CN110717178A - 用于操作和监测针对电子设备中的应用的权限的方法和系统 - Google Patents
用于操作和监测针对电子设备中的应用的权限的方法和系统 Download PDFInfo
- Publication number
- CN110717178A CN110717178A CN201910977359.7A CN201910977359A CN110717178A CN 110717178 A CN110717178 A CN 110717178A CN 201910977359 A CN201910977359 A CN 201910977359A CN 110717178 A CN110717178 A CN 110717178A
- Authority
- CN
- China
- Prior art keywords
- application
- user
- rule
- rules
- permissions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000012544 monitoring process Methods 0.000 title claims abstract description 31
- 230000004044 response Effects 0.000 claims abstract description 8
- 230000006399 behavior Effects 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 description 34
- 238000010295 mobile communication Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 10
- 230000000694 effects Effects 0.000 description 7
- 238000009434 installation Methods 0.000 description 7
- 230000001960 triggered effect Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 230000005055 memory storage Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- XLNZEKHULJKQBA-UHFFFAOYSA-N terbufos Chemical compound CCOP(=S)(OCC)SCSC(C)(C)C XLNZEKHULJKQBA-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/468—Specific access rights for resources, e.g. using capability register
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Telephone Function (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
- Stored Programmes (AREA)
Abstract
本公开的实施例涉及用于操作和监测针对电子设备中的应用的权限的方法和系统。一种方法包括:从第二应用接收用以访问来自第一应用的信息的请求,第一应用和第二应用被安装在用户设备上,并且响应于该请求,确定第二应用是否正根据至少一个规则进行操作。
Description
相关专利申请
本申请是国际申请号为PCT/IB2013/059452、国际申请日为2013年10月18日、进入中国国家阶段日为2016年4月15日、中国国家申请号为201380080281.X的发明专利申请的分案申请。
技术领域
本公开内容涉及用于对一个或多个应用进行操作的方法、装置和计算机程序。
背景技术
无线通信系统可以被视为实现在诸如固定或移动通信设备的两个或更多个节点(诸如基站的访问点、服务器、等等)之间的无线运营商的设施。通信系统和可兼容的通信设备通常根据给定标准或规范进行操作,给定标准或规范阐述允许与系统相关联的各种实体做什么并且其应当如何被实现。例如,标准、规范和相关协议可以定义通信设备应如何通信的方式和通信什么、通信的各个方面应如何被实施以及设备将如何被配置。无线系统的示例包括公共陆地移动网络(PLMN),例如蜂窝网络、基于卫星的通信系统和不同的无线局部网络,例如无线局域网(WLAN)。无线系统可以被划分成被称为小区(cell)的覆盖区。不同类型的小区可以提供不同的特征。例如,小区可以具有不同形状、大小、功率水平和其他特性。
用户可以借助于恰当的通信设备来访问通信系统。用户的通信设备常常被称为用户设备(user,equipment——UE)或终端。通信设备被提供具有用于实现与其他方的通信的恰当的信号接收和发送布置。无线系统实现针对用户的移动性,其中移动设备可以通过空中接口与诸如基站和/或其他用户设备的另一通信设备通信。
软件应用(application)或“app”可以运行在UE上从而将功能提供给其。例如天气相关的应用可以快速地将关于天气的信息提供给用户。为了使应用恰当地操作,需要访问与用户设备相关联的信息,例如位置信息。这可以引起针对用户的安全性问题。
发明内容
因此,在第一方面中,提供了一种方法,其包括:从第二应用接收用以访问来自第一应用的信息的请求,第一应用和第二应用被安装在用户设备上,并且响应于该请求,确定第二应用是否正根据至少一个规则进行操作。
优选地,该方法包括当确定第二应用根据至少一个规则进行操作时将该信息提供给第二应用。
优选地,该方法包括当确定第二应用不是根据至少一个规则进行操作时拒绝将该信息给予第二应用。
优选地,该方法包括当确定第二应用不是根据至少一个规则进行操作时停止第二应用。
优选地,至少一个规则是以下各项中的至少一项:由第一应用的开发者定义;由用户设备的用户定义;由用户设备自动创建。
优选地,至少一个规则由以下各项中的至少一项强制执行:第一应用;所述用户设备的操作系统。
优选地,通过第一应用的自定义权限来保护该信息。
优选地,自定义权限由第一应用的开发者创建。
优选地,至少一个规则与第一应用集成。
优选地,该方法包括在一定时间段上监测第二应用的行为。
优选地,监测包括监测第二应用使用该信息的方式。
优选地,监测由请求触发。
优选地,该方法包括定义对至少一个规则的违反的阈值数量,并且一旦已经达到阈值数量就拒绝将该信息给予第二应用。
在第二方面中,提供了一种计算机程序,其包括计算机可执行指令,该计算机可执行指令当运行在一个或多个处理器上时执行第一方面的方法。
在第三方面中,提供了一种装置,其包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置执行至少以下各项:从第二应用接收用以访问来自第一应用的信息的请求,第一应用和第二应用被安装在该装置上,并且响应于该请求,确定第二应用是否正根据至少一个规则进行操作。
优选地,至少一个存储器和至少一个处理器被配置为使该装置当确定第二应用根据至少一个规则进行操作时将该信息提供给第二应用。
优选地,至少一个存储器和至少一个处理器被配置为使该装置当确定第二应用不是根据至少一个规则进行操作时拒绝将该信息给予第二应用。
优选地,至少一个存储器和至少一个处理器被配置为使该装置当确定第二应用不是根据至少一个规则进行操作时停止第二应用。
优选地,至少一个规则是以下各项中的至少一项:由第一应用的开发者定义;由该装置的用户定义;由该装置自动创建。
优选地,至少一个规则由以下各项中的至少一项强制执行:第一应用;该装置的操作系统。
优选地,至少一个处理器和至少一个存储器被配置为使该装置通过第一应用的自定义权限来保护该信息。
优选地,自定义权限由第一应用的开发者创建。
优选地,至少一个规则与第一应用集成。
优选地,至少一个处理器和至少一个存储器被配置为使该装置在一定时间段上监测第二应用的行为。
优选地,监测包括监测第二应用使用该信息的方式。
优选地,监测由该请求触发。
优选地,至少一个存储器和至少一个处理器被配置为使该装置当已经达到对至少一个规则的违反的定义的阈值数量时拒绝将该信息给予第二应用。
在第四方面中,提供了一种装置,其包括:用于从第二应用接收用以访问来自第一应用的信息的请求的模块,第一应用和第二应用被安装在该装置上,以及响应于该请求,用于确定第二应用的模块是否正根据至少一个规则进行操作。
优选地,该装置包括用于当确定第二应用根据至少一个规则进行操作时将该信息提供给第二应用的模块。
优选地,该装置包括用于当确定第二应用不是根据至少一个规则进行操作时拒绝将该信息给予第二应用的模块。
优选地,该装置包括用于当确定第二应用不是根据至少一个规则进行操作时停止第二应用的模块。
优选地,至少一个规则是以下各项中的至少一项:由第一应用的开发者定义;由该装置的用户定义;由该装置自动创建。
优选地,至少一个规则由以下各项中的至少一项强制执行:第一应用;该装置的操作系统。
优选地,该装置包括用于通过第一应用的自定义权限来保护该信息的模块。
优选地,自定义权限由第一应用的开发者创建。
优选地,至少一个规则与第一应用集成。
优选地,该装置包括用于在一定时间段上监测第二应用的行为的模块。
优选地,监测包括监测第二应用使用该信息的方式。
优选地,监测由该请求触发。
优选地,该装置包括用于当已经达到对至少一个规则的违反的定义的阈值数量时拒绝将该信息给予第二应用的模块。
在第五方面中,提供了一种方法,其包括:定义针对用户设备上的应用的操作的至少一个规则,至少一个规则与被授予给应用的一个或多个权限相关;以及检测何时应用尝试访问一个或多个权限;以及响应于检测,开始对该应用的操作的监测时段,并且确定在监测时段期间该应用是否根据至少一个规则进行操作。
优选地,当检测到该应用违反至少一个规则时,该方法包括以下各项中的至少一项:警告用户;停止该应用。
优选地,该方法包括在该应用违反至少一个规则阈值次数时停止该应用。
优选地,至少一个规则在该应用的安装期间被定义。
优选地,该方法包括根据感知风险来对权限进行排序。
根据第六方面,提供了一种计算机程序,其包括计算机可执行指令,该计算机可执行指令当运行在一个或多个处理器上时执行第五方面的方法。
根据第七方面,提供了一种装置,包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少:定义针对装置上的应用的操作的至少一个规则,至少一个规则与被授予给该应用的一个或多个权限相关;并且检测该应用何时尝试访问一个或多个权限;并且响应于该检测,开始对该应用的操作的监测时段,并且确定该应用在监测时段期间是否根据至少一个规则进行操作。
优选地,当检测到该应用违反至少一个规则时,至少一个处理器和至少一个存储器被配置为使该装置进行以下各项中的至少一项:警告用户;停止该应用。
优选地,至少一个处理器和至少一个存储器被配置为使该装置在该应用违反至少一个规则阈值次数时停止该应用。
优选地,至少一个规则在该应用的安装期间被定义。
优选地,至少一个处理器和至少一个存储器被配置为使该装置根据感知风险来对权限进行排序。
根据第八方面,提供了一种装置,其包括用于定义针对装置上的应用的操作的至少一个规则的模块,至少一个规则与被授予给该应用的一个或多个权限相关;以及用于检测该应用何时尝试访问一个或多个权限的模块;以及响应于该检测,用于开始对该应用的操作的监测时段的模块,以及用于确定在监测时段期间该应用是否根据至少一个规则进行操作的模块。
优选地,当检测到该应用违反至少一个规则时,该装置包括用于进行以下各项中的至少一项的模块:警告用户;停止该应用。
优选地,该装置包括用于在该应用违反至少一个规则阈值次数时停止该应用的模块。
优选地,至少一个规则在该应用的安装期间被定义。
优选地,该装置包括用于根据感知风险来对权限进行排序的模块。
附图说明
现在将参考以下附图更详细地描述本发明的实施例,在附图中:
图1示出了根据一些实施例的网络的示意图;
图2示出了根据一些实施例的控制装置的示意图;
图3示出了根据实施例的用户界面;
图4示出了根据实施例的用户界面;
图5是示出根据实施例的步骤的流程图;
图6是示出根据另一实施例的步骤的流程图。
具体实施方式
在下文中,参考服务移动通信设备的无线或移动通信系统来解释一些例证实施例。在详细解释例证实施例之前,简单地参考图1和2来解释无线通信系统和移动通信设备的一些一般原理以帮助理解在所描述的示例下面的技术。
在无线通信系统中,经由至少一个基站或类似的无线发送和/或接收节点或点向移动通信设备或用户设备(UE)102、103、105提供无线访问。在图1中,示出了由基站108、107、116、118和120提供的蜂窝系统100和110的示例的两个重叠的访问系统或无线电服务区和三个较小的无线电服务区115、117和119。每个移动通信设备和站可以同时使一个或多个无线电通信开放,并且可以将信号发送到多于一个源和/或从多于一个源接收信号。要指出,在图1中仅仅出于图示的目的示意性地示出了无线电服务边界或边缘,还应理解无线电服务区的大小和形状可以与图1的形状大不相同。基站站点可以提供一个或多个小区。基站还可以提供多个扇区,例如三个无线电扇区,每个扇区提供小区或小区的分区。小区内的所有扇区可以由相同的基站服务。
基站通常由至少一个恰当的控制器装置控制从而实现其操作以及移动通信设备与基站通信的管理。在图1中,控制装置108和109被示出为控制各自的宏级别基站108和107。基站的控制装置可以与其他控制实体相互连接。控制装置通常被提供具有存储器容量和至少一个数据处理器。控制装置和功能可以被分布在多个控制单元之间。在一些系统中,控制装置可以额外地或备选地被提供在无线电网络控制器中。
在图1中,站108和107被示出为经由网关112连接到更宽的通信网络113。另外的网关功能可以被提供以连接到另一网络。
较小的站118、118和120也可以例如通过单独的网关功能和/或经由宏级别站的控制器连接到网络113。在该示例中,站116和118经由网关111连接,同时站120经由控制装置108连接。在一些实施例中,可以不提供较小的站。
恰当的移动通信设备可以由能够发送和接收无线电信号的任何设备提供。非限制性示例包括移动站(MS),例如移动电话或被称为‘智能电话’的物品,被提供具有无线接口卡或其他无线接口设施的计算机,被提供具有无线通信能力的个人数字助理(PDA),或这些的任何组合,等等。移动通信设备可以提供例如对用于携带通信的数据(例如语音、电子邮件(email)、文本消息、多媒体、等等)的通信。因此可以经由用户的通信设备向用户供应和提供许多服务。这些服务的非限制性示例包括双向或多向呼叫、数据通信或多媒体服务或者简单地对数据通信网络系统(例如互联网)的访问。还可以向用户提供广播数据或多播数据。内容的非限制性示例包括下载、电视和无线电程序、视频、广告、各种警告和其他信息。
通信设备102、103、105可以基于各种访问技术来访问通信系统,该各种访问技术例如码分多址(CDMA)或宽带CDMA(WCDMA)。其他示例包括时分多址(TDMA)、频分多址(FDMA)和其各种方案,例如交错频分多址(IFDMA)、单载波频分多址(SC-FDMA)和正交频分多址(OFDMA)、空分多址(SOMA)、等等。
无线通信系统的示例是由第3代合作伙伴项目(3GPP)标准化的体系结构。基于最新的3GPP的开发常常被称为通用移动通信系统(UMTS)无线电访问技术的长期演进(LTE)。3GPP LTE规范的各种开发阶段被称为发布。LTE的最近的开发常常被称为LTE高级(LTE-A)。LTE采用移动体系结构,其被称为演进的通用陆地无线电访问网络(E-UTRAN)。这样的系统的基站被称为演进的或增强型节点B(eNB)并且可以向通信设备提供E-UTRAN特征,例如用户层无线电链路控制/媒体访问控制/物理层协议(RLC/MAC/PHY)和控制层无线电资源控制(RRC)协议终端。无线电访问系统的其他示例包括由系统的基站提供的基于诸如无线局域网(WLAN)和/或WIMax(全球互操作性微波接入)的技术的那些。
现在将参考图2更详细地描述用于朝向系统的站发送和重新发送信息块的可能的移动通信设备,图2示出了通信设备200的示意性的部分剖面视图。移动设备200可以通过空中接口207经由用于接收的恰当装置接收信号并且可以经由用于发送无线电信号的恰当装置发送信号。在图2中,收发器装置示意性地由块208指代。收发器装置208可以例如借助于无线电部分和相关联的天线布置来提供。天线布置可以被布置在移动设备的内部或外部。
移动设备还通常被提供具有至少一个数据处理实体201、至少一个存储器202和用于在软件和硬件中使用以辅助执行其被设计为执行的任务的其他可能的部件203,任务包括控制对访问系统和其他通信设备的访问以及与访问系统和其他通信设备的通信。数据处理、存储和其他相关控制装置能够被提供在恰当的电路板上和/或芯片组中。该特征由附图标记204标示。用户可以借助于诸如按键205、语音命令、触敏屏幕或触敏板、其组合、等等的适当的用户接口来控制移动设备的操作。还可以提供显示器208、扬声器和麦克风。另外,移动通信设备可以包括到其他设备的和/或用于将外部附件(例如免提装备)连接到其的恰当的连接器(有线的或无线的)。
如以上简单地所讨论的,用户可以将应用或app下载到其用户设备,例如智能电话。一旦被下载,应用就可以将额外功能提供给用户设备或充当到针对用户的特定信息的网关或快捷方式。应用的示例包括(但不限于)新闻;天气;游戏;娱乐(例如音乐和/或视频);通信(例如电子邮件和/或SMS);网上银行、等等。
