应用安全防护的方法、系统、存储介质及计算机设备与流程

1.本发明涉及应用数据安全技术领域，尤其涉及一种应用安全防护的方法、系统、存储介质及计算机设备。


背景技术：

2.智能终端的数据安全向来都是用户重点关注的问题，如何有效防止智能终端上的数据被不法读取或泄露的问题，事关了智能产品的用户体验。
3.现有技术提供了以下两种技术方案：其一通过将数据经过拆分后分别存放到第一数据库和第二数据库中，并且需要第一权限服务器和第二权限服务器分别验证数据请求来获取数据；其二是则是设置数据访问的授权条件；确定符合所述授权条件的数据访问请求；根据所述数据访问请求进行授权条件对应数据应用的授权操作。显然，现有技术提供的方案均是用于防范来自外部终端的数据访问请求，而未揭示智能终端内部各个应用之间数据访问请求的风险，即现有技术未能很好的解决多个应用之间安全灵活地访问对方能力和/或数据的问题。
4.综上可知，现有的方法在实际使用上，存在着较多的问题，所以有必要加以改进。


技术实现要素：

5.针对上述的缺陷，本发明的目的在于提供一种应用安全防护的方法，系统、存储介质及其计算机设备，能够实现各个应用之间动态互访的安全管控，提升了智能终端的数据安全性。
6.为了实现上述目的，本发明提供一种应用安全防护的方法，包括步骤：
7.分别为各个应用构建加密的应用隔离带；其中，所述应用隔离带用于阻隔各个所述应用之间的数据访问；
8.监测到第一应用请求访问第二应用和/或所述第二应用的应用数据时，分别获取所述第一应用和所述第二应用对应预设的第一访问权限和第二访问权限；
9.根据所述第一访问权限和所述第二访问权限，判断所述第一应用是否具有对所述第二应用和/或所述应用数据的访问授权；
10.若具有所述访问授权，则控制所述第二应用对应的所述应用隔离带对所述第一应用定向解锁。
11.可选的，所述分别为各个应用构建加密的应用隔离带的步骤还包括：
12.创建所述应用隔离带对应的特征集；其中，所述特征集包括有应用身份标识、应用进程数、进程数组以及访问权限，且所述访问权限由对外访问权限列表和对内访问权限列表组成。
13.可选的，所述分别为各个应用构建加密的应用隔离带的步骤具体包括：
14.分别构建以各个应用的所述应用身份标识为索引的应用隔离带；
15.根据预设的安全锁算法对所述应用隔离带进行访问加锁。
16.可选的，所述监测到第一应用请求访问第二应用和/或所述第二应用的应用数据时，分别获取所述第一应用和所述第二应用预设的第一访问权限和第二访问权限的步骤具体包括：
17.根据对各个所述应用的全生命周期行为的实时动态监控，确定是否存在第一应用向第二应用请求访问的目标行为；
18.若存在所述目标行为，则分别获取所述第一应用和所述第二应用预设的第一访问权限和第二访问权限。
19.可选的，所述若存在所述目标行为，则分别获取所述第一应用和所述第二应用预设的第一访问权限和第二访问权限的步骤具体包括：
20.若存在所述目标行为，则获取所述第一应用的对外访问权限列表和所述第二应用的对内访问权限列表。
21.可选的，所述根据所述第一访问权限和所述第二访问权限，判断所述第一应用是否具有对所述第二应用和/或所述应用数据的访问授权的步骤具体包括：
22.判断所述第一应用的所述对外访问权限列表中是否记载有所述第二应用；
23.若记载有所述第二应用，则判断所述第二应用的所述对内访问权限列表中是否记载有所述第一应用；
24.若记载有所述第一应用，则确定所述第一应用具有对所述第二应用和/或所述应用数据的访问授权。
25.可选的，所述若具有所述访问授权，则控制所述第二应用对应的所述应用隔离带对所述第一应用定向解锁的步骤具体包括：
26.若所述第一应用具有所述访问授权，则在所述第二应用对应的所述应用隔离带上建立向所述第一应用定向开放的数据通道。
27.还提供了一种应用安全防护的系统，包括有：
28.隔离带构建单元，用于分别为各个应用构建加密的应用隔离带；其中，所述应用隔离带用于阻隔各个所述应用之间的数据访问；
29.监测与获取单元，用于监测到第一应用请求访问第二应用和/或所述第二应用的应用数据时，分别获取所述第一应用和所述第二应用对应预设的第一访问权限和第二访问权限；
30.授权判断单元，用于根据所述第一访问权限和所述第二访问权限，判断所述第一应用是否具有对所述第二应用和/或所述应用数据的访问授权；
31.解锁单元，用于若具有所述访问授权，则控制所述第二应用对应的所述应用隔离带对所述第一应用定向解锁。
32.另外，还提供了一种存储介质和计算机设备，所述存储介质用于存储一种用于执行上述应用安全防护的方法的计算机程序。
33.所述计算机设备包括存储介质、处理器以及存储在所述存储介质上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述的应用安全防护的方法。
34.本发明所述的应用安全防护的方法及其系统，通过分别为智能终端上的各个应用构建对应的应用隔离带并进行加密保护，所述应用隔离带用于阻隔各个应用之间的数据访
问；当监测到第一应用请求访问第二应用和/或第二应用的应用数据时，分别获取第一应用和第二应用预设的访问权限；进而依据所述访问权限，判断第一应用是否具有对第二应用和/或所述应用数据的访问授权；若具有所述访问授权，则控制第二应用对应的应用隔离带对第一应用进行定向解锁；反之，则通过应用隔离带阻隔来自第一应用的访问请求。据此，本发明能够及时管控各个应用之间的访问权限与数据读取，极大地提升了用户使用智能终端的安全性。
附图说明
35.图1为本发明一实施例提供的所述应用安全防护的方法的步骤流程图；
36.图2为本发明另一实施例提供的所述应用安全防护的方法的步骤流程图；
37.图3为本发明的所述应用安全防护的方法一实施例用于应用隔离带构建可选的步骤流程图；
38.图4为本发明的所述应用安全防护的方法一实施例用于监测应用与获取访问权限可选的步骤流程图；
39.图5为本发明一实施例提供的所述应用安全防护的系统的结构示意框图；
40.图6为本发明另一实施例提供的所述应用安全防护的系统的结构示意框图。
具体实施方式
41.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
42.需要说明的，本说明书中针对“一个实施例”、“实施例”、“示例实施例”等的引用，指的是描述的该实施例可包括特定的特征、结构或特性，但是不是每个实施例必须包含这些特定特征、结构或特性。此外，这样的表述并非指的是同一个实施例。进一步，在结合实施例描述特定的特征、结构或特性时，不管有没有明确的描述，已经表明将这样的特征、结构或特性结合到其它实施例中是在本领域技术人员的知识范围内的。
43.此外，在说明书及后续的权利要求当中使用了某些词汇来指称特定组件或部件，所属领域中具有通常知识者应可理解，制造商可以用不同的名词或术语来称呼同一个组件或部件。本说明书及后续的权利要求并不以名称的差异来作为区分组件或部件的方式，而是以组件或部件在功能上的差异来作为区分的准则。在通篇说明书及后续的权利要求书中所提及的“包括”和“包含”为一开放式的用语，故应解释成“包含但不限定于”。以外，“连接”一词在此系包含任何直接及间接的电性连接手段。间接的电性连接手段包括通过其它装置进行连接。
44.图1示出本发明一实施例提供的应用安全防护的方法，所述方法应用于智能终端上，所述智能终端包括但不限于智能手机、智能手表、平板电脑或个人计算机等设备；所述方法包括步骤如下：
45.s101：分别为各个应用构建加密的应用隔离带；其中，所述应用隔离带用于阻隔各个应用之间的数据访问。具体的，本实施例预先为智能终端中的每一应用构建与之对应的应用隔离带，所述应用隔离带其作用类似于水马安全隔离带，将智能终端内部的各个应用
之间的联系阻隔开来，从而限制各个应用之间任意的数据访问与读取。
46.可选的，步骤s101还包括：创建所述应用隔离带对应的特征集；其中，所述特征集包括有应用身份标识、应用进程数、进程数组以及访问权限，且所述访问权限由对外访问权限列表和对内访问权限列表组成。每一应用隔离带对应着特定的特征集，所述应用隔离带依据所述特征集确定所隔离的应用及其进程等信息，同时依据所述访问权限确定哪些应用可以访问所述应用隔离带内的应用及其应用数据。
47.s102：监测到第一应用请求访问第二应用和/或第二应用的应用数据时，分别获取所述第一应用和第二应用对应预设的第一访问权限和第二访问权限。本实施例为每一应用预先配置与之对应的访问权限，既可以是由用户主动进行配置，也可以依据预定的配置规则进行默认配置；所述访问权限包括对外向其他应用访问的权限和应用自身对内授权被访问的权限。具体实施时，若监测到第一应用请求访问第二应用和/或第一应用请求访问第二应用的应用数据(所述应用数据包括第二应用联网产生的数据信息和后台运行的缓存数据等)时，分别从所述第一应用的特征集中调取第一访问权限，从第二应用的特征集中调取第二访问权限。
48.s103：根据所述第一访问权限和第二访问权限，判断所述第一应用是否具有对所述第二应用和/或应用数据的访问授权。具体的，根据第一访问权限确定第一应用是否被允许向第二应用请求访问，再依据第二访问权限确定第二应用是否允许接收来自第一应用的访问，只有通过第一访问权限和第二访问权限确定的双向授权，方才允许第一应用访问第二应用和/或第二应用的应用数据。
49.s104：若具有所述访问授权，则控制所述第二应用对应的所述应用隔离带对所述第一应用定向解锁。所述定向解锁是指第二应用的应用隔离带向指定的应用(如第一应用)开放，以便于指定的应用能够访问到第二应用和/或第二应用的应用数据。本实施例在确定第一应用具有访问第二应用和/或第二应用的应用数据的访问授权后，系统控制第二应用对应的应用隔离带对第一应用进行定向解锁；如赋予第一应用用于解锁第二应用的应用隔离带的临时密码和长期密码，以使第一应用依据获得的临时密码和长期密码对应用隔离带进行解锁，从而访问第二应用和/或第二应用的应用数据。
50.可选的，步骤s104具体包括：若第一应用具有所述访问授权，则在第二应用对应的所述应用隔离带上建立向第一应用定向开放的数据通道。即通过所述数据通道连通第一应用和第二应用，以便于第一应用通过所述数据通道访问到第二应用和/或第二应用的应用数据。
51.本发明通过预先为各个应用构建应用隔离带，借由所述应用隔离带将各个应用进行阻隔开来，仅从双方的访问权限中确定某一方或双方具有访问授权时，方才允许相应的应用之间进行访问。据此，本发明实现了对应用动态互访的安全管控，提升了终端使用的数据安全性。
52.图2示出本发明另一实施例提供的应用安全防护的方法，其在结合上述实施例的基础上，所述步骤s103之后，还包括：
53.s105：若第一应用不具有所述访问授权，则生成所述第一应用请求访问的指令弹框。具体的，所述指令弹框上显示着第一应用对第二应用的访问请求，同时在所述指令弹框上展现第一虚拟按键和第二虚拟按键，所述第一虚拟按键用于触发生成第一指令，所述第
二虚拟按键用于触发生成第二指令。
54.s106：响应于用户在指令弹框上触发的第一指令，控制所述第二应用对应的应用隔离带对第一应用定向解锁，并更新所述第一应用的第一访问权限和第二应用的第二访问权限以使所述第一应用获得所述访问授权。即第一指令为允许第一应用访问第二应用和/或第二应用的应用数据；具体实施时，用户在智能终端的显示界面弹出的指令弹框上选择相应的虚拟按键以触发生成第一指令，在接收到第一指令后，系统控制第二应用的应用隔离带对第一应用进行定向解锁，即定向开放给第一应用进行访问。同时，更新第一应用和第二应用对应的第一访问权限和第二访问权限，以使第一应用依据更新后的第一访问权限和第二访问权限，在后续依然能够获得访问第二应用的访问授权。
55.可选的，步骤s105之后，还包括：
56.s107：响应于用户在指令弹框上触发的第二指令，禁止第一应用的访问请求，并在监测到所述第一应用的解锁行为达到预设条件时，生成告警提示。即第二指令为拒绝第一应用访问第二应用和/或第二应用的应用数据；具体实施时，用户在智能终端的显示界面弹出的指令弹框上选择相应的虚拟按键以触发生成第二指令，在接收到第二指令后，对第一应用向第二应用发出的访问请求不做任何处理或者拦截该访问请求。并监测第一应用后续是否持续尝试对第二应用的应用隔离带进行解锁；例如，监测到第一应用后续继续尝试对第二应用的应用隔离带进行解锁的次数超过预设的次数阈值时，则生成用于提示第一应用为木马应用或病毒等的告警提示。
57.可选的，步骤s107之后，还包括：通过对所述解锁行为进行ai智能分析，以更新应用隔离带的安全锁算法。具体实施时，将第一应用在首次尝试访问请求访问第二应用失败后，获取第一应用后续尝试对第二应用的解锁行为，所述解锁行为包括针对第二应用的应用隔离带进行暴力破解的行为(所述解锁行为的收集信息至少包括：应用名称，安装来源，解锁对象包名，解锁时间，解锁次数等)；由于第一应用多次尝试解锁访问第二应用，为避免其通过云端暴力破解应用隔离带上的安全锁算法，本实施例将收集到第一应用的解锁行为上报到指定的云端算法中心，进而由云端算法中心通过ai智能计算返回新的安全锁算法给智能终端，进而基于新的安全锁算法重新构建各个应用的应用隔离带。
58.参见图3，在上述任一实施例的一可选的实施方式中，步骤s101具体包括：
59.s1011：分别构建以各个应用的应用身份标识为索引的应用隔离带。
60.s1012：根据预设的安全锁算法对所述应用隔离带进行访问加锁。
61.其中，所述应用身份标识为应用包名；具体实施时，在智能终端的系统启动时将以应用包名为索引构建各个应用对应的应用隔离带并基于预设的安全锁算法对应用隔离带进行加锁，以使其他应用在未能解锁该应用隔离带的情况下不能访问应用隔离带内的应用。所述安全锁算法是指将应用隔离带进行加密的算法，只有获得正确的安全锁密码方才能解开所述应用隔离带并访问该应用隔离带所隔离的应用。
62.参见图4，在上述任一实施例的一可选的实施方式中，步骤s102具体包括：
63.s1021：根据对各个应用的全生命周期行为的实时动态监控，确定是否存在第一应用向第二应用请求访问的目标行为。
64.s1022：若存在所述目标行为，则分别获取所述第一应用和第二应用预设的第一访问权限和第二访问权限。
65.其中，应用的全生命周期为应用从安装到智能终端到从所述智能终端卸载的整个周期，其全生命周期行为即为应用安装到智能终端之后的应用行为；具体的，本实施例将实时动态监控所有应用的全生命周期的行为，从这些监控到应用行为中确定到某一应用向其他应用请求访问时，以应用包名为索引从相应的特征集中获取第一应用和第二应用分别对应的第一访问权限和第二访问权限。本实施例的所述目标行为包括第一应用请求访问第二应用的行为和请求访问第二应用的应用数据的行为。
66.一实施例中，步骤s1022具体包括：若存在所述目标行为，则获取第一应用的对外访问权限列表和第二应用的对内访问权限列表。本实施例中的每一应用的访问权限中均包括有对外访问权限列表eapl(external access permission list，包括系统和应用)和对内访问权限列表iapl(internal access permission list，包括系统和应用)；所述对外访问权限列表上记录着对外可访问的其他应用，所述对内访问权限列表上记录着可对自身进行访问的其他应用。若确定第一应用向第二应用请求访问时，则分别获取第一应用的对外访问权限列表和第二应用的对内访问权限列表。
67.可选的，步骤s103具体包括：判断所述第一应用的对外访问权限列表中是否记载有第二应用；若记载有第二应用，则判断所述第二应用的对内访问权限列表中是否记载有第一应用；若记载有第一应用，则确定第一应用具有对第二应用和/或所述应用数据的访问授权。例如，设第一应用为x，第二应用为y，则在应用x将要访问应用y和/或应用y的数据时，获取应用x的对外访问权限列表eapl
x
以及应用y的对内访问权限列表iaply；如果eapl
x
中含有应用y且iaply中含应用x，那么将允许应用x访问y应用和/或y应用的数据；如果eapl
x
中不含应用y或iaply中不含应用x，则将不允许应用x访问应用y和/或应用y的数据，同时弹出提醒窗告知用户当前存在应用x正在访问应用y和/或应用y的数据，由用户选择允许还是拒绝访问。若用户选择允许，则将同时更新eapl
x
和iaply，以允许应用x能够访问应用y和/或应用y的数据。
68.一实施例中，步骤s104具体包括：若所述第一应用具有所述访问授权，则在所述第二应用对应的所述应用隔离带上建立向所述第一应用定向开放的数据通道。
69.图5示出本发明一实施例提供的应用安全防护的系统100，其应用于智能终端上，智能终端包括智能手机、智能手表、平板电脑或个人计算机等设备；所述系统100包括有隔离带构建单元10、监测与获取单元20、授权判断单元30以及解锁单元40，其中：
70.隔离带构建单元10用于分别为各个应用构建加密的应用隔离带；其中，所述应用隔离带用于阻隔各个所述应用之间的数据访问；监测与获取单元20用于监测到第一应用请求访问第二应用和/或第二应用的应用数据时，分别获取所述第一应用和第二应用对应预设的第一访问权限和第二访问权限；授权判断单元30用于根据所述第一访问权限和第二访问权限，判断第一应用是否具有对所述第二应用和/或所述应用数据的访问授权；解锁单元40用于若具有所述访问授权，则控制所述第二应用对应的应用隔离带对所述第一应用定向解锁。
71.图6示出本发明另一实施例提供的应用安全防护的系统200，其在上述实施例的基础上，还包括有弹框单元50和第一响应单元60，其中：
72.弹框单元50用于若所述第一应用不具有所述访问授权，则生成第一应用请求访问的指令弹框；第一响应单元60用于响应于用户在所述指令弹框上触发的第一指令，控制所
述第二应用对应的应用隔离带对第一应用定向解锁，并更新所述第一应用的第一访问权限和第二应用的第二访问权限以使第一应用获得所述访问授权。
73.可选的，还包括有第二响应单元70，其用于响应于用户在所述指令弹框上触发的第二指令，禁止所述第一应用的访问请求，并在监测到第一应用的解锁行为达到预设条件时，生成告警提示。
74.一实施例中，还包括有更新单元，其用于通过对所述解锁行为进行ai智能分析，以更新所述应用隔离带的安全锁算法。
75.可选的，还包括有创建单元，其用于创建所述应用隔离带对应的特征集；其中，所述特征集包括有应用身份标识、应用进程数、进程数组以及访问权限，且所述访问权限由对外访问权限列表和对内访问权限列表组成。
76.在一可选的实施方式中，所述隔离带构建单元10具体包括构建子单元和加锁子单元，其中：
77.构建子单元用于分别构建以各个应用的应用身份标识为索引的应用隔离带；加锁子单元用于根据预设的安全锁算法对所述应用隔离带进行访问加锁。
78.在一可选的实施方式中，所述监测与获取单元20具体包括监测子单元和获取子单元，其中：
79.监测子单元用于根据对各个应用的全生命周期行为的实时动态监控，确定是否存在第一应用向第二应用请求访问的目标行为；获取子单元用于若存在所述目标行为，则分别获取所述第一应用和第二应用预设的第一访问权限和第二访问权限。
80.可选的，所述获取子单元具体用于：若存在所述目标行为，则获取所述第一应用的对外访问权限列表和所述第二应用的对内访问权限列表。
81.在一可选的实施方式中，所述授权判断单元30具体包括第一判断子单元、第二判断子单元以及确定子单元，其中：
82.第一判断子单元用于判断所述第一应用的所述对外访问权限列表中是否记载有第二应用；第二判断子单元用于若记载有第二应用，则判断所述第二应用的所述对内访问权限列表中是否记载有第一应用；确定子单元用于若记载有所述第一应用，则确定所述第一应用具有对所述第二应用和/或应用数据的访问授权。
83.可选的，所述解锁单元40具体用于：若第一应用具有所述访问授权，则在第二应用对应的所述应用隔离带上建立向第一应用定向开放的数据通道。
84.本发明还提供一种存储介质，用于存储如图1～图4所述应用安全防护的方法的计算机程序。例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供根据本技术的方法和/或技术方案。而调用本技术的方法的程序指令，可能被存储在固定的或可移动的存储介质中，和/或通过广播或其他信号承载媒体中的数据流而被传输和/或被存储在根据程序指令运行的计算机设备的存储介质中。在此，根据本技术的一个实施例包括如图5或图6所示应用安全防护的系统的计算机设备，所述计算机设备优选包括用于存储计算机程序的存储介质和用于执行计算机程序的处理器，其中，当该计算机程序被该处理器执行时，触发该计算机设备执行基于前述多个实施例中的方法和/或技术方案。
85.需要注意的是，本技术可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用集成电路(asic)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例
中，本技术的软件程序可以通过处理器执行以实现上文步骤或功能。同样地，本技术的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，ram存储器，磁或光驱动器或软磁盘及类似设备。另外，本技术的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。
86.根据本发明的方法可以作为计算机实现方法在计算机上实现、或者在专用硬件中实现、或以两者的组合的方式实现。用于根据本发明的方法的可执行代码或其部分可以存储在计算机程序产品上。计算机程序产品的示例包括存储器设备、光学存储设备、集成电路、服务器、在线软件等。优选地，计算机程序产品包括存储在计算机可读介质上以便当所述程序产品在计算机上执行时执行根据本发明的方法的非临时程序代码部件。
87.在优选实施例中，计算机程序包括适合于当计算机程序在计算机上运行时执行根据本发明的方法的所有步骤的计算机程序代码部件。优选地，在计算机可读介质上体现计算机程序。
88.综上所述，本发明所述的应用安全防护的方法及其系统，通过分别为智能终端上的各个应用构建对应的应用隔离带并进行加密保护，所述应用隔离带用于阻隔各个应用之间的数据访问；当监测到第一应用请求访问第二应用和/或第二应用的应用数据时，分别获取第一应用和第二应用预设的访问权限；进而依据所述访问权限，判断第一应用是否具有对第二应用和/或所述应用数据的访问授权；若具有所述访问授权，则控制第二应用对应的应用隔离带对第一应用进行定向解锁；反之，则通过应用隔离带阻隔来自第一应用的访问请求。据此，本发明能够及时管控各个应用之间的访问权限与数据读取，极大地提升了用户使用智能终端的安全性。
89.当然，本发明还可有其它多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
90.本发明还提供了a1、一种应用安全防护的方法，包括步骤：
91.分别为各个应用构建加密的应用隔离带；其中，所述应用隔离带用于阻隔各个所述应用之间的数据访问；
92.监测到第一应用请求访问第二应用和/或所述第二应用的应用数据时，分别获取所述第一应用和所述第二应用对应预设的第一访问权限和第二访问权限；
93.根据所述第一访问权限和所述第二访问权限，判断所述第一应用是否具有对所述第二应用和/或所述应用数据的访问授权；
94.若具有所述访问授权，则控制所述第二应用对应的所述应用隔离带对所述第一应用定向解锁。
95.a2、根据a1所述的应用安全防护的方法，所述分别为各个应用构建加密的应用隔离带的步骤还包括：
96.创建所述应用隔离带对应的特征集；其中，所述特征集包括有应用身份标识、应用进程数、进程数组以及访问权限，且所述访问权限由对外访问权限列表和对内访问权限列表组成。
97.a3、根据a2所述的应用安全防护的方法，所述分别为各个应用构建加密的应用隔离带的步骤具体包括：
98.分别构建以各个应用的所述应用身份标识为索引的应用隔离带；
99.根据预设的安全锁算法对所述应用隔离带进行访问加锁。
100.a4、根据a2所述的应用安全防护的方法，所述监测到第一应用请求访问第二应用和/或所述第二应用的应用数据时，分别获取所述第一应用和所述第二应用预设的第一访问权限和第二访问权限的步骤具体包括：
101.根据对各个所述应用的全生命周期行为的实时动态监控，确定是否存在第一应用向第二应用请求访问的目标行为；
102.若存在所述目标行为，则分别获取所述第一应用和所述第二应用预设的第一访问权限和第二访问权限。
103.a5、根据a4所述的应用安全防护的方法，所述若存在所述目标行为，则分别获取所述第一应用和所述第二应用预设的第一访问权限和第二访问权限的步骤具体包括：
104.若存在所述目标行为，则获取所述第一应用的对外访问权限列表和所述第二应用的对内访问权限列表。
105.a6、根据a5所述的应用安全防护的方法，所述根据所述第一访问权限和所述第二访问权限，判断所述第一应用是否具有对所述第二应用和/或所述应用数据的访问授权的步骤具体包括：
106.判断所述第一应用的所述对外访问权限列表中是否记载有所述第二应用；
107.若记载有所述第二应用，则判断所述第二应用的所述对内访问权限列表中是否记载有所述第一应用；
108.若记载有所述第一应用，则确定所述第一应用具有对所述第二应用和/或所述应用数据的访问授权。
109.a7、根据a1所述的应用安全防护的方法，所述若具有所述访问授权，则控制所述第二应用对应的所述应用隔离带对所述第一应用定向解锁的步骤具体包括：
110.若所述第一应用具有所述访问授权，则在所述第二应用对应的所述应用隔离带上建立向所述第一应用定向开放的数据通道。
111.a8、根据a1所述的应用安全防护的方法，所述根据所述第一访问权限和所述第二访问权限，判断所述第一应用是否具有对所述第二应用和/或所述应用数据的访问授权的步骤之后，还包括：
112.若所述第一应用不具有所述访问授权，则生成所述第一应用请求访问的指令弹框；
113.响应于用户在所述指令弹框上触发的第一指令，控制所述第二应用对应的所述应用隔离带对所述第一应用定向解锁，并更新所述第一应用的所述第一访问权限和所述第二应用的所述第二访问权限以使所述第一应用获得所述访问授权。
114.a9、根据a8所述的应用安全防护的方法，所述若所述第一应用不具有所述访问授权，则生成所述第一应用请求访问的指令弹框的步骤之后，还包括：
115.响应于用户在所述指令弹框上触发的第二指令，禁止所述第一应用的访问请求，并在监测到所述第一应用的解锁行为达到预设条件时，生成告警提示。
116.a10、根据a9所述的应用安全防护的方法，所述响应于用户在所述指令弹框上触发的第二指令，禁止所述第一应用的访问请求，并在监测到所述第一应用的解锁行为达到预
设条件时，生成告警提示的步骤之后，还包括：
117.通过对所述解锁行为进行ai智能分析，以更新所述应用隔离带的安全锁算法。
118.还提供了b11、一种应用安全防护的系统，包括有：
119.隔离带构建单元，用于分别为各个应用构建加密的应用隔离带；其中，所述应用隔离带用于阻隔各个所述应用之间的数据访问；
120.监测与获取单元，用于监测到第一应用请求访问第二应用和/或所述第二应用的应用数据时，分别获取所述第一应用和所述第二应用对应预设的第一访问权限和第二访问权限；
121.授权判断单元，用于根据所述第一访问权限和所述第二访问权限，判断所述第一应用是否具有对所述第二应用和/或所述应用数据的访问授权；
122.解锁单元，用于若具有所述访问授权，则控制所述第二应用对应的所述应用隔离带对所述第一应用定向解锁。
123.b12、根据b11所述的应用安全防护的系统，还包括有：
124.创建单元，用于创建所述应用隔离带对应的特征集；其中，所述特征集包括有应用身份标识、应用进程数、进程数组以及访问权限，且所述访问权限由对外访问权限列表和对内访问权限列表组成。
125.b13、根据b12所述的应用安全防护的系统，所述隔离带构建单元具体包括：
126.构建子单元，用于分别构建以各个应用的所述应用身份标识为索引的应用隔离带；
127.加锁子单元，用于根据预设的安全锁算法对所述应用隔离带进行访问加锁。
128.b14、根据b12所述的应用安全防护的系统，所述监测与获取单元具体包括：
129.监测子单元，用于根据对各个所述应用的全生命周期行为的实时动态监控，确定是否存在第一应用向第二应用请求访问的目标行为；
130.获取子单元，用于若存在所述目标行为，则分别获取所述第一应用和所述第二应用预设的第一访问权限和第二访问权限。
131.b15、根据b14所述的应用安全防护的系统，所述获取子单元具体用于：
132.若存在所述目标行为，则获取所述第一应用的对外访问权限列表和所述第二应用的对内访问权限列表。
133.b16、根据b15所述的应用安全防护的系统，所述授权判断单元具体包括：
134.第一判断子单元，用于判断所述第一应用的所述对外访问权限列表中是否记载有所述第二应用；
135.第二判断子单元，用于若记载有所述第二应用，则判断所述第二应用的所述对内访问权限列表中是否记载有所述第一应用；
136.确定子单元，用于若记载有所述第一应用，则确定所述第一应用具有对所述第二应用和/或所述应用数据的访问授权。
137.b17、根据b11所述的应用安全防护的系统，所述解锁单元具体用于：
138.若所述第一应用具有所述访问授权，则在所述第二应用对应的所述应用隔离带上建立向所述第一应用定向开放的数据通道。
139.b18、根据b11所述的应用安全防护的系统，还包括有：
140.弹框单元，用于若所述第一应用不具有所述访问授权，则生成所述第一应用请求访问的指令弹框；
141.第一响应单元，用于响应于用户在所述指令弹框上触发的第一指令，控制所述第二应用对应的所述应用隔离带对所述第一应用定向解锁，并更新所述第一应用的所述第一访问权限和所述第二应用的所述第二访问权限以使所述第一应用获得所述访问授权。
142.b19、根据b18所述的应用安全防护的系统，还包括有：
143.第二响应单元，用于响应于用户在所述指令弹框上触发的第二指令，禁止所述第一应用的访问请求，并在监测到所述第一应用的解锁行为达到预设条件时，生成告警提示。
144.b20、根据b19所述的应用安全防护的系统，还包括有：
145.更新单元，用于通过对所述解锁行为进行ai智能分析，以更新所述应用隔离带的安全锁算法。
146.还提供了c21、一种存储介质，用于存储一种用于执行a1～a10中任意一种所述应用安全防护的方法的计算机程序。
147.还提供了d22、一种计算机设备，包括存储介质、处理器以及存储在所述存储介质上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现a1～a10任一项所述应用安全防护的方法。

技术特征：
1.一种应用安全防护的方法，其特征在于，包括步骤：分别为各个应用构建加密的应用隔离带；其中，所述应用隔离带用于阻隔各个所述应用之间的数据访问；监测到第一应用请求访问第二应用和/或所述第二应用的应用数据时，分别获取所述第一应用和所述第二应用对应预设的第一访问权限和第二访问权限；根据所述第一访问权限和所述第二访问权限，判断所述第一应用是否具有对所述第二应用和/或所述应用数据的访问授权；若具有所述访问授权，则控制所述第二应用对应的所述应用隔离带对所述第一应用定向解锁。2.根据权利要求1所述的应用安全防护的方法，其特征在于，所述分别为各个应用构建加密的应用隔离带的步骤还包括：创建所述应用隔离带对应的特征集；其中，所述特征集包括有应用身份标识、应用进程数、进程数组以及访问权限，且所述访问权限由对外访问权限列表和对内访问权限列表组成。3.根据权利要求2所述的应用安全防护的方法，其特征在于，所述分别为各个应用构建加密的应用隔离带的步骤具体包括：分别构建以各个应用的所述应用身份标识为索引的应用隔离带；根据预设的安全锁算法对所述应用隔离带进行访问加锁。4.根据权利要求2所述的应用安全防护的方法，其特征在于，所述监测到第一应用请求访问第二应用和/或所述第二应用的应用数据时，分别获取所述第一应用和所述第二应用预设的第一访问权限和第二访问权限的步骤具体包括：根据对各个所述应用的全生命周期行为的实时动态监控，确定是否存在第一应用向第二应用请求访问的目标行为；若存在所述目标行为，则分别获取所述第一应用和所述第二应用预设的第一访问权限和第二访问权限。5.根据权利要求4所述的应用安全防护的方法，其特征在于，所述若存在所述目标行为，则分别获取所述第一应用和所述第二应用预设的第一访问权限和第二访问权限的步骤具体包括：若存在所述目标行为，则获取所述第一应用的对外访问权限列表和所述第二应用的对内访问权限列表。6.根据权利要求5所述的应用安全防护的方法，其特征在于，所述根据所述第一访问权限和所述第二访问权限，判断所述第一应用是否具有对所述第二应用和/或所述应用数据的访问授权的步骤具体包括：判断所述第一应用的所述对外访问权限列表中是否记载有所述第二应用；若记载有所述第二应用，则判断所述第二应用的所述对内访问权限列表中是否记载有所述第一应用；若记载有所述第一应用，则确定所述第一应用具有对所述第二应用和/或所述应用数据的访问授权。7.根据权利要求1所述的应用安全防护的方法，其特征在于，所述若具有所述访问授
权，则控制所述第二应用对应的所述应用隔离带对所述第一应用定向解锁的步骤具体包括：若所述第一应用具有所述访问授权，则在所述第二应用对应的所述应用隔离带上建立向所述第一应用定向开放的数据通道。8.一种应用安全防护的系统，其特征在于，包括有：隔离带构建单元，用于分别为各个应用构建加密的应用隔离带；其中，所述应用隔离带用于阻隔各个所述应用之间的数据访问；监测与获取单元，用于监测到第一应用请求访问第二应用和/或所述第二应用的应用数据时，分别获取所述第一应用和所述第二应用对应预设的第一访问权限和第二访问权限；授权判断单元，用于根据所述第一访问权限和所述第二访问权限，判断所述第一应用是否具有对所述第二应用和/或所述应用数据的访问授权；解锁单元，用于若具有所述访问授权，则控制所述第二应用对应的所述应用隔离带对所述第一应用定向解锁。9.一种存储介质，其特征在于，用于存储一种用于执行权利要求1～7中任意一种所述应用安全防护的方法的计算机程序。10.一种计算机设备，包括存储介质、处理器以及存储在所述存储介质上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1～7任一项所述应用安全防护的方法。

技术总结
本发明提供了一种应用安全防护的方法，分别为各个应用构建加密的应用隔离带；其中，所述应用隔离带用于阻隔各个所述应用之间的数据访问；监测到第一应用请求访问第二应用和/或所述第二应用的应用数据时，分别获取所述第一应用和所述第二应用预设的第一访问权限和第二访问权限；根据所述第一访问权限和所述第二访问权限，判断所述第一应用是否具有对所述第二应用和/或所述应用数据的访问授权；若具有所述访问授权，则控制所述第二应用对应的所述应用隔离带对所述第一应用定向解锁。本发明还提供了一种应用安全防护的系统、存储介质及计算机设备。借此，本发明能够实现各个应用之间动态互访的安全管控，提升了智能终端的数据安全性。安全性。安全性。


技术研发人员：徐玉伟 周志鸿 汤阳
受保护的技术使用者：奇酷软件（深圳）有限公司
技术研发日：2022.01.17
技术公布日：2023/7/26