都是成对出现的,从一个veth发出的数据包可以直接到达它的peer veth。veth提供了一种类似管道的抽象,可以在不同的Namespace之间建立隧道。利用虚拟网络设备,可以建立到其他Namespace中的物理设备的桥接。如果不需要连接外部网络,仅仅只需要两个Namespace之间互联,则veth就足够了。
[0081]为了连接外部的物理网络,还需要引入Linux bridge,通过给Linux bridge和VETH-B分别分配IP地址,加上相应的路由规则和路由表并结合网络地址转换技术(NAT),可以实现两个Namespace内的进程通过一个相同的物理网卡rmnetO来访问外部网络。
[0082]而对于物理网卡wlanO,如果没有米用veth虚拟网卡和bridge,并配置相应的路由规则和NAT地址转换,Namespace B内的进程是不知道wlanO这个物理网卡的存在的,因此也就不能通过walnO来访问外部网络,也就是说不能使用WIFI网络来上网。
[0083]根据本发明提供的一种终端,通过利用内核提供的Namespace机制,隔离出两个以上的相互独立的网络环境,其中在安全的网络环境中,终端只能通过移动数据网络来连接网络,从而可以为终端选择合适的连网方式并保证安全连网,保证终端中的信息安全。
[0084]需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为根据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
[0085]在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0086]通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可以用硬件实现,或固件实现,或它们的组合方式来实现。当使用软件实现时,可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于:计算机可读介质可以包括随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory, ROM)、电可擦可编程只读存储器(ElectricallyErasable Programmable Read-Only Memory,EEPROM)、只读光盘(Compact Disc Read-OnlyMemory, CD-ROM)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。此外。任何连接可以适当的成为计算机可读介质。例如,如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户线(Digital Subscriber Line,DSL)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或者其他远程源传输的,那么同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在所属介质的定影中。如本发明所使用的,盘(Disk)和碟(disc)包括压缩光碟(⑶)、激光碟、光碟、数字通用光碟(DVD)、软盘和蓝光光碟,其中盘通常磁性的复制数据,而碟则用激光来光学的复制数据。上面的组合也应当包括在计算机可读介质的保护范围之内。
[0087]总之,以上所述仅为本发明技术方案的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种基于网络隔离的安全连网方法,其特征在于,包括: 根据网络资源,隔离出至少一个第一命名空间和第二命名空间,其中,第一命名空间中的进程通过无线局域网或移动数据网络连接外部网络,第二命名空间中的进程通过所述移动数据网络连接外部网络; 接收对应一个应用的进程创建请求,所述进程为从外部网络请求数据或向所述外部网络发送数据; 根据所述应用的包名所属的集合或发起所述进程创建请求所在的域,确定所述进程属于第二命名空间; 通过所述移动数据网络连接外部网络,以请求或发送所述数据。2.如权利要求1所述的方法,其特征在于,所述集合包括一组应用的包名,对应所述集合中的应用的包名的进程属于所述第二命名空间;或 所述第二命名空间对应一个域,所述域内发起的进程属于所述第二命名空间。3.如权利要求1或2所述的方法,其特征在于,所述通过所述移动数据网络连接外部网络,以请求所述数据,包括: 将所述进程对应的数据请求发送给与第二命名空间连接的第二虚拟网卡; 所述第二虚拟网卡将所述数据请求发送给与第一命名空间连接的第一虚拟网卡;所述第一虚拟网卡根据所述数据请求来源于所述第二虚拟网卡,将所述数据请求通过所述移动数据网络发送到外部网络,以及接收所述外部网络通过所述移动数据网络返回的数据,将所述数据发送给所述第二虚拟网卡; 所述第二虚拟网卡将所述数据反馈给所述进程; 接收所述第二虚拟网卡反馈的所述数据。4.如权利要求3所述的方法,其特征在于,还包括: 所述第一虚拟网卡若接收到所述外部网络通过所述W1-Fi返回的数据,将所述数据丢弃。5.如权利要求3所述的方法,其特征在于,所述通过所述移动数据网络连接外部网络,以发送所述数据,包括: 将所述进程对应的数据发送请求发送给与第二命名空间连接的第二虚拟网卡,所述数据发送请求携带待发送的数据; 所述第二虚拟网卡将所述数据发送请求发送给与第一命名空间连接的第一虚拟网卡; 所述第一虚拟网卡根据所述数据发送请求来源于所述第二虚拟网卡,将所述待发送数据通过所述移动数据网络发送到外部网络。6.一种终端,其特征在于,所述终端包括:内核、至少一个第一命名空间和第二命名空间; 所述内核包括: 隔离单元,用于根据网络资源,隔离出所述至少一个第一命名空间和第二命名空间,其中,第一命名空间中的进程通过无线局域网或移动数据网络连接外部网络,第二命名空间中的进程通过所述移动数据网络连接外部网络; 第一接收单元,用于接收对应一个应用的进程创建请求,所述进程为从外部网络请求数据或向所述外部网络发送数据; 确定单元,用于根据所述应用的包名所属的集合或发起所述进程创建请求所在的域,确定所述进程属于第二命名空间; 连接单元,用于通过所述移动数据网络连接外部网络,以请求或发送所述数据。7.如权利要求6所述的终端,其特征在于,所述集合包括一组应用的包名,对应所述集合中的应用的包名的进程属于所述第二命名空间;或 所述第二命名空间对应一个域,所述域内发起的进程属于所述第二命名空间。8.如权利要求6或7所述的终端,其特征在于,所述终端还包括第一虚拟网卡和第二虚拟网卡; 所述连接单元包括: 发送单元,用于将所述进程对应的数据请求发送给与第二命名空间连接的第二虚拟网卡; 所述第二虚拟网卡,用于将所述数据请求发送给与第一命名空间连接的第一虚拟网卡; 所述第一虚拟网卡,用于根据所述数据请求来源于所述第二虚拟网卡,将所述数据请求通过所述移动数据网络发送到外部网络,以及接收所述外部网络通过所述移动数据网络返回的数据,将所述数据发送给所述第二虚拟网卡; 所述第二虚拟网卡还用于将所述数据反馈给所述进程; 所述连接单元还包括: 第二接收单元,用于接收所述第二虚拟网卡反馈的数据。9.如权利要求8所述的终端,其特征在于: 所述第一虚拟网卡还用于若接收到所述外部网络通过所述W1-Fi返回的数据,将所述数据丢弃。10.如权利要求8所述的终端,其特征在于: 所述发送单元还用于将所述进程对应的数据发送请求发送给与第二命名空间连接的第二虚拟网卡,所述数据发送请求携带待发送的数据; 所述第二虚拟网卡还用于将所述数据发送请求发送给与第一命名空间连接的第一虚拟网卡; 所述第一虚拟网卡还用于根据所述数据发送请求来源于所述第二虚拟网卡,将所述待发送数据通过所述移动数据网络发送到外部网络。
【专利摘要】本发明公开了一种基于网络隔离的安全连网方法及终端。其中的方法包括:根据网络资源,隔离出至少一个第一命名空间(Namespace)和第二命名空间;接收对应一个应用的进程创建请求,所述进程为从外部网络请求数据或向所述外部网络发送数据;根据所述应用的包名所属的集合或发起所述进程创建请求所在的域,确定所述进程属于第二命名空间;通过所述移动数据网络连接外部网络,以请求或发送所述数据。还公开了相应的终端。本发明通过利用内核提供的Namespace机制,隔离出两个以上的相互独立的网络环境,其中在安全的网络环境中,终端只能通过移动数据网络来连接网络,从而可以为终端选择合适的连网方式并保证安全连网,保证终端中的信息安全。
【IPC分类】H04L29/06
【公开号】CN105577632
【申请号】CN201510367443
【发明人】胡军杰, 申泽奇
【申请人】宇龙计算机通信科技(深圳)有限公司
【公开日】2016年5月11日
【申请日】2015年6月26日