WO2016106510A1

WO2016106510A1 - 一种安全防护方法，及装置

Info

Publication number: WO2016106510A1
Application number: PCT/CN2014/095366
Authority: WO
Inventors: 王春生; 彭瑞林; 吴向阳; 颜小亮
Original assignee: 华为技术有限公司
Priority date: 2014-12-29
Filing date: 2014-12-29
Publication date: 2016-07-07
Also published as: CN105518693B; CN105518693A

Abstract

一种安全防护方法，及装置，其中方法的实现包括：启动真实操作系统，在所述真实操作系统中创建虚拟操作系统，并将所述虚拟操作系统置于隔离运行环境中；在所述虚拟操作系统中启动第一进程，在所述真实操作系统中启动第二进程；在接收到来自用户的操作指令后，将所述操作指令重定向到所述第一进程；运行所述第一进程并确定所述操作指令指向所述第二进程后，向所述第二进程发送所述操作指令；运行所述第二进程接收来自所述第一进程的所述操作指令后，确定所述操作指令是否属于可执行命令，若是则执行所述操作指令，否则拒绝执行所述操作指令。本发明实施例提供了防御点集中，并且应用范围广泛的安全防护方案。

Description

一种安全防护方法，及装置

技术领域

本发明涉及存储技术领域，具体涉及一种安全防护方法，及装置。

背景技术

沙箱(Sandbox)提供了程序的隔离运行环境，其目的是限制不可信任的应用程序的权限。沙箱技术经常被用于执行未经测试的或不可信任的应用程序。为了避免不可信任的应用程序破坏其它程序的运行，沙箱技术通过为不可信任的应用程序提供虚拟化的磁盘、内存以及网络资源，而这种虚拟化手段对应用程序来说是透明的。由于沙箱里的资源被虚拟化(或称为被间接化)，所以沙箱里的不可信任的应用程序的恶意行为会被限制在沙箱中。

采用沙箱方案的流程如下：首先在系统中建立一个简化的虚拟文件系统，并创建登录用户；当用户登录时，自动进入虚拟文件系统中，用户的任何文件访问都被限制在虚拟文件系统中。

在沙箱创建完毕后，用户登录后，用户管理模块将用户转移到Sandbox中，用户看到的文件系统是虚拟文件系统。用户只能对虚拟文件系统发送命令，命令也只会被虚拟文件系统执行。

基于以上介绍，沙箱的应用场景是将不可信任的应用程序隔离在沙箱中运行，防止不可信任的应用影响真实操作系统(Operating System，OS)系统。该应用场景无法满足云管理系统(Fusion Manager，FM)等的应用场景，如：FM系统是运行在真实的OS之上，而FM的需求是对真实的OS系统做进一步保护，要求登录系统的用户可查看指定的真实OS的文件内容，防止敏感信息泄露；并且要求可执行真实OS上的命令等。然而目前的沙箱应用范围较窄，不适用FM等应用场景，为这些场景下的程序提供安全防护。

发明内容

本发明实施例提供一种安全防护方法，及装置，用于提供防御点集中，应用范围广泛的安全防护方案。

本发明实施例一方面提供了一种安全防护方法，包括：

启动真实操作系统，在所述真实操作系统中创建虚拟操作系统，并将所述虚拟操作系统置于隔离运行环境中；

在所述虚拟操作系统中启动第一进程，在所述真实操作系统中启动第二进程；在接收到来自用户的操作指令后，将所述操作指令重定向到所述第一进程；

运行所述第一进程并确定所述操作指令指向所述第二进程后，向所述第二进程发送所述操作指令；

运行所述第二进程接收来自所述第一进程的所述操作指令后，确定所述操作指令是否属于可执行命令，若是则执行所述操作指令，否则拒绝执行所述操作指令。

结合一方面的实现方式，在第一种可选的实现方式中，所述确定所述操作指令是否属于可执行命令之前，所述方法还包括：运行所述第二进程获取可执行命令集；

所述确定所述操作指令属于可执行命令包括：确定所述操作指令是否属于所述可执行命令集。

结合一方面的第一种可选的实现方式，在第二种可选的实现方式中，所述运行所述第二进程确定可执行命令集包括：运行所述第二进程确定与发送所述操作指令的用户对应的白名单；

所述确定所述操作指令属于所述可执行命令集包括：

确定所述操作指令是否属于所述白名单中指定的允许执行的指令。

结合一方面的实现方式，在第三种可选的实现方式中，所述操作指令包括：通用调用指令和命令参数；

所述确定所述操作指令是否属于可执行命令包括：运行第二进程获取与所述命令参数对应的签名信息，以及与所述通用调用指令对应的公钥，然后确定使用所述公钥对所述签名信息是否能够验证通过；

所述执行所述操作指令包括：运行所述第二进程执行所述操作指令中的命令参数指定的操作命令。

结合一方面、一方面的第一种、第二种或者第三种可选的实现方式，在第四种可选的实现方式中，其特征在于，所述向所述第二进程发送所述操作指令包括：

运行所述第一进程通过位于所述隔离运行环境内的命令代理将所述操作指令发送给所述第二进程对应的命令服务器。

结合一方面的第四种可能的实现方式，在第五种可选的实现方式中，在运行所述第一进程通过位于所述隔离运行环境内的命令代理将所述操作指令发送给所述第二进程对应的命令服务器之前，还包括：

以网络通讯协议的环回网际协议IP通讯、有名管道/文件，或者绝缘刺穿连接IPC调用的方式建立所述命令代理与所述命令服务器之间的通信连接。

结合一方面的第五种可能的实现方式，在第六种可选的实现方式中，若所述命令代理与所述命令服务器之间之间采用有名管道/文件或者绝缘刺穿连接IPC调用的方式建立通信连接；

所述执行所述操作指令包括：运行所述第二进程执行所述操作指令过程中，从位于所述隔离运行环境内的共享存储空间中获取执行所述操作指令所需要的内容数据。

本发明实施例二方面提供了一种安全防护装置，包括：

系统控制单元，用于启动真实操作系统，在所述真实操作系统中创建虚拟操作系统，并将所述虚拟操作系统置于隔离运行环境中；

进程启动单元，用于在所述虚拟操作系统中启动第一进程，在所述真实操作系统中启动第二进程；

指令定向单元，用于在接收到来自用户的操作指令后，将所述操作指令重定向到所述第一进程；

第一控制单元，用于运行所述第一进程并确定所述操作指令指向所述第二进程后，向所述第二进程发送所述操作指令；

第二控制单元，用于运行所述第二进程接收来自所述第一进程的所述操作指令后，确定所述操作指令是否属于可执行命令，若是则执行所述操作指令，否则拒绝执行所述操作指令。

结合二方面的实现方式，在第一种可选的实现方式中，所述第二控制单元，包括：

命令集获取单元，用于获取可执行命令集；

指令确定单元，用于确定所述操作指令是否属于所述可执行命令集。

结合二方面的第一种可选的实现方式，在第二种可选的实现方式中，

所述命令集获取单元，具体用于确定与发送所述操作指令的用户对应的白名单；

所述指令确定单元，具体用于确定所述操作指令是否属于所述白名单中指定的允许执行的指令。

结合二方面的实现方式，在第三种可选的实现方式中，所述操作指令包括：通用调用指令和命令参数；

所述第二控制单元，具体用于运行第二进程获取与所述命令参数对应的签名信息，以及与所述通用调用指令对应的公钥，然后确定使用所述公钥对所述签名信息是否能够验证通过；运行所述第二进程执行所述操作指令中的命令参数指定的操作命令。

结合二方面、二方面的第一种、第二种或者第三种可选的实现方式，在第四种可选的实现方式中，所述安全防护装置还包括：位于所述隔离运行环境内的命令代理，以及位于所述隔离运行环境外与所述第二进程对应的命令服务器；

所述第一控制单元，具体用于运行所述第一进程通过位于所述隔离运行环境内的命令代理将所述操作指令发送给所述第二进程对应的命令服务器。

结合二方面的第四种可能的实现方式，在第五种可选的实现方式中，

所述命令代理服务器，用于以网络通讯协议的环回网际协议IP通讯、有名管道/文件，或者绝缘刺穿连接IPC调用的方式建立所述命令代理与所述命令服务器之间的通信连接。

结合二方面的第五种可能的实现方式，在第六种可选的实现方式中，若所述命令代理与所述命令服务器之间之间采用有名管道/文件或者绝缘刺穿连接IPC调用的方式建立通信连接；

所述第二控制单元，还用于运行所述第二进程执行所述操作指令过程中，从位于所述隔离运行环境内的共享存储空间中获取执行所述操作指令所需要的内容数据。

本发明实施例三方面还提供了一种安全防护装置，包括：输入设备，处理器和存储器，

所述输入设备，用于接收来自用户的操作指令；

所述处理器，用于启动真实操作系统，在所述真实操作系统中创建虚拟操作系统，并将所述虚拟操作系统置于隔离运行环境中；在所述虚拟操作系统中启动第一进程，在所述真实操作系统中启动第二进程；在所述输入设备接收到来自用户的操作指令后，将所述操作指令重定向到所述第一进程；运行所述第一进程并确定所述操作指令指向所述第二进程后，向所述第二进程发送所述操作指令；运行所述第二进程接收来自所述第一进程的所述操作指令后，确定所述操作指令是否属于可执行命令，若是则执行所述操作指令，否则拒绝执行所述操作指令。

结合三方面的实现方式，在第一种可选的实现方式中，

所述处理器，还用于在确定所述操作指令是否属于可执行命令之前，运行所述第二进程获取可执行命令集；然后，确定所述操作指令是否属于所述可执行命令集。

结合三方面的第一种可选的实现方式，在第二种可选的实现方式中，

所述处理器，具体用于运行所述第二进程确定与发送所述操作指令的用户对应的白名单；确定所述操作指令是否属于所述白名单中指定的允许执行的指令。

结合三方面的实现方式，在第三种可选的实现方式中，所述操作指令包括：通用调用指令和命令参数；

所述处理器，具体用于运行第二进程获取与所述命令参数对应的签名信息，以及与所述通用调用指令对应的公钥，然后确定使用所述公钥对所述签名信息是否能够验证通过；运行所述第二进程执行所述操作指令中的命令参数指定的操作命令。

结合三方面、三方面的第一种、第二种或者第三种可选的实现方式，在第四种可选的实现方式中，

所述处理器，具体用于运行所述第一进程通过位于所述隔离运行环境内的命令代理将所述操作指令发送给所述第二进程对应的命令服务器。

结合三方面的第四种可能的实现方式，在第五种可选的实现方式中，

所述处理器，还用于在运行所述第一进程通过位于所述隔离运行环境内的命令代理将所述操作指令发送给所述第二进程对应的命令服务器之前，以网络通讯协议的环回网际协议IP通讯、有名管道/文件，或者绝缘刺穿连接IPC调用的方式建立所述命令代理与所述命令服务器之间的通信连接。

结合三方面的第五种可能的实现方式，在第六种可选的实现方式中，若所述命令代理与所述命令服务器之间之间采用有名管道/文件或者绝缘刺穿连接IPC调用的方式建立通信连接；

所述处理器，还用于运行所述第二进程执行所述操作指令过程中，从位于所述隔离运行环境内的共享存储空间中获取执行所述操作指令所需要的内容数据。

本发明实施例中的第一进程是操作指令的接收方，可以接收用户的操作指令，第一进程运行在隔离运行环境下，操作指令被限制在隔离运行环境下，可以提供集中防御的功能。由于第一进程还具备了将操作指令发送到隔离机制之外的能力，并且第二进程在验证通过后执行操作指令，否则拒绝执行；因此，用户可以透过隔离运行环境对第二进程下操作指令，扩展了隔离运行环境的应用范围，使之符合FM等应用场景。因此本发明实施例提供了防御点集中，并且应用范围广泛的安全防护方案。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1A是本发明实施方法流程示意图；

图1B是本发明实施系统结构示意图；

图2为本发明实施例系统结构示意图；

图3为本发明实施例系统结构示意图；

图4是本发明实施方法流程示意图；

图5是本发明实施方法流程示意图；

图6是本发明实施安全防护装置结构示意图；

图7是本发明实施安全防护装置结构示意图；

图8是本发明实施安全防护装置结构示意图；

图9是本发明实施安全防护装置结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供一种安全防护方法，如图1A和图1B所示，包括：

101：启动真实操作系统，在上述真实操作系统中创建虚拟操作系统，并将上述虚拟操作系统置于隔离运行环境中；

在图1B所示的系统结构中，真实操作系统(Operating System，OS)系统内运行了虚拟操作系统，虚拟操作系统在隔离运行环境中，隔离运行环境中的虚拟操作系统运行了第一进程，OS中运行了第二进程。

102：在上述虚拟操作系统中启动第一进程，在上述真实操作系统中启动第二进程；在接收到来自用户的操作指令后，将上述操作指令重定向到上述第一进程；

重定向是将用户输入的所有操作指令，首先发往虚拟操作系统一侧，使操作指令发往虚拟操作系统中对应的进程。

103：运行上述第一进程并确定上述操作指令指向上述第二进程后，向上述第二进程发送上述操作指令；

确定操作指令指向第二进程，可以是通过操作指令的操作对象确定的，也可以是根据通过操作指令中用于指示需要发往隔离运行环境以外执行的标识性信息确定，具体如何确定操作指令需要发往隔离运行环境外，本实施例不作唯一性限定。

104：运行上述第二进程接收来自上述第一进程的上述操作指令后，确定上述操作指令是否属于可执行命令，若是则执行上述操作指令，否则拒绝执行上述操作指令。

在本实施例中，可以通过命令集的形式集中管理可执行命令，具体如下：上述确定上述操作指令是否属于可执行命令之前，上述方法还包括：运行上述第二进程获取可执行命令集；

上述确定上述操作指令属于可执行命令包括：确定上述操作指令是否属于上述可执行命令集。

在本实施例中，可执行命令集可以是与用户相关的，也可以是与用户所属的类型如：访客、普通、管理员等，还可以是与操作指令的类型相关的，例如：不会对系统造成损害类别的操作指令，例如：普通的读取操作指令等。可执行命令集可以采用预置的方式存储在真实操作系统一侧。

可选地，集中管理命令集的方式，可以通过白名单的形式对每一个用户进行权限管理，具体实现方案如下：上述运行上述第二进程确定可执行命令集包括：运行上述第二进程确定与发送上述操作指令的用户对应的白名单；

上述确定上述操作指令属于上述可执行命令集包括：

确定上述操作指令是否属于上述白名单中指定的允许执行的指令。

在本实施例中，操作指令可以用于安装软件等类型的操作，针对此类应用环境，本发明实施例还提供了特定的操作指令格式以及对应的鉴权方式，具体如下：上述操作指令包括：通用调用指令和命令参数；

上述确定上述操作指令是否属于可执行命令包括：运行第二进程获取与上述命令参数对应的签名信息，以及与上述通用调用指令对应的公钥，然后确定使用上述公钥对上述签名信息是否能够验证通过；

上述执行上述操作指令包括：运行上述第二进程执行上述操作指令中的命令参数指定的操作命令。

在本实施例中，第一进程一侧可以是通过通用调用指令的关键字确定该操作指令需要发往隔离运行环境之外。

在本实施例中，第一进程和第二进程需要穿透隔离运行环境，本实施例提供了可选的穿透隔离运行环境的实现方案，如下：上述向上述第二进程发送上述操作指令包括：

运行上述第一进程通过位于上述隔离运行环境内的命令代理将上述操作指令发送给上述第二进程对应的命令服务器。

在前一实施例中，操作指令采用命令代理以及命令服务器进行传递，因此命令服务器和命令代理之间会存在通信连接，本实施例还提供了具体可选的通信连接方案，具体如下：在运行上述第一进程通过位于上述隔离运行环境内的命令代理将上述操作指令发送给上述第二进程对应的命令服务器之前，还包括：

以网络通讯协议的环回网际协议(Internet Protocol，IP)通讯、有名管道/文件，或者绝缘刺穿连接(Insulation piercing connection，IPC)调用的方式建立上述命令代理与上述命令服务器之间的通信连接。

在前一实施例中提供了命令服务器和命令代理之间会存在通信连接的可选实现方案，其中在后两种通信方式中，会使用到共享存储空间，在本实施例中优选将存储空间设置在隔离运行环境内部，具体如下：若上述命令代理与上述命令服务器之间之间采用有名管道/文件或者绝缘刺穿连接IPC调用的方式建立通信连接；

上述执行上述操作指令包括：运行上述第二进程执行上述操作指令过程中，从位于上述隔离运行环境内的共享存储空间中获取执行上述操作指令所需要的内容数据。

沙箱提供了一种较为常用的隔离运行环境，在后续实施例中将以沙箱为例对本发明实施例进行举例说明，能够提供隔离运行环境的方案还有很多，例如：Docker，Linux NameSpace等，因此沙箱不应理解为对本发明实施例的唯一性限定。在后续实施例的举例中第一进程对应虚拟文件系统(Virtual Root Filesystem，VRF)一侧的程序和功能模块，第二进程对应真实文件系统(Real Root Filesystem，RRF)一侧的程序和功能模块。

本发明实施例需要在真实的操作系统(Operating System，OS)上启动一个沙箱服务，所有针对上述真实OS的登录，都重定向到沙箱中。另外，将指向真实OS的操作命令通过代理的方式穿透沙箱。文件系统需要的文件则可以通过文件映射机制映射到沙箱中。

在本实施例中，沙箱是指具有隔离特性的应用，提供了隔离运行环境，本发明实施例中的沙箱的创建过程可以如下：首先在真实文件系统上创建一个小虚拟OS，包含OS的基础目录与文件；然后，将所有登录的用户重定向到虚拟OS系统。类似的具有隔离特性的应用还有Docker，Linux NameSpace等，本发明方案可以采用它们为来实现，下面就以Sanbox为样例，介绍本发明方案。

如下图2和图3所示的系统，在沙箱中提供了可供用户执行的壳(shell)命令以及共享存储空间，在共享存储空间中可以存放共享数据，当登录到沙箱中的用户需要执行shell命令时，shell命令由第一程序接收到转给命令代理(Cmd-Agent)，通过Cmd-Agent发送到真实OS上执行；图2和图3所示的系统中，用户查看共享存储空间中的共享数据时，相当于查看真实OS上的数据。Shell命令可以包括但不限于ps，df，upgrade。

如果采用图2所示的结构，那么第二程序会接收到Cmd-Agent转发的命令，第二程序通过用户命令列表(Customer Cmd-list)中记录的命令来判断命令代理发送的命令是否能够被执行。

如果采用图3所示的结构，那么在真实OS一侧命令服务器(Cmd-Server)会先接收到Cmd-Agent发送的命令，命令服务器会通过用户命令列表(Customer Cmd-list)中记录的命令来判断命令代理发送的命令是否能够被执行，如果能该执行那么Cmd-Server将接收到的命令转发给第二程序。

以上图2和图3中的共享存储空间是可选的，如果命令代理和命令服务器采用TCP连接等方式实现，则可以没有共享存储空间。

以下实施例将分别就沙箱中命令代理机制、白名单控制以及软件安全防护进行举例说明。

一、以下实施例将结合图4对本发明实施例沙箱中命令代理机制进行说明。

命令代理主要涉及的是内置于沙箱中的Cmd-Agent和运行在RRF中的 Cmd-Server；沙箱采用的是VRF环境下，因此Cmd-Agent内置于VRF环境下；Cmd-Agent与Cmd-Server可以通过传输控制协议(Transmission Control Protocol，TCP)建立通信连接；用户在沙箱中发出的命令通过Cmd-Agent发送到Cmd-Server，从而代理到RRF中执行，执行结果报文再通过Cmd-Server发送到Cmd-Agent从而返回到沙箱。具体流程图4所示：

401：用户通过在VRF一侧的沙箱中请求执行cmd-xxx，例如执行执行ps命令，PS命令由第一程序获得。

402：第一程序将获得的PS命令转发给命令代理(Cmd-Agent)。

403：Cmd-Agent将PS命令转发给RRF上的命令服务器(Cmd-Server)。

404：Cmd-Server会预加载白名单，Cmd-Server判断PS命令是否存在于白名单中，如果不存在，可以提示“该命令不存在”；如果存在，则将PS命令转发给第二程序；

405：第二程序则按照白名单中的配置，执行RRF中对应的命令得到执行结果，然后返回执行结果给用户侧的第一程序。

在本实施例中，Cmd-Agent与Cmd-server的通讯方式是采用的是TCP协议建立的通信连接。在本实施例中，Cmd-Agent与Cmd-server的通讯方式可以是：

1、互联网协议(Internet Protocol，IP)、TCP、用户数据报文协议(User Datagram Protocol ，UDP)，或者流控制传送协议(Stream Control Transmission Protocol，SCTP)等网络通讯协议，通过环回IP通讯。如：Cmd-server监听在127.0.0.1:12345端口上，Cmd-Agent与127.0.0.1:12345建立TCP链接并进行通信。

2、有名管道/文件，如：Cmd-server和Cmd_Agent通过名为127001_input/out的管道/文件进行消息交互，其中127001_input/out的管道/文件对于Sanbox或真实OS是共享的。

3、绝缘刺穿连接(Insulation Piercing Connection，IPC)系统调用，如内核消息队列，共享内存。更具体地，例如：Cmd-server和Cmd_Agent通过名为127001_input/out的消息队列/共享内存块进行消息交互，其中127001_input/out的消息队列/共享内存块对于Sanbox或真实OS是共享的。

二、白名单控制，白名单是预置的用于RRF一侧确定VRF一侧发送来的操作指令是否属于可执行命令的配置信息。

下面截取了本发明实施例中的白名单的几个关键部分：共享数据、命令硬链接、命令白名单，详细解释见下表所示：

#bind directory

bind /var/log /var/log 0755 0 0 nodev,noexec

#上述配置表示将RRF上的/var/log目录映射到沙箱中的/var/log目录，映射权限为755，通过该配置#实现了RRF的数据与沙箱的共享。

#hard link or copy file

hlink /bin/ls /bin/ls 0755 0 0

#上述配置表示将RRF上的/bin/ls命令链接到沙箱中，使沙箱中也具备了ls命令，但是该命令的执

#行空间为VRF，一般用于保证沙箱的命令执行体验与RRF一致。

#command list

cmd root root vsftpd /opt/goku/service/ha/module/harm/plugin/script/vsftpd.sh

cmd - - passwd /usr/bin/passwd

#上述配置表示沙箱中的vsftpd命令是RRF中#/opt/goku/service/ha/module/harm/plugin/script/vsftpd.sh命令的代理，也即vsftpd命令的最终执行空#间为RRF。其中“root root”表示在RRF中以root用户、root组的身份执行#/opt/goku/service/ha/module/harm/plugin/script/vsftpd.sh命令。如果为“--”(举例：上述列表中#passwd命令)则表示以登录沙箱用户、用户组的身份在RRF中来执行相应命令。

三、软件安装防护

在实际应用场景下，用户存在在OS(RRF一侧)上安装软件的需求，本实施例为满足这一需求，同时为了防止非法用户安装恶意软件或执行恶意脚本提供了一个通用的Anycmd命令，用户可以通过该命令在沙箱中执行任意RRF中的命令，但是在RRF中执行命令之前需要做签名验证。

本实施例执行之前需要预置一些信息，具体如下：在真实的OS安装完成之后，管理员可以使用Openssl等工具生成公私钥对，公钥可以通过updateCA命令上传到真实的OS中，私钥由用户保管。用户在执行任意命令的详细流程如下图5所示，以执行install命令为例，用户将要被执行的install命令及该命令的签名文件上传到系统中指定位置(共享数据区)。用户需要向RRF发送Anycmd类的命令时，使用用户自己保管的私钥对将要执行的命令进行签名。具体流程如下：

501：用户通过在VRF一侧的沙箱中运行的第一程序向命令代理(Cmd-Agent)发送Anycmd install命令；其中Anycmd为执行任意命令关键字，install是Anycmd的参数。

502：Cmd-Agent穿透沙箱将Anycmd install转发给Cmd-Server。

503：Cmd-Server会预加载白名单，并通过白名单确定上述用户是否具有Anycmd install的权限，如果有，Cmd-Server调用Anycmd命令将参数install传入第二程序。可以理解的是，如果没有，则可以拒绝执行Anycmd install。

504：第二程序在install参数对应的命令目录读取签名信息，并使用用户预置的公钥进行签名验证，如果验证失败，则提示“非法命令”，如果验证成功，则执行install参数对应的操作命令。

505：逐级返回Anycmd install的执行结果报文给用户。

本发明实施例还提供了一种安全防护装置，如图6所示，包括：

系统控制单元601，用于启动真实操作系统，在上述真实操作系统中创建虚拟操作系统，并将上述虚拟操作系统置于隔离运行环境中；

进程启动单元602，用于在上述虚拟操作系统中启动第一进程，在上述真实操作系统中启动第二进程；

指令定向单元603，用于在接收到来自用户的操作指令后，将上述操作指令重定向到上述第一进程；

第一控制单元604，用于运行上述第一进程并确定上述操作指令指向上述第二进程后，向上述第二进程发送上述操作指令；

第二控制单元605，用于运行上述第二进程接收来自上述第一进程的上述操作指令后，确定上述操作指令是否属于可执行命令，若是则执行上述操作指令，否则拒绝执行上述操作指令。

在本实施例中，可以通过命令集的形式集中管理可执行命令，具体如下：如图7所示，上述第二控制单元605，包括：

命令集获取单元701，用于获取可执行命令集；

指令确定单元702，用于确定上述操作指令是否属于上述可执行命令集。

可选地，集中管理命令集的方式，可以通过白名单的形式对每一个用户进行权限管理，具体实现方案如下：上述命令集获取单元701，具体用于确定与发送上述操作指令的用户对应的白名单；

上述指令确定单元702，具体用于确定上述操作指令是否属于上述白名单中指定的允许执行的指令。

上述第二控制单元605，具体用于运行第二进程获取与上述命令参数对应的签名信息，以及与上述通用调用指令对应的公钥，然后确定使用上述公钥对上述签名信息是否能够验证通过；运行上述第二进程执行上述操作指令中的命令参数指定的操作命令。

在本实施例中，第一进程和第二进程需要穿透隔离运行环境，本实施例提供了可选的穿透隔离运行环境的实现方案，如下：如图8所示，上述安全防护装置还包括：位于上述隔离运行环境内的命令代理801，以及位于上述隔离运行环境外与上述第二进程对应的命令服务器802；

上述第一控制单元604，具体用于运行上述第一进程通过位于上述隔离运行环境内的命令代理801将上述操作指令发送给上述第二进程对应的命令服务器802。

在前一实施例中，操作指令采用命令代理以及命令服务器进行传递，因此命令服务器和命令代理之间会存在通信连接，本实施例还提供了具体可选的通信连接方案，具体如下：上述命令代理服务器501，用于以网络通讯协议的环回网际协议IP通讯、有名管道/文件，或者绝缘刺穿连接IPC调用的方式建立上述命令代理与上述命令服务器802之间的通信连接。

上述第二控制单元605，还用于运行上述第二进程执行上述操作指令过程中，从位于上述隔离运行环境内的共享存储空间中获取执行上述操作指令所需要的内容数据。

本发明实施例还提供了一种安全防护装置，如图9所示，包括：输入设备901，处理器902和存储器903，其中存储器903可以用于处理器902的数据处理过程中的数据缓存，也可以提供处理器902在数据处理过程中调用进程需要占用的存储空间；

其中，上述输入设备901，用于接收来自用户的操作指令；

上述处理器902，用于启动真实操作系统，在上述真实操作系统中创建虚拟操作系统，并将上述虚拟操作系统置于隔离运行环境中；在上述虚拟操作系统中启动第一进程，在上述真实操作系统中启动第二进程；在上述输入设备901接收到来自用户的操作指令后，将上述操作指令重定向到上述第一进程；运行上述第一进程并确定上述操作指令指向上述第二进程后，向上述第二进程发送上述操作指令；运行上述第二进程接收来自上述第一进程的上述操作指令后，确定上述操作指令是否属于可执行命令，若是则执行上述操作指令，否则拒绝执行上述操作指令。

在本实施例中，可以通过命令集的形式集中管理可执行命令，具体如下：上述处理器902，还用于在确定上述操作指令是否属于可执行命令之前，运行上述第二进程获取可执行命令集；然后，确定上述操作指令是否属于上述可执行命令集。

