WO2016206171A1

WO2016206171A1 - 一种基于网络隔离的安全连网方法及终端

Info

Publication number: WO2016206171A1
Application number: PCT/CN2015/085873
Authority: WO
Inventors: 胡军杰; 申泽奇
Original assignee: 宇龙计算机通信科技(深圳)有限公司
Priority date: 2015-06-26
Filing date: 2015-07-31
Publication date: 2016-12-29
Also published as: CN105577632A; CN105577632B

Abstract

本发明公开了一种基于网络隔离的安全连网方法及终端。其中的方法包括：根据网络资源，隔离出至少一个第一命名空间(Namespace)和第二命名空间；接收对应一个应用的进程创建请求，所述进程为从外部网络请求数据或向所述外部网络发送数据；根据所述应用的包名所属的集合或发起所述进程创建请求所在的域，确定所述进程属于第二命名空间；通过所述移动数据网络连接外部网络，以请求或发送所述数据。还公开了相应的终端。本发明通过利用内核提供的Namespace机制，隔离出两个以上的相互独立的网络环境，其中在安全的网络环境中，终端只能通过移动数据网络来连接网络，从而可以为终端选择合适的连网方式并保证安全连网，保证终端中的信息安全。

Description

一种基于网络隔离的安全连网方法及终端

本申请要求于2015年06月26日提交中国专利局，申请号为201510367443.9、发明名称为“一种基于网络隔离的安全连网方法及终端”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信技术领域，尤其涉及一种基于网络隔离的安全连网方法及终端。

背景技术

现有智能终端如手机的网络连接策略是在有可用Wi-Fi连接的情况下，优先选择使用Wi-Fi网络，而在Wi-Fi网络不可用的时候，才会去使用运营商网络(2G/3G/4G网络)。随着移动互联网的发展，手机在线支付、手机购物、手机网上银行等电子商务类应用在移动端迅猛发展，而这类应用带来的支付安全问题也日益凸显，如果用户连接到Wi-Fi，会带来安全隐患，比如黑客可以利用Wi-Fi网络，获取用户手机内的照片、个人文档等私密信息，甚至于银行卡密码等敏感信息。如果单纯禁止Wi-Fi连接又会造成用户的使用不方便(毕竟运营商网络流量费用较高，且网速相对于Wi-Fi较慢)。

如何选择连网方式并保证安全连网，成为当前需要解决的技术问题。

发明内容

本发明提供了一种基于网络隔离的安全连网方法及终端，以合适地选择连网方式并保证安全连网，保证终端中的信息安全。

一方面，提供了一种基于网络隔离的安全连网方法，包括：

根据网络资源，隔离出至少一个第一命名空间和第二命名空间，其中，第一命名空间中的进程通过无线局域网或移动数据网络连接外部网络，第二命名空间中的进程通过所述移动数据网络连接外部网络；

接收对应一个应用的进程创建请求，所述进程为从外部网络请求数据或向所述外部网络发送数据；

根据所述应用的包名所属的集合或发起所述进程创建请求所在的域，确定所述进程属于第二命名空间；

通过所述移动数据网络连接外部网络，以请求或发送所述数据。

另一方面，提供了一种终端，所述终端包括：内核、至少一个第一命名空间和第二命名空间；

所述内核包括：

隔离单元，用于根据网络资源，隔离出所述至少一个第一命名空间和第二命名空间，其中，第一命名空间中的进程通过无线局域网或移动数据网络连接外部网络，第二命名空间中的进程通过所述移动数据网络连接外部网络；

第一接收单元，用于接收对应一个应用的进程创建请求，所述进程为从外部网络请求数据或向所述外部网络发送数据；

确定单元，用于根据所述应用的包名所属的集合或发起所述进程创建请求所在的域，确定所述进程属于第二命名空间；

连接单元，用于通过所述移动数据网络连接外部网络，以请求或发送所述数据。

可见，根据本发明提供的一种基于网络隔离的安全连网方法及终端，通过利用内核提供的Namespace机制，隔离出两个以上的相互独立的网络环境，其中在安全的网络环境中，终端只能通过移动数据网络来连接网络，从而可以为终端选择合适的连网方式并保证安全连网，保证终端中的信息安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于网络隔离的安全连网方法的流程示意图；

图2为本发明实施例示例的一种基于网络隔离的安全连网的系统架构图；

图3为对图1所示实施例提供的一种基于网络隔离的安全连网方法进一步详细说明的流程示意图；

图4为本发明实施例提供的一种终端的结构示意图；

图5为对图4所示实施例提供的一种终端进一步详细说明的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，为本发明实施例提供的一种基于网络隔离的安全连网方法的流程示意图，该方法包括以下步骤：

步骤S101，根据网络资源，隔离出至少一个第一命名空间Namespace和第二Namespace，其中，第一Namespace中的进程通过无线局域网或移动数据网络连接外部网络，第二Namespace中的进程通过所述移动数据网络连接外部网络。

Namespace(命名空间)是Linux内核提供的一种资源隔离机制，使用Nasmespace机制后，PID(进程的ID)、IPC(进程间通信)、Network等系统资源不再是全局性的，而是属于特定的Namespace，每个Namespace里面的资源对其他Namespace都是透明的。本实施例主要使用了其中的Network Namespace来进行网络的隔离。一个Network Namespace为进程提供了一个完全独立的网络协议栈的视图，包括网络设备接口，IPv4和IPv6协议栈，IP路由表，防火墙规则，sockets等。一个Network Namespace提供了一份独立的网络环境，就跟一个独立的系统一样。一个物理设备只能存在于一个Network Namespace中，但可以从一个Namespace移动到另一个Namespace中。图2为本发明实施例示例的一种基于网络隔离的安全连网的系统架构图，操作系统或内核根据所需的网络资源隔离出了两个网络Namespace，分别为Network Namespace A和Network Namespace B，其中的wlan0为无线局域网WLAN使用的物理网卡，rmnet0为数据网络使用的物理网卡，进程通过这两个网卡来接收或者向外发送数据包。图中，APP1、APP2、APP3代表对网络安全性要求比较高，这类APP放在Namespace B之后，仅能通过数据流量来上网。

步骤S102，接收对应一个应用的进程创建请求，所述进程为从外部网络请求数据或向所述外部网络发送数据。

如果用户点击某个APP进行连网获取数据或发送数据到外部网络，操作系统或内核会创建一个新的进程，该进程指示从外部网络请求数据或向外部网络发送数据。

步骤S103，根据所述应用的包名所属的集合或发起所述进程创建请求所在的域，确定所述进程属于第二Namespace。

每个APP即每个应用都有一个包名，预先定义多个集合，每个集合为一组应用的包名，集合A中的包名对应的应用都属于Namespace A，集合B中的包名对应的应用都属于Namespace B，因此，根据创建的是哪个应用的进程以及该应用的包名，如果该包名属于集合B，就可以确定该进程属于Namespace B了。

一个终端有多个域，规定通过某个域创建的进程必须通过移动网络连网，因此，就可以根据发起该进程创建请求所在的域，确定该进程属于Namespace B了。

步骤S104，通过所述移动数据网络连接外部网络，以请求或发送所述数据。

确定该要求从外部网络请求数据或向外部网络发送数据的进程属于Namespace B了，就可以通过rmnet0即通过移动数据网络连网，以请求或发送数据了。

根据本发明提供的一种基于网络隔离的安全连网方法，通过利用内核提供的Namespace机制，隔离出两个以上的相互独立的网络环境，其中在安全的网络环境中，终端只能通过移动数据网络来连接网络，从而可以为终端选择合适的连网方式并保证安全连网，保证终端中的信息安全。

请参阅图3，为对图1所示实施例提供的一种基于网络隔离的安全连网方法进一步详细说明的流程示意图，该方法包括以下步骤：

步骤S201，根据网络资源，隔离出至少一个第一命名空间Namespace和第二Namespace，其中，第一Namespace中的进程通过无线局域网或移动数据网络连接外部网络，第二Namespace中的进程通过所述移动数据网络连接外部网络。

步骤S202，接收对应一个应用的进程创建请求，所述进程为从外部网络请求数据或向所述外部网络发送数据。

步骤S203，根据所述应用的包名所属的集合或发起所述进程创建请求所在的域，确定所述进程属于第二Namespace。

步骤S201-S203与图1所示实施例的步骤S101-S103相同，在此不再赘述。

下面详细介绍如何通过所述移动数据网络连接外部网络，以请求或发送所述数据：

步骤S204，将所述进程对应的数据请求发送给与第二Namespace连接的第二虚拟网卡。

步骤S205，所述第二虚拟网卡将所述数据请求发送给与第一Namespace连接的第一虚拟网卡。

步骤S206，所述第一虚拟网卡根据所述数据请求来源于所述第二虚拟网卡，将所述数据请求通过所述移动数据网络发送到外部网络，以及接收所述外部网络通过所述移动数据网络返回的数据，将所述数据发送给所述第二虚拟网卡。

