[发明专利]基于JVM沙箱与黑白名单的Java安全防范方法、装置及介质

权利要求书

1.一种基于JVM沙箱与黑白名单的Java安全防范方法，其特征在于，包括：

在JVM沙箱中自动反复启动Java应用以根据每次启动遇到的异常确定第一策略，将第一策略加入策略文件，直至Java应用启动成功；

根据策略文件配置白名单；

通过策略管理接口根据已知存在安全漏洞的路径配置第二策略以形成黑名单，通过黑名单限制存在安全漏洞的路径下的API执行Java反射；

按照所述白名单和所述黑名单运行Java应用、管理Java应用所能访问的硬件和网络资源。

2.根据权利要求1所述基于JVM沙箱与黑白名单的Java安全防范方法，其特征在于，所述在JVM沙箱中自动反复启动Java应用以根据每次启动遇到的异常确定第一策略，将第一策略加入策略文件，直至Java应用启动成功包括：

启用JVM沙箱，在JVM沙箱启动默认的安全模式；

在JVM沙箱中按策略文件启动Java应用，Java应用遇到异常终止启动，

根据Java应用遇到的异常获取影响Java应用启动的第一策略，并将第一策略加入JVM沙箱的策略文件；

判断Java应用是否启动成功，否则重新启动Java应用，根据异常采集其余第一策略加入所述策略文件。

3.根据权利要求2所述基于JVM沙箱与黑白名单的Java安全防范方法，其特征在于，所述判断Java应用是否启动成功包括：

若Java应用为web应用，判断默认的8080端口是否访问成功，是则Java应用启动成功；

若Java应用为非web应用，根据Java应用的进程的存活时间确定Java应用启动成功。

4.根据权利要求1所述基于JVM沙箱与黑白名单的Java安全防范方法，其特征在于，所述按照所述白名单和所述黑名单运行Java应用包括：

同时启用所述白名单和所述黑名单控制Java应用运行，

对于Java应用所执行的需判断边界的活动，判断是否在所述白名单中有对应的第一策略，是则允许执行，

否则，继续判断活动是否在所述黑名单中有对应的第二策略，是则阻止执行；否则允许执行。

5.根据权利要求4所述基于JVM沙箱与黑白名单的Java安全防范方法，其特征在于，为策略配置优先级标记，所述优先级标记包括第一优先级标记和第二优先级标记；

当任意一个策略被白名单允许且被黑名单禁止时，判断该策略优先级标记类型，若为第一优先级标记则优先按白名单对该活动进行安全控制，若为第二优先级标记则优先按黑名单对该活动进行安全控制。

6.根据权利要求1所述基于JVM沙箱与黑白名单的Java安全防范方法，其特征在于，按照所述白名单运行Java应用：

配置启用所述白名单，停用所述黑名单；

对于Java应用所执行的需判断边界的活动，判断是否在所述白名单中存在对应的第一策略，是则允许，否则禁止。

7.根据权利要求1所述基于JVM沙箱与黑白名单的Java安全防范方法，其特征在于，按照所述黑名单运行Java应用：

配置启用所述黑名单，停用所述白名单；

对于Java应用所执行的需判断边界的活动，判断是否在所述黑名单中有对应的第二策略，是则禁止，否则允许。

8.根据权利要求1所述基于JVM沙箱与黑白名单的Java安全防范方法，其特征在于，按照所述白名单、所述黑名单或所述白名单和黑名单的组合为Java应用提供隔离的硬件和网络资源；将所述白名单和所述黑名单针对不同用户配置，使Java应用为不同用户提供定制化服务。