CN117272377A - 权限数据处理方法、装置及电子设备 - Google Patents

权限数据处理方法、装置及电子设备 Download PDF

Info

Publication number
CN117272377A
CN117272377A CN202311227864.2A CN202311227864A CN117272377A CN 117272377 A CN117272377 A CN 117272377A CN 202311227864 A CN202311227864 A CN 202311227864A CN 117272377 A CN117272377 A CN 117272377A
Authority
CN
China
Prior art keywords
data
authority
executable file
initial
memory space
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311227864.2A
Other languages
English (en)
Inventor
左红明
尉鲁飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zebred Network Technology Co Ltd
Original Assignee
Zebred Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zebred Network Technology Co Ltd filed Critical Zebred Network Technology Co Ltd
Priority to CN202311227864.2A priority Critical patent/CN117272377A/zh
Publication of CN117272377A publication Critical patent/CN117272377A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

本申请实施例提供了一种权限数据处理方法、装置及电子设备,所述方法包括获取应用编译后的初始可执行文件,获取应用的初始权限数据,并对初始权限数据进行编译处理,得到权限编译数据,对权限编译数据进行加密或签名处理,得到权限数据,并将权限数据存储至初始可执行文件中,得到可执行文件,根据可执行文件实现资源数据的访问。本申请可以对数据进行加密或签名处理,防止权限数据被篡改,提高了权限数据的安全性,实现了隐藏权限数据的效果,此外,还可以对权限数据段进行只读保护,进一步提高了权限数据的安全性,且用户态和内核态都可以高效的访问权限数据。

Description

权限数据处理方法、装置及电子设备
技术领域
本申请实施例涉及数据处理技术领域,尤其涉及一种权限数据处理方法、装置及电子设备。
背景技术
随着网络技术的发展,操作系统中拥有大量资源,且可以通过相关的权限信息实现对资源的访问控制。
现有技术中,权限信息一般存储于预设的软件包中,大部分进程都可以直接从软件包中获取权限信息,然后根据获取到的权限信息访问资源,或者对资源进行更新等操作。
然而,由于大部分进程都可以直接访问软件包中的权限信息,权限信息可能被恶意篡改,进而降低了资源数据的安全性。
发明内容
本申请实施例提供一种权限数据处理方法、装置及电子设备,以提高资源数据的安全性。
第一方面,本申请实施例提供一种权限数据处理方法,包括:
获取应用编译后的初始可执行文件;
获取所述应用的初始权限数据,并对所述初始权限数据进行编译处理,得到权限编译数据;
对所述权限编译数据进行加密或签名处理,得到权限数据,并将所述权限数据存储至所述初始可执行文件中,得到可执行文件;
根据所述可执行文件实现资源数据的访问。
可选的,所述根据所述可执行文件实现资源数据的访问,包括:
将所述可执行文件中的初始可执行文件加载至第一内存空间中;
将所述可执行文件中的权限数据加载至第二内存空间中;
根据加载至所述第一内存空间中的初始可执行文件,以及所述第二内存空间中的权限数据实现资源数据的访问。
可选的,所述将所述可执行文件中的权限数据加载至第二内存空间中,包括:
根据所述可执行文件中的链接脚本确定第二内存空间,其中,所述可执行文件为elf格式的文件;
将所述可执行文件中的权限数据加载至第二内存空间中。
可选的,所述根据所述可执行文件中的链接脚本确定第二内存空间,包括:
若所述链接脚本为自定义链表脚本,则在所述自定义链表脚本中添加第二内存空间;
若所述链接脚本为默认链表脚本,则更新所述默认链表脚本中的第二内存空间。
可选的,在所述根据加载至所述第一内存空间中的初始可执行文件,以及所述第二内存空间中的的权限数据实现资源数据的访问之前,还包括:
将所述第二内存空间的属性设置为只读属性。
可选的,所述对所述权限编译数据进行加密或签名处理,得到权限数据,包括:
通过对称密钥算法对所述权限编译数据进行加密处理,得到权限数据;
或者,通过数字签名算法对所述权限编译数据进行签名处理,得到权限数据。
第二方面,本申请实施例提供一种权限数据处理装置,包括:
获取模块,用于获取应用编译后的初始可执行文件;
所述获取模块,还用于获取所述应用的初始权限数据,并对所述初始权限数据进行编译处理,得到权限编译数据;
处理模块,用于对所述权限编译数据进行加密或签名处理,得到权限数据,并将所述权限数据存储至所述初始可执行文件中,得到可执行文件;
所述处理模块,还用于根据所述可执行文件实现资源数据的访问。
第三方面,本申请实施例提供一种电子设备,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如上第一方面以及第一方面各种可能的设计所述的权限数据处理方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,以实现如上第一方面以及第一方面各种可能的设计所述的权限数据处理方法。
第五方面,本申请实施例提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时,以实现如上第一方面以及第一方面各种可能的设计所述的权限数据处理方法。
本申请实施例提供了一种权限数据处理方法、装置及电子设备,采用上述方案后,可以先获取应用编译后的初始可执行文件,然后可以获取应用的初始权限数据,并对初始权限数据进行编译处理,得到权限编译数据,还可以对权限编译数据进行加密或签名处理,得到权限数据,并将权限数据存储至初始可执行文件中,得到可执行文件,后续可以根据可执行文件来实现资源数据的访问,通过对数据进行加密或签名处理,防止权限数据被篡改,提高了权限数据的安全性,实现了隐藏权限数据的效果,此外,还可以对权限数据段进行只读保护,进一步提高了权限数据的安全性,且用户态和内核态都可以高效的访问权限数据。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的权限数据处理方法的应用系统的架构示意图;
图2为本申请实施例提供的权限数据处理方法的流程示意图;
图3为本申请实施例提供的权限数据加密处理过程的应用示意图;
图4为本申请实施例提供的资源数据处理过程的流程示意图;
图5为本申请另一实施例提供的资源数据处理过程的流程示意图;
图6为本申请实施例提供的可执行文件的应用示意图;
图7为本申请实施例提供的权限数据加载过程的原理示意图;
图8为本申请实施例提供的权限数据加载过程的应用示意图;
图9为本申请实施例提供的权限数据处理装置的结构示意图;
图10为本申请实施例提供的电子设备的硬件结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例还能够包括除了图示或描述的那些实例以外的其他顺序实例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
现有技术中,资源可以有多种,示例性的,可以有文件资源、设备资源、中断、时钟、信号等。为了更好的对资源进行管控,可以通过权限信息来控制资源。权限信息一般存储于预设的软件包中(示例性的,可以为Fuchsia软件包),Fuchsia软件包是软件分发的单元,它是由一组文件构成,包括权限配置文件、元数据、零个或多个可执行文件(如组件)和资源等。大部分进程都可以直接从软件包中获取权限信息,然后根据获取到的权限信息访问资源,或者对资源进行更新等操作。例如,当软件包被安装时,权限配置文件被加载,系统通过url寻址访问权限配置文件,读取权限文件并将内容保存到进程的权限表中,进程访问某个资源时,需先从权限表中校验是否有某个资源的访问权限,如果有,则进行下一步操作。然而,存放于Fuchsia软件包中的权限数据可能存在被黑客恶意篡改的风险,即安装之后均可以通过url寻址到权限数据,恶意程序还可能篡改权限配置文件,使系统权限访问控制形同虚设,进而降低了资源数据的安全性。
基于上述技术问题,本申请通过将权限数据存储至可执行文件中的方式,得到的仍然是可执行文件的格式,进而实现了隐藏权限数据的效果,提高了权限数据的安全性,此外,还可以对数据进行加密或签名处理,达到了既防止权限数据被篡改,又提高了权限数据的安全性的技术效果。
图1为本申请实施例提供的权限数据处理方法的应用系统的架构示意图,如图1所示,在该应用系统中,可以包括操作系统以及应用。应用可以有多个,不同的应用可以实现不同的功能。针对每个应用,操作系统可以先对应用进行编译处理,得到应用的初始可执行文件,其中,初始可执行文件的格式为ELF格式。
此外,还可以获取应用的初始权限数据,并对初始权限数据进行编译处理,得到权限编译数据。然后可以对权限编译数据进行加密或签名处理,得到权限数据,并将权限数据存储至初始可执行文件中,得到可执行文件。后续可以根据可执行文件来实现资源数据的访问。
下面以具体地实施例对本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图2为本申请实施例提供的权限数据处理方法的流程示意图,本实施例的方法可以由操作系统执行。如图2所示,本实施例的方法,可以包括:
S201:获取应用编译后的初始可执行文件。
在本实施例中,在应用加载之前,可以先对应用进行编译处理,得到应用的初始可执行文件,后续可以加载该初始可执行文件实现对应的应用。其中,初始可执行文件的格式为ELF格式。
S202:获取应用的初始权限数据,并对初始权限数据进行编译处理,得到权限编译数据。
在本实施例中,每个应用对应一初始权限数据,在得到应用的初始权限数据之后,可以对初始权限数据也进行编译处理,得到权限数据。其中,初始权限数据中可以包含应用的自主能力数据、输出能力数据以及待申请能力数据。
S203:对权限编译数据进行加密或签名处理,得到权限数据,并将权限数据存储至初始可执行文件中,得到可执行文件。
在本实施例中,在将初始权限数据进行编译处理之后,可以将编译处理后的数据直接存储至初始可执行文件中。
此外,为了进一步提高资源数据的安全性,可以先对权限编译数据进行加密或签名处理,得到权限数据,然后再将权限数据存储至初始可执行文件中,得到可执行文件。
进一步的,所述对所述权限编译数据进行加密或签名处理,得到权限数据,具体可以包括:
通过对称密钥算法对所述权限编译数据进行加密处理,得到权限数据。
或者,通过数字签名算法对所述权限编译数据进行签名处理,得到权限数据。
具体的,为了提高数据的安全性,可以通过不同的方式来对权限编译数据进行加密处理。其中,可以通过对称密钥算法或者数字签名算法来对权限编译数据进行加密处理。
可选的,在通过对称密钥算法对权限编译数据进行加密处理时,可以选择对称密钥的国际密码算法或国密算法,示例性的,算法可以为AES算法、DES算法、SM4算法或者ZUC算法等。
可选的,还可以通过数字签名算法来对权限数据进行签名处理,可以使用数字签名工具对应用的权限数据进行数字签名,生成应用数字签名,也可称为权限数据。此外,还可以对当前应用的初始可执行文件以及权限数据整体进行数字签名,生成应用数字签名。然后可以将应用与生成的应用数字签名一起打包为一个镜像。其中,签名工具可以使用国际密码算法或国密算法。示例性的,可以使用RSA、ECC、SHA1、SHA2、SHA3、SM2、SM3、DSA、DH或x509等。
示例性的,图3为本申请实施例提供的权限编译数据加密处理过程的应用示意图,如图3所示,在该实施例中,可以将应用1的权限数据(也可以称为能力数据),与应用ELF(即应用的初始可执行文件)进行数字签名处理,进而合并为一个二进制镜像文件,即可执行文件。
S204:根据可执行文件实现资源数据的访问。
在本实施例中,在得到可执行文件之后,可以根据可执行文件来实现资源数据的访问,进而实现相关的应用。
可选的,在根据可执行文件来实现资源数据的访问时,对于不同加密方式的资源数据可以采用不同的方式来进行访问。
示例性的,图4为本申请实施例提供的资源数据处理过程的流程示意图,如图4所示,在该实施例中,权限数据为通过数字签名算法进行签名处理的,具体过程可以为:系统加载应用镜像,系统使用相应的密码算法对应用整体数据进行数字签名校验。如果签名校验通过则使用该应用的能力数据(即权限数据),否则拒绝使用该应用的能力数据,并报错。
此外,图5为本申请另一实施例提供的资源数据处理过程的流程示意图,如图5所示,在该实施例中,权限数据为通过对称密钥算法对权限数据进行加密处理的,具体过程可以为:系统加载应用时,可以加载加密后的应用能力数据(即权限数据),系统可以使用对称密钥算法对加载的加密后的应用能力数据进行解密操作。然后可以判断解密的数据是否正确,如果解密数据正确,则可以直接应用能力数据,如果不正确则可以报错。
综上,通过将编译后的数据进行签名或加密处理,可以防止能力数据被篡改,避免了异常程序对权限数据进行篡改的情况,提升了权限数据的安全性,进而提高了资源数据的安全性。
采用上述方案后,可以先获取应用编译后的初始可执行文件,然后可以获取应用的初始权限数据,并对初始权限数据进行编译处理,得到权限编译数据,还可以对权限编译数据进行加密或签名处理,得到权限数据,并将权限数据存储至初始可执行文件中,得到可执行文件,后续可以根据可执行文件来实现资源数据的访问,通过对数据进行加密或签名处理,防止权限数据被篡改,提高了权限数据的安全性,实现了隐藏权限数据的效果,此外,还可以对权限数据段进行只读保护,进一步提高了权限数据的安全性,且用户态和内核态都可以高效的访问权限数据。
基于图2的方法,本说明书实施例还提供了该方法的一些具体实施方案,下面进行说明。
此外,在另一实施例中,所述根据所述可执行文件实现资源数据的访问,具体可以包括:
将所述可执行文件中的初始可执行文件加载至第一内存空间中。
将所述可执行文件中的权限数据加载至第二内存空间中。
根据加载至所述第一内存空间中的初始可执行文件,以及所述第二内存空间中的的权限数据实现资源数据的访问。
在本实施例中,在对权限数据进行加密处理后,可以将的权限数据存储至初始可执行文件中,得到可执行文件。
示例性的,图6为本申请实施例提供的可执行文件的应用示意图,如图6所示,在该实施例中,应用的程序源码(以app code为例)通过编译,可以得到初始可执行文件(以app.elf为例)。初始权限数据(以app.crp为例)可以通过编译得到权限数据,追加到app.elf末尾,得到新的ELF文件,即可执行文件。新的ELF文件(以APP.bin为例)可以包含权限内存数据段(即初始可执行文件,以.capr为例)和应用能力数据(即权限数据,以app.crb为例)。
此外,在得到可执行文件之后,可以将可执行文件中的初始可执行文件存储于第一内存空间,还可以将可执行文件中的权限数据存储至第二内存空间中。且第一内存空间与第二内存空间可以为相邻的内存空间,也可以为随机确定的内存空间,在此不再详细进行限定。此外,第一内存空间与第二内存空间的大小也可以根据实际应用场景进行设定,可以相同也可以不同。示例性的,第一内存空间与第二内存空间的大小可以为4K。
进一步的,所述将所述可执行文件中的权限数据加载至第二内存空间中,可以包括:
根据所述可执行文件中的链接脚本确定第二内存空间,其中,所述可执行文件为elf格式的文件。
将所述可执行文件中的权限数据加载至第二内存空间中。
具体的,在将权限数据加载至第二内存空间中时,可以先获取可执行文件的链接脚本,然后再根据可执行文件的链接脚本来确定第二内存空间。
进一步的,所述根据所述可执行文件中的链接脚本确定第二内存空间,可以包括:
若所述链接脚本为自定义链表脚本,则在所述自定义链表脚本中添加第二内存空间。
若所述链接脚本为默认链表脚本,则更新所述默认链表脚本中的第二内存空间。
具体的,可以通过修改可执行文件ELF的链接脚本的方式来确定第二内存空间,即使ELF的默认地址空间增加自定义的.capr段,方便用户态和内核态访问。链接脚本可以有两种,不同形式的链接脚本对应的处理方式可能不同。可选的,如果使用了自定义的链表脚本,则可以在链接脚本中添加权限内存数据段和段的起始地址,并给这个段分配空间(即第二内存空间),例如4k。可选的,如果修改的默认链接脚本,则可以增加权限内存数据段和段的起始地址,并给这个段分配空间(即第二内存空间),例如4k。
此外,在所述根据加载至所述第一内存空间中的初始可执行文件,以及所述第二内存空间中的的权限数据实现资源数据的访问之前,还可以包括:
将所述第二内存空间的属性设置为只读属性。
具体的,本申请确定的可执行文件中包含初始可执行文件和权限数据,需要进程管理器将权限数据读出并存放到进程地址空间的权限内存数据段中,方便用户态和内核态使用权限内存数据段的起始地址访问。还可以对权限内存数据段进行只读保护,防止权限数据被篡改,提高数据安全性。
此外,用户态还可以通过段的起始地址获取能力数据,无需通过系统调用进入内核态访问,由于数据访问是高频操作,有利于提升数据访问性能。
示例性的,图7为本申请实施例提供的权限数据加载过程的原理示意图,如图7所示,在该实施例中,可以通过进程管理器来加载能力数据(即权限数据),对应的,进程管理器在加载ELF文件(APP.bin)时,可以读取其中的app.elf文件内容。进程管理器可以将app.elf内容映射到APP进程地址空间对应地址。进程管理器从ELF文件末尾读取出应用能力数据。进程管理器根据ELF的段table可以找到权限内存数据段(以.capr为例)地址。进程管理器将应用能力数据映射到APP的进程虚拟内存空间.capr段地址。此外,还可以将进程虚拟内存空间.capr段的内存页表属性配置为只读。此外,只能对该内存区域做一次页表属性的只读属性修改,后续不允许再次修改该内存区域的页表属性。
图8为本申请实施例提供的权限数据加载过程的应用示意图,如图8所示,在该实施例中,APP进程中的.capr段保存了能力数据(即权限数据),用户态和内核态可以通过段的起始地址(以&capr_start为例)访问能力数据。由于内核态没有保存capr_start的符号表,所以需在程序管理器加载APP阶段,将&capr_start地址传给内核,至此内核也能通过此地址访问能力数据。此方案可以使进程在用户空间通过&capr_start地址高效访问能力数据,无需通过耗时的系统调用,由于能力访问是高频操作,有利于提高性能。
综上,本申请通过将数据存放在权限内存数据段中,用户态和内核态均可以通过访问此段的起始地址获取权限数据。一般情况下,内核态可以直接访问能力数据,用户态需要通过系统调用访问能力数据。本申请用户态可以通过段的起始地址获取能力数据,无需通过系统调用进入内核态访问,由于能力访问是高频操作,有利于提升能力访问性能。
基于同样的思路,本说明书实施例还提供了上述方法对应的装置,图9为本申请实施例提供的权限数据处理装置的结构示意图,如图9所示,本实施例提供的装置,可以包括:
获取模块901,用于获取应用编译后的初始可执行文件。
所述获取模块901,还用于获取所述应用的初始权限数据,并对所述初始权限数据进行编译处理,得到权限编译数据。
处理模块902,用于对所述权限编译数据进行加密或签名处理,得到权限数据,并将所述权限数据存储至所述初始可执行文件中,得到可执行文件。
在本实施例中,所述处理模块902,还可以用于:
通过对称密钥算法对所述权限编译数据进行加密处理,得到权限数据;
或者,通过数字签名算法对所述权限编译数据进行签名处理,得到权限数据。
所述处理模块902,还用于根据所述可执行文件实现资源数据的访问。
此外,在另一实施例中,所述处理模块902,还可以用于:
将所述可执行文件中的初始可执行文件加载至第一内存空间中。
将所述可执行文件中的权限数据加载至第二内存空间中。
根据加载至所述第一内存空间中的初始可执行文件,以及所述第二内存空间中的的权限数据实现资源数据的访问。
在本实施例中,所述处理模块902,还可以用于:
根据所述可执行文件中的链接脚本确定第二内存空间,其中,所述可执行文件为elf格式的文件。
将所述可执行文件中的权限数据加载至第二内存空间中。
进一步的,所述处理模块902,还可以用于:
若所述链接脚本为自定义链表脚本,则在所述自定义链表脚本中添加第二内存空间。
若所述链接脚本为默认链表脚本,则更新所述默认链表脚本中的第二内存空间。
此外,所述处理模块902,还可以用于:
将所述第二内存空间的属性设置为只读属性。
本申请实施例提供的装置,可以实现上述如图2所示的实施例的方法,其实现原理和技术效果类似,此处不再赘述。
图10为本申请实施例提供的电子设备的硬件结构示意图,如图10所示,本实施例提供的设备1000包括:处理器1001,以及与所述处理器通信连接的存储器。其中,处理器1001、存储器1002通过总线1003连接。
在具体实现过程中,处理器1001执行所述存储器1002存储的计算机执行指令,使得处理器1001执行上述方法实施例中的方法。
处理器1001的具体实现过程可参见上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
在上述的图10所示的实施例中,应理解,处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application SpecificIntegrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component Interconnect,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现上述方法实施例的权限数据处理方法。
本申请实施例还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时,实现如上所述的权限数据处理方法。
上述的计算机可读存储介质,上述可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。可读存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的可读存储介质耦合至处理器,从而使处理器能够从该可读存储介质读取信息,且可向该可读存储介质写入信息。当然,可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(Application Specific IntegratedCircuits,简称:ASIC)中。当然,处理器和可读存储介质也可以作为分立组件存在于设备中。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (10)

1.一种权限数据处理方法,其特征在于,包括:
获取应用编译后的初始可执行文件;
获取所述应用的初始权限数据,并对所述初始权限数据进行编译处理,得到权限编译数据;
对所述权限编译数据进行加密或签名处理,得到权限数据,并将所述权限数据存储至所述初始可执行文件中,得到可执行文件;
根据所述可执行文件实现资源数据的访问。
2.根据权利要求1所述的方法,其特征在于,所述根据所述可执行文件实现资源数据的访问,包括:
将所述可执行文件中的初始可执行文件加载至第一内存空间中;
将所述可执行文件中的权限数据加载至第二内存空间中;
根据加载至所述第一内存空间中的初始可执行文件,以及所述第二内存空间中的权限数据实现资源数据的访问。
3.根据权利要求2所述的方法,其特征在于,所述将所述可执行文件中的权限数据加载至第二内存空间中,包括:
根据所述可执行文件中的链接脚本确定第二内存空间,其中,所述可执行文件为elf格式的文件;
将所述可执行文件中的权限数据加载至第二内存空间中。
4.根据权利要求3所述的方法,其特征在于,所述根据所述可执行文件中的链接脚本确定第二内存空间,包括:
若所述链接脚本为自定义链表脚本,则在所述自定义链表脚本中添加第二内存空间;
若所述链接脚本为默认链表脚本,则更新所述默认链表脚本中的第二内存空间。
5.根据权利要求2-4任一项所述的方法,其特征在于,在所述根据加载至所述第一内存空间中的初始可执行文件,以及所述第二内存空间中的权限数据实现资源数据的访问之前,还包括:
将所述第二内存空间的属性设置为只读属性。
6.根据权利要求1-4任一项所述的方法,其特征在于,所述对所述权限编译数据进行加密或签名处理,得到权限数据,包括:
通过对称密钥算法对所述权限编译数据进行加密处理,得到权限数据;
或者,通过数字签名算法对所述权限编译数据进行签名处理,得到权限数据。
7.一种权限数据处理装置,其特征在于,包括:
获取模块,用于获取应用编译后的初始可执行文件;
所述获取模块,还用于获取所述应用的初始权限数据,并对所述初始权限数据进行编译处理,得到权限编译数据;
处理模块,用于对所述权限编译数据进行加密或签名处理,得到权限数据,并将所述权限数据存储至所述初始可执行文件中,得到可执行文件;
所述处理模块,还用于根据所述可执行文件实现资源数据的访问。
8.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1至6任一项所述的权限数据处理方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如权利要求1至6任一项所述的权限数据处理方法。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的权限数据处理方法。
CN202311227864.2A 2023-09-21 2023-09-21 权限数据处理方法、装置及电子设备 Pending CN117272377A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311227864.2A CN117272377A (zh) 2023-09-21 2023-09-21 权限数据处理方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311227864.2A CN117272377A (zh) 2023-09-21 2023-09-21 权限数据处理方法、装置及电子设备

Publications (1)

Publication Number Publication Date
CN117272377A true CN117272377A (zh) 2023-12-22

Family

ID=89215494

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311227864.2A Pending CN117272377A (zh) 2023-09-21 2023-09-21 权限数据处理方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN117272377A (zh)

Similar Documents

Publication Publication Date Title
US10853270B2 (en) Cryptographic pointer address encoding
US11562075B2 (en) Secure booting method, apparatus, device for embedded program, and storage medium
US10511598B2 (en) Technologies for dynamic loading of integrity protected modules into secure enclaves
EP3326105B1 (en) Technologies for secure programming of a cryptographic engine for secure i/o
KR101122517B1 (ko) 런타임 보안 보장을 위한 자율 메모리 검사기 및 이의 방법
KR100792287B1 (ko) 자체 생성한 암호화키를 이용한 보안방법 및 이를 적용한보안장치
US20110289294A1 (en) Information processing apparatus
JP2018506784A (ja) 認証された制御スタック
CN111201553B (zh) 一种安全元件及相关设备
WO2021249359A1 (zh) 数据完整性保护的方法和装置
EP2310976A1 (en) Secure memory management system and method
CN112100624A (zh) 一种固件保护方法、装置及终端设备
KR20040105794A (ko) 메모리 관리 유닛, 코드 검증 장치 및 코드 복호 장치
US20200233676A1 (en) Bios management device, bios management system, bios management method, and bios management program-stored recording medium
CN117272377A (zh) 权限数据处理方法、装置及电子设备
CN112115477B (zh) 内核修复方法、装置、电子设备及存储介质
CN114237492A (zh) 非易失性存储器保护方法及装置
US11113399B2 (en) Electronic apparatus and control method of electronic apparatus
US20200183675A1 (en) Image file packaging method and image file packaging system
US11977760B1 (en) Secure data and instruction loading
CN112799738B (zh) 一种配置文件的导入方法、装置及设备
CN112131612B (zh) 一种cf卡数据防篡改方法、装置、设备及介质
CN103942074A (zh) 一种算法加载方法和装置
KR20230082388A (ko) 차량 제어기의 부트로더 검증 장치 및 그 방법
CN115544516A (zh) 内核启动方法、装置、电子设备、存储介质及程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination