基于三维权限级别模型的手机权限管理及验证方法

摘要

本发明公开了基于三维权限级别模型的手机权限管理及验证方法，包括：建立角色，对象，操作三维坐标模型，坐标轴上的值为权限级别；根据需求分析在模型上建立密封的权限区域；给任意程序设置角色权限级别；给任意数据设置对象权限级别；任意动作请求发生时，识别它在三个维度上对应的值；计算这三个值组成的坐标所在区域并给与相应反馈。本发明具有能对任意程序进行更灵活，规范以及高效的权限管理及验证，同时三维的验证使得安全性更有保障等优点。

说明书

[技术领域]

本发明涉及手机的权限管理及验证。更具体地讲，本发明涉及一 种通过建立在角色，对象，操作等三个权限级别维度上的模型，更灵 活地管理及更规范更安全地验证手机权限的方法。

[技术背景]

当今许多主流智能手机平台上的应用程序，其权限是在编程阶段就 已经定制好并且无法更改，用户只能选择全盘接受或者拒绝安装，模 式非常呆板，用户无法根据自己的具体需求来自主地灵活地为每个应 用程序分配权限。其次，对于用户自定义的数据，只能使用默认权限， 不能按照用户期待进行分配。

同时，虽然每个应用程序单独维护自己的权限列表目前是可行的， 但随着各种应用程序不断增加以及手机本身功能的不断强化，权限的 继续细分是一个必然的趋势，这种“量身定做”式的权限管理和验证将 会显得很冗余和混乱。权限的验证仅仅由自身的列表一个手段来保证， 也并不是非常安全。

由于每个程序的权限只由本身的不可变更的权限列表进行管理， 用户无法自主控制，显得权限模式非常呆板，而权限的不断细分更会 使得这种方案在管理和验证上显得越来越混乱和力不从心，安全性也 有待加强。

[发明内容]

本发明针对上述不足，在角色，对象和操作等三个权限级别维 度上建立一个全新的权限模型，用户只需要用此三维模型上的坐标， 就能对任意程序进行更灵活，规范以及高效的权限管理及验证，同时 三维的验证使得安全性更有保障。

本发明是这样实现的：

基于三维权限级别模型的手机权限管理及验证方法，包括：

建立角色，对象，操作三维坐标模型，坐标轴上的值为权限级 别；

根据需求分析在模型上建立密封的权限区域；

给任意程序设置角色权限级别；

给任意数据设置对象权限级别；

任意动作请求发生时，识别它在三个维度上对应的值；

计算这三个值组成的坐标所在区域并给与相应反馈。

作为上述技术方案的改良，本发明的进一步技术方案如下：

进一步，当坐标位于密封的权限区域以内时，不做任何处理，允 许动作正常进行。

进一步，当坐标位于密封的权限区域之外时，询问用户是否给与 程序对该对象的相应操作权限；

若不允许，则不允许该动作发生，跳过该动作继续执行；

若允许，则首先要求用户进行验证，若验证不通过，用户可选择 重新验证或者放弃此次权限更改，若验证通过，则更改程序的角色权 限级别使其可以进行该动作，同时用户需选择保留此次更改或者在这 次动作完成后将程序的角色权限级别更改回原状态。

进一步，上述的角色是动作的发起者，包括程序和用户，其权限 级别由用户灵活分配。

进一步，上述的对象是动作的目标对象，包括系统自带数据和用 户自定义数据，其中系统自带数据包括系统文件和各种端口，其级别 权限可由用户灵活分配。

进一步，上述的操作是动作的实质内容，其权限级别在模型建立 之时就已经规定好，无需更改。

进一步，上述的权限区域是任意权限级别的角色对任意权限级别 的对象可执行的任意权限级别的操作的集合，在模型上直观反应为一 个密封的立体区域；将所述权限区域内的任意一个点的坐标值定义为 (x，y，z)，则角色权限级别为x的程序，可以对对象权限级别为y的数 据，执行操作权限级别为z的操作。

进一步，坐标轴上的值以及密封区域的范围是常量，无法更改， 程序和数据的权限级别是变量，可以赋予相应的不同常量。

本发明提供一种通过三维权限级别模型来管理和验证权限的方 案，通过该方案，用户只需设置好程序的角色权限级别和数据的对象 权限级别就能灵活地管理权限，在任何动作请求发生时系统可以根据 三维模型上的坐标快速地计算和判断。

本发明的有益效果在于：使用三维权限级别模型，用户可以通过 设置程序的角色权限级别和数据的对象权限级别，自主地管理每一个 程序和文件的权限级别，轻松地打造最符合自己期待的权限系统。程 序也无需维护越来越冗长和混乱的权限列表，只需记录自己的权限级 别，简化了整个权限模式。在验证权限时，通过一个动作的三个维度 来计算是否符合权限，这种面向动作的方式使得验证的过程更加规范， 三个维度的同时验证还更好地保证了安全性。

[附图说明]

图1展示了角色，对象，操作三维权限级别模型的示例；

图2展示了密封权限区域的示例；

图3展示了用户给程序和数据设置权限级别的示例示意图；

图4展示了请求执行权限内操作时系统验证结果的示意图；

图5展示了请求执行权限外操作时系统验证结果的示意图；

图6展示了本方案提出的三维权限级别模型进行权限验证的完整 流程图；

图7展示了用户自主分配权限的示例效果图。

[具体实施方式]

以下结合附图和具体实施案例对本发明作进一步的详细说明，但 不作为对本发明技术方案的限定。

基于三维权限级别模型的手机权限管理及验证方方法包括：建立 角色，对象，操作三维模型，坐标轴上的值为权限级别；根据需求分 析在模型上建立好密封的权限区域；用户给任意程序设置角色权限级 别；用户给任意数据设置对象权限级别；任意动作请求发生时，识别 它在三个维度上对应的值；计算这三个值组成的坐标所在区域并给与 相应反馈。

图1展示了角色，对象，操作三维权限级别模型的示例。

角色指某一个动作的发起者，包括程序和用户，在本例中拥有R1， R2，R3这三个权限级别，用户可以给每个角色分配其中一个权限级别。

对象指动作的目标对象，包括系统自带数据和用户自定义数据， 其中系统自带数据包括系统文件和各种端口，在本例中有用01，02， 03三个权限级别，用户可为每个对象分配其中一个权限级别。

操作是指动作的实质内容，由于一款手机操作的种类是一定的， 所以其权限级别在模型建立之时就已经规定好，无需更改，本例中有 M1，M2，M3三个权限级别的操作。

需要注意的是，三维模型建立好之后，其中的权限级别是无法更 改的，它们相当于坐标轴中的常量，只能把它们赋给对应的程序，数 据等，但是不能增加，删除或者改变它们本身。比如在本例中，R1， R2，R3是不能改变自身的，但是一个程序P，它的权限级别可以是R1， 也可以由R1变成R2。

图2展示了密封权限区域的示例。

权限区域是指，任意权限级别的角色对任意权限级别的对象可执 行的任意权限级别的操作的集合，在模型上直观反应为一个密封的立 体区域，将所述权限区域内的任意一个点的坐标值定义为(x，y，z)， 则角色权限级别为x的程序，可以对对象权限级别为y的数据，执行 操作权限级别为z的操作。在本例中，根据需求分析，要求权限级别 为R1的角色对所有权限级别的对象都可进行权限级别为M1操作，权 限级别为R2的角色对所有权限级别对象都可进行权限级别为M1，M2 操作，权限级别为R3的角色拥有全局权限。将这些动作进行集合和串 联，就在三维模型上勾勒出了一个密封的立体权限区域，这个区域是 恒定的，就算用户改变了角色或者对象的权限级别，权限区域也不会 改变。

图3展示了用户给程序和数据设置权限级别的示例示意图。

用户可以自主给任意程序或数据分配权限，这通过改变其权限级 别来实现。在本例中，用户将程序P的角色权限级别设置为R1，数据 D的对象权限级别设置为01，根据已给出的三维权限级别模型及其上 的权限空间，R1权限级别的角色可以对所有权限级别的对象进行M1 权限级别的操作，因此P可以对D进行权限级别为M1的操作。

图4展示了请求执行权限内操作时系统验证结果的示意图。

系统识别了角色P，对象D以及请求进行的操作的权限级别，生成 一个三元坐标，通过计算，发现该坐标位于已给出的权限空间内，因 此允许该动作发生。

图5展示了请求执行权限外操作时系统验证结果的示意图。

系统识别了角色P，对象D以及请求进行的操作的权限级别，生成 一个三元坐标，通过计算，发现该坐标位于已给出的权限空间之外， 因此按照预定流程将暂时不允许该动作发生，并向用户进行询问。

图6展示了本方案提出的三维权限级别模型进行权限验证的完整 流程图。

当一个动作请求发生时，系统首先读取该动作的角色，对象和操 作的权限级别，将其生成一个三元坐标。

接下来，通过计算，判断该坐标是否位于系统当前的权限区域内。 如果位于区域内，则不做任何反应，直接允许动作发生，流程结束； 如果位于区域外，则暂时不允许操作发生，转而向用户询问是否需要 更改相应权限级别。

如果用户不希望给与更多权限，则系统不允许该动作发生，流程结 束；如果用户同意分配更高的权限级别，则先需要用密码等手段验证 用户身份。

如果验证失败，用户需要选择后续流程是重新验证还是直接放弃更 改权限，如果重新验证，则返回验证步骤；如果选择放弃，则系统不 允许该动作发生，流程结束。

如果验证通过，系统将把角色权限级别暂时提高到所需级别，权 限级别修改完成后，将允许请求的动作发生。

该动作完成后，用户需选择是否保留由此次动作引发的权限更改。 如果选择保留，系统将会把该更改进行持久化，然后结束流程；如果 选择不保留，系统将会把角色的权限级别修改回原来的值并结束流程。

图7展示了用户自主分配权限的示例效果图。

通过设置角色和对象权限级别，用户相当于在它们之外包裹一层 权限框架，它们将得到哪些权限的决定权转交到了用户手中，如果用 户需要增加或者减少它们的权限，也只需要更改它们的权限级别，实 现了灵活地自主地权限管理。

每个角色，对象，操作都只需知道自己的权限级别，而非传统方 案中的由程序或者对象来维护自身的一个相对冗长和混乱的权限列 表，避免了这种随意性极大的做法，规范和简化了整个权限系统。

对一个动作的发生的验证，需要通过角色权限级别，对象权限级 别和操作权限级别三个维度来联合进行计算验证，而非查询单一的权 限列表，极大地加强了安全性，保证动作将会按照用户的意图进行。

需要特别说明的是：如上所述是结合具体内容提供的一种实施方 式，并不能认定本发明的具体实施只局限于这些说明。凡与本发明结 构、装置等近似、雷同，或是对于本发明构思前提下做出若干技术推 演或替换，都应当视为本发明的保护范围。