[发明专利]一种Java应用安全访问控制方法及其装置

权利要求书

1.一种Java应用安全访问控制方法，其特征在于，包括：

Java虚拟机JVM根据Java归档文件中的权限描述信息，生成扩展安全访问策略文件，所述扩展安全策略文件中的组件的资源访问权限信息中设置有授权约束条件，所述授权约束条件表示当对应组件调用其它组件的指定操作时需要被赋予被调用组件的资源访问权限；

当JVM接收到第一组件调用第二组件的请求且相应组件已经加载时，JVM根据所述扩展安全访问策略文件，若判断本次调用满足相应授权约束条件，则根据相应授权约束条件将第二组件的资源访问权限赋予第一组件，并对本次调用进行安全访问控制。

2.如权利要求1所述的方法，其特征在于，还包括：

若JVM判断本次调用不满足授权约束条件，则通过栈检测对本次调用进行安全访问控制。

3.如权利要求1所述的方法，其特征在于，JVM通过以下方式，在组件的资源访问权限信息中设置授权约束条件：

在所述扩展安全策略文件中的第一组件的资源访问权限条目下，设置调用第二组件的指定操作的语句，用于表示当第一组件调用第二组件的指定操作时需要被赋予第二组件的资源访问权限。

4.如权利要求1所述的方法，其特征在于，当JVM接收到第一组件调用第二组件的请求，但判断相应组件还未加载时，还包括：

JVM判断相应组件是否存在于允许加载的组件列表中，并当判断为是时，加载所述相应组件。

5.如权利要求1-4之一所述的方法，其特征在于，所述组件为用户类。

6.一种用于实现Java应用安全访问控制的JVM，其特征在于，包括：

类加载器，用于加载用户类；

安全管理器，用于根据Java归档文件中的权限描述信息，生成扩展安全访问策略文件，所述扩展安全策略文件中的组件的资源访问权限信息中设置有授权约束条件，所述授权约束条件表示当对应组件调用其它组件的指定操作时需要被赋予被调用组件的资源访问权限；以及，当接收到第一组件调用第二组件的请求且相应组件已经加载时，根据所述扩展安全访问策略文件，若判断本次调用满足相应授权约束条件，则根据相应授权约束条件将第二组件的资源访问权限赋予第一组件，并对本次调用进行安全访问控制。

7.如权利要求6所述的JVM，其特征在于，所述安全管理器还用于，若判断本次调用不满足授权约束条件，则通过栈检测对本次调用进行安全访问控制。

8.如权利要求6所述的JVM，其特征在于，所述安全管理器具体用于，通过以下方式，在组件的资源访问权限信息中设置授权约束条件：在所述扩展安全策略文件中的第一组件的资源访问权限条目下，设置调用第二组件的指定操作的语句，用于表示当第一组件调用第二组件的指定操作时需要被赋予第二组件的资源访问权限。

9.如权利要求6所述的JVM，其特征在于，所述类加载器具体用于，当JVM接收到组件调用其它组件的请求后判断相应组件还未加载时，判断相应组件是否存在于允许加载的组件列表中，并当判断为是时，加载所述相应组件。

10.如权利要求6-9之一所述的方法，其特征在于，所述组件为用户类。