CN107784221A - 权限控制方法、服务提供方法、装置、系统及电子设备 - Google Patents
权限控制方法、服务提供方法、装置、系统及电子设备 Download PDFInfo
- Publication number
- CN107784221A CN107784221A CN201610772989.7A CN201610772989A CN107784221A CN 107784221 A CN107784221 A CN 107784221A CN 201610772989 A CN201610772989 A CN 201610772989A CN 107784221 A CN107784221 A CN 107784221A
- Authority
- CN
- China
- Prior art keywords
- access
- service
- equipment
- destination service
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本申请公开了一种权限控制方法及相应装置,同时公开了一种权限控制系统,一种服务提供方法及相应装置,一种服务提供系统,一种电子设备,一种移动终端,以及两种操作系统。其中,所述权限控制方法,在提供目标服务的第一设备中实施,包括:接收第二设备发送的针对目标服务的访问请求;根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。上述方法,为互连设备彼此间的服务访问过程提供安全保障,而且由于利用了设备自身的权限控制机制,简单易行。
Description
技术领域
本申请涉及权限控制领域,具体涉及一种权限控制方法及相应装置。本申请同时涉及一种权限控制系统、一种服务提供方法及相应装置、一种服务提供系统、一种电子设备、一种移动终端、以及两种操作系统。
背景技术
随着计算机和网络技术的发展,个人电脑、智能手机等电子设备都得到了广泛的应用。通常这些电子设备不仅可以运行本地安装的各种应用程序,还可以利用预设的协议以及介质互相连接,从而可以在不同的电子设备之间传输数据,从而实现电子设备之间的数据分发与共享。
例如,持有智能手机的用户进入汽车之后,可以利用蓝牙连接将智能手机上存储的音频文件传输给汽车上安装的媒体播放设备,例如:车载音箱,从而车载音箱可以根据接收到的音频文件执行音频播放功能。由此可见通过电子设备间的数据传输,可以为用户提供更便捷、高质量的服务,提升用户的使用体验。
目前在设备互相连接的基础上,虽然可以通过数据传输实现设备间的数据传输与访问功能,但是由于设备的流动性和多样性,互相连接的设备间的访问存在一定的安全隐患。
发明内容
本申请实施例提出的一种权限控制方法和装置,为互连设备提供了一种有效的权限控制方案,为互连设备彼此间的服务访问过程提供安全保障。本申请实施例还提供一种权限控制系统、一种服务提供方法及相应装置、一种服务提供系统、一种电子设备、一种移动终端、以及两种操作系统。
本申请提供一种权限控制方法,所述方法在提供目标服务的第一设备中实施,包括:
接收第二设备发送的针对目标服务的访问请求;
根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;
利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。
可选的,所述发起所述访问请求的访问对象包括:所述第二设备、所述第二设备上的发起所述访问请求的应用程序、使用所述第二设备的用户、或者使用所述第二设备上的所述应用程序的用户。
可选的,所述访问对象的标识信息,包括:
所述第二设备的标识;或者,
所述第二设备的标识和所述应用程序的标识;或者,
所述第二设备的标识和使用所述第二设备的用户的标识;或者,
所述第二设备的标识和所述应用程序的标识以及使用所述第二设备上的所述应用程序的用户的标识。
可选的,所述根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求,包括:
根据所述访问请求携带的信息获取所述访问对象的标识,并查找与所述访问对象的标识对应的访问代理对象的标识;
根据所述访问代理对象的标识,触发所述访问代理对象向目标服务提供对象发起服务请求。
可选的,若未找到与所述访问对象的标识相对应的访问代理对象的标识,在触发所述代理对象向目标服务提供对象发起服务请求之前,执行下述操作:
创建所述访问代理对象,并存储所述访问对象的标识与所述访问代理对象的标识的对应关系。
可选的,当发起所述访问请求的访问对象为使用所述第二设备上的、发起所述访问请求的应用程序的用户时,所述根据所述访问请求携带的信息获取所述访问对象的标识,并查找与所述访问对象的标识相对应的访问代理对象的标识,包括:
从所述访问请求携带的信息中获取所述第二设备的标识、所述应用程序的标识、以及所述用户的标识;
查找与所述第二设备的标识、所述应用程序的标识、以及所述用户的标识对应的访问代理对象的标识。
可选的,所述根据所述访问代理对象的标识,触发所述访问代理对象向目标服务提供对象发起服务请求,包括:
根据所述访问代理对象的标识,向所述访问代理对象发送至少包含目标服务标识的访问请求;
所述访问代理对象根据接收到的所述访问请求,向相应的目标服务提供对象发起服务请求。
可选的,所述利用权限控制机制对所述访问代理对象进行权限检查,包括:
根据所述访问代理对象的标识,查询权限数据库中是否存在允许所述访问代理对象访问所述目标服务的授权信息;
若存在,则判定所述访问代理对象通过权限检查。
可选的,当所述权限数据库中不存在所述授权信息时,执行下述操作:
根据所述访问代理对象的标识,获取与所述访问代理对象对应的访问对象的描述信息;
通过预设的信息输出接口,输出至少包含所述访问对象的描述信息以及所述目标服务的描述信息的授权询问信息;
通过预设的指令输入接口,接收权限决策方输入的授权决策指令;若所述授权决策指令表征同意授权,则判定所述访问代理对象通过权限检查,否则判定未通过权限检查。
可选的,所述访问对象的描述信息包括:所述访问对象的标识;所述目标服务的描述信息包括:所述目标服务的标识。
可选的,当所述授权决策指令表征同意授权时,还执行下述操作:在权限数据库中存储至少包含所述访问代理对象的标识以及所述目标服务的标识的授权信息。
可选的,当所述对所述访问代理对象进行权限检查的结果为通过权限检查时,包括:
所述目标服务提供对象执行所述访问代理对象请求的目标服务功能。
可选的,在所述目标服务提供对象执行所述访问代理对象请求的目标服务功能之后,还包括:所述目标服务提供对象通过所述访问代理对象向所述第二设备返回执行结果。
可选的,在所述目标服务提供对象执行所述访问代理对象请求的目标服务功能之后,还包括:
删除所述访问代理对象。
可选的,在所述目标服务提供对象执行所述访问代理对象请求的目标服务功能之后,在所述删除所述访问代理对象之前,包括:
接收所述第二设备发送的停止使用所述目标服务的请求;
根据发起所述请求的访问对象、查找所述访问代理对象。
可选的,在所述目标服务提供对象执行所述访问代理对象请求的目标服务功能之后,在所述删除所述访问代理对象之前,包括:
监测是否满足删除所述访问代理对象的预设条件;
并在满足时,执行所述删除所述访问代理对象的操作。
可选的,所述目标服务包括:对访问权限的管理服务;
所述目标服务提供对象执行所述访问代理对象请求的目标服务功能,包括:所述目标服务提供对象根据所述访问代理对象的请求执行相应的权限管理操作。
可选的,所述访问代理对象以及所述目标服务提供对象分别由相应进程承载。
可选的,
所述第一设备包括:电视设备,所述目标服务包括:视频播放服务;或者,
所述第一设备包括:智能手机,所述目标服务包括:拍摄服务;或者,
所述第一设备包括:存储设备,所述目标服务包括:数据存储服务。
相应的,本申请还提供一种权限控制装置,所述装置部署于提供目标服务的第一设备中,包括:
访问请求接收单元,用于接收第二设备发送的针对目标服务的访问请求;
代理对象触发单元,用于根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务对象发起服务请求;
权限检查单元,用于利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。
此外,本申请还提供一种权限控制系统,包括:部署了根据上述任意一项所述的权限控制装置的第一设备,以及用于向所述第一设备发送访问请求的第二设备。
此外,本申请还提供一种服务访问方法,所述方法在提供目标服务的第一设备中实施,包括:
接收第二设备发送的针对目标服务的访问请求;
根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;
