基于JVM沙箱与黑白名单的Java安全防范方法、装置及介质与流程

技术特征：
1.一种基于jvm沙箱与黑白名单的java安全防范方法，其特征在于，包括：在jvm沙箱中自动反复启动java应用以根据每次启动遇到的异常确定第一策略，将第一策略加入策略文件，直至java应用启动成功；根据策略文件配置白名单；通过策略管理接口根据已知存在安全漏洞的路径配置第二策略以形成黑名单，通过黑名单限制存在安全漏洞的路径下的api执行java反射；按照所述白名单和所述黑名单运行java应用、管理java应用所能访问的硬件和网络资源。2.根据权利要求1所述基于jvm沙箱与黑白名单的java安全防范方法，其特征在于，所述在jvm沙箱中自动反复启动java应用以根据每次启动遇到的异常确定第一策略，将第一策略加入策略文件，直至java应用启动成功包括：启用jvm沙箱，在jvm沙箱启动默认的安全模式；在jvm沙箱中按策略文件启动java应用，java应用遇到异常终止启动，根据java应用遇到的异常获取影响java应用启动的第一策略，并将第一策略加入jvm沙箱的策略文件；判断java应用是否启动成功，否则重新启动java应用，根据异常采集其余第一策略加入所述策略文件。3.根据权利要求2所述基于jvm沙箱与黑白名单的java安全防范方法，其特征在于，所述判断java应用是否启动成功包括：若java应用为web应用，判断默认的8080端口是否访问成功，是则java应用启动成功；若java应用为非web应用，根据java应用的进程的存活时间确定java应用启动成功。4.根据权利要求1所述基于jvm沙箱与黑白名单的java安全防范方法，其特征在于，所述按照所述白名单和所述黑名单运行java应用包括：同时启用所述白名单和所述黑名单控制java应用运行，对于java应用所执行的需判断边界的活动，判断是否在所述白名单中有对应的第一策略，是则允许执行，否则，继续判断活动是否在所述黑名单中有对应的第二策略，是则阻止执行；否则允许执行。5.根据权利要求4所述基于jvm沙箱与黑白名单的java安全防范方法，其特征在于，为策略配置优先级标记，所述优先级标记包括第一优先级标记和第二优先级标记；当任意一个策略被白名单允许且被黑名单禁止时，判断该策略优先级标记类型，若为第一优先级标记则优先按白名单对该活动进行安全控制，若为第二优先级标记则优先按黑名单对该活动进行安全控制。6.根据权利要求1所述基于jvm沙箱与黑白名单的java安全防范方法，其特征在于，按照所述白名单运行java应用：配置启用所述白名单，停用所述黑名单；对于java应用所执行的需判断边界的活动，判断是否在所述白名单中存在对应的第一策略，是则允许，否则禁止。7.根据权利要求1所述基于jvm沙箱与黑白名单的java安全防范方法，其特征在于，按
照所述黑名单运行java应用：配置启用所述黑名单，停用所述白名单；对于java应用所执行的需判断边界的活动，判断是否在所述黑名单中有对应的第二策略，是则禁止，否则允许。8.根据权利要求1所述基于jvm沙箱与黑白名单的java安全防范方法，其特征在于，按照所述白名单、所述黑名单或所述白名单和黑名单的组合为java应用提供隔离的硬件和网络资源；将所述白名单和所述黑名单针对不同用户配置，使java应用为不同用户提供定制化服务。9.一种基于jvm沙箱与黑白名单实现java安全防范的装置，其特征在于，包括：策略提取模块，所述策略提取模块用于控制java应用在jvm沙箱中反复自动重启，并根据每次启动所遇到的异常获取影响java应用启动的第一策略，将所述第一策略加入策略文件；白名单配置模块，所述白名单配置模块根据所述策略文件配置相应的白名单；黑名单配置模块，所述黑名单配置模块提供策略管理接口，管理员根据已知存在安全漏洞的路径配置第二策略以形成黑名单，通过在所述黑名单中设置相应的第二策略限制存在安全漏洞的路径下的api执行java反射；安全管理模块，所述安全管理模块配置白名单和黑名单的启用与停用；并按照启用的黑名单或白名单控制java应用运行；资源管理模块，所述资源管理模块按照启用的黑名单或白名单控制java应用所能访问的硬件和网络资源。10.一种实现基于jvm沙箱与黑白名单的java安全防范方法的存储介质，其特征在于，实现基于jvm沙箱与黑白名单的java安全防范方法的存储介质存储至少一条指令，执行所述指令实现如权利要求1
‑
8任一所述的基于jvm沙箱与黑白名单的java安全防范方法。

技术总结
本申请涉及基于JVM沙箱与黑白名单的Java安全防范方法、装置及介质。其中方法，包括：在JVM沙箱中自动反复启动Java应用以根据每次启动遇到的异常确定第一策略，将第一策略加入策略文件，直至Java应用启动成功；根据策略文件配置白名单；通过策略管理接口根据已知存在安全漏洞的路径配置第二策略以形成黑名单，通过黑名单限制存在安全漏洞的路径下的API执行Java反射；按照所述白名单和所述黑名单运行Java应用、管理Java应用所能访问的硬件和网络资源。本申请利用白名单和黑名单的配合限定未知Java应用运行的边界，通过黑名单来避免Java应用通过反射绕过白名单造成安全隐患，弥补现有技术中的不足，加强Java应用的安全防范。加强Java应用的安全防范。加强Java应用的安全防范。


技术研发人员：陈文
受保护的技术使用者：济南浪潮数据技术有限公司
技术研发日：2021.07.29
技术公布日：2021/11/21