针对由在虚拟机里面运行的移动应用加载、链接和执行本地代码的安全策略制造技术

技术编号:13190192 阅读:126 留言:0更新日期:2016-05-11 18:36
本文描述的方法和系统涉及通过实施与通过在装置上执行的一个或者多个应用加载、链接和/或者执行本地代码有关的一个或者多个策略来增强装置的安全性。

【技术实现步骤摘要】
【国外来华专利技术】【专利说明】针对由在虚拟机里面运行的移动应用加载、链接和执行本地代码的安全策略相关申请的交叉引用本申请要求于2013年4月8日提交的美国申请序列N0.13/858,929的优先权,通过引用方式将其全部内容并入本文中。
本专利技术涉及移动装置安全性。更具体地,本专利技术处于移动通信装置中的分布式策略实施的

技术介绍
的描述目前装置尤其是移动装置的与软件和数据有关的安全性依赖各种特征,包括:虚拟机、进程间通信、软件包管理器、移动装置管理系统、触摸屏软件组件、共享存储器、关系数据库、装置配置签名检查、专门的调试接口(例如Android调试桥等)、可信守护进程等。在一个示例中,Android移动装置使用关于进程间通信的检查来确定应用是否应当获得对特定系统资源例如用户的通讯录的访问。虚拟机安全性检查(例如确定是否应当加载具体本地库)也被使用。使用移动装置的关键挑战在于:难以保证被依赖以提供安全性的非常软件的完整性(例如虚拟机、装置1/0、进程间通信、专门调试接口和其它组件)。需要存在经由进程间通信机制通过实施数据起源,免受恶意软件并且实施安全性策略来提供安全性的系统。
技术实现思路
在实施例中,过滤对具有由装置中的一个或者多个对象防火墙控制的两个或者更多对象之间的一个或者多个进程间控制路径的资源的访问的方法和系统可以使用处理器来基于策略控制对来自应用的资源的访问。基于策略来控制对来自应用的资源的访问可以包括:提供策略并且过滤通过进程间控制路径对(提供了对资源的访问的)对象的访问。在实施例中,方法和系统还可以包括:使用计算机处理器基于当前日期和时间、装置的当前位置、装置的当前用户的身份、在装置上当前执行的每个应用的身份以及当前使用的每个资源的身份中的一个或者多个来生成基于装置的上下文。在实施例中,基于策略来控制对来自与应用相关联的对象的装置资源的访问可以包括:提供上下文感知策略应用以控制对资源的访问。在实施例中,上下文感知策略可以被使能与策略服务器通信以传送一个或者多个策略。在实施例中,管理到对象的进程间通信的策略可以为与上下文有关的策略。在实施例中,资源可以为网络连接、蜂窝连接、键盘、触摸界面、操作系统、应用、应用编程接口的部分、软件驱动器、数据库、端口、无线通信接口和存储器中的安全区域中的一个。在实施例中,对象防火墙可以记录资源访问尝试。在实施例中,对象防火墙可以存储在集中式对象注册表中。在实施例中,提供对资源的访问的对象存储在集中式注册表中。在实施例中,策略可以使用图形用户接口来授权,该策略可以第一格式存储,转换成用于传输到装置的第二格式并且可以通过接收装置解析以确定如何配置一个或者多个对象防火墙。在实施例中,计算机处理器可以用于在与装置安全系统相关联的单个进程中控制且配置对象防火墙。在实施例中,在移动网络中实施分布式策略的方法和系统可以包括:至少一个处理器,其适合于提供装置上的进程间通信防火墙以实施管理能够经由装置通信的至少两个系统之间的通信的一个或者多个规则,其中,至少一个处理器适合于经由与进程间通信防火墙相关联的策略引擎生成经由装置通信的系统中的至少一个的上下文的指示,并且所述至少一个处理器适合于基于系统中的至少一个的策略和上下文来确定至少两个系统之间的通信是否由进程间通信防火墙准许。在实施例中,至少一个处理器可以适合于提供装置上的多个进程间通信防火墙。在实施例中,可以提供所述防火墙以实施管理可以经由装置通信的至少两个系统之间的通信的一个或者多个规则。在实施例中,至少一个处理器可以适合于生成其中策略引擎,其中该策略引擎被使能与策略服务器通信以传送一个或者多个策略的策略引擎。在实施例中,策略可以包括黑名单、白名单、签名策略、命名策略、校验和分析策略、库分析策略、一个或者多个应用的许可、过程、用户和用户组中的一个或者多个。在实施例中,进程间通信防火墙可以为面向对象的防火墙。在实施例中,面向对象的防火墙可以与在装置上执行的应用相关联。在实施例中,适合于确定至少两个系统之间的通信是否由进程间通信防火墙准许的至少一个处理器可以适合于基于通信的内容来确定至少两个系统之间的通信是否由进程间通信防火墙准许。在实施例中,使移动装置免于恶意软件的方法和系统可以包括:使用计算机处理器传递来自第一应用的远程过程调用到进程间控制数据总线,由进程间控制数据总线从策略引擎请求远程过程调用的策略验证,由策略引擎基于远程过程调用的上下文和存储的策略来确定是否批准远程过程调用,传送来自策略引擎的确定回到进程间控制数据总线,并且响应于确定来由进程间控制数据总线准许与阻止远程过程调用中的至少一个。在实施例中,传递远程过程调用可以包括:将与第二应用相关联的第二对象的远程过程调用从与第一应用相关联的第一对象传递到进程间控制数据总线。在实施例中,策略引擎可以被使能与策略服务器通信以传送一个或者多个策略。在实施例中,使移动装置免于恶意软件的方法和系统可以包括:提供用于当创建新对象时安装新对象防火墙的进程间控制器。在实施例中,使移动装置免于恶意软件的方法和系统可以包括:响应于确定来由进程间控制数据总线准许与阻止远程过程调用中的至少一个,其中,响应于确定来由进程间控制数据总线准许与阻止远程过程调用中的至少一个可以包括:准许远程过程调用无修改,准许远程过程调用具有修改的远程过程调用的内容,准许远程过程调用具有响应于远程过程调用而从资源发送的数据的修改的返回值,阻止远程过程调用,记录远程过程调用,忽视远程过程调用,修改一个或者多个防火墙规则,增加一个或者多个防火墙策略且移除一个或者多个防火墙策略中的至少一个。在实施例中,使移动装置免于恶意软件的方法和系统可以包括内容感知策略引擎。在实施例中,上下文感知策略引擎还可以被使能生成特定系统上下文,所述特定系统上下文包括:当前日期、当前时间、移动装置的位置、装置用户的身份和在移动装置上当前执行的应用中的一个或者多个。在实施例中,方法和系统可以包括实施与由应用加载、链接和/或执行本地代码相关联的策略。在实施例中,方法可以包括:通过计算机处理器的使用取得在装置的第一进程中执行的应用;通过计算机处理器的使用提供在装置的第二进程中执行的策略引擎;通过应用取得本地代码库的请求;通过策略引擎确定来自应用的请求是否基于策略而被准许;并且在确定允许应用访问本地库之后准许对本地代码库的访问。在实施例中,方法和系统可以包括:经由本地代码库促进应用和操作系统之间的交互。在实施例中,方法和系统可以包括:提供能够与远程策略服务器通信以获得策略的策略引擎。在实施例中,远程策略服务器可以包括至少一个策略的策略服务器。在实施例中,应用可以为在虚拟机内运行的应用。在实施例中,方法和系统可以包括:获得来自多个应用的请求。在实施例中,装置可以为移动电话、平板电脑、膝上型计算机和智能电话中的一个。在实施例中,策略可以包括黑名单、白名单、签名、名称检查、校验和、库分析检查、应用许可的检查、进程检查、用户检查和组检查中的一个或者多个。在实施例中,通过应用请求本地代码库可以包括:经由本地跨进程通信机制来进行通信。在实施例中,本地跨进程通信机制包括:进程间通信机制、Unix域套接字和共享存储器中的一个。在实施例中,应用可以选自包括游戏、实用程本文档来自技高网...

【技术保护点】
一种实施与由应用加载、链接和/或执行本地代码相关联的策略的方法,所述方法包括:通过计算机处理器的使用取得在装置上的第一进程中执行的应用;通过计算机处理器的使用提供在装置上的第二进程中执行的策略引擎;由所述应用取得本地代码库的请求;由所述策略引擎确定来自应用的请求是否基于策略被允许;并且在确定所述应用被允许访问本地库之后准许对本地代码库的访问。

【技术特征摘要】
【国外来华专利技术】...

【专利技术属性】
技术研发人员:克里斯多夫·朱尔斯·怀特托马斯·查尔斯三世·克兰西
申请(专利权)人:奥普帝奥实验室有限公司
类型:发明
国别省市:美国;US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1