步骤S207，所述第二虚拟网卡将所述数据反馈给所述进程。

步骤S208，接收所述第二虚拟网卡反馈的所述数据。

步骤S209，将所述进程对应的数据发送请求发送给与第二Namespace连接的第二虚拟网卡，所述数据发送请求携带待发送的数据。

步骤S210，所述第二虚拟网卡将所述数据发送请求发送给与第一Namespace连接的第一虚拟网卡。

步骤S211，所述第一虚拟网卡根据所述数据发送请求来源于所述第二虚拟网卡，将所述待发送数据通过所述移动数据网络发送到外部网络。

图2中所示的VETH-A(即第一虚拟网卡)和VETH-B(即第二虚拟网卡)是类型为veth类型的虚拟网络设备(virtual network device)，该设备一般都是成对出现的，从一个veth发出的数据包可以直接到达它的peer veth。veth提供了一种类似管道的抽象，可以在不同的Namespace之间建立隧道。利用虚拟网络设备，可以建立到其他Namespace中的物理设备的桥接。如果不需要连接外部网络，仅仅只需要两个Namespace之间互联，则veth就足够了。

为了连接外部的物理网络，还需要引入Linux bridge，通过给Linux bridge和VETH-B分别分配IP地址，加上相应的路由规则和路由表并结合网络地址转换技术(NAT)，可以实现两个Namespace内的进程通过一个相同的物理网卡rmnet0来访问外部网络。

而对于物理网卡wlan0，如果没有采用veth虚拟网卡和bridge，并配置相应的路由规则和NAT地址转换，Namespace B内的进程是不知道wlan0这个物理网卡的存在的，因此也就不能通过waln0来访问外部网络，也就是说不能使用WIFI网络来上网。

其中，步骤S204-S208为向外部网络请求数据的过程，步骤S209-S211为向外部网络发送数据的过程。

请参阅图4，为本发明实施例提供的一种终端的结构示意图，该终端1000包括：内核100、第一命名空间101、第二命名空间102，该内核100包括：

隔离单元11，用于根据网络资源，隔离出至少一个第一命名空间Namespace和第二Namespace，其中，第一Namespace中的进程通过无线局域网或移动数据网络连接外部网络，第二Namespace中的进程通过所述移动数据网络连接外部网络。

Namespace是Linux内核提供的一种资源隔离机制，使用Nasmespace机制后，PID(进程的ID)、IPC(进程间通信)、Network等系统资源不再是全局性的，而是属于特定的Namespace，每个Namespace里面的资源对其他Namespace都是透明的。本实施例主要使用了其中的Network Namespace来进行网络的隔离。一个Network Namespace为进程提供了一个完全独立的网络协议栈的视图，包括网络设备接口，IPv4和IPv6协议栈，IP路由表，防火墙规则，sockets等。一个Network Namespace提供了一份独立的网络环境，就跟一个独立的系统一样。一个物理设备只能存在于一个Network Namespace中，但可以从一个Namespace移动到另一个Namespace中。图2为本发明实施例示例的一种基于网络隔离的安全连网的系统架构图，隔离单元11根据所需的网络资源隔离出了两个网络Namespace，分别为Network Namespace A和Network Namespace B，其中的wlan0为WIFI使用的物理网卡，rmnet0为数据网络使用的物理网卡，进程通过这两个网卡来接收或者向外发送数据包。图中，APP1、APP2、APP3代表对网络安全性要求比较高，这类APP放在Namespace B之后，仅能通过数据流量来上网。

第一接收单元12，用于接收对应一个应用的进程创建请求，所述进程为从外部网络请求数据或向所述外部网络发送数据。

如果用户点击某个APP进行连网获取数据或发送数据到外部网络，操作系统或内核会创建一个新的进程，该进程指示从外部网络请求数据或向外部网络发送数据。第一接收单元12接收对应一个应用的进程创建请求。

确定单元13，用于根据所述应用的包名所属的集合或发起所述进程创建请求所在的域，确定所述进程属于第二Namespace。

每个APP即每个应用都有一个包名，预先定义多个集合，每个集合为一组应用的包名，集合A中的包名对应的应用都属于Namespace A，集合B中的包名对应的应用都属于Namespace B，因此，确定单元13根据创建的是哪个应用的进程以及该应用的包名，如果该包名属于集合B，就可以确定该进程属于Namespace B了。

连接单元14，用于通过所述移动数据网络连接外部网络，以请求或发送所述数据。

确定该要求从外部网络请求数据或向外部网络发送数据的进程属于Namespace B了，连接单元14就可以通过rmnet0即通过移动数据网络连网，以请求或发送数据了。

根据本发明提供的一种终端，通过利用内核提供的Namespace机制，隔离出两个以上的相互独立的网络环境，其中在安全的网络环境中，终端只能通过移动数据网络来连接网络，从而可以为终端选择合适的连网方式并保证安全连网，保证终端中的信息安全。

请参阅图5，为对图4所示实施例提供的一种终端进一步详细说明的结构示意图，该终端2000包括：内核200、第一虚拟网卡102、以及与第一虚拟网卡102连接的第一命名空间103、第二虚拟网卡104、以及与第二虚拟网卡104连接的第二命名空间105。该内核200包括：

隔离单元21，用于根据网络资源，隔离出至少一个第一命名空间Namespace和第二Namespace，其中，第一Namespace中的进程通过无线局域网或移动数据网络连接外部网络，第二Namespace中的进程通过所述移动数据网络连接外部网络。

第一接收单元22，用于接收对应一个应用的进程创建请求，所述进程为从外部网络请求数据或向所述外部网络发送数据。

确定单元23，用于根据所述应用的包名所属的集合或发起所述进程创建请求所在的域，确定所述进程属于第二Namespace。

隔离单元21、第一接收单元22、确定单元23的功能与图4所示实施例的隔离单元11、第一接收单元12、确定单元13相同，在此不再赘述。

连接单元24，用于通过所述移动数据网络连接外部网络，以请求或发送所述数据。

在本实施例中，连接单元24包括：发送单元241和第二接收单元242。

发送单元241，用于将所述进程对应的数据请求发送给与第二Namespace连接的第二虚拟网卡。

所述第二虚拟网卡104，用于将所述数据请求发送给与第一Namespace连接的第一虚拟网卡。

所述第一虚拟网卡102，用于根据所述数据请求来源于所述第二虚拟网卡，将所述数据请求通过所述移动数据网络发送到外部网络，以及接收所述外部网络通过所述移动数据网络返回的数据，将所述数据发送给所述第二虚拟网卡。

所述第二虚拟网卡104还用于将所述数据反馈给所述进程。

第二接收单元242，用于接收所述第二虚拟网卡反馈的所述数据。

所述发送单元241还用于将所述进程对应的数据发送请求发送给与第二Namespace连接的第二虚拟网卡，所述数据发送请求携带待发送的数据。

所述第二虚拟网卡104还用于将所述数据发送请求发送给与第一Namespace连接的第一虚拟网卡。

所述第一虚拟网卡102还用于根据所述数据发送请求来源于所述第二虚拟网卡，将所述待发送数据通过所述移动数据网络发送到外部网络。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为根据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本发明可以用硬件实现，或固件实现，或它们的组合方式来实现。当使用软件实现时，可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于：计算机可读介质可以包括随机存取存储器(Random Access Memory，RAM)、只读存储器(Read-Only Memory，ROM)、电可擦可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、只读光盘(Compact Disc Read-Only Memory，CD-ROM)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。此外。任何连接可以适当的成为计算机可读介质。例如，如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户线(Digital Subscriber Line，DSL)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或者其他远程源传输的，那么同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在所属介质的定影中。如本发明所使用的，盘(Disk)和碟(disc)包括压缩光碟(CD)、激光碟、光碟、数字通用光碟(DVD)、软盘和蓝光光碟，其中盘通常磁性的复制数据，而碟则用激光来光学的复制数据。上面的组合也应当包括在计算机可读介质的保护范围之内。

总之，以上所述仅为本发明技术方案的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种基于网络隔离的安全连网方法，其特征在于，包括：

根据网络资源，隔离出至少一个第一命名空间和第二命名空间，其中，第一命名空间中的进程通过无线局域网或移动数据网络连接外部网络，第二命名空间中的进程通过所述移动数据网络连接外部网络；

