一种基于网络隔离的安全连网方法及终端的制作方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种基于网络隔离的安全连网方法及终端。
【背景技术】
[0002]现有智能终端如手机的网络连接策略是在有可用W1-Fi连接的情况下,优先选择使用W1-Fi网络,而在W1-Fi网络不可用的时候,才会去使用运营商网络(2G/3G/4G网络)。随着移动互联网的发展,手机在线支付、手机购物、手机网上银行等电子商务类应用在移动端迅猛发展,而这类应用带来的支付安全问题也日益凸显,如果用户连接到W1-Fi,会带来安全隐患,比如黑客可以利用W1-Fi网络,获取用户手机内的照片、个人文档等私密信息,甚至于银行卡密码等敏感信息。如果单纯禁止W1-Fi连接又会造成用户的使用不方便(毕竟运营商网络流量费用较高,且网速相对于W1-Fi较慢)。
[0003]如何选择连网方式并保证安全连网,成为当前需要解决的技术问题。
【发明内容】
[0004]本发明提供了一种基于网络隔离的安全连网方法及终端,以合适地选择连网方式并保证安全连网,保证终端中的信息安全。
[0005]一方面,提供了一种基于网络隔离的安全连网方法,包括:
[0006]根据网络资源,隔离出至少一个第一命名空间和第二命名空间,其中,第一命名空间中的进程通过无线局域网或移动数据网络连接外部网络,第二命名空间中的进程通过所述移动数据网络连接外部网络;
[0007]接收对应一个应用的进程创建请求,所述进程为从外部网络请求数据或向所述外部网络发送数据;
[0008]根据所述应用的包名所属的集合或发起所述进程创建请求所在的域,确定所述进程属于第二命名空间;
[0009]通过所述移动数据网络连接外部网络,以请求或发送所述数据。
[0010]另一方面,提供了一种终端,所述终端包括:内核、至少一个第一命名空间和第二命名空间;
[0011]所述内核包括:
[0012]隔离单元,用于根据网络资源,隔离出所述至少一个第一命名空间和第二命名空间,其中,第一命名空间中的进程通过无线局域网或移动数据网络连接外部网络,第二命名空间中的进程通过所述移动数据网络连接外部网络;
[0013]第一接收单元,用于接收对应一个应用的进程创建请求,所述进程为从外部网络请求数据或向所述外部网络发送数据;
[0014]确定单元,用于根据所述应用的包名所属的集合或发起所述进程创建请求所在的域,确定所述进程属于第二命名空间;
[0015]连接单元,用于通过所述移动数据网络连接外部网络,以请求或发送所述数据。
[0016]可见,根据本发明提供的一种基于网络隔离的安全连网方法及终端,通过利用内核提供的Namespace机制,隔离出两个以上的相互独立的网络环境,其中在安全的网络环境中,终端只能通过移动数据网络来连接网络,从而可以为终端选择合适的连网方式并保证安全连网,保证终端中的信息安全。
【附图说明】
[0017]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0018]图1为本发明实施例提供的一种基于网络隔离的安全连网方法的流程示意图;
[0019]图2为本发明实施例示例的一种基于网络隔离的安全连网的系统架构图;
[0020]图3为对图1所示实施例提供的一种基于网络隔离的安全连网方法进一步详细说明的流程示意图;
[0021]图4为本发明实施例提供的一种终端的结构示意图;
[0022]图5为对图4所示实施例提供的一种终端进一步详细说明的结构示意图。
【具体实施方式】
[0023]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0024]请参阅图1,为本发明实施例提供的一种基于网络隔离的安全连网方法的流程示意图,该方法包括以下步骤:
[0025]步骤S101,根据网络资源,隔离出至少一个第一命名空间Namespace和第二Namespace,其中,第一 Namespace中的进程通过无线局域网或移动数据网络连接外部网络,第二 Namespace中的进程通过所述移动数据网络连接外部网络。
[0026]Namespace (命名空间)是Linux内核提供的一种资源隔离机制,使用Nasmespace机制后,PID(进程的ID)、IPC(进程间通信)、NetWOrk等系统资源不再是全局性的,而是属于特定的Namespace,每个Namespace里面的资源对其他Namespace都是透明的。本实施例主要使用了其中的Network Namespace来进行网络的隔离。一个Network Namespace为进程提供了一个完全独立的网络协议栈的视图,包括网络设备接口,IPv4和IPv6协议栈,IP路由表,防火墙规则,sockets等。一个Network Namespace提供了一份独立的网络环境,就跟一个独立的系统一样。一个物理设备只能存在于一个Network Namespace中,但可以从一个Namespace移动到另一个Namespace中。图2为本发明实施例示例的一种基于网络隔离的安全连网的系统架构图,操作系统或内核根据所需的网络资源隔离出了两个网络Namespace,分别为Network Namespace A和 Network Namespace B,其中的 wlanO 为无线局域网WLAN使用的物理网卡,rmnetO为数据网络使用的物理网卡,进程通过这两个网卡来接收或者向外发送数据包。图中,APPU APP2、APP3代表对网络安全性要求比较高,这类APP放在Namespace B之后,仅能通过数据流量来上网。
[0027]步骤S102,接收对应一个应用的进程创建请求,所述进程为从外部网络请求数据或向所述外部网络发送数据。
[0028]如果用户点击某个APP进行连网获取数据或发送数据到外部网络,操作系统或内核会创建一个新的进程,该进程指示从外部网络请求数据或向外部网络发送数据。
[0029]步骤S103,根据所述应用的包名所属的集合或发起所述进程创建请求所在的域,确定所述进程属于第二 Namespace。
[0030]每个APP即每个应用都有一个包名,预先定义多个集合,每个集合为一组应用的包名,集合A中的包名对应的应用都属于Namespace A,集合B中的包名对应的应用都属于Namespace B,因此,根据创建的是哪个应用的进程以及该应用的包名,如果该包名属于集合B,就可以确定该进程属于Namespace B 了。
[0031]一个终端有多个域,规定通过某个域创建的进程必须通过移动网络连网,因此,就可以根据发起该进程创建请求所在的域,确定该进程属于Namespace B 了。
[0032]步骤S104,通过所述移动数据网络连接外部网络,以请求或发送所述数据。
[0033]确定该要求从外部网络请求数据或向外部网络发送数据的进程属于Namespace B了,就可以通过rmnetO即通过移动数据网络连网,以请求或发送数据了。
[0034]根据本发明提供的一种基于网络隔离的安全连网方法,通过利用内核提供的Namespace机制,隔离出两个以上的相互独立的网络环境,其中在安全的网络环境中,终端只能通过移动数据网络来连接网络,从而可以为终端选择合适的连网方式并保证安全连网,保证终端中的信息安全。
[0035]请参阅图3,为对图1所示实施例提供的一种基于网络隔离的安全连网方法进一步详细说明的流程示意图,该方法包括以下步骤:
[0036]步骤S201,根据网络资源,隔离出至少一个第一命名空间Namespace和第二Namespace,其中,第一 Namespace中的进程通过无线局域网或移动数据网络连接外部网络,第二 Namespace中的进程通过所述移动数据网络连接外部网络。
[0037]步骤S202,接收对应一个应用的进程创建请求,所述进程为从外部网络请求数据或向所述外部网络发送数据。
[0038]步骤S203,根据所述应用的包名所属的集合或发起所述进程创建请求所在的域,确定所述进程属于第二 Namespace。
[0039]步骤S201-S203与图1所示实施例的步骤S101-S103相同,在此不再赘述。
[0040]下面详细介绍如何通过所述移动数据网络连接外部网络,以请求或发送所述数据:
[0041]步骤S204,将所述进程对应的数据请求发送给与第二 Namespace连接的第二虚拟网卡。
[0042]步骤S205,所述第二虚拟网卡将所述数据请求发送给与第一 Namespace连接的第一虚拟网卡。
[0043]步骤S206,所述第