权限控制方法和权限控制装置制造方法
【专利摘要】本发明提供了一种权限控制方法和一种权限控制装置,其中,所述权限控制方法,包括:监测用户对终端的操作;根据预存的用户行为数据可信值定义,确定所述用户的操作所对应的可信值;根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限。通过本发明的技术方案,对用户在终端上的操作进行监测,分析用户的行为,并判断操作用户是否为可信用户,根据判断结果控制用户对终端的操作行为,可减少可信用户的认证次数,并进一步提高安全性能。
【专利说明】权限控制方法和权限控制装置
【技术领域】
[0001]本发明涉及通信【技术领域】,具体而言,涉及一种权限控制方法和一种权限控制装置。
【背景技术】
[0002]目前,随着智能终端(手机、平板电脑等等)的广泛使用,智能终端中存储着大量的用户隐私信息,因此智能终端的信息安全成为备受关注的问题。
[0003]常用的管理应用及信息的认证方法就是设置一个账号和对应的密码,通过账号和密码的验证来实现信息加密。用户在使用终端时,在登陆框中输入账号和密码,只要通过后台验证无误后,终端就会开放所有操作权限。此种对信息进行加密的方式,密码很容易被人为破解或遭受木马程序的攻击而被破解,造成用户的隐私信息泄露。
[0004]在相关技术中还有一种方案是为不同的应用设置不同等级的权限,这样会造成用户在每次使用时都需要进行权限验证,造成不停地进行权限验证的效果验证方法不够灵活,用户体验太差。
[0005]因此,如何在保证终端安全性的前提下,减少验证步骤成为亟待解决的技术问题。
【发明内容】
[0006]本发明正是基于上述问题,提出了一种新的权限控制技术,监测并分析用户对终端的操作行为,根据分析结果自动控制用户的权限。
[0007]有鉴于此,根据本发明的一个方面,提出了一种权限控制方法,包括:监测用户对终端的操作;根据预存的用户行为数据可信值定义,确定所述用户的操作所对应的可信值;根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限。
[0008]在该技术方案中,通过监测用户对终端的操作并根据用户的操作确定该用户的可信值,使得终端根据可信值自动识别是否需要第二次密码认证并开放相应的权限,与相关技术中相比,该技术方案可灵活的根据用户的操作行为确定可信值,根据可信值确定用户的可信度,对可信用户开放所有权限,不需要重复的进行第二次密码认证,简化了操作步骤。
[0009]其中,第一预设值根据用户对终端信息的安全性要求可以自由设定。在允许范围内设定的第一预设值越大,用户提升为可信用户就越困难,也即获得终端所有权限越困难,信息的安全性越高。
[0010]在上述技术方案中,优选地,所述用户行为数据可信值定义包括操作类型、每一操作类型对应的可信权重以及每一操作类型对应的认证级别;根据所述用户的操作所对应的可信值确定所述终端用户的可信值;在所述用户的可信值大于第一预设值时,确定所述用户为可信用户,并开放所述终端的所有操作权限。
[0011]在该技术方案中,通过预先定义操作类型、每一种操作类型对应的可信权重以及每一种操作类型对应的认证级别,可以在用户对终端进行各项操作时,根据预置的用户行为数据可信值定义可方便获取相应操作的权重,计算相应操作的可信值。同时,通过定义各项操作的权重,可以将重要的操作设置较高的权重,更加智能的识别用户的可信度。例如:回复电话和输入密码正确的权重较高,拨打陌生电话的权重较低。而且各项操作都有对应的认证级别,在相应的认证级别通过后才可以进行相应的操作,获取可信分数。也就是说,在用户的操作得到终端的认可时,就可以为该用户加分,相反,如果用户的操作不能得到终端的认可,则不会为该用户加分,从而动态判断用户是否是可信用户。
[0012]在上述技术方案中,优选地,根据所述可信权重计算出用户在执行相应操作后所获得的可信分数;将所述用户执行的所有操作所对应的可信分数相加,得到所述用户的可信值。
[0013]在该技术方案中,通过将用户各项操作的可信分数相加得到用户的可信值,可以使终端根据可信值智能的识别该用户的可信度,而且根据用户对终端的不同操作,可信值动态变化,有效的保护用户的隐私。
[0014]在上述技术方案中,优选地,在所述用户的可信值小于等于第一预设值且大于第二预设值时,确定所述用户为可疑用户,并开放所述终端的部分操作权限;在所述用户的可信值小于等于所述第二预设值时,确定所述用户为不可信用户,限制所述用户对所述终端的所有可控制操作行为,其中,所述第一预设值大于所述第二预设值。
[0015]在该技术方案中,通过可信值与第一预设值和第二预设值的比较,将用户分为可信用户、可疑用户和不可信用户三种类型,对不同类型的用户开放相应的操作权限,对可信用户开放所有权限不需要重复的进行认证,对可疑用户开放部分权限,需要更多的验证才可以获取所有的权限,有效的保护用户的隐私。如果是不可信用户,则禁止使用该终端,提高终端的安全性能。
[0016]其中,第一预设值和第二预设值根据用户对终端信息的安全性要求设定,只需保证第一预设值大于第二预设值。
[0017]在上述技术方案中,优选地,还包括:在确定所述用户为可疑用户时,启用所述用户对所述终端的操作权限的二级认证;在所述用户通过所述二级认证时,获取对所述终端进行相应操作的权限。
[0018]在该技术方案中,通过对可疑用户进行第二次密码认证,验证通过开放所有的权限,可以避免可信用户因为某次输入错误密码或者其他误操作而被降级为可疑用户进而被限制部分应用的权限。相应地,如果可疑用户多次输入第二次密码错误,则将该用户降级为不可信用户。
[0019]具体来说:在第一次通过用户名和密码验证后,只对用户开放安全级别最低的应用,用户只能使用、查看终端部分应用和信息。根据用户对终端部分应用的操作确定用户的可信值,可信值大于第一预设值为可信用户,会开放所有终端权限;可信值小于等于第一预设值大于第二预设值为可以用户,会开放终端的部分操作权限,例如仅可以使用浏览器、闹铃等应用;可信值小于等于第二预设值为不可信用户,限制对终端的操作权限。对于可信用户和可疑用户,其可信值随用户对终端的操作动态的变化。
[0020]例如:对于可信用户,如果用户在使用应用程序过程中出现多次错误,比如wifi密码验证多次错误等,则根据密码验证错误的权重重新确定相应的可信分数,得到新的可信值,该可信用户可能降为可疑用户,则提升权限管理,禁止访问安全级别高的应用和操作,比如禁止访问图片、存储器等。如果用户使用过程中没有出现密码验证错误,并有正确连接配件、打电话、回复短信等操作,则认定用户为可信用户,默认开启所有权限,不需要输入第二次密码验证。同样地,可疑用户根据操作的可信分数也可以升级为可信用户或降级为不可信用户。
[0021]根据本发明的另一方面,还提出了一种权限控制装置,包括:监测单元,用于监测用户对终端的操作;判断单元,连接至所述监测单元,用于根据预存的用户行为数据可信值定义,确定所述用户的操作所对应的可信值;权限控制单元,用于根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限。
[0022]在该技术方案中,通过监测用户对终端的操作并根据用户的操作确定该用户的可信值,使得终端根据可信值自动识别是否需要第二次密码认证并开放相应的权限,与相关技术中相比,该技术方案可灵活的根据用户的操作行为确定可信值,根据可信值确定用户的可信度,对可信用户开放所有权限,不需要重复的进行第二次密码认证,简化了操作步骤。
[0023]其中,第一预设值根据用户对终端信息的安全性要求可以自由设定。在允许范围内设定的第一预设值越大,用户提升为可信用户就越困难,也即获得终端所有权限越困难,信息的安全性越高。
[0024]在上述技术方案中,优选地,所述用户行为数据可信值定义包括操作类型、每一操作类型对应的可信权重以及每一操作类型对应的认证级别;所述判断单元还用于根据所述用户的操作所对应的可信值确定所述终端用户的可信值;所述权限控制单元在所述用户的可信值大于第一预设值时,确定所述用户为可信用户,并开放所述终端的所有操作权限。
[0025]在该技术方案中,通过预先定义操作类型、每一种操作类型对应的可信权重以及每一种操作类型对应的认证级别,可以在用户对终端进行各项操作时,根据预置的用户行为数据可信值定义可方便获取相应操作的权重,计算相应操作的可信值。同时,通过定义各项操作的权重,可以将重要的操作设置较高的权重,更加智能的识别用户的可信度。例如:回复电话和输入密码正确的权重较高,拨打陌生电话的权重较低。而且各项操作都有对应的认证级别,在相应的认证级别通过后才可以进行相应的操作,获取可信分数。也就是说,在用户的操作得到终端的认可时,就可以为该用户加分,相反,如果用户的操作不能得到终端的认可,则不会为该用户加分,从而动态判断用户是否是可信用户。
[0026]在上述技术方案中,优选地,所述判断单元包括:第一计算单元,根据所述可信权重计算出用户在执行相应操作后所获得的可信分数;第二计算单元,将所述用户执行的所有操作所对应的可信分数相加,得到所述用户的可信值。
[0027]在该技术方案中,通过将用户各项操作的可信分数相加得到用户的可信值,可以使终端根据可信值智能的识别该用户的可信度,而且根据用户对终端的不同操作,可信值动态变化,有效的保护用户的隐私。
[0028]在上述技术方案中,优选地,所述权限控制单元还用于在所述用户的可信值小于等于第一预设值且大于第二预设值时,确定所述用户为可疑用户,并开放所述终端的部分操作权限,以及在所述用户的可信值小于等于所述第二预设值时,确定所述用户为不可信用户,限制所述用户对所述终端的所有可控制操作行为,其中,所述第一预设值大于所述第
二预设值。[0029]在该技术方案中,通过可信值与第一预设值和第二预设值的比较,将用户分为可信用户、可疑用户和不可信用户三种类型,对不同类型的用户开放相应的操作权限,对可信用户开放所有权限不需要重复的进行认证,对可疑用户开放部分权限,需要更多的验证才可以获取所有的权限,有效的保护用户的隐私。如果是不可信用户,则禁止使用该终端,提高终端的安全性能。
[0030]其中,第一预设值和第二预设值根据用户对终端信息的安全性要求设定,只需保证第一预设值大于第二预设值。
[0031]在上述技术方案中,优选地,所述权限控制单元还用于在确定所述用户为可疑用户时,启用所述用户对所述终端的操作权限的二级认证,在所述用户通过所述二级认证时,获取对所述终端进行相应操作的权限。
[0032]在该技术方案中,通过对可疑用户进行第二次密码认证,验证通过开放所有的权限,可以避免可信用户因为某次输入错误密码或者其他误操作而被降级为可疑用户进而被限制部分应用的权限。相应地,如果可疑用户多次输入第二次密码错误,则将该用户降级为不可信用户。
[0033]具体来说:在第一次通过用户名和密码验证后,只对用户开放安全级别最低的应用,用户只能使用、查看终端部分应用和信息。根据用户对终端部分应用的操作确定用户的可信值,可信值大于第一预设值为可信用户,会开放所有终端权限;可信值小于等于第一预设值大于第二预设值为可以用户,会开放终端的部分操作权限,例如仅可以使用浏览器、闹铃等应用;可信值小于等于第二预设值为不可信用户,限制对终端的操作权限。对于可信用户和可疑用户,其可信值随用户对终端的操作动态的变化。
[0034]例如:对于可信用户,如果用户在使用应用程序过程中出现多次错误,比如wifi密码验证多次错误等,则根据密码验证错误的权重重新确定相应的可信分数,得到新的可信值,该可信用户可能降为可疑用户,则提升权限管理,禁止访问安全级别高的应用和操作,比如禁止访问图片、存储器等。如果用户使用过程中没有出现密码验证错误,并有正确连接配件、打电话、回复短信等操作,则认定用户为可信用户,默认开启所有权限,不需要输入第二次密码验证。同样地,可疑用户根据操作的可信分数也可以升级为可信用户或降级为不可信用户。
【专利附图】
【附图说明】
[0035]图1示出了根据本发明的一个实施例的权限控制方法的示意流程图;
[0036]图2示出了根据本发明的一个实施例的二级密码认证方法的示意流程图;
[0037]图3示出了根据本发明的一个实施例的权限控制装置的结构示意图;
[0038]图4示出了根据本发明的一个实施例的权限控制装置的内部架构示意图。
【具体实施方式】
[0039]为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和【具体实施方式】对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
[0040]在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
[0041]图1示出了根据本发明的一个实施例的权限控制方法的示意流程图。
[0042]如图1所示,根据本发明的一个实施例的权限控制方法,包括:步骤102,监测用户对终端的操作;步骤104,根据预存的用户行为数据可信值定义,确定所述用户的操作所对应的可信值;步骤106,根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限。
[0043]在该技术方案中,通过监测用户对终端的操作并根据用户的操作确定该用户的可信值,使得终端根据可信值自动识别是否需要第二次密码认证并开放相应的权限,与相关技术中相比,该技术方案可灵活的根据用户的操作行为确定可信值,根据可信值确定用户的可信度,对可信用户开放所有权限,不需要重复的进行第二次密码认证,简化了操作步骤。
[0044]其中,第一预设值根据用户对终端信息的安全性要求可以自由设定。在允许范围内设定的第一预设值越大,用户提升为可信用户就越困难,也即获得终端所有权限越困难,信息的安全性越高。
[0045]在上述技术方案中,优选地,所述用户行为数据可信值定义包括操作类型、每一操作类型对应的可信权重以及每一操作类型对应的认证级别;根据所述用户的操作所对应的可信值确定所述终端用户的可信值;在所述用户的可信值大于第一预设值时,确定所述用户为可信用户,并开放所述终端的所有操作权限。
[0046]在该技术方案中,通过预先定义操作类型、每一种操作类型对应的可信权重以及每一种操作类型对应的认证级别,可以在用户对终端进行各项操作时,根据预置的用户行为数据可信值定义可方便获取相应操作的权重,计算相应操作的可信值。同时,通过定义各项操作的权重,可以将重要的操作设置较高的权重,更加智能的识别用户的可信度。如表2所示,回复电话和输入密码正确的权重较高,拨打陌生电话的权重较低。而且各项操作都有对应的认证级别(如表2所示),在相应的认证级别通过后才可以进行相应的操作,获取可信分数。也就是说,在用户的操作得到终端的认可时,就可以为该用户加分,相反,如果用户的操作不能得到终端的认可,则不会为该用户加分,从而动态判断用户是否是可信用户。
[0047]作为一种较为具体的实施例,以手机终端为例进行说明。
[0048]根据安全级别不同,定义不同的安全策略、认证方式及安全模式。如表1所示。
安全策略安全级别认证方式__安全模式_
'时授权用户使用、查看部分应用和信
「 ? 一级裙码认证初级数+/图像逸'码Α,,,
[0049]_____息,有限制行为_
生物识别.指纹/痒
二级密码认证中高级无限制行为,具有全部操作权限
纹/眼纹
[0050]表1
[0051]一级密码认证,可通过基本的数字或图像密码输入,用户密码输入正确后只能使用或查看部分应用和信息,开启一级密码认证后的安全模式,后台运行用户行为分析。
[0052]二级密码认证,通过指纹、声纹及眼纹等安全级别更高的生物识别让用户进一步认证。[0053]操作类型、每一种操作类型对应的可信权重以及每一种操作类型对应的认证级别如表2所示。
[0054]
【权利要求】
1.一种权限控制方法,其特征在于,包括: 监测用户对终端的操作; 根据预存的用户行为数据可信值定义,确定所述用户的操作所对应的可信值; 根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限。
2.根据权利要求1所述的权限控制方法,其特征在于,所述用户行为数据可信值定义包括操作类型、每一操作类型对应的可信权重以及每一操作类型对应的认证级别; 所述根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限的步骤,具体为: 根据所述用户的操作所对应的可信值确定所述终端用户的可信值; 在所述用户的可信值大于第一预设值时,确定所述用户为可信用户,并开放所述终端的所有操作权限。
3.根据权利要求2所述的权限控制方法,其特征在于,根据所述可信权重计算出用户在执行相应操作后所获得的可信分数; 将所述用户执行的所有操作所对应的可信分数相加,得到所述用户的可信值。
4.根据权利要求2或3所述的权限控制方法,其特征在于,在所述用户的可信值小于等于所述第一预设值且大于第二预设值时,确定所述用户为可疑用户,并开放所述终端的部分操作权限; 在所述用户的可信值小于 等于所述第二预设值时,确定所述用户为不可信用户,限制所述用户对所述终端的所有可控制操作行为,其中,所述第一预设值大于所述第二预设值。
5.根据权利要求4所述的权限控制方法,其特征在于,还包括:在确定所述用户为可疑用户时,启用所述用户对所述终端的操作权限的二级认证。
6.一种权限控制装置,其特征在于,包括: 监测单元,用于监测用户对终端的操作; 判断单元,连接至所述监测单元,用于根据预存的用户行为数据可信值定义,确定所述用户的操作所对应的可信值; 权限控制单元,用于根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限。
7.根据权利要求6所述的权限控制装置,其特征在于,所述用户行为数据可信值定义包括操作类型、每一操作类型对应的可信权重以及每一操作类型对应的认证级别; 所述判断单元还用于根据所述用户的操作所对应的可信值确定所述终端用户的可信值; 所述权限控制单元在所述用户的可信值大于第一预设值时,确定所述用户为可信用户,并开放所述终端的所有操作权限。
8.根据权利要求7所述的权限控制装置,其特征在于,所述判断单元包括: 第一计算单元,根据所述可信权重计算出用户在执行相应操作后所获得的可信分数; 第二计算单元,将所述用户执行的所有操作所对应的可信分数相加,得到所述用户的可信值。
9.根据权利要求7或8所述的权限控制装置,其特征在于,所述权限控制单元还用于在所述用户的可信值小于等于第一预设值且大于第二预设值时,确定所述用户为可疑用户,并开放所述终端的部分操作权限,以及在所述用户的可信值小于等于所述第二预设值时,确定所述用户为不可信用户,限制所述用户对所述终端的所有可控制操作行为,其中,所述第一预设值大于所述第二预设值。
10.根据权利要求9所述的权限控制装置,其特征在于,所述权限控制单元还用于在确定所述用户为可疑用户时,启用所述用户对所述终端的操作权限的二级认证。
【文档编号】H04W12/06GK103813334SQ201410063062
【公开日】2014年5月21日 申请日期:2014年2月24日 优先权日:2014年2月24日
【发明者】刘珍珍, 刘玉清 申请人:宇龙计算机通信科技(深圳)有限公司