CN105989296B - 控制应用访问的方法和装置 - Google Patents

控制应用访问的方法和装置 Download PDF

Info

Publication number
CN105989296B
CN105989296B CN201510041216.7A CN201510041216A CN105989296B CN 105989296 B CN105989296 B CN 105989296B CN 201510041216 A CN201510041216 A CN 201510041216A CN 105989296 B CN105989296 B CN 105989296B
Authority
CN
China
Prior art keywords
access
application
strategy
user
domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510041216.7A
Other languages
English (en)
Other versions
CN105989296A (zh
Inventor
李志�
陶敬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201510041216.7A priority Critical patent/CN105989296B/zh
Priority to EP15879631.8A priority patent/EP3188071B1/en
Priority to PCT/CN2015/086136 priority patent/WO2016119432A1/zh
Publication of CN105989296A publication Critical patent/CN105989296A/zh
Priority to US15/584,253 priority patent/US20170235943A1/en
Application granted granted Critical
Publication of CN105989296B publication Critical patent/CN105989296B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0484Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
    • G06F3/0486Drag-and-drop
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/362Software debugging
    • G06F11/3648Software debugging using additional hardware
    • G06F11/3656Software debugging using additional hardware using a specific debug interface
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Human Computer Interaction (AREA)
  • User Interface Of Digital Computer (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephone Function (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公开了一种控制应用访问的方法和装置。该方法包括:获取用户输入的图形;根据该图形生成访问策略图,该访问策略图表示至少两个应用之间是否允许访问的访问规则;将该访问策略图转换为系统能够识别的访问控制策略,该访问控制策略用于表示是否允许应用之间进行访问;根据该访问控制策略,对该至少两个应用之间的访问进行控制。本发明实施例的控制应用访问的方法和装置,通过获取用户输入的图形,并将由图形形成的访问策略图转换为系统能够识别的访问控制策略,以根据该访问控制策略控制应用访问,使得用户能够以简单、直观且灵活的图形方式编写系统中各应用的访问控制策略,从而能够提升系统的安全性能,并且还能够提高用户体验。

Description

控制应用访问的方法和装置
技术领域
本发明涉及终端领域,尤其涉及终端领域中控制应用访问的方法和装置。
背景技术
近年来,基于安卓(Android)操作系统的手机在智能终端市场上占据着越来越大的市场份额,然而针对安卓操作系统的恶意软件却层出不穷。在安卓操作系统中,不同应用数据的敏感级别通常是不一样的,例如,由于短信、联系人等应用数据涉及用户隐私,敏感级别较高,而一般的应用数据敏感级别则较低。因而,在目前的安卓操作系统中,需要一种有效的应用访问控制方案。
目前,一种应用比较广泛且较为成熟的访问控制方案是安全增强安卓(SecurityEnhanced Android,简称为“SEAndroid”)系统提供的控制方案。其中,SEAndroid是基于安全增强Linux(Security Enhanced Linux,简称为“SELinux”)系统开发的,并为了适应Android操作系统的安全需要,对SELinux进行了相应的扩展和裁剪。对于SEAndroid而言,编写应用之间的访问控制策略需要涉及整个系统的诸多运行细节,并且该策略的语言极其复杂,专业技术性很强。因而,对于普通用户而言,难以编写出应用之间的访问控制策略,由此使得终端的安全性受到极大的威胁。
发明内容
有鉴于此,本发明实施例提供了一种控制应用访问的方法和装置,以解决如何简单便捷地制定访问控制策略,从而提升终端的安全性的问题。
第一方面,提供了一种控制应用访问的方法,该方法包括:获取用户输入的图形;根据该图形生成访问策略图,该访问策略图表示至少两个应用之间是否允许访问的访问规则;将该访问策略图转换为系统能够识别的访问控制策略,该访问控制策略用于表示是否允许应用之间进行访问;根据该访问控制策略,对该至少两个应用之间的访问进行控制。
结合第一方面,在第一方面的第一种可能的实现方式中,该获取用户输入的图形,包括:向该用户呈现第一界面,该第一界面包括策略编辑区域以及第一图形区域,该策略编辑区域用于该用户编辑该访问策略图,该第一图形区域用于向该用户呈现用于表示该访问策略图的多种图形;通过检测该用户从该第一图形区域拖动至该策略编辑区域的第一图形,获取该用户输入的该第一图形。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,该第一图形包括应用图形、应用间通信连接图形和应用间访问规则图形,其中,该应用图形用于表示应用,该应用间通信连接图形用于表示应用之间存在通信连接,该应用间访问规则图形用于表示应用之间是否允许访问。
结合第一方面的第一种或第二种可能的实现方式,在第一方面的第三种可能的实现方式中,该第一图形包括域图形、域间通信连接图形和域间访问规则图形;或该第一图形包括应用图形、域图形、域间通信连接图形和域间访问规则图形,其中,该应用图形用于表示应用,该域图形用于表示由相同属性的一个或多个应用所形成的应用域,该域间通信连接图形用于表示应用域之间存在通信连接,该域间访问规则图形表示应用域之间是否允许访问。
结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,该获取用户输入的图形,还包括:向该用户呈现第二界面,该第二界面包括隶属关系编辑区域和第二图形区域,该隶属关系编辑区域用于该用户编辑应用与域之间的隶属关系,该第二图像区域用于向该用户呈现用于表示隶属关系的多种图形;通过检测该用户从该第二图形区域拖动至该隶属关系编辑区域的第二图形,获取该用户输入的该第二图形。
结合第一方面的第四种可能的实现方式,在第一方面的第五种可能的实现方式中,该第二图形包括应用图形、该域图形和隶属连接图形,其中,该应用图形用于表示应用,该归属连接图形用于表示应用与应用域之间存在隶属关系。
结合第一方面的第一种至第五种可能的实现方式中的任一种可能的实现方式,在第一方面的第六种可能的实现方式中,该方法还包括:在该用户输入的该图形不符合访问策略图的生成规则时,向该用户提示输入错误。
结合第一方面或第一方面的第一种至第六种可能的实现方式中的任一种可能的实现方式,在第一方面的第七种可能的实现方式中,该将该访问策略图转换为系统能够识别的访问控制策略,包括:通过对该访问策略图进行解析,获取该访问规则;根据该访问规则,确定安全增强安卓系统策略和/或意图隔离策略;将该安全增强安卓系统策略和/或该意图隔离策略编译为系统能够识别的该访问控制策略,该访问控制策略包括该安全增强安卓系统策略和/或该意图隔离策略。
结合第一方面或第一方面的第一种至第七种可能的实现方式中的任一种可能的实现方式,在第一方面的第八种可能的实现方式中,该访问规则表示是否允许该至少两个应用之间采用进程间通信IPC、网络通信、文件系统通信和意图通信中的至少一种通信方式进行访问。
第二方面,提供了一种控制应用访问的装置,该装置包括:获取模块,用于获取用户输入的图形;生成模块,用于根据该获取模块获取的该图形,生成访问策略图,该访问策略图表示至少两个应用之间是否允许访问的访问规则;转换模块,用于将该生成模块生成的该访问策略图转换为系统能够识别的访问控制策略,该访问控制策略用于表示是否允许应用之间进行访问;控制模块,用于根据该转换模块转换的该访问控制策略,对该至少两个应用之间的访问进行控制。
结合第二方面,在第二方面的第一种可能的实现方式中,该装置还包括:显示屏,用于向该用户呈现第一界面,该第一界面包括策略编辑区域以及第一图形区域,该策略编辑区域用于该用户编辑该访问策略图,该第一图形区域用于向该用户呈现用于表示该访问策略图的多种图形;其中,该获取模块包括第一获取单元,用于通过检测该用户从该第一图形区域拖动至该策略编辑区域的第一图形,获取该用户输入的该第一图形。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,该第一获取单元获取的该第一图形包括应用图形、应用间通信连接图形和应用间访问规则图形,其中,该应用图形用于表示应用,该应用间通信连接图形用于表示应用之间存在通信连接,该应用间访问规则图形用于表示应用之间是否允许访问。
结合第二方面的第一种或第二种可能的实现方式,在第二方面的第三种可能的实现方式中,该第一获取单元获取的该第一图形包括域图形、域间通信连接图形和域间访问规则图形;或该第一获取单元获取的该第一图形包括应用图形、域图形、域间通信连接图形和域间访问规则图形,其中,该应用图形用于表示应用,该域图形用于表示由相同属性的一个或多个应用所形成的应用域,该域间通信连接图形用于表示应用域之间存在通信连接,该域间访问规则图形表示应用域之间的访问规则。
结合第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,该显示屏还用于:向该用户呈现第二界面,该第二界面包括隶属关系编辑区域和第二图形区域,该隶属关系编辑区域用于该用户编辑应用与域之间的隶属关系,该第二图像区域用于向该用户呈现用于表示隶属关系的多种图形;其中,该获取模块还包括第二获取单元,用于通过检测该用户从该第二图形区域拖动至该隶属关系编辑区域的第二图形,获取该用户输入的该第二图形。
结合第二方面的第四种可能的实现方式,在第二方面的第五种可能的实现方式中,该第二获取单元获取的该第二图形包括应用图形、该域图形和隶属连接图形,其中,该应用图形用于表示应用,该归属连接图形用于表示应用与应用域之间存在隶属关系。
结合第二方面的第一种至第五种可能的实现方式中的任一种可能的实现方式,在第二方面的第六种可能的实现方式中,该显示屏还用于:在该用户输入的该图形不符合访问策略图的生成规则时,向该用户提示输入错误。
结合第二方面或第二方面的第一种至第六种可能的实现方式中的任一种可能的实现方式,在第二方面的第七种可能的实现方式中,该转换模块包括:解析单元,用于通过对该图形化策略进行解析,获取该访问规则;确定单元,用于根据该访问规则,确定安全增强安卓系统策略和/或意图隔离策略;编译单元,用于将该安全增强安卓系统策略和/或该意图隔离策略编译为系统能够识别的该访问控制策略,该访问控制策略包括该安全增强安卓系统策略和/或该意图隔离策略。
结合第二方面或第二方面的第一种至第七种可能的实现方式中的任一种可能的实现方式,在第二方面的第八种可能的实现方式中,该访问规则表示是否允许该至少两个应用之间采用进程间通信IPC、网络通信、文件系统通信和意图通信中的至少一种通信方式进行访问。
结合第二方面或第二方面的第一种至第八种可能的实现方式中的任一种可能的实现方式,在第二方面的第九种可能的实现方式中,该装置为移动终端。
第三方面,提供了一种控制应用访问的装置,该装置包括处理器、存储器和总线系统,其中,该处理器和该存储器通过该总线系统相连,该存储器用于存储指令,该处理器用于执行该存储器存储的指令;其中,该处理器用于:获取用户输入的图形;根据该图形生成访问策略图,该访问策略图表示至少两个应用之间是否允许访问的访问规则;将该访问策略图转换为系统能够识别的访问控制策略,该访问控制策略用于表示是否允许应用之间进行访问;根据该访问控制策略,对该至少两个应用之间的访问进行控制。
结合第三方面,在第三方面的第一种可能的实现方式中,该装置还包括:显示屏,用于向该用户呈现第一界面,该第一界面包括策略编辑区域以及第一图形区域,该策略编辑区域用于该用户编辑该访问策略图,该第一图形区域用于向该用户呈现用于表示该访问策略图的多种图形;其中,该处理器获取用户输入的图形,具体包括:通过检测该用户从该第一图形区域拖动至该策略编辑区域的第一图形,获取该用户输入的该第一图形。
结合第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,该处理器获取的该第一图形包括应用图形、应用间通信连接图形和应用间访问规则图形,其中,该应用图形用于表示应用,该应用间通信连接图形用于表示应用之间存在通信连接,该应用间访问规则图形用于表示应用之间是否允许访问。
结合第三方面的第一种或第二种可能的实现方式,在第三方面的第三种可能的实现方式中,该处理器获取的该第一图形包括域图形、域间通信连接图形和域间访问规则图形;或该处理器获取的该第一图形包括应用图形、域图形、域间通信连接图形和域间访问规则图形,其中,该应用图形用于表示应用,该域图形用于表示由相同属性的一个或多个应用所形成的应用域,该域间通信连接图形用于表示应用域之间存在通信连接,该域间访问规则图形表示应用域之间是否允许访问。
结合第三方面的第三种可能的实现方式,在第三方面的第四种可能的实现方式中,该显示屏还用于:向该用户呈现第二界面,该第二界面包括隶属关系编辑区域和第二图形区域,该隶属关系编辑区域用于该用户编辑应用与域之间的隶属关系,该第二图像区域用于向该用户呈现用于表示隶属关系的多种图形;其中,该处理器获取用户输入的图形,具体还包括:通过检测该用户从该第二图形区域拖动至该隶属关系编辑区域的第二图形,获取该用户输入的该第二图形。
结合第三方面的第四种可能的实现方式,在第三方面的第五种可能的实现方式中,该处理器获取的该第二图形包括应用图形、该域图形和隶属连接图形,其中,该应用图形用于表示应用,该归属连接图形用于表示应用与应用域之间存在隶属关系。
结合第三方面的第一种至第五种可能的实现方式中的任一种可能的实现方式,在第三方面的第六种可能的实现方式中,该显示屏还用于:在该处理器确定该用户输入的该图形不符合访问策略图的生成规则时,向该用户提示输入错误。
结合第三方面或第三方面的第一种至第六种可能的实现方式中的任一种可能的实现方式,在第三方面的第七种可能的实现方式中,该处理器将该访问策略图转换为系统能够识别的访问控制策略,具体包括:通过对该访问策略图进行解析,获取该访问规则;根据该访问规则,确定安全增强安卓系统策略和/或意图隔离策略;将该安全增强安卓系统策略和/或该意图隔离策略编译为系统能够识别的该访问控制策略,该访问控制策略包括该安全增强安卓系统策略和/或该意图隔离策略。
结合第三方面或第三方面的第一种至第七种可能的实现方式中的任一种可能的实现方式,在第三方面的第八种可能的实现方式中,该访问规则表示是否允许该至少两个应用之间采用进程间通信IPC、网络通信、文件系统通信和意图通信中的至少一种通信方式进行访问。
结合第二方面或第二方面的第一种至第八种可能的实现方式中的任一种可能的实现方式,在第二方面的第九种可能的实现方式中,该装置为移动终端。
基于上述技术方案,本发明实施例的控制应用访问的方法和装置,通过获取用户输入的图形,并将由图形形成的访问策略图转换为系统能够识别的访问控制策略,以根据该访问控制策略控制应用访问,使得用户能够以简单、直观且灵活的图形方式编写系统中各应用的访问控制策略,从而能够提升系统的安全性能,并且还能够提高用户体验。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的控制应用访问的方法的示意性流程图。
图2是根据本发明实施例的获取用户输入的图形的方法的示意性流程图。
图3是根据本发明实施例的第一界面的示意性框图。
图4A和4B分别是根据本发明实施例的访问策略图的示意性框图。
图5是根据本发明实施例的第一界面的另一示意性框图。
图6是根据本发明实施例的访问策略图的另一示意性框图。
图7是根据本发明实施例的获取用户输入的图形的方法的另一示意性流程图。
图8是根据本发明实施例的第二界面的示意性框图。
图9是根据本发明实施例的访问策略图的再一示意性框图。
图10是根据本发明实施例的转换访问策略图的方法的示意性流程图。
图11是根据本发明实施例的控制应用访问的装置的示意性框图。
图12是根据本发明实施例的控制应用访问的装置的另一示意性框图。
图13是根据本发明实施例的控制应用访问的装置的再一示意性框图。
图14是根据本发明实施例的转换模块的示意性框图。
图15是根据本发明另一实施例的控制应用访问的装置的示意性框图。
图16是根据本发明另一实施例的控制应用访问的装置的另一示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
应理解,本发明实施例的技术方案可以应用于基于各种操作系统的移动终端,该操作系统例如包括:安卓(Android)操作系统、苹果(iOS)操作系统、微软(Windows Phone)操作系统、塞班(Symbian)操作系统、黑莓(BlackBerry OS)操作系统、微软(WindowsMobile)操作系统等。为了描述方便,本发明实施例仅以安卓操作系统为例进行说明,但本发明并不限于此。
还应理解,在本发明实施例中,移动终端可以经无线接入网(Radio AccessNetwork,简称为“RAN”)与一个或多个核心网进行通信,该移动终端可称为接入终端、用户设备(User Equipment,简称为“UE”)、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session Initiation Protocol,简称为“SIP”)电话、无线本地环路(Wireless Local Loop,简称为“WLL”)站、个人数字处理(Personal DigitalAssistant,简称为“PDA”)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备以及未来5G网络中的终端设备。
图1示出了根据本发明实施例的控制应用访问的方法100的示意性流程图,该方法100例如可以由移动终端执行,该移动终端例如为手机。如图1所示,该方法100包括:
S110,获取用户输入的图形;
S120,根据该图形生成访问策略图,该访问策略图表示至少两个应用之间是否允许访问的访问规则;
S130,将该访问策略图转换为系统能够识别的访问控制策略,该访问控制策略用于表示是否允许应用之间进行访问;
S140,根据该访问控制策略,对该至少两个应用之间的访问进行控制。
具体而言,移动终端例如通过获取用户通过选择、拖动或绘制等方式输入的图形,生成由各图形形成的以简单、直观且灵活的方式体现的访问策略图,该访问策略图可以表示应用之间是否允许访问的访问规则,由此,移动终端可以将该访问策略图转换为系统能够识别的访问控制策略,从而该移动终端能够根据该访问控制策略,对应用之间的访问进行控制,以提升系统的安全性能。
因此,本发明实施例的控制应用访问的方法,通过获取用户输入的图形,并将由图形形成的访问策略图转换为系统能够识别的访问控制策略,以根据该访问控制策略控制应用访问,使得用户能够以简单、直观且灵活的图形方式编写系统中各应用的访问控制策略,从而能够提升系统的安全性能,并且还能够提高用户体验。
另一方面,本发明实施例的控制应用访问的方法,能够实时根据获取到的图形生成访问策略图,并将该访问策略图转换为访问控制策略,从而能够动态地更新访问控制策略,并根据该访问控制策略动态地对应用的访问进行控制,克服了现有技术中只能在应用安装时分配访问控制策略,不能根据实际需要动态调整的缺陷,由此能够增强系统安全管理的灵活性与实用性。
再一方面,本发明实施例的控制应用访问的方法,能够将由图形形成的访问策略图转换为系统能够识别的访问控制策略,避免通过人工输入大量的字符来编写访问控制策略,由此能够简化访问控制策略的编写,从而能够进一步提高用户体验。
在S110中,终端设备可以获取用户通过多种方式输入的图形。
具体而言,本发明实施例中,用户能够以图形方式编写或制定访问控制策略,特别地,用户可以通过多种方式输入图形,以体现用户期望编写的访问控制策略或制定访问规则。例如,用户可以通过选择图形、指定图形、拖动图形或绘制图形等方式输入图形。相应地,移动终端可以获取用户通过选择图形、指定图形、拖动图形或绘制图形等多种方式输入的图形,并可以根据该图形生成访问策略图,以表示至少两个应用之间是否允许访问的访问规则。
例如,用户可以在移动终端的显示屏上绘制满足预定规则或符合预定语义的图形,移动终端通过识别用户绘制的图形,获取用户输入的图形,并生成由用户输入的图形形成的访问策略图;又例如,移动终端可以以图形方式展现访问策略图的各个要素,用户仅需要选择相应的图形即可,以体现用户期望确定的应用之间的访问规则,从而移动终端可以获取用户选择或指定的图形,并生成相应的访问策略图。优选地,为了进一步提高用户体验,简化访问控制策略的制定,终端设备还可以获取用户通过其它方式输入的图形,并生成相应的访问策略图,下面将结合图2至图9分别进行描述。
如图2所示,可选地,该获取用户输入的图形,包括:
S111,向该用户呈现第一界面,该第一界面包括策略编辑区域以及第一图形区域,该策略编辑区域用于该用户编辑该访问策略图,该第一图形区域用于向该用户呈现用于表示该访问策略图的多种图形;
S112,通过检测该用户从该第一图形区域拖动至该策略编辑区域的第一图形,获取该用户输入的该第一图形。
具体地,移动终端可以向用户提供如图3所示的第一界面,该第一界面可以包括策略编辑区域以及第一图形区域,该策略编辑区域可以用于用户编辑访问策略图,该第一图形区域可以用于向用户呈现用于表示访问策略图的多种图形;由此,移动终端可以通过检测该用户从该第一图形区域拖动至该策略编辑区域的第一图形,获取该用户输入的该第一图形,并可以根据该第一图形生成访问策略图。
例如,如图3所示,该第一界面的上半部分可以为策略编辑区域,该策略编辑区域可以设置策略编辑提示,如图3中的虚线方框所示,以提示用户将第一图形区域中的相应图形拖动至相应的策略编辑区域,从而形成用于表示应用之间的访问规则的图形化策略。该第一界面的上半部分可以为第一图形区域,该第一图形区域可以包括展现策略的各项要素的图形。例如,该第一图形区域可以包括各种应用的图标,例如:微信应用图标、招商银行应用图标、QQ应用图标、花旗银行应用图标、微博应用图标、工商银行应用图标;该第一图形区域也可以包括表示应用之间的访问规则的图形,例如:允许意图通信的图形、允许网络通信的图形、允许文件通信的图形、允许IPC通信的图形、禁止意图通信的图形、禁止网络通信的图形等;又例如,该第一图形区域还可以包括应用之间的通信连接关系的图形等;再例如,该第一图形区域还可以包括由相同属性的一个或多个应用所形成的应用域的图形等。
可选地,在本发明实施例中,该第一图形包括应用图形、应用间通信连接图形和应用间访问规则图形,其中,该应用图形用于表示应用,该应用间通信连接图形用于表示应用之间存在通信连接,该应用间访问规则图形用于表示应用之间是否允许访问。
在本发明实施例中,可选地,该访问规则表示是否允许至少两个应用之间采用进程间通信(Inter Process Communication,简称为“IPC”)、网络(Network)通信、文件系统(File System)通信和意图(Intent)通信中的至少一种通信方式进行访问,例如,允许应用之间采用网络通信方式进行访问,或禁止应用之间采用意图通信方式进行访问等。
在本发明实施例中,用户可以将第一图形区域的图形拖动至该策略编辑区域,以体现用户期望编写或制定的访问控制策略或访问规则;由此,移动终端可以通过检测用户从该第一图形区域拖动至该策略编辑区域的第一图形,获取用户输入的该第一图形,并可以根据该第一图形,生成用于表示应用之间是否允许访问的访问规则的访问策略图。
例如,当用户希望编写或制定微信应用与工商银行应用之间的访问规则时,用户可以将第一图形区域中的微信应用图标与工商银行应用图标拖动至该策略编辑区域,并可以用应用间通信连接图形来连接这两个应用图标,以表示这两个应用之间存在通信连接。如果用户从系统安全角度出发,确定这两个应用之间仅仅允许意图通信方式,不允许网络通信方式、文件通信方式和IPC通信方式时,用户可以将相应的应用间访问规则图形从该第一图形区域拖动至该策略编辑区域,由此移动终端可以通过检测用户从第一图形区域拖动至策略编辑区域的第一图形,获取用户输入的第一图形,并可以根据用户输入的该第一图形,生成如图4A所示的访问策略图。
又例如,访问策略图也可以用于用户体现多个应用之间的访问规则,例如如图4B所示,该访问策略图还可以进一步表示微信应用与招商银行应用之间也仅仅允许意图通信方式,不允许网络通信方式、文件通信方式和IPC通信方式。
应理解,本发明实施例仅以图4A和4B所示的访问策略图为例进行说明,但本发明并不限于此,例如,该第一图形区域还可以包括其他类型的图形,相应的访问策略图也可以由其他类型的第一图形形成。
在本发明实施例中,可选地,该第一图形包括域图形、域间通信连接图形和域间访问规则图形;或该第一图形包括应用图形、域图形、域间通信连接图形和域间访问规则图形,其中,该应用图形用于表示应用,该域图形用于表示由相同属性的一个或多个应用所形成的应用域,该域间通信连接图形用于表示应用域之间存在通信连接,该域间访问规则图形表示应用域之间是否允许访问。
应理解,在本发明实施例中,具体地,应用域可以包括一个或多个应用,因而,一个应用也可以认为是一个应用域的特例,由此,该域间通信连接图形还可以用于表示应用与应用域之间或应用之间存在通信连接,该域间访问规则图形还可以表示应用与应用域之间或应用之间的访问规则。
例如,如图5所示,该第一界面可以包括策略编辑区域以及第一图形区域,该策略编辑区域可以位于该第一界面的上半部分,该策略编辑区域可以设置策略编辑提示,如图5中的虚线方框所示,以提示用户将第一图形区域中的相应图形拖动至相应的策略编辑区域,从而形成用于表示应用之间、应用与应用域之间、或应用域之间的访问规则的访问策略图。
该第一图形区域可以位于该第一界面的下半部分,并可以包括展现策略的各项要素的图形,例如,该第一图形区域可以包括各种应用域的图标,例如金融域图形和社交域图形;该第一图形区域可以包括表示应用之间的访问规则的图形,例如:允许意图通信的图形、允许网络通信的图形、允许文件通信的图形、允许IPC通信的图形、禁止意图通信的图形、禁止网络通信的图形、禁止文件通信的图形、禁止IPC通信的图形等;又例如,该第一图形区域还可以包括用于表示应用域之间或应用与应用域之间的通信连接关系的图形等。
类似地,移动终端可以通过检测用户从该第一图形区域拖动至该策略编辑区域的第一图形,获取用户输入的该第一图形,并且移动终端可以根据该第一图形生成访问策略图,该访问策略图例如如图6所示,其中,该访问策略图表示社交域和金融域之间允许采用意图通信方式进行访问,但禁止采用网络通信方式、文件通信方式以及IPC通信方式进行访问或通信。
图7示出了根据本发明实施例的获取用户输入的图形的方法110的另一示意性流程图。如图7所示,该获取用户输入的图形,还包括:
S113,向该用户呈现第二界面,该第二界面包括隶属关系编辑区域和第二图形区域,该隶属关系编辑区域用于该用户编辑应用与域之间的隶属关系,该第二图像区域用于向该用户呈现用于表示隶属关系的多种图形;
S114,通过检测该用户从该第二图形区域拖动至该隶属关系编辑区域的第二图形,获取该用户输入的该第二图形。
具体地,移动终端还可以向用户提供如图8所示的第二界面,该第二界面可以包括策略编辑区域以及第二图形区域,移动终端可以通过检测该用户从该第二图形区域拖动至该策略编辑区域的第二图形,获取该用户输入的第二图形,由此,移动终端可以根据第一图形和第二图形生成访问策略图。
应理解,在本发明实施例中,移动终端也可以仅根据第二图形生成隶属关系图,或者移动终端可以根据隶属关系图对已经生成的访问策略图进行更新,即移动终端可以根据隶属关系图和已经生成的访问策略图,生成更新的访问策略图等,本发明实施例并不限于此。
可选地,在本发明实施例中,该第二图形包括应用图形、该域图形和隶属连接图形,其中,该应用图形用于表示应用,该归属连接图形用于表示应用与应用域之间存在隶属关系。
具体地,例如如图8所示,该第二界面可以包括位于界面上部的隶属关系编辑区域以及位于界面下部的第二图形区域,该隶属关系编辑区域用于用户编辑应用与域之间的隶属关系,该隶属关系编辑区域也可以设置如图8中的虚线方框所示的隶属关系编辑提示,以提示用户将第二图形区域中的第二图形拖动至相应的隶属关系编辑区域,从而表示应用与应用域之间的隶属关系;该第二图像区域可以用于向用户呈现用于表示隶属关系的多种图形,例如,应用图形、域图形和隶属连接图形等。
由此,包括应用与应用域之间的隶属关系的访问策略图可以如图9所示。在图9中,不仅示出了社交域与金融域之间的访问规则,还进一步示出了社交域包括微信应用和QQ应用,金融域包括工商银行应用和招商银行应用。
应理解,本发明实施例仅以第二图形包括应用图形、域图形和隶属连接图形为例进行说明,但本发明并不限于此,例如,该第二图形也可以仅仅包括应用图形和域图形,由此也可以确定应用与应用域之间的隶属关系。
应理解,本发明实施例仅以图4A、图4B、图6和图9所示的访问策略图为例进行说明,但本发明并不限于此,例如,访问策略图也可以表示应用和应用域之间的访问规则等。
还应理解,在本发明实施例中,第一界面可以单独呈现在移动终端的显示屏上,以便于用户设置应用之间、应用和应用域之间、或应用域之间的访问规则;第二界面也可以单独呈现在移动终端的显示屏上,以便于用户设置应用与应用域之间的隶属关系;该第一界面和该第二界面还可以一起呈现在移动终端的显示屏上,以便于用户同时设置访问规则以及隶属关系。
因此,本发明实施例的控制应用访问的方法,通过获取用户输入的图形,并将由图形形成的访问策略图转换为系统能够识别的访问控制策略,以根据该访问控制策略控制应用访问,使得用户能够以简单、直观且灵活的图形方式编写系统中各应用的访问控制策略,从而能够提升系统的安全性能,并且还能够提高用户体验。
在S120中,移动终端可以根据用户输入的图形生成访问策略图,该访问策略图表示至少两个应用之间是否允许访问的访问规则。
具体而言,例如,移动终端可以通过对用户输入的图形进行整理,生成如图4A、图4B、图6或图9所示的访问策略图;又例如,移动终端也可以直接将用户拖动至策略编辑区域内的图形确定为访问策略图;再例如,移动终端还可以根据访问策略图的生成规则,将用户拖动至策略编辑区域内的图形生成为访问策略图等。
在此过程中,移动终端还可以与用户进行交互,以生成与用户期望一致的访问策略图;当然,在此过程中,移动终端还可以进一步提示用户,以便于用户输入正确的图形。在本发明实施例中,可选地,该方法还包括:在用户输入的该图形不符合访问策略图的生成规则时,向该用户提示输入错误。
具体而言,移动终端可以根据用户选择或输入的第一图形,确定或生成用户期望输入的访问策略图;移动终端也可以根据用户选择或输入的第一图形和第二图形,确定或生成用户期望输入的访问策略图。当用户选择或输入的图形所形成的访问策略图不符合语法规则时,或当用户选择或输入的图形不能构成访问策略图时,移动终端可以向用户提示输入错误,还可以引导用户形成符合语法规则的访问策略图。例如,移动终端可以提供如图3、图5和图8中所示的虚线框,以引导用户选择或输入图形;又例如,移动终端可以提供具体的例子或详细的说明,以指导用户学习构建访问策略图。
当用户选择或输入的图形所形成的访问策略图符合语法规则时,移动终端可以实时地将该访问策略图编译为系统能够识别的访问控制策略,并可以根据该访问控制策略,对该第一应用和该第二应用之间的访问进行控制。
具体地,在S130中,如图10所示,该将该访问策略图转换为系统能够识别的访问控制策略,包括:
S131,通过对该访问策略图进行解析,获取该访问规则;
S132,根据该访问规则,确定安全增强安卓系统策略和/或意图隔离策略;
S133,将该安全增强安卓系统策略和/或该意图隔离策略编译为系统能够识别的该访问控制策略,该访问控制策略包括该安全增强安卓系统策略和/或该意图隔离策略。
具体而言,在本发明实施例中,移动终端根据用户输入的第一图形,或者根据用户选择或输入的第一图形和第二图形,可以确定该用户期望输入的访问策略图或访问控制策略;移动终端进一步通过对该访问策略图进行解析,可以获取至少一个第一应用与至少一个第二应用之间的访问规则。应理解,该访问规则可以包括一个第一应用与一个第二应用之间的访问规则,即应用之间的访问规则;该访问规则也可以包括一个第一应用与多个第二应用之间的访问规则,即应用与应用域之间的访问规则;该访问规则还可以包括多个第一应用与多个第二应用之间的访问规则,即应用域之间的访问规则。
移动终端根据该访问规则,可以确定应用之间的、应用与应用域之间的、或应用域之间的安全增强安卓系统SEAndroid策略和/或意图Intent隔离策略,其中,该SEAndroid策略用于对应用之间的、应用与应用域之间的、或应用域之间的IPC通信、网络通信和文件系统通信中的至少一种通信方式进行访问控制,即是否允许采用上述至少一种通信方式进行访问;该Intent隔离策略用于对应用之间的、应用与应用域之间的、或应用域之间的Intent通信方式进行访问控制,即是否允许采用Intent通信方式进行访问。
进一步地,移动终端可以将该安全增强安卓系统策略和/或该意图隔离策略编译为系统能够识别的该访问控制策略,该访问控制策略包括该安全增强安卓系统策略和/或该意图隔离策略。例如,移动终端将安全增强安卓系统策略编译为二进制的访问控制策略;又例如,移动终端可以将意图隔离策略编译为可扩展标记语言(Extensible MarkupLanguage,简称为“XML”)文件等。
具体地,当用户允许应用域A和应用域B通过IPC进行通信时,编译形成的系统能够识别的访问控制策略例如为:
#Create/access any System V IPC objects
allow A B:{sem msgq shm}*;
allow A B:msg{send receive};
具体地,当用户允许应用域A和应用域B通过网络进行通信时,编译形成的系统能够识别的访问控制策略例如为:
#Connect through socket
allow A dom712_app:tcp_socket{read write getattr getopt shutdownconnectto newconn acceptfrom node_bind name_connect};
#Access the network
net_domain(A)
具体地,当用户允许应用域A和应用域B通过文件系统进行通信时,编译形成的系统能够识别的访问控制策略例如为:
type A_file;
allow A A_file:file~{relabelto};
allow A_file labeledfs:filesystem associate;
file_type_trans(A,file_type,A_file)
type_transition A{file_type–download_file}:dir A_file;
type_transition A{file_type–download_file}:notdevfile_class_set A_file;
具体地,当用户允许应用域A和应用域B通过Intent进行通信时,编译形成的系统能够识别的访问控制策略例如为:
应理解,在本发明实施例中,上述经过编译的能够被系统能够识别的访问控制策略放置到移动终端的系统指定位置即可完成策略的部署工作,其中,SEAndroid策略可以由SEAndroid执行,Intent隔离策略可以由扩展后的意图防火墙(IntentFirewall)模块执行。
在本发明实施例中,可选地,该访问控制策略包括进程间通信IPC、网络通信、文件系统通信和意图通信中的至少一种通信方式的访问控制策略,即该访问控制策略用于表示是否允许应用之间采用进程间通信IPC、网络通信、文件系统通信和意图通信中的至少一种通信方式进行访问。应理解,意图(Intent)通信主要是用于安卓(Android)应用的各项组件之间的通讯,具体地,Intent通信负责对应用中一次操作的动作、动作涉及数据、附加数据进行描述,Android则根据此Intent的描述,负责找到对应的组件,将Intent传递给调用的组件,并完成组件的调用;因而,Intent在通信中起着一个媒体中介的作用,专门提供组件互相调用的相关信息,实现调用者与被调用者之间的解耦。
在S140中,移动终端可以根据该访问控制策略,对至少两个应用之间的访问进行控制。
例如,对于如图4A所示的访问策略图,移动终端将该访问策略图转换成的访问控制策略允许应用之间采用意图通信方式进行访问,不允许应用之间采用网络通信、文件通信和IPC通信方式进行访问。因而,例如,当微信应用与工商银行应用采用IPC通信方式进行访问时,移动终端会拒绝该访问;又例如,当微信应用与工商银行应用采用Intent通信方式进行访问时,移动终端可以允许该访问。
应理解,在本发明实施例中,访问策略图为根据用户输入的图形生成的用于表示访问规则的图,该访问规则可以表示应用之间是否允许通过特定通信方式进行访问;例如,该访问规则可以表示是否允许应用之间采用进程间通信IPC、网络通信、文件系统通信和意图通信中的至少一种通信方式进行访问。
还应理解,在本发明实施例中,访问控制策略为系统或移动终端能够识别的用于表示访问规则的策略,该策略可以为二进制文件,也可以为XML文件,本发明并不限于此;在本发明实施例中,该访问控制策略由移动终端根据访问策略图编译而生成。该访问控制策略也可以表示应用之间是否允许通过特定通信方式进行访问;例如,该访问控制策略可以表示是否允许应用之间采用进程间通信IPC、网络通信、文件系统通信和意图通信中的至少一种通信方式进行访问。
还应理解,在本发明实施例中,可以根据访问控制策略的具体内容,将访问控制策略分为安全增强安卓系统策略和意图隔离策略,该安全增强安卓系统策略可以表示是否允许应用之间采用进程间通信IPC、网络通信和文件系统通信中的至少一种通信方式进行访问;该意图隔离策略可以表示是否允许应用之间采用意图通信方式进行访问。
还应理解,本发明实施例仅以进程间通信IPC、网络通信、文件系统通信和意图通信这四种通信方式为例进行说明,但本发明并不限于此。
因此,本发明实施例的控制应用访问的方法,能够实时根据获取到的图形生成访问策略图,并将该访问策略图转换为访问控制策略,从而能够动态地更新访问控制策略,并根据该访问控制策略动态地对应用的访问进行控制,克服了现有技术中只能在应用安装时分配访问控制策略,不能根据实际需要动态调整的缺陷,由此能够增强系统安全管理的灵活性与实用性。
另一方面,本发明实施例的控制应用访问的方法,能够将由图形形成的访问策略图转换为系统能够识别的访问控制策略,避免通过人工输入大量的字符来编写访问控制策略,由此能够简化访问控制策略的编写,从而能够进一步提高用户体验。
应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
上文中结合图1至图10,详细描述了根据本发明实施例的控制应用访问的方法,下面将结合图11至图16,详细描述根据本发明实施例的控制应用访问的装置。
如图11所示,该控制应用访问的装置500包括:
获取模块510,用于获取用户输入的图形;
生成模块520,用于根据该获取模块510获取的该图形,生成访问策略图,该访问策略图表示至少两个应用之间是否允许访问的访问规则;
转换模块530,用于将该生成模块520生成的该访问策略图转换为系统能够识别的访问控制策略,该访问控制策略用于表示是否允许应用之间进行访问;
控制模块540,用于根据该转换模块530转换的该访问控制策略,对该至少两个应用之间的访问进行控制。
因此,本发明实施例的控制应用访问的装置,通过获取用户输入的图形,并将由图形形成的访问策略图转换为系统能够识别的访问控制策略,以根据该访问控制策略控制应用访问,使得用户能够以简单、直观且灵活的图形方式编写系统中各应用的访问控制策略,从而能够提升系统的安全性能,并且还能够提高用户体验。
另一方面,本发明实施例的控制应用访问的装置,能够实时根据获取到的图形生成访问策略图,并将该访问策略图转换为访问控制策略,从而能够动态地更新访问控制策略,并根据该访问控制策略动态地对应用的访问进行控制,克服了现有技术中只能在应用安装时分配访问控制策略,不能根据实际需要动态调整的缺陷,由此能够增强系统安全管理的灵活性与实用性。
再一方面,本发明实施例的控制应用访问的装置,能够将由图形形成的访问策略图转换为系统能够识别的访问控制策略,避免通过人工输入大量的字符来编写访问控制策略,由此能够简化访问控制策略的编写,从而能够进一步提高用户体验。
在本发明实施例中,可选地,如图12所示,该装置500还包括:
显示屏550,用于向该用户呈现第一界面,该第一界面包括策略编辑区域以及第一图形区域,该策略编辑区域用于该用户编辑该访问策略图,该第一图形区域用于向该用户呈现用于表示该访问策略图的多种图形;
其中,该获取模块510包括第一获取单元511,用于通过检测该用户从该第一图形区域拖动至该策略编辑区域的第一图形,获取该用户输入的该第一图形。
在本发明实施例中,可选地,该第一获取单元511获取的该第一图形包括应用图形、应用间通信连接图形和应用间访问规则图形,其中,该应用图形用于表示应用,该应用间通信连接图形用于表示应用之间存在通信连接,该应用间访问规则图形用于表示应用之间是否允许访问。
可选地,在本发明实施例中,该第一获取单元511获取的该第一图形包括域图形、域间通信连接图形和域间访问规则图形;或该第一获取单元511获取的该第一图形包括应用图形、域图形、域间通信连接图形和域间访问规则图形,其中,该应用图形用于表示应用,该域图形用于表示由相同属性的一个或多个应用所形成的应用域,该域间通信连接图形用于表示应用域之间存在通信连接,该域间访问规则图形表示应用域之间的访问规则。
在本发明实施例中,可选地,如图13所示,该显示屏550还用于:向该用户呈现第二界面,该第二界面包括隶属关系编辑区域和第二图形区域,该隶属关系编辑区域用于该用户编辑应用与域之间的隶属关系,该第二图像区域用于向该用户呈现用于表示隶属关系的多种图形;
其中,该获取模块510还包括第二获取单元512,用于通过检测该用户从该第二图形区域拖动至该隶属关系编辑区域的第二图形,获取该用户输入的该第二图形。
可选地,在本发明实施例中,该第二获取单元512获取的该第二图形包括应用图形、该域图形和隶属连接图形,其中,该应用图形用于表示应用,该归属连接图形用于表示应用与应用域之间存在隶属关系。
可选地,在本发明实施例中,该显示屏550还用于:在该用户输入的该图形不符合访问策略图的生成规则时,向该用户提示输入错误。
在本发明实施例中,可选地,如图14所示,该转换模块530包括:
解析单元531,用于通过对该图形化策略进行解析,获取该访问规则;
确定单元532,用于根据该访问规则,确定安全增强安卓系统策略和/或意图隔离策略;
编译单元533,用于将该安全增强安卓系统策略和/或该意图隔离策略编译为系统能够识别的该访问控制策略,该访问控制策略包括该安全增强安卓系统策略和/或该意图隔离策略。
在本发明实施例中,可选地,该访问规则表示是否允许该至少两个应用之间采用进程间通信IPC、网络通信、文件系统通信和意图通信中的至少一种通信方式进行访问。
可选地,在本发明实施例中,该装置500为移动终端。
应理解,根据本发明实施例的控制应用访问的装置500可对应于本发明实施例中的方法的执行主体,并且装置500中的各个模块的上述和其它操作和/或功能分别为了实现图1至图10中的各个方法100的相应流程,为了简洁,在此不再赘述。
因此,本发明实施例的控制应用访问的装置,通过获取用户输入的图形,并将由图形形成的访问策略图转换为系统能够识别的访问控制策略,以根据该访问控制策略控制应用访问,使得用户能够以简单、直观且灵活的图形方式编写系统中各应用的访问控制策略,从而能够提升系统的安全性能,并且还能够提高用户体验。
另一方面,本发明实施例的控制应用访问的装置,能够实时根据获取到的图形生成访问策略图,并将该访问策略图转换为访问控制策略,从而能够动态地更新访问控制策略,并根据该访问控制策略动态地对应用的访问进行控制,克服了现有技术中只能在应用安装时分配访问控制策略,不能根据实际需要动态调整的缺陷,由此能够增强系统安全管理的灵活性与实用性。
再一方面,本发明实施例的控制应用访问的装置,能够将由图形形成的访问策略图转换为系统能够识别的访问控制策略,避免通过人工输入大量的字符来编写访问控制策略,由此能够简化访问控制策略的编写,从而能够进一步提高用户体验。
如图15所示,本发明实施例还提供了一种控制应用访问的装置800,该装置包括处理器810、存储器820和总线系统830,其中,该处理器810和该存储器820通过该总线系统830相连,该存储器820用于存储指令,该处理器810用于执行该存储器820存储的指令;其中,该处理器810用于:
获取用户输入的图形;
根据该图形生成访问策略图,该访问策略图表示至少两个应用之间是否允许访问的访问规则;
将该访问策略图转换为系统能够识别的访问控制策略,该访问控制策略用于表示是否允许应用之间进行访问;
根据该访问控制策略,对该至少两个应用之间的访问进行控制。
因此,本发明实施例的控制应用访问的装置,通过获取用户输入的图形,并将由图形形成的访问策略图转换为系统能够识别的访问控制策略,以根据该访问控制策略控制应用访问,使得用户能够以简单、直观且灵活的图形方式编写系统中各应用的访问控制策略,从而能够提升系统的安全性能,并且还能够提高用户体验。
另一方面,本发明实施例的控制应用访问的装置,能够实时根据获取到的图形生成访问策略图,并将该访问策略图转换为访问控制策略,从而能够动态地更新访问控制策略,并根据该访问控制策略动态地对应用的访问进行控制,克服了现有技术中只能在应用安装时分配访问控制策略,不能根据实际需要动态调整的缺陷,由此能够增强系统安全管理的灵活性与实用性。
再一方面,本发明实施例的控制应用访问的装置,能够将由图形形成的访问策略图转换为系统能够识别的访问控制策略,避免通过人工输入大量的字符来编写访问控制策略,由此能够简化访问控制策略的编写,从而能够进一步提高用户体验。
应理解,在本发明实施例中,该处理器810可以是中央处理单元(CentralProcessing Unit,简称为“CPU”),该处理器810还可以是其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
该存储器820可以包括只读存储器和随机存取存储器,并向处理器810提供指令和数据。存储器820的一部分还可以包括非易失性随机存取存储器。例如,存储器820还可以存储设备类型的信息。
该总线系统830除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线系统830。
在实现过程中,上述方法的各步骤可以通过处理器810中的硬件的集成逻辑电路或者软件形式的指令完成。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器820,处理器810读取存储器820中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
在本发明实施例中,可选地,该装置800还包括:
显示屏840,用于向该用户呈现第一界面,该第一界面包括策略编辑区域以及第一图形区域,该策略编辑区域用于该用户编辑该访问策略图,该第一图形区域用于向该用户呈现用于表示该访问策略图的多种图形;
其中,该处理器810获取用户输入的图形,具体包括:
通过检测该用户从该第一图形区域拖动至该策略编辑区域的第一图形,获取该用户输入的该第一图形。
在本发明实施例中,可选地,该处理器810获取的该第一图形包括应用图形、应用间通信连接图形和应用间访问规则图形,其中,该应用图形用于表示应用,该应用间通信连接图形用于表示应用之间存在通信连接,该应用间访问规则图形用于表示应用之间是否允许访问。
在本发明实施例中,可选地,该处理器810获取的该第一图形包括域图形、域间通信连接图形和域间访问规则图形;或该处理器810获取的该第一图形包括应用图形、域图形、域间通信连接图形和域间访问规则图形,其中,该应用图形用于表示应用,该域图形用于表示由相同属性的一个或多个应用所形成的应用域,该域间通信连接图形用于表示应用域之间存在通信连接,该域间访问规则图形表示应用域之间是否允许访问。
在本发明实施例中,可选地,该显示屏840还用于:
向该用户呈现第二界面,该第二界面包括隶属关系编辑区域和第二图形区域,该隶属关系编辑区域用于该用户编辑应用与域之间的隶属关系,该第二图像区域用于向该用户呈现用于表示隶属关系的多种图形;
其中,该处理器810获取用户输入的图形,具体还包括:
通过检测该用户从该第二图形区域拖动至该隶属关系编辑区域的第二图形,获取该用户输入的该第二图形。
在本发明实施例中,可选地,该处理器810获取的该第二图形包括应用图形、该域图形和隶属连接图形,其中,该应用图形用于表示应用,该归属连接图形用于表示应用与应用域之间存在隶属关系。
在本发明实施例中,可选地,该显示屏840还用于:在该处理器810确定该用户输入的该图形不符合访问策略图的生成规则时,向该用户提示输入错误。
在本发明实施例中,可选地,该处理器810将该访问策略图转换为系统能够识别的访问控制策略,具体包括:
通过对该访问策略图进行解析,获取该访问规则;
根据该访问规则,确定安全增强安卓系统策略和/或意图隔离策略;
将该安全增强安卓系统策略和/或该意图隔离策略编译为系统能够识别的该访问控制策略,该访问控制策略包括该安全增强安卓系统策略和/或该意图隔离策略。
在本发明实施例中,可选地,该访问规则表示是否允许该至少两个应用之间采用进程间通信IPC、网络通信、文件系统通信和意图通信中的至少一种通信方式进行访问。
在本发明实施例中,可选地,该装置800为移动终端。
根据本发明实施例的控制应用访问的装置800可对应于本发明实施例中的移动终端以及装置500,并且装置800中的各个模块的上述和其它操作和/或功能分别为了实现图1至图10中的各个方法100的相应流程,为了简洁,在此不再赘述。
因此,本发明实施例的控制应用访问的装置,通过获取用户输入的图形,并将由图形形成的访问策略图转换为系统能够识别的访问控制策略,以根据该访问控制策略控制应用访问,使得用户能够以简单、直观且灵活的图形方式编写系统中各应用的访问控制策略,从而能够提升系统的安全性能,并且还能够提高用户体验。
另一方面,本发明实施例的控制应用访问的装置,能够实时根据获取到的图形生成访问策略图,并将该访问策略图转换为访问控制策略,从而能够动态地更新访问控制策略,并根据该访问控制策略动态地对应用的访问进行控制,克服了现有技术中只能在应用安装时分配访问控制策略,不能根据实际需要动态调整的缺陷,由此能够增强系统安全管理的灵活性与实用性。
再一方面,本发明实施例的控制应用访问的装置,能够将由图形形成的访问策略图转换为系统能够识别的访问控制策略,避免通过人工输入大量的字符来编写访问控制策略,由此能够简化访问控制策略的编写,从而能够进一步提高用户体验。
另外,本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (26)

1.一种控制应用访问的方法,其特征在于,包括:
向用户呈现第一界面,所述第一界面包括策略编辑区域以及第一图形区域,所述策略编辑区域用于所述用户编辑用于表示至少两个应用之间是否允许访问的访问规则的访问策略图,所述第一图形区域用于向所述用户呈现用于表示所述访问策略图的多种图形;
通过检测所述用户从所述第一图形区域拖动至所述策略编辑区域的第一图形,获取所述用户输入的第一图形,所述第一图形包括用于表示应用的应用图形、通信连接图形和访问规则图形;
根据所述第一图形生成访问策略图;
将所述访问策略图转换为系统能够识别的访问控制策略,所述访问控制策略用于表示是否允许应用之间进行访问;
根据所述访问控制策略,对所述至少两个应用之间的访问进行控制。
2.根据权利要求1所述的方法,其特征在于,所述第一图形包括至少两个应用图形,所述通信连接图形用于表示应用之间存在通信连接,所述访问规则图形用于表示应用之间是否允许访问。
3.根据权利要求1所述的方法,其特征在于,所述第一图形包括至少两个域图形,或所述第一图形包括至少一个应用图形和至少一个域图形,所述域图形用于表示由相同属性的一个或多个应用所形成的应用域,所述通信连接图形用于表示应用域之间或应用与应用域之间存在通信连接,所述访问规则图形表示应用域之间或应用与应用域之间是否允许访问。
4.根据权利要求3所述的方法,其特征在于,所述获取用户输入的图形,还包括:
向所述用户呈现第二界面,所述第二界面包括隶属关系编辑区域和第二图形区域,所述隶属关系编辑区域用于所述用户编辑应用与域之间的隶属关系,所述第二图形区域用于向所述用户呈现用于表示隶属关系的多种图形;
通过检测所述用户从所述第二图形区域拖动至所述隶属关系编辑区域的第二图形,获取所述用户输入的所述第二图形。
5.根据权利要求4所述的方法,其特征在于,所述第二图形包括应用图形、所述域图形和隶属连接图形,其中,所述应用图形用于表示应用,所述隶属连接图形用于表示应用与应用域之间存在隶属关系。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:
在所述用户输入的所述图形不符合访问策略图的生成规则时,向所述用户提示输入错误。
7.根据权利要求1至5中任一项所述的方法,其特征在于,所述将所述访问策略图转换为系统能够识别的访问控制策略,包括:
通过对所述访问策略图进行解析,获取所述访问规则;
根据所述访问规则,确定安全增强安卓系统策略和/或意图隔离策略;
将所述安全增强安卓系统策略和/或所述意图隔离策略编译为系统能够识别的所述访问控制策略,所述访问控制策略包括所述安全增强安卓系统策略和/或所述意图隔离策略。
8.根据权利要求1至5中任一项所述的方法,其特征在于,所述访问规则表示是否允许所述至少两个应用之间采用进程间通信IPC、网络通信、文件系统通信和意图通信中的至少一种通信方式进行访问。
9.一种控制应用访问的装置,其特征在于,包括:
显示屏,用于向用户呈现第一界面,所述第一界面包括策略编辑区域以及第一图形区域,所述策略编辑区域用于所述用户编辑用于表示至少两个应用之间是否允许访问的访问规则的访问策略图,所述第一图形区域用于向所述用户呈现用于表示所述访问策略图的多种图形;
获取模块,用于通过检测所述用户从所述第一图形区域拖动至所述策略编辑区域的第一图形,获取所述用户输入的所述第一图形,所述第一图形包括用于表示应用的应用图形、通信连接图形和访问规则图形;
生成模块,用于根据所述获取模块获取的所述第一图形,生成访问策略图;
转换模块,用于将所述生成模块生成的所述访问策略图转换为系统能够识别的访问控制策略,所述访问控制策略用于表示是否允许应用之间进行访问;
控制模块,用于根据所述转换模块转换的所述访问控制策略,对所述至少两个应用之间的访问进行控制。
10.根据权利要求9所述的装置,其特征在于,所述获取模块获取的所述第一图形包括至少两个应用图形,所述通信连接图形用于表示应用之间存在通信连接,所述访问规则图形用于表示应用之间是否允许访问。
11.根据权利要求9所述的装置,其特征在于,所述获取模块获取的所述第一图形包括至少两个域图形;或所述获取模块获取的所述第一图形包括至少一个应用图形和至少一个域图形,所述域图形用于表示由相同属性的一个或多个应用所形成的应用域,所述通信连接图形用于表示应用域之间或应用与应用域之间存在通信连接,所述访问规则图形表示应用域之间或应用与应用域之间的访问规则。
12.根据权利要求11所述的装置,其特征在于,所述显示屏还用于:向所述用户呈现第二界面,所述第二界面包括隶属关系编辑区域和第二图形区域,所述隶属关系编辑区域用于所述用户编辑应用与域之间的隶属关系,所述第二图形区域用于向所述用户呈现用于表示隶属关系的多种图形;
其中,所述获取模块还用于:通过检测所述用户从所述第二图形区域拖动至所述隶属关系编辑区域的第二图形,获取所述用户输入的所述第二图形。
13.根据权利要求12所述的装置,其特征在于,所述获取模块获取的所述第二图形包括应用图形、所述域图形和隶属连接图形,其中,所述应用图形用于表示应用,所述隶属连接图形用于表示应用与应用域之间存在隶属关系。
14.根据权利要求9至13中任一项所述的装置,其特征在于,所述显示屏还用于:在所述用户输入的所述图形不符合访问策略图的生成规则时,向所述用户提示输入错误。
15.根据权利要求9至13中任一项所述的装置,其特征在于,所述转换模块包括:
解析单元,用于通过对所述访问策略图进行解析,获取所述访问规则;
确定单元,用于根据所述访问规则,确定安全增强安卓系统策略和/或意图隔离策略;
编译单元,用于将所述安全增强安卓系统策略和/或所述意图隔离策略编译为系统能够识别的所述访问控制策略,所述访问控制策略包括所述安全增强安卓系统策略和/或所述意图隔离策略。
16.根据权利要求9至13中任一项所述的装置,其特征在于,所述访问规则表示是否允许所述至少两个应用之间采用进程间通信IPC、网络通信、文件系统通信和意图通信中的至少一种通信方式进行访问。
17.根据权利要求9至13中任一项所述的装置,其特征在于,所述装置为移动终端。
18.一种控制应用访问的装置,其特征在于,所述装置包括处理器、存储器、显示屏和总线系统,其中,所述处理器和所述存储器通过所述总线系统相连,所述存储器用于存储指令,所述处理器用于执行所述存储器存储的指令;其中,所述显示屏用于:
向用户呈现第一界面,所述第一界面包括策略编辑区域以及第一图形区域,所述策略编辑区域用于所述用户编辑用于表示至少两个应用之间是否允许访问的访问规则的访问策略图,所述第一图形区域用于向所述用户呈现用于表示所述访问策略图的多种图形;
所述处理器用于:
通过检测所述用户从所述第一图形区域拖动至所述策略编辑区域的第一图形,获取所述用户输入的第一图形,所述第一图形包括用于表示应用的应用图形、通信连接图形和访问规则图形;
根据所述第一图形生成访问策略图;
将所述访问策略图转换为系统能够识别的访问控制策略,所述访问控制策略用于表示是否允许应用之间进行访问;
根据所述访问控制策略,对所述至少两个应用之间的访问进行控制。
19.根据权利要求18所述的装置,其特征在于,所述处理器获取的所述第一图形包括至少两个应用图形,所述通信连接图形用于表示应用之间存在通信连接,所述访问规则图形用于表示应用之间是否允许访问。
20.根据权利要求18所述的装置,其特征在于,所述处理器获取的所述第一图形包括至少两个域图形,或所述第一图形包括至少一个应用图形和至少一个域图形,所述域图形用于表示由相同属性的一个或多个应用所形成的应用域,所述通信连接图形用于表示应用域之间或应用与应用域之间存在通信连接,所述访问规则图形表示应用域之间是否允许访问。
21.根据权利要求20所述的装置,其特征在于,所述显示屏还用于:
向所述用户呈现第二界面,所述第二界面包括隶属关系编辑区域和第二图形区域,所述隶属关系编辑区域用于所述用户编辑应用与域之间的隶属关系,所述第二图形区域用于向所述用户呈现用于表示隶属关系的多种图形;
其中,所述处理器获取用户输入的图形,具体还包括:
通过检测所述用户从所述第二图形区域拖动至所述隶属关系编辑区域的第二图形,获取所述用户输入的所述第二图形。
22.根据权利要求21所述的装置,其特征在于,所述处理器获取的所述第二图形包括应用图形、所述域图形和隶属连接图形,其中,所述应用图形用于表示应用,所述隶属连接图形用于表示应用与应用域之间存在隶属关系。
23.根据权利要求18至22中任一项所述的装置,其特征在于,所述显示屏还用于:
在所述处理器确定所述用户输入的所述图形不符合访问策略图的生成规则时,向所述用户提示输入错误。
24.根据权利要求18至22中任一项所述的装置,其特征在于,所述处理器将所述访问策略图转换为系统能够识别的访问控制策略,具体包括:
通过对所述访问策略图进行解析,获取所述访问规则;
根据所述访问规则,确定安全增强安卓系统策略和/或意图隔离策略;
将所述安全增强安卓系统策略和/或所述意图隔离策略编译为系统能够识别的所述访问控制策略,所述访问控制策略包括所述安全增强安卓系统策略和/或所述意图隔离策略。
25.根据权利要求18至22中任一项所述的装置,其特征在于,所述访问规则表示是否允许所述至少两个应用之间采用进程间通信IPC、网络通信、文件系统通信和意图通信中的至少一种通信方式进行访问。
26.根据权利要求18至22中任一项所述的装置,其特征在于,所述装置为移动终端。
CN201510041216.7A 2015-01-27 2015-01-27 控制应用访问的方法和装置 Active CN105989296B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201510041216.7A CN105989296B (zh) 2015-01-27 2015-01-27 控制应用访问的方法和装置
EP15879631.8A EP3188071B1 (en) 2015-01-27 2015-08-05 Application accessing control method and device
PCT/CN2015/086136 WO2016119432A1 (zh) 2015-01-27 2015-08-05 控制应用访问的方法和装置
US15/584,253 US20170235943A1 (en) 2015-01-27 2017-05-02 Application Access Control Method and Apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510041216.7A CN105989296B (zh) 2015-01-27 2015-01-27 控制应用访问的方法和装置

Publications (2)

Publication Number Publication Date
CN105989296A CN105989296A (zh) 2016-10-05
CN105989296B true CN105989296B (zh) 2019-03-19

Family

ID=56542306

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510041216.7A Active CN105989296B (zh) 2015-01-27 2015-01-27 控制应用访问的方法和装置

Country Status (4)

Country Link
US (1) US20170235943A1 (zh)
EP (1) EP3188071B1 (zh)
CN (1) CN105989296B (zh)
WO (1) WO2016119432A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11483316B1 (en) * 2019-07-11 2022-10-25 Workday, Inc. System and method for access using a circle of trust
CN112003877B (zh) * 2020-09-03 2023-04-18 度小满科技(北京)有限公司 一种网络隔离方法、装置、电子设备及存储介质
US11537705B2 (en) * 2020-10-27 2022-12-27 Dell Products L.P. Device access control system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2164022A1 (de) * 2008-09-02 2010-03-17 Siemens Aktiengesellschaft Verfahren zur Einräumung einer Zugriffsberechtigung auf ein rechnerbasiertes Objekt in einem Automatisierungssystem, Computerprogramm und Automatisierungssystem
CN103164647A (zh) * 2013-02-28 2013-06-19 华为技术有限公司 一种网络安全组的访问控制方法和安全计算机
CN103559437A (zh) * 2013-11-12 2014-02-05 中国科学院信息工程研究所 用于Android操作系统的访问控制方法及系统
CN104040550A (zh) * 2011-10-18 2014-09-10 迈可菲公司 集成安全策略和事件管理
CN104092815A (zh) * 2014-05-22 2014-10-08 中兴通讯股份有限公司 一种基于安卓系统的应用间信息交互方法及装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7757271B2 (en) * 2000-04-19 2010-07-13 Hewlett-Packard Development Company, L.P. Computer system security service
US20020169957A1 (en) * 2001-05-08 2002-11-14 Hale Douglas Lavell GUI administration of discretionary or mandatory security policies
US8346217B2 (en) * 2011-02-21 2013-01-01 Knowledge Solutions, LLC Systems, methods and apparatus for controlling access to mobile devices
US20130067531A1 (en) * 2011-09-12 2013-03-14 Microsoft Corporation Access Brokering Based on Declarations and Consent
US8881229B2 (en) * 2011-10-11 2014-11-04 Citrix Systems, Inc. Policy-based application management
DE102012209250A1 (de) * 2012-05-31 2013-12-05 Protected-Networks.Com Gmbh Sicherheitssystem
CN103067392B (zh) * 2012-12-28 2015-07-01 中国人民解放军理工大学 一种基于Android终端的安全访问控制方法
CN103544447B (zh) * 2013-05-30 2016-10-12 Tcl集团股份有限公司 一种基于安卓系统的防止机密信息泄露的方法和终端
US9197643B2 (en) * 2013-07-22 2015-11-24 Bank Of America Corporation Application and permission integration
US9563771B2 (en) * 2014-01-22 2017-02-07 Object Security LTD Automated and adaptive model-driven security system and method for operating the same
CN104836715B (zh) * 2014-02-08 2018-08-03 国际商业机器公司 在移动设备上运行的多个应用之间共享数据的方法和装置
US10592068B1 (en) * 2014-03-27 2020-03-17 Amazon Technologies, Inc. Graphic composer for service integration

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2164022A1 (de) * 2008-09-02 2010-03-17 Siemens Aktiengesellschaft Verfahren zur Einräumung einer Zugriffsberechtigung auf ein rechnerbasiertes Objekt in einem Automatisierungssystem, Computerprogramm und Automatisierungssystem
CN104040550A (zh) * 2011-10-18 2014-09-10 迈可菲公司 集成安全策略和事件管理
CN103164647A (zh) * 2013-02-28 2013-06-19 华为技术有限公司 一种网络安全组的访问控制方法和安全计算机
CN103559437A (zh) * 2013-11-12 2014-02-05 中国科学院信息工程研究所 用于Android操作系统的访问控制方法及系统
CN104092815A (zh) * 2014-05-22 2014-10-08 中兴通讯股份有限公司 一种基于安卓系统的应用间信息交互方法及装置

Also Published As

Publication number Publication date
EP3188071A1 (en) 2017-07-05
WO2016119432A1 (zh) 2016-08-04
EP3188071A4 (en) 2017-11-22
CN105989296A (zh) 2016-10-05
US20170235943A1 (en) 2017-08-17
EP3188071B1 (en) 2021-10-13

Similar Documents

Publication Publication Date Title
US5455903A (en) Object oriented customer information exchange system and method
CN109358851A (zh) 图表组件的创建方法、装置及计算机可读存储介质
CN111967236B (zh) 消息处理方法、装置、计算机设备和存储介质
CN107766040A (zh) 一种生成接口文档的方法、装置及计算机可读存储介质
CN109508221B (zh) 一种块组件的渲染方法、装置、设备及存储介质
CN105989296B (zh) 控制应用访问的方法和装置
CN108089857A (zh) 一种工业web实时监测页面的生成方法
CN109636317A (zh) 业务控制方法、装置、系统及存储介质
CN109815731A (zh) 权限处理方法及相关设备
JP2024506044A (ja) 視覚ソフトウェア開発システム、方法、装置及びコンピュータ記憶媒体
CN111400167A (zh) Redfish服务合规性验证方法、装置及设备和介质
CN109754072A (zh) 网络离线模型的处理方法、人工智能处理装置及相关产品
CN109614164A (zh) 实现插件可配置的方法、装置、设备及可读存储介质
CN106445514A (zh) 一种管理Android平台的Activity实例的方法和装置
CN109542432A (zh) 风控规则编辑方法及终端设备
CN110377367B (zh) 组件配置方法、装置、电子终端及计算机可读存储介质
CN106201323B (zh) 基于触摸屏的书写方法及装置
US20110093421A1 (en) Dynamic constraint satisfaction problem solver with sub-problem placeholder
CN110413423A (zh) 数据处理方法、相关装置、设备及存储介质
CN117215661A (zh) 一种事件处理的方法、装置以及存储介质
CN103605792A (zh) 一种提供业务资源的方法和设备
CN105718784A (zh) 一种基于Javascript的手势解锁实现方法
CN110333870B (zh) Simulink模型变量分配的处理方法、装置及设备
CN113778415A (zh) 基于图形化编程的ModBus通讯脚本生成方法和装置
CN114003152A (zh) 一种应用程序图标管理方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant