安全策略更新方法及装置制造方法及图纸

本发明专利技术公开了一种安全策略更新方法及装置，属于计算机技术领域。该方法包括：获取安全策略文件的补丁文件；将所述安全策略文件从内核空间读取到用户空间；根据所述补丁文件在所述用户空间更新所述安全策略文件，得到更新后的安全策略文件；将所述更新后的安全策略文件从所述用户空间写回所述内核空间。本发明专利技术解决了现有技术中由于只有发布安全策略文件的源代码的开发者才能编写更新后的安全策略文件，导致的安全策略文件更新不及时的问题；实现了不具有源代码获取能力的开发者也可以对移动终端中的安全策略文件进行更新，达到了提高更新安全策略文件的及时性的效果。

【技术实现步骤摘要】
安全策略更新方法及装置
本专利技术实施例涉及计算机
，特别涉及一种安全策略更新方法及装置。
技术介绍
Android(安卓)是一种基于Linux的开放源代码的操作系统。目前，Android系统广泛应用于移动终端中。为了增强Android系统的安全性，NSA(TheNationalSecurityAgency，美国国家安全局)将SELinux(Security-EnhancedLinux)移植到Android系统，形成了SEAndroid(Security-EnhancedAndroid)。SEAndroid的安全机制的核心之一是在操作系统中预先设置安全策略文件，该安全策略文件包括多条安全策略。随着操作系统中运行的应用程序越来越多，移动终端当前使用的安全策略文件可能不包括一些恶意进程对应的安全策略，此时，需要更新移动终端中的安全策略文件，以限制恶意进程的访问。相关技术中在更新移动终端中的安全策略文件时，所采用的方法包括：开发者获取整个安全策略文件的源代码；修改该安全策略文件，得到更新后的安全策略文件；将该更新后的安全策略文件上传至服务器。移动终端中安装的策略更新应用检测到服务器中的安全策略文件发生更新后，从服务器中获取更新后的安全策略文件，并利用更新后的安全策略文件覆盖移动终端的文件系统中原始的安全策略文件。当移动终端中的操作系统再次启动时，会将文件系统中的更新后的安全策略文件加载到内核空间中，以使得移动终端可以根据更新后的安全策略文件中的安全策略，在内核空间运行限制恶意进程的非法访问。由于只有发布安全策略文件的源代码的开发者才能获取到该源代码，而上述方法中对安全策略文件的修改需要基于该源代码来进行，由此可知，只有发布安全策略文件的源代码的开发者才能对安全策略文件进行修改。在这种情况下，当其它开发者发现原始的安全策略文件存在漏洞，而发布源代码的开发者未发现该漏洞时，就会造成更新移动终端中的安全策略文件不够及时，导致移动终端的操作系统的安全性降低的问题。
技术实现思路
为了解决现有技术中只有发布安全策略文件的源代码的开发者才能编写更新后的安全策略文件，导致的安全策略文件更新不及时的问题，本专利技术实施例提供了一种安全策略更新方法及装置。所述技术方案如下：第一方面，提供了一种安全策略更新方法，所述方法包括：获取安全策略文件的补丁文件；将所述安全策略文件从内核空间读取到用户空间；其中，所述内核空间是指虚拟内存中用于运行内核及驱动程序的区块，所述用户空间是指所述虚拟内存中用于运行应用程序的区块；根据所述补丁文件在所述用户空间更新所述安全策略文件，得到更新后的安全策略文件；将所述更新后的安全策略文件从所述用户空间写回所述内核空间。第二方面，提供了一种安全策略更新装置，所述装置包括：获取模块，用于获取安全策略文件的补丁文件；读取模块，用于将所述安全策略文件从内核空间读取到用户空间；所述内核空间是指虚拟内存中用于运行内核及驱动程序的区块，所述用户空间是指所述虚拟内存中用于运行应用程序的区块；更新模块，用于根据所述补丁文件在所述用户空间更新所述安全策略文件，得到更新后的安全策略文件；写回模块，用于将所述更新后的安全策略文件从所述用户空间写回所述内核空间。本专利技术实施例提供的技术方案带来的有益效果包括：通过将安全策略文件从内核空间读取到用户空间，使用补丁文件对用户空间中的安全策略文件进行更新，使得开发者无需获取到安全策略文件的源代码，仅需要编译待更新的安全策略并生成补丁文件，即可使用补丁文件在用户空间中实现对移动终端中的安全策略文件的源代码进行更新，这样不具有源代码获取能力的开发者也可以对移动终端中的安全策略文件进行更新，既提高了安全策略更新方法的通用性，也提高了更新安全策略文件的及时性。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。图1是本专利技术一个实施例提供的安全策略更新方法的流程图；图2是本专利技术另一个实施例提供的安全策略更新方法的流程图；图3是本专利技术另一个实施例提供的安全策略更新方法的流程图；图4是本专利技术另一个实施例提供的安全策略更新方法的流程图；图5是本专利技术一个实施例提供的安全策略更新装置的框图；图6是本专利技术一个实施例提供的移动终端的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本专利技术的一些方面相一致的装置和方法的例子。为了方便理解，先对本专利技术实施例提及的若干个名词分别作简单介绍，具体如下：安全上下文(又称为域)：是一个附加在主体和客体上的标签，其中，主体是访问客体的进程，客体是系统中的一类实体，比如：进程、文件、系统属性等。在SEAndroid中，每个进程或文件对应一个安全上下文，该安全上下文实际上是一串字符串，通常由四部分内容组成，分别为：SELinux用户、SELinux角色、类型和安全级别。不同部分之间通过冒号来分隔，格式为：user(用户)：role(角色)：type(类型)：sensitivity(安全级别)。作为一个示意性的例子：init进程的安全上下文的格式为：u：r：init：s0。又例如：系统文件/system/bin/toolbox的安全上下文为：u：object_r：system_file：s0。在SEAndroid中，user有且只有一种：格式为u；role存在两种，用于表示进程的格式为r的role，以及，用于表示文件的格式为object_r的role；type用于定义主体和客体所属的类型；sensitivity由sensitivity和category(类别)两部分组成，格式为sensitivity[:category_set]，其中，category_set是可选的，例如，定义了s0和s1两个sensitivity，以及c0、c1和c2三个category，那么“s0:c0,c1”表示的就是sensitivity为s0、category为c0和c1的一个安全级别。安全策略文件：用于存储至少一条安全策略，每条安全策略用于定义移动终端中一个安全上下文对另一个安全上下文的访问权限，或者，一个安全上下文切换后的另一个安全上下文。比如，一个进程的安全上下文对一个文件的安全上下文的访问权限；或者，一个进程的安全上下文切换后得到另一个进程的安全上下文的权限。安全策略的格式多种多样，本实施例对此不作限定。在一个示例中，安全策略的格式为：allowsource_type(源类型)target_type(目标类型)class(类别)permission(许可)。该安全策略的格式代表的含义为：允许source_type对target_type拥有class下的permission权限。其中，source_type通常是主体的安全上下文的类型；target_type是客体的安全上下文的本文档来自技高网...

【技术保护点】
一种安全策略更新方法，其特征在于，所述方法包括：获取安全策略文件的补丁文件；将所述安全策略文件从内核空间读取到用户空间；其中，所述内核空间是指虚拟内存中用于运行内核及驱动程序的区块，所述用户空间是指所述虚拟内存中用于运行应用程序的区块；根据所述补丁文件在所述用户空间更新所述安全策略文件，得到更新后的安全策略文件；将所述更新后的安全策略文件从所述用户空间写回所述内核空间。

【技术特征摘要】
1.一种安全策略更新方法，其特征在于，所述方法包括：获取安全策略文件的补丁文件；将所述安全策略文件从内核空间读取到用户空间；其中，所述内核空间是指虚拟内存中用于运行内核及驱动程序的区块，所述用户空间是指所述虚拟内存中用于运行应用程序的区块；根据所述补丁文件在所述用户空间更新所述安全策略文件，得到更新后的安全策略文件；将所述更新后的安全策略文件从所述用户空间写回所述内核空间。2.根据权利要求1所述的方法，其特征在于，所述根据所述补丁文件在所述用户空间更新所述安全策略文件，得到更新后的安全策略文件，包括：从所述补丁文件中获取待更新的第一安全策略；根据所述第一安全策略，在所述用户空间中对所述安全策略文件进行更新，得到所述更新后的安全策略文件。3.根据权利要求2所述的方法，其特征在于，所述根据所述第一安全策略，在所述用户空间中对所述安全策略文件进行更新，包括：获取所述第一安全策略对应的更新操作、策略对象和策略内容，所述更新操作包括添加安全策略、修改安全策略和删除安全策略中的至少一种；当所述更新操作是所述添加安全策略时，在所述安全策略文件中添加所述第一安全策略的所述策略对象和所述策略内容；当所述更新操作是所述修改安全策略时，在所述安全策略文件中查找与所述第一安全策略具有相同的所述策略对象的第二安全策略；根据所述第一安全策略的所述策略内容修改所述第二安全策略的策略内容；当所述更新操作是所述删除安全策略时，在所述安全策略文件中查找与所述第一安全策略具有相同的所述策略对象的第二安全策略；在所述第二安全策略的策略内容中删除所述第一安全策略的所述策略内容；其中，所述第二安全策略存储于所述安全策略文件中。4.根据权利要求1至3任一所述的方法，其特征在于，所述方法还包括：接收安全上下文对最高权限的获取请求，所述安全上下文对应一个进程或文件，所述最高权限是所述安全上下文具有对所有其他安全上下文的访问权限，和/或，所述安全上下文具有切换到任一其他安全上下文的权限；根据所述获取请求设置所述安全上下文的自由模式为开启状态，所述开启状态的自由模式用于指示对所述安全上下文不启用所述安全策略文件中的安全策略限制。5.根据权利要求1至3任一所述的方法，其特征在于，所述将所述安全策略文件从所述内核空间读取到用户空间，包括：打开所述内核空间和所述用户空间之间的第一文件接口；通过所述第一文件接口将所述安全策略文件从所述内核空间映射至所述用户空间；在所述用户空间中，通过第一编程接口将所述安全策略文件从二进制形式展开为结构体形式，并关闭所述第一文件接口。6.根据权利要求1至3任一所述的方法，其特征在于，所述将所述更新后的安全策略文件从所述用户空间写回所述内核空间，包括：打开所述内核空间和所述用户空间之间的第二文件接口；在所述用户空间中，通过第二编程接口将所述更新后的安全策略文件从结构体形式编译成二进制形式；通过所述第二文件接口将二进制形式的所述更新后的安全策略文件写回所述内核空间，并关闭所述第二文件接口。7.根据权利要求1至3任一所述的方法，其特征在于，所述方法还包括：使用所述更新后的安全策略文件替换位于文件系统中的安全策略文件，所述文件系统中的安全策略文件用于在操作...

【专利技术属性】
技术研发人员：庄灿杰，王庆，黄泽丰，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44