管理權(quán)限方法、裝置及終端的制作方法
【專利摘要】本發(fā)明實(shí)施例提供一種管理權(quán)限方法�����、裝置及終端�����,該管理權(quán)限方法包括���,通過獲取第一應(yīng)用程序的安裝包,該安裝包中攜帶有第一應(yīng)用程序的第一證書和權(quán)限請求信息����。接著,根據(jù)權(quán)限請求信息確定第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限�,其中,第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限�����,然后��,根據(jù)第一應(yīng)用程序的第一證書��,將第一權(quán)限授予第一應(yīng)用程序。從而�,實(shí)現(xiàn)將第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限授予第一應(yīng)用程序。
【專利說明】管理權(quán)限方法�����、裝置及終端
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)技術(shù)���,尤其涉及一種管理權(quán)限方法��、裝置及終端��。
【背景技術(shù)】
[0002]在Android操作系統(tǒng)中����,應(yīng)用可以申請不同的權(quán)限���。在應(yīng)用申請到需要的權(quán)限之后����,可以調(diào)用相應(yīng)的API或應(yīng)用組件完成相應(yīng)功能����。
[0003]在現(xiàn)有技術(shù)中��,需要ROOT權(quán)限的應(yīng)用在使用過程中���,若未獲得ROOT權(quán)限,將無法正常使用該應(yīng)用中需要ROOT權(quán)限的功能�;若獲取ROOT權(quán)限,則可以正常運(yùn)行�����,即對系統(tǒng)進(jìn)行控制�,如應(yīng)用權(quán)限的管控等�。
[0004]然而,基于安全的考慮��,移動(dòng)終端的開發(fā)商沒有將ROOT權(quán)限開放給用戶��,從而用戶在使用沒有對用戶開放ROOT權(quán)限的移動(dòng)終端時(shí)���,將無法正常使用對應(yīng)ROOT權(quán)限的功能����,如對移動(dòng)終端系統(tǒng)的控制或訪問。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實(shí)施例提供一種管理權(quán)限方法�����、裝置及終端�����,以實(shí)現(xiàn)用戶對移動(dòng)終端系統(tǒng)的控制或訪問����。
[0006]本發(fā)明第一方面,提供一種管理權(quán)限方法�����,包括:
[0007]獲取第一應(yīng)用程序的安裝包���,所述安裝包中攜帶有所述第一應(yīng)用程序的第一證書和權(quán)限請求信息�;
[0008]根據(jù)所述權(quán)限請求信息確定所述第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限����,所述第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限;
[0009]根據(jù)所述第一應(yīng)用程序的所述第一證書���,將所述第一權(quán)限授予所述第一應(yīng)用程序��。
[0010]在第一方面的第一種可能的實(shí)現(xiàn)方式中���,所述根據(jù)所述第一應(yīng)用程序的所述第一證書�,將所述第一權(quán)限授予所述第一應(yīng)用程序��,包括:
[0011]確定可信證書列表中是否存儲有第二證書�,所述第二證書為通過所述第一證書中的索引信息在可信證書列表中查找到的證書,所述可信證書列表中至少存儲有允許授予應(yīng)用程序的證書�;
[0012]若確定所述可信證書列表中存儲有所述第二證書,則將所述第一權(quán)限授予所述第
一應(yīng)用程序���;
[0013]若確定所述可信證書列表中沒有存儲所述第二證書��,則將第二權(quán)限授予所述第一應(yīng)用程序����,所述第二權(quán)限為所述系統(tǒng)開發(fā)商和所述移動(dòng)終端廠商為所述第一應(yīng)用程序開放的權(quán)限�����,或者���,提示用戶將所述第二證書存儲在用戶可信證書列表中�����,并在所述用戶將所述第二證書存儲在所述用戶可信證書列表之后��,將所述第一權(quán)限授予所述第一應(yīng)用程序�,所述用戶可信證書列表中存儲有所述用戶信任的證書�����。
[0014]結(jié)合第一方面的第一種可能的實(shí)現(xiàn)方式�����,在第一方面的第二種可能的實(shí)現(xiàn)方式中�����,所述確定所述可信證書列表中存儲有所述第二證書之后�,還包括:
[0015]確定所述可信證書列表中所述第二證書對應(yīng)的權(quán)限信息是否有所述第一權(quán)限;
[0016]若是����,則將所述第一權(quán)限授予所述第一應(yīng)用程序�����;
[0017]若否���,則將所述第二權(quán)限授予所述第一應(yīng)用程序。
[0018]在第一方面的第三種可能的實(shí)現(xiàn)方式中��,所述根據(jù)所述第一應(yīng)用程序的所述第一證書��,將所述第一權(quán)限授予所述第一應(yīng)用程序��,包括:
[0019]確定可信證書列表中是否存儲有第二證書�����,所述第二證書為通過所述第一證書的上級證書中的索引信息查找到的證書��,所述可信證書列表中至少存儲有允許授予應(yīng)用程序的證書�����;
[0020]若是��,則將所述第一權(quán)限授予所述第一應(yīng)用程序�����;
[0021]若否�,則將第二權(quán)限授予所述第一應(yīng)用程序,所述第二權(quán)限為所述系統(tǒng)開發(fā)商和所述移動(dòng)終端廠商為所述第一應(yīng)用程序開放的權(quán)限���。
[0022]結(jié)合第一方面的第一種可能的實(shí)現(xiàn)方式或者第一方面的第二種可能的實(shí)現(xiàn)方式或第一方面的第三種可能的實(shí)現(xiàn)方式中�����,在第一方面的第四種可能的實(shí)現(xiàn)方式中�,所述將所述第一權(quán)限授予所述第一應(yīng)用程序之前���,還包括:
[0023]根據(jù)所述第二證書和所述第一應(yīng)用程序中的簽名信息確定所述第一應(yīng)用程序中的所述安裝包是否是完整的�����;
[0024]若不完整�,則終止所有操作;
[0025]若完整�,則將所述第一權(quán)限授予所述第一應(yīng)用程序。
[0026]結(jié)合第一方面的第一種可能的實(shí)現(xiàn)方式至第一方面的第四種可能的實(shí)現(xiàn)方式中任意一種�,在第一方面的第五種可能的實(shí)現(xiàn)方式中,所述可信證書列表設(shè)置在移動(dòng)終端或服務(wù)器上�。
[0027]結(jié)合第一方面至第一方面的第五種可能的實(shí)現(xiàn)方式中任意一種����,在第一方面的第六種可能的實(shí)現(xiàn)方式中�����,所述將所述第一權(quán)限授予所述第一應(yīng)用程序之前��,還包括:
[0028]在所述系統(tǒng)中設(shè)置所述第一權(quán)限�����。
[0029]結(jié)合第一方面至第一方面的第六種可能的實(shí)現(xiàn)方式中任意一種���,在第一方面的第七種可能的實(shí)現(xiàn)方式中��,所述將所述第一權(quán)限授予所述第一應(yīng)用程序之后��,還包括:
[0030]接收移動(dòng)終端廠商發(fā)送的更新信息����,所述更新信息中攜帶有第三證書的索引��、配置于所述第三證書的第三權(quán)限以及操作指示,所述操作指示用于刪除或者增加所述第三證書對應(yīng)的所述第三權(quán)限�,所述第三證書已設(shè)置在可信證書列表中���;
[0031]根據(jù)所述更新信息�,刪除或增加所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限�;
[0032]若根據(jù)所述更新信息,刪除所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限�,則將所述第三權(quán)限不授予第二應(yīng)用程序,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序�;
[0033]若根據(jù)所述更新信息,增加所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限�����,則將所述第三權(quán)限授予第二應(yīng)用程序�����,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序���。
[0034]結(jié)合第一方面至第一方面的第六種可能的實(shí)現(xiàn)方式中任意一種�����,在第一方面的第八種可能的實(shí)現(xiàn)方式中,所述將所述第一權(quán)限授予所述第一應(yīng)用程序之后���,還包括:
[0035]接收移動(dòng)終端廠商發(fā)送的更新信息�,所述更新信息中攜帶有第三證書以及操作指示��,所述操作指示用于在可信證書列表中增加或刪除所述第三證書��;
[0036]根據(jù)所述更新信息����,將所述第三證書增加到所述可信證書列表中���,或?qū)⑺龅谌C書從所述可信證書列表中刪除��;
[0037]若將所述第三證書增加到所述可信證書列表,將所述第三證書對應(yīng)的權(quán)限授予所述第二應(yīng)用程序��,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序�����;
[0038]若將所述第三證書從所述可信證書列表中刪除,將所述第三證書對應(yīng)的權(quán)限不授予所述第二應(yīng)用程序����,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序�。
[0039]本發(fā)明第二方面���,提供一種管理權(quán)限裝置���,包括:
[0040]獲取模塊�,用于獲取第一應(yīng)用程序的安裝包,所述安裝包中攜帶有所述第一應(yīng)用程序的第一證書和權(quán)限請求信息����;
[0041]確定模塊,用于根據(jù)所述權(quán)限請求信息確定所述第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限�,所述第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限;
[0042]授予模塊���,用于根據(jù)所述第一應(yīng)用程序的所述第一證書�,將所述第一權(quán)限授予所述第一應(yīng)用程序�。
[0043]在第二方面的第一種可能的實(shí)現(xiàn)方式中,所述確定模塊����,具體用于確定可信證書列表中是否存儲有第二證書��,所述第二證書為通過所述第一證書中的索引信息在可信證書列表中查找到的證書�����,所述可信證書列表中至少存儲有允許授予應(yīng)用程序的證書�����;
[0044]所述授予模塊����,具體用于若確定所述可信證書列表中存儲有所述第二證書����,則將所述第一權(quán)限授予所述第一應(yīng)用程序;若確定所述可信證書列表中沒有存儲所述第二證書��,則將第二權(quán)限授予所述第一應(yīng)用程序����,所述第二權(quán)限為所述系統(tǒng)開發(fā)商和所述移動(dòng)終端廠商為所述第一應(yīng)用程序開放的權(quán)限,或者����,提示用戶將所述第二證書存儲在用戶可信證書列表中�,并在所述用戶將所述第二證書存儲在所述用戶可信證書列表之后��,將所述第一權(quán)限授予所述第一應(yīng)用程序�,所述用戶可信證書列表中存儲有所述用戶信任的證書。
[0045]結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式����,在第二方面的第二種可能的實(shí)現(xiàn)方式中,所述確定模塊���,還用于確定所述可信證書列表中所述第二證書對應(yīng)的權(quán)限信息是否有所述第一權(quán)限���;
[0046]所述授予模塊��,還用于若確定所述可信證書列表中所述第二證書對應(yīng)的權(quán)限信息有所述第一權(quán)限��,將所述第一權(quán)限授予所述第一應(yīng)用程序��;若確定所述可信證書列表中所述第二證書對應(yīng)的權(quán)限信息沒有所述第一權(quán)限��,則將所述第二權(quán)限授予所述第一應(yīng)用程序����。
[0047]在第二方面的第三種可能的實(shí)現(xiàn)方式中��,所述確定模塊�����,還用于確定可信證書列表中是否存儲有第二證書���,所述第二證書為通過所述第一證書的上級證書中的索引信息查找到的證書,所述可信證書列表中至少存儲有允許授予應(yīng)用程序的證書�;
[0048]所述授予模塊,還用于若確定可信證書列表中存儲有所述第二證書�,則將所述第一權(quán)限授予所述第一應(yīng)用程序;若確定可信證書列表中沒有存儲有所述第二證書����,則將第二權(quán)限授予所述第一應(yīng)用程序,所述第二權(quán)限為所述系統(tǒng)開發(fā)商和所述移動(dòng)終端廠商為所述第一應(yīng)用程序開放的權(quán)限��。[0049]結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式或者第二方面的第二種可能的實(shí)現(xiàn)方式或第二方面的第三種可能的實(shí)現(xiàn)方式中���,在第二方面的第四種可能的實(shí)現(xiàn)方式中��,所述確定模塊��,還用于根據(jù)所述第二證書和所述第一應(yīng)用程序中的簽名信息確定所述第一應(yīng)用程序中的所述安裝包是否是完整的��;
[0050]所述授予模塊���,還用于若所述確定模塊確定為不完整���,則終止所有操作;若所述確定模塊確定為完整����,則將所述第一權(quán)限授予所述第一應(yīng)用程序。
[0051]結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式至第二方面的第四種可能的實(shí)現(xiàn)方式中任意一種�,在第二方面的第五種可能的實(shí)現(xiàn)方式中,所述可信證書列表設(shè)置在移動(dòng)終端或服務(wù)器上�����。
[0052]結(jié)合第二方面至第二方面的第五種可能的實(shí)現(xiàn)方式中任意一種��,在第二方面的第六種可能的實(shí)現(xiàn)方式中�����,還包括:設(shè)置模塊�����,用于在所述系統(tǒng)中設(shè)置所述第一權(quán)限�����。
[0053]結(jié)合第二方面至第二方面的第六種可能的實(shí)現(xiàn)方式中任意一種�����,在第二方面的第七種可能的實(shí)現(xiàn)方式中�,還包括:
[0054]接收模塊,用于接收移動(dòng)終端廠商發(fā)送的更新信息��,所述更新信息中攜帶有第三證書的索引�、配置于所述第三證書的第三權(quán)限以及操作指示,所述操作指示用于指示刪除或者增加所述第三證書對應(yīng)的所述第三權(quán)限�,所述第三證書已設(shè)置在可信證書列表中;
[0055]更新模塊�,用于根據(jù)所述更新信息,刪除或增加所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限����;
[0056]處理模塊,用于根據(jù)所述更新信息,刪除所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限�����,將所述第三權(quán)限不授予第二應(yīng)用程序���;根據(jù)所述更新信息��,增加所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限�,將所述第三權(quán)限授予第二應(yīng)用程序����,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序。
[0057]結(jié)合第二方面至第二方面的第六種可能的實(shí)現(xiàn)方式中任意一種�����,在第二方面的第八種可能的實(shí)現(xiàn)方式中����,接收模塊,用于接收移動(dòng)終端廠商發(fā)送的更新信息�����,所述更新信息中攜帶有第三證書以及操作指示����,所述操作指示用于在可信證書列表中增加或刪除所述第二證書;
[0058]所述更新模塊,還用于根據(jù)所述更新信息�,將所述第三證書增加到所述可信證書列表中,或?qū)⑺龅谌C書從所述可信證書列表中刪除�;
[0059]所述處理模塊,還用于在所述更新模塊將所述第三證書增加到所述可信證書列表之后�,將所述第三證書對應(yīng)的權(quán)限授予第二應(yīng)用程序;在所述更新模塊將所述第三證書增從所述可信證書列表中刪除�����,將所述第三證書對應(yīng)的權(quán)限不授予第二應(yīng)用程序���,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序��。
[0060]本發(fā)明第三方面����,提供一種終端�,包括:接收器以及與所述接收器連接的處理器,其中��,
[0061]所述接收器,用于獲取第一應(yīng)用程序的安裝包��,所述安裝包中攜帶有所述第一應(yīng)用程序的第一證書和權(quán)限請求信息�;
[0062]所述處理器,用于根據(jù)所述權(quán)限請求信息確定所述第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限����,所述第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限;根據(jù)所述第一應(yīng)用程序的所述第一證書��,將所述第一權(quán)限授予所述第一應(yīng)用程序�。[0063]在第三方面的第一種可能的實(shí)現(xiàn)方式中,所述處理器��,具體用于確定可信證書列表中是否存儲有第二證書��,所述第二證書為通過所述第一證書中的索引信息在可信證書列表中查找到的證書��,所述可信證書列表中至少存儲有允許授予應(yīng)用程序的證書���;若確定所述可信證書列表中存儲有所述第二證書����,則將所述第一權(quán)限授予所述第一應(yīng)用程序����;若確定所述可信證書列表中沒有存儲所述第二證書����,則將第二權(quán)限授予所述第一應(yīng)用程序����,所述第二權(quán)限為所述系統(tǒng)開發(fā)商和所述移動(dòng)終端廠商為所述第一應(yīng)用程序開放的權(quán)限���,或者����,提示用戶將所述第二證書存儲在用戶可信證書列表中����,并在所述用戶將所述第二證書存儲在所述用戶可信證書列表之后,將所述第一權(quán)限授予所述第一應(yīng)用程序���,所述用戶可信證書列表中存儲有所述用戶信任的證書���。
[0064]結(jié)合第三方面的第一種可能的實(shí)現(xiàn)方式,在第三方面的第二種可能的實(shí)現(xiàn)方式中����,所述處理器���,還用于確定所述可信證書列表中所述第二證書對應(yīng)的權(quán)限信息是否有所述第一權(quán)限;若確定所述可信證書列表中所述第二證書對應(yīng)的權(quán)限信息有所述第一權(quán)限�,將所述第一權(quán)限授予所述第一應(yīng)用程序;若確定所述可信證書列表中所述第二證書對應(yīng)的權(quán)限信息沒有所述第一權(quán)限�����,則將所述第二權(quán)限授予所述第一應(yīng)用程序�����。
[0065]在第三方面的第三種可能的實(shí)現(xiàn)方式中�����,所述處理器�����,還用于確定可信證書列表中是否存儲有第二證書��,所述第二證書為通過所述第一證書的上級證書中的索引信息查找到的證書�,所述可信證書列表中至少存儲有允許授予應(yīng)用程序的證書�;若確定可信證書列表中存儲有第二證書�,則將所述第一權(quán)限授予所述第一應(yīng)用程序;若確定可信證書列表中沒有存儲有第二證書���,則將第二權(quán)限授予所述第一應(yīng)用程序���,所述第二權(quán)限為所述系統(tǒng)開發(fā)商和所述移動(dòng)終端廠商為所述第一應(yīng)用程序開放的權(quán)限��。
[0066]結(jié)合第三方面的第一種可能的實(shí)現(xiàn)方式或者第三方面的第二種可能的實(shí)現(xiàn)方式或第三方面的第三種可能的實(shí)現(xiàn)方式中��,在第三方面的第四種可能的實(shí)現(xiàn)方式中��,所述處理器��,還用于根據(jù)所述第二證書和所述第一應(yīng)用程序中的簽名信息確定所述第一應(yīng)用程序中的所述安裝包是否是完整的����;若所述確定模塊確定為不完整,則終止所有操作��;若所述確定模塊確定為完整�,則將所述第一權(quán)限授予所述第一應(yīng)用程序。
[0067]結(jié)合第三方面的第一種可能的實(shí)現(xiàn)方式至第三方面的第四種可能的實(shí)現(xiàn)方式中任意一種���,在第三方面的第五種可能的實(shí)現(xiàn)方式中���,所述可信證書列表設(shè)置在移動(dòng)終端或服務(wù)器上����。
[0068]結(jié)合第三方面至第三方面的第五種可能的實(shí)現(xiàn)方式中任意一種�,在第三方面的第六種可能的實(shí)現(xiàn)方式中,所述處理器����,還用于在所述系統(tǒng)中設(shè)置所述第一權(quán)限。
[0069]結(jié)合第三方面至第三方面的第六種可能的實(shí)現(xiàn)方式中任意一種�����,在第三方面的第七種可能的實(shí)現(xiàn)方式中�,所述接收器,還用于接收移動(dòng)終端廠商發(fā)送的更新信息�����,所述更新信息中攜帶有第三證書的索引�����、配置于所述第三證書的第三權(quán)限、以及操作指示����,所述操作指示用于指示刪除或者增加所述第三證書對應(yīng)的所述第三權(quán)限,所述第三證書已設(shè)置在可?目證書列表中����;
[0070]所述處理器,還用于根據(jù)所述更新信息����,刪除或增加所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限�;或者,
[0071]所述處理器���,還用于根據(jù)所述更新信息�,刪除所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限�����,將所述第三權(quán)限不授予第二應(yīng)用程序�����;根據(jù)所述更新信息,增加所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限�����,將所述第三權(quán)限授予第二應(yīng)用程序���,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序�����。
[0072]結(jié)合第三方面至第三方面的第六種可能的實(shí)現(xiàn)方式中任意一種�����,在第三方面的第八種可能的實(shí)現(xiàn)方式中���,所述接收器���,用于接收移動(dòng)終端廠商發(fā)送的更新信息�����,所述更新信息中攜帶有第三證書以及操作指示���,所述操作指示用于在可信證書列表中增加或刪除所述第二證書����;
[0073]所述處理器����,還用于根據(jù)所述更新信息,將所述第三證書增加到所述可信證書列表中�,或?qū)⑹龅谌C書從所述可信證書列表中刪除;或者���,
[0074]所述處理器���,還用于將所述第三證書增加到所述可信證書列表之后���,將所述第三證書對應(yīng)的權(quán)限授予第二應(yīng)用程序��;將所述第三證書從所述可信證書列表中刪除���,將所述第三證書對應(yīng)的權(quán)限不授予第二應(yīng)用程序,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序。
[0075]本發(fā)明實(shí)施例提供的管理權(quán)限方法�、裝置和終端,通過獲取第一應(yīng)用程序的安裝包�����,該安裝包中攜帶有第一應(yīng)用程序的第一證書和權(quán)限請求信息��。根據(jù)權(quán)限請求信息確定第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限�,其中,第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限��,根據(jù)第一應(yīng)用程序的第一證書���,將第一權(quán)限授予第一應(yīng)用程序���。從而,實(shí)現(xiàn)將第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限授予第一應(yīng)用程序��。這樣����,可以實(shí)現(xiàn)用戶對移動(dòng)終端系統(tǒng)的控制或訪問。
【專利附圖】
【附圖說明】
[0076]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹����,顯而易見地,下面描述中的附圖是本發(fā)明的一些實(shí)施例����,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。
[0077]圖1為本發(fā)明管理權(quán)限方法一實(shí)施例的流程圖���;
[0078]圖2為本發(fā)明管理權(quán)限方法另一實(shí)施例的流程圖��;
[0079]圖3為本發(fā)明管理權(quán)限方法再一實(shí)施例的流程圖��;
[0080]圖4為本發(fā)明管理權(quán)限方法中證書吊銷列表的示意圖�����;
[0081]圖5為本發(fā)明管理權(quán)限方法再一實(shí)施例的流程圖;
[0082]圖6為本發(fā)明管理權(quán)限方法再一實(shí)施例的流程圖��;
[0083]圖7為本發(fā)明管理權(quán)限方法再一實(shí)施例的流程圖���;
[0084]圖8為本發(fā)明管理權(quán)限裝置一實(shí)施例的結(jié)構(gòu)示意圖��;
[0085]圖9為本發(fā)明管理權(quán)限裝置另一實(shí)施例的結(jié)構(gòu)示意圖����;
[0086]圖10為本發(fā)明終端一實(shí)施例的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0087]為使本發(fā)明實(shí)施例的目的�、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述�����,顯然���,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例�,而不是全部的實(shí)施例�����?�;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例����,都屬于本發(fā)明保護(hù)的范圍。[0088]本發(fā)明實(shí)施例提供的管理權(quán)限方法可以應(yīng)用于第三方應(yīng)用程序安裝到移動(dòng)終端����,該移動(dòng)終端可以為智能手機(jī)等。本實(shí)施例提供的管理權(quán)限的方法可以通過管理權(quán)限裝置來執(zhí)行���,該管理權(quán)限裝置可以集成在移動(dòng)終端上�����,并且���,該管理權(quán)限裝置可以采用軟件和/或硬件的方式來實(shí)現(xiàn)。以下對本實(shí)施例提供的管理權(quán)限方法及裝置進(jìn)行詳細(xì)地說明���。
[0089]圖1為本發(fā)明管理權(quán)限方法一實(shí)施例的流程圖���,如圖1所示,本實(shí)施例的方法可以包括:
[0090]步驟101�、獲取第一應(yīng)用程序的安裝包,其中�����,該安裝包中攜帶有第一應(yīng)用程序的第一證書和權(quán)限請求信息�����。
[0091 ] 在本實(shí)施例中�,第一證書可以為第三方應(yīng)用開發(fā)商對第一應(yīng)用程序進(jìn)行簽名時(shí)使用的證書。第一證書可以包括有第一證書的公鑰��,第一證書的索引���,第一證書的所有者信息��,以及第一證書的加密算法等�。其中��,第三方應(yīng)用開發(fā)商可以為除系統(tǒng)開發(fā)商和移動(dòng)終端廠商之外的應(yīng)用開發(fā)商�。
[0092]本實(shí)施例中的權(quán)限請求信息可以為運(yùn)行第一應(yīng)用程序時(shí)需要申請的權(quán)限信息,一般該權(quán)限請求信息設(shè)置在安裝包的配置文件中�����,例如,以配置文件為AndroidManifest.xml文件為例���,該配置文件至少包括有權(quán)限請求信息和第一應(yīng)用程序的名稱�����。
[0093]步驟102�����、根據(jù)權(quán)限請求信息確定第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限�����。
[0094]在本實(shí)施例中�����,終端可以根據(jù)權(quán)限請求信息確定第一應(yīng)用程序運(yùn)行時(shí)需要的權(quán)限����,也就是說���,第一應(yīng)用程序只有擁有了需要的權(quán)限�,才能調(diào)用相應(yīng)的API或應(yīng)用組件,從而完成相應(yīng)功能��,其中���,第一應(yīng)用程序運(yùn)行時(shí)需要的權(quán)限可以包括有第一權(quán)限和/或第二權(quán)限。
[0095]其中��,第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限����。該系統(tǒng)的系統(tǒng)管理員權(quán)限可以為R00T_PERMISSION 權(quán)限。
[0096]例如��,系統(tǒng)的系統(tǒng)管理員權(quán)限可以在系統(tǒng)中存儲音視頻信息�、配置信息、或在系統(tǒng)中運(yùn)行應(yīng)用程序等���。
[0097]第二權(quán)限可以為普通權(quán)限���,為系統(tǒng)開發(fā)商和移動(dòng)終端廠商對第三方應(yīng)用程序開放的權(quán)限,例如���,在Android操作系統(tǒng)中���,可以申請134種普通權(quán)限�,這些普通權(quán)限存儲在AndroidManifest.xml 文件中�。
[0098]步驟103、根據(jù)第一應(yīng)用程序的第一證書�,將第一權(quán)限授予第一應(yīng)用程序。
[0099]在本實(shí)施例中����,第一證書為對第一應(yīng)用程序進(jìn)行簽名的證書,根據(jù)第一應(yīng)用程序的第一證書�����,將第一權(quán)限授予第一應(yīng)用程序的實(shí)現(xiàn)方式至少有兩種�����。
[0100]第一種實(shí)現(xiàn)方式�,根據(jù)第一應(yīng)用程序的第一證書,確定可信證書列表中存儲有第一證書信息���,接著�,將第一權(quán)限授予第一應(yīng)用程序。
[0101]具體的��,確定可信證書列表中是否存儲有第二證書�,其中,該第二證書為通過第一證書中的索引信息在可信證書列表中查找到的證書���,該可信證書列表中至少存儲有允許授予應(yīng)用程序的證書���,移動(dòng)終端廠商對可信證書列表進(jìn)行配置�����,需要說明的是�,第二證書為通過第一證書中的索引信息在可信證書列表中查找到得證書,在這種情況下第二證書就是第一證書����,第一證書的索引信息沒有被篡改。在第一證書的索引信息被篡改后�����,通過第一證書中的索引信息在可信證書列表中查找到得證書為非第一證書���,在這種情況下第二證書不同于第一證書��。[0102]若確定該可信證書列表中存儲有第二證書�,則將第一權(quán)限授予第一應(yīng)用程序;
[0103]若確定可信證書列表中沒有存儲有第二證書�����,則將第二權(quán)限授予第一應(yīng)用程序���,或者�����,提示用戶將第二證書存儲在用戶可信證書列表中���,并在用戶將第二證書存儲在用戶可信證書列表之后,將第一權(quán)限授予第一應(yīng)用程序�����,該用戶可信證書列表中存儲有用戶信任的證書���。其中��,用戶可信證書列表可以是用戶維護(hù)的用戶信任的證書����,在用戶把證書存儲在用戶可信證書列表之后,就可以把該證書對應(yīng)的權(quán)限授予應(yīng)用程序����。
[0104]不論是第二證書本身就存儲在可信證書列表中,還是提示用戶之后�,用戶將第二證書存儲在可信證書列表中,也就是說�����,在確定該可信證書列表中存儲有第二證書之后����,進(jìn)一步的�����,可以確定可信證書列表中第二證書對應(yīng)的權(quán)限信息是否有第一權(quán)限��;
[0105]若是����,則將第一權(quán)限授予第一應(yīng)用程序���;
[0106]若否,則將第二權(quán)限授予第一應(yīng)用程序�,第二權(quán)限為系統(tǒng)開發(fā)商和移動(dòng)終端廠商為第一應(yīng)用程序開放的權(quán)限。
[0107]第二種實(shí)現(xiàn)方式�,根據(jù)第一應(yīng)用程序的第一證書,確定可信證書列表中存儲有第一證書的上級證書�,將第一權(quán)限授予第一應(yīng)用程序。
[0108]具體的��,確定可信證書列表中是否存儲有第二證書�����,該第二證書為通過第一證書的上級證書中的索引信息查找到的證書����,所述可信證書列表中至少存儲有允許授予應(yīng)用程序的證書;
[0109]若是��,則將第一權(quán)限授予第一應(yīng)用程序��;
[0110]若否�����,則將第二權(quán)限授予第一應(yīng)用程序。
[0111]在本實(shí)施例中��,通過獲取第一應(yīng)用程序的安裝包��,該安裝包中攜帶有第一應(yīng)用程序的第一證書和權(quán)限請求信息�。根據(jù)權(quán)限請求信息確定第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限,其中����,第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限,然后�����,根據(jù)第一應(yīng)用程序的第一證書��,將第一權(quán)限授予第一應(yīng)用程序��。實(shí)現(xiàn)將第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限授予第一應(yīng)用程序�����,這樣��,可以實(shí)現(xiàn)用戶對移動(dòng)終端系統(tǒng)的訪問�。
[0112]需要說明的是,在上述實(shí)施例中�����,在步驟103�����、將第一權(quán)限授予第一應(yīng)用程序之前����,還可以包括:
[0113]根據(jù)第二證書和第一應(yīng)用程序中的簽名信息確定第一應(yīng)用程序中的安裝包是否是完整的。
[0114]若不完整����,則終止所有操作;
[0115]若完整�,則將第一權(quán)限授予第一應(yīng)用程序。
[0116]舉例來講��,通過第一應(yīng)用程序的第一證書信息����,如CERT.RSA文件中記錄的哈希算法對第一應(yīng)用程序的安裝包中的文件進(jìn)行哈希計(jì)算�����,得到哈希值H1��,接著��,通過第二證書中記錄的公鑰解密第一應(yīng)用程序的簽名���,如CERT.SF中的簽名信息,得到哈希值H2�,對比Hl和H2,若相等�,則確定第一應(yīng)用程序中的安裝包是完整的;否則���,安裝包不完整���,終止所有操作;
[0117]在上述實(shí)施例的基礎(chǔ)上���,可信證書列表可以設(shè)置在移動(dòng)終端或服務(wù)器上。
[0118]進(jìn)一步的�����,在上述實(shí)施例的基礎(chǔ)上,終端還可以接收移動(dòng)終端廠商發(fā)送的更新信息�����,具體的可以有至少兩種適用場景��。
[0119]第一種適用場景���,是對可信證書列表中已存儲的第三證書中配置的第三權(quán)限進(jìn)行對應(yīng)的操作�����,其中���,該第三權(quán)限可以為除系統(tǒng)開發(fā)商和移動(dòng)終端廠商之外的應(yīng)用開發(fā)商開發(fā)的應(yīng)用程序,或者���,該第三權(quán)限也可以為系統(tǒng)開發(fā)商和移動(dòng)終端廠商為應(yīng)用程序開放的權(quán)限����。
[0120]具體的,接收移動(dòng)終端廠商發(fā)送的更新信息���,該更新信息中攜帶有第三證書索引�、配置于第三證書的第三權(quán)限以及操作指示����,其中,該操作指示用于刪除或者增加所述第三證書對應(yīng)的所述第三權(quán)限����,第三證書已設(shè)置在可信證書列表中;
[0121]根據(jù)更新信息對可信證書列表進(jìn)行更新���,刪除或增加所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限��;
[0122]若根據(jù)所述更新信息��,刪除所述可信證書列表中所述第三證書對應(yīng)的第三權(quán)限����,則將第三權(quán)限不授予第二應(yīng)用程序���,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序;
[0123]若根據(jù)所述更新信息��,增加所述可信證書列表中所述第三證書對應(yīng)的第三權(quán)限����,則將第三權(quán)限授予第二應(yīng)用程序��,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序�。
[0124]第二種適用場景,是對可信證書列表中已存儲的第三證書進(jìn)行對應(yīng)的操作����。
[0125]具體的,終端接收移動(dòng)終端廠商發(fā)送的更新信息�,該更新信息中攜帶有第三證書以及操作指示,操作指示用于在可信證書列表中增加或刪除所述第三證書�,需要說明是的,在可信證書列表中增加第三證書之后���,可以相應(yīng)的增加對應(yīng)于第三證書的權(quán)限����;
[0126]根據(jù)所述更新信息�����,將所述第三證書增加到所述可信證書列表中,或?qū)⑺龅谌C書從所述可信證書列表中刪除����;
[0127]若將所述第三證書增加到所述可信證書列表,將第三證書對應(yīng)的權(quán)限授予所述第二應(yīng)用程序��,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序�����;
[0128]若將所述第三證書從所述可信證書列表中刪除��,將第三證書對應(yīng)的權(quán)限不授予所述第二應(yīng)用程序��,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序���。
[0129]圖2為本發(fā)明管理權(quán)限方法另一實(shí)施例的流程圖��,如圖2所示��,本實(shí)施例的方法可以包括:
[0130]步驟201����、獲取第一應(yīng)用程序的安裝包���。
[0131]具體的�,在移動(dòng)終端上安裝第一應(yīng)用程序時(shí),可以獲取第一應(yīng)用程序的安裝包�,并從安裝包,即.apk文件中獲得第一應(yīng)用程序的第一證書和權(quán)限請求信息��,例如�,該第一證書中可以包括有第一證書的公鑰�����,第一證書的所有者信息��,以及第一證書的加密算法等�。
[0132]需要說明的是,第三方應(yīng)用開發(fā)商可以使用第一證書A對第一應(yīng)用程序S進(jìn)行簽名����,簽名方法可以是通用的簽名方法,例如��,可以首先對第一應(yīng)用程序的所有內(nèi)容進(jìn)行哈希計(jì)算以獲得哈希值H��,接著�,使用對應(yīng)于第一證書A的加密算法����,即私鑰對哈希值H進(jìn)行加密����,也就是對哈希值H進(jìn)行簽名,并獲得簽名值���,然后���,將第一證書A與簽名值添加到第一應(yīng)用程序中,并壓縮打包成安裝包�,即.apk文件。
[0133]步驟202��、確定第一應(yīng)用程序的安裝包中是否存儲有第一證書索引信息����。
[0134]需要說明的是,第二證書為通過第一證書中的索引信息在可信證書列表中查找到的證書�,在這種情況下,第二證書即為第一證書�����。
[0135]具體的,首先確定第一應(yīng)用程序S的第一證書中是否有第一證書索引信息�,該第一證書索引信息為可以唯一標(biāo)識第一證書的信息,例如�,該第一證書索引信息可以是第一證書的公鑰信息,也可以是第一證書的編號信息或其他可唯一標(biāo)識證書的信息�����,如證書的序列號�。
[0136]若確定第一應(yīng)用程序的安裝包中存儲有第一證書索引信息���,則執(zhí)行步驟203 ;若確定第一應(yīng)用程序的安裝包中沒有存儲有第一證書索引信息�����,則執(zhí)行步驟206����。
[0137]步驟203�、根據(jù)第一證書索引信息,確定設(shè)置在移動(dòng)終端的可信證書列表中是否存儲有第二證書��。
[0138]具體的��,若確定在移動(dòng)終端的可信證書列表中存儲有第二證書,則執(zhí)行步驟204����,第二證書即為第一證書。
[0139]若確定在移動(dòng)終端的可信證書列表中沒有存儲有第二證書����,則執(zhí)行步驟206。
[0140]進(jìn)一步的�,在上述實(shí)施例的基礎(chǔ)上,若根據(jù)第一證書索引信息����,在可信證書列表中沒有查找到第二證書,則可以向使用該移動(dòng)終端的用戶發(fā)送提示信息��,該提示信息可以提示用戶將第一應(yīng)用程序中安裝包攜帶的第一證書添加到用戶信任可信證書列表中��,并配置攜帶有該第一證書的第一應(yīng)用程序需要的權(quán)限���,如R00T_PERMISS10N權(quán)限���。若用戶將該第一證書添加到用戶可信證書列表中,則執(zhí)行步驟204��,若用戶拒絕將該第一證書添加到用戶信任可信證書列表中,則執(zhí)行步驟206��。
[0141]需要說明的是���,該可信證書列表可以是由移動(dòng)終端廠商預(yù)置在移動(dòng)終端中�,也可以由用戶另外再創(chuàng)建���。并且�,該可信證書列表可以存放在移動(dòng)終端的只讀內(nèi)存(Read-OnlyMemory,簡稱rom)中�����,具體實(shí)現(xiàn)不做限定,可以是移動(dòng)終端中的任何可存儲介質(zhì)�����。進(jìn)一步的�,移動(dòng)終端廠商還可以對可信證書列表進(jìn)行加密存儲����,從而通過加密的方式防止對可信證書列表的篡改。
[0142]在本實(shí)施例中����,實(shí)現(xiàn)該可信證書列表的具體形式至少有兩種�����,第一種實(shí)現(xiàn)方式���,將該可信證書列表獨(dú)立的設(shè)置在移動(dòng)終端中,并通過索引的方法在權(quán)限列表中查找與該可信證書列表中存儲的證書對應(yīng)的權(quán)限�����;第二種實(shí)現(xiàn)方式�,將權(quán)限列表與可信證書列表并為一個(gè)實(shí)體,即權(quán)限列表在該可信證書列表中存儲的每個(gè)證書的后面���,配置有對應(yīng)的權(quán)限信息���。
[0143]步驟204、根據(jù)第二證書和第一應(yīng)用程序中的簽名信息確定第一應(yīng)用程序中的安裝包是完整的��。
[0144]舉例來講��,確定第一應(yīng)用程序中的安裝包是完整的方法可以為,首先通過第一應(yīng)用程序中的第一證書�,如CERT.RSA文件中記錄的哈希算法對第一應(yīng)用程序S中安裝包的文件進(jìn)行哈希計(jì)算,得到哈希值Hl�,接著,通過第二證書中存儲的公鑰解密第一應(yīng)用程序的簽名���,如CERT.SF中的簽名信息���,得到哈希值H2,然后����,對比Hl和H2,若不相等��,則安裝包不完整�,從而終止任何操作;若相等�,則安裝包完整�,從而執(zhí)行步驟205。
[0145]步驟205�、若是完整的,將第一應(yīng)用程序需要的權(quán)限授予第一應(yīng)用程序�����。
[0146]需要說明的是,第一應(yīng)用程序需要的權(quán)限可以包括有第一權(quán)限以及第二權(quán)限���,其中�����,第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限���,例如,系統(tǒng)的系統(tǒng)管理員權(quán)限可以在系統(tǒng)中存儲音視頻信息����、配置信息、或在系統(tǒng)中運(yùn)行應(yīng)用程序等����。第二權(quán)限為系統(tǒng)開發(fā)商和移動(dòng)終端廠商共同為第三方應(yīng)用程序開發(fā)的權(quán)限。其中���,系統(tǒng)的系統(tǒng)管理員權(quán)限為R00T_PERMISS10N權(quán)限���。
[0147]具體的�����,授予第一權(quán)限給第一應(yīng)用程序的方法可以為�,確定可信證書列表中存儲的第二證書對應(yīng)的權(quán)限列表中包括有第一權(quán)限�����,從而將第一權(quán)限添加到第一應(yīng)用程序的權(quán)限列表中���。同時(shí)���,還可以將第二權(quán)限授予第一應(yīng)用程序。
[0148]步驟206���、根據(jù)第一應(yīng)用程序中的第一證書和簽名信息確定第一應(yīng)用程序中的安裝包是完整的�����。
[0149]舉例來講��,確定安裝包是完整的方法��,可以具體為,首先,使用第一應(yīng)用程序中記錄第一證書信息��,如CERT.RSA文件中記錄的哈希算法對第一應(yīng)用程序S的安裝包中的除簽名文件之外的所有文件進(jìn)行哈希計(jì)算����,得到哈希值H1,接著����,使用第一應(yīng)用程序的簽名CERT.RSA文件中的公鑰解密簽名的數(shù)據(jù),例如CERT.SF中的簽名信息����,得到哈希值H2,然后�,對比Hl和H2,若相等�,則安裝包完整,繼續(xù)后續(xù)步驟207�,否則,安裝包不完整�����,終止任何操作�。
[0150]步驟207��、將第一應(yīng)用程序申請的第二權(quán)限授予第一應(yīng)用程序�����。
[0151]本實(shí)施例中的����,第二權(quán)限為系統(tǒng)開發(fā)商和移動(dòng)終端廠商為第一應(yīng)用程序開放的權(quán)限��。
[0152]步驟208��、記錄第一應(yīng)用程序的安裝信息�����,并完成第一程序的安裝�。
[0153]在本實(shí)施例中,將第一權(quán)限和/或第二權(quán)限授予第一應(yīng)用程序之后�����,將關(guān)于第一應(yīng)用程序S的信息記錄到應(yīng)用信息記錄文件packages, xml中�,在應(yīng)用信息記錄文件packages, xml中記錄的信息包括有,第一應(yīng)用程序S的名稱,授予第一應(yīng)用程序S的權(quán)限信息等。
[0154]需要說明的是�����,在上述實(shí)施例的基礎(chǔ)上����,在步驟201之前,可以首先在系統(tǒng)中增加第一權(quán)限�����,如��,在Android系統(tǒng)中增加R00T_PERMISS10N權(quán)限��。
[0155]進(jìn)一步的�,本實(shí)施例的另一種實(shí)現(xiàn)方式,與上述如圖2所示實(shí)施例基本類似�����,區(qū)別在于可信證書列表設(shè)置在服務(wù)器上����。
[0156]需要說明的是,可以將用戶可信證書列表設(shè)置在移動(dòng)終端中��。
[0157]圖3為本發(fā)明管理權(quán)限方法再一實(shí)施例的流程圖,圖4為本發(fā)明管理權(quán)限方法中證書吊銷列表的示意圖�。如圖3所示,本實(shí)施例的方法可以包括:
[0158]步驟301、獲取第一應(yīng)用程序的安裝包��。
[0159]本實(shí)施例中的步驟301與圖2所示步驟201的實(shí)現(xiàn)原理類似�����,在此不再贅述��。
[0160]步驟302�、根據(jù)第一應(yīng)用程序中的第一證書和簽名信息確定第一應(yīng)用程序中的安裝包是否是完整的。
[0161]舉例來講�,確定第一應(yīng)用程序中的安裝包是完整的方法可以為,首先通過第一應(yīng)用程序中的第一證書����,如CERT.RSA文件中記錄的哈希算法對第一應(yīng)用程序S中安裝包的文件進(jìn)行哈希計(jì)算,得到哈希值Hl��,接著���,通過第一應(yīng)用程序中的公鑰解密第一應(yīng)用程序的簽名��,如CERT.SF中的簽名信息��,得到哈希值H2����,然后,對比Hl和H2�,若不相等�,則安裝包不完整,從而終止任何操作�����;若相等�,則安裝包是完整的。
[0162]步驟303�、確定第一應(yīng)用程序是否需要申請第一權(quán)限。
[0163]本實(shí)施例的第一應(yīng)用程序需要申請的權(quán)限包括有第一權(quán)限以及第二權(quán)
[0164]限�����,其中�,第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限,該系統(tǒng)的系統(tǒng)管理員權(quán)限為R00T_PERMISSION權(quán)限����。例如�,系統(tǒng)的系統(tǒng)管理員權(quán)限可以在系統(tǒng)中存儲音視頻信息�����、配置信息�����、或在系統(tǒng)中運(yùn)行應(yīng)用程序等�。第二權(quán)限可以為系統(tǒng)開發(fā)商和移動(dòng)終端廠商共同為第三方應(yīng)用程序開發(fā)的權(quán)限。
[0165]具體的��,若第一應(yīng)用程序需要申請第一權(quán)限�����,則執(zhí)行步驟304 ;若第一應(yīng)用程序不需要申請第一權(quán)限�,則執(zhí)行步驟306。
[0166]步驟304����、確定可信證書列表中是否存儲有第二證書,該第二證書為第一證書的上級證書��,其中,可信證書列表設(shè)置在移動(dòng)終端中��。
[0167]在本實(shí)施例中�����,第二證書為第一應(yīng)用程序中第一證書的上級證書�,也就是說,第二證書為通過第一證書的上級證書中的索引信息查找到的證書��。
[0168]另��,對于如何確定安裝是否完整�,可以采用如下方式:首先通過對第一證書簽名時(shí)的哈希算法對第一證書進(jìn)行哈希計(jì)算���,得到哈希值Hl���,接著,通過第二證書中存儲的公鑰解密第一證書中的簽名����,如CERT.SF中的簽名信息,得到哈希值H2���,然后��,對比Hl和H2���,若相等��,則運(yùn)用第二證書可以確定第一應(yīng)用程序安裝包完整����,即確定可信證書列表中存儲有與第一證書對應(yīng)的第二證書����,則執(zhí)行步驟305。若不相等����,則執(zhí)行步驟306 ;或者,在確定Hl和H2不相等時(shí)��,提示用戶將該第一證書添加到用戶可信證書列表中�����,若用戶將該第一證書添加到用戶可信證書列表中�,則執(zhí)行步驟305���,否則,執(zhí)行步驟306�����。
[0169]進(jìn)一步的,在對第一證書進(jìn)行哈希計(jì)算,得到哈希值Hl之前,還可以確定第一證書是否已經(jīng)被吊銷�����,例如�����,根據(jù)如圖4所示的證書吊銷列表�����,確定第一證書中是否存儲有第一證書��,該證書吊銷列表存儲有已經(jīng)吊銷的證書信息���,并且該證書吊銷列表設(shè)置在移動(dòng)終端。若確定第一證書存儲在證書吊銷列表中��,例如第一證書編號為C00001存儲在如圖4所示的列表中,則確認(rèn)該第一證書已經(jīng)被吊銷�,終止將第一權(quán)限授予第一應(yīng)用程序的操作;若確定第一證書沒有存儲在證書吊銷列表中�����,則確認(rèn)該第一證書沒有被吊銷���,則可以在對第一證書進(jìn)行哈希計(jì)算��,得到哈希值Hl����。
[0170]需要說明的是�,移動(dòng)終端廠商可以使用自己的第二證書為其信任的應(yīng)用開發(fā)商生成一個(gè)第二證書的子證書,即第一證書��,生成過程為通用的子證書生成過程�,例如,對第一證書的信息使用哈希算法得到摘要��,使用與第二證書中公鑰對應(yīng)的私鑰對第一證書的信息的摘要進(jìn)行加密����,生成簽名����,存放于第一證書��。
[0171]步驟305����、將第一應(yīng)用程序需要的權(quán)限授予第一應(yīng)用程序。
[0172]本實(shí)施例中的步驟305與圖2所示步驟205的實(shí)現(xiàn)原理類似�����,在此不再贅述����。
[0173]步驟306、將第一應(yīng)用程序申請的第二權(quán)限授予第一應(yīng)用程序����。
[0174]步驟307、記錄第一應(yīng)用程序的安裝信息�,并完成第一程序的安裝��。
[0175]本實(shí)施例中的步驟306�、步驟307分別與圖2所示步驟207�、步驟208的實(shí)現(xiàn)原理類似����,在此不再贅述。
[0176]需要說明的是��,在上述實(shí)施例的基礎(chǔ)上���,在步驟301之前��,可以首先在系統(tǒng)中增加第一權(quán)限���,如,在Android系統(tǒng)中增加R00T_PERMISS10N權(quán)限��。
[0177]進(jìn)一步的�,本實(shí)施例的另一種實(shí)現(xiàn)方式,與上述如圖3所示實(shí)施例基本類似�����,區(qū)別在于可信證書列表設(shè)置在服務(wù)器上��。
[0178]需要說明的是���,在步驟304中��,將第一證書存儲在用戶可信證書列表中的用戶可信證書列表還是如圖2所示設(shè)置在移動(dòng)終端中��。
[0179]圖5為本發(fā)明管理權(quán)限方法再一實(shí)施例的流程圖�,如圖5所示,本實(shí)施例的方法可以包括:[0180]步驟501��、獲取第一應(yīng)用程序的安裝包���。
[0181]步驟502����、根據(jù)第一應(yīng)用程序中的第一證書和簽名信息確定第一應(yīng)用程序中的安裝包是完整的�。
[0182]本實(shí)施例中的步驟501、步驟502分別與圖3所示步驟301�、步驟302的實(shí)現(xiàn)原理類似,在此不再贅述���。
[0183]步驟503��、確定第一應(yīng)用程序需要申請與系統(tǒng)相同的用戶標(biāo)識�����。
[0184]在本實(shí)施例中�,終端可以解析應(yīng)用的共享用戶標(biāo)識(sharedUserld)信息�����,獲知第一應(yīng)用程序需要與系統(tǒng)用戶共享用戶標(biāo)識userid���。
[0185]步驟504�、確定移動(dòng)終端中是否存儲有第二證書����,該第二證書為第一證書的上級證書。
[0186]在本實(shí)施例中���,若移動(dòng)終端中存儲有第二證書��,則執(zhí)行步驟505��,否則�,執(zhí)行步驟506��。
[0187]具體的,移動(dòng)終端廠商可以在移動(dòng)終端中預(yù)先設(shè)置第二證書�����,也可以是安裝應(yīng)用程序在移動(dòng)終端時(shí)��,移動(dòng)終端保存有該應(yīng)用程序中攜帶的第二證書�����,其中���,第二證書為第一證書的上級證書����。
[0188]步驟505�、允許第一應(yīng)用程序與系統(tǒng)共享一個(gè)用戶標(biāo)識。
[0189]具體的,可以在packages, xml中記錄相應(yīng)的共享uid的信息,記錄形式如下:
[0190]〈package name="com.Μ.S〃
[0191]codePath=///system/app/S.apk"
[0192]nativeLibraryPath=///data/data/com.M.S/lib"
[0193]flags="l"ft="137c481bl98"it="137c481bl98"
[0194]ut=//137c48 Ib Ιθδ^νβ β ion=//1 ^sharedUser ^=^1000^)
[0195]〈sigs count="l">
[0196]〈cert index="0"/>
[0197]</sigs>
[0198]〈/package〉��;
[0199]步驟506���、根據(jù)權(quán)限授予規(guī)則授予第一應(yīng)用所申請的權(quán)限����。
[0200]具體的,若移動(dòng)終端中沒有存儲第二證書��,則可以根據(jù)第一應(yīng)用與系統(tǒng)不是共享一個(gè)用戶標(biāo)識的權(quán)限授予規(guī)則授予第一應(yīng)用所申請的權(quán)限�����;若第一應(yīng)用程序與系統(tǒng)共享一個(gè)用戶標(biāo)識�����,則可以根據(jù)與系統(tǒng)共享一個(gè)用戶標(biāo)識的權(quán)限授予規(guī)則授予第一應(yīng)用所申請的權(quán)限��。 [0201]需要說明的是�,如果確定第一應(yīng)用程序需要申請與系統(tǒng)不是相同的用戶標(biāo)識�,則可以將第二權(quán)限授予第一應(yīng)用程序。
[0202]圖6為本發(fā)明管理權(quán)限方法再一實(shí)施例的流程圖����,如圖6所示,
[0203]步驟601���、獲取第一應(yīng)用程序的安裝包�����。
[0204]步驟602���、根據(jù)第一應(yīng)用程序中的第一證書和簽名信息確定第一應(yīng)用程序中的安裝包是完整的��。
[0205]本實(shí)施例中的步驟601���、步驟602分別與圖3所示步驟301、步驟302的實(shí)現(xiàn)原理類似��,在此不再贅述�����。[0206]步驟603�����、根據(jù)第一證書索引信息�����,確定設(shè)置在移動(dòng)終端的可信證書列表中是否存儲有第二證書��。
[0207]本實(shí)施例中的步驟603與圖2所示步驟203的實(shí)現(xiàn)原理類似����,在此不再贅述��。
[0208]需要說明的是�,若確定在移動(dòng)終端的可信證書列表中存儲有第二證書�,則執(zhí)行步驟 604。
[0209]若確定在移動(dòng)終端的可信證書列表中沒有存儲有第二證書���,則執(zhí)行步驟605。
[0210]步驟604�����、將第一應(yīng)用程序需要的權(quán)限授予第一應(yīng)用程序�����。
[0211]步驟605���、將第一應(yīng)用程序申請的第二權(quán)限授予第一應(yīng)用程序�。
[0212]步驟606����、記錄第一應(yīng)用程序的安裝信息����,并完成第一程序的安裝�����。
[0213]本實(shí)施例中的步驟604�����、步驟605��、步驟606分別與圖2所示步驟205���、步驟207�、步驟208的實(shí)現(xiàn)原理類似�����,在此不再贅述���。
[0214]需要說明的是���,在上述實(shí)施例的基礎(chǔ)上���,在步驟601之前,可以首先在系統(tǒng)中增加第一權(quán)限����,如,在Android系統(tǒng)中增加R00T_PERMISS10N權(quán)限��。
[0215]進(jìn)一步的�,本實(shí)施例的另一種實(shí)現(xiàn)方式,與上述如圖6所示實(shí)施例基本類似����,區(qū)別在于可信證書列表設(shè)置在服務(wù)器上�。
[0216]圖7為本發(fā)明管理權(quán)限方法再一實(shí)施例的流程圖,如圖7所示�����,在上述實(shí)施例的基礎(chǔ)上����,在安裝完成第一程序之后,還可以包括:
[0217]步驟701����、接收更新可信證書列表的更新信息��。
[0218]具體的�,終端可以接收更新可信證書列表的更新信息有至少兩種適用場景�����。
[0219]第一適用場景���,接收移動(dòng)終端廠商發(fā)送的更新信息��,該更新信息中攜帶有第三證書的索引����、配置于第三證書的第三權(quán)限以及操作指示��,其中�,操作指示用于刪除或者增加第三證書對應(yīng)的第三權(quán)限,該第三證書已設(shè)置在可信證書列表中���,其中���,該第三權(quán)限可以為系統(tǒng)的系統(tǒng)管理員權(quán)限���,或者,該第三權(quán)限也可以為系統(tǒng)開發(fā)商和移動(dòng)終端廠商為應(yīng)用程序開放的權(quán)限�。
[0220]第二適用場景,接收移動(dòng)終端廠商發(fā)送的更新信息����,該更新信息中攜帶有第三證書、以及操作指示��,所述操作指示用于在所述可信證書列表中增加或刪除所述第三證書�,其中,該第三權(quán)限可以為系統(tǒng)的系統(tǒng)管理員權(quán)限�,或者,該第三權(quán)限也可以為系統(tǒng)開發(fā)商和移動(dòng)終端廠商為應(yīng)用程序開放的權(quán)限�。
[0221]需要說明的是,移動(dòng)終端廠商可以通過OTA或其他方式將更新消息發(fā)送給管理權(quán)限裝置��,并且管理權(quán)限裝置通過OTA或其他方式接收該更新消息���,在此不限制管理權(quán)限裝置獲取該更新消息的方式。
[0222]步驟702�、根據(jù)接收到的更新信息,更新可信證書列表����。
[0223]在本實(shí)施例中�,對應(yīng)于步驟701的適用場景�����,根據(jù)接收到的更新信息���,更新可信證書列表具體為:
[0224]第一適用場景��,終端可以根據(jù)該更新信息對可信證書列表進(jìn)行更新����,以使刪除或增加第三證書對應(yīng)的第三權(quán)限�;并根據(jù)更新的可信證書列表,將該第三權(quán)限不授予或授予第二應(yīng)用程序����,其中,第二應(yīng)用程序?yàn)橥ㄟ^第三證書簽名的應(yīng)用程序��。
[0225]第二適用場景��,終端可以根據(jù)該更新信息更新可信證書列表,并根據(jù)更新的可信證書列表�����,將第三權(quán)限不授予或授予所述第二應(yīng)用程序���,第二應(yīng)用程序?yàn)橥ㄟ^第三證書簽名的應(yīng)用程序����。
[0226]圖8為本發(fā)明管理權(quán)限裝置一實(shí)施例的結(jié)構(gòu)示意圖�。如圖8所示,該管理權(quán)限裝置可以設(shè)置在移動(dòng)終端�����,也可以設(shè)置獨(dú)立設(shè)置�,該管理權(quán)限裝置包括:獲取模塊801、確定模塊802和授予模塊803�����。其中���,
[0227]獲取模塊801,用于獲取第一應(yīng)用程序的安裝包,安裝包中攜帶有第一應(yīng)用程序的第一證書和權(quán)限請求信息�;
[0228]確定模塊802,用于根據(jù)權(quán)限請求信息確定第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限�,第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限;
[0229]授予模塊803�����,用于根據(jù)第一應(yīng)用程序的第一證書����,將第一權(quán)限授予第一應(yīng)用程序。
[0230]在本實(shí)施例中�����,通過獲取第一應(yīng)用程序的安裝包��,該安裝包中攜帶有第一應(yīng)用程序的第一證書和權(quán)限請求信息�。根據(jù)權(quán)限請求信息確定第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限,根據(jù)第一應(yīng)用程序的第一證書�,將第一權(quán)限授予第一應(yīng)用程序。實(shí)現(xiàn)將第一應(yīng)用程序安裝或運(yùn)行時(shí)需要的第一權(quán)限授予第一應(yīng)用程序���,這樣�����,可以實(shí)現(xiàn)用戶對移動(dòng)終端系統(tǒng)的控制或訪問��。
[0231]需要說明的是�����,第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限����。該系統(tǒng)的系統(tǒng)管理員權(quán)限為R00T_PERMISS10N權(quán)限。例如���,系統(tǒng)的系統(tǒng)管理員權(quán)限可以在系統(tǒng)中存儲音視頻信息����、配置信息��、或在系統(tǒng)中運(yùn)行應(yīng)用程序等��。
[0232]在上述實(shí)施例的基礎(chǔ)上���,該確定模塊802���,具體用于確定可信證書列表中是否存儲有第二證書,第二證書為通過第一證書中的索引信息在可信證書列表中查找到的證書�,可信證書列表中至少存儲有允許授予應(yīng)用程序的證書;
[0233]授予模塊803��,具體用于若確定可信證書列表中存儲有第二證書�,則將第一權(quán)限授予第一應(yīng)用程序;若確定可信證書列表中沒有存儲第二證書�����,則將第二權(quán)限授予第一應(yīng)用程序�,第二權(quán)限為系統(tǒng)開發(fā)商和移動(dòng)終端廠商為第一應(yīng)用程序開放的權(quán)限,或者�,提示用戶將第二證書存儲在用戶可信證書列表中,并在用戶將第二證書存儲在用戶可信證書列表之后����,將第一權(quán)限授予第一應(yīng)用程序,用戶可信證書列表中存儲有用戶信任的證書�����。
[0234]進(jìn)一步的����,確定模塊802���,還用于確定可信證書列表中第二證書對應(yīng)的權(quán)限信息是否有第一權(quán)限;
[0235]授予模塊803���,還用于若確定可信證書列表中第二證書對應(yīng)的權(quán)限信息有第一權(quán)限�����,將第一權(quán)限授予第一應(yīng)用程序��;若確定可信證書列表中第二證書對應(yīng)的權(quán)限信息沒有第一權(quán)限�,則將第二權(quán)限授予第一應(yīng)用程序����。
[0236]在上述實(shí)施例的基礎(chǔ)上,確定模塊802�����,還用于確定可信證書列表中是否存儲有第二證書����,第二證書為通過第一證書的上級證書中的索引信息查找到的證書��,可信證書列表中至少存儲有允許授予應(yīng)用程序的證書����;
[0237]所述授予模塊803����,還用于若確定可信證書列表中存儲有第二證書��,則將所述第一權(quán)限授予所述第一應(yīng)用程序�����;若確定可信證書列表中沒有存儲有第二證書��,則將第二權(quán)限授予所述第一應(yīng)用程序�,第二權(quán)限為所述系統(tǒng)開發(fā)商和所述移動(dòng)終端廠商為所述第一應(yīng)用程序開放的權(quán)限。
[0238]進(jìn)一步的��,確定模塊802���,還用于根據(jù)第二證書和第一應(yīng)用程序中的簽名信息確定第一應(yīng)用程序中的安裝包是否是完整的��;
[0239]授予模塊803�����,還用于若確定模塊802確定為不完整���,則終止所有操作��;若確定模塊802確定為完整����,則將第一權(quán)限授予第一應(yīng)用程序�����。
[0240]需要說明的是����,可信證書列表設(shè)置在移動(dòng)終端或服務(wù)器上。
[0241]圖9為本發(fā)明管理權(quán)限裝置另一實(shí)施例的結(jié)構(gòu)示意圖����。如圖9所示,該管理權(quán)限裝置�����,在上述實(shí)施例的基礎(chǔ)上,該裝置還可以包括:設(shè)置模塊804�����,用于在系統(tǒng)中設(shè)置第一權(quán)限�。
[0242]在上述實(shí)施例的基礎(chǔ)上,該裝置還可以包括:接收模塊805����,用于接收移動(dòng)終端廠商發(fā)送的更新信息��,更新信息中攜帶有第三證書的索引����、配置于第三證書的第三權(quán)限以及操作指示,操作指示用于指示刪除或者增加所述第三證書對應(yīng)的所述第三權(quán)限�����,所述第三證書已設(shè)置在所述可信證書列表中�;
[0243]更新模塊806,用于根據(jù)更新信息�,刪除或增加可信證書列表中第三證書對應(yīng)的第三權(quán)限;
[0244]處理模塊807�����,用于根據(jù)更新信息,刪除可信證書列表中第三證書對應(yīng)的第三權(quán)限����,將第三權(quán)限不授予第二應(yīng)用程序;根據(jù)更新信息���,增加可信證書列表中第三證書對應(yīng)的第三權(quán)限���,將第三權(quán)限授予第二應(yīng)用程序,第二應(yīng)用程序?yàn)橥ㄟ^第三證書簽名的應(yīng)用程序�。
[0245]可選的,接收模塊805��,用于接收移動(dòng)終端廠商發(fā)送的更新信息���,更新信息中攜帶有第三證書以及操作指示���,操作指示用于在可信證書列表中增加或刪除第三證書;
[0246]更新模塊806���,還用于根據(jù)更新信息�����,將第三證書增加到可信證書列表中���,或?qū)⒌谌C書從可信證書列表中刪除��;
[0247]處理模塊807��,還用于在更新模塊將第三證書增加到可信證書列表之后����,將第三證書對應(yīng)的權(quán)限授予第二應(yīng)用程序�;在更新模塊將第三證書增從可信證書列表中刪除����,將第三證書對應(yīng)的權(quán)限不授予第二應(yīng)用程序,第二應(yīng)用程序?yàn)橥ㄟ^第三證書簽名的應(yīng)用程序�。
[0248]從而,實(shí)現(xiàn)了不開放第一權(quán)限的情況下����,實(shí)現(xiàn)了將第一應(yīng)用程序安裝或運(yùn)行時(shí)需要的第一權(quán)限授予第一應(yīng)用程序,從而保證了系統(tǒng)的安全穩(wěn)定。
[0249]圖10為本發(fā)明終端一實(shí)施例的結(jié)構(gòu)示意圖���。如圖10所示���,該終端,包括:接收器1001以及與接收器1001連接的處理器1002�,其中,
[0250]接收器1001���,用于獲取第一應(yīng)用程序的安裝包���,安裝包中攜帶有第一應(yīng)用程序的第一證書和權(quán)限請求信息;
[0251]處理器1002�,用于根據(jù)權(quán)限請求信息確定第一應(yīng)用程序安裝或運(yùn)行時(shí)需要的第一權(quán)限,第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限����;并根據(jù)第一應(yīng)用程序的第一證書,將第一權(quán)限授予第一應(yīng)用程序�,第一證書為對第一應(yīng)用程序進(jìn)行簽名的證書。
[0252]在本實(shí)施例中����,通過獲取第一應(yīng)用程序的安裝包�����,該安裝包中攜帶有第一應(yīng)用程序的第一證書和權(quán)限請求信息��。根據(jù)權(quán)限請求信息確定第一應(yīng)用程序安裝或運(yùn)行時(shí)需要的第一權(quán)限��,其中��,第一權(quán)限為第一應(yīng)用程序無法獲得的對系統(tǒng)資源或功能的訪問權(quán)限��,該第一應(yīng)用程序?yàn)槌到y(tǒng)開發(fā)商和移動(dòng)終端廠商之外的應(yīng)用開發(fā)商開發(fā)的應(yīng)用程序�����,根據(jù)第一應(yīng)用程序的第一證書����,將第一權(quán)限授予第一應(yīng)用程序���。實(shí)現(xiàn)將第一應(yīng)用程序安裝或運(yùn)行時(shí)需要的第一權(quán)限授予第一應(yīng)用程序,這樣���,可以實(shí)現(xiàn)用戶對移動(dòng)終端系統(tǒng)的控制或訪問����。
[0253]在本實(shí)施例中,該處理器1002���,具體用于確定可信證書列表中是否存儲有第二證書�����,第二證書為通過第一證書中的索引信息在可信證書列表中查找到的證書�����,可信證書列表中至少存儲有允許授予應(yīng)用程序的證書����,移動(dòng)終端廠商對可信證書列表進(jìn)行配置����;若確定可信證書列表中存儲有第二證書,則將第一權(quán)限授予第一應(yīng)用程序�;若確定可信證書列表中沒有存儲第二證書,則將第二權(quán)限授予第一應(yīng)用程序���,或者��,提示用戶將第二證書存儲在用戶可信證書列表中����,并在用戶將第二證書存儲在用戶可信證書列表之后,將第一權(quán)限授予第一應(yīng)用程序�����,用戶可信證書列表中存儲有用戶信任的證書��,第二權(quán)限為系統(tǒng)開發(fā)商和移動(dòng)終端廠商為第一應(yīng)用程序開放的權(quán)限����。
[0254]在上述實(shí)施例的基礎(chǔ)上,處理器1002����,還用于確定可信證書列表中第二證書對應(yīng)的權(quán)限信息是否有第一權(quán)限;若確定可信證書列表中第二證書對應(yīng)的權(quán)限信息有第一權(quán)限����,將第一權(quán)限授予第一應(yīng)用程序;若確定可信證書列表中第二證書對應(yīng)的權(quán)限信息沒有第一權(quán)限����,則將第二權(quán)限授予第一應(yīng)用程序。
[0255]可選的���,在本實(shí)施例中�����,處理器1002�,還用于確定可信證書列表中是否存儲有第二證書����,第二證書為通過第一證書的上級證書中的索引信息查找到的證書;若確定可信證書列表中存儲有第二證書����,則將第一權(quán)限授予第一應(yīng)用程序;若確定可信證書列表中沒有存儲有第二證書���,則將第二權(quán)限授予第一應(yīng)用程序����。
[0256]在上述實(shí)施例的基礎(chǔ)上���,處理器1002�,還用于根據(jù)第二證書和第一應(yīng)用程序中的簽名信息確定第一應(yīng)用程序中的安裝包是否是完整的;若確定為不完整����,則終止所有操作;若確定為完整�����,則將第一權(quán)限授予第一應(yīng)用程序����。
[0257]進(jìn)一步的,在上述實(shí)施例的基礎(chǔ)上��,處理器1002�����,具體用于通過第一應(yīng)用程序的第一證書信息對第一應(yīng)用程序進(jìn)行哈希計(jì)算���,獲得第一哈希值�;通過第二證書中記錄的公鑰解密對第一應(yīng)用程序進(jìn)行哈希計(jì)算���,獲得第二哈希值���;若第一哈希值與第二哈希值相等�����,則安裝包是完整的;若第一哈希值與第二哈希值不相等�����,則安裝包是不完整的����。
[0258]在上述實(shí)施例的基礎(chǔ)上,可信證書列表設(shè)置在移動(dòng)終端或服務(wù)器上���。
[0259]在上述實(shí)施例的基礎(chǔ)上�����,處理器1002���,還用于在系統(tǒng)中設(shè)置第一權(quán)限。
[0260]其中,接收器1001��,還用于接收移動(dòng)終端廠商發(fā)送的更新信息����,更新信息中攜帶有第三證書的索引、配置于第三證書的第三權(quán)限��、以及操作指示���,操作指示用于指示刪除或者增加第三證書對應(yīng)的第三權(quán)限�,第三證書已設(shè)置在可信證書列表中�;
[0261]處理器1002,還用于根據(jù)更新信息����,刪除或增加可信證書列表中第三證書對應(yīng)的第二權(quán)限;或者�����,
[0262]處理器1002�,還用于根據(jù)更新信息,刪除可信證書列表中第三證書對應(yīng)的第三權(quán)限�,將第三權(quán)限不授予第二應(yīng)用程序;根據(jù)所述更新信息,增加所述可信證書列表中第三證書對應(yīng)的第三權(quán)限����,將第三權(quán)限授予第二應(yīng)用程序,第二應(yīng)用程序?yàn)橥ㄟ^第三證書簽名的應(yīng)用程序���。
[0263]另�����,接收器1001,還用于接收移動(dòng)終端廠商發(fā)送的更新信息��,更新信息中攜帶有第三證書以及操作指示���,操作指示用于在可信證書列表中增加或刪除第三證書���;
[0264]處理器1002,還用于根據(jù)更新信息��,將第三證書增加到可信證書列表中�����,或?qū)⒌谌C書從所述可信證書列表中刪除;或者����,
[0265]處理器1002,還用于將第三證書增加到可信證書列表之后�,將第三證書對應(yīng)的權(quán)限授予第二應(yīng)用程序;將第三證書從可信證書列表中刪除����,將第三證書對應(yīng)的權(quán)限不授予第二應(yīng)用程序,第二應(yīng)用程序?yàn)橥ㄟ^第三證書簽名的應(yīng)用程序��。
[0266]在本實(shí)施例中���,通過獲取第一應(yīng)用程序的安裝包���,該安裝包中攜帶有第一應(yīng)用程序的第一證書和權(quán)限請求信息。根據(jù)權(quán)限請求信息確定第一應(yīng)用程序安裝或運(yùn)行時(shí)需要的第一權(quán)限����,根據(jù)第一應(yīng)用程序的第一證書,將第一權(quán)限授予第一應(yīng)用程序���。
[0267]本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成����,前述的程序可以存儲于一計(jì)算機(jī)可讀取存儲介質(zhì)中,該程序在執(zhí)行時(shí)�����,執(zhí)行包括上述方法實(shí)施例的步驟�����;而前述的存儲介質(zhì)包括:R0M��、RAM�����、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)���。
[0268]最后應(yīng)說明的是:以上各實(shí)施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制�����;盡管參照前述各實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明�����,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對其中部分或者全部技術(shù)特征進(jìn)行等同替換��;而這些修改或者替換�����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍�����。
【權(quán)利要求】
1.一種管理權(quán)限方法����,其特征在于,包括: 獲取第一應(yīng)用程序的安裝包�����,所述安裝包中攜帶有所述第一應(yīng)用程序的第一證書和權(quán)限請求信息����; 根據(jù)所述權(quán)限請求信息確定所述第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限,所述第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限�����; 根據(jù)所述第一應(yīng)用程序的所述第一證書,將所述第一權(quán)限授予所述第一應(yīng)用程序��。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于����,所述根據(jù)所述第一應(yīng)用程序的所述第一證書,將所述第一權(quán)限授予所述第一應(yīng)用程序�����,包括: 確定可信證書列表中是否存儲有第二證書�,所述第二證書為通過所述第一證書中的索引信息在可信證書列表中查找到的證書,所述可信證書列表中至少存儲有允許授予應(yīng)用程序的證書�; 若確定所述可信證書列表中存儲有所述第二證書��,則將所述第一權(quán)限授予所述第一應(yīng)用程序����; 若確定所述可信證書列表中沒有存儲所述第二證書,則將第二權(quán)限授予所述第一應(yīng)用程序���,所述第二權(quán)限為所述系統(tǒng)開發(fā)商和所述移動(dòng)終端廠商為所述第一應(yīng)用程序開放的權(quán)限���,或者��,提示用戶將所述第二證書存儲在用戶可信證書列表中���,并在所述用戶將所述第二證書存儲在所述用戶可信證書列表之后,將所述第一權(quán)限授予所述第一應(yīng)用程序��,所述用戶可信證書列表中存儲有所述用戶信任的證書��。
3.根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述確定所述可信證書列表中存儲有所述第二證書之后�,還包括: 確定所述可信證書列表中所述第二證書對應(yīng)的權(quán)限信息是否有所述第一權(quán)限; 若是�����,則將所述第一權(quán)限授予所述第一應(yīng)用程序���; 若否�����,則將所述第二權(quán)限授予所述第一應(yīng)用程序��。
4.根據(jù)權(quán)利要求1所述的方法�����,其特征在于��,所述根據(jù)所述第一應(yīng)用程序的所述第一證書�����,將所述第一權(quán)限授予所述第一應(yīng)用程序���,包括: 確定可信證書列表中是否存儲有第二證書����,所述第二證書為通過所述第一證書的上級證書中的索引信息查找到的證書����,所述可信證書列表中至少存儲有允許授予應(yīng)用程序的證書; 若是����,則將所述第一權(quán)限授予所述第一應(yīng)用程序����; 若否��,則將第二權(quán)限授予所述第一應(yīng)用程序�����,所述第二權(quán)限為所述系統(tǒng)開發(fā)商和所述移動(dòng)終端廠商為所述第一應(yīng)用程序開放的權(quán)限���。
5.根據(jù)權(quán)利要求2-4任一項(xiàng)所述的方法�����,其特征在于����,所述將所述第一權(quán)限授予所述第一應(yīng)用程序之前�����,還包括: 根據(jù)所述第二證書和所述第一應(yīng)用程序中的簽名信息確定所述第一應(yīng)用程序中的所述安裝包是否是完整的; 若不完整����,則終止所有操作; 若完整�,則將所述第一權(quán)限授予所述第一應(yīng)用程序。
6.根據(jù)權(quán)利要求2-5任一項(xiàng)所述的方法�����,其特征在于��,所述可信證書列表設(shè)置在移動(dòng)終端或服務(wù)器上���。
7.根據(jù)權(quán)利要求1-6任一項(xiàng)所述的方法����,其特征在于���,所述將所述第一權(quán)限授予所述第一應(yīng)用程序之前��,還包括: 在所述系統(tǒng)中設(shè)置所述第一權(quán)限���。
8.根據(jù)權(quán)利要求1-7任一項(xiàng)所述的方法��,其特征在于,所述將所述第一權(quán)限授予所述第一應(yīng)用程序之后��,還包括: 接收移動(dòng)終端廠商發(fā)送的更新信息�,所述更新信息中攜帶有第三證書的索引、配置于所述第三證書的第三權(quán)限以及操作指示�,所述操作指示用于刪除或者增加所述第三證書對應(yīng)的所述第三權(quán)限,所述第三證書已設(shè)置在可信證書列表中���; 根據(jù)所述更新信息��,刪除或增加所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限��; 若根據(jù)所述更新信息�����,刪除所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限���,則將所述第三權(quán)限不授予第二應(yīng)用程序,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序����; 若根據(jù)所述更新信息,增加所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限,則將所述第三權(quán)限授予第二應(yīng)用程序����,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序。
9.根據(jù)權(quán)利要求1-7任一項(xiàng)所述的方法��,其特征在于�����,所述將所述第一權(quán)限授予所述第一應(yīng)用程序之后���,還包括: 接收移動(dòng)終端廠商發(fā)送的更新信息��,所述更新信息中攜帶有第三證書以及操作指示���,所述操作指示用于在可信證書列表中增加或刪除所述第三證書;` 根據(jù)所述更新信息����,將所述第三證書增加到所述可信證書列表中,或?qū)⑺龅谌C書從所述可信證書列表中刪除�; 若將所述第三證書增加到所述可信證書列表,將所述第三證書對應(yīng)的權(quán)限授予所述第二應(yīng)用程序����,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序�; 若將所述第三證書從所述可信證書列表中刪除����,將所述第三證書對應(yīng)的權(quán)限不授予所述第二應(yīng)用程序����,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序。
10.一種管理權(quán)限裝置����,其特征在于,包括: 獲取模塊�����,用于獲取第一應(yīng)用程序的安裝包�,所述安裝包中攜帶有所述第一應(yīng)用程序的第一證書和權(quán)限請求信息; 確定模塊����,用于根據(jù)所述權(quán)限請求信息確定所述第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限,所述第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限�; 授予模塊�����,用于根據(jù)所述第一應(yīng)用程序的所述第一證書�,將所述第一權(quán)限授予所述第一應(yīng)用程序�����。
11.根據(jù)權(quán)利要求10所述的裝置���,其特征在于�, 所述確定模塊��,具體用于確定可信證書列表中是否存儲有第二證書�,所述第二證書為通過所述第一證書中的索引信息在可信證書列表中查找到的證書,所述可信證書列表中至少存儲有允許授予應(yīng)用程序的證書����; 所述授予模塊,具體用于若確定所述可信證書列表中存儲有所述第二證書��,則將所述第一權(quán)限授予所述第一應(yīng)用程序�����;若確定所述可信證書列表中沒有存儲所述第二證書,則將第二權(quán)限授予所述第一應(yīng)用程序��,所述第二權(quán)限為所述系統(tǒng)開發(fā)商和所述移動(dòng)終端廠商為所述第一應(yīng)用程序開放的權(quán)限��,或者���,提示用戶將所述第二證書存儲在用戶可信證書列表中�,并在所述用戶將所述第二證書存儲在所述用戶可信證書列表之后���,將所述第一權(quán)限授予所述第一應(yīng)用程序,所述用戶可信證書列表中存儲有所述用戶信任的證書����。
12.根據(jù)權(quán)利要求11所述的裝置,其特征在于��,所述確定模塊�,還用于確定所述可信證書列表中所述第二證書對應(yīng)的權(quán)限信息是否有所述第一權(quán)限; 所述授予模塊����,還用于若確定所述可信證書列表中所述第二證書對應(yīng)的權(quán)限信息有所述第一權(quán)限,將所述第一權(quán)限授予所述第一應(yīng)用程序���;若確定所述可信證書列表中所述第二證書對應(yīng)的權(quán)限信息沒有所述第一權(quán)限��,則將所述第二權(quán)限授予所述第一應(yīng)用程序��。
13.根據(jù)權(quán)利要求10所述的裝置��,其特征在于��,所述確定模塊��,還用于確定可信證書列表中是否存儲有第二證書�,所述第二證書為通過所述第一證書的上級證書中的索引信息查找到的證書,所述可信證書列表中至少存儲有允許授予應(yīng)用程序的證書����; 所述授予模塊,還用于若確定可信證書列表中存儲有所述第二證書��,則將所述第一權(quán)限授予所述第一應(yīng)用程序�;若確定可信證書列表中沒有存儲有所述第二證書,則將第二權(quán)限授予所述第一應(yīng)用程序��,所述第二權(quán)限為所述系統(tǒng)開發(fā)商和所述移動(dòng)終端廠商為所述第一應(yīng)用程序開放的權(quán)限��。
14.根據(jù)權(quán)利要求11-13任一項(xiàng)所述的裝置���,其特征在于���,所述確定模塊����,還用于根據(jù)所述第二證書和所述第一應(yīng)用程序中的簽名信息確定所述第一應(yīng)用程序中的所述安裝包是否是完整的�; 所述授予模塊,還用于若所述確定模塊確定為不完整��,則終止所有操作����;若所述確定模塊確定為完整�,則將所述第一權(quán)限授予所述第一應(yīng)用程序。
15.根據(jù)權(quán)利要求11-1 4任一項(xiàng)所述的裝置����,其特征在于,所述可信證書列表設(shè)置在移動(dòng)終端或服務(wù)器上�。
16.根據(jù)權(quán)利要求10-15任一項(xiàng)所述的裝置,其特征在于�����,還包括:設(shè)置模塊,用于在所述系統(tǒng)中設(shè)置所述第一權(quán)限��。
17.根據(jù)權(quán)利要求10-16任一項(xiàng)所述的裝置��,其特征在于����,還包括: 接收模塊,用于接收移動(dòng)終端廠商發(fā)送的更新信息�����,所述更新信息中攜帶有第三證書的索引�����、配置于所述第三證書的第三權(quán)限以及操作指示�����,所述操作指示用于指示刪除或者增加所述第三證書對應(yīng)的所述第三權(quán)限�,所述第三證書已設(shè)置在可信證書列表中; 更新模塊���,用于根據(jù)所述更新信息�����,刪除或增加所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限�����; 處理模塊���,用于根據(jù)所述更新信息��,刪除所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限�,將所述第三權(quán)限不授予第二應(yīng)用程序���;根據(jù)所述更新信息�����,增加所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限,將所述第三權(quán)限授予第二應(yīng)用程序��,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序����。
18.根據(jù)權(quán)利要求10-16任一項(xiàng)所述的裝置����,其特征在于���,接收模塊�,用于接收移動(dòng)終端廠商發(fā)送的更新信息���,所述更新信息中攜帶有第三證書以及操作指示�����,所述操作指示用于在可信證書列表中增加或刪除所述第三證書�; 所述更新模塊���,還用于根據(jù)所述更新信息���,將所述第三證書增加到所述可信證書列表中,或?qū)⑺龅谌C書從所述可信證書列表中刪除����; 所述處理模塊���,還用于在所述更新模塊將所述第三證書增加到所述可信證書列表之后,將所述第三證書對應(yīng)的權(quán)限授予第二應(yīng)用程序�����;在所述更新模塊將所述第三證書增從所述可信證書列表中刪除�����,將所述第三證書對應(yīng)的權(quán)限不授予第二應(yīng)用程序�,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序。
19.一種終端�����,其特征在于��,包括:接收器以及與所述接收器連接的處理器��,其中�, 所述接收器,用于獲取第一應(yīng)用程序的安裝包����,所述安裝包中攜帶有所述第一應(yīng)用程序的第一證書和權(quán)限請求信息; 所述處理器����,用于根據(jù)所述權(quán)限請求信息確定所述第一應(yīng)用程序運(yùn)行時(shí)需要的第一權(quán)限,所述第一權(quán)限為系統(tǒng)的系統(tǒng)管理員權(quán)限���;根據(jù)所述第一應(yīng)用程序的所述第一證書���,將所述第一權(quán)限授予所述第一應(yīng)用程序。
20.根據(jù)權(quán)利要求19所述的終端�,其特征在于,所述處理器�����,具體用于確定可信證書列表中是否存儲有第二證書����,所述第二證書為通過所述第一證書中的索引信息在可信證書列表中查找到的證書,所述可信證書列表中至少存儲有允許授予應(yīng)用程序的證書�����;若確定所述可信證書列表中存儲有所述第二證書���,則將所述第一權(quán)限授予所述第一應(yīng)用程序�;若確定所述可信證書列表中沒有存儲所述第二證書,則將第二權(quán)限授予所述第一應(yīng)用程序����,所述第二權(quán)限為所述系統(tǒng)開發(fā)商和所述移動(dòng)終端廠商為所述第一應(yīng)用程序開放的權(quán)限,或者�����,提示用戶將所述第二證書存儲在用戶可信證書列表中����,并在所述用戶將所述第二證書存儲在所述用戶可信證書列表之后,將所述第一權(quán)限授予所述第一應(yīng)用程序��,所述用戶可信證書列表中存儲有所述用戶信任的證書�����。
21.根據(jù)權(quán)利要求20所述的終端��,其特征在于�,所述處理器,還用于確定所述可信證書列表中所述第二證書對應(yīng)的權(quán)限信息是否有所述第一權(quán)限��;若確定所述可信證書列表中所述第二證書對應(yīng)的 權(quán)限信息有所述第一權(quán)限,將所述第一權(quán)限授予所述第一應(yīng)用程序�����;若確定所述可信證書列表中所述第二證書對應(yīng)的權(quán)限信息沒有所述第一權(quán)限�,則將所述第二權(quán)限授予所述第一應(yīng)用程序����。
22.根據(jù)權(quán)利要求19所述的終端,其特征在于���,所述處理器�����,還用于確定可信證書列表中是否存儲有第二證書���,所述第二證書為通過所述第一證書的上級證書中的索引信息查找到的證書,所述可信證書列表中至少存儲有允許授予應(yīng)用程序的證書�;若確定可信證書列表中存儲有第二證書,則將所述第一權(quán)限授予所述第一應(yīng)用程序���;若確定可信證書列表中沒有存儲有第二證書�,則將第二權(quán)限授予所述第一應(yīng)用程序,所述第二權(quán)限為所述系統(tǒng)開發(fā)商和所述移動(dòng)終端廠商為所述第一應(yīng)用程序開放的權(quán)限�����。
23.根據(jù)權(quán)利要求20或21或22所述的終端����,其特征在于,所述處理器��,還用于根據(jù)所述第二證書和所述第一應(yīng)用程序中的簽名信息確定所述第一應(yīng)用程序中的所述安裝包是否是完整的����;若所述確定模塊確定為不完整,則終止所有操作��;若所述確定模塊確定為完整�����,則將所述第一權(quán)限授予所述第一應(yīng)用程序��。
24.根據(jù)權(quán)利要求20-23任一項(xiàng)所述的終端��,其特征在于,所述可信證書列表設(shè)置在移動(dòng)終端或服務(wù)器上���。
25.根據(jù)權(quán)利要求19-24任一項(xiàng)所述的裝置��,其特征在于����,所述處理器��,還用于在所述系統(tǒng)中設(shè)置所述第一權(quán)限�����。
26.根據(jù)權(quán)利要求19-25任一項(xiàng)所述的終端���,其特征在于,所述接收器��,還用于接收移動(dòng)終端廠商發(fā)送的更新信息���,所述更新信息中攜帶有第三證書的索引����、配置于所述第三證書的第三權(quán)限�、以及操作指示���,所述操作指示用于指示刪除或者增加所述第三證書對應(yīng)的所述第三權(quán)限,所述第三證書已設(shè)置在可信證書列表中�; 所述處理器,還用于根據(jù)所述更新信息�,刪除或增加所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限;或者��, 所述處理器�,還用于根據(jù)所述更新信息,刪除所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限�����,將所述第三權(quán)限不授予第二應(yīng)用程序����;根據(jù)所述更新信息,增加所述可信證書列表中所述第三證書對應(yīng)的所述第三權(quán)限��,將所述第三權(quán)限授予第二應(yīng)用程序���,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序�。
27.根據(jù)權(quán)利要求19-25任一項(xiàng)所述的終端,其特征在于�,所述接收器,用于接收移動(dòng)終端廠商發(fā)送的更新信息�����,所述更新信息中攜帶有第三證書以及操作指示���,所述操作指示用于在可信證書列表中增加或刪除所述第三證書�; 所述處理器�����,還用于根據(jù)所述更新信息�,將所述第三證書增加到所述可信證書列表中����,或?qū)⑹龅谌C書從所述可信證書列表中刪除;或者����, 所述處理器,還用于將所述第三證書增加到所述可信證書列表之后��,將所述第三證書對應(yīng)的權(quán)限授予第二應(yīng)用程序;將所述第三證書從所述可信證書列表中刪除�����,將所述第三證書對應(yīng)的權(quán)限不授予第二應(yīng)用程序��,所述第二應(yīng)用程序?yàn)橥ㄟ^所述第三證書簽名的應(yīng)用程序�。·
【文檔編號】G06F21/51GK103858130SQ201380002717
【公開日】2014年6月11日 申請日期:2013年8月23日 優(yōu)先權(quán)日:2013年8月23日
【發(fā)明者】黃曦, 吳黃偉 申請人:華為終端有限公司