移动终端及其系统资源安全控制方法
【专利摘要】本发明提供一种移动终端系统资源安全控制方法及装置,所述方法包括步骤:获取系统最高权限并运行用于向独立运行空间提供系统的资源接口的代理服务;由所述代理服务向构建所述独立运行空间的宿主进程发送由自身配置的对应于不同资源接口的多个相应标记信息;响应于所述宿主进程的资源请求,由所述代理服务鉴别随附于该资源请求的标记信息符合规范后,向该宿主进程开放与该标记信息相对应的资源接口以供调用。本发明所述方法或装置,通过代理服务对系统资源接口进行控制,并与宿主进程之间交互向应用程序提供相应的资源接口,大大加强了对资源接口实施有效控制的安全性。
【专利说明】
移动终端及其系统资源安全控制方法
技术领域
[0001]本发明涉及信息安全技术领域,具体而言,本发明涉及一种移动终端及其系统资源安全控制方法。
【背景技术】
[0002]Android系统已经广泛应用于各种移动终端,其Linux基因使其安全性得到初步保障,但也带来不便。特别是Android的权限管理功能,在商业因素影响下,使得移动终端厂商对权限的控制与用户对权限的渴求之间形成一对潜在的矛盾。一方面,厂商希望收紧权限控制,来确保其对系统的控制权;另一方面,用户也希望通过提权操作来获取系统更大的权限以便更灵活地使用移动终端的各种功能。大多数情况下,这种潜在矛盾有很多现实的技术手段辅以实现的提权操作来实现调和,然而,在企业级应用场景中,移动终端的应用涉及到企业的多种商业信息,如不加以更有效的信息安全管理,一旦移动终端丢失或用户恶意操作,那么Android系统的安全机制便形同虚设一一存储在移动终端上的应用数据容易被人为或第三方应用截获、破解或转移,系统开放的权限越大,这种安全漏洞也就越大。但是,Android系统成为绝大多数移动终端的系统的现实已经形成,而企业级应用需求随着移动办公的需求的增大也在不断增大,因此,有必要通过额外的手段来加强Android在企业级应用方面的安全性。
[0003]业内基于Android四层架构的特点,对Android进行各种形式的二次开发,但这些改进多基于Android应用层的需求进行,利用Android固有的“漏洞”对Root权限进行抢占管理,可以知晓,这种安全性能的改进是有局限性的。而且,由于欠缺企业级安全的思考,这种改进的结果是将权限单向开放,由此通常导致其对所有应用一视同仁,最终导致其安全管理机制也同样形同虚设。
[0004]除此之外,单纯从Root权限来解决需求,并不足以解决企业级的需求。通常企业级应用除了需要实现对操作系统的权限获取之外,还需要在这一基础上实现更为高级的控制,以便实现对企业的商业信息的更有效的管理,特别是在实现集中统一控制方面,如缺乏相应的部署机制,显然无法实现对整个企业相关的多移动终端的信息安全的综合控制。
[0005]由以上的概述可见,目前为止,业内对相关需求的满足尚有较大的技术提升空间。
【发明内容】
[0006]本发明的目的在于针对以上存在的至少一方面不足,提供一种移动终端及其系统资源安全控制方法,以在不同程度上满足企业级安全需求。
[0007]为了实现该目的,本发明采取如下技术方案:
[0008]本发明一实施例提供一种移动终端系统资源安全控制方法,包括如下步骤:
[0009]获取系统最高权限并运行用于向独立运行空间提供系统的资源接口的代理服务;
[0010]由所述代理服务向构建所述独立运行空间的宿主进程发送由自身配置的对应于不同资源接口的多个相应标记信息;
[0011]响应于所述宿主进程的资源请求,由所述代理服务鉴别随附于该资源请求的标记信息符合规范后,向该宿主进程开放与该标记信息相对应的资源接口以供调用。
[0012]具体的,所述标记信息基于相应的资源接口按照预定规则形成签名的形式进行提供。
[0013]其中,所述的签名基于所述资源接口的相应文件和/或进程特征生成。
[0014]可选的,所述标记信息基于相应的资源接口按照预定规则加密形成密文的形式进行提供。
[0015]其中,所述的密文基于所述资源接口的相应文件和/或进程特征生成。
[0016]具体的,所述独立运行空间区别于系统启动桌面所属进程空间而存在。
[0017]进一步,所述宿主进程被配置为将所述的资源接口移交给第三方应用进程以使所述资源接口得以调度执行。
[0018]具体的,所述宿主进程用于对第三方应用进程所需资源接口进行使用权限控制,且宿主进程对资源接口的使用权限控制受限于所述代理服务所开放的标记信息。
[0019]进一步,所述宿主进程被配置为为第三方应用进程对系统权限的请求转换为相对应的标记信息,将该请求的内容及相应的标记信息封装成所述的资源请求提供给所述的代理服务。
[0020]更进一步,所述宿主进程被配置为当其响应于某个远程指令时,清除与该指令相对应的第三方应用程序的数据。
[0021]其中,所述第三方应用程序进程被配置为当所述宿主进程所对应的程序被卸载时,响应于其卸载的广播消息而清除该第三方应用程序产生数据。
[0022]具体的,所述的宿主进程被配置为在移动终端运行区别于系统启动桌面的运行界面,所述的第三方应用进程被配置为将其活动组件界面显示于所述的运行界面之上。
[0023]优选的,所述的第三方应用进程被配置为对其产生的数据在存储时进行加密,而在读取时则进行解密。
[0024]具体的,所述第三方应用进程被配置为对其文件打开方式进行重定向,使其由所述宿主进程预定的对应方式打开。
[0025]其中,所述代理服务运行于系统的框架层。
[0026]具体的,借助植入于系统的网络守护进程的功能模块实现所述系统最高权限的获取并实现与所述代理服务的层间通信,以便所述代理服务实现对所述资源接口的控制和调用。
[0027]具体的,所述系统最高权限的获取基于区别于系统的刷机模式配置映射文件而实现。
[0028]其中,所述代理服务响应于系统启动桌面进程的请求而向其开放系统预定的资源接口,以使其安全控制功能区别于对所述独立运行空间的安全控制功能。
[0029]优选的,所述的宿主进程被配置为当其响应于用户桌面切换指令时,启动关闭自身独立运行空间并切换到系统启动桌面进行运行的过程。
[0030]优选的,所述宿主进程被配置为可提供一个用于维护所述代理服务的资源接口的标记信息的用户界面。
[0031]本发明另一实施例提供一种移动终端,包括:
[0032]代理单元,用于获取系统最高权限并运行用于向独立运行空间提供系统的资源接口的代理服务;
[0033 ]分配单元,被配置为由所述代理服务向构建所述独立运行空间的宿主进程发送由自身配置的对应于不同资源接口的多个相应标记信息;
[0034]控制单元,被配置为响应于所述宿主进程的资源请求,由所述代理服务鉴别随附于该资源请求的标记信息符合规范后,向该宿主进程开放与该标记信息相对应的资源接口以供调用。
[0035]具体的,所述标记信息基于相应的资源接口按照预定规则形成签名的形式进行提供。
[0036]其中,所述的签名基于所述资源接口的相应文件和/或进程特征生成。
[0037]可选的,所述标记信息基于相应的资源接口按照预定规则加密形成密文的形式进行提供。
[0038]其中,所述的密文基于所述资源接口的相应文件和/或进程特征生成。
[0039]具体的,所述独立运行空间区别于系统启动桌面所属进程空间而存在。
[0040]进一步,所述宿主进程被配置为将所述的资源接口移交给第三方应用进程以使所述资源接口得以调度执行。
[0041]具体的,所述宿主进程用于对第三方应用进程所需资源接口进行使用权限控制,且宿主进程对资源接口的使用权限控制受限于所述代理服务所开放的标记信息。
[0042]进一步,所述宿主进程被配置为为第三方应用进程对系统权限的请求转换为相对应的标记信息,将该请求的内容及相应的标记信息封装成所述的资源请求提供给所述的代理服务。
[0043]更进一步,所述宿主进程被配置为当其响应于某个远程指令时,清除与该指令相对应的第三方应用程序的数据。
[0044]其中,所述第三方应用程序进程被配置为当所述宿主进程所对应的程序被卸载时,响应于其卸载的广播消息而清除该第三方应用程序产生数据。
[0045]具体的,所述的宿主进程被配置为在移动终端运行区别于系统启动桌面的运行界面,所述的第三方应用进程被配置为将其活动组件界面显示于所述的运行界面之上。
[0046]优选的,所述的第三方应用进程被配置为对其产生的数据在存储时进行加密,而在读取时则进行解密。
[0047]具体的,所述第三方应用进程被配置为对其文件打开方式进行重定向,使其由所述宿主进程预定的对应方式打开。
[0048]其中,所述代理服务运行于系统的框架层。
[0049]具体的,所述启动单元被配置为借助植入于系统的网络守护进程的功能模块实现所述系统最高权限的获取并实现与所述代理服务的层间通信,以便所述代理服务实现对所述资源接口的控制和调用。
[0050]具体的,所述系统最高权限的获取基于区别于系统的刷机模式配置映射文件而实现。
[0051]其中,所述代理服务响应于系统启动桌面进程的请求而向其开放系统预定的资源接口,以使其安全控制功能区别于对所述独立运行空间的安全控制功能。
[0052]优选的,所述的宿主进程被配置为当其响应于用户桌面切换指令时,启动关闭自身独立运行空间并切换到系统启动桌面进行运行的过程。
[0053]优选的,所述宿主进程被配置为可提供一个用于维护所述代理服务的资源接口的标记信息的用户界面。
[0054]与现有技术相比较,本发明至少具有如下优点:
[0055]本发明通过运行所述的代理服务,由该代理服务对系统的资源接口进行控制,为拟开放的每个资源接口设置相应的标记信息,为与该代理服务存在交互关系的宿主进程传送相应的标记信息。当所述的宿主进程需要使用相关资源接口时,便可将相应的标记信息随附于相应的资源请求中提交给代理服务,代理服务对该标记信息完成鉴权之后,即可向该宿主进程开放相应的资源接口供使用。可以看出,代理服务与宿主进程之间,涉及对资源接口的调度的鉴权机制是双向的。也即,所述的标记信息同代理服务提供,而宿主进程需要使用某个资源接口时,又需提供表征合法凭证的标记信息,其他未获标记信息的进程显然无法通过代理服务获取相应的资源接口,由此可见,宿主进程对资源接口的使用,被代理服务控制在一个有限范围内,形成相当于沙箱的机制,这种双向的鉴权机制大大加强了对资源接口实施有效控制的安全性。
[0056]本发明所述的宿主进程,自身起到为在其构造的独立运行空间运行的第三方应用程序进程提供资源接口控制的作用,可以在其审查第三方应用程序所需的资源接口是否合法或者是否超越预设权限后,对这种第三方应用程序的进程的资源使用情况加以分配和控制。可以看出,资源接口既可以在代理服务中加以分发控制,又可以在宿主进程中加以控制,形成了双层协作机制。实践中,由所述的宿主进程用于为企业级应用提供进程运行环境,这种情况下,这些企业级应用首先被封装于一个独立运行空间中运行,其次通过这种双层安全机制,其活动将得到更为有效的控制。即使有恶意应用伪装成企业级应用在独立运行空间中试图启动,也能够被这一双层安全机制有效监控并处理之。可见,移动终端在满足企业级应用的安全的需求可以由这一双层安全机制来满足。
[0057]本发明的代理服务运行于Android系统四层架构的框架层,扼守应用层与底层之间的通信要道,既可通过识别启动入口为系统启动桌面之后,无条件放行为系统启动桌面相关的进程提供系统默认的运行逻辑,也可通过识别启动入口为所述的宿主进程而按照本发明的方法加以资源接口控制管理,因此,可以保障所述宿主进程与Android原系统并行不悖,可以将所述宿主进程与代理服务以及相应的辅助文件封装成安装套件,以更为小巧的体量的提供给用户进行安装,大大缩小实施本发明的文件体积和系统存储和运行空间占用。
[0058]本发明的宿主进程,在其独立空间运行的第三方应用均可以被预先改造和配置,且宿主进程可以建立与远程服务器的通信,从而能够接收远程指令,并将远程指令作用于被预先配置的所述第三方应用,使得第三方应用的数据安全能够被进一步加固,从而使本发明能够系统性地满足移动终端的企业级应用需要。
[0059]概括而言,本发明的实施,使系统的资源接口得到更安全地管控,从而使移动终端特别是Android系统能够进一步满足企业级应用安全需求。然而,书不尽言,本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
【附图说明】
[0060]本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
[0061 ]图1为本发明一实施例所述的移动终端系统资源安全控制方法流程示意图;
[0062]图2为本发明另一实施例所述的移动终端的结构示意图。
【具体实施方式】
[0063]下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
[0064]本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“親接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
[0065]本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
[0066]本技术领域技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,进行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(Personal Communicat1ns Service,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Posit1ning System,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
[0067]如图1为本发明一实施例所述的一种系统资源安全控制方法的流程示意图,步骤包括:
[0068]SlOl、获取系统最高权限并运行用于向独立运行空间提供系统的资源接口的代理服务;
[0069]众所周知,Root权限是指Unix类操作系统(包括Linux和Android)的系统管理员权限,类似于Windows系统中的Administrator (管理员)权限;Root权限可以访问和修改用户的移动设备中几乎所有的文件(Android系统文件及用户文件)。但是,由于目前移动终端系统对于Root权限的管理非常严格,通常情况下多数应用或程序都不具备Root权限,因此对于某些需要具备Root权限的操作就无法执行,例如安装或卸载应用等操作;同时,此类操作调用进程每次执行相应操作时都需要向系统申请Root权限,但如果此时其他应用进程正在使用Root权限进行相关操作,则此调用进程的Root权限申请便无法成功;更甚者,如果用户在系统中设置了禁用Root权限的操作,则相关调用进程便无法进行相关操作。
[0070]通常移动终端用户都想获取其终端系统更广泛的控制权,鉴于此,业内提供了各种提权方案用于获取Android系统的Root权限,实现用户权限提升,达到全面控制操作系统的目的。
[0071]本发明实施例所述系统最高权限的获取基于区别于系统的刷机模式配置映射文件而实现。具体地,在系统的recovery模式下执行刷机,通过recovery引导程序,将预设文件存储至系统的指定位置并解压缩,以使预设文件写入系统,由此在系统的网络守护进程中植入特定功能模块,借助植入于系统的网络守护进程的功能模块实现所述系统最高权限的获取并实现与所述代理服务的层间通信,以便所述代理服务实现对所述资源接口的控制和调用。
[0072]其中,所述代理服务运行于系统的框架层,如Android系统,包括四层架构,分别为应用层、框架层、系统运行库层以及Linux内核层。其调用系统运行库层及Linux内核层的相应资源,为应用层的程序提供服务。所述植入于系统的网络守护进程的功能模块为通过刷机植入的模块,其通过修改系统签名获取其最高权限,并启动代理服务使其运行于系统进程。所述代理服务与该功能模块进行通信,以实现对系统资源接口的控制和调用,为所述独立运行空间提供系统服务。
[0073]所述代理服务扼守应用层与底层之间的通信要道,既可通过识别启动入口为系统启动桌面之后,无条件放行为系统启动桌面相关的进程提供系统默认的运行逻辑,也可通过识别启动入口为所述的宿主进程而按照本发明的方法加以资源接口控制管理,因此,可以保障所述宿主进程与Android原系统并行不悖,可以将所述宿主进程与代理服务以及相应的辅助文件封装成安装套件,以更为小巧的体量的提供给用户进行安装,大大缩小本发明实施例的文件体积、系统存储及运行空间占用。
[0074]其中,所述独立运行空间为区别于系统启动桌面所属进程空间而存在,其独立与系统桌面进程,且管理系统桌面进程的相关服务。具体的,通过代理服务提供的若干平台签名向其第三方应用程序提供相关服务,当第三方应用程序向系统请求获得相应系统服务时,由该独立运行空间与所述代理服务进行交互获取,【具体实施方式】通过后续步骤详细描述。
[0075]S102、由所述代理服务向构建所述独立运行空间的宿主进程发送由自身配置的对应于不同资源接口的多个相应标记信息;
[0076]所述代理服务为刷机时预先植入系统的服务进程,作为第三方应用程序访问系统最高权限的中介,其架设有用于管理系统的资源接口访问权限的模块,这种情况下,其预先向构建所述独立运行空间的宿主进程发送由自身配置的对应于不同资源接口的多个相应标记信息。所述代理服务的用于管理系统的资源接口访问权限的模块,将各个系统资源接口分别对应映射为一个标记信息,以用于区分不同资源接口,同时也便于在宿主进程请求调用系统的不同资源接口时下发相应的资源接口访问权限,将复杂的资源接口表示为简单的标记信息,以便于所述代理服务与所述宿主进程之间的交互。更重要的,通过简单的标记信息将真实的资源接口信息屏蔽,大大增加了所述宿主进程向所述代理服务请求系统资源接口使用的安全性。
[0077]其中,所述标记信息基于相应的资源接口按照预定规则形成签名的形式进行提供。所述的签名基于所述资源接口的相应文件和/或进程特征生成。
[0078]进一步的,在其他实施例中,所述标记信息基于相应的资源接口按照预定规则加密形成密文的形式进行提供。所述的密文基于所述资源接口的相应文件和/或进程特征生成。其中,所述加密算法为预先约定的任意加密算法,本发明对加密算法本身不作限定。
[0079]所述代理服务架设有用于管理系统的资源接口访问权限的模块,当所述独立运行空间的宿主进程请求相应的系统资源接口时,通常由这种管理模块接收其请求,这一请求指令,即本发明实施例所述标记信息,是由本管理模块预先向所述宿主进程分配的,起到类似于令牌的作用。管理模块接收包含相应标记信息的请求后,对该标记信息进行验证,验证通过后才向所述宿主进程提供相应的资源接口。
[0080]进一步的,所述代理服务响应于系统启动桌面进程的请求而向其开放系统预定的资源接口,以使其安全控制功能区别于对所述独立运行空间的安全控制功能。即,当有应用程序请求启动系统桌面进程时,代理服务响应并启动,为该应用程序开发系统预设的资源接口,其中,所述应用程序的运行空间为独立于所述独立运行空间的系统桌面进程空间,以使代理服务对其安全控制功能区别于所述独立运行空间的安全控制功能。
[0081]更进一步,所述的宿主进程被配置为当其响应于用户桌面切换指令时,启动关闭自身独立运行空间并切换到系统启动桌面进行运行的过程。即,所述独立运行空间与用户桌面进程为两个不同的独立进程,其都为第三方应用程序的运行提供进程资源,当用户通过用户交互界面切换桌面时,具体可通过点击一个切换按钮,或修改系统设置选项中的一项,又或通过选中或取消悬浮通知栏中的一个图标等多种用户指令操作方式。宿主进程对该用户指令进行响应,关闭自身的独立运行空间,并切换到系统启动桌面的进程。
[0082]更进一步的,所述宿主进程被配置为可提供一个用于维护所述代理服务的资源接口的标记信息的用户界面。所述代理服务基于所述标记信息开放相应的资源接口,具体通过后续步骤说明。
[0083]S103、响应于所述宿主进程的资源请求,由所述代理服务鉴别随附于该资源请求的标记信息符合规范后,向该宿主进程开放与该标记信息相对应的资源接口以供调用。
[0084]当宿主进程向系统请求获取资源接口时,由代理服务鉴别随附于该资源请求的标记信息是否符合规范,具体的,如果所述标记信息为签名形式,则对该签名进行校验,若校验通过则向该宿主进程开发与该标记信息相对应的资源接口以供调用。如果所述标记信息为密文形式,则对相应的密文通过预先约定的解密算法解密以获取请求的资源接口的标记信息,并基于该标记信息向该宿主进程开发与该标记信息相对应的资源接口以供调用。
[0085]其中,所述宿主进程被配置为将所述的资源接口移交给第三方应用进程以使所述资源接口得以调度执行。具体的,第三方应用进程通过所述宿主进程请求获取系统资源接口,由宿主进程将相应的资源接口封装成标记信息并发起请求,代理服务鉴别标记信息成功后下发相应的资源接口,由宿主进程将该资源接口移交给实质请求的第三方应用进程调用。
[0086]优选的,所述宿主进程用于对第三方应用进程所需资源接口进行使用权限控制,且宿主进程对资源接口的使用权限控制受限于所述代理服务所开放的标记信息。
[0087]进一步,所述宿主进程被配置为第三方应用进程对系统权限的请求转换为相对应的标记信息,将该请求的内容及相应的标记信息封装成所述的资源请求提供给所述的代理服务。
[0088]更进一步,所述宿主进程被配置为当其响应于某个远程指令时,清除与该指令相对应的第三方应用程序的数据。宿主进程具有与远程服务器进行交互的功能,并能够控制第三方应用程序。当通过远程接口接收到清除指令时,清除与该指令相对应的第三方应用程序的数据。相应的,所述第三方应用程序进程被配置为当所述宿主进程所对应的程序被卸载时,响应于其卸载的广播消息而清除该第三方应用程序产生数据。
[0089]更进一步,所述的宿主进程被配置为在移动终端运行区别于系统启动桌面的运行界面,相应的,所述的第三方应用进程被配置为将其活动组件界面显示于所述的运行界面之上。
[0090]优选的,所述的第三方应用进程被配置为对其产生的数据在存储时进行加密,而在读取时则进行解密,以通过对产生数据的进行加密提高第三方应用进程的数据安全性。为了更进一步提高所述第三方应用进程的数据安全性,所述第三方应用进程被配置为对其文件打开方式进行重定向,使其由所述宿主进程预定的对应方式打开,在数据加密的基础上,通过对其文件打开方式的限定,进一步增强第三方应用进程的数据安全性,以防止在进程间通信过程中被窃取。
[0091]其中,所述宿主进程,在其独立空间运行的第三方应用均可以被预先改造和配置,且宿主进程可以建立与远程服务器的通信,从而能够接收远程指令,并将远程指令作用于被预先配置的所述第三方应用,使得第三方应用的数据安全能够被进一步加固,从而使本发明能够系统性地满足移动终端的企业级应用需要。
[0092]具体的,所述宿主进程自身起到为在其构造的独立运行空间运行的第三方应用程序进程提供资源接口控制的作用,可以在其审查第三方应用程序所需的资源接口是否合法或者是否超越预设权限后,对这种第三方应用程序的进程资源使用情况加以分配和控制。因此,资源接口既可以在代理服务中加以分发控制,又可以在宿主进程中加以控制,形成了双层协作机制。实践中,由所述的宿主进程用于为企业级应用提供进程运行环境,这种情况下,这些企业级应用首先被封装于一个独立运行空间中运行,其次通过这种双层安全机制,其活动将得到更为有效的控制。即使有恶意应用伪装成企业级应用在独立运行空间中试图启动,也能够被这一双层安全机制有效监控并处理之。可见,移动终端在满足企业级应用的安全的需求可以由这一双层安全机制来满足。
[0093]依据计算机程序的模块化思维,本发明还提供另一实施例所述的一种移动终端,其结构示意图如图2所示,包括代理单元11、分配单元12、控制单元13,以下详细提示各单元所实现的功能:
[0094]所述代理单元11,用于获取系统最高权限并运行用于向独立运行空间提供系统的资源接口的代理服务;
[0095]众所周知,Root权限是指Unix类操作系统(包括Linux和Android)的系统管理员权限,类似于Windows系统中的Administrator (管理员)权限;Root权限可以访问和修改用户的移动设备中几乎所有的文件(Android系统文件及用户文件)。但是,由于目前移动终端系统对于Root权限的管理非常严格,通常情况下多数应用或程序都不具备Root权限,因此对于某些需要具备Root权限的操作就无法执行,例如安装或卸载应用等操作;同时,此类操作调用进程每次执行相应操作时都需要向系统申请Root权限,但如果此时其他应用进程正在使用Root权限进行相关操作,则此调用进程的Root权限申请便无法成功;更甚者,如果用户在系统中设置了禁用Root权限的操作,则相关调用进程便无法进行相关操作。
[0096]通常移动终端用户都想获取其终端系统更广泛的控制权,鉴于此,业内提供了各种提权方案用于获取Android系统的Root权限,实现用户权限提升,达到全面控制操作系统的目的。
[0097]本发明实施例所述系统最高权限的获取基于区别于系统的刷机模式配置映射文件而实现。具体地,在系统的recovery模式下执行刷机,通过recovery引导程序,将预设文件存储至系统的指定位置并解压缩,以使预设文件写入系统,由此在系统的网络守护进程中植入特定功能模块,启动单元借助植入于系统的网络守护进程的功能模块实现所述系统最高权限的获取并实现与所述代理服务的层间通信,以便所述代理服务实现对所述资源接口的控制和调用。
[0098]其中,所述代理服务运行于系统的框架层,如Android系统,包括四层架构,分别为应用层、框架层、系统运行库层以及Linux内核层。其调用系统运行库层及Linux内核层的相应资源,为应用层的程序提供服务。所述植入于系统的网络守护进程的功能模块为通过刷机植入的模块,其通过修改系统签名获取其最高权限,并启动代理服务使其运行于系统进程。所述代理服务与该功能模块进行通信,以实现对系统资源接口的控制和调用,为所述独立运行空间提供系统服务。
[0099]所述代理服务扼守应用层与底层之间的通信要道,既可通过识别启动入口为系统启动桌面之后,无条件放行为系统启动桌面相关的进程提供系统默认的运行逻辑,也可通过识别启动入口为所述的宿主进程而按照本发明的方法加以资源接口控制管理,因此,可以保障所述宿主进程与Android原系统并行不悖,可以将所述宿主进程与代理服务以及相应的辅助文件封装成安装套件,以更为小巧的体量的提供给用户进行安装,大大缩小本发明实施例的文件体积、系统存储及运行空间占用。
[0100]其中,所述独立运行空间为区别于系统启动桌面所属进程空间而存在,其独立与系统桌面进程,且管理系统桌面进程的相关服务。具体的,通过代理服务提供的若干平台签名向其第三方应用程序提供相关服务,当第三方应用程序向系统请求获得相应系统服务时,由该独立运行空间与所述代理服务进行交互获取,【具体实施方式】通过后续单元模块详细描述。
[0101]所述分配单元12,被配置为由所述代理服务向构建所述独立运行空间的宿主进程发送由自身配置的对应于不同资源接口的多个相应标记信息;
[0102]所述代理服务为刷机时预先植入系统的服务进程,作为第三方应用程序访问系统最高权限的中介,其架设有用于管理系统的资源接口访问权限的模块,这种情况下,由分配单元12通知所述代理服务预先向构建所述独立运行空间的宿主进程发送由自身配置的对应于不同资源接口的多个相应标记信息。所述代理服务的用于管理系统的资源接口访问权限的模块,将各个系统资源接口分别对应映射为一个标记信息,以用于区分不同资源接口,同时也便于在宿主进程请求调用系统的不同资源接口时下发相应的资源接口访问权限,将复杂的资源接口表示为简单的标记信息,以便于所述代理服务与所述宿主进程之间的交互。更重要的,通过简单的标记信息将真实的资源接口信息屏蔽,大大增加了所述宿主进程向所述代理服务请求系统资源接口使用的安全性。
[0103]其中,所述标记信息基于相应的资源接口按照预定规则形成签名的形式进行提供。所述的签名基于所述资源接口的相应文件和/或进程特征生成。
[0104]进一步的,在其他实施例中,所述标记信息基于相应的资源接口按照预定规则加密形成密文的形式进行提供。所述的密文基于所述资源接口的相应文件和/或进程特征生成。其中,所述加密算法为预先约定的任意加密算法,本发明对加密算法本身不作限定。
[0105]所述代理服务架设有用于管理系统的资源接口访问权限的模块,当所述独立运行空间的宿主进程请求相应的系统资源接口时,通常由这种管理模块接收其请求,这一请求指令,即本发明实施例所述标记信息,是由本管理模块预先向所述宿主进程分配的,起到类似于令牌的作用。管理模块接收包含相应标记信息的请求后,对该标记信息进行验证,验证通过后才向所述宿主进程提供相应的资源接口。
[0106]进一步的,所述代理服务响应于系统启动桌面进程的请求而向其开放系统预定的资源接口,以使其安全控制功能区别于对所述独立运行空间的安全控制功能。即,当有应用程序请求启动系统桌面进程时,代理服务响应并启动,为该应用程序开发系统预设的资源接口,其中,所述应用程序的运行空间为独立于所述独立运行空间的系统桌面进程空间,以使代理服务对其安全控制功能区别于所述独立运行空间的安全控制功能。
[0107]更进一步,所述的宿主进程被配置为当其响应于用户桌面切换指令时,启动关闭自身独立运行空间并切换到系统启动桌面进行运行的过程。即,所述独立运行空间与用户桌面进程为两个不同的独立进程,其都为第三方应用程序的运行提供进程资源,当用户通过用户交互界面切换桌面时,具体可通过点击一个切换按钮,或修改系统设置选项中的一项,又或通过选中或取消悬浮通知栏中的一个图标等多种用户指令操作方式。宿主进程对该用户指令进行响应,关闭自身的独立运行空间,并切换到系统启动桌面的进程。
[0108]更进一步的,所述宿主进程被配置为可提供一个用于维护所述代理服务的资源接口的标记信息的用户界面。所述代理服务基于所述标记信息开放相应的资源接口,具体通过后续单元模块的执行过程进行说明。
[0109]所述控制单元13,被配置为响应于所述宿主进程的资源请求,由所述代理服务鉴别随附于该资源请求的标记信息符合规范后,向该宿主进程开放与该标记信息相对应的资源接口以供调用。
[0110]当宿主进程向系统请求获取资源接口时,控制单元13对其进行响应,通知所述代理服务鉴别随附于该资源请求的标记信息是否符合规范,具体的,如果所述标记信息为签名形式,则对该签名进行校验,若校验通过则向该宿主进程开发与该标记信息相对应的资源接口以供调用。如果所述标记信息为密文形式,则对相应的密文通过预先约定的解密算法解密以获取请求的资源接口的标记信息,并基于该标记信息向该宿主进程开发与该标记信息相对应的资源接口以供调用。
[0111]其中,所述宿主进程被配置为将所述的资源接口移交给第三方应用进程以使所述资源接口得以调度执行。具体的,第三方应用进程通过所述宿主进程请求获取系统资源接口,由宿主进程将相应的资源接口封装成标记信息并发起请求,代理服务鉴别标记信息成功后下发相应的资源接口,由宿主进程将该资源接口移交给实质请求的第三方应用进程调用。
[0112]优选的,所述宿主进程用于对第三方应用进程所需资源接口进行使用权限控制,且宿主进程对资源接口的使用权限控制受限于所述代理服务所开放的标记信息。
[0113]进一步,所述宿主进程被配置为第三方应用进程对系统权限的请求转换为相对应的标记信息,将该请求的内容及相应的标记信息封装成所述的资源请求提供给所述的代理服务。
[0114]更进一步,所述宿主进程被配置为当其响应于某个远程指令时,清除与该指令相对应的第三方应用程序的数据。宿主进程具有与远程服务器进行交互的功能,并能够控制第三方应用程序。当通过远程接口接收到清除指令时,清除与该指令相对应的第三方应用程序的数据。相应的,所述第三方应用程序进程被配置为当所述宿主进程所对应的程序被卸载时,响应于其卸载的广播消息而清除该第三方应用程序产生数据。
[0115]更进一步,所述的宿主进程被配置为在移动终端运行区别于系统启动桌面的运行界面,相应的,所述的第三方应用进程被配置为将其活动组件界面显示于所述的运行界面之上。
[0116]优选的,所述的第三方应用进程被配置为对其产生的数据在存储时进行加密,而在读取时则进行解密,以通过对产生数据的进行加密提高第三方应用进程的数据安全性。为了更进一步提高所述第三方应用进程的数据安全性,所述第三方应用进程被配置为对其文件打开方式进行重定向,使其由所述宿主进程预定的对应方式打开,在数据加密的基础上,通过对其文件打开方式的限定,进一步增强第三方应用进程的数据安全性,以防止在进程间通信过程中被窃取。
[0117]其中,所述宿主进程,在其独立空间运行的第三方应用均可以被预先改造和配置,且宿主进程可以建立与远程服务器的通信,从而能够接收远程指令,并将远程指令作用于被预先配置的所述第三方应用,使得第三方应用的数据安全能够被进一步加固,从而使本发明能够系统性地满足移动终端的企业级应用需要。
[0118]具体的,所述宿主进程自身起到为在其构造的独立运行空间运行的第三方应用程序进程提供资源接口控制的作用,可以在其审查第三方应用程序所需的资源接口是否合法或者是否超越预设权限后,对这种第三方应用程序的进程资源使用情况加以分配和控制。因此,资源接口既可以在代理服务中加以分发控制,又可以在宿主进程中加以控制,形成了双层协作机制。实践中,由所述的宿主进程用于为企业级应用提供进程运行环境,这种情况下,这些企业级应用首先被封装于一个独立运行空间中运行,其次通过这种双层安全机制,其活动将得到更为有效的控制。即使有恶意应用伪装成企业级应用在独立运行空间中试图启动,也能够被这一双层安全机制有效监控并处理之。可见,移动终端在满足企业级应用的安全的需求可以由这一双层安全机制来满足。
[0119]综上所述,本发明实施例通过运行所述代理服务,由该代理服务对系统的资源接口进行控制,为拟开放的每个资源接口设置相应的标记信息,为与该代理服务存在交互关系的宿主进程传送相应的标记信息。当所述的宿主进程需要使用相关资源接口时,便可将相应的标记信息随附于相应的资源请求中提交给代理服务,代理服务对该标记信息完成鉴权之后,即可向该宿主进程开放相应的资源接口供使用。代理服务与宿主进程之间,涉及对资源接口的调度的鉴权机制是双向的。也即,所述的标记信息同代理服务提供,而宿主进程需要使用某个资源接口时,又需提供表征合法凭证的标记信息,其他未获标记信息的进程显然无法通过代理服务获取相应的资源接口,由此可见,宿主进程对资源接口的使用,被代理服务控制在一个有限范围内,形成相当于沙箱的机制,这种双向的鉴权机制大大加强了对资源接口实施有效控制的安全性。
[0120]本技术领域技术人员可以理解,本发明包括涉及用于执行本申请中所述操作中的一项或多项的设备。这些设备可以为所需的目的而专门设计和制造,或者也可以包括通用计算机中的已知设备。这些设备具有存储在其内的计算机程序,这些计算机程序选择性地激活或重构。这样的计算机程序可以被存储在设备(例如,计算机)可读介质中或者存储在适于存储电子指令并分别耦联到总线的任何类型的介质中,所述计算机可读介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、R0M(Read-0nly Memory,只读存储器)、RAM (Random Access Memory,随即存储器)、EPROM(Erasable ProgrammableRead-Only Memory,可擦写可编程只读存储器)、EEPR0M(E1 ectricalIy ErasableProgrammable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
[0121]本技术领域技术人员可以理解,可以用计算机程序指令来实现这些结构图和/或框图和/或流图中的每个框以及这些结构图和/或框图和/或流图中的框的组合。本技术领域技术人员可以理解,可以将这些计算机程序指令提供给通用计算机、专业计算机或其他可编程数据处理方法的处理器来实现,从而通过计算机或其他可编程数据处理方法的处理器来执行本发明公开的结构图和/或框图和/或流图的框或多个框中指定的方案。
[0122]本技术领域技术人员可以理解,本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地,具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地,现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。
[0123]以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【主权项】
1.一种移动终端系统资源安全控制方法,其特征在于,包括如下步骤: 获取系统最高权限并运行用于向独立运行空间提供系统的资源接口的代理服务; 由所述代理服务向构建所述独立运行空间的宿主进程发送由自身配置的对应于不同资源接口的多个相应标记信息; 响应于所述宿主进程的资源请求,由所述代理服务鉴别随附于该资源请求的标记信息符合规范后,向该宿主进程开放与该标记信息相对应的资源接口以供调用。2.根据权利要求1所述的方法,其特征在于,所述标记信息基于相应的资源接口按照预定规则形成签名的形式进行提供。3.根据权利要求2所述的方法,其特征在于,所述的签名基于所述资源接口的相应文件和/或进程特征生成。4.根据权利要求1所述的方法,其特征在于,所述标记信息基于相应的资源接口按照预定规则加密形成密文的形式进行提供。5.根据权利要求4所述的方法,其特征在于,所述的密文基于所述资源接口的相应文件和/或进程特征生成。6.一种移动终端,其特征在于,包括: 代理单元,用于获取系统最高权限并运行用于向独立运行空间提供系统的资源接口的代理服务; 分配单元,被配置为由所述代理服务向构建所述独立运行空间的宿主进程发送由自身配置的对应于不同资源接口的多个相应标记信息; 控制单元,被配置为响应于所述宿主进程的资源请求,由所述代理服务鉴别随附于该资源请求的标记信息符合规范后,向该宿主进程开放与该标记信息相对应的资源接口以供调用。7.根据权利要求6所述的移动终端,其特征在于,所述标记信息基于相应的资源接口按照预定规则形成签名的形式进行提供。8.根据权利要求7所述的移动终端,其特征在于,所述的签名基于所述资源接口的相应文件和/或进程特征生成。9.根据权利要求6所述的移动终端,其特征在于,所述标记信息基于相应的资源接口按照预定规则加密形成密文的形式进行提供。10.根据权利要求9所述的移动终端,其特征在于,所述的密文基于所述资源接口的相应文件和/或进程特征生成。
【文档编号】G06F21/30GK105912930SQ201610222332
【公开日】2016年8月31日
【申请日】2016年4月11日
【发明人】井科伟, 赵程亮, 张庭
【申请人】北京奇虎科技有限公司, 北京驰马科技有限公司