應用程序的強制訪問控制方法、系統和管理服務器的制造方法

應用程序的強制訪問控制方法、系統和管理服務器的制造方法
【技術領域】
[0001]本發明涉及安全技術領域，具體而言，本發明涉及一種應用程序的強制訪問控制方法、系統和管理服務器。
【背景技術】
[0002]公安、海關等有關部門或者公司，通常為用戶配發工作專用的智能終端、或其它需要應用在涉密場景下的智能終端。
[0003]為了防止泄密，有關部門或者公司通常需要對這些智能終端中的應用程序進行強制訪問控制O強制訪問控制(Mandatory Access Control)可以是一種訪問約束機制，通常用于將系統中的信息分密級和類進行管理，以保證每個應用程序的進程只能訪問到那些被標明可以由該進程訪問的信息。
[0004]現有的一種應用程序的強制訪問控制方法，包括:將應用程序安裝到涉密的智能終端中后，通過該智能終端提供的人機交互界面，設置該應用程序的訪問權限，既可以使得該應用程序實現指定的功能，又可以防止該應用程序越權訪問而導致泄密。其中，應用程序默認是關閉所有訪問權限的。
[0005]然而，本發明的發明人發現，現有的強制訪問控制方法不便于應用程序的功能實現和管理。
[0006]例如，技術人員未對安裝在智能終端中的應用程序的訪問權限進行設置，則應用程序將保持關閉所有訪問權限的狀態，該應用程序自然無法實現指定的功能。
[0007]再如，對于每個智能終端、針對安裝到該智能終端中的每個應用程序，技術人員需要手動去設置該應用程序的訪問權限，操作非常繁瑣，工作量較大，導致應用程序的管理不便。
[0008]本發明的發明人還發現，采用現有的強制訪問控制方法對智能終端中的應用程序進行權限設置，一旦設置不當，容易導致應用程序獲得了不應當獲得的權限，攻擊者可以利用設置不當的權限獲取機密信息，從而造成機密信息泄露。
[0009]綜上，對于有關部門或者公司配發的智能終端而言，現有的應用程序的強制訪問控制方法，存在不便于實現功能、管理不便以及容易泄密的缺陷。
[0010]因此，有必要提供一種應用程序的強制訪問控制方法、系統和管理服務器，可以在不影響應用程序實現指定功能的情況下，更加方便地管理應用程序，并防止應用程序泄密。

【發明內容】

[0011]本發明針對現有的應用程序的強制訪問控制方式的缺點，提出一種應用程序的強制訪問控制方法、系統和管理服務器，用以解決現有技術存在應用程序功能實現不便、管理不便以及容易泄密的問題。
[0012]本發明的實施例根據一個方面，提供了一種應用程序的強制訪問控制方法，包括:
[0013]管理服務器接收管理員針對應用程序定義的訪問資源的信息，將其解析為對應資源的配置信息后，結合智能終端操作系統強制訪問控制的編譯環境，編譯生成強制訪問控制策略的策略包，作為所述應用程序對應的策略包；
[0014]所述管理服務器對于所述應用程序，將其安裝包以及其對應的策略包下發至智能終端；
[0015]所述智能終端根據接收的安裝包安裝所述應用程序時，將接收的策略包安裝到操作系統中，使得所述應用程序運行時被限定于所述訪問資源。
[0016]本發明的實施例根據另一個方面，還提供了一種應用程序的強制訪問控制系統，包括:
[0017]管理服務器，用于接收管理員針對應用程序定義的訪問資源的信息，將其解析為對應資源的配置信息后，結合智能終端操作系統強制訪問控制的編譯環境，編譯生成強制訪問控制策略的策略包，作為所述應用程序對應的策略包；以及對于所述應用程序，將其安裝包以及其對應的策略包下發；
[0018]智能終端，用于接收的安裝包安裝所述應用程序時，將接收的策略包安裝到操作系統中，使得所述應用程序運行時被限定于所述訪問資源。
[0019]本發明的實施例根據另一個方面，還提供了一種應用程序的強制訪問控制方法，包括:
[0020]接收管理員針對應用程序定義的訪問資源的信息，將其解析為對應資源的配置信息后，結合智能終端操作系統強制訪問控制的編譯環境，編譯生成強制訪問控制策略的策略包，作為所述應用程序對應的策略包；
[0021]對于所述應用程序，將其安裝包以及其對應的策略包下發至智能終端。
[0022]本發明的實施例根據另一個方面，還提供了一種管理服務器，包括:
[0023]信息獲取模塊，用于接收管理員針對應用程序定義的訪問資源的信息；
[0024]策略生成模塊，用于將所述訪問資源的信息解析為對應資源的配置信息后，結合智能終端操作系統強制訪問控制的編譯環境，編譯生成強制訪問控制策略的策略包，作為所述應用程序對應的策略包；
[0025]下發模塊，用于對于所述應用程序，將其安裝包以及其對應的策略包下發至智能終端。
[0026]本發明實施例中，管理服務器接收管理員針對應用程序的訪問資源的信息，將其解析成配置信息后，結合智能終端操作系統強制訪問控制的編譯環境，編譯生成強制訪問控制策略的策略包；智能終端安裝管理服務器下發的應用程序的安裝包以及策略包后，應用程序運行時被允許訪問的資源受到強制訪問控制策略的限制，可以防止應用程序訪問涉密的資源，從而可以防止應用程序泄密;并且應用程序依然可以訪問強制訪問控制策略所允許訪問的資源，從而實現指定的功能；以及由管理服務器統一生成、下發策略包，無需逐個對每個智能終端中每個應用程序進行訪問權限的設置，節省了大量的操作，減少了工作量，對智能終端的應用程序的管理更加方便高效。
[0027]本發明附加的方面和優點將在下面的描述中部分給出，這些將從下面的描述中變得明顯，或通過本發明的實踐了解到。
【附圖說明】
[0028]本發明上述的和/或附加的方面和優點從下面結合附圖對實施例的描述中將變得明顯和容易理解，其中:
[0029]圖1為本發明實施例的應用程序的強制訪問控制系統的架構示意圖；
[0030]圖2為本發明實施例的應用程序的強制訪問控制方法的流程示意圖；
[0031]圖3為本發明實施例的管理服務器內部結構的框架示意圖。
【具體實施方式】
[0032]下面詳細描述本發明的實施例，所述實施例的示例在附圖中示出，其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實施例是示例性的，僅用于解釋本發明，而不能解釋為對本發明的限制。
[0033]本技術領域技術人員可以理解，除非特意聲明，這里使用的單數形式“一”、“一個”、“所述”和“該”也可包括復數形式。應該進一步理解的是，本發明的說明書中使用的措辭“包括”是指存在所述特征、整數、步驟、操作、元件和/或組件，但是并不排除存在或添加一個或多個其他特征、整數、步驟、操作、元件、組件和/或它們的組。應該理解，當我們稱元件被“連接”或“耦接”到另一元件時，它可以直接連接或耦接到其他元件，或者也可以存在中間元件。此外，這里使用的“連接”或“親接”可以包括無線連接或無線耦接。這里使用的措辭“和/或”包括一個或更多個相關聯的列出項的全部或任一單元和全部組合。
[0034]本技術領域技術人員可以理解，除非另外定義，這里使用的所有術語(包括技術術語和科學術語)，具有與本發明所屬領域中的普通技術人員的一般理解相同的意義。還應該理解的是，諸如通用字典中定義的那些術語，應該被理解為具有與現有技術的上下文中的意義一致的意義，并且除非像這里一樣被特定定義，否則不會用理想化或過于正式的含義來解釋。
[0035]本技術領域技術人員可以理解，這里所使用的“終端”、“終端設備”既包括無線信號接收器的設備，其僅具備無發射能力的無線信號接收器的設備，又包括接收和發射硬件的設備，其具有能夠在雙向通信鏈路上，進行雙向通信的接收和發射硬件的設備。這種設備可以包括:蜂窩或其他通信設備，其具有單線路顯示器或多線路顯示器或沒有多線路顯示器的蜂窩或其他通信設備;PCS(Personal Communicat1ns Service，個人通信系統)，其可以組合語音、數據處理、傳真和/或數據通信能力;PDA(Personal Digital Assistant，個人數字助理)，其可以包括射頻接收器、尋呼機、互聯網/內聯網訪問、網絡瀏覽器、記事本、日歷和/或GPS(Glo