App可以被预安装在用户设备上,使得它们在用户第一次打开用户设备时存在。用户还可以将应用下载到用户设备。为了这样做,用户通常导航至应用“市场”,从其用户可以搜索大量可用应用,选择一个或多个期望的应用,以及安装一个或多个应用。
在一些当前的智能电话操作系统中,系统的安全性部分基于所谓的“权限”(permission)。权限由应用在安装时请求并且如果被授予(grant),则应用可以在运行时间期间使用由那些特定权限保护的资源。
通常应用开发者决定应用必须获得哪种资源以便正常地工作。例如,应用可能需要访问日历数据、位置数据、互联网连接、等等。开发者之后将需要访问那些资源的对应的权限的列表添加到应用包。当用户已经选择了要下载的应用并且开始安装该应用时,权限的列表(或至少列表的部分)将被呈现给用户以获批准。
这个的示例被示出在图3中,在图3中,用户已经选择了要安装“新闻”应用。在用户设备的显示器308的用户接口310上,用户被提供有新闻应用请求访问的权限的列表312。这些权限包括“存储”314、位置“318”、“相机”318、“你的应用信息”320、“电话呼叫”322以及“网络通信”324。在该示例中,这仅仅是新闻应用请求访问的权限的一部分并且用户可以通过选择“查看全部”图标328来查看全部列表。为了完成对应用的安装,用户必须选择“接受”图标328,其意味着用户授予应用访问所列出的权限。通常如果用户不同意所有权限,则应用将根本不进行安装,或者只是不会正常地工作。
对于一般用户,授予特定权限的含义可能是不清楚的。另外,将不同权限组合可以具有出乎意料的效果,即使权限本身不一定听起来有风险。当前模型假设用户见多识广(well informed)到做出关于安装什么的明智决策。该假设可能对很大份额的用户不适用。
用于接受权限的当前模型相当粗糙,并且应用行为的细粒度(fine grained)控制难以实现。这至少部分归因于权限倾向于非常笼统的事实。通过举例的方式,具有“网络通信”权限的应用可以出于其选择的任何原因而自由地设置新网络套接口(news networksocket)。
因此,当前系统依靠在应用的安装期间的用户检查和授予权限。在应用的运行时间期间,仅仅检查应用是否具有访问资源所需要的权限而不一定检查任何其他物。
如下面更详细地讨论的,实施例可以向用户(例如用户设备的终端用户或app开发者他们自己)提供用于指定用户允许app访问哪些权限和/或app在运行时间期间可以以哪种方式表现的灵活框架。实施例可以使用来自各种源的信息或将来自各种源的信息组合并将该信息与预定义规则进行比较以便检测可能行为不端的(misbehaving)应用。使用的信息可以例如是时间、网络使用率、位置、其他运行的应用、等等。应当理解,该列表不是穷尽的,并且当然可以使用其他信息资源。
仅仅通过举例的方式,可以考虑可以被用于编辑利用智能电话拍摄的图像的应用。这样的应用将需要对存储器存储的访问以用于检索原始图像和用于存储经编辑的图像。因此,用户可以乐于向应用提供访问存储器存储的权限。还能够利用这样的应用来下载用户可以使用以编辑图像的新的特殊效果(special effects)等等。因此,用户还可能乐于提供对应的权限以允许应用访问互联网。然而,这样的权限的粒度(granularity)通常非常粗糙。例如,用户可能乐于使应用下载上述“特殊效果”,然而,笼统的互联网访问权限可能允许应用执行比这宽泛得多的活动。例如,应用可以在理论上在没有用户的同意的情况下利用笼统的(generalised)互联网访问将用户的个人数据从存储器存储上传到互联网中的服务器。
实施例可以向用户提供用于指定或限制应用可以相对于特定权限采取的动作的选项。仅仅通过举例的方式,用户能够指定应用具有从互联网下载信息的权限,但是不具有上传信息的权限,反之亦然。用户还能够指定应用可以下载和/或上传的数据量的界限或阈值,在另外的实施例中,用户可以指定应用可以访问经授权的权限的次数。用户还可以指定准许应用从哪里(例如特定网站)下载信息和/或将信息上传到哪里(例如特定网站)。
当然,将理解用户可以指定的参数的上述示例不是穷尽的。一般而言,用户可以调节被授予给应用的权限的粒度。
还将理解,实施例仍然实现粗糙权限和/或对权限的拒绝给予。例如,使用以上所讨论的图像编辑应用的示例,用户可能想要以粗糙的方式拒绝给予权限从而完全地拒绝图像编辑应用访问文本消息。
为了向用户提供关于被授予给应用的权限的更细粒度,在实施例中,用户可以定义应用应当(或者必须)遵从的“规则”(rule)。这样的规则可以在任何时间处被定义。在一些实施例中,用户可以在安装应用的时间定义规则。
在图4中示出了这样的实施例。这类似于图3的示例,除了“接受”按钮428之外,还提供了“定义规则”图标430。通过选择该图标,用户可以定义针对特定权限的规则。在该实施例中,用户可以针对每个权限轮流“接受”或“定义规则”。在该示例中,用户已经选择了列表中的“存储”参数414,如由包围该参数的框示出的。用户可以通过选择图标428完全接受该权限,或者可以通过选择“定义规则”图标430来定义针对该权限的规则。用户可以针对列表中的每个参数这样做。
如果用户为参数中的任何选择了“定义规则”图标,则用户被带到指定那些规则的另外的屏幕。例如用户可以指定准许特定应用访问存储器存储的哪些部分。使用图像编辑应用的示例,用户可能例如想要指定准许应用访问所存储的图像而没有别的。针对天气应用,用户可能想要指定准许应用访问位置数据而没有别的。
在另一实施例中,用户可以在安装应用之前设置规则。例如,用户可以通过用户设备上的“设置”菜单设置通用(generic)规则,用户可以使用用户设备上的“设置”菜单设置任何被下载的应用必须遵守的通用规则。这些通用规则可以在任何时间被设置或更新。
在实施例中,用户还可以在已经安装了应用之后定义规则。例如,用户可以引出“app权限”列表(如例如图4所示)以在任何时间接受权限或定义针对权限的规则。
一旦规则已经被定义,规则就可以被配置为使用户设备监测(monitor)应用在运行时间期间的行为。也就是说,除了提供初始权限,规则可以定义应用应当遵守的行为,并且app的行为被监测以确保规则被遵从。
在一些实施例中,如以上所描述的,规则可以由用户定义。在另一实施例中,规则可以由应用的开发者定义。
在这样的实施例中,用户可以被提供有诸如“是否接受开发者定义的规则和权限?”的选项。应用开发者可以被激励从而以使app对于用户而言安全的方式定义规则,使得开发者可以变成应用的“受信任”供应商。
在另一实施例中,可以基于所请求的权限和应用的描述来自动创建规则。例如考虑了用户通常允许的权限的类型的先前的用户行为可以在自动创建规则时被考虑。该实施例对于用户而言是方便的,因为其使用户介入最小化。
一些实施例可以使用受信任的第三方(例如或类似于认证机构)。第三方可以验证app开发者生成的规则或完全创建新规则。
备选地或组合地,可以检测应用的“过高特权”(例如过多的权限或对权限的未准许的使用)。例如,可以确定应用使用的API(应用编程接口)调用的数量,并且那些API调用可以之后被映射到权限。随时间可以自动构建权限映射,其随后可以被用于检测过高特权(overprivilege)。
在一些实施例中,应用行为可以首先在“沙盒”(sandbox)环境(例如与用户设备上的其他软件隔离)中被分析并且之后所请求的权限可以被映射到程序在“正常”操作期间已经做出的函数调用。如果存在app请求但是似乎不需要的权限(例如“天气”app请求访问用户的电子邮件账户),则可以定义将阻止对那些权限的使用的规则。在一些实施例中,用户可能必须在安装期间批准权限以便使app工作。
除此之外,一旦已经确定app应当如何表现,就可以针对如何限制对权限的使用定义规则。这可以实现对可能的恶意app何时通过使用另外的合法app(特权升级)的可能的安全漏洞来试图将其方式“背驮”(piggy-back)到其不应当访问的特定数据中的检测。
上述实施例中的每个可以独立地或组合地来使用。也就是说,例如,用户可以更改已经由开发者设置的或已经自动创建的规则。
在一些实施例中,用户可以被呈现以创建针对仅仅最“危险的”或“有风险的”权限的规则的选项。什么被认为是“危险的”或“有风险的”权限可以本身是用户在任何时间点定义的,或者可以由用户设备自动确定,或者可以由应用开发者确定。这可以加速规则定义过程,因为用户可以被呈现以更少选项。在另一实施例中,权限请求可以根据其感知到的“危险”或“风险”来排序,并且以经排序的方式被呈现给用户,即其中最危险的权限在列表的顶部。“危险的”权限可以例如是位置数据、对电子邮件账户的访问、对文本消息的访问或可能影响用户的隐私的任何权限。此外,可能花费用户的金钱的权限(例如,互联网访问、打电话、发送文本消息、等等)可以被排序为“危险的”。
一旦app运行,app的行为可以在一定时间段上被监测。该时间段可以是app运行的整个时间段。备选地,其可以是较短的时间段。在一些实施例中,行为被定期监测。
因此,根据一些实施例,app的行为或关于app是否仅仅使用已经被授予给其的权限的检查不仅在打开app时检查,而且在运行时间期间在一定时间段上监测行为以检查app是否根据所定义的规则进行操作。这可以防止app从最初根据所定义的规则来运行并且随后在app已经被打开之后违反(contravene)那些规则。
可以在app被启动时通知规则强制执行系统”(rule enforcement system)。此时,可以在“规则数据库”中进行检查以查看针对该app定义的规则,如果在规则数据库中不存在针对该app定义的规则,则在该应用稍后进行需要对特定权限的使用的功能调用时什么也不需要做。然而,如果存在针对该app定义的规则,则强制执行系统将开始监测应用行为。当app进行需要对特定权限的使用的调用时,检查该特定权限是否附带有规则(或多个规则)。如果是的话,则触发针对该app的监测阶段,在一些情况可以即时地做出确定(也就是说,“监测”仅仅覆盖请求权限的时间点)。然而,在许多情况下,感兴趣的是在将权限授予给该应用之后由应用执行的动作,因此在一些实施例中,监测在授予权限之后继续一时段。该时段可以是用户定义的、自动定义的或由app开发者定义的。在一些实施例中,监测时段是应用的整个活动时段。通过举例的方式,如果存在针对上行链路流量的配额(quota),则当“互联网”权限被请求时,对上行链路上发送的数据量的监测可以被开始并被监测所定义的间段。
如果注意到规则的违背(violation),则可以警告(alert)用户。例如,消息可以出现在用户设备的显示器上以警告用户该app可能以可疑方式操作。备选地或另外,诸如振动或声音的不同的警告可以被用于警告用户。在一些实施例中,在应用违反一个或多个规则时自动停止(halt)应用。在另一实施例中,仅仅在违反规则预定次数之后创建警告。
在其中“权限”根据其“危险程度”排序的实施例中,是创建警告还是停止应用可以取决于已经被违反的讨论中的权限的排序和其相关联的规则。例如,应用可以在与高排序权限相关联的规则被违反时立即停止。如果中间或低排序权限和其相关联的规则被违反,则可以仅仅在违反的次数之后警告用户或停止应用。
在一些实施例中,可以在权限的特定组合由应用请求时出现警告或停止应用。例如,规则可以被设置使得在应用同时地或在预定时间段内请求位置信息并尝试访问用户设备存储器时创建警告或停止应用。
可以实时执行规则的强制执行(enforcement)。例如,当应用发出将打破规则的调用时,用户将需要在应用继续之前批准动作。备选地,信息可以简单地被提供给用户(例如“app X已经突破规则Y”),并且使用该信息用户决定是否允许app继续或停止app。以这种方式,基于现有权限的系统的简单性可以得以维持,而规则提供与实际权限强制执行分开的额外的安全级别。
通常在app购买平台上,提供了对应用的某种描述。在一些实施例中,关键字可以从与应用的特征相关的描述中提取。之后可以针对所请求的权限分析该描述以生成可能的规则。例如,如果出于下载音乐的目的广告应用,则互联网的权限可以具有将监测可能的上行链路流量的规则,并且将其通知用户。例如,可以当在上行链路上对应用提供过多数据的情况下提供通知。
图5是示出根据实施例的步骤的流程图。在该实施例中,用户已经进入应用市场或供应商。
在步骤S1处,用户选择要下载的应用。
在步骤S2处,用户能够查看由应用请求的权限。例如,如图4所示的权限的列表被显示给用户。
在步骤S3处,用户可以定义与特定权限相关联的规则,或者可以接受每个权限。这可以在逐个权限的基础上进行,或者用户可以选择一下子接受所有权限。可以以上面描述的方式来定义规则。
在步骤S4处,用户运行应用。
这在步骤S5处开始(initiate)对应用的监测。在此时段期间,监测应用是否违反所定义的规则中的任何规则。
在步骤S6处,在确定应用已经违反规则中的一个或多个规则时警告用户和/或停止应用。
将理解,图5的流程图是仅仅通过举例的方式的。将理解步骤S3可以由用户或由用户设备自动地执行,如以上所讨论的。在其中规则由应用开发者定义的实施例中,步骤S2和S3可以是任选的。如以上所讨论的,定义规则/接受权限的步骤S3可以与应用的下载分开地来执行,即用户可以设置被应用到被下载的任何app的通用规则/权限。
在规则由应用开发者定义的情况下,在一些实施例中开发者可以定义关于该应用如何与其他应用交互的规则。通过举例的方式,应用(app A)能够使一些服务或功能对其他应用(app B)可用。功能能够通过由app A的开发者生成的自定义(custom)权限来保护。该自定义权限能够在操作系统(OS)中如任何其他权限一样被强制执行,或者备选地其能够由app A本身强制执行。
在一些情况下,app A的开发者可能不具有对哪些app被准许使用app A的功能的完全(或任何)控制,尤其是在app A的开发者没有处于授予权限的控制中(终端用户可以具有对权限的控制)的情况下。因此,知晓app A提供的服务的任何app能够将该权限添加到其所请求的权限的列表,并且app A的开发者可以几乎没有或没有对特定app(app B)是否将被授予该权限的控制。因此,在app A的开发者能够定义规则的实施例中,应用B(或任何数量的其他应用)在访问来自应用A的所保护的功能/资源时将需要遵守该规则。也就是说,在这样的实施例中,简单地具有正确的权限可能是不够的,如果权限没有以正确的方式被使用的话,如关于以上所描述的实施例,应用开发者能够定义在规则被打破时发生什么。例如要采取的动作不一定必须总是相同的。例如,对规则的简单打破可以被认为是可接受的,但是在特定时间段内多次违反可能将该应用(应用B)拉入访问资源的“黑名单”。
在图6的流程图中示出了示例。假设用户设备具有被安装在其上的第一应用和第二应用。
在步骤S1处,第一应用从第二应用接收用以访问来自第一应用的信息的请求。
在步骤S2处,做出关于第二应用是否根据规则进行操作的确定。这可以使是预定义规则。该规则可以如以上所讨论的被定义。在一个实施例中,规则由第一应用的开发者定义。然而,规则能够由终端用户定义或由用户设备自动创建。规则可以与第一应用集成或与其“捆绑”(bundle)在一起。在这样的实施例中,规则可以连同第一应用一起被自动安装。
如果第二应用根据规则进行操作,则在步骤S3处,所请求的信息被提供给第二应用。
然而,如果第二应用不是根据规则进行操作,则在步骤S4处,拒绝将信息给予第二应用,或者停止第二应用。
步骤S5示出监测第二应用的行为的额外步骤。在图6中,这被示出为直接从步骤S3之后,但是在其他实施例中该监测可以跟着图6中示出的其他步骤中的任何之后或之前。在一个实施例中,监测由在第一应用处接收到的请求触发,在另一实施例中,第二应用的行为在第一应用处接收到请求之前已经被监测。
当然,将理解图6的实施例仅仅是通过举例的方式并且其他实施例可以包括更多的/更少的步骤。
将理解存在实施例能够以其被实施的各种方式。例如,其能够是用户设备的操作系统的集成部分。也就是说,用户能够经由用户设备上的设置菜单控制权限和相关联的规则。备选地,功能可以本身被提供在能下载到用户设备的app中。在这样的情况下,app开发者可以是讨论中的用户设备的制造商。
一旦应用被下载,权限和/或相关联的规则能够通过进入应用来定义。
将理解一些实施例可以提供额外的安全级别,其能够帮助用户做出关于如何控制被提供给应用的信息的明智的决策,或者甚至独立地阻挡一些可能有害的功能调用。
恰当地适配的一个或多个计算机程序代码产品可以被用于当被下载在例如用于确定基于地理边界的操作和/或其他控制操作的恰当的数据处理装置上时实施实施例。用于提供操作的计算机程序代码可以借助于恰当的载波介质来存储、提供和实现。恰当的计算机程序可以被实现在计算机可读记录介质上。能够经由数据网络下载计算机程序代码产品。总体上,各种实施例可以以硬件或专用电路、软件、逻辑或其任何组合来实施。本发明的实施例可以因此以诸如集成电路模块的各种部件来实践。集成电路的设计大体上是高度自动化的过程。复杂的且强大的软件工具可用于将逻辑级别设计转变成容易被蚀刻并被形成在半导体衬底上的半导体电路设计。
要在本文指出,尽管上文描述了本发明的例证实施例,但是存在可以在不脱离本发明的范围的情况下进行的若干变型和修改。
Claims (10)
1.一种方法,包括:
从第二应用接收用以访问来自第一应用的信息的请求,所述第一应用和所述第二应用被安装在用户设备上,以及
响应于所述请求,确定所述第二应用是否正根据至少一个规则进行操作。
2.根据权利要求1所述的方法,其中所述方法包括当确定所述第二应用正根据所述至少一个规则进行操作时将所述信息提供给所述第二应用。
3.根据权利要求1或权利要求2所述的方法,其中所述方法包括当确定所述第二应用不是正根据所述至少一个规则进行操作时拒绝将所述信息给予所述第二应用。
