r>[0030] 图1是移动计算装置的示意图。
[0031] 图2是显示高级别许可的移动计算装置的示意图。
[0032] 图3是说明通信装置的方框图。
[0033] 图4是应用程序分配器与移动计算装置之间的相互作用的示例性方框图。
[0034] 图5是将应用程序安装在具有MC性能的通用平台上的方框图。
[0035] 图6是示例应用程序许可的图示。
[0036] 图7是示例性清单文件的图示。
[0037] 图8是可加载策略模块的图示。
【具体实施方式】
[0038] 图1示出了移动装置10,该移动装置包括但不限于由用户携带的智能手机,该智 能手机被用作多功能计算和电话装置。移动装置10采用用于运行移动应用程序的移动操 作系统平台和先进的应用程序编程接口(API)。移动应用程序是被设计成在各种类型的移 动计算装置上运行的软件应用程序。这些应用程序可通过应用程序分配平台获取。移动应 用程序是免费提供的或者必须购买。将这种应用程序从操作系统平台下载到移动装置。由 于在移动装置上运行通常在计算机上运行的各种应用程序的通用性,因而可以下载到移动 装置中的应用程序的种类和数量不断增加。
[0039] 当应用程序被下载到移动计算装置中时,向用户提示一个或多个高级别许可,为 了完成应用程序的安装,用户必须同意所述高级别许可。许可是安全特征,是实施对可以执 行特定进程的移动计算装置的特定资源或操作的限制的机制。图2中示出了许可的一个实 例。图示的许可12仅仅是当应用程序被启动或者在使用中时可以被请求以便由应用程序 访问的多个许可中的几个。这种高级别许可包括但不限于:读取/接收SMS(短信服务)或 MMS(多媒体短信服务)、路线位置/精确(GPS)位置、完全互联网访问、拦截呼出呼叫、阅读 联系人列表、拨号许可、文本访问许可和通讯录信息。用户必须同意许可请求;否则应用程 序将不被存储在移动装置10上。
[0040] 一旦应用程序被加载且每当试图启动应用程序时,试图由操作系统强制实施授权 规则以便决定访问是否可以发生。然而,并非所有的安装的应用程序都是可信任的。例如, 一些应用程序可能由不可信任的团队开发并且可能含有恶意代码,一旦被安装,应用程序 可具有避开由操作系统所执行的安全操作的算法,或者一些应用程序会具有必须使其安全 风险最小化的潜在安全缺陷。因此,以下技术描述了允许开发和使用低级别强制访问控制 (MC)策略的框架,用于加强安全使得仅授予授权的特定许可被授权访问。进程通过将高级 别授权许可映射到低级别MAC策略而运行。MAC是指一种类型的访问控制,操作系统通过该 访问控制来限制主体访问/执行在对象或目标上的某一类型操作的能力。通常,主体与进 程或线程有关,而对象则是架构,诸如文件、目录、TCP/UDP端口、共享内存段等。主体和对 象两者均具有一组安全属性。当主体试图访问对象时,由操作系统内核强制执行的授权规 则对安全属性进行检查并且作出是否可以授权访问的必要判断。将对照这组授权规则(在 下文中被称为MC策略)对主体在对象上的任何操作进行检查,以决定是否允许该操作。
[0041] 图3示出了本发明所采用的硬件装置的方框图。移动装置10包括一个或多个处 理器14、存储器16、发射器和接收器18或者可以被组合成收发器。应用程序分配器20是 被移动装置10请求的应用程序的所有者或分配者。当被移动装置10请求时,应用程序分 配器20将应用程序分配到移动装置,用于在移动装置10上的存储和使用。可以在应用程 序分配器20与移动装置10之间以无线方式或者通过有线线路来传送应用程序。将应用程 序存储在移动装置的存储器16中,并且经由处理器16执行应用程序。应当理解的是,处理 器可以是移动装置的主处理器、或者独立的处理器。
