CN103065098A - 访问方法和电子设备 - Google Patents
访问方法和电子设备 Download PDFInfo
- Publication number
- CN103065098A CN103065098A CN2011103263664A CN201110326366A CN103065098A CN 103065098 A CN103065098 A CN 103065098A CN 2011103263664 A CN2011103263664 A CN 2011103263664A CN 201110326366 A CN201110326366 A CN 201110326366A CN 103065098 A CN103065098 A CN 103065098A
- Authority
- CN
- China
- Prior art keywords
- access
- application
- request
- resource
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
提供了访问方法和电子设备。该访问方法用于电子设备,所述电子设备包括第一应用,第二应用和第一资源,其中,所述第一应用具有第一权限,所述第一权限不能直接访问所述第一资源,所述方法包括:所述第一应用发出所述第一资源的访问请求;在所述第一应用满足预定条件的情况下,所述第一应用将所述访问请求传送到所述第二应用,所述第二应用具有第二权限,且所述第二权限能够直接访问所述第一资源;所述第二应用访问所述第一资源。通过根据本发明实施例的访问方法和电子设备,可以使得仅具有低权限的应用能够访问需要高权限的资源,同时保持安全性,并提高了用户使用的便利。
Description
技术领域
本发明涉及访问方法和电子设备。
背景技术
当前,在电子设备上运行的应用数目也越来越多,这些应用中的某些需要用到电子设备的资源。但是,由于安全性等方面的考虑,并非所有应用都能够毫无限制地使用电子设备的资源。在这种情况下,电子设备的应用具有仅限于能够访问一定资源的权限,从而访问电子设备的特定资源。
为了解决上述问题,当前的解决方法是使得所有应用都均有访问资源的最大权限,但是这又带来了安全性的问题。
因此,需要提供能够便捷和安全地提升应用的权限以访问特定资源的方法。
发明内容
因此,针对上述现有技术中存在的问题和需求做出本发明。
本发明的目的是提供一种访问方法和电子设备,其能够提升具有较低权限的应用的权限从而访问需要以较高权限来访问的特定资源。
根据本发明实施例的一个方面,提供了一种访问方法,用于电子设备,所述电子设备包括第一应用,第二应用和第一资源,其中,所述第一应用具有第一权限,所述第一权限不能直接访问所述第一资源,所述方法包括:所述第一应用发出所述第一资源的访问请求;在所述第一应用满足预定条件的情况下,所述第一应用将所述访问请求传送到所述第二应用,所述第二应用具有第二权限,且所述第二权限能够直接访问所述第一资源;所述第二应用访问所述第一资源。
在上述方法中,所述第一资源包括第一文件或第一命令;其中,当所述第一资源包括第一文件时,所述第二应用访问所述第一资源具体包括:所述第二应用读或写所述第一文件;当所述第一文件包括第一命令时,所述第二应用访问所述第一资源具体包括:所述第二应用执行所述第一命令。
在上述方法中,所述第一应用将所述访问请求传送到第二应用具体为:所述第一应用对应的第一进程通过进程间通信将所述访问请求传送到所述第二应用对应的第二进程。
在上述方法中,所述第一应用将所述访问请求传送到第二应用具体为:所述第一应用确定预定文件,所述预定文件是第一应用有权限修改,且所述第二应用有权限读取的;所述第一应用将所述访问请求写入所述预定文件;和所述第二应用读取所述预定文件中的所述访问请求。
在上述方法中,所述第一应用将所述访问请求写入所述预定文件具体包括:判断所述预定文件是否处于可写状态,获得一判断结果;在所述判断结果表明所述预定文件处于可写状态时,将所述访问请求写入所述预定文件,并将所述文件改为不可写状态;所述第二应用读取所述预定文件中的所述访问请求后进一步包括:将所述预定文件改为可写状态。
在上述方法中,在所述第一应用满足预定条件的情况下,所述第一应用将所述访问请求传送到第二应用包括:所述第一应用满足签名证书校验或密码校验时,将所述访问请求传送到第二应用。
根据本发明实施例的另一方面,提供了一种电子设备,所述电子设备包括第一应用、第二应用和第一资源,其中,所述第一应用具有第一权限,所述第一权限不能直接访问所述第一资源,所述电子设备包括:控制器,在所述第一应用发出所述第一资源的访问请求时,在所述第一应用满足预定条件的情况下,将所述第一应用的所述访问请求传送到所述第二应用,其中所述第二应用具有第二权限,且所述第二权限能够直接访问所述第一资源;以及控制所述第二应用访问所述第一资源。
在上述电子设备中,所述第一资源包括第一文件或第一命令;其中,当所述第一资源包括第一文件时,控制所述第二应用访问所述第一资源具体包括:控制所述第二应用读或写所述第一文件;当所述第一文件包括第一命令时,控制所述第二应用访问所述第一资源具体包括:控制所述第二应用执行所述第一命令。
在上述电子设备中,将所述第一应用的所述访问请求传送到第二应用具体为:通过进程间通信将所述访问请求从所述第一应用对应的第一进程传送到所述第二应用对应的第二进程。
在上述电子设备中,所述控制器将所述访问请求从所述第一应用传送到第二应用具体为:所述控制器确定预定文件,所述预定文件是第一应用有权限修改,且所述第二应用有权限读取的;将所述访问请求从所述第一应用写入所述预定文件;和控制所述第二应用读取所述预定文件中的所述访问请求。
在上述电子设备中,所述控制器将所述访问请求从所述第一应用写入所述预定文件具体包括:判断所述预定文件是否处于可写状态,获得一判断结果;在所述判断结果表明所述预定文件处于可写状态时,将所述访问请求写入所述预定文件,并将所述文件改为不可写状态;控制所述第二应用读取所述预定文件中的所述访问请求后进一步包括:将所述预定文件改为可写状态。
在上述电子设备中,在所述第一应用满足预定条件的情况下,将所述访问请求从所述第一应用传送到第二应用包括:所述第一应用满足签名证书校验或密码校验时,将所述访问请求传送到第二应用。
通过根据本发明实施例的访问方法和电子设备,可以使得仅具有低权限的应用能够访问需要高权限的资源,同时保持安全性,并提高了用户使用的便利。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是示出根据本发明实施例的访问方法的示意性流程图;
图2是根据本发明实施例的访问方法的一个示例的示意图。
具体实施方式
下面,将结合附图详细描述根据本发明实施例的访问方法和电子设备。
根据本发明实施例的一个方面,提供了一种访问方法,用于电子设备,所述电子设备包括第一应用,第二应用和第一资源,其中,所述第一应用具有第一权限,所述第一权限不能直接访问所述第一资源,所述方法包括:所述第一应用发出所述第一资源的访问请求;在所述第一应用满足预定条件的情况下,所述第一应用将所述访问请求传送到所述第二应用,所述第二应用具有第二权限,且所述第二权限能够直接访问所述第一资源;所述第二应用访问所述第一资源。
通过上述根据本发明实施例的访问方法,可以通过第二应用来间接地提升第一应用的权限,从而使得具有较低权限的第一应用能够访问需要以高权限来进行访问的第一资源,提高了用户使用的便利性。此外,由于是通过第二应用来间接地提升第一应用的权限,使用者或系统管理者可以通过预定条件的设置来限制第一应用的权限的提升,从而在能够解决低权限的应用对于资源的访问要求的同时,满足系统的安全性的需要。
图1是示出根据本发明实施例的访问方法的示意性流程图。如图1所示,该访问方法用于电子设备,包括第一应用、第二应用和第一资源,其中,该第一应用具有第一权限,该第一权限不能直接访问第一资源,该方法包括:S1,第一应用发出第一资源的访问请求;S2,在第一应用满足预定条件的情况下,第一应用将访问请求传送到第二应用,该第二应用具有第二权限,且第二权限能够直接访问第一资源;S3,第二应用访问第一资源。
在上述方法中,第一资源包括第一文件或第一命令。当第一资源包括第一文件时,第二应用访问第一资源具体为:第二应用读或写第一文件。并且当第一文件包括第一命令时,第二应用访问第一资源具体为:第二应用执行第一命令。
在本发明的实施例中,根据应用的具体类型,其需要访问的第一资源的类型也不同。例如,某些类型的应用可能需要访问需要以高权限来访问的文件,从而对文件进行读写操作,例如,某些类型的应用可能需要读写注册表文件来对注册表文件进行更改。此外,某些类型的应用可能需要访问需要以高权限来访问的命令,从而执行该命令以执行特定操作,某些类型的防火墙软件需要root特权命令iptables来关闭视频程序使用数据网络上网的功能。当然,本领域技术人员可以理解,这里第一资源可以是智能电子设备中任意需要一定权限来访问的文件或命令,而并不限于需要最高root权限的文件或命令。
在上述方法中,所述第一应用将所述访问请求传送到第二应用的一种方式具体为:所述第一应用对应的第一进程通过进程间通信将所述访问请求传送到所述第二应用对应的第二进程。
在本发明的实施例中,该进程间通信方式可以是,第一进程获得目标数据(比如访问请求),向内存预定地址写入所述目标数据;第二进程监测(定时检测)所述预定地址是否有数据更新,当检测到有数据写入时,从所述预定地址读取所述目标数据(比如访问请求),从而使得第二进程获得该目标数据(比如访问请求)。
另外,也可以在第一应用和第二应用之间建立的TCP/IP连接,然后通过标准的TCP/IP连接传送目标数据(比如访问请求),即第一应用通过建立的TCP/IP连接向第二应用发送目标数据。
在上述方法中,所述第一应用将所述访问请求传送到第二应用的另一种方式具体为:所述第一应用确定预定文件,所述预定文件是第一应用有权限修改,且所述第二应用有权限读取的;所述第一应用将所述访问请求写入所述预定文件;和所述第二应用读取所述预定文件中的所述访问请求。
如上所述,除了通过进程间通信方式直接将所述访问请求从第一应用传送到第二应用之外,还可以借助于中间文件的方式来进行传送。第一应用将访问请求写入一预先设置的第二应用可读的预定文件中,这样,通过该预定文件,由第二应用访问第一应用所需要访问的资源。
在上述方法中,所述第一应用将所述访问请求写入所述第二应用可读写的预定文件具体包括:判断所述预定文件是否处于可写状态,获得一判断结果;在所述判断结果表明所述预定文件处于可写状态时,将所述访问请求写入所述预定文件,并将所述文件改为不可写状态;所述第二应用读取所述预定文件中的所述访问请求后进一步包括:将所述预定文件改为可写状态。
并且,在本发明的实施例中,可以在第二应用完成从预定文件读取访问请求之后就将预定文件改为可写状态,也可以在第二应用完成对第一资源的访问之后将预定文件改为可写状态。
也就是说,可以设置该第二应用可读写的预定文件中写入访问请求之后锁定,从而使得在文件中不能一次写入过多的待处理的访问请求,而是等待第二应用读取了该访问请求或完成了对第一资源的访问之后在进一步写入另外的访问请求,从而保证不同应用的不同访问请求能够得到顺畅地执行。当然,本领域技术人员可以理解,上述过程实际上运行的时间很短,用户基本上不会感到应用运行的延时,但是,通过保证各个应用的访问请求序列的顺序执行,可以使得处理序列更加简化,从而提高系统的性能。并且,在这种情况下,不需要区分不同应用的访问请求,也可以简化系统的设置。
在上述方法中,在所述第一应用满足预定条件的情况下,所述第一应用将所述访问请求传送到第二应用包括:所述第一应用满足签名证书校验或密码校验时,将所述访问请求传送到第二应用。
在上文中已经提到,为了满足系统的安全性需要,通常在第一应用满足预定条件的情况下,才将第一应用的访问请求传送到第二应用。当然,本领域技术人员可以理解,这里所提到的预定条件也可以是没有条件,即,如果系统对于安全性的要求较低,而对于用户使用的便利性要求较高,可以不对第一应用的访问进行任何限制。也就是说,只要第一应用要求访问第一资源,就可以通过根据本发明实施例的访问方法来借助于第二应用访问之一资源,并且,如上所述,即使是在这种不附加预定条件的情况下,由于借助于第二应用而不直接提升第一应用的访问权限,也可以提高系统的安全性。
例如,对于通过标准的TCP/IP连接从第一应用向第二应用传送访问请求的情况下,在加密的socks网络通讯中,是通过ssl加密socks连接。即,当需要在第一应用和第二应用之间建立TCP/IP连接时,首先需要双方互相认证是否信任对方,之后再建立加密的TCP/IP连接,并通过该加密的TCP/IP连接来传送访问请求。
或者,对于第一应用将访问请求写入第二应用可读的预定文件的情况,可以设置该第二应用可读的预定文件的写权限,即仅具有一定权限的第一应用可以将访问请求写入该预定文件。本领域技术人员可以理解,这种权限可以通过签名证书校验或者密码校验的方式来获得,即,如果第一应用具有签名证书,例如通过系统平台证书进行签名后,就可以通过签名证书校验,从而将访问请求写入该预定文件中。
下面,将对根据本发明实施例的访问方法的一个示例进行描述。以Android系统的智能电子设备为例,对于仅具有低权限(比如普通用户权限)的应用来说,是无法访问需要高权限(比如root权限)才能够访问的资源的。此处的低权限和高权限仅表明两者比较的相对高低,即仅表明root权限高于所述普通用户权限,并非限定最低或最高。
因此,根据本发明实施例的访问方法,系统运行一个诸如root权限服务root_cmd服务(该服务对应的ID为root ID),因此,该root_amd服务具有高权限,即能访问root权限才能访问的资源。并创建一个root_cmd服务可读的文件root_cmd.sh,该服务一旦接收到执行命令或定时访问root_cmd.sh,就会依次执行该文件中只有root才能执行的命令集合。
在Android系统的标准方法中,当安装应用时,首先就需要验证应用程序的签名证书,如果没有签名,则系统的包安装器不安装该应用。并且,如果某个应用程序申明要申请成为系统ID权限的应用,而它的签名证书被检查不是系统平台证书时,包安装器也会拒绝安装该应用。在这种情况下,如果某应用无法通过验证,那么将不能安装,但是如果某应用通过了验证并成功安装,那么也就直接具有了访问root_cmd.sh文件的权限,而不需要进行另外的验证。
此外,在本发明的实施例中,也可能直接安装具有普通用户ID权限的应用,该应用由于不是平台证书签名,也不能成为系统ID权限的应用,从而不能读写和执行需要系统ID权限的应用才能读写和执行的操作。
因此,对于本发明的实施例来说,使得具有普通用户ID权限的应用能够访问root_cmd.sh文件可以有三种具体方式:
第一,未能通过验证的应用不能安装,而一旦通过验证并已安装,该应用就直接具有访问root_cmd.sh文件的权限(即root_cmd.sh属于电子设备中安装的任意应用都可以访问的);
第二,可以直接安装应用而不需要进行验证,应用在安装之后再进行验证,并且验证通过之后便直接具有访问root_cmd.sh文件的权限(即仅验证应用是否符合要求,如果符合要求就可以访问root_cmd.sh,通过一次判断即可实现);
第三,同样是可以直接安装应用而不需要进行验证,应用在安装之后再进行验证,并且在验证通过之后将该应用的权限从普通用户ID权限提升到系统ID权限,从而能够访问root_cmd.sh文件(即root_cmd.sh需要第二级别权限才能写,对应第一级别权限的第一应用通过验证后,提升自身权限至第二级别,从而写入root_cmd.sh,最终实现具有第三级别权限的第二应用可以读取所述root_cmd.sh,其中第三级别的权限高于第二级别的权限,第二级别的权限高于第一级别的权限)。
这里,本领域技术人员也可以理解,在以上的描述中,说明了具有系统ID权限的应用可以访问root_cmd.sh文件的情况,但是本发明的实施例不限于此,也可以将该root_cmd.sh文件设置为具有系统ID权限之外的其它权限的应用可访问。
例如,对于仅具有普通用户ID权限的特定的第三方应用,如VPN客户端应用的文件集合(APK),可以通过在其资源申请文件中设置为系统ID的权限,如果由系统平台证书签名后,可获得系统ID的权限,并可以将需要root权限执行的命令写入root_cmd.sh中,并向root_cmd服务发出执行指令。于是,该第三方应用所要执行的root权限命令便可以得到成功执行。
图2是根据本发明实施例的访问方法的一个示例的示意图。如图2所示,在电子设备的系统的OS服务层中设置一OS服务层模块root_cmd服务,其在系统启动后便自动启动,并以root ID运行(具有root权限)。从而,设置该OS服务层模块root_cmd服务接收系统ID权限的应用的执行任务命令,依次读取并执行这些root权限命令。此外,设置一系统ID权限可写的文件root_cmd.sh,在其中存储root_cmd服务可执行的命令集,并且设置该文件的属性为仅系统ID权限可写。当任何一个应用需要利用root权限访问第一资源时,首先,在S10,必须申请成为系统ID用户(即申请具有系统ID的权限),并由平台证书合法签名之后,才能够成为系统ID用户(即获得系统ID的权限),从而对root_cmd.sh进行写入,以将本应用需要root权限的命令写入该文件中。在S11,在写入root_cmd.sh文件之前,首先判断该文件是否加锁,即是否正在被其它应用使用。在S12,在判断root_cmd.sh文件没有锁定的情况下,将需要root权限来执行的命令集写入该文件并将该文件加锁,并且向root_cmd服务模块通知命令执行。在S13,root_cmd服务接收到命令后,从root_cmd.sh文件读取命令集并执行。随后,在S14,在成功执行该命令集之后解锁root_cmd.sh文件。
另外,在上述示例中,在判断root_cmd.sh文件已经锁定的情况下,可以持续监控该root_cmd.sh文件的状态,并在该root_cmd.sh文件解锁之后继续写入命令集。
在上文中提到过,某些防火墙应用可能需要使用root特权命令iptables,来关闭例如视频程序使用数据网络上网,从而避免流量使用过多。在这种情况下,首先利用平台证书给NAC(防火墙)应用签名,从而获取系统ID(即获得系统ID的权限)。这里,基于管理者的具体需要,可以通过手工签名或者通过网络的信任名单来进行动态签名。随后,上层NAC应用检查只有系统ID权限才能写入的文件root_cmd.sh是否锁定,如果没锁定,则将iptables命令(其是需要root权限才能执行的防火墙规则命令)写入到该文件中,并锁定该文件。此时,NAC应用将执行请求发送给OS的root权限服务模块(即第一应用通知第二应用执行所述访问请求),例如,NAC应用可以发送执行通知给OS的root权限的服务模块,root权限的服务模块接收到通知后,读取并执行root_cmd.sh文件中的防火墙iptables命令,该命令禁止视频程序使用数据网络上网,并将返回结果通知NAC应用,并解锁root_cmd文件。其中,第一应用具体是可以通过进程间通信的方式,通知第二应用执行所述访问请求。
当然,如果没有批量的第一资源访问需求,也可以不通过发送执行通知的方式,第二应用可以获得一条就执行一条。具体的,可以由root_cmd服务检测root_cmd.sh,每增加一条访问请求就执行一条,也可以由root_cmd服务检测root_cmd.sh,获得访问请求组后,再获得来自NAC的执行通知后,一次性执行访问请求组。
这样,防火墙应用通过将自身的权限从普通用户权限提高到系统ID权限,实现了对于仅root权限能够执行的命令iptables命令的执行。对于防火墙客户端应用来说,尽管其应用ID不是root权限的,但是需要执行这些文件以将防火墙规则配置到linux内核中去,在上述情况下,就需要通过根据本发明实施例的具有root权限的服务来替防火墙客户端应用执行上述iptables命令。
当然,这里本领域技术人员可以理解,以上的普通用户ID的权限、系统ID的权限和root ID的权限仅是示例,第一应用、第二应用和第一资源所具有的访问权限可以是智能电子设备中所采用的各级权限,本发明的实施例并不意在对此进行任何限制。
根据本发明实施例的另一方面,提供了一种电子设备,所述电子设备包括第一应用、第二应用和第一资源,其中,所述第一应用具有第一权限,所述第一权限不能直接访问所述第一资源,所述电子设备包括:控制器,在所述第一应用发出所述第一资源的访问请求时,在所述第一应用满足预定条件的情况下,将所述第一应用的所述访问请求传送到所述第二应用,其中所述第二应用具有第二权限,且所述第二权限能够直接访问所述第一资源;以及控制所述第二应用访问所述第一资源。
在上述电子设备中,所述第一资源包括第一文件或第一命令;其中,当所述第一资源包括第一文件时,控制所述第二应用访问所述第一资源具体包括:控制所述第二应用读或写所述第一文件;当所述第一文件包括第一命令时,控制所述第二应用访问所述第一资源具体包括:控制所述第二应用执行所述第一命令。
在上述电子设备中,将所述第一应用的所述访问请求传送到第二应用具体为:通过进程间通信将所述访问请求从所述第一应用对应的第一进程传送到所述第二应用对应的第二进程。
在上述电子设备中,所述控制器将所述访问请求从所述第一应用传送到第二应用具体为:所述控制器确定预定文件,所述预定文件是第一应用有权限修改,且所述第二应用有权限读取的;将所述访问请求从所述第一应用写入所述预定文件;和控制所述第二应用读取所述预定文件中的所述访问请求。
在上述电子设备中,所述控制器将所述访问请求从所述第一应用写入所述预定文件具体包括:判断所述预定文件是否处于可写状态,获得一判断结果;在所述判断结果表明所述预定文件处于可写状态时,将所述访问请求写入所述预定文件,并将所述文件改为不可写状态;控制所述第二应用读取所述预定文件中的所述访问请求后进一步包括:将所述预定文件改为可写状态。
在上述电子设备中,在所述第一应用满足预定条件的情况下,将所述访问请求从所述第一应用传送到第二应用包括:所述第一应用满足签名证书校验或密码校验时,将所述访问请求传送到第二应用。
通过根据本发明实施例的访问方法和电子设备,可以使得仅具有低权限的应用能够访问需要高权限的资源,同时保持安全性,并提高了用户使用的便利。
本发明已经参考具体实施例进行了详细说明。然而,很明显,在不背离本发明的精神的情况下,本领域技术人员能够对实施例执行更改和替换。换句话说,本发明用说明的形式公开,而不是被限制地解释。要判断本发明的要旨,应该考虑所附的权利要求。
Claims (12)
1.一种访问方法,用于电子设备,所述电子设备包括第一应用,第二应用和第一资源,其中,所述第一应用具有第一权限,所述第一权限不能直接访问所述第一资源,所述方法包括:
所述第一应用发出所述第一资源的访问请求;
在所述第一应用满足预定条件的情况下,所述第一应用将所述访问请求传送到所述第二应用,所述第二应用具有第二权限,且所述第二权限能够直接访问所述第一资源;
所述第二应用访问所述第一资源。
2.如权利要求1所述的方法,其中,
所述第一资源包括第一文件或第一命令;
其中,当所述第一资源包括第一文件时,所述第二应用访问所述第一资源具体包括:所述第二应用读或写所述第一文件;
当所述第一文件包括第一命令时,所述第二应用访问所述第一资源具体包括:所述第二应用执行所述第一命令。
3.如权利要求1所述的方法,其中,所述第一应用将所述访问请求传送到第二应用具体为:
所述第一应用对应的第一进程通过进程间通信将所述访问请求传送到所述第二应用对应的第二进程。
4.如权利要求1所述的方法,其中,所述第一应用将所述访问请求传送到第二应用具体为:
所述第一应用确定预定文件,所述预定文件是第一应用有权限修改,且所述第二应用有权限读取的;
所述第一应用将所述访问请求写入所述预定文件;和
所述第二应用读取所述预定文件中的所述访问请求。
5.如权利要求4所述的方法,其中,所述第一应用将所述访问请求写入所述预定文件具体包括:
判断所述预定文件是否处于可写状态,获得一判断结果;
在所述判断结果表明所述预定文件处于可写状态时,将所述访问请求写入所述预定文件,并将所述文件改为不可写状态;
所述第二应用读取所述预定文件中的所述访问请求后进一步包括:
将所述预定文件改为可写状态。
6.如权利要求1所述的方法,其中,在所述第一应用满足预定条件的情况下,所述第一应用将所述访问请求传送到第二应用包括:
所述第一应用满足签名证书校验或密码校验时,将所述访问请求传送到第二应用。
7.一种电子设备,所述电子设备包括第一应用、第二应用和第一资源,其中,所述第一应用具有第一权限,所述第一权限不能直接访问所述第一资源,所述电子设备包括:
控制器,在所述第一应用发出所述第一资源的访问请求时,在所述第一应用满足预定条件的情况下,将所述第一应用的所述访问请求传送到所述第二应用,其中所述第二应用具有第二权限,且所述第二权限能够直接访问所述第一资源;以及
控制所述第二应用访问所述第一资源。
8.如权利要求7所述的电子设备,其中,
所述第一资源包括第一文件或第一命令;
其中,当所述第一资源包括第一文件时,控制所述第二应用访问所述第一资源具体包括:控制所述第二应用读或写所述第一文件;
当所述第一文件包括第一命令时,控制所述第二应用访问所述第一资源具体包括:控制所述第二应用执行所述第一命令。
9.如权利要求7所述的电子设备,其中,将所述第一应用的所述访问请求传送到第二应用具体为:
通过进程间通信将所述访问请求从所述第一应用对应的第一进程传送到所述第二应用对应的第二进程。
10.如权利要求7所述的电子设备,其中,所述控制器将所述访问请求从所述第一应用传送到第二应用具体为:
所述控制器确定预定文件,所述预定文件是第一应用有权限修改,且所述第二应用有权限读取的;
将所述访问请求从所述第一应用写入所述预定文件;和
控制所述第二应用读取所述预定文件中的所述访问请求。
11.如权利要求10所述的电子设备,其中,所述控制器将所述访问请求从所述第一应用写入所述预定文件具体包括:
判断所述预定文件是否处于可写状态,获得一判断结果;
在所述判断结果表明所述预定文件处于可写状态时,将所述访问请求写入所述预定文件,并将所述文件改为不可写状态;
控制所述第二应用读取所述预定文件中的所述访问请求后进一步包括:
将所述预定文件改为可写状态。
12.如权利要求7所述的电子设备,其中,在所述第一应用满足预定条件的情况下,将所述访问请求从所述第一应用传送到第二应用包括:
所述第一应用满足签名证书校验或密码校验时,将所述访问请求传送到第二应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110326366.4A CN103065098B (zh) | 2011-10-24 | 2011-10-24 | 访问方法和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110326366.4A CN103065098B (zh) | 2011-10-24 | 2011-10-24 | 访问方法和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103065098A true CN103065098A (zh) | 2013-04-24 |
| CN103065098B CN103065098B (zh) | 2018-01-19 |
Family
ID=48107725
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110326366.4A Active CN103065098B (zh) | 2011-10-24 | 2011-10-24 | 访问方法和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103065098B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103858130A (zh) * | 2013-08-23 | 2014-06-11 | 华为终端有限公司 | 管理权限方法、装置及终端 |
| CN104935560A (zh) * | 2014-03-21 | 2015-09-23 | 杭州华三通信技术有限公司 | 一种数据保护方法及其装置 |
| CN106230839A (zh) * | 2016-08-03 | 2016-12-14 | 青岛海信宽带多媒体技术有限公司 | 实时流式传输的接收控制方法和装置 |
| CN106470137A (zh) * | 2015-08-21 | 2017-03-01 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及终端 |
| WO2017220014A1 (zh) * | 2016-06-24 | 2017-12-28 | 中兴通讯股份有限公司 | 系统权限管理方法、装置及智能终端 |
| CN110427749A (zh) * | 2019-08-07 | 2019-11-08 | 连尚(新昌)网络科技有限公司 | 一种服务的实现方法、设备和计算机存储介质 |
| CN114186244A (zh) * | 2022-01-26 | 2022-03-15 | 中国电子信息产业集团有限公司 | 一种数据要素操作框架及系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1818876A (zh) * | 2005-01-19 | 2006-08-16 | 阿尔卡特公司 | 在微处理器实现的设备上执行进程的系统和方法 |
| CN101226577A (zh) * | 2008-01-28 | 2008-07-23 | 南京大学 | 基于可信硬件与虚拟机的微内核操作系统完整性保护方法 |
| CN101291345A (zh) * | 2008-06-02 | 2008-10-22 | 杭州华三通信技术有限公司 | 存储资源访问控制方法、ip存储系统、存储设备和主机 |
| CN101308465A (zh) * | 2008-05-08 | 2008-11-19 | 华为技术有限公司 | 访问本地资源的方法及装置 |
| CN101324913A (zh) * | 2007-06-15 | 2008-12-17 | 杨湘渝 | 计算机文件保护方法和装置 |
| CN101359355A (zh) * | 2007-08-02 | 2009-02-04 | 芯微技术(深圳)有限公司 | Windows系统下受限帐户提升用户权限的方法 |
| US20090300713A1 (en) * | 2007-02-08 | 2009-12-03 | Nec Corporation | Access control system, access control method, electronic device and control program |
| CN101827091A (zh) * | 2010-03-26 | 2010-09-08 | 浪潮电子信息产业股份有限公司 | 一种利用强制访问控制检测Solaris系统故障的方法 |
-
2011
- 2011-10-24 CN CN201110326366.4A patent/CN103065098B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1818876A (zh) * | 2005-01-19 | 2006-08-16 | 阿尔卡特公司 | 在微处理器实现的设备上执行进程的系统和方法 |
| US20090300713A1 (en) * | 2007-02-08 | 2009-12-03 | Nec Corporation | Access control system, access control method, electronic device and control program |
| CN101324913A (zh) * | 2007-06-15 | 2008-12-17 | 杨湘渝 | 计算机文件保护方法和装置 |
| CN101359355A (zh) * | 2007-08-02 | 2009-02-04 | 芯微技术(深圳)有限公司 | Windows系统下受限帐户提升用户权限的方法 |
| CN101226577A (zh) * | 2008-01-28 | 2008-07-23 | 南京大学 | 基于可信硬件与虚拟机的微内核操作系统完整性保护方法 |
| CN101308465A (zh) * | 2008-05-08 | 2008-11-19 | 华为技术有限公司 | 访问本地资源的方法及装置 |
| CN101291345A (zh) * | 2008-06-02 | 2008-10-22 | 杭州华三通信技术有限公司 | 存储资源访问控制方法、ip存储系统、存储设备和主机 |
| CN101827091A (zh) * | 2010-03-26 | 2010-09-08 | 浪潮电子信息产业股份有限公司 | 一种利用强制访问控制检测Solaris系统故障的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 汤小丹等: "《计算机操作系统》", 31 May 2007, article "进程管理", pages: 65-70 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103858130A (zh) * | 2013-08-23 | 2014-06-11 | 华为终端有限公司 | 管理权限方法、装置及终端 |
| WO2015024253A1 (zh) * | 2013-08-23 | 2015-02-26 | 华为终端有限公司 | 管理权限方法、装置及终端 |
| US9614834B2 (en) | 2013-08-23 | 2017-04-04 | Huawei Device Co., Ltd. | Permission management method, apparatus, and terminal |
| US9870463B2 (en) | 2013-08-23 | 2018-01-16 | Huawei Device (Dongguan) Co., Ltd. | Permission management method, apparatus, and terminal |
| CN104935560A (zh) * | 2014-03-21 | 2015-09-23 | 杭州华三通信技术有限公司 | 一种数据保护方法及其装置 |
| CN104935560B (zh) * | 2014-03-21 | 2019-06-07 | 新华三技术有限公司 | 一种数据保护方法及其装置 |
| CN106470137A (zh) * | 2015-08-21 | 2017-03-01 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及终端 |
| WO2017220014A1 (zh) * | 2016-06-24 | 2017-12-28 | 中兴通讯股份有限公司 | 系统权限管理方法、装置及智能终端 |
| CN106230839A (zh) * | 2016-08-03 | 2016-12-14 | 青岛海信宽带多媒体技术有限公司 | 实时流式传输的接收控制方法和装置 |
| CN106230839B (zh) * | 2016-08-03 | 2020-02-07 | 青岛海信宽带多媒体技术有限公司 | 实时流式传输的接收控制方法和装置 |
| CN110427749A (zh) * | 2019-08-07 | 2019-11-08 | 连尚(新昌)网络科技有限公司 | 一种服务的实现方法、设备和计算机存储介质 |
| CN114186244A (zh) * | 2022-01-26 | 2022-03-15 | 中国电子信息产业集团有限公司 | 一种数据要素操作框架及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103065098B (zh) | 2018-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2675902C2 (ru) | Способ авторизации операции, предназначенной для выполнения на заданном вычислительном устройстве | |
| CN110326252B (zh) | 设备的安全供应和管理 | |
| RU2672712C2 (ru) | Устройство мобильной связи и способ работы с ним | |
| RU2673969C2 (ru) | Устройство мобильной связи и способ работы с ним | |
| US10341321B2 (en) | System and method for policy based adaptive application capability management and device attestation | |
| CN103065098A (zh) | 访问方法和电子设备 | |
| US20160299778A1 (en) | System and method for enforcement of security controls on virtual machines throughout life cycle state changes | |
| EP2278514B1 (en) | System and method for providing secure virtual machines | |
| US8438394B2 (en) | Device-bound certificate authentication | |
| US8056119B2 (en) | Method and system for controlling inter-zone communication | |
| US20120266231A1 (en) | Secure Network Cloud Architecture | |
| US11373762B2 (en) | Information communication device, authentication program for information communication device, and authentication method | |
| US20140026198A1 (en) | Information processing apparatus and control method | |
| US20140026228A1 (en) | Information processing apparatus and control method | |
| CN110222485B (zh) | 基于sgx软件防护扩展指令的工控白名单管理系统及方法 | |
| TWI794872B (zh) | 資訊處置系統、記憶體儲存裝置及用於操作工作區之方法 | |
| KR102137309B1 (ko) | 원격 접속 제어 기반 기기 통합 모니터링 시스템 | |
| CN103888948A (zh) | 一种智能终端移动应用的安全控制方法和装置 | |
| JP6042125B2 (ja) | 情報処理装置およびプログラム | |
| US20230153426A1 (en) | Hardware-based protection of application programming interface (api) keys | |
| KR102468823B1 (ko) | 애플릿 패키지 전송 방법, 장치, 전자 기기, 컴퓨터 판독 가능 매체 및 컴퓨터 프로그램 | |
| KR20150030047A (ko) | 애플리케이션 인증 방법 및 그 시스템 | |
| KR20130035661A (ko) | 어플리케이션별 접근 권한 제어 방법 및 이를 구현한 사용자 단말 | |
| CN110879886A (zh) | 用于运行网络服务器的方法 | |
| Ylonen et al. | Security of Automated Access Management Using Secure Shell (SSH) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |