專利名稱:控制方法和電子設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及控制方法和電子設(shè)備。
背景技術(shù):
在當前的電子設(shè)備中����,每個應(yīng)用都會具有一定的訪問資源的權(quán)限,從而能夠執(zhí)行某些特定的功能�����。例如���,當用戶需要以電子設(shè)備進行錄音或錄像操作時,便需要訪問能夠進行音頻或視頻處理的資源��。但是�,這種應(yīng)用對于資源的訪問如果處于不恰當?shù)目刂茽顟B(tài)��,則可能產(chǎn)生不利的后果��。例如���,當用戶以電子設(shè)備撥打電話時,可能有一些惡意應(yīng)用在該電子設(shè)備的后臺偷偷地錄音竊聽�,并自動將錄音文件傳給竊聽者,導致用戶的隱私泄露。又或者�����,如果在會議模式下使用電子設(shè)備�,則有些惡意應(yīng)用會偷偷進行錄音或者錄像��,從而導致商業(yè)機密泄露����。并且���,隨著電子設(shè)備的功能的日趨豐富�,出現(xiàn)了移動支付等新型的工作場景�����,在這些場景下,用戶需要進行服務(wù)登錄�����,并且���,當用戶進行服務(wù)登錄時使用第三方的輸入法時�,該第三方的輸入法應(yīng)用也可能被黑客加殼���,且這種加殼的第三方輸入法應(yīng)用可能竊取用戶的賬號輸入并傳給竊取者�����,導致用戶的賬號泄露等�����,從而造成很嚴重的問題���。在當前的電子設(shè)備的權(quán)限管理模塊中都是靜態(tài)的設(shè)置,即只能由用戶預先設(shè)置哪些應(yīng)用具有什么樣的資源訪問權(quán)限��。這樣��,需要用戶自己來判斷哪些應(yīng)用時可信的,使用上并不方便����,并且,這還需要用戶具有一定的專業(yè)知識��,且并不能做到很高的安全性�����。因此��,需要一種改進的控制方法來增強電子設(shè)備的應(yīng)用訪問特定資源的安全性�。
發(fā)明內(nèi)容
因此,針對上述現(xiàn)有技術(shù)中存在的問題和需求做出本發(fā)明�。本發(fā)明實施例的目的是提供一種控制方法和電子設(shè)備,其能夠自動啟用控制策略以更改應(yīng)用對特定資源的訪問權(quán)限��,從而提高安全性����。根據(jù)本發(fā)明實施例的一個方面�����,提供了一種控制方法,應(yīng)用于電子設(shè)備����,所述電子設(shè)備具有P個應(yīng)用,P為大于0的整數(shù)����,且所述電子設(shè)備具有能由所述P個應(yīng)用訪問的資源,所述方法包括:當所述電子設(shè)備處于第一工作模式時����,所述P個應(yīng)用中的M個應(yīng)用具有第一資源的訪問權(quán)限,其中���,M大于0并小于等于P ;檢測所述電子設(shè)備是否從所述第一工作模式進入第二工作模式��;當所述電子設(shè)備進入所述第二工作模式時����,獲得控制策略��,所述控制策略是關(guān)于在所述第二工作模式下具有所述第一資源訪問權(quán)限的所述P個應(yīng)用中的N個應(yīng)用����,其中��,N大于等于0并小于等于P��,且所述M個應(yīng)用與所述N個應(yīng)用不完全相同��;以及控制所述電子設(shè)備以使得在第二工作模式下僅有所述N個應(yīng)用具有所述第一資源的訪問權(quán)限�����。在上述控制方法中�����,所述獲得控制策略的步驟具體包括:獲得所述控制策略,所述控制策略是在所述第二工作模式下具有所述第一資源訪問權(quán)限的所述P個應(yīng)用中的N個應(yīng)用����。
在上述控制方法中��,所述獲得控制策略的步驟具體包括:獲得所述控制策略�,所述控制策略是在所述第二工作模式下具有所述第一資源訪問權(quán)限的所述P個應(yīng)用中的N個應(yīng)用,其中�,N大于等于0并小于M����。在上述控制方法中�����,所述獲得控制策略的步驟具體包括:獲得所述控制策略����,所述控制策略是在所述第二工作模式下不具有所述第一資源訪問權(quán)限的所述P個應(yīng)用中的X個應(yīng)用��,其中X = P-N���。在上述控制方法中�,所述控制所述電子設(shè)備以使得在第二工作模式下僅有所述N個應(yīng)用具有所述第一資源的訪問權(quán)限的步驟之后進一步包括:檢測所述電子設(shè)備是否從所述第二工作模式進入第一工作模式����;當所述電子設(shè)備進入所述第一工作模式時,控制所述電子設(shè)備以使得在第一工作模式時所述M個應(yīng)用具有第一資源的訪問權(quán)限����。在上述控制方法中,所述電子設(shè)備包括一操作系統(tǒng)�,所述操作系統(tǒng)中包含至少一個基本資源,每個所述基本資源對應(yīng)所述操作系統(tǒng)中的一個功能�,并且,對于所述P個應(yīng)用中的每個應(yīng)用���,在向所述操作系統(tǒng)安裝所述每個應(yīng)用時��,獲取所述P個應(yīng)用中的每個應(yīng)用對應(yīng)的目標資源清單����,所述目標資源清單中包含所述P個應(yīng)用中的每個應(yīng)用需要使用的至少一個目標資源,所述至少一個目標資源屬于所述至少一個基本資源��;所述控制所述電子設(shè)備以使得在第二工作模式下僅有所述N個應(yīng)用具有所述第一資源的訪問權(quán)限的步驟具體包括:根據(jù)控制策略從所述目標資源清單中生成允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息���;保存所述允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息��。在上述控制方法中��,所述根據(jù)控制策略從所述目標資源清單中生成允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息的步驟包括:根據(jù)控制策略生成阻止訪問資源清單�����,所述阻止訪問資源 清單中包含禁止所述P個應(yīng)用中的所述N個應(yīng)用以外的其它應(yīng)用訪問的第一資源���;所述保存所述允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息具體為:保存所述阻止訪問資源清單和所述目標資源清單。在上述控制方法中���,還包括:當所述P個應(yīng)用中的所述N個應(yīng)用以外的其它應(yīng)用訪問第一資源時���,攔截所述其它應(yīng)用對所述目標資源清單的訪問。在上述控制方法中����,所述根據(jù)控制策略從所述目標資源清單中生成允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息的步驟包括:根據(jù)控制策略生成混合訪問資源清單,所述混合訪問資源清單中包含了所述每一個目標資源及其是否允許被訪問的信息��;所述保存所述允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的基本信息具體為:保存所述混合訪問組件清單��。在上述控制方法中����,還包括:當所述N個應(yīng)用中的每個應(yīng)用訪問第一資源時,查找所述混合訪問資源清單�����,獲取所述第一資源允許被訪問的信息�����;允許所述N個應(yīng)用中的每個應(yīng)用訪問所述第一資源����。在上述控制方法中�,所述根據(jù)控制策略從所述目標資源清單中生成允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息的包括:根據(jù)控制策略生成允許訪問資源清單�,所述允許訪問資源清單中包含允許所述N個應(yīng)用中的每個應(yīng)用訪問的基本資源;所述保存所述允許所述N個應(yīng)用中的每個應(yīng)用訪問的基本資源的信息具體為:保存所述允許訪問資
源清單���。在上述控制方法中�,還包括:當所述N個應(yīng)用中的每個應(yīng)用訪問第一資源時�����,查找所述允許訪問資源清單��;允許所述N個應(yīng)用中的每個應(yīng)用訪問所述第一資源��。根據(jù)本發(fā)明實施例的另一方面��,提供了一種電子設(shè)備��,具有P個應(yīng)用�����,P為大于0的整數(shù)�����,并具有能由所述P個應(yīng)用訪問的資源,所述電子設(shè)備包括:控制器��,配置為控制當所述電子設(shè)備處于第一工作模式時�,所述P個應(yīng)用中的M個應(yīng)用具有第一資源的訪問權(quán)限����,其中,M大于0并小于等于P ;檢測所述電子設(shè)備是否從所述第一工作模式進入第二工作模式�����;控制當所述電子設(shè)備進入所述第二工作模式時����,獲得控制策略,所述控制策略是關(guān)于在所述第二工作模式下具有所述第一資源訪問權(quán)限的所述P個應(yīng)用中的N個應(yīng)用�,其中,N大于等于0并小于等于P�����,且所述M個應(yīng)用與所述N個應(yīng)用不完全相同��;以及控制所述電子設(shè)備以使得在第二工作模式下僅有所述N個應(yīng)用具有所述第一資源的訪問權(quán)限。通過根據(jù)本發(fā)明實施例的控制方法和電子設(shè)備��,可以在工作模式發(fā)生轉(zhuǎn)換時自動啟用控制策略以更改應(yīng)用對特定資源的訪問權(quán)限�����,在促進了用戶使用的便利性的同時增強了系統(tǒng)總體的安全性�。
為了更清楚地說明本發(fā)明實施例·或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�����,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖����。圖1是示出根據(jù)本發(fā)明實施例的控制方法的示意性流程圖;圖2是根據(jù)本發(fā)明實施例的控制方法的應(yīng)用場景示意圖���;圖3是示出根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第一示例的流程圖�����;圖4是示出根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第二示例的流程圖�;圖5是示出根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第三示例的流程圖;圖6是示出根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第四示例的流程圖�����;圖7是示出根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第五示例的流程圖����;圖8是示出根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第六示例的流程圖����。
具體實施例方式
下面,將結(jié)合附圖詳細描述根據(jù)本發(fā)明實施例的控制方法和電子設(shè)備�����。根據(jù)本發(fā)明實施例的一個方面����,提供了一種控制方法,應(yīng)用于電子設(shè)備���,所述電子設(shè)備具有P個應(yīng)用����,P為大于0的整數(shù),且所述電子設(shè)備具有能由所述P個應(yīng)用訪問的資源�,所述方法包括:當所述電子設(shè)備處于第一工作模式時,所述P個應(yīng)用中的M個應(yīng)用具有第一資源的訪問權(quán)限��,其中��,M大于0并小于等于P ;檢測所述電子設(shè)備是否從所述第一工作模式進入第二工作模式��;當所述電子設(shè)備進入所述第二工作模式時�����,獲得控制策略�����,所述控制策略是關(guān)于在所述第二工作模式下具有所述第一資源訪問權(quán)限的所述P個應(yīng)用中的N個應(yīng)用����,其中,N大于等于0并小于等于P�����,且所述M個應(yīng)用與所述N個應(yīng)用不完全相同;以及控制所述電子設(shè)備以使得在第二工作模式下僅有所述N個應(yīng)用具有所述第一資源的訪問權(quán)限����。通過上述根據(jù)本發(fā)明實施例的控制方法,當電子設(shè)備的工作模式發(fā)生改變時���,可以自動啟用控制策略���,從而更改在不同模式下應(yīng)用對于第一資源的訪問權(quán)限。這樣����,可以避免在某些特定的工作模式下�����,某些不適當?shù)膽?yīng)用對于電子設(shè)備的第一資源的不適當?shù)脑L問���,從而提高了系統(tǒng)的安全性�����。并且����,這種調(diào)整并不需要用戶來手動進行,而是可以基于控制策略來自動進行����,從而促進了用戶使用的便利。圖1是示出根據(jù)本發(fā)明實施例的控制方法的示意性流程圖���。根據(jù)本發(fā)明實施例的控制方法應(yīng)用于一電子設(shè)備����,該電子設(shè)備例如具有P個應(yīng)用��,其中P為大于0的整數(shù)����,并且,該電子設(shè)備具有能由該P個應(yīng)用訪問的資源��,這里可以是一個或多個資源���。如圖1所示�,該方法包括:S10,當電子設(shè)備處于第一工作模式時���,該P個應(yīng)用中的M個應(yīng)用具有第一資源的訪問權(quán)限����,其中�����,M大于0并小于等于P ;S20�,檢測電子設(shè)備是否從第一工作模式進入第二工作模式;S30���,當電子設(shè)備進入第二工作模式時�,獲得控制策略�����,該控制策略是關(guān)于在第二工作模式下具有第一資源訪問權(quán)限的P個應(yīng)用中的N個應(yīng)用����,其中�����,N大于等于0并小于等于P,且該M個應(yīng)用與該N個應(yīng)用不完全相同�;以及S40�����,控制電子設(shè)備以使得在第二工作模式下僅有該N個應(yīng)用具有該第一資源的訪問權(quán)限。這里���,本領(lǐng)域技術(shù)人員可以理解�,因為本發(fā)明實施例的技術(shù)方案的實質(zhì)在于更改應(yīng)用訪問第一資源的權(quán)限���,所以在第一工作模式和第二工作模式下����,具有訪問第一資源的權(quán)限的應(yīng)用應(yīng)該彼此不同�。因此,在M等于P的情況下���,N應(yīng)該小于P��,從而使得M個應(yīng)用和N個應(yīng)用不同��,而在N等于P的情況下�����,M應(yīng)該小于P�����,從而使得M個應(yīng)用和N個應(yīng)用不同�,在這兩種情況下,M與N并不相同��。而在M小于P并且N也小于P的情況下���,M與N可以相同����,但是該M個應(yīng)用于N個應(yīng)用并不相同����。例如�����,假設(shè)P = 5,M = N = 2��,則該M個應(yīng)用可以是該P個應(yīng)用中的第一和第三應(yīng)用���,而該N個應(yīng)用可以是該P個應(yīng)用中的第二和第四應(yīng)用����。此夕卜�,對于電子設(shè)備中的特定資源來說,其是需要由應(yīng)用來訪問的���,因此在第一工作模式下����,例如在待機模式下�,具有訪問第一資源的權(quán)限的應(yīng)用數(shù)目應(yīng)大于0,即M應(yīng)該大于O�。但是,當工作模式轉(zhuǎn)變時���,即轉(zhuǎn)變?yōu)榫唧w工作場景時���,如通話場景或會議場景�����,有可能需要禁止全部應(yīng)用對該第一資源的訪問�,例如在該第一資源是錄音或錄像所對應(yīng)的資源時�����,因此此時N可以等于O���?;蛘?���,在用戶進行密碼輸入時,由于安全性的考慮�����,可能禁用所有的輸入記錄功能�,因此N等于O。此外�����,在通話場景中��,因為用戶可能也具有錄音的需求�,因此也可以禁用一部分應(yīng)用的錄音功能,例如��,僅允許默認的錄音應(yīng)用程序具有錄音功能����,而禁用其它應(yīng)用的錄音功能。這里���,本領(lǐng)域技術(shù)人員可以理解���,以上所述P、M和N的具體數(shù)目僅是為了說明的目的���,本發(fā)明的實施例并不意在對此進行任意限制����。在上述控制方法中��,所述獲得控制策略的步驟具體包括:獲得所述控制策略,所述控制策略是在所述第二工作模式下具有所述第一資源訪問權(quán)限的所述P個應(yīng)用中的N個應(yīng)用���。在上述控制方法中����,所述獲得控制策略的步驟具體包括:獲得所述控制策略,所述控制策略是在所述第二工作模式下具有所述第一資源訪問權(quán)限的所述P個應(yīng)用中的N個應(yīng)用���,其中�����,N大于等于0并小于M�。對于具 體的控制策略來說��,因為是要限制在第二工作模式下應(yīng)用對于第一資源的訪問����,因此可以采用設(shè)置允許訪問第一資源的應(yīng)用(即白名單)或禁止訪問第一資源的應(yīng)用(即黑名單)的方式來控制應(yīng)用對于第一資源的訪問。在上述設(shè)置白名單的情況下���,該控制策略例如可以是在第二工作模式下具有第一資源的訪問權(quán)限的N個應(yīng)用的列表�����。并且��,如之前所提到的��,當?shù)诙ぷ髂J绞窍鄬τ诘谝还ぷ髂J叫枰甙踩缘膱鼍皶r���,如從待機工作模式轉(zhuǎn)換到通話工作模式或會議工作模式,通常是進一步減少能夠訪問第一資源的應(yīng)用的數(shù)目��,因此N通常小于M��。當然��,這里本領(lǐng)域技術(shù)人員可以理解���,取決于具體的工作模式�,對于特定應(yīng)用訪問特定資源的權(quán)限會有所改變�,例如,當從需要較高安全性的工作模式轉(zhuǎn)換到需要較低安全性的工作模式時�,則可以設(shè)置N大于M?����;蛘撸诓煌膱鼍跋虏煌膽?yīng)用具有訪問第一資源的權(quán)限���,而并不限定N和M —定具有某種包含關(guān)系���。這里,本領(lǐng)域技術(shù)人員可以理解本發(fā)明的實施例并不進行任意限定���。在上述控制方法中���,所述獲得控制策略的步驟具體包括:獲得所述控制策略,所述控制策略是在所述第二工作模式下不具有所述第一資源訪問權(quán)限的所述P個應(yīng)用中的X個應(yīng)用,其中X = P-N���。如上所述����,當控制策略采用設(shè)置禁止訪問第一資源的應(yīng)用(即黑名單)的方式時�����,該控制策略涉及在第二工作模式下不能夠訪問第一資源的X個應(yīng)用���。并且�,這里X = P-N,即,不能夠訪問第一資源的應(yīng)用數(shù)目加上能夠訪問第一資源的應(yīng)用的數(shù)目應(yīng)等于電子設(shè)備中應(yīng)用的總數(shù)目���。但是�,本發(fā)明的實施例并不限于此���,例如����,同樣采用類似于黑名單的控制方式��,控制策略可以是在第二工作模式下不具有第一資源訪問權(quán)限的P個應(yīng)用中的Y個應(yīng)用�����,并且Y = M-N0這對應(yīng)于當從需要較低安全性的第一工作模式轉(zhuǎn)換為需要較高安全性的第二工作模式時�����,需要在原有具有訪問第一資源的權(quán)限的M個應(yīng)用的基礎(chǔ)上進一步限定能夠訪問第一資源的應(yīng)用的情況��。與上面所述的相同��,本領(lǐng)域技術(shù)人員可以理解�����,以上關(guān)于X和Y的描述也是為了說明的目的��,而不意在進行任意限制�����。在上述控制方法中�,可以按照系統(tǒng)設(shè)置或者用戶設(shè)置來制定安全策略。例如�,可以從安裝的角度來制定安全策略以識別需要禁用哪個應(yīng)用對于特定資源的訪問,即�,可以設(shè)置電子設(shè)備的制造商在出廠時即在電子設(shè)備的操作系統(tǒng)中安裝的應(yīng)用具有訪問權(quán)限,而在電子設(shè)備出廠之后由用戶自己安全的應(yīng)用不具有訪問權(quán)限�。在上述控制方法中,所述控制所述電子設(shè)備以使得在第二工作模式下僅有所述N個應(yīng)用具有所述第一 資源的訪問權(quán)限的步驟之后進一步包括:檢測所述電子設(shè)備是否從所述第二工作模式進入第一工作模式�����;當所述電子設(shè)備進入所述第一工作模式時�,控制所述電子設(shè)備以使得在第一工作模式時所述M個應(yīng)用具有第一資源的訪問權(quán)限。就是說��,當電子設(shè)備從第二工作模式回到第一工作模式時,恢復應(yīng)用在第一工作模式下的情況���,即���,使得該P個應(yīng)用中的M個應(yīng)用具有訪問第一資源的權(quán)限。在上述控制方法中����,當電子設(shè)備進行第二工作模式時,獲得安全策略以控制所述P個應(yīng)用中的P-N個應(yīng)用不具有訪問特定資源的權(quán)限具體包括:控制正在訪問資源的應(yīng)用以使得所述應(yīng)用禁止訪問資源�����;控制當時未啟動但是能夠啟動的應(yīng)用以使得所述應(yīng)用不能啟動�;控制正在啟動的應(yīng)用以使得所述應(yīng)用關(guān)閉且不能再啟動����;控制未申請訪問資源的權(quán)限的應(yīng)用以使得所述應(yīng)用不能申請訪問資源的權(quán)限。也就是說���,在根據(jù)本發(fā)明實施例的控制方法中�,限制某些應(yīng)用訪問資源的權(quán)限并不僅限于禁止當前正在訪問資源的應(yīng)用對資源的訪問����,還包括與訪問資源相關(guān)的其它操作��,例如如上所述的這些操作���。并且,本領(lǐng)域技術(shù)人員可以理解����,當電子設(shè)備從第二工作模式返回到第一工作模式時,即恢復某些應(yīng)用訪問特定資源的權(quán)限時��,根據(jù)本發(fā)明實施例的控制方法也包含上述操作����。這里,本發(fā)明的實施例并不意在進行任意限制����。
如上所述,在根據(jù)本發(fā)明實施例的控制方法中��,第一工作模式可以是待機模式�,或其它不需要對應(yīng)用對特定資源的訪問進行限制的工作模式,而第二工作模式包括下列的至少其中之一:撥打電話模式����、賬號輸入模式和會議模式����。并且�,在這種情況下,第一資源可以是與下列功能的至少其中一個有關(guān)的資源:錄音功能�、錄像功能、上網(wǎng)功能����、寫存儲設(shè)備的功能。例如�,當檢測到電子設(shè)備處于某個特殊情境下的工作模式時(如撥打電話,賬號輸入�,會議模式下),則根據(jù)預先定義的控制策略����,來動態(tài)地禁用一些應(yīng)用訪問特定資源的特定權(quán)限���,以達到安全的目的�����。比如�,當用戶撥打電話時,則自動禁用所有應(yīng)用進行錄音和錄像的權(quán)限�����,以防止電話竊聽��,而在撥打電話完畢后��,自動開啟應(yīng)用具有的錄音和錄像的權(quán)限���,從而恢復電子設(shè)備的錄音和錄像功能�����。又比如���,當在會議模式下時,也需要自動禁用所有應(yīng)用進行錄音和錄像的權(quán)限�����,從而防止泄密����,而在會議結(jié)束時切換到正常模式下����,從而自動開啟應(yīng)用具有的錄音和錄像的權(quán)限���,以恢復電子設(shè)備的錄音和錄像功能�。此外�,當進行賬戶登錄等時調(diào)出輸入法時,則自動禁用該輸入法的上網(wǎng)功能和寫存儲設(shè)備(例如SD卡等)的權(quán)限����,從而防止賬號密碼被記錄和上傳而造成泄密。圖2是根據(jù)本發(fā)明實施例的控制方法的應(yīng)用場景示意圖�����。如圖2所示����,當應(yīng)用根據(jù)本發(fā)明實施例的控制方法進行權(quán)限的動態(tài)調(diào)整時,由工作模式檢測模塊進行特定情景的檢測���,在檢測到某個需要特別的安全保護的情景�����,例如撥打電話時����,則從存儲的特定情景安全保護策略讀取相應(yīng)的安全策略并執(zhí)行該策略��,例如��,禁止所有應(yīng)用的錄音和錄像功能�����。并且����,當工作模式檢測模塊檢測到已經(jīng)退出了該情景時,例如電話撥打已經(jīng)結(jié)束時�����,則恢復原來的權(quán)限策略���,例如允許原來可以進行錄音的應(yīng)用正常錄音�����,從而保證電子設(shè)備可具有正常使用的功能���。在根據(jù)本發(fā)明實施例的控制方法中�,通過對架構(gòu)權(quán)限策略庫進行權(quán)限策略的更新和恢復來具體實現(xiàn)應(yīng)用對特定資源的訪問權(quán)限的控制����。下面,將描述根據(jù)本發(fā)明的實施例的控制方法中���,如果實現(xiàn)具體應(yīng)用對特定資源的訪問權(quán)限的控制���。在根據(jù)本 發(fā)明實施例的控制方法中,所述電子設(shè)備包括一操作系統(tǒng)�,所述操作系統(tǒng)中包含至少一個基本資源,每個所述基本資源對應(yīng)所述操作系統(tǒng)中的一個功能�,并且,對于所述P個應(yīng)用中的每個應(yīng)用�����,在向所述操作系統(tǒng)安裝所述每個應(yīng)用時,獲取所述P個應(yīng)用中的每個應(yīng)用對應(yīng)的目標資源清單����,所述目標資源清單中包含所述P個應(yīng)用中的每個應(yīng)用需要使用的至少一個目標資源��,所述至少一個目標資源屬于所述至少一個基本資源���;所述控制所述電子設(shè)備以使得在第二工作模式下僅有所述N個應(yīng)用具有所述第一資源的訪問權(quán)限的步驟具體包括:根據(jù)控制策略從所述目標資源清單中生成允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息����;保存所述允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息�。在上述控制方法中,所述根據(jù)控制策略從所述目標資源清單中生成允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息的步驟包括:生成阻止訪問資源清單��,所述阻止訪問資源清單中包含禁止所述P個應(yīng)用中的所述N個應(yīng)用以外的其它應(yīng)用訪問的第一資源�����;所述保存所述允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息具體為:保存所述阻止訪問資源清單和所述目標資源清單�。 在上述控制方法中,還包括:當所述P個應(yīng)用中的所述N個應(yīng)用以外的其它應(yīng)用訪問第一資源時�,攔截所述其它應(yīng)用對所述目標資源清單的訪問。
在上述控制方法中�,所述根據(jù)控制策略從所述目標資源清單中生成允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息的步驟包括:根據(jù)控制策略生成混合訪問資源清單,所述混合訪問資源清單中包含了所述每一個目標資源及其是否允許被訪問的信息���;所述保存所述允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的基本信息具體為:保存所述混合訪問組件清單�。在上述控制方法中,還包括:當所述N個應(yīng)用中的每個應(yīng)用訪問第一資源時����,查找所述混合訪問資源清單,獲取所述第一資源允許被訪問的信息��;允許所述N個應(yīng)用中的每個應(yīng)用訪問所述第一資源�����。在上述控制方法中��,所述根據(jù)控制策略從所述目標資源清單中生成允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息的包括:根據(jù)控制策略生成允許訪問資源清單����,所述允許訪問資源清單中包含允許所述N個應(yīng)用中的每個應(yīng)用訪問的基本資源;所述保存所述允許所述N個應(yīng)用中的每個應(yīng)用訪問的基本資源的信息具體為:保存所述允許訪問資
源清單����。
在上述控制方法中,還包括:當所述N個應(yīng)用中的每個應(yīng)用訪問第一資源時�����,查找所述允許訪問資源清單;允許所述N個應(yīng)用中的每個應(yīng)用訪問所述第一資源��。如上所述��,該電子設(shè)備包括一操作系統(tǒng)���,該操作系統(tǒng)可以包括:Symbian,Android,iOS或WinCE等,下述本發(fā)明實施例中將以Android應(yīng)用為例進行描述���。Android操作系統(tǒng)是以Linux內(nèi)核為基礎(chǔ)的智能終端操作系統(tǒng),每個Android操作系統(tǒng)的應(yīng)用運行在相互隔離的java虛擬機內(nèi)��,每個Android應(yīng)用對應(yīng)多個組件�����,即在Android系統(tǒng)中�����,以上描述中提到的電子設(shè)備的資源被稱為組件�����,并且�,每個組件對應(yīng)操作系統(tǒng)中的一個基本功能,比如發(fā)消息��、網(wǎng)絡(luò)訪問等��。Android應(yīng)用通過對組件的訪問實現(xiàn)對操作系統(tǒng)中的基本功能的訪問���。每個Android應(yīng)用通過AndroidManifest.xml文件來顯性聲明其需要訪問的組件�����。在通常情況下�,任何Android應(yīng)用在安裝時都需要申請相關(guān)組件的訪問權(quán)限�����,以安裝在手機內(nèi)的Android應(yīng)用為例�,需要訪問的組件功能包括發(fā)送和接收短信、撥打電話����、獲取位置服務(wù)等,在申請了這些組件后����,才能夠在手機運行時使用這些組件對應(yīng)的功能���。因此,在根據(jù)本發(fā)明實施例的控制方法中����,電子設(shè)備的操作系統(tǒng)包含至少一個基本組件,且每個所述基本組件對應(yīng)所述操作系統(tǒng)中的一個功能���。下面���,將參考圖3到圖8來描述根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第一到第六示例��。圖3是示出根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第一示例的流程圖�。參見圖3:步驟101:在向操作系統(tǒng)安裝第一應(yīng)用時,獲取第一應(yīng)用對應(yīng)的目標組件清單�����。其中���,目標組件清單中包含第一應(yīng)用需要使用的至少一個目標組件�����,該至少一個目標組件屬于至少一個基本組件�。如上所述,本發(fā)明實施例中的應(yīng)用可以具體為Android應(yīng)用���,該應(yīng)用對應(yīng)的操作系統(tǒng)為以Linux內(nèi)核為基礎(chǔ)的操作系統(tǒng)���。例如,在智能終端中安裝的播放器軟件等屬于一個Android應(yīng)用�����,而操作系統(tǒng)中的基本組件對應(yīng)的功能可以包括:隱私訪問類功能(包括讀短信�����、讀取位置信息����、讀取日程、讀取通訊錄�、攝像頭設(shè)備的訪問等)、付費服務(wù)類功能(包括發(fā)短信�、打電話�、訪問網(wǎng)絡(luò)等)��、數(shù)據(jù)修改類應(yīng)用(包括刪除應(yīng)用包�����、格式化文件系統(tǒng)���、寫日程�、寫通訊錄等)���、惡意威脅類功能(包括安裝包��、修改系統(tǒng)配置����、讀日志文件等)�、其它風險類應(yīng)用(包括電池消耗�����、硬件損壞��、用戶自定義高風險權(quán)限等),Android應(yīng)用要實現(xiàn)對上述每一個具體功能的訪問��,都需要相應(yīng)訪問該具體功能對應(yīng)的組件���。在本示例中���,每一個基本組件可以僅對應(yīng)一個具體的功能,例如�,組件I僅對應(yīng)發(fā)短信功能,而組件2僅對應(yīng)訪問網(wǎng)絡(luò)功能����。步驟102:接收組件選擇命令后,根據(jù)該組件選擇命令從目標組件清單中生成允許第一應(yīng)用訪問的基本組件的信息�����。具體的�����,接收的組件選擇命令可以為用戶手動輸入的組件選擇命令�,或根據(jù)預先設(shè)置的組件訪問策略生成的組件選擇命令。其中����,預先設(shè)置的組件訪問策略可以具體為:當?shù)谝换窘M件對應(yīng)的功能發(fā)生異常時�����,設(shè)置該第一基本組件為操作系統(tǒng)中安裝的所有應(yīng)用均不允許訪問的基本組件�。步驟103:保存允許所述第一應(yīng)用訪問的基本組件的信息��。圖4是示出根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第二示例的流程圖�。參見圖4,在根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第二示例中�,通過阻止訪問組件清單和目標組件清單實現(xiàn)對組件訪問控制的過程:步驟201:在向操作系統(tǒng)安裝第一應(yīng)用時,獲取第一應(yīng)用對應(yīng)的目標組件清單���。目標組件清單中包含第一應(yīng)用需要使用的至少一個目標組件�����,該至少一個目標組件屬于操作系統(tǒng)中若干基本組件中的一部分����。在本示例中����,當?shù)谝粦?yīng)用為Android應(yīng)用時,目標組件清單通常為AndroidManifest.xml格式的文件,該文件中記錄了第一應(yīng)用對應(yīng)的所有目標組件����,中以應(yīng)用I對應(yīng)了目標組件A、目標組件B和目標組件C為例進行描述����。步驟202:接收組件選擇命令。本示例中����,接收的組件選擇命令可以為用戶手動輸入的組件選擇命令,或根據(jù)預先設(shè)置的組件訪問策略生成的組件選擇命令����。其中,由用戶手動輸入組件選擇命令時���,首先調(diào)出應(yīng)用I對應(yīng)的目標組件清單�,然后由用戶手動選擇是否允許訪問目標組件A���、目標組件B���、目標組件C�����,選擇結(jié)果用是/否來表示���;根據(jù)預先設(shè)置的組件訪問策略生成組件選擇命令時,假設(shè)該組件訪問策略為禁止應(yīng)用對目標組件B進行訪問�����,則當調(diào)出應(yīng)用I對應(yīng)的目標組件清單后����,查找該目標組件清單中是否包含目標組件B,如果包含目標組件B����,則自動設(shè)置禁止應(yīng)用I訪問目標組件B。步驟203:根據(jù)組件選擇命令獲取對目標組件清單中每一個目標組件的訪問選擇結(jié)果�。步驟202中,無論采用由用戶手動輸入組件選擇命令��,還是根據(jù)預先設(shè)置的組件訪問策略生成組件選擇命令�,都產(chǎn)生了應(yīng)用I對目標組件的訪問選擇結(jié)果,假設(shè)選擇結(jié)果為禁止應(yīng)用I對目標組件B進行訪問��。步驟204:根據(jù)訪問選擇結(jié)果生成阻止訪問組件清單�,阻止訪問組件清單中包含禁止第一應(yīng)用訪問的基本組件。根據(jù)前述選擇結(jié)果生成的應(yīng)用I的阻止訪問組件清單中包含了目標組件B����。步驟205:保存阻止訪問組件清單和目標組件清單。當保存阻止訪問 組件清單和目標組件清單后����,就在系統(tǒng)中完成了對應(yīng)用I的安裝,后續(xù)使用過程中�,可以依據(jù)對應(yīng)用I的安裝結(jié)果實現(xiàn)允許或阻止對基本組件進行訪問,如下步驟206至210示出了該過程���。步驟206:當?shù)谝粦?yīng)用訪問第一目標組件時�����,攔截第一應(yīng)用對目標組件清單的訪問�。本示例中����,假設(shè)第一應(yīng)用訪問第一目標組件具體為應(yīng)用I訪問目標組件B,則按照現(xiàn)有技術(shù)的實現(xiàn)方式,系統(tǒng)需要根據(jù)應(yīng)用I的標識查找目標組件清單����,如果查找到目標組件B,則允許對其進行訪問����,否則,不允許對其進行訪問�;而本發(fā)明實施例中,首先需要攔截應(yīng)用I對目標組件清單的訪問�����,因為目標組件清單中保存了應(yīng)用I原始可以訪問的所有目標組件��。本示例中在攔截第一應(yīng)用對目標組件清單的訪問時����,可以采用hook (函數(shù))實現(xiàn),具體的��,在操作系統(tǒng)架構(gòu)下的PackageManageService類中增加一個檢查權(quán)限的hook函數(shù)checkDynPermission (),通過該hook函數(shù)檢查應(yīng)用對目標組件清單的訪問���,當在未訪問阻止訪問組件清單前��,禁止訪問該目標組件清單�。當然也可以采用其他方式來實現(xiàn)上述功能,尤其是在不同的操作系統(tǒng)中�,同樣方式的函數(shù)名稱可能不同��,在此不進行限定��。步驟207:判斷是否從阻止訪問組件清單查找第一目標組件���,若是�����,則執(zhí)行步驟208 ;否則�����,執(zhí)行步驟209��。在攔截了應(yīng)用I對目標組件清單的訪問后�����,對阻止訪問組件清單進行查找��,即查找該阻止訪問組件清單中是否保存了目標組件B����。步驟208:阻止第一應(yīng)用訪問第一目標組件,結(jié)束當前流程����。當在阻止訪問組件清單中查找到目標組件B時,則阻止第一應(yīng)用訪問該目標組件B0步驟209:判斷是否 從目標組件清單中查找第一目標組件��,若是���,則執(zhí)行步驟210 �����;否則���,執(zhí)行步驟208。當在阻止訪問組件清單中未查找到目標組件B時��,則進一步再查找目標組件清單�����,如果在目標組件清單中查找到目標組件B,則允許應(yīng)用I對其進行訪問����,否則不允許。步驟210:允許第一應(yīng)用訪問第一目標組件���,結(jié)束當前流程��。在本示例中,假設(shè)第一應(yīng)用訪問第一目標組件具體為應(yīng)用I訪問目標組件D��,則首先通過鉤子函數(shù)攔截應(yīng)用I對目標組件清單的訪問����,然后查找阻止訪問組件清單,在該清單中查找不到目標組件D���,因此繼續(xù)查找目標組件清單�����,在該清單中仍然查找不到目標組件D�,因此阻止應(yīng)用I對目標組件D進行訪問��;假設(shè)第一應(yīng)用訪問第一目標組件具體為應(yīng)用I訪問目標組件A,則首先通過鉤子函數(shù)攔截應(yīng)用I對目標組件清單的訪問����,然后查找阻止訪問組件清單,在該清單中查找不到目標組件A�,因此繼續(xù)查找目標組件清單,在該清單中查找到目標組件A���,因此允許應(yīng)用I對目標組件A進行訪問��。圖5是示出根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第三示例的流程圖��。在根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第三示例中����,通過混合訪問組件清單實現(xiàn)對組件訪問控制的過程:步驟301:在向操作系統(tǒng)安裝第一應(yīng)用時�����,獲取第一應(yīng)用對應(yīng)的目標組件清單���。目標組件清單中包含第一應(yīng)用需要使用的至少一個目標組件����,該至少一個目標組件屬于操作系統(tǒng)中若干基本組件中的一部分。本示例中��,當?shù)谝粦?yīng)用為Android應(yīng)用時�����,目標組件清單通常為AndroidManifest.xml格式的文件,該文件中記錄了第一應(yīng)用對應(yīng)的所有目標組件�����,本示例中以應(yīng)用I對應(yīng)了目標組件A����、目標組件B和目標組件C為例進行描述��。步驟302:接收組件選擇命令���。本示例中���,接收的組件選擇命令可以為用戶手動輸入的組件選擇命令,或根據(jù)預先設(shè)置的組件訪問策略生成的組件選擇命令�����。其中,由用戶手動輸入組件選擇命令時�����,首先調(diào)出應(yīng)用I對應(yīng)的目標組件清單�,然后由用戶手動選擇是否允許訪問目標組件A、目標組件B�����、目標組件C����,選擇結(jié)果用是/否來表示;根據(jù)預先設(shè)置的組件訪問策略生成組件選擇命令時����,假設(shè)該組件訪問策略為禁止應(yīng)用對目標組件B進行訪問,則當調(diào)出應(yīng)用I對應(yīng)的目標組件清單后���,查找該目標組件清單中是否包含目標組件B��,如果包含目標組件B���,則自動設(shè)置禁止應(yīng)用I訪問目標組件B��。步驟303:根據(jù)組件選擇命令獲取對目標組件清單中每一個目標組件的訪問選擇結(jié)果���。步驟302中,無論采用由用戶手動輸入組件選擇命令���,還是根據(jù)預先設(shè)置的組件訪問策略生成組件選擇命令���,都產(chǎn)生了應(yīng)用I對目標組件的訪問選擇結(jié)果,假設(shè)選擇結(jié)果為禁止應(yīng)用I對目標組件B進行訪問�����。步驟304:根據(jù)訪問選擇結(jié)果生成混合訪問組件清單��,混合訪問組件清單中包含了每一個目標組件及其是否允許被訪問的信息��。在混合訪問組件清單中�����,可以設(shè)置目標組件標識字段����,以及是否允許訪問字段,根據(jù)前述選擇結(jié)果可知�����,生成的應(yīng)用I的混合訪問組件清單可以如下表I所示:表I` 目標組件標識是否允許訪問 目標組件II
目標組件2I
目標組件3I步驟305:保存混合訪問組件清單�。當保存混合訪問組件清單后,就在系統(tǒng)中完成了對應(yīng)用I的安裝��,后續(xù)使用過程中�,可以依據(jù)對應(yīng)用I的安裝結(jié)果實現(xiàn)允許或阻止對基本組件進行訪問,如下步驟306至309示出了該過程���。步驟306:當?shù)谝粦?yīng)用訪問第一目標組件時���,查找混合訪問組件清單,獲取第一目標組件是否允許被訪問的信息���。本實施例中�,假設(shè)當應(yīng)用I訪問目標組件B時�����,則查找上述表1,獲取該目標組件B是否允許被應(yīng)用I訪問的信息為“否”�。步驟307:判斷獲取的信息是否指示允許訪問,若是���,則執(zhí)行步驟308 ;否則�����,執(zhí)行步驟309�。步驟308:允許第一應(yīng)用訪問第一目標組件����,結(jié)束當前流程。
當獲取的信息指示允許第一應(yīng)用訪問第一目標組件時��,則允許第一應(yīng)用訪問第一目標組件����。步驟309:阻止第一應(yīng)用訪問第一目標組件,結(jié)束當前流程����。當獲取的信息指示不允許第一應(yīng)用訪問第一目標組件時��,則阻止第一應(yīng)用訪問第一目標組件。圖6是示出根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第四示例的流程圖���。參見圖6�,在根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第四示例中���,通過允許訪問組件清單實現(xiàn)對組件訪問控制的過程:步驟401:在向操作系統(tǒng)安裝第一應(yīng)用時��,獲取第一應(yīng)用對應(yīng)的目標組件清單��。目標組件清單中包含第一應(yīng)用需要使用的至少一個目標組件���,該至少一個目標組件屬于操作系統(tǒng)中若 干基本組件中的一部分。本示例中���,當?shù)谝粦?yīng)用為Android應(yīng)用時�����,目標組件清單通常為AndroidManifest.xml格式的文件,該文件中記錄了第一應(yīng)用對應(yīng)的所有目標組件��,本示例中以應(yīng)用I對應(yīng)了目標組件A�����、目標組件B和目標組件C為例進行描述���。步驟402:接收組件選擇命令��。本示例中����,接收的組件選擇命令可以為用戶手動輸入的組件選擇命令�����,或根據(jù)預先設(shè)置的組件訪問策略生成的組件選擇命令��。其中�����,由用戶手動輸入組件選擇命令時�����,首先調(diào)出應(yīng)用I對應(yīng)的目標組件清單��,然后由用戶手動選擇是否允許訪問目標組件A��、目標組件B、目標組件C�,選擇結(jié)果用是/否來表示��;根據(jù)預先設(shè)置的組件訪問策略生成組件選擇命令時�,假設(shè)該組件訪問策略為禁止應(yīng)用對目標組件B進行訪問,則當調(diào)出應(yīng)用I對應(yīng)的目標組件清單后�����,查找該目標組件清單中是否包含目標組件B�,如果包含目標組件B,則自動設(shè)置禁止應(yīng)用I訪問目標組件B�����。步驟403:根據(jù)組件選擇命令獲取對目標組件清單中每一個目標組件的訪問選擇結(jié)果���。步驟402中�,無論采用由用戶手動輸入組件選擇命令�����,還是根據(jù)預先設(shè)置的組件訪問策略生成組件選擇命令����,都產(chǎn)生了應(yīng)用I對目標組件的訪問選擇結(jié)果����,假設(shè)選擇結(jié)果為禁止應(yīng)用I對目標組件B進行訪問�����。步驟404:根據(jù)訪問選擇結(jié)果生成允許訪問組件清單�����,允許訪問組件清單中包含允許第一應(yīng)用訪問的基本組件�����。根據(jù)前述選擇結(jié)果生成的應(yīng)用I的允許訪問組件清單中��,包含了允許應(yīng)用I訪問的目標組件A和目標組件C�����。步驟405:保存允許訪問組件清單�����。當保存允許訪問組件清單后,就在系統(tǒng)中完成了對應(yīng)用I的安裝����,后續(xù)使用過程中,可以依據(jù)對應(yīng)用I的安裝結(jié)果實現(xiàn)允許或阻止對基本組件進行訪問����,如下步驟406至409不出了該過程���。步驟406:當?shù)谝粦?yīng)用訪問第一目標組件時��,查找允許訪問組件清單����。步驟407:判斷是否在允許訪問組件清單中查找到第一目標組件���,若是�,則執(zhí)行步驟408 ;否則�����,執(zhí)行步驟409�����。步驟408:允許第一應(yīng)用訪問第一目標組件,結(jié)束當前流程���。當在允許訪問組件清單中查找到第一目標組件時��,允許第一應(yīng)用訪問第一目標組件���。步驟409:阻止第一應(yīng)用訪問第一目標組件,結(jié)束當前流程���。當在允許訪問組件清單中未查找到第一目標組件時�����,阻止第一應(yīng)用訪問第一目標組件�����。上述根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第一到第四示例說明了在向操作系統(tǒng)安裝應(yīng)用時��,生成允許該應(yīng)用訪問的基本組件的信息���,以及安裝該應(yīng)用后如何允許或阻止對基本組件進行訪問��。在上述示例中����,可以具體設(shè)置權(quán)限庫對允許訪問的目標組件信息進行保存����,即通過權(quán)限庫可以保存預先設(shè)置的組件策略,該權(quán)限庫可以支持動態(tài)修改�,即用戶可以根據(jù)需要設(shè)置哪些目標組件允許應(yīng)用進行訪問����。進一步,預先設(shè)置的組件策略中還可以設(shè)置���,當?shù)谝换窘M件對應(yīng)的功能發(fā)生異常時�����,例如�,如果用戶發(fā)現(xiàn)短信費用超額����,則可以確定發(fā)短信的功能發(fā)生異常���,再例如,如果系統(tǒng)自動監(jiān)測到每分鐘讀短信的功能被頻繁使用�����,超過了預先設(shè)置的閾值���,則可以確定讀短信的功能發(fā)生異常�,此時都可以在權(quán)限庫中設(shè)置發(fā)短信和讀短信功能對應(yīng)的基本組件為操作系統(tǒng)中安裝的所有應(yīng)用均不允許訪問的基本組件���,從而保證系統(tǒng)的安全性�。上述示例無需在申請應(yīng)用時設(shè)置訪問所有目標組件�,而是可以根據(jù)系統(tǒng)或用戶需求,在安裝該應(yīng)用時控制應(yīng)用所允許訪問的組件�,從而提高應(yīng)用訪問組件的靈活性,減少用戶隱私被竊取的幾率�;并且,由于應(yīng)用對組 件的訪問可以控制和選擇��,因此可以有效節(jié)約系統(tǒng)的訪問資源����,提聞系統(tǒng)的穩(wěn)定性���。下面通過第五示例和第六示例示出在按照現(xiàn)有方式安裝完應(yīng)用時,在使用該應(yīng)用的過程中對基本組件的訪問進行控制的過程�。圖7是示出根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第五示例的流程圖。參見圖7��,根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第五示例包括:步驟501:當運行第一應(yīng)用時���,觸發(fā)第一應(yīng)用訪問第一目標組件�。其中����,第一應(yīng)用對應(yīng)的目標清單中包含第一應(yīng)用需要使用的至少一個目標組件�����,至少一個目標組件中包含第一目標組件��,至少一個目標組件屬于至少一個基本組件�。本示例中,假設(shè)在安裝第一應(yīng)用時�,默認第一應(yīng)用可以訪問其對應(yīng)的所有目標組件,在第一應(yīng)用運行時,如果需要訪問某個目標組件���,則首先會觸發(fā)該目標組件�����。步驟502:接收組件控制命令���。當?shù)谝粦?yīng)用觸發(fā)對第一目標組件進行訪問時,此時還不能直接對第一目標組件進行訪問�����,而是首先接收組件控制命令��,用于決定是否對該第一目標組件進行訪問�。具體的,可以接收用戶手動輸入的是否允許對第一目標組件進行訪問的組件控制命令�,例如,可以在電子設(shè)備的顯示界面上輸出是否允許對第一目標組件進行訪問的選擇命令���,如果用戶手動輸入允許的命令��,則執(zhí)行對第一目標組件的訪問�����,如果用戶手動輸入不允許的命令����,則阻止對第一目標組件訪問;或者���,也可以接收根據(jù)預先設(shè)置的組件訪問策略生成的是否允許對第一目標組件進行訪問的組件控制命令��,例如���,假設(shè)預先設(shè)置的目標組件的使用頻度閾值為每星期是十次,則首先判斷在當前的時間周期內(nèi)��,第一應(yīng)用對第一目標組件訪問的累計次數(shù)�,如果累計訪問次數(shù)超過十次,則自動阻止第一應(yīng)用對第一目標組件進行訪問����,如果累計訪問次數(shù)小于十次����,則允許第一應(yīng)用對第一目標組件進行訪問�。上述無論采用手動輸入組件控制命令�����,還是根據(jù)預先設(shè)置的組件訪問策略輸入組件控制命令��,都可以將不允許第一應(yīng)用訪問的目標組件添加到阻止訪問組件清單中���。步驟503:根據(jù)組件控制命令控制第一應(yīng)用是否對第一目標組件進行訪問��。圖8是示出根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第六示例的流程圖����。參見圖8�����,在根據(jù)本發(fā)明實施例的訪問權(quán)限控制方法的第六示例中���,根據(jù)對應(yīng)用的風險評估結(jié)果控制應(yīng)用對目標組件進行訪問:步驟601:對允許第一應(yīng)用訪問的目標組件的進行安全等級劃分��,并統(tǒng)計每個目標組件的訪問信息���。安全等級的劃分可以根據(jù)實際需要進行�,假設(shè)本實施例中劃分為十級����,則對于第一應(yīng)用來說,可以將允許第一應(yīng)用進行訪問的每個目標組件進行安全等級劃分����,每個目標應(yīng)用對應(yīng)一個安全等級,假設(shè)第一應(yīng)用對應(yīng)目標組件A����、目標組件B和目標組件C,則用戶可以預先為上述三個目標組件分別分配一個安全等級���。對第一應(yīng)用對應(yīng)的每個目標組件分別統(tǒng)計其訪問信息�,例如��,對于讀短信功能對應(yīng)的目標組件�,則統(tǒng)計共讀取了多少短信,對于發(fā)短信功能對應(yīng)的目標組件���,則統(tǒng)計共發(fā)出了多少短信�,對于訪問網(wǎng)絡(luò)功能對應(yīng)的目標組件�����,則統(tǒng)計以共消耗了多少字節(jié)的流量����,對于打電話功能對應(yīng)的目標組件,則統(tǒng)計共消耗了多少時長等���,在此不再一一贅述����。步驟602:根據(jù)安全等級和所述訪問信息對所述第一應(yīng)用進行風險評估�����,得到風險評估值�����。對于第一應(yīng)用對應(yīng)的每個目標組件��,根據(jù)前述步驟可以獲得其安全等級和統(tǒng)計的訪問信息��,進一步還可以預先為第一應(yīng)用進行歸類���,此時可以為安全等級��、訪問信息和歸類信息這三個屬性分別分配相應(yīng)的百分比值����,假設(shè)安全等級、訪問信息和歸類信息的百分比值分別站50%��、30 %�����、20 %���,則在對第一應(yīng)用進行風險評估時���,可以將每個目標組件的安全等級的加權(quán)總值乘以其百分比值50%,然后將訪問信息結(jié)果乘以其百分比值30%�,最后將歸類信息值乘以其百分比·值20%,將上述三個值相加得到第一應(yīng)用的風險評估值���,該風險評估值可以統(tǒng)一為屬于I至10范圍內(nèi)的一個數(shù)值��,可以預先設(shè)置該數(shù)值大于7時���,相應(yīng)的應(yīng)用為聞危險的應(yīng)用。步驟603:當?shù)谝粦?yīng)用的風險評估值超過預設(shè)的閾值時�,阻止第一應(yīng)用對任何目標組件進行訪問。當?shù)谝粦?yīng)用的風險評估值超過預設(shè)的閾值時���,可以將該第一應(yīng)用自動添加到禁止訪問的應(yīng)用清單中�,后續(xù)為了保證系統(tǒng)的安全�����,則該第一應(yīng)用的使用被禁止����。步驟604:將第一應(yīng)用的入口標識從第一顯示效果轉(zhuǎn)換為第二顯示效果。 對于禁止的第一應(yīng)用�,其無法對任何目標組件進行訪問,此時在應(yīng)用界面上��,可以將該第一應(yīng)用的入口標識從第一顯示效果轉(zhuǎn)換為第二顯示效果�,例如,改變該應(yīng)用圖標的顏色��,從普通顯示變?yōu)楦吡溜@示,以此提醒用戶關(guān)注該第一應(yīng)用�����,或者卸載該第一應(yīng)用����。上述示例中,無需在申請應(yīng)用時設(shè)置訪問所有組件����,而是可以根據(jù)系統(tǒng)或用戶需求,在使用該應(yīng)用時控制應(yīng)用所允許訪問的組件��,從而提高應(yīng)用訪問組件的靈活性�����,減少用戶隱私被竊取的幾率���;由于應(yīng)用對組件的訪問可以控制和選擇����,因此可以有效節(jié)約系統(tǒng)的訪問資源�����,提高系統(tǒng)的穩(wěn)定性;并且可以根據(jù)對應(yīng)用的評估結(jié)果控制是否使用該應(yīng)用�����,由此增強了系統(tǒng)的安全性�����。通過對于電子設(shè)備中的P個應(yīng)用中的每個應(yīng)用采用如圖3到圖8所示的第一到第六示例的訪問權(quán)限控制方法�����,可以基于控制策略來對每個應(yīng)用應(yīng)用上述訪問權(quán)限控制方法�,從而改變每個應(yīng)用對于電子設(shè)備的第一資源的訪問權(quán)限�,以使得在特定工作模式下,該P個應(yīng)用中的M個應(yīng)用或N個應(yīng)用具有訪問第一資源的權(quán)限�。并且,本領(lǐng)域技術(shù)人員可以理解����,這里的第一資源可以指電子設(shè)備中由應(yīng)用訪問的任意資源,而并不具體限制為某個資源����。并且����,當需要控制應(yīng)用對多個資源的訪問權(quán)限時�,可以對每個資源應(yīng)用根據(jù)本發(fā)明實施例的控制方法,從而實現(xiàn)對電子設(shè)備的資源的安全訪問��,從而提高電子設(shè)備的使用的安全性��。通過根據(jù)本發(fā)明實施例的控制方法和電子設(shè)備���,可以在工作模式發(fā)生轉(zhuǎn)換時自動啟用控制策略以更改應(yīng)用對特定資源的訪問權(quán)限���,在促進了用戶使用的便利性的同時增強了系統(tǒng)總體的安全性。本發(fā)明已經(jīng)參考具體實施例進行了詳細說明�����。然而����,很明顯,在不背離本發(fā)明的精神的情況下�,本領(lǐng)域技術(shù)人員能夠?qū)嵤├龍?zhí)行更改和替換�����。換句話說�����,本發(fā)明用說明的形式公開��,而不是被限制地解釋 ����。 要判斷本發(fā)明的要旨�����,應(yīng)該考慮所附的權(quán)利要求�����。
權(quán)利要求
1.一種控制方法�,應(yīng)用于電子設(shè)備��,所述電子設(shè)備具有P個應(yīng)用�,P為大于O的整數(shù)���,且所述電子設(shè)備具有能由所述P個應(yīng)用訪問的資源,所述方法包括: 當所述電子設(shè)備處于第一工作模式時����,所述P個應(yīng)用中的M個應(yīng)用具有第一資源的訪問權(quán)限,其中�����,M大于O并小于等于P ����; 檢測所述電子設(shè)備是否從所述第一工作模式進入第二工作模式; 當所述電子設(shè)備進入所述第二工作模式時��,獲得控制策略�����,所述控制策略是關(guān)于在所述第二工作模式下具有所述第一資源訪問權(quán)限的所述P個應(yīng)用中的N個應(yīng)用����,其中,N大于等于O并小于等于P����,且所述M個應(yīng)用與所述N個應(yīng)用不完全相同���;以及 控制所述電子設(shè)備以使得在第二工作模式下僅有所述N個應(yīng)用具有所述第一資源的訪問權(quán)限。
2.如權(quán)利要求1所述的控制方法�,所述獲得控制策略的步驟具體包括: 獲得所述控制策略,所述控制策略是在所述第二工作模式下具有所述第一資源訪問權(quán)限的所述P個應(yīng)用中的N個應(yīng)用��。
3.如權(quán)利要求2所述的控制方法���,所述獲得控制策略的步驟具體包括: 獲得所述控制策略�,所述控制策略是在所述第二工作模式下具有所述第一資源訪問權(quán)限的所述P個應(yīng)用中的N個應(yīng)用��,其中��,N大于等于O并小于M�。
4.如權(quán)利要求1所述的控制方法����,所述獲得控制策略的步驟具體包括: 獲得所述控制策略,所述控制策略是在所述第二工作模式下不具有所述第一資源訪問權(quán)限的所述P個應(yīng)用中的X個應(yīng)用��,其中X = P-N����。
5.如權(quán)利要求1所述的控制方法�,其中���,所述控制所述電子設(shè)備以使得在第二工作模式下僅有所述N個應(yīng)用具有所述第一資源的訪問權(quán)限的步驟之后進一步包括: 檢測所述電子設(shè)備是否從所述第二工作模式進入第一工作模式���; 當所述電子設(shè)備進入所述第一工作模式時,控制所述電子設(shè)備以使得在第一工作模式時所述M個應(yīng)用具有第一資源的訪問權(quán)限���。
6.如權(quán)利要求1所述的控制方法���,其中,所述電子設(shè)備包括一操作系統(tǒng)�,所述操作系統(tǒng)中包含至少一個基本資源,每個所述基本資源對應(yīng)所述操作系統(tǒng)中的一個功能��,并且���,對于所述P個應(yīng)用中的每個應(yīng)用�,在向所述操作系統(tǒng)安裝所述每個應(yīng)用時���,獲取所述P個應(yīng)用中的每個應(yīng)用對應(yīng)的目標資源清單�,所述目標資源清單中包含所述P個應(yīng)用中的每個應(yīng)用需要使用的至少一個目標資源,所述至少一個目標資源屬于所述至少一個基本資源�; 所述控制所述電子設(shè)備以使得在第二工作模式下僅有所述N個應(yīng)用具有所述第一資源的訪問權(quán)限的步驟具體包括: 根據(jù)控制策略從所述目標資源清單中生成允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息; 保存所述允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息�。
7.如權(quán)利要求6所述的控制方法,其中�����,所述根據(jù)控制策略從所述目標資源清單中生成允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息的步驟包括: 根據(jù)控制策略生成阻止訪問資源清單�����,所述阻止訪問資源清單中包含禁止所述P個應(yīng)用中的所述N個應(yīng)用以外的其它應(yīng)用訪問的第一資源�; 所述保存所述允許所述N個 應(yīng)用中的每個應(yīng)用訪問的第一資源的信息具體為:保存所述阻止訪問資源清單和所述目標資源清單。
8.如權(quán)利要求7所述的控制方法�����,其中��,還包括: 當所述P個應(yīng)用中的所述N個應(yīng)用以外的其它應(yīng)用訪問第一資源時��,攔截所述其它應(yīng)用對所述目標資源清單的訪問���。
9.如權(quán)利要求6所述的控制方法���,其中,所述根據(jù)控制策略從所述目標資源清單中生成允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息的步驟包括: 根據(jù)控制策略生成混合訪問資源清單����,所述混合訪問資源清單中包含了所述每一個目標資源及其是否允許被訪問的信息; 所述保存所述允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的基本信息具體為:保存所述混合訪問組件清單���。
10.如權(quán)利要求9所述的控制方法�,其中��,還包括: 當所述N個應(yīng)用中的每個應(yīng)用訪問第一資源時��,查找所述混合訪問資源清單�,獲取所述第一資源允許被訪問的信息; 允許所述N個應(yīng)用中的每個應(yīng)用訪問所述第一資源���。
11.如權(quán)利要求6所述的控制方法�,其中����,所述根據(jù)控制策略從所述目標資源清單中生成允許所述N個應(yīng)用中的每個應(yīng)用訪問的第一資源的信息的包括: 根據(jù)控制策略生成允許訪問資源清單,所述允許訪問資源清單中包含允許所述N個應(yīng)用中的每個應(yīng)用 訪問的基本資源; 所述保存所述允許所述N個應(yīng)用中的每個應(yīng)用訪問的基本資源的信息具體為:保存所述允許訪問資源清單��。
12.如權(quán)利要求11所述的控制方法��,其中����,還包括: 當所述N個應(yīng)用中的每個應(yīng)用訪問第一資源時,查找所述允許訪問資源清單����; 允許所述N個應(yīng)用中的每個應(yīng)用訪問所述第一資源。
13.一種電子設(shè)備��,具有P個應(yīng)用�����,P為大于0的整數(shù)�����,并具有能由所述P個應(yīng)用訪問的資源�,所述電子設(shè)備包括: 控制器,配置為控制當所述電子設(shè)備處于第一工作模式時���,所述P個應(yīng)用中的M個應(yīng)用具有第一資源的訪問權(quán)限�,其中���,M大于0并小于等于P ;檢測所述電子設(shè)備是否從所述第一工作模式進入第二工作模式��;控制當所述電子設(shè)備進入所述第二工作模式時�����,獲得控制策略�����,所述控制策略是關(guān)于在所述第二工作模式下具有所述第一資源訪問權(quán)限的所述P個應(yīng)用中的N個應(yīng)用���,其中,N大于等于0并小于等于P�����,且所述M個應(yīng)用與所述N個應(yīng)用不完全相同��;以及控制所述電子設(shè)備以使得在第二工作模式下僅有所述N個應(yīng)用具有所述第一資源的訪問權(quán)限��。
全文摘要
提供了控制方法和電子設(shè)備。該控制方法���,應(yīng)用于具有P個應(yīng)用及其訪問資源的電子設(shè)備�,該方法包括當所述電子設(shè)備處于第一工作模式時�,該P個應(yīng)用中的M個應(yīng)用具有第一資源的訪問權(quán)限;檢測電子設(shè)備是否從第一工作模式進入第二工作模式�;當電子設(shè)備進入第二工作模式時,獲得控制策略�����,關(guān)于在第二工作模式下具有第一資源訪問權(quán)限的P個應(yīng)用中的N個應(yīng)用��,其中�,M個應(yīng)用與N個應(yīng)用不完全相同;以及控制電子設(shè)備以使得在第二工作模式下僅有該N個應(yīng)用具有第一資源的訪問權(quán)限�。通過上述控制方法和電子設(shè)備,可以在工作模式發(fā)生轉(zhuǎn)換時自動啟用控制策略以更改應(yīng)用對特定資源的訪問權(quán)限��,在促進了用戶使用的便利性的同時增強了系統(tǒng)總體的安全性���。
文檔編號G06F21/30GK103246834SQ201210026600
公開日2013年8月14日 申請日期2012年2月7日 優(yōu)先權(quán)日2012年2月7日
發(fā)明者劉永鋒 申請人:聯(lián)想(北京)有限公司