本发明专利技术涉及对基于SEAndroid平台的系统安全管理,具体涉及一种基于SEAndroid平台的应用程序动态安全管理方法及系统。本发明专利技术的方法为:对系统权限库中的各权限进行类别划分,得到系统的模板类型库;在应用程序运行时,捕捉并拦截其进程创建,并判断其是否为安装后首次启动,若否,直接执行进程创建;否则解析其配置文件,匹配查询得到安全标签集;基于获取的安全标签集,向用户呈现安全策略选择界面,并根据用户的选择设置生成安全策略设置文件,最后,基于当前应用程序的安全策略设置文件执行当前应用程序的进程创建。同时,本发明专利技术还提出了对应于上述方法的应用程序动态安全管理系统。本发明专利技术可用于基于SEAndroid的终端设备,能带来易用性和安全性兼备的有益效果。
【技术实现步骤摘要】
—种基于SEAndroid平台的应用程序动态安全管理方法及系统
本专利技术涉及对基于SEAndroid (安全增强的安卓系统)平台的系统安全管理,具体涉及一种基于SEAndroid平台的应用程序动态安全管理方法及系统。
技术介绍
SEAndroid是美国国家安全局(NSA)在SELinux (安全增强的Linux系统)的基础上,根据Android的特性修改移植完成的。在SELinux中,通过事先定义每个进程的允许操作,来禁止其进行越轨的操作。SEAndroid沿袭了这一机制,通过限制各进程的操作权限,可以防止恶意软件篡改系统。一般来说,攻击漏洞的恶意软件为了长久利用篡夺到的root权限(系统超级权限),会在Android的系统区中埋设特点命令(如su切换用户命令),而在SEAndroid中,通过事先设定不允许以root权限执行的各种进程改写系统区和重复挂载,就可以有效回避此类攻击。SEAndroid继承了 SELinux系统优点能有效回避恶意软件篡改系统,但同时也带来相应的问题,SEAndroid 的系统架构设计为:SEAndroid=SELinux MAC+Middleffare MAC,其中MAC指强制访问控制,Middleware MAC (中间件强制访问控制)指的就是Android的MAC控制。SEAndroid系统自身存在的最大的问题是源于其沿袭了 SELinux固有的管理员操作方式,只有熟悉Linux系统的用户才有能力对系统的安全策略库进行定制,即基于源代码方式修改,从而改变应用的安全上下文,这种操作方式很难移植到面向普通消费者的移动终端操作系统,因为基于源代码方式修改的安全策略的操作复杂性,使一般终端用户很难在终端设备上进行安全策略的定制。随着Android的广泛应用,导致安全问题的越来越突出,加之用户对隐私和安全的关注增加,用户希望能参与到终端设备的系统防护中去,而基于源代码方式修改的安全策略加大了用户的交互成本(用户需要熟知Linux系统的相应操作指令),因此亟需要一种易用性和安全性兼备的制定安全策略的操作方式,来降低用户的交互成本,同时不会降低系统的安全属性。
技术实现思路
本专利技术的专利技术目的在于:针对上述存在的问题,提供一种易用性和安全性兼备的基于SEAndroid平台的应用程序动态安全管理方法。本专利技术的一种基于SEAndroid平台的应用程序动态安全管理方法,首先基于任一共有关键字,将系统权限库中的各权限划分为多个模板类型,构成系统的模板类型库;所述模板类型包括至少一个权限,且由对应的安全标签进行系统应用层的识别;在用户运行应用程序时,执行下列步骤:步骤a:捕捉并拦截当前应用程序的进程创建,判断是否存在当前应用程序的安全策略设置文件,若是,则执行步骤b ;否则直接执行步骤d ;步骤b:解析当前应用程序的配置文件,获取对应的权限描述集,并基于系统的模板类型库,匹配各权限描述所对应的模板类型,得到应用程序对应的安全标签集;步骤c:基于当前安全标签集向用户呈现安全策略设置界面,用户在所述安全策略设置界面中能选定至少ー个安全标签;基于用户的选择设置生成当前应用程序的安全策略设置文件;步骤d:基于当前应用程序的安全策略设置文件,执行所述应用程序的进程创建。本专利技术在现有的SEAndroid常规的安全检查之上做了进ー步封装,通过加入判断——应用程序是否为首次启动,从而将对当前应用程序的进程创建的消息处理推后,并在其中增加用户參与制定系统安全管理的交互操作,将现有的SEAndroid预定义应用程序的安全策略的过程变为用户动态可自定义的机制,一方面给予了用户对系统进行操作的权限,另ー方面没有牺牲系统的安全性。并且在本专利技术中,用户可根据其实际需求,基于所呈现的安全标签,选择多个安全标签,为多标签复合机制的安全策略配置,而现有的SEAndroid预定义安全策略方式为预定単一安全标签的方式,与现有技术相比,其进ー步加强了系统的灵活性和实用性。在本专利技术中,用户对应用程序的安全策略进行设置后,都会生成与该应用程序对应的安全策略设置文件,故可以通过查询系统的存储器的相应存储位置是否存在应用程序的安全策略设置文件,来判断当前应用程序是否为安装后首次启动,从而判断是否开启用户自定义当前应用程序的安全标签的设置。为了进ー步增加本专利技术的灵活性,本专利技术在SEAndroid平台的系统中设置能对应用程序的安全策略进行选择重置的操作界面,以便于当用户在不同需求时,可以对已设置的安全策略进行修改,当用户选择希望重置的应用程序后,系统基于用户选择重置的应用程序,执行本专利技术的应用程序动态安全管理方法中的步骤b,即为用户提供被动和主动设置应用程序的安全策略的两种操作模式。对应于本专利技术的应用程序动态安全管理方法,本专利技术还公开了ー种基于SEAndroid平台的应用程序动态安全管理系统,其在现有的SEAndroid系统中增设置应用探测模块、安全策略分析模块、安全策略配置模块;应用探测模块:在探测到应用程序向系统的进程创建模块发出请求时,拦截当前应用程序的进程创建;并查询系统的存储器中是否存在当前应用程序的安全策略设置文件,若是,则向安全策略分析模块发出启动信号;否则向系统的进程创建模块发送启动信号;安全策略分析模块:解析当前应用程序的配置文件,获取对应的权限描述集,并基于存储的模板类型库,匹配各权限描述所对应的模板类型,得到应用程序对应的安全标签集,所述模板类型库为:基于任一共有关键字,将系统权限库中的各权限划分为多个模板类型,构成系统的模板类型库;所述模板类型包括至少ー个权限,且由对应的安全标签进行系统应用层的识别;安全策略配置模块:基于当前接收的安全标签集,查询各安全标签所对应的描述信息并以图形方式向用户呈现安全策略设置界面,用户在所述安全策略设置界面中能选定至少ー个安全标签;基于用户的选择设置生成当前应用程序的安全策略设置文件并存储,同时向系统的进程创建模块发送启动信号;系统的进程创建模块收到启动信号后,读取当前应用程序的安全策略设置文件,执行当前应用程序的进程创建。综上所述,由于采用了上述技术方案,本专利技术的有益效果是:用户可自定义对 SEAndroid平台上的应用程序的安全策略,且易用性和安全性兼备。【附图说明】本专利技术将通过例子并参照附图的方式说明,其中:图1是本专利技术的应用程序动态安全管理方法的流程图;图2是本专利技术的应用程序动态安全管理系统的结构示意图。【具体实施方式】本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥 的特征和/或步骤以外,均可以以任何方式组合。本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙 述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只 是一系列等效或类似特征中的一个例子而已。结合图1,本专利技术的应用程序动态安全管理方法为:首先基于任一共有关键字,将系统权限库中的各权限划分为多个模板类型,构成 系统的模板类型库;模板类型库的每一个模板类型包括至少一个权限,且由对应的安全标 签进行系统应用层的识别。基于SEAndroid提供给开发者的系统权限库,即所有用户权限 API (应用程序编程接口),可根据系统权限库中各权限的应本文档来自技高网...
【技术保护点】
一种基于SEAndroid平台的应用程序动态安全管理方法,其特征在于,基于任一共有关键字,将系统权限库中的各权限划分为多个模板类型,构成系统的模板类型库;所述模板类型包括至少一个权限,且由对应的安全标签进行系统应用层的识别;在用户运行应用程序时,执行下列步骤:步骤a:捕捉并拦截当前应用程序的进程创建,判断是否存在当前应用程序的安全策略设置文件,若否,则执行步骤b;否则直接执行步骤d;步骤b:解析当前应用程序的配置文件,获取对应的权限描述集,并基于系统的模板类型库,匹配各权限描述所对应的模板类型,得到应用程序对应的安全标签集;步骤c:基于当前安全标签集向用户呈现安全策略设置界面,用户在所述安全策略设置界面中能选定至少一个安全标签;基于用户的选择设置生成当前应用程序的安全策略设置文件;步骤d:基于当前应用程序的安全策略设置文件,执行所述应用程序的进程创建。
【技术特征摘要】
1.一种基于SEAndroid平台的应用程序动态安全管理方法,其特征在于,基于任一共 有关键字,将系统权限库中的各权限划分为多个模板类型,构成系统的模板类型库;所述模 板类型包括至少一个权限,且由对应的安全标签进行系统应用层的识别;在用户运行应用程序时,执行下列步骤:步骤a:捕捉并拦截当前应用程序的进程创建,判断是否存在当前应用程序的安全策 略设置文件,若否,则执行步骤b ;否则直接执行步骤d ;步骤b:解析当前应用程序的配置文件,获取对应的权限描述集,并基于系统的模板类 型库,匹配各权限描述所对应的模板类型,得到应用程序对应的安全标签集;步骤c:基于当前安全标签集向用户呈现安全策略设置界面,用户在所述安全策略设 置界面中能选定至少一个安全标签;基于用户的选择设置生成当前应用程序的安全策略设 置文件;步骤d:基于当前应用程序的安全策略设置文件,执行所述应用程序的进程创建。2.如权利要求1所述的方法,其特征在于,设置能对应用程序的安全策略进行选择重 置的设置界面,基于用户选定的应用程序,执行步骤b。3.如权利要求1或2所述的方法,其特征在于,所述步骤c中,当用户选定的项数等于 预设阈值时,限制用户的选择设置并向用户发出提示信息。4.一种基于SEAndroid平台的应用程序动态安全管理系统,其特征在于,在系统中增 设置应用探测模块、安全策略分析模块、安全策略配置模块;应用探测模块:在探测到应用程序向系统的进程创建模块发出请求...
【专利技术属性】
技术研发人员:杨霞,桑楠,江维,张献忠,魏兰,石鹏,孙海泳,曾睿,孙超群,展华益,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。