[发明专利]用于来自高级别应用程序许可的细粒度访问控制的框架有效
| 申请号: | 201410694627.1 | 申请日: | 2014-11-27 |
| 公开(公告)号: | CN104680075B | 公开(公告)日: | 2018-10-30 |
| 发明(设计)人: | G.D.霍兰德;K.埃德弗拉维;A.诺金 | 申请(专利权)人: | 通用汽车环球科技运作有限责任公司 |
| 主分类号: | G06F21/62 | 分类号: | G06F21/62 |
| 代理公司: | 中国专利代理(香港)有限公司 72001 | 代理人: | 代易宁;李婷 |
| 地址: | 美国密*** | 国省代码: | 美国;US |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 用于 来自 级别 应用程序 许可 细粒度 访问 控制 框架 | ||
1.一种用于应用程序特征对移动计算装置上的资源的访问控制的方法,包括以下步骤:
准备应用程序用于经由处理器而安装在所述移动计算装置上;
识别与所述应用程序相关的应用程序许可,所述应用程序许可与所述移动计算装置的资源访问有关;
确定与所述应用程序许可相关的限制;
基于所述限制,定义用于所述应用程序许可的一组强制访问控制规则;
将所述一组强制访问控制规则与所述应用程序许可合并在可加载强制访问控制策略模块中;及
将所述可加载强制访问控制策略模块存储在所述移动计算装置的存储器中,所述可加载强制访问控制策略模块能够由所述移动计算装置的操作系统强制执行;
其中清单文件将所述应用程序许可映射到所述一组强制访问控制规则。
2.如权利要求1所述的方法,其中所述清单文件列举出由所述应用程序请求的所述应用程序许可。
3.如权利要求2所述的方法,其中将所述清单文件中的所述许可映射到提供用于访问所述移动计算装置资源的授权规则的所述一组强制访问控制规则。
4.如权利要求3所述的方法,其中所述强制访问控制规则定义对各自套接字的访问。
5.如权利要求4所述的方法,其中所述强制访问控制规则定义在所述各自套接字上被允许的操作。
6.如权利要求3所述的方法,其中所述强制访问控制规则定义对各自端口的访问。
7.如权利要求6所述的方法,其中所述强制访问控制规则定义经过所述各自端口的发送能力。
8.如权利要求6所述的方法,其中所述强制访问控制规则定义经过所述各自端口的接收能力。
9.如权利要求1所述的方法,其中所述强制访问控制规则被生成为SELinux强制访问控制规则。
10.如权利要求1所述的方法,其中所述策略模块被生成为SELinux策略。
11.如权利要求1所述的方法,其中所述策略模块、强制访问控制规则和所述映射在脱机处理期间作为输入而获得。
12.如权利要求1所述的方法,其中在联机处理期间,处理器扫描含有应用程序正在请求的所述许可的清单文件。
13.如权利要求1所述的方法,其中处理器将所述清单文件中的所述许可转换成所述一组强制访问控制规则。
14.如权利要求1所述的方法,其中所述可加载强制访问控制策略模块被生成为SELinux策略模块。
15.如权利要求1所述的方法,其中沙盒框架用于防止所述应用程序访问所述移动计算装置的资源,其中所述沙盒框架起到在请求的应用程序与所述移动计算装置的资源之间的代理服务器的作用。
16.如权利要求15所述的方法,其中所述代理服务器提供对所述移动计算装置的系统文件的虚拟复本的访问,其中只允许对所述系统文件的虚拟复本进行选择性访问,由此防止对所述移动计算装置的所述系统文件的访问。
17.如权利要求15所述的方法,其中所述沙盒框架起到请求的应用程序与控制所述资源的操作系统之间的代理服务器的作用。
18.如权利要求15所述的方法,其中所述沙盒强制执行所述强制访问控制策略模块。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于通用汽车环球科技运作有限责任公司,未经通用汽车环球科技运作有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201410694627.1/1.html,转载请声明来源钻瓜专利网。
