CN105610671A - 一种终端数据保护的方法及装置 - Google Patents
一种终端数据保护的方法及装置 Download PDFInfo
- Publication number
- CN105610671A CN105610671A CN201610016234.4A CN201610016234A CN105610671A CN 105610671 A CN105610671 A CN 105610671A CN 201610016234 A CN201610016234 A CN 201610016234A CN 105610671 A CN105610671 A CN 105610671A
- Authority
- CN
- China
- Prior art keywords
- application
- application program
- workspace
- terminal
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种终端数据保护的方法。在终端中建立用于存储企业数据的工作区;根据预设的加密算法在所述终端的TF卡对所述工作区存储数据进行加密;当检测到数据访问请求时,获取所述数据访问请求的身份认证信息,其中所述身份认证信息包括所述终端的设备识别号与所述TF卡标识;当判定所述身份认证信息通过认证,则接受所述数据访问请求。实现了终端数据的保护。
Description
技术领域
本申请属于智能移动设备领域,具体地说,涉及一种终端数据保护的方法及装置。
背景技术
随着智能终端的成熟与普及,以手机、平板电脑为代表的个人智能终端设备逐渐进入企业领域。众多企业已经开始支持员工在个人移动设备上使用企业应用程序,员工使用个人智能终端设备办公已经成为一种无法逆转的潮流。这类被称为BYOD(BringYourOwnDevice,自带设备办公)的现象为企业带来了全新的机遇。但是,机遇常伴随着风险。移动设备由于其便携性极易丢失,每年有7000万部手机丢失,其中60%的手机包含敏感信息,而移动设备中所保存的企业敏感数据也因此面临泄密风险。Varonis在2013年发布的关于企业中BYOD的趋势调查报告显示,50%的受访企业表示曾经丢失过储存企业重要数据的设备,其中23%的企业遭遇了数据安全事故。设备丢失不但意味着敏感商业信息的泄漏,所丢失的设备也可能会变成黑客攻击企业网络的跳板。根据调查,尽管85%的企业采取了保密措施,但仍有23%的企业发生过泄密事件,员工的主要泄密途径除了拍照泄漏、存储在手机中进而外泄外,还有离职员工拷贝企业重要信息,从而出卖资料。员工的这些行为,导致企业重要信息无意或有意泄密,不仅为企业带来财产损失,影响企业的业务运营,还带来了商誉受损等问题。
因此,一种终端数据保护的方法亟待提出。
发明内容
有鉴于此,本申请所要解决的技术问题是提供一种终端数据保护的方法及装置。
本申请开了一种终端数据保护的方法,位于硬件层执行,主要包括如下步骤:
在终端中建立用于存储企业数据的工作区;
根据预设的加密算法在所述终端的TF卡对所述工作区存储数据进行加密;
当检测到数据访问请求时,获取所述数据访问请求的身份认证信息;
当判定所述身份认证信息通过认证,则接受所述数据访问请求。
其中,根据预设的加密算法对存储数据进行加密,具体包括:
根据终端用户的设置选择相应的加密算法,调用TF卡的软件开发工具包对所述终端保存的数据进行加密运算。
其中,获取所述数据访问请求的身份认证信息,所述身份认证信息包括:所述终端的TF卡标识、SIM卡标识、终端的设备识别号以及网络状态。
其中,当判定所述身份认证信息通过认证,则接受所述数据访问请求,进一步包括:
当检测到通话的主叫方以及被叫方电话号码存储在所述工作区的数据库中时,对所述通话过程进行加密处理。
其中,当判定所述身份认证信息通过认证,则接受所述数据访问请求,进一步包括:
当检测到短信的发件人以及收件人的电话号码存储在所述工作区的数据库中时,从密钥管理服务器获取收件人的公钥并使用TF卡对明文短信内容进行加密运算得到加密短信,以使收件人通过私钥在TF卡中进行加密短信的解密运算从而获得明文短信。
一种终端数据保护的方法,位于应用层执行,进一步包括:
对终端的系统事件进行监测,判断所述系统事件是否符合预设的工作区规则;其中,所述系统事件包括:通话事件和短信事件;
当所述系统事件符合所述工作区规则时,在工作区空间内执行与所述系统事件对应的操作,将与所述操作相对应的数据加密并存储在所述工作区空间的数据库中。
具体地,当判断所述通话的主叫方或被叫方电话号码、或短信的发件人或收件人的电话号码存储在工作区空间的数据库中时,对所述通话记录或短信加密,将此通话记录或短信存储在所述工作区空间的数据库中,并在所述终端的通话记录或短消息记录中将此通话记录或短消息删除;其中,当所述通话事件为去电事件时,在所述终端的来电记录中将此通话记录删除;提供通话选项界面,由用户选择当来电的主叫方或被叫方电话号码存储在工作区空间的数据库中时,是否删除所述终端的通话记录。
具体地,提供邮件规则选项界面,由用户设置只能在工作区或使用工作区应用接收的邮箱账号,并将所述邮箱账号存储在所述工作区空间的数据库中;
当判断所述系统事件为接收邮件、并且发件人的邮箱账号存储在工作区空间的数据库中时,将邮件内容以及下载的邮件附件加密,并将邮件内容以及下载的邮件的附件存储在所述工作区空间的数据库中。
一种终端数据保护的方法,位于操作系统层执行,进一步包括:
接收针对应用自由安装列表中列出的应用程序发起的安装请求,所述应用自由安装列表从服务器获取;
当确认配置有应用黑名单时,判断待安装的应用程序是否在所述应用黑名单中,如果是,则禁止所述应用程序的安装,否则,对所述应用程序进行安装;
当确认配置有应用白名单时,判断待安装的应用程序是否在所述应用白名单中,如果是,则对所述应用程序进行安装,否则,禁止所述应用软件的安装;其中,所述应用黑名单或应用白名单由服务器配置。
其中,所述对所述应用程序进行安装,具体包括:
根据所述安装请求从服务器处下载所述应用程序的安装包;修改所述安装包的Manifest文件,将应用程序的入口强制变更至工作区。
其中,接收到所述服务器配置的应用黑名单时,根据应用黑名单中列出的应用程序的名称及版本号检测个人区内存空间中是否安装有所述应用黑名单中列出的应用程序,并针对检测到的应用程序发出所述应用程序禁止安装的告警信息;
接收到所述服务器配置的应用白名单时,根据应用白名单中列出的应用程序的名称及版本号检测个人区内存空间中是否安装有所述应用白名单中未列出的应用程序;并针对检测到的应用程序发出所述应用程序禁止安装的告警信息。
所述方法还包括:在所述应用程序的安装包中添加卸载监听代码,用以所述终端监听到所述数据保护方法对应的装置卸载后,清除所述工作区内目标的应用程序的数据。
所述方法还包括:在所述应用程序的安装包中添加与服务器通信代码,用以所述终端在接收到由服务器端发送的数据清除命令时,清除所述工作区内相应的应用程序的数据。
所述方法还包括:在所述应用程序的安装包中添加解密与加密代码,用以所述终端对工作区读写的数据进行加密以及解密。
所述方法还包括:在所述应用程序的安装包中隔离代码,用以所述终端拦截工作区内应用程序的开启行为,并将开启请求发送至服务器,由服务器判断应用程序的开启方式。
一种终端数据保护的方法,位于应用层执行,所述方法进一步包括:
接收服务器下发的所述移动端对应的基于地理位置的安全策略信息;其中,所述安全策略包括:在指定的地理区域范围内,关闭终端中至少一个特定的系统功能;在指定的地理区域范围内,禁止终端中至少一个特定的应用程序的启动和运行。
周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内;
若在,则执行所述安全策略。
其中,当所述安全策略为:
在指定的区域内,禁止终端中至少一个特定的应用程序的启动和运行时,所述安全策略包括:指定的地理区范围信息、允许和不允许启动和运行的应用的安全类别信息;所述执行所述安全策略,具体包括:
向服务器发送查询本地所有应用的私有属性信息和公有属性信息;
并从获取到的各应用的私有属性信息和公有属性信息中分别查找对应的安全类别信息;
将查找到的每个应用私有属性信息和公有属性信息中的安全类别信息的组合,作为该应用的安全类别信息;
根据每个应用的安全类别信息,确定在所述指定区域内,是否允许该应用的启动和运行。
一种终端数据保护的方法,位于通信层执行,进一步包括:
采用VPN建立专用网络,当所述工作区的应用程序进行网络访问时,将VPN服务器和移动端之间的通讯数据进行加密处理;和/或
当所述工作区的应用程序访问外网时,对所述外网的URL进行检测;
当判定所述外网的URL存在访问风险,则禁止应用程序访问,并将所述外网URL添加至风险列表以用于后续判断。
本申请开了一种终端数据保护的装置,所述装置位于硬件层,主要包括如下模块:
建立模块,用于在终端中建立用于存储企业数据的工作区;
加密模块,用于根据预设的加密算法在所述终端的TF卡对所述工作区存储数据进行加密;
认证模块,用于当检测到数据访问请求时,获取所述数据访问请求的身份认证信息;
访问控制模块,用于当判定所述身份认证信息通过认证,则接受所述数据访问请求。
其中,所述加密模块,具体用于:根据终端用户的设置选择相应的加密算法,调用TF卡的软件开发工具包对所述终端保存的数据进行加密运算。
所述身份认证信息包括:所述终端的TF卡标识、SIM卡标识、终端的设备识别号以及网络状态。
所述访问控制模块进一步用于:当检测到通话的主叫方以及被叫方电话号码存储在所述工作区的数据库中时,对所述通话过程进行加密处理。
所述访问控制模块进一步用于:
当检测到短信的发件人以及收件人的电话号码存储在所述工作区的数据库中时,从密钥管理服务器获取收件人的公钥并使用TF卡对明文短信内容进行加密运算得到加密短信,以使收件人通过私钥在TF卡中进行加密短信的解密运算从而获得明文短信。
一种终端数据保护的装置,所述装置位于应用层,进一步包括:
监测模块,用于对终端的系统事件进行监测,判断所述系统事件是否符合预设的工作区规则;其中,所述系统事件包括:通话事件和短信事件;
执行模块,用于当所述系统事件符合所述工作区规则时,在工作区空间内执行与所述系统事件对应的操作,将与所述操作相对应的数据加密并存储在所述工作区空间的数据库中。
其中,所述执行模块进一步包括通话和短信执行模块,所述通话和短信执行模块用于:
当判断所述通话的主叫方或被叫方电话号码、或短信的发件人或收件人的电话号码存储在工作区空间的数据库中时,对所述通话记录或短信加密,将此通话记录或短信存储在所述工作区空间的数据库中,并在所述终端的通话记录或短消息记录中将此通话记录或短消息删除;其中,当所述通话事件为去电事件时,在所述终端的来电记录中将此通话记录删除;提供通话选项界面,由用户选择当来电的主叫方或被叫方电话号码存储在工作区空间的数据库中时,是否删除所述终端的通话记录。
其中,所述执行模块进一步包括用户选项模块和邮件执行模块,所述用户选项模块用于提供邮件规则选项界面,由用户设置只能在工作区或使用工作区应用接收的邮箱账号,并将所述邮箱账号存储在所述工作区空间的数据库中;
所述邮件执行模块用于当判断所述系统事件为接收邮件、并且发件人的邮箱账号存储在工作区空间的数据库中时,将邮件内容以及下载的邮件附件加密,并将邮件内容以及下载的邮件的附件存储在所述工作区空间的数据库中。
一种终端数据保护的装置,所述装置位于操作系统层,进一步包括:
接收模块,用于接收针对应用自由安装列表中列出的应用程序发起的安装请求,所述应用自由安装列表从服务器获取;
第一确认模块,用于当确认配置有应用黑名单时,判断待安装的应用程序是否在所述应用黑名单中,如果是,则禁止所述应用程序的安装,否则,对所述应用程序进行安装;
第二确认模块,用于当确认配置有应用白名单时,判断待安装的应用程序是否在所述应用白名单中,如果是,则对所述应用程序进行安装,否则,禁止所述应用软件的安装;其中,所述应用黑名单或应用白名单由服务器配置。
所述装置进一步包括安装模块,所述安装模块具体用于:
根据所述安装请求从服务器处下载所述应用程序的安装包;
修改所述安装包的Manifest文件,将应用程序的入口强制变更至工作区。
具体地,第一确认模块具体用于,当接收到所述服务器配置的应用黑名单时,根据应用黑名单中列出的应用程序的名称及版本号检测个人区内存空间中是否安装有所述应用黑名单中列出的应用程序,并针对检测到的应用程序发出所述应用程序禁止安装的告警信息;
第二确认模块具体用于,接收到所述服务器配置的应用白名单时,根据应用白名单中列出的应用程序的名称及版本号检测个人区内存空间中是否安装有所述应用白名单中未列出的应用程序;并针对检测到的应用程序发出所述应用程序禁止安装的告警信息。
其中,所述安装模块具体还用于:在所述应用程序的安装包中添加卸载监听代码,用以所述终端监听到所述数据保护方法对应的装置卸载后,清除所述工作区内目标的应用程序的数据。
其中,所述安装模块具体还用于:在所述应用程序的安装包中添加与服务器通信代码,用以所述终端在接收到由服务器端发送的数据清除命令时,清除所述工作区内相应的应用程序的数据。
其中,所述安装模块具体还用于:在所述应用程序的安装包中添加解密与加密代码,用以所述终端对工作区读写的数据进行加密以及解密。
其中,所述安装模块具体还用于:在所述应用程序的安装包中隔离代码,用以所述终端拦截工作区内应用程序的开启行为,并将开启请求发送至服务器,由服务器判断应用程序的开启方式。
一种终端数据保护的装置,所述装置位于应用层,进一步包括:
第二接收模块,用于接收服务器下发的所述移动端对应的基于地理位置的安全策略信息;其中,所述安全策略包括:在指定的地理区域范围内,关闭终端中至少一个特定的系统功能;在指定的地理区域范围内,禁止终端中至少一个特定的应用程序的启动和运行。
地理位置查看模块,用于周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内;
安全策略执行模块,用于当所述地理位置查看模块确定所述移动端在所述基于地理位置的安全策略信息指定的地理区域范围内时,执行所述安全策略。
当所述安全策略为:在指定的区域内,禁止终端中至少一个特定的应用程序的启动和运行时,所述安全策略包括:指定的地理区范围信息、允许和不允许启动和运行的应用的安全类别信息;
所述执行所述安全策略,具体包括:
向服务器发送查询本地所有应用的私有属性信息和公有属性信息;
并从获取到的各应用的私有属性信息和公有属性信息中分别查找对应的安全类别信息;
将查找到的每个应用私有属性信息和公有属性信息中的安全类别信息的组合,作为该应用的安全类别信息;
根据每个应用的安全类别信息,确定在所述指定区域内,是否允许该应用的启动和运行。
一种终端数据保护的装置,所述装置位于通信层,进一步包括:
网络传输加密模块,用于采用VPN建立专用网络,当所述工作区的应用程序进行网络访问时,将VPN服务器和移动端之间的通讯数据进行加密处理;和/或
外网访问控制模块,用于当所述工作区的应用程序访问外网时,对所述外网的URL进行检测;
当判定所述外网的URL存在访问风险,则禁止应用程序访问,并将所述外网URL添加至风险列表以用于后续判断。
本发明实施例提供的一种终端数据保护的方法及装置,通过在移动终端内建立工作区,对工作区的数据进行加密保护,并通过对数据访问者进行身份认证实现数据的访问控制,在硬件级别上保证了数据的安全;与此同时,在操作系统层,用户仅能针对应用自由安装列表中列出的应用程序发起安装,保证了应用程序来源的安全可靠性;针对待安装的应用程序发起安装请求后,采用应用黑白名单机制进行控制,仅允许对未在应用黑名单中的应用程序或者在应用白名单中的应用程序进行安装,而禁止其他应用程序的安装,避免了移动终端上的企业数据被恶意应用非法上传、共享和外泄的风险,从而有效保护企业信息安全;在应用层,本发明实施例还可以实现当具有BYOD功能的移动终端进入企业需要进行保密和安全控制的区域时,受控于企业配置的安全策略,保障了企业的信息安全,防止泄密,避免了现有具备BYOD功能的移动终端位置不固定的特点给企业带来的安全隐患;在通信层,本发明实施例通过VPN构建专属通信网络并对用户外网访问进行控制,实现了内网和外网数据的安全互通。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本发明实施例一种终端数据保护的方法位于硬件层执行的技术流程图;
图2是本发明实施例一种终端数据保护的方法位于应用层执行的技术流程图;
图3是本发明实施例一种终端数据保护的方法位于操作系统层执行的技术流程图;
图4是本发明实施例一种终端数据保护的方法位于操作系统层执行的技术流程图;
图5是本发明实施例一种终端数据保护的方法位于应用层执行的另一技术流程图;
图6是本发明实施例一种终端数据保护的装置的装置结构示意图。
具体实施方式
现有的移动设备中,大多数都支持用户自定义设置锁屏方式以及锁屏密码,但是用户在公车或者地铁上手扶站立单手持移动设备时,若想在锁屏状态下箱打开移动设备启动某些目标应用程序或者是收到了未接消息,想用单手解锁并且翻页找到目标APP或者找到未接消息提示图标点击查看,是非常不方便的,针对这一缺陷,本发明提出了一种在解锁时能够快捷启动应用程序的方法,以下将配合附图及实施例来详细说明本申请的实施方式,藉此对本申请如何应用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。
图1是本发明实施例一种终端数据保护的方法位于硬件层执行的技术流程图,结合图1,包括如下步骤:
S101:在终端中建立用于存储企业数据的工作区;
工作区空间的数据库是相对于移动终端中原有的数据库、或相对于移动终端中各种应用的数据库独立设置的数据库,为工作区存储数据使用。区空间是移动终端的资源(内存和存储卡等)和用户划分的逻辑运行空间。工作区规则可以是联系人、短信中的关键字等等。可以在工作区空间的数据库中,或者在移动终端的存储装置中放置工作区空间加的数据,加密的数据可以是涉及系统文件内的数据,或者是用户选定的财务文件、生产文件、销售文件、市场文件、人力资源文件等内的数据;重要数据还可以是用户个人文件的数据,例如:照片、视频、日志等等。
S102:根据预设的加密算法在所述终端的TF卡对所述工作区存储数据进行加密;
具体的,根据终端用户的设置选择相应的加密算法,调用TF卡的软件开发工具包(SDK)对所述终端保存的数据进行加密运算。本发明实施例中,TF卡相当于一个运算单元,用于做数据加密的硬件支撑。将工作区的数据放入TF卡,经过加密运算之后,返回的数据即为加密完成的数据。
所述加密算法可以是对称密码、非对称密码、杂凑算法等。本发明实施例不限制加密使用何种加密算法,凡是能实现本发明实施例数据加密的算法均在本发明实施例的保护范围之内。
S103:当检测到数据访问请求时,获取所述数据访问请求的身份认证信息;
具体的,所述身份认证信息包括:所述终端的TF卡标识、SIM卡标识、终端的设备识别号以及网络状态。
每一个TF卡在出厂时,厂家都会赋给它一个唯一的ID,即所述TF卡标识。在进行数据加密运算时,记录进行加密运算的TF卡的ID。当有数据访问请求时,通过识别设备的TF卡ID来判断是否与预先记录的ID相匹配,若是,则开放数据访问。
需要说明的是,本发明实施例的身份认证除TF卡ID外,还辅以移动设备的识别号、SIM卡标识。TF卡多为外置扩展卡,一张TF卡可以适用于任何包含与之匹配的卡槽的设备,因此,若是用于数据加密的TF卡被安装在另一部设备上,则仅仅通过识别TF卡ID并不能完全确认是同一个用户身份,这样会导致机密数据的泄露。因此,本发明实施例中,将设备TF卡ID和设备的识别号唯一绑定,若是TF卡被使用于其他设备,则进行数据访问时,身份认证失败,将不能够进行加密数据的访问。
与此同时,数据保护装置需要不断通过网络与服务器进行数据交互或接受web端发送的指示,因此,本步骤中还需检测终端的当前网络状态。
S104:当判定所述身份认证信息通过认证,则接受所述数据访问请求。
在一种可行的实施方式中,当本实施例中的数据访问包括访问工作区联系人进行通话时,若是检测到通话的主叫方以及被叫方电话号码存储在所述工作区的数据库中时,则对所述通话过程进行加密处理。
具体的,本实施例中还可以有如下的实施方式,web端作为控制台,在配置文件中增加安全通信开关用以对短信安全和通话安全进行管控。安全通话信开关默认关闭(关闭时通信功能不受限制),只要注册过安全通信得都能打的通,不管主叫方或被叫方是否在工作区联系人或者联系人中或者是拨号盘输入,只要号码注册过,都能拨打成功。
当web端配置文件中增加是否只支持工作区联系人之间进行安全通话,则开启安全通话开关,这种情况下只支持工作区的联系人进行安全通话,任意一方不在工作区联系人中都不能拨打。
为了加强本申请实施例中的通话安全管控,本实施例中,可以有如下的实施方式,如果注册后拔掉TF卡/SIM卡,工作区内点击拨号功能则弹出toast‘未检测到加密TF卡/SIM卡,无法使用安全通话’,不允许进入拨号界面;点击其他拨号按键也同样提示。
如果拨打电话过程中拔掉tf卡,则通话中断;如果拔掉SIM卡,当次通话不会中断;以上情况当次结束后安全通话功能不能使用(既不能拨打也不能接通),如果SIM卡和TF卡插回则能继续使用;
如果进行身份认证时,发现插回的SIM卡和TF卡不是之前绑定的也不能使用安全通话功能;终端将做如下提示:TF/SIM/TF和SIM卡与设备匹配失败,无法使用安全通话;
如果手机没联网,工作区内点击拨号功能打开通话界面,弹出对话框提示:“网络未连接,无法使用安全通话功能”,点击拨打电话按键同样提示
如果拨打用户没有注册安全通话功能,拨号界面弹出之前弹框提示‘对不起,您拨打的用户未认证’;
每次用户打开拨号功能和联系人都异步更新联系人注册状态,且认证过的联系人在通话纪录、联系人、短信中的图标增加特殊标记;
控制台限制只能工作区联系人间通话的情况下,短信中非工作区联系人的短信记录的拨号绿色图标置灰,且‘点击保存号码’浮层中呼叫相关操作取消;通话记录中如果有非工作区联系人则拨号按钮置灰,点击无反应;联系人详情页和短信上方点击联系人弹框中的ip拨号和呼叫前编辑功能隐藏;手动添加的联系人详情页中‘呼叫’按钮置灰且‘上次联系’位置替换成‘非工作区联系人禁止呼叫’。
本申请实施例在另一种可行的实施方式中,当检测到短信的发件人以及收件人的电话号码存储在所述工作区的数据库中时,从密钥管理服务器获取收件人的公钥并使用TF卡对明文短信内容进行加密运算得到加密短信,以使收件人通过私钥在TF卡中进行加密短信的解密运算从而获得明文短信。
需要说明的是,本发明实施例中的短信安全和通话安全控制使用一个安全通信开关。当web端配置文件中增加是否只支持工作区联系人之间进行安全短信,则开启安全通信开关,这种情况下只支持工作区的联系人进行短信的收发,任意一方不在工作区联系人中都不能进行短信收发。
本实施例中,以硬件TF卡作为加密运算单元,结合终端的设备识别号与TF卡标识进行用户身份认证从而实现访问控制,实现实现了终端数据硬件级别的加密保护。
图2是本发明实施例一种终端数据保护的方法位于应用层执行的技术流程图,结合图1,包括如下步骤:
S201:对终端的系统事件进行监测,判断所述系统事件是否符合预设的工作区规则;
其中,所述系统事件包括:通话事件和短信事件;
S202:当所述系统事件符合所述工作区规则时,在工作区空间内执行与所述系统事件对应的操作,将与所述操作相对应的数据加密并存储在所述工作区空间的数据库中。
在一种可选的实施方式中,当判断所述通话的主叫方或被叫方电话号码、或短信的发件人或收件人的电话号码存储在工作区空间的数据库中时,对所述通话记录或短信加密,将此通话记录或短信存储在所述工作区空间的数据库中,并在所述终端的通话记录或短消息记录中将此通话记录或短消息删除;其中,当所述通话事件为去电事件时,在所述终端的来电记录中将此通话记录删除;
在一种可选的实施方式中,提供通话选项界面,由用户选择当来电的主叫方或被叫方电话号码存储在工作区空间的数据库中时,是否删除所述终端的通话记录。
在一种可选的实施方式中,提供邮件规则选项界面,由用户设置只能在工作区或使用工作区应用接收的邮箱账号,并将所述邮箱账号存储在所述工作区空间的数据库中;当判断所述系统事件为接收邮件、并且发件人的邮箱账号存储在工作区空间的数据库中时,将邮件内容以及下载的邮件附件加密,并将邮件内容以及下载的邮件的附件存储在所述工作区空间的数据库中。
在一种可选的实施方式中,用户进入工作区进行有关工作(企业)操作,例如编辑日程安排、发短信、写邮件、下载报表或拍照等等,将日程安排、图片、邮件、报表、短信等数据进行加密,并存储在工作区空间的数据库中,使得公、私的数据得以隔离,通过对数据加密加密使得移动终端内的其它应用获取数据后无法使用。当用户查看存储在工作区空间的数据库中的数据时,需要输入密码,当移动终端丢失时,由于用户设置了查看工作区数据的用户密码(此功能可以由用户根据自身的习惯、意愿进行设置),如不知道用户密码则无法查看工作区数据,或者,可以通过企业管理管理远程操作,调用移动终端中的工作区应用,删除移动终端中存储的工作区数据,能够保护企业数据的安全。
本实施例通过在移动终端上建立一个安全、独立的工作区,将所有的工作数据,即企业应用和数据存储在受保护的安全区内,使个人应用无法访问企业数据,避免企业数据被个人应用非法存取,实现了终端数据的公私隔离,不仅仅将企业数据和个人数据完全隔离,使IT部门能够更好地保护企业的应用和数据,也为员工提供了无差别的个人应用体验,达到一机两用的效果。
图3是本发明实施例一种终端数据保护的方法位于操作系统层执行的技术流程图,结合图3,包括如下步骤:
S301:接收针对应用自由安装列表中列出的应用程序发起的安装请求,所述应用自由安装列表从服务器获取;
具体实施中,所述安装请求是企业用户根据移动终端展示的应用自由安装列表选择待安装的应用程序后发起的。
具体实施中,服务器中建立了一个专用空间,用于存储上传到服务器中的应用程序的安装包,本发明实施例中将该专用空间称为应用库。服务器上维护有应用管理列表,应用管理列表中包括所有安装包已上传到服务器的应用程序的名称及版本号,当然也可以包括该应用程序的其他信息,例如上传时间、安装包大小、安装量等。企业管理员可以查看、编辑应用管理列表,查看各应用程序的安装量等统计信息。
一般情况下,应用程序的安装包是由用户上传给服务器的,为了保证移动终端上所使用应用程序的安全可靠性,服务器在保存应用程序的安装包之前,对应用程序的安装包进行病毒检测和处理。对应用程序的安装包进行处理,可以防止应用程序被轻易逆向从而获取密钥体系等关键信息,同时给应用程序增加了数据加密的功能,增加安全系数。
以在Android(安卓)系统上实现为例对应用程序的安装包进行处理进行简要说明。对应用程序的安装包进行处理主要就是改变应用程序的class.dex文件的内容,对其内容进行一些算法加密,在apk(AndroidPackage,安卓安装包)运行时再动态的去解密,还原内容;在修改class.dex文件的时候要保证其符合dex文件的固有格式。所有上传的应用程序的安装包均经过病毒检测和处理,从而杜绝恶意篡改、代码注入、内存修改、窃取数据、反编译等威胁。
具体的,服务器还可以将企业员工按照部门、或者职能等划分为不同的用户组,并且为各用户组制定不同的应用管理策略,例如将应用库中的应用程序划分类型,为不同部门或者不同职能的用户组下发特定类型的应用程序。通过服务器的分组功能,可以对不同的用户组分发不同的应用程序。服务器可以根据自身维护的应用管理列表、以及各用户组的应用管理策略,为每个用户组生成对应的应用自由安装列表,并将每个用户组对应的应用自由安装列表推送到该用户组中各用户的终端上,应用自由安装列表中包括供用户组自由安装的应用程序的名称及版本号。终端将应用自由安装列表展示在工作区的企业应用市场中,供企业用户自由选择下载安装。
S302:当确认配置有应用黑名单时,判断待安装的应用程序是否在所述应用黑名单中,如果是,则禁止所述应用程序的安装,否则,对所述应用程序进行安装;
具体的,接收到所述服务器配置的应用黑名单时,根据应用黑名单中列出的应用程序的名称及版本号检测个人区内存空间中是否安装有所述应用黑名单中列出的应用程序,并针对检测到的应用程序发出所述应用程序禁止安装的告警信息;
S303:当确认配置有应用白名单时,判断待安装的应用程序是否在所述应用白名单中,如果是,则对所述应用程序进行安装,否则,禁止所述应用软件的安装;
其中,所述应用黑名单或应用白名单由服务器配置。
具体的,接收到所述服务器配置的应用白名单时,根据应用白名单中列出的应用程序的名称及版本号检测个人区内存空间中是否安装有所述应用白名单中未列出的应用程序;并针对检测到的应用程序发出所述应用程序禁止安装的告警信息。
步骤S303中对所述应用程序进行安装,进一步包括如下执行方式:
根据所述安装请求从服务器处下载所述应用程序的安装包,修改所述安装包的Manifest文件,将应用程序的入口强制变更至工作区。和/或,
在所述应用程序的安装包中添加卸载监听代码,用以所述终端监听到所述数据保护方法对应的装置卸载后,清除所述工作区内目标的应用程序的数据。和/或,
在所述应用程序的安装包中添加与服务器通信代码,用以所述终端在接收到由服务器端发送的数据清除命令时,清除所述工作区内相应的应用程序的数据。和/或,
在所述应用程序的安装包中添加解密与加密代码,用以所述终端对工作区读写的数据进行加密以及解密。和/或,
在所述应用程序的安装包中隔离代码,用以所述终端拦截工作区内应用程序的开启行为,并将开启请求发送至服务器,由服务器判断应用程序的开启方式。
本实施例中,服务器向终端推送应用自由安装列表,用户仅能针对应用自由安装列表中列出的应用程序发起安装,保证了应用程序来源的安全靠性;针对待安装的应用程序发起安装请求后,采用应用黑白名单机制进行控制,仅允许对未在应用黑名单中的应用程序或者在应用白名单中的应用程序进行安装,而禁止其他应用程序的安装,避免了移动终端上的企业数据被恶意应用非法上传、共享和外泄的风险,从而有效保护企业信息安全。
图4是本发明实施例一种终端数据保护的方法位于操作系统层执行的技术流程图,结合图4,本发明实施例还可有如下的实施方式:
S401:当检测到所述工作区内有应用安装时,向服务器发送查看应用的列表的请求;
S402:接收服务器下发的所述终端所属用户所在用户组对应的应用的列表,并在终端工作区内显示给用户,所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息;
S403:根据所述应用的列表中的强制安装的应用的信息,下载所述强制安装的应用的安装包并静默安装在终端的工作区内;
本步骤具体包括:根据所述应用的列表中各强制安装的应用的安装包的标识以及下载地址,下载对应安装包;
判断当前是否连接WIFI;若是,则使用提取的超级用户root权限,静默安装在终端的工作区内。
S404:当接收到用户发出的自由安装请求时,根据所述应用的列表,下载所请求的自由安装的应用的安装包并安装于终端的工作区内。
本步骤具体包括:根据所述请求指定的安装包的标识以及所保存的所述应用的列表,从所述应用的列表中记载的安装包的下载地址下载所述安装包;
根据所下载的安装包的标识,按照所述预设的加密算法计算出对应的签名数据,确定计算出的所述签名数据是否与保存的所述列表中该安装包的签名数据一致,若一致,则允许安装所述安装包;否则,拒绝所述安装包的安装。
本实施例中,当终端的工作区内有应用安装时,向服务器发出查看应用的列表的请求时,服务器根据所述终端所属的用户,确定该用户所属的用户组,将该用户组对应的应用的列表下发至所述终端,所述终端一方面可根据所述应用的列表中的强制安装的应用的信息,下载所述强制安装的应用的安装包并静默安装在移动终端的工作区内,另一方面可根据用户的需要,从该列表中选择自由安装的应用程序进行安装。在BYOD的场景中,在保障企业信息安全的前提下,在移动终端工作区内实现了不同用户的个性化的应用安装选择。
图5是本发明实施例一种终端数据保护的方法位于应用层执行的另一技术流程图,结合图5,包括如下步骤:
S501:接收服务器下发的所述移动端对应的基于地理位置的安全策略信息;
其中,所述安全策略包括:
在指定的地理区域范围内,关闭终端中至少一个特定的系统功能;
在指定的地理区域范围内,禁止终端中至少一个特定的应用程序的启动和运行。
S502:周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内;
若在,则执行步骤S503,若为否,则执行步骤S502。
S503:执行所述安全策略。
上述S501中,所述安全策略信息,具体可以包括下面两种信息即:地理区域范围的经纬度信息和该地理区域范围对应的安全策略。
进一步地,当所述安全策略为:
在指定的区域内,禁止终端中至少一个特定的应用程序的启动和运行时,所述安全策略包括:指定的地理区范围信息、允许和不允许启动和运行的应用的安全类别信息;
所述执行所述安全策略,具体包括:向服务器发送查询本地所有应用的私有属性信息和公有属性信息;并从获取到的各应用的私有属性信息和公有属性信息中分别查找对应的安全类别信息;将查找到的每个应用私有属性信息和公有属性信息中的安全类别信息的组合,作为该应用的安全类别信息;根据每个应用的安全类别信息,确定在所述指定区域内,是否允许该应用的启动和运行。
本实施例可以实现当具有BYOD功能的移动终端进入是企业需要进行保密和安全控制的区域时,受控于企业配置的安全策略,保障了企业的信息安全,防止泄密,避免了现有具备BYOD功能的移动终端位置不固定的特点给企业带来的安全隐患。
特别地,本发明实施例一种终端数据保护的方法,位于通信层执行,具体包括:
采用VPN建立专用网络,当所述工作区的应用程序进行网络访问时,将VPN服务器和移动端之间的通讯数据进行加密处理;和/或
当所述工作区的应用程序访问外网时,对所述外网的URL进行检测;
当判定所述外网的URL存在访问风险,则禁止应用程序访问,并将所述外网URL添加至风险列表以用于后续判断。
VPN继承了网络安全技术,并结合了下一代Ipv6的特性,通过隧道、认证、接入控制、数据加密技术利用公网建立互联虚拟专用通道,实现网络互联的安全,确保了通信的安全可靠性。VPN能提供高水平的安全,使用高级的加密和身份识别协议保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触这种数据。需要说明的是,本发明的各实施例分别是对本发明一种终端数据保护方法在不同设备层的可选实现方法,各实施例之间之间可以单独存在,也可以进行不同的组合,本发明实施例并不限制其组合方式。例如,在一种可行的实施方式中,可以分别在硬件层、操作系统层、应用层和通信层进行终端数据的保护,在本申请的其他实施例中,也可以只在上述四层中的某一层进行数据保护的部署。
另外,图2以及图5对应的实施例均为本发明在应用层的可选实现方式,这两种方式可以组合使用,以实现应用层数据保护的。图3以及图4对应的实施例均为本发明在操作系统层的可选实现方式,这两种方式可以组合使用,以通过操作系统层实现数据保护的。
图6是本发明实施例一种终端数据保护的装置的装置结构示意图,结合图6,本发明实施例位于硬件层执行,包括如下的模块:
建立模块611,用于在终端中建立用于存储企业数据的工作区;
加密模块612,用于根据预设的加密算法在所述终端的TF卡对所述工作区存储数据进行加密;
认证模块613,用于当检测到数据访问请求时,获取所述数据访问请求的身份认证信息;
访问控制模块614,用于当判定所述身份认证信息通过认证,则接受所述数据访问请求。
所述加密模块612,具体用于:根据终端用户的设置选择相应的加密算法,调用TF卡的软件开发工具包对所述终端保存的数据进行加密运算。
所述身份认证信息包括:所述终端的TF卡标识、SIM卡标识、终端的设备识别号以及网络状态。
所述访问控制模块614进一步用于:
当检测到通话的主叫方以及被叫方电话号码存储在所述工作区的数据库中时,对所述通话过程进行加密处理。
所述访问控制模块614进一步用于:
当检测到短信的发件人以及收件人的电话号码存储在所述工作区的数据库中时,从密钥管理服务器获取收件人的公钥并使用TF卡对明文短信内容进行加密运算得到加密短信,以使收件人通过私钥在TF卡中进行加密短信的解密运算从而获得明文短信。
位于应用层执行,所述装置进一步包括:
监测模块621,用于对终端的系统事件进行监测,判断所述系统事件是否符合预设的工作区规则;其中,所述系统事件包括:通话事件和短信事件;
执行模块622,用于当所述系统事件符合所述工作区规则时,在工作区空间内执行与所述系统事件对应的操作,将与所述操作相对应的数据加密并存储在所述工作区空间的数据库中。
所述执行模块622进一步包括通话和短信执行模块623,所述通话和短信执行模块623用于:
当判断所述通话的主叫方或被叫方电话号码、或短信的发件人或收件人的电话号码存储在工作区空间的数据库中时,对所述通话记录或短信加密,将此通话记录或短信存储在所述工作区空间的数据库中,并在所述终端的通话记录或短消息记录中将此通话记录或短消息删除;其中,当所述通话事件为去电事件时,在所述终端的来电记录中将此通话记录删除;提供通话选项界面,由用户选择当来电的主叫方或被叫方电话号码存储在工作区空间的数据库中时,是否删除所述终端的通话记录。
所述执行模块622进一步包括用户选项模块624和邮件执行模块625,所述用户选项模块624用于提供邮件规则选项界面,由用户设置只能在工作区或使用工作区应用接收的邮箱账号,并将所述邮箱账号存储在所述工作区空间的数据库中;
所述邮件执行模块625用于当判断所述系统事件为接收邮件、并且发件人的邮箱账号存储在工作区空间的数据库中时,将邮件内容以及下载的邮件附件加密,并将邮件内容以及下载的邮件的附件存储在所述工作区空间的数据库中。
位于操作系统层执行,所述装置进一步包括:
接收模块631,用于接收针对应用自由安装列表中列出的应用程序发起的安装请求,所述应用自由安装列表从服务器获取;
第一确认模块632,用于当确认配置有应用黑名单时,判断待安装的应用程序是否在所述应用黑名单中,如果是,则禁止所述应用程序的安装,否则,对所述应用程序进行安装;
第二确认模块633,用于当确认配置有应用白名单时,判断待安装的应用程序是否在所述应用白名单中,如果是,则对所述应用程序进行安装,否则,禁止所述应用软件的安装;其中,所述应用黑名单或应用白名单由服务器配置。
所述装置进一步包括安装模块634,所述安装模块634具体用于:
根据所述安装请求从服务器处下载所述应用程序的安装包;修改所述安装包的Manifest文件,将应用程序的入口强制变更至工作区。
所述第一确认模块632,具体用于,接收到所述服务器配置的应用黑名单时,根据应用黑名单中列出的应用程序的名称及版本号检测个人区内存空间中是否安装有所述应用黑名单中列出的应用程序,并针对检测到的应用程序发出所述应用程序禁止安装的告警信息;
所述第二确认模块633,具体用于,接收到所述服务器配置的应用白名单时,根据应用白名单中列出的应用程序的名称及版本号检测个人区内存空间中是否安装有所述应用白名单中未列出的应用程序;并针对检测到的应用程序发出所述应用程序禁止安装的告警信息。
所述安装模块634具体还用于:
在所述应用程序的安装包中添加卸载监听代码,用以所述终端监听到所述数据保护方法对应的装置卸载后,清除所述工作区内目标的应用程序的数据。
所述安装模块634具体还用于:
在所述应用程序的安装包中添加与服务器通信代码,用以所述终端在接收到由服务器端发送的数据清除命令时,清除所述工作区内相应的应用程序的数据。
所述安装模块634具体还用于:
在所述应用程序的安装包中添加解密与加密代码,用以所述终端对工作区读写的数据进行加密以及解密。
所述安装模块634具体还用于:
在所述应用程序的安装包中隔离代码,用以所述终端拦截工作区内应用程序的开启行为,并将开启请求发送至服务器,由服务器判断应用程序的开启方式。
位于应用层执行,所述装置进一步包括:
第二接收模块641,用于接收服务器下发的所述移动端对应的基于地理位置的安全策略信息;其中,所述安全策略包括:在指定的地理区域范围内,关闭终端中至少一个特定的系统功能;在指定的地理区域范围内,禁止终端中至少一个特定的应用程序的启动和运行。
地理位置查看模块642,用于周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内;
安全策略执行模块643,用于当所述地理位置查看模块确定所述移动端在所述基于地理位置的安全策略信息指定的地理区域范围内时,执行所述安全策略。
当所述安全策略为:在指定的区域内,禁止终端中至少一个特定的应用程序的启动和运行时,所述安全策略包括:指定的地理区范围信息、允许和不允许启动和运行的应用的安全类别信息;
所述执行所述安全策略,具体包括:
向服务器发送查询本地所有应用的私有属性信息和公有属性信息;
并从获取到的各应用的私有属性信息和公有属性信息中分别查找对应的安全类别信息;
将查找到的每个应用私有属性信息和公有属性信息中的安全类别信息的组合,作为该应用的安全类别信息;
根据每个应用的安全类别信息,确定在所述指定区域内,是否允许该应用的启动和运行。
位于通信层执行,所述装置进一步包括:
网络传输加密模块651,用于采用VPN建立专用网络,当所述工作区的应用程序进行网络访问时,将VPN服务器和移动端之间的通讯数据进行加密处理;和/或
外网访问控制模块652,用于当所述工作区的应用程序访问外网时,对所述外网的URL进行检测;
当判定所述外网的URL存在访问风险,则禁止应用程序访问,并将所述外网URL添加至风险列表以用于后续判断。
1a、一种终端数据保护的方法,位于硬件层执行,包括如下的步骤:
在终端中建立用于存储企业数据的工作区;
根据预设的加密算法在所述终端的TF卡对所述工作区存储数据进行加密;
当检测到数据访问请求时,获取所述数据访问请求的身份认证信息;
当判定所述身份认证信息通过认证,则接受所述数据访问请求。
2a、如1a所述的方法,根据预设的加密算法对存储数据进行加密,具体包括:
根据终端用户的设置选择相应的加密算法,调用TF卡的软件开发工具包对所述终端保存的数据进行加密运算。
3a、如1a所述的方法,获取所述数据访问请求的身份认证信息,
所述身份认证信息包括:所述终端的TF卡标识、SIM卡标识、终端的设备识别号以及网络状态。
4a、如1a所述的方法,当判定所述身份认证信息通过认证,则接受所述数据访问请求,进一步包括:
当检测到通话的主叫方以及被叫方电话号码存储在所述工作区的数据库中时,对所述通话过程进行加密处理。
5a、如1a所述的方法,当判定所述身份认证信息通过认证,则接受所述数据访问请求,进一步包括:
当检测到短信的发件人以及收件人的电话号码存储在所述工作区的数据库中时,从密钥管理服务器获取收件人的公钥并使用TF卡对明文短信内容进行加密运算得到加密短信,以使收件人通过私钥在TF卡中进行加密短信的解密运算从而获得明文短信。
6a、如1a所述的方法,位于应用层执行,所述方法进一步包括:
对终端的系统事件进行监测,判断所述系统事件是否符合预设的工作区规则;其中,所述系统事件包括:通话事件和短信事件;
当所述系统事件符合所述工作区规则时,在工作区空间内执行与所述系统事件对应的操作,将与所述操作相对应的数据加密并存储在所述工作区空间的数据库中。
7a、如6a所述的方法,其特征在于,所述方法具体包括:
当判断所述通话的主叫方或被叫方电话号码、或短信的发件人或收件人的电话号码存储在工作区空间的数据库中时,对所述通话记录或短信加密,将此通话记录或短信存储在所述工作区空间的数据库中,并在所述终端的通话记录或短消息记录中将此通话记录或短消息删除;其中,当所述通话事件为去电事件时,在所述终端的来电记录中将此通话记录删除;提供通话选项界面,由用户选择当来电的主叫方或被叫方电话号码存储在工作区空间的数据库中时,是否删除所述终端的通话记录。
8a、如6a所述的方法,所述方法具体包括:
提供邮件规则选项界面,由用户设置只能在工作区或使用工作区应用接收的邮箱账号,并将所述邮箱账号存储在所述工作区空间的数据库中;
当判断所述系统事件为接收邮件、并且发件人的邮箱账号存储在工作区空间的数据库中时,将邮件内容以及下载的邮件附件加密,并将邮件内容以及下载的邮件的附件存储在所述工作区空间的数据库中。
9a、如1a所述的方法,位于操作系统层执行,所述方法进一步包括:
接收针对应用自由安装列表中列出的应用程序发起的安装请求,所述应用自由安装列表从服务器获取;
当确认配置有应用黑名单时,判断待安装的应用程序是否在所述应用黑名单中,如果是,则禁止所述应用程序的安装,否则,对所述应用程序进行安装;
当确认配置有应用白名单时,判断待安装的应用程序是否在所述应用白名单中,如果是,则对所述应用程序进行安装,否则,禁止所述应用软件的安装;其中,所述应用黑名单或应用白名单由服务器配置。
10a、如9a所述的方法,所述对所述应用程序进行安装,具体包括:
根据所述安装请求从服务器处下载所述应用程序的安装包;
修改所述安装包的Manifest文件,将应用程序的入口强制变更至工作区。
11a、如9a所述的方法,所述方法还包括:
接收到所述服务器配置的应用黑名单时,根据应用黑名单中列出的应用程序的名称及版本号检测个人区内存空间中是否安装有所述应用黑名单中列出的应用程序,并针对检测到的应用程序发出所述应用程序禁止安装的告警信息;
接收到所述服务器配置的应用白名单时,根据应用白名单中列出的应用程序的名称及版本号检测个人区内存空间中是否安装有所述应用白名单中未列出的应用程序;并针对检测到的应用程序发出所述应用程序禁止安装的告警信息。
12a、如10a所述的方法,所述方法还包括:
在所述应用程序的安装包中添加卸载监听代码,用以所述终端监听到所述数据保护方法对应的装置卸载后,清除所述工作区内目标的应用程序的数据。
13a、如10a所述的方法,所述方法还包括:
在所述应用程序的安装包中添加与服务器通信代码,用以所述终端在接收到由服务器端发送的数据清除命令时,清除所述工作区内相应的应用程序的数据。
14a、如10a所述的方法,所述方法还包括:
在所述应用程序的安装包中添加解密与加密代码,用以所述终端对工作区读写的数据进行加密以及解密。
15a、如10a所述的方法,所述方法还包括:
在所述应用程序的安装包中隔离代码,用以所述终端拦截工作区内应用程序的开启行为,并将开启请求发送至服务器,由服务器判断应用程序的开启方式。
16a、如1a所述的方法,位于应用层执行,所述方法进一步包括:
接收服务器下发的所述移动端对应的基于地理位置的安全策略信息;其中,所述安全策略包括:在指定的地理区域范围内,关闭终端中至少一个特定的系统功能;在指定的地理区域范围内,禁止终端中至少一个特定的应用程序的启动和运行。
周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内;
若在,则执行所述安全策略。
17a、如16a所述的方法,当所述安全策略为:
在指定的区域内,禁止终端中至少一个特定的应用程序的启动和运行时,所述安全策略包括:
指定的地理区范围信息、允许和不允许启动和运行的应用的安全类别信息;
所述执行所述安全策略,具体包括:
向服务器发送查询本地所有应用的私有属性信息和公有属性信息;
并从获取到的各应用的私有属性信息和公有属性信息中分别查找对应的安全类别信息;
将查找到的每个应用私有属性信息和公有属性信息中的安全类别信息的组合,作为该应用的安全类别信息;
根据每个应用的安全类别信息,确定在所述指定区域内,是否允许该应用的启动和运行。
18a、如1a所述的方法,位于通信层执行,所述方法进一步包括:
采用VPN建立专用网络,当所述工作区的应用程序进行网络访问时,将VPN服务器和移动端之间的通讯数据进行加密处理;和/或
当所述工作区的应用程序访问外网时,对所述外网的URL进行检测;
当判定所述外网的URL存在访问风险,则禁止应用程序访问,并将所述外网URL添加至风险列表以用于后续判断。
19b、一种终端数据保护的装置,所述装置位于硬件层包括如下的模块:
建立模块,用于在终端中建立用于存储企业数据的工作区;
加密模块,用于根据预设的加密算法在所述终端的TF卡对所述工作区存储数据进行加密;
认证模块,用于当检测到数据访问请求时,获取所述数据访问请求的身份认证信息;
访问控制模块,用于当判定所述身份认证信息通过认证,则接受所述数据访问请求。
20b、如19所述的装置,所述加密模块,具体用于:
根据终端用户的设置选择相应的加密算法,调用TF卡的软件开发工具包对所述终端保存的数据进行加密运算。
21b、如19b所述的装置,所述身份认证信息包括:所述终端的TF卡标识、SIM卡标识、终端的设备识别号以及网络状态。
22、如19b所述的装置,所述访问控制模块进一步用于:
当检测到通话的主叫方以及被叫方电话号码存储在所述工作区的数据库中时,对所述通话过程进行加密处理。
23b、如19b所述的装置,所述访问控制模块进一步用于:
当检测到短信的发件人以及收件人的电话号码存储在所述工作区的数据库中时,从密钥管理服务器获取收件人的公钥并使用TF卡对明文短信内容进行加密运算得到加密短信,以使收件人通过私钥在TF卡中进行加密短信的解密运算从而获得明文短信。
24b、如19b所述的装置,,所述装置位于应用层进一步包括:
监测模块,用于对终端的系统事件进行监测,判断所述系统事件是否符合预设的工作区规则;其中,所述系统事件包括:通话事件和短信事件;
执行模块,用于当所述系统事件符合所述工作区规则时,在工作区空间内执行与所述系统事件对应的操作,将与所述操作相对应的数据加密并存储在所述工作区空间的数据库中。
25b、如24b所述的装置,其特征在于,所述执行模块进一步包括通话和短信执行模块,所述通话和短信执行模块用于:
当判断所述通话的主叫方或被叫方电话号码、或短信的发件人或收件人的电话号码存储在工作区空间的数据库中时,对所述通话记录或短信加密,将此通话记录或短信存储在所述工作区空间的数据库中,并在所述终端的通话记录或短消息记录中将此通话记录或短消息删除;其中,当所述通话事件为去电事件时,在所述终端的来电记录中将此通话记录删除;提供通话选项界面,由用户选择当来电的主叫方或被叫方电话号码存储在工作区空间的数据库中时,是否删除所述终端的通话记录。
26b、如24b所述的装置,其特征在于,所述执行模块进一步包括用户选项模块和邮件执行模块,所述用户选项模块用于提供邮件规则选项界面,由用户设置只能在工作区或使用工作区应用接收的邮箱账号,并将所述邮箱账号存储在所述工作区空间的数据库中;
所述邮件执行模块用于当判断所述系统事件为接收邮件、并且发件人的邮箱账号存储在工作区空间的数据库中时,将邮件内容以及下载的邮件附件加密,并将邮件内容以及下载的邮件的附件存储在所述工作区空间的数据库中。
27b、如19b所述的装置,所述装置位于操作系统层进一步包括:
接收模块,用于接收针对应用自由安装列表中列出的应用程序发起的安装请求,所述应用自由安装列表从服务器获取;
第一确认模块,用于当确认配置有应用黑名单时,判断待安装的应用程序是否在所述应用黑名单中,如果是,则禁止所述应用程序的安装,否则,对所述应用程序进行安装;
第二确认模块,用于当确认配置有应用白名单时,判断待安装的应用程序是否在所述应用白名单中,如果是,则对所述应用程序进行安装,否则,禁止所述应用软件的安装;其中,所述应用黑名单或应用白名单由服务器配置。
28b、如27b所述的装置,其特征在于所述装置进一步包括安装模块,所述第一安装模块具体用于:
根据所述安装请求从服务器处下载所述应用程序的安装包;
修改所述安装包的Manifest文件,将应用程序的入口强制变更至工作区。
29b、如27b所述的装置,
所述第一确认模块,具体用于,接收到所述服务器配置的应用黑名单时,根据应用黑名单中列出的应用程序的名称及版本号检测个人区内存空间中是否安装有所述应用黑名单中列出的应用程序,并针对检测到的应用程序发出所述应用程序禁止安装的告警信息;
所述第二确认模块,具体用于,接收到所述服务器配置的应用白名单时,根据应用白名单中列出的应用程序的名称及版本号检测个人区内存空间中是否安装有所述应用白名单中未列出的应用程序;并针对检测到的应用程序发出所述应用程序禁止安装的告警信息。
30b、如28b所述的装置,所述安装模块具体还用于:
在所述应用程序的安装包中添加卸载监听代码,用以所述终端监听到所述数据保护方法对应的装置卸载后,清除所述工作区内目标的应用程序的数据。
31b、如28b所述的装置,所述安装模块具体还用于:
在所述应用程序的安装包中添加与服务器通信代码,用以所述终端在接收到由服务器端发送的数据清除命令时,清除所述工作区内相应的应用程序的数据。
32b、如28b所述的装置,所述安装模块具体还用于:
在所述应用程序的安装包中添加解密与加密代码,用以所述终端对工作区读写的数据进行加密以及解密。
33b、如28b所述的装置,所述安装模块具体还用于:
在所述应用程序的安装包中隔离代码,用以所述终端拦截工作区内应用程序的开启行为,并将开启请求发送至服务器,由服务器判断应用程序的开启方式。
34b、如19b所述的装置,所述装置位于应用层进一步包括:
第二接收模块,用于接收服务器下发的所述移动端对应的基于地理位置的安全策略信息;其中,所述安全策略包括:在指定的地理区域范围内,关闭终端中至少一个特定的系统功能;在指定的地理区域范围内,禁止终端中至少一个特定的应用程序的启动和运行。
地理位置查看模块,用于周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内;
安全策略执行模块,用于当所述地理位置查看模块确定所述移动端在所述基于地理位置的安全策略信息指定的地理区域范围内时,执行所述安全策略。
35b、如34b所述的装置,当所述安全策略为:在指定的区域内,禁止终端中至少一个特定的应用程序的启动和运行时,所述安全策略包括:指定的地理区范围信息、允许和不允许启动和运行的应用的安全类别信息;
所述执行所述安全策略,具体包括:
向服务器发送查询本地所有应用的私有属性信息和公有属性信息;
并从获取到的各应用的私有属性信息和公有属性信息中分别查找对应的安全类别信息;
将查找到的每个应用私有属性信息和公有属性信息中的安全类别信息的组合,作为该应用的安全类别信息;
根据每个应用的安全类别信息,确定在所述指定区域内,是否允许该应用的启动和运行。
36b、如19b所述的装置,所述装置位于通信层进一步包括:
网络传输加密模块,用于采用VPN建立专用网络,当所述工作区的应用程序进行网络访问时,将VPN服务器和移动端之间的通讯数据进行加密处理;和/或
外网访问控制模块,用于当所述工作区的应用程序访问外网时,对所述外网的URL进行检测;判定所述外网的URL存在访问风险,则禁止应用程序访问,并将所述外网URL添加至风险列表以用于后续判断。
如在说明书及权利要求当中使用了某些词汇来指称特定组件。本领域技术人员应可理解,硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求并不以名称的差异来作为区分组件的方式,而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求当中所提及的“包含”为一开放式用语,故应解释成“包含但不限定于”。“大致”是指在可接收的误差范围内,本领域技术人员能够在一定误差范围内解决所述技术问题,基本达到所述技术效果。此外,“耦接”一词在此包含任何直接及间接的电性耦接手段。因此,若文中描述一第一装置耦接于一第二装置,则代表所述第一装置可直接电性耦接于所述第二装置,或通过其他装置或耦接手段间接地电性耦接至所述第二装置。说明书后续描述为实施本申请的较佳实施方式,然所述描述乃以说明本申请的一般原则为目的,并非用以限定本申请的范围。本申请的保护范围当视所附权利要求所界定者为准。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的商品或者系统中还存在另外的相同要素。
上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (10)
1.一种终端数据保护的方法,其特征在于,位于硬件层执行,包括如下的步骤:
在终端中建立用于存储企业数据的工作区;
根据预设的加密算法在所述终端的TF卡对所述工作区存储数据进行加密;
当检测到数据访问请求时,获取所述数据访问请求的身份认证信息;
当判定所述身份认证信息通过认证,则接受所述数据访问请求。
2.如权利要求1所述的方法,其特征在于,位于应用层执行,所述方法进一步包括:
对终端的系统事件进行监测,判断所述系统事件是否符合预设的工作区规则;其中,所述系统事件包括:通话事件和短信事件;
当所述系统事件符合所述工作区规则时,在工作区空间内执行与所述系统事件对应的操作,将与所述操作相对应的数据加密并存储在所述工作区空间的数据库中。
3.如权利要求1所述的方法,其特征在于,位于操作系统层执行,所述方法进一步包括:
接收针对应用自由安装列表中列出的应用程序发起的安装请求,所述应用自由安装列表从服务器获取;
当确认配置有应用黑名单时,判断待安装的应用程序是否在所述应用黑名单中,如果是,则禁止所述应用程序的安装,否则,对所述应用程序进行安装;
当确认配置有应用白名单时,判断待安装的应用程序是否在所述应用白名单中,如果是,则对所述应用程序进行安装,否则,禁止所述应用软件的安装;其中,所述应用黑名单或应用白名单由服务器配置。
4.如权利要求1所述的方法,其特征在于,位于应用层执行,所述方法进一步包括:
接收服务器下发的所述移动端对应的基于地理位置的安全策略信息;其中,所述安全策略包括:在指定的地理区域范围内,关闭终端中至少一个特定的系统功能;在指定的地理区域范围内,禁止终端中至少一个特定的应用程序的启动和运行。
周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内;
若在,则执行所述安全策略。
5.如权利要求1所述的方法,其特征在于,位于通信层执行,所述方法进一步包括:
采用VPN建立专用网络,当所述工作区的应用程序进行网络访问时,将VPN服务器和移动端之间的通讯数据进行加密处理;和/或
当所述工作区的应用程序访问外网时,对所述外网的URL进行检测;
当判定所述外网的URL存在访问风险,则禁止应用程序访问,并将所述外网URL添加至风险列表以用于后续判断。
6.一种终端数据保护的装置,其特征在于,所述装置位于硬件层包括如下的模块:
建立模块,用于在终端中建立用于存储企业数据的工作区;
加密模块,用于根据预设的加密算法在所述终端的TF卡对所述工作区存储数据进行加密;
认证模块,用于当检测到数据访问请求时,获取所述数据访问请求的身份认证信息;
访问控制模块,用于当判定所述身份认证信息通过认证,则接受所述数据访问请求。
7.如权利要求6所述的装置,其特征在于,所述装置位于应用层进一步包括:
监测模块,用于对终端的系统事件进行监测,判断所述系统事件是否符合预设的工作区规则;其中,所述系统事件包括:通话事件和短信事件;
执行模块,用于当所述系统事件符合所述工作区规则时,在工作区空间内执行与所述系统事件对应的操作,将与所述操作相对应的数据加密并存储在所述工作区空间的数据库中。
8.如权利要求6所述的装置,其特征在于,所述装置位于操作系统层进一步包括:
接收模块,用于接收针对应用自由安装列表中列出的应用程序发起的安装请求,所述应用自由安装列表从服务器获取;
第一确认模块,用于当确认配置有应用黑名单时,判断待安装的应用程序是否在所述应用黑名单中,如果是,则禁止所述应用程序的安装,否则,对所述应用程序进行安装;
第二确认模块,用于当确认配置有应用白名单时,判断待安装的应用程序是否在所述应用白名单中,如果是,则对所述应用程序进行安装,否则,禁止所述应用软件的安装;其中,所述应用黑名单或应用白名单由服务器配置。
9.如权利要求6所述的装置,其特征在于,所述装置位于应用层进一步包括:
第二接收模块,用于接收服务器下发的所述移动端对应的基于地理位置的安全策略信息;其中,所述安全策略包括:在指定的地理区域范围内,关闭终端中至少一个特定的系统功能;在指定的地理区域范围内,禁止终端中至少一个特定的应用程序的启动和运行;
地理位置查看模块,用于周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内;
安全策略执行模块,用于当所述地理位置查看模块确定所述移动端在所述基于地理位置的安全策略信息指定的地理区域范围内时,执行所述安全策略。
10.如权利要求6所述的装置,其特征在于,所述装置位于通信层进一步包括:
网络传输加密模块,用于采用VPN建立专用网络,当所述工作区的应用程序进行网络访问时,将VPN服务器和移动端之间的通讯数据进行加密处理;和/或
外网访问控制模块,用于当所述工作区的应用程序访问外网时,对所述外网的URL进行检测;判定所述外网的URL存在访问风险,则禁止应用程序访问,并将所述外网URL添加至风险列表以用于后续判断。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610016234.4A CN105610671A (zh) | 2016-01-11 | 2016-01-11 | 一种终端数据保护的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610016234.4A CN105610671A (zh) | 2016-01-11 | 2016-01-11 | 一种终端数据保护的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105610671A true CN105610671A (zh) | 2016-05-25 |
Family
ID=55990216
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610016234.4A Pending CN105610671A (zh) | 2016-01-11 | 2016-01-11 | 一种终端数据保护的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105610671A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106022165A (zh) * | 2016-05-31 | 2016-10-12 | 宇龙计算机通信科技(深圳)有限公司 | 一种访问控制方法及装置 |
| CN106096452A (zh) * | 2016-06-24 | 2016-11-09 | 贵州万臻时代通讯技术有限公司 | 一种终端镜像备份的防盗方法及装置 |
| CN106101377A (zh) * | 2016-05-26 | 2016-11-09 | 深圳市金立通信设备有限公司 | 一种数据保护方法及终端 |
| CN106375997A (zh) * | 2016-08-22 | 2017-02-01 | 努比亚技术有限公司 | 一种终端管控装置、方法和终端 |
| CN106375332A (zh) * | 2016-09-23 | 2017-02-01 | 北京巨龟科技有限责任公司 | 网络安全浏览方法及装置 |
| CN107066889A (zh) * | 2017-04-25 | 2017-08-18 | 北京洋浦伟业科技发展有限公司 | 一种基于地理位置信息的数据访问控制方法与系统 |
| CN107358068A (zh) * | 2017-07-11 | 2017-11-17 | 安徽声讯信息技术有限公司 | 一种通过手机tf卡的移动芯片加密手机程序的方法 |
| CN107563221A (zh) * | 2017-09-04 | 2018-01-09 | 安徽爱她有果电子商务有限公司 | 一种用于加密数据库的认证解码安全管理系统 |
| CN108076458A (zh) * | 2016-11-15 | 2018-05-25 | 中国移动通信有限公司研究院 | 一种绑定tf密码卡的方法、装置及移动终端 |
| CN108197940A (zh) * | 2018-01-17 | 2018-06-22 | 武汉轻工大学 | 移动终端的支付请求响应方法、移动终端及可读存储介质 |
| CN108270741A (zh) * | 2016-12-30 | 2018-07-10 | 北京润信恒达科技有限公司 | 移动终端认证方法及系统 |
| CN108270601A (zh) * | 2016-12-30 | 2018-07-10 | 中兴通讯股份有限公司 | 移动终端、告警信息获取、告警信息发送方法及装置 |
| CN112631967A (zh) * | 2020-12-18 | 2021-04-09 | 北京中电华大电子设计有限责任公司 | 一种大容量tf-sim卡及其通信方法 |
| CN112948874A (zh) * | 2021-02-10 | 2021-06-11 | 上海凯馨信息科技有限公司 | 一种密态数据访问方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051456A (zh) * | 2012-12-25 | 2013-04-17 | 北京大唐智能卡技术有限公司 | 一种管理智能sd卡内应用程序的方法及系统 |
| CN103164350A (zh) * | 2011-12-16 | 2013-06-19 | 国民技术股份有限公司 | 一种sd卡装置及分区域访问sd卡的方法 |
| CN103647784A (zh) * | 2013-12-20 | 2014-03-19 | 北京奇虎科技有限公司 | 一种公私隔离的方法和装置 |
| CN103646215A (zh) * | 2013-12-23 | 2014-03-19 | 北京奇虎科技有限公司 | 一种应用程序的安装控制方法、相关系统及装置 |
| CN103647785A (zh) * | 2013-12-20 | 2014-03-19 | 北京奇虎科技有限公司 | 一种移动终端安全的控制方法、装置及系统 |
| CN103685266A (zh) * | 2013-12-10 | 2014-03-26 | 北京奇虎科技有限公司 | 企业数据的保护方法和装置 |
| CN104462997A (zh) * | 2014-12-04 | 2015-03-25 | 北京奇虎科技有限公司 | 一种保护移动终端上工作数据的方法、装置和系统 |
| US20150326513A1 (en) * | 2014-05-07 | 2015-11-12 | Mitake Information Corporation | Message transmission system and method suitable for individual and organization |
-
2016
- 2016-01-11 CN CN201610016234.4A patent/CN105610671A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103164350A (zh) * | 2011-12-16 | 2013-06-19 | 国民技术股份有限公司 | 一种sd卡装置及分区域访问sd卡的方法 |
| CN103051456A (zh) * | 2012-12-25 | 2013-04-17 | 北京大唐智能卡技术有限公司 | 一种管理智能sd卡内应用程序的方法及系统 |
| CN103685266A (zh) * | 2013-12-10 | 2014-03-26 | 北京奇虎科技有限公司 | 企业数据的保护方法和装置 |
| CN103647784A (zh) * | 2013-12-20 | 2014-03-19 | 北京奇虎科技有限公司 | 一种公私隔离的方法和装置 |
| CN103647785A (zh) * | 2013-12-20 | 2014-03-19 | 北京奇虎科技有限公司 | 一种移动终端安全的控制方法、装置及系统 |
| CN103646215A (zh) * | 2013-12-23 | 2014-03-19 | 北京奇虎科技有限公司 | 一种应用程序的安装控制方法、相关系统及装置 |
| US20150326513A1 (en) * | 2014-05-07 | 2015-11-12 | Mitake Information Corporation | Message transmission system and method suitable for individual and organization |
| CN104462997A (zh) * | 2014-12-04 | 2015-03-25 | 北京奇虎科技有限公司 | 一种保护移动终端上工作数据的方法、装置和系统 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106101377A (zh) * | 2016-05-26 | 2016-11-09 | 深圳市金立通信设备有限公司 | 一种数据保护方法及终端 |
| CN106022165A (zh) * | 2016-05-31 | 2016-10-12 | 宇龙计算机通信科技(深圳)有限公司 | 一种访问控制方法及装置 |
| CN106096452B (zh) * | 2016-06-24 | 2019-06-25 | 贵州万臻时代通讯技术有限公司 | 一种终端镜像备份的防盗方法及装置 |
| CN106096452A (zh) * | 2016-06-24 | 2016-11-09 | 贵州万臻时代通讯技术有限公司 | 一种终端镜像备份的防盗方法及装置 |
| CN106375997A (zh) * | 2016-08-22 | 2017-02-01 | 努比亚技术有限公司 | 一种终端管控装置、方法和终端 |
| CN106375332A (zh) * | 2016-09-23 | 2017-02-01 | 北京巨龟科技有限责任公司 | 网络安全浏览方法及装置 |
| CN108076458A (zh) * | 2016-11-15 | 2018-05-25 | 中国移动通信有限公司研究院 | 一种绑定tf密码卡的方法、装置及移动终端 |
| CN108270741A (zh) * | 2016-12-30 | 2018-07-10 | 北京润信恒达科技有限公司 | 移动终端认证方法及系统 |
| CN108270601A (zh) * | 2016-12-30 | 2018-07-10 | 中兴通讯股份有限公司 | 移动终端、告警信息获取、告警信息发送方法及装置 |
| CN108270741B (zh) * | 2016-12-30 | 2021-02-12 | 北京润信恒达科技有限公司 | 移动终端认证方法及系统 |
| CN107066889A (zh) * | 2017-04-25 | 2017-08-18 | 北京洋浦伟业科技发展有限公司 | 一种基于地理位置信息的数据访问控制方法与系统 |
| CN107358068A (zh) * | 2017-07-11 | 2017-11-17 | 安徽声讯信息技术有限公司 | 一种通过手机tf卡的移动芯片加密手机程序的方法 |
| CN107358068B (zh) * | 2017-07-11 | 2020-11-06 | 安徽声讯信息技术有限公司 | 一种通过手机tf卡的移动芯片加密手机程序的方法 |
| CN107563221A (zh) * | 2017-09-04 | 2018-01-09 | 安徽爱她有果电子商务有限公司 | 一种用于加密数据库的认证解码安全管理系统 |
| CN108197940A (zh) * | 2018-01-17 | 2018-06-22 | 武汉轻工大学 | 移动终端的支付请求响应方法、移动终端及可读存储介质 |
| CN112631967A (zh) * | 2020-12-18 | 2021-04-09 | 北京中电华大电子设计有限责任公司 | 一种大容量tf-sim卡及其通信方法 |
| CN112631967B (zh) * | 2020-12-18 | 2023-12-26 | 北京中电华大电子设计有限责任公司 | 一种大容量tf-sim卡及其通信方法 |
| CN112948874A (zh) * | 2021-02-10 | 2021-06-11 | 上海凯馨信息科技有限公司 | 一种密态数据访问方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105610671A (zh) | 一种终端数据保护的方法及装置 | |
| Souppaya et al. | Guidelines for managing the security of mobile devices in the enterprise | |
| Pell et al. | Your secret stingray's no secret anymore: The vanishing government monopoly over cell phone surveillance and its impact on national security and consumer privacy | |
| EP2742710B1 (en) | Method and apparatus for providing a secure virtual environment on a mobile device | |
| CN102227734B (zh) | 用于保护机密文件的客户端计算机和其服务器计算机以及其方法 | |
| Souppaya et al. | Guide to enterprise telework, remote access, and bring your own device (BYOD) security | |
| CN105830477A (zh) | 集成操作系统的域管理 | |
| CN103793960A (zh) | 用于移动钥匙服务的方法 | |
| CN100353787C (zh) | 一种移动终端内存储的资料信息的安全保障方法 | |
| CN106231115A (zh) | 一种信息保护方法及终端 | |
| CN110719203A (zh) | 智能家居设备的操作控制方法、装置、设备及存储介质 | |
| EP3200084A1 (en) | Data reading/writing method of dual-system terminal and dual-system terminal | |
| WO2017166362A1 (zh) | 一种esim号码的写入方法、安全系统、esim号码服务器及终端 | |
| CN104427089A (zh) | 移动终端及移动终端权限管理方法 | |
| CN101449549A (zh) | 认证基站路由器中的防窜改模块 | |
| CN102457766A (zh) | 一种网络电视的访问权限验证方法 | |
| CN107358097A (zh) | 一种在开放性环境中计算机信息安全防护的方法及系统 | |
| CN105162763A (zh) | 通讯数据的处理方法和装置 | |
| JP2006228139A (ja) | セキュリティ管理システム | |
| CN101262669B (zh) | 一种移动终端内存储的资料信息的安全保障方法 | |
| Souppaya et al. | User’s Guide to Telework and Bring Your Own Device (BYOD) Security | |
| JP2009015766A (ja) | ユーザ端末、アクセス管理システム、アクセス管理方法、およびプログラム | |
| EP2709333A1 (en) | Method and devices for data leak protection | |
| Androulidakis et al. | Industrial espionage and technical surveillance counter measurers | |
| JP2009081487A (ja) | セキュリティ端末装置、コンピュータプログラムおよび情報通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160525 |