CN108062483B - 一种应用对系统资源进行访问的方法、装置及终端 - Google Patents

一种应用对系统资源进行访问的方法、装置及终端 Download PDF

Info

Publication number
CN108062483B
CN108062483B CN201610984632.5A CN201610984632A CN108062483B CN 108062483 B CN108062483 B CN 108062483B CN 201610984632 A CN201610984632 A CN 201610984632A CN 108062483 B CN108062483 B CN 108062483B
Authority
CN
China
Prior art keywords
application
user environment
security
security context
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610984632.5A
Other languages
English (en)
Other versions
CN108062483A (zh
Inventor
赵海燕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN201610984632.5A priority Critical patent/CN108062483B/zh
Publication of CN108062483A publication Critical patent/CN108062483A/zh
Application granted granted Critical
Publication of CN108062483B publication Critical patent/CN108062483B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明的实施例提供一种应用对系统资源进行访问的方法、装置及终端,其中方法包括:获取应用的操作控制请求;根据所述应用的操作控制请求,确定所述应用将要运行的用户环境;从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文,其中,所述系统中预先配置的多个安全上下文分别对应不同的用户环境,且所述多个安全上下文分别对应的系统资源访问权限互不相同;根据所述用户环境对应的安全上下文对应的系统资源访问权限,对系统资源进行访问处理。本发明的方案可以对同一个应用在不同用户下分别进行应用行为控制。

Description

一种应用对系统资源进行访问的方法、装置及终端
技术领域
本发明涉及终端的应用对系统资源的访问控制处理技术领域,特别是指一种应用对系统资源进行访问的方法、装置及终端。
背景技术
目前,随着智能终端的日益普及和功能越来越强大,智能终端上可以安装各种各样的应用,各种应用广泛使用在私人生活和人们的日常工作中。多种多样的应用给人们带来生活工作便利的同时,也带来了风险。企业办公软件,各种工具软件和个人应用软件都可以在系统内同时运行。个人用户有顾虑,怕企业应用随意窃取个人隐私,如个人照片,个人社交信息等。企业也有顾虑,怕个人随意安装恶意应用,窃取和泄露企业信息。多用户的使用场景越来越普遍,通常企业应用和个人应用会分别安装使用在不同的用户下,企业应用会安装使用在企业用户下,个人应用会安装使用在个人用户下。
有时,同一个工具软件,既可以使用在个人用户下,也可以使用在企业用户下。但在不同的使用场景下,需要具备不同的系统资源使用权限。例如微信,既可以作为普通的社交软件在个人用户下使用,也非常便于工作交流,企业也希望在企业用户下安装使用微信。在个人用户下使用时,微信可以具备各种社交软件所具备的功能,如拍摄,录音等。在企业用户下使用时,企业出于安全的考虑,需要限制微信的某些功能,如禁止摄像,禁止录音,禁止和其他非企业应用软件进行交互等。类似的,很多工具软件,也有同时在个人用户下和企业用户下使用的需要,但通常企业又对该软件进行资源访问权限有特殊的管理要求。
现有的技术方案是针对应用的属性,进行安全策略的管控,控制运行的应用对各种资源的访问权限。同一个应用,对资源的访问权限的安全策略控制是固定的。如在安全策略上,或者是限制微信应用使用摄像功能,或者是允许微信应用使用摄像功能,不能做到有时限制,有时允许。针对个人用户和企业用户在安全策略上的不同资源访问权限的管理需求,通常的技术方案是选择不同的应用,安装使用在不同的用户下。企业用户下安装和使用企业应用,从安全策略上限制企业应用对资源的访问权限,个人用户下安装和使用个人应用,从安全策略上不限制个人应用的资源使用权限。从安全策略上,对不同的应用赋予不同的资源使用权限和规定不同的应用之间的访问限制,来达到个人应用和企业应用之间互相隔离,分别管理,安全使用的目的。
目前的技术方案给人们带来了一定的不便利性,软件在对系统资源访问权限控制的安全策略上,通常是针对不同的应用软件,赋予不同的资源使用权限,某个固定的软件,运行时所具有的资源访问权限是固定的。例如,如果按个人用户对微信的需求,从安全策略上不限制微信对各种资源的使用权限,微信在个人域下运行时所具有的所有功能,微信在企业域下运行时,也会具有同样的资源使用权限,企业无法对微信进行控制。如果按企业用户对微信的安全策略配置,限制微信的相关功能,微信在个人用户下的使用也会被限制。这种根据应用属性的权限配置方式,很难解决同一个应用软件,在个人用户下和企业用户下,根据个人和企业的不同使用场景,需要动态配置不同的安全策略,动态的限制资源使用权限的问题。这种针对同一个应用软件,配置固定的资源访问权限的解决方式,给用户和企业都带来了一定的不便利性。对于个人用户和企业用户,在需要满足同一个功能,但是需要对软件做不同的资源访问限制时,不能安装同一个软件,需要安装不同的应用软件,对不同的软件分别进行限制,甚至是单独开发企业应用软件。
同时,个人应用只安装在个人用户下,企业应用只安装在企业用户下的使用方式,也给用户的使用上带来了不便。如用户在企业用户下进行办公时,同时也需要使用一些个人的软件,如个人的社交软件或工具软件,就必须切换到个人用户下,才能查看信息和使用。同样,如果用户在个人用户下使用个人软件时,也无法使用企业应用的功能,需要来回切换用户,用户体验比较差。
发明内容
本发明提供了一种应用对系统资源进行访问的方法、装置及终端,可以对同一个应用在不同用户下分别进行应用行为控制,达到不同的用户下,使用同一个应用,但是应用对系统资源的访问权限是不同的使用目的。
为解决上述技术问题,本发明的实施例提供如下方案:
一种应用对系统资源进行访问的方法,包括:
获取应用的操作控制请求;
根据所述应用的操作控制请求,确定所述应用将要运行的用户环境;
从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文,其中,所述系统中预先配置的多个安全上下文分别对应不同的用户环境,且所述多个安全上下文分别对应的系统资源访问权限互不相同;
根据所述用户环境对应的安全上下文对应的系统资源访问权限,对系统资源进行访问处理。
其中,根据所述应用的操作控制请求,确定所述应用将要运行的用户环境的步骤包括:
若所述操作控制请求携带有预先指定的所述应用将要运行的第一用户环境信息,则确定所述第一用户环境为所述应用将要运行的用户环境;或者
若所述操作控制请求没有携带有预先指定的所述应用将要运行的第一用户环境信息,则确定所述系统中当前运行的用户环境为所述应用将要运行的用户环境。
其中,从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文的步骤包括:
根据应用的应用信息以及确定的所述应用将要运行的用户环境的信息,从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文。
其中,所述操作控制请求为应用的安装请求或者启动所述应用对应的进程的操作控制请求。
其中,所述操作控制请求为应用的安装请求时,根据所述用户环境对应的安全上下文对应的系统资源访问权限,对系统资源进行访问处理的步骤包括:
将所述用户环境对应的安全上下文,安装到所述用户环境中的安装目录中,并根据所述安全上下文中配置的系统资源访问权限,对系统资源进行访问处理。
其中,所述操作控制请求为启动所述应用对应的进程的操作控制请求时,根据所述用户环境对应的安全上下文对应的系统资源访问权限,对系统资源进行访问处理的步骤包括:
根据所述用户环境对应的安全上下文,启动该应用对应的进程,并根据所述安全上下文对应的系统资源访问权限,对系统资源进行访问处理。
其中,所述用户环境企业用户环境和个人用户环境;
多个安全上下文包括:
安装在个人用户环境下的应用在个人用户环境中运行时对应的第一安全上下文;
安装在个人用户环境下的应用在企业用户环境中运行时对应的第二安全上下文;
安装在企业用户环境下的应用在企业用户环境中运行时对应的第三安全上下文;
安装在企业用户环境下的应用在个人用户环境中运行时对应的第四安全上下文;
其中,第一安全上下文、第二安全上下文、第三安全上下文以及第四安全上下文分别对应的系统资源访问权限互不相同。
其中,方法还包括:
获取安全策略更新数据;
根据所述安全策略更新数据,重新对不同的用户环境进行安全上下文配置。
本发明的实施例还提供一种应用对系统资源进行访问的装置,包括:
应用管理模块,用于获取应用的操作控制请求;
用户环境管理模块,用于根据所述应用的操作控制请求,确定所述应用将要运行的用户环境;
安全上下文管理模块,用于从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文,其中,所述系统中预先配置的多个安全上下文分别对应不同的用户环境,且所述多个安全上下文分别对应的系统资源访问权限互不相同;
访问控制模块,用于根据所述用户环境对应的安全上下文对应的系统资源访问权限,对系统资源进行访问处理。
其中,所述用户环境管理模块具体用于:若所述操作控制请求携带有预先指定的所述应用将要运行的第一用户环境信息,则确定所述第一用户环境为所述应用将要运行的用户环境;或者
若所述操作控制请求没有携带有预先指定的所述应用将要运行的第一用户环境信息,则确定所述系统中当前运行的用户环境为所述应用将要运行的用户环境。
其中,安全上下文管理模块具体用于:根据应用的应用信息以及确定的所述应用将要运行的用户环境的信息,从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文。
其中,应用管理模块包括:
应用安装模块,用于获取应用的安装请求;
进程管理模块,用于获取启动所述应用对应的进程的操作控制请求。
其中,所述操作控制请求为应用的安装请求时,所述访问控制模块具体用于:将所述用户环境对应的安全上下文,安装到所述用户环境中的安装目录中,并根据所述安全上下文中配置的系统资源访问权限,对系统资源进行访问处理。
其中,所述操作控制请求为启动所述应用对应的进程的操作控制请求时,所述访问控制模块具体用于:根据所述用户环境对应的安全上下文,启动该应用对应的进程,并根据所述安全上下文对应的系统资源访问权限,对系统资源进行访问处理。
其中,所述用户环境企业用户环境和个人用户环境;
多个安全上下文包括:
安装在个人用户环境下的应用在个人用户环境中运行时对应的第一安全上下文;
安装在个人用户环境下的应用在企业用户环境中运行时对应的第二安全上下文;
安装在企业用户环境下的应用在企业用户环境中运行时对应的第三安全上下文;
安装在企业用户环境下的应用在个人用户环境中运行时对应的第四安全上下文;
其中,第一安全上下文、第二安全上下文、第三安全上下文以及第四安全上下文分别对应的系统资源访问权限互不相同。
其中,装置还包括:安全策略更新模块,用于获取安全策略更新数据;
安全策略管理模块,用于根据所述安全策略更新数据,对不同的用户环境进行安全上下文配置。
本发明的实施例还提供一种终端,包括如上所述的装置。
本发明的上述方案至少包括以下有益效果:
本发明的上述方案,通过获取应用的操作控制请求;根据所述应用的操作控制请求,确定所述应用将要运行的用户环境;从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文,其中,所述系统中预先配置的多个安全上下文分别对应不同的用户环境,且所述多个安全上下文分别对应的系统资源访问权限互不相同;根据所述用户环境对应的安全上下文对应的系统资源访问权限,对系统资源进行访问处理。可以对同一个应用在不同用户下分别进行应用行为控制,达到不同的用户下,使用同一个应用,但是应用对系统资源的访问权限是不同的使用目的。
附图说明
图1为本发明的应用对系统资源进行访问的系统示意图;
图2为本发明的应用对系统资源进行访问的方法流程示意图;
图3为本发明的应用安装流程示意图;
图4为本发明的应用的进程启动的流程示意图;
图5为本发明的安全策略更新流程示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
如图1所示,本发明的实施例还提供一种应用对系统资源进行访问的装置,包括:
应用管理模块,用于获取应用的操作控制请求;
用户环境管理模块,用于根据所述应用的操作控制请求,确定所述应用将要运行的用户环境;
安全上下文管理模块,用于从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文,其中,所述系统中预先配置的多个安全上下文分别对应不同的用户环境,且所述多个安全上下文分别对应的系统资源访问权限互不相同;
访问控制模块,用于根据所述用户环境对应的安全上下文对应的系统资源访问权限,对系统资源进行访问处理。
本发明的上述方案,通过获取应用的操作控制请求;根据所述应用的操作控制请求,确定所述应用将要运行的用户环境;从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文,其中,所述系统中预先配置的多个安全上下文分别对应不同的用户环境,且所述多个安全上下文分别对应的系统资源访问权限互不相同;根据所述用户环境对应的安全上下文对应的系统资源访问权限,对系统资源进行访问处理。可以对同一个应用在不同用户下分别进行应用行为控制,达到不同的用户下,使用同一个应用,但是应用对系统资源的访问权限是不同的使用目的。
其中,所述用户环境管理模块具体用于:若所述操作控制请求携带有预先指定的所述应用将要运行的第一用户环境信息,则确定所述第一用户环境为所述应用将要运行的用户环境;或者
若所述操作控制请求没有携带有预先指定的所述应用将要运行的第一用户环境信息,则确定所述系统中当前运行的用户环境为所述应用将要运行的用户环境。
其中,安全上下文管理模块具体用于:根据应用的应用信息以及确定的所述应用将要运行的用户环境的信息,从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文。其中,应用的应用信息具体可以是应用的安装包的包名信息、应用的签名信息等。
其中,应用管理模块包括:
应用安装模块,用于获取应用的安装请求;
进程管理模块,用于获取启动所述应用对应的进程的操作控制请求。
当然,该应用管理模块还是实现对应用的其他操作控制请求,例如,对应用的卸载、升级等。
本发明的一具体实施例中,所述操作控制请求为应用的安装请求时,所述访问控制模块具体用于:将所述用户环境对应的安全上下文,安装到所述用户环境中的安装目录中,并根据所述安全上下文中配置的系统资源访问权限,对系统资源进行访问处理。
具体的安装流程如图3所示,具体包括:
步骤1,终端内的应用进行应用安装操作,向应用安装模块传入应用安装包。
步骤2,应用安装模块根据应用安装包解析应用的信息,如包名,签名等信息。
步骤3,若应用安装操作指定该应用安装到哪个用户下,直接到步骤5。否则,缺省安装到当前用户下。应用安装模块向用户环境管理模块获取当前系统运行的用户信息。
步骤4,用户环境管理模块向应用安装模块返回当前系统运行在哪个用户下。
步骤5,应用安装模块把用户信息,应用安装包信息传入安全上下文管理模块,向安全上下文管理模块请求该应用在当前用户下的安装目录的安全上下文。
步骤6,安全上下文管理模块向应用安装模块返回应用在本用户下的安全上下文信息。
步骤7,应用安装模块根据返回的安全上下文信息把应用正确安装到该用户下,赋予应用安装目录在文件系统中正确的安全上下文。
本发明的另一实施例中,所述操作控制请求为启动所述应用对应的进程的操作控制请求时,所述访问控制模块具体用于:根据所述用户环境对应的安全上下文,启动该应用对应的进程,并根据所述安全上下文对应的系统资源访问权限,对系统资源进行访问处理。
具体的进程启动流程如图4所示,包括:
步骤1,终端进行启动应用的操作。
步骤2,进程管理模块向用户环境管理模块获取当前系统运行的用户信息。
步骤3,用户环境管理模块向进程管理模块返回当前系统运行在哪个用户下。
步骤4,进程管理模块向应用安装模块获取相应的应用信息,如应用的签名等。
步骤5,应用安装模块向进程管理模块返回应用信息。
步骤6,进程管理模块向安全上下文管理模块获取要启动的应用在当前用户下的安全上下文。
步骤7,安全上下文管理模块返回该应用在当前用户下的安全上下文。
步骤8,进程管理模块启动进程,并赋予进程正确的安全上下文。
本发明的上述实施例中,所述用户环境企业用户环境和个人用户环境;
多个安全上下文包括:安装在个人用户环境下的应用在个人用户环境中运行时对应的第一安全上下文;
安装在个人用户环境下的应用在企业用户环境中运行时对应的第二安全上下文;
安装在企业用户环境下的应用在企业用户环境中运行时对应的第三安全上下文;
安装在企业用户环境下的应用在个人用户环境中运行时对应的第四安全上下文;
其中,第一安全上下文、第二安全上下文、第三安全上下文以及第四安全上下文分别对应的系统资源访问权限互不相同。
本发明的又一具体实施例中,装置还包括:安全策略更新模块,用于获取安全策略更新数据;具体可以从企业安全策略管理平台的安全策略更新模块获取安全策略更新数据;
安全策略管理模块,用于根据所述安全策略更新数据,对不同的用户环境进行安全上下文配置。
具体的策略更新流程如图5所示,包括:
步骤1,企业安全策略管理平台向终端推送安全策略更新,包括应用安全上下文配置更新和安全策略更新。
步骤2,安全策略更新模块收到安全策略更新,把应用安全上下文配置发送给安全上下文管理模块进行更新。
步骤3,安全上下文管理模块进行系统内应用安全上下文配置的更新,更新完毕后,通知安全策略更新模块。
步骤4,安全策略更新模块把安全策略发送给安全策略管理模块进行安全策略更新。
步骤5,安全策略管理模块重新启动终端系统进行安全策略更新。
步骤6,终端系统重新启动后,安全策略管理模块把更新后的安全策略加载进系统内核,更新完毕后,通知安全策略更新模块。
步骤7,安全策略更新模块通知应用安装模块,重新进行系统内应用安装目录的安全上下文配置。
步骤8,应用安装模块扫描系统内所有用户下已安装的应用,按用户重新配置应用安装目录的安全上下文。查询应用安全上下文并进行配置的过程同前文所述的应用安装过程,在此不再重复描述。
步骤9,应用安装模块配置完成后,向安全策略更新模块发送应用安装更新完毕。至此,系统安全策略更新完毕,系统启动完毕,可以正常使用。
步骤10,安全策略更新模块,通知企业安全策略管理平台,安全策略更新成功。
本发明的实施例还提供一种终端,包括如上所述的装置,所述终端还包括:内核,用于加载安全策略以及相关的安全上下文等,保证应用在当前用户环境下正常运行。
本发明的上述实施例通过为同一个应用在不同用户下运行时配置不同的安全上下文,不同的安全上下文对应于不同的资源访问限制,可以实现对同一个应用在不同用户下分别进行应用行为控制,达到不同的用户下,使用同一个应用,但是应用对系统资源的访问权限是不同的使用目的。
同时可以根据需要,通过配置不同的安全上下文的资源访问情况,灵活配置不同的个人应用和企业应用之间的互相访问策略和个人应用/企业应用在不同的用户下,对系统资源不同的访问限制,使得个人应用和企业应用可以同时安装在同一个用户下,应用之间既可以互相隔离,又可以进行有控制的互相访问。
另外,还可以进一步对个人应用和企业应用进行再次细分,根据细分的分类进行安全上下文配置和针对不同的安全上下文进行灵活的安全策略配置,来达到针对不同的需求,灵活管理,方便使用的目的,可以实现多种不同层次的系统安全的需求,适应多种不同的企业应用和个人应用的交互使用场景。
下在再结合图1,描述上述装置的具体实现场景,一个操作系统下的多用户系统,系统内运行的应用可以分为不同的分类。
为描述方便起见,以下描述以只有两个用户的系统为例。应用的分类,也只简单的分成个人应用和企业应用两类,如下图(P1,P2为个人应用,E1,E2为企业应用)。更多的应用分类和两个应用分类的基本原理也是一致的。
终端的应用安装模块:负责处理应用安装请求。
应用安装模块和用户环境管理模块、安全上下文管理模块进行交互,获取正确的应用安全上下文后,进行安装应用。同时,在安全策略更新时,负责更新系统内已安装应用的安全上下文。
用户环境管理模块:负责记录和管理系统内当前运行的用户。
进程管理模块:负责处理启动应用进程。
进程管理模块和用户环境管理模块、安全上下文管理模块进行交互,获取正确的应用安全上下文后,启动应用进程。
安全上下文管理模块:负责管理不同应用在不同用户下的安全上下文配置,相应其他模块的查询应用安全上下文的请求。同时,在安全策略更新时,负责更新系统内应用安全上下文的配置。
安全策略管理模块:负责管理不同安全上下文的安全策略的配置,向内核加载安全策略。
安全策略更新模块:负责接收企业安全策略管理平台的安全策略更新的信息(主要包含应用安全上下文配置,安全策略配置),更新终端系统的安全策略。
企业安全策略配置管理平台的主要功能是,当企业用户安全上下文配置需要更新和不同应用安全上下文的安全策略配置需要更新时,向终端推送安全上下文配置更新和安全策略配置更新。
如果企业无更新的需求,企业的应用安全上下文配置和安全策略配置可以直接预置到系统中,无需平台进行安全策略更新的操作。因此,本系统也可以不包含企业安全策略配置管理平台。
终端中的应用安全上下文配置文件,指定了不同的应用在不同用户下的安全上下文的定义,可以根据企业的需要作任意规则的定制。可以是任意形式的文件,可以用任意的语法语义来表示规则。应用安全上下文配置文件可以由系统预置或由企业安全策略配置管理平台进行配置和修改。
为方便理解应用安全上下文配置和安全策略配置,现举例如下:
应用安全上下文定义举例如下:
personal:个人应用在个人用户下的安全上下文
untrust_e:企业应用在个人用户下的安全上下文
enterprise:企业应用在企业用户下的安全上下文
untrust_p:个人应用在企业用户下的安全上下文
用户安全上下文配置文件示例如下:
Figure BDA0001148692970000121
Figure BDA0001148692970000131
安全策略配置文件,是根据SELinux安全策略的语法和语义进行书写,加载到系统内核中。
现对安全策略配置中不同安全上下文对资源的访问限制举例描述如下:
personal安全上下文在个人用户下可以使用系统的相机资源和网络资源,不可以使用untrust_e安全上下文的应用提供的资源和服务。
untrust_e安全上下文在个人用户下不可以使用系统的相机资源和网络资源,可以使用personal安全上下文的应用提供的资源和服务。
enterprise安全上下文在企业用户下可以使用系统的相机资源和网络资源,不可以使用untrust_p安全上下文的应用提供的资源和服务。
untrust_p安全上下文在企业用户下可以使用系统的相机资源,不可以使用网络资源,不可以和enterprise安全上下文的应用进行交互。
如下述表格所示:
Figure BDA0001148692970000132
Figure BDA0001148692970000141
Figure BDA0001148692970000142
当一个个人应用被安装在个人用户下时,运行时进程被赋予personal安全上下文,使用系统资源时,加载到内核中的安全策略根据personal安全上下文定义的规则进行匹配和限制。
当它被安装在企业用户下,运行时进程被赋予untrust_p安全上下文,使用系统资源时,加载到内核中的安全策略根据untrust_p安全上下文定义的规则进行匹配和限制。
当一个企业应用被安装在个人用户下时,运行时进程被赋予untrust_e安全上下文,使用系统资源时,加载到内核中的安全策略根据untrust_e安全上下文定义的规则进行匹配和限制。
当它被安装在企业用户下,运行时进程被赋予enterprise安全上下文,使用系统资源时,加载到内核中的安全策略根据enterprise安全上下文定义的规则进行匹配和限制。
本发明的上述实施例,对同一个应用在不同用户下配置不同的安全上下文,对应于不同的安全策略,可以实现对同一个应用在不同用户下分别进行应用行为控制。安全上下文和安全策略可以灵活配置,动态更新。通过对安全上下文和安全策略的不同配置,可以实现多种不同层次的系统安全的需求,满足不同的企业应用和个人应用访问系统资源和互相访问应用资源的需求,不同应用之间既可以有隔离,又可以根据需要有控制的进行交互。
本发明的上述实施例有较好的用户体验,可以方便的适应多种不同的企业应用和个人应用的交互使用场景。
如图2所示,本发明的实施例还提供一种应用对系统资源进行访问的方法,包括:
步骤21,获取应用的操作控制请求;
步骤22,根据所述应用的操作控制请求,确定所述应用将要运行的用户环境;
步骤23,从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文,其中,所述系统中预先配置的多个安全上下文分别对应不同的用户环境,且所述多个安全上下文分别对应的系统资源访问权限互不相同;
具体的,可以根据应用的应用信息以及确定的所述应用将要运行的用户环境的信息,从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文;
步骤24,根据所述用户环境对应的安全上下文对应的系统资源访问权限,对系统资源进行访问处理。
本发明的上述方案,通过获取应用的操作控制请求;根据所述应用的操作控制请求,确定所述应用将要运行的用户环境;从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文,其中,所述系统中预先配置的多个安全上下文分别对应不同的用户环境,且所述多个安全上下文分别对应的系统资源访问权限互不相同;根据所述用户环境对应的安全上下文对应的系统资源访问权限,对系统资源进行访问处理。可以对同一个应用在不同用户下分别进行应用行为控制,达到不同的用户下,使用同一个应用,但是应用对系统资源的访问权限是不同的使用目的。
其中,步骤22具体可以包括:
步骤221,若所述操作控制请求携带有预先指定的所述应用将要运行的第一用户环境信息,则确定所述第一用户环境为所述应用将要运行的用户环境;或者
步骤222,若所述操作控制请求没有携带有预先指定的所述应用将要运行的第一用户环境信息,则确定所述系统中当前运行的用户环境为所述应用将要运行的用户环境。
其中,所述操作控制请求为应用的安装请求或者启动所述应用对应的进程的操作控制请求。
其中,所述操作控制请求为应用的安装请求时,步骤24包括:将所述用户环境对应的安全上下文,安装到所述用户环境中的安装目录中,并根据所述安全上下文中配置的系统资源访问权限,对系统资源进行访问处理。
具体流程如图3所示,
步骤1,终端内的应用进行应用安装操作,向应用安装模块传入应用安装包。
步骤2,应用安装模块根据应用安装包解析应用的信息,如包名,签名等信息。
步骤3,若应用安装操作指定该应用安装到哪个用户下,直接到步骤5。否则,缺省安装到当前用户下。应用安装模块向用户环境管理模块获取当前系统运行的用户信息。
步骤4,用户环境管理模块向应用安装模块返回当前系统运行在哪个用户下。
步骤5,应用安装模块把用户信息,应用安装包信息传入安全上下文管理模块,向安全上下文管理模块请求该应用在当前用户下的安装目录的安全上下文。
步骤6,安全上下文管理模块向应用安装模块返回应用在本用户下的安全上下文信息。
步骤7,应用安装模块根据返回的安全上下文信息把应用正确安装到该用户下,赋予应用安装目录在文件系统中正确的安全上下文。
其中,所述操作控制请求为启动所述应用对应的进程的操作控制请求时,步骤24包括:
根据所述用户环境对应的安全上下文,启动该应用对应的进程,并根据所述安全上下文对应的系统资源访问权限,对系统资源进行访问处理。
具体流程如图4所示,
步骤1,终端进行启动应用的操作。
步骤2,进程管理模块向用户环境管理模块获取当前系统运行的用户信息。
步骤3,用户环境管理模块向进程管理模块返回当前系统运行在哪个用户下。
步骤4,进程管理模块向应用安装模块获取相应的应用信息,如应用的签名等。
步骤5,应用安装模块向进程管理模块返回应用信息。
步骤6,进程管理模块向安全上下文管理模块获取要启动的应用在当前用户下的安全上下文。
步骤7,安全上下文管理模块返回该应用在当前用户下的安全上下文。
步骤8,进程管理模块启动进程,并赋予进程正确的安全上下文。
本发明的上述实施例中,所述用户环境企业用户环境和个人用户环境;
多个安全上下文包括:
安装在个人用户环境下的应用在个人用户环境中运行时对应的第一安全上下文;
安装在个人用户环境下的应用在企业用户环境中运行时对应的第二安全上下文;
安装在企业用户环境下的应用在企业用户环境中运行时对应的第三安全上下文;
安装在企业用户环境下的应用在个人用户环境中运行时对应的第四安全上下文;
其中,第一安全上下文、第二安全上下文、第三安全上下文以及第四安全上下文分别对应的系统资源访问权限互不相同。
本发明的又一具体实施例中,方法还包括:
步骤25,获取安全策略更新数据;
步骤26,根据所述安全策略更新数据,重新对不同的用户环境进行安全上下文配置。
具体流程如图5所示,
步骤1,企业安全策略管理平台向终端推送安全策略更新,包括应用安全上下文配置更新和安全策略更新。
步骤2,安全策略更新模块收到安全策略更新,把应用安全上下文配置发送给安全上下文管理模块进行更新。
步骤3,安全上下文管理模块进行系统内应用安全上下文配置的更新,更新完毕后,通知安全策略更新模块。
步骤4,安全策略更新模块把安全策略发送给安全策略管理模块进行安全策略更新。
步骤5,安全策略管理模块重新启动终端系统进行安全策略更新。
步骤6,终端系统重新启动后,安全策略管理模块把更新后的安全策略加载进系统内核,更新完毕后,通知安全策略更新模块。
步骤7,安全策略更新模块通知应用安装模块,重新进行系统内应用安装目录的安全上下文配置。
步骤8,应用安装模块扫描系统内所有用户下已安装的应用,按用户重新配置应用安装目录的安全上下文。查询应用安全上下文并进行配置的过程同前文所述的应用安装过程,在此不再重复描述。
步骤9,应用安装模块配置完成后,向安全策略更新模块发送应用安装更新完毕。至此,系统安全策略更新完毕,系统启动完毕,可以正常使用。
步骤10,安全策略更新模块,通知企业安全策略管理平台,安全策略更新成功。
本发明的上述实施例中,同一个的应用在不同的用户下安装时,根据应用安全上下文配置,安装目录被赋予不同的安全上下文。
同一个的应用在不同的用户下运行时,根据应用安全上下文配置,启动的进程被赋予不同的安全上下文。
安全策略管理平台可以动态进行安全上下文和安全策略配置更新。配置更新后,系统自动重新加载安全策略,重新赋予所有已安装应用的安装目录更新后的安全上下文。
对于同一个应用,在不同的用户下运行的时候,是具备不同的系统资源访问权限的。对于系统资源访问权限的确定,是在应用运行是,根据运行时所在的用户不同而动态配置的,不是根据应用的不同,静态配置的。
本发明的上述实施例对同一个应用在不同用户下配置不同的安全上下文,对应于不同的安全策略,可以实现对同一个应用在不同用户下分别进行应用行为控制。本发明的实施例的技术方案灵活性高,安全上下文和安全策略可以灵活配置,动态更新。通过对安全上下文和安全策略的不同配置,可以实现多种不同层次的系统安全的需求,满足不同的企业应用和个人应用访问系统资源和互相访问应用资源的需求,不同应用之间既可以有隔离,又可以根据需要有控制的进行交互。有较好的用户体验,可以方便的适应多种不同的企业应用和个人应用的交互使用场景。以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (17)

1.一种应用对系统资源进行访问的方法,其特征在于,包括:
获取应用的操作控制请求;
根据所述应用的操作控制请求,确定所述应用将要运行的用户环境;
从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文,其中,所述系统中预先配置的多个安全上下文分别对应不同的用户环境,且所述多个安全上下文分别对应的系统资源访问权限互不相同,同一个应用在不同的用户下运行的时候,具备不同的系统资源访问权限;
根据所述用户环境对应的安全上下文对应的系统资源访问权限,对系统资源进行访问处理,其中,对于系统资源访问权限的确定,是在应用运行时,根据运行时所在的用户不同而动态配置的。
2.根据权利要求1所述的应用对系统资源进行访问的方法,其特征在于,根据所述应用的操作控制请求,确定所述应用将要运行的用户环境的步骤包括:
若所述操作控制请求携带有预先指定的所述应用将要运行的第一用户环境信息,则确定所述第一用户环境为所述应用将要运行的用户环境;或者
若所述操作控制请求没有携带有预先指定的所述应用将要运行的第一用户环境信息,则确定所述系统中当前运行的用户环境为所述应用将要运行的用户环境。
3.根据权利要求1所述的应用对系统资源进行访问的方法,其特征在于,从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文的步骤包括:
根据应用的应用信息以及确定的所述应用将要运行的用户环境的信息,从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文。
4.根据权利要求1所述的应用对系统资源进行访问的方法,其特征在于,所述操作控制请求为应用的安装请求或者启动所述应用对应的进程的操作控制请求。
5.根据权利要求4所述的应用对系统资源进行访问的方法,其特征在于,所述操作控制请求为应用的安装请求时,根据所述用户环境对应的安全上下文对应的系统资源访问权限,对系统资源进行访问处理的步骤包括:
将所述用户环境对应的安全上下文,安装到所述用户环境中的安装目录中,并根据所述安全上下文中配置的系统资源访问权限,对系统资源进行访问处理。
6.根据权利要求4所述的应用对系统资源进行访问的方法,其特征在于,所述操作控制请求为启动所述应用对应的进程的操作控制请求时,根据所述用户环境对应的安全上下文对应的系统资源访问权限,对系统资源进行访问处理的步骤包括:
根据所述用户环境对应的安全上下文,启动该应用对应的进程,并根据所述安全上下文对应的系统资源访问权限,对系统资源进行访问处理。
7.根据权利要求1所述的应用对系统资源进行访问的方法,其特征在于,所述用户环境企业用户环境和个人用户环境;
多个安全上下文包括:
安装在个人用户环境下的应用在个人用户环境中运行时对应的第一安全上下文;
安装在个人用户环境下的应用在企业用户环境中运行时对应的第二安全上下文;
安装在企业用户环境下的应用在企业用户环境中运行时对应的第三安全上下文;
安装在企业用户环境下的应用在个人用户环境中运行时对应的第四安全上下文;
其中,第一安全上下文、第二安全上下文、第三安全上下文以及第四安全上下文分别对应的系统资源访问权限互不相同。
8.根据权利要求1所述的应用对系统资源进行访问的方法,其特征在于,还包括:
获取安全策略更新数据;
根据所述安全策略更新数据,重新对不同的用户环境进行安全上下文配置。
9.一种应用对系统资源进行访问的装置,其特征在于,包括:
应用管理模块,用于获取应用的操作控制请求;
用户环境管理模块,用于根据所述应用的操作控制请求,确定所述应用将要运行的用户环境;
安全上下文管理模块,用于从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文,其中,所述系统中预先配置的多个安全上下文分别对应不同的用户环境,且所述多个安全上下文分别对应的系统资源访问权限互不相同,同一个应用在不同的用户下运行的时候,具备不同的系统资源访问权限;
访问控制模块,用于根据所述用户环境对应的安全上下文对应的系统资源访问权限,对系统资源进行访问处理,其中,对于系统资源访问权限的确定,是在应用运行时,根据运行时所在的用户不同而动态配置的。
10.根据权利要求9所述的应用对系统资源进行访问的装置,其特征在于,所述用户环境管理模块具体用于:
若所述操作控制请求携带有预先指定的所述应用将要运行的第一用户环境信息,则确定所述第一用户环境为所述应用将要运行的用户环境;或者
若所述操作控制请求没有携带有预先指定的所述应用将要运行的第一用户环境信息,则确定所述系统中当前运行的用户环境为所述应用将要运行的用户环境。
11.根据权利要求9所述的应用对系统资源进行访问的装置,其特征在于,安全上下文管理模块具体用于:
根据应用的应用信息以及确定的所述应用将要运行的用户环境的信息,从系统中预先配置的多个安全上下文中,获取所述用户环境对应的安全上下文。
12.根据权利要求9所述的应用对系统资源进行访问的装置,其特征在于,应用管理模块包括:
应用安装模块,用于获取应用的安装请求;
进程管理模块,用于获取启动所述应用对应的进程的操作控制请求。
13.根据权利要求12所述的应用对系统资源进行访问的装置,其特征在于,所述操作控制请求为应用的安装请求时,所述访问控制模块具体用于:
将所述用户环境对应的安全上下文,安装到所述用户环境中的安装目录中,并根据所述安全上下文中配置的系统资源访问权限,对系统资源进行访问处理。
14.根据权利要求12所述的应用对系统资源进行访问的装置,其特征在于,所述操作控制请求为启动所述应用对应的进程的操作控制请求时,所述访问控制模块具体用于:
根据所述用户环境对应的安全上下文,启动该应用对应的进程,并根据所述安全上下文对应的系统资源访问权限,对系统资源进行访问处理。
15.根据权利要求9所述的应用对系统资源进行访问的装置,其特征在于,所述用户环境企业用户环境和个人用户环境;
多个安全上下文包括:
安装在个人用户环境下的应用在个人用户环境中运行时对应的第一安全上下文;
安装在个人用户环境下的应用在企业用户环境中运行时对应的第二安全上下文;
安装在企业用户环境下的应用在企业用户环境中运行时对应的第三安全上下文;
安装在企业用户环境下的应用在个人用户环境中运行时对应的第四安全上下文;
其中,第一安全上下文、第二安全上下文、第三安全上下文以及第四安全上下文分别对应的系统资源访问权限互不相同。
16.根据权利要求9所述的应用对系统资源进行访问的装置,其特征在于,还包括:
安全策略更新模块,用于获取安全策略更新数据;
安全策略管理模块,用于根据所述安全策略更新数据,对不同的用户环境进行安全上下文配置。
17.一种终端,其特征在于,包括如权利要求9-权利要求16任一项所述的装置。
CN201610984632.5A 2016-11-09 2016-11-09 一种应用对系统资源进行访问的方法、装置及终端 Active CN108062483B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610984632.5A CN108062483B (zh) 2016-11-09 2016-11-09 一种应用对系统资源进行访问的方法、装置及终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610984632.5A CN108062483B (zh) 2016-11-09 2016-11-09 一种应用对系统资源进行访问的方法、装置及终端

Publications (2)

Publication Number Publication Date
CN108062483A CN108062483A (zh) 2018-05-22
CN108062483B true CN108062483B (zh) 2020-11-17

Family

ID=62137024

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610984632.5A Active CN108062483B (zh) 2016-11-09 2016-11-09 一种应用对系统资源进行访问的方法、装置及终端

Country Status (1)

Country Link
CN (1) CN108062483B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110673849B (zh) * 2019-08-14 2023-04-21 惠州市德赛西威智能交通技术研究院有限公司 一种批量预设置文件安全上下文的方法及装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101727555A (zh) * 2009-12-04 2010-06-09 苏州昂信科技有限公司 一种操作系统的访问控制方法及其实现平台
CN102300212B (zh) * 2011-08-08 2018-05-22 中兴通讯股份有限公司 一种实现资源个性化安全接入控制的方法和系统
US9449185B2 (en) * 2011-12-16 2016-09-20 Software Ag Extensible and/or distributed authorization system and/or methods of providing the same
CN102917346B (zh) * 2012-10-17 2015-01-07 浙江大学城市学院 一种基于Android的应用程序运行时安全策略管理系统及方法
CN103020498B (zh) * 2012-11-19 2016-06-22 广东亚仿科技股份有限公司 一种智能化动态权限控制方法和系统

Also Published As

Publication number Publication date
CN108062483A (zh) 2018-05-22

Similar Documents

Publication Publication Date Title
US9065771B2 (en) Managing application execution and data access on a device
US11132454B2 (en) Devices with profile-based operating mode controls
KR100607423B1 (ko) 사용허가를 이용한 장치자원의 애플리케이션으로의 할당
US7149510B2 (en) Security access manager in middleware
US9075955B2 (en) Managing permission settings applied to applications
US20130067564A1 (en) Access management system
KR20060089658A (ko) 애플리케이션 실행의 보안 관리 프로세스
KR101086793B1 (ko) 휴대형 장치 및 정보 관리 방법
US20070061482A1 (en) Information processing apparatus, communication control method, and communication control program
US7653032B2 (en) Applying wireless network connection profiles using windows management instrumentation
CA2829805C (en) Managing application execution and data access on a device
US20200195649A1 (en) Method for managing a cloud computing system
CN104462997A (zh) 一种保护移动终端上工作数据的方法、装置和系统
US20080183797A1 (en) Information Processing Method, Information Processing Apparatus, and Program Product
EP2950561B1 (en) Method and system for domain creation and bootstrapping
CA2830880C (en) Managing permission settings applied to applications
CN102810139A (zh) 数据安全操作方法及通信终端
EP2950505B1 (en) Method and system for administering multiple domain management authorities on a mobile device
CN108062483B (zh) 一种应用对系统资源进行访问的方法、装置及终端
JP2022535658A (ja) ユーザデバイスの遠隔管理
CN107182044B (zh) 一种移动终端及其蓝牙连接处理方法、及存储介质
Gupta et al. Enforcing security policies in mobile devices using multiple personas
CN111506899A (zh) 一种安全系统的权限管理方法和权限管理架构

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant