CN108985086A - 应用程序权限控制方法、装置及电子设备 - Google Patents
应用程序权限控制方法、装置及电子设备 Download PDFInfo
- Publication number
- CN108985086A CN108985086A CN201810793356.3A CN201810793356A CN108985086A CN 108985086 A CN108985086 A CN 108985086A CN 201810793356 A CN201810793356 A CN 201810793356A CN 108985086 A CN108985086 A CN 108985086A
- Authority
- CN
- China
- Prior art keywords
- sandbox
- application program
- namespace
- metadata
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供了一种应用程序权限控制方法、装置及电子设备,涉及权限控制的技术领域,该方法包括读取并解析沙箱的运行参数和应用程序权限配置的元数据;根据运行参数初始化沙箱并创建沙箱进程;根据元数据创建命名空间进程;根据元数据在命名空间中创建临时文件系统;在命名空间中,根据临时文件系统创建应用程序进程并启动应用程序。本发明实施例通过读取并解析沙箱的运行参数和应用程序权限配置的元数据,初始化沙箱并创建沙箱进程、命名空间进程、临时文件系统、应用程序进程并启动应用程序,为应用程序运行构建一套上下文运行环境。
Description
技术领域
本发明涉及权限控制技术领域,尤其是涉及一种应用程序权限控制方法、装置及电子设备。
背景技术
基于容器技术实现的应用程序权限控制的原理主要是综合使用当前Linux主流的容器技术,为每个应用程序构建各自独立的虚拟运行环境,通过资源隔离、资源限制、资源配额等策略对应用程序的权限进行控制。其中,最主要的是基于Linux容器的虚拟化技术,其原理主要是通过隔离操作系统内核对象来实现安全性的隔离。通过运用命名空间和访问控制等技术,可以将原来的系统全局对象隔离到完全不同的命名空间中。其中,不同虚拟机之间是完全不可见的,且不能访问到命名空间之外的对象,全局对象在每个容器内本地化。
Chroot(Change Root,改变根目录)工具可以修改进程的根目录,创建一个与宿主系统隔离的新的文件系统环境,实现应用程序权限控制。系统经过chroot之后执行的程序访问到的根目录及文件将不再是旧系统根目录,而是新的指定的根目录。当应用程序的根目录改变之后,它不能访问新的根目录之外的文件,实现文件的隔离访问。然而,chroot只是创建了一个文件访问隔离容器,该容器无法隔离诸如用户权能、系统调用、进程、网络接口等资源,没有为应用程序提供上下文运行环境。
针对上述现有技术中应用程序权限控制方法没有为应用程序提供上下文运行环境的问题,目前尚未提出有效解决方案。
发明内容
有鉴于此,本发明的目的在于提供一种应用程序权限控制方法、装置及电子设备,为应用程序运行构建一套上下文运行环境。
第一方面,本发明实施例提供了一种应用程序权限控制方法,包括:读取并解析沙箱的运行参数和应用程序权限配置的元数据;根据运行参数初始化沙箱并创建沙箱进程;根据元数据创建命名空间进程;根据元数据在命名空间中创建临时文件系统;在命名空间中,根据临时文件系统创建应用程序进程并启动应用程序。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,方法还包括:退出应用程序,销毁沙箱。
结合第一方面的第一种可能的实施方式,本发明实施例提供了第一方面的第二种可能的实施方式,其中,退出应用程序,销毁沙箱的步骤,包括:退出应用程序,并结束应用程序进程;结束命名空间进程以及沙箱进程。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,沙箱进程用于存储命名空间进程的运行信息,并检测命名空间进程的运行状态;命名空间进程用于存储应用程序进程的运行信息,并检测应用程序进程的运行状态。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,根据运行参数初始化沙箱并创建沙箱进程的步骤,包括:根据运行参数设置沙箱环境的设置参数;通过沙箱后端工具设置沙箱环境所需的权能;创建沙箱进程。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,根据元数据在命名空间中创建临时文件系统的步骤,包括:在命名空间中创建根目录;在根目录创建第一子目录,并挂载主机系统文件到第一子目录;在根目录创建第二子目录,根据元数据挂载持久化层、应用程序文件系统和所需的主机系统文件;所需的主机系统文件为根据元数据从主机系统文件中确定的;卸载第一子目录。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,根据临时文件系统创建应用程序进程并启动应用程序的步骤,包括:根据元数据配置过滤系统调用并设置环境变量;创建应用程序进程并启动应用程序。
