CN111209081A - 一种通过vsa技术实现双重隔离安全域的方法 - Google Patents

一种通过vsa技术实现双重隔离安全域的方法 Download PDF

Info

Publication number
CN111209081A
CN111209081A CN201911421667.8A CN201911421667A CN111209081A CN 111209081 A CN111209081 A CN 111209081A CN 201911421667 A CN201911421667 A CN 201911421667A CN 111209081 A CN111209081 A CN 111209081A
Authority
CN
China
Prior art keywords
vsa
type
application
security
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911421667.8A
Other languages
English (en)
Inventor
高小凤
王伟
桂艳峰
陈电波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Uusafe Co ltd
Original Assignee
Uusafe Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Uusafe Co ltd filed Critical Uusafe Co ltd
Priority to CN201911421667.8A priority Critical patent/CN111209081A/zh
Publication of CN111209081A publication Critical patent/CN111209081A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种通过VSA技术实现双重隔离安全域的方法,包括以下步骤:S1、为第一类VSA应用配置第一安全策略;S2、为第二类VSA应用配置第二安全策略;S3、在VSA客户端中安装所述第一类VSA应用及第二类VSA应用,所述第二类VSA应用能够获得第一类VSA应用的数据,而所述第一类VSA应用不能够获得第二类VSA应用的数据。本发明与现有技术相比,本发明提出了一种可以对企业应用进行安全分级的能力,针对不同的业务数据创建不同的隔离安全域进行保护,提高了设备及数据的安全性。

Description

一种通过VSA技术实现双重隔离安全域的方法
技术领域
本发明属于移动业务场景领域,具体涉及一种通过VSA技术实现双重隔离安全域的方法。
背景技术
目前的针对应用安全的产品,仅实现个人工作域及企业工作域的隔离,防止企业业务应用数据通过个人应用泄漏出去,但实际业务场景中存在一些应用涉及到企业核心数据,该类应用的安全等级需求比其他普通企业应用的更高,需要更严格的保护。
发明内容
为了克服现有技术的不足,本发明提出一种通过VSA技术实现双重隔离安全域,有效的解决了此类问题。本发明通过在企业工作域中进一步为应用提供更细致的安全等级区分,实现不同等级的安全域。
本发明为实现上述目的,采用以下技术方案实现:
一种通过VSA技术实现双重隔离安全域的方法,包括以下步骤:
S1、为第一类VSA应用配置第一安全策略;
S2、为第二类VSA应用配置第二安全策略;
S3、在VSA客户端中安装所述第一类VSA应用及第二类VSA应用,所述第二类VSA应用能够获得第一类VSA应用的数据,而所述第一类VSA应用不能够获得第二类VSA应用的数据。
进一步地,所述方法进一步包括:S4、在个人空间中安装个人应用,所述第一类和第二类VSA应用能够获得所述个人应用的数据,而所述个人应用不能够获得第一类和第二类VSA应用的数据。
进一步地,所述设备信息包括以下的一种或多种:用户指纹信息、IMEI、设备型号、系统版本。
进一步地,所述VSA客户端为移动设备上的虚拟运行环境,接管应用移动客户端和移动操作系统之间的通信。
进一步地,所述移动设备为手机。
进一步地,所述VSA客户端将相同安全等级、相同安全需求的应用放在一个逻辑组内,对这个组进行使用安全访问控制策略,形成一个虚拟安全域。
本发明与现有技术相比,本发明提出了一种可以对企业应用进行安全分级的能力,针对不同的业务数据创建不同的隔离安全域进行保护,提高了设备及数据的安全性。
附图说明
图1为本发明的VSA技术原理示意图;
图2为本发明的方法流程图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
实施例:
本发明所说的VSA(Virtual Security Area),即虚拟安全域:一种通过接管移动应用和OS(Android,iOS等)之间通信,来实现移动设备上虚拟机的技术。通过该虚拟化技术,VSA与操作系统底层的驱动挂钩,使得任何企业级应用都可安全的运行在虚拟机之中,以实现应用的安全和细粒度的控制。
具体来说,如图1所示,本发明的VSA通过对应用增加一个“壳”文件,使应用运行在一个“容器”内,监控管理应用的各种操作,实现安全防护。通过VSA技术将相同安全等级、相同安全需求的应用放在一个逻辑组内,对这个组进行使用安全访问控制策略,形成一个虚拟安全域,简明有效的控制数据安全,保护应用在移动设备上安全运行。
如图2所示,本实施例所述的一种通过VSA技术实现双重隔离安全域的方法,包括以下步骤:
S1、企业安全办公场景中,为企业应用A配置安全策略1;
S2、为企业应用B配置高级安全策略2。
S3、下发应用到员工设备并进行安装,业务应用A、B数据无法泄露到个人应用C中,A应用中数据可以传输到B中,B中数据不能传输到A中。同理,A、B中的数据均不能传输到C中,C应用中数据可以传输到A、B中。
例如,员工安装通过企业下发的VSA应用A、B并启动应用运行。与此同时,对于企业确认过安全性的个人应用C,也可以启动并运行。
应用C启动运行试图获取应用A或B的相关信息:IMEI、设备型号、系统版本等,该请求被VSA客户端拦截并拒绝,防止应用A或B的内容泄漏。
应用A启动运行试图获取应用B的相关信息:IMEI、设备型号、系统版本等,该请求被VSA客户端拦截并拒绝,防止应用B的内容泄漏。
国际移动设备识别码(International Mobile Equipment Identity,IMEI),即通常所说的手机序列号、手机“串号”,用于在移动电话网络中识别每一部独立的手机等移动通信设备,相当于移动电话的身份证。序列号共有15~17位数字,前8位(TAC)是型号核准号码(早期为6位),是区分手机品牌和型号的编码。接着2位(FAC)是最后装配号(仅在早期机型中存在),代表最终装配地代码。后6位(SNR)是串号,代表生产顺序号。最后1位(SP)一般为0,是检验码,备用。国际移动设备识别码一般贴于机身背面与外包装上,同时也存在于手机存储器中,通过输入*#06#即可查询。
本发明提出了一种可以对企业应用进行安全分级的能力,针对不同的业务数据创建不同的隔离安全域进行保护,提高了设备及数据的安全性。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。

