CN106357455B - 一种控制应用访问网络的方法和系统 - Google Patents
一种控制应用访问网络的方法和系统 Download PDFInfo
- Publication number
- CN106357455B CN106357455B CN201610887487.9A CN201610887487A CN106357455B CN 106357455 B CN106357455 B CN 106357455B CN 201610887487 A CN201610887487 A CN 201610887487A CN 106357455 B CN106357455 B CN 106357455B
- Authority
- CN
- China
- Prior art keywords
- network
- control
- module
- control strategy
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种控制应用访问网络的方法和系统,其中所述方法包括:使企业移动管理EMM客户端接收或拉取应用访问网络的管控策略;响应于满足所述管控策略包含的条件,使EMM客户端将所述管控策略包含的网络管控参数传给网络权限控制模块;所述网络权限控制模块调用底层的网络模块接口并将所述网络管控参数传入所述网络模块;所述网络模块根据所述网络管控参数生成防火墙规则并将所述防火墙规则写入系统内核。本发明可按需灵活控制移动设备应用对网络的访问,提高安全性和工作效率。
Description
技术领域
本申请涉及网络接入限制领域,尤其涉及一种控制应用访问网络的方法和系统。
背景技术
随着移动设备的飞速发展,智能手机、平板电脑等移动设备在企业中的使用也越来越广泛。如何对移动设备进行集中管理和控制,是目前企业管理诸多问题中比较关键的一个问题。EMM(企业移动管理)系统的产生,很好的解决了企业的这个难题。EMM是当前企业在移动信息化运营过程中,可以借助的重要管理平台,从而可完成对企业应用的部署、管控。前面所称管理平台,是管理员管理和操作EMM系统的操作界面,属于服务器端的一部分。
然而,移动设备的普及使人们更方便地使用互联网,但是在很多情况下需要限制使用网络,比如在涉密的场所;再比如,在召开重要会议时,如果大家在会议期间通过微信、QQ等使用网络,非常影响会议的质量和效果。面对这种情况,如何灵活的控制应用使用网络的问题,摆在我们面前。
对于限制使用网络,一般是关闭WiFi热点、屏蔽信号,但是这种解决方法是“一刀切”的办法,可以解决一部分情况;但是在移动终端上的某些应用需要上网,而要限制其他应用上网的情况,上面的解决办法就不可行了。
发明内容
本申请的目标在于提供一种灵活控制移动设备上的应用访问网络的方法和系统。
本申请的目标由一种控制应用访问网络的方法实现,该方法包括:
使企业移动管理EMM客户端接收或拉取应用访问网络的管控策略;
响应于满足所述管控策略包含的条件,使EMM客户端将所述管控策略包含的网络管控参数传给网络权限控制模块;
所述网络权限控制模块调用底层的网络模块接口并将所述网络管控参数传入所述网络模块;
所述网络模块根据所述网络管控参数生成防火墙规则并将所述防火墙规则写入系统内核。
根据本申请方法的一方面,该方法还包括:
所述EMM客户端在接收或拉取所述管控策略之后,验证所述管控策略是否是分发给所述EMM客户端所在设备的管控策略。
根据本申请方法的一方面,该方法还包括:
所述网络权限控制模块在接收到所述网络管控参数之后,对所述网络管控参数进行合法性校验。
根据本申请方法的一方面,该方法还包括:
响应于所述管控策略包含的条件不再被满足,解除所述管控策略对应的管控。
本申请的目标还由一种控制应用访问网络的系统实现,该系统包括:
策略接收模块,用于使企业移动管理EMM客户端接收或拉取应用访问网络的管控策略;
网络权限控制模块接口调用模块,用于响应于满足所述管控策略包含的条件,使EMM客户端将所述管控策略包含的网络管控参数传给网络权限控制模块;
网络模块接口调用模块,用于使所述网络权限控制模块调用底层的网络模块接口并将所述网络管控参数传入所述网络模块;
防火墙规则生成模块,用于使所述网络模块根据所述网络管控参数生成防火墙规则并将所述防火墙规则写入系统内核。
本发明通过EMM服务器配置相应的管控策略,然后把管控策略下发到移动终端,移动终端上的EMM客户端接收管控策略后,调用网络权限控制模块接口完成相关设置,从而实现根据管控者的配置灵活管控移动终端的目的。管控策略可根据需要灵活配置。
例如,管理员首先根据需要,比如会议场景或者保密场景,梳理需求,配置管控策略,这里的管控策略是针对具体的一个或多个应用,同时可以包含地理位置、时间规则,以及WiFi和移动数据等网络通道等配置;然后下发管控策略给具体的管控对象,如进入第一会议室的移动设备等。移动设备接收到该管控策略后,会自动的执行。
本发明实现了基于应用的细粒度管控,同时配置灵活的特性可以满足多种使用场景,从而解决了企业信息化过程中遇到的基于应用的细粒度的上网管控问题。
附图说明
本发明将在下面参考附图并结合优选实施例进行更完全地说明。
图1为根据本发明方法的一实施例的流程图。
图2为根据本发明系统的一实施例的结构示意图。
为清晰起见,这些附图均为示意性及简化的图,它们只给出了对于理解本发明所必要的细节,而省略其他细节。
具体实施方式
通过下面给出的详细描述,本发明的适用范围将显而易见。然而,应当理解,在详细描述和具体例子表明本发明优选实施例的同时,它们仅为说明目的给出。
图1示出了根据本发明方法一实施例的流程图,该方法用于控制移动设备上的应用访问网络,该方法包括:在步骤S10,使移动设备上的EMM客户端从EMM服务器接收或拉取应用访问网络的管控策略。该管控策略由企业的管理员根据需要进行配置。管控策略可包括下列内容:
1、管控应用列表:列出具体管控的应用列表,接受管控的应用可以是一个,也可以是多个。
2、网络通道:WiFi管控和移动数据管控,与具体的应用相关,可以灵活组合。其中,WiFi管控,例如禁止通过WiFi上网,也可以配置成允许通过WiFi上网。移动数据管控,例如禁止通过移动数据上网,也可以配置成允许通过移动数据上网。移动数据是指4G、3G、2G等网络连接类型。
3、附加规则:本说明书中的附加规则是指对上网应用管控的条件。有了附加规则的限制,使管控更灵活方便。附加规则可以根据需要选择下面的一个或多个。
1)时间规则:根据时间段来配置管控策略,例如2016/5/27 10:00-11:00,在这个时间段内接受管控;例如,根据某一天或者某几天管控,比如周一到周五等;
2)位置规则:位置信息可以是GPS定位、通信基站等;
3)标签规则:标签可以表示具体的会议室、办公大楼如第一会议室或者符合某个规则的集合如非工作日。
例如,如果有下列需求:在第一会议室里面的所有受控的移动设备,在规定的时间内(2016/5/27 10:00-11:00),APP1和APP2不能使用WiFi和移动数据网络。
根据上述的管控需求,可以配置如下管控策略:
-管控应用:APP1、APP2;
-网络通道:微信,禁止WiFi、禁止移动数据;
QQ,禁止WiFi、禁止移动数据;
-附加规则:时间规则,2016/5/27 10:00-11:00
标签规则,第一会议室
在EMM客户端接收到管控策略之后,当管控策略包含的条件被满足时,在上面的例子中,即当时间为2016/5/27 10:00且地点在第一会议室时,处理进行到步骤S20,EMM客户端在系统中作为系统服务将所述管控策略包含的网络管控参数传给网络权限控制模块。在此,网络管控参数包括管控的应用ID和各应用对应的管控网络通道类型如wifi或者移动数据等。之后,处理进行到步骤S30,网络权限控制模块在接收到所述网络管控参数之后,对所述网络管控参数进行合法性校验。如果校验通过,则处理进行到步骤S40,网络权限控制模块调用底层的网络模块接口并将所述网络管控参数传入所述网络模块。这里,EMM客户端不能直接调用网络模块接口,是因为网络模块是属于底层的接口,没有提供对外的接口调用方式。要想调用网络模块接口,必须通过网络权限控制模块的API调用来实现。之后,在步骤S50,网络模块根据所述网络管控参数生成防火墙规则并将所述防火墙规则写入系统内核,实现对应用访问网络的管控。如果在步骤S30,合法性校验未通过,则处理结束。
在其它实施例中,除图1所示实施例所包含的步骤之外,还可包括下述一个或多个步骤。例如,EMM客户端在接收或拉取所述管控策略之后,还包括验证所述管控策略是否是分发给EMM客户端所在设备的管控策略。在实施例中,验证包括将所述管控策略包分发协议中包含的目的地设备ID与本地设备ID进行比较。如果二者相等,则是分发给EMM客户端所在的设备,然后可继续执行步骤S20;否则,处理结束。又例如,响应于所述管控策略包含的条件不再被满足,解除所述管控策略对应的管控。具体地讲,例如在上面的例子中,当时间超过2016/5/27 11:00或者当移动设备不再处于第一会议室时,则表明不再满足管控策略包含的条件,此时应解除管控策略对应的管控。解除管控所执行的处理与步骤S20-S50类似,但在传输的网络管控参数中,禁止/限制访问网络的权限改变为开启相应的网络访问权限。例如,10:00-11:00时间内不允许应用app1使用网络,那么EMM客户端在10:00时调用网络权限控制模块接口,关闭应用app1的网络访问权限。在11:00时,调用网络权限控制模块接口,开启应用app1的网络访问权限。
图2示出了根据本发明的控制应用访问网络的系统的一实施例的结构示意图,该系统包括:策略接收模块10,用于使企业移动管理EMM客户端接收或拉取应用访问网络的管控策略;验证模块20,用于使所述EMM客户端在接收或拉取所述管控策略之后,验证所述管控策略是否是分发给所述EMM客户端所在设备的管控策略;网络权限控制模块接口调用模块30,用于响应于满足所述管控策略包含的条件,使EMM客户端将所述管控策略包含的网络管控参数传给网络权限控制模块;校验模块40,用于使所述网络权限控制模块在接收到所述网络管控参数之后,对所述网络管控参数进行合法性校验;网络模块接口调用模块50,用于使所述网络权限控制模块调用底层的网络模块接口并将所述网络管控参数传入所述网络模块;防火墙规则生成模块60,用于使所述网络模块根据所述网络管控参数生成防火墙规则并将所述防火墙规则写入系统内核;解除模块70,响应于所述管控策略包含的条件不再被满足,解除所述管控策略对应的管控。
除非明确指出,在此所用的单数形式“一”、“该”均包括复数含义(即具有“至少一”的意思)。应当进一步理解,说明书中使用的术语“具有”、“包括”和/或“包含”表明存在所述的特征、步骤、操作、元件和/或部件,但不排除存在或增加一个或多个其他特征、步骤、操作、元件、部件和/或其组合。如在此所用的术语“和/或”包括一个或多个列举的相关项目的任何及所有组合。除非明确指出,在此公开的任何方法的步骤不必精确按照所公开的顺序执行。
一些优选实施例已经在前面进行了说明,但是应当强调的是,本发明不局限于这些实施例,而是可以本发明主题范围内的其它方式实现。
Claims (10)
1.一种控制应用访问网络的方法,其特征在于,所述方法包括:
使企业移动管理EMM客户端接收或拉取应用访问网络的管控策略;
响应于满足所述管控策略包含的条件,使EMM客户端将所述管控策略包含的网络管控参数传给网络权限控制模块;
所述网络权限控制模块调用底层的网络模块接口并将所述网络管控参数传入所述网络模块;
所述网络模块根据所述网络管控参数生成防火墙规则并将所述防火墙规则写入系统内核。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述EMM客户端在接收或拉取所述管控策略之后,验证所述管控策略是否是分发给所述EMM客户端所在设备的管控策略。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述网络权限控制模块在接收到所述网络管控参数之后,对所述网络管控参数进行合法性校验。
4.根据权利要求2所述的方法,其特征在于,所述验证包括将所述管控策略包分发协议中包含的目的地设备ID与本地设备ID进行比较。
5.根据权利要求1或2所述的方法,其特征在于,所述网络管控参数至少包括管控的应用列表和网络通道。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于所述管控策略包含的条件不再被满足,解除所述管控策略对应的管控。
7.一种控制应用访问网络的系统,其特征在于,所述系统包括:
策略接收模块,用于使企业移动管理EMM客户端接收或拉取应用访问网络的管控策略;
网络权限控制模块接口调用模块,用于响应于满足所述管控策略包含的条件,使EMM客户端将所述管控策略包含的网络管控参数传给网络权限控制模块;
网络模块接口调用模块,用于使所述网络权限控制模块调用底层的网络模块接口并将所述网络管控参数传入所述网络模块;
防火墙规则生成模块,用于使所述网络模块根据所述网络管控参数生成防火墙规则并将所述防火墙规则写入系统内核。
8.根据权利要求7所述的系统,其特征在于,所述系统还包括:
验证模块,用于使所述EMM客户端在接收或拉取所述管控策略之后,验证所述管控策略是否是分发给所述EMM客户端所在设备的管控策略。
9.根据权利要求7或8所述的系统,其特征在于,所述系统还包括:
校验模块,用于使所述网络权限控制模块在接收到所述网络管控参数之后,对所述网络管控参数进行合法性校验。
10.根据权利要求7或8所述的系统,其特征在于,所述系统还包括:
解除模块,响应于所述管控策略包含的条件不再被满足,解除所述管控策略对应的管控。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610887487.9A CN106357455B (zh) | 2016-10-11 | 2016-10-11 | 一种控制应用访问网络的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610887487.9A CN106357455B (zh) | 2016-10-11 | 2016-10-11 | 一种控制应用访问网络的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106357455A CN106357455A (zh) | 2017-01-25 |
| CN106357455B true CN106357455B (zh) | 2019-10-25 |
Family
ID=57866472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610887487.9A Active CN106357455B (zh) | 2016-10-11 | 2016-10-11 | 一种控制应用访问网络的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106357455B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107493288B (zh) * | 2017-08-28 | 2020-11-24 | 深圳市新国都支付技术有限公司 | 基于Android版POS的应用网络安全控制方法及装置 |
| CN110597548A (zh) * | 2019-08-16 | 2019-12-20 | 天闻数媒科技(北京)有限公司 | 一种平板电脑上应用软件管控的方法与装置 |
| CN111245805A (zh) * | 2020-01-06 | 2020-06-05 | 北京元心科技有限公司 | 一种基于emm生成管控策略的方法、终端设备、服务端及系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101420773A (zh) * | 2008-12-12 | 2009-04-29 | 南京大学 | 传感器网络操作系统自保护系统 |
| CN103034799A (zh) * | 2012-12-14 | 2013-04-10 | 南京中孚信息技术有限公司 | 一种内核级的桌面访问控制方法 |
| CN103416040A (zh) * | 2012-08-29 | 2013-11-27 | 华为终端有限公司 | 终端控制方法和装置、以及终端 |
| CN103971067A (zh) * | 2014-05-30 | 2014-08-06 | 中国人民解放军国防科学技术大学 | 支持核内外实体的操作系统内核统一访问控制方法 |
| CN103973689A (zh) * | 2014-05-12 | 2014-08-06 | 浪潮电子信息产业股份有限公司 | 一种使用移动设备对集群管理的方法 |
| CN104009872A (zh) * | 2014-06-09 | 2014-08-27 | 中国联合网络通信集团有限公司 | 一种业务访问管控方法、系统、终端及运营商策略服务器 |
| CN104133726A (zh) * | 2014-08-13 | 2014-11-05 | 浪潮电子信息产业股份有限公司 | 一种进程上下文强制访问控制方法 |
| CN105471840A (zh) * | 2015-11-12 | 2016-04-06 | 中国建设银行股份有限公司 | 一种大型企业网环境下终端管理系统 |
| CN105554005A (zh) * | 2015-12-24 | 2016-05-04 | 北京奇虎科技有限公司 | 企业网络安全管理方法、装置、系统和安全网关 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006044820A2 (en) * | 2004-10-14 | 2006-04-27 | Aventail Corporation | Rule-based routing to resources through a network |
-
2016
- 2016-10-11 CN CN201610887487.9A patent/CN106357455B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101420773A (zh) * | 2008-12-12 | 2009-04-29 | 南京大学 | 传感器网络操作系统自保护系统 |
| CN103416040A (zh) * | 2012-08-29 | 2013-11-27 | 华为终端有限公司 | 终端控制方法和装置、以及终端 |
| CN103034799A (zh) * | 2012-12-14 | 2013-04-10 | 南京中孚信息技术有限公司 | 一种内核级的桌面访问控制方法 |
| CN103973689A (zh) * | 2014-05-12 | 2014-08-06 | 浪潮电子信息产业股份有限公司 | 一种使用移动设备对集群管理的方法 |
| CN103971067A (zh) * | 2014-05-30 | 2014-08-06 | 中国人民解放军国防科学技术大学 | 支持核内外实体的操作系统内核统一访问控制方法 |
| CN104009872A (zh) * | 2014-06-09 | 2014-08-27 | 中国联合网络通信集团有限公司 | 一种业务访问管控方法、系统、终端及运营商策略服务器 |
| CN104133726A (zh) * | 2014-08-13 | 2014-11-05 | 浪潮电子信息产业股份有限公司 | 一种进程上下文强制访问控制方法 |
| CN105471840A (zh) * | 2015-11-12 | 2016-04-06 | 中国建设银行股份有限公司 | 一种大型企业网环境下终端管理系统 |
| CN105554005A (zh) * | 2015-12-24 | 2016-05-04 | 北京奇虎科技有限公司 | 企业网络安全管理方法、装置、系统和安全网关 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106357455A (zh) | 2017-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2018220050B2 (en) | Enforcing policies based on information received from external systems | |
| CN102047214B (zh) | 具有对用户接口的前台访问的确定性控制的无线通信装置 | |
| US8369832B2 (en) | Systems and methods for managing information in mobile devices | |
| US7889684B2 (en) | Method for managing a terminal device | |
| EP2975802B1 (en) | Device and method for executing an application | |
| US20130111545A1 (en) | Privacy Management for Subscriber Data | |
| CN106663165B (zh) | 移动设备业务拆分器 | |
| CN106302927A (zh) | 双向号码隐藏的语音通话平台 | |
| CN103246533B (zh) | 一种在通讯录中添加插件的方法、装置和设备 | |
| CN106357455B (zh) | 一种控制应用访问网络的方法和系统 | |
| CN111797173B (zh) | 联盟链共享系统、方法、装置、电子设备及存储介质 | |
| CN108989189A (zh) | 一种基于企业微信的消息推送方法 | |
| CN106559591A (zh) | 基于呼叫转移实现的手机终端通话方法及装置 | |
| US8942673B2 (en) | Method and apparatus for providing cellphone service from any device | |
| US20110196953A1 (en) | Contact manager method and system | |
| CN112671571A (zh) | 网络切片的选择方法、装置、设备及存储介质 | |
| RU2684574C1 (ru) | Система, способ и устройство для изменения ассоциации взаимосвязи между mcptt пользователем и mcptt группой | |
| US20220277272A1 (en) | Secured attachment management | |
| CN114757634A (zh) | 一种便捷式的高度集成移动办公PaaS平台 | |
| EP2385726A1 (en) | Apparatus and method for controlling amount of concurrent calls | |
| CN105404822A (zh) | 一种访问权限管理方法及访问权限管理系统 | |
| KR20180055687A (ko) | 커스터마이즈 어플리케이션을 생성하는 방법 및 그 서버 장치 | |
| CN103392322B (zh) | 用于通信的方法和通信网络中的部件 | |
| CN105871677A (zh) | 应用间共享vpn服务的方法及装置 | |
| CN107094265B (zh) | 一种优化直播移动端用户关注操作的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210126 Address after: 101300 room 153, 1 / F, building 17, 16 Caixiang East Road, Nancai Town, Shunyi District, Beijing Patentee after: Yuanxin Information Technology Group Co.,Ltd. Address before: 100176 room 2222, building D, building 33, 99 Kechuang 14th Street, Beijing Economic and Technological Development Zone, Daxing District, Beijing Patentee before: BEIJING YUANXIN SCIENCE & TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20170125 Assignee: Beijing Yuanxin Junsheng Technology Co.,Ltd. Assignor: Yuanxin Information Technology Group Co.,Ltd. Contract record no.: X2021110000018 Denomination of invention: A method and system for controlling application access to network Granted publication date: 20191025 License type: Common License Record date: 20210531 |
|
| EE01 | Entry into force of recordation of patent licensing contract |