CN104317626B - 终端设备中应用软件权限控制的方法、装置和系统 - Google Patents
终端设备中应用软件权限控制的方法、装置和系统 Download PDFInfo
- Publication number
- CN104317626B CN104317626B CN201410640089.8A CN201410640089A CN104317626B CN 104317626 B CN104317626 B CN 104317626B CN 201410640089 A CN201410640089 A CN 201410640089A CN 104317626 B CN104317626 B CN 104317626B
- Authority
- CN
- China
- Prior art keywords
- terminal device
- agent
- control
- service request
- api
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000004891 communication Methods 0.000 claims description 16
- 230000007246 mechanism Effects 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 4
- 230000001419 dependent effect Effects 0.000 claims description 2
- 238000012423 maintenance Methods 0.000 abstract description 5
- 238000007726 management method Methods 0.000 description 18
- 238000001514 detection method Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 10
- 230000006870 function Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 101000804902 Drosophila melanogaster Xaa-Pro aminopeptidase ApepP Proteins 0.000 description 2
- 241000238558 Eucarida Species 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000007596 consolidation process Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
Abstract
本发明提供了一种用于终端设备中应用软件权限控制的方法、装置与系统,其中,终端设备中的控制客户端向服务器发送服务请求;其中,服务请求包括终端设备相关信息及服务类型;服务器接收来自终端设备发送的服务请求;根据服务请求确定相应的agent,其中,agent包括该服务类型在终端设备中对应的API标识信息与该服务类型在控制客户端对应的API标识信息的对应关系;终端设备接收并运行服务器反馈的与服务请求相应的agent,控制客户端与agent进行通信,确定需要访问控制的与服务请求对应的终端设备的API;终端设备中的控制客户端访问控制与服务请求对应的终端设备的API。实现了在控制客户端中API标识的统一,降低了应用的开发及维护成本,同时提高用户体验。
Description
技术领域
本发明涉及计算机通信的技术领域,具体而言,本发明涉及终端设备中应用软件权限控制的方法、装置和系统。
背景技术
现有技术中涌现出了很多用于对终端设备进行管控和安全防护的客户端管理防护软件,通过这类管理防护软件,用户不仅可以快捷有效地对其终端设备进行各种功能管理,而且可以对终端设备的系统安全进行实时防护,以避免遭受到外界网络的侵害。此类管理防护软件在实现对终端设备的各种服务项目的管理防护时均需要调用终端设备中与各种服务项目相对应的API。
管理防护软件提供者在开发及维护管理防护软件时,需要获取不同品牌、不同型号的终端设备中的与各种服务项目相对应的API,也即,安装在不同品牌以及不同型号的终端设备中的管理防护软件,其需要调用的与各种服务项目对应的API不同。目前,软件提供者对每一品牌每一型号的终端设备单独配置一套与该终端设备相匹配的管理防护软件,当终端设备中与各种服务项目相对应的API发生变更、升级等事件,软件提供者需要重新配置一套API相应更新后的管理防护软件,这使得软件开发及维护成本较高,且对于用户来说,需要重新下载安装管理防护软件应用或对原管理防护软件执行升级等操作,增加终端用户的额外操作负担,降低用户使用体验。
发明内容
本发明的目的旨在至少解决上述技术缺陷之一,特别是在终端设备的API发生变更升级等事件时,如何降低软件提供者对管理防护软件进行相适应配置时的开发及维护成本。
本发明提供了一种在终端设备中用于应用软件权限控制的方法,包括:
终端设备中的控制客户端向服务器发送服务请求;其中,服务请求包括终端设备相关信息及服务类型;
接收并运行服务器反馈的与服务请求相应的agent,控制客户端与agent进行通信,确定需要访问控制的与服务请求对应的终端设备的API;
控制客户端访问控制与服务请求对应的终端设备的API。
本发明还提供了一种在服务器中辅助用于应用软件权限控制的方法,包括:
接收来自终端设备发送的服务请求,其中,服务请求包括终端设备相关信息及服务类型;
根据服务请求确定相应的agent,其中,agent包括该服务类型在终端设备中对应的API标识信息与该服务类型在控制客户端对应的API标识信息的对应关系;
将agent反馈至终端设备。
本发明还提供了一种在终端设备中用于应用软件权限控制的装置,包括:
请求发送模块,用于向服务器发送服务请求;其中,服务请求包括终端设备相关信息及服务类型;
通信模块,用于接收并运行服务器反馈的与服务请求相应的agent,与agent进行通信,确定需要访问控制的与服务请求对应的终端设备的API;
访问控制模块,用于访问控制与服务请求对应的终端设备的API。
本发明还提供了一种辅助用于应用软件权限控制的服务器,包括:
请求接收模块,用于接收来自终端设备发送的服务请求,其中,服务请求包括终端设备相关信息及服务类型;
Agent确定模块,用于根据服务请求确定相应的agent,其中,agent包括该服务类型在终端设备中对应的API标识信息与该服务类型在控制客户端对应的API标识信息的对应关系;
反馈模块,用于将agent反馈至终端设备。
本发明的实施例,通过建立agent,其包括某种服务类型在特定终端设备相关信息的终端设备中对应的API标识信息与该种服务类型在控制客户端对应的API标识信息的对应关系,实现了将同一种服务类型在不同终端设备的API标识信息进行统一,即统一为该种服务类型在控制客户端中可识别的API标识信息。当终端设备中与某种服务类型相对应的API发生变更、升级等事件时,服务器端仅需将从终端设备提供商处得到的更新后的API写入该终端设备的该服务类型对应的agent中,即可实现终端设备的控制客户端对与该服务请求对应的终端设备的API的访问控制需求,而无需对控制客户端重新配置,从服务器侧的角度看,降低了应用的开发及维护成本,从终端侧的角度看,在用户无感知的情况下实现API更新过程,提高用户体验。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明用于应用软件权限控制的方法一个实施例的流程图;
图2为本发明用于应用软件权限控制的方法另一个实施例的流程图;
图3为本发明用于应用软件权限控制的装置一个实施例的系统示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本发明主要使用在移动终端的企业管理系统中,移动终端的企业管理系统是面向企业的移动终端企业管理平台,包括部署在企业内网的服务端和安装在需要被管理的移动终端上的客户端,本发明实施例中,将部署在企业内网的服务端称为服务器,安装在需要被管理的移动终端上的客户端称为控制客户端。其中:服务器的主要功能包括:管理、下发企业内网的应用,以及管理、下发安全策略等;服务器还提供丰富的移动终端统计与管理工具,企业管理员可以通过服务器查看每个需要被管理的移动终端的详细信息,包括:终端型号、系统版本、IMEI(International Mobile Equipment Identification Number,国际移动设备识别码)、序列号、MSISDN(移动台识别号码,俗称手机号码)、是否离线、是否Root(超级用户)、更换密码时间、是否安装安全软件、电源信息、无线网络信息等。控制客户端的主要功能包括:数据防泄密,执行安全策略等,数据防泄密包括数据加密、数据隔离等,加密的数据可以是涉及系统文件内的数据;或者是用户选定的财务文件、生产文件、销售文件、市场文件、人力资源文件等内的数据;还可以是用户个人文件的数据,例如:照片、视频、日志等。
本发明实施例提供的移动终端的企业管理系统,基于控制客户端的数据防泄密机制,在不影响企业员工对个人应用使用感受的基础上,在移动终端上建立了一个安全、独立的工作区内存空间,工作区内存空间(简称工作区)是指分配给控制客户端的内存空间,所有的企业应用和数据存储在受保护的工作区内。相应的,移动终端的内存空间中工作区内存空间之外的内存空间称为个人区内存空间(简称个人区),所有的个人应用和数据存储在个人区内,个人应用无法访问企业数据,从而避免企业数据被个人应用非法访问、存取。本发明实施例提供的移动终端的企业管理系统,不仅将企业数据和个人数据完全隔离,更好地保护企业应用和数据,也为企业员工提供了无差别的个人应用体验,达到了“一机两用”的效果。图1为本发明用于应用软件权限控制的方法一个实施例的流程图。
在步骤S110中,终端设备中的控制客户端向服务器发送服务请求;其中,服务请求包括终端设备相关信息及服务类型;在步骤S120中,服务器接收来自终端设备发送的服务请求;在步骤S130中,根据服务请求确定相应的agent,其中,agent包括该服务类型在终端设备中对应的API标识信息与该服务类型在控制客户端对应的API标识信息的对应关系;在步骤S140中,服务器将agent反馈至终端设备;在步骤S150中,终端设备接收并运行服务器反馈的与服务请求相应的agent,控制客户端与agent进行通信,确定需要访问控制的与服务请求对应的终端设备的API;在步骤S160中,终端设备中的控制客户端访问控制与服务请求对应的终端设备的API。
其中,终端设备相关信息包括但不限于:设备品牌型号、设备系统版本信息、终端内核版本信息、控制客户端版本信息。
其中,服务类型包括终端设备中的各种配置策略和服务类型,例如:WiFi开关控制,如禁止使用Wi-Fi,蓝牙开关控制,如禁止使用蓝牙,摄像头开关控制,如禁止使用摄像头;设置黑白名单,推送配置文件,数据网络切换控制,如禁止使用2G/3G/4G,恢复出厂设置、静默安装、静默卸载,禁止截屏,禁止将工作区数据复制、剪切、粘贴出工作区,禁止用户安装应用,禁止用户删除已安装的应用,禁止应用程序内购买,禁止iCloud云备份,禁止iCloud文稿与数据,禁止iCloud钥匙串,擦除工作区数据,恢复出厂设置,下发工作区密码,锁定设备,解锁设备,锁定工作区,解锁工作区,启动鸣响,关闭鸣响,标记为企业设备,标记为个人设备,更新客户端APP,推送通知,推送链接,定位设备,记录设备位置信息,展示所有设备的地理位置,上传应用至企业应用库,下发到指定分组,更新应用库中应用版本,并提示用户升级,上架前应用加固处理,指定分组强制安装上传的应用,非wifi环境下安装,统计已执行策略和未执行策略的设备数量,按分组下发Wifi配置,按分组下发Exchange配置,配置邮件同步计划,安全策略-要求使用SSL,安全策略-信任所有证书,安全策略-禁止移动工作邮件到其他邮箱,安全策略-禁止通过其他邮箱账户转发/回复工作邮件,检测设备是否root/Jailbreak,可配置是否检测此项并作为违规行为,检测设备是否超过指定时间离线,可配置是否检测此项并作为违规行为,检测设备是否未安装安全软件,可配置是否检测此项并作为违规行为,检测设备是否已卸载天机客户端,可配置是否检测此项并作为违规行为,检测设备当月的网络用量是否超过设定值,可配置是否检测此项并作为违规行为,列出符合管理员设置的违规行为的设备和设备详情,禁用GameCenter,禁用AirDrop,禁用siri,禁用iTunesmusic,禁用Safari,禁用FaceTime,禁用iMessages,禁用iBooksStore。
具体地,在步骤S110中,控制客户端向服务器发送包括终端设备相关信息及服务类型的服务请求。例如,控制客户端希望控制终端设备的WiFi开关功能,则相应生成服务请求,该服务请求中包括服务类型WiFi开关控制以及该终端设备的品牌型号、Android系统版本号、控制客户端的版本号等终端设备相关信息。
在步骤S120中,服务器接收来自终端设备发送的服务请求。
在步骤S130中,服务器根据服务请求确定相应的agent,其中,agent包括该服务类型在终端设备中对应的API标识信息与该服务类型在控制客户端对应的API标识信息的对应关系。
具体地,服务器根据终端设备相关信息及服务类型,在预置的终端-agent对应列表中进行查询匹配,确定与终端设备相关信息及服务类型相匹配的agent标识信息;随后,根据该agent标识信息获取相应的agent;其中,预置的终端-agent对应列表预先保存在服务器的数据库中,该终端-agent对应列表中记录各个品牌型号、各个Android系统版本号、包括各个控制客户端的版本号的终端设备中各种服务类型和与之相匹配的agent标识信息的对应关系。
优选地,若查询匹配后确定与终端设备相关信息及服务类型相匹配的agent有多个,则选择版本最高的agent。
在一示例中,服务器接收到服务请求,对该服务请求进行解析以获取其中包含的终端设备终端品牌型号为三星Galaxy S5、Android版本号为4.4、终端设备中控制客户端的客户端版本号为2.0、服务类型为Wi-Fi开关控制,随后在数据库记录的终端-agent对应列表(参照下表1)中进行查询匹配,确定与上述终端设备相关信息与服务类型相匹配的agentID为3.2和3.1,则选择agent版本较高的agent ID 3.2;随后,根据agent ID 3.2在服务器本地存储库或第三方存储库中获取相应的agent可执行文件;其中,agent中记录着“Wi-Fi开关控制”服务类型在三星Galaxy S5中对应的API标识信息“Wi-Fi on/off”与“Wi-Fi开关控制”在控制客户端2.0对应的API标识信息“Wi-Fi switch”的对应关系。
表1:
在步骤S140中,服务器将agent反馈至终端设备。
在步骤S150中,终端设备接收并运行服务器反馈的与服务请求相应的agent,控制客户端与agent进行通信,确定需要访问控制的与服务请求对应的终端设备的API。
具体地,终端设备接收到服务器反馈的与服务请求相应的agent后,运行该agent;基于Android系统中AIDL(Android Interface Definition Language,Android接口定义语言)机制,控制客户端与agent进行进程间通信,确定需要访问控制的与服务请求对应的终端设备的API。其中,AIDL机制用于实现进程间通信,包括不同应用之间传递数据、传递执行结果、相互调用方法等。
在一示例中,终端设备为Android操作系统,终端设备接收并运行与服务请求相应的agent后,基于AIDL进程间通信机制,定义控制客户端运行的进程为Activity,agent运行的进程为Service,通过控制客户端的进程Activity调用agent的进程Service中对象的操作,获取服务类型“Wi-Fi开关控制”在终端设备中对应的API标识信息“Wi-Fi on/off”与“Wi-Fi开关控制”在控制客户端对应的API标识信息“Wi-Fi switch”的对应关系,即可确定需要访问控制的与服务请求“Wi-Fi开关控制”对应的终端设备的API为“Wi-Fi switch”。
在步骤S160中,终端设备中的控制客户端通过调用终端设备的API“Wi-Fiswitch”,来实现对终端设备Wi-Fi的开关控制。
本实施例中,agent为服务器端预先配置的软件实体,其包括某种服务类型在特定终端设备相关信息的终端设备中对应的API标识信息与该种服务类型在控制客户端对应的API标识信息的对应关系;也即agent用于将同一种服务类型在不同终端设备的API标识信息进行统一,统一为该种服务类型在控制客户端中可识别的API标识信息。当终端设备中与某种服务类型相对应的API发生变更、升级等事件时,服务器端仅需将从终端设备提供商处得到的更新后的API写入该终端设备的该服务类型对应的agent中,即可实现终端设备的控制客户端对与该服务请求对应的终端设备的API的访问控制需求,而无需对控制客户端重新配置,从服务器侧的角度看,降低了应用的开发及维护成本,从终端侧的角度看,在用户无感知的情况下实现API更新过程,提高用户体验。
图2为本发明用于应用软件权限控制的方法另一个实施例的流程图。
控制客户端访问控制与服务请求对应的终端设备的API时,具体包括步骤S210和步骤S220;在步骤S210中,控制客户端根据agent携带的数字签名及agent的标识信息,对agent进行验证;在步骤S220中,当通过验证时,控制客户端访问控制与服务请求对应的终端设备的API。
具体地,终端设备提供商预先对agent进行数字签名,使得agent携带有数字签名;控制客户端通过与agent的进程间通信,获取到agent携带的数字签名及agent ID,将该数字签名与终端设备系统预置的与该agentID对应的系统签名进行比对,对agent进行验证;当通过验证时,控制客户端访问控制与服务请求对应的终端设备的API。
在一优选实施例中(参照图2),该方法还包括步骤S230(图中未示出)和步骤S240(图中未示出);在步骤S230中,当未通过验证时,根据终端设备相关信息,确定相应的提权指令;在步骤S240中,根据提权指令对控制客户端执行提权处理,控制客户端获取系统访问控制权限。
具体地,本实施例所提供的方法可通过在终端设备中内置SDK(SoftwareDevelopmentKit,软件开发工具包)进行实现,并将用于获取系统访问控制权限的提权指令的代码写入到SDK中,当需要获取系统访问控制权限时,则可以向SDK发出调用请求。
其中,提权指令用于提高系统操作权限,一般指用于获取系统最高权限。
具体地,若agent不携带数字签名或所携带的数字签名与系统签名不匹配,则未通过验证;当未通过验证时,根据终端设备相关信息,如设备品牌型号等信息,在预置的提权方案列表中进行查询,确定该终端设备相应的提权方案,根据该提权方案获取提权指令;其中,提权方案列表包括终端设备相关信息与相应的提权方案的对应关系;随后,根据提权指令对控制客户端执行提权处理,控制客户端获取系统访问控制权限;当客户端获取系统访问控制权限时,控制客户端访问控制与服务请求对应的终端设备的API。
例如,在SO文件中会包括多个提权方案,服务器会为每个提权方案分配一个优先级,终端设备在依次使用每个提权方案的提权指令进行root时,由优先级从高到低的顺序进行。其中,提权方案的优先级由同一内核版本号的操作系统的破解成功率决定,成功率越高,则优先级越高。通过该排列优先级的方式,可以增加获取root权限的速度。
进一步地,在成功获取系统访问控制权限后,本实施例所提供的方法还包括:
保存用于获取root权限的提权方案的提权指令的代码,并为成功获取root权限的提权方案增加预设标记。其中,该标记可以用于在以后进行root时,终端设备可以快速的找到可以成功root自身的提权方案。
图3为本发明用于应用软件权限控制的装置一个实施例的系统示意图。
其中,终端设备中的用于应用软件权限控制的装置包括请求发送模块3110、通信模块3120和访问控制模块3130;服务器包括请求接收模块3210、Agent确定模块3220和反馈模块3230。本方案中,用于应用软件权限控制的装置位于终端设备中,本发明以终端设备为例进行描述,而不对两者进行区分。
首先,终端设备的请求发送模块3110向服务器发送服务请求;其中,服务请求包括终端设备相关信息及服务类型;随后,服务器的请求接收模块3210接收来自终端设备发送的服务请求;接着,Agent确定模块3220根据服务请求确定相应的agent,其中,agent包括该服务类型在终端设备中对应的API标识信息与该服务类型在控制客户端对应的API标识信息的对应关系;接着,服务器的反馈模块3230将agent反馈至终端设备;随后,终端设备的通信模块3120接收并运行服务器反馈的与服务请求相应的agent,控制客户端与agent进行通信,确定需要访问控制的与服务请求对应的终端设备的API;随后,终端设备中的访问控制模块3130访问控制与服务请求对应的终端设备的API。
其中,终端设备相关信息包括但不限于:设备品牌型号、设备系统版本信息、终端内核版本信息、控制客户端版本信息。
其中,服务类型包括终端设备中的各种配置策略和服务类型,例如:WiFi开关控制,如禁止使用Wi-Fi,蓝牙开关控制,如禁止使用蓝牙,摄像头开关控制,如禁止使用摄像头;设置黑白名单,推送配置文件,数据网络切换控制,如禁止使用2G/3G/4G,恢复出厂设置、静默安装、静默卸载,禁止截屏,禁止将工作区数据复制、剪切、粘贴出工作区,禁止用户安装应用,禁止用户删除已安装的应用,禁止应用程序内购买,禁止iCloud云备份,禁止iCloud文稿与数据,禁止iCloud钥匙串,擦除工作区数据,恢复出厂设置,下发工作区密码,锁定设备,解锁设备,锁定工作区,解锁工作区,启动鸣响,关闭鸣响,标记为企业设备,标记为个人设备,更新客户端APP,推送通知,推送链接,定位设备,记录设备位置信息,展示所有设备的地理位置,上传应用至企业应用库,下发到指定分组,更新应用库中应用版本,并提示用户升级,上架前应用加固处理,指定分组强制安装上传的应用,非wifi环境下安装,统计已执行策略和未执行策略的设备数量,按分组下发Wifi配置,按分组下发Exchange配置,配置邮件同步计划,安全策略-要求使用SSL,安全策略-信任所有证书,安全策略-禁止移动工作邮件到其他邮箱,安全策略-禁止通过其他邮箱账户转发/回复工作邮件,检测设备是否root/Jailbreak,可配置是否检测此项并作为违规行为,检测设备是否超过指定时间离线,可配置是否检测此项并作为违规行为,检测设备是否未安装安全软件,可配置是否检测此项并作为违规行为,检测设备是否已卸载天机客户端,可配置是否检测此项并作为违规行为,检测设备当月的网络用量是否超过设定值,可配置是否检测此项并作为违规行为,列出符合管理员设置的违规行为的设备和设备详情,禁用GameCenter,禁用AirDrop,禁用siri,禁用iTunesmusic,禁用Safari,禁用FaceTime,禁用iMessages,禁用iBooksStore
具体地,终端设备的请求发送模块3110向服务器发送包括终端设备相关信息及服务类型的服务请求。例如,控制客户端希望控制终端设备的WiFi开关功能,则相应生成服务请求,该服务请求中包括服务类型WiFi开关控制以及该终端设备的品牌型号、Android系统版本号、控制客户端的版本号等终端设备相关信息。
服务器的请求接收模块3210接收来自终端设备发送的服务请求。
Agent确定模块3220根据服务请求确定相应的agent,其中,agent包括该服务类型在终端设备中对应的API标识信息与该服务类型在控制客户端对应的API标识信息的对应关系。
具体地,服务器根据终端设备相关信息及服务类型,在预置的终端-agent对应列表中进行查询匹配,确定与终端设备相关信息及服务类型相匹配的agent标识信息;随后,根据该agent标识信息获取相应的agent;其中,预置的终端-agent对应列表预先保存在服务器的数据库中,该终端-agent对应列表中记录各个品牌型号、各个Android系统版本号、包括各个控制客户端的版本号的终端设备中各种服务类型和与之相匹配的agent标识信息的对应关系。
优选地,若查询匹配后确定与终端设备相关信息及服务类型相匹配的agent有多个,则选择版本最高的agent。
在一示例中,服务器接收到服务请求,对该服务请求进行解析以获取其中包含的终端设备终端品牌型号为三星Galaxy S5、Android版本号为4.4、终端设备中控制客户端的客户端版本号为2.0、服务类型为Wi-Fi开关控制,随后在数据库记录的终端-agent对应列表(参照下表2)中进行查询匹配,确定与上述终端设备相关信息与服务类型相匹配的agentID为3.2和3.1,则选择agent版本较高的agent ID 3.2;随后,根据agent ID 3.2在服务器本地存储库或第三方存储库中获取相应的agent可执行文件;其中,agent中记录着“Wi-Fi开关控制”服务类型在三星Galaxy S5中对应的API标识信息“Wi-Fi on/off”与“Wi-Fi开关控制”在控制客户端2.0对应的API标识信息“Wi-Fi switch”的对应关系。
表2:
服务器的反馈模块3230将agent反馈至终端设备。
终端设备的通信模块3120接收并运行服务器反馈的与服务请求相应的agent,控制客户端与agent进行通信,确定需要访问控制的与服务请求对应的终端设备的API。
具体地,终端设备接收到服务器反馈的与服务请求相应的agent后,运行该agent;基于Android系统中AIDL(Android Interface Definition Language,Android接口定义语言)机制,控制客户端与agent进行进程间通信,确定需要访问控制的与服务请求对应的终端设备的API。其中,AIDL机制用于实现进程间通信,包括不同应用之间传递数据、传递执行结果、相互调用方法等。
在一示例中,终端设备为Android操作系统,终端设备接收并运行与服务请求相应的agent后,基于AIDL进程间通信机制,定义控制客户端运行的进程为Activity,agent运行的进程为Service,通过控制客户端的进程Activity调用agent的进程Service中对象的操作,获取服务类型“Wi-Fi开关控制”在终端设备中对应的API标识信息“Wi-Fi on/off”与“Wi-Fi开关控制”在控制客户端对应的API标识信息“Wi-Fi switch”的对应关系,即可确定需要访问控制的与服务请求“Wi-Fi开关控制”对应的终端设备的API为“Wi-Fi switch”。
终端设备中的访问控制模块3130通过调用终端设备的API“Wi-Fiswitch”,来实现对终端设备Wi-Fi的开关控制。
本技术领域技术人员可以理解,本发明包括涉及用于执行本申请中所述操作中的一项或多项的设备。这些设备可以为所需的目的而专门设计和制造,或者也可以包括通用计算机中的已知设备。这些设备具有存储在其内的计算机程序,这些计算机程序选择性地激活或重构。这样的计算机程序可以被存储在设备(例如,计算机)可读介质中或者存储在适于存储电子指令并分别耦联到总线的任何类型的介质中,所述计算机可读介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(Random Access Memory,随即存储器)、EPROM(Erasable ProgrammableRead-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically ErasableProgrammable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
本技术领域技术人员可以理解,可以用计算机程序指令来实现这些结构图和/或框图和/或流图中的每个框以及这些结构图和/或框图和/或流图中的框的组合。本技术领域技术人员可以理解,可以将这些计算机程序指令提供给通用计算机、专业计算机或其他可编程数据处理方法的处理器来实现,从而通过计算机或其他可编程数据处理方法的处理器来执行本发明公开的结构图和/或框图和/或流图的框或多个框中指定的方案。
本技术领域技术人员可以理解,本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地,具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地,现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种在终端设备中用于应用软件权限控制的方法,其特征在于,包括:
终端设备中的控制客户端向服务器发送服务请求;其中,所述服务请求包括终端设备相关信息及服务类型;
接收并运行所述服务器反馈的与所述服务请求相应的agent,所述控制客户端与所述agent进行通信,确定需要访问控制的与所述服务请求对应的终端设备的API,实现了将统一服务类型在不同终端设备的API标识信息进行统一;
所述控制客户端访问控制与所述服务请求对应的终端设备的API。
2.根据权利要求1所述的在终端设备中用于应用软件权限控制的方法,其特征在于,所述控制客户端与所述agent进行通信,确定需要访问控制的与所述服务请求对应的终端设备的API,具体为:
通过所述控制客户端与所述agent之间的进程间通信,所述控制客户端在所述agent包括的对应关系记录中确定需要访问控制的与所述服务请求对应的终端设备的API;其中,所述对应关系记录中记录的对应关系为该服务类型在所述终端设备中对应的API标识信息与该服务类型在所述控制客户端中对应的API标识信息的对应关系。
3.根据权利要求2所述的在终端设备中用于应用软件权限控制的方法,其特征在于,所述进程间通信具体为:
基于Android系统中AIDL机制的进程间通信。
4.根据权利要求1所述的在终端设备中用于 应用软件权限控制的方法,其特征在于,所述终端设备相关信息包括以下至少任一项:设备品牌型号、系统版本信息、终端内核版本信息、控制客户端版本信息。
5.根据权利要求1所述的在终端设备中用于 应用软件权限控制的方法,其特征在于,所述服务类型包括以下至少任一项:WiFi开关控制、蓝牙开关控制、摄像头开关控制、设置黑白名单、推送配置文件。
6.根据权利要求1所述的在终端设备中用于应用软件权限控制的方法,其特征在于,所述控制客户端访问控制与所述服务请求对应的终端设备的API,包括:
根据所述agent携带的数字签名及agent的标识信息,对所述agent进行验证;
当通过验证时,所述控制客户端访问控制与所述服务请求对应的终端设备的API。
7.根据权利要求6所述的在终端设备中用于应用软件权限控制的方法,其特征在于,还包括:
当未通过验证时,根据所述终端设备相关信息,确定相应的提权指令;
根据所述提权指令对所述控制客户端执行提权处理,所述控制客户端获取系统访问控制权限。
8.一种在服务器中辅助用于应用软件权限控制的方法,其特征在于,包括:
接收来自终端设备发送的服务请求,其中,所述服务请求包括终端设备相关信息及服务类型;
根据所述服务请求确定相应的agent,其中,所述agent包括该服务类型在所述终端设备中对应的API标识信息与该服务类型在所述控制客户端对应的API标识信息的对应关系,实现了将统一服务类型在不同终端设备的API标识信息进行统一;
将所述agent反馈至所述终端设备。
9.根据权利要求8所述的应用软件权限控制的方法,其特征在于,根据所述服务请求确定相应的agent,具体为:
根据所述终端设备相关信息及服务类型,在预置的终端agent对应列表中进行查询匹配,确定相匹配的agent标识信息;
根据该agent标识信息获取相应的agent。
10.一种在终端设备中用于应用软件权限控制的装置,其特征在于,包括:
请求发送模块,用于向服务器发送服务请求;其中,所述服务请求包括终端设备相关信息及服务类型;
通信模块,用于接收并运行所述服务器反馈的与所述服务请求相应的agent,与所述agent进行通信,确定需要访问控制的与所述服务请求对应的终端设备的API,实现了将统一服务类型在不同终端设备的API标识信息进行统一;
访问控制模块,用于访问控制与所述服务请求对应的终端设备的API。
11.一种辅助用于应用软件权限控制的服务器,其特征在于,包括:
请求接收模块,用于接收来自终端设备发送的服务请求,其中,所述服务请求包括终端设备相关信息及服务类型;
Agent确定模块,用于根据所述服务请求确定相应的agent,其中,所述agent包括该服务类型在所述终端设备中对应的API标识信息与该服务类型在所述控制客户端对应的API标识信息的对应关系,实现了将统一服务类型在不同终端设备的API标识信息进行统一;
反馈模块,用于将所述agent反馈至所述终端设备。
12.一种用于应用软件权限控制的系统,其特征在于,包括根据权利要求10所述的在终端设备中用于应用软件权限控制的装置,以及根据权利要求11所述的辅助用于应用软件权限控制的服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410640089.8A CN104317626B (zh) | 2014-11-13 | 2014-11-13 | 终端设备中应用软件权限控制的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410640089.8A CN104317626B (zh) | 2014-11-13 | 2014-11-13 | 终端设备中应用软件权限控制的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104317626A CN104317626A (zh) | 2015-01-28 |
| CN104317626B true CN104317626B (zh) | 2017-08-11 |
Family
ID=52372861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410640089.8A Active CN104317626B (zh) | 2014-11-13 | 2014-11-13 | 终端设备中应用软件权限控制的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104317626B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105376838A (zh) * | 2015-11-26 | 2016-03-02 | 上海斐讯数据通信技术有限公司 | 一种基于蓝牙控制的自动启闭wifi的方法及智能终端 |
| CN105912353B (zh) * | 2015-12-23 | 2019-12-27 | 北京奇虎科技有限公司 | 应用程序封装方法及装置 |
| CN105653904B (zh) * | 2015-12-24 | 2019-05-17 | 北京奇虎科技有限公司 | 应用锁屏的处理方法、装置及移动终端 |
| CN107465650B (zh) * | 2016-06-06 | 2020-10-27 | 阿里巴巴集团控股有限公司 | 一种访问控制方法及装置 |
| CN106713608B (zh) * | 2016-07-26 | 2020-04-24 | 腾讯科技(深圳)有限公司 | 应用的功能状态修改方法、装置及终端 |
| CN106357407B (zh) * | 2016-08-26 | 2019-11-15 | 维沃移动通信有限公司 | 一种操作命令的执行方法及其移动终端、客户端 |
| CN108182121B (zh) * | 2017-12-29 | 2020-10-20 | 广州小鹏汽车科技有限公司 | 一种Android中控大屏系统模块间通信方法及系统 |
| CN108416207B (zh) * | 2018-03-07 | 2022-09-16 | 北京元心科技有限公司 | 蓝牙使用权限鉴别方法、装置及移动终端 |
| CN108632807B (zh) * | 2018-05-03 | 2021-08-17 | 平安科技(深圳)有限公司 | 移动终端访问控制的方法及装置 |
| CN109088854B (zh) * | 2018-07-12 | 2021-09-07 | 中国联合网络通信集团有限公司 | 共享应用的访问方法、装置及可读存储介质 |
| CN108829425B (zh) * | 2018-07-26 | 2021-10-19 | 中国电子科技网络信息安全有限公司 | 一种针对国产操作系统上的应用软件在线升级管控方法 |
| CN109120474A (zh) * | 2018-08-02 | 2019-01-01 | 北京奇安信科技有限公司 | 一种设备管控方法及装置 |
| CN110955869A (zh) * | 2018-09-26 | 2020-04-03 | 南昌欧菲生物识别技术有限公司 | 终端软件权限管理方法、装置、终端和存储介质 |
| CN109582655B (zh) * | 2018-11-08 | 2021-01-08 | 深圳市云智融科技有限公司 | 系统日志的定位方法及装置、计算机可读存储介质 |
| CN110674475B (zh) * | 2019-09-29 | 2022-04-22 | 北京可信华泰信息技术有限公司 | 授权控制方法及装置、可信计算终端 |
| CN111488446B (zh) * | 2020-04-14 | 2021-10-15 | 湖北亿咖通科技有限公司 | 车载语音对话方法、计算机存储介质及电子设备 |
| CN111757024A (zh) * | 2020-07-30 | 2020-10-09 | 青岛海信传媒网络技术有限公司 | 一种控制智能图像模式切换的方法及显示设备 |
| CN112996021B (zh) * | 2021-05-23 | 2021-08-03 | 江苏东大集成电路系统工程技术有限公司 | 一种基于物联网的智能WiFi策略管理架构 |
| CN113473474A (zh) * | 2021-05-26 | 2021-10-01 | 上海商甲信息科技有限公司 | 一种移动通信终端系统权限后台管控的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101175262A (zh) * | 2006-10-30 | 2008-05-07 | 华为技术有限公司 | 一种安全相关代理的安装方法及用于移动台的智能卡 |
| CN101513008A (zh) * | 2006-07-31 | 2009-08-19 | 意大利电信股份公司 | 在电信终端上实现安全性的系统 |
| CN103535090A (zh) * | 2011-02-15 | 2014-01-22 | 黑莓有限公司 | 用于移动设备的身份管理的系统和方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7865584B2 (en) * | 2006-06-20 | 2011-01-04 | Alcatel Lucent | Network service performance monitoring apparatus and methods |
| WO2012061243A1 (en) * | 2010-11-05 | 2012-05-10 | Citrix Systems, Inc. | Systems and methods for managing domain name system security (dnssec) |
-
2014
- 2014-11-13 CN CN201410640089.8A patent/CN104317626B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101513008A (zh) * | 2006-07-31 | 2009-08-19 | 意大利电信股份公司 | 在电信终端上实现安全性的系统 |
| CN101175262A (zh) * | 2006-10-30 | 2008-05-07 | 华为技术有限公司 | 一种安全相关代理的安装方法及用于移动台的智能卡 |
| CN103535090A (zh) * | 2011-02-15 | 2014-01-22 | 黑莓有限公司 | 用于移动设备的身份管理的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104317626A (zh) | 2015-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104317626B (zh) | 终端设备中应用软件权限控制的方法、装置和系统 | |
| US7770785B2 (en) | Apparatus and methods for detection and management of unauthorized executable instructions on a wireless device | |
| JP6033832B2 (ja) | 無線装置上のファームウェア照合を管理するための装置および方法 | |
| US8943554B2 (en) | Managing tethered data traffic over a hotspot network | |
| CN102340400B (zh) | 通过智能电话管理的智能电话上的独立于持有者和服务者的家长控制的方法和设备 | |
| CN102281324B (zh) | 一种移动通信终端系统菜单项远程授权管理的方法 | |
| CN100563391C (zh) | 移动通信终端设备数据保护的方法、系统及设备 | |
| CN105704066A (zh) | 联网控制方法和装置、系统、安全网关、移动终端 | |
| CN102088691B (zh) | 手机移动互联网应用用户认证识别系统和方法 | |
| CN105912353B (zh) | 应用程序封装方法及装置 | |
| JP2015092374A5 (zh) | ||
| CN105474678A (zh) | 针对移动设备的集中选择应用许可 | |
| CN104298533A (zh) | 用于定制软件安装包的方法、装置和设备 | |
| CN103299658A (zh) | 移动应用的管理 | |
| CN104168557A (zh) | 操作系统的升级方法和操作系统的升级装置 | |
| CN114448727B (zh) | 基于工业互联网标识解析体系的信息处理方法及系统 | |
| CN101657793A (zh) | 用于配置防火墙的方法、系统和计算机程序 | |
| US8626121B2 (en) | Tracking mobile communication devices | |
| CN105095358A (zh) | 一种数据库操作日志获取方法及系统 | |
| CN105893580A (zh) | 一种使用微信平台创建和管理电子日记的方法 | |
| CN103686688A (zh) | 移动终端用户通讯录的保护处理方法与装置、移动终端 | |
| CN105760777A (zh) | 一种基于智能平台的安全信息管理方法及系统 | |
| CN103220654A (zh) | 一种使失控用户停机的方法及装置 | |
| CN112910868A (zh) | 企业网络安全管理方法、装置、计算机设备及存储介质 | |
| CN103944802A (zh) | 控制移动设备使用Exchange邮箱的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220729 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| TR01 | Transfer of patent right |