可选地，集中管理命令集的方式，可以通过白名单的形式对每一个用户进行权限管理，具体实现方案如下：上述处理器902，具体用于运行上述第二进程确定与发送上述操作指令的用户对应的白名单；确定上述操作指令是否属于上述白名单中指定的允许执行的指令。

上述处理器902，具体用于运行第二进程获取与上述命令参数对应的签名信息，以及与上述通用调用指令对应的公钥，然后确定使用上述公钥对上述签名信息是否能够验证通过；运行上述第二进程执行上述操作指令中的命令参数指定的操作命令。

在本实施例中，第一进程和第二进程需要穿透隔离运行环境，本实施例提供了可选的穿透隔离运行环境的实现方案，如下：上述处理器902，具体用于运行上述第一进程通过位于上述隔离运行环境内的命令代理将上述操作指令发送给上述第二进程对应的命令服务器。

在前一实施例中，操作指令采用命令代理以及命令服务器进行传递，因此命令服务器和命令代理之间会存在通信连接，本实施例还提供了具体可选的通信连接方案，具体如下：上述处理器902，还用于在运行上述第一进程通过位于上述隔离运行环境内的命令代理将上述操作指令发送给上述第二进程对应的命令服务器之前，以网络通讯协议的环回网际协议IP通讯、有名管道/文件，或者绝缘刺穿连接IPC调用的方式建立上述命令代理与上述命令服务器之间的通信连接。

上述处理器902，还用于运行上述第二进程执行上述操作指令过程中，从位于上述隔离运行环境内的共享存储空间中获取执行上述操作指令所需要的内容数据。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器(ROM，Read Only Memory)、随机存取记忆体(RAM，Random Access Memory)、磁盘或光盘等。

以上对本发明实施例所提供的一种移动性管理方法、装置和系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

一种安全防护方法，其特征在于，包括：

启动真实操作系统，在所述真实操作系统中创建虚拟操作系统，并将所述虚拟操作系统置于隔离运行环境中；

在所述虚拟操作系统中启动第一进程，在所述真实操作系统中启动第二进程；在接收到来自用户的操作指令后，将所述操作指令重定向到所述第一进程；

运行所述第一进程并确定所述操作指令指向所述第二进程后，向所述第二进程发送所述操作指令；

运行所述第二进程接收来自所述第一进程的所述操作指令后，确定所述操作指令是否属于可执行命令，若是则执行所述操作指令，否则拒绝执行所述操作指令。
根据权利要求1所述方法，其特征在于，所述确定所述操作指令是否属于可执行命令之前，所述方法还包括：运行所述第二进程获取可执行命令集；

所述确定所述操作指令属于可执行命令包括：确定所述操作指令是否属于所述可执行命令集。
根据权利要求2所述方法，其特征在于，所述运行所述第二进程确定可执行命令集包括：运行所述第二进程确定与发送所述操作指令的用户对应的白名单；

所述确定所述操作指令属于所述可执行命令集包括：

确定所述操作指令是否属于所述白名单中指定的允许执行的指令。
根据权利要求1所述方法，其特征在于，所述操作指令包括：通用调用指令和命令参数；

所述确定所述操作指令是否属于可执行命令包括：运行第二进程获取与所述命令参数对应的签名信息，以及与所述通用调用指令对应的公钥，然后确定使用所述公钥对所述签名信息是否能够验证通过；

所述执行所述操作指令包括：运行所述第二进程执行所述操作指令中的命令参数指定的操作命令。
根据权利要求1至4任意一项所述方法，其特征在于，所述向所述第二进程发送所述操作指令包括：

运行所述第一进程通过位于所述隔离运行环境内的命令代理将所述操作指令发送给所述第二进程对应的命令服务器。
根据权利要求5所述方法，其特征在于，在运行所述第一进程通过位于所述隔离运行环境内的命令代理将所述操作指令发送给所述第二进程对应的命令服务器之前，还包括：

以网络通讯协议的环回网际协议IP通讯、有名管道/文件，或者绝缘刺穿连接IPC调用的方式建立所述命令代理与所述命令服务器之间的通信连接。
根据权利要求6所述方法，其特征在于，若所述命令代理与所述命令服务器之间之间采用有名管道/文件或者绝缘刺穿连接IPC调用的方式建立通信连接；

所述执行所述操作指令包括：运行所述第二进程执行所述操作指令过程中，从位于所述隔离运行环境内的共享存储空间中获取执行所述操作指令所需要的内容数据。
一种安全防护装置，其特征在于，包括：

系统控制单元，用于启动真实操作系统，在所述真实操作系统中创建虚拟操作系统，并将所述虚拟操作系统置于隔离运行环境中；

进程启动单元，用于在所述虚拟操作系统中启动第一进程，在所述真实操作系统中启动第二进程；

指令定向单元，用于在接收到来自用户的操作指令后，将所述操作指令重定向到所述第一进程；

第一控制单元，用于运行所述第一进程并确定所述操作指令指向所述第二进程后，向所述第二进程发送所述操作指令；

第二控制单元，用于运行所述第二进程接收来自所述第一进程的所述操作指令后，确定所述操作指令是否属于可执行命令，若是则执行所述操作指令，否则拒绝执行所述操作指令。
根据权利要求8所述安全防护装置，其特征在于，所述第二控制单元，包括：

命令集获取单元，用于获取可执行命令集；

指令确定单元，用于确定所述操作指令是否属于所述可执行命令集。
根据权利要求9所述安全防护装置，其特征在于，

所述命令集获取单元，具体用于确定与发送所述操作指令的用户对应的白名单；

所述指令确定单元，具体用于确定所述操作指令是否属于所述白名单中指定的允许执行的指令。
根据权利要求8所述安全防护装置，其特征在于，所述操作指令包括：通用调用指令和命令参数；

所述第二控制单元，具体用于运行第二进程获取与所述命令参数对应的签名信息，以及与所述通用调用指令对应的公钥，然后确定使用所述公钥对所述签名信息是否能够验证通过；运行所述第二进程执行所述操作指令中的命令参数指定的操作命令。
根据权利要求8至11任意一项所述安全防护装置，其特征在于，所述安全防护装置还包括：位于所述隔离运行环境内的命令代理，以及位于所述隔离运行环境外与所述第二进程对应的命令服务器；

所述第一控制单元，具体用于运行所述第一进程通过位于所述隔离运行环境内的命令代理将所述操作指令发送给所述第二进程对应的命令服务器。
根据权利要求12所述安全防护装置，其特征在于，

所述命令代理服务器，用于以网络通讯协议的环回网际协议IP通讯、有名管道/文件，或者绝缘刺穿连接IPC调用的方式建立所述命令代理与所述命令服务器之间的通信连接。
根据权利要求13所述安全防护装置，其特征在于，若所述命令代理与所述命令服务器之间之间采用有名管道/文件或者绝缘刺穿连接IPC调用的方式建立通信连接；

所述第二控制单元，还用于运行所述第二进程执行所述操作指令过程中，从位于所述隔离运行环境内的共享存储空间中获取执行所述操作指令所需要的内容数据。
一种安全防护装置，包括：输入设备，处理器和存储器，其特征在于，

所述输入设备，用于接收来自用户的操作指令；

所述处理器，用于启动真实操作系统，在所述真实操作系统中创建虚拟操作系统，并将所述虚拟操作系统置于隔离运行环境中；在所述虚拟操作系统中启动第一进程，在所述真实操作系统中启动第二进程；在所述输入设备接收到来自用户的操作指令后，将所述操作指令重定向到所述第一进程；运行所述第一进程并确定所述操作指令指向所述第二进程后，向所述第二进程发送所述操作指令；运行所述第二进程接收来自所述第一进程的所述操作指令后，确定所述操作指令是否属于可执行命令，若是则执行所述操作指令，否则拒绝执行所述操作指令。
根据权利要求15所述安全防护装置，其特征在于，

所述处理器，还用于在确定所述操作指令是否属于可执行命令之前，运行所述第二进程获取可执行命令集；然后，确定所述操作指令是否属于所述可执行命令集。
根据权利要求16所述安全防护装置，其特征在于，

所述处理器，具体用于运行所述第二进程确定与发送所述操作指令的用户对应的白名单；确定所述操作指令是否属于所述白名单中指定的允许执行的指令。
根据权利要求15所述安全防护装置，其特征在于，所述操作指令包括：通用调用指令和命令参数；

所述处理器，具体用于运行第二进程获取与所述命令参数对应的签名信息，以及与所述通用调用指令对应的公钥，然后确定使用所述公钥对所述签名信息是否能够验证通过；运行所述第二进程执行所述操作指令中的命令参数指定的操作命令。
根据权利要求15至18任意一项所述安全防护装置，其特征在于，

所述处理器，具体用于运行所述第一进程通过位于所述隔离运行环境内的命令代理将所述操作指令发送给所述第二进程对应的命令服务器。
根据权利要求19所述安全防护装置，其特征在于，

所述处理器，还用于在运行所述第一进程通过位于所述隔离运行环境内的命令代理将所述操作指令发送给所述第二进程对应的命令服务器之前，以网络通讯协议的环回网际协议IP通讯、有名管道/文件，或者绝缘刺穿连接IPC调用的方式建立所述命令代理与所述命令服务器之间的通信连接。
根据权利要求20所述安全防护装置，其特征在于，若所述命令代理与所述命令服务器之间之间采用有名管道/文件或者绝缘刺穿连接IPC调用的方式建立通信连接；

所述处理器，还用于运行所述第二进程执行所述操作指令过程中，从位于所述隔离运行环境内的共享存储空间中获取执行所述操作指令所需要的内容数据。