用于終端權(quán)限管理的方法和終端的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及終端管理領(lǐng)域����,更具體地涉及在終端上執(zhí)行的用于權(quán)限管理的方法和相應(yīng)終端。
【背景技術(shù)】
[0002]隨著移動終端的日益流行��,其已經(jīng)成為了現(xiàn)代社會的生產(chǎn)生活中不可缺少的重要組成部分�����。因此,移動終端上的信息安全性就成為了廣受關(guān)注的課題����。在目前的主流移動終端上(特別是基于安卓平臺的智能終端上)�,對于應(yīng)用是否可以使用ROOT權(quán)限(類似地權(quán)限還有(且不限于)管理員(Administrator)權(quán)限等),主要是通過人工(用戶)參與方式����,來判斷是否授予應(yīng)用可以ROOT訪問權(quán)限。
[0003]如本領(lǐng)域技術(shù)人員所熟知的����,ROOT權(quán)限通常代表了一個系統(tǒng)上的最高權(quán)限,在具有該權(quán)限的情況下�,第三方應(yīng)用程序可以對系統(tǒng)中的任何資源(例如,網(wǎng)絡(luò)����、存儲、計算等資源)進行分配���、處理���、操作等���。而現(xiàn)有的這種對應(yīng)用要求ROOT權(quán)限的檢查,過分依賴于人工判斷:對于專業(yè)用戶�,它們可以從權(quán)限描述上采取相對謹慎的操作;而對于非專業(yè)(普通)用戶����,它們通常會忽略這種權(quán)限描述,從而導(dǎo)致對應(yīng)用的過分授權(quán)�����,使得某些應(yīng)用獲得本不應(yīng)當(dāng)獲取的ROOT權(quán)限�,帶來潛在的諸如隱私竊取、位置信息非法獲取���、關(guān)鍵系統(tǒng)數(shù)據(jù)秘密反饋等侵犯用戶合法權(quán)益的非法行為�����。
[0004]例如���,一個惡意的地圖應(yīng)用在安裝和/或運行時可能會向用戶請求除了“定位”資源之外的敏感存儲區(qū)域(例如���,存儲有用戶身份信息、銀行賬戶��、信用卡信息���、電話簿等)的讀寫權(quán)限���,進而導(dǎo)致敏感數(shù)據(jù)泄漏�����,并使得用戶利益受損���。
【發(fā)明內(nèi)容】
[0005]為了解決上述問題���,提供了根據(jù)本發(fā)明的用于終端權(quán)限管理的方法和相應(yīng)終端。
[0006]根據(jù)本發(fā)明的第一方面���,提供了一種在終端上執(zhí)行的用于管理權(quán)限的方法�。該方法包括:a)監(jiān)聽所述終端上的權(quán)限請求�����;b)將發(fā)起所述權(quán)限請求的應(yīng)用與在終端上維護的應(yīng)用白名單進行比對;以及
[0007]c)根據(jù)所述比對的結(jié)果�,執(zhí)行相應(yīng)的權(quán)限管理。
[0008]在一些實施例中��,步驟c)包括:如果所述比對的結(jié)果是所述應(yīng)用在所述應(yīng)用白名單中�����,則許可所述權(quán)限請求�����;如果所述比對的結(jié)果是所述應(yīng)用不在所述應(yīng)用白名單中�����,則向所述終端的用戶告警���。
[0009]在一些實施例中�����,所述應(yīng)用白名單是由所述終端從服務(wù)器獲取的����。
[0010]在一些實施例中,所述終端定期或在啟動時更新所述應(yīng)用白名單����。
[0011]在一些實施例中,所述終端定期或在啟動時更新所述應(yīng)用白名單包括:比較所述應(yīng)用白名單的時間戳或版本號和服務(wù)器上的應(yīng)用白名單的時間戳或版本號���,以確定是否需要更新所述應(yīng)用白名單��;如果需要更新�����,則從服務(wù)器下載最新的應(yīng)用白名單,并基于下載的應(yīng)用白名單來更新所述終端上的所述應(yīng)用白名單��;如果不需要更新���,則結(jié)束更新過程�����。
[0012]在一些實施例中����,基于下載的應(yīng)用白名單來更新所述終端上的所述應(yīng)用白名單包括:備份所述終端上的所述應(yīng)用白名單;對下載的應(yīng)用白名單進行完整性和有效性校驗��;以及如果校驗結(jié)果正確�����,則用下載的應(yīng)用白名單來替換所述終端的上的所述應(yīng)用白名單���;如果校驗結(jié)果不正確��,則結(jié)束所述更新過程��。
[0013]在一些實施例中�,將所述更新過程中的相關(guān)信息以日志方式加以保存��。
[0014]在一些實施例中���,步驟a)包括:在所述終端上調(diào)用以后臺服務(wù)模式運行的監(jiān)聽模塊�����,以監(jiān)聽所述終端上的權(quán)限請求�����。
[0015]在一些實施例中�,所述應(yīng)用白名單中還包括與各應(yīng)用分別相關(guān)的“云端檢查”標(biāo)志項,用于指示是否在云端檢查相應(yīng)應(yīng)用的權(quán)限請求�。
[0016]在一些實施例中,步驟c)包括:如果所述比對的結(jié)果是所述應(yīng)用在所述應(yīng)用白名單中����,則檢查所述應(yīng)用白名單中所述應(yīng)用的“云端檢查”標(biāo)志項:如果所述“云端檢查”標(biāo)志項指示需要在云端檢查所述應(yīng)用的權(quán)限請求,則向云端發(fā)送檢查請求���,并從云端接收檢查結(jié)果�����,以及執(zhí)行相應(yīng)的權(quán)限管理;如果所述“云端檢查”標(biāo)志項指示不需要在云端檢查所述應(yīng)用的權(quán)限請求����,則許可所述權(quán)限請求。
[0017]在一些實施例中���,步驟b)包括:計算所述應(yīng)用的數(shù)字摘要值���;以及將計算出的數(shù)字摘要值與所述應(yīng)用白名單中各應(yīng)用的數(shù)字摘要值進行比較�,以確定所述應(yīng)用是否在所述應(yīng)用白名單中���。
[0018]在一些實施例中�,在所述終端上提供用戶界面�,以供用戶設(shè)置以下至少一項:是否進行應(yīng)用白名單更新;是否進行云端檢查�;以及是否進行云端日志分析。
[0019]根據(jù)本發(fā)明的第二方面��,提供了一種用于管理權(quán)限的終端����。該終端包括:監(jiān)聽單元,用于監(jiān)聽所述終端上的權(quán)限請求���;比對單元�,用于將發(fā)起所述權(quán)限請求的應(yīng)用與在終端上維護的應(yīng)用白名單進行比對�;以及管理單元,用于根據(jù)所述比對的結(jié)果��,執(zhí)行相應(yīng)的權(quán)限管理。
[0020]在一些實施例中����,所述管理單元用于:如果所述比對的結(jié)果是所述應(yīng)用在所述應(yīng)用白名單中,則許可所述權(quán)限請求���;如果所述比對的結(jié)果是所述應(yīng)用不在所述應(yīng)用白名單中�,則向所述終端的用戶告警����。
[0021 ] 在一些實施例中,所述應(yīng)用白名單是由所述終端從服務(wù)器獲取的�����。
[0022]在一些實施例中��,還包括:更新單元���,用于定期或在啟動時更新所述應(yīng)用白名單���。
[0023]在一些實施例中��,所述更新單元還用于:比較所述應(yīng)用白名單的時間戳或版本號和服務(wù)器上的應(yīng)用白名單的時間戳或版本號,以確定是否需要更新所述應(yīng)用白名單���;如果需要更新�,則從服務(wù)器下載最新的應(yīng)用白名單��,并基于下載的應(yīng)用白名單來更新所述終端上的所述應(yīng)用白名單�;如果不需要更新,則結(jié)束更新過程����。
[0024]在一些實施例中,所述更新單元還用于:備份所述終端上的所述應(yīng)用白名單���;對下載的應(yīng)用白名單進行完整性和有效性校驗�;以及如果校驗結(jié)果正確�,則用下載的應(yīng)用白名單來替換所述終端的上的所述應(yīng)用白名單;如果校驗結(jié)果不正確����,則結(jié)束所述更新過程。
[0025]在一些實施例中�,所述更新單元還用于將所述更新過程中的相關(guān)信息以日志方式加以保存。
[0026]在一些實施例中�,所述監(jiān)聽單元用于:以后臺服務(wù)模式在所述終端上運行�����,以監(jiān)聽所述終端上的權(quán)限請求���。
[0027]在一些實施例中,所述應(yīng)用白名單中還包括與各應(yīng)用分別相關(guān)的“云端檢查”標(biāo)志項�,用于指示是否在云端檢查相應(yīng)應(yīng)用的權(quán)限請求。
[0028]在一些實施例中����,所述管理單元用于:如果所述比對的結(jié)果是所述應(yīng)用在所述應(yīng)用白名單中,則檢查所述應(yīng)用白名單中所述應(yīng)用的“云端檢查”標(biāo)志項:如果所述“云端檢查”標(biāo)志項指示需要在云端檢查所述應(yīng)用的權(quán)限請求����,則向云端發(fā)送檢查請求,并從云端接收檢查結(jié)果���,以及執(zhí)行相應(yīng)的權(quán)限管理���;如果所述“云端檢查”標(biāo)志項指示不需要在云端檢查所述應(yīng)用的權(quán)限請求,則許可所述權(quán)限請求�。
[0029]在一些實施例中,所述比對單元用于:計算所述應(yīng)用的數(shù)字摘要值;以及將計算出的數(shù)字摘要值與所述應(yīng)用白名單中各應(yīng)用的數(shù)字摘要值進行比較�����,以確定所述應(yīng)用是否在所述應(yīng)用白名單中��。
[0030]在一些實施例中����,所述終端還包括用戶界面�,以供用戶設(shè)置以下至少一項:是否進行應(yīng)用白名單更新;是否進行云端檢查�;以及是否進行云端日志分析。
[0031]通過使用本發(fā)明的方法和終端���,能夠自動進行ROOT權(quán)限請求檢測���,保證安全的應(yīng)用獲得權(quán)限,并減少用戶對惡意應(yīng)用誤授權(quán)的情況���,進而保護用戶的數(shù)據(jù)安全�。
【附圖說明】
[0032]通過下面結(jié)合【附圖說明】本發(fā)明的優(yōu)選實施例���,將使本發(fā)明的上述及其它目的�、特征和優(yōu)點更加清楚,其中:
[0033]圖1是示出