[发明专利]用于系统服务的权能管理方法、权能管理方法及装置

说明书

本申请公开了一种用于系统服务的权能管理方法及装置，同时公开了一种用于运行程序的方法及装置，一种权能管理方法及装置，一种操作系统，以及一种电子设备。其中，用于系统服务的权能管理方法，包括：创建用于运行系统服务程序的系统服务进程；根据系统服务程序的权能配置信息设置系统服务进程的权能；内核接收系统服务进程发送的运行系统服务程序的请求后，并在确认系统服务进程已被设置权能后，将系统服务程序对应的可执行文件加载到系统服务进程中，以使系统服务程序运行；其中，系统服务程序按所述已设置的权能运行。上述方法，为系统服务权能管理提供了统一的入口，避免了现有技术存在的权能管理混乱，为系统的安全运转提供保障。

技术领域

本申请涉及权能管理技术，具体涉及一种用于系统服务的权能管理方法及装置。本申请同时涉及一种用于运行程序的方法及装置，一种权能管理方法及装置，一种操作系统，以及一种电子设备。

背景技术

支撑各种电子设备正常工作的软件系统中，例如：基于Linux的Android系统、YunOS系统等，通常会运行一些系统服务，通常情况下这些系统服务需要执行某些需要特殊权能才可进行的操作，因此需要一套权能管理机制。

从Linux 2.2版本的内核开始，Linux系统底层提供了一套权能(Capability)机制，该机制将进程可以享有的各种特权划分为若干权能，不同的权能可以独立的启用或关闭，内核则根据运行系统服务程序的进程(简称系统服务进程)拥有的权能来进行特权操作的访问控制。不同系统采用的权能管理方式也不完全相同，例如：在Android系统中，由系统服务程序自身在源代码中配置和管理权能；在有的桌面系统(例如Linux)中，则在执行用于运行系统服务程序的exec操作或者类似操作时，由内核根据系统服务程序对应的可执行文件的文件权能和进程的现有权能计算执行exec操作或者类似操作后的进程权能。

上述权能管理方式存在以下缺陷：

1)Android的系统服务权能管理机制实际上将权能的分配和管理交给了各个系统服务程序自身，容易造成权能管理的混乱，并且系统服务程序在进行权能分配时还存在一定的安全隐患。

2)在执行exec操作时计算进程权能的方式，由于需要依赖系统服务程序所对应的可执行文件的文件权能，同样容易造成权能管理的混乱，而且由于可执行文件易被攻击，也存在安全风险。

发明内容

本申请实施例提供一种用于系统服务的权能管理方法和装置，以解决现有技术由于没有对系统服务权能进行集中管理、造成的权能管理混乱以及存在安全隐患的问题。本申请实施例还提供一种用于运行程序的方法和装置，一种权能管理方法和装置，以及一种操作系统。

本申请提供一种用于系统服务的权能管理方法，包括：

创建用于运行系统服务程序的系统服务进程；

根据所述系统服务程序的权能配置信息设置所述系统服务进程的权能；

内核接收所述系统服务进程发送的运行所述系统服务程序的请求后，并在确认所述系统服务进程已被设置权能后，将所述系统服务程序对应的可执行文件加载到所述系统服务进程中，以使所述系统服务程序运行；其中，所述系统服务程序按所述已设置的权能运行。

可选的，所述方法由系统服务管理进程触发执行，所述系统服务管理进程包括：Init进程，或者systemd进程。

可选的，在创建用于运行系统服务程序的系统服务进程之后，在内核接收所述系统服务进程发送的运行所述系统服务程序的请求之前，还包括：为所述系统服务进程设置标签；

所述确认所述系统服务进程已被设置权能，包括：确认所述系统服务进程具有所述标签。

可选的，所述为所述系统服务进程设置标签，包括：在内核数据中为所述系统服务进程设置标签。