一种安全防护方法，及装置制造方法及图纸

一种安全防护方法，及装置，其中方法的实现包括：启动真实操作系统，在所述真实操作系统中创建虚拟操作系统，并将所述虚拟操作系统置于隔离运行环境中；在所述虚拟操作系统中启动第一进程，在所述真实操作系统中启动第二进程；在接收到来自用户的操作指令后，将所述操作指令重定向到所述第一进程；运行所述第一进程并确定所述操作指令指向所述第二进程后，向所述第二进程发送所述操作指令；运行所述第二进程接收来自所述第一进程的所述操作指令后，确定所述操作指令是否属于可执行命令，若是则执行所述操作指令，否则拒绝执行所述操作指令。本发明专利技术实施例提供了防御点集中，并且应用范围广泛的安全防护方案。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及存储
，具体涉及一种安全防护方法，及装置。
技术介绍
沙箱(Sandbox)提供了程序的隔离运行环境，其目的是限制不可信任的应用程序的权限。沙箱技术经常被用于执行未经测试的或不可信任的应用程序。为了避免不可信任的应用程序破坏其它程序的运行，沙箱技术通过为不可信任的应用程序提供虚拟化的磁盘、内存以及网络资源，而这种虚拟化手段对应用程序来说是透明的。由于沙箱里的资源被虚拟化(或称为被间接化)，所以沙箱里的不可信任的应用程序的恶意行为会被限制在沙箱中。采用沙箱方案的流程如下：首先在系统中建立一个简化的虚拟文件系统，并创建登录用户；当用户登录时，自动进入虚拟文件系统中，用户的任何文件访问都被限制在虚拟文件系统中。在沙箱创建完毕后，用户登录后，用户管理模块将用户转移到Sandbox中，用户看到的文件系统是虚拟文件系统。用户只能对虚拟文件系统发送命令，命令也只会被虚拟文件系统执行。基于以上介绍，沙箱的应用场景是将不可信任的应用程序隔离在沙箱中运行，防止不可信任的应用影响真实操作系统(OperatingSystem，OS)系统。该应用场景无法满足云管理系统(FusionManager，FM)等的应用场景，如：FM系统是运行在真实的OS之上，而FM的需求是对真实的OS系统做进一步保护，要求登录系统的用户可查看指定的真实OS的文件内容，防止敏感信息泄露；并且要求可执行真实OS上的命令等。然而目前的沙箱应用范围较窄，不适用FM等应用场景，为这些场景下的程序提供安全防护。
技术实现思路
本专利技术实施例提供一种安全防护方法，及装置，用于提供防御点集中，应用范围广泛的安全防护方案。本专利技术实施例一方面提供了一种安全防护方法，包括：启动真实操作系统，在所述真实操作系统中创建虚拟操作系统，并将所述虚拟操作系统置于隔离运行环境中；在所述虚拟操作系统中启动第一进程，在所述真实操作系统中启动第二进程；在接收到来自用户的操作指令后，将所述操作指令重定向到所述第一进程；运行所述第一进程并确定所述操作指令指向所述第二进程后，向所述第二进程发送所述操作指令；运行所述第二进程接收来自所述第一进程的所述操作指令后，确定所述操作指令是否属于可执行命令，若是则执行所述操作指令，否则拒绝执行所述操作指令。结合一方面的实现方式，在第一种可选的实现方式中，所述确定所述操作指令是否属于可执行命令之前，所述方法还包括：运行所述第二进程获取可执行命令集；所述确定所述操作指令属于可执行命令包括：确定所述操作指令是否属于所述可执行命令集。结合一方面的第一种可选的实现方式，在第二种可选的实现方式中，所述运行所述第二进程确定可执行命令集包括：运行所述第二进程确定与发送所述操作指令的用户对应的白名单；所述确定所述操作指令属于所述可执行命令集包括：确定所述操作指令是否属于所述白名单中指定的允许执行的指令。结合一方面的实现方式，在第三种可选的实现方式中，所述操作指令包括：通用调用指令和命令参数；所述确定所述操作指令是否属于可执行命令包括：运行第二进程获取与所述命令参数对应的签名信息，以及与所述通用调用指令对应的公钥，然后确定使用所述公钥对所述签名信息是否能够验证通过；所述执行所述操作指令包括：运行所述第二进程执行所述操作指令中的命令参数指定的操作命令。结合一方面、一方面的第一种、第二种或者第三种可选的实现方式，在第四种可选的实现方式中，其特征在于，所述向所述第二进程发送所述操作指令包括：运行所述第一进程通过位于所述隔离运行环境内的命令代理将所述操作指令发送给所述第二进程对应的命令服务器。结合一方面的第四种可能的实现方式，在第五种可选的实现方式中，在运行所述第一进程通过位于所述隔离运行环境内的命令代理将所述操作指令发送给所述第二进程对应的命令服务器之前，还包括：以网络通讯协议的环回网际协议IP通讯、有名管道/文件，或者绝缘刺穿连接IPC调用的方式建立所述命令代理与所述命令服务器之间的通信连接。结合一方面的第五种可能的实现方式，在第六种可选的实现方式中，若所述命令代理与所述命令服务器之间之间采用有名管道/文件或者绝缘刺穿连接IPC调用的方式建立通信连接；所述执行所述操作指令包括：运行所述第二进程执行所述操作指令过程中，从位于所述隔离运行环境内的共享存储空间中获取执行所述操作指令所需要的内容数据。本专利技术实施例二方面提供了一种安全防护装置，包括：系统控制单元，用于启动真实操作系统，在所述真实操作系统中创建虚拟操作系统，并将所述虚拟操作系统置于隔离运行环境中；进程启动单元，用于在所述虚拟操作系统中启动第一进程，在所述真实操作系统中启动第二进程；指令定向单元，用于在接收到来自用户的操作指令后，将所述操作指令重定向到所述第一进程；第一控制单元，用于运行所述第一进程并确定所述操作指令指向所述第二进程后，向所述第二进程发送所述操作指令；第二控制单元，用于运行所述第二进程接收来自所述第一进程的所述操作指令后，确定所述操作指令是否属于可执行命令，若是则执行所述操作指令，否则拒绝执行所述操作指令。结合二方面的实现方式，在第一种可选的实现方式中，所述第二控制单元，包括：命令集获取单元，用于获取可执行命令集；指令确定单元，用于确定所述操作指令是否属于所述可执行命令集。结合二方面的第一种可选的实现方式，在第二种可选的实现方式中，所述命令集获取单元，具体用于确定与发送所述操作指令的用户对应的白名单；所述指令确定单元，具体用于确定所述操作指令是否属于所述白名单中指定的允许执行的指令。结合二方面的实现方式，在第三种可选的实现方式中，所述操作指令包括：通用调用指令和命令参数；所述第二控制单元，具体用于运行第二进程获取与所述命令参数对应的签名信息，以及与所述通用调用指令对应的公钥，然后确定使用所述公钥对所述签名信息是否能够验证通过；运行所述第二进程执行所述操作指令中的命令参数指定的操作命令。结合二方面、二方面的第一种、第二种或者第三种可选的实现方式，在第四种可选的实现方式中，所述安全防护装置还包括：位于所述隔离运行环境内的命令代理，以及位于所述隔离运行环境外与所述第二进程对应的命令服务器；所述第一控制单元，具体用于运行所述第一进程通过位于所述隔离运行环境内的命令代理将所述操作指令发送给所述本文档来自技高网...

【技术保护点】
一种安全防护方法，其特征在于，包括：启动真实操作系统，在所述真实操作系统中创建虚拟操作系统，并将所述虚拟操作系统置于隔离运行环境中；在所述虚拟操作系统中启动第一进程，在所述真实操作系统中启动第二进程；在接收到来自用户的操作指令后，将所述操作指令重定向到所述第一进程；运行所述第一进程并确定所述操作指令指向所述第二进程后，向所述第二进程发送所述操作指令；运行所述第二进程接收来自所述第一进程的所述操作指令后，确定所述操作指令是否属于可执行命令，若是则执行所述操作指令，否则拒绝执行所述操作指令。

【技术特征摘要】
【国外来华专利技术】1.一种安全防护方法，其特征在于，包括：
启动真实操作系统，在所述真实操作系统中创建虚拟操作系统，并将所
述虚拟操作系统置于隔离运行环境中；
在所述虚拟操作系统中启动第一进程，在所述真实操作系统中启动第二
进程；在接收到来自用户的操作指令后，将所述操作指令重定向到所述第一
进程；
运行所述第一进程并确定所述操作指令指向所述第二进程后，向所述第
二进程发送所述操作指令；
运行所述第二进程接收来自所述第一进程的所述操作指令后，确定所述
操作指令是否属于可执行命令，若是则执行所述操作指令，否则拒绝执行所
述操作指令。
2.根据权利要求1所述方法，其特征在于，所述确定所述操作指令是否
属于可执行命令之前，所述方法还包括：运行所述第二进程获取可执行命令
集；
所述确定所述操作指令属于可执行命令包括：确定所述操作指令是否属
于所述可执行命令集。
3.根据权利要求2所述方法，其特征在于，所述运行所述第二进程确定
可执行命令集包括：运行所述第二进程确定与发送所述操作指令的用户对应
的白名单；
所述确定所述操作指令属于所述可执行命令集包括：
确定所述操作指令是否属于所述白名单中指定的允许执行的指令。
4.根据权利要求1所述方法，其特征在于，所述操作指令包括：通用调
用指令和命令参数；
所述确定所述操作指令是否属于可执行命令包括：运行第二进程获取与
所述命令参数对应的签名信息，以及与所述通用调用指令对应的公钥，然后
确定使用所述公钥对所述签名信息是否能够验证通过；
所述执行所述操作指令包括：运行所述第二进程执行所述操作指令中的
命令参数指定的操作命令。
5.根据权利要求1至4任意一项所述方法，其特征在于，所述向所述第

\t二进程发送所述操作指令包括：
运行所述第一进程通过位于所述隔离运行环境内的命令代理将所述操作
指令发送给所述第二进程对应的命令服务器。
6.根据权利要求5所述方法，其特征在于，在运行所述第一进程通过位
于所述隔离运行环境内的命令代理将所述操作指令发送给所述第二进程对应
的命令服务器之前，还包括：
以网络通讯协议的环回网际协议IP通讯、有名管道/文件，或者绝缘刺穿
连接IPC调用的方式建立所述命令代理与所述命令服务器之间的通信连接。
7.根据权利要求6所述方法，其特征在于，若所述命令代理与所述命令
服务器之间之间采用有名管道/文件或者绝缘刺穿连接IPC调用的方式建立通
信连接；
所述执行所述操作指令包括：运行所述第二进程执行所述操作指令过程
中，从位于所述隔离运行环境内的共享存储空间中获取执行所述操作指令所
需要的内容数据。
8.一种安全防护装置，其特征在于，包括：
系统控制单元，用于启动真实操作系统，在所述真实操作系统中创建虚
拟操作系统，并将所述虚拟操作系统置于隔离运行环境中；
进程启动单元，用于在所述虚拟操作系统中启动第一进程，在所述真实
操作系统中启动第二进程；
指令定向单元，用于在接收到来自用户的操作指令后，将所述操作指令
重定向到所述第一进程；
第一控制单元，用于运行所述第一进程并确定所述操作指令指向所述第
二进程后，向所述第二进程发送所述操作指令；
第二控制单元，用于运行所述第二进程接收来自所述第一进程的所述操
作指令后，确定所述操作指令是否属于可执行命令，若是则执行所述操作指
令，否则拒绝执行所述操作指令。
9.根据权利要求8所述安全防护装置，其特征在于，所述第二控制单元，
包括：
命令集获取单元，用于获取可执行命令集；
指令确定单元，用于确定所述操作指令是否属于所述可执行命令集。
10.根据权利要求9所述安全防护装置，其特征在于，
所述命令集获取单元，具体用于确定与发送所述操作指令的用户对应的
白名单；
所述指令确定单元，具体用于确定所述操作指令是否属于所述白名单中
指定的允许执行的指令。
11.根据权利要求8所述安全防护装置，其特征在于，所述操作指令包

【专利技术属性】
技术研发人员：王春生，彭瑞林，吴向阳，颜小亮，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44