WO2021238399A1 - 安全访问数据的方法及电子设备 - Google Patents

Abstract

本申请提供了一种安全访问数据的方法和电子设备，该电子设备可以是分布式网络系统中的手机、平板、手表、车载设备等。该方法以进程作为权限对象，在电子设备中引入安全管理模块，设计了分布式的权限对象管理模型，使用权限对象代理的方案来控制在服务申请设备上面的进程访问能力，从而达到限制服务申请设备对服务提供设备的进程访问的能力，进而约束了分布式网络系统中的远端电子设备进程对本端电子设备的服务进程的访问；该权限对象管理模型还可以令权限代理对象的行为在服务申请设备中随着应用场景变化而自适应变化，从而提高分布式网络系统在进程级别的安全性，降低其中安全需求对网络的依赖强度，使得网络配置更加灵活。

Description

安全访问数据的方法及电子设备

本申请要求于2020年5月27日提交中国专利局、申请号为202010460456.1、发明名称为“安全访问数据的方法及电子设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及电子技术领域，尤其涉及一种安全访问数据的方法及电子设备。

背景技术

随着互联网的发展，尤其是一些关键趋势，包括泛在网络、移动计算以及分布式多媒体系统的不断发展，极大地推动了分布式网络系统的普及。一个分布式网络系统的度量取决于其性能、稳定和安全三个维度，因此分布式网络系统中数据的安全访问是分布式网络系统的一个重要度量维度。

目前，常见的数据的安全访问策略一般是针对通信设备与应用用户进行认证，然后针对内容和通信通道进行加密。在分布式网络系统的多终端设备近场交互的场景下，尽管可以借助云端认证服务器，完成终端设备和用户的认证。但是在分布式网络系统中，在跨设备通信时，仅仅依靠终端设备和用户的认证无法满足数据安全的要求，且无法满足不同场景中访问数据的安全要求。

发明内容

本申请提供一种安全访问数据的方法及电子设备，该方法能够限制服务申请设备对服务提供设备的进程访问的能力，进而约束分布式网络系统中的远端电子设备进程对本端电子设备的服务进程的访问，提高分布式网络系统在进程级别的安全性，降低其中安全需求对网络的依赖强度，使得网络配置更加灵活。

第一方面，提供了一种安全访问数据的方法，应用于包括第一电子设备和第二电子设备的分布式网络系统中，该方法包括：第一电子设备向该第二电子设备发送第一服务进程的请求，该第一服务进程是该第二电子设备上具有分布式能力的应用对应的进程；第二电子设备根据该第一服务进程的请求，确定该第一服务进程的访问接口对应的第一权限存根对象以及该第一权限存根对象的权限对象策略；第二电子设备向所述第一电子设备发送所述第一权限存根对象和所述第一权限存根对象的权限对象策略；第一电子设备根据该第一权限存根对象和该第一权限存根对象的权限对象策略，生成第一权限代理对象和该第一权限代理对象的权限对象策略；第一电子设备根据该第一权限代理对象和该第一权限代理对象的权限对象策略，确定当前该第一服务进程的访问接口是否被允许访问；当第一服务进程的访问接口被允许访问时，该第一电子设备访问该第二电子设备的该第一服务进程的数据。

应理解，第一电子设备和第二电子设备是分布式网络系统中任意的两个不同电子设 备。例如，第一电子设备是本申请实施例中的服务申请设备，第二电子设备是本申请实施例中的服务提供设备。还应理解，同一个电子设备即可以作为服务申请设备，还可以作为服务提供设备。

在本申请中，可以将服务提供设备提供(第二电子设备)的进程称为“服务进程”，将服务申请设备(第一电子设备)提供的进程称为“应用进程”。当第一电子设备的某个应用进程需要访问第二电子设备的第一服务进程的功能时，需要首先通过进程绑定的权限对象的检查，才可以正常访问该第一服务进程的功能或者资源。示例性的，用户的手机为服务提供设备，家庭电视为服务申请设备，家庭电视可以通过某款视频应用申请访问用户手机的视频应用的视频数据。

在分布式网络系统中，跨设备的进程服务之间是不能直接访问的。在本申请实施例中，提供一种权限代理方案，对于服务提供设备，当某个服务进程声明注册其可以对外提供分布式访问能力时，服务提供设备的安全管理模块会首先由权限配置数据模块检查该服务进程的权限对象是否合法，是否可以正常对外提供能力。服务提供设备的安全管理模块会将服务进程绑定的权限对象，然后服务申请设备根据该权限对象，在本地权限管理模块中存入一个引用副本，即创建一个存根对象，称之为“权限存根对象”。这个权限存根对象拥有服务进程的权限对象的中所有针对分布式网络系统提供的能力约束。

上述技术方案，在分布式网络系统中，以电子设备的进程作为权限对象，设计一种权限管理方案，通过安全管理模块控制其他电子设备的进程调用权限，从而约束其它电子设备的进程安全性。并将本机的应用进程的权限管理方案拓展到分布式网络系统中的其他电子设备，提升了跨设备的权限管理的粒度，可以实现更细粒度跨设备的进程权限安全管理操作。

此外，本申请实施例还可以将远端电子设备的应用进程的权限检查，转化近端电子设备内的安全管理模块的权限检查，进一步节省网络资源，且实现了分布式网络系统的灵活配置，降低了跨设备进程权限管理的开销，提升了安全处理的效率。

应理解，本申请实施例采用面向对象的权限管理方式，使服务进程权限的检查过程发生在服务申请设备侧，通过安全管理模块的形式，保证安全访问策略的一致性，这样在泛在网络的情况下，可以有效降低安全检查对网络的依赖性，降低访问服务进程的申请时长，提升用户体验。

结合第一方面，在第一方面的某些实现方式中，第一电子设备向该第二电子设备发送该第一服务进程的请求之前，该方法还包括：第一电子设备接收访问该第一服务进程的请求；响应于该第一服务进程的请求，第一电子设备确定该第一服务进程的访问接口的权限；第一电子设备确定当前没有针对该第一服务进程的访问接口的权限。

应理解，如果第一服务进程的请求是首次申请对该第一服务进程的权限，则安全管理模块会按其工作流程，在服务申请设备生成其权限代理对象，然后后续使用中(例如非首次申请对第一服务进程的权限)，权限代理对象进行校验时，安全管理模块可以按照权限存根对象列表和权限代理对象列表的结构定义中的说明，直接查询到第一服务进程的访问接口对应的第一权限存根对象，进一步确定第一权限代理对象。

为了防止每次都进行失败网络交互，当服务提供设备拒绝服务申请设备对第一服务进程的访问时，可以对失败的操作生成匿名的空的代理对象，之后当此类代理对象访问时， 会一直返回失败，从而减少网络交互次数，使得网络配置更加灵活。

结合第一方面和上述实现方式，在第一方面的某些实现方式中，第二电子设备注册N个服务进程，发布该N个服务进程中每个服务进程的分布式能力，该第一服务进程是该N个服务进程中的任意一个，N为正整数；该第二电子设备根据注册的该N个服务进程，确定该N个服务进程中每个服务进程的权限对象策略；第二电子设备根据该N个服务进程和N个服务进程的权限对象策略，生成权限存根对象列表，该权限存根对象列表包括与该每个服务进程一一对应的N个权限存根对象的信息和该N个权限存根对象的权限对象策略。

结合第一方面和上述实现方式，在第一方面的某些实现方式中，第一电子设备向该第二电子设备发送第一服务进程的请求之后，该方法还包括：第二电子设备根据该第一服务进程的请求，确定该N个权限存根对象中不包括该第一权限存根对象；第二电子设备拒绝该第一电子设备访问该第一服务进程的数据。

如果服务提供设备的本地权限管理模块中没有注册且不存在该第一权限存根对象，则服务申请设备的网络权限代理模块不生成第一权限代理对象。

结合第一方面和上述实现方式，在第一方面的某些实现方式中，第一权限存根对象的权限对象策略包括以下信息中的至少一种：该第一权限存根对象的权限要求信息、服务标识信息、访问接口信息、操作接口信息、资源标识信息。

结合第一方面和上述实现方式，在第一方面的某些实现方式中，第一权限存根对象的权限对象策略还包括场景约束信息，该场景约束信息用于指示针对不同的应用场景或者不同的地理位置或者该第一电子设备的设备信息，该第一服务进程被该第一电子设备访问的权限。

假设用户期望其设备的某进程可以对外提供分布式能力，但是为了提高访问该进程的安全性，可以在限定的场景下可以使用该进程的分布式能力。同时，针对不同的应用场景，该进程的分布式能力的权限对象策略也可以不同，或者说，电子设备对外提供的分布式能力会随着应用场景的变化而发生变化。

示例性的，针对用户进行访问手机视频数据，在家里，会允许智能音箱或者智能电视自动连接到用户手机上并获取视频数据进行播放。但是商场或者其它公共场所是不允许自动连接和访问，无论之前是否建立过安全认证，必须经过用户确认之后再处理。

可选地，应用进程所在的电子设备(即服务申请设备)可以通过GPS等定位方式、或者电子设备连接的基站所在位置等条件判断当前所处的场景为家的场景或者公司场景等，本申请实施例对此不做限定。

可选地，以上除了在不同的应用场景下设置不同的权限对象策略之外，还可以针对不同的电子设备，设置不同的权限对象策略。示例性的，设置用户的智能手表在任何场景下都可以访问用户的手机的任意进程，本申请实施例对此不再赘述定。

应理解，以上实施例只是列举了一种静态配置的在不同场景下动态调整权限对象策略的策略模型，实际实现过程中，权限对象策略也可以一种基于环境变量的动态调整算法，或者其它约束模块。

还应理解，权限代理对象的采用的权限对象策略的策略模型，需要与权限存储对象配置的线束策略模型一致。

通过上述方法，在分布式网络系统中，约束服务申请设备对本端服务提供设备的访问时，可以跟随应用场景的变化进行自适应调整，静态或者动态配置在不同场景下不同的权限对象策略，限制敏感应用只在相对安全的场景下，可以执行安全敏感操作，而其它环境中被限制使用，从而提高系统的安全性。同时，动态配置权限对象策略的过程可以发生在对端电子设备的安全管理模块上，可以有效降低安全策略控制对网络的依赖，提高用户的体验。

结合第一方面和上述实现方式，在第一方面的某些实现方式中，第一权限存根对象的权限对象策略是用户自定义的策略；或者在云端定义的策略。

可选地，针对权限存根对象的权限对象策略，可以由用户进行自定义，或者在云端进行分定义。例如，主动配置权限对象策略，并存储在权限存根对象所在的电子设备中。

可选地，针对权限代理对象的权限对象策略，可以自动在服务申请设备和服务提供设备之间进行同步，或者在云端进行同步。例如，依赖于主动配置权限对象策略的被动配置策略数据，可以存储在权限代理对象所在的电子设备中。示例性的，当前服务提供设备的第一服务进程的策略发生变化时，安全管理模块可以保障第一服务进程的策略的及时更新同步，从而屏蔽原来的服务申请设备与服务提供设备的第一服务进程的彼此对权限策略的依赖。

综上所述，本申请实施例以进程作为权限对象，设计了分布式的权限对象管理模型，提出一种在分布式网络系统中安全访问数据的方法，使用权限对象代理的方案来控制在服务申请设备上面的进程访问能力，从而达到限制服务申请设备对服务提供设备的进程访问的能力，进而约束了分布式网络系统中的远端电子设备进程对本端电子设备的服务进程的访问，提高分布式网络系统在进程级别的安全性，降低其中安全需求对网络的依赖强度，使得网络配置更加灵活。

第二方面，提供了一种安全访问数据的方法，应用于包括第一电子设备和第二电子设备的分布式网络系统中，该第一电子设备存储有权限代理对象列表和该权限代理对象列表中每个权限代理对象的权限对象策略，该方法包括：第一电子设备接收访问该第一服务进程的请求，该第一服务进程是该第二电子设备上具有分布式能力的应用对应的进程；响应于该第一服务进程的请求，该第一电子设备确定第一权限代理对象和该第一权限代理对象的权限对象策略；第一电子设备根据该第一权限代理对象和该第一权限代理对象的权限对象策略，访问该第一服务进程的数据。

结合第二方面，在第二方面的某些实现方式中，权限代理对象列表和该权限代理对象列表中每个权限代理对象的权限对象策略一一对应与该第二电子设备存储的权限存根对象列表和该权限代理对象列表中每个权限存根对象的权限对象策略。

结合第二方面和上述实现方式，在第二方面的某些实现方式中，第二电子设备存储的权限存根对象列表包括N个权限存根对象，该方法还包括：第二电子设备注册N个服务进程，发布该N个服务进程中每个服务进程的分布式能力，该第一服务进程是该N个服务进程中的任意一个，N为正整数；第二电子设备根据注册的该N个服务进程，确定该N个服务进程中每个服务进程的权限对象策略；第二电子设备根据该N个服务进程和N个服务进程的权限对象策略，生成该权限存根对象列表，该权限存根对象列表包括与该每个服务进程一一对应的N个权限存根对象的信息和该N个权限存根对象的权限对象策略。

应理解，以上第二方面介绍的方法可以应用于第一电子设备不向第二电子设备发送第一服务进程的请求，在该分布式网络系统中，第一电子设备和第二电子设备实时更新交互权限对象。例如，第二电子设备生成的权限存根对象列表和该权限存根对象列表中每个权限存根对象的权限对象策略之后，实时将权限存根对象列表和权限对象策略发送给第一电子设备，第一电子设备可以实时更新自身存储的权限代理对象列表和该权限代理对象列表中每个权限代理对象的权限对象策略。因此，第一电子设备接收到第一服务进程的请求之后，只需要查询自己的信息，不需要再向第二电子设备发送请求，简化了访问第二电子设备进程的流程。

第三方面，提供了一种安全访问数据的方法，该方法包括：该第一电子设备向第二电子设备发送第一服务进程的请求，该第一电子设备和该第二电子设备是分布式网络系统中的两个不同电子设备，该第一服务进程是该第二电子设备上具有分布式能力的应用对应的进程；第一电子设备接收根据该第二电子设备发送的该第一服务进程的访问接口对应的第一权限存根对象以及该第一权限存根对象的权限对象策略，其中，第一权限存根对象以及该第一权限存根对象的权限对象策略是该第二电子设备根据该第一服务进程的请求确定的，第一电子设备根据该第一权限存根对象和该第一权限存根对象的权限对象策略，生成第一权限代理对象和该第一权限代理对象的权限对象策略；第一电子设备根据该第一权限代理对象和该第一权限代理对象的权限对象策略，确定当前该第一服务进程的访问接口是否被允许访问；当该第一服务进程的访问接口被允许访问时，该第一电子设备访问该第二电子设备的该第一服务进程的数据。

结合第三方面，在第三方面的某些实现方式中，第一电子设备向该第二电子设备发送该第一服务进程的请求之前，该方法还包括：该第一电子设备接收访问该第一服务进程的请求；响应于该第一服务进程的请求，该第一电子设备确定该第一服务进程的访问接口的权限；第一电子设备确定当前没有针对该第一服务进程的访问接口的权限。

结合第三方面和上述实现方式，在第三方面的某些实现方式中，该第一权限存根对象的权限对象策略包括以下信息中的至少一种：该第一权限存根对象的权限要求信息、服务标识信息、访问接口信息、操作接口信息、资源标识信息。

结合第三方面和上述实现方式，在第三方面的某些实现方式中，第一权限存根对象的权限对象策略还包括场景约束信息，该场景约束信息用于指示针对不同的应用场景或者不同的地理位置或者该第一电子设备的设备信息，该第一服务进程被该第一电子设备访问的权限。

结合第三方面和上述实现方式，在第三方面的某些实现方式中，第一权限存根对象的权限对象策略是用户自定义的策略；或者在云端定义的策略。

第四方面，提供了一种安全访问数据的方法，该方法包括：第二电子设备接收该第一电子设备发送的第一服务进程的请求，该第一服务进程是该第二电子设备上具有分布式能力的应用对应的进程；第二电子设备根据该第一服务进程的请求，确定该第一服务进程的访问接口对应的第一权限存根对象以及该第一权限存根对象的权限对象策略；第二电子设备向该第一电子设备发送该第一权限存根对象和该第一权限存根对象的权限对象策略；当该第一服务进程的访问接口被允许访问时，该第二电子设备允许该第二电子设备访问该第一服务进程的数据。

结合第四方面，在第四方面的某些实现方式中，该方法还包括：第二电子设备注册N个服务进程，发布该N个服务进程中每个服务进程的分布式能力，该第一服务进程是该N个服务进程中的任意一个，N为正整数；第二电子设备根据注册的该N个服务进程，确定该N个服务进程中每个服务进程的权限对象策略；第二电子设备根据该N个服务进程和N个服务进程的权限对象策略，生成权限存根对象列表，该权限存根对象列表包括与该每个服务进程一一对应的N个权限存根对象的信息和该N个权限存根对象的权限对象策略。

结合第四方面和上述实现方式，在第四方面的某些实现方式中，第二电子设备接收该第一电子设备发送的第一服务进程的请求之后，该方法还包括：第二电子设备根据该第一服务进程的请求，确定该N个权限存根对象中不包括该第一权限存根对象；第二电子设备拒绝该第一电子设备访问该第一服务进程的数据。

结合第四方面和上述实现方式，在第四方面的某些实现方式中，该第一权限存根对象的权限对象策略包括以下信息中的至少一种：该第一权限存根对象的权限要求信息、服务标识信息、访问接口信息、操作接口信息、资源标识信息。

结合第四方面和上述实现方式，在第四方面的某些实现方式中，第一权限存根对象的权限对象策略还包括场景约束信息，该场景约束信息用于指示针对不同的应用场景或者不同的地理位置或者该第一电子设备的设备信息，该第一服务进程被该第一电子设备访问的权限。

结合第四方面和上述实现方式，在第四方面的某些实现方式中，该第一权限存根对象的权限对象策略是用户自定义的策略；或者在云端定义的策略。

第五方面，本申请提供了一种装置，该装置包含在电子设备中，该装置具有实现上述方面及上述方面的可能实现方式中电子设备行为的功能。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块或单元。例如，显示模块或单元、检测模块或单元、处理模块或单元等。

第六方面，本申请提供了一种电子设备，包括：触摸显示屏，其中，触摸显示屏包括触敏表面和显示器；摄像头；一个或多个处理器；存储器；多个应用程序；以及一个或多个计算机程序。其中，一个或多个计算机程序被存储在存储器中，一个或多个计算机程序包括指令。当指令被电子设备执行时，使得电子设备执行上述任一方面任一项可能的实现中的安全访问数据的方法。

第七方面，本申请提供了一种电子设备，包括一个或多个处理器和一个或多个存储器。该一个或多个存储器与一个或多个处理器耦合，一个或多个存储器用于存储计算机程序代码，计算机程序代码包括计算机指令，当一个或多个处理器执行计算机指令时，使得电子设备执行上述任一方面任一项可能的实现中的安全访问数据的方法。

第八方面，本申请提供了一种计算机可读存储介质，包括计算机指令，当计算机指令在电子设备上运行时，使得电子设备执行上述任一方面任一项可能的安全访问数据的方法。

第九方面，本申请提供了一种计算机程序产品，当计算机程序产品在电子设备上运行时，使得电子设备执行上述任一方面任一项可能的安全访问数据的方法。

附图说明

图1是本申请实施例提供的一例分布式网络系统的示意图。

图2是本申请实施例提供的一例电子设备的结构示意图。

图3是本申请实施例提供的一例电子设备的软件结构框图。

图4是本申请实施例提供的一例安全管理模块的示意图。

图5是本申请实施例提供的一例权限对象的结构示意图。

图6是本申请实施例提供的一例服务申请设备和服务提供设备的交互示意图。

图7是本申请实施例提供过的服务申请设备访问服务提供设备的服务进程的示意图。

图8是本申请实施例提供的一例权限对象策略的约束示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。其中，在本申请实施例的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B；本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，在本申请实施例的描述中，“多个”是指两个或多于两个。

以下，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。

在介绍本申请实施例的方法之前，先介绍一下几个相关概念。

1、泛在网络

泛在网络从字面上可以理解为广泛存在、无所不在的网络。也就是人置身于无所不在的网络之中，实现人在任何时间、地点，使用任何网络与任何人与物的信息交换，基于个人和社会的需求，利用现有网络技术和新的网络技术，为个人和社会提供泛在的，无所不含的信息服务和应用。现代互联网是一个巨大的由多种类型计算机网络互连的集合，网络的类型一直在增加，现在包括多种多样的无线通信技术。最终结果是联网已成为一个泛在的资源，设备可以在任何时间、任何地方被连接。

应理解，机器到机器(machine to machine，M2M)的无线数据传输、传感器网络(sensor network)、近距离无线通信技术(near field communication，NFC)、无线局域网(wireless local area networks，WLAN)(如无线保真(wireless fidelity，Wi-Fi)网络)、蓝牙(bluetooth，BT)、全球导航卫星系统(global navigation satellite system，GNSS)、调频(frequency modulation，FM)、红外技术(infrared，IR)等无线通信技术的发展促进了泛在网络的应用。

2、分布式网络系统

分布式网络也叫网状网络，由分布在不同地点的计算机系统互连而成，网中无中心节点，各个节点之间可以相互通信，通信控制功能分布在各节点上。分布式网络具有可靠性高、网内节点共享资源容易的特点，广泛应用在多媒体数据库管理、音视频传输、视频点播等领域。

图1是本申请实施例提供的一例分布式网络系统100的示意图，如图1所示，在分布式网络系统100中，可以包括多个电子设备，例如设备A、设备B、设备C、设备D和设 备E等。示例性的，该分布式网络系统100可以包括手机、平板电脑、可穿戴设备、车载设备、增强现实(augmented reality，AR)/虚拟现实(virtual reality，VR)设备、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer，UMPC)、上网本、个人数字助理(personal digital assistant，PDA)等电子设备中的任意一种或者多种，应理解，本申请实施例对分布式网络系统中包括的电子设备的数量和形态不做限定。

此外，该分布式网络系统100的任意两个电子设备相互通信可以有多种不同的方式，例如通过连接的方式或者借助于未来通信技术的方式进行通信以传输数据。其中，连接的方式可以包括有线连接或者无线连接等多种不同连接方式。示例性的，两个电子设备之间可以是通过USB数据线连接；两个电子设备之间的无线连接可以是通过建立Wi-Fi连接、近场通信的靠近连接、蓝牙扫码连接等。两个电子设备还可以借助于未来通信技术的方式，例如通过在手机和平板上安装不同或相同的应用，借助于5G通信网络传输数据，本申请实施例对两个电子设备之间的连接方式或者通信方式不做限定。

一种可能的实现方式中，目前对于通信过程中，保证数据安全的措施手段可以列举如表1所示。如下表1所示，对于不同的通信实体、通信内容或者通信通道，可以对应不同的安全措施，以提高分布式网络系统中数据访问的安全性。

表1

在分布式网络系统的多个电子设备交互的场景下，可以借助云端认证服务器，完成设备认证和用户认证。示例性的，在多电子设备的分布式网络系统中，安全访问策略一般是基于设备认证/账号认证，如果应用通过认证，则可以认为多个电子设备之间互信，一台电子设备上面的应用可以访问另一台电子设备上面的进程，并通过此进程访问原设备上面的资源。示例性的，在设备认证过程中，可以用于本设备对其他设备的认证过程。例如本设备在收到其他设备发送的设备名称后，本设备可以根据其他设备的设备名称来确定本设备和其他设备是否属于同一账号下的设备。或者，在用户认证过程中，用户1申请一个华为账号，云端认证服务器认证该账号登录了该用户的手机、平板和家庭电视，从而可以实现手机、平板和家庭电视之间的数据共享，如通过家庭电视访问手机上的视频资源。

随着泛在网络的发展，账号可以作为串联多个电子设备的有效手段，但是账号被窃取、泄漏或者不当使用的情况也逐渐增加，因此仅靠设备认证/账号认证，不足以保护在泛在网络下分布式网络系统的通信安全。

另一种可能的实现方式中，在服务提供方或者路由节点中设置网关功能，来检查并过滤服务申请者的权限，从而达到限制服务申请者对服务提供者资源访问的作用。在该实现过程中，权限的检查是在服务提供方，而泛在网络中，由于会加入多个轻量级电子设备，这会导致服务提供者所在路由节点影响缓慢，影响用户体验。

此外，在分布式网络系统中，对于不同的应用进程，数据访问的安全需求不一样。例如，用户不希望平板、家庭电视等设备访问手机的聊天应用、工作应用等包含的私密数据。或者，在不同应用场景下的数据访问的安全需求不一样。例如，在家里，用户会期待家居智能设备(家庭电视)可以自动连接访问，比如自动地将手机来电通话投射到大屏电视上；但是在商场里，用户不会期望有其他电子设备自动访问手机数据的行为。因此，对于不同的应用，或者不同的场景，访问数据的安全要求不同，需要不同的安全访问策略来满足不同的用户需求。

本申请实施例提供一种安全访问数据的方法，可以应用于电子设备，该方法可以是单独的应用程序，该应用程序可以应用在分布式网络系统中的任意的电子设备，以提高数据访问的安全等级。

具体地，本申请实施例提供的安全访问数据的方法可以应用于上述列举的手机、平板电脑、可穿戴设备、车载设备、笔记本电脑、平板等电子设备上，本申请实施例对电子设备的具体类型不作任何限制。

示例性的，图2是本申请实施例提供的一例电子设备200的结构示意图。该电子设备200可以是包括处理器210、存储器220、通信模块230、显示屏240等。

其中，处理器210可以包括一个或多个处理单元，存储器220用于存储程序代码和数据。在本申请实施例中，处理器210可执行存储器220存储的计算机执行指令，用于对电子设备200的动作进行控制管理。

通信模块230可以用于电子设备200的各个内部模块之间的通信、或者电子设备200和其他外部电子设备之间的通信等。示例性的，如果电子设备200通过有线连接的方式和其他电子设备通信，通信模块230可以包括接口等，例如USB接口，USB接口可以是符合USB标准规范的接口，具体可以是Mini USB接口，Micro USB接口，USB Type C接口等。USB接口可以用于连接充电器为电子设备200充电，也可以用于电子设备200与外围设备之间传输数据。也可以用于连接耳机，通过耳机播放音频。该接口还可以用于连接其他电子设备，例如AR设备等。

或者，通信模块230可以包括音频器件、射频电路、蓝牙芯片、无线保真(wireless fidelity，Wi-Fi)芯片、近距离无线通讯技术(near-field communication，NFC)模块等，可以通过多种不同的方式实现电子设备200与其他电子设备之间的交互。

显示屏240用于显示图像、视频等。可选地，电子设备200还可以包括外设设备250，例如鼠标、键盘、扬声器、麦克风等。

应理解，除了图2中列举的各种部件或者模块之外，本申请实施例对电子设备200的结构不做具体限定。在本申请另一些实施例中，电子设备200还可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

电子设备200的软件系统可以采用分层架构，事件驱动架构，微核架构，微服务架构， 或云架构。本申请实施例以分层架构的Android系统为例，示例性说明电子设备200的软件结构。

图3是本申请实施例提供的一例电子设备200的软件结构框图。分层架构300将软件分成若干个层，每一层都有清晰的角色和分工。层与层之间通过软件接口通信。在一些实施例中，将Android系统分为四层，从上至下分别为应用程序层310、应用程序框架层320、内核层330以及网络层340。

其中，如图3所示，应用程序层可以包括一系列应用程序包。应用程序包可以包括相机、图库、音乐、视频、设置等应用程序。

应用程序框架层320为应用程序层310的应用程序提供应用编程接口(application programming interface，API)和编程框架。应用程序框架层包括一些预先定义的函数。

如图3所示，应用程序框架层320可以包括安全管理模块10、窗口管理器、资源管理器、通知管理器等。窗口管理器用于管理窗口程序。窗口管理器可以获取显示屏大小，判断是否有状态栏，锁定屏幕，截取屏幕等。资源管理器为应用程序提供各种资源，比如本地化字符串，图标，图片，布局文件，视频文件等等。通知管理器使应用程序可以在状态栏中显示通知信息，该消息可以短暂停留后自动消失，无需用户交互。比如通知管理器被用于告知下载完成，消息提醒等。通知管理器还可以是以图表或者滚动条文本形式出现在系统顶部状态栏的通知，例如后台运行的应用程序的通知，还可以是以对话窗口形式出现在屏幕上的通知。例如在状态栏提示文本信息，发出提示音，电子设备振动，指示灯闪烁等。

此外，安全管理模块10为本申请实施例新增的功能模块，可以实现本申请实施例中介绍的安全访问数据的方法，本申请将在后续实施例中详细描述。

应理解，本申请实施例列举了将安全管理模块10设置在应用程序框架层320的情况，该安全管理模块10还可以设置在内核层330中，本申请实施例对此不作限定。只要与本申请实施例提供的安全管理模块10相同的功能，均在本申请的保护范围之内。

应用程序层310和应用程序框架层320运行在虚拟机中。虚拟机将应用程序层310和应用程序框架层320的java文件执行为二进制文件。虚拟机用于执行对象生命周期的管理，堆栈管理，线程管理，安全和异常的管理，以及垃圾回收等功能。

内核层330是硬件和软件之间的层。内核层330至少包含多种设备驱动，例如显示驱动、摄像头驱动、音频驱动、传感器驱动等。此外，内核层330还可以包括进程调度模块、磁盘数据模块等，本申请实施例对此不做限定。

应理解，以上列举的图2为可能的一种电子设备的结构图，图3为可能的一种电子设备的软件架构图。为了便于理解，本申请以下实施例将以图1所示的分布式网络系统中两个电子设备(例如第一电子设备和第二电子设备)之间的数据访问为例，电子设备可以具有图2所述的结构、图3所示的软件结构。其中，将申请调用服务的第一电子设备称为“服务申请设备”，将提供服务的第二电子设备称为“服务提供设备”。

应理解，服务申请设备和服务提供设备都可以包括图3应用程序框架层320的安全管理模块10，且同一个电子设备即可以作为服务申请设备(或者称为“服务调用设备”)，还可以作为服务提供设备。例如，图1中的设备A可以申请设备B的进程权限，同时设备B还可以反过来申请设备A的进程权限。当设备A申请设备B的进程权限时，设备A为服 务申请设备，设备B为服务提供设备；当设备B反过来申请设备A的进程权限时，设备B为服务申请设备，设备A为服务提供设备，本申请实施例对此不做限定。

还应理解，本申请的分布式网络系统中，从进程的角度，控制两个电子设备(服务申请设备和服务提供设备)之间的资源访问权限。进程(process)是一个具有一定独立功能的程序关于某个数据集合的一次运行活动，是系统进行资源分配和调度的基本单位，是操作系统基本的执行单元。因此，本申请实施例将通过限制服务申请设备和服务提供设备上进程的访问权限来提高数据访问的安全性。

图4是本申请实施例提供的一例安全管理模块10的示意图。在本申请实施例中，安全管理模块10还可以称为“安全中间件”、“安全模块”等，只要实现和本申请实施例介绍的安全管理模块10相同的功能，都落入本申请的保护范围。

如图4所示，该安全管理模块10可以包括权限配置数据模块11、权限策略模块12、本地权限管理模块13和网络权限管理模块14。在介绍安全管理模块10包括的各个模块之前，先引入几个基本概念。

1、权限对象

在本申请实施例中，以进程为例，“权限对象”可以理解为不同的进程，换言之，一个进程可以作为一个权限对象。在面向对象的方式中，一个权限对象包含一组权限的描述，将每个进程相关的权限要求描述为一个进程绑定的权限对象。每条权限对象包含权限标识、权限作用对象、权限限制操作等权限作用因素。一般地，在同一电子设备内，权限对象可以由其绑定进程，或者系统内核进行处理检查。

此外，在本申请实施例中，可以将服务提供设备提供的进程称为“服务进程”，将服务申请设备提供的进程称为“应用进程”。当有其它进程需要访问服务进程的功能时，需要首先通过进程绑定的权限对象的检查，才可以正常访问服务进程的功能或者资源。

2、权限存根对象

在分布式网络系统中，跨设备的进程服务之间是不能直接访问的。在本申请实施例中，提供一种权限代理方案，对于服务提供设备，当某个服务进程声明注册其可以对外提供分布式访问能力时，服务提供设备的安全管理模块10会首先由权限配置数据模块11检查该服务进程的权限对象是否合法，是否可以正常对外提供能力。服务提供设备的安全管理模块10会将服务进程绑定的权限对象，然后服务申请设备根据该权限对象，在本地权限管理模块13中存入一个引用副本，即创建一个存根对象，称之为“权限存根对象”。这个权限存根对象拥有服务进程的权限对象的中所有针对分布式网络系统提供的能力约束。

3、权限代理对象

在本申请实施例中，对于服务申请者设备，其可以通过网络访问服务提供设备的权限存根对象的信息，结合本地的安全管理模块10中动态创建一个代理对象，即这里所说的“权限代理对象”。

4、权限对象策略

服务提供设备提供的每个服务进程的权限对象都会有一条或者多条策略，用户控制该权限对象在不同场景下面的行为，从而达到同一权限对象可以随着场景变化而动态自调整的方案。

在本申请实施例中，权限对象策略可以是一条具体配置的策略数据，也可以是相关策 略控制算法或者策略控制模型。

这里需要补充说明的是，本申请实施例的权限对象策略着重于控制对服务进程的访问能力，当然类似的权限对象策略也可以用于控制本地的应用进程的访问，本申请实施例对此不作限定。

基于上述概念和定义，该安全管理模块10的权限配置数据模块11用于保存权限配置数据，该权限配置数据记录了本地允许的权限配置情况，例如包含权限限制的描述，同时提供了不同电子设备间权限对象的规约。当不同设备权限配置数据有冲突时，该安全管理模块10需要按着权限的冲突解决条件进行冲突解决，例如根据当前电子设备的版本条件等保障不同电子设备间权限是一致的。

权限策略模块12，主要包含权限对象策略，用于管理权限对象，以及自动同步权限存根对象和权限代理对象的策略。一种可能的实现方式中，权限策略模块12可以按权限对象策略同步分布式网络系统100包括的所有电子设备间的权限对象，主要包括权限存根对象的正向同步以及权限代理对象的逆向反馈。另一种可能的实现方式中，权限策略模块12还可以根据场景要求，自动调整本地或者代理权限对象策略。

本地权限管理模块13，主要负责管理本地的服务进程，应理解，每个服务进程对应一个权限对象，本地权限管理模块13可以管理本地的权限对象。

应理解，一般地，电子设备操作系统对每个本地的应用进程都会设置相关的权限对象策略，即安全管理模块10在本地权限管理模块13中创建一个存根对象，即前述介绍的“权限存根对象”。当该电子设备作为服务提供设备时，这个权限存根对象拥有服务进程的权限对象的中所有针对分布式网络系统提供的能力约束。示例性的，Android系统中的内核模块SeLinux权限管理方案，本地权限管理模块13绑定进程要操作的资源或者服务、操作方法以及操作本身(如进程的身份标识ID等)。

网络权限管理模块14，主要负责对访问其他电子设备的服务进程的权限查询，以及对权限代理对象的管理。

图5是本申请实施例提供的一例权限对象的结构示意图。服务申请设备20和服务提供设备30的权限对象的结构如图5所示，对于服务申请设备20，本地权限管理模块13保存了本地的权限存根对象列表，该权限存根对象列表中包括一个或者多个权限存根对象的信息和每个权限存根对象的权限对象策略，每个权限对象策略包括该权限存根对象的权限要求、服务标识、访问接口、操作接口、资源标识等信息的一种或者多种，本申请实施例对此不做限定。

示例性的，该权限存根对象列表中包括权限存根对象1-权限存根对象N，其中权限存根对象1具有存根对象标签1，对应权限要求1、服务标识1和访问接口1。权限存根对象2具有存根对象标签1，对应为权限要求1时，具有资源标识1和操作接口1；当权限存根对象2对应为权限要求2时，具有服务标识2和访问接口2。

对于服务提供设备30，网络权限管理模块14保存了服务申请设备20的权限代理对象列表，该权限代理对象列表中包括一个或者多个权限代理对象的信息。应理解，该服务提供设备30保存的服务申请设备20的权限代理对象就是服务申请设备20的本地权限管理模块13的权限存根对象，因此，服务提供设备30的权限代理对象列表和服务申请设备20的权限存根对象列表具有一一对应关系。

应理解，在本申请实施例中，权限代理对象在服务申请设备20的访问进程首次访问服务提供设备30服务进程时生成，并存入服务提供设备30的网络权限管理模块14，同时由网络权限检查模块完成对服务申请设备20的访问进程的权限检查，判断其是否可以继续访问服务提供设备30的能力。其中，本申请实施例所说的“访问进程”用于电子设备之间的访问，是实现服务申请设备20和服务提供设备30之间的信息交互的方式，区别于前述介绍的“服务进程”和“应用进程”，此处不再赘述。

之后，当服务申请设备20的同一访问进程或者其它访问再次访问服务提供设备30的同一服务进程的服务能力时，服务提供设备30的网络权限管理模块14即可基于存储于本地的权限判断该访问进程是否拥有访问服务提供设备30的能力，从而降低了对网络访问要求，提高安全处理的效率。

对于图5中列举的权限存根对象列表和权限代理对象列表，这里需要说明的是，权限存根对象以及权限代理对象的结构以及生命周期情况。

当分布式网络系统的服务申请设备20声明注册其分布式能力时，会将其进程绑定的权限对象注册存入安全中间件中，此时服务申请设备20的安全管理模块10会自动生成权限对象的存根对象标签，并绑定存根对象标签与权限对象之间的一一映射关系。

之后，当有服务申请设备20申请该服务进程提供的能力时，会首先根据服务申请设备20的访问接口，查看当前网络权限管理模块14的网络权限代理是否有此访问接口的权限代理对象。如果有的话，则直接通过该权限代理对象判断目前服务申请设备20的访问接口是否拥有访问服进程的能力。否则，在服务提供设备30，查询该访问接口对应的权限存根对象，并将权限存根对象的存根对象标签传输到服务申请设备20上。服务申请设备20上的安全管理模块10，可以根据存根对象标签的信息以及权限配置数据模块11的信息，自动生成服务申请设备20上面的权限代理对象，然后再通过权限代理对象来判断服务申请设备20是否有权限继续访问服务提供设备30的服务进程的能力。可选地，图5中可以先由服务提供设备30生成权限代理对象列表，再更新到服务申请设备20侧的权限存根对象列表，两个列表具有一一对应的关系。

应理解，本申请实施例以采用面向对象的方法来举例介绍，实际过程中，可以采用面向对象方法，也可以采用面向过程方法，还可以由系统绑定相关服务进程来实现，本申请实施例对此不做限定。

还应理解，对于服务申请设备20和服务提供设备30，每一个设备都可以包括图5中所示的权限存根对象列表和权限代理对象列表，但是一个服务申请设备20的权限存根对象列表和一个服务提供设备30的权限代理对象列表之间具有一一映射关系，同一个服务申请设备20的权限存根对象列表和自身保存的权限代理对象列表之间可以不同。

图6是本申请实施例提供的一例服务申请设备和服务提供设备的交互示意图。如图6所示，本申请实施例提供的安全访问数据的方法应用于包括服务申请设备20和服务提供设备30的分布式网络系统中。应理解，为了简便，图6中只示出了服务申请设备20和服务提供设备30的部分模块，例如参与该过程的安全管理模块10。此外，该服务申请设备20也可以作为服务提供设备，同理，该服务提供设备30，实现同样的功能，本申请实施例对此类似的过程不再赘述。该方法600包括：

601，服务提供设备30注册一个或多个服务进程，即在本地权限管理模块13注册一 个或多个服务进程，并发布其分布式能力。

应理解，服务进程的分布式能力可以理解为服务提供设备30上的某个进程被分布式网络系统中的其他电子设备访问并使用的能力。例如用户手机安装的视频应用的服务进程可以被家庭的大屏电视访问并使用。

还应理解，服务提供设备30首先要对外声明自己的一个或多个服务进程提供对外访问能力，并在安全管理模块10注册其每个服务进程的权限对象，即“权限存根对象”，例如REMOTE_X_ACCESS。这里需要说明的是，权限存根对象的本质是权限对象在安全管理模块10中的代理模型，即权限存根对象相关对应的实现权限模型，并在权限配置数据模块11中记录。

一种可能的实现方式中，服务申请设备20与服务提供设备30进行连接(不限于首次连接或者每次连接)时，彼此之间会同步彼此权限配置数据模块11中记录的权限配置数据，达到两端设备的权限规约的一致性。此时，服务申请设备20与服务提供设备30可以以安全访问列表的方式告知彼此具有对外访问能力的进程(可以包括服务进程和应用进程)。例如对于服务提供设备30的REMOTE_X_ACCESS，此时REMOTE_X_ACCESS声明的相关权限规约也会同步到服务申请设备20上面。

可选地，安全访问列表可以包括服务提供设备30的权限控制列表的信息，比如远程蓝牙权限、远程定位权限、远程视频播放权限等，其中远程蓝牙、远程定位、远程视频播放分别代表一个服务进程。

可选地，权限配置数据模块11中记录的每个服务进程的权限配置数据可以包括每个服务进程的权限描述、权限控制对象、权限控制操作等的一种或者多种信息。

602，服务提供设备30的权限配置数据模块11根据本地权限管理模块13注册的一个或多个服务进程的权限配置数据进行校验，生成对应的权限存根对象。

603，服务提供设备30的本地权限管理模块13存储权限存根对象。

应理解，一个服务进程对应一个权限存根对象，服务提供设备30根据多个服务进程生成权限存根对象列表，并保存在本地权限管理模块13。该权限存根对象列表可以参照图5中的服务申请设备20的权限存根对象列表，此处不再赘述。

图7是本申请实施例提供过的一例服务申请设备访问服务提供设备的服务进程的示意图。示例性的，以服务申请设备20上的用户1的一个应用进程1需要访问服务提供设备30的用户1的服务进程2的过程为例，介绍安全访问的方法。

604，服务申请设备20接收访问第一服务进程的请求，该第一服务进程是服务提供设备30上具有分布式能力的应用对应的进程。

结合图7，服务申请设备20上的用户1的一个应用进程1首先向网络权限管理模块14申请对服务提供设备30的服务进程2的访问权限，即“第一服务进程的请求”。

605，服务申请设备20的网络权限检查模块查询网络权限代理模块是否拥有当前申请第一服务进程的访问接口的权限代码。

606-607，如果网络权限代理模块没有第一服务进程的访问接口的权限代码，服务申请设备20向服务提供设备30发送查询请求，查询服务提供设备30中第一服务进程的访问接口对应的权限存根对象。

608，服务提供设备30的接收服务申请设备20发送的查询请求，确定第一服务进程 的访问接口对应的第一权限存根对象。以及判断自身安全管理模块10的本地权限管理模块13中是否已经注册了该第一权限存根对象。

609，如果服务提供设备30的本地权限管理模块13中已经注册且存在该第一权限存根对象，服务申请设备20的网络权限代理模块根据第一权限存根对象生成第一权限代理对象。

还应理解，步骤609中，如果服务提供设备30的本地权限管理模块13中没有注册且不存在该第一权限存根对象，则服务申请设备20的网络权限代理模块不生成第一权限代理对象。

还应理解，如果第一服务进程的请求是首次申请对服务进程2的权限，则安全管理模块10会按其工作流程，在服务申请设备20生成其权限代理对象，然后后续使用中(例如非首次申请对服务进程2的权限)，权限代理对象进行校验时，安全管理模块10可以按上文图5中列举的权限存根对象列表和权限代理对象列表的结构定义中的说明，直接查询到第一服务进程的访问接口对应的第一权限存根对象，进一步确定第一权限代理对象。

为了防止每次都进行失败网络交互，当服务提供设备30拒绝服务申请设备20对服务进程2的访问时，可以对失败的操作生成匿名的空的代理对象，之后当此类代理对象访问时，会一直返回失败，从而减少网络交互次数，使得网络配置更加灵活。

610，服务申请设备20的网络权限检查模块根据第一权限代理对象，检查当前的访问接口是否被允许访问。

具体地，服务申请设备20的网络权限检查模块结合第一权限代理对象和相关算法判断当前对服务进程2的访问是否满足安全要求，并做出允许或者拒绝的操作，继续执行以下步骤611。

611，如果满足安全要求，则服务提供设备30允许服务申请设备20对服务进程2的访问；否则，服务提供设备30拒绝服务申请设备20对服务进程2的访问。

以上步骤604-步骤611的过程可以对应如图7所示的①②③④⑤的过程，此处不再赘述。

如果服务提供设备30拒绝服务申请设备20对服务进程2的访问，则可以在安全管理模块10中直接中断服务申请设备20的第一服务进程的请求。

如果服务提供设备30允许服务申请设备20对服务进程2的访问，则可以向服务提供设备30发送第一服务进程的请求，并由服务提供设备30处理服务申请设备20的访问请求。

通过上述过程，当服务申请设备20上面的某个应用进程1希望访问服务提供设备30的服务进程2时，可以通过安全管理模块10首先检查服务申请设备20应用进程1是否具有访问服务提供设备30服务进程2的权限。具体地，可以通过服务申请设备20的安全管理模块10查询是否有将要访问服务进程2的接口的代理权限对象，如果没有，则按上文步骤604-步骤611的过程生成权限代理对象，然后结合权限代理对象以及权限对象策略，对访问权限进行判断，控制接收或者拒绝服务进程2的接口的访问。

上述技术方案，在分布式网络系统中，以电子设备的进程作为权限对象，设计一种权限管理方案，通过安全管理模块控制其他电子设备的进程调用权限，从而约束其它电子设备的进程安全性。并将本机的应用进程的权限管理方案拓展到分布式网络系统中的其他电 子设备，提升了跨设备的权限管理的粒度，可以实现更细粒度跨设备的进程权限安全管理操作。

此外，本申请实施例还可以将远端电子设备的应用进程的权限检查，转化近端电子设备内的安全管理模块的权限检查，进一步节省网络资源，且实现了分布式网络系统的灵活配置，降低了跨设备进程权限管理的开销，提升了安全处理的效率。

本申请实施例采用面向对象的权限管理方式，使服务进程权限的检查过程发生在服务申请设备侧，通过安全管理模块的形式，保证安全访问策略的一致性，这样在泛在网络的情况下，可以有效降低安全检查对网络的依赖性，降低访问服务进程的申请时长，提升用户体验。

另一种可能的实现方式中，权限策略模块12还可以根据场景要求，自动调整本地或者代理的权限对象策略。

可选地，针对权限存根对象的权限对象策略，可以由用户进行自定义，或者在云端进行分定义。例如，主动配置权限对象策略，并存储在权限存根对象所在的电子设备中。

可选地，针对权限代理对象的权限对象策略，可以自动在服务申请设备和服务提供设备之间进行同步，或者在云端进行同步。例如，依赖于主动配置权限对象策略的被动配置策略数据，可以存储在权限代理对象所在的电子设备中。

示例性的，结合图7，当服务申请设备20中的应用进程1首次去访问服务提供设备30的服务进程2时，可以在服务申请设备20的安全管理模块10中自动创建一个权限代理对象，与此同时会将这个权限代理对象对应的权限存根对象的相关权限对象策略同步到安全管理模块10的权限策略模块12中。之后，当服务申请设备20去访问服务提供设备30的服务进程2时，会首先通过本地安全管理模块10中权限策略模块12的处理，可以按照服务提供设备30的策略要求，动态调整本地对远端电子设备的接口调用方法。

一种可能的情况中，当前服务提供设备30的服务进程2的策略发生变化时，安全管理模块10可以保障服务进程2的策略的及时更新同步，从而屏蔽原来的服务申请设备20与服务提供设备30的服务进程2的彼此对权限策略的依赖。

假设用户期望其设备的某进程可以对外提供分布式能力，但是为了提高访问该进程的安全性，可以在限定的场景下可以使用该进程的分布式能力。同时，针对不同的应用场景，该进程的分布式能力的权限对象策略也可以不同，或者说，电子设备对外提供的分布式能力会随着应用场景的变化而发生变化。

图8是本申请实施例提供的一例权限对象策略的约束示意图。如图8所示，电子设备的服务进程1和服务进程2可以对外提供分布式能力，但是可以针对服务进程1和服务进程2，设置不同的权限对象策略进行约束。

示例性的，如图8的箭头所示，针对服务进程1设置以下约束条件：

(1)在家的场景中，可以无要求允许远端电子设备中的应用进程访问该服务进程1；

(2)在公司场景中，只能在某个特定区域内，允许远端电子设备中的应用进程访问该服务进程1；

(3)但是在其它区域采用默认行为，不允许远端电子设备的应用进程访问该服务进程1。

针对服务进程2设置以下约束条件：

(1)只允许在驾车场景中，允许远端电子设备的应用进程访问该服务进程2。

示例性的，以手机为例，服务进程1可以是用户手机上视频应用对应的进程，服务进程2可以是用户手机上拨打电话对应的进程。

示例性的，针对用户进行访问手机视频数据，在家里，会允许智能音箱或者智能电视自动连接到用户手机上并获取视频数据进行播放。但是商场或者其它公共场所是不允许自动连接和访问，无论之前是否建立过安全认证，必须经过用户确认之后再处理。

可选地，应用进程所在的电子设备(即服务申请设备)可以通过GPS等定位方式、或者电子设备连接的基站所在位置等条件判断当前所处的场景为家的场景或者公司场景等，本申请实施例对此不做限定。

可选地，以上除了在不同的应用场景下设置不同的权限对象策略之外，还可以针对不同的电子设备，设置不同的权限对象策略。示例性的，设置用户的智能手表在任何场景下都可以访问用户的手机的任意进程，本申请实施例对此不再赘述定。

应理解，以上实施例只是列举了一种静态配置的在不同场景下动态调整权限对象策略的策略模型，实际实现过程中，权限对象策略也可以一种基于环境变量的动态调整算法，或者其它约束模块。

还应理解，权限代理对象的采用的权限对象策略的策略模型，需要与权限存储对象配置的线束策略模型一致。

通过上述方法，在分布式网络系统中，约束服务申请设备对本端服务提供设备的访问时，可以跟随应用场景的变化进行自适应调整，静态或者动态配置在不同场景下不同的权限对象策略，限制敏感应用只在相对安全的场景下，可以执行安全敏感操作，而其它环境中被限制使用，从而提高系统的安全性。同时，动态配置权限对象策略的过程可以发生在对端电子设备的安全管理模块上，可以有效降低安全策略控制对网络的依赖，提高用户的体验。

综上所述，本申请实施例以进程作为权限对象，设计了分布式的权限对象管理模型，提出一种在分布式网络系统中安全访问数据的方法，使用权限对象代理的方案来控制在服务申请设备上面的进程访问能力，从而达到限制服务申请设备对服务提供设备的进程访问的能力，进而约束了分布式网络系统中的远端电子设备进程对本端电子设备的服务进程的访问，提高分布式网络系统在进程级别的安全性，降低其中安全需求对网络的依赖强度，使得网络配置更加灵活。

具体地，在电子设备中引入安全管理模块，为电子设备的每个进程绑定一个权限对象，在分布式网络系统中，当服务提供设备的某个进程对外提供分布式能力时，可以将该进程的权限对象通过安全管理模块中分发到服务申请设备的安全管理模块中，并生成与之对应的权限代理对象，然后服务申请设备中的安全管理模块会基于该进程的权限代理对象，判断对当前设备的服务申请设备是否可以拥有对该进程的访问能力。

对于安全管理模块中每一条权限对象，会绑定相关的权限对象策略(或者称为“安全策略约束”)。在具体实现过程中，该权限对象策略可以是静态配置策略，也可以是基于环境变量的动态调整算法，根据权限对象策略，可以令权限代理对象的行为在服务申请设备中随着应用场景变化而自适应变化，从而限制服务申请设备执行的安全操作。此外，该权限对象的权限对象策略会跟随服务提供设备中的权限存根对象的策略进行自动同步变 化。

可选地，具有分布式能力的权限代理对象可以是首次动态生成的，例如当服务提供设备的该进程声明可以对外提供分布式能力时，会首先将该进程对应的权限对象一一映射到安全管理模块中，并生成权限存根对象。当分布式网络系统中的其他远程电子设备调用该权限对象时，服务提供设备的安全管理模块，会根据其将要访问该权限对象的访问接口，动态自动生成服务申请设备的访问接口对应的权限存根对象的权限代理对象，然后通过权限代理对象结合其相应的权限对象策略，控制服务提供设备对外接口的访问能力；并且权限代理对象的生命周期会跟随着权限存根对象的变化而自适应变化。

可以理解的是，分布式网络系统中的电子设备为了实现上述功能，其包含了执行各个功能相应的硬件和/或软件模块。结合本文中所公开的实施例描述的各示例的算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以结合实施例对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本实施例可以根据上述方法示例对电子设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块可以采用硬件的形式实现。需要说明的是，本实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，该电子设备可以包括：显示单元、检测单元和处理单元等。需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

本实施例提供的电子设备，用于执行上述安全访问数据的方法，因此可以达到与上述实现方法相同的效果。

在采用集成的单元的情况下，电子设备可以包括处理模块、存储模块和通信模块。其中，处理模块可以用于对电子设备的动作进行控制管理，例如，可以用于支持电子设备执行上述显示单元、检测单元和处理单元1执行的步骤。存储模块可以用于支持电子设备执行存储程序代码和数据等。通信模块，可以用于支持电子设备与其他设备的通信。

其中，处理模块可以是处理器或控制器。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，数字信号处理(digital signal processing，DSP)和微处理器的组合等等。存储模块可以是存储器。通信模块具体可以为射频电路、蓝牙芯片、Wi-Fi芯片等与其他电子设备交互的设备。

在一个实施例中，当处理模块为处理器，存储模块为存储器时，本实施例所涉及的电子设备可以为具有图2或者图3所示结构的设备。

本实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机指令，当该计算机指令在电子设备上运行时，使得电子设备执行上述相关方法步骤实现上述实施例中的安全访问数据的方法。

本实施例还提供了一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述相关步骤，以实现上述实施例中的安全访问数据的方法。

另外，本申请的实施例还提供一种装置，这个装置具体可以是芯片，组件或模块，该装置可包括相连的处理器和存储器；其中，存储器用于存储计算机执行指令，当装置运行时，处理器可执行存储器存储的计算机执行指令，以使芯片执行上述各方法实施例中的安全访问数据的方法。

其中，本实施例提供的电子设备、计算机存储介质、计算机程序产品或芯片均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果，此处不再赘述。

通过以上实施方式的描述，所属领域的技术人员可以了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上内容，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims (21)

1. 一种安全访问数据的方法，其特征在于，应用于包括第一电子设备和第二电子设备的分布式网络系统中，所述方法包括：

   所述第一电子设备向所述第二电子设备发送第一服务进程的请求，所述第一服务进程是所述第二电子设备上具有分布式能力的应用对应的进程；

   所述第二电子设备根据所述第一服务进程的请求，确定所述第一服务进程的访问接口对应的第一权限存根对象以及所述第一权限存根对象的权限对象策略；

   所述第二电子设备向所述第一电子设备发送所述第一权限存根对象和所述第一权限存根对象的权限对象策略；

   所述第一电子设备根据所述第一权限存根对象和所述第一权限存根对象的权限对象策略，生成第一权限代理对象和所述第一权限代理对象的权限对象策略；

   所述第一电子设备根据所述第一权限代理对象和所述第一权限代理对象的权限对象策略，确定当前所述第一服务进程的访问接口是否被允许访问；

   当所述第一服务进程的访问接口被允许访问时，所述第一电子设备访问所述第二电子设备的所述第一服务进程的数据。
2. 根据权利要求1所述的方法，其特征在于，所述第一电子设备向所述第二电子设备发送所述第一服务进程的请求之前，所述方法还包括：

   所述第一电子设备接收访问所述第一服务进程的请求；

   响应于所述第一服务进程的请求，所述第一电子设备确定所述第一服务进程的访问接口的权限；

   所述第一电子设备确定当前没有针对所述第一服务进程的访问接口的权限。
3. 根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

   所述第二电子设备注册N个服务进程，发布所述N个服务进程中每个服务进程的分布式能力，所述第一服务进程是所述N个服务进程中的任意一个，N为正整数；

   所述第二电子设备根据注册的所述N个服务进程，确定所述N个服务进程中每个服务进程的权限对象策略；

   所述第二电子设备根据所述N个服务进程和N个服务进程的权限对象策略，生成权限存根对象列表，所述权限存根对象列表包括与所述每个服务进程一一对应的N个权限存根对象的信息和所述N个权限存根对象的权限对象策略。
4. 根据权利要求3所述的方法，其特征在于，所述第一电子设备向所述第二电子设备发送第一服务进程的请求之后，所述方法还包括：

   所述第二电子设备根据所述第一服务进程的请求，确定所述N个权限存根对象中不包括所述第一权限存根对象；

   所述第二电子设备拒绝所述第一电子设备访问所述第一服务进程的数据。
5. 根据权利要求1至4中任一项所述的方法，其特征在于，所述第一权限存根对象的权限对象策略包括以下信息中的至少一种：

   所述第一权限存根对象的权限要求信息、服务标识信息、访问接口信息、操作接口信 息、资源标识信息。
6. 根据权利要求1至5中任一项所述的方法，其特征在于，所述第一权限存根对象的权限对象策略还包括场景约束信息，所述场景约束信息用于指示针对不同的应用场景或者不同的地理位置或者所述第一电子设备的设备信息，所述第一服务进程被所述第一电子设备访问的权限。
7. 根据权利要求1至6中任一项所述的方法，其特征在于，所述第一权限存根对象的权限对象策略是用户自定义的策略；或者在云端定义的策略。
8. 一种安全访问数据的方法，其特征在于，应用于包括第一电子设备和第二电子设备的分布式网络系统中，所述第一电子设备存储有权限代理对象列表和所述权限代理对象列表中每个权限代理对象的权限对象策略，所述方法包括：

   所述第一电子设备接收访问所述第一服务进程的请求，所述第一服务进程是所述第二电子设备上具有分布式能力的应用对应的进程；

   响应于所述第一服务进程的请求，所述第一电子设备确定第一权限代理对象和所述第一权限代理对象的权限对象策略；

   所述第一电子设备根据所述第一权限代理对象和所述第一权限代理对象的权限对象策略，访问所述第一服务进程的数据。
9. 根据权利要求8所述的方法，其特征在于，所述权限代理对象列表和所述权限代理对象列表中每个权限代理对象的权限对象策略与所述第二电子设备存储的权限存根对象列表和所述权限代理对象列表中每个权限存根对象的权限对象策略是一一对应的。
10. 根据权利要求8或9所述的方法，其特征在于，所述第二电子设备存储的权限存根对象列表包括N个权限存根对象，所述方法还包括：

    所述第二电子设备注册N个服务进程，发布所述N个服务进程中每个服务进程的分布式能力，所述第一服务进程是所述N个服务进程中的任意一个，N为正整数；

    所述第二电子设备根据注册的所述N个服务进程，确定所述N个服务进程中每个服务进程的权限对象策略；

    所述第二电子设备根据所述N个服务进程和N个服务进程的权限对象策略，生成所述权限存根对象列表，所述权限存根对象列表包括与所述每个服务进程一一对应的N个权限存根对象的信息和所述N个权限存根对象的权限对象策略。
11. 一种安全访问数据的方法，其特征在于，所述方法包括：

    所述第一电子设备向第二电子设备发送第一服务进程的请求，所述第一电子设备和所述第二电子设备是分布式网络系统中的两个不同电子设备，所述第一服务进程是所述第二电子设备上具有分布式能力的应用对应的进程；

    所述第一电子设备接收根据所述第二电子设备发送的所述第一服务进程的访问接口对应的第一权限存根对象以及所述第一权限存根对象的权限对象策略，其中，第一权限存根对象以及所述第一权限存根对象的权限对象策略是所述第二电子设备根据所述第一服务进程的请求确定的；

    所述第一电子设备根据所述第一权限存根对象和所述第一权限存根对象的权限对象策略，生成第一权限代理对象和所述第一权限代理对象的权限对象策略；

    所述第一电子设备根据所述第一权限代理对象和所述第一权限代理对象的权限对象 策略，确定当前所述第一服务进程的访问接口是否被允许访问；

    当所述第一服务进程的访问接口被允许访问时，所述第一电子设备访问所述第二电子设备的所述第一服务进程的数据。
12. 根据权利要求11所述的方法，其特征在于，所述第一电子设备向所述第二电子设备发送所述第一服务进程的请求之前，所述方法还包括：

    所述第一电子设备接收访问所述第一服务进程的请求；

    响应于所述第一服务进程的请求，所述第一电子设备确定所述第一服务进程的访问接口的权限；

    所述第一电子设备确定当前没有针对所述第一服务进程的访问接口的权限。
13. 一种安全访问数据的方法，其特征在于，所述方法包括：

    所述第二电子设备接收所述第一电子设备发送的第一服务进程的请求，所述第一服务进程是所述第二电子设备上具有分布式能力的应用对应的进程；

    所述第二电子设备根据所述第一服务进程的请求，确定所述第一服务进程的访问接口对应的第一权限存根对象以及所述第一权限存根对象的权限对象策略；

    所述第二电子设备向所述第一电子设备发送所述第一权限存根对象和所述第一权限存根对象的权限对象策略；

    当所述第一服务进程的访问接口被允许访问时，所述第二电子设备允许所述第二电子设备访问所述第一服务进程的数据。
14. 根据权利要求13所述的方法，其特征在于，所述方法还包括：

    所述第二电子设备注册N个服务进程，发布所述N个服务进程中每个服务进程的分布式能力，所述第一服务进程是所述N个服务进程中的任意一个，N为正整数；

    所述第二电子设备根据注册的所述N个服务进程，确定所述N个服务进程中每个服务进程的权限对象策略；

    所述第二电子设备根据所述N个服务进程和N个服务进程的权限对象策略，生成权限存根对象列表，所述权限存根对象列表包括与所述每个服务进程一一对应的N个权限存根对象的信息和所述N个权限存根对象的权限对象策略。
15. 根据权利要求14所述的方法，其特征在于，所述第二电子设备接收所述第一电子设备发送的第一服务进程的请求之后，所述方法还包括：

    所述第二电子设备根据所述第一服务进程的请求，确定所述N个权限存根对象中不包括所述第一权限存根对象；

    所述第二电子设备拒绝所述第一电子设备访问所述第一服务进程的数据。
16. 根据权利要求11至15中任一项所述的方法，其特征在于，所述第一权限存根对象的权限对象策略包括以下信息中的至少一种：

    所述第一权限存根对象的权限要求信息、服务标识信息、访问接口信息、操作接口信息、资源标识信息。
17. 根据权利要求11至16中任一项所述的方法，其特征在于，所述第一权限存根对象的权限对象策略还包括场景约束信息，所述场景约束信息用于指示针对不同的应用场景或者不同的地理位置或者所述第一电子设备的设备信息，所述第一服务进程被所述第一电子设备访问的权限。
18. 根据权利要求11至16中任一项所述的方法，其特征在于，所述第一权限存根对象的权限对象策略是用户自定义的策略；或者在云端定义的策略。
19. 一种电子设备，其特征在于，包括：一个或多个处理器；存储器；安装有多个应用程序的模块；以及一个或多个程序，其中所述一个或多个程序被存储在所述存储器中，当所述一个或者多个程序被所述处理器执行时，使得所述电子设备执行如权利要求1至18中任一项所述的方法。
20. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，当所述计算机指令在电子设备上运行时，使得所述电子设备执行如权利要求1至18中任一项所述的方法。
21. 一种计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得所述计算机执行如权利要求1至18中任一项所述的方法。

Images