专利 沙箱应用访问权限的管控方法、计算设备及可读存储介质

(19)国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202211452409.8 (22)申请日 2022.11.21 (71)申请人统信软件技术有限公司地址 100176 北京市大兴区北京经济技术开发区科谷一街10号院12号楼18层 (72)发明人刘建强　胡庆红　袁啟良　袁海胜　 (74)专利代理机构北京瀚方律师事务所 1 1774 专利代理师姜莹 (51)Int.Cl. G06F 21/53(2013.01) G06F 21/60(2013.01) (54)发明名称沙箱应用访问权限的管控方法、计算设备及可读存储介质 (57)摘要本发明公开了一种沙箱应用访问权限的管控方法、计算设备及可读存储介质，涉及计算机领域。本发明的沙箱应用访问权限的管控方法包括：通过在沙箱中所挂载的套接字文件对沙箱应用进行监听。当监听到沙箱应用的dbus报文时，对dbus报文进行解析，获取沙箱应用所要访问的目标服务的关联信息。然后，将目标服务的关联信息与沙箱应用的配置文件中存储的各可访问服务的关联信息进行匹配。若匹配成功，将dbus 报文转发给总线守护进程。若匹配失败，申请访问目标服务。若允许访问，将dbus报文转发给总线守护进程，若拒绝访问，向沙箱应用发送错误报文。本发明支持用户动态授权沙箱应用访问宿主机服务的权限，使用户可更加方便灵活的对沙箱应用的访问权限进行配置。权利要求书2页说明书10页附图4页 CN 115510429 A 2022.12.23 CN 115510429 A 1.一种沙箱应用访问权限的管控方法，所述沙箱应用的配置文件中存储有所述沙箱应用可通过沙箱内的消息总线系统dbus访问的各可访问服务的关联信息，所述沙箱中挂载有套接字文件，所述方法包括：通过所述套接字文件对所述沙箱应用进行监听；当监听到所述沙箱应用的dbus报文时，对所述dbus报文进行解析，获取所述沙箱应用所要访问的目标服务的关联信息；将所述目标服务的关联信息与所述配置文件中存储的各可访问服务的关联信息进行匹配；如果匹配成功，则将所述dbus报文转发给总线守护进程；如果匹配失败，则申请访问目标服务；如果申请结果为允许访问，则将所述dbus报文转发给总线守护进程；如果申请结果为拒绝访问，则向所述沙箱应用发送错误报文以通知其不具备访问所述目标服务的权限。 2.如权利要求1所述的方法，其中，所述沙箱应用配备有权限设置文件，相应地，所述配置文件中存储的各可访问服务的关联信息通过所述权限设置文件进行配置。 3.如权利要求1所述的方法，其中，所述配置文件中存储的各可访问服务的关联信息通过终端命令进行配置。 4.如权利要求1 ‑3中任一项所述的方法，其中，所述关联信息包括服务名称、服务路径和服务接口。 5.如权利要求4所述的方法，其中，所述将所述目标服务的关联信息与所述配置文件中存储的各可访问服务的关联信息进行匹配，包括：将所述目标服务的服务名称、服务路径和服务接口分别与所述各可访问服务的服务名称、服务路径和服务接口进行匹配；如果存在可访问服务的服务名称、服务路径和服务接口与所述目标服务的服务名称、服务路径和服务接口完全相同，则判定匹配成功，否则，判定匹配失败。 6.如权利要求1 ‑3中任一项所述的方法，其中，所述允许访问包括本次允许和永久允许，所述拒绝访问包括本次拒绝和永久拒绝。 7.如权利要求6所述的方法，其中：如果所述允许访问为永久允许，所述方法还包括：将所述目标服务确定为可访问服务，并将其关联信息添加至所述配置文件中；如果所述拒绝访问为永久拒绝，所述方法还包括：将所述目标服务确定为不可访问服务，并将其关联信息存储至所述配置文件中。 8.如权利要求7所述的方法，其中，在获取所述沙箱应用所要访问的目标服务的关联信息之后，还包括：将所述目标服务的关联信息与所述配置文件中存储的各不可访问服务的关联信息进行匹配；如果匹配失败，则继续执行所述将所述目标服务的关联信息与所述配置文件中存储的各可访问服务的关联信息进行匹配；如果匹配成功，则向所述沙箱应用发送错误报文以告知其不具备访问所述目标服务的权　利　要　求　书 1/2 页 2 CN 115510429 A 2权限。 9.一种计算设备，包括：至少一个处理器；以及存储器，存储有程序指令，其中，所述程序指令被配置为适于由所述至少一个处理器执行，所述程序指令包括用于执行如权利要求1 ‑8中任一项所述的方法的指令。 10.一种存储有程序指令的可读存储介质，当所述程序指令被计算设备读取并执行时，使得所述计算设备执行如权利要求1 ‑8中任一项所述方法。权　利　要　求　书 2/2 页 3 CN 115510429 A 3

专利 沙箱应用访问权限的管控方法、计算设备及可读存储介质

专利沙箱应用访问权限的管控方法、计算设备及可读存储介质