一種基于Selinux定制應(yīng)用程序安全策略方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明實施例涉及信息安全領(lǐng)域,尤其涉及一種基于Selinux定制應(yīng)用程序安全策略方法和裝置�。
【背景技術(shù)】
[0002]隨著社會和科技的發(fā)展����,智能系統(tǒng)己經(jīng)是用戶群最大的手機(jī)操作系統(tǒng)平臺�。當(dāng)前最安全的安全機(jī)制是Selinux機(jī)制(又叫SEAndroid),Selinux 是[Security-EnhancedLinux]的簡稱����,是美國國家安全局[NSA =TheNat1nalSecurityAgency]和 SCC (SecureComputingCorporat1n)開發(fā)的 Linux 的一個擴(kuò)張強(qiáng)制訪問控制安全模塊。
[0003]目前智能系統(tǒng)上采用的Selinux機(jī)制在使用安全性上還有很多漏洞��,用戶的隱私及各種信息經(jīng)常有被非法應(yīng)用泄露的危險����。
[0004]Selinux機(jī)制并沒有一套可以針對每個應(yīng)用程序設(shè)置一套安全策略的方法����,安全策略不夠靈活,用戶也不能個性化設(shè)置��,不適應(yīng)于日趨需要的多樣化安全策略機(jī)制及個性化定制�����,不利于用戶的操作體驗��。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供一種基于Selinux定制應(yīng)用程序安全策略方法和裝置,以實現(xiàn)為智能系統(tǒng)的應(yīng)用程序靈活定制安全策略�,提高安全性,且提高用戶操作體驗��。
[0006]第一方面����,本發(fā)明實施例提供了一種基于Selinux定制應(yīng)用程序安全策略方法,該方法包括:
[0007]系統(tǒng)安全管理模塊確定應(yīng)用程序的簽名文件和進(jìn)程名稱����;
[0008]系統(tǒng)安全策略模塊為所述應(yīng)用程序的簽名文件定義簽名名稱,且設(shè)置對應(yīng)的策略信息��;
[0009]所述系統(tǒng)安全策略模塊為所述應(yīng)用程序確定域名����;
[0010]所述系統(tǒng)安全策略模塊建立所述簽名名稱、策略信息與域名之間的關(guān)聯(lián)�;
[0011]所述系統(tǒng)安全策略模塊為所述應(yīng)用程序創(chuàng)建安全策略配置文件。
[0012]第二方面�����,本發(fā)明實施例還提供了一種基于Selinux定制應(yīng)用程序安全策略裝置�,該裝置包括:
[0013]簽名和進(jìn)程確定模塊����,配置在系統(tǒng)安全管理模塊中���,用于確定應(yīng)用程序的簽名文件和進(jìn)程名稱��;
[0014]簽名名稱定義模塊�,配置在系統(tǒng)安全策略模塊中�,用于為所述應(yīng)用程序的簽名文件定義簽名名稱,且設(shè)置對應(yīng)的策略信息�����;
[0015]域名確定模塊�����,配置在系統(tǒng)安全策略模塊中�����,用于為所述應(yīng)用程序確定域名��;
[0016]名稱域名關(guān)聯(lián)模塊�,配置在系統(tǒng)安全策略模塊中,用于建立所述簽名名稱�、策略信息與域名之間的關(guān)聯(lián);
[0017]配置文件創(chuàng)建模塊�,配置在系統(tǒng)安全策略模塊中,用于為所述應(yīng)用程序創(chuàng)建安全策略配置文件����。
[0018]本發(fā)明通過一種基于Selinux定制應(yīng)用程序安全策略方法和裝置,通過系統(tǒng)安全管理模塊獲取應(yīng)用程序的簽名文件和進(jìn)程名稱�����,并通過系統(tǒng)安全策略模塊為應(yīng)用程序定制相應(yīng)的安全策略文件���。這樣能夠為應(yīng)用程序獨(dú)立的分配配置安全策略文件���,從而使得用戶能夠為應(yīng)用程序制定個性化的安全策略,提高智能系統(tǒng)的安全性��、靈活性���,且提升用戶的操作體驗����。
【附圖說明】
[0019]圖1是本發(fā)明實施例一中的一種基于Selinux定制應(yīng)用程序安全策略的方法流程示意圖。
[0020]圖2是本發(fā)明實施例二中的一種基于Selinux定制應(yīng)用程序安全策略的方法流程示意圖��。
[0021]圖3是本發(fā)明實施例三中的一種基于Selinux定制應(yīng)用程序安全策略的裝置結(jié)構(gòu)示意圖����。
【具體實施方式】
[0022]下面結(jié)合附圖和實施例對本發(fā)明作進(jìn)一步的詳細(xì)說明?�?梢岳斫獾氖?,此處所描述的具體實施例僅僅用于解釋本發(fā)明,而非對本發(fā)明的限定��。另外還需要說明的是�,為了便于描述,附圖中僅示出了與本發(fā)明相關(guān)的部分而非全部結(jié)構(gòu)���。
[0023]實施例一
[0024]圖1為本發(fā)明實施例一提供的一種基于Selinux定制應(yīng)用程序安全策略方法的流程示意圖����,本實施例可適用于基于Selinux為應(yīng)用程序定制安全策略的情況���,該方法可以由終端中配置的基于Selinux定制應(yīng)用程序安全策略的裝置來執(zhí)行,該裝置主要包括系統(tǒng)安全管理模塊和系統(tǒng)安全策略模塊��,可以采用硬件和/或軟件的形式實現(xiàn)。
[0025]該方法包括如下步驟:
[0026]S110�����、系統(tǒng)安全管理模塊確定應(yīng)用程序的簽名文件和進(jìn)程名稱�����;
[0027]所述簽名文件���,是應(yīng)用程序的電子簽名的一組信息�����。
[0028]所述進(jìn)程名稱是應(yīng)用程序運(yùn)行時所執(zhí)行進(jìn)程的名稱�。
[0029]簽名文件和進(jìn)程名稱是應(yīng)用程序安裝時就可確定的����。
[0030]上述操作中,系統(tǒng)安全管理模塊確定應(yīng)用程序的簽名文件和進(jìn)程名稱����,具體可以是,系統(tǒng)安全管理模塊通過應(yīng)用程序的安裝模塊(PackageManager模塊)來獲取應(yīng)用程序的簽名文件和進(jìn)程名稱。
[0031]Android系統(tǒng)里面的應(yīng)用程序安裝模塊是PackageManager模塊��,安裝模塊在應(yīng)用程序安裝時����,可以獲取到應(yīng)用程序的所有信息。如����,簽名文件和進(jìn)程名稱等。例如����,應(yīng)用程序為音樂時,通過安裝模塊獲取到的簽名文件名稱可以為“music, sign”���,進(jìn)程名稱可以為“com.android, music����,���,�����。
[0032]S120�、系統(tǒng)安全策略模塊為所述應(yīng)用程序的簽名文件定義簽名名稱����,且設(shè)置對應(yīng)的策略?目息;
[0033]上述操作中,系統(tǒng)安全策略模塊為所述應(yīng)用程序的簽名文件定義簽名名稱��,且設(shè)置對應(yīng)的策略信息�,進(jìn)一步通過示例來說明,例如�����,通過步驟S110��,獲取到的簽名文件“music, sign”�,系統(tǒng)安全策略模塊需要為應(yīng)用程序的簽名文件定義對應(yīng)的簽名名稱,可以制定為:“ [OMUSIC]:music, sign”��,其中�,“OMUSIC”就是簽名文件所對應(yīng)的簽名名稱。
[0034]獲取到簽名名稱后����,進(jìn)一步的系統(tǒng)安全策略模塊設(shè)置簽名名稱對應(yīng)的策略信息,具體設(shè)置為:
[0035]〈signer signature = 〃麵USIC">
[0036]<seinfo value = "music'V〉
[0037]其中,seinfo信息就是簽名名稱所對應(yīng)的策略信息��。
[0038]S130�����、所述系統(tǒng)安全策略模塊為所述應(yīng)用程序確定域名�;
[0039]域既是Windows網(wǎng)絡(luò)操作系統(tǒng)的邏輯組織單元,也是Internet的邏輯組織單元����,在Windows網(wǎng)絡(luò)操作系統(tǒng)中,域是安全邊界����。域管理員只能管理域的內(nèi)部,除非其他的域顯式地賦予他管理權(quán)限���,他才能夠訪問或者管理其他的域��;每個域都有自己的安全策略���,以及它與其他域的安全信任關(guān)系。
[0040]上述操作中���,為應(yīng)用程序進(jìn)一步分配了域��,并確定域名��。域名的定義格式遵循SELinux機(jī)制��,自定義域名格式為“type域名名稱����,domain ; ”來作為應(yīng)用程序的域名�。例如,基于上述音樂應(yīng)用程序示例��,定義音樂應(yīng)用程序所對應(yīng)的域名為“typemuSiC_app, domain �; ”,其中����,“music_app”為應(yīng)用程序的域名名稱。
[0041]S140�、所述系統(tǒng)安全策略模塊建立所述簽名名稱、策略信息與域名之間的關(guān)聯(lián)��;
[0042]上述操作中��,為簽名名稱、策略信息與域名建立關(guān)聯(lián)�����,以便使得該應(yīng)用程序能夠通過建立關(guān)聯(lián)作用到相應(yīng)的域中�����。
[0043]建立關(guān)聯(lián)的形式有多種:例如�����,對于音樂應(yīng)用程序����,建立其簽名名稱、策略信息與域名之間的關(guān)聯(lián)如下:
[0044]seinfo = music name = com.android, music domain = music_app
[0045]其中���,music為簽名名稱所對應(yīng)的策略信息�,com.android, music為應(yīng)用程序的進(jìn)程名稱����,music_app為應(yīng)用程序的域名稱,以此來進(jìn)行關(guān)聯(lián)�����。
[0046]S150、所述系統(tǒng)安全策略模塊為所述應(yīng)用程序創(chuàng)建安全策略配置文件�。
[0047]上述操作中,基于對簽名名稱���、策略信息與域名建立關(guān)聯(lián)后,進(jìn)而創(chuàng)建安全策略配置文件��,創(chuàng)建規(guī)則格式可以為“域名名稱.te”���。例如���,對于上述音樂應(yīng)用程序,進(jìn)一步����,創(chuàng)建其安全策略配置文件為“musiC_app.te”,也可以創(chuàng)建其他應(yīng)用的程序的安全策略文件�����。該安全策略文件中可以設(shè)置該應(yīng)用程序的訪問權(quán)限等安全策略��。創(chuàng)建安全策略配置文件的好處在于,每個安全策略配置文件對應(yīng)一個應(yīng)用程序����,使應(yīng)用程序更加獨(dú)立,靈活�����。
[0048]本實施例的技術(shù)方案����,基于Selinux定制應(yīng)用程序安全策略方法,通過配置文件為應(yīng)用程序創(chuàng)建獨(dú)立的安全策略配置文件����,解決了現(xiàn)有技術(shù)安全策略不夠靈活,用戶也不能個性化設(shè)置的需求���,本方案能夠基于Selinux為應(yīng)用程序定制一套獨(dú)立的安全策略配置文件���,進(jìn)而提高了應(yīng)用程序的安全性、靈活性�����。
[0049]實施例二
[0050]圖2為本發(fā)明實施例二提供的一種基于Selinux定制應(yīng)用程序安全策略方法流程示意圖,本實施例在上述各實施例的基礎(chǔ)上�����,進(jìn)一步的提供了一種基于Selinux定制應(yīng)用程序安全策略方法的再一種技術(shù)方案��。在該技術(shù)方案中�����,系統(tǒng)安全管理模塊確定應(yīng)用程序的簽名文件和進(jìn)程名稱還包