CN104331329B - 支持域管理的移动办公安全系统及方法 - Google Patents
支持域管理的移动办公安全系统及方法 Download PDFInfo
- Publication number
- CN104331329B CN104331329B CN201410522491.6A CN201410522491A CN104331329B CN 104331329 B CN104331329 B CN 104331329B CN 201410522491 A CN201410522491 A CN 201410522491A CN 104331329 B CN104331329 B CN 104331329B
- Authority
- CN
- China
- Prior art keywords
- domain
- support region
- program
- management
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 294
- 230000008569 process Effects 0.000 claims abstract description 274
- 230000003993 interaction Effects 0.000 claims abstract description 69
- 238000004891 communication Methods 0.000 claims abstract description 41
- 239000011230 binding agent Substances 0.000 claims description 45
- 238000005259 measurement Methods 0.000 claims description 26
- 238000012544 monitoring process Methods 0.000 claims description 17
- 230000006399 behavior Effects 0.000 claims description 14
- 238000012795 verification Methods 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 7
- 230000000644 propagated effect Effects 0.000 claims description 6
- 238000010276 construction Methods 0.000 claims description 3
- 230000026676 system process Effects 0.000 claims 2
- 230000012447 hatching Effects 0.000 claims 1
- 238000002955 isolation Methods 0.000 abstract description 17
- 230000007246 mechanism Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 7
- 238000013475 authorization Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000003032 molecular docking Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000007474 system interaction Effects 0.000 description 2
- 241000406668 Loxodonta cyclotis Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010367 cloning Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
Landscapes
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种支持域管理的移动办公安全系统及方法,该系统包括:支持域管理的系统内核,构建于智能终端平台提供的硬件普通模式下,实现对应用程序的域管理;程序执行域环境,构建于支持域管理的系统内核上,基于命名空间实现至少2个域;智能操作系统,构建于程序执行域环境中的第一个域中,通过支持域管理的系统内核开放的域管理接口对程序和域进行分配、及通信管理,实现进程间交互;应用程序域,由智能操作系统创建于程序执行域环境中不同于第一个域的域中,用于运行应用程序。本发明实现了办公应用的安全强隔离,实现了跨域的进程间通信,保证了操作系统、办公应用与个人应用三方应用执行环境的安全隔离,同时也支持三方进程的跨域通信。
Description
技术领域
本发明属于移动办公安全领域,涉及一种移动办公安全方法,特别是涉及一种支持域管理的移动办公安全系统及方法。
背景技术
在目前的基于LINUX内核的智能机领域,智能操作系统和应用程序(包括个人应用程序)都运行在单独的程序进程中。而业务的处理往往需要多个进程间通信。目前进程间通信有管道,信号量,报文队列,共享内存,套接字等方式,但是现有的这些进程间通信方式都有着自身特点,适应于不同的平台。现有的进程间通信以及LINUX智能机系统内核中,没有针对特殊化的定制操作,是一种比较通用的技术方案,基本是所有的应用程序都运行在操作系统域,由操作系统域统一管理分配内存,以及进程间调度。
随着移动办公安全领域的发展,其在系统内核空间利用命名空间可以划分不同的应用程序域,如有普通用户登陆下的个人应用域,以及用于办公需要的办公应用域。当应用程序不是运行在操作系统域,而是运行在单独划分出来的应用程序域时,因为必须要考虑不同应用域间的程序进程相互隔离的问题,原有的操作系统不支持域管理,所以无法统一管理不同应用域的分配内存,以及进程间调度。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种支持域管理的移动办公安全系统及方法,用于解决现有操作系统不支持域管理,无法统一管理不同应用域的分配内存,以及进程间调度的问题。
为实现上述目的及其他相关目的,本发明提供一种支持域管理的移动办公安全系统,所述支持域管理的移动办公安全系统包括:支持域管理的系统内核,构建于智能终端平台提供的硬件普通模式下,用于实现对应用程序的域管理;程序执行域环境,构建于所述支持域管理的系统内核上,基于命名空间实现至少2个域,每个域中的程序均独立运行,不同域中的程序相互无干扰;智能操作系统,构建于所述程序执行域环境中的第一个域中,用于通过所述支持域管理的系统内核开放的域管理接口对程序和域进行分配、及通信管理;所述智能操作系统提取程序的域信息,并在程序进程交互过程中传播所述域信息,从而实现跨域和域内部的进程间交互;应用程序域,由所述智能操作系统创建于所述程序执行域环境中不同于所述第一个域的域中,用于运行应用程序。
可选地,所述应用程序域包括:办公应用域,由所述智能操作系统创建于所述程序执行域环境中不同于所述第一个域的第二个域中,用于运行企业授信的办公应用程序;个人应用域,由所述智能操作系统创建于所述程序执行域环境中不同于所述第一个域的第三个域中,用于运行用户自行安装的第三方应用程序。
可选地,所述智能操作系统包括支持跨域通信的Binder交互模组,所述Binder交互模组包括:第一记录模块,记录每一个域中运行的进程信息;Binder驱动模块,存储每一个Binder对象的创建进程的信息;第一监控模块,在程序执行过程中监控每一次进程间交互的目标对象所在的进程;第一交互判定模块,与所述第一记录模块、Binder驱动模块、第一监控模块分别相连,根据所述目标对象所在的进程的域信息判断是否允许这一次进程间交互。
可选地,所述智能操作系统包括支持跨域通信的匿名共享内存模组,所述匿名共享内存模组包括:第二记录模块,记录每一个域中运行的进程信息;匿名共享内存驱动模块,存储每一个共享内存对象的创建进程的信息;第二监控模块,在程序执行过程中监控每一次进程间交互的目标对象所在的进程;第二交互判定模块,与所述第二记录模块、匿名共享内存驱动模块、第二监控模块分别相连,根据所述目标对象所在的进程的域信息判断是否允许这一次进程间交互。
可选地,所述支持域管理的系统内核包括:进程孵化器创建模块,创建一个子进程作为一个所述域的进程孵化器;每个进程孵化器均运行于自身对应的一个域中;应用程序进程创建模块,与所述进程孵化器创建模块相连,使所述进程孵化器克隆自身创建新的应用程序进程;所述新的应用程序进程与对应的进程孵化器运行于同一个域中。
可选地,所述智能操作系统包括:域进程信息配置模块,与所述域管理接口相连,通过所述域管理接口配置新创建的应用程序进程需要具备的进程信息;域内存回收模块,与所述域管理接口相连,根据域的优先级选择性杀死各个域中不活跃的进程,释放内存空间;域管理接口保护模块,与所述域管理接口相连,限制只有位于所述智能操作系统所在域中的进程才能调用所述域管理接口。
可选地,所述支持域管理的移动办公安全系统还包括构建于所述支持域管理的系统内核上的可信存储文件系统和可信网络连接系统;所述可信存储文件系统包括:加密引擎模块,通过所述支持域管理的系统内核的加密接口对文件访问进行内核级加密,包括对整个文件进行密钥加密或/和计算文件的校验值;文件安全属性模块,与所述加密引擎模块相连,扩展文件的安全属性;所述安全属性包括标志域和数据域;所述标志域表示文件侧重的安全属性;所述数据域表示加密文件所使用的密钥或/和文件的校验值;密钥管理模块,与所述加密引擎模块和文件安全属性模块分别相连,采用链式加密的方法保护密钥和文件;所述可信网络连接系统包括:可信网络连接协议栈模块,提供加密连接支持;可信网络访问请求器,作为网络访问的入口,控制所有对本地进行的网络访问。
可选地,所述智能操作系统还包括:认证授权模块,用于验证用户的合法身份,接收用户设置的共享秘密数据,并在所述共享秘密数据正确时允许用户访问所述可信存储文件系统;完整性度量收集器,用于收集所述智能操作系统的运行平台的完整性度量值,以便传输至远程可信网络连接决策点进行验证;可信网络连接客户端,与所述完整性度量收集器相连,负责管理所述完整性度量收集器。
可选地,所述支持域管理的移动办公安全系统还包括构建于智能终端平台提供的硬件可信模式下的可信系统,所述可信系统通过受限通信与所述支持域管理的系统内核或智能操作系统交互,包括:信息加解密模块,与所述可信存储文件系统、所述可信网络连接系统或/和所述智能操作系统相连,为所述可信存储文件系统提供密钥生成、加密和安全存储,或/和为所述可信网络连接协议栈模块提供加密连接协议;签名验证模块,与所述认证授权模块或/和所述可信网络连接协议栈模块相连,对所述用户进行身份认证和授权,或/和对所述网络访问进行验证;组件可信性验证模块,与所述可信存储文件系统、所述可信网络连接系统、或/和所述完整性度量收集器相连,用于验证所述可信存储文件系统、所述可信网络连接系统、或/和所述完整性度量收集器的组件可信性。
本发明还提供一种支持域管理的移动办公安全方法,所述支持域管理的移动办公安全方法包括:在智能终端平台提供的硬件普通模式下构建支持域管理的系统内核,用于实现对应用程序的域管理;在所述支持域管理的系统内核上构建程序执行域环境;所述程序执行域环境基于命名空间实现至少2个域,每个域中的程序均独立运行,不同域中的程序相互无干扰;在所述程序执行域环境中的第一个域中构建智能操作系统,用于通过所述支持域管理的系统内核开放的域管理接口对程序和域进行分配、及通信管理;所述智能操作系统提取程序的域信息,并在程序进程交互过程中传播所述域信息,从而实现跨域和域内部的进程间交互;在所述程序执行域环境中不同于所述第一个域的域中,由所述智能操作系统创建应用程序域,用于运行应用程序。
可选地,所述应用程序域的一种具体创建过程包括:在所述程序执行域环境中不同于所述第一个域的第二个域中,由所述智能操作系统创建办公应用域,用于运行企业授信的办公应用程序;在所述程序执行域环境中不同于所述第一个域的第三个域中,由所述智能操作系统创建个人应用域,用于运行用户自行安装的第三方应用程序。
可选地,所述智能操作系统实现跨域和域内部的进程间交互的一种具体实现过程包括:记录每一个域中运行的进程信息;存储每一个Binder对象或/和共享内存对象的创建进程的信息;在程序执行过程中监控每一次进程间交互的目标对象所在的进程;根据所述目标对象所在的进程的域信息判断是否允许这一次进程间交互。
可选地,所述智能操作系统创建应用程序域的一种具体实现过程包括:创建一个子进程作为一个域的进程孵化器;每个进程孵化器均运行于自身对应的一个域中;所述进程孵化器克隆自身创建新的应用程序进程;所述新的应用程序进程与对应的进程孵化器运行于同一个域中。
可选地,所述智能操作系统通过域管理接口对程序和域进行分配、及通信管理的一种具体实现过程包括:通过所述域管理接口配置新创建的应用程序进程需要具备的进程信息;根据域的优先级选择性杀死各个域中不活跃的进程,释放内存空间;限制只有位于所述智能操作系统所在域中的进程才能调用所述域管理接口。
可选地,所述支持域管理的移动办公安全方法还包括在所述支持域管理的系统内核上构建可信存储文件系统,实现自动对程序的文件写或读行为的保密;所述可信存储文件系统的一种具体实现过程包括:通过所述支持域管理的系统内核的加密接口对文件访问进行内核级加密,包括对整个文件进行密钥加密或/和计算文件的校验值;扩展文件的安全属性;所述安全属性包括标志域和数据域;所述标志域表示文件侧重的安全属性;所述数据域表示加密文件所使用的密钥或/和文件的校验值;采用链式加密的方法保护密钥和文件。
可选地,所述智能操作系统支持所述可信存储文件系统的一种具体实现过程包括:验证用户的合法身份,接收用户设置的共享秘密数据,并在所述共享秘密数据正确时允许用户访问所述可信存储文件系统。
可选地,所述支持域管理的移动办公安全方法还包括在所述智能终端平台提供的硬件可信模式下构建可信系统,所述可信系统通过受限通信与所述支持域管理的系统内核或智能操作系统交互;所述可信系统的一种具体实现过程包括:为所述可信存储文件系统提供密钥生成、加密和安全存储;对所述用户进行身份认证和授权;验证所述可信存储文件系统的组件可信性。
可选地,所述支持域管理的移动办公安全方法还包括在所述支持域管理的系统内核上构建可信网络连接系统,实现为应用程序提供可信的网络支持;所述可信网络连接系统的一种具体实现过程包括:提供加密连接支持;设置网络访问的入口,控制所有对本地进行的网络访问。
可选地,所述智能操作系统支持所述可信网络连接系统的一种具体实现过程包括:收集所述智能操作系统的运行平台的完整性度量值,以便传输至远程可信网络连接决策点进行验证;负责管理完整性度量。
可选地,所述支持域管理的移动办公安全方法还包括在所述智能终端平台提供的硬件可信模式下构建可信系统,所述可信系统通过受限通信与所述支持域管理的系统内核或智能操作系统交互;所述可信系统的一种具体实现过程包括:为所述可信网络连接协议栈模块提供加密连接协议;对所述网络访问进行验证;验证所述可信网络连接系统的组件可信性。
如上所述,本发明所述的支持域管理的移动办公安全系统及方法,具有以下有益效果:
本发明为移动办公安全领域设定了支持域管理的系统内核,智能操作系统和应用程序均运行在单独的程序执行域中,实现了程序执行域之间的强隔离;此外,为了支持应用程序和智能操作系统之间的正常交互,本发明还提供了跨域的进程间通讯机制,支持现有应用程序能够正常的在独立程序域中执行以及一个执行域内部的进程间通讯。
附图说明
图1为本发明实施例所述的支持域管理的移动办公安全系统的结构示意图。
图2为本发明实施例所述的支持域管理的系统内核的一种结构示意图。
图3为本发明实施例所述的支持域管理的系统内核的第二种结构示意图。
图4为本发明实施例所述的支持域管理的系统内核的第三种结构示意图。
图5为本发明实施例所述的智能操作系统的一种结构示意图。
图6为本发明实施例所述的Binder交互模组的一种结构示意图。
图7为本发明实施例所述的匿名共享内存模组的一种结构示意图。
图8为本发明实施例所述的应用程序域的一种结构示意图。
图9为本发明实施例所述的可信系统的一种结构示意图。
图10为本发明实施例所述的支持域管理的移动办公安全方法的一种流程示意图。
图11为本发明实施例所述的智能操作系统的一种工作流程示意图。
图12为图11所述的智能操作系统的工作场景示意图。
图13为本发明实施例所述的智能操作系统的另一种工作流程示意图。
图14为图13所述的智能操作系统的工作场景示意图。
图15为本发明实施例所述的智能操作系统创建应用程序域的一种实现流程示意图。
图16为本发明实施例所述的支持域管理的移动办公安全方法的第二种实现流程示意图。
图17为本发明实施例所述的可信存储文件系统的一种具体工作方式示意图。
图18为本发明实施例所述的支持域管理的移动办公安全方法的第三种实现流程示意图。
图19为本发明实施例所述的可信网络连接系统的一种具体工作方式示意图。
图20为本发明实施例所述的支持域管理的移动办公安全方法的第四种实现流程示意图。
元件标号说明
100 支持域管理的系统内核
110 进程孵化器创建模块
120 应用程序进程创建模块
130 可信存储文件系统
131 加密引擎模块
132 文件安全属性模块
133 密钥管理模块
140 可信网络连接系统
141 可信网络连接协议栈模块
142 可信网络访问请求器
200 程序执行域环境
210 智能操作系统
211 Binder交互模组
2111 第一记录模块
2112 Binder驱动模块
2113 第一监控模块
2114 第一交互判定模块
212 匿名共享内存模组
2121 第二记录模块
2122 匿名共享内存驱动模块
2123 第二监控模块
2124 第二交互判定模块
213 域进程信息配置模块
214 域内存回收模块
215 域管理接口保护模块
216 认证授权模块
217 完整性度量收集器
218 可信网络连接客户端
220 应用程序域
221 办公应用域
222 个人应用域
300 可信系统
310 信息加解密模块
320 签名验证模块
330 组件可信性验证模块
S101~S107 步骤
S111~S114 步骤
S131~S134 步骤
S151~S152 步骤
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。
请参阅附图。需要说明的是,本实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
下面结合实施例和附图对本发明进行详细说明。
实施例
本实施例提供一种支持域管理的移动办公安全系统,如图1所示,所述支持域管理的移动办公安全系统包括:支持域管理的系统内核100,程序执行域环境200,智能操作系统210,应用程序域220,和可信系统300。
所述支持域管理的系统内核100构建于智能终端平台提供的硬件普通模式下,用于实现对应用程序的域管理。
进一步,如图2所示,所述支持域管理的系统内核100包括:进程孵化器创建模块110,应用程序进程创建模块120。所述进程孵化器创建模块110创建一个子进程作为一个所述域的进程孵化器;每个进程孵化器均运行于自身对应的一个域中。所述应用程序进程创建模块120与所述进程孵化器创建模块110相连,使所述进程孵化器克隆自身创建新的应用程序进程;所述新的应用程序进程与对应的进程孵化器运行于同一个域中。系统内核在引导完成后初始化智能操作系统,智能操作系统运行在默认的命名空间中。随后,系统内核创建两条子进程,作为各个应用域的进程孵化器(称为domain_zygote)。个人应用域和办公应用域中的程序进程分别从这两条进程孵化器进程中克隆得来。在创建进程孵化器时,内核使用CLONE_NEWPID、CLONE_NEWIPC、CLONE_NEWNS、CLONE_NEWNET等参数将进程孵化器运行在两个新的独立的命名空间中。每一个新的命名空间具有隔离的进程空间、网络资源、文件系统。
更进一步,操作系统为了支持办公应用等程序运行的安全性,本实施例对办公应用域中的程序存储和网络访问进行了安全性增强。与此同时,考虑到技术方案应该尽可能的兼容现有程序的执行,避免对现有程序进行修改,本实施例在内核中自动对文件访问和网络访问进行加密和解密操作。
如图3所示,所述支持域管理的系统内核100还包括可信存储文件系统130。所述可信存储文件系统130构建于所述支持域管理的系统内核100上,用于实现自动对程序的文件写或读行为的保密。所述可信存储文件系统130包括:加密引擎模块131,文件安全属性模块132,密钥管理模块133。所述加密引擎模块131通过所述支持域管理的系统内核的加密接口对文件访问进行内核级加密,包括对整个文件进行密钥加密或/和计算文件的校验值。例如:可信存储文件系统可以含有两类加密引擎:一部分文件采用对称加密算法(AES)完成整个文件的加密;另一部分则使用加密散列算法(SHA-1)计算文件的校验值。本实施例可以使用Linux内核中的Crypto接口来实现对文件访问进行内核级加密。所述文件安全属性模块132与所述加密引擎模块131相连,扩展文件的安全属性。所述安全属性包括标志域和数据域;所述标志域表示文件侧重的安全属性;所述数据域表示加密文件所使用的密钥或/和文件的校验值。例如:可信存储文件系统扩展文件的安全属性,扩展属性由标志域和数据域两部分组成。标志域长度为一个字节,表示该文件侧重的安全属性(C代表机密性,I代表完整性);数据域包含固定长度的字符串,代表该文件所使用的加密密钥或者该文件的校验和。这些属性保存时需要经过可信硬件支持的加密,防止攻击者对安全属性的窃取和篡改。所述密钥管理模块133与所述加密引擎模块131和文件安全属性模块132分别相连,采用链式加密的方法保护密钥和文件。密钥管理是加密系统的关键组成部分。可信存储文件系统可以采用链式加密的方法来保护密钥和文件。其思想是由可信根密钥开始,根密钥加密第一级密钥,第一级密钥作为可信密钥加密下一级密钥,直到加密原始文件数据为止。可信硬件支持的可信代码区提供密钥生成、加密和安全存储。本实施例通过可信存储文件系统来完成在内核中自动对程序的文件写行为进行加密,保证存储设备中的文件都是加密过的无法直接读取。对程序的文件读行为自动进行解密从而保证现有程序可以正常运行。同时,对文件存储的密钥通过可信硬件进行保护,防止了恶意程序访问和破坏。
如图4所示,所述支持域管理的系统内核100还包括可信网络连接系统140。所述可信网络连接系统140构建于所述支持域管理的系统内核100上,用于实现为应用程序提供可信的网络支持。所述可信网络连接系统140包括:可信网络连接协议栈模块141,可信网络访问请求器142。所述可信网络连接协议栈模块141提供加密连接支持,或进一步包含与远程网络连接决策点之间进行完整性验证的协议的实现。所述可信网络访问请求器142作为网络访问的入口,控制所有对本地进行的网络访问。可信网络连接系统140利用可信系统区提供的多项安全功能为上层应用提供了一个可信的网络连接基础,只有在平台状态正常的情况下才允许上层应用进行网路连接。同时,可信网络连接协议栈模块提供加密连接方式,上层应用可以选择采用加密连接进行数据传输,从而防止数据在传输过程中泄露。
所述程序执行域环境200构建于所述支持域管理的系统内核100上,基于命名空间实现至少2个域,每个域中的程序均独立运行,不同域中的程序相互无干扰。
所述智能操作系统210构建于所述程序执行域环境200中的第一个域中,又称智能操作系统域,用于通过所述支持域管理的系统内核开放的域管理接口对程序和域进行分配、及通信管理;所述智能操作系统提取程序的域信息,并在程序进程交互过程中传播所述域信息,从而实现跨域和域内部的进程间交互。
进一步,如图5所示,所述智能操作系统210包括支持跨域通信的Binder交互模组211,匿名共享内存模组212,域进程信息配置模块213,域内存回收模块214,域管理接口保护模块215,认证授权模块216,完整性度量收集器217,和可信网络连接客户端218。
交互系统的应用程序运行在隔离的程序执行域中时,需要与运行在智能系统域中的服务进程发生交互。通过这种交互,程序才能访问安卓框架层的资源、调用其他应用程序的接口等。在安卓系统中,程序主要使用两种进程间通讯方式:Binder机制、匿名共享内存。针对这两种进程间通讯方式,本实施例提供了支持跨域的进程间交互机制。由于每一个进程都运行在一个Linux内核的命名空间中,针对不同的进程交互方式,本实施例提取程序的域信息并在交互过程中传播,从而可以支持跨域和域内部的进程间交互。本实施例在内核层记录每一个命名空间中运行的进程信息,并且在Binder驱动和匿名共享内存驱动中,保存每一个Binder对象和共享内存对象的创建进程的信息。在程序实际执行过程中,监控每一次进程间交互的目标对象所在的进程,并根据该进程所在的程序域判断是否允许这一次进程间交互。具体地,本实施例对跨域的进程间通讯支持如下。
如图6所示,所述Binder交互模组211包括:第一记录模块2111,Binder驱动模块2112,第一监控模块2113,第一交互判定模块2114。所述第一记录模块2111记录每一个域中运行的进程信息。所述Binder驱动模块2112存储每一个Binder对象的创建进程的信息。所述第一监控模块2113在程序执行过程中监控每一次进程间交互的目标对象所在的进程。所述第一交互判定模块2114与所述第一记录模块2111、Binder驱动模块2112、第一监控模块2113分别相连,根据所述目标对象所在的进程的域信息判断是否允许这一次进程间交互。每一个域中的进程都可以调用自己域中进程创建的Binder对象的接口。通过判断Binder对象创建者进程的域信息,即可判断一次Binder交互属于跨域交互还是域内部的交互。为了支持程序调用系统的接口,每一个应用域(包括个人应用域和办公应用域)都可以调用智能操作系统域中创建的Binder对象。程序域之间的Binder对象是互相不可见的,系统内核在解析Binder对象时,只考虑当前进程所在域可见的Binder对象实例。操作系统域可以访问所有执行域中的Binder对象。
如图7所示,所述匿名共享内存模组212包括:第二记录模块2121,匿名共享内存驱动模块2122,第二监控模块2123,第二交互判定模块2124。所述第二记录模块2121记录每一个域中运行的进程信息。所述匿名共享内存驱动模块2122存储每一个共享内存对象的创建进程的信息。所述第二监控模块2123在程序执行过程中监控每一次进程间交互的目标对象所在的进程。所述第二交互判定模块2124与所述第二记录模块2121、匿名共享内存驱动模块2122、第二监控模块2123分别相连,根据所述目标对象所在的进程的域信息判断是否允许这一次进程间交互。在安卓系统中,每一个匿名共享内存都有一个创建者。每一个执行域中创建的匿名共享内存对象在域中所有进程中都是可见的。为了共享内存,智能操作系统域中创建的匿名共享内存对所有应用执行域也都是可见的。各个应用执行域之间无法共享内存,同时,每一个应用执行域中创建的匿名共享内存也可以被智能操作系统访问。本实施例通过在进程创建匿名共享内存时标记该对象的创建进程,进而在进程交互时根据交互对象的创建者进程获取其域信息,从而判断此次交互是否为跨域交互。
所述域进程信息配置模块213与所述域管理接口相连,通过所述域管理接口配置新创建的应用程序进程需要具备的进程信息。当智能操作系统需要创建个人应用程序进程或者办公应用程序进程时,系统内核通过与对应的进程孵化器通讯,使其克隆自身成为新的应用程序进程。新克隆出来的程序将运行在与进程孵化器同一个命名空间中。同时,系统内核允许智能操作系统通过接口配置新的应用程序进程具备的进程信息,例如进程用户ID、组ID。本实施例采用Linux内核的命名空间机制隔离个人应用程序和办公应用程序的同时,也将操作系统的执行和应用程序进行隔离。为了便于智能操作系统管理其他程序域的执行,本实施例在内核层次提供管理接口,即域管理接口。智能操作系统基于系统内核提供的域管理接口可以方便的实现对于程序域的管理。本实施例可以以开放源代码、使用范围最广的安卓系统作为基础系统,构建个人环境和办公环境隔离的智能终端办公环境。同时,本实施例提供的程序执行域技术也可服务于其他基于Linux内核的操作系统。
所述域内存回收模块214与所述域管理接口相连,根据域的优先级选择性杀死各个域中不活跃的进程,释放内存空间。当系统内存不够时,智能操作系统通过杀死不活跃的进程释放内存空间。本实施例提供的系统内核根据执行域进行内存回收。例如:在默认情况下,系统内核优先释放个人应用中的进程资源,其次是办公应用域中进程资源,最后是操作系统域中的进程资源。从一个执行域中选择合适的进程最后释放对象将取决于智能操作系统本身的资源。在安卓系统中,系统将优先释放那些运行在后台的程序进程。
所述域管理接口保护模块215与所述域管理接口相连,限制只有位于所述智能操作系统所在域中的进程才能调用所述域管理接口。通过系统内核提供的程序域管理接口,可以创建新的程序域,可以在任意域中创建新的进程,可以释放任意进程。为了保护程序域管理接口不被应用域中的程序调用,本实施例通过接口调用者所在的域信息对接口进行保护,限制只有位于操作系统域的进程才能够调用此类接口。
所述认证授权模块216用于验证用户的合法身份,接收用户设置的共享秘密数据,并在所述共享秘密数据正确时允许用户访问所述可信存储文件系统。本实施例沿用了底层操作系统对用户的管理方式,但是添加了用户身份认证和授权模块(即认证授权模块216,又可简称为AUTH模块)。AUTH模块将用户的认证和可信硬件支持的认证和授权结合在一起。AUTH模块首先验证用户的合法身份,然后接收用户设置的共享秘密数据,只有该数据正确时用户才能访问可信存储文件系统。AUTH模块在用户的一次会话期间不需要重新执行,只需在系统加载时或者用户切换时通过系统调用接口进行。与常用的口令认证机制相比,该过程实现了更安全、更可靠的认证。
所述完整性度量收集器217用于收集所述智能操作系统的运行平台的完整性度量值,以便传输至远程可信网络连接决策点进行验证。其中,所述完整性度量值包括平台相关的配置和一些安全参数等信息。
所述可信网络连接客户端218与所述完整性度量收集器217相连,负责管理所述完整性度量收集器。
所述应用程序域220由所述智能操作系统210创建于所述程序执行域环境200中不同于所述第一个域(即智能操作系统域)的域中,用于运行应用程序。
进一步,如图8所示,所述应用程序域220包括:办公应用域221,个人应用域222。所述办公应用域221由所述智能操作系统210创建于所述程序执行域环境200中不同于所述第一个域的第二个域中,用于运行企业授信的办公应用程序。所述个人应用域222由所述智能操作系统210创建于所述程序执行域环境200中不同于所述第一个域的第三个域中,用于运行用户自行安装的第三方应用程序。
所述可信系统300构建于智能终端平台提供的硬件可信(TrustZone)模式下,通过受限通信与所述支持域管理的系统内核100和智能操作系统210交互。本实施例利用基于TrustZone的可信系统提供的加解密、签名和验证功能、以及组件可信性验证等功能为上层应用提供可信的网络支持。不可信系统通过受限通信和可信系统交互。
进一步,如图9所示,所述可信系统300包括:信息加解密模块310,签名验证模块320,组件可信性验证模块330。所述信息加解密模块310与所述可信存储文件系统130、所述可信网络连接系统140或/和所述智能操作系统210相连,为所述可信存储文件系统提供密钥生成、加密和安全存储,或/和为所述可信网络连接协议栈模块提供加密连接协议。所述签名验证模块320与所述认证授权模块216或/和所述可信网络连接协议栈模块141相连,对所述用户进行身份认证和授权,或/和对所述网络访问进行验证。所述组件可信性验证模块330与所述可信存储文件系统130、所述可信网络连接系统140、或/和所述完整性度量收集器217相连,用于验证所述可信存储文件系统、所述可信网络连接系统、或/和所述完整性度量收集器的组件可信性。
本发明实现了办公应用的安全强隔离,实现了跨域的进程间通信,保证了操作系统、办公应用与个人应用三方应用执行环节的安全隔离,同时也支持三方进程的跨域通信。
本实施例还提供一种支持域管理的移动办公安全方法,该方法可以由本实施例所述的支持域管理的移动办公安全系统实现,但该方法的实现装置包括但不限于本实施例所述的支持域管理的移动办公安全系统。
如图10所示,所述支持域管理的移动办公安全方法包括:
S101,在智能终端平台提供的硬件普通模式下构建支持域管理的系统内核,用于实现对应用程序的域管理。
S102,在所述支持域管理的系统内核上构建程序执行域环境。所述程序执行域环境基于命名空间实现至少2个域,每个域中的程序均独立运行,不同域中的程序相互无干扰。
S103,在所述程序执行域环境中的第一个域中构建智能操作系统,用于通过所述支持域管理的系统内核开放的域管理接口对程序和域进行分配、及通信管理;所述智能操作系统提取程序的域信息,并在程序进程交互过程中传播所述域信息,从而实现跨域和域内部的进程间交互。
进一步,参见图11所示,所述智能操作系统通过域管理接口对程序和域进行分配、及通信管理的一种具体实现过程包括:
S111,通过所述域管理接口配置新创建的应用程序进程需要具备的进程信息。当智能操作系统需要创建个人应用程序进程或者办公应用程序进程时,系统内核通过与对应的进程孵化器通讯,使其克隆自身成为新的应用程序进程。新克隆出来的程序将运行在与进程孵化器同一个命名空间中。同时,系统内核允许智能操作系统通过接口配置新的应用程序进程具备的进程信息,例如进程用户ID、组ID。本实施例采用Linux内核的命名空间机制隔离个人应用程序和办公应用程序的同时,也将操作系统的执行和应用程序进行隔离。为了便于智能操作系统管理其他程序域的执行,本实施例在内核层次提供管理接口,即域管理接口。智能操作系统基于系统内核提供的域管理接口可以方便的实现对于程序域的管理。本实施例可以以开放源代码、使用范围最广的安卓系统作为基础系统,构建个人环境和办公环境隔离的智能终端办公环境。同时,本实施例提供的程序执行域技术也可服务于其他基于Linux内核的操作系统。
S112,根据域的优先级选择性杀死各个域中不活跃的进程,释放内存空间。当系统内存不够时,智能操作系统通过杀死不活跃的进程释放内存空间。本实施例提供的系统内核根据执行域进行内存回收。例如:在默认情况下,系统内核优先释放个人应用中的进程资源,其次是办公应用域中进程资源,最后是操作系统域中的进程资源。从一个执行域中选择合适的进程最后释放对象将取决于智能操作系统本身的资源。在安卓系统中,系统将优先释放那些运行在后台的程序进程。
S113,限制只有位于所述智能操作系统所在域中的进程才能调用所述域管理接口。通过系统内核提供的程序域管理接口,可以创建新的程序域,可以在任意域中创建新的进程,可以释放任意进程。为了保护程序域管理接口不被应用域中的程序调用,本实施例通过接口调用者所在的域信息对接口进行保护,限制只有位于操作系统域的进程才能够调用此类接口。
图12为图11所述的智能操作系统的工作方法的场景示意图。
参见图13所示,所述智能操作系统实现跨域和域内部的进程间交互的一种具体实现过程包括:
S131,记录每一个域中运行的进程信息。
S132,存储每一个Binder对象或/和共享内存对象的创建进程的信息。
S133,在程序执行过程中监控每一次进程间交互的目标对象所在的进程。
S134,根据所述目标对象所在的进程的域信息判断是否允许这一次进程间交互。
图14为图13所述的智能操作系统的工作方法的场景示意图。交互系统的应用程序运行在隔离的程序执行域中时,需要与运行在智能系统域中的服务进程发生交互。通过这种交互,程序才能访问安卓框架层的资源、调用其他应用程序的接口等。在安卓系统中,程序主要使用两种进程间通讯方式:Binder机制、匿名共享内存。针对这两种进程间通讯方式,本实施例提供了支持跨域的进程间交互机制。由于每一个进程都运行在一个Linux内核的命名空间中,针对不同的进程交互方式,本实施例提取程序的域信息并在交互过程中传播,从而可以支持跨域和域内部的进程间交互。本实施例在内核层记录每一个命名空间中运行的进程信息,并且在Binder驱动和匿名共享内存驱动中,保存每一个Binder对象和共享内存对象的创建进程的信息。在程序实际执行过程中,监控每一次进程间交互的目标对象所在的进程,并根据该进程所在的程序域判断是否允许这一次进程间交互。每一个域中的进程都可以调用自己域中进程创建的Binder对象的接口。通过判断Binder对象创建者进程的域信息,即可判断一次Binder交互属于跨域交互还是域内部的交互。为了支持程序调用系统的接口,每一个应用域(包括个人应用域和办公应用域)都可以调用智能操作系统域中创建的Binder对象。程序域之间的Binder对象是互相不可见的,系统内核在解析Binder对象时,只考虑当前进程所在域可见的Binder对象实例。操作系统域可以访问所有执行域中的Binder对象。为了共享内存,智能操作系统域中创建的匿名共享内存对所有应用执行域也都是可见的。各个应用执行域之间无法共享内存,同时,每一个应用执行域中创建的匿名共享内存也可以被智能操作系统访问。本实施例通过在进程创建匿名共享内存时标记该对象的创建进程,进而在进程交互时根据交互对象的创建者进程获取其域信息,从而判断此次交互是否为跨域交互。
S104,在所述程序执行域环境中不同于所述第一个域的域中,由所述智能操作系统创建应用程序域,用于运行应用程序。
进一步,参见图15所示,所述智能操作系统创建应用程序域的一种具体实现过程包括:
S151,创建一个子进程作为一个域的进程孵化器;每个进程孵化器均运行于自身对应的一个域中。
S152,所述进程孵化器克隆自身创建新的应用程序进程;所述新的应用程序进程与对应的进程孵化器运行于同一个域中。
系统内核在引导完成后初始化智能操作系统,智能操作系统运行在默认的命名空间中。随后,系统内核创建两条子进程,作为各个应用域的进程孵化器(称为domain_zygote)。个人应用域和办公应用域中的程序进程分别从这两条进程孵化器进程中克隆得来。在创建进程孵化器时,内核使用CLONE_NEWPID、CLONE_NEWIPC、CLONE_NEWNS、CLONE_NEWNET等参数将进程孵化器运行在两个新的独立的命名空间中。每一个新的命名空间具有隔离的进程空间、网络资源、文件系统。
参见图8所示,所述应用程序域的一种具体创建过程包括:在所述程序执行域环境中不同于所述第一个域的第二个域中,由所述智能操作系统创建办公应用域,用于运行企业授信的办公应用程序;在所述程序执行域环境中不同于所述第一个域的第三个域中,由所述智能操作系统创建个人应用域,用于运行用户自行安装的第三方应用程序。
如图16所示,所述支持域管理的移动办公安全方法还包括:
S105,在所述支持域管理的系统内核上构建可信存储文件系统,实现自动对程序的文件写或读行为的保密。
进一步,参见图17所示,所述可信存储文件系统的一种具体实现过程包括:通过所述支持域管理的系统内核的加密接口对文件访问进行内核级加密,包括对整个文件进行密钥加密或/和计算文件的校验值;扩展文件的安全属性;所述安全属性包括标志域和数据域;所述标志域表示文件侧重的安全属性;所述数据域表示加密文件所使用的密钥或/和文件的校验值;采用链式加密的方法保护密钥和文件。例如:可信存储文件系统可以含有两类加密引擎:一部分文件采用对称加密算法(AES)完成整个文件的加密;另一部分则使用加密散列算法(SHA-1)计算文件的校验值。本实施例可以使用Linux内核中的Crypto接口来实现对文件访问进行内核级加密。可信存储文件系统扩展文件的安全属性,扩展属性由标志域和数据域两部分组成。标志域长度为一个字节,表示该文件侧重的安全属性(C代表机密性,I代表完整性);数据域包含固定长度的字符串,代表该文件所使用的加密密钥或者该文件的校验和。这些属性保存时需要经过可信硬件支持的加密,防止攻击者对安全属性的窃取和篡改。密钥管理是加密系统的关键组成部分。可信存储文件系统可以采用链式加密的方法来保护密钥和文件。其思想是由可信根密钥开始,根密钥加密第一级密钥,第一级密钥作为可信密钥加密下一级密钥,直到加密原始文件数据为止。可信硬件支持的可信代码区提供密钥生成、加密和安全存储。本实施例通过可信存储文件系统来完成在内核中自动对程序的文件写行为进行加密,保证存储设备中的文件都是加密过的无法直接读取。对程序的文件读行为自动进行解密从而保证现有程序可以正常运行。同时,对文件存储的密钥通过可信硬件进行保护,防止了恶意程序访问和破坏。
所述智能操作系统支持所述可信存储文件系统的一种具体实现过程包括:验证用户的合法身份,接收用户设置的共享秘密数据,并在所述共享秘密数据正确时允许用户访问所述可信存储文件系统。本实施例沿用了底层操作系统对用户的管理方式,但是添加了用户身份认证和授权模块(简称为AUTH模块)。AUTH模块将用户的认证和可信硬件支持的认证和授权结合在一起。AUTH模块首先验证用户的合法身份,然后接收用户设置的共享秘密数据,只有该数据正确时用户才能访问可信存储文件系统。AUTH模块在用户的一次会话期间不需要重新执行,只需在系统加载时或者用户切换时通过系统调用接口进行。与常用的口令认证机制相比,该过程实现了更安全、更可靠的认证。
如图18所示,所述支持域管理的移动办公安全方法还包括:
S106,在所述支持域管理的系统内核上构建可信网络连接系统,实现为应用程序提供可信的网络支持。
进一步,参见图19所示,所述可信网络连接系统的一种具体实现过程包括:提供加密连接支持;或进一步包含与远程网络连接决策点之间进行完整性验证的协议的实现。设置网络访问的入口,控制所有对本地进行的网络访问。可信网络连接系统利用可信系统区提供的多项安全功能为上层应用提供了一个可信的网络连接基础,只有在平台状态正常的情况下才允许上层应用进行网路连接。同时,可信网络连接协议栈模块提供加密连接方式,上层应用可以选择采用加密连接进行数据传输,从而防止数据在传输过程中泄露。
所述智能操作系统支持所述可信网络连接系统的一种具体实现过程包括:收集所述智能操作系统的运行平台的完整性度量值,以便传输至远程可信网络连接决策点进行验证;负责管理完整性度量。其中,所述完整性度量值包括智能操作系统平台相关的配置和一些安全参数等信息。
如图20所示,所述支持域管理的移动办公安全方法还包括:
S107,在所述智能终端平台提供的硬件可信模式下构建可信系统,所述可信系统通过受限通信与所述支持域管理的系统内核或智能操作系统交互。本实施例利用基于TrustZone的可信系统提供的加解密、签名和验证功能、以及组件可信性验证等功能为上层应用提供可信的网络支持。不可信系统通过受限通信和可信系统交互。
进一步,参见图17和图19所示,所述可信系统的一种具体实现过程包括:为所述可信网络连接协议栈模块提供加密连接协议;对所述网络访问进行验证;验证所述可信网络连接系统的组件可信性;为所述可信存储文件系统提供密钥生成、加密和安全存储;对所述用户进行身份认证和授权;验证所述可信存储文件系统的组件可信性。
本发明基于LINUX内核提供命名空间机制实现了程序执行域之间的强隔离,在移动办公安全系统中创建隔离的程序执行环境;针对办公执行域中程序执行环境安全级别的要求,系统内核提供了可信的文件存储和网络访问功能;在对跨域的进程间通讯中,本发明支持跨域通讯的Binder交互,支持跨域通讯的匿名共享内存。而且,本发明采用Linux内核的命名空间机制隔离个人应用程序和办公应用程序的同时,也将操作系统的执行和应用程序进行了隔离,为了便于智能操作系统管理其他程序域的执行,本发明在内核层次提供域管理接口。智能操作系统基于系统内核提供的域管理接口可以方便的实现对于程序域的管理。此外,本发明提出的在支持移动办公应用安全性方面,提出了可信存储与网络安全连接。
与现有技术相比,本发明的优点在于为移动办公安全领域设定了支持域管理的系统内核,不同于一般LINUX共享内存等方式处理程序间的通讯。本发明为了创建隔离的程序执行环境,智能操作系统和应用程序(包括个人应用和办公应用)均运行在单独的程序执行域中,并且相对于传统的基于LINUX内核进程间通信方式有着显著的不同,其提供的命名空间机制实现了程序执行域之间的强隔离(包括文件系统、网络资源、进程空间等方面的隔离)。为了支持应用程序和智能操作系统之间的正常交互,本发明提供了跨域的进程间通讯机制,支持现有应用程序能够正常的在独立程序域中执行。同时这种跨域的通讯机制同样支持一个执行域内部的进程间通讯。
综上所述,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (18)
1.一种支持域管理的移动办公安全系统,其特征在于,所述支持域管理的移动办公安全系统包括:
支持域管理的系统内核,构建于智能终端平台提供的硬件普通模式下,用于实现对应用程序的域管理;
程序执行域环境,构建于所述支持域管理的系统内核上,基于命名空间实现至少2个域,每个域中的程序均独立运行,不同域中的程序相互无干扰;
智能操作系统,构建于所述程序执行域环境中的第一个域中,用于通过所述支持域管理的系统内核开放的域管理接口对程序和域进行分配、及通信管理;所述智能操作系统提取程序的域信息,并在程序进程交互过程中传播所述域信息,从而实现跨域和域内部的进程间交互;
应用程序域,由所述智能操作系统创建于所述程序执行域环境中不同于所述第一个域的域中,用于运行应用程序;
所述支持域管理的系统内核包括:
进程孵化器创建模块,创建一个子进程作为一个所述域的进程孵化器;每个进程孵化器均运行于自身对应的一个域中;
应用程序进程创建模块,与所述进程孵化器创建模块相连,使所述进程孵化器克隆自身创建新的应用程序进程;所述新的应用程序进程与对应的进程孵化器运行于同一个域中。
2.根据权利要求1所述的支持域管理的移动办公安全系统,其特征在于:所述应用程序域包括:
办公应用域,由所述智能操作系统创建于所述程序执行域环境中不同于所述第一个域的第二个域中,用于运行企业授信的办公应用程序;
个人应用域,由所述智能操作系统创建于所述程序执行域环境中不同于所述第一个域的第三个域中,用于运行用户自行安装的第三方应用程序。
3.根据权利要求1所述的支持域管理的移动办公安全系统,其特征在于,所述智能操作系统包括支持跨域通信的Binder交互模组,所述Binder交互模组包括:
第一记录模块,记录每一个域中运行的进程信息;
Binder驱动模块,存储每一个Binder对象的创建进程的信息;
第一监控模块,在程序执行过程中监控每一次进程间交互的目标对象所在的进程;
第一交互判定模块,与所述第一记录模块、Binder驱动模块、第一监控模块分别相连,根据所述目标对象所在的进程的域信息判断是否允许这一次进程间交互。
4.根据权利要求1所述的支持域管理的移动办公安全系统,其特征在于,所述智能操作系统包括支持跨域通信的匿名共享内存模组,所述匿名共享内存模组包括:
第二记录模块,记录每一个域中运行的进程信息;
匿名共享内存驱动模块,存储每一个共享内存对象的创建进程的信息;
第二监控模块,在程序执行过程中监控每一次进程间交互的目标对象所在的进程;
第二交互判定模块,与所述第二记录模块、匿名共享内存驱动模块、第二监控模块分别相连,根据所述目标对象所在的进程的域信息判断是否允许这一次进程间交互。
5.根据权利要求1所述的支持域管理的移动办公安全系统,其特征在于,所述智能操作系统包括:
域进程信息配置模块,与所述域管理接口相连,通过所述域管理接口配置新创建的应用程序进程需要具备的进程信息;
域内存回收模块,与所述域管理接口相连,根据域的优先级选择性杀死各个域中不活跃的进程,释放内存空间;
域管理接口保护模块,与所述域管理接口相连,限制只有位于所述智能操作系统所在域中的进程才能调用所述域管理接口。
6.根据权利要求1所述的支持域管理的移动办公安全系统,其特征在于,所述支持域管理的移动办公安全系统还包括构建于所述支持域管理的系统内核上的可信存储文件系统和可信网络连接系统;
所述可信存储文件系统包括:
加密引擎模块,通过所述支持域管理的系统内核的加密接口对文件访问进行内核级加密,包括对整个文件进行密钥加密或/和计算文件的校验值;
文件安全属性模块,与所述加密引擎模块相连,扩展文件的安全属性;所述安全属性包括标志域和数据域;所述标志域表示文件侧重的安全属性;所述数据域表示加密文件所使用的密钥或/和文件的校验值;
密钥管理模块,与所述加密引擎模块和文件安全属性模块分别相连,采用链式加密的方法保护密钥和文件;
所述可信网络连接系统包括:
可信网络连接协议栈模块,提供加密连接支持;
可信网络访问请求器,作为网络访问的入口,控制所有对本地进行的网络访问。
7.根据权利要求6所述的支持域管理的移动办公安全系统,其特征在于,所述智能操作系统还包括:
认证授权模块,用于验证用户的合法身份,接收用户设置的共享秘密数据,并在所述共享秘密数据正确时允许用户访问所述可信存储文件系统;
完整性度量收集器,用于收集所述智能操作系统的运行平台的完整性度量值,以便传输至远程可信网络连接决策点进行验证;
可信网络连接客户端,与所述完整性度量收集器相连,负责管理所述完整性度量收集器。
8.根据权利要求7所述的支持域管理的移动办公安全系统,其特征在于,所述支持域管理的移动办公安全系统还包括构建于智能终端平台提供的硬件可信模式下的可信系统,所述可信系统通过受限通信与所述支持域管理的系统内核或智能操作系统交互,包括:
信息加解密模块,与所述可信存储文件系统、所述可信网络连接系统或/和所述智能操作系统相连,为所述可信存储文件系统提供密钥生成、加密和安全存储,或/和为所述可信网络连接协议栈模块提供加密连接协议;
签名验证模块,与所述认证授权模块或/和所述可信网络连接协议栈模块相连,对所述用户进行身份认证和授权,或/和对所述网络访问进行验证;
组件可信性验证模块,与所述可信存储文件系统、所述可信网络连接系统、或/和所述完整性度量收集器相连,用于验证所述可信存储文件系统、所述可信网络连接系统、或/和所述完整性度量收集器的组件可信性。
9.一种支持域管理的移动办公安全方法,其特征在于,所述支持域管理的移动办公安全方法包括:
在智能终端平台提供的硬件普通模式下构建支持域管理的系统内核,用于实现对应用程序的域管理;
在所述支持域管理的系统内核上构建程序执行域环境;所述程序执行域环境基于命名空间实现至少2个域,每个域中的程序均独立运行,不同域中的程序相互无干扰;
在所述程序执行域环境中的第一个域中构建智能操作系统,用于通过所述支持域管理的系统内核开放的域管理接口对程序和域进行分配、及通信管理;所述智能操作系统提取程序的域信息,并在程序进程交互过程中传播所述域信息,从而实现跨域和域内部的进程间交互;
在所述程序执行域环境中不同于所述第一个域的域中,由所述智能操作系统创建应用程序域,用于运行应用程序;
所述智能操作系统创建应用程序域的一种具体实现过程包括:
创建一个子进程作为一个域的进程孵化器;每个进程孵化器均运行于自身对应的一个域中;
所述进程孵化器克隆自身创建新的应用程序进程;所述新的应用程序进程与对应的进程孵化器运行于同一个域中。
10.根据权利要求9所述的支持域管理的移动办公安全方法,其特征在于,所述应用程序域的一种具体创建过程包括:
在所述程序执行域环境中不同于所述第一个域的第二个域中,由所述智能操作系统创建办公应用域,用于运行企业授信的办公应用程序;
在所述程序执行域环境中不同于所述第一个域的第三个域中,由所述智能操作系统创建个人应用域,用于运行用户自行安装的第三方应用程序。
11.根据权利要求9所述的支持域管理的移动办公安全方法,其特征在于,所述智能操作系统实现跨域和域内部的进程间交互的一种具体实现过程包括:
记录每一个域中运行的进程信息;
存储每一个Binder对象或/和共享内存对象的创建进程的信息;
在程序执行过程中监控每一次进程间交互的目标对象所在的进程;
根据所述目标对象所在的进程的域信息判断是否允许这一次进程间交互。
12.根据权利要求9所述的支持域管理的移动办公安全方法,其特征在于,所述智能操作系统通过域管理接口对程序和域进行分配、及通信管理的一种具体实现过程包括:
通过所述域管理接口配置新创建的应用程序进程需要具备的进程信息;
根据域的优先级选择性杀死各个域中不活跃的进程,释放内存空间;
限制只有位于所述智能操作系统所在域中的进程才能调用所述域管理接口。
13.根据权利要求9所述的支持域管理的移动办公安全方法,其特征在于,所述支持域管理的移动办公安全方法还包括在所述支持域管理的系统内核上构建可信存储文件系统,实现自动对程序的文件写或读行为的保密;所述可信存储文件系统的一种具体实现过程包括:
通过所述支持域管理的系统内核的加密接口对文件访问进行内核级加密,包括对整个文件进行密钥加密或/和计算文件的校验值;
扩展文件的安全属性;所述安全属性包括标志域和数据域;所述标志域表示文件侧重的安全属性;所述数据域表示加密文件所使用的密钥或/和文件的校验值;
采用链式加密的方法保护密钥和文件。
14.根据权利要求13所述的支持域管理的移动办公安全方法,其特征在于,所述智能操作系统支持所述可信存储文件系统的一种具体实现过程包括:
验证用户的合法身份,接收用户设置的共享秘密数据,并在所述共享秘密数据正确时允许用户访问所述可信存储文件系统。
15.根据权利要求14所述的支持域管理的移动办公安全方法,其特征在于,所述支持域管理的移动办公安全方法还包括在所述智能终端平台提供的硬件可信模式下构建可信系统,所述可信系统通过受限通信与所述支持域管理的系统内核或智能操作系统交互;所述可信系统的一种具体实现过程包括:
为所述可信存储文件系统提供密钥生成、加密和安全存储;
对所述用户进行身份认证和授权;
验证所述可信存储文件系统的组件可信性。
16.根据权利要求9所述的支持域管理的移动办公安全方法,其特征在于,所述支持域管理的移动办公安全方法还包括在所述支持域管理的系统内核上构建可信网络连接系统,实现为应用程序提供可信的网络支持;所述可信网络连接系统的一种具体实现过程包括:
提供加密连接支持;
设置网络访问的入口,控制所有对本地进行的网络访问。
17.根据权利要求16所述的支持域管理的移动办公安全方法,其特征在于,所述智能操作系统支持所述可信网络连接系统的一种具体实现过程包括:
收集所述智能操作系统的运行平台的完整性度量值,以便传输至远程可信网络连接决策点进行验证;
负责管理完整性度量。
18.根据权利要求17所述的支持域管理的移动办公安全方法,其特征在于,所述支持域管理的移动办公安全方法还包括在所述智能终端平台提供的硬件可信模式下构建可信系统,所述可信系统通过受限通信与所述支持域管理的系统内核或智能操作系统交互;所述可信系统的一种具体实现过程包括:
为所述可信网络连接协议栈模块提供加密连接协议;
对所述网络访问进行验证;
验证所述可信网络连接系统的组件可信性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410522491.6A CN104331329B (zh) | 2014-09-30 | 2014-09-30 | 支持域管理的移动办公安全系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410522491.6A CN104331329B (zh) | 2014-09-30 | 2014-09-30 | 支持域管理的移动办公安全系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104331329A CN104331329A (zh) | 2015-02-04 |
| CN104331329B true CN104331329B (zh) | 2017-12-01 |
Family
ID=52406063
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410522491.6A Active CN104331329B (zh) | 2014-09-30 | 2014-09-30 | 支持域管理的移动办公安全系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104331329B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577632B (zh) * | 2015-06-26 | 2018-08-24 | 宇龙计算机通信科技(深圳)有限公司 | 一种基于网络隔离的安全连网方法及终端 |
| CN105187423B (zh) * | 2015-08-28 | 2019-04-12 | 宇龙计算机通信科技(深圳)有限公司 | 网络资源的隔离方法、网络资源的隔离系统和移动终端 |
| CN106534047B (zh) * | 2015-09-10 | 2019-06-21 | 阿里巴巴集团控股有限公司 | 一种基于Trust应用的信息传输方法及装置 |
| CN105871539B (zh) * | 2016-03-18 | 2020-02-14 | 华为技术有限公司 | 一种密钥处理方法及装置 |
| CN106375371B (zh) * | 2016-08-22 | 2019-11-22 | 四川安嵌科技有限公司 | 一种跨域访问服务的方法及系统 |
| BR112019005604A2 (pt) | 2016-11-15 | 2019-07-02 | Huawei Tech Co Ltd | chip de processador e dispositivo terminal |
| CN107563224B (zh) * | 2017-09-04 | 2020-07-28 | 浪潮集团有限公司 | 一种多用户物理隔离方法及装置 |
| CN109062507A (zh) * | 2018-07-18 | 2018-12-21 | 武汉中旗生物医疗电子有限公司 | 心电数据的处理储存方法及装置 |
| CN109522111B (zh) * | 2018-11-29 | 2023-03-10 | 北京元心科技有限公司 | 异构生态系统的调用方法、装置、电子设备及存储介质 |
| CN111400726B (zh) * | 2019-01-03 | 2024-04-09 | 斑马智行网络(香港)有限公司 | 一种数据处理方法、装置、设备和机器可读介质 |
| CN110430132B (zh) * | 2019-07-05 | 2021-04-27 | 杭州迪普信息技术有限公司 | 绑定Socket与VRF的方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7549165B2 (en) * | 2002-06-17 | 2009-06-16 | Bae Systems Information Technology Inc. | Trusted operating system with emulation and process isolation |
| CN102222191A (zh) * | 2011-06-16 | 2011-10-19 | 中国人民解放军国防科学技术大学 | 一种松散耦合角色授权的类型实施访问控制方法及其系统 |
| CN103116716A (zh) * | 2013-01-25 | 2013-05-22 | 复旦大学 | 一种针对移动平台的低干扰的即时权限授予方法 |
| CN103514414A (zh) * | 2012-06-26 | 2014-01-15 | 上海盛轩网络科技有限公司 | 一种基于ARM TrustZone的加密方法及加密系统 |
| CN104239814A (zh) * | 2014-09-17 | 2014-12-24 | 上海斐讯数据通信技术有限公司 | 一种移动办公安全方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103314566B (zh) * | 2010-11-05 | 2017-05-03 | 思杰系统有限公司 | 用于管理域名系统安全(dnssec)的系统和方法 |
-
2014
- 2014-09-30 CN CN201410522491.6A patent/CN104331329B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7549165B2 (en) * | 2002-06-17 | 2009-06-16 | Bae Systems Information Technology Inc. | Trusted operating system with emulation and process isolation |
| CN102222191A (zh) * | 2011-06-16 | 2011-10-19 | 中国人民解放军国防科学技术大学 | 一种松散耦合角色授权的类型实施访问控制方法及其系统 |
| CN103514414A (zh) * | 2012-06-26 | 2014-01-15 | 上海盛轩网络科技有限公司 | 一种基于ARM TrustZone的加密方法及加密系统 |
| CN103116716A (zh) * | 2013-01-25 | 2013-05-22 | 复旦大学 | 一种针对移动平台的低干扰的即时权限授予方法 |
| CN104239814A (zh) * | 2014-09-17 | 2014-12-24 | 上海斐讯数据通信技术有限公司 | 一种移动办公安全方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104331329A (zh) | 2015-02-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104331329B (zh) | 支持域管理的移动办公安全系统及方法 | |
| CN110580413B (zh) | 基于链下授权的隐私数据查询方法及装置 | |
| CN110086804A (zh) | 一种基于区块链及可信硬件的物联网数据隐私保护方法 | |
| CN105359482B (zh) | 用于作为服务基础设施的平台中透明注入策略的系统和方法 | |
| CN104903905B (zh) | 通过修改计算机应用的目标代码的用于计算机应用的安全服务管理 | |
| CN107241360A (zh) | 一种数据安全共享交换方法和数据安全共享交换平台系统 | |
| CN105009138B (zh) | 用于处理数据库客户请求的方法和系统 | |
| CN107851167A (zh) | 在计算环境中保护计算数据的技术 | |
| CN108885665A (zh) | 用于解密虚拟化环境中的网络流量的系统和方法 | |
| CN110580245B (zh) | 隐私数据的共享方法及装置 | |
| CN106375317A (zh) | 一种基于区块链的大数据安全认证方法和系统 | |
| CN106797383A (zh) | 多租户环境中的安全性上下文管理 | |
| CN109583857A (zh) | 公开邀约任务处理方法、系统、设备及存储介质 | |
| CN110580411B (zh) | 基于智能合约的权限查询配置方法及装置 | |
| CN108399329A (zh) | 一种提高可信应用程序安全的方法 | |
| CN107404472A (zh) | 用户发起的加密密钥的迁移 | |
| CN113014444B (zh) | 一种物联网设备生产测试系统及安全保护方法 | |
| CN106789059B (zh) | 一种基于可信计算的远程双向访问控制系统及方法 | |
| CN108429719A (zh) | 密钥保护方法及装置 | |
| CN105635168B (zh) | 一种脱机交易装置及其安全密钥的使用方法 | |
| CN109905350A (zh) | 一种数据传输方法及系统 | |
| CN107196943B (zh) | 一种隐私数据在第三方平台的安全展示实现方法 | |
| CN109995530A (zh) | 一种适用于移动定位系统的安全分布式数据库交互方法 | |
| CN109447644A (zh) | 用于托管区块链用户私钥的方法和装置 | |
| CN113946877A (zh) | 数据安全计算方法、系统、计算机设备、存储介质及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201203 Address after: 313028 Industrial Park, balidian Town, Huzhou City, Zhejiang Province Patentee after: HUZHOU FENGYUAN AGRICULTURAL EQUIPMENT MANUFACTURE Co.,Ltd. Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666 Patentee before: Phicomm (Shanghai) Co.,Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Mobile office security system and method supporting domain management Effective date of registration: 20210630 Granted publication date: 20171201 Pledgee: Zhejiang Tailong Commercial Bank Co.,Ltd. Huzhou Branch Pledgor: HUZHOU FENGYUAN AGRICULTURAL EQUIPMENT MANUFACTURE Co.,Ltd. Registration number: Y2021330000755 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20230811 Granted publication date: 20171201 Pledgee: Zhejiang Tailong Commercial Bank Co.,Ltd. Huzhou Branch Pledgor: HUZHOU FENGYUAN AGRICULTURAL EQUIPMENT MANUFACTURE Co.,Ltd. Registration number: Y2021330000755 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20231109 Address after: Building 1, 3C4, Financial Service Technology Innovation Base, No. 8 Kefa Road, Yuehai Street, Nanshan District, Shenzhen, Guangdong Province, 518000 Patentee after: Shenzhen General Internet Industry Development Co.,Ltd. Address before: 313028 Industrial Park, balidian Town, Huzhou City, Zhejiang Province Patentee before: HUZHOU FENGYUAN AGRICULTURAL EQUIPMENT MANUFACTURE Co.,Ltd. |
|
| TR01 | Transfer of patent right |