TWI512518B - Control method and system of plug - in authority - Google Patents

Control method and system of plug - in authority Download PDF

Info

Publication number
TWI512518B
TWI512518B TW099106910A TW99106910A TWI512518B TW I512518 B TWI512518 B TW I512518B TW 099106910 A TW099106910 A TW 099106910A TW 99106910 A TW99106910 A TW 99106910A TW I512518 B TWI512518 B TW I512518B
Authority
TW
Taiwan
Prior art keywords
service
plug
plugin
server
list
Prior art date
Application number
TW099106910A
Other languages
English (en)
Other versions
TW201131415A (en
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to TW099106910A priority Critical patent/TWI512518B/zh
Publication of TW201131415A publication Critical patent/TW201131415A/zh
Application granted granted Critical
Publication of TWI512518B publication Critical patent/TWI512518B/zh

Links

Landscapes

  • Stored Programmes (AREA)

Description

插件權限的控制方法及系統
本發明關於一種軟體領域,尤其關於一種插件權限的控制方法及系統。
插件是電腦軟體中的一種特殊程式,它不能單獨執行,而必須依賴於某個軟體。很多軟體都有插件,插件有無數種,插件由於其小而精的特點,並且能夠實現該軟體本身不具有的功能,因此在軟體上得到很廣泛的使用。例如在IE中,安裝相關的插件後,WEB瀏覽器能夠直接調用插件程式,用於處理特定類型的檔。通常,我們將插件必須依賴於某個軟體稱之為主機程序。從物理形式上來看,插件包含但不侷限於動態連結程式庫DLL。
插件要實現主機程序不具有的功能,需要使用主機程序提供的諸如提供給插件開發者使用的SDK(Software Development Kit軟體開發套件)等服務。插件是由不同的插件開發者開發的,考慮到其安全性的問題,一種方式是主機程序不開放敏感介面,以主機程序為即時通信軟體來說,一些聯繫人資訊、帳戶資訊、交易記錄、商品列表等敏感介面不開放。這種對插件權限的控制方式大大限制了開放性,因此也侷限了該主機程序能夠開發的應用。
為此,現有的主機程序還提供第二種插件權限的控制方法,包括:首先,為每一服務提供一級別,並將服務級別從高到低進行排序;其次,為每一個插件分配一級別,也將插件級別從高到低進行排序;再次,建立服務級別和插件級別的對應關係,確定哪一級別的插件可以使用哪些級別的服務;然後,當插件請求使用某一服務時,確定該服務的服務級別,判斷該插件具有的插件級別是否能使用該服務級別的服務,若能,則允許使用,否則禁止使用。
第二種插件權限的控制方法能夠根據插件來進行針對性的安全管理和控制。這種方式明顯高於第一種插件權限的控制方法,不僅能為不同的插件開發者提供不同的服務,而且還能兼顧安全性。但是,上述控制方法在實際使用過程中還是存在一些缺陷:
其一:控制的精確度不佳
現有的服務級別一般分為兩級:“高”和“低”。而插件級別也分為兩級:“普通”和“信任”。插件級別為“信任”的插件能使用“高”和“低”所有的服務。在實際使用過程中,同一級的插件對於同一服務級別的服務,要麼能使用,要麼都不能使用,很難達到精確控制插件權限的效果。
其二:容易造成安全隱患
