亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的方法及裝置與流程

文檔序號:12134840閱讀:197來源:國知局
在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的方法及裝置與流程

本發(fā)明涉及計算機技術(shù)領(lǐng)域,具體而言,本發(fā)明涉及一種在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的方法,及一種在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的裝置。



背景技術(shù):

SELinux是一種基于域-類型(Domain-Type)模型的強制訪問控制(MAC)安全系統(tǒng),它由美國國家安全局(NationalSecurityAgency,NSA)進行設(shè)計,并設(shè)計成將安全模塊放入系統(tǒng)內(nèi)核中的系統(tǒng)形式,SELinux還包括相應(yīng)的安全策略,上層系統(tǒng)可以基于安全策略來進行相應(yīng)的安全運行操作。另外,一些安全相關(guān)應(yīng)用也可以被打上與SELinux相關(guān)的補丁,以提高安全相關(guān)應(yīng)用的安全等級。在普通的Linux系統(tǒng)中,任何應(yīng)用程序?qū)ζ滟Y源享有完全的控制權(quán),某個應(yīng)用程序若將含有潛在重要信息的文件存儲于臨時文件目錄下,該操作在普通的Linux系統(tǒng)中是被允許的。然而,在SELinux中,上述操作是被禁止的,因為SELinux應(yīng)用的是強制訪問控制(Mandatory Access Control,MAC)機制。

在強制訪問控制機制中,用戶、進程或者文件操作的權(quán)限是由基于安全策略決定的。例如,可以設(shè)定如下的安全策略:不允許將用戶A創(chuàng)建的文件C授予用戶B訪問,基于上述安全策略的強制訪問控制機制下,無論用戶A對文件C的操作權(quán)限進行何種形式的修改,用戶B永遠無法對文件C進行訪問,但是在普通的Linux系統(tǒng)環(huán)境下通過用戶A對文件C的操作權(quán)限進行適當?shù)男薷牟僮骺梢允沟糜脩鬊對文件C進行訪問,因此,SELinux提供的強制訪問控制機制可以強有力地保護系統(tǒng)的安全和可靠性。

在另一方面,隨著技術(shù)的高速發(fā)展,智能終端已經(jīng)成為必不可少的通信產(chǎn)品,功能強大、用戶體驗豐富的智能終端為人們的生活帶來了極大的便利?,F(xiàn)有的單操作系統(tǒng)的智能終端已經(jīng)不能滿足人們的需要,多操作系統(tǒng)的智能終端已經(jīng)應(yīng)運而生,現(xiàn)有技術(shù)中存在多種針對單操作系統(tǒng)的安全控制方案如SELinux安全控制策略,但是針對多系統(tǒng)的安全控制方案少之又少。



技術(shù)實現(xiàn)要素:

為克服上述技術(shù)問題或者至少部分地解決上述技術(shù)問題,特提出以下技術(shù)方案:

本發(fā)明的實施例提出了一種在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的方法,應(yīng)用于包括一個主控系統(tǒng)和至少一個容器系統(tǒng)的終端設(shè)備運行環(huán)境中,包括:

通過主控系統(tǒng)的容器啟動進程啟動各個容器系統(tǒng),并通過容器啟動進程判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略;

若判斷至少一個容器系統(tǒng)選擇應(yīng)用SELinux安全策略時,通過容器啟動進程將至少一個容器系統(tǒng)的選擇結(jié)果消息發(fā)送至對應(yīng)的容器系統(tǒng);

在選擇應(yīng)用SELinux安全策略的容器系統(tǒng)啟動時,將其各自對應(yīng)的SELinux安全策略分別導(dǎo)入系統(tǒng)內(nèi)核;

當選擇應(yīng)用SELinux安全策略的容器系統(tǒng)調(diào)用系統(tǒng)資源時,根據(jù)其各自的系統(tǒng)標識信息,通過系統(tǒng)內(nèi)核來選擇應(yīng)用其對應(yīng)的SELinux安全策略。

優(yōu)選地,通過容器啟動進程判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略的步驟,包括:

通過容器啟動進程讀取容器系統(tǒng)啟動配置文件,并基于容器系統(tǒng)啟動配置文件判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略。

優(yōu)選地,容器系統(tǒng)啟動配置文件中配置有各個容器系統(tǒng)SELinux安全策略的相關(guān)參數(shù);

其中,相關(guān)參數(shù)包括以下至少一項:

各個容器系統(tǒng)是否啟動SELinux安全策略進行權(quán)限控制的參數(shù);

與各個容器系統(tǒng)相應(yīng)的SELinux安全策略的文件信息;

其中,基于容器系統(tǒng)啟動配置文件判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略的步驟,包括:

從容器系統(tǒng)啟動配置文件中讀取各個容器系統(tǒng)是否啟動SELinux安全策略進行權(quán)限控制的相關(guān)參數(shù);

根據(jù)相關(guān)參數(shù),通過容器啟動進程判斷各容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略。

優(yōu)選地,容器系統(tǒng)啟動配置文件由服務(wù)器下發(fā)至終端設(shè)備,或預(yù)存儲于主控系統(tǒng)的預(yù)定存儲位置中。

可選地,若判斷一個或多個容器系統(tǒng)不選擇應(yīng)用SELinux安全策略,該方法還包括:

當不選擇應(yīng)用SELinux安全策略的容器系統(tǒng)調(diào)用系統(tǒng)資源時,根據(jù)其各自的系統(tǒng)標識信息,通過系統(tǒng)內(nèi)核確定其預(yù)定的安全策略。

本發(fā)明的另一實施例提出了一種在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的裝置,應(yīng)用于包括一個主控系統(tǒng)和至少一個容器系統(tǒng)的終端設(shè)備運行環(huán)境中,包括:

啟動及判斷模塊,用于通過主控系統(tǒng)的容器啟動進程啟動各個容器系統(tǒng),并通過容器啟動進程判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略;

發(fā)送模塊,用于若判斷至少一個容器系統(tǒng)選擇應(yīng)用SELinux安全策略時,通過容器啟動進程將至少一個容器系統(tǒng)的選擇結(jié)果消息發(fā)送至對應(yīng)的容器系統(tǒng);

導(dǎo)入模塊,用于在選擇應(yīng)用SELinux安全策略的容器系統(tǒng)啟動時,將其各自對應(yīng)的SELinux安全策略分別導(dǎo)入系統(tǒng)內(nèi)核;

選擇應(yīng)用模塊,用于當選擇應(yīng)用SELinux安全策略的容器系統(tǒng)調(diào)用系統(tǒng)資源時,根據(jù)其各自的系統(tǒng)標識信息,通過系統(tǒng)內(nèi)核來選擇應(yīng)用其對應(yīng)的SELinux安全策略。

優(yōu)選地,啟動及判斷模塊,包括:

讀取及判斷單元,用于通過容器啟動進程讀取容器系統(tǒng)啟動配置文件,并基于容器系統(tǒng)啟動配置文件判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略。

優(yōu)選地,容器系統(tǒng)啟動配置文件中配置有各個容器系統(tǒng)SELinux安全策略的相關(guān)參數(shù);

其中,相關(guān)參數(shù)包括以下至少一項:

各個容器系統(tǒng)是否啟動SELinux安全策略進行權(quán)限控制的參數(shù);

與各個容器系統(tǒng)相應(yīng)的SELinux安全策略的文件信息;

優(yōu)選地,讀取及判斷單元,包括:

讀取子單元,用于從容器系統(tǒng)啟動配置文件中讀取各個容器系統(tǒng)是否啟動SELinux安全策略進行權(quán)限控制的相關(guān)參數(shù);

判斷子單元,用于根據(jù)相關(guān)參數(shù),通過容器啟動進程判斷各容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略。

優(yōu)選地,容器系統(tǒng)啟動配置文件由服務(wù)器下發(fā)至終端設(shè)備,或預(yù)存儲于主控系統(tǒng)的預(yù)定存儲位置中。

可選地,若判斷一個或多個容器系統(tǒng)不選擇應(yīng)用SELinux安全策略,該裝置還包括:

確定模塊,用于當不選擇應(yīng)用SELinux安全策略的容器系統(tǒng)調(diào)用系統(tǒng)資源時,根據(jù)其各自的系統(tǒng)標識信息,通過系統(tǒng)內(nèi)核確定其預(yù)定的安全策略。

本發(fā)明的實施例中,提出了一種在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的方案,通過主控系統(tǒng)的容器啟動進程啟動各個容器系統(tǒng),并通過容器啟動進程判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略,為各個容器系統(tǒng)選擇應(yīng)用各自對應(yīng)的SELinux安全策略提供了必要的前提保障;若判斷至少一個容器系統(tǒng)選擇應(yīng)用SELinux安全策略時,通過容器啟動進程將至少一個容器系統(tǒng)的選擇結(jié)果消息發(fā)送至對應(yīng)的容器系統(tǒng),為是否在系統(tǒng)內(nèi)核中導(dǎo)入各個容器系統(tǒng)選擇應(yīng)用的SELinux安全策略提供了重要的前提保障;在選擇應(yīng)用SELinux安全策略的容器系統(tǒng)啟動時,將其各自對應(yīng)的SELinux安全策略分別導(dǎo)入系統(tǒng)內(nèi)核,當選擇應(yīng)用SELinux安全策略的容器系統(tǒng)調(diào)用系統(tǒng)資源時,根據(jù)其各自的系統(tǒng)標識信息,通過系統(tǒng)內(nèi)核來選擇應(yīng)用其對應(yīng)的SELinux安全策略,實現(xiàn)了在不需要主控系統(tǒng)應(yīng)用SELinux安全策略的情況下,使得各個容器系統(tǒng)有選擇的單獨應(yīng)用各自的安全策略,既不影響其它容器系統(tǒng)的運行,也保證了各個容器系統(tǒng)自身的安全性;進一步地,通過加固了多系統(tǒng)的安全性,從而為用戶創(chuàng)造了良好的終端設(shè)備體驗環(huán)境。

本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出,這些將從下面的描述中變得明顯,或通過本發(fā)明的實踐了解到。

附圖說明

本發(fā)明上述的和/或附加的方面和優(yōu)點從下面結(jié)合附圖對實施例的描述中將變得明顯和容易理解,其中:

圖1為本發(fā)明中一個實施例的在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的方法的流程圖;

圖2為本發(fā)明中一個優(yōu)選實施例的在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的方法的流程圖;

圖3為本發(fā)明中另一實施例的在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的裝置的結(jié)構(gòu)示意圖。

具體實施方式

下面詳細描述本發(fā)明的實施例,所述實施例的示例在附圖中示出,其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實施例是示例性的,僅用于解釋本發(fā)明,而不能解釋為對本發(fā)明的限制。

本技術(shù)領(lǐng)域技術(shù)人員可以理解,除非特意聲明,這里使用的單數(shù)形式“一”、“一個”、“所述”和“該”也可包括復(fù)數(shù)形式。應(yīng)該進一步理解的是,本發(fā)明的說明書中使用的措辭“包括”是指存在所述特征、整數(shù)、步驟、操作、元件和/或組件,但是并不排除存在或添加一個或多個其他特征、整數(shù)、步驟、操作、元件、組件和/或它們的組。應(yīng)該理解,當我們稱元件被“連接”或“耦接”到另一元件時,它可以直接連接或耦接到其他元件,或者也可以存在中間元件。此外,這里使用的“連接”或“耦接”可以包括無線連接或無線耦接。這里使用的措辭“和/或”包括一個或更多個相關(guān)聯(lián)的列出項的全部或任一單元和全部組合。

本技術(shù)領(lǐng)域技術(shù)人員可以理解,除非另外定義,這里使用的所有術(shù)語(包括技術(shù)術(shù)語和科學(xué)術(shù)語),具有與本發(fā)明所屬領(lǐng)域中的普通技術(shù)人員的一般理解相同的意義。還應(yīng)該理解的是,諸如通用字典中定義的那些術(shù)語,應(yīng)該被理解為具有與現(xiàn)有技術(shù)的上下文中的意義一致的意義,并且除非像這里一樣被特定定義,否則不會用理想化或過于正式的含義來解釋。

需要說明的是,本發(fā)明實施例提供的在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的方法及裝置適用于包括一個主控系統(tǒng)和至少一個容器系統(tǒng)的終端設(shè)備運行環(huán)境中。其中,主控系統(tǒng)和容器系統(tǒng)都是基于同一系統(tǒng)內(nèi)核,如Linux系統(tǒng)內(nèi)核來實現(xiàn)的。

本發(fā)明實施例中的容器系統(tǒng),是設(shè)置在以Linux container(容器)虛擬化技術(shù)創(chuàng)建的容器中的操作系統(tǒng)。操作系統(tǒng)可以為傳統(tǒng)意義上的Linux操作系統(tǒng)或Unix操作系統(tǒng),也可以是基于Linux操作系統(tǒng)衍生出來的Android系統(tǒng)、Ubuntu系統(tǒng)或FireFox系統(tǒng)等,還可以為以Windows平臺為基礎(chǔ)的windows系統(tǒng)等等。實際上,本發(fā)明中的容器系統(tǒng)不限于前述例舉的操作系統(tǒng),可以涵蓋所有能夠在容器中運行的操作系統(tǒng)。

優(yōu)選地,主控系統(tǒng)可以是上述傳統(tǒng)的操作系統(tǒng),也可以是對傳統(tǒng)的kernel進行改進和/或在kernel之外(例如框架層和應(yīng)用層)增加功能模塊之后,得到的操作系統(tǒng)。

主控系統(tǒng)用于對多個容器系統(tǒng)進行控制管理,并且還用于輔助各個容器系統(tǒng)完成各個容器系統(tǒng)的各自的功能,主控系統(tǒng)本身可以不提供具體應(yīng)用功能,例如通話、短信息、運行應(yīng)用程序等功能。優(yōu)選地,主控系統(tǒng)可以通過預(yù)定義的通道與容器系統(tǒng)進行通信。同理,容器系統(tǒng)之間可以通過容器通道進行通信。其中,預(yù)定義的通道可以是socket(套接字)通道。

圖1為本發(fā)明中一個實施例的在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的方法的流程圖。

本發(fā)明的實施例中,各步驟所執(zhí)行的內(nèi)容概述如下:步驟S110:通過主控系統(tǒng)的容器啟動進程啟動各個容器系統(tǒng),并通過容器啟動進程判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略;步驟S120:若判斷至少一個容器系統(tǒng)選擇應(yīng)用SELinux安全策略時,通過容器啟動進程將至少一個容器系統(tǒng)的選擇結(jié)果消息發(fā)送至對應(yīng)的容器系統(tǒng);步驟S130:在選擇應(yīng)用SELinux安全策略的容器系統(tǒng)啟動時,將其各自對應(yīng)的SELinux安全策略分別導(dǎo)入系統(tǒng)內(nèi)核;步驟S140:當選擇應(yīng)用SELinux安全策略的容器系統(tǒng)調(diào)用系統(tǒng)資源時,根據(jù)其各自的系統(tǒng)標識信息,通過系統(tǒng)內(nèi)核來選擇應(yīng)用其對應(yīng)的SELinux安全策略。

本發(fā)明的實施例中,提出了一種在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的方法,通過主控系統(tǒng)的容器啟動進程啟動各個容器系統(tǒng),并通過容器啟動進程判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略,為各個容器系統(tǒng)選擇應(yīng)用各自對應(yīng)的SELinux安全策略提供了必要的前提保障;若判斷至少一個容器系統(tǒng)選擇應(yīng)用SELinux安全策略時,通過容器啟動進程將至少一個容器系統(tǒng)的選擇結(jié)果消息發(fā)送至對應(yīng)的容器系統(tǒng),為是否在系統(tǒng)內(nèi)核中導(dǎo)入各個容器系統(tǒng)選擇應(yīng)用的SELinux安全策略提供了重要的前提保障;在選擇應(yīng)用SELinux安全策略的容器系統(tǒng)啟動時,將其各自對應(yīng)的SELinux安全策略分別導(dǎo)入系統(tǒng)內(nèi)核,當選擇應(yīng)用SELinux安全策略的容器系統(tǒng)調(diào)用系統(tǒng)資源時,根據(jù)其各自的系統(tǒng)標識信息,通過系統(tǒng)內(nèi)核來選擇應(yīng)用其對應(yīng)的SELinux安全策略,實現(xiàn)了在不需要主控系統(tǒng)應(yīng)用SELinux安全策略的情況下,使得各個容器系統(tǒng)有選擇的單獨應(yīng)用各自的安全策略,既不影響其它容器系統(tǒng)的運行,也保證了各個容器系統(tǒng)自身的安全性;進一步地,通過加固了多系統(tǒng)的安全性,從而為用戶創(chuàng)造了良好的終端設(shè)備體驗環(huán)境。以下針對各個步驟的具體實現(xiàn)做進一步的說明:

步驟S110:通過主控系統(tǒng)的容器啟動進程啟動各個容器系統(tǒng),并通過容器啟動進程判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略。

需要說明的是,本領(lǐng)域的技術(shù)人員可以了解到,SELinux定義了系統(tǒng)中各個用戶、進程、應(yīng)用和文件的訪問權(quán)限,它通過安全策略來控制用戶、進程、應(yīng)用和文件之間的交互操作,其中,安全策略可以根據(jù)實際需要設(shè)置為嚴格的或?qū)捤傻?,它指定了如何嚴格地或?qū)捤傻貙τ脩?、進程、應(yīng)用和文件的訪問權(quán)限進行鑒權(quán)操作。SELinux對系統(tǒng)普通用戶是透明的,只有系統(tǒng)管理員需要考慮在終端設(shè)備中如何配置安全策略。只有同時滿足Linux標準的訪問控制條件和SELinux安全訪問控制條件時,某一主體才能訪問某一客體。

在SELinux中存在一關(guān)鍵性的概念如安全上下文,安全上下文由用戶、角色、類型、安全級別四部分組成,安全上下文中通過一個冒號來分隔每一部分,如u:r:t:s0,描述的就是一個SEAndroid的安全上下文。SELinux中所有訪問控制都是以關(guān)聯(lián)的客體和主體的特定類型的訪問控制屬性為基礎(chǔ)的,上述訪問控制屬性即為安全上下文。因此,當每一個進程和文件都被與其相應(yīng)的安全上下文標識后,系統(tǒng)管理員就可以基于安全上下文制定安全策略,從而安全策略可以用來規(guī)定具有特定屬性的進程可以訪問具有特定屬性的文件。

在本發(fā)明實施例中,不同容器系統(tǒng)所需的安全等級不盡相同,故而在不同容器系統(tǒng)中可以定義不同的SELinux安全策略。例如,一臺終端設(shè)備運行兩個子系統(tǒng),分別為Android1和Android2,其中,Android1搭載的應(yīng)用服務(wù)需要更高、更可靠的安全性,因此設(shè)定Android1運行的安全等級為高級。從而,設(shè)定與Android1相應(yīng)的安全策略是:在不影響預(yù)定的進程外,禁止運行預(yù)定的進程外的所有進程。在定義安全上下文時,對Android1的專屬資源進行嚴格地保護,進而可以通過嚴格的保護來禁止預(yù)定的進程外的進程調(diào)用相關(guān)資源以進行運行。在另一方面,可以設(shè)定Android2運行的安全等級為普通等級,與Android2相應(yīng)的安全策略是:在不影響所有進程的運行的情況下,保證Android2的安全性。

需要說明的是,在本實施例的多系統(tǒng)終端設(shè)備中,主機可以用系統(tǒng)管理員權(quán)限,如root權(quán)限,在各個容器系統(tǒng)中運行任何應(yīng)用程序,而各個容器系統(tǒng)通過其各自的安全機制來保護其各自容器系統(tǒng),其中,安全機制為SELinux安全策略機制。同時,各個容器系統(tǒng)可以擁有自己的SELinux安全策略,各個容器系統(tǒng)間對其各自的SELinux安全策略訪問互不影響。在終端設(shè)備的系統(tǒng)內(nèi)核中,通過SELinux安全策略對各進程進行訪問控制時,針對主控系統(tǒng)的進程僅提出警告而不進行限制,保證了在各個容器系統(tǒng)導(dǎo)入其各自的SELinux安全策略至系統(tǒng)內(nèi)核時不影響主控系統(tǒng)的相關(guān)進程運行,從而保證了本發(fā)明實施例中的容器啟動進程順利的啟動各個容器系統(tǒng)。

例如,在運行多系統(tǒng)的終端設(shè)備A中,啟動主控系統(tǒng),隨后通過主控系統(tǒng)的容器啟動進程啟動容器系統(tǒng)OS1和容器系統(tǒng)OS2,并通過容器啟動進程判斷容器系統(tǒng)OS1和容器系統(tǒng)OS2是否選擇應(yīng)用SELinux安全策略。

優(yōu)選地,步驟S110中通過容器啟動進程判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略的步驟,具體包括:通過容器啟動進程讀取容器系統(tǒng)啟動配置文件,并基于容器系統(tǒng)啟動配置文件判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略。

優(yōu)選地,容器系統(tǒng)啟動配置文件中配置有各個容器系統(tǒng)SELinux安全策略的相關(guān)參數(shù)。

其中,相關(guān)參數(shù)包括以下至少一項:

各個容器系統(tǒng)是否啟動SELinux安全策略進行權(quán)限控制的參數(shù);例如,當容器系統(tǒng)OS1的該參數(shù)為“IsStartSELinux=true”時,容器系統(tǒng)OS1啟動SELinux安全策略進行權(quán)限控制,當容器系統(tǒng)OS2的該參數(shù)為“IsStartSELinux=false”時,容器系統(tǒng)OS2不啟動SELinux安全策略進行權(quán)限控制。

與各個容器系統(tǒng)相應(yīng)的SELinux安全策略的文件信息;例如,與各個容器系統(tǒng)相應(yīng)的SELinux安全策略的文件的文件名稱信息和文件存儲路徑信息等。

優(yōu)選地,步驟S110中基于容器系統(tǒng)啟動配置文件判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略的步驟,進一步包括步驟S111和步驟S112;步驟S111:從容器系統(tǒng)啟動配置文件中讀取各個容器系統(tǒng)是否啟動SELinux安全策略進行權(quán)限控制的相關(guān)參數(shù);步驟S112:根據(jù)相關(guān)參數(shù),通過容器啟動進程判斷各容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略。

優(yōu)選地,容器系統(tǒng)啟動配置文件由服務(wù)器下發(fā)至終端設(shè)備,或預(yù)存儲于主控系統(tǒng)的預(yù)定存儲位置中。

例如,在運行多系統(tǒng)的終端設(shè)備A中,容器系統(tǒng)啟動配置文件由服務(wù)器下發(fā)至終端設(shè)備;啟動主控系統(tǒng),隨后通過主控系統(tǒng)的容器啟動進程,如process1,啟動容器系統(tǒng)OS1和容器系統(tǒng)OS2,從容器系統(tǒng)啟動配置文件中讀取各個容器系統(tǒng)是否啟動SELinux安全策略進行權(quán)限控制的相關(guān)參數(shù),如讀取到容器系統(tǒng)OS1對應(yīng)的權(quán)限控制參數(shù)包括:是否選擇應(yīng)用SELinux安全策略的參數(shù)“IsStartSELinux=true”、選擇應(yīng)用的SELinux安全策略的文件名稱參數(shù)“SELinuxFileName=OS1SELinux”和選擇應(yīng)用的SELinux安全策略的文件的存儲位置參數(shù)“SELinuxFilePath=..\Server1\SELinux\”,容器系統(tǒng)OS2對應(yīng)的權(quán)限控制參數(shù)包括是否選擇應(yīng)用的SELinux安全策略的參數(shù)“IsStartSELinux=false”;隨后,process1根據(jù)容器系統(tǒng)OS1和容器系統(tǒng)OS2各自對應(yīng)的權(quán)限控制相關(guān)參數(shù)中的是否選擇應(yīng)用SELinux安全策略的參數(shù)“IsStartSELinux=true”和“IsStartSELinux=false”,可判容器系統(tǒng)OS1選擇應(yīng)用SELinux安全策略,容器系統(tǒng)OS2不選擇應(yīng)用SELinux安全策略。

步驟S120:若判斷至少一個容器系統(tǒng)選擇應(yīng)用SELinux安全策略時,通過容器啟動進程將至少一個容器系統(tǒng)的選擇結(jié)果消息發(fā)送至對應(yīng)的容器系統(tǒng)。

例如,在運行多系統(tǒng)的終端設(shè)備A中,容器系統(tǒng)啟動配置文件由服務(wù)器下發(fā)至終端設(shè)備A;啟動主控系統(tǒng),隨后通過主控系統(tǒng)的容器啟動進程,如process1,啟動容器系統(tǒng)OS1和容器系統(tǒng)OS2,并從容器系統(tǒng)啟動配置文件中讀取各個容器系統(tǒng)是否啟動SELinux安全策略進行權(quán)限控制的相關(guān)參數(shù);當process1判斷得到容器系統(tǒng)OS1選擇應(yīng)用SELinux安全策略時,process1將容器系統(tǒng)OS1的選擇結(jié)果消息,如“容器系統(tǒng)OS1選擇應(yīng)用SELinux安全策略”的消息發(fā)送至容器系統(tǒng)OS1。

步驟S130:在選擇應(yīng)用SELinux安全策略的容器系統(tǒng)啟動時,將其各自對應(yīng)的SELinux安全策略分別導(dǎo)入系統(tǒng)內(nèi)核。

例如,在運行多系統(tǒng)的終端設(shè)備A中,當通過主控系統(tǒng)的容器啟動進程process1將選擇應(yīng)用SELinux安全策略的容器系統(tǒng)OS1啟動時,在容器系統(tǒng)OS1啟動過程中,根據(jù)容器系統(tǒng)啟動配置文件從服務(wù)器Server1的“..\Server1\SELinux\”路徑下獲取容器系統(tǒng)OS1選擇應(yīng)用文件名為“OS1SELinux”的SELinux安全策略文件,并將文件名為“OS1SELinux”的SELinux安全策略導(dǎo)入系統(tǒng)內(nèi)核。

步驟S140:當選擇應(yīng)用SELinux安全策略的容器系統(tǒng)調(diào)用系統(tǒng)資源時,根據(jù)其各自的系統(tǒng)標識信息,通過系統(tǒng)內(nèi)核來選擇應(yīng)用其對應(yīng)的SELinux安全策略。

例如,在運行多系統(tǒng)的終端設(shè)備A中,當選擇應(yīng)用SELinux安全策略的容器系統(tǒng)OS1調(diào)用系統(tǒng)資源時,根據(jù)容器系統(tǒng)OS1的系統(tǒng)標識信息,如“容器系統(tǒng)OS1”,通過系統(tǒng)內(nèi)核應(yīng)用容器系統(tǒng)OS1選擇的文件名為“OS1SELinux”的SELinux安全策略。

在一優(yōu)選實施例中,若判斷一個或多個容器系統(tǒng)不選擇應(yīng)用SELinux安全策略,該方法還包括步驟S150;步驟S150:當不選擇應(yīng)用SELinux安全策略的容器系統(tǒng)調(diào)用系統(tǒng)資源時,根據(jù)其各自的系統(tǒng)標識信息,通過系統(tǒng)內(nèi)核確定其預(yù)定的安全策略。

例如,接上例,主控系統(tǒng)的容器啟動進程process1判斷得到容器系統(tǒng)OS2不選擇應(yīng)用SELinux安全策略,當容器系統(tǒng)OS2調(diào)用終端設(shè)備的系統(tǒng)資源時,根據(jù)容器系統(tǒng)OS2的系統(tǒng)標識信息,如“容器系統(tǒng)OS2”,通過系統(tǒng)內(nèi)核確定容器系統(tǒng)OS2的安全策略為預(yù)定的安全策略。

圖2為本發(fā)明另一優(yōu)選實施例的在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的方法的流程示意圖,該示意圖中,多系統(tǒng)中包括主控系統(tǒng)、容器系統(tǒng)OS1和容器系統(tǒng)OS2,容器系統(tǒng)OS1和容器系統(tǒng)OS2均為Android系統(tǒng),主控系統(tǒng)的容器啟動進程為Lotusd,通過Lotusd判斷容器系統(tǒng)OS1和容器系統(tǒng)OS2均選擇應(yīng)用其各自的SELinux安全策略,在系統(tǒng)內(nèi)核中分別導(dǎo)入容器系統(tǒng)OS1和容器系統(tǒng)OS2其各自的SELinux安全策略。

圖3為本發(fā)明中另一實施例的在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的裝置的結(jié)構(gòu)示意圖。

本發(fā)明的實施例中,各模塊所執(zhí)行的內(nèi)容概述如下:啟動及判斷模塊310通過主控系統(tǒng)的容器啟動進程啟動各個容器系統(tǒng),并通過容器啟動進程判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略;發(fā)送模塊320若判斷至少一個容器系統(tǒng)選擇應(yīng)用SELinux安全策略時,通過容器啟動進程將至少一個容器系統(tǒng)的選擇結(jié)果消息發(fā)送至對應(yīng)的容器系統(tǒng);導(dǎo)入模塊330在選擇應(yīng)用SELinux安全策略的容器系統(tǒng)啟動時,將其各自對應(yīng)的SELinux安全策略分別導(dǎo)入系統(tǒng)內(nèi)核;選擇應(yīng)用模塊340當選擇應(yīng)用SELinux安全策略的容器系統(tǒng)調(diào)用系統(tǒng)資源時,根據(jù)其各自的系統(tǒng)標識信息,通過系統(tǒng)內(nèi)核來選擇應(yīng)用其對應(yīng)的SELinux安全策略。

本發(fā)明的實施例中,提出了一種在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的裝置,通過主控系統(tǒng)的容器啟動進程啟動各個容器系統(tǒng),并通過容器啟動進程判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略,為各個容器系統(tǒng)選擇應(yīng)用各自對應(yīng)的SELinux安全策略提供了必要的前提保障;若判斷至少一個容器系統(tǒng)選擇應(yīng)用SELinux安全策略時,通過容器啟動進程將至少一個容器系統(tǒng)的選擇結(jié)果消息發(fā)送至對應(yīng)的容器系統(tǒng),為是否在系統(tǒng)內(nèi)核中導(dǎo)入各個容器系統(tǒng)選擇應(yīng)用的SELinux安全策略提供了重要的前提保障;在選擇應(yīng)用SELinux安全策略的容器系統(tǒng)啟動時,將其各自對應(yīng)的SELinux安全策略分別導(dǎo)入系統(tǒng)內(nèi)核,當選擇應(yīng)用SELinux安全策略的容器系統(tǒng)調(diào)用系統(tǒng)資源時,根據(jù)其各自的系統(tǒng)標識信息,通過系統(tǒng)內(nèi)核來選擇應(yīng)用其對應(yīng)的SELinux安全策略,實現(xiàn)了在不需要主控系統(tǒng)應(yīng)用SELinux安全策略的情況下,使得各個容器系統(tǒng)有選擇的單獨應(yīng)用各自的安全策略,既不影響其它容器系統(tǒng)的運行,也保證了各個容器系統(tǒng)自身的安全性;進一步地,通過加固了多系統(tǒng)的安全性,從而為用戶創(chuàng)造了良好的終端設(shè)備體驗環(huán)境。以下針對各個模塊的具體實現(xiàn)做進一步的說明:

啟動及判斷模塊310用于通過主控系統(tǒng)的容器啟動進程啟動各個容器系統(tǒng),并通過容器啟動進程判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略。

發(fā)送模塊320用于若判斷至少一個容器系統(tǒng)選擇應(yīng)用SELinux安全策略時,通過容器啟動進程將至少一個容器系統(tǒng)的選擇結(jié)果消息發(fā)送至對應(yīng)的容器系統(tǒng)。

導(dǎo)入模塊330用于在選擇應(yīng)用SELinux安全策略的容器系統(tǒng)啟動時,將其各自對應(yīng)的SELinux安全策略分別導(dǎo)入系統(tǒng)內(nèi)核。

選擇應(yīng)用模塊340用于當選擇應(yīng)用SELinux安全策略的容器系統(tǒng)調(diào)用系統(tǒng)資源時,根據(jù)其各自的系統(tǒng)標識信息,通過系統(tǒng)內(nèi)核來選擇應(yīng)用其對應(yīng)的SELinux安全策略。

優(yōu)選地,啟動及判斷模塊包括讀取及判斷單元;讀取及判斷單元用于通過容器啟動進程讀取容器系統(tǒng)啟動配置文件,并基于容器系統(tǒng)啟動配置文件判斷各個容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略。

優(yōu)選地,容器系統(tǒng)啟動配置文件中配置有各個容器系統(tǒng)SELinux安全策略的相關(guān)參數(shù)。

其中,相關(guān)參數(shù)包括以下至少一項:

各個容器系統(tǒng)是否啟動SELinux安全策略進行權(quán)限控制的參數(shù);

與各個容器系統(tǒng)相應(yīng)的SELinux安全策略的文件信息。

優(yōu)選地,讀取及判斷單元包括讀取子單元和判斷子單元;讀取子單元用于從容器系統(tǒng)啟動配置文件中讀取各個容器系統(tǒng)是否啟動SELinux安全策略進行權(quán)限控制的相關(guān)參數(shù);判斷子單元用于根據(jù)相關(guān)參數(shù),通過容器啟動進程判斷各容器系統(tǒng)是否選擇應(yīng)用SELinux安全策略。

優(yōu)選地,容器系統(tǒng)啟動配置文件由服務(wù)器下發(fā)至終端設(shè)備,或預(yù)存儲于主控系統(tǒng)的預(yù)定存儲位置中。

可選地,若判斷一個或多個容器系統(tǒng)不選擇應(yīng)用SELinux安全策略,該裝置還包括確定模塊;確定模塊用于當不選擇應(yīng)用SELinux安全策略的容器系統(tǒng)調(diào)用系統(tǒng)資源時,根據(jù)其各自的系統(tǒng)標識信息,通過系統(tǒng)內(nèi)核確定其預(yù)定的安全策略。

本發(fā)明實施例提供的在多系統(tǒng)中選擇應(yīng)用SELinux安全策略的裝置可以實現(xiàn)上述提供的方法實施例,具體功能實現(xiàn)請參見方法實施例中的說明,在此不再贅述。

本技術(shù)領(lǐng)域技術(shù)人員可以理解,本發(fā)明包括涉及用于執(zhí)行本申請中所述操作中的一項或多項的設(shè)備。這些設(shè)備可以為所需的目的而專門設(shè)計和制造,或者也可以包括通用計算機中的已知設(shè)備。這些設(shè)備具有存儲在其內(nèi)的計算機程序,這些計算機程序選擇性地激活或重構(gòu)。這樣的計算機程序可以被存儲在設(shè)備(例如,計算機)可讀介質(zhì)中或者存儲在適于存儲電子指令并分別耦聯(lián)到總線的任何類型的介質(zhì)中,所述計算機可讀介質(zhì)包括但不限于任何類型的盤(包括軟盤、硬盤、光盤、CD-ROM、和磁光盤)、ROM(Read-Only Memory,只讀存儲器)、RAM(Random Access Memory,隨即存儲器)、EPROM(Erasable Programmable Read-Only Memory,可擦寫可編程只讀存儲器)、EEPROM(Electrically Erasable Programmable Read-Only Memory,電可擦可編程只讀存儲器)、閃存、磁性卡片或光線卡片。也就是,可讀介質(zhì)包括由設(shè)備(例如,計算機)以能夠讀的形式存儲或傳輸信息的任何介質(zhì)。

本技術(shù)領(lǐng)域技術(shù)人員可以理解,可以用計算機程序指令來實現(xiàn)這些結(jié)構(gòu)圖和/或框圖和/或流圖中的每個框以及這些結(jié)構(gòu)圖和/或框圖和/或流圖中的框的組合。本技術(shù)領(lǐng)域技術(shù)人員可以理解,可以將這些計算機程序指令提供給通用計算機、專業(yè)計算機或其他可編程數(shù)據(jù)處理方法的處理器來實現(xiàn),從而通過計算機或其他可編程數(shù)據(jù)處理方法的處理器來執(zhí)行本發(fā)明公開的結(jié)構(gòu)圖和/或框圖和/或流圖的框或多個框中指定的方案。

本技術(shù)領(lǐng)域技術(shù)人員可以理解,本發(fā)明中已經(jīng)討論過的各種操作、方法、流程中的步驟、措施、方案可以被交替、更改、組合或刪除。進一步地,具有本發(fā)明中已經(jīng)討論過的各種操作、方法、流程中的其他步驟、措施、方案也可以被交替、更改、重排、分解、組合或刪除。進一步地,現(xiàn)有技術(shù)中的具有與本發(fā)明中公開的各種操作、方法、流程中的步驟、措施、方案也可以被交替、更改、重排、分解、組合或刪除。

以上所述僅是本發(fā)明的部分實施方式,應(yīng)當指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍。

當前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1