CN106330984B - 访问控制策略的动态更新方法及装置 - Google Patents

Abstract

本发明实施例提供了访问控制策略的动态更新方法及装置，所述方法包括：主控系统检测到应用场景发生变化后，从云端服务器获取当前应用场景对应的访问控制策略；主控系统对获取的访问控制策略进行合法性验证；当合法性验证结果为合法时，主控系统将获取的访问控制策略发送至内核；内核接收到访问控制策略后，对内核中存储的上一应用场景对应的访问控制策略进行更新，使得内核根据当前应用场景对应的访问控制策略对容器系统的访问进行控制。本发明实施例可以在保证主控系统、内核和访问控制策略安全性的基础上，实现访问控制策略的动态更新；既保护了终端设备中的涉密信息，又可以方便地动态更新访问控制策略。

Description

访问控制策略的动态更新方法及装置

技术领域

本发明涉及终端技术领域，具体而言，本发明涉及一种访问控制策略的动态更新方法及装置。

背景技术

随着社会的发展和科技的进程，智能手机、平板电脑和电子阅读器等终端设备广泛普及。

终端设备中通常安装有操作系统，操作系统中通常安装有多个应用。多个应用具有多种功能已满足用户的需求。

以Linux操作系统为例，在操作系统中，为了保证系统的安全性，Linux操作系统可以使用SElinux(Security-Enhanced Linux，安全增强Linux)技术来实现不同的应用对资源具有不同的访问权限的策略。例如是否允许某个应用对终端设备中的某个系统资源执行读、写、执行等操作。这些访问控制策略是保存在操作系统中的，一般是预先静态设置的，不允许动态改变。例如，可以将指定非合作方或未经认证的第三方应用不能对/dev/目录下的某个设备节点执行读写操作作为一条规则，与其它规则一起被编译为访问控制策略。编译生成的访问控制策略通常在操作系统安装到终端设备中的过程中，被安装到操作系统的内核中的。

当内核启动时自动加载访问控制策略，在操作系统运行过程中，如果有一个非合作方或未经认证的第三方应用的进程期望访问/dev/目录下的某个设备节点，例如执行open(开启)操作，该第三方应用生成基于该操作的访问请求，以系统调用的方式传递到操作系统内核。操作系统内核根据访问控制策略确定该访问请求是否被允许；若允许则执行该操作；如果不允许则禁止该操作。

当前的基于SElinux的访问控制策略一般不允许动态改变，这是因为访问控制策略控制了操作系统的资源访问权限。如果允许动态改变的话，一旦操作系统被恶意程序入侵，恶意程序很容易获取访问控制策略的修改权限，进而可以通过修改访问控制策略，导致恶意程序轻易地获取对终端设备中的多个系统资源的控制权限；从而恶意程序可以根据获取的控制权限，执行诸如访问用户的涉密信息等破坏行为，容易给用户带来损失。

现有的访问控制策略的更新方法通常是与操作系统一起进行版本更新。

然而，本发明的发明人发现，利用现有的访问控制策略的更新方法在很多情况下，都需要更新操作系统版本，容易给用户造成负担。例如，访问控制策略的当前版本发现后，技术人员发现有个测试设置的不合适，如果只能发布新的操作系统版本修正该设置。再如，访问控制策略中某些具体策略可能需要根据用户的使用场景进行改变，例如在办公室的时候不允许访问，但是回家的时候可以访问等等，都需要更新操作系统版本。

综上，现有的访问控制策略的更新方法具有更新不安全或者不方便的缺陷。

发明内容

本发明针对现有方式的缺点，提出一种访问控制策略的动态更新方法及装置，用以解决现有技术存在更新访问控制策略不安全或者不方便的问题。

本发明的实施例一根据第一方面，提供了一种访问控制策略的动态更新方法，包括：

主控系统检测到应用场景发生变化后，从云端服务器获取当前应用场景对应的访问控制策略；

所述主控系统对获取的所述访问控制策略进行合法性验证；

当所述合法性验证结果为合法时，所述主控系统将获取的所述访问控制策略发送至内核；

所述内核接收到所述访问控制策略后，对所述内核中存储的上一应用场景对应的访问控制策略进行更新，使得所述内核根据当前应用场景对应的访问控制策略对容器系统的访问进行控制。

本发明的实施例一根据第二方面，还提供了一种访问控制策略的动态更新装置，包括：主控系统、内核和至少一个容器系统；

所述主控系统包括：

策略获取模块，用于检测到应用场景发生变化后，从云端服务器获取当前应用场景对应的访问控制策略；

策略验证模块，用于对获取的所述访问控制策略进行合法性验证；

策略发送模块，用于当所述合法性验证结果为合法时，所述主控系统将获取的所述访问控制策略发送至内核；

所述内核包括：

策略更新模块，用于接收到所述访问控制策略后，对所述内核中存储的上一应用场景对应的访问控制策略进行更新，使得所述内核根据当前应用场景对应的访问控制策略对所述容器系统的访问进行控制。

较佳地，所述策略获取模块具体用于从所述云端服务器获取当前应用场景对应的访问控制策略及其经加密的摘要值、和对应的公钥；以及

所述策略验证模块具体用于根据获取的公钥对获取的经加密的数据进行解密；当解密成功时，得到解密的所述摘要值；确定出获取的访问控制策略的摘要值后，与解密后的所述摘要值进行比较；当比较结果为一致时，确定所述合法性验证结果为合法。

较佳地，所述策略发送模块具体用于将获取的所述访问控制策略和所述主控系统的系统标识发送至所述内核；以及

所述策略更新模块具体用于所述内核接收到所述访问控制策略和系统标识后，对系统标识进行合法性验证；当所述系统标识的合法性验证结果为合法时，对接收到的所述访问控制策略进行合法性验证；当所述访问控制策略的合法性验证结果为合法时，根据接收到的所述访问控制策略对所述内核中存储的上一应用场景对应的访问控制策略进行更新。

较佳地，所述策略更新模块还用于重新启动所在设备使得所述内核中更新后的访问控制策略生效；或者，使得其中更新后的访问控制策略即时生效。

较佳地，所述策略更新模块还用于根据预设的核心访问控制策略，对上一应用场景对应的访问控制策略中除所述核心访问控制策略之外的策略进行更新。

本发明实施例一中，终端设备中的主控系统检测到应用场景发生变化后，无需技术人员人工进行干预，无需更新整个操作系统的版本，就可以自动地从云端服务器获取访问控制策略，并自动更新本终端设备的内核中已存储的访问控制策略，实现了本终端设备中访问控制策略的动态更新，大大提升了更新访问控制策略的便利性。而且，主控系统对获取的访问控制策略进行合法性验证，验证为合法时，可以保证获取的访问控制策略未被篡改，进而将合法的访问控制策略发送至内核进行访问控制策略的更新，可以保证访问控制策略在动态更新过程中的安全性。由于主控系统和内核都位于容器系统的下层、不提供与用户直接进行交互的功能，用户无法安装程序至主控系统中，即使恶意程序伪装成应用或者寄生在应用中也无法安装到主控系统中，大大增强了主控系统的安全性；恶意程序难以获取容器系统与主控系统之间的通信方式和途径，即使进入了容器系统，也难以侵入主控系统，依然要受到访问控制策略的控制，难以窃取终端设备中的涉密信息。因此，本发明实施例一可以在保证主控系统、内核和访问控制策略安全性的基础上，实现访问控制策略的动态更新；既保护了终端设备中的涉密信息，又可以方便地动态更新访问控制策略。

本发明的实施例二根据第三方面，提供了一种访问控制策略的动态更新方法，包括：

容器系统检测到应用场景发生变化后，从云端服务器获取当前应用场景对应的访问控制策略；

所述容器系统将获取的所述访问控制策略向主控系统发送；

所述主控系统对获取的所述访问控制策略进行合法性验证；

当所述合法性验证结果为合法时，所述主控系统将获取的所述访问控制策略发送至内核；

所述内核接收到所述访问控制策略后，对所述内核中存储的上一应用场景对应的访问控制策略进行更新，使得所述内核根据当前应用场景对应的访问控制策略对容器系统的访问进行控制。

较佳地，，所述容器系统将获取的所述访问控制策略向主控系统发送，包括：

所述容器系统通过其与所述主控系统之间预先建立的容器通道，将获取的所述访问控制策略向所述主控系统发送。

较佳地，所述对所述内核中存储的上一应用场景对应的访问控制策略进行更新之前，还包括：

所述内核确定通过所述容器通道发送所述访问控制策略的容器系统中的应用，与请求建立所述容器通道的应用是否一致。

本发明的实施例二根据第四方面，提供了一种访问控制策略的动态更新装置，包括：主控系统、内核和至少一个容器系统；

所述容器系统包括：

策略获取模块，用于检测到应用场景发生变化后，从云端服务器获取当前应用场景对应的访问控制策略；

策略传输模块，用于将获取的所述访问控制策略向主控系统发送；

所述主控系统包括：

策略验证模块，用于对获取的所述访问控制策略进行合法性验证；

策略发送模块，用于当所述合法性验证结果为合法时，所述主控系统将获取的所述访问控制策略发送至内核；

所述内核包括：

策略更新模块，用于接收到所述访问控制策略后，对所述内核中存储的上一应用场景对应的访问控制策略进行更新，使得所述内核根据当前应用场景对应的访问控制策略对容器系统的访问进行控制。

较佳地，所述策略传输模块具体用于通过所述容器系统与所述主控系统之间预先建立的容器通道，将获取的所述访问控制策略向所述主控系统发送。

较佳地，所述策略更新模块还用于在所述对所述内核中存储的上一应用场景对应的访问控制策略进行更新之前，确定通过所述容器通道发送所述访问控制策略的容器系统中的应用，与请求建立所述容器通道的应用是否一致。

本发明实施例二中，终端设备中的容器系统检测到应用场景发生变化后，无需技术人员人工进行干预，无需更新整个操作系统的版本，就可以自动地从云端服务器获取访问控制策略经由主控系统发送至内核，并由内核自动更新本终端设备的内核中已存储的访问控制策略，实现了本终端设备中访问控制策略的动态更新，大大提升了更新访问控制策略的便利性。而且，由主控系统对容器系统获取的访问控制策略进行合法性验证，验证为合法时，可以保证获取的访问控制策略未被篡改，进而将合法的访问控制策略发送至内核进行访问控制策略的更新，可以保证访问控制策略在动态更新过程中的安全性。由于主控系统和内核都位于容器系统的下层、不提供与用户直接进行交互的功能，用户无法安装程序至主控系统中，即使恶意程序伪装成应用或者寄生在应用中也无法安装到主控系统中，大大增强了主控系统的安全性；恶意程序难以获取容器系统与主控系统之间的通信方式和途径，即使进入了容器系统，也难以侵入主控系统，依然要受到访问控制策略的控制，难以窃取终端设备中的涉密信息。因此，本发明实施例二可以在保证主控系统、内核和访问控制策略安全性的基础上，实现访问控制策略的动态更新；既保护了终端设备中的涉密信息，又可以方便地动态更新访问控制策略。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为本发明的终端设备的内部结构的框架示意图；

图2为本发明实施例一的访问控制策略的动态更新方法的流程示意图；

图3为本发明实施例一的访问控制策略的动态更新装置的内部结构的框架示意图；

图4为本发明实施例二的访问控制策略的动态更新方法的流程示意图；

图5为本发明实施例二的访问控制策略的动态更新装置的内部结构的框架示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)，具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语，应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样被特定定义，否则不会用理想化或过于正式的含义来解释。

本技术领域技术人员可以理解，这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备，其仅具备无发射能力的无线信号接收器的设备，又包括接收和发射硬件的设备，其具有能够在双向通信链路上，进行双向通信的接收和发射硬件的设备。这种设备可以包括：蜂窝或其他通信设备，其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备；PCS(Personal Communications Service，个人通信系统)，其可以组合语音、数据处理、传真和/或数据通信能力；PDA(Personal Digital Assistant，个人数字助理)，其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System，全球定位系统)接收器；常规膝上型和/或掌上型计算机或其他设备，其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的，或者适合于和/或配置为在本地运行，和/或以分布形式，运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端，例如可以是PDA、MID(Mobile Internet Device，移动互联网设备)和/或具有音乐/视频播放功能的移动电话，也可以是智能电视、机顶盒等设备。

本发明的技术方案中，终端设备的内部结构的框架示意图如图1所示，包括：主控系统、内核和至少一个容器系统。

其中，至少一个容器系统可以包括第一容器系统、第二容器系统、……、第N容器系统。N为2以上的正整数。

本发明实施例中的容器系统，是设置在以Linux container(容器)虚拟化技术创建的容器中的操作系统。操作系统可以为传统意义上的Linux操作系统或Unix操作系统，也可以是基于Linux操作系统衍生出来的Android系统或Ubuntu系统等，还可以为以Windows平台为基础的windows系统等等。实际上，本发明中的容器系统不限于前述例举的操作系统，可以涵盖所有能够在容器中运行的操作系统。为便于描述，下面以Android系统作为容器系统为例阐述本发明的技术方案。

主控系统可以是上述传统的操作系统，也可以是对传统的操作系统进行改进得到的操作系统。

主控系统主要用于对多个容器系统进行前后台管理，与各容器系统进行交互等。

较佳地，主控系统可以通过容器通道与容器系统进行通信。进一步，容器通道可以是socket(套接字)通道。一个容器系统向主控系统发送容器通道创建请求；主控系统接到该容器系统的请求后，创建一个socket文件及该socket文件的一对描述符(socketpair)，并为该对描述符命名；将该对描述符及其名称注册在主控系统的NSS(Name Space Server，域名空间服务)虚拟设备中；将注册成功的一对描述符中的一个描述符的名称返回给该容器系统；该容器系统根据描述符的名称从NSS虚拟设备获取对应的描述符后，可以通过该描述符与拥有该socket文件另一个描述符的主控系统进行通信。

内核为kernel，或者在kernel基础上增加功能模块之后得到的增强型kernel。较佳地，上述容器系统通过主控系统调用或访问内核以实现各种功能。可以认为本发明的容器系统和主控系统，包含kernel之外的部分，例如框架层和应用层的部分。容器系统和主控系统共享内核。

本发明的技术方案中，终端设备可以获取访问控制策略，并根据获取的访问控制策略，对存储于内核中的访问控制策略进行动态更新。以获取访问控制策略的主体的不同，即容器系统或主控系统，分为下述两个实施例。较佳地，本发明的技术方案中的访问控制策略具体可以是SELinux(Security Enhanced Linux，安全增强Linux)策略。

实施例一

本发明实施例一中，提供了一种访问控制策略的动态更新方法，该方法的流程示意图如图2所示，包括下述步骤：

S201：主控系统检测到应用场景发生变化后，从云端服务器获取当前应用场景对应的访问控制策略。

应用场景包括下述至少一项：时间、地理位置、云端服务器下发的访问权限更新通知。

例如，当主控系统检测到当前时间已从上班时间变化为下班时间时，从云端服务器获取下班时间对应的访问控制策略。

当主控系统检测到当前地理位置已从涉密地理位置变化为非涉密地理位置时，从云端服务器获取非涉密地理位置对应的访问控制策略。

当主控系统检测到接收到云端服务器下发的访问权限更新通知时，从云端服务器获取更新后的访问控制策略。

较佳地，主控系统从云端服务器获取当前应用场景对应的访问控制策略、该访问控制策略的经私钥加密的摘要值、以及与该私钥对应的公钥。

S202：主控系统对获取的访问控制策略进行合法性验证，确定该合法性验证结果是否合法；当合法性验证结果为合法时，执行步骤S203；当合法性验证结果为不合法时，忽略获取的访问控制策略。

较佳地，主控系统根据获取的公钥，对获取的经加密的数据进行解密。

当解密成功时，说明经私钥加密的摘要值未被篡改，是安全的，从而得到解密的摘要值。当解密失败时，说明经私钥加密的摘要值很可能已被篡改，不再安全，删除获取的访问控制策略、该访问控制策略的经私钥加密的摘要值、以及与该私钥对应的公钥；或者，将获取的访问控制策略、该访问控制策略的经私钥加密的摘要值、以及与该私钥对应的公钥移入安全沙箱中。

主控系统确定出获取的访问控制策略的摘要值后，与解密后的摘要值进行比较；当比较结果为一致时，说明获取的访问控制策略未被篡改，是安全的，确定合法性验证结果为合法，执行步骤S203。

当主控系统确定比较结果为不一致时，说明获取的访问控制策略很可能已被篡改，不再安全的，确定合法性验证结果为不合法，删除获取的访问控制策略、该访问控制策略的经私钥加密的摘要值、以及与该私钥对应的公钥；或者，将获取的访问控制策略、该访问控制策略的经私钥加密的摘要值、以及与该私钥对应的公钥移入安全沙箱中。进一步，主控系统可以重新获取访问控制策略。

S203：主控系统将获取的访问控制策略发送至内核。

较佳地，主控系统将获取的访问控制策略和主控系统的系统标识发送至内核。

进一步，主控系统将获取的访问控制策略、该访问控制策略的经私钥加密的摘要值、与该私钥对应的公钥和主控系统的系统标识发送至内核。

S204：内核接收到访问控制策略后，对内核中存储的上一应用场景对应的访问控制策略进行更新。

较佳地，内核获取到访问控制策略和系统标识后，对系统标识进行合法性验证。具体地，将获取到的系统标识与预存的主控系统的标识进行比较，确定两者是否一致；若是，则确定系统标识的合法性验证结果为合法；否则确定系统标识的合法性验证结果为不合法。

由于主控系统处于容器系统的下层，通常不与用户进行直接交互，恶意程序无法获取本发明中的容器系统与主控系统的通信方式和渠道，难以入侵主控系统；因此主控系统的安全性远远高于容器系统。进而本发明中，内核仅接受主控系统发送的访问控制策略，可以防止恶意程序通过容器系统直接攻击内核，从而大大提升内核的安全性。

当系统标识的合法性验证结果为不合法时，可以认为是较为不安全的容器系统发送的访问控制策略，可以删除获取的访问控制策略；或者，可以将获取的访问控制策略移入安全沙箱中。进一步，可以通知主控系统重新获取访问控制策略。

当系统标识的合法性验证结果为合法时，可以认为是较为安全的主控系统发送的访问控制策略，对接收到的访问控制策略进行合法性验证。

具体地，内核获取到访问控制策略、该访问控制策略的经私钥加密的摘要值、以及与该私钥对应的公钥。主控系统根据获取的公钥，对获取的经加密的数据进行解密。

当解密成功时，说明经私钥加密的摘要值未被篡改，得到解密的摘要值。当解密失败时，说明经私钥加密的摘要值很可能已被篡改，删除获取的访问控制策略、该访问控制策略的经私钥加密的摘要值、以及与该私钥对应的公钥；或者，将获取的访问控制策略、该访问控制策略的经私钥加密的摘要值、以及与该私钥对应的公钥移入安全沙箱中。

内核确定出获取的访问控制策略的摘要值后，与解密后的摘要值进行比较；当比较结果为一致时，说明获取的访问控制策略未被篡改，是安全的，确定访问控制策略的合法性验证结果为合法，根据接收到的访问控制策略对内核中存储的上一应用场景对应的访问控制策略进行更新。

当内核确定比较结果为不一致时，说明获取的访问控制策略很可能已被篡改，确定访问控制策略的合法性验证结果为不合法，删除获取的访问控制策略、该访问控制策略的经私钥加密的摘要值、以及与该私钥对应的公钥；或者，将获取的访问控制策略、该访问控制策略的经私钥加密的摘要值、以及与该私钥对应的公钥移入安全沙箱中。进一步，内核可以向主控系统发送重新获取策略的通知，主控系统可以根据该通知重新获取访问控制策略。

较佳地，内核重新启动所在设备使得内核中更新后的访问控制策略生效；或者，内核使得其中更新后的访问控制策略即时生效。

较佳地，内核根据预设的核心访问控制策略、以及获取的访问控制策略，对上一应用场景对应的访问控制策略中除核心访问控制策略之外的策略进行更新。其中，本领域技术人员可以根据实验数据、历史数据、经验数据和/或实际情况，选择访问控制策略中较为基础或较为核心的策略作为核心访问控制策略。

S205：容器系统将其中的应用的访问请求，通过容器通道向主控系统发送；由主控系统将该访问请求向内核发送。

容器系统接收到该容器系统中的应用针对系统资源的访问请求后，将该访问请求通过容器通道向主控系统发送。

主控系统将通过容器通道接收的应用的访问请求向内核发送。

S206：内核根据当前应用场景对应的访问控制策略对源自容器系统的访问请求进行控制。

内核接收到主控系统发送的应用的访问请求后，根据内核中存储的当前应用场景对应的访问控制策略，确定该应用是否具有访问请求涉及的访问权限；若是，则根据该访问请求进行操作；否则，忽略该访问请求。

基于本发明实施例一的访问控制策略的动态更新方法，本发明实施例一还提供了访问控制策略的动态更新装置，该装置设置于本发明的终端设备中，该装置的内部结构的框架示意图如图3所示，包括：主控系统、内核和至少一个容器系统。

其中，如图3所示，本发明实施例一中的主控系统包括：策略获取模块301、策略验证模块302和策略发送模块303。

策略获取模块301用于检测到应用场景发生变化后，从云端服务器获取当前应用场景对应的访问控制策略；

策略验证模块302用于对获取的访问控制策略进行合法性验证；

策略发送模块303用于当合法性验证结果为合法时，主控系统将获取的访问控制策略发送至内核；

如图3所示，本发明实施例一种的内核包括：策略更新模块311。

策略更新模块311用于接收到访问控制策略后，对内核中存储的上一应用场景对应的访问控制策略进行更新，使得内核根据当前应用场景对应的访问控制策略对容器系统的访问进行控制。

较佳地，策略获取模块301具体用于从云端服务器获取当前应用场景对应的访问控制策略及其经加密的摘要值、和对应的公钥。

以及，策略验证模块302具体用于根据获取的公钥对获取的经加密的数据进行解密；当解密成功时，得到解密的摘要值；确定出获取的访问控制策略的摘要值后，与解密后的摘要值进行比较；当比较结果为一致时，确定合法性验证结果为合法。

较佳地，策略发送模块303具体用于将获取的访问控制策略和主控系统的系统标识发送至内核。

以及，策略更新模块311具体用于内核接收到访问控制策略和系统标识后，对系统标识进行合法性验证；当系统标识的合法性验证结果为合法时，对接收到的访问控制策略进行合法性验证；当访问控制策略的合法性验证结果为合法时，根据接收到的访问控制策略对内核中存储的上一应用场景对应的访问控制策略进行更新。

较佳地，策略更新模块311还用于重新启动所在设备使得内核中更新后的访问控制策略生效；或者，使得其中更新后的访问控制策略即时生效。

较佳地，策略更新模块311还用于根据预设的核心访问控制策略，对上一应用场景对应的访问控制策略中除核心访问控制策略之外的策略进行更新。

上述主控系统中策略获取模块301、策略验证模块302和策略发送模块303，以及内核中的策略更新模块311功能的实现方法，可以参考上述如图1所示的终端设备的内部框架和如图2所示的流程步骤的具体内容，此处不再赘述。

本发明实施例一中，终端设备中的主控系统检测到应用场景发生变化后，无需技术人员人工进行干预，无需更新整个操作系统的版本，就可以自动地从云端服务器获取访问控制策略，并自动更新本终端设备的内核中已存储的访问控制策略，实现了本终端设备中访问控制策略的动态更新，大大提升了更新访问控制策略的便利性。而且，主控系统对获取的访问控制策略进行合法性验证，验证为合法时，可以保证获取的访问控制策略未被篡改，进而将合法的访问控制策略发送至内核进行访问控制策略的更新，可以保证访问控制策略在动态更新过程中的安全性。由于主控系统和内核都位于容器系统的下层、不提供与用户直接进行交互的功能，用户无法安装程序至主控系统中，即使恶意程序伪装成应用或者寄生在应用中也无法安装到主控系统中，大大增强了主控系统的安全性；恶意程序难以获取容器系统与主控系统之间的通信方式和途径，即使进入了容器系统，也难以侵入主控系统，依然要受到访问控制策略的控制，难以窃取终端设备中的涉密信息。因此，本发明实施例一可以在保证主控系统、内核和访问控制策略安全性的基础上，实现访问控制策略的动态更新；既保护了终端设备中的涉密信息，又可以方便地动态更新访问控制策略。

而且，本发明实施例一中，主控系统可以在从云端服务器获取访问控制策略时，一并获取经加密的该访问控制策略的摘要值、以及公钥，并对获取的访问控制策略进行合法性验证。根据获取的公钥是否可以对获取的摘要值进行解密，来判断获取的访问控制策略是否被篡改；根据摘要值来比较验证获取的访问控制策略是否被篡改；当解密成功且摘要值的比较结果一致时，确定该合法性验证结果为合法，将合法的访问控制策略发送至内核供更新；从而进一步降低了获取的访问控制策略被篡改的几率，进一步增强本发明实施例一的动态更新访问控制策略的安全性。

进一步，本发明实施例一中，内核对作为访问控制策略的发送方的操作系统的系统标识进行合法性验证，并对获取的访问控制策略进行合法性验证；当系统标识和访问控制策略的合法性验证结果都为合法时，才对访问控制策略进行动态更新，当系统标识或访问控制策略任一验证为不合法时，不进行访问控制策略的动态更新；即使恶意程序冒充主控系统之外的发送方、或篡改了获取的访问控制策略，也会被内核识别出而放弃访问控制策略的更新，进一步提升访问控制策略更新过程的安全性。

此外，本发明实施例一中，还可以将访问控制策略中涉及比较基础或者核心的功能的策略，作为核心访问控制策略；当进行访问控制策略的动态更新时，不对核心访问控制策略进行更新，仅对访问控制策略中除核心访问控制策略之外的策略进行更新，进一步提升访问控制策略更新过程的安全性。

实施例二

本发明实施例二中，提供了一种访问控制策略的动态更新方法，该方法的流程示意图如图4所示，包括下述步骤：

S401：容器系统检测到应用场景发生变化后，从云端服务器获取当前应用场景对应的访问控制策略。

应用场景包括下述至少一项：时间、地理位置、云端服务器下发的访问权限更新通知。

例如，当容器系统检测到当前时间已从上班时间变化为下班时间时，从云端服务器获取下班时间对应的访问控制策略。

当容器系统检测到当前地理位置已从涉密地理位置变化为非涉密地理位置时，从云端服务器获取非涉密地理位置对应的访问控制策略。

当容器系统检测到接收到云端服务器下发的访问权限更新通知时，从云端服务器获取更新后的访问控制策略。

较佳地，容器系统从云端服务器获取当前应用场景对应的访问控制策略、该访问控制策略的经私钥加密的摘要值、以及与该私钥对应的公钥。

较佳地，容器系统检测到应用场景发生变化后，通过该容器系统与主控系统之间预先建立的容器通道，向主控系统发送应用场景更新请求；主控系统根据该应用场景更新请求，从云端服务器获取该容器系统的当前应用场景对应的访问控制策略后，通过该容器通道返回至该容器系统。

进一步，主控系统从云端服务器获取容器系统的当前应用场景对应的访问控制策略、该访问控制策略的经私钥加密的摘要值、以及与该私钥对应的公钥后，通过该容器通道返回至该容器系统。

S402：容器系统将获取的访问控制策略向主控系统发送。

容器系统中的应用将获取的访问控制策略，通过该容器系统与主控系统之间预先建立的容器通道，向主控系统发送。

S403：主控系统对获取的访问控制策略进行合法性验证，确定该合法性验证结果是否合法；当合法性验证结果为合法时，执行步骤S203；当合法性验证结果为不合法时，忽略获取的访问控制策略。

本步骤中的方法与上述步骤S202中的方法相一致，此处不再赘述。

S404：主控系统将获取的访问控制策略发送至内核。

本步骤中的方法与上述步骤S203中的方法相一致，此处不再赘述。

S405：内核接收到访问控制策略后，对内核中存储的上一应用场景对应的访问控制策略进行更新。

较佳地，内核接收到访问控制策略后、且对内核中存储的上一应用场景对应的访问控制策略进行更新之前，确定通过容器通道发送访问控制策略的容器系统中的应用，与请求建立容器通道的应用是否一致；若一致，说明发送访问控制策略的应用未被恶意程序侵入，则对内核中存储的上一应用场景对应的访问控制策略进行更新；若不一致，说明发送访问控制策略的应用很可能已经被恶意程序侵入，则删除获取的访问控制策略、该访问控制策略的经私钥加密的摘要值、以及与该私钥对应的公钥；或者，将获取的访问控制策略、该访问控制策略的经私钥加密的摘要值、以及与该私钥对应的公钥移入安全沙箱中。

本步骤中的其它方法与上述步骤S204中的方法相一致，此处不再赘述。

S406：容器系统将其中的应用的访问请求，通过容器通道向主控系统发送；由主控系统将该访问请求向内核发送。

本步骤中的方法与上述步骤S205中的方法相一致，此处不再赘述。

S407：内核根据当前应用场景对应的访问控制策略对源自容器系统的访问请求进行控制。

本步骤中的方法与上述步骤S206中的方法相一致，此处不再赘述。

基于本发明实施例二中的上述访问控制策略的动态更新方法，本发明实施例二还提供了一种访问控制策略的动态更新装置，该装置设置于本发明的终端设备中，该装置的内部结构的框架示意图如图5所示，包括：主控系统、内核和至少一个容器系统。

其中，如图5所示，本发明实施例二中的容器系统包括：策略获取模块501和策略传输模块502。

策略获取模块501用于检测到应用场景发生变化后，从云端服务器获取当前应用场景对应的访问控制策略。

策略传输模块502用于将获取的访问控制策略向主控系统发送。

较佳地，策略传输模块502具体用于通过容器系统与主控系统之间预先建立的容器通道，将获取的访问控制策略向主控系统发送。

如图5所示，本发明实施例二中的主控系统包括：策略验证模块511和策略发送模块512。

策略验证模块511用于对获取的访问控制策略进行合法性验证。

策略发送模块512用于当合法性验证结果为合法时，主控系统将获取的访问控制策略发送至内核。

如图5所示，本发明实施例二中的内核包括：策略更新模块521。

策略更新模块521用于接收到访问控制策略后，对内核中存储的上一应用场景对应的访问控制策略进行更新，使得内核根据当前应用场景对应的访问控制策略对容器系统的访问进行控制。

较佳地，策略更新模块521还用于在对内核中存储的上一应用场景对应的访问控制策略进行更新之前，确定通过容器通道发送访问控制策略的容器系统中的应用，与请求建立容器通道的应用是否一致。

较佳地，策略获取模块501具体用于从云端服务器获取当前应用场景对应的访问控制策略及其经加密的摘要值、和对应的公钥。

以及，策略传输模块502具体用于将从云端服务器获取当前应用场景对应的访问控制策略及其经加密的摘要值、和对应的公钥，通过容器系统与主控系统之间预建的容器通道，向主控系统发送。

主控系统中的策略验证模块511具体用于根据获取的公钥对获取的经加密的数据进行解密；当解密成功时，得到解密的摘要值；确定出获取的访问控制策略的摘要值后，与解密后的摘要值进行比较；当比较结果为一致时，确定合法性验证结果为合法。

较佳地，主控系统中的策略发送模块512具体用于将获取的访问控制策略和主控系统的系统标识发送至内核。

以及，内核中的策略更新模块521具体用于内核接收到访问控制策略和系统标识后，对系统标识进行合法性验证；当系统标识的合法性验证结果为合法时，对接收到的访问控制策略进行合法性验证；当访问控制策略的合法性验证结果为合法时，根据接收到的访问控制策略对内核中存储的上一应用场景对应的访问控制策略进行更新。

较佳地，策略更新模块521还用于重新启动所在设备使得内核中更新后的访问控制策略生效；或者，使得其中更新后的访问控制策略即时生效。

较佳地，策略更新模块521还用于根据预设的核心访问控制策略，对上一应用场景对应的访问控制策略中除核心访问控制策略之外的策略进行更新。

本发明实施例二中的上述容器系统中的策略获取模块501和策略传输模块502、主控系统中的策略验证模块511和策略发送模块512、以及内核中的策略更新模块521功能的实现方法，可以上述如图1所示的终端设备的内部框架和如图4所示的流程步骤的具体内容，此处不再赘述。

本发明实施例二中，终端设备中的容器系统检测到应用场景发生变化后，无需技术人员人工进行干预，无需更新整个操作系统的版本，就可以自动地从云端服务器获取访问控制策略经由主控系统发送至内核，并由内核自动更新本终端设备的内核中已存储的访问控制策略，实现了本终端设备中访问控制策略的动态更新，大大提升了更新访问控制策略的便利性。而且，由主控系统对容器系统获取的访问控制策略进行合法性验证，验证为合法时，可以保证获取的访问控制策略未被篡改，进而将合法的访问控制策略发送至内核进行访问控制策略的更新，可以保证访问控制策略在动态更新过程中的安全性。由于主控系统和内核都位于容器系统的下层、不提供与用户直接进行交互的功能，用户无法安装程序至主控系统中，即使恶意程序伪装成应用或者寄生在应用中也无法安装到主控系统中，大大增强了主控系统的安全性；恶意程序难以获取容器系统与主控系统之间的通信方式和途径，即使进入了容器系统，也难以侵入主控系统，依然要受到访问控制策略的控制，难以窃取终端设备中的涉密信息。因此，本发明实施例二可以在保证主控系统、内核和访问控制策略安全性的基础上，实现访问控制策略的动态更新；既保护了终端设备中的涉密信息，又可以方便地动态更新访问控制策略。

而且，本发明实施例二中，容器系统可以在从云端服务器获取访问控制策略时，一并获取经加密的该访问控制策略的摘要值、以及公钥，并由主控系统对获取的访问控制策略进行合法性验证。根据获取的公钥是否可以对获取的摘要值进行解密，来判断获取的访问控制策略是否被篡改；根据摘要值来比较验证获取的访问控制策略是否被篡改；当解密成功且摘要值的比较结果一致时，确定该合法性验证结果为合法，将合法的访问控制策略发送至内核供更新；从而进一步降低了获取的访问控制策略被篡改的几率，进一步增强本发明实施例二的动态更新访问控制策略的安全性。

进一步，本发明实施例二中，内核对作为访问控制策略的发送方的操作系统的系统标识进行合法性验证，并对获取的访问控制策略进行合法性验证；当系统标识和访问控制策略的合法性验证结果都为合法时，才对访问控制策略进行动态更新，当系统标识或访问控制策略任一验证为不合法时，不进行访问控制策略的动态更新；即使恶意程序冒充主控系统之外的发送方、或篡改了获取的访问控制策略，也会被内核识别出而放弃访问控制策略的更新，进一步提升访问控制策略更新过程的安全性。

此外，本发明实施例二中，还可以将访问控制策略中涉及比较基础或者核心的功能的策略，作为核心访问控制策略；当进行访问控制策略的动态更新时，不对核心访问控制策略进行更新，仅对访问控制策略中除核心访问控制策略之外的策略进行更新，进一步提升访问控制策略更新过程的安全性。

本技术领域技术人员可以理解，本发明包括涉及用于执行本申请中所述操作中的一项或多项的设备。这些设备可以为所需的目的而专门设计和制造，或者也可以包括通用计算机中的已知设备。这些设备具有存储在其内的计算机程序，这些计算机程序选择性地激活或重构。这样的计算机程序可以被存储在设备(例如，计算机)可读介质中或者存储在适于存储电子指令并分别耦联到总线的任何类型的介质中，所述计算机可读介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory，只读存储器)、RAM(Random Access Memory，随即存储器)、EPROM(Erasable ProgrammableRead-Only Memory，可擦写可编程只读存储器)、EEPROM(Electrically ErasableProgrammable Read-Only Memory，电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是，可读介质包括由设备(例如，计算机)以能够读的形式存储或传输信息的任何介质。

本技术领域技术人员可以理解，可以用计算机程序指令来实现这些结构图和/或框图和/或流图中的每个框以及这些结构图和/或框图和/或流图中的框的组合。本技术领域技术人员可以理解，可以将这些计算机程序指令提供给通用计算机、专业计算机或其他可编程数据处理方法的处理器来实现，从而通过计算机或其他可编程数据处理方法的处理器来执行本发明公开的结构图和/或框图和/或流图的框或多个框中指定的方案。

本技术领域技术人员可以理解，本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地，具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地，现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。

以上所述仅是本发明的部分实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (8)

1.一种访问控制策略的动态更新方法，其特征在于，包括：

容器系统检测到应用场景发生变化后，从云端服务器获取当前应用场景对应的访问控制策略；

所述容器系统将获取的所述访问控制策略向主控系统发送；

所述主控系统对获取的所述访问控制策略进行合法性验证；

当所述合法性验证结果为合法时，所述主控系统将获取的所述访问控制策略发送至内核；

所述内核接收到所述访问控制策略后，对所述内核中存储的上一应用场景对应的访问控制策略进行更新，使得所述内核根据当前应用场景对应的访问控制策略对容器系统的访问进行控制。

2.根据权利要求1所述的方法，其特征在于，所述从云端服务器获取当前应用场景对应的访问控制策略，包括：

从所述云端服务器获取当前应用场景对应的访问控制策略及其经加密的摘要值、和对应的公钥；以及

所述主控系统对获取的所述访问控制策略进行合法性验证，包括：

所述主控系统根据获取的公钥对获取的经加密的数据进行解密；

当解密成功时，得到解密的所述摘要值；

确定出获取的访问控制策略的摘要值后，与解密后的所述摘要值进行比较；

当比较结果为一致时，确定所述合法性验证结果为合法。

3.根据权利要求1所述的方法，其特征在于，所述主控系统将获取的所述访问控制策略发送至内核，包括：

所述主控系统将获取的所述访问控制策略和所述主控系统的系统标识发送至所述内核；以及

所述内核接收到所述访问控制策略后，对所述内核中存储的上一应用场景对应的访问控制策略进行更新，包括：

所述内核接收到所述访问控制策略和系统标识后，对系统标识进行合法性验证；

当所述系统标识的合法性验证结果为合法时，对接收到的所述访问控制策略进行合法性验证；

当所述访问控制策略的合法性验证结果为合法时，根据接收到的所述访问控制策略对所述内核中存储的上一应用场景对应的访问控制策略进行更新。

4.根据权利要求1所述的方法，其特征在于，所述对所述内核中存储的上一应用场景对应的访问控制策略进行更新，还包括：

所述内核重新启动所在设备使得所述内核中更新后的访问控制策略生效；

或者，所述内核使得其中更新后的访问控制策略即时生效。

5.根据权利要求1所述的方法，其特征在于，所述对所述内核中存储的上一应用场景对应的访问控制策略进行更新，包括：

根据预设的核心访问控制策略，对上一应用场景对应的访问控制策略中除所述核心访问控制策略之外的策略进行更新。

6.根据权利要求1-5任一项所述的方法，其特征在于，所述应用场景包括下述至少一项：

时间、地理位置、所述云端服务器下发的访问权限更新通知。

7.根据权利要求1所述的方法，其特征在于，所述容器系统将获取的所述访问控制策略向主控系统发送，包括：

所述容器系统通过其与所述主控系统之间预先建立的容器通道，将获取的所述访问控制策略向所述主控系统发送。

8.一种访问控制策略的动态更新装置，其特征在于，包括：主控系统、内核和至少一个容器系统；

所述容器系统包括：

策略获取模块，用于检测到应用场景发生变化后，从云端服务器获取当前应用场景对应的访问控制策略；

策略传输模块，用于将获取的所述访问控制策略向主控系统发送；

所述主控系统包括：

策略验证模块，用于对获取的所述访问控制策略进行合法性验证；

策略发送模块，用于当所述合法性验证结果为合法时，所述主控系统将获取的所述访问控制策略发送至内核；

所述内核包括：

策略更新模块，用于接收到所述访问控制策略后，对所述内核中存储的上一应用场景对应的访问控制策略进行更新，使得所述内核根据当前应用场景对应的访问控制策略对容器系统的访问进行控制。