一种访问设备标识符的方法及装置与流程

    专利2022-07-07  96


    本申请实施例涉及通信技术领域,尤其涉及一种访问设备标识符的方法及装置。



    背景技术:

    设备标识符是用于唯一标识设备的一串字符串,常见的设备标识符包括国际移动设备身份码(internationalmobileequipmentidentity,imei)、国际移动用户识别码(internationalmobilesubscriberidentificationnumber,imsi)、移动设备识别码(mobileequipmentidentifier,meid)、序列号(serialnumber,sn)、集成电路卡识别码(integratecircuitcardidentity,iccid)、以及媒体介入控制层(mediaaccesscontrol,mac)地址等。

    这些设备标识符一般都与用户的相关信息直接关联,例如,通过终端的imei号可以查找到持有该终端的自然人的姓名、电话以及住址等用户的基本信息。那么,如果终端内安装的应用程序(以下简称app)随意访问这些设备标识符,则会导致用户隐私泄露的风险,使终端的设备安全性降低。



    技术实现要素:

    本申请的实施例提供一种访问设备标识符的方法及装置,可降低因应用程序过度访问设备标识符带来的隐私泄露风险,提高终端的设备安全性。

    为达到上述目的,本申请的实施例采用如下技术方案:

    第一方面,本申请的实施例提供一种访问设备标识符的方法,包括:终端接收目标应用访问第一设备标识符的请求信息;响应于该请求信息,终端确定是否存储有该目标应用访问第一设备标识符的第一访问权限;若终端确定未存储第一访问权限,则终端通过无线网络向权限管理服务器发送权限查询请求信息(权限查询请求信息中包括该目标应用的标识);权限管理服务器接收到上述权限查询请求信息后,进一步确定是否存储有该目标应用的设备标识符访问权限信息,该设备标识符访问权限信息包括:目标应用访问第一设备标识符时的第一访问权限和目标应用访问第二设备标识符时的第二访问权限;若权限管理服务器确定未存储目标应用的设备标识符访问权限信息,则权限管理服务器可向应用服务器发送应用类型请求信息,该应用类型请求信息中包括该目标应用的标识;应用服务器接收到上述应用类型请求信息后,可将该目标应用所对应的应用类型发送给权限管理服务器;那么,权限管理服务器根据该应用类型,可将与该应用类型相同的候选应用的设备标识符访问权限信息,作为该目标应用的设备标识符访问权限信息,并向终端发送该目标应用的设备标识符访问权限信息;当该设备标识符访问权限信息中的第一访问权限为允许访问第一设备标识符的虚拟值时,终端向该目标应用返回第一设备标识符的虚拟值,其中,第一设备标识符的虚拟值为对第一设备标识符的真实值经过匿名化处理后得到的。

    也就是说,在本申请中可以为不同应用设置相应的设备标识符访问权限,将不会影响应用正常运行的设备标识符以虚拟值的形式提供给应用,向应用隐藏该设备标识符的真实值,从而对设备标识符进行合理管控,避免应用过度访问设备标识符带来的用户隐私泄露和设备安全性降低的风险。

    在一种可能的设计方法中,在该权限管理服务器将与该应用类型相同的候选应用的设备标识符访问权限信息,作为该目标应用的设备标识符访问权限信息之前,还包括:该权限管理服务器接收终端发送的用户使用该目标应用时的行为数据;其中,在该权限管理服务器根据该应用类型,将与该应用类型相同的候选应用的设备标识符访问权限信息,作为该目标应用的设备标识符访问权限信息之后,还包括:该权限管理服务器根据该行为数据,对该目标应用的设备标识符访问权限进行修正,得到与用户行为对应的设备标识符访问权限。

    这样,权限管理服务器可以根据终端上报的行为数据,为各个应用在不同终端上设置与该终端上报的用户行为对应的设备标识符访问权限,从而根据用户的使用习惯,最大程度上降低应用过度访问设备标识符带来的隐私风险,提高终端的设备安全性。

    在一种可能的设计方法中,该设备标识符包括imei,imsi,meid,sn,mac地址、电话号码以及应用的账号中的至少一个。

    第二方面,本申请的实施例提供一种访问设备标识符的系统,包括:权限管理服务器,以及与该权限管理服务器通过无线网络相连的终端,终端上安装有至少一个应用,其中,该终端用于:当接收到目标应用申请访问第一设备标识符的请求时,在终端中确定是否存储有该目标应用访问第一设备标识符的第一访问权限;若未存储第一访问权限,则向权限管理服务器发送权限查询请求信息,该权限查询请求信息中包括该目标应用的标识;权限管理服务器用于:接收终端发送的查询请求信息后,根据该目标应用的标识确定该目标应用的设备标识符访问权限信息(该设备标识符访问权限信息包括:目标应用访问第一设备标识符时的第一访问权限和目标应用访问第二设备标识符时的第二访问权限);向终端发送包括该目标应用的设备标识符访问权限信息的查询响应信息;此时,终端,还用于:接收权限管理服务器发送的查询响应信息;当该设备标识符访问权限信息中的第一访问权限为允许访问第一设备标识符的虚拟值时,向该目标应用返回第一设备标识符的虚拟值,第一设备标识符的虚拟值为对第一设备标识符的真实值经过匿名化处理后得到的。

    在一种可能的设计方法中,终端向该目标应用返回第一设备标识符的虚拟值,包括:终端通过随机化算法或者泛化算法对第一设备标识符的真实值进行匿名化处理,得到第一设备标识符的虚拟值;终端将得到的第一设备标识符的虚拟值返回给该目标应用。

    由于目标应用获取到的第一设备标识符的虚拟值并不会与用户的相关信息直接关联,因此,可以降低应用访问设备标识符带来的隐私泄露风险,提高终端的设备安全性。

    在一种可能的设计方法中,该权限管理服务器根据该目标应用的标识确定该目标应用的设备标识符访问权限信息,包括:该权限管理服务器根据该目标应用的标识,在该权限管理服务器中查询是否已经存储有该目标应用的设备标识符访问权限信息;若没有存储该目标应用的设备标识符访问权限信息,则该权限管理服务器根据该目标应用的类型设置该目标应用的设备标识符访问权限信息。

    在一种可能的设计方法中,该系统还包括与该权限管理服务器相连的应用市场的运营服务器;其中,该权限管理服务器根据该目标应用的类型设置该目标应用的设备标识符访问权限信息,包括:该权限管理服务器从该运营服务器中获取该目标应用的类型;该权限管理服务器将该权限管理服务器中与该目标应用的类型相同的应用的设备标识符访问权限信息,设置为该目标应用的设备标识符访问权限信息。由于同类型应用在访问设备标识符时的用途类似,因此,根据目标应用的类别可以快速为目标应用确定出相应的设备标识符访问权限信息,提高设备标识符的访问速度。

    在一种可能的设计方法中,该权限管理服务器,还用于:接收终端上报的用户使用该目标应用时的行为数据;根据该目标应用时的行为数据,为终端设置符合用户行为的该目标应用的设备标识符访问权限信息。

    在一种可能的设计方法中,该设备标识符包括低风险类设备标识符和高风险类设备标识符,该低风险类设备标识符对该目标应用运行时产生的干扰小于该高风险类设备标识符对该目标应用运行时产生的干扰;其中,该低风险类设备标识符的访问权限为:访问该低风险类设备标识符的虚拟值;该高风险类设备标识符的访问权限为:访问该低风险类设备标识符的真实值。

    也就是说,上述访问权限可在不影响应用正常运行的前提下将应用正常运行时必须使用的设备标识符的真实值提供给应用,而当应用请求访问的设备标识符不影响应用的正常运行时,可将该设备标识符的虚拟值返回给应用,从而最大程度上降低应用过度访问设备标识符带来的隐私风险,提高终端的设备安全性。

    第三方面,本申请的实施例提供一种访问设备标识符的方法,包括:终端接收到目标应用访问第一设备标识符的请求信息;响应于该请求信息,终端确定该目标应用访问第一设备标识符时的第一访问权限,第一访问权限包括:禁止访问第一设备标识符、允许访问第一设备标识符的真实值以及允许访问第一设备标识符的虚拟值中的一种;当第一访问权限为允许访问第一设备标识符的虚拟值时,终端向该目标应用返回第一设备标识符的虚拟值,第一设备标识符的虚拟值为对第一设备标识符的真实值经过匿名化处理后得到的。

    在一种可能的设计方法中,终端确定该目标应用访问第一设备标识符时的第一访问权限,包括:终端根据该目标应用的名称,将终端内与该目标应用的名称对应的访问权限,作为该目标应用访问第一设备标识符时的第一访问权限。即以应用为粒度为每个不同应用设置相应的设备标识符访问权限,以提高设备安全性。

    在一种可能的设计方法中,终端确定该目标应用访问第一设备标识符时的第一访问权限,包括:终端根据该目标应用的类型,将终端内与该目标应用的类型对应的访问权限,作为该目标应用访问第一设备标识符时的第一访问权限。即以同类型的应用为粒度为不同类型的应用设置相应的设备标识符访问权限,以提高设备安全性。

    在一种可能的设计方法中,终端向该目标应用返回第一设备标识符的虚拟值,包括:终端查询是否保存有第一设备标识符的虚拟值;若保存有第一设备标识符的虚拟值,则终端将已保存的第一设备标识符的虚拟值返回给该目标应用。

    在一种可能的设计方法中,在终端查询是否保存有第一设备标识符的虚拟值之后,还包括:若未保存该设备标识符的虚拟值,则终端通过随机化算法或者泛化算法对第一设备标识符的真实值进行匿名化处理,得到第一设备标识符的虚拟值;终端将得到的第一设备标识符的虚拟值返回给该目标应用。

    端还可以将得到的设备标识符的虚拟值存储至终端内,这样,当后续目标应用或其他应用需要访问该设备标识符的虚拟值时,终端可从将已存储的设备标识符的虚拟值快速返回给相应的应用,以提高设备标识符的访问速度。

    在一种可能的设计方法中,在终端接收到目标应用访问第一设备标识符的请求信息之前,还包括:终端通过无线网络发送权限查询请求信息给权限管理服务器,该权限查询请求信息包括该目标应用的标识;终端接收该权限管理服务器发送的查询响应信息,该查询响应信息中包括该目标应用的设备标识符访问权限信息,该设备标识符访问权限信息中包括:该目标应用访问第一设备标识符时的第一访问权限和该目标应用访问第二设备标识符时的第二访问权限。通过预先获取设备标识符访问权限信息,后续当目标应用请求访问相应的设备标识符时,终端无需从权限管理服务器中获取便可及时按照自身已存储的设备标识符访问权限向目标应用返回设备标识符的真实值或虚拟值。

    在一种可能的设计方法中,终端确定该目标应用访问第一设备标识符时的第一访问权限,包括:终端将候选应用访问第一设备标识符时的访问权限,作为该目标应用访问第一设备标识符时的第一访问权限,该候选应用的类型与该目标应用的类型相同。

    在一种可能的设计方法中,该设备标识符包括imei,imsi,meid,sn以及mac地址中的至少一个;和/或,终端保存第一设备标识符的虚拟值;和/或,当检测到该目标应用调用预设的标识符访问函数时,终端确定接收到该目标应用访问第一设备标识符的请求信息。

    第四方面,本申请的实施例提供一种终端,包括:应用请求单元,用于:接收目标应用访问第一设备标识符的请求信息;智能配置单元,用于:确定该目标应用访问第一设备标识符时的第一访问权限,第一访问权限包括:禁止访问第一设备标识符、允许访问第一设备标识符的真实值以及允许访问第一设备标识符的虚拟值中的一种;输出单元,用于:当第一访问权限为允许访问第一设备标识符的虚拟值时,向该目标应用返回第一设备标识符的虚拟值,第一设备标识符的虚拟值为对第一设备标识符的真实值经过匿名化处理后得到的。

    在一种可能的设计方法中,该智能配置单元,具体用于:根据该目标应用的名称,将终端内与该目标应用的名称对应的访问权限,作为该目标应用访问第一设备标识符时的第一访问权限。

    在一种可能的设计方法中,该智能配置单元,具体用于:根据该目标应用的类型,将终端内与该目标应用的类型对应的访问权限,作为该目标应用访问第一设备标识符时的第一访问权限。

    在一种可能的设计方法中,该输出单元,具体用于:查询是否保存有第一设备标识符的虚拟值;若保存有第一设备标识符的虚拟值,则将已保存的第一设备标识符的虚拟值返回给该目标应用。

    在一种可能的设计方法中,终端还包括标识符处理单元,该标识符处理单元,用于:若未保存该设备标识符的虚拟值,则通过随机化算法或者泛化算法对第一设备标识符的真实值进行匿名化处理,得到第一设备标识符的虚拟值;该输出单元,还用于:将得到的第一设备标识符的虚拟值返回给该目标应用。

    在一种可能的设计方法中,终端还包括:通信单元,用于:通过无线网络发送权限查询请求信息给权限管理服务器,该权限查询请求信息包括该目标应用的标识;接收该权限管理服务器发送的查询响应信息,该查询响应信息中包括该目标应用的设备标识符访问权限信息,该设备标识符访问权限信息中包括:该目标应用访问第一设备标识符时的第一访问权限和该目标应用访问第二设备标识符时的第二访问权限。

    在一种可能的设计方法中,该智能配置单元,具体用于:将候选应用访问第一设备标识符时的访问权限,作为该目标应用访问第一设备标识符时的第一访问权限,该候选应用的类型与该目标应用的类型相同。

    在一种可能的设计方法中,该应用请求单元,具体用于:当检测到该目标应用调用预设的标识符访问函数时,确定接收到该目标应用访问第一设备标识符的请求信息;和/或,该智能配置单元,还用于:保存第一设备标识符的虚拟值;其中,该设备标识符包括imei,imsi,meid,sn以及mac地址中的至少一个。

    第五方面,本申请的实施例提供一种终端,包括:处理器、存储器、总线和通信接口;该存储器用于存储计算机执行指令,该处理器与该存储器通过该总线连接,当终端运行时,该处理器执行该存储器存储的该计算机执行指令,以使终端执行上述任一项访问设备标识符的方法。

    第六方面,本申请实施例提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在上述任一项终端上运行时,使得终端执行上述任一项访问设备标识符的方法。

    第七方面,本申请实施例提供一种包含指令的计算机程序产品,当其在上述任一项终端上运行时,使得终端执行上述任一项访问设备标识符的方法。

    附图说明

    图1为本申请实施例提供的一种设备标识符访问的系统架构图一;

    图2为本申请实施例提供的一种访问设备标识符的方法的交互示意图;

    图3为本申请实施例提供的一种设备标识符访问的系统架构图二;

    图4为本申请实施例提供的一种访问设备标识符的方法的应用场景示意图一;

    图5为本申请实施例提供的一种访问设备标识符的方法的应用场景示意图二;

    图6为本申请实施例提供的一种终端的结构示意图一;

    图7为本申请实施例提供的一种安卓系统架构的示意图;

    图8为本申请实施例提供的一种访问设备标识符的方法的流程示意图;

    图9为本申请实施例提供的一种访问设备标识符的方法的应用场景示意图三;

    图10为本申请实施例提供的一种访问设备标识符的方法的应用场景示意图四;

    图11为本申请实施例提供的一种访问设备标识符的方法的应用场景示意图五;

    图12为本申请实施例提供的一种访问设备标识符的方法的应用场景示意图六;

    图13为本申请实施例提供的一种访问设备标识符的方法的应用场景示意图七;

    图14为本申请实施例提供的一种访问设备标识符的方法的应用场景示意图八;

    图15为本申请实施例提供的一种终端的结构示意图二;

    图16为本申请实施例提供的一种终端的结构示意图三。

    具体实施方式

    以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。

    本申请实施例提供的一种访问设备标识符的方法,可应用于图1所示的设备标识符访问系统。如图1所示,该系统包括权限管理服务器11,以及与该权限管理服务器11连接的至少一个终端,例如,图1所示的终端12、终端13、终端14。

    其中,权限管理服务器11内存储有至少一个应用的设备标识符访问权限信息。对于某个应用的设备标识符访问权限信息,其具体包括该应用的标识,以及该应用访问至少两个不同设备标识符时的访问权限。

    以应用a的设备标识符访问权限信息为例,其设备标识符访问权限信息中包括应用a的包名,以及应用a访问第一设备标识符时的第一访问权限,以及应用a访问第二设备标识符时的第二访问权限。其中,该第一访问权限具体用于指示应用a请求访问终端的第一设备标识符时,终端是否允许应用a访问第一设备标识符,或者,当允许应用a访问第一设备标识符时,终端为应用a提供的第一设备标识符为真实值还是虚拟值。类似的,该第二访问权限具体用于指示应用a请求访问终端的第二设备标识符时,终端是否允许应用a访问第二设备标识符,或者,当允许应用a访问第二设备标识符时,终端为应用a提供的第二设备标识符为真实值还是虚拟值。

    示例性的,该设备标识符具体可以包括终端的imei,imsi,meid,sn、mac地址以及电话号码等。

    其中,imei是由15位数字组成的电子串号,它与每台终端一一对应,而且该电子串号是全世界唯一的。每个终端在组装完成后都将被赋予一个全球唯一的一组号码,这个号码从生产到交付使用都将被制造生产的厂商所记录。通过imei码可以识别终端,追踪地理位置,记录用户拨打电话、发送短信以及上网等行为。

    imsi可储存在sim卡中,用于区别移动用户的有效信息。imsi的总长度不超过15位,由移动国家码(mobilecountrycode,mcc)、移动网络号码(mobilenetworkcode,mnc)以及移动用户的识别号码(mobilesubscriberidentificationnumber,msin)构成,其中,mcc是移动用户所属国家代号,占3位数字;mnc是移动网号码,最多由2位数字组成,用于识别移动用户所归属的移动通信网;msin是移动用户识别码,用以识别某一移动通信网中的移动用户。

    meid是码分多址(codedivisionmultipleaccess,cdma)终端的身份识别码,也是用于识别不同cdma终端(例如cdma手机或平板电脑)的识别码。通过这个识别码,网络侧的基站或服务器可以对该cdma终端进行跟踪和监管。

    sn是终端的序列号,有时也指机器码,是有些软件为了防止盗版,采取了一定的保护措施,在用户注册的时候会根据用户软件所安装的计算机软硬件信息生成唯一的识别码(即sn),可防止自己的软件被用户盗用。

    mac地址是由网卡决定的,对于不具有imsi的终端(例如平板电脑等),可通过其mac地址追踪终端的位置。

    电话号码,例如手机的手机号码,也可称为移动用户号码簿号码(mobiledirectorynumber,mdn),即用户作被叫时,主叫用户所需拨的号码,运营商可将手机号码保存在sim卡中。以安卓系统为例,终端可通过系统服务中的电话服务(telephony_service)调用相应的函数,例如,getline1number()函数,获取sim卡中的手机号码。

    需要说明的是,本申请实施例中涉及的设备标识符可以是与终端硬件相关的标识符,例如,imei,imsi,meid,sn以及mac地址等,也可以是终端在软件层面获取的诸如全局唯一标识符(globallyuniqueidentifier,guid)、通用唯一识别码(universallyuniqueidentifier,uuid)、实例标识符(instanceid)、安卓设备的标识符(androidid)等,本申请实施例对设备标识符的具体形式不做任何限制。

    可以理解的是,在本申请其他一些实施例中,上述设备标识符还可以是其他可以标识终端且与用户信息关联标识,例如,用户登录某应用使用的账号等。

    由于这些设备识别码都与用户的相关信息关联,例如,通过终端的imei号可以查找到持有该终端的用户的姓名、电话以及住址等用户的相关信息。因此,如果应用能随意访问终端内的这些设备标识符(例如imei号),则会使终端的设备安全性降低。

    为了避免应用随意访问这些设备标识符而带来设备安全性降低的技术问题,结合图1,本申请实施例提供一种设备标识符的访问方法,如图2所述,该方法具体可以包括:

    步骤s301、终端接收到目标应用申请访问第一设备标识符的请求。

    终端内安装的各个应用在运行时可以通过调用相关的标识符访问函数访问imei,imsi,meid,sn以及mac地址等设备标识符。例如,应用a可以调用framework层中的getmeid()函数请求访问meid,该函数的返回值即为meid的具体取值。那么,当终端检测到目标应用调用getmeid()函数时,可认为接收到目标应用申请访问与对getmeid()函数对应的meid(即第一设备标识符)的请求。

    步骤s302、终端确定上述目标应用访问第一设备标识符时的第一访问权限。

    在本申请一些实施例中,终端可以先在自身的存储器中查找是否存储有目标应用访问第一设备标识符时的第一访问权限。

    具体的,权限管理服务器11可为一个或多个应用设置相应的设备标识符访问权限信息并存储,并可以在特定的情况下通过无线网络下发至终端,这样,终端在接收到某个应用的设备标识符访问权限信息后,可将该信息存储在存储器中。当接收到目标应用申请某一个访问设备标识符(例如上述第一设备标识符)的请求时,可以首先在自身的存储器中查找已下载的设备标识符访问权限信息中是否存储有与上述目标应用和第一设备标识符对应的第一访问权限。

    具体的,对于不影响应用正常运行的低风险类设备标识符,例如,对于拍照类应用而言,是否得到imei、imsi、meid、sn或mac地址的真实值并不会导致该应用运行异常,那么,权限管理服务器11可以设置这类应用访问imei、imsi、meid、sn或mac地址时的设备标识符访问权限为:访问虚拟值。这样,当这些应用向终端请求访问上述设备标识符时,终端可以将该设备标识符的真实值向应用隐藏起来,而将该设备标识符的虚拟值提供给应用,避免应用通过真实的设备标识符获取到用户隐私,从而实现了对设备标识符的合理管控,避免应用过度访问设备标识符带来的用户隐私泄露和设备安全性降低的风险。

    而对于影响应用正常运行的高风险类设备标识符,例如,对于支付宝等支付类应用而言,为了支付安全,这类应用往往需要根据imei对用户的身份进行鉴权,否则将无法完成支付。那么,权限管理服务器11可以设置这类应用访问imei时的设备标识符访问权限为:访问真实值,并设置这类应用访问imsi、meid、sn以及mac地址时的设备标识符访问权限为:访问虚拟值,从而在提高设备安全性的同时保证应用能够正常运行。

    当终端确定未存储目标应用访问上述第一设备标识符时的第一访问权限信息时,终端可继续执行下述步骤s303:

    步骤s303、终端通过无线网络向权限管理服务器11发送权限查询请求信息,该权限查询请求信息中包括上述目标应用的标识。

    如果终端没有在存储器中查找到目标应用访问上述设备标识符时的访问权限信息,则说明终端未从权限管理服务器中下载与该目标应用对应的设备标识符访问权限信息。那么,为了保证目标应用能够正常运行,且降低目标应用访问上述设备标识符时带来的设备安全性风险,终端可向权限管理服务器11发送权限查询请求信息,即请求权限管理服务器向终端提供目标应用的设备标识符访问权限信息。

    其中,上述权限查询请求信息中可以携带上述目标应用的标识,例如目标应用的包名。另外,为了方便权限管理服务器识别发送上述权限查询请求信息的终端,该权限查询请求信息中还可以携带该终端的标识,以便权限管理服务器查找到目标应用的设备标识符访问权限信息后,根据该终端的标识将确定的设备标识符访问权限发送给对应的终端。

    当然,除了上述目标应用的包名外,可以使用其他能够唯一标识目标应用的参数,例如目标应用的名称,目标应用的版本号等作为上述目标应用的标识。

    示例性的,终端可通过wi-fi、蓝牙或者移动蜂窝网络等形式的无线网络向权限管理服务器发送上述权限查询请求信息。

    步骤s304、权限管理服务器接收到上述查询请求信息后,可根据目标应用的标识确定与其对应的设备标识符访问权限信息。

    具体的,权限管理服务器接收到上述查询请求信息后,可根据查询请求信息中携带的目标应用的标识,在权限管理服务器中查询是否已经存储有目标应用的设备标识符访问权限信息。如果有存储目标应用的设备标识符访问权限信息,则权限管理服务器可继续执行下述步骤s305-s306;如果没有存储目标应用的设备标识符访问权限信息,则权限管理服务器可以根据目标应用的类型设置与其类型对应的设备标识符访问权限信息。

    示例性的,如图3所示,权限管理服务器11还可以与应用市场的运营服务器15相连,这样,权限管理服务器11可以从运营服务器15中获取各个应用的类型,例如,拍照类应用、地图类应用等,进而根据每个应用的类型设置与其类型对应的设备标识符访问权限。

    例如,终端向权限管理服务器发送的权限查询请求信息中携带有微信的包名,那么,权限管理服务器可在自身的存储器中查找是否存储有与微信的包名对应的设备标识符访问权限信息,如果没有查找到,则权限管理服务器可向运营服务器15发送包含有微信包名的请求,运营服务器15接收到该请求后,可根据微信包名在应用市场中确定微信的类别为即时通讯类应用,那么,运营服务器15可将微信的类别:即时通讯类应用携带在响应信息中发送给权限管理服务器。进而,权限管理服务器可在自身的存储器中查找已有的即时通讯类应用(例如qq)的设备标识符访问权限信息,并将qq的设备标识符访问权限信息设置为微信的设备标识符访问权限信息。

    在本申请的一些实施例中,当应用市场发布新应用(例如应用b)时,运营服务器15可将应用b的相关信息,例如应用名称、应用类别等发送至权限管理服务器,进而,权限管理服务器可根据应用b的类型,将与应用b类型相同或相似的应用的设备标识符访问权限作为应用b的设备标识符访问权限。

    例如,当运营服务器15在应用市场发布将应用名称为淘宝、应用类别为购物类应用的新应用时,运营服务器15可将淘宝的包名、应用类别等信息发送给权限管理服务器,进而,权限管理服务器可在自身存储器中查找已有的其他购物类应用的设备标识符访问权限信息,并将查找到的其他购物类应用的设备标识符访问权限信息,设置为淘宝的设备标识符访问权限信息。这样,后续权限管理服务器接收到终端针对淘宝应用发送的权限查询请求信息时,可及时在自身的存储器中将淘宝的设备标识符访问权限信息反馈给终端。

    又或者,如果权限管理服务器中还未设置购物类应用的设备标识符访问权限,则权限管理服务器可以为应用b设置一个默认的初始访问权限,例如,该初始访问权限为:应用b在访问所有设备标识符时均返回虚拟值。进而,权限管理服务器可结合应用市场、大数据平台中的数据进行机器学习和分析,对该初始访问权限逐步进行校正,最终得到适合应用b的设备标识符访问权限。

    示例性的,当设备标识符包括imei,sn以及mac地址时,对于未设置设备标识符访问权限的应用b,权限管理服务器可以设置应用b访问上述设备标识符的初始访问权限均为:返回设备标识符的虚拟值。进而,权限管理服务器可以检测在应用b的运行过程中返回imei,sn以及mac地址的虚拟值时应用b是否出现运行异常。如果没有出现运行异常,则可以将应用b访问imei,sn以及mac地址的访问权限确定为:返回设备标识符的虚拟值。如果出现运行异常现象,则权限管理服务器可通过排列组合的方法,将imei,sn以及mac地址中的一个设备标识符的真实值返回给应用b,检测应用b是否会出现运行异常。如果仍然出现运行异常,则权限管理服务器可继续通过排列组合的方法,将imei,sn以及mac地址中的两个设备标识符的真实值返回给应用b,检测应用b是否会出现运行异常现象,直至应用b能够正常运行时,可将此时测试使用的访问权限作为应用b最终的设备标识符访问权限信息。

    当然,每个应用对应的设备标识符访问权限信息在使用和维护过程中,权限管理服务器都可以通过机器学习或终端上报的用户行为,对其设备标识符访问权限信息进行更新,本申请实施例对此不做任何限制。

    另外,在本申请其他一些实施例中,权限管理服务器和权限管理服务器13可以是独立运行的两个不同网络实体,也可以是集成在一个网络实体中,本申请实施例对此不作任何限制。

    至此,通过步骤s304,权限管理服务器可根据上述查询请求信息中目标应用的标识,确定与其对应的设备标识符访问权限,例如,目标应用访问imei,sn以及mac地址的访问权限为:返回设备标识符的虚拟值,而目标应用访问imsi的访问权限为:返回设备标识符的真实值。

    步骤s305、权限管理服务器向终端发送查询响应信息,该查询响应信息中包括目标应用的设备标识符访问权限信息。

    具体的,在步骤s305中,权限管理服务器可以将步骤s304确定的目标应用的设备标识符访问权限信息携带在查询响应信息中,进而,根据终端发送的查询请求信息中携带的终端标识,将上述查询响应信息通过无线网络发送给对应的终端,即步骤s303中发送上述查询请求信息的终端。

    步骤s306、终端接收到上述查询响应信息后,根据该查询响应信息中携带的访问权限信息向目标应用提供上述设备标识符的真实值或虚拟值。

    示例性的,以目标应用为网络通话类应用举例,目标应用在运行过程中需要使用imei的真实值识别主叫方或被叫方的归属地,否则目标应用将无法实现通话功能,而目标应用在运行过程中获取mac地址和sn是为了对目标应用所在的终端进行标记,以便目标应用的应用权限管理服务器统计用户的拨号习惯等信息。

    也就是说,imei为目标应用运行时必须使用的设备标识符,而向目标应用提供mac地址和sn的虚拟值时不会不影响目标应用的正常运行。那么,权限管理服务器可将与目标应用对应的设备标识符的访问权限设置为:允许目标应用访问imei时为目标应用提供真实值,访问mac地址和sn时为目标应用提供虚拟值。并且,将该设备标识符的访问权限携带在查询响应信息中发送给终端。

    这样,如图4中的(a)所示,当终端检测到目标应用调用相关接口请求访问imei时,终端可按照上述访问权限将imei的真实值返回给目标应用;如图4中的(b)所示,当终端检测到目标应用调用相关接口请求访问mac地址(或sn)时,终端可按照上述访问权限将mac地址(或sn)的虚拟值返回给目标应用。其中,将终端的某个设备标识符设置为虚拟值的方法将在后续实施例中详细阐述,故此处不再赘述。

    也就是说,在本申请中可以为不同应用设置相应的设备标识符访问权限,将不会影响应用正常运行的设备标识符以虚拟值的形式提供给应用,向应用隐藏该设备标识符的真实值,从而对设备标识符进行合理管控,避免应用过度访问设备标识符带来的用户隐私泄露和设备安全性降低的风险。

    另外,在本申请其他一些实施例中,在终端接收到目标应用对应的设备标识符访问权限信息后,可以对该信息进行保存,以便下次在查询相关应用的访问权限的时候,不用去权限管理服务器查询,这样可节约网络资源,同时,也提高了终端处理事务的效率。

    进一步地,在本申请的一些实施例中,对于同一个应用或同一类应用,权限管理服务器还可以收集用户在各自终端上的行为数据,向终端发送符合用户行为的设备标识符访问权限。

    例如,用户a使用终端1时总是关闭应用a提供的位置服务,而用户b使用终端2时一直开启着应用a提供的位置服务,如图5所示,终端1可以将用户a的行为数据上报给权限管理服务器,终端2也可以将用户b的行为数据上报给权限管理服务器。那么,权限管理服务器根据用户a的行为可以确定出应用a在终端1上运行时不需要通过真实的mac地址进行定位,而根据用户b的行为可以确定出应用a在终端2上运行时需要通过真实的mac地址进行定位。

    因此,仍如图5所示,权限管理服务器可以将应用a在终端1上运行时的设备标识符访问权限设置为:允许应用a访问mac地址的虚拟值,而权限管理服务器将应用a在终端2上运行时的设备标识符访问权限设置为:允许应用a访问mac地址的真实值。

    这样,权限管理服务器可以根据终端上报的用户行为数据,为各个应用在不同终端上运行时设置与该终端上报的用户行为对应的设备标识符访问权限,从而根据用户的使用习惯,最大程度上降低应用过度访问设备标识符带来的隐私风险,提高终端的设备安全性。

    本申请实施例还提供的一种访问设备标识符的方法,可应用于手机、可穿戴设备、增强现实(augmentedreality,ar)\虚拟现实(virtualreality,vr)设备、平板电脑、笔记本电脑、超级移动个人计算机(ultra-mobilepersonalcomputer,umpc)、上网本、个人数字助理(personaldigitalassistant,pda)等任意终端上,当然,在以下实施例中,对该终端的具体形式不作任何限制。

    如图6所示,上述实施例中的终端可以为手机100。下面以手机100为例对实施例进行具体说明。应该理解的是,图示手机100仅是上述终端的一个范例,并且手机100可以具有比图中所示出的更多的或者更少的部件,可以组合两个或更多的部件,或者可以具有不同的部件配置。

    如图6所示,手机100具体可以包括:处理器101、射频(radiofrequency,rf)电路102、存储器103、触摸屏104、蓝牙装置105、一个或多个传感器106、无线保真(wirelessfidelity,wi-fi)装置107、定位装置108、音频电路109、外设接口110以及电源系统111等部件。这些部件可通过一根或多根通信总线或信号线(图6中未示出)进行通信。本领域技术人员可以理解,图6中示出的硬件结构并不构成对手机的限定,手机100可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。

    下面结合图6对手机100的各个部件进行具体的介绍:

    处理器101是手机100的控制中心,利用各种接口和线路连接手机100的各个部分,通过运行或执行存储在存储器103内的应用程序,以及调用存储在存储器103内的数据,执行手机100的各种功能和处理数据。在一些实施例中,处理器101可包括一个或多个处理单元;举例来说,处理器101可以是华为技术有限公司制造的麒麟960芯片。在本申请一些实施例中,上述处理器101还可以包括指纹验证芯片,用于对采集到的指纹进行验证。

    射频电路102可用于在收发信息或通话过程中,无线信号的接收和发送。具体地,射频电路102可以将基站的下行数据接收后,给处理器101处理;另外,将涉及上行的数据发送给基站。通常,射频电路包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外,射频电路102还可以通过无线通信和其他设备通信。所述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统、通用分组无线服务、码分多址、宽带码分多址、长期演进、电子邮件、短消息服务等。

    存储器103用于存储应用程序以及数据,处理器101通过运行存储在存储器103的应用程序以及数据,执行手机100的各种功能以及数据处理。存储器103主要包括存储程序区以及存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等);存储数据区可以存储根据使用手机100时所创建的数据(比如音频数据、电话本等)。此外,存储器103可以包括高速随机存取存储器(ramdomaccessmemory,ram),还可以包括非易失存储器,例如磁盘存储器件、闪存器件或其他易失性固态存储器件等。存储器103可以存储各种操作系统,例如,苹果公司所开发的操作系统,谷歌公司所开发的操作系统等。上述存储器103可以是独立的,通过上述通信总线与处理器101相连接;存储器103也可以和处理器101集成在一起。

    触摸屏104具体可以包括触控板104-1和显示器104-2。

    其中,触控板104-1可采集手机100的用户在其上或附近的触摸事件(比如用户使用手指、触控笔等任何适合的物体在触控板104-1上或在触控板104-1附近的操作),并将采集到的触摸信息发送给其他器件(例如处理器101)。其中,用户在触控板104-1附近的触摸事件可以称之为悬浮触控;悬浮触控可以是指,用户无需为了选择、移动或拖动目标(例如图标等)而直接接触触控板,而只需用户位于终端附近以便执行所想要的功能。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型来实现触控板104-1。

    显示器(也称为显示屏)104-2可用于显示由用户输入的信息或提供给用户的信息以及手机100的各种菜单。可以采用液晶显示器、有机发光二极管等形式来配置显示器104-2。触控板104-1可以覆盖在显示器104-2之上,当触控板104-1检测到在其上或附近的触摸事件后,传送给处理器101以确定触摸事件的类型,随后处理器101可以根据触摸事件的类型在显示器104-2上提供相应的视觉输出。虽然在图6中,触控板104-1与显示屏104-2是作为两个独立的部件来实现手机100的输入和输出功能,但是在某些实施例中,可以将触控板104-1与显示屏104-2集成而实现手机100的输入和输出功能。可以理解的是,触摸屏104是由多层的材料堆叠而成,本申请实施例中只展示出了触控板(层)和显示屏(层),其他层在本申请实施例中不予记载。另外,触控板104-1可以以全面板的形式配置在手机100的正面,显示屏104-2也可以以全面板的形式配置在手机100的正面,这样在手机的正面就能够实现无边框的结构。

    另外,手机100还可以具有指纹识别功能。例如,可以在手机100的背面(例如后置摄像头的下方)配置指纹识别器112,或者在手机100的正面(例如触摸屏104的下方)配置指纹识别器112。又例如,可以在触摸屏104中配置指纹采集器件112来实现指纹识别功能,即指纹采集器件112可以与触摸屏104集成在一起来实现手机100的指纹识别功能。在这种情况下,该指纹采集器件112配置在触摸屏104中,可以是触摸屏104的一部分,也可以以其他方式配置在触摸屏104中。本申请实施例中的指纹采集器件112的主要部件是指纹传感器,该指纹传感器可以采用任何类型的感测技术,包括但不限于光学式、电容式、压电式或超声波传感技术等。

    手机100还可以包括蓝牙装置105,用于实现手机100与其他短距离的终端(例如手机、智能手表等)之间的数据交换。本申请实施例中的蓝牙装置可以是集成电路或者蓝牙芯片等。

    手机100还可以包括至少一种传感器106,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节触摸屏104的显示器的亮度,接近传感器可在手机100移动到耳边时,关闭显示器104-2的电源。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于手机100还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。

    wi-fi装置107,用于为手机100提供遵循wi-fi相关标准协议的网络接入,手机100可以通过wi-fi装置107接入到wi-fi接入点,进而帮助用户收发电子邮件、浏览网页和访问流媒体等,它为用户提供了无线的宽带互联网访问。在其他一些实施例中,该wi-fi装置107也可以作为wi-fi无线接入点,可以为其他终端提供wi-fi网络接入。

    定位装置108,用于为手机100提供地理位置。可以理解的是,该定位装置108具体可以是全球定位系统(globalpositioningsystem,gps)或北斗卫星导航系统、俄罗斯glonass等定位系统的接收器。定位装置108在接收到上述定位系统发送的地理位置后,将该信息发送给处理器101进行处理,或者发送给存储器103进行保存。在另外的一些实施例中,该定位装置108还可以是辅助全球卫星定位系统(assistedglobalpositioningsystem,agps)的接收器,agps系统通过作为辅助服务器来协助定位装置108完成测距和定位服务,在这种情况下,辅助定位服务器通过无线通信网络与终端例如手机100的定位装置108(即gps接收器)通信而提供定位协助。在另外的一些实施例中,该定位装置108也可以是基于wi-fi接入点的定位技术。由于每一个wi-fi接入点都有一个全球唯一的媒体介入控制(mediaaccesscontrol,mac)地址,终端在开启wi-fi的情况下即可扫描并收集周围的wi-fi接入点的广播信号,因此可以获取到wi-fi接入点广播出来的mac地址;终端将这些能够标示wi-fi接入点的数据(例如mac地址)通过无线通信网络发送给位置服务器,由位置服务器检索出每一个wi-fi接入点的地理位置,并结合wi-fi广播信号的强弱程度,计算出该终端的地理位置并发送到该终端的定位装置108中。

    音频电路109、扬声器113、麦克风114可提供用户与手机100之间的音频接口。音频电路109可将接收到的音频数据转换后的电信号,传输到扬声器113,由扬声器113转换为声音信号输出;另一方面,麦克风114将收集的声音信号转换为电信号,由音频电路109接收后转换为音频数据,再将音频数据输出至rf电路102以发送给比如另一手机,或者将音频数据输出至存储器103以便进一步处理。

    外设接口110,用于为外部的输入/输出设备(例如键盘、鼠标、外接显示器、外部存储器、用户识别模块卡等)提供各种接口。例如通过通用串行总线(universalserialbus,usb)接口与鼠标连接,通过用户识别模块卡卡槽上的金属触点与电信运营商提供的用户识别模块卡(subscriberidentificationmodule,sim)卡进行连接。外设接口110可以被用来将上述外部的输入/输出外围设备耦接到处理器101和存储器103。

    手机100还可以包括给各个部件供电的电源装置111(比如电池和电源管理芯片),电池可以通过电源管理芯片与处理器101逻辑相连,从而通过电源装置111实现管理充电、放电、以及功耗管理等功能。

    尽管图6未示出,手机100还可以包括摄像头(前置摄像头、后置摄像头)、闪光灯、微型投影装置、近场通信(nearfieldcommunication,nfc)装置等,在此不再赘述。

    进一步地,上述手机100中可以运行android或ios等操作系统,以android操作系统为例,如图7所示,android操作系统可以划分为四层,从高层到低层分别是应用程序层201(即app层)、应用程序框架层202(即framework层)、系统运行库层203(即libraries层)和linux内核层204。

    其中,linux内核层204可用于控制手机100的安全(security),存储器管理(memorymanagement),程序管理(processmanagement),网络堆栈(networkstack),驱动程序模型(drivermodel)等功能。linux内核层204同时也作为硬件(例如,cpu、网卡以及内存等)和软件栈之间的抽象层,它可隐藏具体硬件细节从而为上层(系统运行库层203、应用程序框架层202以及应用程序层201)提供统一的服务。

    系统运行库层203中包含一些c/c 库,例如,媒体库、系统c库以及显示管理库(surfacemanager)等,这些库能被android系统中不同的组件使用,系统运行库层203可通过framework层202为开发人员提供服务。

    framework层202为开发人员提供了一个可以完全访问应用程序所使用的api框架。具体的,framework层202为开发应用程序提供了非常多的api,通过调用相应的api可以构造满足相关业务需求的app。

    应用程序层201主要包括用java语言编写的app,用户在操作app上的操作界面时,通过调用framework层202中的相关api,与系统运行库层203或linux内核层204进行交互,实现与该操作界面相对应的功能。

    其中,网卡等硬件的设备标识符可以存储在linux内核层204中,而应用程序层201内的各个app在运行过程中可以通过调用framework层202中的相关api访问linux内核层204中存储的imei,imsi,meid,sn以及mac地址等设备标识符,进而使用这些设备标识符做相关处理。例如,微信获取到终端的imei后可使用该imei对用户的聊天记录加密,防止用户的聊天记录被外泄。

    还有一些应用通过访问终端的imei等设备标识符获取用户的个人信息和用户行为,以方便建立大数据库为用户推送与其相关的推送内容。例如,根据终端的imei获取用户的身份信息,以便根据用户的身份信息进行广告推送。

    也就是说,对于不同的应用,有一些设备标识符是终端在正常运行过程中必须使用的,还有一些设备标识符是应用为了对终端进行标记,以便网络侧的服务器将该终端作为样本进行大数据分析,而这些设备标识符的访问结果并不会影响应用的正常运行。但是,终端在访问这些设备标识符时,由于该设备标识符与用户的相关信息直接关联,因此很容易带来用户隐私泄露的风险,进而终端的设备安全性降低。

    对此,在本申请的一些实施例中,为了避免应用随意访问终端内的设备标识符带来的设备安全性问题,可预先为终端内的各个应用设置相应设备标识符的访问权限。以应用a为例,与其对应的设备标识符1的访问权限具体可包括是否允许应用a访问设备标识符1,若允许应用a访问设备标识符1,则该访问权限中还可以进一步规定允许应用a访问的设备标识符1具体为设备标识符1真实值或虚拟值。其中,设备标识符的虚拟值是指对该设备标识符的真实值进行匿名化处理后得到的虚拟设备标识符,通过虚拟设备标识符无法关联到用户的相关信息。

    也就是说,预先存储的这些访问权限可在不影响应用正常运行的前提下将应用正常运行时必须使用的设备标识符的真实值提供给应用,而当应用请求访问的设备标识符不影响应用的正常运行时,可将该设备标识符的虚拟值返回给应用,从而最大程度上降低应用过度访问设备标识符带来的隐私风险,提高终端的设备安全性。

    以下实施例中的方法均可以在上述具有图6所示的硬件的终端中实现。

    本申请的实施例提供一种访问设备标识符的方法,如图8所示,该方法可以包括:

    步骤s401、终端下载至少一个应用的设备标识符访问权限信息。

    具体的,网络侧的服务器中可存储至少一个应用的设备标识符访问权限信息,每个应用的设备标识符访问权限信息中至少包括两个设备标识符的访问权限。以包括第一设备标识符的第一访问权限和第二设备标识符的第二访问权限为例,第一访问权限用于指示是否允许该应用访问第一设备标识符,以及,当允许该应用访问第一设备标识符时,为目标应用提供第一设备标识符的真实值还是虚拟值;类似的,第二访问权限用于指示是否允许该应用访问第二设备标识符,以及,当允许该应用访问第二设备标识符时,为目标应用提供第二设备标识符的真实值还是虚拟值。

    对于任意一个应用的设备标识符访问权限,该访问权限可保证该应用在能够正常运行的前提下尽可能向应用提供设备标识符的虚拟值,隐藏设备标识符的真实值,避免应用过度使用设备标识符的真实值带来隐私泄露的安全隐患,提高终端的设备安全性。

    示例性的,应用a访问的设备标识符包括imei,sn以及mac地址,其中,sn为应用a在终端上运行时必须使用的设备标识符,而imei和mac地址并非应用a在终端上运行时必须使用的设备标识符。那么,权限管理服务器中生成的应用a对设备标识符sn的访问权限可以为:返回真实值,应用a对设备标识符imei和mac地址的访问权限可以为:返回虚拟值。

    在本申请的一些实施例中,如图9所示,每当终端正在安装或者安装完成了新应用时,可触发终端从上述权限管理服务器中将与该新安装的应用对应的设备标识符访问权限下载至终端存储器,后续,该新安装的应用在终端内运行时可按照已下载的设备标识符访问权限访问设备标识符。

    在本申请的另一些实施例中,也可以由终端为目标应用确定其设备标识符访问权限。例如,当终端正在下载新应用时,可以从应用市场中获取正在下载的新应用的包名和类别等信息,进而,终端可根据该新应用所属的应用类别,将终端内已安装的同类别的应用的设备标识符访问权限存储至存储器中,作为该新应用的设备标识符访问权限。这样,后续该新应用请求访问设备标识符时,终端无需从权限管理服务器中获取便可及时按照自身已存储的该新应用的设备标识符访问权限向该新应用返回设备标识符的真实值或虚拟值。

    在本申请的另一些实施例中,终端也可以向服务器发送获取至少一个应用的设备标识符访问权限的请求,由服务器根据该请求从上述权限管理服务器中查找相应的设备标识符访问权限下发给终端。

    在本申请的其他一些实施例中,终端还可以周期性的从上述权限管理服务器中下载各个应用的设备标识符访问权限,本申请实施例对各个应用的设备标识符访问权限的下载时机和具体下载方法不做限制。

    步骤s402、终端检测到目标应用请求访问第一设备标识符的行为。

    终端内安装的各个应用在运行时可以通过调用相关的标识符访问函数访问imei,imsi,meid,sn以及mac地址等设备标识符。例如,应用a可以调用framework层中的getmeid()函数请求访问meid,该函数的返回值即为meid的具体取值。上述调用行为可以被认为是请求访问第一设备标识符的行为。

    那么,在步骤s402中,当终端检测到某个应用调用标识符访问函数时(此时该应用即为目标应用),可确认该目标应用请求访问与该标识符访问函数对应的第一设备标识符的行为。

    步骤s403、终端确定目标应用访问第一设备标识符时的第一访问权限。

    当检测到目标应用请求访问设备标识符的行为后,与现有技术中应用访问真实的设备标识符不同的是,在步骤s403中,终端可从步骤s401中已下载多个设备标识符访问权限中查询与上述目标应用对应的访问权限(即上述第一访问权限),以便后续根据该第一访问权限访问相关设备标识符。

    在本申请的一些实施例中,如图10所示,终端内存储有至少一个应用的设备标识符访问权限,其中,应用a的设备标识符访问权限为:允许应用a访问meid的真实值,允许应用a访问sn以及mac地址的虚拟值;应用b的设备标识符访问权限为:允许应用b访问meid、sn以及mac地址的虚拟值;应用c的设备标识符访问权限为:禁止应用c访问meid、sn以及mac地址。其中,图10中以meid、sn以及mac地址作为设备标识符举例说明。

    那么,在步骤s403中,当目标应用准备访问相关设备标识符,例如,应用a调用标识符访问函数访问mac地址时,终端可在图10所示的已存储的设备标识符访问权限中查找应用a访问mac地址时的访问权限(即第一访问权限),该第一访问权限为:允许应用a访问mac地址的虚拟值。

    在本申请的另一些实施例中,终端还可以按照应用类型存储不同应用类型对应的设备标识符访问权限,如图11所示,按照应用类型可将终端内的应用划分为即时通讯类应用、购物类应用和游戏类应用。其中,即时通讯类应用的设备标识符访问权限为:允许即时通讯类应用访问imei的真实值,允许即时通讯类应用访问sn以及mac地址的虚拟值;购物类应用的设备标识符访问权限为:允许购物类应用访问imei、sn以及mac地址的虚拟值;游戏类应用的设备标识符访问权限为:禁止游戏类应用访问imei、sn以及mac地址。其中,图11中以imei、sn以及mac地址作为设备标识符举例说明。

    那么,在步骤s403中,当目标应用准备访问相关设备标识符,例如,应用a调用标识符访问函数访问imei时,终端可首先确定应用a的类型,例如,可根据下载应用a时应用a在应用市场中的分类确定其类型为即时通讯类应用,进而,终端可在图11所示的设备标识符访问权限中查找即时通讯类应用访问imei时的访问权限(即第一访问权限),该第一访问权限为:允许即时通讯类应用访问imei的真实值。

    需要说明的是,图11中仅以即时通讯类应用、购物类应用和游戏类应用为例阐述了不同应用类型所对应的设备标识符访问权限可以不相同。可以理解的是,本领域技术人员可以根据实际经验或实际应用场景对上述应用类型进行划分,例如,将终端内安装的应用划分为系统自带的内部应用和第三方平台中下载的外部应用这两种类型的应用,本申请实施例对此不做任何限制。

    又或者,终端还可以存储不同应用的账号、终端的电话号码或者联系人的电话号码等设备标识符的访问权限。例如,对于非拨号类应用,由于联系人的电话号码涉及到用户的隐私,且这类应用运行时通常不会使用联系人的电话,因此,可设置这类应用访问联系人电话号码时的访问权限为:访问联系人电话号码的虚拟值;而对于拨号类应用,如果不向这类应用提供联系人的电话号码则无法实现拨号功能,因此,可设置这类应用访问联系人电话号码时的访问权限为:访问联系人电话号码的真实值。

    这样,当终端检测到目标应用请求访问联系人电话号码的行为时,可根据目标应用是否属于拨号类应用,确定是否为目标应用提供联系人电话号码的真实值。

    另外,如果终端在上述已下载的设备标识符访问权限中没有查找到与目标应用对应的设备标识符访问权限,则可触发终端从上述网络侧的权限管理服务器中下载目标应用的设备标识符访问权限。此时,终端可以请求权限管理服务器下发与目标应用相关的所有设备标识符(包括上述第一设备标识符)的访问权限,也可以请求权限管理服务器仅下发目标应用此时需要访问的具体设备标识符(例如上述第一设备标识符)的访问权限,本申请实施例对此不做任何限制。

    又或者,如果终端在上述已下载的设备标识符访问权限中没有查找到与目标应用对应的设备标识符访问权限,则终端可以根据目标应用的类型(例如视频类应用),在上述已下载的设备标识符访问权限中,将同类型应用的设备标识符访问权限作为该目标应用的设备标识符访问权限,以提高目标应用访问设备标识符的速度。

    步骤s404、终端按照上述第一访问权限为目标应用提供该设备标识符的真实值或虚拟值。

    终端得到与目标应用对应的第一访问权限后,在步骤s404中,如果第一访问权限中允许目标应用访问设备标识符的真实值,则终端可沿用现有技术将设备标识符的真实值返回给目标应用;如果第一访问权限中允许目标应用访问设备标识符的虚拟值,则终端可在预设的存储区域中查找是否已经存储有该设备标识符的虚拟值,如果查找到该设备标识符的虚拟值,则将该虚拟值返回给目标应用,如果没有查找到该设备标识符的虚拟值,则终端可通过随机化算法或泛化算法对该设备标识符的真实值进行匿名化处理,得到该设备标识符的虚拟值并返回给目标应用。

    示例性的,终端可以在其存储区域中预留一部分存储空间专门用于存储已生成的各个设备标识符的虚拟值。那么,以meid作为设备标识符举例,目标应用可调用getmeid()函数请求访问meid,如果目标应用对应的第一访问权限中允许目标应用访问meid的虚拟值,则终端可以在上述预留的存储空间中查找是否已存储有meid的虚拟值。如果没有查找到,则终端可通过加噪、置换等随机化算法(或掩码、截断等泛化算法)对meid的真实值进行匿名化处理,得到meid的虚拟值。进而,终端可以将该meid的虚拟值作为终端调用getmeid()函数的返回值返回给目标应用。

    或者,也可以由权限管理服务器通过随机化算法(或泛化算法)对meid的真实值进行匿名化处理,得到meid的虚拟值,并将meid的虚拟值发送给终端,使得终端可以将meid的虚拟值返回给目标应用。

    例如,目标应用请求访问终端的meid,当终端内没有存储meid的访问权限时,终端可向权限管理服务器发送权限查询请求信息,请求权限管理服务器将目标应用访问meid时的访问权限发送给终端。此时,如果权限管理服务器查询到目标应用访问meid时的访问权限,且该访问权限中允许目标应用访问meid的虚拟值,则目标应用访问meid可以对meid的真实值进行匿名化处理,将得到的meid的虚拟值发送给终端,这样终端无需对meid的真实值进行匿名化处理,终端接收到权限管理服务器发送的meid的虚拟值后,可将该虚拟值作为目标应用请求meid的函数返回值返回给目标应用。

    并且,终端还可以将得到meid的虚拟值存储至上述预留的存储空间中,这样,当后续目标应用或其他应用需要访问meid的虚拟值时,终端可从上述预留的存储空间中获取meid的虚拟值返回给相应的应用,以提高meid(即设备标识符)的访问速度。

    又或者,在本申请其他一些实施例中,由于目标应用访问meid时的访问权限为允许目标应用访问meid的虚拟值,因此,终端在每次目标应用请求访问meid时,均可对meid的真实值进行匿名化处理,从而将得到不同的meid的虚拟值返回给目标应用,这样,目标应用访问到的meid值不仅是虚拟值,且每次访问到的meid值可能都不相同,从而进一步降低用户隐私被泄露的风险,提高终端的设备安全性。

    示例性的,目标应用调用getmeid()函数请求访问meid的具体代码如下:

    当终端向目标应用提供meid(即设备标识符)的虚拟值时,向目标应用隐藏了meid的真实值。由于该虚拟值并不会影响目标应用在终端上的正常运行,并且,目标应用获取到的设备标识符的虚拟值并不会与用户的相关信息直接关联,因此,可以降低应用访问设备标识符带来的隐私泄露风险,提高终端的设备安全性。

    在本申请的一些实施例中,用户还可以在终端的设置界面中手动配置上述实施例中提供的设备标识符的智能访问功能。例如,如图12所示,当用户在设置界面800中开启设备标识符的智能访问功能的控件801后,用户可针对终端内安装的每个应用手动关闭或开启设备标识符的智能访问功能。例如,仍如图12所示,当开启设备标识符的智能访问功能的控件801后,可打开邮件应用智能访问设备标识符的控件802,那么,后续邮件应用请求访问终端内的设备标识符时,可按照上述实施例中提供的访问设备标识符的方法智能的为邮件应用提供设备标识符的真实值或虚拟值;而由于用户手动关闭了微信应用智能访问设备标识符的控件802,因此,后续微信应用请求访问终端内的设备标识符时,可沿用现有技术向邮件应用提供设备标识符的真实值。

    当用户手动关闭或开启某个应用对应的设备标识符的智能访问功能时,终端可将此次用户的手动配置行为发送给网络侧的服务器,以便于服务器根据不同用户对该应用的手动配置行为及时调整权限管理服务器中与该应用对应的设备标识符访问权限,从而提高设备标识符访问权限的准确性和实用性。

    又或者,当用户手动关闭或开启某个应用对应的设备标识符的智能访问功能时,终端还可以评估用户此次的手动配置行为是否会影响该应用的正常运行。例如,微信应用中生成的聊天记录需要使用imei进行加密,如果向微信应用返回imei的虚拟值则可能导致用户无法查看聊天记录。因此,如果终端检测到用户将微信应用访问imei时的设备标识符访问权限设置为:允许微信应用访问imei的虚拟值,则如图13所示,终端可以通过对话框901等提示方法提示用户此次的手动配置会影响该应用的正常运行,对用户的此次手动配置进行二次确认,避免因用户手动配置设备标识符的访问权限引起的运行异常等问题。

    另外,在终端下载或安装新应用的过程中,如图14所示,也可通过对话框1001等提示方法提示用户是否对该新应用开启上述步骤401-404所述的设备标识符的智能访问功能。若用户确认开启设备标识符的智能访问功能,则后续在运行该新应用的过程中可按照上述步骤401-404所述的访问设备标识符的方法向该应用提供终端的设备标识符。

    可以理解的是,上述终端等为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请实施例的范围。

    本申请实施例可以根据上述方法示例对上述终端等进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。

    在采用对应各个功能划分各个功能模块的情况下,图15示出了上述实施例中所涉及的终端的一种可能的结构示意图,该终端包括:应用请求单元1501、智能配置单元1502、输出单元1503、标识符处理单元1504以及通信单元1505。

    应用请求单元1501用于支持终端执行图2中的过程s301,和图8中的过程s402;智能配置单元1502用于支持终端执行图2中的过程s302,和图8中的过程s403;输出单元1503用于支持终端执行图2中的过程s306,和图8中的过程s404;通信单元1505支持终端执行图2中的过程s303、s305,和图8中的过程s401;标识符处理单元1504,用于通过随机化算法或者泛化算法对目标应用请求的设备标识符的真实值进行匿名化处理,得到该设备标识符的虚拟值。其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。

    在采用集成的单元的情况下,可将上述应用请求单元1501、智能配置单元1502、输出单元1503以及标识符处理单元1504集成为处理模块,将通信单元1505作为通信模块,并且,终端还可以包括存储模块。

    此时,如图16所示,示出了上述实施例中所涉及的终端的一种可能的结构示意图。其中,处理模块1602用于对终端的动作进行控制管理。通信模块1603用于支持终端与其他网络实体的通信。存储模块1601用于保存终端的程序代码和数据。

    示例性的,处理模块1602可以是处理器或控制器,例如可以是中央处理器(centralprocessingunit,cpu),gpu,通用处理器,数字信号处理器(digitalsignalprocessor,dsp),专用集成电路(application-specificintegratedcircuit,asic),现场可编程门阵列(fieldprogrammablegatearray,fpga)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,dsp和微处理器的组合等等。

    通信模块1603可以是收发器、收发电路、输入输出设备或通信接口等。例如,通信模块1603具体可以是蓝牙装置、wi-fi装置、外设接口等等。

    存储模块1601可以是存储器,该存储器可以包括高速随机存取存储器(ram),还可以包括非易失存储器,例如磁盘存储器件、闪存器件或其他易失性固态存储器件等。

    示例性的,当处理模块1602为处理器,通信模块1603为射频电路、wi-fi装置以及蓝牙装置,存储模块1601为存储器时,本申请实施例所提供的终端可以为图6所示的手机100。

    在本申请的一些实施例中提供了一种终端,包括:触摸屏,其中,上述触摸屏包括触敏表面和显示屏;一个或多个处理器;存储器;多个应用程序;以及一个或多个计算机程序,其中上述一个或多个计算机程序被存储在上述存储器中,上述一个或多个计算机程序包括指令,当上述指令被上述终端执行时,使得上述终端执行附图2及附图8中的实现方案。

    在上述实施例中,可以全部或部分的通过软件,硬件,固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式出现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质,(例如,软盘,硬盘、磁带)、光介质(例如,dvd)或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。

    以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。


    技术特征:

    1.一种访问设备标识符的方法,所述方法在终端上实现,其特征在于,包括:

    所述终端接收到目标应用访问第一设备标识符的请求信息;

    响应于所述请求信息,所述终端确定所述目标应用访问所述第一设备标识符时的第一访问权限,所述第一访问权限包括:禁止访问所述第一设备标识符、允许访问所述第一设备标识符的真实值或允许访问所述第一设备标识符的虚拟值中的一种;

    当所述终端确定的所述第一访问权限为允许访问所述第一设备标识符的虚拟值时,所述终端向所述目标应用返回所述第一设备标识符的虚拟值。

    2.根据权利要求1所述的方法,其特征在于,所述终端确定所述目标应用访问所述第一设备标识符时的第一访问权限,具体包括:

    所述终端根据所述目标应用的名称,将与所述目标应用的名称对应的访问权限,作为所述目标应用访问所述第一设备标识符时的第一访问权限。

    3.根据权利要求1所述的方法,其特征在于,所述终端确定所述目标应用访问所述第一设备标识符时的第一访问权限,具体包括:

    所述终端根据所述目标应用的类型,将与所述目标应用的类型对应的访问权限,作为所述目标应用访问所述第一设备标识符时的第一访问权限。

    4.根据权利要求1-3中任一项所述的方法,其特征在于,所述终端向所述目标应用返回所述第一设备标识符的虚拟值,具体包括:

    所述终端查询是否保存有所述第一设备标识符的虚拟值;

    若保存有所述第一设备标识符的虚拟值,则所述终端将已保存的所述第一设备标识符的虚拟值返回给所述目标应用。

    5.根据权利要求4所述的方法,其特征在于,在所述终端查询是否保存有所述第一设备标识符的虚拟值之后,还包括:

    若未保存所述设备标识符的虚拟值,则所述终端通过随机化算法或者泛化算法对所述第一设备标识符的真实值进行匿名化处理,得到所述第一设备标识符的虚拟值;

    所述终端将得到的所述第一设备标识符的虚拟值返回给所述目标应用。

    6.根据权利要求1-5中任一项所述的方法,其特征在于,在所述终端接收到目标应用访问第一设备标识符的请求信息之前,还包括:

    所述终端通过无线网络发送权限查询请求信息给权限管理服务器,所述权限查询请求信息包括所述目标应用的标识;

    所述终端接收所述权限管理服务器发送的查询响应信息,所述查询响应信息中包括所述目标应用的设备标识符访问权限信息,所述设备标识符访问权限信息中包括:所述目标应用访问所述第一设备标识符时的第一访问权限和所述目标应用访问第二设备标识符时的第二访问权限。

    7.根据权利要求1-6中任一项所述的方法,其特征在于,所述终端确定所述目标应用访问所述第一设备标识符时的第一访问权限,包括:

    所述终端将候选应用访问所述第一设备标识符时的访问权限,作为所述目标应用访问所述第一设备标识符时的第一访问权限,所述候选应用的类型与所述目标应用的类型相同。

    8.根据权利要求1-7中任一项所述的方法,其特征在于,

    所述设备标识符包括国际移动设备身份码imei,国际移动用户识别码imsi,移动设备识别码meid,序列号sn以及媒体介入控制层mac地址中的至少一个;或,

    所述终端保存所述第一设备标识符的虚拟值;或,

    当检测到所述目标应用调用预设的标识符访问函数时,所述终端确定接收到所述目标应用访问第一设备标识符的请求信息。

    9.一种终端,其特征在于,包括:

    应用请求单元,用于:接收目标应用访问第一设备标识符的请求信息;

    智能配置单元,用于:确定所述目标应用访问所述第一设备标识符时的第一访问权限,所述第一访问权限包括:禁止访问所述第一设备标识符、允许访问所述第一设备标识符的真实值或允许访问所述第一设备标识符的虚拟值中的一种;

    输出单元,用于:当所述第一访问权限为允许访问所述第一设备标识符的虚拟值时,向所述目标应用返回所述第一设备标识符的虚拟值。

    10.根据权利要求9所述的终端,其特征在于,

    所述智能配置单元,具体用于:根据所述目标应用的名称,将与所述目标应用的名称对应的访问权限,作为所述目标应用访问所述第一设备标识符时的第一访问权限。

    11.根据权利要求9所述的终端,其特征在于,

    所述智能配置单元,具体用于:根据所述目标应用的类型,将与所述目标应用的类型对应的访问权限,作为所述目标应用访问所述第一设备标识符时的第一访问权限。

    12.根据权利要求9-11中任一项所述的终端,其特征在于,

    所述输出单元,具体用于:查询是否保存有所述第一设备标识符的虚拟值;若保存有所述第一设备标识符的虚拟值,则将已保存的所述第一设备标识符的虚拟值返回给所述目标应用。

    13.根据权利要求12所述的终端,其特征在于,所述终端还包括标识符处理单元,

    所述标识符处理单元,用于:若未保存所述设备标识符的虚拟值,则通过随机化算法或者泛化算法对所述第一设备标识符的真实值进行匿名化处理,得到所述第一设备标识符的虚拟值;

    所述输出单元,还用于:将得到的所述第一设备标识符的虚拟值返回给所述目标应用。

    14.根据权利要求9-11中任一项所述的终端,其特征在于,所述终端还包括:

    通信单元,用于:通过无线网络发送权限查询请求信息给权限管理服务器,所述权限查询请求信息包括所述目标应用的标识;接收所述权限管理服务器发送的查询响应信息,所述查询响应信息中包括所述目标应用的设备标识符访问权限信息,所述设备标识符访问权限信息中包括:所述目标应用访问所述第一设备标识符时的第一访问权限和所述目标应用访问第二设备标识符时的第二访问权限。

    15.根据权利要求9-14中任一项所述的终端,其特征在于,

    所述智能配置单元,具体用于:将候选应用访问所述第一设备标识符时的访问权限,作为所述目标应用访问所述第一设备标识符时的第一访问权限,所述候选应用的类型与所述目标应用的类型相同。

    16.根据权利要求9-15中任一项所述的终端,其特征在于,

    所述应用请求单元,具体用于:当检测到所述目标应用调用预设的标识符访问函数时,确定接收到所述目标应用访问第一设备标识符的请求信息;或,

    所述智能配置单元,还用于:保存所述第一设备标识符的虚拟值;

    其中,所述设备标识符包括国际移动设备身份码imei,国际移动用户识别码imsi,移动设备识别码meid,序列号sn以及媒体介入控制层mac地址中的至少一个。

    17.一种终端,其特征在于,包括:处理器、存储器、总线和通信接口;

    所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过所述总线连接,当所述终端运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述终端执行如权利要求1-8中任一项所述的访问设备标识符的方法。

    18.一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当所述指令在终端上运行时,使得所述终端执行如权利要求1-8中任一项所述的访问设备标识符的方法。

    19.一种访问设备标识符的系统,其特征在于,包括权限管理服务器,以及与所述权限管理服务器通过无线网络相连的终端,所述终端上安装有至少一个应用,其中,

    所述终端用于:当接收到目标应用申请访问第一设备标识符的请求时,在所述终端中确定是否存储有所述目标应用访问第一设备标识符的第一访问权限;若未存储所述第一访问权限,则向所述权限管理服务器发送权限查询请求信息,所述权限查询请求信息中包括所述目标应用的标识;

    所述权限管理服务器用于:接收所述终端发送的查询请求信息;根据所述目标应用的标识确定所述目标应用的设备标识符访问权限信息,所述设备标识符访问权限信息包括:所述目标应用访问所述第一设备标识符时的第一访问权限和所述目标应用访问第二设备标识符时的第二访问权限;向所述终端发送查询响应信息,所述查询响应信息包括所述目标应用的设备标识符访问权限信息;

    所述终端,还用于:接收所述权限管理服务器发送的查询响应信息;当所述设备标识符访问权限信息中的第一访问权限为允许访问所述第一设备标识符的虚拟值时,向所述目标应用返回所述第一设备标识符的虚拟值。

    技术总结
    本申请的实施例提供一种访问设备标识符的方法及装置,涉及通信技术领域,可降低因应用程序过度访问设备标识符带来的隐私泄露风险,提高终端的设备安全性。该方法包括:终端接收到目标应用访问第一设备标识符的请求信息;响应于该请求信息,终端确定目标应用访问第一设备标识符时的第一访问权限,第一访问权限包括:禁止访问第一设备标识符、允许访问第一设备标识符的真实值以及允许访问第一设备标识符的虚拟值中的一种;当第一访问权限为允许访问第一设备标识符的虚拟值时,终端向目标应用返回第一设备标识符的虚拟值,第一设备标识符的虚拟值为对第一设备标识符的真实值经过匿名化处理后得到的。

    技术研发人员:赵考;陈震
    受保护的技术使用者:华为技术有限公司
    技术研发日:2017.09.29
    技术公布日:2021.03.12

    转载请注明原文地址:https://wp.8miu.com/read-5691.html

    最新回复(0)