[发明专利]基于JVM沙箱与黑白名单的Java安全防范方法、装置及介质

说明书

本申请涉及基于JVM沙箱与黑白名单的Java安全防范方法、装置及介质。其中方法，包括：在JVM沙箱中自动反复启动Java应用以根据每次启动遇到的异常确定第一策略，将第一策略加入策略文件，直至Java应用启动成功；根据策略文件配置白名单；通过策略管理接口根据已知存在安全漏洞的路径配置第二策略以形成黑名单，通过黑名单限制存在安全漏洞的路径下的API执行Java反射；按照所述白名单和所述黑名单运行Java应用、管理Java应用所能访问的硬件和网络资源。本申请利用白名单和黑名单的配合限定未知Java应用运行的边界，通过黑名单来避免Java应用通过反射绕过白名单造成安全隐患，弥补现有技术中的不足，加强Java应用的安全防范。

技术领域

本申请涉及Java安全防范领域，尤其涉及基于JVM沙箱与黑白名单的Java安全防范方法、装置及介质。

背景技术

Java是目前市场上主流的企业级应用解决方案，也是PHP等web开发语言转型的趋势和潮流。

Java应用由JVM虚拟机来运行，JVM自身拥有一套沙箱机制，为运行的Java应用提供隔离的环境。但是JVM的沙箱机制是基于白名单实现的，需要针对每个Java应用配置相应的白名单，不具有通用性，使用起来灵活性较差。而且由于Java语言支持反射机制，允许Java应用在执行期借助于反射接口取得任何类的內部信息，并能直接操作任意对象的内部属性及方法。即Java应用可以通过反射机制在运行时构造任意一个类的对象，在运行时获取任意一个类所包含的成员变量和方法，在运行时调用任意一个对象的方法和属性，生成动态代理。也就是说反射行为是普遍预先不可知的，只有在Java应用使用过程中才能体；因此，对采用反射机制Java应用，无法预先编写相应的白名单保证其安全运行。因此对于现有的JVM沙箱安全模式，Java应用可以通过反射绕过白名单，导致在JVM沙箱中的Java应用的安全性不能得到保障。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本申请提供一种基于JVM沙箱与黑白名单的Java安全防范方法、装置及介质。

第一方面，本申请提供一种基于JVM沙箱与黑白名单的Java安全防范方法，包括：

在JVM沙箱中自动反复启动Java应用以根据每次启动遇到的异常确定第一策略，将第一策略加入策略文件，直至Java应用启动成功；

根据策略文件配置白名单；

通过策略管理接口根据已知存在安全漏洞的路径配置第二策略以形成黑名单，通过黑名单限制存在安全漏洞的路径下的API执行Java反射；

按照所述白名单和所述黑名单运行Java应用、管理Java应用所能访问的硬件和网络资源。

更进一步地，所述在JVM沙箱中自动反复启动Java应用以根据每次启动遇到的异常确定第一策略，将第一策略加入策略文件，直至Java应用启动成功包括：

启用JVM沙箱，在JVM沙箱启动默认的安全模式；

在JVM沙箱中按策略文件启动Java应用，Java应用遇到异常终止启动，

根据Java应用遇到的异常获取影响Java应用启动的第一策略，并将第一策略加入JVM沙箱的策略文件；

判断Java应用是否启动成功，否则重新启动Java应用，根据异常采集其余第一策略加入所述策略文件。

更进一步地，所述判断Java应用是否启动成功包括：

若Java应用为web应用，判断默认的8080端口是否访问成功，是则Java应用启动成功；

若Java应用为非web应用，根据Java应用的进程的存活时间确定Java应用启动成功。

更进一步地，所述按照所述白名单和所述黑名单运行Java应用包括：