CN107066897A - 一种基于安全域的智能手机操作系统的应用软隔离方法 - Google Patents
一种基于安全域的智能手机操作系统的应用软隔离方法 Download PDFInfo
- Publication number
- CN107066897A CN107066897A CN201710244970.XA CN201710244970A CN107066897A CN 107066897 A CN107066897 A CN 107066897A CN 201710244970 A CN201710244970 A CN 201710244970A CN 107066897 A CN107066897 A CN 107066897A
- Authority
- CN
- China
- Prior art keywords
- application
- color
- security domain
- operation system
- smart phone
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/468—Specific access rights for resources, e.g. using capability register
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种基于安全域的智能手机操作系统的应用软隔离方法,所述方法通过将不同安全级别的应用进行着色,并控制进程间通信,实现应用程序的软件隔离。本发明用安全域技术来进行智能手机的应用隔离,可以应用到智能终端产品中,通过将不同安全级别的应用进行着色,并严格控制进程间通信,可以有效地防止如上介绍的种种漏洞,实现应用程序的软件隔离,保障应用程序中私密数据的安全。
Description
技术领域
本发明涉及安全域隔离技术领域,具体涉及一种基于安全域的智能手机操作系统的应用软隔离方法。
背景技术
定义1:安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域。
定义2:安全域是由在同一工作环境中、具有相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的IT要素的集合。
定义3:安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制盒边界控制策略的网络或系统。
目前比较流行的安全域划分方式为:根据业务划分、根据安全级别划分。针对不同行业由于业务不同,划分的方法也不同,划分的结果也不同。所以具体的安全域的划分应根据不同的行业、不同用户、不同需求结合自身在行业的经验积累来进行。最终的目的是达到对用户业务系统的全方位防护,满足用户的实际需求。
现有的嵌入式操作系统不能有效地实现对适用于不同场景的应用程序进行隔离的功能,主要是对于不同安全级应用的访问和通信做不到有效的隔离和保护,因此产生了许多严重的错误,如非法的数据访问以及无授权的数据通信等漏洞。
发明内容
本发明要解决的技术问题是:本发明针对应用数据的非法访问和进程间通信的种种漏洞问题,提供一种基于安全域的智能手机操作系统的应用软隔离方法。
本发明所采用的技术方案为:
一种基于安全域的智能手机操作系统的应用软隔离方法,所述方法通过将不同安全级别的应用进行着色,并严格控制进程间通信,可以有效地防止如上介绍的种种漏洞,实现应用程序的软件隔离,保障应用程序中私密数据的安全。
所述方法通过使用进程着色来实现软件隔离,进程着色通过四个模块实现,分别是应用颜色配置模块、进程着色模块、应用颜色数据库和进程间通信管理模块,其中:
应用颜色配置模块负责不同安全级的应用的颜色存储和配置;
进程着色模块负责对特定应用的进程着色。
所述应用颜色配置模块是由两个Activity组件组成:BrowseAppActivity和SettingColorActivity,其中BrowseAppActivity主要显示当前已安装的全部应用;用户点击显示于此的相应APP后,进入SettingColorActivity,用户在此页面下为该APP选择颜色,并将设置的颜色数据存储到应用颜色数据库中。
特定应用的进程着色所设置的颜色,对于该应用运行时产生的进程保持一致。
所述进程着色模块通过添加进程颜色变量,比如Linux内核中进程控制块需要在task_struct中需要添加color变量,用以便是此进程颜色,并添加API(应用程序接口),用以支持设置的进程的颜色。
所述进程间通信管理模块通过Binder的binder_transaction函数,由于此函数为进程间通信的必经之处,检查进程的color变量,判定通信的两个进程是否存在于同一个安全域中,如果不是,IPC通信将会被阻止。
IPC通信,进程间通信,Inter-Process Communication的缩写。
本发明的有益效果为:
本发明用安全域技术来进行智能手机的应用隔离,可以应用到智能终端产品中,通过将不同安全级别的应用进行着色,并严格控制进程间通信,可以有效地防止如上介绍的种种漏洞,实现应用程序的软件隔离,保障应用程序中私密数据的安全。
附图说明
图1为本发明实现的结构框图。
具体实施方式
下面根据说明书附图,结合具体实施方式对本发明进一步说明:
实施例1:
一种基于安全域的智能手机操作系统的应用软隔离方法,所述方法通过将不同安全级别的应用进行着色,并严格控制进程间通信,可以有效地防止如上介绍的种种漏洞,实现应用程序的软件隔离,保障应用程序中私密数据的安全。
实施例2
如图1所示,在实施例1的基础上,本实施例所述方法通过使用进程着色来实现软件隔离,进程着色通过四个模块实现,分别是应用颜色配置模块、进程着色模块、应用颜色数据库和进程间通信管理模块,其中:
应用颜色配置模块负责不同安全级的应用的颜色存储和配置;
进程着色模块负责对特定应用的进程着色。
实施例3
在实施例2的基础上,本实施例所述应用颜色配置模块是由两个Activity组件组成:BrowseAppActivity和SettingColorActivity,其中BrowseAppActivity主要显示当前已安装的全部应用;用户点击显示于此的相应APP后,进入SettingColorActivity,用户在此页面下为该APP选择颜色,并将设置的颜色数据存储到应用颜色数据库中。
实施例4
在实施例2的基础上,本实施例特定应用的进程着色所设置的颜色,对于该应用运行时产生的进程保持一致。
实施例5
在实施例2的基础上,本实施例所述进程着色模块通过添加进程颜色变量,比如Linux内核中进程控制块需要在task_struct中需要添加color变量,用以便是此进程颜色,并添加API(应用程序接口),用以支持设置的进程的颜色。
实施例6
在实施例2的基础上,本实施例所述进程间通信管理模块通过Binder的binder_transaction函数,由于此函数为进程间通信的必经之处,检查进程的color变量,判定通信的两个进程是否存在于同一个安全域中,如果不是,IPC通信将会被阻止。
IPC通信,进程间通信,Inter-Process Communication的缩写。
实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (6)
1.一种基于安全域的智能手机操作系统的应用软隔离方法,其特征在于,所述方法通过将不同安全级别的应用进行着色,并控制进程间通信,实现应用程序的软件隔离。
2.根据权利要求1所述的一种基于安全域的智能手机操作系统的应用软隔离方法,其特征在于,所述方法通过使用进程着色来实现软件隔离,进程着色通过四个模块实现,分别是应用颜色配置模块、进程着色模块、应用颜色数据库和进程间通信管理模块,其中:
应用颜色配置模块负责不同安全级的应用的颜色存储和配置;
进程着色模块负责对特定应用的进程着色。
3.根据权利要求2所述的一种基于安全域的智能手机操作系统的应用软隔离方法,其特征在于,所述应用颜色配置模块是由两个Activity组件组成:BrowseAppActivity和SettingColorActivity,其中BrowseAppActivity主要显示当前已安装的全部应用;用户点击显示于此的相应APP后,进入SettingColorActivity,用户在此页面下为该APP选择颜色,并将设置的颜色数据存储到应用颜色数据库中。
4.根据权利要求2所述的一种基于安全域的智能手机操作系统的应用软隔离方法,其特征在于,特定应用的进程着色所设置的颜色,对于该应用运行时产生的进程保持一致。
5.根据权利要求2所述的一种基于安全域的智能手机操作系统的应用软隔离方法,其特征在于,所述进程着色模块通过添加进程颜色变量,并添加API,用以支持设置的进程的颜色。
6.根据权利要求2所述的一种基于安全域的智能手机操作系统的应用软隔离方法,其特征在于,所述进程间通信管理模块通过Binder的binder_transaction函数,检查进程的color变量,判定通信的两个进程是否存在于同一个安全域中,如果不是,IPC通信将会被阻止。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710244970.XA CN107066897A (zh) | 2017-04-14 | 2017-04-14 | 一种基于安全域的智能手机操作系统的应用软隔离方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710244970.XA CN107066897A (zh) | 2017-04-14 | 2017-04-14 | 一种基于安全域的智能手机操作系统的应用软隔离方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107066897A true CN107066897A (zh) | 2017-08-18 |
Family
ID=59600002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710244970.XA Pending CN107066897A (zh) | 2017-04-14 | 2017-04-14 | 一种基于安全域的智能手机操作系统的应用软隔离方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107066897A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107506667A (zh) * | 2017-09-04 | 2017-12-22 | 济南浪潮高新科技投资发展有限公司 | 一种多任务物理隔离终端以及方法 |
-
2017
- 2017-04-14 CN CN201710244970.XA patent/CN107066897A/zh active Pending
Non-Patent Citations (1)
| Title |
|---|
| 王星 等: "Android平台的一种安全域隔离方法", 《第二十三届全国信息保密学术会议(IS2013)论文集》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107506667A (zh) * | 2017-09-04 | 2017-12-22 | 济南浪潮高新科技投资发展有限公司 | 一种多任务物理隔离终端以及方法 |
| CN107506667B (zh) * | 2017-09-04 | 2020-07-14 | 浪潮集团有限公司 | 一种多任务物理隔离终端以及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107153565B (zh) | 配置资源的方法及其网络设备 | |
| CN110348202B (zh) | 一种基于区块链智能合约的角色访问控制系统及方法 | |
| CN104239814B (zh) | 一种移动办公安全方法及系统 | |
| US20110318011A1 (en) | Tenant isolation in a multi-tenant cloud system | |
| CN103310153B (zh) | 一种基于Android平台的细粒度权限控制方法 | |
| CN105487916B (zh) | 一种桌面云环境下的虚拟机安全加固方法 | |
| CN103677935A (zh) | 一种应用程序的安装控制方法、系统及装置 | |
| CN106384045A (zh) | 基于应用程序虚拟化的安卓存储应用沙箱及通信方法 | |
| CN104320391A (zh) | 云端认证方法及系统 | |
| Chandrakala et al. | Migration of Virtual Machine to improve the Security in Cloud Computing. | |
| CN109586963A (zh) | 一种云仿真平台安全保障系统、服务器、终端以及方法 | |
| CN110933015B (zh) | 数据传输方法、装置和系统 | |
| CN106096450A (zh) | 一种应用程序冻结方法及移动终端 | |
| CN103997502A (zh) | 一种基于云计算数据中心安全增强模型的设计方法 | |
| CN104935580A (zh) | 基于云平台的信息安全控制方法和系统 | |
| CN106341369A (zh) | 安全控制方法及装置 | |
| CN104281803A (zh) | 一种系统权限管理方法和设备 | |
| CN109327471A (zh) | 一种漏洞发现与应急验证实现方法 | |
| CN104796432A (zh) | 一种数据保护方法及安全堡垒机 | |
| CN106484538A (zh) | 一种终端设备的内存控制方法、装置及终端设备 | |
| CN104270754A (zh) | 一种用户识别卡鉴权方法和装置 | |
| CN103763370B (zh) | 一种更改移动终端工作区锁屏密码的方法、系统及装置 | |
| CN103885784B (zh) | 具有安全模块可插拔功能的Android平台构建方法 | |
| CN107066897A (zh) | 一种基于安全域的智能手机操作系统的应用软隔离方法 | |
| CN103761126B (zh) | 应用程序的升级方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170818 |
|
| RJ01 | Rejection of invention patent application after publication |