本發明專利技術公開了一種安全策略更新方法,獲取Linux安全模塊(LSM)的攔截信息;其中,所述攔截信息包括主體與客體之間的訪問數據;按照預設策略對所述攔截信息進行處理,并生成攔截數據;將攔截數據發送至服務器,以由所述服務器基于所述攔截數據生成相應的安全策略,并在所述安全策略通過審核后發送至終端,以由終端進行安全策略的更新。本發明專利技術還同時公開了一種安全策略更新裝置。采用本發明專利技術技術方案,能提高安全策略更新的效率,提升安全策略的正確性和可靠性。
【技術實現步驟摘要】
一種安全策略更新方法及裝置
本專利技術涉及通信領域中的安全信息技術,尤其涉及一種安全策略更新方法及裝置。
技術介紹
SEAndroid是谷歌(Google)在Android4.4上正式推出的一套以SELinux(Security-EnhancedLinux)為基礎與核心的系統安全機制,目前已經廣泛應用于Android操作系統。國際上知名的終端操作廠商都在推出內置SEAndroid的相關終端產品。目前,對SEAndroid安全策略的更新方法主要有如下三種:第一,先在現有SEAndroid系統增加新的安全策略加載子系統,然后在負責安全策略編譯的主機上編譯好所需要的安全策略,并下載到安全Trans-flashCard(TF卡)上的安全存儲區內,再將帶有安全策略的安全TF卡插入所述的SEAndroid系統中供隨后使用調用。但是,該方法更新SEAndroid安全策略的效率太低。第二,通過內置自學習模塊記錄LSM(Linux安全模塊)攔截的主、客體訪問記錄,通過自動生成和手動微調等方式生成基本的安全策略,并供之后系統使用。但是,該方法無法保證安全策略的準確性和全面性,無法滿足大規模用戶集體更新安全策略的需求。第三,由技術人員在現在安全策略基礎上,通過分析軟件功能,主、客體訪問關系,以及文件存儲關系等自行編寫相關安全策略,寫入手機內核,更新手機操作系統安全策略。但是,該方法實施起來對技術人員要求較高,人力成本高,容易出錯。
技術實現思路
有鑒于此,本專利技術期望提供一種安全策略更新方法及裝置,能提高安全策略更新的效率,提升安全策略的正確性和可靠性。為達到上述目的,本專利技術的技術方案是這樣實現的:本專利技術提供了一種安全策略更新方法,所述方法包括:獲取Linux安全模塊(LSM,LinuxSecurityModule)的攔截信息;其中,所述攔截信息包括主體與客體之間的訪問數據;按照預設策略對所述攔截信息進行處理,并生成攔截數據;將攔截數據發送至服務器,以由所述服務器基于所述攔截數據生成相應的安全策略,并在所述安全策略通過審核后發送至終端。上述方案中,優選地,所述按照預設策略對所述攔截信息進行處理,包括:對攔截信息進行整理;將相同的攔截信息合并為一個攔截信息。上述方案中,優選地,所述生成攔截數據,包括:確定攔截信息的翻譯格式;按照所述翻譯格式將攔截信息翻譯成攔截數據;其中,所述攔截信息的格式為<主體,客體,訪問類型,…,內容S>;攔截數據的格式為<軟件包名1,軟件包名2,軟件包名3,…,軟件包名s>。上述方案中,優選地,所述方法還包括:接收服務器側返回的第一安全策略;其中,所述第一安全策略是在服務器側經審核而確定的安全策略;將所述第一安全策略與本地的安全策略進行集成;基于集成后的安全策略完成安全策略的更新。本專利技術還提供了一種安全策略更新方法,應用于服務器側,所述方法包括:接收終端發送的攔截數據;其中,所述攔截數據由終端將通過LSM獲取的攔截信息按照預設策略進行處理而生成的;基于所述攔截數據生成相應的安全策略;在所述安全策略通過審核后發送至終端。上述方案中,優選地,所述基于所述攔截數據生成相應的安全策略,包括:對接收的攔截數據進行整理,并統計相同客體的攔截次數;如果訪問同一客體的攔截次數大于等于預設閾值,根據與所述同一客體相關的攔截數據生成對應的安全策略語句。上述方案中,優選地,所述基于所述攔截數據生成相應的安全策略,還包括:對各安全策略語句進行同類項合并;根據合并后的安全策略語句生成相應的安全策略。上述方案中,優選地,所述方法還包括:通過審核人員對所述安全策略進行進行審核,并在滿足預設條件時對所述安全策略進行微調;將經審核而確定的安全策略生成第一安全策略。本專利技術還提供了一種安全策略更新裝置,所述裝置包括:獲取模塊,用于獲取LSM的攔截信息;其中,所述攔截信息包括主體與客體之間的訪問數據;處理模塊,用于按照預設策略對所述攔截信息進行處理,并生成攔截數據;第一發送模塊,用于將攔截數據發送至服務器,以由所述服務器基于所述攔截數據生成相應的安全策略,并在所述安全策略通過審核后發送至終端。上述方案中,優選地,所述處理模塊,包括:整理子模塊,用于對攔截信息進行整理;第一合并子模塊,用于將相同的攔截信息合并為一個攔截信息。上述方案中,優選地,所述處理模塊,還包括:確定子模塊,用于確定攔截信息的翻譯格式;翻譯子模塊,用于按照所述翻譯格式將攔截信息翻譯成攔截數據;其中,所述攔截信息的格式為<主體,客體,訪問類型,…,內容S>;攔截數據的格式為<軟件包名1,軟件包名2,軟件包名3,…,軟件包名s>。上述方案中,優選地,所述裝置還包括:第一接收模塊,用于接收服務器側返回的第一安全策略;其中,所述第一安全策略是在服務器側經審核而確定的安全策略;集成模塊,用于將所述第一安全策略與本地的安全策略進行集成;更新模塊,用于基于集成后的安全策略完成安全策略的更新。本專利技術還提供了一種安全策略更新裝置,應用于服務器側,所述裝置包括:第二接收模塊,用于接收終端發送的攔截數據;其中,所述攔截數據由終端將通過LSM獲取的攔截信息按照預設策略進行處理而生成的;生成模塊,用于基于所述攔截數據生成相應的安全策略;第二發送模塊,用于在所述安全策略通過審核后發送至終端。上述方案中,優選地,所述生成模塊,包括:統計子模塊,用于對接收的攔截數據進行整理,并統計相同客體的攔截次數;第一生成子模塊,用于如果訪問同一客體的攔截次數大于等于預設閾值,根據與所述同一客體相關的攔截數據生成對應的安全策略語句。上述方案中,優選地,所述生成模塊,還包括:第二合并子模塊,用于對各安全策略語句進行同類項合并;第二生成子模塊,用于根據合并后的安全策略語句生成相應的安全策略。上述方案中,優選地,所述裝置還包括:審核模塊,用于通過審核人員對所述安全策略進行進行審核,并在滿足預設條件時對所述安全策略進行微調;相應地,所述生成模塊,還用于將經審核而確定的安全策略生成第一安全策略。本專利技術所提供的安全策略更新方法及裝置,獲取LSM的攔截信息;其中,所述攔截信息包括主體與客體之間的訪問數據;按照預設策略對所述攔截信息進行處理,并生成攔截數據;將攔截數據發送至服務器,以由所述服務器基于所述攔截數據生成相應的安全策略,并在所述安全策略通過審核后發送至終端,以由終端進行安全策略的更新;如此,能為多個用戶同時更新安全策略,有效提高了安全策略更新的效率;同時,提升了安全策略的正確性和可靠性,提升了用戶的使用體驗。附圖說明圖1為本專利技術提供的一種安全策略更新方法的實現流程圖;圖2為本專利技術提供的另一種安全策略更新方法的實現流程圖;圖3為本專利技術提供的一種安全策略更新裝置的組成結構示意圖;圖4為本專利技術提供的另一種安全策略更新裝置的組成結構示意圖;圖5為本專利技術提供的一種安全策略更新系統的示意圖;圖6為本專利技術提供的進行安全策略更新的一種具體實現流程圖。具體實施方式為了能夠更加詳盡地了解本專利技術的特點與
技術實現思路
,下面結合附圖對本專利技術的實現進行詳細闡述,所附附圖僅供參考說明之用,并非用來限定本專利技術。實施例一圖1為本專利技術提供的一種安全策略更新方法的實現流程圖,所述安全策略更新方法應用本文檔來自技高網...
【技術保護點】
一種安全策略更新方法,其特征在于,所述方法包括:獲取Linux安全模塊LSM的攔截信息;其中,所述攔截信息包括主體與客體之間的訪問數據;按照預設策略對所述攔截信息進行處理,并生成攔截數據;將攔截數據發送至服務器,以由所述服務器基于所述攔截數據生成相應的安全策略,并在所述安全策略通過審核后發送至終端。
【技術特征摘要】
1.一種安全策略更新方法,其特征在于,所述方法包括:獲取Linux安全模塊LSM的攔截信息;其中,所述攔截信息包括主體與客體之間的訪問數據;按照預設策略對所述攔截信息進行處理,并生成攔截數據;將攔截數據發送至服務器,以由所述服務器基于所述攔截數據生成相應的安全策略,并在所述安全策略通過審核后發送至終端。2.根據權利要求1所述的方法,其特征在于,所述按照預設策略對所述攔截信息進行處理,包括:對攔截信息進行整理;將相同的攔截信息合并為一個攔截信息。3.根據權利要求1所述的方法,其特征在于,所述生成攔截數據,包括:確定攔截信息的翻譯格式;按照所述翻譯格式將攔截信息翻譯成攔截數據;其中,所述攔截信息的格式為<主體,客體,訪問類型,…,內容S>;攔截數據的格式為<軟件包名1,軟件包名2,軟件包名3,…,軟件包名s>。4.根據權利要求1所述的方法,其特征在于,所述方法還包括:接收服務器側返回的第一安全策略;其中,所述第一安全策略是在服務器側經審核而確定的安全策略;將所述第一安全策略與本地的安全策略進行集成;基于集成后的安全策略完成安全策略的更新。5.一種安全策略更新方法,應用于服務器側,其特征在于,所述方法包括:接收終端發送的攔截數據;其中,所述攔截數據由終端將通過LSM獲取的攔截信息按照預設策略進行處理而生成的;基于所述攔截數據生成相應的安全策略;在所述安全策略通過審核后發送至終端。6.根據權利要求5所述的方法,其特征在于,所述基于所述攔截數據生成相應的安全策略,包括:對接收的攔截數據進行整理,并統計相同客體的攔截次數;如果訪問同一客體的攔截次數大于等于預設閾值,根據與所述同一客體相關的攔截數據生成對應的安全策略語句。7.根據權利要求6所述的方法,其特征在于,所述基于所述攔截數據生成相應的安全策略,還包括:對各安全策略語句進行同類項合并;根據合并后的安全策略語句生成相應的安全策略。8.根據權利要求7所述的方法,其特征在于,所述方法還包括:通過審核人員對所述安全策略進行進行審核,并在滿足預設條件時對所述安全策略進行微調;將經審核而確定的安全策略生成第一安全策略。9.一種安全策略更新裝置,其特征在于,所述裝置包括:獲取模塊,用于獲取LSM的攔截信息;其中,所述攔截信息包括主體與客體之間...
【專利技術屬性】
技術研發人員:劉厚良,
申請(專利權)人:中國移動通信集團公司,
類型:發明
國別省市:北京,11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。