CN115408099A - 一种虚拟机数据访问方法、存储介质及装置 - Google Patents

Abstract

本发明涉及一种虚拟机数据访问方法，包括步骤：为每个应用及运行环境指定专用的ADF，用于存储应用及运行环境创建的对象，且应用的ADF皆放置于运行环境的ADF之内，并通过运行环境提供的本地方法进行当前ADF切换；采用高级语言注解方式指定输出接口，并对注解的输出接口以及实现输出接口的类增加标志位，以通过输出接口方法实现应用间跨防火墙的访问；通过运行环境为应用创建影子数组对象，实现应用和运行环境及应用和应用间的数据共享。本发明还提供一种存储介质及一种虚拟机数据访问装置，采用本发明所述的虚拟机数据访问方法、存储介质及装置可在保证防火墙机制的实施的前提下，避免指令执行变慢的问题。

Description

一种虚拟机数据访问方法、存储介质及装置

技术领域

本发明属于计算机安全技术领域，具体涉及一种虚拟机数据访问方法、存储介质及装置。

背景技术

传统在资源受限的装置如智能卡实现的面向对象的虚拟机，可以硬件独立地执行采用高级语言编写的应用，经过编译、转换为可下载的文件格式，安装到智能卡的运行环境中执行，运行环境需要采用防火墙技术保证应用间、应用和运行环境间隔离。

应用可以通过运行环境提供的应用编程接口访问访问运行环境提供的特权服务，运行环境在收到外部发送的请求选择指定应用，并选择的应用发送服务请求时，需要具有向指定应用发送消息的权限，即调用应用的特定入口点方法。运行环境有时需要通过应用编程接口向应用转递属于运行环境的对象，并指定应用可以访问这些对象的特定方法的权限，这些运行环境对象称为入口点对象，可以被应用访问的方法称为入口点方法；运行环境还可以提供所谓的全局数组，通过应用编程接口传递到应用，并允许应用访问这些全局数组。

入口点对象和全局数组防火墙机制，要求每次访问类实例的对象方法的指令时需要检查此对象是否为入口点对象，每次访问数组时需要检查是否是全局数组，如是入口点对象，需要进行上下文切换；尽管这些检查可以保证防火墙机制的实施，也导致了指令执行变慢的问题。

发明内容

针对现有技术中存在的缺陷，本发明的目的是提供一种虚拟机数据访问方法、存储介质及装置以在保证应用安全性的同时也提高虚拟机执行指令的速度。

为达到以上目的，本发明采用的技术方案是：一种虚拟机数据访问方法，包括步骤：为每个应用及运行环境指定专用的ADF，用于存储应用及运行环境创建的对象，每个应用只能访问其ADF下的对象，且应用的ADF皆放置于运行环境的ADF之内，并通过运行环境提供的本地方法进行当前ADF切换；采用高级语言注解方式指定输出接口，并对注解的输出接口以及实现输出接口的类增加标志位，虚拟机检查该标志位允许输出接口方法实现应用间跨防火墙的访问，且在调用输出接口方法、方法返回及异常退出时，分别设置输出接口对象所在的ADF或调用方法的ADF为当前ADF；通过运行环境为应用创建影子数组对象，实现应用和运行环境及应用和应用间的数据共享。

进一步，每个应用创建的对象以内部基本文件方式存储，内部基本文件通过文件标识符访问，每个ADF下内部基本文件的文件标识符唯一。

进一步，对象包括实例对象和数组对象，实例对象的内容包括创建对象的应用实例信息、对象的定义类信息、对象的实例域信息以及其他辅助信息；数组对象的内容包括创建对象的应用实例信息、数组元素的类型、数组元素个数以及其他辅助信息。

进一步，所述数组的影子数组和源数组具有相同的成员类型，成员的存储位置也相同，但具有不同的安全访问属性,所述影子数组对象在文件***的存储位置不同，因而不同的访问权限；只有运行环境具有为应用创建运行环境数组对象的影子数组对象，或将一个应用的数组对象为指定应用创建影子数组对象的特权。

进一步，运行环境可以访问运行环境ADF下IEF文件以及每个应用的ADF以及应用ADF下的IEF文件，实现运行环境访问所有应用的对象的实例域以及调用所有应用的对象的方法；运行环境调用应用对象的方法时需要切换到应用的ADF，方法正常返回或者异常退出时切换回之前的ADF。

进一步，运行环境可以将APDU缓冲区字节数组创建影子数组，该数组放置在应用的ADF下，通过应用编程接口的参数方式转递到应用，应用通过该参数调用应用编程接口创建APDU实例，实现应用从缓冲区中读取APDU命令，并将命令的处理结果，以APDU响应返回到运行环境。

进一步，在运行环境需要抛出指定异常时，通过调用当前应用的回调方法，返回应用拥有的指定的异常对象。

进一步，应用通过运行环境提供的应用编程接口访问运行环境的服务，应用编程接口的实现通过调用ADF切换本地方法，将当前应用的ADF切换到运行环境的ADF，从而可以执行运行环境的代码。

本发明还提供一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行所述的虚拟机数据访问方法。

本发明还提供一种虚拟机数据访问装置，包括：指定存储模块，用于为每个应用及运行环境指定专用的ADF，用于存储应用及运行环境创建的对象，每个应用只能访问其ADF下的对象，且应用的ADF皆放置于运行环境的ADF之内，并通过运行环境提供的本地方法进行当前ADF切换；注解模块，用于指定输出接口，并对注解的输出接口以及实现输出接口的类增加标志位，虚拟机检查该标志位允许输出接口方法实现应用间跨防火墙的访问，且在调用输出接口方法、方法返回及异常退出时，分别设置输出接口对象所在的ADF或调用方法的ADF为当前ADF；运行环境模块，用于为应用创建运行环境的影子数组对象，实现应用和运行环境间的数据共享机制，并调用指定回调方法，通过参数传递影子数组对象到应用实例对象。

本发明的效果在于：通过为每个应用及运行环境指定专用的ADF，用于存储应用及运行环境创建的对象，并通过影子数组对象实现运行环境和应用、客户应用和提供服务的应用间跨防火墙实现数据共享机制，且在运行环境需要抛出指定异常时，通过调用当前应用的回调方法返回应用拥有的指定的异常对象，从而解决每次访问数组时需要检查是否是全局数组，如是入口点对象，需要进行上下文切换，导致了指令执行变慢的问题。

附图说明

图1为本发明一种虚拟机数据访问方法的步骤流程图；

图2为基于ADF实现应用对象隔离的原理示意图；

图3为基于ADF实现应用间隔离、应用和运行环境隔离的防火墙边界示意图；

图4为对象采用IEF存储的方式示意图；

图5为文件共享数据的原理示意图；

图6为运行环境和应用间基于影子数组实现数据共享的原理示意图；

图7为不同应用间基于影子数组实现数据共享的原理示意图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步描述。

如图1-7所示，本发明提供的一种虚拟机数据访问方法，其包括步骤：

S1,为每个应用及运行环境指定专用的ADF，用于存储应用及运行环境创建的对象，每个应用只能访问其ADF下的对象，且应用的ADF皆放置于运行环境的ADF之内，并通过运行环境提供的本地方法进行当前ADF切换；

具体的，资源受限设备，比如安全元件可以实现ISO/IEC 7816-4标准中规定的文件***，用于存储数据，并对文件中内容进行受控访问；安全元件文件***使用了少数标准化文件结构，基本上有两类文件，第一类是目录文件，称为专用文件(DF)，第二类由保存用户数据的文件组成，称为基本文件(EF)。DF充当一种文件夹，其中包含逻辑上属于一起的其他较低级别的DF或EF，EF可以分为外部文件(工作EF)和操作***使用的文件(内部EF)。

其中，主文件(MF)：在安全元件复位后由操作***隐式选择的根目录称为主文件(MF)，包含其他目录和文件，MF是专用文件的一个特殊实例。

专用文件(DF)：通常被称为目录文件，DF是可以将其他文件(DF和EF)组合在一起的目录，一个DF可能包含其他DF。

应用程序专用文件(ADF)：这是应用程序的DF，可以使用适当的机制选择,ADF结合了DF和MF的特性，从逻辑角度来看，它并不位于MF之下。

基本文件(EF)：应用程序所需的用户数据位于基本文件中，EF可以直接位于MF下或DF下,为了启用具有逻辑优化结构和尽可能少的内存使用的数据存储，EF始终具有内部文件结构。

内部EF(IEF)：内部EF是一些内部***文件，保存操作***的数据、运行应用程序的数据、密钥和程序代码；对这些文件的访问受到操作***的特别保护，可将这些文件作为隐藏的EF存储在相关的应用程序ADF中，此类文件无法选择，由安全元件操作***完全透明地管理。

通过文件***的ADF实现不同应用之间，应用和运行环境之间对象访问的隔离，每个应用创建的对象属于该应用所有，运行环境创建的对象属于运行环境，应用可以访问属于自己的对象，而防火墙机制保证一个应用不能访问另一个应用拥有的对象，应用不能访问属于运行环境的对象。

在本实施例中，通过指定运行环境有一个ADF用于存放运行环境创建的各种对象，每个应用安装时文件***创建一个应用ADF，存放应用实例以及该应用实例创建的对象；每个应用的ADF存储在运行环境ADF下；每个对象可以存储一个内部基本文件(IEF)中，也可以多个对象存储在一个内部基本文件中。

SE***复位时，运行环境的ADF为当前ADF，选择应用时设置该应用对应的ADF为当前ADF，应用创建的对象放置在该ADF下，应用不能直接访问ADF和其下文件，也不能访问运行环境ADF下的对象；应用执行访问对象的指令时，存储对象的ADF和当前ADF一致时，虚拟机防火墙检查允许应用访问该对象。

可以理解，将每个应用实例创建的对象放置在专有的ADF，由文件***实现高效的存储管理，删除应用实例时可以快速删除该应用创建的所有实例，提高应用删除的速度，同时便于实现对该应用发起垃圾回收操作。

运行环境提供ADF切换本地(Native)方法，实现将当前应用ADF切换到运行环境ADF，以及运行环境ADF切换回之前的应用ADF的功能；应用通过运行环境提供的应用编程接口访问运行环境的服务，应用编程接口的实现通过调用ADF切换本地方法，将当前应用的ADF切换到运行环境的ADF，从而可以执行运行环境的代码。

由于本地方法完成一些特权任务，必须进行适当限制防止被恶意代码利用访问运行环境或者应用的安全敏感的数据和代码。本发明限制只有运行环境提供的应用编程接口(***编程接口)以及和操作***代码集成在一起的应用(也称掩膜应用)可以调用本地方法，***发行后下载的应用和库禁止调用本地方法，***编程接口以及掩膜应用只在需要时调用ADF切换本地方法。

运行环境可以访问运行环境ADF下IEF文件以及每个应用的ADF以及应用ADF下的IEF文件，实现运行环境访问所有应用的对象的实例域以及调用所有应用的对象的方法。运行环境调用应用对象的方法时需要切换到应用的ADF，方法正常返回或者异常退出时切换回之前的ADF。

在本实施例中，每个应用创建的对象以内部基本文件(IEF)方式存储，IEF的通过文件标识符(FID)访问，文件标识符可以是2字节的数据，每个ADF下IEF的文件标识符必须唯一。对象的内容依赖虚拟机具体实现方式，可以包括创建对象的应用实例信息，对象包括实例对象和数组对象，实例对象的内容包括创建对象的应用实例信息、对象的定义类信息、对象的实例域信息以及其他辅助信息；数组对象的内容包括创建对象的应用实例信息、数组元素的类型、数组元素个数以及其他辅助信息，这些内部基本文件建立在应用的ADF下。ADF以及ADF的内的IEF只能由虚拟机访问，虚拟机通过对象引用关联到对象的完整路径名，路径名包括ADF的FID以及IEF的FID。

S2，采用高级语言注解方式指定输出接口，并对注解的输出接口以及实现输出接口的类增加标志位，虚拟机检查该标志位允许输出接口方法实现应用间跨防火墙的访问，且在调用输出接口方法、方法返回及异常退出时，分别设置输出接口对象所在的ADF或调用方法的ADF为当前ADF；

具体的，实现输出接口的对象称为输出接口对象，编译器标记注解过的接口，在接口定义以及实现接口的类定义增加输出接口标志，虚拟机检查输出接口标志，允许一个应用跨防火墙访问另一个应用的输出接口方法，调用输出接口的方法时，需要设置输出接口对象所在的ADF为当前ADF,方法返回时，设置调用方法的ADF为当前ADF。

S3，通过运行环境为应用创建影子数组对象，实现应用和运行环境及应用和应用间的数据共享；

具体的，数组的影子数组和源数组具有相同的成员类型，成员的存储位置也相同，但具有不同的安全访问属性,影子数组对象在文件***的存储位置不同，因而不同的访问权限，只有运行环境具有为应用创建运行环境数组对象的影子数组对象，或将一个应用的数组对象为指定应用创建影子数组对象的特权。

运行环境可以为应用创建运行环境数组的影子数组，实现应用直接访问运行环境的数据，无需复制。

运行环境可以将APDU缓冲区字节数组创建影子数组，该数组将放置在应用的ADF下，通过应用编程接口的参数方式转递到应用，应用通过该参数调用应用编程接口创建APDU实例，实现应用从缓冲区中读取APDU命令，并将命令的处理结果，以APDU响应返回到运行环境，即APDU响应写入缓冲区，由于影子数组和源数组成员内容具有同步性，可以避免APDU命令和应答数据的复制操作。

进一步地，在运行环境需要抛出指定异常时，通过调用当前应用的回调方法，返回应用拥有的指定的异常对象；

具体的，在运行环境发生异常时，传统入口点方法是通过环境直接抛出异常，而为了解决指令执行变慢的问题，不采用入口点方法时，则需要通过调用当前应用的回调方法，返回应用拥有的指定的异常对象实现抛出异常，回调方法通过技术文档形式进行明确。

本发明还提供一种存储介质，该存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述方法步骤。存储介质可以包括如软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒(Memory St ick)、XD卡等。

计算机软件产品存储在存储介质中，包括若干指令用以使得一台或多台计算机设备(可以是个人计算机设备、服务器或其他网络设备等)用以执行本发明方法的全部或部分步骤。

本发明还提供一种虚拟机数据访问装置，其包括指定存储模块，用于为每个应用及运行环境指定专用的ADF，用于存储应用及运行环境创建的对象，且应用的ADF皆放置于运行环境的ADF之内，并通过运行环境提供的本地方法进行当前ADF切换；

注解模块，用于指定输出接口，并对注解的输出接口以及实现输出接口的类增加标志位，以通过输出接口方法实现应用间跨防火墙的访问，且在调用输出接口方法或方法返回时，分别设置输出接口对象所在的ADF或调用方法的ADF为当前ADF；

运行环境模块，用于为应用创建运行环境的影子数组对象，实现应用和运行环境间的数据共享机制，并调用指定回调方法，通过参数传递影子数组对象到应用实例对象。

通过上述实施例可以看出，本发明通过为每个应用及运行环境指定专用的ADF，用于存储应用及运行环境创建的对象，并通过影子数组对象实现运行环境和应用、客户应用和提供服务的应用间跨防火墙实现数据共享机制，且在运行环境需要抛出指定异常时，通过调用当前应用的回调方法返回应用拥有的指定的异常对象，从而解决每次访问数组时需要检查是否是全局数组，如是入口点对象，需要进行上下文切换，导致了指令执行变慢的问题。

本发明所述的方法及装置并不限于具体实施方式中所述的实施例，本领域技术人员根据本发明的技术方案得出其他的实施方式，同样属于本发明的技术创新范围。

Claims (10)

1.一种虚拟机数据访问方法，其特征在于，包括：

为每个应用及运行环境指定专用的ADF，用于存储应用及运行环境创建的对象，每个应用只能访问其ADF下的对象，且应用的ADF皆放置于运行环境的ADF之内，并通过运行环境提供的本地方法进行当前ADF切换；

采用高级语言注解方式指定输出接口，并对注解的输出接口以及实现输出接口的类增加标志位，虚拟机检查该标志位允许输出接口方法实现应用间跨防火墙的访问，且在调用输出接口方法、方法返回及异常退出时，分别设置输出接口对象所在的ADF或调用方法的ADF为当前ADF；

通过运行环境为应用创建影子数组对象，实现应用和运行环境及应用和应用间的数据共享。

2.如权利要求1所述的一种虚拟机数据访问方法，其特征在于：

每个应用创建的对象以内部基本文件方式存储，内部基本文件通过文件标识符访问，每个ADF下内部基本文件的文件标识符唯一。

3.如权利要求2所述的一种虚拟机数据访问方法，其特征在于：

对象包括实例对象和数组对象，实例对象的内容包括创建对象的应用实例信息、对象的定义类信息、对象的实例域信息以及其他辅助信息；数组对象的内容包括创建对象的应用实例信息、数组元素的类型、数组元素个数以及其他辅助信息。

4.如权利要求1所述的一种虚拟机数据访问方法，其特征在于：

所述数组的影子数组和源数组具有相同的成员类型，成员的存储位置也相同，但具有不同的安全访问属性,所述影子数组对象在文件***的存储位置不同，因而不同的访问权限；只有运行环境具有为应用创建运行环境数组对象的影子数组对象，或将一个应用的数组对象为指定应用创建影子数组对象的特权。

5.如权利要求1所述的一种虚拟机数据访问方法，其特征在于：

运行环境可以访问运行环境ADF下IEF文件以及每个应用的ADF以及应用ADF下的IEF文件，实现运行环境访问所有应用的对象的实例域以及调用所有应用的对象的方法；运行环境调用应用对象的方法时需要切换到应用的ADF，方法正常返回或者异常退出时切换回之前的ADF。

6.如权利要求1所述的一种虚拟机数据访问方法，其特征在于,

运行环境可以将APDU缓冲区字节数组创建影子数组，该数组放置在应用的ADF下，通过应用编程接口的参数方式转递到应用，应用通过该参数调用应用编程接口创建APDU实例，实现应用从缓冲区中读取APDU命令，并将命令的处理结果，以APDU响应返回到运行环境。

7.如权利要求1所述的一种虚拟机数据访问方法，其特征在于:

在运行环境需要抛出指定异常时，通过调用当前应用的回调方法，返回应用拥有的指定的异常对象。

8.如权利要求1所述的一种虚拟机数据访问方法，其特征在于:

应用通过运行环境提供的应用编程接口访问运行环境的服务，应用编程接口的实现通过调用ADF切换本地方法，将当前应用的ADF切换到运行环境的ADF，从而可以执行运行环境的代码。

9.一种存储介质，其特征在于：

所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行所述权利要求1-8中任一项中所述的虚拟机数据访问方法。

10.一种虚拟机数据访问装置，其特征在于，包括：

指定存储模块，用于为每个应用及运行环境指定专用的ADF，用于存储应用及运行环境创建的对象，每个应用只能访问其ADF下的对象，且应用的ADF皆放置于运行环境的ADF之内，并通过运行环境提供的本地方法进行当前ADF切换；

注解模块，用于指定输出接口，并对注解的输出接口以及实现输出接口的类增加标志位，虚拟机检查该标志位允许输出接口方法实现应用间跨防火墙的访问，且在调用输出接口方法、方法返回及异常退出时，分别设置输出接口对象所在的ADF或调用方法的ADF为当前ADF；

运行环境模块，用于为应用创建运行环境的影子数组对象，实现应用和运行环境间的数据共享机制，并调用指定回调方法，通过参数传递影子数组对象到应用实例对象。

Images