CN116956331B - 应用于Linux的文件系统加密隔离方法、系统、设备及介质 - Google Patents
应用于Linux的文件系统加密隔离方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN116956331B CN116956331B CN202311198303.4A CN202311198303A CN116956331B CN 116956331 B CN116956331 B CN 116956331B CN 202311198303 A CN202311198303 A CN 202311198303A CN 116956331 B CN116956331 B CN 116956331B
- Authority
- CN
- China
- Prior art keywords
- mounting
- encryption
- sandbox
- linux
- file system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 42
- 244000035744 Hura crepitans Species 0.000 claims abstract description 84
- 238000005516 engineering process Methods 0.000 claims abstract description 57
- 230000001960 triggered effect Effects 0.000 claims abstract description 31
- 238000013500 data storage Methods 0.000 claims abstract description 19
- 102100029074 Exostosin-2 Human genes 0.000 claims abstract description 10
- 101000918275 Homo sapiens Exostosin-2 Proteins 0.000 claims abstract description 10
- 238000000034 method Methods 0.000 claims description 41
- 238000007796 conventional method Methods 0.000 abstract description 2
- 230000001360 synchronised effect Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种应用于Linux的文件系统加密隔离方法、系统、设备及介质,主要涉及文件系统加密隔离技术领域,用以解决现有方法不能够实现在沙盒内外数据隔离基础上进行数据加密存储。包括:对沙盒内外文件系统进行隔离;在第一加密挂载选项被触发时,基于FUSE架构的EXT2文件系统技术,对加密磁盘挂载;通过Linux OverlayFS技术,对关键子目录进行挂载;在第二加密挂载选项被触发时,使用tmpfs文件系统对根目录挂载;通过Linux OverlayFS技术,对关键子目录挂载;通过ecryptfs技术,对数据存储目录挂载,并开启关键子目录数据同步操作;对系统子目录进行挂载;启动沙盒。
Description
技术领域
本申请涉及文件系统加密隔离技术领域,尤其涉及一种应用于Linux的文件系统加密隔离方法、系统、设备及介质。
背景技术
在当今互联网时代,黑客攻击已经成为了一个全球性的问题。在Linux系统上有一个非常重要的防御黑客攻击措施—沙盒技术(Firejail)。Firejail通常会应用Linux命名空间、Linux Cgroup、Linux OverlayFS和Linux虚拟网卡四项基本技术,来限制不受信任的应用程序的运行环境以降低安全漏洞被利用的风险。
Linux系统下对数据进行实时加解密的技术主要有:(1)通过Firejail中的LinuxOverlayFS技术,实现对底层文件系统的处理。(2)基于cryptsetup的磁盘过滤驱动技术,将Linux下的文件/块设备映射成为device mapper设备,通过该技术的过滤,mapper设备的落地内容是加密的。
但是,上述技术(1)没有限制上层文件系统对文件进行修改,其修改内容虽然不对底层文件系统造成影响,但依然需要进行存储,其存储内容的落盘就造成沙盒内数据的泄露,且Linux OverlayFS的各层文件系统不能做到支持所有文件系统类型。如此基于LinuxOverlayFS的上层文件系统修改内容的加密存储存在难度,因此Linux OverlayFS没有办法做到数据加密存储。技术(2)映射device mapper设备之前是需要口令的;另外,通过该技术映射的device mapper设备是没有办法通过Linux 命名空间技术进行隔离的。
发明内容
针对现有技术的上述不足,本申请提供一种应用于Linux的文件系统加密隔离方法、方法及介质,以解决现有的方法不能够实现在沙盒内外数据隔离基础上的进行数据加密存储。
第一方面,本申请提供了一种应用于Linux的文件系统加密隔离方法,方法包括:使用Linux命名空间技术对沙盒内外文件系统进行隔离;获取被触发的加密挂载选项;在第一加密挂载选项被触发时,基于FUSE架构的EXT2文件系统技术,对沙盒内部的加密磁盘进行挂载;其中,加密磁盘的挂载目录为沙盒内的根目录;通过Linux OverlayFS技术,对沙盒内根目录下预设的关键子目录进行挂载;在第二加密挂载选项被触发时,使用tmpfs文件系统对沙盒内的根目录进行挂载;通过Linux OverlayFS技术,对根目录下预设的关键子目录进行挂载;通过ecryptfs技术,对根目录下的数据存储目录进行挂载,并开启关键子目录数据同步操作;对沙盒内根目录下的系统子目录进行挂载;切换到沙盒内根目录对应的文件系统,启动沙盒内服务进程,启动沙盒。
进一步地,获取被触发的加密挂载选项,具体包括:通过预设界面显示加密挂载选项,进而获取被触发的加密挂载选项;其中,加密挂载选项至少包括第一加密挂载选项和第二加密挂载选项。
进一步地,对沙盒内根目录下的系统子目录进行挂载,具体包括:根据系统子目录对应的目录类型,确定系统子目录对应的预设挂载系统;进而通过预设挂载系统,对沙盒内根目录下的系统子目录进行挂载。
进一步地,方法还包括:通过后端界面,确定关键子目录和数据存储目录各自对应的具体目录。
第二方面,本申请提供了一种应用于Linux的文件系统加密隔离系统,系统包括:内外文件隔离模块,用于使用Linux命名空间技术对沙盒内外文件系统进行隔离;挂载模块,用于获取被触发的加密挂载选项;在第一加密挂载选项被触发时,基于FUSE架构的EXT2文件系统技术,对沙盒内部的加密磁盘进行挂载;其中,加密磁盘的挂载目录为沙盒内的根目录;通过Linux OverlayFS技术,对沙盒内根目录下预设的关键子目录进行挂载;在第二加密挂载选项被触发时,使用tmpfs文件系统对沙盒内的根目录进行挂载;通过LinuxOverlayFS技术,对根目录下预设的关键子目录进行挂载;通过ecryptfs技术,对根目录下的数据存储目录进行挂载,并开启关键子目录数据同步操作;对沙盒内根目录下的系统子目录进行挂载;启动模块,用于切换到沙盒内根目录对应的文件系统,启动沙盒内服务进程,启动沙盒。
进一步地,挂载模块包括触发单元,用于通过预设界面显示加密挂载选项,进而获取被触发的加密挂载选项;其中,加密挂载选项至少包括第一加密挂载选项和第二加密挂载选项。
进一步地,挂载模块包括对应单元,用于根据系统子目录对应的目录类型,确定系统子目录对应的预设挂载系统;进而通过预设挂载系统,对沙盒内根目录下的系统子目录进行挂载。
进一步地,挂载模块包括确定单元,用于通过后端界面,确定关键子目录和数据存储目录各自对应的具体目录。
第三方面,本申请提供了一种应用于Linux的文件系统加密隔离设备,设备包括:处理器;以及存储器,其上存储有可执行代码,当可执行代码被执行时,使得处理器执行如上述任一项的一种应用于Linux的文件系统加密隔离方法。
第四方面,本申请提供了一种非易失性计算机存储介质,其上存储有计算机指令,计算机指令在被执行时实现如上述任一项的一种应用于Linux的文件系统加密隔离方法。
本领域技术人员能够理解的是,本申请至少具有如下有益效果:
本申请通过Linux命名空间技术,实现了对沙盒内外文件系统进行隔离。本申请针对不同的数据形式设计了两种根目录挂载存储的方式:(1)通过FUSE架构的EXT2文件系统技术,实现了将沙盒内部的加密磁盘进行挂载;(2),使用tmpfs文件系统对沙盒内的根目录进行挂载。本申请针对不同的数据形式设计了至少三种将对根目录下子目录进行挂载存储的方式:(1)通过Linux OverlayFS技术,对根目录下预设的关键子目录进行挂载;(2)通过ecryptfs技术,对根目录下的数据存储目录进行挂载;(3)对沙盒内根目录下的系统子目录进行挂载。也就是说,本申请能够实现在沙盒内外数据隔离基础上进行数据加密存储。
附图说明
下面参照附图来描述本公开的部分实施例,附图中:
图1是本申请实施例提供的一种应用于Linux的文件系统加密隔离方法流程图。
图2是本申请实施例提供的一种应用于Linux的文件系统加密隔离系统内部结构示意图。
图3是本申请实施例提供的一种应用于Linux的文件系统加密隔离设备内部结构示意图。
具体实施方式
本领域技术人员应当理解的是,下文所描述的实施例仅仅是本公开的优选实施例,并不表示本公开仅能通过该优选实施例实现,该优选实施例仅仅是用于解释本公开的技术原理,并非用于限制本公开的保护范围。基于本公开提供的优选实施例,本领域普通技术人员在没有付出创造性劳动的情况下所获得的其它所有实施例,仍应落入到本公开的保护范围之内。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
下面通过附图对本申请实施例提出的技术方案进行详细的说明。
本申请实施例提供了一种应用于Linux的文件系统加密隔离方法,如图1所示,本申请实施例提供的方法,主要包括以下步骤:
步骤110、使用Linux命名空间技术对沙盒内外文件系统进行隔离。
需要说明的是,Linux命名空间(Namespace)技术为现有技术,是一种操作系统层级的资源隔离技术。
步骤120、获取被触发的加密挂载选项;在第一加密挂载选项被触发时,基于FUSE架构的EXT2文件系统技术,对沙盒内部的加密磁盘进行挂载;其中,加密磁盘的挂载目录为沙盒内的根目录;通过Linux OverlayFS技术,对沙盒内根目录下预设的关键子目录进行挂载;在第二加密挂载选项被触发时,使用tmpfs文件系统对沙盒内的根目录进行挂载;通过Linux OverlayFS技术,对根目录下预设的关键子目录进行挂载;通过ecryptfs技术,对根目录下的数据存储目录进行挂载,并开启关键子目录数据同步操作;对沙盒内根目录下的系统子目录进行挂载。
需要说明的是,FUSE架构的EXT2文件系统、Linux OverlayFS技术、tmpfs文件系统和ecryptfs技术均为现有技术,其具体实现过程本申请不做限定。
步骤120中的,开启关键子目录数据同步操作,是为了确保通过Linux OverlayFS技术进行挂载的关键子目录的修改内容能够同步至数据存储目录。
另外,本申请可以根据实际情况自行确定触发第一加密挂载选项或第二加密挂载选项。
具体实现过程可以为:通过预设界面显示加密挂载选项,进而获取被触发的加密挂载选项;其中,加密挂载选项至少包括第一加密挂载选项和第二加密挂载选项。
另外,本申请可以对系统子目录进行细分,以确定系统子目录对应的处理系统。
具体过程可以为:根据系统子目录对应的目录类型,确定系统子目录对应的预设挂载系统;进而通过预设挂载系统,对沙盒内根目录下的系统子目录进行挂载。
需要说明的是,上述实现过程可以通过后端界面直接进行人为设置。也可以通过任意可行的关键字提取,提取系统子目录内的数据,进而确定系统子目录对应的关键字(预设挂载系统),进而实现自动配置对应的预设挂载系统。另外,具体过程中的目录类型可以为任意可行的类型,例如,应用程序类型、数据库类型等,其具体内容可由本领域技术人员自行确定。
另外,关键子目录和数据存储目录可以为本领域技术人员根据实际情况自行配置的,本申请可以对关键子目录和数据存储目录对应的具体目录进行配置或调整。
具体实现过程可以为:通过后端界面,确定关键子目录和数据存储目录各自对应的具体目录。
步骤130、切换到沙盒内根目录对应的文件系统,启动沙盒内服务进程,启动沙盒。
除此之外,图2为本申请实施例提供的一种应用于Linux的文件系统加密隔离系统。如图2所示,本申请实施例提供的系统,主要包括:
系统通过内外文件隔离模块210使用Linux命名空间技术对沙盒内外文件系统进行隔离。
需要说明的是,内外文件隔离模块210可以为任意可行的能够驱动Linux命名空间技术对应程序,进行沙盒内外文件系统隔离的设备或装置等。
挂载模块220,用于获取被触发的加密挂载选项;在第一加密挂载选项被触发时,基于FUSE架构的EXT2文件系统技术,对沙盒内部的加密磁盘进行挂载;其中,加密磁盘的挂载目录为沙盒内的根目录;通过Linux OverlayFS技术,对沙盒内根目录下预设的关键子目录进行挂载;在第二加密挂载选项被触发时,使用tmpfs文件系统对沙盒内的根目录进行挂载;通过Linux OverlayFS技术,对根目录下预设的关键子目录进行挂载;通过ecryptfs技术,对根目录下的数据存储目录进行挂载,并开启关键子目录数据同步操作;对沙盒内根目录下的系统子目录进行挂载。
需要说明的是,挂载模块220为任意可行的能够对加密磁盘或沙盒内的根目录进行挂载,已经对子目录进行挂载的设备或装置等。
另外,本申请可以根据实际情况自行确定触发第一加密挂载选项或第二加密挂载选项。
具体实现过程可以为:挂载模块220中的触发单元221,通过预设界面显示加密挂载选项,进而获取被触发的加密挂载选项;其中,加密挂载选项至少包括第一加密挂载选项和第二加密挂载选项。
另外,本申请可以对系统子目录进行细分,以确定系统子目录对应的处理系统。
具体过程可以为:挂载模块220中的对应单元222,根据系统子目录对应的目录类型,确定系统子目录对应的预设挂载系统;进而通过预设挂载系统,对沙盒内根目录下的系统子目录进行挂载。
另外,本申请可以对关键子目录和数据存储目录对应的具体目录进行配置或调整。
具体实现过程可以为:挂载模块220中的确定单元223,通过后端界面,确定关键子目录和数据存储目录各自对应的具体目录。
系统通过启动模块230,切换到沙盒内根目录对应的文件系统,启动沙盒内服务进程,启动沙盒。
需要说明的是,启动模块230可以为任意可行的能够启动沙盒的设备或装置等。
以上为本申请中的方法实施例,基于同样的发明构思,本申请实施例还提供了一种应用于Linux的文件系统加密隔离设备。如图3所示,该设备包括:处理器;以及存储器,其上存储有可执行代码,当可执行代码被执行时,使得处理器执行如上述实施例中的一种应用于Linux的文件系统加密隔离方法。
具体地,服务器端使用Linux命名空间技术对沙盒内外文件系统进行隔离;获取被触发的加密挂载选项;在第一加密挂载选项被触发时,基于FUSE架构的EXT2文件系统技术,对沙盒内部的加密磁盘进行挂载;其中,加密磁盘的挂载目录为沙盒内的根目录;通过Linux OverlayFS技术,对沙盒内根目录下预设的关键子目录进行挂载;在第二加密挂载选项被触发时,使用tmpfs文件系统对沙盒内的根目录进行挂载;通过Linux OverlayFS技术,对根目录下预设的关键子目录进行挂载;通过ecryptfs技术,对根目录下的数据存储目录进行挂载,并开启关键子目录数据同步操作;对沙盒内根目录下的系统子目录进行挂载;切换到沙盒内根目录对应的文件系统,启动沙盒内服务进程,启动沙盒。
除此之外,本申请实施例还提供了一种非易失性计算机存储介质,其上存储有可执行指令,在该可执行指令被执行时,实现如上述的一种应用于Linux的文件系统加密隔离方法。
至此,已经结合前文的多个实施例描述了本公开的技术方案,但是,本领域技术人员容易理解的是,本公开的保护范围并不仅限于这些具体实施例。在不偏离本公开技术原理的前提下,本领域技术人员可以对上述各个实施例中的技术方案进行拆分和组合,也可以对相关技术特征作出等同的更改或替换,凡在本公开的技术构思和/或技术原理之内所做的任何更改、等同替换、改进等都将落入本公开的保护范围之内。
Claims (10)
1.一种应用于Linux的文件系统加密隔离方法,其特征在于,所述方法包括:
使用Linux命名空间技术对沙盒内外文件系统进行隔离;
获取被触发的加密挂载选项;
在第一加密挂载选项被触发时,基于FUSE架构的EXT2文件系统技术,对沙盒内部的加密磁盘进行挂载;其中,加密磁盘的挂载目录为沙盒内的根目录;通过Linux OverlayFS技术,对沙盒内根目录下预设的关键子目录进行挂载;
在第二加密挂载选项被触发时,使用tmpfs文件系统对沙盒内的根目录进行挂载;通过Linux OverlayFS技术,对根目录下预设的关键子目录进行挂载;通过ecryptfs技术,对根目录下的数据存储目录进行挂载,并开启关键子目录数据同步操作;
对沙盒内根目录下的系统子目录进行挂载;
切换到沙盒内根目录对应的文件系统,启动沙盒内服务进程,启动沙盒。
2.根据权利要求1所述的应用于Linux的文件系统加密隔离方法,其特征在于,获取被触发的加密挂载选项,具体包括:
通过预设界面显示加密挂载选项,进而获取被触发的加密挂载选项;其中,加密挂载选项至少包括第一加密挂载选项和第二加密挂载选项。
3.根据权利要求1所述的应用于Linux的文件系统加密隔离方法,其特征在于,对沙盒内根目录下的系统子目录进行挂载,具体包括:
根据系统子目录对应的目录类型,确定系统子目录对应的预设挂载系统;进而通过预设挂载系统,对沙盒内根目录下的系统子目录进行挂载。
4.根据权利要求1所述的应用于Linux的文件系统加密隔离方法,其特征在于,所述方法还包括:
通过后端界面,确定关键子目录和数据存储目录各自对应的具体目录。
5.一种应用于Linux的文件系统加密隔离系统,其特征在于,所述系统包括:
内外文件隔离模块,用于使用Linux命名空间技术对沙盒内外文件系统进行隔离;
挂载模块,用于获取被触发的加密挂载选项;在第一加密挂载选项被触发时,基于FUSE架构的EXT2文件系统技术,对沙盒内部的加密磁盘进行挂载;其中,加密磁盘的挂载目录为沙盒内的根目录;通过Linux OverlayFS技术,对沙盒内根目录下预设的关键子目录进行挂载;在第二加密挂载选项被触发时,使用tmpfs文件系统对沙盒内的根目录进行挂载;通过Linux OverlayFS技术,对根目录下预设的关键子目录进行挂载;通过ecryptfs技术,对根目录下的数据存储目录进行挂载,并开启关键子目录数据同步操作;对沙盒内根目录下的系统子目录进行挂载;
启动模块,用于切换到沙盒内根目录对应的文件系统,启动沙盒内服务进程,启动沙盒。
6.根据权利要求5所述的应用于Linux的文件系统加密隔离系统,其特征在于,挂载模块包括触发单元,
用于通过预设界面显示加密挂载选项,进而获取被触发的加密挂载选项;其中,加密挂载选项至少包括第一加密挂载选项和第二加密挂载选项。
7.根据权利要求5所述的应用于Linux的文件系统加密隔离系统,其特征在于,挂载模块包括对应单元,
用于根据系统子目录对应的目录类型,确定系统子目录对应的预设挂载系统;进而通过预设挂载系统,对沙盒内根目录下的系统子目录进行挂载。
8.根据权利要求5所述的应用于Linux的文件系统加密隔离系统,其特征在于,挂载模块包括确定单元,
用于通过后端界面,确定关键子目录和数据存储目录各自对应的具体目录。
9.一种应用于Linux的文件系统加密隔离设备,其特征在于,所述设备包括:
处理器;
以及存储器,其上存储有可执行代码,当所述可执行代码被执行时,使得所述处理器执行如权利要求1-4任一项所述的一种应用于Linux的文件系统加密隔离方法。
10.一种非易失性计算机存储介质,其特征在于,其上存储有计算机指令,所述计算机指令在被执行时实现如权利要求1-4任一项所述的一种应用于Linux的文件系统加密隔离方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311198303.4A CN116956331B (zh) | 2023-09-18 | 2023-09-18 | 应用于Linux的文件系统加密隔离方法、系统、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311198303.4A CN116956331B (zh) | 2023-09-18 | 2023-09-18 | 应用于Linux的文件系统加密隔离方法、系统、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116956331A CN116956331A (zh) | 2023-10-27 |
CN116956331B true CN116956331B (zh) | 2023-12-19 |
Family
ID=88456795
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311198303.4A Active CN116956331B (zh) | 2023-09-18 | 2023-09-18 | 应用于Linux的文件系统加密隔离方法、系统、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116956331B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108985086A (zh) * | 2018-07-18 | 2018-12-11 | 中软信息系统工程有限公司 | 应用程序权限控制方法、装置及电子设备 |
CN113986858A (zh) * | 2021-12-24 | 2022-01-28 | 北京鲸鲮信息系统技术有限公司 | Linux兼容安卓系统的共享文件操作方法和装置 |
CN114047925A (zh) * | 2021-11-24 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 隔离编译环境的构建方法、装置、设备及存储介质 |
CN115098038A (zh) * | 2022-07-15 | 2022-09-23 | 济南浪潮数据技术有限公司 | 一种挂载目录的绑定方法、装置及其介质 |
CN116049896A (zh) * | 2023-03-29 | 2023-05-02 | 中孚安全技术有限公司 | 一种linux系统下实现数据隔离的方法、系统、设备及介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8627451B2 (en) * | 2009-08-21 | 2014-01-07 | Red Hat, Inc. | Systems and methods for providing an isolated execution environment for accessing untrusted content |
US20140108793A1 (en) * | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
US10678935B2 (en) * | 2017-04-11 | 2020-06-09 | Nicira, Inc. | Identifying container file events for providing container security |
US11562086B2 (en) * | 2018-06-27 | 2023-01-24 | International Business Machines Corporation | Filesystem view separation for data confidentiality and integrity using lattice-based security domains |
US20220027458A1 (en) * | 2020-07-25 | 2022-01-27 | Unisys Corporation | Compiiling and executing code in a secure sandbox |
-
2023
- 2023-09-18 CN CN202311198303.4A patent/CN116956331B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108985086A (zh) * | 2018-07-18 | 2018-12-11 | 中软信息系统工程有限公司 | 应用程序权限控制方法、装置及电子设备 |
CN114047925A (zh) * | 2021-11-24 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 隔离编译环境的构建方法、装置、设备及存储介质 |
CN113986858A (zh) * | 2021-12-24 | 2022-01-28 | 北京鲸鲮信息系统技术有限公司 | Linux兼容安卓系统的共享文件操作方法和装置 |
CN115098038A (zh) * | 2022-07-15 | 2022-09-23 | 济南浪潮数据技术有限公司 | 一种挂载目录的绑定方法、装置及其介质 |
CN116049896A (zh) * | 2023-03-29 | 2023-05-02 | 中孚安全技术有限公司 | 一种linux系统下实现数据隔离的方法、系统、设备及介质 |
Non-Patent Citations (3)
Title |
---|
Android平台的一种数据安全隔离方案;刘魁;;科技创新与应用(27);54-55 * |
JFFS2文件系统挂载机制的改进;李杰;鄢萍;彭凯;;计算机应用与软件(08);237-239 * |
沙箱技术比较;蒋文娟;降雪辉;;才智(05);70 * |
Also Published As
Publication number | Publication date |
---|---|
CN116956331A (zh) | 2023-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zdziarski | iPhone forensics: recovering evidence, personal data, and corporate assets | |
US10360017B1 (en) | Updating program packages at distribution endpoint | |
EP3213246B1 (en) | Method and system for geolocation verification of resources | |
US9043312B2 (en) | Identifying symbolic links | |
CN105975328B (zh) | 基于安全虚拟机的日志文件安全审计系统及方法 | |
KR20140131586A (ko) | 비디오 파일 암호화 및 복호화 방법, 디바이스 그리고 모바일 단말 | |
CN113383330A (zh) | 安全容器的创建和执行 | |
US20160226994A1 (en) | Cache control for web application resources | |
WO2017166791A1 (zh) | 应用程序备份方法及装置 | |
Do et al. | Enforcing file system permissions on android external storage: Android file system permissions (afp) prototype and owncloud | |
US8949599B2 (en) | Device management apparatus, method for device management, and computer program product | |
US11620257B2 (en) | Data archive release in context of data object | |
CN106326777A (zh) | 一种系统镜像文件的签名方法、客户端、服务器以及系统 | |
CN116956331B (zh) | 应用于Linux的文件系统加密隔离方法、系统、设备及介质 | |
CN110825400A (zh) | 一种应用程序客户端的证书更新方法和系统 | |
CN109446825B (zh) | 一种访问控制权限的扩展方法及装置 | |
US11200199B2 (en) | System that maintains objects created and modified within designated directories on a per-client basis in a network filesystem | |
US9910662B2 (en) | Selectively migrating applications during an operating system upgrade | |
CN116049896A (zh) | 一种linux系统下实现数据隔离的方法、系统、设备及介质 | |
US20030154221A1 (en) | System and method for accessing file system entities | |
Zdziarski | iOS forensic investigative methods | |
JP2016148904A (ja) | ファイル管理システム及びファイル管理プログラム | |
US20110093848A1 (en) | System for improving a user-space environment | |
EP3336789B1 (fr) | Procédé d'accès à des données partagées dans une arborescence de fichiers gérée par un système de fichiers mettant en oeuvre un mécanisme d'héritage | |
CN112052060A (zh) | 基于容器技术的idv桌面不留密终端、服务器、系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |