技術(shù)特征:1.一種對軟件權(quán)限和行為進(jìn)行安全管控的方法�����,其特征在于�����,所述方法包括:
將基于策略配置文件管控應(yīng)用程序權(quán)限的安全管控文件以代碼的形式設(shè)置在以程序編碼的形式存在的應(yīng)用程序運(yùn)行的初始位置����,
基于所述應(yīng)用程序的運(yùn)行而觸發(fā)的所述安全管控文件根據(jù)服務(wù)器推送的第一策略配置文件限制所述應(yīng)用程序的權(quán)限,
所述服務(wù)器基于所述安全管控文件反饋的應(yīng)用程序的權(quán)限信息和運(yùn)行狀況生成并推送第二策略配置文件至所述應(yīng)用程序的安全管控文件��。
2.如權(quán)利要求1所述的對軟件權(quán)限和行為進(jìn)行安全管控的方法�����,其特征在于���,所述服務(wù)器基于所述安全管控文件標(biāo)記并反饋的所述應(yīng)用程序的待管控權(quán)限信息調(diào)整所述第一策略配置文件為所述第二策略配置文件�,
所述安全管控文件基于所述第二策略配置文件的權(quán)限策略列表限制所述應(yīng)用程序的權(quán)限��。
3.如權(quán)利要求2所述的對軟件權(quán)限和行為進(jìn)行安全管控的方法�����,其特征在于,所述安全管控文件基于所述應(yīng)用程序的運(yùn)行障礙調(diào)整所述第二策略配置文件的權(quán)限策略列表從而生成第三策略配置文件��,所述安全管控文件標(biāo)記所述第三策略配置文件及其對應(yīng)的應(yīng)用程序的版本信息并推送至所述服務(wù)器儲存�����。
4.如權(quán)利要求3所述的對軟件權(quán)限和行為進(jìn)行安全管控的方法���,其特征在于�,所述服務(wù)器根據(jù)所述安全管控文件反饋的應(yīng)用程序的版本信息選取與其匹配的第一策略配置文件�����、第二策略配置文件或第三策略配置文件并推送至所述應(yīng)用程序中的安全管控文件��。
5.如權(quán)利要求4所述對軟件權(quán)限和行為進(jìn)行安全管控的方法���,其特征在于,所述服務(wù)器根據(jù)所述安全管控文件反饋的管控失敗的權(quán)限信息及對應(yīng)的應(yīng)用程序的版本信息向所述安全管控文件推送更新信息從而更新所述安全管控文件�。
6.如前述權(quán)利要求之一所述對軟件權(quán)限和行為進(jìn)行安全管控的方法,其特征在于�,所述將基于策略配置文件管控應(yīng)用程序權(quán)限的安全管控文件以代碼的形式設(shè)置在以程序編碼的形式存在的應(yīng)用程序運(yùn)行的初始位置的步驟包括:
拆解�����、反向匯編和/或反向編譯待管控的應(yīng)用程序為程序編碼�,
將所述安全管控文件的代碼設(shè)置于程序編碼中運(yùn)行的初始位置或初始化節(jié)點位置���,
正向編譯設(shè)置有安全管控文件的程序編碼為由安全管控文件管控的應(yīng)用程序�。
7.如權(quán)利要求6所述對軟件權(quán)限和行為進(jìn)行安全管控的方法���,其特征在于��,所述安全管控文件基于所述第一策略配置文件或所述第二策略配置文件的策略要求計算和判斷所述應(yīng)用程序運(yùn)行中限制權(quán)限的啟動次數(shù)和時間�����,并且攔截限制權(quán)限發(fā)送的限制信息����;
所述安全管控文件基于所述應(yīng)用程序的運(yùn)行障礙再次計算和判斷所述應(yīng)用程序運(yùn)行中限制權(quán)限的啟動次數(shù)和時間����,從而生成所述第三策略配置文件并將再次計算和判斷得到的所述限制權(quán)限的啟動次數(shù)和時間以及所述限制信息推送至所述服務(wù)器進(jìn)行存儲。
8.如權(quán)利要求7所述對軟件權(quán)限和行為進(jìn)行安全管控的方法,其特征在于�����,所述安全管控文件通過比較所述策略配置文件中的權(quán)限策略列表所列的權(quán)限信息和應(yīng)用程序申請的權(quán)限信息來確定限制權(quán)限����,
所述安全管控文件的管控指令基于限制權(quán)限的啟動而觸發(fā)從而阻止限制權(quán)限的啟動和/或攔截所述限制權(quán)限發(fā)送的限制信息。
9.如權(quán)利要求7或8所述對軟件權(quán)限和行為進(jìn)行安全管控的方法��,其特征在于��,在所述安全管控文件與所述服務(wù)器失去信號連接的情況下��,所述安全管控文件將未記錄在所述第一策略配置文件的權(quán)限策略列表中的所述應(yīng)用程序的待管控權(quán)限信息增加至所述權(quán)限策略列表并設(shè)置為禁止?fàn)顟B(tài)��,從而生成所述第二策略配置文件����,
所述安全管控文件基于所述應(yīng)用程序的運(yùn)行障礙調(diào)整所述第二策略配置文件的權(quán)限策略列表從而生成第三策略配置文件�。
10.一種對軟件權(quán)限和行為進(jìn)行安全管控的系統(tǒng),其特征在于�����,包括服務(wù)器、置件模塊����、編譯模塊和安全管控文件,
所述服務(wù)器存儲安全管控文件的代碼并基于所述安全管控文件的反饋信息推送策略配置文件�,
所述編譯模塊拆解、反向匯編和/或反向編譯待管控的應(yīng)用程序為程序編碼�����,
所述置件模塊將基于策略配置文件管控應(yīng)用程序權(quán)限的安全管控文件以代碼的形式設(shè)置在以程序編碼的形式存在的應(yīng)用程序運(yùn)行的初始位置����,
基于所述應(yīng)用程序的運(yùn)行而觸發(fā)的所述安全管控文件根據(jù)所述服務(wù)器推送的第一策略配置文件限制所述應(yīng)用程序的權(quán)限,
所述服務(wù)器基于所述安全管控文件反饋的應(yīng)用程序的權(quán)限信息和運(yùn)行狀況生成并推送第二策略配置文件至所述應(yīng)用程序的安全管控文件���。