亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種安全策略更新方法及裝置與流程

文檔序號(hào):12729635閱讀:347來(lái)源:國(guó)知局
一種安全策略更新方法及裝置與流程

本發(fā)明涉及通信領(lǐng)域中的安全信息技術(shù),尤其涉及一種安全策略更新方法及裝置。



背景技術(shù):

SEAndroid是谷歌(Google)在Android 4.4上正式推出的一套以SELinux(Security-Enhanced Linux)為基礎(chǔ)與核心的系統(tǒng)安全機(jī)制,目前已經(jīng)廣泛應(yīng)用于Android操作系統(tǒng)。國(guó)際上知名的終端操作廠商都在推出內(nèi)置SEAndroid的相關(guān)終端產(chǎn)品。目前,對(duì)SEAndroid安全策略的更新方法主要有如下三種:

第一,先在現(xiàn)有SEAndroid系統(tǒng)增加新的安全策略加載子系統(tǒng),然后在負(fù)責(zé)安全策略編譯的主機(jī)上編譯好所需要的安全策略,并下載到安全Trans-flash Card(TF卡)上的安全存儲(chǔ)區(qū)內(nèi),再將帶有安全策略的安全TF卡插入所述的SEAndroid系統(tǒng)中供隨后使用調(diào)用。但是,該方法更新SEAndroid安全策略的效率太低。

第二,通過(guò)內(nèi)置自學(xué)習(xí)模塊記錄LSM(Linux安全模塊)攔截的主、客體訪問(wèn)記錄,通過(guò)自動(dòng)生成和手動(dòng)微調(diào)等方式生成基本的安全策略,并供之后系統(tǒng)使用。但是,該方法無(wú)法保證安全策略的準(zhǔn)確性和全面性,無(wú)法滿足大規(guī)模用戶集體更新安全策略的需求。

第三,由技術(shù)人員在現(xiàn)在安全策略基礎(chǔ)上,通過(guò)分析軟件功能,主、客體訪問(wèn)關(guān)系,以及文件存儲(chǔ)關(guān)系等自行編寫相關(guān)安全策略,寫入手機(jī)內(nèi)核,更新手機(jī)操作系統(tǒng)安全策略。但是,該方法實(shí)施起來(lái)對(duì)技術(shù)人員要求較高,人力成本高,容易出錯(cuò)。



技術(shù)實(shí)現(xiàn)要素:

有鑒于此,本發(fā)明期望提供一種安全策略更新方法及裝置,能提高安全策略更新的效率,提升安全策略的正確性和可靠性。

為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:

本發(fā)明提供了一種安全策略更新方法,所述方法包括:

獲取Linux安全模塊(LSM,Linux Security Module)的攔截信息;其中,所述攔截信息包括主體與客體之間的訪問(wèn)數(shù)據(jù);

按照預(yù)設(shè)策略對(duì)所述攔截信息進(jìn)行處理,并生成攔截?cái)?shù)據(jù);

將攔截?cái)?shù)據(jù)發(fā)送至服務(wù)器,以由所述服務(wù)器基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略,并在所述安全策略通過(guò)審核后發(fā)送至終端。

上述方案中,優(yōu)選地,所述按照預(yù)設(shè)策略對(duì)所述攔截信息進(jìn)行處理,包括:

對(duì)攔截信息進(jìn)行整理;

將相同的攔截信息合并為一個(gè)攔截信息。

上述方案中,優(yōu)選地,所述生成攔截?cái)?shù)據(jù),包括:

確定攔截信息的翻譯格式;

按照所述翻譯格式將攔截信息翻譯成攔截?cái)?shù)據(jù);

其中,所述攔截信息的格式為<主體,客體,訪問(wèn)類型,…,內(nèi)容S>;攔截?cái)?shù)據(jù)的格式為<軟件包名1,軟件包名2,軟件包名3,…,軟件包名s>。

上述方案中,優(yōu)選地,所述方法還包括:

接收服務(wù)器側(cè)返回的第一安全策略;其中,所述第一安全策略是在服務(wù)器側(cè)經(jīng)審核而確定的安全策略;

將所述第一安全策略與本地的安全策略進(jìn)行集成;

基于集成后的安全策略完成安全策略的更新。

本發(fā)明還提供了一種安全策略更新方法,應(yīng)用于服務(wù)器側(cè),所述方法包括:

接收終端發(fā)送的攔截?cái)?shù)據(jù);其中,所述攔截?cái)?shù)據(jù)由終端將通過(guò)LSM獲取的攔截信息按照預(yù)設(shè)策略進(jìn)行處理而生成的;

基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略;

在所述安全策略通過(guò)審核后發(fā)送至終端。

上述方案中,優(yōu)選地,所述基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略,包括:

對(duì)接收的攔截?cái)?shù)據(jù)進(jìn)行整理,并統(tǒng)計(jì)相同客體的攔截次數(shù);

如果訪問(wèn)同一客體的攔截次數(shù)大于等于預(yù)設(shè)閾值,根據(jù)與所述同一客體相關(guān)的攔截?cái)?shù)據(jù)生成對(duì)應(yīng)的安全策略語(yǔ)句。

上述方案中,優(yōu)選地,所述基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略,還包括:

對(duì)各安全策略語(yǔ)句進(jìn)行同類項(xiàng)合并;

根據(jù)合并后的安全策略語(yǔ)句生成相應(yīng)的安全策略。

上述方案中,優(yōu)選地,所述方法還包括:

通過(guò)審核人員對(duì)所述安全策略進(jìn)行進(jìn)行審核,并在滿足預(yù)設(shè)條件時(shí)對(duì)所述安全策略進(jìn)行微調(diào);

將經(jīng)審核而確定的安全策略生成第一安全策略。

本發(fā)明還提供了一種安全策略更新裝置,所述裝置包括:

獲取模塊,用于獲取LSM的攔截信息;其中,所述攔截信息包括主體與客體之間的訪問(wèn)數(shù)據(jù);

處理模塊,用于按照預(yù)設(shè)策略對(duì)所述攔截信息進(jìn)行處理,并生成攔截?cái)?shù)據(jù);

第一發(fā)送模塊,用于將攔截?cái)?shù)據(jù)發(fā)送至服務(wù)器,以由所述服務(wù)器基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略,并在所述安全策略通過(guò)審核后發(fā)送至終端。

上述方案中,優(yōu)選地,所述處理模塊,包括:

整理子模塊,用于對(duì)攔截信息進(jìn)行整理;

第一合并子模塊,用于將相同的攔截信息合并為一個(gè)攔截信息。

上述方案中,優(yōu)選地,所述處理模塊,還包括:

確定子模塊,用于確定攔截信息的翻譯格式;

翻譯子模塊,用于按照所述翻譯格式將攔截信息翻譯成攔截?cái)?shù)據(jù);

其中,所述攔截信息的格式為<主體,客體,訪問(wèn)類型,…,內(nèi)容S>;攔 截?cái)?shù)據(jù)的格式為<軟件包名1,軟件包名2,軟件包名3,…,軟件包名s>。

上述方案中,優(yōu)選地,所述裝置還包括:

第一接收模塊,用于接收服務(wù)器側(cè)返回的第一安全策略;其中,所述第一安全策略是在服務(wù)器側(cè)經(jīng)審核而確定的安全策略;

集成模塊,用于將所述第一安全策略與本地的安全策略進(jìn)行集成;

更新模塊,用于基于集成后的安全策略完成安全策略的更新。

本發(fā)明還提供了一種安全策略更新裝置,應(yīng)用于服務(wù)器側(cè),所述裝置包括:

第二接收模塊,用于接收終端發(fā)送的攔截?cái)?shù)據(jù);其中,所述攔截?cái)?shù)據(jù)由終端將通過(guò)LSM獲取的攔截信息按照預(yù)設(shè)策略進(jìn)行處理而生成的;

生成模塊,用于基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略;

第二發(fā)送模塊,用于在所述安全策略通過(guò)審核后發(fā)送至終端。

上述方案中,優(yōu)選地,所述生成模塊,包括:

統(tǒng)計(jì)子模塊,用于對(duì)接收的攔截?cái)?shù)據(jù)進(jìn)行整理,并統(tǒng)計(jì)相同客體的攔截次數(shù);

第一生成子模塊,用于如果訪問(wèn)同一客體的攔截次數(shù)大于等于預(yù)設(shè)閾值,根據(jù)與所述同一客體相關(guān)的攔截?cái)?shù)據(jù)生成對(duì)應(yīng)的安全策略語(yǔ)句。

上述方案中,優(yōu)選地,所述生成模塊,還包括:

第二合并子模塊,用于對(duì)各安全策略語(yǔ)句進(jìn)行同類項(xiàng)合并;

第二生成子模塊,用于根據(jù)合并后的安全策略語(yǔ)句生成相應(yīng)的安全策略。

上述方案中,優(yōu)選地,所述裝置還包括:

審核模塊,用于通過(guò)審核人員對(duì)所述安全策略進(jìn)行進(jìn)行審核,并在滿足預(yù)設(shè)條件時(shí)對(duì)所述安全策略進(jìn)行微調(diào);

相應(yīng)地,所述生成模塊,還用于將經(jīng)審核而確定的安全策略生成第一安全策略。

本發(fā)明所提供的安全策略更新方法及裝置,獲取LSM的攔截信息;其中,所述攔截信息包括主體與客體之間的訪問(wèn)數(shù)據(jù);按照預(yù)設(shè)策略對(duì)所述攔截信息進(jìn)行處理,并生成攔截?cái)?shù)據(jù);將攔截?cái)?shù)據(jù)發(fā)送至服務(wù)器,以由所述服務(wù)器基于 所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略,并在所述安全策略通過(guò)審核后發(fā)送至終端,以由終端進(jìn)行安全策略的更新;如此,能為多個(gè)用戶同時(shí)更新安全策略,有效提高了安全策略更新的效率;同時(shí),提升了安全策略的正確性和可靠性,提升了用戶的使用體驗(yàn)。

附圖說(shuō)明

圖1為本發(fā)明提供的一種安全策略更新方法的實(shí)現(xiàn)流程圖;

圖2為本發(fā)明提供的另一種安全策略更新方法的實(shí)現(xiàn)流程圖;

圖3為本發(fā)明提供的一種安全策略更新裝置的組成結(jié)構(gòu)示意圖;

圖4為本發(fā)明提供的另一種安全策略更新裝置的組成結(jié)構(gòu)示意圖;

圖5為本發(fā)明提供的一種安全策略更新系統(tǒng)的示意圖;

圖6為本發(fā)明提供的進(jìn)行安全策略更新的一種具體實(shí)現(xiàn)流程圖。

具體實(shí)施方式

為了能夠更加詳盡地了解本發(fā)明的特點(diǎn)與技術(shù)內(nèi)容,下面結(jié)合附圖對(duì)本發(fā)明的實(shí)現(xiàn)進(jìn)行詳細(xì)闡述,所附附圖僅供參考說(shuō)明之用,并非用來(lái)限定本發(fā)明。

實(shí)施例一

圖1為本發(fā)明提供的一種安全策略更新方法的實(shí)現(xiàn)流程圖,所述安全策略更新方法應(yīng)用于終端側(cè),如圖1所示,所述安全策略更新方法主要包括以下步驟:

步驟101:獲取Linux安全模塊的攔截信息;其中,所述攔截信息包括主體與客體之間的訪問(wèn)數(shù)據(jù)。

具體地,所述攔截信息的格式可以為<主體,客體,訪問(wèn)類型,…,內(nèi)容S>。

例如,所述攔截信息的格式可以是<主體,客體>,還可以是<主體,客體,訪問(wèn)類型>。

例如,應(yīng)用A訪問(wèn)B文件,那么,A為主體,B為客體。

步驟102:按照預(yù)設(shè)策略對(duì)所述攔截信息進(jìn)行處理,并生成攔截?cái)?shù)據(jù)。

優(yōu)選地,所述按照預(yù)設(shè)策略對(duì)所述攔截信息進(jìn)行處理,可以包括:

對(duì)攔截信息進(jìn)行整理;

將相同的攔截信息合并為一個(gè)攔截信息。

例如,在某一時(shí)間段內(nèi),應(yīng)用A訪問(wèn)了B文件5次,且每次都被B文件所拒絕;那么,需要將這5次關(guān)于B文件拒絕應(yīng)用A訪問(wèn)的攔截信息進(jìn)行合并,合并為一個(gè)攔截信息。

優(yōu)選地,所述生成攔截?cái)?shù)據(jù),可以包括:

確定攔截信息的翻譯格式;

按照所述翻譯格式將攔截信息翻譯成攔截?cái)?shù)據(jù);

其中,當(dāng)所述攔截信息的格式可以為<主體,客體,訪問(wèn)類型,…,內(nèi)容S>時(shí),攔截?cái)?shù)據(jù)的格式可以是<軟件包名1,軟件包名2,軟件包名3,…,軟件包名s>。

例如,所述攔截信息的格式可以為<主體,客體,訪問(wèn)類型>時(shí),攔截?cái)?shù)據(jù)的格式可以是<軟件包名1,軟件包名2,軟件包名3>。

步驟103:將攔截?cái)?shù)據(jù)發(fā)送至服務(wù)器,以由所述服務(wù)器基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略,并在所述安全策略通過(guò)審核后發(fā)送至終端。

具體地,終端可以在滿足觸發(fā)條件時(shí),向服務(wù)器發(fā)送攔截?cái)?shù)據(jù);其中,所述觸發(fā)條件可以是周期性觸發(fā),也可以是事件觸發(fā)。

上述步驟101~步驟103的執(zhí)行主體可以是終端或安裝在終端中的能夠執(zhí)行上述步驟的功能的裝置。

上述方案中、優(yōu)選地,所述方法還可以包括:

終端接收服務(wù)器側(cè)返回的第一安全策略;其中,所述第一安全策略是在服務(wù)器側(cè)經(jīng)審核而確定的安全策略;

將所述第一安全策略與本地的安全策略進(jìn)行集成;

基于集成后的安全策略完成安全策略的更新。

具體地,在服務(wù)器生成第一安全策略后,將第一安全策略文件下發(fā)各個(gè)終 端客戶端,各個(gè)終端客戶端將第一安全策略與在本地所存儲(chǔ)的安全策略文件進(jìn)行集成;集成完畢后,終端通過(guò)可以重啟來(lái)完成策略的更新。

具體地,終端可以按照現(xiàn)有技術(shù)中的更新方法基于集成后的安全策略完成安全策略的更新,在此不再贅述。

本實(shí)施例中,所述終端可以是可以安裝應(yīng)用程序的設(shè)備,如手機(jī)、平板電腦、筆記本電腦、電視等。

本實(shí)施例所述安全策略更新方法,獲取LSM的攔截信息;其中,所述攔截信息包括主體與客體之間的訪問(wèn)數(shù)據(jù);按照預(yù)設(shè)策略對(duì)所述攔截信息進(jìn)行處理,并生成攔截?cái)?shù)據(jù);將攔截?cái)?shù)據(jù)發(fā)送至服務(wù)器,以由所述服務(wù)器基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略,并在所述安全策略通過(guò)審核后發(fā)送至終端,以由終端進(jìn)行安全策略的更新;如此,能為多個(gè)用戶同時(shí)更新安全策略,有效提高了安全策略更新的效率;同時(shí),提升了安全策略的正確性和可靠性,提升了用戶的使用體驗(yàn)。

實(shí)施例二

圖2為本發(fā)明提供的另一種安全策略更新方法的實(shí)現(xiàn)流程圖,所述安全策略更新方法應(yīng)用于服務(wù)器側(cè),如圖1所示,所述安全策略更新方法主要包括以下步驟:

步驟201:接收終端發(fā)送的攔截?cái)?shù)據(jù);其中,所述攔截?cái)?shù)據(jù)由終端將通過(guò)LSM獲取的攔截信息按照預(yù)設(shè)策略進(jìn)行處理而生成的。

這里,所述LSM是指Linux安全模塊。

其中,所述攔截信息包括主體與客體之間的訪問(wèn)數(shù)據(jù)。具體地,所述攔截信息的格式可以為<主體,客體,訪問(wèn)類型,…,內(nèi)容S>。

例如,所述攔截信息的格式可以是<主體,客體>,還可以是<主體,客體,訪問(wèn)類型>。

優(yōu)選地,接收終端發(fā)送的攔截?cái)?shù)據(jù)之后,所述方法還可以包括:

存儲(chǔ)所述攔截?cái)?shù)據(jù)。

當(dāng)然,可以在服務(wù)器本地存儲(chǔ)所述攔截?cái)?shù)據(jù),還將所述攔截?cái)?shù)據(jù)存儲(chǔ)在第一設(shè)備中,其中,所述第一設(shè)備是能夠與服務(wù)器連接的設(shè)備。

這里,服務(wù)器可以接收各個(gè)終端所發(fā)送的攔截?cái)?shù)據(jù)。

步驟202:基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略。

具體地,服務(wù)器對(duì)各終端發(fā)送的攔截?cái)?shù)據(jù)進(jìn)行分析時(shí),可以采用大數(shù)據(jù)分析方法。

優(yōu)選地,所述基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略,可以包括:

對(duì)接收的攔截?cái)?shù)據(jù)進(jìn)行整理,并統(tǒng)計(jì)相同客體的攔截次數(shù);

如果訪問(wèn)同一客體的攔截次數(shù)大于等于預(yù)設(shè)閾值,根據(jù)與所述同一客體相關(guān)的攔截?cái)?shù)據(jù)生成對(duì)應(yīng)的安全策略語(yǔ)句。

當(dāng)然,不同類型的訪問(wèn)可對(duì)應(yīng)不同的預(yù)設(shè)閾值。

例如,假設(shè)服務(wù)器根據(jù)終端1上傳的攔截?cái)?shù)據(jù)分析可知,應(yīng)用A訪問(wèn)B文件被拒絕,應(yīng)用C訪問(wèn)B文件被拒絕,應(yīng)用D訪問(wèn)B文件被拒絕;那么,A、C、D為主體,B為客體;假設(shè)預(yù)設(shè)閾值為10,那么,當(dāng)應(yīng)用A訪問(wèn)B文件的次數(shù)Na+應(yīng)用C訪問(wèn)B文件的次數(shù)Nc+應(yīng)用D訪問(wèn)B文件的次數(shù)Nd≥10時(shí),則服務(wù)器分別生成應(yīng)用A訪問(wèn)B文件的安全策略語(yǔ)句a、應(yīng)用C訪問(wèn)B文件的安全策略語(yǔ)句c、應(yīng)用D訪問(wèn)B文件的安全策略語(yǔ)句d。

優(yōu)選地,所述基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略,還可以包括:

對(duì)各安全策略語(yǔ)句進(jìn)行同類項(xiàng)合并;

根據(jù)合并后的安全策略語(yǔ)句生成相應(yīng)的安全策略。

例如,假設(shè)服務(wù)器根據(jù)終端2上傳的攔截?cái)?shù)據(jù)分析可知,應(yīng)用E訪問(wèn)B文件被拒絕,應(yīng)用F訪問(wèn)B文件被拒絕,應(yīng)用G訪問(wèn)B文件被拒絕;那么,E、F、G為主體,B為客體;服務(wù)器分別生成應(yīng)用E訪問(wèn)B文件的安全策略語(yǔ)句e、應(yīng)用F訪問(wèn)B文件的安全策略語(yǔ)句f、應(yīng)用G訪問(wèn)B文件的安全策略語(yǔ)句g。服務(wù)器將比較終端1與終端2所上傳的攔截?cái)?shù)據(jù),假設(shè)A、E屬于第一大類,C、F屬于第二大類,D、G屬于第三大類;那么,應(yīng)當(dāng)將安全策略語(yǔ)句a、e進(jìn)行合并,將安全策略語(yǔ)句c、f進(jìn)行合并,將安全策略語(yǔ)句d、g進(jìn)行合并。

如此,能夠?qū)儆谕活愋偷陌踩呗哉Z(yǔ)句進(jìn)行合并,從而更好地應(yīng)對(duì)不同應(yīng)用類型對(duì)相同客體的訪問(wèn)。

步驟203:在所述安全策略通過(guò)審核后發(fā)送至終端。

優(yōu)選地,所述方法還可以包括:

通過(guò)審核人員對(duì)所述安全策略進(jìn)行進(jìn)行審核,并在滿足預(yù)設(shè)條件時(shí)對(duì)所述安全策略進(jìn)行微調(diào);

將經(jīng)審核而確定的安全策略生成第一安全策略。

例如,當(dāng)審核人員人為的補(bǔ)充新的安全策略時(shí),需要進(jìn)行微調(diào)。

優(yōu)選地,在生成第一安全策略之后,所述方法還可以包括:

向各個(gè)終端主動(dòng)推送第一安全策略文件。

具體地,在服務(wù)器生成第一安全策略后,將第一安全策略文件下發(fā)各個(gè)終端客戶端,各個(gè)終端客戶端將第一安全策略與在本地所存儲(chǔ)的安全策略文件進(jìn)行集成;集成完畢后,終端通過(guò)可以通過(guò)重啟來(lái)完成策略的更新。

具體地,終端可以按照現(xiàn)有技術(shù)中的更新方法基于集成后的安全策略完成安全策略的更新,在此不再贅述。

本實(shí)施例中,所述終端可以是可以安裝應(yīng)用程序的設(shè)備,如手機(jī)、平板電腦、筆記本電腦、電視等。

優(yōu)選地,在生成第一安全策略之后,所述方法還可以包括:

向各個(gè)終端推送關(guān)于第一安全策略的通知信息。

如此,能夠使各個(gè)終端主動(dòng)或接收到控制指令之后從服務(wù)器側(cè)獲取所述第一安全策略文件。

本實(shí)施例所述安全策略更新方法,接收終端發(fā)送的攔截?cái)?shù)據(jù);其中,所述攔截?cái)?shù)據(jù)由終端將通過(guò)LSM獲取的攔截信息按照預(yù)設(shè)策略進(jìn)行處理而生成的;基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略;并在所述安全策略通過(guò)審核后發(fā)送至終端,以由終端進(jìn)行安全策略的更新;如此,能為多個(gè)用戶同時(shí)更新安全策略,有效提高了安全策略更新的效率;同時(shí),提升了安全策略的正確性和可靠性,提升了用戶的使用體驗(yàn)。

實(shí)施例三

圖3為本發(fā)明提供的一種安全策略更新裝置的組成結(jié)構(gòu)示意圖,應(yīng)用于終端側(cè);如圖3所示,所述安全策略更新裝置包括:

獲取模塊31,用于獲取LSM的攔截信息;其中,所述攔截信息包括主體與客體之間的訪問(wèn)數(shù)據(jù);

處理模塊32,用于按照預(yù)設(shè)策略對(duì)所述攔截信息進(jìn)行處理,并生成攔截?cái)?shù)據(jù);

第一發(fā)送模塊33,用于將攔截?cái)?shù)據(jù)發(fā)送至服務(wù)器,以由所述服務(wù)器基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略,并在所述安全策略通過(guò)審核后發(fā)送至終端。

優(yōu)選地,所述處理模塊32,包括:

整理子模塊321,用于對(duì)攔截信息進(jìn)行整理;

第一合并子模塊322,用于將相同的攔截信息合并為一個(gè)攔截信息。

優(yōu)選地,所述處理模塊32,還包括:

確定子模塊323,用于確定攔截信息的翻譯格式;

翻譯子模塊324,用于按照所述翻譯格式將攔截信息翻譯成攔截?cái)?shù)據(jù);

其中,所述攔截信息的格式為<主體,客體,訪問(wèn)類型,…,內(nèi)容S>;攔截?cái)?shù)據(jù)的格式為<軟件包名1,軟件包名2,軟件包名3,…,軟件包名s>。

優(yōu)選地,所述裝置還包括:

第一接收模塊34,用于接收服務(wù)器側(cè)返回的第一安全策略;其中,所述第一安全策略是在服務(wù)器側(cè)經(jīng)審核而確定的安全策略;

集成模塊35,用于將所述第一安全策略與本地的安全策略進(jìn)行集成;

更新模塊36,用于基于集成后的安全策略完成安全策略的更新。

實(shí)際應(yīng)用中,所述獲取模塊31、處理模塊32、第一發(fā)送模塊33、第一接收模塊34、集成模塊35、更新模塊36、以及所述處理模塊32的各個(gè)子模塊,均可由安全策略更新裝置或安全策略更新裝置所屬終端中的中央處理器(CPU,Central Processing Unit)、微處理器(MPU,Micro Processor Unit)、數(shù)字信號(hào)處理器(DSP,Digital Signal Processor)或現(xiàn)場(chǎng)可編程門陣列(FPGA,F(xiàn)ield Programmable Gate Array)等實(shí)現(xiàn)。

本實(shí)施例所述安全策略更新裝置,將攔截?cái)?shù)據(jù)發(fā)送至服務(wù)器,以由所述服務(wù)器基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略,并根據(jù)服務(wù)器返回的第一安全策略文件進(jìn)行安全策略的更新;如此,能有效提高了安全策略更新的效率;同時(shí),提升了安全策略的正確性和可靠性,提升了用戶的使用體驗(yàn)。

實(shí)施例四

圖4為本發(fā)明提供的另一種安全策略更新裝置的組成結(jié)構(gòu)示意圖,應(yīng)用于服務(wù)器側(cè);如圖4所示,所述安全策略更新裝置包括:

第二接收模塊41,用于接收終端發(fā)送的攔截?cái)?shù)據(jù);其中,所述攔截?cái)?shù)據(jù)由終端將通過(guò)LSM獲取的攔截信息按照預(yù)設(shè)策略進(jìn)行處理而生成的;

生成模塊42,用于基于所述攔截?cái)?shù)據(jù)生成相應(yīng)的安全策略;

第二發(fā)送模塊43,用于在所述安全策略通過(guò)審核后發(fā)送至終端。

優(yōu)選地,所述生成模塊42,包括:

統(tǒng)計(jì)子模塊421,用于對(duì)接收的攔截?cái)?shù)據(jù)進(jìn)行整理,并統(tǒng)計(jì)相同客體的攔截次數(shù);

第一生成子模塊422,用于如果訪問(wèn)同一客體的攔截次數(shù)大于等于預(yù)設(shè)閾值,根據(jù)與所述同一客體相關(guān)的攔截?cái)?shù)據(jù)生成對(duì)應(yīng)的安全策略語(yǔ)句。

優(yōu)選地,所述生成模塊42,還包括:

第二合并子模塊423,用于對(duì)各安全策略語(yǔ)句進(jìn)行同類項(xiàng)合并;

第二生成子模塊424,用于根據(jù)合并后的安全策略語(yǔ)句生成相應(yīng)的安全策略。

優(yōu)選地,所述裝置還包括:

審核模塊44,用于通過(guò)審核人員對(duì)所述安全策略進(jìn)行進(jìn)行審核,并在滿足預(yù)設(shè)條件時(shí)對(duì)所述安全策略進(jìn)行微調(diào);

相應(yīng)地,所述生成模塊43,還用于將經(jīng)審核而確定的安全策略生成第一安全策略。

實(shí)際應(yīng)用中,所述獲取模塊31、處理模塊32、第一發(fā)送模塊33、第一接收模塊34、集成模塊35、更新模塊36、以及所述處理模塊32的各個(gè)子模塊,均可由安全策略更新裝置或安全策略更新裝置所屬服務(wù)器中的CPU、MPU、DSP或FPGA等實(shí)現(xiàn)。

本實(shí)施例所述安全策略更新裝置,能為多個(gè)用戶同時(shí)更新安全策略,有效提高了安全策略更新的效率;同時(shí),提升了安全策略的正確性和可靠性,提升了用戶的使用體驗(yàn)。

實(shí)施例五

圖5為本發(fā)明提供的一種安全策略更新系統(tǒng)的示意圖,如圖5所示,在該安全策略更新系統(tǒng)中,包括:終端和服務(wù)器;

終端中包括第一安全策略更新裝置,所述第一安全策略更新裝置位于終端的第一客戶端中;

具體地,第一安全策略更新裝置的具體組成機(jī)構(gòu)示意圖可以如圖3所示。

具體地,所述第一安全策略更新裝置,主要負(fù)責(zé):獲取LSM的攔截信息;對(duì)攔截信息進(jìn)行整理,將相同的攔截信息合并為一個(gè)攔截信息;將攔截信息翻譯成攔截?cái)?shù)據(jù);將整理好的攔截?cái)?shù)據(jù)上傳服務(wù)器。

優(yōu)選地,所述第一安全策略更新裝置,可以通過(guò)管理應(yīng)用程序包(PM,Package Manager)等應(yīng)用程序編程接口(API,Application Programming Interface)接口獲取LSM的攔截信息。

服務(wù)器中包括第二安全策略更新裝置,具體地,第二安全策略更新裝置的具體組成機(jī)構(gòu)示意圖可以如圖4所示。

具體地,第二安全策略更新裝置,主要負(fù)責(zé):接收各個(gè)終端上傳的攔截?cái)?shù)據(jù)并存儲(chǔ);將所有攔截?cái)?shù)據(jù)整理并統(tǒng)計(jì);依據(jù)整理后的攔截?cái)?shù)據(jù)按預(yù)設(shè)規(guī)則生成相關(guān)安全策略;生成的安全策略經(jīng)審核人員審核并微調(diào)后下發(fā)到各個(gè)終端。

具體地,依據(jù)整理后的攔截?cái)?shù)據(jù)按預(yù)設(shè)規(guī)則生成相關(guān)安全策略,可以包括:

對(duì)接收的攔截?cái)?shù)據(jù)進(jìn)行整理,并統(tǒng)計(jì)相同客體的攔截次數(shù);

如果訪問(wèn)同一客體的攔截次數(shù)大于等于預(yù)設(shè)閾值,根據(jù)與所述同一客體相關(guān)的攔截?cái)?shù)據(jù)生成對(duì)應(yīng)的安全策略語(yǔ)句;

具體地,依據(jù)整理后的攔截?cái)?shù)據(jù)按預(yù)設(shè)規(guī)則生成相關(guān)安全策略,還可以包括:

對(duì)各安全策略語(yǔ)句進(jìn)行同類項(xiàng)合并;

根據(jù)合并后的安全策略語(yǔ)句生成相應(yīng)的安全策略。

實(shí)施例六

圖6為本發(fā)明提供的進(jìn)行安全策略更新的一種具體實(shí)現(xiàn)流程圖,如圖6所示,該流程主要包括:

步驟601:位于終端客戶端的第一安全策略更新裝置讀取SEAndroid LMS模塊攔截的攔截信息;

其中,所述攔截信息包括主體與客體之間的訪問(wèn)數(shù)據(jù)。

其中,攔截信息的格式為<主體,客體,訪問(wèn)類型>,該攔截信息存儲(chǔ)于終端系統(tǒng)/data/data目錄下**.txt文件中。

步驟602:第一安全策略更新裝置對(duì)輪詢讀取的攔截信息進(jìn)行整理,并對(duì)相同的攔截信息進(jìn)行合并;

步驟603:第一安全策略更新裝置通過(guò)PM接口和相應(yīng)API接口,根據(jù)主體、客體的身份標(biāo)識(shí)號(hào)ID值,讀出主體、客體的包名數(shù)據(jù);

步驟604:第一安全策略更新裝置將步驟603整理好的數(shù)據(jù)上傳服務(wù)器;

步驟605:服務(wù)器接收各個(gè)終端中第一安全策略更新裝置上傳的數(shù)據(jù)并存儲(chǔ);

步驟606:服務(wù)器端的第二安全策略更新裝置對(duì)接收的數(shù)據(jù)進(jìn)行整理,并統(tǒng)計(jì)相同客體的攔截次數(shù);

步驟607:如果訪問(wèn)同一客體的攔截次數(shù)大于等于預(yù)設(shè)閾值,根據(jù)與所述同一客體相關(guān)的攔截?cái)?shù)據(jù)生成對(duì)應(yīng)的安全策略語(yǔ)句;

步驟608:第二安全策略更新裝置對(duì)步驟607生成的安全策略語(yǔ)句進(jìn)行同 類項(xiàng)合并,并交由審核人員進(jìn)行審核、微調(diào);

步驟609:第二安全策略更新裝置將審核通過(guò)的安全策略文件下發(fā)各個(gè)終端客戶端,以使得各個(gè)終端客戶端將新接收到的安全策略與與之前存儲(chǔ)的安全策略文件進(jìn)行集成。

具體地,各終端可以通過(guò)重啟來(lái)完成策略的更新。

在本發(fā)明所提供的幾個(gè)實(shí)施例中,應(yīng)該理解到,所揭露的方法、裝置和電子設(shè)備,可以通過(guò)其它的方式實(shí)現(xiàn)。以上所描述的設(shè)備實(shí)施例僅僅是示意性的,例如,所述單元的劃分,僅僅為一種邏輯功能劃分,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式,如:多個(gè)單元或組件可以結(jié)合,或可以集成到另一個(gè)系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另外,所顯示或討論的各組成部分相互之間的耦合、或直接耦合、或通信連接可以是通過(guò)一些接口,設(shè)備或單元的間接耦合或通信連接,可以是電性的、機(jī)械的或其它形式的。

上述作為分離部件說(shuō)明的單元可以是、或也可以不是物理上分開的,作為單元顯示的部件可以是、或也可以不是物理單元,即可以位于一個(gè)地方,也可以分布到多個(gè)網(wǎng)絡(luò)單元上;可以根據(jù)實(shí)際的需要選擇其中的部分或全部單元來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。

另外,在本發(fā)明各實(shí)施例中的各功能單元可以全部集成在一個(gè)處理單元中,也可以是各單元分別單獨(dú)作為一個(gè)單元,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中;上述集成的單元既可以采用硬件的形式實(shí)現(xiàn),也可以采用硬件加軟件功能單元的形式實(shí)現(xiàn)。

本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括:移動(dòng)存儲(chǔ)設(shè)備、只讀存儲(chǔ)器(ROM,Read-Only Memory)、隨機(jī)存取存儲(chǔ)器(RAM,Random Access Memory)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

或者,本發(fā)明實(shí)施例上述集成的單元如果以軟件功能模塊的形式實(shí)現(xiàn)并作 為獨(dú)立的產(chǎn)品銷售或使用時(shí),也可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。基于這樣的理解,本發(fā)明實(shí)施例的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)、服務(wù)器、或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分。而前述的存儲(chǔ)介質(zhì)包括:移動(dòng)存儲(chǔ)設(shè)備、ROM、RAM、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

以上所述,僅為本發(fā)明的具體實(shí)施方式,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)以所述權(quán)利要求的保護(hù)范圍為準(zhǔn)。

當(dāng)前第1頁(yè)1 2 3 
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1