利用权限控制机制对所述访问代理对象进行权限检查,并在权限检查结果为通过时,由所述目标服务提供对象执行目标服务功能。
相应的,本申请还提供一种服务访问装置,所述装置部署于提供目标服务的第一设备中,包括:
访问请求接收单元,用于接收第二设备发送的针对目标服务的访问请求;
代理对象触发单元,用于根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;
服务提供单元,用于利用权限控制机制对所述访问代理对象进行权限检查,并在权限检查结果为通过时,由所述目标服务提供对象执行目标服务功能。
此外,本申请还提供一种服务提供系统,包括:部署了根据上述任意一项所述的服务提供装置的第一设备,以及用于向所述第一设备发送访问请求的第二设备。
此外,本申请还提供一种电子设备,包括:
处理器;
存储器,用于存储计算机程序代码;
其中,所述处理器耦合于所述存储器,用于读取所述存储器存储的计算机程序代码,并执行如下操作:
根据发起访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据;所述访问请求为外部设备发送的针对目标服务的访问请求。
此外,本申请还提供一种移动终端,包括:
通信组件,用于实现通信功能;
处理器,耦合于所述通信组件,在所述通信组件接收到外部设备发送的针对目标服务的访问请求后,执行如下操作:
根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。
此外,本申请还提供一种操作系统,所述操作系统在提供目标服务的第一设备中实施,包括:
接收控制单元,控制通信组件接收第二设备发送的针对目标服务的访问请求;
对象触发控制单元,用于控制以下过程的实施:根据发起所述访问请求的访问对象、触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;
权限检查单元,利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果提供给所述目标服务提供对象,作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。
此外,本申请还提供另一种操作系统,所述操作系统在提供目标服务的第一设备中实施,包括:互连代理对象、访问代理对象以及目标服务提供对象;
所述互连代理对象,用于根据发起访问请求的访问对象,确定与所述访问对象对应的访问代理对象、并向所述访问代理对象发送所述访问请求;所述访问请求为第二设备发送的针对目标服务的访问请求;
所述访问代理对象,用于根据所述访问请求,向所述目标服务对应的目标服务提供对象发起服务请求;
所述目标服务提供对象,用于当所述访问代理对象通过权限控制机制的权限检查后,执行所述访问代理对象请求的目标服务功能。
与现有技术相比,本申请具有以下优点:
本申请提供的权限控制方法,在提供目标服务的第一设备中实施,所述方法包括:在接收第二设备发送的针对目标服务的访问请求后,根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求,然后利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。
本申请提供的上述方法,针对发起访问请求的访问对象,在第一设备上引入对应的访问代理对象,由于访问代理对象是第一设备上的本地对象,从而第一设备可以利用自身的权限控制机制对所述访问代理对象进行权限检查,并将权限检查的结果作为目标服务提供对象执行目标服务功能或者拒绝执行的依据。由此可见,本申请提供的上述方法,不仅为互连设备提供了一种有效的权限控制方案,为互连设备彼此间的服务访问过程提供安全保障,而且由于巧妙地利用了设备自身的权限控制机制,并在此基础上针对设备间访问请求引入访问代理对象,简单易行,从而能够快速、高效地实现融入各种异构设备的权限控制系统。此外,由于本技术方案利用的是设备自身的权限控制机制,即:设备间的授权信息不依赖于设备互连所形成的网络,因此不会出现因为设备离开网络而引起网络中出现权限信息残留的情况。
附图说明
图1是本申请的一种权限控制方法的实施例的流程图;
图2是本申请实施例提供的触发与访问对象对应的访问代理对象发起服务请求的处理流程图;
图3是本申请的一种权限控制装置的实施例的示意图;
图4是本申请的一种权限控制系统的实施例的示意图;
图5是本申请实施例提供的一种权限控制系统的架构示意图;
图6是本申请的一种服务提供方法的实施例的流程图;
图7是本申请的一种服务提供装置的实施例的示意图;
图8是本申请的一种服务提供系统的实施例的示意图;
图9是本申请的一种电子设备的实施例的示意图;
图10是本申请的一种移动终端的实施例的示意图;
图11是本申请的一种操作系统的实施例的示意图;
图12是本申请的另一种操作系统的实施例的示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是,本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此,本申请不受下面公开的具体实施的限制。
在本申请中,分别提供了一种权限控制方法及相应装置,一种权限控制系统,一种服务提供方法及相应装置,一种服务提供系统,一种电子设备,一种移动终端,以及两种操作系统,在下面的实施例中逐一进行详细说明。为了便于理解,在描述具体实施例之前先对本申请的技术方案作简要说明。
本申请提供的技术方案,通常在提供目标服务的第一设备中实施,所述第一设备可以是两个或者两个以上设备互连形成的设备互连系统中的设备。所述设备互连系统,包括用于实现设备互连的物理网络和协议、以及互连的各设备,其中各设备既可以向本系统内的其他设备提供服务、也可以访问其他设备提供的服务。
希望加入设备互连系统的设备,可以通过预先设定的接入协议接入到所述系统中,例如:所述设备可以通过本地的互连代理对象(互连代理对象用于设备间互连通信的软件功能单元,具体实现时可以由进程承载),查询设备互连系统的网络接入点,并向网络接入点发起带有凭证信息(例如:用户名和密码)的接入请求,网络接入点对接收到的凭证进行验证,并在验证通过后,与所述设备建立连接,从而所述设备成功接入到设备互连系统中,并且其上的互连代理对象具备了和设备互连系统中的其他设备上的互连代理对象进行通信的能力。
新接入设备可以向网络接入点发送自己能够对外提供的服务配置信息,所述网络接入点可以将该信息广播给已接入设备互连系统的其他设备,并将其他设备的服务配置信息也发送给新接入设备,从而设备互连系统中的每个设备都获知本系统可以提供的各种服务,并存储在服务信息集合中(该集合通常由服务管理器模块Service Manager维护),在此基础上即可实现设备间的服务访问功能。例如:第二设备上的应用程序希望访问第一设备提供的目标服务,第二设备上的应用程序发送针对目标服务的访问请求,该请求经由第二设备的互连代理对象发送给第一设备的互连代理,第一设备的互连代理对象将该请求转发给相应的目标服务提供对象(例如:提供所述目标服务的进程),由目标服务提供对象执行相应的服务功能,从而实现了跨设备的服务访问功能。
以上对设备间的服务访问过程进行了描述,为了对上述服务访问过程提供安全保障,考虑到每个设备可以具有独立的权限控制机制、用于对本设备内部的服务访问实施权限授予/存储/检查等处理,发明人提出了利用设备自身的权限控制机制对设备间服务访问提供权限控制的技术方案,从而为设备间服务访问过程提供有效的安全保障。
本技术方案的核心在于:针对设备间的服务访问请求,在提供目标服务的第一设备一侧引入访问代理对象,由于访问代理对象是第一设备上的本地对象,适用第一设备自身的权限控制机制,因此可以利用第一设备的权限控制机制对访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。从而利用设备自身的权限控制机制,巧妙地实现了针对设备间服务访问的权限控制方案。
下面对本申请的实施例作详细描述。请参考图1,其为本申请的一种权限控制方法的实施例的流程图。所述方法在提供目标服务的第一设备中实施,包括如下步骤:
步骤101、接收第二设备发送的针对目标服务的访问请求。
在第二设备上运行的应用程序或者系统程序,需要访问目标服务时,可以先查询本地存储的服务信息集合,如果找到所述目标服务,则向提供所述目标服务的第一设备发送针对所述目标服务的访问请求,第一设备就会接收到所述访问请求。在本实施例中,第一设备和第二设备之间的通信可以由各自的互连代理对象实现,即:由第二设备的互连代理对象将所述访问请求发送给第一设备,第一设备的互连代理对象接收所述访问请求。
此处给出第一设备以及目标服务的几个具体例子:所述第一设备可以为电视设备,所述目标服务包括:视频播放服务;或者,所述第一设备可以为智能手机,所述目标服务包括:拍摄服务;或者,所述第一设备可以为:存储设备,所述目标服务包括:数据存储服务。
第一设备接收到所述访问请求后,后续步骤将根据发起所述访问请求的访问对象、触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求。针对每一次设备间服务访问过程,都存在发起访问请求的访问对象,所述访问对象是接受权限控制的具体对象。
在具体实施时,可以预先设定权限控制粒度,例如:设备、设备+应用、设备+用户、或者设备+应用+用户,对于设备间服务访问过程来说,预设权限控制粒度不同,权限控制所针对的访问对象也会不同。采用这种方式,能够实现不同粒度的、灵活的权限控制方案。
例如,预先设定权限控制粒度为:设备,那么由第二设备向第一设备发送的访问请求,都对应于相同的访问对象:所述第二设备,后续步骤在第一设备一侧则会查找对应于所述第二设备的访问代理对象,并通过对所述访问代理对象的权限检查,实现对所述第二设备的访问权限控制。
本步骤接收所述第二设备发送的针对目标服务的访问请求,根据预设权限控制粒度的不同,发起所述访问请求的访问对象可以为:所述第二设备、所述第二设备上的发起所述访问请求的应用程序、使用所述第二设备的用户、或者,使用所述第二设备上的所述应用程序的用户。其中,所述用户通常是指使用其帐户在所述第二设备上登录的用户。
相应的,所述访问对象可以分别用以下信息标识:所述第二设备的标识、所述第二设备的标识和所述应用程序的标识、所述第二设备的标识和使用所述第二设备的用户的标识、或者所述第二设备的标识和所述应用程序的标识以及使用所述第二设备上的所述应用程序的用户的标识。其中,所述第二设备的标识,可以是第二设备的名称或者设备ID号,类似的道理,所述应用程序标识可以是应用程序名称或者应用程序ID号,所述用户的标识可以是用户登录所述第二设备使用的帐户信息或者用户ID号。
本实施例列举了四种权限控制粒度、以及相应的访问对象及其标识方式,在具体应用中,预设的权限控制粒度可以不同于上述四种,自然,发起访问请求的访问对象也可以不局限于上述四种情况,同样也可以实现本申请的技术方案。例如,权限控制粒度可以是:用户,那么所述访问对象即为触发访问请求的用户,相应的访问对象的标识信息可以为:触发访问请求的用户标识。
具体实施时,所述访问请求中通常可以携带目标服务的标识,例如:目标服务的名称、或者访问接口名称、或者目标服务的ID号等。此外,为了便于后续步骤查找相应的访问代理对象,所述访问请求中还可以携带用于标识访问对象的相关信息。例如,当发起所述访问请求的访问对象为:使用所述第二设备上的、发起所述访问请求的应用程序的用户时,所述访问请求中还可以携带:第二设备标识、所述应用程序标识、以及所述用户标识。所述访问请求中还可以携带用于描述所述访问对象的其他描述信息。
此外,在具体实施时,如果需要向第二设备返回服务执行结果,而上面描述的访问请求所携带信息中未包含用于返回服务执行结果所需的信息,则可以在访问请求中携带所述信息,例如:所述第二设备的标识、以及发起所述访问请求的应用程序的标识等。
步骤102、根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求。
本技术方案的核心在于,当设备间的访问请求通过网络传递到所述第一设备一侧后,由所述第一设备上的访问代理对象代表所述访问对象发起对目标服务提供对象的访问请求,从而可以利用第一设备自身的权限控制机制对所述访问代理对象进行权限检查。因此本步骤根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求。
所述访问代理对象,是指第一设备上的、与其他应用程序一样具有独立身份、且可以独立运行的程序,所述程序能够根据接收到的请求以自己的独立身份向目标服务提供对象发起服务请求。以Android系统为例,所述访问代理对象可以由进程承载,其独立身份可以用所述进程的uid代表,并且也可以采用所述进程的uid作为所述访问代理对象的标识。
在具体实施本步骤时,可以采用以下三种实施方式:
1)与发起所述访问请求的访问对象对应的访问代理对象可以始终运行在第一设备中,而第一设备可以预先存储在其上运行的访问代理对象标识与相应访问对象标识的对应关系,因此本步骤可以通过查找该对应关系,获取与发起所述访问请求的访问对象对应的访问代理对象标识,并触发相应的访问代理对象向目标服务提供对象发起服务请求。
2)第一设备也可以不存储1)中所述的对应关系,而是在接收到所述访问请求后,在本步骤中创建与所述访问对象对应的访问代理对象(在使用完毕所述访问代理对象后删除),并触发所述访问代理对象向目标服务提供对象发起服务请求。
3)第一设备采用预设策略(例如定期、或者根据内存占用情况)删除在其上运行的访问代理对象,因此在本步骤中可以先查找1)中描述的对应关系,若找到与所述访问请求对应的访问代理对象标识,则触发所述访问代理对象向目标服务提供对象发送服务请求,若未找到则创建所述访问代理对象,然后再触发所述访问代理对象向目标服务提供对象发送服务请求。
不难看出,上述第3)种实施方式,比较灵活,能够在内存占用与执行效率之间取得较好的平衡,因此是本实施例提供的优选实施方式,采用该优选实施方式,本步骤的处理过程可以细化为以下的子步骤102-1至102-4,下面结合图2对处理过程进行详细说明。
步骤102-1、根据所述访问请求携带的信息获取发起所述访问请求的访问对象的标识,并查找与所述访问对象的标识对应的访问代理对象的标识,若找到,执行步骤102-3,否则,执行步骤102-2。
本步骤可以按照预设的权限控制粒度,根据访问请求携带的信息获取发送所述访问请求的访问对象的标识,并进一步查找与所述访问对象对应的访问代理对象的标识。在具体实施时,本步骤的功能可以由第一设备的互连代理对象实现,互连代理对象存储了在本地运行的访问代理对象标识与相应的访问对象标识的对应关系。
以发起访问请求的访问对象为使用所述第二设备上的、发起所述访问请求的应用程序的用户为例,第一设备的互连代理对象接收来自第二设备的访问请求后,可以先从访问请求中获取第二设备的标识(deviceID)、所述应用程序的标识(appID)、以及登录所述第二设备的用户的标识(userID),并用这三个标识的组合作为发起所述访问请求的访问对象的标识;然后根据该标识,在所述对应关系中查找对应的访问代理对象的标识。
若之前已经根据其他历史访问请求创建了对应于所述访问对象的访问代理对象,本步骤就可以找到相应访问代理对象的标识(以Android系统为例,本步骤可以查找得到承载所述访问代理对象的进程的uid),那么就可以转到步骤102-3执行,否则执行步骤102-2创建所述访问代理对象。
具体实施时,本步骤的功能可以由第一设备的互连代理对象实现。
步骤102-2、创建所述访问代理对象,并存储所述访问对象的标识与所述访问代理对象的标识的对应关系。
执行到本步骤,说明第一设备上没有与所述访问对象相对应的访问代理对象,也就无法以访问代理对象的身份向目标服务提供对象发起服务请求,因此本步骤创建所述访问代理对象,并存储所述访问对象与所述访问代理对象的对应关系。然后执行步骤102-3。
以Android系统为例,本步骤可以创建一个进程,由该进程承载所述访问代理对象、以实现其功能,例如:根据目标服务的标识,向相应的目标服务提供对象发起服务请求等,本步骤创建的所述进程的uid就是所述访问代理对象的标识。本步骤可以将所述访问对象的标识与uid对应存储。
在创建所述访问代理对象后,还可以将所述访问对象的描述信息存储于与所述访问代理对象对应的系统数据结构中(例如:承载所述访问代理对象的进程的进程描述符),以供后续在利用本地权限机制对所述访问代理对象进行权限检查时,可以向决策者呈现所述访问对象的描述信息。所述访问对象的描述信息,可以包括访问对象的标识,还可以包括从所述访问请求中获取的用于描述访问对象的其他描述信息。
具体实施时,本步骤的功能可以由第一设备的互连代理对象实现。
步骤102-3、根据所述访问代理对象的标识,向所述访问代理对象发送至少包含目标服务标识的访问请求。
本步骤可以根据步骤102-1查找得到的所述访问代理对象的标识、或者是步骤102-2创建的所述访问代理对象的标识,向所述访问代理对象发送访问请求,所述访问请求中至少携带目标服务的标识,以触发所述访问代理对象向目标服务提供对象发起请求、请求其执行所述目标服务功能。在具体实施时,本步骤的功能同样可以由第一设备的互连代理对象实现。
步骤102-4、所述访问代理对象根据接收到的所述访问请求,向相应的目标服务提供对象发起服务请求。
所述访问代理对象接收访问请求后,可以根据所述访问请求携带的目标服务标识,查询本地服务管理模块(Service Manager)获取目标服务提供对象的标识,然后通过本地通信机制,向目标服务提供对象发起服务请求。
以Android系统为例,所述目标服务提供对象可以是对外提供所述目标服务的应用程序、也可以是系统程序,通常由进程承载。访问代理对象通过查询Service Manager可以获取该进程的标识,并通过进程间通信机制(Inter-Process Communication,简称IPC),向其发起服务请求。
至此,通过上述步骤102-1至102-4,描述了根据发起步骤101所述访问请求的访问对象、触发相应访问代理对象向目标服务提供对象发起服务请求的处理过程。
步骤103、利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。
本步骤利用权限控制机制对所述访问代理对象进行权限检查,具体实施时,本步骤可以由所述目标服务提供对象实现,也可以由所述目标服务提供对象调用操作系统提供的权限检查接口实现,也可以由操作系统截获步骤102中所述访问代理对象向所述目标服务提供对象发起的服务请求后、进行相应的权限检查,并将检查结果返回给所述目标服务提供对象,作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。
利用权限控制机制对所述访问代理对象进行权限检查时,通常可以先查询权限数据库,如果通过查询权限数据库没有找到所需的授权信息,则可以请求权限决策方做出相应决策。下面对上述两个环节分别进行说明。
第一设备的权限数据库中,存储了针对第一设备提供的各种目标服务的授权信息,其中每条数据记录存储的信息可以包括:目标服务的标识以及可以访问所述目标服务的本地对象(例如:本地应用程序)的标识。由于在步骤102中向目标服务提供对象发起服务请求的所述访问代理对象也是在第一设备本地运行的有效对象,因此可以先根据所述访问代理对象的标识,查询所述权限数据库中是否存在允许所述访问代理对象访问步骤101中所述目标服务的授权信息;若存在,则判定所述访问代理对象通过权限检查。
如果在所述权限数据库中没有找到相应的授权信息,则可以请求权限决策方做出是否授权的决策。具体实现可以包括以下过程:
1)根据所述访问代理对象的标识,获取与所述访问代理对象对应的访问对象的描述信息。由于在创建所述访问代理对象的时候,通常可以将相应访问对象的描述信息存储于与所述访问代理对象对应的系统数据结构中,那么此时可以用所述访问代理对象的标识作为输入,调用相应的系统调用获取与所述访问代理对象对应的访问对象的描述信息,所述描述信息可以包括所述访问对象的标识,也可以包括其他描述信息。
2)通过预设的信息输出接口,输出至少包含所述访问对象的描述信息以及所述目标服务的描述信息的授权询问信息。
所述目标服务的描述信息,可以包括所述目标服务的标识,也可以包括用于描述目标服务的其他信息。根据目标设备类型的不同,可以采用各种不同的信息输出接口输出所述授权询问信息,例如对于具有显示屏幕的目标设备,可以通过显示输出接口在显示屏幕上输出授权询问信息;对于不具有显示屏幕的目标设备,可以通过其他信息输出接口输出授权询问信息,例如:可以通过扬声器接口以语音的形式输出。
3)通过预设的指令输入接口,接收权限决策方输入的授权决策指令;当所述授权决策指令表征同意授权,则判定所述访问代理对象通过权限检查,否则判定未通过权限检查。
权限决策方(例如,第一设备的使用者)可以根据授权询问信息中包含的所述访问对象的描述信息、以及所述目标服务的描述信息,决定是否授权,并通过预设的指令输入接口输入授权决策指令,那么实施权限检查的一方(例如目标服务提供对象或者操作系统)即可通过该输入接口接收到所述指令。
根据第一设备类型的不同,权限决策方可以通过各种不同的指令输入接口输入指令,例如:对于具有触摸屏的智能手机,用户可以通过对屏幕的触控输入授权决策指令,对于采用遥控器控制的智能电视,用户则可以利用遥控器的按键输入授权决策指令。
当所述授权决策指令表征同意授权,则判定所述访问代理对象通过权限检查,否则判定未通过权限检查。当所述授权决策指令表征同意授权时,还可以在权限数据库中存储至少包含所述访问代理对象的标识以及所述目标服务的标识的授权信息,从而下一次接收到来自所述访问代理对象对所述目标服务的访问请求时,可以通过查询数据库即可快速获取授权信息。
在具体实施中,如果通过查询权限数据库、或者通过询问权限决策方得到了所述访问代理对象未通过权限检查的结果,则所述目标服务提供对象可以以此为依据拒绝执行所述访问代理对象请求的目标服务功能,否则,如果得到了所述访问代理对象通过权限检查的结果,即:所述访问代理对象具有访问所述目标服务的权限,所述目标服务提供对象则可以以此为依据执行所述访问代理对象请求的目标服务功能。
在目标服务提供对象执行所述访问代理对象请求的目标服务功能之后,还可以通过所述访问代理对象向所述第二设备返回执行结果,例如,可以向第二设备上发起所述访问请求的应用程序返回执行结果,具体实现可以是:目标服务提供对象将执行结果发送给所述访问代理对象,所述访问代理对象将所述执行结果转发给第一设备上的互连代理对象,由第一设备的互连代理对象发送给第二设备上的互连代理对象,并最终返回给第二设备上发起所述访问请求的应用程序。
作为一种优选实施方式,在目标服务提供对象执行所述访问代理对象请求的目标服务功能之后,第一设备还可以按照预设的策略删除所述访问代理对象。例如:如果接收到所述第二设备发送的停止使用所述目标服务的请求,则可以根据发起所述请求的访问对象、找到所述访问代理对象,并删除所述访问代理对象;再如,目标服务提供对象也可以监测是否满足删除所述访问代理对象的预设条件,并在满足时,触发删除所述访问代理对象。所述预设条件可以包括:第一设备的内存占用率超过预设阈值,或者,所述访问代理对象的运行时间已经超过了预设阈值等。
在具体实施时,删除所述访问代理对象的操作可以由第一设备的互连代理对象执行。互连代理对象在删除所述访问代理对象后,还可以从其存储的本地访问代理对象标识与访问对象标识的对应关系中、以及本地权限数据库中,删除与被删除访问代理对象相关的信息。
采用按照预设策略删除访问代理对象的方式,可以灵活调整访问代理对象生命周期的长度,从而可以在内存占用率和执行效率之间找到平衡点,有助于提升整个系统的性能。
以上,通过步骤101-103,对本实施例提供的权限控制方法的实施方式进行了说明。
在具体实施时,可以在实现上述权限控制的基础上,进一步实现权限管理。在这种应用场景下,所述第一设备可以对外提供对访问权限的管理服务,即:步骤101中所述的目标服务为对访问权限的管理服务,第二设备上的特定应用程序可以发送针对所述目标服务的访问请求,第一设备接收所述访问请求后,对相应访问代理对象进行权限检查,若通过检查,则目标服务提供对象可以根据所述访问代理对象的请求执行相应的权限管理操作,例如:提供目标设备上的授权信息(从而第二设备可以在自己的显示器上展示该信息),或者设置某一访问对象是否可以访问某一特定服务。从而可以通过其他设备的人机界面管理第一设备的权限,提供了一种灵活的权限管理方法。
综上所述,本实施例提供的权限控制方法不仅为互连设备提供了一种有效的权限控制方案,为互连设备彼此间的服务访问过程提供安全保障,而且由于巧妙地利用了设备自身的权限控制机制,并在此基础上针对设备间访问请求引入访问代理对象,简单易行,从而能够快速、高效地实现融入各种异构设备的权限控制系统。此外,由于本技术方案利用的是设备自身的权限控制机制,即:设备间的授权信息不依赖于设备互连所形成的网络,因此不会出现因为设备离开网络而引起网络中出现权限信息残留的情况。
上述的实施例中,提供了一种权限控制方法,与之相对应的,本申请还提供一种权限控制装置。请参看图3,其为本申请的一种权限控制装置的实施例示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本实施例的一种权限控制装置,所述装置部署于提供目标服务的第一设备中,包括:访问请求接收单元301,用于接收第二设备发送的针对目标服务的访问请求;代理对象触发单元302,用于根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务对象发起服务请求;权限检查单元303,用于利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。
可选的,所述代理对象触发单元实施其功能所根据的访问对象,包括:所述第二设备、所述第二设备上的发起所述访问请求的应用程序、使用所述第二设备的用户、或者使用所述第二设备上的所述应用程序的用户。
可选的,所述代理对象触发单元包括:
代理对象查找子单元,用于根据所述访问请求携带的信息获取所述访问对象的标识,并查找与所述访问对象的标识相对应的访问代理对象的标识;
触发执行子单元,用于根据所述访问代理对象的标识,触发所述访问代理对象向目标服务提供对象发起服务请求。
可选的,所述代理对象触发单元,还包括:
代理对象创建子单元,用于若所述代理对象查找子单元未找到与所述访问对象的标识对应的访问代理对象,在所述触发执行子单元工作之前,创建所述访问代理对象,并存储所述访问对象的标识与所述访问代理对象的标识的对应关系。
可选的,所述代理对象查找子单元包括:
标识获取子单元,用于从所述访问请求携带的信息中获取所述第二设备的标识、发起所述访问请求的应用程序的标识、以及使用所述第二设备上的所述应用程序的用户的标识;
查找执行子单元,用于查找与所述第二设备的标识、所述应用程序的标识、以及所述用户的标识相对应的访问代理对象的标识。
可选的,所述触发执行子单元包括:
代理对象通知子单元,用于根据所述访问代理对象的标识,向所述访问代理对象发送至少包含目标服务标识的访问请求;
代理对象请求子单元,用于所述访问代理对象根据接收到的所述访问请求,向相应的目标服务提供对象发起服务请求。
可选的,所述权限检查单元包括:
权限数据库查询子单元,用于根据所述访问代理对象的标识,查询权限数据库中是否存在允许所述访问代理对象访问所述目标服务的授权信息;
第一检查通过子单元,用于当所述权限数据库查询子单元的输出为存在时,判定所述访问代理对象通过权限检查。
可选的,所述权限检查单元还包括:
描述信息获取子单元,用于当所述权限数据库查询子单元的输出为不存在时,根据所述访问代理对象的标识,获取与所述访问代理对象对应的访问对象的描述信息;
授权询问信息输出子单元,用于通过预设的信息输出接口,输出至少包含所述访问对象的描述信息以及所述目标服务的描述信息的授权询问信息;
授权决策指令接收子单元,用于通过预设的指令输入接口,接收权限决策方输入的授权决策指令;
第二检查通过子单元,用于当所述授权决策指令表征同意授权时,判定所述访问代理对象通过权限检查;
检查未通过子单元,用于当所述授权决策指令表征拒绝授权时,判定所述访问代理对象未通过权限检查。
可选的,所述权限检查单元还包括:
授权信息存储子单元,用于当所述授权决策指令表征同意授权时,在权限数据库中存储至少包含所述访问代理对象的标识以及所述目标服务的标识的授权信息。
可选的,所述装置还包括:
服务功能执行单元,用于当所述权限检查单元的输出结果为通过检查时,所述目标服务提供对象执行所述访问代理对象请求的目标服务功能。
可选的,所述装置还包括:
执行结果返回单元,用于当所述服务功能执行单元执行完毕所述目标服务功能后,所述目标服务提供对象通过所述访问代理对象向所述第二设备返回执行结果。
可选的,所述装置还包括:
代理对象删除单元,用于当所述服务功能执行单元执行完毕所述目标服务功能后,删除所述访问代理对象。
可选的,所述装置还包括:
停止请求接收单元,用于在所述服务功能执行单元执行目标服务功能之后,在所述代理对象删除单元删除所述访问代理对象之前,接收所述第二设备发送的停止使用所述目标服务的请求;
代理对象查找单元,用于根据发起所述请求的访问对象、查找所述访问代理对象。
可选的,所述装置还包括:
删除条件监测单元,用于在所述服务功能执行单元执行目标服务功能之后,监测是否满足删除所述访问代理对象的预设条件,并在满足时,触发所述代理对象删除单元删除所述访问代理对象。
可选的,所述访问请求接收单元接收到的访问请求所针对的目标服务包括:对访问权限的管理服务;
所述服务功能执行单元,具体用于由所述目标服务提供对象根据所述访问代理对象的请求执行相应的权限管理操作。
此外,本申请实施例还提供一种权限控制系统,如图4所示,该系统包括:部署了如上述实施例所述的权限控制装置的第一设备401,以及用于向所述第一设备发送访问请求的第二设备402。
其中,部署了所述权限控制装置的第一设备以及第二设备可以分别为移动终端、智能电视、存储设备、或者计算机等电子设备,下面结合图5给出的系统架构示意图,对所述权限控制系统的基本操作流程作简要说明。在图示系统架构中,不同设备间的通信通过设备互连代理实现,设备内部通信可以通过IPC机制实现。
第二设备上的App通过互连代理对象向第一设备发送针对目标服务的访问请求,第一设备的互连代理对象根据发起所述访问请求的访问对象,触发相应的访问代理对象向目标服务提供对象发起服务请求,目标服务提供对象通过调用操作系统提供的接口,利用权限控制机制对所述访问代理对象进行权限检查,具体过程包括:根据访问代理对象的标识,查询第一设备的权限数据库中是否存在相应的授权信息,若不存在则可以通过向权限决策方询问的方式请求授权,并将最终的权限检查结果,作为执行目标服务功能或者拒绝执行的依据。
以上为了说明本系统的处理流程,列举了包括两个设备的系统架构,在具体实施时,所述权限控制系统可以包含多个互连设备,每个设备既可以作为第二设备发出服务访问请求,也可以通过部署所述权限控制装置、成为具有设备间权限控制功能的第一设备,从而构建出更为复杂的权限控制系统。下面给出本系统的几个具体应用场景:
场景1:
第二设备为手机(Phone),第一设备为天猫魔盒(TV)。TV提供视频播放服务(Service1),而Phone的应用App1想通过TV播放视频,因此向TV发出对Service1的访问请求。TV接收所述访问请求后,找到了相应的访问代理对象,并触发访问代理对象发起对Service1的访问,提供Service1的服务程序对访问代理对象进行权限检查,由于尚未授权,因此在TV的显示屏幕上弹出对话框,请求用户授权,用户通过遥控器发送同意授权的指令后,所述服务程序即可执行相应的视频播放功能。
场景2:
第二设备为手机(Phone),第一设备为天猫魔盒(TV)。手机提供拍照服务(Service2),如果TV上的应用App1需要使用拍照功能,则向Phone发出对Service2的访问请求。Phone接收所述访问请求后,创建相应的访问代理对象,并触发访问代理对象发起对Service2的访问,提供Service2的服务程序对访问能代理对象进行权限检查,并且在权限数据库中找到了允许所述访问代理对象访问Service2的授权信息,因此所述服务程序可以执行相应的服务功能,TV就可以通过手机上的摄像头进行拍照了。
场景3:
权限控制系统中包括以下设备:客人手机(Phone1)、主人手机(Phone2)、存储设备(Disk)。其中Disk为部署了权限控制装置的第一设备,其提供存储服务(Service3),Phone1由于其没有得到授权,因此无法使用Disk提供的存储服务功能(即:Disk拒绝执行);而Phone2得到了授权因此可以使用Disk提供的存储服务功能,而且还可以使用Disk开放的权限管理服务(Service4)功能,并通过相应的接口显示Disk上的权限信息、或者设置针对Service3的授权信息。
此外,本申请还提供一种服务提供方法,所述方法在提供目标服务的第一设备中实施,具体的实施方式在本实施例中加以描述。请参考图6,其为本申请提供的一种服务提供方法的实施例的流程图,本实施例与之前提供的方法实施例步骤相同的部分不再赘述,下面重点描述不同之处。本申请提供的一种服务提供方法包括:
步骤601、接收第二设备发送的针对目标服务的访问请求。
步骤602、根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求。
步骤603、利用权限控制机制对所述访问代理对象进行权限检查,并在权限检查结果为通过时,由所述目标服务提供对象执行目标服务功能。
通过步骤601-603可以看出,本实施例提供的服务提供方法,由于巧妙地利用了设备自身的权限控制机制,对访问对象对应的访问代理对象进行权限检查,并在通过权限检查后,由目标服务提供对象执行目标服务功能,从而可以在互连设备间安全地提供服务。
上述的实施例中,提供了一种服务提供方法,与之相对应的,本申请还提供一种服务提供装置。请参看图7,其为本申请的一种服务提供装置的实施例的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本实施例的一种服务提供装置,所述装置部署于提供目标服务的第一设备中,包括:访问请求接收单元701,用于接收第二设备发送的针对目标服务的访问请求;代理对象触发单元702,用于根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;服务提供单元703,用于利用权限控制机制对所述访问代理对象进行权限检查,并在权限检查结果为通过时,由所述目标服务提供对象执行目标服务功能。
此外,本申请实施例还提供一种服务提供系统,如图8所示,该系统包括:部署了如上述实施例所述的服务提供装置的第一设备801,以及用于向所述第一设备发送访问请求的第二设备802。
其中,部署了所述服务提供装置的第一设备以及第二设备可以分别为移动终端、智能电视、存储设备、或者计算机等电子设备。所述系统的基本操作流程请参见之前提供的系统以及方法实施例中的相关文字,此处不再赘述。
此外,本申请还提供了一种电子设备;所述电子设备实施例如下:
请参考图9,其示出了本申请的一种电子设备的实施例的示意图。
所述电子设备,包括:处理器901;存储器902,用于存储计算机程序代码;其中,所述处理器耦合于所述存储器,用于读取所述存储器存储的计算机程序代码,并执行如下操作:
根据发起访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据;所述访问请求为外部设备发送的针对目标服务的访问请求。
此外,本申请还提供了一种移动终端;所述移动终端实施例如下:
请参考图10,其示出了本申请的一种移动终端的实施例的示意图。
所述移动终端,包括:通信组件1001,用于实现通信功能;处理器1002,耦合于所述通信组件,在所述通信组件接收到外部设备发送的针对目标服务的访问请求后,执行如下操作:
根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。
此外,本申请还提供了一种操作系统,所述操作系统在提供目标服务的第一设备中实施。所述操作系统实施例如下:
请参考图11,其示出了本申请的一种操作系统的实施例的示意图。
所述操作系统包括:接收控制单元1101,控制通信组件接收第二设备发送的针对目标服务的访问请求;对象触发控制单元1102,用于控制以下过程的实施:根据发起所述访问请求的访问对象、触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;权限检查单元1103,利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果提供给所述目标服务提供对象,作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。
在具体实施时,所述对象触发控制单元的功能,可以由操作系统完成,也可以由操作系统控制其他功能模块完成。
此外,本申请还提供了另一种操作系统,所述操作系统在提供目标服务的第一设备中实施。所述操作系统实施例如下:
请参考图12,其示出了本申请的另一种操作系统的实施例的示意图。
所述操作系统包括:互连代理对象1201、访问代理对象1202以及目标服务提供对象1203;
所述互连代理对象,用于根据发起访问请求的访问对象,确定与所述访问对象对应的访问代理对象、并向所述访问代理对象发送所述访问请求;所述访问请求为第二设备发送的针对目标服务的访问请求;
所述访问代理对象,用于根据所述访问请求,向所述目标服务对应的目标服务提供对象发起服务请求;
所述目标服务提供对象,用于当所述访问代理对象通过权限控制机制的权限检查后,执行所述访问代理对象请求的目标服务功能。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
2、本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
Claims (28)
1.一种权限控制方法,其特征在于,所述方法在提供目标服务的第一设备中实施,包括:
接收第二设备发送的针对目标服务的访问请求;
根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;
利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。
2.根据权利要求1所述的权限控制方法,其特征在于,所述发起所述访问请求的访问对象包括:所述第二设备、所述第二设备上的发起所述访问请求的应用程序、使用所述第二设备的用户、或者使用所述第二设备上的所述应用程序的用户。
3.根据权利要求2所述的权限控制方法,其特征在于,所述访问对象的标识信息,包括:
所述第二设备的标识;或者,
所述第二设备的标识和所述应用程序的标识;或者,
所述第二设备的标识和使用所述第二设备的用户的标识;或者,
所述第二设备的标识和所述应用程序的标识以及使用所述第二设备上的所述应用程序的用户的标识。
4.根据权利要求1所述的权限控制方法,其特征在于,所述根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求,包括:
根据所述访问请求携带的信息获取所述访问对象的标识,并查找与所述访问对象的标识对应的访问代理对象的标识;
根据所述访问代理对象的标识,触发所述访问代理对象向目标服务提供对象发起服务请求。
5.根据权利要求4所述的权限控制方法,其特征在于,若未找到与所述访问对象的标识相对应的访问代理对象的标识,在触发所述代理对象向目标服务提供对象发起服务请求之前,执行下述操作:
创建所述访问代理对象,并存储所述访问对象的标识与所述访问代理对象的标识的对应关系。
6.根据权利要求4所述的权限控制方法,其特征在于,当发起所述访问请求的访问对象为使用所述第二设备上的、发起所述访问请求的应用程序的用户时,所述根据所述访问请求携带的信息获取所述访问对象的标识,并查找与所述访问对象的标识相对应的访问代理对象的标识,包括:
从所述访问请求携带的信息中获取所述第二设备的标识、所述应用程序的标识、以及所述用户的标识;
查找与所述第二设备的标识、所述应用程序的标识、以及所述用户的标识对应的访问代理对象的标识。
7.根据权利要求4所述的权限控制方法,其特征在于,所述根据所述访问代理对象的标识,触发所述访问代理对象向目标服务提供对象发起服务请求,包括:
根据所述访问代理对象的标识,向所述访问代理对象发送至少包含目标服务标识的访问请求;
所述访问代理对象根据接收到的所述访问请求,向相应的目标服务提供对象发起服务请求。
8.根据权利要求1所述的权限控制方法,其特征在于,所述利用权限控制机制对所述访问代理对象进行权限检查,包括:
根据所述访问代理对象的标识,查询权限数据库中是否存在允许所述访问代理对象访问所述目标服务的授权信息;
若存在,则判定所述访问代理对象通过权限检查。
9.根据权利要求8所述的权限控制方法,其特征在于,当所述权限数据库中不存在所述授权信息时,执行下述操作:
根据所述访问代理对象的标识,获取与所述访问代理对象对应的访问对象的描述信息;
通过预设的信息输出接口,输出至少包含所述访问对象的描述信息以及所述目标服务的描述信息的授权询问信息;
通过预设的指令输入接口,接收权限决策方输入的授权决策指令;若所述授权决策指令表征同意授权,则判定所述访问代理对象通过权限检查,否则判定未通过权限检查。
10.根据权利要求9所述的权限控制方法,其特征在于,所述访问对象的描述信息包括:所述访问对象的标识;所述目标服务的描述信息包括:所述目标服务的标识。
11.根据权利要求9所述的权限控制方法,其特征在于,当所述授权决策指令表征同意授权时,还执行下述操作:在权限数据库中存储至少包含所述访问代理对象的标识以及所述目标服务的标识的授权信息。
12.根据权利要求1所述的权限控制方法,其特征在于,当所述对所述访问代理对象进行权限检查的结果为通过权限检查时,包括:
所述目标服务提供对象执行所述访问代理对象请求的目标服务功能。
13.根据权利要求12所述的权限控制方法,其特征在于,在所述目标服务提供对象执行所述访问代理对象请求的目标服务功能之后,还包括:所述目标服务提供对象通过所述访问代理对象向所述第二设备返回执行结果。
14.根据权利要求12所述的权限控制方法,其特征在于,在所述目标服务提供对象执行所述访问代理对象请求的目标服务功能之后,还包括:
删除所述访问代理对象。
15.根据权利要求14所述的权限控制方法,其特征在于,在所述目标服务提供对象执行所述访问代理对象请求的目标服务功能之后,在所述删除所述访问代理对象之前,包括:
接收所述第二设备发送的停止使用所述目标服务的请求;
根据发起所述请求的访问对象、查找所述访问代理对象。
16.根据权利要求14所述的权限控制方法,其特征在于,在所述目标服务提供对象执行所述访问代理对象请求的目标服务功能之后,在所述删除所述访问代理对象之前,包括:
监测是否满足删除所述访问代理对象的预设条件;
并在满足时,执行所述删除所述访问代理对象的操作。
17.根据权利要求12所述的权限控制方法,其特征在于,所述目标服务包括:对访问权限的管理服务;
所述目标服务提供对象执行所述访问代理对象请求的目标服务功能,包括:所述目标服务提供对象根据所述访问代理对象的请求执行相应的权限管理操作。
18.根据权利要求1-17任一项所述的权限控制方法,其特征在于,所述访问代理对象以及所述目标服务提供对象分别由相应进程承载。
19.根据权利要求1-16任一项所述的权限控制方法,其特征在于,
所述第一设备包括:电视设备,所述目标服务包括:视频播放服务;或者,
所述第一设备包括:智能手机,所述目标服务包括:拍摄服务;或者,
所述第一设备包括:存储设备,所述目标服务包括:数据存储服务。
20.一种权限控制装置,其特征在于,所述装置部署于提供目标服务的第一设备中,包括:
访问请求接收单元,用于接收第二设备发送的针对目标服务的访问请求;
代理对象触发单元,用于根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务对象发起服务请求;
权限检查单元,用于利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。
21.一种权限控制系统,其特征在于,包括:部署了如权利要求20所述的权限控制装置的第一设备,以及用于向所述第一设备发送访问请求的第二设备。
22.一种服务提供方法,其特征在于,所述方法在提供目标服务的第一设备中实施,包括:
接收第二设备发送的针对目标服务的访问请求;
根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;
利用权限控制机制对所述访问代理对象进行权限检查,并在权限检查结果为通过时,由所述目标服务提供对象执行目标服务功能。
23.一种服务提供装置,其特征在于,所述装置部署于提供目标服务的第一设备中,包括:
访问请求接收单元,用于接收第二设备发送的针对目标服务的访问请求;
代理对象触发单元,用于根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;
服务提供单元,用于利用权限控制机制对所述访问代理对象进行权限检查,并在权限检查结果为通过时,由所述目标服务提供对象执行目标服务功能。
24.一种服务提供系统,其特征在于,包括:部署了如权利要求23所述的服务提供装置的第一设备,以及用于向所述第一设备发送访问请求的第二设备。
25.一种电子设备,其特征在于,包括:
处理器;
存储器,用于存储计算机程序代码;
其中,所述处理器耦合于所述存储器,用于读取所述存储器存储的计算机程序代码,并执行如下操作:
根据发起访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据;所述访问请求为外部设备发送的针对目标服务的访问请求。
26.一种移动终端,其特征在于,包括:
通信组件,用于实现通信功能;
处理器,耦合于所述通信组件,在所述通信组件接收到外部设备发送的针对目标服务的访问请求后,执行如下操作:
根据发起所述访问请求的访问对象,触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。
27.一种操作系统,其特征在于,所述操作系统在提供目标服务的第一设备中实施,所述操作系统包括:
接收控制单元,控制通信组件接收第二设备发送的针对目标服务的访问请求;
对象触发控制单元,用于控制以下过程的实施:根据发起所述访问请求的访问对象、触发与所述访问对象对应的访问代理对象向目标服务提供对象发起服务请求;
权限检查单元,利用权限控制机制对所述访问代理对象进行权限检查,并将检查结果提供给所述目标服务提供对象,作为所述目标服务提供对象执行目标服务功能或者拒绝执行的依据。
28.一种操作系统,其特征在于,所述操作系统在提供目标服务的第一设备中实施,包括:互连代理对象、访问代理对象以及目标服务提供对象;
所述互连代理对象,用于根据发起访问请求的访问对象,确定与所述访问对象对应的访问代理对象、并向所述访问代理对象发送所述访问请求;所述访问请求为第二设备发送的针对目标服务的访问请求;
所述访问代理对象,用于根据所述访问请求,向所述目标服务对应的目标服务提供对象发起服务请求;
所述目标服务提供对象,用于当所述访问代理对象通过权限控制机制的权限检查后,执行所述访问代理对象请求的目标服务功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610772989.7A CN107784221B (zh) | 2016-08-30 | 2016-08-30 | 权限控制方法、服务提供方法、装置、系统及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610772989.7A CN107784221B (zh) | 2016-08-30 | 2016-08-30 | 权限控制方法、服务提供方法、装置、系统及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107784221A true CN107784221A (zh) | 2018-03-09 |
| CN107784221B CN107784221B (zh) | 2021-07-27 |
Family
ID=61450713
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610772989.7A Active CN107784221B (zh) | 2016-08-30 | 2016-08-30 | 权限控制方法、服务提供方法、装置、系统及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107784221B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088779A (zh) * | 2018-10-18 | 2018-12-25 | 国家无线电监测中心成都监测站 | 设备服务测试方法及无线电测试系统 |
| CN109829330A (zh) * | 2018-12-28 | 2019-05-31 | 恒生电子股份有限公司 | 一种svn权限设置方法、装置、系统、电子设备 |
| CN111767558A (zh) * | 2020-06-23 | 2020-10-13 | 中国工商银行股份有限公司 | 数据访问监控方法、装置及系统 |
| CN111999068A (zh) * | 2020-08-25 | 2020-11-27 | 上海华兴数字科技有限公司 | 工程机械的挡位标定方法、装置、电子设备及存储介质 |
| CN112511569A (zh) * | 2021-02-07 | 2021-03-16 | 杭州筋斗腾云科技有限公司 | 网络资源访问请求的处理方法、系统及计算机设备 |
| CN112532561A (zh) * | 2019-08-28 | 2021-03-19 | 斑马智行网络(香港)有限公司 | 用于实现设备间访问的方法、装置、系统及存储介质 |
| WO2021238399A1 (zh) * | 2020-05-27 | 2021-12-02 | 华为技术有限公司 | 安全访问数据的方法及电子设备 |
| WO2022170946A1 (zh) * | 2021-02-09 | 2022-08-18 | 华为技术有限公司 | 一种访问控制方法及相关装置 |
| WO2022199672A1 (zh) * | 2021-03-26 | 2022-09-29 | 华为技术有限公司 | 精准撤销权限的访问控制方法、相关装置及系统 |
| WO2024037369A1 (zh) * | 2022-08-15 | 2024-02-22 | 华为技术有限公司 | 应用敏感行为提醒方法、相关装置及通信系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1832476A (zh) * | 2005-03-08 | 2006-09-13 | 微软公司 | 动态服务代理 |
| CN101442476A (zh) * | 2007-11-23 | 2009-05-27 | 华为技术有限公司 | 一种用户代理的方法、装置和系统 |
| US20090300739A1 (en) * | 2008-05-27 | 2009-12-03 | Microsoft Corporation | Authentication for distributed secure content management system |
| CN101515931B (zh) * | 2009-03-24 | 2012-09-19 | 北京理工大学 | 一种基于代理方式的数据库安全增强方法 |
| CN104660405A (zh) * | 2013-11-21 | 2015-05-27 | 中国移动通信集团公司 | 一种业务设备认证方法及设备 |
| CN104703178A (zh) * | 2015-03-15 | 2015-06-10 | 西安电子科技大学 | 基于群组匿名代理的机器类型通信认证和密钥协商方法 |
-
2016
- 2016-08-30 CN CN201610772989.7A patent/CN107784221B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1832476A (zh) * | 2005-03-08 | 2006-09-13 | 微软公司 | 动态服务代理 |
| CN101442476A (zh) * | 2007-11-23 | 2009-05-27 | 华为技术有限公司 | 一种用户代理的方法、装置和系统 |
| US20090300739A1 (en) * | 2008-05-27 | 2009-12-03 | Microsoft Corporation | Authentication for distributed secure content management system |
| CN101515931B (zh) * | 2009-03-24 | 2012-09-19 | 北京理工大学 | 一种基于代理方式的数据库安全增强方法 |
| CN104660405A (zh) * | 2013-11-21 | 2015-05-27 | 中国移动通信集团公司 | 一种业务设备认证方法及设备 |
| CN104703178A (zh) * | 2015-03-15 | 2015-06-10 | 西安电子科技大学 | 基于群组匿名代理的机器类型通信认证和密钥协商方法 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088779A (zh) * | 2018-10-18 | 2018-12-25 | 国家无线电监测中心成都监测站 | 设备服务测试方法及无线电测试系统 |
| CN109088779B (zh) * | 2018-10-18 | 2021-10-12 | 国家无线电监测中心成都监测站 | 设备服务测试方法及无线电测试系统 |
| CN109829330A (zh) * | 2018-12-28 | 2019-05-31 | 恒生电子股份有限公司 | 一种svn权限设置方法、装置、系统、电子设备 |
| CN112532561A (zh) * | 2019-08-28 | 2021-03-19 | 斑马智行网络(香港)有限公司 | 用于实现设备间访问的方法、装置、系统及存储介质 |
| CN113746777B (zh) * | 2020-05-27 | 2023-01-06 | 华为技术有限公司 | 安全访问数据的方法及电子设备 |
| WO2021238399A1 (zh) * | 2020-05-27 | 2021-12-02 | 华为技术有限公司 | 安全访问数据的方法及电子设备 |
| CN113746777A (zh) * | 2020-05-27 | 2021-12-03 | 华为技术有限公司 | 安全访问数据的方法及电子设备 |
| CN111767558A (zh) * | 2020-06-23 | 2020-10-13 | 中国工商银行股份有限公司 | 数据访问监控方法、装置及系统 |
| CN111767558B (zh) * | 2020-06-23 | 2024-02-20 | 中国工商银行股份有限公司 | 数据访问监控方法、装置及系统 |
| CN111999068A (zh) * | 2020-08-25 | 2020-11-27 | 上海华兴数字科技有限公司 | 工程机械的挡位标定方法、装置、电子设备及存储介质 |
| CN112511569A (zh) * | 2021-02-07 | 2021-03-16 | 杭州筋斗腾云科技有限公司 | 网络资源访问请求的处理方法、系统及计算机设备 |
| US20220255938A1 (en) * | 2021-02-07 | 2022-08-11 | Hangzhou Jindoutengyun Technologies Co., Ltd. | Method and system for processing network resource access requests, and computer device |
| US11979405B2 (en) | 2021-02-07 | 2024-05-07 | Hangzhou Jindoutengyun Technologies Co., Ltd. | Method and system for processing network resource access requests, and computer device |
| WO2022170946A1 (zh) * | 2021-02-09 | 2022-08-18 | 华为技术有限公司 | 一种访问控制方法及相关装置 |
| WO2022199672A1 (zh) * | 2021-03-26 | 2022-09-29 | 华为技术有限公司 | 精准撤销权限的访问控制方法、相关装置及系统 |
| WO2024037369A1 (zh) * | 2022-08-15 | 2024-02-22 | 华为技术有限公司 | 应用敏感行为提醒方法、相关装置及通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107784221B (zh) | 2021-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107784221A (zh) | 权限控制方法、服务提供方法、装置、系统及电子设备 | |
| US20200285978A1 (en) | Model training system and method, and storage medium | |
| CN107451275B (zh) | 基于区块链的业务数据处理方法、装置、系统和存储设备 | |
| US9124578B2 (en) | Service opening method and system, and service opening server | |
| CN103632415B (zh) | 门控系统以及操控器、门口机设备与通讯平台 | |
| CN105100708B (zh) | 请求处理方法及装置 | |
| CN105721426B (zh) | 终端设备的访问授权方法、服务器、目标终端设备及系统 | |
| CN109451345A (zh) | 一种Android智能电视上DLNA投屏权限管控的方法 | |
| CN112738805A (zh) | 设备控制方法和装置、存储介质及电子设备 | |
| CN108632253A (zh) | 基于移动终端的客户数据安全访问方法及装置 | |
| CN106295330B (zh) | 调用api的控制装置及方法 | |
| CN106487774A (zh) | 一种云主机服务权限控制方法、装置和系统 | |
| CN103929419B (zh) | 访问控制方法和装置 | |
| CN105550595A (zh) | 用于智能通信设备的隐私数据访问方法及系统 | |
| CN107222326A (zh) | 用于设备间服务的访问方法、配置方法及装置 | |
| CN107977816A (zh) | 快件投递方法及服务器 | |
| CN107862091A (zh) | 实现网页访问的控制方法及装置 | |
| CN110021086A (zh) | 一种基于openid的临时授权开启门禁的方法 | |
| CN106375442A (zh) | 一种跨平台管理设备信息的方法和装置 | |
| CN107104958A (zh) | 管理私有云设备的方法、私有云和公有云设备及存储装置 | |
| CN108920919A (zh) | 交互智能设备的控制方法、装置和系统 | |
| CN106453349A (zh) | 账号登录方法及装置 | |
| CN110138714A (zh) | 访问处理的方法、装置、电子设备和存储介质 | |
| CN106331010A (zh) | 网络文件访问控制方法及装置 | |
| KR102393500B1 (ko) | 로그인 시스템 및 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20201113 Address after: Room 603, 6 / F, Roche Plaza, 788 Cheung Sha Wan Road, Kowloon, China Applicant after: Zebra smart travel network (Hong Kong) Limited Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands Applicant before: Alibaba Group Holding Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |