CN106485104A - 终端安全策略的自动修复方法和装置、系统 - Google Patents

终端安全策略的自动修复方法和装置、系统 Download PDF

Info

Publication number
CN106485104A
CN106485104A CN201510526652.3A CN201510526652A CN106485104A CN 106485104 A CN106485104 A CN 106485104A CN 201510526652 A CN201510526652 A CN 201510526652A CN 106485104 A CN106485104 A CN 106485104A
Authority
CN
China
Prior art keywords
terminal
security strategy
strategy
limited
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510526652.3A
Other languages
English (en)
Other versions
CN106485104B (zh
Inventor
王映理
吴进发
方义
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201510526652.3A priority Critical patent/CN106485104B/zh
Publication of CN106485104A publication Critical patent/CN106485104A/zh
Application granted granted Critical
Publication of CN106485104B publication Critical patent/CN106485104B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2125Just-in-time application of countermeasures, e.g., on-the-fly decryption, just-in-time obfuscation or de-obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开一种终端安全策略的自动修复方法,包括:获取终端上的操作权限受限情况;将受限情况与预设的策略库进行匹配,获得该受限情况的安全策略;在安全策略中该受限情况为允许时,下发策略更新通知。本发明还公开一种终端安全策略的自动修复装置及系统。本发明实现了安全策略的自动修复,相对于现有技术,不但节省了人工成本、而且还使得安全策略得到了及时修复,提高了修复效率。

Description

终端安全策略的自动修复方法和装置、系统
技术领域
本发明涉及计算机领域,尤其涉及终端安全策略的自动修复方法和装置、系统。
背景技术
智能终端的广泛应用,给人们的生活带来了极大的便利,但是智能终端系统的不稳定也给人们的应用带来安全隐患,例如隐私信息的泄露等等。因此,智能终端的生产厂商自定义安全策略,对智能终端的使用进行安全防护。但是该安全策略无法实现自动修复,出现问题后,必须人工修复。
发明内容
本发明实施例的主要目的在于提供一种终端安全策略的自动修复方法和装置,旨在提高修复效率。
为实现上述目的,本发明实施例提供了一种终端安全策略的自动修复方法,包括以下步骤:
获取终端上的操作权限受限情况;
将受限情况与预设的策略库进行匹配,获得该受限情况的安全策略;
在安全策略中该受限情况为允许时,下发策略更新通知。
此外,为实现上述目的,本发明实施例还提供了一种终端安全策略的自动修复装置,包括:
受限信息获取模块,用于获取终端上的操作权限受限情况;
受限匹配模块,用于将受限情况与预设的策略库进行匹配,获得该受限情况的安全策略;
策略更新通知模块,用于在安全策略中该受限情况为允许时,下发策略更新通知。
此外,为实现上述目的,本发明还提供了一种终端安全策略的自动修复系统,包括终端和服务器;所述终端与服务器之间互相通讯,所述终端在运行过程中记录操作权限受限情况,并将所记录的操作权限受限情况上传至服务器;所述服务器根据预设的策略库,对终端上传的操作权限受限情况进行分析,若预设的策略库中允许该操作时,下发策略更新通知至终端;所述服务器包括上述自动修复装置。
本发明实施例通过发现受限情况,根据预设的策略库对受限情况进行分析,若预设的策略库中该受限情况为允许,则下发新的策略至终端,以修复该受限情况。依次循环,周而复始,直到终端系统策略稳定,全程都不需要人工干预。因此本发明实施例实现了安全策略的自动修复,相对于现有技术,不但节省了人工成本、而且还使得安全策略得到了及时修复,提高了修复效率。
附图说明
图1为本发明终端安全策略的自动修复系统中终端与服务器的交互结构示意图;
图2为本发明终端安全策略的自动修复方法所应用的服务器的硬件架构示意图;
图3为本发明终端安全策略的自动修复装置第一实施例的功能模块示意图;
图4为本发明终端安全策略的自动修复装置中受限匹配模块的细化功能模块示意图;
图5为本发明终端安全策略的自动修复方法中策略库匹配后允许的结果示例图;
图6为本发明终端安全策略的自动修复方法中策略库匹配后拒绝的结果示例图;
图7为本发明终端安全策略的自动修复装置第二实施例的功能模块示意图;
图8为本发明终端安全策略的自动修复装置第三实施例的功能模块示意图;
图9为本发明终端安全策略的自动修复方法第一实施例的流程示意图;
图10为本发明终端安全策略的自动修复方法中将受限情况与策略库匹配获得安全策略的细化流程示意图;
图11为本发明终端安全策略的自动修复方法第二实施例的流程示意图;
图12为本发明终端安全策略的自动修复方法第三实施例的流程示意图;
图13为本发明终端安全策略的自动修复方法第四实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种终端安全策略的自动修复方案,通过监测终端上的权限受限情况,根据预设的策略库对该权限受限情况进行分析,若预设的策略库中允许该权限,则产生修复语句,实现权限受限的自动修复。
该终端上的权限受限情况既可包括终端系统的操作权限受限情况,还可包括终端上的第三方应用的操作权限受限情况。该操作权限受限情况是因为同一操作在不同系统版本下的安全策略不同而产生的。以终端系统的操作权限受限情况为例,安卓4.4版本对应的安全策略中,系统应用“文件管理器”可以随意访问并读取第三方应用程序的数据,也可以对第三方程序里面包含的程序进行运行;但在安卓5.0版本对应的安全策略上都被禁止了,此时将导致“文件管理器”的功能被限制。因此安卓4.4版本“文件管理器”在安卓5.0版本的系统中进行第三方应用程序的数据的读取操作时,存在操作权限受限情况。以第三方应用的操作权限受限情况为例,安卓4.4版本对应的安全策略中,第三方应用程序可以将自己的服务通过addservice的方法加入到系统服务管理中,安卓5.0版本对应的安全策略中则不能使用该方法。因此安卓4.4版本的第三方应用程序运行在安卓5.0版本中,并将自己的服务通过addservice的方法加入到系统服务管理中时,存在操作权限受限情况。
预设的策略库为预先设置的策略集合,可包括各厂商定义的安全策略,也可包括通用的安全策略。该安全策略包括多个类型的安全策略,具体如下:
(1)读写权限,例如读写目标文件权限被限制;
(2)绑定系统服务,例如绑定特定的系统服务被限制;
(3)消息通信,例如与特定对象发送socket消息时被限制;
(4)执行程序,例如需要执行特定程序的时候被限制;
(5)挂载系统,例如挂载系统的分区时被限制。
本发明实施例中,该安全策略可包括安卓4.3以上的安全策略、Ubuntu 14以上的安全策略。该Ubuntu 14策略支持所有基于selinux开发的系统,包括ubuntu也包括android系统)上述策略库中的策略包括所有类别的进程及目标操作在受限范围内是否允许,即以TE为后缀的文件。
如图1所示,上述终端安全策略的自动修复方案的终端可包括PC终端,也可以包括移动终端,当然还可以包括具有智能系统的其他终端,例如电视、数码相机、掌上电脑等等,在此统称为终端100。该终端上可设有操作权限受限情况监测装置,用于监测终端上的操作权限受限情况。每个终端100均与服务器200互相通讯,当存在操作权限受限情况时,则将该受限情况上传至服务器200。服务器200接收到该受限情况后,则根据预设的策略库对该受限情况进行分析,判断该受限情况在安全策略中是否为允许的情况,是则产生一条新的安全策略,该安全策略中携带允许该受限情况的修复语句。服务器200将产生的新的安全策略下发至终端100,终端100加载该新的安全策略后,即可修复该受限情况,从而实现了安全策略的自动修复。
如图2所示,上述服务器200可包括处理器201、存储器202、用户交互单元203、数据总线204、通讯模块205。其中数据总线204用于终端各组件之间的数据交互。用户交互单元203可包括显示屏、按键组件、指纹录入设备、读卡接口、证件识别设备等等。另外,该按键组件可包括物理按键,也可包括虚拟的触摸按键,在此并不做限定。存储器202可包括内部存储设备,也可包括外部存储设备,用于存储终端需要处理的数据以及运行服务器200需要的数据,例如操作系统、安全策略自动修复装置等等。处理器201调用存储器202中存储的数据以及其他各组件,以实现相应的功能,例如安全策略的自动修复等等。通讯模块205用于服务器200与外部设备,例如终端或者其他服务器之间的通讯,可包括无线通讯单元和有线通讯单元。另外,图2示出的服务器各组件并不限定服务器200的结构,该服务器200还可具有其他组件,例如电源等等。
上述服务器200可包括本地服务器,也可以包括web服务器,当然还可包括云服务器。而且该服务器200可以为单一服务器,也可以多个服务器组成的服务器群。
基于上述服务器,本发明提出了一种安全策略的自动修复装置第一实施例。如图3所示,该安全策略自动修复装置包括:
受限信息获取模块110,用于获取终端上的操作权限受限情况;
受限匹配模块120,用于将受限情况与预设的策略库进行匹配,获得该受限情况的安全策略;
策略更新通知模块130,用于在安全策略中该受限情况为允许时,下发策略更新通知。
终端100在自身的系统应用运行过程中,或者第三方应用的运行过程中,若发生权限受限制,则将该受限制的情况记录在终端100上。例如,若终端100上基于selinux安全策略运行,则该终端在运行过程中的受限制的情况将存储在终端系统log的/proc/kmsg文件中。而且,该受限制的情况具有统一的格式,例如以avc:denied开头。假设终端在运行untrusted_app,并打开app_data_file的文件时,被终端的安全策略拒绝,此时终端100将记录其对应受限制的情况,如下:
avc:denied{open}for pid=2277comm="pool-5-thread-1"path="/data/data/com.tencent.android.qqdownloader/app_plugin_dir_com.tencent.assistant.root_krsdk/kd"dev="mmcblk0p28"ino=138479scontext=u:r:untrusted_app:s0tcontext=u:object_r:app_data_file:s0tclass=file
本实施例中,可以在终端100上设置监测装置,该监测装置将监测终端100上存储受限制的情况的存储位置,当该存储空间中存在变化时,将该存储空间中的变化,也就是所存储的受限制的情况,进行自动提取。终端100将提取的受限制的情况自动上传至服务器200。当然,该服务器200也可以实时监测终端100上存储受限制的情况的存储位置是否发生变化,当该存储空间中存在变化时,自动提取所存储的受限制的情况。
可以理解的是,终端100在发现运行过程中权限受限的情况时,也可以直接记录该权限受限的情况,并将该权限受限的情况直接上传至服务器200。
服务器200通过通讯模块205获取终端100上发生的权限受限情况,受限匹配模块120将该权限受限情况进行分析,提取该权限受限情况中的参数,并将该参数与预设的策略库进行匹配,以获得策略库中该权限受限情况的策略,例如允许、禁用、强制等等。当该策略库中该权限受限情况的策略为允许时,则下发策略更新通知至终端100,以供终端100根据该更新通知下载该策略,并在终端100上加载该策略,即可修复该受限情况,从而实现了安全策略的自动修复。
上述策略更新通知可以以短信息、链接地址、访问接口、即时消息等多种载体方式下发至终端100。
进一步地,如图4所示,上述受限匹配模块120可包括:
受限参数提取单元121,用于提取受限情况中待匹配的参数;
匹配单元122,用于将所提取的待匹配的参数与预设的策略库进行匹配,获得匹配的安全策略。
如前述统一格式的受限情况,受限参数提取单元121将提取受限情况中待匹配的参数。例如,上述终端在运行untrusted_app,并打开app_data_file的文件时,被终端的安全策略拒绝所对应的受限情况,受限参数提取单元121将从该受限情况中提取的待匹配的参数如下:
Source type:untrusted_app //受限对象
Target type:app_data_file //受限对象操作受限的文件
Class:file //文件属性
Permissions:open //操作
匹配单元122将受限参数提取单元121提取的待匹配的参数与预设的策略库进行匹配,获得匹配的安全策略。该安全策略可包括允许、强制、禁止等等。本实施例中,将该匹配过程利用一策略库对比系统来实现,该策略库对比系统具有输入接口,用于接收需要匹配的受限情况中的待匹配参数,即受限参数提取单元121提取的参数。该策略库对比系统还具有输出接口,用于输出匹配结果。该输出接口可以为显示屏,或者其他数据输出接口,以输出匹配结果。
如图5所示,若受限参数提取单元21提取的待匹配的参数与预设的策略库中的安全策略匹配成功,且该安全策略中允许该受限情况,则该策略库对比系统输出的结果为一条修复语句。如图6所示,若受限参数提取单元21提取的待匹配的参数与预设的策略库中的安全策略匹配失败,或者匹配成功的安全策略为禁用,则该策略库对比系统输出的结果为空。
进一步地,如图7所示,上述终端安全策略的自动修复装置还可包括:
策略下发模块140,用于根据策略下载请求,将匹配单元122所获得的安全策略下发至终端100。
具体地,用户收到该策略更新通知,可以根据该策略更新通知触发策略下载请求。终端100将策略下载请求发送至服务器200,服务器200根据策略下载请求,将匹配单元122所获得的安全策略下发至终端100。
进一步地,如图8所示,上述终端安全策略的自动修复装置还可包括:
策略合并模块150,用于根据策略下载请求,获取终端的当前版本对应的策略包,并将所获得的安全策略加入当前版本对应的策略包,形成新的策略包;
策略下发模块160,用于发送新的策略包至终端100。
具体地,用户收到该策略更新通知,可以根据该策略更新通知触发策略下载请求。终端100将策略下载请求发送至服务器200,服务器200的策略合成模块150根据策略下载请求,获取终端100的当前版本对应的策略包,并将所获得的安全策略,即策略库对比系统输出的修复语句,与当前版本对应的策略包进行合并,生成新的策略包;通过策略下发模块160将该新的策略包发送至终端100。终端100的当前版本可以由终端100上传权限受限情况时一并上传至服务器200,也可以与策略下载请求一并上传至服务器200,还可以由服务器200在需要时获取。
本发明实施例通过发现受限情况,根据预设的策略库对受限情况进行分析,若预设的策略库中该受限情况为允许,则下发新的策略至终端,以修复该受限情况。依次循环,周而复始,直到终端系统策略稳定,全程都不需要人工干预。因此本发明实施例实现了安全策略的自动修复,相对于现有技术,不但节省了人工成本、而且还使得安全策略得到了及时修复,提高了修复效率。
对应地,本发明提出一种终端安全策略的自动修复方法。如图9所示,该终端安全策略的自动修复方法包括以下步骤:
步骤S110、获取终端上的操作权限受限情况;
步骤S120、将受限情况与预设的策略库进行匹配,获得该受限情况的安全策略;
步骤S130、在安全策略中该受限情况为允许时,下发策略更新通知。
终端100在自身的系统应用运行过程中,或者第三方应用的运行过程中,若发生权限受限制,则将该受限制的情况记录在终端100上。例如,若终端100上基于selinux安全策略运行,则该终端在运行过程中的受限制的情况将存储在终端系统log的/proc/kmsg文件中。而且,该受限制的情况具有统一的格式,例如以avc:denied开头。假设终端在运行untrusted_app,并打开app_data_file的文件时,被终端的安全策略拒绝,此时终端100将记录其对应受限制的情况,如下:
avc:denied{open}for pid=2277comm="pool-5-thread-1"path="/data/data/com.tencent.android.qqdownloader/app_plugin_dir_com.tencent.assistant.root_krsdk/kd"dev="mmcblk0p28"ino=138479scontext=u:r:untrusted_app:s0tcontext=u:object_r:app_data_file:s0tclass=file
本实施例中,可以在终端100上设置监测装置,该监测装置将监测终端100上存储受限制的情况的存储位置,当该存储空间中存在变化时,将该存储空间中的变化,也就是所存储的受限制的情况,进行自动提取。终端100将提取的受限制的情况自动上传至服务器200。当然,该服务器200也可以实时监测终端100上存储受限制的情况的存储位置是否发生变化,当该存储空间中存在变化时,自动提取所存储的受限制的情况。
可以理解的是,终端100在发现运行过程中权限受限的情况时,也可以直接记录该权限受限的情况,并将该权限受限的情况直接上传至服务器200。
服务器200通过通讯模块205获取终端100上发生的权限受限情况,受限匹配模块120将该权限受限情况进行分析,提取该权限受限情况中的参数,并将该参数与预设的策略库进行匹配,以获得策略库中该权限受限情况的策略,例如允许、禁用、强制等等。当该策略库中该权限受限情况的策略为允许时,则下发策略更新通知至终端100,以供终端100根据该更新通知下载该策略,并在终端100上加载该策略,即可修复该受限情况,从而实现了安全策略的自动修复。
上述策略更新通知可以以短信息、链接地址、访问接口、即时消息等多种载体方式下发至终端100。
进一步地,如图10所示,上述步骤S120包括:
步骤S121、提取受限情况中待匹配的参数;
步骤S122、将所提取的待匹配的参数与预设的策略库进行匹配,获得匹配的安全策略。
如前述统一格式的受限情况,受限参数提取单元121将提取受限情况中待匹配的参数。例如,上述终端在运行untrusted_app,并打开app_data_file的文件时,被终端的安全策略拒绝所对应的受限情况,受限参数提取单元121将从该受限情况中提取的待匹配的参数如下:
Source type:untrusted_app //受限对象
Target type:app_data_file //受限对象操作受限的文件
Class:file //文件属性
Permissions:open //操作
匹配单元122将受限参数提取单元121提取的待匹配的参数与预设的策略库进行匹配,获得匹配的安全策略。该安全策略可包括允许、强制、禁止等等。本实施例中,将该匹配过程利用一策略库对比系统来实现,该策略库对比系统具有输入接口,用于接收需要匹配的受限情况中的待匹配参数,即受限参数提取单元121提取的参数。该策略库对比系统还具有输出接口,用于输出匹配结果。该输出接口可以为显示屏,或者其他数据输出接口,以输出匹配结果。
如图5所示,若受限参数提取单元21提取的待匹配的参数与预设的策略库中的安全策略匹配成功,且该安全策略中允许该受限情况,则该策略库对比系统输出的结果为一条修复语句。如图6所示,若受限参数提取单元21提取的待匹配的参数与预设的策略库中的安全策略匹配失败,或者匹配成功的安全策略为禁用,则该策略库对比系统输出的结果为空。
进一步地,如图11所示,上述步骤S130之后还包括:
步骤S140、根据策略下载请求,将所获得的安全策略下发至终端。
具体地,用户收到该策略更新通知,可以根据该策略更新通知触发策略下载请求。终端100将策略下载请求发送至服务器200,服务器200根据策略下载请求,将匹配单元122所获得的安全策略下发至终端100。
进一步地,如图12所示,上述步骤S130之后还包括:
步骤S150、根据策略下载请求,获取终端的当前版本对应的策略包,并将所获得的安全策略加入当前版本对应的策略包,形成新的策略包;
步骤S160、下发新的策略包至终端。
具体地,用户收到该策略更新通知,可以根据该策略更新通知触发策略下载请求。终端100将策略下载请求发送至服务器200,服务器200的策略合成模块150根据策略下载请求,获取终端100的当前版本对应的策略包,并将所获得的安全策略,即策略库对比系统输出的修复语句,与当前版本对应的策略包进行合并,生成新的策略包;通过策略下发模块160将该新的策略包发送至终端100。终端100的当前版本可以由终端100上传权限受限情况时一并上传至服务器200,也可以与策略下载请求一并上传至服务器200,还可以由服务器200在需要时获取。
以下将基于终端与服务器的交互过程对安全策略的自动修复过程进行具体描述。如图13所示,该自动修复过程可包括如下步骤:
步骤S301、终端100运行过程中,监测是否发生操作权限受限,并记录发生的操作权限受限情况;
步骤S302、终端100将记录的操作权限受限情况上传至服务器200;
步骤S303、服务器200将操作权限受限情况与预设的策略库进行比对;
步骤S304、当预设的策略库中允许该操作时,服务器200获取终端当前版本的策略包,并将预设的策略库中允许该操作的策略与终端当前版本的策略包合并,生成新的策略包;
步骤S305、服务器200将策略更新通知下发至终端100;
步骤S306、终端100根据策略更新通知,发送策略下载请求至服务器200;
步骤S307、服务器200下发所请求的策略包至所述终端100;
步骤S308、终端加载该策略包。
本发明实施例通过发现受限情况,根据预设的策略库对受限情况进行分析,若预设的策略库中该受限情况为允许,则下发新的策略至终端,以修复该受限情况。依次循环,周而复始,直到终端系统策略稳定,全程都不需要人工干预。因此本发明实施例实现了安全策略的自动修复,相对于现有技术,不但节省了人工成本、而且还使得安全策略得到了及时修复,提高了修复效率。
以上所述仅为本发明的优选实施例,并非因此限制其专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种终端安全策略的自动修复方法,其特征在于,所述终端安全策略的自动修复方法包括以下步骤:
获取终端上的操作权限受限情况;
将受限情况与预设的策略库进行匹配,获得该受限情况的安全策略;
在安全策略中该受限情况为允许时,下发策略更新通知。
2.如权利要求1所述的终端安全策略的自动修复方法,其特征在于,所述将受限情况与预设的策略库进行匹配,获得该受限情况的安全策略包括:
提取受限情况中待匹配的参数;
将所提取的待匹配的参数与预设的策略库进行匹配,获得匹配的安全策略。
3.如权利要求1或2所述的终端安全策略的自动修复方法,其特征在于,所述在安全策略中该受限情况为允许时,下发策略更新通知之后还包括:
根据策略下载请求,将所获得的安全策略下发至终端。
4.如权利要求1或2所述的终端安全策略的自动修复方法,其特征在于,所述在安全策略中该受限情况为允许时,下发策略更新通知之后还包括:
根据策略下载请求,获取终端的当前版本对应的策略包,并将所获得的安全策略加入当前版本对应的策略包,形成新的策略包;
下发新的策略包至终端。
5.一种终端安全策略的自动修复装置,其特征在于,所述终端安全策略的自动修复装置包括:
受限信息获取模块,用于获取终端上的操作权限受限情况;
受限匹配模块,用于将受限情况与预设的策略库进行匹配,获得该受限情况的安全策略;
策略更新通知模块,用于在安全策略中该受限情况为允许时,下发策略更新通知。
6.如权利要求5所述的终端安全策略的自动修复装置,其特征在于,所述受限匹配模块包括:
提取受限情况中待匹配的参数;
将所提取的待匹配的参数与预设的策略库进行匹配,获得匹配的安全策略。
7.如权利要求5或6所述的终端安全策略的自动修复装置,其特征在于,所述终端安全策略的自动修复装置还包括:
策略下发模块,用于根据策略下载请求,将所获得的安全策略下发至终端。
8.如权利要求5或6所述的终端安全策略的自动修复装置,其特征在于,所述终端安全策略的自动修复装置还包括:
策略合并模块,用于根据策略下载请求,获取终端的当前版本对应的策略包,并将所获得的安全策略加入当前版本对应的策略包,形成新的策略包;
策略下发模块,用于下发新的策略包至终端。
9.一种安全策略的自动修复系统,其特征在于,所述安全策略的自动修复系统包括终端和服务器;所述终端与服务器之间互相通讯,所述终端在运行过程中记录操作权限受限情况,并将所记录的操作权限受限情况上传至服务器;所述服务器根据预设的策略库,对终端上传的操作权限受限情况进行分析,若预设的策略库中允许该操作时,下发策略更新通知至终端;所述服务器包括如权利要求5-8任一项所述的自动修复装置。
10.如权利要求9所述的安全策略的自动修复系统,其特征在于,所述终端还用于:根据所述策略更新通知,向服务器发送策略下载请求;
所述服务器还用于:根据策略下载请求,将所获得的安全策略下发至终端;或者,
根据策略下载请求,获取终端的当前版本对应的策略包,并将所获得的安全策略加入当前版本对应的策略包,形成新的策略包;下发新的策略包至终端。
CN201510526652.3A 2015-08-25 2015-08-25 终端安全策略的自动修复方法和装置、系统 Active CN106485104B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510526652.3A CN106485104B (zh) 2015-08-25 2015-08-25 终端安全策略的自动修复方法和装置、系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510526652.3A CN106485104B (zh) 2015-08-25 2015-08-25 终端安全策略的自动修复方法和装置、系统

Publications (2)

Publication Number Publication Date
CN106485104A true CN106485104A (zh) 2017-03-08
CN106485104B CN106485104B (zh) 2020-12-01

Family

ID=58233150

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510526652.3A Active CN106485104B (zh) 2015-08-25 2015-08-25 终端安全策略的自动修复方法和装置、系统

Country Status (1)

Country Link
CN (1) CN106485104B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110943978A (zh) * 2019-11-14 2020-03-31 光通天下网络科技股份有限公司 安全策略的配置方法、装置、电子设备及介质
CN112328422A (zh) * 2020-11-06 2021-02-05 深圳市锐尔觅移动通信有限公司 异常修复方法、装置、电子设备及存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1766776A (zh) * 2005-09-28 2006-05-03 珠海金山软件股份有限公司 计算机软件安全漏洞修复装置和方法
CN101288084A (zh) * 2005-10-13 2008-10-15 株式会社Ntt都科摩 便携终端、访问控制管理装置以及访问控制管理方法
CN101616137A (zh) * 2008-06-26 2009-12-30 中兴通讯股份有限公司 主机安全接入方法、隔离方法及安全接入和隔离的系统
CN103313343A (zh) * 2012-03-13 2013-09-18 百度在线网络技术(北京)有限公司 一种用于实现用户访问控制的方法和设备
CN103546436A (zh) * 2012-07-13 2014-01-29 中兴通讯股份有限公司 一种安全控制方法及终端、云服务器
CN104517055A (zh) * 2013-10-01 2015-04-15 佳能株式会社 能够应用安全策略的图像处理装置及其控制方法
CN104683260A (zh) * 2013-11-29 2015-06-03 中国移动通信集团重庆有限公司 一种流量控制方法及系统
US20150189585A1 (en) * 2008-05-13 2015-07-02 At&T Mobility Ii Llc Exchange of access control lists to manage femto cell coverage

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1766776A (zh) * 2005-09-28 2006-05-03 珠海金山软件股份有限公司 计算机软件安全漏洞修复装置和方法
CN101288084A (zh) * 2005-10-13 2008-10-15 株式会社Ntt都科摩 便携终端、访问控制管理装置以及访问控制管理方法
US20150189585A1 (en) * 2008-05-13 2015-07-02 At&T Mobility Ii Llc Exchange of access control lists to manage femto cell coverage
CN101616137A (zh) * 2008-06-26 2009-12-30 中兴通讯股份有限公司 主机安全接入方法、隔离方法及安全接入和隔离的系统
CN103313343A (zh) * 2012-03-13 2013-09-18 百度在线网络技术(北京)有限公司 一种用于实现用户访问控制的方法和设备
CN103546436A (zh) * 2012-07-13 2014-01-29 中兴通讯股份有限公司 一种安全控制方法及终端、云服务器
CN104517055A (zh) * 2013-10-01 2015-04-15 佳能株式会社 能够应用安全策略的图像处理装置及其控制方法
CN104683260A (zh) * 2013-11-29 2015-06-03 中国移动通信集团重庆有限公司 一种流量控制方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
陈汇远: "计算机信息系统安全技术的研究及其应用", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110943978A (zh) * 2019-11-14 2020-03-31 光通天下网络科技股份有限公司 安全策略的配置方法、装置、电子设备及介质
CN112328422A (zh) * 2020-11-06 2021-02-05 深圳市锐尔觅移动通信有限公司 异常修复方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN106485104B (zh) 2020-12-01

Similar Documents

Publication Publication Date Title
CN109766696B (zh) 软件权限的设置方法及装置、存储介质、电子装置
US9247432B2 (en) Systems and methods for controlling network access
CN104079543A (zh) 智能家居系统监控权限的获取方法、装置和系统
CN103813330A (zh) 一种通信终端、系统以及权限管理方法
Pal et al. IoT technical challenges and solutions
CN103841560A (zh) 增强sim卡可靠性的方法及设备
US20160103716A1 (en) Method for using shared device in apparatus capable of operating two operating systems
CN110474870B (zh) 基于区块链的网络主动防御方法、系统及计算机可读存储介质
CN106169042A (zh) 管理权限的方法及装置
CN104035891A (zh) Android移动终端数据安全保护系统
KR102154736B1 (ko) 관계 정보를 이용한 접근 제어 방법 및 그 장치
CN106209847A (zh) 电力数据传输方法及装置
CN107846676A (zh) 基于网络切片安全架构的安全通信方法和系统
CN114244568B (zh) 基于终端访问行为的安全接入控制方法、装置和设备
CN106485104A (zh) 终端安全策略的自动修复方法和装置、系统
CN104850793A (zh) 一种安卓系统智能控制管理方法
CN104768204A (zh) 一种网络接入管理方法、可穿戴设备及系统
CN108833500B (zh) 服务调用方法、服务提供方法、数据传递方法和服务器
CN104639421A (zh) 一种基于智能电视的即时通信信息处理方法及系统
CN104270754A (zh) 一种用户识别卡鉴权方法和装置
CN108494749A (zh) Ip地址禁用的方法、装置、设备及计算机可读存储介质
CN111966994B (zh) 基于数据库的区块链鉴权方法、系统及存储介质
US20170243105A1 (en) Information processing apparatus, information processing method, and program
EP2515503A1 (en) Method of managing data sent to a secure element via a HTTP response message
CN103678972A (zh) 一种权限控制系统及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant