用于来自高级别应用程序许可的细粒度访问控制的框架的制作方法
【专利说明】用于来自高级别应用程序许可的细粒度访问控制的框架
[0001] 相关申请的交叉引用 本申请要求2013年11月27日提交的美国临时专利申请序列号61/909, 451的优先权, 该专利申请的公开内容通过引用并入本文中。
【背景技术】
[0002] 本发明的一个实施例总体上涉及移动计算装置。
[0003] 移动计算装置的操作系统平台使这种装置的用户能够将应用程序下载到他们的 移动计算装置中。
[0004] 操作系统平台的中心设计要点是安全架构。默认时,没有应用程序允许执行将会 对其它应用程序或操作系统造成负面影响的任何操作。离开移动计算装置的相同平台而被 执行的这种应用程序共享资源和数据。这是通过声明执行应用程序所需的许可而执行的, 但最初可能不被操作系统所允许。因此,当移动计算装置的用户正在将各自应用程序下载 到他们的移动计算装置时,操作系统提示用户哪些许可将被允许以便执行应用程序。在安 装应用程序时,提示用户以征求用户的同意。这种系统不具有在执行应用程序时授予许可 的机制。一旦用户在高级别应用程序许可中接受许可,则没有对恶意应用程序的安全检查, 该恶意应用程序一旦被安装则在操作系统中找到路从而当被启动时获得对本应禁止应用 程序进入的系统资源的访问。
【发明内容】
[0005] 本发明的一个实施例的一个优点是将高级别应用程序许可映射到低级别强制访 问控制(MC)策略。在为应用程序包的一部分的文件中被声明的且经常在安装之前被呈现 给用户以征求随后同意的高级别应用程序许可,近来已在使用操作系统平台的一大类移动 装置上被采用。本文中描述的实施例适用于种类广泛的平台,用于基于在许可文件中被请 求的许可而生成较细粒度的策略,从而限制各应用程序对资源的访问,强化整个系统,并且 提1?安全性。
[0006] 在本发明的一个实施例中构想一种用于应用程序特征对移动计算装置上的资源 的访问控制的方法。应用程序准备经由处理器而安装在移动计算装置上。识别与应用程序 相关的应用程序许可。应用程序许可与对移动计算装置的资源的访问有关。确定与应用程 序许可相关的限制。基于这些限制,定义用于应用程序许可的一组强制访问控制规则。将 这组强制访问控制规则与应用程序许可合并在可加载的强制访问控制策略模块中。将可加 载强制访问控制策略存储在移动计算装置的存储器中。可加载强制访问控制策略模块能够 由移动计算装置的操作系统强制执行。
[0007] -种用于将访问控制安装在移动计算装置上的方法。在移动计算装置与应用程序 分配实体之间建立通信联系。应用程序分配实体配置成当接收到移动计算装置的请求时将 应用程序传输至移动计算装置。由移动计算装置向应用程序实体发送请求,以便下载应用 程序。识别与应用程序相关的应用程序许可,应用程序许可与移动计算装置的资源访问有 关。确定与应用程序许可相关的限制。定义用于应用程序许可的一组强制访问控制规则。 将这组强制访问控制规则与应用程序许可合并在可加载强制访问控制策略模块中。
[0008] 本发明提供以下技术方案: 1. 一种用于应用程序特征对移动计算装置上的资源的访问控制的方法,包括以下步 骤: 准备应用程序用于经由处理器而安装在所述移动计算装置上; 识别与所述应用程序相关的应用程序许可,所述应用程序许可与所述移动计算装置的 资源访问有关; 确定与所述应用程序许可相关的限制; 基于所述限制,定义用于所述应用程序许可的一组强制访问控制规则; 将所述一组强制访问控制规则与所述应用程序许可合并在可加载强制访问控制策略 模块中;及 将所述可加载强制访问控制策略模块存储在所述移动计算装置的存储器中,所述可加 载强制访问控制策略模块能够由所述移动计算装置的操作系统强制执行。
[0009] 2.如方案1所述的方法,其中清单文件将所述应用程序许可映射到所述一组强 制访问控制规则。
[0010] 3.如方案2所述的方法,其中所述清单文件列举出由所述应用程序请求的所述 应用程序许可。
[0011] 4.如方案3所述的方法,其中将所述清单文件中的所述许可映射到提供用于访 问所述移动计算装置资源的授权规则的所述一组强制访问控制规则。
[0012] 5.如方案4所述的方法,其中所述强制访问控制规则定义对各自套接字的访问。
[0013] 6.如方案5所述的方法,其中所述强制访问控制规则定义在所述各自套接字上 被允许的操作。
[0014] 7.如方案4所述的方法,其中所述强制访问控制规则定义对各自端口的访问。
[0015] 8.如方案7所述的方法,其中所述强制访问控制规则定义经过所述各自端口的 发送能力。
[0016] 9.如方案7所述的方法,其中所述强制访问控制规则定义经过所述各自端口的 接收能力。
[0017] 10.如方案1所述的方法,其中所述强制访问控制规则被生成为SELinux强制访 问控制规则。
[0018] 11.如方案1所述的方法,其中所述策略模块被生成为SELinux策略。
[0019] 12.如方案1所述的方法,其中所述策略模块、强制访问控制规则和所述映射在 脱机处理期间作为输入而获得。
[0020] 13.如方案1所述的方法,其中在联机处理期间,处理器扫描含有应用程序正在 请求的所述许可的清单文件。
[0021] 14.如方案1所述的方法,其中处理器将所述文件中的所述许可转换成所述一组 强制访问控制规则。
[0022] 15.如方案1所述的方法,其中所述可加载策略模块被生成为SELinux策略模块。
[0023] 16.如方案1所述的方法,其中沙盒框架用于防止所述应用程序访问所述移动计 算装置的资源,其中所述沙盒框架起到在请求的应用程序与所述装置资源之间的代理服务 器的作用。
[0024] 17.如方案16所述的方法,其中所述代理服务器提供对所述移动装置的系统文 件的虚拟复本的访问,其中只允许对所述系统文件的虚拟复本进行选择性访问,由此防止 对所述移动装置的所述系统文件的访问。
[0025] 18.如方案16所述的方法,其中所述沙盒框架起到请求的应用程序与控制所述 资源的操作系统之间的代理服务器的作用。
[0026] 19.如方案16所述的方法,其中所述沙盒强制执行所述强制访问控制策略模块。
[0027] 20. -种用于将访问控制安装在移动计算装置上的方法,包括: 在移动计算装置与应用程序分配实体之间建立通信联系,所述应用程序分配实体配置 成当被所述移动计算装置请求时将应用程序传输至所述移动计算装置; 由所述移动计算装置将请求发送至所述应用程序实体,以便下载所述应用程序; 识别与所述应用程序相关的应用程序许可,所述应用程序许可与所述移动计算装置的 资源访问有关; 确定与所述应用程序许可相关的限制; 定义用于所述应用程序许可的一组强制访问控制规则;及 将所述一组强制访问控制规则和所述应用程序许可合并在可加载强制访问控制策略 模块中。
[0028] 21.如方案20所述的方法,其中利用沙盒框架来防止所述应用程序访问所述移 动计算装置的资源,其中所述沙盒框架起到请求的应用程序与所述装置资源之间的代理服 务器的作用,其中所述代理服务器提供对所述移动装置的资源的虚拟复本的访问,其中只 允许对所述资源的虚拟复本进行访问,由此防止对所述移动装置的资源的访问。
[0029] 22.如方案20所述的方法,其中在所述应用程序的启动期间,如果被与所述许可 相关的所述强制访问控制规则所授权,则授权所述应用程序特征进行访问。
【附图说明】