[发明专利]更新SELinux安全策略的方法及终端

说明书

本申请涉及操作系统技术领域，尤其涉及一种更新SELinux安全策略的方法及终端。本申请实施例公开一种更新SELinux安全策略的方法，包括以下步骤：终端接收服务器发送的安全策略文件。在接收到所述安全策略文件后，终端在保持开机的状态下执行以下各个步骤：将所述安全策略文件存储至预设存储空间，从所述预设存储空间中读取所述安全策略文件并写入内存，所述终端加载所述内存中的所述安全策略文件。本申请应用在终端更新系统文件的过程中。

技术领域

本申请涉及操作系统技术领域，尤其涉及一种更新SELinux安全策略的方法及终端。

背景技术

随着智能手机等智能终端的普及，智能终端的安全性也越来越重要。SELinux(Security-Enhanced Linux，安全强化的Linux)技术在现有的操作系统平台的应用，使得操作系统的安全性得到很大的提升。以将SELinux技术应用在安卓系统为例，SELinux技术通过制定安全策略文件，该安全策略文件规定了不同进程在访问系统资源时的访问权限，使得不同进程具有不同的访问权限，保证进程既能顺利执行其基本功能又能防止系统资源被恶意使用。在保证每个进程功能的前提下最小化其访问权限能够保最大限度证系统安全。进程正常业务外的权限对于整个系统来说是有安全隐患的，要修改进程的访问权限，只能修改安全策略文件，并更新到终端上。现有的更新方式是：修改安全策略文件，重新编译并生成系统升级补丁包，然后通过无线软件升级(Over-the-air programming，OTA)方式向智能终端推送生成的系统升级补丁包，然后智能终端使用该系统升级补丁包升级系统以更新安全文件。这种通过升级系统的方式更新安全策略文件时，智能终端需要重启，会导致当前服务中断，且当系统升级补丁包较大时，修复时间较长。

发明内容

本申请公开一种更新SELinux安全策略的方法及终端，以解决现有技术中存在的通过系统升级的方式更新安全策略文件时终端重启，会导致当前服务中断，且当系统升级补丁包较大时，修复时间较长的问题而发明。

第一方面，提供一种更新SELinux安全策略的方法，应用于终端，包括：所述终端接收服务器发送的安全策略文件，在接收到所述安全策略文件后，终端在保持开机的状态下执行以下各个步骤：将所述安全策略文件存储至预设存储空间；从所述预设存储空间中读取所述安全策略文件并写入内存；加载所述内存中的所述安全策略文件。

本申请实施例提供的上述方法，能够实现对SELinux技术制定的安全策略文件的更新。采用本申请实施例提供的更新方式，终端无需重启，不会中断终端当前正在运行的服务。此外，终端在收到服务器发送的安全策略文件后可自动后台运行本申请实施例提供的更新方法，且由于仅更新安全策略文件，省去了刷新分区的过程，其更新速度快。因此，更新后的安全策略文件能够及时、快速生效。

在一种可能的设计中，在所述终端从所述预设存储空间中读取所述安全策略文件并写入内存之前，所述方法还包括：所述终端对存储在所述预设存储空间中的所述安全策略文件进行安全性和/或完整性校验。

在一种可能的设计中，所述终端将所述安全策略文件存储至预设存储空间，包括：所述终端通过第一服务或进程将所述安全策略文件存储至预设存储空间。所述终端从所述预设存储空间中读取所述安全策略文件并写入内存，包括：所述终端通过所述第一服务或进程将预设属性值的取值由第一取值修改为第二取值。当检测到所述预设属性值的取值由第一取值变化为所述第二取值时，所述终端通过第二服务或进程从所述预设存储空间中读取所述安全策略文件并写入内存。所述终端加载所述内存中的所述安全策略文件，包括：所述终端通过所述第二服务或进程加载所述内存中的所述安全策略文件。

在第一方面的一种可能设计中，当所述终端下电关机时，所述预设属性值的取值由第二取值变化为第一取值，则当所述终端重启时，所述方法还包括：在内核启动阶段，所述终端将所述预设属性值的取值由第一取值修改为第二取值以便于所述第二服务或进程检测到所述预设属性值的取值由第一取值被修改为第二取值后从所述预设存储空间中读取所述安全策略文件并写入内存。