基于Seccomp机制的安全沙箱数据保护方法及系统技术方案

本发明专利技术提供了一种基于Seccomp机制的安全沙箱数据保护方法及系统，其方法包括：建立Linux内核与安全沙箱之间的信任关系，确定安全传输通道；通过安全传输通道针对Linux内核进行模块程序初始化信息获取，并加密处理后进行存储；通过安全传输通道针对Linux内核进行监测获取模块程序监测信息；根据模块程序信息调取得到模块程序初始化信息和Linux内核模块权限信息，并分析敏感信息，确定安全分析结果；根据安全分析结果对模块程序监测信息进行初始化处理。本发明专利技术采用简单的方法基于Linux内核的seccomp机制利用安全沙箱实现对模块程序及敏感数据的保护，避免了其他程序或个人访问敏感资源数据，造成安全泄露。造成安全泄露。造成安全泄露。

【技术实现步骤摘要】
基于Seccomp机制的安全沙箱数据保护方法及系统


[0001]本专利技术涉及信息安全保护
，特别涉及一种基于Seccomp机制的安全沙箱数据保护方法及系统。

技术介绍

[0002]安全沙箱是一种按照安全策略限制程序行为的执行环境，seccomp是Linux的一种安全机制，对于Linux内核来说模块程序是非常重要的，模块程序的被修改将会影响原本的功能，模块程序被攻击也会造成程序的正常使用或者信息泄露，所以说对于模块程序的保护非常至关重要，然而在现有技术方案中往往是使用libseccomp库实现linux程序开发及敏感数据保护，不仅繁琐，而且还不方便，因此，本专利技术提出一种基于Seccomp机制的安全沙箱数据保护方法及系统，采用简单的方法基于Linux内核的seccomp机制利用安全沙箱实现对模块程序及敏感数据的保护，避免了其他程序或个人访问敏感资源数据，造成安全泄露。

技术实现思路

[0003]本专利技术的目的在于提供一种基于Seccomp机制的安全沙箱数据保护方法及系统，以解决上述
技术介绍
中提出的问题。
[0004]为实现上述目的，本专利技术提供如下技术方案：一种基于Seccomp机制的安全沙箱数据保护方法，包括：
[0005]建立Linux内核与安全沙箱之间的信任关系，确定安全传输通道；
[0006]通过安全传输通道针对Linux内核进行模块程序获取，得到模块程序初始化信息，并将模块程序初始化信息通过加密处理后进行存储，得到初始程序存储库；
[0007]通过安全传输通道针对Linux内核进行监测，获取模块程序监测信息；
[0008]根据模块程序信息在初始程序存储库和seccomp机制中进行信息调取，得到模块程序初始化信息和Linux内核模块权限信息；
[0009]将模块程序监测信息结合模块程序初始化信息和Linux内核模块权限信息进行敏感信息分析，确定Linux内核模块程序是否存在安全问题，得到安全分析结果；
[0010]根据安全分析结果对模块程序监测信息进行初始化处理，实现对对应模块程序的保护。
[0011]进一步地，建立Linux内核与安全沙箱之间的信任关系时，针对Linux内核中的模块分别进行检测，确定模块程序的传输路径，并且根据模块程序的传输路径针对Linux内核中的模块进行注册，根据注册结果在安全沙箱中获取Linux内核中的模块程序信息。
[0012]进一步地，通过安全传输通道针对Linux内核进行模块程序获取，得到模块程序初始化信息，并将模块程序初始化信息通过加密处理后进行存储，包括：
[0013]根据注册结果针对Linux内核进行模块程序获取，通过安全传输通道将模块程序从Linux内核传输到安全沙箱；
[0014]在安全沙箱中针对模块程序设置安全沙箱管理密码，利用安全沙箱管理密码针对
安全传输通道传输的模块程序初始化信息进行加密处理，得到模块程序初始化信息加密信息，同时得到加密秘钥；
[0015]针对加密秘钥进行管理，同时将模块程序初始化信息加密信息按照模块进行存储。
[0016]进一步地，根据模块程序信息在初始程序存储库和seccomp机制中进行信息调取，得到模块程序初始化信息和Linux内核模块权限信息，包括：
[0017]根据模块程序信息在初始程序存储库进行匹配调取，获得对应的模块程序初始信息加密信息；
[0018]基于加密处理过程针对获得的对应的模块程序初始信息加密信息进行解密，得到模块程序初始信息；
[0019]根据模块程序信息在seccomp机制中调取对应模块程序的黑名单和白名单，得到模块程序的权限信息。
[0020]进一步地，将模块程序监测信息结合模块程序初始化信息和Linux内核模块权限信息进行敏感信息分析，包括：
[0021]将模块程序监测信息与模块程序初始化信息进行比较，分析模块程序监测信息相对于模块程序初始化信息是否发生了变化，得到第一分析判断结果；
[0022]根据第一分析判断结果在模块程序监测信息相对于模块程序初始化信息发生了变化时，将变化信息结合模块程序的功能分析是否为敏感信息，得到第二分析判断结果；
[0023]根据第二分析判断结果当变化信息为敏感信息时，对应Linux内核中的模块程序存在安全问题，当变化信息不是敏感信息时，将变化信息结合模块程序的权限信息，当信息变化是由白名单中的程序或个人访问导致的时，对应Linux内核中的模块程序不存在安全问题，当信息变化是由黑名单中的程序或个人访问导致的时，对应Linux内核中的模块程序存在安全问题。
[0024]一种基于seccomp机制的安全沙箱数据保护系统，包括：安全通道建立模块、初始数据获取模块、实时监测模块、数据调取模块、安全分析模块和安全保护模块；
[0025]安全通道建立模块，用于建立Linux内核与安全沙箱之间的信任关系，确定安全传输通道；
[0026]初始数据获取模块，用于通过安全传输通道针对Linux内核进行模块程序获取，得到模块程序初始化信息，并将模块程序初始化信息通过加密处理后进行存储，得到初始程序存储库；
[0027]实时监测模块，用于通过安全传输通道针对Linux内核进行监测，获取模块程序监测信息；
[0028]数据调取模块，用于根据模块程序信息在初始程序存储库和seccomp机制中进行信息调取，得到模块程序初始化信息和Linux内核模块权限信息；
[0029]安全分析模块，用于将模块程序监测信息结合模块程序初始化信息和Linux内核模块权限信息进行敏感信息分析，确定Linux内核模块程序是否存在安全问题，得到安全分析结果；
[0030]安全保护模块，用于根据安全分析结果对模块程序监测信息进行初始化处理，实现对对应模块程序的保护。
[0031]进一步地，安全通道建立模块包括多个安全通道建立子单元，安全通道建立子单元分别针对Linux内核中的模块进行检测，确定模块程序的传输路径，并且根据模块程序的传输路径针对Linux内核中的模块进行注册，根据注册结果在安全沙箱中获取Linux内核中的模块程序信息。
[0032]进一步地，初始数据获取模块包括：获取接收单元、信息处理单元和管理存储单元；
[0033]获取接收单元，用于根据注册结果针对Linux内核进行模块程序获取，通过安全传输通道将模块程序从Linux内核传输到安全沙箱；
[0034]信息处理单元，用于在安全沙箱中针对模块程序设置安全沙箱管理密码，利用安全沙箱管理密码针对安全传输通道传输的模块程序初始化信息进行加密处理，得到模块程序初始化信息加密信息，同时得到加密秘钥；
[0035]管理存储单元，用于针对加密秘钥进行管理，同时将模块程序初始化信息加密信息按照模块进行存储。
[0036]进一步地，数据调取模块，包括：初始信息调取单元、初始信息解密单元和模块程序权限单元；
[0037]初始信息调取单元，用于根本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于seccomp机制的安全沙箱数据保护方法，其特征在于，所述方法包括：建立Linux内核与安全沙箱之间的信任关系，确定安全传输通道；通过安全传输通道针对Linux内核进行模块程序获取，得到模块程序初始化信息，并将模块程序初始化信息通过加密处理后进行存储，得到初始程序存储库；通过安全传输通道针对Linux内核进行监测，获取模块程序监测信息；根据模块程序信息在初始程序存储库和seccomp机制中进行信息调取，得到模块程序初始化信息和Linux内核模块权限信息；将模块程序监测信息结合模块程序初始化信息和Linux内核模块权限信息进行敏感信息分析，确定Linux内核模块程序是否存在安全问题，得到安全分析结果；根据安全分析结果对模块程序监测信息进行初始化处理，实现对对应模块程序的保护。2.根据权利要求1所述的安全沙箱数据保护方法，其特征在于，建立Linux内核与安全沙箱之间的信任关系时，针对Linux内核中的模块分别进行检测，确定模块程序的传输路径，并且根据模块程序的传输路径针对Linux内核中的模块进行注册，根据注册结果在安全沙箱中获取Linux内核中的模块程序信息。3.根据权利要求2所述的安全沙箱数据保护方法，其特征在于，通过安全传输通道针对Linux内核进行模块程序获取，得到模块程序初始化信息，并将模块程序初始化信息通过加密处理后进行存储，包括：根据注册结果针对Linux内核进行模块程序获取，通过安全传输通道将模块程序从Linux内核传输到安全沙箱；在安全沙箱中针对模块程序设置安全沙箱管理密码，利用安全沙箱管理密码针对安全传输通道传输的模块程序初始化信息进行加密处理，得到模块程序初始化信息加密信息，同时得到加密秘钥；针对加密秘钥进行管理，同时将模块程序初始化信息加密信息按照模块进行存储。4.根据权利要求3所述的安全沙箱数据保护方法，其特征在于，根据模块程序信息在初始程序存储库和seccomp机制中进行信息调取，得到模块程序初始化信息和Linux内核模块权限信息，包括：根据模块程序信息在初始程序存储库进行匹配调取，获得对应的模块程序初始信息加密信息；基于加密处理过程针对获得的对应的模块程序初始信息加密信息进行解密，得到模块程序初始信息；根据模块程序信息在seccomp机制中调取对应模块程序的黑名单和白名单，得到模块程序的权限信息。5.根据权利要求1所述的安全沙箱数据保护方法，其特征在于，将模块程序监测信息结合模块程序初始化信息和Linux内核模块权限信息进行敏感信息分析，包括：将模块程序监测信息与模块程序初始化信息进行比较，分析模块程序监测信息相对于模块程序初始化信息是否发生了变化，得到第一分析判断结果；根据第一分析判断结果在模块程序监测信息相对于模块程序初始化信息发生了变化时，将变化信息结合模块程序的功能分析是否为敏感信息，得到第二分析判断结果；
根据第二分析判断结果当变化信息为敏感信息时，对应Linux内核中的模块程序存在安全问题，当变化信息不是敏感信息时，将变化信息结合模块程序的权限信息，当信息变化是由白名单中的程序或个人访问导致的时，对应Linux内核中的模块程序不存在安全问题，当信息变化是由黑名单中的程序或个人访问导致的时，对应Linux内核中的模块程序存在安全问题。6.一种基于seccomp机制的安全沙箱数据保护系统，其特征在于，所述系统包括：安全通道建立模块、初始数据获取模块、实时监测模块、数据调取模...

【专利技术属性】
技术研发人员：张凯，王志明，余良，
申请(专利权)人：北京连山科技股份有限公司，
类型：发明
国别省市：