CN105205413A - 一种数据的保护方法及装置 - Google Patents
一种数据的保护方法及装置 Download PDFInfo
- Publication number
- CN105205413A CN105205413A CN201510702027.XA CN201510702027A CN105205413A CN 105205413 A CN105205413 A CN 105205413A CN 201510702027 A CN201510702027 A CN 201510702027A CN 105205413 A CN105205413 A CN 105205413A
- Authority
- CN
- China
- Prior art keywords
- application program
- authority
- data
- authority records
- records
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
- Telephone Function (AREA)
Abstract
本发明实施例公开了一种数据的保护方法及装置,涉及数据安全领域,用以提高Android系统中的数据安全性。在本发明实施例中,当检测到需要保护的数据被应用程序触发时,并在所述应用程序满足预设条件的情况下,根据所述应用程序的标识,在预先生成的权限等级记录表中,查找到所述应用程序的权限等级;根据查找到的所述应用程序的权限等级,判断所述应用程序是否具有访问所述数据的权限,如果是,则允许该应用程序访问所述数据;否则,不允许该应用程序访问所述数据;从而解决了上述问题。
Description
技术领域
本发明涉及数据安全领域,尤其涉及一种数据的保护方法及装置。
背景技术
Android(安卓)是一种基于Linux的自由及开放源代码的操作系统,主要使用于移动设备,如智能手机和平板电脑等。Android的系统架构和其操作系统一样,采用了分层的架构。Android分为四个层,从高层到低层分别是应用程序层、应用程序框架层、系统运行库层和Linux内核层。
在Android的设计中,资源的访问或者网络连接,要得到这些服务都需要声明其访问权限,否则将无法正常工作,这就是Android系统的Permission(权限)机制。AndroidManifest.xml文件是Android系统中重要的权限申请和定义配置文件,程序员在开发时需要通过该文件向Android系统预先定义和声明该应用程序运行所需要的权限。AndroidManifest.xml文件位于整个项目的根目录,描述了package中暴露的组件(activities,services等等),他们各自的实现类,各种能被处理的数据和启动位置。除了能声明程序中的Activities、ContentProviders、Services和IntentReceivers,还能指定permissions和instrumentation(安全控制和测试)。
通常来讲,程序员在开发应用程序时,为了能实现更多的功能,一般会为该应用程序声明尽量多的权限,举例来说,有些用于实现拍照功能的应用软件可能还会在后台访问用户的通讯录,这是由于程序员在该应用程序的AndroidManifest.xml中声明了访问用户的通讯录的权限,如android.permission.READ_CONTACTS的权限。并且,目前许多用户对Android系统进行了root操作,操作后的root用户拥有系统的所有权限(即超级管理员),这样,恶意软件很容易使用root用户的权限,对整个系统进行毁灭性操作,如删除系统重要文件而导致系统损坏等。
可见,Android系统中现有的permission权限机制无法保证系统的安全性,很容易受到恶意软件的攻击而导致文件丢失、隐私泄露,甚至造成系统崩溃。
发明内容
本发明实施例提供一种数据的保护方法及装置,用以提高Android系统中的数据安全性。
本发明实施例提供一种数据的保护方法,该方法包括:
当检测到需要保护的数据被应用程序触发时,并在所述应用程序满足预设条件的情况下,根据所述应用程序的标识,在预先生成的权限等级记录表中,查找到所述应用程序的权限等级;
根据查找到的所述应用程序的权限等级,判断所述应用程序是否具有访问所述数据的权限,如果是,则允许该应用程序访问所述数据;否则,不允许该应用程序访问所述数据。
本发明实施例还提供一种数据的保护装置,该装置包括:
查找单元,用于当检测到需要保护的数据被应用程序触发时,并在所述应用程序满足预设条件的情况下,根据所述应用程序的标识,在预先生成的权限等级记录表中,查找到所述应用程序的权限等级;
访问单元,用于根据查找到的所述应用程序的权限等级,判断所述应用程序是否具有访问所述数据的权限,如果是,则允许该应用程序访问所述数据;否则,不允许该应用程序访问所述数据。
从上述技术方案可以看出,本发明实施例提供了一种数据保护机制,通过在需要被保护的数据的接口处设置监视点,利用设置的监视点监视并检测各应用程序对被保护数据的访问及读写操作;在本发明实施例中,一旦发现存在有对被保护数据的访问或读写操作,立即识别发起该读写操作的应用程序,并获取该应用程序预先声明的权限记录所对应的权限等级,进而根据获取到的权限等级判断该应用程序是否具有访问被保护的数据的权限,由于应用程序对数据的读写操作可能会造成安卓系统的数据损坏或系统崩溃,因此,本发明实施例根据应用程序所声明的权限记录对应的权限等级对该应用程序的权限进行权限验证,只有当该读写操作具备访问被保护的数据的权限时,才能允许该应用程序执行对被保护数据的读写操作,从而保护了安卓系统中的系统数据和用户数据的安全,避免恶意软件造成的数据丢失、损坏和系统崩溃等问题,进而提高了安卓系统的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种数据的保护方法的流程示意图;
图2为本发明实施例提供的一种数据的保护装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例应用于各种类型的终端,如智能手机、平板电脑、智能电视等设备,尤其适用于采用安卓Android操作系统的终端。
现有的Android系统的权限分离机制是在Linux的权限管理机制基础上,扩展了permission机制(即安卓权限系统),它主要是用来对应用程序可以执行的某些具体操作进行权限细分和访问控制。但是有些操作会破坏数据、执行危险操作,而且有些应用的操作是隐蔽的,在用户不知情的情况下对数据、网络进行操作,存在用户隐私泄露的风险。
因此,本发明实施例在Android系统的permission机制的基础上又进行了扩展,定义了一套OEM(OriginalEquipmentManufacturer,原始设备制造商)权限系统(即数据保护机制),针对重要操作和数据进行二级判断。这样,由Android系统先对公开权限进行判断,再由OEM权限系统进行OEM权限验证,实现了对关键数据的二级权限验证,从而提高了Android系统的安全性。
图1示出了本发明实施例提供的一种数据的保护方法的流程示意图,如图1所示,该流程可以包括:
步骤11:当检测到需要保护的数据被应用程序触发时,并在上述应用程序满足预设条件的情况下,根据上述应用程序的标识,在预先生成的权限等级记录表中,查找到上述应用程序的权限等级。
步骤12:根据查找到的上述应用程序的权限等级,判断上述应用程序是否具有访问上述数据的权限,如果是,则允许该应用程序访问上述数据;否则,不允许该应用程序访问上述数据。
可选的,上述步骤11之前,通过如下步骤生成权限等级记录表:
在开机过程中,扫描各应用程序的权限声明文件,获取各应用程序所声明的权限记录;
对每一条权限记录,判断该条权限记录中是否包含有预设关键标识,如果是,则进一步判断在预先设置的关键权限记录表中,是否包含该条权限记录,如果关键权限记录表中包含有该条权限记录,则在关键权限记录表中查找到该条权限记录所对应的权限等级;
将声明该权限的应用程序的标识、该条权限记录和对应的权限等级,作为权限等级记录表中的一条记录;
其中,关键权限记录表中至少包含有:用于表示具有访问数据的权限的权限记录和每条权限记录分别对应的权限等级。
可选的,在上述步骤11中,上述应用程序的权限声明文件中所声明的权限记录是通过如下方式生成:
对于需要被保护的数据,判断安卓系统中是否已定义有用于访问数据的权限记录,如果是,则在已定义的权限记录中的指定字段中,增加预设关键标识,并将修改后的权限记录保存到应用程序的权限声明文件中;如果否,则根据预设关键标识,定义用于访问数据的权限的权限记录,并将已定义的权限记录保存到应用程序的权限声明文件中。
可选的,在上述步骤11中,如果在上述权限等级记录表中未查找到该应用程序的权限等级记录,则不允许该应用程序访问上述数据。
可选的,在上述步骤11中,在检测到需要保护的数据被应用程序触发之后,根据安卓系统中的权限验证机制,对上述应用程序进行权限验证,如果上述应用程序通过权限验证,则上述应用程序满足预设条件;否则,上述应用程序不满足预设条件。
下面以采用Android操作系统的终端为例进行详细描述。
本发明实施例主要分为三个部分,第一部分为OEM权限系统的建立过程;第二部分为识别重要操作和重要数据并进行OEM权限的验证过程;第三部分为是白名单的使用过程。
首先,对OEM权限系统的建立过程进行详细说明。
具体实现时,在各应用程序初始化时,扫描并解析各应用程序中用于存储权限记录的AndroidManifest.xml文件(即权限声明文件,该文件用于声明应用程序所具备的访问和读写操作的权限),获取并记录各应用程序向终端声明的用于读取或写入各种数据的权限记录。
在本发明实施例中,OEM权限系统可以由若干个OEM权限进程组成,该OEM权限系统内的OEM权限进程包含了需要保护的动作、功能和数据。通过原先设置这些OEM权限进程,建立OEM权限系统。本发明实施例可以提供至少两种设置OEM权限进程的方式,即:对安卓权限系统原有系统权限进程(即公开权限)进行扩展的方式以及新增OEM权限进程的方式。
其中,一类是根据公开系统权限进行扩展的方式设置的OEM权限进程。
现有技术中,安卓系统权限主要包含三个方面的信息,即:权限的名称、权限组、权限保护级别。
然而,在本发明实施例提供的OEM权限系统中,可以将原有安卓系统权限扩展出一个特殊标志(也就是,具有特殊标志的预设关键标识,举例来说,在本发明实施例中,该特殊标志的预设关键标识可以为“oem”),而且扩展后的权限的名称要有统一的命名标准和标志。举例来说,在原有的安卓系统权限中的指定位置增加“oem”标志,即扩展后的读取短信的权限可为:
<permissionandroid:=“android.oem.permission.READ_SMS“
Android:permissionGroup=“Android.permission-gruop“
Android:protectionLevel=“system“
Android:oem=“true“>
需要说明的是,本发明实施例提供的OEM权限系统是可扩展的,可以根据需求不断补充新的权限、定义不同的OEM名称和标志,本发明实施例仅以标记为“OEM”的预设关键标识为例进行举例说明,以其它标志进行定义和新增的OEM权限进程均在本申请的保护范围内,这里不再一一赘述。
举例来说,对读通讯录的操作进行保护或限制,可以在系统原有权限android.permission.READ_CONTACTS的基础上定义特殊的读通讯录的ome权限,即扩展后的OEM权限进程为:android.oem.permission.READ_CONTACTS
再举例来说,对获取用户账户信息的操作进行保护或限制,在系统原有权限android.permission.GET_ACCOUNTS的基础上扩展ome权限,即扩展后的OEM权限进程为:android.oem.permission.GET_ACCOUNTS
上述OEM权限进行属于通过扩展系统权限的方式设置OEM权限进程,这类OEM权限进程可以定义在Android系统的AndroidManifest.xml文件中。
其中,另外一类权限是根据安全需求新增的,即不是从公开系统权限扩展的。
举例来说,用户创建私有文件,当应用程序想要访问该类文件时需要判断是否申请了私有文件访问限,即:
android.oem.permission.ACCESS_PRIVATE_FILES
这类权限可以由某个系统应用程序定义,所以是在该应用程序的AndroidManifest.xml中通过Android标准权限定义语句进行定义,比如在文件管理器中定义:
<permissionandroid:=“android.oem.permission.ACCESS_PRIVATE_FILES“
Android:permissionGroup=“Android.permission-gruop“
Android:protectionLevel=“system“
Android:oem=“true“>
需要说明的是,因为普通第三方应用不知道这类权限,所以无法定义,这样就隔离了第三方应用的功能,而有合作关系的第三方应用可以使用,这类第三方应用跟系统应用使用相同的权限,也可以用带有类似“oem_thirdparty”的标识的权限区别处理。
OEM系统权限只有内部系统应用或者定制应用可以申请,在有需求的应用的AndroidManifest.xml中通过使用标准权限申请语句申请,比如:
<uses-permission
android:name=“android.oem.permission.ACCESS_PRIVATE_FILES“>
进一步的,在定义了新的权限系统后,需要增加相应的解析系统,在解析原有Android权限的基础上进一步解析识别OEM权限。
由于本发明实施例提供的OEM权限系统的定义是在原有系统的架构上实现的,因此,该类权限的解析也是跟系统权限的处理是类似的,需要增加对ome权限flag:Android:oem的解析,开机对系统权限进行解析的同时,触发对oem权限的解析。
然后,对识别重要操作和重要数据并进行OEM权限的验证过程进行详细说明。
具体实现时,首先,当检测到需要保护的数据被应用程序触发时,并在上述应用程序满足预设条件的情况下,根据应用程序的标识,在预先生成的权限等级记录表中,查找到该应用程序的权限等级;然后,根据查找到的应用程序的权限等级,判断该应用程序是否具有访问上述被保护的数据的权限,如果是,则允许该应用程序访问上述数据;否则,不允许该应用程序访问上述数据。
具体的,本发明实施例可以通过如下步骤生成权限等级记录表:
首先,在开机过程中,扫描各应用程序的权限声明文件,获取各应用程序所声明的权限记录;
然后,对于每一条权限记录,判断该条权限记录中是否包含有预设关键标识,如果是,则进一步判断在预先设置的关键权限记录表中,是否包含该条权限记录,如果上述关键权限记录表中包含有该条权限记录,则在上述关键权限记录表中查找到该条权限记录所对应的权限等级;
最后,将声明该权限的应用程序的标识、该条权限记录和对应的权限等级,作为上述权限等级记录表中的一条记录;
其中,上述关键权限记录表中至少包含有:用于表示具有访问上述数据的权限的权限记录和每条权限记录分别对应的权限等级。
需要说明的是,本发明实施例可以标示验证重要操作和重要数据,重要操作和数据就是根据上述权限系统的保护范围进行标识的。
本发明实施例可以根据系统原有权限扩展的权限,在原有权限限制的附近添加判断,如果是该功能不允许系统应用以外的应用使用,则在功能入口添加权限验证,如果是部分功能不允许第三方应用使用,就在操作该部分功能或者数据的地方添加判断,比如在操作通讯录时,有不同的用户组:“家人”、“同事”、“朋友”,如果不允许第三方应用对“家人”用户组内的数据进行修改,则在修改时添加权限判断。
举例来说,在操作通讯录时,可增加android.oem.permission.ACCESS_family_group的权限判断,用以不允许第三方应用对“家人”用户组内的数据进行修改。
根据安全需求新增的权限就在功能实施的地方进行验证,在有安全需求的地方判断,比如文件管理器定义的私有文件访问权限,就在读取该私有文件时添加权限判断,是否应用申请了需要的私有权限,这样就避免了私有数据被第三方应用使用或者破坏。
最后,对白名单的使用过程进行详细说明。
具体实现时,判断发起对被保护数据执行读写操作的应用程序的标识是否包含在预先生成的白名单中,如果是,则允许该应用程序执行读写操作;否则,根据该应用程序的标识,在预先生成的权限等级记录表中,查找到该应用程序的权限等级;根据查找到的该应用程序的权限等级,判断该应用程序是否具有访问该数据的权限,如果是,则允许该应用程序访问该数据;否则,不允许该应用程序访问该数据。
具体的,如果用户认为某个第三方应用是安全的,或者能够接受该应第三方应用的某些行为,用户可以将该应用设置在白名单中,设置到白名单中的应用在权限验证时是被过滤掉的。
白名单的设置方法有很多,可以选择将该应用的行为都允许,也可以根据每个应用申请的权限,将该应用能进行的操作列出,让用户勾选,是否同意执行某个操作,这里不再赘述。
需要说明的是,在本发明实施例中,一旦检测到某一应用程序对被保护数据发起了读写操作,可以由OEM权限系统验证该应用程序的权限,并根据验证结果,允许或强制终止该应用程序用于对被保护数据执行读取或写入操作的进程;还可以由OEM权限系统允许或强制终止该应用程序的全部进程,这样,可以有效阻止恶意软件盗取数据、破坏数据等恶意行为,进一步保证了数据安全性。
从上述技术方案可以看出,本发明实施例提供了一种数据保护机制,通过对需要被保护的数据的接口处设置监视点,利用设置的监视点监视并检测各应用程序对被保护数据的访问及读写操作;一旦发现存在有对被保护数据的读写操作,立即识别发起该读写操作的应用程序,并获取该应用程序预先声明的权限记录所对应的权限等级,进而根据获取到的权限等级判断该应用程序是否具有访问被保护的数据的权限,由于应用程序对数据的读写操作可能会造成安卓系统的数据损坏或系统崩溃,因此,本发明实施例根据应用程序所声明的权限记录对应的权限等级对该应用程序的权限进行权限验证,只有当该读写操作具备访问被保护的数据的权限时,才能允许该应用程序执行对被保护数据的读写操作,从而保护了安卓系统中的系统数据和用户数据的安全,避免恶意软件造成的数据丢失、损坏和系统崩溃等问题,进而提高了安卓系统的安全性。
基于相同的技术原理,本发明实施例还提供一种数据的保护装置,图2示出了本发明实施例提供的一种数据的保护装置的结构示意图,如图2所示,该装置包括:
查找单元21,用于当检测到需要保护的数据被应用程序触发时,并在所述应用程序满足预设条件的情况下,根据所述应用程序的标识,在预先生成的权限等级记录表中,查找到所述应用程序的权限等级;
访问单元22,用于根据查找到的所述应用程序的权限等级,判断所述应用程序是否具有访问所述数据的权限,如果是,则允许该应用程序访问所述数据;否则,不允许该应用程序访问所述数据。
可选的,该装置还包括:
权限等级记录表生成单元,用于在开机过程中,扫描各应用程序的权限声明文件,获取各应用程序所声明的权限记录;对每一条权限记录,判断该条权限记录中是否包含有预设关键标识,如果是,则进一步判断在预先设置的关键权限记录表中,是否包含该条权限记录,如果所述关键权限记录表中包含有该条权限记录,则在所述关键权限记录表中查找到该条权限记录所对应的权限等级;将声明该权限的应用程序的标识、该条权限记录和对应的权限等级,作为所述权限等级记录表中的一条记录;其中,所述关键权限记录表中至少包含有:用于表示具有访问所述数据的权限的权限记录和每条权限记录分别对应的权限等级。
可选的,所述应用程序的权限声明文件中所声明的权限记录是通过如下方式生成:对于需要被保护的数据,判断安卓系统中是否已定义有用于访问所述数据的权限记录,如果是,则在已定义的权限记录中的指定字段中,增加预设关键标识,并将修改后的权限记录保存到应用程序的权限声明文件中;如果否,则根据预设关键标识,定义用于访问所述数据的权限的权限记录,并将已定义的权限记录保存到应用程序的权限声明文件中。
可选的,所述访问单元22还用于:在所述权限等级记录表中未查找到该应用程序的权限等级记录时,不允许该应用程序访问所述数据。
可选的,该装置还包括:
安卓权限验证单元,用于在检测到需要保护的数据被应用程序触发之后,根据安卓系统中的权限验证机制,对所述应用程序进行权限验证,如果所述应用程序通过权限验证,则所述应用程序满足预设条件;否则,所述应用程序不满足预设条件。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器,使得通过该计算机或其他可编程数据处理设备的处理器执行的指令可实现流程图中的一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图的一个流程或多个流程和/或方框图的一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种数据的保护方法,其特征在于,该方法包括:
当检测到需要保护的数据被应用程序触发时,并在所述应用程序满足预设条件的情况下,根据所述应用程序的标识,在预先生成的权限等级记录表中,查找到所述应用程序的权限等级;
根据查找到的所述应用程序的权限等级,判断所述应用程序是否具有访问所述数据的权限,如果是,则允许该应用程序访问所述数据;否则,不允许该应用程序访问所述数据。
2.如权利要求1所述的方法,其特征在于,通过如下步骤生成权限等级记录表:
在开机过程中,扫描各应用程序的权限声明文件,获取各应用程序所声明的权限记录;
对每一条权限记录,判断该条权限记录中是否包含有预设关键标识,如果是,则进一步判断在预先设置的关键权限记录表中,是否包含该条权限记录,如果所述关键权限记录表中包含有该条权限记录,则在所述关键权限记录表中查找到该条权限记录所对应的权限等级;
将声明该权限的应用程序的标识、该条权限记录和对应的权限等级,作为所述权限等级记录表中的一条记录;
其中,所述关键权限记录表中至少包含有:用于表示具有访问所述数据的权限的权限记录和每条权限记录分别对应的权限等级。
3.如权利要求2所述的方法,其特征在于,所述应用程序的权限声明文件中所声明的权限记录是通过如下方式生成:
对于需要被保护的数据,判断安卓系统中是否已定义有用于访问所述数据的权限记录,如果是,则在已定义的权限记录中的指定字段中,增加预设关键标识,并将修改后的权限记录保存到应用程序的权限声明文件中;如果否,则根据预设关键标识,定义用于访问所述数据的权限的权限记录,并将已定义的权限记录保存到应用程序的权限声明文件中。
4.如权利要求1或2或3中任一项所述的方法,其特征在于,如果在所述权限等级记录表中未查找到该应用程序的权限等级记录,则不允许该应用程序访问所述数据。
5.如权利要求1或2或3中任一项所述的方法,其特征在于,在检测到需要保护的数据被应用程序触发之后,根据安卓系统中的权限验证机制,对所述应用程序进行权限验证,如果所述应用程序通过权限验证,则所述应用程序满足预设条件;否则,所述应用程序不满足预设条件。
6.一种数据的保护装置,其特征在于,该装置包括:
查找单元,用于当检测到需要保护的数据被应用程序触发时,并在所述应用程序满足预设条件的情况下,根据所述应用程序的标识,在预先生成的权限等级记录表中,查找到所述应用程序的权限等级;
访问单元,用于根据查找到的所述应用程序的权限等级,判断所述应用程序是否具有访问所述数据的权限,如果是,则允许该应用程序访问所述数据;否则,不允许该应用程序访问所述数据。
7.如权利要求6所述的装置,其特征在于,该装置还包括:
权限等级记录表生成单元,用于在开机过程中,扫描各应用程序的权限声明文件,获取各应用程序所声明的权限记录;对每一条权限记录,判断该条权限记录中是否包含有预设关键标识,如果是,则进一步判断在预先设置的关键权限记录表中,是否包含该条权限记录,如果所述关键权限记录表中包含有该条权限记录,则在所述关键权限记录表中查找到该条权限记录所对应的权限等级;将声明该权限的应用程序的标识、该条权限记录和对应的权限等级,作为所述权限等级记录表中的一条记录;其中,所述关键权限记录表中至少包含有:用于表示具有访问所述数据的权限的权限记录和每条权限记录分别对应的权限等级。
8.如权利要求7所述的装置,其特征在于,所述应用程序的权限声明文件中所声明的权限记录是通过如下方式生成:对于需要被保护的数据,判断安卓系统中是否已定义有用于访问所述数据的权限记录,如果是,则在已定义的权限记录中的指定字段中,增加预设关键标识,并将修改后的权限记录保存到应用程序的权限声明文件中;如果否,则根据预设关键标识,定义用于访问所述数据的权限的权限记录,并将已定义的权限记录保存到应用程序的权限声明文件中。
9.如权利要求6或7或8中任一项所述的装置,其特征在于,所述访问单元还用于:
在所述权限等级记录表中未查找到该应用程序的权限等级记录时,不允许该应用程序访问所述数据。
10.如权利要求6或7或8中任一项所述的装置,其特征在于,该装置还包括:
安卓权限验证单元,用于在检测到需要保护的数据被应用程序触发之后,根据安卓系统中的权限验证机制,对所述应用程序进行权限验证,如果所述应用程序通过权限验证,则所述应用程序满足预设条件;否则,所述应用程序不满足预设条件。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810386209.4A CN108763951B (zh) | 2015-10-26 | 2015-10-26 | 一种数据的保护方法及装置 |
| CN201510702027.XA CN105205413B (zh) | 2015-10-26 | 2015-10-26 | 一种数据的保护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510702027.XA CN105205413B (zh) | 2015-10-26 | 2015-10-26 | 一种数据的保护方法及装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810386209.4A Division CN108763951B (zh) | 2015-10-26 | 2015-10-26 | 一种数据的保护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105205413A true CN105205413A (zh) | 2015-12-30 |
| CN105205413B CN105205413B (zh) | 2018-05-18 |
Family
ID=54953087
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510702027.XA Active CN105205413B (zh) | 2015-10-26 | 2015-10-26 | 一种数据的保护方法及装置 |
| CN201810386209.4A Active CN108763951B (zh) | 2015-10-26 | 2015-10-26 | 一种数据的保护方法及装置 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810386209.4A Active CN108763951B (zh) | 2015-10-26 | 2015-10-26 | 一种数据的保护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN105205413B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106355080A (zh) * | 2016-08-29 | 2017-01-25 | 上海航盛实业有限公司 | 一种车载信息系统的数据安全访问方法及系统 |
| CN106709034A (zh) * | 2016-12-29 | 2017-05-24 | 广东欧珀移动通信有限公司 | 保护文件的方法、装置及终端 |
| CN106778291A (zh) * | 2016-11-22 | 2017-05-31 | 北京奇虎科技有限公司 | 应用程序的隔离方法及隔离装置 |
| CN106845252A (zh) * | 2016-12-21 | 2017-06-13 | 北京奇虎科技有限公司 | 终端数据访问方法、装置及移动终端 |
| CN107729764A (zh) * | 2017-09-30 | 2018-02-23 | 广东欧珀移动通信有限公司 | 敏感信息的保护方法、装置、存储介质及电子设备 |
| CN107770173A (zh) * | 2017-10-20 | 2018-03-06 | 国信嘉宁数据技术有限公司 | 用户管理系统、相关身份信息创建方法和请求校验方法 |
| CN110502901A (zh) * | 2019-07-31 | 2019-11-26 | 湖南微算互联信息技术有限公司 | 云手机厂商的配置信息保护方法、系统及存储介质 |
| WO2020132877A1 (zh) * | 2018-12-25 | 2020-07-02 | 奇安信安全技术(珠海)有限公司 | 一种操作检测方法、系统及电子设备 |
| CN111611079A (zh) * | 2020-05-22 | 2020-09-01 | 西安万像电子科技有限公司 | 调度服务器的方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050055583A1 (en) * | 2003-09-05 | 2005-03-10 | Matsushita Electric Industrial Co., Ltd. | Data management apparatus, data management method and program thereof |
| CN103686722A (zh) * | 2012-09-13 | 2014-03-26 | 中兴通讯股份有限公司 | 访问控制方法及装置 |
| CN103761472A (zh) * | 2014-02-21 | 2014-04-30 | 北京奇虎科技有限公司 | 基于智能终端设备的应用程序访问方法与装置 |
| CN104123506A (zh) * | 2013-04-28 | 2014-10-29 | 北京壹人壹本信息科技有限公司 | 数据访问方法、装置、数据加密、存储及访问方法、装置 |
| CN104376273A (zh) * | 2014-11-18 | 2015-02-25 | 乐视致新电子科技(天津)有限公司 | 一种数据访问控制方法和装置 |
| CN104462889A (zh) * | 2013-09-12 | 2015-03-25 | 腾讯科技(深圳)有限公司 | 一种应用权限管理方法及装置 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102364491A (zh) * | 2011-11-01 | 2012-02-29 | 宇龙计算机通信科技(深圳)有限公司 | 数据权限的管理方法和终端 |
| CN102404727B (zh) * | 2011-11-24 | 2017-12-05 | 中兴通讯股份有限公司 | 移动终端的安全控制方法及装置 |
| CN103455520A (zh) * | 2012-06-04 | 2013-12-18 | 北京三星通信技术研究有限公司 | 安卓数据库访问的方法及设备 |
| CN104427089B (zh) * | 2013-08-21 | 2017-02-08 | 上海晨兴希姆通电子科技有限公司 | 移动终端及移动终端权限管理方法 |
| CN104751031A (zh) * | 2013-12-31 | 2015-07-01 | 中国移动通信集团公司 | 一种信息交互控制方法及装置 |
| CN104809390A (zh) * | 2014-01-26 | 2015-07-29 | 中兴通讯股份有限公司 | 系统安全运行的方法及装置 |
| CN103905651A (zh) * | 2014-04-30 | 2014-07-02 | 北京邮电大学 | 智能终端中应用权限管理方法及系统 |
| CN104219052A (zh) * | 2014-08-22 | 2014-12-17 | 小米科技有限责任公司 | 一种服务程序的验证方法及装置 |
-
2015
- 2015-10-26 CN CN201510702027.XA patent/CN105205413B/zh active Active
- 2015-10-26 CN CN201810386209.4A patent/CN108763951B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050055583A1 (en) * | 2003-09-05 | 2005-03-10 | Matsushita Electric Industrial Co., Ltd. | Data management apparatus, data management method and program thereof |
| CN103686722A (zh) * | 2012-09-13 | 2014-03-26 | 中兴通讯股份有限公司 | 访问控制方法及装置 |
| CN104123506A (zh) * | 2013-04-28 | 2014-10-29 | 北京壹人壹本信息科技有限公司 | 数据访问方法、装置、数据加密、存储及访问方法、装置 |
| CN104462889A (zh) * | 2013-09-12 | 2015-03-25 | 腾讯科技(深圳)有限公司 | 一种应用权限管理方法及装置 |
| CN103761472A (zh) * | 2014-02-21 | 2014-04-30 | 北京奇虎科技有限公司 | 基于智能终端设备的应用程序访问方法与装置 |
| CN104376273A (zh) * | 2014-11-18 | 2015-02-25 | 乐视致新电子科技(天津)有限公司 | 一种数据访问控制方法和装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106355080A (zh) * | 2016-08-29 | 2017-01-25 | 上海航盛实业有限公司 | 一种车载信息系统的数据安全访问方法及系统 |
| CN106778291A (zh) * | 2016-11-22 | 2017-05-31 | 北京奇虎科技有限公司 | 应用程序的隔离方法及隔离装置 |
| CN106778291B (zh) * | 2016-11-22 | 2019-09-17 | 北京安云世纪科技有限公司 | 应用程序的隔离方法及隔离装置 |
| CN106845252A (zh) * | 2016-12-21 | 2017-06-13 | 北京奇虎科技有限公司 | 终端数据访问方法、装置及移动终端 |
| CN106709034A (zh) * | 2016-12-29 | 2017-05-24 | 广东欧珀移动通信有限公司 | 保护文件的方法、装置及终端 |
| CN107729764A (zh) * | 2017-09-30 | 2018-02-23 | 广东欧珀移动通信有限公司 | 敏感信息的保护方法、装置、存储介质及电子设备 |
| CN107770173A (zh) * | 2017-10-20 | 2018-03-06 | 国信嘉宁数据技术有限公司 | 用户管理系统、相关身份信息创建方法和请求校验方法 |
| WO2020132877A1 (zh) * | 2018-12-25 | 2020-07-02 | 奇安信安全技术(珠海)有限公司 | 一种操作检测方法、系统及电子设备 |
| CN110502901A (zh) * | 2019-07-31 | 2019-11-26 | 湖南微算互联信息技术有限公司 | 云手机厂商的配置信息保护方法、系统及存储介质 |
| CN111611079A (zh) * | 2020-05-22 | 2020-09-01 | 西安万像电子科技有限公司 | 调度服务器的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105205413B (zh) | 2018-05-18 |
| CN108763951A (zh) | 2018-11-06 |
| CN108763951B (zh) | 2022-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105205413A (zh) | 一种数据的保护方法及装置 | |
| CN103858113B (zh) | 用于保护虚拟客户的内存的方法、装置和系统 | |
| CN111695156A (zh) | 业务平台的访问方法、装置、设备及存储介质 | |
| KR101308859B1 (ko) | 임시 관리자 권한 부여 기능을 가진 단말기 및 이를 이용한 임시 관리자 권한 부여 방법 | |
| CN103826215A (zh) | 一种在终端设备上进行Root权限管理的方法和装置 | |
| EP3493090A1 (en) | Control method and unit of mobile storage devices, and storage medium | |
| CN107908958B (zh) | SELinux安全标识符防篡改检测方法及系统 | |
| CN111711631B (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
| US9015826B2 (en) | Mobile platform security apparatus and method | |
| US11501000B2 (en) | Auto-injection of security protocols | |
| CN115374481B (zh) | 数据脱敏处理的方法、装置、存储介质及电子设备 | |
| CN104537310A (zh) | 移动存储设备的管理方法及客户端 | |
| US11658996B2 (en) | Historic data breach detection | |
| CN105760164B (zh) | 一种用户空间文件系统中acl权限的实现方法 | |
| CN106982428B (zh) | 一种安全配置方法,安全控制装置及安全配置装置 | |
| CN102270132B (zh) | Linux操作系统中脚本行为的控制方法 | |
| Nazar et al. | Rooting Android–Extending the ADB by an auto-connecting WiFi-accessible service | |
| CN112733091A (zh) | 一种应用程序访问外接设备的控制方法及装置 | |
| US11611570B2 (en) | Attack signature generation | |
| CN111506893A (zh) | 一种外部设备管理方法、装置、电子设备及存储介质 | |
| US11750660B2 (en) | Dynamically updating rules for detecting compromised devices | |
| Tang et al. | X-prcaf: Xposed based protecting cache file from leaks in Android social applications | |
| US11582248B2 (en) | Data breach protection | |
| Kim et al. | Self‐Controllable Mobile App Protection Scheme Based on Binary Code Splitting | |
| Toubiana et al. | No need to ask the Android: Bluetooth-Low-Energy scanning without the location permission |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |