CN106384045B - 基于应用程序虚拟化的安卓存储应用沙箱及通信方法 - Google Patents
基于应用程序虚拟化的安卓存储应用沙箱及通信方法 Download PDFInfo
- Publication number
- CN106384045B CN106384045B CN201610817460.2A CN201610817460A CN106384045B CN 106384045 B CN106384045 B CN 106384045B CN 201610817460 A CN201610817460 A CN 201610817460A CN 106384045 B CN106384045 B CN 106384045B
- Authority
- CN
- China
- Prior art keywords
- target
- agent
- binder
- system call
- inter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Abstract
本发明公开了一种基于应用程序虚拟化的安卓存储应用沙箱,包括代理和目标,目标和代理间存在一个用于安全地隔离不受信应用程序的强安全界;代理是应用程序进程,拥有系统分配的所有平台权限,能够与安卓中间件正常交互,作为目标和安卓系统间所有交互的强制代理;代理包括API层、核心逻辑层和虚拟层:目标无平台权限、无法访问安卓固件且不能改变文件系统,包括沙箱服务、Binder进程间通信拦截器和系统调用拦截器。本发明利用隔离进程提供的安全性,通过在进程内动态加载执行不受信应用程序避免了修改操作系统和不受信应用程序,同时用一种可控制的方法允许不受信应用程序执行输入/输出操作和访问系统资源,将不受信应用程序封装在沙箱环境内。
Description
技术领域
本发明属于通信技术领域,特别涉及一种基于应用程序虚拟化的安卓存储应用沙箱及通信方法。
背景技术
随着安卓的普遍性和开源系统的普及,智能手机用户特别是安卓操作系统用户的隐私受到许多不同威胁的危害。这些威胁包括越来越复杂的恶意软件和间谍软件、开发者的疏忽以及安卓SDK缺乏故障安全缺省值。为了解决这种情况,近年来开发保护终端用户隐私的新方法已经成为安卓安全领域的活跃话题。
已有的部署安卓安全扩展的方法有操作系统安全扩展和内联参考监测。操作系统安全扩展展示了以用户标识符为中心的安卓安全架构,虽然提供了较强的安全保证,但操作系统和安卓应用框架需要大量的修改。内联参考监测作为一种替代方法,将参考监测器移动到应用层并允许用户安装应用程序形式的安全扩展,然而参考监测器和不受信应用程序共享相同的进程空间,安全性较差,同时内联参考监测器需要修改使得应用程序需要重新签名,这违反了安卓基于签名的同源模型。
发明内容
本发明的目的在于克服现有技术的不足,提供一种利用隔离进程提供的安全性,通过在进程内动态加载执行不受信应用程序避免了修改操作系统和不受信应用程序,同时用一种可控制的方法允许不受信应用程序执行输入/输出操作和访问系统资源,从而安全地将不受信应用程序封装在沙箱环境内的基于应用程序虚拟化的安卓存储应用沙箱及通信方法。
本发明的目的是通过以下技术方案来实现的:基于应用程序虚拟化的安卓存储应用沙箱,包括运行在权限控制进程的代理和运行在隔离进程的一个或多个目标,目标和代理间存在一个用于安全地隔离不受信应用程序的强安全界;
所述代理是应用程序进程,拥有系统分配的所有平台权限,能够与安卓中间件正常交互,作为目标和安卓系统间所有交互的强制代理;代理包括API层、核心逻辑层和虚拟层:
API层:包括进程间通信接收器和系统调用接收器;
核心逻辑层:为Binder进程间通信和系统调用实现策略实施点,通过复制安卓核心系统服务提供的功能来为应用程序提供基本功能;系统调用策略实施点执行关于网络和文件系统操作的系统调用策略,同时该层判断是使用复制服务进行模拟还是通过虚拟层转发给系统,将不是由核心逻辑层进行模拟的系统服务通过服务策略实施点传递到虚拟层;对于系统调用,利用系统调用策略实施点通过系统调用API访问系统底层资源;
虚拟层:负责转换安卓应用程序框架和目标间的双向通信,同时维护目标组件和代理组件间的映射;
所述目标无平台权限、无法访问安卓固件且不能改变文件系统,包括沙箱服务、Binder进程间通信拦截器和系统调用拦截器:
沙箱服务:提供进程间通信接口,代理通过该通信接口与目标通信并调用基本的目标生命周期操作,同时沙箱服务建立Binder进程间通信拦截器和系统调用拦截器;
Binder进程间通信拦截器:有效地拦截目标发出的Binder进程间通信并将Binder进程间通信重定向到代理;
系统调用拦截器:将目标的系统调用重定向到代理。
进一步地,API层的进程间通信接收器和系统调用接收器分别接收隔离进程中Binder进程间通信拦截器和系统调用拦截器的重定向参数,并将这些参数转播到核心逻辑层进行监测和执行。
进一步地,核心逻辑层包括服务策略实施点、系统调用策略实施点和策略模块,所述策略模块用于对转发到代理的来自目标的进程间通信和系统调用进行安全评估;服务策略实施点用于监测和执行来自进程间通信接收器转播的重定向参数;系统调用策略实施点用于监测和执行来自系统调用接收器转播的重定向参数。
进一步地,核心逻辑层传递的Binder进程间通信是利用虚拟层的代理组件通过Linux内核的Binder组件实现与应用程序框架内的其它应用程序组件进行通信。
进一步地,系统调用API访问系统底层资源包括自主访问控制DAC和强制访问控制MAC。
S1、激活隔离进程内的沙箱服务;
S2、建立Binder进程间通信拦截器和系统调用拦截器;
S3、代理通过沙箱服务提供的进程间通信接口与目标进行通信并交换配置信息从而正确地操作目标;
S4、代理根据接收到的Binder句柄指示目标加载沙箱内封装的不受信应用程序;
S5、虚拟层创建代理组件到目标组件的映射,当需要启动目标应用程序时,将目标组件映射到代理组件,同时代理向系统服务负责分配资源的活动管理器请求启动沙箱内的不受信应用程序,资源分配后,代理向目标进程发送信号启动不受信应用程序;
S6、隔离进程的不受信应用程序发出Binder进程间通信,与应用程序远程组件进行通信或者系统调用访问系统底层资源,Binder进程间通信拦截器和系统调用拦截器将Binder进程间通信和系统调用重定向到代理;
S7、定向到代理的来自隔离进程的Binder进程间通信和系统调用通过策略模块进行评估判断,当策略模块允许Binder进程间通信和系统调用时,代理执行该进程间通信和系统调用,否则拒绝该Binder进程间通信和系统调用。
进一步地,所述步骤S6具体实现方法为:
当不受信应用程序利用Binder进程间通信机制与应用程序远程组件进行通信时,该不受信应用程序首先获得将其连接到所需远程组件的Binder句柄,检索Binder句柄需要查询服务管理器,Binder进程间通信拦截器利用这一点,将隔离进程内对服务管理器句柄的调用替换为对代理Binder句柄的调用,拦截目标进程的进程间通信并重定向到代理;
对于目标进程的系统调用,系统调用拦截器拦截并将调用重定向到运行在隔离进程中的某个服务客户端,该服务客户端通过目标与代理间的进程间通信将调用转发到代理的某个自定义组件,从而将系统调用重定向到代理;对于可能赋予隔离进程某种权限的系统调用不进行重定向。
本发明的有益效果是:本发明基于应用程序虚拟化(沙箱)和权限分离,提出了用一种可控制方法运行沙箱内不受信应用程序执行输入/输出操作的应用沙箱及其通信方法,克服了传统应用沙箱需要调节和监测沙箱应用程序和系统间的所有输入/输出端口来限制不受信应用程序权限的缺点,利用隔离进程提供的安全性,通过在进程内动态加载执行不受信应用程序避免了修改操作系统和不受信应用程序,同时用一种可控制的方法允许不受信应用程序执行输入/输出操作和访问系统资源,从而安全地将不受信应用程序封装在沙箱环境内,提高通信安全性。本发明结合操作系统扩展和内联参考监测器方法,提供了一种与操作系统隔离的应用沙箱,该应用沙箱能够完全作为一种应用程序部署在安卓存储内而不需要修改固件和监测应用程序代码。
附图说明
图1为本发明的安卓存储应用沙箱结构示意图。
具体实施方式
下面结合附图进一步说明本发明的技术方案。
如图1所示,基于应用程序虚拟化的安卓存储应用沙箱,包括运行在权限控制进程的代理和运行在隔离进程的一个或多个目标,目标和代理间存在一个用于安全地隔离不受信应用程序的强安全界;
所述代理是应用程序进程,拥有系统分配的所有平台权限,能够与安卓中间件正常交互,作为目标和安卓系统间所有交互的强制代理;代理包括API层、核心逻辑层和虚拟层:
API层:包括进程间通信接收器和系统调用接收器;
核心逻辑层:为Binder进程间通信和系统调用实现策略实施点,通过复制安卓核心系统服务提供的功能来为应用程序提供基本功能;系统调用策略实施点执行关于网络和文件系统操作的系统调用策略,同时该层判断是使用复制服务进行模拟还是通过虚拟层转发给系统,将不是由核心逻辑层进行模拟的系统服务通过服务策略实施点传递到虚拟层;对于系统调用,利用系统调用策略实施点通过系统调用API访问系统底层资源;
虚拟层:负责转换安卓应用程序框架和目标间的双向通信,同时维护目标组件和代理组件间的映射;
所述目标无平台权限、无法访问安卓固件且不能改变文件系统,包括沙箱服务、Binder进程间通信拦截器和系统调用拦截器:
沙箱服务:提供进程间通信接口,代理通过该通信接口与目标通信并调用基本的目标生命周期操作,同时沙箱服务建立Binder进程间通信拦截器和系统调用拦截器;
Binder进程间通信拦截器:有效地拦截目标发出的Binder进程间通信并将Binder进程间通信重定向到代理;
系统调用拦截器:将目标的系统调用重定向到代理,与将所有进程间通信重定向到代理的进程间通信拦截器不同,系统调用拦截器对转发的调用具有选择性,对可能会赋予隔离进程某种权限的系统调用不进行重定向。
进一步地,API层的进程间通信接收器和系统调用接收器分别接收隔离进程中Binder进程间通信拦截器和系统调用拦截器的重定向参数,并将这些参数转播到核心逻辑层进行监测和执行。
进一步地,核心逻辑层包括服务策略实施点、系统调用策略实施点和策略模块,所述策略模块用于对转发到代理的来自目标的进程间通信和系统调用进行安全评估;服务策略实施点用于监测和执行来自进程间通信接收器转播的重定向参数;系统调用策略实施点用于监测和执行来自系统调用接收器转播的重定向参数。
进一步地,核心逻辑层传递的Binder进程间通信是利用虚拟层的代理组件通过Linux内核的Binder组件实现与应用程序框架内的其它应用程序组件进行通信。
进一步地,系统调用API访问系统底层资源包括自主访问控制DAC和强制访问控制MAC。
本发明的一种基于应用程序虚拟化的安卓存储应用沙箱通信方法,包括以下步骤:
S1、激活隔离进程内的沙箱服务;
S2、建立Binder进程间通信拦截器和系统调用拦截器;
S3、代理通过沙箱服务提供的进程间通信接口与目标进行通信并交换配置信息从而正确地操作目标;
S4、代理根据接收到的Binder句柄指示目标加载沙箱内封装的不受信应用程序;
S5、虚拟层创建代理组件到目标组件的映射,当需要启动目标应用程序时,将目标组件映射到代理组件,同时代理向系统服务负责分配资源的活动管理器请求启动沙箱内的不受信应用程序,资源分配后,代理向目标进程发送信号启动不受信应用程序;
S6、隔离进程的不受信应用程序发出Binder进程间通信,与应用程序远程组件(包括应用程序框架服务和系统应用程序)进行通信或者系统调用访问系统底层资源,Binder进程间通信拦截器和系统调用拦截器将Binder进程间通信和系统调用重定向到代理;
S7、定向到代理的来自隔离进程的Binder进程间通信和系统调用通过策略模块进行评估判断,当策略模块允许Binder进程间通信和系统调用时,代理执行该进程间通信和系统调用,否则拒绝该Binder进程间通信和系统调用。
进一步地,所述步骤S6具体实现方法为:
当不受信应用程序利用Binder进程间通信机制与应用程序远程组件进行通信时,该不受信应用程序首先获得将其连接到所需远程组件的Binder句柄,检索Binder句柄需要查询服务管理器,Binder进程间通信拦截器利用这一点,将隔离进程内对服务管理器句柄的调用替换为对代理Binder句柄的调用,拦截目标进程的进程间通信并重定向到代理;
对于目标进程的系统调用,系统调用拦截器拦截并将调用重定向到运行在隔离进程中的某个服务客户端,该服务客户端通过目标与代理间的进程间通信将调用转发到代理的某个自定义组件,从而将系统调用重定向到代理;对于可能赋予隔离进程某种权限的系统调用不进行重定向。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的原理,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
Claims (4)
1.基于应用程序虚拟化的安卓存储应用沙箱,其特征在于,包括运行在权限控制进程的代理和运行在隔离进程的一个或多个目标,目标和代理间存在一个用于安全地隔离不受信应用程序的强安全界;
所述代理是应用程序进程,拥有系统分配的所有平台权限,能够与安卓中间件正常交互,作为目标和安卓系统间所有交互的强制代理;代理包括API层、核心逻辑层和虚拟层:
API层:包括进程间通信接收器和系统调用接收器;API层的进程间通信接收器和系统调用接收器分别接收隔离进程中Binder进程间通信拦截器和系统调用拦截器的重定向参数,并将这些参数转播到核心逻辑层进行监测和执行;
核心逻辑层:为Binder进程间通信和系统调用实现策略实施点,通过复制安卓核心系统服务提供的功能来为应用程序提供基本功能;系统调用策略实施点执行关于网络和文件系统操作的系统调用策略,同时该层判断是使用复制服务进行模拟还是通过虚拟层转发给系统,将不是由核心逻辑层进行模拟的系统服务通过服务策略实施点传递到虚拟层;对于系统调用,利用系统调用策略实施点通过系统调用API访问系统底层资源;
核心逻辑层包括服务策略实施点、系统调用策略实施点和策略模块,所述策略模块用于对转发到代理的来自目标的进程间通信和系统调用进行安全评估;服务策略实施点用于监测和执行来自进程间通信接收器转播的重定向参数;系统调用策略实施点用于监测和执行来自系统调用接收器转播的重定向参数;
虚拟层:负责转换安卓应用程序框架和目标间的双向通信,同时维护目标组件和代理组件间的映射;
所述目标无平台权限、无法访问安卓固件且不能改变文件系统,包括沙箱服务、Binder进程间通信拦截器和系统调用拦截器:
沙箱服务:提供进程间通信接口,代理通过该通信接口与目标通信并调用基本的目标生命周期操作,同时沙箱服务建立Binder进程间通信拦截器和系统调用拦截器;
Binder进程间通信拦截器:有效地拦截目标发出的Binder进程间通信并将Binder进程间通信重定向到代理;
系统调用拦截器:将目标的系统调用重定向到代理。
2.根据权利要求1所述的基于应用程序虚拟化的安卓存储应用沙箱,其特征在于,所述核心逻辑层传递的Binder进程间通信是利用虚拟层的代理组件通过Linux内核的Binder组件实现与应用程序框架内的其它应用程序组件进行通信。
3.根据权利要求1所述的基于应用程序虚拟化的安卓存储应用沙箱,其特征在于,所述系统调用API访问系统底层资源包括自主访问控制DAC和强制访问控制MAC。
4.如权利要求1~3任意一项所述的基于应用程序虚拟化的安卓存储应用沙箱通信方法,其特征在于,包括以下步骤:
S1、激活隔离进程内的沙箱服务;
S2、建立Binder进程间通信拦截器和系统调用拦截器;
S3、代理通过沙箱服务提供的进程间通信接口与目标进行通信并交换配置信息从而正确地操作目标;
S4、代理根据接收到的Binder句柄指示目标加载沙箱内封装的不受信应用程序;
S5、虚拟层创建代理组件到目标组件的映射,当需要启动目标应用程序时,将目标组件映射到代理组件,同时代理向系统服务负责分配资源的活动管理器请求启动沙箱内的不受信应用程序,资源分配后,代理向目标进程发送信号启动不受信应用程序;
S6、隔离进程的不受信应用程序发出Binder进程间通信,与应用程序远程组件进行通信或者系统调用访问系统底层资源,Binder进程间通信拦截器和系统调用拦截器将Binder进程间通信和系统调用重定向到代理;具体实现方法为:
当不受信应用程序利用Binder进程间通信机制与应用程序远程组件进行通信时,该不受信应用程序首先获得将其连接到所需远程组件的Binder句柄,检索Binder句柄需要查询服务管理器,Binder进程间通信拦截器利用这一点,将隔离进程内对服务管理器句柄的调用替换为对代理Binder句柄的调用,拦截目标进程的进程间通信并重定向到代理;
对于目标进程的系统调用,系统调用拦截器拦截并将调用重定向到运行在隔离进程中的某个服务客户端,该服务客户端通过目标与代理间的进程间通信将调用转发到代理的某个自定义组件,从而将系统调用重定向到代理;
S7、定向到代理的来自隔离进程的Binder进程间通信和系统调用通过策略模块进行评估判断,当策略模块允许Binder进程间通信和系统调用时,代理执行该进程间通信和系统调用,否则拒绝该Binder进程间通信和系统调用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610817460.2A CN106384045B (zh) | 2016-09-12 | 2016-09-12 | 基于应用程序虚拟化的安卓存储应用沙箱及通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610817460.2A CN106384045B (zh) | 2016-09-12 | 2016-09-12 | 基于应用程序虚拟化的安卓存储应用沙箱及通信方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106384045A CN106384045A (zh) | 2017-02-08 |
CN106384045B true CN106384045B (zh) | 2020-10-27 |
Family
ID=57936374
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610817460.2A Active CN106384045B (zh) | 2016-09-12 | 2016-09-12 | 基于应用程序虚拟化的安卓存储应用沙箱及通信方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106384045B (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106897611A (zh) * | 2017-03-03 | 2017-06-27 | 金光 | 无需root权限的安全虚拟移动应用程序运行环境系统及方法与应用 |
CN107330324A (zh) * | 2017-05-18 | 2017-11-07 | 深信服科技股份有限公司 | 一种应用程序数据的擦除方法及擦除装置 |
CN107402784B (zh) * | 2017-07-07 | 2021-06-04 | 北京小米移动软件有限公司 | 应用管理方法及应用管理装置 |
CN107517245A (zh) * | 2017-07-10 | 2017-12-26 | 电子科技大学 | 一种基于静态分析的移动安全沙箱设计 |
CN107832105B (zh) * | 2017-11-24 | 2022-02-15 | 南昌黑鲨科技有限公司 | 一种应用程序启动方法、启动装置及计算机可读存储介质 |
CN108021807B (zh) * | 2017-12-29 | 2020-04-28 | 浙江大学 | Linux容器的细粒度沙盒策略执行方法 |
CN109002707A (zh) * | 2018-08-31 | 2018-12-14 | 国鼎网络空间安全技术有限公司 | 基于虚拟容器的Android应用配置和数据共享的装置及方法 |
CN111523114A (zh) * | 2020-03-11 | 2020-08-11 | 国网辽宁省电力有限公司大连供电公司 | 基于安全沙箱技术的移动业务应用数据防泄密系统 |
CN112148313B (zh) * | 2020-09-21 | 2022-05-20 | 厦门芯鸽信息科技有限公司 | 一种在沙箱中同时运行多个同名应用的方法、介质和设备 |
CN111949334B (zh) * | 2020-10-16 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 基于沙箱环境的虚拟应用启动控制方法、装置及设备 |
CN114564700A (zh) * | 2020-11-27 | 2022-05-31 | 华为技术有限公司 | 管理不可信应用程序通信的方法及相关装置 |
CN113419737B (zh) * | 2021-06-11 | 2023-11-10 | 广发证券股份有限公司 | 一种基于Linux seccomp的量化策略托管方法及装置 |
CN114329437B (zh) * | 2022-03-14 | 2022-06-14 | 北京指掌易科技有限公司 | 一种数据处理方法、装置、设备以及存储介质 |
CN115510429B (zh) * | 2022-11-21 | 2023-04-14 | 统信软件技术有限公司 | 沙箱应用访问权限的管控方法、计算设备及可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7508532B2 (en) * | 2003-05-20 | 2009-03-24 | Microsoft Corporation | Method and system for sandboxing printer drivers |
CN102314373A (zh) * | 2011-07-07 | 2012-01-11 | 李鹏 | 一种基于虚拟化技术实现安全工作环境的方法 |
CN102902920A (zh) * | 2012-09-13 | 2013-01-30 | 西北工业大学 | 一种虚拟化用户准入安全检测和隔离方法及其系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10298765B2 (en) * | 2014-10-17 | 2019-05-21 | Avaya Inc. | System and method for selecting agents to improve call routing |
-
2016
- 2016-09-12 CN CN201610817460.2A patent/CN106384045B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7508532B2 (en) * | 2003-05-20 | 2009-03-24 | Microsoft Corporation | Method and system for sandboxing printer drivers |
CN102314373A (zh) * | 2011-07-07 | 2012-01-11 | 李鹏 | 一种基于虚拟化技术实现安全工作环境的方法 |
CN102902920A (zh) * | 2012-09-13 | 2013-01-30 | 西北工业大学 | 一种虚拟化用户准入安全检测和隔离方法及其系统 |
Non-Patent Citations (2)
Title |
---|
一种检测可疑软件的 Android 沙箱系统的研究与设计;徐曾春 等;《南京邮电大学学报》;20150831;第35卷(第4期);104-109 * |
基于LSM的沙箱模块设计与实现;程香鹏;《计算机与数字工程》;20140831;第42卷(第8期);1521-1525 * |
Also Published As
Publication number | Publication date |
---|---|
CN106384045A (zh) | 2017-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106384045B (zh) | 基于应用程序虚拟化的安卓存储应用沙箱及通信方法 | |
JP6598391B2 (ja) | モバイルデバイスに基づくクラスタコンピューティングインフラストラクチャのための方法および装置 | |
US11868795B1 (en) | Selective virtualization for security threat detection | |
US11720393B2 (en) | Enforcing compliance rules using guest management components | |
US10817606B1 (en) | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic | |
US8990920B2 (en) | Creating a virtual private network (VPN) for a single app on an internet-enabled device or system | |
US10338945B2 (en) | Heterogeneous field devices control management system based on industrial internet operating system | |
JP2010514028A (ja) | 単一データ処理を共有するために複数の実行環境を有効化するシステム | |
US20170269955A1 (en) | Enforcing compliance rules using guest management components | |
US10282210B2 (en) | System and method for virtual hardware control | |
US20150150119A1 (en) | Framework for fine-grain access control from high-level application permissions | |
CN113139176A (zh) | 恶意文件的检测方法、装置、设备及存储介质 | |
US20180063088A1 (en) | Hypervisor network profiles to facilitate vpn tunnel | |
WO2017004918A1 (zh) | 安全控制方法、装置和计算机存储介质 | |
Zhang et al. | Harbormaster: Policy enforcement for containers | |
US20220217582A1 (en) | User plane replicator | |
WO2016106510A1 (zh) | 一种安全防护方法,及装置 | |
US10523635B2 (en) | Filtering outbound network traffic | |
CN105975333B (zh) | 应用程序运行控制的方法及装置 | |
EP3571619B1 (en) | Altering application security to support just-in-time access | |
US20170017508A1 (en) | Method for forming a virtual environment in an operating system of a computer | |
US10614211B2 (en) | Bringing a non-isolated application into an isolation layer with an isolated application | |
Chandramouli | Security Assurance Requirements for Hypervisor Deployment Features | |
US8402084B2 (en) | Host embedded controller interface bridge | |
CN105871942B (zh) | 一种IaaS管理平台及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |