[发明专利]安全策略设置、确定方法、应用程序执行操作方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种安全策略设置方法及装置、安全策略确定方法及装置、应用程序执行操作的方法及装置。

背景技术

移动终端上的应用程序认证技术已经成为了智能终端上对应用程序行为进行安全防护的主流技术之一，Windows Mobile平台和Symbian平台均有其相应的应用程序签名认证机制。

应用程序签名认证机制是指使用数字证书对移动终端中运行的应用程序进行签名，实现签名的过程主要包括：首先，应用程序的开发者向移动终端操作系统制造商授权的证书发行者申请获得用以验证应用程序身份和要求权限的数字证书；然后，证书发行者使用数字证书对应用程序进行签名并授权开发者进行发布。在应用程序签名认证机制中，数字证书包含根证书和签名证书两部分，其中，根证书内置于移动终端，签名证书用以对应用程序进行签名，后续在验证得到根证书与签名证书匹配一致后，就可以实现对应用程序的发行者和权限的解析与确定，并根据验证后确定的应用程序权限，为应用程序分配安全策略。

在现有技术中，在为应用程序分配安全策略时，采用的分配方案是：数字证书验证系统在根据数字证书确定出应用程序权限后，从预先设置好的多种安全策略中选取对应于应用程度权限的安全策略分配给应用程序，并根据为应用程序分配的安全策略，将应用程序标识映射到相应的静态安全域。这样的方案存在的缺陷在于，预先设置的安全策略均是按照已知的应用程序权限进行设置的，因此不利于安全策略灵活分配。比如，针对已知的应用程序权限1～3，预先设置的安全策略1指示的是具有权限1的应用程序能够执行操作1、2；而安全策略2指示的是应用程序2能够执行操作1、2、3；安全策略3指示的是应用程序3能够执行操作3、4。而针对预定的能够执行操作1、3、4的应用程序4来说，由于预设的安全策略1～3中没有应用程序能够执行操作1、3、4这样的应用策略，因此，数字证书验证系统只能选取安全策略3作为该应用程序4采用的安全策略，而这样的结果直接导致的就是将应用程序4本应该能进行的操作1限制为不能进行。

发明内容

本发明实施例提供一种安全策略设置方法及装置，用以解决现有技术中存在的为应用程序分配安全策略的方案不灵活的问题。

本发明实施例还提供一种安全策略确定方法及装置、应用程序执行操作的方法及装置。

本发明实施例采用以下技术方案：

一种安全策略设置方法，包括：

确定应用程序的安全策略；将用于指示所述安全策略的安全策略信息设置在对所述应用程序进行签名的签名证书中并发送。

较佳地，确定应用程序的安全策略具体包括：根据应用程序的权限，从预定的权限与安全策略的对应关系中，确定对应于所述应用程序的第一安全策略；获得数字证书验证系统的状态信息；根据所述状态信息，从预定的状态信息与安全策略的对应关系中，确定与所述状态信息对应的第二安全策略；根据所述第一安全策略和第二安全策略，确定所述应用程序的安全策略。

较佳地，所述状态信息为所述数字证书验证系统的系统环境信息和/或系统安全等级信息。

较佳地，将所述安全策略信息设置在所述签名证书的字段进行扩展后得到的安全策略信息扩展字段中。

一种安全策略确定方法，包括：接收并解析对应用程序进行签名的签名证书，获得预先设置在所述签名证书中的用以指示安全策略的安全策略信息；确定所述安全策略信息指示的安全策略为分配给所述应用程序的安全策略。

一种应用程序执行操作的方法，包括：获得设置有所述应用程序的移动终端发送的应用程序执行请求消息，所述请求消息中承载有请求通过所述应用程序执行的操作的标识及该操作的安全等级信息；根据所述安全等级信息，判断出所述应用程序执行的操作为指定操作时，根据所述分配给所述应用程序的安全策略，确定允许所述应用程序进行的操作，并通过对所述应用程序执行请求消息中承载的标识指示的操作与确定的所述操作的匹配，允许所述应用程序执行与确定的所述操作匹配一致的操作，禁止所述应用程序执行与确定的所述操作匹配不一致的操作。

一种安全策略设置装置，包括：确定单元，用于确定应用程序的安全策略；发送单元，用于将用于指示确定单元确定的安全策略的安全策略信息设置在对所述应用程序进行签名的签名证书中并发送。

一种安全策略确定装置，包括：获得单元，用于接收并解析对应用程序进行签名的签名证书，获得预先设置在所述签名证书中的用以指示安全策略的安全策略信息；确定单元，用于确定获得单元获得的所述安全策略信息指示的安全策略为分配给所述应用程序的安全策略。