CN114154144A - 基于安全沙箱的应用安全加固系统 - Google Patents
基于安全沙箱的应用安全加固系统 Download PDFInfo
- Publication number
- CN114154144A CN114154144A CN202111339583.7A CN202111339583A CN114154144A CN 114154144 A CN114154144 A CN 114154144A CN 202111339583 A CN202111339583 A CN 202111339583A CN 114154144 A CN114154144 A CN 114154144A
- Authority
- CN
- China
- Prior art keywords
- sandbox
- security
- namespace
- application
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 244000035744 Hura crepitans Species 0.000 title claims abstract description 132
- 230000003014 reinforcing effect Effects 0.000 title description 2
- 238000000034 method Methods 0.000 claims abstract description 110
- 230000008569 process Effects 0.000 claims abstract description 97
- 238000002955 isolation Methods 0.000 claims abstract description 60
- 230000007246 mechanism Effects 0.000 claims abstract description 21
- 230000002787 reinforcement Effects 0.000 claims abstract description 18
- 230000006870 function Effects 0.000 claims description 16
- 239000013589 supplement Substances 0.000 claims description 4
- 238000011161 development Methods 0.000 abstract description 3
- 238000012423 maintenance Methods 0.000 abstract description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000010151 yanghe Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于安全沙箱的应用安全加固系统,涉及计算机软件技术领域,包括:资源隔离模块:利用命名空间Namespace机制,在启动沙箱进程后指定相应的flags新建Namespace类型,使用时使沙箱中的进程彼此不可见、不可通信,实现进程间的隔离,包括系统资源隔离和物理资源隔离;安全模块:为沙箱引入的安全策略,将系统中的进程、文件添加相应标签,以及根据根用户的特权,根据实际安全需要控制沙箱拥有的权能范围;包括强制访问控制和权能限制。本发明能够在web业务场景下实现业务权限的单独控制,提高了权限管理的安全性和高效性,保证基于的权限安全性,并且开发维护成本低,面对用户时灵活性强。
Description
技术领域
本发明涉及计算机软件技术领域,具体地,涉及一种基于安全沙箱的应用安全加固系统。
背景技术
银河锐华终端操作系统作为国产的移动智能终端操作系统,其主要作用在于管理移动终端硬件与软件之间的交互,向下适配硬件系统,向上支撑应用软件功能。操作系统主要包括基础层、支撑层和基础层,其中基础层负责硬件驱动、内存管理、进程管理和网络协议等功能,支撑层主要包含网络栈、图形栈、布局引擎、JS虚拟机以及端口层,实现了WebAPI,供应用层使用,应用层是系统自带的基本应用功能,例如通讯相关应用、音视频应用、日历时钟等等,扩展应用主要是和各个合作厂商开发的个性化可装卸的应用软件,如导航、开机注密等。如图1所示。
其中操作系统支撑层为上层应用提供调用接口,以此来实现用户对设备的配置与使用。与此带来的问题是对这些接口的安全管理。操作系统中不同的应用,对接口权限要求也不尽相同。同时,为了系统安全以及保证系统正常运行,一些特殊接口希望只提供给系统应用,而别的应用无权限使用。
公开号为CN112035097A的发明专利,公开了一种基于银河锐华操作系统的C++适配层,包括:C++插件库:根据预设的插件库的基类,C++插件库继承该插件库的基类并根据具体功能需求实现桥接类,桥接类作为C++插件库接受JS的调用指令的入口;插件库模块管理器:将每个C++插件库作为一个模块进行动态管理,保存有系统对C++插件库调用所需的信息;插件对象管理器:每个应用将独立拥有一个专属于该应用进程的插件对象管理器,插件对象管理器向应用封装接口,应用通过所述接口与C++插件库进行交互。
对于银河锐华终端操作系统的基础应用,框架层所提供的上层调用接口,我们不希望一些特殊接口开放给所有的应用。比如和系统开关机相关这类会影响系统运行以及和用户隐私数据相关的接口,除了系统应用,别的应用不应该有权限调用。且当我们在和第三方机构合作时,通常是银河锐华终端操作系统提供内核、框架和基础应用,他们根据需求自主开发属于各自的应用。
这种开发模式下,应用安全管理工作对于我们系统来说变得越来越重要。对于每一个应用,用户依据需求要求可以分别设置对应访问策略。因此,需要一个对接口权限管理的方法,通过web应用系统权限管理机制,防止对web应用系统的越权使用而影响系统安全与正常运行。
发明内容
针对现有技术中的缺陷,本发明提供一种基于安全沙箱的应用安全加固系统。
根据本发明提供的一种基于安全沙箱的应用安全加固系统,所述方案如下:
一种基于安全沙箱的应用安全加固系统,所述系统包括:
资源隔离模块:利用命名空间Namespace机制,在启动沙箱进程后指定相应的flags新建Namespace类型,使用时使沙箱中的进程彼此不可见、不可通信,实现进程间的隔离,包括系统资源隔离和物理资源隔离;
安全模块:为沙箱引入的安全策略,将系统中的进程、文件添加相应标签,以及根据根用户的特权,根据实际安全需要控制沙箱拥有的权能范围;包括强制访问控制和权能限制;
其中,资源隔离模块与安全模块相辅相成,资源隔离模块实现沙箱拥有自己独立的文件系统以及资源的隔离,安全模块实现主机的关键文件和目录不受沙箱影响,资源隔离模块与安全模块的共同作用,能够为用户对不信任以及不安全的应用程序提供一个独立和安全的运行环境。
优选的,所述资源隔离模块中系统资源隔离:利用命名空间Namespace机制,为每个沙箱建立一个独立的Namespace,使得银河锐华终端操作系统提供的挂载、网络、PID及IPC在内的Namespace资源属于特定的Namespace;
将PID Namespace和IPC Namespace一起使用,使得沙箱中的进程彼此不可见、不可通信;
将挂载Namespace和网络Namespace一起使用,为沙箱虚拟出具有独立主机名和网络空间的环境。
优选的,所述资源隔离模块中物理资源隔离:利用控制组子系统隔离、限制和记录进程组所使用的物理资源,限制进程组能够使用的内存上限。
优选的,所述进程组使用的内存达到上限以后,若还继续申请内存,系统就会终止该进程并报错。
优选的,所述安全模块中强制访问控制包括:将系统中的进程、文件在内的相关对象分为主体和客体两种,并给主体、客体添加相应的标签,定制特定的强制访问控制规则来限制主体对客体的操作。
优选的,所述安全模块中强制访问控制还包括:使用文本标签标记主机上的关键文件和目录,给沙箱的独立文件系统以及沙箱进程添加沙箱标签;
沙箱对标有标签的对象不能做任何操作,沙箱互相之间也不能做任何操作,保证沙箱本身及沙箱中的恶意程序不会对主机的关键文件和目录产生影响。
优选的,所述安全模块中权能限制包括:细化根用户的特权,根据实际的安全需要控制沙箱拥有的权能范围。
优选的,所述安全模块中权能限制还包括:在沙箱中启动进程时,先获取进程拥有的权能,然后使用指定函数清除禁止该沙箱使用的权能;
并同时为沙箱添加地址随机化、不可执行页保护在内的相关安全策略。
优选的,所述地址随机化使程序地址随机化,令攻击者无法将程序执行流程跳转到预期位置,阻止攻击代码执行。
优选的,所述系统还包括应用权限,所述应用权限分类包括:Certified高度信任、Privileged信任以及Web不信任,采用最小权限原则,针对Web应用先给予最低权限,在必要或者合理的情况下,才选择性的提供权限。
与现有技术相比,本发明具有如下的有益效果:
1、本发明通过在应用的配置文件(manifest.webapp)设置访问权限等级,并添加所需接口的访问请求,由框架层根据应用等级与访问的接口等级进行比较,应用等级不低于访问接口等级时则开放访问,否则该应用对此接口没有访问权限,以此实现应用的安全加固;
2、基于本发明,不管是我们的开发者或者合作厂商的应用开发者,只需要对应用匹配权限,就可以访问允许访问的接口;
3、本发明可以在web业务场景下实现业务权限的单独控制,提高了权限管理的安全性和高效性;
4、本发明开发不侵入业务,开发者只需要在开发应用过程中为功能标注对应的权限属性即可,能够保证基于的权限安全性,并且开发维护成本低,面对用户时灵活性强。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为银河锐华终端操作系统;
图2为沙箱隔离区示意图;
图3为银河锐华终端操作系统安全机制结构;
图4为Certified权限示意图;
图5为Privi leged权限示意图;
图6为web权限示意图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
本发明实施例提供了一种基于安全沙箱的应用安全加固系统,该系统包括:资源隔离模块和安全模块;
其中,资源隔离模块:利用命名空间(Namespace)机制,在启动沙箱进程后指定相应的flags新建Namespace类型,使用时可以使沙箱中的进程彼此不可见、不可通信,实现进程间的隔离;包括系统资源隔离和物理资源隔离;
安全模块:为沙箱引入的安全策略,将系统中的进程、文件添加相应标签,以及根据根用户的特权,根据实际安全需要控制沙箱拥有的权能范围包括强制访问控制和权能限制。
资源隔离模块与安全模块相辅相成,资源隔离模块实现沙箱拥有自己独立的文件系统以及资源的隔离,安全模块实现主机的关键文件和目录不受沙箱影响。两个模块的共同作用,可以为用户对不信任以及不安全的应用程序提供一个独立和安全的运行环境,使得应用程序的操作不对系统造成不当的影响。
具体地,资源隔离模块中系统资源隔离:利用命名空间Namespace机制,为每个沙箱建立一个独立的Namespace,使得银河锐华终端操作系统提供的挂载、网络、PID及IPC在内的Namespace资源属于特定的Namespace;
将PID Namespace和IPC Namespace一起使用,使得沙箱中的进程彼此不可见、不可通信;
将挂载Namespace和网络Namespace一起使用,为沙箱虚拟出具有独立主机名和网络空间的环境。
资源隔离模块中物理资源隔离:利用控制组子系统隔离、限制和记录进程组所使用的物理资源,限制进程组可以使用的内存上限,进程组使用的内存达到上限以后,若还继续申请内存,系统就会终止该进程并报错。
安全模块中强制访问控制包括:将系统中的进程、文件在内的相关对象分为主体和客体两种,并给主体、客体添加相应的标签,定制特定的强制访问控制规则来限制主体对客体的操作。使用文本标签标记主机上的关键文件和目录,给沙箱的独立文件系统以及沙箱进程添加沙箱标签;沙箱对标有标签的对象不能做任何操作,沙箱互相之间也不能做任何操作,保证沙箱本身及沙箱中的恶意程序不会对主机的关键文件和目录产生影响。
安全模块中权能限制包括:细化根用户的特权,根据实际的安全需要控制沙箱拥有的权能范围。在沙箱中启动进程时,先获取进程拥有的权能,然后使用指定函数清除禁止该沙箱使用的权能;并同时为沙箱添加地址随机化、不可执行页保护(当系统将一些页面设置为不可执行页面时,那么应用程序将不能执行这块页面中的代码,即该页面可读不可执行,若强制执行会产生异常)在内的相关安全策略。其中,地址随机化使程序地址随机化,令攻击者无法将程序执行流程跳转到预期位置,阻止攻击代码执行。
该系统还包括应用权限,所述应用权限分类包括:Certified高度信任、Privileged信任以及Web不信任,采用最小权限原则,针对Web应用先给予最低权限,在必要或者合理的情况下,才选择性的提供权限。
接下来,对本发明进行更为具体的说明。
一种基于安全沙箱的应用安全加固系统,应用沙箱为用户对不信任的应用程序提供了一个独立和安全的运行环境,应用程序在沙箱中所做的操作对终端不会造成任何影响。提出了基于系统资源隔离、物理资源隔离、权能限制和强制访问控制策略的多安全机制的应用沙箱技术。
沙箱被定义为“将应用程序限制在一个受限制的环境中,在其中它可以自由统治”的操作。应用基于沙箱式隔离作业,将隔离区作为深度访问策略,以此保护用户的数据、平台和终端设备来降低风险。在执行期间,隔离器可为应用产生边界和限制。每个应用只能在自己的工作空间内执行且经过授权获取Web API接口的正常访问,参照图2所示是沙箱隔离区示意图。
基于多安全机制的应用沙箱实现了资源隔离,即沙箱拥有自己独立的文件系统和实现沙箱间及沙箱与主机间的系统资源和理资源隔离;实现多种安全机制,使用强制访问控制策略实现主机的关键文件和目录不受沙箱影响。可为用户对不信任的应用程序提供一个独立和安全的运行环境,应用程序在沙箱中所做的操作对主机不会造成任何影响。该应用沙箱提供了文件系统隔离、系统资源隔离、物理资源隔离、权能限制和强制访问控制(Mandatory Access Control,MAC)等策略,添加了地址随机化、不可执行页保护等内存保护安全策略。
本发明一种基于安全沙箱的应用安全加固系统,包括:资源隔离模块和安全模块;其中,资源隔离模块:利用命名空间(Namespace)机制,在启动沙箱进程后指定相应的flags新建Namespace类型,使用时可以使沙箱中的进程彼此不可见、不可通信,实现进程间的隔离;包括系统资源隔离和物理资源隔离;
安全模块:为沙箱引入的安全策略,将系统中的进程、文件添加相应标签,以及根据根用户的特权,根据实际安全需要控制沙箱拥有的权能范围;包括强制访问控制和权能限制。
资源隔离模块与安全模块相辅相成,资源隔离模块实现沙箱拥有自己独立的文件系统以及资源的隔离,安全模块实现主机的关键文件和目录不受沙箱影响。两个模块的共同作用,可以为用户对不信任以及不安全的应用程序提供一个独立和安全的运行环境,使得应用程序的操作不对系统造成不当的影响。
具体地,(1)资源隔离:
首先,利用命名空间(Namespace)机制实现沙箱内系统资源的隔离。所有的系统资源都默认为全局管理,银河锐华终端操作系统提供了PID、IPC和Internet等多个Namespace,而且每个Namespace的资源相对于其他的Namespace均为透明。为每个沙箱建立一个独立的Namespace,这样网络、PID和IPC等资源就属于特定的Namespace。这种机制的实现依靠在启动沙箱进程后调用clone()系统调用时,指定相应的flags,flags标识的是我们要为沙箱建立的新Namespace类型。我们将PID Namespace和IPC Namespace一起使用可以使沙箱中的进程彼此不可见、不可通信,实现了进程间的隔离;挂载Namespace和网络Namespace一起使用可以为沙箱虚拟出一个具有独立主机名和网络空间的环境,对于应用程序而言,沙箱就像网络上一台独立的主机一样。
其次,隔离沙箱可以使用的物理资源。沙箱利用控制组(Control Groups,Cgroups)子系统来实现这一功能。Cgroups是一种可以隔离、限制和记录进程组所使用的物理资源(如CPU、memory和IO等)的机制。例如,内存子系统用来限制进程组可以使用的内存上限,一旦进程组使用的内存达到了限额以后还继续申请内存,系统就会终止该进程并报错。我们将沙箱中的进程作为一个进程组来进行管理,这样就可以避免沙箱中的恶意程序想要霸占某些物理资源的行为。
(2)安全策略
为沙箱引入了一些安全策略。首先是强制访问控制机制,强访机制就是将系统中的进程、文件等对象分为主体和客体两种,并给主体、客体添加相应的标签,定制特定的强制访问控制规则来限制主体对客体的操作。使用简单的文本标签(如host)标记主机上的关键文件和目录,给沙箱的独立文件系统以及沙箱进程添加沙箱标签(可以用沙箱名作为标签,如vs 1、vs 2),设置沙箱使用的访问控制规则如下表1所示。
表1沙箱的强制访问控制规则
| 主体标签 | 客体标签 | 访问 |
| vs 1 | host | / |
| vs2 | host | / |
| host | vs2 | rwxa |
| host | vs1 | rwxa |
| vs1 | vs2 | / |
| vs2 | vs1 | / |
其中,第一列为主体标签,第二列为客体标签,第三列为主体可以对客体执行的操作,沙箱对标有host标签的对象不能做任何操作,沙箱互相之间也不能做任何操作,这样就可以保证沙箱本身及沙箱中的恶意程序不会对主机的关键文件和目录产生影响。其次,对沙箱中的进程进行权能限制。细化根用户的特权,利用这一机制,可以根据实际的安全需要来控制沙箱拥有的权能范围,从而防止攻击者利用恶意应用程序趁机获取控制系统的特权,对系统安全造成威胁。该机制的实现是通过在沙箱中启动进程时,先获取进程拥有的权能,然后使用cap_clear_flag()函数来清除禁止该沙箱使用的权能。
此外,为沙箱添加了地址随机化、不可执行页保护等安全策略,这些安全策略可以防止由缓冲区溢出漏洞导致的攻击行为。例如,如果攻击程序熟悉进程的地址空间,从而将程序的执行流程跳转到恶意代码的位置,危害系统安全。而利用地址随机化策略使程序地址随机化,使得攻击者无法将程序执行流程跳转到预期位置,从而阻止攻击代码执行。这样不仅可以对已知漏洞进行防护,还能对未知漏洞利用攻击进行防御。
参照图3所示,银河锐华终端操作系统分为三层:应用层、支持和基础层。所有的应用程序都是使用通用的web技术(HTML5、CSS、JavaScript)编写的,并在支持层之上运行。从应用安全的角度来看,系统的结构图如下所示。其中权限管理提供Web API功能访问的管道,是访问底层硬件设备的唯一存储路径。访问控制表由用户角色和权限组成,授权认证由应用使用者授予,权限库是由所有Web API功能所需的授权集合。
应用权限:
为了避免恶意应用程序访问用户私有信息的关键设备接口,应用程序分为以下几种类型,参照下表2所示,应用不同的权限:
表2应用权限分类
采用最小权限原则,针对Web应用先给予最低权限,在必要或者合理的情况下,才选择性的提供权限。依预设值,任一应用均具备最低权限,在应用配置文件明确权限后,支持层才会给予Web API的访问权限。
权限是分层的,这意味着认证应用程序拥有特权应用程序拥有托管应用程序的特权应用程序的所有权限等等。权限用于通过应用访问接口(如地理定位、联系人、报警等)访问某些设备功能。但是,应用程序类型也必须具有使用该API的权限。对于某些API(如地理定位),应用程序还必须在使用之前明确地请求用户批准。
内容进程:
每个应用程序运行一个名为内容进程的专用进程,由系统主进程生成。为了减轻应用程序的恶意行为或整个系统没有被应用程序破坏,内容过程只有较低的特权。它无法访问系统资源。要与任何其他进程进行通信,它需要使用IPC(进程间通信)通过系统主进程。IPC是一个或多个进程中的线程用于相互通信的一个流行的方法家族。此通信是使用操作系统的IPDL(IPC协议定义语言)协议实现的。该协议已经被C++线程在操作系统中用来以一种安全的方式进行通信。
当系统主进程处理<iframemozapp>标签时,它会启动一个内容进程。所有的内容进程都属于一个容器,一组进程,类似于浏览器使用的插件容器。这个容器被称为进程容器,因为它与系统的其他部分分离。就在内容进程开始之前,不允许内容进程访问的所有文件描述符都被关闭。每个选项卡将运行在一个专门的内容过程,甚至启动浏览器应用程序在内容过程,这意味着一个内容过程必须能够产生自己的内容过程。
过程间通信。首先,这个概念用于应用程序运行时的执行。每个应用程序都有一个工作区;它只能使用它应该使用的Web API和数据。它还具有专门关联的资源,如Cookie、数据库、脱机存储等。资源不能直接访问,只能通过Web API访问。这些限制是通过一个文件描述符的白名单来实现的,需要拥有很高特权才能访问移动设备的硬件特性。一个应用程序运行在主进程的子进程中,并在上述沙箱中隔离。新进程有自己的内存空间,并且不能提升其权限以具有主进程的权限。后者负责检查子进程是否具有执行所尝试的操作的必要权限。
应用程序进程只能与主进程通信,而不能直接与其他进程(包括应用程序)通信。使用此架构,应用程序进程使用IPDL协议向主进程请求资源,该进程将检查应用程序的安全策略,包括应用程序清单中指定的应用程序类型和权限,然后再代表内容进程执行操作并将结果传递回。从使用IPDL协议的内容进程中发出的调用必须由b2g进程进行消毒,因为内容进程给出的输入不受信任。
以下为实例化的地理接口:
分别给指南针应用的地理位置接口添加不同的权限,调用的结果也不一致。框架层为地理位置接口设置的权限为Privileged。
1、Certified权限
应用权限为最高权限时,打开应用,直接调用地理位置接口,设备转动,位置变化,如图4所示。
2、Privileged权限
应用权限为privileged时,打开应用,弹窗提示让用户选择,根据选择结果,决定是否调用地理位置接口,如图5所示。
3、Web权限
Web权限低于地理位置接口的Privileged权限,因此是调用不到地理位置接口的。如图6所示,打开应用,不会进行定位服务。
本发明实施例提供了一种基于安全沙箱的应用安全加固系统,应用沙箱为用户对不信任的应用程序提供了一个独立和安全的运行环境,应用程序在沙箱中所做的操作对终端不会造成任何影响,保证系统的安全与正常运行。提出了基于文件系统隔离、系统资源隔离、物理资源隔离、权能限制和强制访问控制策略的多安全机制的应用沙箱技术。基于这个发明,对于应用开发者来说,只需要通过在应用的配置文件(manifest.webapp)设置访问权限等级,并添加所需接口的访问请求。框架层会根据应用等级与访问的接口等级进行比较确认应用对此接口没有访问权限,以此实现应用的安全管理,以及对特定接口访问限制使其不影响到系统的正常运行或者防止接口调用不当而引起系统崩溃等重大影响。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统及其各个装置、模块、单元以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统及其各个装置、模块、单元以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同功能。所以,本发明提供的系统及其各项装置、模块、单元可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置、模块、单元也可以视为硬件部件内的结构;也可以将用于实现各种功能的装置、模块、单元视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
Claims (10)
1.一种基于安全沙箱的应用安全加固系统,其特征在于,包括:
资源隔离模块:利用命名空间Namespace机制,在启动沙箱进程后指定相应的flags新建Namespace类型,使用时使沙箱中的进程彼此不可见、不可通信,实现进程间的隔离,包括系统资源隔离和物理资源隔离;
安全模块:为沙箱引入的安全策略,将系统中的进程、文件添加相应标签,以及根据根用户的特权,根据实际安全需要控制沙箱拥有的权能范围;包括强制访问控制和权能限制;
其中,资源隔离模块与安全模块相辅相成,资源隔离模块实现沙箱拥有自己独立的文件系统以及资源的隔离,安全模块实现主机的关键文件和目录不受沙箱影响,资源隔离模块与安全模块的共同作用,能够为用户对不信任以及不安全的应用程序提供一个独立和安全的运行环境。
2.根据权利要求1所述的基于安全沙箱的应用安全加固系统,其特征在于,所述资源隔离模块中系统资源隔离:利用命名空间Namespace机制,为每个沙箱建立一个独立的Namespace,使得银河锐华终端操作系统提供的挂载、网络、PID及IPC在内的Namespace资源属于特定的Namespace;
将PID Namespace和IPC Namespace一起使用,使得沙箱中的进程彼此不可见、不可通信;
将挂载Namespace和网络Namespace一起使用,为沙箱虚拟出具有独立主机名和网络空间的环境。
3.根据权利要求1所述的基于安全沙箱的应用安全加固系统,其特征在于,所述资源隔离模块中物理资源隔离:利用控制组子系统隔离、限制和记录进程组所使用的物理资源,限制进程组能够使用的内存上限。
4.根据权利要求3所述的基于安全沙箱的应用安全加固系统,其特征在于,所述进程组使用的内存达到上限以后,若还继续申请内存,系统就会终止该进程并报错。
5.根据权利要求1所述的基于安全沙箱的应用安全加固系统,其特征在于,所述安全模块中强制访问控制包括:将系统中的进程、文件在内的相关对象分为主体和客体两种,并给主体、客体添加相应的标签,定制特定的强制访问控制规则来限制主体对客体的操作。
6.根据权利要求1所述的基于安全沙箱的应用安全加固系统,其特征在于,所述安全模块中强制访问控制还包括:使用文本标签标记主机上的关键文件和目录,给沙箱的独立文件系统以及沙箱进程添加沙箱标签;
沙箱对标有标签的对象不能做任何操作,沙箱互相之间也不能做任何操作,保证沙箱本身及沙箱中的恶意程序不会对主机的关键文件和目录产生影响。
7.根据权利要求1所述的基于安全沙箱的应用安全加固系统,其特征在于,所述安全模块中权能限制包括:细化根用户的特权,根据实际的安全需要控制沙箱拥有的权能范围。
8.根据权利要求1所述的基于安全沙箱的应用安全加固系统,其特征在于,所述安全模块中权能限制还包括:在沙箱中启动进程时,先获取进程拥有的权能,然后使用指定函数清除禁止该沙箱使用的权能;
并同时为沙箱添加地址随机化、不可执行页保护在内的相关安全策略。
9.根据权利要求8所述的基于安全沙箱的应用安全加固系统,其特征在于,所述地址随机化使程序地址随机化,令攻击者无法将程序执行流程跳转到预期位置,阻止攻击代码执行。
10.根据权利要求1所述的基于安全沙箱的应用安全加固系统,其特征在于,所述系统还包括应用权限,所述应用权限分类包括:Certified高度信任、Privileged信任以及Web不信任,采用最小权限原则,针对Web应用先给予最低权限,在必要或者合理的情况下,才选择性的提供权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111339583.7A CN114154144A (zh) | 2021-11-12 | 2021-11-12 | 基于安全沙箱的应用安全加固系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111339583.7A CN114154144A (zh) | 2021-11-12 | 2021-11-12 | 基于安全沙箱的应用安全加固系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114154144A true CN114154144A (zh) | 2022-03-08 |
Family
ID=80460226
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111339583.7A Pending CN114154144A (zh) | 2021-11-12 | 2021-11-12 | 基于安全沙箱的应用安全加固系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114154144A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115982700A (zh) * | 2023-03-21 | 2023-04-18 | 北京快成科技有限公司 | 一种数字孪生系统权限控制方法及系统 |
| CN116578968A (zh) * | 2023-04-24 | 2023-08-11 | 国网冀北电力有限公司信息通信分公司 | 对电力控制系统中应用程序提供安全防护的方法及装置 |
| CN116720179A (zh) * | 2023-08-07 | 2023-09-08 | 深圳市智慧城市科技发展集团有限公司 | Api接口管理方法、终端设备及计算机可读存储介质 |
-
2021
- 2021-11-12 CN CN202111339583.7A patent/CN114154144A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115982700A (zh) * | 2023-03-21 | 2023-04-18 | 北京快成科技有限公司 | 一种数字孪生系统权限控制方法及系统 |
| CN116578968A (zh) * | 2023-04-24 | 2023-08-11 | 国网冀北电力有限公司信息通信分公司 | 对电力控制系统中应用程序提供安全防护的方法及装置 |
| CN116720179A (zh) * | 2023-08-07 | 2023-09-08 | 深圳市智慧城市科技发展集团有限公司 | Api接口管理方法、终端设备及计算机可读存储介质 |
| CN116720179B (zh) * | 2023-08-07 | 2023-11-03 | 深圳市智慧城市科技发展集团有限公司 | Api接口管理方法、终端设备及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109086100B (zh) | 一种高安全可信移动终端安全体系架构及安全服务方法 | |
| JP6248153B2 (ja) | 信頼レベルのアクティブ化 | |
| CN114154144A (zh) | 基于安全沙箱的应用安全加固系统 | |
| US10255088B2 (en) | Modification of write-protected memory using code patching | |
| US20080066187A1 (en) | Mobile Wireless Device with Protected File System | |
| EP2187285A1 (en) | Secure mobile wireless device | |
| CN101965553A (zh) | 虚拟应用程序系统、存储设备、虚拟应用程序的运行方法及虚拟环境的保护方法 | |
| CN110612512A (zh) | 保护虚拟执行环境 | |
| US10083129B2 (en) | Code loading hardening by hypervisor page table switching | |
| US10108800B1 (en) | ARM processor-based hardware enforcement of providing separate operating system environments for mobile devices with capability to employ different switching methods | |
| US10528749B2 (en) | Methods and apparatus for containerized secure computing resources | |
| US10831915B2 (en) | Method and system for isolating application data access | |
| US8752130B2 (en) | Trusted multi-stakeholder environment | |
| US9158710B2 (en) | Page coloring with color inheritance for memory pages | |
| US20050172286A1 (en) | Hosted code runtime protection | |
| US8635664B2 (en) | Method and system for securing application program interfaces in unified extensible firmware interface | |
| US20130117745A1 (en) | Virtual computer system, control method for virtual computer system, control program for virtual computer system, and integrated circuit | |
| WO2017016231A1 (zh) | 一种策略管理方法、系统及计算机存储介质 | |
| Sadeghi et al. | Taming “trusted platforms” by operating system design | |
| KR101321479B1 (ko) | 프로세스의 접근 제어를 이용한 응용 소프트웨어의 불법 복제 방지 방법 및 장치 | |
| US10387681B2 (en) | Methods and apparatus for controlling access to secure computing resources | |
| Guo et al. | Enforcing multiple security policies for android system | |
| CN111062061B (zh) | 一种用于ios系统的安全防护方法和系统 | |
| JP2005149394A (ja) | 情報処理装置および情報処理方法、プログラム、並びに記録媒体 | |
| US7747791B2 (en) | Program access authorization of peripheral devices via a smart card |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |