[发明专利]一种资源访问控制的方法及终端

说明书

技术领域

本发明实施例涉及电子技术领域，尤其涉及一种资源访问控制的方法及终端。

背景技术

移动终端上有些硬件或软件资源，设计之初的本意是仅提供给特定的应用使用，而不想让第三方应用以及其他非授权的应用有权限访问，若第三方应用或其他非授权的应用获取到了这些硬件或软件资源的访问方式，那么移动终端信息的安全就有可能涉及风险。

目前，为了提高移动终端信息的安全性，一般采用如下几种限制非授权应用访问指定资源的方式：

一种是，重新定义私有接口，即对移动终端上的指定资源的接口进行私有化，只有开发方知道指定资源的访问接口，而第三方应用以及其他非授权的应用就无法获知到私有接口，也就无法访问指令的资源，然而，由于开发公司内部人员复杂，无法保证私有接口信息的安全性，私有接口一旦泄露，则指定资源的访问安全性就无法得到保障。

另一种是，在调用指定资源的访问接口之前做一些安全加密保护，例如：在调用指定资源的访问接口之前进行身份验证或解锁等，这种方式在一定程度上可以保护指定资源的访问接口的调用权限，但是，在一些异常情况下，若第三方应用或者其他非授权应用绕过身份验证机制，也可以正常的去调用指定资源的访问接口，也存在一定的安全风险。

综上，现有的限制非授权应用访问指定资源的方式安全性较低，无法对移动终端上的指定资源进行有效的保护。

发明内容

本发明实施例提供一种资源访问控制的方法及终端，可以对终端上的指定资源进行有效的保护，提高了终端的安全性。

本发明实施例一方面提供一种资源访问控制的方法，该方法包括：

若指定资源的应用服务接收到调用者调用所述指定资源的访问接口的请求，则调用权限管理接口获取调用者的包名，并将所述调用者的包名发送至权限管理服务；

通过所述权限管理服务将所述调用者的包名传递给包管理服务，使所述包管理服务根据所述调用者的包名返回与所述调用者相关的信息；

通过所述权限管理服务调用负责实现操作系统与可信执行环境信息交互的中间层接口，将所述与调用者相关的信息发送至所述可信执行环境内部的可信应用；

通过所述可信应用读取预设的与所述指定资源对应的白名单信息，并根据所述白名单信息和所述与调用者相关的信息对所述调用者进行身份验证，得到身份验证结果；

通过所述可信应用将所述身份验证结果传输至内核驱动，使所述内核驱动根据所述身份验证结果判断是否允许所述调用者调用所述指定资源的访问接口，并执行相应的响应操作。

本发明实施例另一方面还提供一种终端，该终端包括：

权限管理接口调用单元，用于若指定资源的应用服务接收到调用者调用所述指定资源的访问接口的请求，则调用权限管理接口获取调用者的包名，并将所述调用者的包名发送至权限管理服务；

调用者信息获取单元，用于通过所述权限管理服务将所述调用者的包名传递给包管理服务，使所述包管理服务根据所述调用者的包名返回与所述调用者相关的信息；

中间层接口调用单元，用于通过所述权限管理服务调用负责实现操作系统与可信执行环境信息交互的中间层接口，将所述与调用者相关的信息发送至所述可信执行环境内部的可信应用；

身份验证单元，用于通过所述可信应用读取预设的与所述指定资源对应的白名单信息，并根据所述白名单信息和所述与调用者相关的信息对所述调用者进行身份验证，得到身份验证结果；

响应操作执行单元，用于通过所述可信应用将所述身份验证结果传输至内核驱动，使所述内核驱动根据所述身份验证结果判断是否允许所述调用者调用所述指定资源的访问接口，并执行相应的响应操作。

本发明实施例通过设定若指定资源的应用服务接收到调用者调用所述指定资源的访问接口的请求，则调用权限管理接口获取调用者的包名，并将所述调用者的包名发送至权限管理服务；通过所述权限管理服务将所述调用者的包名传递给包管理服务，使所述包管理服务根据所述调用者的包名返回与所述调用者相关的信息；通过所述权限管理服务调用负责实现操作系统与可信执行环境信息交互的中间层接口，将所述与调用者相关的信息发送至所述可信执行环境内部的可信应用；通过所述可信应用读取预设的与所述指定资源对应的白名单信息，并根据所述白名单信息和所述与调用者相关的信息对所述调用者进行身份验证，得到身份验证结果；通过所述可信应用将所述身份验证结果传输至内核驱动，使所述内核驱动根据所述身份验证结果判断是否允许所述调用者调用所述指定资源的访问接口，并执行相应的响应操作，从而可以对终端上的指定资源进行有效的保护，提高了终端的安全性。