本發(fā)明涉及通信領(lǐng)域，尤其涉及一種安全訪問方法及裝置。

背景技術(shù)：

隨著智能移動(dòng)終端的廣泛使用，智能移動(dòng)終端可以隨時(shí)安裝新的應(yīng)用程序的特點(diǎn)，在滿足用戶對(duì)智能移動(dòng)終端的功能多樣性的要求同時(shí)，智能移動(dòng)終端存儲(chǔ)數(shù)據(jù)的安全性問題和智能移動(dòng)終端的賬戶資金安全性問題，也日益突出?，F(xiàn)有技術(shù)中，安卓系統(tǒng)對(duì)個(gè)人信息的保護(hù)技術(shù)不夠強(qiáng)，如短信應(yīng)用，通訊錄應(yīng)用，只要在安裝新的應(yīng)用程序的程序包時(shí)允許該應(yīng)用可以訪問第二應(yīng)用，則該應(yīng)用程序就擁有了對(duì)第二應(yīng)用的所有操作權(quán)限，比如第二應(yīng)用是短信應(yīng)用，新安裝的應(yīng)用程序就可以截取短信應(yīng)用中的短信，甚至可以對(duì)銀行驗(yàn)證碼這類短信進(jìn)行截取和轉(zhuǎn)發(fā)，在用戶不知情的情況下將驗(yàn)證碼轉(zhuǎn)入到黑客手機(jī)里。顯然，目前的應(yīng)用程序訪問方法存在較大的安全隱患，對(duì)用戶的敏感信息存在威脅。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供一種安全訪問方法及裝置，用以解決目前的應(yīng)用程序訪問方法存在較大的安全隱患的問題。

本發(fā)明方法包括一種安全訪問方法，該方法包括：當(dāng)監(jiān)測(cè)到第一應(yīng)用對(duì)第二應(yīng)用的訪問請(qǐng)求時(shí)，獲取所述第一應(yīng)用對(duì)所述第二應(yīng)用的訪問權(quán)限，所述訪問請(qǐng)求包括待訪問信息的標(biāo)識(shí)和與所述待訪問信息相關(guān)的目標(biāo)操作；

若所述第一應(yīng)用具有對(duì)所述第二應(yīng)用的訪問權(quán)限，則判斷所述待訪問信息的標(biāo)識(shí)是否在預(yù)設(shè)的敏感信息特征庫(kù)中；

若是，則獲取所述敏感信息特征庫(kù)中所述待訪問信息的標(biāo)識(shí)對(duì)應(yīng)的操作權(quán)限，并判斷所述目標(biāo)操作是否滿足所述操作權(quán)限；

若所述目標(biāo)操作滿足所述操作權(quán)限，則執(zhí)行所述第一應(yīng)用對(duì)所述待訪問信息的目標(biāo)操作。

基于同樣的發(fā)明構(gòu)思，本發(fā)明實(shí)施例進(jìn)一步地提供一種安全訪問裝置，該裝置包括：

獲取單元，用于當(dāng)監(jiān)測(cè)到第一應(yīng)用對(duì)第二應(yīng)用的訪問請(qǐng)求時(shí)，獲取所述第一應(yīng)用對(duì)所述第二應(yīng)用的訪問權(quán)限，所述訪問請(qǐng)求包括待訪問信息的標(biāo)識(shí)和與所述待訪問信息相關(guān)的目標(biāo)操作；

判斷單元，用于若所述第一應(yīng)用具有對(duì)所述第二應(yīng)用的訪問權(quán)限，則判斷所述待訪問信息的標(biāo)識(shí)是否在預(yù)設(shè)的敏感信息特征庫(kù)中；

若所述判斷單元判斷為是，則所述獲取單元還用于獲取所述敏感信息特征庫(kù)中所述待訪問信息的標(biāo)識(shí)對(duì)應(yīng)的操作權(quán)限，

所述判斷單元還用于判斷所述目標(biāo)操作是否滿足所述操作權(quán)限；

若所述判斷單元判斷所述目標(biāo)操作滿足所述操作權(quán)限，則處理單元，用于執(zhí)行所述第一應(yīng)用對(duì)所述待訪問信息的目標(biāo)操作。

本發(fā)明實(shí)施例監(jiān)測(cè)第一應(yīng)用對(duì)第二應(yīng)用的訪問請(qǐng)求，一方面根據(jù)該訪問請(qǐng)求判斷第一應(yīng)用是不是具有訪問第二應(yīng)用的權(quán)限，當(dāng)確定具有訪問權(quán)限后，另一方面再進(jìn)一步判斷訪問請(qǐng)求中的待訪問信息的標(biāo)識(shí)是否在預(yù)設(shè)的敏感信息特征庫(kù)中，若在預(yù)設(shè)的敏感信息特征庫(kù)中，則進(jìn)一步判斷訪問請(qǐng)求中目標(biāo)操作是否滿足操作權(quán)限，若是允許的，則第一應(yīng)用對(duì)第二應(yīng)用進(jìn)行目標(biāo)操作，否則的話，則訪問失敗。這樣，就可以針對(duì)不同應(yīng)用的不同應(yīng)用場(chǎng)景，可以設(shè)置不同的訪問權(quán)限，對(duì)第二應(yīng)用的敏感信息的操作需要得到第二應(yīng)用的授權(quán)，實(shí)現(xiàn)對(duì)應(yīng)用程序中的敏感信息的訪問操作的精細(xì)化控制，避免惡意軟件的非法訪問，提高了設(shè)備中敏感信息的安全性。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)要介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域的普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例提供的一種安全訪問系統(tǒng)架構(gòu)示意圖；

圖2為本發(fā)明實(shí)施例提供的一種安全訪問方法流程示意圖；

圖3為本發(fā)明實(shí)施例提供的應(yīng)用之間進(jìn)行訪問操作的交互示意圖；

圖4為本發(fā)明實(shí)施例提供的一種安全訪問裝置結(jié)構(gòu)示意圖。

具體實(shí)施方式

為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步地詳細(xì)描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部份實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其它實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

為了解決背景技術(shù)中提到的安全性地問題，本發(fā)明實(shí)施例提供了圖1所示的系統(tǒng)架構(gòu)圖，在圖1中包括智能終端01和云端服務(wù)器02這兩個(gè)部分，其中，智能終端01和云端服務(wù)器02之間的無線通信還涉及到各種外部網(wǎng)關(guān)03，智能終端01中具體包括第一應(yīng)用101(這里指第一應(yīng)用的客戶端)、第二應(yīng)用102(這里指第二應(yīng)用的客戶端)、訪問控制模塊103這三個(gè)部分，在訪問控制模塊103中包含敏感信息標(biāo)識(shí)特征庫(kù)104和權(quán)限策略105這兩項(xiàng)內(nèi)容。

在智能終端內(nèi)部，當(dāng)?shù)谝粦?yīng)用需要訪問第二應(yīng)用中的信息時(shí)，第一應(yīng)用需要調(diào)用訪問控制模塊中的通用接口發(fā)出訪問請(qǐng)求，該通用接口為封裝了第二應(yīng)用中的函數(shù)接口之后的接口，然后訪問控制模塊利用權(quán)限策略，根據(jù)訪問請(qǐng)求中第一應(yīng)用程序的標(biāo)識(shí)判斷第一應(yīng)用是否有訪問第二應(yīng)用的權(quán)限，若有，再進(jìn)一步判斷訪問請(qǐng)求中待訪問信息標(biāo)識(shí)是否存在與敏感信息標(biāo)識(shí)維護(hù)表中，若存在，則將訪問請(qǐng)求中的目標(biāo)操作與權(quán)限策略中敏感信息的訪問權(quán)限進(jìn)行匹配，匹配成功，才能夠得到目標(biāo)操作的訪問結(jié)果，否則的話，訪問失敗。

同時(shí)，智能終端還將第一應(yīng)用訪問第二應(yīng)用的事件記錄下來，該事件可以包括第一應(yīng)用訪問第二應(yīng)用的時(shí)間，以及第一應(yīng)用對(duì)第二應(yīng)用的目標(biāo)操作，然后通過遠(yuǎn)程通信協(xié)議將這一事件上報(bào)至云端服務(wù)器，由云端服務(wù)器分析事件的安全性，智能終端可以每個(gè)固定周期，利用從云端服務(wù)器02中獲取分析結(jié)果，然后重新調(diào)整權(quán)限策略。

需要說明的是，本發(fā)明所涉及到的終端可以包括具有無線通信功能的手持設(shè)備、車載設(shè)備、可穿戴設(shè)備等智能終端。

結(jié)合圖1所示的架構(gòu)圖，本發(fā)明實(shí)施例提供一種安全訪問方法流程示意圖，該方法由智能終端內(nèi)部的處理器執(zhí)行，參見圖2所示，具體地實(shí)現(xiàn)方法包括：

步驟201，當(dāng)監(jiān)測(cè)到第一應(yīng)用對(duì)第二應(yīng)用的訪問請(qǐng)求時(shí)，獲取所述第一應(yīng)用對(duì)所述第二應(yīng)用的訪問權(quán)限，所述訪問請(qǐng)求包括待訪問信息的標(biāo)識(shí)和與所述待訪問信息相關(guān)的目標(biāo)操作。

步驟202，若所述第一應(yīng)用具有對(duì)所述第二應(yīng)用的訪問權(quán)限，則判斷所述待訪問信息的標(biāo)識(shí)是否在預(yù)設(shè)的敏感信息特征庫(kù)中。

步驟203，若是，則獲取所述敏感信息特征庫(kù)中所述待訪問信息的標(biāo)識(shí)對(duì)應(yīng)的操作權(quán)限，并判斷所述目標(biāo)操作是否滿足所述操作權(quán)限。

步驟204，若所述目標(biāo)操作滿足所述操作權(quán)限，則執(zhí)行所述第一應(yīng)用對(duì)所述待訪問信息的目標(biāo)操作。

在上述方法中第二應(yīng)用通常指的是智能終端內(nèi)部的基本應(yīng)用，例如短信APP、電話本APP、GPS、相冊(cè)APP等，而第一應(yīng)用通常指的是用戶后期從應(yīng)用商店上下載安裝的第三方應(yīng)用，例如第三方購(gòu)物APP、第三方游戲APP等第三方軟件應(yīng)用程序。通常當(dāng)?shù)谝粦?yīng)用進(jìn)行安裝或者初次啟動(dòng)時(shí)會(huì)詢問用戶是否允許訪問短路模塊或者是否允許訪問GPS等提示信息，若用戶選擇允許，則后期這類應(yīng)用對(duì)于授權(quán)訪問的應(yīng)用進(jìn)行訪問時(shí)，用戶是無感知的，故在這一訪問過程中就存在背景技術(shù)中提到的安全性低的問題。

為了解決背景技術(shù)中提到的問題，本發(fā)明實(shí)施例預(yù)先對(duì)基本應(yīng)用中的敏感信息進(jìn)行權(quán)限設(shè)置，具體地獲取所述第二應(yīng)用中的各個(gè)敏感信息的標(biāo)識(shí)，并確定各個(gè)敏感信息的操作權(quán)限，所述各個(gè)敏感信息的操作權(quán)限是通過用戶手動(dòng)設(shè)置的，或者處理器按照設(shè)定規(guī)則設(shè)置的。也就是可以是由用戶手動(dòng)設(shè)置，也可以是智能終端內(nèi)部的處理器根據(jù)關(guān)鍵詞進(jìn)行自動(dòng)設(shè)置的，比如說，用戶手動(dòng)地將相冊(cè)中照片標(biāo)志為敏感信息，并將敏感信息的讀寫權(quán)限設(shè)置為不允許讀和寫，這樣，當(dāng)美拍APP訪問相冊(cè)時(shí)，就無法訪問這類被用戶手動(dòng)設(shè)置的照片。又比如，終端內(nèi)部設(shè)定特定程序，該特定程序一旦啟動(dòng)，就會(huì)將包含驗(yàn)證碼、密碼、支付等關(guān)鍵詞的短信一律標(biāo)志位不允許讀和寫的敏感信息，這樣的話，當(dāng)?shù)谌劫?gòu)物APP訪問短信APP時(shí)，就無法獲取具有這類關(guān)鍵詞的短信的內(nèi)容。

進(jìn)一步地，當(dāng)完成敏感信息的上述設(shè)置之后，本發(fā)明實(shí)施例還獲取這類被標(biāo)注為敏感信息的標(biāo)識(shí)，以及每個(gè)敏感信息標(biāo)識(shí)對(duì)應(yīng)的內(nèi)容所被設(shè)置的權(quán)限，即建立關(guān)于所述各個(gè)敏感信息的標(biāo)識(shí)和各個(gè)敏感信息的操作權(quán)限映射關(guān)系的敏感信息特征庫(kù)。比如說，表一所示的敏感信息特征庫(kù)，“√”表示可用，“×”表示禁用；對(duì)于某些個(gè)人信息，也可能存在“-”的情況，即對(duì)于該個(gè)人信息的某些行為是不存在的。例如智能終端內(nèi)部的通信記錄不能夠被讀、寫、修改、復(fù)制和刪除，該敏感信息特征庫(kù)僅反映了部分敏感信息標(biāo)識(shí)與權(quán)限的對(duì)應(yīng)關(guān)系。

表一：

除此之外，本發(fā)明實(shí)施例還對(duì)第二應(yīng)用對(duì)第一應(yīng)用的訪問權(quán)限進(jìn)行設(shè)置，具體地設(shè)置方法可以是在第二應(yīng)用安裝或者初次啟動(dòng)時(shí)，根據(jù)詢問框，用戶選擇是或者否，也可以是在第二應(yīng)用安裝之后，由用戶再次設(shè)置，若用戶將第三方購(gòu)物APP、支付寶、微信等應(yīng)用設(shè)置為高優(yōu)先級(jí)應(yīng)用，則這類應(yīng)用就擁有對(duì)第二應(yīng)用中的內(nèi)部進(jìn)行讀和寫的權(quán)限。例如表二所示的第三方購(gòu)物APP、第三方支付APP、第三方即時(shí)通訊APP對(duì)第一應(yīng)用的讀取、寫入、啟動(dòng)GPS等權(quán)限的設(shè)置表格。

表二：

當(dāng)完成上述準(zhǔn)備后，將對(duì)第一應(yīng)用的權(quán)限設(shè)置和敏感信息特征信息庫(kù)存儲(chǔ)在圖1所示的訪問控制模塊中，在執(zhí)行步驟S101之前，當(dāng)處理器監(jiān)測(cè)到所述第一應(yīng)用調(diào)用所述第二應(yīng)用的通用接口時(shí)，生成關(guān)于所述第一應(yīng)用對(duì)第二應(yīng)用的訪問請(qǐng)求，所述通用接口為是通過預(yù)先封裝所述第二應(yīng)用的接口函數(shù)得到的，然后處理器獲取訪問請(qǐng)求中的待訪問信息標(biāo)識(shí)和目標(biāo)操作，進(jìn)一步地判斷是否滿足權(quán)限策略中權(quán)限，若滿足，則執(zhí)行，否則的話，訪問失敗，舉例來說，當(dāng)?shù)谌劫?gòu)物APP生成讀取訪問短信應(yīng)用中短信驗(yàn)證碼的訪問請(qǐng)求，請(qǐng)求中帶著驗(yàn)證碼標(biāo)識(shí)和讀取操作，處理器先判斷第三方購(gòu)物APP是不是具有讀取短信應(yīng)用的權(quán)限，根據(jù)權(quán)限策略判斷為有，則再判斷驗(yàn)證碼標(biāo)識(shí)是不是在敏感信息特征庫(kù)中，若存在在敏感信息特征庫(kù)中，則再判斷驗(yàn)證碼設(shè)置的權(quán)限，即讓不讓其它應(yīng)用讀取，若設(shè)置的是不讓讀取，則訪問失敗，若設(shè)置的是允許讀取，則第三方購(gòu)物APP就讀到短信中驗(yàn)證碼了，可見，通過本發(fā)明實(shí)施例提供的安全訪問訪問，可以有效地控制第三方應(yīng)用對(duì)智能終端內(nèi)部的敏感信息的訪問操作，避免敏感信息被非法程序訪問，從而對(duì)用戶的賬戶造成威脅。

進(jìn)一步地，若判斷所述目標(biāo)操作不滿足所述操作權(quán)限，則生成關(guān)于所述第一應(yīng)用的訪問驗(yàn)證請(qǐng)求，所述訪問驗(yàn)證請(qǐng)求包含所述第一應(yīng)用對(duì)所述待訪問信息的目標(biāo)操作；

接收用戶輸入的關(guān)于所述訪問驗(yàn)證請(qǐng)求的驗(yàn)證信息，并判斷所述驗(yàn)證信息是否合法；若合法，則執(zhí)行所述第一應(yīng)用對(duì)所述待訪問信息的目標(biāo)操作。

也就是說，若第一應(yīng)用沒有對(duì)第二應(yīng)用中的敏感信息進(jìn)行讀或者寫的權(quán)限后，可以重新請(qǐng)求該讀或者寫的權(quán)限，比如說，處理器先判斷第三方購(gòu)物APP不具有讀寫短信中的驗(yàn)證碼的權(quán)限，就會(huì)在人機(jī)交互界面上提示輸入驗(yàn)證信息，例如指紋或者密碼等信息，若判斷接收的用戶輸入的指紋或者密碼與預(yù)設(shè)信息相匹配，則仍然允許該處訪問操作，向第二應(yīng)用返回驗(yàn)證碼信息，這樣做的目的是為了提供一種容錯(cuò)機(jī)制，在保證敏感信息安全性的前提下，提高敏感信息的訪問操作的靈活性。

進(jìn)一步地，當(dāng)智能終端內(nèi)部處理器每次完成第一應(yīng)用對(duì)第二應(yīng)用的訪問操作之后，就會(huì)生成該次訪問的事件，具體地，生成描述所述第一應(yīng)用訪問所述第二應(yīng)用的事件，所述事件包括所述第一應(yīng)用對(duì)所述待訪問信息的目標(biāo)操作；

將所述事件上報(bào)至云端服務(wù)器，以使所述云端服務(wù)器分析所述事件的安全性。

結(jié)合圖1所示的系統(tǒng)架構(gòu)圖，舉例來說，事件的描述信息可以如下：第三方購(gòu)物APP在2016.9.27時(shí)刻12:00訪問了短信應(yīng)用在11:59時(shí)收到的的支付驗(yàn)證碼。云端服務(wù)器接收這類事件之后，就會(huì)將第三方購(gòu)物APP的這一類操作進(jìn)行統(tǒng)計(jì)分析，并將統(tǒng)計(jì)分析之后的結(jié)果下發(fā)給智能終端，用戶可以根據(jù)統(tǒng)計(jì)分析的結(jié)果調(diào)整后續(xù)第三方購(gòu)物APP的權(quán)限，或者調(diào)整短信中驗(yàn)證碼的讀寫權(quán)限，具有地調(diào)整策略可以根據(jù)實(shí)際情況確定。

為了更加系統(tǒng)地描述上述第一應(yīng)用對(duì)第二應(yīng)用的訪問操作，本發(fā)明實(shí)施例進(jìn)一步地提供圖3所示的交互圖，進(jìn)行詳細(xì)說明，具體如下：

步驟301，第一應(yīng)用利用訪問控制模塊中的通用接口向第二應(yīng)用發(fā)出訪問請(qǐng)求，請(qǐng)求中包含待訪問信息的標(biāo)識(shí)和與所述待訪問信息相關(guān)的目標(biāo)操作。

步驟302，訪問控制模塊解析該訪問請(qǐng)求，然后利用第二應(yīng)用的函數(shù)接口向第二應(yīng)用發(fā)出訪問請(qǐng)求。

步驟303，處理器判斷第一應(yīng)用是否具有訪問第二應(yīng)用的權(quán)限，若沒有，則執(zhí)行步驟304，若有權(quán)限，則執(zhí)行步驟305。

步驟304，判斷第一應(yīng)用沒有訪問第二應(yīng)用的權(quán)限，故返回訪問失敗的結(jié)果給第一應(yīng)用。

步驟305，判斷第一應(yīng)用有訪問第二應(yīng)用的權(quán)限，繼續(xù)判斷訪問請(qǐng)求中的待訪問信息的標(biāo)識(shí)是否在預(yù)設(shè)的敏感信息特征庫(kù)中，若存在的話繼續(xù)判斷目標(biāo)操作是否有權(quán)限進(jìn)行該操作，若有則執(zhí)行步驟306，否則的話，執(zhí)行步驟307。

步驟306，判斷待訪問信息存在與敏感信息特征庫(kù)中，且目標(biāo)操作是該敏感信息所允許的操作，故第二應(yīng)用返回該目標(biāo)操作的處理結(jié)果至第一應(yīng)用。

步驟307，判斷待訪問信息存在與敏感信息特征庫(kù)中，且目標(biāo)操作不是該敏感信息所允許的操作，故處理器在人機(jī)交互界面中提示輸入驗(yàn)證信息。

步驟308，處理器接收用戶輸入的驗(yàn)證信息，

步驟309，對(duì)驗(yàn)證信息進(jìn)行校對(duì)，根據(jù)校對(duì)效果執(zhí)行步驟310。

步驟310，若判斷驗(yàn)證信息合法，則直接返回目標(biāo)操作的處理結(jié)果，若判斷驗(yàn)證信息不合法，則返回操作失敗的信息。

綜上，現(xiàn)有技術(shù)中，智能終端內(nèi)部的敏感信息的安全隱患比較明顯，而且黑客盜取這些敏感信息的技術(shù)門檻比較低，只要在安裝包的配置文件里打開相應(yīng)模塊的訪問權(quán)限，就可以進(jìn)行全部的操作。針對(duì)這種情況，本發(fā)明特別在引入新的安全權(quán)限分級(jí)的機(jī)制，該機(jī)制將每個(gè)應(yīng)用的權(quán)限和智能終端中的敏感信息的訪問權(quán)限進(jìn)行了進(jìn)一步的控制，針對(duì)不同應(yīng)用的不同操作分別設(shè)置不同的權(quán)限，并且權(quán)限配置過程既可以通過用戶需求手動(dòng)配置，也可以通過與預(yù)置條件比較后自動(dòng)分配權(quán)限；從而實(shí)現(xiàn)針對(duì)不同應(yīng)用場(chǎng)景的訪問權(quán)限的精細(xì)化控制。同時(shí)對(duì)類似的惡意軟件的關(guān)鍵信息進(jìn)行采集并上報(bào)云端保存，并通過云端統(tǒng)一配置相應(yīng)的權(quán)限策略；當(dāng)新增應(yīng)用或固有應(yīng)用的行為符合云端配置權(quán)限策略的條件時(shí)，判定其為惡意軟件，從而對(duì)這些惡意軟件進(jìn)行后續(xù)處理，實(shí)現(xiàn)更加高效及精準(zhǔn)的保護(hù)用戶隱私。

基于相同的技術(shù)構(gòu)思，本發(fā)明實(shí)施例還提供一種安全訪問裝置，該裝置可執(zhí)行上述方法實(shí)施例，該裝置通常為軟件類的實(shí)現(xiàn)程序，一般承載于智能終端內(nèi)部的處理器中，本發(fā)明實(shí)施例提供的裝置如圖4所示，包括：獲取單元401、判斷單元402、處理單元403，其中：

獲取單元401，用于當(dāng)監(jiān)測(cè)到第一應(yīng)用對(duì)第二應(yīng)用的訪問請(qǐng)求時(shí)，獲取所述第一應(yīng)用對(duì)所述第二應(yīng)用的訪問權(quán)限，所述訪問請(qǐng)求包括待訪問信息的標(biāo)識(shí)和與所述待訪問信息相關(guān)的目標(biāo)操作；

判斷單元402，用于若所述第一應(yīng)用具有對(duì)所述第二應(yīng)用的訪問權(quán)限，則判斷所述待訪問信息的標(biāo)識(shí)是否在預(yù)設(shè)的敏感信息特征庫(kù)中；

若所述判斷單元402判斷為是，則所述獲取單元401還用于獲取所述敏感信息特征庫(kù)中所述待訪問信息的標(biāo)識(shí)對(duì)應(yīng)的操作權(quán)限，

所述判斷單元402還用于判斷所述目標(biāo)操作是否滿足所述操作權(quán)限；

若所述判斷單元402判斷所述目標(biāo)操作滿足所述操作權(quán)限，則處理單元403，用于執(zhí)行所述第一應(yīng)用對(duì)所述待訪問信息的目標(biāo)操作。

進(jìn)一步地，若所述判斷單元402判斷所述目標(biāo)操作不滿足所述操作權(quán)限，則處理單元403還用于生成關(guān)于所述第一應(yīng)用的訪問驗(yàn)證請(qǐng)求，所述訪問驗(yàn)證請(qǐng)求包含所述第一應(yīng)用對(duì)所述待訪問信息的目標(biāo)操作；

收發(fā)單元404，用于接收用戶輸入的關(guān)于所述訪問驗(yàn)證請(qǐng)求的驗(yàn)證信息，

所述判斷單元402，還用于判斷所述驗(yàn)證信息是否合法；

若所述判斷單元402判斷合法，則所述處理單元403還用于執(zhí)行所述第一應(yīng)用對(duì)所述待訪問信息的目標(biāo)操作。

所述處理單元403還用于：生成描述所述第一應(yīng)用訪問所述第二應(yīng)用的事件，所述事件包括所述第一應(yīng)用對(duì)所述待訪問信息的目標(biāo)操作；

所述收發(fā)單元404還用于：將所述事件上報(bào)至云端服務(wù)器，以使所述云端服務(wù)器分析所述事件的安全性。

進(jìn)一步地，還包括：生成單元406，用于當(dāng)監(jiān)測(cè)到所述第一應(yīng)用調(diào)用所述第二應(yīng)用的通用接口時(shí)，生成關(guān)于所述第一應(yīng)用對(duì)第二應(yīng)用的訪問請(qǐng)求，所述通用接口為是通過預(yù)先封裝所述第二應(yīng)用的接口函數(shù)得到的。

進(jìn)一步地，還包括：預(yù)配置單元405，用于獲取所述第二應(yīng)用中的各個(gè)敏感信息的標(biāo)識(shí)，并確定各個(gè)敏感信息的操作權(quán)限，所述各個(gè)敏感信息的操作權(quán)限是通過用戶手動(dòng)設(shè)置的，或者處理器按照設(shè)定規(guī)則設(shè)置的；建立關(guān)于所述各個(gè)敏感信息的標(biāo)識(shí)和各個(gè)敏感信息的操作權(quán)限映射關(guān)系的敏感信息特征庫(kù)。

綜上所述，本發(fā)明實(shí)施例監(jiān)測(cè)第一應(yīng)用對(duì)第二應(yīng)用的訪問請(qǐng)求，一方面根據(jù)該訪問請(qǐng)求判斷第一應(yīng)用是不是具有訪問第二應(yīng)用的權(quán)限，當(dāng)確定具有訪問權(quán)限后，另一方面再進(jìn)一步判斷訪問請(qǐng)求中的待訪問信息的標(biāo)識(shí)是否在預(yù)設(shè)的敏感信息特征庫(kù)中，若在預(yù)設(shè)的敏感信息特征庫(kù)中，則進(jìn)一步判斷訪問請(qǐng)求中目標(biāo)操作是否滿足操作權(quán)限，若是允許的，則第一應(yīng)用對(duì)第二應(yīng)用進(jìn)行目標(biāo)操作，否則的話，則訪問失敗。這樣，就可以針對(duì)不同應(yīng)用的不同應(yīng)用場(chǎng)景，可以設(shè)置不同的訪問權(quán)限，對(duì)第二應(yīng)用的敏感信息的操作需要得到第二應(yīng)用的授權(quán)，實(shí)現(xiàn)對(duì)應(yīng)用程序中的敏感信息的訪問操作的精細(xì)化控制，避免惡意軟件的非法訪問，提高了設(shè)備中敏感信息的安全性。

本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合。可提供這些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器，使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。

這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中，使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。

這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理，從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。

盡管已描述了本發(fā)明的優(yōu)選實(shí)施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對(duì)這些實(shí)施例作出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本發(fā)明范圍的所有變更和修改。

顯然，本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。