第二方面,本发明实施例还提供一种应用程序权限控制装置,包括:设置模块,用于读取并解析沙箱的运行参数和应用程序权限配置的元数据;沙箱模块,用于根据运行参数初始化沙箱并创建沙箱进程;命名空间模块,用于根据元数据创建命名空间进程;临时文件系统模块,用于根据元数据在命名空间中创建临时文件系统;应用程序模块,用于在命名空间中,根据临时文件系统创建应用程序进程并启动应用程序。
第三方面,本发明实施例还提供一种电子设备,包括存储器、处理器,存储器中存储有可在处理器上运行的计算机程序,处理器执行计算机程序时实现第一方面及其各可能的实施方式之一提供的方法的步骤。
第四方面,本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,程序代码使处理器执行第一方面及其各可能的实施方式之一提供的方法。
本发明实施例带来了以下有益效果:
本发明实施例提供的应用程序权限控制方法、装置及电子设备,通过读取并解析沙箱的运行参数和应用程序权限配置的元数据,初始化沙箱并创建沙箱进程、命名空间进程、临时文件系统、应用程序进程并启动应用程序,为应用程序运行构建一套上下文运行环境。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种应用程序权限控制方法的流程图;
图2为本发明实施例提供的一种临时文件系统创建方法的流程图;
图3为本发明实施例提供的另一种应用程序权限控制方法的流程图;
图4为本发明实施例提供的一种应用程序权限控制装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前Linux主流的容器技术为每个应用程序构建各自独立的虚拟运行环境,通过资源隔离、资源限制、资源配额等策略对应用程序的权限进行控制。其中,最主要的是基于Linux容器的虚拟化技术,这种虚拟化技术的原理是通过隔离操作系统内核对象来实现安全性的隔离。通过运用命名空间和访问控制等技术,可以将原来的系统全局对象隔离到完全不同的命名空间中。其中,不同虚拟机之间是完全不可见的,且不能访问到命名空间之外的对象,全局对象在每个容器内本地化。
Chroot工具可以修改进程的根目录,创建一个与宿主系统隔离的新的文件系统环境,实现应用程序权限控制。系统经过chroot之后执行的程序访问到的根目录及文件将不再是旧系统根目录,而是新的指定的根目录。当应用程序的根目录改变之后,它不能访问新的根目录之外的文件,从而实现文件的隔离访问。然而,chroot只是创建了一个文件访问隔离容器,该容器没有为应用程序提供上下文运行环境。基于此,本发明实施例提供的一种应用程序权限控制方法、装置及电子设备,为应用程序运行构建一套上下文运行环境。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种应用程序权限控制方法进行详细介绍。
实施例1
本发明实施例提供了一种应用程序权限控制方法,参见图1所示的一种应用程序权限控制方法的流程图,包括如下步骤:
步骤S102,读取并解析沙箱的运行参数和应用程序权限配置的元数据。
沙箱,是指使用Linux容器技术为应用程序运行构建一个虚拟且独立的运行环境,该运行环境应该具备基本的资源隔离能力,包括文件系统、进程、设备等。运行参数是指配置沙箱环境所需的参数。应用程序指的是需要在沙箱环境中运行的应用程序。权限是指应用程序需要相应的权限才可以调用系统的资源额功能。沙箱中应用程序权限通过配置元数据来存储和实现,元数据是描述数据的数据,对数据及信息资源的描述性信息,用于提供某种资源的有关信息的结构数据。
步骤S104,根据运行参数初始化沙箱并创建沙箱进程。
初始化沙箱需要设置沙箱环境的设置参数和沙箱环境所需的权能,例如,可以按照以下步骤执行:
(1)根据运行参数设置沙箱环境的设置参数。
沙箱环境的设置参数包括:环境变量、systemd日志、x11/wayland/xauth、pulseaudio、dbus系统总线和会话总线的socket代理和过滤器、用户字体、cgroup执行单元等。沙箱环境的设置参数的具体数值根据运行参数决定。
(2)通过沙箱后端工具设置沙箱环境所需的权能。
沙箱后端工具指的是特权工具助手,仅授予沙箱后端工具进程所需的权能。并在成功初始化沙箱环境后放弃所有超级权限权能。所需的权能包括setuid权能和CAPSYSADMIN权能。
(3)创建沙箱进程。
完成沙箱环境的设置并配置沙箱环境所需的权能并创建沙箱进程
步骤S106,根据元数据创建命名空间进程。
命名空间是Linux内核提供的一种针对系统资源进行隔离和虚拟化的方案,包括六种子命名空间:用户和用户组(user)、进程ID(pid)、文件系统挂载点(mnt)、网络设备、协议栈、端口等(net)、主机名和NIS域名(uts)和System VIPC,POSIX消息队列等内部进程通讯(ipc)。基于命名空间技术可以提供了一个基本的隔离层,使得每一个应用在它们自己的命名空间中运行而不会访问到外部资源。群组控制(Cgroups)是Linux内核提供的一种可以限制、记录、隔离进程组所使用的物理资源的机制,用于实现对系统资源的配额和度量。具体包括进程组资源数量限制、进程组优先级控制、进程组资源统计、进程组隔离和进程控制等主要功能。
根据读取并解析的元数据,可以配置应用程序权限,并在沙箱环境中创建命名空间,创建命名空间进程。这个命名空间进程是user/pid/net/ipc/uts/cgroup命名空间进程。
步骤S108,根据元数据在命名空间中创建临时文件系统。
文件系统是命名文件及放置文件的逻辑存储和恢复的系统,文件被放置进根目录或子目录中。创建临时文件系统主机系统文件挂在到目录中,参见图2所示的一种临时文件系统创建方法的流程图,包括如下步骤:
步骤S202,在命名空间中创建根目录。
根目录用来挂载主机系统文件,创建临时文件系统。
步骤S204,在根目录创建第一子目录,并挂载主机系统文件到第一子目录。
第一子目录首先挂载主机的系统文件,根据应用程序的权限配置进行绑定挂载。
步骤S206,在根目录创建第二子目录,根据元数据挂载持久化层、应用程序文件系统和所需的主机系统文件。
所需的主机系统文件为根据元数据从主机系统文件中确定的,根据应用程序的权限配置绑定挂载,应用程序的权限通过元数据配置。所需的主机系统文件包括/usr、/lib、/lib32、/lib64、/bin、/sbin、/root、/etc、/opt目录。
步骤S208,卸载第一子目录。
在完成挂载完所需的主机系统文件后,写在第一子目录,以节省系统资源和空间容量。
步骤S110,在命名空间中,根据临时文件系统创建应用程序进程并启动应用程序。
应用程序进程根据临时文件系统创建,并且需要配置过滤系统调用,例如:可以按照以下步骤执行:
(1)根据元数据配置过滤系统调用并设置环境变量。
系统调用是应用程序从用户态陷入内核态的唯一途径,过滤系统调用能够防止应用程序的一些恶意行为,是增强沙箱安全性的一种策略。过滤规则为Seccomp BPF过滤规则。环境变量包括PWD和HOME等。
(2)创建应用程序进程并启动应用程序。
本发明实施例提供的上述方法,通过读取并解析沙箱的运行参数和应用程序权限配置的元数据,初始化沙箱并创建沙箱进程、命名空间进程、临时文件系统、应用程序进程并启动应用程序,为应用程序运行构建一套上下文运行环境。
为节约系统资源,在应用程序退出后会销毁沙箱环境,上述方法还包括:退出应用程序,销毁沙箱。其中,退出应用程序,还需要结束进程,例如:可以按照以下步骤执行:
(1)退出应用程序,并结束应用程序进程;
应用程序退出后,结束对应的应用程序进程。
(2)结束命名空间进程以及沙箱进程。
应用程序进程的运行信息和运行状态被命名空间进程存储和检测,命名空间进程的运行信息和运行状态被沙箱进程存储和检测。当应用程序进程结束后,命名空间进程检测到应用程序进程运行状态的改变,同时结束命名空间进程;沙箱进程检测到命名空间进程结束后关闭沙箱进程,最终销毁沙箱环境。
本发明实施例提供的上述方法,通过在应用程序退出后结束进程并销毁沙箱,节约了系统的资源,增加了系统的运行速度。
本发明实施例提供的一种应用程序权限控制方法,通过读取并解析沙箱的运行参数和应用程序权限配置的元数据,初始化沙箱并创建沙箱进程、命名空间进程、临时文件系统、应用程序进程并启动应用程序,在应用程序退出后结束进程并销毁沙箱。为应用程序运行构建一套上下文运行环境,节约了系统的资源,增加了系统的运行速度。
实施例2
本发明实施例2提供一种应用程序权限控制方法,参见图3所示的另一种应用程序权限控制方法的流程图,包括如下步骤:
步骤S302,解析运行参数并读取配置元数据。
运行参数是指沙箱运行所需的参数,元数据用来配置应用程序权限。
步骤S304,初始化沙箱环境基本设置。
沙箱环境基本设置通过上述运行参数设置,在完成上述初始化后,创建沙箱进程。
步骤S306,启动沙箱特权助手工具并设置基本权能。
沙箱特权助手是沙箱后端工具,基本权能为setuid权能和CAPSYSADMIN权能。
步骤S308,根据权限配置创建命名空间进程。
根据上述元数据配置应用程序权限,并以应用程序权限配置创建命名空间进程。命名空间进程的运行状态被沙箱进程检测。
步骤S310,判断命名空间进程是否退出,如果否,则执行步骤S312;如果是,则结束。
如果命名空间进程未退出,说明需要在命名空间中启动应用程序,创建临时文件系统。
如果命名空间进程退出,说明不需要在命名空间中启动应用程序,则结束。
步骤S312,初始化一个临时文件系统作为根目录。
临时文件系统在命名空间中创建,并且作为根目录。
步骤S314,挂载主机文件系统到/oldroot。
/oldroot是上述根目录的一个子目录,挂载主机文件系统。
步骤S316,联合挂载持久化层、应用程序文件系统和主机文件系统到/newroot。
/newroot是上述根目录的一个子目录,联合挂载挂载持久化层、应用程序文件系统和所需的主机文件系统。所需的主机文件系统由应用程序权限配置,在/oldroot中挂载的机文件系统确定。
步骤S318,卸载/oldroot并将/newroot设置为根目录。
在完成/newroot的联合挂载步骤后,卸载/oldroot并将/newroot设置为根目录。
步骤S320,过滤系统调用并设置一些环境变量。
系统调用包括read、write、exit等,过滤系统调用通过Seccomp BPF过滤规则,环境变量包括PWD、HOME等。
步骤S322,创建一个子进程并启动应用程序。
这个子进程就是应用程序进程。
本发明实施例提供的一种应用程序权限控制方法,通过读取并解析沙箱的运行参数和应用程序权限配置的元数据,初始化沙箱并创建沙箱进程、命名空间进程、临时文件系统并启动应用程序。为应用程序的启动运行构建一套上下文运行环境。
实施例3
本发明实施例3提供一种应用程序权限控制装置,参见图4所示的一种应用程序权限控制装置的结构示意图,包括:设置模块41、沙箱模块42、命名空间模块43、临时文件系统模块44,应用程序模块45,上述各模块的功能如下:
设置模块41,用于读取并解析沙箱的运行参数和应用程序权限配置的元数据;
沙箱模块42,用于根据运行参数初始化沙箱并创建沙箱进程;
命名空间模块43,用于根据元数据创建命名空间进程;
临时文件系统模块44,用于根据元数据在命名空间中创建临时文件系统;
应用程序模块45,用于在命名空间中,根据临时文件系统创建应用程序进程并启动应用程序。
本发明实施例提供的应用程序权限控制装置,与上述实施例提供的应用程序权限控制方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
本发明实施例还提供了一种电子设备,包括存储器、处理器,存储器中存储有可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例提供的方法的步骤。
本发明实施例还提供了一种机器可读存储介质,一种具有处理器可执行的非易失的程序代码的计算机可读介质,程序代码使处理器执行上述实施例提供的方法。
本发明实施例所提供的进行应用程序权限控制方法的计算机程序产品,包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种应用程序权限控制方法,其特征在于,包括:
读取并解析沙箱的运行参数和应用程序权限配置的元数据;
根据所述运行参数初始化所述沙箱并创建沙箱进程;
根据所述元数据创建命名空间进程;
根据所述元数据在命名空间中创建临时文件系统;
在所述命名空间中,根据所述临时文件系统创建应用程序进程并启动应用程序。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
退出所述应用程序,销毁所述沙箱。
3.根据权利要求2所述的方法,其特征在于,所述退出所述应用程序,销毁所述沙箱的步骤,包括:
退出所述应用程序,并结束所述应用程序进程;
结束所述命名空间进程以及所述沙箱进程。
4.根据权利要求1所述的方法,其特征在于,所述沙箱进程用于存储所述命名空间进程的运行信息,并检测所述命名空间进程的运行状态;
所述命名空间进程用于存储所述应用程序进程的运行信息,并检测所述应用程序进程的运行状态。
5.根据权利要求1所述的方法,其特征在于,所述根据所述运行参数初始化所述沙箱并创建沙箱进程的步骤,包括:
根据所述运行参数设置沙箱环境的设置参数;
通过沙箱后端工具设置所述沙箱环境所需的权能;
创建沙箱进程。
6.根据权利要求1所述的方法,其特征在于,所述根据所述元数据在命名空间中创建临时文件系统的步骤,包括:
在所述命名空间中创建根目录;
在所述根目录创建第一子目录,并挂载主机系统文件到所述第一子目录;
在所述根目录创建第二子目录,根据所述元数据挂载持久化层、应用程序文件系统和所需的主机系统文件;所述所需的主机系统文件为根据所述元数据从所述主机系统文件中确定的;
卸载所述第一子目录。
7.根据权利要求1所述的方法,其特征在于,所述根据所述临时文件系统创建应用程序进程并启动应用程序的步骤,包括:
根据所述元数据配置过滤系统调用并设置环境变量;
创建应用程序进程并启动应用程序。
8.一种应用程序权限控制装置,其特征在于,包括:
设置模块,用于读取并解析沙箱的运行参数和应用程序权限配置的元数据;
沙箱模块,用于根据所述运行参数初始化所述沙箱并创建沙箱进程;
命名空间模块,用于根据所述元数据创建命名空间进程;
临时文件系统模块,用于根据所述元数据在命名空间中创建临时文件系统;
应用程序模块,用于在所述命名空间中,根据所述临时文件系统创建应用程序进程并启动应用程序。
9.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-7任一项所述的方法的步骤。
10.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行权利要求1-7任一所述方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810793356.3A CN108985086B (zh) | 2018-07-18 | 2018-07-18 | 应用程序权限控制方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810793356.3A CN108985086B (zh) | 2018-07-18 | 2018-07-18 | 应用程序权限控制方法、装置及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108985086A true CN108985086A (zh) | 2018-12-11 |
CN108985086B CN108985086B (zh) | 2022-04-19 |
Family
ID=64550129
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810793356.3A Active CN108985086B (zh) | 2018-07-18 | 2018-07-18 | 应用程序权限控制方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108985086B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110795164A (zh) * | 2019-09-30 | 2020-02-14 | 奇安信科技集团股份有限公司 | 应用封装方法、装置及应用运行方法、装置 |
CN111339529A (zh) * | 2020-03-13 | 2020-06-26 | 杭州指令集智能科技有限公司 | 低代码的业务编排构件运行的管理框架与方法、计算设备及介质 |
CN111552908A (zh) * | 2020-04-30 | 2020-08-18 | 深信服科技股份有限公司 | 终端、系统和应用程序的运行方法 |
CN112052439A (zh) * | 2020-09-29 | 2020-12-08 | 北京智芯微电子科技有限公司 | 嵌入式系统的访问权限控制方法、控制装置及存储介质 |
CN113312311A (zh) * | 2020-07-27 | 2021-08-27 | 阿里巴巴集团控股有限公司 | 命名空间的处理方法及装置 |
CN113378154A (zh) * | 2020-03-10 | 2021-09-10 | 青岛海信传媒网络技术有限公司 | 应用启动方法及装置 |
CN113486331A (zh) * | 2021-07-21 | 2021-10-08 | 维沃移动通信(杭州)有限公司 | Api调用请求处理方法、装置、电子设备及可读存储介质 |
CN114185615A (zh) * | 2021-12-08 | 2022-03-15 | 北京天融信网络安全技术有限公司 | 一种基于审计系统的功能扩展方法及装置 |
CN115202830A (zh) * | 2022-09-09 | 2022-10-18 | 统信软件技术有限公司 | 根文件系统的准备方法、系统、计算设备及可读存储介质 |
CN115510429A (zh) * | 2022-11-21 | 2022-12-23 | 统信软件技术有限公司 | 沙箱应用访问权限的管控方法、计算设备及可读存储介质 |
CN116382841A (zh) * | 2023-02-21 | 2023-07-04 | 哈尔滨工业大学 | 一种基于LiteOS-A的文件系统和进程号命名空间的设计方法 |
CN116956331A (zh) * | 2023-09-18 | 2023-10-27 | 中孚安全技术有限公司 | 应用于Linux的文件系统加密隔离方法、系统、设备及介质 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080120703A1 (en) * | 2003-09-23 | 2008-05-22 | At&T Delaware Intellectual Property, Inc. Formerly Known As Bellsouth Intellectual Porperty | Methods of Resetting Passwords in Network Service Systems Including User Redirection and Related Systems and Computer-Program Products |
CN102457541A (zh) * | 2010-10-25 | 2012-05-16 | 鸿富锦精密工业(深圳)有限公司 | 无盘工作站启动过程中避免发生资源竞争的系统及方法 |
CN103078898A (zh) * | 2012-12-18 | 2013-05-01 | 华为技术有限公司 | 文件系统、接口服务装置和数据存储服务提供方法 |
CN103500104A (zh) * | 2013-09-09 | 2014-01-08 | 北京奇虎科技有限公司 | 一种沙箱界面的实现方法和装置 |
CN104462880A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | 应用程序加壳配置方法与装置 |
US20150278513A1 (en) * | 2012-04-06 | 2015-10-01 | Ivan Krasin | Hosted application sandboxing |
CN105117645A (zh) * | 2015-07-29 | 2015-12-02 | 杭州安恒信息技术有限公司 | 基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法 |
CN105138905A (zh) * | 2015-08-25 | 2015-12-09 | 中国科学院信息工程研究所 | Linux应用程序的隔离运行方法 |
CN105184153A (zh) * | 2015-08-26 | 2015-12-23 | 北京元心科技有限公司 | 智能终端及其基于多级容器的应用程序运行方法 |
CN105205397A (zh) * | 2015-10-13 | 2015-12-30 | 北京奇虎科技有限公司 | 恶意程序样本分类方法及装置 |
CN105302092A (zh) * | 2014-07-25 | 2016-02-03 | 费希尔-罗斯蒙特系统公司 | 基于最小特权的过程控制软件安全架构 |
CN105490860A (zh) * | 2015-12-24 | 2016-04-13 | 北京奇虎科技有限公司 | 部署应用程序运行环境的方法、装置及系统 |
CN105653260A (zh) * | 2015-12-22 | 2016-06-08 | 中软信息系统工程有限公司 | 一种支持多cpu架构的应用软件开发及运行服务系统 |
CN107480524A (zh) * | 2017-08-18 | 2017-12-15 | 郑州云海信息技术有限公司 | 一种安全沙箱及其构建方法 |
-
2018
- 2018-07-18 CN CN201810793356.3A patent/CN108985086B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080120703A1 (en) * | 2003-09-23 | 2008-05-22 | At&T Delaware Intellectual Property, Inc. Formerly Known As Bellsouth Intellectual Porperty | Methods of Resetting Passwords in Network Service Systems Including User Redirection and Related Systems and Computer-Program Products |
CN102457541A (zh) * | 2010-10-25 | 2012-05-16 | 鸿富锦精密工业(深圳)有限公司 | 无盘工作站启动过程中避免发生资源竞争的系统及方法 |
US20150278513A1 (en) * | 2012-04-06 | 2015-10-01 | Ivan Krasin | Hosted application sandboxing |
CN103078898A (zh) * | 2012-12-18 | 2013-05-01 | 华为技术有限公司 | 文件系统、接口服务装置和数据存储服务提供方法 |
CN103500104A (zh) * | 2013-09-09 | 2014-01-08 | 北京奇虎科技有限公司 | 一种沙箱界面的实现方法和装置 |
CN105302092A (zh) * | 2014-07-25 | 2016-02-03 | 费希尔-罗斯蒙特系统公司 | 基于最小特权的过程控制软件安全架构 |
CN104462880A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | 应用程序加壳配置方法与装置 |
CN105117645A (zh) * | 2015-07-29 | 2015-12-02 | 杭州安恒信息技术有限公司 | 基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法 |
CN105138905A (zh) * | 2015-08-25 | 2015-12-09 | 中国科学院信息工程研究所 | Linux应用程序的隔离运行方法 |
CN105184153A (zh) * | 2015-08-26 | 2015-12-23 | 北京元心科技有限公司 | 智能终端及其基于多级容器的应用程序运行方法 |
CN105205397A (zh) * | 2015-10-13 | 2015-12-30 | 北京奇虎科技有限公司 | 恶意程序样本分类方法及装置 |
CN105653260A (zh) * | 2015-12-22 | 2016-06-08 | 中软信息系统工程有限公司 | 一种支持多cpu架构的应用软件开发及运行服务系统 |
CN105490860A (zh) * | 2015-12-24 | 2016-04-13 | 北京奇虎科技有限公司 | 部署应用程序运行环境的方法、装置及系统 |
CN107480524A (zh) * | 2017-08-18 | 2017-12-15 | 郑州云海信息技术有限公司 | 一种安全沙箱及其构建方法 |
Non-Patent Citations (3)
Title |
---|
Z.CLIFFE SCHREUDERS等: "Techniques for Automating Policy Specification for Application-oriented Access Controls", 《2011 SIXTH INTERNATIONAL CONFERENCE ON AVAILABILITY, RELIABILITY AND SECURITY》 * |
刘志永等: "一种基于主机特征的未知恶意程序动态识别系统", 《计算机与现代化》 * |
黄金钟等: "基于程序的异常检测研究综述", 《计算机科学》 * |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110795164B (zh) * | 2019-09-30 | 2024-04-12 | 奇安信科技集团股份有限公司 | 应用封装方法、装置及应用运行方法、装置 |
CN110795164A (zh) * | 2019-09-30 | 2020-02-14 | 奇安信科技集团股份有限公司 | 应用封装方法、装置及应用运行方法、装置 |
CN113378154B (zh) * | 2020-03-10 | 2022-06-17 | 青岛海信传媒网络技术有限公司 | 应用启动方法及装置 |
CN113378154A (zh) * | 2020-03-10 | 2021-09-10 | 青岛海信传媒网络技术有限公司 | 应用启动方法及装置 |
CN111339529A (zh) * | 2020-03-13 | 2020-06-26 | 杭州指令集智能科技有限公司 | 低代码的业务编排构件运行的管理框架与方法、计算设备及介质 |
CN111339529B (zh) * | 2020-03-13 | 2022-09-30 | 杭州指令集智能科技有限公司 | 低代码的业务编排构件运行的管理系统、方法及计算设备 |
CN111552908A (zh) * | 2020-04-30 | 2020-08-18 | 深信服科技股份有限公司 | 终端、系统和应用程序的运行方法 |
CN113312311A (zh) * | 2020-07-27 | 2021-08-27 | 阿里巴巴集团控股有限公司 | 命名空间的处理方法及装置 |
CN112052439A (zh) * | 2020-09-29 | 2020-12-08 | 北京智芯微电子科技有限公司 | 嵌入式系统的访问权限控制方法、控制装置及存储介质 |
CN113486331A (zh) * | 2021-07-21 | 2021-10-08 | 维沃移动通信(杭州)有限公司 | Api调用请求处理方法、装置、电子设备及可读存储介质 |
CN114185615A (zh) * | 2021-12-08 | 2022-03-15 | 北京天融信网络安全技术有限公司 | 一种基于审计系统的功能扩展方法及装置 |
CN115202830A (zh) * | 2022-09-09 | 2022-10-18 | 统信软件技术有限公司 | 根文件系统的准备方法、系统、计算设备及可读存储介质 |
CN115202830B (zh) * | 2022-09-09 | 2022-12-30 | 统信软件技术有限公司 | 根文件系统的准备方法、系统、计算设备及可读存储介质 |
CN115510429A (zh) * | 2022-11-21 | 2022-12-23 | 统信软件技术有限公司 | 沙箱应用访问权限的管控方法、计算设备及可读存储介质 |
CN116382841A (zh) * | 2023-02-21 | 2023-07-04 | 哈尔滨工业大学 | 一种基于LiteOS-A的文件系统和进程号命名空间的设计方法 |
CN116382841B (zh) * | 2023-02-21 | 2024-06-07 | 哈尔滨工业大学 | 一种基于LiteOS-A的文件系统和进程号命名空间的设计方法 |
CN116956331A (zh) * | 2023-09-18 | 2023-10-27 | 中孚安全技术有限公司 | 应用于Linux的文件系统加密隔离方法、系统、设备及介质 |
CN116956331B (zh) * | 2023-09-18 | 2023-12-19 | 中孚安全技术有限公司 | 应用于Linux的文件系统加密隔离方法、系统、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108985086B (zh) | 2022-04-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108985086A (zh) | 应用程序权限控制方法、装置及电子设备 | |
CN109871691B (zh) | 基于权限的进程管理方法、系统、设备及可读存储介质 | |
KR101971389B1 (ko) | 연합 기반 메모리 관리 | |
US8863289B2 (en) | Portable security device and methods for detection and treatment of malware | |
CN105389197B (zh) | 用于基于容器的虚拟化系统的操作捕获方法和装置 | |
CN107949846A (zh) | 恶意线程挂起的检测 | |
US11113425B2 (en) | Security component for devices on an enumerated bus | |
WO2019237713A1 (zh) | 一种根据pci设备的类型分配资源的方法、装置及介质 | |
US9424113B2 (en) | Virtual appliance deployment | |
JP2019091411A (ja) | 機械学習モデルに基づいた悪意のあるファイルの検出のための計算資源を管理するシステムおよび方法 | |
DE112011105687T5 (de) | Verwendung eines Option-ROM-Speichers | |
US11861364B2 (en) | Circular shadow stack in audit mode | |
CN109992956A (zh) | 容器的安全策略的处理方法和相关装置 | |
CN109800576B (zh) | 未知程序异常请求的监控方法、装置、及电子装置 | |
CN113010265A (zh) | Pod的调度方法、调度器、存储插件及系统 | |
CN105760746A (zh) | 一种权限管理方法、分配的方法和设备 | |
CN108388793A (zh) | 一种基于主动防御的虚拟机逃逸防护方法 | |
CN105678160A (zh) | 用于提供对引导驱动程序的原始例程的访问的系统和方法 | |
CN107729751A (zh) | 数据检测方法及装置 | |
CN107844362A (zh) | 虚拟化tpm设备的系统、方法、虚拟机及可读存储介质 | |
CN109145536A (zh) | 一种网页防篡改方法及装置 | |
CN111428240B (zh) | 一种用于检测软件的内存违规访问的方法及装置 | |
RU107619U1 (ru) | Система для контроля хода выполнения программ | |
CN109784041B (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
US9201699B2 (en) | Decommissioning virtual appliances |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |