WO2013075412A1 - 移动终端的安全控制方法及装置 - Google Patents
移动终端的安全控制方法及装置 Download PDFInfo
- Publication number
- WO2013075412A1 WO2013075412A1 PCT/CN2012/071201 CN2012071201W WO2013075412A1 WO 2013075412 A1 WO2013075412 A1 WO 2013075412A1 CN 2012071201 W CN2012071201 W CN 2012071201W WO 2013075412 A1 WO2013075412 A1 WO 2013075412A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- application
- control
- permission
- authority
- trust level
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/16—Obfuscation or hiding, e.g. involving white box
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/66—Trust-dependent, e.g. using trust scores or trust relationships
Definitions
- the present invention relates to the field of communications, and in particular to a security control method and apparatus for a mobile terminal.
- BACKGROUND With the development of communication technologies, mobile terminals such as mobile phones have entered the era of intelligence. On the free and open smart phone platform, due to the large number of application developers and the uneven quality, it is difficult to ensure the security.
- an application developer can modify the software by developing, or using source code, to embed a malicious code such as a user's mobile phone, such as malicious code that contains malicious deduction, stealing user's private information, and leaking through a peripheral connection. The security poses a serious threat.
- the security control capability of the mobile terminal system is relatively weak, which can only guarantee the stability of the downloading program and the data integrity, and cannot effectively verify the source of the mobile terminal application software, lacking comprehensive testing and effective verification mechanism. It is also impossible to effectively manage and control the security threat behavior of the installed application, and therefore, the security of the mobile terminal cannot be effectively guaranteed.
- the security control capability of the current smart phone system mainly has the following disadvantages: 1) lacking effective support and verification means for the trustworthiness level of the mobile application software, and the application trust level attribute is exactly Effectively control the basis of the use of permissions, which results in the system can not effectively classify and control the application permissions; 2)
- the default permission control mechanism is relatively fixed, can not be dynamically and flexibly adjusted according to the actual needs of users; 3) Because it is an open development platform, the permission control of the mobile phone application is relatively loose. Most of the permission application developers only need to declare it, especially the sensitive permissions on the mobile device, for example: the permissions related to the user's payment class.
- the present invention provides a security control method for a mobile terminal, which is a technical problem that cannot ensure the safe operation of a mobile terminal due to the inability to effectively manage and control a security threat behavior of an installed application after installation. And equipment.
- a security control method for a mobile terminal including: obtaining a trust level to which the application belongs and a control permission list under the trust level, when the application uses the system permission,
- the control permission list records the authority required to be controlled under the trust level; determining whether the system permission is a permission in the control permission list; if the system permission is not the permission in the control permission list, Allowing the application to use the system permissions.
- the method further includes: if the system permission is the permission in the control permission list, determining whether there is a permission for the system Applying a control policy; if there is an application control policy for the system authority, determining whether to allow the application to use the system authority according to the application control policy.
- the method further includes: if there is no application control policy for the system authority, receiving an application control policy input by the user; according to the user input The application control policy determines whether the application is allowed to use the system permissions.
- the method before acquiring the trust level to which the application belongs and the control permission list under the trust level, the method further includes: loading a preset control policy configuration file in the specified system directory; parsing the control policy configuration file Obtaining a list of control rights under each trust level; recording the control permission list under each of the trust levels in the memory data.
- the method before acquiring the trust level to which the application belongs and the control permission list under the trust level, the method further includes: acquiring, when the system performs an application scan or installing the application, acquiring signature information of the application; Setting the digital certificate to authenticate the signature information; if the authentication is passed, setting the trust level of the application to a trust level corresponding to the digital certificate; if the authentication fails, setting the trust level of the application to Untrustworthy level.
- the rights include at least one of the following: a payment class permission, a personal privacy information class permission, and a device connection class permission.
- a security control apparatus for a mobile terminal including: a first obtaining unit, configured to acquire a trust level to which the application belongs when the application uses system rights is detected, and a control authority list under the trust level, wherein the control authority list records the authority required to be controlled under the trust level; the determining unit is configured to determine whether the system authority is a permission in the control authority list; And being configured to allow the application to use the system permission when the system permission is not the permission in the control permission list.
- the processing unit includes: a judging module, configured to determine whether an application control policy for the system authority exists when the system authority is a permission in the control authority list; and the processing module is configured to be in existence When the application control policy of the system authority is used, determining, according to the application control policy, whether the application is allowed to use the system authority.
- the security control device of the mobile terminal further includes: a loading unit, configured to load a preset control policy configuration file in a specified system directory; and a parsing unit configured to parse the control policy configuration file to obtain each trust a list of control rights under the level; a recording unit, configured to record the list of control rights under the respective trust levels in the memory data.
- the security control device of the mobile terminal further includes: a second acquiring unit, configured to acquire signature information of the application when performing an application scanning or installing the application; and an authentication unit configured to use a system preset
- the digital certificate authenticates the signature information
- the setting unit is configured to: when the authentication passes, set the trust level of the application to a trust level corresponding to the digital certificate; when the authentication fails, the application trust The rating is set to an untrustworthy level.
- the management and control functions of the authority usage are realized by dividing the trust level of the application and controlling the permission list, thereby solving the problem in the prior art.
- FIG. 1 is a preferred flow chart of a security control method for a mobile terminal according to an embodiment of the present invention
- FIG. 7 is a preferred flowchart of an application control policy in a security control method for a mobile terminal according to an embodiment of the present invention.
- FIG. 9 is a preferred embodiment of the control policy for generating the payment type authority in the security control method of the mobile terminal according to the embodiment of the present invention
- FIG. 10 is a flowchart of a preferred process of the usage control management of the payment class rights in the security control method of the mobile terminal according to the embodiment of the present invention
- FIG. 11 is a diagram showing the generation of an individual in the security control method of the mobile terminal according to the embodiment of the present invention; A preferred process flow chart for the control strategy of privacy information class permissions;
- Figure 12 is A preferred processing flowchart of the use control management of the personal privacy information type authority in the security control method of the mobile terminal according to the embodiment of the present invention;
- FIG. 13 is a diagram showing the generation of the local connection type authority in the security control method of the mobile terminal according to the embodiment of the present invention; A preferred processing flow chart of the control strategy;
- FIG. 14 is a flow chart of a preferred process for the use control management of the local connection class rights in the security control method of the mobile terminal according to an embodiment of the present invention.
- Example 1 The embodiment provides a security control method for a mobile terminal. As shown in FIG. 1, the security control method of the mobile terminal includes:
- the application is allowed to use the system permission.
- the application when the application is used to use the system permission, by dividing the trust level of the application and controlling the permission list, it is possible to determine whether to allow the application according to the trust level of the application and the corresponding permission to be controlled.
- the application can be prevented from obtaining sensitive rights on the mobile device through a simple declaration, and the technical problem that the mobile terminal cannot safely operate in the prior art is solved, and the technology for enhancing the security control capability of the mobile terminal system is achieved. effect.
- the preset control policy configuration file is loaded in the specified system directory, and the control authority configuration file is parsed to obtain a control permission list under each trust level, and each The list of control permissions under the trust level is recorded in the in-memory data.
- the foregoing loading operation performed in the system startup initialization is only an example of the embodiment. The embodiment is not limited thereto, and the foregoing loading operation may be performed at other times, for example, when scanning each application. Load operation.
- the control permission list under each trust level is stored in the memory data, and the memory data can be quickly read and written to quickly read and write the control permission list, thereby improving the protection of the embodiment.
- the security control method of the mobile terminal further includes: before the obtaining the trust level to which the application belongs and the control permission list under the trust level, when the system performs an application scan or installs an application. Obtaining the signature information of the application; using the digital certificate preset by the system to authenticate the signature information, if the authentication is passed, setting the trust level of the application to a trust level corresponding to the digital certificate; if the authentication fails, The app's trust level is set to an untrustworthy level.
- the trust level corresponding to the digital certificate may include, but is not limited to, “vendor trust level”, “operator trust level”, “third party partner trust level”, and the like.
- the trust level to which the application belongs is divided by the signature information of the application and the digital certificate preset by the system, so that the trust level to which the application belongs can be matched with the digital certificate of the system, thereby accurately implementing the application.
- the division of the trust level effectively controls the security of the system.
- when determining whether the system authority is the authority in the control authority list if the system authority is the authority in the control authority list, it is further determined whether there is an application control policy for the system authority.
- the existing application control policy is used to determine whether the application is allowed to use the system authority, and does not need to additionally interact with the user to obtain new application control. The strategy saves the operation process and improves the efficiency of the execution of the security control method.
- the user selects the current application control policy, which increases the flexibility of security control.
- the permission selection performed by the user includes but is not limited to: permission, rejection.
- the user selects the result of the permission selection into an application control policy for the system authority, and saves the application control policy in the system record.
- the foregoing rights include at least one of the following: a payment class permission, a personal privacy information class permission, and a device connection class permission.
- the security control method protected by the embodiment can be applied to different scenarios by defining the rights.
- Embodiment 2 This embodiment provides a security control device for a mobile terminal. As shown in FIG. 2, the security control device of the mobile terminal includes: a first obtaining unit 202, configured to monitor when an application uses system rights.
- the determining unit 204 is coupled to the first obtaining unit 202, Set to determine whether the system authority is a permission in the control authority list;
- the processing unit 206 is coupled to the determining unit 204, and is configured to allow the application to use the system permission when the system permission is not the permission in the control permission list. .
- the application when the application is used to use the system permission, by dividing the trust level of the application and controlling the permission list, it is possible to determine whether to allow the application to be used according to the trust level of the application and the corresponding permission to be controlled.
- the security control apparatus of the mobile terminal further includes: a loading unit 308, a parsing unit 310, and a recording unit 312, which are sequentially coupled, and the recording unit 312 and the judging unit 204. Coupling.
- the loading unit 308 loads the preset control policy configuration file in the specified system directory, and the parsing unit 310 parses the control policy configuration file to obtain a control authority list under each trust level, and the recording unit 312 records the respective The list of control permissions under the trust level is recorded in the in-memory data.
- the foregoing loading unit 308 performs the above-mentioned loading operation in the system booting initialization, which is only an example of the embodiment. The embodiment is not limited thereto, and the foregoing loading operation may be performed at other times, for example, scanning each application. The above loading operation is performed.
- control permission list under each trust level is stored in the memory data, and the memory data can be quickly read and written to quickly read and write the control permission list, thereby improving the protection of the embodiment.
- the execution speed of the security control method of the mobile terminal is provided.
- a partitioning scheme of trust levels is provided. As shown in FIG.
- the security control apparatus of the mobile terminal further includes: a second obtaining unit 314, configured to acquire a trust level to which the application belongs and the trust level Before the control permission list is performed, when the application scan or the application is installed, the signature information of the application is obtained; the authentication unit 316 is coupled with the second acquisition unit 314, and is configured to use the digital certificate preset by the system for the signature information.
- the authentication unit 318 is coupled to the authentication unit 316 and the determining unit 204, and is configured to set the trust level of the application to a trust level corresponding to the digital certificate when the authentication is passed, and when the authentication fails, the setting is performed.
- the trust level is set to an untrustworthy level.
- the trust level corresponding to the digital certificate may include, but is not limited to, “vendor trust level”, “operator trust level”, “third party partner trust level”, and the like.
- the trust level to which the application belongs is divided by the signature information of the application and the digital certificate preset by the system, so that the trust level to which the application belongs can be matched with the digital certificate of the system, thereby accurately implementing the application.
- the division of the trust level effectively controls the security of the system.
- the processing unit 206 may include: a determining module 3062, configured to determine whether the presence of the system permission is the permission in the control permission list.
- the application control policy of the system authority is configured to determine whether to allow the application to use the system authority according to the application control policy when there is an application control policy for the system authority.
- the existing application control policy is used to determine whether the application is allowed to use the system authority, and does not need to additionally interact with the user to obtain new application control.
- Strategy saving operational processes and improving the implementation of security control methods Efficiency;
- the user selects the current application control policy, which increases the flexibility of security control.
- the permission selection performed by the user includes but is not limited to: permission, rejection.
- the user after receiving the application control policy input by the user, the user selects the result of the permission selection into an application control policy for the system authority, and saves the application control policy in the system record.
- the foregoing rights include at least one of the following: a payment class permission, a personal privacy information class permission, and a device connection class permission.
- the security control method protected by the embodiment can be applied to different scenarios by defining the rights. The implementation of each of the foregoing preferred technical solutions can effectively classify the application on the mobile terminal based on the trust level, and control the use and management of the rights according to the classification of the trust level, thereby realizing the customizable control of the rights on the mobile terminal.
- Embodiment 3 In order to better explain the technical solution of this embodiment, this embodiment further illustrates the present embodiment by taking the mobile phone security control system as an example, but it is worth noting that the mobile phone is only a preferred implementation of the mobile terminal.
- the preferred embodiment is only for the purpose of better describing the present embodiment, and does not constitute a limitation to the present invention.
- it may also be a mobile terminal such as a PDA (Personal Digital Assistant).
- 4 is a schematic diagram of a preferred principle of a security control method for a mobile terminal according to an embodiment of the present invention.
- a preset control policy configuration file is first loaded and parsed, and then a control permission policy is generated according to the parsed result.
- the trust level authentication module (for example, the authentication unit 316 in FIG. 3) completes the authentication process of the application trust level, and thereby obtains the application's belonging. Trust level attribute.
- the application detects that the application uses the sensitive permission of the mobile phone, it enters the processing flow of the permission use management module, and the permission use management module works in cooperation with the trust level authentication module and the permission use policy module, and finally completes the management and control function for the authority use.
- the working steps of the mobile phone security control system are as shown in FIG. 4, and specifically include:
- the trust level authentication module performs the application trust level authentication, and thereby obtains the application trust level
- the trust level authentication module performs trust level authentication on the application, and thereby obtains the trust level attribute of the application.
- the permission usage management module detects whether the application uses the mobile phone sensitive permission.
- the application uses the rights related to the user's payment class (including sending a message, making a call, surfing the Internet, etc.), the user privacy information class permission (including the message record, When the contact record of the mobile device, the call record, etc., and the local connection permission of the mobile device (including WIFI connection, Bluetooth connection, etc.), the access management module is used for management.
- the rights usage management module obtains the trust level attribute of the application by using a trust level authentication module.
- the rights usage management module obtains the specific policy of the application authority control according to the trust level attribute of the application, and performs rights management.
- S410 Respond to the behavior of the application usage permission according to the specific control strategy obtained.
- the responding to the behavior of the application usage right includes, but is not limited to, any one of the following: 1) directly accepting; 2) directly rejecting; 3) prompting the user.
- the response form is a prompt
- the application control corresponding to the dynamic save update is selected according to the user's permission.
- Embodiment 4 In order to better explain the technical solution of this embodiment, this embodiment further explains the present embodiment by taking the mobile phone security control system as an example, but it is worth noting that the mobile phone is only a preferred implementation of the mobile terminal. The preferred embodiments are only for the purpose of better describing the embodiments, and are not intended to limit the invention.
- the preset control policy configuration file can be loaded and parsed first, and then the control permission policy is generated according to the parsed result.
- the system scans the preset application and downloads and installs the third-party application, the authentication process of the application trust level can be completed, and the attribute of the trust level of the application is obtained.
- the application detects that the application uses the sensitive permission of the mobile phone, it can enter the processing flow of the permission use management module.
- the above-mentioned authority use management module works in cooperation with the trust level authentication module and the authority use policy module, and finally completes the management and control functions for the authority use.
- Step S502 When the application scan is started or the installation of a new application is performed, the application package is decompressed, and the pair is completed. The parsing process of the application package information.
- Step S504 extracting the signature information data of the application according to the result of the application packet parsing process according to step S502, and recording.
- Step S506 the application signature information obtained in step S504 and the public key file of the mobile phone preset digital certificate are subjected to authentication processing. If the authentication is passed, step S508 is performed; otherwise, step S510 is performed.
- Step S508 the trust level corresponding to the digital certificate passed the authentication is given.
- the trust level includes a "vendor trust level”, an "operator trust level”, a "third-party partner trust level”, etc.; then, step S512 is performed. .
- Step S510 If the application signature and all the digital certificates preset by the mobile phone fail to be authenticated, the application is given an "untrusted level".
- step S512 the application trust level obtained by the authentication is recorded in the attribute configuration file corresponding to the application, and is treated as a normal attribute of the application.
- the support and verification of the trust level of the mobile phone application software is completed, so that different applications have different trust level attributes, and the effect of effective classification management and control on the application rights is achieved.
- Step S602 When the system is initialized at boot time, the preset control policy configuration file is first loaded in the specified system directory.
- the control policy configuration file may be a system default control policy configuration file.
- Step S604 performing a parsing process of the control policy configuration file, and performing classification analysis according to the trust level to obtain a permission list required for each trust level.
- Step S606 Record the privilege list required to be controlled by each of the parsed trust levels into an in-memory data structure to form a control policy.
- Step S702 When it is detected that the application uses the system sensitive permission, the process proceeds to step S704.
- step S704 the trust level attribute of the application is obtained, and it is determined whether the right belongs to the control required by the control policy (for example, the system default control authority); if not, step S706 is performed, and if yes, step S708 is performed.
- Step S708 it is determined whether the application control policy used by the authority already exists, if yes, step S710 is performed, and if not, step S712 is performed.
- step S710 the application control policy of the authority already exists, and no processing is performed.
- Step S712 prompting the user to select a corresponding application control policy for the right, and waiting for and receiving the application control policy selected by the user.
- Step S714 recording/updating the user's application control policy for the application authority.
- FIG. 8 is a process flowchart of the application authority control management in the security control method of the mobile terminal of the present invention, which includes the following steps: Step S802: When it is detected that the application uses the system sensitive authority, the process proceeds to step S804.
- Step S804 determining whether the right belongs to the control required in the control policy (for example, determining whether it belongs to the system default control authority); if not, executing step S806, and if yes, executing step S808.
- Step S806 since the permission is a permission required for the non-control policy, the use of the permission is directly released, that is, the application is allowed to use the above permission.
- Step S808 it is determined whether the application control policy used by the authority already exists, if yes, step S810 is performed, and if not, step S812 is performed. Step S810, obtaining an application control policy record of the authority, and performing control management of the authority according to the control policy.
- Step S812 since the current authority does not have a corresponding application control policy record, a pop-up prompt box prompts the user that the current system sensitive authority is being used, suspends the current work process flow, and waits for the user to further select the permission use. .
- Step S814 receiving the user's usage policy for the authority, and performing step S816 and step S818.
- the implementation of the above preferred technical solution can effectively classify the mobile terminal application based on the trust level, and classify and manage the key authority according to the application trust level classification, which is mainly reflected in the vendor And/or different control needs of the user, to customize and dynamically adjust the terminal's key authority control.
- the user can easily realize the management and control of the key sensitive permission groups of the mobile terminal, and can effectively manage and control the security threat behaviors that may exist in the mobile terminal application, thereby effectively ensuring the security of the mobile terminal.
- Embodiment 5 The following is a specific application embodiment of the mobile phone security control method based on the above embodiment.
- the management control function of the sensitive permission group which is most vulnerable to malicious intrusion and the most important protection is needed on the smart phone terminal, and the specific permission group for controlling includes: the payment type permission group (including sending messages, calls, network traffic access control rights) ), personal privacy information class permission group (including access contact records, message records, mobile device information, geographical location information), local connection class permission group (including Wireless Fidelity (WiFi) connection, Bluetooth connection) .
- the payment type permission group including sending messages, calls, network traffic access control rights
- personal privacy information class permission group including access contact records, message records, mobile device information, geographical location information
- local connection class permission group including Wireless Fidelity (WiFi) connection, Bluetooth connection
- WiFi Wireless Fidelity
- Step S902 When the system is initialized at boot time, the preset control policy configuration file is first loaded in the specified system directory. Step S904, performing a parsing process of the control policy configuration file, and parsing the payment type permission list required to be controlled under the "untrusted trust level”. Step S906, recording the list of payment-type rights that are parsed and required to be recorded into the in-memory data to form a control policy (for example, a system default control policy). 3)
- Step S1002 When it is detected that the application uses the payment type authority, step S1004 is performed.
- Step S1004 Acquire a trust level to which the application belongs, and compare with the control permission list under the trust level.
- step S1006 it is determined whether the right belongs to the authority defined in the payment type authority control policy, and if not, step S1008 is performed, and if yes, step S1010 is performed.
- step S1008 since the permission is a permission required for the non-control policy, the use of the permission is directly released.
- step S1010 it is determined whether the application control policy used by the payment authority already exists, and if yes, step S1012 is performed, and if not, step S1014 is performed.
- Step S1012 Obtain an application control policy record of the payment right, and perform control management of the authority according to the control policy.
- step S1014 since the current authority does not have a corresponding application control policy record, the system will pop up a prompt box to remind the user, suspend the current work process flow, and wait for the user to further select the use of the payment right.
- step S1016 Receiving a usage policy of the user for the payment right, performing step S1018 and step S1020.
- step S1018 the user selects the usage permission (allow this time/reject this time/always allow/always reject) to convert to the application control policy used by the authority, save and update the application control policy record value recorded by the system.
- step S1020 Respond to the use of the payment authority according to the user's selection.
- the user can well control and manage the use of the payment type permission (send message, make a call, network traffic access, etc.) according to the trust level attribute of the application, and can be used according to the user.
- the actual usage requirements and scenarios are used to flexibly adjust the application control strategy for paid-type permissions.
- the user can easily realize the purpose of managing and controlling the payment group of the mobile terminal, and can effectively prevent the security threat behavior of the mobile terminal from being maliciously infringed, thereby effectively ensuring the mobile phone.
- the security of terminal payment class permissions is based on the following scenario:
- the personal privacy information class permission group uses control management.
- Step S1102 When the system is initialized at boot time, the preset control policy configuration file is first loaded in the specified system directory.
- Step S1104 Perform a parsing process of the control policy configuration file, and parse the personal privacy information class permission list required to be controlled under the “untrustable level”.
- Step S1106 Record the parsed personal privacy information access permission list into the memory data structure to form a control policy.
- Step S1202 When it is detected that the application uses the personal privacy information authority, step S1204 is performed. Step S1204: Acquire a trust level to which the application belongs, and compare with the control permission list under the trust level.
- step S1206 it is determined whether the right belongs to the authority required to be controlled in the personal privacy information type authority control policy. If not, step S1208 is performed, and if yes, step S1210 is performed. Step S1208, since the permission is a permission required for the non-control policy, the use of the permission is directly released, that is, the application is allowed to use the above permission.
- step S1210 it is determined whether the application control policy used by the personal privacy information authority already exists, and if yes, step S1212 is performed, and if not, step S1214 is performed.
- Step S1212 Obtain an application control policy record of the personal privacy information authority, and perform control and management of the authority according to the control policy.
- Step S1214 Since the current authority does not have a corresponding application control policy record, the system will pop up a prompt box to remind the user, suspend the current work process flow, and wait for the user to further select the use of the personal privacy information.
- Step S1216 receiving the user's usage policy for the paid right, performing step S1218 and the step
- Step S1218 converting the user's use selection of the personal privacy information permission (allowing this time/rejecting this time/always allowed/always rejecting) into an application control policy used by the authority, saving and updating the application control policy record of the system record value.
- Step S1220 Perform control management of the use of the personal privacy information authority according to the user's selection.
- the implementation of the above personal privacy information security management technical solution the user can well control and manage the use of personal privacy information (access to message records, contact records, call records, etc.) of the mobile terminal application according to the trust level of the application.
- the application control strategy for the privacy of the personal privacy information can be flexibly adjusted according to the actual usage requirements and scenarios of the user.
- Embodiment 7 This embodiment is based on the following scenario: The device connection class permission group uses control management.
- Step S1302 when the system is initialized at boot time, the preset control policy configuration file is first loaded in the specified system directory.
- Step S1304 Perform a parsing process of the control policy configuration file, and parse the local connection class permission list required to be controlled under the "untrustable level”.
- Step S1306 Record the parsed local connection permission list into an in-memory data structure to form a control policy.
- Step S1402 When it is detected that the application uses the local connection authority, step S1404 is performed.
- Step S1404 Acquire a trust level to which the application belongs, and compare with the control permission list under the trust level.
- step S1406 it is determined whether the right belongs to the permission required to be controlled in the local connection type authority control policy. If not, step S1408 is performed, and if yes, step S1410 is performed.
- step S1408 since the permission is a permission required for the non-control policy, the use of the permission is directly released, that is, the application is allowed to use the above permission.
- step S1410 it is determined whether the application control policy used by the local connection authority already exists, and if yes, step S1412 is performed, and if not, step S1414 is performed.
- Step S1412 Obtain an application control policy record of the local connection permission, and perform control and management of the authority according to the control policy.
- Step S1414 since the current authority does not have a corresponding application control policy record, a pop-up prompt box prompts the user that the current system sensitive authority is being used, suspends the current work process flow, and waits for the user to use the local connection right. Further choice.
- Step S1416 receiving the user's usage policy for the local connection right, performing step S1418 and step S1420.
- Step S1418 converting the user's use selection (allowing/rejecting this time/always allowed/always rejecting) to the application control policy used by the authority, saving and updating the application control policy record value of the system record. .
- Step S1420 Perform control management of the use of the local connection authority according to the user's selection.
- the user can well control and manage the use of the device connection type permission (WiFi connection, Bluetooth connection, etc.) of the mobile terminal application according to the trust level of the application, and can be based on the actual situation of the user.
- the user can easily realize the management and control of the connection authority group of the mobile terminal device, and can effectively prevent the security threat behavior that the mobile terminal device connection authority is maliciously infringed, thereby effectively ensuring The security of the connection authority of the mobile terminal device.
- modules or steps of the present invention can be implemented by a general-purpose computing device, which can be concentrated on a single computing device or distributed over a network composed of multiple computing devices. Alternatively, they may be implemented by program code executable by the computing device, such that they may be stored in the storage device by the computing device and, in some cases, may be different from the order herein.
- the steps shown or described are performed, or they are separately fabricated into individual integrated circuit modules, or a plurality of modules or steps are fabricated as a single integrated circuit module.
- the invention is not limited to any specific combination of hardware and software.
- the above is only the preferred embodiment of the present invention, and is not intended to limit the present invention, and various modifications and changes can be made to the present invention. Any modifications, equivalent substitutions, improvements, etc. made within the spirit and scope of the present invention are intended to be included within the scope of the present invention.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明提供了一种移动终端的安全控制方法及装置,其中,该方法包括:当监测到应用使用系统权限时,获取该应用所属的信任等级以及该信任等级下的控制权限列表,其中,该控制权限列表中记录了上述信任等级下所需控制的权限;判断上述系统权限是否为控制权限列表中的权限;若上述系统权限不为该控制权限列表中的权限,则允许上述应用使用该系统权限。本发明通过对应用进行信任等级的划分以及控制权限列表,实现了对权限使用的管理及控制功能,解决了现有技术中无法保证移动终端安全运行的技术问题,达到增强了移动终端系统的安全控制能力的技术效果。
Description
移动终端的安全控制方法及装置 技术领域 本发明涉及通信领域, 具体而言, 涉及一种移动终端的安全控制方法及装置。 背景技术 随着通讯技术的发展, 手机等移动终端已经进入智能时代, 在自由、 开放的智能 手机平台上, 由于应用程序开发者较多, 质量也参差不齐, 使其安全性难以得到保证。 例如应用程序开发者可以通过开发, 或利用源代码来修改软件, 以植入含有恶意扣费、 窃取用户隐私信息并通过外设连接外泄等行为的恶意代码, 从而对用户的手机等移动 终端的安全造成严重威胁。 目前,移动终端系统的安全控制能力相对薄弱,其只能保证对下载程序的稳定性、 数据完整性进行检测, 而无法有效的验证移动终端应用软件的来源, 缺乏全面的测试 及有效的验证机制, 也无法对安装后应用程序可能存在安全威胁行为进行有效的管理 和控制, 因此, 无法对移动终端的安全性进行有效的保证。 具体来说, 以智能手机为例, 当前智能手机系统的安全控制能力主要存在以下方 面的缺点: 1 )对手机应用软件的可信任等级缺乏有效的支持及验证手段, 而应用信任 等级属性正是有效控制权限使用的基础, 这也就导致系统无法很好对应用权限进行有 效分类管理和控制; 2)默认的权限控制机制相对比较固定, 无法根据用户的实际需求 进行动态灵活的调整; 3 ) 由于是开放的开发平台, 因此对手机应用的权限使用控制比 较宽松, 绝大部分的权限应用开发者只需要声明即可获取, 尤其是手机设备上的敏感 权限, 例如: 涉及用户付费类的权限 (包括发送消息、 拨打电话、 上网等)、 用户隐私 信息类权限(包括消息记录、联系人记录、通话记录等)、手机设备本地连接类权限(包 括 WIFI连接、 蓝牙连接等) 的管理和控制。 针对相关技术中手机等移动终端的安全控制能力相对薄弱, 缺乏全面的测试及有 效的验证机制, 无法对安装后应用程序可能存在安全威胁行为进行有效的管理和控制 的问题, 目前尚未提出有效的解决方案。
发明内容 针对现有技术中由于无法对安装后应用程序可能存在安全威胁行为进行有效的管 理和控制而导致的无法保证移动终端安全运行的技术问题, 本发明提供了一种移动终 端的安全控制方法及装置。 根据本发明的一个方面, 提供了一种移动终端的安全控制方法, 包括: 当监测到 应用使用系统权限时, 获取所述应用所属的信任等级以及所述信任等级下的控制权限 列表, 其中, 所述控制权限列表中记录了所述信任等级下所需控制的权限; 判断所述 系统权限是否为控制权限列表中的权限; 若所述系统权限不为所述控制权限列表中的 权限, 则允许所述应用使用所述系统权限。 优选的, 在判断所述系统权限是否为所述控制权限列表中的权限之后, 还包括: 若所述系统权限为所述控制权限列表中的权限, 则判断是否存在用于所述系统权限的 应用控制策略; 若存在用于所述系统权限的应用控制策略, 则根据所述应用控制策略 来判断是否允许所述应用使用所述系统权限。 优选的, 在判断是否存在用于所述系统权限的应用控制策略之后, 还包括: 若不 存在用于所述系统权限的应用控制策略, 则接收用户输入的应用控制策略; 根据所述 用户输入的应用控制策略来判断是否允许所述应用使用所述系统权限。 优选的, 在获取所述应用所属的信任等级以及所述信任等级下的控制权限列表之 前, 还包括: 在指定的系统目录加载预置的控制策略配置文件; 对所述控制策略配置 文件进行解析得到各信任等级下的控制权限列表; 将所述各信任等级下的控制权限列 表记录在内存数据中。 优选的, 在获取所述应用所属的信任等级以及所述信任等级下的控制权限列表之 前, 还包括: 在系统进行应用扫描或者安装所述应用时, 获取所述应用的签名信息; 使用系统预置的数字证书对所述签名信息进行认证; 若认证通过, 则将所述应用的信 任等级设置为与所述数字证书对应的信任等级; 若认证失败, 则将所述应用的信任等 级设置为不可信任等级。 优选的, 所述权限包括以下至少之一: 付费类权限、 个人隐私信息类权限、 设备 连接类权限。 根据本发明的另一方面, 提供了一种移动终端的安全控制装置, 包括: 第一获取 单元, 设置为当监测到应用使用系统权限时, 获取所述应用所属的信任等级以及所述
信任等级下的控制权限列表, 其中, 所述控制权限列表中记录了所述信任等级下所需 控制的权限; 判断单元, 设置为判断所述系统权限是否为控制权限列表中的权限; 处 理单元, 设置为在所述系统权限不为所述控制权限列表中的权限时, 允许所述应用使 用所述系统权限。 优选的, 处理单元包括: 判断模块, 设置为在所述系统权限为所述控制权限列表 中的权限时, 判断是否存在用于所述系统权限的应用控制策略; 处理模块, 设置为在 存在用于所述系统权限的应用控制策略时, 根据所述应用控制策略来判断是否允许所 述应用使用所述系统权限。 优选的, 所述移动终端的安全控制装置还包括: 加载单元, 设置为在指定的系统 目录加载预置的控制策略配置文件; 解析单元, 设置为对所述控制策略配置文件进行 解析得到各信任等级下的控制权限列表; 记录单元, 设置为将所述各信任等级下的控 制权限列表记录在内存数据中。 优选的, 所述移动终端的安全控制装置还包括: 第二获取单元, 设置为在进行应 用扫描或者安装所述应用时, 获取所述应用的签名信息; 认证单元, 设置为使用系统 预置的数字证书对所述签名信息进行认证; 设置单元, 设置为在认证通过时, 将所述 应用的信任等级设置为与所述数字证书对应的信任等级; 在认证失败时, 将所述应用 的信任等级设置为不可信任等级。 在本发明中, 当监控到应用使用移动终端的系统中的权限时, 通过对应用进行信 任等级的划分以及控制权限列表, 实现了对权限使用的管理及控制功能, 解决了现有 技术中无法保证移动终端安全运行的技术问题, 达到增强了移动终端系统的安全控制 能力的技术效果。 附图说明 此处所说明的附图用来提供对本发明的进一步理解, 构成本申请的一部分, 本发 明的示意性实施例及其说明用于解释本发明, 并不构成对本发明的不当限定。 在附图 中: 图 1是根据本发明实施例移动终端的安全控制方法的一种优选流程图; 图 2是根据本发明实施例移动终端的安全控制装置的一种优选结构图; 图 3是根据本发明实施例移动终端的安全控制装置的又一种优选结构图;
图 4是根据本发明实施例移动终端的安全控制方法的一种优选原理示意图; 图 5是根据本发明实施例移动终端的安全控制方法中应用信任等级认证的一种优 选流程图; 图 6 是根据本发明实施例移动终端的安全控制方法中控制策略的一种优选流程 图; 图 7是根据本发明实施例移动终端的安全控制方法中应用控制策略的一种优选流 程图; 图 8是根据本发明实施例移动终端的安全控制方法中应用权限使用控制管理的一 种优选处理流程图; 图 9是根据本发明实施例移动终端的安全控制方法中生成付费类权限的控制策略 的一种优选流程图; 图 10 是根据本发明实施例移动终端的安全控制方法中付费类权限的使用控制管 理的一种优选处理流程图; 图 11 是根据本发明实施例移动终端的安全控制方法中生成个人隐私信息类权限 的控制策略的一种优选处理流程图; 图 12 是根据本发明实施例移动终端的安全控制方法中个人隐私信息类权限的使 用控制管理的一种优选处理流程图; 图 13 是根据本发明实施例移动终端的安全控制方法中生成本地连接类权限的控 制策略的一种优选处理流程图; 图 14 是根据本发明实施例移动终端的安全控制方法中本地连接类权限的使用控 制管理的一种优选处理流程图。 具体实施方式 下文中将参考附图并结合实施例来详细说明本发明。 需要说明的是, 在不冲突的 情况下, 本申请中的实施例及实施例中的特征可以相互组合。 实施例 1
本实施例提供了一种优选的移动终端的安全控制方法, 如图 1所示, 该移动终端 的安全控制方法包括:
S102, 当监测到应用使用系统权限时, 获取该应用所属的信任等级以及该信任等 级下的控制权限列表, 其中, 该控制权限列表中记录了上述信任等级下所需控制的权 限。
S104, 判断上述系统权限是否为控制权限列表中的权限。
S106, 若上述系统权限不为该控制权限列表中的权限, 则允许上述应用使用该系 统权限。 在上述实施例中, 当监测到应用使用系统权限时, 通过对应用进行信任等级的划 分以及控制权限列表, 可以实现根据应用的信任等级以及所对应的需要控制的权限来 判断是否允许该应用来使用上述系统权限, 这样避免了应用通过简单的申明可以获得 移动设备上的敏感权限, 解决了现有技术中无法保证移动终端安全运行的技术问题, 达到增强了移动终端系统的安全控制能力的技术效果。 在一个优选的实施例中, 当系统开机初始化时, 在指定的系统目录中加载预置的 控制策略配置文件, 通过对控制策略配置文件进行解析得到各信任等级下的控制权限 列表, 并将各信任等级下的控制权限列表记录在内存数据中。 当然, 上述在系统开机 初始化执行上述的加载操作只是本实施例的一种示例, 本实施例不仅限于此, 还可以 在其他时刻来执行上述的加载操作, 例如, 对各个应用进行扫描时执行上述的加载操 作。 在上述的优选实施例中, 将各信任等级下的控制权限列表存储在内存数据中, 可 以利用内存数据读写快速地优势实现对控制权限列表地快速读写, 从而提高了本实施 例所保护的移动终端的安全控制方法的执行速度。 在另一个优选的实施例中, 提供了一种信任等级的划分方案。 具体而言, 在上述 各个优选实施例的基础上, 移动终端的安全控制方法还包括: 在获取上述应用所属的 信任等级以及上述信任等级下的控制权限列表之前, 当系统进行应用扫描或者安装应 用时, 获取应用的签名信息; 使用系统预置的数字证书对上述签名信息进行认证, 若 认证通过, 则将该应用的信任等级设置为与上述数字证书对应的信任等级; 若认证失 败, 则将该应用的信任等级设置为不可信任等级。 优选的, 与上述数字证书对应的信 任等级可以包括但不限于: "厂商信任等级"、 "运营商信任等级"、 "第三方合作厂商信 任等级 "等。在上述实施例中, 通过对应用的签名信息和系统预置的数字证书来划分应 用所属的信任等级, 这样, 应用所属的信任等级可以与系统的数字证书相匹配, 从而 能够准确地实现对应用的信任等级的划分, 有效地控制了系统的安全性。
在另一个优选的实施例中, 在判断系统权限是否为控制权限列表中的权限时, 若 系统权限为控制权限列表中的权限, 则需进一步判断是否存在用于系统权限的应用控 制策略。 若存在用于系统权限的应用控制策略, 则根据应用控制策略来判断是否允许 应用使用系统权限。 若不存在用于系统权限的应用控制策略, 则接收用户输入的应用 控制策略, 根据上述用户输入的应用控制策略来判断是否允许上述应用使用该系统权 限。 在上述优选的实施例中, 在存在用于系统权限的应用控制策略时, 使用已有的应 用控制策略来判断是否允许应用使用系统权限, 而不需要额外地与用户进行交互获取 新的应用控制策略, 节省了操作流程, 提高了安全控制方法执行的效率; 此外, 在不 存在用于系统权限的应用控制策略时, 通过用户来选择当前的应用控制策略, 增加了 安全控制的灵活性。 优选的, 上述用户进行的权限选择包括但不局限于: 允许、 拒绝。 在上述实施例 的基础上, 在接收用户输入的应用控制策略之后, 将用户对于该权限选择的结果转化 为用于上述系统权限的应用控制策略, 并在系统记录中保存应用控制策略。 在另一个优选的实施例中, 上述权限包括以下至少之一: 付费类权限、 个人隐私 信息类权限、 设备连接类权限。 在本优选实施例中, 通过对权限的限定, 可以使得本 实施例所保护的安全控制方法可以适用于不同的场景。 上述各个优选技术方案的实施, 能够有效的对移动终端上的应用进行基于信任等 级的分类, 并根据信任等级的分类来控制权限的使用和管理, 实现对移动终端上的权 限进行控制的可定制化及可动态调整化, 对移动终端上的应用可能存在的安全威胁行 为进行有效管理控制, 保证移动终端的安全性。 实施例 2 本实施例提供了一种优选的移动终端的安全控制装置, 如图 2所示, 该移动终端 的安全控制装置包括: 第一获取单元 202, 设置为当监测到应用使用系统权限时, 获 取该应用所属的信任等级以及该信任等级下的控制权限列表, 其中, 该控制权限列表 中记录了该信任等级下所需控制的权限; 判断单元 204, 与第一获取单元 202相耦合, 设置为判断上述系统权限是否为控制权限列表中的权限; 处理单元 206, 与判断单元 204 相耦合, 设置为在该系统权限不为上述控制权限列表中的权限时, 允许上述应用 使用该系统权限。 上述实施例中, 当监测到应用使用系统权限时, 通过对应用进行信任等级的划分 以及控制权限列表, 可以实现根据应用的信任等级以及所对应的需要控制的权限来判 断是否允许该应用来使用上述系统权限, 这样避免了应用通过简单的申明可以获得移
动设备上的敏感权限, 解决了现有技术中无法保证移动终端安全运行的技术问题, 达 到增强了移动终端系统的安全控制能力的技术效果。 在一个优选的实施例中, 具体的, 如图 3所示, 上述移动终端的安全控制装置还 包括: 加载单元 308, 解析单元 310和记录单元 312, 依次相耦合, 记录单元 312与判 断单元 204相耦合。 当系统开机初始化时, 加载单元 308在指定的系统目录加载预置 的控制策略配置文件, 解析单元 310对该控制策略配置文件进行解析得到各信任等级 下的控制权限列表, 记录单元 312将该各信任等级下的控制权限列表记录在内存数据 中。 当然, 上述加载单元 308在系统开机初始化执行上述的加载操作只是本实施例的 一种示例, 本实施例不仅限于此, 还可以在其他时刻来执行上述的加载操作, 例如, 对各个应用进行扫描时执行上述的加载操作。 在上述的优选实施例中, 将各信任等级 下的控制权限列表存储在内存数据中, 可以利用内存数据读写快速地优势实现对控制 权限列表地快速读写, 从而提高了本实施例所保护的移动终端的安全控制方法的执行 速度。 在另一个优选的实施例中, 提供了一种信任等级的划分方案。 如图 3所示, 具体 而言, 在上述各个优选的实施例的基础上, 移动终端的安全控制装置还包括: 第二获 取单元 314, 设置为在获取上述应用所属的信任等级以及该信任等级下的控制权限列 表之前,在进行应用扫描或者安装上述应用时,获取该应用的签名信息;认证单元 316, 与第二获取单元 314相耦合,设置为使用系统预置的数字证书对该签名信息进行认证; 设置单元 318, 与认证单元 316和判断单元 204相耦合, 设置为在认证通过时, 将上 述应用的信任等级设置为与上述数字证书对应的信任等级, 在认证失败时, 将该应用 的信任等级设置为不可信任等级。 优选的, 与上述数字证书对应的信任等级可以包括 但不限于: "厂商信任等级"、 "运营商信任等级"、 "第三方合作厂商信任等级 "等。 在 上述实施例中, 通过对应用的签名信息和系统预置的数字证书来划分应用所属的信任 等级, 这样, 应用所属的信任等级可以与系统的数字证书相匹配, 从而能够准确地实 现对应用的信任等级的划分, 有效地控制了系统的安全性。 在另一个优选的实施例中, 具体的, 如图 3所示, 处理单元 206可以包括: 判断 模块 3062, 设置为在上述系统权限为上述控制权限列表中的权限时, 判断是否存在用 于该系统权限的应用控制策略; 处理模块 3064, 与判断模块 3062相耦合, 设置为在 存在用于该系统权限的应用控制策略时, 根据上述应用控制策略来判断是否允许上述 应用使用该系统权限。 在上述优选的实施例中, 在存在用于系统权限的应用控制策略 时, 使用已有的应用控制策略来判断是否允许应用使用系统权限, 而不需要额外地与 用户进行交互获取新的应用控制策略, 节省了操作流程, 提高了安全控制方法执行的
效率; 此外, 在不存在用于系统权限的应用控制策略时, 通过用户来选择当前的应用 控制策略, 增加了安全控制的灵活性。 优选的, 上述用户进行的权限选择包括但不局限于: 允许、 拒绝。 在上述实施例 的基础上, 在接收用户输入的应用控制策略之后, 将该用户对于该权限选择的结果转 化为用于该系统权限的应用控制策略, 并在系统记录中保存应用控制策略。 在另一个优选的实施例中, 上述权限包括以下至少之一: 付费类权限、 个人隐私 信息类权限、 设备连接类权限。 在本优选实施例中, 通过对权限的限定, 可以使得本 实施例所保护的安全控制方法可以适用于不同的场景。 上述各个优选技术方案的实施, 能够有效的对移动终端上的应用进行基于信任等 级的分类, 并根据信任等级的分类来控制权限的使用和管理, 实现对移动终端上的权 限进行控制的可定制化及可动态调整化, 对移动终端上的应用可能存在的安全威胁行 为进行有效管理控制, 保证移动终端的安全性。 实施例 3 为了更好的说明本实施例的技术方案, 本实施例以手机安全控制系统为例来进一 步对本实施例进行解释, 但是值得注意的是, 手机只是作为移动终端的一种优选的实 施例, 该优选实施例只是为了更好的描述本实施例, 并不构成对本发明不当的限定, 例如, 还可以是 PDA (Personal Digital Assistant, 掌上电脑) 等移动终端。 图 4是本发明实施例移动终端的安全控制方法的一种优选原理示意图, 系统初始 化时会首先加载和解析预置的控制策略配置文件, 然后根据解析的结果生成控制权限 策略。 在系统开机扫描预置应用以及进行第三方应用的下载安装时, 信任等级认证模 块 (例如, 图 3 中的认证单元 316 ) 会完成对应用信任等级的认证处理, 并由此得到 应用的所属的信任等级属性。 当监控到应用使用手机敏感权限时, 会进入权限使用管 理模块的处理流程, 所述权限使用管理模块通过与信任等级认证模块及权限使用策略 模块协同工作, 最终完成对权限使用的管理及控制功能。 在本实施例中, 手机安全控制系统的工作步骤如图 4所示, 具体包括:
S402: 信任等级认证模块进行应用信任等级认证, 并由此得到应用的信任等级属
优选的, 在第一次开机扫描应用或安装应用时, 信任等级认证模块对应用进行信 任等级认证, 并由此得到应用的信任等级属性。
S404: 权限使用管理模块对应用是否使用手机敏感权限进行检测。 优选的, 当权限使用管理模块检测到应用使用手机敏感权限时, 如所述应用使用 涉及用户付费类的权限(包括发送消息、拨打电话、上网等)、用户隐私信息类权限(包 括消息记录、联系人记录、通话记录等)、手机设备本地连接类权限(包括 WIFI连接、 蓝牙连接等) 时, 进入到权限使用管理模块进行管理。
S406: 权限使用管理模块通过信任等级认证模块获取所述应用的信任等级属性。
S408: 权限使用管理模块根据所述应用的信任等级属性, 从权限使用策略模块得 到该应用权限控制的具体策略, 进行权限管理。
S410: 根据得到的具体控制策略, 对应用使用权限的行为做出响应。 优选的, 所述对应用使用权限的行为做出响应包括但不局限以下任意之一: 1 )直 接接受; 2) 直接拒绝; 3 ) 提示用户。 在响应形式为提示的情况下, 会根据用户的权限使用选择动态保存更新对应的应 用控制。 实施例 4 为了更好的说明本实施例的技术方案, 本实施例以手机安全控制系统为例来进一 步对本实施例进行解释, 但是值得注意的是, 手机只是作为移动终端的一种优选的实 施例, 该优选实施例只是为了更好的描述本实施例, 并不构成对本发明不当的限定。 系统初始化时可以首先加载和解析预置的控制策略配置文件, 然后根据解析的结 果生成控制权限策略。 在系统开机扫描预置应用以及进行第三方应用的下载安装时, 能够完成对应用信任等级的认证处理, 并由此得到应用的所属的信任等级属性。 当监 控到应用使用手机敏感权限时, 可以进入权限使用管理模块的处理流程, 上述权限使 用管理模块通过与信任等级认证模块及权限使用策略模块协同工作, 最终完成对权限 使用的管理及控制功能。 优选的, 图 5是本发明优选实施例应用信任等级认证流程图, 具体包括如下步骤: 步骤 S502, 在开机进行应用扫描或者是进行新应用的安装时, 对应用包进行解压 操作, 并完成对应用包信息的解析处理。
步骤 S504, 根据步骤 S502对应用包解析处理的结果, 提取出应用的签名信息数 据, 并记录下来。 步骤 S506, 将步骤 S504得到的应用签名信息与手机预置数字证书的公钥文件进 行认证处理, 若认证通过, 执行步骤 S508, 否则执行步骤 S510。 步骤 S508, 赋予认证通过的数字证书所对应的信任等级, 优选的, 上述信任等级 包括"厂商信任等级"、 "运营商信任等级"、 "第三方合作厂商信任等级 "等; 然后, 执 行步骤 S512。 步骤 S510,若应用签名与手机预置的所有数字证书均认证失败,则赋予该应用 "不 可信任等级"。 步骤 S512, 将认证得到的应用信任等级记录到应用对应的属性配置文件中, 作为 应用的一个常态属性对待。 通过以上步骤 S502到 S512, 完成对手机应用软件的信任等级的支持及验证, 使 不同应用具有不同信任等级属性, 达到对应用权限进行有效分类管理和控制的效果。 优选的, 图 6是本发明移动终端的安全控制方法中生成控制策略的流程图,包括: 步骤 S602, 系统开机时初始化时, 首先会在指定的系统目录加载预置好的控制策 略配置文件, 优选的, 该控制策略配置文件可以为系统默认控制策略配置文件。 步骤 S604, 进行控制策略配置文件的解析处理, 按信任等级进行分类解析得到各 信任等级所需控制的权限列表。 步骤 S606, 将解析得到的各信任等级所需控制的权限列表记录到内存数据结构 中, 形成控制策略。 优选的, 图 7是本发明手机安全控制方法中应用控制策略流程图,包括如下步骤: 步骤 S702, 当监测到应用使用到系统敏感权限时, 进入步骤 S704。 步骤 S704, 获取到应用的信任等级属性, 并判断该权限是否属于上述控制策略所 需控制的权限 (例如, 系统默认控制权限); 若不属于, 则执行步骤 S706, 若属于, 执行步骤 S708。 步骤 S706, 忽略非控制策略所需控制的权限使用。
步骤 S708, 判断是否已经存在该权限使用的应用控制策略, 若存在的话执行步骤 S710, 若不存在则执行步骤 S712。 步骤 S710, 已经存在该权限的应用控制策略, 不做处理。 步骤 S712, 提示用户对该权限选择相应的应用控制策略, 并等待和接收用户选择 的应用控制策略。 步骤 S714, 记录 /更新用户对于该应用权限的应用控制策略。 优选的, 图 8是本发明移动终端的安全控制方法中应用权限控制管理的处理流程 图, 包括如下步骤: 步骤 S802, 当监测到应用使用到系统敏感权限时, 进入步骤 S804。 步骤 S804, 判断该权限是否属于控制策略中所需控制的权限(例如, 判断是否属 于系统默认控制权限); 若不属于, 则执行步骤 S806, 若属于, 则执行步骤 S808。 步骤 S806, 由于权限为非控制策略所需控制的权限, 因此对该权限的使用直接放 行, 即, 允许应用使用上述权限。 步骤 S808, 判断是否已经存在该权限使用的应用控制策略, 若存在的话执行步骤 S810, 若不存在则执行步骤 S812。 步骤 S810, 获取该权限的应用控制策略记录, 并根据控制策略进行权限的控制管 理。 步骤 S812, 由于当前权限还没有对应的应用控制策略记录, 因此, 弹出提示框提 醒用户当前系统敏感权限正在被使用, 同时挂起当前的工作处理流程, 并等接收用户 对于该权限使用的进一步选择。 步骤 S814, 接收到用户对于该权限的使用策略, 执行步骤 S816和步骤 S818。 步骤 S816, 将用户对于该权限的使用选择 (允许本次 /拒绝本次 /总是允许 /总是拒 绝) 转化为权限使用的应用控制策略, 保存和更新系统记录的应用控制策略记录值。 步骤 S818, 根据用户的选择进行权限使用的控制管理。 上述优选技术方案的实施,能够有效的对手机终端应用进行基于信任等级的分类, 并根据应用信任等级分类来进行关键权限使用的分类管理, 主要体现在可以针对厂商
和 /或用户的不同控制需求, 来对终端关键权限控制的可定制化及可动态调整化。 用户 在本技术方案的支持下可以很容易的实现对手机终端关键敏感权限组的管理和控制目 的, 能够有效对手机终端应用可能存在的安全威胁行为进行管理控制, 有效的保证手 机终端的安全性。 实施例 5 以下内容是基于上述实施例手机安全控制方法的具体应用实施例。 这里实现对智 能手机终端上最易被恶意入侵和最需要重点保护的敏感权限组的管理控制功能, 具体 实现控制的权限组包括: 付费类权限组 (包括发送消息、 呼叫、 网络流量访问控制权 限)、 个人隐私信息类权限组(包括访问联系人记录, 消息记录、 手机设备信息、 地理 位置信息)、本地连接类权限组(包括无线保真(Wireless Fidelity, 简称为 WiFi)连接、 蓝牙连接)。 需要特别说明的是, 以下实施例均以"非可信应用信任等级"应用的权限使用控制 为例进行说明, 其它信任等级下应用权限使用的控制原理及处理流程均是一致的, 这 里就不再赘述。 本实施例基于以下场景: 付费类权限组使用控制管理。
1) 设置控制策略, 将发送消息、 呼叫、 网络流量访问加入到 "非可信应用信任等 级"需要控制权限中。
2) 生成付费类权限的控制策略, 如图 9所示, 包括如下步骤: 步骤 S902, 系统开机时初始化时, 首先会在指定的系统目录加载预置好的控制策 略配置文件。 步骤 S904, 进行控制策略配置文件的解析处理, 解析得到"不可信信任等级"下所 需控制的付费类权限列表。 步骤 S906, 将解析得到所需控制的付费类权限列表记录到内存数据中, 形成控制 策略 (例如, 系统默认控制策略)。 3 ) 付费类权限的使用控制管理, 如图 10所示, 具体的处理流程如下: 步骤 S1002, 当监测到应用使用到付费类权限时, 执行步骤 S1004。 步骤 S1004, 获取应用所属信任等级, 与该信任等级下控制权限列表比较。
步骤 S1006, 判断该权限是否属于付费类权限控制策略中定义所需控制的权限, 若不属于的话执行步骤 S1008, 若属于的话执行步骤 S1010。 步骤 S1008, 由于权限为非控制策略所需控制的权限, 因此对该权限的使用直接 放行。 步骤 S1010, 判断是否已经存在该付费权限使用的应用控制策略, 若存在的话执 行步骤 S1012, 若不存在则执行步骤 S1014。 步骤 S1012, 获取该付费权限的应用控制策略记录, 并根据控制策略进行权限的 控制管理。 步骤 S1014, 由于当前权限还没有对应的应用控制策略记录, 因此, 系统会弹出 提示框提醒用户, 同时挂起当前的工作处理流程, 并等接收用户对于该付费权限使用 的进一步选择。 步骤 S1016, 接收到用户对于该付费权限的使用策略, 执行步骤 S1018 和步骤 S1020。 步骤 S1018, 用户对于该付费权限的使用选择 (允许本次 /拒绝本次 /总是允许 / 总是拒绝) 转化为权限使用的应用控制策略, 保存和更新系统记录的应用控制策略记 录值。 步骤 S1020, 根据用户的选择对该付费权限使用进行响应。 上述付费安全管理技术方案的实施, 用户可以很好的根据应用的信任等级属性, 分类控制及管理手机终端应用对付费类权限(发送消息、拨打电话、 网络流量访问等) 的使用, 可以根据用户的实际使用需求和场景来灵活调整应用对付费类权限的使用控 制策略。 在本技术方案的支持下, 用户可以很容易的实现对手机终端付费类权限组管 理和控制的目的, 能够有效防止对手机终端付费类权限被恶意侵害的安全威胁行为, 从而有效的保证了手机终端付费类权限的安全性。 实施例 6 本实施例基于以下场景: 个人隐私信息类权限组使用控制管理。
1) 设置控制策略, 将访问消息记录、 联系人记录、 通话记录、 个人地理位置信息 等权限加入到 "非可信应用信任等级"需要控制权限中。
2) 生成个人隐私信息类权限的控制策略, 如图 11所示, 具体流程如下: 步骤 S1102, 系统开机时初始化时, 首先会在指定的系统目录加载预置好的控制 策略配置文件。 步骤 S1104, 进行控制策略配置文件的解析处理, 解析得到"不可信任等级 "下所 需控制的个人隐私信息类权限列表。 步骤 S1106, 将解析得到的个人隐私信息访问权限列表记录到内存数据结构中, 形成控制策略。
3 ) 个人隐私信息类权限的使用控制管理, 如图 12所示, 具体处理流程如下: 步骤 S1202, 当监测到应用使用到个人隐私信息权限时, 执行步骤 S1204。 步骤 S1204, 获取应用所属信任等级, 与该信任等级下控制权限列表比较。 步骤 S1206, 判断该权限是否属于个人隐私信息类权限控制策略中定义所需控制 的权限, 若不属于的话执行步骤 S1208, 若属于的话执行步骤 S1210。 步骤 S1208, 由于权限为非控制策略所需控制的权限, 因此对该权限的使用直接 放行, 即, 允许应用使用上述权限。 步骤 S1210, 判断是否已经存在该个人隐私信息权限使用的应用控制策略, 若存 在的话执行步骤 S1212, 若不存在则执行步骤 S1214。 步骤 S1212, 获取该个人隐私信息权限的应用控制策略记录, 并根据控制策略进 行权限的控制管理。 步骤 S1214, 由于当前权限还没有对应的应用控制策略记录, 因此, 系统会弹出 提示框提醒用户, 同时挂起当前的工作处理流程, 并等接收用户对于该个人隐私信息 权限使用的进一步选择。 步骤 S1216, 接收到用户对于该付费权限的使用策略, 执行步骤 S1218 和步骤
步骤 S1218 , 将用户对于该个人隐私信息权限的使用选择 (允许本次 /拒绝本次 / 总是允许 /总是拒绝)转化为权限使用的应用控制策略, 保存和更新系统记录的应用控 制策略记录值。
步骤 S1220, 根据用户的选择进行个人隐私信息权限使用的控制管理。 上述个人隐私信息安全管理技术方案的实施, 用户可以很好的根据应用的信任等 级, 分类控制及管理手机终端应用对个人隐私信息类权限 (访问消息记录、 联系人记 录、 通话记录等) 的使用, 可以根据用户的实际使用需求和场景来灵活调整应用对个 人隐私信息类权限的使用控制策略。 在本技术方案的支持下, 用户可以很容易的实现 对手机终端个人隐私信息类权限管理和控制的目的, 能够有效防止对手机终端个人隐 私信息类权限被恶意侵害的安全威胁行为, 从而有效的保证了手机终端个人隐私信息 权限的安全性。 实施例 7 本实施例基于以下场景: 设备连接类权限组使用控制管理。
1) 设置控制策略, 将使用蓝牙连接、 无线保真 (WiFi) 连接等权限加入到"非可 信应用信任等级"需要控制权限中
2) 生成本地连接类权限的控制策略, 如图 13所示, 具体流程如下: 步骤 S1302, 系统开机时初始化时, 首先会在指定的系统目录加载预置好的控制 策略配置文件。 步骤 S1304, 进行控制策略配置文件的解析处理, 解析得到"不可信任等级 "下所 需控制的本地连接类权限列表。 步骤 S1306, 将解析得到的本地连接权限列表记录到内存数据结构中, 形成控制 策略。 3 ) 本地连接类权限的使用控制管理, 如图 14所示, 具体的处理流程如下: 步骤 S1402, 当监测到应用使用到本地连接权限时, 执行步骤 S1404。 步骤 S1404, 获取应用所属信任等级, 与该信任等级下控制权限列表比较。 步骤 S1406, 判断该权限是否属于本地连接类权限控制策略中定义所需控制的权 限, 若不属于的话执行步骤 S1408, 若属于的话执行步骤 S1410。 步骤 S1408, 由于权限为非控制策略所需控制的权限, 因此对该权限的使用直接 放行, 即, 允许应用使用上述权限。
步骤 S1410, 判断是否已经存在该个本地连接权限使用的应用控制策略, 若存在 的话执行步骤 S1412, 若不存在则执行步骤 S1414。 步骤 S1412, 获取该个本地连接权限的应用控制策略记录, 并根据控制策略进行 权限的控制管理。 步骤 S1414, 由于当前权限还没有对应的应用控制策略记录, 因此, 弹出提示框 提醒用户当前系统敏感权限正在被使用, 同时挂起当前的工作处理流程, 并等接收用 户对于该本地连接权限使用的进一步选择。 步骤 S1416, 接收到用户对于该本地连接权限的使用策略, 执行步骤 S1418和步 骤 S1420。 步骤 S1418, 将用户对于该本地连接权限的使用选择(允许本次 /拒绝本次 /总是允 许 /总是拒绝)转化为权限使用的应用控制策略, 保存和更新系统记录的应用控制策略 记录值。 步骤 S1420, 根据用户的选择进行本地连接权限使用的控制管理。 上述付设备连接安全管理技术方案的实施,用户可以很好的根据应用的信任等级, 分类控制及管理手机终端应用对设备连接类权限 (WiFi连接、 蓝牙连接等) 的使用, 可以根据用户的实际使用需求和场景来灵活调整应用对设备连接类权限的使用控制策 略。 在本技术方案的支持下, 用户可以很容易的实现对手机终端设备连接类权限组管 理和控制的目的, 能够有效防止对手机终端设备连接类权限被恶意侵害的安全威胁行 为, 从而有效的保证了手机终端设备连接类权限的安全性。 显然, 本领域的技术人员应该明白, 上述的本发明的各模块或各步骤可以用通用 的计算装置来实现, 它们可以集中在单个的计算装置上, 或者分布在多个计算装置所 组成的网络上, 可选地, 它们可以用计算装置可执行的程序代码来实现, 从而, 可以 将它们存储在存储装置中由计算装置来执行, 并且在某些情况下, 可以以不同于此处 的顺序执行所示出或描述的步骤, 或者将它们分别制作成各个集成电路模块, 或者将 它们中的多个模块或步骤制作成单个集成电路模块来实现。 这样, 本发明不限制于任 何特定的硬件和软件结合。 以上所述仅为本发明的优选实施例而已, 并不用于限制本发明, 对于本领域的技 术人员来说, 本发明可以有各种更改和变化。 凡在本发明的精神和原则之内, 所作的 任何修改、 等同替换、 改进等, 均应包含在本发明的保护范围之内。
Claims
1. 一种移动终端的安全控制方法, 包括:
当监测到应用使用系统权限时, 获取所述应用所属的信任等级以及所述信 任等级下的控制权限列表, 其中, 所述控制权限列表中记录了所述信任等级下 所需控制的权限;
判断所述系统权限是否为控制权限列表中的权限;
若所述系统权限不为所述控制权限列表中的权限, 则允许所述应用使用所 述系统权限。
2. 根据权利要求 1 所述方法, 其中, 在判断所述系统权限是否为所述控制权限列表 中的权限之后, 还包括:
若所述系统权限为所述控制权限列表中的权限, 则判断是否存在用于所述 系统权限的应用控制策略;
若存在用于所述系统权限的应用控制策略, 则根据所述应用控制策略来判 断是否允许所述应用使用所述系统权限。
3. 根据权利要求 2所述方法, 其中, 在判断是否存在用于所述系统权限的应用控制 策略之后, 还包括:
若不存在用于所述系统权限的应用控制策略, 则接收用户输入的应用控制 策略;
根据所述用户输入的应用控制策略来判断是否允许所述应用使用所述系统 权限。
4. 根据权利要求 1 所述方法, 其中, 在获取所述应用所属的信任等级以及所述信任 等级下的控制权限列表之前, 还包括:
在指定的系统目录加载预置的控制策略配置文件;
对所述控制策略配置文件进行解析得到各信任等级下的控制权限列表; 将所述各信任等级下的控制权限列表记录在内存数据中。
5. 根据权利要求 1 所述方法, 其中, 在获取所述应用所属的信任等级以及所述信任 等级下的控制权限列表之前, 还包括:
在系统进行应用扫描或者安装所述应用时, 获取所述应用的签名信息; 使用系统预置的数字证书对所述签名信息进行认证;
若认证通过, 则将所述应用的信任等级设置为与所述数字证书对应的信任 等级; 若认证失败, 则将所述应用的信任等级设置为不可信任等级。
6. 根据权利要求 1至 5中任一项所述方法, 其中, 所述权限包括以下至少之一: 付 费类权限、 个人隐私信息类权限、 设备连接类权限。
7. 一种移动终端的安全控制装置, 包括:
第一获取单元, 设置为当监测到应用使用系统权限时, 获取所述应用所属 的信任等级以及所述信任等级下的控制权限列表, 其中, 所述控制权限列表中 记录了所述信任等级下所需控制的权限;
判断单元, 设置为判断所述系统权限是否为控制权限列表中的权限; 处理单元, 设置为在所述系统权限不为所述控制权限列表中的权限时, 允 许所述应用使用所述系统权限。
8. 根据权利要求 7所述装置, 其中, 所述处理单元包括: 判断模块, 设置为在所述系统权限为所述控制权限列表中的权限时, 判断 是否存在用于所述系统权限的应用控制策略;
处理模块, 设置为在存在用于所述系统权限的应用控制策略时, 根据所述 应用控制策略来判断是否允许所述应用使用所述系统权限。
9. 根据权利要求 7所述装置, 其中, 还包括: 加载单元, 设置为在指定的系统目录加载预置的控制策略配置文件; 解析单元, 设置为对所述控制策略配置文件进行解析得到各信任等级下的 控制权限列表;
记录单元,设置为将所述各信任等级下的控制权限列表记录在内存数据中。
10. 根据权利要求 7所述装置, 其中, 还包括: 第二获取单元, 设置为在进行应用扫描或者安装所述应用时, 获取所述应 用的签名信息;
认证单元, 设置为使用系统预置的数字证书对所述签名信息进行认证;
设置单元, 设置为在认证通过时, 将所述应用的信任等级设置为与所述数 字证书对应的信任等级; 在认证失败时, 将所述应用的信任等级设置为不可信 任等级。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110378065.6 | 2011-11-24 | ||
CN201110378065.6A CN102404727B (zh) | 2011-11-24 | 2011-11-24 | 移动终端的安全控制方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2013075412A1 true WO2013075412A1 (zh) | 2013-05-30 |
Family
ID=45886412
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/CN2012/071201 WO2013075412A1 (zh) | 2011-11-24 | 2012-02-16 | 移动终端的安全控制方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN102404727B (zh) |
WO (1) | WO2013075412A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104869236A (zh) * | 2015-04-29 | 2015-08-26 | 努比亚技术有限公司 | 终端防止误扣费的方法及装置 |
CN105812364A (zh) * | 2016-03-11 | 2016-07-27 | 深圳市全智达科技有限公司 | 一种数据传输方法及装置 |
Families Citing this family (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103220662B (zh) | 2012-01-20 | 2016-01-20 | 腾讯科技(深圳)有限公司 | 一种应用程序的处理方法和移动终端 |
CN103491056B (zh) * | 2012-06-12 | 2017-12-26 | 中兴通讯股份有限公司 | 应用权限的控制方法及装置 |
CN103546436B (zh) * | 2012-07-13 | 2018-10-23 | 南京中兴软件有限责任公司 | 一种安全控制方法及终端、云服务器 |
CN102833166B (zh) * | 2012-08-28 | 2017-02-08 | 广东欧珀移动通信有限公司 | 一种数据流量分配方法、装置及移动通信终端 |
CN102868813A (zh) * | 2012-09-05 | 2013-01-09 | 广东欧珀移动通信有限公司 | 一种安全管理机制的实现方法及手机 |
CN103686722B (zh) * | 2012-09-13 | 2018-06-12 | 中兴通讯股份有限公司 | 访问控制方法及装置 |
CN102984125B (zh) * | 2012-10-31 | 2016-01-13 | 蓝盾信息安全技术股份有限公司 | 一种移动数据隔离的系统及方法 |
CN103347116A (zh) * | 2012-11-09 | 2013-10-09 | 北京深思洛克软件技术股份有限公司 | 一种在智能手机中设置多安全模式的系统和方法 |
CN103065083A (zh) * | 2013-01-31 | 2013-04-24 | 晨风云(北京)科技有限公司 | 一种智能移动终端的应用程序接口监控方法及系统 |
CN104066090B (zh) * | 2013-03-21 | 2018-12-14 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
CN103268451B (zh) * | 2013-06-08 | 2017-12-05 | 上海斐讯数据通信技术有限公司 | 一种基于移动终端的动态权限管理系统 |
CN112637843A (zh) * | 2013-10-22 | 2021-04-09 | 沈阳讯网网络科技有限公司 | 一种关闭移动终端应用功能的控制方法 |
CN103646216B (zh) * | 2013-11-13 | 2016-09-14 | 天脉聚源(北京)传媒科技有限公司 | 一种终端文件夹的监控方法及装置 |
CN103886255B (zh) * | 2014-03-12 | 2017-11-10 | 可牛网络技术(北京)有限公司 | 应用程序的隐私权限管理方法和装置 |
CN105404819A (zh) * | 2014-09-10 | 2016-03-16 | 华为技术有限公司 | 一种数据访问控制方法、装置以及终端 |
CN106034130A (zh) * | 2015-03-18 | 2016-10-19 | 中兴通讯股份有限公司 | 数据访问方法及装置 |
CN106332080A (zh) * | 2015-07-02 | 2017-01-11 | 平安科技(深圳)有限公司 | 基于通信系统的wifi热点连接控制方法、服务器及wifi热点 |
CN108763951B (zh) * | 2015-10-26 | 2022-02-18 | 青岛海信移动通信技术股份有限公司 | 一种数据的保护方法及装置 |
CN106022091A (zh) * | 2016-05-11 | 2016-10-12 | 青岛海信移动通信技术股份有限公司 | 应用程序的授权方法及装置 |
CN107437013A (zh) | 2016-05-27 | 2017-12-05 | 阿里巴巴集团控股有限公司 | 身份验证方法和装置 |
CN107273738A (zh) * | 2017-06-22 | 2017-10-20 | 努比亚技术有限公司 | 一种安全控制方法、终端及计算机可读存储介质 |
CN107302637B (zh) * | 2017-08-15 | 2020-03-10 | 北京安云世纪科技有限公司 | 一种基于命名空间实现分类控制的方法及系统 |
EP3484097A1 (de) * | 2017-11-08 | 2019-05-15 | Siemens Aktiengesellschaft | Verfahren und validierungseinrichtung zum validieren eines digitalen zertifikats |
CN108551550A (zh) * | 2018-04-09 | 2018-09-18 | 平安科技(深圳)有限公司 | 图像控制、相机应用的拍摄控制方法、装置及电子设备 |
CN108763884B (zh) * | 2018-04-18 | 2022-01-11 | Oppo广东移动通信有限公司 | 权限管理方法、装置、移动终端及存储介质 |
CN108712561B (zh) * | 2018-04-18 | 2020-05-19 | Oppo广东移动通信有限公司 | 权限管理方法、装置、移动终端以及存储介质 |
CN108763892A (zh) * | 2018-04-18 | 2018-11-06 | Oppo广东移动通信有限公司 | 权限管理方法、装置、移动终端以及存储介质 |
CN109361807A (zh) * | 2018-10-25 | 2019-02-19 | 努比亚技术有限公司 | 信息访问控制方法、移动终端及计算机可读存储介质 |
CN110990798B (zh) * | 2019-12-02 | 2021-07-20 | 珠海格力电器股份有限公司 | 应用程序权限配置方法、装置、电子设备及存储介质 |
CN111856961B (zh) * | 2020-07-31 | 2023-04-28 | 深圳市欧瑞博科技股份有限公司 | 基于权限的智能设备控制方法、装置及电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101064604A (zh) * | 2006-04-29 | 2007-10-31 | 西门子公司 | 远程访问方法、系统及设备 |
WO2008067118A2 (en) * | 2006-11-30 | 2008-06-05 | Microsoft Corporation | Advanced content authentication and authorization |
CN101341490A (zh) * | 2005-10-18 | 2009-01-07 | 意大利电信股份公司 | 控制文件系统存取的方法、相关的系统、sim卡以及在其中使用的计算机程序产品 |
CN101513008A (zh) * | 2006-07-31 | 2009-08-19 | 意大利电信股份公司 | 在电信终端上实现安全性的系统 |
-
2011
- 2011-11-24 CN CN201110378065.6A patent/CN102404727B/zh active Active
-
2012
- 2012-02-16 WO PCT/CN2012/071201 patent/WO2013075412A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101341490A (zh) * | 2005-10-18 | 2009-01-07 | 意大利电信股份公司 | 控制文件系统存取的方法、相关的系统、sim卡以及在其中使用的计算机程序产品 |
CN101064604A (zh) * | 2006-04-29 | 2007-10-31 | 西门子公司 | 远程访问方法、系统及设备 |
CN101513008A (zh) * | 2006-07-31 | 2009-08-19 | 意大利电信股份公司 | 在电信终端上实现安全性的系统 |
WO2008067118A2 (en) * | 2006-11-30 | 2008-06-05 | Microsoft Corporation | Advanced content authentication and authorization |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104869236A (zh) * | 2015-04-29 | 2015-08-26 | 努比亚技术有限公司 | 终端防止误扣费的方法及装置 |
CN105812364A (zh) * | 2016-03-11 | 2016-07-27 | 深圳市全智达科技有限公司 | 一种数据传输方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102404727B (zh) | 2017-12-05 |
CN102404727A (zh) | 2012-04-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2013075412A1 (zh) | 移动终端的安全控制方法及装置 | |
US11157616B2 (en) | Mobile application management | |
US8341749B2 (en) | Preventing malware attacks in virtualized mobile devices | |
US9201674B2 (en) | Migrating functionality in virtualized mobile devices | |
WO2014040461A1 (zh) | 访问控制方法及装置 | |
US8302094B2 (en) | Routing a physical device request using transformer stack to an equivalent physical device in a virtualized mobile device | |
US8233882B2 (en) | Providing security in mobile devices via a virtualization software layer | |
US9386120B2 (en) | Single sign-on access in an orchestration framework for connected devices | |
US20100330953A1 (en) | Controlling Usage in Virtualized Mobile Devices | |
EP3179697A1 (en) | Validating the identity of a mobile application for mobile application management | |
WO2013185413A1 (zh) | 应用权限的控制方法及装置 | |
US20210182440A1 (en) | System for preventing access to sensitive information and related techniques | |
KR102348312B1 (ko) | 사용자 식별자 및 서명 수집을 이용한 모바일 애플리케이션 위변조 탐지 방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 12850823 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 12850823 Country of ref document: EP Kind code of ref document: A1 |