联网控制方法和装置、系统、安全网关、移动终端
技术领域
本发明涉及互联网技术,尤其是一种应用程序的联网控制方法和装置、系统、安全网关、移动终端。
背景技术
近年来,智能移动终端,例如智能手机终端、掌上电脑等,越来越普及。如今大部分的移动终端都具有联网功能,尤其是随着智能手机终端的普及,将人们带入了网络时代。而移动终端上通常都安装有大量的应用程序(简称为:应用,APP),用户通过这些应用程序访问网络来获取信息,例如看小说、看视频、上网冲浪、玩游戏等,在用户通过这些应用程序访问网络的过程中,会产生一定的网络流量。
在实际应用中,有一些软件开发者为了推广业务,开发了一些恶意应用程序,用户在移动终端上安装这些恶意应用后,即使未使用该应用程序,这些应用程序仍然会在后台自动联网运行,大大增加了移动终端消耗的流量可能给用户增加一大笔额外的流量费用。
针对以上问题,现有技术提出了一些用于进行流量监控的应用程序,这些应用程序能够对移动终端上安装的应用程序使用的流量进行监控。
然而,在实现本发明的过程中,发明人发现,现有技术中进行流量监控的应用程序至少存在以下问题:
现有技术中进行流量监控的应用程序,只能监控出应用程序是否使用流量以及使用的流量是多少,即使监控出应用程序使用了流量,也无法区分哪些应用程序使用的流量为基于用户使用行为产生的正常流量,哪些应用使用的流量为非基于用户使用行为的“偷跑”流量,因此无法对应用程序使用流量的行为进行区分管理。
发明内容
本发明实施例所要解决的一个技术问题是:提供一种应用程序的联网控制方法和装置、系统、安全网关、移动终端,以实现对应用程序产生流量的区分管理。
根据本发明实施例的一个方面,提供的一种应用程序的联网控制方法,包括:
针对移动终端上应用程序发送的网络连接请求,利用安全网关根据预设规则判断是否允许所述网络连接请求通过;
若不允许所述网络连接请求通过,阻断所述网络连接请求;
若允许所述网络连接请求通过,放行所述网络连接请求;
采集移动终端中消耗网络流量的应用程序信息;
查询预先生成的配置列表中是否记录有所述消耗网络流量的应用程序信息;其中,所述配置列表中记录有不同时间内前台运行的应用程序信息;
若配置列表中未记录有所述消耗网络流量的应用程序信息,生成并发出是否禁止所述消耗网络流量的应用程序进行网络连接的提示消息,所述提示消息中包括所述消耗网络流量的应用程序的标识信息;
响应于接收到针对所述提示消息返回的禁止所述应用程序进行网络连接的指示消息,根据所述指示消息切断相应应用程序的网络连接;其中,所述指示消息中包括用户指示禁止网络连接的应用程序的标识信息。
在基于上述方法的另一实施例中,所述配置列表中记录的具体为不同时间内分别处于activity栈顶的top activity;
所述查询预先生成的配置列表中是否记录有所述消耗网络流量的应用程序信息具体为:查询配置列表中是否记录有所述消耗网络流量的应用程序的activity信息;
所述方法还包括:
实时或按照预设扫描周期,扫描activity栈中位于栈顶的top activity;
查询配置列表中是否记录有当前扫描到的top activity信息;
若配置列表中未记录有当前扫描到的top activity信息,按照扫描时间顺序,依次在配置列表中记录当前扫描到的top activity;
若配置列表中记录有当前扫描到的top activity信息,且当前扫描到的topactivity信息在配置列表中的位置不是按照扫描时间顺序对应的最新位置时,将当前扫描到的top activity信息从配置列表中的原有位置调整到按照扫描时间顺序对应的最新位置。
在基于上述方法的另一实施例中,还包括:
预先设置流量白名单,所述流量白名单中包括允许产生网络流量的应用程序的标识信息;
所述方法还包括:
若配置列表中未记录有所述消耗网络流量的应用程序信息,查询流量白名单中是否记录有所述消耗网络流量的应用程序的标识信息;
若流量白名单中未记录有所述消耗网络流量的应用程序的标识信息,执行所述生成并发出是否禁止所述消耗网络流量的应用程序进行网络连接的提示消息的操作。
在基于上述方法的另一实施例中,所述流量白名单中记录标识信息的应用程序包括:允许后台产生流量的应用程序、免收流量费用的应用程序、与流量费用优惠的应用程序中的任意一种或多种。
在基于上述方法的另一实施例中,所述流量白名单由服务器预先推送到移动终端中;或者,所述流量白名单由用户预先配置得到;或者,所述流量白名单由服务器预先推送到移动终端中,并由用户补充配置得到。
在基于上述方法的另一实施例中,所述采集移动终端中消耗网络流量的应用程序信息包括:
监测到所述移动终端接入移动数据网络,执行所述采集移动终端中消耗网络流量的应用程序信息的操作。
根据本发明实施例的另一个方面,提供的一种应用程序的联网控制装置,包括:
采集单元,用于采集移动终端中消耗网络流量的应用程序信息;
第一存储单元,用于存储配置列表,其中,所述配置列表中记录有不同时间内前台运行的应用程序信息;
查询单元,用于查询配置列表中是否记录有所述消耗网络流量的应用程序信息;
提示单元,用于根据查询单元的查询结果,若配置列表中未记录有所述消耗网络流量的应用程序信息,生成并发出是否禁止所述消耗网络流量的应用程序进行网络连接的提示消息,所述提示消息中包括所述消耗网络流量的应用程序的标识信息;
控制单元,响应于接收到针对所述提示消息返回的禁止所述应用程序进行网络连接的指示消息,根据所述指示消息切断相应应用程序的网络连接;其中,所述指示消息中包括用户指示禁止网络连接的应用程序的标识信息。
根据本发明实施例的另一个方面,提供的一种安全网关,包括:
接收单元,用于接收移动终端上应用程序发送的网络连接请求;
判断单元,用于根据预设规则判断是否允许所述网络连接请求通过;
转发单元,用于根据判断单元的判断结果,若允许所述网络连接请求通过,放行所述网络连接请求;否则,若不允许所述网络连接请求通过,阻断所述网络连接请求。
根据本发明实施例的又一个方面,提供的一种移动终端,包括上述任一实施例应用程序的联网控制装置。
根据本发明实施例的再一个方面,提供的一种应用程序的联网控制系统,包括上述任一实施例的应用程序的联网控制装置,所述应用程序的联网控制装置设置于移动终端中;和
一个或多个上述任一实施例的安全网关,所述安全网关位于企业网络中。
基于本发明上述实施例提供的应用程序的联网控制方法和装置、系统、安全网关、移动终端,可以在需要的位置,例如企业网络中,配置一个或多个安全网关(UnifiedSecurity Gateway,USG),通过安全网关接收来自移动终端上的应用程序的网络连接请求,并根据预设规则对所接收的网络连接请求进行判断,如果判断为通过则放行该网络连接请求,如果判断为不通过则阻断该网络连接请求,可以有效地控制移动终端上的应用程序接入特定网络,有效保证该网络中数据信息的安全性;
可以通过一个配置列表中记录不同时间前台运行的应用程序信息,在采集到移动终端中消耗网络流量的应用程序信息时,可以查询配置列表中是否记录有消耗网络流量的应用程序信息,并在配置列表中未记录有该消耗网络流量的应用程序信息时,提示用户是否禁止该消耗网络流量的应用程序进行网络连接,并根据用户的指示进行相应的网络连接控制。由此,本发明实施例可以区分移动终端上应用程序产生的流量是否基于用户使用行为产生的流量,从而实现对应用程序产生流量的区别管理和控制。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同描述一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明应用程序的联网控制方法一个实施例的流程图。
图2为本发明实施例中生成set列表一个实施例的流程图。
图3为本发明应用程序的联网控制方法另一个实施例的流程图。
图4为本发明应用程序的联网控制方法又一个实施例的流程图。
图5为本发明应用程序的联网控制装置一个实施例的结构示意图。
图6为本发明应用程序的联网控制装置另一个实施例的结构示意图。
图7为本发明安全网关一个实施例的结构示意图。
图8为本发明应用程序的联网控制系统一个实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明应用程序的联网控制方法一个实施例的流程图。如图1所示,该实施例的联网控制方法包括:
102,响应于接收到移动终端上应用程序发送的网络连接请求,根据预设规则判断是否允许该网络连接请求通过。
若不允许网络连接请求通过,执行操作104。否则,若允许网络连接请求通过,执行操作106。
104,阻断网络连接请求。
之后,执行本实施例的后续流程。
106,放行网络连接请求。
具体地,上述操作102~106可以由一个安全网关或类似的功能设备执行。
基于上述操作,可以在需要的位置,例如企业网络中,配置一个或多个安全网关,通过安全网关接收来自移动终端上的对应应用的网络连接请求;具体地,每个安全网关可以对应一个或多个应用,并根据预设规则对所接收的网络连接请求进行判断,如果判断为通过则放行该网络连接请求,如果判断为不通过则阻断该网络连接请求。可以有效地控制移动终端上的应用接入企业网络,有效保证企业数据信息的安全性。
108,采集移动终端中消耗网络流量的应用程序信息。
具体应用中,该操作108可以按照预设采集周期,例如,24小时,周期性地执行。
110,查询预先生成的配置(set)列表中是否记录有上述消耗网络流量的应用程序信息。
其中,set列表中记录有不同时间内移动终端中前台运行的应用程序信息。
若set列表中未记录有消耗网络流量的应用程序信息,执行操作112。否则,不执行本实施例的后续操作。
112,生成并发出是否禁止消耗网络流量的应用程序进行网络连接的提示消息,该提示消息中包括上述消耗网络流量的应用程序的标识信息。
其中,消耗网络流量的应用程序的标识,例如可以是网络流量的应用程序的包名或应用程序标识(UID),唯一标识一个移动终端。
示例性地,可以使用ActivityManager的getRunningAppProces(即:获取正在运行的进程信息)方法获得RunningAppProcessInfo(正在运行的进程信息),在RunningAppProcessInfo里面会有应用程序的唯一标识符UID,根据UID又可从系统文件中可获得相应应用进程的包名。
114,响应于接收到用户针对提示消息发送的禁止应用程序进行网络连接的指示消息,根据该指示消息切断相应应用程序的网络连接。
其中,指示消息中包括用户指示禁止网络连接的应用程序的标识信息。
上述操作108~114具体可以由移动终端中的一个装置,例如应用程序的联网控制装置,执行。
另外,该实施例中的操作102~106也可以由移动终端允许应用程序进行网络连接后发送网络连接请求而触发执行。
基于上述实施例的操作,可以通过一个配置列表中记录不同时间内移动终端前台运行的应用程序,在采集到移动终端中消耗网络流量的应用程序信息时,查询set列表中是否记录有消耗网络流量的应用程序信息,并在set列表中未记录有该消耗网络流量的应用程序信息时,提示用户是否禁止该消耗网络流量的应用程序进行网络连接,并根据用户的指示进行相应的网络连接控制。由此,本发明实施例可以区分移动终端上应用程序产生的流量是否基于用户使用行为产生的流量,从而实现对应用程序产生流量的区别管理和控制。
本发明各实施例,可以基于在移动终端内部创建本地虚拟专用网络(VPN)服务实现。其中的移动终端可以是智能手机终端、平板电脑等具有移动联网服务的移动客户端设备,作为VPN服务的客户端(VPN client)。移动终端的操作系统为了便于使用VPN服务,开放了多个系统接口(API),在得到用户确认的情况下,VPN服务可通过调用这些API在移动终端内部创建本地VPN服务,能够获得控制和管理其它应用程序的权限。具体地,通过调用操作系统提供的API,可将移动终端内部的VPN服务打开,当移动终端中的其它应用程序要访问网络时,应用程序所发起的网络连接请求均经过本地VPN服务的处理,使得移动终端能够有效且安全地访问网络资源。
以一种应用场景为例,移动终端在安装或首次启动用于实现本发明实施例的特定应用时,该特定应用需要创建本地VPN服务,此时特定应用向用户发出信任或不信任本应用的提示信息,如果用户选择信任,则该特定应用创建本地VPN服务。在创建本地VPN服务之后,由于在操作系统框架内允许VPN框架里的该特定应用对其它应用具有更高的控制权,所以该特定应用对于网络连接的控制级别高于其它应用。在用户要使用某些应用且希望在使用这些应用的过程中对这些应用发起的网络连接进行处理时,启动上述创建本地VPN服务的特定应用,点击特定应用的设置开关用于启动VPN client。在启动VPN client后,可以获知各应用创建的网络连接,并执行本实施例的方法。
Activity(活动)是Android系统中的四大组件之一,可以用于显示视图(View)。Activity有四种状态:活动状态,当Activity处于Stack(栈)顶时,就是移动终端当前的显示屏幕,这时Activity就处于activity或者运行状态;运行但是失去焦点,当Activity还处于运行状态时,但是屏幕上有另外一个Activity处于文档处于焦点状态,当前的Activity就处于pause;停止,当Activity被另一个Activity完全覆盖的时候,就被停止了,其实就是虽然在运行,但是用户却看不见;结束,当Activity处于pause或者stop时,系统可以结束Activity,回收资源,这时Activity就是处于结束状态了,处于结束状态的Activity,如果要使用户可见,只要重启才可以。
一个应用程序当中通常都会包含很多个Activity,每个Activity都为具有特定的功能、并且可以让用户进行操作的组件。另外,Activity之间还应该是可以相互启动的。例如,一个邮件应用中可能会包含一个用于展示邮件列表的Activity,而当用户点击了其中某一封邮件的时候,就会打开另外一个Activity来显示该封邮件的具体内容。移动终端中正在运行的所有activities形成activity栈。
在本发明各联网控制方法实施例的一个具体示例中,配置列表中记录的是在移动终端中不同时间内分别处于activity栈(satck)顶的activity,activity栈顶的activity称为top activity。由此,配置列表中记录的是前台运行的应用程序的activity,即:由基于用户使用操作行为运行的应用程序所创建的activity。由此,通过查询配置列表中是否记录有上述消耗网络流量的应用程序的activity信息,便可确认该消耗网络流量的应用程序为前台运行的应用程序还是后台运行的应用程序。相应地,操作110中,具体是查询set列表中是否记录有上述消耗网络流量的应用程序的activity信息。
在本发明应用程序的方法另一个实施例中,还可以包括生成set列表的操作,如图2所示,为本发明实施例中生成set列表一个实施例的流程图,其包括:
202,实时或按照预设扫描周期,扫描activity栈中位于栈顶的top activity。
其中的预设扫描周期例如可以是2秒,支持扫描到用户打开的每个应用程序即可。在此前提下,预设扫描周期越长约好,可以避免由于频繁扫描导致不必要的系统资源消耗。
示例性地,可以通过预先设置的调用函数获取activity栈中位于栈顶的topactivity。以Andriod系统为例,可以通过ActivityManager获得系统里正在运行的所有activities,包括进程(Process)等、应用程序/包、服务(Service)、任务(Task)信息。
在同一时刻,只能有一个前台应用程序运行,即用户当前打开的应用程序,可以有多个后台应用程序运行,其中位于activity栈中位于栈顶的top activity即当前前台运行应用程序的activity。示例性地,可以通过RunningTaskInfo(正在运行的任务信息)或RunningAppProcessInfo(正在运行的进程信息)获得activity栈中位于栈顶的topactivity。
204,查询set列表中是否记录有当前扫描到的top activity信息。
若set列表中未记录有当前扫描到的top activity信息,执行操作206。否则,不执行本实施例的后续操作。
206,在set列表中更新记录当前扫描到的top activity。
由此,set列表中记录了各扫描时刻处于前台运行状态的应用程序activity,即:set列表中记录的各top activity都是由用户打开的应用程序的activity。
在一个示例中,操作206中,具体可以按照扫描时间顺序,依次在set列表中记录当前扫描到的top activity。
进一步地,在另一个实施例中,还可以包括:若set列表中记录有当前扫描到的topactivity信息,且当前扫描到的top activity信息在set列表中的位置不是按照扫描时间顺序对应的最新位置时,则将当前扫描到的top activity信息从set列表中的原有位置调整到按照扫描时间顺序对应的最新位置。
这样,set表中的所有top activity都是按照扫描时间顺序排列的。
此外,在又一个实施例中,还可以定期删除set列表中记录时刻至当前时刻超过预设时长的top activity信息,以释放存储空间,提高set列表的查询效率。
在实际应用中,有一些应用程序,例如微信、QQ、股票软件等,用户允许或需要其一直连接网络进行信息接收,因此是允许后台运行产生流量的;还有一些应用程序,是有服务提供商(SP)与运营商合作,进行流量减免的。则,针对上述应用程序,可以不进行后台流量限制。在本发明应用程序的联网控制方法另一个实施例中,还可以预先设置一个流量白名单,该流量白名单中包括允许产生网络流量的应用程序的标识信息。
上述流量白名单具体可以是由服务器预先设置好后推送到移动终端中的;或者,流量白名单也可以是由用户预先配置得到;或者,流量白名单也可以由服务器预先设置好后推送到移动终端中,再由用户补充配置得到。
具体地,流量白名单中记录标识信息的应用程序可以包括以下任意一种或多种:允许后台产生流量的应用程序、免收流量费用的应用程序、流量费用优惠的应用程序。
图3为本发明应用程序的联网控制方法另一个实施例的流程图。如图3所示,与图1所示的实施例相比,该实施例中,若set列表中未记录有消耗网络流量的应用程序信息,可以先执行如下操作:
302,查询流量白名单中是否记录有上述消耗网络流量的应用程序的标识信息。
若流量白名单中未记录有上述消耗网络流量的应用程序的标识信息,执行操作112。否则,不执行本实施例的后续操作。
在多数情况下,WiFi网络的使用是免收流量费用的,因此,用户会选择接入WiFi网络下载应用程序安装包、升级包,或使用需要联网使用的应用程序。但是,有一些应用程序存在BUG,例如,该应用程序本设置在仅接入WIFI网络时才下载升级包,下载升级包有失败重试的功能,但是下载中途用户从WIFI网络移动至移动数据网络,此时该升级包继续使用移动数据网络下载,此时就会产生移动数据网络的流量,从而产生相应的流量费用。为了避免此类情况,在本发明应用程序的联网控制方法又一个实施例中,操作108中,具体可以是在监测到移动终端接入移动数据网络,例如,2G、3G、4G网络时,才采集移动终端中消耗网络流量的应用程序信息的操作,而在未接入无线网络时,或者接入WiFi网络时,不执行本发明应用程序的联网控制方法实施例的流程。
通过上述实施例,即可限制不必要的后台流量,也可以满足用户对某些应用的联网运行需求。
另外,在本发明应用程序的联网控制方法再一个实施例中,可以预先设置一个时间段,该时间段可以是限制流量时间或者不限制流量时间,例如,在一个示例中,在每天的时间段22:00~7:00、以及9:00~17:00,移动终端用户会位于具有WiFi网络的环境中,就可以不使用移动数据网络,则设置不限制流量时间段22:00~7:00、以及9:00~17:00;在另一个示例中,在每天的时间段9:00~17:00,移动终端用户需要使用移动数据网络,则设置限制流量时间段9:00~17:00。
则在该实施例中,还可以获取预先设置的时间段信息,并识别当前时刻属于预先设置的时间段对应的限制流量时间。其中,若设置的时间段为不限制流量时间段,则对应的限制流量时间为预先设置的不限制流量时间段以外的时间段;若设置的时间段为限制流量时间段,则对应的限制流量时间即为该预先设置的时间段。相应地,操作108中,在当前时刻属于时间段对应的限制流量时间时,才执行采集移动终端中消耗网络流量的应用程序信息的操作。
图4为本发明应用程序的联网控制方法又一个实施例的流程图。如图4所示,与上述各实施例相比,该实施例的联网控制方法还包括:
402,按照预设采集周期,采集消耗网络流量的应用程序在该预设采集周期内消耗的网络流量。
404,向服务器上报流量消耗消息,该流量消耗消息中包括:移动终端的用户标识(ID),消耗网络流量的各应用程序的标识、各应用程序在预设采集周期内消耗的流量数据、以及各应用程序的标识是否记录在set列表中的记录状态信息。
406,服务器分别比较流量消耗消息中,各应用程序在预设采集周期内消耗的流量数据是否大于该应用程序对应的预设流量上限值,该预设流量上限值可以由服务器基于相应应用程序正常情况下,在预设采集周期内消耗的流量数值的平均值设置,可以高于该平均值一个的值。
其中,每个应用程序的流量数值的平均值,可以由服务器预先根据多个移动终端针对该应用程序上报的、在预设采集周期内消耗的流量数据统计、计算获得。
若有应用程序在预设采集周期内消耗的流量数据大于该应用程序对应的预设流量上限值,且该应用程序的标识未记录在set列表中的应用程序,则认为该应用程序为流量异常的应用程序,执行操作408。
408,服务器返回流量异常通知消息,该流程异常通知消息中包括流量异常的应用程序的标识。
410,在移动终端屏幕上显示流量异常通知消息以提示用户。
另外,在其他实施例中,还可以是,只要有应用程序在预设采集周期内消耗的流量数据大于该应用程序对应的预设流量上限值,无论该应用程序是否记录在set列表中,均可执行操作408。
在实际应用中,有诸多不法广告商会与病毒制作者或者打包党合作,在正版应用程序中植入广告插件或者恶意代码并重新打包、上传,移动终端安装该应用程序后,应用程序便会在后台运行,或者在用户使用的过程中,通过各种形式弹出广告,消耗流量。通过上述实施例,服务器可以识别出此类应用程序,并向用户发送流量异常通知消息,以便对此类应用程序进行联网控制。
在进一步实施例中,流程异常通知消息中还可以包括建议禁止流量异常的应用程序进行网络连接的第一建议信息。相应地,该实施例中,还可以包括:响应于接收到用户针对第一建议信息返回的禁止该流量异常的应用程序进行网络连接的指示消息,切断该流量异常的应用程序的网络连接。
或者,流程异常通知消息中也可以包括建议卸载该流量异常的应用程序的第二建议信息、以及该流量异常的应用程序对应的正版应用程序的获取地址信息。相应地,该实施例中,还可以包括:响应于接收到用户针对第二建议信息返回的卸载该流量异常的应用程序的指示消息,卸载该流量异常的应用程序。
另外,用于还可以根据正版应用程序的获取地址信息,从该正版应用程序的获取地址下载相应的正版应用程序并安装。
在本发明上述各联网控制方法的另一个具体示例性中,上述预设规则可以包括:应用控制规则和设备违规控制规则。操作102中接收到的网络连接请求中包括应用标识和移动终端的设备标识;其中的应用标识唯一标识一个应用程序,设备标识唯一标识一个移动终端。
则在该实施例中,操作102中根据预设规则判断是否允许网络连接请求通过,可以包括:
根据应用控制规则判断是否允许应用标识所标识的应用程序进行网络连接,以及根据设备违规控制规则判断设备标识所标识的移动终端是否违规;
若允许应用标识所标识的应用程序进行网络连接、且设备标识所标识的移动终端未违规,允许网络连接请求通过;
否则,若不允许应用标识所标识的应用程序进行网络连接、和/或设备标识所标识的移动终端未违规,不允许网络连接请求通过。
在本实施例中,预设规则具体包括两个,对一个接收到的网络连接请求同时基于两个规则进行判断,即是说,一个网络连接请求只有两个规则判断均为通过才能被放行,提高了企业中数据信息的安全性。
具体地,根据应用控制规则判断是否允许应用标识所标识的应用程序进行网络连接,可以通过如下方式实现:
判断应用标识是否在应用白名单中,是则允许应用标识所标识的应用程序进行网络连接,否则不允许应用标识所标识的应用程序进行网络连接;和/或
判断应用标识是否在应用黑名单中,是则不允许应用标识所标识的应用程序进行网络连接,否则允许应用标识所标识的应用程序进行网络连接。
例如,当允许连接企业网络的应用较少时,可以采取白名单的方式列举一个或多个应用,只有当接收到白名单中的应用发送的网络连接请求时才放行;当禁止连接企业网络的应用较少时,可以采取黑名单的方式列举一个或多个应用,只有当接收到黑名单中的应用发送的网络连接请求时才阻断。当然,应用控制规则不限于本实施例中提供的方式。
另外,根据设备违规控制规则判断设备标识所标识的移动终端是否违规,可以通过如下方式实现:
判断设备标识所标识的移动终端是否离线时间超过预设值,是则该移动终端违规;
判断设备标识是否在设备黑名单中,是则该移动终端违规。
例如,某移动终端已经一个月未连接企业网络,则很可能存在已丢失、员工离职等情况,因此可以判定该移动终端是不安全的。当接收到该移动终端上的一个应用发送的网络连接请求时,由于判断该移动终端离线时间已超过预设值,则该移动终端违规,阻断该网络连接请求。又例如,某公司为员工统一发放了办公用的手机,规定只能使用该发放的手机与公司局域网进行连接。某员工在丢失了发放给自己的手机后进行了报备,于是安全部门的员工将该丢失的手机的设备标识放在了设备黑名单中。此时其他人捡到手机后如果试图利用该手机连接到公司局域网,就会被判断为违规。同样,设备违规控制规则不限于本实施例中提供的方式。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图5为本发明应用程序的联网控制装置一个实施例的结构示意图。该实施例的联网控制装置可用于实现本发明上述各联网控制方法实施例。如图5所示,该实施例的联网控制装置包括采集单元、第一存储单元、查询单元、提示单元和控制单元。其中:
采集单元,用于采集移动终端中消耗网络流量的应用程序信息。
第一存储单元,用于存储预先生成的set列表,其中,set列表中记录有不同时间内前台运行的应用程序信息。
查询单元,用于查询set列表中是否记录有上述消耗网络流量的应用程序信息。
提示单元,用于根据查询单元的查询结果,若set列表中未记录有消耗网络流量的应用程序信息,生成并发出是否禁止消耗网络流量的应用程序进行网络连接的提示消息,该提示消息中包括上述消耗网络流量的应用程序的标识信息。
控制单元,响应于接收到用户针对提示消息返回的禁止应用程序进行网络连接的指示消息,根据该指示消息切断相应应用程序的网络连接。其中,指示消息中包括用户指示禁止网络连接的应用程序的标识信息。
基于本发明上述实施例提供的应用程序的联网控制装置,可以通过一个set列表中记录不同时间内前台运行的应用程序信息,在采集到移动终端中消耗网络流量的应用程序信息时,查询set列表中是否记录有消耗网络流量的应用程序信息,并在set列表中未记录有该消耗网络流量的应用程序信息时,提示用户是否禁止该消耗网络流量的应用程序进行网络连接,并根据用户的指示进行相应的网络连接控制。由此,本发明实施例可以区分移动终端上应用程序产生的流量是否基于用户使用行为产生的流量,从而实现对应用程序产生流量的区别管理和控制。
在本发明上述应用程序的联网控制装置实施例的一个具体示例中,配置列表中记录的具体为不同时间内分别处于activity栈顶的top activity。相应地,查询单元,具体用于查询配置列表中是否记录有上述消耗网络流量的应用程序的activity信息。
图6为本发明应用程序的联网控制装置另一个实施例的结构示意图。如图6所示,与图5所示的实施例相比,该实施例中,还包括记录单元,用于:实时或按照预设扫描周期,扫描activity栈中位于栈顶的top activity;以及查询set列表中是否记录有当前扫描到的top activity信息;若set列表中未记录有当前扫描到的top activity信息,在set列表中更新记录当前扫描到的top activity。
具体地,记录单元在set列表中更新记录当前扫描到的top activity时,可以按照扫描时间顺序,依次在set列表中记录当前扫描到的top activity;以及,记录单元还可以用于在set列表中记录有当前扫描到的top activity信息,且当前扫描到的top activity信息在set列表中的位置不是按照扫描时间顺序对应的最新位置时,将当前扫描到的topactivity信息从set列表中的原有位置调整到按照扫描时间顺序对应的最新位置。
进一步地,再参见图6,在本发明应用程序的联网控制装置又一个实施例中,还可以包括第二存储单元,用于存储流量白名单,该流量白名单中包括允许产生网络流量的应用程序的标识信息。
上述流量白名单具体可以是由服务器预先设置好后推送到移动终端中的;或者,流量白名单也可以是由用户预先配置得到;或者,流量白名单也可以由服务器预先设置好后推送到移动终端中,再由用户补充配置得到。
具体地,流量白名单中记录标识信息的应用程序可以包括以下任意一种或多种:允许后台产生流量的应用程序、免收流量费用的应用程序、流量费用优惠的应用程序。
相应地,该实施例中:
查询单元,还用于在set列表中未记录有消耗网络流量的应用程序信息时,查询流量白名单中是否记录有消耗网络流量的应用程序的标识信息。
提示单元,具体用于根据查询单元的查询结果,在流量白名单中未记录有消耗网络流量的应用程序的标识信息时,执行生成并发出是否禁止消耗网络流量的应用程序进行网络连接的提示消息的操作。
在上述各本发明应用程序的联网控制装置实施例的一个具体示例中,采集单元具体用于在监测到移动终端接入移动数据网络时,采集移动终端中消耗网络流量的应用程序信息。
在上述各本发明应用程序的联网控制装置实施例的一个具体示例中,采集单元,还可用于获取预先设置的时间段信息,该时间段具体可以为限制流量时间或者不限制流量时间;以及具体在当前时刻属于时间段对应的限制流量时间时,采集移动终端中消耗网络流量的应用程序信息。
进一步地,在本发明应用程序的联网控制装置再一个实施例中,采集单元,还可用于按照预设采集周期,采集消耗网络流量的应用程序在该预设采集周期内消耗的网络流量。相应地,再参见图6,该实施例的联网控制装置还可以包括信息收发单元,用于向服务器上报流量消耗消息,该流量消耗消息中包括:移动终端的用户标识(ID),消耗网络流量的各应用程序的标识、各应用程序在预设采集周期内消耗的流量数据、以及各应用程序的标识是否记录在set列表中的记录状态信息;以及接收服务器返回的流量异常通知消息,该流程异常通知消息中包括流量异常的应用程序的标识。其中,流量异常的应用程序为在预设采集周期内消耗的流量数据大于相应的预设流量上限值、且标识未记录在set列表中的应用程序,流程异常通知消息由服务器在存在流量异常的应用程序时生成。
相应地,该实施例中,提示单元,还可用于显示流量异常通知消息以提示用户。
另外,在进一步实施例中,流程异常通知消息中还可以包括建议禁止流量异常的应用程序进行网络连接的第一建议信息。相应地,控制单元,还可用于在接收到针对第一建议信息返回的禁止流量异常的应用程序进行网络连接的指示消息时,切断该流量异常的应用程序的网络连接。
或者,在另一实施例中,流程异常通知消息中还可以包括建议卸载流量异常的应用程序的第二建议信息、以及该流量异常的应用程序对应的正版应用程序的获取地址信息。相应地,控制单元,还可用于在接收到针对第二建议信息返回的卸载流量异常的应用程序的指示消息时,卸载该流量异常的应用程序。
本发明实施例还提供了一种移动终端,该移动终端中耦合设置有上述图5~图6任一实施例的应用程序的联网控制装置。从而,可以区分移动终端上应用程序产生的流量是否基于用户使用行为产生的流量,从而实现对应用程序产生流量的区别管理和控制。
图7为本发明安全网关一个实施例的结构示意图。该实施例的安全网关可以执行本发明上述方法实施例中安全网关的操作。如图7所示,该实施例的安全网关包括:接收单元,判断单元和转发单元。其中:
接收单元,用于接收移动终端上应用程序发送的网络连接请求。
判断单元,用于根据预设规则判断是否允许网络连接请求通过。
转发单元,用于根据判断单元的判断结果,若允许网络连接请求通过,放行网络连接请求;否则,若不允许网络连接请求通过,阻断网络连接请求。
在一个具体示例性中,上述预设规则可以包括:应用控制规则和设备违规控制规则。
接收单元接收到的网络连接请求中包括应用标识和移动终端的设备标识;其中的应用标识唯一标识一个应用程序,设备标识唯一标识一个移动终端。则该实施例中,判断单元,具体用于:
根据应用控制规则判断是否允许应用标识所标识的应用程序进行网络连接,以及根据设备违规控制规则判断设备标识所标识的移动终端是否违规;
若允许应用标识所标识的应用程序进行网络连接、且设备标识所标识的移动终端未违规,允许网络连接请求通过;
否则,若不允许应用标识所标识的应用程序进行网络连接、和/或设备标识所标识的移动终端未违规,不允许网络连接请求通过。
在进一步的一个具体示例性中,判断单元根据应用控制规则判断是否允许应用标识所标识的应用程序进行网络连接时,具体用于:
判断应用标识是否在应用白名单中,是则允许应用标识所标识的应用程序进行网络连接,否则不允许应用标识所标识的应用程序进行网络连接;和/或
判断应用标识是否在应用黑名单中,是则不允许应用标识所标识的应用程序进行网络连接,否则允许应用标识所标识的应用程序进行网络连接。
在进一步的另一个具体示例性中,判断单元根据设备违规控制规则判断设备标识所标识的移动终端是否违规时,具体用于:
判断设备标识所标识的移动终端是否离线时间超过预设值,是则该移动终端违规;
判断设备标识是否在设备黑名单中,是则该移动终端违规。
图8为本发明应用程序的联网控制系统一个实施例的结构示意图。该实施例的联网控制系统可用于实现本发明上述各联网控制方法实施例。如图8所示,该实施例的联网控制系统中包括上述图5~图6任一实施例的应用程序的联网控制装置和一个或多个图7所示任一实施例的安全网关。其中,应用程序的联网控制装置具体设置于移动终端中,安全网关分别位于企业网络中。从而,本发明应用程序的联网控制系统实施例,可以区分移动终端上应用程序产生的流量是否基于用户使用行为产生的流量,从而实现对应用程序产生流量的区别管理和控制;并且,可以有效地控制移动终端上的应用程序接入特定网络,有效保证该网络中数据信息的安全性。
具体地,安全网关通常安装在企业的网络边界(corporate DMZ,corporatedemilitarized zone)位置。在本实施例中,由安全网关对移动终端上的应用与企业网络中业务服务器之间网路层进行安全控制。也即是说,与互联网(Internet)连接的移动终端上的应用如果希望与企业网络(Intranet)进行数据通信,需要经与该应用对应的安全网关进行安装控制。具体地,一个安全网关可以对应一个或多个应用。在BYOD环境中,同一移动终端上既有个人应用和数据,也有企业应用和数据,个人应用和数据所在的区域被称为个人区,企业应用和数据所在的区域被称为工作区。因此可以一个安全网关对应一类应用,如安全网关A对应邮件类的应用A、应用B,安全网关B对应浏览器类的应用C、应用D等,也可以一个安全网关对应工作区中的企业应用,一个安全网关对应个人区中的个人应用等。在安全网关和应用的对应分配上还可以考虑安全网关的负载均衡。
另外,再参见图8,在应用程序的联网控制系统的另一个实施例中,还包括服务器,用于:
接收联网控制装置上报的流量消耗消息,该流量消耗消息中包括移动终端的用户ID、消耗网络流量的应用程序的标识、各应用程序在预设采集周期内消耗的流量数据、以及各应用程序的标识是否记录在配置列表中的记录状态信息;以及
识别是否存在预设采集周期内消耗的流量数据大于相应的预设流量上限值、且标识未记录在配置列表中的应用程序;
若存在,生成流程异常通知消息,该流程异常通知消息中包括流量异常的应用程序的标识并发送给联网控制装置。
进一步地,在应用程序的联网控制系统的又一个实施例中,流程异常通知消息中还可以包括建议禁止流量异常的应用程序进行网络连接的第一建议信息,和/或建议卸载流量异常的应用程序的第二建议信息、以及流量异常的应用程序对应的正版应用程序的获取地址信息。
本发明实施例提供了如下技术方案:
1、一种应用程序的联网控制方法,包括:
针对移动终端上应用程序发送的网络连接请求,利用安全网关根据预设规则判断是否允许所述网络连接请求通过;
若不允许所述网络连接请求通过,阻断所述网络连接请求;
若允许所述网络连接请求通过,放行所述网络连接请求;
采集移动终端中消耗网络流量的应用程序信息;
查询预先生成的配置列表中是否记录有所述消耗网络流量的应用程序信息;其中,所述配置列表中记录有不同时间内前台运行的应用程序信息;
若配置列表中未记录有所述消耗网络流量的应用程序信息,生成并发出是否禁止所述消耗网络流量的应用程序进行网络连接的提示消息,所述提示消息中包括所述消耗网络流量的应用程序的标识信息;
响应于接收到针对所述提示消息返回的禁止所述应用程序进行网络连接的指示消息,根据所述指示消息切断相应应用程序的网络连接;其中,所述指示消息中包括用户指示禁止网络连接的应用程序的标识信息。
2、根据1所述的方法,所述配置列表中记录的具体为不同时间内分别处于activity栈顶的top activity;
所述查询预先生成的配置列表中是否记录有所述消耗网络流量的应用程序信息具体为:查询配置列表中是否记录有所述消耗网络流量的应用程序的activity信息;
所述方法还包括:
实时或按照预设扫描周期,扫描activity栈中位于栈顶的top activity;
查询配置列表中是否记录有当前扫描到的top activity信息;
若配置列表中未记录有当前扫描到的top activity信息,按照扫描时间顺序,依次在配置列表中记录当前扫描到的top activity;
若配置列表中记录有当前扫描到的top activity信息,且当前扫描到的topactivity信息在配置列表中的位置不是按照扫描时间顺序对应的最新位置时,将当前扫描到的top activity信息从配置列表中的原有位置调整到按照扫描时间顺序对应的最新位置。
3、根据1或2所述的方法,还包括:
预先设置流量白名单,所述流量白名单中包括允许产生网络流量的应用程序的标识信息;
所述方法还包括:
若配置列表中未记录有所述消耗网络流量的应用程序信息,查询流量白名单中是否记录有所述消耗网络流量的应用程序的标识信息;
若流量白名单中未记录有所述消耗网络流量的应用程序的标识信息,执行所述生成并发出是否禁止所述消耗网络流量的应用程序进行网络连接的提示消息的操作。
4、根据3所述的方法,所述流量白名单中记录标识信息的应用程序包括:允许后台产生流量的应用程序、免收流量费用的应用程序、与流量费用优惠的应用程序中的任意一种或多种。
5、根据3或4所述的方法,所述流量白名单由服务器预先推送到移动终端中;或者,所述流量白名单由用户预先配置得到;或者,所述流量白名单由服务器预先推送到移动终端中,并由用户补充配置得到。
6、根据1至5任意一项所述的方法,所述采集移动终端中消耗网络流量的应用程序信息包括:
监测到所述移动终端接入移动数据网络,执行所述采集移动终端中消耗网络流量的应用程序信息的操作。
7、根据1至5任意一项所述的方法,还包括:
获取预先设置的时间段信息,响应于当前时刻属于所述时间段对应的限制流量时间,执行所述采集移动终端中消耗网络流量的应用程序信息的操作;其中,所述时间段为限制流量时间或者不限制流量时间。
8、根据1至5任意一项所述的方法,还包括:
按照预设采集周期,采集消耗网络流量的应用程序在该预设采集周期内消耗的网络流量;
向服务器上报流量消耗消息,所述流量消耗消息中包括所述移动终端的用户标识ID、消耗网络流量的应用程序的标识、各应用程序在预设采集周期内消耗的流量数据、以及各应用程序的标识是否记录在配置列表中的记录状态信息;
响应于接收到服务器返回的流量异常通知消息,显示所述流量异常通知消息,所述流程异常通知消息中包括流量异常的应用程序的标识;其中,所述流量异常的应用程序为在预设采集周期内消耗的流量数据大于相应的预设流量上限值、且标识未记录在配置列表中的应用程序,所述流程异常通知消息由服务器在存在流量异常的应用程序时生成。
9、根据8所述的方法,所述流程异常通知消息中还包括建议禁止所述流量异常的应用程序进行网络连接的第一建议信息;
所述方法还包括:
响应于接收到针对所述第一建议信息返回的禁止所述流量异常的应用程序进行网络连接的指示消息,切断所述流量异常的应用程序的网络连接。
10、根据8所述的方法,所述流程异常通知消息中还包括建议卸载所述流量异常的应用程序的第二建议信息、以及所述流量异常的应用程序对应的正版应用程序的获取地址信息;
所述方法还包括:
响应于接收到针对所述第二建议信息返回的卸载所述流量异常的应用程序的指示消息,卸载所述流量异常的应用程序。
11、根据1至10任意一项所述的方法,所述预设规则包括:应用控制规则和设备违规控制规则;
所述网络连接请求中包括应用标识和移动终端的设备标识;其中的应用标识唯一标识一个应用程序,设备标识唯一标识一个移动终端;
所述根据预设规则判断是否允许所述网络连接请求通过包括:
根据应用控制规则判断是否允许所述应用标识所标识的应用程序进行网络连接,以及根据设备违规控制规则判断所述设备标识所标识的移动终端是否违规;
若允许所述应用标识所标识的应用程序进行网络连接、且所述设备标识所标识的移动终端未违规,允许所述网络连接请求通过;
否则,若不允许所述应用标识所标识的应用程序进行网络连接、和/或所述设备标识所标识的移动终端未违规,不允许所述网络连接请求通过。
12、如11所述的方法,所述根据应用控制规则判断是否允许所述应用标识所标识的应用程序进行网络连接包括:
判断所述应用标识是否在应用白名单中,是则允许所述应用标识所标识的应用程序进行网络连接,否则不允许所述应用标识所标识的应用程序进行网络连接;和/或
判断所述应用标识是否在应用黑名单中,是则不允许所述应用标识所标识的应用程序进行网络连接,否则允许所述应用标识所标识的应用程序进行网络连接。
13、如11所述的方法,所述根据设备违规控制规则判断所述设备标识所标识的移动终端是否违规包括:
判断所述设备标识所标识的移动终端是否离线时间超过预设值,是则该移动终端违规;
判断所述设备标识是否在设备黑名单中,是则该移动终端违规。
14、一种应用程序的联网控制装置,包括:
采集单元,用于采集移动终端中消耗网络流量的应用程序信息;
第一存储单元,用于存储配置列表,其中,所述配置列表中记录有不同时间内前台运行的应用程序信息;
查询单元,用于查询配置列表中是否记录有所述消耗网络流量的应用程序信息;
提示单元,用于根据查询单元的查询结果,若配置列表中未记录有所述消耗网络流量的应用程序信息,生成并发出是否禁止所述消耗网络流量的应用程序进行网络连接的提示消息,所述提示消息中包括所述消耗网络流量的应用程序的标识信息;
控制单元,响应于接收到针对所述提示消息返回的禁止所述应用程序进行网络连接的指示消息,根据所述指示消息切断相应应用程序的网络连接;其中,所述指示消息中包括用户指示禁止网络连接的应用程序的标识信息。
15、根据14所述的装置,所述配置列表中记录的具体为不同时间内分别处于activity栈顶的top activity;
所述查询单元,具体用于查询配置列表中是否记录有所述消耗网络流量的应用程序的activity信息;
所述装置还包括记录单元,用于:
实时或按照预设扫描周期,扫描activity栈中位于栈顶的top activity;
查询配置列表中是否记录有当前扫描到的top activity信息;
若配置列表中未记录有当前扫描到的top activity信息,按照扫描时间顺序,依次在配置列表中记录当前扫描到的top activity;以及还用于若配置列表中记录有当前扫描到的top activity信息,且当前扫描到的top activity信息在配置列表中的位置不是按照扫描时间顺序对应的最新位置时,将当前扫描到的top activity信息从配置列表中的原有位置调整到按照扫描时间顺序对应的最新位置。
16、根据14或15所述的装置,还包括:
第二存储单元,用于存储流量白名单,所述流量白名单中包括允许产生网络流量的应用程序的标识信息;
所述查询单元,还用于若配置列表中未记录有所述消耗网络流量的应用程序信息,查询流量白名单中是否记录有所述消耗网络流量的应用程序的标识信息;
所述提示单元,具体用于根据查询单元的查询结果,若流量白名单中未记录有所述消耗网络流量的应用程序的标识信息,执行所述生成并发出是否禁止所述消耗网络流量的应用程序进行网络连接的提示消息的操作。
17、根据16所述的装置,所述流量白名单中记录标识信息的应用程序包括:允许后台产生流量的应用程序、免收流量费用的应用程序、与流量费用优惠的应用程序中的任意一种或多种。
18、根据16或17所述的装置,所述流量白名单由服务器预先推送到移动终端中;或者,所述流量白名单由用户预先配置得到;或者,所述流量白名单由服务器预先推送到移动终端中,并由用户补充配置得到。
19、根据14至18任意一项所述的装置,所述采集单元,具体用于在监测到所述移动终端接入移动数据网络,采集移动终端中消耗网络流量的应用程序信息。
20、根据14至18任意一项所述的装置,所述采集单元,还用于获取预先设置的时间段信息,具体在当前时刻属于所述时间段对应的限制流量时间时,采集移动终端中消耗网络流量的应用程序信息;其中,所述时间段为限制流量时间或者不限制流量时间。
21、根据14至18任意一项所述的装置,所述采集单元,还用于按照预设采集周期,采集消耗网络流量的应用程序在该预设采集周期内消耗的网络流量;
所述装置还包括:
信息收发单元,用于向服务器上报流量消耗消息,所述流量消耗消息中包括所述移动终端的用户标识ID、消耗网络流量的应用程序的标识、各应用程序在预设采集周期内消耗的流量数据、以及各应用程序的标识是否记录在配置列表中的记录状态信息;以及接收服务器返回的流量异常通知消息,所述流程异常通知消息中包括流量异常的应用程序的标识;其中,所述流量异常的应用程序为在预设采集周期内消耗的流量数据大于相应的预设流量上限值、且标识未记录在配置列表中的应用程序,所述流程异常通知消息由服务器在存在流量异常的应用程序时生成;
所述提示单元,还用于显示所述流量异常通知消息。
22、根据21所述的装置,所述流程异常通知消息中还包括建议禁止所述流量异常的应用程序进行网络连接的第一建议信息;
所述控制单元,还用于在接收到针对所述第一建议信息返回的禁止所述流量异常的应用程序进行网络连接的指示消息时,切断所述流量异常的应用程序的网络连接。
23、根据21所述的装置,所述流程异常通知消息中还包括建议卸载所述流量异常的应用程序的第二建议信息、以及所述流量异常的应用程序对应的正版应用程序的获取地址信息;
控制单元,还用于在接收到针对所述第二建议信息返回的卸载所述流量异常的应用程序的指示消息时,卸载所述流量异常的应用程序。
24、一种安全网关,包括:
接收单元,用于接收移动终端上应用程序发送的网络连接请求;
判断单元,用于根据预设规则判断是否允许所述网络连接请求通过;
转发单元,用于根据判断单元的判断结果,若允许所述网络连接请求通过,放行所述网络连接请求;否则,若不允许所述网络连接请求通过,阻断所述网络连接请求。
25、根据24所述的安全网关,所述预设规则包括:应用控制规则和设备违规控制规则;
所述网络连接请求中包括应用标识和移动终端的设备标识;其中的应用标识唯一标识一个应用程序,设备标识唯一标识一个移动终端;
所述判断单元,具体用于:
根据应用控制规则判断是否允许所述应用标识所标识的应用程序进行网络连接,以及根据设备违规控制规则判断所述设备标识所标识的移动终端是否违规;
若允许所述应用标识所标识的应用程序进行网络连接、且所述设备标识所标识的移动终端未违规,允许所述网络连接请求通过;
否则,若不允许所述应用标识所标识的应用程序进行网络连接、和/或所述设备标识所标识的移动终端未违规,不允许所述网络连接请求通过。
26、如25所述的安全网关,所述判断单元根据应用控制规则判断是否允许所述应用标识所标识的应用程序进行网络连接时,具体用于:
判断所述应用标识是否在应用白名单中,是则允许所述应用标识所标识的应用程序进行网络连接,否则不允许所述应用标识所标识的应用程序进行网络连接;和/或
判断所述应用标识是否在应用黑名单中,是则不允许所述应用标识所标识的应用程序进行网络连接,否则允许所述应用标识所标识的应用程序进行网络连接。
27、如25所述的安全网关,所述判断单元根据设备违规控制规则判断所述设备标识所标识的移动终端是否违规时,具体用于:
判断所述设备标识所标识的移动终端是否离线时间超过预设值,是则该移动终端违规;
判断所述设备标识是否在设备黑名单中,是则该移动终端违规。
28、一种移动终端,包括14至23任意一项所述的应用程序的联网控制装置。
29、一种应用程序的联网控制系统,包括;14至23任意一项所述的应用程序的联网控制装置,所述应用程序的联网控制装置设置于移动终端中;和
一个或多个如24至27任意一项所述的安全网关,所述安全网关位于企业网络中。
30、根据29所述的系统,还包括服务器,用于:
接收所述联网控制装置上报的流量消耗消息,所述流量消耗消息中包括所述移动终端的用户标识ID、消耗网络流量的应用程序的标识、各应用程序在预设采集周期内消耗的流量数据、以及各应用程序的标识是否记录在配置列表中的记录状态信息;
识别是否存在预设采集周期内消耗的流量数据大于相应的预设流量上限值、且标识未记录在配置列表中的应用程序;
若存在,生成所述流程异常通知消息,所述流程异常通知消息中包括流量异常的应用程序的标识并发送给所述联网控制装置。
31、根据30所述的系统,所述流程异常通知消息中还包括建议禁止所述流量异常的应用程序进行网络连接的第一建议信息,和/或建议卸载所述流量异常的应用程序的第二建议信息、以及所述流量异常的应用程序对应的正版应用程序的获取地址信息。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于各装置、系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
可能以许多方式来实现本发明的方法、装置和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法、装置和系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。