應用程序的強制訪問控制方法、系統(tǒng)和管理服務器的制造方法
【技術領域】
[0001]本發(fā)明涉及安全技術領域，具體而言，本發(fā)明涉及一種應用程序的強制訪問控制方法、系統(tǒng)和管理服務器。
【背景技術】
[0002]公安、海關等有關部門或者公司，通常為用戶配發(fā)工作專用的智能終端、或其它需要應用在涉密場景下的智能終端。
[0003]為了防止泄密，有關部門或者公司通常需要對這些智能終端中的應用程序進行強制訪問控制O強制訪問控制(Mandatory Access Control)可以是一種訪問約束機制，通常用于將系統(tǒng)中的信息分密級和類進行管理，以保證每個應用程序的進程只能訪問到那些被標明可以由該進程訪問的信息。
[0004]現(xiàn)有的一種應用程序的強制訪問控制方法，包括:將應用程序安裝到涉密的智能終端中后，通過該智能終端提供的人機交互界面，設置該應用程序的訪問權限，既可以使得該應用程序?qū)崿F(xiàn)指定的功能，又可以防止該應用程序越權訪問而導致泄密。其中，應用程序默認是關閉所有訪問權限的。
[0005]然而，本發(fā)明的發(fā)明人發(fā)現(xiàn)，現(xiàn)有的強制訪問控制方法不便于應用程序的功能實現(xiàn)和管理。
[0006]例如，技術人員未對安裝在智能終端中的應用程序的訪問權限進行設置，則應用程序?qū)⒈３株P閉所有訪問權限的狀態(tài)，該應用程序自然無法實現(xiàn)指定的功能。
[0007]再如，對于每個智能終端、針對安裝到該智能終端中的每個應用程序，技術人員需要手動去設置該應用程序的訪問權限，操作非常繁瑣，工作量較大，導致應用程序的管理不便。
[0008]本發(fā)明的發(fā)明人還發(fā)現(xiàn)，采用現(xiàn)有的強制訪問控制方法對智能終端中的應用程序進行權限設置，一旦設置不當，容易導致應用程序獲得了不應當獲得的權限，攻擊者可以利用設置不當?shù)臋嘞瞢@取機密信息，從而造成機密信息泄露。
[0009]綜上，對于有關部門或者公司配發(fā)的智能終端而言，現(xiàn)有的應用程序的強制訪問控制方法，存在不便于實現(xiàn)功能、管理不便以及容易泄密的缺陷。
[0010]因此，有必要提供一種應用程序的強制訪問控制方法、系統(tǒng)和管理服務器，可以在不影響應用程序?qū)崿F(xiàn)指定功能的情況下，更加方便地管理應用程序，并防止應用程序泄密。

【發(fā)明內(nèi)容】

[0011]本發(fā)明針對現(xiàn)有的應用程序的強制訪問控制方式的缺點，提出一種應用程序的強制訪問控制方法、系統(tǒng)和管理服務器，用以解決現(xiàn)有技術存在應用程序功能實現(xiàn)不便、管理不便以及容易泄密的問題。
[0012]本發(fā)明的實施例根據(jù)一個方面，提供了一種應用程序的強制訪問控制方法，包括:
[0013]管理服務器接收管理員針對應用程序定義的訪問資源的信息，將其解析為對應資源的配置信息后，結(jié)合智能終端操作系統(tǒng)強制訪問控制的編譯環(huán)境，編譯生成強制訪問控制策略的策略包，作為所述應用程序?qū)牟呗园?br>[0014]所述管理服務器對于所述應用程序，將其安裝包以及其對應的策略包下發(fā)至智能終端；
[0015]所述智能終端根據(jù)接收的安裝包安裝所述應用程序時，將接收的策略包安裝到操作系統(tǒng)中，使得所述應用程序運行時被限定于所述訪問資源。
[0016]本發(fā)明的實施例根據(jù)另一個方面，還提供了一種應用程序的強制訪問控制系統(tǒng)，包括:
[0017]管理服務器，用于接收管理員針對應用程序定義的訪問資源的信息，將其解析為對應資源的配置信息后，結(jié)合智能終端操作系統(tǒng)強制訪問控制的編譯環(huán)境，編譯生成強制訪問控制策略的策略包，作為所述應用程序?qū)牟呗园灰约皩τ谒鰬贸绦?，將其安裝包以及其對應的策略包下發(fā)；
[0018]智能終端，用于接收的安裝包安裝所述應用程序時，將接收的策略包安裝到操作系統(tǒng)中，使得所述應用程序運行時被限定于所述訪問資源。
[0019]本發(fā)明的實施例根據(jù)另一個方面，還提供了一種應用程序的強制訪問控制方法，包括:
[0020]接收管理員針對應用程序定義的訪問資源的信息，將其解析為對應資源的配置信息后，結(jié)合智能終端操作系統(tǒng)強制訪問控制的編譯環(huán)境，編譯生成強制訪問控制策略的策略包，作為所述應用程序?qū)牟呗园?br>[0021]對于所述應用程序，將其安裝包以及其對應的策略包下發(fā)至智能終端。
[0022]本發(fā)明的實施例根據(jù)另一個方面，還提供了一種管理服務器，包括:
[0023]信息獲取模塊，用于接收管理員針對應用程序定義的訪問資源的信息；
[0024]策略生成模塊，用于將所述訪問資源的信息解析為對應資源的配置信息后，結(jié)合智能終端操作系統(tǒng)強制訪問控制的編譯環(huán)境，編譯生成強制訪問控制策略的策略包，作為所述應用程序?qū)牟呗园?br>[0025]下發(fā)模塊，用于對于所述應用程序，將其安裝包以及其對應的策略包下發(fā)至智能終端。
[0026]本發(fā)明實施例中，管理服務器接收管理員針對應用程序的訪問資源的信息，將其解析成配置信息后，結(jié)合智能終端操作系統(tǒng)強制訪問控制的編譯環(huán)境，編譯生成強制訪問控制策略的策略包；智能終端安裝管理服務器下發(fā)的應用程序的安裝包以及策略包后，應用程序運行時被允許訪問的資源受到強制訪問控制策略的限制，可以防止應用程序訪問涉密的資源，從而可以防止應用程序泄密;并且應用程序依然可以訪問強制訪問控制策略所允許訪問的資源，從而實現(xiàn)指定的功能；以及由管理服務器統(tǒng)一生成、下發(fā)策略包，無需逐個對每個智能終端中每個應用程序進行訪問權限的設置，節(jié)省了大量的操作，減少了工作量，對智能終端的應用程序的管理更加方便高效。
[0027]本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出，這些將從下面的描述中變得明顯，或通過本發(fā)明的實踐了解到。
【附圖說明】
[0028]本發(fā)明上述的和/或附加的方面和優(yōu)點從下面結(jié)合附圖對實施例的描述中將變得明顯和容易理解，其中:
[0029]圖1為本發(fā)明實施例的應用程序的強制訪問控制系統(tǒng)的架構示意圖；
[0030]圖2為本發(fā)明實施例的應用程序的強制訪問控制方法的流程示意圖；
[0031]圖3為本發(fā)明實施例的管理服務器內(nèi)部結(jié)構的框架示意圖。
【具體實施方式】
[0032]下面詳細描述本發(fā)明的實施例，所述實施例的示例在附圖中示出，其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實施例是示例性的，僅用于解釋本發(fā)明，而不能解釋為對本發(fā)明的限制。
[0033]本技術領域技術人員可以理解，除非特意聲明，這里使用的單數(shù)形式“一”、“一個”、“所述”和“該”也可包括復數(shù)形式。應該進一步理解的是，本發(fā)明的說明書中使用的措辭“包括”是指存在所述特征、整數(shù)、步驟、操作、元件和/或組件，但是并不排除存在或添加一個或多個其他特征、整數(shù)、步驟、操作、元件、組件和/或它們的組。應該理解，當我們稱元件被“連接”或“耦接”到另一元件時，它可以直接連接或耦接到其他元件，或者也可以存在中間元件。此外，這里使用的“連接”或“親接”可以包括無線連接或無線耦接。這里使用的措辭“和/或”包括一個或更多個相關聯(lián)的列出項的全部或任一單元和全部組合。
[0034]本技術領域技術人員可以理解，除非另外定義，這里使用的所有術語(包括技術術語和科學術語)，具有與本發(fā)明所屬領域中的普通技術人員的一般理解相同的意義。還應該理解的是，諸如通用字典中定義的那些術語，應該被理解為具有與現(xiàn)有技術的上下文中的意義一致的意義，并且除非像這里一樣被特定定義，否則不會用理想化或過于正式的含義來解釋。
[0035]本技術領域技術人員可以理解，這里所使用的“終端”、“終端設備”既包括無線信號接收器的設備，其僅具備無發(fā)射能力的無線信號接收器的設備，又包括接收和發(fā)射硬件的設備，其具有能夠在雙向通信鏈路上，進行雙向通信的接收和發(fā)射硬件的設備。這種設備可以包括:蜂窩或其他通信設備，其具有單線路顯示器或多線路顯示器或沒有多線路顯示器的蜂窩或其他通信設備;PCS(Personal Communicat1ns Service，個人通信系統(tǒng))，其可以組合語音、數(shù)據(jù)處理、傳真和/或數(shù)據(jù)通信能力;PDA(Personal Digital Assistant，個人數(shù)字助理)，其可以包括射頻接收器、尋呼機、互聯(lián)網(wǎng)/內(nèi)聯(lián)網(wǎng)訪問、網(wǎng)絡瀏覽器、記事本、日歷和/或GPS(Glo