CN103647785A - 一种移动终端安全的控制方法、装置及系统 - Google Patents
一种移动终端安全的控制方法、装置及系统 Download PDFInfo
- Publication number
- CN103647785A CN103647785A CN201310713543.3A CN201310713543A CN103647785A CN 103647785 A CN103647785 A CN 103647785A CN 201310713543 A CN201310713543 A CN 201310713543A CN 103647785 A CN103647785 A CN 103647785A
- Authority
- CN
- China
- Prior art keywords
- information
- security
- business administration
- mobile terminal
- geographic area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
- H04W12/64—Location-dependent; Proximity-dependent using geofenced areas
Abstract
本发明实施例提供了一种移动终端安全的控制方法、装置及系统,其中方法包括:移动终端中的企业管理客户端接收服务器下发的所述企业管理客户端对应的基于地理位置的安全策略信息;所述企业管理客户端周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内;若在,则执行所述安全策略。本发明实施例可以实现当具有BYOD功能的移动终端进入该区域时,受控于企业配置的安全策略,保障了企业的信息安全,防止泄密,避免了现有具备BYOD功能的移动终端位置不固定的特点给企业带来的安全隐患。
Description
技术领域
本发明涉及移动通信技术领域,尤其涉及一种移动终端安全的控制方法、装置及系统。
背景技术
随着移动终端的成熟与普及,以手机、平板电脑为代表的个人移动终端逐渐进入企业领域,这种现象被称为自带设备办公(Bring Your Own Device,BYOD)。根据国际权威咨询公司Gartner预测,到2014年90%的企业将会支持员工在个人移动终端上运行企业办公应用程序,员工使用个人移动终端办公已经成为一种无法逆转的潮流。
在BYOD中,同一移动终端上既有个人应用程序和数据,也有企业应用程序和数据,个人应用程序和数据所在的区域被称为个人区,企业应用程序和数据所在的区域被称为工作区。
如果个人应用可以随意访问、存取企业数据,则将存在被个人应用非法上传、共享和外泄的风险,因此,当前BYOD的场景中,需要将同一移动终端上的工作区与个人区的程序和数据隔离开来,在不影响个人区正常使用的前提下,保障企业数据的安全。
在目前一种BYOD的解决方案中,在移动终端中通过企业管理客户端来实现工作区的各项功能,用户登录企业管理客户端以后,就能进入工作区内执行各种操作。
由于移动终端是一种用户手持设备,具备位置不固定的特点,而办公场所往往是固定的(例如某个办公楼),基于企业保密和企业信息安全的考虑,在满足用户使用移动终端进行手机办公的同时,又需要对具有BYOD功能的移动终端进行相应的安全控制,但目前还没有相应的解决方案。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种移动终端安全的控制方法、装置及系统。
依据本发明的第一个方面,本发明实施例提供的一种移动终端安全的控制方法,包括:
移动终端中的企业管理客户端接收服务器下发的所述企业管理客户端对应的基于地理位置的安全策略信息;
所述企业管理客户端周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内;
若在,则执行所述安全策略。
进一步地,所述基于地理位置的安全策略信息包括:
地理区域范围的经纬度信息以及该地理区域范围对应的安全策略;
相应地,所述企业管理客户端周期性查看自身是否在所述基于地理位置的安全策略指定的地理区域范围内,包括:
所述企业管理客户端周期性获取自身当前的经纬度信息;
所述企业管理客户端计算自身当前的经纬度信息是否位于所述地理区域范围内。
进一步地,所述安全策略信息还包括:安全策略的版本号;
相应地,企业管理客户端接收服务器下发的所述企业管理客户端所属应用权限对应的基于地理位置的安全策略信息之后,还包括:
所述企业管理客户端保存所述安全策略信息;
所述企业管理客户端周期性地将自身保存的安全策略的版本号上传至服务器;
当上报的版本号与服务器侧保存的最新版本的安全策略的版本号不一致时,接收服务器下发的最新版本号的安全策略信息。
进一步地,所述企业管理客户端周期性获取自身当前的经纬度信息,包括:
所述企业管理客户端周期性地通过所属移动终端的GPS或WIFI获取自身当前的经纬度信息。
进一步地,所述安全策略包括:
在指定的地理区域范围内,关闭移动终端中至少一个特定的系统功能;
在指定的地理区域范围内,禁止移动终端中至少一个特定的应用程序的启动和运行。
进一步地,所述特定的系统功能包括:摄像头功能、录音功能、呼叫功能和截屏功能。
进一步地,当所述安全策略为:在指定的区域内,禁止移动终端中至少一个特定的应用程序的启动和运行时,所述安全策略包括:指定的地理区域范围信息、允许和不允许启动和运行的应用的安全类别信息;
所述执行所述安全策略,具体包括:
所述企业管理客户端向服务器发送查询本地所有应用的私有属性信息和公有属性信息;
所述企业管理客户端从获取到的各应用的私有属性信息和公有属性信息中分别查找对应的安全类别信息;
将查找到的每个应用私有属性信息和公有属性信息中的安全类别信息的组合,作为该应用的安全类别信息;
根据每个应用的安全类别信息,确定在所述指定区域内,是否允许该应用的启动和运行。
依据本发明的第二个方面,本发明实施例提供的移动终端安全的控制装置,包括:
接收模块,用于接收服务器下发的移动终端中企业管理客户端对应的基于地理位置的安全策略信息;
地理位置查看模块,用于查看所述企业管理客户端是否在所述基于地理位置的安全策略信息指定的地理区域范围内;
安全策略执行模块,用于的当所述地理位置查看模块确定所述企业管理客户端在所述基于地理位置的安全策略信息指定的地理区域范围内时,执行所述安全策略。
进一步地,所述基于地理位置的安全策略信息包括:地理区域范围的经纬度信息以及该地理区域范围对应的安全策略;
所述地理位置查看模块,具体用于周期性获取自身当前的经纬度信息,计算自身当前的经纬度信息是否位于所述地理区域范围内。
进一步地,所述地理位置查看模块,具体用于周期性地通过自身的GPS或WIFI获取自身当前的经纬度信息。
进一步地,所述安全策略包括:
在指定的地理区域范围内,关闭移动终端中至少一个特定的系统功能;
在指定的地理区域范围内,禁止移动终端中至少一个特定的应用程序的启动和运行。
进一步地,所述特定的系统功能包括:摄像头功能、录音功能、呼叫功能和截屏功能。
进一步地,当所述安全策略为:在指定的区域内,禁止移动终端中至少一个特定的应用程序的启动和运行时,所述安全策略包括:指定的地理区域范围信息、允许和不允许启动和运行的应用的安全类别信息;
相应地,所述安全策略执行模块,具体用于向服务器发送查询本地所有应用的私有属性信息和公有属性信息;从获取到的各应用的私有属性信息和公有属性信息中分别查找对应的安全类别信息;将查找到的每个应用私有属性信息和公有属性信息中的安全类别信息的组合,作为该应用的安全类别信息;根据每个应用的安全类别信息,确定在所述指定区域内,是否允许该应用的启动和运行。
依据本发明的第三个方面,本发明实施例提供的移动终端中的企业管理客户端,该企业管理客户端包括前述的移动终端安全的控制装置。
依据本发明的第四个方面,一种移动终端安全的控制系统,包括:服务器和至少一个企业管理客户端;其中:
服务器,用于下发企业管理客户端对应的基于地理位置的安全策略信息;
每个企业管理客户端,位于移动终端中,用于接收服务器下发的所述基于地理位置的安全策略信息;并周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内,若在,则执行所述安全策略。
本发明实施例的有益效果包括:
本发明实施例提供的移动终端安全的控制方法、装置及系统,通过服务器向移动终端中的企业管理客户端下发基于地理位置的安全策略信息,企业管理客户端周期性地查看自身是否位于该安全策略信息限定的地理区域范围内,如果在,就执行该安全策略,由于安全策略信息限定的地理区域范围往往是企业需要进行保密和安全控制的区域,本发明实施例可以实现当具有BYOD功能的移动终端进入该区域时,受控于企业配置的安全策略,保障了企业的信息安全,防止泄密,避免了现有具备BYOD功能的移动终端位置不固定的特点给企业带来的安全隐患。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例提供的移动终端安全的控制方法所依赖的系统架构图;
图2为本发明实施例提供的移动终端安全的控制方法的流程图;
图3为本发明实施例提供的移动终端安全的控制装置的结构示意图;
图4为本发明实施例提供的移动终端安全的控制系统的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
下面结合说明书附图,对本发明实施例提供的一种移动终端安全的控制方法、装置及系统的具体实施方式进行说明。
在说明本发明实施例提供的移动终端安全的控制方法之前,首先对本发明实施例提供的移动终端安全的控制方法所依赖的系统架构进行说明。如图1所示,该系统包括部署在企业内网的服务器端和需要被管理的移动终端上的企业管理客户端。其中:服务器的主要功能包括:根据企业管理员的配置,管理、下发企业内网的应用,以及管理、下发安全策略等;企业管理客户端的主要功能包括:数据防泄密,执行安全策略等,数据防泄密包括数据加密、数据隔离等。
针对移动终端地理位置的不确定性,为了实现有效保护企业信息安全,基于上述移动终端的安全管理系统,本发明实施例提供的了一种移动终端安全的控制方法,如图2所示,该方法具体包括以下步骤:
S201、移动终端中的企业管理客户端接收服务器下发的该企业管理客户端对应的基于地理位置的安全策略信息;
S202、企业管理客户端周期性查看自身是否在基于地理位置的安全策略信息指定的地理区域范围内;若在,执行步骤S203;否则,重复执行S202;
S203、执行安全策略。
下面针对上述各步骤进行详细的说明。
上述S101中,服务器下发的该企业管理客户端对应的基于地理位置的安全策略信息,具体可以包括下面两种信息即:地理区域范围的经纬度信息和该地理区域范围对应的安全策略。
进一步地,上述地理区域范围的经纬度信息,例如可以采用(中心点经纬度信息,地理区域范围半径)参数定义的方式,或者其他参数定义方式,本发明实施例对此不作限定。
上述步骤S201在具体实施时,可在移动终端开机且用户登录企业管理客户端进入工作区时,服务器向企业管理客户端下发该企业管理客户端对应的基于地理位置的安全策略信息,并且,当服务器侧的基于地理位置的安全策略信息有更新时,及时下发给移动终端中的企业管理客户端。
服务器侧的安全策略信息可以由管理员根据不同的用户组来设置,由于不同用户组具有不同的权限,相应地,不同用户组内的用户对应的基于地理位置的安全策略可能不同,例如权限较高的用户组对应的基于地理位置的安全策略可能会较宽松,反之,则会严格一些,限制多一些。服务器可以根据使用企业管理客户端的用户所在的用户组,将该用户组对应的基于地理位置的安全策略作为该企业管理客户端的安全策略下发给企业管理客户端。
较佳地,服务器侧的安全策略信息可以使用配置文件的方式进行下发,配置文件中包含键-值(Key-Value),企业管理客户端侧预先保存了各种不同策略的Key和Value的值,收到配置文件后,解析该配置文件中Key和Value的值即可了解服务下发的安全策略的具体含义,这样的方式,一方面可以降低企业管理客户端和服务器之间的交互时的耗费的流量,另一方面可以提高数据传输的效率和可靠性。
进一步地,为了保证企业管理客户端和服务器侧的安全策略的同步性,较佳地,在本发明实施例中,企业管理客户端需要将服务器侧下发的安全策略信息进行保存,并且,服务器每次下发的安全策略信息都具有唯一的版本号,企业管理客户端在保存安全策略信息时,同样保存了该安全策略信息的版本号。
每个安全策略信息的版本号都是由服务器侧随机生成的,并且唯一标识该安全策略信息。
即使移动终端未及时开机或者用户未及时登录企业管理客户端,本发明实施例提供的安全策略的下发方式,同样能够保证企业管理客户端侧和服务器侧安全策略信息的实时同步,具体说明如下:
企业管理客户端会周期性(也可以采用不定期的方式)向服务器侧发送请求,在该请求中携带自身保存的最新版本的安全策略信息的版本号,服务器侧接收到该版本号后,将该版本号与自身保存的最新版本的安全策略信息的版本号信息进行比对,当两者不一致时,将本地保存的最新版本的安全策略信息下发给移动终端的企业管理客户端。
较佳地,企业管理客户端在向服务器侧发送请求时,将该安全策略信息的名字和版本号采用Gzip格式(Gzip格式是GNUzip的缩写)进行压缩,发送Gzip格式的压缩请求可以达到缩减请求大小,加快传输速度的技术效果。
服务器侧将本地保存的最新版本的安全策略信息下发给移动终端的企业管理客户端的步骤中,该最新版本的安全策略信息,在具体实施时,可以采用升级安装包信息的方式,该升级安装包信息可以是XML(Extensible MarkupLanguage,可扩展标记语言)格式的信息,该升级安装包信息可以包括安装包标识、升级安装包版本号、升级安装包的描述信息等关键字段。为了保证数据的安全性,服务器与企业管理客户端交互过程中所发送的所有数据(如安全策略信息或安全策略的升级安装包信息)都是经过预设协议进行加密的,因此,服务器或企业管理客户端在收到数据后要对数据进行解析。
企业管理客户端接收到服务器返回的升级安装包信息后进行解析,将本地保存的安全策略信息与对应的升级安装包信息进行比较,若检测到所述安装包信息符合预设的升级策略,则进行相应的安全策略版本升级的操作。作为本实施例的一种优选示例,该预设的升级策略可以为符合本地保存的安全策略信息的版本号小于该升级安装包信息的版本号的策略,即,若本地保存的安全策略信息的版本号低于该升级安装包信息的版本号,则启动升级机制。
上述步骤S202中,企业管理客户端周期性查看自身是否在基于地理位置的安全策略指定的地理区域范围内,可具体通过下述方式实现:
企业管理客户端周期性获取自身当前的经纬度信息;
企业管理客户端计算自身当前的经纬度信息是否位于该地理区域范围内。
举例来说,企业管理客户端周期性获取自身经纬度信息为(x1,y1),该地理区域范围例如采用((x2,y2),R)的方式限定,(x2,y2)是该地理区域范围的中心点的经纬度,R为该地理区域范围的半径。企业管理客户端可以通过简单计算确定自身的经纬度是否位于该范围内。
进一步地,上述企业管理客户端可以借助其所属的移动终端的全球定位系统(Global Positioning System,GPS)或无线保真(Wireless Fidelity,WIFI)定位方式来获取自身当前的经纬度信息。例如用户可以选择在有WIFI信号的情况下,使用WIFI定位的方式,如果没有WIFI信号,则采用GPS定位的方式。具体定位的方法,参照现有技术的做法,在此不再赘述。
进一步地,上述S201~S203中提及的安全策略至少包含下面策略中的一种或几种:
在指定的地理区域范围内,关闭移动终端中至少一个特定的系统功能;
在指定的地理区域范围内,禁止移动终端中至少一个特定的应用程序的启动和运行。
举例来说,关闭移动终端中的至少一个特定的系统功能,包括:摄像头功能、录音功能、语音呼叫功能和截屏功能等。关闭系统功能可以利用系统提供的接口实现,例如关闭摄像头功能时,可以通过调用系统设备管理提供的接口来实现。
上述禁止移动终端中至少一个特定的应用程序的启动和运行,例如可以禁止启动和运行某些可能泄密的例如浏览器、社交网站的应用、聊天软件、邮件软件、某些文件分享类应用(例如网盘等,这样会导致企业内部的资源被上传到云端,破坏了企业信息的私密性)等,或者从更广范围来说,这些被禁止安装、启动和运行的应用还可以包括:被移动终端中预设的安全软件检查出来的被曝出有安全漏洞或恶意行为的应用。
禁止移动终端中的至少一个特定的应用程序的安装、启动和运行,在具体实施时,还可以通过下述方式:设定安全策略时,可以指定安全类别信息符合设定条件的应用被允许使用或者被禁止使用,即企业管理客户端在接收到服务器下发的安全策略时,该安全策略会在指定区域允许某些应用的运行,同时又禁止某些应用的运行,允许的和不允许的应用使用其安全类别信息来表示。企业客户端在收到该安全策略信息后,可以向服务器侧查询本地各应用的安全类别信息,以确定到底哪些应用需要在该安全策略指定的区域内被允许使用,哪些是被禁止使用的。
下面对上述这种方式进行详细说明。
企业客户端中的每个应用都具有两种属性、一种是私有属性、另一种是公有属性,私有属性和公有属性中都具有安全类别信息。
例如,私有属性中的安全类别信息可以分别用数字70、10、40表示黑、白、灰,也即,70代表文件最危险,10代表文件最安全,40则不能确定为是否安全。由于同一个文件在不同的企业中应用时,其安全类别可能会有所不同,因此,考虑到这种企业间的差异,本发明实施例中使用了私有属性的概念,由企业内部的管理员根据实际需要来设定文件的安全类别。在设定了文件的私有属性之后,可以在服务器侧,保存一个文件与私有属性之间的映射表,在该映射表中,文件的标识可以用文件文件名来表示,但是为了避免针对不同文件名、相同文件内容的文件进行重复的设置及记录,也可以用文件的md5值等内容校验信息来表示。这样,当接收到企业管理客户端查询某目标文件的安全属性信息的请求时,就可以通过查询该映射表,获取到当前目标文件的私有属性。
需要说明的是,在实际应用中,目标文件的私有属性可以是在首次接收到查询某目标文件的安全属性信息时,由管理员进行配置的,在配置之后,则可以将该目标文件的标识信息与私有属性之间的对应关系添加到映射表中,供后续查询同样目标文件的其他客户端使用。这样,针对每次获取私有属性的请求,都可以执行以下流程:首先查询该映射表中,如果存在匹配的信息,则直接将对应的私有属性返回给企业管理客户端;如果不存在,则可以要求企业管理客户端将该目标文件上传至服务器侧,然后由服务器侧的管理员进行分析之后为其配置私有属性,返回给企业管理客户端,同时,将该目标文件的标识信息与私有属性之间的对应关系添加到映射表中,以此类推。
公有属性是指根据该企业的安全管理应用(例如某些安全管理软件)的特征库确定出的文件的安全类别信息。企业的安全管理应用是面向所有的企业用户的,不存在不同企业之间的差异,因此,相对于各个企业内部的管理员设置的私有属性而言,根据这种特征库获取到的文件安全信息成为公有属性。公有属性同样可以用数字70、10、40表示黑、白、灰。当服务器侧接收到查询某目标文件的安全类别信息的请求时,就可以根据从目标文件中提取出的特征,查询该特征库,根据匹配的结果来确定目标文件的公有属性。例如,特征库中保存的是一个白名单以及一个黑名单,则如果发现目标文件的特征出现在白名单中,则证明该目标文件的公有属性为“白”,可以由“10”来表示;如果发现目标文件的特征出现在黑名单中,则证明该目标文件的公有属性为“黑”,可以由“70”来表示;如果发现目标文件的特征既没有出现在白名单中,也没有出现在黑名单中,则证明该目标文件的公有属性为“灰”,可以由“40”来表示。总之,可以通过查询预置的特征库来获取目标文件的公有属性。
其中,该特征库可以是保存在服务器的本地,并由远程的企业的安全管理应用的服务器对其进行定期或者不定期的更新;接收到查询某目标文件的公有属性的请求时,服务器侧直接根据本地保存的特征库进行查询。或者,为了避免占用服务器的存储空间,该特征库也可以直接保存在安全管理应用的服务器中,当服务器侧接收到查询某目标文件的公有属性的请求时,可以将查询请求转发给该安全管理应用的服务器,根据该安全管理应用的服务器端的返回结果来确定出目标文件的公有属性。
即,安全策略信息可以包含如下信息:如果某客户端处于企业的核心区域,则允许在其终端上运行的文件的安全类别信息包括1010,1040,1070,不允许在其终端上运行的文件的安全类别信息包括4010,4040,4070,7010,7040,7070;如果某客户端处于企业的办公区域,则允许在其终端上运行的文件的安全类别信息包括1010,1040,1070,4010,不允许在其终端上运行的文件的安全类别信息包括4040,4070,7010,7040,7070,以此类推。上述各组安全类别信息中,每个安全类别信息中的前两个数字表示私有属性中的安全类别信息,后两个数字表示公有属性中的安全类别信息。
从上述策略可以看出,对安全要求越高的区域允许运行的文件类型越少。例如,核心区域的策略中只允许私有属性为“白”的文件运行,而公共区域只禁止公有属性为“黑”的文件运行。当然,具体的区域划分方式以及区域对应的具体策略,都可以根据具体的需求进行具体的定制。
在对企业的物理区域进行划分并分别为各个物理区域配置了不同的安全策略之后,可以是由企业管理客户端向服务器发起获取安全策略的请求,然后管理控制中心将为企业内各个不同物理区域配置的安全策略都返回给该企业管理客户端。这样,企业管理客户端检测到自身位于其中某个区域中时,就可以根据该区域内的安全策略来对文件的运行进行安全控制了。在实际应用中,服务器侧还可以定期或者不定期地对各个客户端的安全策略进行更新。
用一个实例来说明本发明实施例提供的上述移动终端安全的控制方法,如果用户甲使用其移动终端进行手机办公,服务器端给该用户甲所属的用户组下发的基于地理位置的安全策略信息为:当其进入大厦A(企业的办公大楼)时,禁止其摄像头的使用。该用户甲使用的企业管理客户端会周期性查看自身是否位于该大厦A的地理范围内,一旦发现在该地理范围内,则禁止摄像头的系统功能,禁用摄像头的过程对于用户来说是透明的,只有当用户甲需要开启摄像头在大厦A的区域内进行拍照时,企业管理客户端才会提示用户,已进入保密区域,禁止摄像。这样,可以实现在某些特定的办公区域内,保障企业信息安全,防止泄密。
基于同一发明构思,本发明实施例还提供了一种移动终端安全的控制装置、企业管理客户端及系统,由于这些装置和系统所解决问题的原理与前述一种移动终端安全的控制的方法相似,因此这些装置和系统的实施可以参见前述方法的实施,重复之处不再赘述。
本发明实施例提供的一种移动终端安全的控制装置,如图3所示,包括:
接收模块301,用于接收服务器下发的移动终端中企业管理客户端对应的基于地理位置的安全策略信息;
地理位置查看模块302,用于查看企业管理客户端是否在该基于地理位置的安全策略信息指定的地理区域范围内;
安全策略执行模块303,用于的当地理位置查看模块302确定所述企业管理客户端在所述基于地理位置的安全策略信息指定的地理区域范围内时,执行该安全策略。
进一步地,上述基于地理位置的安全策略信息包括:地理区域范围的经纬度信息以及该地理区域范围对应的安全策略;
相应地,上述地理位置查看模块302,具体用于周期性获取自身当前的经纬度信息,计算自身当前的经纬度信息是否位于所述地理区域范围内。
进一步地,上述安全策略信息还包括:安全策略的版本号;
相应地,上述移动终端安全的控制装置,如图3所示,还可以包括:存储模块304和版本号上传模块305;其中:
上述存储模块304,用于保存安全策略信息;
上述版本号上传模块305,用于周期性地将自身保存的安全策略的版本号上传至服务器;
上述接收模块301,还用于当上报的版本号与服务器侧保存的最新版本的安全策略的版本号不一致时,接收服务器下发的最新版本号的安全策略信息。
进一步地,上述地理位置查看模块302,具体用于周期性地通过自身的GPS或WIFI获取自身当前的经纬度信息。
进一步地,上述安全策略包括:
在指定的地理区域范围内,关闭移动终端中至少一个特定的系统功能;
在指定的地理区域范围内,禁止移动终端中至少一个特定的应用程序的安装、启动和运行。
进一步地,上述特定的系统功能包括:摄像头功能、录音功能、呼叫功能和截屏功能等。
进一步地,当所述安全策略为:在指定的区域内,禁止移动终端中至少一个特定的应用程序的启动和运行时,所述安全策略包括:指定的地理区域范围信息、允许和不允许启动和运行的应用的安全类别信息;
相应地,所述安全策略执行模块,具体用于向服务器发送查询本地所有应用的私有属性信息和公有属性信息;从获取到的各应用的私有属性信息和公有属性信息中分别查找对应的安全类别信息;将查找到的每个应用私有属性信息和公有属性信息中的安全类别信息的组合,作为该应用的安全类别信息;根据每个应用的安全类别信息,确定在所述指定区域内,是否允许该应用的启动和运行。
本发明实施例还提供了一种移动终端中的企业管理客户端,该企业管理客户端包括本发明实施例提供的上述移动终端安全的控制装置。
本发明实施例还提供了一种移动终端安全的控制系统,如图4所示,包括:服务器401和至少一个企业管理客户端402;其中:
服务器401,用于下发企业管理客户端对应的基于地理位置的安全策略信息;
每个企业管理客户端402,位于移动终端中,用于接收服务器下发的所述基于地理位置的安全策略信息;并周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内,若在,则执行所述安全策略。
本发明实施例提供的移动终端安全的控制方法、装置及系统,通过服务器向移动终端中的企业管理客户端下发基于地理位置的安全策略信息,企业管理客户端周期性地查看自身是否位于该安全策略信息限定的地理区域范围内,如果在,就执行该安全策略,由于安全策略信息限定的地理区域范围往往是企业需要进行保密和安全控制的区域,本发明实施例可以实现当具有BYOD功能的移动终端进入该区域时,受控于企业配置的安全策略,保障了企业的信息安全,防止泄密,避免了现有具备BYOD功能的移动终端位置不固定的特点给企业带来的安全隐患。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的移动终端安全的控制装置、企业管理客户端中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种移动终端安全的控制方法,其特征在于,包括:
移动终端中的企业管理客户端接收服务器下发的所述企业管理客户端对应的基于地理位置的安全策略信息;
所述企业管理客户端周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内;
若在,则执行所述安全策略。
2.如权利要求1所述的方法,其特征在于,所述基于地理位置的安全策略信息包括:
地理区域范围的经纬度信息以及该地理区域范围对应的安全策略;
所述企业管理客户端周期性查看自身是否在所述基于地理位置的安全策略指定的地理区域范围内,包括:
所述企业管理客户端周期性获取自身当前的经纬度信息;
所述企业管理客户端计算自身当前的经纬度信息是否位于所述地理区域范围内。
3.如权利要求1或2所述的方法,其特征在于,所述安全策略包括:
在指定的地理区域范围内,关闭移动终端中至少一个特定的系统功能;
在指定的地理区域范围内,禁止移动终端中至少一个特定的应用程序的启动和运行。
4.如权利要求3所述的方法,其特征在于,当所述安全策略为:在指定的区域内,禁止移动终端中至少一个特定的应用程序的启动和运行时,所述安全策略包括:指定的地理区域范围信息、允许和不允许启动和运行的应用的安全类别信息;
所述执行所述安全策略,具体包括:
所述企业管理客户端向服务器发送查询本地所有应用的私有属性信息和公有属性信息;
所述企业管理客户端从获取到的各应用的私有属性信息和公有属性信息中分别查找对应的安全类别信息;
将查找到的每个应用私有属性信息和公有属性信息中的安全类别信息的组合,作为该应用的安全类别信息;
根据每个应用的安全类别信息,确定在所述指定区域内,是否允许该应用的启动和运行。
5.一种移动终端安全的控制装置,其特征在于,包括:
接收模块,用于接收服务器下发的移动终端中企业管理客户端对应的基于地理位置的安全策略信息;
地理位置查看模块,用于查看所述企业管理客户端是否在所述基于地理位置的安全策略信息指定的地理区域范围内;
安全策略执行模块,用于当所述地理位置查看模块确定所述企业管理客户端在所述基于地理位置的安全策略信息指定的地理区域范围内时,执行所述安全策略。
6.如权利要求5所述的装置,其特征在于,所述基于地理位置的安全策略信息包括:地理区域范围的经纬度信息以及该地理区域范围对应的安全策略;
所述地理位置查看模块,具体用于周期性获取自身当前的经纬度信息,计算自身当前的经纬度信息是否位于所述地理区域范围内。
7.如权利要求5或6所述的装置,其特征在于,所述安全策略包括:
在指定的地理区域范围内,关闭移动终端中至少一个特定的系统功能;
在指定的地理区域范围内,禁止移动终端中至少一个特定的应用程序的启动和运行。
8.如权利要求7所述的装置,其特征在于,当所述安全策略为:在指定的区域内,禁止移动终端中至少一个特定的应用程序的启动和运行时,所述安全策略包括:指定的地理区域范围信息、允许和不允许启动和运行的应用的安全类别信息;
相应地,所述安全策略执行模块,具体用于向服务器发送查询本地所有应用的私有属性信息和公有属性信息;从获取到的各应用的私有属性信息和公有属性信息中分别查找对应的安全类别信息;将查找到的每个应用私有属性信息和公有属性信息中的安全类别信息的组合,作为该应用的安全类别信息;根据每个应用的安全类别信息,确定在所述指定区域内,是否允许该应用的启动和运行。
9.一种移动终端中的企业管理客户端,其特征在于,所述企业管理客户端包括如权利要求5-8任一项所述的移动终端安全的控制装置。
10.一种移动终端安全的控制系统,其特征在于,包括:服务器和至少一个企业管理客户端;其中:
服务器,用于下发企业管理客户端对应的基于地理位置的安全策略信息;
每个企业管理客户端,位于移动终端中,用于接收服务器下发的所述基于地理位置的安全策略信息;并周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内,若在,则执行所述安全策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310713543.3A CN103647785A (zh) | 2013-12-20 | 2013-12-20 | 一种移动终端安全的控制方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310713543.3A CN103647785A (zh) | 2013-12-20 | 2013-12-20 | 一种移动终端安全的控制方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103647785A true CN103647785A (zh) | 2014-03-19 |
Family
ID=50252941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310713543.3A Pending CN103647785A (zh) | 2013-12-20 | 2013-12-20 | 一种移动终端安全的控制方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103647785A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105094962A (zh) * | 2015-08-25 | 2015-11-25 | 小米科技有限责任公司 | 应用程序禁用方法及装置 |
| CN105208029A (zh) * | 2015-09-30 | 2015-12-30 | 北京奇虎科技有限公司 | 一种数据处理方法及终端设备 |
| CN105430150A (zh) * | 2015-12-24 | 2016-03-23 | 北京奇虎科技有限公司 | 一种实现安全通话的方法和装置 |
| CN105610671A (zh) * | 2016-01-11 | 2016-05-25 | 北京奇虎科技有限公司 | 一种终端数据保护的方法及装置 |
| CN105653975A (zh) * | 2015-12-24 | 2016-06-08 | 北京奇虎科技有限公司 | App运行控制方法及装置 |
| CN105653964A (zh) * | 2015-12-24 | 2016-06-08 | 北京奇虎科技有限公司 | 控制终端设备运行的方法及装置 |
| CN107077555A (zh) * | 2014-10-28 | 2017-08-18 | 微软技术许可有限责任公司 | 利用信号的策略设置配置 |
| CN107368713A (zh) * | 2017-07-28 | 2017-11-21 | 北京深思数盾科技股份有限公司 | 保护软件的方法和安全组件 |
| WO2020034762A1 (zh) * | 2018-08-17 | 2020-02-20 | 中兴通讯股份有限公司 | 终端管理方法、装置、终端及计算机存储介质 |
| CN110943978A (zh) * | 2019-11-14 | 2020-03-31 | 光通天下网络科技股份有限公司 | 安全策略的配置方法、装置、电子设备及介质 |
| CN111526156A (zh) * | 2020-04-30 | 2020-08-11 | 广州知弘科技有限公司 | 基于大数据的安全云平台系统 |
| CN111787307A (zh) * | 2020-06-30 | 2020-10-16 | 歌尔科技有限公司 | 一种摄像头启动报警方法、装置、设备及可读存储介质 |
| CN112685724A (zh) * | 2020-12-26 | 2021-04-20 | 深圳市天彦通信股份有限公司 | 设备管理方法及相关装置 |
| CN115258858A (zh) * | 2022-07-21 | 2022-11-01 | 深圳中正信息科技有限公司 | 门禁和层显集成系统的控制方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223595A (zh) * | 2010-04-19 | 2011-10-19 | 大唐移动通信设备有限公司 | 用于特殊区域安全需求的通信方法及装置 |
| CN103107887A (zh) * | 2013-01-22 | 2013-05-15 | 东莞宇龙通信科技有限公司 | 一种基于位置信息对文件进行操作控制的方法和装置 |
| CN103413095A (zh) * | 2013-08-21 | 2013-11-27 | 北京网秦天下科技有限公司 | 管理移动终端的方法和装置 |
-
2013
- 2013-12-20 CN CN201310713543.3A patent/CN103647785A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223595A (zh) * | 2010-04-19 | 2011-10-19 | 大唐移动通信设备有限公司 | 用于特殊区域安全需求的通信方法及装置 |
| CN103107887A (zh) * | 2013-01-22 | 2013-05-15 | 东莞宇龙通信科技有限公司 | 一种基于位置信息对文件进行操作控制的方法和装置 |
| CN103413095A (zh) * | 2013-08-21 | 2013-11-27 | 北京网秦天下科技有限公司 | 管理移动终端的方法和装置 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107077555A (zh) * | 2014-10-28 | 2017-08-18 | 微软技术许可有限责任公司 | 利用信号的策略设置配置 |
| CN105094962A (zh) * | 2015-08-25 | 2015-11-25 | 小米科技有限责任公司 | 应用程序禁用方法及装置 |
| CN105094962B (zh) * | 2015-08-25 | 2019-02-22 | 小米科技有限责任公司 | 应用程序禁用方法及装置 |
| CN105208029A (zh) * | 2015-09-30 | 2015-12-30 | 北京奇虎科技有限公司 | 一种数据处理方法及终端设备 |
| CN105208029B (zh) * | 2015-09-30 | 2018-01-16 | 北京奇虎科技有限公司 | 一种数据处理方法及终端设备 |
| CN105653975B (zh) * | 2015-12-24 | 2019-06-07 | 北京奇虎科技有限公司 | App运行控制方法及装置 |
| CN105653964A (zh) * | 2015-12-24 | 2016-06-08 | 北京奇虎科技有限公司 | 控制终端设备运行的方法及装置 |
| CN105653975A (zh) * | 2015-12-24 | 2016-06-08 | 北京奇虎科技有限公司 | App运行控制方法及装置 |
| CN105430150A (zh) * | 2015-12-24 | 2016-03-23 | 北京奇虎科技有限公司 | 一种实现安全通话的方法和装置 |
| CN105610671A (zh) * | 2016-01-11 | 2016-05-25 | 北京奇虎科技有限公司 | 一种终端数据保护的方法及装置 |
| CN107368713A (zh) * | 2017-07-28 | 2017-11-21 | 北京深思数盾科技股份有限公司 | 保护软件的方法和安全组件 |
| CN107368713B (zh) * | 2017-07-28 | 2019-07-19 | 北京深思数盾科技股份有限公司 | 保护软件的方法和安全组件 |
| WO2020034762A1 (zh) * | 2018-08-17 | 2020-02-20 | 中兴通讯股份有限公司 | 终端管理方法、装置、终端及计算机存储介质 |
| US11025769B2 (en) | 2018-08-17 | 2021-06-01 | Zte Corporation | Terminal management method and device, terminal and computer storage medium |
| CN110943978A (zh) * | 2019-11-14 | 2020-03-31 | 光通天下网络科技股份有限公司 | 安全策略的配置方法、装置、电子设备及介质 |
| CN111526156A (zh) * | 2020-04-30 | 2020-08-11 | 广州知弘科技有限公司 | 基于大数据的安全云平台系统 |
| CN111787307A (zh) * | 2020-06-30 | 2020-10-16 | 歌尔科技有限公司 | 一种摄像头启动报警方法、装置、设备及可读存储介质 |
| CN112685724A (zh) * | 2020-12-26 | 2021-04-20 | 深圳市天彦通信股份有限公司 | 设备管理方法及相关装置 |
| CN112685724B (zh) * | 2020-12-26 | 2023-12-15 | 深圳市天彦通信股份有限公司 | 设备管理方法及相关装置 |
| CN115258858A (zh) * | 2022-07-21 | 2022-11-01 | 深圳中正信息科技有限公司 | 门禁和层显集成系统的控制方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103647785A (zh) | 一种移动终端安全的控制方法、装置及系统 | |
| CN110073353B (zh) | 基于容器的操作系统和方法 | |
| US8505107B2 (en) | Cloud server and access management method | |
| CN104239764B (zh) | 终端设备及其系统功能的管控方法和装置 | |
| US8656454B2 (en) | Data store including a file location attribute | |
| US11003718B2 (en) | Systems and methods for enabling a global aggregated search, while allowing configurable client anonymity | |
| CN108337677B (zh) | 网络鉴权方法及装置 | |
| CN103677935A (zh) | 一种应用程序的安装控制方法、系统及装置 | |
| EP3170091B1 (en) | Method and server of remote information query | |
| CN103646215A (zh) | 一种应用程序的安装控制方法、相关系统及装置 | |
| US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
| CN103713904A (zh) | 在移动终端工作区内安装应用的方法、相关装置和系统 | |
| EP2951978A1 (en) | Methods and systems for shared file storage | |
| CN104102358A (zh) | 隐私信息保护的方法及隐私信息保护装置 | |
| US9432369B2 (en) | Secure data containers | |
| KR101119206B1 (ko) | 단말에 포함된 정보에 대한 제어된 액세스를 위한 시스템 | |
| CN104615916A (zh) | 账号管理方法和装置、账号权限控制方法和装置 | |
| US10051045B2 (en) | Searching content associated with multiple applications | |
| WO2020225604A1 (en) | Method and devices for enabling data governance using policies triggered by metadata in multi-cloud environments | |
| CN109802919B (zh) | 一种web网页访问拦截方法及装置 | |
| AU2020201461A1 (en) | A System and Method for Implementing a Private Computer Network | |
| CN104462997A (zh) | 一种保护移动终端上工作数据的方法、装置和系统 | |
| US20160150365A1 (en) | Systems And Methods For Ensuring Data Security For Mobile Computing | |
| CN102651746A (zh) | 点对点的信息传输方法、系统及装置 | |
| US11531716B2 (en) | Resource distribution based upon search signals |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140319 |
|
| RJ01 | Rejection of invention patent application after publication |