应用程序的强制访问控制方法、系统和管理服务器技术方案

技术编号:13228097 阅读:68 留言:0更新日期:2016-05-13 11:31
本发明专利技术实施例提供了应用程序的强制访问控制方法、系统和管理服务器,所述方法包括:管理服务器接收管理员针对应用程序定义的访问资源的信息,将其解析为对应资源的配置信息后,结合智能终端操作系统强制访问控制的编译环境,编译生成强制访问控制策略的策略包,作为所述应用程序对应的策略包;所述管理服务器对于所述应用程序,将其安装包以及其对应的策略包下发至智能终端;所述智能终端根据接收的安装包安装所述应用程序时,将接收的策略包安装到操作系统中,使得所述应用程序运行时被限定于所述访问资源。采用本发明专利技术的实施例,可以在不影响应用程序实现指定功能的情况下,更加方便地管理应用程序,并防止应用程序泄密。

【技术实现步骤摘要】

本专利技术涉及安全
,具体而言,本专利技术涉及一种应用程序的强制访问控制方法、系统和管理服务器
技术介绍
公安、海关等有关部门或者公司,通常为用户配发工作专用的智能终端、或其它需要应用在涉密场景下的智能终端。为了防止泄密,有关部门或者公司通常需要对这些智能终端中的应用程序进行强制访问控制O强制访问控制(Mandatory Access Control)可以是一种访问约束机制,通常用于将系统中的信息分密级和类进行管理,以保证每个应用程序的进程只能访问到那些被标明可以由该进程访问的信息。现有的一种应用程序的强制访问控制方法,包括:将应用程序安装到涉密的智能终端中后,通过该智能终端提供的人机交互界面,设置该应用程序的访问权限,既可以使得该应用程序实现指定的功能,又可以防止该应用程序越权访问而导致泄密。其中,应用程序默认是关闭所有访问权限的。然而,本专利技术的专利技术人发现,现有的强制访问控制方法不便于应用程序的功能实现和管理。例如,技术人员未对安装在智能终端中的应用程序的访问权限进行设置,则应用程序将保持关闭所有访问权限的状态,该应用程序自然无法实现指定的功能。再如,对于每个智能终端、针对安装到该智能终端中的每个应用程序,技术人员需要手动去设置该应用程序的访问权限,操作非常繁琐,工作量较大,导致应用程序的管理不便。本专利技术的专利技术人还发现,采用现有的强制访问控制方法对智能终端中的应用程序进行权限设置,一旦设置不当,容易导致应用程序获得了不应当获得的权限,攻击者可以利用设置不当的权限获取机密信息,从而造成机密信息泄露。综上,对于有关部门或者公司配发的智能终端而言,现有的应用程序的强制访问控制方法,存在不便于实现功能、管理不便以及容易泄密的缺陷。因此,有必要提供一种应用程序的强制访问控制方法、系统和管理服务器,可以在不影响应用程序实现指定功能的情况下,更加方便地管理应用程序,并防止应用程序泄密。
技术实现思路
本专利技术针对现有的应用程序的强制访问控制方式的缺点,提出一种应用程序的强制访问控制方法、系统和管理服务器,用以解决现有技术存在应用程序功能实现不便、管理不便以及容易泄密的问题。本专利技术的实施例根据一个方面,提供了一种应用程序的强制访问控制方法,包括:管理服务器接收管理员针对应用程序定义的访问资源的信息,将其解析为对应资源的配置信息后,结合智能终端操作系统强制访问控制的编译环境,编译生成强制访问控制策略的策略包,作为所述应用程序对应的策略包;所述管理服务器对于所述应用程序,将其安装包以及其对应的策略包下发至智能终端;所述智能终端根据接收的安装包安装所述应用程序时,将接收的策略包安装到操作系统中,使得所述应用程序运行时被限定于所述访问资源。本专利技术的实施例根据另一个方面,还提供了一种应用程序的强制访问控制系统,包括:管理服务器,用于接收管理员针对应用程序定义的访问资源的信息,将其解析为对应资源的配置信息后,结合智能终端操作系统强制访问控制的编译环境,编译生成强制访问控制策略的策略包,作为所述应用程序对应的策略包;以及对于所述应用程序,将其安装包以及其对应的策略包下发;智能终端,用于接收的安装包安装所述应用程序时,将接收的策略包安装到操作系统中,使得所述应用程序运行时被限定于所述访问资源。本专利技术的实施例根据另一个方面,还提供了一种应用程序的强制访问控制方法,包括:接收管理员针对应用程序定义的访问资源的信息,将其解析为对应资源的配置信息后,结合智能终端操作系统强制访问控制的编译环境,编译生成强制访问控制策略的策略包,作为所述应用程序对应的策略包;对于所述应用程序,将其安装包以及其对应的策略包下发至智能终端。本专利技术的实施例根据另一个方面,还提供了一种管理服务器,包括:信息获取模块,用于接收管理员针对应用程序定义的访问资源的信息;策略生成模块,用于将所述访问资源的信息解析为对应资源的配置信息后,结合智能终端操作系统强制访问控制的编译环境,编译生成强制访问控制策略的策略包,作为所述应用程序对应的策略包;下发模块,用于对于所述应用程序,将其安装包以及其对应的策略包下发至智能终端。本专利技术实施例中,管理服务器接收管理员针对应用程序的访问资源的信息,将其解析成配置信息后,结合智能终端操作系统强制访问控制的编译环境,编译生成强制访问控制策略的策略包;智能终端安装管理服务器下发的应用程序的安装包以及策略包后,应用程序运行时被允许访问的资源受到强制访问控制策略的限制,可以防止应用程序访问涉密的资源,从而可以防止应用程序泄密;并且应用程序依然可以访问强制访问控制策略所允许访问的资源,从而实现指定的功能;以及由管理服务器统一生成、下发策略包,无需逐个对每个智能终端中每个应用程序进行访问权限的设置,节省了大量的操作,减少了工作量,对智能终端的应用程序的管理更加方便高效。本专利技术附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本专利技术的实践了解到。【附图说明】本专利技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:图1为本专利技术实施例的应用程序的强制访问控制系统的架构示意图;图2为本专利技术实施例的应用程序的强制访问控制方法的流程示意图;图3为本专利技术实施例的管理服务器内部结构的框架示意图。【具体实施方式】下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本专利技术,而不能解释为对本专利技术的限制。本
技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本专利技术的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“親接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。本
技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本专利技术所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。本
技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,进行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(Personal Communicat1ns Service,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital本文档来自技高网
...

【技术保护点】
一种应用程序的强制访问控制方法,其特征在于,包括:管理服务器接收管理员针对应用程序定义的访问资源的信息,将其解析为对应资源的配置信息后,结合智能终端操作系统强制访问控制的编译环境,编译生成强制访问控制策略的策略包,作为所述应用程序对应的策略包;所述管理服务器对于所述应用程序,将其安装包以及其对应的策略包下发至智能终端;所述智能终端根据接收的安装包安装所述应用程序时,将接收的策略包安装到操作系统中,使得所述应用程序运行时被限定于所述访问资源。

【技术特征摘要】

【专利技术属性】
技术研发人员:兰书俊
申请(专利权)人:北京元心科技有限公司
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1