本發(fā)明涉及計算機
技術(shù)領(lǐng)域：
：，尤其涉及一種網(wǎng)絡(luò)訪問控制的方法和裝置。
背景技術(shù)：
：：隨著計算機技術(shù)的日益發(fā)展，越來越多的應(yīng)用環(huán)境需要網(wǎng)絡(luò)訪問控制功能，甚至希望對第三方應(yīng)用軟件進行網(wǎng)絡(luò)訪問控制。目前，網(wǎng)絡(luò)訪問控制的方法主要有兩種：1）配置系統(tǒng)的防火墻，對整個系統(tǒng)實施網(wǎng)絡(luò)訪問策略；2）應(yīng)用軟件本身提供網(wǎng)絡(luò)訪問控制功能以供用戶配置使用。上述方法存在以下問題：1）難以實現(xiàn)在同一物理機上為不同應(yīng)用實施不同的網(wǎng)絡(luò)訪問策略，也難以實現(xiàn)對無法改動的第三方應(yīng)用軟件和/或不支持網(wǎng)絡(luò)訪問控制的第三方應(yīng)用軟件實施網(wǎng)絡(luò)訪問策略；2）修改應(yīng)用軟件代碼，代價大、成本高，并且網(wǎng)絡(luò)訪問控制不徹底。技術(shù)實現(xiàn)要素：本發(fā)明旨在至少解決上述技術(shù)問題之一。為此，本發(fā)明的第一個目的在于提出一種網(wǎng)絡(luò)訪問控制的方法。該方法無需修改應(yīng)用軟件代碼，降低了成本，無需對防火墻進行復(fù)雜策略的配置，實現(xiàn)了可靈活設(shè)定任意網(wǎng)絡(luò)訪問策略。本發(fā)明的第二個目的在于提出一種網(wǎng)絡(luò)訪問控制的裝置。為了實現(xiàn)上述目的，本發(fā)明第一方面實施例的網(wǎng)絡(luò)訪問控制的方法包括以下步驟：獲取待隔離軟件的可執(zhí)行連接格式ELF文件；對所述ELF文件進行修改以將所述ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫；以及根據(jù)所述動態(tài)鏈接庫對待隔離軟件進行網(wǎng)絡(luò)訪問控制。根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)訪問控制的方法，可獲取待隔離軟件的ELF文件，對ELF文件進行修改以將ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫，并根據(jù)動態(tài)鏈接庫對待隔離軟件進行網(wǎng)絡(luò)訪問控制，無需修改應(yīng)用軟件代碼，降低了成本，無需對防火墻進行復(fù)雜策略的配置，實現(xiàn)了可靈活設(shè)定任意網(wǎng)絡(luò)訪問策略。為了實現(xiàn)上述目的，本發(fā)明第二方面實施例的網(wǎng)絡(luò)訪問控制的裝置，包括：獲取模塊，用于獲取待隔離軟件的可執(zhí)行連接格式ELF文件；修改模塊，用于對所述ELF文件進行修改以將所述ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫；以及訪問控制模塊，用于根據(jù)所述動態(tài)鏈接庫對待隔離軟件進行網(wǎng)絡(luò)訪問控制。根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)訪問控制的裝置，可通過修改模塊對獲取模塊獲取的ELF文件進行修改，以實現(xiàn)將ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫，并通過訪問控制模塊根據(jù)動態(tài)鏈接庫對待隔離軟件進行網(wǎng)絡(luò)訪問控制，無需修改應(yīng)用軟件代碼，降低了成本，無需對防火墻進行復(fù)雜策略的配置，實現(xiàn)了可靈活設(shè)定任意網(wǎng)絡(luò)訪問策略。本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出，部分將從下面的描述中變得明顯，或通過本發(fā)明的實踐了解到。附圖說明本發(fā)明上述的和/或附加的方面和優(yōu)點從下面結(jié)合附圖對實施例的描述中將變得明顯和容易理解，其中，圖1是根據(jù)本發(fā)明一個實施例的網(wǎng)絡(luò)訪問控制的方法的流程圖；圖2（a）、（b）、（c）和（d）是根據(jù)本發(fā)明一個實施例的ELF文件修改過程的具體示例圖；圖3是根據(jù)本發(fā)明一個實施例的網(wǎng)絡(luò)訪問控制的裝置的結(jié)構(gòu)框圖。具體實施方式下面詳細描述本發(fā)明的實施例，所述實施例的示例在附圖中示出，其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實施例是示例性的，僅用于解釋本發(fā)明，而不能理解為對本發(fā)明的限制。相反，本發(fā)明的實施例包括落入所附加權(quán)利要求書的精神和內(nèi)涵范圍內(nèi)的所有變化、修改和等同物。在本發(fā)明的描述中，需要理解的是，術(shù)語“第一”、“第二”等僅用于描述目的，而不能理解為指示或暗示相對重要性。在本發(fā)明的描述中，需要說明的是，除非另有明確的規(guī)定和限定，術(shù)語“相連”、“連接”應(yīng)做廣義理解，例如，可以是固定連接，也可以是可拆卸連接，或一體地連接；可以是機械連接，也可以是電連接；可以是直接相連，也可以通過中間媒介間接相連。對于本領(lǐng)域的普通技術(shù)人員而言，可以具體情況理解上述術(shù)語在本發(fā)明中的具體含義。此外，在本發(fā)明的描述中，除非另有說明，“多個”的含義是兩個或兩個以上。流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為，表示包括一個或更多個用于實現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分，并且本發(fā)明的優(yōu)選實施方式的范圍包括另外的實現(xiàn)，其中可以不按所示出或討論的順序，包括根據(jù)所涉及的功能按基本同時的方式或按相反的順序，來執(zhí)行功能，這應(yīng)被本發(fā)明的實施例所屬
技術(shù)領(lǐng)域：
：的技術(shù)人員所理解。下面參考附圖描述根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)訪問控制的方法和裝置。目前，網(wǎng)絡(luò)訪問控制的方法主要有兩種：第一種方法是配置系統(tǒng)的防火墻，對整個系統(tǒng)實施網(wǎng)絡(luò)訪問策略，該方法難以實現(xiàn)在同一物理機上為不同應(yīng)用實施不同的網(wǎng)絡(luò)訪問策略；第二種方法是應(yīng)用軟件本身提供網(wǎng)絡(luò)訪問控制功能以供用戶配置使用，該方法需修改應(yīng)用軟件代碼，代價大、成本高，并且網(wǎng)絡(luò)訪問控制不徹底，也難以實現(xiàn)對無法改動的第三方應(yīng)用軟件和/或不支持網(wǎng)絡(luò)訪問控制的第三方應(yīng)用軟件實施網(wǎng)絡(luò)訪問策略。為此，提出一種網(wǎng)絡(luò)訪問控制的方法，包括以下步驟：獲取待隔離軟件的可執(zhí)行連接格式ELF文件；對ELF文件進行修改以將ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫；以及根據(jù)動態(tài)鏈接庫對待隔離軟件進行網(wǎng)絡(luò)訪問控制。圖1是根據(jù)本發(fā)明一個實施例的網(wǎng)絡(luò)訪問控制的方法的流程圖。如圖1所示，網(wǎng)絡(luò)訪問控制的方法包括以下步驟。S101，獲取待隔離軟件的可執(zhí)行連接格式ELF文件。其中，ELF（ExecutableandLinkableFormat，可執(zhí)行連接格式）文件可包括自身所依賴的動態(tài)鏈接庫，ELF文件中的可執(zhí)行程序在執(zhí)行中可加載所依賴的動態(tài)鏈接庫。S102，對ELF文件進行修改以將ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫。在本發(fā)明的一個實施例中，解析并獲取ELF文件中的內(nèi)容信息，并通過二進制編輯器對ELF文件中的內(nèi)容信息進行修改。具體地，可通過Readelf工具解析并獲取ELF文件中的內(nèi)容信息。其中，Readelf工具為讀取ELF文件的一種工具，應(yīng)當(dāng)理解，還可以包括其他可讀取ELF文件的工具，例如，可通過Objdump工具解析并獲取ELF文件中的內(nèi)容信息，二進制編輯器可包括Vim、Emacs工具等。在本發(fā)明的另一個實施例中，具體修改過程可為：通過修改ELF文件的DEBUG字段實現(xiàn)將ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫。具體地，解析并獲取ELF文件中的內(nèi)容信息后，可通過二進制編輯器（例如Vim、Emacs工具等）對ELF文件中的DEBUG字段進行修改以實現(xiàn)將ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫。在本發(fā)明的又一個實施例中，預(yù)設(shè)的動態(tài)鏈接庫為ELF文件中原動態(tài)鏈接庫的子字段，其中，預(yù)設(shè)的動態(tài)鏈接庫中的connect、socket等相關(guān)網(wǎng)絡(luò)接口可由用戶自己設(shè)定或者系統(tǒng)默認設(shè)定。為了使得修改過程更加明顯，下面舉例說明。例如，圖2（a）所示為一個ELF文件格式，可通過Readelf工具讀取ELF文件，其中，圖2（a）中“Dynamicsectionatoffset0xe40contains21entries:”所示為動態(tài)鏈接庫中動態(tài)字段的偏移位置，并通過Vim工具修改圖2（a）中所示的DEBUG字段實現(xiàn)將ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫，圖2（b）中區(qū)域1所示為DEBUG字段修改前其標簽Tag及值Value的值，其中，第一列數(shù)字為Vim工具的行號，第二列十六進制數(shù)值為動態(tài)字段的偏移量，第一行的偏移量0000e40對應(yīng)圖2（a）中的偏移量0xe40，從偏移量0000e40開始找動態(tài)段的入口entry，每行都是ELF文件中的內(nèi)容，以16進制展示，每兩個字符代表一個字節(jié)，例如，區(qū)域1中15000000000000000000000000000000，前面的8個字節(jié)1500000000000000對應(yīng)圖2（a）中所示DEBUG字段對應(yīng)的標簽Tag值0x0000000000000015，后面的8個字節(jié)0000000000000000對應(yīng)圖2（a）中所示DEBUG字段對應(yīng)的Value值0x0，依此類推，也可找到其他的動態(tài)字段入口entry的標簽Tag及值Value的值，可參考圖2（b）中原動態(tài)鏈接庫：0000e40這行，標簽Tag值對應(yīng)0100000000000000，Value值對應(yīng)1000000000000000，是指需要一個動態(tài)鏈接庫libc.so.6；因此，通過Vim工具將DEBUG字段的標簽TAG值改成0100000000000000，Value值改成原動態(tài)鏈接庫libc.so.6的指向的位置+1，即1100000000000000，實現(xiàn)將DEBUG字段改成NEEDED字段以指向預(yù)設(shè)的動態(tài)鏈接庫為ibc.so.6，圖2（c）中區(qū)域2所示為修改后DEBUG字段對應(yīng)位置的標簽Tag及值Value的值。圖2（d）所示為保存修改后的ELF文件，其中，區(qū)域3所示為DEBUG字段的對應(yīng)位置指向預(yù)設(shè)的動態(tài)鏈接庫ibc.so.6。S103，根據(jù)動態(tài)鏈接庫對待隔離軟件進行網(wǎng)絡(luò)訪問控制。具體地，可覆蓋原動態(tài)鏈接庫中connect、socket等相關(guān)網(wǎng)絡(luò)接口以修改原動態(tài)鏈接庫，并將修改后的原動態(tài)鏈接庫置于待隔離軟件的部署路徑中以實現(xiàn)網(wǎng)絡(luò)訪問控制功能，其中，部署路徑可通過環(huán)境變量LD_LIBRARY_PATH獲得，LD_LIBRARY_PATH可指定查找動態(tài)鏈接庫時除了默認路徑之外的其他路徑。根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)訪問控制的方法，可獲取待隔離軟件的ELF文件，對ELF文件進行修改以將ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫，并根據(jù)動態(tài)鏈接庫對待隔離軟件進行網(wǎng)絡(luò)訪問控制，無需修改應(yīng)用軟件代碼，降低了成本，無需對防火墻進行復(fù)雜策略的配置，實現(xiàn)了可靈活設(shè)定任意網(wǎng)絡(luò)訪問策略。為了實現(xiàn)上述實施例，本發(fā)明還提出一種網(wǎng)絡(luò)訪問控制的裝置。一種網(wǎng)絡(luò)訪問控制的裝置，包括：獲取模塊，用于獲取待隔離軟件的可執(zhí)行連接格式ELF文件；修改模塊，用于對ELF文件進行修改以將ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫；以及訪問控制模塊，用于根據(jù)動態(tài)鏈接庫對待隔離軟件進行網(wǎng)絡(luò)訪問控制。圖3是根據(jù)本發(fā)明一個實施例的網(wǎng)絡(luò)訪問控制的裝置的結(jié)構(gòu)框圖。如圖3所示，網(wǎng)絡(luò)訪問控制的裝置包括：獲取模塊100、修改模塊200和訪問控制模塊300。具體地，獲取模塊100用于獲取待隔離軟件的可執(zhí)行連接格式ELF文件。其中，ELF文件可包括自身所依賴的動態(tài)鏈接庫，ELF文件中可執(zhí)行程序在執(zhí)行中可加載所依賴的動態(tài)鏈接庫。修改模塊200用于對ELF文件進行修改以將ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫。在本發(fā)明的一個實施例中，修改模塊200可解析獲取ELF文件中的內(nèi)容信息，并通過二進制編輯器對ELF文件中的內(nèi)容信息進行修改。更具體地，可通過Readelf工具解析并獲取ELF文件中的內(nèi)容信息。其中，Readelf工具為讀取ELF文件的一種工具，應(yīng)當(dāng)理解，還可以包括其他可讀取ELF文件的工具，例如，可通過Objdump工具解析并獲取ELF文件的內(nèi)容信息，二進制編輯器可包括Vim、Emacs工具等。在本發(fā)明的另一個實施例中，具體修改過程可為：通過修改ELF文件中的DEBUG字段實現(xiàn)將ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫。更具體地，修改模塊200可解析并獲取ELF文件中的內(nèi)容信息后，可通過二進制編輯器（例如Vim、Emacs工具等）對ELF文件中的DEBUG字段進行修改以實現(xiàn)將ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫。在本發(fā)明的又一個實施例中，預(yù)設(shè)的動態(tài)鏈接庫可為ELF文件中原動態(tài)鏈接庫的子字段，其中，預(yù)設(shè)的動態(tài)鏈接庫中的connect、socket等相關(guān)網(wǎng)絡(luò)接口可由用戶自己設(shè)定或者系統(tǒng)默認設(shè)定。訪問控制模塊300用于根據(jù)動態(tài)鏈接庫對待隔離軟件進行網(wǎng)絡(luò)訪問控制。更具體地，訪問控制模塊300可覆蓋原動態(tài)鏈接庫中connect、socket等相關(guān)網(wǎng)絡(luò)接口以修改原動態(tài)鏈接庫，并將修改后的原動態(tài)鏈接庫置于待隔離軟件的部署路徑中以實現(xiàn)網(wǎng)絡(luò)訪問控制功能，其中，部署路徑可通過環(huán)境變量LD_LIBRARY_PATH獲得，LD_LIBRARY_PATH可指定查找動態(tài)鏈接庫時除了默認路徑之外的其他路徑。根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)訪問控制的裝置，可通過修改模塊對獲取模塊獲取的ELF文件進行修改，以實現(xiàn)將ELF文件指向預(yù)設(shè)的動態(tài)鏈接庫，并通過訪問控制模塊根據(jù)動態(tài)鏈接庫對待隔離軟件進行網(wǎng)絡(luò)訪問控制，無需修改應(yīng)用軟件代碼，降低了成本，無需對防火墻進行復(fù)雜策略的配置，實現(xiàn)了可靈活設(shè)定任意網(wǎng)絡(luò)訪問策略。應(yīng)當(dāng)理解，本發(fā)明的各部分可以用硬件、軟件、固件或它們的組合來實現(xiàn)。在上述實施方式中，多個步驟或方法可以用存儲在存儲器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實現(xiàn)。例如，如果用硬件來實現(xiàn)，和在另一實施方式中一樣，可用本領(lǐng)域公知的下列技術(shù)中的任一項或他們的組合來實現(xiàn)：具有用于對數(shù)據(jù)信號實現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路，具有合適的組合邏輯門電路的專用集成電路，可編程門陣列（PGA），現(xiàn)場可編程門陣列（FPGA）等。在本說明書的描述中，參考術(shù)語“一個實施例”、“一些實施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結(jié)合該實施例或示例描述的具體特征、結(jié)構(gòu)、材料或者特點包含于本發(fā)明的至少一個實施例或示例中。在本說明書中，對上述術(shù)語的示意性表述不一定指的是相同的實施例或示例。而且，描述的具體特征、結(jié)構(gòu)、材料或者特點可以在任何的一個或多個實施例或示例中以合適的方式結(jié)合。盡管已經(jīng)示出和描述了本發(fā)明的實施例，本領(lǐng)域的普通技術(shù)人員可以理解：在不脫離本發(fā)明的原理和宗旨的情況下可以對這些實施例進行多種變化、修改、替換和變型，本發(fā)明的范圍由權(quán)利要求及其等同物限定。當(dāng)前第1頁1 2 3 當(dāng)前第1頁1 2 3