在移动终端中控制权限的装置和方法 |
|||||||
申请号 | CN201210179275.7 | 申请日 | 2012-06-01 | 公开(公告)号 | CN103077335A | 公开(公告)日 | 2013-05-01 |
申请人 | 株式会社泛泰; | 发明人 | 梁先柱; 姜信甪; 卢悳焕; | ||||
摘要 | 本 发明 提供了一种避免信息泄露和资源的非授权使用的移动终端和方法。所述移动终端包括:接收应用实行 请求 、并为所述应用产生权 力 请求的监控单元;确定所述应用实行请求是否对应于设置的权限限制的设置单元;以及根据所设置的权限限制将所述权限限制应用到所述应用的处理器。所述方法包括:接收实行所述应用的操作的请求;为所述应用产生授权请求;确定所述应用是否对应于储存在数据 存储器 中的设置的权限限制;以及根据所设置的权限限制将权限限制应用到所述应用。 | ||||||
权利要求 | 1.一种在移动终端中限制应用的权限的方法,该方法包括: |
||||||
说明书全文 | 在移动终端中控制权限的装置和方法[0001] 相关申请的交叉引用 [0002] 本申请根据35U.S.C§119(a)要求2011年8月24日提交的、申请号为No.10-2011-0084791的韩国专利申请的权益,其所有内容为各种目的以引用方式全部结合于此。本申请与如下申请相关:具有代理案卷号P4611US00、2012年1月16日提交的申请号为No.13/351,119的美国专利申请,该申请要求2011年8月24日提交的申请号为No.10-2011-0084790的韩国专利申请的优先权和权利;以及具有代理案卷号P4612US00、2012年1月16日提交的申请号为No.13/351,126的美国专利申请,该申请要求2011年8月24日提出的申请号为No.10-2011-0084789的韩国专利申请的优先权和权利,所有的这些申请被转让给与本申请相同的受让人,并且所有的这些申请以引用方式全部合并于此,如同在此陈述一样。 技术领域[0003] 下面的描述涉及一种移动终端,更具体地,涉及一种用于保护由移动终端执行的应用和服务的移动终端和方法。 背景技术[0004] 智能手机可以向其用户提供便利的同时,智能手机也暴露了智能手机用户的个人信息或位置信息,以及被暴露给恶意病毒和/或应用。因此,针对这类信息泄露研发出保护智能手机独特信息或者智能手机用户个人信息的方法。近来,涉及位置信息的安全性已经作为一种社会问题被认识到。因此,智能手机的用户期望通过监视其活动和限制智能手机的操作来增强安全性。 [0005] 根据传统技术,如果在智能手机中安装一个或更多应用,可以存储关于应用的对应操作的使用的信息,从而能够提供关于将使用什么操作的信息。 [0007] 然而,一旦被认证,针对应用的另一个操作的实行的另一个请求,传统技术不会向用户提供任何通知,因此未授权的应用没有任何额外认证也能够进入先前授予的权力。因此,即使用户没有对随后的接入进行认证,应用的操作也可以基于事先认证的权力来无条件地操作。因此,移动终端的安全性易受到攻击。 [0008] 并且,移动终端可以数小时处于休眠模式,在休眠模式中,一个或更多应用的操作可以没有用户的识别而进行操作。此外,即使移动电话处于锁定状态,一个或更多应用的操作也可以实行。如果用户锁定他或她的移动电话,用户就不能使用移动电话的一些操作。因此,在锁定状态中,一个或更多操作可以被停止或者至少被授权的操作可以被终止。由于这些原因,传统技术对于移动终端可能是不适合的。发明内容 [0009] 本发明的示例性实施方式提供了一种用于避免信息泄漏和资源的未授权的使用的装置和方法。 [0010] 发明的附加特征将在下文的描述中陈述,部分从描述中是显而易见的,或者可以从发明的实践中获知。 [0011] 本发明的示例性实施方式提供一种用于在移动终端中限制应用(application)的权限(permission)的方法,该方法包括接收实行应用的操作的请求,产生对于应用的授权请求,确定应用是否对应于储存在数据存储中的设置的权限限制,并且根据设置的权限限制将权限限制应用到应用。 [0012] 本发明的示例性实施方式提供一种移动终端以限制移动终端中应用的权限,所述移动终端包括接收应用实行请求并产生应用权力请求的监控单元,确定应用实行请求是否对应于设置的权限限制的设置单元,以及根据设置的权限限制将权限限制应用到应用的处理器。 [0013] 本发明的示例性实施方式提供:接收实行应用的操作的请求,产生应用的授权请求,确定应用是否对应于设置的权限限制,根据设置的权限限制将权限限制应用到应用,确定应用的安全状态等级设置,控制根据安全状态等级提供的通知等级,以及基于所确定的安全状态等级设置传递应用权限限制的结果的通知。 附图说明[0016] 图1是示出根据本发明的示例性实施方式的移动终端的示意图; [0017] 图2是示出根据本发明的示例性实施方式的权限限制设置菜单的示意图; [0018] 图3是示出根据本发明的示例性实施方式的权限限制设置方法的流程图; [0019] 图4是示出根据本发明的示例性实施方式的权限限制结果输出设置屏幕的示意图; [0020] 图5A和图5B是示出根据本发明的示例性实施方式的响应于在权限设置菜单上的自动权限限制的选择的操作的示意图; [0021] 图6A、图6B和图6C是示出根据本发明的示例性实施方式的响应于在权限设置菜单上的基于应用的权限限制的选择的操作的示意图; [0022] 图7是示出根据本发明的示例性实施方式的响应于在权限设置菜单上的基于组的权限限制的选择的操作的示意图; [0023] 图8是示出根据本发明的示例性实施方式的监控单元的操作的流程图; [0024] 图9是示出根据本发明的示例性实施方式的处理自动权限限制设置的处理器模块A的操作的流程图; [0025] 图10是示出根据本发明的示例性实施方式的根据受信任的应用的选择来处理权限限制设置的处理器模块B的操作的流程图; [0026] 图11是示出根据本发明的示例性实施方式的处理基于应用的权限限制设置的处理器模块C的操作的屏幕截图; [0027] 图12是示出根据本发明的示例性实施方式的处理基于组的权限限制设置的处理器模块D的操作的屏幕截图; [0028] 图13是示出根据本发明的示例性实施方式的报告单元的操作的流程图。 具体实施方式[0029] 本发明在下文中参考附图更充分地被描述,附图中示出了发明的实施方式。虽然本发明以许多不同的形式体现,但本发明不应当构建为对其中陈述的实施方式的限制。而是,提供了这些实施方式以使得本公开比较全面,并且对于本领域技术人员来说这些实施方式完全覆盖了本发明的范围。能够理解,为了公开的目的,“X、Y和Z中的至少一个”能够被构建为仅X、仅Y、仅Z或者两个或更多项目X、Y和Z的任意组合(例如,XYZ、XZ、XYY、YZ、ZZ)。在整个附图和详细的说明书中,除非另外描述,相同的附图参考标记理解为指示同一元素、特征和结构。这些元素的相对大小和描绘可以为了清楚而被放大。 [0030] 图1是示出根据发明的示例性实施方式的移动终端的示意图。 [0032] 应用部分110可以包括一个或更多已经由制造企业初始安装的应用111,和/或由用户通过有线/无线通信网络下载的应用111。应用111可以通过框架部分120实行其操作。 [0033] 框架部分120可以包括服务单元123。服务单元123可以响应于从应用部分110接收的命令实行请求来执行服务,并且可以包括一个或更多管理器服务。关于服务单元123的细节是公知的,其描述将被省略。 [0034] 移动终端可以进一步包括一个或更多控制应用111权限的组件。参考图1,控制应用111权限的组件可以包括设置单元112、监控单元121和处理器122。 [0036] 返回参考图1,监控单元121位于框架120中。监控单元121可以储存由设置单元112所设置的权限限制或控制信息,监控是否发出应用实行请求,并向处理器122发送权力请求或应用实行请求。关于监控单元121的细节将随后参考图8详细描述。 [0037] 处理器122可以用于控制可以请求权力限制和/或权限限制的应用。由处理器122控制的应用可以由监控单元121确定。处理器122可以包括可以对应于根据设置单元 112的初始设置的菜单项目的一个或更多模块。关于模块操作的细节将在随后参考图9、图 10、图11、图12和图13进行描述。 [0038] 设置单元112的操作将在下面参考图2、图3、图4、图5、图6和图7详细描述。 [0039] 设置单元112可以响应于用户请求而被驱动,以控制应用的权限并显示如图2所示的权限限制设置菜单。 [0040] 图2是示出根据发明的示例性实施方式的权限限制设置菜单的示意图。 [0041] 参考图2,权限限制设置菜单包括根据受信任的应用的选择的权限限制设置项目或者受信任的应用权限限制设置项目、自动权限限制设置项目、基于应用的权限限制设置项目,基于组的权限限制设置项目、以及权限限制结果输出设置项目。基于组的权限限制可以根据两个或更多权限的集聚进行设置以形成基于权限组的权限限制设置项目。权限限制方法可以基于所选择的菜单项目,并且包含在权限限制设置菜单中的权限限制设置项目可以具有优先级。而且,一些应用可以基于移动终端和/或应用的一个或更多参考条件自动地选择权限限制设置。 [0042] 下文中,将参考图3详细描述考虑到各种优先级对权限限制进行设置的过程。 [0043] 图3是示出根据发明的示例性实施方式的权限限制设置方法的流程图。 [0044] 参考图1、图2和图3,移动终端接收权限限制请求(310)。响应于此,设置单元112确定权限限制设置项目是否根据受信任的应用的选择而被选择(320)。如果在操作320中确定权限限制设置项目根据受信任的应用的选择而被选择,设置单元112以通知窗口(例如,弹出式窗口、弹入式窗口等)的形式显示受信任的应用的列表,然后显示权限限制设置菜单(330)。 [0045] 具有第二优先级的项目可以是自动权限限制设置项目。自动权限限制设置项目可以用于限制包含在参考限制权力列表中的权限组。设置单元112确定自动权限限制设置项目是否被选择(340)。在自动权限限制设置项目被选择之后的操作将随后参考图5A和图5B进行描述。 [0046] 如上所述,权限限制设置项目可以包括基于应用的权限限制设置项目和基于权限组的权限限制设置项目。在一个例子中,基于应用的权限限制设置可以用比基于权限组的权限限制设置更高的优先级来处理。然而,每个应用的权限可以总地考虑基于应用的权限限制设置和基于权限组的权限限制设置来进行处理。进一步地,虽然权限限制设置示出为具有特定优先级顺序,但是优先级的顺序不限于上面描述的优先级,而是以便于理解而示出的顺序提供。 [0047] 下文将参考图6A、图6B和图6C来描述响应于操作350中基于应用的权限限制设置项目选择的操作。而且,下文将参考图7描述响应于操作360中基于权限组的权限限制设置项目的选择的操作。 [0048] 而且如上所述,权限限制设置菜单可以包括权限限制结果输出设置项目。如果权限限制结果输出设置项目被选择,那么设置单元112可以为用户显示能够选择安全状态的屏幕,如图4所示。 [0049] 图4是示出根据发明的示例性实施方式的权限限制结果输出设置屏幕的示意图。 [0050] 参考图1和图4,权限限制结果输出设置屏幕可以以三个等级来控制安全状态:“高”、“中”和“低”。如果用户选择“高”安全状态等级,那么设置单元112请求处理器122限制权限而不向用户、系统或者移动终端提供通知。如果用户选择“中”安全状态等级,那么设置单元112请求处理器122限制权限同时通知权限限制的用户、系统或者移动终端。如果用户选择“低”安全状态等级,那么设置单元112请求处理122向用户、系统或者移动终端通知权限限制并根据设置的权限限制来限制权限。用于向用户、系统或者移动终端通知权限限制的方法可以基于可视消息、传输的算法或命令、声音、振动、无声警报等。 [0051] 在下文中,参考图5A和5B描述当自动权限限制设置项目被选择时的操作将参考图5A和5B描述。 [0052] 图5A和图5B是示出根据发明的示例性实施方式的响应于在权限设置菜单上选择自动权限限制的操作的示意图。 [0053] 参考图1和图5A,设置单元112输出自动权限限制设置屏幕(510)。图5B中示出自动权限限制设置屏幕的例子。设置单元112确定是否自动权限限制被请求(520)。也就是说,设置单元112可以确定是否自动权限限制设置屏幕上的“是”图标被选择。 [0054] 如果自动权限限制设置被请求,那么设置单元112应用已经被设置的权限限制列表信息(530)。更具体地,权限列表信息可以基于用户输入限制、移动终端的状态、应用的状态、应用类型、由应用接入的信息等。例如,由于如果移动终端被锁定则移动终端可以不允许拨号操作,所以设置单元112可以创建拨号权限作为权限列表信息之一。类似的,如果移动终端被锁定,设置单元112可以设置与不起作用的操作相关的权限。 [0055] 也就是说,通过使用与图5B中示出的自动权限限制设置屏幕似的选择菜单,选择操作可以被执行以实行权限限制而不执行额外的设置过程。 [0056] 下文中,如果基于应用的权限限制设置项目被选择时的操作将参考图6A、图6B和图6C描述。 [0057] 图6A、图6B和图6C是示出根据发明的示例性实施方式的响应于在权限设置菜单上基于应用的权限限制的选择的操作的示意图。 [0058] 参考图6A,应用可以根据其特征分类到几个组中,例如市场的种类分类(例如,健康和锻炼、教育、运输、新闻和杂志、财经等)。用户可以根据应用组为个别应用设置权限限制。而且,应用的集聚可以基于参考特征被分类到各种组、子组或组族中,并且不限于这里示出的例子。 [0059] 参考图6A,如果用户试图对应用执行或实行权限限制,那么设置单元112可以确定是否应用组操作被使用(610)。也就是说,如果用户选择基于应用的权限限制设置项目,那么设置单元112可以确定基于应用的总类的组是否必须被选择。 [0060] 如果在操作610中确定应用组操作将要被使用,设置单元112接收关于服从权限限制的组的用户的选择(620)。 [0061] 参考图6B,其示出应用组菜单,应用组从应用组菜单中被选择。 [0062] 再参考图1和图6A,如果应用组被选择,设置单元112收集属于应用组的应用的权限信息并在屏幕上输出或显示所收集的权限信息(630)。参考图6B,用户选择的应用组包括一个或更多权限项目或设置。更具体地,如图6B所示,如果应用组“教育”从可获得的组的列表中被选择,那么组“教育”可以设置成允许因特网和消息操作,而不允许GPS或呼叫操作。 [0063] 设置单元112通过允许用户从权限项目中选择至少一个来设置组权限限制(640)。也就是说,设置单元112可以在由属于所选择的组的应用所获取的权限上对限制进行设置或者应用。参考图6B,如果“因特网权限”和“消息权限”被选择,那么设置单元112可以限制“因特网权限”和“消息权限”。 [0064] 如果在操作610中确定应用组操作不会被使用,那么设置单元112接收关于服从权限限制的一个或更多应用的用户的选择。也就是说,设置单元112接收关于服从权限限制的一个或更多应用的用户选择(650),并在由所选择的应用所获取的权限上对限制进行设置或应用(660)。图6C示出基于应用的权限限制设置屏幕。 [0065] 如图6C所示,基于应用的权限限制设置屏幕显示应用的可用权限的列表和当前受限的权限的列表。在一个例子中,用户可以检查或释放单个权限,以允许或者限制权限。如图6C所示,如果应用满足参考条件或者用户选择应用是受信任的,则应用可以是“受信任的”。“受信任的”应用可以被设置为应用宽松的权限限制条件。 [0066] 设置单元112可以根据用户的选择通过图6B所示的基于应用的权限限制设置屏幕来设置权限限制。 [0067] 下面参考图7描述响应于基于组的权限限制设置菜单的选择的操作,更具体地,描述基于权限组的权限限制。 [0068] 图7是示出根据发明的示例性实施方式的响应于在权限设置菜单上基于组的选择的权限限制的操作的示意图。 [0069] 通过将多个权限集聚到组中来创建权限组,这是用户能够理解的。权限限制可以基于权限组被执行。权限组可以不同或类似于前述应用组。在在权限限制可以在应用上执行的情况中,可以提供菜单来限制权限组。 [0070] 参考图1和图7,设置单元112可以允许用户设置他或她想限制的一个或更多权限组(710)。监控单元121确定权限组是否包含在自动限制权限组列表中(720)。 [0071] 如果在操作720中确定权限组未包含在自动限制权限组列表中,那么设置单元112确定是否将权限组添加到自动限制权限组列表中(730)。 [0072] 如果在操作730中确定将权限组添加到自动限制权限组列表中,那么设置单元112将权限组添加到自动限制权限组列表中并限制权限组。 [0073] 如果在操作730中确定权限组未包含在自动限制权限组列表中,或者权限组将不会包含在自动限制权限组列表中,那么设置单元120限制权限组而不改变自动限制权限组列表(750)。基于权限组的权限限制可以为一些或所有应用设置相同或者相似的权限限制条件,并且为了更方便地进行权限限制操作,权限限制条件可以包含在自动限制权限组列表中。 [0074] 这里,将描述监控单元121的操作(见图1)。 [0075] 参考图1,监控单元121可以监控从应用和/或外部来源接收的权力请求,并且如果所请求的权力设置为受限的,那么可以将权力上的控制权提供给处理器122。 [0076] 再参考图1,如果权力请求与四个限制操作中的一个匹配,监控单元121可以检查以确定四个权力限制操作,并且将权力请求传递给处理器122。四个权力限制操作可以包括,并无限制:基于应用的权限限制设置操作、基于权限组的权限限制设置操作、根据受信任的应用的选择的权限限制设置操作、以及自动权限限制设置操作。 [0077] 图8是示出根据发明的示例性实施方式的监控单元的操作的流程图。 [0078] 参考图1和图8,如果来自应用的权力请求或者来自外部的事件被产生(810),监控单元121确定是否有至少一个由设置单元121设置的权限限制(820)。如果在操作820中确定没有权限限制,那么监控单元是不起作用的(840)。 [0079] 如果在操作820中确定有至少一个权限限制,那么监控单元121确定对应的终端是否处于锁定状态(830)。如果存在至少一个权限限制并且终端未处于锁定状态,那么监控单元121是不起作用的(840)。 [0080] 如果终端处于锁定状态,则监控单元121被激活(850)。也就是说,如果用户确定存在至少一个权力限制设置,那么监控单元121可以被激活以监视由用户终端中的应用执行的操作,即使用户可能未察觉正在执行什么操作。 [0081] 进一步地,这里示出的操作顺序并非用于限制而是为了便于描述而示出的。例如,操作830和操作850可以在操作810之前执行。也就是说,在终端确定终端是否处于锁定状态之后,如果终端处于锁定状态则监控单元121被激活,然后,操作810和操作820被执行,这也是可能的。 [0082] 监控单元121确定已经设置为被限制的权限是否被重新请求(860),如果没有已经设置为被限制的权限被请求,那么监控单元121将权力请求从应用传输到框架120的服务单元123(870)。 [0083] 如果已经设置为被限制的权限被请求,那么监控单元121将权力请求从应用传输到处理器122(880)。 [0084] 虽然在图8中未示出,但是如果终端的锁定状态被释放,不论是由用户还是由终端,和/或在参考时间期间没有输入信号输入到锁定状态的终端,移动终端变得空闲或者进入休眠模式。而且,在相同或者类似的方案中,监控单元121可以变得不起作用。 [0085] 在后文中,响应于由监控单元121传输的权限限制请求的处理器122的操作被描述。 [0086] 再参考图1,处理器122可以包括可以执行四个或更多操作的四个处理器模块。操作可以包括基于应用的权限限制设置操作、基于权限组的权限限制设置操作、根据受信任的应用的选择的权限限制设置操作、以及根据通过设置单元112的权限限制设置的自动权限限制设置操作。处理器122可以将权限限制设置通知用户。而且,一个或更多处理器模块可以储存日志信息。如果终端从锁定状态被释放,那么日志信息可以以通知窗口的形式被显示(例如,弹出式窗口,弹入式窗口等),用户可以将日志信息储存在数据存储器中(例如,笔记本电脑的数据存储器)或者删除日志信息。 [0087] 图9是示出根据发明的示例性实施方式的处理自动权限限制设置的处理器模块A的操作的流程图。 [0088] 参考图1、图2、图3、图4、图5、图6、图7、图8和图9,如果权限限制从监控单元121被请求,处理器模块A确定是否自动权限限制被设置(910)。如果自动权限限制被设置,那么处理器模块A确定一些或所有的应用的一些或所有权限将被限制(920),并向服务单元123发送权限限制请求。服务单元123响应于权限限制请求来限制一些或所有权限(930)。 处理器模块A根据权限限制结果输出设置信息将权限限制的用户通知应用(940)。 [0089] 图10是示出根据发明的示例性实施方式的处理依据受信任的应用的选择的处理权限限制设置的处理器模块B的操作的流程图。 [0090] 处理器模块B可以限制除可以由用户选择的受信任的应用相关的权限限制设置之外的剩余应用请求的一些或者所有权限。 [0091] 参考图10,处理器模块B确定已经发出权力请求的应用是否是受信任的应用(1010)。如果应用被确定不是受信任的应用,也就是应用被确定为不受信任的应用,处理器模块B向服务单元123发送权限限制请求以限制不受信任的应用(1020)。服务单元123响应于权限限制请求限制不受信任的应用的权限(1030)。处理器模块B根据权限限制结果输出设置信息来通知权限限制请求的用户和/或对于请求的响应。 [0092] 图11是示出根据发明的示例性实施方式的处理基于应用的权限限制设置的处理器模块C的操作的屏幕截图。 [0093] 参考图1和图11,如果其中设置了权限限制的应用事件或者应用组被产生,那么处理器模块C可以限制相应的权力或者应用或应用组的权限。也就是说,如果确定基于应用的权限限制请求已经由应用或应用组发出,那么处理器模块C可以限制相应的权限。 [0094] 参考图11,其权力已经被设置单元112限制的第一应用“应用1”可以服从权限限制,处理器模块C可以相应地限制第一应用“应用1”的权限。 [0095] 图12是示出根据发明的示例性实施方式的处理基于权限组的权限限制设置的处理器模块D的操作的屏幕截图。 [0096] 如果权限或者一个或更多应用的权限组的限制被产生,那么处理器模块D可以限制相应的权限或者权限组。也就是说,如果基于权限组的权限限制请求被设置,如果权限由安装在相应的移动终端中的应用来请求,处理器模块D可以限制属于被限制的权限组的权限。 [0097] 参考图12,如果第一权限组(GPS)服从权力限制,属于GPS权限组的所有应用中的一些可被限制。 [0098] 虽然未示出,但是报告单元可以被进一步提供。报告单元可以根据如上所述的权限限制结果输出设置来报告由处理器122的处理结果。 [0099] 图13是示出根据发明的示例性实施方式的报告单元的操作的流程图。 [0100] 参考图13,报告单元设置权限限制结果设置菜单(1310)。报告单元确定是否第一等级“高”被选择(1320)。如果第一等级“高”被选择,那么报告单元可以阻碍一些或所有权限而不提供通知。 [0101] 如果第一等级“高”没有被选择,报告单元进入相应终端的声音菜单(1330)。报告单元选择“声音”、“振动”和“静音”(1340)。报告单元可以通过处理器模块向用户通知事件发生。 [0102] 如果第二等级“中”或者第三等级“低”被选择,报告单元可以根据用户设置的信息或者基于参考系统条件向用户通知事件发生。事件可以被记录为日志信息,如果用户释放了所选的等级,他或她能够以通知窗口的形式(例如,弹出式窗口,弹入式窗口等)检查或查看相应日志的历史信息。历史信息可以储存在数据存储器中(例如,笔记本电脑中的数据存储器)。 |