发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种终端密码保护系统和相应的一种终端密码保护方法。
依据本发明的一个方面,提供了一种终端密码保护的方法,包括:
控制台获取验证密码,并将所述验证密码通过网络发送至各终端储存;
在存储所述验证密码后的终端,进行密码保护的过程包括:
监控终端接收的输入数据;
当所述输入数据触发关闭或卸载所述终端安全保护功能的指令,则绘制密码输入界面,所述密码输入界面用于接收输入的字符串;
当密码输入界面接收字符串并被确认后,则将所述字符串与终端本地存储的验证密码进行比较匹配;
如果匹配上,则允许终端执行关闭所述终端安全保护功能的指令;
如果未匹配上,则拒绝终端执行关闭所述终端安全保护功能的指令。
可选的,在所述字符串与本地存储的验证密码匹配上之后,允许终端执行关闭或卸载所述终端安全保护功能的指令之前还包括:
所述终端将所述字符串发送至控制台;
控制台将所述字符串与本地存储的验证密码进行比较匹配。
可选的,所述控制台获取验证密码,并将所述验证密码通过网络发送至各终端储存包括:
控制台采用加密算法将所述验证密码进行数字签名;
将所述进行数字签名后的验证密码通过网络发送至各终端。
可选的,所述当密码输入界面接收字符串并被确认后,则将所述字符串与终端本地存储的验证密码进行比较匹配包括:
将所述字符串采用所述加密算法对字符串进行数字签名;
将进行数字签名后的字符串与所述进行数字签名后的验证密码进行比较匹配。
可选的,还包括:
预置动态链接库;当所述输入数据触发关闭所述终端安全保护功能的指令后,调用所述动态链接库执行触发关闭所述终端安全保护功能的指令后的步骤。
可选的,还包括:
在安全保护功能对应安全保护模块的可执行白名单中,预置第一卸载程序;所述初始卸载程序为当所述输入数据触发卸载所述终端安全保护功能的指令时启用;
进一步的,所述如果匹配上,则允许终端执行关闭所述终端安全保护功能的指令包括:
第一卸载程序调用安全保护功能对应的安全保护模块的原始卸载程序进行卸载。
根据本发明的另一个方面,还提供了一种终端密码保护的方法,包括:
控制台获取并存储验证密码;
在控制台控制的终端,进行密码保护的过程包括:
监控终端接收的输入数据;
当所述输入数据触发关闭或卸载所述终端安全保护功能的指令,则绘制密码输入界面,所述密码输入界面用于接收输入的字符串;
所述终端将所述字符串发送至控制台;
控制台将所述字符串与本地存储的验证密码进行比较匹配;
如果匹配上,则允许终端执行关闭所述终端安全保护功能的指令;
如果未匹配上,则拒绝终端执行关闭所述终端安全保护功能的指令。
相应的,还提供了一种终端密码保护的系统,包括:
控制台和各终端;
所述控制台包括:
验证密码发送模块,用于控制台获取验证密码,并将所述验证密码通过网络发送至各终端储存;
所述每个终端包括:
输入监控模块,用于监控终端接收的输入数据;
启动模块,用于当所述输入数据触发关闭所述终端安全保护功能的指令,则绘制密码输入界面,所述密码输入界面用于接收用户输入的字符串;
第一匹配模块,用于当密码输入界面接收字符串并被确认后,则将所述字符串与终端本地存储的验证密码进行比较匹配;
允许模块,用于如果匹配上,则允许终端执行关闭或卸载所述终端安全保护功能的指令;
拒绝模块,用于如果未匹配上,则拒绝终端执行关闭或卸载所述终端安全保护功能的指令。
可选的,可选的,在每个终端中,在所述允许模块之前还包括:字符串发送模块,所述终端将所述字符串发送至控制台;
所述控制台还包括:
第二匹配模块,用于控制台将所述字符串与本地存储的验证密码进行比较匹配。
可选的,所述验证密码发送模块包括:
第一加密模块,用于控制台采用加密算法将所述验证密码进行数字签名;
第一发送模块,用于将所述进行数字签名后的验证密码通过网络发送至各终端。
可选的,所述第一匹配模块包括:
第二加密模块,用于将所述字符串采用所述加密算法对字符串进行数字签名;
第三匹配模块,用于将进行数字签名后的字符串与所述进行数字签名后的验证密码进行比较匹配。
可选的,还包括:
第一预置模块,用于预置动态链接库;当所述输入数据触发关闭所述终端安全保护功能的指令后,调用所述动态链接库执行触发关闭所述终端安全保护功能的指令后的步骤。
可选的,还包括:
第二预置模块,用于在安全保护功能对应安全保护模块的可执行白名单中,预置第一卸载程序;所述初始卸载程序为当所述输入数据触发卸载所述终端安全保护功能的指令时启用;
进一步的,所述允许模块包括:
第一卸载模块,用于第一卸载程序调用安全保护功能对应的安全保护模块的原始卸载程序进行卸载。
相应的,还提供了一种终端密码保护的系统,包括:
控制台和各终端;
所述控制台包括:
验证密码接收模块,用于控制台获取并存储验证密码;
匹配模块,用于控制台将所述字符串与本地存储的验证密码进行比较匹配;
所述每个终端包括:
输入监控模块,用于监控终端接收的输入数据;
启动模块,用于当所述输入数据触发关闭所述终端安全保护功能的指令,则绘制密码输入界面,所述密码输入界面用于接收用户输入的字符串;
字符串发送模块,所述终端将所述字符串发送至控制台;
允许模块,用于如果匹配上,允许终端执行关闭所述终端安全保护功能的指令;
拒绝模块,用于如果未匹配上,拒绝终端执行关闭所述终端安全保护功能的指令。
根据本发明的一种终端密码保护方法可以使终端在关闭或者卸载其具有安全保护功能的安全保护模块的操作时,由控制台统一管控终端的该操作行为,需要终端输入与由控制台控制的验证密码相应的解锁密码,才能进行前述操作,由此解决了终端可以任意将由控制台控制的安全软件进行退出或者卸载等动作,而对于企业等局域网的信息安全来说,如果终端可以随意退出、卸载与控制台交互的安全软件,则无法保证控制台对网内所有终端的控制,从而无法保证企业等局域网的信息安全的问题,取得了对于企业等局域网的信息安全来说,可以更方便的管理和把控局域网内终端的安全保护模块,提高了局域网信息安全性的有益效果。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
参照图1,其示出了一种终端密码保护的方法实施例一的流程示意图,具体可以包括:
步骤110,控制台获取验证密码,并将所述验证密码通过网络发送至各终端储存;
在本发明实施例中,包括控制台和各个终端,控制台可用于控制终端的安全保护模块,比如控制终端进行病毒库升级,修复漏洞,清理插件等安全功能。而在本申请中控制台可控制终端,使其不能随意关闭或者卸载终端的安全保护模块(比如杀毒软件),即控制终端不能随意关闭或者卸载其具有安全保护功能的模块。
在本实施例中,控制台接收用户输入的验证密码,比如123456,然后将该验证密码通过其所在网络发送至各终端,在实际中由于控制台与终端处于一封闭的局域网中,控制台可通过局域网将所述验证密码发送至终端。
而终端在接收到所述验证密码并进行存储后,即可进入终端密码保护的过程,在终端接收到所述验证密码后可将该验证密码保存至本地在安全保护功能对应安全保护模块目录(比如杀毒软件所在目录)的ini文件,以便后续调用。
可选的,在所述控制台获取验证密码,并将所述验证密码通过网络发送至各终端储存包括:
步骤S111,控制台采用加密算法将所述验证密码进行数字签名;
步骤S112,将所述进行数字签名后的验证密码通过网络发送至各终端。
比如控制台将接收到的验证密码进行数字签名,比如对接收到的验证密码进行MD5(Message Digest Algorithm MD5,中文名为消息摘要算法第五版)运算,然后将运算后的MD5值发送至终端。
而相应的,终端则将控制台发送的数字签名后的验证密码进行存储,比如前述MD5值。
在存储所述验证密码后的终端,进行密码保护的过程包括:
步骤120,监控终端接收的输入数据;
对于各个终端来说,可监控其各种鼠标或键盘的输入数据,以便监控用户的鼠标或者键盘操作是否为关闭或者卸载终端的安全保护模块的操作,即用户进行的鼠标或者键盘操作是否触发关闭或卸载所述终端安全保护功能的指令。
另外,对于触摸系统来说,则可监控用户进行触动输入的数据。
当然对于其他输入形式,本申请也可对其进行监控。
步骤130,当所述输入数据触发关闭或卸载所述终端安全保护功能的指令,则绘制密码输入界面,所述密码输入界面用于接收输入的字符串;
比如,鼠标点击退出安全保护模块的UI(User Interface,用户界面)窗口,即触发关闭终端安全保护功能的指令;鼠标点击卸载安全保护模块的UI(User Interface,用户界面)窗口,即触发卸载终端安全保护功能的指令,那么此时先进入密码校验过程,即首先绘制密码输入界面,以接收终端用户输入的密码。
还比如用户通过触摸屏点击退出完全保护模块,也触发关闭或卸载所述终端安全保护功能的指令,那么绘制密码输入界面。
步骤140,当密码输入界面接收字符串并被确认后,则将所述字符串与终端本地存储的验证密码进行比较匹配;如果匹配上,则进入步骤150;如果未匹配上,则转入步骤160;
当终端用户在密码输入界面输入待验的字符串并确认后,系统则调用前述的校验密码,将终端用户输入的待验的字符串与终端存储的校验密码进行比较匹配。比如前述终端将验证密码存储与本地目录的ini文件中,那么终端接收到终端用户输入的字符串并被终端用户确认输入后,提取ini文件中的验证密码,与所述待验证的字符串进行比较匹配;如果匹配上,则进入步骤150,如果未匹配上则进入步骤160。
在前述步骤S111和步骤S112的基础之上,所述当密码输入界面接收字符串并被确认后,则将所述字符串与终端本地存储的验证密码进行比较匹配包括:
步骤S141,将所述字符串采用所述加密算法对字符串进行数字签名;
步骤S142,将进行数字签名后的字符串与所述进行数字签名后的验证密码进行比较匹配。
比如终端对用户输入的字符进行MD5计算,得到MD5值,然后将该MD5值与控制台发送到终端进行存储的MD5值进行比较匹配,两个MD5值相同,则说明匹配上,转入步骤150,如果MD5值不同则说明未匹配上,则转入步骤160。
可选的,在所述字符串与本地存储的验证密码匹配上之后,允许终端执行关闭或卸载所述终端安全保护功能的指令之前还包括:
步骤A11,所述终端将所述字符串发送至控制台;
步骤A12,控制台将所述字符串与本地存储的验证密码进行比较匹配。
步骤A11和步骤A12即将终端接收的字符串再发送至控制台,与控制台接收的验证密码进行比较匹配。如果匹配上,则通知终端允许执行关闭所述终端安全保护功能的指令,即步骤150;如果未匹配上,则通知终端拒绝执行关闭所述终端安全保护功能的指令,即步骤160。
对于前述步骤S111,那么终端可将用户输入的字符串按相同的加密算法进行数字签名后发送给控制台后,与控制台中的签名后的验证密码进行匹配;也可由终端将原字符串发送给控制台,由控制台对其进行数字签名后,再与控制台中的签名后的验证密码进行匹配。
步骤150,则允许终端执行关闭所述终端安全保护功能的指令;
步骤160,则拒绝终端执行关闭所述终端安全保护功能的指令。
在拒绝终端执行关闭所述终端安全保护功能的指令,还可进入步骤140,即可接收用户再次输入的字符串进行匹配过程。
其中进一步的,如果匹配错误次数超过阈值,则可禁止用户再次输入字符串。
另外,在本实施例中,在本系统执行之前,在终端还包括:
步骤S50,预置动态链接库;当所述输入数据触发关闭所述终端安全保护功能的指令后,调用所述动态链接库执行触发关闭所述终端安全保护功能的指令后的步骤。
即预置一个DLL(Dynamic Link Library,动态链接库)文件,在用户的键盘或者鼠标操作触发关闭所述终端安全保护功能的指令,则调用该DLL绘制密码输入界面,并执行后续步骤140至步骤160。在未匹配上时,退出该DLL,调用安全保护功能对应安全保护模块原有的关闭流程,并可退出该DLL。
另外,在本实施例中,在本系统执行之前,在终端还包括:
步骤S60,在安全保护功能对应安全保护模块的可执行白名单中,预置第一卸载程序;所述初始卸载程序为当所述输入数据触发卸载所述终端安全保护功能的指令时启用;
对于将安全保护功能对应安全保护模块(比如杀毒软件)进行卸载的程序,需要安全保护模块允许其运行才可允许进行卸载,那么需要将该卸载程序预置在安全保护模块的可执行白名单中,在监测到鼠标和/或键盘的输入数据触发卸载所述终端安全保护功能的指令才可启用。
即通过第一卸载程序绘制密码输入界面,接收用户输入的字符串,并将字符串与本地存储的验证密码进行比较匹配。
进一步的,所述如果匹配上,则允许终端执行关闭所述终端安全保护功能的指令包括:
第一卸载程序调用安全保护功能对应的安全保护模块的原始卸载程序进行卸载。
在用户输入的字符串与控制台发送的验证密码匹配上后,则可通过第一调用程序调用安全保护模块的原有卸载程序进行卸载。
参照图2,其示出了本申请一种终端密码保护的方法实施例二的流程示意图,具体可以包括:
步骤210,控制台获取并存储验证密码;
在本实施例中,可选的,本步骤还包括:
步骤B211,将接收的验证密码采用加密算法进行数字签名后,再进行存储。
在控制台控制的终端,进行密码保护的过程包括:
步骤220,监控终端接收的输入数据;
步骤230,当所述输入数据触发关闭或卸载所述终端安全保护功能的指令,则绘制密码输入界面,所述密码输入界面用于接收输入的字符串;
步骤240,所述终端将所述字符串发送至控制台;
在本实施例中,可选的,相应与步骤B211,还包括:步骤B212,将字符串采用加密算法进行数字签名后再发送至控制台。
步骤250,控制台将所述字符串与本地存储的验证密码进行比较匹配;
基于前述可选的步骤B211和步骤B212,本步骤控制台则将数字签名后的字符串与本地存储的数字签名后的验证密码进行匹配。
另外,基于步骤B211,可选的,还包括:控制台将终端发送的字符串采用所述加密算法进行数字签名;
然后再将数字签名后的字符串与本地存储的数字签名后的验证密码进行匹配。
步骤260,如果匹配上,则允许终端执行关闭所述终端安全保护功能的指令;
步骤270,如果未匹配上,则拒绝终端执行关闭所述终端安全保护功能的指令。
本实施例与图1所述实施例相似步骤原理类似,在此不在详述。
参照图3,其示出了本申请一种终端密码保护的系统实施例一的结构示意图,具体可以包括:
控制台310和各终端;
所述控制台310包括:
验证密码发送模块311,用于控制台获取验证密码,并将所述验证密码通过网络发送至各终端储存;
所述每个终端320包括:
输入监控模块321,用于监控终端接收的输入数据;
启动模块322,用于当所述输入数据触发关闭所述终端安全保护功能的指令,则绘制密码输入界面,所述密码输入界面用于接收用户输入的字符串;
第一匹配模块323,用于当密码输入界面接收字符串并被确认后,则将所述字符串与终端本地存储的验证密码进行比较匹配;
允许模块324,用于如果匹配上,则允许终端执行关闭或卸载所述终端安全保护功能的指令;
拒绝模块325,用于如果未匹配上,则拒绝终端执行关闭或卸载所述终端安全保护功能的指令。
可选的,在每个终端中,在所述允许模块之前还包括:字符串发送模块,所述终端将所述字符串发送至控制台;
所述控制台还包括:
第二匹配模块,用于控制台将所述字符串与本地存储的验证密码进行比较匹配。
可选的,所述验证密码发送模块包括:
第一加密模块,用于控制台采用加密算法将所述验证密码进行数字签名;
第一发送模块,用于将所述进行数字签名后的验证密码通过网络发送至各终端。
可选的,所述第一匹配模块包括:
第二加密模块,用于将所述字符串采用所述加密算法对字符串进行数字签名;
第三匹配模块,用于将进行数字签名后的字符串与所述进行数字签名后的验证密码进行比较匹配。
可选的,还包括:
第一预置模块,用于预置动态链接库;当所述输入数据触发关闭所述终端安全保护功能的指令后,调用所述动态链接库执行触发关闭所述终端安全保护功能的指令后的步骤。
可选的,还包括:
第二预置模块,用于在安全保护功能对应安全保护模块的可执行白名单中,预置第一卸载程序;所述初始卸载程序为当所述输入数据触发卸载所述终端安全保护功能的指令时启用;
进一步的,所述允许模块包括:
第一卸载模块,用于第一卸载程序调用安全保护功能对应的安全保护模块的原始卸载程序进行卸载。
参照图4,其示出了本申请一种终端密码保护的系统实施例二的结构示意图,具体可以包括:
控制台410和各终端;
所述控制台410包括:
验证密码接收模块411,用于控制台获取并存储验证密码;
匹配模块412,用于控制台将所述字符串与本地存储的验证密码进行比较匹配;对于匹配结果,可将其发送至终端。
所述每个终端420包括:
输入监控模块421,用于监控终端接收的输入数据;
启动模块422,用于当所述输入数据触发关闭所述终端安全保护功能的指令,则绘制密码输入界面,所述密码输入界面用于接收用户输入的字符串;
字符串发送模块423,所述终端将所述字符串发送至控制台;
允许模块424,用于如果匹配上,则允许终端执行关闭所述终端安全保护功能的指令;
拒绝模块425,用于如果未匹配上,则拒绝终端执行关闭所述终端安全保护功能的指令。
图3实施例与图1方法实施例对应,图4实施例与图2方法实施例对应,在此不在详述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一种终端密码保护设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。