[发明专利]用于提高Java沙箱安全性的方法及装置

说明书

本申请实施例公开了一种用于提高Java沙箱安全性的方法及装置。所述一种用于提高Java沙箱安全性的方法包括：对待检查代码进行权限检查；判断所述代码的调用栈中是否存在绕过所述权限检查的方法；若存在绕过所述权限检查的方法，则判断所述调用栈中方法是否存在签名；若不存在签名，则判定所述待检查代码存在安全问题。利用本申请实施例可以提高Java沙箱安全性。

技术领域

本申请涉及计算机安全技术领域，特别涉及一种用于提高Java沙箱安全性的方法及装置。

背景技术

在云计算的场景中，用户提供Java语言编写的代码，由云计算平台执行所述代码。由于所述代码往往存在很多的安全问题(如黑客的攻击代码)，一般会在Java沙箱(JavaSandbox)中执行。

Java沙箱提供了一种按照策略文件限制代码权限的执行环境。Java沙箱运行代码过程中，当调用到方法checkPermission时，Java沙箱的安全管理器(Security Manager)会对所述代码进行权限检查。所述权限检查用于判断所述代码运行过程中调用栈中每一层的方法是否具有策略文件中的权限，所述权限可以包括是否允许写、是否允许读或者是否允许使用网络等；如果所述调用栈中每一层的方法都具有权限，则将所述代码视为是安全的，如果所述调用栈中任一层的方法不具有权限，则将所述代码视为不安全的。

现有技术中，所述云计算平台会提供平台的特权方法，由于所述特权方法具有系统域(system domain)，而安全管理器不会对具有系统域的方法进行权限检查，所以所述特权方法可以绕过所述安全管理器权限检查的步骤。一般的，用户的代码是不允许直接调用特权方法的，用户的代码只能通过可信任的方法(拥有签名的方法)间接的调用特权方法。但是恶意用户通过反射、提权等手段可以使代码直接调用特权方法，当代码直接调用特权方法时，会使得该代码也具有系统域，从而能绕过安全管理器的权限检查。如此，恶意用户的代码就突破了Java沙箱的防护。

综上所述，现有技术中存在Java沙箱安全性不高的问题。

发明内容

本申请实施例的目的是提供一种用于提高Java沙箱安全性的方法及装置，用以解决现有技术中Java沙箱安全性不高的问题。

为解决上述技术问题，本申请实施例提供的用于提高Java沙箱安全性的方法及装置是这样实现的：

一种用于提高Java沙箱安全性的方法，包括：

对待检查代码进行权限检查；

判断所述代码的调用栈中是否存在绕过所述权限检查的方法；

若存在绕过所述权限检查的方法，则判断所述调用栈中方法是否存在签名；

若不存在签名，则判定所述待检查代码存在安全问题。

一种用于提高Java沙箱安全性的装置，包括：

检查模块，用于对待检查代码进行权限检查；

第一判断模块，用于判断所述代码的调用栈中是否存在绕过所述权限检查的方法；

第二判断模块，用于在所述代码的调用栈中存在绕过所述权限检查的方法时，判断所述调用栈中方法是否存在签名；

确定模块，用于在所述调用栈中方法不存在签名时，判定所述待检查代码存在安全问题。

由以上本申请实施例提供的技术方案可见，本申请实施例提供的一种用于提高Java沙箱安全性的方法及装置，可以克服待检查代码直接调用特权方法后绕过权限检查从而造成Java沙箱安全性低的问题，通过对存在绕过权限检查的方法所在调用栈中签名进行检查，若所述调用栈中方法不存在签名，则判定待检查代码存在安全问题。如此，提高了Java沙箱的安全性。

附图说明