方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明实施例的保护范围。
[0029]在当前的终端应用中,有些文件类型,如图片文件,在一些系统上没有明确的系统权限保护,但它们明显是同一类文件,此时可以认为他们受到同一个特殊的”读图片”(permiss1ns, picture, read)权限保护,而所有应用程序(APP)都缺省具有此权限。通常情况下,某类个人数据中的大部分条目(例如大部分的联系人、大部分的照片)都不是特别敏感的(例如一般性联系人,一般性风景照片等),而有些数据条目可能是很敏感的,例如通讯录中一些特殊的联系人记录如工作上司、生意伙伴、政界人士、其它公众人士朋友等,短信记录及通话记录中与上述特殊敏感联系人的短信和电话来往记录,照片中的家人照片等。
[0030]终端上运行的APP在很多情况下都需要读取终端中某一类或者某几类个人数据中的部分信息条目(如部分联系人、部分短信、部分照片)以便执行正常的业务功能,例如微信需要读取用户的手机通讯录以便为用户搜索好友,很多社交应用都需要读取用户终端中的部分图片以便进行分享。目前终端上的APP在安装时都会申请各种访问权限(例如读取通讯录的权限),用户如果希望使用该APP,则必须同意授予APP所申请的访问权限,APP一旦获得对应的权限则可以不受限制的读取某一类或者几类个人数据中的所有条目。例如,APP 一旦被授予了 Android, permiss1n.READ_CONTACTS权限,则它可以随意读取所有的通讯录联系人以及所有的通话记录,或者APP —旦被授予了 android, permiss1n.READ_SMS权限,则可以随意读取所有的短信记录,或者APP如果取得了 com.android, browser,permiss1n.READ_HIST0RY_B00KMARKS权限则可以访问则可以读取浏览器历史记录。然而APP在一般情况下,并不需要读取所有的个人数据条目,例如大部分终端用户一般不会把自己通讯录中的工作上司或者生意伙伴加为微信好友;很多基于地理位置的应用都支持基于通讯录的地理位置分享功能,但用户一般不会跟通讯录中的父母、工作上司等进行位置分享;淘宝需要读取来自指定平台的短信以获取验证码,而不需要读取其它的短信记录。
[0031]APP以编译代码的形式在用户终端上运行,用户通常难以得知其内部的程序逻辑,例如APP如何对用户个人数据进行处理,是否会把部分个人数据发送到网络上等。根据目前的研究分析,APP普遍存在过度收集用户个人数据的情况。例如2014年2月,Metalntell公司对500个最流行的Android APP进行测试,发现92%的程序存在用户个人数据泄露行为;2013年12月HP公司发布测试报告,一个用户平均使用26个APP,其中平均97%程序存在隐私问题。这些APP可能过度收集用户智能终端中的联系人、短信、通话记录、照片等,特别是部分敏感的数据条目,这对用户的个人隐私构成了严重的威胁。
[0032]针对智能终端上系统权限过于粗略而难以针对个人信息中某些特别敏感的数据条目进行保护的现状,对智能终端上每个权限覆盖保护的同一类数据中的不同数据条目按照其各自对用户而言的敏感性进行隐私分级,使每个数据条目都有相应的隐私敏感级别以标识其敏感性,通过隐私限制确保只有可信级别或程度高的APP才能读取到终端上的敏感个人数据条目,使得用户可以精确管理和控制第三方APP对部分用户敏感数据的访问和收集。
[0033]如图1所示,在智能终端上,每类用户个人数据都为对应的权限所保护,本方案对智能终端APP中受到相同权限保护的同一类数据中的不同数据条目按照其各自对用户而言的敏感性进行隐私分级,使得数据条目都有相应的隐私敏感级别以反映其对用户而言的敏感性。这里每个数据条目都需要有相应的隐私级别信息,但这些信息未必直接与对应的数据条目存储在一起,隐私级别可能从其它信息中推导出来,如不同的存储位置。为了降低用户的管理代价,数据条目的隐私敏感级别可以按照系统提供的推导规则进行自动推导确定并由用户进行自主调整。对系统中的APP按照其隐私可信性进行分级,基于其所拥有的权限及其来源对其评估并确定其隐私可信级别。当拥有对应访问权限的APP并试图读取某类个人数据时,在系统缺省的权限检查通过之后,对该类个人数据中的每个数据条目检查其隐私敏感级别与APP的隐私可信级别的关系,根据两个级别的差异关系决定当前数据条目在应用程序访问结果集中的可见性和呈现形式。这里可以采用的策略可以是:不予返回、返回虚假数据、返回混淆数据、访问审计、不加限制等。这称为隐私限制策略。
[0034]实施例一
[0035]如图2所示,本发明实施例提供一种数据访问控制方法,所述方法包括以下步骤:
[0036]步骤101、获取第一应用程式APP对第二应用程序APP的数据访问请求,所述第二APP的数据包括多个数据条目,所述多个数据条目中的各数据条目具有各自的隐私级别;
[0037]步骤102、确定所述第一 APP的可信级别以及所述第一 APP要访问的第二 APP数据下各数据条目的隐私级别;
[0038]步骤103、根据所述第一 APP的可信级别以及所述各数据条目的隐私级别,针对所述多个数据条目中各数据条目,确定所述第一 APP对所述第二 APP的数据请求的回应以及处理方式,所述回应以及处理方式包括返回所述第一 APP请求访问的数据条目、不予返回所述第一 APP请求访问的数据条目、返回修改后的数据条目、不加限制而直接返回隐私级别低于所述第一 APP可信级别的数据条目以及审计并记录返回结果中的一种或多种方式。
[0039]步骤101中,所述第一 APP包括各种来源的安装软件,如来自系统软件、应用市场(APP Market)以及其它来源等软件。所述第二APP可以是短信息、通讯录、相册等等具有多个数据条目的应用程序。所述第一 APP通常在安装或者启动的时候需要调用其它APP的数据的时候发起的访问请求。
[0040]在一些实施例中,所述第二 APP数据的多个数据条目分为一种或多种数据类型,所述数据类型是指描述对象相同的数据,例如联系人、短信、通话记录、照片为不同类型的数据。所述获取第一应用程式APP对第二应用程序APP的数据访问请求包括获取第一应用程式APP对第二应用程序APP的同一类型数据的访问请求。
[0041]步骤102中,确定所述第一 APP的可信级别包括:根据所述第一 AAP的来源以及是否具有联网权限确定所述第一 APP的可信级别,其中所述APP来源包括预装系统软件、用户信任的应用市场(APP Market)以及其它来源,其中可信级别由预装系统软件、用户信任的应用市场(APP Market)到其它来源依次降低。例如,APP可信级别反应了用户对于该APP不会泄露用户个人数据的确信程度,它可以通过客观的标准进行度量,也可以由用户主观指定。本发明实施方式中使用一种客观的可信级别评估方法,该方法主要基于APP的来源和APP是否具有联网权限进行分类并指定可信级别。这种APP的隐私可信级别评定,可以在云端执行并下发到终端上。
[0042]其中,是否具有联网权限是影响APP隐私可信级别的重要因素,一款没有联网权限的APP自己是不可能泄露用户隐私的,APP如果具有了联网权限,就具有泄露用户隐私的基本能力。这里定义所有APP的集合为ALL,所有不具有联网权限的APP的集合为PLAIN,具有联网权限的APP的集合为NET,显然ALL = PLAIN+NET。
[0043]APP的来源反应了该APP是从何处获得的,也即APP的提供者。可信提供者提供的APP通常相对较为可信。APP按照其来源可以分为以下几类:
[0044]1)预装的系统软件(定义为SYS),这些APP是设备制造商在出厂时预装的不可卸载的系统软件,这些软件构成了终端系统的一部分,有明确的软件责任归属,具有最好的来源可信性。
[0045]2)来自用户信任的APP Market (如Google Play)或者网站(如Baidu, com)的APP,这里定义其集合为MARKETS。
[0046]3)其它来源的APP,定义为OTHERS。