SELinux策略的動態生成方法、裝置及終端設備的制造方法

SELinux策略的動態生成方法、裝置及終端設備的制造方法
【專利摘要】本發明公開了一種SELinux策略的動態生成方法、裝置及終端設備。該方法包括：解析終端設備新安裝的應用程序的敏感權限的配置文件；獲得所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系；以及根據獲得的所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系，生成所述應用程序的SELinux策略。該方法能夠動態生成應用程序的SELinux策略，通過SELinux策略的控制保證從第三方應用商店下載并安裝的應用程序的權限不會出現過大的情況，從而確保終端設備的安全性。
【專利說明】
SEL i nux策略的動態生成方法、裝置及終端設備
技術領域
[0001]本發明涉及終端設備安全技術領域，具體而言，涉及一種SELinux策略的動態生成方法、裝置及終端設備。
【背景技術】
[0002]SELi nux (Security-Enhanced Linux，安全增強 Linux)是一種美國國家安全局(NSA)制定的對于強制訪問控制(MAC)的實現方法，是Linux操作系統中新的安全子系統。當終端設備加載了 SELinux安全子系統后，能夠極大地提高其操作系統的安全等級。
[0003]SELinux策略是SELinux安全子系統實現強制訪問控制的重要組成部分。在SELinux策略中包含了整個操作系統中主體對客體的訪問控制。對于加載了 SELinux安全子系統的終端設備，當其從第三方應用商店中下載并安裝了一個新的應用程序后，如果沒有為該應用程序配置適當的SELinux策略，則該應用程序將無法使用。因此需要一種能夠動態生成應用程序的SELinux策略的方法。
[0004]在所述【背景技術】部分公開的上述信息僅用于加強對本發明的背景的理解，因此它可以包括不構成對本領域普通技術人員已知的現有技術的信息。

【發明內容】

[0005]有鑒于此，本發明提供一種SELinux策略的動態生成方法、裝置及終端設備，能夠動態生成應用程序的SELinux策略。
[0006]本發明的其他特性和優點將通過下面的詳細描述變得顯然，或部分地通過本發明的實踐而習得。
[0007]根據本發明的一方面，提供了一種SELinux策略的動態生成方法，包括:解析終端設備新安裝的應用程序的敏感權限的配置文件;獲得所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系；以及根據獲得的所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系，生成所述應用程序的SELinux策略。
[0008]根據本發明的一實施方式，上述方法還包括:加載生成的所述應用程序的SELinux策略。
[0009]根據本發明的一實施方式，所述加載生成的所述應用程序的SELinux策略包括:借由一后臺服務進程，通過進程間消息通信獲取生成的所述應用程序的SELinux策略；以及將所述應用程序的SELinux策略加載至所述終端設備的操作系統的內核中。
[0010]根據本發明的一實施方式，所述解析終端設備新安裝的應用程序的敏感權限的配置文件包括:當所述終端設備新安裝了所述應用程序時，解析所述應用程序的敏感權限的配置文件。
[0011]根據本發明的一實施方式，所述解析終端設備新安裝的應用程序的敏感權限的配置文件包括:當所述終端設備新安裝了所述應用程序時，根據所述終端設備與一云端設備之間通信傳輸的速度，確定下載所述應用程序的SELinux策略所需的時間；判斷從所述云端設備下載所述應用程序的SELinux策略所需的時間是否短于動態生成所述應用程序的SELinux策略所需的時間；當從所述云端設備下載所述應用程序的SELinux策略所需的時間短于動態生成所述應用程序的SELinux策略所需的時間時，向所述云端設備發送所述應用程序的SELinux策略請求；以及當接收到所述云端設備發送的無新安裝的所述應用程序的SELinux策略的指示時，解析所述應用程序的敏感權限的配置文件。
[0012]根據本發明另一方面，提供了一種SELinux策略的動態生成裝置，包括:文件解析模塊，用于解析終端設備新安裝的應用程序的敏感權限的配置文件；內容獲得模塊，用于獲得所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系；以及策略生成模塊，用于根據獲得的所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系，生成所述應用程序的SELinux策略。
[0013]根據本發明的一實施方式，上述裝置還包括:策略加載模塊，用于加載生成的所述應用程序的SELinux策略。
[0014]根據本發明的一實施方式，所述策略加載模塊包括:獲取子模塊，用于借由一后臺服務進程，通過進程間消息通信獲取生成的所述應用程序的SELinux策略；以及加載子模塊，用于將所述應用程序的SELinux策略加載至所述終端設備的操作系統的內核中。
[0015]根據本發明的一實施方式，所述文件解析模塊包括:第一解析子模塊，用于當所述終端設備新安裝了所述應用程序時，解析所述應用程序的敏感權限的配置文件。
[0016]根據本發明的一實施方式，所述文件解析模塊包括:時間確定子模塊，用于當所述終端設備新安裝了所述應用程序時，根據所述終端設備與一云端設備之間通信傳輸的速度，確定下載所述應用程序的SELinux策略所需的時間；時間判斷子模塊，用于判斷從所述云端設備下載所述應用程序的SELinux策略所需的時間是否短于動態生成所述應用程序的SELinux策略所需的時間；請求發送子模塊，用于當從所述云端設備下載所述應用程序的SELinux策略所需的時間短于動態生成所述應用程序的SELinux策略所需的時間時，向所述云端設備發送所述應用程序的SELinux策略請求；以及第二解析子模塊，用于當接收到所述云端設備發送的無新安裝的所述應用程序的SELinux策略的指示時，解析所述應用程序的敏感權限的配置文件。
[0017]根據本發明再一方面，提供了一種終端設備，包括:處理器；以及存儲器，用于存儲所述處理器的可執行指令;其中所述處理器配置為經由執行所述可執行指令來執行以下操作:解析終端設備新安裝的應用程序的敏感權限的配置文件;獲得所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系；以及根據獲得的所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系，生成所述應用程序的SELinux策略。
[0018]根據本發明的SELinux策略的動態生成方法，能夠動態生成應用程序的SELinux策略，通過SELinux策略的控制保證從第三方應用商店下載并安裝的應用程序的權限不會出現過大的情況，從而確保終端設備的安全性。
[0019]應當理解的是，以上的一般描述和后文的細節描述僅是示例性的，并不能限制本發明。
【附圖說明】
[0020]通過參照附圖詳細描述其示例實施例，本發明的上述和其它目標、特征及優點將變得更加顯而易見。
[0021]圖1是根據一示例性實施方式示出的一種SELinux策略的動態生成方法的流程圖。
[0022]圖2是根據一示例性實施方式示出的另一種SELinux策略的動態生成方法的流程圖。
[0023]圖3是根據一示例性實施方式示出的一種SELinux策略的動態生成裝置的框圖。
[0024]圖4是根據一示例性實施方式示出的另一種SELinux策略的動態生成裝置的框圖。
[0025]圖5是根據一示例性實施方式示出的再一種SELinux策略的動態生成裝置的框圖。
【具體實施方式】
[0026]現在將參考附圖更全面地描述示例實施方式。然而，示例實施方式能夠以多種形式實施，且不應被理解為限于在此闡述的范例;相反，提供這些實施方式使得本發明將更加全面和完整，并將示例實施方式的構思全面地傳達給本領域的技術人員。附圖僅為本發明的示意性圖解，并非一定是按比例繪制。圖中相同的附圖標記表示相同或類似的部分，因而將省略對它們的重復描述。
[0027]此外，所描述的特征、結構或特性可以以任何合適的方式結合在一個或更多實施方式中。在下面的描述中，提供許多具體細節從而給出對本發明的實施方式的充分理解。然而，本領域技術人員將意識到，可以實踐本發明的技術方案而省略所述特定細節中的一個或更多，或者可以采用其它的方法、組元、裝置、步驟等。在其它情況下，不詳細示出或描述公知結構、方法、裝置、實現或者操作以避免喧賓奪主而使得本發明的各方面變得模糊。
[0028]圖1是根據一示例性實施方式示出的一種SELinux策略的動態生成方法的流程圖。如圖1所示，該方法1包括:
[0029]在步驟S102中，當終端設備新安裝了一個應用程序時，解析該應用程序的敏感權限的配置文件。
[0030]—個應用程序的進程就是一個安全的沙盒，其不能干擾其他應用程序的進程處理。但當一個應用程序的進程被顯示地聲明為“permiss1ns(許可)”時，該進程就可以獲取普通進程不具備的能力，例如通過自主訪問控制(DAC)進行更加細化的訪問控制。終端設備的操作系統中通常均具有敏感權限控制。
[0031]在步驟S104中，獲得該應用程序涉及的主體和客體以及兩者之間的關系。
[0032]SELinux是一套基于策略的安全系統。在其安全策略中，通過標簽的設定來實現主體對客體的控制。其中主體可以為終端設備中運行的每個進程，客體則為系統中的所有資源，包括:文件系統、目錄、文件、文件啟動指示符、端口、消息接□和網絡接口等。每個進程都擁有自己的標簽，而每個客體對象也都擁有自己的標簽。通過編寫的SELinux安全策略，來控制進程標簽可以對客體對象標簽進行訪問，如文件訪問、讀寫及SOCKET操作等。例如，通過策略配置，允許標簽為A的進程對標簽為B的文件進行讀寫操作;或者，允許標簽為C的進程對標簽為D的消息接口進行SOCKET通信等。在終端設備被啟動時，將SELinux策略文件加載到內核中，從而實現后續SELinux的強制訪問控制。
[0033]因此通過解析該應用程序的敏感權限的配置文件，獲得生成該應用程序的SELinux策略所需的主體和客體以及兩者之間的關系后，即可生成該應用程序相應的SELinux 策略。
[0034]如上所述，具有敏感權限的進程可以通過自主訪問控制進行更加細化的訪問控制。因此，通過解析敏感權限的配置文件，可以獲得上述主體和客體對象及兩者之間的關系。通常，通過第三方應用商店下載并安裝的應用程序要求訪問的客體對象資源比較固定，如一些公共文件及進程間通信等，并且通過參考安全沙盒的機制被限定在一個固定目錄和Uid中。而對于其他客體對象資源，則可以通過設定SELinux策略來限定對這些客體對象的訪問權限。
[0035]在步驟S106中，根據獲得的該應用程序涉及的主體和客體以及兩者之間的關系，生成該應用程序的SELinux策略。
[0036]例如可以通過調用SELinux策略生成工具check_pol icy等來根據獲得的該應用程序的SELinux策略所需的主體和客體以及兩者之間的關系，生成該應用程序的SELinux策略。
[0037]上述步驟S102?S106例如可以在應用層中的應用商店應用程序中增加新的SELinux策略生成模塊來實現。此外，在一些實施例中，方法10還可以進一步包括:在步驟S108中，加載生成的該應用程序的SELinux策略。
[0038]具體地，新開發一個后臺進程，該進程為一權限較高的服務進程，用于與上述SELinux策略生成模塊進行通信(例如可以通過進程間的dbus消息通信)，從而交互SELinux策略生成模塊生成的新安裝的應用程序的SELinux策略。該后臺進程接收到該SELinux策略后，例如可以通過SELinux策略加載工具load_pol icy將該SELinux加載至終端設備操作系統的內核中。
[0039]本發明實施方式的SELinux策略的動態生成方法，能夠動態生成應用程序的SELinux策略，通過SELinux策略的控制保證從第三方應用商店下載并安裝的應用程序的權限不會出現過大的情況，從而確保終端設備的安全性。
[0040]應清楚地理解，本發明描述了如何形成和使用特定示例，但本發明的原理不限于這些示例的任何細節。相反，基于本發明公開的內容的教導，這些原理能夠應用于許多其它實施方式。
[0041]圖2是根據一示例性實施方式示出的另一種SELinux策略的動態生成方法的流程圖。與圖1所示的方法10不同之處在于，該方法進一步通過當前網絡的傳輸速度判斷從一云端設備下載新安裝的應用程序的SELinux策略所需的時間與本地動態生成該SELinux策略所需的時間的長短，來確定是根據如方法10中所述的本地生成的方法來本地生成該SELinux策略，還是從云端設備下載該SELinux策略。通常本地動態生成SELinux策略的時間為一個固定的時間，可通過測量獲得該時間值。
[0042]如圖2所示，該方法20包括:
[0043]在步驟S202中，當終端設備新安裝了一個應用程序時，根據該終端設備與一云端設備之間通信傳輸的速度，確定下載該應用程序的SELinux策略所需的時間。
[0044]雖然不同應用程序的SELinux策略文件大小有可能不同，但可以通過一個預設的文件大小，計算傳輸該SELinux策略所需的大致時間。該預設的文件大小可以為預估的SELinux策略的文件大小，也可以為根據一經驗值設定的SELinux策略的平均文件大小值。
[0045]此外，終端設備與云端設備之間的通信連接還可以為一VPN連接，從而保證SELinux策略傳輸的安全性。
[0046]在步驟S204中，判斷從云端設備下載該應用程序的SELinux策略所需的時間是否短于本地動態生成該應用程序的SELinux策略所需的時間，如果是，則進入步驟S206 ；否則，進入步驟S214。
[0047]在步驟S206中，向該云端設備發送該應用程序的SELinux策略請求。
[0048]在步驟S208中，接收云端設備返回的響應。
[0049]在步驟S210中，判斷從云端設備接收到的響應，如果接收到的是該新安裝的應用程序的SELinux策略，則執行步驟S212;如果接收到的是無該新安裝的應用程序的SELinux策略的指示，則執行步驟S214。
[0050]當云端設備存儲該新安裝的應用程序的SELinux策略時，接收從云端設備返回的該新安裝的應用程序的SELinux策略；而當云端設備沒有存儲該新安裝的應用程序的SELinux策略時，接收云端設備發送的無該新安裝的應用程序的SELinux策略的響應。
[0051]通常，針對不同型號的終端設備，即使所安裝的應用程序相同，但該應用程序對應的SELinux策略也不同。因此，云端設備在查找其是否存儲有該新安裝的應用程序的SELinux策略時，還需要確定所存儲的該應用程序的SELinux策略所對應的終端設備的型號。如果該型號不是申請SELinux策略的終端設備的型號，則也確認為沒有存儲該新安裝的應用程序的SELinux策略。終端設備的型號例如可以攜帶在該應用程序的的SELinux策略請求中。或者，云端設備也可以從與終端設備所建立的底層通信連接中獲得。
[0052]此外，即使相同型號的終端設備安裝的相同的應用程序，如果該應用程序在個別終端設備上有特別權限(例如主體進程權限)的需求，則該應用程序對應的SELinux策略也會不同。因此，終端設備在向云端設備請求時，需要在請求中指明特別權限。而云端設備在查找是否存儲該應用程序的SELinux策略時，也需要判斷所存儲的該應用程序的SELinux策略是否有特別權限的要求。
[0053]此外，云端設備在接收到終端設備的策略請求時，云端設備還可以對該終端設備及其請求的應用程序進行審核。其審核標準例如可以是根據云端設備已存儲的合法設備ID號對請求的終端設備進行審核，而對應用程序的審核例如可以是根據終端設備已存儲的合法應用程序對請求的應用程序進行審核。僅當終端設備和應用程序的審核均被通過時，云端設備才會向該終端設備發送其請求的應用程序的SELinux策略。在一些實施例中，云端設備存儲的合法設備ID和/或合法應用程序可以從一數據庫中導入。
[0054]在步驟S212中，加載該新安裝的應用程序的SELinux策略。
[0055]在步驟S214中，解析該應用程序的敏感權限的配置文件。
[0056]在步驟S216中，獲得該應用程序涉及的主體和客體以及兩者之間的關系。
[0057]在步驟S218中，根據獲得的該應用程序涉及的主體和客體以及兩者之間的關系，生成該應用程序的SELinux策略。
[0058]上述步驟S214?S218與方法10中的步驟S102?S106相同，在此不再贅述。
[0059]步驟S218之后，進入步驟S212，加載該新安裝的應用程序的SELinux策略。
[0060]本發明實施方式的SELinux策略的動態生成方法，進一步提供了一種從云端設備下載新安裝的SEL i nux策略的方法。如果從云端設備下載該SEL i nux策略所需的時間短于動態生成該SELinux策略的時間，則可以向云端設備發送策略的下載請求，從而加快獲得SELinux策略的時間。
[0061]本領域技術人員可以理解實現上述實施方式的全部或部分步驟被實現為由CPU執行的計算機程序。在該計算機程序被(PU執行時，執行本發明提供的上述方法所限定的上述功能。所述的程序可以存儲于一種計算機可讀存儲介質中，該存儲介質可以是只讀存儲器，磁盤或光盤等。
[0062]此外，需要注意的是，上述附圖僅是根據本發明示例性實施方式的方法所包括的處理的示意性說明，而不是限制目的。易于理解，上述附圖所示的處理并不表明或限制這些處理的時間順序。另外，也易于理解，這些處理可以是例如在多個模塊中同步或異步執行的。
[0063]下述為本發明裝置實施例，可以用于執行本發明方法實施例。對于本發明裝置實施例中未披露的細節，請參照本發明方法實施例。
[0064]圖3是根據一示例性實施方式示出的一種SELinux策略的動態生成裝置的框圖。如圖3所示，該裝置30包括:文件解析模塊302、內容獲得模塊304及策略生成模塊306。
[0065]文件解析模塊302用于解析終端設備新安裝的應用程序的敏感權限的配置文件。
[0066]在一些實施例中，文件解析模塊302包括:第一解析子模塊3022，用于當所述終端設備新安裝了所述應用程序時，解析所述應用程序的敏感權限的配置文件。
[0067]內容獲得模塊304用于獲得所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系。
[0068]策略生成模塊306用于根據獲得的所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系，生成所述應用程序的SELinux策略。
[0069]本發明實施方式的SELinux策略的動態生成裝置，能夠動態生成應用程序的SELinux策略，通過SELinux策略的控制保證從第三方應用商店下載并安裝的應用程序的權限不會出現過大的情況，從而確保終端設備的安全性。
[0070]圖4是根據一示例性實施方式示出的另一種SELinux策略的動態生成裝置的框圖。如圖4所示，該裝置40包括:文件解析模塊402、內容獲得模塊404、策略生成模塊406及策略加載模塊408。
[0071]文件解析模塊402用于解析終端設備新安裝的應用程序的敏感權限的配置文件。
[0072]內容獲得模塊404用于獲得所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系。
[0073]策略生成模塊406用于根據獲得的所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系，生成所述應用程序的SELinux策略。
[0074]策略加載模塊408用于加載生成的所述應用程序的SELinux策略。
[0075]在一些實施例中，策略加載模塊408包括:獲取子模塊4082及加載子模塊4084。獲取子模塊4082用于借由一后臺服務進程，通過進程間消息通信獲取生成的所述應用程序的SELinux策略。加載子模塊4084用于將所述應用程序的SELinux策略加載至所述終端設備的操作系統的內核中。
[0076]需要注意的是，上述附圖中所示的框圖是功能實體，不一定必須與物理或邏輯上獨立的實體相對應。可以采用軟件形式來實現這些功能實體，或在一個或多個硬件模塊或集成電路中實現這些功能實體，或在不同網絡和/或處理器裝置和/或微控制器裝置中實現這些功能實體。
[0077]圖5是根據一示例性實施方式示出的再一種SELinux策略的動態生成裝置的框圖。如圖5所示，該裝置50包括:文件解析模塊502、內容獲得模塊504及策略生成模塊506。
[0078]文件解析模塊502包括:時間確定子模塊5022、時間判斷子模塊5024、請求發送子模塊5026及第二解析子模塊5028。
[0079]時間確定子模塊5022用于當所述終端設備新安裝了所述應用程序時，根據所述終端設備與一云端設備之間通信傳輸的速度，確定下載所述應用程序的SELinux策略所需的時間。
[0080]時間判斷子模塊5024用于判斷從所述云端設備下載所述應用程序的SELinux策略所需的時間是否短于動態生成所述應用程序的SELinux策略所需的時間。
[0081]請求發送子模塊5026用于當從所述云端設備下載所述應用程序的SELinux策略所需的時間短于動態生成所述應用程序的SELinux策略所需的時間時，向所述云端設備發送所述應用程序的SELinux策略請求。
[0082]第二解析子模塊5028用于當接收到所述云端設備發送的無新安裝的所述應用程序的SELinux策略的指示時，解析所述應用程序的敏感權限的配置文件。
[0083]內容獲得模塊504用于獲得所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系。
[0084]策略生成模塊506用于根據獲得的所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系，生成所述應用程序的SELinux策略。
[0085]通過以上的實施方式的描述，本領域的技術人員易于理解，這里描述的示例實施方式可以通過軟件實現，也可以通過軟件結合必要的硬件的方式來實現。因此，根據本發明實施方式的技術方案可以以軟件產品的形式體現出來，該軟件產品可以存儲在一個非易失性存儲介質(可以是CD-ROM，U盤，移動硬盤等)中或網絡上，包括若干指令以使得一臺計算設備(可以是個人計算機、服務器、移動終端、或者網絡設備等)執行根據本發明實施方式的方法。
[0086]以上具體地示出和描述了本發明的示例性實施方式。應可理解的是，本發明不限于這里描述的詳細結構、設置方式或實現方法;相反，本發明意圖涵蓋包含在所附權利要求的精神和范圍內的各種修改和等效設置。
【主權項】
1.一種SELinux策略的動態生成方法，其特征在于，包括: 解析終端設備新安裝的應用程序的敏感權限的配置文件； 獲得所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系；以及 根據獲得的所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系，生成所述應用程序的SELinux策略。2.根據權利要求1所述的方法，其特征在于，還包括:加載生成的所述應用程序的SELinux 策略。3.根據權利要求2所述的方法，其特征在于，所述加載生成的所述應用程序的SELinux策略包括: 借由一后臺服務進程，通過進程間消息通信獲取生成的所述應用程序的SELinux策略；以及 將所述應用程序的SELinux策略加載至所述終端設備的操作系統的內核中。4.根據權利要求1或2所述的方法，其特征在于，所述解析終端設備新安裝的應用程序的敏感權限的配置文件包括: 當所述終端設備新安裝了所述應用程序時，解析所述應用程序的敏感權限的配置文件。5.根據權利要求1或2所述的方法，其特征在于，所述解析終端設備新安裝的應用程序的敏感權限的配置文件包括: 當所述終端設備新安裝了所述應用程序時，根據所述終端設備與一云端設備之間通信傳輸的速度，確定下載所述應用程序的SELinux策略所需的時間； 判斷從所述云端設備下載所述應用程序的SELinux策略所需的時間是否短于動態生成所述應用程序的SELinux策略所需的時間； 當從所述云端設備下載所述應用程序的SELinux策略所需的時間短于動態生成所述應用程序的SELinux策略所需的時間時，向所述云端設備發送所述應用程序的SELinux策略請求；以及 當接收到所述云端設備發送的無新安裝的所述應用程序的SELinux策略的指示時，解析所述應用程序的敏感權限的配置文件。6.一種SELinux策略的動態生成裝置，其特征在于，包括: 文件解析模塊，用于解析終端設備新安裝的應用程序的敏感權限的配置文件； 內容獲得模塊，用于獲得所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系；以及 策略生成模塊，用于根據獲得的所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系，生成所述應用程序的SELinux策略。7.根據權利要求6所述的裝置，其特征在于，還包括:策略加載模塊，用于加載生成的所述應用程序的SELinux策略。8.根據權利要求7所述的裝置，其特征在于，所述策略加載模塊包括: 獲取子模塊，用于借由一后臺服務進程，通過進程間消息通信獲取生成的所述應用程序的SELinux策略；以及 加載子模塊，用于將所述應用程序的SELinux策略加載至所述終端設備的操作系統的內核中。9.根據權利要求6或7所述的裝置，其特征在于，所述文件解析模塊包括: 第一解析子模塊，用于當所述終端設備新安裝了所述應用程序時，解析所述應用程序的敏感權限的配置文件。10.根據權利要求6或7所述的裝置，其特征在于，所述文件解析模塊包括: 時間確定子模塊，用于當所述終端設備新安裝了所述應用程序時，根據所述終端設備與一云端設備之間通信傳輸的速度，確定下載所述應用程序的SELinux策略所需的時間； 時間判斷子模塊，用于判斷從所述云端設備下載所述應用程序的SELinux策略所需的時間是否短于動態生成所述應用程序的SELinux策略所需的時間； 請求發送子模塊，用于當從所述云端設備下載所述應用程序的SELinux策略所需的時間短于動態生成所述應用程序的SELinux策略所需的時間時，向所述云端設備發送所述應用程序的SELinux策略請求；以及 第二解析子模塊，用于當接收到所述云端設備發送的無新安裝的所述應用程序的SELinux策略的指示時，解析所述應用程序的敏感權限的配置文件。11.一種終端設備，其特征在于，包括: 處理器；以及 存儲器，用于存儲所述處理器的可執行指令； 其中所述處理器配置為經由執行所述可執行指令來執行以下操作: 解析終端設備新安裝的應用程序的敏感權限的配置文件； 獲得所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系；以及 根據獲得的所述應用程序涉及的主體和客體對象及所述主體和所述客體對象之間的關系，生成所述應用程序的SELinux策略。
【文檔編號】G06F9/445GK106095495SQ201610389160
【公開日】2016年11月9日
【申請日】2016年6月2日 公開號201610389160.9, CN 106095495 A, CN 106095495A, CN 201610389160, CN-A-106095495, CN106095495 A, CN106095495A, CN201610389160, CN201610389160.9
【發明人】蘭書俊
【申請人】北京元心科技有限公司