一種基于網(wǎng)絡(luò)隔離的安全連網(wǎng)方法及終端的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種基于網(wǎng)絡(luò)隔離的安全連網(wǎng)方法及終端。
【背景技術(shù)】
[0002]現(xiàn)有智能終端如手機的網(wǎng)絡(luò)連接策略是在有可用W1-Fi連接的情況下,優(yōu)先選擇使用W1-Fi網(wǎng)絡(luò),而在W1-Fi網(wǎng)絡(luò)不可用的時候,才會去使用運營商網(wǎng)絡(luò)(2G/3G/4G網(wǎng)絡(luò))。隨著移動互聯(lián)網(wǎng)的發(fā)展,手機在線支付、手機購物、手機網(wǎng)上銀行等電子商務(wù)類應(yīng)用在移動端迅猛發(fā)展,而這類應(yīng)用帶來的支付安全問題也日益凸顯,如果用戶連接到W1-Fi,會帶來安全隱患,比如黑客可以利用W1-Fi網(wǎng)絡(luò),獲取用戶手機內(nèi)的照片、個人文檔等私密信息,甚至于銀行卡密碼等敏感信息。如果單純禁止W1-Fi連接又會造成用戶的使用不方便(畢竟運營商網(wǎng)絡(luò)流量費用較高,且網(wǎng)速相對于W1-Fi較慢)。
[0003]如何選擇連網(wǎng)方式并保證安全連網(wǎng),成為當(dāng)前需要解決的技術(shù)問題。
【發(fā)明內(nèi)容】
[0004]本發(fā)明提供了一種基于網(wǎng)絡(luò)隔離的安全連網(wǎng)方法及終端,以合適地選擇連網(wǎng)方式并保證安全連網(wǎng),保證終端中的信息安全。
[0005]一方面,提供了一種基于網(wǎng)絡(luò)隔離的安全連網(wǎng)方法,包括:
[0006]根據(jù)網(wǎng)絡(luò)資源,隔離出至少一個第一命名空間和第二命名空間,其中,第一命名空間中的進程通過無線局域網(wǎng)或移動數(shù)據(jù)網(wǎng)絡(luò)連接外部網(wǎng)絡(luò),第二命名空間中的進程通過所述移動數(shù)據(jù)網(wǎng)絡(luò)連接外部網(wǎng)絡(luò);
[0007]接收對應(yīng)一個應(yīng)用的進程創(chuàng)建請求,所述進程為從外部網(wǎng)絡(luò)請求數(shù)據(jù)或向所述外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù);
[0008]根據(jù)所述應(yīng)用的包名所屬的集合或發(fā)起所述進程創(chuàng)建請求所在的域,確定所述進程屬于第二命名空間;
[0009]通過所述移動數(shù)據(jù)網(wǎng)絡(luò)連接外部網(wǎng)絡(luò),以請求或發(fā)送所述數(shù)據(jù)。
[0010]另一方面,提供了一種終端,所述終端包括:內(nèi)核、至少一個第一命名空間和第二命名空間;
[0011]所述內(nèi)核包括:
[0012]隔離單元,用于根據(jù)網(wǎng)絡(luò)資源,隔離出所述至少一個第一命名空間和第二命名空間,其中,第一命名空間中的進程通過無線局域網(wǎng)或移動數(shù)據(jù)網(wǎng)絡(luò)連接外部網(wǎng)絡(luò),第二命名空間中的進程通過所述移動數(shù)據(jù)網(wǎng)絡(luò)連接外部網(wǎng)絡(luò);
[0013]第一接收單元,用于接收對應(yīng)一個應(yīng)用的進程創(chuàng)建請求,所述進程為從外部網(wǎng)絡(luò)請求數(shù)據(jù)或向所述外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù);
[0014]確定單元,用于根據(jù)所述應(yīng)用的包名所屬的集合或發(fā)起所述進程創(chuàng)建請求所在的域,確定所述進程屬于第二命名空間;
[0015]連接單元,用于通過所述移動數(shù)據(jù)網(wǎng)絡(luò)連接外部網(wǎng)絡(luò),以請求或發(fā)送所述數(shù)據(jù)。
[0016]可見,根據(jù)本發(fā)明提供的一種基于網(wǎng)絡(luò)隔離的安全連網(wǎng)方法及終端,通過利用內(nèi)核提供的Namespace機制,隔離出兩個以上的相互獨立的網(wǎng)絡(luò)環(huán)境,其中在安全的網(wǎng)絡(luò)環(huán)境中,終端只能通過移動數(shù)據(jù)網(wǎng)絡(luò)來連接網(wǎng)絡(luò),從而可以為終端選擇合適的連網(wǎng)方式并保證安全連網(wǎng),保證終端中的信息安全。
【附圖說明】
[0017]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0018]圖1為本發(fā)明實施例提供的一種基于網(wǎng)絡(luò)隔離的安全連網(wǎng)方法的流程示意圖;
[0019]圖2為本發(fā)明實施例示例的一種基于網(wǎng)絡(luò)隔離的安全連網(wǎng)的系統(tǒng)架構(gòu)圖;
[0020]圖3為對圖1所示實施例提供的一種基于網(wǎng)絡(luò)隔離的安全連網(wǎng)方法進一步詳細(xì)說明的流程示意圖;
[0021]圖4為本發(fā)明實施例提供的一種終端的結(jié)構(gòu)示意圖;
[0022]圖5為對圖4所示實施例提供的一種終端進一步詳細(xì)說明的結(jié)構(gòu)示意圖。
【具體實施方式】
[0023]下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0024]請參閱圖1,為本發(fā)明實施例提供的一種基于網(wǎng)絡(luò)隔離的安全連網(wǎng)方法的流程示意圖,該方法包括以下步驟:
[0025]步驟S101,根據(jù)網(wǎng)絡(luò)資源,隔離出至少一個第一命名空間Namespace和第二Namespace,其中,第一 Namespace中的進程通過無線局域網(wǎng)或移動數(shù)據(jù)網(wǎng)絡(luò)連接外部網(wǎng)絡(luò),第二 Namespace中的進程通過所述移動數(shù)據(jù)網(wǎng)絡(luò)連接外部網(wǎng)絡(luò)。
[0026]Namespace (命名空間)是Linux內(nèi)核提供的一種資源隔離機制,使用Nasmespace機制后,PID(進程的ID)、IPC(進程間通信)、NetWOrk等系統(tǒng)資源不再是全局性的,而是屬于特定的Namespace,每個Namespace里面的資源對其他Namespace都是透明的。本實施例主要使用了其中的Network Namespace來進行網(wǎng)絡(luò)的隔離。一個Network Namespace為進程提供了一個完全獨立的網(wǎng)絡(luò)協(xié)議棧的視圖,包括網(wǎng)絡(luò)設(shè)備接口,IPv4和IPv6協(xié)議棧,IP路由表,防火墻規(guī)則,sockets等。一個Network Namespace提供了一份獨立的網(wǎng)絡(luò)環(huán)境,就跟一個獨立的系統(tǒng)一樣。一個物理設(shè)備只能存在于一個Network Namespace中,但可以從一個Namespace移動到另一個Namespace中。圖2為本發(fā)明實施例示例的一種基于網(wǎng)絡(luò)隔離的安全連網(wǎng)的系統(tǒng)架構(gòu)圖,操作系統(tǒng)或內(nèi)核根據(jù)所需的網(wǎng)絡(luò)資源隔離出了兩個網(wǎng)絡(luò)Namespace,分別為Network Namespace A和 Network Namespace B,其中的 wlanO 為無線局域網(wǎng)WLAN使用的物理網(wǎng)卡,rmnetO為數(shù)據(jù)網(wǎng)絡(luò)使用的物理網(wǎng)卡,進程通過這兩個網(wǎng)卡來接收或者向外發(fā)送數(shù)據(jù)包。圖中,APPU APP2、APP3代表對網(wǎng)絡(luò)安全性要求比較高,這類APP放在Namespace B之后,僅能通過數(shù)據(jù)流量來上網(wǎng)。
[0027]步驟S102,接收對應(yīng)一個應(yīng)用的進程創(chuàng)建請求,所述進程為從外部網(wǎng)絡(luò)請求數(shù)據(jù)或向所述外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)。
[0028]如果用戶點擊某個APP進行連網(wǎng)獲取數(shù)據(jù)或發(fā)送數(shù)據(jù)到外部網(wǎng)絡(luò),操作系統(tǒng)或內(nèi)核會創(chuàng)建一個新的進程,該進程指示從外部網(wǎng)絡(luò)請求數(shù)據(jù)或向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)。
[0029]步驟S103,根據(jù)所述應(yīng)用的包名所屬的集合或發(fā)起所述進程創(chuàng)建請求所在的域,確定所述進程屬于第二 Namespace。
[0030]每個APP即每個應(yīng)用都有一個包名,預(yù)先定義多個集合,每個集合為一組應(yīng)用的包名,集合A中的包名對應(yīng)的應(yīng)用都屬于Namespace A,集合B中的包名對應(yīng)的應(yīng)用都屬于Namespace B,因此,根據(jù)創(chuàng)建的是哪個應(yīng)用的進程以及該應(yīng)用的包名,如果該包名屬于集合B,就可以確定該進程屬于Namespace B 了。
[0031]一個終端有多個域,規(guī)定通過某個域創(chuàng)建的進程必須通過移動網(wǎng)絡(luò)連網(wǎng),因此,就可以根據(jù)發(fā)起該進程創(chuàng)建請求所在的域,確定該進程屬于Namespace B 了。
[0032]步驟S104,通過所述移動數(shù)據(jù)網(wǎng)絡(luò)連接外部網(wǎng)絡(luò),以請求或發(fā)送所述數(shù)據(jù)。
[0033]確定該要求從外部網(wǎng)絡(luò)請求數(shù)據(jù)或向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)的進程屬于Namespace B了,就可以通過rmnetO即通過移動數(shù)據(jù)網(wǎng)絡(luò)連網(wǎng),以請求或發(fā)送數(shù)據(jù)了。
[0034]根據(jù)本發(fā)明提供的一種基于網(wǎng)絡(luò)隔離的安全連網(wǎng)方法,通過利用內(nèi)核提供的Namespace機制,隔離出兩個以上的相互獨立的網(wǎng)絡(luò)環(huán)境,其中在安全的網(wǎng)絡(luò)環(huán)境中,終端只能通過移動數(shù)據(jù)網(wǎng)絡(luò)來連接網(wǎng)絡(luò),從而可以為終端選擇合適的連網(wǎng)方式并保證安全連網(wǎng),保證終端中的信息安全。
[0035]請參閱圖3,為對圖1所示實施例提供的一種基于網(wǎng)絡(luò)隔離的安全連網(wǎng)方法進一步詳細(xì)說明的流程示意圖,該方法包括以下步驟:
[0036]步驟S201,根據(jù)網(wǎng)絡(luò)資源,隔離出至少一個第一命名空間Namespace和第二Namespace,其中,第一 Namespace中的進程通過無線局域網(wǎng)或移動數(shù)據(jù)網(wǎng)絡(luò)連接外部網(wǎng)絡(luò),第二 Namespace中的進程通過所述移動數(shù)據(jù)網(wǎng)絡(luò)連接外部網(wǎng)絡(luò)。
[0037]步驟S202,接收對應(yīng)一個應(yīng)用的進程創(chuàng)建請求,所述進程為從外部網(wǎng)絡(luò)請求數(shù)據(jù)或向所述外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)。
[0038]步驟S203,根據(jù)所述應(yīng)用的包名所屬的集合或發(fā)起所述進程創(chuàng)建請求所在的域,確定所述進程屬于第二 Namespace。
[0039]步驟S201-S203與圖1所示實施例的步驟S101-S103相同,在此不再贅述。
[0040]下面詳細(xì)介紹如何通過所述移動數(shù)據(jù)網(wǎng)絡(luò)連接外部網(wǎng)絡(luò),以請求或發(fā)送所述數(shù)據(jù):
[0041]步驟S204,將所述進程對應(yīng)的數(shù)據(jù)請求發(fā)送給與第二 Namespace連接的第二虛擬網(wǎng)卡。
[0042]步驟S205,所述第二虛擬網(wǎng)卡將所述數(shù)據(jù)請求發(fā)送給與第一 Namespace連接的第一虛擬網(wǎng)卡。
[0043]步驟S206,所述第