[发明专利]一种对软件权限和行为进行安全管控的系统和方法

权利要求书

1.一种对软件权限和行为进行安全管控的方法，其特征在于，所述方法包括：

将基于策略配置文件管控应用程序权限的安全管控文件以代码的形式设置在以程序编码的形式存在的应用程序运行的初始位置，

基于所述应用程序的运行而触发的所述安全管控文件根据服务器推送的第一策略配置文件限制所述应用程序的权限，其中，

安全管控文件基于应用程序的运行而触发运行，安全管控文件运行时，向服务器发送策略配置文件请求信息，服务器响应安全管控文件的请求并向安全管控文件推送最新的第一策略配置文件，第一策略配置文件包含有权限策略列表，权限策略列表陈列了部分禁止启用权限和允许启用的权限，以确保应用程序的信息安全，安全管控文件根据第一策略配置文件的权限策略列表的列表项，逐项对应用程序的权限进行相应限制和管控，或者，在应用程序试图运行陈列在权限策略列表中的权限时，安全管控文件进行监控并触发拦截动作，拦截该权限发送的信息，以确保应用程序的实际运行的行为不会超出服务器规定的权限策略范围，达到安全管控的目标，

所述服务器基于所述安全管控文件反馈的应用程序的权限信息和运行状况生成并推送第二策略配置文件至所述应用程序的安全管控文件，其中，

在安全管控文件基于第一策略配置文件对应用程序的权限进行相应管控的情况下，安全管控文件向服务器反馈未陈列在权限策略列表的权限，即反馈不处于管控范围的权限，安全管控文件向服务器反馈应用程序的处于管控范围的权限信息和不处于管控范围的权限信息以及权限的运行状况，服务器基于安全管控文件反馈的应用程序的权限信息和运行状况，对所推送的第一策略配置文件的权限策略列表进行调整，增加新的权限，从而生成含有更新的权限策略列表的第二策略配置文件，服务器将第二策略配置文件推送至对应的应用程序的安全管控文件；

所述服务器基于所述安全管控文件标记并反馈的所述应用程序的待管控权限信息调整所述第一策略配置文件为所述第二策略配置文件，

所述安全管控文件基于所述第二策略配置文件的权限策略列表限制所述应用程序的权限；

所述安全管控文件基于所述应用程序的运行障碍调整所述第二策略配置文件的权限策略列表从而生成第三策略配置文件，所述安全管控文件标记所述第三策略配置文件及其对应的应用程序的版本信息并推送至所述服务器储存；

所述服务器根据所述安全管控文件反馈的应用程序的版本信息选取与其匹配的第一策略配置文件、第二策略配置文件或第三策略配置文件并推送至所述应用程序中的安全管控文件。

2.如权利要求1所述对软件权限和行为进行安全管控的方法，其特征在于，所述服务器根据所述安全管控文件反馈的管控失败的权限信息及对应的应用程序的版本信息向所述安全管控文件推送更新信息从而更新所述安全管控文件。

3.如前述权利要求之一所述对软件权限和行为进行安全管控的方法，其特征在于，所述将基于策略配置文件管控应用程序权限的安全管控文件以代码的形式设置在以程序编码的形式存在的应用程序运行的初始位置的步骤包括：

拆解、反向汇编和/或反向编译待管控的应用程序为程序编码，

将所述安全管控文件的代码设置于程序编码中运行的初始位置或初始化节点位置，

正向编译设置有安全管控文件的程序编码为由安全管控文件管控的应用程序。

4.如权利要求3所述对软件权限和行为进行安全管控的方法，其特征在于，所述安全管控文件基于所述第一策略配置文件或所述第二策略配置文件的策略要求计算和判断所述应用程序运行中限制权限的启动次数和时间，并且拦截限制权限发送的限制信息；

所述安全管控文件基于所述应用程序的运行障碍再次计算和判断所述应用程序运行中限制权限的启动次数和时间，从而生成所述第三策略配置文件并将再次计算和判断得到的所述限制权限的启动次数和时间以及所述限制信息推送至所述服务器进行存储。

5.如权利要求4所述对软件权限和行为进行安全管控的方法，其特征在于，所述安全管控文件通过比较所述策略配置文件中的权限策略列表所列的权限信息和应用程序申请的权限信息来确定限制权限，

所述安全管控文件的管控指令基于限制权限的启动而触发从而阻止限制权限的启动和/或拦截所述限制权限发送的限制信息。