CN111294293B - 一种基于用户态协议栈的网络隔离方法和装置 - Google Patents

一种基于用户态协议栈的网络隔离方法和装置 Download PDF

Info

Publication number
CN111294293B
CN111294293B CN201811497871.3A CN201811497871A CN111294293B CN 111294293 B CN111294293 B CN 111294293B CN 201811497871 A CN201811497871 A CN 201811497871A CN 111294293 B CN111294293 B CN 111294293B
Authority
CN
China
Prior art keywords
protocol stack
user mode
network
isolation space
mode protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811497871.3A
Other languages
English (en)
Other versions
CN111294293A (zh
Inventor
程杜勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wangsu Science and Technology Co Ltd
Original Assignee
Wangsu Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wangsu Science and Technology Co Ltd filed Critical Wangsu Science and Technology Co Ltd
Priority to CN201811497871.3A priority Critical patent/CN111294293B/zh
Priority to PCT/CN2019/074459 priority patent/WO2020113817A1/zh
Priority to EP19893260.0A priority patent/EP3893451A4/en
Priority to US17/288,978 priority patent/US20210392091A1/en
Publication of CN111294293A publication Critical patent/CN111294293A/zh
Application granted granted Critical
Publication of CN111294293B publication Critical patent/CN111294293B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • H04L49/901Buffering arrangements using storage descriptor, e.g. read or write pointers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • G06F12/10Address translation
    • G06F12/1072Decentralised address translation, e.g. in distributed shared memory systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • G06F12/10Address translation
    • G06F12/109Address translation for multiple virtual address spaces, e.g. segmentation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/145Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being virtual, e.g. for virtual blocks or segments before a translation mechanism
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1491Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • H04L49/9063Intermediate storage in different physical parts of a node or terminal
    • H04L49/9068Intermediate storage in different physical parts of a node or terminal in the network interface card
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • H04L69/162Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/0223User address space allocation, e.g. contiguous or non contiguous base addressing
    • G06F12/0284Multiple user address space allocation, e.g. using different base addresses
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1032Reliability improvement, data loss prevention, degraded operation etc
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1041Resource optimization
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/15Use in a specific computing environment
    • G06F2212/154Networked environment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/17Embedded application
    • G06F2212/174Telecommunications system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/65Details of virtual memory and virtual address translation
    • G06F2212/657Virtual address space management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)
  • Communication Control (AREA)

Abstract

本发明公开了一种基于用户态协议栈的网络隔离方法和装置,属于网络通信技术领域。所述方法包括:在用户态协议栈的底层网卡接口处,为每个网卡添加用于绑定网络隔离空间的隔离空间指针;当业务程序初始化时,基于所述用户态协议栈设置多个具备独立的协议栈私有表项的用户态协议栈网络隔离空间;通过所述每个网卡的隔离空间指针为所述每个网卡分别指定一个对应的用户态协议栈网络隔离空间;对于从任一网卡接收的业务数据,通过所述网卡对应的用户态协议栈网络隔离空间的协议栈私有表项,对所述业务数据进行数据处理。采用本发明,可以对基于用户态协议栈的业务程序实现网络隔离。

Description

一种基于用户态协议栈的网络隔离方法和装置
技术领域
本发明涉及网络通信技术领域,特别涉及一种基于用户态协议栈的网络隔离方法和装置。
背景技术
网络设备内部的网络隔离技术是一种通过网络设备上的不同网卡接收业务数据,并将业务数据存放在不同的网络隔离空间里进行处理的技术,由于网络隔离空间之间完全隔离,故而各个网络隔离空间内的业务程序互不干扰,从而可以实现业务程序的稳定并发,保证业务处理过程中的数据安全。
Linux系统基于Namespace机制提供了一种内核级别环境隔离的方法,其中,网络命名空间(Network Namespace)可以用来实现上述网络设备内部的网络隔离效果,从逻辑上讲,每个网络命名空间可以理解为网络协议栈的副本,提供了一份独立的网络环境,类似独立的系统一样具备独立的路由选择表、邻接表、Netfilter表、网络套接字等网络资源。
发明人发现现有技术至少存在以下问题:
近年来越来越多的业务程序依托于用户态协议栈运行,而用户态协议栈部署在用户空间,因此现有的基于内核的网络隔离技术无法直接适用于用户态协议栈的业务程序。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种基于用户态协议栈的网络隔离方法和装置。所述技术方案如下:
第一方面,提供了一种基于用户态协议栈的网络隔离方法,所述方法包括:
在用户态协议栈的底层网卡接口处,为每个网卡添加用于绑定网络隔离空间的隔离空间指针;
当业务程序初始化时,基于所述用户态协议栈设置多个具备独立的协议栈私有表项的用户态协议栈网络隔离空间;
通过所述每个网卡的隔离空间指针为所述每个网卡分别指定一个对应的用户态协议栈网络隔离空间;
对于从任一网卡接收的业务数据,通过所述网卡对应的用户态协议栈网络隔离空间的协议栈私有表项,对所述业务数据进行数据处理。
可选的,所述对于任一网卡接收的业务数据,通过所述网卡对应的用户态协议栈网络隔离空间的协议栈私有表项,对所述业务数据进行数据处理,包括:
当从目标网卡接收到业务数据时,根据所述目标网卡的隔离空间指针确定目标用户态协议栈网络隔离空间;
调用所述目标用户态协议栈网络隔离空间的协议栈私有表项,基于所述用户态协议栈对所述业务数据执行协议栈处理;
将协议栈处理后得到的业务数据提供给所述业务程序,基于所述业务程序对所述业务数据执行业务处理。
可选的,所述基于所述业务程序对所述业务数据执行业务处理,包括:
确定所述目标用户态协议栈网络隔离空间对应的业务程序配置文件的业务处理逻辑,按照所述业务处理逻辑基于所述业务程序对所述业务数据执行业务处理。
可选的,所述方法还包括:
加载添加有目标用户态协议栈网络隔离空间的空间标识的隔离空间管理工具;
通过所述隔离空间管理工具,以共享内存的方式管理所述目标用户态协议栈网络隔离空间对应的业务程序配置文件。
可选的,所述方法还包括:
为所述用户态协议栈的套接字结构体,添加用于绑定网络隔离空间的隔离空间指针;
当所述业务程序创建目标套接字时,通过所述目标套接字的套接字结构体的隔离空间指针指定对应的目标用户态协议栈网络隔离空间;
对于调用所述目标套接字时生成的业务数据,通过所述目标用户态协议栈网络隔离空间的协议栈私有表项,对所述业务数据进行数据处理。
可选的,所述方法还包括:
加载添加有目标空间标识的隔离空间管理工具;
通过所述隔离空间管理工具,以共享内存的方式管理所述目标空间标识对应的用户态协议栈网络隔离空间的协议栈私有表项。
第二方面,提供了一种基于用户态协议栈的网络隔离装置,所述装置包括:
改造模块,用于在用户态协议栈的底层网卡接口处,为每个网卡添加用于绑定网络隔离空间的隔离空间指针;
设置模块,用于当业务程序初始化时,基于所述用户态协议栈设置多个具备独立的协议栈私有表项的用户态协议栈网络隔离空间;
绑定模块,用于通过所述每个网卡的隔离空间指针为所述每个网卡分别指定一个对应的用户态协议栈网络隔离空间;
处理模块,用于对于从任一网卡接收的业务数据,通过所述网卡对应的用户态协议栈网络隔离空间的协议栈私有表项,对所述业务数据进行数据处理。
可选的,所述处理模块,具体用于:
当从目标网卡接收到业务数据时,根据所述目标网卡的隔离空间指针确定目标用户态协议栈网络隔离空间;
调用所述目标用户态协议栈网络隔离空间的协议栈私有表项,基于所述用户态协议栈对所述业务数据执行协议栈处理;
将协议栈处理后得到的业务数据提供给所述业务程序,基于所述业务程序对所述业务数据执行业务处理。
可选的,所述处理模块,具体用于:
确定所述目标用户态协议栈网络隔离空间对应的业务程序配置文件的业务处理逻辑,按照所述业务处理逻辑基于所述业务程序对所述业务数据执行业务处理。
可选的,所述装置还包括:
加载模块,用于加载添加有目标用户态协议栈网络隔离空间的空间标识的隔离空间管理工具;
管理模块,用于通过所述隔离空间管理工具,以共享内存的方式管理所述目标用户态协议栈网络隔离空间对应的业务程序配置文件。
可选的,所述改造模块还用于为所述用户态协议栈的套接字结构体,添加用于绑定网络隔离空间的隔离空间指针;
所述绑定模块还用于当所述业务程序创建目标套接字时,通过所述目标套接字的套接字结构体的隔离空间指针指定对应的目标用户态协议栈网络隔离空间;
所述处理模块还用于对于调用所述目标套接字时生成的业务数据,通过所述目标用户态协议栈网络隔离空间的协议栈私有表项,对所述业务数据进行数据处理。
可选的,所述装置还包括:
加载模块,用于加载添加有目标空间标识的隔离空间管理工具;
管理模块,用于通过所述隔离空间管理工具,以共享内存的方式管理所述目标空间标识对应的用户态协议栈网络隔离空间的协议栈私有表项。
第三方面,提供了一种网络设备,所述网络设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如第一方面所述的基于用户态协议栈的网络隔离方法。
第四方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如第一方面所述的基于用户态协议栈的网络隔离方法。
本发明实施例提供的技术方案带来的有益效果是:
本发明实施例中,在用户态协议栈的底层网卡接口处,为每个网卡添加用于绑定网络隔离空间的隔离空间指针;当业务程序初始化时,基于用户态协议栈设置多个具备独立的协议栈私有表项的用户态协议栈网络隔离空间;通过每个网卡的隔离空间指针为每个网卡分别指定一个对应的用户态协议栈网络隔离空间;对于从任一网卡接收的业务数据,通过网卡对应的用户态协议栈网络隔离空间的协议栈私有表项,对业务数据进行数据处理。这样,通过隔离空间指针的方式,建立网卡和用户态协议栈网络隔离空间的关联,从而可以针对不同网卡接收的业务数据,使用不同用户态协议栈网络隔离空间指定独立的协议栈私有表项进行处理,相互之间互不干扰,实现了基于用户态协议栈的网络隔离。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种基于用户态协议栈的网络隔离方法流程图;
图2是本发明实施例提供的一种基于用户态协议栈的网络隔离装置结构示意图;
图3是本发明实施例提供的一种网络设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例提供了一种基于用户态协议栈的网络隔离方法,该方法的执行主体可以是任意具备业务程序运行功能的网络设备,具体可以理解为业务提供方的后台服务器。其中,网络设备上可以设置有用户态协议栈,代替内核态协议栈实现对待收发的业务数据进行处理。网络设备可以运行有基于用户态协议栈的业务程序,如nginx、haproxy、httpserver等,这些业务程序运行在用户空间,通过用户态协议栈及相应的网络隔离技术可以满足这些业务程序的高性能以及高并发需求。网络设备中可以包括处理器、存储器、收发器,处理器可以用于进行下述流程中的基于用户态协议栈的网络隔离的处理,存储器可以用于存储下述处理过程中需要的数据以及产生的数据,收发器可以用于接收和发送下述处理过程中的相关数据。
下面将结合具体实施方式,对图1所示的处理流程进行详细的说明,内容可以如下:
步骤101,在用户态协议栈的底层网卡接口处,为每个网卡添加用于绑定网络隔离空间的隔离空间指针。
在实施中,为了在用户态协议栈上实现网络隔离技术,达到不同网卡接收的业务数据到达不同网络隔离空间的目的,需要先对用户态协议栈进行改造。具体的,可以先确定用户态协议栈的底层网卡接口,然后在该底层网卡接口处,为每个网卡添加一个用于绑定网络隔离空间的隔离空间指针,该隔离空间指针可以用于将每个网卡绑定到一个具体的网络隔离空间。本步骤的处理可以由网络设备侧的技术人员控制网络设备实现,也可以由网络设备基于预设的用户态协议栈的改造程序自行完成的。
步骤102,当业务程序初始化时,基于用户态协议栈设置多个具备独立的协议栈私有表项的用户态协议栈网络隔离空间。
