CN103646198A - 一种锁定移动终端工作区的方法、***及装置 - Google Patents
一种锁定移动终端工作区的方法、***及装置 Download PDFInfo
- Publication number
- CN103646198A CN103646198A CN201310722226.8A CN201310722226A CN103646198A CN 103646198 A CN103646198 A CN 103646198A CN 201310722226 A CN201310722226 A CN 201310722226A CN 103646198 A CN103646198 A CN 103646198A
- Authority
- CN
- China
- Prior art keywords
- business administration
- rule
- workspace
- client
- mobile terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种锁定移动终端工作区的方法,用于保证工作区的信息安全。该方法服务器在接收到移动终端上的企业管理客户端发送的登录信息后,根据自身保存的合规性检测规则,确定该企业管理客户端是否为合规客户端,并在确定该企业管理客户端为非合规客户端时,控制企业管理客户端锁定工作区。本发明实施例还提供了相应的装置和***。由于在本发明实施例中服务器在企业管理客户端每次登录时,检测其是否为合规客户端,而禁止非法用户进入工作区,并且可以避免工作区的数据在非法情况下上传、共享和外泄,有效的保护了企业信息的安全。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种锁定移动终端工作区的方法、***及装置。
背景技术
随着移动终端的成熟与普及,以智能手机、平板电脑为代表的个人移动终端设备逐渐进入企业领域。据国际权威咨询公司Gartner预测,到2014年90%的企业将会支持员工在个人移动终端设备上运行企业办公应用程序,员工使用个人移动终端设备办公已经成为一种无法逆转的潮流。
在BYOD中,同一移动终端上既有个人应用程序和数据,也有企业应用程序和数据,企业应用程序设置在企业管理客户端中,企业应用程序的数据也保存在企业管理客户端中。为了区别,个人应用程序和数据所在的区域被称为个人区,企业应用程序和数据所在的区域,即企业管理客户端创建的区域被称为工作区。
这类被称为BYOD(Bring Your Own Device,自带设备办公)的现象为企业信息安全带来了新的挑战:
1、企业网络边界变得模糊,原有的边界防御***无法有效保护企业信息安全
企业员工的移动终端可以在任何时间、任何地点接入移动互联网或公共/家庭Wi-Fi网络,移动终端中的企业数据也会暴露在来自互联网的攻击之下,BYOD打破了原有的企业网络边界,正是这种边界的模糊性使BYOD成为企业信息安全体系的薄弱环节,需要新的方法保护企业信息安全。
2、遗失或被窃移动终端,会给企业带来泄密隐患
移动终端容易丢失,移动终端中所保存的企业数据也因此面临泄密风险,设备丢失不但意味着敏感企业信息的泄漏和丢失,所丢失的设备也可能会变成攻击企业网络的跳板。
由此可见,BYOD给企业带来的信息安全问题成为现有技术中亟待解决的技术问题。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种锁定移动终端工作区的方法、***及装置。
本发明实施例提供了一种锁定移动终端工作区的方法,该方法包括:
服务器接收移动终端上的企业管理客户端发送的登录信息;
根据自身保存的合规性检测规则,确定所述企业管理客户端是否为合规客户端;
当确定所述企业管理客户端为非合规客户端时,控制所述企业管理客户端锁定工作区,否则,允许用户进入所述企业管理客户端的工作区。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,所述确定所述企业管理客户端是否为合规客户端包括:
根据所述登录信息中携带的所述移动终端的标识信息,及自身保存的用户及移动终端的标识信息的对应关系,确定所述企业管理客户端归属的用户;
根据保存的每个用户组包含的用户,及每个用户组对应的合规性检测规则,确定所述用户对应的合规性检测规则;
根据所述用户对应的合规性检测规则,确定归属于所述用户的企业管理客户端是否为合规客户端。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,所述确定所述企业管理客户端为非合规客户端包括:
所述服务器根据记录的所述移动终端的信息,判断所述移动终端是否具有root权限;
当所述移动终端不具有root权限时,确定该移动终端中的企业管理客户端为非合规客户端。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,所述确定所述企业管理客户端为非合规客户端包括:
所述服务器针对每个移动终端,记录该移动终端未连接网络的时间;
当该移动终端未连接网络的时间大于设定的未连网时间阈值时,确定该企业管理客户端为非合规客户端。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,所述锁定所述企业管理客户端的工作区包括:
所述服务器向所述企业管理客户端发送锁定工作区的控制信息;
所述企业管理客户端解析所述控制信息,获取所述控制信息中携带的控制字段;
所述企业管理客户端根据与服务器预先约定的每个控制字段与其对应的控制指令的对应关系,锁定工作区。
本发明实施例提供了一种锁定移动终端工作区的***,所述***包括服务器和移动终端上的企业管理客户端;
企业管理客户端,用于向服务器发送登录信息,根据所述服务器的控制锁定工作区,或允许用户进入工作区;
服务器,用于接收所述登录信息,根据自身保存的合规性检测规则,确定所述企业管理客户端是否为合规客户端;当确定所述企业管理客户端为非合规客户端时,控制所述企业管理客户端锁定工作区,否则,允许用户进入所述企业管理客户端的工作区。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,所述服务器,具体用于根据所述登录信息中携带的所述移动终端的标识信息,及自身保存的用户及移动终端的标识信息的对应关系,确定所述企业管理客户端归属的用户;根据保存的每个用户组包含的用户,及每个用户组对应的合规性检测规则,确定所述用户对应的合规性检测规则;根据所述用户对应的合规性检测规则,确定归属于所述用户的企业管理客户端是否为合规客户端。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,服务器,具体用于根据记录的所述移动终端的信息,判断所述移动终端是否具有root权限;当所述移动终端不具有root权限时,确定该移动终端中的企业管理客户端为非合规客户端。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,服务器,具体用于针对每个移动终端,记录该移动终端未连接网络的时间;当该移动终端未连接网络的时间大于设定的未连网时间阈值时,确定该企业管理客户端为非合规客户端。
较佳地,所述服务器,具体用于确定所述企业管理客户端为非合规客户端时,向所述企业管理客户端发送锁定工作区的控制信息;
所述企业管理客户端,具体用于解析所述控制信息,获取所述控制信息中携带的控制字段;根据与服务器预先约定的每个控制字段与其对应的控制指令的对应关系,锁定工作区。
本发明实施例提供了一种锁定移动终端工作区的方法,所述方法包括:
企业管理客户端接收用户对工作区中的应用程序的操作信息;
根据自身保存的合规性检测规则,判断用户当前在工作区的操作是否合规;
当确定用户当前在工作区的操作不合规时,锁定工作区,否则,允许用户在所述工作区进行的操作。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,保存所述合规性检测规则包括:
所述企业管理客户端按照设定的时间间隔向服务器发送自身的状态信息,其中所述状态信息中包含自身当前保存的合规性检测规则的版本号;
当所述服务器确定所述企业管理客户端当前保存的非最新版本号的合规性检测规则时,所述企业管理客户端接收所述服务器下发的最新版本号的合规性检测规则,并采用接收的所述最新版本号的合规性检测规则更新本地当前保存的合规性检测规则。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,所述判断用户当前的操作是否合规包括:
所述企业管理客户端查找操作***是否记录有root权限对应的命令;
当未查找到root权限对应的命令时,确定该移动终端不具有root权限,确定用户在工作区中的操作不合规。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,所述判断用户当前的操作是否合规包括:
所述企业管理客户端根据记录的自身与服务器断开连接的时间,判断所述断开连接的时间是否大于设定的离线访问阈值;
当确定所述断开连接的时间大于设定的离线访问阈值时,确定用户在工作区中的操作不合规。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,所述判断用户当前的操作是否合规包括:
所述企业管理客户端检测移动终端当前是否连接网络;
当未连接网络时,确定用户在工作区中的操作不合规。
本发明实施例提供了一种企业管理客户端,所述企业管理客户端包括:
接收模块,用于接收用户对工作区中的应用程序的操作信息;
判断模块,用于根据自身保存的合规性检测规则,判断用户当前在工作区的操作是否合规;
控制模块,用于当判断模块确定用户当前在工作区的操作不合规时,锁定工作区,否则,允许用户在所述工作区进行的操作。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,所述企业管理客户端还包括:
发送模块,用于按照设定的时间间隔向服务器发送自身的状态信息,其中所述状态信息中包含自身当前保存的合规性检测规则的版本号;
所述接收模块,还用于当所述服务器确定所述企业管理客户端当前保存的非最新版本号得合规性检测规则时,接收所述服务器下发的最新版本号的合规性检测规则,并采用接收的所述最新版本号的合规性检测规则更新本地当前保存的合规性检测规则。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,所述判断模块,具体用于查找操作***是否记录有root权限对应的命令;当未查找到root权限对应的命令时,确定该移动终端不具有root权限,确定用户在工作区中的操作不合规。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,所述判断模块,具体用于根据记录的自身与服务器断开连接的时间,判断所述断开连接的时间是否大于设定的离线访问阈值;当确定所述断开连接的时间大于设定的离线访问阈值时,确定用户在工作区中的操作不合规。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,所述判断模块,具体用于检测移动终端当前是否连接网络;当未连接网络时,确定用户在工作区中的操作不合规。
本发明实施例提供了一种锁定移动终端工作区的***,所述***包括:上述企业管理客户端,及向所述企业管理客户端发送合规性检测规则的服务器。
较佳地,为了准确的实现对企业管理客户端的控制,保证移动终端工作区的安全,所述企业管理客户端,具体用于按照设定的时间间隔向服务器发送自身的状态信息,其中所述状态信息中包含自身当前保存的合规性检测规则的版本号;并采用接收的所述最新版本号的合规性检测规则更新本地当前保存的合规性检测规则;
服务器,具体用于判断企业管理客户端当前的合规性检测规则的版本号是否为最新版本号,当确定该版本号非最新版本号时,向所述企业管理客户端下发最新版本号的合规性检测规则。
较佳地,所述企业管理客户端,具体用于按照设定的时间间隔向服务器发送自身的状态信息,其中所述状态信息中包含自身当前保存的合规性检测规则的版本号;接收所述服务器发送合规性检测规则的最新版本号,将该最新版本号,与本地已下载的合规性检测规则的版本号进行比较,当不一致时,向所述服务器发送下载最新版本号合规性检测规则的请求,接收所述服务器下发的最新版本号的合规性检测规则,并采用接收的所述最新版本号的合规性检测规则更新本地当前保存的合规性检测规则;
所述服务器,具体用于接收所述企业管理客户端发送的状态信息,将保存的对应该企业管理客户端的合规性检测规则的最新版本号发送给所述企业管理客户端;接收所述企业管理客户端的请求,并向下发最新版本号的合规性检测规则。
本发明实施例提供了一种锁定移动终端工作区的方法、***及装置,该方法中服务器在接收到移动终端上的企业管理客户端发送的登录信息后,根据自身保存的合规性检测规则,确定该企业管理客户端是否为合规客户端,并在确定该企业管理客户端为非合规客户端时,控制企业管理客户端锁定工作区。由于在本发明实施例中服务器在企业管理客户端每次登录时,检测其是否为合规客户端,而禁止非法用户进入工作区,并且可以避免工作区的数据在非法情况下上传、共享和外泄,有效的保护了企业信息的安全。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例提供的移动终端的企业管理端所在***的架构示意图;
图2为本发明实施例提供的一种锁定移动终端工作区的过程图;
图3为本发明实施例一提供的一种锁定移动终端工作区的过程图;
图4A为本发明实施例提供的另一种锁定移动终端工作区的过程图;
图4B为本发明实施例提供的Key-Value示意图;
图5为本发明实施例二提供的一种锁定移动终端工作区的过程图;
图6为本发明实施例提供的一种锁定移动终端工作区的***结构示意图;
图7为本发明实施例提供的一种企业管理客户端的结构示意图。
具体实施方式
为了有效的保证企业信息的安全,本发明实施例提供了一种锁定移动终端工作区的方法、***及装置。
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
下面结合说明书附图,对本发明实施例进行详细说明。
首先,对本发明实施例提供的移动终端的企业管理***的***架构进行说明。如图1所示,本发明实施例提供的移动终端的企业管理***是面向企业的移动终端企业管理平台,包括部署在企业内网的服务端和安装在需要被管理的移动终端上的客户端,本发明实施例中,将部署在企业内网的服务端称为服务器,安装在需要被管理的移动终端上的客户端称为企业管理客户端。其中:
服务器的主要功能包括:管理、下发企业内网的应用,以及管理、下发安全策略等;企业管理服务器还提供丰富的移动终端统计与管理工具,企业管理员可以通过服务器查看每个需要被管理的移动终端的详细信息,包括:终端型号、***版本、IMEI(International Mobile Equipment Identification Number,国际移动设备识别码)、序列号、MSISDN(移动台识别号码,俗称手机号码)、是否离线、是否Root(超级用户)、更换密码时间、是否安装安全软件、电源信息、无线网络信息等。企业管理客户端的主要功能包括:数据防泄密,执行安全策略等,数据防泄密包括数据加密、数据隔离等,加密的数据可以是涉及***文件内的数据;或者是用户选定的财务文件、生产文件、销售文件、市场文件、人力资源文件等内的数据;还可以是用户个人文件的数据,例如:照片、视频、日志等。
本发明实施例提供的移动终端的企业管理***,基于企业管理客户端的数据防泄密机制,在不影响企业员工对个人应用使用感受的基础上,在移动终端上建立了一个安全、独立的工作区内存空间,工作区内存空间(简称工作区)是指分配给企业管理客户端的内存空间,所有的企业应用和数据存储在受保护的工作区内。相应的,移动终端的内存空间中工作区内存空间之外的内存空间称为个人区内存空间(简称个人区),所有的个人应用和数据存储在个人区内,个人应用无法访问企业数据,从而避免企业数据被个人应用非法访问、存取。本发明实施例提供的移动终端的企业管理***,不仅将企业数据和个人数据完全隔离,更好地保护企业应用和数据,也为企业员工提供了无差别的个人应用体验,达到了“一机两用”的效果。
企业管理服务器提供两种应用程序下发方式:自由安装和强制安装。通过自由安装方式下发的应用程序,供企业用户自由选择下载安装;通过强制安装方式下发的应用程序,企业用户需安装该应用程序后才能正常使用工作区。具体实施中,针对工作区内的企业应用,一般采用强制安装方式;针对个人区内的个人应用,一般采用自由安装方式。,当然也可以对工作区内的企业应用采用自由安装方式。
图2为本发明实施例提供的一种锁定移动终端工作区的过程图,该过程包括以下步骤:
S201:服务器接收移动终端上的企业管理客户端发送的登录信息。
为了有效的保证移动终端中工作区的信息安全,在每次用户打开企业管理客户端时,该企业管理客户端向服务器发送登录信息。其中该登录信息中携带该移动终端的标识信息,其中该移动终端的标识信息可以是移动终端的国际移动设备身份码(International Mobile Equipment Identity,IMEI)信息,以便服务器根据该登录信息中携带的信息,判断该企业管理客户端是否为合规客户端。
企业管理客户端在向服务器发送到登录信息时,可以通过服务器及企业管理客户端之间的建立的统一的通道发送,或者也可以采用其他形式发送,只要能在用户打开该企业管理客户端时,向服务器发送登录信息即可。
S202:根据自身保存的合规性检测规则,判断所述企业管理客户端是否为合规客户端,当判断结果为是时,进行步骤S203,否则,进行步骤S204。
服务器为了有效的控制每个移动终端中工作区的信息安全,可以针对每个企业管理客户端设置其对应的合规性检测规则,或者针对每个用户设置其对应的合规性检测规则,而为每个用户分配的移动终端可能包含多个,该合规性检测规则可以设置在配置文件中。当服务器接收到企业管理客户端发送的登录信息时,调用针对该企业管理客户端设置的配置文件,根据该配置文件中的合规性检测规则,确定该企业管理客户端是否为合规客户端。
或者,服务器根据移动终端归属的用户所在的职能部门,将统一职能部门的用户划分为一个用户组,该用户组中每个用户的移动终端上的企业管理客户端对应的合规性检测规则相同。在服务器中可以保存每个用户组的信息,并将针对该用户组的合规性检测规则设置在配置文件,在检测该用户组中的用户的企业管理客户端的登录信息时,根据该用户组对应的配置文件中的合规性检测规则,确定该企业管理客户端是否为合规客户端。
S203:允许用户进入所述企业管理客户端的工作区。
当服务器根据保存的合规性检测规则,检测该企业管理客户端为合规客户端时,允许用户进入该企业管理客户端的工作区。具体的,服务器可以向企业管理客户端发送控制信息,该控制信息中携带允许用户进入工作区的控制字段,当企业管理客户端接收并解析该控制信息后,允许用户进入工作区。
或者,服务器和企业管理客户端可以预先约定,当服务器测该企业管理客户端为合规客户端时,可以不向企业管理客户端发送控制信息,当在设定的时间长度内,企业管理客户端未接收到服务器发送的控制信息时,允许用户进入工作区。
S204:控制所述企业管理客户端锁定工作区。
当服务器根据保存的合规性检测规则,检测该企业管理客户端为非合规客户端时,不允许用户进入该企业管理客户端的工作区。具体的,服务器可以向企业管理客户端发送控制信息,该控制信息中携带禁止用户进入工作区的控制字段,当企业管理客户端接收并解析该控制信息后,禁止用户进入工作区。具体的企业管理客户端可以将工作区锁定,使用户无法进入工作区。
由于在本发明实施例中服务器在企业管理客户端每次登录时,检测其是否为合规客户端,而禁止非法用户进入工作区,并且可以避免工作区的数据在非法情况下上传、共享和外泄,有效的保护了企业信息的安全。
在本发明实施例中服务器可以针对每个用户组设置其对应的合规性检测规则,也可以针对每个用户设置其对应的合规性检测规则,当同一用户拥有多个企业管理客户端时,可以针对每个企业管理客户端设置其对应的合规性检测规则。服务器设置的各合规性检测规则可以保存到配置文件中。
例如,服务器针对每个用户组设置其对应的合规性检测规则,在确定所述企业管理客户端是否为合规客户端包括:
根据所述登录信息中携带的所述移动终端的标识信息,及自身保存的用户及移动终端的标识信息的对应关系,确定所述企业管理客户端归属的用户;
根据保存的每个用户组包含的用户,及每个用户组对应的合规性检测规则,确定所述用户对应的合规性检测规则;
根据所述用户对应的合规性检测规则,确定归属于所述用户的该企业管理客户端是否为合规客户端。
由于针对每个用户组设置其对应的合规性检测规则,在服务器中保存有每个用户组包含的用户的信息,并且为了便于服务器确定每个移动终端归属的用户,在服务器中还保存有每个用户及其移动终端的标识信息的对应关系。服务器接收到企业管理客户端发送的登录信息时,根据该登录信息中携带的移动终端的标识信息,及保存的每个用户及其移动终端的标识信息的对应关系,确定该移动终端归属的用户,根据保存的每个用户组包含的用户的信息,确定该用户归属的用户组,根据针对每个用户组设置的合规性检测规则,确定该用户组对应的合规性检测规则,从而可以确定该用户对应的合规性检测规则,采用该合规性检测规则,检测归属于该用户的企业管理客户端是否为合规客户端。
在进行合规性检测规则的设置时也可以针对每个用户进行设置,即在服务器中针对每个用户保存有其对应的合规性检测规则。当接收到企业管理客户端发送的登录信息时,根据登录信息中携带的所述移动终端的标识信息,及自身保存的用户及移动终端的标识信息的对应关系,确定所述企业管理客户端归属的用户,根据针对该用户保存的合规性检测规则,确定该企业管理客户端是否为合规客户端。
图3为本发明实施例一提供的一种锁定移动终端工作区的过程图,该过程包括以下步骤:
S301:服务器接收移动终端上的企业管理客户端发送的登录信息。
S302:根据登录信息中携带的所述移动终端的标识信息,及自身保存的用户及移动终端的标识信息的对应关系,确定该企业管理客户端归属的用户。
S303:根据保存的每个用户组包含的用户的信息,确定该用户归属的用户组。
S304:根据针对每个用户组设置的合规性检测规则,确定该用户组对应的合规性检测规则。
S305:根据该合规性检测规则,判断所述企业管理客户端是否为合规客户端,当判断结果为是时,进行步骤S306,否则,进行步骤S307。
S306:允许用户进入所述企业管理客户端的工作区。
S307:控制所述企业管理客户端锁定工作区。
确定了相应的合规性检测规则后,根据该合规性检测规则确定企业管理客户端是否为合规客户端,当确定该企业管理客户端非合规客户端时,控制企业管理客户端锁定工作区。
服务器在针对合规性检测规则,确定企业管理客户端是否为合规客户端时,首先检测该企业管理客户端所在的移动终端是否具有root权限。这是因为服务器将定期的根据需要修改合规性检测规则,当该合规性检测规则下发给企业管理客户端时,为了保证移动终端能够识别并监听相应的事件,该移动终端需要具有root权限,否则,无法完成合规性检测规则的更新。因此所述确定所述企业管理客户端是否为合规客户端包括:
所述服务器根据记录的所述移动终端的信息,判断所述移动终端是否具有root权限;当所述移动终端不具有root权限时,确定该移动终端中的企业管理客户端为非合规客户端。
企业管理客户端按照设定的时间间隔检测移动终端是否具有root权限,具体的企业管理客户端可以到常见目录下检测是否存在root权限标识文件,从而检测移动终端是否具有root权限。例如针对安卓***的移动终端,企业管理客户端可以到/system/bin/system/sbin/system/xbin等目录下检测是否存在SU文件,来检测移动终端是否具有root权限。针对IOS***的移动终端,企业管理客户端可以到/Applications目录下检测是否存在通常没有权限访问的文件,来检测移动终端是否具有root权限。企业管理客户端检测到移动终端是否具有root权限的信息后,将该信息上报,服务器根据企业管理客户端上报的信息,保存移动终端是否具有root权限,以便后续对企业管理客户端进行合规性判断。
服务器根据合规性检测规则,及记录的该移动终端的信息,判断该移动终端是否具有root权限,当该移动终端不具有root权限时,确定该移动终端中的企业管理客户端为非合规客户端,服务器向该企业管理客户端发送控制该企业管理客户端锁定工作区的控制信息;当该移动终端具有root权限时,确定该移动终端中的企业管理客户端为合规客户端,允许用户进入该企业管理客户端的工作区。
在本发明实施例中服务器在根据合规性检测规则,确定该企业管理客户端是否为合规客户端时,还包括:
所述服务器根据记录的该移动终端未连接网络的时间,判断该移动终端未连接网络的时间是否大于设定的未连网时间阈值;
当该移动终端未连接网络的时间大于设定的未连网时间阈值时,确定该企业管理客户端为非合规客户端。
服务器在本地针对每个移动终端记录有该移动终端未连接网络的时间。服务器在获取每个移动终端未连接网络的时间时,可以采用心跳检测机制确定。服务器可以与企业管理客户端预先设置相应的策略,服务器按照设定的时间间隔向企业管理客户端发送心跳检测数据包,判断在设定的时间长度内是否接收到企业管理客户端发送的反馈数据包,当未接收到企业管理客户端的反馈数据包时,确定该移动终端未连接网络,服务器开始计时,该移动终端未连接网络的时间;并在下一个设定时间间隔到来时,继续向企业管理客户端发送心跳检测数据包,如果接收到企业管理客户端的反馈数据包,则计时结束,服务器将针对该移动终端记录的未连接网络的时间清零;如果还是未接收到企业管理客户端的反馈数据包,服务器继续计时。服务器接收到该企业管理客户端发送的登录信息时,根据当前保存的针对该移动终端记录的其未连接网络的时间,判断该时间是否大于设定的未连网时间阈值,当该时间大于设定的未连网时间阈值时,确定该企业管理客户端为非合规客户端。
服务器确定企业管理客户端为非合规客户端时,向该企业管理客户端发送锁定工作区的控制信息,使所述企业管理客户端解析所述控制信息后锁定自身的工作区。
具体的,服务器向企业管理客户端发送的控制信息为一个命令行,在该命令行中包括很多字符串,服务器和企业管理客户端约定了每段字符串代表的含义,并且在该命令行的约定位置携带标识锁定工作区的控制字段。企业管理客户端根据与服务器的约定,在接收到该控制信息后,对该控制信息进行解析,在约定位置获取控制字段,根据该控制字段执行锁定工作区的控制策略。
命令行中标识锁定工作区的字符串可以是Value值,企业管理客户端预先保存了各种Value值对应的信息,例如1表示锁定工作区,-1表示解锁工作区等等。该字符串可以采用Protobuf方法生成。这是因为Protobuf序列化后所生成的二进制消息非常紧凑,这得益于Protobuf采用的非常巧妙的Encoding方法。该Protobuf方法采用Varint编码,Varint是一种紧凑的表示数字的方法。它用一个或多个字节来表示一个数字,值越小的数字使用越少的字节数,这能减少用来表示数字的字节数。因此当该控制信息中表示控制字段的字符串采用值较小的数字时,可以有效降低该控制信息的数据量,节省带宽资源。
图4A为本发明实施例提供的另一种锁定移动终端工作区的过程图,该过程包括以下步骤:
S401:企业管理客户端接收用户对工作区中的应用程序的操作信息。
S402:根据自身保存的合规性检测规则,判断用户当前在工作区的操作是否合规,当判断结果为是时,进行步骤S403,否则,进行步骤S404。
具体的,可以预先在企业管理客户端中配置相应合规性检测规则,企业管理客户端也可以从服务器端下载相应的合规性检测规则。
S403:企业管理客户端允许用户在所述工作区进行的操作。
S404:企业管理客户端锁定工作区。
企业管理客户端中保存的合规性检测规则可以是从服务器中下载的。为了保证服务器和企业管理客户端当前保存的合规性检测规则的一致性,实现对合规性检测规则的更新,在本发明实施例中保存所述合规性检测规则包括:
所述企业管理客户端按照设定的时间间隔向服务器发送自身的状态信息,其中所述状态信息中包含自身当前保存的合规性检测规则的版本号;
当所述服务器确定所述企业管理客户端当前保存的非最新版本号的合规性检测规则时,所述企业管理客户端接收所述服务器下发的最新版本号的合规性检测规则,并采用接收的所述最新版本号的合规性检测规则更新本地当前保存的合规性检测规则。
服务器中的合规性检测规则可以采用配置文件的方式下发,配置文件中包含键-值(Key-Value),企业管理客户端侧预先保存了各种不同策略的Key和Value的值,收到配置文件后,解析该配置文件中Key和Value的值即可了解服务器下发的安全策略的具体含义,这样的方式,一方面可以降低企业管理客户端和服务器之间交互时耗费的流量,另一方面可以提高数据传输的效率和可靠性。
具体的,Varint编码对于int32类型的数字,一般需要4个byte来表示。但是采用Varint,对于很小的int32类型的数字,则可以用1个byte来表示。当然凡事都有好的也有不好的一面,采用Varint表示法,大的数字则需要5个byte来表示。从统计的角度来说,一般不会所有的消息中的数字都是大数,因此大多数情况下,采用Varint后,可以用更少的字节数来表示数字信息。
Varint中的每个byte的最高位bit有特殊的含义,如果该位为1,表示后续的byte也是该数字的一部分,如果该位为0,则结束。其他的7个bit都用来表示数字。因此小于128的数字都可以用一个byte表示。大于128的数字,比如300,会用两个字节来表示:1010110000000010。Google ProtocolBuffer解析这两个bytes时,第一个byte的第一位为1,表示下一个byte也用来表示该数字,第二个byte的第一位为0,表示该byte为该数字的最后一个byte。识别出两个字节后(0101100和0000010),首先,将两个byte的位置相互交换一次,之后针对交换后的(0000010和0101100),得到表示该数字的信息100101100,将该数字信息进行转化,转化为(256+32+8+4)300。两个byte的位置相互交换一次,这是因为Google Protocol Buffer字节序采用little-endian的方式。
配置文件经过序列化后会成为一个二进制数据流,该流中的数据为一系列的Key-Value对,如图4B所示的Key-Value示意图,该数据流中包括N个Field。采用该结构无需采用分隔符来分割不同的区域Field,对于可选的Field,如果不存在该field,那么在最终的数据流中没有该field,这些特性都有助于节约服务器和企业管理客户端件传输的配置文件本身的大小。
假设生成如下的一个消息Test1:
Test1.id=10;
Test1.str=“hello”;
则最终的配置文件中有两个Key-Value对,一个对应消息中的id;另一个对应str。
Key用来标识具体的field,在解包的时候,Protocol Buffer根据Key就可以知道相应的Value应该对应于消息中的哪一个field。Key的定义如下:
(field number<<3)|wire type
可以看到Key由两部分组成。第一部分是field_number,比如消息lm.helloworld中field id的field_number为1。第二部分为wire_type。表示Value的传输类型。
企业管理客户端侧预先保存了各种不同策略的Key和Value的值,收到配置文件后,解析该配置文件中Key和Value的值即可了解服务器下发的安全策略的具体含义。
企业管理客户端在下载服务器包含有合规性检测规则的配置文件时,通过企业管理客户端与服务器之间的统一通道实现。企业管理客户端接收到该配置文件后,对该配置文件中携带的信息进行解析,例如企业管理客户端可以采用MDM command generator解析模块,对该配置文件中携带的信息进行解析,获取对应的Key和Value的值。
企业管理客户端解析并获取合规性检测规则后,可以将解析获取的该合规性检测规则设置在另一配置文件中保存到本地,并将从服务器获取的每个合规性检测规则的版本号,在配置文件中记录对应合规性检测规则的版本号。或者,为了便于操作,减少服务器与企业管理客户端进行信息交互的时间和流量,服务器在更新每个合规性检测规则时,统一每个合规性检测规则的版本号,将合规性检测规则的版本号写入配置文件。企业管理客户端接收、解析并获取各合规性检测规则后,在本地的配置文件中保存该各合规性检测规则,并将各合规性检测规则的版本号写入配置文件。企业管理服务器按照设定的时间间隔向服务器发送包含该配置信息中写入的各合规性检测规则的版本号,服务器根据保存的各合规性检测规则的统一的最新的版本号,判断是否对该企业管理客户端中保存的各合规性检测规则进行更新。
或者,企业管理客户端按照设定的时间间隔向服务器发送自身的状态信息,其中所述状态信息中包含自身当前保存的合规性检测规则的版本号,服务器接收到企业客户端发送的状态信息后,根据该企业管理客户端归属的用户,及每个用户组包含的用户的信息,确定该用户归属的用户组,将保存的该用户组对应的合规性检测规则的最新版本号携带在响应信息中发送给所述企业管理客户端。
企业管理客户端接收到服务器发送的响应信息后,提取其中的最新版本号,将该最新版本号与本地已下载的合规性检测规则的版本号比较,判断该最新版本号与本地已下载的合规性检测规则的版本号是否一致,当不一致时,企业管理客户端向服务器发送下载最新版本号合规性检测规则的请求,服务器向企业管理客户端下发最新版本号的合规性检测规则,所述企业管理客户端接收所述服务器下发的最新版本号的合规性检测规则,并采用接收的所述最新版本号的合规性检测规则更新本地当前保存的合规性检测规则;当判断该最新版本号与本地已下载的合规性检测规则的版本号一致时,确定当前自身已下载的合规性检测规则为最新版本号的合规性检测规则,后续采用该合规性检测规则进行检测。
通过企业管理客户端自身保存的合规性检测规则,对用户在工作区中的相应操作进行监控,从而可以避免用户在工作区中进行的不合规操作造成的工作区信息泄露的问题。
企业管理客户端接收并保存了各合规性检测规则后,根据该合规性检测规则,判断当前用户当前的操作是否合规,从而确定用户是否能够在工作区进行相应的操作。企业管理客户端首先检测移动终端是否具有root权限。这是因为企业管理客户端将从服务器获取合规性检测规则,为了保证移动终端能够识别并监听相应的事件,该移动终端需要具有root权限,否则,无法完成合规性检测规则的更新。因此具体的所述判断用户当前的操作是否合规包括:
所述企业管理客户端查找操作***是否记录有root权限对应的命令;
当未查找到root权限对应的命令时,确定该移动终端不具有root权限,确定用户在工作区中的操作不合规。
企业管理客户端按照设定的时间间隔检测并更新移动终端是否具有root权限,具体的企业管理客户端可以到常见目录下检测是否存在root权限标识文件,从而检测移动终端是否具有root权限。例如企业管理客户端可以到/system/bin/system/sbin/system/xbin等目录下检测是否存在SU文件,来检测移动终端是否具有root权限。企业管理客户端将检测到的移动终端是否具有root权限的信息保存,以便在后续判断时使用。
企业管理客户端接收到用户在工作区对应用程序的操作信息时,根据保存的合规性检测规则,提取当前保存的移动终端是否具有root权限的信息,当该移动终端具有root权限时,允许用户在所述工作区进行的操作,当该移动终端不具有root权限时,确定用户当前在工作区的操作不合规,锁定工作区。
在本发明实施例中,具体的所述判断用户当前的操作是否合规还包括:
所述企业管理客户端根据记录的自身与服务器断开连接的时间,判断所述断开连接的时间是否大于设定的离线访问阈值;
当确定所述断开连接的时间大于设定的离线访问阈值时,确定用户在工作区中的操作不合规。
图5为本发明实施例二提供的一种锁定移动终端工作区的过程图,该过程包括以下步骤:
S501:企业管理客户端根据自身是否与服务器连接,在与服务器断开连接时,记录与服务器断开连接的时间。
S502:企业管理客户端与服务器断开连接的时间内,接收用户对工作区中的应用程序的操作信息。
S503:企业管理客户端根据记录的自身与服务器断开连接的时间,判断断开连接的时间是否大于设定的离线访问阈值,当判断结果为是时,进行步骤S504,否则,进行步骤S505。
S504:确定用户当前在工作区的操作不合规,锁定工作区。
S505:确定用户当前在工作区的操作合规,允许用户在所述工作区进行的操作。
企业管理客户端在与服务器断开连接时,记录与服务器断开连接的时间,并定时根据是否与服务器连接,对当前记录的与服务器断开连接的时间进行更新,当检测到与服务器连接时,将当前记录的与服务器断开连接的时间清零,当检测到还是未与服务器连接时,对该与服务器断开连接的时间更新。
企业管理客户端在与服务器断开连接的时间内,接收到用户在工作区中对相应应用程序的操作信息时,根据当前记录的与服务器断开连接的时间是否大于设定的离线访问阈值,确定是否允许用户在工作区中进行相应的操作。该方法通过企业管理客户端自身监控,当企业管理客户端与服务器断开连接的时间超过离线访问阈值时,用户在工作区中的相应操作不合规,为了避免用户在工作区中进行的不合规操作造成的工作区信息泄露,企业管理客户端锁定工作区。
为了进一步保证工作区中信息的安全,所述判断用户当前的操作是否合规包括:
所述企业管理客户端检测移动终端当前是否连接网络;
当未连接网络时,确定用户在工作区中的操作不合规。
企业管理客户端实时检测移动终端是否连接网络,当检测到移动终端当前未连接网络时,记录移动终端未连接网络的时间,并定时根据移动终端是否连接网络,对当前记录的移动终端未连接网络的时间进行更新,当检测到移动终端连接网络时,将当前记录的移动终端未连接网络的时间清零,当检测到移动终端还是未连接网络时,对该移动终端未连接网络的时间更新。
企业管理客户端在移动终端未连接网络的时间内,接收到用户在工作区中对相应应用程序的操作信息时,为了保证工作区中的信息安全,确定用户在工作区中的操作不合规,不允许用户在工作区中进行相应的操作。该方法通过企业管理客户端自身监控,当移动终端与网络断开连接时,为了避免用户在工作区中进行的不合规操作造成的工作区信息泄露,企业管理客户端锁定工作区。
通过企业管理客户端自身保存的合规性检测规则,对用户在工作区中的相应操作进行监控,从而可以避免用户在工作区中进行的不合规操作造成的工作区信息泄露的问题。
图6为本发明实施例提供的一种锁定移动终端工作区的***结构示意图,所述***包括服务器61和移动终端上的企业管理客户端62;
企业管理客户端61,用于向服务器发送登录信息,根据所述服务器的控制锁定工作区,或允许用户进入工作区;
服务器62,用于接收所述登录信息,根据自身保存的合规性检测规则,确定所述企业管理客户端是否为合规客户端;当确定所述企业管理客户端为非合规客户端时,控制所述企业管理客户端锁定工作区,否则,允许用户进入所述企业管理客户端的工作区。
所述服务器62,具体用于根据所述登录信息中携带的所述移动终端的标识信息,及自身保存的用户及移动终端的标识信息的对应关系,确定所述企业管理客户端归属的用户;根据自身保存的合规性检测规则,确定所述用户是否为合规用户;根据所述用户是否为合规用户,确定所述企业管理客户端是否为合规客户端。
所述服务器62,具体用于根据记录的所述移动终端的信息,判断所述移动终端是否具有root权限;当所述移动终端不具有root权限时,确定该移动终端中的企业管理客户端为非合规客户端。
所述服务器62,具体用于针对每个移动终端,记录该移动终端未连接网络的时间;当该移动终端未连接网络的时间大于设定的未连网时间阈值时,确定该企业管理客户端为非合规客户端。
所述服务器62,具体用于确定所述企业管理客户端为非合规客户端时,向所述企业管理客户端发送锁定工作区的控制信息;
所述企业管理客户端61,具体用于解析所述控制信息,获取所述控制信息中携带的控制字段;根据与服务器预先约定的每个控制字段与其对应的控制指令的对应关系,锁定工作区。
图7为本发明实施例提供的一种企业管理客户端的结构示意图,所述企业管理客户端包括:
接收模块71,用于接收用户对工作区中的应用程序的操作信息;
判断模块72,用于根据自身保存的合规性检测规则,判断用户当前在工作区的操作是否合规;
控制模块73,用于当判断模块确定用户当前在工作区的操作不合规时,锁定工作区,否则,允许用户在所述工作区进行的操作。
所述企业管理客户端还包括:
发送模块74,用于按照设定的时间间隔向服务器发送自身的状态信息,其中所述状态信息中包含自身当前保存的合规性检测规则的版本号;
所述接收模块71,还用于当所述服务器确定所述企业管理客户端当前保存的非最新版本号得合规性检测规则时,接收所述服务器下发的最新版本号的合规性检测规则,并采用接收的所述最新版本号的合规性检测规则更新本地当前保存的合规性检测规则。
所述判断模块72,具体用于查找操作***是否记录有root权限对应的命令;当未查找到root权限对应的命令时,确定该移动终端不具有root权限,确定用户在工作区中的操作不合规。
所述判断模块72,具体用于根据记录的自身与服务器断开连接的时间,判断所述断开连接的时间是否大于设定的离线访问阈值;当确定所述断开连接的时间大于设定的离线访问阈值时,确定用户在工作区中的操作不合规。
所述判断模块72,具体用于检测移动终端当前是否连接网络;当未连接网络时,确定用户在工作区中的操作不合规。
本发明实施例提供了一种锁定移动终端工作区的***,如图6所示的***架构,所述***包括:图7所述的企业管理客户端61,及向所述企业管理客户端发送合规性检测规则的服务器62。
所述企业管理客户端61,具体用于按照设定的时间间隔向服务器发送自身的状态信息,其中所述状态信息中包含自身当前保存的合规性检测规则的版本号;并采用接收的所述最新版本号的合规性检测规则更新本地当前保存的合规性检测规则;
服务器62,具体用于判断企业管理客户端当前的合规性检测规则的版本号是否为最新版本号,当确定该版本号非最新版本号时,向所述企业管理客户端下发最新版本号的合规性检测规则。
所述企业管理客户端61,具体用于按照设定的时间间隔向服务器发送自身的状态信息,其中所述状态信息中包含自身当前保存的合规性检测规则的版本号;接收所述服务器发送合规性检测规则的最新版本号,将该最新版本号,与本地已下载的合规性检测规则的版本号进行比较,当不一致时,向所述服务器发送下载最新版本号合规性检测规则的请求,接收所述服务器下发的最新版本号的合规性检测规则,并采用接收的所述最新版本号的合规性检测规则更新本地当前保存的合规性检测规则;
所述服务器62,具体用于接收所述企业管理客户端发送的状态信息,将保存的对应该企业管理客户端的合规性检测规则的最新版本号发送给所述企业管理客户端;接收所述企业管理客户端的请求,并向下发最新版本号的合规性检测规则。
本发明实施例提供了一种锁定移动终端工作区的方法、***及装置,该方法中服务器在接收到移动终端上的企业管理客户端发送的登录信息后,根据自身保存的合规性检测规则,确定该企业管理客户端是否为合规客户端,并在确定该企业管理客户端为非合规客户端时,控制企业管理客户端锁定工作区。由于在本发明实施例中服务器在企业管理客户端每次登录时,检测其是否为合规客户端,而禁止非法用户进入工作区,并且可以避免工作区的数据在非法情况下上传、共享和外泄,有效的保护了企业信息的安全。
需要说明的是,本发明实施例中的设备可以包括计算机设备、移动设备等各种设备。其中,移动设备可以为游戏控制台、膝上型计算机、便携式媒体播放器、板式计算机、平板计算机、PDA、移动计算机以及移动电话等各种移动设备,本发明实施例对此不作限制。
在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的服务器、企业管理客户端及***中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种锁定移动终端工作区的方法,其特征在于,该方法包括:
服务器接收移动终端上的企业管理客户端发送的登录信息;
根据自身保存的合规性检测规则,确定所述企业管理客户端是否为合规客户端;
当确定所述企业管理客户端为非合规客户端时,控制所述企业管理客户端锁定工作区,否则,允许用户进入所述企业管理客户端的工作区。
2.如权利要求1所述的方法,其特征在于,所述确定所述企业管理客户端是否为合规客户端包括:
所述服务器根据记录的所述移动终端的信息,判断所述移动终端是否具有root权限;
当所述移动终端不具有root权限时,确定该移动终端中的企业管理客户端为非合规客户端。
3.如权利要求1或2所述的方法,其特征在于,所述确定所述企业管理客户端为非合规客户端包括:
所述服务器根据记录的该移动终端未连接网络的时间,判断该移动终端未连接网络的时间是否大于设定的未连网时间阈值;
当该移动终端未连接网络的时间大于设定的未连网时间阈值时,确定该企业管理客户端为非合规客户端。
4.一种锁定移动终端工作区的***,其特征在于,所述***包括服务器和移动终端上的企业管理客户端;
企业管理客户端,用于向服务器发送登录信息,根据所述服务器的控制锁定工作区,或允许用户进入工作区;
服务器,用于接收所述登录信息,根据自身保存的合规性检测规则,确定所述企业管理客户端是否为合规客户端;当确定所述企业管理客户端为非合规客户端时,控制所述企业管理客户端锁定工作区,否则,允许用户进入所述企业管理客户端的工作区。
5.一种锁定移动终端工作区的方法,其特征在于,所述方法包括:
企业管理客户端接收用户对工作区中的应用程序的操作信息;
根据自身保存的合规性检测规则,判断用户当前在工作区的操作是否合规;
当确定用户当前在工作区的操作不合规时,锁定工作区,否则,允许用户在所述工作区进行的操作。
6.如权利要求5所述的方法,其特征在于,保存所述合规性检测规则包括:
所述企业管理客户端按照设定的时间间隔向服务器发送自身的状态信息,其中所述状态信息中包含自身当前保存的合规性检测规则的版本号;
当所述服务器确定所述企业管理客户端当前保存的非最新版本号的合规性检测规则时,所述企业管理客户端接收所述服务器下发的最新版本号的合规性检测规则,并采用接收的所述最新版本号的合规性检测规则更新本地当前保存的合规性检测规则。
7.如权利要求5或6所述的方法,其特征在于,所述判断用户当前的操作是否合规包括:
所述企业管理客户端查找操作***是否记录有root权限对应的命令;
当未查找到root权限对应的命令时,确定该移动终端不具有root权限,确定用户在工作区中的操作不合规。
8.如权利要求7所述的方法,其特征在于,所述判断用户当前的操作是否合规包括:
所述企业管理客户端根据记录的自身与服务器断开连接的时间,判断所述断开连接的时间是否大于设定的离线访问阈值;
当确定所述断开连接的时间大于设定的离线访问阈值时,确定用户在工作区中的操作不合规。
9.一种企业管理客户端,其特征在于,所述企业管理客户端包括:
接收模块,用于接收用户对工作区中的应用程序的操作信息;
判断模块,用于根据自身保存的合规性检测规则,判断用户当前在工作区的操作是否合规;
控制模块,用于当判断模块确定用户当前在工作区的操作不合规时,锁定工作区,否则,允许用户在所述工作区进行的操作。
10.一种锁定移动终端工作区的***,其特征在于,所述***包括:如权利要求9所述的企业管理客户端,及向所述企业管理客户端发送合规性检测规则的服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310722226.8A CN103646198A (zh) | 2013-12-24 | 2013-12-24 | 一种锁定移动终端工作区的方法、***及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310722226.8A CN103646198A (zh) | 2013-12-24 | 2013-12-24 | 一种锁定移动终端工作区的方法、***及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103646198A true CN103646198A (zh) | 2014-03-19 |
Family
ID=50251411
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310722226.8A Pending CN103646198A (zh) | 2013-12-24 | 2013-12-24 | 一种锁定移动终端工作区的方法、***及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103646198A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104252588A (zh) * | 2014-10-24 | 2014-12-31 | 北京奇虎科技有限公司 | 工作区的访问控制的方法和装置 |
| CN104506351A (zh) * | 2014-12-18 | 2015-04-08 | 北京随方信息技术有限公司 | 在线全自动配置合规性安全审计方法及*** |
| CN105095171A (zh) * | 2015-09-07 | 2015-11-25 | 北京恒华伟业科技股份有限公司 | 一种文件的解锁控制方法及装置 |
| CN105320877A (zh) * | 2014-06-27 | 2016-02-10 | 北京中油瑞飞信息技术有限责任公司 | 基于开放式平台的设备准入与管控方法 |
| CN105653975A (zh) * | 2015-12-24 | 2016-06-08 | 北京奇虎科技有限公司 | App运行控制方法及装置 |
| CN105912937A (zh) * | 2016-04-28 | 2016-08-31 | 宇龙计算机通信科技(深圳)有限公司 | 一种Root检测处理的方法、装置以及终端 |
| CN106203101A (zh) * | 2015-04-30 | 2016-12-07 | 北京壹人壹本信息科技有限公司 | 一种安全管理方法及装置 |
| CN106851574A (zh) * | 2017-01-22 | 2017-06-13 | 山东鲁能软件技术有限公司 | 一种基于gis的终端安全管理***及方法 |
| CN107360081A (zh) * | 2017-07-26 | 2017-11-17 | 珠海信达九州科技有限公司 | 一种移动终端企业级即时通讯的信息交互***及方法 |
| CN111767533A (zh) * | 2019-04-01 | 2020-10-13 | 富泰华工业(深圳)有限公司 | 离线模式用户授权方法、装置、电子装置及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102741804A (zh) * | 2009-07-01 | 2012-10-17 | 芒达·帕蒂尔 | 控制非法使用应用软件的方法 |
| CN103229183A (zh) * | 2010-09-24 | 2013-07-31 | 捷讯研究有限公司 | 用于差异化的访问控制的方法和设备 |
| CN103259707A (zh) * | 2012-02-16 | 2013-08-21 | 捷讯研究有限公司 | 一种通过周界类型分离连接数据的方法和装置 |
| CN103312676A (zh) * | 2012-03-15 | 2013-09-18 | 宇龙计算机通信科技(深圳)有限公司 | 终端、服务器和终端安全管理方法 |
-
2013
- 2013-12-24 CN CN201310722226.8A patent/CN103646198A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102741804A (zh) * | 2009-07-01 | 2012-10-17 | 芒达·帕蒂尔 | 控制非法使用应用软件的方法 |
| CN103229183A (zh) * | 2010-09-24 | 2013-07-31 | 捷讯研究有限公司 | 用于差异化的访问控制的方法和设备 |
| CN103259707A (zh) * | 2012-02-16 | 2013-08-21 | 捷讯研究有限公司 | 一种通过周界类型分离连接数据的方法和装置 |
| CN103312676A (zh) * | 2012-03-15 | 2013-09-18 | 宇龙计算机通信科技(深圳)有限公司 | 终端、服务器和终端安全管理方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105320877B (zh) * | 2014-06-27 | 2018-12-21 | 北京中油瑞飞信息技术有限责任公司 | 基于开放式平台的设备准入与管控方法 |
| CN105320877A (zh) * | 2014-06-27 | 2016-02-10 | 北京中油瑞飞信息技术有限责任公司 | 基于开放式平台的设备准入与管控方法 |
| CN104252588A (zh) * | 2014-10-24 | 2014-12-31 | 北京奇虎科技有限公司 | 工作区的访问控制的方法和装置 |
| CN104252588B (zh) * | 2014-10-24 | 2017-05-03 | 北京奇虎科技有限公司 | 工作区的访问控制的方法和装置 |
| CN104506351A (zh) * | 2014-12-18 | 2015-04-08 | 北京随方信息技术有限公司 | 在线全自动配置合规性安全审计方法及*** |
| CN104506351B (zh) * | 2014-12-18 | 2018-08-14 | 北京随方信息技术有限公司 | 在线全自动配置合规性安全审计方法及*** |
| CN106203101A (zh) * | 2015-04-30 | 2016-12-07 | 北京壹人壹本信息科技有限公司 | 一种安全管理方法及装置 |
| CN105095171A (zh) * | 2015-09-07 | 2015-11-25 | 北京恒华伟业科技股份有限公司 | 一种文件的解锁控制方法及装置 |
| CN105653975A (zh) * | 2015-12-24 | 2016-06-08 | 北京奇虎科技有限公司 | App运行控制方法及装置 |
| CN105653975B (zh) * | 2015-12-24 | 2019-06-07 | 北京奇虎科技有限公司 | App运行控制方法及装置 |
| CN105912937A (zh) * | 2016-04-28 | 2016-08-31 | 宇龙计算机通信科技(深圳)有限公司 | 一种Root检测处理的方法、装置以及终端 |
| CN106851574A (zh) * | 2017-01-22 | 2017-06-13 | 山东鲁能软件技术有限公司 | 一种基于gis的终端安全管理***及方法 |
| CN107360081A (zh) * | 2017-07-26 | 2017-11-17 | 珠海信达九州科技有限公司 | 一种移动终端企业级即时通讯的信息交互***及方法 |
| CN111767533A (zh) * | 2019-04-01 | 2020-10-13 | 富泰华工业(深圳)有限公司 | 离线模式用户授权方法、装置、电子装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103646198A (zh) | 一种锁定移动终端工作区的方法、***及装置 | |
| US20200372154A1 (en) | Blockchain security | |
| CN103677935A (zh) | 一种应用程序的安装控制方法、***及装置 | |
| CN109983745A (zh) | 使用具有自然语言接口的自动机器人程序来改善安全警报响应和调解的响应时间的安全***和方法 | |
| US20210281599A1 (en) | Cyber Security System and Method Using Intelligent Agents | |
| CN102332072A (zh) | 用于检测恶意软件和管理恶意软件相关信息的***和方法 | |
| CN104991526A (zh) | 工业控制***安全支撑框架及其数据安全传输和存储方法 | |
| US11647026B2 (en) | Automatically executing responsive actions based on a verification of an account lineage chain | |
| CN104320389A (zh) | 一种基于云计算的融合身份保护***及方法 | |
| CN103647785A (zh) | 一种移动终端安全的控制方法、装置及*** | |
| Fisk | Cyber security, building automation, and the intelligent building | |
| CN107276986B (zh) | 一种通过机器学习保护网站的方法、装置和*** | |
| CN102945337A (zh) | Subversion用户密码在线自助管理方法和*** | |
| US20170324773A1 (en) | Creation of fictitious identities to obfuscate hacking of internal networks | |
| CN114036495B (zh) | 一种更新私有化部署验证码***的方法及装置 | |
| US9432357B2 (en) | Computer network security management system and method | |
| US11653209B2 (en) | Identifying potential attacks against cellular networks | |
| CN1601954B (zh) | 不中断服务地横跨安全边界移动主体 | |
| Maynard et al. | Decomposition and sequential-AND analysis of known cyber-attacks on critical infrastructure control systems | |
| CN103763370A (zh) | 一种更改移动终端工作区锁屏密码的方法、***及装置 | |
| CN105721613A (zh) | 一种虚拟桌面一键关闭云终端的方法及*** | |
| US8904487B2 (en) | Preventing information theft | |
| CN104318174A (zh) | 一种文档保护方法、设备以及*** | |
| CN111800390A (zh) | 异常访问检测方法、装置、网关设备及存储介质 | |
| CN103559430A (zh) | 基于安卓***的应用账号管理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140319 |
|
| RJ01 | Rejection of invention patent application after publication |