置物理网卡的网络资源,从而实现禁止连接外网,进程A和进程C设置在第二类命名空间中,可以访问预置物理网卡的网络资源,从而实现网络连接。
在上述任一项技术方案中,优选的,还包括:在所述第一类命名空间和所述第二类命名空间之间创建虚拟网络设备,以实现所述第一类命名空间的进程和所述第二类命名空间的进程之间的数据交互,所述虚拟网络设备包括串联连接的第一虚拟网卡、第二虚拟网卡、第三虚拟网卡和第四虚拟网卡,其中,所述第一虚拟网卡连接至所述第一类命名空间,所述第四虚拟网卡连接至所述第二类命名空间。
在该技术方案中,虚拟网络设备包括第一虚拟网卡、第二虚拟网卡、第三虚拟网卡和第四虚拟网卡,并且四个虚拟网卡以串联的方式进行连接,并且通过虚拟网卡将第一类命名空间和第二类命名空间连接起来,以实现第一类命名空间和第二类命名空间的数据交互,其中,第一类命名空间连接至虚拟网络设备的第一虚拟网卡,第二类命名空间连接至虚拟网络设备的第四虚拟网卡,即虚拟网络设备提供了数据交互的通道。
在上述任一项技术方案中,优选的,还包括:通过所述Linux内核创建Linux桥,并将所述Linux桥连接至所述第三虚拟网卡和所述虚拟网络设备之间,以控制所述第二类命名空间中的进程依次通过所述第四虚拟网卡、第三虚拟网卡和所述Linux桥连接至所述预置物理网卡。
在该技术方案中,通过Linux内核创建Linux桥,并将Linux桥连接至第三虚拟网卡,第二类命名空间中的进程可以依次通过第四虚拟网卡、第三虚拟网卡和Linux桥,连接至预置物理网卡,满足了用户将第二类命名空间连接至外部网络的需要,提升了用户体验。
在上述任一项技术方案中,优选的,还包括:将所述Linux桥连接至所述第二虚拟网卡和所述虚拟网络设备之间,以控制所述第一类命名空间中的进程依次通过所述第一虚拟网卡、第二虚拟网卡和所述Linux桥连接至所述预置物理网卡。
在该技术方案中,通过Linux内核创建Linux桥,并将Linux桥连接至第二虚拟网卡,使得第一类命名空间中的进程可以依次通过第一虚拟网卡、第二虚拟网卡和Linux桥,连接至预置物理网卡,使得第一类命名空间中的进程可以连接至外网,满足了用户将第一类命名空间连接至外部网络的需要,提升了用户体验。
在上述任一项技术方案中,优选的,所述预置物理网卡的网络资源包括局域网网络资源、Wi-Fi网络资源和蜂窝数据网络资源中的至少一种。
在该技术方案中,通过在预置物理网卡的网络资源中设置局域网网络资源、Wi-Fi网络资源和蜂窝数据网络资源中的一种或者多种,可以实现移动终端上的进程的隔离上网模式,从而提高终端用户的数据安全。
图2示出了根据本发明的一个实施例的网络资源的隔离系统的示意框图。
如图2所示,根据本发明的实施例的网络资源的隔离系统200,包括:设置单元202,用于确定所述进程中指定进程对应的网络通信机制,根据所述网络通信机制与命名空间的映射关系将所述指定进程设置于相应的命名空间;所述设置单元202还用于:确认所述进程中除指定进程外的其他进程,并将所述进程中除指定进程外的其他进程设置于所述源进程所属的命名空间,其中,所述指定进程所属的命名空间作为第一类命名空间,所述源进程所属的命名空间作为第二类命名空间,所述第一类命名空间的进程隔离于预置物理网卡的网络资源,所述第二类命名空间的进程可识别所述预置物理网卡的网络资源。
在该技术方案中,在确定指定进程对应的网络通信机制之后,根据网络通信机制与命名空间的映射关系,将指定进程设置在对应的命名空间中,指定进程之外的其它进程默认设置在源进程所属的命名空间中,并且将包含指定进程的命名空间作为第一类命名空间,将包含其它进程的命名空间作为第二类命名空间,使得指定进程无法访问预置物理网卡的网络资源,而其他进程可以访问预置物理网卡中的资源,也即移动终端中的进程通过命名空间(如采用网络命名空间“Network Namespace”等)实现了网络隔离,满足了移动终端上的进程对网络的差异化需求,提升了用户的体验。
具体地,在根据用户指令或用户使用习惯确定进程需要进行网络隔离时,上述网络命名空间中的源进程需要进行网络隔离的进程进行克隆创建,克隆创建的进程中包括指定进程和除指定进程以外的其他进程,其他进程默认存在于源进程所在的网络命名空间中,对于预置物理网卡是可见的,而指定进程对于预置物理网卡是透明的。
在上述技术方案中,优选的,还包括:获取单元204,用于获取用户预设的网络通信机制;创建单元206,用于通过所述Linux内核的源进程创建所述终端上的应用程序对应的进程。
在该技术方案中,通过获取用户预设的网络通信机制,能够确定指定进程对应的网络通信机制,从而方便地将指定进程设置在相应的命名空间中,并且通过Linux内核的源进程创建应用程序对应的进程。
具体地,通过获取用户预设的网络通信机制,即进程A只能上固定的网站,进程B禁止连接外网,进程C只能通过Wi-Fi上网,则Linux内核的源进程创建进程B对应的进程,并放置到第一类命名空间中,使得进程B无法访问预置物理网卡的网络资源,从而实现禁止连接外网,进程A和进程C设置在第二类命名空间中,可以访问预置物理网卡的网络资源,从而实现网络连接。
在上述任一项技术方案中,优选的,所述创建单元206还用于:在所述第一类命名空间和所述第二类命名空间之间创建虚拟网络设备,以实现所述第一类命名空间的进程和所述第二类命名空间的进程之间的数据交互,所述虚拟网络设备包括串联连接的第一虚拟网卡、第二虚拟网卡、第三虚拟网卡和第四虚拟网卡,其中,所述第一虚拟网卡连接至所述第一类命名空间,所述第四虚拟网卡连接至所述第二类命名空间。
在该技术方案中,虚拟网络设备包括第一虚拟网卡、第二虚拟网卡、第三虚拟网卡和第四虚拟网卡,并且四个虚拟网卡以串联的方式进行连接,并且通过虚拟网卡将第一类命名空间和第二类命名空间连接起来,以实现第一类命名空间和第二类命名空间的数据交互,其中,第一类命名空间连接至虚拟网络设备的第一虚拟网卡,第二类命名空间连接至虚拟网络设备的第四虚拟网卡,即虚拟网络设备提供了数据交互的通道。
在上述任一项技术方案中,优选的,所述创建单元206还用于:通过所述Linux内核创建Linux桥,并将所述Linux桥连接至所述第三虚拟网卡和所述虚拟网络设备之间,以控制所述第二类命名空间中的进程依次通过所述第四虚拟网卡、第三虚拟网卡和所述Linux桥连接至所述预置物理网卡。
在该技术方案中,通过Linux内核创建Linux桥,并将Linux桥连接至第三虚拟网卡,使得第二类命名空间中的进程可以依次通过第四虚拟网卡、第三虚拟网卡和Linux桥,连接至预置物理网卡,满足了用户将第二类命名空间连接至外部网络的需要,使得在同一台设备上可以同时存在多个隔离的网络的环境,提升了用户体验。
在上述任一项技术方案中,优选的,所述创建单元206还用于:将所述Linux桥连接至所述第二虚拟网卡和所述虚拟网络设备之间,以控制所述第一类命名空间中的进程依次通过所述第一虚拟网卡、第二虚拟网卡和所述Linux桥连接至所述预置物理网卡。
在该技术方案中,通过Linux内核创建Linux桥,并将Linux桥连接至第二虚拟网卡,第一类命名空间中的进程可以依次通过第一虚拟网卡、第二虚拟网卡和Linux桥,连接至预置物理网卡,使得第一类命名空间中的进程可以连接至外网,满足了用户将第一类命名空间连接至外部网络的需要,提升了用户体验。
图3示出了根据本发明的实施例的移动终端的示意框图。
如图3所示,根据本发明的实施例的移动终端300,包括:如上述任一项技术方案中所述的网络资源的隔离系统200。以此,该移动终端300具有如图2所示的网络资源的隔离系统200相同的技术效果,在此不再赘述。
图4示出了根据本发明的实施例的网络资源的隔离系统的结构示意图。
如图4所示,基于Linux内核(即Linux kernel)的工作原理,网络命名空间A(Network Namespace A)、网络命名空间B(Network Namespace B)、网络命名空间C(Network Namespace C)为三个新创建的命名空间,其中每个用户域对应一个网络命名空间,并且由于新创建的网络命名空间与init源进程不在同一个网络命名空间,因此,网络命名空间A、网络命名空间B、网络命名空间C三个新创建的网络命名空间中的进程不知道存在rmnet0和wlan0这两个物理网卡,也就不能直接通过它们当中的任何一个物理网卡来连接外网。
当需要让三个新创建的网络命名空间可以通过rmnet0或者wlan0来连接外网,创建三对VETH虚拟网卡(如Virtual network device等),分别为VETH-A1和VETH-A2、VETH-B1和VETH-B2、VETH-C1和VETH-C2,并且将这三对虚拟网卡的一端都绑定到Linux桥,其中,Linux桥、wlan0路径、rmnet0路径都与init源进程在相同的网络命名空间中,属于默认的网络命名空间,另外一端分别连接到三个新创建的网络命名空间内部,这样就可以通过给WETH虚拟网卡(如Virtual network device等)和Linux桥分配相应的IP地址和路由规则,可以让三个新创建的网络命名空间内的进程可以选择通过wlan0路径或者rmnet0路径来连接外部网络,这样也就实现了三个独立的网络环境连接外网的目的。
当三个新创建的网络命名空间不需要连接至外网时,只需要将两个网络命名空间进行连接,即使用WETH虚拟网卡(如Virtual network device等)就可实现连接。
在此基础上,还可以针对这三个独立的网络环境来分别制定各自的网络策略,比如要实现网络命名空间A中的进程只能上固定的网站时,可以通过内核的IP tables防火墙来制定相关策略,达到网络命名空间A所在的域只能上特定的网站,可以用来实现办公域,也就是说在该域内的进程,只能上公司的内部网站;同时还可以实现禁止网络命名空间B中的进程连接外部网络,可以用来存放重要的文件,断开网络连接,可以有效的防止黑客入侵该空间;同时还可以通过策略,通过指定一个网络命名空间只能通过指定的网卡来连接外网,比如禁止网络命名空间C使用Wi-Fi网络,只能通过数据网络来上网,使得上网更加的安全;或者有一个域只能通过Wi-Fi来上网,适用场景为该域内的进程都是一些消耗流量比较多的应用程序,节省流量,如网络游戏或者视频播放器等。
以上结合附图详细说明了本发明的技术方案,考虑到相关技术中提出的如何设计一种新的网络资源的隔离方案的技术问题,本发明提出了一种新的网络资源的隔离方案,终端中的进程通过命名空间(如采用网络命名空间“Network Namespace”等)实现了网络隔离,满足了移动终端上的进程对网络的差异化需求,提升了用户的体验。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种网络资源的隔离方法,适用于移动终端,所述终端基于Linux内核运行进程,其特征在于,包括:
确定所述进程中指定进程对应的网络通信机制,根据所述网络通信机制与命名空间的映射关系将所述指定进程设置于相应的命名空间;
确认所述进程中除指定进程外的其他进程,并将所述进程中除指定进程外的其他进程设置于源进程所属的命名空间,
其中,所述指定进程所属的命名空间作为第一类命名空间,所述源进程所属的命名空间作为第二类命名空间,所述第一类命名空间的进程隔离于预置物理网卡的网络资源,所述第二类命名空间的进程可识别所述预置物理网卡的网络资源;
通过所述Linux内核的源进程创建所述终端上的应用程序对应的进程;
在所述第一类命名空间和所述第二类命名空间之间创建虚拟网络设备,以实现所述第一类命名空间的进程和所述第二类命名空间的进程之间的数据交互,所述虚拟网络设备包括串联连接的第一虚拟网卡、第二虚拟网卡、第三虚拟网卡和第四虚拟网卡,其中,所述第一虚拟网卡连接至所述第一类命名空间,所述第四虚拟网卡连接至所述第二类命名空间;
通过所述Linux内核创建Linux桥,并将所述Linux桥连接至所述第三虚拟网卡,以控制所述第二类命名空间中的进程依次通过所述第四虚拟网卡、第三虚拟网卡和所述Linux桥连接至所述预置物理网卡。
2.根据权利要求1所述的网络资源的隔离方法,其特征在于,还包括:
获取用户预设的网络通信机制。
3.根据权利要求1所述的网络资源的隔离方法,其特征在于,还包括:
将所述Linux桥连接至所述第二虚拟网卡,以控制所述第一类命名空间中的进程依次通过所述第一虚拟网卡、第二虚拟网卡和所述Linux桥连接至所述预置物理网卡。
4.根据权利要求1至3中任一项所述的网络资源的隔离方法,其特征在于,所述预置物理网卡的网络资源包括局域网网络资源、Wi-Fi网络资源和蜂窝数据网络资源中的至少一种。
5.一种网络资源的隔离系统,适用于移动终端,所述终端基于Linux内核运行进程,其特征在于,包括:
设置单元,用于确定所述进程中指定进程对应的网络通信机制,根据所述网络通信机制与命名空间的映射关系将所述指定进程设置于相应的命名空间;
所述设置单元还用于:确认所述进程中除指定进程外的其他进程,并将所述进程中除指定进程外的其他进程设置于源进程所属的命名空间;
其中,所述指定进程所属的命名空间作为第一类命名空间,所述源进程所属的命名空间作为第二类命名空间,所述第一类命名空间的进程隔离于预置物理网卡的网络资源,所述第二类命名空间的进程可识别所述预置物理网卡的网络资源;
创建单元,用于通过所述Linux内核的源进程创建所述终端上的应用程序对应的进程;
所述创建单元还用于:
在所述第一类命名空间和所述第二类命名空间之间创建虚拟网络设备,以实现所述第一类命名空间的进程和所述第二类命名空间的进程之间的数据交互,所述虚拟网络设备包括串联连接的第一虚拟网卡、第二虚拟网卡、第三虚拟网卡和第四虚拟网卡,其中,所述第一虚拟网卡连接至所述第一类命名空间,所述第四虚拟网卡连接至所述第二类命名空间;
所述创建单元还用于:
通过所述Linux内核创建Linux桥,并将所述Linux桥连接至所述第三虚拟网卡,以控制所述第二类命名空间中的进程依次通过所述第四虚拟网卡、第三虚拟网卡和所述Linux桥连接至所述预置物理网卡。
6.根据权利要求5所述的网络资源的隔离系统,其特征在于,还包括:
获取单元,用于获取用户预设的网络通信机制。
7.根据权利要求5所述的网络资源的隔离系统,其特征在于,所述创建单元还用于:
将所述Linux桥连接至所述第二虚拟网卡,以控制所述第一类命名空间中的进程依次通过所述第一虚拟网卡、第二虚拟网卡和所述Linux桥连接至所述预置物理网卡。
8.一种移动终端,其特征在于,包括:如权利要求5至7中任一项所述的网络资源的隔离系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510543304.7A CN105187423B (zh) | 2015-08-28 | 2015-08-28 | 网络资源的隔离方法、网络资源的隔离系统和移动终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510543304.7A CN105187423B (zh) | 2015-08-28 | 2015-08-28 | 网络资源的隔离方法、网络资源的隔离系统和移动终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105187423A CN105187423A (zh) | 2015-12-23 |
| CN105187423B true CN105187423B (zh) | 2019-04-12 |
Family
ID=54909267
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510543304.7A Expired - Fee Related CN105187423B (zh) | 2015-08-28 | 2015-08-28 | 网络资源的隔离方法、网络资源的隔离系统和移动终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105187423B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110011984B (zh) * | 2019-03-19 | 2021-07-06 | 西安微电子技术研究所 | 一种基于rest和rpc的分布式集群系统及方法 |
| CN111897551B (zh) * | 2020-08-03 | 2021-07-02 | 汇链通供应链科技(上海)有限公司 | 一种云环境下快速克隆软件环境的平台及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065125A (zh) * | 2010-11-18 | 2011-05-18 | 广州致远电子有限公司 | 一种嵌入式ssl vpn的实现方法 |
| CN104331329A (zh) * | 2014-09-30 | 2015-02-04 | 上海斐讯数据通信技术有限公司 | 支持域管理的移动办公安全系统及方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7512957B2 (en) * | 2004-12-03 | 2009-03-31 | Microsoft Corporation | Interface infrastructure for creating and interacting with web services |
| US7447896B2 (en) * | 2005-12-12 | 2008-11-04 | Microsoft Corporation | OS mini-boot for running multiple environments |
| CN100468330C (zh) * | 2007-03-30 | 2009-03-11 | 腾讯科技(深圳)有限公司 | 一种脚本内核管理方法及系统 |
| CN104270317B (zh) * | 2014-09-12 | 2018-01-16 | 普联技术有限公司 | 一种路由器运行应用程序的控制方法、系统及路由器 |
-
2015
- 2015-08-28 CN CN201510543304.7A patent/CN105187423B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065125A (zh) * | 2010-11-18 | 2011-05-18 | 广州致远电子有限公司 | 一种嵌入式ssl vpn的实现方法 |
| CN104331329A (zh) * | 2014-09-30 | 2015-02-04 | 上海斐讯数据通信技术有限公司 | 支持域管理的移动办公安全系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105187423A (zh) | 2015-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103929492B (zh) | 业务链负载均衡方法及其装置、系统 | |
| CN104937572B (zh) | 用于业务和/或工作负荷处理的方法和装置 | |
| CN103500191B (zh) | 一种流表配置、查询、表项删除方法及装置 | |
| US20140379928A1 (en) | Method for implementing network using distributed virtual switch, apparatus for performing the same, and network system based on distributed virtual switch | |
| CN104503831B (zh) | 设备优化方法及装置 | |
| US10164908B2 (en) | Filtration of network traffic using virtually-extended ternary content-addressable memory (TCAM) | |
| US9942106B2 (en) | Network broker | |
| CN105516960A (zh) | 无感知认证方法系统,基于该方法系统的管理方法、系统 | |
| CN105960784A (zh) | 用于在云中创建业务链和虚拟网络的系统和方法 | |
| TWI457027B (zh) | 針對舊有應用程式和非舊有應用程式提供智慧無線電設備選擇的方法和裝置 | |
| CN106713684B (zh) | 统一通信客户端账号与话机的号码的绑定方法及设备 | |
| CN108563697A (zh) | 一种数据处理方法、装置和存储介质 | |
| CN105187423B (zh) | 网络资源的隔离方法、网络资源的隔离系统和移动终端 | |
| CN105791073A (zh) | 一种虚拟化网络中业务部署的方法和装置 | |
| CN105591805B (zh) | 一种修改服务链配置的方法和装置 | |
| CN106209423B (zh) | 虚拟桌面分配方法及装置 | |
| CN106130926B (zh) | 一种报文的处理方法及装置 | |
| EP3280102B1 (en) | Optical path allocation method and apparatus | |
| CN105636151B (zh) | 一种网络连接方法及电子设备 | |
| CN104994599B (zh) | 一种基于多个wlan设备组成的wifi互联系统 | |
| CN104468836B (zh) | 虚拟磁盘创建方法及装置及分布式存储系统 | |
| US20120173686A1 (en) | Mobility aware cloud provisioning | |
| CN105812434B (zh) | 用户手持设备虚拟化后的业务链控制方法及装置 | |
| CN105871677B (zh) | 应用间共享vpn服务的方法及装置 | |
| CN103731363B (zh) | 互联网流量控制方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190412 Termination date: 20210828 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |