应用访问分级方法、装置及电子设备与流程

1.本技术涉及安全技术领域，尤其涉及一种应用访问分级方法、装置及电子设备。


背景技术：

2.目前，电子设备(如手机、智能手表等)上往往会安装各种应用，以满足用户的需求。用户都可以通过访问电子设备上的应用，来使用该应用所提供的功能，例如，用户可以使用视频类应用观看视频内容，使用社交类应用进行聊天，使用安全支付类应用进行付款等。然而，对于电子设备而言，任何人在拿到该设备后均可以任意访问其中的应用，导致应用的安全性较低。因此，如何提升应用的安全性是目前亟需解决的技术问题。


技术实现要素：

3.本技术实施例提供了一种应用访问分级方法、装置及电子设备，能够基于应用的属性信息与隐私安全之间的相关性对应用进行访问分级，实现了对不同访问等级的应用进行不同的访问控制，提升应用的安全性，并为用户提供了更细粒度的隐私保护体验。
4.第一方面，本技术实施例提供了一种应用访问分级方法，方法包括：
5.获取目标应用的目标属性信息，目标属性信息包括目标应用的开发者信息、类别信息和目标应用运行过程中所需的权限信息中的一种或多种；
6.根据目标属性信息中各个子信息与隐私安全之间的相关性，确定目标应用的访问权重值；
7.根据访问权重值，确定目标应用的目标访问等级，其中，不同的访问等级具有不同的访问控制策略。
8.由此，基于应用的属性信息与隐私安全之间的相关性对应用进行访问分级，实现了对不同访问等级的应用进行不同的访问控制，提升应用的安全性，并为用户提供了更细粒度的隐私保护体验。
9.在一种可能的实现方式中，获取目标应用的目标属性信息，包括：
10.获取目标应用在应用市场中的注册信息；
11.根据注册信息，确定目标属性信息。
12.在一种可能的实现方式中，根据目标属性信息中各个子信息与隐私安全之间的相关性，确定目标应用的访问权重值，包括：
13.基于各个子信息与隐私安全之间的相关性，确定各个子信息的权重值；
14.根据各个子信息的权重值，得到访问权重值。
15.在一种可能的实现方式中，根据访问权重值，确定目标应用的目标访问等级，包括：
16.确定访问权重值所属的目标权重区间，根据目标权重区间，确定目标访问等级。
17.在一种可能的实现方式中，目标应用的目标访问等级包括第一访问等级、第二访问等级和第三访问等级中的一种，其中，第一访问等级需要对目标应用的访问者进行多次
主动认证；
18.第二访问等级需要对目标应用的访问者进行被动认证，以及在被动认证失败时进行主动认证，被动认证包括判断目标应用的访问者的当前访问行为与历史访问行为是否匹配；
19.第三访问等级无需对目标应用的访问者进行主动认证和/或被动认证。
20.在一种可能的实现方式中，根据访问权重值，确定目标应用的目标访问等级之后，方法还包括：
21.基于目标应用和目标访问等级，建立目标应用与目标访问等级之间的目标关联关系。
22.在一种可能的实现方式中，建立目标应用与目标访问等级之间的目标关联关系之后，方法还包括：
23.在目标应用被访问时，基于目标应用的身份标识和目标关联关系，获取目标访问等级；
24.确定目标访问等级为第二访问等级，获取用户的当前访问行为；
25.判断用户的当前访问行为与历史访问行为是否匹配；
26.若用户的当前访问行为与历史访问行为不匹配，对用户的身份进行至少一次主动认证，以及在至少一次主动认证通过时，允许用户访问目标应用；
27.若用户的当前访问行为与历史访问行为相匹配，允许用户访问目标应用。
28.在一种可能的实现方式中，允许用户访问目标应用之后，还包括：
29.记录用户本次访问目标应用的访问信息，访问信息包括访问时刻、访问时长和主动认证方式中的一种或多种；
30.基于访问信息，更新历史访问行为。
31.第二方面，本技术实施例提供了一种应用访问分级装置，装置包括：
32.获取模块，用于获取目标应用的目标属性信息，目标属性信息包括目标应用的开发者信息、类别信息和目标应用运行过程中所需的权限信息中的一种或多种；
33.处理模块，用于根据目标属性信息中各个子信息与隐私安全之间的相关性，确定目标应用的访问权重值；根据访问权重值，确定目标应用的目标访问等级，其中，不同的访问等级具有不同的访问控制策略。
34.在一种可能的实现方式中，获取模块，还用于：
35.获取目标应用在应用市场中的注册信息；
36.根据注册信息，确定目标属性信息。
37.在一种可能的实现方式中，处理模块，还用于：
38.基于各个子信息与隐私安全之间的相关性，确定各个子信息的权重值；
39.根据各个子信息的权重值，得到访问权重值。
40.在一种可能的实现方式中，处理模块，还用于：
41.确定访问权重值所属的目标权重区间，根据目标权重区间，确定目标应用的访问等级。
42.在一种可能的实现方式中，目标应用的目标访问等级包括第一访问等级、第二访问等级和第三访问等级中的一种，其中，第一访问等级需要对目标应用的访问者进行多次
主动认证；
43.第二访问等级需要对目标应用的访问者进行被动认证，以及在被动认证失败时进行主动认证，被动认证包括判断目标应用的访问者的当前访问行为与历史访问行为是否匹配；
44.第三访问等级无需对目标应用的访问者进行主动认证和/或被动认证。
45.在一种可能的实现方式中，处理模块，还用于：
46.基于目标应用和目标访问等级，建立目标应用与目标访问等级之间的目标关联关系。
47.在一种可能的实现方式中，处理模块，还用于：
48.在目标应用被访问时，基于目标应用的身份标识和目标关联关系，获取目标访问等级；
49.确定目标访问等级为第二访问等级，获取用户的当前访问行为；
50.判断用户的当前访问行为与历史访问行为是否匹配，用户行为画像中包括用户的历史访问行为；
51.若用户的当前访问行为与历史访问行为不匹配，对用户的身份进行至少一次主动认证，以及在至少一次主动认证通过时，允许用户访问目标应用；
52.若用户的当前访问行为与历史访问行为相匹配，允许用户访问目标应用。
53.在一种可能的实现方式中，处理模块，还用于：
54.记录用户本次访问目标应用的访问信息，访问信息包括访问时刻、访问时长和主动认证方式中的一种或多种；
55.基于访问信息，更新历史访问行为。
56.第三方面，本技术实施例提供了一种电子设备，包括：
57.存储器，用于存储程序；
58.处理器，用于执行存储器存储的程序，当存储器存储的程序被执行时，处理器用于执行第一方面中所提供的方法。
59.第四方面，本技术实施例提供了一种电子设备，包括第二方面中所提供的装置。
60.第五方面，本技术实施例提供了一种计算机存储介质，计算机存储介质中存储有指令，当指令在计算机上运行时，使得计算机执行第一方面中所提供的方法。
61.第六方面，本技术实施例提供了一种芯片，其特征在于，包括至少一个处理器和接口；
62.接口，用于为至少一个处理器提供程序指令或者数据；
63.至少一个处理器用于执行程序行指令，以实现第一方面中所提供的方法。
附图说明
64.图1是本技术实施例提供的一种应用场景示意图；
65.图2是本技术实施例提供的一种应用访问分级方法的流程示意图；
66.图3是本技术实施例提供的一种基于目标应用的目标访问等级对目标应用进行访问控制的流程示意图；
67.图4是本技术实施例提供的一种应用访问分级系统的框架结构示意图；
68.图5是本技术实施例提供的一种对应用进行分级的过程示意图；
69.图6是本技术实施例提供的一种对应用进行访问控制的过程示意图；
70.图7是本技术实施例提供的一种应用分级访问装置的结构示意图；
71.图8是本技术实施例提供的一种电子设备的结构示意图；
72.图9是本技术实施例提供的一种芯片的结构示意图。
具体实施方式
73.为了使本技术实施例的目的、技术方案和优点更加清楚，下面将结合附图，对本技术实施例中的技术方案进行描述。
74.在本技术实施例的描述中，“示例性的”、“例如”或者“举例来说”等词用于表示作例子、例证或说明。本技术实施例中被描述为“示例性的”、“例如”或者“举例来说”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”、“例如”或者“举例来说”等词旨在以具体方式呈现相关概念。
75.在本技术实施例的描述中，术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，单独存在b，同时存在a和b这三种情况。另外，除非另有说明，术语“多个”的含义是指两个或两个以上。例如，多个系统是指两个或两个以上的系统，多个终端是指两个或两个以上的终端。
76.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。
77.图1是本技术实施例提供的一种应用场景示意图。如图1所示，电子设备10上安装有应用(application，app)，如应用a、b、c和d。用户在请求安装应用时，电子设备10可以基于该应用的属性信息(如开发者信息、类别信息、运行过程中所需的权限信息等)，对该应用进行访问分级，其中，不同的应用可以具有不同的访问等级，且不同的访问等级具有不同的访问控制策略。之后，在应用安装完成后，当用户访问应用时，如应用a，则电子设备10则可以根据应用a的访问等级，确定出相应的访问控制策略，之后，再基于相应的访问控制策略，确定是否对用户进行认证，或者确定对用户进行认证的方式等等。如此，基于应用的属性信息与隐私安全之间的相关性对应用进行访问分级，实现了对不同访问等级的应用进行不同的访问控制，提升应用的安全性，并为用户提供了更细粒度的隐私保护体验。
78.在一些示例中，电子设备1-可以为手机、平板电脑、数码相机、个人数字助理(personal digitalassistant，pda)、可穿戴设备、膝上型计算机(laptop)、智能电视、华为智慧屏等具有显示屏幕的电子设备。电子设备的示例性实施例包括但不限于搭载ios、android、windows、鸿蒙系统(harmony os)或者其他操作系统的电子设备。上述电子设备也可以是其他电子设备，诸如具有触敏表面(例如触控面板)的膝上型计算机(laptop)等。本技术实施例对电子设备的类型不做具体限定。
79.接下来介绍本技术实施例提供的一种应用访问分级方法。
80.图2是本技术实施例提供的一种应用访问分级方法的流程示意图，其中，该方法可以由电子设备执行，也可以由电子设备中的某一部件(如控制器、处理器等)执行，亦或者由
其他设备执行，具体可根据实际情况而定，在此不做限定。如图2所示，该方法可以包括以下步骤：
81.步骤s101、获取目标应用的目标属性信息。
82.具体地，目标应用的目标属性信息，可以在安装目标应用的过程中获取，也可以在目标应用安装完成后获取，在此不做限定。在本方案中，目标属性信息可以包括目标应用的开发者信息、类别信息和目标应用运行过程中所需的权限信息中的一种或多种。示例性的，开发者信息可以为目标应用的供应商，类别信息可以为社交类、游戏类、金融类等等，权限信息可以为蓝牙权限、摄像头权限、位置权限、支付权限等中的一种或多种。
83.在一个例子中，目标应用的目标属性信息，可以从该目标应用在应用市场中的注册信息中得到。具体地，在用户下发安装目标应用的指令后，可以从应用市场中获取到目标应用的注册信息，该注册信息可以包括应用供应商、应用大小、应用类别、应用版权、应用隐私政策、应用简介等中的一种或多种。之后，可以对注册信息进行分析，即可以根据注册信息，确定出目标属性信息。示例性的，可以对目标应用的注册信息进行语义分析，以得到目标属性信息。
84.步骤s102、根据目标属性信息中各个子信息与隐私安全之间的相关性，确定目标应用的访问权重值。
85.具体地，确定出目标属性信息后，就可以根据目标属性信息中各个子信息与隐私安全之间的相关性，确定目标应用的访问权重值。在一个例子中，可以基于各个子信息与隐私安全之间的相关性，确定出各个子信息的权重值；之后，再根据各个子信息的权重值，得到访问权重值；其中，子信息可以理解为目标属性信息所包括的信息，如开发者信息、类别信息、目标应用运行过程中所需的权限信息等等。
86.在一个例子中，在确定各个子信息的权重值时，若开发者信息显示该目标应用的供应商为国内知名大厂，由于知名大厂的信誉较高，且知名大厂提供的应用的安全性一般都较高，因此，此时开发者信息可以拥有较小的权值；若开发者信息显示该目标应用的供应商为无名小厂，由于无名小厂的信誉较低，且无名小厂提供的应用的安全性无法保证，因此，此时开发者信息可以拥有较大的权值。若类型信息显示该目标应用为支付类应用，由于支付类应用往往涉及到金钱交易，为了安全，则此时类别信息可以拥有较大的权值；若类型信息显示该目标应用为社交类应用，由于社交类应用往往是进行聊天等，涉及交易较少，则此时类别信息可以拥有较小的权值。若应用运行过程中所需的权限信息中包括位置权限、蓝牙权限、摄像头权限、位置权限和支付权限，则由于位置权限、蓝牙权限、摄像头权限、位置权限往往不会涉及到支付交易，因此它们可以拥有较小的权值；而支付权限往往涉及到支付交易，因此此时其可以拥有较大的权值。
87.可以理解的是，可以预先标定不同子信息所具有的权重值，即预先标定子信息与隐私安全之间的相关性，这样在获取到目标属性信息后，就可以根据目标属性信息中各个子信息与隐私安全之间的相关性，确定出各个子信息所具有的权重值。例如，a厂提供的应用所具有的权重值为10，b厂提供的应用所具有的权重值为9，c厂提供的应用所具有的权重值为5,等等；社交类应用所具有的权重值为8，游戏类的应用所具有的权重值为6，支付类提供的应用所具有的权重值为10,等等。在动态属性信息中，位置权限所具有的权重值为6，蓝牙权限所具有的权重值为3，摄像头权限所具有的权重值为7，位置权限所具有的权重值为
8，支付权限所具有的权重值为10，等等。在一个例子中，子信息所具有的权重值可以理解为隐私安全的高低，其中，权重值越高表明相应子信息所涉及的隐私安全越高。
88.在一个例子中，在得到各个子信息所具有的权重值后，可以对它们的权重值进行计算，进而得到访问权重值。例如，可以将目标属性信息中各个子信息的权重值相加所得的结果作为访问权重值。在另一个例子中，可以根据预先标定的目标属性信息中各个子信息的占比因子、各个子信息的权重值，得到访问权重值。示例性的，目标属性信息中的子信息包括开发者信息、类别信息和摄像头权限，若开发者信息的占比因子为a，类别信息的占比因子为b，摄像头权限的占比因子为c，开发者信息所具有的权重值为x，类别信息所具有的权重值为y，摄像头权限所具有的权重值为z，则访问权重值p可以为：p＝ax+by+cz。
89.步骤s103、根据访问权重值，确定目标应用的目标访问等级，其中，不同的访问等级具有不同的访问控制策略。
90.具体地，得到访问权重值后，就可以根据访问权重值，确定目标应用的目标访问等级。在本方案中，不同的访问等级具有不同的访问控制策略。
91.作为一种可能的实现方式，在得到访问权重值后，可以确定访问权重值所属的目标权重区间；然后，再根据目标权重区间，确定目标应用的目标访问等级。示例性的，可以预先标定权重区间和访问等级之间的映射关系，例如，权重区间a对应的访问等级为a级，权重区间b对应的访问等级为b；当访问权重值属于权重区间a时，则可以确定出目标应用的访问等级为a；当访问权重值属于权重区间b时，则可以确定出目标应用的目标访问等级为b。
92.由此，基于应用的属性信息与隐私安全之间的相关性对应用进行访问分级，实现了对不同访问等级的应用进行不同的访问控制，提升应用的安全性，并为用户提供了更细粒度的隐私保护体验。
93.在一个例子中，目标应用的目标访问等级可以包括第一访问等级、第二访问等级和第三访问等级中的一种。本方案中，第一访问等级需要对目标应用的访问者进行多次主动认证。第二访问等级需要对目标应用的访问者进行被动认证，以及在被动认证失败时进行主动认证，被动认证包括判断目标应用的访问者的当前访问行为与历史访问行为是否匹配。第三访问等级无需对目标应用的访问者进行主动认证和/或被动认证。
94.也就是说，当用户所访问的应用的访问等级为第一访问等级时，需要多次主动对用户进行认证。例如，用户在使用银行类应用时，用户登录时需要主动让用户进行一次认证，用户支付时需要再次主动让用户进行一次认证，等等。
95.当用户所访问的应用的访问等级为第二访问等级时，可以不需要主动让用户进行认证，而是在后台被动对用户进行认证。若被动认证不成功，则需要主动让用户进行认证。例如，用户在使用购物类应用时，用户登录时可以后台被动对客户进行认证，如将用户的当前访问行为与历史访问行为进行匹配，若匹配通过则认证通过，否则则认证不通过；之后，若认证不通过，则可以再主动让用户进行一次认证。可以理解的是，通过这种先被动认证，在被动认证失败后，再主动认证的方式，可以减少用户主动认证次数，提升了用户体验。
96.当用户所访问的应用的访问等级为第三访问等级时，可以不需要对用户进行认证，即用户可以直接访问该应用。例如，用户在使用新闻类应用时，用户可以直接登录该应用，并浏览相应的内容，整个过程中可以不用对用户进行认证。
97.在一个例子中，在步骤s103之后，还可以基于目标应用和目标访问等级，建立目标
应用于目标访问等级之间的目标关联关系，以及存储该目标关联关系，例如存储在关联关系映射表中。示例性的，如表一所示，该表为关联关系映射表，由该表中可以看出，应用a与其访问等级之间的关联关系为：应用a的访问等级为一级；应用b与其访问等级之间的关联关系为：应用b的访问等级为二级。
98.表一
99.应用名称访问等级a一级b二级
100.在一个例子中，在建立目标应用于目标访问等级之间的目标关联关系之后，若目标应用被访问，则可以基于目标应用的目标访问等级，以及目标访问等级所对应的访问控制策略，对目标应用进行访问控制。具体地，如图3所示，包括以下步骤：
101.步骤s201、在目标应用被访问时，基于目标应用的身份标识和目标关联关系，获取目标访问等级。
102.当目标应用被访问时，则可以根据目标应用的身份标识(如名称等)，查询先前建立的目标关联关系，即可以获取到目标应用的目标访问等级。
103.步骤s202、确定目标访问等级为第二访问等级，获取用户的当前访问行为。
104.本方案中，若目标访问等级为第二访问等级，则可以获取用户的当前访问行为。其中，第二访问等级需要对目标应用的访问者进行被动认证，以及在被动认证失败时进行主动认证，被动认证包括判断目标应用的访问者的当前访问行为与历史访问行为是否匹配。
