CN104239764A - 终端设备及其系统功能的管控方法和装置 - Google Patents
终端设备及其系统功能的管控方法和装置 Download PDFInfo
- Publication number
- CN104239764A CN104239764A CN201410545016.0A CN201410545016A CN104239764A CN 104239764 A CN104239764 A CN 104239764A CN 201410545016 A CN201410545016 A CN 201410545016A CN 104239764 A CN104239764 A CN 104239764A
- Authority
- CN
- China
- Prior art keywords
- function
- systemic
- terminal device
- authority
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种终端设备及其系统功能的管控方法和装置,所述方法包括:预先注入到系统服务进程中的权限验证模块拦截到系统功能的开启或关闭请求后,从权限配置文件中查找到系统功能的操作权限;权限验证模块将当前用户的权限与系统功能的操作权限进行比较;根据比较结果,允许系统服务进程对拦截到的请求进行响应、或拒绝拦截到的请求。应用本发明,可以实现对多个用户使用的终端设备的系统功能的管控,可以禁止一些权限较低的用户或非授权用户对终端设备的系统功能进行设置。
Description
技术领域
本发明涉及终端设备技术,具体而言,本发明涉及终端设备及其系统功能的管控方法和装置。
背景技术
操作系统(OS,Operating System)作为终端设备中连接硬件、承载应用的关键平台,具有十分重要的作用。目前,终端设备中的操作系统包括:Android、Windows CE、Linux等。终端设备的操作系统通常可以支持多种系统功能,比如蓝牙、wifi(wireless fidelity,无线保真)、移动数据网络等。用户可在终端设备的操作系统提供的这些系统功能的开启或关闭的设置界面中进行相应操作来开启或关闭这些系统功能。
目前,对于诸如个人手机等的终端设备,用户可根据自己的需求开启或关闭终端设备的系统功能。例如,用户在存在wifi无线网络的地方开启手机的wifi系统功能以节省手机流量或获得较快的上网体验,而在不存在wifi无线网络的地方关闭wifi系统功能以节省手机电量。然而,对于一些多个用户使用的终端设备,如企业中的管控终端设备等,往往并不允许每个用户都能够按照自身需求对终端设备的系统功能进行开启或关闭。
例如,企业的员工开启终端设备的移动数据网络或wifi功能后,员工的终端设备可以在任何时间、任何地点接入移动互联网或公共/家庭wifi网络,员工的终端设备中的企业数据也会暴露在来自互联网的攻击之下,BYOD(Bring Your Own Device,指携带自己的设备办公)打破了原有的企业网络边界,正是这种边界的模糊性使BYOD成为企业信息安全体系的薄弱环节,也使得保护企业数据安全成为时下企业颇为关心的问题;因此,需要对员工的终端设备上的系统功能进行管控。显然,现有的终端设备的系统功能的开启或关闭方法并不能满足这个要求。
因此,有必要提供一种能够对多个用户使用的终端设备的系统功能进行管控的方法。
发明内容
本发明的目的旨在至少解决上述技术缺陷之一,特别是可以实现对终端设备的系统功能的开启或关闭进行管控。
本发明提供了一种终端设备中系统功能的管控方法,包括:
预先注入到系统服务进程中的权限验证模块拦截到系统功能的开启/关闭请求后,从权限配置文件中查找到所述系统功能的操作权限;
所述权限验证模块将当前用户的权限与所述系统功能的操作权限进行比较;根据比较结果,允许所述系统服务进程对所述请求进行响应、或拒绝所述请求。
本发明还提供了一种终端设备中系统功能的管控装置,包括:
权限验证模块,其预先注入于系统服务进程中,用于拦截到系统功能的开启/关闭请求后,从权限配置文件中查找到所述系统功能的操作权限;并将当前用户的权限与所述系统功能的操作权限进行比较;根据比较结果,允许所述系统服务进程对所述请求进行响应、或拒绝所述请求。
本发明还提供了一种终端设备,包括上述的管控装置。
本实施例的方案中,通过在终端设备的系统服务进程中注入的权限验证模块对系统功能的开启或关闭请求进行拦截,并根据当前用户的权限与配置的系统功能的操作权限的比较结果,允许系统服务进程对拦截到的请求进行响应、或拒绝拦截到的请求。从而,本发明可以实现对多个用户使用的终端设备的系统功能的管控,禁止一些权限较低的用户或非授权用户对系统功能的设置。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明实施例的在系统服务进程中注入权限验证模块的方法流程示意图;
图2为本发明实施例的终端设备中系统功能的管控方法的流程示意图;
图3a、3b为本发明实施例的终端设备中系统功能的管控装置的内部结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,进行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(Personal Communications Service,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(PersonalDigital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global PositioningSystem,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
此外,终端设备还可以是隶属于企业管理平台的终端设备。企业网内部署有企业管理平台,管理员可以轻松实现终端设备管理、策略管理下发、企业应用管理等,降低了管理的复杂度,节约了IT人力投入。例如,通过部署在企业网内部中的邮件、业务、OA服务器可以实现终端设备的报表、公文下发等。公私隔离的装置与邮件、业务、OA服务器进行通信,进行业务操作,例如收发短信、写邮件或下载公文等等,将文件、图片、邮件、短信等数据进行加密,并存储在工作区空间的数据库中,可以在不影响员工对个人应用使用的感受的基础上,在终端设备上建立一个安全、独立的工作区,将所有的工作数据,即企业应用和数据存储在受保护的安全区内。个人应用无法访问企业数据,避免企业数据被个人应用非法存取,不仅仅将企业数据和个人数据完全隔离,使IT部门能够更好地保护企业的应用和数据,也为员工提供了无差别的个人应用体验。
通过在企业需要管理的终端设备上部署企业安全管理客户端,企业可通过客户端实施管理中心下发的安全策略,员工可通过客户端安全地访问企业内网和办公,主要有以下几个功能:
独立工作区,在终端设备上建立了独立的工作区,并对工作区内数据加密处理,确保企业数据安全;
电子邮件,工作区预置邮箱功能,支持exchange邮箱,可以查看、收发电子邮件;
日历,可以查看exchange同步的约会,新建、编辑约会;
联系人,工作区预置联系人功能,可以新建或导入联系人。工作区的联系人和通话记录与个人区完全隔离,可设置工作区内发生的通话记录是否显示在个人区;
短信,从工作区发生的短信与个人区完全隔离;
浏览器,提供网页访问功能;
企业应用市场,支持从工作区企业应用市场下载、安装企业管理员推送的应用。
本发明中,在终端设备的系统服务(System server)进程中预先注入权限验证模块,并对系统功能的操作权限进行配置;注入到System server进程中的权限验证模块可以拦截到系统功能的开启或关闭请求;在权限验证模块拦截到系统功能的开启或关闭请求时,将当前用户的权限与请求所涉及的系统功能的操作权限进行比较;根据比较结果,允许系统服务进程对拦截的请求进行响应、或拒绝拦截到的请求。从而,实现根据用户的权限对终端设备的系统功能的开启或关闭进行管控,进而可以支持企业实现对员工终端设备的管理。
本发明实施例在进行终端设备的系统功能的管控之前,可预先将权限验证模块的代码注入到System server进程中,具体方法的流程示意图如图1所示,包括如下步骤:
S101:获取终端设备的root权限。
本步骤中,通过获取终端设备的root权限,实现提权操作。如何获取终端设备的root权限的方法为本领域技术人员所熟知,此处不赘述。其中,root权限指的是终端设备的操作系统的最高权限。获取终端设备的root权限也就意味着获取了终端设备的最高权限,可以对终端设备中的任何文件进行增、删、改、查的操作。
S102:在root权限下,将权限验证模块注入到System server进程中。
本步骤中,在实现提权后,可以将权限验证模块的代码注入到Systemserver进程中。其中,将权限验证模块注入到系统服务进程具体可以是:暂停System server进程(即Ptris进程);将修改后的库文件(即.so文件)覆盖原库文件;其中,修改后的库文件携带有权限验证模块,且权限验证模块作为修改后的库文件中的接口函数。也就是,将System server进程中的I/O函数替换为fake I/O函数(即权限验证模块)。
具体将代码注入到System server进程中的方法可采用现有的技术,此处不再赘述。
在将权限验证模块注入到System server进程后,即可通过权限验证模块实现对系统功能的管控。在实际应用中,用户可在终端设备的设置界面中点击系统功能的开启关闭按键,系统服务进程接收到系统功能的开启或关闭请求后,调用作为接口函数的权限验证模块,并将接受到的请求发送给权限验证模块,由权限验证模块对系统功能的开启或关闭进行管控。具体地,本发明实施例提供的终端设备的系统功能的管控方法的具体流程,如图2所示,包括如下步骤:
S201:预先注入到System server进程中的权限验证模块拦截到系统功能的开启或关闭请求。
具体地,当前用户开启或关闭终端设备中的某个系统功能(例如记为SF1的系统功能)时,预先注入到System server进程中的权限验证模块可以拦截到发送到System server进程的系统功能SF1的开启或关闭请求。其中,本发明所称的系统功能具体可以包括:蓝牙、wifi、移动数据网络,此外,还可以包括一些终端设备中的特定的系统功能,如摄像头功能、录音功能、语音呼叫功能和截屏功能等。关闭系统功能可以利用系统提供的接口实现,例如关闭摄像头功能时,可以通过调用系统设备管理提供的接口来实现。
此外,本发明所称的系统功能还可以包括安装于操作系统中的至少一个特定的应用程序,对系统功能的管控还可以包括对这些特定的应用程序的启动和运行的管控,例如可以禁止启动和运行某些可能泄密的诸如浏览器、社交网站的应用、聊天软件、邮件软件、某些文件分享类应用(如网盘等,这些应用可能会导致企业内部的资源被上传到云端,破坏企业信息的私密性)等,或者从更广范围来说,这些被禁止安装、启动和运行的应用还可以包括:被终端设备中预设的安全软件检查出来的被曝出有安全漏洞或恶意行为的应用。
例如,禁止终端设备中至少一个特定的应用程序的启动和运行,可以是:禁用摄像头,即禁止使用摄像头;禁用wifi,即禁止使用wifi;禁用移动数据网络,即禁止使用2G/3G/4G网络;禁用蓝牙,即禁止使用蓝牙;禁用屏幕快照,即禁止截屏;隔离剪切板,即禁止将工作区数据复制、剪切、粘贴出工作区;禁止安装应用程序,禁止用户安装应用;禁止移除应用程序,即禁止用户删除已安装的应用;禁止应用程序内购买;禁止iCloud云备份;禁止iCloud文稿与数据;禁止iCloud钥匙串;强制对备份进行加密;关闭工作区内的相机和相册;关闭工作区内的邮件;关闭工作区内的联系人;关闭工作区内的文件管理器;关闭工作区内的切换到个人区;关闭工作区内的浏览器;关闭工作区内的相机和相册;关闭工作区内的邮件;关闭工作区内的联系人;关闭工作区内的文件管理器;关闭工作区内的切换到个人区;关闭工作区内的浏览器;禁用GameCenter;禁用AirDrop;禁用siri;禁用iTunesmusic;禁用Safari;禁用FaceTime;禁用iMessages;禁用iBooksStore等等。
S202:权限验证模块从权限配置文件中查找到系统功能的操作权限。
具体地,权限配置文件可以是由终端设备管理服务器下发给终端设备的。或者,权限配置文件中的信息可以是通过终端设备显示的配置界面输入的,例如,终端设备的管理员在终端设备显示的配置界面中输入系统功能的操作权限的信息,终端设备便可将管理员输入的信息存储到权限配置文件中。其中,权限配置文件中可以保存有系统功能的名称及其对应的操作权限;此外,当权限配置文件中的信息由管理员通过终端设备显示的配置界面输入时,权限配置文件中还可以保存有使用终端设备的各用户的用户名及其权限。
由此,权限验证模块拦截到系统功能SF1的开启或关闭请求后,可从权限配置文件中查找到系统功能SF1的操作权限。
S203:权限验证模块将当前用户的权限与系统功能的操作权限进行比较。
具体地,终端设备中还预先记录有若干个用户的用户名及其权限。当前用户使用其用户名对终端设备的系统功能SF1进行开启或关闭时,权限验证模块可根据当前用户的用户名查找到当前用户的权限。
事实上,系统功能SF1的操作权限具体可以是划分不同等级的权限,例如高级、中级和低级。相应地,用户的权限可以划分为高级、中级和低级。由此,本步骤S203中权限验证模块将当前用户的权限与系统功能SF1的操作权限进行比较,也就是确定当前用户的权限是否低于系统功能SF1的操作权限。
此外,系统功能SF1的操作权限也可以是划分不同种类的权限,例如A类、B类、C类。相应地,用户的权限也可以划分为A类、B类、C类。由此,本步骤S203中权限验证模块将当前用户的权限与系统功能SF1的操作权限进行比较,也就是确定当前用户的权限是否与系统功能SF1的操作权限相同。
S204:权限验证模块根据比较结果,允许System server进程对拦截到的请求进行响应、或拒绝拦截到的请求。
例如,对于上述系统功能SF1的操作权限划分为高级、中级和低级的情况,若比较结果为当前用户的权限低于系统功能SF1的操作权限,则权限验证模块直接拒绝拦截到的请求;若比较结果为当前用户的权限不低于系统功能SF1的操作权限,则权限验证模块允许System server进程对拦截到的请求进行响应。比如,若当前用户的权限为高级,系统功能SF1的操作权限为中级,则权限验证模块允许System server进程对拦截到的请求进行响应;若当前用户的权限为低级,系统功能SF1的操作权限为中级,则权限验证模块直接拒绝拦截到的请求。从而,本发明可实现对多个用户使用的终端设备的系统功能的管控,可以禁止一些权限较低的用户对终端设备的系统功能进行设置。
再如,对于上述系统功能SF1的操作权限划分为A类、B类、C类的情况,若比较结果为当前用户的权限与系统功能SF1的操作权限不同(即种类不同),则权限验证模块直接拒绝拦截到的请求;若比较结果为当前用户的权限与系统功能SF1的操作权限相同(即种类相同),则权限验证模块允许System server进程对拦截到的请求进行响应。比如,若当前用户的权限为A类,系统功能SF1的操作权限为A类,则权限验证模块允许System server进程对拦截到的请求进行响应;若当前用户的权限为B类,系统功能SF1的操作权限为A类,则权限验证模块直接拒绝拦截到的请求。从而,本发明可实现对多个用户使用的终端设备的系统功能的管控,可以禁止一些非授权用户对终端设备的系统功能进行设置。
在权限验证模块允许System server进程对拦截到的请求进行响应后,将该请求传递给System server进程;由System server进程对该请求进行处理,对系统功能SF1进行开启或关闭的操作。
在底层实现方面,上述图2所示的方法就是:具体地,System server进程接收到用户发送的开启或关闭请求后,便调用fake I/O函数(即权限验证模块),fake I/O函数(即权限验证模块)解析当前用户发送的请求获取相关系统功能涉及的开启或关闭命令,根据当前用户的权限与系统功能的操作权限的比较结果,确定是否需要对获取的命令进行修改,以指示出是对请求进行处理还是拒绝。例如,用户关闭wifi操作时,向Systemserver进程发送wifi关闭请求,fake I/O函数解析wifi关闭请求得到wifi的关闭命令,如判断出当前用户不具有关闭wifi的权限,则fake I/O函数(即权限验证模块)返回wifi的开启命令值,即表明拒绝wifi的关闭请求;如判断出当前用户具有关闭wifi的权限,则fake I/O函数(即权限验证模块)返回wifi的关闭命令值,以指示System server进程进行wifi的关闭处理操作。例如,0表示关闭命令值,1表示开启命令值。
基于上述的终端设备的系统功能的管控方法,本发明实施例提供的终端设备中的系统功能的管控装置的内部结构示意图,如图3a、3b所示,包括:预先注入于终端设备的System server进程中的权限验证模块301。
权限验证模块301预先注入于终端设备的进程中,用于拦截到发送至System server进程的系统功能的开启或关闭请求后,从权限配置文件中查找到该系统功能的操作权限;并将当前用户的权限与该系统功能的操作权限进行比较;根据比较结果,允许System server进程对拦截到的请求进行响应、或拒绝拦截到的请求。即权限验证模块301根据比较结果,在允许System server进程对拦截到的请求进行响应时,将拦截到的请求传递给System server进程,由System server进程对该请求进行处理,对所请求的系统功能进行开启或关闭的操作。
进一步,管控装置还可包括:注入模块(图中未标)。
注入模块用于获取终端设备的root权限后,将权限验证模块301注入到System server进程中。
此外,如图3a所示,上述的管控装置还可包括:权限配置模块303;权限配置模块303用于接收在终端设备显示的配置界面输入的信息,并将接收的信息存储到权限配置文件中。
或者,如图3b所示,上述的管控装置还可包括:权限配置文件下载模块304。
权限配置文件下载模块403用于从终端设备管理服务器下载权限配置文件。
上述装置中的各模块的具体功能可参考上述图1、2所示方法流程的各步骤中的具体实现方法。
综上所述,本发明通过在终端设备的系统服务进程中注入的权限验证模块对系统功能的开启或关闭请求进行拦截,并根据当前用户的权限与配置的系统功能的操作权限的比较结果,允许系统服务进程对拦截到的请求进行响应、或拒绝拦截到的请求。从而,本发明可以实现对多个用户使用的终端设备的系统功能的管控,可以禁止一些权限较低的用户或非授权用户对系统功能的设置。
本技术领域技术人员可以理解,本发明包括涉及用于执行本申请中所述操作中的一项或多项的设备。这些设备可以为所需的目的而专门设计和制造,或者也可以包括通用计算机中的已知设备。这些设备具有存储在其内的计算机程序,这些计算机程序选择性地激活或重构。这样的计算机程序可以被存储在设备(例如,计算机)可读介质中或者存储在适于存储电子指令并分别耦联到总线的任何类型的介质中,所述计算机可读介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(Random Access Memory,随即存储器)、EPROM(Erasable Programmable Read-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically Erasable ProgrammableRead-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
本技术领域技术人员可以理解,可以用计算机程序指令来实现这些结构图和/或框图和/或流图中的每个框以及这些结构图和/或框图和/或流图中的框的组合。本技术领域技术人员可以理解,可以将这些计算机程序指令提供给通用计算机、专业计算机或其他可编程数据处理方法的处理器来实现,从而通过计算机或其他可编程数据处理方法的处理器来执行本发明公开的结构图和/或框图和/或流图的框或多个框中指定的方案。
本技术领域技术人员可以理解,本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地,具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地,现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种终端设备中系统功能的管控方法,其特征在于,包括:
预先注入到系统服务进程中的权限验证模块拦截到系统功能的开启或关闭请求后,从权限配置文件中查找到所述系统功能的操作权限;
所述权限验证模块将当前用户的权限与所述系统功能的操作权限进行比较;根据比较结果,允许所述系统服务进程对所述请求进行响应、或拒绝所述请求。
2.根据权利要求1所述的方法,其特征在于,所述权限验证模块具体根据如下方法注入到所述系统服务进程中:
获取所述终端设备的root权限;
在所述root权限下,将所述权限验证模块注入到所述系统服务进程中。
3.根据权利要求2所述的方法,其特征在于,所述将所述权限验证模块注入到所述系统服务进程,具体包括:
暂停系统服务进程;
将修改后的库文件覆盖原库文件;其中,所述修改后的库文件携带有所述权限验证模块,且所述权限验证模块作为所述修改后的库文件中的接口函数。
4.根据权利要求3所述的方法,其特征在于,在所述权限验证模块拦截到系统功能的开启或关闭请求之前,还包括:
所述系统服务进程接收到所述系统功能的开启或关闭请求后,调用作为所述接口函数的权限验证模块,并将所述请求发送给所述权限验证模块。
5.根据权利要求1所述的方法,其特征在于,所述权限配置文件是由终端设备管理服务器下发给所述终端设备的;或者
所述权限配置文件中的信息是通过所述终端设备显示的配置界面输入的。
6.根据权利要求1-5任一所述的方法,其特征在于,所述系统功能包括:蓝牙、无线保真wifi、移动数据网络。
7.一种终端设备中系统功能的管控装置,其特征在于,包括:
权限验证模块,其预先注入于系统服务进程中,用于拦截到系统功能的开启或关闭请求后,从权限配置文件中查找到所述系统功能的操作权限;并将当前用户的权限与所述系统功能的操作权限进行比较;根据比较结果,允许所述系统服务进程对所述请求进行响应、或拒绝所述请求。
8.根据权利要求7所述的装置,其特征在于,还包括:
注入模块,用于获取所述终端设备的root权限后,将所述权限验证模块注入到所述系统服务进程中。
9.根据权利要求7或8所述的装置,其特征在于,还包括:
权限配置模块,用于接收在所述终端设备显示的配置界面输入的信息,并将接收的信息存储到所述权限配置文件中。
10.根据权利要求7或8所述的装置,其特征在于,还包括:
权限配置文件下载模块,用于从终端设备管理服务器下载所述权限配置文件。
11.根据权利要求8-10任一所述的装置,其特征在于,所述系统功能包括:蓝牙、无线保真wifi、移动数据网络。
12.一种终端设备,其特征在于,包括:如权利要求6-8任一所述的管控装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410545016.0A CN104239764B (zh) | 2014-10-15 | 2014-10-15 | 终端设备及其系统功能的管控方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410545016.0A CN104239764B (zh) | 2014-10-15 | 2014-10-15 | 终端设备及其系统功能的管控方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104239764A true CN104239764A (zh) | 2014-12-24 |
| CN104239764B CN104239764B (zh) | 2017-07-07 |
Family
ID=52227810
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410545016.0A Active CN104239764B (zh) | 2014-10-15 | 2014-10-15 | 终端设备及其系统功能的管控方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104239764B (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104732127A (zh) * | 2015-03-18 | 2015-06-24 | 深圳市九洲电器有限公司 | 机顶盒应用程序管理方法和系统 |
| CN105808059A (zh) * | 2016-03-04 | 2016-07-27 | 北京奇虎科技有限公司 | 基于终端系统的应用处理方法及装置 |
| WO2016155102A1 (zh) * | 2015-03-30 | 2016-10-06 | 中兴通讯股份有限公司 | 终端数据保护方法、终端及设备 |
| CN106203049A (zh) * | 2016-07-20 | 2016-12-07 | 国网江苏省电力公司南通供电公司 | 一种基于多重授权的动态防误操作方法 |
| WO2016206171A1 (zh) * | 2015-06-26 | 2016-12-29 | 宇龙计算机通信科技(深圳)有限公司 | 一种基于网络隔离的安全连网方法及终端 |
| CN106778089A (zh) * | 2016-12-01 | 2017-05-31 | 联信摩贝软件(北京)有限公司 | 一种对软件权限和行为进行安全管控的系统和方法 |
| CN106791168A (zh) * | 2017-01-13 | 2017-05-31 | 北京奇虎科技有限公司 | 移动终端信息保护方法、装置和移动终端 |
| CN106802834A (zh) * | 2017-01-24 | 2017-06-06 | 厦门天锐科技股份有限公司 | 一种服务器文件的下载方法 |
| CN106878548A (zh) * | 2017-01-13 | 2017-06-20 | 北京奇虎科技有限公司 | 移动终端远程控制方法、装置和移动终端 |
| CN106919665A (zh) * | 2017-02-16 | 2017-07-04 | 江苏神州信源系统工程有限公司 | 一种Windows操作系统中电子文件的管控方法及装置 |
| CN106991336A (zh) * | 2017-04-01 | 2017-07-28 | 深圳天珑无线科技有限公司 | 文件管理方法及其装置 |
| CN108763884A (zh) * | 2018-04-18 | 2018-11-06 | Oppo广东移动通信有限公司 | 权限管理方法、装置、移动终端及存储介质 |
| CN108763892A (zh) * | 2018-04-18 | 2018-11-06 | Oppo广东移动通信有限公司 | 权限管理方法、装置、移动终端以及存储介质 |
| CN109241787A (zh) * | 2018-07-24 | 2019-01-18 | 上海碳蓝网络科技有限公司 | 图像输入设备的调用检测方法、设备及计算机可读存储介质 |
| CN110324715A (zh) * | 2019-07-04 | 2019-10-11 | 深圳市康冠技术有限公司 | 应用管理方法、装置及计算机可读存储介质 |
| CN110321224A (zh) * | 2019-07-04 | 2019-10-11 | 深圳市康冠技术有限公司 | 终端内存清理方法、装置及计算机可读存储介质 |
| CN110443041A (zh) * | 2018-05-04 | 2019-11-12 | 360企业安全技术(珠海)有限公司 | 设备权限的管理方法及装置、系统、存储介质、电子装置 |
| CN111783121A (zh) * | 2020-07-02 | 2020-10-16 | 泰康保险集团股份有限公司 | 数据处理方法、装置、设备及存储介质 |
| CN112463402A (zh) * | 2020-11-03 | 2021-03-09 | 浙江华途信息安全技术股份有限公司 | 一种基于macOS操作系统的剪切板控制方法和系统 |
| CN112527403A (zh) * | 2019-09-19 | 2021-03-19 | 华为技术有限公司 | 一种应用启动方法及电子设备 |
| CN113473474A (zh) * | 2021-05-26 | 2021-10-01 | 上海商甲信息科技有限公司 | 一种移动通信终端系统权限后台管控的方法 |
| CN113742703A (zh) * | 2021-08-20 | 2021-12-03 | 深圳Tcl新技术有限公司 | 一种应用程序管控方法、装置、电子设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2405678A1 (en) * | 2010-03-30 | 2012-01-11 | British Telecommunications public limited company | System and method for roaming WLAN authentication |
| CN103167180A (zh) * | 2013-03-19 | 2013-06-19 | 浙江中呼科技有限公司 | 手机上网控制系统及方法 |
| CN104021062A (zh) * | 2013-03-01 | 2014-09-03 | 联想(北京)有限公司 | 信息处理的方法和电子设备 |
-
2014
- 2014-10-15 CN CN201410545016.0A patent/CN104239764B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2405678A1 (en) * | 2010-03-30 | 2012-01-11 | British Telecommunications public limited company | System and method for roaming WLAN authentication |
| CN104021062A (zh) * | 2013-03-01 | 2014-09-03 | 联想(北京)有限公司 | 信息处理的方法和电子设备 |
| CN103167180A (zh) * | 2013-03-19 | 2013-06-19 | 浙江中呼科技有限公司 | 手机上网控制系统及方法 |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104732127A (zh) * | 2015-03-18 | 2015-06-24 | 深圳市九洲电器有限公司 | 机顶盒应用程序管理方法和系统 |
| WO2016155102A1 (zh) * | 2015-03-30 | 2016-10-06 | 中兴通讯股份有限公司 | 终端数据保护方法、终端及设备 |
| WO2016206171A1 (zh) * | 2015-06-26 | 2016-12-29 | 宇龙计算机通信科技(深圳)有限公司 | 一种基于网络隔离的安全连网方法及终端 |
| CN105808059A (zh) * | 2016-03-04 | 2016-07-27 | 北京奇虎科技有限公司 | 基于终端系统的应用处理方法及装置 |
| CN106203049A (zh) * | 2016-07-20 | 2016-12-07 | 国网江苏省电力公司南通供电公司 | 一种基于多重授权的动态防误操作方法 |
| CN106778089A (zh) * | 2016-12-01 | 2017-05-31 | 联信摩贝软件(北京)有限公司 | 一种对软件权限和行为进行安全管控的系统和方法 |
| CN106791168A (zh) * | 2017-01-13 | 2017-05-31 | 北京奇虎科技有限公司 | 移动终端信息保护方法、装置和移动终端 |
| CN106878548A (zh) * | 2017-01-13 | 2017-06-20 | 北京奇虎科技有限公司 | 移动终端远程控制方法、装置和移动终端 |
| CN106802834A (zh) * | 2017-01-24 | 2017-06-06 | 厦门天锐科技股份有限公司 | 一种服务器文件的下载方法 |
| CN106919665A (zh) * | 2017-02-16 | 2017-07-04 | 江苏神州信源系统工程有限公司 | 一种Windows操作系统中电子文件的管控方法及装置 |
| CN106991336A (zh) * | 2017-04-01 | 2017-07-28 | 深圳天珑无线科技有限公司 | 文件管理方法及其装置 |
| CN108763892A (zh) * | 2018-04-18 | 2018-11-06 | Oppo广东移动通信有限公司 | 权限管理方法、装置、移动终端以及存储介质 |
| CN108763884A (zh) * | 2018-04-18 | 2018-11-06 | Oppo广东移动通信有限公司 | 权限管理方法、装置、移动终端及存储介质 |
| CN108763884B (zh) * | 2018-04-18 | 2022-01-11 | Oppo广东移动通信有限公司 | 权限管理方法、装置、移动终端及存储介质 |
| CN110443041A (zh) * | 2018-05-04 | 2019-11-12 | 360企业安全技术(珠海)有限公司 | 设备权限的管理方法及装置、系统、存储介质、电子装置 |
| CN109241787B (zh) * | 2018-07-24 | 2023-04-07 | 上海碳蓝网络科技有限公司 | 图像输入设备的调用检测方法、设备及计算机可读存储介质 |
| CN109241787A (zh) * | 2018-07-24 | 2019-01-18 | 上海碳蓝网络科技有限公司 | 图像输入设备的调用检测方法、设备及计算机可读存储介质 |
| CN110324715A (zh) * | 2019-07-04 | 2019-10-11 | 深圳市康冠技术有限公司 | 应用管理方法、装置及计算机可读存储介质 |
| CN110321224A (zh) * | 2019-07-04 | 2019-10-11 | 深圳市康冠技术有限公司 | 终端内存清理方法、装置及计算机可读存储介质 |
| CN112527403A (zh) * | 2019-09-19 | 2021-03-19 | 华为技术有限公司 | 一种应用启动方法及电子设备 |
| WO2021052437A1 (zh) * | 2019-09-19 | 2021-03-25 | 华为技术有限公司 | 一种应用启动方法及电子设备 |
| US11947974B2 (en) | 2019-09-19 | 2024-04-02 | Honor Device Co., Ltd. | Application start method and electronic device |
| CN111783121A (zh) * | 2020-07-02 | 2020-10-16 | 泰康保险集团股份有限公司 | 数据处理方法、装置、设备及存储介质 |
| CN111783121B (zh) * | 2020-07-02 | 2023-12-19 | 泰康保险集团股份有限公司 | 数据处理方法、装置、设备及存储介质 |
| CN112463402A (zh) * | 2020-11-03 | 2021-03-09 | 浙江华途信息安全技术股份有限公司 | 一种基于macOS操作系统的剪切板控制方法和系统 |
| CN113473474A (zh) * | 2021-05-26 | 2021-10-01 | 上海商甲信息科技有限公司 | 一种移动通信终端系统权限后台管控的方法 |
| CN113742703A (zh) * | 2021-08-20 | 2021-12-03 | 深圳Tcl新技术有限公司 | 一种应用程序管控方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104239764B (zh) | 2017-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104239764A (zh) | 终端设备及其系统功能的管控方法和装置 | |
| CN109460660B (zh) | 一种移动设备安全管理系统 | |
| US9594916B2 (en) | Method and devices for providing secure data backup from a mobile communication device to an external computing device | |
| CN103024061B (zh) | 网络通讯录共享系统及方法 | |
| US9762722B2 (en) | Location-based and time-based mobile device security | |
| US8369832B2 (en) | Systems and methods for managing information in mobile devices | |
| CN105981027A (zh) | 安全认证并切换至加密域 | |
| US20160021119A1 (en) | Method for establishing a plurality of modes of operation on a mobile device | |
| CN103647784B (zh) | 一种公私隔离的方法和装置 | |
| US20120270523A1 (en) | System and method for controlling mobile device access to a network | |
| CN104268479B (zh) | 一种文本操作隔离的方法、装置及移动终端 | |
| US20110113242A1 (en) | Protecting mobile devices using data and device control | |
| US8924738B2 (en) | Information processing device, content processing system, and computer readable medium having content processing program | |
| CA2634576A1 (en) | A method and devices for providing secure data backup from a mobile communication device to an external computing device | |
| CN104036202B (zh) | 一种隔离企业应用的方法和设备 | |
| CN103646215A (zh) | 一种应用程序的安装控制方法、相关系统及装置 | |
| MX2011000733A (es) | Manejo de privacidad para dispositivos de rastreo. | |
| CN103647785A (zh) | 一种移动终端安全的控制方法、装置及系统 | |
| US20140273880A1 (en) | Methods and Apparatus for Dynamically Limiting Mobile Device Functional State | |
| US20110196953A1 (en) | Contact manager method and system | |
| Botha et al. | A comparison of chat applications in terms of security and privacy | |
| CN103685266A (zh) | 企业数据的保护方法和装置 | |
| CN105263119A (zh) | 一种基于地理位置信息的移动智能终端通讯加密方法 | |
| US20150074057A1 (en) | Method and system for selective preservation of materials related to discovery | |
| US9549032B2 (en) | Mobile content management for offline content access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220718 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |