[发明专利]基于安全沙盒提高计算机安全性能的方法

说明书

技术领域

本发明涉及一种提高计算机安全性能的方法。

背景技术

安全沙盒是一种“环境”，来源不可信、具备破坏行为或意图不明的程序可以在其中被执行，然而，沙盒中的所有改动并不会对操作系统造成任何影响。目前沙盒技术运行于多种不同软件中。如GOOGLE浏览器chrome率先采用沙盒技术限制网络应用程序越过虚拟边界访问电脑内存，防止因单个网络应用程序而导致浏览器或正运行的其他软件崩溃。

“影子系统”也是沙盒技术的一种应用。影子系统采用操作系统虚拟化技术生成当前操作系统的影像，具有与真实系统完全一样的功能。进入影子系统后，所有操作都是虚拟的，因此所有的病毒和流氓软件都无法感染真正的操作系统。当系统出现问题，或者上网产生垃圾文件，只需轻松的重启电脑，使系统恢复原先状态。

然而，将整个系统放入沙盒之中虽然可以大大提升安全性，但一定程度上会影响软件的执行效率，因为所有操作并非都存在风险。这样直接导致影响软件的用户体验。并且当系统遇到问题时只能通过重启系统来解决。

同样，将沙盒技术运用于每个单独软件中，软件开发人员不仅要关心具体软件的设计开发，也要关心如何运用沙盒技术来保证软件的安全性，增加了软件开发的成本。

发明内容

本发明要解决的技术问题是提供一种基于安全沙盒提高计算机安全性能的方法，其可以保护计算机系统干净、安全。

为了解决以上技术问题，本发明提供了一种基于安全沙盒提高计算机安全性能的方法，包括以下步骤：

用户在安全黑盒内添加、安装应用软件；

安全黑盒运行在系统核心态，运行时截获运行在黑盒内的软件行为；

对未授权的非安全行为，阻止其执行或由用户裁决是否允许此操作；例如阻止未授权的跨进程的内存读写、访问网络等，并发出警告信息，由用户最后决定是否允许此行为。如果软件发出I/O请求，安全黑盒得到此请求后，将请求加入到请求队列中；

安全黑盒内部的I/O请求分析器从队列中取请求，进行分析判断；

如果此请求访问安全黑盒内部资源，则将请求投入到执行队列中；

如果请求以只读方式访问外部系统资源，则允许该请求并投入到执行队列中；

如果请求修改外部系统资源，则安全黑盒为此外部资源在安全黑盒内部生成一份资源映像，成功后修改此请求，将此I/O请求重定向到请求安全黑盒内部资源，投入到I/O执行队列中等待运行。

本发明的有益效果在于：安全黑盒可以保护客户系统干净安全。安全黑盒的使用在用户层面可以保护用户系统的干净，不受软件安装或运行时产生的垃圾文件的影响，同时也保护系统免受病毒或恶意软件的侵害，保证系统的安全。当不再需要此安全黑盒时可以直接删除，解决无法完全卸载流某些氓软件的烦恼。与影子系统相比，不需要每次遇到问题需要重启系统，只需删除黑盒即可解决问题，保证系统的干净和安全，又方便用户的使用。从技术层面上，安全黑盒又可以使软件开发人员无需在关心沙盒等安全技术在软件中的运用，从而致力于软件实际功能的开发。用户可任意安装和删除安全黑盒和安全黑盒内软件。安全黑盒的增删不影响外部系统的使用，且不会在外部系统留下“痕迹”。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细说明。

图1是本发明实施例所述方法的示意图。

具体实施方式

本发明采用封闭软件运行环境、监控软件运行状态的方法。具体通过截取软件运行的行为，包括跨进程内存访问、底层I/O请求操作、访问网络等，当截获软件行为时，如果软件请求跨进程访问内存或访问网络，则交由用户裁决是否运行软件。如果软件发出I/O请求，安全黑盒得到此请求后，将请求加入到请求队列中；如果安全黑盒对截取的I/O请求进行分析重定向到安全黑盒内部，来达到封闭软件运行环境的目的。当请求访问外部系统设备文件，并且此请求权限不够时，安全黑盒尝试为此需要的外部设备文件在安全黑盒内部生成一个设备映像文件，并调整此I/O请求操作，使其访问新生成的内部设备文件。同时监控软件运行时行为状态，对未授权的非安全行为，阻止其执行或由有用裁决是否允许此操作。例如阻止未授权的跨进程的内存读写、访问网络等，并发出警告信息，由用户最后决定是否允许此行为。