WO2018001065A1

WO2018001065A1 - 应用的管理方法、装置及系统

Info

Publication number: WO2018001065A1
Application number: PCT/CN2017/087585
Authority: WO
Inventors: 徐进; 姚尧
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-06-27
Filing date: 2017-06-08
Publication date: 2018-01-04
Also published as: CN107545188B; CN107545188A

Abstract

一种应用的管理方法、装置及系统，其中，该方法包括：客户端设备接收用户的请求信息，其中，该请求信息用于向服务器请求对指定应用进行管理的权限，其中，该指定应用为该客户端设备中指定存储空间中的应用（S202）；客户端设备将该请求信息发送到服务器（S204）；该客户端设备接收该服务器依据该请求信息反馈的权限信息，并依据该权限信息对该指定应用进行管理（S206）。如此，解决了相关技术中缺乏对应用权限管理的方法的问题，实时便捷有效地对应用进行了权限管理。

Description

应用的管理方法、装置及系统

技术领域

本申请涉及但不限于通信领域，尤其涉及一种应用的管理方法、装置及系统。

背景技术

随着信息技术发展，各种电子终端已经遍布人们生活各处。电子终端为人们的工作、生活、学习带来了种种便利，随之而来的信息安全、信息管控等问题也正变得日益突出。智能手机为人们的生活带了便利，但是安装在其上的游戏、音视频等，如利用不当可能给孩子成长带来不良影响。工作电脑中安装了许多软件，如不能劳逸结合有效利用，就不能很好的提高工作效率。

针对相关技术中缺乏对应用权限管理的方法的问题，目前还没有有效的解决方案。

发明概述

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本发明实施例提供了一种应用的管理方法、装置及系统，以至少解决相关技术中缺乏对应用权限管理的方法的问题。

根据本申请的一个方面，提供了一种应用的管理方法，包括：客户端设备接收用户的请求信息，其中，所述请求信息用于向服务器请求对指定应用进行管理的权限，其中，所述指定应用为所述客户端设备中指定存储空间中的应用；客户端设备将所述请求信息发送到服务器；所述客户端设备接收所述服务器依据所述请求信息反馈的权限信息，并依据该权限信息对所述指定应用进行管理。

在示例性实施方式中，依据该权限信息对所述指定应用进行管理之前，所述客户端设备依据第一预设规则验证权限信息，在所述权限信息通过验证的情况下，所述客户端设备依据所述权限信息对所述指定应用进行管理。

在示例性实施方式中，在客户端设备将所述请求信息发送到服务器之前，所述方法还包括：所述客户端设备对所述请求信息进行预处理，将所述预处理后的请求信息发送到服务器，其中，所述预处理包括以下之一：采用预设协议封装所述请求信息；采用预设密钥加密所述请求信息。

在示例性实施方式中，在客户端设备接收用户的请求信息之前，所述方法还包括：所述客户端设备接收用户的申请信息，依据所述申请信息在所述客户端设备内创建用于管理应用的指定存储空间。

在示例性实施方式中，所述应用包括以下至少之一：文档、图片、音频文件、视频文件、应用程序。

在示例性实施方式中，所述依据该权限信息对所述指定应用进行管理包括以下至少之一：在所述指定存储空间内添加应用；移除添加到所述指定存储空间的应用；申请使用或禁用所述指定存储空间中的应用，其中，在申请操作所述指定存储空间中应用时，申请对所述应用的部分操作权限；申请使用所述指定存储空间中的应用的开始时间和结束时间中的至少一项；申请设置所述指定存储空间中的应用的操作属性，所述操作属性包括以下至少之一：写入、读取、执行。

本申请实施例还提供了一种应用管理方法，包括：服务器接收客户端设备发送的请求信息，其中，所述请求信息用于向所述服务器请求对指定应用进行管理的权限，其中，所述指定应用为所述客户端设备中指定存储空间中的应用；所述服务器依据预定义规则和权限管理员的输入信息中的至少一项处理所述请求信息得到权限信息；所述服务器将所述权限信息发送到所述客户端设备，以便所述客户端设备依据所述权限信息对所述指定应用进行管理。

在示例性实施方式中，在所述服务器接收客户端设备发送的请求信息之后，所述方法还包括：所述服务器依据第二预设规则验证所述请求信息，在所述请求信息通过验证的情况下，所述服务器依据预定义规则和权限管理员的输入信息中的至少一项处理所述请求信息得到权限信息。

根据本申请的另一个方面，提供了一种应用的管理装置，应用于客户端设备，包括：

第一接收模块，配置为接收用户的请求信息，其中，所述请求信息用于向服务器请求对指定应用进行管理的权限，其中，所述指定应用为所述客户端设备中指定存储空间中的应用；

第一发送模块，配置为将所述请求信息发送到服务器；

管理模块，配置为接收所述服务器依据所述请求信息反馈的权限信息，并依据该权限信息对所述指定应用进行管理。

在示例性实施方式中，所述管理模块还可以配置为在依据该权限信息对所述指定应用进行管理之前，依据第一预设规则验证权限信息，在所述权限信息通过验证的情况下，依据所述权限信息对所述指定应用进行管理。

在示例性实施方式中，所述第一发送模块还可以配置为在将所述请求信息发送到服务器之前，对所述请求信息进行预处理，将所述预处理后的请求信息发送到服务器，其中，所述预处理包括以下之一：

采用预设协议封装所述请求信息；

采用预设密钥加密所述请求信息。

在示例性实施方式中，所述第一接收模块还可以配置为在接收用户的请求信息之前，接收用户的申请信息，依据所述申请信息在所述客户端设备内创建用于管理应用的指定存储空间。

在示例性实施方式中，所述依据该权限信息对所述指定应用进行管理包括以下至少之一：在所述指定存储空间内添加应用；移除添加到所述指定存储空间的应用；申请使用或禁用所述指定存储空间中的应用，其中，在申请操作所述指定存储空间中应用时，申请对所述应用的部分操作权限；申请使用所述指定存储空间中的应用的开始时间和结束时间中的至少一项；申请设置所述指定存储空间中的应用的操作属性，操作属性包括以下至少之一：写入、读取、执行。

本申请实施例还提供了一种应用管理装置，应用于服务器，包括：

第二接收模块，配置为接收客户端设备发送的请求信息，其中，所述请求信息用于向所述服务器请求对指定应用进行管理的权限，其中，所述指定应用为所述客户端设备中指定存储空间中的应用；

处理模块，配置为依据预定义规则和权限管理员的输入信息中的至少一项处理所述请求信息得到权限信息；

第二发送模块，配置为将所述权限信息发送到所述客户端设备，以便所述客户端设备依据所述权限信息对所述指定应用进行管理。

在示例性实施方式中，所述应用可以包括以下至少之一：文档、图片、音频文件、视频文件、应用程序。

在示例性实施方式中，所述处理模块还可以配置为在所述第二接收模块接收客户端设备发送的请求信息之后，依据第二预设规则验证所述请求信息，在所述请求信息通过验证的情况下，依据预定义规则和权限管理员的输入信息中的至少一项处理所述请求信息得到权限信息。

本发明实施例还提供了一种应用的管理系统，包括：客户端设备、服务器；所述客户端设备配置为接收用户的请求信息，其中，所述请求信息用于向所述服务器请求对指定应用进行管理的权限，其中，所述指定应用为所述客户端设备中指定存储空间中的应用；

所述客户端设备配置为将所述请求信息发送到服务器；

所述服务器配置为接收所述客户端设备发送的请求信息；

所述服务器配置为依据预定义规则和权限管理员的输入信息中的至少一项处理所述请求信息得到权限信息；

所述服务器配置为将所述权限信息发送到所述客户端设备；

所述客户端设备配置为接收所述服务器发送的所述权限信息，并依据该权限信息对所述指定应用进行管理。

根据本申请的又一个方面，还提供了一种机器可读介质。该机器可读介质设置为存储用于执行以下步骤的程序代码：客户端设备接收用户的请求信息，其中，所述请求信息用于向服务器请求对指定应用进行管理的权限，其中，所述指定应用为所述客户端设备中指定存储空间中的应用；客户端设备将所述请求信息发送到服务器；所述客户端设备接收所述服务器依据所述请求信息反馈的权限信息，并依据该权限信息对所述指定应用进行管理。

通过本申请实施例，客户端设备向服务器申请对指定应用的管理权限，该指定应用为客户端指定空间存储的应用，客户端设备依据接收到的服务器下发的权限信息，管理指定应用的权限。如此，解决了相关技术中缺乏对应用权限管理的方法的问题，实时便捷有效地对应用进行了权限管理。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是执行本发明实施例的一种应用的管理方法的移动终端的硬件结构框图；

图2是根据本发明实施例的一种应用的管理方法的流程图一；

图3是根据本发明实施例的一种应用的管理方法的流程图二；

图4是根据本发明实施例的一种基于容器的动态权限管控方法的工作流程图；

图5是根据本发明实施例的一种容器应用动态权限管控装置的结构图；

图6是根据本申请示例性实施例的容器应用动态权限管控消息的处理流程图；

图7是根据本申请示例性实施例的特征信息处理模块的框架结构图；

图8是根据本申请示例性实施例的特征信息生成单元的工作流程图；

图9是根据本申请示例性实施例的特征信息提取单元的消息处理流程图；

图10是根据本申请示例性实施例的特征信息审计单元的消息处理流程图；

图11是根据本发明实施例的应用的管理装置的结构框图一；

图12是根据本发明实施例的应用的管理装置的结构框图二。

详述

下文中将参考附图并结合实施例来详细说明本申请。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

实施例一

本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例，图1是执行本发明实施例的一种应用的管理方法的移动终端的硬件结构框图。如图1所示，移动终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器(MCU)或可编程逻辑器件(FPGA)等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，移动终端10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

存储器104可用于存储应用软件的软件程序以及模块，如本发明实施例中的一种应用的管理方法对应的程序指令/模块，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至移动终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络实例可包括移动终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通信。在一个实例中，传输装置106可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通信。

在本实施例中提供了一种运行于上述移动终端或网络架构的一种应用的管理方法，图2是根据本发明实施例的一种应用的管理方法的流程图一，如图2所示，该流程包括如下步骤：

步骤S202，客户端设备接收用户的请求信息，其中，该请求信息用于向服务器请求对指定应用进行管理的权限，其中，该指定应用为该客户端设备中指定存储空间中的应用。需要强调的是，这里的指定存储空间不局限于物理介质的空间含义(比如硬盘存储)，还可以是逻辑意义上的空间含义，比如终端设备桌面上的分类文件夹。

步骤S204，客户端设备将该请求信息发送到服务器；

步骤S206，该客户端设备接收该服务器依据该请求信息反馈的权限信息，并依据该权限信息对该指定应用进行管理。

通过上述步骤，客户端设备接收用户的请求信息，其中，该请求信息用于向服务器请求对指定应用进行管理的权限，其中，该指定应用为该客户端设备中指定存储空间中的应用，客户端设备将该请求信息发送到服务器，该客户端设备接收该服务器依据该请求信息反馈的权限信息，并依据该权限信息对该指定应用进行管理。如此，解决了相关技术中缺乏对应用权限管理的方法的问题，实时便捷有效地对应用进行了权限管理。

在示例性实施方式中，上述步骤的执行主体可以为移动终端或者终端等，但不限于此。

在示例性实施方式中，依据该权限信息对该指定应用进行管理之前，该客户端设备依据第一预设规则验证权限信息，在该权限信息通过验证的情况下，该客户端设备依据该权限信息对该指定应用进行管理。本示例性实施例中的第一预设规则可以是服务器预先设置的规则，或者是管理员设置的权限规则。

在示例性实施方式中，在客户端设备将该请求信息发送到服务器之前，该客户端设备对该请求信息进行预处理，将该预处理后的请求信息发送到服务器，其中，该预处理包括以下之一：采用预设协议封装该请求信息；采用预设密钥加密该请求信息。在客户端设备中的指定存储空间进行存放应用时，客户端设备与服务器有着约定的协议，该协议主要用于对客户端设备和服务器之间交互的信息进行特征化处理；其中，特征化处理，可以包括：规定二者之间的传输协议、二者之间的消息认证方式、消息的加密算法等等。在后续实施例中还会介绍该约定好的协议。

在示例性实施方式中，在客户端设备接收用户的请求信息之前，该客户端设备接收用户的申请信息，该客户端依据该申请信息在该客户端设备内创建用于管理应用的指定存储空间。该客户端内指定存储空间，又叫容器，用于存放文件、应用等。

在示例性实施方式中，该应用包括以下至少之一：文档、图片、音频文件、视频文件、应用程序。在上述实施例中申请的管理应用权限，不局限于应用程序等，还包括对文件、对图片的读写等等。

在示例性实施方式中，该依据该权限信息对该指定应用进行管理包括以下至少之一：在该指定存储空间内添加应用；移除添加到该指定存储空间的应用；申请使用或禁用该指定存储空间中的应用，其中，在申请操作该指定存储空间中应用时，申请对该应用的部分操作权限；申请使用该指定存储空间中的应用的开始时间和结束时间中的至少一项；申请设置该指定存储空间中的应用的操作属性，其中，操作属性包括以下至少之一：写入、读取、执行。在本实施例中，使用应用的开始时间和结束时间，例如对儿童使用智能设备的时间限制；对应用的操作属性，写入、读取、执行等，包括读写文件等等；在申请使用或者禁用指定应用时，可以是该应用的部分操作权限。

图3是根据本发明实施例的一种应用的管理方法的流程图二，如图3所示，该流程包括以下步骤：

步骤S302，服务器接收客户端设备发送的请求信息，其中，该请求信息用于向该服务器请求对指定应用进行管理的权限，其中，该指定应用为该客户端设备中指定存储空间中的应用；

步骤S304，该服务器依据预定义规则和权限管理员的输入信息中的至少一项处理该请求信息得到权限信息；

步骤S306，该服务器将该权限信息发送到该客户端设备，以便该客户端设备依据该权限信息对该指定应用进行管理。

图3记载的方法流程图中的方法步骤，是运行在服务器一侧的。

在示例性实施方式中，该应用包括以下至少之一：文档、图片、音频文件、视频文件、应用程序。

在示例性实施方式中，在该服务器接收客户端设备发送的请求信息之后，该服务器依据第二预设规则验证该请求信息，在该请求信息通过验证的情况下，该服务器依据预定义规则和权限管理员的输入信息中的至少一项处理该请求信息得到权限信息。服务器接收到客户端设备发送的请求信息，依据该与客户端设备预先约定的规则检测该请求信息(比如身份验证等)，然后，再处理该请求信息。

在上述实施例中记载的指定存储空间，又叫容器，位于客户端设备，该容器具备的特征包括：

(1)、用户可以向装置的安全容器添加或移除应用，用户也可以申请使用或禁用容器中的应用；

(2)、装置管控的容器维护一个或多个应用，应用的内容不仅限于文档、图片、文件目录、音频文件、视频文件、应用程序等；

(3)、添加到容器中的应用，在无容器管控端认证情况下，用户无法对应用做操作，操作包括：读、写、执行等；

(4)、用户在申请操作容器应用时，可以申请操作一个或多个应用；

(5)、认证端在答复用户申请时，可以动态修改申请的内容；

(6)、容器的系统资源可以调整，容器的资源独立于系统其他模块，可动态调整。

图4是根据本发明实施例的一种基于容器的动态权限管控方法的工作流程图，用户请求的内容会作为一种事件去处理，处理步骤如下：

步骤S401，用户在客户端申请操作容器。用户可以申请为容器添加应用、移除添加到容器的应用，申请使用或禁用容器中的应用。用户在申请操作容器中应用时，可以选择开通或关闭容器中部分应用的权限；可以附加使用的时间属性，如开始使用时间、使用时长、结束使用时间等；可以设置操作属性，如写入、读取、或者是执行属性等。

步骤S402，客户端设备(Client端)收到用户的请求信息，依据既定的协议，对请求内容做特征化处理。

既定协议涉及如下信息处理：(1)、请求信息的封装格式；(2)、采用消息映射时，消息的映射关系列表；(3)、Client、服务器(Server端)消息认证方式；(4)、特征消息做加密处理时，加密的算法等。

特征信息产生后，会将生成信息发送到信道中。一个发送到Client端的消息记录模块；一个是作为传输信息发送到Server端。

步骤S403，服务器(Server端)在收到Client端发送来的特征数据，并依据Server和Client协商的协议对收到的数据进行解析。基于解析出的特征信息，Server端会做如下消息处理：(1)、身份认证，Server端会验证发送特征消息的Client是否具有请求权限，当Client没有权限时，可选择丢弃请求信息。(2)、采用消息映射时，基于消息的映射关系列表，对请求信息进行反映射；通常，在映射失败时，认为请求认证失败。(3)、特征信息审计；权限管理者在Server端对Client的请求信息进行审计。审计方式可以是采用系统根据设置策略进行的自动审计，也可以采用人工操作的方式进行。Server端的审计内容包括请求的所有内容，包括应用的时间属性、应用的操作属性、应用个数等等；同时支持增加应用。(4)、审计信息操作。Server端完成消息审计后，Server端将得到的权限信息发送到通信模块。将做如下两方面的处理：一方面是供Server的消息记录模块处理审计后的消息；一个是按照既定协议，将得到的权限信息做特征化处理。特征化后，特征消息还会发送到通信模块，并传输给Client。(5)、当Client端初次申请向容器增加管控应用时，Server端会为Client产生一个随机的认证口令，并记录Client的特征信息和认证口令到Server-Client关系列表。Client的特征信息可以是Client的主机名或网络协议(Internet Protocol，简称为IP)，或其他能表征Client 特殊性的标识。(6)、当Client申请向容器添加或移除应用时，Server端会维护Client的应用关系列表。添加应用时，向应用关系列表添加应用及对应的映射ID；移除应用时，从应用关系表中移除对应的条目。

步骤S404，Client端从通信管道收取审计信息。Client端对收取的特征信息进行解析。基于解析出的特征信息，Client端会做如下消息处理：(1)、Server的权限验证。验证发送特征消息的Server是否具有请求权限，当Server端不具有权限时，可选择丢弃请求信息；(2)、进行消息映射时，基于消息的映射关系列表，对请求信息进行反映射；通常，在映射失败时，可认为请求认证失败；(3)、审计后信息操作；Client端提取特征信息后将信息发送到通信模块，供Client的消息记录模块取用；(4)、在认证完成后，Client端将审计信息做成容器应用的调度策略，停止容器开放或禁用认证的应用的权限。

综上所述，图4给出了基于容器的动态权限管控的方法，解决了动态权限申请和认证的过程。用户申请操控容器中应用的部分或全部权限，或不同起止时间、时段、周期、应用属性的权限，审计Server端根据设置策略或者认证方法会调整申请内容。在Server端、Client端双方认证通过后，Client容器管理端才会开放或禁止容器操作。

图5是根据本发明实施例的一种容器应用动态权限管控装置的结构图，如图5所示，该装置部署在电子终端，可以实现基于容器的应用动态权限管控。该管控装置包括Client端和Server端(分别对应于上述实施例中的客户端设备和服务器两侧的装置)。

Client端包括：C501信息交互模块(相当于实施例四中的第一接收模块112的功能和管理模块116的部分功能)、C502特征信息处理模块、C503通信模块(相当于实施例四中的第一发送模块114的部分功能)、C504容器权限控制内核(相当于实施例四中的管理模块116的部分功能)、C505消息记录模块。

Server端包括：S501信息交互模块(相当于实施例四中的第二接收模块122的功能)、S502特征信息处理模块、S503通信模块(相当于实施例四中的第二发送模块126的部分功能)、S504容器权限控制内核(相当于实施例四中的处理模块124的部分功能)、S505消息记录模块。

上述模块的详述如下：

C501信息交互模块，配置为进行Client和用户间的信息交互。用户可以通过该模块向装置请求操作应用，也可以是Client将Server端审计后的信息反馈给用户。

C502特征信息处理模块，配置为处理特征信息。特征信息处理模块的信息分成两块，一个是同信息交互模块交互的信息，一个是同Server端交互的信息。特征信息处理模块会将来自信息交互模块的信息依据一定的协议进行映射和加密。对于同服务端交互的信息，特征信息处理模块会对信息进行加解密，同时会依据解密后的信息进行鉴权操作，只有在鉴权通过的情况下，才会执行接下来的有效操作，如依据策略开放或禁止操作容器应用的权限，向容器增减应用等等操作。

C503通信模块，配置为实现Client内部模块或Client同Server端进行通信。支持RPC(Remote Procedure Call Protocol，远程调用协议)、IPC(Inter-Process Communication，进程间通信)、管道技术等等。

C504容器权限控制内核，是容器权限控制的中枢。它管控所有加入容器的应用，可以依据审计许可的策略开通或禁用应用的使用权限，可以向容器增减应用等等。容器权限控制内核，依据有效的认证信息，制定权限管控策略，对容器内应用的操作属性、使用时长、起止使用时间等进行管控。同时，会对一些超限使用进行预警。

C505消息记录模块，配置为记录容器操作的相关信息。消息记录模块维护容器中应用列表，维护容器应用使用过程中所做的操作信息，维护配置的权限列表，维护调度策略等。消息记录模块处理的信息可以存储在内存、磁盘文件、数据库或其他可固化数据设备。消息记录模块是和数据设备的接口，可以操控数据设备进行增加数据或删除数据。

S501信息交互模块，配置为实现Client端或管理员同Server进行的信息交互。Server端收到Client发送来的信息请求时候，会依据一定的策略将有效的请求信息反馈给管理员。同时，管理员可以通过信息交互模块审计请求信息。

S502特征信息处理模块，配置为处理特征信息。特征信息处理模块的信息分成两块，一个是同信息交互模块交互的信息，一个是同Client端交互的信息。特征信息处理模块会将来自信息交互模块的信息依据一定的协议进行映射和加密。对于同Client端交互的信息，特征信息处理模块会对信息进行加解密，同时会依据解密后的信息进行鉴权操作，只有在鉴权通过的情况下，才会执行接下来的有效操作，如将有效信息通过信息交互模块反馈给管理员，进行权限审计，或者依据默认的权限操作进行默认权限审计。

S503通信模块，配置为实现Server端内部模块或Server同Client端进行通信。支持RPC、IPC、管道技术等等。

S504容器权限控制内核，是容器进行自动权限控制的中枢。支持管理员通过配置权限管控策略，对Client的请求进行自动审计。开通或禁用应用的使用权限，向容器增减应用等等。制定的权限管控策略包括，对Client端容器内应用的操作属性、使用时长、起止使用时间等进行管控。

S505消息记录模块，配置为记录操作的相关信息。消息记录模块维护Client端容器的应用列表，维护容器应用使用过程中所做的操作信息，维护配置的权限列表，维护调度策略等。消息记录模块处理的信息可以存储在内存、磁盘文件、数据库或其他可固化数据设备。消息记录模块是和数据设备的接口，可以操控数据设备进行增加数据或删除数据。

综上所述，图5给出了一种容器管理装置，解决了基于容器的动态权限控制的问题。通过在电子终端安装部署本设备，使用者可以动态申请使用容器内容，认证者可以实现对申请权限的控制。如此，实现了基于容器的动态权限认证问题。

以下是本发明实施例的示例性实施方式，将结合附图，进行详细的阐述。

图6是根据本申请示例性实施例的容器应用动态权限管控消息处理流程图，如图6所示，步骤如下：

步骤S601，用户请求操作容器。用户可以请求向容器中添加或删除应用，申请使用或者禁用应用，申请包括但不限于如下属性：申请操作容器中应用的个数为一个或多个；申请的操作权限包括读取、修改或执行，每个应用的操作权限可以不一样；申请操作应用的开始操作时间、结束操作时间或时间周期，不同应用可以不一致；申请的有效时间可以设置等等。

步骤S602，生成有效的特征信息。容器管理装置在读取来自用户或其他模块的请求后，会先根据C505消息记录模块维护的权限信息进行信息审核，输出初步有效的申请信息。数据通常会依据一定的加密协议被处理成加密数据，以保证数据的安全性。同时，会记录请求信息。

步骤S603，Server端收取特征信息。当收取的特征信息是加密数据时，Server端会先按照一定的解密协议进行解密，提取特征信息。提取的信息通常是以可识别的明文方式展现处理，供后续使用。同时，对提请的Client端进行身份认证，只有认证通过，才会进行后续处理，否则，会丢弃掉本次请求。

步骤S604，特征信息审计。Server端提取特征信息完成后，会依据既定的策略进行信息审计。审计方式可以是Server端持有者通过手动方式进行，也可以是依照S505消息记录模块中记录的既定权限策略进行自动化处理。审计后的信息才是允许Client端容器操作的内容。

步骤S605，对审计后的信息进行处理。处理内容和步骤S602类似。也涉及两部分内容，一个是记录最终审计信息，另一个是对审计信息的加密处理。

步骤S606，Client端进行特征信息提取。收取的特征信息是加密数据时，Client会按照一定的解密协议进行信息解密，提取特征信息。同时，会对提请的Server进行身份认证，只有认证通过，才会进行后续处理，否则，会丢弃掉本次请求，终止操作。

步骤S607，容器根据有效的认证请求处理认证内容。进入容器应用调度管理流程。

综上所述，图6给出了基于容器的动态权限控制的消息处理流程。解决了Client、Server进行动态权限管控过程中信息传递流程问题。无论Server端、Client端是部署在同一终端，还是部署在不同的终端，容器应用权限的动态管控都可以借助上述流程实现。不管是向容器增加、删除应用，还是申请容器中应用的使用权限，都可以基于上述流程实现。

图7是根据本申请示例性实施例的特征信息处理模块的框架结构图，如图7所示，特信息处理模块包括以下单元：特征信息生成单元701、特征信息提取单元702、特征信息审计单元703和鉴权单元704。特征信息处理模块负责处理请求信息。请求信息可以来自用户端，也可以来自装置的其他模块。下面将结合图8、图9、图10对特征信息处理流程做详细说明。

图8是根据本申请示例性实施例的特征信息生成单元的工作流程图，如图8所示，基于特征信息的信息类型、节点的工作模式不同，特征信息产生的工作流程有不同。处理流程如下：

步骤S801，特征信息生成单元获取请求信息。请求信息要么来自C501或S501信息交互模块，此时消息类型为请求(REQUEST)；要么来自C502或S502特征信息处理模块的特征信息审计单元703，此时消息类型为响应(RESPONSE)。消息类型不一样，后续的处理上也有差别。

步骤S802，判断消息类型。

下面将分别论述请求REQUEST和响应RESPONSE类型消息时的处理过程。

情况1，当请求信息为REQUEST消息类型时，处理流程如下：

步骤S803，根据容器中应用的基本关系表修正请求信息。这一步主要是用来处理应用ID的。Client端通常会维护一个容器中应用的基本关系表，表1是根据本申请示例性实施例中的应用的基本关系表。

表1

其中，应用名称是管控装置上用户可视的应用名，应用内容是系统中实际的应用对象，映射ID是Client为添加在容器中的应用设定的唯一的ID值，时间粒度，是指用户可以申请操作应用的最小时间周期。

在向容器添加应用时，Client会向基本关系表添加应用添加一条关系信息。如用户向容器添加“xx课外辅导书”，用户定义应用名称为“My辅导书”，指定辅导书的存储位置“/xx课外辅导书存储位置”，同时Client会为“xx课外辅导书”分配一个唯一的应用ID“201”，用户在申请时候可以设定时间粒度也可以使用默认值“5分钟”。

在申请操作容器中应用时候，会先检索应用基本关系表，检验申请应用的合法性。当检验到所申请的应用不在容器应用基本关系表时，会将所请求应用从请求信息中删除。检验完成，合法的请求信息将输入到下一个步骤S804。

情况2，当请求信息为RESPONSE消息类型时，直接执行步骤S804。

步骤S804，组装有效请求信息。用户的请求可以分为两种，一种是请求操作容器，一种是请求使用容器的应用。因此，组装的有效请求信息格式分为两种，一种是对容器操作的信息格式，如向容器增减应用；一种是请求操作容器中应用的信息格式，如读、写、执行应用等。

在本实施例中定义如下：

请求操作容器请求信息格式为：

操作码+应用ID+应用名称+应用内容

请求操作容器中应用的信息格式为：

操作码+应用ID+开始时间编码+结束时间编码+使用周期编码

一条有效请求信息中，可以包含一条或多条请求操作容器请求信息或请求操作容器中应用的信息。

其中，表2是根据本申请示例性实施例的容器操作对应的操作码对应关系表，如表2所示，容器操作对应的操作码对应关系如下表所示：

表2

操作内容	操作码
读操作	1
写操作	2
执行操作	4
添加应用	8
移除应用	9

通常，读、写、执行操作可以叠加，叠加后的操作码为读、写、执行操作的和。如申请读+写，则对应的操作码为3；申请写+执行操作，则对应的操作码为6；申请读、写、执行操作，对应操作码为7。

应用ID、应用名称、应用内容见容器中应用的基本关系表。

开始时间编码、结束时间编码、使用周期编码是3位时间编码。对应值乘上容器中应用的基本关系表中应用的时间粒度，就是对应的时间。三者间有如下关系：

开始时间编码≤结束时间编码；

开始时间编码、结束时间编码、使用周期编码不全为0；

开始时间编码乘以容器中应用的基本关系表中应用的时间粒度，是申请应用开始执行时间；

结束时间编码乘以容器中应用的基本关系表中应用的时间粒度，是申请应用结束执行时间；

使用周期编码乘以容器中应用的基本关系表中应用的时间粒度，是申请应用使用时间；

开始时间编码、结束时间编码为000时，对起止时间不做限制，时间控制仅使用周期编码有效。

下面结合实际用例对有效请求信息组成做进一步说明。

例如，还以向容器添加“xx课外辅导书”为例说明。表3是根据本申请示例性实施例的修正后的容器关系表，如表3所示，容器关系表修正后的添加信息内容如下：

表3

生成的有效请求信息为：“82015004d00798f855bfc4e66002f007800788bfe59 168f855bfc4e66”。

表4是根据本申请示例性实施例的容器中应用的基本关系表二，如表4所示，有如下表应用内容：

表4

现在假设有效的请求信息如下：

1、申请使用xx Web浏览器，

使用时长：120分钟，

开始时间：12：00(当前时间11：20)，

结束时间：不限制，

使用权限：执行权限；

2、申请使用音乐播放器

使用时长：40分钟，

开始时间：13：10(当前时间11：20)，

结束时间：不限制，

使用权限：执行权限；

3、申请使用Xy辅导书

使用时长：40分钟，

开始时间：不限制，

结束时间：12：40(当前时间11：20)，

使用权限：读、写权限；

则生成的有效请求信息为：“4101008000024 4102022000004 3202000016008”。

步骤S805，加入认证信息表头生成特征信息。加入认证信息表头，用以验证消息的合法性。

在本实施例中，加入的特征信息头为“IP+用户口令”，设定IP为“10.1.1.191”，设定的用户口令为“123456”，则生成的用户表头为“010001001191123456”。接步骤S804例，在添加应用时，生成的特征信息为“01000100119112345682015004d00798f855bfc4e66002f007800788bfe59168f855bfc4e66”。在申请操作容器应用时，生成的特征信息为“01000100119112345641010080 00024 4102022000004 3202000016008”。

步骤S806，特征信息映射，用于对特征进行加密。

在本实施例中，采用将特征信息映射到图片上的方法，对特征信息进行加密。选取一张标准图片，图片格式为bmp，大小为320*256。对选取的图片进行随机模块化。随机算法可设置如下：

x(n+1)＝1-k*x(n)^2，(n≥0，k＜1，x(0)＜1)

将特征信息分成m份，以分成的信息作为加密码，分别和图片块进行异或运算，得出加密的特征信息。

步骤S807，将映射完成的特征信息输入通信信道。通过相关协议，发送特征数据。

图9是根据本申请示例性实施例的特征信息提取单元的消息处理流程图，如图9所示，特征信息提取流程解读如下：

步骤S901，容器动态权限管控装置收取特征信息。

步骤S902，解析收取的特征信息。对于收取得做过映射处理的特征信息，需要依据一定的协议对特征信息进行解析。

上接步骤S806特征信息加密用例，对应的解析方法描述如下。

算取图片加密模块。Server将和Client持有的相同的标准图片进行异或运算，计算出加密码值。然后根据算法：

x(n+1)＝1-k*x(n)^2，(n≥0，k＜1，x(0)＜1)

取用和Client端产生数据端相似的种子k、x(n)，提取出特征信息位置，计算出特征信息。提取特征信息头信息，进行权限验证。特征信息头包括Client的IP和Client和Server的认证口令。Client的IP和口令验证无误，进入下一步骤，否则丢弃该请求。

步骤S903、解析出特征头信息。特征信息头由“IP+用户口令”组成。结合提取出的特征信息，提取出请求信息来源端的IP地址和Client分发的口令。

步骤S904、鉴权。首先验证信息来源的IP地址和请求信息带的IP是否是同一个地址，若不是同一个地址的鉴权失败，若是同一个地址则比对口令。确认端和请求端协商有用户口令。确认端从口令列表查询出确认端和请求端协商的用户口令，同请求信息中的口令进行比对，若比对成功则鉴权通过，否则鉴权失败。

图9中的S904的情况1，身份认证通过。身份认证通过时，作如下处理：

步骤S905，结合应用关系列表反映射特征信息获取请求详情。确认端也同样维护一个请求Client的应用关系列表，表的格式和内容和步骤S904应用关系列表相似。本步骤是根据映射码，解析出对应的请求内容。

步骤S906，将解析出的特征信息详情放入通信信道供后续使用。

图9中的S904的情况2，身份认证未通过。身份认证失败时，作如下处理：

步骤S907，丢弃请求信息。

图10是根据本申请示例性实施例的特征信息审计单元的消息处理流程图，如图10所示，在这一过程中，Server会依据配置策略给用户设置有效的请求回复，或者通过手工审批的方式实现给用户请求进行批复。本流程可表述如下：

步骤S1001，获取请求信息详情。请求信息是特征信息提取单元的处理结果。确认者可以选择是否查看请求信息。当进行人工审计时，确认者需要选择在界面上查看信息以进行请求信息审计。当进行默认策略审计时，确认管理者可以选择查看请求内容。

步骤S1002，审计类型判断。请求信息的审计有两种方式，一种是基于默认方式，即使用Server端维护的Client端的权限审计列表进行默认策略审计；一种是Server端操作者通过在请求信息展示终端进行人工审计。

图10中S1002的情况1，当选择人工审计时，进入步骤S1003人工审计请求信息。

步骤S1003，请求信息在终端展示出来，供人工审计。审计人员可以对显示在终端请求信息进行调整。如调整申请操作的权限，可以拒绝向容器增减应用；可以修改容器应用的操作权限，去除或增加可读、可写或可执行的权限；可以修正容器应用的使用时长；重新编订容器应用的使用顺序，可以指定哪些应用优先使用，哪些应用延后使用；可以修正容器应用的开始使用时间，可以修正容器应用的结束使用时间等等。Server端通过用户请求处理模块重新生成有效的用户请求信息。

步骤S1004，获取审计信息。特征信息审计完成后，审计终端后从终端界面读取审计信息。

步骤S1005，生成有效的用户请求特征信息，特征信息传送到信道。

图10中S1002的情况2，当选择不进行人工审计时，进入步骤S1006，根据默认权限限制列表修正用户请求信息。

步骤S1006，根据默认权限限制列表修正用户请求信息。在确认端，维护一个权限限制列表，表5是根据本申请示例性实施例的权限限制列表。

表5

列表中的应用可以有自己独立的配置(conf)，也可以使用默认的conf。conf的内容格式如下：

……

Permission＝x，r，w #表示应用的执行权限

Period＝120 #表示应用的可用时长

Start＝null #表示应用的可用的起始时间，null表示无限制

End＝22：00 #表示应用的可用的最晚时间，表示22点前可用

Use_time＝10:20 11:00, 14:20 15:00 #表示应用的可用的时段，’,’分割

Unuse_time＝＝19:20 20:00, 21:20 22:00#表示应用不可用的时段，’,’分割

Add_auto＝true； #表述允许自动向容器添加应用；

Delete_auto＝true； #表述允许自动删除容器中的应用；

……

结合步骤S804中的请求信息，如web.conf定义如下：

……

Permission＝x，w #表示应用的执行权限

Period＝60 #表示应用的可用时长

Start＝null #表示应用的可用的起始时间，null表示无限制

End＝22：00 #表示应用的可用的最晚时间，表示22点前可用

Use_time＝10:20 11:00, 12:20 13:00 #表示应用的可用的时段，’,’分割

……

default.conf定义如下：

……

Permission＝x，w，r

Period＝120

Start＝null

End＝22：00

Unuse_time＝10:20 11:00,13:00 14:00

……

则审计后的请求后的有效请求信息如下：

1、申请使用xx Web浏览器，

使用时长：40分钟，

开始时间：12：20，

结束时间：13:00，

使用权限：执行权限；

2、申请使用音乐播放器

使用时长：0分钟，

开始时间：13：10，

结束时间：不限制，

使用权限：执行权限；

3、申请使用Xy辅导书

使用时长：40分钟，

开始时间：不限制，

结束时间：12：40，

使用权限：读、写权限；

将得出的信息结合应用关系列表进行映射，得出有效的请求信息。进入步骤S1005，生成有效的特征信息，特征信息传送到信道。

生成有效的特征信息后，确认端需要对有效的信息进行处理。如当需要向容器添加应用时，确认端需要向自己维护的应用关系列表中写入映射的关系。同时，消息记录模块要记录本次操作内容。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本申请实施例的方法。

实施例二

在本实施例中还提供了一种应用的管理装置，该装置用于实现上述实施例及示例性实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件、硬件、或软件和硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图11是根据本发明实施例的应用的管理装置的结构框图一，该装置应用于客户端设备，如图11所示，该装置包括：

第一接收模块112，配置为接收用户的请求信息，其中，该请求信息用于向服务器请求对指定应用进行管理的权限，其中，该指定应用为该客户端设备中指定存储空间中的应用；

第一发送模块114，与第一接收模块112连接，配置为将该请求信息发送到服务器；

管理模块116，与第一发送模块114连接，配置为接收该服务器依据该请求信息反馈的权限信息，并依据该权限信息对该指定应用进行管理。

在示例性实施方式中，该管理模块116还可以配置为在依据该权限信息对该指定应用进行管理之前，依据第一预设规则验证权限信息，在该权限信息通过验证的情况下，依据该权限信息对该指定应用进行管理。

在示例性实施方式中，该第一发送模块114还可以配置为在将该请求信息发送到服务器之前，对该请求信息进行预处理，将该预处理后的请求信息发送到服务器，其中，该预处理包括以下之一：

采用预设协议封装该请求信息；

采用预设密钥加密该请求信息。

在示例性实施方式中，该第一接收模块112还可以配置为在接收用户的请求信息之前，接收用户的申请信息，依据该申请信息在该客户端设备内创建用于管理应用的指定存储空间。

在示例性实施方式中，该应用可以包括以下至少之一：文档、图片、音频文件、视频文件、应用程序。

在示例性实施方式中，该依据该权限信息对该指定应用进行管理可以包括以下至少之一：在该指定存储空间内添加应用；移除添加到该指定存储空间的应用；申请使用或禁用该指定存储空间中的应用，其中，在申请操作该指定存储空间中应用时，申请对该应用的部分操作权限；申请使用该指定存储空间中的应用的开始时间和结束时间中的至少一项；申请设置该指定存储空间中的应用的操作属性，操作属性包括以下至少之一：写入、读取、执行。

图12是根据本发明实施例的应用的管理装置的结构框图二，该装置应用于服务器，如图12所示，该装置包括：

第二接收模块122，配置为接收客户端设备发送的请求信息，其中，该请求信息用于向该服务器请求对指定应用进行管理的权限，其中，该指定应用为该客户端设备中指定存储空间中的应用；

处理模块124，与第二接收模块122连接，配置为依据预定义规则和权限管理员的输入信息中的至少一项处理该请求信息得到权限信息；

第二发送模块126，与处理模块124连接，配置为将该权限信息发送到该客户端设备，以便该客户端设备依据该权限信息对该指定应用进行管理。

在示例性实施方式中，该处理模块124还可以配置为在该第二接收模块122接收客户端设备发送的请求信息之后，依据第二预设规则验证该请求信息，在该请求信息通过验证的情况下，依据预定义规则和权限管理员的输入信息中的至少一项处理该请求信息得到权限信息。

需要说明的是，上述模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：由同一处理器实现上述模块；或者，由不同的处理器实现上述模块。

实施例三

本发明实施例提供了一种应用的管理系统，包括：客户端设备、服务器；

该客户端设备配置为接收用户的请求信息，其中，该请求信息用于向该服务器请求对指定应用进行管理的权限，其中，该指定应用为该客户端设备中指定存储空间中的应用；

该客户端设备还配置为将该请求信息发送到服务器；

该服务器配置为接收该客户端设备发送的请求信息；

该服务器还配置为依据预定义规则和权限管理员的输入信息中的至少一项处理该请求信息得到权限信息；

该服务器还配置为将该权限信息发送到该客户端设备；

该客户端设备还配置为接收该服务器发送的该权限信息，并依据该权限信息对该指定应用进行管理。

实施例四

本发明实施例提供了一种机器可读介质。在本实施例中，上述机器可读介质可以被设置为存储用于执行以下步骤的程序代码：

S1，客户端设备接收用户的请求信息，其中，该请求信息用于向服务器请求对指定应用进行管理的权限，其中，该指定应用为该客户端设备中指定存储空间中的应用；

S2，客户端设备将该请求信息发送到服务器；

S3，该客户端设备接收该服务器依据该请求信息反馈的权限信息，并依据该权限信息对该指定应用进行管理。

在示例性实施方式中，上述机器可读介质可以被设置为存储用于执行以下步骤的程序代码：

S4，服务器接收客户端设备发送的请求信息，其中，该请求信息用于向该服务器请求对指定应用进行管理的权限，其中，该指定应用为该客户端设备中指定存储空间中的应用；

S5，该服务器依据预定义规则和权限管理员的输入信息中的至少一项处理该请求信息得到权限信息；

S6，该服务器将该权限信息发送到该客户端设备，其中，该客户端设备依据该权限信息对该指定应用进行管理。

在本实施例中，上述机器可读介质可以包括但不限于：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

在本实施例中，处理器可以根据机器可读介质中已存储的程序代码执行上述实施例的方法步骤。

本实施例中的示例可以参考上述实施例及示例性实施方式中所描述的示例，本实施例在此不再赘述。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在机器可读介质(比如，计算机可读介质)上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

以上所述仅为本申请的示例性实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

工业实用性

本申请实施例提供一种应用的管理方法、装置及系统，解决了相关技术中缺乏对应用权限管理的问题，实时便捷有效地对应用进行了权限管理。

Claims

一种应用的管理方法，包括：

客户端设备接收用户的请求信息，其中，所述请求信息用于向服务器请求对指定应用进行管理的权限，其中，所述指定应用为所述客户端设备中指定存储空间中的应用；

所述客户端设备将所述请求信息发送到服务器；

所述客户端设备接收所述服务器依据所述请求信息反馈的权限信息，并依据该权限信息对所述指定应用进行管理。
根据权利要求1所述的方法，在依据该权限信息对所述指定应用进行管理之前，所述方法还包括：所述客户端设备依据第一预设规则验证所述权限信息；

所述依据该权限信息对所述指定应用进行管理，包括：在所述权限信息通过验证的情况下，所述客户端设备依据所述权限信息对所述指定应用进行管理。
根据权利要求1所述的方法，在客户端设备将所述请求信息发送到服务器之前，所述方法还包括：

所述客户端设备对所述请求信息进行预处理，将所述预处理后的请求信息发送到服务器，其中，所述预处理包括以下之一：

采用预设协议封装所述请求信息；

采用预设密钥加密所述请求信息。
根据权利要求1所述的方法，在客户端设备接收用户的请求信息之前，所述方法还包括：

所述客户端设备接收用户的申请信息，依据所述申请信息在所述客户端设备内创建用于管理应用的指定存储空间。
根据权利要求1至4中任一项所述的方法，其中，所述应用包括以下至少之一：文档、图片、音频文件、视频文件、应用程序。
根据权利要求1所述的方法，其中，所述依据该权限信息对所述指定应用进行管理包括以下至少之一：

在所述指定存储空间内添加应用；

移除添加到所述指定存储空间的应用；

申请使用或禁用所述指定存储空间中的应用；

申请使用所述指定存储空间中的应用的开始时间和结束时间中的至少一项；

申请设置所述指定存储空间中的应用的操作属性，其中，所述操作属性包括以下至少之一：写入、读取、执行。
一种应用的管理方法，包括：

服务器接收客户端设备发送的请求信息，其中，所述请求信息用于向所述服务器请求对指定应用进行管理的权限，其中，所述指定应用为所述客户端设备中指定存储空间中的应用；

所述服务器依据预定义规则和权限管理员的输入信息中的至少一项处理所述请求信息得到权限信息；

所述服务器将所述权限信息发送到所述客户端设备，以便所述客户端设备依据所述权限信息对所述指定应用进行管理。
根据权利要求7所述的方法，其中，所述应用包括以下至少之一：文档、图片、音频文件、视频文件、应用程序。
根据权利要求7所述的方法，在所述服务器接收客户端设备发送的请求信息之后，所述方法还包括：

所述服务器依据第二预设规则验证所述请求信息；

所述服务器依据预定义规则和权限管理员的输入信息中的至少一项处理所述请求信息得到权限信息，包括：在所述请求信息通过验证的情况下，所述服务器依据预定义规则和权限管理员的输入信息中的至少一项处理所述请求信息得到权限信息。
一种应用的管理装置，应用于客户端设备，包括：

第一接收模块，配置为接收用户的请求信息，其中，所述请求信息用于向服务器请求对指定应用进行管理的权限，其中，所述指定应用为所述客户端设备中指定存储空间中的应用；

第一发送模块，配置为将所述请求信息发送到服务器；

管理模块，配置为接收所述服务器依据所述请求信息反馈的权限信息，并依据该权限信息对所述指定应用进行管理。
根据权利要求10所述的装置，其中，所述管理模块还配置为在依据该权限信息对所述指定应用进行管理之前，依据第一预设规则验证所述权限信息，在所述权限信息通过验证的情况下，依据所述权限信息对所述指定应用进行管理。
根据权利要求10所述的装置，其中，所述第一发送模块还配置为在将所述请求信息发送到服务器之前，对所述请求信息进行预处理，将所述预处理后的请求信息发送到服务器，其中，所述预处理包括以下之一：

采用预设协议封装所述请求信息；

采用预设密钥加密所述请求信息。
根据权利要求10所述的装置，其中，所述第一接收模块还配置为在接收用户的请求信息之前，接收用户的申请信息，并依据所述申请信息在所述客户端设备内创建用于管理应用的指定存储空间。
根据权利要求10至13中任一项所述的装置，其中，所述应用包括以下至少之一：文档、图片、音频文件、视频文件、应用程序。
根据权利要求10所述的装置，其中，所述管理模块配置为通过以下至少之一方式依据该权限信息对所述指定应用进行管理：

在所述指定存储空间内添加应用；

移除添加到所述指定存储空间的应用；

申请使用或禁用所述指定存储空间中的应用；

申请使用所述指定存储空间中的应用的开始时间和结束时间中的至少一项；

申请设置所述指定存储空间中的应用的操作属性，其中，所述操作属性包括以下至少之一：写入、读取、执行。
一种应用的管理装置，应用于服务器，包括：

第二接收模块，配置为接收客户端设备发送的请求信息，其中，所述请求信息用于向所述服务器请求对指定应用进行管理的权限，其中，所述指定应用为所述客户端设备中指定存储空间中的应用；

处理模块，配置为依据预定义规则和权限管理员的输入信息中的至少一项处理所述请求信息得到权限信息；

第二发送模块，配置为将所述权限信息发送到所述客户端设备，以便所述客户端设备依据所述权限信息对所述指定应用进行管理。
根据权利要求16所述的装置，其中，所述应用包括以下之一：文档、图片、音频文件、视频文件、应用程序。
根据权利要求16所述的装置，其中，所述处理模块还配置为在所述第二接收模块接收客户端设备发送的请求信息之后，依据第二预设规则验证所述请求信息，在所述请求信息通过验证的情况下，依据预定义规则和权限管理员的输入信息中的至少一项处理所述请求信息得到权限信息。
一种应用的管理系统，包括：客户端设备、服务器；

所述客户端设备配置为接收用户的请求信息，其中，所述请求信息用于向所述服务器请求对指定应用进行管理的权限，其中，所述指定应用为所述客户端设备中指定存储空间中的应用；

所述客户端设备配置为将所述请求信息发送到服务器；

所述服务器配置为接收所述客户端设备发送的请求信息；

所述服务器配置为依据预定义规则和权限管理员的输入信息中的至少一项处理所述请求信息得到权限信息；

所述服务器配置为将所述权限信息发送到所述客户端设备；

所述客户端设备配置为接收所述服务器发送的所述权限信息，并依据该权限信息对所述指定应用进行管理。