CN111709023A - 一种基于可信操作系统的应用隔离方法及系统 - Google Patents
一种基于可信操作系统的应用隔离方法及系统 Download PDFInfo
- Publication number
- CN111709023A CN111709023A CN202010550458.XA CN202010550458A CN111709023A CN 111709023 A CN111709023 A CN 111709023A CN 202010550458 A CN202010550458 A CN 202010550458A CN 111709023 A CN111709023 A CN 111709023A
- Authority
- CN
- China
- Prior art keywords
- application
- operating system
- application service
- access
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种基于可信操作系统的应用隔离方法及系统,该方法通过获取各应用进程的运行需求;根据运行需求将操作系统的内核资源的存储空间划分为公共资源域和多个应用业务域,应用业务域与应用进程一一对应,每个应用业务域包括应用进程及应用进程运行所需的程序文件、数据文件和配置文件;根据预设访问策略建立各应用业务域之间的访问关系;根据预设容器配置策略建立各应用业务域的容器模板。通过实施本发明,建立各应用业务域的容器模板以及各应用业务域之间的访问关系,提高了应用运行效率,避免了沙箱完全斩断应用之间的联系而导致业务连续性遭到破坏。
Description
技术领域
本发明涉及操作系统安全技术领域,具体涉及一种基于可信操作系统的应用隔离方法及系统。
背景技术
随着信息技术的发展,计算机系统所处的环境进一步复杂化和多样化,传统的基于软件的安全解决方案(如防火墙、入侵检测、防病毒),往往很难抵挡住黑客,病毒,内部窃密者的侵袭。针对这些问题,为了增强计算机平台的内部免疫力,近年来以可信平台模块为核心的可信计算平台技术迅速发展,可信计算提供了基于可信硬件提供的可信度量、可信证明、可信封装等安全功能,保证了平台的完整性、机密性和可用性。由国际大型IT公司(如Intel,IBM,Microsoft等)组成的可信计算组织(TCG)自成立以来,一直致力于可信计算的规范化和应用的推广,提出了面向多个分布式环境的基于可信平台的解决方案,极大地扩展了可信计算技术的应用范围,同时诸多科研机构和学术机构也将可信计算作为重点研究课题,可信计算已经成为信息安全中最热门的技术之一。
另一方面,应用的复杂性对于可信操作系统的性能和功能有了更高的要求,传统的应用隔离机制将应用业务域完全隔离,这种完全隔离机制虽然保障了运行环境的安全,但是破坏了业务运行的连续性。并且在运行过程中可信操作系统需对多种业务甄别提取,降低了应用运行效率。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中无法完整运行业务且应用运行效率低的缺陷,从而提供一种基于可信操作系统的应用隔离方法及系统。
为达到上述目的,本发明提供如下技术方案:
本发明实施例提供一种基于可信操作系统的应用隔离方法,包括:获取各应用进程的运行需求;根据所述运行需求将操作系统的内核资源的存储空间划分为公共资源域和多个私有的应用业务域,所述应用业务域与所述应用进程一一对应,每个应用业务域包括所述应用进程及所述应用进程运行所需的程序文件、数据文件和配置文件;根据预设访问策略建立各所述应用业务域之间的访问关系;根据预设容器配置策略建立各所述应用业务域的容器模板。
在一实施例中,建立所述预设访问策略,包括:获取待执行业务的业务需求;根据所述业务需求确定所述待执行业务需要执行的各所述应用进程及各所述应用进程对应的应用业务域之间的访问需求;根据所述访问需求生成所述预设访问策略。
在一实施例中,建立所述预设容器配置策略,包括:获取待执行业务的业务需求;根据所述业务需求确定所述待执行业务需要执行的各所述应用进程,及各所述应用进程对应的应用业务域之间的运行关系;根据所述运行关系生成所述预设容器配置策略。
在一实施例中,基于可信操作系统的应用隔离方法,还包括:监测各所述应用业务域之间的访问关系状态和/或容器配置状态;当所述访问关系状态和/或所述容器配置状态发生变化时,生成状态变化结果。
在一实施例中,基于可信操作系统的应用隔离方法,还包括:将所述访问关系状态与预设应用隔离基准进行比较,和/或将所述容器配置状态与预设容器配置基准进行比较,生成比较结果。
在一实施例中,基于可信操作系统的应用隔离方法,还包括:根据所述比较结果调整所述预设访问策略和/或所述预设容器配置策略。
在一实施例中,基于可信操作系统的应用隔离方法,还包括:根据所述比较结果取消各所述应用业务域之间的访问关系和/或各所述应用业务域的容器配置。
第二方面,本发明实施例提供一种基于可信操作系统的应用隔离系统,包括:获取模块,用于获取各应用进程的运行需求;空间划分模块,用于根据所述运行需求将操作系统的内核资源的存储空间划分为公共资源域和多个私有的应用业务域,所述应用业务域与所述应用进程一一对应,每个应用业务域包括所述应用进程及所述应用进程运行所需的程序文件、数据文件和配置文件;第一配置模块,用于根据预设访问策略建立各所述应用业务域之间的访问关系;第二配置模块,用于根据预设容器配置策略建立各所述应用业务域的容器模板。
