CN106020912A - 基于云的SELinux策略加载方法、装置、终端设备及系统 - Google Patents
基于云的SELinux策略加载方法、装置、终端设备及系统 Download PDFInfo
- Publication number
- CN106020912A CN106020912A CN201610389131.2A CN201610389131A CN106020912A CN 106020912 A CN106020912 A CN 106020912A CN 201610389131 A CN201610389131 A CN 201610389131A CN 106020912 A CN106020912 A CN 106020912A
- Authority
- CN
- China
- Prior art keywords
- application program
- selinux
- strategy
- terminal unit
- selinux strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000011068 loading method Methods 0.000 title claims abstract description 34
- 238000004891 communication Methods 0.000 claims abstract description 51
- 238000000034 method Methods 0.000 claims abstract description 40
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 27
- 230000008569 process Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 238000012795 verification Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000004148 unit process Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44521—Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Abstract
本申请公开了一种基于云的SELinux策略加载方法、装置、终端设备及系统。该方法包括:当终端设备的应用程序第一次被启动时,向云端设备发送所述应用程序的SELinux策略请求;接收从所述云端设备返回的所述应用程序的SELinux策略;以及加载所述应用程序的SELinux策略;其中,所述终端设备中加载有基本应用程序的SELinux策略,所述基本应用程序至少包括:通信连接功能/应用,以使所述终端设备通过所述通信连接功能/应用建立与所述云端设备之间的通信连接。该方法能够保证SELinux的安全性,并提高SELinux策略的加载效率。
Description
技术领域
本发明涉及终端设备安全技术领域,具体而言,涉及一种基于云的SELinux策略加载方法、装置、终端设备及系统。
背景技术
SELinux(Security-Enhanced Linux,安全增强Linux)是一种美国国家安全局(NSA)制定的对于强制访问控制(MAC)的实现方法,是Linux操作系统中新的安全子系统。当终端设备加载了SELinux安全子系统后,能够极大地提高其操作系统的安全等级。
SELinux策略是SELinux安全子系统实现强制访问控制的重要组成部分。在SELinux策略中包含了整个操作系统中主体对客体的访问控制。SELinux策略的设计不仅关系到SELinux能否发挥出强制访问控制的安全特性,同时对终端设备操作系统将有性能的影响,所以当终端设备操作系统初始加载不合理的SELinux策略然将会影响终端设备的性能,还可能出现安全漏洞。
在所述背景技术部分公开的上述信息仅用于加强对本发明的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本发明提供一种基于云的SELinux策略加载方法、装置、终端设备及系统,能够保证SELinux的安全性,并提高SELinux策略的加载效率。
本发明的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本发明的实践而习得。
根据本发明的一方面,提供了一种基于云的SELinux策略加载方法,包括:当终端设备的应用程序第一次被启动时,向云端设备发送所述应用程序的SELinux策略请求;接收从所述云端设备返回的所述应用程序的SELinux策略;以及加载所述应用程序的SELinux策略;其中,所述终端设备中加载有基本应用程序的SELinux策略,所述基本应用程序至少包括:通信连接功能/应用,以使所述终端设备通过所述通信连接功能/应用建立与所述云端设备之间的通信连接。
根据本发明的一实施方式,上述方法还包括:当所述终端设备安装了一个新的应用程序时,向所述云端设备发送新安装的所述应用程序的SELinux策略请求。
根据本发明的一实施方式,上述方法还包括:当接收到所述云端设备发送的无新安装的所述应用程序的SELinux策略的指示时,动态生成并加载新安装的所述应用程序的SELinux策略,并将动态生成的新安装的所述应用程序的SELinux策略上传至所述云端设备存储。
根据本发明的一实施方式,所述通信连接为一VPN连接。
根据本发明的一实施方式,所述应用程序的SELinux策略请求包括所述应用程序的特别权限和/或所述终端设备的型号。
根据本发明的另一方面,提供了一种基于云的SELinux策略加载装置,包括:请求发送模块,用于当终端设备的应用程序第一次被启动时,向云端设备发送所述应用程序的SELinux策略请求;策略接收模块,用于接收从所述云端设备返回的所述应用程序的SELinux策略;以及策略加载模块,用于加载所述应用程序的SELinux策略;其中,所述终端设备中加载有基本应用程序的SELinux策略,所述基本应用程序至少包括:通信连接功能/应用,以使所述终端设备通过所述通信连接功能/应用建立与所述云端设备之间的通信连接。
根据本发明的一实施方式,所述请求发送模块还用于当所述终端设备安装了一个新的应用程序时,向所述云端设备发送新安装的所述应用程序的SELinux策略请求;以及策略生成模块,用于当接收到所述云端设备发送的无新安装的所述应用程序的SELinux策略的指示时,动态生成并加载新安装的所述应用程序的SELinux策略。
根据本发明的一实施方式,还包括:策略上传模块,用于将动态生成的新安装的所述应用程序的SELinux策略上传至所述云端设备存储。
根据本发明的一实施方式,所述通信连接为一VPN连接。
根据本发明的一实施方式,所述应用程序的SELinux策略请求包括所述应用程序的特别权限和/或所述终端设备的型号。
根据本发明的再一方面,提供了一种终端设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中所述处理器配置为经由执行所述可执行指令来执行以下操作:当终端设备的应用程序第一次被启动时,向云端设备发送所述应用程序的SELinux策略请求;接收从所述云端设备返回的所述应用程序的SELinux策略;以及加载所述应用程序的SELinux策略;其中,所述终端设备中加载有基本应用程序的SELinux策略,所述基本应用程序至少包括:通信连接功能/应用,以使所述终端设备通过所述通信连接功能/应用建立与所述云端设备之间的通信连接。
根据本发明的再一方面,提供了一种基于云的SELinux策略处理系统,包括:终端设备,包括:上述任一种基于云的SELinux策略加载装置;以及云端设备,用于存储合法应用程序的SELinux策略。
根据本发明的一实施方式,所述云端设备还用于当接收到所述终端设备发送的应用程序的SELinux策略请求时,验证所述终端设备及所述应用程序的合法性;以及,当所述终端设备及所述应用程序验证通过时,向所述终端设备返回已存储的与所述终端设备的所述应用程序匹配的SELinux策略。
根据本发明的基于云的SELinux策略加载方法,在终端设备中仅存储基本应用程序的基本SELinux策略,而对于其他应用程序的其他SELinux策略,则需要在其被第一次启动时,向云端设备进行请求。仅当该请求被云端设备审核通过后,云端设备才会将该应用程序的SELinux策略发送给终端设备,而该应用程序仅当加载了其SELinux策略后,才允许被使用。这种加载方法,进一步增加了SELinux策略使用上的安全性,从而避免了因加载了未认证、未授权的的SELinux策略而导致的安全漏洞的出现。
另外,根据一些实施例,本发明的基于云的SELinux策略加载方法将一个终端设备动态生成的应用程序的SELinux策略存储到云端设备保存,当其他相同型号的终端设备在下载安装该应用程序时,则无需再次动态生成SELinux策略,从而提升了SELinux策略的加载处理效率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本发明。
附图说明
通过参照附图详细描述其示例实施例,本发明的上述和其它目标、特征及优点将变得更加显而易见。
图1是根据一示例性实施方式示出的一种基于云的SELinux策略加载方法的流程图。
图2是根据一示例性实施方式示出的另一种基于云的SELinux策略加载方法的流程图。
图3是根据一示例性实施方式示出的再一种基于云的SELinux策略加载方法的流程图。
图4是根据一示例性实施方式示出的再一种基于云的SELinux策略加载方法的流程图。
图5是根据一示例性实施方式示出的一种基于云的SELinux策略加载装置的框图。
图6是根据一示例性实施方式示出的另一种基于云的SELinux策略加载装置的框图。
图7是根据一示例性实施方式示出的再一种基于云的SELinux策略加载装置的框图。
图8是根据一示例性实施方式示出的再一种基于云的SELinux策略加载装置的框图。
图9是根据一示例性实施方式示出的另一种基于云的SELinux策略处理系统的架构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本发明将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。附图仅为本发明的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本发明的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本发明的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知结构、方法、装置、实现或者操作以避免喧宾夺主而使得本发明的各方面变得模糊。
图1是根据一示例性实施方式示出的一种基于云的SELinux策略加载方法的流程图。如图1所示,该方法10包括:
在步骤S102中,当一应用程序第一次被启动时,向一云端设备发送该应用程序的SELinux策略请求。
SELinux是一套基于策略的安全系统。在其安全策略中,通过标签的设定来实现主体对客体的控制。其中主体可以为终端设备中运行的每个进程,客体则为系统中的所有资源,包括:文件系统、目录、文件、文件启动指示符、端口、消息接口和网络接口等。每个进程都拥有自己的标签,而每个客体对象也都拥有自己的标签。通过编写的SELinux安全策略,来控制进程标签可以对客体对象标签进行访问,如文件访问、读写及SOCKET操作等。例如,通过策略配置,允许标签为A的进程对标签为B的文件进行读写操作;或者,允许标签为C的进程对标签为D的消息接口进行SOCKET通信等。在终端设备被启动时,将SELinux策略文件加载到内核中,从而实现后续SELinux的强制访问控制。
在本发明中,可以将SELinux策略分为基本SELinux策略和公共SELinux策略。其中终端设备中仅存储基本SELinux策略,而将公共SELinux策略存储在云端设备中。其中基本SELinux策略例如为终端设备基本应用程序的SELinux策略,基本应用程序例如可以包括:拨打/接听电话应用、短消息应用、联系人应用及通信连接功能/应用等。
当终端设备被启动后,仅加载其存储的基本SELinux策略,从而允许该终端设备中相应基本应用的使用。而对于而对于终端设备中其他应用程序的SELinux策略,则需要在第一次启动该应用程序时,通过通信连接功能/应用建立与云端设备之间的连接,从而向云端设备请求该应用程序的SELinux策略。当从云端设备请求下载了该应用程序的SELinux策略,及终端设备加载该SELinux策略后,该应用程序才能在SELinux策略的控制下,被允许使用。
在一些实施例中,通信连接功能/应用可以为仅允许连接一特定VPN,该VPN用于提供该终端设备与该云端设备之间的安全通道,从而保证SELinux策略传输的安全性。
应用程序第一次被启动的场景例如可以包括:每次终端设备被启动(即开机)或重启后,应用程序被第一次启动,也即每次终端设备被关机后,会相应删除除基本SELinux策略之外的所有SELinux策略,因此当终端设备被再次启动时,每次非基本应用程序的其他应用程序在第一次被启动时,均需要向云端设备请求下载其SELinux策略;或者,对于每个新安装的应用程序在终端设备被重启后的第一次被启动时,向云端设备请求下载其SELinux策略,而下载后终端设备就存储了该应用程序的SELinux策略,即使终端设备关机,也不会删除存储的这些应用程序的SELinux策略;再或者,当终端设备连接登录至一安全系统,如保密单位的安全系统中后,因其存储的应用程序的SELinux策略因安全环境发生变化而发生改变时,终端设备可以删除当前存储的除通信连接功能/应用外的所有应用程序的SELinux策略,或者仅删除非基本应用程序的SELinux策略,而当这些应用程序再次被启动时,重新向云端设备请求下载其SELinux策略。在请求时,因权限发生改变,需在请求时携带相应权限,以使云端设备将对应权限的该应用程序的SELinux策略发送给该终端设备。
云端设备在接收到终端设备的策略请求时,云端设备还需要对该终端设备及其请求的应用程序进行审核。其审核标准例如可以是根据云端设备已存储的合法设备ID号对请求的终端设备进行审核,而对应用程序的审核例如可以是根据终端设备已存储的合法应用程序对请求的应用程序进行审核。仅当终端设备和应用程序的审核均被通过时,云端设备才会向该终端设备发送其请求的应用程序的SELinux策略。在一些实施例中,云端设备存储的合法设备ID和/或合法应用程序可以从一数据库中导入。
通常,针对不同型号的终端设备,即使所安装的应用程序相同,但该应用程序对应的SELinux策略也不同。因此,云端设备在向终端设备返回该应用程序的SELinux策略时,需要返回该终端设备的型号所对应的该应用程序的SELinux策略。终端设备的型号例如可以携带在该应用程序的的SELinux策略请求中。或者,云端设备也可以从与终端设备所建立的底层通信连接中获得。
此外,即使相同型号的终端设备安装的相同的应用程序,如果该应用程序在个别终端设备上有特别权限(例如主体进程权限)的需求,则该应用程序对应的SELinux策略也会不同。因此,终端设备在向云端设备请求时,需要在请求中指明特别权限。而云端设备在向终端设备返回该应用程序的SELinux策略时,需要返回具有特别权限的该应用程序的SELinux策略。
在步骤S104中,接收从云端设备返回的该应用程序的SELinux策略。
终端设备从云端设备接收其请求的应用程序的SELinux策略。
在步骤S106中,加载该应用程序的SELinux策略。
当加载该应用程序的SELinux策略之后,该应用程序才允许被使用。
本发明实施方式的基于云的SELinux策略加载方法,在终端设备中仅存储基本应用程序的基本SELinux策略,而对于其他应用程序的其他SELinux策略,则需要在其被第一次启动时,向云端设备进行请求。仅当该请求被云端设备审核通过后,云端设备才会将该应用程序的SELinux策略发送给终端设备,而该应用程序仅当加载了其SELinux策略后,才允许被使用。这种加载方法,进一步增加了SELinux策略使用上的安全性,从而避免了因加载了未认证、未授权的的SELinux策略而导致的安全漏洞的出现。
应清楚地理解,本发明描述了如何形成和使用特定示例,但本发明的原理不限于这些示例的任何细节。相反,基于本发明公开的内容的教导,这些原理能够应用于许多其它实施方式。
图2是根据一示例性实施方式示出的另一种基于云的SELinux策略加载方法的流程图。如图2所示,该方法20包括:
在步骤S202中,当终端设备被启动时,加载该终端设备中基本应用程序的基本SELinux策略。
其中基本应用程序例如可以包括:拨打/接听电话应用、短消息应用、联系人应用及通信连接功能/应用等。其中通信连接功能/应用的SELinux策略被加载,以保证终端设备可以通过该通信连接功能/应用连接到云端设备。
在步骤S204中,当一应用程序第一次被启动时,向一云端设备发送该应用程序的SELinux策略请求。
在步骤S206中,接收从云端设备返回的该应用程序的SELinux策略。
在步骤S208中,加载该应用程序的SELinux策略。
上述步骤S204~S208与方法10中的步骤S102~S106相同,在此不再赘述。
图3是根据一示例性实施方式示出的再一种基于云的SELinux策略加载方法的流程图。如图3所示,该方法30包括:
在步骤S302中,当终端设备连接登录至一安全系统中时,删除其加载的除通信连接功能/应用的SELinux策略之外的或者除基本应用程序的SELinux之外的所有SELinux策略。
安全系统例如为当用户携带终端设备进入一保密单位时,需要对该终端设备的功能进行控制,从而该终端设备需要连接登录至该保密单位的安全系统中。
登录之后,因在该安全系统中,对于终端设备的应用程序的强制访问控制有不同的要求,因此需要终端设备自动删除其加载的除通信连接功能/应用的SELinux策略之外的或者除基本应用程序的SELinux之外的所有SELinux策略。
在步骤S304中,当一应用程序第一次被启动时,向一云端设备发送该应用程序的SELinux策略请求。
在请求时,因在安全系统中,应用程序的权限因受到限制而发生改变,因此需在请求时携带相应权限,以使云端设备将该应用程序对应权限的SELinux策略发送给该终端设备。
在步骤S306中,接收从云端设备返回的该应用程序的SELinux策略。
在步骤S308中,加载该应用程序的SELinux策略。
上述步骤S304~S308与方法10中的步骤S102~S106相同,在此不再赘述。
图4是根据一示例性实施方式示出的再一种基于云的SELinux策略加载方法的流程图。该方法用于终端设备中新安装一个应用程序时使用。如图4所示,该方法40包括:
在步骤S402中,当终端设备新安装了一个合法的应用程序时,终端设备向云端设备发送该新安装的应用程序的SELinux策略请求。
合法的应用程序例如可以包括终端设备的应用市场中的应用程序,也可以包括从其他合法渠道获取的应用程序。对于该新安装的应用程序的合法性,如上所述,云端设备仍需要进行审核。
在步骤S404中,接收云端设备返回的响应。
在步骤S406中,判断从云端设备接收到的响应,如果接收到的是该新安装的应用程序的SELinux策略,则执行步骤S408;如果接收到的是无该新安装的应用程序的SELinux策略的指示,则执行步骤S410。
当云端设备存储该新安装的应用程序的SELinux策略时,接收从云端设备返回的该新安装的应用程序的SELinux策略;而当云端设备没有存储该新安装的应用程序的SELinux策略时,接收云端设备发送的无该新安装的应用程序的SELinux策略的响应。
通常,针对不同型号的终端设备,即使所安装的应用程序相同,但该应用程序对应的SELinux策略也不同。因此,云端设备在查找其是否存储有该新安装的应用程序的SELinux策略时,还需要确定所存储的该应用程序的SELinux策略所对应的终端设备的型号。如果该型号不是申请SELinux策略的终端设备的型号,则也确认为没有存储该新安装的应用程序的SELinux策略。终端设备的型号例如可以携带在该应用程序的的SELinux策略请求中。或者,云端设备也可以从与终端设备所建立的底层通信连接中获得。
此外,即使相同型号的终端设备安装的相同的应用程序,如果该应用程序在个别终端设备上有特别权限(例如主体进程权限)的需求,则该应用程序对应的SELinux策略也会不同。因此,终端设备在向云端设备请求时,需要在请求中指明特别权限。而云端设备在查找是否存储该应用程序的SELinux策略时,也需要判断所存储的该应用程序的SELinux策略是否有特别权限的要求。
在步骤S408中,加载该新安装的应用程序的SELinux策略。
在步骤S410中,动态生成并加载该新安装的应用程序的SELinux策略。
例如,终端设备的操作系统通过敏感权限进程,对新安装的应用程序申请的权限进行判断,从而动态生成该新安装的应用程序的SELinux策略。
在步骤S412中,将动态生成的该新安装的应用程序的SELinux策略上传给云端设备进行存储。
由于上述动态生成SELinux策略的过程较为耗时,而本发明实施方式的加载方法将一个终端设备动态生成的应用程序的SELinux策略存储到云端设备保存,当其他相同型号的终端设备在下载安装该应用程序时,则无需再次动态生成SELinux策略,从而提升了SELinux策略的加载处理效率。
本领域技术人员可以理解实现上述实施方式的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本发明提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本发明示例性实施方式的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本发明装置实施例,可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节,请参照本发明方法实施例。
图5是根据一示例性实施方式示出的一种基于云的SELinux策略加载装置的框图。该装置应用于一终端设备中。如图5所示,该装置50包括:请求发送模块502、策略接收模块504及策略加载模块506。
所述终端设备中加载有基本应用程序的SELinux策略,所述基本应用程序至少包括:通信连接功能/应用,以使所述终端设备通过所述通信连接功能/应用建立与所述云端设备之间的通信连接。
其中,请求发送模块502用于当终端设备的应用程序第一次被启动时,向云端设备发送所述应用程序的SELinux策略请求。
策略接收模块504用于接收从所述云端设备返回的所述应用程序的SELinux策略。
策略加载模块506用于加载所述应用程序的SELinux策略。
在一些实施例中,所述通信连接为一VPN连接。
在一些实施例中,所述应用程序的SELinux策略请求包括所述应用程序的特别权限。
在一些实施例中,所述应用程序的SELinux策略请求包括所述终端设备的型号。
本发明实施方式的基于云的SELinux策略加载装置,在终端设备中仅存储基本应用程序的基本SELinux策略,而对于其他应用程序的其他SELinux策略,则需要在其被第一次启动时,向云端设备进行请求。仅当该请求被云端设备审核通过后,云端设备才会将该应用程序的SELinux策略发送给终端设备,而该应用程序仅当加载了其SELinux策略后,才允许被使用。这种加载方法,进一步增加了SELinux策略使用上的安全性,从而避免了因加载了未认证、未授权的的SELinux策略而导致的安全漏洞的出现。
图6是根据一示例性实施方式示出的另一种基于云的SELinux策略加载装置的框图。该装置应用于一终端设备中。如图6所示,装置60包括:请求发送模块602、策略接收模块604、策略加载模块606及基本策略加载模块608。
所述终端设备中加载有基本应用程序的SELinux策略,所述基本应用程序至少包括:通信连接功能/应用,以使所述终端设备通过所述通信连接功能/应用建立与所述云端设备之间的通信连接。
其中,基本策略加载模块608用于当所述终端设备被启动时,加载所述终端设备的所述基本应用程序的SELinux策略。
请求发送模块602用于当终端设备的应用程序第一次被启动时,向云端设备发送所述应用程序的SELinux策略请求。
策略接收模块604用于接收从所述云端设备返回的所述应用程序的SELinux策略。
策略加载模块606用于加载所述应用程序的SELinux策略。
在一些实施例中,所述通信连接为一VPN连接。
在一些实施例中,所述应用程序的SELinux策略请求包括所述应用程序的特别权限。
在一些实施例中,所述应用程序的SELinux策略请求包括所述终端设备的型号。
图7是根据一示例性实施方式示出的再一种基于云的SELinux策略加载装置的框图。该装置应用于一终端设备中。如图7所示,装置70包括:请求发送模块702、策略接收模块704、策略加载模块706及策略删除模块708。
所述终端设备中加载有基本应用程序的SELinux策略,所述基本应用程序至少包括:通信连接功能/应用,以使所述终端设备通过所述通信连接功能/应用建立与所述云端设备之间的通信连接。
其中,策略删除模块708用于当所述终端设备被启动时,删除所述终端设备加载的除所述基本应用程序之外的应用程序的SELinux策略;或者,当所述终端设备被启动时,删除所述终端设备加载的除所述通信连接功能/应用之外的应用程序的SELinux策略。
请求发送模块702用于当终端设备的应用程序第一次被启动时,向云端设备发送所述应用程序的SELinux策略请求。
策略接收模块704用于接收从所述云端设备返回的所述应用程序的SELinux策略。
策略加载模块706用于加载所述应用程序的SELinux策略。
在一些实施例中,所述通信连接为一VPN连接。
在一些实施例中,所述应用程序的SELinux策略请求包括所述应用程序的特别权限。
在一些实施例中,所述应用程序的SELinux策略请求包括所述终端设备的型号。
图8是根据一示例性实施方式示出的再一种基于云的SELinux策略加载装置的框图。该装置应用于一终端设备中。如图8所示,装置80包括:请求发送模块802、策略接收模块804、策略加载模块806、策略生成模块808及策略上传模块810。
所述终端设备中加载有基本应用程序的SELinux策略,所述基本应用程序至少包括:通信连接功能/应用,以使所述终端设备通过所述通信连接功能/应用建立与所述云端设备之间的通信连接。
其中,请求发送模块802用于当所述终端设备安装了一个新的应用程序时,向所述云端设备发送新安装的所述应用程序的SELinux策略请求。
策略接收模块804用于接收从所述云端设备返回的所述应用程序的SELinux策略。
策略加载模块806用于加载所述应用程序的SELinux策略。
策略生成模块808用于当接收到所述云端设备发送的无新安装的所述应用程序的SELinux策略的指示时,动态生成并加载新安装的所述应用程序的SELinux策略。
策略上传模块810用于将动态生成的新安装的所述应用程序的SELinux策略上传至所述云端设备存储。
在一些实施例中,所述通信连接为一VPN连接。
在一些实施例中,所述应用程序的SELinux策略请求包括所述应用程序的特别权限。
在一些实施例中,所述应用程序的SELinux策略请求包括所述终端设备的型号。
本发明实施方式的加载装置将一个终端设备动态生成的应用程序的SELinux策略存储到云端设备保存,当其他相同型号的终端设备在下载安装该应用程序时,则无需再次动态生成SELinux策略,从而提升了SELinux策略的加载处理效率。
图9是根据一示例性实施方式示出的另一种基于云的SELinux策略处理系统的架构示意图。如图9所示,该系统90包括:云端设备902及至少一个终端设备904。
其中,终端设备904包括上述装置50~80中的任一种。
云端设备902用于存储合法应用程序的SELinux策略,以及。当接收到所述终端设备发送的应用程序的SELinux策略请求时,验证所述终端设备及所述应用程序的合法性;以及,当所述终端设备及所述应用程序验证通过时,向所述终端设备返回已存储的与所述终端设备的所述应用程序匹配的SELinux策略。
需要注意的是,上述附图中所示的框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本发明实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本发明实施方式的方法。
以上具体地示出和描述了本发明的示例性实施方式。应可理解的是,本发明不限于这里描述的详细结构、设置方式或实现方法;相反,本发明意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (13)
1.一种基于云的SELinux策略加载方法,其特征在于,包括:
当终端设备的应用程序第一次被启动时,向云端设备发送所述应用程序的SELinux策略请求;
接收从所述云端设备返回的所述应用程序的SELinux策略;以及
加载所述应用程序的SELinux策略;
其中,所述终端设备中加载有基本应用程序的SELinux策略,所述基本应用程序至少包括:通信连接功能/应用,以使所述终端设备通过所述通信连接功能/应用建立与所述云端设备之间的通信连接。
2.根据权利要求1所述的方法,其特征在于,还包括:当所述终端设备安装了一个新的应用程序时,向所述云端设备发送新安装的所述应用程序的SELinux策略请求。
3.根据权利要求2所述的方法,其特征在于,还包括:当接收到所述云端设备发送的无新安装的所述应用程序的SELinux策略的指示时,动态生成并加载新安装的所述应用程序的SELinux策略,并将动态生成的新安装的所述应用程序的SELinux策略上传至所述云端设备存储。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述通信连接为一VPN连接。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述应用程序的SELinux策略请求包括所述应用程序的特别权限和/或所述终端设备的型号。
6.一种基于云的SELinux策略加载装置,其特征在于,包括:
请求发送模块,用于当终端设备的应用程序第一次被启动时,向云端设备发送所述应用程序的SELinux策略请求;
策略接收模块,用于接收从所述云端设备返回的所述应用程序的SELinux策略;以及
策略加载模块,用于加载所述应用程序的SELinux策略;
其中,所述终端设备中加载有基本应用程序的SELinux策略,所述基本应用程序至少包括:通信连接功能/应用,以使所述终端设备通过所述通信连接功能/应用建立与所述云端设备之间的通信连接。
7.根据权利要求6所述的装置,其特征在于,所述请求发送模块还用于当所述终端设备安装了一个新的应用程序时,向所述云端设备发送新安装的所述应用程序的SELinux策略请求。
8.根据权利要求7所述的装置,其特征在于,还包括:
策略生成模块,用于当接收到所述云端设备发送的无新安装的所述应用程序的SELinux策略的指示时,动态生成并加载新安装的所述应用程序的SELinux策略;以及
策略上传模块,用于将动态生成的新安装的所述应用程序的SELinux策略上传至所述云端设备存储。
9.根据权利要求6~8任一项所述的装置,其特征在于,所述通信连接为一VPN连接。
10.根据权利要求6~8任一项所述的装置,其特征在于,所述应用程序的SELinux策略请求包括所述应用程序的特别权限和/或所述终端设备的型号。
11.一种终端设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中所述处理器配置为经由执行所述可执行指令来执行以下操作:
当终端设备的应用程序第一次被启动时,向云端设备发送所述应用程序的SELinux策略请求;
接收从所述云端设备返回的所述应用程序的SELinux策略;以及
加载所述应用程序的SELinux策略;
其中,所述终端设备中加载有基本应用程序的SELinux策略,所述基本应用程序至少包括:通信连接功能/应用,以使所述终端设备通过所述通信连接功能/应用建立与所述云端设备之间的通信连接。
12.一种基于云的SELinux策略处理系统,其特征在于,包括:
终端设备,包括:权利要求6~10任一项所述的基于云的SELinux策略加载装置;以及
云端设备,用于存储合法应用程序的SELinux策略。
13.根据权利要求12所述的系统,其特征在于,所述云端设备还用于当接收到所述终端设备发送的应用程序的SELinux策略请求时,验证所述终端设备及所述应用程序的合法性;以及,当所述终端设备及所述应用程序验证通过时,向所述终端设备返回已存储的与所述终端设备的所述应用程序匹配的SELinux策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610389131.2A CN106020912A (zh) | 2016-06-02 | 2016-06-02 | 基于云的SELinux策略加载方法、装置、终端设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610389131.2A CN106020912A (zh) | 2016-06-02 | 2016-06-02 | 基于云的SELinux策略加载方法、装置、终端设备及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106020912A true CN106020912A (zh) | 2016-10-12 |
Family
ID=57090653
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610389131.2A Pending CN106020912A (zh) | 2016-06-02 | 2016-06-02 | 基于云的SELinux策略加载方法、装置、终端设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106020912A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108154026A (zh) * | 2017-12-28 | 2018-06-12 | 成都卫士通信息产业股份有限公司 | 基于Android系统的免Root无侵入的安全通信方法及系统 |
| WO2021115231A1 (zh) * | 2019-12-10 | 2021-06-17 | 华为技术有限公司 | 一种鉴权方法和相关设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067392A (zh) * | 2012-12-28 | 2013-04-24 | 中国人民解放军理工大学 | 一种基于Android终端的安全访问控制方法 |
| CN103605920A (zh) * | 2013-11-10 | 2014-02-26 | 电子科技大学 | 一种基于SEAndroid平台的应用程序动态安全管理方法及系统 |
| US20140137183A1 (en) * | 2012-11-13 | 2014-05-15 | Auckland Uniservices Ltd. | Security system and method for the android operating system |
| CN105516154A (zh) * | 2015-12-15 | 2016-04-20 | Tcl集团股份有限公司 | 应用于SEAndroid系统的安全策略配置方法及装置 |
| CN105553961A (zh) * | 2015-12-11 | 2016-05-04 | 北京元心科技有限公司 | 应用程序的强制访问控制方法、系统和管理服务器 |
| CN105554264A (zh) * | 2015-12-11 | 2016-05-04 | 北京元心科技有限公司 | 移动终端的功能限制方法及系统 |
-
2016
- 2016-06-02 CN CN201610389131.2A patent/CN106020912A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140137183A1 (en) * | 2012-11-13 | 2014-05-15 | Auckland Uniservices Ltd. | Security system and method for the android operating system |
| CN103067392A (zh) * | 2012-12-28 | 2013-04-24 | 中国人民解放军理工大学 | 一种基于Android终端的安全访问控制方法 |
| CN103605920A (zh) * | 2013-11-10 | 2014-02-26 | 电子科技大学 | 一种基于SEAndroid平台的应用程序动态安全管理方法及系统 |
| CN105553961A (zh) * | 2015-12-11 | 2016-05-04 | 北京元心科技有限公司 | 应用程序的强制访问控制方法、系统和管理服务器 |
| CN105554264A (zh) * | 2015-12-11 | 2016-05-04 | 北京元心科技有限公司 | 移动终端的功能限制方法及系统 |
| CN105516154A (zh) * | 2015-12-15 | 2016-04-20 | Tcl集团股份有限公司 | 应用于SEAndroid系统的安全策略配置方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108154026A (zh) * | 2017-12-28 | 2018-06-12 | 成都卫士通信息产业股份有限公司 | 基于Android系统的免Root无侵入的安全通信方法及系统 |
| CN108154026B (zh) * | 2017-12-28 | 2022-01-11 | 成都卫士通信息产业股份有限公司 | 基于Android系统的免Root无侵入的安全通信方法及系统 |
| WO2021115231A1 (zh) * | 2019-12-10 | 2021-06-17 | 华为技术有限公司 | 一种鉴权方法和相关设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9843930B2 (en) | Trusted execution environment initialization method and mobile terminal | |
| US6704678B2 (en) | Method and apparatus for downloading correct software to an electrical hardware platform | |
| US7974603B2 (en) | Authentication vector generating device, subscriber authentication module, mobile communication system, and authentication vector generation method | |
| CN107820702B (zh) | 一种管控方法、装置及电子设备 | |
| CN101764823A (zh) | 认证方法、电子设备和认证服务器 | |
| CN111431920A (zh) | 一种基于动态令牌的安全控制方法及系统 | |
| CN111176794A (zh) | 一种容器管理方法、装置及可读存储介质 | |
| CN109669859A (zh) | 服务测试方法、装置、计算机设备和存储介质 | |
| US7437563B2 (en) | Software integrity test | |
| CN103905514A (zh) | 服务器、终端设备以及网络数据存取权限管理方法 | |
| CN106020912A (zh) | 基于云的SELinux策略加载方法、装置、终端设备及系统 | |
| TW201335777A (zh) | 分散式資料存取系統及方法 | |
| CN106331010A (zh) | 网络文件访问控制方法及装置 | |
| CN103747423B (zh) | 一种终端应用的注册方法、装置和系统 | |
| CN105282821A (zh) | 一种终端及终端连接无线保真WiFi热点的方法 | |
| CN114006705B (zh) | 数字签名处理方法、装置、计算机设备和存储介质 | |
| CN110008186A (zh) | 针对多ftp数据源的文件管理方法、装置、终端和介质 | |
| CN113395326B (zh) | 基于网络服务的登录方法、设备和计算机可读存储介质 | |
| CN111193706B (zh) | 一种身份验证方法及装置 | |
| CN104683979A (zh) | 一种认证方法及设备 | |
| CN115941217A (zh) | 用于安全通信的方法和其相关产品 | |
| CN112311716A (zh) | 一种基于openstack的数据访问控制方法、装置及服务器 | |
| CN114614998B (zh) | 账号身份验证方法、装置、计算机装置及存储介质 | |
| KR20190078198A (ko) | 안전성을 높인 클라우드 저장소 기반 메모리 장치 및 이의 인증 제어 방법 | |
| CN110798465B (zh) | 一种大数据处理平台、数据处理方法、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161012 |