实现智能设备的操作系统中程序访问ip地址限制的方法

实现智能设备的操作系统中程序访问ip地址限制的方法
【技术领域】
[0001]本发明涉及网络技术领域，尤其涉及智能设备的操作系统技术领域，具体是指一种实现智能设备的操作系统中程序访问IP地址限制的方法。
【背景技术】
[0002]智能手机，智能路由，网关允许第三方APP或插件开发并发布自己的应用，用户隐私数据在用户不知情的情况下被开发者收集，而目前智能机操作系统10S或android都提供沙箱机制，权限管理能让用户知道APP访问用户的个人信息如联系人，照片，蓝牙设备，位置服务，并把访问绝定权交给用户。然而现有技术中Android APP权限管理只能限制用户是否能上网，无法进行更多权限的管理。

【发明内容】

[0003]本发明的目的是克服了上述现有技术的缺点，提供了一种能够实现限制手机APP或路由器插件程序访问被用户拒绝的域名或IP地址管理、让APP或插件程序在类似虚拟机的容器中运行、通过对容器进行扩展、使APP或插件能完成直接运行在宿主机系统上的所有功能的实现智能设备的操作系统中程序访问IP地址限制的方法。
[0004]为了实现上述目的，本发明的实现智能设备的操作系统中程序访问IP地址限制的方法具有如下构成:
[0005]该实现智能设备的操作系统中程序访问IP地址限制的方法，其主要特点是，所述的方法包括以下步骤:
[0006](1)为需要在智能设备的操作系统中启动的程序创建一虚拟机容器；
[0007](2)设置所述的虚拟机容器中允许访问的IP地址；
[0008](3)启动所述的程序并使其运行在所述的虚拟机容器中；
[0009](4)由智能设备的操作系统控制所述的程序访问的IP地址。
[0010]较佳地，所述的步骤(1)包括以下步骤:
[0011](1-1)为需要在智能设备的操作系统中启动的程序创建一对一的虚拟机容器；
[0012](1-2)为所述的虚拟机容器创建虚拟网络接口 ；
[0013](1-3)为所述的虚拟网络接口分配IP地址。
[0014]更佳地，所述的为所述的虚拟机容器创建虚拟网络接口，具体为:
[0015]为所述的虚拟机容器选择VETH、H0ST或MACVLAN联网方式并创建相应的虚拟网络接口。
[0016]较佳地，所述的程序为APP程序或插件程序。
[0017]较佳地，所述的由智能设备的操作系统中控制所述的程序访问的IP地址，包括程序访问外部IP地址的控制和两个程序之间互相访问的控制。
[0018]更佳地，所述的程序访问外部IP地址的控制，包括以下步骤:
[0019](4-A-1)将外部IP地址的端口通过网络地址转换映射到所述的程序对应的虚拟机容器；
[0020](4-A-2)所述的程序通过映射后的IP地址的端口进行网络连接。
[0021 ]更佳地，所述的两个程序之间互相访问的控制，包括以下步骤:
[0022](4-B-1)为每个程序创建用以监听已知IP地址的守护进程；
[0023](4-B-2)当所述的守护进程监听到有程序连接时转发给服务提供的插件所在的虚拟机容器对应的IP地址和端口。
[0024]采用了该发明中的实现智能设备的操作系统中程序访问IP地址限制的方法，具有如下有益效果:
[0025](1)此专利提供给用户一种新的保护机制，如果APP收集到用户数据想上传到自己的服务器，那么此方法能对APP网络访问进行限制，使其无法和不被用户认可的网络域名或IP地址进行通信；
[0026](2)此方法能提供更为灵活的限制机制，只提供APP对某些网络地址的访问，即使APP为病毒程序，也无法对系统破坏，具有更广泛的应用范围。
【附图说明】
[0027]图1为采用本发明的实现智能设备的操作系统中程序访问IP地址限制的方法形成的架构图。
[0028]图2为采用本发明的实现智能设备的操作系统中程序访问IP地址限制的方法形成的网络拓扑图。
[0029]图3为本发明的两个程序之间交互的示意图。
【具体实施方式】
[0030]为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。
[0031]本发明涉及一种限制手机APP或路由器插件程序访问被用户拒绝的域名或IP地址管理机制，提供一种解决方案。让APP或插件程序在类似虚拟机的容器中运行。通过对容器进行扩展，使APP或插件能完成直接运行在宿主机系统上的所有功能。其优点在于防止APP或插件程序后台运行收集用户的隐私数据，并上传到用户不知道的服务器。只有域名或IP地址被用户认可，程序才有权访问。提高路由器，网关产品的安全性。
[0032]为了实现该目的，该实现智能设备的操作系统中程序访问IP地址限制的方法包括以下步骤:
[0033](1)为需要在智能设备的操作系统中启动的程序创建一虚拟机容器；
[0034](2)设置所述的虚拟机容器中允许访问的IP地址；
[0035](3)启动所述的程序并使其运行在所述的虚拟机容器中；
[0036](4)由智能设备的操作系统控制所述的程序访问的IP地址。
[0037]在一种较佳的实施方式中，所述的步骤(1)包括以下步骤:
[0038](1-1)为需要在智能设备的操作系统中启动的程序创建一对一的虚拟机容器；
[0039](1-2)为所述的虚拟机容器创建虚拟网络接口 ；
[0040](1-3)为所述的虚拟网络接口分配IP地址。
[0041]在一种更佳的实施方式中，所述的为所述的虚拟机容器创建虚拟网络接口，具体为:
[0042]为所述的虚拟机容器选择VETH、H0ST或MACVLAN联网方式并创建相应的虚拟网络接口。
[0043]在一种较佳的实施方式中，所述的程序为APP程序或插件程序。
[0044]在一种较佳的实施方式中，所述的由智能设备的操作系统控制所述的程序访问的IP地址，包括程序访问外部IP地址的控制和两个程序之间互相访问的控制。
[0045]在一种更佳的实施方式中，所述的程序访问外部IP地址的控制，包括以下步骤:
[0046](4-A-1)将外部IP地址的端口通过网络地址转换映射到所述的程序对应的虚拟机容器；
[0047](4-A-2)所述的程序通过映射后的IP地址的端口进行网络连接。
[0048]在一种更佳的实施方式中，所述的两个程序之间互相访问的控制，包括以下步骤:
[0049](4-B-1)为每个程序创建用以监听已知IP地址的守护进程；
[0050](4-B-2)当所述的守护进程监听到有程序连接时转发给服务提供的插件所在的虚拟机容器对应的IP地址和端口。
[0051]具体到本发明的实际应用中，具体过程如下:
[0052 ] 在启动APP时，首先创建一个name space，在name space中再启动app，
[0053]通过调用clone函数传入参数CL0NE_NEWNS即能创建一个namespace。
[0054]如图1所示，SMD为管理程序，后缀为cpk的插件程序都运行在namespace里面，namespace为