用于终端权限管理的方法和终端的制作方法
【技术领域】
[0001]本发明涉及终端管理领域,更具体地涉及在终端上执行的用于权限管理的方法和相应终端。
【背景技术】
[0002]随着移动终端的日益流行,其已经成为了现代社会的生产生活中不可缺少的重要组成部分。因此,移动终端上的信息安全性就成为了广受关注的课题。在目前的主流移动终端上(特别是基于安卓平台的智能终端上),对于应用是否可以使用ROOT权限(类似地权限还有(且不限于)管理员(Administrator)权限等),主要是通过人工(用户)参与方式,来判断是否授予应用可以ROOT访问权限。
[0003]如本领域技术人员所熟知的,ROOT权限通常代表了一个系统上的最高权限,在具有该权限的情况下,第三方应用程序可以对系统中的任何资源(例如,网络、存储、计算等资源)进行分配、处理、操作等。而现有的这种对应用要求ROOT权限的检查,过分依赖于人工判断:对于专业用户,它们可以从权限描述上采取相对谨慎的操作;而对于非专业(普通)用户,它们通常会忽略这种权限描述,从而导致对应用的过分授权,使得某些应用获得本不应当获取的ROOT权限,带来潜在的诸如隐私窃取、位置信息非法获取、关键系统数据秘密反馈等侵犯用户合法权益的非法行为。
[0004]例如,一个恶意的地图应用在安装和/或运行时可能会向用户请求除了“定位”资源之外的敏感存储区域(例如,存储有用户身份信息、银行账户、信用卡信息、电话簿等)的读写权限,进而导致敏感数据泄漏,并使得用户利益受损。
【发明内容】
[0005]为了解决上述问题,提供了根据本发明的用于终端权限管理的方法和相应终端。
[0006]根据本发明的第一方面,提供了一种在终端上执行的用于管理权限的方法。该方法包括:a)监听所述终端上的权限请求;b)将发起所述权限请求的应用与在终端上维护的应用白名单进行比对;以及
[0007]c)根据所述比对的结果,执行相应的权限管理。
[0008]在一些实施例中,步骤c)包括:如果所述比对的结果是所述应用在所述应用白名单中,则许可所述权限请求;如果所述比对的结果是所述应用不在所述应用白名单中,则向所述终端的用户告警。
[0009]在一些实施例中,所述应用白名单是由所述终端从服务器获取的。
[0010]在一些实施例中,所述终端定期或在启动时更新所述应用白名单。
[0011]在一些实施例中,所述终端定期或在启动时更新所述应用白名单包括:比较所述应用白名单的时间戳或版本号和服务器上的应用白名单的时间戳或版本号,以确定是否需要更新所述应用白名单;如果需要更新,则从服务器下载最新的应用白名单,并基于下载的应用白名单来更新所述终端上的所述应用白名单;如果不需要更新,则结束更新过程。
[0012]在一些实施例中,基于下载的应用白名单来更新所述终端上的所述应用白名单包括:备份所述终端上的所述应用白名单;对下载的应用白名单进行完整性和有效性校验;以及如果校验结果正确,则用下载的应用白名单来替换所述终端的上的所述应用白名单;如果校验结果不正确,则结束所述更新过程。
[0013]在一些实施例中,将所述更新过程中的相关信息以日志方式加以保存。
[0014]在一些实施例中,步骤a)包括:在所述终端上调用以后台服务模式运行的监听模块,以监听所述终端上的权限请求。
[0015]在一些实施例中,所述应用白名单中还包括与各应用分别相关的“云端检查”标志项,用于指示是否在云端检查相应应用的权限请求。
[0016]在一些实施例中,步骤c)包括:如果所述比对的结果是所述应用在所述应用白名单中,则检查所述应用白名单中所述应用的“云端检查”标志项:如果所述“云端检查”标志项指示需要在云端检查所述应用的权限请求,则向云端发送检查请求,并从云端接收检查结果,以及执行相应的权限管理;如果所述“云端检查”标志项指示不需要在云端检查所述应用的权限请求,则许可所述权限请求。
[0017]在一些实施例中,步骤b)包括:计算所述应用的数字摘要值;以及将计算出的数字摘要值与所述应用白名单中各应用的数字摘要值进行比较,以确定所述应用是否在所述应用白名单中。
[0018]在一些实施例中,在所述终端上提供用户界面,以供用户设置以下至少一项:是否进行应用白名单更新;是否进行云端检查;以及是否进行云端日志分析。
[0019]根据本发明的第二方面,提供了一种用于管理权限的终端。该终端包括:监听单元,用于监听所述终端上的权限请求;比对单元,用于将发起所述权限请求的应用与在终端上维护的应用白名单进行比对;以及管理单元,用于根据所述比对的结果,执行相应的权限管理。
[0020]在一些实施例中,所述管理单元用于:如果所述比对的结果是所述应用在所述应用白名单中,则许可所述权限请求;如果所述比对的结果是所述应用不在所述应用白名单中,则向所述终端的用户告警。
[0021 ] 在一些实施例中,所述应用白名单是由所述终端从服务器获取的。
[0022]在一些实施例中,还包括:更新单元,用于定期或在启动时更新所述应用白名单。
[0023]在一些实施例中,所述更新单元还用于:比较所述应用白名单的时间戳或版本号和服务器上的应用白名单的时间戳或版本号,以确定是否需要更新所述应用白名单;如果需要更新,则从服务器下载最新的应用白名单,并基于下载的应用白名单来更新所述终端上的所述应用白名单;如果不需要更新,则结束更新过程。
[0024]在一些实施例中,所述更新单元还用于:备份所述终端上的所述应用白名单;对下载的应用白名单进行完整性和有效性校验;以及如果校验结果正确,则用下载的应用白名单来替换所述终端的上的所述应用白名单;如果校验结果不正确,则结束所述更新过程。
[0025]在一些实施例中,所述更新单元还用于将所述更新过程中的相关信息以日志方式加以保存。
[0026]在一些实施例中,所述监听单元用于:以后台服务模式在所述终端上运行,以监听所述终端上的权限请求。
[0027]在一些实施例中,所述应用白名单中还包括与各应用分别相关的“云端检查”标志项,用于指示是否在云端检查相应应用的权限请求。
[0028]在一些实施例中,所述管理单元用于:如果所述比对的结果是所述应用在所述应用白名单中,则检查所述应用白名单中所述应用的“云端检查”标志项:如果所述“云端检查”标志项指示需要在云端检查所述应用的权限请求,则向云端发送检查请求,并从云端接收检查结果,以及执行相应的权限管理;如果所述“云端检查”标志项指示不需要在云端检查所述应用的权限请求,则许可所述权限请求。
[0029]在一些实施例中,所述比对单元用于:计算所述应用的数字摘要值;以及将计算出的数字摘要值与所述应用白名单中各应用的数字摘要值进行比较,以确定所述应用是否在所述应用白名单中。
[0030]在一些实施例中,所述终端还包括用户界面,以供用户设置以下至少一项:是否进行应用白名单更新;是否进行云端检查;以及是否进行云端日志分析。
[0031]通过使用本发明的方法和终端,能够自动进行ROOT权限请求检测,保证安全的应用获得权限,并减少用户对恶意应用误授权的情况,进而保护用户的数据安全。
【附图说明】
[0032]通过下面结合【附图说明】本发明的优选实施例,将使本发明的上述及其它目的、特征和优点更加清楚,其中:
[0033]图1是示出