支持域管理的移動(dòng)辦公安全系統(tǒng)及方法
【專利摘要】本發(fā)明提供一種支持域管理的移動(dòng)辦公安全系統(tǒng)及方法����,該系統(tǒng)包括:支持域管理的系統(tǒng)內(nèi)核,構(gòu)建于智能終端平臺(tái)提供的硬件普通模式下���,實(shí)現(xiàn)對(duì)應(yīng)用程序的域管理����;程序執(zhí)行域環(huán)境���,構(gòu)建于支持域管理的系統(tǒng)內(nèi)核上���,基于命名空間實(shí)現(xiàn)至少2個(gè)域;智能操作系統(tǒng)���,構(gòu)建于程序執(zhí)行域環(huán)境中的第一個(gè)域中���,通過支持域管理的系統(tǒng)內(nèi)核開放的域管理接口對(duì)程序和域進(jìn)行分配����、及通信管理����,實(shí)現(xiàn)進(jìn)程間交互;應(yīng)用程序域�,由智能操作系統(tǒng)創(chuàng)建于程序執(zhí)行域環(huán)境中不同于第一個(gè)域的域中,用于運(yùn)行應(yīng)用程序���。本發(fā)明實(shí)現(xiàn)了辦公應(yīng)用的安全強(qiáng)隔離,實(shí)現(xiàn)了跨域的進(jìn)程間通信���,保證了操作系統(tǒng)��、辦公應(yīng)用與個(gè)人應(yīng)用三方應(yīng)用執(zhí)行環(huán)境的安全隔離����,同時(shí)也支持三方進(jìn)程的跨域通信����。
【專利說明】支持域管理的移動(dòng)辦公安全系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于移動(dòng)辦公安全領(lǐng)域,涉及一種移動(dòng)辦公安全方法�����,特別是涉及一種支持域管理的移動(dòng)辦公安全系統(tǒng)及方法。
【背景技術(shù)】
[0002]在目前的基于LINUX內(nèi)核的智能機(jī)領(lǐng)域�����,智能操作系統(tǒng)和應(yīng)用程序(包括個(gè)人應(yīng)用程序)都運(yùn)行在單獨(dú)的程序進(jìn)程中����。而業(yè)務(wù)的處理往往需要多個(gè)進(jìn)程間通信。目前進(jìn)程間通信有管道�����,信號(hào)量��,報(bào)文隊(duì)列��,共享內(nèi)存�����,套接字等方式��,但是現(xiàn)有的這些進(jìn)程間通信方式都有著自身特點(diǎn),適應(yīng)于不同的平臺(tái)?����,F(xiàn)有的進(jìn)程間通信以及LINUX智能機(jī)系統(tǒng)內(nèi)核中��,沒有針對(duì)特殊化的定制操作���,是一種比較通用的技術(shù)方案�,基本是所有的應(yīng)用程序都運(yùn)行在操作系統(tǒng)域�,由操作系統(tǒng)域統(tǒng)一管理分配內(nèi)存,以及進(jìn)程間調(diào)度�。
[0003]隨著移動(dòng)辦公安全領(lǐng)域的發(fā)展,其在系統(tǒng)內(nèi)核空間利用命名空間可以劃分不同的應(yīng)用程序域����,如有普通用戶登陸下的個(gè)人應(yīng)用域����,以及用于辦公需要的辦公應(yīng)用域。當(dāng)應(yīng)用程序不是運(yùn)行在操作系統(tǒng)域�����,而是運(yùn)行在單獨(dú)劃分出來的應(yīng)用程序域時(shí)����,因?yàn)楸仨氁紤]不同應(yīng)用域間的程序進(jìn)程相互隔離的問題��,原有的操作系統(tǒng)不支持域管理���,所以無法統(tǒng)一管理不同應(yīng)用域的分配內(nèi)存,以及進(jìn)程間調(diào)度���。
【發(fā)明內(nèi)容】
[0004]鑒于以上所述現(xiàn)有技術(shù)的缺點(diǎn)��,本發(fā)明的目的在于提供一種支持域管理的移動(dòng)辦公安全系統(tǒng)及方法���,用于解決現(xiàn)有操作系統(tǒng)不支持域管理,無法統(tǒng)一管理不同應(yīng)用域的分配內(nèi)存�,以及進(jìn)程間調(diào)度的問題。
[0005]為實(shí)現(xiàn)上述目的及其他相關(guān)目的�����,本發(fā)明提供一種支持域管理的移動(dòng)辦公安全系統(tǒng)�,所述支持域管理的移動(dòng)辦公安全系統(tǒng)包括:支持域管理的系統(tǒng)內(nèi)核,構(gòu)建于智能終端平臺(tái)提供的硬件普通模式下��,用于實(shí)現(xiàn)對(duì)應(yīng)用程序的域管理;程序執(zhí)行域環(huán)境����,構(gòu)建于所述支持域管理的系統(tǒng)內(nèi)核上,基于命名空間實(shí)現(xiàn)至少2個(gè)域���,每個(gè)域中的程序均獨(dú)立運(yùn)行��,不同域中的程序相互無干擾�����;智能操作系統(tǒng)�,構(gòu)建于所述程序執(zhí)行域環(huán)境中的第一個(gè)域中�,用于通過所述支持域管理的系統(tǒng)內(nèi)核開放的域管理接口對(duì)程序和域進(jìn)行分配、及通信管理��;所述智能操作系統(tǒng)提取程序的域信息����,并在程序進(jìn)程交互過程中傳播所述域信息���,從而實(shí)現(xiàn)跨域和域內(nèi)部的進(jìn)程間交互��;應(yīng)用程序域��,由所述智能操作系統(tǒng)創(chuàng)建于所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的域中��,用于運(yùn)行應(yīng)用程序����。
[0006]可選地,所述應(yīng)用程序域包括:辦公應(yīng)用域��,由所述智能操作系統(tǒng)創(chuàng)建于所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的第二個(gè)域中��,用于運(yùn)行企業(yè)授信的辦公應(yīng)用程序�;個(gè)人應(yīng)用域,由所述智能操作系統(tǒng)創(chuàng)建于所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的第三個(gè)域中��,用于運(yùn)行用戶自行安裝的第三方應(yīng)用程序�����。
[0007]可選地��,所述智能操作系統(tǒng)包括支持跨域通信的Binder交互模組���,所述Binder交互模組包括:第一記錄模塊�����,記錄每一個(gè)域中運(yùn)行的進(jìn)程信息�;Binder驅(qū)動(dòng)模塊,存儲(chǔ)每一個(gè)Binder對(duì)象的創(chuàng)建進(jìn)程的信息����;第一監(jiān)控模塊,在程序執(zhí)行過程中監(jiān)控每一次進(jìn)程間交互的目標(biāo)對(duì)象所在的進(jìn)程����;第一交互判定模塊,與所述第一記錄模塊��、Binder驅(qū)動(dòng)模塊��、第一監(jiān)控模塊分別相連�,根據(jù)所述目標(biāo)對(duì)象所在的進(jìn)程的域信息判斷是否允許這一次進(jìn)程間交互。
[0008]可選地��,所述智能操作系統(tǒng)包括支持跨域通信的匿名共享內(nèi)存模組����,所述匿名共享內(nèi)存模組包括:第二記錄模塊�����,記錄每一個(gè)域中運(yùn)行的進(jìn)程信息;匿名共享內(nèi)存驅(qū)動(dòng)模塊��,存儲(chǔ)每一個(gè)共享內(nèi)存對(duì)象的創(chuàng)建進(jìn)程的信息�����;第二監(jiān)控模塊����,在程序執(zhí)行過程中監(jiān)控每一次進(jìn)程間交互的目標(biāo)對(duì)象所在的進(jìn)程;第二交互判定模塊����,與所述第二記錄模塊、匿名共享內(nèi)存驅(qū)動(dòng)模塊�����、第二監(jiān)控模塊分別相連�,根據(jù)所述目標(biāo)對(duì)象所在的進(jìn)程的域信息判斷是否允許這一次進(jìn)程間交互。
[0009]可選地����,所述支持域管理的系統(tǒng)內(nèi)核包括:進(jìn)程孵化器創(chuàng)建模塊����,創(chuàng)建一個(gè)子進(jìn)程作為一個(gè)所述域的進(jìn)程孵化器�;每個(gè)進(jìn)程孵化器均運(yùn)行于自身對(duì)應(yīng)的一個(gè)域中;應(yīng)用程序進(jìn)程創(chuàng)建模塊���,與所述進(jìn)程孵化器創(chuàng)建模塊相連��,使所述進(jìn)程孵化器克隆自身創(chuàng)建新的應(yīng)用程序進(jìn)程����;所述新的應(yīng)用程序進(jìn)程與對(duì)應(yīng)的進(jìn)程孵化器運(yùn)行于同一個(gè)域中�����。
[0010]可選地�����,所述智能操作系統(tǒng)包括:域進(jìn)程信息配置模塊���,與所述域管理接口相連�����,通過所述域管理接口配置新創(chuàng)建的應(yīng)用程序進(jìn)程需要具備的進(jìn)程信息��;域內(nèi)存回收模塊���,與所述域管理接口相連,根據(jù)域的優(yōu)先級(jí)選擇性殺死各個(gè)域中不活躍的進(jìn)程���,釋放內(nèi)存空間��;域管理接口保護(hù)模塊����,與所述域管理接口相連�,限制只有位于所述智能操作系統(tǒng)所在域中的進(jìn)程才能調(diào)用所述域管理接口。
[0011]可選地�,所述支持域管理的移動(dòng)辦公安全系統(tǒng)還包括構(gòu)建于所述支持域管理的系統(tǒng)內(nèi)核上的可信存儲(chǔ)文件系統(tǒng)和可信網(wǎng)絡(luò)連接系統(tǒng);所述可信存儲(chǔ)文件系統(tǒng)包括:加密引擎模塊,通過所述支持域管理的系統(tǒng)內(nèi)核的加密接口對(duì)文件訪問進(jìn)行內(nèi)核級(jí)加密,包括對(duì)整個(gè)文件進(jìn)行密鑰加密或/和計(jì)算文件的校驗(yàn)值�����;文件安全屬性模塊����,與所述加密引擎模塊相連����,擴(kuò)展文件的安全屬性��;所述安全屬性包括標(biāo)志域和數(shù)據(jù)域��;所述標(biāo)志域表示文件側(cè)重的安全屬性���;所述數(shù)據(jù)域表示加密文件所使用的密鑰或/和文件的校驗(yàn)值����;密鑰管理模塊��,與所述加密引擎模塊和文件安全屬性模塊分別相連���,采用鏈?zhǔn)郊用艿姆椒ūWo(hù)密鑰和文件����;所述可信網(wǎng)絡(luò)連接系統(tǒng)包括:可信網(wǎng)絡(luò)連接協(xié)議棧模塊�����,提供加密連接支持;可信網(wǎng)絡(luò)訪問請(qǐng)求器����,作為網(wǎng)絡(luò)訪問的入口,控制所有對(duì)本地進(jìn)行的網(wǎng)絡(luò)訪問���。
[0012]可選地���,所述智能操作系統(tǒng)還包括:認(rèn)證授權(quán)模塊��,用于驗(yàn)證用戶的合法身份����,接收用戶設(shè)置的共享秘密數(shù)據(jù),并在所述共享秘密數(shù)據(jù)正確時(shí)允許用戶訪問所述可信存儲(chǔ)文件系統(tǒng)����;完整性度量收集器,用于收集所述智能操作系統(tǒng)的運(yùn)行平臺(tái)的完整性度量值��,以便傳輸至遠(yuǎn)程可信網(wǎng)絡(luò)連接決策點(diǎn)進(jìn)行驗(yàn)證����;可信網(wǎng)絡(luò)連接客戶端,與所述完整性度量收集器相連,負(fù)責(zé)管理所述完整性度量收集器����。
[0013]可選地,所述支持域管理的移動(dòng)辦公安全系統(tǒng)還包括構(gòu)建于智能終端平臺(tái)提供的硬件可信模式下的可信系統(tǒng)���,所述可信系統(tǒng)通過受限通信與所述支持域管理的系統(tǒng)內(nèi)核或智能操作系統(tǒng)交互��,包括:信息加解密模塊�,與所述可信存儲(chǔ)文件系統(tǒng)�、所述可信網(wǎng)絡(luò)連接系統(tǒng)或/和所述智能操作系統(tǒng)相連,為所述可信存儲(chǔ)文件系統(tǒng)提供密鑰生成����、加密和安全存儲(chǔ),或/和為所述可信網(wǎng)絡(luò)連接協(xié)議棧模塊提供加密連接協(xié)議��;簽名驗(yàn)證模塊����,與所述認(rèn)證授權(quán)模塊或/和所述可信網(wǎng)絡(luò)連接協(xié)議棧模塊相連,對(duì)所述用戶進(jìn)行身份認(rèn)證和授權(quán)���,或/和對(duì)所述網(wǎng)絡(luò)訪問進(jìn)行驗(yàn)證����;組件可信性驗(yàn)證模塊,與所述可信存儲(chǔ)文件系統(tǒng)�����、所述可信網(wǎng)絡(luò)連接系統(tǒng)���、或/和所述完整性度量收集器相連��,用于驗(yàn)證所述可信存儲(chǔ)文件系統(tǒng)��、所述可信網(wǎng)絡(luò)連接系統(tǒng)、或/和所述完整性度量收集器的組件可信性�。
[0014]本發(fā)明還提供一種支持域管理的移動(dòng)辦公安全方法,所述支持域管理的移動(dòng)辦公安全方法包括:在智能終端平臺(tái)提供的硬件普通模式下構(gòu)建支持域管理的系統(tǒng)內(nèi)核��,用于實(shí)現(xiàn)對(duì)應(yīng)用程序的域管理���;在所述支持域管理的系統(tǒng)內(nèi)核上構(gòu)建程序執(zhí)行域環(huán)境��;所述程序執(zhí)行域環(huán)境基于命名空間實(shí)現(xiàn)至少2個(gè)域���,每個(gè)域中的程序均獨(dú)立運(yùn)行,不同域中的程序相互無干擾;在所述程序執(zhí)行域環(huán)境中的第一個(gè)域中構(gòu)建智能操作系統(tǒng)�,用于通過所述支持域管理的系統(tǒng)內(nèi)核開放的域管理接口對(duì)程序和域進(jìn)行分配、及通信管理�;所述智能操作系統(tǒng)提取程序的域信息,并在程序進(jìn)程交互過程中傳播所述域信息����,從而實(shí)現(xiàn)跨域和域內(nèi)部的進(jìn)程間交互;在所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的域中�����,由所述智能操作系統(tǒng)創(chuàng)建應(yīng)用程序域�����,用于運(yùn)行應(yīng)用程序����。
[0015]可選地,所述應(yīng)用程序域的一種具體創(chuàng)建過程包括:在所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的第二個(gè)域中����,由所述智能操作系統(tǒng)創(chuàng)建辦公應(yīng)用域,用于運(yùn)行企業(yè)授信的辦公應(yīng)用程序���;在所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的第三個(gè)域中��,由所述智能操作系統(tǒng)創(chuàng)建個(gè)人應(yīng)用域�,用于運(yùn)行用戶自行安裝的第三方應(yīng)用程序。
[0016]可選地����,所述智能操作系統(tǒng)實(shí)現(xiàn)跨域和域內(nèi)部的進(jìn)程間交互的一種具體實(shí)現(xiàn)過程包括:記錄每一個(gè)域中運(yùn)行的進(jìn)程信息;存儲(chǔ)每一個(gè)Binder對(duì)象或/和共享內(nèi)存對(duì)象的創(chuàng)建進(jìn)程的信息�����;在程序執(zhí)行過程中監(jiān)控每一次進(jìn)程間交互的目標(biāo)對(duì)象所在的進(jìn)程���;根據(jù)所述目標(biāo)對(duì)象所在的進(jìn)程的域信息判斷是否允許這一次進(jìn)程間交互����。
[0017]可選地�����,所述智能操作系統(tǒng)創(chuàng)建應(yīng)用程序域的一種具體實(shí)現(xiàn)過程包括:創(chuàng)建一個(gè)子進(jìn)程作為一個(gè)域的進(jìn)程孵化器����;每個(gè)進(jìn)程孵化器均運(yùn)行于自身對(duì)應(yīng)的一個(gè)域中;所述進(jìn)程孵化器克隆自身創(chuàng)建新的應(yīng)用程序進(jìn)程�;所述新的應(yīng)用程序進(jìn)程與對(duì)應(yīng)的進(jìn)程孵化器運(yùn)行于同一個(gè)域中。
[0018]可選地����,所述智能操作系統(tǒng)通過域管理接口對(duì)程序和域進(jìn)行分配、及通信管理的一種具體實(shí)現(xiàn)過程包括:通過所述域管理接口配置新創(chuàng)建的應(yīng)用程序進(jìn)程需要具備的進(jìn)程信息��;根據(jù)域的優(yōu)先級(jí)選擇性殺死各個(gè)域中不活躍的進(jìn)程���,釋放內(nèi)存空間����;限制只有位于所述智能操作系統(tǒng)所在域中的進(jìn)程才能調(diào)用所述域管理接口��。
[0019]可選地�,所述支持域管理的移動(dòng)辦公安全方法還包括在所述支持域管理的系統(tǒng)內(nèi)核上構(gòu)建可信存儲(chǔ)文件系統(tǒng),實(shí)現(xiàn)自動(dòng)對(duì)程序的文件寫或讀行為的保密�����;所述可信存儲(chǔ)文件系統(tǒng)的一種具體實(shí)現(xiàn)過程包括:通過所述支持域管理的系統(tǒng)內(nèi)核的加密接口對(duì)文件訪問進(jìn)行內(nèi)核級(jí)加密���,包括對(duì)整個(gè)文件進(jìn)行密鑰加密或/和計(jì)算文件的校驗(yàn)值�;擴(kuò)展文件的安全屬性;所述安全屬性包括標(biāo)志域和數(shù)據(jù)域��;所述標(biāo)志域表示文件側(cè)重的安全屬性����;所述數(shù)據(jù)域表示加密文件所使用的密鑰或/和文件的校驗(yàn)值;采用鏈?zhǔn)郊用艿姆椒ūWo(hù)密鑰和文件�。
[0020]可選地,所述智能操作系統(tǒng)支持所述可信存儲(chǔ)文件系統(tǒng)的一種具體實(shí)現(xiàn)過程包括:驗(yàn)證用戶的合法身份����,接收用戶設(shè)置的共享秘密數(shù)據(jù),并在所述共享秘密數(shù)據(jù)正確時(shí)允許用戶訪問所述可信存儲(chǔ)文件系統(tǒng)��。
[0021]可選地�,所述支持域管理的移動(dòng)辦公安全方法還包括在所述智能終端平臺(tái)提供的硬件可信模式下構(gòu)建可信系統(tǒng),所述可信系統(tǒng)通過受限通信與所述支持域管理的系統(tǒng)內(nèi)核或智能操作系統(tǒng)交互����;所述可信系統(tǒng)的一種具體實(shí)現(xiàn)過程包括:為所述可信存儲(chǔ)文件系統(tǒng)提供密鑰生成、加密和安全存儲(chǔ)���;對(duì)所述用戶進(jìn)行身份認(rèn)證和授權(quán);驗(yàn)證所述可信存儲(chǔ)文件系統(tǒng)的組件可信性��。
[0022]可選地,所述支持域管理的移動(dòng)辦公安全方法還包括在所述支持域管理的系統(tǒng)內(nèi)核上構(gòu)建可信網(wǎng)絡(luò)連接系統(tǒng)�����,實(shí)現(xiàn)為應(yīng)用程序提供可信的網(wǎng)絡(luò)支持�����;所述可信網(wǎng)絡(luò)連接系統(tǒng)的一種具體實(shí)現(xiàn)過程包括:提供加密連接支持����;設(shè)置網(wǎng)絡(luò)訪問的入口,控制所有對(duì)本地進(jìn)行的網(wǎng)絡(luò)訪問���。
[0023]可選地����,所述智能操作系統(tǒng)支持所述可信網(wǎng)絡(luò)連接系統(tǒng)的一種具體實(shí)現(xiàn)過程包括:收集所述智能操作系統(tǒng)的運(yùn)行平臺(tái)的完整性度量值�,以便傳輸至遠(yuǎn)程可信網(wǎng)絡(luò)連接決策點(diǎn)進(jìn)行驗(yàn)證;負(fù)責(zé)管理完整性度量��。
[0024]可選地�,所述支持域管理的移動(dòng)辦公安全方法還包括在所述智能終端平臺(tái)提供的硬件可信模式下構(gòu)建可信系統(tǒng),所述可信系統(tǒng)通過受限通信與所述支持域管理的系統(tǒng)內(nèi)核或智能操作系統(tǒng)交互���;所述可信系統(tǒng)的一種具體實(shí)現(xiàn)過程包括:為所述可信網(wǎng)絡(luò)連接協(xié)議棧模塊提供加密連接協(xié)議���;對(duì)所述網(wǎng)絡(luò)訪問進(jìn)行驗(yàn)證���;驗(yàn)證所述可信網(wǎng)絡(luò)連接系統(tǒng)的組件可信性。
[0025]如上所述�����,本發(fā)明所述的支持域管理的移動(dòng)辦公安全系統(tǒng)及方法��,具有以下有益效果:
[0026]本發(fā)明為移動(dòng)辦公安全領(lǐng)域設(shè)定了支持域管理的系統(tǒng)內(nèi)核����,智能操作系統(tǒng)和應(yīng)用程序均運(yùn)行在單獨(dú)的程序執(zhí)行域中,實(shí)現(xiàn)了程序執(zhí)行域之間的強(qiáng)隔離���;此外�����,為了支持應(yīng)用程序和智能操作系統(tǒng)之間的正常交互����,本發(fā)明還提供了跨域的進(jìn)程間通訊機(jī)制�����,支持現(xiàn)有應(yīng)用程序能夠正常的在獨(dú)立程序域中執(zhí)行以及一個(gè)執(zhí)行域內(nèi)部的進(jìn)程間通訊�。
【專利附圖】
【附圖說明】
[0027]圖1為本發(fā)明實(shí)施例所述的支持域管理的移動(dòng)辦公安全系統(tǒng)的結(jié)構(gòu)示意圖。
[0028]圖2為本發(fā)明實(shí)施例所述的支持域管理的系統(tǒng)內(nèi)核的一種結(jié)構(gòu)示意圖���。
[0029]圖3為本發(fā)明實(shí)施例所述的支持域管理的系統(tǒng)內(nèi)核的第二種結(jié)構(gòu)示意圖�����。
[0030]圖4為本發(fā)明實(shí)施例所述的支持域管理的系統(tǒng)內(nèi)核的第三種結(jié)構(gòu)示意圖����。
[0031]圖5為本發(fā)明實(shí)施例所述的智能操作系統(tǒng)的一種結(jié)構(gòu)示意圖�����。
[0032]圖6為本發(fā)明實(shí)施例所述的Binder交互模組的一種結(jié)構(gòu)示意圖���。
[0033]圖7為本發(fā)明實(shí)施例所述的匿名共享內(nèi)存模組的一種結(jié)構(gòu)示意圖���。
[0034]圖8為本發(fā)明實(shí)施例所述的應(yīng)用程序域的一種結(jié)構(gòu)示意圖��。
[0035]圖9為本發(fā)明實(shí)施例所述的可信系統(tǒng)的一種結(jié)構(gòu)示意圖����。
[0036]圖10為本發(fā)明實(shí)施例所述的支持域管理的移動(dòng)辦公安全方法的一種流程示意圖���。
[0037]圖11為本發(fā)明實(shí)施例所述的智能操作系統(tǒng)的一種工作流程示意圖���。
[0038]圖12為圖11所述的智能操作系統(tǒng)的工作場(chǎng)景示意圖。
[0039]圖13為本發(fā)明實(shí)施例所述的智能操作系統(tǒng)的另一種工作流程示意圖��。
[0040]圖14為圖13所述的智能操作系統(tǒng)的工作場(chǎng)景示意圖���。
[0041]圖15為本發(fā)明實(shí)施例所述的智能操作系統(tǒng)創(chuàng)建應(yīng)用程序域的一種實(shí)現(xiàn)流程示意圖���。
[0042]圖16為本發(fā)明實(shí)施例所述的支持域管理的移動(dòng)辦公安全方法的第二種實(shí)現(xiàn)流程示意圖。
[0043]圖17為本發(fā)明實(shí)施例所述的可信存儲(chǔ)文件系統(tǒng)的一種具體工作方式示意圖���。
[0044]圖18為本發(fā)明實(shí)施例所述的支持域管理的移動(dòng)辦公安全方法的第三種實(shí)現(xiàn)流程示意圖����。
[0045]圖19為本發(fā)明實(shí)施例所述的可信網(wǎng)絡(luò)連接系統(tǒng)的一種具體工作方式示意圖。
[0046]圖20為本發(fā)明實(shí)施例所述的支持域管理的移動(dòng)辦公安全方法的第四種實(shí)現(xiàn)流程示意圖���。
[0047]元件標(biāo)號(hào)說明
[0048]100支持域管理的系統(tǒng)內(nèi)核
[0049]110進(jìn)程孵化器創(chuàng)建模塊
[0050]120應(yīng)用程序進(jìn)程創(chuàng)建模塊
[0051]130可信存儲(chǔ)文件系統(tǒng)
[0052]131加密引擎模塊
[0053]132文件安全屬性模塊
[0054]133密鑰管理模塊
[0055]140可信網(wǎng)絡(luò)連接系統(tǒng)
[0056]141可信網(wǎng)絡(luò)連接協(xié)議棧模塊
[0057]142可信網(wǎng)絡(luò)訪問請(qǐng)求器
[0058]200程序執(zhí)行域環(huán)境
[0059]210智能操作系統(tǒng)
[0060]211Binder 交互模組
[0061]2111第一記錄模塊
[0062]2112Binder 驅(qū)動(dòng)模塊
[0063]2113第一監(jiān)控模塊
[0064]2114第一交互判定模塊
[0065]212匿名共享內(nèi)存模組
[0066]2121第二記錄模塊
[0067]2122匿名共享內(nèi)存驅(qū)動(dòng)模塊
[0068]2123第二監(jiān)控模塊
[0069]2124第二交互判定模塊
[0070]213域進(jìn)程信息配置模塊
[0071]214域內(nèi)存回收模塊
[0072]215域管理接口保護(hù)模塊
[0073]216認(rèn)證授權(quán)模塊
[0074]217完整性度量收集器
[0075]218可信網(wǎng)絡(luò)連接客戶端
[0076]220應(yīng)用程序域
[0077]221辦公應(yīng)用域
[0078]222個(gè)人應(yīng)用域
[0079]300可信系統(tǒng)
[0080]310信息加解密模塊
[0081]320簽名驗(yàn)證模塊
[0082]330組件可信性驗(yàn)證模塊
[0083]SlOl ?S107步驟
[0084]Slll ?S114步驟
[0085]S131 ?S134步驟
[0086]S151 ?S152步驟
【具體實(shí)施方式】
[0087]以下通過特定的具體實(shí)例說明本發(fā)明的實(shí)施方式����,本領(lǐng)域技術(shù)人員可由本說明書所揭露的內(nèi)容輕易地了解本發(fā)明的其他優(yōu)點(diǎn)與功效�。本發(fā)明還可以通過另外不同的【具體實(shí)施方式】加以實(shí)施或應(yīng)用�����,本說明書中的各項(xiàng)細(xì)節(jié)也可以基于不同觀點(diǎn)與應(yīng)用���,在沒有背離本發(fā)明的精神下進(jìn)行各種修飾或改變�����。
[0088]請(qǐng)參閱附圖���。需要說明的是,本實(shí)施例中所提供的圖示僅以示意方式說明本發(fā)明的基本構(gòu)想���,遂圖式中僅顯示與本發(fā)明中有關(guān)的組件而非按照實(shí)際實(shí)施時(shí)的組件數(shù)目��、形狀及尺寸繪制�����,其實(shí)際實(shí)施時(shí)各組件的型態(tài)��、數(shù)量及比例可為一種隨意的改變�,且其組件布局型態(tài)也可能更為復(fù)雜。
[0089]下面結(jié)合實(shí)施例和附圖對(duì)本發(fā)明進(jìn)行詳細(xì)說明����。
[0090]實(shí)施例
[0091]本實(shí)施例提供一種支持域管理的移動(dòng)辦公安全系統(tǒng),如圖1所示��,所述支持域管理的移動(dòng)辦公安全系統(tǒng)包括:支持域管理的系統(tǒng)內(nèi)核100�,程序執(zhí)行域環(huán)境200,智能操作系統(tǒng)210����,應(yīng)用程序域220,和可信系統(tǒng)300���。
[0092]所述支持域管理的系統(tǒng)內(nèi)核100構(gòu)建于智能終端平臺(tái)提供的硬件普通模式下�,用于實(shí)現(xiàn)對(duì)應(yīng)用程序的域管理���。
[0093]進(jìn)一步�����,如圖2所示��,所述支持域管理的系統(tǒng)內(nèi)核100包括:進(jìn)程孵化器創(chuàng)建模塊110���,應(yīng)用程序進(jìn)程創(chuàng)建模塊120。所述進(jìn)程孵化器創(chuàng)建模塊110創(chuàng)建一個(gè)子進(jìn)程作為一個(gè)所述域的進(jìn)程孵化器�;每個(gè)進(jìn)程孵化器均運(yùn)行于自身對(duì)應(yīng)的一個(gè)域中。所述應(yīng)用程序進(jìn)程創(chuàng)建模塊120與所述進(jìn)程孵化器創(chuàng)建模塊110相連��,使所述進(jìn)程孵化器克隆自身創(chuàng)建新的應(yīng)用程序進(jìn)程��;所述新的應(yīng)用程序進(jìn)程與對(duì)應(yīng)的進(jìn)程孵化器運(yùn)行于同一個(gè)域中����。系統(tǒng)內(nèi)核在引導(dǎo)完成后初始化智能操作系統(tǒng),智能操作系統(tǒng)運(yùn)行在默認(rèn)的命名空間中��。隨后��,系統(tǒng)內(nèi)核創(chuàng)建兩條子進(jìn)程���,作為各個(gè)應(yīng)用域的進(jìn)程孵化器(稱為domain_Zygote)����。個(gè)人應(yīng)用域和辦公應(yīng)用域中的程序進(jìn)程分別從這兩條進(jìn)程孵化器進(jìn)程中克隆得來。在創(chuàng)建進(jìn)程孵化器時(shí)��,內(nèi)核使用 CL0NE_NEWPID����、CL0NE_NEWIPC、CL0NE_NEWNS, CL0NE_NEWNET 等參數(shù)將進(jìn)程孵化器運(yùn)行在兩個(gè)新的獨(dú)立的命名空間中����。每一個(gè)新的命名空間具有隔離的進(jìn)程空間、網(wǎng)絡(luò)資源���、文件系統(tǒng)����。
[0094]更進(jìn)一步����,操作系統(tǒng)為了支持辦公應(yīng)用等程序運(yùn)行的安全性,本實(shí)施例對(duì)辦公應(yīng)用域中的程序存儲(chǔ)和網(wǎng)絡(luò)訪問進(jìn)行了安全性增強(qiáng)�。與此同時(shí)�����,考慮到技術(shù)方案應(yīng)該盡可能的兼容現(xiàn)有程序的執(zhí)行����,避免對(duì)現(xiàn)有程序進(jìn)行修改�,本實(shí)施例在內(nèi)核中自動(dòng)對(duì)文件訪問和網(wǎng)絡(luò)訪問進(jìn)行加密和解密操作。
[0095]如圖3所示�����,所述支持域管理的系統(tǒng)內(nèi)核100還包括可信存儲(chǔ)文件系統(tǒng)130����。所述可信存儲(chǔ)文件系統(tǒng)130構(gòu)建于所述支持域管理的系統(tǒng)內(nèi)核100上���,用于實(shí)現(xiàn)自動(dòng)對(duì)程序的文件寫或讀行為的保密��。所述可信存儲(chǔ)文件系統(tǒng)130包括:加密引擎模塊131����,文件安全屬性模塊132�,密鑰管理模塊133��。所述加密引擎模塊131通過所述支持域管理的系統(tǒng)內(nèi)核的加密接口對(duì)文件訪問進(jìn)行內(nèi)核級(jí)加密�,包括對(duì)整個(gè)文件進(jìn)行密鑰加密或/和計(jì)算文件的校驗(yàn)值����。例如:可信存儲(chǔ)文件系統(tǒng)可以含有兩類加密引擎:一部分文件采用對(duì)稱加密算法(AES)完成整個(gè)文件的加密;另一部分則使用加密散列算法(SHA-1)計(jì)算文件的校驗(yàn)值���。本實(shí)施例可以使用Linux內(nèi)核中的Crypto接口來實(shí)現(xiàn)對(duì)文件訪問進(jìn)行內(nèi)核級(jí)加密�����。所述文件安全屬性模塊132與所述加密引擎模塊131相連����,擴(kuò)展文件的安全屬性�。所述安全屬性包括標(biāo)志域和數(shù)據(jù)域;所述標(biāo)志域表示文件側(cè)重的安全屬性����;所述數(shù)據(jù)域表示加密文件所使用的密鑰或/和文件的校驗(yàn)值。例如:可信存儲(chǔ)文件系統(tǒng)擴(kuò)展文件的安全屬性����,擴(kuò)展屬性由標(biāo)志域和數(shù)據(jù)域兩部分組成���。標(biāo)志域長(zhǎng)度為一個(gè)字節(jié),表示該文件側(cè)重的安全屬性(C代表機(jī)密性��,I代表完整性)��;數(shù)據(jù)域包含固定長(zhǎng)度的字符串����,代表該文件所使用的加密密鑰或者該文件的校驗(yàn)和。這些屬性保存時(shí)需要經(jīng)過可信硬件支持的加密���,防止攻擊者對(duì)安全屬性的竊取和篡改�����。所述密鑰管理模塊133與所述加密引擎模塊131和文件安全屬性模塊132分別相連,采用鏈?zhǔn)郊用艿姆椒ūWo(hù)密鑰和文件�。密鑰管理是加密系統(tǒng)的關(guān)鍵組成部分?�?尚糯鎯?chǔ)文件系統(tǒng)可以采用鏈?zhǔn)郊用艿姆椒▉肀Wo(hù)密鑰和文件�����。其思想是由可信根密鑰開始,根密鑰加密第一級(jí)密鑰��,第一級(jí)密鑰作為可信密鑰加密下一級(jí)密鑰���,直到加密原始文件數(shù)據(jù)為止����?�?尚庞布С值目尚糯a區(qū)提供密鑰生成���、加密和安全存儲(chǔ)��。本實(shí)施例通過可信存儲(chǔ)文件系統(tǒng)來完成在內(nèi)核中自動(dòng)對(duì)程序的文件寫行為進(jìn)行加密�,保證存儲(chǔ)設(shè)備中的文件都是加密過的無法直接讀取���。對(duì)程序的文件讀行為自動(dòng)進(jìn)行解密從而保證現(xiàn)有程序可以正常運(yùn)行��。同時(shí)�����,對(duì)文件存儲(chǔ)的密鑰通過可信硬件進(jìn)行保護(hù)����,防止了惡意程序訪問和破壞。
[0096]如圖4所示����,所述支持域管理的系統(tǒng)內(nèi)核100還包括可信網(wǎng)絡(luò)連接系統(tǒng)140。所述可信網(wǎng)絡(luò)連接系統(tǒng)140構(gòu)建于所述支持域管理的系統(tǒng)內(nèi)核100上�����,用于實(shí)現(xiàn)為應(yīng)用程序提供可信的網(wǎng)絡(luò)支持����。所述可信網(wǎng)絡(luò)連接系統(tǒng)140包括:可信網(wǎng)絡(luò)連接協(xié)議棧模塊141,可信網(wǎng)絡(luò)訪問請(qǐng)求器142��。所述可信網(wǎng)絡(luò)連接協(xié)議棧模塊141提供加密連接支持�,或進(jìn)一步包含與遠(yuǎn)程網(wǎng)絡(luò)連接決策點(diǎn)之間進(jìn)行完整性驗(yàn)證的協(xié)議的實(shí)現(xiàn)。所述可信網(wǎng)絡(luò)訪問請(qǐng)求器142作為網(wǎng)絡(luò)訪問的入口����,控制所有對(duì)本地進(jìn)行的網(wǎng)絡(luò)訪問��。可信網(wǎng)絡(luò)連接系統(tǒng)140利用可信系統(tǒng)區(qū)提供的多項(xiàng)安全功能為上層應(yīng)用提供了一個(gè)可信的網(wǎng)絡(luò)連接基礎(chǔ)����,只有在平臺(tái)狀態(tài)正常的情況下才允許上層應(yīng)用進(jìn)行網(wǎng)路連接。同時(shí)�����,可信網(wǎng)絡(luò)連接協(xié)議棧模塊提供加密連接方式����,上層應(yīng)用可以選擇采用加密連接進(jìn)行數(shù)據(jù)傳輸,從而防止數(shù)據(jù)在傳輸過程中泄露����。
[0097]所述程序執(zhí)行域環(huán)境200構(gòu)建于所述支持域管理的系統(tǒng)內(nèi)核100上,基于命名空間實(shí)現(xiàn)至少2個(gè)域��,每個(gè)域中的程序均獨(dú)立運(yùn)行���,不同域中的程序相互無干擾����。
[0098]所述智能操作系統(tǒng)210構(gòu)建于所述程序執(zhí)行域環(huán)境200中的第一個(gè)域中���,又稱智能操作系統(tǒng)域��,用于通過所述支持域管理的系統(tǒng)內(nèi)核開放的域管理接口對(duì)程序和域進(jìn)行分配����、及通信管理;所述智能操作系統(tǒng)提取程序的域信息����,并在程序進(jìn)程交互過程中傳播所述域信息,從而實(shí)現(xiàn)跨域和域內(nèi)部的進(jìn)程間交互�����。
[0099]進(jìn)一步,如圖5所示,所述智能操作系統(tǒng)210包括支持跨域通信的Binder交互模組211�����,匿名共享內(nèi)存模組212�,域進(jìn)程信息配置模塊213,域內(nèi)存回收模塊214���,域管理接口保護(hù)模塊215�,認(rèn)證授權(quán)模塊216��,完整性度量收集器217,和可信網(wǎng)絡(luò)連接客戶端218�。
[0100]交互系統(tǒng)的應(yīng)用程序運(yùn)行在隔離的程序執(zhí)行域中時(shí)���,需要與運(yùn)行在智能系統(tǒng)域中的服務(wù)進(jìn)程發(fā)生交互����。通過這種交互���,程序才能訪問安卓框架層的資源��、調(diào)用其他應(yīng)用程序的接口等����。在安卓系統(tǒng)中����,程序主要使用兩種進(jìn)程間通訊方式=Binder機(jī)制、匿名共享內(nèi)存�。針對(duì)這兩種進(jìn)程間通訊方式,本實(shí)施例提供了支持跨域的進(jìn)程間交互機(jī)制���。由于每一個(gè)進(jìn)程都運(yùn)行在一個(gè)Linux內(nèi)核的命名空間中����,針對(duì)不同的進(jìn)程交互方式,本實(shí)施例提取程序的域信息并在交互過程中傳播����,從而可以支持跨域和域內(nèi)部的進(jìn)程間交互。本實(shí)施例在內(nèi)核層記錄每一個(gè)命名空間中運(yùn)行的進(jìn)程信息���,并且在Binder驅(qū)動(dòng)和匿名共享內(nèi)存驅(qū)動(dòng)中��,保存每一個(gè)Binder對(duì)象和共享內(nèi)存對(duì)象的創(chuàng)建進(jìn)程的信息�����。在程序?qū)嶋H執(zhí)行過程中���,監(jiān)控每一次進(jìn)程間交互的目標(biāo)對(duì)象所在的進(jìn)程,并根據(jù)該進(jìn)程所在的程序域判斷是否允許這一次進(jìn)程間交互��。具體地���,本實(shí)施例對(duì)跨域的進(jìn)程間通訊支持如下���。
[0101]如圖6所示,所述Binder交互模組211包括:第一記錄模塊2111, Binder驅(qū)動(dòng)模塊2112����,第一監(jiān)控模塊2113����,第一交互判定模塊2114����。所述第一記錄模塊2111記錄每一個(gè)域中運(yùn)行的進(jìn)程信息。所述Binder驅(qū)動(dòng)模塊2112存儲(chǔ)每一個(gè)Binder對(duì)象的創(chuàng)建進(jìn)程的信息�����。所述第一監(jiān)控模塊2113在程序執(zhí)行過程中監(jiān)控每一次進(jìn)程間交互的目標(biāo)對(duì)象所在的進(jìn)程��。所述第一交互判定模塊2114與所述第一記錄模塊2111���、Binder驅(qū)動(dòng)模塊2112���、第一監(jiān)控模塊2113分別相連,根據(jù)所述目標(biāo)對(duì)象所在的進(jìn)程的域信息判斷是否允許這一次進(jìn)程間交互��。每一個(gè)域中的進(jìn)程都可以調(diào)用自己域中進(jìn)程創(chuàng)建的Binder對(duì)象的接口�。通過判斷Binder對(duì)象創(chuàng)建者進(jìn)程的域信息�����,即可判斷一次Binder交互屬于跨域交互還是域內(nèi)部的交互��。為了支持程序調(diào)用系統(tǒng)的接口��,每一個(gè)應(yīng)用域(包括個(gè)人應(yīng)用域和辦公應(yīng)用域)都可以調(diào)用智能操作系統(tǒng)域中創(chuàng)建的Binder對(duì)象�。程序域之間的Binder對(duì)象是互相不可見的��,系統(tǒng)內(nèi)核在解析Binder對(duì)象時(shí)����,只考慮當(dāng)前進(jìn)程所在域可見的Binder對(duì)象實(shí)例。操作系統(tǒng)域可以訪問所有執(zhí)行域中的Binder對(duì)象�。
[0102]如圖7所示,所述匿名共享內(nèi)存模組212包括:第二記錄模塊2121����,匿名共享內(nèi)存驅(qū)動(dòng)模塊2122,第二監(jiān)控模塊2123��,第二交互判定模塊2124�。所述第二記錄模塊2121記錄每一個(gè)域中運(yùn)行的進(jìn)程信息。所述匿名共享內(nèi)存驅(qū)動(dòng)模塊2122存儲(chǔ)每一個(gè)共享內(nèi)存對(duì)象的創(chuàng)建進(jìn)程的信息。所述第二監(jiān)控模塊2123在程序執(zhí)行過程中監(jiān)控每一次進(jìn)程間交互的目標(biāo)對(duì)象所在的進(jìn)程�����。所述第二交互判定模塊2124與所述第二記錄模塊2121����、匿名共享內(nèi)存驅(qū)動(dòng)模塊2122、第二監(jiān)控模塊2123分別相連�,根據(jù)所述目標(biāo)對(duì)象所在的進(jìn)程的域信息判斷是否允許這一次進(jìn)程間交互。在安卓系統(tǒng)中���,每一個(gè)匿名共享內(nèi)存都有一個(gè)創(chuàng)建者����。每一個(gè)執(zhí)行域中創(chuàng)建的匿名共享內(nèi)存對(duì)象在域中所有進(jìn)程中都是可見的�����。為了共享內(nèi)存���,智能操作系統(tǒng)域中創(chuàng)建的匿名共享內(nèi)存對(duì)所有應(yīng)用執(zhí)行域也都是可見的�����。各個(gè)應(yīng)用執(zhí)行域之間無法共享內(nèi)存���,同時(shí),每一個(gè)應(yīng)用執(zhí)行域中創(chuàng)建的匿名共享內(nèi)存也可以被智能操作系統(tǒng)訪問���。本實(shí)施例通過在進(jìn)程創(chuàng)建匿名共享內(nèi)存時(shí)標(biāo)記該對(duì)象的創(chuàng)建進(jìn)程���,進(jìn)而在進(jìn)程交互時(shí)根據(jù)交互對(duì)象的創(chuàng)建者進(jìn)程獲取其域信息����,從而判斷此次交互是否為跨域交互。
[0103]所述域進(jìn)程信息配置模塊213與所述域管理接口相連�,通過所述域管理接口配置新創(chuàng)建的應(yīng)用程序進(jìn)程需要具備的進(jìn)程信息。當(dāng)智能操作系統(tǒng)需要?jiǎng)?chuàng)建個(gè)人應(yīng)用程序進(jìn)程或者辦公應(yīng)用程序進(jìn)程時(shí)����,系統(tǒng)內(nèi)核通過與對(duì)應(yīng)的進(jìn)程孵化器通訊,使其克隆自身成為新的應(yīng)用程序進(jìn)程��。新克隆出來的程序?qū)⑦\(yùn)行在與進(jìn)程孵化器同一個(gè)命名空間中��。同時(shí)�����,系統(tǒng)內(nèi)核允許智能操作系統(tǒng)通過接口配置新的應(yīng)用程序進(jìn)程具備的進(jìn)程信息�����,例如進(jìn)程用戶ID�����、組ID��。本實(shí)施例采用Linux內(nèi)核的命名空間機(jī)制隔離個(gè)人應(yīng)用程序和辦公應(yīng)用程序的同時(shí),也將操作系統(tǒng)的執(zhí)行和應(yīng)用程序進(jìn)行隔離����。為了便于智能操作系統(tǒng)管理其他程序域的執(zhí)行,本實(shí)施例在內(nèi)核層次提供管理接口���,即域管理接口。智能操作系統(tǒng)基于系統(tǒng)內(nèi)核提供的域管理接口可以方便的實(shí)現(xiàn)對(duì)于程序域的管理����。本實(shí)施例可以以開放源代碼�、使用范圍最廣的安卓系統(tǒng)作為基礎(chǔ)系統(tǒng)�����,構(gòu)建個(gè)人環(huán)境和辦公環(huán)境隔離的智能終端辦公環(huán)境�����。同時(shí),本實(shí)施例提供的程序執(zhí)行域技術(shù)也可服務(wù)于其他基于Linux內(nèi)核的操作系統(tǒng)�。
[0104]所述域內(nèi)存回收模塊214與所述域管理接口相連�����,根據(jù)域的優(yōu)先級(jí)選擇性殺死各個(gè)域中不活躍的進(jìn)程��,釋放內(nèi)存空間���。當(dāng)系統(tǒng)內(nèi)存不夠時(shí)�,智能操作系統(tǒng)通過殺死不活躍的進(jìn)程釋放內(nèi)存空間�����。本實(shí)施例提供的系統(tǒng)內(nèi)核根據(jù)執(zhí)行域進(jìn)行內(nèi)存回收����。例如:在默認(rèn)情況下����,系統(tǒng)內(nèi)核優(yōu)先釋放個(gè)人應(yīng)用中的進(jìn)程資源�,其次是辦公應(yīng)用域中進(jìn)程資源�����,最后是操作系統(tǒng)域中的進(jìn)程資源����。從一個(gè)執(zhí)行域中選擇合適的進(jìn)程最后釋放對(duì)象將取決于智能操作系統(tǒng)本身的資源����。在安卓系統(tǒng)中�����,系統(tǒng)將優(yōu)先釋放那些運(yùn)行在后臺(tái)的程序進(jìn)程�。
[0105]所述域管理接口保護(hù)模塊215與所述域管理接口相連�,限制只有位于所述智能操作系統(tǒng)所在域中的進(jìn)程才能調(diào)用所述域管理接口���。通過系統(tǒng)內(nèi)核提供的程序域管理接口,可以創(chuàng)建新的程序域,可以在任意域中創(chuàng)建新的進(jìn)程,可以釋放任意進(jìn)程。為了保護(hù)程序域管理接口不被應(yīng)用域中的程序調(diào)用����,本實(shí)施例通過接口調(diào)用者所在的域信息對(duì)接口進(jìn)行保護(hù),限制只有位于操作系統(tǒng)域的進(jìn)程才能夠調(diào)用此類接口。
[0106]所述認(rèn)證授權(quán)模塊216用于驗(yàn)證用戶的合法身份,接收用戶設(shè)置的共享秘密數(shù)據(jù),并在所述共享秘密數(shù)據(jù)正確時(shí)允許用戶訪問所述可信存儲(chǔ)文件系統(tǒng)��。本實(shí)施例沿用了底層操作系統(tǒng)對(duì)用戶的管理方式��,但是添加了用戶身份認(rèn)證和授權(quán)模塊(即認(rèn)證授權(quán)模塊216�����,又可簡(jiǎn)稱為AUTH模塊)。AUTH模塊將用戶的認(rèn)證和可信硬件支持的認(rèn)證和授權(quán)結(jié)合在一起。AUTH模塊首先驗(yàn)證用戶的合法身份,然后接收用戶設(shè)置的共享秘密數(shù)據(jù)���,只有該數(shù)據(jù)正確時(shí)用戶才能訪問可信存儲(chǔ)文件系統(tǒng)�。AUTH模塊在用戶的一次會(huì)話期間不需要重新執(zhí)行�����,只需在系統(tǒng)加載時(shí)或者用戶切換時(shí)通過系統(tǒng)調(diào)用接口進(jìn)行����。與常用的口令認(rèn)證機(jī)制相比,該過程實(shí)現(xiàn)了更安全�����、更可靠的認(rèn)證����。
[0107]所述完整性度量收集器217用于收集所述智能操作系統(tǒng)的運(yùn)行平臺(tái)的完整性度量值���,以便傳輸至遠(yuǎn)程可信網(wǎng)絡(luò)連接決策點(diǎn)進(jìn)行驗(yàn)證���。其中���,所述完整性度量值包括平臺(tái)相關(guān)的配置和一些安全參數(shù)等信息����。
[0108]所述可信網(wǎng)絡(luò)連接客戶端218與所述完整性度量收集器217相連��,負(fù)責(zé)管理所述完整性度量收集器����。
[0109]所述應(yīng)用程序域220由所述智能操作系統(tǒng)210創(chuàng)建于所述程序執(zhí)行域環(huán)境200中不同于所述第一個(gè)域(即智能操作系統(tǒng)域)的域中���,用于運(yùn)行應(yīng)用程序���。
[0110]進(jìn)一步�����,如圖8所示,所述應(yīng)用程序域220包括:辦公應(yīng)用域221����,個(gè)人應(yīng)用域222。所述辦公應(yīng)用域221由所述智能操作系統(tǒng)210創(chuàng)建于所述程序執(zhí)行域環(huán)境200中不同于所述第一個(gè)域的第二個(gè)域中���,用于運(yùn)行企業(yè)授信的辦公應(yīng)用程序�。所述個(gè)人應(yīng)用域222由所述智能操作系統(tǒng)210創(chuàng)建于所述程序執(zhí)行域環(huán)境200中不同于所述第一個(gè)域的第三個(gè)域中�����,用于運(yùn)行用戶自行安裝的第三方應(yīng)用程序����。
[0111]所述可信系統(tǒng)300構(gòu)建于智能終端平臺(tái)提供的硬件可信(TrustZone)模式下����,通過受限通信與所述支持域管理的系統(tǒng)內(nèi)核100和智能操作系統(tǒng)210交互��。本實(shí)施例利用基于TrustZone的可信系統(tǒng)提供的加解密�����、簽名和驗(yàn)證功能�����、以及組件可信性驗(yàn)證等功能為上層應(yīng)用提供可信的網(wǎng)絡(luò)支持。不可信系統(tǒng)通過受限通信和可信系統(tǒng)交互�。
[0112]進(jìn)一步�,如圖9所示�,所述可信系統(tǒng)300包括:信息加解密模塊310�����,簽名驗(yàn)證模塊320�����,組件可信性驗(yàn)證模塊330。所述信息加解密模塊310與所述可信存儲(chǔ)文件系統(tǒng)130���、所述可信網(wǎng)絡(luò)連接系統(tǒng)140或/和所述智能操作系統(tǒng)210相連,為所述可信存儲(chǔ)文件系統(tǒng)提供密鑰生成、加密和安全存儲(chǔ)��,或/和為所述可信網(wǎng)絡(luò)連接協(xié)議棧模塊提供加密連接協(xié)議。所述簽名驗(yàn)證模塊320與所述認(rèn)證授權(quán)模塊216或/和所述可信網(wǎng)絡(luò)連接協(xié)議棧模塊141相連,對(duì)所述用戶進(jìn)行身份認(rèn)證和授權(quán)�,或/和對(duì)所述網(wǎng)絡(luò)訪問進(jìn)行驗(yàn)證。所述組件可信性驗(yàn)證模塊330與所述可信存儲(chǔ)文件系統(tǒng)130、所述可信網(wǎng)絡(luò)連接系統(tǒng)140、或/和所述完整性度量收集器217相連����,用于驗(yàn)證所述可信存儲(chǔ)文件系統(tǒng)�����、所述可信網(wǎng)絡(luò)連接系統(tǒng)��、或/和所述完整性度量收集器的組件可信性���。
[0113]本發(fā)明實(shí)現(xiàn)了辦公應(yīng)用的安全強(qiáng)隔離,實(shí)現(xiàn)了跨域的進(jìn)程間通信,保證了操作系統(tǒng)、辦公應(yīng)用與個(gè)人應(yīng)用三方應(yīng)用執(zhí)行環(huán)節(jié)的安全隔離����,同時(shí)也支持三方進(jìn)程的跨域通信�����。
[0114]本實(shí)施例還提供一種支持域管理的移動(dòng)辦公安全方法,該方法可以由本實(shí)施例所述的支持域管理的移動(dòng)辦公安全系統(tǒng)實(shí)現(xiàn)����,但該方法的實(shí)現(xiàn)裝置包括但不限于本實(shí)施例所述的支持域管理的移動(dòng)辦公安全系統(tǒng)���。
[0115]如圖10所示����,所述支持域管理的移動(dòng)辦公安全方法包括:
[0116]S101�����,在智能終端平臺(tái)提供的硬件普通模式下構(gòu)建支持域管理的系統(tǒng)內(nèi)核�,用于實(shí)現(xiàn)對(duì)應(yīng)用程序的域管理。
[0117]S102,在所述支持域管理的系統(tǒng)內(nèi)核上構(gòu)建程序執(zhí)行域環(huán)境���。所述程序執(zhí)行域環(huán)境基于命名空間實(shí)現(xiàn)至少2個(gè)域��,每個(gè)域中的程序均獨(dú)立運(yùn)行,不同域中的程序相互無干擾�����。
[0118]S103,在所述程序執(zhí)行域環(huán)境中的第一個(gè)域中構(gòu)建智能操作系統(tǒng)����,用于通過所述支持域管理的系統(tǒng)內(nèi)核開放的域管理接口對(duì)程序和域進(jìn)行分配、及通信管理�����;所述智能操作系統(tǒng)提取程序的域信息��,并在程序進(jìn)程交互過程中傳播所述域信息��,從而實(shí)現(xiàn)跨域和域內(nèi)部的進(jìn)程間交互���。
[0119]進(jìn)一步��,參見圖11所示�����,所述智能操作系統(tǒng)通過域管理接口對(duì)程序和域進(jìn)行分配�����、及通信管理的一種具體實(shí)現(xiàn)過程包括:
[0120]S111,通過所述域管理接口配置新創(chuàng)建的應(yīng)用程序進(jìn)程需要具備的進(jìn)程信息�。當(dāng)智能操作系統(tǒng)需要?jiǎng)?chuàng)建個(gè)人應(yīng)用程序進(jìn)程或者辦公應(yīng)用程序進(jìn)程時(shí),系統(tǒng)內(nèi)核通過與對(duì)應(yīng)的進(jìn)程孵化器通訊�,使其克隆自身成為新的應(yīng)用程序進(jìn)程。新克隆出來的程序?qū)⑦\(yùn)行在與進(jìn)程孵化器同一個(gè)命名空間中�����。同時(shí)�����,系統(tǒng)內(nèi)核允許智能操作系統(tǒng)通過接口配置新的應(yīng)用程序進(jìn)程具備的進(jìn)程信息����,例如進(jìn)程用戶ID、組ID����。本實(shí)施例采用Linux內(nèi)核的命名空間機(jī)制隔離個(gè)人應(yīng)用程序和辦公應(yīng)用程序的同時(shí),也將操作系統(tǒng)的執(zhí)行和應(yīng)用程序進(jìn)行隔離���。為了便于智能操作系統(tǒng)管理其他程序域的執(zhí)行,本實(shí)施例在內(nèi)核層次提供管理接口�����,即域管理接口。智能操作系統(tǒng)基于系統(tǒng)內(nèi)核提供的域管理接口可以方便的實(shí)現(xiàn)對(duì)于程序域的管理���。本實(shí)施例可以以開放源代碼�、使用范圍最廣的安卓系統(tǒng)作為基礎(chǔ)系統(tǒng)�����,構(gòu)建個(gè)人環(huán)境和辦公環(huán)境隔離的智能終端辦公環(huán)境��。同時(shí)���,本實(shí)施例提供的程序執(zhí)行域技術(shù)也可服務(wù)于其他基于Linux內(nèi)核的操作系統(tǒng)�。
[0121]S112���,根據(jù)域的優(yōu)先級(jí)選擇性殺死各個(gè)域中不活躍的進(jìn)程�����,釋放內(nèi)存空間����。當(dāng)系統(tǒng)內(nèi)存不夠時(shí),智能操作系統(tǒng)通過殺死不活躍的進(jìn)程釋放內(nèi)存空間�。本實(shí)施例提供的系統(tǒng)內(nèi)核根據(jù)執(zhí)行域進(jìn)行內(nèi)存回收。例如:在默認(rèn)情況下���,系統(tǒng)內(nèi)核優(yōu)先釋放個(gè)人應(yīng)用中的進(jìn)程資源�,其次是辦公應(yīng)用域中進(jìn)程資源����,最后是操作系統(tǒng)域中的進(jìn)程資源。從一個(gè)執(zhí)行域中選擇合適的進(jìn)程最后釋放對(duì)象將取決于智能操作系統(tǒng)本身的資源���。在安卓系統(tǒng)中�,系統(tǒng)將優(yōu)先釋放那些運(yùn)行在后臺(tái)的程序進(jìn)程��。
[0122]S113�����,限制只有位于所述智能操作系統(tǒng)所在域中的進(jìn)程才能調(diào)用所述域管理接口��。通過系統(tǒng)內(nèi)核提供的程序域管理接口���,可以創(chuàng)建新的程序域��,可以在任意域中創(chuàng)建新的進(jìn)程��,可以釋放任意進(jìn)程。為了保護(hù)程序域管理接口不被應(yīng)用域中的程序調(diào)用���,本實(shí)施例通過接口調(diào)用者所在的域信息對(duì)接口進(jìn)行保護(hù),限制只有位于操作系統(tǒng)域的進(jìn)程才能夠調(diào)用此類接口��。
[0123]圖12為圖11所述的智能操作系統(tǒng)的工作方法的場(chǎng)景示意圖��。
[0124]參見圖13所示�����,所述智能操作系統(tǒng)實(shí)現(xiàn)跨域和域內(nèi)部的進(jìn)程間交互的一種具體實(shí)現(xiàn)過程包括:
[0125]S131���,記錄每一個(gè)域中運(yùn)行的進(jìn)程信息��。
[0126]S132�,存儲(chǔ)每一個(gè)Binder對(duì)象或/和共享內(nèi)存對(duì)象的創(chuàng)建進(jìn)程的信息�。
[0127]S133,在程序執(zhí)行過程中監(jiān)控每一次進(jìn)程間交互的目標(biāo)對(duì)象所在的進(jìn)程���。
[0128]S134�,根據(jù)所述目標(biāo)對(duì)象所在的進(jìn)程的域信息判斷是否允許這一次進(jìn)程間交互。
[0129]圖14為圖13所述的智能操作系統(tǒng)的工作方法的場(chǎng)景示意圖���。交互系統(tǒng)的應(yīng)用程序運(yùn)行在隔離的程序執(zhí)行域中時(shí)���,需要與運(yùn)行在智能系統(tǒng)域中的服務(wù)進(jìn)程發(fā)生交互。通過這種交互��,程序才能訪問安卓框架層的資源���、調(diào)用其他應(yīng)用程序的接口等�����。在安卓系統(tǒng)中�,程序主要使用兩種進(jìn)程間通訊方式=Binder機(jī)制�����、匿名共享內(nèi)存�����。針對(duì)這兩種進(jìn)程間通訊方式,本實(shí)施例提供了支持跨域的進(jìn)程間交互機(jī)制����。由于每一個(gè)進(jìn)程都運(yùn)行在一個(gè)Linux內(nèi)核的命名空間中,針對(duì)不同的進(jìn)程交互方式�����,本實(shí)施例提取程序的域信息并在交互過程中傳播��,從而可以支持跨域和域內(nèi)部的進(jìn)程間交互��。本實(shí)施例在內(nèi)核層記錄每一個(gè)命名空間中運(yùn)行的進(jìn)程信息��,并且在Binder驅(qū)動(dòng)和匿名共享內(nèi)存驅(qū)動(dòng)中����,保存每一個(gè)Binder對(duì)象和共享內(nèi)存對(duì)象的創(chuàng)建進(jìn)程的信息�。在程序?qū)嶋H執(zhí)行過程中,監(jiān)控每一次進(jìn)程間交互的目標(biāo)對(duì)象所在的進(jìn)程�����,并根據(jù)該進(jìn)程所在的程序域判斷是否允許這一次進(jìn)程間交互����。每一個(gè)域中的進(jìn)程都可以調(diào)用自己域中進(jìn)程創(chuàng)建的Binder對(duì)象的接口�。通過判斷Binder對(duì)象創(chuàng)建者進(jìn)程的域信息�,即可判斷一次Binder交互屬于跨域交互還是域內(nèi)部的交互。為了支持程序調(diào)用系統(tǒng)的接口�,每一個(gè)應(yīng)用域(包括個(gè)人應(yīng)用域和辦公應(yīng)用域)都可以調(diào)用智能操作系統(tǒng)域中創(chuàng)建的Binder對(duì)象。程序域之間的Binder對(duì)象是互相不可見的�����,系統(tǒng)內(nèi)核在解析Binder對(duì)象時(shí),只考慮當(dāng)前進(jìn)程所在域可見的Binder對(duì)象實(shí)例��。操作系統(tǒng)域可以訪問所有執(zhí)行域中的Binder對(duì)象�����。為了共享內(nèi)存��,智能操作系統(tǒng)域中創(chuàng)建的匿名共享內(nèi)存對(duì)所有應(yīng)用執(zhí)行域也都是可見的�����。各個(gè)應(yīng)用執(zhí)行域之間無法共享內(nèi)存����,同時(shí),每一個(gè)應(yīng)用執(zhí)行域中創(chuàng)建的匿名共享內(nèi)存也可以被智能操作系統(tǒng)訪問。本實(shí)施例通過在進(jìn)程創(chuàng)建匿名共享內(nèi)存時(shí)標(biāo)記該對(duì)象的創(chuàng)建進(jìn)程��,進(jìn)而在進(jìn)程交互時(shí)根據(jù)交互對(duì)象的創(chuàng)建者進(jìn)程獲取其域信息�����,從而判斷此次交互是否為跨域交互���。
[0130]S104�����,在所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的域中,由所述智能操作系統(tǒng)創(chuàng)建應(yīng)用程序域����,用于運(yùn)行應(yīng)用程序。
[0131]進(jìn)一步���,參見圖15所示����,所述智能操作系統(tǒng)創(chuàng)建應(yīng)用程序域的一種具體實(shí)現(xiàn)過程包括:
[0132]S151���,創(chuàng)建一個(gè)子進(jìn)程作為一個(gè)域的進(jìn)程孵化器��;每個(gè)進(jìn)程孵化器均運(yùn)行于自身對(duì)應(yīng)的一個(gè)域中���。
[0133]S152�,所述進(jìn)程孵化器克隆自身創(chuàng)建新的應(yīng)用程序進(jìn)程�;所述新的應(yīng)用程序進(jìn)程與對(duì)應(yīng)的進(jìn)程孵化器運(yùn)行于同一個(gè)域中。
[0134]系統(tǒng)內(nèi)核在引導(dǎo)完成后初始化智能操作系統(tǒng)���,智能操作系統(tǒng)運(yùn)行在默認(rèn)的命名空間中����。隨后�,系統(tǒng)內(nèi)核創(chuàng)建兩條子進(jìn)程,作為各個(gè)應(yīng)用域的進(jìn)程孵化器(稱為domain_zygote)���。個(gè)人應(yīng)用域和辦公應(yīng)用域中的程序進(jìn)程分別從這兩條進(jìn)程孵化器進(jìn)程中克隆得來���。在創(chuàng)建進(jìn)程孵化器時(shí),內(nèi)核使用 CL0NE_NEWPID����、CL0NE_NEWIPC����、CL0NE_NEWNS, CL0NE_NEWNET等參數(shù)將進(jìn)程孵化器運(yùn)行在兩個(gè)新的獨(dú)立的命名空間中���。每一個(gè)新的命名空間具有隔離的進(jìn)程空間���、網(wǎng)絡(luò)資源、文件系統(tǒng)���。
[0135]參見圖8所示����,所述應(yīng)用程序域的一種具體創(chuàng)建過程包括:在所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的第二個(gè)域中����,由所述智能操作系統(tǒng)創(chuàng)建辦公應(yīng)用域��,用于運(yùn)行企業(yè)授信的辦公應(yīng)用程序��;在所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的第三個(gè)域中�����,由所述智能操作系統(tǒng)創(chuàng)建個(gè)人應(yīng)用域,用于運(yùn)行用戶自行安裝的第三方應(yīng)用程序����。
[0136]如圖16所示,所述支持域管理的移動(dòng)辦公安全方法還包括:
[0137]S105,在所述支持域管理的系統(tǒng)內(nèi)核上構(gòu)建可信存儲(chǔ)文件系統(tǒng)�,實(shí)現(xiàn)自動(dòng)對(duì)程序的文件寫或讀行為的保密。
[0138]進(jìn)一步���,參見圖17所示��,所述可信存儲(chǔ)文件系統(tǒng)的一種具體實(shí)現(xiàn)過程包括:通過所述支持域管理的系統(tǒng)內(nèi)核的加密接口對(duì)文件訪問進(jìn)行內(nèi)核級(jí)加密�,包括對(duì)整個(gè)文件進(jìn)行密鑰加密或/和計(jì)算文件的校驗(yàn)值���;擴(kuò)展文件的安全屬性�;所述安全屬性包括標(biāo)志域和數(shù)據(jù)域�;所述標(biāo)志域表示文件側(cè)重的安全屬性;所述數(shù)據(jù)域表示加密文件所使用的密鑰或/和文件的校驗(yàn)值��;采用鏈?zhǔn)郊用艿姆椒ūWo(hù)密鑰和文件�。例如:可信存儲(chǔ)文件系統(tǒng)可以含有兩類加密引擎:一部分文件采用對(duì)稱加密算法(AES)完成整個(gè)文件的加密;另一部分則使用加密散列算法(SHA-1)計(jì)算文件的校驗(yàn)值�����。本實(shí)施例可以使用Linux內(nèi)核中的Crypto接口來實(shí)現(xiàn)對(duì)文件訪問進(jìn)行內(nèi)核級(jí)加密?����?尚糯鎯?chǔ)文件系統(tǒng)擴(kuò)展文件的安全屬性����,擴(kuò)展屬性由標(biāo)志域和數(shù)據(jù)域兩部分組成。標(biāo)志域長(zhǎng)度為一個(gè)字節(jié)�����,表示該文件側(cè)重的安全屬性(C代表機(jī)密性�����,I代表完整性)�;數(shù)據(jù)域包含固定長(zhǎng)度的字符串,代表該文件所使用的加密密鑰或者該文件的校驗(yàn)和��。這些屬性保存時(shí)需要經(jīng)過可信硬件支持的加密���,防止攻擊者對(duì)安全屬性的竊取和篡改。密鑰管理是加密系統(tǒng)的關(guān)鍵組成部分��。可信存儲(chǔ)文件系統(tǒng)可以采用鏈?zhǔn)郊用艿姆椒▉肀Wo(hù)密鑰和文件���。其思想是由可信根密鑰開始��,根密鑰加密第一級(jí)密鑰����,第一級(jí)密鑰作為可信密鑰加密下一級(jí)密鑰�����,直到加密原始文件數(shù)據(jù)為止�����?�?尚庞布С值目尚糯a區(qū)提供密鑰生成�、加密和安全存儲(chǔ)。本實(shí)施例通過可信存儲(chǔ)文件系統(tǒng)來完成在內(nèi)核中自動(dòng)對(duì)程序的文件寫行為進(jìn)行加密���,保證存儲(chǔ)設(shè)備中的文件都是加密過的無法直接讀取�。對(duì)程序的文件讀行為自動(dòng)進(jìn)行解密從而保證現(xiàn)有程序可以正常運(yùn)行�。同時(shí)��,對(duì)文件存儲(chǔ)的密鑰通過可信硬件進(jìn)行保護(hù)�,防止了惡意程序訪問和破壞����。
[0139]所述智能操作系統(tǒng)支持所述可信存儲(chǔ)文件系統(tǒng)的一種具體實(shí)現(xiàn)過程包括:驗(yàn)證用戶的合法身份,接收用戶設(shè)置的共享秘密數(shù)據(jù)�,并在所述共享秘密數(shù)據(jù)正確時(shí)允許用戶訪問所述可信存儲(chǔ)文件系統(tǒng)。本實(shí)施例沿用了底層操作系統(tǒng)對(duì)用戶的管理方式�,但是添加了用戶身份認(rèn)證和授權(quán)模塊(簡(jiǎn)稱為AUTH模塊)。AUTH模塊將用戶的認(rèn)證和可信硬件支持的認(rèn)證和授權(quán)結(jié)合在一起�����。AUTH模塊首先驗(yàn)證用戶的合法身份���,然后接收用戶設(shè)置的共享秘密數(shù)據(jù)��,只有該數(shù)據(jù)正確時(shí)用戶才能訪問可信存儲(chǔ)文件系統(tǒng)�。AUTH模塊在用戶的一次會(huì)話期間不需要重新執(zhí)行����,只需在系統(tǒng)加載時(shí)或者用戶切換時(shí)通過系統(tǒng)調(diào)用接口進(jìn)行����。與常用的口令認(rèn)證機(jī)制相比��,該過程實(shí)現(xiàn)了更安全��、更可靠的認(rèn)證���。
[0140]如圖18所示,所述支持域管理的移動(dòng)辦公安全方法還包括:
[0141]S106,在所述支持域管理的系統(tǒng)內(nèi)核上構(gòu)建可信網(wǎng)絡(luò)連接系統(tǒng)���,實(shí)現(xiàn)為應(yīng)用程序提供可信的網(wǎng)絡(luò)支持�����。
[0142]進(jìn)一步�,參見圖19所示����,所述可信網(wǎng)絡(luò)連接系統(tǒng)的一種具體實(shí)現(xiàn)過程包括:提供加密連接支持;或進(jìn)一步包含與遠(yuǎn)程網(wǎng)絡(luò)連接決策點(diǎn)之間進(jìn)行完整性驗(yàn)證的協(xié)議的實(shí)現(xiàn)�����。設(shè)置網(wǎng)絡(luò)訪問的入口,控制所有對(duì)本地進(jìn)行的網(wǎng)絡(luò)訪問����。可信網(wǎng)絡(luò)連接系統(tǒng)利用可信系統(tǒng)區(qū)提供的多項(xiàng)安全功能為上層應(yīng)用提供了一個(gè)可信的網(wǎng)絡(luò)連接基礎(chǔ)�,只有在平臺(tái)狀態(tài)正常的情況下才允許上層應(yīng)用進(jìn)行網(wǎng)路連接。同時(shí)����,可信網(wǎng)絡(luò)連接協(xié)議棧模塊提供加密連接方式,上層應(yīng)用可以選擇采用加密連接進(jìn)行數(shù)據(jù)傳輸�����,從而防止數(shù)據(jù)在傳輸過程中泄露�����。
[0143]所述智能操作系統(tǒng)支持所述可信網(wǎng)絡(luò)連接系統(tǒng)的一種具體實(shí)現(xiàn)過程包括:收集所述智能操作系統(tǒng)的運(yùn)行平臺(tái)的完整性度量值����,以便傳輸至遠(yuǎn)程可信網(wǎng)絡(luò)連接決策點(diǎn)進(jìn)行驗(yàn)證;負(fù)責(zé)管理完整性度量�����。其中,所述完整性度量值包括智能操作系統(tǒng)平臺(tái)相關(guān)的配置和一些安全參數(shù)等信息�。
[0144]如圖20所示,所述支持域管理的移動(dòng)辦公安全方法還包括:
[0145]S107,在所述智能終端平臺(tái)提供的硬件可信模式下構(gòu)建可信系統(tǒng)�,所述可信系統(tǒng)通過受限通信與所述支持域管理的系統(tǒng)內(nèi)核或智能操作系統(tǒng)交互��。本實(shí)施例利用基于TrustZone的可信系統(tǒng)提供的加解密����、簽名和驗(yàn)證功能、以及組件可信性驗(yàn)證等功能為上層應(yīng)用提供可信的網(wǎng)絡(luò)支持�����。不可信系統(tǒng)通過受限通信和可信系統(tǒng)交互����。
[0146]進(jìn)一步,參見圖17和圖19所示�,所述可信系統(tǒng)的一種具體實(shí)現(xiàn)過程包括:為所述可信網(wǎng)絡(luò)連接協(xié)議棧模塊提供加密連接協(xié)議;對(duì)所述網(wǎng)絡(luò)訪問進(jìn)行驗(yàn)證��;驗(yàn)證所述可信網(wǎng)絡(luò)連接系統(tǒng)的組件可信性���;為所述可信存儲(chǔ)文件系統(tǒng)提供密鑰生成��、加密和安全存儲(chǔ)�;對(duì)所述用戶進(jìn)行身份認(rèn)證和授權(quán);驗(yàn)證所述可信存儲(chǔ)文件系統(tǒng)的組件可信性���。
[0147]本發(fā)明基于LINUX內(nèi)核提供命名空間機(jī)制實(shí)現(xiàn)了程序執(zhí)行域之間的強(qiáng)隔離�����,在移動(dòng)辦公安全系統(tǒng)中創(chuàng)建隔離的程序執(zhí)行環(huán)境�����;針對(duì)辦公執(zhí)行域中程序執(zhí)行環(huán)境安全級(jí)別的要求�,系統(tǒng)內(nèi)核提供了可信的文件存儲(chǔ)和網(wǎng)絡(luò)訪問功能�;在對(duì)跨域的進(jìn)程間通訊中,本發(fā)明支持跨域通訊的Binder交互,支持跨域通訊的匿名共享內(nèi)存�。而且,本發(fā)明采用Linux內(nèi)核的命名空間機(jī)制隔離個(gè)人應(yīng)用程序和辦公應(yīng)用程序的同時(shí),也將操作系統(tǒng)的執(zhí)行和應(yīng)用程序進(jìn)行了隔離�,為了便于智能操作系統(tǒng)管理其他程序域的執(zhí)行,本發(fā)明在內(nèi)核層次提供域管理接口���。智能操作系統(tǒng)基于系統(tǒng)內(nèi)核提供的域管理接口可以方便的實(shí)現(xiàn)對(duì)于程序域的管理���。此外�����,本發(fā)明提出的在支持移動(dòng)辦公應(yīng)用安全性方面�,提出了可信存儲(chǔ)與網(wǎng)絡(luò)安全連接��。
[0148]與現(xiàn)有技術(shù)相比���,本發(fā)明的優(yōu)點(diǎn)在于為移動(dòng)辦公安全領(lǐng)域設(shè)定了支持域管理的系統(tǒng)內(nèi)核,不同于一般LINUX共享內(nèi)存等方式處理程序間的通訊����。本發(fā)明為了創(chuàng)建隔離的程序執(zhí)行環(huán)境,智能操作系統(tǒng)和應(yīng)用程序(包括個(gè)人應(yīng)用和辦公應(yīng)用)均運(yùn)行在單獨(dú)的程序執(zhí)行域中�����,并且相對(duì)于傳統(tǒng)的基于LINUX內(nèi)核進(jìn)程間通信方式有著顯著的不同��,其提供的命名空間機(jī)制實(shí)現(xiàn)了程序執(zhí)行域之間的強(qiáng)隔離(包括文件系統(tǒng)��、網(wǎng)絡(luò)資源�、進(jìn)程空間等方面的隔離)。為了支持應(yīng)用程序和智能操作系統(tǒng)之間的正常交互����,本發(fā)明提供了跨域的進(jìn)程間通訊機(jī)制��,支持現(xiàn)有應(yīng)用程序能夠正常的在獨(dú)立程序域中執(zhí)行���。同時(shí)這種跨域的通訊機(jī)制同樣支持一個(gè)執(zhí)行域內(nèi)部的進(jìn)程間通訊。
[0149]綜上所述��,本發(fā)明有效克服了現(xiàn)有技術(shù)中的種種缺點(diǎn)而具高度產(chǎn)業(yè)利用價(jià)值��。
[0150]上述實(shí)施例僅例示性說明本發(fā)明的原理及其功效��,而非用于限制本發(fā)明����。任何熟悉此技術(shù)的人士皆可在不違背本發(fā)明的精神及范疇下,對(duì)上述實(shí)施例進(jìn)行修飾或改變���。因此��,舉凡所屬【技術(shù)領(lǐng)域】中具有通常知識(shí)者在未脫離本發(fā)明所揭示的精神與技術(shù)思想下所完成的一切等效修飾或改變��,仍應(yīng)由本發(fā)明的權(quán)利要求所涵蓋��。
【權(quán)利要求】
1.一種支持域管理的移動(dòng)辦公安全系統(tǒng)����,其特征在于,所述支持域管理的移動(dòng)辦公安全系統(tǒng)包括: 支持域管理的系統(tǒng)內(nèi)核����,構(gòu)建于智能終端平臺(tái)提供的硬件普通模式下,用于實(shí)現(xiàn)對(duì)應(yīng)用程序的域管理�; 程序執(zhí)行域環(huán)境,構(gòu)建于所述支持域管理的系統(tǒng)內(nèi)核上���,基于命名空間實(shí)現(xiàn)至少2個(gè)域,每個(gè)域中的程序均獨(dú)立運(yùn)行��,不同域中的程序相互無干擾�����; 智能操作系統(tǒng)�����,構(gòu)建于所述程序執(zhí)行域環(huán)境中的第一個(gè)域中���,用于通過所述支持域管理的系統(tǒng)內(nèi)核開放的域管理接口對(duì)程序和域進(jìn)行分配����、及通信管理;所述智能操作系統(tǒng)提取程序的域信息���,并在程序進(jìn)程交互過程中傳播所述域信息���,從而實(shí)現(xiàn)跨域和域內(nèi)部的進(jìn)程間交互; 應(yīng)用程序域�,由所述智能操作系統(tǒng)創(chuàng)建于所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的域中,用于運(yùn)行應(yīng)用程序��。
2.根據(jù)權(quán)利要求1所述的支持域管理的移動(dòng)辦公安全系統(tǒng)����,其特征在于:所述應(yīng)用程序域包括: 辦公應(yīng)用域,由所述智能操作系統(tǒng)創(chuàng)建于所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的第二個(gè)域中��,用于運(yùn)行企業(yè)授信的辦公應(yīng)用程序����; 個(gè)人應(yīng)用域,由所述智能操作系統(tǒng)創(chuàng)建于所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的第三個(gè)域中�,用于運(yùn)行用戶自行安裝的第三方應(yīng)用程序。
3.根據(jù)權(quán)利要求1所述的支持域管理的移動(dòng)辦公安全系統(tǒng)���,其特征在于����,所述智能操作系統(tǒng)包括支持跨域通信的Binder交互模組,所述Binder交互模組包括: 第一記錄模塊,記錄每一個(gè)域中運(yùn)行的進(jìn)程信息�����; Binder驅(qū)動(dòng)模塊,存儲(chǔ)每一個(gè)Binder對(duì)象的創(chuàng)建進(jìn)程的信息����; 第一監(jiān)控模塊,在程序執(zhí)行過程中監(jiān)控每一次進(jìn)程間交互的目標(biāo)對(duì)象所在的進(jìn)程���;第一交互判定模塊�,與所述第一記錄模塊�����、Binder驅(qū)動(dòng)模塊���、第一監(jiān)控模塊分別相連,根據(jù)所述目標(biāo)對(duì)象所在的進(jìn)程的域信息判斷是否允許這一次進(jìn)程間交互�。
4.根據(jù)權(quán)利要求1所述的支持域管理的移動(dòng)辦公安全系統(tǒng)����,其特征在于����,所述智能操作系統(tǒng)包括支持跨域通信的匿名共享內(nèi)存模組,所述匿名共享內(nèi)存模組包括: 第二記錄模塊���,記錄每一個(gè)域中運(yùn)行的進(jìn)程信息�����; 匿名共享內(nèi)存驅(qū)動(dòng)模塊�����,存儲(chǔ)每一個(gè)共享內(nèi)存對(duì)象的創(chuàng)建進(jìn)程的信息����; 第二監(jiān)控模塊����,在程序執(zhí)行過程中監(jiān)控每一次進(jìn)程間交互的目標(biāo)對(duì)象所在的進(jìn)程;第二交互判定模塊,與所述第二記錄模塊����、匿名共享內(nèi)存驅(qū)動(dòng)模塊、第二監(jiān)控模塊分別相連�,根據(jù)所述目標(biāo)對(duì)象所在的進(jìn)程的域信息判斷是否允許這一次進(jìn)程間交互。
5.根據(jù)權(quán)利要求1所述的支持域管理的移動(dòng)辦公安全系統(tǒng)�����,其特征在于���,所述支持域管理的系統(tǒng)內(nèi)核包括: 進(jìn)程孵化器創(chuàng)建模塊����,創(chuàng)建一個(gè)子進(jìn)程作為一個(gè)所述域的進(jìn)程孵化器����;每個(gè)進(jìn)程孵化器均運(yùn)行于自身對(duì)應(yīng)的一個(gè)域中; 應(yīng)用程序進(jìn)程創(chuàng)建模塊�����,與所述進(jìn)程孵化器創(chuàng)建模塊相連�����,使所述進(jìn)程孵化器克隆自身創(chuàng)建新的應(yīng)用程序進(jìn)程���;所述新的應(yīng)用程序進(jìn)程與對(duì)應(yīng)的進(jìn)程孵化器運(yùn)行于同一個(gè)域中����。
6.根據(jù)權(quán)利要求1所述的支持域管理的移動(dòng)辦公安全系統(tǒng)�����,其特征在于�,所述智能操作系統(tǒng)包括: 域進(jìn)程信息配置模塊,與所述域管理接口相連����,通過所述域管理接口配置新創(chuàng)建的應(yīng)用程序進(jìn)程需要具備的進(jìn)程信息; 域內(nèi)存回收模塊��,與所述域管理接口相連�����,根據(jù)域的優(yōu)先級(jí)選擇性殺死各個(gè)域中不活躍的進(jìn)程�����,釋放內(nèi)存空間; 域管理接口保護(hù)模塊�����,與所述域管理接口相連�����,限制只有位于所述智能操作系統(tǒng)所在域中的進(jìn)程才能調(diào)用所述域管理接口���。
7.根據(jù)權(quán)利要求1所述的支持域管理的移動(dòng)辦公安全系統(tǒng)����,其特征在于���,所述支持域管理的移動(dòng)辦公安全系統(tǒng)還包括構(gòu)建于所述支持域管理的系統(tǒng)內(nèi)核上的可信存儲(chǔ)文件系統(tǒng)和可信網(wǎng)絡(luò)連接系統(tǒng)�; 所述可信存儲(chǔ)文件系統(tǒng)包括: 加密弓I擎模塊�����,通過所述支持域管理的系統(tǒng)內(nèi)核的加密接口對(duì)文件訪問進(jìn)行內(nèi)核級(jí)加密��,包括對(duì)整個(gè)文件進(jìn)行密鑰加密或/和計(jì)算文件的校驗(yàn)值��; 文件安全屬性模塊��,與所述加密引擎模塊相連�����,擴(kuò)展文件的安全屬性��;所述安全屬性包括標(biāo)志域和數(shù)據(jù)域��;所述標(biāo)志域表示文件側(cè)重的安全屬性���;所述數(shù)據(jù)域表示加密文件所使用的密鑰或/和文件的校驗(yàn)值�; 密鑰管理模塊����,與所述加密引擎模塊和文件安全屬性模塊分別相連,采用鏈?zhǔn)郊用艿姆椒ūWo(hù)密鑰和文件��; 所述可信網(wǎng)絡(luò)連接系統(tǒng)包括: 可信網(wǎng)絡(luò)連接協(xié)議棧模塊��,提供加密連接支持�����; 可信網(wǎng)絡(luò)訪問請(qǐng)求器,作為網(wǎng)絡(luò)訪問的入口�,控制所有對(duì)本地進(jìn)行的網(wǎng)絡(luò)訪問。
8.根據(jù)權(quán)利要求7所述的支持域管理的移動(dòng)辦公安全系統(tǒng)��,其特征在于��,所述智能操作系統(tǒng)還包括: 認(rèn)證授權(quán)模塊�,用于驗(yàn)證用戶的合法身份,接收用戶設(shè)置的共享秘密數(shù)據(jù)�����,并在所述共享秘密數(shù)據(jù)正確時(shí)允許用戶訪問所述可信存儲(chǔ)文件系統(tǒng)�; 完整性度量收集器,用于收集所述智能操作系統(tǒng)的運(yùn)行平臺(tái)的完整性度量值��,以便傳輸至遠(yuǎn)程可信網(wǎng)絡(luò)連接決策點(diǎn)進(jìn)行驗(yàn)證���; 可信網(wǎng)絡(luò)連接客戶端�����,與所述完整性度量收集器相連�,負(fù)責(zé)管理所述完整性度量收集器。
9.根據(jù)權(quán)利要求8所述的支持域管理的移動(dòng)辦公安全系統(tǒng)�����,其特征在于��,所述支持域管理的移動(dòng)辦公安全系統(tǒng)還包括構(gòu)建于智能終端平臺(tái)提供的硬件可信模式下的可信系統(tǒng)���,所述可信系統(tǒng)通過受限通信與所述支持域管理的系統(tǒng)內(nèi)核或智能操作系統(tǒng)交互,包括: 信息加解密模塊���,與所述可信存儲(chǔ)文件系統(tǒng)���、所述可信網(wǎng)絡(luò)連接系統(tǒng)或/和所述智能操作系統(tǒng)相連,為所述可信存儲(chǔ)文件系統(tǒng)提供密鑰生成��、加密和安全存儲(chǔ)�,或/和為所述可信網(wǎng)絡(luò)連接協(xié)議棧模塊提供加密連接協(xié)議; 簽名驗(yàn)證模塊���,與所述認(rèn)證授權(quán)模塊或/和所述可信網(wǎng)絡(luò)連接協(xié)議棧模塊相連���,對(duì)所述用戶進(jìn)行身份認(rèn)證和授權(quán)��,或/和對(duì)所述網(wǎng)絡(luò)訪問進(jìn)行驗(yàn)證�����; 組件可信性驗(yàn)證模塊����,與所述可信存儲(chǔ)文件系統(tǒng)����、所述可信網(wǎng)絡(luò)連接系統(tǒng)、或/和所述完整性度量收集器相連����,用于驗(yàn)證所述可信存儲(chǔ)文件系統(tǒng)、所述可信網(wǎng)絡(luò)連接系統(tǒng)����、或/和所述完整性度量收集器的組件可信性。
10.一種支持域管理的移動(dòng)辦公安全方法�,其特征在于,所述支持域管理的移動(dòng)辦公安全方法包括: 在智能終端平臺(tái)提供的硬件普通模式下構(gòu)建支持域管理的系統(tǒng)內(nèi)核�����,用于實(shí)現(xiàn)對(duì)應(yīng)用程序的域管理; 在所述支持域管理的系統(tǒng)內(nèi)核上構(gòu)建程序執(zhí)行域環(huán)境���;所述程序執(zhí)行域環(huán)境基于命名空間實(shí)現(xiàn)至少2個(gè)域����,每個(gè)域中的程序均獨(dú)立運(yùn)行���,不同域中的程序相互無干擾; 在所述程序執(zhí)行域環(huán)境中的第一個(gè)域中構(gòu)建智能操作系統(tǒng)�����,用于通過所述支持域管理的系統(tǒng)內(nèi)核開放的域管理接口對(duì)程序和域進(jìn)行分配���、及通信管理�;所述智能操作系統(tǒng)提取程序的域信息����,并在程序進(jìn)程交互過程中傳播所述域信息,從而實(shí)現(xiàn)跨域和域內(nèi)部的進(jìn)程間交互����; 在所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的域中��,由所述智能操作系統(tǒng)創(chuàng)建應(yīng)用程序域��,用于運(yùn)行應(yīng)用程序����。
11.根據(jù)權(quán)利要求10所述的支持域管理的移動(dòng)辦公安全方法����,其特征在于,所述應(yīng)用程序域的一種具體創(chuàng)建過程包括: 在所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的第二個(gè)域中����,由所述智能操作系統(tǒng)創(chuàng)建辦公應(yīng)用域,用于運(yùn)行企業(yè)授信的辦公應(yīng)用程序����; 在所述程序執(zhí)行域環(huán)境中不同于所述第一個(gè)域的第三個(gè)域中,由所述智能操作系統(tǒng)創(chuàng)建個(gè)人應(yīng)用域�,用于運(yùn)行用戶自行安裝的第三方應(yīng)用程序。
12.根據(jù)權(quán)利要求10所述的支持域管理的移動(dòng)辦公安全方法�,其特征在于,所述智能操作系統(tǒng)實(shí)現(xiàn)跨域和域內(nèi)部的進(jìn)程間交互的一種具體實(shí)現(xiàn)過程包括: 記錄每一個(gè)域中運(yùn)行的進(jìn)程信息���; 存儲(chǔ)每一個(gè)Binder對(duì)象或/和共享內(nèi)存對(duì)象的創(chuàng)建進(jìn)程的信息�����; 在程序執(zhí)行過程中監(jiān)控每一次進(jìn)程間交互的目標(biāo)對(duì)象所在的進(jìn)程��; 根據(jù)所述目標(biāo)對(duì)象所在的進(jìn)程的域信息判斷是否允許這一次進(jìn)程間交互���。
13.根據(jù)權(quán)利要求10所述的支持域管理的移動(dòng)辦公安全方法�,其特征在于���,所述智能操作系統(tǒng)創(chuàng)建應(yīng)用程序域的一種具體實(shí)現(xiàn)過程包括: 創(chuàng)建一個(gè)子進(jìn)程作為一個(gè)域的進(jìn)程孵化器�;每個(gè)進(jìn)程孵化器均運(yùn)行于自身對(duì)應(yīng)的一個(gè)域中�����; 所述進(jìn)程孵化器克隆自身創(chuàng)建新的應(yīng)用程序進(jìn)程��;所述新的應(yīng)用程序進(jìn)程與對(duì)應(yīng)的進(jìn)程孵化器運(yùn)行于同一個(gè)域中��。
14.根據(jù)權(quán)利要求10所述的支持域管理的移動(dòng)辦公安全方法����,其特征在于,所述智能操作系統(tǒng)通過域管理接口對(duì)程序和域進(jìn)行分配�����、及通信管理的一種具體實(shí)現(xiàn)過程包括: 通過所述域管理接口配置新創(chuàng)建的應(yīng)用程序進(jìn)程需要具備的進(jìn)程信息�; 根據(jù)域的優(yōu)先級(jí)選擇性殺死各個(gè)域中不活躍的進(jìn)程,釋放內(nèi)存空間�; 限制只有位于所述智能操作系統(tǒng)所在域中的進(jìn)程才能調(diào)用所述域管理接口。
15.根據(jù)權(quán)利要求10所述的支持域管理的移動(dòng)辦公安全方法�,其特征在于,所述支持域管理的移動(dòng)辦公安全方法還包括在所述支持域管理的系統(tǒng)內(nèi)核上構(gòu)建可信存儲(chǔ)文件系統(tǒng)�,實(shí)現(xiàn)自動(dòng)對(duì)程序的文件寫或讀行為的保密;所述可信存儲(chǔ)文件系統(tǒng)的一種具體實(shí)現(xiàn)過程包括: 通過所述支持域管理的系統(tǒng)內(nèi)核的加密接口對(duì)文件訪問進(jìn)行內(nèi)核級(jí)加密,包括對(duì)整個(gè)文件進(jìn)行密鑰加密或/和計(jì)算文件的校驗(yàn)值����; 擴(kuò)展文件的安全屬性;所述安全屬性包括標(biāo)志域和數(shù)據(jù)域��;所述標(biāo)志域表示文件側(cè)重的安全屬性�;所述數(shù)據(jù)域表示加密文件所使用的密鑰或/和文件的校驗(yàn)值; 采用鏈?zhǔn)郊用艿姆椒ūWo(hù)密鑰和文件����。
16.根據(jù)權(quán)利要求15所述的支持域管理的移動(dòng)辦公安全方法,其特征在于�����,所述智能操作系統(tǒng)支持所述可信存儲(chǔ)文件系統(tǒng)的一種具體實(shí)現(xiàn)過程包括: 驗(yàn)證用戶的合法身份,接收用戶設(shè)置的共享秘密數(shù)據(jù)�����,并在所述共享秘密數(shù)據(jù)正確時(shí)允許用戶訪問所述可信存儲(chǔ)文件系統(tǒng)����。
17.根據(jù)權(quán)利要求16所述的支持域管理的移動(dòng)辦公安全方法,其特征在于�,所述支持域管理的移動(dòng)辦公安全方法還包括在所述智能終端平臺(tái)提供的硬件可信模式下構(gòu)建可信系統(tǒng),所述可信系統(tǒng)通過受限通信與所述支持域管理的系統(tǒng)內(nèi)核或智能操作系統(tǒng)交互�����;所述可信系統(tǒng)的一種具體實(shí)現(xiàn)過程包括: 為所述可信存儲(chǔ)文件系統(tǒng)提供密鑰生成�����、加密和安全存儲(chǔ)���; 對(duì)所述用戶進(jìn)行身份認(rèn)證和授權(quán); 驗(yàn)證所述可信存儲(chǔ)文件系統(tǒng)的組件可信性��。
18.根據(jù)權(quán)利要求10所述的支持域管理的移動(dòng)辦公安全方法,其特征在于�����,所述支持域管理的移動(dòng)辦公安全方法還包括在所述支持域管理的系統(tǒng)內(nèi)核上構(gòu)建可信網(wǎng)絡(luò)連接系統(tǒng)����,實(shí)現(xiàn)為應(yīng)用程序提供可信的網(wǎng)絡(luò)支持;所述可信網(wǎng)絡(luò)連接系統(tǒng)的一種具體實(shí)現(xiàn)過程包括: 提供加密連接支持����; 設(shè)置網(wǎng)絡(luò)訪問的入口,控制所有對(duì)本地進(jìn)行的網(wǎng)絡(luò)訪問����。
19.根據(jù)權(quán)利要求18所述的支持域管理的移動(dòng)辦公安全方法,其特征在于�����,所述智能操作系統(tǒng)支持所述可信網(wǎng)絡(luò)連接系統(tǒng)的一種具體實(shí)現(xiàn)過程包括: 收集所述智能操作系統(tǒng)的運(yùn)行平臺(tái)的完整性度量值�,以便傳輸至遠(yuǎn)程可信網(wǎng)絡(luò)連接決策點(diǎn)進(jìn)行驗(yàn)證; 負(fù)責(zé)管理完整性度量�。
20.根據(jù)權(quán)利要求19所述的支持域管理的移動(dòng)辦公安全方法,其特征在于���,所述支持域管理的移動(dòng)辦公安全方法還包括在所述智能終端平臺(tái)提供的硬件可信模式下構(gòu)建可信系統(tǒng)����,所述可信系統(tǒng)通過受限通信與所述支持域管理的系統(tǒng)內(nèi)核或智能操作系統(tǒng)交互;所述可信系統(tǒng)的一種具體實(shí)現(xiàn)過程包括: 為所述可信網(wǎng)絡(luò)連接協(xié)議棧模塊提供加密連接協(xié)議��; 對(duì)所述網(wǎng)絡(luò)訪問進(jìn)行驗(yàn)證�; 驗(yàn)證所述可信網(wǎng)絡(luò)連接系統(tǒng)的組件可信性。
【文檔編號(hào)】G06F9/50GK104331329SQ201410522491
【公開日】2015年2月4日 申請(qǐng)日期:2014年9月30日 優(yōu)先權(quán)日:2014年9月30日
【發(fā)明者】金果, 余勤科, 崔健 申請(qǐng)人:上海斐訊數(shù)據(jù)通信技術(shù)有限公司