[发明专利]机顶盒网络应用安全保护方法及系统

说明书

本发明涉及一种机顶盒网络应用安全保护方法及系统，将网络应用程序放在非特权容器中以非特权用户运行，物理网卡管理进程放在特权容器中，网络应用程序运行在独立的非特权容器中，对网络应用程序进行隔离，网络应用程序只能通过第一虚拟网卡对外通讯，而不能直接操作物理网卡设备，物理网卡设备的网络数据包也必须通过伪装方式进入非特权容器，从而保护网络应用功能避免受到外界的网络攻击，保护操作系统不受到外界的网络攻击，网络应用程序和物理网卡管理程序分离，在网络应用程序和物理网卡管理程序受到外界攻击，操作系统也不会受到影响，保证系统安全性和稳定性。

技术领域

本发明涉及数字电视领域，尤其涉及一种机顶盒网络应用安全保护方法及系统。

背景技术

随着网络技术的发展，用户对机顶盒的网络应用功能需求也不断提高，网络应用程序也被用于目前的机顶盒上，给用户带来更多的功能和体验，极大的满足了用户需求。

但是，目前的网络环境充满各种安全风险，例如网络拒绝服务攻击、网络漏洞探测、远程恶意病毒代码执行等等，这些网络安全风险将会给安装了网络应用程序的机顶盒造成很大的威胁。而现有的机顶盒大多没有采取有效的网络安全措施，这就使得机顶盒极易受到网络非法攻击，不能保证机顶盒的安全。

发明内容

有鉴于此，有必要针对上述机顶盒没有有效的网络安全措施、极易受到网络非法攻击的问题，提供一种机顶盒网络应用安全保护方法及系统。

本发明提供的一种机顶盒网络应用安全保护方法，包括如下步骤：

S10：创建非特权容器，并在非特权容器中创建第一虚拟网卡，将网络应用程序放在非特权容器中以非特权用户运行；

S20：创建特权容器，并在特权容器中创建第二虚拟网卡，把物理网卡管理进程放在特权容器中以特权用户运行；

S30：创建网桥，并将第一虚拟网卡和第二虚拟网卡桥接到网桥；

S40：通过物理网卡管理进程设置特权容器拥有对物理网卡的操作权限；

S50：设置网络应用程序只能通过第一虚拟网卡对外通讯，不能直接操作物理网卡；

S60：设置特权容器中的网络数据包伪装出物理网卡。

在其中的一个实施方式中，所述步骤S10还包括：判断应用程序是否使用网络业务功能，若使用则划分为网络应用程序，放置在非特权容器中。

在其中的一个实施方式中，所述步骤S60具体为：把网络数据包中的目标网卡标识设置成物理网卡。

本发明提供的一种机顶盒网络应用安全保护系统，包括：

非特权容器创建模块，创建非特权容器，并在非特权容器中创建第一虚拟网卡，将网络应用程序放在非特权容器中以非特权用户运行；

特权容器创建模块，创建特权容器，并在特权容器中创建第二虚拟网卡，把物理网卡管理进程放在特权容器中以特权用户运行；

网桥创建模块，创建网桥并将第一虚拟网卡和第二虚拟网卡桥接到网桥；

物理网卡设置模块，通过物理网卡管理进程设置特权容器拥有对物理网卡的操作权限，设置网络应用程序只能通过第一虚拟网卡对外通讯，不能直接操作物理网卡；

网络数据包设置模块，设置特权容器中的网络数据包伪装出物理网卡。

在其中的一个实施方式中，所述非特权容器创建模块判断应用程序是否使用网络业务功能，若使用则划分为网络应用程序，放置在非特权容器中。

在其中的一个实施方式中，所述网络数据包设置模块把网络数据包中的目标网卡标识设置成物理网卡。