限制数据访问制造技术

用于验证应用的数据访问请求的方法、系统和装置，包括被编码在计算机存储介质上的计算机程序。一种方法包括：为应用接收访问由设备收集的数据的请求；基于应用的两次签名的数据使用令牌的内容，确定该应用的识别符和该应用对数据的声明使用；以及控制该应用对数据的访问，包括：当(i)两次签名的数据使用令牌的两个签名都已被验证，以及(ii)数据的声明使用与数据的授权使用相匹配时，启用对数据的访问；以及当(i)两次签名的数据使用令牌的任一签名尚未被验证，或者(ii)数据的声明使用与数据的授权使用不匹配时，阻止该应用访问数据。阻止该应用访问数据。阻止该应用访问数据。

【技术实现步骤摘要】
【国外来华专利技术】限制数据访问

技术介绍

[0001]一些设备可以包括在该设备上执行的多个应用。各种应用可以具有不同的信任级别。例如，与第三方应用相比，设备上的操作系统可以具有更高的信任级别，并且可以访问更多类型的数据。第三方应用的一些示例包括社交网络应用、网络浏览器和银行应用。

技术实现思路

[0002]为了提高数据安全性，设备可以使用应用的两次签名的数据使用令牌来验证或认证该应用对数据的访问，例如，个人数据或其他敏感数据。两次签名的数据使用令牌可以识别由应用收集的数据的声明使用、关于隐私策略的信息(例如，应用的发布者)以及其他相关信息。两次签名的数据使用令牌可以是启用级数据结构，例如在开放系统互连模型(“OSI模型”)中的应用层使用的数据结构。
[0003]两次签名的数据使用令牌可以由具有应用的数据的系统(例如，应用的发布者或将接收该应用生成的数据的实体)和数据访问授权系统两者的系统签名。尽管以下示例一般讨论了应用的发布者的签名，但是数据使用令牌可以由另一实体来签名，例如接收由应用生成的数据的实体。数据访问授权系统可以是该设备的操作系统的供应商。在两次签名的数据使用令牌中包括发布者和供应商的签名可以支持令牌的公开验证，例如验证令牌尚未改变，令牌是用于应用的，或两者。
[0004]设备(例如，设备的操作系统)可以从应用接收系统应用编程接口(“API”)调用，以访问由设备收集的数据。由设备收集的数据可以是存储在设备的存储器中的数据或者由设备中的传感器收集的未存储在永久存储器中的数据，例如心跳数据。API调用可以包括对应用的两次签名的数据使用令牌的引用。当API调用不包括对两次签名的数据使用令牌的引用时，应用、应用的发布者的系统或两者可以使两次签名的数据使用令牌对设备可用，例如系统API。例如，当应用被安装在设备上时，发布者的系统可以向设备发送两次签名的数据使用令牌。设备可以将两次签名的数据使用令牌存储在两次签名的令牌数据库中，以供稍后在确定是否允许该应用访问数据时使用。在一些示例中，在接收到来自应用的API调用之后，设备可以从发布者系统请求两次签名的数据使用令牌。
[0005]在从应用接收到访问数据的API调用之后，设备(例如，系统API)验证两次签名的数据使用令牌。设备将应用的身份与两次签名的数据使用令牌进行匹配。当身份匹配时，设备可以基于两次签名的数据使用令牌来确定应用可以访问什么类型的数据。当应用可以访问所请求的数据类型时，设备可以允许或启用应用对所请求数据的访问，例如，向应用提供所请求的数据。当应用的身份不匹配时，或者当应用不能访问所请求的数据类型时，设备可以阻止该应用访问所请求的数据，例如，确定跳过向应用提供所请求的数据。
[0006]如果设备外(off
‑
device)系统想要访问由该设备收集的数据，则该设备可以生成令牌，该令牌包括所请求的数据以及该设备的识别符，例如，假名识别符。设备可以对令牌进行加密并将令牌提供给应用，然后该应用可以将令牌发送给设备外系统。设备可以使用设备外系统的公钥来对令牌进行加密，例如，使得只有设备外系统可以解密令牌，并且该应
用不能访问未加密的数据。公钥可以被编码在两次签名的数据使用令牌中。
[0007]设备外系统可以以某一方式存储数据，以允许稍后访问存储在设备外系统上的数据。例如，设备外系统可以将令牌与假名识别符一起存储在数据库中。当设备外系统例如从设备接收到与数据相关的请求时，设备外系统使用假名识别符在数据库中定位令牌并执行对应的动作。该请求可以是删除数据、校正至少一些数据、使得呈现至少一些数据或者另一适当的动作。请求设备外系统执行与数据相关的动作的、设备为设备外系统生成的请求可以包括假名识别符，作为设备外系统应该对什么数据执行动作的指示符。
[0008]在一些实现方式中，应用可以与一个以上两次签名的数据使用令牌相关联。例如，设备可以具有用于不同数据使用的两次签名的数据使用令牌。第一使用可以是广告使用。第二使用可以是非广告使用。例如用于设备外数据使用的每一令牌可以包括不同的公钥/私钥对，以维持对每一使用的单独访问。
[0009]在这些实现方式中，当接收到具有第一两次签名的数据使用令牌的第一使用请求时，设备可以阻止对某些类型的数据的访问，并且对于具有第二两次签名的数据使用令牌的第二使用请求启用对某些类型的数据的访问。例如，第一两次签名的数据使用令牌可以将广告识别为声明的使用，并且第二两次签名的数据使用令牌可以将健康监测识别为声明的使用。当设备从应用接收到访问与广告声明的使用令牌相关联的心跳数据的请求时，设备可以阻止对心跳数据的访问。当设备从应用接收到访问与健康监测声明的使用令牌相关联的心跳数据的另一请求时，设备可以启用应用对心跳数据的访问。这可以提高数据安全性、数据隐私性或两者。
[0010]通常，本说明书中描述的主题的一个方面可以体现在包括以下动作的方法中：由设备接收应用的对访问由该设备收集的数据的请求；基于已由(i)具有应用的数据的系统和(ii)数据访问授权系统两者数字签名的两次签名的数据使用令牌的内容，由该设备并基于该应用的两次签名的数据使用令牌来确定该应用的识别符以及该应用对数据的声明使用；以及由该设备使用应用的识别符、数据的声明使用和数据的授权使用来控制该应用对数据的访问，包括：当(i)两次签名的数据使用令牌的两个签名已被验证，以及(ii)数据的声明使用与数据的授权使用相匹配时，由该设备为该应用启用对数据的访问；以及当(i)两次签名的数据使用令牌的任一签名尚未被验证，或者(ii)该数据的声明使用与该数据的授权使用不匹配时，阻止该应用访问数据。该方面的其他实施例包括对应的计算机系统、装置、计算机程序产品和记录在一个或多个计算机存储设备上的计算机程序，每一者被配置成执行方法的动作。一个或多个计算机的系统可以被配置成通过在系统上安装软件、固件、硬件或其组合来执行特定的操作或动作，该软件、固件、硬件或其组合在操作中使得系统执行这些动作。一个或多个计算机程序可以被配置成通过包括指令来执行特定的操作或动作，这些指令在由数据处理装置执行时使得该装置执行动作。
[0011]前述和其他实施例可以各自任选地包括以下特征中的一者或多者(单独的或组合的)。由设备控制应用对数据的访问可以包括由设备的操作系统控制应用对数据的访问。接收该请求可以包括接收识别两次签名的数据使用令牌的请求。
[0012]在一些实现方式中，该方法可以包括：响应于接收到请求，确定应用的识别符；以及由该设备使用应用的识别符从令牌数据库中检索该两次签名的数据使用令牌。控制应用对数据的访问可以包括：由设备使用该应用的识别符、数据的声明使用、一个或多个所请求
数据类型和所请求数据的数据类型来控制应用对数据的访问，包括：当(i)两次签名的数据使用令牌的两个签名已被验证，(ii)数据的声明使用与数据的授权使用相匹配，以及(iii)两个签名都未到期时，由该设备为应用启用对数据的访问；以及当(i)两次签名的数据使用令牌的任一签名尚未被验证，或者(ii)数据的声明使用与数据的授权使用不本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算机实现的方法，包括：由设备接收用于应用的对访问由所述设备收集的数据的请求；基于已由(i)具有所述应用的数据的系统和(ii)数据访问授权系统两者数字签名的两次签名的数据使用令牌的内容，由所述设备并基于所述应用的两次签名的数据使用令牌来确定所述应用的识别符以及所述应用对所述数据的声明使用；以及由所述设备使用所述应用的识别符、所述数据的声明使用和所述数据的授权使用来控制所述应用对所述数据的访问，包括：当(i)所述两次签名的数据使用令牌的两个签名已被验证，以及(ii)所述数据的声明使用与所述数据的授权使用相匹配时，由所述设备为所述应用启用对所述数据的访问；以及当(i)所述两次签名的数据使用令牌的任一签名尚未被验证，或者(ii)所述数据的声明使用与所述数据的授权使用不匹配时，阻止所述应用访问所述数据。2.根据权利要求1或2所述的方法，其中，由所述设备控制应用对所述数据的访问包括由所述设备的操作系统控制应用对所述数据的访问。3.根据任一前述权利要求所述的方法，其中，接收所述请求包括接收识别所述两次签名的数据使用令牌的请求。4.根据任一前述权利要求所述的方法，包括：响应于接收到所述请求，确定所述应用的识别符；以及由所述设备使用所述应用的识别符从令牌数据库中检索所述两次签名的数据使用令牌。5.根据任一前述权利要求所述的方法，其中：控制应用对所述数据的访问包括，由所述设备使用所述应用的识别符、所述数据的声明使用、一个或多个所请求数据类型和所请求数据的数据类型来控制应用对所述数据的访问，包括：当(i)所述两次签名的数据使用令牌的两个签名已被验证，(ii)所述数据的声明使用与所述数据的授权使用相匹配，以及(iii)两个签名都未到期时，由所述设备为所述应用启用对所述数据的访问；以及当(i)所述两次签名的数据使用令牌的任一签名尚未被验证，或者(ii)所述数据的声明使用与所述数据的授权使用不匹配，或者(iii)任一签名已到期时，阻止所述应用访问所述数据。6.根据任一前述权利要求所述的方法，包括：确定由所述两次签名的数据使用令牌识别的一个或多个所请求数据类型，其中：控制应用对所述数据的访问包括，由所述设备使用所述应用的识别符、所述数据的声明使用、所述一个或多个所请求数据类型和所请求数据的数据类型来控制应用对所述数据的访问，包括：当(i)所述两次签名的数据使用令牌的两个签名都已被验证，(ii)所述数据的声明使用与所述数据的授权使用相匹配，以及(iii)所述一个或多个所请求数据类型包括所请求数据的数据类型时，由所述设备为所述应用启用对所述数据的访问；以及当(i)所述两次签名的数据使用令牌的任一签名尚未被验证，或者(ii)所述数据的声
明使用与所述数据的授权使用不匹配，或者(iii)所述一个或多个所请求数据类型不包括所请求数据的数据类型时，阻止所述应用访问所述数据。7.根据权利要求6所述的方法，其中：所述应用对所述数据的声明使用是来自预定的声明数据使用集；以及所述一个或多个所请求数据类型是来自预定的数据类型集。8.根据任一前述权利要求所述的方法，其中，所述两次签名的数据使用令牌包括以下中的一者或多者：到所述应用的发布者的隐私策略的链接、所述发布者的识别符、所述发布者的公钥或表示所述两次签名的数据使用令牌何时到期的时间数据。9.根据权利要求8所述的方法，其中，所述时间数据包括：(a)签名日期，其指示所述发布者何时对所述两次签名的数据使用令牌进行签名，此后所述两次签名的数据使用令牌将在预定时间段结束时到期，或者(b)到期日期，其指示所述两次签名的数据使用令牌何时到期。10.根据权利要求8所述的方法，其中，所述发布者的公钥指示所述应用对所述数据的声明使用、具有所述应用的数据的系统、或两者。11.根据任一前述权利要求所述的方法，其中，具有所述应用的数据的系统的第一签名验证所述两次签名的数据使用令牌的第一部分的内容，并且所述数据访问授权系统的第二签名验证整个两次签名的数据使用令牌的内容。12.根据权利要求11所述的方法，其中，具有所述应用的数据的系统的第一签名验证所述应用的识别符和所述应用对所述数据的声明使用。13.根据任一前述权利要求所述的方法，包括：由所述设备接收用于第二应用的对访问由所述设备收集的第二数据的第二请求，所述第二应用是与所述应用不同的应用；由所述设备确定所述设备包括用于所述第二应用的数据访问设置；响应于确定所述设备包括用于所述第二应用的数据访问设置，由所述设备确定跳过对所述第二应用的任何两次签名的数据使用令牌的分析；以及由所述设备使用所述数据访问设置来控制所述第二应用对所述第二数据的访问。14.根据任一前述权利要求所述的方法，包括：由所述设备接收用于第二应用的对访问由所述设备收集的第二数据的第二请求，所述第二应用是与所述应用不同的应用；由所述设备确定所述设备不具有所述第二应用的两次签名的数据使用令牌；响应于确定所述设备不具有所述第二应用的两次签名的数据使用令牌，由所述设备确定用于所述第二应用的默认数据访问设置；以及由所述设备使用所述默认数据访问设置来控制所述第二应用对所述第二数据的访问。15.根据任一前述权利要求所述的方法，包括：由所述设备接收用于第二应用的第一请求，所述第一请求：(a)用于访问由所述设备收集的第二数据，(b)使用由所述第二应用对所述第二数据的第一声明的使用来识别所述第二应用的第一两次签名的数据使用令牌，所述第二应用是与所述应用不同的应用；由所述设备确定所述第二数据的授权使用；由所述设备...

【专利技术属性】
技术研发人员：王刚，亚历克斯，
申请(专利权)人：谷歌有限责任公司，
类型：发明
国别省市：