CN109246065A - 网络隔离方法和装置以及电子设备 - Google Patents
网络隔离方法和装置以及电子设备 Download PDFInfo
- Publication number
- CN109246065A CN109246065A CN201710560613.4A CN201710560613A CN109246065A CN 109246065 A CN109246065 A CN 109246065A CN 201710560613 A CN201710560613 A CN 201710560613A CN 109246065 A CN109246065 A CN 109246065A
- Authority
- CN
- China
- Prior art keywords
- packet
- data packet
- recipient
- isolation
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种网络隔离方法和装置以及电子设备。该方法包括:获取待发送的数据包;为所述数据包设置隔离参数;向接收方应用发送设置有隔离参数的所述数据包。本发明实施例针对部署于机器中的应用,为应用发出的数据包设置隔离参数,使得,接收端通过该隔离参数判断接收方应用是否允许通信,实现了安全的网络隔离。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种网络隔离方法和装置以及电子设备。
背景技术
在容器场景中,应用和机器以多对多的模式部署,单台机器可以部署多个应用,单个应用也可以部署在多台机器上。为了保证网络安全,是不允许某些应用之间进行通信的,也就是说,需要对特定的应用采取隔离措施。
传统的隔离方案有以下几类:
1、使用应用层协议认证。在应用层为应用设置访问权限,允许通信的应用之间通过认证权限而通信。
2、基于网络层的虚拟局域网(Virtual Local Area Network;以下简称:VLAN)技术。在网络层划分多个虚拟子网,将允许通信的应用部署于同一个子网中,将不允许通信的应用部署于不同的子网中,以实现网络隔离。
发明人在实现本发明的过程中,发现现有技术至少存在如下问题:针对采用应用层协议认证的隔离方案,需要应用在实现上支持认证,如果应用本身不支持认证或者不支持特定类型的认证,则无法实现隔离;针对基于网络层VLAN的隔离方案,受限于VLAN技术,最多支持4096个子网,无法满足更多应用的部署,另外,VLAN技术中的以太网帧完全明文,存在被篡改的风险。
发明内容
本发明实施例提供一种网络隔离方法和装置以及电子设备,以避免现有技术的缺陷,实现安全、可靠的网络隔离。
为达到上述目的,本发明实施例提供了一种网络隔离方法,包括:获取待发送的数据包;为所述数据包设置隔离参数;向接收方应用发送设置有隔离参数的所述数据包。
本发明实施例还提供了一种网络隔离方法,包括:接收设置有隔离参数的数据包;对所述数据包进行关于所述隔离参数的匹配操作;当所述隔离参数与所述接收方应用相匹配时,向所述接收方应用发送所述数据包。
本发明实施例还提供了一种数据发送装置,包括:获取模块,用于获取待发送的数据包;设置模块,用于为所述数据包设置隔离参数;发送模块,用于向接收方应用发送设置有隔离参数的所述数据包。
本发明实施例还提供了一种数据接收装置,包括:接收模块,用于接收设置有隔离参数的数据包;匹配模块,用于对所述数据包进行关于所述隔离参数的匹配操作;执行模块,用于当所述隔离参数与所述接收方应用相匹配时,向所述接收方应用发送所述数据包。
本发明实施例还提供一种电子设备,包括:存储器,用于存储程序;处理器,用于运行所述存储器中存储的所述程序,以用于:获取待发送的数据包;为所述数据包设置隔离参数;向接收方应用发送设置有隔离参数的所述数据包。
本发明实施例还提供一种电子设备,包括:存储器,用于存储程序;处理器,用于运行所述存储器中存储的所述程序,以用于:接收设置有隔离参数的数据包;对所述数据包进行关于所述隔离参数的匹配操作;当所述隔离参数与接收方应用相匹配时,向所述接收方应用发送所述数据包。
本发明实施例提供的网络隔离方法和装置以及电子设备,针对部署于机器中的应用,为应用发出的数据包设置隔离参数,使得,接收端通过该隔离参数判断接收方应用是否允许通信,实现了安全的网络隔离。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例提供的网络隔离方法的原理示意图;
图2为本发明实施例提供的业务***的结构示意图;
图3为本发明提供的网络隔离方法一个实施例的流程图;
图4a为本发明提供的网络隔离方法一个具体实施例的流程图;
图4b为本发明实施例中数据结构的示意图;
图5为本发明提供的网络隔离方法另一个实施例的流程图;
图6为本发明提供的网络隔离方法另一个具体实施例的流程图;
图7为本发明提供的数据发送装置一个实施例的结构示意图;
图8为本发明提供的数据接收装置一个实施例的结构示意图;
图9为本发明提供的电子设备一个实施例的结构示意图;
图10为本发明提供的电子设备另一个实施例的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
针对现有技术的缺陷,本申请提供一种解决方案,其主要原理是:为部署于机器中的各个应用配置隔离参数,当一个应用(发送方应用)向另一个应用(接收方应用)发送数据包时,为该数据包设置配置参数,通过该配置参数确定接收方应用是否允许与发送方应用通信。具体地,在对应用进行部署时,可以将应用进行分组,为允许通信的应用分配相同的分组ID(Identity,标识),在发送数据时为数据包设置相应的分组ID,(例如,可以将分组ID添加到数据包中发送,也可以将数据包和分组ID一起发送),使得,接收方的机器通过比较分组ID而判断是否允许通信,从而实现安全的网络隔离。也可以在部署应用时,为每一个应用配置一对不对称密钥,私钥自己保留,公钥向其它允许通信的应用公开。当发送方应用向接收方应用发送数据包时,发送方的机器用接收方应用的公钥对数据包中的指定部分进行加密操作,以使得接收方的机器用接收方应用的私钥对执行部分进行解密,通过解密结果以判断公钥和私钥是否匹配,该次通信是否被允许。这种方式可以实现两个应用之间的单向通信,即,A可以向B发送数据,B无法向A发送数据。图1为本发明实施例提供的网络隔离方法的原理示意图。本发明实施例通信双方可以基于传输控制协议(Transmission ControlProtocol;以下简称:TCP),并使用Linux***。如图1所示,假设在机器1上部署应用A和C,在机器2上部署应用B和C。用户希望实现应用A和B可以相互通信,而应用C与A、B都不能通信。那么将应用分组,将应用A和B分为一组,为其分配分组ID(group=1000),将应用C分为另一组,为其分配分组ID(group=1001)。当部署于机器1中的应用A向部署于机器2中的应用B发送数据时,机器1的发送模块(Netfilter Module Sent)将应用A的分组ID(group=1000)添加到应用A发出的TCP数据包的Option字段中,并封装成IP包,通过以太网接口(EthX)发送至机器2。当机器2接收到IP包时,接收模块(Netfilter Module Sent)解封装出TCP数据包,并获取添加在TCP数据包中的分组ID(group=1000),然后,根据TCP数据包的目标地址找到应用B,并比较TCP数据包中的分组ID与应用B的分组ID是否一致,如果是,则允许通信(将数据发送给应用B),否则,不允许通信(丢弃数据或返回拒绝通信的消息等)。
本发明实施例提供的方法可应用于任何部署多个应用的业务***。图2为本发明实施例提供的业务***的结构示意图。如图2所示,该业务***由数台机器组成,每台机器用于部署至少一个应用,每个应用可以部署于至少一台机器中。通常情况,一台机器同时具有发送和接收数据的功能,一个应用也可以接收和发送数据,因此,在本发明实施例中的机器可以用于同时部署发送方应用和接收方应用,同时启动发送和接收模块。该业务***通过外部调用服务来获取数据,外部调用服务可以是任何能够提供或者产生数据的服务,其主要来自于业务***对其他***或者客户端的业务访问或者服务调用,外部调用服务是新数据产生的主要来源。用于部署发送方应用的机器(简称:发送端,在图1中表示为机器1)包括获取模块、设置模块和发送模块,可以用来执行下述图3所示的处理流程。当部署于机器1中的应用(发送方应用)发送数据时,机器1获取发送方应用所发出的数据包;然后,为该数据包设置与发送方应用对应的隔离参数;最后,将设置有隔离参数的数据包发送至接收方应用。用于部署接收方应用的机器(简称:接收端,在图1中表示为机器2)包括接收模块、匹配模块和执行模块,可以用来执行下述图5所示的处理流程。当机器2接收到数据包时,获取为该数据包设置的隔离参数;对数据进行关于该配置参数的匹配操作,以确定接收方应用是否允许与发送方应用通信。
实施例一
图3为本发明提供的网络隔离方法一个实施例的流程图,该方法的执行主体可以为上述实施例所描述的用于部署发送方应用的机器。如图3所示,该网络隔离方法包括如下步骤:
S301,获取待发送的数据包。
S302,为数据包设置隔离参数,该隔离参数可以用于隔离不允许通信的应用。
在本发明实施例中,隔离参数可以为分组ID,该分组ID用于标识允许通信的应用的分组,每个分组中的所有应用对应同一个分组ID。发送端向数据包中添加分组ID(也可以,采取将数据包和分组ID一起发送的方式)。接收端在接收到数据包时,可以通过比较分组ID而判断双方应用是否属于同一个分组,是否允许通信。
另外,本发明实施例中的隔离参数也可以为接收该数据包的接收方应用的公钥,该公钥用于与接收方应用的私钥配合使用,以确定接收方应用是否允许通信。发送端在向数据包中设置公钥时,具体的设置方式可以是,用接收方应用的公钥对数据包中的指定部分进行加密操作,然后,将经过处理后的数据包发送至接收端。接收端在接收到数据包后,用接收方应用的私钥对接收到的数据包中的指定部分进行解密操作。若能解密成功,证明该公钥与接收方应用相匹配。这种方式可以实现两个应用之间的单向通信,即,A可以向B发送数据,B无法向A发送数据。
S303,向接收方应用发送设置有隔离参数的数据包。
本发明实施例提供的网络隔离方法,针对部署于机器中的应用,为应用发出的数据包设置隔离参数,使得,接收端通过该隔离参数判断接收方应用是否允许通信,实现了安全的网络隔离。
图4a为本发明提供的网络隔离方法一个具体实施例的流程图。如图4a所示,在上述图3所示实施例的基础上,本发明实施例提供的网络隔离方法可以具体包括如下步骤:
S401,获取发送方应用所发出的TCP数据包,该TCP数据包的目标地址为接收方应用的地址。
S402,向TCP数据包中添加分组ID,该分组ID用于标识允许通信的应用的分组,每个分组中的应用对应同一个分组ID。
本发明实施例中,在对应用进行部署时,用户可以将应用进行分组,为允许通信的应用分配相同的分组ID,当发送方应用向接收方应用发送数据时,用于部署发送方应用的机器首先获取发送方应用所发出的TCP数据包,然后,向该TCP数据包中添加分组ID。
S403,将添加了分组ID的TCP数据包封装为网际互联协议(Internet Protocol;以下简称:IP)包,并发送至目标地址。
另一方面,为了防止分组ID在传输过程中被篡改,在上述步骤S402之前,用于部署发送方应用的机器可以对分组ID进行加密处理,形成加密分组ID,然后,向TCP数据包中添加加密分组ID;最后,将添加了加密分组ID的TCP数据包封装为IP包,并发送至目标地址。使得用于部署接收方应用的机器在接收到IP包时,通过比较TCP数据包中的分组ID(或解密分组ID)与接收方应用对应的分组ID是否一致,来判断是否允许通信。
在本发明实施例中,可以将分组ID添加到TCP数据包中,也可以将分组ID添加到IP包中。图4b为本发明实施例中数据结构的示意图。如图4b所示,可以将分组ID添加到TCP数据包的TCP包头中的Option(选项)字段中,然后,将添加了分组ID的TCP数据包作为IP包的IP数据,进行封装并发送;也可以在封装TCP数据包时,将TCP数据包作为IP包的IP数据,将分组ID添加到IP包的Option(选项)字段中,然后进行发送。
本发明实施例提供的网络隔离方法,对部署于机器中的应用进行分组,为允许通信的应用分配相同的分组ID,在发送数据时设置相应的分组ID,使得,接收端通过分组ID判断是否允许通信,实现了安全的网络隔离。
实施例二
图5为本发明提供的网络隔离方法另一个实施例的流程图,该方法的执行主体可以为上述实施例所描述的用于部署接收方应用的机器。如图5所示,本实施例提供的网络隔离方法可以包括以下步骤:
S501,接收设置有隔离参数的数据包。该隔离参数可以用于隔离不允许通信的应用。
S502,对数据包进行关于该隔离参数的匹配操作。
在本发明实施例中,隔离参数可以为分组ID,该分组ID用于标识允许通信的应用的分组,每个分组中的所有应用对应同一个分组ID。此时,步骤S502可以包括:比较为数据包设置的分组ID与接收方应用对应的分组ID是否一致;当为数据包设置的分组ID与接收方应用对应的分组ID一致时,确定该隔离参数与接收方应用相匹配。
另外,本发明实施例中的隔离参数可以为公钥,该公钥用于与接收方应用的私钥配合使用,以确定接收方应用是否允许通信。接收端在接收到数据包后,用接收方应用的私钥对接收到的数据包中的指定部分进行解密操作,若能解密成功,证明该公钥与接收方应用相匹配。
S503,当隔离参数与接收方应用相匹配时,向接收方应用发送该数据包。
本发明实施例提供的网络隔离方法,针对部署于机器中的应用,接收端在接收到数据包后,获取为该数据包设置的隔离参数,通过该隔离参数判断接收方应用是否允许通信,实现了安全的网络隔离。
图6为本发明提供的网络隔离方法另一个具体实施例的流程图。如图6所示,在上述图5所示实施例的基础上,本发明实施例提供的网络隔离方法可以具体包括如下步骤:
S601,对接收到的IP包进行解封装,以获取设置有分组ID的TCP数据包,该分组ID用于标识允许通信的应用的分组,每个分组中的应用对应同一个分组ID。
S602,比较为TCP数据包设置的分组ID与接收方应用对应的分组ID是否一致。
在本发明实施例中,当用于部署接收方应用的机器接收到IP包时,首先对其进行解封装,获得添加有分组ID的TCP数据包;然后比较为该TCP数据包设置的分组ID与接收方应用对应的分组ID是否一致。
S603,当为TCP数据包设置的分组ID与接收方应用对应的分组ID一致时,将TCP数据包发送至接收方应用。
在本发明实施例中,只有两个应用允许通信的情况下,其对应的分组ID才会一致。因此,当为TCP数据包设置的分组ID与接收方应用对应的分组ID一致时,用于部署接收方应用的机器将TCP数据包发送至接收方应用。
另一方面,为了防止分组ID在传输过程中被篡改,在发送端可以对分组ID进行加密操作。因此,在接收端,如果解封装出的分组ID是已加密的分组ID,则用于部署接收方应用的机器首先需要对其进行解密操作,形成解密分组ID。然后,比较解密分组ID与接收方应用对应的分组ID是否一致;当解密分组ID与接收方应用对应的分组ID一致时,将该TCP数据包发送至接收方应用。
本发明实施例提供的网络隔离方法,对部署于机器中的应用进行分组,为允许通信的应用分配相同的分组ID,在发送数据时设置相应的分组ID,接收端通过分组ID判断是否允许通信,实现了安全的网络隔离。
实施例三
图7为本发明提供的数据发送装置一个实施例的结构示意图,可用于执行如图3所示的方法步骤。如图7所示,该数据发送装置可以包括:获取模块71、设置模块72和发送模块73。
其中,获取模块71用于获取待发送方的数据包;设置模块72用于为数据包设置隔离参数,该隔离参数用于隔离不允许通信的应用;发送模块73用于向接收方应用发送设置有隔离参数的数据包。
在本发明实施例中,隔离参数可以为分组ID,该分组ID用于标识允许通信的应用的分组,每个分组中的所有应用对应同一个分组ID。在对应用进行部署时,用户可以将应用进行分组,为允许通信的应用分配相同的分组ID,当发送方应用向接收方应用发送数据时,获取模块71首先获取发送方应用所发出的数据包,然后,设置模块72向该数据包中添加分组ID,由发送模块73将设置有分组ID的数据包发送至接收方应用;或者,不将分组ID添加到数据包中,而是由发送模块73将数据包和分组ID一起发送。
另外,本发明实施例中的隔离参数也可以为接收该数据包的接收方应用的公钥,该公钥用于与接收方应用的私钥配合使用,以确定接收方应用是否允许通信。设置模块72用该公钥对数据包中的指定部分进行加密操作,可以参考实施例一中的步骤S302的具体描述,在此不再赘述。
另一方面,为了防止分组ID在传输过程中被篡改,数据发送装置还可以包括:加密模块(图中未示出)。该加密模块可以用于对分组ID进行加密操作。在设置模块72为TCP数据包设置分组ID之前,加密模块可以对分组ID进行加密操作,形成加密分组ID,然后,设置模块72为TCP数据包设置加密分组ID;最后,发送模块73将添加了加密分组ID的TCP数据包封装为IP包(或者,将TCP数据包和加密分组ID一起封装为IP包),并发送至目标地址。使得用于部署接收方应用的机器在接收到IP包时,通过比较为TCP数据包设置的分组ID(或解密分组ID)与接收方应用对应的分组ID是否一致,来判断是否允许通信。举例说明,在将加密分组ID添加到TCP数据包中时,可以将加密分组ID添加到TCP数据包的Option(选项)字段中;在将TCP数据包和加密分组ID一起封装为IP包时,可以将加密分组ID添加到IP包的Option(选项)字段中。
本发明实施例提供的数据发送装置,针对部署于机器中的应用,为应用发出的数据包设置隔离参数(如,分组ID或接收方应用的公钥等),使得,接收端通过该隔离参数判断接收方应用是否允许通信,实现了安全的网络隔离。
实施例四
图8为本发明提供的数据接收装置一个实施例的结构示意图,可用于执行如图5所示的方法步骤。如图8所示,该数据接收装置可以包括:接收模块81、匹配模块82和执行模块83。
其中,接收模块81用于接收设置有隔离参数的数据包,该隔离参数用于隔离不允许通信的应用;匹配模块82用于对数据包进行关于该隔离参数的匹配操作;执行模块83用于当该隔离参数与接收方应用相匹配时,向接收方应用发送数据包。
在本发明实施例中,隔离参数可以为分组ID,该分组ID用于标识允许通信的应用的分组,每个分组中的所有应用对应同一个分组ID。当接收模块81接收到数据包时,首先获取为其设置的分组ID;然后,匹配模块82比较为该数据包设置的分组ID与接收方应用对应的分组ID是否一致。只有两个应用允许通信的情况下,其对应的分组ID才会一致。因此,当为数据包设置的分组ID与接收方应用对应的分组ID一致时,确定该隔离参数与接收方应用相匹配。此时,执行模块83将数据包发送至接收方应用。
另外,本发明实施例中的隔离参数也可以为接收该数据包的接收方应用的公钥,该公钥用于与接收方应用的私钥配合使用,以确定接收方应用是否允许通信。匹配模块82用于用接收方应用的私钥对接收到的数据包中的指定部分进行解密操作,以确定该隔离参数与接收方应用是否匹配。匹配模块82对隔离参数的匹配操作可以参考实施例二中的步骤S502的具体描述,在此不再赘述。
另一方面,为了防止分组ID在传输过程中被篡改,该数据接收装置还可以包括:解密模块(图中未示出)。该解密模块可以用于对为TCP数据包设置的分组ID进行解密操作。因此,如果接收模块81解封装出的分组ID是已加密的分组ID,则解密模块首先需要对其进行解密操作,形成解密分组ID。然后,匹配模块82比较解密分组ID与接收方应用对应的分组ID是否一致;当解密分组ID与接收方应用对应的分组ID一致时,执行模块83将该TCP数据包发送至接收方应用。
本发明实施例提供的数据接收装置,针对部署于机器中的应用,接收端在接收到数据包后,获取为其设置的隔离参数,通过该隔离参数判断接收方应用是否允许通信,实现了安全的网络隔离。
实施例五
以上描述了数据发送装置的内部功能和结构,该装置可实现为一种电子设备。图9为本发明提供的电子设备一个实施例的结构示意图。如图9所示,该电子设备包括存储器91和处理器92。
存储器91,用于存储程序。除上述程序之外,存储器91还可被配置为存储其它各种数据以支持在电子设备上的操作。这些数据的示例包括用于在电子设备上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。
存储器91可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
处理器92,与存储器91耦合,执行存储器91所存储的程序,以用于:
获取待发送的数据包;为数据包设置隔离参数,该隔离参数用于隔离不允许通信的应用;向接收方应用发送设置有隔离参数的数据包。
上述的具体处理操作已经在前面实施例中进行了详细说明,在此不再赘述。
进一步,如图9所示,电子设备还可以包括:通信组件93、电源组件94、音频组件95、显示器96等其它组件。图9中仅示意性给出部分组件,并不意味着电子设备只包括图9所示组件。
通信组件93被配置为便于电子设备和其他设备之间有线或无线方式的通信。电子设备可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件93经由广播信道接收来自外部广播管理***的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件93还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
电源组件94,为电子设备的各种组件提供电力。电源组件94可以包括电源管理***,一个或多个电源,及其他与为电子设备生成、管理和分配电力相关联的组件。
音频组件95被配置为输出和/或输入音频信号。例如,音频组件95包括一个麦克风(MIC),当电子设备处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器91或经由通信组件93发送。在一些实施例中,音频组件95还包括一个扬声器,用于输出音频信号。
显示器96包括屏幕,其屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。
实施例六
以上描述了数据接收装置的内部功能和结构,该装置可实现为一种电子设备。图10为本发明提供的电子设备另一个实施例的结构示意图。如图10所示,该电子设备包括存储器101和处理器102。
存储器101,用于存储程序。除上述程序之外,存储器101还可被配置为存储其它各种数据以支持在电子设备上的操作。这些数据的示例包括用于在电子设备上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。
存储器101可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
处理器102,与存储器101耦合,执行存储器101所存储的程序,以用于:
接收到设置有隔离参数的数据包,该隔离参数用于隔离不允许通信的应用;对数据包进行关于该隔离参数的匹配操作;当隔离参数与接收方应用相匹配时,向接收方应用发送该数据包。
上述的具体处理操作已经在前面实施例中进行了详细说明,在此不再赘述。
进一步,如图10所示,电子设备还可以包括:通信组件103、电源组件104、音频组件105、显示器106等其它组件。图10中仅示意性给出部分组件,并不意味着电子设备只包括图10所示组件。
通信组件103被配置为便于电子设备和其他设备之间有线或无线方式的通信。电子设备可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件103经由广播信道接收来自外部广播管理***的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件103还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
电源组件104,为电子设备的各种组件提供电力。电源组件104可以包括电源管理***,一个或多个电源,及其他与为电子设备生成、管理和分配电力相关联的组件。
音频组件105被配置为输出和/或输入音频信号。例如,音频组件105包括一个麦克风(MIC),当电子设备处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器101或经由通信组件103发送。在一些实施例中,音频组件105还包括一个扬声器,用于输出音频信号。
显示器106包括屏幕,其屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (20)
1.一种网络隔离方法,其特征在于,包括:
获取待发送的数据包;
为所述数据包设置隔离参数;
向接收方应用发送设置有隔离参数的所述数据包。
2.根据权利要求1所述的网络隔离方法,其特征在于,所述为所述数据包设置隔离参数,具体为:
为所述数据包设置分组ID,所述分组ID用于标识允许通信的应用的分组,每个分组中的所有应用对应同一个分组ID。
3.根据权利要求1所述的网络隔离方法,其特征在于,所述为所述数据包设置隔离参数,具体为:
用接收所述数据包的接收方应用的公钥对所述数据包中的指定部分进行加密操作,所述公钥用于与所述接收方应用的私钥配合使用,以确定所述接收方应用是否允许通信。
4.根据权利要求1至3中任一权利要求所述的网络隔离方法,其特征在于,所述待发送的数据包为TCP数据包。
5.根据权利要求4所述的网络隔离方法,其特征在于,所述向接收方应用发送设置有隔离参数的所述数据包,包括:
将设置有隔离参数的所述TCP数据包封装为IP包;
向所述接收方应用发送所述IP包。
6.根据权利要求1至3中任一权利要求所述的网络隔离方法,其特征在于,在所述为所述数据包设置隔离参数之前,还包括:
对所述隔离参数进行加密处理。
7.一种网络隔离方法,其特征在于,包括:
接收设置有隔离参数的数据包;
对所述数据包进行关于所述隔离参数的匹配操作;
当所述隔离参数与接收方应用相匹配时,向所述接收方应用发送所述数据包。
8.根据权利要求7所述的网络隔离方法,其特征在于,所述对所述数据包进行关于所述隔离参数的匹配操作,包括:
比较为所述数据包设置的分组ID与所述接收方应用对应的分组ID是否一致,所述分组ID用于标识允许通信的应用的分组,每个分组中的所有应用对应同一个分组ID;
当为所述数据包设置的分组ID与所述接收方应用对应的分组ID一致时,确定所述隔离参数与所述接收方应用相匹配。
9.根据权利要求7所述的网络隔离方法,其特征在于,所述对所述数据包进行关于所述隔离参数的匹配操作,包括:
用所述接收方应用的私钥对接收到的所述数据包中的指定部分进行解密操作;
当所述私钥成功解密出所述数据包时,确定所述隔离参数与所述接收方应用相匹配。
10.根据权利要求7至9中任一权利要求所述的网络隔离方法,其特征在于,接收到的所述数据包为IP包。
11.根据权利要求10所述的网络隔离方法,其特征在于,在所述对所述数据包进行关于所述隔离参数的匹配操作之前,还包括:
对接收到的所述IP包进行解封装;
获取设置有隔离参数的TCP数据包。
12.根据权利要求7至9中任一权利要求所述的网络隔离方法,其特征在于,在所述对所述数据包进行关于所述隔离参数的匹配操作之前,还包括:
对所述隔离参数进行解密处理。
13.一种数据发送装置,其特征在于,包括:
获取模块,用于获取待发送的数据包;
设置模块,用于为所述数据包设置隔离参数;
发送模块,用于向接收方应用发送设置有隔离参数的所述数据包。
14.根据权利要求13所述的数据发送装置,其特征在于,所述隔离参数为分组ID,所述设置模块用于为所述数据包设置分组ID,所述分组ID用于标识允许通信的应用的分组,每个分组中的所有应用对应同一个分组ID。
15.根据权利要求13所述的数据发送装置,其特征在于,所述隔离参数为接收所述数据包的接收方应用的公钥,所述设置模块用于用所述公钥对所述数据包中的指定部分进行加密操作,所述公钥用于与所述接收方应用的私钥配合使用,以确定所述接收方应用是否允许通信。
16.一种数据接收装置,其特征在于,包括:
接收模块,用于接收设置有隔离参数的数据包;
匹配模块,用于对所述数据包进行关于所述隔离参数的匹配操作;
执行模块,用于当所述隔离参数与接收方应用相匹配时,向所述接收方应用发送所述数据包。
17.根据权利要求16所述的数据接收装置,其特征在于,所述匹配模块还用于,比较为所述数据包设置的分组ID与所述接收方应用对应的分组ID是否一致,当为所述数据包设置的分组ID与所述接收方应用对应的分组ID一致时,确定所述隔离参数与所述接收方应用相匹配,所述分组ID用于标识允许通信的应用的分组,每个分组中的所有应用对应同一个分组ID。
18.根据权利要求16所述的数据接收装置,其特征在于,所述匹配模块还用于,用所述接收方应用的私钥对接收到的所述数据包中的指定部分进行解密操作,当所述私钥成功解密出所述数据包时,确定所述隔离参数与所述接收方应用相匹配。
19.一种电子设备,其特征在于,包括:
存储器,用于存储程序;
处理器,用于运行所述存储器中存储的所述程序,以用于:
获取待发送的数据包;
为所述数据包设置隔离参数;
向接收方应用发送设置有隔离参数的所述数据包。
20.一种电子设备,其特征在于,包括:
存储器,用于存储程序;
处理器,用于运行所述存储器中存储的所述程序,以用于:
接收设置有隔离参数的数据包;
对所述数据包进行关于所述隔离参数的匹配操作;
当所述隔离参数与接收方应用相匹配时,向所述接收方应用发送所述数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710560613.4A CN109246065A (zh) | 2017-07-11 | 2017-07-11 | 网络隔离方法和装置以及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710560613.4A CN109246065A (zh) | 2017-07-11 | 2017-07-11 | 网络隔离方法和装置以及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109246065A true CN109246065A (zh) | 2019-01-18 |
Family
ID=65083897
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710560613.4A Pending CN109246065A (zh) | 2017-07-11 | 2017-07-11 | 网络隔离方法和装置以及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109246065A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050091658A1 (en) * | 2003-10-24 | 2005-04-28 | Microsoft Corporation | Operating system resource protection |
| CN102271333A (zh) * | 2011-08-08 | 2011-12-07 | 东南大学 | 一种基于可信链传递的3g消息安全收发方法 |
| EP2535832A1 (en) * | 2011-06-17 | 2012-12-19 | Simulity Labs Ltd | A method for operating a virtual machine over a file system |
| CN103476032A (zh) * | 2013-08-28 | 2013-12-25 | 北京创毅讯联科技股份有限公司 | 一种lte企业网中分组用户设备间的通信方法和*** |
| CN103971065A (zh) * | 2014-05-16 | 2014-08-06 | 北京网秦天下科技有限公司 | 用于防止篡改数据的方法和设备 |
| CN104680084A (zh) * | 2015-03-20 | 2015-06-03 | 北京瑞星信息技术有限公司 | 计算机中保护用户隐私的方法和*** |
| CN105656632A (zh) * | 2015-12-29 | 2016-06-08 | 蓝盾信息安全技术股份有限公司 | 一种群组rfid标签身份认证方法 |
| CN105723425A (zh) * | 2013-12-05 | 2016-06-29 | 德国邮政股份公司 | 访问控制*** |
-
2017
- 2017-07-11 CN CN201710560613.4A patent/CN109246065A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050091658A1 (en) * | 2003-10-24 | 2005-04-28 | Microsoft Corporation | Operating system resource protection |
| EP2535832A1 (en) * | 2011-06-17 | 2012-12-19 | Simulity Labs Ltd | A method for operating a virtual machine over a file system |
| CN102271333A (zh) * | 2011-08-08 | 2011-12-07 | 东南大学 | 一种基于可信链传递的3g消息安全收发方法 |
| CN103476032A (zh) * | 2013-08-28 | 2013-12-25 | 北京创毅讯联科技股份有限公司 | 一种lte企业网中分组用户设备间的通信方法和*** |
| CN105723425A (zh) * | 2013-12-05 | 2016-06-29 | 德国邮政股份公司 | 访问控制*** |
| CN103971065A (zh) * | 2014-05-16 | 2014-08-06 | 北京网秦天下科技有限公司 | 用于防止篡改数据的方法和设备 |
| CN104680084A (zh) * | 2015-03-20 | 2015-06-03 | 北京瑞星信息技术有限公司 | 计算机中保护用户隐私的方法和*** |
| CN105656632A (zh) * | 2015-12-29 | 2016-06-08 | 蓝盾信息安全技术股份有限公司 | 一种群组rfid标签身份认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI756439B (zh) | 入網認證方法、裝置及系統 | |
| EP3605989B1 (en) | Information sending method, information receiving method, apparatus, and system | |
| US10237247B2 (en) | User interface systems and methods for secure message oriented communications | |
| EP3358805B1 (en) | Systems and methods for provisioning a camera with a dynamic qr code and a ble connection | |
| CN102595404B (zh) | 用于存储和执行访问控制客户端的方法及装置 | |
| CN109936547A (zh) | 身份认证方法、***及计算设备 | |
| CN108702371A (zh) | 用于产生用于安全验证的动态ipv6地址的***、设备和方法 | |
| CN104581710B (zh) | 一种在空口上安全传输lte用户imsi的方法和*** | |
| US11997193B2 (en) | Secure communication method and smart lock system based thereof | |
| US9398455B2 (en) | System and method for generating an identification based on a public key of an asymmetric key pair | |
| CN103986723B (zh) | 一种保密通信控制、保密通信方法及装置 | |
| US10880079B2 (en) | Private key generation method and system, and device | |
| CN106656923A (zh) | 一种设备关联方法、秘钥更新方法及装置 | |
| CN107852326A (zh) | 用于监视加密通信会话的方法、装置和*** | |
| CN106657136B (zh) | 终端设备、隐匿信道通信方法及其装置 | |
| CN106031120A (zh) | 密钥管理 | |
| CN107534555B (zh) | 一种用于证书验证的方法及装置 | |
| CN104065648A (zh) | 一种语音通话的数据处理方法 | |
| EP3320648B1 (en) | Two-user authentication | |
| CN105228144B (zh) | 基于临时mac地址的接入方法、装置及*** | |
| CN109246065A (zh) | 网络隔离方法和装置以及电子设备 | |
| WO2016067113A1 (en) | Pseudonymous proximity location device | |
| CN113709732A (zh) | 网络接入方法、用户设备、网络实体及存储介质 | |
| SK500542015U1 (en) | System for secure transmission of voice communication via the communication network and method for secure transmission of voice communication | |
| CN104080080A (zh) | 一种语音通话的数据处理*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190118 |