[发明专利]针对应用基础支撑平台上应用系统的应用与数据保全方法

摘要

本发明公开了针对应用基础支撑平台上应用系统的应用与数据保全方法。本发明通过接管并模拟应用基础框架平台的各类接口，创建形成与真实的上层应用相独立的虚拟容器或沙盒，如图1所示，屏蔽对被保护的真实应用系统和相关数据访问，使所有用户访问均运行于独立的虚拟容器中。通过对虚拟容器中用户运行结果状态或动作过程的分析，检测容器安全状态，在确认安全的情况下再进行虚拟容器数据向真实应用的导入；否则清空虚拟容器，对真实应用无任何影响，实现应用和数据的保全。本发明的有益效果在于：解决了网络攻击情况下如何保全基础框架平台之上的应用系统的问题。

主权项

针对应用基础支撑平台上应用系统的应用与数据保全方法，其特征在于，包括以下步骤：1)数据分发器接管用户交互接口；当用户A发出访问请求时，由数据分发器接收用户A的请求；2)数据分发器发现用户A为初次访问，汇报给数据管控核心；数据管控核心接到相应消息，创建虚拟容器Y1，并在其中建立并运行虚拟应用X1，并分配虚拟栈Z1；执行完成后，数据管控核心将用户A与虚拟容器Y1的对应关系交还给数据分发器；3)数据分发器将用户A与虚拟容器Y1的对应关系写入对应表，并依据此对应表和用户A所发请求，将用户A的请求发给虚拟容器Y1，虚拟容器Y1上的虚拟应用X1返回用户A所请求的数据；4)当用户A再次请求或执行其他操作时，数据分发器由对应表中用户A与虚拟容器Y1的对应关系，将用户A发送的数据交给虚拟容器Y1，由虚拟容器Y1中的虚拟应用X1处理；5)当虚拟应用X1需要操作底层数据时，其调用接口已由虚拟栈Z1接管，Z1记录其操作过程，并将真实数据读入容器，与容器中的操作过程合并，返回数据给虚拟应用X1；而真实数据并未做任何修改；6)当威协分析器发现用户A发送的数据或虚拟应用X1的操作存在威胁时，就给数据管控核心发送消息；数据管控核心接到消息立即清除虚拟容器Y1，即相关的虚拟应用X1、虚拟栈Z1，并清退数据分发器中的用户A与虚拟容器Y1、虚拟应用X1的对应关系；7)如果用户A在执行过程中未被发现威胁，用户A发生TIMEOUT事件或正常退出，则由数据分发器或虚拟容器Y1发送相关消息给数据管控核心；数据管控核心要求威胁分析器检查，如果无安全威胁，则将虚拟容器Y1即其中的虚拟应用X1、虚拟栈Z1数据归并到真实环境中；如果检查到安全威胁，则立即清除虚拟容器Y1即相关的X1、虚拟栈Z1，并清退数据分发器中的用户A与虚拟容器Y1、虚拟应用X1的对应关系。