阻止访问计算设备的敏感数据的方法
【技术领域】
[0001]本发明涉及一种控制软件应用访问由计算系统支持的数据或服务的方法,被配置为执行该方法的计算机程序产品和访问控制单元。
【背景技术】
[0002]计算系统的结构可以实现为实质上扁平的(flat)和许可的(permissive)架构。在这样的系统中,程序、软件应用、服务和其它类似可运行实体(runnable)全部能够访问系统的大部分其它组件。计算系统还可被构造为存在于分立空间中的这样的程序、软件应用、服务和其它可运行实体,并且在这样的系统组件之间的关系被明确地管理。后者的架构可特别地用于移动计算场景(scenar1)和包括云计算的分布式计算技术中。在这种移动和云计算场景中,应用以及类似物可被分布以使得应用的软件组件遍及一个或多个云数据中心,同时略多于实际运行在本地设备上的应用用户接口。例如,网络可连接设备,例如智能电话或平板。此外,应用和其它可运行实体可以是可操作的,使得它们访问并处理对个人计算设备本地可用的数据以及从一个或多个远程源获取的数据。一些应用和其它类似的可运行实体可操作以使得它们的受管理的数据被远程地存储,这可能引起有关用户隐私的挑战。
[0003]存在用于云应用的开发和部署的不同的操作系统(0S)和运行时环境。用于移动设备的这种操作系统和运行时环境包括例如安卓(Android)、黑莓(Blackberry)、1S以及类似物。每个可包括不同的特征组,该不同的特征组可以有助于减轻与上述分立应用架构相关联的安全和隐私风险,并且给予用户对由安装在设备上的应用来管理的数据在隐私上的一些形式的控制。
[0004]然而,这种特征可能引起问题。期望提供替代的手段来提供对在设备上安装的应用的用户控制。
【发明内容】
[0005]因此,第一方面提供一种控制应用访问由计算系统支持的数据或服务的方法,该方法包括:识别来自应用的用于访问由该系统支持的数据或服务的请求;确定对该数据或服务的访问是否已经被限制;并且,如果是这样的话,指示该应用该系统已经准许用于访问的请求,并且当该应用访问该数据或服务时,仿真该数据或服务。
[0006]第一方面认出一些计算机系统操作环境允许用户指定关于每个应用的一组许可。在一些实例中,可能需要准许特定的许可,以便应用或其它运行实体执行其功能。例如,在移动电话上,通常应用请求许可,例如:访问本地电话地址簿、执行呼叫的能力、发送SMS消息、访问GPS定位信息、日历,请求访问本地或远程文件系统(例如,图片、音频和/或视频内容),访问在设备上可用的本地照相机和/或麦克风或其它类似功能。
[0007]具体的操作系统无关,应用通常可操作以声明或作出请求,所涉及的许可需要被设备上的其它服务或文件准许以便合适地发挥功能。系统用户可以在安装这种应用时有机会准许这种许可或拒绝它们。将理解的是,例如在安卓设备上,在随apk”应用安装包分发的被称为“清单”XML文件中指定一组许可,据此,用户可以决定准许所有必需的许可并且安装应用,或者拒绝所有被请求的许可并且不安装应用。这种实施可以是限制性的。多种替代实施是可能的。例如,黑莓设备是这样:实施更细粒度的许可模型。在这种实施中,用户可选择性地准许或拒绝如由应用请求的单独许可,并且这种设定可以被动态地改变。
[0008]用于移动设备和其它计算系统的应用的开发者和提供者常常倾向于设计访问(与确实需要的相比)更多的数据和服务的应用来在个人设备上发挥功能。例如,声称主要用于舒适地浏览远程网站(例如,社交网络、在线烹饪食谱、在线词典,或诸如航班、火车或类似的运输信息)的免费应用可操作以使得它还尝试收获在个人设备上可用的隐私敏感信息。该敏感信息可例如包括电话或地址簿信息、图片、电子邮件或其它类似设备内容。应用可操作以将这样的敏感信息的一部分报告给通过该应用免费浏览的网站。在这种场景中,用户可能基本上不知道敏感信息被使用,因为在应用与远程网址之间的一些交互是该应用的正常活动的一部分。此外,如果敏感信息的共享部分被加密,即使安装并运行网络流量分析器,用户可能也难以注意到任何事物。然而,如果应用要求看起来是在应用或类似可运行实体的功能范围之外的特定许可,例如声称是用于浏览远程食谱的应用请求对访问地址簿的许可,用户可能会怀疑并且决定不安装应用。在更先进的操作系统上,用户可能会尝试安装应用,但拒绝在用户看起来对该应用的主要功能不必要的任何单独许可。
[0009]然而,应用提供者和开发者可创建一种可操作以检测这种情况的应用,其或者借助可运行时环境提供给应用的适当API,该运行时环境可允许应用查询0S许可是否已经被准许,或者通过尝试执行要求特定许可的动作,例如访问电话簿、GPS信息或本地媒体文件,并且检测由于被拒绝的许可导致的未经授权的访问而在运行时环境中出现的结果错误(resultant error)0
[0010]在这种实例中,应用开发者和提供者可通过确保除非准许被请求的许否则应用拒绝执行其主要功能来尝试强迫用户安装应用并且放弃优选的隐私要求。因此,许多用户可能觉得被强迫放弃他们的优选的许可限制和隐私要求,并且让被安装的应用管理或传送比他们认为必要的更多的个人或隐私数据。
[0011]在一些实例中,用户只能通过不安装这种“侵犯隐私的”应用来避免泄露隐私信息。
[0012]第一方面认识到可以提供用于系统的扩展的访问控制模型(所述系统包括移动和云应用),其中,除了被直接准许或拒绝之外,单独许可可以“看似被准许”。因此,0S或运行时环境可以是可操作的,以让用户指定0S应当表现得好像已经准许由应用请求的许可,但那些许可的结果是操作正常地可用的数据或服务以使得对于提出请求的应用仍然不可访问。
[0013]当软件应用请求访问在计算系统上提供的数据或服务时,第一方面可能是有用的。该系统可包括移动设备。然而,计算系统可包括PC、平板、虚拟机或在计算系统内的任何类似的分立计算单元。
[0014]第一方面可由应用基础在应用上执行,以及理所当然地,在数据或服务基础上以与用于应用请求的每个数据或服务的许可或访问请求相关来配置。这就是说,有可能完全允许一些被请求的许可,完全拒绝一些被请求的许可,和/或适当地“看似准许”一些被请求的许可。许可或限制设定可被施加至遍及与数据或服务有关的所有提出请求的应用或特定提出请求的应用。
[0015]在一个实施例中,仿真包括:确定应用访问哪些数据或服务,并且依赖被访问的数据或服务创建对应用的响应。因为方面和实施例操作使得应用不能够区分“看似被准许”的许可与常规地被准许的许可,应用将期待一些数据或服务可用。通过由0S本身或专用软件组件采取的步骤可仿真该数据或服务。
[0016]在一个实施例中,仿真包括:确定应用访问哪些数据或服务,并且在创建对应用的响应之前寻求来自用户的合适的响应的指示,所述创建对应用的响应依赖被访问的数据或服务以及被指示的合适的响应。
[0017]在一个实施例中,创建响应包括:判断用户是否已经指示与被访问的数据或服务相关联的至少一个响应是对应用保持可访问,并且如果是,则基于可访问响应创建响应。
[0018]在一个实施例中,如果被访问的服务是:麦克风、照相机、摄像机、GPS定位服务、联系列表,或本地文件系统,则被创建的响应相应地包括:音频文件、图像、影片、定位数据、联系细节,或适当的文件夹结构。仿真可例如采取许多形式。例如,访问移动电话地址簿的许可可能要求在事件中这样的许可看似被准许,0S让应用相信用户已经准许该许可,但确保由应用所做的所有访问尝试在用户的控制之下实际上被重新路由以访问空的或伪造的地址簿。在替代实施例中,用户可拥有接口以决定哪些真正的地址簿条目向已经“看似被准许”访问整个地址簿的应用显露。
[0019]在一个实施例中,如果被访问的服务是蜂窝互联网访问,则被创建的响应包括确定WiFi网络是否可访问,并且经由WiFi网络路由用于因特网访问的请求。在一些实施例中,可仿真对通过运营商数据服务或wifi的访问互联网的许可。通常,移动设备可操作以区分通过wifi或通过使用蜂窝网络可用的数据服务来提供的因特网访问。后者常常是付费服务,而前者由于免费(或统一费率)wifi服务的广泛可用性常常是免费使用的。由移动运营商提供的应用可通过移动网络尝试请求互联网访问并且忽略了 wifi连接的可用性。在这种实例中,“通过移动数据服务的互联网”许可可与特定仿真模式相关联,通过该特定仿真模式,通过wifi网络(如果可用话)重新路由流量。
[0020]在一个实施例中