4.根据任一项前述权利要求所述的方法,其中所述至少一个规则是以下各项中的至少一项:由所述第一应用的开发者定义;由所述用户设备的用户定义;由所述用户设备自动创建。
5.根据任一项前述权利要求所述的方法,其中通过所述第一应用的自定义权限来保护所述信息。
6.根据权利要求5所述的方法,其中所述自定义权限由所述第一应用的开发者创建。
7.根据任一项前述权利要求所述的方法,其中所述至少一个规则与所述第一应用集成。
8.根据任一项前述权利要求所述的方法,其中所述方法包括在一时间段上监测所述第二应用的行为。
9.一种计算机程序,其包括计算机可执行指令,所述计算机可执行指令当运行在一个或多个处理器上时执行根据权利要求1到8中的任一项所述的方法。
10.一种装置,包括:
至少一个处理器;
以及包括计算机程序代码的至少一个存储器,
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少:
从第二应用接收用以访问来自第一应用的信息的请求,所述第一应用和所述第二应用被安装在所述装置上,并且
响应于所述请求,确定所述第二应用是否正根据至少一个规则进行操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910977359.7A CN110717178A (zh) | 2013-10-18 | 2013-10-18 | 用于操作和监测针对电子设备中的应用的权限的方法和系统 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910977359.7A CN110717178A (zh) | 2013-10-18 | 2013-10-18 | 用于操作和监测针对电子设备中的应用的权限的方法和系统 |
CN201380080281.XA CN105659246A (zh) | 2013-10-18 | 2013-10-18 | 用于操作和监测针对电子设备中的应用的权限的方法和系统 |
PCT/IB2013/059452 WO2015056056A1 (en) | 2013-10-18 | 2013-10-18 | Method and system for operating and monitoring permissions for applications in an electronic device |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380080281.XA Division CN105659246A (zh) | 2013-10-18 | 2013-10-18 | 用于操作和监测针对电子设备中的应用的权限的方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110717178A true CN110717178A (zh) | 2020-01-21 |
Family
ID=52827716
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910977359.7A Pending CN110717178A (zh) | 2013-10-18 | 2013-10-18 | 用于操作和监测针对电子设备中的应用的权限的方法和系统 |
CN201380080281.XA Pending CN105659246A (zh) | 2013-10-18 | 2013-10-18 | 用于操作和监测针对电子设备中的应用的权限的方法和系统 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380080281.XA Pending CN105659246A (zh) | 2013-10-18 | 2013-10-18 | 用于操作和监测针对电子设备中的应用的权限的方法和系统 |
Country Status (5)
Country | Link |
---|---|
US (2) | US11218507B2 (zh) |
EP (1) | EP3058500A4 (zh) |
JP (1) | JP2016540287A (zh) |
CN (2) | CN110717178A (zh) |
WO (1) | WO2015056056A1 (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102337990B1 (ko) * | 2014-09-18 | 2021-12-13 | 삼성전자주식회사 | 권한 설정 토큰을 이용하는 전자 장치 |
US10952087B2 (en) | 2015-10-27 | 2021-03-16 | Blackberry Limited | Detecting resource access |
WO2017075088A1 (en) | 2015-10-27 | 2017-05-04 | Blackberry Limited | Detecting resource access |
JP6656388B2 (ja) * | 2016-02-04 | 2020-03-04 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | アクター・マイグレーション |
US9807101B1 (en) * | 2016-04-29 | 2017-10-31 | Oracle International Corporation | Inferring security-sensitive entities in libraries |
CN107317916B (zh) | 2017-05-26 | 2019-09-10 | Oppo广东移动通信有限公司 | 应用控制方法及相关产品 |
US11075946B2 (en) * | 2017-12-19 | 2021-07-27 | T-Mobile Usa, Inc. | Honeypot adaptive security system |
JP7119480B2 (ja) * | 2018-03-23 | 2022-08-17 | 日本電気株式会社 | アプリケーション実行権限管理装置、方法およびプログラム |
CN110062106B (zh) * | 2019-03-27 | 2021-10-15 | 努比亚技术有限公司 | 一种应用程序的调用方法、移动终端及存储介质 |
CN110083465B (zh) * | 2019-04-26 | 2021-08-17 | 上海连尚网络科技有限公司 | 一种寄宿应用间的数据传递方法 |
EP4059249A1 (en) * | 2019-11-15 | 2022-09-21 | Nisha, Krishna Sajesh Kumar | End user privacy protection system and method thereof |
US11736525B1 (en) * | 2020-06-17 | 2023-08-22 | Amazon Technologies, Inc. | Generating access control policies using static analysis |
US11435992B2 (en) * | 2020-08-20 | 2022-09-06 | T-Mobile Usa, Inc. | Communications registry and governance for apps |
CN115221497A (zh) * | 2021-03-29 | 2022-10-21 | 北京小米移动软件有限公司 | 应用的使用权限的设置方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090260052A1 (en) * | 2008-04-11 | 2009-10-15 | Microsoft Corporation | Inter-Process Message Security |
US20090319527A1 (en) * | 2008-06-18 | 2009-12-24 | Oracle International Corporation | Method and apparatus for logging privilege use in a distributed computing environment |
CN102741824A (zh) * | 2009-12-15 | 2012-10-17 | 迈克菲股份有限公司 | 用于行为沙箱化的系统和方法 |
WO2013025785A1 (en) * | 2011-08-15 | 2013-02-21 | Arizona Board Of Regents, For And On Behalf Of, Arizona State University | Systems methods, and media for policy-based monitoring and controlling of applications |
CN103108320A (zh) * | 2011-11-15 | 2013-05-15 | 网秦无限(北京)科技有限公司 | 一种监控移动设备的应用程序的方法和系统 |
Family Cites Families (55)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6799277B2 (en) * | 1998-06-04 | 2004-09-28 | Z4 Technologies, Inc. | System and method for monitoring software |
US6735701B1 (en) * | 1998-06-25 | 2004-05-11 | Macarthur Investments, Llc | Network policy management and effectiveness system |
US7200865B1 (en) * | 2000-12-01 | 2007-04-03 | Sprint Communications Company L.P. | Method and system for communication control in a computing environment |
US7099663B2 (en) | 2001-05-31 | 2006-08-29 | Qualcomm Inc. | Safe application distribution and execution in a wireless environment |
US7502610B2 (en) * | 2002-06-28 | 2009-03-10 | Qualcomm Incorporated | System and method for application management through threshold events |
US20040068502A1 (en) * | 2002-10-02 | 2004-04-08 | Jerome Vogedes | Context information management in a communication device |
WO2004107647A1 (en) * | 2003-05-17 | 2004-12-09 | Microsoft Corporation | Mechanism for evaluating security risks |
US20050183143A1 (en) * | 2004-02-13 | 2005-08-18 | Anderholm Eric J. | Methods and systems for monitoring user, application or device activity |
US7516477B2 (en) * | 2004-10-21 | 2009-04-07 | Microsoft Corporation | Method and system for ensuring that computer programs are trustworthy |
US20060107327A1 (en) | 2004-11-16 | 2006-05-18 | Sprigg Stephen A | Methods and apparatus for enforcing application level restrictions on local and remote content |
CN1976246A (zh) * | 2005-11-28 | 2007-06-06 | 国际商业机器公司 | 允许移动设备预订和获取服务的方法、装置及移动设备 |
US7739731B2 (en) * | 2006-01-09 | 2010-06-15 | Oracle America, Inc. | Method and apparatus for protection domain based security |
US20080016339A1 (en) * | 2006-06-29 | 2008-01-17 | Jayant Shukla | Application Sandbox to Detect, Remove, and Prevent Malware |
US8856859B2 (en) | 2007-02-06 | 2014-10-07 | Blackberry Limited | System and method for setting application permissions |
CN101547202B (zh) * | 2008-03-28 | 2015-06-17 | 三星电子株式会社 | 处理网络上的装置的安全等级的方法和设备 |
US8499063B1 (en) * | 2008-03-31 | 2013-07-30 | Symantec Corporation | Uninstall and system performance based software application reputation |
US9495538B2 (en) * | 2008-09-25 | 2016-11-15 | Symantec Corporation | Graduated enforcement of restrictions according to an application's reputation |
US8533844B2 (en) * | 2008-10-21 | 2013-09-10 | Lookout, Inc. | System and method for security data collection and analysis |
US9235704B2 (en) * | 2008-10-21 | 2016-01-12 | Lookout, Inc. | System and method for a scanning API |
US8984628B2 (en) * | 2008-10-21 | 2015-03-17 | Lookout, Inc. | System and method for adverse mobile application identification |
US20100251369A1 (en) * | 2009-03-25 | 2010-09-30 | Grant Calum A M | Method and system for preventing data leakage from a computer facilty |
US8776218B2 (en) * | 2009-07-21 | 2014-07-08 | Sophos Limited | Behavioral-based host intrusion prevention system |
US8255991B1 (en) | 2009-08-17 | 2012-08-28 | Google Inc. | Computer application pre-permissioning |
US9224146B2 (en) * | 2009-09-30 | 2015-12-29 | The Toronto Dominion Bank | Apparatus and method for point of sale terminal fraud detection |
US20110225649A1 (en) * | 2010-03-11 | 2011-09-15 | International Business Machines Corporation | Protecting Computer Systems From Malicious Software |
US8719804B2 (en) * | 2010-05-05 | 2014-05-06 | Microsoft Corporation | Managing runtime execution of applications on cloud computing systems |
US20150205489A1 (en) * | 2010-05-18 | 2015-07-23 | Google Inc. | Browser interface for installed applications |
US9215548B2 (en) * | 2010-09-22 | 2015-12-15 | Ncc Group Security Services, Inc. | Methods and systems for rating privacy risk of applications for smart phones and other mobile platforms |
US20120209923A1 (en) | 2011-02-12 | 2012-08-16 | Three Laws Mobility, Inc. | Systems and methods for regulating access to resources at application run time |
US9239932B2 (en) * | 2011-02-18 | 2016-01-19 | Telefonaktiebolaget L M Ericsson (Publ) | Secure handling of user related information between web applications |
US8958336B2 (en) * | 2011-03-16 | 2015-02-17 | Verizon Patent And Licensing Inc. | Condition detection by a call session control function (CSCF) |
KR20120133594A (ko) | 2011-05-31 | 2012-12-11 | 에스케이하이닉스 주식회사 | 비휘발성 메모리 장치의 동작방법 |
US8646100B2 (en) * | 2011-06-03 | 2014-02-04 | Apple Inc. | Method for executing an application in a restricted operating environment |
US8650550B2 (en) * | 2011-06-07 | 2014-02-11 | Blackberry Limited | Methods and devices for controlling access to computing resources |
US8763080B2 (en) * | 2011-06-07 | 2014-06-24 | Blackberry Limited | Method and devices for managing permission requests to allow access to a computing resource |
KR20130023656A (ko) * | 2011-08-29 | 2013-03-08 | 주식회사 팬택 | 애플리케이션 접근권한 통제 기능을 갖는 휴대용 다기능 디바이스 및 애플리케이션 접근권한 통제방법 |
US20130067531A1 (en) * | 2011-09-12 | 2013-03-14 | Microsoft Corporation | Access Brokering Based on Declarations and Consent |
US20140032733A1 (en) * | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
US20130097660A1 (en) * | 2011-10-17 | 2013-04-18 | Mcafee, Inc. | System and method for whitelisting applications in a mobile network environment |
US20130097659A1 (en) * | 2011-10-17 | 2013-04-18 | Mcafee, Inc. | System and method for whitelisting applications in a mobile network environment |
US9430641B1 (en) * | 2011-11-03 | 2016-08-30 | Mobile Iron, Inc. | Adapting a mobile application to a partitioned environment |
US8769676B1 (en) * | 2011-12-22 | 2014-07-01 | Symantec Corporation | Techniques for identifying suspicious applications using requested permissions |
US9063964B2 (en) * | 2012-01-04 | 2015-06-23 | Trustgo Mobile, Inc. | Detecting application harmful behavior and grading application risks for mobile devices |
US20130205385A1 (en) * | 2012-02-08 | 2013-08-08 | Microsoft Corporation | Providing intent-based access to user-owned resources |
US9378390B2 (en) * | 2012-03-30 | 2016-06-28 | Nokia Technologies Oy | Method and apparatus for policy adaption based on application policy compliance analysis |
US20130333039A1 (en) * | 2012-06-07 | 2013-12-12 | Mcafee, Inc. | Evaluating Whether to Block or Allow Installation of a Software Application |
US9349015B1 (en) * | 2012-06-12 | 2016-05-24 | Galois, Inc. | Programmatically detecting collusion-based security policy violations |
US8595489B1 (en) * | 2012-10-29 | 2013-11-26 | Google Inc. | Grouping and ranking of application permissions |
US9386463B1 (en) * | 2012-11-19 | 2016-07-05 | Sprint Communications Company L.P. | Application risk analysis |
US9665465B1 (en) * | 2012-11-19 | 2017-05-30 | Amazon Technologies, Inc. | Automated determination of application permissions |
US8850517B2 (en) * | 2013-01-15 | 2014-09-30 | Taasera, Inc. | Runtime risk detection based on user, application, and system action sequence correlation |
KR101739125B1 (ko) * | 2013-02-27 | 2017-05-24 | 한국전자통신연구원 | 모바일 디바이스용 어플리케이션의 권한을 분석하고 위험성을 검출하기 위한 장치 및 방법 |
US9246945B2 (en) * | 2013-05-29 | 2016-01-26 | International Business Machines Corporation | Techniques for reconciling permission usage with security policy for policy optimization and monitoring continuous compliance |
US9098707B2 (en) * | 2013-10-14 | 2015-08-04 | International Business Machines Corporation | Mobile device application interaction reputation risk assessment |
US9729520B2 (en) * | 2014-05-05 | 2017-08-08 | Citrix Systems, Inc. | Facilitating communication between mobile applications |
-
2013
- 2013-10-18 WO PCT/IB2013/059452 patent/WO2015056056A1/en active Application Filing
- 2013-10-18 CN CN201910977359.7A patent/CN110717178A/zh active Pending
- 2013-10-18 EP EP13895606.5A patent/EP3058500A4/en not_active Ceased
- 2013-10-18 JP JP2016524053A patent/JP2016540287A/ja active Pending
- 2013-10-18 CN CN201380080281.XA patent/CN105659246A/zh active Pending
- 2013-10-18 US US15/027,528 patent/US11218507B2/en active Active
-
2021
- 2021-12-01 US US17/539,852 patent/US11689577B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090260052A1 (en) * | 2008-04-11 | 2009-10-15 | Microsoft Corporation | Inter-Process Message Security |
US20090319527A1 (en) * | 2008-06-18 | 2009-12-24 | Oracle International Corporation | Method and apparatus for logging privilege use in a distributed computing environment |
CN102741824A (zh) * | 2009-12-15 | 2012-10-17 | 迈克菲股份有限公司 | 用于行为沙箱化的系统和方法 |
WO2013025785A1 (en) * | 2011-08-15 | 2013-02-21 | Arizona Board Of Regents, For And On Behalf Of, Arizona State University | Systems methods, and media for policy-based monitoring and controlling of applications |
CN103108320A (zh) * | 2011-11-15 | 2013-05-15 | 网秦无限(北京)科技有限公司 | 一种监控移动设备的应用程序的方法和系统 |
Non-Patent Citations (1)
Title |
---|
陆丽娜 等: "计算机操作系统原理与技术 上册", 31 October 1995, 西安交通大学出版社, pages: 195 * |
Also Published As
Publication number | Publication date |
---|---|
JP2016540287A (ja) | 2016-12-22 |
US11218507B2 (en) | 2022-01-04 |
EP3058500A4 (en) | 2018-01-17 |
US20220094716A1 (en) | 2022-03-24 |
US20160248810A1 (en) | 2016-08-25 |
EP3058500A1 (en) | 2016-08-24 |
CN105659246A (zh) | 2016-06-08 |
US11689577B2 (en) | 2023-06-27 |
WO2015056056A1 (en) | 2015-04-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11689577B2 (en) | Method and system for operating and monitoring permissions for applications in an electronic device | |
EP3706022B1 (en) | Permissions policy manager to configure permissions on computing devices | |
US10433235B2 (en) | Method and apparatus for self organizing networks | |
US10320835B1 (en) | Detecting malware on mobile devices | |
EP3039897B1 (en) | Adaptive security indicator for wireless devices | |
US8656465B1 (en) | Userspace permissions service | |
US8621483B2 (en) | Methods, apparatuses and computer program products for provisioning applications to in vehicle infotainment systems with secured access | |
US9066230B1 (en) | Trusted policy and charging enforcement function | |
US20160134630A1 (en) | Open connection manager virtualization at system-on-chip | |
US20130333039A1 (en) | Evaluating Whether to Block or Allow Installation of a Software Application | |
WO2013075412A1 (zh) | 移动终端的安全控制方法及装置 | |
CN104168557A (zh) | 操作系统的升级方法和操作系统的升级装置 | |
CN112534839A (zh) | 用于将电子用户身份模块动态地配置给移动设备的技术 | |
US20160330239A1 (en) | Hacking prevention system for mobile terminal and method therefor | |
EP3016424A1 (en) | Application download notification in hierarchical groups of consumer users of mobile devices | |
CN107005864B (zh) | 用于基于所接收的网络信息来改变网络的方法、装置和系统 | |
US10235525B2 (en) | Application providing server, application setting terminal, application providing system, method of providing application, and program for application providing server | |
WO2017148337A1 (zh) | 终端服务的提供、获取方法、装置及终端 | |
US11778041B1 (en) | Systems and methods for preventing abuse of traffic categories and network slices by applications | |
WO2023048733A1 (en) | Apparatus and method of a scenario-based permission mechanism for access to a restricted resource |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |