CN106375997A - 一种终端管控装置、方法和终端 - Google Patents
一种终端管控装置、方法和终端 Download PDFInfo
- Publication number
- CN106375997A CN106375997A CN201610704207.6A CN201610704207A CN106375997A CN 106375997 A CN106375997 A CN 106375997A CN 201610704207 A CN201610704207 A CN 201610704207A CN 106375997 A CN106375997 A CN 106375997A
- Authority
- CN
- China
- Prior art keywords
- terminal
- card
- authentication
- management
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0625—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明公开了一种终端管控装置、方法和终端,该装置包括:检测模块、认证模块和管控模块。检测模块,用于终端开启时检测终端中是否已插入可便携式记忆卡TF卡。认证模块,用于当检测到终端中已插入TF卡时,对终端中已插入的TF卡和客户识别模块SIM卡进行鉴权认证。管控模块,用于根据认证结果对终端进行管控。通过本发明实施例方案,能够对终端的通讯、上网等功能实施管控,避免通过终端造成信息泄密。
Description
技术领域
本发明涉及终端应用领域,尤其涉及一种终端管控装置、方法和终端。
背景技术
随着智能终端和通信技术的飞速发展,人们的日常生活已越来越多地承载在终端上,终端应用为人们带来多种多样的便利和娱乐,可以和家人朋友实时地共享照片和视频等等。
然而,对于某些使用人群或场景来说,终端的实时共享性是具有一定安全隐患的,特别是针对一些公司保密项目及军方项目等,这就要求能够在某些特定场景下,对终端的通讯、上网等功能实施安全管控,避免通过终端造成信息泄密。目前,相关技术中对于这一问题还没有有效的解决方案。
发明内容
本发明的主要目的在于提出了一种终端管控装置、方法和终端,能够对终端的通讯、上网等功能实施管控,避免通过终端造成信息泄密。
为实现上述目的,本发明提供了一种终端管控装置,该装置包括:检测模块、认证模块和管控模块。
检测模块,用于在终端开启时检测终端中是否已插入可便携式记忆卡TF卡。
认证模块,用于当检测到终端中已插入TF卡时,对终端中已插入的TF卡和客户识别模块SIM卡进行鉴权认证。
管控模块,用于根据认证结果对终端进行管控。
可选地,管控模块还用于:当检测到终端中未插入TF卡时,在预设的第一时间内关闭终端。
可选地,该装置还包括:绑定模块。
绑定模块,用于预先将TF卡和SIM卡进行绑定;其中,一张TF卡对应一张SIM卡,只有通过绑定的TF卡和SIM卡能够鉴权认证成功。
可选地,认证模块对终端中已插入的TF卡和SIM卡进行鉴权认证包括:
获取终端中已插入的TF卡的第一信息和终端中已插入的SIM卡的第二信息。
根据获取的第一信息和第二信息通过预设的鉴权算法对TF卡和SIM卡进行鉴权运算。
根据鉴权运算的结果确定鉴权认证是否成功。
可选地,
第一信息包括:TF卡身份识别ID。
第二信息包括:SIM卡的集成电路卡识别码ICCID和/或国际移动用户识别码IMSI。
预设的鉴权算法包括:三重数据加密算法3DES算法、消息摘要算法第五版MD5算法、SM3算法和哈希算法。
可选地,认证模块还用于:
当终端中初次插入相互绑定的TF卡和SIM卡时,根据预设的鉴权算法对TF卡和SIM卡进行初次鉴权运算,获得并保存第一鉴权运算结果。
可选地,认证模块根据鉴权运算的结果确定鉴权认证是否成功包括:
将鉴权运算获得的鉴权运算结果与保存的第一鉴权运算结果相比较。
当获得的鉴权运算结果与第一鉴权运算结果相同时,确定鉴权认证成功。
当获得的鉴权运算结果与第一鉴权运算结果不相同时,确定鉴权认证失败。
可选地,管控模块根据鉴权运算结果对终端进行管控包括:
当确认鉴权认证成功时,允许终端进行通讯和/或上网操作。
当确认鉴权认证失败时,禁止终端进行通讯和/或上网操作。
可选地,所述通讯操作包括打电话、发短信以及数据交互业务。
可选地,管控模块允许终端进行通讯操作和/或上网包括:获取预先设置的与不同的TF卡相对应的权限级别;允许该终端开启与当前TF卡的权限级别相匹配的通讯和/或上网功能。
可选地,禁止终端进行通讯和/或上网操作的方式包括:
通过将终端调节到飞行模式禁止终端的通讯功能,和/或通过关闭调制解调器禁止终端的上网功能。
可选地,
检测模块,还用于检测终端的当前位置。
管控模块,还用于当检测模块检测到当前位置不在预设的管控范围内时,关机和/或删除终端中上一次鉴权认证成功后创建的全部文件数据。
可选地,该装置还包括控制模块。
控制模块,用于通过预设的核心卡对终端管控功能进行开启或关闭;其中,核心卡是具有管理功能的TF卡,所述核心卡的权限级别高于不具有管理功能的TF卡的权限级别。
可选地,该装置还包括:判断模块。
判断模块,用于当检测到终端中已插入TF卡时,在对终端中已插入的TF卡和SIM卡进行鉴权认证之前,判断TF卡是否为核心卡。
控制模块,还用于当判定TF卡是核心卡时,通过该核心卡启动终端管控功能;并设置与终端中的SIM卡相对应的管控方式和权限内容。
认证模块,还用于当判定TF卡不是核心卡时,对终端中已插入的TF卡和SIM卡进行鉴权认证。
为实现上述目的,本发明还提供了一种终端管控方法,该方法包括:
在终端开启时检测终端中是否已插入可便携式记忆卡TF卡。
当检测到终端中已插入TF卡时,对终端中已插入的TF卡和SIM卡进行鉴权认证。
根据认证结果对终端进行管控。
可选地,该方法还包括:当检测到终端中未插入TF卡时,在预设的第一时间内关闭终端。
可选地,该方法还包括:预先将TF卡和SIM卡进行绑定;其中,一张TF卡对应一张SIM卡,只有通过绑定的TF卡和SIM卡能够鉴权认证成功。
可选地,对终端中已插入的TF卡和SIM卡进行鉴权认证包括:
获取终端中已插入的TF卡的第一信息和终端中已插入的SIM卡的第二信息。
根据获取的第一信息和第二信息通过预设的鉴权算法对该TF卡和SIM卡进行鉴权运算。
根据鉴权运算的结果确定鉴权认证是否成功。
可选地,
第一信息包括:TF卡ID。
第二信息包括:SIM卡的ICCID和/或IMSI。
预设的鉴权算法包括:3DES算法、MD5算法、SM3算法和哈希算法。
可选地,该方法还包括:
当终端中初次插入相互绑定的TF卡和SIM卡时,根据预设的鉴权算法对该TF卡和SIM卡进行初次鉴权运算,获得并保存第一鉴权运算结果。
可选地,根据鉴权运算的结果确定鉴权认证是否成功包括:
将鉴权运算获得的鉴权运算结果与保存的第一鉴权运算结果相比较。
当获得的鉴权运算结果与第一鉴权运算结果相同时,确定鉴权认证成功。
当获得的鉴权运算结果与第一鉴权运算结果不相同时,确定鉴权认证失败。
可选地,根据鉴权运算结果对终端进行管控包括:
当确认鉴权认证成功时,允许终端进行通讯和/或上网操作;
当确认鉴权认证失败时,禁止终端进行通讯和/或上网操作。
可选地,通讯操作包括打电话、发短信以及数据交互业务。
可选地,允许终端进行通讯和/或上网操作包括:获取预先设置的与不同的TF卡相对应的权限级别;允许该终端开启与当前TF卡的权限级别相匹配的通讯和/或上网功能。
可选地,禁止终端进行通讯和/或上网操作的方式包括:
通过将终端调节到飞行模式禁止终端的通讯功能,和/或通过关闭调制解调器禁止终端的上网功能。
可选地,该方法还包括:
检测终端的当前位置。
当检测到当前位置不在预设的管控范围内时,关机和/或删除终端中上一次鉴权认证成功后创建的全部文件数据。
可选地,该方法还包括:通过预设的核心卡对终端管控功能进行开启或关闭;其中,该核心卡是具有管理功能的TF卡,核心卡的权限级别高于不具有管理功能的TF卡的权限级别。
可选地,该方法还包括:
当检测到终端中已插入TF卡时,在对终端中已插入的TF卡和SIM卡进行鉴权认证之前,判断TF卡是否为核心卡。
当判定TF卡是核心卡时,通过核心卡启动终端管控功能;并设置与终端中的SIM卡相对应的管控方式和权限内容。
当判定TF卡不是核心卡时,对终端中已插入的TF卡和SIM卡进行鉴权认证。
为实现上述目的,本发明还提供了一种终端,包括所述的终端管控装置。
本发明提出的终端管控装置包括:检测模块、认证模块和管控模块。检测模块,用于终端开启时检测终端中是否已插入可便携式记忆卡TF卡。认证模块,用于当检测到终端中已插入TF卡时,对终端中已插入的TF卡和客户识别模块SIM卡进行鉴权认证。管控模块,用于根据认证结果对终端进行管控。通过本发明实施例方案,能够对终端的通讯、上网等功能实施管控,避免通过终端造成信息泄密。
附图说明
图1为实现本发明各个实施例一个可选的移动终端的硬件结构示意图;
图2为如图1所示的移动终端的无线通信系统示意图;
图3为本发明实施例的终端管控装置组成框图;
图4为本发明实施例的终端鉴权认证过程示意图;
图5为本发明实施例的终端管控方法流程图;
图6为本发明实施例的终端管控方法示意图;
图7为本发明实施例的终端组成框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
现在将参考附图描述实现本发明各个实施例一个可选的移动终端。在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身并没有特定的意义。因此,"模块"与"部件"可以混合地使用。
移动终端可以以各种形式来实施。例如,本发明中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。下面,假设终端是移动终端。然而,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本发明的实施方式的构造也能够应用于固定类型的终端。
图1为实现本发明各个实施例的移动终端的硬件结构示意。
移动终端100可以包括无线通信单元110、A/V(音频/视频)输入单元120、用户输入单元130、感测单元140、输出单元150、存储器160、接口单元170、控制器180和电源单元190等等。图1示出了具有各种组件的移动终端,但是应理解的是,并不要求实施所有示出的组件。可以替代地实施更多或更少的组件。将在下面详细描述移动终端的元件。
无线通信单元110通常包括一个或多个组件,其允许移动终端100与无线通信系统或网络之间的无线电通信。例如,无线通信单元可以包括广播接收模块111、移动通信模块112、无线互联网模块113、短程通信模块114和位置信息模块115中的至少一个。
广播接收模块111经由广播信道从外部广播管理服务器接收广播信号和/或广播相关信息。广播信道可以包括卫星信道和/或地面信道。广播管理服务器可以是生成并发送广播信号和/或广播相关信息的服务器或者接收之前生成的广播信号和/或广播相关信息并且将其发送给终端的服务器。广播信号可以包括TV广播信号、无线电广播信号、数据广播信号等等。而且,广播信号可以进一步包括与TV或无线电广播信号组合的广播信号。广播相关信息也可以经由移动通信网络提供,并且在该情况下,广播相关信息可以由移动通信模块112来接收。广播信号可以以各种形式存在,例如,其可以以数字多媒体广播(DMB)的电子节目指南(EPG)、数字视频广播手持(DVB-H)的电子服务指南(ESG)等等的形式而存在。广播接收模块111可以通过使用各种类型的广播系统接收信号广播。特别地,广播接收模块111可以通过使用诸如多媒体广播-地面(DMB-T)、数字多媒体广播-卫星(DMB-S)、数字视频广播-手持(DVB-H),前向链路媒体(MediaFLO@)的数据广播系统、地面数字广播综合服务(ISDB-T)等等的数字广播系统接收数字广播。广播接收模块111可以被构造为适合提供广播信号的各种广播系统以及上述数字广播系统。经由广播接收模块111接收的广播信号和/或广播相关信息可以存储在存储器160(或者其它类型的存储介质)中。
移动通信模块112将无线电信号发送到基站(例如,接入点、节点B等等)、外部终端以及服务器中的至少一个和/或从其接收无线电信号。这样的无线电信号可以包括语音通话信号、视频通话信号、或者根据文本和/或多媒体消息发送和/或接收的各种类型的数据。
无线互联网模块113支持移动终端的无线互联网接入。该模块可以内部或外部地耦接到终端。该模块所涉及的无线互联网接入技术可以包括WLAN(无线LAN)(Wi-Fi)、Wibro(无线宽带)、Wimax(全球微波互联接入)、HSDPA(高速下行链路分组接入)等等。
短程通信模块114是用于支持短程通信的模块。短程通信技术的一些示例包括蓝牙TM、射频识别(RFID)、红外数据协会(IrDA)、超宽带(UWB)、紫蜂TM等等。
位置信息模块115是用于检查或获取移动终端的位置信息的模块。位置信息模块的典型示例是GPS(全球定位系统)。根据当前的技术,GPS模块115计算来自三个或更多卫星的距离信息和准确的时间信息并且对于计算的信息应用三角测量法,从而根据经度、纬度和高度准确地计算三维当前位置信息。当前,用于计算位置和时间信息的方法使用三颗卫星并且通过使用另外的一颗卫星校正计算出的位置和时间信息的误差。此外,GPS模块115能够通过实时地连续计算当前位置信息来计算速度信息。
A/V输入单元120用于接收音频或视频信号。A/V输入单元120可以包括相机121和麦克风1220,相机121对在视频捕获模式或图像捕获模式中由图像捕获装置获得的静态图片或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元151上。经相机121处理后的图像帧可以存储在存储器160(或其它存储介质)中或者经由无线通信单元110进行发送,可以根据移动终端的构造提供两个或更多相机1210。麦克风122可以在电话通话模式、记录模式、语音识别模式等等运行模式中经由麦克风接收声音(音频数据),并且能够将这样的声音处理为音频数据。处理后的音频(语音)数据可以在电话通话模式的情况下转换为可经由移动通信模块112发送到移动通信基站的格式输出。麦克风122可以实施各种类型的噪声消除(或抑制)算法以消除(或抑制)在接收和发送音频信号的过程中产生的噪声或者干扰。
用户输入单元130可以根据用户输入的命令生成键输入数据以控制移动终端的各种操作。用户输入单元130允许用户输入各种类型的信息,并且可以包括键盘、锅仔片、触摸板(例如,检测由于被接触而导致的电阻、压力、电容等等的变化的触敏组件)、滚轮、摇杆等等。特别地,当触摸板以层的形式叠加在显示单元151上时,可以形成触摸屏。
感测单元140检测移动终端100的当前状态,(例如,移动终端100的打开或关闭状态)、移动终端100的位置、用户对于移动终端100的接触(即,触摸输入)的有无、移动终端100的取向、移动终端100的加速或减速移动和方向等等,并且生成用于控制移动终端100的操作的命令或信号。例如,当移动终端100实施为滑动型移动电话时,感测单元140可以感测该滑动型电话是打开还是关闭。另外,感测单元140能够检测电源单元190是否提供电力或者接口单元170是否与外部装置耦接。感测单元140可以包括接近传感器1410将在下面结合触摸屏来对此进行描述。
接口单元170用作至少一个外部装置与移动终端100连接可以通过的接口。例如,外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。识别模块可以是存储用于验证用户使用移动终端100的各种信息并且可以包括用户识别模块(UIM)、客户识别模块(SIM)、通用客户识别模块(USIM)等等。另外,具有识别模块的装置(下面称为"识别装置")可以采取智能卡的形式,因此,识别装置可以经由端口或其它连接装置与移动终端100连接。接口单元170可以用于接收来自外部装置的输入(例如,数据信息、电力等等)并且将接收到的输入传输到移动终端100内的一个或多个元件或者可以用于在移动终端和外部装置之间传输数据。
另外,当移动终端100与外部底座连接时,接口单元170可以用作允许通过其将电力从底座提供到移动终端100的路径或者可以用作允许从底座输入的各种命令信号通过其传输到移动终端的路径。从底座输入的各种命令信号或电力可以用作用于识别移动终端是否准确地安装在底座上的信号。输出单元150被构造为以视觉、音频和/或触觉方式提供输出信号(例如,音频信号、视频信号、警报信号、振动信号等等)。输出单元150可以包括显示单元151、音频输出模块152、警报单元153等等。
显示单元151可以显示在移动终端100中处理的信息。例如,当移动终端100处于电话通话模式时,显示单元151可以显示与通话或其它通信(例如,文本消息收发、多媒体文件下载等等)相关的用户界面(UI)或图形用户界面(GUI)。当移动终端100处于视频通话模式或者图像捕获模式时,显示单元151可以显示捕获的图像和/或接收的图像、示出视频或图像以及相关功能的UI或GUI等等。
同时,当显示单元151和触摸板以层的形式彼此叠加以形成触摸屏时,显示单元151可以用作输入装置和输出装置。显示单元151可以包括液晶显示器(LCD)、薄膜晶体管LCD(TFT-LCD)、有机发光二极管(OLED)显示器、柔性显示器、三维(3D)显示器等等中的至少一种。这些显示器中的一些可以被构造为透明状以允许用户从外部观看,这可以称为透明显示器,典型的透明显示器可以例如为TOLED(透明有机发光二极管)显示器等等。根据特定想要的实施方式,移动终端100可以包括两个或更多显示单元(或其它显示装置),例如,移动终端可以包括外部显示单元(未示出)和内部显示单元(未示出)。触摸屏可用于检测触摸输入压力以及触摸输入位置和触摸输入面积。
音频输出模块152可以在移动终端处于呼叫信号接收模式、通话模式、记录模式、语音识别模式、广播接收模式等等模式下时,将无线通信单元110接收的或者在存储器160中存储的音频数据转换音频信号并且输出为声音。而且,音频输出模块152可以提供与移动终端100执行的特定功能相关的音频输出(例如,呼叫信号接收声音、消息接收声音等等)。音频输出模块152可以包括扬声器、蜂鸣器等等。
警报单元153可以提供输出以将事件的发生通知给移动终端100。典型的事件可以包括呼叫接收、消息接收、键信号输入、触摸输入等等。除了音频或视频输出之外,警报单元153可以以不同的方式提供输出以通知事件的发生。例如,警报单元153可以以振动的形式提供输出,当接收到呼叫、消息或一些其它进入通信(incomingcommunication)时,警报单元153可以提供触觉输出(即,振动)以将其通知给用户。通过提供这样的触觉输出,即使在用户的移动电话处于用户的口袋中时,用户也能够识别出各种事件的发生。警报单元153也可以经由显示单元151或音频输出模块152提供通知事件的发生的输出。
存储器160可以存储由控制器180执行的处理和控制操作的软件程序等等,或者可以暂时地存储己经输出或将要输出的数据(例如,电话簿、消息、静态图像、视频等等)。而且,存储器160可以存储关于当触摸施加到触摸屏时输出的各种方式的振动和音频信号的数据。
存储器160可以包括至少一种类型的存储介质,所述存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等等。而且,移动终端100可以与通过网络连接执行存储器160的存储功能的网络存储装置协作。
控制器180通常控制移动终端的总体操作。例如,控制器180执行与语音通话、数据通信、视频通话等等相关的控制和处理。另外,控制器180可以包括用于再现(或回放)多媒体数据的多媒体模块1810,多媒体模块1810可以构造在控制器180内,或者可以构造为与控制器180分离。控制器180可以执行模式识别处理,以将在触摸屏上执行的手写输入或者图片绘制输入识别为字符或图像。
电源单元190在控制器180的控制下接收外部电力或内部电力并且提供操作各元件和组件所需的适当的电力。
这里描述的各种实施方式可以以使用例如计算机软件、硬件或其任何组合的计算机可读介质来实施。对于硬件实施,这里描述的实施方式可以通过使用特定用途集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理装置(DSPD)、可编程逻辑装置(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器、被设计为执行这里描述的功能的电子单元中的至少一种来实施,在一些情况下,这样的实施方式可以在控制器180中实施。对于软件实施,诸如过程或功能的实施方式可以与允许执行至少一种功能或操作的单独的软件模块来实施。软件代码可以由以任何适当的编程语言编写的软件应用程序(或程序)来实施,软件代码可以存储在存储器160中并且由控制器180执行。
至此,己经按照其功能描述了移动终端。下面,为了简要起见,将描述诸如折叠型、直板型、摆动型、滑动型移动终端等等的各种类型的移动终端中的滑动型移动终端作为示例。因此,本发明能够应用于任何类型的移动终端,并且不限于滑动型移动终端。
如图1中所示的移动终端100可以被构造为利用经由帧或分组发送数据的诸如有线和无线通信系统以及基于卫星的通信系统来操作。
现在将参考图2描述其中根据本发明的移动终端能够操作的通信系统。
这样的通信系统可以使用不同的空中接口和/或物理层。例如,由通信系统使用的空中接口包括例如频分多址(FDMA)、时分多址(TDMA)、码分多址(CDMA)和通用移动通信系统(UMTS)(特别地,长期演进(LTE))、全球移动通信系统(GSM)等等。作为非限制性示例,下面的描述涉及CDMA通信系统,但是这样的教导同样适用于其它类型的系统。
参考图2,CDMA无线通信系统可以包括多个移动终端100、多个基站(BS)270、基站控制器(BSC)275和移动交换中心(MSC)280。MSC280被构造为与公共电话交换网络(PSTN)290形成接口。MSC280还被构造为与可以经由回程线路耦接到基站270的BSC275形成接口。回程线路可以根据若干己知的接口中的任一种来构造,所述接口包括例如E1/T1、ATM,IP、PPP、帧中继、HDSL、ADSL或xDSL。将理解的是,如图2中所示的系统可以包括多个BSC2750。
每个BS270可以服务一个或多个分区(或区域),由多向天线或指向特定方向的天线覆盖的每个分区放射状地远离BS270。或者,每个分区可以由用于分集接收的两个或更多天线覆盖。每个BS270可以被构造为支持多个频率分配,并且每个频率分配具有特定频谱(例如,1.25MHz,5MHz等等)。
分区与频率分配的交叉可以被称为CDMA信道。BS270也可以被称为基站收发器子系统(BTS)或者其它等效术语。在这样的情况下,术语"基站"可以用于笼统地表示单个BSC275和至少一个BS270。基站也可以被称为"蜂窝站"。或者,特定BS270的各分区可以被称为多个蜂窝站。
如图2中所示,广播发射器(BT)295将广播信号发送给在系统内操作的移动终端100。如图1中所示的广播接收模块111被设置在移动终端100处以接收由BT295发送的广播信号。在图2中,示出了几个全球定位系统(GPS)卫星300。卫星300帮助定位多个移动终端100中的至少一个。
在图2中,描绘了多个卫星300,但是理解的是,可以利用任何数目的卫星获得有用的定位信息。如图1中所示的GPS模块115通常被构造为与卫星300配合以获得想要的定位信息。替代GPS跟踪技术或者在GPS跟踪技术之外,可以使用可以跟踪移动终端的位置的其它技术。另外,至少一个GPS卫星300可以选择性地或者额外地处理卫星DMB传输。
作为无线通信系统的一个典型操作,BS270接收来自各种移动终端100的反向链路信号。移动终端100通常参与通话、消息收发和其它类型的通信。特定基站270接收的每个反向链路信号被在特定BS270内进行处理。获得的数据被转发给相关的BSC275。BSC提供通话资源分配和包括BS270之间的软切换过程的协调的移动管理功能。BSC275还将接收到的数据路由到MSC280,其提供用于与PSTN290形成接口的额外的路由服务。类似地,PSTN290与MSC280形成接口,MSC与BSC275形成接口,并且BSC275相应地控制BS270以将正向链路信号发送到移动终端100。
基于上述可选的移动终端硬件结构以及通信系统,提出本发明方法各个实施例。
现如今,随着智能终端和通信技术的飞速发展,人们的日常生活已越来越多地承载在终端上,终端应用为人们带来多种多样的便利和娱乐,可以和家人朋友实时地共享照片和视频等等。然而,对于某些使用人群或场景来说,终端的实时共享性是具有一定安全隐患的,特别是针对一些公司保密项目及军方项目等,这就要求能够在某些特定场景下,对终端的通讯、上网等功能实施安全管控,避免通过终端造成信息泄密。
针对这种情况,本发明实施例提出一种结合客户识别模块SIM卡和可便携式记忆卡TF卡进行鉴权的终端管控方案,当SIM卡和TF卡通过了鉴权认证,即认证成功时,可以使用通信网络进行语音呼叫和上网等;当SIM卡和TF卡未通过鉴权认证,即认证失败时,禁止通过该终端打电话、发短信和上网等功能,或是关闭终端,保证了用户(受管控对象)只能使用已备案的SIM卡,此时该终端的对外联系均在监管状态之下。并且当用户超越管控范围时,根据保密级别来清除终端数据或将终端关闭,防止通过终端对外泄密。
为实现上述目的,如图3所示,本发明第一实施例提出了一种终端管控装置1,该装置包括:检测模块01、认证模块02和管控模块03。
检测模块01,用于在终端开启时检测终端中是否已插入TF卡。
在本发明实施例中,由于每个通讯终端中基本都包含SIM卡和TF卡,因此本发明实施例方案可以预先对每一个受管控对象所使用终端的SIM卡进行登记备案,并为每一个SIM卡匹配一个特定的TF卡,该特定的TF卡也已经预先登记备案,并且根据不同的受管控对象的身份对相应的TF卡设置了不同的权限级别,在此基础上,为了确定每个SIM卡所匹配的TF卡,便于后续的管控工作,对相互匹配的SIM和TF卡进行了绑定,具体通过下述的绑定模块04完成这一工作。
可选地,该装置还包括:绑定模块04。
绑定模块04,用于预先将TF卡和SIM卡进行绑定;其中,一张TF卡对应一张SIM卡,只有通过绑定的TF卡和SIM卡能够鉴权认证成功。
在本发明实施例中,具体的绑定方法可以根据不同的应用场景或需要自行定义,不做具体限制,例如,可以设置受管控对象、SIM卡和TF卡之间的关系映射表。
在本发明实施例中,基于上述的各种预先设置工作,在具体应用中,为了实现对受管控对象所用终端的管控,在每个终端中必须使用上述的TF卡,因此,在受管控对象使用终端时,只要终端一开机,检测模块01就会检测终端中是否已插入TF卡,以便通过该TF卡对当前终端实施后续的鉴权认证以及相应的管控操作,达到对受管控对象进行监控的目的,避免了重要信息通过受管控对象所用终端泄露出去。
在本发明实施例中,对于检测模块02的具体检测方法不做限制,可以采用任何能够实施的检测方法或算法,例如,可以调用系统的API(Application ProgrammingInterface应用编程接口)接口获取TF卡的相关文件或数据信息,以从中获得TF卡是否存在的状态信息,或者通过读取TF卡槽信息,通过确认该卡槽中是否有卡来确定终端中是否已经插入TF卡。
认证模块02,用于当检测到终端中已插入TF卡时,对终端中已插入的TF卡和SIM卡进行鉴权认证。
在本发明实施例中,如果检测模块01检测到终端中已插入TF卡,认证模块02则开始对TF卡和SIM卡进行鉴权认证。由于通过上述内容已知,每个受管控对象所用终端的SIM卡都已经通过登记备案,并且每个SIM卡已经绑定了唯一的一个TF卡,即每个SIM卡只有与绑定的TF卡配合使用,才能达到对该终端的管控目的。因此,本发明实施例方案采用对TF卡和SIM卡进行鉴权认证的方法,以验证当前插入终端中的TF卡是不是与当前终端中的SIM卡绑定的TF卡,具体的鉴权认证实现方法可以采用以下方案,鉴权过程示意图如图4所示。
可选地,认证模块02对终端中已插入的TF卡和SIM卡进行鉴权认证包括步骤S101-S103:
S101、获取终端中已插入的TF卡的第一信息和终端中已插入的SIM卡的第二信息。
在本发明实施例中,鉴权过程可以通过调用系统的API接口读取用户(受管控对象)的SIM卡中的文件和TF卡文件,使用某种特定算法函数Fun()进行鉴权运算,在运算过程中,需要采集TF卡和SIM卡的信息作为鉴权运算的参数,即上述的TF卡的第一信息和SIM卡的第二信息。
可选地,第一信息可以包括:TF卡身份识别ID。第二信息可以包括:SIM卡的集成电路卡识别码ICCID和/或国际移动用户识别码IMSI。
需要说明的是,在其它实施例中,还可以选择其他的SIM卡和TF卡信息作为鉴权运算的参数,不限于TF卡的ID和SIM卡的ICCID与IMSI。
S102、根据获取的第一信息和第二信息通过预设的鉴权算法对TF卡和SIM卡进行鉴权运算。
在本发明实施例中,通过步骤S101获得鉴权运算需要的参数信息后,便可以根据预设的鉴权算法进行鉴权运算了。
可选地,该预设的鉴权算法可以包括:三重数据加密算法3DES算法、消息摘要算法第五版MD5算法、SM3算法和哈希算法。
在本发明实施例中,由于上述算法已经广泛应用于本技术领域,在此对具体算法不再赘述,需要说明的是,在其它实施例中,还可以选用其他的鉴权算法,不限于上面所罗列的算法,并且所述的各种鉴权算法可以仅采用一种,也可以通过加权计算将多种鉴权算法相结合,在本发明实施例中,对于具体的运算形式不做限制。另外,可选地,上述的运算算法可以预先集成在每个TF卡中或者直接集成在每个受管控对象的终端中。在本发明实施例中建议将运算算法预先集成在每个TF卡中,TF卡在保密项目中进行特殊处理(为保密项目组定制),卡内已集成鉴权算法,且根据实际项目情况具有不同的访问或操作权限;SIM卡为用户个人使用的通用SIM卡,无需特殊处理;这样只要每个终端插入该特殊处理后的TF卡便可以对当前终端进行管控,简单、方便、易于应用。
S103、根据鉴权运算的结果确定鉴权认证是否成功。
在本发明实施例中,通过步骤S102进行鉴权运算后可以获得一个及安全认证结果,根据该鉴权认证结果便可以确定鉴权认证是否成功。具体的确定方案可以通过将该鉴权认证结果与一个标准结果相比较来实现,该标准结果可以是预存的经验值,也可以是标准运算后获得的结果。在本发明实施例中,可以通过下述方案获得该标准结果。
可选地,认证模块02还用于:当终端中初次插入相互绑定的TF卡和SIM卡时,根据预设的鉴权算法对TF卡和SIM卡进行初次鉴权运算,获得并保存第一鉴权运算结果。
在本发明实施例中,通过将相互绑定的TF卡和SIM卡根据预设的鉴权算法进行初次鉴权运算,获得一个第一鉴权运算结果,该第一鉴权运算结果便可以作为后续的每次鉴权运算后进行运算结果比较的标准结果。由于每个TF卡与每个SIM卡一一对应,并相互绑定,因此,对于不同的相互绑定的TF卡和SIM卡进行初次鉴权运算会获得不同的第一鉴权运算结果,该不同的第一鉴权运算结果可以作为每对相互绑定的TF卡和SIM卡后续认证过程当中的标准结果。
需要说明的是,该第一鉴权运算结果可以采用相互绑定的TF卡和SIM卡初次进行鉴权运算时获得的鉴权运算结果,也可以采用多次鉴权运算后获得的平均鉴权运算结果,还可以采用加权运算的形式将多次鉴权运算后获得的多个鉴权运算结果通过加权参数进行加权运算以后获得的鉴权运算结果作为标准结果,当然,在不同的应用场景中,还可以采用其他的运算结果作为标准结果,在此不做具体限制。
在本发明实施例中,通过上述实施例方案获得了与鉴权运算结果相比较的标准结果以后,便可以对当前终端中所插入的TF卡和SIM卡的鉴权运算结果进行判断了,以确定当前的鉴权认证过程是否成功,具体的确定方法如下所述。
可选地,认证模块02根据鉴权运算的结果确定鉴权认证是否成功包括步骤S201-S203:
S201、将鉴权运算获得的鉴权运算结果与保存的第一鉴权运算结果相比较。
S202、当获得的鉴权运算结果与第一鉴权运算结果相同时,确定鉴权认证成功。
S203、当获得的鉴权运算结果与第一鉴权运算结果不相同时,确定鉴权认证失败。
在本发明实施例中,由于上述的步骤S202和步骤S203是对不同的比较结果的不同确定过程,因此步骤S202和步骤S203没有先后顺序的区分。
另外,在上述实施例中,通过判断鉴权运算获得的鉴权运算结果与保存的第一鉴权运算结果是否相同确定了鉴权认证过程是否成功。在其他实施例中,还可以确定鉴权运算获得的鉴权运算结果与第一鉴权运算结果的相似度,如果获得的当前鉴权运算结果与第一鉴权运算结果的相似度大于或等于预设的相似度阈值,则可以确定鉴权认证成功;如果获得的当前鉴权运算结果与第一鉴权运算结果的相似度小于预设的相似度阈值,则可以确定鉴权认证失败。在此,对于具体的确定方法也不做限制,任何能够实现确定鉴权过程成功或失败的方案都在本发明实施例的保护范围之内。
管控模块03,用于根据认证结果对终端进行管控。
在本发明实施例中,通过上述的认证模块02对当前插入终端中的TF卡和SIM卡进行及安全认证以后,便可以确定当前的TF卡和SIM卡是否为已经绑定的TF卡和SIM卡。如果鉴权认证失败,则可以确定当前的TF卡和SIM卡不是预先绑定的TF卡和SIM卡,因此当前的终端不符合管控要求,管控模块03会根据预设的管控方案对该终端采取相应的处理措施。如果鉴权认证成功,则可以确定当前的TF卡和SIM卡是预先绑定的TF卡和SIM卡,因此当前的终端符合管控要求,管控模块03会根据预设的管控方案允许该终端实现相应的终端功能。管控模块03根据认证结果对终端实施的具体的管控方案可以如下所述。
可选地,管控模块03根据鉴权运算结果对终端进行管控可以包括情况一和情况二:
情况一、当确认鉴权认证成功时,允许终端进行通讯和/或上网操作。
可选地,该通讯操作包括打电话、发短信以及数据交互业务。
在本发明实施例中,如果当前终端中的TF卡和SIM卡鉴权认证成功,则可以允许该终端实施正常的通讯功能以及上网功能,例如,打电话、发短信、发邮件、上微信、聊QQ等。
可选地,管控模块03允许终端进行通讯操作和/或上网包括:获取预先设置的与不同的TF卡相对应的权限级别;允许该终端开启与当前TF卡的权限级别相匹配的通讯和/或上网功能。
在本发明实施例中,通过上述内容已知,由于每个TF卡和SIM卡对应的权限级别不同,因此,对于每个终端能够实现的功能类型和数量也不同,例如,权限级别高的TF卡和SIM卡可以打电话、发短信和聊QQ,并且对于接电话或收短信的人员的身份地域不做限制,权限级别低的TF卡和SIM卡仅可以打电话和发短信,不能发邮件、聊QQ和上微信等,并且对于接电话或收短信的人员的身份地域做相应的限制。
情况二、当确认鉴权认证失败时,禁止终端进行通讯和/或上网操作。
在本发明实施例中,如果当前终端中的TF卡和SIM卡鉴权认证失败,则可以禁止该终端实施正常的通讯功能和/或上网功能,例如,打电话、发短信、发邮件、上微信、聊QQ等。在本发明实施例中,由于TF卡和SIM卡鉴权认证失败就意味着当前的TF卡和SIM卡不符合管控要求,为了实现对每个TF卡和/或SIM卡的严格管控,避免重要信息泄露,在当前的TF卡和SIM卡不符合管控要求的情况下,可以直接禁止当前TF卡和SIM卡的任何功能,或者直接对当前终端实施关机操作。需要说明的是,对于终端中禁止的功能主要是具有信息传输能力的一些功能,例如,打电话、发短信、发邮件、聊QQ、聊微信以及文件上传功能等。对于具有无信息传输能力的功能,例如,计算器、文件查询等功能可以选择性地禁止。
在本发明实施例中,对于终端中某些功能的禁止操作可以通过以下方案来实现。
可选地,禁止终端进行通讯和/或上网操作的方式包括:
通过将终端调节到飞行模式禁止终端的通讯功能,和/或通过关闭调制解调器禁止终端的上网功能。
在本发明实施例中,由于飞行模式下禁止终端的通讯功能,因此,可以通过将终端调节到飞行模式的方式来达到禁止终端通讯功能的目的,由于调制解调器具有网络信号阐述的作用,因此,可以通过关闭调制解调器禁止终端的上网功能。当然,在其它实施例中,还可以采用其他的方案达到禁止通讯和/或上网的功能,例如,直接关机以及信号屏蔽等措施。
另外需要说明的是,上述的管控方案不局限于禁止通讯和/或上网功能,任何能够通过终端实现的具有信息传输能力的终端功能都在本发明实施例的管控范围之内,并且对于具体的管控方法不做限制,任何能够实现对终端中应该禁止的功能达到禁止目的的方案都在本发明实施例方案的保护范围之内。
可选地,管控模块03还用于:当检测到终端中未插入TF卡时,在预设的第一时间内关闭终端。
在本发明实施例中,上述的各种方案都是针对检测模块01检测到终端中已经插入TF卡的情况进行的阐述,当检测模块01检测到终端中未插入TF卡时,说明当前的终端不符合管控要求,或未处于管控状态下,具有很大的泄密风险,因此该终端亟需采取控制措施,防止重要信息泄露。但由于当前终端中没有插入TF卡,不能根据相应的TF卡的权限级别进行管控,因此,管控模块03可以在预设的时间段内,如上述的第一时间内关闭终端,以达到彻底断绝该终端与外界联系的可能性。该预设的第一时间可以根据不同的应用场景进行设置,在此不做限制,需要说明的是,该第一时间不宜过长,以免给予受管控对象充足的与外界联系的时间。
可选地,检测模块01,还用于检测终端的当前位置。
管控模块03,还用于当检测模块检测到当前位置不在预设的管控范围内时,关机和/或删除终端中上一次鉴权认证成功后创建的全部文件数据。
在本发明实施例中,由于任何控制信号都有一定的控制范围,当超出该控制范围以后,控制信号就对受控对象失去了控制能力,因此,对于某些公司保密项目或军方项目还设置了一定的控制区域,即在该区域内都属于管控区域,只有在该管控区域内对受管控对象具有管控能力。基于上述因素,本发明实施例方案还通过检测模块01对每个受管控对象所用终端的当前位置进行实时性或周期性检测,例如,可以通过终端内置的全球定位系统GPS或者其他的定位应用APP来定位,或者通过SIM卡网络小区来判断当前终端的位置范围。当检测模块01检测到终端的当前位置不在预设的管控范围内时,关机和/或删除终端中上一次鉴权认证成功后创建的全部文件数据,以达到避免受管控对象离开管控区域后,对通过终端泄露重要信息。并且在该实施例中,如果采用自动关机的方案,只有用户所在位置处于管控范围内时才能重新开机,否则每次开机后都会自动关闭。当然,具体采用关机或清数据哪种方式,可根据实际权限级别或保密级别的不同而设置;并且,在其他实施例中,管控模块03还可以采用其他的措施避免信息泄露,不限于关机和/或删除终端中上一次鉴权认证成功后创建的全部文件数据。
可选地,该装置还包括控制模块05。
控制模块05,用于通过预设的核心卡对终端管控功能进行开启或关闭;其中,核心卡是具有管理功能的TF卡,所述核心卡的权限级别高于不具有管理功能的TF卡的权限级别。
在本发明实施例中,为了实现对终端TF卡和SIM卡的统一管理,本发明实施例方案还设置了核心卡,该核心卡具有对其他TF卡的管理功能,并且可以兼具一般的TF卡的功能,以便管理人员(如项目组领导或信息安全员等)通过其所用的终端对其他全部TF卡进行管理,另外,由于该核心卡具有对其他TF卡的管理功能,因此,该核心卡具有比其他TF卡更高的权限级别,或者具有最高的权限级别,以便于实现对其他TF卡的管理。当插入核心卡时,在终端中可对终端的管控功能进行开关,并对管控内容,如数据复制或备份、语音监听、数据清楚等进行操作或设置;当插入其他TF卡时,终端中的上述功能可以隐藏或置灰,即不可操作,也就是,只有核心卡对上述功能具有操作权。
可选地,该装置还包括:判断模块06。
判断模块06,用于当检测到终端中已插入TF卡时,在对终端中已插入的TF卡和SIM卡进行鉴权认证之前,判断TF卡是否为核心卡。
控制模块05,还用于当判定TF卡是核心卡时,通过该核心卡启动终端管控功能;并设置与终端中的SIM卡相对应的管控方式和权限内容。
认证模块02,还用于当判定TF卡不是核心卡时,对终端中已插入的TF卡和SIM卡进行鉴权认证。
在本发明实施例中,通过上述内容可知,核心卡可以是具有管理功能的TF卡,并且核心卡具有对终端中的管控功能的操作权,因此,在终端中插入一个TF卡时,需要首先检测该卡是不是核心卡,如果该卡是核心卡,可以进一步检测终端的管控功能是否已经开启,如果没有开启,可以通过该核心卡开启终端的管控功能,如果终端的管控功能已经开启,可以对该终端的管控内用进行设置,以达到对该终端的详细管控目的。当然,如果该卡不是核心卡,仅是普通的、没有管理功能的TF卡,就可以通过上述内用对终端中插入的TF卡和SIM卡进行鉴权认证了,以进一步确认该TF卡和SIM是否是经过绑定的卡。
可选地,该装置还包括:上报模块07。
检测模块01,还用于检测终端中的TF卡和SIM卡的插入状态变化。
上报模块07,用于当检测模块01检测到当前终端中的TF卡和/或SIM卡的插入状态发生变化时,向认证模块02和管控模块03上报关于TF卡和/或SIM卡的插入状态变化信息。
检测模块02,还用于当该插入状态变化信息中包含TF卡和/或SIM卡的拔出后又插入的信息时,对当前终端中的TF卡和/或SIM卡进行重新鉴权认证。
管控模块03,还用于当该插入状态变化信息中包含TF卡和/或SIM卡的拔出信息,不包含TF卡和/或SIM卡的插入信息时,对当前终端实施关机操作。
在本发明实施例中,以上方案使得任何时候只要TF卡或SIM卡出现卡状态变化,都会对当前终端处于管控状态下,避免了信息泄露。
下面以手机为例说明本发明实施例方案的具体实施流程,该流程包括步骤S301-S312:
S301、判断手机中是否已插入TF卡,如果手机中已插入TF卡,则转至步骤S302;如果手机中未插入TF卡,则转至步骤S310。
S302、判断该TF卡是否为“核心卡”,如果该TF卡是“核心卡”,则转至步骤S303;如果该TF卡不是“核心卡”,则转至步骤S305。
S303、通过“核心卡”对管控功能进行开关,对管控方式和内容等进行设置,如需开启管控功能,转至步骤S304。
S304、开启手机通讯管控功能。
S305、读取TF卡和SIM卡文件,通过特定算法进行鉴权认证。
S306、鉴权认证是否通过,如鉴权认证通过,则转至步骤S307;如果鉴权认证未通过,则转至步骤S312。
S307、可以正常使用手机的通讯功能,包括打电话,发短信和数据上网等。
S308、手机检测卡状态是否发生变化(TF卡和SIM卡任意一个发生变化),如果卡状态有变化,则进入步骤S305,重新鉴权;如卡状态无变化,则进入步骤S309。
S309、检测用户位置是否在管控范围内,如过用户越过管控区域,不在管控范围内,根据保密级别,进入步骤S310或步骤S311;如过用于未越过管控区域,在管控范围内,则进入步骤S307。
S310、手机关机;
S311、清除手机中上一次鉴权通过的时间后所创建的数据和文件。
S312、闭手机的通讯功能,即语音和数据业务功能。
下面通过应用实例对本发明实施例进行阐述。
例如,在某公司的某个研发基地,一批研发人员正在封闭开发一项保密级别较高的项目,对于每个项目组成员,均需进行安全监督,每个成员的手机都需插入特定的TF卡,并且和自己使用的、已登记备案的SIM卡进行鉴权,仅当鉴权通过时可以使用手机上网或和家人打电话,但所有上网浏览记录和通话记录都会在安全监督下,防止信息外泄。此时如使用其他SIM卡,鉴权无法通过时,手机的语音通话和数据及短信业务会被禁止;如果手机中拔掉TF卡时,手机会自行关机;当研究员在未经批准的情况下擅自离开管控区(手机通讯管控方法未由项目组关闭)时,根据研究员项目安全级别的不同,进行关机或格式化手机在管控期间新创建的数据。这样能够保证在进行军事项目或其他保密级别较高的项目中,不会出现安全监督覆盖不到的对外通讯,保障了项目的机密性和信息的安全性。
为实现上述目的,本发明第二实施例还提供了一种终端管控方法,如图5和图6所示,需要说明的是,上述装置实施例中的任何实施例都适用于本发明方法实施例中,在此不再一一赘述;并且本实施例方案中的管控方法在实际应用中可作为系统安装包APK的形式预装在终端中,用户无法删除;该方法包括步骤S401-S403:
S401、在终端开启时检测终端中是否已插入可便携式记忆卡TF卡。
S402、当检测到终端中已插入TF卡时,对终端中已插入的TF卡和SIM卡进行鉴权认证。
S403、根据认证结果对终端进行管控。
可选地,该方法还包括:当检测到终端中未插入TF卡时,在预设的第一时间内关闭终端。
可选地,该方法还包括:预先将TF卡和SIM卡进行绑定;其中,一张TF卡对应一张SIM卡,只有通过绑定的TF卡和SIM卡能够鉴权认证成功。
可选地,对终端中已插入的TF卡和SIM卡进行鉴权认证包括:
获取终端中已插入的TF卡的第一信息和终端中已插入的SIM卡的第二信息。
根据获取的第一信息和第二信息通过预设的鉴权算法对该TF卡和SIM卡进行鉴权运算。
根据鉴权运算的结果确定鉴权认证是否成功。
可选地,
第一信息包括:TF卡ID。
第二信息包括:SIM卡的ICCID和/或IMSI。
预设的鉴权算法包括:3DES算法、MD5算法、SM3算法和哈希算法。
可选地,该方法还包括:
当终端中初次插入相互绑定的TF卡和SIM卡时,根据预设的鉴权算法对该TF卡和SIM卡进行初次鉴权运算,获得并保存第一鉴权运算结果。
可选地,根据鉴权运算的结果确定鉴权认证是否成功包括:
将鉴权运算获得的鉴权运算结果与保存的第一鉴权运算结果相比较。
当获得的鉴权运算结果与第一鉴权运算结果相同时,确定鉴权认证成功。
当获得的鉴权运算结果与第一鉴权运算结果不相同时,确定鉴权认证失败。
可选地,根据鉴权运算结果对终端进行管控包括:
当确认鉴权认证成功时,允许终端进行通讯和/或上网操作;
当确认鉴权认证失败时,禁止终端进行通讯和/或上网操作。
可选地,通讯操作包括打电话、发短信以及数据交互业务。
可选地,允许终端进行通讯和/或上网操作包括:获取预先设置的与不同的TF卡相对应的权限级别;允许该终端开启与当前TF卡的权限级别相匹配的通讯和/或上网功能。
可选地,禁止终端进行通讯和/或上网操作的方式包括:
通过将终端调节到飞行模式禁止终端的通讯功能,和/或通过关闭调制解调器禁止终端的上网功能。
可选地,该方法还包括:
检测终端的当前位置。
当检测到当前位置不在预设的管控范围内时,关机和/或删除终端中上一次鉴权认证成功后创建的全部文件数据。
可选地,该方法还包括:通过预设的核心卡对终端管控功能进行开启或关闭;其中,该核心卡是具有管理功能的TF卡,核心卡的权限级别高于不具有管理功能的TF卡的权限级别。
可选地,该方法还包括:
当检测到终端中已插入TF卡时,在对终端中已插入的TF卡和SIM卡进行鉴权认证之前,判断TF卡是否为核心卡。
当判定TF卡是核心卡时,通过核心卡启动终端管控功能;并设置与终端中的SIM卡相对应的管控方式和权限内容。
当判定TF卡不是核心卡时,对终端中已插入的TF卡和SIM卡进行鉴权认证。
可选地,该方法还包括:
检测终端中的TF卡和SIM卡的插入状态变化。
当检测到当前终端中的TF卡和/或SIM卡的插入状态发生变化时,上报关于TF卡和/或SIM卡的插入状态变化信息。
当该插入状态变化信息中包含TF卡和/或SIM卡的拔出后又插入的信息时,对当前终端中的TF卡和/或SIM卡进行重新鉴权认证。
当该插入状态变化信息中包含TF卡和/或SIM卡的拔出信息,不包含TF卡和/或SIM卡的插入信息时,对当前终端实施关机操作。
为实现上述目的,本发明第三实施例还提供了一种终端2,如图7所示,包括所述的终端管控装置1。需要说明的是,上述装置实施例中的任何实施例都适用于本发明终端实施例中,在此不再一一赘述。
本发明提出的终端管控装置、方法和终端包括:检测模块在终端开启时检测终端中是否已插入可便携式记忆卡TF卡;认证模块当检测到终端中已插入TF卡时,对终端中已插入的TF卡和客户识别模块SIM卡进行鉴权认证;管控模块根据认证结果对终端进行管控。通过本发明实施例方案,能够对终端的通讯、上网等功能实施管控,避免通过终端造成信息泄密。
综上所述,本发明实施例方案具有以下优势:
1.本实施例方案中的管控方法在实际应用中可作为系统APK的形式预装在手机中,用户无法删除。
2.本实施例方案中所用到的加密和鉴权算法可根据实际情况,选用目前国际主流的安全算法,如3DES算法,MD5算法和SM3算法等,应用灵活。
3.TF卡在保密项目中进行特殊处理(为保密项目组定制):卡内已集成鉴权算法,且根据实际项目情况具有不同的访问或操作权限;SIM卡为用户个人使用的通用SIM卡,无需特殊处理。
4.如果用户给白卡写入与用户初始SIM卡中的相同内容(可理解为复制了原SIM卡),因注册网络时使用的参数相同,因此其通话记录等依然是可查询的,所以复制卡也是无法绕过监管的,本发明实施例方案对复制SIM卡依然有效。
5.每个TF卡仅对一张SIM卡有效(“核心卡”除外),两张卡相互绑定,即一张TF卡只能和一张SIM卡通过鉴权认证,反之亦然,具有唯一性;如果用户的TF卡丢失,重新分配TF卡后,需先插入“核心卡”来清除上一张TF卡的信息,并重新进行初始化,实现了对每个受监控对象的一一监控。
总之,本发明实施例方案通过对SIM卡和TF卡进行鉴权,来控制终端的通话和上网等通信功能,能够满足一些需要较高保密级别的项目中对于终端通信的管控,保证用户仅能使用已备案(处于监管下,可以查询到通话记录,浏览网页记录等)的SIM卡来实现通讯,当用户越过管控范围时,可以清除手机在管控期间创建的数据,防止通过手机和外界通讯造成信息泄露。
此外,本方案原理简单,便于操作,易于实现,且目前很多国际通用算法均可满足本提案中的要求,不必再另外进行算法开发。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种终端管控装置,其特征在于,所述装置包括:检测模块、认证模块和管控模块;
所述检测模块,用于在终端开启时检测所述终端中是否已插入可便携式记忆卡TF卡;
所述认证模块,用于当检测到所述终端中已插入所述TF卡时,对所述终端中已插入的所述TF卡和客户识别模块SIM卡进行鉴权认证;
所述管控模块,用于根据认证结果对所述终端进行管控。
2.如权利要求1所述的终端管控装置,其特征在于,所述认证模块对所述终端中已插入的所述TF卡和SIM卡进行鉴权认证包括:
获取所述终端中已插入的所述TF卡的第一信息和所述终端中已插入的所述SIM卡的第二信息;
根据获取的所述第一信息和所述第二信息通过预设的鉴权算法对所述TF卡和SIM卡进行鉴权运算;
根据鉴权运算的结果确定鉴权认证是否成功。
3.如权利要求2所述的终端管控装置,其特征在于,
所述第一信息包括:所述TF卡身份识别ID;
所述第二信息包括:所述SIM卡的集成电路卡识别码ICCID和/或国际移动用户识别码IMSI;
所述预设的鉴权算法包括:三重数据加密算法3DES算法、消息摘要算法第五版MD5算法、SM3算法和哈希算法。
4.如权利要求1所述的终端管控装置,其特征在于,所述认证模块还用于:
当所述终端中初次插入相互绑定的所述TF卡和所述SIM卡时,根据所述预设的鉴权算法对所述TF卡和所述SIM卡进行初次鉴权运算,获得并保存第一鉴权运算结果。
5.如权利要求4所述的终端管控装置,其特征在于,所述认证模块根据鉴权运算的结果确定鉴权认证是否成功包括:
将所述鉴权运算获得的鉴权运算结果与保存的所述第一鉴权运算结果相比较;
当获得的所述鉴权运算结果与所述第一鉴权运算结果相同时,确定鉴权认证成功;
当获得的所述鉴权运算结果与所述第一鉴权运算结果不相同时,确定鉴权认证失败。
6.一种终端管控方法,其特征在于,所述方法包括:
在终端开启时检测所述终端中是否已插入可便携式记忆卡TF卡;
当检测到所述终端中已插入所述TF卡时,对所述终端中已插入的所述TF卡和客户识别模块SIM卡进行鉴权认证;
根据认证结果对所述终端进行管控。
7.如权利要求6所述的终端管控方法,其特征在于,所述对所述终端中已插入的所述TF卡和SIM卡进行鉴权认证包括:
获取所述终端中已插入的所述TF卡的第一信息和所述终端中已插入的所述SIM卡的第二信息;
根据获取的所述第一信息和所述第二信息通过预设的鉴权算法对所述TF卡和SIM卡进行鉴权运算;
根据鉴权运算的结果确定鉴权认证是否成功。
8.如权利要求6所述的终端管控方法,其特征在于,所述方法还包括:
当所述终端中初次插入相互绑定的所述TF卡和所述SIM卡时,根据所述预设的鉴权算法对所述TF卡和所述SIM卡进行初次鉴权运算,获得并保存第一鉴权运算结果。
9.如权利要求8所述的终端管控方法,其特征在于,所述根据鉴权运算的结果确定鉴权认证是否成功包括:
将所述鉴权运算获得的鉴权运算结果与保存的所述第一鉴权运算结果相比较;
当获得的所述鉴权运算结果与所述第一鉴权运算结果相同时,确定鉴权认证成功;
当获得的所述鉴权运算结果与所述第一鉴权运算结果不相同时,确定鉴权认证失败。
10.一种终端,其特征在于,包括如权利要求1至5任意一项所述的终端管控装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610704207.6A CN106375997A (zh) | 2016-08-22 | 2016-08-22 | 一种终端管控装置、方法和终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610704207.6A CN106375997A (zh) | 2016-08-22 | 2016-08-22 | 一种终端管控装置、方法和终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106375997A true CN106375997A (zh) | 2017-02-01 |
Family
ID=57878746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610704207.6A Pending CN106375997A (zh) | 2016-08-22 | 2016-08-22 | 一种终端管控装置、方法和终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106375997A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108197940A (zh) * | 2018-01-17 | 2018-06-22 | 武汉轻工大学 | 移动终端的支付请求响应方法、移动终端及可读存储介质 |
| CN109842658A (zh) * | 2017-11-27 | 2019-06-04 | 华为技术有限公司 | 多终端协同安全工作的方法和装置 |
| EP3699787A4 (en) * | 2017-11-27 | 2020-10-07 | Huawei Technologies Co., Ltd. | COOPERATIVE AND SECURE MULTI-TERMINAL AND DEVICE WORK PROCESS |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800987A (zh) * | 2010-02-10 | 2010-08-11 | 中兴通讯股份有限公司 | 一种智能卡鉴权装置及方法 |
| CN102711109A (zh) * | 2012-06-12 | 2012-10-03 | 中国电力科学研究院 | 一种移动终端身份认证的方法 |
| CN102970276A (zh) * | 2012-09-28 | 2013-03-13 | 中国电力科学研究院 | 基于隔离技术的电力专用移动终端安全工作的实现方法 |
| CN105610671A (zh) * | 2016-01-11 | 2016-05-25 | 北京奇虎科技有限公司 | 一种终端数据保护的方法及装置 |
-
2016
- 2016-08-22 CN CN201610704207.6A patent/CN106375997A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800987A (zh) * | 2010-02-10 | 2010-08-11 | 中兴通讯股份有限公司 | 一种智能卡鉴权装置及方法 |
| CN102711109A (zh) * | 2012-06-12 | 2012-10-03 | 中国电力科学研究院 | 一种移动终端身份认证的方法 |
| CN102970276A (zh) * | 2012-09-28 | 2013-03-13 | 中国电力科学研究院 | 基于隔离技术的电力专用移动终端安全工作的实现方法 |
| CN105610671A (zh) * | 2016-01-11 | 2016-05-25 | 北京奇虎科技有限公司 | 一种终端数据保护的方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109842658A (zh) * | 2017-11-27 | 2019-06-04 | 华为技术有限公司 | 多终端协同安全工作的方法和装置 |
| EP3699787A4 (en) * | 2017-11-27 | 2020-10-07 | Huawei Technologies Co., Ltd. | COOPERATIVE AND SECURE MULTI-TERMINAL AND DEVICE WORK PROCESS |
| CN112398812A (zh) * | 2017-11-27 | 2021-02-23 | 华为技术有限公司 | 多终端协同安全工作的方法和装置 |
| US11246039B2 (en) | 2017-11-27 | 2022-02-08 | Huawei Technologies Co., Ltd. | Method and apparatus for secure multi-terminal cooperative working |
| CN108197940A (zh) * | 2018-01-17 | 2018-06-22 | 武汉轻工大学 | 移动终端的支付请求响应方法、移动终端及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105100476B (zh) | 一种移动终端解锁装置和方法 | |
| KR101788598B1 (ko) | 이동 단말기 및 그의 정보보안 설정방법 | |
| CN104915582B (zh) | 解锁方法及装置 | |
| CN105100090B (zh) | 一种基于内外网分离的通信方法、服务器及系统 | |
| CN104636030B (zh) | 启动应用程序的方法、装置和移动终端 | |
| CN104618605B (zh) | 移动终端定位方法及装置 | |
| CN105099669B (zh) | 录音加解密方法和装置 | |
| CN105095708B (zh) | 一种移动终端的解锁方法及装置 | |
| CN106453056A (zh) | 一种移动终端及安全分享图片的方法 | |
| CN106570694A (zh) | 服务器、移动终端及移动支付方法 | |
| CN104796429B (zh) | 通信业务处理方法、移动终端、服务器 | |
| CN106911719A (zh) | 一种移动终端及基于该移动终端的实名管理系统 | |
| CN105138880B (zh) | 终端操作数据的处理装置及方法 | |
| CN106027492A (zh) | 一种数据传输终端及方法 | |
| CN105095705B (zh) | 一种信息处理方法及装置 | |
| CN104735254B (zh) | 终端锁屏方法和系统 | |
| CN104715262B (zh) | 一种利用拍照实现智能标签功能的方法、装置及移动终端 | |
| CN106375997A (zh) | 一种终端管控装置、方法和终端 | |
| CN104618382B (zh) | 一种实现信息无痕访问的方法及装置 | |
| CN106778212B (zh) | 一种移动终端及控制方法 | |
| CN106778158B (zh) | 一种信息保护装置及方法 | |
| CN105992201A (zh) | 一种数据传输终端、方法及系统 | |
| CN105117627A (zh) | 一种隐藏信息的方法及装置 | |
| CN106332028A (zh) | 一种识别欺诈短信的方法及装置 | |
| CN106485119A (zh) | 一种应用消息打开装置和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170201 |