一種終端及提高系統(tǒng)安全性方法
【專利摘要】本發(fā)明公開一種終端及提高系統(tǒng)安全性方法,該終端包括配置模塊,用于為多用戶配置特定域,所述多用戶包括安全用戶和普通用戶,所述安全用戶的特定域?yàn)榘踩?,所述普通用戶的特定域?yàn)槠胀ㄓ?;存儲模塊,用于將所述多用戶共用的應(yīng)用數(shù)據(jù)存儲在與所述多用戶對應(yīng)的特定域內(nèi)。本發(fā)明通過以上技術(shù)方案,解決了現(xiàn)有安全體系無法涉及多用戶安全解決方案的問題。通過結(jié)合多用戶機(jī)制和Seandroid機(jī)制,為系統(tǒng)提供一套安全解決方案,使得應(yīng)用能夠處理多用戶特定域內(nèi)的數(shù)據(jù),從而達(dá)到提高系統(tǒng)安全性的效果,使得單個(gè)終端能夠?qū)崿F(xiàn)對特定域內(nèi)數(shù)據(jù)的安全訪問。
【專利說明】一種終端及提高系統(tǒng)安全性方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及系統(tǒng)安全領(lǐng)域,尤其涉及一種終端及提高系統(tǒng)安全性方法。
【背景技術(shù)】
[0002]SELinux (安全增強(qiáng)型Linux)最開始是由NSA(國家安全局)啟動(dòng)并加入到Linux系統(tǒng)中的一套核心組件及用戶工具,可以讓應(yīng)用程序運(yùn)行在其所需的最低權(quán)限上。
[0003]當(dāng)前,android終端的安全體系主要為三星的Knox技術(shù),該技術(shù)主要是把seandroid和多應(yīng)用結(jié)合起來進(jìn)行安全域的設(shè)定。Knox將某些安全的apk放到單獨(dú)的目錄下面,然后對這些apk使用seandroid來進(jìn)行單獨(dú)的權(quán)限限制,導(dǎo)致其他的域的apk不能訪問該域下面的數(shù)據(jù)。但是在目前的安全體系下,沒有直接涉及到整體的安全解決方案,并不適用于多用戶情況下,在Knox技術(shù)出來的時(shí)候,多用戶的體系還不完善。隨著版本的不斷演進(jìn),多用戶必須越來越被重視。
【發(fā)明內(nèi)容】
[0004]本發(fā)明提供一種終端及提高系統(tǒng)安全性方法,解決了現(xiàn)有安全體系無法涉及多用戶安全解決方案的問題。
[0005]為解決上述技術(shù)問題,本發(fā)明采用以下技術(shù)方案:
[0006]一種終端,包括:
[0007]配置模塊,用于為多用戶配置特定域,所述多用戶包括安全用戶和普通用戶,所述安全用戶的特定域?yàn)榘踩?,所述普通用戶的特定域?yàn)槠胀ㄓ颍?br>
[0008]存儲模塊,用于將所述多用戶共用的應(yīng)用數(shù)據(jù)存儲在所述多用戶的特定域內(nèi)。
[0009]進(jìn)一步地,所述配置模塊具體用于若所述多用戶為安全用戶,為所述安全用戶分別配置一個(gè)對應(yīng)的安全域,將所述安全用戶共用的應(yīng)用數(shù)據(jù)分別存儲在與所述安全用戶對應(yīng)的安全域內(nèi)。
[0010]進(jìn)一步地,所述配置模塊具體用于若所述多用戶為安全用戶和普通用戶,為所述安全用戶分別配置一個(gè)對應(yīng)的安全域,為所述普通用戶配置一個(gè)對應(yīng)的普通域,將所述安全用戶共用的應(yīng)用數(shù)據(jù)分別存儲在與所述安全用戶對應(yīng)的安全域內(nèi),將所述普通用戶共用的應(yīng)用數(shù)據(jù)存儲在與所述普通用戶對應(yīng)的普通域內(nèi)。
[0011]進(jìn)一步地,還包括:
[0012]識別模塊,用于對當(dāng)前用戶進(jìn)行安全用戶或普通用戶的識別;
[0013]切換模塊,用于根據(jù)所述識別模塊識別出的當(dāng)前用戶,將應(yīng)用切換至所述當(dāng)前用戶的共用的應(yīng)用數(shù)據(jù)所在的特定域內(nèi)。
[0014]進(jìn)一步地,還包括:
[0015]標(biāo)記模塊,用于對所述多用戶共用的應(yīng)用數(shù)據(jù)進(jìn)行標(biāo)記,對與所述共用的應(yīng)用數(shù)據(jù)相關(guān)的應(yīng)用也進(jìn)行對應(yīng)的標(biāo)記;
[0016]判斷模塊,用于根據(jù)所述標(biāo)記模塊對所述共用的應(yīng)用數(shù)據(jù)進(jìn)行的標(biāo)記,判斷當(dāng)前應(yīng)用的標(biāo)記是否與所述共用的應(yīng)用數(shù)據(jù)的標(biāo)記對應(yīng);
[0017]所述切換模塊具體用于當(dāng)所述判斷模塊判斷為對應(yīng)時(shí),將所述當(dāng)前應(yīng)用切換至所述應(yīng)用數(shù)據(jù)所在的特定域內(nèi)。
[0018]一種提高系統(tǒng)安全性方法,包括:
[0019]為多用戶配置特定域,所述多用戶包括安全用戶和普通用戶,所述安全用戶的特定域?yàn)榘踩?,所述普通用戶的特定域?yàn)槠胀ㄓ颍?br>
[0020]將所述多用戶共用的應(yīng)用數(shù)據(jù)存儲在所述多用戶的特定域內(nèi)。
[0021]進(jìn)一步地,所述將所述多用戶共用的應(yīng)用數(shù)據(jù)存儲在所述多用戶的特定域內(nèi)具體包括:
[0022]若所述多用戶為安全用戶,為所述安全用戶分別配置一個(gè)對應(yīng)的安全域,將所述安全用戶共用的應(yīng)用數(shù)據(jù)分別存儲在與所述安全用戶對應(yīng)的安全域內(nèi)。
[0023]進(jìn)一步地,還包括:
[0024]若所述多用戶為安全用戶和普通用戶,為所述安全用戶分別配置一個(gè)對應(yīng)的安全域,為所述普通用戶配置一個(gè)對應(yīng)的普通域,將所述安全用戶共用的應(yīng)用數(shù)據(jù)分別存儲在與所述安全用戶對應(yīng)的安全域內(nèi),將所述普通用戶共用的應(yīng)用數(shù)據(jù)存儲在與所述普通用戶對應(yīng)的普通域內(nèi)。
[0025]進(jìn)一步地,還包括:
[0026]對當(dāng)前用戶進(jìn)行安全用戶或普通用戶的識別,將應(yīng)用切換至所述當(dāng)前用戶的共用的應(yīng)用數(shù)據(jù)所在的特定域內(nèi)。
[0027]進(jìn)一步地,還包括:
[0028]對所述多用戶共用的應(yīng)用數(shù)據(jù)進(jìn)行標(biāo)記,對與所述共用的應(yīng)用數(shù)據(jù)相關(guān)的應(yīng)用也進(jìn)行對應(yīng)的標(biāo)記;
[0029]根據(jù)對所述共用的應(yīng)用數(shù)據(jù)進(jìn)行的標(biāo)記,判斷當(dāng)前應(yīng)用的標(biāo)記是否與所述共用的應(yīng)用數(shù)據(jù)的標(biāo)記對應(yīng);
[0030]當(dāng)判斷為對應(yīng)時(shí),將所述當(dāng)前應(yīng)用切換至所述應(yīng)用數(shù)據(jù)所在的特定域內(nèi)。
[0031]本發(fā)明提供一種終端及提高系統(tǒng)安全性方法,通過結(jié)合多用戶的機(jī)制和Seandroid機(jī)制,為系統(tǒng)提供一套安全解決方案,使得應(yīng)用能夠處理多用戶特定域內(nèi)的數(shù)據(jù),從而達(dá)到提高系統(tǒng)安全性的效果,使得單個(gè)終端能夠?qū)崿F(xiàn)對特定域內(nèi)數(shù)據(jù)的安全訪問。
【專利附圖】
【附圖說明】
[0032]圖1為本發(fā)明一實(shí)施例提供的終端的結(jié)構(gòu)示意圖;
[0033]圖2為本發(fā)明一實(shí)施例提供的提高系統(tǒng)安全性方法的流程圖。
【具體實(shí)施方式】
[0034]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例只是本發(fā)明中一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0035]首先,對SeLinux的相關(guān)技術(shù)進(jìn)行說明,SeLinux總體來說就是會使得系統(tǒng)的操作都處于限制狀態(tài),任何具體的訪問操作都需要經(jīng)過授權(quán)才可以被允許,系統(tǒng)所能進(jìn)行的操作都是明確的、最小權(quán)限集的。如果系統(tǒng)移植了 SeLinux,那么系統(tǒng)所有違規(guī)的操作都會以日志的方式記錄下來,并存放到misc/audit專門的目錄。
[0036]SeLinux存在兩種模式:(I)Enforcing強(qiáng)制模式:按照SeLinux的策略來進(jìn)行驗(yàn)證和管理系統(tǒng)安全,如果系統(tǒng)發(fā)現(xiàn)和SeLinux的規(guī)定不相符合的操作,則強(qiáng)制阻止程序的運(yùn)行或者訪問,同時(shí)給出提示;(2)Permissive允許模式:系統(tǒng)記錄所有違反策略的行為并給予一定的提示,同時(shí)不阻止程序的運(yùn)行或者訪問。需要說明的是,在Enforcing強(qiáng)制模式下,系統(tǒng)的性能和其他方面都會受到影響,所以如果不是特殊情況,可以不需要運(yùn)行在Enforcing強(qiáng)制模式。
[0037]下面通過【具體實(shí)施方式】結(jié)合附圖對本發(fā)明作進(jìn)一步詳細(xì)說明。
[0038]如圖1為本發(fā)明一實(shí)施例提供的終端的結(jié)構(gòu)示意圖,如圖1所示,該終端I包括:
[0039]配置模塊101,用于為多用戶配置特定域,多用戶包括安全用戶和普通用戶,安全用戶的特定域?yàn)榘踩?,普通用戶的特定域?yàn)槠胀ㄓ颍?br>
[0040]存儲模塊102,用于將多用戶共用的應(yīng)用數(shù)據(jù)存儲在與多用戶對應(yīng)的特定域內(nèi)。
[0041]具體地,為了提高系統(tǒng)的安全性,防止apk應(yīng)用的違規(guī)操作,配置模塊101為多用戶配置特定域,該多用戶包括安全用戶和/或普通用戶,即配置模塊101針對多用戶,為安全用戶配置的特定域?yàn)榘踩?,為普通用戶配置的特定域?yàn)槠胀ㄓ颍沟妹總€(gè)用戶都對應(yīng)一特定域。配置模塊101配置完成后,存儲模塊102將多用戶共用的應(yīng)用數(shù)據(jù)存儲在配置模塊101配置的多用戶的特定域內(nèi),如配置模塊101為某一用戶配置一特定域,則存儲模塊102將多用戶共用的應(yīng)用數(shù)據(jù)存儲在該用戶的特定域內(nèi),從而使得用戶通過應(yīng)用訪問共用的應(yīng)用數(shù)據(jù)時(shí),將應(yīng)用切換至該用戶的特定域內(nèi),其他特定域內(nèi)的應(yīng)用無法訪問。
[0042]在上述技術(shù)方案中,若多用戶為安全用戶,配置模塊101具體為安全用戶分別配置一個(gè)對應(yīng)的安全域,即為每個(gè)安全用戶都配置一個(gè)對應(yīng)的安全域,使得安全用戶與安全域之間一一對應(yīng),存儲模塊102將安全用戶共用的應(yīng)用數(shù)據(jù)分別存儲在與安全用戶一一對應(yīng)的安全域內(nèi);或者,若多用戶為普通用戶,配置模塊101具體為普通用戶配置一個(gè)對應(yīng)的普通域,可以為多個(gè)普通用戶配置一個(gè)對應(yīng)的普通域,使得多個(gè)普通用戶對應(yīng)于一個(gè)普通域,存儲模塊102將普通用戶共用的應(yīng)用數(shù)據(jù)存儲在與普通用戶對應(yīng)的普通域內(nèi);或者,可以為每個(gè)普通用戶分別配置一個(gè)對應(yīng)的普通域,使得多個(gè)普通用戶分別對應(yīng)一個(gè)普通域,存儲模塊102將普通用戶共用的應(yīng)用數(shù)據(jù)分別存儲在與普通用戶一一對應(yīng)的普通域內(nèi)。
[0043]在上述技術(shù)方案中,若多用戶為安全用戶和普通用戶,配置模塊101具體為安全用戶分別配置一個(gè)對應(yīng)的安全域,即為每個(gè)安全用戶都配置一個(gè)對應(yīng)的安全域,使得安全用戶與安全域之間一一對應(yīng),存儲模塊102將安全用戶共用的應(yīng)用數(shù)據(jù)分別存儲在與安全用戶對應(yīng)的安全域內(nèi),與此同時(shí),配置模塊101具體為普通用戶配置一個(gè)對應(yīng)的普通域,優(yōu)選地,可以為多個(gè)普通用戶配置一個(gè)對應(yīng)的普通域,使得多個(gè)普通用戶對應(yīng)于一個(gè)普通域,存儲模塊102將普通用戶共用的應(yīng)用數(shù)據(jù)存儲在與普通用戶對應(yīng)的普通域內(nèi)。
[0044]在上述技術(shù)方案中,該終端I還包括識別模塊103、切換模塊104,為了定義特定域的訪問權(quán)限,當(dāng)存儲模塊102存儲完成后,若有用戶需要對共用的應(yīng)用數(shù)據(jù)進(jìn)行訪問時(shí),識別模塊103對當(dāng)前訪問應(yīng)用數(shù)據(jù)的用戶進(jìn)行安全用戶或普通用戶的識別,其識別方式為根據(jù)當(dāng)前用戶的Uid(User Identification,用戶身份證明)進(jìn)行識別,從而確定終端當(dāng)前需要處于哪一個(gè)特定域,不同的特定域會有不同的狀態(tài),Uid的不同也會導(dǎo)致用戶的共用的應(yīng)用數(shù)據(jù)不一樣,此外,在系統(tǒng)主用戶界面,通過定義一個(gè)切換應(yīng)用,該應(yīng)用可以進(jìn)行不同域之間的切換,可以使得應(yīng)用可以切換至安全用戶,當(dāng)用戶點(diǎn)擊該切換應(yīng)用時(shí),識別模塊103根據(jù)用戶輸入的Uid,對當(dāng)前用戶進(jìn)行識別,切換模塊104根據(jù)識別模塊103識別出的當(dāng)前用戶,將應(yīng)用切換至當(dāng)前用戶的共用的應(yīng)用數(shù)據(jù)所在的特定域內(nèi),即該應(yīng)用可以找到特定域的地址,使得應(yīng)用能夠?qū)υ撎囟ㄓ騼?nèi)的共用的應(yīng)用數(shù)據(jù)進(jìn)行訪問。具體地,若安全用戶需要對共用的應(yīng)用數(shù)據(jù)訪問時(shí),識別模塊103識別出當(dāng)前用戶為安全用戶,則切換模塊104根據(jù)識別模塊103識別出的安全用戶,將應(yīng)用切換至與該安全用戶唯一對應(yīng)的安全域中;若普通用戶需要對共用的應(yīng)用數(shù)據(jù)訪問時(shí),識別模塊103識別出當(dāng)前用戶為普通用戶,則切換模塊104根據(jù)識別模塊103識別出的普通用戶,將應(yīng)用切換至與該普通用戶對應(yīng)的一個(gè)普通域中。切換模塊104可以將應(yīng)用從一安全域切換至另一安全域,還可以從一安全域切換至普通域,也可以從普通域切換至一安全域中。
[0045]在上述技術(shù)方案中,該終端I還包括標(biāo)記模塊106、判斷模塊107,為了防止其他應(yīng)用對安全用戶的應(yīng)用的共用的應(yīng)用數(shù)據(jù)進(jìn)行訪問,標(biāo)記模塊106需要分別對多用戶的共用的應(yīng)用數(shù)據(jù)進(jìn)行特殊的標(biāo)記,并且,標(biāo)記模塊106還分別對與該多用的共用的應(yīng)用數(shù)據(jù)相關(guān)的應(yīng)用也進(jìn)行對應(yīng)的標(biāo)記,即建立多用戶的共用的應(yīng)用數(shù)據(jù)與應(yīng)用之間的對應(yīng)關(guān)系,使得只有安全用戶的apk應(yīng)用能夠訪問共用的應(yīng)用數(shù)據(jù),該應(yīng)用數(shù)據(jù)的標(biāo)記會使得其他應(yīng)用無法對其進(jìn)行訪問。優(yōu)選地,標(biāo)記模塊106對該用戶的共用的應(yīng)用數(shù)據(jù)與應(yīng)用的標(biāo)記可以相同,從而建立對應(yīng)關(guān)系,當(dāng)用戶使用當(dāng)前應(yīng)用時(shí),根據(jù)對共用的應(yīng)用數(shù)據(jù)進(jìn)行的標(biāo)記,判斷模塊107判斷當(dāng)前應(yīng)用的標(biāo)記是否與共用的應(yīng)用數(shù)據(jù)的標(biāo)記相同,當(dāng)判斷模塊107判斷出當(dāng)前應(yīng)用的標(biāo)記與共用的應(yīng)用數(shù)據(jù)的比較相同時(shí),切換模塊104將當(dāng)前應(yīng)用切換至共用的應(yīng)用數(shù)據(jù)所在的特定域內(nèi),并且,在切換同時(shí),將該安全用戶下的apk應(yīng)用的共用的應(yīng)用數(shù)據(jù)的標(biāo)記和安全上下文都修改為特定的,從而使得該apk應(yīng)用可以訪問該特定域內(nèi)的共用的應(yīng)用數(shù)據(jù)。
[0046]在上述技術(shù)方案中,該終端I還可以結(jié)合SeLinux機(jī)制,如Enforcing強(qiáng)制模式。針對Enforcing強(qiáng)制模式,當(dāng)應(yīng)用在特定域內(nèi)對應(yīng)用數(shù)據(jù)進(jìn)行訪問時(shí),若應(yīng)用對該特定域外的數(shù)據(jù)也進(jìn)行訪問,則阻止該應(yīng)用進(jìn)行訪問,使得該特定域下的應(yīng)用只能訪問該特定域內(nèi)的數(shù)據(jù),不能訪問其他特定域內(nèi)的數(shù)據(jù),否則,該應(yīng)用繼續(xù)訪問該特定域內(nèi)的數(shù)據(jù),從而進(jìn)一步提高系統(tǒng)安全性。
[0047]綜上,利用多用戶的相關(guān)知識,在多用戶下的apk應(yīng)用實(shí)則是一個(gè)apk應(yīng)用,多份數(shù)據(jù)的特定。利用多用戶的Uid和一個(gè)apk應(yīng)用、多份數(shù)據(jù)的特定方式,再結(jié)合SeLinux的相關(guān)技術(shù)、切換技術(shù)使系統(tǒng)能夠達(dá)到安全用戶所想達(dá)到的效果。在多用戶情況下,我們需要對安全用戶下面的數(shù)據(jù)進(jìn)行特殊的處理,使得該用戶下的數(shù)據(jù)處于特定域下面,使得其他應(yīng)用無法訪問。例如,可以將其運(yùn)用到企業(yè)用戶,員工可以在公司的時(shí)候,強(qiáng)制使用安全用戶,不能進(jìn)行特殊的操作,從而達(dá)到提高系統(tǒng)安全的效果,當(dāng)用戶不在公司的時(shí)候,就可以再切換到普通用戶。
[0048]如圖2為本發(fā)明一實(shí)施例提供的提高系統(tǒng)安全性方法的流程圖,如圖2所述,該方法包括:
[0049]S201:為多用戶配置特定域,多用戶包括安全用戶和普通用戶,安全用戶的特定域?yàn)榘踩颍胀ㄓ脩舻奶囟ㄓ驗(yàn)槠胀ㄓ颍?br>
[0050]具體地,為了提高系統(tǒng)的安全性,防止apk應(yīng)用的違規(guī)操作,為多用戶配置特定域,該多用戶包括安全用戶和/或普通用戶,即針對多用戶,為安全用戶配置的特定域?yàn)榘踩?,為普通用戶配置的特定域?yàn)槠胀ㄓ?,使得每個(gè)用戶都對應(yīng)一特定域。
[0051]在上述技術(shù)方案中,若多用戶為安全用戶,具體為安全用戶分別配置一個(gè)對應(yīng)的安全域,即為每個(gè)安全用戶都配置一個(gè)對應(yīng)的安全域,使得安全用戶與安全域之間一一對應(yīng);或者,若多用戶為普通用戶,具體為普通用戶配置一個(gè)對應(yīng)的普通域,可以為多個(gè)普通用戶配置一個(gè)對應(yīng)的普通域,使得多個(gè)普通用戶對應(yīng)于一個(gè)普通域;或者,可以為每個(gè)普通用戶分別配置一個(gè)對應(yīng)的普通域,使得多個(gè)普通用戶分別對應(yīng)一個(gè)普通域。
[0052]在上述技術(shù)方案中,若多用戶為安全用戶和普通用戶,具體為安全用戶分別配置一個(gè)對應(yīng)的安全域,即為每個(gè)安全用戶都配置一個(gè)對應(yīng)的安全域,使得安全用戶與安全域之間一一對應(yīng),與此同時(shí),還具體為普通用戶配置一個(gè)對應(yīng)的普通域,即為多個(gè)普通用戶配置至少一個(gè)對應(yīng)的普通域,優(yōu)選地,可以為多個(gè)普通用戶配置一個(gè)對應(yīng)的普通域,使得多個(gè)普通用戶對應(yīng)于一個(gè)普通域。
[0053]S202:將多用戶共用的應(yīng)用數(shù)據(jù)存儲在多用戶的特定域內(nèi)。
[0054]具體地,為多用戶配置特定域后,將多用戶共用的應(yīng)用數(shù)據(jù)存儲在多用戶的特定域內(nèi),如為某一用戶配置一特定域,則將多用戶共用的應(yīng)用數(shù)據(jù)存儲在該用戶的特定域內(nèi),從而使得用戶通過應(yīng)用訪問共用的應(yīng)用數(shù)據(jù)時(shí),將應(yīng)用切換至該用戶的特定域內(nèi),其他特定域內(nèi)的應(yīng)用無法訪問。需要說明的是,為安全用戶配置的特定域?yàn)榘踩?,則將安全用戶共用的應(yīng)用數(shù)據(jù)分別存儲在與安全用戶一一對應(yīng)的安全域內(nèi),為普通用戶配置的特定域?yàn)槠胀ㄓ颍瑒t將普通用戶共用的應(yīng)用數(shù)據(jù)存儲在與普通用戶對應(yīng)的普通域內(nèi)。
[0055]在上述技術(shù)方案中,為了定義特定域的訪問權(quán)限,當(dāng)存儲完成后,若有用戶需要對共用的應(yīng)用數(shù)據(jù)進(jìn)行訪問時(shí),對當(dāng)前訪問應(yīng)用數(shù)據(jù)的用戶進(jìn)行安全用戶或普通用戶的識另1J,其識別方式為根據(jù)當(dāng)前用戶的Uid(User Identification,用戶身份證明)進(jìn)行識別,從而確定終端當(dāng)前需要處于哪一個(gè)特定域,不同的特定域會有不同的狀態(tài),Uid的不同也會導(dǎo)致用戶的共用的應(yīng)用數(shù)據(jù)不一樣,此外,在系統(tǒng)主用戶界面,通過定義一個(gè)切換應(yīng)用,該應(yīng)用可以進(jìn)行不同域之間的切換,可以使得應(yīng)用可以切換至安全用戶,當(dāng)用戶點(diǎn)擊該切換應(yīng)用時(shí),識別模塊103根據(jù)用戶輸入的Uid,對當(dāng)前用戶進(jìn)行識別,根據(jù)識別出的當(dāng)前用戶,將應(yīng)用切換至當(dāng)前用戶的共用的應(yīng)用數(shù)據(jù)所在的特定域內(nèi),即使得該應(yīng)用處于該特定域內(nèi),使得應(yīng)用能夠?qū)υ撎囟ㄓ騼?nèi)的共用的應(yīng)用數(shù)據(jù)進(jìn)行訪問。具體地,若安全用戶需要對共用的應(yīng)用數(shù)據(jù)訪問時(shí),識別出當(dāng)前用戶為安全用戶,則根據(jù)識別出的安全用戶,將應(yīng)用切換至與該安全用戶唯一對應(yīng)的安全域中;若普通用戶需要對共用的應(yīng)用數(shù)據(jù)訪問時(shí),識別出當(dāng)前用戶為普通用戶,則根據(jù)識別出的普通用戶,將應(yīng)用切換至與該普通用戶對應(yīng)的一個(gè)普通域中。應(yīng)用可以從一安全域切換至另一安全域,還可以從一安全域切換至普通域,也可以從普通域切換至一安全域中。
[0056]在上述技術(shù)方案中,為了防止其他應(yīng)用對安全用戶的應(yīng)用的共用的應(yīng)用數(shù)據(jù)進(jìn)行訪問,需要分別對多用戶的共用的應(yīng)用數(shù)據(jù)進(jìn)行特殊的標(biāo)記,并且,還分別對與該多用的共用的應(yīng)用數(shù)據(jù)相關(guān)的應(yīng)用也進(jìn)行對應(yīng)的標(biāo)記,即建立多用戶的共用的應(yīng)用數(shù)據(jù)與應(yīng)用之間的對應(yīng)關(guān)系,使得只有安全用戶的apk應(yīng)用能夠訪問共用的應(yīng)用數(shù)據(jù),該應(yīng)用數(shù)據(jù)的標(biāo)記會使得其他應(yīng)用無法對其進(jìn)行訪問。優(yōu)選地,對該用戶的共用的應(yīng)用數(shù)據(jù)與應(yīng)用進(jìn)程的標(biāo)記可以相同,從而建立對應(yīng)關(guān)系,當(dāng)用戶使用當(dāng)前應(yīng)用時(shí),根據(jù)對共用的應(yīng)用數(shù)據(jù)進(jìn)行的標(biāo)記,判斷模塊107判斷當(dāng)前應(yīng)用的標(biāo)記是否與共用的應(yīng)用數(shù)據(jù)的標(biāo)記相同,當(dāng)判斷模塊107判斷出當(dāng)前應(yīng)用的標(biāo)記與共用的應(yīng)用數(shù)據(jù)的比較相同時(shí),切換模塊104將當(dāng)前應(yīng)用切換至共用的應(yīng)用數(shù)據(jù)所在的特定域內(nèi),并且,在切換同時(shí),將該安全用戶下的apk應(yīng)用的共用的應(yīng)用數(shù)據(jù)的標(biāo)記和安全上下文都修改為特定的,從而使得該apk應(yīng)用可以訪問該特定域內(nèi)的共用的應(yīng)用數(shù)據(jù)。
[0057]在上述技術(shù)方案中,還可以結(jié)合SeLinux機(jī)制,如Enforcing強(qiáng)制模式。針對Enforcing強(qiáng)制模式,當(dāng)應(yīng)用在特定域內(nèi)對應(yīng)用數(shù)據(jù)進(jìn)行訪問時(shí),若應(yīng)用對該特定域外的數(shù)據(jù)也進(jìn)行訪問,則阻止該應(yīng)用進(jìn)行訪問,使得該特定域下的應(yīng)用只能訪問該特定域內(nèi)的數(shù)據(jù),不能訪問其他特定域內(nèi)的數(shù)據(jù),否則,該應(yīng)用繼續(xù)訪問該特定域內(nèi)的數(shù)據(jù),從而進(jìn)一步提高系統(tǒng)安全性。
[0058]綜上,通過結(jié)合多用戶的機(jī)制和Seandroid機(jī)制,為系統(tǒng)提供一套安全解決方案,使得應(yīng)用能夠處理多用戶特定域內(nèi)的數(shù)據(jù),從而達(dá)到提高系統(tǒng)安全性的效果,使得單個(gè)終端能夠?qū)崿F(xiàn)對特定域內(nèi)數(shù)據(jù)的安全訪問。
[0059]以上內(nèi)容是結(jié)合具體的實(shí)施方式對本發(fā)明所作的進(jìn)一步詳細(xì)說明,不能認(rèn)定本發(fā)明的具體實(shí)施只局限于這些說明。對于本發(fā)明所屬【技術(shù)領(lǐng)域】的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干簡單推演或替換,都應(yīng)當(dāng)視為屬于本發(fā)明的保護(hù)范圍。
【權(quán)利要求】
1.一種終端,其特征在于,包括: 配置模塊,用于為多用戶配置特定域,所述多用戶包括安全用戶和普通用戶,所述安全用戶的特定域?yàn)榘踩?,所述普通用戶的特定域?yàn)槠胀ㄓ颍? 存儲模塊,用于將所述多用戶共用的應(yīng)用數(shù)據(jù)存儲在所述多用戶的特定域內(nèi)。
2.根據(jù)權(quán)利要求1所述的終端,其特征在于, 所述配置模塊具體用于若所述多用戶為安全用戶,為所述安全用戶分別配置一個(gè)對應(yīng)的安全域,將所述安全用戶共用的應(yīng)用數(shù)據(jù)分別存儲在與所述安全用戶對應(yīng)的安全域內(nèi)。
3.根據(jù)權(quán)利要求1所述的終端,其特征在于, 所述配置模塊具體用于若所述多用戶為安全用戶和普通用戶,為所述安全用戶分別配置一個(gè)對應(yīng)的安全域,為所述普通用戶配置一個(gè)對應(yīng)的普通域,將所述安全用戶共用的應(yīng)用數(shù)據(jù)分別存儲在與所述安全用戶對應(yīng)的安全域內(nèi),將所述普通用戶共用的應(yīng)用數(shù)據(jù)存儲在與所述普通用戶對應(yīng)的普通域內(nèi)。
4.根據(jù)權(quán)利要求1至3任一項(xiàng)所述的終端,其特征在于,還包括: 識別模塊,用于對當(dāng)前用戶進(jìn)行安全用戶或普通用戶的識別; 切換模塊,用于根據(jù)所述識別模塊識別出的當(dāng)前用戶,將應(yīng)用切換至所述當(dāng)前用戶的共用的應(yīng)用數(shù)據(jù)所在的特定域內(nèi)。
5.根據(jù)權(quán)利要求4所述 的終端,其特征在于,還包括: 標(biāo)記模塊,用于對所述多用戶共用的應(yīng)用數(shù)據(jù)進(jìn)行標(biāo)記,對與所述共用的應(yīng)用數(shù)據(jù)相關(guān)的應(yīng)用也進(jìn)行對應(yīng)的標(biāo)記; 判斷模塊,用于根據(jù)所述標(biāo)記模塊對所述共用的應(yīng)用數(shù)據(jù)進(jìn)行的標(biāo)記,判斷當(dāng)前應(yīng)用的標(biāo)記是否與所述共用的應(yīng)用數(shù)據(jù)的標(biāo)記對應(yīng); 所述切換模塊具體用于當(dāng)所述判斷模塊判斷為對應(yīng)時(shí),將所述當(dāng)前應(yīng)用切換至所述應(yīng)用數(shù)據(jù)所在的特定域內(nèi)。
6.一種提高系統(tǒng)安全性方法,其特征在于,包括: 為多用戶配置特定域,所述多用戶包括安全用戶和普通用戶,所述安全用戶的特定域?yàn)榘踩?,所述普通用戶的特定域?yàn)槠胀ㄓ颍? 將所述多用戶共用的應(yīng)用數(shù)據(jù)存儲在所述多用戶的特定域內(nèi)。
7.根據(jù)權(quán)利要求6所述的提高系統(tǒng)安全性方法,其特征在于,所述將所述多用戶共用的應(yīng)用數(shù)據(jù)存儲在所述多用戶的特定域內(nèi)具體包括: 若所述多用戶為安全用戶,為所述安全用戶分別配置一個(gè)對應(yīng)的安全域,將所述安全用戶共用的應(yīng)用數(shù)據(jù)分別存儲在與所述安全用戶對應(yīng)的安全域內(nèi)。
8.根據(jù)權(quán)利要求6所述的提高系統(tǒng)安全性方法,其特征在于,還包括: 若所述多用戶為安全用戶和普通用戶,為所述安全用戶分別配置一個(gè)對應(yīng)的安全域,為所述普通用戶配置一個(gè)對應(yīng)的普通域,將所述安全用戶共用的應(yīng)用數(shù)據(jù)分別存儲在與所述安全用戶對應(yīng)的安全域內(nèi),將所述普通用戶共用的應(yīng)用數(shù)據(jù)存儲在與所述普通用戶對應(yīng)的普通域內(nèi)。
9.根據(jù)權(quán)利要求6至8任一項(xiàng)所述的提高系統(tǒng)安全性方法,其特征在于,還包括: 對當(dāng)前用戶進(jìn)行安全用戶或普通用戶的識別,將應(yīng)用切換至所述當(dāng)前用戶的共用的應(yīng)用數(shù)據(jù)所在的特定域內(nèi)。
10.根據(jù)權(quán)利要求9所述的提高系統(tǒng)安全性方法,其特征在于,還包括: 對所述多用戶共用的應(yīng)用數(shù)據(jù)進(jìn)行標(biāo)記,對與所述共用的應(yīng)用數(shù)據(jù)相關(guān)的應(yīng)用也進(jìn)行對應(yīng)的標(biāo)記; 根據(jù)對所述共用的應(yīng)用數(shù)據(jù)進(jìn)行的標(biāo)記,判斷當(dāng)前應(yīng)用的標(biāo)記是否與所述共用的應(yīng)用數(shù)據(jù)的標(biāo)記對應(yīng); 當(dāng)判斷為對應(yīng)時(shí),將所述當(dāng)前 應(yīng)用切換至所述應(yīng)用數(shù)據(jù)所在的特定域內(nèi)。
【文檔編號】G06F21/74GK103886270SQ201410126753
【公開日】2014年6月25日 申請日期:2014年3月31日 優(yōu)先權(quán)日:2014年3月31日
【發(fā)明者】劉惠盛 申請人:宇龍計(jì)算機(jī)通信科技(深圳)有限公司