本發明涉及用于來自高級別應用程序許可的細粒度訪問控制的框架。一種用于應用程序特征對移動計算裝置上的資源的訪問控制的方法。準備應用程序用于經由處理器而安裝在移動計算裝置上。識別與應用程序相關的應用程序許可。應用程序許可與對移動計算裝置的資源的訪問有關。確定與應用程序許可相關的限制。基于這些限制，定義用于應用程序許可的一組強制訪問控制規則。將這組強制訪問控制規則和應用程序許可合并入可加載強制訪問控制策略模塊中。將可加載強制訪問控制策略模塊存儲在移動計算裝置的存儲器中，可加載強制訪問控制策略模塊能夠由移動計算裝置的操作系統強制執行。

相關申請的交叉引用

本申請要求2013年11月27日提交的美國臨時專利申請序列號61/909,451的優先權，該專利申請的公開內容通過引用并入本文中。

背景技術

本發明的一個實施例總體上涉及移動計算裝置。

移動計算裝置的操作系統平臺使這種裝置的用戶能夠將應用程序下載到他們的移動計算裝置中。

操作系統平臺的中心設計要點是安全架構。默認時，沒有應用程序允許執行將會對其它應用程序或操作系統造成負面影響的任何操作。離開移動計算裝置的相同平臺而被執行的這種應用程序共享資源和數據。這是通過聲明執行應用程序所需的許可而執行的，但最初可能不被操作系統所允許。因此，當移動計算裝置的用戶正在將各自應用程序下載到他們的移動計算裝置時，操作系統提示用戶哪些許可將被允許以便執行應用程序。在安裝應用程序時，提示用戶以征求用戶的同意。這種系統不具有在執行應用程序時授予許可的機制。一旦用戶在高級別應用程序許可中接受許可，則沒有對惡意應用程序的安全檢查，該惡意應用程序一旦被安裝則在操作系統中找到路從而當被啟動時獲得對本應禁止應用程序進入的系統資源的訪問。

發明內容

本發明的一個實施例的一個優點是將高級別應用程序許可映射到低級別強制訪問控制（MAC）策略。在為應用程序包的一部分的文件中被聲明的且經常在安裝之前被呈現給用戶以征求隨后同意的高級別應用程序許可，近來已在使用操作系統平臺的一大類移動裝置上被采用。本文中描述的實施例適用于種類廣泛的平臺，用于基于在許可文件中被請求的許可而生成較細粒度的策略，從而限制各應用程序對資源的訪問，強化整個系統，并且提高安全性。

在本發明的一個實施例中構想一種用于應用程序特征對移動計算裝置上的資源的訪問控制的方法。應用程序準備經由處理器而安裝在移動計算裝置上。識別與應用程序相關的應用程序許可。應用程序許可與對移動計算裝置的資源的訪問有關。確定與應用程序許可相關的限制。基于這些限制，定義用于應用程序許可的一組強制訪問控制規則。將這組強制訪問控制規則與應用程序許可合并在可加載的強制訪問控制策略模塊中。將可加載強制訪問控制策略存儲在移動計算裝置的存儲器中。可加載強制訪問控制策略模塊能夠由移動計算裝置的操作系統強制執行。

一種用于將訪問控制安裝在移動計算裝置上的方法。在移動計算裝置與應用程序分配實體之間建立通信聯系。應用程序分配實體配置成當接收到移動計算裝置的請求時將應用程序傳輸至移動計算裝置。由移動計算裝置向應用程序實體發送請求，以便下載應用程序。識別與應用程序相關的應用程序許可，應用程序許可與移動計算裝置的資源訪問有關。確定與應用程序許可相關的限制。定義用于應用程序許可的一組強制訪問控制規則。將這組強制訪問控制規則與應用程序許可合并在可加載強制訪問控制策略模塊中。

本發明提供以下技術方案：

1. 一種用于應用程序特征對移動計算裝置上的資源的訪問控制的方法，包括以下步驟：

準備應用程序用于經由處理器而安裝在所述移動計算裝置上；

識別與所述應用程序相關的應用程序許可，所述應用程序許可與所述移動計算裝置的資源訪問有關；

確定與所述應用程序許可相關的限制；

基于所述限制，定義用于所述應用程序許可的一組強制訪問控制規則；