[发明专利]用于来自高级别应用程序许可的细粒度访问控制的框架

说明书

本发明涉及用于来自高级别应用程序许可的细粒度访问控制的框架。一种用于应用程序特征对移动计算装置上的资源的访问控制的方法。准备应用程序用于经由处理器而安装在移动计算装置上。识别与应用程序相关的应用程序许可。应用程序许可与对移动计算装置的资源的访问有关。确定与应用程序许可相关的限制。基于这些限制，定义用于应用程序许可的一组强制访问控制规则。将这组强制访问控制规则和应用程序许可合并入可加载强制访问控制策略模块中。将可加载强制访问控制策略模块存储在移动计算装置的存储器中，可加载强制访问控制策略模块能够由移动计算装置的操作系统强制执行。

相关申请的交叉引用

本申请要求2013年11月27日提交的美国临时专利申请序列号61/909,451的优先权，该专利申请的公开内容通过引用并入本文中。

背景技术

本发明的一个实施例总体上涉及移动计算装置。

移动计算装置的操作系统平台使这种装置的用户能够将应用程序下载到他们的移动计算装置中。

操作系统平台的中心设计要点是安全架构。默认时，没有应用程序允许执行将会对其它应用程序或操作系统造成负面影响的任何操作。离开移动计算装置的相同平台而被执行的这种应用程序共享资源和数据。这是通过声明执行应用程序所需的许可而执行的，但最初可能不被操作系统所允许。因此，当移动计算装置的用户正在将各自应用程序下载到他们的移动计算装置时，操作系统提示用户哪些许可将被允许以便执行应用程序。在安装应用程序时，提示用户以征求用户的同意。这种系统不具有在执行应用程序时授予许可的机制。一旦用户在高级别应用程序许可中接受许可，则没有对恶意应用程序的安全检查，该恶意应用程序一旦被安装则在操作系统中找到路从而当被启动时获得对本应禁止应用程序进入的系统资源的访问。

发明内容

本发明的一个实施例的一个优点是将高级别应用程序许可映射到低级别强制访问控制（MAC）策略。在为应用程序包的一部分的文件中被声明的且经常在安装之前被呈现给用户以征求随后同意的高级别应用程序许可，近来已在使用操作系统平台的一大类移动装置上被采用。本文中描述的实施例适用于种类广泛的平台，用于基于在许可文件中被请求的许可而生成较细粒度的策略，从而限制各应用程序对资源的访问，强化整个系统，并且提高安全性。

在本发明的一个实施例中构想一种用于应用程序特征对移动计算装置上的资源的访问控制的方法。应用程序准备经由处理器而安装在移动计算装置上。识别与应用程序相关的应用程序许可。应用程序许可与对移动计算装置的资源的访问有关。确定与应用程序许可相关的限制。基于这些限制，定义用于应用程序许可的一组强制访问控制规则。将这组强制访问控制规则与应用程序许可合并在可加载的强制访问控制策略模块中。将可加载强制访问控制策略存储在移动计算装置的存储器中。可加载强制访问控制策略模块能够由移动计算装置的操作系统强制执行。

一种用于将访问控制安装在移动计算装置上的方法。在移动计算装置与应用程序分配实体之间建立通信联系。应用程序分配实体配置成当接收到移动计算装置的请求时将应用程序传输至移动计算装置。由移动计算装置向应用程序实体发送请求，以便下载应用程序。识别与应用程序相关的应用程序许可，应用程序许可与移动计算装置的资源访问有关。确定与应用程序许可相关的限制。定义用于应用程序许可的一组强制访问控制规则。将这组强制访问控制规则与应用程序许可合并在可加载强制访问控制策略模块中。

本发明提供以下技术方案：

1. 一种用于应用程序特征对移动计算装置上的资源的访问控制的方法，包括以下步骤：

准备应用程序用于经由处理器而安装在所述移动计算装置上；

识别与所述应用程序相关的应用程序许可，所述应用程序许可与所述移动计算装置的资源访问有关；

确定与所述应用程序许可相关的限制；

基于所述限制，定义用于所述应用程序许可的一组强制访问控制规则；