智能终端中应用权限管理方法及系统的制作方法
【专利摘要】本发明公开了一种智能终端中应用权限管理方法及系统,所述方法包括:安装于智能终端中的应用在运行时,若发送服务请求,则应用权限管理系统根据所述服务请求中的该应用的应用标识,在权限列表数据库中查找对应该应用标识的安全权限集合;应用权限管理系统若确定查找出的安全权限集合包含有服务请求所请求的权限,则允许权限的请求;否则,拒绝权限的请求或者显示安全权限外的访问提示信息;其中,安全权限集合是在应用安装过程、或安装后确定的。应用本发明,可以保证安装的应用所使用的权限的安全性,又在具备权限授予的灵活性的基础上可以简化权限授权过程。
【专利说明】智能终端中应用权限管理方法及系统
【技术领域】
[0001]本发明涉及信息安全【技术领域】,尤其涉及一种智能终端中应用权限管理方法及系统。
【背景技术】
[0002]随着科技的不断发展,数字化越来越深入生活,包括手机、平板电脑等在内的智能终端因其便携性突破了固定范围内的、基于个人电脑的互联网服务,而广受用户的青睐,已然成为人们日常生活中的必需品。由于智能终端支持应用安装、运行和卸载,用户可以通过将智能终端连接网络后访问应用商店或安装流网站的下载资源页面根据自身喜好与需求选择、下载并安装应用以拓展智能终端的功能。但是,若外部应用携带有恶意代码,该应用程序在安装的过程中往往可以获得额外的系统访问权限,对系统资源进行越权使用。而且,恶意行为往往在后台运行,用户难以发现如推送顽固广告、消耗资费、盗取用户隐私、甚至破坏系统等行为。因此,外部应用的引入势必会对智能终端的安全构成威胁,带来种种安全隐患。
[0003]为了管理应用对系统资源的访问行为,实现应用权限的控制,现有的一种权限管理方法,在智能终端在安装应用时进行权限授予。该方法具体为:在应用的安装前,获取应用申请的权限;确定出应用的分类以及该分类对应的安全权限;若应用申请的权限超出该应用分类对应的安全权限,则阻值该应用安装。
[0004]然而上述的方法中,要么,拒绝该应用所有申请的权限,阻止该应用安装,要么,授予该应用所有申请的权限,允许该应用安装。但是,应用安装完成后,授予的各项权限不可更改;之后用户无法再根据自己的需求授予该应用在运行过程中请求的权限,使得该方法灵活性较差。
[0005]为了解决灵活性问题,还提出了一种改进的权限管理方法:由智能终端获取其中安装的应用的请求权限后,为用户展示该应用的请求权限列表。但是,向用户展示的权限列表过于详细,描述冗长,需要用户自行分析权限列表的权限,逐一确定出授予该应用的权限。由于用户缺乏专业知识,难以进行准确的权限识别及鉴定,容易使应用获取额外权限,造成安全隐患,并且权限授权过程复杂。
【发明内容】
[0006]本发明的发明目的在于提供了智能终端中应用权限管理方法及系统,用以既能保证安装的应用所使用的权限的安全性,又在具备权限授予的灵活性的基础上可以简化权限授权过程。
[0007]根据本发明的一个方面,提供了一种智能终端中应用权限管理方法,包括:
[0008]安装于智能终端中的应用在运行时,若发送服务请求,则应用权限管理系统根据所述服务请求中的该应用的应用标识,在权限列表数据库中查找对应该应用标识的安全权限集合;[0009]所述应用权限管理系统若确定查找出的安全权限集合包含有所述服务请求所请求的权限,则允许所述权限的请求;否则,拒绝所述权限的请求或者显示安全权限外的访问提示信息;
[0010]其中,所述安全权限集合是在所述应用安装过程、或安装后确定的:
[0011]所述应用权限管理系统确定所述应用的类别,进而获取与所述类别相应的允许权限集合;并将所述应用的申请权限集合与获取的允许权限集合的交集确定为所述安全权限
口 O
[0012]其中,所述与所述类别相应的允许权限集合是预先设置的:
[0013]所述应用权限管理系统在首次运行时,对所述智能终端中已经安装的应用进行扫描;
[0014]对于每个扫描到的应用,获取该应用的类别标签,并根据所述类别标签确定出该应用的类别;
[0015]对于确定出的每个类别,将所述智能终端中已经安装的、属于该类别的各应用的权限申请信息中所包含的权限,组成与该类别相应的允许权限集合。
[0016]其中,所述显示安全权限外的访问提示信息后,还包括:
[0017]若接收到用户在提示信息框中输入的允许按键的点击事件后,允许所述权限的请求;并
[0018]将允许的权限添加到与所述类别相应的允许权限集合中。
[0019]其中,所述应用在运行时,若发送服务请求,则应用权限管理系统根据所述服务请求中的该应用的应用标识,在权限列表数据库中查找对应该应用标识的安全权限集合,具体包括:
[0020]所述应用在运行时,若发送服务请求,则所述智能终端的操作系统中的管理服务接收到该服务请求时,调用接口函数;
[0021]所述接口函数对所述服务请求进行解析,获取其中的应用标识和所请求的权限后向所述应用权限管理系统发送;
[0022]所述应用权限管理系统根据接收的应用标识,在权限列表数据库中查找对应该应用标识的安全权限集合。
[0023]其中,所述允许所述权限的请求,具体包括:
[0024]所述应用权限管理系统向所述接口函数返回匹配成功信息;所述接口函数若接收到匹配成功信息,则响应所述应用的服务请求。
[0025]其中,在所述将所述应用的申请权限集合与获取的允许权限集合的交集确定为所述安全权限集合之前,还包括:
[0026]所述应用权限管理系统获取应用的权限申请信息,根据所述权限申请信息确定出该应用的申请权限集合。
[0027]根据本发明的另一个方面,还提供了一种应用权限管理系统,包括:
[0028]安全权限集合确定模块,用于在智能终端中的应用在安装过程、或安装后确定所述应用的类别,进而获取与所述类别相应的允许权限集合;并将所述应用的申请权限集合与获取的允许权限集合的交集确定为所述安全权限集合;
[0029]安全权限集合查找模块,用于在所述应用运行时,若发送服务请求,则根据所述服务请求中的该应用的应用标识,在权限列表数据库中查找对应该应用标识的安全权限集合;
[0030]权限管理模块,用于若确定所述安全权限集合查找模块查找出的安全权限集合包含有所述服务请求所请求的权限,则允许该权限的请求;否则,拒绝该权限的请求或者显示安全权限外的访问提示信息。
[0031 ] 较佳地,所述系统还包括:
[0032]允许权限设置模块,用于在所述应用权限管理系统在首次运行时,对所述智能终端中已经安装的应用进行扫描;对于每个扫描到的应用,获取该应用的类别标签,并根据所述类别标签确定出该应用的类别;对于确定出的每个类别,将所述智能终端中已经安装的、属于该类别的各应用的权限申请信息中所包含的权限,组成与该类别相应的允许权限集
口 ο
[0033]较佳地,所述权限管理模块还用于在所述显示安全权限外的访问提示信息后,若接收到用户在提示信息框中输入的允许按键的点击事件,则允许所述权限的请求;
[0034]所述权限设置模块还用于将所述权限管理模块允许的权限添加到与所述类别相应的允许权限集合中。
[0035]较佳地,所述安全权限集合确定模块具体用于根据智能终端中新安装的应用的类别标签,确定出该应用的类别,进而获取与所述类别相应的允许权限集合;获取应用的权限申请信息,根据所述权限申请信息确定出该应用的申请权限集合;并将所述应用的申请权限集合与获取的允许权限集合的交集确定为所述安全权限集合。
[0036]由上述技术方案可知,本发明实施例提供的智能终端中应用权限管理方法及系统,预先确定出智能终端中新安装的安全权限集合,并根据安全权限集合进行权限管理:当智能终端中新安装的应用在运行过程中发送服务请求时,根据服务请求中应用的应用标识,在权限列表数据库中查找对应该应用标识的安全权限集合。之后,判断安全权限集合是否包含该服务请求所请求的权限;若是,则允许该权限的请求,否则,拒绝权限的请求或者显示安全权限外的访问提示信息。这样,相比于现有技术,不必用户在安装过程中对应用所申请的权限逐一进行考虑、衡量,既能保证安装的应用所使用的权限的安全性,又在具备权限授予的灵活性的基础上可以简化权限授权过程。
【专利附图】
【附图说明】
[0037]为了更清楚地说明本发明实施例或现有技术中的技术方案,以下将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,以下描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员而言,还可以根据这些附图所示实施例得到其它的实施例及其附图。
[0038]图1为本发明实施例提供的应用权限管理系统的内部结构示意图;
[0039]图2为本发明实施例提供的安全权限集合确定方法的流程示意图;
[0040]图3为本发明实施例提供的智能终端中应用权限管理方法的流程示意图。
【具体实施方式】
[0041]为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举出优选实施例,对本发明进一步详细说明。然而,需要说明的是,说明书中列出的许多细节仅仅是为了使读者对本发明的一个或多个方面有一个透彻的理解,即便没有这些特定的细节也可以实现本发明的这些方面。
[0042]本申请使用的“模块”、“系统”等术语旨在包括与计算机相关的实体,例如但不限于硬件、固件、软硬件组合、软件或者执行中的软件。例如,模块可以是,但并不仅限于:处理器上运行的进程、处理器、对象、可执行程序、执行的线程、程序和/或计算机。举例来说,计算设备上运行的应用程序和此计算设备都可以是模块。一个或多个模块可以位于执行中的一个进程和/或线程内,一个模块也可以位于一台计算机上和/或分布于两台或更多台计算机之间。
[0043]本发明的发明人发现,用户在智能终端中安装的应用,其使用的权限往往与该应用的功能相关;例如,在智能终端中安装的一款游戏应用,其通常使用的权限包括:使用重力传感器、使用触摸屏、播放声音、使用光线传感器、控制音量大小;而游戏应用不应该拥有的权限包括:获取联系人信息、推送广告。
[0044]因此,本发明的技术方案中,针对不同功能的应用进行分类后,针对每类应用预置有相应的允许权限集合;在应用安装时(或安装后),获取该应用的申请权限集合,并将该申请权限集合与该应用所属类别的允许权限集合的交集确定为该应用的安全权限集合。
[0045]在应用运行时,若发送服务请求,则根据服务请求中的该应用的应用标识,查找出对应该应用标识的安全权限集合,若确定查找出的安全权限集合包含有服务请求所请求的权限,则允许该权限的请求;否则,拒绝该权限的请求或者显示安全权限外的访问提示信肩、O
[0046]这样,根据生成的安全权限集合对新安装的应用所请求的权限进行管理,而不必用户在安装过程中对应用所申请的权限逐一进行考虑、衡量,既能保证安装的应用所使用的权限的安全性,又在具备权限授予的灵活性的基础上可以简化权限授权过程。
[0047]下面结合附图详细说明本发明的技术方案。
[0048]本发明实施例提供的安装于智能终端中的应用权限管理系统(即应用权限管理软件),其内部结构框图,如图1所示,包括:安全权限集合确定模块101、安全权限集合查找模块102、权限管理模块103。
[0049]智能终端中应用的安装过程中,或安装后,应用权限管理系统确定出该应用的安全权限集合,具体方法流程如图2所示,包括如下步骤:
[0050]S201:应用权限管理系统根据新安装的应用的类别标签,确定出该应用的类别,进而获取与该类别相应的允许权限集合。
[0051]事实上,应用权限管理系统运行后,应用权限管理系统的应用安装检测模块(图中未标)按照预置的周期对智能终端的操作系统中应用列表进行扫描,并将当前周期扫描的结果与上个周期保存的扫描结果进行比较;根据比较结果确定出在本次周期内新安装的应用。应用安装检测模块确定出新安装的应用后,将新安装的应用的应用标识向安全权限集合确定模块101发送。
[0052]应用权限管理系统在确定出有新安装的应用后,在本步骤中,应用权限管理系统中的安全权限集合确定模块101根据应用安装检测模块发送的新安装的应用的应用标识,获取新安装的应用的类别标签;进而根据新安装的应用的类别标签确定出该应用的类别后,根据确定出的类别获取与该类别相应的允许权限集合。
[0053]其中,与类别相应的允许权限集合可以是预先存储于应用权限管理系统中的;也可以是应用权限管理系统在首次运行时,自动生成的;也可以是用户通过界面编辑输入的。
[0054]由此,进一步本发明的应用权限管理系统还可以包括:允许权限设置模块104。
[0055]允许权限设置模块104用于在应用权限管理系统在首次运行时,对智能终端中已经安装的应用进行扫描;对于每个扫描到的应用,获取该应用的类别标签,并根据类别标签确定出该应用的类别;对于确定出的每个类别,自动生成与该类别相应的允许权限集合:权限设置模块104将智能终端中已经安装的、属于该类别的各应用的权限申请信息中所包含的权限,组成与该类别相应的允许权限集合。例如,智能终端中安装的一款名为“TraumaTed”的应用,其携带的类别标签为“游戏”,权限设置模块104则可以确定出该应用的类别为游戏,并自动生成与游戏类别相应的允许权限集合,具体可以为{使用重力传感器、使用触摸屏、播放声音、使用光线传感器、控制音量大小}。
[0056]或者,允许权限设置模块104对于每个类别,提供为与该类别相应的允许权限集合的编辑、修改界面;通过该界面,用户可以针对与该类别相应的允许权限集合中的权限进行删除、增加等操作;从而生成最终的与该类别相应的允许权限集合进行保存。
[0057]S202:应用权限管理系统获取新安装的应用的申请权限集合,并根据该申请权限集合,以及与新安装的应用的类别相应的允许权限集合确定出新安装的应用的安全权限集
口 ο
[0058]本步骤中,安全权限集合确定模块101获取应用的Manifest文件,并从中解析出权限申请信息,根据权限申请信息确定出该应用的申请权限集合;之后,将获取的该申请权限集合与步骤SlOl中获得的与该应用类别相应的允许权限集合的交集作为该应用的安全权限集合。例如,新安装的应用的类别为游戏,游戏类别相应的允许权限集合为P*= {使用重力传感器、使用触摸屏、播放声音、使用光线传感器、控制音量大小};而新安装的应用的申请权限集合P’ = {使用重力传感器、使用触摸屏、播放声音、获取联系人信息、推送广告},则将上述两个集合取交集得到的权限集合P = {使用重力传感器、使用触摸屏、播放声音}作为新安装的应用的安全权限集合,并将该应用的安全权限集合对应该应用的应用标识存储在权限列表数据库中。其中,Manifest文件具体可以为XML格式的AndroidManifest 文件,如 Andriod Manifest, xml。
[0059]在应用安装完毕,生成了该应用的安全权限集合后,便可利用该安全权限集合对该应用在运行过程中所请求的权限进行管理,具体方法流程如图3所示,包括如下步骤:
[0060]S301:智能终端中新安装的应用在运行时,若发送服务请求,应用权限管理系统则根据服务请求中的应用标识,确定出对应该应用标识的安全权限集合。
[0061]事实上,智能终端中新安装的应用在运行时,若发送服务请求,应用权限管理系统的安全权限集合查找模块102则根据该服务请求中的的该应用的应用标识,在权限列表数据库中查找对应该应用标识的安全权限集合。其中,服务请求中包含该应用的应用标识,以及该应用对系统中某个资源执行某种操作行为的请求权限。
[0062]具体地,对于具有Android(安卓)操作系统的智能终端,其中新安装的应用运行时,若发送服务请求,智能终端的操作系统中的Service Manager (管理服务)进程接收到该服务请求时,调用接口函数。函数对服务请求进行解析,获取其中的应用标识和所请求的权限后,通过Service Manager进程与应用权限管理系统之间的通信链路向应用权限管理系统发送。安全权限集合查找模块102根据接收的应用标识,在权限列表数据库中查找对应该应用标识的安全权限集合。其中,其中接口函数具体为ioctl函数。
[0063]其中,Service Manager进程与应用权限管理系统之间的通信链路为预先建立的,具体建立通信链路的方法为本领域技术人员所熟知的现有技术,此处不再赘述。
[0064]对于具有其它操作系统的智能终端,其操作系统如何根据请求确定出该应用的应用标识为本领域技术人员所熟知,此处不再赘述。
[0065]S302:权限管理系统判断确定出的安全权限集合是否包含服务请求所请求的权限;若是,允许该权限的请求;否则,执行步骤S303。
[0066]本步骤中,应用权限管理系统中的权限管理模块103判断安全权限集合查找模块102查找出的安全权限集合中是否包含新安装的应用发送的服务请求所请求的权限;若安全权限集合中包含服务请求所请求的权限,则允许该权限的请求,向接口函数返回匹配成功信息;接口函数接收到匹配成功信息,则响应该应用的服务请求;若安全权限集合中不包含服务请求所请求的权限,则执行步骤S303。
[0067]S303:显示安全权限外的访问提示信息。
[0068]本步骤中,应用权限管理系统的权限管理模块103确定出安全权限集合查找模块102查找出的安全权限集合中不包含新安装的应用发送的服务请求所请求的权限后,为用户显示安全权限外的访问提示信息。若接收到用户在提示信息框中输入的允许按键的点击事件后,允许该权限的请求,向接口函数返回匹配成功信息;接口函数接收到匹配成功信息,则响应该应用的服务请求。若接收到用户在提示信息框中输入的拒绝按键的点击事件后,拒绝该权限的请求,向接口函数返回匹配失败信息;接口函数接收到匹配失败信息,则拒绝该应用的服务请求。这样,不必用户在安装过程中对应用所申请的权限逐一进行考虑、衡量,既能保证安装的应用所使用的权限的安全性,又在具备权限授予的灵活性的基础上可以简化权限授权过程。
[0069]事实上,权限管理模块103若接收到用户在提示信息框中输入的允许按键的点击事件,允许该权限的请求,向接口函数返回匹配成功信息后,允许权限设置模块104还可以将权限管理模块103允许的权限添加到与该类别相应的允许权限集合中,更新与该类别相应的允许权限集合。
[0070]此外,权限管理模块103确定出安全权限集合中不包含服务请求所请求的权限后,还可以直接拒绝该权限的请求。
[0071]由上述技术方案可知,本发明实施例提供的智能终端中应用权限管理方法及系统,应用权限管理系统预先确定出智能终端中新安装的安全权限集合,并利用该安全权限集合进行权限管理:当智能终端中新安装的应用在运行过程中发送服务请求时,根据服务请求中应用的应用标识,在权限列表数据库中查找对应该应用标识的安全权限集合。之后,判断安全权限集合是否包含该服务请求所请求的权限;若是,则允许该权限的请求,否则,拒绝权限的请求或者显示安全权限外的访问提示信息。这样,相比于现有技术,不必用户在安装过程中对应用所申请的权限逐一进行考虑、衡量,既能保证安装的应用所使用的权限的安全性,又在具备权限授予的灵活性的基础上可以简化权限授权过程。
[0072]显然,本领域技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也包含这些改动和变型在内。
【权利要求】
1.一种智能终端中应用权限管理方法,其特征在于,包括: 安装于智能终端中的应用在运行时,若发送服务请求,则应用权限管理系统根据所述服务请求中的该应用的应用标识,在权限列表数据库中查找对应该应用标识的安全权限集合; 所述应用权限管理系统若确定查找出的安全权限集合包含有所述服务请求所请求的权限,则允许所述权限的请求;否则,拒绝所述权限的请求或者显示安全权限外的访问提示信息; 其中,所述安全权限集合是在所述应用安装过程、或安装后确定的: 所述应用权限管理系统确定所述应用的类别,进而获取与所述类别相应的允许权限集合;并将所述应用的申请权限集合与获取的允许权限集合的交集确定为所述安全权限集合。
2.根据权利要求1所述的方法,其特征在于,所述与所述类别相应的允许权限集合是预先设置的: 所述应用权限管理系统在首次运行时,对所述智能终端中已经安装的应用进行扫描;对于每个扫描到的应用,获取该应用的类别标签,并根据所述类别标签确定出该应用的类别; 对于确定出的每个类别,将所述智能终端中已经安装的、属于该类别的各应用的权限申请信息中所包含的权限,组成与该类别相应的允许权限集合。
3.根据权利要求1所述的方法,其特征在于,所述显示安全权限外的访问提示信息后,还包括: 若接收到用户在提示信息框中输入的允许按键的点击事件后,允许所述权限的请求;并 将允许的权限添加到与所述类别相应的允许权限集合中。
4.根据权利要求1所述的方法,其特征在于,所述应用在运行时,若发送服务请求,则应用权限管理系统根据所述服务请求中的该应用的应用标识,在权限列表数据库中查找对应该应用标识的安全权限集合,具体包括: 所述应用在运行时,若发送服务请求,则所述智能终端的操作系统中的管理服务接收到该服务请求时,调用接口函数; 所述接口函数对所述服务请求进行解析,获取其中的应用标识和所请求的权限后向所述应用权限管理系统发送; 所述应用权限管理系统根据接收的应用标识,在权限列表数据库中查找对应该应用标识的安全权限集合。
5.根据权利要求4所述的方法,其特征在于,所述允许所述权限的请求,具体包括: 所述应用权限管理系统向所述接口函数返回匹配成功信息;所述接口函数若接收到匹配成功信息,则响应所述应用的服务请求。
6.根据权利要求1-5任一所述的方法,其特征在于,在所述将所述应用的申请权限集合与获取的允许权限集合的交集确定为所述安全权限集合之前,还包括: 所述应用权限管理系统获取应用的权限申请信息,根据所述权限申请信息确定出该应用的申请权限集合。
7.一种应用权限管理系统,其特征在于,包括: 安全权限集合确定模块,用于在智能终端中的应用在安装过程、或安装后确定所述应用的类别,进而获取与所述类别相应的允许权限集合;并将所述应用的申请权限集合与获取的允许权限集合的交集确定为所述安全权限集合; 安全权限集合查找模块,用于在所述应用运行时,若发送服务请求,则根据所述服务请求中的该应用的应用标识,在权限列表数据库中查找对应该应用标识的安全权限集合; 权限管理模块,用于若确定所述安全权限集合查找模块查找出的安全权限集合包含有所述服务请求所请求的权限,则允许该权限的请求;否则,拒绝该权限的请求或者显示安全权限外的访问提示信息。
8.根据权利要求7所述的系统,其特征在于,还包括: 允许权限设置模块,用于在所述应用权限管理系统在首次运行时,对所述智能终端中已经安装的应用进行扫描;对于每个扫描到的应用,获取该应用的类别标签,并根据所述类别标签确定出该应用的类别;对于确定出的每个类别,将所述智能终端中已经安装的、属于该类别的各应用的权限申请信息中所包含的权限,组成与该类别相应的允许权限集合。
9.根据权利要求8所述的系统,其特征在于, 所述权限管理模块 还用于在所述显示安全权限外的访问提示信息后,若接收到用户在提示信息框中输入的允许按键的点击事件,则允许所述权限的请求; 所述权限设置模块还用于将所述权限管理模块允许的权限添加到与所述类别相应的允许权限集合中。
10.根据权利要求7所述的系统,其特征在于, 所述安全权限集合确定模块具体用于根据智能终端中新安装的应用的类别标签,确定出该应用的类别,进而获取与所述类别相应的允许权限集合;获取应用的权限申请信息,根据所述权限申请信息确定出该应用的申请权限集合;并将所述应用的申请权限集合与获取的允许权限集合的交集确定为所述安全权限集合。
【文档编号】H04M1/725GK103905651SQ201410178719
【公开日】2014年7月2日 申请日期:2014年4月30日 优先权日:2014年4月30日
【发明者】范文浩, 吴帆, 檀峥, 张洪光, 唐碧华 申请人:北京邮电大学