[发明专利]更新SELinux安全策略的方法及终端

权利要求书

1.一种更新SELinux安全策略的方法，其特征在于，应用于终端，包括：

所述终端接收服务器发送的安全策略文件；

在接收到所述安全策略文件后，所述终端在保持开机的状态下执行以下各个步骤：

所述终端将所述安全策略文件存储至预设存储空间；

所述终端从所述预设存储空间中读取所述安全策略文件并写入内存；

所述终端加载所述内存中的所述安全策略文件；

所述终端加载所述内存中的所述安全策略文件，包括：

所述终端通过第二服务或进程加载所述内存中的所述安全策略文件；

所述第二服务或进程为init进程；

修改所述init进程的加载策略文件为用于存放所述安全策略文件的路径。

2.根据权利要求1所述的方法，其特征在于，在所述终端从所述预设存储空间中读取所述安全策略文件并写入内存之前，所述方法还包括：

所述终端对存储在所述预设存储空间中的所述安全策略文件进行安全性和/或完整性校验。

3.根据权利要求1所述的方法，其特征在于，所述终端将所述安全策略文件存储至预设存储空间，包括：

所述终端通过第一服务或进程将所述安全策略文件存储至预设存储空间；

所述终端从所述预设存储空间中读取所述安全策略文件并写入内存，包括：

所述终端通过所述第一服务或进程将预设属性值的取值由第一取值修改为第二取值；

当检测到所述预设属性值的取值由第一取值变化为所述第二取值时，所述终端通过第二服务或进程从所述预设存储空间中读取所述安全策略文件并写入内存。

4.根据权利要求3所述的方法，其特征在于，当所述终端下电关机时，所述预设属性值的取值由第二取值变化为第一取值，则当所述终端重启时，所述方法还包括：

在内核启动阶段，所述终端将所述预设属性值的取值由第一取值修改为第二取值以便于所述第二服务或进程检测到所述预设属性值的取值由第一取值被修改为第二取值后从所述预设存储空间中读取所述安全策略文件并写入内存。

5.根据权利要求3或4所述的方法，其特征在于，所述第一服务或进程为update_sepolicy服务，所述预设属性值为SELinux.reload_policy属性值。

6.根据权利要求1或2所述的方法，其特征在于，所述终端将所述安全策略文件存储至预设存储空间；从所述预设存储空间中读取所述安全策略文件并写入内存；以及加载所述内存中的所述安全策略文件，包括：

所述终端通过预设服务或进程将所述安全策略文件存储至预设存储空间；从所述预设存储空间中读取所述安全策略文件并写入内存以及加载所述内存中的所述安全策略文件。

7.根据权利要求6所述的方法，其特征在于，所述预设服务或进程为init进程。

8.根据权利要求1至4任一项所述的方法，其特征在于，所述预设存储空间为所述终端的预设可写分区。

9.一种终端，其特征在于，包括：

接收单元，用于接收服务器发送的安全策略文件；

处理单元，用于在保持开机的状态下将所述安全策略文件写入第一存储单元；

所述处理单元，还用于从所述第一存储单元中读取所述安全策略文件并写入第二存储单元；其中，所述第二存储单元为内存；

所述处理单元，还用于加载所述第二存储单元中的所述安全策略文件；

加载所述第二存储单元中的所述安全策略文件，包括

通过第二服务或进程加载所述第二存储单元中的所述安全策略文件；

所述第二服务或进程为init进程；

修改所述init进程的加载策略文件为用于存放所述安全策略文件的路径。

10.根据权利要求9所述的终端，其特征在于，

所述处理单元，还用于对存储在所述第一存储单元中的所述安全策略文件进行安全性和/或完整性校验。