[发明专利]应用程序的强制访问控制方法、系统和管理服务器

权利要求书

1.一种应用程序的强制访问控制方法，其特征在于，包括：

管理服务器接收管理员针对应用程序定义的访问资源的信息，将其解析为对应资源的配置信息后，结合智能终端操作系统强制访问控制的编译环境，编译生成强制访问控制策略的策略包，作为所述应用程序对应的策略包；同一强制访问控制策略的策略包或者同一访问资源的配置信息，对应存储有多个应用程序的标识；

所述管理服务器对于所述应用程序，将其安装包以及其对应的策略包下发至智能终端；

所述智能终端根据接收的安装包安装所述应用程序时，将接收的策略包安装到操作系统中，使得所述应用程序运行时被限定于所述访问资源；

以及，所述管理服务器接收管理员针对应用程序定义的访问资源的信息，包括：

管理服务器对于获取的每个所述应用程序，向管理员显示访问资源定义交互界面，并在所述访问资源定义交互界面中显示管理员对应用程序允许访问的访问资源以及具体访问权限的要求，管理服务器通过所述访问资源定义交互界面，接收所述管理员针对所述应用程序定义的访问资源的信息；

以及，所述生成强制访问控制策略的策略语句之前，还包括：

所述管理服务器对于解析出的所述应用程序的访问资源的配置信息，确定是否可以查询到与该配置信息对应预存的强制访问控制策略的策略包；若是，则将查询到的强制访问控制策略的策略包，作为所述应用程序对应的强制访问控制策略的策略包，并将所述应用程序的标识和安装包都与该策略包对应存储。

2.根据权利要求1所述的方法，其特征在于，所述结合智能终端操作系统强制访问控制的编译环境，编译生成强制访问控制策略的策略包，具体包括：

所述管理服务器根据所述配置信息，生成强制访问控制策略的策略语句；

所述管理服务器在智能终端操作系统强制访问控制的编译环境下，将生成的策略语句编译成强制访问控制策略的策略包。

3.根据权利要求1所述的方法，其特征在于，所述解析为对应资源的配置信息，具体包括：

所述管理服务器将所述应用程序作为主体，将所述访问资源作为客体，根据所述主体对客体的访问权限解析出的配置信息具体为主客体之间的关系。

4.根据权利要求1-3任一所述的方法，其特征在于，所述编译生成强制访问控制策略的策略包前，还包括：

所述管理服务器若查询到与所述配置信息对应预存的强制访问控制策略的策略包，则将查询到的强制访问控制策略的策略包作为所述应用程序对应的策略包。

5.一种应用程序的强制访问控制系统，其特征在于，包括：

管理服务器，用于接收管理员针对应用程序定义的访问资源的信息，将其解析为对应资源的配置信息后，结合智能终端操作系统强制访问控制的编译环境，编译生成强制访问控制策略的策略包，作为所述应用程序对应的策略包；以及对于所述应用程序，将其安装包以及其对应的策略包下发；同一强制访问控制策略的策略包或者同一访问资源的配置信息，对应存储有多个应用程序的标识；

智能终端，用于接收的安装包安装所述应用程序时，将接收的策略包安装到操作系统中，使得所述应用程序运行时被限定于所述访问资源；

以及，所述管理服务器具体用于：在接收管理员针对应用程序定义的访问资源的信息时，对于获取的每个所述应用程序，向管理员显示访问资源定义交互界面，并在所述访问资源定义交互界面中显示管理员对应用程序允许访问的访问资源以及具体访问权限的要求，通过所述访问资源定义交互界面，接收所述管理员针对所述应用程序定义的访问资源的信息；

以及，所述管理服务器还用于：在生成强制访问控制策略的策略语句之前，对于解析出的所述应用程序的访问资源的配置信息，确定是否可以查询到与该配置信息对应预存的强制访问控制策略的策略包；若是，则将查询到的强制访问控制策略的策略包，作为所述应用程序对应的强制访问控制策略的策略包，并将所述应用程序的标识和安装包都与该策略包对应存储。