第三方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行本发明实施例第一方面所述的基于可信操作系统的应用隔离方法。
第四方面,本发明实施例提供一种计算机设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行本发明实施例第一方面所述的基于可信操作系统的应用隔离方法。
本发明技术方案,具有如下优点:
本发明提供的基于可信操作系统的应用隔离方法,通过获取各应用进程的运行需求;根据运行需求将操作系统的内核资源的存储空间划分为公共资源域和多个应用业务域,应用业务域与应用进程一一对应,每个应用业务域包括应用进程及应用进程运行所需的程序文件、数据文件和配置文件;根据预设访问策略建立各应用业务域之间的访问关系;根据预设容器配置策略建立各应用业务域的容器模板。通过利用可信操作系统自身的应用隔离机制,使得各应用业务域之间仅能通过建立的访问关系进行相互访问,从而避免了传统的沙箱隔离机制完全斩断应用之间的联系而导致业务连续性遭到破坏,并且通过建立各应用业务域的容器模板,将存在关联关系的应用域纳入同一容器模板中运行,提高了应用运行效率。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中双体系结构可信操作系统的一个具体示意图;
图2为本发明实施例中基于可信操作系统的应用隔离方法的一个具体示例的流程图;
图3为本发明实施例中基于可信操作系统的应用隔离方法的一个具体示例的原理框图;
图4为本发明实施例中零信任状态认证架构的一个具体示例的原理框图;
图5为本发明实施例中基于可信操作系统的应用隔离系统的一个具体示例的原理框图;
图6为本发明实施例提供的计算机设备一个具体示例的组成图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
首先,对本申请所基于的双体系结构可信操作系统进行说明:
如图1所示,为本申请实施例基于的双体系结构可信操作系统,主要包括:普通计算内核10、可信计算内核20、可信平台控制模块30及硬件资源40。具体地,普通计算内核10中配置有可信计算内核代理,用于获取普通计算内核10状态请求进行处理,并通过可信计算内核代理将内核语义进行语义解析发送给可信计算内核20。可信计算内核20,包括:内核策略模块、监控管理模块、硬件管理模块及内存管理模块,其中,内核策略模块,用于生成可信计算策略,解析普通计算内核10语义;监控管理模块,用于对普通计算内核10状态进行监测、度量、控制;硬件管理模块,用于根据可信计算策略对硬件资源40进行分配与调度;内存管理模块,用于根据可信计算策略对内存资源进行分配与调度。可信平台控制模块30,用于分别对可信计算内核20及硬件资源40进行可信度量;如果度量通过,可信平台控制模块30启动硬件资源40及可信计算内核20。
本发明实施例提供一种基于可信操作系统的应用隔离方法,如图2所示,包括如下步骤:
步骤S1:获取各应用进程的运行需求。
在一具体实施例中,所述运行需求为应用进程需要调用的内核资源,包括:程序文件、数据文件、配置文件以及普通计算内核提供的其它资源。具体地,应用进程通过调用程序文件、数据文件、配置文件以及普通计算内核提供的其它资源执行调用任务。
步骤S2:根据运行需求将操作系统的内核资源的存储空间划分为公共资源域和多个私有的应用业务域,应用业务域与应用进程一一对应,每个应用业务域包括应用进程及应用进程运行所需的程序文件、数据文件和配置文件。
在一具体实施例中,如图3所示,根据运行需求将应用进程及应用进程运行所需的程序文件、数据文件和配置文件的存储空间划分为私有应用业务域,例如:应用业务域1、应用业务域2、应用业务域n,其中应用业务域2并未在图中示出。将普通计算内核提供的其它资源的存储空间划分公共资源域。由于可信操作系统自身的内存隔离机制,公共资源域受可信计算内核代理监视,不能访问应用进程所在的私有的各应用业务域。而普通计算内核提供的公共资源域可以被应用业务域访问,并且各个应用业务域之间也不能相互访问。
步骤S3:根据预设访问策略建立各应用业务域之间的访问关系。
在一具体实施例中,首先需要获取待执行业务的业务需求;根据业务需求确定待执行业务需要执行的各应用进程及各应用进程对应的应用业务域之间的访问需求;根据访问需求生成预设访问策略。
具体地,如图3所示,例如:根据业务需求确定需执行应用进程1,应用进程1在执行任务时需调用应用业务域1中的程序文件、数据文件和配置文件,同时还需访问应用业务域2,并调用应用业务域2中的程序文件、数据文件和配置文件。由于不同私有应用业务域之间无法相互访问,需要由可信计算内核的应用隔离模块配置访问策略后才允许相互访问,该访问策略为上述应用业务域1与应用业务域2建立访问通道,使得应用业务域1与应用业务域2之间可以进行访问。上述访问策略可以通过在上述的可信操作系统中设置应用隔离模块来实现,该应用隔离模块配置的访问策略结合可信操作系统的内存隔离和分配机制,形成天然的隔离沙箱,保证可信操作系统所有操作都在这个隔离环境内,保障应用运行环境的安全。
步骤S4:根据预设容器配置策略建立各应用业务域的容器模板。
在一具体实施例中,获取待执行业务的业务需求;根据业务需求确定待执行业务需要执行的各应用进程,及各应用进程对应的应用业务域之间的运行关系;根据运行关系生成预设容器配置策略。
具体地,为保证业务连续性,根据各应用进程对应的应用业务域之间的运行关系,可信计算内核的容器配置模块将功能相同的业务应用域配置在同一容器模板中。例如:根据业务需求确定需执行应用进程1,应用进程1在执行任务时需调用应用业务域1中的程序文件、数据文件和配置文件,同时还需访问应用业务域2,并调用应用业务域2中的程序文件、数据文件和配置文件。因此,为保证业务连续性,将应用业务域1和应用业务域2配置在容器1中。
本发明提供的基于可信操作系统的应用隔离方法,通过获取各应用进程的运行需求;根据运行需求将操作系统的内核资源的存储空间划分为公共资源域和多个应用业务域,应用业务域与应用进程一一对应,每个应用业务域包括应用进程及应用进程运行所需的程序文件、数据文件和配置文件;根据预设访问策略建立各应用业务域之间的访问关系;根据预设容器配置策略建立各应用业务域的容器模板。通过利用可信操作系统自身的应用隔离机制,使得各应用业务域之间仅能通过建立的访问关系进行相互访问,从而避免了传统的沙箱隔离机制完全斩断应用之间的联系而导致业务连续性遭到破坏,并且通过建立各应用业务域的容器模板,将存在关联关系的应用域纳入同一容器模板中运行,提高了应用运行效率。
在一实施例中,基于可信操作系统的应用隔离方法,还包括:监测各应用业务域之间的访问关系状态和/或容器配置状态;当访问关系状态和/或容器配置状态发生变化时,生成状态变化结果。
在一具体实施例中,构建由可信计算内核、可信计算内核代理和可信计算管理中心共同组成的策略执行点(PEP)、网关(gateway)和策略制定点(PDP)的零信任状态认证架构。如图4所示,在零信任状态认证架构中,运行在可信计算内核的应用隔离模块和容器配置模块可以监视并采集当前普通计算内核的各应用业务域之间的访问关系状态和容器配置状态,并将当前状态上报可信计算内核代理(网关)。
在一实施例中,基于可信操作系统的应用隔离方法,还包括:将访问关系状态与预设应用隔离基准进行比较,和/或将容器配置状态与预设容器配置基准进行比较,生成比较结果。
在一具体实施例中,可信计算内核代理把采集到的各应用业务域之间的访问关系状态和容器配置状态分别同预设应用隔离基准、预设容器配置基准校对分析后,生成比较结果并将比较结果上传可信计算管理中心。
其中,预设应用隔离基准和预设容器配置基准由可信计算内核确定,并存储在可信计算内核代理中。当各应用业务域之间的访问关系状态和/或容器配置状态发生变化后,可信计算内核代理将比较结果上传至可信计算管理中心。可信计算管理中心根据比较结果调整预设访问策略和/或预设容器配置策略;根据比较结果取消各应用业务域之间的访问关系和/或各应用业务域的容器配置。
具体地,可信计算管理中心根据各应用业务域之间的访问关系状态和/或容器配置状态的变化,决定制定新的访问策略和/或容器配置策略,并将新的访问策略和/或容器配置策略下发至可信计算内核,还是取消各应用业务域之间的访问关系和/或各应用业务域的容器配置,阻断异常状态。通过可信计算内核、可信计算内核代理和可信计算管理中心三级的零信任状态认证模型控制,可以及时发现不合规的各应用业务域之间的访问关系状态和容器配置状态,根据实际需求制定调整预设访问策略和预设容器配置策略并下发可信计算内核执行,使传统的应用隔离机制具备了动态感知和调整的能力,且更为安全可控、可信可靠。
本发明实施例还提供一种基于可信操作系统的应用隔离系统,如图5所示,包括:
获取模块100,用于获取各应用进程的运行需求。详细内容参见上述方法实施例中步骤S1的相关描述,在此不再赘述。
空间划分模块200,用于根据运行需求将操作系统的内核资源的存储空间划分为公共资源域和多个应用业务域,应用业务域与应用进程一一对应,每个应用业务域包括应用进程及应用进程运行所需的程序文件、数据文件和配置文件。详细内容参见上述方法实施例中步骤S2的相关描述,在此不再赘述。
第一配置模块300,用于根据预设访问策略建立各应用业务域之间的访问关系。详细内容参见上述方法实施例中步骤S3的相关描述,在此不再赘述。
第二配置模块400,用于根据预设容器配置策略建立各应用业务域的容器模板。详细内容参见上述方法实施例中步骤S4的相关描述,在此不再赘述。
本发明提供的基于可信操作系统的应用隔离系统,利用基于可信操作系统的应用隔离方法获取各应用进程的运行需求;根据运行需求将操作系统的内核资源的存储空间划分为公共资源域和多个应用业务域,应用业务域与应用进程一一对应,每个应用业务域包括应用进程及应用进程运行所需的程序文件、数据文件和配置文件;根据预设访问策略建立各应用业务域之间的访问关系;根据预设容器配置策略建立各应用业务域的容器模板。通过利用可信操作系统自身的应用隔离机制,使得各应用业务域之间仅能通过建立的访问关系进行相互访问,从而避免了传统的沙箱隔离机制完全斩断应用之间的联系而导致业务连续性遭到破坏,并且通过建立各应用业务域的容器模板,将存在关联关系的应用域纳入同一容器模板中运行,提高了应用运行效率。
本发明实施例提供一种计算机设备,如图6所示,该设备可以包括处理器61和存储器62,其中处理器61和存储器62可以通过总线或者其他方式连接,图6以通过总线连接为例。
处理器61可以为中央处理器(Central Processing Unit,CPU)。处理器61还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器62作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的对应的程序指令/模块。处理器61通过运行存储在存储器62中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的基于可信操作系统的应用隔离方法。
存储器62可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器61所创建的数据等。此外,存储器62可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器62可选包括相对于处理器61远程设置的存储器,这些远程存储器可以通过网络连接至处理器61。上述网络的实例包括但不限于互联网、企业内部网、企业内网、移动通信网及其组合。
一个或者多个模块存储在存储器62中,当被处理器61执行时,执行如图2-4所示实施例中的基于可信操作系统的应用隔离方法。
上述计算机设备具体细节可以对应参阅图2-4所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (10)
1.一种基于可信操作系统的应用隔离方法,其特征在于,包括:
获取各应用进程的运行需求;
根据所述运行需求将操作系统的内核资源的存储空间划分为公共资源域和多个私有的应用业务域,所述应用业务域与所述应用进程一一对应,每个应用业务域包括所述应用进程及所述应用进程运行所需的程序文件、数据文件和配置文件;
根据预设访问策略建立各所述应用业务域之间的访问关系;
根据预设容器配置策略建立各所述应用业务域的容器模板。
2.根据权利要求1所述的基于可信操作系统的应用隔离方法,其特征在于,建立所述预设访问策略,包括:
获取待执行业务的业务需求;
根据所述业务需求确定所述待执行业务需要执行的各所述应用进程及各所述应用进程对应的应用业务域之间的访问需求;
根据所述访问需求生成所述预设访问策略。
3.根据权利要求1所述的基于可信操作系统的应用隔离方法,其特征在于,建立所述预设容器配置策略,包括:
获取待执行业务的业务需求;
根据所述业务需求确定所述待执行业务需要执行的各所述应用进程,及各所述应用进程对应的应用业务域之间的运行关系;
根据所述运行关系生成所述预设容器配置策略。
4.根据权利要求1所述的基于可信操作系统的应用隔离方法,其特征在于,还包括:
监测各所述应用业务域之间的访问关系状态和/或容器配置状态;
当所述访问关系状态和/或所述容器配置状态发生变化时,生成状态变化结果。
5.根据权利要求4所述的基于可信操作系统的应用隔离方法,其特征在于,还包括:
将所述访问关系状态与预设应用隔离基准进行比较,和/或将所述容器配置状态与预设容器配置基准进行比较,生成比较结果。
6.根据权利要求5所述的基于可信操作系统的应用隔离方法,其特征在于,还包括:
根据所述比较结果调整所述预设访问策略和/或所述预设容器配置策略。
7.根据权利要求5所述的基于可信操作系统的应用隔离方法,其特征在于,还包括:
根据所述比较结果取消各所述应用业务域之间的访问关系和/或各所述应用业务域的容器配置。
8.一种基于可信操作系统的应用隔离系统,其特征在于,包括:
获取模块,用于获取各应用进程的运行需求;
空间划分模块,用于根据所述运行需求将操作系统的内核资源的存储空间划分为公共资源域和多个私有的应用业务域,所述应用业务域与所述应用进程一一对应,每个应用业务域包括所述应用进程及所述应用进程运行所需的程序文件、数据文件和配置文件;
第一配置模块,用于根据预设访问策略建立各所述应用业务域之间的访问关系;
第二配置模块,用于根据预设容器配置策略建立各所述应用业务域的容器模板。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如权利要求1-7任一所述的基于可信操作系统的应用隔离方法。
10.一种计算机设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如权利要求1-7任一所述的基于可信操作系统的应用隔离方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010550458.XA CN111709023B (zh) | 2020-06-16 | 2020-06-16 | 一种基于可信操作系统的应用隔离方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010550458.XA CN111709023B (zh) | 2020-06-16 | 2020-06-16 | 一种基于可信操作系统的应用隔离方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111709023A true CN111709023A (zh) | 2020-09-25 |
| CN111709023B CN111709023B (zh) | 2023-04-28 |
Family
ID=72540593
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010550458.XA Active CN111709023B (zh) | 2020-06-16 | 2020-06-16 | 一种基于可信操作系统的应用隔离方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111709023B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472758A (zh) * | 2021-06-21 | 2021-10-01 | 北京沃东天骏信息技术有限公司 | 访问控制方法、装置、终端、连接器及存储介质 |
| CN114070637A (zh) * | 2021-11-23 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 基于属性标签的访问控制方法、系统、电子设备及存储介质 |
| CN114679278A (zh) * | 2022-02-23 | 2022-06-28 | 福建升腾资讯有限公司 | 基于金融设备的生产维护方法及金融设备 |
| CN115062353A (zh) * | 2022-08-16 | 2022-09-16 | 南方电网数字电网研究院有限公司 | 基于单芯片的可信计算架构和可信计算方法 |
| CN116578968A (zh) * | 2023-04-24 | 2023-08-11 | 国网冀北电力有限公司信息通信分公司 | 对电力控制系统中应用程序提供安全防护的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104331659A (zh) * | 2014-10-30 | 2015-02-04 | 浪潮电子信息产业股份有限公司 | 一种关键应用主机系统资源应用隔离的设计方法 |
| CN104573507A (zh) * | 2015-02-05 | 2015-04-29 | 浪潮电子信息产业股份有限公司 | 一种安全容器及其设计方法 |
| CN104601580A (zh) * | 2015-01-20 | 2015-05-06 | 浪潮电子信息产业股份有限公司 | 一种基于强制访问控制的策略容器设计方法 |
| CN105323282A (zh) * | 2014-07-28 | 2016-02-10 | 神州数码信息系统有限公司 | 一种面向多租户的企业应用部署与管理系统 |
| US20160092678A1 (en) * | 2014-09-30 | 2016-03-31 | Microsoft Corporation | Protecting Application Secrets from Operating System Attacks |
-
2020
- 2020-06-16 CN CN202010550458.XA patent/CN111709023B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105323282A (zh) * | 2014-07-28 | 2016-02-10 | 神州数码信息系统有限公司 | 一种面向多租户的企业应用部署与管理系统 |
| US20160092678A1 (en) * | 2014-09-30 | 2016-03-31 | Microsoft Corporation | Protecting Application Secrets from Operating System Attacks |
| CN104331659A (zh) * | 2014-10-30 | 2015-02-04 | 浪潮电子信息产业股份有限公司 | 一种关键应用主机系统资源应用隔离的设计方法 |
| CN104601580A (zh) * | 2015-01-20 | 2015-05-06 | 浪潮电子信息产业股份有限公司 | 一种基于强制访问控制的策略容器设计方法 |
| CN104573507A (zh) * | 2015-02-05 | 2015-04-29 | 浪潮电子信息产业股份有限公司 | 一种安全容器及其设计方法 |
Non-Patent Citations (1)
| Title |
|---|
| 高昆仑;王志皓;安宁钰;赵保华;: "基于可信计算技术构建电力监测控制系统网络安全免疫系统" * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472758A (zh) * | 2021-06-21 | 2021-10-01 | 北京沃东天骏信息技术有限公司 | 访问控制方法、装置、终端、连接器及存储介质 |
| CN113472758B (zh) * | 2021-06-21 | 2023-05-30 | 北京沃东天骏信息技术有限公司 | 访问控制方法、装置、终端、连接器及存储介质 |
| CN114070637A (zh) * | 2021-11-23 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 基于属性标签的访问控制方法、系统、电子设备及存储介质 |
| CN114070637B (zh) * | 2021-11-23 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 基于属性标签的访问控制方法、系统、电子设备及存储介质 |
| CN114679278A (zh) * | 2022-02-23 | 2022-06-28 | 福建升腾资讯有限公司 | 基于金融设备的生产维护方法及金融设备 |
| CN114679278B (zh) * | 2022-02-23 | 2023-11-03 | 福建升腾资讯有限公司 | 基于金融设备的生产维护方法及金融设备 |
| CN115062353A (zh) * | 2022-08-16 | 2022-09-16 | 南方电网数字电网研究院有限公司 | 基于单芯片的可信计算架构和可信计算方法 |
| CN115062353B (zh) * | 2022-08-16 | 2022-11-11 | 南方电网数字电网研究院有限公司 | 基于单芯片的可信计算系统和可信计算方法 |
| CN116578968A (zh) * | 2023-04-24 | 2023-08-11 | 国网冀北电力有限公司信息通信分公司 | 对电力控制系统中应用程序提供安全防护的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111709023B (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11902120B2 (en) | Synthetic data for determining health of a network security system | |
| US10469496B2 (en) | Fabric assisted identity and authentication | |
| US11017107B2 (en) | Pre-deployment security analyzer service for virtual computing resources | |
| CN111709023A (zh) | 一种基于可信操作系统的应用隔离方法及系统 | |
| US8327441B2 (en) | System and method for application attestation | |
| US9875359B2 (en) | Security management for rack server system | |
| US20200028880A1 (en) | Technologies for scalable security architecture of virtualized networks | |
| KR20210149576A (ko) | 에지 컴퓨팅 배치에서 다중 엔티티 자원, 보안 및 서비스 관리 | |
| EP3084672B1 (en) | Protection system including machine learning snapshot evaluation | |
| KR20160090905A (ko) | 보안 규칙 평가를 포함하는 보호 시스템 | |
| US11552953B1 (en) | Identity-based authentication and access control mechanism | |
| US11792194B2 (en) | Microsegmentation for serverless computing | |
| CN110199283B (zh) | 用于在网络功能虚拟化环境中认证平台信任的系统和方法 | |
| US10489145B2 (en) | Secure update of firmware and software | |
| KR102134491B1 (ko) | 보호된 데이터 세트의 네트워크 기반 관리 기법 | |
| CN112511618B (zh) | 边缘物联代理防护方法及电力物联网动态安全可信系统 | |
| WO2021120975A1 (zh) | 一种监控方法及装置 | |
| US20220201041A1 (en) | Administrative policy override in microsegmentation | |
| US11251976B2 (en) | Data security processing method and terminal thereof, and server | |
| WO2018136087A1 (en) | Multiple remote attestation service for cloud-based systems | |
| US20240089291A1 (en) | Automatic network policies generation in containerized environments | |
| CN114567678B (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
| CN112035844A (zh) | 一种终端信任状态的采集系统、方法及计算机设备 | |
| CN117978406B (zh) | 一种异构多容器集群调度方法、系统、设备及存储介质 | |
| CN114301661A (zh) | 一种应用登录的认证方法、装置、计算设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |