CN115085958A - 访问控制方法及相关装置 - Google Patents
访问控制方法及相关装置 Download PDFInfo
- Publication number
- CN115085958A CN115085958A CN202110272096.7A CN202110272096A CN115085958A CN 115085958 A CN115085958 A CN 115085958A CN 202110272096 A CN202110272096 A CN 202110272096A CN 115085958 A CN115085958 A CN 115085958A
- Authority
- CN
- China
- Prior art keywords
- access
- access policy
- electronic device
- policy
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 70
- 230000006870 function Effects 0.000 claims abstract description 154
- 238000004891 communication Methods 0.000 claims description 41
- 230000015654 memory Effects 0.000 claims description 39
- 230000004044 response Effects 0.000 claims description 34
- 238000004590 computer program Methods 0.000 claims description 11
- 230000000694 effects Effects 0.000 abstract description 17
- 230000001976 improved effect Effects 0.000 abstract description 12
- 238000007726 management method Methods 0.000 description 69
- 230000009471 action Effects 0.000 description 23
- 239000010410 layer Substances 0.000 description 21
- 238000010295 mobile communication Methods 0.000 description 15
- 238000012545 processing Methods 0.000 description 12
- 238000012790 confirmation Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 11
- 238000012795 verification Methods 0.000 description 8
- 230000008859 change Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 229920001621 AMOLED Polymers 0.000 description 3
- 230000001965 increasing effect Effects 0.000 description 3
- 230000007774 longterm Effects 0.000 description 3
- 239000003086 colorant Substances 0.000 description 2
- 230000033001 locomotion Effects 0.000 description 2
- 238000009877 rendering Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000001755 vocal effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000003321 amplification Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000003416 augmentation Effects 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 210000000988 bone and bone Anatomy 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 239000012792 core layer Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 239000002096 quantum dot Substances 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000003238 somatosensory effect Effects 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Abstract
本申请公开了一种访问控制方法,该方法包括:电子设备通过发送签到请求使管理方设备获知该电子设备已经入特殊环境,管理方设备根据以下一项或多项从存储的一个或多个访问策略中选择一个访问策略:特定环境的限制等级、特定环境中的电子设备的功能的限制类别、电子设备的设备类型或者登陆用户、管理方设备接收到签到请求的时间或电子设备位于特殊环境中的区域,并将该访问策略发送给该电子设备,从而限制该电子设备的功能。这样,电子设备无需进行繁琐的操作就能够直接获得该特定环境对应的访问策略,针对不同的电子设备,管理方设备可以发送不同的访问策略,提高管理方对用户携带的电子设备的管控效果。
Description
技术领域
本申请涉及终端及通信技术领域,尤其涉及访问控制方法及相关装置。
背景技术
目前,手机、平板、电脑等电子设备已逐渐成为人们的随身携带品。当用户携带手机等电子设备进入特定的场所或区域时,管理方往往会限制进入这些特定环境的电子设备的功能,例如,不能录音、不能拍照、不能访问某些资源等等。
为了实现当电子设备进入特定环境时能够限制该电子设备的功能,现有的解决方式是,管理方将该特定环境中对电子设备的访问要求告知携带电子设备的用户,用户主动配置相应的策略来限制电子设备的功能。但是,这种方法是否执行只能通过管理手段,通过管理方要求用户主动遵循特定环境下对电子设备的访问要求,这依赖于用户的自觉性,并不能完全保证用户的执行效果。
也就是说,在特定环境中,如何保证进入该特定环境的电子设备能够执行相应的访问要求是目前亟待解决的问题。
发明内容
本申请提供了访问控制方法及相关装置,该访问控制方法可以使用户无需进行繁琐的操作就能够直接获得特定环境对应的访问策略,管理方设备可以针对不同的电子设备发送不同的访问策略,提高用户体验感。
第一方面,本申请实施例提供了一种访问控制方法,该方法应用于包含第一设备、第二设备的通信系统,该方法包括:第一设备向第二设备发送第一请求;第二设备从多个访问策略中根据以下一项或多项选择出第一访问策略:第二设备设置的针对第一环境的限制等级、针对位于第一环境中的电子设备的功能的限制类别、第一设备的设备类型或者登陆用户、第二设备接收到第一请求的时间或第一设备位于第一环境中的区域;第二设备响应于第一请求,将第一访问策略发送给第一设备;第一设备接收到第一访问策略,并执行第一访问策略,或者,拒绝执行第一访问策略。
实施第一方面的方法,第一设备可以是指用户的电子设备,第二设备可以是指管理方的电子设备。第一设备向第二设备发送第一请求可以是指第一设备进行签到,响应于第一请求,第二设备将第一访问策略发送给第一设备。这样,第一设备通过签到的方式就能够获得特定环境的访问策略。再者,第二设备可以以多种方式从多个访问策略中选出访问策略并发送给第一设备。这样,不同的电子设备进行签到时,可以获得不同的访问策略,提高管理方设备对用户携带的电子设备的管控效果,提高用户的体验感。
结合第一方面,在一种实施方式中,第一设备生成用于执行第一功能的第一访问请求;第一设备确定第一访问策略指示的第一设备可以执行的功能包括该第一功能,则执行该第一功能;或者,第一设备确定第一访问策略指示的第一设备不能执行的功能包括该第一功能,则拒绝执行该第一功能。
也就是说,第一访问策略可以指示出第一设备可以执行的功能或者第一设备不可以执行的功能,当第一设备执行某一功能时可以根据第一访问策略指示的内容确定该功能是否受限制,从而实现第二设备对第一设备的功能的限制。
结合第一方面,在一种实施方式中,第一设备生成用于执行第二功能的第二访问请求;第一设备确定第一访问策略指示的第一设备可以执行的功能包括第二功能,则拒绝执行第二功能;或者,第一设备确定第一访问策略指示的第一设备不能执行的功能包括该第二功能,则执行该第二功能。
结合第一方面,在一种实施方式中,第一设备接收到第一访问策略,并执行第一访问策略,或者,拒绝执行第一访问策略之后,第一设备响应于接收到的用户操作,向第二设备发送第二请求;第二设备响应于第二请求,向第一设备发送第一反馈信息;或者,第二设备在向第一设备发送第一访问策略后的第一时长后,向第一设备发送第一反馈信息;第一设备响应于第一反馈信息,删除或禁用第一访问策略;或者,第一访问策略中包含第二时长或第一区域,第一设备在接收到第一访问策略的第二时长内,或,位于第一区域内的区域时,执行第一访问策略;在接收到第一访问策略的第二时长之后,或,在位于第一区域之外的区域时,删除或禁用第一访问策略。
也就是说,第一设备可以通过主动退签和自动退签两种方式来解除第一访问策略对第一设备的限制。主动退签是指第一设备接收到用户的退签操作后向第二设备发送退签请求,在接收到第二设备的反馈信息后,第一设备删除或禁用第一访问策略。自动退签是指无需用户操作,第二设备向第一设备发送反馈信息,或者访问策略的有效时长达到一定阈值,第一设备离开特定环境的范围时,第一设备可以自动删除或禁止第一访问策略。另外,第一设备在收到第一反馈信息后才能进行退签,避免出现用户自行解除访问策略的限制的问题。这样,管理方可以更好的管控特定环境中的电子设备的退签情况。
结合第一方面,在一种实施方式中,第二设备存储有多个访问策略,该多个访问策略包括以下一项或多项:第一环境的多个限制等级分别对应的访问策略;第一环境中的电子设备的功能的多个限制类别分别对应的访问策略;第一环境中的电子设备的多种设备类型分别对应的访问策略,或第一环境中的电子设备的多种登陆用户分别对应的访问策略;第一环境中多个时间段分别对应的访问策略;第一环境中的多个区域分别对应的访问策略。
也就是说,第二设备可以根据限制等级、限制类别、限制目标、限制时间、限制范围等限制因素配置多种不同的访问策略。
结合第一方面,在一种实施方式中,第一设备接收到第一访问策略后,第一设备接收到第一用户操作,响应于第一用户操作,第一设备执行第一访问策略;或者,第一设备接收到第一访问策略后,第一设备接收到第二用户操作,响应于第二用户操作,第一设备拒绝执行第一访问策略。
第一设备在接收到第一访问策略之后,可以提示用户,根据用户的选择来最终确定是否执行第一访问策略。这样,增加了用户对特定环境中的限制的选择权。
结合第一方面,在一种实施方式中,第一设备将第一访问策略的执行状态发送给第二设备,第一访问策略的执行状态包括:执行状态,拒绝执行状态;当执行状态为拒绝执行状态时,第二设备输出第一设备的信息,或者,第二设备向第一设备发送第一提示信息。
第二设备获取第一设备执行访问策略的执行状态,并在第一设备拒绝执行访问策略时,提示第一设备或者输出第一设备的信息,由管理方进行口头警告等操作,提高电子设备对访问策略的执行效果。
结合第一方面,在一种实施方式中,第一请求还携带有第三设备的信息;第二设备向第一设备发送第二访问策略;第一设备再将第二访问策略发送给第三设备,其中,第二访问策略与第一访问策略为同一个访问策略,或者,第二访问策略与第一访问策略不是同一个访问策略。
其中,第三设备可以是指与第一设备相关联的电子设备,例如,与第一设备建立了蓝牙连接,网络连接的设备,或者,与第一设备登录了同一个账户的设备。这样,第二设备无需第三设备进行签到就可以直接通过第一设备将访问策略发送给第三设备,提高第二设备管控特定环境中的电子设备的效率,减化了用户的操作,提高了用户的体验感。
结合第一方面,在一种实施方式中,第三设备将第三设备执行第二访问策略的执行状态发送给第一设备,第二访问策略的执行状态包括:执行状态,拒绝执行状态;第一设备将第二访问策略的执行状态发送给第二设备;当第二访问策略的执行状态为拒绝执行状态时,第二设备输出第三设备的信息,或者第二设备向第三设备发送第二提示信息。
类似于第一设备,第二设备还能够通过第一设备接收到第三设备执行访问策略的执行状态,并在第三设备拒绝执行访问策略时,提示第三设备或者输出第三设备的信息,由管理方进行口头警告等操作。
结合第一方面,在一种实施方式中,在第一设备删除或禁用第一访问策略之后,第一设备通知第三设备删除或禁用第二访问策略。
第二方面,本申请实施例提供了另一种访问控制方法,该方法应用于第二设备,该方法包括:第二设备接收第一设备发送的第一请求;第二设备从多个访问策略中根据以下一项或多项选择出第一访问策略:第二设备设置的针对第一环境的限制等级、针对位于第一环境中的电子设备的功能的限制类别、第一设备的设备类型或者登陆用户、第二设备接收到第一请求的时间或第一设备位于第一环境中的区域;第二设备响应于第一请求,将第一访问策略发送给第一设备。
这样,针对特定环境中不同的电子设备,第二设备可以发送不同的访问策略来限制其功能,增强管理方对用户的管控效果。
结合第二方面,在一种实施方式中,第二设备接收第一设备发送的第二请求;第二设备响应于第二请求,向第一设备发送第一反馈信息;或者,第二设备在向第一设备发送第一访问策略后的第一时长后,向第一设备发送第一反馈信息,第一反馈信息用于所述第一设备删除或禁止所述第一访问策略。
这样,第二设备可以在接收到用户的退签请求后解除对第一设备的功能的限制,或者,当第一设备接收到第一访问策略的一段时间后,解除对第一设备的功能的限制。另外,第一设备在收到第一反馈信息后才能进行退签,避免了用户自行解除访问策略的限制的问题。这样,管理方可以更好的管控特定环境中的电子设备的退签情况。
结合第二方面,在一种实施方式中,第二设备存储有多个访问策略,多个访问策略包括以下一项或多项:第一环境的多个限制等级分别对应的访问策略;第一环境中的电子设备的功能的多个限制类别分别对应的访问策略;第一环境中的电子设备的多种设备类型分别对应的访问策略,或第一环境中的电子设备的多种登陆用户分别对应的访问策略;第一环境中多个时间段分别对应的访问策略;第一环境中的多个区域分别对应的访问策略。
也就是说,第二设备可以根据限制等级、限制类别、限制目标、限制时间、限制范围等限制因素配置多种不同的访问策略。
结合第二方面,在一种实施方式中,第二设备接收第一设备发送的第一访问策略的执行状态,第一访问策略的执行状态包括:执行状态,拒绝执行状态;当执行状态为拒绝执行状态时,所述第二设备输出第一设备的信息,或者,第二设备向第一设备发送第一提示信息。
第二设备获取第一设备执行访问策略的执行状态,并在第一设备拒绝执行访问策略时,提示第一设备或者输出第一设备的信息,由管理方进行口头警告等操作,提高电子设备对访问策略的执行效果。
结合第二方面,在一种实施方式中,第一请求还携带有第三设备的信息;第二设备通过第一设备向第三设备发送第二访问策略,其中,第二访问策略与第一访问策略为同一个访问策略,或者,第二访问策略与第一访问策略不是同一个访问策略。
这样,第二设备无需第三设备进行签到就可以直接通过第一设备将访问策略发送给第三设备,加快了第二设备对进入特定环境中的电子设备的管控速度。
结合第二方面,在一种实施方式中,第二设备通过第一设备向第三设备发送第二访问策略之后,第二设备接收第一设备获取的第三设备执行第二访问策略的执行状态,第二访问策略的执行状态包括:执行状态,拒绝执行状态;当第二访问策略的执行状态为拒绝执行状态时,第二设备输出第三设备的信息,或者第二设备向第三设备发送第二提示信息。
类似于第一设备,第二设备还能够通过第一设备接收到第三设备执行访问策略的执行状态,并在第三设备拒绝执行访问策略时,提示第三设备或者输出第三设备的信息,由管理方进行口头警告等操作。
第三方面,本申请实施例提供一种电子设备,该电子设备包括:存储器、一个或多个处理器;存储器与一个或多个处理器耦合,存储器用于存储计算机程序代码,计算机程序代码包括计算机指令,一个或多个处理器调用计算机指令以使的所述计算机执行以下操作:接收第一设备发送的第一请求;从多个访问策略中根据以下一项或多项选择出第一访问策略:第二设备设置的针对第一环境的限制等级、针对位于第一环境中的电子设备的功能的限制类别、第一设备的设备类型或者登陆用户、第二设备接收到第一请求的时间或第一设备位于第一环境中的区域;响应于所述第一请求,将第一访问策略发送给第一设备。
这样,电子设备限制特定环境中的不同电子设备的不同功能,增强管理方对用户的管控效果。
结合第三方面,在一种实施方式中,一个或多个处理器还用于调用计算机指令以使的计算机执行以下操作:接收第一设备发送的第二请求;响应于第二请求,向第一设备发送第一反馈信息;或者,在向第一设备发送第一访问策略后的第一时长后,向第一设备发送第一反馈信息,第一反馈信息用于第一设备删除或禁止第一访问策略。
这样,第一设备在收到第一反馈信息后才能进行退签,避免出现用户自行解除访问策略的限制的问题。
结合第三方面,在一种实施方式中,存储器存储有多个访问策略,该多个访问策略包括以下一项或多项:第一环境的多个限制等级分别对应的访问策略;第一环境中的电子设备的功能的多个限制类别分别对应的访问策略;第一环境中的电子设备的多种设备类型分别对应的访问策略,或第一环境中的电子设备的多种登陆用户分别对应的访问策略;第一环境中多个时间段分别对应的访问策略;第一环境中的多个区域分别对应的访问策略。
也就是说,电子设备可以根据限制等级、限制类别、限制目标、限制时间、限制范围等限制因素配置多种不同的访问策略。
结合第三方面,在一种实施方式中,一个或多个处理器还用于调用计算机指令以使的计算机执行以下操作:接收第一设备发送的第一访问策略的执行状态,第一访问策略的执行状态包括:执行状态,拒绝执行状态;当执行状态为拒绝执行状态时,输出第一设备的信息,或者,向第一设备发送第一提示信息。
也即是说,电子设备可以监控和管理特定环境中的设备执行访问策略的执行情况,管理方可以即时提醒用户遵守特定环境的访问要求。
结合第三方面,在一种实施方式中,第一请求还携带有第三设备的信息;将第一访问策略发送给第一设备之后,一个或多个处理器还用于调用计算机指令以使的计算机执行以下操作:通过第一设备向第三设备发送第二访问策略,其中,第二访问策略与第一访问策略为同一个访问策略,或者,第二访问策略与第一访问策略不是同一个访问策略。
结合第三方面,在一种实施方式中,通过第一设备向第三设备发送第二访问策略之后,一个或多个处理器还用于调用计算机指令以使的计算机执行以下操作:接收第一设备获取的第三设备执行第二访问策略的执行状态,第二访问策略的执行状态包括:执行状态,拒绝执行状态;当第二访问策略的执行状态为拒绝执行状态时,输出所述第三设备的信息,或者向所述第三设备发送第二提示信息。
第四方面,本申请实施例提供一种计算机可读存储介质,该计算机可读存储介质中包括指令,当该指令在电子设备上运行时,使得该电子设备执行如第二方面或第二方面的任意一种实施方式所描述的方法。
第五方面,本申请实施例提供一种计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如第二方面或第二方面的任意一种实施方式所描述的方法。
实施本申请实施例提供的技术方案,电子设备无需进行繁琐的操作就能够直接获得该特定环境对应的访问策略,同时,管理方设备可以根据不同的电子设备的信息,选择不同的访问策略,或者,管理方设备可以自行制定特定环境的访问策略,针对特定环境中的不同电子设备,管理方设备可以限制其不同的功能,提高管理方对用户携带的电子设备的管控效果。
附图说明
图1是本申请实施例提供的通信系统1000的结构示意图;
图2是本申请实施例提供的电子设备100的硬件结构图;
图3是本申请实施例提供的电子设备200的硬件结构图;
图4A-图4I是本申请实施例提供的一组用户界面;
图5A-图5B是本申请实施例提供的另一组用户界面;
图6A-图6F是本申请实施例提供的另一组用户界面;
图7是本申请实施例提供的访问控制方法的整体流程示意图;
图8是本申请实施例提供的电子设备100的软件结构框图;
图9是本申请实施例中一个示例性信息流示意图;
图10是本申请实施例提供的电子设备200的软件结构框图。
具体实施方式
下面将结合附图对本申请实施例中的技术方案进行清楚、详尽地描述。其中,在本申请实施例的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;文本中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,另外,在本申请实施例的描述中,“多个”是指两个或多于两个。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为暗示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征,在本申请实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
本申请以下实施例中的术语“用户界面(user interface,UI)”,是应用程序或操作系统与用户之间进行交互和信息交换的介质接口,它实现信息的内部形式与用户可以接受形式之间的转换。用户界面是通过java、可扩展标记语言(extensible markuplanguage,XML)等特定计算机语言编写的源代码,界面源代码在电子设备上经过解析,渲染,最终呈现为用户可以识别的内容。用户界面常用的表现形式是图形用户界面(graphicuser interface,GUI),是指采用图形方式显示的与计算机操作相关的用户界面。它可以是在电子设备的显示屏中显示的文本、图标、按钮、菜单、选项卡、文本框、对话框、状态栏、导航栏、Widget等可视的界面元素。
为了便于理解,下面先对本申请实施例涉及的相关术语及概念进行介绍。
(1)特定环境
特定环境是指对电子设备的功能存在某些限制的场所或区域,例如,会议室、课堂、图书馆等等。对电子设备的功能的限制是指对电子设备资源、数据、能力等的访问限制,例如,该限制可以是指对电子设备的拍照、录像、录音、音乐、游戏等应用程序的限制,也可以是指对电子设备的网络访问状态、开关机状态、通话状态等的限制。
该特定环境可以是指一个范围限定的区域,例如公司所在的范围,也可以是指某一场景,例如开会时的会议室。
特定环境的限制范围、限制等级、限制目标、限制内容、限制时间等可以预先设置,具体关于特定环境的描述可以参考后续实施例。
(2)访问要求
访问要求即特定环境对应的访问要求,是指进入该特定环境中的用户使用电子设备时需遵循的要求。该访问要求可以由管理方设置。
用户可以通过管理方口头陈述,签署的保密协议、参会须知条款等形式获得该访问要求。
该访问要求可以指明一下任意一项或多项:
1、电子设备的受限功能
电子设备的受限功能是指不允许电子设备执行的功能。
例如,当员工进入有保密要求的会议室开会时,管理方会禁止员工使用手机的拍照、录像、录音等功能,防止会议中涉及到的商业机密遭到泄露。或者,当游客进入文物博物馆时,管理方要求游客禁止使用手机拍照,从而达到保护文物的效果。
2、电子设备的可执行功能
电子设备的可执行功能是指允许电子设备执行的功能。
例如,当学生携带手机进入课堂时,老师会要求学生只能使用与课堂相关的应用(文档、浏览器、教学辅导应用程序等),从而保证课堂的授课纪律和学习效果。或者,当顾客进入书店或艺术展览等场所时,管理方会要求顾客只能使用无外放声音或外放声音较小的应用程序,或者要求用户使用终端时的外放的声音大小小于某一阈值,从而保证公共场所的文明礼仪。
(3)访问策略
访问策略即特定环境对应的访问策略,是指进入该特定环境中的电子设备需遵循的要求。该访问策略可以由管理方设备设置。
该访问策略与访问要求相同,都可以指明以下任意一项或多项:1、电子设备的受限功能;2、电子设备的可执行功能。具体关于电子设备的受限功能和可执行功能的描述可以参考访问要求中的相关描述。
不同的是,访问策略与访问要求的形式不同。访问要求是用户可理解的形式,访问策略是电子设备可理解的形式,例如,指令、代码等形式。电子设备可以通过扫码、与管理方设备建立连接等方式获得该访问策略。
(4)访问请求
访问请求是指电子设备生成的访问资源、数据、能力等的请求指令。
该访问请求可以存在以下两种情况:
1、电子设备响应于用户操作生成的请求。例如,当电子设备接收到用户点击拍照功能的操作时,电子设备会生成对拍照功能的访问请求。
2、电子设备自主生成的请求。例如,电子设备发起来电显示时,生成打开扬声器的访问请求。
(5)签到
签到是指电子设备向管理方设备发送签到请求,该签到请求中携带有该电子设备的标识,管理方设备能够根据该签到请求得知电子设备已进入特定环境。
其中,签到可以包括但不限于以下几种方式:
1、手动签到
电子设备可以通过签到应用程序、验证信息等方式完成签到。具体地,电子设备可以安装拥有签到功能的应用程序,利用该签到功能完成签到,或者,管理方设备可以提供用户用于签到的验证信息,例如二维码、账号、验证码等,用户可以通过扫描二维码、登录账号、或者输入验证码等方式完成签到,又或者,管理方可以提供用户用于签到的感应设备,电子设备可以利用,例如近场通信技术与感应设备进行通信,从而实现签到。
2、自动签到
电子设备可以通过GPS、蓝牙、Wifi热点等定位方式自动完成签到。例如,当电子设备所在的位置位于到管理方设备管控的特定环境,电子设备连接到管理方设备管控的特定环境的蓝牙或Wifi热点等,电子设备自动完成签到。
(6)退签
退签是指管理方设备向电子设备发送退签反馈信息,电子设备根据该信息进行退签,或者,访问策略失效,电子设备的功能不再受到特定环境的限制。
其中,退签可以包括但不限于以下几种方式:
1、手动退签
电子设备在接收到管理方设备发送的退签反馈信息之前,还包括向管理方设备发送退签请求,即电子设备主动发起退签请求。电子设备可以通过签到应用程序、验证信息等方式完成退签。
也就是说,主动退签是由电子设备发起退签,电子设备可以告知管理方设备,该电子设备已离开特定环境,请求不再受管理方设备的限制。
2、自动退签
自动退签是指电子设备无需向管理方设备主动发起退签请求,直接由管理方设备向该电子设备发送退签反馈信息,或者,电子设备执行的访问策略了自动失效。例如,当管理方设备检测到电子设备获取访问策略的时间达到一定值时,管理方设备主动向电子设备发送退签反馈信息。又例如,访问策略中携带有有效时长,当电子设备获取访问策略的时间达到有效时长时,电子设备自动退签,或者,访问策略中携带有有效区域,当电子设备离开有效区域限制的范围时,电子设备自动退签。
也就是说,自动退签无须用户感知,退签可以由管理方设备发起退签,由管理方设备告知电子设备可以不再受管理方设备的限制,也可以由电子设备执行的访问策略确定退签的时机。
当用户携带电子设备进入特定环境时,管理方往往会限制进入该特定环境中的电子设备的功能。
其中,限制电子设备的功能是指,该电子设备具备的全部功能中,部分或全部功能被限制使用。
限制电子设备的功能可以包括但不限于以下两种情况:
1、指示出电子设备不能执行的功能。
2、指示出电子设备可以执行的功能。
管理方可以通过用户的自觉性来限制特定环境中的电子设备的功能。例如,管理方可以暂时没收用户的电子设备、要求用户关机等。但是,如果在该特定环境中,用户需要使用电子设备的某项功能,或电子设备中存放有用户需要使用的资料,则管理方无法通过该方法来限制电子设备的功能。又例如,管理方可以将该特定环境的访问要求告知用户,用户再根据访问要求自主配置相应的访问策略。但是,这要求用户有一定的安全和隐私知识,才能够实现对访问策略的配置。
为了使得电子设备在进入特定环境后,保证电子设备的功能受到该特定环境的限制,本申请实施例提供一种访问控制方法。在该访问控制方法中,特定环境中可以设置有管理方设备,该管理方设备中可以存储有一个或多个访问策略。该管理方设备获知有电子设备进入该特定环境后,可以从存储的一个或多个访问策略中选择一个访问策略发送给该电子设备。电子设备在接收到该特定环境的访问策略后,可以直接执行该特定环境的访问策略,无需用户确认,或者,可以提示用户是否执行该特定环境的访问策略,在用户确认后执行该特定环境的访问策略。
其中,电子设备执行该特定环境的访问策略是指,该电子设备拒绝执行该特定环境的访问策略对应的受限功能,或者,该电子设备只能执行该特定环境的访问策略对应的可执行功能。
访问策略可以限制电子设备的功能。不同的特定环境可以存在相同的访问策略。同一个特定环境可以存在多个访问策略,该多个访问策略可以是该特定环境在不同时间段的访问策略,也可以是针对不同用户的访问策略。具体关于访问策略的描述可以参考后续实施例。
在一些实施例中,管理方设备可以通过电子设备签到的方式,获知该电子设备已进入管理方设备管控的特定环境,并将该特定环境对应的访问策略发送给该电子设备。
在一些实施例中,电子设备获取该特定环境的访问策略后,如果拒绝执行该特定环境的访问策略,则该电子设备可以执行以下任意一项:1、提示用户执行该特定环境的访问策略;2、通知管理方设备当前该电子设备拒绝执行该特定环境的访问策略。
在一些实施例中,管理方设备获知电子设备拒绝执行该特定环境的访问策略时,可以再次向该电子设备发送提示信息,用于触发该电子设备提示用户执行该特定环境的访问策略。
在一些实施例中,管理方设备获知电子设备拒绝执行该特定环境的访问策略时,可以输出该电子设备的信息,以便管理人员执行进一步的操作,例如,口头警告。
实施本申请实施例提供的访问控制方法,用户无需进行繁琐的操作就能够直接获得该特定环境对应的访问策略,并遵循该特定环境的访问要求。针对不同的用户携带的电子设备,管理方可以选择不同的访问要求,并且,管理方可以监控和管理进入该特定环境的电子设备对访问策略的执行状态,提高管理方对用户携带的电子设备的管控效果。
首先介绍本申请实施例提供的通信系统1000。
图1示例性示出了通信系统1000的架构。
如图1所示,通信系统1000中可包括:一个或多个电子设备例如电子设备1001-1006。
本申请实施例中的电子设备可以搭载iOS、Android、Microsoft或者其它操作系统的便携式终端设备,例如手机、平板电脑、可穿戴设备等,还可以是具有触敏表面或触控面板的膝上型计算机(laptop)、具有触敏表面或触控面板的台式计算机等非便携式终端设备。例如,在图1所示的例子中,电子设备1001为服务器,电子设备1002-1006分别为手机、平板、笔记本电脑、智能手表、智能手环。
电子设备例如电子设备1001用于部署特定环境的范围以及特定环境中的访问策略,与特定环境中的电子设备(例如电子设备1002-1006)建立连接,并且,将访问策略发送给特定环境中的电子设备,管控特定环境中的电子设备的功能。
电子设备例如电子设备1002-1006均可以接收、存储并执行访问策略。
以电子设备1001-1002之间的访问控制为例进行说明。
电子设备1001部署特定环境的范围和特定环境中的访问策略。当电子设备1002进入或处于特定环境时,接收到电子设备1001发送的该特定环境中的访问策略。当电子设备1002需要执行某项功能时,先查看该功能是否在该访问策略描述的电子设备的受限功能中,若是则拒绝执行该功能,若否则执行该功能。或者,电子设备先查看该功能是否在该访问策略描述的电子设备的可执行功能中,若是则执行该功能,若否则拒绝执行该功能。同时,电子设备1001还能够监控电子设备1002执行访问策略的状态,如果电子设备1002拒绝执行该特定环境中的访问策略,则电子设备1001可以再次发送信息,提示电子设备执行该访问策略。最后,当电子设备1002离开特定环境时,电子设备1002可以删除或禁用该访问策略。
可以理解的是,电子设备1001-1006可以为其他类型的电子设备,本申请对此不作限制。一个特定环境中可以包含多个用于管控特定区域的电子设备例如电子设备1001,也可包含多个进入该特定环境的电子设备例如电子设备1002-1006,本申请对此不作限制。
下面介绍本申请实施例提供的电子设备100的硬件结构。
电子设备100可以为图1所示通信系统1000中的任意一个电子设备,例如电子设备1002-1006。
如图2所示,电子设备100可以是手机、平板电脑、桌面型计算机、膝上型计算机、手持计算机、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本,以及蜂窝电话、个人数字助理(personal digital assistant,PDA)、增强现实(augmented reality,AR)设备、虚拟现实(virtual reality,VR)设备、人工智能(artificial intelligence,AI)设备、可穿戴式设备、车载设备、智能家居设备和/或智慧城市设备,本申请实施例对该电子设备的具体类型不作特殊限制。
电子设备100可以包括处理器110,外部存储器接口120,内部存储器121,通用串行总线(universal serial bus,USB)接口130,充电管理模块140,电源管理模块141,电池142,天线1,天线2,移动通信模块150,无线通信模块160,音频模块170,扬声器170A,受话器170B,麦克风170C,耳机接口170D,传感器模块180,按键190,马达191,指示器192,摄像头193,显示屏194,以及用户标识模块(subscriber identification module,SIM)卡接口195等。其中传感器模块180可以包括压力传感器180A,陀螺仪传感器180B,气压传感器180C,磁传感器180D,加速度传感器180E,距离传感器180F,接近光传感器180G,指纹传感器180H,温度传感器180J,触摸传感器180K,环境光传感器180L,骨传导传感器180M等。
可以理解的是,本发明实施例示意的结构并不构成对电子设备100的具体限定。在本申请另一些实施例中,电子设备100可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
处理器110可以包括一个或多个处理单元,例如:处理器110可以包括应用处理器(application processor,AP),调制解调处理器,图形处理器(graphics processingunit,GPU),图像信号处理器(image signal processor,ISP),控制器,视频编解码器,数字信号处理器(digital signal processor,DSP),基带处理器,和/或神经网络处理器(neural-network processing unit,NPU)等。其中,不同的处理单元可以是独立的器件,也可以集成在一个或多个处理器中。
在一些实施例中,处理器可用于根据访问策略判断是否接受或拒绝访问请求,根据访问策略判断退签的时机,具体关于电子设备100判断是否接收或拒绝访问请求的内容,以及根据访问策略判断退签的时机可以参考后续实施例,这里先不赘述。
控制器可以根据指令操作码和时序信号,产生操作控制信号,完成取指令和执行指令的控制。
处理器110中还可以设置存储器,用于存储指令和数据。在一些实施例中,处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据,可从所述存储器中直接调用。避免了重复存取,减少了处理器110的等待时间,因而提高了系统的效率。
在一些实施例中,处理器110可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit,I2C)接口,集成电路内置音频(inter-integrated circuitsound,I2S)接口,脉冲编码调制(pulse code modulation,PCM)接口,通用异步收发传输器(universal asynchronous receiver/transmitter,UART)接口,移动产业处理器接口(mobile industry processor interface,MIPI),通用输入输出(general-purposeinput/output,GPIO)接口,用户标识模块(subscriber identity module,SIM)接口,和/或通用串行总线(universal serial bus,USB)接口等。
电子设备100的无线通信功能可以通过天线1,天线2,移动通信模块150,无线通信模块160,调制解调处理器以及基带处理器等实现。
天线1和天线2用于发射和接收电磁波信号。电子设备100中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用,以提高天线的利用率。例如:可以将天线1复用为无线局域网的分集天线。在另外一些实施例中,天线可以和调谐开关结合使用。
移动通信模块150可以提供应用在电子设备100上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块150可以包括至少一个滤波器,开关,功率放大器,低噪声放大器(low noise amplifier,LNA)等。移动通信模块150可以由天线1接收电磁波,并对接收的电磁波进行滤波,放大等处理,传送至调制解调处理器进行解调。移动通信模块150还可以对经调制解调处理器调制后的信号放大,经天线1转为电磁波辐射出去。在一些实施例中,移动通信模块150的至少部分功能模块可以被设置于处理器110中。在一些实施例中,移动通信模块150的至少部分功能模块可以与处理器110的至少部分模块被设置在同一个器件中。
调制解调处理器可以包括调制器和解调器。其中,调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后,被传递给应用处理器。应用处理器通过音频设备(不限于扬声器170A,受话器170B等)输出声音信号,或通过显示屏194显示图像或视频。在一些实施例中,调制解调处理器可以是独立的器件。在另一些实施例中,调制解调处理器可以独立于处理器110,与移动通信模块150或其他功能模块设置在同一个器件中。
无线通信模块160可以提供应用在电子设备100上的包括无线局域网(wirelesslocal area networks,WLAN)(如无线保真(wireless fidelity,Wi-Fi)网络),蓝牙(bluetooth,BT),全球导航卫星系统(global navigation satellite system,GNSS),调频(frequency modulation,FM),近距离无线通信技术(near field communication,NFC),红外技术(infrared,IR)等无线通信的解决方案。无线通信模块160可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块160经由天线2接收电磁波,将电磁波信号解调以及滤波处理,将处理后的信号发送到处理器110。无线通信模块160还可以从处理器110接收待发送的信号,对其进行调频,放大,经天线2转为电磁波辐射出去。
在一些实施例中,移动通信模块150和无线通信模块160可用于和其他电子设备(例如,管理方设备)进行通信。以电子设备100与管理方设备的通信为例,移动通信模块150和无线通信模块160可用于与管理方设备建立连接,向管理方设备发送签到请求,接收管理方设备发送的访问策略,向管理方设备发送退签请求,接收管理方设备发送的退签反馈信息等。
在一些实施例中,电子设备100的天线1和移动通信模块150耦合,天线2和无线通信模块160耦合,使得电子设备100可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统(global system for mobile communications,GSM),通用分组无线服务(general packet radio service,GPRS),码分多址接入(codedivision multiple access,CDMA),宽带码分多址(wideband code division multipleaccess,WCDMA),时分码分多址(time-division code division multiple access,TD-SCDMA),长期演进(long term evolution,LTE),BT,GNSS,WLAN,NFC,FM,和/或IR技术等。所述GNSS可以包括全球卫星定位系统(global positioning system,GPS),全球导航卫星系统(global navigation satellite system,GLONASS),北斗卫星导航系统(beidounavigation satellite system,BDS),准天顶卫星系统(quasi-zenith satellitesystem,QZSS)和/或星基增强系统(satellite based augmentation systems,SBAS)。在一些实施例中,电子设备100可利用GPS获取电子设备100的位置信息。
电子设备100通过GPU,显示屏194,以及应用处理器等实现显示功能。GPU为图像处理的微处理器,连接显示屏194和应用处理器。GPU用于执行数学和几何计算,用于图形渲染。处理器110可包括一个或多个GPU,其执行程序指令以生成或改变显示信息。
显示屏194用于显示图像,视频等。显示屏194包括显示面板。显示面板可以采用液晶显示屏(liquid crystal display,LCD),有机发光二极管(organic light-emittingdiode,OLED),有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrixorganic light emitting diode的,AMOLED),柔性发光二极管(flex light-emittingdiode,FLED),Miniled,MicroLed,Micro-oLed,量子点发光二极管(quantum dot lightemitting diodes,QLED)等。在一些实施例中,电子设备100可以包括1个或N个显示屏194,N为大于1的正整数。
在一些实施例中,显示屏194可用于显示电子设备100提供的用户界面,例如电子设备100签到和退签,以及功能受到限制时涉及到的用户界面。具体可参见后续实施例提供的用户界面。
摄像头193用于捕获静态图像或视频。物体通过镜头生成光学图像投射到感光元件。感光元件可以是电荷耦合器件(charge coupled device,CCD)或互补金属氧化物半导体(complementary metal-oxide-semiconductor,CMOS)光电晶体管。感光元件把光信号转换成电信号,之后将电信号传递给ISP转换成数字图像信号。ISP将数字图像信号输出到DSP加工处理。DSP将数字图像信号转换成标准的RGB,YUV等格式的图像信号。在一些实施例中,电子设备100可以包括1个或N个摄像头193,N为大于1的正整数。
在一些实施例中,摄像头193可用于识别签到时使用的二维码。
内部存储器121可以包括一个或多个随机存取存储器(random access memory,RAM)和一个或多个非易失性存储器(non-volatile memory,NVM)。
随机存取存储器可以包括静态随机存储器(static random-access memory,SRAM)、动态随机存储器(dynamic random access memory,DRAM)、同步动态随机存储器(synchronous dynamic random access memory,SDRAM)、双倍资料率同步动态随机存取存储器(double data rate synchronous dynamic random access memory,DDR SDRAM,例如第五代DDR SDRAM一般称为DDR5 SDRAM)等;非易失性存储器可以包括磁盘存储器件、快闪存储器(flash memory)。
快闪存储器按照运作原理划分可以包括NOR FLASH、NAND FLASH、3D NAND FLASH等,按照存储单元电位阶数划分可以包括单阶存储单元(single-level cell,SLC)、多阶存储单元(multi-level cell,MLC)、三阶储存单元(triple-level cell,TLC)、四阶储存单元(quad-level cell,QLC)等,按照存储规范划分可以包括通用闪存存储(英文:universalflash storage,UFS)、嵌入式多媒体存储卡(embedded multi media Card,eMMC)等。
随机存取存储器可以由处理器110直接进行读写,可以用于存储操作系统或其他正在运行中的程序的可执行程序(例如机器指令),还可以用于存储用户及应用程序的数据等。
非易失性存储器也可以存储可执行程序和存储用户及应用程序的数据等,可以提前加载到随机存取存储器中,用于处理器110直接进行读写。
在一些实施例中,内部存储器121可用于存储访问策略。其中,该访问策略可以包括但不限于以下两种情况:1、电子设备100签到后,管理方设备发送的访问策略;2、本地之前存储的访问策略,本地之前存储的访问策略可以包括电子设备100之前签到获得的访问策略,也可以包括电子设备100内部配置的访问策略。具体关于访问策略的内容可以参考后续实施例。
电子设备100可以通过音频模块170,扬声器170A,受话器170B,麦克风170C,耳机接口170D,以及应用处理器等实现音频功能。例如音乐播放,录音等。
压力传感器180A用于感受压力信号,可以将压力信号转换成电信号。在一些实施例中,压力传感器180A可以设置于显示屏194。压力传感器180A的种类很多,如电阻式压力传感器,电感式压力传感器,电容式压力传感器等。电容式压力传感器可以是包括至少两个具有导电材料的平行板。当有力作用于压力传感器180A,电极之间的电容改变。电子设备100根据电容的变化确定压力的强度。当有触摸操作作用于显示屏194,电子设备100根据压力传感器180A检测所述触摸操作强度。电子设备100也可以根据压力传感器180A的检测信号计算触摸的位置。
陀螺仪传感器180B可以用于确定电子设备100的运动姿态。在一些实施例中,可以通过陀螺仪传感器180B确定电子设备100围绕三个轴(即,x,y和z轴)的角速度。陀螺仪传感器180B可以用于拍摄防抖。示例性的,当按下快门,陀螺仪传感器180B检测电子设备100抖动的角度,根据角度计算出镜头模组需要补偿的距离,让镜头通过反向运动抵消电子设备100的抖动,实现防抖。陀螺仪传感器180B还可以用于导航,体感游戏场景。
气压传感器180C用于测量气压。在一些实施例中,电子设备100通过气压传感器180C测得的气压值计算海拔高度,辅助定位和导航。
距离传感器180F,用于测量距离。电子设备100可以通过红外或激光测量距离。在一些实施例中,拍摄场景,电子设备100可以利用距离传感器180F测距以实现快速对焦。
触摸传感器180K,也称“触控器件”。触摸传感器180K可以设置于显示屏194,由触摸传感器180K与显示屏194组成触摸屏,也称“触控屏”。触摸传感器180K用于检测作用于其上或附近的触摸操作。触摸传感器可以将检测到的触摸操作传递给应用处理器,以确定触摸事件类型。可以通过显示屏194提供与触摸操作相关的视觉输出。在另一些实施例中,触摸传感器180K也可以设置于电子设备100的表面,与显示屏194所处的位置不同。
按键190包括开机键,音量键等。按键190可以是机械按键。也可以是触摸式按键。电子设备100可以接收按键输入,产生与电子设备100的用户设置以及功能控制有关的键信号输入。
马达191可以产生振动提示。马达191可以用于来电振动提示,也可以用于触摸振动反馈。例如,作用于不同应用(例如拍照,音频播放等)的触摸操作,可以对应不同的振动反馈效果。作用于显示屏194不同区域的触摸操作,马达191也可对应不同的振动反馈效果。不同的应用场景(例如:时间提醒,接收信息,闹钟,游戏等)也可以对应不同的振动反馈效果。触摸振动反馈效果还可以支持自定义。
指示器192可以是指示灯,可以用于指示充电状态,电量变化,也可以用于指示消息,未接来电,通知等。
图3示出了本申请实施例中提供的电子设备200的硬件结构图。
电子设备200可以为图1所示通信系统1000中的电子设备1001。
如图3所示,电子设备200可以包括:一个或多个处理器201、存储器202、通信接口203、发射器205、接收器206、耦合器207和天线208。这些部件可通过总线204或者其他方式连接,图3以通过总线连接为例。其中:
通信接口203可用于电子设备200与其他通信设备,例如电子设备1002-1006。具体的,通信接口203可以是3G通信接口、长期演进(LTE)(4G)通信接口、5G通信接口、WLAN通信接口、WAN通信接口等等。不限于无线通信接口,网络设备300还可以配置有线的通信接口203来支持有线通信,例如电子设备200与其他服务器之间的回程链接可以是有线通信连接。
在本申请的一些实施例中,发射器205和接收器206可看作一个无线调制解调器。发射器205可用于对处理器201输出的信号进行发射处理。接收器206可用于接收信号。在电子设备200中,发射器205和接收器206的数量均可以是一个或者多个。天线208可用于将传输线中的电磁能转换成自由空间中的电磁波,或者将自由空间中的电磁波转换成传输线中的电磁能。耦合器207可用于将移动通信号分成多路,分配给多个的接收器206。可理解的,网络设备的天线208可以实现为大规模天线阵列。
在一些实施例中,发射器205可用于发送访问策略、退签反馈信息以及提示用户执行访问策略的提示信息等等。
在一些实施例中,接收器206可用于接收签到请求、退签请求以及访问策略的执行状态等等。
存储器202与处理器201耦合,用于存储各种软件程序和/或多组指令。具体的,存储器202可包括高速随机存取的存储器,并且也可包括非易失性存储器,例如一个或多个磁盘存储设备、闪存设备或其他非易失性固态存储设备。
存储器202可以存储操作系统(下述简称系统),例如uCOS、VxWorks、RTLinux等嵌入式操作系统。存储器202还可以存储网络通信程序,该网络通信程序可用于与一个或多个电子设备,一个或多个提供打印/投屏/投影服务的服务器进行通信。
在本申请实施例中,存储器202可用于存储一个或多个访问策略以及从多个访问策略中选择一个访问策略的策略规则。具体关于策略规则和存储一个或多个访问策略的内容可以参考后续实施例。
本申请实施例中,处理器201可用于读取和执行计算机可读指令。具体的,处理器201可用于调用存储于存储器202中的程序,例如本申请的一个或多个实施例提供的配置访问策略在电子设备200侧的实现程序,并执行该程序包含的指令。
需要说明的,图3所示的电子设备200仅仅是本申请实施例的一种实现方式,实际应用中,电子设备200还可以包括更多或更少的部件,这里不作限制。
下面结合图4A-图4I示例性介绍电子设备100上实现的一组用户界面。
在图4A-图4I所示的用户界面中,以电子设备100运行社交类应用程序为例。
图4A示例性示出了电子设备100开启社交类应用程序时显示的默认用户界面21。
如图4A所示,用户界面21包括状态栏211、更多选项212、第一菜单栏213、第二菜单栏214。
状态栏211可包括移动通信信号的一个或多个信号强度指示符、电池状态指示符以及时间指示符。
更多选项212可用于展示第一菜单栏213,即,电子设备100可以检测到用户作用于更多选项212的触控操作,响应于该操作,电子设备100显示第一菜单栏213。
第一菜单栏213包括“发起群聊”控件213A、“添加朋友”控件213B、“扫一扫”控件213C、“收付款”控件213D。
其中,“发起群聊”控件213A可用于监听触发多人聊天功能的用户操作。电子设备100可以检测到作用于“发起群聊”控件213A的用户操作,响应于该操作,电子设备100可以显示发起群聊的用户界面,用户可以选择多个好友发起多人聊天功能。
“添加朋友”控件213B可用于监听触发添加社交好友的用户操作。电子设备100可以检测到作用于“添加朋友”控件213B的用户操作,响应于该操作,电子设备100可以显示添加社交好友的用户界面,用户可以根据微信号查找用户,或者,用户可以通过扫描二维码、手机联系人等方式添加社交好友。
“扫一扫”控件213C可用于监听触发启动摄像头功能扫描图像的用户操作。电子设备100可以检测到作用于“扫一扫”控件213C的用户操作,响应于该操作,电子设备100可以显示如图4B所示的用户界面310,用户可以通过该界面实现扫码、识物、翻译等功能。
“收付款”控件213D可用于监听触发展示收付款的用户操作。电子设备100可以检测到作用于“收付款”控件213D的用户操作,响应于该操作,电子设备100可以显示收付款展示界面,用户可以通过该界面完成电子支付。
第二菜单栏214包括“主页”控件214A、“通信录”控件214B、“发现”控件214C、“本地”控件214D。
其中,“主页”控件214A可用于切换到该应用程序的默认用户界面21,“通讯录”控件214B可用于切换到通讯录界面,该界面用于展示用户添加的社交好友列表,“发现”控件214C可用于切换到发现界面,该界面用于展示该应用程序的其他功能(例如购物、娱乐、查找等),“本地”控件214D可以用于切换到用户账号管理界面,该界面用于展示用户的本地信息。
如图4B所示,用户界面31为电子设备100用于扫描图像的用户界面,当电子设备100进入该界面时,电子设备100会生成开启摄像头的访问请求,响应于该请求,该界面显示摄像头获取到的图像。
其中,用户界面31包括返回控件311、识别区域312、图库控件313。返回控件311用于退出当前显示的用户界面31,返回到用户界面21。
识别区域312可用于指示电子设备100识别图像的区域,当摄像头获取的图像位于识别区域312时,电子设备100可以根据该图像携带的信息执行响应的操作。
图库控件313可用于打开电子设备100的图库,用户可从图库中选择一张图片作为电子设备100识别的对象。
如图4B所示,识别区域312内检测到签到二维码,该签到二维码是管理方设备提供给用户签到的二维码,该二维码可以以纸质图片的形式粘贴在签到处,也可以以电子图像的形式通过管理方设备展示出来。该签到二维码可以包含管理方设备的信息(例如,IP地址),当电子设备100识别到该签到二维码中包含的信息时,向管理方设备发送签到请求,之后,退出当前用户界面31,显示如图4C所示的用户界面21。
在一些实施例中,电子设备100在想管理方设备发送签到请求后,可以在接收到管理方设备反馈的确认签到信息后,再退出用户界面31,显示如图4C所示的用户界面21。
如图4C所示,用户界面21中显示第一提示框215,第一提示框215用于提示用户当前已完成签到,在一段时间(例如,2秒)后,该第一提示框215可以自动消失。在电子设备100完成签到后,管理方设备会将访问策略发送给电子设备100。其中,该访问策略中包含禁止电子设备100使用摄像头的功能。
在一些实施例中,第一提示框215可以包含确定控件,当电子设备100检测到用户点击确定控件的操作时,该第一提示框215消失。
如图4D所示,在第一提示框215消失之后,用户界面21可以显示退签标签216。退签标签216可用于退签,取消管理方对电子设备100的功能的限制,并且,该退签标签216不属于该社交类应用程序所提供的内容,不会跟随用户界面的切换而消失或改变位置。另外,用户界面21刚开始显示退签标签216时,还可以显示第二提示框217,该第二提示框217用于提示用户点击退签标签216可进行退签,在一段时间(例如,2秒)后,该第二提示框217可以自动消失。
如图4E所示,用户界面41为该应用程序的聊天界面,用户可以通过该界面实现与其他社交好友的线上聊天。
其中,用户界面41包括第一选项框411,以及第二选项框412。
第一选项框411包括语音控件411A、文本输入框411B、更多选项411C。语音控件411A可用于监听触发语音输入的用户操作。文本输入框411B可用于监听触发文本输入的用户操作。更多选项411C可用于触发切换第二选项框412和键盘的用户操作。第二选项框412可用于展示更多聊天辅助功能,例如发送照片、拍摄照片、视频通话、发送定位信息、发送红包、转账、输入语音,分享收藏等。其中,第二选项框412包括拍摄控件412A,电子设备100可以检测到作用于拍摄控件412A的用户操作(例如,点击操作),响应于该操作,电子设备100生成启动摄像头功能的访问请求。电子设备100会根据签到时管理方发送的访问策略来决定是否接收或拒绝该访问请求。由于电子设备100签到获得的访问策略中包含禁止电子设备100使用摄像头的功能,也就是说,使用摄像头的功能为电子设备100的受限功能,电子设备100执行该访问策略时,电子设备100拒绝该访问请求,即电子设备100拒绝使用摄像头。
电子设备100可以包括但不限于以下两种执行访问策略的方式:
1、电子设备100直接执行访问策略
在一些实施例中,如图4F所示,电子设备100根据访问策略判断需拒绝启动摄像头功能的访问请求,则电子设备100拒绝该访问请求,并显示第三提示框413,第三提示框413用于提示用户签到后禁止使用摄像头,从而达到管理方设备强行限制电子设备100的功能的目的。
2、电子设备100提示用户,在用户确认后执行访问策略
在另一些实施例中,如图4G所示,电子设备100根据访问策略判断需拒绝启动摄像头功能的访问请求,电子设备100显示第四提示框414,第四提示框414用于提示用户是否继续执行该操作(作用于拍摄控件412A的用户操作)。其中,第四提示框414包括确认控件414A和拒绝控件414B,确认控件414A用于监控触发继续执行该操作(作用于拍摄控件412A的用户操作),当电子设备100检测到作用于确认控件414A的用户操作,响应于该操作,电子设备100拒绝执行访问策略,接受启动摄像头功能的访问请求,同时,电子设备100可以将拒绝执行访问策略的执行状态发送给管理方设备。当电子设备100检测到作用于拒绝控件414B的用户操作时,响应于该操作,电子设备100接受执行访问策略,拒绝启动摄像头功能的访问请求。
之后,电子设备100可以检测到作用于退签标签216的用户操作(例如,点击操作),响应于该操作,退签标签216更新为如图4H所示的第五提示框415。
如图4H所示,用户界面41中显示第五提示框415,第五提示框415用于提示用户是否退签。其中,第五提示框415包括确认控件415A和拒绝控件415B,确认控件415A用于监控触发进行退签的用户操作,当电子设备100检测到作用于确认控件415A的用户操作时,响应于该操作,电子设备100向管理方设备发送退签请求,该退签请求中可以包含电子设备100的标识,电子设备100可以接收到管理方设备反馈的退签反馈信息,并且电子设备100删除或禁止当前签到获取的访问策略,第五提示框415更新为如图4I所示的第六提示框416,第六提示框416用于提示电子设备100退签成功,之后电子设备100上生成的访问请求不会受到该访问策略的影响。拒绝控件415B用于监控触发取消退签的用户操作,当电子设备100检测到作用于拒绝控件415B的用户操作时,电子设备100签到获取的访问策略仍然有效,电子设备100的功能仍然受到访问策略的限制。
在本申请实施例中,不限于上述图4A-图4I中关于扫描二维码的方式来手动完成签到和退签,还可以存在其他的签到和退签方式,例如自动签到、自动退签。
参见图5A-图5B,如图5A所示的用户界面21,用户界面21中包括定位图标218,定位图标218用于指示用户当前已开启GPS定位功能,当电子设备100进入管理方设备管控的特定环境时,电子设备100自动完成签到,用户界面21中显示第七提示框219,第七提示框219用于提示用户已完成签到。当电子设备100离开管理方设备管控的特定环境时,电子设备100自动退签,显示如图5B所示的用户界面41中的第八提示框417,第八提示框417用于提示用户已完成退签。
在一些实施例中,电子设备100签到和退签的方式可以有多种组合方式:1、手动签到和自动退签;2、自动签到和手动退签;3、自动签到和自动退签;4、手动签到和手动退签。本申请对此不作限制。
下面结合图6A-图6F示例性介绍电子设备200上实现的一组用户界面。
图6A-图6F示例性示出了电子设备200用于监控和管理特定环境中的电子设备执行访问策略的用户界面。以电子设备100作为进入电子设备200管控的特定环境中的电子设备为例。
如图6A所示,用户界面51为电子设备200用于展示签到列表的示例性界面。当电子设备(例如电子设备100)完成签到后,用户界面51中可以新增该电子设备的信息(例如,名称信息,执行访问策略的执行状态等),当该电子设备完成退签后,用户界面51中可以删除该电子设备的信息。这样,管理方可以通过用户界面51详细了解到特定环境中的电子设备的签到和退签情况。
如图6B所示,当电子设备100完成签到请求后,用户界面51中新增签到用户512。签到用户512用于展示已签到的电子设备,签到用户512可以包括用户名称512A、执行状态图标512B。用户名称512A可以用于指示签到的电子设备100的标识,例如,用户登录账号的名称,执行状态图标512B用于指示电子设备100执行访问策略的执行状态,执行状态图标512B可以存在不同的颜色用于指示不同的执行状态。例如,当电子设备100执行访问策略时,该执行状态图标512B可以为白色,当电子设备100拒绝执行访问策略时,该执行状态图标512B可以为黑色。
进一步地,在电子设备100向电子设备200发送签到信息进行签到时,该签到信息中还可以携带有与电子设备100相关联的电子设备,即关联设备的信息,电子设备200还可以将该关联设备的信息展示在签到列表中。其中,与电子设备相关联的电子设备可以是指与电子设备100建立了蓝牙连接、网络连接,或者,与电子设备100登录了同一个账号的电子设备。
这时,签到用户512还可以包括关联设备图标512C。关联设备图标512C用于指示关联设备执行访问策略的执行状态。关联设备图标512C可以包括多个小图标,每个图标都唯一指代一个关联设备。与执行状态图标512B类似,关联设备图标512C可以存在不同的颜色用于指示不同的执行状态,具体参见执行状态图标512B的相关描述。
可以理解的是,电子设备100是指任意一个进入特定环境的电子设备,不同的电子设备签到成功后,签到列表中都能够找到唯一确定的一个与该电子设备对应的签到用户512。管理方可以通过与该电子设备对应的签到用户512查看用户名称,该电子设备以及与该电子设备相关联的电子设备执行访问策略的执行情况。
在一些实施例中,用户名称512A指示的标识还可以为电子设备100的名称、型号、序列号、IMEI号等其他可以指示出该电子设备的标识,或者,该用户名称512A可以为电子设备100签到时,电子设备200确定的名称(例如,签到序号),电子设备200可以将该名称返回给签到的电子设备,用户可以根据该名称确定其携带的电子设备在该特定环境中的标识。本申请实施例对电子设备的标识不作限制。
在一些实施例中,用户界面51中新增签到用户512的时机,可以是指电子设备200接收到电子设备100的签到请求之后。这时,用户界面51中还可以包括推送访问策略的控件,该控件可用于触发向签到列表中的电子设备统一发送访问策略。在电子设备200发送访问策略之前,执行状态图标512B的颜色可以不同于执行和拒绝执行访问策略时的颜色(例如,灰色)。这样,管理方可以根据用户界面51中电子设备的签到情况(例如,签到的电子设备的数量),自行确定发送访问策略的时机。
进一步地,管理方可以在电子设备200触发统一发送访问策略之前,选择发送给签到电子设备的访问策略,并且,不同的电子设备可以选择不同的访问策略。
在另一些实施例中,电子设备200的用户界面51中新增配置访问策略的时机,还可以是电子设备200接收到电子设备100的签到请求,并向电子设备100发送访问策略之前。这样,无需管理方手动发送访问策略,管理方设备可以在接收到签到请求后自动选择访问策略并发送,简化了管理方的操作,使管理方对用户的管控更加高效便捷。
另外,在电子设备200向签到的电子设备发送访问策略之后,执行状态图标512B的颜色可以默认为执行访问策略时的颜色。电子设备200可以接收到电子设备拒绝执行访问策略的执行状态,则执行状态图标512B的颜色变为黑色,电子设备200还可以接收到与该电子设备相关联的电子设备拒绝执行访问策略的执行状态,则执行状态图标512B的颜色变为黑色,则关联设备512C相应的小图标变为黑色。具体可参见图6B-图6C中签到电子设备的变化。
如图6B所示,用户界面51还可以包括更多选项511,当电子设备200检测到作用于如图6B所示的更多选项511时,电子设备200展示出如图6C所示的更多操作菜单513。
如图6C所示,更多操作菜单513包括查找用户控件513A、输出名单控件513B,一键提示控件513C,一键退签控件513D。
查找用户控件513A可用于从签到列表中查找具体的某一个电子设备。
输出名单控件513B可用于从签到列表中筛选出拒绝执行访问策略的电子设备,当电子设备200检测到作用于输出名单控件513B的操作时(例如,点击操作),电子设备200显示如图6D所示的用户界面。
一键提示控件513C可用于触发向签到列表中拒绝执行访问策略的电子设备发送提示信息,提示电子设备执行访问策略。
一键退签控件513D可用于触发向签到列表中的所有电子设备发送退签反馈信息,电子设备可以在接收到该退签反馈信息后完成退签。
如图6D所示,用户界面51中显示拒绝执行名单514,拒绝执行名单514用于展示拒绝执行访问策略的电子设备的信息。这样,管理方可以通过查看该界面中电子设备的信息,口头警告拒绝执行访问策略的电子设备对应的用户。之后,电子设备200可以检测到作用于签到用户512的操作(例如点击操作),响应于该操作,电子设备200显示如图6E所示的用户界面61。
如图6E所示,用户界面61用于展示具体某一个电子设备的相关信息。用户界面61包括用户信息611、关联设备信息612。用户信息611可以包括该电子设备的用户身份、签到时间、访问策略、执行状态,关联设备信息612可以指示该电子设备相关联的电子设备的执行状态。其中,用户身份可以为电子设备的登录账号的身份信息(例如,学生或老师、员工或游客等),签到时间是指电子设备200接收到该电子设备发送的签到请求的时间,访问策略是指电子设备200向该电子设备发送的访问策略,执行状态是指该电子设备执行访问策略的执行状态(例如,执行状态或拒绝执行状态)。如图6E所示,可能会出现同一个用户名称下的关联设备一部分签到而一部分未签到的情况,通过6E的界面,管理者在电子设备200处可以方便的了解不同的用户名称下的各个设备的执行状态。进一步的,电子设备可以向未签到的设备发送提示信息,或通过向属于同一用户名称下已经签到的设备发送提示信息,提示关联设备签到。
另外,用户信息611还可以包括提示控件611A、退签控件611B。提示控件611A可用于触发向该电子设备发送提示信息,提示电子设备执行访问策略,退签控件611B可用于触发向该电子设备发送退签反馈信息,该电子设备可以在接收到退签反馈信息之后完成退签。当电子设备200检测到作用于退签控件611B的操作(例如,点击操作)时,响应于该操作,电子设备200显示如图6F所示的用户界面51,用户界面51中删除电子设备100对应的签到用户512。
在一些实施例中,电子设备200还可以检测到作用于如图6E所示的关联设备信息612中展示的任意一个关联设备的操作(例如,点击操作),响应于该操作,电子设备200将用户界面61中的相关信息切换为与该关联设备的相关信息。
可以理解的是,电子设备的相关信息可以包含更多或更少的信息,不限于用户界面61中展示的信息,本申请实施例不作限制。
可以看出,本申请实施例提供的访问控制方法能够通过签到的方式管控进入特定环境的电子设备的功能,简化了用户对访问策略的配置过程,加强了管理方对用户携带的电子设备的管控效果。
上述图4A-图4I、图5A-图5B、图6A-图6F所示的过程中,电子设备100可以执行本申请实施例提供的访问控制方法,下面将结合图4A-图4I、图5A-图5B中的例子,详细介绍该访问控制方法的实施流程。
下面结合图7详细介绍本申请实施例中访问控制方法的整体流程。
如图7所示,该方法包括:
阶段1:获取访问策略
S101、第一设备完成签到,并与第二设备建立连接
第一设备和第二设备分别表示用户和管理方的设备。
其中,第一设备是指用户携带或使用的电子设备,第一设备可以是指手机、平板、电脑、手环等设备,例如图1所示的电子设备1002-1006。第二设备是指管理方用于限制特定环境内的电子设备的功能而使用的设备,第二设备可以是指服务器、电脑、手机、平板等电子设备,例如图1所示的电子设备1001。
特定环境是指由第二设备管控,对第一设备的功能存在某些限制的场所或区域。对电子设备的功能的限制是指对电子设备资源、数据、能力等的访问限制,例如,该限制可以是指对电子设备的拍照、录像、录音、音乐、游戏等应用程序的限制,也可以是指对电子设备的网络访问状态、开关机状态、通话状态等的限制。
签到是指第一设备向第二设备发送第一请求,第二设备根据该第一请求得知第一设备已进入第二设备管控的特定环境。第一请求携带该第一设备的标识。
其中,签到可以包括但不限于以下两种方式:手动签到、自动签到。
1、手动签到是指第一设备可以通过签到应用程序、验证信息等方式获取第二设备的有关信息(例如,IP地址),从而主动向第二设备发送第一请求,完成签到。其中,验证信息可以是指第二设备先输出用于签到的有关信息(例如,二维码,签到验证码),第一设备主动获取该有关信息来发起签到操作。
具体关于手动签到的方式可以参见图4A-图4C所示的用户界面及其相关描述。
2、自动签到是指第一设备可以通过GPS、蓝牙、WiFi热点等定位方式自动完成签到。第一请求可以实现为蓝牙连接请求、网络连接请求等等。当第二设备收到第一请求时,则说明第一设备进入第二设备信号的可接受范围内,这时,第一设备可认定为进入第二设备管控的特定环境。第一请求还可以是其他任何携带了位置信息的请求,这时,当第二设备提前设置特定环境的范围时,第二设备可以通过该位置信息确认第一设备是否进入第二设备管控的特定环境的范围,从而自动完成签到。
具体关于自动签到的方式可以参见图5A所示的用户界面及其相关描述。
在一些实施例中,第二设备可以更新并维护一个签到列表,在第二设备接收到第一设备发送的第一请求后,第二设备可以将第一设备的信息(例如,标识)增加到签到列表中。这样,第二设备可以明确进入特定环境的电子设备的数量,更好地管控进入特定环境中的电子设备。
第一设备完成签到和建立与第二设备的连接的前后顺序可以有以下三种情况:
1、第一设备可以先完成签到,后建立与第二设备的连接
这样,通过签到的方式,第二设备可以先获取到进入特定区域的第一设备的信息,更快地建立第一设备与第二设备的连接。
2、第一设备可以先建立与第二设备的连接,后完成签到
这样,第二设备可以更好地管控进入特定环境的电子设备,得知特定环境中的电子设备的签到和未签到情况。
3、第一设备可以在完成签到的同时建立与第二设备的连接
这样,可以加快第二设备对第一设备的管控过程,提高第二设备对第一设备的管控效果。
其中,情况1和情况2适用于手动签到的方式,即手动签到可以发生在第一设备与第二设备建立连接的前后,情况2适用于自动签到的方式,即第一设备在向第二设备发起连接请求的时候即为第一设备发起签到请求的时候,这时签到和建立连接可以同时进行。
具体关于第一设备完成签到后,第二设备的用户界面中的变化可以参见图6A-图6B所示的用户界面及其相关描述。
S102、第二设备根据限制因素选择第一访问策略
访问策略是指第二设备为特定环境配置的策略,该策略可以限制进入该特定环境的电子设备(例如,第一设备)的功能。
在一些实施例中,管理方可以预先设置特定环境的限制因素,并基于该限制因素在第二设备中配置适用于特定环境的访问策略。
其中,特定环境的限制因素包括但不限于以下一项或多项:
1、限制范围
管理方可以预先设置该特定环境的范围,只有当第一设备进入该特定环境的范围时,第一设备的功能才会被限制。再者,管理方可以设置在不同的范围内存在不同的访问要求。
这时,第二设备可以设置特定环境中第一范围、第二范围等多个区域分别对应的访问策略。
2、限制类别
管理方可以预先设置进入该特定环境的电子设备需要限制的内容,该限制的内容可以分为对应用程序的限制、对网络的限制、对资源的限制等限制类别。其中,对应用程序的限制类别还可以分为社交类应用程序、娱乐类应用程序、购物类应用程序等限制类别。
这时,第二设备可以设置特定环境中的电子设备的功能的第一内容、第二内容等多个限制类别分别对应的访问策略。
3、限制等级
管理方可以根据限制的强度给特定环境划分多个不同限制等级,不同的限制等级下设置不同强度的访问要求。等级越高,对进入该特定环境的电子设备的限制越强。例如,等级1中的访问策略不允许用户拍照,等级2中的访问策略不允许用户拍照、录像,等级3中的访问策略不允许用户拍照、录像、录音。
这时,第二设备可以设置特定环境的第一等级、第二等级等多个限制等级分别对应的访问策略。
4、限制目标
管理方可以根据限制目标划分不同的限制群体,不同的限制群体存在不同的访问要求。限制目标可以是指电子设备的类型,例如,针对手机和电脑,管理方可以设置手机禁止访问网络,电脑禁止播放视频。限制目标也可以是指电子设备的登录用户的登录身份,例如,针对教室中的老师和学生,管理方可以设置老师禁止使用通讯类应用程序,学生禁止使用游戏类、娱乐类应用程序。
这时,第二电子设备可以设置特定环境中的第一目标、第二目标等多种设备类型或者登陆用户分别对应的访问策略。
5、限制时间
管理方可以给不同的时间段设置不同的访问要求,当时间改变时,对该特定环境内的电子设备的限制也会发生改变。
这时,第二设备可以设置特定环境中的第一时段、第二时段等多个时间段分别对应的访问策略。
也就是说,第二设备可以包含多个访问策略,这多个访问策略可以包括以下一项或多项:不同特定环境对应的访问策略,同一个特定环境多个区域分别对应的访问策略,同一个特定环境多个时间段分别对应的访问策略,同一个特定环境多个限制等级分别对应的访问策略,同一个特定环境多个限制目标对应的访问策,同一个特定环境多个限制类别分别对应的访问策略等等。
可以看出,当第二设备根据限制范围、限制目标或限制时间来选择访问策略时,可以分别根据当前电子设备所处的在特定环境中的区域、电子设备的设备类型或者登录用户的登录身份,电子设备发送第一请求的时间来选择相应的访问策略。当第二设备根据限制内容、限制等级来选择访问策略时,可以分别由第二设备自主决定特定环境中的电子设备的功能的限制类别、特定环境的限制等级,从而选择相应的访问策略。
第二设备可以根据上述不同的限制因素选择相应的访问策略发送给第一设备。这样,针对进入特定环境的电子设备,不同的电子设备携带者可以遵循不同的访问要求,对电子设备的功能限制能够更加精准、多元化。
可以理解的是,特定环境的限制因素不限于上述列举的内容,管理方可以根据上述一个或多个限制因素的任意组合设置该特定环境的访问策略,也可以根据上述一个或多个限制因素的任意组合来选择访问策略,本申请实施例不作限制。
在一个具体地例子中,第二设备可以根据限制时间和限制范围来配置第一访问策略。第一访问策略可以由策略约束和策略上下文两部分构成。其中,策略约束包括主体、客体、约束动作,主体是指设备中的应用程序,客体是指受保护的资源,约束动作是指主体请求访问客体的约束动作,该约束动作可以包括两种:拒绝、接受。第一设备可以通过访问策略中的策略约束获取到管理方对特定环境中的电子设备的具体限制,例如,当一个策略约束的主体为拍照应用程序,客体为摄像头,约束动作为拒绝,表示该特定环境中拒绝使用摄像头拍照,相反,约束动作为接受时,表示该特定环境中允许使用摄像头拍照。策略上下文包括位置、时间,位置是指特定环境所在的范围,时间包括开始时间和结束时间,表示该访问策略的执行起止时间。第一设备可以通过访问策略中的策略上下文获取到管理方对特定环境定义的限制范围以及特定环境的限制时间。
可以理解的是,本申请实施例不限制S101与S102的执行顺序。当第二设备不需要根据第一设备的信息来选择访问策略时,S101与S102不存在先后关系。例如,当第二设备根据限制内容、限制等级来选择访问策略时,第二设备可以在发送访问策略前的任意时刻执行S102。当第二设备需要根据第一设备的信息来选择访问策略时,S101与S102存在一定的先后关系。例如,当第二设备根据限制范围、限制目标或限制时间来选择访问策略时,第二设备执行S102的时机可以发生在第二设备获取到第一设备的上述信息之后,其中,上述信息可以通过S101中的签到或建立连接获取。
S103、第二设备将第一访问策略发送给第一设备
具体地,第二设备可以根据第一设备的信息找到第一设备,将第一访问策略发送给第一设备。第一设备的信息可以是指第一设备向第二设备发送第一请求时,第二设备获得的信息,也可以是指第一设备与第二设备建立连接时,第二设备获得的信息。
第二设备发送第一访问策略的情况可以包括但不限于以下两种情况:
1、第二设备在接收到第一请求后,自动触发向第一设备发送第一访问策略;
这样,无需管理方手动发送访问策略,第一设备可以在接收到签到请求后自动选择访问策略并发送,简化了管理方的操作,使管理方对用户的管控更加高效便捷。
2、第二设备在接收到第一请求后,在管理方的确认发送操作后发送第一访问策略。
这样,管理方可以根据电子设备的签到情况(例如,签到的电子设备的数量),自行确定发送访问策略的时机。
在一些实施例中,第一设备发送第一请求来进行签到时,第一请求中可以携带有与第一设备相关联的电子设备的信息。这样,第二设备可以根据该信息,将第二访问策略发送给第一设备,第一设备再将第二访问策略发送给与第一设备相关联的电子设备。
其中,与第一设备相关联的电子设备可以是指与第一设备建立了蓝牙连接、网络连接,或者,与第一设备登录同一个账户的电子设备,例如,智能手环、智能手表等。
第二访问策略与第一访问策略可以为同一个访问策略,这时,第二设备不区分第一设备和与第一设备相关联的电子设备,发送同样的访问策略来限制第一设备和与第一设备相关联的电子设备的功能。或者,第二访问策略可以不同于第一访问策略,这时,针对不同的设备,第二设备可以选择不同的访问策略来限制不同的设备的功能。
在本申请实施例中与第一设备相关联的电子设备还可以是第三设备。
在一些实施例中,第二设备可以从与第一设备相关联的电子设备中选择部分电子设备,并指示第一设备将第二访问策略发送给该部分电子设备,或直接由第二设备发送给与第一设备关联的电子设备。
在另一些实施例中,在第一设备接收到第二访问策略之后,第一设备可以从与第一设备相关联的设备中选择部分电子设备,并将第二访问策略发送给该部分电子设备。
这样,当用户在该特定环境中拥有多个电子设备时,用户只需要使用其中的一个电子设备进行签到,这多个电子设备都可以同时获取到该特定环境对应的访问策略,避免用户重复进行签到,提高了用户的体验感。
具体关于第二设备发送访问策略的情况可以参考图6B所示的用户界面及其相关描述。
阶段2:执行访问策略
步骤S104和S105为两个可选的步骤,第一设备执行步骤S104时,不执行步骤S105;相反,第一设备执行步骤S105时,不执行步骤S104。
S104、第一设备执行第一访问策略
其中,执行第一访问策略是指第一设备拒绝执行第一访问策略对应的受限功能,或者第一设备只执行第一访问策略对应的可执行功能。
具体地,第一设备生成用于执行第一功能的第一访问请求,第一设备确定第一访问策略指示的第一设备可以执行的功能中是否包含第一功能,如果有,则执行第一功能,或者,第一设备确定第一访问策略指示的第一设备不能执行的功能中是否包含第一功能,如果有,则拒绝执行第一功能。
第一访问请求是指开启第一设备中的应用程序的某一功能时,第一设备生成的访问资源、数据、能力的访问请求。
其中,第一设备生成第一访问请求可以包括但不限于以下两种情况:
1、第一设备根据用户操作生成第一访问请求
用户操作是指用户作用于第一设备中的应用程序,并开启应用程序的某一功能的操作。例如,用户操作为打开拍照应用程序的点击操作,则第一访问请求为访问拍照功能的访问请求。
参见图4E,该用户操作可以是指作用于拍摄控件412A的用户操作(例如,点击操作)。第一访问请求可以是指打开摄像头的访问请求。
2、第一设备自主生成第一访问请求
第一设备自主生成的第一访问请求可以是指第一设备在没有接收到用户操作的前提下,自动开启应用程序的某一功能时,生成的访问资源、数据、能力的访问请求。例如,来电显示时,第一设备生成的访问扬声器的访问请求。
第一设备执行第一访问策略可以包括但不限于以下两种情况:
1、第一设备直接执行第一访问策略
具体关于第一设备直接执行第一访问策略的情况可以参见图4E、图4F及其相关描述。
2、第一设备提示用户,并在用户确认后执行第一访问策略
具体地,第一设备接收到第一访问策略后,第一设备接收到第一用户操作,响应于该第一用户操作,第一设备执行第一访问策略。
具体关于第一设备提示用户,并在用户确认后执行第一访问策略的情况可以参见图4E、图4G及其相关描述。
在一些实施例中,第一设备可以根据特定环境的限制因素来决定直接执行第一访问策略还是提示用户,在用户确认后再执行第一访问策略。以限制等级为例,当特定环境的限制等级较高时,第一设备在接收到第一访问策略后,可以直接执行第一访问策略;当前限制等级较低时,第一设备在接收到第一访问策略后,可以提示用户,并在用户确认后执行第一访问策略。同理,以限制目标为例,如果限制目标是指电子设备的登陆用户的身份,当登陆用户的身份为老师时,第一设备在接收到第一访问策略后,可以提示用户,并在用户确认后执行第一访问策略;当登陆用户的身份为学生时,第一设备在接收到第一访问策略后,可以直接执行第一访问策略。这样,针对不同的电子设备,可以存在不同的管理力度。
在一个具体的例子中,第一设备可以通过查看第一访问策略的主体和客体是否分别对应于第一访问请求发起的应用程序和访问的资源、数据、能力,来确定第一访问策略是否包含对第一访问请求的限制。另外,第一设备执行第一访问策略可以是指第一设备查看第一访问策略的约束动作来确定是否执行第一访问请求。如果约束动作为接受,表示第一设备接受该访问请求,则第一设备响应于访问请求,访问第一设备请求访问的资源、数据或能力,运行第一设备相应的功能。如果约束动作为拒绝,表示第一设备拒绝该访问请求,则第一设备丢弃或不响应该访问请求。
在一些实施例中,在第一设备接收到第一访问策略之后,可以将第一访问策略存储起来。这样,在第一设备再次进入该特定环境时,可以直接执行之前获取的第一访问策略。
在一些实施例中,第一访问策略可以包括执行时间。执行时间是指访问策略在用户的电子设备中执行的时间。例如,当执行时间为1小时时,访问策略对进入特定环境中的电子设备的限制时间为1个小时。具体地,当第一设备接收到第一访问策略之后,第一设备开始计时,当计时时间超过第一访问策略的执行时间时,第一设备可以删除或禁用第一访问策略,并向第二设备发送第一访问策略已失效的消息。
S105、第一设备不执行第一访问策略
其中,不执行第一访问策略是指第一设备执行第一访问策略对应的受限功能,或者第一设备拒绝执行第一访问策略对应的可执行功能。或者,第一设备执行的访问策略不是第一访问策略。
具体地,第一设备生成用于执行第二功能的第二访问请求,第一设备确定第一访问策略指示的第一设备可以执行的功能中是否包含第二功能,如果有,则拒绝执行第二功能,或者,第一设备确定第一访问策略指示的第一设备不能执行的功能中是否包含第二功能,如果有,则执行第二功能。或者,第一设备还包括一个或多个第二访问策略,所述第二访问策略不同于所述第一访问策略。
那么,第一设备不执行第一访问策略可以包括但不限于以下两种情况:
1、第一设备提示用户后,接收到用户拒绝执行第一访问策略的用户操作
具体地,第一设备接收到第一访问策略后,第一设备接收到第二用户操作,响应于该第二用户操作,第一设备拒绝执行第一访问策略。
第一设备在接收到用户拒绝执行第一访问策略的用户操作后,第一设备可以向第二设备发送消息,该消息可用于指示第一设备拒绝执行第一访问策略。
2、第一设备执行第二访问策略
第二设备执行第二访问策略是指第一设备存在多个访问策略,并且第二访问策略为第一设备从多个访问策略中选出的一个适用于第一访问请求的访问策略。
其中,第一设备存在的多个访问策略包括第一设备本地存储的访问策略以及签到获得的第一访问策略。这多个访问策略中包括冲突的访问策略。
冲突的访问策略是指两个访问策略限制的访问请求相同,约束动作不同。例如,针对第一设备生成的打开摄像头的访问请求,一个访问策略的约束动作为拒绝,一个访问策略的约束动作为接受,则这两个访问策略为冲突的访问策略。
具体地,第一设备根据策略规则从多个访问策略中选择第二访问策略并执行。
其中,策略规则包括但不限于以下四项:
1、拒绝优先:第一设备优先选择约束动作为拒绝的访问策略来执行。
2、允许优先:第一设备优先选择约束动作为接受的访问策略来执行。
3、多数选举:第一设备根据这多个访问策略的约束动作中拒绝和接受所占的比重,从比重最大的访问策略中选择一个访问策略来执行。
4、用户决策:第一设备根据用户的选择来执行相应的访问策略。具体地,第一设备可以返回提示信息,提示用户选择哪一个访问策略来执行。
可以理解的是,还可以包括其他的策略规则,本申请实施例对此不作限制。
在一些实施例中,第一设备遵循的策略规则可以由第二设备选择。具体地,在第一设备执行第一访问策略或拒绝执行第一访问策略之前,第二设备可以将策略规则发送给第一设备,第一设备根据该策略规则从这多个访问策略中选择一个访问策略。例如,当第二设备指示第一设备根据拒绝优先来选择访问策略,第一设备在遇到针对同一个访问请求,存在冲突的访问策略时,选择拒绝该访问请求。
S106、第一设备将执行状态发送给第二设备
其中,执行状态是指第一设备执行访问策略的情况。执行状态可以包括两种:拒绝执行状态、执行状态。拒绝执行状态是指第一设备拒绝执行访问策略,执行状态是指第一设备接受执行访问策略。
在一些实施例中,执行状态还可以包括第一设备执行的访问策略。这样,第二设备可以确定第一设备拒绝执行的访问策略是否为该特定环境对应的第一访问策略,或者,第二设备可以确定第一设备接受执行的访问策略是否为该特定环境对应的第一访问策略。
在一些实施例中,第二设备可以在接收到第一设备拒绝执行第一访问策略的执行状态后,再次发送第一提示信息,提示第一设备执行第一访问策略。或者第二设备输出第一设备的信息,以便管理方执行进一步地操作,例如,口头警告。
在一些实施例中,第二设备还可以接收到与第一设备相关联的电子设备的执行状态。具体地,与第一电子设备相关联的电子设备将访问策略的执行状态发送给第一设备,第一设备再将其转发给第二设备。当第二设备接收到与第一设备相关联的电子设备拒绝执行访问策略的执行状态时,第二设备可以输出该拒绝执行访问策略的电子设备的信息,或者向该拒绝执行访问策略的电子设备发送提示信息,提示其执行访问策略。
这样,第二设备可以查看特定环境中的电子设备执行的访问策略,更好地管控在特定环境中的电子设备的限制情况。
具体关于第一设备将执行状态发给第二设备时,第二设备的用户界面的变化可以参见图6B-图6C所示的用户界面及其相关描述。
阶段3:删除或禁用访问策略
S107、第一设备退签
退签是指第二设备向第一设备发送第一反馈信息,电子设备根据该信息进行退签,或者,访问策略失效,电子设备的功能不再受到特定环境的限制。
其中,退签可以包括但不限于以下两种方式:
1、手动退签
第一设备可以通过签到应用程序、验证信息等方式,主动向第二设备发送第二请求,第二设备响应于第二请求,向第一设备发送第一反馈信息,完成退签。
具体关于手动退签的方式可以参见图4H-图4I所示的用户界面及其相关描述。
2、自动退签
自动退签是指第一设备无需向第二设备主动发起退签请求,直接由第二设备向该第一设备发送第一反馈信息,完成退签。或者,第一设备执行的访问策略自动失效。例如,当第二设备检测到第一设备获取第一访问策略的时间达到时间阈值时,第二设备主动向第一设备发送第一反馈信息。又例如,第一访问策略中携带有有效时长,当第一设备获取第一访问策略的时间达到有效时长时,第一设备自动退签,或者,第一访问策略中携带有有效区域,当第一设备离开有效区域限制的范围时,第一设备自动退签。
在本申请实施例中,时间阈值还可以是指第一时长,有效时长还可以是指第二时长,有效区域还可以是指第一区域。
具体关于自动退签的方式可以参见图5B所示的用户界面及其相关描述。
可以理解的是,第一设备的退签方式同样适用于与第一设备相关联的电子设备的退签方式,具体关于与第一设备相关联的电子设备的退签方式可以参考第一设备的退签方式,此处不再赘述。
在一些实施例中,第二设备可以更新并维护一个签到列表,在第一设备退签成功后,第二设备可以将第一设备的信息从签到列表中删除。
具体关于第一设备退签时,第二设备的用户界面的变化可以参见图6E-图6F所示的用户界面及其相关内容。
S108、第一设备删除或禁用第一访问策略
第一设备可以通过删除第一访问策略的方式,取消第二设备对第一设备的功能的限制。在第一设备再次进入第二设备管控的特定环境时,第一设备可以通过签到方式重新获得相应的访问策略。
第一设备可以通过禁用第一访问策略的方式,取消第二设备对第一设备的功能的限制。在第一设备再次进入第二设备管控的特定环境时,第一设备可以在完成签到后直接执行第一访问策略,不需要再次获取访问策略。
在一些实施例中,第三设备按照第一设备的退签方式退签后也可以自行删除或禁用第二访问策略。
在一些实施例中,在第一设备删除或禁止第一访问策略之后,第一设备可以通知与第一设备相关联的电子设备删除或禁止第二访问策略。
本申请实施例提供的访问控制方法可应用于公司开会场景中,此时特定环境可以为会议室,特定环境的访问要求可以为禁止拍照、录音、录像,管理方设备为公司的服务器,服务器上配置有该访问要求对应的访问策略,用户设备为公司职员进入会议室携带的手机、平板等电子设备。当公司职员进入会议室并签到后,公司职员携带的电子设备会接收到服务器发送的访问策略,则公司职员的电子设备会受到访问策略的限制,公司职员不能够使用电子设备完成拍照、录音、录像等功能,或者,在使用电子设备拍照、录音会录像时,电子设备会显示提示信息,提示公司职员遵守会议室中对电子设备的访问要求。会议结束后,公司职员使用电子设备进行退签可以解除访问策略对电子设备的限制。
本申请实施例提供的访问控制方法还可应用于登机场景中,此时特定环境可以为飞机的机舱,特定环境的访问策略可以为禁止访问网络,管理方设备为服务器,服务器上配置有该访问要求对应的访问策略,用户设备为乘客携带的手机、平板等电子设备。当乘客登机并签到后,乘客携带的电子设备会接收到服务器发送的访问策略,则乘客的电子设备会受到访问策略的限制,乘客不能够使用电子设备实现浏览网页、在线观看视频等需要访问网络的功能,或者,在使用电子设备浏览网页、在线观看视频等需要访问网络的功能时,电子设备会显示提示信息,提示乘客遵守机舱禁止电子设备访问网络的访问要求。旅程结束后,乘客使用电子设备退签可以解除访问策略对电子设备的限制。
本申请实施例提供的访问控制方法还可应用于教学场景中,此时特定环境可以为教室所在的范围,特定环境的访问策略可以为允许学生使用文档、浏览器、教学辅导等与教学有关的应用程序,管理方设备为老师携带的电子设备(例如,手机、电脑),老师携带的电子设备上配置有该访问要求对应的访问策略,用户设备为学生携带的手机、平板等电子设备。当学生进入教室并签到后,学生携带的电子设备会接收到老师携带的电子设备发送的访问策略,则学生的电子设备会受到访问策略的限制,学生只能使用与教学有关的应用程序,或者,在使用与教学无关的应用程序(例如,娱乐类应用程序)时,学生的电子设备会显示提示信息,提示学生遵守课堂访问要求。课程结束后,学生使用电子设备退签可以解除访问策略对电子设备的限制。
本申请实施例提供的访问控制方法还可以应用于司机驾驶场景中,此时特定环境可以为车辆所在的环境,特定环境的访问策略可以为禁止使用通话应用程序,管理方设备为车载终端,车载终端上配置有该访问要求对应的访问策略,用户设备为司机携带的手机、平板等电子设备。当司机进入车辆驾驶室,通过与车载终端建立连接来完成签到后,司机携带的电子设备会接收到车载终端发送的访问策略,司机的电子设备会受到访问策略的限制,司机无法接通电话,或者,在司机接听电话时,司机的电子设备会显示提示信息,提示司机遵守驾车访问要求。驾驶结束后,司机断开与车载终端的连接,完成退签,接触访问策略对电子设备的限制。
本申请实施例提供的访问控制方法还可以应用于图书馆或文物博物馆等公共场所,此时特定环境可以为图书馆或文物博物馆等区域,特定环境的访问策略可以为禁止使用存在外放声音或禁止拍照的应用程序,管理方设备为服务器,服务器上配置有该访问要求对应的访问策略,用户设备为顾客或游客携带的手机、平板等电子设备。当用户进入图书馆或文物博物馆所在的环境并签到后,用户携带的电子设备会接收到服务器发送的访问策略,则用户的电子设备会受到访问策略的限制,用户禁止使用存在外放声音或禁止拍照的应用程序,或者,在应用程序将使用扬声器播放声音或打开摄像头时,电子设备会显示提示信息,提示用户遵守公共场所的访问要求。用户离开图书馆或文物博物馆等公共场所时,通过退签解除访问策略对电子设备的限制。
本申请实施例提供的访问控制方法还可以应用到其他的场景中,本申请实施例对此不作限制。
图8是本申请实施例的电子设备100的软件结构图。
分层架构将软件分成若干个层,每一层都有清晰的角色和分工。层与层之间通过软件接口通信。在一些实施例中,将Android系统分为四层,从上至下分别为应用程序层,应用程序框架层,安卓运行时(Android runtime)和系统库,以及内核层。
应用程序层可以包括一系列应用程序包。
如图8所示,应用程序包可以包括录音,相机,图库,通话,地图,导航,WLAN,蓝牙,音乐,视频,短信息等应用程序。
应用程序框架层为应用程序层的应用程序提供应用编程接口(applicationprogramming interface,API)和编程框架。应用程序框架层包括一些预先定义的函数。
如图7所示,应用程序框架层可以包括策略查询模块、策略决策模块、策略执行模块、策略存储模块、策略配置模块、签到模块、设备连接模块、策略推送模块、策略提醒模块、策略执行状态模块。
策略查询模块可用于查询适用于访问请求的访问策略。
策略决策模块可用于从策略查询模块中查询的到的访问策略中选择合适的访问策略。
策略执行模块可用于执行访问策略,判断是否接受或拒绝访问请求。如果接受访问请求,响应于该访问请求,电子设备100访问该访问请求所请求的资源、数据或能力。如果拒绝访问请求,电子设备100丢弃或不响应该访问请求。
策略存储模块可用于存储电子设备100获得的访问策略。该访问请求包括电子设备100签到获得的访问策略以及电子设备100本身存在的访问策略。
策略配置模块可以用电子设备100本地配置访问策略。
签到模块可用于完成电子设备100的签到和退签,同时在电子设备100退签后删除或禁用签到时获取到的访问策略。
设备连接模块可用于连接电子设备100和管理端设备。
策略推送模块可用于接收管理端设备发送的访问策略。
策略提醒模块可用于提示用户执行访问策略。
在一些实施例中,策略提醒模块还可以用于在用户拒绝执行访问策略时,再次提示用户执行访问策略。
策略执行状态模块可用于管理和维护电子设备100执行访问策略的状态,并将电子设备100执行访问策略的状态发送给管理方设备。
在一些实施例中,策略查询模块、策略决策模块、策略执行模块、策略存储模块、签到模块、设备连接模块、策略推送模块、策略提醒模块、策略执行状态模块可以实现在应用程序层或服务层。
Android Runtime包括核心库和虚拟机。Android runtime负责安卓系统的调度和管理。
核心库包含两部分:一部分是java语言需要调用的功能函数,另一部分是安卓的核心库。
应用程序层和应用程序框架层运行在虚拟机中。虚拟机将应用程序层和应用程序框架层的java文件执行为二进制文件。虚拟机用于执行对象生命周期的管理,堆栈管理,线程管理,安全和异常的管理,以及垃圾回收等功能。
系统库可以包括多个功能模块。例如:表面管理器(surface manager),媒体库(Media Libraries),三维图形处理库(例如:OpenGL ES),2D图形引擎(例如:SGL)等。
表面管理器用于对显示子系统进行管理,并且为多个应用程序提供了2D和3D图层的融合。
媒体库支持多种常用的音频,视频格式回放和录制,以及静态图像文件等。媒体库可以支持多种音视频编码格式,例如:MPEG4,H.264,MP3,AAC,AMR,JPG,PNG等。
三维图形处理库用于实现三维图形绘图,图像渲染,合成,和图层处理等。
2D图形引擎是2D绘图的绘图引擎。
内核层是硬件和软件之间的层。内核层至少包含显示驱动,摄像头驱动,音频驱动,传感器驱动。
示例性地,结合图8所示的软件架构图,图9为本申请实施例中一个示例性信息流示意图。
图9示出了电子设备100进入特定环境时,通过签到方式获得管理方设备发送的访问策略,并在生成访问请求后查找适用于该访问请求的访问策略,从查找的访问策略中确定合适的访问策略并执行的示例性信息流示意图。
签到模块可以接受用户进行签到的操作,或者签到模块可以根据用户的地理位置、蓝牙连接情况、网络连接情况等判断电子设备100是否进入管理方设备管控的特定环境,当电子设备100进入该特定环境时,签到模块可以自动完成签到。
响应于用户的签到操作,电子设备100利用设备连接模块建立电子设备100和管理方设备的连接。
在电子设备100建立和管理方设备的连接后,策略推送模块可以接收到管理方设备发送的访问策略。再者,策略推送模块可以将电子设备100签到获得的访问策略存储到策略存储模块。策略配置模块还可将本地配置的访问策略发送到策略存储模块进行存储。
策略提醒模块接收策略推送模块接收到的访问策略,返回提示执行信息,提示用户执行访问策略。
策略执行状态模块接收到策略提醒模块获得的提示结果,该提示结果可以包括:拒绝、接受。拒绝是指用户拒绝执行访问策略,接受是指用户接受执行访问策略。策略执行状态可以将电子设备100接受或拒绝执行访问策略的状态发送给管理方设备。
电子设备100可以根据用户操作生成访问请求,策略查询模块接收该访问请求后,可以根据该访问请求查找策略存储模块中存储的访问策略,找出适用于该访问请求的访问策略。
策略决策模块可以根据策略规则,从策略查询模块中查找的访问策略中确定最合适的访问策略,将该最合适的访问策略确定为电子设备100执行的访问策略。
策略执行模块可以根据策略决策模块中查找到的访问策略的约束动作,确定是否接受或拒绝该访问请求。如果接受访问请求,响应于该访问请求,电子设备100访问该访问请求所请求的资源、数据或能力。如果拒绝访问请求,电子设备100丢弃或不响应该访问请求。
可以理解的是,图9中示出的仅仅为电子设备100中的部分软件模块,不构成对电子设备100的软件架构的限定。
图10示例性示出了本申请实施例提供的电子设备200的软件结构示意图。
电子设备200的软件结构可以包括以下几个模块:签到模块、设备连接模块、策略查询模块、策略存储模块、策略配置模块、策略推送模块、策略执行状态模块、策略提醒模块。
签到模块用于接收电子设备发送的第一请求,管理进行签到的电子设备。
设备连接模块用于建立进入电子设备200管控的电子设备和电子设备200的连接。
策略查询模块用于根据限制因素从策略存储模块中选择访问策略。
策略存储模块用于存储电子设备200配置的访问策略。
策略配置模块用于根据限制因素配置特定环境中的访问策略。
策略推送模块用于将电子设备200选择的访问策略发送给签到的电子设备。
策略执行状态模块用于管理和更新接收到电子设备200发送了访问策略的电子设备执行访问策略的状态。
策略提醒模块用于提示没有执行访问策略的电子设备再次执行该访问策略。
可以理解的是,图10中示出的仅仅为电子设备200中的部分软件模块,不构成对电子设备100的软件架构的限定。
本申请的各实施方式可以任意进行组合,以实现不同的技术效果。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solidstate disk,SSD))等。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,该流程可以由计算机程序来指令相关的硬件完成,该程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法实施例的流程。而前述的存储介质包括:ROM或随机存储记忆体RAM、磁碟或者光盘等各种可存储程序代码的介质。
总之,以上所述仅为本发明技术方案的实施例而已,并非用于限定本发明的保护范围。凡根据本发明的揭露,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (24)
1.一种访问控制方法,其特征在于,所述方法应用于包含第一设备、第二设备的通信系统,所述方法包括:
所述第一设备向所述第二设备发送第一请求;
所述第二设备从多个访问策略中根据以下一项或多项选择出第一访问策略:所述第二设备设置的针对第一环境的限制等级、针对位于所述第一环境中的电子设备的功能的限制类别、所述第一设备的设备类型或者登陆用户、所述第二设备接收到所述第一请求的时间或所述第一设备位于所述第一环境中的区域;
所述第二设备响应于所述第一请求,将所述第一访问策略发送给所述第一设备;
所述第一设备接收到所述第一访问策略,并执行所述第一访问策略,或者,拒绝执行所述第一访问策略。
2.根据权利要求1所述的方法,其特征在于,执行所述第一访问策略,具体包括:
所述第一设备生成用于执行第一功能的第一访问请求;
所述第一设备确定所述第一访问策略指示的所述第一设备可以执行的功能包括所述第一功能,则执行所述第一功能;
或者,
所述第一设备确定所述第一访问策略指示的所述第一设备不能执行的功能包括所述第一功能,则拒绝执行所述第一功能。
3.根据权利要求1或2所述的方法,其特征在于,拒绝执行所述第一访问策略,具体包括:
所述第一设备生成用于执行第二功能的第二访问请求;
所述第一设备确定所述第一访问策略指示的所述第一设备可以执行的功能包括所述第二功能,则拒绝执行所述第二功能;
或者,
所述第一设备确定所述第一访问策略指示的所述第一设备不能执行的功能包括所述第二功能,则执行所述第二功能。
4.根据权利要求1-3任一项所述的方法,其特征在于,
所述第一设备接收到所述第一访问策略,并执行所述第一访问策略,或者,拒绝执行所述第一访问策略之后,所述方法还包括:
所述第一设备响应于接收到的用户操作,向所述第二设备发送第二请求;所述第二设备响应于所述第二请求,向所述第一设备发送第一反馈信息;或者,所述第二设备在向所述第一设备发送所述第一访问策略后的第一时长后,向所述第一设备发送所述第一反馈信息;
所述第一设备响应于所述第一反馈信息,删除或禁用所述第一访问策略;
或者,
所述第一访问策略中包含第二时长或第一区域,所述第一设备接收到所述第一访问策略,并执行所述第一访问策略,具体包括:
所述第一设备在接收到所述第一访问策略的所述第二时长内,或,位于所述第一区域内的区域时,执行所述第一访问策略;
在接收到所述第一访问策略的所述第二时长之后,或,在位于所述第一区域之外的区域时,删除或禁用所述第一访问策略。
5.根据权利要求1-4任一项所述的方法,其特征在于,
所述第二设备存储有多个访问策略,所述多个访问策略包括以下一项或多项:
所述第一环境的多个限制等级分别对应的访问策略;
所述第一环境中的电子设备的功能的多个限制类别分别对应的访问策略;
所述第一环境中的电子设备的多种设备类型分别对应的访问策略,或所述第一环境中的电子设备的多种登陆用户分别对应的访问策略;
所述第一环境中多个时间段分别对应的访问策略;
所述第一环境中的多个区域分别对应的访问策略。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述第一设备接收到所述第一访问策略,并执行所述第一访问策略,或者,拒绝执行所述第一访问策略,具体包括:
所述第一设备接收到所述第一访问策略后,所述第一设备接收到第一用户操作,响应于所述第一用户操作,所述第一设备执行所述第一访问策略;
或者,所述第一设备接收到所述第一访问策略后,所述第一设备接收到第二用户操作,响应于所述第二用户操作,所述第一设备拒绝执行所述第一访问策略。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述第一设备接收到所述第一访问策略,并执行所述第一访问策略,或者,拒绝执行所述第一访问策略之后,所述方法还包括:
所述第一设备将所述第一访问策略的执行状态发送给所述第二设备,所述第一访问策略的执行状态包括:执行状态,拒绝执行状态;
当所述执行状态为拒绝执行状态时,所述第二设备输出所述第一设备的信息,或者,所述第二设备向所述第一设备发送第一提示信息。
8.根据权利要求1-7任一项所述的方法,其特征在于,
所述第一请求还携带有第三设备的信息;
所述第二设备将所述第一访问策略发送给所述第一设备之后,所述方法还包括:
所述第二设备向所述第一设备发送第二访问策略;
所述第一设备将所述第二访问策略发送给所述第三设备,其中,所述第二访问策略与所述第一访问策略为同一个访问策略,或者,所述第二访问策略与所述第一访问策略不是同一个访问策略。
9.根据权利要求8所述的方法,其特征在于,所述第一设备将所述第二访问策略发送给所述第三设备之后,所述方法还包括:
所述第三设备将所述第三设备执行所述第二访问策略的执行状态发送给所述第一设备,所述第二访问策略的执行状态包括:执行状态,拒绝执行状态;
所述第一设备将所述第二访问策略的执行状态发送给所述第二设备;
当所述第二访问策略的执行状态为拒绝执行状态时,所述第二设备输出所述第三设备的信息,或者所述第二设备向所述第三设备发送第二提示信息。
10.根据权利要求8或9所述的方法,其特征在于,所述方法还包括:
所述第一设备删除或禁用所述第一访问策略之后,所述第一设备通知所述第三设备删除或禁用所述第二访问策略。
11.一种访问控制方法,其特征在于,所述方法应用于第二设备,所述方法包括:
所述第二设备接收第一设备发送的第一请求;
所述第二设备从多个访问策略中根据以下一项或多项选择出第一访问策略:所述第二设备设置的针对第一环境的限制等级、针对位于所述第一环境中的电子设备的功能的限制类别、所述第一设备的设备类型或者登陆用户、所述第二设备接收到所述第一请求的时间或所述第一设备位于所述第一环境中的区域;
所述第二设备响应于所述第一请求,将所述第一访问策略发送给所述第一设备。
12.根据权利要求11所述的方法,其特征在于,所述第二设备将所述第一访问策略发送给所述第一设备之后,所述方法还包括:
所述第二设备接收所述第一设备发送的第二请求;
所述第二设备响应于所述第二请求,向所述第一设备发送第一反馈信息;
或者,所述第二设备在向所述第一设备发送所述第一访问策略后的第一时长后,向所述第一设备发送所述第一反馈信息,所述第一反馈信息用于所述第一设备删除或禁止所述第一访问策略。
13.根据权利要求11或12所述的方法,其特征在于,
所述第二设备存储有多个访问策略,所述多个访问策略包括以下一项或多项:
所述第一环境的多个限制等级分别对应的访问策略;
所述第一环境中的电子设备的功能的多个限制类别分别对应的访问策略;
所述第一环境中的电子设备的多种设备类型分别对应的访问策略,或所述第一环境中的电子设备的多种登陆用户分别对应的访问策略;
所述第一环境中多个时间段分别对应的访问策略;
所述第一环境中的多个区域分别对应的访问策略。
14.根据权利要求11-13任一项所述的方法,其特征在于,所述第二设备将所述第一访问策略发送给所述第一设备之后,所述方法还包括:
所述第二设备接收所述第一设备发送的所述第一访问策略的执行状态,所述第一访问策略的执行状态包括:执行状态,拒绝执行状态;
当所述执行状态为拒绝执行状态时,所述第二设备输出所述第一设备的信息,或者,所述第二设备向所述第一设备发送第一提示信息。
15.根据权利要求11-14任一项所述的方法,其特征在于,
所述第一请求还携带有第三设备的信息;
所述第二设备将所述第一访问策略发送给所述第一设备之后,所述方法还包括:
所述第二设备通过所述第一设备向所述第三设备发送第二访问策略,其中,所述第二访问策略与所述第一访问策略为同一个访问策略,或者,所述第二访问策略与所述第一访问策略不是同一个访问策略。
16.根据权利要求15所述的方法,其特征在于,所述第二设备通过所述第一设备向所述第三设备发送第二访问策略之后,所述方法还包括:
所述第二设备接收所述第一设备获取的所述第三设备执行所述第二访问策略的执行状态,所述第二访问策略的执行状态包括:执行状态,拒绝执行状态;
当所述第二访问策略的执行状态为拒绝执行状态时,所述第二设备输出所述第三设备的信息,或者所述第二设备向所述第三设备发送第二提示信息。
17.一种电子设备,其特征在于,包括:存储器、一个或多个处理器;所述存储器与所述一个或多个处理器耦合,所述存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令,所述一个或多个处理器调用所述计算机指令以使的所述计算机执行以下操作:
接收第一设备发送的第一请求;
从多个访问策略中根据以下一项或多项选择出第一访问策略:所述第二设备设置的针对第一环境的限制等级、针对位于所述第一环境中的电子设备的功能的限制类别、所述第一设备的设备类型或者登陆用户、所述第二设备接收到所述第一请求的时间或所述第一设备位于所述第一环境中的区域;
响应于所述第一请求,将所述第一访问策略发送给所述第一设备。
18.根据权利要求17所述的电子设备,其特征在于,所述一个或多个处理器还用于调用所述计算机指令以使的所述计算机执行以下操作:
接收所述第一设备发送的第二请求;
响应于所述第二请求,向所述第一设备发送第一反馈信息;或者,在向所述第一设备发送所述第一访问策略后的第一时长后,向所述第一设备发送所述第一反馈信息,所述第一反馈信息用于所述第一设备删除或禁止所述第一访问策略。
19.根据权利要求17或18所述的电子设备,其特征在于,
所述存储器存储有多个访问策略,所述多个访问策略包括以下一项或多项:
所述第一环境的多个限制等级分别对应的访问策略;
所述第一环境中的电子设备的功能的多个限制类别分别对应的访问策略;
所述第一环境中的电子设备的多种设备类型分别对应的访问策略,或所述第一环境中的电子设备的多种登陆用户分别对应的访问策略;
所述第一环境中多个时间段分别对应的访问策略;
所述第一环境中的多个区域分别对应的访问策略。
20.根据权利要求17-19任一项所述的电子设备,其特征在于,所述一个或多个处理器还用于调用所述计算机指令以使的所述计算机执行以下操作:
接收所述第一设备发送的所述第一访问策略的执行状态,所述第一访问策略的执行状态包括:执行状态,拒绝执行状态;
当所述执行状态为拒绝执行状态时,输出所述第一设备的信息,或者,向所述第一设备发送第一提示信息。
21.根据权利要求17-20任一项所述的电子设备,其特征在于,
所述第一请求还携带有第三设备的信息;
将所述第一访问策略发送给所述第一设备之后,所述一个或多个处理器还用于调用所述计算机指令以使的所述计算机执行以下操作:
通过所述第一设备向所述第三设备发送第二访问策略,其中,所述第二访问策略与所述第一访问策略为同一个访问策略,或者,所述第二访问策略与所述第一访问策略不是同一个访问策略。
22.根据权利要求21所述的电子设备,其特征在于,通过所述第一设备向所述第三设备发送第二访问策略之后,所述一个或多个处理器还用于调用所述计算机指令以使的所述计算机执行以下操作::
接收所述第一设备获取的所述第三设备执行所述第二访问策略的执行状态,所述第二访问策略的执行状态包括:执行状态,拒绝执行状态;
当所述第二访问策略的执行状态为拒绝执行状态时,输出所述第三设备的信息,或者向所述第三设备发送第二提示信息。
23.一种计算机可读存储介质,包括指令,其特征在于,当所述指令在电子设备上运行时,使得所述电子设备执行如权利要求11至16任一项所述的方法。
24.一种计算机程序产品,其特征在于,当所述计算机程序产品在计算机上运行时,使得计算机执行如权利要求11至16任一项所述的方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110272096.7A CN115085958B (zh) | 2021-03-12 | 2021-03-12 | 访问控制方法及相关装置 |
| PCT/CN2022/080161 WO2022188839A1 (zh) | 2021-03-12 | 2022-03-10 | 访问控制方法及相关装置 |
| EP22766361.4A EP4290827A1 (en) | 2021-03-12 | 2022-03-10 | Access control method and related apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110272096.7A CN115085958B (zh) | 2021-03-12 | 2021-03-12 | 访问控制方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115085958A true CN115085958A (zh) | 2022-09-20 |
| CN115085958B CN115085958B (zh) | 2023-09-08 |
Family
ID=83226274
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110272096.7A Active CN115085958B (zh) | 2021-03-12 | 2021-03-12 | 访问控制方法及相关装置 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP4290827A1 (zh) |
| CN (1) | CN115085958B (zh) |
| WO (1) | WO2022188839A1 (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060191017A1 (en) * | 2004-02-23 | 2006-08-24 | Nec Corporation | Access control management method, access control management system and terminal device with access control management function |
| CN1921389A (zh) * | 2006-08-15 | 2007-02-28 | 杭州华为三康技术有限公司 | 客户端安全检测方法和权限控制系统 |
| US20070185980A1 (en) * | 2006-02-03 | 2007-08-09 | International Business Machines Corporation | Environmentally aware computing devices with automatic policy adjustment features |
| WO2010047080A1 (ja) * | 2008-10-20 | 2010-04-29 | 日本電気株式会社 | アクセス制御システム、アクセス制御方法およびプログラム |
| CN102769823A (zh) * | 2011-05-02 | 2012-11-07 | 米特尔网络公司 | 针对所选位置处的用户来管制移动计算设备的使用 |
| CN107438081A (zh) * | 2011-10-28 | 2017-12-05 | 谷歌公司 | 客户端设备的策略执行 |
| US10320624B1 (en) * | 2013-09-30 | 2019-06-11 | Amazon Technologies, Inc. | Access control policy simulation and testing |
| US10616281B1 (en) * | 2017-09-14 | 2020-04-07 | Amazon Technologies, Inc. | Service-level authorization policy management |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8787941B2 (en) * | 2012-07-31 | 2014-07-22 | Longsand Limited | Prohibiting electronic device usage based on geographical location |
| CN111124546A (zh) * | 2019-12-26 | 2020-05-08 | 联想(北京)有限公司 | 一种控制方法及电子设备 |
-
2021
- 2021-03-12 CN CN202110272096.7A patent/CN115085958B/zh active Active
-
2022
- 2022-03-10 WO PCT/CN2022/080161 patent/WO2022188839A1/zh active Application Filing
- 2022-03-10 EP EP22766361.4A patent/EP4290827A1/en active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060191017A1 (en) * | 2004-02-23 | 2006-08-24 | Nec Corporation | Access control management method, access control management system and terminal device with access control management function |
| US20070185980A1 (en) * | 2006-02-03 | 2007-08-09 | International Business Machines Corporation | Environmentally aware computing devices with automatic policy adjustment features |
| CN1921389A (zh) * | 2006-08-15 | 2007-02-28 | 杭州华为三康技术有限公司 | 客户端安全检测方法和权限控制系统 |
| WO2010047080A1 (ja) * | 2008-10-20 | 2010-04-29 | 日本電気株式会社 | アクセス制御システム、アクセス制御方法およびプログラム |
| CN102769823A (zh) * | 2011-05-02 | 2012-11-07 | 米特尔网络公司 | 针对所选位置处的用户来管制移动计算设备的使用 |
| CN107438081A (zh) * | 2011-10-28 | 2017-12-05 | 谷歌公司 | 客户端设备的策略执行 |
| US10320624B1 (en) * | 2013-09-30 | 2019-06-11 | Amazon Technologies, Inc. | Access control policy simulation and testing |
| US10616281B1 (en) * | 2017-09-14 | 2020-04-07 | Amazon Technologies, Inc. | Service-level authorization policy management |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022188839A1 (zh) | 2022-09-15 |
| CN115085958B (zh) | 2023-09-08 |
| EP4290827A1 (en) | 2023-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2021129688A1 (zh) | 显示方法及相关产品 | |
| KR102484738B1 (ko) | 어플리케이션 권한을 관리하는 방법 및 전자 장치 | |
| CN110276177B (zh) | 智能终端的登录方法及电子设备 | |
| US20230021994A1 (en) | Cross-Device Content Projection Method and Electronic Device | |
| WO2020224447A1 (zh) | 一种在联系人中添加智能家居设备的方法及系统 | |
| CN113496426A (zh) | 一种推荐服务的方法、电子设备和系统 | |
| CN114553814B (zh) | 处理推送消息的方法和装置 | |
| WO2022160991A1 (zh) | 权限控制方法和电子设备 | |
| WO2021233161A1 (zh) | 一种家庭日程融合的方法及装置 | |
| US20230297700A1 (en) | Permission Management Method and Terminal Device | |
| CN113170279B (zh) | 基于低功耗蓝牙的通信方法及相关装置 | |
| CN111615820B (zh) | 通过向grs服务器发送关键值进行域名解析的方法及设备 | |
| CN114465975B (zh) | 一种内容推送方法、装置、存储介质和芯片系统 | |
| CN115085958B (zh) | 访问控制方法及相关装置 | |
| WO2021147483A1 (zh) | 数据分享的方法和装置 | |
| CN116156044A (zh) | 设备协同方法及相关装置 | |
| CN115701018A (zh) | 安全调用服务的方法、安全注册服务的方法及装置 | |
| CN114117367A (zh) | 一种数据保护方法及电子设备 | |
| WO2024078412A1 (zh) | 跨屏分享方法、图形界面及相关装置 | |
| WO2023109636A1 (zh) | 应用卡片显示方法、装置、终端设备及可读存储介质 | |
| US20240135033A1 (en) | Access control method, electronic device, and system | |
| WO2023207890A1 (zh) | 一种界面显示方法及电子设备 | |
| CN115510447A (zh) | 组件访问方法和装置、计算机可读存储介质以及芯片 | |
| CN115941220A (zh) | 跨设备认证方法和装置 | |
| CN117675988A (zh) | 添加联系人的方法、终端设备和服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |