一種安全防護(hù)方法，及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及存儲(chǔ)技術(shù)領(lǐng)域，具體涉及一種安全防護(hù)方法，及裝置。
【背景技術(shù)】
[0002]沙箱(Sandbox)提供了程序的隔離運(yùn)行環(huán)境，其目的是限制不可信任的應(yīng)用程序的權(quán)限。沙箱技術(shù)經(jīng)常被用于執(zhí)行未經(jīng)測(cè)試的或不可信任的應(yīng)用程序。為了避免不可信任的應(yīng)用程序破壞其它程序的運(yùn)行，沙箱技術(shù)通過為不可信任的應(yīng)用程序提供虛擬化的磁盤、內(nèi)存以及網(wǎng)絡(luò)資源，而這種虛擬化手段對(duì)應(yīng)用程序來說是透明的。由于沙箱里的資源被虛擬化(或稱為被間接化)，所以沙箱里的不可信任的應(yīng)用程序的惡意行為會(huì)被限制在沙箱中。
[0003]采用沙箱方案的流程如下:首先在系統(tǒng)中建立一個(gè)簡化的虛擬文件系統(tǒng)，并創(chuàng)建登錄用戶；當(dāng)用戶登錄時(shí)，自動(dòng)進(jìn)入虛擬文件系統(tǒng)中，用戶的任何文件訪問都被限制在虛擬文件系統(tǒng)中。
[0004]在沙箱創(chuàng)建完畢后，用戶登錄后，用戶管理模塊將用戶轉(zhuǎn)移到Sandbox中，用戶看到的文件系統(tǒng)是虛擬文件系統(tǒng)。用戶只能對(duì)虛擬文件系統(tǒng)發(fā)送命令，命令也只會(huì)被虛擬文件系統(tǒng)執(zhí)行。
[0005]基于以上介紹，沙箱的應(yīng)用場(chǎng)景是將不可信任的應(yīng)用程序隔離在沙箱中運(yùn)行，防止不可信任的應(yīng)用影響真實(shí)操作系統(tǒng)(Operating System,OS)系統(tǒng)。該應(yīng)用場(chǎng)景無法滿足云管理系統(tǒng)(Fus1n Manager，F(xiàn)M)等的應(yīng)用場(chǎng)景，如:FM系統(tǒng)是運(yùn)行在真實(shí)的OS之上，而FM的需求是對(duì)真實(shí)的OS系統(tǒng)做進(jìn)一步保護(hù)，要求登錄系統(tǒng)的用戶可查看指定的真實(shí)OS的文件內(nèi)容，防止敏感信息泄露；并且要求可執(zhí)行真實(shí)OS上的命令等。然而目前的沙箱應(yīng)用范圍較窄，不適用FM等應(yīng)用場(chǎng)景，為這些場(chǎng)景下的程序提供安全防護(hù)。

【發(fā)明內(nèi)容】

[0006]本發(fā)明實(shí)施例提供一種安全防護(hù)方法，及裝置，用于提供防御點(diǎn)集中，應(yīng)用范圍廣泛的安全防護(hù)方案。
[0007]本發(fā)明實(shí)施例一方面提供了一種安全防護(hù)方法，包括:
[0008]啟動(dòng)真實(shí)操作系統(tǒng)，在所述真實(shí)操作系統(tǒng)中創(chuàng)建虛擬操作系統(tǒng)，并將所述虛擬操作系統(tǒng)置于隔離運(yùn)行環(huán)境中；
[0009]在所述虛擬操作系統(tǒng)中啟動(dòng)第一進(jìn)程，在所述真實(shí)操作系統(tǒng)中啟動(dòng)第二進(jìn)程；在接收到來自用戶的操作指令后，將所述操作指令重定向到所述第一進(jìn)程；
[0010]運(yùn)行所述第一進(jìn)程并確定所述操作指令指向所述第二進(jìn)程后，向所述第二進(jìn)程發(fā)送所述操作指令；
[0011]運(yùn)行所述第二進(jìn)程接收來自所述第一進(jìn)程的所述操作指令后，確定所述操作指令是否屬于可執(zhí)行命令，若是則執(zhí)行所述操作指令，否則拒絕執(zhí)行所述操作指令。
[0012]結(jié)合一方面的實(shí)現(xiàn)方式，在第一種可選的實(shí)現(xiàn)方式中，所述確定所述操作指令是否屬于可執(zhí)行命令之前，所述方法還包括:運(yùn)行所述第二進(jìn)程獲取可執(zhí)行命令集；
[0013]所述確定所述操作指令屬于可執(zhí)行命令包括:確定所述操作指令是否屬于所述可執(zhí)行命令集。
[0014]結(jié)合一方面的第一種可選的實(shí)現(xiàn)方式，在第二種可選的實(shí)現(xiàn)方式中，所述運(yùn)行所述第二進(jìn)程確定可執(zhí)行命令集包括:運(yùn)行所述第二進(jìn)程確定與發(fā)送所述操作指令的用戶對(duì)應(yīng)的白名單；
