一種路由器運行應用程序的控制方法�����、系統(tǒng)及路由器的制造方法【專利摘要】本發(fā)明適用于路由器【
技術領域:
】����,提供了一種路由器運行應用程序的控制方法:接收在路由器主機上創(chuàng)建虛擬機的創(chuàng)建指令;根據(jù)創(chuàng)建指令�,在路由器主機上創(chuàng)建虛擬機;接收給運行在路由器主機上的第三方應用程序分配一個虛擬機的分配指令���;根據(jù)分配指令��,給運行在路由器主機上的第三方應用程序分配一個虛擬機��;路由器主機對虛擬機上的防火墻進行規(guī)則配置�,以此來限制運行在虛擬機上的第三方應用程序訪問網(wǎng)絡的權限。本發(fā)明路由器主機可以對不同的第三方應用程序定制不同的網(wǎng)絡訪問權限�����,靈活方便���。同時�,LXC虛擬機只能對自身內建規(guī)則表的防火墻規(guī)則進行訪問和配置�����,防范了網(wǎng)絡安全隱患�����?!緦@f明】一種路由器運行應用程序的控制方法��、系統(tǒng)及路由器【
技術領域:
】[0001]本發(fā)明屬于路由器【
技術領域:
】�,尤其涉及一種路由器運行應用程序的控制方法、系統(tǒng)及路由器�����。【
背景技術:
】[0002]隨著物聯(lián)網(wǎng)和智能家居概念的興起����,作為智能家居設備與外網(wǎng)通信的入口,以及網(wǎng)絡數(shù)據(jù)傳輸?shù)年P鍵節(jié)點����,路由器集成越來越多的功能,運行越來越多第三方應用程序成為一種趨勢���。例如���,智能家居廠商可以在路由器上進行第三方應用程序的開發(fā)和運行,以便對智能家居設備進行控制和數(shù)據(jù)交互�����。[0003]然而���,直接在路由器上運行第三方應用程序�,這樣該第三方應用程序便具有和路由器主機相同的網(wǎng)絡訪問權限��。如果第三方應用程序的關鍵代碼或數(shù)據(jù)被篡改,或者賦予的網(wǎng)絡權限被濫用��,可能會對路由器系統(tǒng)本身帶來不同程度的損害���,并影響到其他應用程序的運行����。因此��,有必要對路由器上的第三方應用程序的網(wǎng)絡訪問權限進行限制���。[0004]目前��,運行第三方應用程序的路由器進行網(wǎng)絡訪問權限控制的實現(xiàn)方案主要包括以下兩種:[0005]—種是基于OpenWrt技術的路由器的實現(xiàn)方案�。Openffrt是一個高度模塊化�����、自動化的嵌入式Linux系統(tǒng),第三方應用程序很容易在Openwrt上進行擴展�。但是OpenWrt本身不對第三方應用程序的權限進行限制�。因此,基于OpenWrt技術的路由器無法對第三方應用程序的網(wǎng)絡訪問權限進行有效的控制�,且應用程序之間未進行隔離,會帶來安全隱患。[0006]另一種路由器的實現(xiàn)方案和Android安全機制類似����。路由器系統(tǒng)為每個運行在其上的應用程序分配一個用戶ID和組ID,通過Permiss1n機制對特定進程的特定操作進行限制,并通過per-URIpermiss1n方式進行權限的授權���。應用程序只有被路由器設備用戶授予了權限�,才允許對路由器系統(tǒng)資源或其他應用程序進行訪問���,以此達到應用程序之間一定程度的隔離效果��。[0007]然而�,采用和Android安全機制類似的方案�����,雖然可以將應用程序之間進行隔離���。但是�,還會存在如下問題:[0008]I)靈活性不夠�����。在安裝時,安裝程序產(chǎn)生一個所有權限的列表呈現(xiàn)給用戶����,用戶只有選擇接收安裝程序所需的權限才能安裝應用程序,否則放棄安裝��。并且����,權限在安裝時一經(jīng)確認便不能再修改,一旦允許安裝�,該應用程序就擁有了它所聲明的操作權限。[0009]2)可定制程度不高���。體現(xiàn)在:不能對應用程序收發(fā)的數(shù)據(jù)包進行過濾��;以及��,不能對不同應用程序定制不同的網(wǎng)絡訪問權限���。【
發(fā)明內容】[0010]本發(fā)明的目的在于提供一種路由器運行應用程序的控制方法�����、系統(tǒng)及路由器����,旨在解決采用和Android安全機制類似的方案,雖然可以將應用程序之間進行隔離����,但是靈活性不夠以及可定制程度不高的問題。[0011]第一方面��,本發(fā)明提供了一種路由器運行應用程序的控制方法����,所述方法包括以下步驟:[0012]接收在路由器主機上創(chuàng)建虛擬機的創(chuàng)建指令;[0013]根據(jù)所述創(chuàng)建指令����,在所述路由器主機上創(chuàng)建虛擬機;[0014]接收給運行在所述路由器主機上的第三方應用程序分配一個虛擬機的分配指令����;[0015]根據(jù)所述分配指令,給運行在所述路由器主機上的第三方應用程序分配一個虛擬機���;[0016]所述路由器主機對所述虛擬機上的防火墻進行規(guī)則配置����,以此來限制運行在所述虛擬機上的第三方應用程序訪問網(wǎng)絡的權限。[0017]第二方面�,本發(fā)明提供了一種路由器運行應用程序的控制系統(tǒng),所述系統(tǒng)包括:[0018]創(chuàng)建指令接收模塊���,用于接收在路由器主機上創(chuàng)建虛擬機的創(chuàng)建指令�����;[0019]虛擬機創(chuàng)建模塊���,用于根據(jù)所述創(chuàng)建指令,在所述路由器主機上創(chuàng)建虛擬機�;[0020]分配指令接收模塊,用于接收給運行在所述路由器主機上的第三方應用程序分配一個虛擬機的分配指令���;[0021]虛擬機分配模塊�����,用于根據(jù)所述分配指令����,給運行在所述路由器主機上的第三方應用程序分配一個虛擬機;[0022]防火墻規(guī)則配置模塊���,用于對所述虛擬機上的防火墻進行規(guī)則配置,以此來限制運行在所述虛擬機上的第三方應用程序訪問網(wǎng)絡的權限��。[0023]第三方面�,本發(fā)明提供了一種包括上面所述的路由器運行應用程序的控制系統(tǒng)的路由器。[0024]在本發(fā)明中�,通過在路由器主機上創(chuàng)建多個虛擬機,給運行在所述路由器主機上的第三方應用程序分配一個虛擬機��。然后���,在運行有第三方應用程序的虛擬機中建立防火墻�����,從而使得路由器主機和虛擬機擁有各自獨立的防火墻����,路由器主機和虛擬機之間不能互相訪問����。接著����,路由器主機對虛擬機的防火墻進行規(guī)則配置�,以此來限制虛擬機上的第三方應用程序訪問網(wǎng)絡的權限。[0025]本發(fā)明采用上述技術方案�,能帶來以下有益效果:[0026]1、通過向運行在路由器上的第三方應用程序分配LXC虛擬機�����,從而使應用程序之間相互隔離�,網(wǎng)絡通信互不影響,安全性較高��。避免第三方應用程序突破root權限享有無限制的網(wǎng)絡訪問權限��。[0027]2��、LXC虛擬機作為一種輕量化虛擬技術�,占用資源少,用于運行路由器上的第三方應用��,效率較高��,對路由器性能影響較小。[0028]3�、由于在Netfilter框架下添加了一張規(guī)則表,且路由器主機可以根據(jù)指定條件對運行第三方應用程序的任何一個虛擬機進行防火墻規(guī)則的訪問和配置��,從而保證了在不妨礙虛擬機對各自Netfilter內建規(guī)則表操作的情況下��,路由器主機可以對不同的第三方應用程序定制不同的網(wǎng)絡訪問權限�����,靈活方便��。同時����,LXC虛擬機只能對自身內建規(guī)則表的防火墻規(guī)則進行訪問和配置�,防范了網(wǎng)絡安全隱患?!緦@綀D】【附圖說明】[0029]圖1是本發(fā)明實施例提供的路由器系統(tǒng)架構示意圖;[0030]圖2是本發(fā)明實施例提供的路由器運行應用程序的控制方法的實現(xiàn)流程示意圖����;[0031]圖3是本發(fā)明實施例提供的路由器主機對虛擬機上的防火墻進行規(guī)則配置的實現(xiàn)流程示意圖;[0032]圖4是本發(fā)明另一實施例提供的路由器運行應用程序的控制方法的實現(xiàn)流程示意圖����;[0033]圖5是本發(fā)明實施例提供的路由器運行應用程序的控制系統(tǒng)的結構示意圖�?�!揪唧w實施方式】[0034]為了使本發(fā)明的目的����、技術方案及有益效果更加清楚明白,以下結合附圖及實施例�,對本發(fā)明進行進一步詳細說明。應當理解����,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明���。[0035]在本發(fā)明實施例中�,本發(fā)明實施例通過在路由器主機上創(chuàng)建多個虛擬機�����,給運行在所述路由器主機上的第三方應用程序分配一個虛擬機��,通過所述虛擬機從而使第三方應用程序之間相互隔離�,網(wǎng)絡通信互不影響���,安全性較高。然后���,在運行有第三方應用程序的虛擬機中建立防火墻����,從而使得路由器主機和虛擬機擁有各自獨立的防火墻����,路由器主機和虛擬機之間不能互相訪問。接著��,路由器主機對虛擬機的防火墻進行規(guī)則配置���,以此來限制虛擬機上的第三方應用程序訪問網(wǎng)絡的權限。[0036]請參閱圖1�,為本發(fā)明實施例提供的路由器系統(tǒng)架構示意圖。為了便于說明�����,僅示出了與本發(fā)明實施例相關的部分��。在路由器主機下建立有多個虛擬機,每個虛擬機下運行有一個或多個第三方應用程序����,每個虛擬機中均安裝有防火墻,通過Iptables工具設置所述防火墻規(guī)則�,所述虛擬網(wǎng)卡與路由器的真實網(wǎng)卡的通信是通過一個網(wǎng)絡設備對(interfacepair)進行橋接連接,并通過所述真實網(wǎng)卡將所述第三方應用程序的數(shù)據(jù)包轉發(fā)至網(wǎng)絡。圖1中的每個虛擬機都能通過iptables設置所述防火墻規(guī)則���,而路由器主機通過iptables還可以設置虛擬機的防火墻規(guī)則��。[0037]為了說明本發(fā)明所述的技術方案����,下面通過具體實施例來進行說明���。[0038]請參閱圖2��,為本發(fā)明實施例提供的路由器運行應用程序的控制方法的實現(xiàn)流程�����,其包括以下步驟:[0039]在步驟SlOl中����,接收在路由器主機上創(chuàng)建虛擬機的創(chuàng)建指令;[0040]在步驟S102中�����,根據(jù)所述創(chuàng)建指令���,在所述路由器主機上創(chuàng)建虛擬機�;[0041]在步驟S103中�����,接收給運行在所述路由器主機上的第三方應用程序分配一個虛擬機的分配指令�;[0042]在步驟S104中,根據(jù)所述分配指令�����,給運行在所述路由器主機上的第三方應用程序分配一個虛擬機���;[0043]作為本發(fā)明一實施例,步驟S104可以為:當所述分配指令為給每一個運行在所述路由器主機上的第三方應用程序分配一個不同的虛擬機���;根據(jù)所述分配指令�����,給每一個運行在所述路由器主機上的第三方應用程序分配一個對應的不同的虛擬機��。[0044]例如�����,在路由器主機上創(chuàng)建有4個虛擬機��,分別為虛擬機1����、虛擬機2、虛擬機3����、和虛擬機4;運行在所述路由器主機上的第三方應用程序也包括4個,分別為應用程序1���、應用程序2�����、應用程序3���、和應用程序4;那么��,路由器主機將所述應用程序I分配到虛擬機I中運行�,將所述應用程序2分配到虛擬機2中運行���,將所述應用程序3分配到虛擬機3中運行����,將所述應用程序4分配到虛擬機4中運行�����。[0045]作為本發(fā)明另一實施例����,步驟S104還可以為:當所述分配指令為給指定的多個運行在所述路由器主機上的第三方應用程序分配一個相同的虛擬機;根據(jù)所述分配指令���,給指定的多個運行在所述路由器主機上的第三方應用程序分配一個相同的虛擬機��。[0046]例如,在路由器主機上創(chuàng)建有4個虛擬機��,分別為虛擬機1、虛擬機2��、虛擬機3�����、和虛擬機4;運行在所述路由器主機上的第三方應用程序也包括4個����,分別為應用程序1、應用程序2���、應用程序3���、和應用程序4;用戶想將應用程序I和應用程序2設置為具有相同訪問網(wǎng)絡權限,那么���,路由器主機將所述應用程序I和應用程序2分配到虛擬機I中運行����,將所述應用程序3和應用程序4分配到虛擬機2中運行�����。[0047]在步驟S105中,所述路由器主機對所述虛擬機上的防火墻進行規(guī)則配置�,以此來限制運行在所述虛擬機上的第三方應用程序訪問網(wǎng)絡的權限。[0048]綜上所述����,在本發(fā)明實施例中,在一臺基于Linux系統(tǒng)的路由器上����,建立多個LXC(LinuxContainer)虛擬機用于運行第三方應用程序,每個虛擬機可以運行一個或多個第三方應用程序���。默認情況下��,路由器主機和所有LXC虛擬機共用一個內核�,虛擬機之間�����、以及虛擬機和路由器主機之間通過Linux的命名空間機制相互隔離����,從而使第三方應用程序之間相互隔離,網(wǎng)絡通信互不影響,安全性較高���。虛擬機和路由器主機各自有獨立的防火墻,不能互訪�����。每個虛擬機和路由器主機均可以通過iptables等工具設置自身的防火墻規(guī)貝U����。本發(fā)明實施例的路由器主機還能根據(jù)一定的指定條件,對指定虛擬機的防火墻規(guī)則進行訪問和配置���,從而限制虛擬機訪問內網(wǎng)和外網(wǎng)的權限����。[0049]請參閱圖3����,作為本發(fā)明一優(yōu)選實施例,路由器主機對所述虛擬機上的防火墻進行規(guī)則配置�,以此來限制運行在所述虛擬機上的第三方應用程序訪問網(wǎng)絡的權限的實現(xiàn)方案,包括以下步驟:[0050]在步驟S201中�,內核空間接收用戶空間傳遞的命令;[0051]在本發(fā)明實施例中,netfilter組件運行在內核空間(kernelspace),是內核的一部分����,由一些信息包過濾表組成,這些表包含內核用來控制信息包過濾處理的規(guī)則集���。[0052]iptables組件是一種工具,運行在用戶空間(userspace),它使插入����、修改和刪除信息包過濾表中的規(guī)則變得容易����。[0053]在本發(fā)明實施例中,用戶空間傳遞的命令中包含有指定條件�����,該指定條件能夠唯一標識虛擬機�,例如,指定條件為虛擬機的主機名foo�,則根據(jù)主機名foo,查找到主機名為f00的虛擬機�,并將網(wǎng)絡命名空間從當前主機切換到虛擬機。然后對切換后的網(wǎng)絡命名空間下的防火墻規(guī)則進行訪問和配置�����。[0054]在步驟S202中,判斷操作當前命令的主機是否為路由器主機����,若是�����,則轉到步驟S203;若否���,則轉到步驟S204����;[0055]在步驟S203中����,判斷傳遞的命令中是否包含指定虛擬機條件。若是���,則轉到步驟S205;若否�,則轉到步驟S206����;[0056]在步驟S204中���,判斷傳遞的命令中是否包含指定虛擬機條件。若是�����,則轉到步驟S207;若否�,則轉到步驟S208;[0057]在步驟S205中�����,根據(jù)指定條件中的唯一標識查找對應的虛擬機���;若成功����,則對查找到的虛擬機網(wǎng)絡命名空間下的防火墻規(guī)則進行訪問和配置�;若失敗,則返回錯誤����;[0058]在步驟S206中�,對當前主機的防火墻規(guī)則進行訪問和設置�,并結束運行;[0059]在步驟S207中����,當前主機為虛擬機,沒有權限進行此類操作����,并結束運行;[0060]在步驟S208中��,判斷訪問或配置的對象是否為新建的規(guī)則表���。若是,則轉到步驟S207;若否�����,則轉到步驟S206����。[0061]在本發(fā)明實施例中,在Netfilter框架下添加一張規(guī)則表����。該規(guī)則表與Netfilter內置的規(guī)則表獨立��,并在網(wǎng)絡協(xié)議棧的HOOK點上掛載鉤子函數(shù)���。HOOK點可以是但不限于PREROUTING和P0STR0UTING。其中����,所述規(guī)則表中記錄虛擬機網(wǎng)絡訪問規(guī)則。[0062]請參閱圖4���,作為本發(fā)明另一優(yōu)選實施例����,所述路由器運行應用程序的控制方法還包括以下步驟:[0063]在步驟S301中��,分析虛擬機接收和發(fā)送的網(wǎng)絡數(shù)據(jù)包�;其中,所述網(wǎng)絡數(shù)據(jù)包為第三方應用程序與外界交互的數(shù)據(jù)包��;[0064]在步驟S302中�,將所述網(wǎng)絡數(shù)據(jù)包在所述虛擬機對應的規(guī)則表中進行規(guī)則匹配;其中��,所述規(guī)則表為獨立于虛擬機自身防火墻的規(guī)則表,所述規(guī)則表為在Netfilter框架下創(chuàng)建的規(guī)則表����,所述規(guī)則表規(guī)則優(yōu)先級高于所述虛擬機自身防火墻的規(guī)則表;[0065]在步驟S303中���,根據(jù)匹配結果���,控制運行在所述虛擬機上的所述第三方應用程序訪問網(wǎng)絡的權限。[0066]在本發(fā)明實施例中�,當匹配出所述數(shù)據(jù)包禁止通過,則丟棄所述數(shù)據(jù)包��;當匹配出所述數(shù)據(jù)包允許通過�,則轉發(fā)所述數(shù)據(jù)包至網(wǎng)絡���。[0067]請參閱圖5���,為本發(fā)明實施例提供的路由器運行應用程序的控制系統(tǒng)的結構示意圖。為了便于說明���,僅示出了與本發(fā)明實施例相關的部分����。所述路由器運行應用程序的控制系統(tǒng)包括:創(chuàng)建指令接收模塊101、虛擬機創(chuàng)建模塊102��、分配指令接收模塊103��、虛擬機分配模塊104���、以及防火墻規(guī)則配置模塊105�����。所述路由器運行應用程序的控制系統(tǒng)可以是內置于路由器中的軟件單元����、硬件單元或者是軟硬件結合的單元�。[0068]創(chuàng)建指令接收模塊101,用于接收在路由器主機上創(chuàng)建虛擬機的創(chuàng)建指令����;[0069]虛擬機創(chuàng)建模塊102,用于根據(jù)所述創(chuàng)建指令���,在所述路由器主機上創(chuàng)建虛擬機�;[0070]分配指令接收模塊103,用于接收給運行在所述路由器主機上的第三方應用程序分配一個虛擬機的分配指令���;[0071]虛擬機分配模塊104����,用于根據(jù)所述分配指令���,給運行在所述路由器主機上的第三方應用程序分配一個虛擬機��;[0072]作為本發(fā)明一實施例��,當所述分配指令為給每一個運行在所述路由器主機上的第三方應用程序分配一個不同的虛擬機�;所述虛擬機分配模塊104��,用于根據(jù)所述分配指令�����,給每一個運行在所述路由器主機上的第三方應用程序分配一個對應的不同的虛擬機����。[0073]例如,在路由器主機上創(chuàng)建有4個虛擬機�,分別為虛擬機1、虛擬機2���、虛擬機3�、和虛擬機4;運行在所述路由器主機上的第三方應用程序也包括4個��,分別為應用程序1��、應用程序2��、應用程序3�、和應用程序4;那么,路由器主機將所述應用程序I分配到虛擬機I中運行�,將所述應用程序2分配到虛擬機2中運行,將所述應用程序3分配到虛擬機3中運行����,將所述應用程序4分配到虛擬機4中運行。[0074]作為本發(fā)明另一實施例�,當所述分配指令為給指定的多個運行在所述路由器主機上的第三方應用程序分配一個相同的虛擬機;所述虛擬機分配模塊104���,用于根據(jù)所述分配指令��,給指定的多個運行在所述路由器主機上的第三方應用程序分配一個相同的虛擬機���。[0075]例如�,在路由器主機上創(chuàng)建有4個虛擬機�,分別為虛擬機1、虛擬機2�、虛擬機3、和虛擬機4;運行在所述路由器主機上的第三方應用程序也包括4個�,分別為應用程序1、應用程序2�����、應用程序3����、和應用程序4;用戶想將應用程序I和應用程序2設置為具有相同訪問網(wǎng)絡權限,那么���,路由器主機將所述應用程序I和應用程序2分配到虛擬機I中運行��,將所述應用程序3和應用程序4分配到虛擬機2中運行��。[0076]防火墻規(guī)則配置模塊105,用于對所述虛擬機上的防火墻進行規(guī)則配置,以此來限制運行在所述虛擬機上的第三方應用程序訪問網(wǎng)絡的權限�。[0077]作為本發(fā)明一實施例,所述路由器運行應用程序的控制系統(tǒng)還包括:[0078]netfilter組件,用于接收iptables組件傳遞的命令�����;[0079]主機判斷模塊����,用于判斷操作當前命令的主機是否為路由器主機,若是��,則轉到所述第一虛擬機判斷模塊����;若否,則轉到第二虛擬機判斷模塊���;[0080]第一虛擬機判斷模塊����,用于判斷傳遞的命令中是否包含指定虛擬機條件���。若是���,則轉到所述防火墻規(guī)則配置模塊105;若否����,則轉到所述訪問和設置模塊�����;[0081]第二虛擬機判斷模塊��,判斷傳遞的命令中是否包含指定虛擬機條件��;若是��,則轉到權限操作控制模塊��;若否��,則轉到規(guī)則表判斷模塊�;[0082]所述防火墻規(guī)則配置模塊105,還用于根據(jù)指定條件中的唯一標識查找對應的虛擬機���;若成功��,則對查找到的虛擬機網(wǎng)絡命名空間下的防火墻規(guī)則進行訪問和配置�����;若失敗����,則返回錯誤��;[0083]訪問和設置模塊���,用于對當前主機的防火墻規(guī)則進行訪問和設置��,并結束運行����;[0084]權限操作控制模塊����,用于當前主機為虛擬機,沒有權限進行此類操作�,并結束運行;[0085]所述規(guī)則表判斷模塊�����,用于判斷訪問或配置的對象是否為新建的規(guī)則表;若是�����,則轉到所述權限操作控制模塊���;若否�����,則轉到所述訪問和設置模塊���。[0086]作為本發(fā)明另一實施例,所述路由器運行應用程序的控制系統(tǒng)還包括:[0087]規(guī)則表創(chuàng)建模塊�����,用于在Netfilter框架下創(chuàng)建一張規(guī)則表�����;所述規(guī)則表中記錄虛擬機網(wǎng)絡訪問規(guī)則����。[0088]作為本發(fā)明另一實施例�,所述路由器運行應用程序的控制系統(tǒng)還包括:[0089]分析模塊�,用于分析虛擬機接收和發(fā)送的網(wǎng)絡數(shù)據(jù)包;其中��,所述網(wǎng)絡數(shù)據(jù)包為第三方應用程序與外界交互的數(shù)據(jù)包��;[0090]匹配模塊���,用于將所述網(wǎng)絡數(shù)據(jù)包在所述虛擬機對應的規(guī)則表中進行規(guī)則匹配;其中�����,所述規(guī)則表為獨立于虛擬機自身防火墻的規(guī)則表����,所述規(guī)則表為在Netfilter框架下創(chuàng)建的規(guī)則表,所述規(guī)則表規(guī)則優(yōu)先級高于所述虛擬機自身防火墻的規(guī)則表��;[0091]控制模塊�����,用于根據(jù)匹配結果����,控制運行在所述虛擬機上的所述第三方應用程序訪問網(wǎng)絡的權限��。[0092]在本發(fā)明實施例中��,所述控制模塊�,具體用于當匹配出所述數(shù)據(jù)包禁止通過��,則丟棄所述數(shù)據(jù)包�;當匹配出所述數(shù)據(jù)包允許通過,則轉發(fā)所述數(shù)據(jù)包至網(wǎng)絡��。[0093]綜上所述��,本發(fā)明實施例通過在路由器主機上創(chuàng)建多個虛擬機�����,給運行在所述路由器主機上的第三方應用程序分配一個虛擬機�。然后,在運行有第三方應用程序的虛擬機中建立防火墻����,從而使得路由器主機和虛擬機擁有各自獨立的防火墻,路由器主機和虛擬機之間不能互相訪問。接著���,路由器主機對虛擬機的防火墻進行規(guī)則配置��,以此來限制虛擬機上的第三方應用程序訪問網(wǎng)絡的權限��。[0094]本發(fā)明采用上述技術方案�,能帶來以下有益效果:[0095]1����、通過向運行在路由器上的第三方應用程序分配LXC虛擬機,從而使應用程序之間相互隔離��,網(wǎng)絡通信互不影響��,安全性較高���。避免第三方應用程序突破root權限享有無限制的網(wǎng)絡訪問權限。[0096]2����、LXC虛擬機作為一種輕量化虛擬技術,占用資源少����,用于運行路由器上的第三方應用�,效率較高�,對路由器性能影響較小。[0097]3�����、由于在Netfilter框架下添加了一張規(guī)則表��,且路由器主機可以根據(jù)指定條件對運行第三方應用程序的任何一個虛擬機進行防火墻規(guī)則的訪問和配置��,從而保證了在不妨礙虛擬機對各自Netfilter內建規(guī)則表操作的情況下���,路由器主機可以對不同的第三方應用程序定制不同的網(wǎng)絡訪問權限��,靈活方便���。同時,LXC虛擬機只能對自身內建規(guī)則表的防火墻規(guī)則進行訪問和配置����,防范了網(wǎng)絡安全隱患。[0098]本領域普通技術人員可以理解實現(xiàn)上述實施例方法中的全部或部分步驟是可以通過程序來指令相關的硬件來完成����,所述的程序可以存儲于一計算機可讀取存儲介質中�,所述的存儲介質����,如R0M/RAM、磁盤��、光盤等�。[0099]以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則之內所作的任何修改、等同替換和改進等���,均應包含在本發(fā)明的保護范圍之內�?��!緳嗬蟆?.一種路由器運行應用程序的控制方法,其特征在于���,所述方法包括以下步驟:接收在路由器主機上創(chuàng)建虛擬機的創(chuàng)建指令���;根據(jù)所述創(chuàng)建指令,在所述路由器主機上創(chuàng)建虛擬機;接收給運行在所述路由器主機上的第三方應用程序分配一個虛擬機的分配指令�����;根據(jù)所述分配指令�����,給運行在所述路由器主機上的第三方應用程序分配一個虛擬機�����;所述路由器主機對所述虛擬機上的防火墻進行規(guī)則配置��,以此來限制運行在所述虛擬機上的第三方應用程序訪問網(wǎng)絡的權限�。2.如權利要求1所述的路由器運行應用程序的控制方法,其特征在于���,當所述分配指令為給每一個運行在所述路由器主機上的第三方應用程序分配一個不同的虛擬機�����;根據(jù)所述分配指令��,給每一個運行在所述路由器主機上的第三方應用程序分配一個對應的不同的虛擬機�����。3.如權利要求1所述的路由器運行應用程序的控制方法�,其特征在于,當所述分配指令為給指定的多個運行在所述路由器主機上的第三方應用程序分配一個相同的虛擬機��;根據(jù)所述分配指令���,給指定的多個運行在所述路由器主機上的第三方應用程序分配一個相同的虛擬機���。4.如權利要求1所述的路由器運行應用程序的控制方法,其特征在于��,所述路由器主機對所述虛擬機上的防火墻進行規(guī)則配置的步驟����,包括:步驟S201,內核空間接收用戶空間傳遞的命令��;步驟S202���,判斷操作當前命令的主機是否為路由器主機,若是���,則轉到步驟S203���;若否�,則轉到步驟S204�����;步驟S203����,判斷傳遞的命令中是否包含指定虛擬機條件;若是����,則轉到步驟S205;若否,則轉到步驟S206����;步驟S204,判斷傳遞的命令中是否包含指定虛擬機條件���。若是����,則轉到步驟S207;若否,則轉到步驟S208�;步驟S205,根據(jù)指定條件中的唯一標識查找對應的虛擬機�����;若成功��,則對查找到的虛擬機網(wǎng)絡命名空間下的防火墻規(guī)則進行訪問和配置����;若失敗,則返回錯誤��;步驟S206�,對當前主機的防火墻規(guī)則進行訪問和設置,并結束運行����;步驟S207,當前主機為虛擬機����,沒有權限進行此類操作,并結束運行;步驟S208���,判斷訪問或配置的對象是否為新建的規(guī)則表;若是�,則轉到步驟S207;若否,則轉到步驟S206��。5.如權利要求1所述的路由器運行應用程序的控制方法��,其特征在于��,所述方法還包括以下步驟:分析虛擬機接收和發(fā)送的網(wǎng)絡數(shù)據(jù)包�����;其中����,所述網(wǎng)絡數(shù)據(jù)包為第三方應用程序與外界交互的數(shù)據(jù)包;將所述網(wǎng)絡數(shù)據(jù)包在所述虛擬機對應的規(guī)則表中進行規(guī)則匹配�;其中,所述規(guī)則表為獨立于虛擬機自身防火墻的規(guī)則表�����,所述規(guī)則表為在Netfilter框架下創(chuàng)建的規(guī)則表��,所述規(guī)則表規(guī)則優(yōu)先級高于所述虛擬機自身防火墻的規(guī)則表;根據(jù)匹配結果�,控制運行在所述虛擬機上的所述第三方應用程序訪問網(wǎng)絡的權限。6.一種路由器運行應用程序的控制系統(tǒng)��,其特征在于����,所述系統(tǒng)包括:創(chuàng)建指令接收模塊,用于接收在路由器主機上創(chuàng)建虛擬機的創(chuàng)建指令��;虛擬機創(chuàng)建模塊�����,用于根據(jù)所述創(chuàng)建指令�����,在所述路由器主機上創(chuàng)建虛擬機��;分配指令接收模塊���,用于接收給運行在所述路由器主機上的第三方應用程序分配一個虛擬機的分配指令����;虛擬機分配模塊,用于根據(jù)所述分配指令����,給運行在所述路由器主機上的第三方應用程序分配一個虛擬機�����;防火墻規(guī)則配置模塊�����,用于對所述虛擬機上的防火墻進行規(guī)則配置��,以此來限制運行在所述虛擬機上的第三方應用程序訪問網(wǎng)絡的權限����。7.如權利要求6所述的路由器運行應用程序的控制系統(tǒng),其特征在于����,所述系統(tǒng)還包括:netfilter組件,用于接收iptables組件傳遞的命令;主機判斷模塊���,用于判斷操作當前命令的主機是否為路由器主機�,若是,則轉到第一虛擬機判斷模塊�����;若否���,則轉到第二虛擬機判斷模塊�;所述第一虛擬機判斷模塊���,用于判斷傳遞的命令中是否包含指定虛擬機條件����;若是�,則轉到防火墻規(guī)則配置模塊;若否���,則轉到所述訪問和設置模塊��;所述第二虛擬機判斷模塊�����,判斷傳遞的命令中是否包含指定虛擬機條件���;若是����,則轉到權限操作控制模塊����;若否�,則轉到規(guī)則表判斷模塊;所述防火墻規(guī)則配置模塊�����,還用于根據(jù)指定條件中的唯一標識查找對應的虛擬機���;若成功�,則對查找到的虛擬機網(wǎng)絡命名空間下的防火墻規(guī)則進行訪問和配置��;若失敗�����,則返回錯誤;訪問和設置模塊,用于對當前主機的防火墻規(guī)則進行訪問和設置���,并結束運行�����;權限操作控制模塊�,用于當前主機為虛擬機���,沒有權限進行此類操作���,并結束運行;所述規(guī)則表判斷模塊�����,用于判斷訪問或配置的對象是否為新建的規(guī)則表����;若是,則轉到所述權限操作控制模塊�����;若否,則轉到所述訪問和設置模塊�。8.如權利要求6所述的路由器運行應用程序的控制系統(tǒng),其特征在于�����,所述系統(tǒng)還包括:規(guī)則表創(chuàng)建模塊�,用于在Netfilter框架下創(chuàng)建一張規(guī)則表;所述規(guī)則表中記錄虛擬機網(wǎng)絡訪問規(guī)則�。9.如權利要求8所述的路由器運行應用程序的控制系統(tǒng),其特征在于�����,分析模塊�����,用于分析虛擬機接收和發(fā)送的網(wǎng)絡數(shù)據(jù)包����;其中�,所述網(wǎng)絡數(shù)據(jù)包為第三方應用程序與外界交互的數(shù)據(jù)包;匹配模塊�,用于將所述網(wǎng)絡數(shù)據(jù)包在所述虛擬機對應的規(guī)則表中進行規(guī)則匹配���;其中,所述規(guī)則表為獨立于虛擬機自身防火墻的規(guī)則表��,所述規(guī)則表為在Netfilter框架下創(chuàng)建的規(guī)則表����,所述規(guī)則表規(guī)則優(yōu)先級高于所述虛擬機自身防火墻的規(guī)則表;控制模塊���,用于根據(jù)匹配結果���,控制運行在所述虛擬機上的所述第三方應用程序訪問網(wǎng)絡的權限。10.一種包括權利要求6至9任一項所述的路由器運行應用程序的控制系統(tǒng)的路由器�。【文檔編號】H04L29/06GK104270317SQ201410466851【公開日】2015年1月7日申請日期:2014年9月12日優(yōu)先權日:2014年9月12日【發(fā)明者】歐陽昌葵,高志光申請人:普聯(lián)技術有限公司