【技术实现步骤摘要】
本专利技术涉及应用安全
,具体涉及一种策略管理方法及系统。
技术介绍
随着移动互联网及各种电子设备的不断普及,安卓(Android)系统的电子设备的安全性问题成为业界和用户关注的焦点。目前,Android系统漏洞频发的主要原因有:开放的开发环境、对电子设备数据缺乏保护机制、非常有限的控制及管理策略。通常,Android系统通过沙箱机制进行权限控制,但是,如果电子设备的超级用户(root)权限被篡夺,那么,所有的应用程序资源都能被超级用户访问,而且病毒程序也会伺机获得电子设备的控制权,严重影响电子设备的安全性。针对上述问题,为了阻止恶意应用(App)对Android系统或其它应用程序的攻击,从4.3版本开始,Android系统引入了一套基于SELinux的安全机制,称为SEAndroid,来加强系统的安全性。SEAndroid的中心理念是通过强制访问控制(MAC,MandatoryAccessControl)技术制定安全策略,即使root权限被篡夺,访问权限仍然受到安全策略的限制,从而能最大程度减少攻击带来的安全风险;可以说,现有技术在一定程度上提高了安卓系统的安全应用的安全性,但是,仍然存在以下问题:SEAndroid的安全策略文件安装在platform/external/sepolicy目录下,即部署的安全策略文件都放在非安全环境中保存,可想而知,一旦黑客截获该安全策略文件,将策略中设定的访问规则篡改,并植入恶意代码,这样安全策略也不能保证电子设备及安全应用的安全性。具有安全隔离功能的处理器的诞生为电子设备的安全开辟了崭新的道路, ...
【技术保护点】
一种策略管理方法,其特征在于,所述方法包括:采用安全隔离技术将执行环境分为非安全执行环境和安全执行环境;在所述非安全执行环境中,对各应用进行域划分;按照预先制定的策略文件为各个域的应用间的访问提供强制访问控制MAC查询服务;在所述安全执行环境中,对策略文件进行管理;其中,所述管理至少包括下述中的一种或几种:查询、加载、更新、存储。
【技术特征摘要】
1.一种策略管理方法,其特征在于,所述方法包括:采用安全隔离技术将执行环境分为非安全执行环境和安全执行环境;在所述非安全执行环境中,对各应用进行域划分;按照预先制定的策略文件为各个域的应用间的访问提供强制访问控制MAC查询服务;在所述安全执行环境中,对策略文件进行管理;其中,所述管理至少包括下述中的一种或几种:查询、加载、更新、存储。2.根据权利要求1所述的方法,其特征在于,所述按照预先制定的策略文件为各个域的应用间的访问提供MAC查询服务,包括:满足预设条件时,向所述安全执行环境侧发送第一指令;接收所述安全执行环境侧返回的第一指令响应结果;相应的,所述对策略文件进行管理,包括:根据所述第一指令对策略文件进行第一操作;其中,所述第一操作至少包括下述中的一种或几种:查询、加载、更新、存储;向所述非安全执行环境侧返回第一指令响应结果。3.根据权利要求2所述的方法,其特征在于,所述满足预设条件时,向所述安全执行环境侧发送第一指令,包括:当检测到第一应用访问第二应用时,获取所述第一应用以及所述第二应用的域信息;向所述安全执行环境侧发送第一指令;其中,所述第一指令中至少携带有所述第一应用以及所述第二应用的域信息。4.根据权利要求2所述的方法,其特征在于,所述根据所述第一指令对策略文件进行第一操作,包括:根据所述第一应用以及所述第二应用的域信息查询策略库,获得查询结果;基于所述查询结果向所述非安全执行环境侧返回第一指令响应结果。5.根据权利要求1所述的方法,其特征在于,所述对各应用进行域划分,
\t还包括:将系统中预先安装的应用标记为系统域;当检测到有新应用安装时,验证所述新应用的数字证书签名,如果验证通过,将所述新应用标记为安全域;如果验证不通过或者没有数字证书签名,则将所述新应用标记为非安全域。6.根据权利要求5所述的方法,其特征在于,所述对策略文件进行管理,还包括:按照预设规则,基于所述新应用的第一信息制定关于所述新应用的策略文件;其中,所述第一信息至少包括域信息、用户标识;基于所述新应用的策略文件更新策略库。7.根据权利要求6所述的方法,其特征在于,所述预设规则至少包括下述中的一种或几种:非安全域应用访问非安全域应用的第一规则,非安全域应用访问安全域应用的第二规则,安全域应用访问非安全域应用的第三规则,安全域应用访问安全域应用的第四规则,非安全域应用、安全域应用访问系统域应用的第五规则;其中,所述域至少分为:系统域、安全域、非安全域。8.一种策略管理系统,其特征在于,采用安全隔离技术将执行环境分为非安全执行环境和安全执行环境;所述系统包括:非安全操作系统和安全操作系统;其中,所述非安全操作系统,位于非安全执行环境中,用于对各应用进行域划分;按照预先制定的策略文件为各个域的应用间的访问提供MAC查询服务;所述安全操作系统,位于安全执行环境中,用于对策略文件进行管理;其中,所述管理至少包括下述中的一种或几种:查询、加载、更新、存储。9.根据权利要求8所述的系统,其特征在于...
【专利技术属性】
技术研发人员:宋云霞,
申请(专利权)人:深圳市中兴微电子技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。