[0042] 图4示出了用于请求对移动计算装置的资源访问的交互作用的示例性方框图。移 动计算装置包括强制访问控制策略22,该策略陈述了用于判断是否可以获得对移动计算装 置10的资源24的访问的授权规则。资源包括但不限于:通信端口 25、套接字26、协议27、 和外围设备28 (例如,摄像头、联系人列表等)。应当理解的是,上述提及的资源仅仅是在移 动计算装置10上可获得的可利用资源中的一小部分。
[0043]在文件中被声明的高级别应用程序许可(其是应用程序包的一部分并且在安装应 用程序之前被展示给用户以便征求随后的同意)基于在这些许可文件中被请求的许可而生 成较细粒度策略,由此限制各应用程序对资源的访问,从而强化整个系统并提高其安全性。 此方法还限制应用程序对系统资源(例如,文件、网络套接字、外围设备、摄像头、用户联系 人和数据)的访问,通过将该方法延伸到采用MC策略而远远超过传统的许可访问模型。
[0044] 本文中描述的实施例是用于将应用程序许可映射到MAC,这导致可信代码库的尺 寸的显著减小。与在MC策略级别中直接地操作的方法相比,该技术提供以下优点:能够在 应用程序许可级别(其中许可较易于管理)处制定和管理策略,以及在低得多的MAC级别(其 中可以更安全地强制实施许可)处强制实施许可。如果没有本文中描述的此技术,只能够执 行一种操作或另一种操作,但不能同时执行这两种操作。
[0045] 图5中示出了用于将应用程序安装在具有任何MAC性能的通用平台上的方框图。 在方框30中,识别对应用程序所要求的高级别应用程序许可。在方框31中,获得现有操作 系统策略诸如安全性增强的Linux(SELinux)、和含有被允许的MAC规则的文件。SELinux 是一个Linux特征,该特征提供用于通过使用在Linux内核中的Linux安全模块(LSM)而支 持访问控制安全策略的机制。其架构力图将安全判定的强制实施与安全策略本身分离,并 且简化装有安全策略强制实施的软件的量。先验地脱机进行获得MAC规则和SELinux。必 须应用高级别应用程序许可与相应的低级别MC规则之间的映射。亦即,对于由平台操作 系统所识别的每个高级别许可而言,利用处理器来识别与用于各自许可的MAC规则相关的 相关预定的映射。提供将1?级别许可映射到识别许可具有什么特权的SELinuxMAC规则的 清单文件,SELinuxMAC规则将在MAC级别中被强制执行。应当理解的是,本文中并未描述 确定如何映射的特定技术,并且本发明可采用人工或自主地构造的任何映射技术,确定哪 些MAC规则将被映射到许可。
[0046] 在方框32中,在联机处理期间,将高级别应用程序许可分解成低级别MC规则。 软件机制扫描含有应用程序正在请求的许可(例如,清单文件中的许可部分)的文件。系统 经由处理器将文件中的各许可转换成具有所需详细内容的其相应的MAC规则(例如,在互 联网许可的情况下,是TCP套接字还是UDP套接字)。因此,对于每个许可识别用于定义哪 些具体许可与通信、端口、装置和其它访问细节有关的MAC规则。此步骤可要求对将要强加 新规则的进程和/或应用程序强制实施适当MC标注。此步骤也可要求对应用程序源代码 (如果提供)进行分析,或者如果未提供源代码则对二进制代码进行分析。作为选择,高级别 许可语言可以被进一步扩展以便在被请求的许可中提供另外的信息,该被请求的许可将会 有助于将它们映射到MAC规则的进程。
[0047] 关于应用程序,如果对关于应用程序的信息知道很少,那么可使用用于各自许可 的一组通用的MAC规则。亦即,关于应用程序知道的越少(例如,更有可能它会是来源于不 可信来源、或者具有恶意的可能),那么在MAC级别中对许可施加更多的限制。如果关于应 用程序知道的信息越多,因此它是可信任的并且容易被认为是由于合法的原因访问信息正 在被使用,则可以更广泛地授予许可,由此允许更自由地访问某些