CN104281803A - 一种***权限管理方法和设备 - Google Patents
一种***权限管理方法和设备 Download PDFInfo
- Publication number
- CN104281803A CN104281803A CN201410473038.0A CN201410473038A CN104281803A CN 104281803 A CN104281803 A CN 104281803A CN 201410473038 A CN201410473038 A CN 201410473038A CN 104281803 A CN104281803 A CN 104281803A
- Authority
- CN
- China
- Prior art keywords
- hardware
- application program
- result
- right management
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供一种***权限管理方法和设备,所述方法包括:在***初始化过程中创建***属性并赋值,所述***属性与所述***中硬件的属性一一对应;当存在应用程序调用硬件时,读取所述硬件所对应的***属性,对所述应用程序进行权限验证并返回验证结果;令所述应用程序根据所述验证结果对所述硬件进行操作。本发明能够从底层设计出发,对现有Android***的框架层和应用层进行修改和扩展,从而对硬件进行控制与授权,构建新的硬件权限管理机制,使Android***原有的安全性提升。
Description
技术领域
本发明涉及信息技术领域,尤其涉及一种***权限管理方法和设备。
背景技术
目前,智能手机成为用户各种信息的载体,储存着大量的重要信息,因此也成为了恶意攻击的首选目标。智能手机安全威胁的很大部分来自于个人隐私的泄密及各种恶意扣费软件,这些恶意软件利用以往权限机制的漏洞滥用权限对手机进行攻击,更有甚者还会在后台调用硬件以窥探隐私。
现有技术中,解决Android权限机制的缺陷的方法可以包括:
1.对现有Android操作***进行扩展,建立轻量级的细粒度应用权限管理模型,使用户能在一定限制条件下按需要对Android***中所安装的应用程序权限进行分配。但是由于这种方法所使用的是SQLite数据库,其对权限保护的数据本身就相对不够安全。
2.在应用程序安装期间进行权限的自我认证。在本方法中,将应用程序请求的权限与***策略联系起来,以实现只有策略兼容的应用程序才能被安装在手机上。
3.对Android权限框架代码做出修改。这种方法提出了一种针对不同应用程序的策略实施框架,这样手机用户就可以有选择性地对应用程序授予权限或撤销权限。
但是,以上各种方法虽然从不同的方面对应用程序的权限进行了研究,但均只局限于应用程序的权限判定,所能应对的安全威胁范围比较窄。另外,由于对权限的判定只有全部同意或者是全部拒绝可以选择,因此只通过判定权限的方式来选择是否安装应用程序,并无法对某一个权限或者手机的某一项设置或功能进行管理。这种传统的权限策略模式存在很大的弊端,而且这种粗放式的权限管理策略在很多场景中已经无法满足我们的需求。
发明内容
本发明提供一种***权限管理方法和设备,以解决现有技术中无法灵活有效地管理***权限的技术问题。
本发明首先一种***权限管理方法,包括:
在***初始化过程中创建***属性并赋值,所述***属性与所述***中硬件的属性一一对应;
当存在应用程序调用硬件时,读取所述硬件所对应的***属性,对所述应用程序进行权限验证并返回验证结果;
令所述应用程序根据所述验证结果对所述硬件进行操作。
进一步地,所述方法还包括:
对所述***属性进行修改。
进一步地,所述令所述应用程序根据所述验证结果对所述硬件进行操作包括:
当所述验证结果为真时,令所述应用程序对所述硬件进行调用;
当所述验证结果不为真时,不使所述应用程序对所述硬件进行调用。
进一步地,所述方法还包括:
设置所述***的硬件管理策略,利用所述硬件管理策略对所述应用程序进行权限验证。
进一步地,所述硬件管理策略包括:
所述硬件的使用时间段、所述硬件的使用地点、所述应用程序的黑白名单、网络远程管理方案中的一个或多个。
另一方面,本发明还提供一种***权限管理设备,所述设备包括:
***属性配置模块,用于在***初始化过程中创建***属性并赋值,所述***属性与所述***中硬件的属性一一对应;
权限验证模块,用于在应用程序调用硬件时,读取所述硬件所对应的***属性,对所述应用程序进行权限验证并返回验证结果;
操作模块,用于令所述应用程序根据所述验证结果对所述硬件进行操作。
进一步地,所述设备还包括:
修改模块,与所述***属性配置模块相连,用于对所述***属性进行修改。
进一步地,所述操作模块还用于:
在所述验证结果为真时,令所述应用程序对所述硬件进行调用;
在所述验证结果不为真时,不使所述应用程序对所述硬件进行调用。
进一步地,所述设备还包括:
策略设置模块,与所述权限验证模块相连,用于设置所述***的硬件管理策略,使得所述权限验证模块利用所述硬件管理策略对所述应用程序进行权限验证。
进一步地,所述策略设置模块用于设置的所述***的硬件管理策略包括:
所述硬件的使用时间段、所述硬件的使用地点、所述应用程序的黑白名单、网络远程管理方案中的一个或多个。
本发明能够从底层设计出发,对现有Android***的框架层和应用层进行修改和扩展,从而对硬件进行控制与授权,构建新的硬件权限管理机制,使Android***原有的安全性提升。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一种***权限管理方法的步骤示意图;
图2是本发明实施例一种***权限管理方法的权限管理机制运行图;
图3是本发明实施例一种***权限管理设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
由于Android***的硬件一般都使用单例模式调用,因此,若需在***框架层的各种硬件(hardware)类中增加一个新型的权限审核机制进行审核与授权时,那么,由于在***框架层中只有为上层提供开发的应用程序编程接口(Application Programming Interface,api),则会无法使用创建一直可供使用的静态全局变量,而只有各种hardware类的局部变量。很明显这是无法达到存储数据的效果的,而且从安全性的角度来讲全局静态变量就是不安全的。因此可以选择使用Android的***属性来保存数据。当在***初始化的时候进行***属性的赋值,同时***属性的修改与读取对于应用层是不可见的,这样也具有较强的安全性。同时,还需要一个管理程序来对我们的设备权限进行管理,出于对机制的安全性的保护,还必须考虑程序到需要对***隐藏的api的调用,在此需要将应用程序提权为“android.uid.system”,成为***级应用。
因此,本发明实施例首先提供一种***权限管理方法,参见图1,本实施例方法的具体步骤包括:
步骤101:在***初始化过程中创建***属性并赋值,所述***属性与所述***中硬件的属性一一对应。
参见图2的权限管理机制运行图,在本实施例的一个应用场景中,首先可以在启动初始化init.c的过程中使用setprop创建属性并读取***属性“persist.sys.hardware_prop”。
另外,还可以对保存权限的***属性做出修改。当需要修改***某些硬件权限时,可通过调用getSystemProperty()函数设置特定***属性。而这些***属性的前缀一定要为persist.sys。
步骤102:当存在应用程序调用硬件时,读取所述硬件所对应的***属性,对所述应用程序进行权限验证并返回验证结果。
可举例的是,本实施例可以在框架层里面添加一层审核机制,在每当有应用程序请求获得各种硬件实例的时候,都需要进行审核,这样可以有效地防护应用程序非法调用硬件从而防止隐私泄露。同时,还可以设置各种合适的权限保护策略来管理自己的硬件防止非法调用。
其中,可以由应用层的应用程序调用框架层提供的接口来获取一个硬件的实例变量。Android***的硬件类都属于单例设计模式,并且在各个硬件的实例的获取方式上面大同小异。各个硬件都会有一个特定的类的某个函数被用作返回实例并且在其中包含操作硬件的函数。当应用程序调用框架层获取实例的函数时,并不直接返回实例,而是向图2中PermissionCHK这个自定义类发送请求,并等待其返回权限验证结果。在未获得反馈的权限验证结果时,函数将处于等待状态。
当接收到权限验证请求时,可以打开PermissionCHK这个类,调用其中的getSystemProperty()函数读取***属性的值,并判定其的真值,然后返回给框架层硬件类。
另外,在本实施例的一个应用场景中,还需要对***的硬件管理策略进行设置,并利用硬件管理策略对应用程序进行权限验证。例如,可以根据硬件的使用时间段来设置硬件的权限的开关,或者根据硬件的使用地点作为设置点,又或者通过应用程序的包名构建的黑白名单或网络远程管理方案作为标准等。
当Android***初次启动的时候,会通过其中的init.c中的setprop对***的硬件权限列表进行初始化,以后再次启动***后将自动导入设置,非常的便捷。***属性的文件放置位置对于应用程序层是不可见的,***属性的读取与修改过程对于应用程序层同样是不可见的。这样就能保证***的硬件权限管理机制的安全性,尤其是数据安全性。不能采用像SQLite数据库或文件,通过可以被应用程序修改sharedPreference来存储数据,无法保证***的安全性。
步骤103:令所述应用程序根据所述验证结果对所述硬件进行操作。
当等待权限验证结果时,若等待时间超时或者所得到的验证结果为false时,获取实例的函数将返回空,说明应用程序无法对硬件进行调用;而只有在指定时间范围内得到true的验证结果时,应用程序才会获取返回的实例,并对硬件进行调用。
参见图3,本发明实施例还提供一种***权限管理设备,包括:
***属性配置模块301,用于在***初始化过程中创建***属性并赋值,所述***属性与所述***中硬件的属性一一对应;
权限验证模块302,用于在应用程序调用硬件时,读取所述硬件所对应的***属性,对所述应用程序进行权限验证并返回验证结果;
操作模块303,用于令所述应用程序根据所述验证结果对所述硬件进行操作。
可选地,设备还可以包括:修改模块(图中未示出),与***属性配置模块301相连,用于对***属性进行修改。
可选地,操作模块303还可以用于:在所述验证结果为真时,令所述应用程序对所述硬件进行调用;在所述验证结果不为真时,不使所述应用程序对所述硬件进行调用。
可选地,设备还可以包括:策略设置模块(图中未示出),与权限验证模块302相连,用于设置所述***的硬件管理策略,使得所述权限验证模块302利用所述硬件管理策略对所述应用程序进行权限验证。
可选地,所述策略设置模块用于设置的所述***的硬件管理策略可以包括:所述硬件的使用时间段、所述硬件的使用地点、所述应用程序的黑白名单、网络远程管理方案中的一个或多个。
可见,在本发明实施例提供的***权限管理方法和设备中,能够从底层设计出发,对现有Android***的框架层和应用层进行修改和扩展,从而对硬件进行控制与授权,构建新的硬件权限管理机制,使Android***原有的安全性提升。本发明中的实施例增加了一层新的防护并能使用硬件权限进行控制(如时间控制、网络控制等等),从***层面降低了该平台的安全威胁,有效防止了Android木马与病毒的入侵,防止泄密。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种***权限管理方法,其特征在于,包括:
在***初始化过程中创建***属性并赋值,所述***属性与所述***中硬件的属性一一对应;
当存在应用程序调用硬件时,读取所述硬件所对应的***属性,对所述应用程序进行权限验证并返回验证结果;
令所述应用程序根据所述验证结果对所述硬件进行操作。
2.根据权利要求1所述的***权限管理方法,其特征在于,所述方法还包括:
对所述***属性进行修改。
3.根据权利要求1所述的***权限管理方法,其特征在于,所述令所述应用程序根据所述验证结果对所述硬件进行操作包括:
当所述验证结果为真时,令所述应用程序对所述硬件进行调用;
当所述验证结果不为真时,不使所述应用程序对所述硬件进行调用。
4.根据权利要求1至3中任一项所述的***权限管理方法,其特征在于,所述方法还包括:
设置所述***的硬件管理策略,利用所述硬件管理策略对所述应用程序进行权限验证。
5.根据权利要求4所述的***权限管理方法,其特征在于,所述硬件管理策略包括:
所述硬件的使用时间段、所述硬件的使用地点、所述应用程序的黑白名单、网络远程管理方案中的一个或多个。
6.一种***权限管理设备,其特征在于,所述设备包括:
***属性配置模块,用于在***初始化过程中创建***属性并赋值,所述***属性与所述***中硬件的属性一一对应;
权限验证模块,用于在应用程序调用硬件时,读取所述硬件所对应的***属性,对所述应用程序进行权限验证并返回验证结果;
操作模块,用于令所述应用程序根据所述验证结果对所述硬件进行操作。
7.根据权利要求6所述的***权限管理设备,其特征在于,所述设备还包括:
修改模块,与所述***属性配置模块相连,用于对所述***属性进行修改。
8.根据权利要求6所述的***权限管理设备,其特征在于,所述操作模块还用于:
在所述验证结果为真时,令所述应用程序对所述硬件进行调用;
在所述验证结果不为真时,不使所述应用程序对所述硬件进行调用。
9.根据权利要求6至8中任一项所述的***权限管理设备,其特征在于,所述设备还包括:
策略设置模块,与所述权限验证模块相连,用于设置所述***的硬件管理策略,使得所述权限验证模块利用所述硬件管理策略对所述应用程序进行权限验证。
10.根据权利要求9所述的***权限管理设备,其特征在于,所述策略设置模块用于设置的所述***的硬件管理策略包括:
所述硬件的使用时间段、所述硬件的使用地点、所述应用程序的黑白名单、网络远程管理方案中的一个或多个。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410473038.0A CN104281803A (zh) | 2014-09-16 | 2014-09-16 | 一种***权限管理方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410473038.0A CN104281803A (zh) | 2014-09-16 | 2014-09-16 | 一种***权限管理方法和设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104281803A true CN104281803A (zh) | 2015-01-14 |
Family
ID=52256665
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410473038.0A Pending CN104281803A (zh) | 2014-09-16 | 2014-09-16 | 一种***权限管理方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104281803A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104768147A (zh) * | 2015-03-09 | 2015-07-08 | 中国科学院信息工程研究所 | 一种无线局域网设备及数据通道实时管控方法和*** |
CN104820792A (zh) * | 2015-03-09 | 2015-08-05 | 中国科学院信息工程研究所 | Android设备及数据通道***权限管理方法和装置 |
CN104822127A (zh) * | 2015-03-09 | 2015-08-05 | 中国科学院信息工程研究所 | 一种蓝牙设备及其数据通道实时管控方法和*** |
CN105550587A (zh) * | 2015-12-11 | 2016-05-04 | 北京元心科技有限公司 | 在多***的终端设备中控制***资源访问的方法及装置 |
CN106778123A (zh) * | 2016-11-24 | 2017-05-31 | 努比亚技术有限公司 | 移动终端及其硬件设备权限管理方法 |
CN111601038A (zh) * | 2020-05-28 | 2020-08-28 | 无锡睿勤科技有限公司 | 一种摄像头的控制方法及装置、电子终端及存储介质 |
CN112667311A (zh) * | 2020-12-23 | 2021-04-16 | 四川长虹电器股份有限公司 | 一种应用于安卓***的软件状态切换方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102063299A (zh) * | 2010-12-21 | 2011-05-18 | 东莞宇龙通信科技有限公司 | 移动终端中应用运行条件的评估方法及装置、移动终端 |
CN103067911A (zh) * | 2012-12-17 | 2013-04-24 | 中国联合网络通信集团有限公司 | 控制硬件模块使用的方法和设备 |
CN103607253A (zh) * | 2013-09-27 | 2014-02-26 | 西安酷派软件科技有限公司 | 一种控制移动终端的方法及*** |
-
2014
- 2014-09-16 CN CN201410473038.0A patent/CN104281803A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102063299A (zh) * | 2010-12-21 | 2011-05-18 | 东莞宇龙通信科技有限公司 | 移动终端中应用运行条件的评估方法及装置、移动终端 |
CN103067911A (zh) * | 2012-12-17 | 2013-04-24 | 中国联合网络通信集团有限公司 | 控制硬件模块使用的方法和设备 |
CN103607253A (zh) * | 2013-09-27 | 2014-02-26 | 西安酷派软件科技有限公司 | 一种控制移动终端的方法及*** |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104768147A (zh) * | 2015-03-09 | 2015-07-08 | 中国科学院信息工程研究所 | 一种无线局域网设备及数据通道实时管控方法和*** |
CN104820792A (zh) * | 2015-03-09 | 2015-08-05 | 中国科学院信息工程研究所 | Android设备及数据通道***权限管理方法和装置 |
CN104822127A (zh) * | 2015-03-09 | 2015-08-05 | 中国科学院信息工程研究所 | 一种蓝牙设备及其数据通道实时管控方法和*** |
CN104820792B (zh) * | 2015-03-09 | 2019-04-26 | 中国科学院信息工程研究所 | Android设备及数据通道***权限管理方法和装置 |
CN105550587A (zh) * | 2015-12-11 | 2016-05-04 | 北京元心科技有限公司 | 在多***的终端设备中控制***资源访问的方法及装置 |
CN106778123A (zh) * | 2016-11-24 | 2017-05-31 | 努比亚技术有限公司 | 移动终端及其硬件设备权限管理方法 |
CN111601038A (zh) * | 2020-05-28 | 2020-08-28 | 无锡睿勤科技有限公司 | 一种摄像头的控制方法及装置、电子终端及存储介质 |
CN111601038B (zh) * | 2020-05-28 | 2021-10-01 | 无锡睿勤科技有限公司 | 一种摄像头的控制方法及装置、电子终端及存储介质 |
CN112667311A (zh) * | 2020-12-23 | 2021-04-16 | 四川长虹电器股份有限公司 | 一种应用于安卓***的软件状态切换方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104281803A (zh) | 一种***权限管理方法和设备 | |
CN104268463A (zh) | 一种摄像头调用权限管理方法和设备 | |
CN109510849B (zh) | 云存储的帐号鉴权方法和装置 | |
CN102981835B (zh) | 安卓应用程序永久获取Root权限的方法 | |
US9075955B2 (en) | Managing permission settings applied to applications | |
US9065771B2 (en) | Managing application execution and data access on a device | |
CN105830477A (zh) | 集成操作***的域管理 | |
CN103548320A (zh) | 不安全应用在装置上的安全执行 | |
CN104050401A (zh) | 用户权限管理方法及*** | |
CN104156662A (zh) | 进程监控的方法、装置和智能终端 | |
CN104822127A (zh) | 一种蓝牙设备及其数据通道实时管控方法和*** | |
CN106203162B (zh) | 一种疏堵结合的隐私保护方法与*** | |
US9619222B2 (en) | System, method and apparatus for automatic device registration and secure application activation | |
CN103455520A (zh) | 安卓数据库访问的方法及设备 | |
CN105224832A (zh) | 一种License授权集中管理的方法 | |
CN105094996A (zh) | 基于动态权限验证的Android***安全增强方法及*** | |
US20140317704A1 (en) | Method and system for enabling the federation of unrelated applications | |
CN104036202A (zh) | 一种隔离企业应用的方法和设备 | |
US20140282876A1 (en) | Method and system for restricting the operation of applications to authorized domains | |
CN106169042A (zh) | 管理权限的方法及装置 | |
CN107566375B (zh) | 访问控制方法和装置 | |
EP2725511B1 (en) | Managing application execution and data access on a device | |
CN103763370B (zh) | 一种更改移动终端工作区锁屏密码的方法、***及装置 | |
CN105786551A (zh) | 一种应用程序运行访问控制方法和*** | |
CN104270754A (zh) | 一种用户识别卡鉴权方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150114 |
|
RJ01 | Rejection of invention patent application after publication |