国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      控制應(yīng)用訪問(wèn)的方法和裝置的制造方法

      文檔序號(hào):10624985閱讀:606來(lái)源:國(guó)知局
      控制應(yīng)用訪問(wèn)的方法和裝置的制造方法
      【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種控制應(yīng)用訪問(wèn)的方法和裝置。該方法包括:獲取用戶輸入的圖形;根據(jù)該圖形生成訪問(wèn)策略圖,該訪問(wèn)策略圖表示至少兩個(gè)應(yīng)用之間是否允許訪問(wèn)的訪問(wèn)規(guī)則;將該訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,該訪問(wèn)控制策略用于表示是否允許應(yīng)用之間進(jìn)行訪問(wèn);根據(jù)該訪問(wèn)控制策略,對(duì)該至少兩個(gè)應(yīng)用之間的訪問(wèn)進(jìn)行控制。本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的方法和裝置,通過(guò)獲取用戶輸入的圖形,并將由圖形形成的訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,以根據(jù)該訪問(wèn)控制策略控制應(yīng)用訪問(wèn),使得用戶能夠以簡(jiǎn)單、直觀且靈活的圖形方式編寫(xiě)系統(tǒng)中各應(yīng)用的訪問(wèn)控制策略,從而能夠提升系統(tǒng)的安全性能,并且還能夠提高用戶體驗(yàn)。
      【專(zhuān)利說(shuō)明】
      控制應(yīng)用訪問(wèn)的方法和裝置
      技術(shù)領(lǐng)域
      [0001] 本發(fā)明設(shè)及終端領(lǐng)域,尤其設(shè)及終端領(lǐng)域中控制應(yīng)用訪問(wèn)的方法和裝置。
      【背景技術(shù)】
      [0002] 近年來(lái),基于安卓(Amlroid)操作系統(tǒng)的手機(jī)在智能終端市場(chǎng)上占據(jù)著越來(lái)越大 的市場(chǎng)份額,然而針對(duì)安卓操作系統(tǒng)的惡意軟件卻層出不窮。在安卓操作系統(tǒng)中,不同應(yīng)用 數(shù)據(jù)的敏感級(jí)別通常是不一樣的,例如,由于短信、聯(lián)系人等應(yīng)用數(shù)據(jù)設(shè)及用戶隱私,敏感 級(jí)別較高,而一般的應(yīng)用數(shù)據(jù)敏感級(jí)別則較低。因而,在目前的安卓操作系統(tǒng)中,需要一種 有效的應(yīng)用訪問(wèn)控制方案。
      [0003] 目前,一種應(yīng)用比較廣泛且較為成熟的訪問(wèn)控制方案是安全增強(qiáng)安卓(Security Enhanced An化oid,簡(jiǎn)稱(chēng)為"SEAn化oid")系統(tǒng)提供的控制方案。其中,SEAn化oid是基于 安全增強(qiáng)Linux (Security Enhanced Linux,簡(jiǎn)稱(chēng)為"沈Linux")系統(tǒng)開(kāi)發(fā)的,并為了適應(yīng) An化oid操作系統(tǒng)的安全需要,對(duì)SELinux進(jìn)行了相應(yīng)的擴(kuò)展和裁剪。對(duì)于沈An化oid而言, 編寫(xiě)應(yīng)用之間的訪問(wèn)控制策略需要設(shè)及整個(gè)系統(tǒng)的諸多運(yùn)行細(xì)節(jié),并且該策略的語(yǔ)言極其 復(fù)雜,專(zhuān)業(yè)技術(shù)性很強(qiáng)。因而,對(duì)于普通用戶而言,難W編寫(xiě)出應(yīng)用之間的訪問(wèn)控制策略,由 此使得終端的安全性受到極大的威脅。

      【發(fā)明內(nèi)容】

      [0004] 有鑒于此,本發(fā)明實(shí)施例提供了一種控制應(yīng)用訪問(wèn)的方法和裝置,W解決如何簡(jiǎn) 單便捷地制定訪問(wèn)控制策略,從而提升終端的安全性的問(wèn)題。 陽(yáng)〇化]第一方面,提供了一種控制應(yīng)用訪問(wèn)的方法,該方法包括:獲取用戶輸入的圖形; 根據(jù)該圖形生成訪問(wèn)策略圖,該訪問(wèn)策略圖表示至少兩個(gè)應(yīng)用之間是否允許訪問(wèn)的訪問(wèn)規(guī) 貝1J;將該訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,該訪問(wèn)控制策略用于表示是否 允許應(yīng)用之間進(jìn)行訪問(wèn);根據(jù)該訪問(wèn)控制策略,對(duì)該至少兩個(gè)應(yīng)用之間的訪問(wèn)進(jìn)行控制。
      [0006] 結(jié)合第一方面,在第一方面的第一種可能的實(shí)現(xiàn)方式中,該獲取用戶輸入的圖形, 包括:向該用戶呈現(xiàn)第一界面,該第一界面包括策略編輯區(qū)域W及第一圖形區(qū)域,該策略編 輯區(qū)域用于該用戶編輯該訪問(wèn)策略圖,該第一圖形區(qū)域用于向該用戶呈現(xiàn)用于表示該訪問(wèn) 策略圖的多種圖形;通過(guò)檢測(cè)該用戶從該第一圖形區(qū)域拖動(dòng)至該策略編輯區(qū)域的第一圖 形,獲取該用戶輸入的該第一圖形。
      [0007] 結(jié)合第一方面的第一種可能的實(shí)現(xiàn)方式,在第一方面的第二種可能的實(shí)現(xiàn)方式 中,該第一圖形包括應(yīng)用圖形、應(yīng)用間通信連接圖形和應(yīng)用間訪問(wèn)規(guī)則圖形,其中,該應(yīng)用 圖形用于表示應(yīng)用,該應(yīng)用間通信連接圖形用于表示應(yīng)用之間存在通信連接,該應(yīng)用間訪 問(wèn)規(guī)則圖形用于表示應(yīng)用之間是否允許訪問(wèn)。
      [0008] 結(jié)合第一方面的第一種或第二種可能的實(shí)現(xiàn)方式,在第一方面的第Ξ種可能的實(shí) 現(xiàn)方式中,該第一圖形包括域圖形、域間通信連接圖形和域間訪問(wèn)規(guī)則圖形;或該第一圖形 包括應(yīng)用圖形、域圖形、域間通信連接圖形和域間訪問(wèn)規(guī)則圖形,其中,該應(yīng)用圖形用于表 示應(yīng)用,該域圖形用于表示由相同屬性的一個(gè)或多個(gè)應(yīng)用所形成的應(yīng)用域,該域間通信連 接圖形用于表示應(yīng)用域之間存在通信連接,該域間訪問(wèn)規(guī)則圖形表示應(yīng)用域之間是否允許 訪問(wèn)。
      [0009] 結(jié)合第一方面的第Ξ種可能的實(shí)現(xiàn)方式,在第一方面的第四種可能的實(shí)現(xiàn)方式 中,該獲取用戶輸入的圖形,還包括:向該用戶呈現(xiàn)第二界面,該第二界面包括隸屬關(guān)系編 輯區(qū)域和第二圖形區(qū)域,該隸屬關(guān)系編輯區(qū)域用于該用戶編輯應(yīng)用與域之間的隸屬關(guān)系, 該第二圖像區(qū)域用于向該用戶呈現(xiàn)用于表示隸屬關(guān)系的多種圖形;通過(guò)檢測(cè)該用戶從該第 二圖形區(qū)域拖動(dòng)至該隸屬關(guān)系編輯區(qū)域的第二圖形,獲取該用戶輸入的該第二圖形。
      [0010] 結(jié)合第一方面的第四種可能的實(shí)現(xiàn)方式,在第一方面的第五種可能的實(shí)現(xiàn)方式 中,該第二圖形包括應(yīng)用圖形、該域圖形和隸屬連接圖形,其中,該應(yīng)用圖形用于表示應(yīng)用, 該歸屬連接圖形用于表示應(yīng)用與應(yīng)用域之間存在隸屬關(guān)系。
      [0011] 結(jié)合第一方面的第一種至第五種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式,在 第一方面的第六種可能的實(shí)現(xiàn)方式中,該方法還包括:在該用戶輸入的該圖形不符合訪問(wèn) 策略圖的生成規(guī)則時(shí),向該用戶提示輸入錯(cuò)誤。
      [0012] 結(jié)合第一方面或第一方面的第一種至第六種可能的實(shí)現(xiàn)方式中的任一種可能的 實(shí)現(xiàn)方式,在第一方面的第屯種可能的實(shí)現(xiàn)方式中,該將該訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí) 別的訪問(wèn)控制策略,包括:通過(guò)對(duì)該訪問(wèn)策略圖進(jìn)行解析,獲取該訪問(wèn)規(guī)則;根據(jù)該訪問(wèn)規(guī) 貝1J,確定安全增強(qiáng)安卓系統(tǒng)策略和/或意圖隔離策略;將該安全增強(qiáng)安卓系統(tǒng)策略和/或該 意圖隔離策略編譯為系統(tǒng)能夠識(shí)別的該訪問(wèn)控制策略,該訪問(wèn)控制策略包括該安全增強(qiáng)安 卓系統(tǒng)策略和/或該意圖隔離策略。
      [0013] 結(jié)合第一方面或第一方面的第一種至第屯種可能的實(shí)現(xiàn)方式中的任一種可能的 實(shí)現(xiàn)方式,在第一方面的第八種可能的實(shí)現(xiàn)方式中,該訪問(wèn)規(guī)則表示是否允許該至少兩個(gè) 應(yīng)用之間采用進(jìn)程間通信IPC、網(wǎng)絡(luò)通信、文件系統(tǒng)通信和意圖通信中的至少一種通信方式 進(jìn)行訪問(wèn)。
      [0014] 第二方面,提供了一種控制應(yīng)用訪問(wèn)的裝置,該裝置包括:獲取模塊,用于獲取用 戶輸入的圖形;生成模塊,用于根據(jù)該獲取模塊獲取的該圖形,生成訪問(wèn)策略圖,該訪問(wèn)策 略圖表示至少兩個(gè)應(yīng)用之間是否允許訪問(wèn)的訪問(wèn)規(guī)則;轉(zhuǎn)換模塊,用于將該生成模塊生成 的該訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,該訪問(wèn)控制策略用于表示是否允許 應(yīng)用之間進(jìn)行訪問(wèn);控制模塊,用于根據(jù)該轉(zhuǎn)換模塊轉(zhuǎn)換的該訪問(wèn)控制策略,對(duì)該至少兩個(gè) 應(yīng)用之間的訪問(wèn)進(jìn)行控制。
      [0015] 結(jié)合第二方面,在第二方面的第一種可能的實(shí)現(xiàn)方式中,該裝置還包括:顯示屏, 用于向該用戶呈現(xiàn)第一界面,該第一界面包括策略編輯區(qū)域W及第一圖形區(qū)域,該策略編 輯區(qū)域用于該用戶編輯該訪問(wèn)策略圖,該第一圖形區(qū)域用于向該用戶呈現(xiàn)用于表示該訪問(wèn) 策略圖的多種圖形;其中,該獲取模塊包括第一獲取單元,用于通過(guò)檢測(cè)該用戶從該第一圖 形區(qū)域拖動(dòng)至該策略編輯區(qū)域的第一圖形,獲取該用戶輸入的該第一圖形。
      [0016] 結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式,在第二方面的第二種可能的實(shí)現(xiàn)方式 中,該第一獲取單元獲取的該第一圖形包括應(yīng)用圖形、應(yīng)用間通信連接圖形和應(yīng)用間訪問(wèn) 規(guī)則圖形,其中,該應(yīng)用圖形用于表示應(yīng)用,該應(yīng)用間通信連接圖形用于表示應(yīng)用之間存在 通信連接,該應(yīng)用間訪問(wèn)規(guī)則圖形用于表示應(yīng)用之間是否允許訪問(wèn)。
      [0017] 結(jié)合第二方面的第一種或第二種可能的實(shí)現(xiàn)方式,在第二方面的第Ξ種可能的實(shí) 現(xiàn)方式中,該第一獲取單元獲取的該第一圖形包括域圖形、域間通信連接圖形和域間訪問(wèn) 規(guī)則圖形;或該第一獲取單元獲取的該第一圖形包括應(yīng)用圖形、域圖形、域間通信連接圖形 和域間訪問(wèn)規(guī)則圖形,其中,該應(yīng)用圖形用于表示應(yīng)用,該域圖形用于表示由相同屬性的一 個(gè)或多個(gè)應(yīng)用所形成的應(yīng)用域,該域間通信連接圖形用于表示應(yīng)用域之間存在通信連接, 該域間訪問(wèn)規(guī)則圖形表示應(yīng)用域之間的訪問(wèn)規(guī)則。
      [0018] 結(jié)合第二方面的第Ξ種可能的實(shí)現(xiàn)方式,在第二方面的第四種可能的實(shí)現(xiàn)方式 中,該顯示屏還用于:向該用戶呈現(xiàn)第二界面,該第二界面包括隸屬關(guān)系編輯區(qū)域和第二圖 形區(qū)域,該隸屬關(guān)系編輯區(qū)域用于該用戶編輯應(yīng)用與域之間的隸屬關(guān)系,該第二圖像區(qū)域 用于向該用戶呈現(xiàn)用于表示隸屬關(guān)系的多種圖形;其中,該獲取模塊還包括第二獲取單元, 用于通過(guò)檢測(cè)該用戶從該第二圖形區(qū)域拖動(dòng)至該隸屬關(guān)系編輯區(qū)域的第二圖形,獲取該用 戶輸入的該第二圖形。
      [0019] 結(jié)合第二方面的第四種可能的實(shí)現(xiàn)方式,在第二方面的第五種可能的實(shí)現(xiàn)方式 中,該第二獲取單元獲取的該第二圖形包括應(yīng)用圖形、該域圖形和隸屬連接圖形,其中,該 應(yīng)用圖形用于表示應(yīng)用,該歸屬連接圖形用于表示應(yīng)用與應(yīng)用域之間存在隸屬關(guān)系。
      [0020] 結(jié)合第二方面的第一種至第五種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式,在 第二方面的第六種可能的實(shí)現(xiàn)方式中,該顯示屏還用于:在該用戶輸入的該圖形不符合訪 問(wèn)策略圖的生成規(guī)則時(shí),向該用戶提示輸入錯(cuò)誤。
      [0021] 結(jié)合第二方面或第二方面的第一種至第六種可能的實(shí)現(xiàn)方式中的任一種可能的 實(shí)現(xiàn)方式,在第二方面的第屯種可能的實(shí)現(xiàn)方式中,該轉(zhuǎn)換模塊包括:解析單元,用于通過(guò) 對(duì)該圖形化策略進(jìn)行解析,獲取該訪問(wèn)規(guī)則;確定單元,用于根據(jù)該訪問(wèn)規(guī)則,確定安全增 強(qiáng)安卓系統(tǒng)策略和/或意圖隔離策略;編譯單元,用于將該安全增強(qiáng)安卓系統(tǒng)策略和/或該 意圖隔離策略編譯為系統(tǒng)能夠識(shí)別的該訪問(wèn)控制策略,該訪問(wèn)控制策略包括該安全增強(qiáng)安 卓系統(tǒng)策略和/或該意圖隔離策略。
      [0022] 結(jié)合第二方面或第二方面的第一種至第屯種可能的實(shí)現(xiàn)方式中的任一種可能的 實(shí)現(xiàn)方式,在第二方面的第八種可能的實(shí)現(xiàn)方式中,該訪問(wèn)規(guī)則表示是否允許該至少兩個(gè) 應(yīng)用之間采用進(jìn)程間通信IPC、網(wǎng)絡(luò)通信、文件系統(tǒng)通信和意圖通信中的至少一種通信方式 進(jìn)行訪問(wèn)。
      [0023] 結(jié)合第二方面或第二方面的第一種至第八種可能的實(shí)現(xiàn)方式中的任一種可能的 實(shí)現(xiàn)方式,在第二方面的第九種可能的實(shí)現(xiàn)方式中,該裝置為移動(dòng)終端。
      [0024] 第Ξ方面,提供了一種控制應(yīng)用訪問(wèn)的裝置,該裝置包括處理器、存儲(chǔ)器和總線系 統(tǒng),其中,該處理器和該存儲(chǔ)器通過(guò)該總線系統(tǒng)相連,該存儲(chǔ)器用于存儲(chǔ)指令,該處理器用 于執(zhí)行該存儲(chǔ)器存儲(chǔ)的指令;其中,該處理器用于:獲取用戶輸入的圖形;根據(jù)該圖形生成 訪問(wèn)策略圖,該訪問(wèn)策略圖表示至少兩個(gè)應(yīng)用之間是否允許訪問(wèn)的訪問(wèn)規(guī)則;將該訪問(wèn)策 略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,該訪問(wèn)控制策略用于表示是否允許應(yīng)用之間進(jìn) 行訪問(wèn);根據(jù)該訪問(wèn)控制策略,對(duì)該至少兩個(gè)應(yīng)用之間的訪問(wèn)進(jìn)行控制。
      [00巧]結(jié)合第Ξ方面,在第Ξ方面的第一種可能的實(shí)現(xiàn)方式中,該裝置還包括:顯示屏, 用于向該用戶呈現(xiàn)第一界面,該第一界面包括策略編輯區(qū)域W及第一圖形區(qū)域,該策略編 輯區(qū)域用于該用戶編輯該訪問(wèn)策略圖,該第一圖形區(qū)域用于向該用戶呈現(xiàn)用于表示該訪問(wèn) 策略圖的多種圖形;其中,該處理器獲取用戶輸入的圖形,具體包括:通過(guò)檢測(cè)該用戶從該 第一圖形區(qū)域拖動(dòng)至該策略編輯區(qū)域的第一圖形,獲取該用戶輸入的該第一圖形。
      [00%] 結(jié)合第Ξ方面的第一種可能的實(shí)現(xiàn)方式,在第Ξ方面的第二種可能的實(shí)現(xiàn)方式 中,該處理器獲取的該第一圖形包括應(yīng)用圖形、應(yīng)用間通信連接圖形和應(yīng)用間訪問(wèn)規(guī)則圖 形,其中,該應(yīng)用圖形用于表示應(yīng)用,該應(yīng)用間通信連接圖形用于表示應(yīng)用之間存在通信連 接,該應(yīng)用間訪問(wèn)規(guī)則圖形用于表示應(yīng)用之間是否允許訪問(wèn)。
      [0027] 結(jié)合第=方面的第一種或第二種可能的實(shí)現(xiàn)方式,在第=方面的第=種可能的實(shí) 現(xiàn)方式中,該處理器獲取的該第一圖形包括域圖形、域間通信連接圖形和域間訪問(wèn)規(guī)則圖 形;或該處理器獲取的該第一圖形包括應(yīng)用圖形、域圖形、域間通信連接圖形和域間訪問(wèn)規(guī) 則圖形,其中,該應(yīng)用圖形用于表示應(yīng)用,該域圖形用于表示由相同屬性的一個(gè)或多個(gè)應(yīng)用 所形成的應(yīng)用域,該域間通信連接圖形用于表示應(yīng)用域之間存在通信連接,該域間訪問(wèn)規(guī) 則圖形表示應(yīng)用域之間是否允許訪問(wèn)。
      [0028] 結(jié)合第Ξ方面的第Ξ種可能的實(shí)現(xiàn)方式,在第Ξ方面的第四種可能的實(shí)現(xiàn)方式 中,該顯示屏還用于:向該用戶呈現(xiàn)第二界面,該第二界面包括隸屬關(guān)系編輯區(qū)域和第二圖 形區(qū)域,該隸屬關(guān)系編輯區(qū)域用于該用戶編輯應(yīng)用與域之間的隸屬關(guān)系,該第二圖像區(qū)域 用于向該用戶呈現(xiàn)用于表示隸屬關(guān)系的多種圖形;其中,該處理器獲取用戶輸入的圖形,具 體還包括:通過(guò)檢測(cè)該用戶從該第二圖形區(qū)域拖動(dòng)至該隸屬關(guān)系編輯區(qū)域的第二圖形,獲 取該用戶輸入的該第二圖形。
      [0029] 結(jié)合第Ξ方面的第四種可能的實(shí)現(xiàn)方式,在第Ξ方面的第五種可能的實(shí)現(xiàn)方式 中,該處理器獲取的該第二圖形包括應(yīng)用圖形、該域圖形和隸屬連接圖形,其中,該應(yīng)用圖 形用于表示應(yīng)用,該歸屬連接圖形用于表示應(yīng)用與應(yīng)用域之間存在隸屬關(guān)系。
      [0030] 結(jié)合第Ξ方面的第一種至第五種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式,在 第Ξ方面的第六種可能的實(shí)現(xiàn)方式中,該顯示屏還用于:在該處理器確定該用戶輸入的該 圖形不符合訪問(wèn)策略圖的生成規(guī)則時(shí),向該用戶提示輸入錯(cuò)誤。
      [0031] 結(jié)合第Ξ方面或第Ξ方面的第一種至第六種可能的實(shí)現(xiàn)方式中的任一種可能的 實(shí)現(xiàn)方式,在第Ξ方面的第屯種可能的實(shí)現(xiàn)方式中,該處理器將該訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng) 能夠識(shí)別的訪問(wèn)控制策略,具體包括:通過(guò)對(duì)該訪問(wèn)策略圖進(jìn)行解析,獲取該訪問(wèn)規(guī)則;根 據(jù)該訪問(wèn)規(guī)則,確定安全增強(qiáng)安卓系統(tǒng)策略和/或意圖隔離策略;將該安全增強(qiáng)安卓系統(tǒng) 策略和/或該意圖隔離策略編譯為系統(tǒng)能夠識(shí)別的該訪問(wèn)控制策略,該訪問(wèn)控制策略包括 該安全增強(qiáng)安卓系統(tǒng)策略和/或該意圖隔離策略。
      [0032] 結(jié)合第Ξ方面或第Ξ方面的第一種至第屯種可能的實(shí)現(xiàn)方式中的任一種可能的 實(shí)現(xiàn)方式,在第Ξ方面的第八種可能的實(shí)現(xiàn)方式中,該訪問(wèn)規(guī)則表示是否允許該至少兩個(gè) 應(yīng)用之間采用進(jìn)程間通信IPC、網(wǎng)絡(luò)通信、文件系統(tǒng)通信和意圖通信中的至少一種通信方式 進(jìn)行訪問(wèn)。
      [0033] 結(jié)合第二方面或第二方面的第一種至第八種可能的實(shí)現(xiàn)方式中的任一種可能的 實(shí)現(xiàn)方式,在第二方面的第九種可能的實(shí)現(xiàn)方式中,該裝置為移動(dòng)終端。
      [0034] 基于上述技術(shù)方案,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的方法和裝置,通過(guò)獲取用戶 輸入的圖形,并將由圖形形成的訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,W根據(jù) 該訪問(wèn)控制策略控制應(yīng)用訪問(wèn),使得用戶能夠W簡(jiǎn)單、直觀且靈活的圖形方式編寫(xiě)系統(tǒng)中 各應(yīng)用的訪問(wèn)控制策略,從而能夠提升系統(tǒng)的安全性能,并且還能夠提高用戶體驗(yàn)。
      【附圖說(shuō)明】
      [0035] 為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)本發(fā)明實(shí)施例中所需要使 用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面所描述的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于 本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可W根據(jù)運(yùn)些附圖獲得其他 的附圖。
      [0036] 圖1是根據(jù)本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的方法的示意性流程圖。
      [0037] 圖2是根據(jù)本發(fā)明實(shí)施例的獲取用戶輸入的圖形的方法的示意性流程圖。
      [003引圖3是根據(jù)本發(fā)明實(shí)施例的第一界面的示意性框圖。
      [0039] 圖4A和4B分別是根據(jù)本發(fā)明實(shí)施例的訪問(wèn)策略圖的示意性框圖。
      [0040] 圖5是根據(jù)本發(fā)明實(shí)施例的第一界面的另一示意性框圖。
      [0041] 圖6是根據(jù)本發(fā)明實(shí)施例的訪問(wèn)策略圖的另一示意性框圖。
      [0042] 圖7是根據(jù)本發(fā)明實(shí)施例的獲取用戶輸入的圖形的方法的另一示意性流程圖。
      [0043] 圖8是根據(jù)本發(fā)明實(shí)施例的第二界面的示意性框圖。 W44] 圖9是根據(jù)本發(fā)明實(shí)施例的訪問(wèn)策略圖的再一示意性框圖。 W45] 圖10是根據(jù)本發(fā)明實(shí)施例的轉(zhuǎn)換訪問(wèn)策略圖的方法的示意性流程圖。
      [0046] 圖11是根據(jù)本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置的示意性框圖。
      [0047] 圖12是根據(jù)本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置的另一示意性框圖。 W48] 圖13是根據(jù)本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置的再一示意性框圖。
      [0049] 圖14是根據(jù)本發(fā)明實(shí)施例的轉(zhuǎn)換模塊的示意性框圖。
      [0050] 圖15是根據(jù)本發(fā)明另一實(shí)施例的控制應(yīng)用訪問(wèn)的裝置的示意性框圖。
      [0051] 圖16是根據(jù)本發(fā)明另一實(shí)施例的控制應(yīng)用訪問(wèn)的裝置的另一示意性框圖。
      【具體實(shí)施方式】
      [0052] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完 整地描述,顯然,所描述的實(shí)施例是本發(fā)明的一部分實(shí)施例,而不是全部實(shí)施例。基于本發(fā) 明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí) 施例,都應(yīng)屬于本發(fā)明保護(hù)的范圍。
      [0053] 應(yīng)理解,本發(fā)明實(shí)施例的技術(shù)方案可W應(yīng)用于基于各種操作系統(tǒng)的移動(dòng)終端,該 操作系統(tǒng)例如包括:安卓(An化oid)操作系統(tǒng)、蘋(píng)果(iOS)操作系統(tǒng)、微軟(Windows Phone) 操作系統(tǒng)、塞班(Symbian)操作系統(tǒng)、黑替度lackBerry 0巧操作系統(tǒng)、微軟(Windows Mobile)操作系統(tǒng)等。為了描述方便,本發(fā)明實(shí)施例僅W安卓操作系統(tǒng)為例進(jìn)行說(shuō)明,但本 發(fā)明并不限于此。
      [0054] 還應(yīng)理解,在本發(fā)明實(shí)施例中,移動(dòng)終端可W經(jīng)無(wú)線接入網(wǎng)(Radio Access 化twork,簡(jiǎn)稱(chēng)為"RAN")與一個(gè)或多個(gè)核屯、網(wǎng)進(jìn)行通信,該移動(dòng)終端可稱(chēng)為接入終端、用戶 設(shè)備扣ser Equipment,簡(jiǎn)稱(chēng)為"肥")、用戶單元、用戶站、移動(dòng)站、移動(dòng)臺(tái)、遠(yuǎn)方站、遠(yuǎn)程終 端、移動(dòng)設(shè)備、用戶終端、終端、無(wú)線通信設(shè)備、用戶代理或用戶裝置。接入終端可W是蜂窩 電話、無(wú)繩電話、會(huì)話啟動(dòng)協(xié)議(Session Initiation Protocol,簡(jiǎn)稱(chēng)為"SIP")電話、無(wú) 線本地環(huán)路(Wireless Local Loop,簡(jiǎn)稱(chēng)為"WLL")站、個(gè)人數(shù)字處理(Personal Digital Assistant,簡(jiǎn)稱(chēng)為"PDA")、具有無(wú)線通信功能的手持設(shè)備、計(jì)算設(shè)備或連接到無(wú)線調(diào)制解 調(diào)器的其它處理設(shè)備、車(chē)載設(shè)備、可穿戴設(shè)備W及未來(lái)5G網(wǎng)絡(luò)中的終端設(shè)備。
      [0055] 圖1示出了根據(jù)本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的方法100的示意性流程圖,該方 法100例如可W由移動(dòng)終端執(zhí)行,該移動(dòng)終端例如為手機(jī)。如圖1所示,該方法100包括:
      [0056] S110,獲取用戶輸入的圖形;
      [0057] S120,根據(jù)該圖形生成訪問(wèn)策略圖,該訪問(wèn)策略圖表示至少兩個(gè)應(yīng)用之間是否允 許訪問(wèn)的訪問(wèn)規(guī)則;
      [005引 S130,將該訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,該訪問(wèn)控制策略用 于表示是否允許應(yīng)用之間進(jìn)行訪問(wèn);
      [0059] S140,根據(jù)該訪問(wèn)控制策略,對(duì)該至少兩個(gè)應(yīng)用之間的訪問(wèn)進(jìn)行控制。
      [0060] 具體而言,移動(dòng)終端例如通過(guò)獲取用戶通過(guò)選擇、拖動(dòng)或繪制等方式輸入的圖形, 生成由各圖形形成的W簡(jiǎn)單、直觀且靈活的方式體現(xiàn)的訪問(wèn)策略圖,該訪問(wèn)策略圖可W表 示應(yīng)用之間是否允許訪問(wèn)的訪問(wèn)規(guī)則,由此,移動(dòng)終端可W將該訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能 夠識(shí)別的訪問(wèn)控制策略,從而該移動(dòng)終端能夠根據(jù)該訪問(wèn)控制策略,對(duì)應(yīng)用之間的訪問(wèn)進(jìn) 行控制,W提升系統(tǒng)的安全性能。
      [0061] 因此,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的方法,通過(guò)獲取用戶輸入的圖形,并將由圖 形形成的訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,W根據(jù)該訪問(wèn)控制策略控制應(yīng) 用訪問(wèn),使得用戶能夠W簡(jiǎn)單、直觀且靈活的圖形方式編寫(xiě)系統(tǒng)中各應(yīng)用的訪問(wèn)控制策略, 從而能夠提升系統(tǒng)的安全性能,并且還能夠提高用戶體驗(yàn)。
      [0062] 另一方面,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的方法,能夠?qū)崟r(shí)根據(jù)獲取到的圖形生 成訪問(wèn)策略圖,并將該訪問(wèn)策略圖轉(zhuǎn)換為訪問(wèn)控制策略,從而能夠動(dòng)態(tài)地更新訪問(wèn)控制策 略,并根據(jù)該訪問(wèn)控制策略動(dòng)態(tài)地對(duì)應(yīng)用的訪問(wèn)進(jìn)行控制,克服了現(xiàn)有技術(shù)中只能在應(yīng)用 安裝時(shí)分配訪問(wèn)控制策略,不能根據(jù)實(shí)際需要?jiǎng)討B(tài)調(diào)整的缺陷,由此能夠增強(qiáng)系統(tǒng)安全管 理的靈活性與實(shí)用性。
      [0063] 再一方面,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的方法,能夠?qū)⒂蓤D形形成的訪問(wèn)策略 圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,避免通過(guò)人工輸入大量的字符來(lái)編寫(xiě)訪問(wèn)控制策 略,由此能夠簡(jiǎn)化訪問(wèn)控制策略的編寫(xiě),從而能夠進(jìn)一步提高用戶體驗(yàn)。
      [0064] 在S110中,終端設(shè)備可W獲取用戶通過(guò)多種方式輸入的圖形。 W65] 具體而言,本發(fā)明實(shí)施例中,用戶能夠W圖形方式編寫(xiě)或制定訪問(wèn)控制策略,特別 地,用戶可W通過(guò)多種方式輸入圖形,W體現(xiàn)用戶期望編寫(xiě)的訪問(wèn)控制策略或制定訪問(wèn)規(guī) 貝1J。例如,用戶可W通過(guò)選擇圖形、指定圖形、拖動(dòng)圖形或繪制圖形等方式輸入圖形。相應(yīng) 地,移動(dòng)終端可W獲取用戶通過(guò)選擇圖形、指定圖形、拖動(dòng)圖形或繪制圖形等多種方式輸入 的圖形,并可W根據(jù)該圖形生成訪問(wèn)策略圖,W表示至少兩個(gè)應(yīng)用之間是否允許訪問(wèn)的訪 問(wèn)規(guī)則。
      [0066] 例如,用戶可W在移動(dòng)終端的顯示屏上繪制滿足預(yù)定規(guī)則或符合預(yù)定語(yǔ)義的圖 形,移動(dòng)終端通過(guò)識(shí)別用戶繪制的圖形,獲取用戶輸入的圖形,并生成由用戶輸入的圖形形 成的訪問(wèn)策略圖;又例如,移動(dòng)終端可圖形方式展現(xiàn)訪問(wèn)策略圖的各個(gè)要素,用戶僅需 要選擇相應(yīng)的圖形即可,W體現(xiàn)用戶期望確定的應(yīng)用之間的訪問(wèn)規(guī)則,從而移動(dòng)終端可W 獲取用戶選擇或指定的圖形,并生成相應(yīng)的訪問(wèn)策略圖。優(yōu)選地,為了進(jìn)一步提高用戶體 驗(yàn),簡(jiǎn)化訪問(wèn)控制策略的制定,終端設(shè)備還可W獲取用戶通過(guò)其它方式輸入的圖形,并生成 相應(yīng)的訪問(wèn)策略圖,下面將結(jié)合圖2至圖9分別進(jìn)行描述。
      [0067] 如圖2所示,可選地,該獲取用戶輸入的圖形,包括:
      [0068] S111,向該用戶呈現(xiàn)第一界面,該第一界面包括策略編輯區(qū)域W及第一圖形區(qū)域, 該策略編輯區(qū)域用于該用戶編輯該訪問(wèn)策略圖,該第一圖形區(qū)域用于向該用戶呈現(xiàn)用于表 示該訪問(wèn)策略圖的多種圖形;
      [0069] S112,通過(guò)檢測(cè)該用戶從該第一圖形區(qū)域拖動(dòng)至該策略編輯區(qū)域的第一圖形,獲 取該用戶輸入的該第一圖形。
      [0070] 具體地,移動(dòng)終端可W向用戶提供如圖3所示的第一界面,該第一界面可W包括 策略編輯區(qū)域W及第一圖形區(qū)域,該策略編輯區(qū)域可W用于用戶編輯訪問(wèn)策略圖,該第一 圖形區(qū)域可W用于向用戶呈現(xiàn)用于表示訪問(wèn)策略圖的多種圖形;由此,移動(dòng)終端可W通過(guò) 檢測(cè)該用戶從該第一圖形區(qū)域拖動(dòng)至該策略編輯區(qū)域的第一圖形,獲取該用戶輸入的該第 一圖形,并可W根據(jù)該第一圖形生成訪問(wèn)策略圖。
      [0071] 例如,如圖3所示,該第一界面的上半部分可W為策略編輯區(qū)域,該策略編輯區(qū)域 可W設(shè)置策略編輯提示,如圖3中的虛線方框所示,W提示用戶將第一圖形區(qū)域中的相應(yīng) 圖形拖動(dòng)至相應(yīng)的策略編輯區(qū)域,從而形成用于表示應(yīng)用之間的訪問(wèn)規(guī)則的圖形化策略。 該第一界面的上半部分可W為第一圖形區(qū)域,該第一圖形區(qū)域可W包括展現(xiàn)策略的各項(xiàng)要 素的圖形。例如,該第一圖形區(qū)域可W包括各種應(yīng)用的圖標(biāo),例如:微信應(yīng)用圖標(biāo)、招商銀 行應(yīng)用圖標(biāo)、QQ應(yīng)用圖標(biāo)、花旗銀行應(yīng)用圖標(biāo)、微博應(yīng)用圖標(biāo)、工商銀行應(yīng)用圖標(biāo);該第一 圖形區(qū)域也可W包括表示應(yīng)用之間的訪問(wèn)規(guī)則的圖形,例如:允許意圖通信的圖形、允許網(wǎng) 絡(luò)通信的圖形、允許文件通信的圖形、允許IPC通信的圖形、禁止意圖通信的圖形、禁止網(wǎng) 絡(luò)通信的圖形等;又例如,該第一圖形區(qū)域還可W包括應(yīng)用之間的通信連接關(guān)系的圖形等; 再例如,該第一圖形區(qū)域還可W包括由相同屬性的一個(gè)或多個(gè)應(yīng)用所形成的應(yīng)用域的圖形 等。
      [0072] 可選地,在本發(fā)明實(shí)施例中,該第一圖形包括應(yīng)用圖形、應(yīng)用間通信連接圖形和應(yīng) 用間訪問(wèn)規(guī)則圖形,其中,該應(yīng)用圖形用于表示應(yīng)用,該應(yīng)用間通信連接圖形用于表示應(yīng)用 之間存在通信連接,該應(yīng)用間訪問(wèn)規(guī)則圖形用于表示應(yīng)用之間是否允許訪問(wèn)。
      [0073] 在本發(fā)明實(shí)施例中,可選地,該訪問(wèn)規(guī)則表示是否允許至少兩個(gè)應(yīng)用之間采用進(jìn) 程間通信(Inter Process Communication,簡(jiǎn)稱(chēng)為"IPC")、網(wǎng)絡(luò)(化twork)通信、文件系 統(tǒng)(File System)通信和意圖(Intent)通信中的至少一種通信方式進(jìn)行訪問(wèn),例如,允許 應(yīng)用之間采用網(wǎng)絡(luò)通信方式進(jìn)行訪問(wèn),或禁止應(yīng)用之間采用意圖通信方式進(jìn)行訪問(wèn)等。
      [0074] 在本發(fā)明實(shí)施例中,用戶可W將第一圖形區(qū)域的圖形拖動(dòng)至該策略編輯區(qū)域,W 體現(xiàn)用戶期望編寫(xiě)或制定的訪問(wèn)控制策略或訪問(wèn)規(guī)則;由此,移動(dòng)終端可W通過(guò)檢測(cè)用戶 從該第一圖形區(qū)域拖動(dòng)至該策略編輯區(qū)域的第一圖形,獲取用戶輸入的該第一圖形,并可 W根據(jù)該第一圖形,生成用于表示應(yīng)用之間是否允許訪問(wèn)的訪問(wèn)規(guī)則的訪問(wèn)策略圖。
      [0075] 例如,當(dāng)用戶希望編寫(xiě)或制定微信應(yīng)用與工商銀行應(yīng)用之間的訪問(wèn)規(guī)則時(shí),用戶 可W將第一圖形區(qū)域中的微信應(yīng)用圖標(biāo)與工商銀行應(yīng)用圖標(biāo)拖動(dòng)至該策略編輯區(qū)域,并可 W用應(yīng)用間通信連接圖形來(lái)連接運(yùn)兩個(gè)應(yīng)用圖標(biāo),W表示運(yùn)兩個(gè)應(yīng)用之間存在通信連接。 如果用戶從系統(tǒng)安全角度出發(fā),確定運(yùn)兩個(gè)應(yīng)用之間僅僅允許意圖通信方式,不允許網(wǎng)絡(luò) 通信方式、文件通信方式和IPC通信方式時(shí),用戶可W將相應(yīng)的應(yīng)用間訪問(wèn)規(guī)則圖形從該 第一圖形區(qū)域拖動(dòng)至該策略編輯區(qū)域,由此移動(dòng)終端可W通過(guò)檢測(cè)用戶從第一圖形區(qū)域拖 動(dòng)至策略編輯區(qū)域的第一圖形,獲取用戶輸入的第一圖形,并可W根據(jù)用戶輸入的該第一 圖形,生成如圖4A所示的訪問(wèn)策略圖。 陽(yáng)076] 又例如,訪問(wèn)策略圖也可W用于用戶體現(xiàn)多個(gè)應(yīng)用之間的訪問(wèn)規(guī)則,例如如圖4B 所示,該訪問(wèn)策略圖還可W進(jìn)一步表示微信應(yīng)用與招商銀行應(yīng)用之間也僅僅允許意圖通信 方式,不允許網(wǎng)絡(luò)通信方式、文件通信方式和IPC通信方式。 陽(yáng)077] 應(yīng)理解,本發(fā)明實(shí)施例僅W圖4A和4B所示的訪問(wèn)策略圖為例進(jìn)行說(shuō)明,但本發(fā)明 并不限于此,例如,該第一圖形區(qū)域還可W包括其他類(lèi)型的圖形,相應(yīng)的訪問(wèn)策略圖也可W 由其他類(lèi)型的第一圖形形成。
      [0078] 在本發(fā)明實(shí)施例中,可選地,該第一圖形包括域圖形、域間通信連接圖形和域間訪 問(wèn)規(guī)則圖形;或該第一圖形包括應(yīng)用圖形、域圖形、域間通信連接圖形和域間訪問(wèn)規(guī)則圖 形,其中,該應(yīng)用圖形用于表示應(yīng)用,該域圖形用于表示由相同屬性的一個(gè)或多個(gè)應(yīng)用所形 成的應(yīng)用域,該域間通信連接圖形用于表示應(yīng)用域之間存在通信連接,該域間訪問(wèn)規(guī)則圖 形表示應(yīng)用域之間是否允許訪問(wèn)。 陽(yáng)0巧]應(yīng)理解,在本發(fā)明實(shí)施例中,具體地,應(yīng)用域可W包括一個(gè)或多個(gè)應(yīng)用,因而,一個(gè) 應(yīng)用也可W認(rèn)為是一個(gè)應(yīng)用域的特例,由此,該域間通信連接圖形還可W用于表示應(yīng)用與 應(yīng)用域之間或應(yīng)用之間存在通信連接,該域間訪問(wèn)規(guī)則圖形還可W表示應(yīng)用與應(yīng)用域之間 或應(yīng)用之間的訪問(wèn)規(guī)則。
      [0080] 例如,如圖5所示,該第一界面可W包括策略編輯區(qū)域W及第一圖形區(qū)域,該策略 編輯區(qū)域可W位于該第一界面的上半部分,該策略編輯區(qū)域可W設(shè)置策略編輯提示,如圖 5中的虛線方框所示,W提示用戶將第一圖形區(qū)域中的相應(yīng)圖形拖動(dòng)至相應(yīng)的策略編輯區(qū) 域,從而形成用于表示應(yīng)用之間、應(yīng)用與應(yīng)用域之間、或應(yīng)用域之間的訪問(wèn)規(guī)則的訪問(wèn)策略 圖。
      [0081] 該第一圖形區(qū)域可W位于該第一界面的下半部分,并可W包括展現(xiàn)策略的各項(xiàng)要 素的圖形,例如,該第一圖形區(qū)域可W包括各種應(yīng)用域的圖標(biāo),例如金融域圖形和社交域圖 形;該第一圖形區(qū)域可W包括表示應(yīng)用之間的訪問(wèn)規(guī)則的圖形,例如:允許意圖通信的圖 形、允許網(wǎng)絡(luò)通信的圖形、允許文件通信的圖形、允許IPC通信的圖形、禁止意圖通信的圖 形、禁止網(wǎng)絡(luò)通信的圖形、禁止文件通信的圖形、禁止IPC通信的圖形等;又例如,該第一圖 形區(qū)域還可W包括用于表示應(yīng)用域之間或應(yīng)用與應(yīng)用域之間的通信連接關(guān)系的圖形等。
      [0082] 類(lèi)似地,移動(dòng)終端可W通過(guò)檢測(cè)用戶從該第一圖形區(qū)域拖動(dòng)至該策略編輯區(qū)域的 第一圖形,獲取用戶輸入的該第一圖形,并且移動(dòng)終端可W根據(jù)該第一圖形生成訪問(wèn)策略 圖,該訪問(wèn)策略圖例如如圖6所示,其中,該訪問(wèn)策略圖表示社交域和金融域之間允許采用 意圖通信方式進(jìn)行訪問(wèn),但禁止采用網(wǎng)絡(luò)通信方式、文件通信方式W及IPC通信方式進(jìn)行 訪問(wèn)或通信。
      [0083] 圖7示出了根據(jù)本發(fā)明實(shí)施例的獲取用戶輸入的圖形的方法110的另一示意性流 程圖。如圖7所示,該獲取用戶輸入的圖形,還包括:
      [0084] S113,向該用戶呈現(xiàn)第二界面,該第二界面包括隸屬關(guān)系編輯區(qū)域和第二圖形區(qū) 域,該隸屬關(guān)系編輯區(qū)域用于該用戶編輯應(yīng)用與域之間的隸屬關(guān)系,該第二圖像區(qū)域用于 向該用戶呈現(xiàn)用于表示隸屬關(guān)系的多種圖形;
      [00化]S114,通過(guò)檢測(cè)該用戶從該第二圖形區(qū)域拖動(dòng)至該隸屬關(guān)系編輯區(qū)域的第二圖 形,獲取該用戶輸入的該第二圖形。
      [0086] 具體地,移動(dòng)終端還可W向用戶提供如圖8所示的第二界面,該第二界面可W包 括策略編輯區(qū)域W及第二圖形區(qū)域,移動(dòng)終端可W通過(guò)檢測(cè)該用戶從該第二圖形區(qū)域拖動(dòng) 至該策略編輯區(qū)域的第二圖形,獲取該用戶輸入的第二圖形,由此,移動(dòng)終端可W根據(jù)第一 圖形和第二圖形生成訪問(wèn)策略圖。
      [0087] 應(yīng)理解,在本發(fā)明實(shí)施例中,移動(dòng)終端也可W僅根據(jù)第二圖形生成隸屬關(guān)系圖,或 者移動(dòng)終端可W根據(jù)隸屬關(guān)系圖對(duì)已經(jīng)生成的訪問(wèn)策略圖進(jìn)行更新,即移動(dòng)終端可W根據(jù) 隸屬關(guān)系圖和已經(jīng)生成的訪問(wèn)策略圖,生成更新的訪問(wèn)策略圖等,本發(fā)明實(shí)施例并不限于 此。
      [0088] 可選地,在本發(fā)明實(shí)施例中,該第二圖形包括應(yīng)用圖形、該域圖形和隸屬連接圖 形,其中,該應(yīng)用圖形用于表示應(yīng)用,該歸屬連接圖形用于表示應(yīng)用與應(yīng)用域之間存在隸屬 關(guān)系。
      [0089] 具體地,例如如圖8所示,該第二界面可W包括位于界面上部的隸屬關(guān)系編輯區(qū) 域W及位于界面下部的第二圖形區(qū)域,該隸屬關(guān)系編輯區(qū)域用于用戶編輯應(yīng)用與域之間 的隸屬關(guān)系,該隸屬關(guān)系編輯區(qū)域也可W設(shè)置如圖8中的虛線方框所示的隸屬關(guān)系編輯提 示,W提示用戶將第二圖形區(qū)域中的第二圖形拖動(dòng)至相應(yīng)的隸屬關(guān)系編輯區(qū)域,從而表示 應(yīng)用與應(yīng)用域之間的隸屬關(guān)系;該第二圖像區(qū)域可W用于向用戶呈現(xiàn)用于表示隸屬關(guān)系的 多種圖形,例如,應(yīng)用圖形、域圖形和隸屬連接圖形等。
      [0090] 由此,包括應(yīng)用與應(yīng)用域之間的隸屬關(guān)系的訪問(wèn)策略圖可W如圖9所示。在圖9 中,不僅示出了社交域與金融域之間的訪問(wèn)規(guī)則,還進(jìn)一步示出了社交域包括微信應(yīng)用和 QQ應(yīng)用,金融域包括工商銀行應(yīng)用和招商銀行應(yīng)用。
      [0091] 應(yīng)理解,本發(fā)明實(shí)施例僅W第二圖形包括應(yīng)用圖形、域圖形和隸屬連接圖形為例 進(jìn)行說(shuō)明,但本發(fā)明并不限于此,例如,該第二圖形也可W僅僅包括應(yīng)用圖形和域圖形,由 此也可W確定應(yīng)用與應(yīng)用域之間的隸屬關(guān)系。
      [0092] 應(yīng)理解,本發(fā)明實(shí)施例僅W圖4A、圖4B、圖6和圖9所示的訪問(wèn)策略圖為例進(jìn)行說(shuō) 明,但本發(fā)明并不限于此,例如,訪問(wèn)策略圖也可W表示應(yīng)用和應(yīng)用域之間的訪問(wèn)規(guī)則等。
      [0093] 還應(yīng)理解,在本發(fā)明實(shí)施例中,第一界面可W單獨(dú)呈現(xiàn)在移動(dòng)終端的顯示屏上,W 便于用戶設(shè)置應(yīng)用之間、應(yīng)用和應(yīng)用域之間、或應(yīng)用域之間的訪問(wèn)規(guī)則;第二界面也可W單 獨(dú)呈現(xiàn)在移動(dòng)終端的顯示屏上,W便于用戶設(shè)置應(yīng)用與應(yīng)用域之間的隸屬關(guān)系;該第一界 面和該第二界面還可W-起呈現(xiàn)在移動(dòng)終端的顯示屏上,W便于用戶同時(shí)設(shè)置訪問(wèn)規(guī)則W 及隸屬關(guān)系。
      [0094] 因此,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的方法,通過(guò)獲取用戶輸入的圖形,并將由圖 形形成的訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,W根據(jù)該訪問(wèn)控制策略控制應(yīng) 用訪問(wèn),使得用戶能夠W簡(jiǎn)單、直觀且靈活的圖形方式編寫(xiě)系統(tǒng)中各應(yīng)用的訪問(wèn)控制策略, 從而能夠提升系統(tǒng)的安全性能,并且還能夠提高用戶體驗(yàn)。
      [0095] 在S120中,移動(dòng)終端可W根據(jù)用戶輸入的圖形生成訪問(wèn)策略圖,該訪問(wèn)策略圖表 示至少兩個(gè)應(yīng)用之間是否允許訪問(wèn)的訪問(wèn)規(guī)則。
      [0096] 具體而言,例如,移動(dòng)終端可W通過(guò)對(duì)用戶輸入的圖形進(jìn)行整理,生成如圖4A、圖 4B、圖6或圖9所示的訪問(wèn)策略圖;又例如,移動(dòng)終端也可W直接將用戶拖動(dòng)至策略編輯區(qū) 域內(nèi)的圖形確定為訪問(wèn)策略圖;再例如,移動(dòng)終端還可W根據(jù)訪問(wèn)策略圖的生成規(guī)則,將用 戶拖動(dòng)至策略編輯區(qū)域內(nèi)的圖形生成為訪問(wèn)策略圖等。
      [0097] 在此過(guò)程中,移動(dòng)終端還可W與用戶進(jìn)行交互,W生成與用戶期望一致的訪問(wèn)策 略圖;當(dāng)然,在此過(guò)程中,移動(dòng)終端還可W進(jìn)一步提示用戶,W便于用戶輸入正確的圖形。在 本發(fā)明實(shí)施例中,可選地,該方法還包括:在用戶輸入的該圖形不符合訪問(wèn)策略圖的生成規(guī) 則時(shí),向該用戶提示輸入錯(cuò)誤。
      [0098] 具體而言,移動(dòng)終端可W根據(jù)用戶選擇或輸入的第一圖形,確定或生成用戶期望 輸入的訪問(wèn)策略圖;移動(dòng)終端也可W根據(jù)用戶選擇或輸入的第一圖形和第二圖形,確定或 生成用戶期望輸入的訪問(wèn)策略圖。當(dāng)用戶選擇或輸入的圖形所形成的訪問(wèn)策略圖不符合語(yǔ) 法規(guī)則時(shí),或當(dāng)用戶選擇或輸入的圖形不能構(gòu)成訪問(wèn)策略圖時(shí),移動(dòng)終端可W向用戶提示 輸入錯(cuò)誤,還可W引導(dǎo)用戶形成符合語(yǔ)法規(guī)則的訪問(wèn)策略圖。例如,移動(dòng)終端可W提供如圖 3、圖5和圖8中所示的虛線框,W引導(dǎo)用戶選擇或輸入圖形;又例如,移動(dòng)終端可W提供具 體的例子或詳細(xì)的說(shuō)明,W指導(dǎo)用戶學(xué)習(xí)構(gòu)建訪問(wèn)策略圖。
      [0099] 當(dāng)用戶選擇或輸入的圖形所形成的訪問(wèn)策略圖符合語(yǔ)法規(guī)則時(shí),移動(dòng)終端可W實(shí) 時(shí)地將該訪問(wèn)策略圖編譯為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,并可W根據(jù)該訪問(wèn)控制策略, 對(duì)該第一應(yīng)用和該第二應(yīng)用之間的訪問(wèn)進(jìn)行控制。
      [0100] 具體地,在S130中,如圖10所示,該將該訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn) 控制策略,包括: 陽(yáng)101] S131,通過(guò)對(duì)該訪問(wèn)策略圖進(jìn)行解析,獲取該訪問(wèn)規(guī)則; 陽(yáng)102] S132,根據(jù)該訪問(wèn)規(guī)則,確定安全增強(qiáng)安卓系統(tǒng)策略和/或意圖隔離策略; 陽(yáng)103] S133,將該安全增強(qiáng)安卓系統(tǒng)策略和/或該意圖隔離策略編譯為系統(tǒng)能夠識(shí)別的 該訪問(wèn)控制策略,該訪問(wèn)控制策略包括該安全增強(qiáng)安卓系統(tǒng)策略和/或該意圖隔離策略。 [0104] 具體而言,在本發(fā)明實(shí)施例中,移動(dòng)終端根據(jù)用戶輸入的第一圖形,或者根據(jù)用戶 選擇或輸入的第一圖形和第二圖形,可W確定該用戶期望輸入的訪問(wèn)策略圖或訪問(wèn)控制策 略;移動(dòng)終端進(jìn)一步通過(guò)對(duì)該訪問(wèn)策略圖進(jìn)行解析,可W獲取至少一個(gè)第一應(yīng)用與至少一 個(gè)第二應(yīng)用之間的訪問(wèn)規(guī)則。應(yīng)理解,該訪問(wèn)規(guī)則可W包括一個(gè)第一應(yīng)用與一個(gè)第二應(yīng)用 之間的訪問(wèn)規(guī)則,即應(yīng)用之間的訪問(wèn)規(guī)則;該訪問(wèn)規(guī)則也可W包括一個(gè)第一應(yīng)用與多個(gè)第 二應(yīng)用之間的訪問(wèn)規(guī)則,即應(yīng)用與應(yīng)用域之間的訪問(wèn)規(guī)則;該訪問(wèn)規(guī)則還可W包括多個(gè)第 一應(yīng)用與多個(gè)第二應(yīng)用之間的訪問(wèn)規(guī)則,即應(yīng)用域之間的訪問(wèn)規(guī)則。
      [01化]移動(dòng)終端根據(jù)該訪問(wèn)規(guī)則,可W確定應(yīng)用之間的、應(yīng)用與應(yīng)用域之間的、或應(yīng)用域 之間的安全增強(qiáng)安卓系統(tǒng)沈An化oid策略和/或意圖Intent隔離策略,其中,該沈An化oid 策略用于對(duì)應(yīng)用之間的、應(yīng)用與應(yīng)用域之間的、或應(yīng)用域之間的IPC通信、網(wǎng)絡(luò)通信和文件 系統(tǒng)通信中的至少一種通信方式進(jìn)行訪問(wèn)控制,即是否允許采用上述至少一種通信方式 進(jìn)行訪問(wèn);該Intent隔離策略用于對(duì)應(yīng)用之間的、應(yīng)用與應(yīng)用域之間的、或應(yīng)用域之間的 Intent通信方式進(jìn)行訪問(wèn)控制,即是否允許采用Intent通信方式進(jìn)行訪問(wèn)。
      [0106] 進(jìn)一步地,移動(dòng)終端可W將該安全增強(qiáng)安卓系統(tǒng)策略和/或該意圖隔離策略編 譯為系統(tǒng)能夠識(shí)別的該訪問(wèn)控制策略,該訪問(wèn)控制策略包括該安全增強(qiáng)安卓系統(tǒng)策略和/ 或該意圖隔離策略。例如,移動(dòng)終端將安全增強(qiáng)安卓系統(tǒng)策略編譯為二進(jìn)制的訪問(wèn)控制 策略;又例如,移動(dòng)終端可W將意圖隔離策略編譯為可擴(kuò)展標(biāo)記語(yǔ)言巧xtensible Markup Language,簡(jiǎn)稱(chēng)為"XML")文件等。 陽(yáng)107] 具體地,當(dāng)用戶允許應(yīng)用域A和應(yīng)用域B通過(guò)IPC進(jìn)行通信時(shí),編譯形成的系統(tǒng)能 夠識(shí)別的訪問(wèn)控制策略例如為:
      [0108] #Create/access any System V IPC objects
      [0109] allow A B: {sem msgq shm}* ;
      [0110] allow A B:msg{send receive};
      [0111] 具體地,當(dāng)用戶允許應(yīng)用域A和應(yīng)用域B通過(guò)網(wǎng)絡(luò)進(jìn)行通信時(shí),編譯形成的系統(tǒng)能 夠識(shí)別的訪問(wèn)控制策略例如為:
      [0112] #Connect throu組 socket
      [0113] allow A dom712_app:tcp_socket(read write getattr getopt shutdown connectto newconn acceptfrom node_bind name_connect};
      [0114] Mccess 化e network
      [0115] net-domain (A)
      [0116] 具體地,當(dāng)用戶允許應(yīng)用域A和應(yīng)用域B通過(guò)文件系統(tǒng)進(jìn)行通信時(shí),編譯形成的系 統(tǒng)能夠識(shí)別的訪問(wèn)控制策略例如為:
      [0117] type A_file ;
      [011 引 allow A A_file:file ~{relabelto};
      [0119] allow A_file labeledfs:filesystem associate;
      [0120] file_type_trans (A, file_type,A_file)
      [0121] type_transition A{file_type - download_file}:dir A_file ;
      [0122] type_transition A{file_type - download_file}:notdevfile_class_set A_ file ;
      [0123] 具體地,當(dāng)用戶允許應(yīng)用域A和應(yīng)用域B通過(guò)Intent進(jìn)行通信時(shí),編譯形成的系 統(tǒng)能夠識(shí)別的訪問(wèn)控制策略例如為:
      [0124]
      [0125] 應(yīng)理解,在本發(fā)明實(shí)施例中,上述經(jīng)過(guò)編譯的能夠被系統(tǒng)能夠識(shí)別的訪問(wèn)控制策 略放置到移動(dòng)終端的系統(tǒng)指定位置即可完成策略的部署工作,其中,SEAmlroid策略可W由 SEAn化oid執(zhí)行,Intent隔離策略可W由擴(kuò)展后的意圖防火墻(IntentFirewall)模塊執(zhí) 行。
      [0126] 在本發(fā)明實(shí)施例中,可選地,該訪問(wèn)控制策略包括進(jìn)程間通信IPC、網(wǎng)絡(luò)通信、文件 系統(tǒng)通信和意圖通信中的至少一種通信方式的訪問(wèn)控制策略,即該訪問(wèn)控制策略用于表示 是否允許應(yīng)用之間采用進(jìn)程間通信IPC、網(wǎng)絡(luò)通信、文件系統(tǒng)通信和意圖通信中的至少一種 通信方式進(jìn)行訪問(wèn)。應(yīng)理解,意圖(Intent)通信主要是用于安卓(Amlroid)應(yīng)用的各項(xiàng)組 件之間的通訊,具體地,Intent通信負(fù)責(zé)對(duì)應(yīng)用中一次操作的動(dòng)作、動(dòng)作設(shè)及數(shù)據(jù)、附加數(shù) 據(jù)進(jìn)行描述,An化oid則根據(jù)此Intent的描述,負(fù)責(zé)找到對(duì)應(yīng)的組件,將Intent傳遞給調(diào) 用的組件,并完成組件的調(diào)用;因而,Intent在通信中起著一個(gè)媒體中介的作用,專(zhuān)口提供 組件互相調(diào)用的相關(guān)信息,實(shí)現(xiàn)調(diào)用者與被調(diào)用者之間的解禪。
      [0127] 在S140中,移動(dòng)終端可W根據(jù)該訪問(wèn)控制策略,對(duì)至少兩個(gè)應(yīng)用之間的訪問(wèn)進(jìn)行 控制。
      [012引例如,對(duì)于如圖4A所示的訪問(wèn)策略圖,移動(dòng)終端將該訪問(wèn)策略圖轉(zhuǎn)換成的訪問(wèn)控 制策略允許應(yīng)用之間采用意圖通信方式進(jìn)行訪問(wèn),不允許應(yīng)用之間采用網(wǎng)絡(luò)通信、文件通 信和IPC通信方式進(jìn)行訪問(wèn)。因而,例如,當(dāng)微信應(yīng)用與工商銀行應(yīng)用采用IPC通信方式進(jìn) 行訪問(wèn)時(shí),移動(dòng)終端會(huì)拒絕該訪問(wèn);又例如,當(dāng)微信應(yīng)用與工商銀行應(yīng)用采用Intent通信 方式進(jìn)行訪問(wèn)時(shí),移動(dòng)終端可W允許該訪問(wèn)。
      [0129] 應(yīng)理解,在本發(fā)明實(shí)施例中,訪問(wèn)策略圖為根據(jù)用戶輸入的圖形生成的用于表示 訪問(wèn)規(guī)則的圖,該訪問(wèn)規(guī)則可W表示應(yīng)用之間是否允許通過(guò)特定通信方式進(jìn)行訪問(wèn);例如, 該訪問(wèn)規(guī)則可W表示是否允許應(yīng)用之間采用進(jìn)程間通信IPC、網(wǎng)絡(luò)通信、文件系統(tǒng)通信和意 圖通信中的至少一種通信方式進(jìn)行訪問(wèn)。
      [0130] 還應(yīng)理解,在本發(fā)明實(shí)施例中,訪問(wèn)控制策略為系統(tǒng)或移動(dòng)終端能夠識(shí)別的用于 表示訪問(wèn)規(guī)則的策略,該策略可W為二進(jìn)制文件,也可W為XML文件,本發(fā)明并不限于此; 在本發(fā)明實(shí)施例中,該訪問(wèn)控制策略由移動(dòng)終端根據(jù)訪問(wèn)策略圖編譯而生成。該訪問(wèn)控制 策略也可W表示應(yīng)用之間是否允許通過(guò)特定通信方式進(jìn)行訪問(wèn);例如,該訪問(wèn)控制策略可 W表示是否允許應(yīng)用之間采用進(jìn)程間通信IPC、網(wǎng)絡(luò)通信、文件系統(tǒng)通信和意圖通信中的至 少一種通信方式進(jìn)行訪問(wèn)。 陽(yáng)131] 還應(yīng)理解,在本發(fā)明實(shí)施例中,可W根據(jù)訪問(wèn)控制策略的具體內(nèi)容,將訪問(wèn)控制策 略分為安全增強(qiáng)安卓系統(tǒng)策略和意圖隔離策略,該安全增強(qiáng)安卓系統(tǒng)策略可W表示是否允 許應(yīng)用之間采用進(jìn)程間通信IPC、網(wǎng)絡(luò)通信和文件系統(tǒng)通信中的至少一種通信方式進(jìn)行訪 問(wèn);該意圖隔離策略可W表示是否允許應(yīng)用之間采用意圖通信方式進(jìn)行訪問(wèn)。
      [0132] 還應(yīng)理解,本發(fā)明實(shí)施例僅W進(jìn)程間通信IPC、網(wǎng)絡(luò)通信、文件系統(tǒng)通信和意圖通 信運(yùn)四種通信方式為例進(jìn)行說(shuō)明,但本發(fā)明并不限于此。
      [0133] 因此,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的方法,能夠?qū)崟r(shí)根據(jù)獲取到的圖形生成訪 問(wèn)策略圖,并將該訪問(wèn)策略圖轉(zhuǎn)換為訪問(wèn)控制策略,從而能夠動(dòng)態(tài)地更新訪問(wèn)控制策略,并 根據(jù)該訪問(wèn)控制策略動(dòng)態(tài)地對(duì)應(yīng)用的訪問(wèn)進(jìn)行控制,克服了現(xiàn)有技術(shù)中只能在應(yīng)用安裝時(shí) 分配訪問(wèn)控制策略,不能根據(jù)實(shí)際需要?jiǎng)討B(tài)調(diào)整的缺陷,由此能夠增強(qiáng)系統(tǒng)安全管理的靈 活性與實(shí)用性。
      [0134] 另一方面,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的方法,能夠?qū)⒂蓤D形形成的訪問(wèn)策略 圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,避免通過(guò)人工輸入大量的字符來(lái)編寫(xiě)訪問(wèn)控制策 略,由此能夠簡(jiǎn)化訪問(wèn)控制策略的編寫(xiě),從而能夠進(jìn)一步提高用戶體驗(yàn)。
      [0135] 應(yīng)理解,在本發(fā)明的各種實(shí)施例中,上述各過(guò)程的序號(hào)的大小并不意味著執(zhí)行順 序的先后,各過(guò)程的執(zhí)行順序應(yīng)W其功能和內(nèi)在邏輯確定,而不應(yīng)對(duì)本發(fā)明實(shí)施例的實(shí)施 過(guò)程構(gòu)成任何限定。 陽(yáng)136] 上文中結(jié)合圖1至圖10,詳細(xì)描述了根據(jù)本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的方法, 下面將結(jié)合圖11至圖16,詳細(xì)描述根據(jù)本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置。
      [0137] 如圖11所示,該控制應(yīng)用訪問(wèn)的裝置500包括:
      [0138] 獲取模塊510,用于獲取用戶輸入的圖形;
      [0139] 生成模塊520,用于根據(jù)該獲取模塊510獲取的該圖形,生成訪問(wèn)策略圖,該訪問(wèn) 策略圖表示至少兩個(gè)應(yīng)用之間是否允許訪問(wèn)的訪問(wèn)規(guī)則;
      [0140] 轉(zhuǎn)換模塊530,用于將該生成模塊520生成的該訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別 的訪問(wèn)控制策略,該訪問(wèn)控制策略用于表示是否允許應(yīng)用之間進(jìn)行訪問(wèn); 陽(yáng)141] 控制模塊540,用于根據(jù)該轉(zhuǎn)換模塊530轉(zhuǎn)換的該訪問(wèn)控制策略,對(duì)該至少兩個(gè)應(yīng) 用之間的訪問(wèn)進(jìn)行控制。 陽(yáng)142] 因此,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置,通過(guò)獲取用戶輸入的圖形,并將由圖 形形成的訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,W根據(jù)該訪問(wèn)控制策略控制應(yīng) 用訪問(wèn),使得用戶能夠W簡(jiǎn)單、直觀且靈活的圖形方式編寫(xiě)系統(tǒng)中各應(yīng)用的訪問(wèn)控制策略, 從而能夠提升系統(tǒng)的安全性能,并且還能夠提高用戶體驗(yàn)。 陽(yáng)143] 另一方面,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置,能夠?qū)崟r(shí)根據(jù)獲取到的圖形生 成訪問(wèn)策略圖,并將該訪問(wèn)策略圖轉(zhuǎn)換為訪問(wèn)控制策略,從而能夠動(dòng)態(tài)地更新訪問(wèn)控制策 略,并根據(jù)該訪問(wèn)控制策略動(dòng)態(tài)地對(duì)應(yīng)用的訪問(wèn)進(jìn)行控制,克服了現(xiàn)有技術(shù)中只能在應(yīng)用 安裝時(shí)分配訪問(wèn)控制策略,不能根據(jù)實(shí)際需要?jiǎng)討B(tài)調(diào)整的缺陷,由此能夠增強(qiáng)系統(tǒng)安全管 理的靈活性與實(shí)用性。
      [0144] 再一方面,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置,能夠?qū)⒂蓤D形形成的訪問(wèn)策略 圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,避免通過(guò)人工輸入大量的字符來(lái)編寫(xiě)訪問(wèn)控制策 略,由此能夠簡(jiǎn)化訪問(wèn)控制策略的編寫(xiě),從而能夠進(jìn)一步提高用戶體驗(yàn)。 陽(yáng)145] 在本發(fā)明實(shí)施例中,可選地,如圖12所示,該裝置500還包括: 陽(yáng)146] 顯示屏550,用于向該用戶呈現(xiàn)第一界面,該第一界面包括策略編輯區(qū)域W及第一 圖形區(qū)域,該策略編輯區(qū)域用于該用戶編輯該訪問(wèn)策略圖,該第一圖形區(qū)域用于向該用戶 呈現(xiàn)用于表示該訪問(wèn)策略圖的多種圖形; 陽(yáng)147] 其中,該獲取模塊510包括第一獲取單元511,用于通過(guò)檢測(cè)該用戶從該第一圖形 區(qū)域拖動(dòng)至該策略編輯區(qū)域的第一圖形,獲取該用戶輸入的該第一圖形。
      [0148] 在本發(fā)明實(shí)施例中,可選地,該第一獲取單元511獲取的該第一圖形包括應(yīng)用圖 形、應(yīng)用間通信連接圖形和應(yīng)用間訪問(wèn)規(guī)則圖形,其中,該應(yīng)用圖形用于表示應(yīng)用,該應(yīng)用 間通信連接圖形用于表示應(yīng)用之間存在通信連接,該應(yīng)用間訪問(wèn)規(guī)則圖形用于表示應(yīng)用之 間是否允許訪問(wèn)。
      [0149] 可選地,在本發(fā)明實(shí)施例中,該第一獲取單元511獲取的該第一圖形包括域圖形、 域間通信連接圖形和域間訪問(wèn)規(guī)則圖形;或該第一獲取單元511獲取的該第一圖形包括應(yīng) 用圖形、域圖形、域間通信連接圖形和域間訪問(wèn)規(guī)則圖形,其中,該應(yīng)用圖形用于表示應(yīng)用, 該域圖形用于表示由相同屬性的一個(gè)或多個(gè)應(yīng)用所形成的應(yīng)用域,該域間通信連接圖形用 于表示應(yīng)用域之間存在通信連接,該域間訪問(wèn)規(guī)則圖形表示應(yīng)用域之間的訪問(wèn)規(guī)則。
      [0150] 在本發(fā)明實(shí)施例中,可選地,如圖13所示,該顯示屏550還用于:向該用戶呈現(xiàn)第 二界面,該第二界面包括隸屬關(guān)系編輯區(qū)域和第二圖形區(qū)域,該隸屬關(guān)系編輯區(qū)域用于該 用戶編輯應(yīng)用與域之間的隸屬關(guān)系,該第二圖像區(qū)域用于向該用戶呈現(xiàn)用于表示隸屬關(guān)系 的多種圖形; 陽(yáng)151] 其中,該獲取模塊510還包括第二獲取單元512,用于通過(guò)檢測(cè)該用戶從該第二圖 形區(qū)域拖動(dòng)至該隸屬關(guān)系編輯區(qū)域的第二圖形,獲取該用戶輸入的該第二圖形。
      [0152] 可選地,在本發(fā)明實(shí)施例中,該第二獲取單元512獲取的該第二圖形包括應(yīng)用圖 形、該域圖形和隸屬連接圖形,其中,該應(yīng)用圖形用于表示應(yīng)用,該歸屬連接圖形用于表示 應(yīng)用與應(yīng)用域之間存在隸屬關(guān)系。 陽(yáng)153] 可選地,在本發(fā)明實(shí)施例中,該顯示屏550還用于:在該用戶輸入的該圖形不符合 訪問(wèn)策略圖的生成規(guī)則時(shí),向該用戶提示輸入錯(cuò)誤。 陽(yáng)154] 在本發(fā)明實(shí)施例中,可選地,如圖14所示,該轉(zhuǎn)換模塊530包括:
      [0K5] 解析單元531,用于通過(guò)對(duì)該圖形化策略進(jìn)行解析,獲取該訪問(wèn)規(guī)則; 陽(yáng)156] 確定單元532,用于根據(jù)該訪問(wèn)規(guī)則,確定安全增強(qiáng)安卓系統(tǒng)策略和/或意圖隔離 策略; 陽(yáng)157] 編譯單元533,用于將該安全增強(qiáng)安卓系統(tǒng)策略和/或該意圖隔離策略編譯為系 統(tǒng)能夠識(shí)別的該訪問(wèn)控制策略,該訪問(wèn)控制策略包括該安全增強(qiáng)安卓系統(tǒng)策略和/或該意 圖隔離策略。
      [0158] 在本發(fā)明實(shí)施例中,可選地,該訪問(wèn)規(guī)則表示是否允許該至少兩個(gè)應(yīng)用之間采用 進(jìn)程間通信IPC、網(wǎng)絡(luò)通信、文件系統(tǒng)通信和意圖通信中的至少一種通信方式進(jìn)行訪問(wèn)。 陽(yáng)159] 可選地,在本發(fā)明實(shí)施例中,該裝置500為移動(dòng)終端。
      [0160] 應(yīng)理解,根據(jù)本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置500可對(duì)應(yīng)于本發(fā)明實(shí)施例中 的方法的執(zhí)行主體,并且裝置500中的各個(gè)模塊的上述和其它操作和/或功能分別為了實(shí) 現(xiàn)圖1至圖10中的各個(gè)方法100的相應(yīng)流程,為了簡(jiǎn)潔,在此不再寶述。 陽(yáng)161] 因此,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置,通過(guò)獲取用戶輸入的圖形,并將由圖 形形成的訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,W根據(jù)該訪問(wèn)控制策略控制應(yīng) 用訪問(wèn),使得用戶能夠W簡(jiǎn)單、直觀且靈活的圖形方式編寫(xiě)系統(tǒng)中各應(yīng)用的訪問(wèn)控制策略, 從而能夠提升系統(tǒng)的安全性能,并且還能夠提高用戶體驗(yàn)。
      [0162] 另一方面,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置,能夠?qū)崟r(shí)根據(jù)獲取到的圖形生 成訪問(wèn)策略圖,并將該訪問(wèn)策略圖轉(zhuǎn)換為訪問(wèn)控制策略,從而能夠動(dòng)態(tài)地更新訪問(wèn)控制策 略,并根據(jù)該訪問(wèn)控制策略動(dòng)態(tài)地對(duì)應(yīng)用的訪問(wèn)進(jìn)行控制,克服了現(xiàn)有技術(shù)中只能在應(yīng)用 安裝時(shí)分配訪問(wèn)控制策略,不能根據(jù)實(shí)際需要?jiǎng)討B(tài)調(diào)整的缺陷,由此能夠增強(qiáng)系統(tǒng)安全管 理的靈活性與實(shí)用性。
      [0163] 再一方面,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置,能夠?qū)⒂蓤D形形成的訪問(wèn)策略 圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,避免通過(guò)人工輸入大量的字符來(lái)編寫(xiě)訪問(wèn)控制策 略,由此能夠簡(jiǎn)化訪問(wèn)控制策略的編寫(xiě),從而能夠進(jìn)一步提高用戶體驗(yàn)。
      [0164] 如圖15所示,本發(fā)明實(shí)施例還提供了一種控制應(yīng)用訪問(wèn)的裝置800,該裝置包括 處理器810、存儲(chǔ)器820和總線系統(tǒng)830,其中,該處理器810和該存儲(chǔ)器820通過(guò)該總線系 統(tǒng)830相連,該存儲(chǔ)器820用于存儲(chǔ)指令,該處理器810用于執(zhí)行該存儲(chǔ)器820存儲(chǔ)的指令; 其中,該處理器810用于: 陽(yáng)1化]獲取用戶輸入的圖形;
      [0166] 根據(jù)該圖形生成訪問(wèn)策略圖,該訪問(wèn)策略圖表示至少兩個(gè)應(yīng)用之間是否允許訪問(wèn) 的訪問(wèn)規(guī)則;
      [0167] 將該訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,該訪問(wèn)控制策略用于表示 是否允許應(yīng)用之間進(jìn)行訪問(wèn);
      [0168] 根據(jù)該訪問(wèn)控制策略,對(duì)該至少兩個(gè)應(yīng)用之間的訪問(wèn)進(jìn)行控制。 陽(yáng)169] 因此,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置,通過(guò)獲取用戶輸入的圖形,并將由圖 形形成的訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,W根據(jù)該訪問(wèn)控制策略控制應(yīng) 用訪問(wèn),使得用戶能夠W簡(jiǎn)單、直觀且靈活的圖形方式編寫(xiě)系統(tǒng)中各應(yīng)用的訪問(wèn)控制策略, 從而能夠提升系統(tǒng)的安全性能,并且還能夠提高用戶體驗(yàn)。
      [0170] 另一方面,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置,能夠?qū)崟r(shí)根據(jù)獲取到的圖形生 成訪問(wèn)策略圖,并將該訪問(wèn)策略圖轉(zhuǎn)換為訪問(wèn)控制策略,從而能夠動(dòng)態(tài)地更新訪問(wèn)控制策 略,并根據(jù)該訪問(wèn)控制策略動(dòng)態(tài)地對(duì)應(yīng)用的訪問(wèn)進(jìn)行控制,克服了現(xiàn)有技術(shù)中只能在應(yīng)用 安裝時(shí)分配訪問(wèn)控制策略,不能根據(jù)實(shí)際需要?jiǎng)討B(tài)調(diào)整的缺陷,由此能夠增強(qiáng)系統(tǒng)安全管 理的靈活性與實(shí)用性。 陽(yáng)171] 再一方面,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置,能夠?qū)⒂蓤D形形成的訪問(wèn)策略 圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,避免通過(guò)人工輸入大量的字符來(lái)編寫(xiě)訪問(wèn)控制策 略,由此能夠簡(jiǎn)化訪問(wèn)控制策略的編寫(xiě),從而能夠進(jìn)一步提高用戶體驗(yàn)。 陽(yáng)172] 應(yīng)理解,在本發(fā)明實(shí)施例中,該處理器810可W是中央處理單元(Central Processing化it,簡(jiǎn)稱(chēng)為"CPU"),該處理器810還可W是其他通用處理器、數(shù)字信號(hào)處理 器值SP)、專(zhuān)用集成電路(ASIC)、現(xiàn)成可編程口陣列(FPGA)或者其他可編程邏輯器件、分立 口或者晶體管邏輯器件、分立硬件組件等。通用處理器可W是微處理器或者該處理器也可 W是任何常規(guī)的處理器等。
      [0173] 該存儲(chǔ)器820可W包括只讀存儲(chǔ)器和隨機(jī)存取存儲(chǔ)器,并向處理器810提供指令 和數(shù)據(jù)。存儲(chǔ)器820的一部分還可W包括非易失性隨機(jī)存取存儲(chǔ)器。例如,存儲(chǔ)器820還 可W存儲(chǔ)設(shè)備類(lèi)型的信息。
      [0174] 該總線系統(tǒng)830除包括數(shù)據(jù)總線之外,還可W包括電源總線、控制總線和狀態(tài)信 號(hào)總線等。但是為了清楚說(shuō)明起見(jiàn),在圖中將各種總線都標(biāo)為總線系統(tǒng)830。
      [01巧]在實(shí)現(xiàn)過(guò)程中,上述方法的各步驟可W通過(guò)處理器810中的硬件的集成邏輯電路 或者軟件形式的指令完成。結(jié)合本發(fā)明實(shí)施例所公開(kāi)的方法的步驟可W直接體現(xiàn)為硬件處 理器執(zhí)行完成,或者用處理器中的硬件及軟件模塊組合執(zhí)行完成。軟件模塊可W位于隨機(jī) 存儲(chǔ)器,閃存、只讀存儲(chǔ)器,可編程只讀存儲(chǔ)器或者電可擦寫(xiě)可編程存儲(chǔ)器、寄存器等本領(lǐng) 域成熟的存儲(chǔ)介質(zhì)中。該存儲(chǔ)介質(zhì)位于存儲(chǔ)器820,處理器810讀取存儲(chǔ)器820中的信息, 結(jié)合其硬件完成上述方法的步驟。為避免重復(fù),運(yùn)里不再詳細(xì)描述。 陽(yáng)176] 在本發(fā)明實(shí)施例中,可選地,該裝置800還包括: 陽(yáng)177] 顯示屏840,用于向該用戶呈現(xiàn)第一界面,該第一界面包括策略編輯區(qū)域W及第一 圖形區(qū)域,該策略編輯區(qū)域用于該用戶編輯該訪問(wèn)策略圖,該第一圖形區(qū)域用于向該用戶 呈現(xiàn)用于表示該訪問(wèn)策略圖的多種圖形;
      [0178] 其中,該處理器810獲取用戶輸入的圖形,具體包括:
      [0179] 通過(guò)檢測(cè)該用戶從該第一圖形區(qū)域拖動(dòng)至該策略編輯區(qū)域的第一圖形,獲取該用 戶輸入的該第一圖形。
      [0180] 在本發(fā)明實(shí)施例中,可選地,該處理器810獲取的該第一圖形包括應(yīng)用圖形、應(yīng)用 間通信連接圖形和應(yīng)用間訪問(wèn)規(guī)則圖形,其中,該應(yīng)用圖形用于表示應(yīng)用,該應(yīng)用間通信連 接圖形用于表示應(yīng)用之間存在通信連接,該應(yīng)用間訪問(wèn)規(guī)則圖形用于表示應(yīng)用之間是否允 許訪問(wèn)。 陽(yáng)181] 在本發(fā)明實(shí)施例中,可選地,該處理器810獲取的該第一圖形包括域圖形、域間通 信連接圖形和域間訪問(wèn)規(guī)則圖形;或該處理器810獲取的該第一圖形包括應(yīng)用圖形、域圖 形、域間通信連接圖形和域間訪問(wèn)規(guī)則圖形,其中,該應(yīng)用圖形用于表示應(yīng)用,該域圖形用 于表示由相同屬性的一個(gè)或多個(gè)應(yīng)用所形成的應(yīng)用域,該域間通信連接圖形用于表示應(yīng)用 域之間存在通信連接,該域間訪問(wèn)規(guī)則圖形表示應(yīng)用域之間是否允許訪問(wèn)。 陽(yáng)182] 在本發(fā)明實(shí)施例中,可選地,該顯示屏840還用于:
      [0183] 向該用戶呈現(xiàn)第二界面,該第二界面包括隸屬關(guān)系編輯區(qū)域和第二圖形區(qū)域,該 隸屬關(guān)系編輯區(qū)域用于該用戶編輯應(yīng)用與域之間的隸屬關(guān)系,該第二圖像區(qū)域用于向該用 戶呈現(xiàn)用于表示隸屬關(guān)系的多種圖形; 陽(yáng)184] 其中,該處理器810獲取用戶輸入的圖形,具體還包括:
      [0185] 通過(guò)檢測(cè)該用戶從該第二圖形區(qū)域拖動(dòng)至該隸屬關(guān)系編輯區(qū)域的第二圖形,獲取 該用戶輸入的該第二圖形。 陽(yáng)186] 在本發(fā)明實(shí)施例中,可選地,該處理器810獲取的該第二圖形包括應(yīng)用圖形、該域 圖形和隸屬連接圖形,其中,該應(yīng)用圖形用于表示應(yīng)用,該歸屬連接圖形用于表示應(yīng)用與應(yīng) 用域之間存在隸屬關(guān)系。 陽(yáng)187] 在本發(fā)明實(shí)施例中,可選地,該顯示屏840還用于:在該處理器810確定該用戶輸 入的該圖形不符合訪問(wèn)策略圖的生成規(guī)則時(shí),向該用戶提示輸入錯(cuò)誤。
      [0188] 在本發(fā)明實(shí)施例中,可選地,該處理器810將該訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別 的訪問(wèn)控制策略,具體包括:
      [0189] 通過(guò)對(duì)該訪問(wèn)策略圖進(jìn)行解析,獲取該訪問(wèn)規(guī)則;
      [0190] 根據(jù)該訪問(wèn)規(guī)則,確定安全增強(qiáng)安卓系統(tǒng)策略和/或意圖隔離策略; 陽(yáng)191] 將該安全增強(qiáng)安卓系統(tǒng)策略和/或該意圖隔離策略編譯為系統(tǒng)能夠識(shí)別的該訪 問(wèn)控制策略,該訪問(wèn)控制策略包括該安全增強(qiáng)安卓系統(tǒng)策略和/或該意圖隔離策略。 陽(yáng)192] 在本發(fā)明實(shí)施例中,可選地,該訪問(wèn)規(guī)則表示是否允許該至少兩個(gè)應(yīng)用之間采用 進(jìn)程間通信IPC、網(wǎng)絡(luò)通信、文件系統(tǒng)通信和意圖通信中的至少一種通信方式進(jìn)行訪問(wèn)。 陽(yáng)193] 在本發(fā)明實(shí)施例中,可選地,該裝置800為移動(dòng)終端。
      [0194] 根據(jù)本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置800可對(duì)應(yīng)于本發(fā)明實(shí)施例中的移動(dòng) 終端W及裝置500,并且裝置800中的各個(gè)模塊的上述和其它操作和/或功能分別為了實(shí)現(xiàn) 圖1至圖10中的各個(gè)方法100的相應(yīng)流程,為了簡(jiǎn)潔,在此不再寶述。
      [0195] 因此,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置,通過(guò)獲取用戶輸入的圖形,并將由圖 形形成的訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,W根據(jù)該訪問(wèn)控制策略控制應(yīng) 用訪問(wèn),使得用戶能夠W簡(jiǎn)單、直觀且靈活的圖形方式編寫(xiě)系統(tǒng)中各應(yīng)用的訪問(wèn)控制策略, 從而能夠提升系統(tǒng)的安全性能,并且還能夠提高用戶體驗(yàn)。 陽(yáng)196] 另一方面,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置,能夠?qū)崟r(shí)根據(jù)獲取到的圖形生 成訪問(wèn)策略圖,并將該訪問(wèn)策略圖轉(zhuǎn)換為訪問(wèn)控制策略,從而能夠動(dòng)態(tài)地更新訪問(wèn)控制策 略,并根據(jù)該訪問(wèn)控制策略動(dòng)態(tài)地對(duì)應(yīng)用的訪問(wèn)進(jìn)行控制,克服了現(xiàn)有技術(shù)中只能在應(yīng)用 安裝時(shí)分配訪問(wèn)控制策略,不能根據(jù)實(shí)際需要?jiǎng)討B(tài)調(diào)整的缺陷,由此能夠增強(qiáng)系統(tǒng)安全管 理的靈活性與實(shí)用性。
      [0197] 再一方面,本發(fā)明實(shí)施例的控制應(yīng)用訪問(wèn)的裝置,能夠?qū)⒂蓤D形形成的訪問(wèn)策略 圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,避免通過(guò)人工輸入大量的字符來(lái)編寫(xiě)訪問(wèn)控制策 略,由此能夠簡(jiǎn)化訪問(wèn)控制策略的編寫(xiě),從而能夠進(jìn)一步提高用戶體驗(yàn)。
      [0198] 另外,本文中術(shù)語(yǔ)"系統(tǒng)"和"網(wǎng)絡(luò)"在本文中常被可互換使用。本文中術(shù)語(yǔ)"和/ 或",僅僅是一種描述關(guān)聯(lián)對(duì)象的關(guān)聯(lián)關(guān)系,表示可W存在Ξ種關(guān)系,例如,A和/或B,可W 表示:?jiǎn)为?dú)存在A,同時(shí)存在A和B,單獨(dú)存在6運(yùn);種情況。另外,本文中字符V",一般表 示前后關(guān)聯(lián)對(duì)象是一種"或"的關(guān)系。 陽(yáng)199] 本領(lǐng)域普通技術(shù)人員可W意識(shí)到,結(jié)合本文中所公開(kāi)的實(shí)施例描述的各示例的單 元及算法步驟,能夠W電子硬件、計(jì)算機(jī)軟件或者二者的結(jié)合來(lái)實(shí)現(xiàn),為了清楚地說(shuō)明硬件 和軟件的可互換性,在上述說(shuō)明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。運(yùn) 些功能究竟W硬件還是軟件方式來(lái)執(zhí)行,取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件。專(zhuān) 業(yè)技術(shù)人員可W對(duì)每個(gè)特定的應(yīng)用來(lái)使用不同方法來(lái)實(shí)現(xiàn)所描述的功能,但是運(yùn)種實(shí)現(xiàn)不 應(yīng)認(rèn)為超出本發(fā)明的范圍。 陽(yáng)200] 所屬領(lǐng)域的技術(shù)人員可W清楚地了解到,為了描述的方便和簡(jiǎn)潔,上述描述的系 統(tǒng)、裝置和單元的具體工作過(guò)程,可W參考前述方法實(shí)施例中的對(duì)應(yīng)過(guò)程,在此不再寶述。 陽(yáng)201] 在本申請(qǐng)所提供的幾個(gè)實(shí)施例中,應(yīng)該理解到,所掲露的系統(tǒng)、裝置和方法,可W 通過(guò)其它的方式實(shí)現(xiàn)。例如,W上所描述的裝置實(shí)施例僅僅是示意性的,例如,所述單元的 劃分,僅僅為一種邏輯功能劃分,實(shí)際實(shí)現(xiàn)時(shí)可W有另外的劃分方式,例如多個(gè)單元或組件 可W結(jié)合或者可W集成到另一個(gè)系統(tǒng),或一些特征可W忽略,或不執(zhí)行。另外,所顯示或討 論的相互之間的禪合或直接禪合或通信連接可W是通過(guò)一些接口、裝置或單元的間接禪合 或通信連接,也可W是電的,機(jī)械的或其它的形式連接。 陽(yáng)202] 所述作為分離部件說(shuō)明的單元可W是或者也可W不是物理上分開(kāi)的,作為單元顯 示的部件可W是或者也可W不是物理單元,即可W位于一個(gè)地方,或者也可W分布到多個(gè) 網(wǎng)絡(luò)單元上??蒞根據(jù)實(shí)際的需要選擇其中的部分或者全部單元來(lái)實(shí)現(xiàn)本發(fā)明實(shí)施例方案 的目的。 陽(yáng)203] 另外,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可W集成在一個(gè)處理單元中,也可W 是各個(gè)單元單獨(dú)物理存在,也可W是兩個(gè)或兩個(gè)W上單元集成在一個(gè)單元中。上述集成的 單元既可W采用硬件的形式實(shí)現(xiàn),也可W采用軟件功能單元的形式實(shí)現(xiàn)。 陽(yáng)204] 所述集成的單元如果W軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷(xiāo)售或使用 時(shí),可W存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?;谶\(yùn)樣的理解,本發(fā)明的技術(shù)方案本質(zhì) 上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分,或者該技術(shù)方案的全部或部分可軟件產(chǎn)品的形 式體現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用W使得一臺(tái)計(jì)算 機(jī)設(shè)備(可W是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法 的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括:U盤(pán)、移動(dòng)硬盤(pán)、只讀存儲(chǔ)器(R0M,ReacK)nly Memcxry)、隨機(jī)存取存儲(chǔ)器(RAM, Random Access Memcxry)、磁碟或者光盤(pán)等各種可W存儲(chǔ)程 序代碼的介質(zhì)。 陽(yáng)205] W上所述,僅為本發(fā)明的【具體實(shí)施方式】,但本發(fā)明的保護(hù)范圍并不局限于此,任何 熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明掲露的技術(shù)范圍內(nèi),可輕易想到各種等效的修改或替 換,運(yùn)些修改或替換都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)W權(quán)利 要求的保護(hù)范圍為準(zhǔn)。
      【主權(quán)項(xiàng)】
      1. 一種控制應(yīng)用訪問(wèn)的方法,其特征在于,包括: 獲取用戶輸入的圖形; 根據(jù)所述圖形生成訪問(wèn)策略圖,所述訪問(wèn)策略圖表示至少兩個(gè)應(yīng)用之間是否允許訪問(wèn) 的訪問(wèn)規(guī)則; 將所述訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,所述訪問(wèn)控制策略用于表示 是否允許應(yīng)用之間進(jìn)行訪問(wèn); 根據(jù)所述訪問(wèn)控制策略,對(duì)所述至少兩個(gè)應(yīng)用之間的訪問(wèn)進(jìn)行控制。2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述獲取用戶輸入的圖形,包括: 向所述用戶呈現(xiàn)第一界面,所述第一界面包括策略編輯區(qū)域以及第一圖形區(qū)域,所述 策略編輯區(qū)域用于所述用戶編輯所述訪問(wèn)策略圖,所述第一圖形區(qū)域用于向所述用戶呈現(xiàn) 用于表示所述訪問(wèn)策略圖的多種圖形; 通過(guò)檢測(cè)所述用戶從所述第一圖形區(qū)域拖動(dòng)至所述策略編輯區(qū)域的第一圖形,獲取所 述用戶輸入的所述第一圖形。3. 根據(jù)權(quán)利要求2所述的方法,其特征在于,所述第一圖形包括應(yīng)用圖形、應(yīng)用間通信 連接圖形和應(yīng)用間訪問(wèn)規(guī)則圖形,其中,所述應(yīng)用圖形用于表示應(yīng)用,所述應(yīng)用間通信連接 圖形用于表示應(yīng)用之間存在通信連接,所述應(yīng)用間訪問(wèn)規(guī)則圖形用于表示應(yīng)用之間是否允 許訪問(wèn)。4. 根據(jù)權(quán)利要求2或3所述的方法,其特征在于,所述第一圖形包括域圖形、域間通信 連接圖形和域間訪問(wèn)規(guī)則圖形;或所述第一圖形包括應(yīng)用圖形、域圖形、域間通信連接圖形 和域間訪問(wèn)規(guī)則圖形,其中,所述應(yīng)用圖形用于表示應(yīng)用,所述域圖形用于表示由相同屬性 的一個(gè)或多個(gè)應(yīng)用所形成的應(yīng)用域,所述域間通信連接圖形用于表示應(yīng)用域之間存在通信 連接,所述域間訪問(wèn)規(guī)則圖形表示應(yīng)用域之間是否允許訪問(wèn)。5. 根據(jù)權(quán)利要求4所述的方法,其特征在于,所述獲取用戶輸入的圖形,還包括: 向所述用戶呈現(xiàn)第二界面,所述第二界面包括隸屬關(guān)系編輯區(qū)域和第二圖形區(qū)域,所 述隸屬關(guān)系編輯區(qū)域用于所述用戶編輯應(yīng)用與域之間的隸屬關(guān)系,所述第二圖像區(qū)域用于 向所述用戶呈現(xiàn)用于表示隸屬關(guān)系的多種圖形; 通過(guò)檢測(cè)所述用戶從所述第二圖形區(qū)域拖動(dòng)至所述隸屬關(guān)系編輯區(qū)域的第二圖形,獲 取所述用戶輸入的所述第二圖形。6. 根據(jù)權(quán)利要求5所述的方法,其特征在于,所述第二圖形包括應(yīng)用圖形、所述域圖形 和隸屬連接圖形,其中,所述應(yīng)用圖形用于表示應(yīng)用,所述歸屬連接圖形用于表示應(yīng)用與應(yīng) 用域之間存在隸屬關(guān)系。7. 根據(jù)權(quán)利要求2至6中任一項(xiàng)所述的方法,其特征在于,所述方法還包括: 在所述用戶輸入的所述圖形不符合訪問(wèn)策略圖的生成規(guī)則時(shí),向所述用戶提示輸入錯(cuò) 誤。8. 根據(jù)權(quán)利要求1至7中任一項(xiàng)所述的方法,其特征在于,所述將所述訪問(wèn)策略圖轉(zhuǎn)換 為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,包括: 通過(guò)對(duì)所述訪問(wèn)策略圖進(jìn)行解析,獲取所述訪問(wèn)規(guī)則; 根據(jù)所述訪問(wèn)規(guī)則,確定安全增強(qiáng)安卓系統(tǒng)策略和/或意圖隔離策略; 將所述安全增強(qiáng)安卓系統(tǒng)策略和/或所述意圖隔離策略編譯為系統(tǒng)能夠識(shí)別的所述 訪問(wèn)控制策略,所述訪問(wèn)控制策略包括所述安全增強(qiáng)安卓系統(tǒng)策略和/或所述意圖隔離策 略。9. 根據(jù)權(quán)利要求1至8中任一項(xiàng)所述的方法,其特征在于,所述訪問(wèn)規(guī)則表示是否允許 所述至少兩個(gè)應(yīng)用之間采用進(jìn)程間通信IPC、網(wǎng)絡(luò)通信、文件系統(tǒng)通信和意圖通信中的至少 一種通信方式進(jìn)行訪問(wèn)。10. -種控制應(yīng)用訪問(wèn)的裝置,其特征在于,包括: 獲取模塊,用于獲取用戶輸入的圖形; 生成模塊,用于根據(jù)所述獲取模塊獲取的所述圖形,生成訪問(wèn)策略圖,所述訪問(wèn)策略圖 表示至少兩個(gè)應(yīng)用之間是否允許訪問(wèn)的訪問(wèn)規(guī)則; 轉(zhuǎn)換模塊,用于將所述生成模塊生成的所述訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控 制策略,所述訪問(wèn)控制策略用于表示是否允許應(yīng)用之間進(jìn)行訪問(wèn); 控制模塊,用于根據(jù)所述轉(zhuǎn)換模塊轉(zhuǎn)換的所述訪問(wèn)控制策略,對(duì)所述至少兩個(gè)應(yīng)用之 間的訪問(wèn)進(jìn)行控制。11. 根據(jù)權(quán)利要求10所述的裝置,其特征在于,所述裝置還包括: 顯示屏,用于向所述用戶呈現(xiàn)第一界面,所述第一界面包括策略編輯區(qū)域以及第一圖 形區(qū)域,所述策略編輯區(qū)域用于所述用戶編輯所述訪問(wèn)策略圖,所述第一圖形區(qū)域用于向 所述用戶呈現(xiàn)用于表示所述訪問(wèn)策略圖的多種圖形; 其中,所述獲取模塊包括第一獲取單元,用于通過(guò)檢測(cè)所述用戶從所述第一圖形區(qū)域 拖動(dòng)至所述策略編輯區(qū)域的第一圖形,獲取所述用戶輸入的所述第一圖形。12. 根據(jù)權(quán)利要求11所述的裝置,其特征在于,所述第一獲取單元獲取的所述第一圖 形包括應(yīng)用圖形、應(yīng)用間通信連接圖形和應(yīng)用間訪問(wèn)規(guī)則圖形,其中,所述應(yīng)用圖形用于表 示應(yīng)用,所述應(yīng)用間通信連接圖形用于表示應(yīng)用之間存在通信連接,所述應(yīng)用間訪問(wèn)規(guī)則 圖形用于表示應(yīng)用之間是否允許訪問(wèn)。13. 根據(jù)權(quán)利要求11或12所述的裝置,其特征在于,所述第一獲取單元獲取的所述第 一圖形包括域圖形、域間通信連接圖形和域間訪問(wèn)規(guī)則圖形;或所述第一獲取單元獲取的 所述第一圖形包括應(yīng)用圖形、域圖形、域間通信連接圖形和域間訪問(wèn)規(guī)則圖形,其中,所述 應(yīng)用圖形用于表示應(yīng)用,所述域圖形用于表示由相同屬性的一個(gè)或多個(gè)應(yīng)用所形成的應(yīng)用 域,所述域間通信連接圖形用于表示應(yīng)用域之間存在通信連接,所述域間訪問(wèn)規(guī)則圖形表 示應(yīng)用域之間的訪問(wèn)規(guī)則。14. 根據(jù)權(quán)利要求13所述的裝置,其特征在于,所述顯示屏還用于:向所述用戶呈現(xiàn)第 二界面,所述第二界面包括隸屬關(guān)系編輯區(qū)域和第二圖形區(qū)域,所述隸屬關(guān)系編輯區(qū)域用 于所述用戶編輯應(yīng)用與域之間的隸屬關(guān)系,所述第二圖像區(qū)域用于向所述用戶呈現(xiàn)用于表 示隸屬關(guān)系的多種圖形; 其中,所述獲取模塊還包括第二獲取單元,用于通過(guò)檢測(cè)所述用戶從所述第二圖形區(qū) 域拖動(dòng)至所述隸屬關(guān)系編輯區(qū)域的第二圖形,獲取所述用戶輸入的所述第二圖形。15. 根據(jù)權(quán)利要求14所述的裝置,其特征在于,所述第二獲取單元獲取的所述第二圖 形包括應(yīng)用圖形、所述域圖形和隸屬連接圖形,其中,所述應(yīng)用圖形用于表示應(yīng)用,所述歸 屬連接圖形用于表示應(yīng)用與應(yīng)用域之間存在隸屬關(guān)系。16. 根據(jù)權(quán)利要求11至15中任一項(xiàng)所述的裝置,其特征在于,所述顯示屏還用于:在 所述用戶輸入的所述圖形不符合訪問(wèn)策略圖的生成規(guī)則時(shí),向所述用戶提示輸入錯(cuò)誤。17. 根據(jù)權(quán)利要求10至16中任一項(xiàng)所述的裝置,其特征在于,所述轉(zhuǎn)換模塊包括: 解析單元,用于通過(guò)對(duì)所述圖形化策略進(jìn)行解析,獲取所述訪問(wèn)規(guī)則; 確定單元,用于根據(jù)所述訪問(wèn)規(guī)則,確定安全增強(qiáng)安卓系統(tǒng)策略和/或意圖隔離策略; 編譯單元,用于將所述安全增強(qiáng)安卓系統(tǒng)策略和/或所述意圖隔離策略編譯為系統(tǒng)能 夠識(shí)別的所述訪問(wèn)控制策略,所述訪問(wèn)控制策略包括所述安全增強(qiáng)安卓系統(tǒng)策略和/或所 述意圖隔離策略。18. 根據(jù)權(quán)利要求10至17中任一項(xiàng)所述的裝置,其特征在于,所述訪問(wèn)規(guī)則表示是否 允許所述至少兩個(gè)應(yīng)用之間采用進(jìn)程間通信IPC、網(wǎng)絡(luò)通信、文件系統(tǒng)通信和意圖通信中的 至少一種通信方式進(jìn)行訪問(wèn)。19. 根據(jù)權(quán)利要求10至18中任一項(xiàng)所述的裝置,其特征在于,所述裝置為移動(dòng)終端。20. -種控制應(yīng)用訪問(wèn)的裝置,其特征在于,所述裝置包括處理器、存儲(chǔ)器和總線系統(tǒng), 其中,所述處理器和所述存儲(chǔ)器通過(guò)所述總線系統(tǒng)相連,所述存儲(chǔ)器用于存儲(chǔ)指令,所述處 理器用于執(zhí)行所述存儲(chǔ)器存儲(chǔ)的指令;其中,所述處理器用于: 獲取用戶輸入的圖形; 根據(jù)所述圖形生成訪問(wèn)策略圖,所述訪問(wèn)策略圖表示至少兩個(gè)應(yīng)用之間是否允許訪問(wèn) 的訪問(wèn)規(guī)則; 將所述訪問(wèn)策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,所述訪問(wèn)控制策略用于表示 是否允許應(yīng)用之間進(jìn)行訪問(wèn); 根據(jù)所述訪問(wèn)控制策略,對(duì)所述至少兩個(gè)應(yīng)用之間的訪問(wèn)進(jìn)行控制。21. 根據(jù)權(quán)利要求20所述的裝置,其特征在于,所述裝置還包括: 顯示屏,用于向所述用戶呈現(xiàn)第一界面,所述第一界面包括策略編輯區(qū)域以及第一圖 形區(qū)域,所述策略編輯區(qū)域用于所述用戶編輯所述訪問(wèn)策略圖,所述第一圖形區(qū)域用于向 所述用戶呈現(xiàn)用于表示所述訪問(wèn)策略圖的多種圖形; 其中,所述處理器獲取用戶輸入的圖形,具體包括: 通過(guò)檢測(cè)所述用戶從所述第一圖形區(qū)域拖動(dòng)至所述策略編輯區(qū)域的第一圖形,獲取所 述用戶輸入的所述第一圖形。22. 根據(jù)權(quán)利要求21所述的裝置,其特征在于,所述處理器獲取的所述第一圖形包括 應(yīng)用圖形、應(yīng)用間通信連接圖形和應(yīng)用間訪問(wèn)規(guī)則圖形,其中,所述應(yīng)用圖形用于表示應(yīng) 用,所述應(yīng)用間通信連接圖形用于表示應(yīng)用之間存在通信連接,所述應(yīng)用間訪問(wèn)規(guī)則圖形 用于表示應(yīng)用之間是否允許訪問(wèn)。23. 根據(jù)權(quán)利要求21或22所述的裝置,其特征在于,所述處理器獲取的所述第一圖形 包括域圖形、域間通信連接圖形和域間訪問(wèn)規(guī)則圖形;或所述處理器獲取的所述第一圖形 包括應(yīng)用圖形、域圖形、域間通信連接圖形和域間訪問(wèn)規(guī)則圖形,其中,所述應(yīng)用圖形用于 表示應(yīng)用,所述域圖形用于表示由相同屬性的一個(gè)或多個(gè)應(yīng)用所形成的應(yīng)用域,所述域間 通信連接圖形用于表示應(yīng)用域之間存在通信連接,所述域間訪問(wèn)規(guī)則圖形表示應(yīng)用域之間 是否允許訪問(wèn)。24. 根據(jù)權(quán)利要求23所述的裝置,其特征在于,所述顯示屏還用于: 向所述用戶呈現(xiàn)第二界面,所述第二界面包括隸屬關(guān)系編輯區(qū)域和第二圖形區(qū)域,所 述隸屬關(guān)系編輯區(qū)域用于所述用戶編輯應(yīng)用與域之間的隸屬關(guān)系,所述第二圖像區(qū)域用于 向所述用戶呈現(xiàn)用于表示隸屬關(guān)系的多種圖形; 其中,所述處理器獲取用戶輸入的圖形,具體還包括: 通過(guò)檢測(cè)所述用戶從所述第二圖形區(qū)域拖動(dòng)至所述隸屬關(guān)系編輯區(qū)域的第二圖形,獲 取所述用戶輸入的所述第二圖形。25. 根據(jù)權(quán)利要求24所述的裝置,其特征在于,所述處理器獲取的所述第二圖形包括 應(yīng)用圖形、所述域圖形和隸屬連接圖形,其中,所述應(yīng)用圖形用于表示應(yīng)用,所述歸屬連接 圖形用于表示應(yīng)用與應(yīng)用域之間存在隸屬關(guān)系。26. 根據(jù)權(quán)利要求21至25中任一項(xiàng)所述的裝置,其特征在于,所述顯示屏還用于: 在所述處理器確定所述用戶輸入的所述圖形不符合訪問(wèn)策略圖的生成規(guī)則時(shí),向所述 用戶提示輸入錯(cuò)誤。27. 根據(jù)權(quán)利要求20至26中任一項(xiàng)所述的裝置,其特征在于,所述處理器將所述訪問(wèn) 策略圖轉(zhuǎn)換為系統(tǒng)能夠識(shí)別的訪問(wèn)控制策略,具體包括: 通過(guò)對(duì)所述訪問(wèn)策略圖進(jìn)行解析,獲取所述訪問(wèn)規(guī)則; 根據(jù)所述訪問(wèn)規(guī)則,確定安全增強(qiáng)安卓系統(tǒng)策略和/或意圖隔離策略; 將所述安全增強(qiáng)安卓系統(tǒng)策略和/或所述意圖隔離策略編譯為系統(tǒng)能夠識(shí)別的所述 訪問(wèn)控制策略,所述訪問(wèn)控制策略包括所述安全增強(qiáng)安卓系統(tǒng)策略和/或所述意圖隔離策 略。28. 根據(jù)權(quán)利要求20至27中任一項(xiàng)所述的裝置,其特征在于,所述訪問(wèn)規(guī)則表示是否 允許所述至少兩個(gè)應(yīng)用之間采用進(jìn)程間通信IPC、網(wǎng)絡(luò)通信、文件系統(tǒng)通信和意圖通信中的 至少一種通信方式進(jìn)行訪問(wèn)。29. 根據(jù)權(quán)利要求20至28中任一項(xiàng)所述的裝置,其特征在于,所述裝置為移動(dòng)終端。
      【文檔編號(hào)】G06F21/62GK105989296SQ201510041216
      【公開(kāi)日】2016年10月5日
      【申請(qǐng)日】2015年1月27日
      【發(fā)明人】李志 , 陶敬
      【申請(qǐng)人】華為技術(shù)有限公司
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1