CN109522734A - 一种安全应用商店系统 - Google Patents

一种安全应用商店系统 Download PDF

Info

Publication number
CN109522734A
CN109522734A CN201811377412.1A CN201811377412A CN109522734A CN 109522734 A CN109522734 A CN 109522734A CN 201811377412 A CN201811377412 A CN 201811377412A CN 109522734 A CN109522734 A CN 109522734A
Authority
CN
China
Prior art keywords
application
module
application tool
tool
virtual machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811377412.1A
Other languages
English (en)
Other versions
CN109522734B (zh
Inventor
于敏昌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shaanxi Xipu Data Communication Co Ltd
Original Assignee
Shaanxi Xipu Data Communication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shaanxi Xipu Data Communication Co Ltd filed Critical Shaanxi Xipu Data Communication Co Ltd
Priority to CN201811377412.1A priority Critical patent/CN109522734B/zh
Publication of CN109522734A publication Critical patent/CN109522734A/zh
Application granted granted Critical
Publication of CN109522734B publication Critical patent/CN109522734B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种安全应用商店系统,其包括Web交互模块、应用工具加载模块、应用工具执行模块和USB Key权限控制模块;Web交互模块部署在虚拟机内,作为宿主机和虚拟机的交互接口;应用工具加载模块用于在虚拟机启动时,加载在加密文件系统verycrypt中存储的应用;应用工具执行模块为所有已加载应用工具的集合;USB Key权限控制模块用于应用工具的授权控制并记录授权应用的授权次数和时长信息。本发明使用安全,可以支持更多平台上的应用并可为开发者提供有效的权益保护,使应用免于被非授权用户破解、拷贝、修改。

Description

一种安全应用商店系统
技术领域
本发明属于计算机软件应用技术领域,具体涉及一种安全应用商店系统。
背景技术
应用商店已经成为应用发布的一个标准形式,开发者通过应用商店来发布应用,使用者通过访问应用商店来获取应用,评价应用。
安全应用商店是为开发者提供安全的工具发布,为使用者获取安全工具的一个平台;安全应用商店的原型即是为了实现安全应用商店,对核心技术进行验证而进行的项目工作。
现有应用商店的缺点如下:
(1)现有应用商店一般都是手机android、IOS系统上的应用;
(2)即使android、IOS上面的应用商店也无法为开发者发布应用提供有效的保护,对一些需要限制用户使用权限、次数、时长的应用无法提供有效的保护。
发明内容
针对上述背景技术中存在的问题,本发明提出了一种构思合理,使用安全,可以支持更多平台上的应用,如linux、windows平台,并且可以为开发者提供有效的权益保护,使应用免于被非授权用户破解、拷贝、修改的安全应用商店系统。
本发明的技术方案如下:
上述的安全应用商店系统,其包括Web交互模块、应用工具加载模块、应用工具执行模块和USB Key权限控制模块;所述Web交互模块部署在虚拟机内,作为宿主机和虚拟机的交互接口;所述应用工具加载模块用于在虚拟机启动时,加载在加密文件系统verycrypt中存储的应用;所述应用工具执行模块为所有已加载应用工具的集合,其通过服务的形式接受所述Web交互模块的调用,执行具体的应用工具并将执行结果解析重定向到统一的文件保存;所述USB Key权限控制模块用于应用工具的授权控制并记录授权应用的授权次数和时长信息。
所述安全应用商店系统,其中:所述Web交互模块主要具有以下功能:(1)接收来自宿主机的应用工具使用请求,并解析请求进行参数合法性校验;(2)对于合法请求,调用所述USB Key权限控制模块,判断用户是否有权限执行所请求的应用;(3)对于通过权限控制的模块,调用具体的应用工具,并将应用执行的结果返回给宿主机用户。
所述安全应用商店系统,其中:应用工具保存在加密文件系统verycrypt中,在虚拟机启动时,由虚拟机读取USB Key,判断该应用工具是否授权,由所述应用工具加载模块对于已授权的所述应用工具verycrypt中解密加载。
所述安全应用商店系统,其中:所述应用工具执行模块执行应用时,会将每次的执行时间、次数累加至所述USB Key权限控制模块中,当时间、次数有一个达到授权限制时,即授权中止。
所述安全应用商店系统,其中:所述应用商店系统的应用使用环境是通过web服务的方式面向用户提供安全应用商店中应用的输入输出接口,不提供所述应用商店系统的访问权限。
所述安全应用商店系统,其中:所述应用商店系统的应用使用环境可通过加密狗或分发秘钥方式鉴别安全应用商店使用者的使用身份和使用权限。
有益效果:
本发明安全应用商店系统平台相比现有应用商店,构思更合理,使用更安全,为开发者提供windows\linux等多种环境下“安全”的应用发布平台,即开发者可以为同一个APP的不同用户指定不同的使用权限、使用次数、使用时长,同时可以使APP免于被非授权用户破解、拷贝、修改,能有效保护开发者权益。
具体优点体现在以下几方面:
(1)使用web加应用虚拟机的方式,使用户即可以通过web运行应用,又通过应用虚拟机将用户与应用隔离开,使应用免于被用户随意使用、拷贝;
(2)使用加密锁和veracryt加密盘的方案限制非授权用户非法运行、复制应用;
(3)用加密锁和加密virtualbox虚拟机的方法限制用户的使用次数;
(4)基于nginx做应用层权限控制,可以限制用户执行虚拟机中的非法指令,保证加密用户不被破解。
附图说明
图1为本发明安全应用商店系统的结构框图。
图2为本发明安全应用商店系统的工作流程图。
具体实施方式
如图1所示,本发明安全应用商店系统,包括Web交互模块1、应用工具加载模块2、应用工具执行模块3和USB Key权限控制模块4。
该Web交互模块1部署在虚拟机内,其作为宿主机和虚拟机的交互接口,主要具有以下功能:(1)接收来自宿主机的应用工具使用请求,并解析请求进行参数合法性校验;(2)对于合法请求,调用USB Key权限控制模块,判断用户是否有权限执行所请求的应用;(3)对于通过权限控制的模块,调用具体的应用工具,并将应用执行的结果返回给宿主机用户。
该应用工具加载模块2是在虚拟机启动时加载在加密文件系统verycrypt中存储的应用;其中,为保证虚拟机中的应用工具不被非法破解,应用工具都是保存在加密文件系统verycrypt中,在虚拟机启动时,由虚拟机读取USB Key,判断该应用工具是否授权,由应用工具加载模块2对于已授权的应用工具verycrypt中解密加载。
该应用工具执行模块3为所有已加载应用工具的集合,通过服务的形式接受Web交互模块1的调用,执行具体的应用工具,并将执行结果解析重定向到统一的文件保存。
该USB Key权限控制模块4用于应用工具授权控制,并记录授权应用的授权次数、时长信息;其中,该应用工具执行模块3执行应用时,会将每次的执行时间、次数累加至USBKey权限控制模块4中,当时间、次数有一个达到授权限制时,即授权中止。
本发明安全应用商店系统可支持Linux和Windows等不同操作系统,并且支持操作系统的不同版本;本发明安全应用商店系统支持典型网络性能测试工具、网络爬虫、漏洞利用工具、网络设备扫描工具等应用的集成;原型版本以Linux为准。
本发明安全应用商店系统的应用使用环境是通过web服务的方式面向用户提供安全应用商店中应用的输入输出接口,而不提供本发明安全应用商店系统的访问权限。安全应用商店使用者仅仅可使用运行在一个操作系统环境中的功能,而不能使用该操作系统,例如安全应用商店使用者不能读取运行在安全应用商店中的操作系统中的需要保护的文件。
本发明安全应用商店系统的应用使用环境通过加密狗或分发秘钥等方式鉴别安全应用商店使用者的使用身份和使用权限。
安全应用商店使用者使用时,受到安全应用商店开发者定义的时间、次数约束,不满足条件的安全应用商店镜像不能运行。例如,如果定义某个安全应用商店镜像只能运行X次,在运行X次之后,即使安全应用商店使用者可以获取这个安全应用商店的完整镜像并且可以完全控制运行该镜像的物理机,也不能运行这个镜像;再如,如果定义某个安全应用商店镜像能够运行Y小时,在安全应用商店启动Y小时之后之后,即使安全应用商店使用者可以获取这个安全应用商店的完整镜像并且可以完全控制运行该镜像的物理机,该安全应用商店亦将停止运行。
安全应用商店使用者能够通过浏览器访问web服务界面,调用输入/输出接口配置安全应用商店内的应用工具,通过浏览器查看应用输出结果;web服务通过安全应用商店使用者提交的参数,运行本地的漏洞利用代码,包括但不限于python脚本、jar包、二进制程序等。
本发明相比现有应用商店,构思更合理,使用更安全,为开发者提供windows\linux等多种环境下“安全”的应用发布平台,即开发者可以为同一个APP的不同用户指定不同的使用权限、使用次数、使用时长,同时可以使APP免于被非授权用户破解、拷贝、修改,能有效保护开发者权益。

Claims (6)

1.一种安全应用商店系统,其特征在于:所述应用商店系统包括Web交互模块、应用工具加载模块、应用工具执行模块和USB Key权限控制模块;
所述Web交互模块部署在虚拟机内,作为宿主机和虚拟机的交互接口;
所述应用工具加载模块用于在虚拟机启动时,加载在加密文件系统verycrypt中存储的应用;
所述应用工具执行模块为所有已加载应用工具的集合,其通过服务的形式接受所述Web交互模块的调用,执行具体的应用工具并将执行结果解析重定向到统一的文件保存;
所述USB Key权限控制模块用于应用工具的授权控制并记录授权应用的授权次数和时长信息。
2.如权利要求1所述的安全应用商店系统,其特征在于:所述Web交互模块主要具有以下功能:
(1)接收来自宿主机的应用工具使用请求,并解析请求进行参数合法性校验;
(2)对于合法请求,调用所述USB Key权限控制模块,判断用户是否有权限执行所请求的应用;
(3)对于通过权限控制的模块,调用具体的应用工具,并将应用执行的结果返回给宿主机用户。
3.如权利要求1所述的安全应用商店系统,其特征在于:应用工具保存在加密文件系统verycrypt中,在虚拟机启动时,由虚拟机读取USB Key,判断该应用工具是否授权,由所述应用工具加载模块对于已授权的所述应用工具verycrypt中解密加载。
4.如权利要求1所述的安全应用商店系统,其特征在于:所述应用工具执行模块执行应用时,会将每次的执行时间、次数累加至所述USB Key权限控制模块中,当时间、次数有一个达到授权限制时,即授权中止。
5.如权利要求1所述的安全应用商店系统,其特征在于:所述应用商店系统的应用使用环境是通过web服务的方式面向用户提供安全应用商店中应用的输入输出接口,不提供所述应用商店系统的访问权限。
6.如权利要求1所述的安全应用商店系统,其特征在于:所述应用商店系统的应用使用环境可通过加密狗或分发秘钥方式鉴别安全应用商店使用者的使用身份和使用权限。
CN201811377412.1A 2018-11-19 2018-11-19 一种安全应用商店系统 Active CN109522734B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811377412.1A CN109522734B (zh) 2018-11-19 2018-11-19 一种安全应用商店系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811377412.1A CN109522734B (zh) 2018-11-19 2018-11-19 一种安全应用商店系统

Publications (2)

Publication Number Publication Date
CN109522734A true CN109522734A (zh) 2019-03-26
CN109522734B CN109522734B (zh) 2023-07-28

Family

ID=65778360

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811377412.1A Active CN109522734B (zh) 2018-11-19 2018-11-19 一种安全应用商店系统

Country Status (1)

Country Link
CN (1) CN109522734B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080109898A1 (en) * 2006-11-03 2008-05-08 Microsoft Corporation Modular enterprise authorization solution
CN106022093A (zh) * 2016-05-20 2016-10-12 为准(北京)电子科技有限公司 一种设备授权与计时管理方法及装置
CN106844066A (zh) * 2017-01-22 2017-06-13 腾讯科技(深圳)有限公司 一种应用运行方法、装置及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080109898A1 (en) * 2006-11-03 2008-05-08 Microsoft Corporation Modular enterprise authorization solution
CN106022093A (zh) * 2016-05-20 2016-10-12 为准(北京)电子科技有限公司 一种设备授权与计时管理方法及装置
CN106844066A (zh) * 2017-01-22 2017-06-13 腾讯科技(深圳)有限公司 一种应用运行方法、装置及系统

Also Published As

Publication number Publication date
CN109522734B (zh) 2023-07-28

Similar Documents

Publication Publication Date Title
CN102508791B (zh) 一种对硬盘分区进行加密的方法及装置
CN100407174C (zh) 数据保护设备及数据保护方法
EP2907071B1 (en) Secure data handling by a virtual machine
CN101866404B (zh) 软件系统模块独立授权控制方法和装置
CN104767745A (zh) 一种云端数据安全保护方法
CN102948114A (zh) 用于访问加密数据的单次使用认证方法
CN100495421C (zh) 一种基于usb设备的认证保护方法
CN101923678A (zh) 一种企业管理软件的数据安全保护方法
CN101827101A (zh) 基于可信隔离运行环境的信息资产保护方法
CN105612715A (zh) 具有可配置访问控制的安全处理单元
CN101739361A (zh) 访问控制方法、访问控制装置及终端设备
CN104318176A (zh) 用于终端的数据管理方法、数据管理装置和终端
CN103970540B (zh) 关键函数安全调用方法及装置
CN106682521B (zh) 基于驱动层的文件透明加解密系统及方法
CN109684866A (zh) 一种支持多用户数据保护的安全优盘系统
CN115730339A (zh) 一种基于ide源码保护插件代码防泄密方法及系统
CN108197500A (zh) 一种基于TrustZone数据安全性和完整性的存储系统及方法
CN101308700A (zh) 防泄密u盘
CN106326733A (zh) 管理移动终端中应用的方法和装置
CN110290125A (zh) 基于区块链的数据安全系统及数据安全处理方法
KR101158336B1 (ko) 개인정보 데이터베이스의 접근을 관리하는 가상공간 시스템 및 접근 관리 방법
CN104363093A (zh) 通过动态授权码对文件数据加密的方法
CN117390608A (zh) 一种针对文件管理的安全认证方法及系统
CN113901507B (zh) 一种多参与方的资源处理方法及隐私计算系统
CN105376258B (zh) 一种基于加密授权体系备份恢复云存储文件对象的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant