一种网络权限的控制方法、系统、计算机设备和存储介质与流程

本发明涉及网络通信
技术领域：
：，尤指一种网络权限的控制方法、系统、计算机设备和存储介质。
背景技术：
：：随着车载设备的飞速发展，相应车载应用也越来越多，针对车载应用网络权限的管理也越来越重要。然而，现有技术中，车载应用使用网络服务，将网络数据包通过单网口发送出去给车载路由。而根据tcp/ip协议栈网络数据包的打包规则，车载路由是无法将从单网口收到的网络数据包进行分类，使其满足访问不同类型网络的需求，即无法实现一部分车载应用访问授权网络、另外一部分车载应用访问未授权网络的目的。基于此，如何实现对车载应用进行网络访问权限分类控制是亟需解决的问题。技术实现要素：本发明的目的是提供一种网络权限的控制方法、系统、计算机设备和存储介质，实现对车载应用进行网络访问权限分类控制。本发明提供的技术方案如下：本发明提供一种网络权限的控制方法，包括步骤：创建至少两条静态隧道；各所述静态隧道包括车载设备的设备端虚拟网口与车载路由的路由端虚拟网口之间对应关系；设置网络访问权限策略；获取用户在车载应用上的操作数据，根据所述操作数据生成网络数据包；根据所述网络访问权限策略和所述车载应用对应的标识信息，查找对应的设备端虚拟网口，通过所述设备端虚拟网口发送所述网络数据包至对应的路由端虚拟网口，由所述路由端虚拟网口转发所述网络数据包以访问对应的网络。进一步的，所述创建至少两条静态隧道包括步骤：将所述车载设备的网络端口与所述车载路由的网络端口连接；获取静态隧道创建指令，根据所述静态隧道创建指令创建至少两条所述车载设备与所述车载路由之间的静态隧道。进一步的，所述根据所述网络访问权限策略和所述车载应用对应的标识信息，查找对应的设备端虚拟网口，通过所述设备端虚拟网口发送所述网络数据包至对应的路由端虚拟网口，由所述路由端虚拟网口转发所述网络数据包以访问对应的网络包括步骤：根据所述网络访问权限策略，查询所述标识信息对应的设备端虚拟网口；根据建立的静态隧道，通过所述设备端虚拟网口将所述网络数据包发送至对应的路由端虚拟网口；根据预设的网络地址转换规则，通过所述路由端虚拟网口发送所述网络数据包至所述车载路由对应的物理网口，使得所述车载路由根据预设路由表发送所述网络数据包以访问对应的网络。进一步的，所述设置网络访问权限策略包括步骤：获取所述车载应用对应的标识信息；根据所述标识信息设置所述网络访问权限策略，所述网络访问权限策略包括所述网络权限配置表和分发映射表；所述网络权限配置表包括所述标识信息与网络访问类型信息的对应关系，所述分发映射表包括所述标识信息与设备端虚拟网口标识的对应关系。本发明还提供一种网络权限的控制系统，包括：车载设备和车载路由；车载设备与车载路由之间创建有至少两条静态隧道；所述车载设备包括至少两个设备端虚拟网口，所述车载路由包括至少两个路由端虚拟网口；各静态隧道包括设备端虚拟网口与路由端虚拟网口之间对应关系；所述车载设备，用于设置网络访问权限策略，获取用户在车载应用上的操作数据，根据所述操作数据生成网络数据包，根据所述网络访问权限策略和所述车载应用对应的标识信息，查找对应的设备端虚拟网口，通过所述设备端虚拟网口发送所述网络数据包至对应的路由端虚拟网口；所述车载路由，用于由所述路由端虚拟网口转发所述网络数据包以访问对应的网络。进一步的，所述车载设备的网络端口与所述车载路由的网络端口连接；所述车载设备包括：第一获取模块，用于获取静态隧道创建指令；创建模块，用于根据所述静态隧道创建指令创建至少两条所述车载设备与所述车载路由之间的静态隧道。进一步的，所述车载设备包括：处理模块，用于根据所述网络访问权限策略，查询所述标识信息对应的设备端虚拟网口；第一通信模块，用于根据建立的静态隧道，通过所述设备端虚拟网口将所述网络数据包发送至对应的路由端虚拟网口；所述车载路由包括：第二通信模块，用于根据预设的网络地址转换规则，通过所述路由端虚拟网口发送所述网络数据包至所述车载路由对应的物理网口，使得所述车载路由根据预设路由表发送所述网络数据包以访问对应的网络。进一步的，所述车载设备还包括：第二获取模块，用于获取所述车载应用对应的标识信息；设置模块，用于根据所述标识信息设置所述网络访问权限策略，所述网络访问权限策略包括所述网络权限配置表和分发映射表；所述网络权限配置表包括所述标识信息与网络访问类型信息的对应关系，所述分发映射表包括所述标识信息与设备端虚拟网口标识的对应关系。本发明还提供一种计算机设备，包括处理器、存储器，其中，所述存储器，用于存放计算机程序；所述处理器，用于执行所述存储器上所存放的计算机程序，实现如所述的网络权限的控制方法所执行的操作。本发明还提供一种存储介质，所述存储介质中存储有至少一条指令，所述指令由处理器加载并执行以实现如所述的网络权限的控制方法所执行的操作。通过本发明提供的一种网络权限的控制方法、系统、计算机设备和存储介质，能够对车载应用进行网络访问权限分类控制。附图说明下面将以明确易懂的方式，结合附图说明优选实施方式，对一种网络权限的控制方法、系统、计算机设备和存储介质的上述特性、技术特征、优点及其实现方式予以进一步说明。图1是本发明一种网络权限的控制方法的一个实施例的流程图；图2是本发明车载设备和车载路由结合实现网络权限控制的结构示意图；图3是本发明一种网络权限的控制方法的另一个实施例的流程图；图4是本发明一种网络权限的控制方法的一个实例的流程图；图5是本发明一种网络权限的控制系统的一个实施例的结构示意图；图6是本发明一种计算机设备的一个实施例的结构示意图。具体实施方式为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对照附图说明本发明的具体实施方式。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图，并获得其他的实施方式。为使图面简洁，各图中只示意性地表示出了与本发明相关的部分，它们并不代表其作为产品的实际结构。另外，以使图面简洁便于理解，在有些图中具有相同结构或功能的部件，仅示意性地绘示了其中的一个，或仅标出了其中的一个。在本文中，“一个”不仅表示“仅此一个”，也可以表示“多于一个”的情形。本发明的一个实施例，如图1所示，一种网络权限的控制方法，包括：s100创建至少两条静态隧道；各静态隧道包括车载设备1的设备端虚拟网口与车载路由2的路由端虚拟网口之间对应关系；具体的，静态隧道的一端有一个唯一的ip地址，另一端也有一个唯一的ip地址。创建至少两条静态隧道，如图2所示，创建了两条静态隧道，其中第一静态隧道包括第一设备端虚拟网口l2tp-eth0与第一路由端虚拟网口l2tp-eth0，第一静态隧道使得车载设备1通过第一设备端虚拟网口l2tp-eth0发送出去的网络数据包，在车载路由2对应的第一路由端虚拟网口l2tp-eth0能接收到。第二静态隧道包括第二设备端虚拟网口l2tp-eth1与第二路由端虚拟网口l2tp-eth1，第二静态隧道使得车载设备1通过第二设备端虚拟网口l2tp-eth1发送出去的网络数据包，在车载路由2对应的第二路由端虚拟网口l2tp-eth1能接收到。s200设置网络访问权限策略；具体的，添加相应网络访问权限策略，使其支持对应的设备端虚拟网口，即针对车载设备1的设备端虚拟网口所对应的设备端虚拟网口标识(netid)指定对应的网络访问权限策略，然后通过对车载应用绑定设备端虚拟网口的设备端虚拟网口标识(netid)，以便使得车载应用的网络数据包从不同的设备端虚拟网口发送出去。s300获取用户在车载应用上的操作数据，根据操作数据生成网络数据包；具体的，车载设备1设置有若干个车载应用，车载应用具有操作界面，用户可以通过在该操作界面进行操作，而车载设备1能够抓取或者获取用户在车载应用的操作界面上的操作数据，并且能够获取用户当前所操作的车载应用的标识信息，可以将操作数据进行打包封装处理得到网络数据包。当然，也可以将操作数据和用户当前所操作的车载应用的标识信息进行打包封装处理得到网络数据包。s400根据网络访问权限策略和车载应用对应的标识信息，查找对应的设备端虚拟网口，通过设备端虚拟网口发送网络数据包至对应的路由端虚拟网口，由路由端虚拟网口转发网络数据包以访问对应的网络。具体的，由于网络访问权限策略包括将车载应用的标识信息(appid)与设备端虚拟网口的设备端虚拟网口标识(netid)进行绑定，以及将设备端虚拟网口的设备端虚拟网口标识(netid)与路由端虚拟网口的设备端虚拟网口标识(netid)绑定，以及将车载路由2的物理网口标识(netid)与对应的网络绑定。因此，一旦获取到车载应用对应的标识信息，能够根据标识信息和网络访问权限策略进行查询到对应的设备端虚拟网口。车载设备1将网络数据包通过查询到的设备端虚拟网口发送至对应的路由端虚拟网口，再由路由端虚拟网口转发网络数据包至对应的物理网口，最后由物理网口将网络数据包发送至对于的网络接口以访问对应的网络。本实施例中，事先设置网络访问权限策略，通过创建至少两条静态隧道，可以将不同车载应用产生的网络数据包分别通过不同的设备端虚拟网口发送至各自对应的路由端虚拟网口，从而能够将车载应用进行网络访问权限分类控制。此外，可以根据用户的需求和喜好设置网络访问权限策略，实现部分车载应用访问授权网络，而其他车载应用访问未授权网络，进而提升网络访问安全性。本发明的一个实施例，如图3所示，一种网络权限的控制方法，包括：s110将车载设备1的网络端口与车载路由2的网络端口连接；具体的，将车载设备1的网络端口与车载路由2的网络端口直连即通过网线连接。示例性的，如图2所示，车载设备1的网络端口vnet0(192.168.2.1)与车载路由2的网络端口vnet1(192.168.2.2)直连。s120获取静态隧道创建指令，根据静态隧道创建指令创建至少两条车载设备1与车载路由2之间的静态隧道；具体的，车载设备1获取用户的静态隧道创建指令，获取静态隧道创建指令的方式包括但是不限于语音输入方式、手势输入输入。根据静态隧道创建指令生成对应数量的创建线程，每一个创建线程可对应创建一个静态隧道，则使用创建线程建立车载设备1与车载路由2之间的静态隧道，即一个静态隧道中车载设备1的某个设备端虚拟网口(l2tp-ethi)与一个车载路由2的某个路由端虚拟网口(l2tp-ethj)连通，其中，i为车载设备1的第i个设备端虚拟网口的标号，j为车载路由2的第j个路由端虚拟网口的标号。示例性的，如图2所示，车载设备1和车载路由2分别通过ipl2tp命令即静态隧道创建指令，建立两条静态隧道。该两条静态隧道能实现车载设备1通过设备端虚拟网口(l2tp-eth0\l2tp-eth1)发送出去的网络数据包，在车载路由2对应的路由端虚拟网口(l2tp-eth0\l2tp-eth1)能接收到。s210获取车载应用对应的标识信息；s220根据标识信息设置网络访问权限策略，网络访问权限策略包括网络权限配置表和分发映射表；网络权限配置表包括标识信息与网络访问类型信息的对应关系，分发映射表包括标识信息与设备端虚拟网口标识的对应关系；具体的，根据车载应用对应的分类信息(包含车载应用对应的标识信息即车载应用的唯一标志即标识信息和对应的分类标志)，建立起包括车载应用的标识信息(appid)与车载应用的分类标志(nettype)对应关系的网络权限配置表，然后，根据网络权限配置表建立起包括车载应用的标识信息(appid)与设备端虚拟网口标识(netid)分发映射表。因为，由于事先将标识信息与车载应用的分类标志进行绑定，而且设置车载应用的分类标志与网络访问类型信息的对应关系，因此，网络权限配置表包括车载应用的标识信息与网络访问类型信息的对应关系。此外，由于分发映射表包括车载应用的标识信息与设备端虚拟网口标识的对应关系，因此实现了网络访问权限策略的制定。这样，通过增加网络访问权限策略，可以将车载应用与设备端虚拟网口标识(netid)进行绑定，进而通过网络访问权限策略将网络数据包从对应相应的设备端虚拟网口进行转发至对应的路由端虚拟网口。s300获取用户在车载应用上的操作数据，根据操作数据生成网络数据包；s410根据网络访问权限策略，查询标识信息对应的设备端虚拟网口；s420根据建立的静态隧道，通过设备端虚拟网口将网络数据包发送至对应的路由端虚拟网口；s430根据预设的网络地址转换规则，通过路由端虚拟网口发送网络数据包至车载路由2对应的物理网口，使得车载路由2根据预设路由表发送网络数据包以访问对应的网络。具体的，根据产生网络数据包的车载应用所对应标识信息(appid)找到对应的设备端虚拟网口标识(netid)，进而根据设备端虚拟网口标识(netid)查找匹配的设备端虚拟网口。此外，由于事先建立好静态隧道，而静态隧道中车载设备1的某个设备端虚拟网口(l2tp-ethi)与一个车载路由2的某个路由端虚拟网口(l2tp-ethj)连通。因此，根据车载应用所对应标识信息(appid)通过网络访问权限策略查找出设备端虚拟网口标识(netid)后，通过查找出设备端虚拟网口标识(netid)对应的设备端虚拟网口，根据建立好的静态隧道向指定的路由端虚拟网口发送网络数据包。车载路由2的路由端虚拟网口接收到车载设备1通过设备端虚拟网口发送过来的网络数据包后，通过iptables命令实现网络地址转换(nat)功能，即将从路由端虚拟网口接收到的网络数据包通过对应的物理网口转发出去，也就是通过预设的网络地址转换规则(例如相应iptables定义的网络地址转换规则)，将不同的网络数据包从车载路由2的不同物理网口转发出去，来访问不同的网络。示例性的，如图2所示，车载路由2分别将从第一路由端虚拟网口(l2tp-eth0)或第二路由端虚拟网口(l2tp-eth1)接收到的网络数据包从车载路由2的第一物理网口(eth0)或者第二物理网口(eth1)转发出去，从车载路由2的第一物理网口(eth0)或者第二物理网口(eth1)转发出去的网络数据包，根据相应的路由表，访问不同的网络(授权网络\未授权网络)，从而达到对车载应用网络权限控制的目的。本实施例中，事先设置网络访问权限策略，通过创建至少两条静态隧道，可以将不同车载应用产生的网络数据包分别通过不同的设备端虚拟网口发送至各自对应的路由端虚拟网口，从而能够实现基于l2tp静态隧道针对车载应用的网络权限控制，使得不同的车载设备1可以访问不同类型的网络。本发明的一个实例，结合如图2和图4所示，一种网络权限的控制方法，包括步骤：步骤1、策略制定模块110增加对虚拟网口的支持，为虚拟网口增加对应的网络访问权限策略。车载设备1的网络端口vnet0(192.168.2.1)与车载路由2的网络端口vnet1(192.168.2.2)直连。车载设备1和车载路由2分别通过ipl2tp命令，建立两条静态隧道。该两条静态隧道能实现车载设备1通过设备端虚拟网口(l2tp-eth0\l2tp-eth1)发送出去的网络数据包，在车载路由2对应的路由端虚拟网口(l2tp-eth0\l2tp-eth1)能接收到。有了对应的网络访问权限策略，可以通过将车载app120(即本发明车载应用)绑定到设备端虚拟网口标识，进而通过网络访问权限策略将网络数据包从对应设备虚拟网口发送给路由端虚拟网口，进而通过路由端虚拟网口将网络数据包从对应的物理网口发送出去。步骤2、策略制定模块110根据车载app120对应的标识信息建立网络权限配置表<appid，nettype>，根据网络权限配置表<appid，nettype>建立分发映射表<appid，netid>。步骤3、操作车载app120的操作界面，发送网络数据包。步骤4、策略制定模块110根据车载app120的标识信息(appid)查找到对应的设备端虚拟网口标识(netid)。步骤5、根据网络访问权限策略通过设备端虚拟网口标识(netid)对应的设备端虚拟网口发送网络数据包至对应的路由端虚拟网口，包括第一路由端虚拟网口(l2tp-eth0)或者第二路由端虚拟网口(l2tp-eth1)。步骤6、路由分发模块210收到设备端虚拟网口发送的网络数据包后，根据iptables建立的网络地址转换规则，将网络数据包转发到对应的第一物理网口(eth0)或者第二物理网口(eth1)。使得第一物理网口(eth0)或者第二物理网口(eth1)根据路由表访问对应的授权网络/未授权网络，从而实现基于l2tp静态隧道的网络权限控制。本发明的一个实施例，如图5所示，一种网络权限的控制系统，包括：车载设备1和车载路由2；车载设备1与车载路由2之间创建有至少两条静态隧道；车载设备1包括至少两个设备端虚拟网口11m，车载路由2包括至少两个路由端虚拟网口21n；各静态隧道包括设备端虚拟网口11m与路由端虚拟网口21n之间对应关系；车载设备1，用于设置网络访问权限策略，获取用户在车载应用上的操作数据，根据操作数据生成网络数据包，根据网络访问权限策略和车载应用对应的标识信息，查找对应的设备端虚拟网口11m，通过设备端虚拟网口11m发送网络数据包至对应的路由端虚拟网口21n；车载路由2，用于由路由端虚拟网口21n转发网络数据包以访问对应的网络。基于前述实施例，车载设备1的网络端口与车载路由2的网络端口连接；车载设备1包括：第一获取模块，用于获取静态隧道创建指令；创建模块，用于根据静态隧道创建指令创建至少两条车载设备1与车载路由2之间的静态隧道；创建模块，用于根据车载设备1的设备端虚拟网口11m、车载路由2的路由端虚拟网口21n，使用创建线程建立车载设备1与车载路由2之间的静态隧道。基于前述实施例，车载设备1包括：处理模块，用于根据网络访问权限策略，查询标识信息对应的设备端虚拟网口11m；第一通信模块，用于根据建立的静态隧道，通过设备端虚拟网口11m将网络数据包发送至对应的路由端虚拟网口21n；车载路由2包括：第二通信模块，用于根据预设的网络地址转换规则，通过路由端虚拟网口21n发送网络数据包至车载路由2对应的物理网口，使得车载路由2根据预设路由表发送网络数据包以访问对应的网络。基于前述实施例，车载设备1还包括：第二获取模块，用于获取车载应用对应的标识信息；设置模块，用于根据标识信息设置网络访问权限策略，网络访问权限策略包括网络权限配置表和分发映射表；网络权限配置表包括标识信息与网络访问类型信息的对应关系，分发映射表包括标识信息与设备端虚拟网口11m标识的对应关系。具体的，本实施例是上述方法实施例对应的装置实施例，具体效果参见上述方法实施例，在此不再一一赘述。本发明的一个实施例，如图6所示，一种计算机设备100，包括处理器110、存储器120，其中，存储器120，用于存放计算机程序；处理器110，用于执行存储器120上所存放的计算机程序，实现上述图1、图3和图4所对应方法实施例中的网络权限的控制方法。图6是本发明实施例提供的一种计算机设备100的结构示意图。参见图6，该计算机设备100包括处理器110和存储器120，还可以包括通信接口140和通信总线120，还可以包括输入/输出接口130，其中，处理器110、存储器120、输入/输出接口130和通信接口140通过通信总线120完成相互间的通信。该存储器120存储有计算机程序，该处理器110用于执行存储器120上所存放的计算机程序，实现上述图1、图3和图4所对应方法实施例中的网络权限的控制方法。通信总线120是连接所描述的元素的电路并且在这些元素之间实现传输。例如，处理器110通过通信总线120从其它元素接收到命令，解密接收到的命令，根据解密的命令执行计算或数据处理。存储器120可以包括程序模块，例如内核(kernel)，中间件(middleware)，应用程序编程接口(applicationprogramminginterface，api)和应用。该程序模块可以是有软件、固件或硬件、或其中的至少两种组成。输入/输出接口130转发用户通过输入输出设备(例如感应器、键盘、触摸屏)输入的命令或数据。通信接口140将该计算机设备100与其它网络设备、用户设备、网络进行连接。例如，通信接口140可以通过有线或无线连接到网络以连接到外部其它的网络设备或用户设备。无线通信可以包括以下至少一种：无线保真(wifi)，蓝牙(bt)，近距离无线通信技术(nfc)，全球卫星定位系统(gps)和蜂窝通信等等。有线通信可以包括以下至少一种：通用串行总线(usb)，高清晰度多媒体接口(hdmi)，异步传输标准接口(rs-232)等等。网络可以是电信网络和通信网络。通信网络可以为计算机网络、因特网、物联网、电话网络。计算机设备100可以通过通信接口140连接网络，计算机设备100和其它网络设备通信所用的协议可以被应用、应用程序编程接口(api)、中间件、内核和通信接口140至少一个支持。本发明的一个实施例，一种存储介质，存储介质中存储有至少一条指令，指令由处理器加载并执行以实现上述网络权限的控制方法对应实施例所执行的操作。例如，计算机可读存储介质可以是只读内存(rom)、随机存取存储器(ram)、只读光盘(cd-rom)、磁带、软盘和光数据存储设备等。它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。应当说明的是，上述实施例均可根据需要自由组合。以上所述仅是本发明的优选实施方式，应当指出，对于本
技术领域：
：的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。当前第1页12当前第1页12