Claims (6)

1.一种通过VSA技术实现双重隔离安全域的方法,其特征在于,包括以下步骤:
S1、为第一类VSA应用配置第一安全策略;
S2、为第二类VSA应用配置第二安全策略;
S3、在VSA客户端中安装所述第一类VSA应用及第二类VSA应用,所述第二类VSA应用能够获得第一类VSA应用的数据,而所述第一类VSA应用不能够获得第二类VSA应用的数据。
2.根据权利要求1所述的一种通过VSA技术实现双重隔离安全域的方法,其特征在于,所述方法进一步包括:
S4、在个人空间中安装个人应用,所述第一类和第二类VSA应用能够获得所述个人应用的数据,而所述个人应用不能够获得第一类和第二类VSA应用的数据。
3.根据权利要求1所述的一种通过VSA技术实现双重隔离安全域的方法,其特征在于,
所述设备信息包括以下的一种或多种:用户指纹信息、IMEI、设备型号、系统版本。
4.根据权利要求1所述的一种通过VSA技术实现双重隔离安全域的方法,其特征在于,
所述VSA客户端为移动设备上的虚拟运行环境,接管应用移动客户端和移动操作系统之间的通信。
5.根据权利要求4所述的一种通过VSA技术实现双重隔离安全域的方法,其特征在于,所述移动设备为手机。
6.根据权利要求1所述的一种通过VSA技术实现双重隔离安全域的方法,其特征在于,所述VSA客户端将相同安全等级、相同安全需求的应用放在一个逻辑组内,对这个组进行使用安全访问控制策略,形成一个虚拟安全域。
CN201911421667.8A 2019-12-31 2019-12-31 一种通过vsa技术实现双重隔离安全域的方法 Pending CN111209081A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911421667.8A CN111209081A (zh) 2019-12-31 2019-12-31 一种通过vsa技术实现双重隔离安全域的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911421667.8A CN111209081A (zh) 2019-12-31 2019-12-31 一种通过vsa技术实现双重隔离安全域的方法

Publications (1)

Publication Number Publication Date
CN111209081A true CN111209081A (zh) 2020-05-29

Family

ID=70786475

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911421667.8A Pending CN111209081A (zh) 2019-12-31 2019-12-31 一种通过vsa技术实现双重隔离安全域的方法

Country Status (1)

Country Link
CN (1) CN111209081A (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101146305A (zh) * 2006-09-13 2008-03-19 中兴通讯股份有限公司 安全策略的配置方法
WO2014206152A1 (zh) * 2013-06-27 2014-12-31 中兴通讯股份有限公司 一种网络安全监控方法和系统
CN106341369A (zh) * 2015-07-06 2017-01-18 深圳市中兴微电子技术有限公司 安全控制方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101146305A (zh) * 2006-09-13 2008-03-19 中兴通讯股份有限公司 安全策略的配置方法
WO2014206152A1 (zh) * 2013-06-27 2014-12-31 中兴通讯股份有限公司 一种网络安全监控方法和系统
CN106341369A (zh) * 2015-07-06 2017-01-18 深圳市中兴微电子技术有限公司 安全控制方法及装置

Similar Documents

Publication Publication Date Title
US9607192B2 (en) MIFARE push
US8811971B2 (en) Mobile communication device and method for disabling applications
CN101755271B (zh) 用于在连接受限设备配置和开放服务网关联盟环境中管理访问特权的方法和装置
CN103580852B (zh) 安全元件以及初始化安全元件的方法和系统
KR101509043B1 (ko) 범용 카드 시스템의 실현 방법과 시스템 및 스마트 카드
CN102136085B (zh) 电信智能卡及基于电信智能卡的非接触应用管理方法
EP2048594A1 (en) Method for communication, communication device and secure processor
CN104936129A (zh) 安全nfc路由
JPS63503335A (ja) ポータブル データ キャリヤのための保安ファイル システム
CN203191973U (zh) 一种具有双系统的电子装置
CN106101984A (zh) 一种nfc移动支付终端的安全模块管理方法及终端
CN106937275A (zh) 一种在安卓系统下保存系统唯一标识及硬件id的设备
CN104618333A (zh) 一种移动终端安全办公系统
CN102722813A (zh) 一种阶层式多种电子货币的装置和管理方法
EP2174481A2 (en) Method, server and mobile communication device for managing unique memory device identifications
CN106228090A (zh) 一种多主安全域Java智能卡及其实现方法
US8844827B2 (en) Chip card, and method for the software-based modification of a chip card
CN111209081A (zh) 一种通过vsa技术实现双重隔离安全域的方法
CN104796532A (zh) 一种销毁移动终端的方法及装置
CN111212420A (zh) 一种通过vsa技术伪装设备信息的方法
CN101425120B (zh) 读卡器及其执行方法
CN104348951B (zh) 一种卡片应用管理系统
CN106127092A (zh) 一种cos系统应用剥离的智能卡及其工作方法
CN102831468A (zh) 一种移动终端的智能卡芯片及其初始化和使用方法
CN104021351A (zh) 一种数据资源的访问方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200529