為了使權限控制精度更高一些的話,需要設定更多的服務級別和插件級別。這樣,在對插件設定其插件級別時,其技術人員將其歸為某一級別時,需要審核該插件能夠使用的服務級別,當某一服務級別中的服務有些其能夠使用,有些其不能夠使用,技術人員就只能將該服務級別的所有服務視為該插件不能使用,限制了主機程序能夠開發的應用。並且,技術人員在審核該插件能夠使用的服務級別時如果漏查了該服務級別中不能讓其使用的服務而允許該插件使用該服務級別的話,則使用安全性就大為降低了。
本申請案的目的在於提供一種插件權限的控制方法,以解決現有技術中插件控制權限精準度不夠的技術問題。
本申請案的另一目的在於是提供一種插件權限的控制系統,以解決現有技術中插件控制權限精準度不夠的技術問題。
本申請案提供的第一種插件權限的控制方法,其包括;伺服器上保存包括每個插件可用服務的服務列表在內的使用權項資訊;當主機程序中插件請求使用某一服務時,主機程序所在的用戶端向伺服器發出請求;伺服器處理請求,並將處理結果返回至主機程序所在的用戶端。
本申請案提供的第二種插件權限的控制方法,包括;伺服器上保存包括插件可用之服務的服務列表在內的權限控制資訊;主機程序所在的用戶端從伺服器上獲得插件使用服務權限的相關資訊;主機程序所在用戶端接收到某一插件請求提供服務時,對經過授權的插件查詢其可用之服務的服務列表決定其插件是否使用當前服務。
本申請案提供的第三種插件權限的控制方法,包括;用戶端下載插件可用之服務的服務列表在內的權限控制資訊;主機程序所在用戶端接收到某一插件請求提供服務時,對經過授權的插件查詢其可用之服務的服務列表決定是否將請求發送至伺服器;如果查詢到該插件的可用之服務的服務列表中有該服務,則將該請求上報至伺服器。
上述三個方案權限控制可以在伺服器,也可以在用戶端,也可以是用戶端進行初步判斷後再通過伺服器最後進行權限控制。對應地,本申請案還提供插件權限的控制系統。
一種插件權限的控制方法,用於控制主機程序中插件使用服務權限,包括:
(1)給插件隨機分配一個能夠識別該插件ID的識別密碼;
(2)設置服務列表,服務列表上保存插件ID與其可以使用服務的對應關係;
(3)接收到某一插件攜帶識別密碼來請求提供服務的請求後,根據識別密碼來獲得插件ID;
(4)利用插件ID來查詢服務列表,決定是否允許使用當前請求的服務。
步驟(1)進一步包括:插件ID隨機分配一儲存空間;在該儲存空間上保存插件ID;將儲存空間的位元組位址作為識別密碼。步驟(3)進一步包括:讀出識別密碼,獲得插件ID保存的位元組位址;通過該位元組位址找到插件ID。
一種插件權限的控制方法,用於通過伺服器控制主機程序中插件使用服務權限,其特徵在於,包括:(1)主機程序所在用戶端為插件隨機分配一個能夠識別該插件ID的識別密碼;(2)在伺服器設置服務列表,服務列表上保存插件ID與其可以使用服務的對應關係;(3)主機程序所在用戶端從伺服器下載服務列表;(4)主機程序所在用戶端接收到某一插件攜帶識別密碼來請求提供服務的請求後,根據識別密碼來獲得插件ID;(5)查詢本端的服務列表決定是否允許該插件使用當前請求的服務。
一種插件權限的控制系統,用於控制服務平臺上插件使用服務權限,其特徵在於,包括用於控制插件權限的伺服器,其中,伺服器進一步包括伺服器記憶體和伺服器控制器,伺服器記憶體進一步包括:服務列表儲存單元:用於儲存插件與其可以使用服務的對應關係;授權資訊儲存單元,用於儲存包括識別密碼和插件ID資訊在內的插件資訊;伺服器控制器進一步包括:授權控制單元,用於給插件隨機分配一個能夠識別該插件ID的識別密碼,並將之保存至對應的授權資訊儲存單元;授權判斷單元,用於接收到某一插件請求提供服務時,查詢授權資訊儲存單元確定該插件是否存在插件ID;權限控制單元,用於通過插件ID查看服務列表儲存單元決定是否允許插件使用當前請求的服務,並將處理結果返回至對應的插件。
一種插件權限的控制系統,用於控制插件使用服務權限,其特徵在於,包括用於控制插件權限的伺服器和主機程序所在的用戶端,其中,伺服器進一步包括:服務列表儲存單元:用於儲存服務列表,服務列表上保存插件ID與其可以使用服務的對應關係;用戶端包括:授權控制單元:對允許提供服務的插件進行授權:給插件隨機分配一個能夠識別該插件ID的識別密碼;授權資訊儲存單元,用於儲存授權插件資訊,授權插件資訊包括插件隨機分配一個能夠識別該插件ID的識別密碼資訊;授權判斷單元,用於接收到某一插件請求提供服務時,獲得識別密碼,並查詢授權資訊儲存單元是否能找到插件ID;更新單元,用於建立與伺服器的交互,包括從服務列表儲存單元中下載服務列表。
與現有技術相比,本申請案具有以下優點:首先,本申請案為插件建立各自對應的使用服務資訊,做到針對個體控制插件的使用情況,由此能達到精確控制插件使用服務情況。
其次,本申請案採用為插件分配一識別密碼,並將識別密碼給插件,而不是直接把插件ID給插件,這樣,就有可能避免插件ID被冒用的危險。還有,本申請案採用插件ID儲存的位元組位址做為插件的識別密碼,不僅提高安全性,而且也能節省儲存空間。
以即時通訊軟體作為主機程序為例,來說明本申請案。
實施例1
請參閱圖1,其為一種主機程序上插件權限的控制系統的結構示例圖。該控制系統用於主機程序上插件的服務使用權限控制。它包括主機程序所在用戶端11和伺服器12。用戶端11安裝有主機程序,伺服器12通常是指即時通訊軟體發展商所提供的伺服器。在主機程序上使用的插件可以不使用即時通訊軟體發展商提供的服務,也可以使用即時通訊軟體發展商提供的服務。在本實例中討論的是使用即時通信軟體發展商提供的服務之插件。服務主要是指API介面(Application Program Interface)和web service。API介面主要通過介面函數調用,後者可能通過Http請求完成。
請參閱圖2、圖3,伺服器12進一步包括伺服器記憶體120和伺服器控制器130。伺服器記憶體120包括用於儲存插件與其可以使用服務的對應關係的服務列表儲存單元121、用於儲存敏感服務資訊的敏感資訊儲存單元122、用於儲存授權插件資訊(包括識別密碼和插件ID資訊)的授權資訊儲存單元123、用於儲存插件使用服務情況的使用資訊儲存單元124、用於儲存插件使用服務的使用限制的使用限制儲存單元125。
伺服器控制器130進一步包括:授權控制單元131,用於對允許提供服務的插件進行授權,並保存至對應的授權資訊儲存單元123。在本實例中,授權控制單元131的授權主要是指給插件隨機分配一個能夠識別該插件ID的識別密碼,並將該識別密碼通知插件,然後將識別密碼和插件的對應關係保存在授權資訊儲存單元123中,識別密碼的分配有很多種,本實例可以採用以下方式分配識別密碼:給插件ID隨機分配一儲存空間,在該儲存空間上保存插件ID,並將儲存空間的位元組位址作為識別密碼。
授權判斷單元132,用於接收到某一插件請求提供服務時,查詢授權資訊儲存單元123確定該插件是否是授權插件。請求中包含有識別密碼資訊,授權判斷單元132先要從請求中解析出識別密碼,然後查詢授權資訊儲存單元123獲得對應的插件ID,若能獲得插件ID,則可以認為該插件為授權插件。當採用以儲存空間的位元組位址作為識別密碼時,可以通過該位元組位址找到對應的位置,從中獲得對應的插件ID。
權限控制單元133,用於通過插件ID查看服務列表儲存單元121決定是否允許使用當前請求的服務。
伺服器控制器130還可以包括使用限制判斷單元134,用於在接收到某一插件請求提供服務時,查詢到當前請求的服務屬於該插件允許使用情況後,還進一步判斷是否滿足其使用條件,若否,該插件禁用該服務。
伺服器控制器130還可以包括服務儲存處理單元135,用於將插件使用服務情況儲存在使用資訊儲存單元124中。
伺服器控制器130還可以包括敏感服務控制單元136,用於查找使用資訊儲存單元124和敏感資訊儲存單元122,當敏感服務的使用超過敏感資訊儲存單元122中規定的使用限定(如規定插件使用敏感服務的頻率次數)時,禁用插件。
上述提及的儲存單元可以是物理上記憶體上開闢對應的儲存單元,也可以是邏輯上的儲存單元。上述提及伺服器控制器130上的單元可以是硬體上的物理單元,也可以是邏輯單元,即在控制器(如CPU)執行該些軟體編程來實現的。
針對上述提供的系統結構,本申請案提供了一種主機程序上插件權限的控制方法(請參閱圖4),其包括:
S110:給插件隨機分配一個能夠識別該插件ID的識別密碼,並將該識別密碼通知插件。
給插件分配一個識別密碼,可以是按照隨機演算法分配一個,並且將其進行保存。使用時,即可以憑藉識別密碼找到對應的插件ID。本實例中可以採用以下方式分配識別密碼:給插件ID隨機分配一儲存空間,在該儲存空間上保存插件ID,並將儲存空間的位元組位址作為識別密碼。
S120:伺服器上設置服務列表,服務列表中保存插件ID與其可使用服務的對應關係。
伺服器儲存有插件資訊和服務資訊,伺服器上保存有每個插件可以使用服務的服務列表,該插件和服務列表的對應使用關係可以通過表等形式進行儲存。
當某一插件被授權後,即可在服務列表儲存單元121上增加該插件及與其對應的可以使用的服務。
當某一插件被授權後,還可以設置插件的使用限制,使用限制是包括但不侷限於插件使用某一或某些服務的使用頻率或使用次數。
當某一插件被授權後,還可以設置敏感服務資訊,用於對敏感服務的使用情況作特別的監控。
需要說明的是,S110和S120這兩個步驟,還可以是先執行S120,後執行S110。
S130:某一插件攜帶識別密碼來請求提供服務。插件請求提供服務時,需要攜帶本插件對應的識別密碼、服務等資訊。
S140:接收到該請求後,根據識別密碼來獲得插件ID。
伺服器接收到該請求後,解析出識別密碼,通過授權資訊儲存單元123保存的識別密碼和插件的對應關係即可獲得插件ID。當採用以儲存空間的位元組位址作為識別密碼時,可以通過該位元組位址找到對應的位置,從中獲得對應的插件ID。
S150:查詢服務列表決定是否允許該插件使用當前請求的服務。
在本實例中,伺服器12接收到某一插件請求提供服務時,通過該插件ID來查詢服務列表,若該服務列表中存在該插件ID,則說明該插件為授權插件。再進一步查找該插件ID對應的允許使用服務中有沒有該插件當前請求提供的服務,若有,則允許使用,若沒有,則不允許使用。
在本實例中,若預先設置插件的使用限制,則在伺服器12還需進一步判斷該插件是否滿足其使用限制,若是,則返回該插件禁用該服務的處理結果。
在本實例中,若預先設置敏感服務的使用限制,則在伺服器12判斷該插件滿足其使用條件(即不滿足其使用限制)後,還進一步判斷敏感服務的使用超過敏感資訊儲存單元122中規定的使用限定(如規定插件使用敏感服務的頻率次數),若是,返回插件禁用該服務的處理結果,否則返回插件允許使用服務的處理結果。
當主機程序所提供的服務被刪除/修改/新增時,同步更新插件可用之服務的服務列表。
當用戶向伺服器11提出修改插件服務時,經主機程序開發商同意後,修改服務列表上的插件可以使用的服務。
在本實例中,伺服器12處理所有插件的使用權限判定,這種處理方式是一種集中處理方式,存在的優點是伺服器12集中控制,主機程序開發商能夠完全控制所有插件的使用權限。存在的缺點是對伺服器12的要求很高,而且處理時間上存在一定的延時性。
實施例2
考慮到所有的插件使用服務權限都由伺服器12控制,對伺服器12的要求高且處理時間有一定延時性的缺陷,本申請案又提供了第二種處理方案,即服務列表可設置在用戶端11,也就是說,用戶端11來主要完成插件使用服務的權限控制,這種方式能提高處理效率。
請參閱圖1、圖5、圖6,伺服器12進一步包括伺服器記憶體220和伺服器控制器230。伺服器記憶體220包括用於儲存插件與其可用以使用服務對應關係的服務列表儲存單元221、用於儲存敏感服務資訊的敏感資訊儲存單元222、用於儲存插件使用服務情況的使用資訊儲存單元223、用於儲存插件使用服務的使用限制的使用限制儲存單元224。
伺服器控制器230進一步包括使用資訊處理單元231,用於接收用戶端11發送的插件使用服務情況,並將之儲存在使用資訊儲存單元223。
伺服器控制器230還可以包括敏感服務控制單元232,用於查找使用資訊儲存單元223和敏感資訊儲存單元222,當敏感服務的使用超過敏感資訊儲存單元222中規定的使用限定(如規定插件使用敏感服務的頻率次數)後,禁用插件。
主機程序所在用戶端11,可以進一步包括:用戶端記憶體110,其包括:服務列表儲存單元111,用於儲存插件與其可使用服務對應關係的服務列表;授權資訊儲存單元112,用於儲存授權插件資訊。在本實例中,授權控制單元112給插件隨機分配一個能夠識別該插件ID的識別密碼,並將該識別密碼通知插件,後將識別密碼和插件的對應關係保存在授權資訊儲存單元112中,識別密碼的分配有很多種,本實例可以採用以下方式分配識別密碼:給插件ID隨機分配一儲存空間,在該儲存空間上保存插件ID,並將儲存空間的位元組位址作為識別密碼。
主機程序所在用戶端11還可以把伺服器記憶體220中敏感資訊儲存單元222的資訊下載至本端,還可以將使用限制儲存單元224中的資訊預先下載至本端。並且,用戶端定期向伺服器發出同步請求,使本端的該些資訊與伺服器同步。
用戶端控制器113,其包括:授權控制單元114,用於對允許提供服務的插件進行授權,並保存至對應的授權資訊儲存單元。授權控制單元114的授權是指給插件分配一個識別密碼,可以是按照隨機演算法分配一個,並且將該識別密碼與插件ID的對應關係保存在授權資訊儲存單元112中。使用時,即可以通過授權資訊儲存單元112,並且憑藉識別密碼來找到對應的插件ID。本實例中可以採用以下方式分配識別密碼:給插件ID隨機分配一儲存空間,在該儲存空間上保存插件ID,並將儲存空間的位元組位址作為識別密碼。
授權判斷單元115,用於接收到某一插件請求提供服務時,查詢授權資訊儲存單元確定該插件是否是授權插件。也就是說,接收到插件的請求後,能否從中解析出識別密碼,若否,則該插件是非授權插件。若是,則進一步判斷根據該識別密碼能否從授權資訊儲存單元112中找到對應的插件ID,若是,則該插件是授權插件,否則,該插件是非授權插件。
權限控制單元116,用於查看服務列表儲存單元決定是否允許使用當前請求的服務。
當插件具有使用限定時,用戶端控制器113還可以包括使用限制判斷單元117,用於在接收到某一插件請求提供服務時,查詢到當前請求的服務屬於該插件允許使用的服務後,還進一步判斷是否滿足其使用條件,若否,該插件禁用該服務。
用戶端控制器113還可以包括敏感服務控制單元118,當敏感服務的使用超過敏感資訊儲存單元222中規定的使用限定(如規定插件使用敏感服務的頻率次數)後,禁用插件。
用戶端控制器113還包括更新單元119,用於更新本端資訊與伺服器同步。
上述提及的儲存單元可以是物理上記憶體上開闢對應的儲存單元,也可以是邏輯上的儲存單元。上述提及控制器上的單元可以是硬體上的物理單元,也可以是邏輯單元,即通過軟體編程而通過控制器(如CPU)執行該些軟體編程來實現的。
針對上述提供的系統結構,本申請案提供了一種主機程序上插件權限的控制方法(請參閱圖7),其包括:
S210:主機程序所在用戶端為插件隨機分配一個能夠識別該插件ID的識別密碼,並將該識別密碼通知插件。主機程序所在用戶端可以將授權資訊上報至伺服器。
S220:在伺服器上設置服務列表,服務列表上保存插件ID與其可以使用服務的對應關係。
伺服器儲存有插件資訊和服務資訊,伺服器上保存有每個插件可以使用服務的服務列表,該插件和服務列表的對應使用關係可以通過表等形式進行儲存。
當某一插件被授權後,即可在本端服務列表儲存單元在增加該插件及與其對應可以使用的服務。
當主機程序所提供的服務被刪除/修改/新增時,同步更新插件可以使用服務的服務列表。
當用戶可向伺服器提出修改插件的服務時,經主機程序開發商同意後,修改服務列表中該插件對應的可以使用服務。
需要說明的是,S210和S220這兩個步驟,還可以是先執行S220,後執行S210。
S230:主機程序所在的用戶端從伺服器上獲得插件使用服務權限的相關資訊。
在本實例中,主機程序下載至用戶端後,安裝該軟體的同時還安裝軟體中攜帶有權限控制資訊,該權限控制資訊包括但不侷限於插件可以使用服務的服務列表資訊、插件的ID資訊、敏感服務資訊、插件使用服務的使用條件資訊等。每次在主機程序啟動時,將該些資訊載入至用戶端記憶體中。並且,主機程序所在的用戶端定期至伺服器上下載最近的權限控制資訊,以保證本端的權限控制資訊與伺服器同步。
S240,某一插件攜帶識別密碼來請求提供服務。
插件所在的終端請求提供服務時,需要攜帶識別密碼、請求服務資訊。插件所在的終端可以是主機程序所在用戶端,也可以是其他終端。
S250:主機程序所在用戶端接收到該請求後,根據識別密碼來獲得插件ID。
主機程序所在用戶端接收到某一插件請求提供服務時,先根據識別密碼來獲得插件ID。
S260:查詢本端的服務列表決定是否允許使用當前請求的服務。
在本實例中,用戶端11接收到某一插件請求提供服務時,對經過授權的插件查詢服務列表來判斷該插件是否能夠使用當前服務。
用戶端11對插件進一步判斷當前請求服務是否是其允許使用的服務,若否,則返回該插件禁用該服務的處理結果。
在本實例中,從伺服器11中可以下載有插件的使用限制,在用戶端11判斷該插件是否滿足其使用限制,若是,則返回該插件禁用該服務的處理結果。
在本實例中,從伺服器11中可以下載敏感服務的使用限制,在用戶端11判斷該插件滿足其使用條件時,還進一步判斷敏感服務的使用是否符合使用限定(如規定插件使用敏感服務的頻率次數)後,若是返回插件禁用該服務的處理結果,否則返回插件允許使用服務的處理結果。
S270,主機程序所在用戶端向伺服器上報插件使用服務的使用情況。
伺服器週期性的檢查敏感服務被使用的情況,以及所有服務被使用的頻率;
a)假如有未授權的插件使用了服務則發出警告,執行後續處理,緊急禁用插件;
b)服務端預設某個插件使用服務的頻率或者次數閥值Tmax,然後服務端檢查某個插件對某個服務的使用是否超過此閥值,如果超過則發出警告,則執行後續處理,將此服務從插件的可用服務列表刪除。
插件開發者可以通過向即時通訊軟體發展商申請其所開發的插件需要使用的服務列表,申請成功後此列表將儲存在伺服器;而如果開發者不做特別申請,伺服器將為插件生成一個默認的可用服務列表,而所有可用服務均為普通級別的服務。
理論上通過用戶端來控制插件使用服務之權限,效率非常高。
實施例3
本實施例是在綜合了實施例1和實施例2的優點後,本申請案提出了實施例3。即,首先進行步驟S310,主機程序所在用戶端給插件分配識別密碼,並保存識別密碼和插件ID的對應關係;然後進行步驟S320:伺服器設置服務列表;隨後進行步驟S330:用戶端下載服務列表在內的權限控制資訊,權限控制資訊包括服務列表;接著進行步驟S340,某一插件攜帶識別密碼來請求提供服務。
插件所在的終端請求提供服務時,需要攜帶識別密碼、請求服務資訊。插件所在的終端可以是主機程序所在用戶端,也可以是其他終端。
隨後再進行步驟S350:主機程序所在用戶端接收到該請求後,根據識別密碼來獲得插件ID。
隨後再進行步驟S360:主機程序所在用戶端接收到某一插件請求提供服務時,先通過該插件識別密碼找到插件ID,再通過插件ID查找本端的服務列表,若有對應的服務,則上報至伺服器,若沒有,返回不能使用該服務的處理結果;隨後進行S370:用戶端接收伺服器進一步對其請求進行處理。
伺服器收到該請求後,可如步驟S150一樣處理該請求,並將處理結果返回至以對應的用戶端。
最後進行步驟S380:返回處理結果至插件。
在本實施例中,用戶端可以預先判斷本次插件使用服務的請求是否能被允許,只有將本端判斷被允許的請求發送至伺服器,讓其進行控制處理。這種方式,不僅可以保證權限控制的安全性,而且也能夠提高權限控制的效率。
以上揭示的僅為本發明的幾個具體實施例,但本發明並非侷限於此,任何本領域的技術人員能思之的變化,都應落在本發明的保護範圍內。
11...用戶端
12...伺服器
110...用戶端記憶體
111...服務列表儲存單元
112...授權資訊儲存單元
113...用戶端控制器
114...授權控制單元
115...授權判斷單元
116...權限控制單元
117...使用限制判斷單元
118...敏感服務控制單元
119...更新單元
120...伺服器記憶體
121...服務列表儲存單元
122...敏感資訊儲存單元
123...授權資訊儲存單元
124...使用資訊儲存單元
125...使用限制儲存單元
130...伺服器控制器
131...授權控制單元
132...授權判斷單元
133...權限控制單元
134...使用限制判斷單元
135...服務儲存處理單元
136...敏感服務控制單元
220...伺服器記憶體
221...服務列表儲存單元
222...敏感資訊儲存單元
223...使用資訊儲存單元
224...使用限制儲存單元
230...伺服器控制器
231...使用資訊處理單元
232...敏感服務控制單元
圖1為一種主機程序上插件權限的控制系統的結構示例圖;
圖2為第一實施例中伺服器記憶體的原理結構示意圖;
圖3為第一實施例中伺服器控制器的原理結構示意圖;
圖4為第一實施例中主機程序上插件權限的控制方法流程圖;
圖5為第二實施例中伺服器的原理結構示意圖;
圖6為第二實施例中用戶端的原理結構示意圖;
圖7為第二實施例中主機程序上插件權限的控制方法流程圖;
圖8為第三實施例中主機程序上插件權限的控制方法流程圖。

Claims (12)

  1. 一種插件權限的控制方法,用於控制主機程序中插件使用服務權限,其特徵在於,該方法包括:(1)給插件隨機分配一個能夠識別該插件ID的識別密碼;(2)設置服務列表,服務列表上保存插件ID與其可以使用服務的對應關係;(3)接收到某一插件攜帶識別密碼來請求提供服務的請求後,根據識別密碼來獲得插件ID;以及(4)利用插件ID來查詢服務列表,決定是否允許使用當前請求的服務,其中,如果決定允許該插件使用當前請求的服務,該方法還包括:設置插件使用服務的使用條件;在接收到某一插件請求提供服務時,查詢到當前請求的服務屬於該插件允許使用的服務後,還進一步判斷該服務是否滿足使用條件,若否,該插件禁用該服務,其中,該使用條件為插件使用該服務的頻率或次數之閾值;以及在判斷該插件使用當前請求的服務是否滿足該使用條件時,如果插件使用該服務的頻率或次數超過該閾值,則將該服務從插件對應的服務列表中刪除,否則,重新統計該插件使用該服務的頻率或次數。
  2. 如申請專利範圍第1項所述的方法,其中,步驟 (1)進一步包括:給插件ID隨機分配一儲存空間;在該儲存空間上保存插件ID;以及將儲存空間的位元組位址作為識別密碼。
  3. 如申請專利範圍第2項所述的方法,其中,步驟(3)進一步包括:讀出識別密碼,獲得插件ID保存的位元組位址;以及通過該位元組位址找到插件ID。
  4. 如申請專利範圍第1或2項所述的方法,其中,還包括:設定敏感服務;以及對敏感服務的使用進行監控。
  5. 如申請專利範圍第1或2項所述的方法,其中,還包括:所提供的服務被刪除/修改/新增時,同步更新服務列表。
  6. 一種插件權限的控制方法,用於通過伺服器控制主機程序中插件使用服務權限,其中,包括:(1)主機程序所在用戶端為插件隨機分配一個能夠識別該插件ID的識別密碼;(2)在伺服器設置服務列表,服務列表上保存插件ID與其可以使用服務的對應關係;(3)主機程序所在用戶端從伺服器下載服務列表; (4)主機程序所在用戶端接收到某一插件攜帶識別密碼來請求提供服務的請求後,根據識別密碼來獲得插件ID;以及(5)查詢本端的服務列表決定是否允許該插件使用當前請求的服務,其中,如果決定允許該插件使用當前請求的服務,該方法還包括:設置插件使用服務的使用條件;在接收到某一插件請求提供服務時,查詢到當前請求的服務屬於該插件允許使用的服務後,還進一步判斷該服務是否滿足使用條件,若否,該插件禁用該服務,其中該使用條件為插件使用該服務的頻率或次數之閾值;以及判斷該插件使用當前請求的服務是否滿足該使用條件時,如果插件使用該服務的頻率或次數超過該閾值,則將該服務從插件對應的服務列表中刪除,否則,重新統計該插件使用該服務的頻率或次數。
  7. 如申請專利範圍第6項所述的方法,其中,還包括:主機程序所在用戶端定期更新本端的服務列表,保持與伺服器的服務列表同步。
  8. 如申請專利範圍第7項所述的方法,其中,步驟(1)進一步包括:主機程序所在用戶端給插件ID隨機分配一儲存空間;在該儲存空間上保存插件ID;以及 將儲存空間的位元組位址作為識別密碼。
  9. 如申請專利範圍第8所述的方法,其中,步驟(4)進一步包括:讀出識別密碼,獲得插件ID保存的位元組位址;以及通過該位元組位址找到插件ID。
  10. 如申請專利範圍第7項所述的方法,其中,還包括:主機程序所在用戶端向伺服器發送插件使用服務的資訊;以及伺服器對插件使用服務進行監控。
  11. 一種插件權限的控制系統,用於控制服務平臺上插件使用服務權限,其特徵在於,包括用於控制插件權限的伺服器,其中,伺服器進一步包括伺服器記憶體和伺服器控制器,伺服器記憶體進一步包括:服務列表儲存單元,用於儲存插件與其可以使用服務的對應關係;授權資訊儲存單元,用於儲存包括識別密碼和插件ID資訊在內的插件資訊;伺服器控制器進一步包括:授權控制單元,用於給插件隨機分配一個能夠識別該插件ID的識別密碼,並將之保存至對應的授權資訊儲存單元; 授權判斷單元,用於接收到某一插件請求提供服務時,查詢授權資訊儲存單元確定該插件是否存在插件ID;以及權限控制單元,用於通過插件ID查看服務列表儲存單元決定是否允許插件使用當前請求的服務,並將處理結果返回至對應的插件,其中,如果決定允許該插件使用當前請求的服務,該伺服器控制器經配置以進行以下操作:設置插件使用服務的使用條件;在接收到某一插件請求提供服務時,查詢到當前請求的服務屬於該插件允許使用的服務後,還進一步判斷該服務是否滿足使用條件,若否,該插件禁用該服務,其中該使用條件為插件使用該服務的頻率或次數之閾值;以及在判斷該插件使用當前請求的服務是否滿足該使用條件時,如果插件使用該服務的頻率或次數超過該閾值,則將該服務從插件對應的服務列表中刪除,否則,重新統計該插件使用該服務的頻率或次數。
  12. 一種插件權限的控制系統,用於控制插件使用服務權限,其特徵在於,包括用於控制插件權限的伺服器和主機程序所在的用戶端,其中,伺服器進一步包括:服務列表儲存單元,用於儲存服務列表,服務列表上保存插件ID與其可以使用服務的對應關係;用戶端包括: 授權控制單元,對允許提供服務的插件進行授權,給插件隨機分配一個能夠識別該插件ID的識別密碼;授權資訊儲存單元,用於儲存授權插件資訊,授權插件資訊包括插件隨機分配一個能夠識別該插件ID的識別密碼資訊;授權判斷單元,用於接收到某一插件請求提供服務時,獲得識別密碼,並查詢授權資訊儲存單元是否能找到插件ID;以及更新單元,用於建立與伺服器的交互,包括從服務列表儲存單元中下載服務列表,可供利用插件ID來查詢該服務列表,決定是否允許使用當前請求的服務,其中,如果決定允許該插件使用當前請求的服務,該伺服器的伺服器控制器經配置以進行以下操作:設置插件使用服務的使用條件;在接收到某一插件請求提供服務時,查詢到當前請求的服務屬於該插件允許使用的服務後,還進一步判斷該服務是否滿足使用條件,若否,該插件禁用該服務,其中,該使用條件為插件使用該服務的頻率或次數之閾值;以及在判斷該插件使用當前請求的服務是否滿足該使用條件時,如果插件使用該服務的頻率或次數超過該閾值,則將該服務從插件對應的服務列表中刪除,否則,重新統計該插件使用該服務的頻率或次數。
TW099106910A 2010-03-10 2010-03-10 Control method and system of plug - in authority TWI512518B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW099106910A TWI512518B (zh) 2010-03-10 2010-03-10 Control method and system of plug - in authority

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW099106910A TWI512518B (zh) 2010-03-10 2010-03-10 Control method and system of plug - in authority

Publications (2)

Publication Number Publication Date
TW201131415A TW201131415A (en) 2011-09-16
TWI512518B true TWI512518B (zh) 2015-12-11

Family

ID=50180370

Family Applications (1)

Application Number Title Priority Date Filing Date
TW099106910A TWI512518B (zh) 2010-03-10 2010-03-10 Control method and system of plug - in authority

Country Status (1)

Country Link
TW (1) TWI512518B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040205772A1 (en) * 2001-03-21 2004-10-14 Andrzej Uszok Intelligent software agent system architecture
TW200821929A (en) * 2006-05-03 2008-05-16 Ibm Method and system for run-time dynamic and interactive identification of software authorization requirements and privileged code locations, and for validation of other software program analysis results
TW200825832A (en) * 2006-12-05 2008-06-16 Fineart Technology Co Ltd Controlling module for programs and method for the same
TW200839563A (en) * 2007-03-30 2008-10-01 Fineart Technology Co Ltd An authorization managing method for accessing electronic documents

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040205772A1 (en) * 2001-03-21 2004-10-14 Andrzej Uszok Intelligent software agent system architecture
TW200821929A (en) * 2006-05-03 2008-05-16 Ibm Method and system for run-time dynamic and interactive identification of software authorization requirements and privileged code locations, and for validation of other software program analysis results
TW200825832A (en) * 2006-12-05 2008-06-16 Fineart Technology Co Ltd Controlling module for programs and method for the same
TW200839563A (en) * 2007-03-30 2008-10-01 Fineart Technology Co Ltd An authorization managing method for accessing electronic documents

Also Published As

Publication number Publication date
TW201131415A (en) 2011-09-16

Similar Documents

Publication Publication Date Title
JP5624620B2 (ja) プラグイン権限制御の方法及びシステム
US9420002B1 (en) Authorization server access system
US10257194B2 (en) Distribution of variably secure resources in a networked environment
EP2933973A1 (en) Data protection method, apparatus and system
US9462011B2 (en) Determining trustworthiness of API requests based on source computer applications' responses to attack messages
WO2017016422A1 (zh) 一种基于云的数据库的检测方法和装置
US8898318B2 (en) Distributed services authorization management
US11983266B2 (en) Systems and methods for event-based application control
US11599640B2 (en) Security device and embedded device
CN110855709A (zh) 安全接入网关的准入控制方法、装置、设备和介质
CN104639650A (zh) 一种细粒度分布式接口访问控制方法及装置
CN110069911B (zh) 访问控制方法、装置、系统、电子设备和可读存储介质
CN111400723A (zh) 基于tee扩展的操作系统内核强制访问控制方法及系统
US20070265976A1 (en) License distribution in a packet data network
CN115701019A (zh) 零信任网络的访问请求处理方法、装置及电子设备
CN111988262B (zh) 认证方法、装置及服务器、存储介质
CN112286911B (zh) 数据库管理方法及装置、设备、存储介质
TWI512518B (zh) Control method and system of plug - in authority
CN101770553B (zh) 一种移动终端、以及移动终端中根证书的调用方法
CN114826724A (zh) 数据处理方法、装置、电子设备和存储介质
CN104573519B (zh) 文件扫描方法和系统
US20210044589A1 (en) Access control
US9172717B2 (en) Security-aware admission control of requests in a distributed system
WO2023051582A1 (zh) 虚拟资源信息的同步方法、编排器、电子设备、可读介质
CN112637110B (zh) 检测口令的方法、口令检测设备及存储介质