CN109460673A - 基于强制访问控制保护移动终端敏感数据的方法及*** - Google Patents

基于强制访问控制保护移动终端敏感数据的方法及*** Download PDF

Info

Publication number
CN109460673A
CN109460673A CN201811229445.1A CN201811229445A CN109460673A CN 109460673 A CN109460673 A CN 109460673A CN 201811229445 A CN201811229445 A CN 201811229445A CN 109460673 A CN109460673 A CN 109460673A
Authority
CN
China
Prior art keywords
file
access control
module
indicates
protection level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811229445.1A
Other languages
English (en)
Inventor
宋子锋
刘苇
祁龙云
黄益彬
吕小亮
魏兴慎
韩勇
刘周斌
李沁园
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Zhejiang Electric Power Co Ltd
NARI Group Corp
Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd
Nari Information and Communication Technology Co
Original Assignee
State Grid Zhejiang Electric Power Co Ltd
NARI Group Corp
Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd
Nari Information and Communication Technology Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Zhejiang Electric Power Co Ltd, NARI Group Corp, Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd, Nari Information and Communication Technology Co filed Critical State Grid Zhejiang Electric Power Co Ltd
Priority to CN201811229445.1A priority Critical patent/CN109460673A/zh
Publication of CN109460673A publication Critical patent/CN109460673A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于强制访问控制保护移动终端敏感数据的方法,包括分析在标准Linux内核上集成安全模块框架所做的修改;对比标准Linux内核与Android Linux内核,将安全模块框架作为内核补丁移植到Android Linux内核中;在安全模块框架上构建访问控制模块和加密模块,通过访问控制模块设计文件访问控制权限,通过加密模块对敏感文件进行加密;其中敏感文件为访问控制权限超过预设等级的文件。同时也公开了相应的***。本发明将安全模块框架添加到Android Linux内核中,并设计访问控制模块,能有效限定了特权程序的访问权限,实现了强制访问控制,提升了操作***的安全性。

Description

基于强制访问控制保护移动终端敏感数据的方法及***
技术领域
本发明涉及一种基于强制访问控制保护移动终端敏感数据的方法及***,属于操作***安全技术领域。
背景技术
传统访问控制策略主要有两种:自主访问控制(Discretionary Access Control,DAC)和强制访问控制(Mandstory Access Control,MAC)。DAC把访问决定权留给了产生信息的信息主,MAC则要求所有用户遵守由安全管理员建立的规则。
自主访问控制是一种最为普遍的访问控制手段,DAC的主要特征体现在:主体可以自主的把自己所拥有的客体的访问控制权限授予其他主体;或者从其他主体回收所授予的权限;用户可以按照自己的意愿对***的参数做适当修改以决定哪些用户可以访问他们的文件,即一个用户可以有选择的与其他用户共享他的文件。用户有自主的决定权。Linux操作***的访问控制模式以自主访问控制为主。
强制访问控制是根据客体的敏感级和主体的许可级来限制主体对客体地访问,进程和文件都有一个固定的安全属性。***通过安全属性来判断进程是否可以访问某个文件。安全属性是强制性的规定,是由安全管理员或操作***根据特定的规则确定的,用户和用户的程序不能加以修改。如果***认为具有某一个安全属性的用户不适用于访问某个文件,那么包括文件拥有者在内的所有人都无法使该用户获得访问该文件的权力。
创建一套完整高效的MAC安全机制是很困难的,涉及范围广,可配置性要求高,因此并未在标准Linux中实现和在主流发行版中应用。Linux安全模块(Linux SecurityModules,LSM)框架的出现,使得实现MAC策略有了基础,在此框架下,以SELinux为代表的MAC策略的实现大大增强了内核的安全性。
但SELinux并不适用基于Linux内核的移动终端操作***如Android等直接使用。
发明内容
本发明提供了一种基于强制访问控制保护移动终端敏感数据的方法及***,解决了MAC策略不适用于基于Linux内核的移动终端操作***的问题。
为了解决上述技术问题,本发明所采用的技术方案是:
基于强制访问控制保护移动终端敏感数据的方法,包括,
分析在标准Linux内核上集成安全模块框架所做的修改;
对比标准Linux内核与Android Linux内核,将安全模块框架作为内核补丁移植到Android Linux内核中;
在安全模块框架上构建访问控制模块和加密模块,通过访问控制模块设计文件访问控制权限,通过加密模块对敏感文件进行加密;其中敏感文件为访问控制权限超过预设等级的文件。
安全模块框架移植到Android Linux内核中的过程为,
修改Android Linux内核的数据结构,以添加安全相关结构体;
在Android Linux内核源代码的关键点***对安全钩子函数的调用。
设计的文件访问控制权限等级包括RN_W1N、RN_W1W、RW_W1N、RW_W1W和RS_W1S;
其中,
R表示读文件,W1表示写文件,N表示无保护级别,W表示弱保护级别,S表示强保护级别;
无保护级别:运行任何进程操作;
弱保护级别:拒绝非授权进程操作,但对绕过***的攻击无效;
强保护级别:拒绝非授权进程操作,即使绕过***得到文件也无法有效解析文件信息;
RN_W1N表示读、写文件均为无保护级别;
RN_W1W表示读文件为无保护级别,写文件为弱保护级别;
RW_W1N表示读文件为弱保护级别,写文件为无保护级别;
RW_W1W表示读、写文件均为弱保护级别;
RS_W1S表示读、写文件均为强保护级别。
加密存储模块的实施步骤为,
通过hash函数由口令生成对称密钥;
通过AES算法,使用对称密钥进行加密后存储。
加密存储模块对访问控制权限最高的文件进行加密存储。
基于强制访问控制保护移动终端敏感数据的***,包括Android Linux内核、访问控制模块和加密模块;
所述Android Linux内核内移植有标准Linux内核中的安全模块框架,访问控制模块和加密模块均构建在安全模块框架上;
其中,
访问控制模块用以设计文件访问控制权限;
加密模块用以对敏感文件进行加密,敏感文件为访问控制权限超过预设等级的文件。
访问控制模块设计的文件访问控制权限等级包括RN_W1N、RN_W1W、RW_W1N、RW_W1W和RS_W1S;
其中,
R表示读文件,W1表示写文件,N表示无保护级别,W表示弱保护级别,S表示强保护级别;
无保护级别:运行任何进程操作;
弱保护级别:拒绝非授权进程操作,但对绕过***的攻击无效;
强保护级别:拒绝非授权进程操作,即使绕过***得到文件也无法有效解析文件信息;
RN_W1N表示读、写文件均为无保护级别;
RN_W1W表示读文件为无保护级别,写文件为弱保护级别;
RW_W1N表示读文件为弱保护级别,写文件为无保护级别;
RW_W1W表示读、写文件均为弱保护级别;
RS_W1S表示读、写文件均为强保护级别。
加密存储模块包括对称密钥生成模块和AES模块;
对称密钥生成模块:通过hash函数由口令生成对称密钥;
AES模块:通过AES算法,使用对称密钥进行加密后存储。
一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行基于强制访问控制保护移动终端敏感数据的方法。
一种计算设备,包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行基于强制访问控制保护移动终端敏感数据的方法的指令。
本发明所达到的有益效果:1、本发明将安全模块框架添加到Android Linux内核中,并设计访问控制模块,能有效限定了特权程序的访问权限,实现了强制访问控制,提升了操作***的安全性;2、本发明根据移动终端应用的特点,针对文件访问控制设计相应的权限,既满足文件保护的需求,又做到尽可能简洁高效,避免冗余,不引入过多的***开销,使性能基本不受影响;3、本发明对对安全要求高的文件进行加密。
附图说明
图1为本发明的结构图;
图2为Linux权能实现过程的判定流程图;
图3为特权程序与管理员角色关联关系示意图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
如图1所示,基于强制访问控制保护移动终端敏感数据的方法,包括以下步骤:
步骤1,分析在标准Linux内核上集成安全模块框架所做的修改,对比标准Linux内核与Android Linux内核,将安全模块框架作为内核补丁移植到Android Linux内核中。
Android Linux内核与标准Linux内核差异较大,首先要分析在标准Linux内核上集成安全模块框架所做的修改,然后对比标准Linux内核与Android Linux内核,从而因地制宜的将安全模块框架作为内核补丁移植到内核中,然后才能在其上加载安全模块。
具体实施步骤如下:
s1、修改Android Linux内核的数据结构,以添加安全相关结构体;
s2、在Android Linux内核源代码的关键点***对安全钩子函数的调用;
s3、在内核中加入一个通用的安全***调用;
s4、实现允许安全模块注册或者注销的函数,以便***加载或注销安全模块;
s5、将权能逻辑移植到一个可选的安全模块中。
步骤2,在安全模块框架上实现访问控制模块,用以设计文件访问控制权限。
访问控制模块根据移动终端应用的特点,设计文件访问控制权限。设计的文件访问控制权限有5种,包括RN_W1N、RN_W1W、RW_W1N、RW_W1W和RS_W1S;其中,
R表示读文件,W1表示写文件,N表示无保护级别(Non-protection,简称为N),W表示弱保护级别(Weak-protection,简称为W),S表示强保护级别(Strong-protection,简称为S);
无保护级别可以运行任何进程操作,适用于公开文件;
弱保护级别可以拒绝非授权进程操作,但对绕过***的攻击无效,适用于针对安全性一般、但不愿被临时使用者操作的情况;
强保护级别可以拒绝非授权进程操作,即使绕过***得到文件也无法有效解析文件信息,适用于针对安全性要求较高、任何情况都要求以密文保护的文件;
RN_W1N表示读、写文件均为无保护级别;
RN_W1W表示读文件为无保护级别,写文件为弱保护级别;
RW_W1N表示读文件为弱保护级别,写文件为无保护级别;
RW_W1W表示读、写文件均为弱保护级别;
RS_W1S表示读、写文件均为强保护级别。
如图2所示,基于这5种权限,为文件增加了动态的保护功能。因为对文件的访问都是通过进程进行的,,所以对进程的文件访问权限进行了限制。在task_struct的安全域中设置了指向文件访问控制结构体的指针,该安全结构如下:
struct mac_module{
struct mac_module* next;
int type;
}
进程的代码段即是某个可执行文件在内存中的映像,所以把进程具有的文件访问控制权限转化为可执行文件的访问控制权限。具体对每个文件的访问控制权限由mac_module表示。***初始化时,根据配置文件建立一个全局数组用来记录一个可执行文件的文件访问控制列表,由结构体中的next指针连成一个访问控制链表。链表中的每一个元素都代表由该可执行文件生成的进程可以通过由type域决定的某种权限访问某个文件。当使用exec***调用时,将根据可执行文件名查找到相应的可执行文件的文件访问控制结构体,将其拷贝到进程的mac_module结构中。
所有关键的文件操作钩子中都增加了文件的增强访问控制代码。对文件的增强访问控制主要通过一个访问控制函数mac_check()函数来实现。该函数通过遍历访问控制链表,查找进程对该文件/目录是否有相应的访问权限。如果进程不含有对该文件目录或父目录的访问控制项,则视为拒绝访问。
步骤3,在访问控制模块的基础上实现加密存储模块,用以对敏感文件进行加密。
加密存储模块的实施步骤为:
a1、通过hash函数由口令生成对称密钥。
如图3所示,通过调用openssl/md5.h中声明的MD5(const unsigned char*d,unsigned long n, unsigned char* md)函数就可以生成对称密钥。
a2、通过AES算法,使用对称密钥进行加密后存储;这里加密存储主要是针对访问控制权限最高的文件,即访问控制权限为RS_W1S的文件。
通过矩阵分组的16个字节按顺序被复制到一个4*4的矩阵中,基于状态进行变换,由轮函数通过多轮迭代实现。轮函数的构成包括非线性、扩散和密钥调度几种元素。非线性变换通过较小、较简单的非线性元素得到大的复杂化的非线性构件。在轮函数的每一轮迭代中,经过4步变换,字节代换运算、行变换、列混合以及轮密钥的添加变换,不断重复简单的非线性变换、混合函数变换,将字节代换运算产生的非线性扩散,达到充分的混合,以达到加密后的分组信息统计特性分布均匀,实现对文件加密的有效性。
在读文件时,加密存储模块也可通过对称密钥进行解密,将密文转变为明文以供应用程序使用。
上述方法将安全模块框架添加到Android Linux内核中,并设计访问控制模块,能有效限定了特权程序的访问权限,实现了强制访问控制,提升了操作***的安全性;上述方法针对文件访问控制设计相应的权限,既满足文件保护的需求,又做到尽可能简洁高效,避免冗余,不引入过多的***开销,使性能基本不受影响。
基于强制访问控制保护移动终端敏感数据的***,包括Android Linux内核、访问控制模块和加密模块;所述Android Linux内核内移植有标准Linux内核中的安全模块框架,访问控制模块和加密模块均构建在安全模块框架上;其中,访问控制模块用以设计文件访问控制权限;加密模块用以对敏感文件进行加密,敏感文件为访问控制权限超过预设等级的文件。
访问控制模块设计的文件访问控制权限等级包括RN_W1N、RN_W1W、RW_W1N、RW_W1W和RS_W1S;
其中,
R表示读文件,W1表示写文件,N表示无保护级别,W表示弱保护级别,S表示强保护级别;
无保护级别:运行任何进程操作;
弱保护级别:拒绝非授权进程操作,但对绕过***的攻击无效;
强保护级别:拒绝非授权进程操作,即使绕过***得到文件也无法有效解析文件信息;
RN_W1N表示读、写文件均为无保护级别;
RN_W1W表示读文件为无保护级别,写文件为弱保护级别;
RW_W1N表示读文件为弱保护级别,写文件为无保护级别;
RW_W1W表示读、写文件均为弱保护级别;
RS_W1S表示读、写文件均为强保护级别。
加密存储模块包括对称密钥生成模块和AES模块;对称密钥生成模块:通过hash函数由口令生成对称密钥;AES模块:通过AES算法,使用对称密钥进行加密后存储。
一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行基于强制访问控制保护移动终端敏感数据的方法。
一种计算设备,包括一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行基于强制访问控制保护移动终端敏感数据的方法的指令。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均包含在申请待批的本发明的权利要求范围之内。

Claims (10)

1.基于强制访问控制保护移动终端敏感数据的方法,其特征在于:包括,
分析在标准Linux内核上集成安全模块框架所做的修改;
对比标准Linux内核与Android Linux内核,将安全模块框架作为内核补丁移植到Android Linux内核中;
在安全模块框架上构建访问控制模块和加密模块,通过访问控制模块设计文件访问控制权限,通过加密模块对敏感文件进行加密;其中敏感文件为访问控制权限超过预设等级的文件。
2.根据权利要求1所述的基于强制访问控制保护移动终端敏感数据的方法,其特征在于:安全模块框架移植到Android Linux内核中的过程为,
修改Android Linux内核的数据结构,以添加安全相关结构体;
在Android Linux内核源代码的关键点***对安全钩子函数的调用。
3.根据权利要求1所述的基于强制访问控制保护移动终端敏感数据的方法,其特征在于:设计的文件访问控制权限等级包括RN_W1N、RN_W1W、RW_W1N、RW_W1W和RS_W1S;
其中,
R表示读文件,W1表示写文件,N表示无保护级别,W表示弱保护级别,S表示强保护级别;
无保护级别:运行任何进程操作;
弱保护级别:拒绝非授权进程操作,但对绕过***的攻击无效;
强保护级别:拒绝非授权进程操作,即使绕过***得到文件也无法有效解析文件信息;
RN_W1N表示读、写文件均为无保护级别;
RN_W1W表示读文件为无保护级别,写文件为弱保护级别;
RW_W1N表示读文件为弱保护级别,写文件为无保护级别;
RW_W1W表示读、写文件均为弱保护级别;
RS_W1S表示读、写文件均为强保护级别。
4.根据权利要求1所述的基于强制访问控制保护移动终端敏感数据的方法,其特征在于:加密存储模块的实施步骤为,
通过hash函数由口令生成对称密钥;
通过AES算法,使用对称密钥进行加密后存储。
5.根据权利要求1所述的基于强制访问控制保护移动终端敏感数据的方法,其特征在于:加密存储模块对访问控制权限最高的文件进行加密存储。
6.基于强制访问控制保护移动终端敏感数据的***,其特征在于:包括Android Linux内核、访问控制模块和加密模块;
所述Android Linux内核内移植有标准Linux内核中的安全模块框架,访问控制模块和加密模块均构建在安全模块框架上;
其中,
访问控制模块用以设计文件访问控制权限;
加密模块用以对敏感文件进行加密,敏感文件为访问控制权限超过预设等级的文件。
7.根据权利要求6所述的基于强制访问控制保护移动终端敏感数据的***,其特征在于:访问控制模块设计的文件访问控制权限等级包括RN_W1N、RN_W1W、RW_W1N、RW_W1W和RS_W1S;
其中,
R表示读文件,W1表示写文件,N表示无保护级别,W表示弱保护级别,S表示强保护级别;
无保护级别:运行任何进程操作;
弱保护级别:拒绝非授权进程操作,但对绕过***的攻击无效;
强保护级别:拒绝非授权进程操作,即使绕过***得到文件也无法有效解析文件信息;
RN_W1N表示读、写文件均为无保护级别;
RN_W1W表示读文件为无保护级别,写文件为弱保护级别;
RW_W1N表示读文件为弱保护级别,写文件为无保护级别;
RW_W1W表示读、写文件均为弱保护级别;
RS_W1S表示读、写文件均为强保护级别。
8.根据权利要求6所述的基于强制访问控制保护移动终端敏感数据的***,其特征在于:加密存储模块包括对称密钥生成模块和AES模块;
对称密钥生成模块:通过hash函数由口令生成对称密钥;
AES模块:通过AES算法,使用对称密钥进行加密后存储。
9.一种存储一个或多个程序的计算机可读存储介质,其特征在于:所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据权利要求1至6所述的方法中的任一方法。
10.一种计算设备,其特征在于:包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据权利要求1至6所述的方法中的任一方法的指令。
CN201811229445.1A 2018-10-22 2018-10-22 基于强制访问控制保护移动终端敏感数据的方法及*** Pending CN109460673A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811229445.1A CN109460673A (zh) 2018-10-22 2018-10-22 基于强制访问控制保护移动终端敏感数据的方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811229445.1A CN109460673A (zh) 2018-10-22 2018-10-22 基于强制访问控制保护移动终端敏感数据的方法及***

Publications (1)

Publication Number Publication Date
CN109460673A true CN109460673A (zh) 2019-03-12

Family

ID=65608025

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811229445.1A Pending CN109460673A (zh) 2018-10-22 2018-10-22 基于强制访问控制保护移动终端敏感数据的方法及***

Country Status (1)

Country Link
CN (1) CN109460673A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110414187A (zh) * 2019-07-03 2019-11-05 北京百度网讯科技有限公司 模型安全交付自动化的***及其方法
CN111209580A (zh) * 2020-01-03 2020-05-29 湖南麒麟信安科技有限公司 基于强制访问控制的共享用户环境隔离方法、***及介质
CN112906015A (zh) * 2021-01-26 2021-06-04 浙江大学 一种基于硬件标签的内存敏感数据加密保护***
CN114003941A (zh) * 2021-12-28 2022-02-01 麒麟软件有限公司 基于Linux操作***的软件权限控制***及方法
WO2023056727A1 (zh) * 2021-10-08 2023-04-13 苏州浪潮智能科技有限公司 一种访问控制方法、装置、设备及可读存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101727545A (zh) * 2008-10-10 2010-06-09 中国科学院研究生院 一种安全操作***强制访问控制机制的实施方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101727545A (zh) * 2008-10-10 2010-06-09 中国科学院研究生院 一种安全操作***强制访问控制机制的实施方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王大海: ""基于强制访问控制保护移动终端敏感数据的方法"", 《中国优秀硕士学位论文全文数据库_信息科技辑》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110414187A (zh) * 2019-07-03 2019-11-05 北京百度网讯科技有限公司 模型安全交付自动化的***及其方法
CN110414187B (zh) * 2019-07-03 2021-09-17 北京百度网讯科技有限公司 模型安全交付自动化的***及其方法
CN111209580A (zh) * 2020-01-03 2020-05-29 湖南麒麟信安科技有限公司 基于强制访问控制的共享用户环境隔离方法、***及介质
CN112906015A (zh) * 2021-01-26 2021-06-04 浙江大学 一种基于硬件标签的内存敏感数据加密保护***
CN112906015B (zh) * 2021-01-26 2023-11-28 浙江大学 一种基于硬件标签的内存敏感数据加密保护***
WO2023056727A1 (zh) * 2021-10-08 2023-04-13 苏州浪潮智能科技有限公司 一种访问控制方法、装置、设备及可读存储介质
CN114003941A (zh) * 2021-12-28 2022-02-01 麒麟软件有限公司 基于Linux操作***的软件权限控制***及方法

Similar Documents

Publication Publication Date Title
US11734199B2 (en) Enforcing memory operand types using protection keys
CN109460673A (zh) 基于强制访问控制保护移动终端敏感数据的方法及***
US9576147B1 (en) Security policy application through data tagging
CN105408912B (zh) 处理认证和资源许可
CN104239757B (zh) 应用程序防止逆向的方法及装置、运行方法及终端
US10192067B2 (en) Self-described security model for resource access
US20080229117A1 (en) Apparatus for preventing digital piracy
CN110383277A (zh) 虚拟机监视器测量代理
WO2012082410A2 (en) Technique for supporting multiple secure enclaves
CN107851162A (zh) 用于对安全i/o的密码引擎进行安全编程的技术
US20110302397A1 (en) Method and Apparatus for Improved Secure Computing and Communications
WO2011078855A1 (en) Method and apparatus to provide secure application execution
CN110210190A (zh) 一种基于二次汇编的代码混淆方法
WO2017129138A1 (zh) 数据仓库中的数据保护方法及装置
US20120233712A1 (en) Method and Device for Accessing Control Data According to Provided Permission Information
CN104573553A (zh) 一种面向Xen的虚拟机内存共享的安全隔离方法
Demsky Cross-application data provenance and policy enforcement
CN106326733A (zh) 管理移动终端中应用的方法和装置
US20100088770A1 (en) Device and method for disjointed computing
Guo et al. Enforcing multiple security policies for android system
Bousquet et al. Mandatory access control for the android dalvik virtual machine
Khwaja et al. A security feature framework for programming languages to minimize application layer vulnerabilities
US20230058046A1 (en) Apparatus and Method for Protecting Shared Objects
Cheng et al. An attack-immune trusted architecture for supervisory aircraft hardware
US20150113285A1 (en) Multiple application platform owner keys in a secure object computer system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20190312