一種基于網絡隔離的安全連網方法及終端的制作方法
【技術領域】
[0001]本發(fā)明涉及通信技術領域��,尤其涉及一種基于網絡隔離的安全連網方法及終端��。
【背景技術】
[0002]現(xiàn)有智能終端如手機的網絡連接策略是在有可用W1-Fi連接的情況下�����,優(yōu)先選擇使用W1-Fi網絡�,而在W1-Fi網絡不可用的時候,才會去使用運營商網絡(2G/3G/4G網絡)�。隨著移動互聯(lián)網的發(fā)展,手機在線支付���、手機購物�����、手機網上銀行等電子商務類應用在移動端迅猛發(fā)展����,而這類應用帶來的支付安全問題也日益凸顯,如果用戶連接到W1-Fi�����,會帶來安全隱患�,比如黑客可以利用W1-Fi網絡,獲取用戶手機內的照片����、個人文檔等私密信息,甚至于銀行卡密碼等敏感信息����。如果單純禁止W1-Fi連接又會造成用戶的使用不方便(畢竟運營商網絡流量費用較高,且網速相對于W1-Fi較慢)�����。
[0003]如何選擇連網方式并保證安全連網��,成為當前需要解決的技術問題�����。
【發(fā)明內容】
[0004]本發(fā)明提供了一種基于網絡隔離的安全連網方法及終端��,以合適地選擇連網方式并保證安全連網�����,保證終端中的信息安全����。
[0005]一方面,提供了一種基于網絡隔離的安全連網方法�,包括:
[0006]根據網絡資源,隔離出至少一個第一命名空間和第二命名空間�,其中,第一命名空間中的進程通過無線局域網或移動數(shù)據網絡連接外部網絡�,第二命名空間中的進程通過所述移動數(shù)據網絡連接外部網絡;
[0007]接收對應一個應用的進程創(chuàng)建請求���,所述進程為從外部網絡請求數(shù)據或向所述外部網絡發(fā)送數(shù)據���;
[0008]根據所述應用的包名所屬的集合或發(fā)起所述進程創(chuàng)建請求所在的域�����,確定所述進程屬于第二命名空間�����;
[0009]通過所述移動數(shù)據網絡連接外部網絡���,以請求或發(fā)送所述數(shù)據。
[0010]另一方面����,提供了一種終端,所述終端包括:內核�、至少一個第一命名空間和第二命名空間;
[0011]所述內核包括:
[0012]隔離單元����,用于根據網絡資源,隔離出所述至少一個第一命名空間和第二命名空間��,其中,第一命名空間中的進程通過無線局域網或移動數(shù)據網絡連接外部網絡�,第二命名空間中的進程通過所述移動數(shù)據網絡連接外部網絡;
[0013]第一接收單元�,用于接收對應一個應用的進程創(chuàng)建請求,所述進程為從外部網絡請求數(shù)據或向所述外部網絡發(fā)送數(shù)據�����;
[0014]確定單元���,用于根據所述應用的包名所屬的集合或發(fā)起所述進程創(chuàng)建請求所在的域,確定所述進程屬于第二命名空間��;
[0015]連接單元���,用于通過所述移動數(shù)據網絡連接外部網絡�,以請求或發(fā)送所述數(shù)據����。
[0016]可見,根據本發(fā)明提供的一種基于網絡隔離的安全連網方法及終端���,通過利用內核提供的Namespace機制�,隔離出兩個以上的相互獨立的網絡環(huán)境,其中在安全的網絡環(huán)境中����,終端只能通過移動數(shù)據網絡來連接網絡,從而可以為終端選擇合適的連網方式并保證安全連網�����,保證終端中的信息安全����。
【附圖說明】
[0017]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹�,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例���,對于本領域普通技術人員來講����,在不付出創(chuàng)造性勞動的前提下�,還可以根據這些附圖獲得其他的附圖。
[0018]圖1為本發(fā)明實施例提供的一種基于網絡隔離的安全連網方法的流程示意圖���;
[0019]圖2為本發(fā)明實施例示例的一種基于網絡隔離的安全連網的系統(tǒng)架構圖��;
[0020]圖3為對圖1所示實施例提供的一種基于網絡隔離的安全連網方法進一步詳細說明的流程示意圖�;
[0021]圖4為本發(fā)明實施例提供的一種終端的結構示意圖;
[0022]圖5為對圖4所示實施例提供的一種終端進一步詳細說明的結構示意圖����。
【具體實施方式】
[0023]下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚�����、完整地描述����,顯然�,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例�。基于本發(fā)明中的實施例����,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍�。
[0024]請參閱圖1,為本發(fā)明實施例提供的一種基于網絡隔離的安全連網方法的流程示意圖����,該方法包括以下步驟:
[0025]步驟S101����,根據網絡資源��,隔離出至少一個第一命名空間Namespace和第二Namespace����,其中,第一 Namespace中的進程通過無線局域網或移動數(shù)據網絡連接外部網絡�����,第二 Namespace中的進程通過所述移動數(shù)據網絡連接外部網絡�����。
[0026]Namespace (命名空間)是Linux內核提供的一種資源隔離機制�,使用Nasmespace機制后,PID(進程的ID)�、IPC(進程間通信)、NetWOrk等系統(tǒng)資源不再是全局性的�����,而是屬于特定的Namespace,每個Namespace里面的資源對其他Namespace都是透明的��。本實施例主要使用了其中的Network Namespace來進行網絡的隔離���。一個Network Namespace為進程提供了一個完全獨立的網絡協(xié)議棧的視圖�����,包括網絡設備接口��,IPv4和IPv6協(xié)議棧����,IP路由表��,防火墻規(guī)則�,sockets等�。一個Network Namespace提供了一份獨立的網絡環(huán)境,就跟一個獨立的系統(tǒng)一樣����。一個物理設備只能存在于一個Network Namespace中,但可以從一個Namespace移動到另一個Namespace中����。圖2為本發(fā)明實施例示例的一種基于網絡隔離的安全連網的系統(tǒng)架構圖��,操作系統(tǒng)或內核根據所需的網絡資源隔離出了兩個網絡Namespace���,分別為Network Namespace A和 Network Namespace B,其中的 wlanO 為無線局域網WLAN使用的物理網卡�����,rmnetO為數(shù)據網絡使用的物理網卡��,進程通過這兩個網卡來接收或者向外發(fā)送數(shù)據包��。圖中����,APPU APP2、APP3代表對網絡安全性要求比較高����,這類APP放在Namespace B之后,僅能通過數(shù)據流量來上網�。
[0027]步驟S102,接收對應一個應用的進程創(chuàng)建請求�,所述進程為從外部網絡請求數(shù)據或向所述外部網絡發(fā)送數(shù)據�����。
[0028]如果用戶點擊某個APP進行連網獲取數(shù)據或發(fā)送數(shù)據到外部網絡�����,操作系統(tǒng)或內核會創(chuàng)建一個新的進程���,該進程指示從外部網絡請求數(shù)據或向外部網絡發(fā)送數(shù)據。
[0029]步驟S103�����,根據所述應用的包名所屬的集合或發(fā)起所述進程創(chuàng)建請求所在的域�,確定所述進程屬于第二 Namespace。
[0030]每個APP即每個應用都有一個包名�����,預先定義多個集合����,每個集合為一組應用的包名��,集合A中的包名對應的應用都屬于Namespace A,集合B中的包名對應的應用都屬于Namespace B�,因此,根據創(chuàng)建的是哪個應用的進程以及該應用的包名�����,如果該包名屬于集合B��,就可以確定該進程屬于Namespace B 了�����。
[0031]一個終端有多個域�,規(guī)定通過某個域創(chuàng)建的進程必須通過移動網絡連網,因此�,就可以根據發(fā)起該進程創(chuàng)建請求所在的域,確定該進程屬于Namespace B 了�。
[0032]步驟S104,通過所述移動數(shù)據網絡連接外部網絡���,以請求或發(fā)送所述數(shù)據���。
[0033]確定該要求從外部網絡請求數(shù)據或向外部網絡發(fā)送數(shù)據的進程屬于Namespace B了,就可以通過rmnetO即通過移動數(shù)據網絡連網��,以請求或發(fā)送數(shù)據了。
[0034]根據本發(fā)明提供的一種基于網絡隔離的安全連網方法�,通過利用內核提供的Namespace機制,隔離出兩個以上的相互獨立的網絡環(huán)境�,其中在安全的網絡環(huán)境中,終端只能通過移動數(shù)據網絡來連接網絡��,從而可以為終端選擇合適的連網方式并保證安全連網���,保證終端中的信息安全�。
[0035]請參閱圖3����,為對圖1所示實施例提供的一種基于網絡隔離的安全連網方法進一步詳細說明的流程示意圖,該方法包括以下步驟:
[0036]步驟S201����,根據網絡資源,隔離出至少一個第一命名空間Namespace和第二Namespace����,其中,第一 Namespace中的進程通過無線局域網或移動數(shù)據網絡連接外部網絡�,第二 Namespace中的進程通過所述移動數(shù)據網絡連接外部網絡����。
[0037]步驟S202��,接收對應一個應用的進程創(chuàng)建請求����,所述進程為從外部網絡請求數(shù)據或向所述外部網絡發(fā)送數(shù)據���。
[0038]步驟S203�����,根據所述應用的包名所屬的集合或發(fā)起所述進程創(chuàng)建請求所在的域���,確定所述進程屬于第二 Namespace。
[0039]步驟S201-S203與圖1所示實施例的步驟S101-S103相同����,在此不再贅述。
[0040]下面詳細介紹如何通過所述移動數(shù)據網絡連接外部網絡�,以請求或發(fā)送所述數(shù)據:
[0041]步驟S204,將所述進程對應的數(shù)據請求發(fā)送給與第二 Namespace連接的第二虛擬網卡�。
[0042]步驟S205,所述第二虛擬網卡將所述數(shù)據請求發(fā)送給與第一 Namespace連接的第一虛擬網卡。
[0043]步驟S206����,所述第