105.步骤s203、判断用户的当前访问行为与历史访问行为是否匹配。
106.本方案中，可以将用户的当前访问行为与历史访问行为进行匹配，以得出两者是否一致。其中，历史访问行为可以包括用户访问目标应用所处的时间段、目标应用的解锁方式、持续访问目标应用的时长等信息。示例性的，历史访问行为可以为机主在22:00用指纹解锁应用a，并访问应用a一小时。在一个例子中，若用户的当前访问行为与历史访问行为不匹配，则执行步骤s204；若用户的当前访问行为与历史访问行为相匹配，则执行步骤s205。
107.步骤s204、对用户的身份进行至少一次主动认证，以及在至少一次主动认证通过时，允许用户访问目标应用。
108.本方案中，若用户的当前访问行为与历史访问行为不匹配，则可以确定用户的身份验证未通过，此时可以对用户的身份进行至少一次主动认证，例如，主动使用本地认证服务，以验证用户的生物特征(如指纹、声纹、虹膜等)。其中，在至少一次主动认证通过时，则允许用户访问目标应用，并记录当前访问行为；若主动认证过程中，未通过认证，则禁止用户访问目标应用。
109.步骤s205、允许用户访问目标应用。
110.本方案中，若用户的当前访问行为与历史访问行为匹配，则可以确定用户的身份验证通过，此时则允许用户访问目标应用。
111.可以理解的是，在步骤s204和/或步骤s205之后，还可以记录用户本次访问目标应用的访问信息，其中，访问信息可以包括访问时刻、访问时长和主动认证方式中的一种或多种；之后，再基于该访问信息，更新历史访问行为。
112.下面介绍本技术实施例提供的一种应用访问分级系统。
113.图4是本技术实施例提供的一种应用访问分级系统的框架结构示意图。如图4所示，该系统可以包括应用隐私等级分级模块41、应用隐私等级存储模块42和应用访问控制实现模块43。其中，应用隐私等级分级模块41可以包括应用行为隐私识别模块411和应用隐私映射模块412。
114.本方案中，应用隐私等级分级模块41主要用于在用户无感知的情况下将电子设备内的应用进行隐私等级划分。在一个例子中，隐私等级划分可以理解为访问等级划分。
115.应用行为隐私识别模块411主要是用于提取应用市场中应用的相关信息，并根据应用的相关嘻嘻，进行应用行为分析与隐私行为识别。在一个例子中，应用行为隐私识别模块411可以提取应用市场中应用的基本信息与运行时申请的系统权限信息，然后再使用自然语言处理等方法进行应用行为分析与隐私行为识别。在一个例子中，应用行为分析可以理解为分析应用的固有信息，例如开发者信息、类别信息等；隐私行为识别可以理解为识别应用在运行过程中所需的权限信息，例如识别摄像头权限、位置权限、支付权限等。
116.应用隐私映射模块412主要是用于将应用行为隐私识别模块411的识别结果量化并处理，以及根据最终结果匹配不同的应用隐私等级。在一个例子中，应用隐私映射模块412可以将应用行为隐私识别模块411的识别结果量化为权重值，经过权重计算函数计算后得到的最终权重，以及根据权重结果进行应用隐私等级匹配。示例性的，应用隐私等级可以包括三个类别，a类、b类和c类，a类的隐私级别最高，b类的隐私级别中等，c类的隐私级别较低，其中，属于a类的应用可以包括金融类应用，如支付宝，属于b类的应用可以包括购物类应用，如淘宝，属于c类的应用可以包括新闻类应用。可以理解的是，不同的应用意思等级可以具有不同的访问控制策略。在一个例子中，a类应用每次访问均需要多次主动认证，b类应用每次访问均需要进行被动认证，当被动认证失败时，再进行主动认证，c类应用则不需要进行认证，可以直接访问。示例性的，a类的应用隐私等级可以为上文所描述的第一访问等级，b类的应用隐私等级可以为上文所描述的第二访问等级，c类的应用隐私等级可以为上文所描述的第三访问等级。
117.应用隐私等级存储模块42主要是用于对应用隐私等级分级结果进行存储。
118.应用访问控制实现模块43主要是用于对不同类别的应用进行不同的访问控制策略。在一个例子中，应用访问控制实现模块43中可以包括用户行为画像管理模块431，该用户行为画像管理模块431可以收集用户历史行为，生成用户行为画像，以及在用户访问应用时进行对用户的当前访问行为与用户行为画像进行匹配，以及更新用户行为画像。在一个例子中，将用户的当前访问行为与用户行为画像进行匹配可以理解为将用户的当前访问行为与用户的历史访问行为相匹配，更新用户行为画像可以理解为更新用户的历史访问行为。
119.为了便于理解，下面结合图5和6，对应用隐私等级分级模块41、应用隐私等级存储模块42和应用访问控制实现模块43进行解释说明。
120.如图5所示，在安装应用时，应用行为隐私识别模块411可以从应用市场中获取到应用信息(如应用的注册信息等)，然后进过信息分类模块4111进行分类，其中，与应用行为相关的信息(如开发者信息、类别信息等)被传输至应用介绍分析器4112，与应用运行过程中所需的权限信息被传输至隐私行为识别器4113。
121.应用介绍分析器4112可以对其接收的信息进行应用行为预测，例如预测应用的开
发商类型，预测应用的类别等；然后，将预测结果传输至应用行为映射器4114。应用行为映射器4114可以基于预测结果对应用行为进行量化，从而得到各个应用行为的权重，并将各个应用行为的权重传输至应用隐私映射模块412中的应用行为权重计算器4121中。
122.隐私行为识别器4113可以对其接收的信息进行隐私行为识别，例如识别应用所需的权限等；然后，将识别结果传输至权限隐私映射器4115。权限隐私映射器4115可以基于识别结果对隐私行为进行量化，从而得到各个隐私行为的权重，并将各个隐私行为的权重传输至应用隐私映射模块412中的隐私行为权重计算器4122中。
123.应用行为计算器4121可以对其接收到的各个应用行为的权重进行计算，并将计算结果传输至应用隐私映射模块412中的权重计算模块4123中。此外，隐私行为计算器4122可以对其接收到的各个隐私行为的权重进行计算，并将计算结果传输至应用隐私映射模块412中的权重计算模块4123中。
124.权重计算模块4123可以对其接收的应用行为对应的权重和隐私行为对应的权重进行计算，得到最终的权重结果，以及将最终的权重结果传输至应用隐私映射模块412中的权重映射器4124。
125.权重映射器4124可以基于最终的权重结果匹配出应用的隐私等级，以及将匹配结果传输至应用隐私等级存储模块42。
126.应用隐私等级存储模块42接收到权重映射器4124传输的匹配结果，则存储该匹配结果，例如，应用1为a类应用，应用2为b类应用，应用3为c类应用等等，其中，a类的隐私级别最高，b类的隐私级别中等，c类的隐私级别较低。
127.在对应用进行应用隐私等级划分之后，当应用被访问时，即可以基于应用的应用隐私等级实时相应的访问控制。具体地，如图6所示，在应用访问阶段，主要包括以下步骤：
128.第一步，用户发起应用访问请求。
129.第二步，应用访问控制实现模块43通过从应用隐私等级存储模块42查询，获取到用户所访问的应用的应用隐私等级。
130.第三步，应用访问控制实现模块43根据不同应用隐私等级的应用进行不同的访问控制策略。
131.其中，对于a类应用，每次访问时均需要进行二次认证，即每次均需要拉起本地认证服务，以通过本地二次认证模块44进行二次认证。对于b类应用：基于用户本次访问应用的行为，与应用访问控制实现模块43中用户行为画像管理模块431中的用户行为画像比对，若用户本次访问应用的行为和用户行为画像匹配成功，则可直接访问应用；若匹配失败，则需要进行二次认证，即需要拉起本地认证服务，以通过本地二次认证模块44进行二次认证，且认证成功后，将用户本次应用访问行为更新至用户行为画像模板中。对于c类应用，则无需认证，可以直接访问。
132.可以理解的是，用户行为画像管理模块431可以收集用户历史行为，并形成用户行为画像模板。
133.下面以安装淘宝应用为例进行解释说明。
134.第一、应用分级阶段：
135.a、用户请求安装淘宝应用。
136.b、应用行为隐私识别模块411提取应用市场中淘宝应用的类别、开发者、权限等信
息，使用自然语言处理等方法进行应用行为分析与隐私行为识别。
137.c、应用隐私映射模块412将上述识别结果量化为权重值(w1,w2,w3,
…
)，经过权重计算函数计算后得到最终权重，并将该权重结果匹配到b类应用。
138.d、将淘宝应用匹配好的隐私等级结果b类存储到应用隐私等级存储模块42中(淘宝、b类)。
139.应用访问阶段：
140.a、用户在22:00点击桌面淘宝应用图标，发起应用访问请求。
141.b、应用访问控制实现模块43查询应用隐私等级存储模块42(淘宝、b类)，可知淘宝应用的隐私等级为b类。
142.c、应用访问控制实现模块43将本次访问应用的行为(22:00点访问淘宝应用)与用户行为画像(当前为空)匹配，匹配失败。
143.d、应用访问控制实现模块43拉起本地认证服务，用户使用指纹通过二次认证，并访问淘宝应用一个小时。
144.e、用户行为画像管理模块431将本次应用访问行为更新至用户行为画像模板，即机主在22:00用指纹解锁淘宝应用，并访问淘宝应用一个小时。
145.f、用户第二天22:00点击桌面淘宝应用图标，重复步骤a-b，在步骤c用户画像匹配过程中，匹配成功，用户无需认证，可直接访问淘宝应用。
146.下面介绍本技术实施例提供的一种应用访问分级装置。
147.图7是本技术实施例提供的一种应用分级访问装置的结构示意图。如图7所示，该应用分级访问装置700，包括：
148.获取模块71，用于获取目标应用的目标属性信息，目标属性信息包括目标应用的开发者信息、类别信息和目标应用运行过程中所需的权限信息中的一种或多种；
149.处理模块72，用于根据目标属性信息中各个子信息与隐私安全之间的相关性，确定目标应用的访问权重值；根据访问权重值，确定目标应用的目标访问等级，其中，不同的访问等级具有不同的访问控制策略。
150.进一步地，获取模块71，还用于：
151.获取目标应用在应用市场中的注册信息；
152.根据注册信息，确定目标属性信息。
153.进一步地，处理模块72，还用于：
154.基于各个子信息与隐私安全之间的相关性，确定各个子信息的权重值；
155.根据各个子信息的权重值，得到访问权重值。
156.进一步地，处理模块72，还用于：
157.确定访问权重值所属的目标权重区间，根据目标权重区间，确定目标应用的访问等级。
158.进一步地，目标应用的目标访问等级包括第一访问等级、第二访问等级和第三访问等级中的一种，其中，第一访问等级需要对目标应用的访问者进行多次主动认证；
159.第二访问等级需要对目标应用的访问者进行被动认证，以及在被动认证失败时进行主动认证，被动认证包括判断目标应用的访问者的当前访问行为与历史访问行为是否匹配；
160.第三访问等级无需对目标应用的访问者进行主动认证和/或被动认证。
161.进一步地，处理模块72，还用于：
162.基于目标应用和目标访问等级，建立目标应用与目标访问等级之间的目标关联关系。
163.进一步地，处理模块72，还用于：
164.在目标应用被访问时，基于目标应用的身份标识和目标关联关系，获取目标访问等级；
165.确定目标访问等级为第二访问等级，获取用户的当前访问行为；
166.判断用户的当前访问行为与历史访问行为是否匹配；
167.若用户的当前访问行为与历史访问行为不匹配，对用户的身份进行至少一次主动认证，以及在至少一次主动认证通过时，允许用户访问目标应用；
168.若用户的当前访问行为与历史访问行为相匹配，允许用户访问目标应用。
169.进一步地，处理模块72，还用于：
170.记录用户本次访问目标应用的访问信息，访问信息包括访问时刻、访问时长和主动认证方式中的一种或多种；
171.基于访问信息，更新历史访问行为。
172.应当理解的是，上述装置用于执行上述实施例中的方法，装置中相应的程序模块，其实现原理和技术效果与上述方法中的描述类似，该装置的工作过程可参考上述方法中的对应过程，此处不再赘述。
173.下面介绍本技术实施例提供的一种电子设备。
174.图8是本技术实施例提供的一种电子设备的结构示意图。如图8所示，本技术实施例提供的电子设备可用于实现上述方法实施例中描述的应用访问分级方法。
175.该电子设备包括至少一个处理器81，该至少一个处理器81可支持电子设备实现本技术实施例中所述的第一终端执行的输入方法或者第二终端执行的输入方法。
176.该处理器81可以是通用处理器或者专用处理器。例如，处理器81可以包括中央处理器(central processing unit，cpu)和/或基带处理器。其中，基带处理器可以用于处理通信数据，cpu可以用于实现相应的控制和处理功能，执行软件程序，处理软件程序的数据。
177.进一步的，电子设备还可以包括收发单元85，用以实现信号的输入(接收)和输出(发送)。例如，收发单元85可以包括收发器或射频芯片。收发单元85还可以包括通信接口。
178.可选地，电子设备还可以包括天线86，可以用于支持收发单元85实现电子设备的收发功能。
179.可选地，电子设备中可以包括一个或多个存储器82，其上存有程序(也可以是指令或者代码)84，程序84可被处理器81运行，使得处理器81执行上述方法实施例中描述的方法。可选地，存储器82中还可以存储有数据。可选地，处理器81还可以读取存储器82中存储的数据(例如，预存储的第一特征信息)，该数据可以与程序84存储在相同的存储地址，该数据也可以与程序84存储在不同的存储地址。
180.处理器81和存储器82可以单独设置，也可以集成在一起，例如，集成在单板或者系统级芯片(system on chip，soc)上。
181.关于电子设备在上述各种可能的设计中执行的操作的详细描述可以参照本技术
提供的智能家居系统的控制方法的实施例中的描述，在此就不再一一赘述。
182.应理解，上述方法实施例的各步骤可以通过处理器81中的硬件形式的逻辑电路或者软件形式的指令完成。处理器81可以是cpu、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field programmable gate array，fpga)或者其它可编程逻辑器件，例如，分立门、晶体管逻辑器件或分立硬件组件。
183.本技术实施例还提供了一种电子设备，该电子设备包含上述实施例中的应用访问分级装置700。
184.图9为本技术实施例提供的一种芯片的结构示意图。芯片900包括一个或多个处理器901以及接口电路902。可选的，所述芯片900还可以包含总线903。其中：
185.处理器901可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器901中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器901可以是通用处理器、数字通信器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
186.接口电路902可以用于数据、指令或者信息的发送或者接收，处理器901可以利用接口电路902接收的数据、指令或者其它信息，进行加工，可以将加工完成信息通过接口电路902发送出去。
187.可选的，芯片还包括存储器，存储器可以包括只读存储器和随机存取存储器，并向处理器提供操作指令和数据。存储器的一部分还可以包括非易失性随机存取存储器(nvram)。
188.可选的，存储器存储了可执行软件模块或者数据结构，处理器可以通过调用存储器存储的操作指令(该操作指令可存储在操作系统中)，执行相应的操作。
189.可选的，芯片可以使用在本技术实施例涉及的通信装置(包括主节点和从节点)中。可选的，接口电路902可用于输出处理器901的执行结果。关于本技术的一个或多个实施例提供的数据传输方法可参考前述各个实施例，这里不再赘述。
190.需要说明的，处理器901、接口电路902各自对应的功能既可以通过硬件设计实现，也可以通过软件设计来实现，还可以通过软硬件结合的方式来实现，这里不作限制。
191.应理解，上述方法实施例的各步骤可以通过处理器中的硬件形式的逻辑电路或者软件形式的指令完成。处理器可以是cpu、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field programmable gate array，fpga)或者其它可编程逻辑器件，例如，分立门、晶体管逻辑器件或分立硬件组件。
192.可以理解的是，本技术的实施例中的处理器可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field programmable gate array，fpga)或者其他可编程逻辑器件、晶体管逻辑器件，硬件部件或者其任意组合。通用处理器可以是微处理器，也可以是任何常规的
处理器。
193.本技术的实施例中的方法步骤可以通过硬件的方式来实现，也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(random access memory，ram)、闪存、只读存储器(read-only memory，rom)、可编程只读存储器(programmablerom，prom)、可擦除可编程只读存储器(erasable prom，eprom)、电可擦除可编程只读存储器(electrically eprom，eeprom)、寄存器、硬盘、移动硬盘、cd-rom或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于asic中。
194.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本技术实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solid state disk，ssd))等。
195.可以理解的是，在本技术的实施例中涉及的各种数字编号仅为描述方便进行的区分，并不用来限制本技术的实施例的范围。