[0015]所述確定所述操作指令屬于所述可執(zhí)行命令集包括:
[0016]確定所述操作指令是否屬于所述白名單中指定的允許執(zhí)行的指令。
[0017]結(jié)合一方面的實(shí)現(xiàn)方式，在第三種可選的實(shí)現(xiàn)方式中，所述操作指令包括:通用調(diào)用指令和命令參數(shù)；
[0018]所述確定所述操作指令是否屬于可執(zhí)行命令包括:運(yùn)行第二進(jìn)程獲取與所述命令參數(shù)對(duì)應(yīng)的簽名信息，以及與所述通用調(diào)用指令對(duì)應(yīng)的公鑰，然后確定使用所述公鑰對(duì)所述簽名信息是否能夠驗(yàn)證通過；
[0019]所述執(zhí)行所述操作指令包括:運(yùn)行所述第二進(jìn)程執(zhí)行所述操作指令中的命令參數(shù)指定的操作命令。
[0020]結(jié)合一方面、一方面的第一種、第二種或者第三種可選的實(shí)現(xiàn)方式，在第四種可選的實(shí)現(xiàn)方式中，其特征在于，所述向所述第二進(jìn)程發(fā)送所述操作指令包括:
[0021]運(yùn)行所述第一進(jìn)程通過位于所述隔離運(yùn)行環(huán)境內(nèi)的命令代理將所述操作指令發(fā)送給所述第二進(jìn)程對(duì)應(yīng)的命令服務(wù)器。
[0022]結(jié)合一方面的第四種可能的實(shí)現(xiàn)方式，在第五種可選的實(shí)現(xiàn)方式中，在運(yùn)行所述第一進(jìn)程通過位于所述隔離運(yùn)行環(huán)境內(nèi)的命令代理將所述操作指令發(fā)送給所述第二進(jìn)程對(duì)應(yīng)的命令服務(wù)器之前，還包括:
[0023]以網(wǎng)絡(luò)通訊協(xié)議的環(huán)回網(wǎng)際協(xié)議IP通訊、有名管道/文件，或者絕緣刺穿連接IPC調(diào)用的方式建立所述命令代理與所述命令服務(wù)器之間的通信連接。
[0024]結(jié)合一方面的第五種可能的實(shí)現(xiàn)方式，在第六種可選的實(shí)現(xiàn)方式中，若所述命令代理與所述命令服務(wù)器之間之間采用有名管道/文件或者絕緣刺穿連接IPC調(diào)用的方式建立通信連接；
[0025]所述執(zhí)行所述操作指令包括:運(yùn)行所述第二進(jìn)程執(zhí)行所述操作指令過程中，從位于所述隔離運(yùn)行環(huán)境內(nèi)的共享存儲(chǔ)空間中獲取執(zhí)行所述操作指令所需要的內(nèi)容數(shù)據(jù)。
[0026]本發(fā)明實(shí)施例二方面提供了一種安全防護(hù)裝置，包括:
[0027]系統(tǒng)控制單元，用于啟動(dòng)真實(shí)操作系統(tǒng)，在所述真實(shí)操作系統(tǒng)中創(chuàng)建虛擬操作系統(tǒng)，并將所述虛擬操作系統(tǒng)置于隔離運(yùn)行環(huán)境中；
[0028]進(jìn)程啟動(dòng)單元，用于在所述虛擬操作系統(tǒng)中啟動(dòng)第一進(jìn)程，在所述真實(shí)操作系統(tǒng)中啟動(dòng)第二進(jìn)程；
[0029]指令定向單元，用于在接收到來自用戶的操作指令后，將所述操作指令重定向到所述第一進(jìn)程；
[0030]第一控制單元，用于運(yùn)行所述第一進(jìn)程并確定所述操作指令指向所述第二進(jìn)程后，向所述第二進(jìn)程發(fā)送所述操作指令；
[0031]第二控制單元，用于運(yùn)行所述第二進(jìn)程接收來自所述第一進(jìn)程的所述操作指令后，確定所述操作指令是否屬于可執(zhí)行命令，若是則執(zhí)行所述操作指令，否則拒絕執(zhí)行所述操作指令。
[0032]結(jié)合二方面的實(shí)現(xiàn)方式，在第一種可選的實(shí)現(xiàn)方式中，所述第二控制單元，包括:
[0033]命令集獲取單元，用于獲取可執(zhí)行命令集；
[0034]指令確定單元，用于確定所述操作指令是否屬于所述可執(zhí)行命令集。
[0035]結(jié)合二方面的第一種可選的實(shí)現(xiàn)方式，在第二種可選的實(shí)現(xiàn)方式中，
[0036]所述命令集獲取單元，具體用于確定與發(fā)送所述操作指令的用戶對(duì)應(yīng)的白名單；
[0037]所述指令確定單元，具體用于確定所述操作指令是否屬于所述白名單中指定的允許執(zhí)行的指令。
[0038]結(jié)合二方面的實(shí)現(xiàn)方式，在第三種可選的實(shí)現(xiàn)方式中，所述操作指令包括:通用調(diào)用指令和命令參數(shù)；
[0039]所述第二控制單元，具體用于運(yùn)行第二進(jìn)程獲取與所述命令參數(shù)對(duì)應(yīng)的簽名信息，以及與所述通用調(diào)用指令對(duì)應(yīng)的公鑰，然后確定使用所述公鑰對(duì)所述簽名信息是否能夠驗(yàn)證通過；運(yùn)行所述第二進(jìn)程執(zhí)行所述操作指令中的命令參數(shù)指定的操作命令。
[0040]結(jié)合二方面、二方面的第一種、第二種或者第三種可選的實(shí)現(xiàn)方式，在第四種可選的實(shí)現(xiàn)方式中，所述安全防護(hù)裝置還包括:位于所述隔離運(yùn)行環(huán)境內(nèi)的命令代理，以及位于所述隔離運(yùn)行環(huán)境外與所述第二進(jìn)程對(duì)應(yīng)的命令服務(wù)器；
[0041]所述第一控制單元，具體用于運(yùn)行所述第一進(jìn)程通過位于所述隔離運(yùn)行環(huán)境內(nèi)的命令代理將所述操作指令發(fā)送給所述第二進(jìn)程對(duì)應(yīng)的命令服務(wù)器。
[0042]結(jié)合二方面的第四種可能的實(shí)現(xiàn)方式，在第五種可選的實(shí)現(xiàn)方式中，
[0043]所述命令代理服務(wù)器，用于以網(wǎng)絡(luò)通訊協(xié)議的環(huán)回網(wǎng)際協(xié)議IP通訊、有名管道/文件，或者絕緣刺穿連接IPC調(diào)用的方式建立所述命令代理與所述命令服務(wù)器之間的通信連接。
[0044]結(jié)合二方面的第五種可能的實(shí)現(xiàn)方式，在第六種可選的實(shí)現(xiàn)方式中，若所述命令代理與所述命令服務(wù)器之間之間采用有名管道/文件或者絕緣刺穿連接IPC調(diào)用的方式建立通信連接；
[0045]所述第二控制單元，還用于運(yùn)行所述第二進(jìn)程執(zhí)行所述操作指令過程中，從位于所述隔離運(yùn)行環(huán)境內(nèi)的共享存儲(chǔ)空間中獲取執(zhí)行所述操作指令所需要的內(nèi)容數(shù)據(jù)。
[0046]本發(fā)明實(shí)施例三方面還提供了一種安全防護(hù)裝置，包括:輸入設(shè)備，處理器和存儲(chǔ)器，
[0047]所述輸入設(shè)備，用于接收來自用戶的操作指令；
[0048]所述處理器，用于啟動(dòng)真實(shí)操作系統(tǒng)，在所述真實(shí)操作系統(tǒng)中創(chuàng)建虛擬操作系統(tǒng)，并將所述虛擬操作系統(tǒng)置于隔離運(yùn)行環(huán)境中；在所述虛擬操作系統(tǒng)中啟動(dòng)第一進(jìn)程，在所述真實(shí)操作系統(tǒng)中啟動(dòng)第二進(jìn)程；在所述輸入設(shè)備接收到來自用戶的操作指令后，將所述操作指令重定向到所述第一進(jìn)程；運(yùn)行所述第一進(jìn)程并確定所述操作指令指向所述第二進(jìn)程后，向所述第二進(jìn)程發(fā)送所述操作指令；運(yùn)行所述第二進(jìn)程接收來自所述第一進(jìn)程的所述操作指令后，確定所述操作指令是否屬于可執(zhí)行命令，若是則執(zhí)行所述操作指令，否則拒絕執(zhí)行所述操作指令。
[0049]結(jié)合三方面的實(shí)現(xiàn)方式，在第一種可選的實(shí)現(xiàn)方式中，
[0050]所述處理器，還用于在確定所述操作指令是否屬于可執(zhí)行命令之前，運(yùn)行所述第二進(jìn)程獲取可執(zhí)行命令集；然后，確定所述操作指令是否屬于所述可執(zhí)行命令集。
[0051]結(jié)合三方面的第一種可選的實(shí)現(xiàn)方式，在第二種可選的實(shí)現(xiàn)方式中，
[0052]所述處理器，具體用于運(yùn)行所述第二進(jìn)程確定與發(fā)送所述操作指令的用戶對(duì)應(yīng)的白名單；確定所述操作指令是否屬于所述白名單中指定的允許執(zhí)行的指令。
[0053]結(jié)合三方面的實(shí)現(xiàn)方式，在第三種可選的實(shí)現(xiàn)方式中，所述操