[发明专利]一种基于命名空间实现分类控制的方法及系统

说明书

本发明公开了基于命名空间实现分类控制的方法及系统，其中方法包括：从受控应用接收针对用户设备的系统服务和/或普通服务的访问请求；根据受控应用所处的命名空间为受控应用确定基础控制策略；基于命名空间针对受控应用的配置信息，确定受控应用的扩展控制策略；确定请求方针对受控应用的访问请求的访问控制策略；以及基于访问控制策略对受控应用针对系统服务和/或普通服务的访问进行控制。

技术领域

本发明涉及信息安全领域，并且更具体地，涉及一种基于命名空间实现分类控制的方法及系统，以及移动终端。

背景技术

随着智能化终端设备的发展和普及，最为活跃应用开发已经从桌面计算机系统转移到移动终端系统。移动终端作为一种便携式的通信设备，已经被人们广泛应用在学习、娱乐、工作等方面，以提高现代人的生活质量。但是由于各种的个人资料、网络信息及应用皆可通过移动终端进行存取或使用，移动终端中具有大量高度价值且应被保密的资料。此外，由于移动终端应用的增加，各种应用如微信、QQ、相机及支付平台在移动终端使用频率的增加，相应产生的隐私信息如通讯录信息、工作文档信息、个人图片信息、个人账户信息也会大量增加。然而，由于移动终端的便利及可移植性，使得移动终端内的数据及应用也曝露在容易被他人取得的危险下。若用户对移动终端未进行任何隐私保护，那么一旦移动终端落入他人手中等同于用户个人隐私完全被他人窃知，造成个人隐私外泄，安全性十分差。

安全区域技术被设计用来针对计算机病毒进行处理。在个人计算机端设置虚拟空间，对虚拟空间内应用或程序进行应用程序接口调用的截获，从而实现病毒隔离。通常，为了实现病毒隔离，安全区域中的应用不能调用任何本地或远程可执行程序、不能从本地计算机文件系统中读取任何信息、不能往本地计算机文件系统中写入任何信息以及不能查看少数几个无害的操作系统详细信息外的任何有关本地计算机的信息。但是，安全区域内和外的完全隔离对于应用对外部安全内容的正常调用造成不便。

目前，安全区域保护技术通过促使用户将需要进行安全保护或安全隔离的应用放置到特定区域中进行安全保护。但是这种方式使得用户需要通过移动操作来对应用进行移入或移出处理，并且当安全区域内的应用需要访问外部的安全应用、获取外部的数据以及进行安全的网络访问时，安全区域无法区分访问或获取是否安全并且因此会拒绝所有的数据交互。

为此，现有技术存在通过更为便捷的方式对应用进行分类控制的需求。

发明内容

本发明提供了一种基于命名空间实现分类控制的方法及系统，以解决如何基于命名空间实现分类控制的问题。

为了解决上述问题，提供一种基于命名空间实现分类控制的方法，所述方法包括：

从受控应用接收针对用户设备的系统服务和/或普通服务的访问请求；

根据所述受控应用所处的命名空间为所述受控应用确定基础控制策略；

基于所述命名空间针对所述受控应用的配置信息，确定所述受控应用的扩展控制策略；

当所述基础控制策略的安全等级高于或等于所述扩展控制策略的安全等级时，将所述基础控制策略作为所述受控应用的访问用户设备的系统服务的访问控制策略；当所述基础控制策略的安全等级低于所述扩展控制策略的安全等级时，将所述扩展控制策略作为所述受控应用的访问用户设备的系统服务的访问控制策略；将所述扩展控制策略作为所述受控应用的针对用户设备的普通服务的访问控制策略；以及

基于所述访问控制策略对所述受控应用针对系统服务和/或普通服务的访问进行控制。

优选地，还包括在多个命名空间中，为多个应用中任意应用分配一个命名空间。

优选地，所述多个命名空间中的每个命名空间具有唯一的空间标识符，并且为多个应用中的每个应用增加命名空间属性。