深信服EMM技术白皮书-沙箱.docxVIP

EMM客户端aWork的使用 员工通过个人域中的EMM客户端aWork访问工作域，是一种轻量级的沙箱机制，不需要Android系统、iOS系统的高权限。 EMM客户端aWork的使用流程如下： EMM沙箱客户端技术概述 非安全应用通过自动方式集成封装组件，成为安全应用。安全区应用间共享同一个安全剪切板，共享同一个虚拟外置存储，安全应用间可以正在的互相访问；但是个人区的的非安全应用禁止访问安全区应用的数据。 封装安全组件包括以下几个功能模块，安全剪切板、安全分享模块、安全文件系统等，通过应用封装隔离组件后，封装的应用数据会与个人应用分离，安全应用间会共享安全数据，同时个人应用禁止访问安全应用。 沙箱文件系统 文件系统隔离将个人区与安全区的应用数据进行隔离存储，对企业的数据进行安全加密重定向处理，达到安全区应用与非安全区应用无法互相访问的安全效果，具体包括对企业应用数据进路径重定向、存储路径加密、存储数据加密；通过封装隔离组件后，封装应用间会共享同一个虚拟的文件系统,与外部应用隔离同时安全应用间可以互相共享。 文件系统隔离主要包括两大功能：文件隔离和文件内容加密。通过隔离功能将文件路径重定向到安全沙箱目录，方便对安全数据进行管理；通过加密功能对文件数据进行加密，保证数据是加密存储，即使文件泄露也不会导致数据泄露。 文件隔离的工作流程如下所示： 拦截到OS系统的文件操作，判断访问的文件是否为重定向安全区数据； 如果不是访问安全工作区数据，直接返回系统调用，否则修改访问路径重定向到安全数据区； 对访问到的数据进行加解密操作，完成后调用原系统调用。 分享和打开隔离 应用进行分享隔离主要包括如下场景： 安全应用向个人应用主动分享; 个人应用向安全应用进行分享; 安全应用向安全应用进行分享。 分享和打开隔离主要限制安全应用主动分享给非安全应用、非安全应用主动拉起安全应用分享。 在某些客户场景下，处于便利性考虑，可以通过放开非安全应用到安全应用的文件分享，如在个人App中的有用的工作文件希望传递到工作域中的OA App中，提升工作效率。 剪切板隔离 剪切板隔离通过构建虚拟安全剪切板，主要控制 个人应用和安全应用复制粘贴； 安全应用与安全应用之间的复制粘贴。 默认情况下，从个人App粘贴到安全应用是禁止的，但是出于工作便利性考虑，可以配置放开，保障工作效率。 与SDK沙箱技术的对比 SDK沙箱隔离主要依靠SDK生态，通过API调用的控制来实现相关的隔离。 深信服沙箱基于关键的核心组件，不依赖SDK API接口，可以通过底层封装技术，将安全应用的相关调用重定向到沙箱组件中，通过组件进行安全隔离策略进行控制。 Android与iOS实现区别 Android和iOS沙箱的实现原理基本相同，除了文件加密功能有所差别： Android是通过隔离加密组件实现文件加密，见文件系统隔离； iOS是依赖于系统自身的加密机制实现。