WO2018072436A1 - 权限管理方法、装置及终端 - Google Patents
权限管理方法、装置及终端 Download PDFInfo
- Publication number
- WO2018072436A1 WO2018072436A1 PCT/CN2017/084917 CN2017084917W WO2018072436A1 WO 2018072436 A1 WO2018072436 A1 WO 2018072436A1 CN 2017084917 W CN2017084917 W CN 2017084917W WO 2018072436 A1 WO2018072436 A1 WO 2018072436A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- application
- specified
- permission
- information
- terminal
- Prior art date
Links
- 238000007726 management method Methods 0.000 title abstract description 56
- 238000000034 method Methods 0.000 claims abstract description 36
- 238000005192 partition Methods 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M1/00—Substation equipment, e.g. for use by subscribers
- H04M1/72—Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
- H04M1/724—User interfaces specially adapted for cordless or mobile telephones
- H04M1/72448—User interfaces specially adapted for cordless or mobile telephones with means for adapting the functionality of the device according to specific conditions
- H04M1/72463—User interfaces specially adapted for cordless or mobile telephones with means for adapting the functionality of the device according to specific conditions to restrict the functionality of the device
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M1/00—Substation equipment, e.g. for use by subscribers
- H04M1/72—Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
- H04M1/724—User interfaces specially adapted for cordless or mobile telephones
- H04M1/72403—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
- H04M1/72406—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by software upgrading or downloading
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M1/00—Substation equipment, e.g. for use by subscribers
- H04M1/72—Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
- H04M1/724—User interfaces specially adapted for cordless or mobile telephones
- H04M1/72403—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
- H04M1/7243—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality with interactive means for internal management of messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M1/00—Substation equipment, e.g. for use by subscribers
- H04M1/72—Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
- H04M1/725—Cordless telephones
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Definitions
- the preset information includes at least one of the following: null data and virtual information different from the terminal information corresponding to the specified right.
- the terminal device may return corresponding preset information or perform a null operation. For example, when the third party application reads at least one of the contact information and the short message information, the terminal device returns no data; when the third party application reads the location information, the terminal device feeds back the virtual location.
- the corresponding application can be guaranteed to operate normally, and the sensitive information of the user is not revealed.
- step 540 virtual information is returned to the module that obtained the dynamic rights license.
- step 710 the application initiates reading sensitive information or operating sensitive permissions in the case of permission dynamic permissions.
Abstract
一种权限管理方法、装置及终端,其中,该方法包括:接收应用获取指定权限的申请,其中,所述指定权限包括允许所述应用获取终端信息的权限;以及在未向所述应用授予所述指定权限的情况下,通知所述应用已经获取所述指定权限。
Description
本公开涉及通信领域,例如,涉及一种权限管理方法、装置及终端。
操作平台的开放性是非常重要的,单从软件开发商角度看,操作平台的开放性有利于软件推广,操作平台不但可以发布产品,还可以发布应用商店,甚至是内嵌在自己产品的小应用商店;从用户角度讲,操作平台的开放性使得软件安装方便,软件的安装和下载不再局限于应用商店、网页和存储卡,多种应用和游戏可以互相推荐。
相关技术中的应用大多都采用原生方式,即由第三方应用申请其所需要的权限,用户来确认是否需要给应用打开对应的权限,如果打开对应的权限,则应用获取该权限,那么针对第三方应用,就会存在用户信息泄露的风险;如果关闭对应的权限,则通知应用无法获取该权限,第三方应用在无法获取自己所需的权限后,即使该权限不是运行必须的,通常也会中断自己的运行。如果用户拒绝一些应用需要的权限,即使这些权限并非是该应用正常运行所需的必要权限,也会提示用户该应用无法运行,必须打开权限。在用户无意识许可或者未经许可的情况下,第三方应用往往在后台读取用户的敏感数据,读取后会上传到应用自己的服务器上,用于多种商业用途,侵犯用户的隐私;或者后台进行数据相关的多种业务,耗费用户的数据流量,吸取用户的费用。
针对相关技术中存在的上述问题,尚未发现有效的解决方案。
发明内容
一种权限管理方法、装置及终端,能够避免相关技术中应用在不适合获取终端信息时无法安装或运行的问题。
一种权限管理方法,包括:
接收应用获取指定权限的申请,其中,所述指定权限包括允许所述应用获取终端信息的权限;以及
在未向所述应用授予所述指定权限的情况下,通知所述应用已经获取所述指定权限。
可选的,所述通知所述应用已经获取所述指定权限之后,所述方法还包括:
在接收到所述应用申请发起获取与所述指定权限对应的终端信息时,向所述应用返回预设信息或执行空操作。
可选的,其中,所述预设信息包括以下至少之一:空数据以及与所述指定权限对应的终端信息不同的虚拟信息。
可选的,在通知所述应用已经获取所述指定权限之前,所述方法还包括:
判断所述应用是否在预设白名单的列表中;以及
在判断所述应用不在预设白名单的列表中时,确定通知所述应用已经获取所述指定权限。
可选的,所述预设白名单包括存储在终端的系统分区中的可拓展标记语言XML格式的文件。
可选的,所述指定权限包括以下至少之一:读取联系人、开启移动数据开关、读取位置信息、读取短信信息以及读取客户识别模块SIM卡信息。
可选的,所述应用包括可安装或运行在终端设备上的第三方应用。
一种权限管理装置,包括:
接收模块,设置为接收应用获取指定权限的申请,其中,所述指定权限包括允许所述应用获取终端信息的权限;以及
通知模块,设置为在未向所述应用授予所述指定权限的情况下,通知所述应用已经获取所述指定权限。
可选的,所述的装置还包括:
返回模块,设置为在所述通知模块根据所述申请通知所述应用已经获取所述指定权限之后,在接收到所述应用申请发起获取与所述指定权限对应的终端信息时,向所述应用返回预设信息或执行空操作。
可选的,所述预设信息包括以下至少之一:空数据以及与所述指定权限对应的终端信息不同的虚拟信息。
可选的,所述的装置还包括:
判断模块,设置为在所述通知模块通知所述应用已经获取所述指定权限之前,判断所述应用是否在预设白名单的列表中;以及
确定模块,设置为在判断所述应用不在预设白名单的列表中时,确定通知所述应用已经获取所述指定权限。
一种权限管理终端,包括处理器,其中,
所述处理器,设置为接收应用获取指定权限的申请,在未向所述应用授予所述指定权限的情况下,根据所述申请通知所述应用已经获取所述指定权限;其中,所述指定权限包括允许所述应用获取终端信息的权限。
可选的,所述处理器还设置为在根据所述申请通知所述应用已经获取所述指定权限之后,在接收到所述应用申请发起获取与所述指定权限对应的终端信息时,向所述应用返回预设信息或执行空操作。
可选的,所述预设信息包括以下至少之一:空数据以及与所述指定权限对应的终端信息不同的虚拟信息。
一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令设置为执行上述方法。
通过权限管理方法、装置及终端,可以使得终端上安装或运行的应用无法获取终端信息,例如终端敏感信息,比如:联系人、短信、位置、SIM卡等信息。通过在未向所述应用授予所述指定权限的情况下,根据应用的申请来通知所述应用已经获取所述指定权限,以使该应用以为已经获取了指定权限,从而保证应用的正常安装或运行,避免了相关技术中应用在未获得权限时不能正常运行的问题,提高了使用应用的安全性,防止用户的敏感信息泄露和费用流失。
此处所说明的附图用来提供对实施例的理解,构成本申请的一部分,示意性实施例及其说明可以解释本公开。在附图中:
图1是实施例1的一种应用权限管理方法的移动终端的硬件结构框图;
图2是实施例1的权限管理方法的流程图;
图3是实施例2的权限管理装置的结构框图一;
图4是实施例2的权限管理装置的结构框图二;
图5是实施例2的权限管理终端的结构框图;
图6是实施例3的权限管理方法的流程图;
图7是实施例3的动态权限申请的处理流程图;以及
图8是实施例3的虚拟权限管理及信息返回的处理流程。
下文中将参考附图并结合实施例来说明以下实施例。在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
本说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
本实施例1所提供的方法实施例可以在移动终端以及计算机终端等运算装置中执行。以权限管理方法运行在移动终端上为例,图1是本实施例的一种应用权限管理方法的移动终端的硬件结构框图。如图1所示,移动终端10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括微处理器(Microcontroller Unit,MCU)或可编程逻辑器件(Field-Programmable Gate Array,FPGA)等处理装置)、设置为存储数据的存储器104、以及具有通信功能的传输装置106。图1所示的结构仅为示意,例如,移动终端10还可包括比图1中所示更多或者更少的组件,或者每个器件具有与图1所示不同的配置。
存储器104可设置为存储应用的软件程序以及模块,如本实施例中的权限管理方法对应的程序指令或模块,处理器102通过运行存储在存储器104内的软件程序以及模块,执行一种或多种功能应用以及数据处理,即实现下述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端10。上述网络可以包括互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106设置为经由一个网络接收或者发送数据。上述的网络可包括
移动终端10的通信供应商提供的无线网络。在一个实例中,传输装置106可包括一个网络适配器(Network Interface Controller,NIC),网络适配器可通过基站与其他网络设备相连,使得传输装置106可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)电路,射频电路设置为通过无线方式与互联网进行通讯。
在本实施例中提供了一种运行于上述移动终端的权限管理方法,图2是本实施例的权限管理方法的流程图,如图2所示,该流程包括如下步骤。
在步骤210中,接收应用获取指定权限的申请,其中,指定权限包括允许应用获取终端信息的权限。
在步骤220中,在未向应用授予指定权限的情况下,通知应用已经获取指定权限。
通过上述步骤,接收应用获取指定权限的申请,其中,指定权限包括允许应用获取终端信息的权限;以及在未向应用授予指定权限的情况下,通知应用已经获取指定权限。在未向应用授予指定权限的情况下,根据应用的申请来通知应用已经获取指定权限,以使该应用可以正常运行,避免了相关技术中应用在未获得权限时不能正常运行的问题,提高了使用应用的安全性,防止了用户的敏感信息泄露和费用流失。
可选地,步骤210和220的执行主体可以为可安装软件的智能终端,如手机、平板电脑以及个人计算机等。本实施例中的应用可以应用于安卓(Android)、IOS和Windows操作系统,应用可以是:应用软件、硬件和系统等。
可选的,本实施例中的指定权限可以为安卓(Android)、IOS、windows等系统中权限,指定权限可以为:读取联系人、开启移动数据开关、读取位置信息、读取短信信息、读取客户识别模块(Subscriber Identification Module,SIM)卡信息、读取账户和密钥信息、以及开启管理者权限等。
可选的,本实施例中的应用包括除操作系统自带软件之外的第三方应用,或可安装或运行在终端设备上的第三方应用,如支付宝、微信、陌陌以及理财通等。应用也可以是操作系统自带的软件,该操作系统包括原生系统和深度定制的系统,如基于安卓系统深度优化、定制和开发的第三方手机操作系统MIUI。
在本实施例的可选实施方式中,通知应用已经获取指定权限的步骤之后,
权限管理方法还包括:在接收到应用申请发起获取与指定权限对应的终端信息时,向应用返回预设信息或执行空操作。可选的,预设信息可以为:与指定权限对应的终端信息不同的虚拟信息、空数据、错误提示以及跳转指示中的至少一种。
根据本实施例,第三方应用在使用该指定权限来获取敏感信息或者敏感操作时,终端设备可以返回对应的预设信息或者执行空操作。比如,第三方应用读取联系人信息和短消息信息中的至少一个时,终端设备返回无数据;第三方应用读取位置信息时,终端设备反馈虚拟位置。通过本实施例的方案,可以保证对应的应用可以正常运行,也不会泄露用户的敏感信息。
在本实施例的可选实施方式中,还可以在终端的系统分区中预置预设白名单,该预设白名单保存了操作系统信任的应用,在信任的软件申请指定权限时,可以允许信任的软件获取指定权限。预设白名单存储于终端设备的系统分区中,以只读的形式对外提供支持。其中,系统分区是终端设备中为操作系统分配的存储空间。
在根据申请通知应用已经获取指定权限之前,还包括:
判断应用是否在预设白名单的列表中;以及
在判断应用不在预设白名单的列表中时,确定根据申请通知应用已经获取指定权限。
可选的,预设白名单以可拓展标记语言(eXtensible Markup Language,XML)格式的文件存储在终端的系统分区中。
通过以上的实施方式的描述,上述实施例的方法可借助软件加通用硬件平台的方式来实现,也可以通过硬件的方式实现。本公开的技术方案本质上可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read-only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟、光盘)中,包括一个或多个指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本公开以上实施例所述的方法。
实施例2
在本实施例中还提供了一种权限管理装置和终端,可以实现上述实施例。如以下所使用的,术语“模块”可以实现预定功能的软件和硬件中的至少一种。
尽管以下实施例所描述的装置可以以软件来实现,也可以以硬件,或者软件和硬件的组合的方式实现。
图3是本实施例的权限管理装置的结构框图,如图3所示,该装置包括:接收模块30和通知模块32。
接收模块30设置为接收应用获取指定权限的申请,其中,指定权限包括允许应用获取终端信息的权限。
通知模块32设置为在未向应用授予指定权限的情况下,通知应用已经获取指定权限。
可选的,本实施例中的指定权限可以为安卓(Android)、1OS、windows等操作系统中的权限,指定权限可以为:读取联系人、开启移动数据开关、读取位置信息、读取短信信息、读取SIM卡信息、读取账户和密钥信息以及开启管理者权限中的至少一种。
可选的,本实施例中的应用包括除操作系统自带的软件之外的第三方应用,或可安装或运行在终端设备上的第三方应用,如支付宝、微信、陌陌以及理财通中的至少一种。应用也可以是操作系统自带的软件,该操作系统可以包括原生系统和深度定制的系统,如基于安卓系统深度优化、定制和开发的第三方手机操作系统MIUI。
可选的,如图4所述,权限管理装置还包括:返回模块34。返回模块34设置为在通知模块32根据申请通知应用已经获取指定权限之后,在接收到应用申请发起获取与指定权限对应的终端信息时,向应用返回预设信息或执行空操作。可选的,预设信息包括以下至少之一:空数据以及与指定权限对应的终端信息不同的虚拟信息。
可选的,如图4所述,权限管理装置还包括:判断模块36和确定模块38。判断模块36设置为在通知模块32根据申请通知应用已经获取指定权限之前,判断应用是否在预设白名单的列表中。确定模块38设置为在判断应用不在预设白名单的列表中时,确定根据申请通知应用已经获取指定权限。
图5是本实施例的权限管理终端的结构框图,如图5所示,权限管理终端包括处理器40。处理器40设置为接收应用获取指定权限的申请,在未向应用授予指定权限的情况下,根据申请通知应用已经获取指定权限。该处理器可以是
中央处理器(Central Processing Unit,CPU)、微处理器或者协助处理器等。
可选的,处理器40还设置为在根据申请通知应用已经获取指定权限之后,在接收到应用申请发起获取与指定权限对应的终端信息时,向应用返回预设信息或执行空操作。
可选的,预设信息包括以下至少之一:空数据以及与指定权限对应的终端信息不同的虚拟信息。
上述多个模块是可以通过软件或硬件来实现的。硬件实现方式中,上述模块均位于同一处理器中,或者,上述多个模块以任意组合的形式分别位于至少两个处理器中。
实施例3
本实施例是一可选实施例,结合特定的场景和示例对本实施例进行详细说明。
本实施例提出了一种动态权限管理的方法,可以针对第三方应用(如,应用软件),添加一个动态权限管理列表,凡是在管理列表中的权限,同时该第三方应用没有存在于动态管控白名单中,一旦第三方应用申请动态权限管理列表中的权限,无论用户是否允许,都可以通知第三方应用已经获取到申请的权限。在第三方应用获取敏感信息或者敏感操作时,可以返回对应的虚拟信息或者空数据。比如,第三方应用读取联系人信息和短消息信息中的至少一个,终端可以返回无数据;第三方应用读取位置信息,终端可以反馈虚拟位置,保证对应的应用可以正常运行,也不会泄露用户的敏感信息。
本实施例的动态权限管理的方法包括以下步骤。
在步骤1中,建立动态权限管理列表,这个权限列表可以以XML格式的文件进行保存,存储于设备的系统分区中,以只读的形式对外提供信息。
在步骤2中,在应用申请权限时,判断应用是否是第三方应用,如果应用是第三方应用,则跳转到步骤3。
在步骤3中,判断应用是否处于预设白名单中,如果应用位于预设白名单中,则不进行动态权限管控;如果应用未位于预设白名单中,无论用户是否允许该管控权限,都可以通知应用已经许可该权限。
在步骤4中,在应用使用该权限进行信息读取或者操作的时候,根据操作
的类型反馈对应的虚拟信息或者空信息。比如:应用查询终端的联系人数据,则终端可以返回空的信息列表,使应用认为该终端无联系人信息,或者应用查询终端的位置信息时,可以构建一个虚拟的经纬度或者所在移动小区的虚拟信息,应用可以正常获取信息,但是获取的信息是非准确的信息,防止隐私信息泄露。
采用结构化查询语言(Structured Query Language,SQL)从数据库中检索数据后,检索结果放在内存的一块区域中,且检索结果往往是一个含有多个记录的集合,游标允许用户在SQL服务器(server)数据库内逐行地访问这些记录。应用查询终端的联系人数据时,应用可以采用游标机制查询检索结果,终端可以将空的游标对象提供给应用。
与相关技术相比,本实施例的方案至少具有以下特点:即使用户不授予应用特定的权限,应用也可以正常的运行,可以防止用户的敏感信息泄露和费用流失。
本实施例提供一种应用动态权限管理方法的终端。该终端包括:动态权限管理模块、权限申请管理模块和虚拟权限管理模块。
动态权限管理模块设置为建立动态权限的管理列表,并且以XML格式将动态权限的管理列表存储于设备的系统分区。
权限申请管理模块设置为处理应用的权限申请,分辨应用是否是第三方应用;如果应用是第三方应用,判断该应用是否处于预设白名单中;如果应用位于预设白名单中,则不进行动态权限管控;如果应用未位于预设白名单中,无论用户是否允许该管控权限,向应用返回权限许可。
虚拟权限管理模块设置为向获取动态权限许可的模块反馈虚拟信息。虚拟权限管理模块可以判断用户进行的操作,比如读取联系人、短信、或者位置信息等,根据用户的操作返回相应的虚拟信息结果。
图6是本实施例的权限管理方法的流程图。
在步骤510中,应用申请所需要的权限。应用可以将自己所需的全部权限一次性申请出来。
在步骤520中,处理应用的权限申请,分辨应用是否是第三方应用,判断该应用是否处于预设白名单中,区分应用申请的权限是否属于动态权限管理的
范畴。
在步骤530中,如果应用申请的权限需要管控,向第三方应用返回权限许可。
在步骤540中,向获取动态权限许可的模块返回虚拟信息。
图7是本实施例的动态权限申请的处理流程。
在步骤610中,接收到应用的权限申请。
在步骤620中,判断该应用是否为第三方应用,如果应用是第三方应用,则跳转到步骤630,如果应用不是第三方应用,跳转到步骤680。
在步骤630中,判断该应用是否存在于动态权限管理白名单中,如果该应用存在于动态权限管理白名单中,则跳转到步骤680,如果该应用不存在于动态权限管理白名单中,跳转到步骤640。
在步骤640中,过滤该应用申请的所有权限,比如:读取联系人、开通数据以及读取位置信息中的至少一个。
在步骤650中,判断该应用申请的权限是否属于动态管理列表中的权限。
在步骤660中,如果该应用申请的权限属于动态管控的权限,则向应用返回动态许可。
在步骤670中,如果该应用申请的权限不属于动态管控的权限,则返回用户选择的权限开通结果。
在步骤680:默认允许该应用所申请的所有权限。
在步骤690:通知该应用申请的权限结果。
图8是本实施例的虚拟权限管理及信息返回的处理流程。
在步骤710中,应用在权限动态许可的情况下,发起读取敏感信息或者操作敏感权限。
在步骤720中,终端过滤用户读取的信息或者开关权限,比如联系人信息、短信信息、位置信息等信息,或者是打开移动数据等操作。
在步骤730中,终端在对应的操作接口中,反馈空信息或者构建虚拟信息,如果用户操作是敏感权限操作,则返回空信息,不进行对应的操作。比如:返
回空的联系人信息列表、构建虚拟的位置信息,或者在打开移动数据开关时,不发起数据通话(data call)等等。
本实施例是动态许可的处理流程实施例。
在安卓(Android)M版本及其之后的版本,所有第三方应用在安装时不会再授予任何权限,而是需要应用在运行时动态的申请权限,下面将以支付应用(支付宝)的第一次启动过程为例,来说明动态许可的处理流程。
支付宝应用在第一次运行时会申请获取用户位置信息的权限。
由于支付宝属于第三方应用,所以终端会提示用户是否允许支付宝获取用户位置信息。相关技术中,如果用户拒绝该权限,可能导致支付宝应用无法运行。在本实施例中,无论用户是否拒绝了该权限,在系统框架的返回结果中,都可以通知支付宝申请的权限被许可,可以保证支付宝应用正常启动。如果用户在系统设置的应用管理中查看,这个应用的权限可以是按照用户选择的结果进行呈现,如果用户之前拒绝授予该应用权限,这个权限在界面上可以表现为拒绝,如果用户之前授予该应用权限,则界面上可以表现为允许。在系统框架中可以添加除了拒绝和允许外的第三种状态,这种状态可以不呈现给用户。
以上过程就是本实施例的动态许可的处理流程。
本实施例提供虚拟权限构建的处理流程。
在第三方应用申请的敏感权限被标识为动态许可后,在应用用到这个权限获取信息的时候,终端设备可以构建虚拟信息。
下面以支付宝为例,说明构建虚拟信息的三种实施方式。
支付宝应用申请的短信和彩信读取权限被标识为动态许可后,在该应用需要读取短信和彩信内容时,在平台框架中,可以通过应用的进程标识(Identification,ID)或者用户标识(User Identification,UID)判断该应用是否为动态权限管理列表中的应用。在支付宝应用的应用进程读取短信数据库时,终端可以重新构建和分配一个空的游标(Cursor)对象,并将该空的游标对象返回给该应用进程。应用进程在获取到这个游标(Cursor)对象后,读取游标(Cursor)对象中的信息,检测到游标(Cursor)对象中的信息内容为空,应用认为当前终端(如手机)上没有接收到任何短消息,继续执行后面的流程,防止应用读取用户短信数据库中的信息。
以上流程中提到的空的游标(Cursor)对象中的信息构建过程中,可以新建(new)一个游标(Cursor)对象,对象中的内容为空。
支付宝应用申请的位置权限被标识为动态许可后,在平台框架给该应用上报手机的位置信息时,可以通过重新构建和分配一个随机经纬度的位置(Location)信息来替代包含终端的经纬度的位置信息,其中位置(Location)对象是平台提供的一个数据类,在构建位置(Location)信息时,可以新建(new)一个位置(Location)对象,将位置(Location)对象中的经纬度变量等信息填写为随机值,并将新建的位置对象反馈给该应用。
支付宝应用申请的移动数据开关权限被标识为动态许可后,当应用主动打开移动数据时,可以在平台接口中通过应用的进程ID或者UID判断该应用是否是被动态权限管理的应用,如果该应用是被动态权限管理的应用,则可以在平台打开移动数据的接口中,返回操作成功,可以不发起数据通话(data call)。
实施例4
本实施例提供了一种存储介质。可选地,在本实施例中,上述存储介质可以被设置为存储设置为执行以下步骤的程序代码:
接收应用获取指定权限的申请,其中,指定权限包括允许应用获取终端信息的权限;以及
在未向应用授予指定权限的情况下,通知应用已经获取指定权限。
可选地,在本实施例中,上述存储介质可以包括U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、移动硬盘、磁碟或者光盘等多种可以存储程序代码的介质。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行接收应用获取指定权限的申请,其中,指定权限包括允许应用获取终端信息的权限。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行在未向应用授予指定权限的情况下,通知应用已经获取指定权限。
可选地,本实施例中的示例可以参考上述实施例及可选实施方式中所描述的示例。
上述实施例的模块或步骤可以用通用的计算装置来实现,它们可以集中在
单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,可以将它们存储在存储装置中由计算装置来执行,并且在一些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成多个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。
本公开提供的权限管理方法、装置及终端,避免了相关技术中应用在未获得权限时不能正常运行的问题,提高了使用应用的安全性,防止用户的敏感信息泄露和费用流失。
Claims (15)
- 一种权限管理方法,包括:接收应用获取指定权限的申请,其中,所述指定权限包括允许所述应用获取终端信息的权限;以及在未向所述应用授予所述指定权限的情况下,通知所述应用已经获取所述指定权限。
- 根据权利要求1所述的方法,所述通知所述应用已经获取所述指定权限之后,所述方法还包括:在接收到所述应用申请发起获取与所述指定权限对应的终端信息时,向所述应用返回预设信息或执行空操作。
- 根据权利要求2所述的方法,其中,所述预设信息包括以下至少之一:空数据以及与所述指定权限对应的终端信息不同的虚拟信息。
- 根据权利要求1所述的方法,在通知所述应用已经获取所述指定权限之前,所述方法还包括:判断所述应用是否在预设白名单的列表中;以及在判断所述应用不在预设白名单的列表中时,确定通知所述应用已经获取所述指定权限。
- 根据权利要求4所述的方法,其中,所述预设白名单包括存储在终端的系统分区中的可拓展标记语言XML格式的文件。
- 根据权利要求1至5任一项所述的方法,其中,所述指定权限包括以下至少之一:读取联系人、开启移动数据开关、读取位置信息、读取短信信息以及读取客户识别模块SIM卡信息。
- 根据权利要求1至5任一项所述的方法,其中,所述应用包括可安装或运行在终端设备上的第三方应用。
- 一种权限管理装置,包括:接收模块,设置为接收应用获取指定权限的申请,其中,所述指定权限包括允许所述应用获取终端信息的权限;以及通知模块,设置为在未向所述应用授予所述指定权限的情况下,通知所述应用已经获取所述指定权限。
- 根据权利要求8所述的装置,还包括:返回模块,设置为在所述通知模块根据所述申请通知所述应用已经获取所述指定权限之后,在接收到所述应用申请发起获取与所述指定权限对应的终端信息时,向所述应用返回预设信息或执行空操作。
- 根据权利要求9所述的装置,其中,所述预设信息包括以下至少之一:空数据以及与所述指定权限对应的终端信息不同的虚拟信息。
- 根据权利要求8所述的装置,还包括:判断模块,设置为在所述通知模块通知所述应用已经获取所述指定权限之前,判断所述应用是否在预设白名单的列表中;以及确定模块,设置为在判断所述应用不在预设白名单的列表中时,确定通知所述应用已经获取所述指定权限。
- 一种权限管理终端,包括处理器,其中,所述处理器,设置为接收应用获取指定权限的申请,在未向所述应用授予所述指定权限的情况下,根据所述申请通知所述应用已经获取所述指定权限;其中,所述指定权限包括允许所述应用获取终端信息的权限。
- 根据权利要求12所述的终端,其中,所述处理器还设置为在根据所述申请通知所述应用已经获取所述指定权限之后,在接收到所述应用申请发起获取与所述指定权限对应的终端信息时,向 所述应用返回预设信息或执行空操作。
- 根据权利要求13所述的终端,其中,所述预设信息包括以下至少之一:空数据以及与所述指定权限对应的终端信息不同的虚拟信息。
- 一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令设置为执行权利要求1-7中任一项的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610921884.3A CN107979684A (zh) | 2016-10-21 | 2016-10-21 | 权限管理方法、装置及终端 |
| CN201610921884.3 | 2016-10-21 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2018072436A1 true WO2018072436A1 (zh) | 2018-04-26 |
Family
ID=62003915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2017/084917 WO2018072436A1 (zh) | 2016-10-21 | 2017-05-18 | 权限管理方法、装置及终端 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN107979684A (zh) |
| WO (1) | WO2018072436A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109583178A (zh) * | 2018-10-09 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种会议协同参与方法及系统 |
| CN109740343A (zh) * | 2018-12-29 | 2019-05-10 | 百度在线网络技术(北京)有限公司 | 应用的权限控制方法和装置 |
| CN110210206A (zh) * | 2019-05-28 | 2019-09-06 | 维沃移动通信有限公司 | 一种权限管理方法及终端 |
| CN111209559A (zh) * | 2019-12-23 | 2020-05-29 | 东软集团股份有限公司 | 应用程序的权限处理方法、装置、存储介质和电子设备 |
| CN112651040A (zh) * | 2020-12-15 | 2021-04-13 | 中国银联股份有限公司 | 权限申请方法、组件、装置及计算机可读存储介质 |
| CN113127367A (zh) * | 2021-04-29 | 2021-07-16 | 东北大学 | Android动态权限申请的缺陷检测方法 |
| CN113268185A (zh) * | 2021-05-31 | 2021-08-17 | 维沃移动通信(杭州)有限公司 | 信息提供方法、装置及电子设备 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109361807A (zh) * | 2018-10-25 | 2019-02-19 | 努比亚技术有限公司 | 信息访问控制方法、移动终端及计算机可读存储介质 |
| CN110084047A (zh) * | 2019-03-20 | 2019-08-02 | 努比亚技术有限公司 | 一种访问权限控制方法、终端及计算机可读存储介质 |
| CN110765426A (zh) * | 2019-10-22 | 2020-02-07 | 深圳市康冠智能科技有限公司 | 设备权限设置方法、装置、设备以及计算机存储介质 |
| CN111460428B (zh) * | 2020-03-20 | 2022-11-18 | 浪潮通用软件有限公司 | 一种安卓系统的权限管理方法、装置及可读介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103729599A (zh) * | 2013-10-31 | 2014-04-16 | 深圳酷派技术有限公司 | 数据调用的处理方法及装置 |
| CN104102358A (zh) * | 2014-07-18 | 2014-10-15 | 北京奇虎科技有限公司 | 隐私信息保护的方法及隐私信息保护装置 |
| CN102693395B (zh) * | 2012-06-07 | 2015-02-11 | 北京奇虎科技有限公司 | 一种用于拦截应用程序对服务的调用的方法和装置 |
| CN105930726A (zh) * | 2016-04-20 | 2016-09-07 | 广东欧珀移动通信有限公司 | 一种恶意操作行为的处理方法及用户终端 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102693394B (zh) * | 2012-06-07 | 2015-04-22 | 北京奇虎科技有限公司 | 一种用于拦截应用程序对服务的调用的方法和装置 |
| CN105095788B (zh) * | 2015-06-30 | 2018-06-29 | 北京奇虎科技有限公司 | 隐私数据保护的方法、装置及系统 |
-
2016
- 2016-10-21 CN CN201610921884.3A patent/CN107979684A/zh not_active Withdrawn
-
2017
- 2017-05-18 WO PCT/CN2017/084917 patent/WO2018072436A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102693395B (zh) * | 2012-06-07 | 2015-02-11 | 北京奇虎科技有限公司 | 一种用于拦截应用程序对服务的调用的方法和装置 |
| CN103729599A (zh) * | 2013-10-31 | 2014-04-16 | 深圳酷派技术有限公司 | 数据调用的处理方法及装置 |
| CN104102358A (zh) * | 2014-07-18 | 2014-10-15 | 北京奇虎科技有限公司 | 隐私信息保护的方法及隐私信息保护装置 |
| CN105930726A (zh) * | 2016-04-20 | 2016-09-07 | 广东欧珀移动通信有限公司 | 一种恶意操作行为的处理方法及用户终端 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109583178A (zh) * | 2018-10-09 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种会议协同参与方法及系统 |
| CN109740343A (zh) * | 2018-12-29 | 2019-05-10 | 百度在线网络技术(北京)有限公司 | 应用的权限控制方法和装置 |
| CN110210206A (zh) * | 2019-05-28 | 2019-09-06 | 维沃移动通信有限公司 | 一种权限管理方法及终端 |
| CN111209559A (zh) * | 2019-12-23 | 2020-05-29 | 东软集团股份有限公司 | 应用程序的权限处理方法、装置、存储介质和电子设备 |
| CN112651040A (zh) * | 2020-12-15 | 2021-04-13 | 中国银联股份有限公司 | 权限申请方法、组件、装置及计算机可读存储介质 |
| WO2022127214A1 (zh) * | 2020-12-15 | 2022-06-23 | 中国银联股份有限公司 | 权限申请方法、组件、装置及计算机可读存储介质 |
| CN113127367A (zh) * | 2021-04-29 | 2021-07-16 | 东北大学 | Android动态权限申请的缺陷检测方法 |
| CN113127367B (zh) * | 2021-04-29 | 2024-01-12 | 东北大学 | Android动态权限申请的缺陷检测方法 |
| CN113268185A (zh) * | 2021-05-31 | 2021-08-17 | 维沃移动通信(杭州)有限公司 | 信息提供方法、装置及电子设备 |
| CN113268185B (zh) * | 2021-05-31 | 2023-08-01 | 维沃移动通信(杭州)有限公司 | 信息提供方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107979684A (zh) | 2018-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2018072436A1 (zh) | 权限管理方法、装置及终端 | |
| US20190258798A1 (en) | Location-Based Configuration Profile Toggling | |
| US9313643B1 (en) | Dynamic subscriber identity module | |
| US10477549B2 (en) | Dynamic frequency selection for network hub with software defined radio | |
| US9161325B1 (en) | Subscriber identity module virtualization | |
| KR102194052B1 (ko) | 서비스 실행 방법 및 디바이스 | |
| US10904255B2 (en) | Method for controlling contents and electronic device thereof | |
| KR20180028729A (ko) | UICC와 eUICC의 제어 방법 및 시스템 | |
| KR20160101826A (ko) | 멀티 유저 기반의 전자 장치 | |
| US11212248B2 (en) | Method and device for managing a user | |
| EP3486770B1 (en) | Processing method, device and storage medium for implementing automatic startup | |
| US9323936B2 (en) | Using a file whitelist | |
| US20120131135A1 (en) | Nonconforming web service policy functions | |
| US10805780B1 (en) | Mobile phone differentiated user set-up | |
| CN104424028A (zh) | 终端设备以及切换方法 | |
| WO2019045964A1 (en) | ESIM PROFILE ACQUISITION ACTIVATED BY DEVICE | |
| CN113360893B (zh) | 基于容器的智能合约执行方法、装置及存储介质 | |
| CN111460428A (zh) | 一种安卓系统的权限管理方法、装置及可读介质 | |
| CN113360251B (zh) | 智能合约执行与跨合约调用方法、装置及存储介质 | |
| US20160014688A1 (en) | Techniques for managing access point connections in a multiple-persona mobile technology platform | |
| JP2022535658A (ja) | ユーザデバイスの遠隔管理 | |
| US10631177B1 (en) | Mobile phone chipset parameter adaptation framework | |
| CN112804160B (zh) | 基于应用程序的限流方法、装置、设备、介质及产品 | |
| CN112231699A (zh) | 读取函数的拦截方法、装置、电子设备和计算机可读介质 | |
| CN113360252B (zh) | 基于容器的加速智能合约执行方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 17861552 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 17861552 Country of ref document: EP Kind code of ref document: A1 |