[go: up one dir, main page]

CN106485104B - 终端安全策略的自动修复方法和装置、系统 - Google Patents

终端安全策略的自动修复方法和装置、系统 Download PDF

Info

Publication number
CN106485104B
CN106485104B CN201510526652.3A CN201510526652A CN106485104B CN 106485104 B CN106485104 B CN 106485104B CN 201510526652 A CN201510526652 A CN 201510526652A CN 106485104 B CN106485104 B CN 106485104B
Authority
CN
China
Prior art keywords
terminal
policy
limited
security policy
condition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510526652.3A
Other languages
English (en)
Other versions
CN106485104A (zh
Inventor
王映理
吴进发
方义
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201510526652.3A priority Critical patent/CN106485104B/zh
Publication of CN106485104A publication Critical patent/CN106485104A/zh
Application granted granted Critical
Publication of CN106485104B publication Critical patent/CN106485104B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2125Just-in-time application of countermeasures, e.g., on-the-fly decryption, just-in-time obfuscation or de-obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开一种终端安全策略的自动修复方法,包括:获取终端上的操作权限受限情况;将受限情况与预设的策略库进行匹配,获得该受限情况的安全策略;在安全策略中该受限情况为允许时,下发策略更新通知。本发明还公开一种终端安全策略的自动修复装置及系统。本发明实现了安全策略的自动修复,相对于现有技术,不但节省了人工成本、而且还使得安全策略得到了及时修复,提高了修复效率。

Description

终端安全策略的自动修复方法和装置、系统
技术领域
本发明涉及计算机领域,尤其涉及终端安全策略的自动修复方法和装置、系统。
背景技术
智能终端的广泛应用,给人们的生活带来了极大的便利,但是智能终端系统的不稳定也给人们的应用带来安全隐患,例如隐私信息的泄露等等。因此,智能终端的生产厂商自定义安全策略,对智能终端的使用进行安全防护。但是该安全策略无法实现自动修复,出现问题后,必须人工修复。
发明内容
本发明实施例的主要目的在于提供一种终端安全策略的自动修复方法和装置,旨在提高修复效率。
为实现上述目的,本发明实施例提供了一种终端安全策略的自动修复方法,包括以下步骤:
获取终端上的操作权限受限情况;
将受限情况与预设的策略库进行匹配,获得该受限情况的安全策略;
在安全策略中该受限情况为允许时,下发策略更新通知。
此外,为实现上述目的,本发明实施例还提供了一种终端安全策略的自动修复装置,包括:
受限信息获取模块,用于获取终端上的操作权限受限情况;
受限匹配模块,用于将受限情况与预设的策略库进行匹配,获得该受限情况的安全策略;
策略更新通知模块,用于在安全策略中该受限情况为允许时,下发策略更新通知。
此外,为实现上述目的,本发明还提供了一种终端安全策略的自动修复系统,包括终端和服务器;所述终端与服务器之间互相通讯,所述终端在运行过程中记录操作权限受限情况,并将所记录的操作权限受限情况上传至服务器;所述服务器根据预设的策略库,对终端上传的操作权限受限情况进行分析,若预设的策略库中允许该操作时,下发策略更新通知至终端;所述服务器包括上述自动修复装置。
本发明实施例通过发现受限情况,根据预设的策略库对受限情况进行分析,若预设的策略库中该受限情况为允许,则下发新的策略至终端,以修复该受限情况。依次循环,周而复始,直到终端系统策略稳定,全程都不需要人工干预。因此本发明实施例实现了安全策略的自动修复,相对于现有技术,不但节省了人工成本、而且还使得安全策略得到了及时修复,提高了修复效率。
附图说明
图1为本发明终端安全策略的自动修复系统中终端与服务器的交互结构示意图;
图2为本发明终端安全策略的自动修复方法所应用的服务器的硬件架构示意图;
图3为本发明终端安全策略的自动修复装置第一实施例的功能模块示意图;
图4为本发明终端安全策略的自动修复装置中受限匹配模块的细化功能模块示意图;
图5为本发明终端安全策略的自动修复方法中策略库匹配后允许的结果示例图;
图6为本发明终端安全策略的自动修复方法中策略库匹配后拒绝的结果示例图;
图7为本发明终端安全策略的自动修复装置第二实施例的功能模块示意图;
图8为本发明终端安全策略的自动修复装置第三实施例的功能模块示意图;
图9为本发明终端安全策略的自动修复方法第一实施例的流程示意图;
图10为本发明终端安全策略的自动修复方法中将受限情况与策略库匹配获得安全策略的细化流程示意图;
图11为本发明终端安全策略的自动修复方法第二实施例的流程示意图;
图12为本发明终端安全策略的自动修复方法第三实施例的流程示意图;
图13为本发明终端安全策略的自动修复方法第四实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种终端安全策略的自动修复方案,通过监测终端上的权限受限情况,根据预设的策略库对该权限受限情况进行分析,若预设的策略库中允许该权限,则产生修复语句,实现权限受限的自动修复。
该终端上的权限受限情况既可包括终端系统的操作权限受限情况,还可包括终端上的第三方应用的操作权限受限情况。该操作权限受限情况是因为同一操作在不同系统版本下的安全策略不同而产生的。以终端系统的操作权限受限情况为例,安卓4.4版本对应的安全策略中,系统应用“文件管理器”可以随意访问并读取第三方应用程序的数据,也可以对第三方程序里面包含的程序进行运行;但在安卓5.0版本对应的安全策略上都被禁止了,此时将导致“文件管理器”的功能被限制。因此安卓4.4版本“文件管理器”在安卓5.0版本的系统中进行第三方应用程序的数据的读取操作时,存在操作权限受限情况。以第三方应用的操作权限受限情况为例,安卓4.4版本对应的安全策略中,第三方应用程序可以将自己的服务通过addservice的方法加入到系统服务管理中,安卓5.0版本对应的安全策略中则不能使用该方法。因此安卓4.4版本的第三方应用程序运行在安卓5.0版本中,并将自己的服务通过addservice的方法加入到系统服务管理中时,存在操作权限受限情况。
预设的策略库为预先设置的策略集合,可包括各厂商定义的安全策略,也可包括通用的安全策略。该安全策略包括多个类型的安全策略,具体如下:
(1)读写权限,例如读写目标文件权限被限制;
(2)绑定系统服务,例如绑定特定的系统服务被限制;
(3)消息通信,例如与特定对象发送socket消息时被限制;
(4)执行程序,例如需要执行特定程序的时候被限制;
(5)挂载系统,例如挂载系统的分区时被限制。
本发明实施例中,该安全策略可包括安卓4.3以上的安全策略、Ubuntu 14以上的安全策略。该Ubuntu 14策略支持所有基于selinux开发的系统,包括ubuntu也包括android系统)上述策略库中的策略包括所有类别的进程及目标操作在受限范围内是否允许,即以TE为后缀的文件。
如图1所示,上述终端安全策略的自动修复方案的终端可包括PC终端,也可以包括移动终端,当然还可以包括具有智能系统的其他终端,例如电视、数码相机、掌上电脑等等,在此统称为终端100。该终端上可设有操作权限受限情况监测装置,用于监测终端上的操作权限受限情况。每个终端100均与服务器200互相通讯,当存在操作权限受限情况时,则将该受限情况上传至服务器200。服务器200接收到该受限情况后,则根据预设的策略库对该受限情况进行分析,判断该受限情况在安全策略中是否为允许的情况,是则产生一条新的安全策略,该安全策略中携带允许该受限情况的修复语句。服务器200将产生的新的安全策略下发至终端100,终端100加载该新的安全策略后,即可修复该受限情况,从而实现了安全策略的自动修复。
如图2所示,上述服务器200可包括处理器201、存储器202、用户交互单元203、数据总线204、通讯模块205。其中数据总线204用于终端各组件之间的数据交互。用户交互单元203可包括显示屏、按键组件、指纹录入设备、读卡接口、证件识别设备等等。另外,该按键组件可包括物理按键,也可包括虚拟的触摸按键,在此并不做限定。存储器202可包括内部存储设备,也可包括外部存储设备,用于存储终端需要处理的数据以及运行服务器200需要的数据,例如操作系统、安全策略自动修复装置等等。处理器201调用存储器202中存储的数据以及其他各组件,以实现相应的功能,例如安全策略的自动修复等等。通讯模块205用于服务器200与外部设备,例如终端或者其他服务器之间的通讯,可包括无线通讯单元和有线通讯单元。另外,图2示出的服务器各组件并不限定服务器200的结构,该服务器200还可具有其他组件,例如电源等等。
上述服务器200可包括本地服务器,也可以包括web服务器,当然还可包括云服务器。而且该服务器200可以为单一服务器,也可以多个服务器组成的服务器群。
基于上述服务器,本发明提出了一种安全策略的自动修复装置第一实施例。如图3所示,该安全策略自动修复装置包括:
受限信息获取模块110,用于获取终端上的操作权限受限情况;
受限匹配模块120,用于将受限情况与预设的策略库进行匹配,获得该受限情况的安全策略;
策略更新通知模块130,用于在安全策略中该受限情况为允许时,下发策略更新通知。
终端100在自身的系统应用运行过程中,或者第三方应用的运行过程中,若发生权限受限制,则将该受限制的情况记录在终端100上。例如,若终端100上基于selinux安全策略运行,则该终端在运行过程中的受限制的情况将存储在终端系统log的/proc/kmsg文件中。而且,该受限制的情况具有统一的格式,例如以avc:denied开头。假设终端在运行untrusted_app,并打开app_data_file的文件时,被终端的安全策略拒绝,此时终端100将记录其对应受限制的情况,如下:
avc:denied{open}for pid=2277comm="pool-5-thread-1"path="/data/data/com.tencent.android.qqdownloader/app_plugin_dir_com.tencent.assistant.root_kr sdk/kd"dev="mmcblk0p28"ino=138479scontext=u:r:untrusted_app:s0tcontext=u:object_r:app_data_file:s0tclass=file
本实施例中,可以在终端100上设置监测装置,该监测装置将监测终端100上存储受限制的情况的存储位置,当该存储空间中存在变化时,将该存储空间中的变化,也就是所存储的受限制的情况,进行自动提取。终端100将提取的受限制的情况自动上传至服务器200。当然,该服务器200也可以实时监测终端100上存储受限制的情况的存储位置是否发生变化,当该存储空间中存在变化时,自动提取所存储的受限制的情况。
可以理解的是,终端100在发现运行过程中权限受限的情况时,也可以直接记录该权限受限的情况,并将该权限受限的情况直接上传至服务器200。
服务器200通过通讯模块205获取终端100上发生的权限受限情况,受限匹配模块120将该权限受限情况进行分析,提取该权限受限情况中的参数,并将该参数与预设的策略库进行匹配,以获得策略库中该权限受限情况的策略,例如允许、禁用、强制等等。当该策略库中该权限受限情况的策略为允许时,则下发策略更新通知至终端100,以供终端100根据该更新通知下载该策略,并在终端100上加载该策略,即可修复该受限情况,从而实现了安全策略的自动修复。
上述策略更新通知可以以短信息、链接地址、访问接口、即时消息等多种载体方式下发至终端100。
进一步地,如图4所示,上述受限匹配模块120可包括:
受限参数提取单元121,用于提取受限情况中待匹配的参数;
匹配单元122,用于将所提取的待匹配的参数与预设的策略库进行匹配,获得匹配的安全策略。
如前述统一格式的受限情况,受限参数提取单元121将提取受限情况中待匹配的参数。例如,上述终端在运行untrusted_app,并打开app_data_file的文件时,被终端的安全策略拒绝所对应的受限情况,受限参数提取单元121将从该受限情况中提取的待匹配的参数如下:
Source type:untrusted_app //受限对象
Target type:app_data_file //受限对象操作受限的文件
Class:file //文件属性
Permissions:open //操作
匹配单元122将受限参数提取单元121提取的待匹配的参数与预设的策略库进行匹配,获得匹配的安全策略。该安全策略可包括允许、强制、禁止等等。本实施例中,将该匹配过程利用一策略库对比系统来实现,该策略库对比系统具有输入接口,用于接收需要匹配的受限情况中的待匹配参数,即受限参数提取单元121提取的参数。该策略库对比系统还具有输出接口,用于输出匹配结果。该输出接口可以为显示屏,或者其他数据输出接口,以输出匹配结果。
如图5所示,若受限参数提取单元21提取的待匹配的参数与预设的策略库中的安全策略匹配成功,且该安全策略中允许该受限情况,则该策略库对比系统输出的结果为一条修复语句。如图6所示,若受限参数提取单元21提取的待匹配的参数与预设的策略库中的安全策略匹配失败,或者匹配成功的安全策略为禁用,则该策略库对比系统输出的结果为空。
进一步地,如图7所示,上述终端安全策略的自动修复装置还可包括:
策略下发模块140,用于根据策略下载请求,将匹配单元122所获得的安全策略下发至终端100。
具体地,用户收到该策略更新通知,可以根据该策略更新通知触发策略下载请求。终端100将策略下载请求发送至服务器200,服务器200根据策略下载请求,将匹配单元122所获得的安全策略下发至终端100。
进一步地,如图8所示,上述终端安全策略的自动修复装置还可包括:
策略合并模块150,用于根据策略下载请求,获取终端的当前版本对应的策略包,并将所获得的安全策略加入当前版本对应的策略包,形成新的策略包;
策略下发模块160,用于发送新的策略包至终端100。
具体地,用户收到该策略更新通知,可以根据该策略更新通知触发策略下载请求。终端100将策略下载请求发送至服务器200,服务器200的策略合成模块150根据策略下载请求,获取终端100的当前版本对应的策略包,并将所获得的安全策略,即策略库对比系统输出的修复语句,与当前版本对应的策略包进行合并,生成新的策略包;通过策略下发模块160将该新的策略包发送至终端100。终端100的当前版本可以由终端100上传权限受限情况时一并上传至服务器200,也可以与策略下载请求一并上传至服务器200,还可以由服务器200在需要时获取。
本发明实施例通过发现受限情况,根据预设的策略库对受限情况进行分析,若预设的策略库中该受限情况为允许,则下发新的策略至终端,以修复该受限情况。依次循环,周而复始,直到终端系统策略稳定,全程都不需要人工干预。因此本发明实施例实现了安全策略的自动修复,相对于现有技术,不但节省了人工成本、而且还使得安全策略得到了及时修复,提高了修复效率。
对应地,本发明提出一种终端安全策略的自动修复方法。如图9所示,该终端安全策略的自动修复方法包括以下步骤:
步骤S110、获取终端上的操作权限受限情况;
步骤S120、将受限情况与预设的策略库进行匹配,获得该受限情况的安全策略;
步骤S130、在安全策略中该受限情况为允许时,下发策略更新通知。
终端100在自身的系统应用运行过程中,或者第三方应用的运行过程中,若发生权限受限制,则将该受限制的情况记录在终端100上。例如,若终端100上基于selinux安全策略运行,则该终端在运行过程中的受限制的情况将存储在终端系统log的/proc/kmsg文件中。而且,该受限制的情况具有统一的格式,例如以avc:denied开头。假设终端在运行untrusted_app,并打开app_data_file的文件时,被终端的安全策略拒绝,此时终端100将记录其对应受限制的情况,如下:
avc:denied{open}for pid=2277comm="pool-5-thread-1"path="/data/data/com.tencent.android.qqdownloader/app_plugin_dir_com.tencent.assistant.root_kr sdk/kd"dev="mmcblk0p28"ino=138479scontext=u:r:untrusted_app:s0tcontext=u:object_r:app_data_file:s0tclass=file
本实施例中,可以在终端100上设置监测装置,该监测装置将监测终端100上存储受限制的情况的存储位置,当该存储空间中存在变化时,将该存储空间中的变化,也就是所存储的受限制的情况,进行自动提取。终端100将提取的受限制的情况自动上传至服务器200。当然,该服务器200也可以实时监测终端100上存储受限制的情况的存储位置是否发生变化,当该存储空间中存在变化时,自动提取所存储的受限制的情况。
可以理解的是,终端100在发现运行过程中权限受限的情况时,也可以直接记录该权限受限的情况,并将该权限受限的情况直接上传至服务器200。
服务器200通过通讯模块205获取终端100上发生的权限受限情况,受限匹配模块120将该权限受限情况进行分析,提取该权限受限情况中的参数,并将该参数与预设的策略库进行匹配,以获得策略库中该权限受限情况的策略,例如允许、禁用、强制等等。当该策略库中该权限受限情况的策略为允许时,则下发策略更新通知至终端100,以供终端100根据该更新通知下载该策略,并在终端100上加载该策略,即可修复该受限情况,从而实现了安全策略的自动修复。
上述策略更新通知可以以短信息、链接地址、访问接口、即时消息等多种载体方式下发至终端100。
进一步地,如图10所示,上述步骤S120包括:
步骤S121、提取受限情况中待匹配的参数;
步骤S122、将所提取的待匹配的参数与预设的策略库进行匹配,获得匹配的安全策略。
如前述统一格式的受限情况,受限参数提取单元121将提取受限情况中待匹配的参数。例如,上述终端在运行untrusted_app,并打开app_data_file的文件时,被终端的安全策略拒绝所对应的受限情况,受限参数提取单元121将从该受限情况中提取的待匹配的参数如下:
Source type:untrusted_app //受限对象
Target type:app_data_file //受限对象操作受限的文件
Class:file //文件属性
Permissions:open //操作
匹配单元122将受限参数提取单元121提取的待匹配的参数与预设的策略库进行匹配,获得匹配的安全策略。该安全策略可包括允许、强制、禁止等等。本实施例中,将该匹配过程利用一策略库对比系统来实现,该策略库对比系统具有输入接口,用于接收需要匹配的受限情况中的待匹配参数,即受限参数提取单元121提取的参数。该策略库对比系统还具有输出接口,用于输出匹配结果。该输出接口可以为显示屏,或者其他数据输出接口,以输出匹配结果。
如图5所示,若受限参数提取单元21提取的待匹配的参数与预设的策略库中的安全策略匹配成功,且该安全策略中允许该受限情况,则该策略库对比系统输出的结果为一条修复语句。如图6所示,若受限参数提取单元21提取的待匹配的参数与预设的策略库中的安全策略匹配失败,或者匹配成功的安全策略为禁用,则该策略库对比系统输出的结果为空。
进一步地,如图11所示,上述步骤S130之后还包括:
步骤S140、根据策略下载请求,将所获得的安全策略下发至终端。
具体地,用户收到该策略更新通知,可以根据该策略更新通知触发策略下载请求。终端100将策略下载请求发送至服务器200,服务器200根据策略下载请求,将匹配单元122所获得的安全策略下发至终端100。
进一步地,如图12所示,上述步骤S130之后还包括:
步骤S150、根据策略下载请求,获取终端的当前版本对应的策略包,并将所获得的安全策略加入当前版本对应的策略包,形成新的策略包;
步骤S160、下发新的策略包至终端。
具体地,用户收到该策略更新通知,可以根据该策略更新通知触发策略下载请求。终端100将策略下载请求发送至服务器200,服务器200的策略合成模块150根据策略下载请求,获取终端100的当前版本对应的策略包,并将所获得的安全策略,即策略库对比系统输出的修复语句,与当前版本对应的策略包进行合并,生成新的策略包;通过策略下发模块160将该新的策略包发送至终端100。终端100的当前版本可以由终端100上传权限受限情况时一并上传至服务器200,也可以与策略下载请求一并上传至服务器200,还可以由服务器200在需要时获取。
以下将基于终端与服务器的交互过程对安全策略的自动修复过程进行具体描述。如图13所示,该自动修复过程可包括如下步骤:
步骤S301、终端100运行过程中,监测是否发生操作权限受限,并记录发生的操作权限受限情况;
步骤S302、终端100将记录的操作权限受限情况上传至服务器200;
步骤S303、服务器200将操作权限受限情况与预设的策略库进行比对;
步骤S304、当预设的策略库中允许该操作时,服务器200获取终端当前版本的策略包,并将预设的策略库中允许该操作的策略与终端当前版本的策略包合并,生成新的策略包;
步骤S305、服务器200将策略更新通知下发至终端100;
步骤S306、终端100根据策略更新通知,发送策略下载请求至服务器200;
步骤S307、服务器200下发所请求的策略包至所述终端100;
步骤S308、终端加载该策略包。
本发明实施例通过发现受限情况,根据预设的策略库对受限情况进行分析,若预设的策略库中该受限情况为允许,则下发新的策略至终端,以修复该受限情况。依次循环,周而复始,直到终端系统策略稳定,全程都不需要人工干预。因此本发明实施例实现了安全策略的自动修复,相对于现有技术,不但节省了人工成本、而且还使得安全策略得到了及时修复,提高了修复效率。
以上所述仅为本发明的优选实施例,并非因此限制其专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (8)

1.一种终端安全策略的自动修复方法,其特征在于,所述终端安全策略的自动修复方法包括以下步骤:
获取终端上的操作权限受限情况,所述操作权限的受限情况由于同一操作在不同系统版本下的安全策略不同而产生;
将所述受限情况与预设的策略库进行匹配,获得该受限情况的安全策略,其中,所述策略库用于判断所述受限情况为在安全策略中允许的情况或不允许的情况,所述策略库中的策略包括所有类别的进程及目标操作在受限范围内是否允许;
在所述安全策略中所述受限情况为允许的情况时,生成目标安全策略,其中,所述目标安全策略中携带允许所述受限情况的修复语句;
下发策略更新通知,并根据策略下载请求,将所获得的所述目标安全策略下发至所述终端,以使所述终端加载所述目标安全策略,修复所述受限情况;
其中,所述终端还用于监测所述终端上存储所述受限情况的存储位置,在所述存储位置中存在变化的情况下,自动提取所述受限情况,上传到服务器,或者所述服务器监控所述终端上的所述存储位置,在所述存储位置中存在变化的情况下,自动提取所述受限情况。
2.如权利要求1所述的终端安全策略的自动修复方法,其特征在于,所述将受限情况与预设的策略库进行匹配,获得该受限情况的安全策略包括:
提取受限情况中待匹配的参数;
将所提取的待匹配的参数与预设的策略库进行匹配,获得匹配的安全策略。
3.如权利要求1或2所述的终端安全策略的自动修复方法,其特征在于,所述在安全策略中该受限情况为允许时,下发策略更新通知之后还包括:
根据策略下载请求,获取终端的当前版本对应的策略包,并将所获得的安全策略加入当前版本对应的策略包,形成新的策略包;
下发新的策略包至终端。
4.一种终端安全策略的自动修复装置,其特征在于,所述终端安全策略的自动修复装置包括:
受限信息获取模块,用于获取终端上的操作权限受限情况,所述操作权限的受限情况由于同一操作在不同系统版本下的安全策略不同而产生;
受限匹配模块,用于将所述受限情况与预设的策略库进行匹配,获得该受限情况的安全策略,其中,所述策略库用于判断所述受限情况为在安全策略中允许的情况或不允许的情况,所述策略库中的策略包括所有类别的进程及目标操作在受限范围内是否允许;
策略更新通知模块,用于在所述安全策略中所述受限情况为允许的情况时,生成目标安全策略,并下发策略更新通知,并根据策略下载请求,将所获得的所述目标安全策略下发至所述终端,以使所述终端加载所述目标安全策略,修复所述受限情况,其中,所述目标安全策略中携带允许所述受限情况的修复语句;
所述装置还用于监测所述终端上存储所述受限情况的存储位置,在所述存储位置中存在变化的情况下,自动提取所述受限情况,上传到服务器,或者所述服务器监控所述终端上的所述存储位置,在所述存储位置中存在变化的情况下,自动提取所述受限情况。
5.如权利要求4所述的终端安全策略的自动修复装置,其特征在于,所述受限匹配模块包括:
提取受限情况中待匹配的参数;
将所提取的待匹配的参数与预设的策略库进行匹配,获得匹配的安全策略。
6.如权利要求4或5所述的终端安全策略的自动修复装置,其特征在于,所述终端安全策略的自动修复装置还包括:
策略合并模块,用于根据策略下载请求,获取终端的当前版本对应的策略包,并将所获得的安全策略加入当前版本对应的策略包,形成新的策略包;
策略下发模块,用于下发新的策略包至终端。
7.一种安全策略的自动修复系统,其特征在于,所述安全策略的自动修复系统包括终端和服务器;所述终端与服务器之间互相通讯,所述终端在运行过程中记录操作权限受限情况,并将所记录的操作权限受限情况上传至服务器;所述服务器根据预设的策略库,对终端上传的操作权限受限情况进行分析,若预设的策略库中允许该操作时,下发策略更新通知至终端;所述服务器包括如权利要求4-6任一项所述的自动修复装置。
8.如权利要求7所述的安全策略的自动修复系统,其特征在于,所述终端还用于:根据所述策略更新通知,向服务器发送策略下载请求;
所述服务器还用于:根据策略下载请求,将所获得的安全策略下发至终端;或者,
根据策略下载请求,获取终端的当前版本对应的策略包,并将所获得的安全策略加入当前版本对应的策略包,形成新的策略包;下发新的策略包至终端。
CN201510526652.3A 2015-08-25 2015-08-25 终端安全策略的自动修复方法和装置、系统 Active CN106485104B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510526652.3A CN106485104B (zh) 2015-08-25 2015-08-25 终端安全策略的自动修复方法和装置、系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510526652.3A CN106485104B (zh) 2015-08-25 2015-08-25 终端安全策略的自动修复方法和装置、系统

Publications (2)

Publication Number Publication Date
CN106485104A CN106485104A (zh) 2017-03-08
CN106485104B true CN106485104B (zh) 2020-12-01

Family

ID=58233150

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510526652.3A Active CN106485104B (zh) 2015-08-25 2015-08-25 终端安全策略的自动修复方法和装置、系统

Country Status (1)

Country Link
CN (1) CN106485104B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110943978A (zh) * 2019-11-14 2020-03-31 光通天下网络科技股份有限公司 安全策略的配置方法、装置、电子设备及介质
CN112328422A (zh) * 2020-11-06 2021-02-05 深圳市锐尔觅移动通信有限公司 异常修复方法、装置、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101288084A (zh) * 2005-10-13 2008-10-15 株式会社Ntt都科摩 便携终端、访问控制管理装置以及访问控制管理方法
CN101616137A (zh) * 2008-06-26 2009-12-30 中兴通讯股份有限公司 主机安全接入方法、隔离方法及安全接入和隔离的系统
CN103313343A (zh) * 2012-03-13 2013-09-18 百度在线网络技术(北京)有限公司 一种用于实现用户访问控制的方法和设备
CN103546436A (zh) * 2012-07-13 2014-01-29 中兴通讯股份有限公司 一种安全控制方法及终端、云服务器
CN104683260A (zh) * 2013-11-29 2015-06-03 中国移动通信集团重庆有限公司 一种流量控制方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100346252C (zh) * 2005-09-28 2007-10-31 珠海金山软件股份有限公司 计算机软件安全漏洞修复装置和方法
US8179847B2 (en) * 2008-05-13 2012-05-15 At&T Mobility Ii Llc Interactive white list prompting to share content and services associated with a femtocell
JP6223099B2 (ja) * 2013-10-01 2017-11-01 キヤノン株式会社 画像処理装置、及びその制御方法、並びにプログラム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101288084A (zh) * 2005-10-13 2008-10-15 株式会社Ntt都科摩 便携终端、访问控制管理装置以及访问控制管理方法
CN101616137A (zh) * 2008-06-26 2009-12-30 中兴通讯股份有限公司 主机安全接入方法、隔离方法及安全接入和隔离的系统
CN103313343A (zh) * 2012-03-13 2013-09-18 百度在线网络技术(北京)有限公司 一种用于实现用户访问控制的方法和设备
CN103546436A (zh) * 2012-07-13 2014-01-29 中兴通讯股份有限公司 一种安全控制方法及终端、云服务器
CN104683260A (zh) * 2013-11-29 2015-06-03 中国移动通信集团重庆有限公司 一种流量控制方法及系统

Also Published As

Publication number Publication date
CN106485104A (zh) 2017-03-08

Similar Documents

Publication Publication Date Title
CN109766696B (zh) 软件权限的设置方法及装置、存储介质、电子装置
US9443112B2 (en) Secure media container
CN109460660B (zh) 一种移动设备安全管理系统
US20140201843A1 (en) Systems and methods for identifying and reporting application and file vulnerabilities
US10257194B2 (en) Distribution of variably secure resources in a networked environment
CN111209558B (zh) 基于区块链的物联网设备身份认证方法以及系统
CN111131221B (zh) 接口校验的装置、方法及存储介质
AU2014235165A1 (en) Application program as key for authorizing access to resources
CN104199654A (zh) 开放平台的调用方法及装置
CA3001282A1 (en) Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium
CN106339629A (zh) 一种应用程序管理方法及装置
CN114650154B (zh) 网页权限行为控制方法、装置、计算机设备和存储介质
CN108289074B (zh) 用户账号登录方法及装置
CN109977644B (zh) 一种Android平台下分级权限管理方法
CN105279078A (zh) 安全漏洞检测方法和装置
CN114036495B (zh) 一种更新私有化部署验证码系统的方法及装置
CN106485104B (zh) 终端安全策略的自动修复方法和装置、系统
CN114244568B (zh) 基于终端访问行为的安全接入控制方法、装置和设备
CN108494749B (zh) Ip地址禁用的方法、装置、设备及计算机可读存储介质
CN115130075A (zh) 一种数字签章方法、装置、电子设备及存储介质
CN114491653B (zh) 数据内容防篡改系统、方法及装置
CN116049822A (zh) 应用程序的监管方法、系统、电子设备及存储介质
CN115391783A (zh) 客户机远程开启电脑方法、设备及云桌面客户机
CN115333797A (zh) 充电桩系统的评审方法、系统及计算机存储介质
CN115114657A (zh) 数据保护方法、电子设备及计算存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant