br>[0053] 在開發(fā)說(shuō)明性具體實(shí)施例的過程中，發(fā)現(xiàn)大部分行動(dòng)操作系統(tǒng)使用功能式權(quán)限模 型，調(diào)解應(yīng)用程序?qū)χT如行動(dòng)裝置的相機(jī)所產(chǎn)生的影像數(shù)據(jù)、或行動(dòng)裝置的用戶所輸入的 聯(lián)系人列表數(shù)據(jù)等安全行動(dòng)裝置資源的存取。不同的行動(dòng)操作系統(tǒng)在對(duì)安全資源授與權(quán)限 方面有不同的作法。舉例而言，在一種行動(dòng)操作系統(tǒng)類型中，用戶在安裝過程中核準(zhǔn)對(duì)應(yīng)用 程序授與權(quán)限，而在另一種操作系統(tǒng)類型中，此用戶核準(zhǔn)對(duì)應(yīng)用程序授與權(quán)限是在首次使 用該應(yīng)用程序時(shí)才進(jìn)行。
[0054] 功能式權(quán)限模型對(duì)于支持高安全原則落于粗糙且缺乏彈性。舉例而言，功能式權(quán) 限模型對(duì)于控制權(quán)限不容許諸如位置式原則等條件式原則。而且，經(jīng)授與的權(quán)限無(wú)法在應(yīng) 用程序運(yùn)行時(shí)間修改，并且需要重新安裝應(yīng)用程序才對(duì)經(jīng)授與的權(quán)限進(jìn)行任何變更。此外， 功能式權(quán)限模型僅藉由對(duì)應(yīng)用程序明確釋出對(duì)應(yīng)功能，對(duì)安全行動(dòng)裝置資源進(jìn)行訪問控 制。然而，靜態(tài)訪問控制原則不足以強(qiáng)制施行使用者的隱私權(quán)。舉例而言，一旦應(yīng)用程序獲 準(zhǔn)對(duì)安全數(shù)據(jù)進(jìn)行存取，應(yīng)用程序便得以開放地在任何時(shí)間對(duì)惡意外部實(shí)體泄露該安全數(shù) 據(jù)。再者，基于混合行動(dòng)應(yīng)用程序或行動(dòng)裝置的情境授與或撤銷權(quán)限的規(guī)定并不存在。舉例 而言，在基于行動(dòng)裝置的位置對(duì)行動(dòng)裝置的相機(jī)限制應(yīng)用程序的存取方面，無(wú)法定制權(quán)限。
[0055] 說(shuō)明性具體實(shí)施例保護(hù)行動(dòng)裝置的安全資源，免于遭受未獲信任（亦即，惡意或 易受攻擊）的混合行動(dòng)應(yīng)用程序泄漏。說(shuō)明性具體實(shí)施例藉由行動(dòng)信息流控制（IFC)模塊， 保護(hù)行動(dòng)裝置的安全資源，利用混合平臺(tái)的調(diào)解層以支持運(yùn)行時(shí)間強(qiáng)制施行與混合行動(dòng)應(yīng) 用程序相關(guān)的情境感知安全原則。行動(dòng)信息流控制模塊容許用戶定義情境感知安全原則以 保護(hù)行動(dòng)裝置的安全資源，同時(shí)使混合行動(dòng)應(yīng)用程序在其權(quán)限要求方面能夠更加具體。舉 例而言，使用者可指定情境式安全原則，例如"行動(dòng)裝置位于指定作業(yè)位置時(shí)所拍攝的相機(jī) 相片應(yīng)該只與公司的服務(wù)器共享"。此外，混合行動(dòng)應(yīng)用程序亦可指定更細(xì)微權(quán)限要求，例 如"相機(jī)相片僅與指定的相片編輯軟件程序共享"。
[0056] 為了支持細(xì)微的安全原則強(qiáng)制施行，說(shuō)明性具體實(shí)施例的行動(dòng)信息流控制模塊追 蹤混合行動(dòng)應(yīng)用程序的信息流。行動(dòng)信息流控制模塊重新設(shè)計(jì)未獲信任的混合行動(dòng)應(yīng)用程 序，所采用旳方式是，未獲信任的混合行動(dòng)應(yīng)用程序利用獲得用戶授與的權(quán)限而得以存取 未獲信任的混合行動(dòng)應(yīng)用程序所請(qǐng)求的任何安全數(shù)據(jù)，因此，容許多個(gè)未獲信任的混合行 動(dòng)應(yīng)用程序同時(shí)進(jìn)行其功能，不容許未獲信任的混合行動(dòng)應(yīng)用程序?qū)踩珨?shù)據(jù)傳遞至未經(jīng) 授權(quán)的外部實(shí)體。行動(dòng)信息流控制模塊藉由沿著安全性相關(guān)邊界將未獲信任的混合行動(dòng) 應(yīng)用程序分割成符碼塊、并且將獲得使用者授與的權(quán)限映射至各個(gè)別符碼塊來(lái)達(dá)成這個(gè)目 的。這種符碼塊設(shè)計(jì)迫使未獲信任的混合行動(dòng)應(yīng)用程序令與外部實(shí)體的任何安全數(shù)據(jù)共享 外顯于獲得使用者授與的權(quán)限。此外，這種符碼塊設(shè)計(jì)僅容許與滿足使用者明確授與的使 用者定義、情境感知原則或通訊的外部實(shí)體通訊。
[0057] 為了啟用情境感知安全原則，行動(dòng)信息流控制模塊在混合行動(dòng)應(yīng)用程序請(qǐng)求安全 資源存取時(shí)，判斷行動(dòng)裝置及/或混合行動(dòng)應(yīng)用程序在運(yùn)行時(shí)間的情境。行動(dòng)信息流控制 模塊對(duì)基于判斷的情境與外部實(shí)體共享安全資源授與權(quán)限。舉位置式安全原則為例，行動(dòng) 信息流控制模塊利用混合平臺(tái)的定制信息流控制地理位置應(yīng)用程序開發(fā)接口，在擷取相關(guān) 情境感知安全原則之前，先判斷行動(dòng)裝置的當(dāng)下地理位置。藉由利用定制信息流控制應(yīng)用 程序開發(fā)接口，說(shuō)明性具體實(shí)施例不要求修改基本原生行動(dòng)操作系統(tǒng)。
[0058] 因此，行動(dòng)信息流控制模塊防止混合行動(dòng)應(yīng)用程序泄漏行動(dòng)裝置上的安全數(shù)據(jù)。 行動(dòng)信息流控制模塊藉由調(diào)解運(yùn)行時(shí)間與混合行動(dòng)應(yīng)用程序的所有通訊往來(lái)來(lái)防止安全 數(shù)據(jù)泄漏，讓用戶能夠管理滿足使用者隱私權(quán)要求的情境感知安全原則?；旌闲袆?dòng)應(yīng)用程 序通常利用網(wǎng)絡(luò)服務(wù)器所提供的服務(wù)。因此，混合行動(dòng)應(yīng)用程序必須與外部實(shí)體通訊才能 進(jìn)行特定任務(wù)。舉例而言，混合行動(dòng)社群網(wǎng)絡(luò)應(yīng)用程序可試圖利用位于行動(dòng)裝置上的相機(jī) 應(yīng)用程序，拍攝并且張貼行動(dòng)裝置用戶的相片至社群網(wǎng)絡(luò)網(wǎng)站的用戶用戶簡(jiǎn)要。
[0059] 當(dāng)行動(dòng)裝置上安裝特定混合行動(dòng)應(yīng)用程序時(shí)，信息流控制模塊將指令清單送給用 戶，里頭列示混合行動(dòng)應(yīng)用程序所需要的安全資源、以及將會(huì)共享安全資源的外部實(shí)體。舉 例而言，社群網(wǎng)絡(luò)應(yīng)用程序的指令清單會(huì)詳載社群網(wǎng)絡(luò)應(yīng)用程序?qū)H與社群網(wǎng)絡(luò)的服務(wù)器 共享行動(dòng)裝置的相機(jī)所拍攝的相片。除了核準(zhǔn)式方法，信息流控制模塊另外還容許用戶將 安全原則定義為安全資源（作為輸入）、外部實(shí)體（作為輸出）、以及行動(dòng)裝置或行動(dòng)應(yīng)用 程序情境（作為相關(guān)條件）的函數(shù)。舉例而言，用戶可指定行動(dòng)裝置的相機(jī)在作業(yè)時(shí)不應(yīng) 該讓任何行動(dòng)應(yīng)用程序使用，因而撤銷社群網(wǎng)絡(luò)應(yīng)用程序在用戶作業(yè)位置的相機(jī)存取權(quán)。
[0060] 應(yīng)注意的是，所有外部實(shí)體都默認(rèn)未獲信任，但行動(dòng)裝置用戶核準(zhǔn)共享安全資源 的外部實(shí)體不在此限。外部實(shí)體一旦獲得核準(zhǔn)便視為半獲信任（亦即，外部實(shí)體僅可接收 用戶將權(quán)限授與該外部實(shí)體的安全數(shù)據(jù)）。
[0061] 因此，說(shuō)明性具體實(shí)施例提供用于對(duì)該數(shù)據(jù)處理系統(tǒng)的安全資源進(jìn)行訪問控制的 方法、數(shù)據(jù)處理系統(tǒng)、以及計(jì)算機(jī)程序產(chǎn)品。
[0062] 現(xiàn)請(qǐng)參閱圖3,行動(dòng)裝置的圖解系依據(jù)說(shuō)明性具體實(shí)施例來(lái)繪示。舉例而言，可在 圖2的數(shù)據(jù)處理系統(tǒng)200中實(shí)施行動(dòng)裝置300。舉例而言，行動(dòng)裝置300也可以是智能型手 機(jī)。
[0063] 在這項(xiàng)實(shí)施例中，行動(dòng)裝置300包括原生行動(dòng)操作系統(tǒng)（0S) 302、行動(dòng)信息流控制 (IFC)模塊304、以及混合行動(dòng)應(yīng)用程序306。原生行動(dòng)操作系統(tǒng)302系原生于行動(dòng)裝置300 的行動(dòng)操作系統(tǒng)。原生行動(dòng)操作系統(tǒng)302可表示可在行動(dòng)裝置300上執(zhí)行的任何類型的行 動(dòng)操作系統(tǒng)。此外，混合框架軟件技術(shù)308在原生操作系統(tǒng)302上執(zhí)行。混合框架軟件技 術(shù)308表示支持執(zhí)行行動(dòng)裝置300上所安裝混合行動(dòng)應(yīng)用程序的一組軟件程序。
[0064] 舉例而言，行動(dòng)信息流控制模塊304可以是圖2中的信息流控制模塊226。行動(dòng) 信息流控制模塊304控制進(jìn)出諸如混合行動(dòng)應(yīng)用程序306等執(zhí)行于行動(dòng)裝置300上的所有 混合行動(dòng)應(yīng)用程序的信息流。更具體而言，行動(dòng)信息流控制模塊304控制進(jìn)出各執(zhí)行中的 混合行動(dòng)應(yīng)用程序內(nèi)的一組符碼塊的信息流。舉例而言，行動(dòng)信息流控制模塊304控制經(jīng) 過混合行動(dòng)應(yīng)用程序306內(nèi)的區(qū)塊320C1、區(qū)塊322C2及區(qū)塊324C3的信息流。舉例而 言，混合行動(dòng)應(yīng)用程序306內(nèi)旳符碼塊320至324可以是圖2中混合行動(dòng)應(yīng)用程序224內(nèi) 的符碼塊232。
[0065] 在這項(xiàng)實(shí)施例中，行動(dòng)信息流控制模塊304包括原則管理器310、原則強(qiáng)制施行引 擎312、以及定制信息流控制應(yīng)用程序開發(fā)接口 314。原則管理器310自使用者332接收情 境感知安全原則334。用戶332亦在應(yīng)用程序306安裝于用戶332的行動(dòng)裝置300之前，先 核準(zhǔn)與混合行動(dòng)應(yīng)用程序306相關(guān)的應(yīng)用程序指令清單336。此外，原則管理器310可驗(yàn)證 用戶核準(zhǔn)應(yīng)用程序指令清單336符合情境感知安全原則334。舉例而言，情境感知安全原則 334可以是圖2中的情境感知安全原則234。情境感知安全原則334系一組安全原則，其定 義使用者332對(duì)于存取行動(dòng)裝置300的安全資源316授與外部實(shí)體326bank.com及外部實(shí) 體328map.com的權(quán)限。用戶核準(zhǔn)應(yīng)用程序指令清單336系用戶332選取經(jīng)授權(quán)進(jìn)行外部 實(shí)體通訊的應(yīng)用程序指令清單330的全部或一部分。應(yīng)用程序指令清單330系與混合行動(dòng) 應(yīng)用程序306相關(guān)的指令清單文件，并且舉例而言，可以是圖2中的指令清單228。
[0066] 原則管理器310可向用戶332顯示用戶核準(zhǔn)應(yīng)用程序指令清單336中任何選取項(xiàng) 目的解決方案不符合情境感知安全原則334的通知。的后，原則管理器310轉(zhuǎn)寄情境感知 安全原則334及用戶核準(zhǔn)應(yīng)用程序指令清單336至原則強(qiáng)制施行引擎312。原則強(qiáng)制施行 引擎312利用情境感知安全原則334及用戶核準(zhǔn)應(yīng)用程序指令清單336,強(qiáng)制施行經(jīng)過混合 行動(dòng)應(yīng)用程序306內(nèi)區(qū)塊320C1、區(qū)塊322C2及區(qū)塊324C3的信息流控制。換句話說(shuō)，原 則強(qiáng)制施行引擎312利用情境感知安全原則334及用戶核準(zhǔn)應(yīng)用程序指令清單336,對(duì)混合 行動(dòng)應(yīng)用程序306內(nèi)的特定符碼塊授與權(quán)限，以與特定外部實(shí)體共享行動(dòng)裝置300內(nèi)的一 組一或多個(gè)特定安全資源。
[0067] 安全資源316可包括由使用者332輸入并且儲(chǔ)存于安全數(shù)據(jù)庫(kù)（DB) 318內(nèi)的用戶 數(shù)據(jù)338。舉例而言，用戶資料338可以是圖2中的用戶資料222。此外，舉例而言，安全資 源316亦可包括諸如靜態(tài)照片或視訊剪輯等由行動(dòng)裝置300中的相機(jī)所產(chǎn)生的影像數(shù)據(jù)、 或諸如GPS坐標(biāo)等由行動(dòng)裝置300中的地理位置單元所產(chǎn)生的地理位置數(shù)據(jù)。舉例而言， 相機(jī)及地理位置單元可以是圖2中的成像單元210及地理位置單元212。再者，安全資源 316亦可包括諸如圖2中的通訊單元214等行動(dòng)裝置300中的網(wǎng)絡(luò)通訊單元、以及該網(wǎng)絡(luò)通 訊單元所建立的一些網(wǎng)絡(luò)聯(lián)機(jī)。
[0068] 在行動(dòng)裝置300上部署混合行動(dòng)應(yīng)用程序306期間，行動(dòng)信息流控制模塊304移 除對(duì)行動(dòng)裝置300上安全資源316的所有直接應(yīng)用程序開發(fā)接口呼叫。因此，行動(dòng)信息流 控制模塊304修改混合行動(dòng)應(yīng)用程序306,以排除任何直接處理安全資源316存取的直接應(yīng) 用程序開發(fā)接口呼叫，并且調(diào)用安全資源316的功能。因此，行動(dòng)信息流控制模塊304要求 混合行動(dòng)應(yīng)用程序306利用行動(dòng)信息流控制模塊304的定制信息流控制應(yīng)用程序開發(fā)接口 314,呼叫要與外部實(shí)體326及/或外部實(shí)體328共享的安全資源316的一或多者。舉例而 言，定制信息流控制應(yīng)用程序開發(fā)接口 314可變?yōu)楦郊訋?kù)（addonlibrary)，并且封裝成行 動(dòng)信息流控制模塊304,得以讓混合行動(dòng)應(yīng)用程序306在運(yùn)行時(shí)間使用。將定制信息流控制 應(yīng)用程序開發(fā)接口 314當(dāng)作附加庫(kù)使用，令開發(fā)人員對(duì)混合行動(dòng)應(yīng)用程序306須變更符碼 的復(fù)雜度降到最低。定制信息流控制應(yīng)用程序開發(fā)接口 314亦支持混合行動(dòng)應(yīng)用程序306 內(nèi)區(qū)塊320C1、區(qū)塊322C2與區(qū)塊324C3間的單向及雙向通訊。
[0069] 在圖3的實(shí)施例中，混合行動(dòng)應(yīng)用程序306表示混合行動(dòng)銀行應(yīng)用程序，展示行動(dòng) 信息流控制模塊304中可以如何定義并且強(qiáng)制施行情境感知安全原則，以防止混合行動(dòng)應(yīng) 用程序306泄漏安全用戶數(shù)據(jù)338。情境感知安全原則334系連同諸如企業(yè)式安全原則等 其它安全原則經(jīng)由使用者授與的權(quán)限來(lái)表達(dá)，是由行動(dòng)信息流控制模塊304在混合行動(dòng)應(yīng) 用程序306的運(yùn)行時(shí)間強(qiáng)制施行。
[0070] 應(yīng)注意的是，情境感知安全原則334可容許行動(dòng)裝置300的用戶332強(qiáng)制施行使 用者332的隱私權(quán)要求，并且潛在地防止混合行動(dòng)應(yīng)用程序306的惡意行為，說(shuō)明性具體實(shí) 施例預(yù)期可能會(huì)需要作出取舍，舉例而言，例如，某些安全原則要求可藉由混合行動(dòng)應(yīng)用程 序306來(lái)防止惡意行為，但也可能破壞行動(dòng)裝置300上所執(zhí)行其它混合行動(dòng)應(yīng)用程序的非 惡意行為的功能。因此，使用者332必須基于使用者332的特定隱私權(quán)要求、及/或使用者 332相關(guān)企業(yè)所加諸的安全限制來(lái)決定安全原則。
[0071] 用戶核準(zhǔn)應(yīng)用程序指令清單336對(duì)外部實(shí)體通訊提供更細(xì)微、用戶核準(zhǔn)的權(quán)限。 具體而言，用戶核準(zhǔn)應(yīng)用程序指令清單336提供輸入至輸出映射，表示要與外部實(shí)體共享 的是何組安全資源316。使用混合行動(dòng)銀行應(yīng)用程序?qū)嵤├@種輸入至輸出映像會(huì)對(duì)應(yīng)于 映像使用者332的登入憑證數(shù)據(jù)至外部實(shí)體326bank.com、以及映像行動(dòng)裝置300的地