(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210476229.7 (22)申请日 2022.04.29 (71)申请人 阿里巴巴 （中国） 有限公司 地址 311121 浙江省杭州市余杭区五常街 道文一西路969号3幢5层5 54室 (72)发明人 陶义　陈善佩　王鹏　宋卓　杨勇　 (74)专利代理 机构 北京博思佳知识产权代理有 限公司 1 1415 专利代理师 李威 (51)Int.Cl. G06F 21/62(2013.01) (54)发明名称 访问权限的设置方法及装置 (57)摘要 本说明书一个或多个实施例提供一种访问 权限的设置方法及装置， 包括： 确定目标系统的 函数调用关系图； 将所述函数调用关系图中的原 始节点替换为由新建有向边相连的两个新建节 点， 所述新 建有向边的容量被设置为1； 确定 所述 函数调用关系图的最小割， 并将所述最小割对应 的有向边所连接的节点代表的函数确定为关卡 函数； 对待隔离数据所在的内存进行访问权限设 置， 并对所述关卡函数进行关联性设置， 以使得 当进入所述 关卡函数时， 所述内存打开所述访问 权限， 退出所述关卡函数时， 所述内存关闭所述 访问权限。 权利要求书2页 说明书8页 附图3页 CN 114840878 A 2022.08.02 CN 114840878 A 1.一种访问权限的设置方法， 其特 征在于， 包括： 确定目标系统的函数调用关系图， 其中， 所述函数调用关系图中的原始节点与所述目 标系统中的函数对应， 所述原始节点之间由原始有向边相连接， 所述原始有向边代表所连 接的原始节点分别对应的函数之间的调用关系， 且所述原始有向边的容量被设置为无限 大； 将所述函数调用关系图中的所述原始节点替换为由新建有向边相连的两个新建节点， 所述新建有向边的容 量被设置为1； 确定所述函数调用关系图的最小割， 并将所述最小割对应的有向边所连接的节点代表 的函数确定为关卡 函数； 对待隔离数据所在的内存进行访 问权限设置， 并对所述关卡函数进行关联性设置， 以 使得当进入所述关卡函数时， 所述内存打开所述访问权限， 退出所述关卡函数时， 所述内存 关闭所述访问权限。 2.如权利要求1所述的方法， 其特 征在于， 所述确定目标系统的函数调用关系图， 包括： 通过解析 所述目标系统的源代码， 确定所述目标系统所包 含的函数； 根据所述目标系统所包 含的函数之间的调用关系， 建立 函数调用关系图。 3.如权利要求2所述的方法， 其特 征在于， 还 包括： 在所述目标系统为整体系统所含的子系统的情况下， 将所述整体系统的源代码文件和 用于表征 所述子系统在所述源代码文件中所对应的代码范围的信息 输入关系确定 工具； 获取所述关系确定 工具输出的所述调用关系。 4.如权利要求3所述的方法， 其特征在于， 所诉关系确定工具包括： gcc ‑python‑plugin 工具。 5.如权利要求1所述的方法， 其特征在于， 所述确定所述函数调用关系图的最小割， 包 括： 根据最大流与最小割定理确定所述 函数调用关系图的最小割。 6.如权利要求5所述的方法， 其特征在于， 在通过采用所述最大流与最小割定理的 Ford‑Fulkerson算法求解所述最小割的情况 下， 所述方法还 包括： 根据所述函数调用关系图确定接口函数对应的接口节点与隔离函数对应的隔离节点， 其中， 所述接口函数为被所述 目标系统外其他函数调用的函数， 所述隔离函数为直接访问 目标系统中的数据的函数； 在所述函数调用关系图中新增源点与汇点， 所述源点通过容量为无限大的有向边指向 各个接口节点， 各个隔离节点 通过容量为无限大的有向边指向所述汇点； 所述确定所述函数调用关系图的最小割， 包括： 利用Ford ‑Fulkerson算法求解包含所 述源点与汇点的函数调用关系图的最小割。 7.如权利要求1所述的方法， 其特征在于， 所述对待 隔离数据所在的内存进行访问权限 设置， 包括： 使用特权的保护密钥对所述目标 数据所在的内存进行访问权限设置 。 8.一种访问权限的设置装置， 其特 征在于， 包括： 函数调用关系图确定单元， 用于确定目标系统的函数调用关系图， 其中， 所述函数调用 关系图中的原始节点与所述目标系统中的函数对应， 所述原始节点之 间由原始有向边相连权　利　要　求　书 1/2 页 2 CN 114840878 A 2接， 所述原始有向边代表所连接的原始节点分别对应的函数之间的调用关系， 且所述原始 有向边的容 量被设置为无限大； 新建节点替换单元， 用于将所述函数调用关系图中的所述原始节点替换为由新建有向 边相连的两个新建节点， 所述 新建有向边的容 量被设置为1； 最小割确定单元， 用于确定所述函数调用关系图的最小割， 并将所述最小割对应的有 向边所连接的节点代 表的函数确定为关卡 函数； 访问权限设置单元， 用于对待隔离数据所在的内存进行访 问权限设置， 并对所述关卡 函数进行关联性设置， 以使得当进入所述关卡函数时， 所述内存打开所述访问权限， 退出所 述关卡函数时， 所述内存关闭所述访问权限。 9.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述程序被处理器 执行时实现权利要求1 ‑7中任意一项所述方法的步骤。 10.一种电子设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求 1‑7中任意一项 所述方法 的步骤。权　利　要　求　书 2/2 页 3 CN 114840878 A 3