接收对应一个应用的进程创建请求，所述进程为从外部网络请求数据或向所述外部网络发送数据；

根据所述应用的包名所属的集合或发起所述进程创建请求所在的域，确定所述进程属于第二命名空间；

通过所述移动数据网络连接外部网络，以请求或发送所述数据。
如权利要求1所述的方法，其特征在于，所述集合包括一组应用的包名，对应所述集合中的应用的包名的进程属于所述第二命名空间；或

所述第二命名空间对应一个域，所述域内发起的进程属于所述第二命名空间。
如权利要求1或2所述的方法，其特征在于，所述通过所述移动数据网络连接外部网络，以请求所述数据，包括：

将所述进程对应的数据请求发送给与第二命名空间连接的第二虚拟网卡；

所述第二虚拟网卡将所述数据请求发送给与第一命名空间连接的第一虚拟网卡；

所述第一虚拟网卡根据所述数据请求来源于所述第二虚拟网卡，将所述数据请求通过所述移动数据网络发送到外部网络，以及接收所述外部网络通过所述移动数据网络返回的数据，将所述数据发送给所述第二虚拟网卡；

所述第二虚拟网卡将所述数据反馈给所述进程；

接收所述第二虚拟网卡反馈的所述数据。
如权利要求3所述的方法，其特征在于，还包括：

所述第一虚拟网卡若接收到所述外部网络通过所述Wi-Fi返回的数据，将所述数据丢弃。
如权利要求3所述的方法，其特征在于，所述通过所述移动数据网络连接外部网络，以发送所述数据，包括：

将所述进程对应的数据发送请求发送给与第二命名空间连接的第二虚拟网卡，所述数据发送请求携带待发送的数据；

所述第二虚拟网卡将所述数据发送请求发送给与第一命名空间连接的第一虚拟网卡；

所述第一虚拟网卡根据所述数据发送请求来源于所述第二虚拟网卡，将所述待发送数据通过所述移动数据网络发送到外部网络。
一种终端，其特征在于，所述终端包括：内核、至少一个第一命名空间和第二命名空间；

所述内核包括：

隔离单元，用于根据网络资源，隔离出所述至少一个第一命名空间和第二命名空间，其中，第一命名空间中的进程通过无线局域网或移动数据网络连接外部网络，第二命名空间中的进程通过所述移动数据网络连接外部网络；

第一接收单元，用于接收对应一个应用的进程创建请求，所述进程为从外部网络请求数据或向所述外部网络发送数据；

确定单元，用于根据所述应用的包名所属的集合或发起所述进程创建请求所在的域，确定所述进程属于第二命名空间；

连接单元，用于通过所述移动数据网络连接外部网络，以请求或发送所述数据。
如权利要求6所述的终端，其特征在于，所述集合包括一组应用的包名，对应所述集合中的应用的包名的进程属于所述第二命名空间；或

所述第二命名空间对应一个域，所述域内发起的进程属于所述第二命名空间。
如权利要求6或7所述的终端，其特征在于，所述终端还包括第一虚拟网卡和第二虚拟网卡；

所述连接单元包括：

发送单元，用于将所述进程对应的数据请求发送给与第二命名空间连接的第二虚拟网卡；

所述第二虚拟网卡，用于将所述数据请求发送给与第一命名空间连接的第一虚拟网卡；

所述第一虚拟网卡，用于根据所述数据请求来源于所述第二虚拟网卡，将所述数据请求通过所述移动数据网络发送到外部网络，以及接收所述外部网络通过所述移动数据网络返回的数据，将所述数据发送给所述第二虚拟网卡；

所述第二虚拟网卡还用于将所述数据反馈给所述进程；

所述连接单元还包括：

第二接收单元，用于接收所述第二虚拟网卡反馈的数据。
如权利要求8所述的终端，其特征在于：

所述第一虚拟网卡还用于若接收到所述外部网络通过所述Wi-Fi返回的数据，将所述数据丢弃。
如权利要求8所述的终端，其特征在于：

所述发送单元还用于将所述进程对应的数据发送请求发送给与第二命名空间连接的第二虚拟网卡，所述数据发送请求携带待发送的数据；

所述第二虚拟网卡还用于将所述数据发送请求发送给与第一命名空间连接的第一虚拟网卡；

所述第一虚拟网卡还用于根据所述数据发送请求来源于所述第二虚拟网卡，将所述待发送数据通过所述移动数据网络发送到外部网络。