在实施中,安装在网络设备上的业务程序在首次启动或者故障重启时,可以进行初始化操作,这时,网络设备可以加载业务程序的协议栈配置文件,调用用户态协议栈,创建指定数目个(协议栈配置文件中设定的)用户态协议栈网络隔离空间。这些用户态协议栈网络隔离空间均具备独立的协议栈私有表项,即每个用户态协议栈网络隔离空间的协议栈私有表项均与其它用户态协议栈网络隔离空间的协议栈私有表项相同、部分相同或完全不同,其中,每个用户态协议栈网络隔离空间具备私有的隔离空间地址,协议栈私有表项可以包含ip地址表、路由表、socket表、连接跟踪表等用户态协议栈对业务数据进行数据处理时所需要调用的网络参数表项。
步骤103,通过每个网卡的隔离空间指针为每个网卡分别指定一个对应的用户态协议栈网络隔离空间。
在实施中,业务程序初始化时,网络设备在设置了多个用户态协议栈网络隔离空间之后,可以同样基于业务程序的协议栈配置文件,通过每个网卡的隔离空间指针为每个网卡分别指定一个对应的用户态协议栈网络隔离空间,即设置每个网卡的隔离空间指针指向一个用户态协议栈网络隔离空间。此处,一个网卡只能对应一个用户态协议栈网络隔离空间,而一个用户态协议栈网络隔离空间则可以对应多个网卡,网卡与用户态协议栈网络隔离空间的具体对应关系则在上述协议栈配置文件中设定。
步骤104,对于从任一网卡接收的业务数据,通过网卡对应的用户态协议栈网络隔离空间的协议栈私有表项,对业务数据进行数据处理。
在实施中,业务程序在运行的过程中,网络设备可以从网卡接收到业务程序的业务数据,对于接收到的业务数据,网络设备可以先确定接收该业务数据的网卡,然后查找到该网卡对应的用户态协议栈网络隔离空间,再通过该用户态协议栈网络隔离空间的协议栈私有表项,使用用户态协议栈以及业务程序对业务数据进行数据处理。
可选的,可以先通过用户态协议栈对业务数据进行协议栈处理,然后再将业务数据交由业务程序执行业务处理,相应的,步骤104的处理可以如下:
当从目标网卡接收到业务数据时,根据目标网卡的隔离空间指针确定目标用户态协议栈网络隔离空间;
调用目标用户态协议栈网络隔离空间的协议栈私有表项,基于用户态协议栈对业务数据执行协议栈处理;
将协议栈处理后得到的业务数据提供给业务程序,基于业务程序对业务数据执行业务处理。
在实施中,以目标网卡为例,网络设备在为每个网卡指定用户态协议栈网络隔离空间后,在业务程序运行过程中,当网络设备从目标网卡接收到业务数据时,可以根据目标网卡的隔离空间指针确定目标用户态协议栈网络隔离空间。之后,在使用用户态协议栈对业务数据执行协议栈处理的过程中,如果需要用到具体的网络参数表项时,网络设备则可以调用目标用户态协议栈网络隔离空间的协议栈私有表项,然后使用该协议栈私有表项继续进行对业务数据的协议栈处理。接下来,在协议栈处理完成后,网络设备可以将协议栈处理后得到的业务数据提供给业务程序,然后基于业务程序对业务数据进行业务处理。可以理解,多个用户态协议栈网络隔离空间的协议栈处理,均可以分为公共的协议栈处理和各用户态协议栈网络隔离空间私有的协议栈处理,而无论公共的协议栈处理还是私有的协议栈处理,均可以由同一个用户态协议栈来实现,其中私有的协议栈处理具体通过调用不同的协议栈私有表项来实现,网络设备无需创建多份用户态协议栈的实例,从而可以节省系统资源的消耗,降低用户态协议栈的管理复杂度。
可选的,不同用户态协议栈网络隔离空间对应的业务处理也可以不同,相应的,对业务数据的业务处理具体可以如下:确定目标用户态协议栈网络隔离空间对应的业务程序配置文件的业务处理逻辑,按照所述业务处理逻辑基于业务程序对业务数据执行业务处理。
在实施中,同样以目标网卡接收到的业务数据为例,网络设备在将经协议栈处理后得到的业务数据提供给业务程序后,可以确定目标用户态协议栈网络隔离空间对应的业务程序配置文件的业务处理逻辑,然后通过业务程序来执行该业务处理逻辑,从而实现对业务数据的业务处理。需要说明的是,在运行业务程序前,同样需要对业务程序进行改造,以便对该业务程序使用网络隔离技术,具体的,可以创建多份业务程序配置文件,每个业务程序配置文件对应一个用户态协议栈网络隔离空间,不同业务程序配置文件中的业务处理、程序属性配置、程序启动参数等均相互隔离,互不干扰。业务程序在初始化时,可以加载所有业务程序配置文件,并存储每个业务程序配置文件的业务处理逻辑,这样,当需要执行不同用户态协议栈网络隔离空间对应的业务处理时,可以由同一个业务程序按照不同的业务处理逻辑来实现,网络设备无需针对每个用户态协议栈网络隔离空间均启动一个独立的业务程序,从而可以节省系统资源的消耗,降低业务程序的管理复杂度。
可选的,可以对隔离空间管理工具进行一定改造后,通过隔离空间管理工具管理业务程序配置文件,相应的处理可以如下:加载添加有目标用户态协议栈网络隔离空间的空间标识的隔离空间管理工具;通过隔离空间管理工具,以共享内存的方式管理目标用户态协议栈网络隔离空间对应的业务程序配置文件。
在实施中,可以对现有的适用在Linux内核级别的网络隔离技术的隔离空间管理工具进行改造,即在隔离空间管理工具中添加用户态协议栈网络隔离空间的空间标识这一参数。这样,以目标用户态协议栈网络隔离空间为例,网络设备可以加载添加有目标用户态协议栈网络隔离空间的空间标识的隔离空间管理工具,然后通过该隔离空间管理工具,以共享内存的方式实现隔离空间管理工具与业务程序的通讯,从而可以实现对目标用户态协议栈网络隔离空间对应的业务程序配置文件进行管理。
可选的,可以通过对套接字结构体的改造,来实现基于用户态协议栈上的网络隔离技术,相应的处理可以如下:为用户态协议栈的套接字结构体,添加用于绑定网络隔离空间的隔离空间指针;当业务程序创建目标套接字时,通过目标套接字的套接字结构体的隔离空间指针指定对应的目标用户态协议栈网络隔离空间;对于调用目标套接字时生成的业务数据,通过目标用户态协议栈网络隔离空间的协议栈私有表项,对业务数据进行数据处理。
在实施中,可以预先对用户态协议栈的套接字结构体进行改造,即在套接字结构体中添加用于绑定网络隔离空间的隔离空间指针,该隔离空间指针可以用于将套接字函数操作绑定到一个具体的网络隔离空间。之后,当业务程序创建目标套接字时,可以基于业务程序配置文件添加某一用户态协议栈网络隔离空间(如目标用户态协议栈网络隔离空间)的空间标识,这样,可以通过目标套接字的套接字结构体的隔离空间指针为目标套接字指定对应的目标用户态协议栈网络隔离空间。进一步的,对于调用目标套接字时生成的业务数据,网络设备可以通过目标用户态协议栈网络隔离空间的协议栈私有表项,对业务数据进行数据处理。具体来讲,业务程序在生成业务数据后,如果需要以报文的形式发送该业务数据,则可以通过调用已创建的目标套接字,将业务数据递交给用户态协议栈进行协议栈处理。在处理过程中,网络设备可以根据目标套接字确定对应的目标用户态协议栈网络隔离空间,然后调用目标用户态协议栈网络隔离空间的协议栈私有表项来进行相关的协议栈处理,最后可以将业务数据封装为报文,然后通过目标用户态协议栈网络隔离空间对应的网卡发送报文,从而可以在发送业务数据的过程中实现网络隔离。
可选的,可以对隔离空间管理工具进行一定改造后,通过隔离空间管理工具管理用户态协议栈网络隔离空间的协议栈私有表项,相应的处理可以如下:加载添加有目标空间标识的隔离空间管理工具;通过隔离空间管理工具,以共享内存的方式管理目标空间标识对应的用户态协议栈网络隔离空间的协议栈私有表项。
在实施中,可以对现有的适用在Linux内核级别的网络隔离技术的隔离空间管理工具(如ifconfig、ip等工具)进行改造,即在隔离空间管理工具中添加用户态协议栈网络隔离空间的空间标识这一参数。这样,网络设备可以加载添加有目标空间标识的隔离空间管理工具,然后可以通过该隔离空间管理工具,以共享内存的方式实现隔离空间管理工具与目标空间标识对应的用户态协议栈网络隔离空间的通讯,从而可以实现对该用户态协议栈网络隔离空间的协议栈私有表项进行管理。
本发明实施例中,在用户态协议栈的底层网卡接口处,为每个网卡添加用于绑定网络隔离空间的隔离空间指针;当业务程序初始化时,基于用户态协议栈设置多个具备独立的协议栈私有表项的用户态协议栈网络隔离空间;通过每个网卡的隔离空间指针为每个网卡分别指定一个对应的用户态协议栈网络隔离空间;对于从任一网卡接收的业务数据,通过网卡对应的用户态协议栈网络隔离空间的协议栈私有表项,对业务数据进行数据处理。这样,通过隔离空间指针的方式,建立网卡和用户态协议栈网络隔离空间的关联,从而可以针对不同网卡接收的业务数据,使用不同用户态协议栈网络隔离空间指定独立的协议栈私有表项进行处理,相互之间互不干扰,实现了基于用户态协议栈的网络隔离。
基于相同的技术构思,本发明实施例还提供了一种基于用户态协议栈的网络隔离装置,如图2所示,所述装置包括
改造模块201,用于在用户态协议栈的底层网卡接口处,为每个网卡添加用于绑定网络隔离空间的隔离空间指针;
设置模块202,用于当业务程序初始化时,基于所述用户态协议栈设置多个具备独立的协议栈私有表项的用户态协议栈网络隔离空间;
绑定模块203,用于通过所述每个网卡的隔离空间指针为所述每个网卡分别指定一个对应的用户态协议栈网络隔离空间;
处理模块204,用于对于从任一网卡接收的业务数据,通过所述网卡对应的用户态协议栈网络隔离空间的协议栈私有表项,对所述业务数据进行数据处理。
可选的,所述处理模块204,具体用于:
当从目标网卡接收到业务数据时,根据所述目标网卡的隔离空间指针确定目标用户态协议栈网络隔离空间;
调用所述目标用户态协议栈网络隔离空间的协议栈私有表项,基于所述用户态协议栈对所述业务数据执行协议栈处理;
将协议栈处理后得到的业务数据提供给所述业务程序,基于所述业务程序对所述业务数据执行业务处理。
可选的,所述处理模块204,具体用于:
确定所述目标用户态协议栈网络隔离空间对应的业务程序配置文件的业务处理逻辑,按照所述业务处理逻辑基于所述业务程序对所述业务数据执行业务处理。
可选的,所述装置还包括:
加载模块,用于加载添加有目标用户态协议栈网络隔离空间的空间标识的隔离空间管理工具;
管理模块,用于通过所述隔离空间管理工具,以共享内存的方式管理所述目标用户态协议栈网络隔离空间对应的业务程序配置文件。
可选的,所述改造模块201还用于为所述用户态协议栈的套接字结构体,添加用于绑定网络隔离空间的隔离空间指针;
所述绑定模块203还用于当所述业务程序创建目标套接字时,通过所述目标套接字的套接字结构体的隔离空间指针指定对应的目标用户态协议栈网络隔离空间;
所述处理模块204还用于对于调用所述目标套接字时生成的业务数据,通过所述目标用户态协议栈网络隔离空间的协议栈私有表项,对所述业务数据进行数据处理。
可选的,所述装置还包括:
加载模块,用于加载添加有目标空间标识的隔离空间管理工具;
管理模块,用于通过所述隔离空间管理工具,以共享内存的方式管理所述目标空间标识对应的用户态协议栈网络隔离空间的协议栈私有表项。
本发明实施例中,在用户态协议栈的底层网卡接口处,为每个网卡添加用于绑定网络隔离空间的隔离空间指针;当业务程序初始化时,基于用户态协议栈设置多个具备独立的协议栈私有表项的用户态协议栈网络隔离空间;通过每个网卡的隔离空间指针为每个网卡分别指定一个对应的用户态协议栈网络隔离空间;对于从任一网卡接收的业务数据,通过网卡对应的用户态协议栈网络隔离空间的协议栈私有表项,对业务数据进行数据处理。这样,通过隔离空间指针的方式,建立网卡和用户态协议栈网络隔离空间的关联,从而可以针对不同网卡接收的业务数据,使用不同用户态协议栈网络隔离空间指定独立的协议栈私有表项进行处理,相互之间互不干扰,实现了基于用户态协议栈的网络隔离。
需要说明的是:上述实施例提供的基于用户态协议栈的网络隔离装置在实现基于用户态协议栈的网络隔离时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的基于用户态协议栈的网络隔离装置与基于用户态协议栈的网络隔离方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图3是本发明实施例提供的网络设备的结构示意图。该网络设备300可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对网络设备300中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在网络设备300上执行存储介质330中的一系列指令操作。
网络设备300还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,一个或一个以上键盘356,和/或,一个或一个以上操作系统341,例如Windows Server,Mac OS X,Unix,Linux,FreeBSD等等。
网络设备300可以包括有存储器,以及一个或者一个以上的程序,其中一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行所述一个或者一个以上程序包含用于进行上述基于用户态协议栈的网络隔离指令。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (14)

1.一种基于用户态协议栈的网络隔离方法,其特征在于,所述方法包括:
在用户态协议栈的底层网卡接口处,为每个网卡添加用于绑定网络隔离空间的隔离空间指针;
当业务程序初始化时,基于所述用户态协议栈设置多个具备独立的协议栈私有表项的用户态协议栈网络隔离空间;
通过所述每个网卡的隔离空间指针为所述每个网卡分别指定一个对应的用户态协议栈网络隔离空间;
对于从任一网卡接收的业务数据,通过所述网卡对应的用户态协议栈网络隔离空间的协议栈私有表项,对所述业务数据进行数据处理。
2.根据权利要求1所述的方法,其特征在于,所述对于任一网卡接收的业务数据,通过所述网卡对应的用户态协议栈网络隔离空间的协议栈私有表项,对所述业务数据进行数据处理,包括:
当从目标网卡接收到业务数据时,根据所述目标网卡的隔离空间指针确定目标用户态协议栈网络隔离空间;
调用所述目标用户态协议栈网络隔离空间的协议栈私有表项,基于所述用户态协议栈对所述业务数据执行协议栈处理;
将协议栈处理后得到的业务数据提供给所述业务程序,基于所述业务程序对所述业务数据执行业务处理。
3.根据权利要求2所述的方法,其特征在于,所述基于所述业务程序对所述业务数据执行业务处理,包括:
确定所述目标用户态协议栈网络隔离空间对应的业务程序配置文件的业务处理逻辑,按照所述业务处理逻辑基于所述业务程序对所述业务数据执行业务处理。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
加载添加有目标用户态协议栈网络隔离空间的空间标识的隔离空间管理工具;
通过所述隔离空间管理工具,以共享内存的方式管理所述目标用户态协议栈网络隔离空间对应的业务程序配置文件。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
为所述用户态协议栈的套接字结构体,添加用于绑定网络隔离空间的隔离空间指针;
当所述业务程序创建目标套接字时,通过所述目标套接字的套接字结构体的隔离空间指针指定对应的目标用户态协议栈网络隔离空间;
对于调用所述目标套接字时生成的业务数据,通过所述目标用户态协议栈网络隔离空间的协议栈私有表项,对所述业务数据进行数据处理。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
加载添加有目标用户态协议栈网络隔离空间的空间标识的隔离空间管理工具;
通过所述隔离空间管理工具,以共享内存的方式管理所述目标用户态协议栈网络隔离空间的空间标识对应的用户态协议栈网络隔离空间的协议栈私有表项。
7.一种基于用户态协议栈的网络隔离装置,其特征在于,所述装置包括:
改造模块,用于在用户态协议栈的底层网卡接口处,为每个网卡添加用于绑定网络隔离空间的隔离空间指针;
设置模块,用于当业务程序初始化时,基于所述用户态协议栈设置多个具备独立的协议栈私有表项的用户态协议栈网络隔离空间;
绑定模块,用于通过所述每个网卡的隔离空间指针为所述每个网卡分别指定一个对应的用户态协议栈网络隔离空间;
处理模块,用于对于从任一网卡接收的业务数据,通过所述网卡对应的用户态协议栈网络隔离空间的协议栈私有表项,对所述业务数据进行数据处理。
8.根据权利要求7所述的装置,其特征在于,所述处理模块,具体用于:
当从目标网卡接收到业务数据时,根据所述目标网卡的隔离空间指针确定目标用户态协议栈网络隔离空间;
调用所述目标用户态协议栈网络隔离空间的协议栈私有表项,基于所述用户态协议栈对所述业务数据执行协议栈处理;
将协议栈处理后得到的业务数据提供给所述业务程序,基于所述业务程序对所述业务数据执行业务处理。
9.根据权利要求8所述的装置,其特征在于,所述处理模块,具体用于:
确定所述目标用户态协议栈网络隔离空间对应的业务程序配置文件的业务处理逻辑,按照所述业务处理逻辑基于所述业务程序对所述业务数据执行业务处理。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
加载模块,用于加载添加有目标用户态协议栈网络隔离空间的空间标识的隔离空间管理工具;
管理模块,用于通过所述隔离空间管理工具,以共享内存的方式管理所述目标用户态协议栈网络隔离空间对应的业务程序配置文件。
11.根据权利要求7所述的装置,其特征在于,所述改造模块还用于为所述用户态协议栈的套接字结构体,添加用于绑定网络隔离空间的隔离空间指针;
所述绑定模块还用于当所述业务程序创建目标套接字时,通过所述目标套接字的套接字结构体的隔离空间指针指定对应的目标用户态协议栈网络隔离空间;
所述处理模块还用于对于调用所述目标套接字时生成的业务数据,通过所述目标用户态协议栈网络隔离空间的协议栈私有表项,对所述业务数据进行数据处理。
12.根据权利要求7所述的装置,其特征在于,所述装置还包括:
加载模块,用于加载添加有目标用户态协议栈网络隔离空间的空间标识的隔离空间管理工具;
管理模块,用于通过所述隔离空间管理工具,以共享内存的方式管理所述目标用户态协议栈网络隔离空间的空间标识对应的用户态协议栈网络隔离空间的协议栈私有表项。
13.一种网络设备,其特征在于,所述网络设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至6任一所述的基于用户态协议栈的网络隔离方法。
14.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1至6任一所述的基于用户态协议栈的网络隔离方法。
CN201811497871.3A 2018-12-07 2018-12-07 一种基于用户态协议栈的网络隔离方法和装置 Active CN111294293B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201811497871.3A CN111294293B (zh) 2018-12-07 2018-12-07 一种基于用户态协议栈的网络隔离方法和装置
PCT/CN2019/074459 WO2020113817A1 (zh) 2018-12-07 2019-02-01 一种基于用户态协议栈的网络隔离方法和装置
EP19893260.0A EP3893451A4 (en) 2018-12-07 2019-02-01 METHOD AND APPARATUS FOR NETWORK DISCONNECTION BASED ON A USER MODE PROTOCOL STACK
US17/288,978 US20210392091A1 (en) 2018-12-07 2019-02-01 User-mode protocol stack-based network isolation method and device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811497871.3A CN111294293B (zh) 2018-12-07 2018-12-07 一种基于用户态协议栈的网络隔离方法和装置

Publications (2)

Publication Number Publication Date
CN111294293A CN111294293A (zh) 2020-06-16
CN111294293B true CN111294293B (zh) 2021-08-10

Family

ID=70974488

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811497871.3A Active CN111294293B (zh) 2018-12-07 2018-12-07 一种基于用户态协议栈的网络隔离方法和装置

Country Status (4)

Country Link
US (1) US20210392091A1 (zh)
EP (1) EP3893451A4 (zh)
CN (1) CN111294293B (zh)
WO (1) WO2020113817A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114205185B (zh) * 2020-09-16 2023-03-24 厦门网宿有限公司 一种控制报文的代理方法及装置
CN113485823A (zh) * 2020-11-23 2021-10-08 中兴通讯股份有限公司 数据传输方法、装置、网络设备、存储介质
CN112422453B (zh) * 2020-12-09 2022-05-24 新华三信息技术有限公司 一种报文处理的方法、装置、介质及设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102402487A (zh) * 2011-11-15 2012-04-04 北京天融信科技有限公司 一种零拷贝接收报文的方法和系统
CN103778368A (zh) * 2014-01-23 2014-05-07 重庆邮电大学 一种基于系统虚拟化技术的进程安全隔离方法
CN108475251A (zh) * 2016-01-22 2018-08-31 环球互连及数据中心公司 针对容器的虚拟网络、热交换、热缩放与灾难恢复

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6212574B1 (en) * 1997-04-04 2001-04-03 Microsoft Corporation User mode proxy of kernel mode operations in a computer operating system
US20120278878A1 (en) * 2011-04-27 2012-11-01 International Business Machines Corporation Systems and methods for establishing secure virtual private network communications using non-privileged vpn client
US9231846B2 (en) * 2011-11-22 2016-01-05 Microsoft Technology Licensing, Llc Providing network capability over a converged interconnect fabric
US9612877B1 (en) * 2012-07-12 2017-04-04 Cisco Technology, Inc. High performance computing in a virtualized environment
CN102999330B (zh) * 2012-11-12 2015-10-14 北京神州绿盟信息安全科技股份有限公司 基于用户态网卡驱动的网卡配置方法及装置
CN104639578B (zh) * 2013-11-08 2018-05-11 华为技术有限公司 多协议栈负载均衡方法及装置
CN104168257B (zh) * 2014-01-28 2018-08-17 广东电网公司电力科学研究院 基于非网络方式的数据隔离装置的数据隔离方法与系统
CN106789099B (zh) * 2016-11-16 2020-09-29 深圳市捷视飞通科技股份有限公司 基于pcie的高速隔离网络方法及终端
CN108429770A (zh) * 2018-06-07 2018-08-21 北京网迅科技有限公司杭州分公司 一种服务器与客户端数据隔离系统及数据传输方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102402487A (zh) * 2011-11-15 2012-04-04 北京天融信科技有限公司 一种零拷贝接收报文的方法和系统
CN103778368A (zh) * 2014-01-23 2014-05-07 重庆邮电大学 一种基于系统虚拟化技术的进程安全隔离方法
CN108475251A (zh) * 2016-01-22 2018-08-31 环球互连及数据中心公司 针对容器的虚拟网络、热交换、热缩放与灾难恢复

Also Published As

Publication number Publication date
WO2020113817A1 (zh) 2020-06-11
US20210392091A1 (en) 2021-12-16
EP3893451A1 (en) 2021-10-13
EP3893451A4 (en) 2022-01-19
CN111294293A (zh) 2020-06-16

Similar Documents

Publication Publication Date Title
CN109343963B (zh) 一种容器集群的应用访问方法、装置及相关设备
US8769040B2 (en) Service providing system, a virtual machine server, a service providing method, and a program thereof
EP4080362A2 (en) Method and apparatus for creating a container
CN111294293B (zh) 一种基于用户态协议栈的网络隔离方法和装置
CN113296792B (zh) 存储方法、装置、设备、存储介质和系统
CN111314799A (zh) 终端系统构架、通信系统及通信方法、存储介质
CN108279979B (zh) 一种为应用程序容器绑定cpu的方法及装置
US9712436B2 (en) Adaptive load balancing for bridged systems
CN110333939B (zh) 任务混合调度方法、装置、调度服务器及资源服务器
CN111124589B (zh) 一种服务发现系统、方法、装置及设备
CN113127150A (zh) 云原生系统的快速部署方法、装置、电子设备和存储介质
CN108073423A (zh) 一种加速器加载方法、系统和加速器加载装置
CN107342929B (zh) 一种新消息通知的发送方法、装置及系统
CN108540408B (zh) 一种基于Openstack的分布式虚拟交换机的管理方法及系统
US8442939B2 (en) File sharing method, computer system, and job scheduler
CN111294220B (zh) 基于nginx的网络隔离配置方法和装置
CN113438295A (zh) 容器组地址分配方法、装置、设备及存储介质
CN111294316B (zh) 基于用户态协议栈虚拟路由器的网络隔离方法和装置
CN116680209A (zh) 基于wasm的多智能合约实例管理方法
CN111669423B (zh) 基于用户态协议栈的网络隔离空间的批量处理方法及系统
CN113612643B (zh) 云手机的网络配置方法、装置、设备以及存储介质
CN111669355B (zh) 一种批量处理nginx网络隔离空间的方法及nginx服务器
CN111669358B (zh) 一种批量处理vrouter网络隔离空间的方法和装置
CN111666110B (zh) 基于用户态协议栈批量处理网络隔离空间的方法和装置
CN111669357B (zh) 一种批量处理haproxy网络隔离空间的方法及haproxy代理服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant