一种安全配置方法、相关装置和系统与流程
本申请涉及网络数据处理领域,特别涉及一种安全配置方法、相关装置和系统。
背景技术:
随着智能终端功能的日益强大,智能终端已逐渐融入到人们的日常生活之中,用户可以通过互联网自行下载安装第三方服务商提供的应用,通过此类应用来扩充终端的功能,这在方便用户使用的同时,也给用户安全带来了极大地隐患。
通常,为了避免非法泄露用户隐私数据,保证用户财产安全,用户可以对智能终端做一系列安全配置。
目前,进行安全配置时,需要用户根据自身的安全需求,设置相应于该需求的安全配置信息,如此配置过程,对用户能力要求较高,且安全配置信息的针对性较强、灵活性较差。
技术实现要素:
本申请所要解决的技术问题是提供一种安全配置方法、相关装置和系统,用以解决现有技术安全配置对用户能力要求高且配置灵活性差的技术问题。
一种安全配置方法,所述方法包括:
服务器获取第一终端所要加入安全组对应的安全配置信息;
所述服务器向所述第一终端发送加入响应,所述加入响应用于指示所述第一终端加入所述安全组、并按照所述安全配置信息进行安全配置。
可选的,在所述服务器获取第一终端所要加入安全组对应的安全配置信息之前,还包括:
所述服务器获取所述第一终端针对所述安全组发送的加入请求。
可选的,在所述服务器获取第一终端所要加入安全组对应的安全配置信息之前,还包括:
所述服务器获取所述第一终端的场景信息;
所述服务器根据所述场景信息确定对应的安全组。
可选的,所述服务器向所述第一终端发送加入响应之前,还包括:
所述服务器向所述第一终端发送加入邀请,所述加入邀请用于邀请所述第一终端加入所述安全组;
若所述服务器收到所述第一终端针对所述加入邀请返回的确认信息,所述服务器执行向所述第一终端发送加入响应。
可选的,所述服务器向所述第一终端发送加入响应之前,还包括:
所述服务器判断是否允许所述第一终端加入所述安全组;
如果是,执行所述服务器向所述第一终端发送加入响应。
可选的,
所述加入响应包括所述安全配置信息;或者,
所述加入响应包括区别配置信息,所述区别配置信息为比对所述安全配置信息与所述第一终端的当前配置信息获得。
可选的,所述安全配置信息包括黑名单,所述安全配置信息的获得方式具体为:
所述服务器接收第二终端发送的鉴权请求,所述鉴权请求包括所述第二终端通过当前接入网络获得的网址,所述第二终端为所述安全组对应的组成员;
所述服务器判断所述网址是否为安全网址,如果否,则将所述当前接入网络确定为非法网络,并将所述当前接入网络添加至所述黑名单。
可选的,所述安全配置信息包括黑名单,所述安全配置信息的获得方式具体为:
所述服务器拦截第二终端通过当前接入网络接收到的数据包,所述第二终端为所述安全组对应的组成员;
所述服务器判断所述数据包是否为安全数据包,如果否,则将所述当前接入网络确定为非法网络,并将所述当前接入网络添加至所述黑名单。
可选的,所述安全配置信息包括信息推送方式,所述安全配置信息的获得方式具体为:
所述服务器接收第二终端发送场景信息和对应的信息推送方式,所述第二终端为所述安全组对应的组成员,所述场景信息包括声音信息、图像信息和位置信息中的任意一种或多种的组合;
所述服务器根据所述场景信息判断所述第二终端所处场景;
所述服务器设置所述信息推送方式与所述场景的对应关系。
可选的,所述安全配置信息包括访问权限,所述安全配置信息的获得方式具体为:
所述服务器接收第二终端针对指定应用程序发送的设置请求,所述第二终端为所述安全组对应的组成员;
所述服务器设置所述指定应用程序运行时,至少一个其它应用程序的访问权限,所述至少一个其它应用程序为除所述指定应用程序之外的应用程序。
可选的,所述判断是否允许所述第一终端加入所述安全组,方式为:
所述服务器响应于第二终端的请求,向所述第一终端发送加入邀请,所述加入邀请包括所述安全组的身份标识,所述第二终端为所述安全组对应的组成员;
所述服务器确定接收到所述第一终端针对所述安全组发送的加入请求,判定允许所述第一终端加入所述安全组。
可选的,所述判断是否允许所述第一终端加入所述安全组,方式为:
所述服务器询问所述安全组中的至少一个其它组成员是否允许所述第一终端加入所述安全组;
所述服务器确定所述至少一个其它组成员允许所述第一终端加入所述安全组时,判定允许所述第一终端加入所述安全组。
可选的,预先保存所述安全配置信息与环境信息的对应关系,所述方法还包括:
所述服务器响应于携带环境信息的切换请求,将发送所述切换请求的组成员的安全配置信息切换为所述环境信息对应的安全配置信息。
可选的,如果所述安全组中的组成员更新了所述安全配置信息,所述方法还包括:
所述服务器询问所述安全组中的至少一个其它组成员是否进行安全配置信息更新;
所述服务器响应于所述至少一个其它组成员发送的询问结果,如果所述询问结果表示同意更新,则更新发送所述询问结果的组成员的安全配置信息。
一种安全配置服务器,所述服务器包括:
信息获得单元,用于获取第一终端所要加入安全组对应的安全配置信息;
响应发送单元,用于向所述第一终端发送加入响应,所述加入响应用于指示所述第一终端加入所述安全组、并按照所述安全配置信息进行安全配置。
可选的,还包括:
第一获取单元,用于在触发所述信息获得单元之前,获取所述第一终端针对所述安全组发送的加入请求。
可选的,还包括:
第二获取单元,用于在触发所述信息获得单元之前,获取所述第一终端的场景信息;
确定单元,用于根据所述场景信息确定对应的安全组。
可选的,还包括:
邀请收发单元,用于在触发所述响应发送单元之前,向所述第一终端发送加入邀请,所述加入邀请用于邀请所述第一终端加入所述安全组;
若所述邀请收发单元收到所述第一终端针对所述加入邀请返回的确认信息,触发所述响应发送单元。
可选的,还包括:
第一判断单元,用于判断是否允许所述第一终端加入所述安全组;
如果是,触发所述响应发送单元。
可选的,
所述响应发送单元发送的所述加入响应包括所述安全配置信息;或者,
所述响应发送单元发送的所述加入响应包括区别配置信息,所述区别配置信息为比对所述安全配置信息与所述第一终端的当前配置信息获得。
可选的,所述安全配置信息包括黑名单,所述服务器还包括:
接收单元,用于接收第二终端发送的鉴权请求,所述鉴权请求包括所述第二终端通过当前接入网络获得的网址,所述第二终端为所述安全组对应的组成员;
第二判断单元,用于判断所述网址是否为安全网址;
第一添加单元,用于在所述第二判断单元判定为否时,将所述当前接入网络确定为非法网络,并将所述当前接入网络添加至所述黑名单。
可选的,所述安全配置信息包括黑名单,所述服务器还包括:
拦截单元,用于拦截第二终端通过当前接入网络接收到的数据包,所述第二终端为所述安全组对应的组成员;
第三判断单元,用于判断所述数据包是否为安全数据包;
第二添加单元,用于在所述第三判断单元判定为否时,将所述当前接入网络确定为非法网络,并将所述当前接入网络添加至所述黑名单。
可选的,所述安全配置信息包括信息推送方式,所述服务器还包括:
所述接收单元还用于接收第二终端发送场景信息和对应的信息推送方式,所述第二终端为所述安全组对应的组成员,所述场景信息包括声音信息、图像信息和位置信息中的任意一种或多种的组合;
第四判断单元,用于根据所述场景信息判断所述第二终端所处场景;
设置单元,用于设置所述信息推送方式与所述场景的对应关系。
可选的,所述安全配置信息包括访问权限,所述接收单元还用于接收第二终端针对指定应用程序发送的设置请求,所述第二终端为所述安全组对应的组成员;
所述设置单元还用于设置所述指定应用程序运行时,至少一个其它应用程序的访问权限,所述至少一个其它应用程序为除所述指定应用程序 之外的应用程序。
可选的,所述第一判断单元还包括:
响应子单元,用于响应于第二终端的请求,向所述第一终端发送加入邀请,所述加入邀请包括所述安全组的身份标识,所述第二终端为所述安全组对应的组成员;
确定子单元,用于确定接收到所述第一终端针对所述安全组发送的加入请求,判定允许所述第一终端加入所述安全组。
可选的,所述第一判断单元还包括:
询问子单元,用于询问所述安全组中的至少一个其它组成员是否允许所述第一终端加入所述安全组;
所述确定子单元还用于确定所述至少一个其它组成员允许所述第一终端加入所述安全组时,判定允许所述第一终端加入所述安全组。
可选的,所述服务器预先保存所述安全配置信息与环境信息的对应关系,所述服务器还包括:
切换单元,用于响应于携带环境信息的切换请求,将发送所述切换请求的组成员的安全配置信息切换为所述环境信息对应的安全配置信息。
可选的,如果所述安全组中的组成员更新了所述安全配置信息,所述服务器还包括:
询问单元,用于询问所述安全组中的至少一个其它组成员是否进行安全配置信息更新;
更新单元,用于响应于所述至少一个其它组成员发送的询问结果,如果所述询问结果表示同意更新,则更新发送所述询问结果的组成员的安全配置信息。
一种安全配置方法,所述方法包括:
终端接收服务器发送的加入响应,所述加入响应用于指示所述终端利用安全组对应的安全配置信息进行安全配置,所述服务器保存有所述安全组对应的安全配置信息;
基于所述加入响应,所述终端按照所述安全配置信息进行安全配置。
可选的,在所述终端接收服务器发送的加入响应之前,还包括:
所述终端向所述服务器发送加入请求,所述加入请求包括安全组的身份标识。
可选的,在所述终端接收服务器发送的加入响应之前,还包括:
所述终端接收所述服务器发送的加入邀请,所述加入邀请用于邀请所述第一终端加入所述安全组;
若所述终端向所述服务器返回针对所述加入邀请的确认信息,所述终端接收服务器发送的所述加入响应。
可选的,所述加入响应包括所述安全配置信息,所述终端按照所述安全配置信息进行安全配置,包括:
所述终端利用所述安全配置信息,覆盖所述终端的当前配置信息。
可选的,所述加入请求还包括所述终端的当前配置信息,所述加入响应包括区别配置信息,所述区别配置信息为比对所述安全配置信息与所述当前配置信息获得,所述终端按照所述安全配置信息进行安全配置,包括:
所述终端利用所述区别配置信息,更新所述当前配置信息。
可选的,所述服务器预先保存安全配置信息与环境信息的对应关系,所述方法还包括:
所述终端向所述服务器发送切换请求,所述切换请求包括所述终端获取的环境信息;
所述终端接收所述服务器发送的切换响应,并根据所述切换响应将所述终端的安全配置信息切换为所述环境信息对应的安全配置信息。
可选的,若所述安全配置信息包括黑名单,所述终端根据所述黑名单拦截对黑名单中网址的访问,或者根据所述黑名单在识别访问的网址不是安全网址时,拦截对黑名单中网址的访问;或者,
所述终端根据所述黑名单拦截从黑名单中的接入网络接收到的数据包,或者根据所述黑名单在识别从黑名单中的接入网络接收到的数据包不是安全数据包时,拦截从所述黑名单中的接入网络接收到的数据包。
可选的,若所述安全配置信息包括信息推送方式,所述终端在所述信息推送方式对应的场景信息下根据所述信息推送方式获取推送信息。
可选的,若所述安全配置信息包括访问权限,所述访问权限包括指定应用程序运行时,至少一个其它应用程序的访问权限,所述至少一个其它应用程序为除所述指定应用程序之外的应用程序;
所述终端在所述指定应用程序运行时,根据所述访问权限中限制所述至少一个其他应用程序的访问权限。
一种安全配置终端,所述终端包括:
接收单元,用于接收服务器发送的加入响应,所述加入响应用于指示所述终端利用安全组对应的安全配置信息进行安全配置,所述服务器保存有所述安全组对应的安全配置信息;
配置单元,用于基于所述加入响应,按照所述安全配置信息进行安全配置。
可选的,还包括:
发送单元,用于在触发所述接收单元之前,向所述服务器发送加入请求,所述加入请求包括安全组的身份标识。
可选的,还包括:
邀请收发单元,用于在触发所述接收单元之前,接收所述服务器发送的加入邀请,所述加入邀请用于邀请所述第一终端加入所述安全组;
若所述邀请收发单元向所述服务器返回针对所述加入邀请的确认信息,触发所述接收单元接收服务器发送的所述加入响应。
可选的,所述加入响应包括所述安全配置信息,所述配置单元具体用于利用所述安全配置信息,覆盖所述终端的当前配置信息。
可选的,所述加入请求还包括所述终端的当前配置信息,所述加入响应包括区别配置信息,所述区别配置信息为比对所述安全配置信息与所述当前配置信息获得,所述配置单元具体用于利用所述区别配置信息,更新所述当前配置信息。
可选的,所述服务器预先保存安全配置信息与环境信息的对应关系,发送单元,用于向所述服务器发送切换请求,所述切换请求包括所述终端获取的环境信息;
所述接收单元还用于接收所述服务器发送的切换响应,并根据所述切 换响应将所述终端的安全配置信息切换为所述环境信息对应的安全配置信息。
可选的,若所述安全配置信息包括黑名单,还包括:
处理单元,用于根据所述黑名单拦截对黑名单中网址的访问,或者根据所述黑名单在识别访问的网址不是安全网址时,拦截对黑名单中网址的访问;或者,
所述处理单元还用于根据所述黑名单拦截从黑名单中的接入网络接收到的数据包,或者根据所述黑名单在识别从接入网络接收到的数据包不是安全数据包时,拦截从所述黑名单中的接入网络接收到的数据包。
可选的,若所述安全配置信息包括信息推送方式,所述处理单元还用于在所述信息推送方式对应的场景信息下根据所述信息推送方式获取推送信息。
可选的,若所述安全配置信息包括访问权限,所述访问权限包括指定应用程序运行时,至少一个其它应用程序的访问权限,所述至少一个其它应用程序为除所述指定应用程序之外的应用程序;
所述处理单元还用于在所述指定应用程序运行时,根据所述访问权限中限制所述至少一个其他应用程序的访问权限。
一种安全配置系统,所述系统包括服务器和终端:
所述服务器,用于获取第一终端所要加入安全组对应的安全配置信息;向所述第一终端发送加入响应,所述加入响应用于指示所述第一终端加入所述安全组、并按照所述安全配置信息进行安全配置;
所述终端,用于接收服务器发送的加入响应,所述加入响应用于指示所述终端利用安全组对应的安全配置信息进行安全配置,所述服务器保存有所述安全组对应的安全配置信息;基于所述加入响应,按照所述安全配置信息进行安全配置。
与现有技术相比,本申请包括以下优点:
服务器保存有多个安全组,每个安全组分别对应各自的安全配置信息,在终端需要进行安全配置时,可申请加入可信赖用户创建的安全组,进而按照该可信赖用户配置的安全配置信息,实现对本终端的安全配置。 如此过程,无需用户逐项配置各个安全配置信息,不仅有助于提高安全配置的效率,还可降低对终端用户的能力要求。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请安全配置方法实施例1的流程图;
图2是本申请安全配置方法实施例2的流程图;
图3是本申请安全配置方法实施例3的流程图;
图4是本申请安全配置方法实施例4的流程图;
图5是本申请安全配置服务器的结构框图;
图6是本申请安全配置终端的结构框图;
图7是本申请安全配置系统的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参考图1,示出了本申请安全配置方法实施例1的流程图,可以包括以下步骤:
步骤101,服务器获取第一终端所要加入安全组对应的安全配置信息。
本申请实施例,提供了一种基于安全配置信息服务器进行安全配置的方案。服务器可以保存多个安全组,每个安全组具有各自对应的安全配置信息和身份标识。举例来说,服务器可以为一名用户创建并保存一个安全组;或者,服务器也可以为一名用户创建并保存多个安全组,且每 个安全组之间可通过安全配置信息和/或身份标识加以区分。其中,安全组的身份标识可以体现为组名称和/或组ID,安全配置信息可以体现为骚扰电话黑名单、诈骗电话黑名单、不安全网络黑名单、病毒库、信息推送方式,等等,本申请实施例对此可不做具体限定。所述安全配置信息可以由专业安全人员设置,也可以由安全组成员设置,本申请实施例对此不做限定。
在进行安全配置时,可选的,用户可通过智能终端向服务器发送加入请求,以便触发服务器为该用户进行安全配置。举例来说,用户A通过智能终端A创建了安全组A,用户B在为智能终端B做安全配置时,可以申请加入用户A创建的安全组A,以便利用用户A设置的安全组A对应的安全配置信息,完成对智能终端B的安全配置。
需要说明的是,智能终端B可以主动申请加入安全组A,或者,智能终端B也可以是被智能终端A邀请被动加入安全组A,本申请实施例对此可不做具体限定。举例来说,如果智能终端B主动申请加入安全组A,加入请求中可以包括安全组A的身份标识。
另外,需要说明的是,智能终端A和智能终端B可以位于相同空间,如,二者属于同一局域网;或者,智能终端A与智能终端B也可以位于不同空间,如,智能终端A属于在北京工作的子女,智能终端B属于在杭州生活的父母。
服务器接收到智能终端B发送的加入请求,即可被触发从本地查找安全组A,并获得安全组A对应的安全配置信息。
或者,可选的,服务器可以确定终端进入某个场景(如地点),且服务器保存了该场景对应的安全配置信息。这种情况下,所述服务器可以主动将第一终端加入到根据该安全配置信息确定的安全组中,或者,所述服务器可以通过向所述第一终端发送加入邀请,询问所述第一终端是否愿意加入对应该安全配置信息的安全组,并在接收到所述第一终端针对所述加入邀请返回的确认信息时,将所述第一终端加入到该安全组中。
其中,所述服务器可以通过至少三种方式确定终端进入的场景信息。
第一种方式,所述服务器可以通过对所述第一终端进行检测,获取所 述第一终端的位置信息等,再通过位置信息等确定所述第一终端的场景信息。
第二种方式,所述服务器可以接收到所述第一终端上报的位置信息,所述服务器根据所述位置信息确定出所述第一终端的场景信息。
第三种方式,所述第一终端可以根据自身的位置信息自行确定出场景信息,再将场景信息上报给所述服务器。这种方式下,所述服务器直接就可以从所述第一终端处接收到所述第一终端的场景信息。
所述服务器通过获取的所述场景信息,可以确定出对应所述场景信息的安全配置信息,所述安全配置信息对应于安全组。由于该安全组为通过所述第一终端的场景信息获得,故该安全组可以理解为所述第一终端可以加入的或需要加入的安全组。
需要注意的是,为了进一步的提高安全性,所述服务器还可以在向所述第一终端发送加入响应之前,判断所述第一终端是否具有加入所述安全组的资格。也就是说,在步骤102之前,可选的,服务器判断是否允许所述第一终端加入所述安全组。
本申请实施例中,服务器至少可通过以下三种方式,判断是否允许第一终端加入安全组。
方式一,如果第一终端发送的加入请求中包括安全组的身份标识,且服务器能够查找到该安全组,则可据此判定允许第一终端加入其请求的安全组。
方式二,如果已加入安全组的组成员通过服务器邀请第一终端加入安全组,则在服务器接收到第一终端发送的加入请求后,可直接判定允许第一终端加入安全组。
方式三,服务器还可询问已加入安全组的至少一个其他组成员,如果至少一个其他组成员同意第一终端加入,则判定允许第一终端加入其请求的安全组。仍以上文所举示例为例,如果安全组A的组成员包括智能终端A和智能终端C,则服务器可以询问智能终端A和智能终端C,并在二者均同意的情况下,判定允许智能终端B加入安全组A。或者,服务器也可以只询问创建安全组A的智能终端A,并在智能终端A同意的 情况下,判定允许智能终端B加入安全组A。或者,服务器还可以从所有已加入安全组A的组成员中选取部分组成员,并在该部分组成员同意的情况下,判定允许智能终端B加入安全组A。
需要说明的是,本申请实施例中,服务器可以按照图1所示,先获得安全配置信息再判断是否允许第一终端加入安全组,或者,也可以先判断是否允许第一终端加入安全组再获得安全配置信息,再者,还可以同时执行上述两个操作动作,本申请实施例对此可不做具体限定。
所述服务器在判断是否允许第一终端加入安全组的过程中,所使用的所述第一终端的身份信息可以携带在所述第一终端向服务器发送的加入请求中。
步骤102,如果是,向所述第一终端发送加入响应,所述加入响应用于指示所述第一终端加入所述安全组、并按照所述安全配置信息进行安全配置。
如果服务器查找到第一终端请求加入的安全组,且允许第一终加入该安全组,则可向第一终端下发加入响应,以此来指示第一终端完成安全配置。
本申请实施例中,加入响应至少可体现为以下两种形式。
第一种形式,加入响应可以包括安全组对应的安全配置信息。对应于此,第一终端可以利用加入响应中的安全配置信息进行安全配置,如,利用安全配置信息覆盖第一终端的当前配置信息。
第二种形式,加入响应可以包括区别配置信息。也就是说,服务器被触发后,可以获取第一终端的当前配置信息,并与安全配置信息相比对,获得所述区别配置信息。如,当前配置信息可以携带于加入请求中,由第一终端发送至服务器;或者,服务器也可以与第一终端交互,获得当前配置信息,本申请实施例对此可不做具体限定。对应于此,第一终端可以利用加入响应中的区别配置信息进行安全配置,如,利用区别配置信息更新第一终端的当前配置信息。如此,还有助于降低加入响应携带的数据量,节省加入响应消耗的传输资源。
以骚扰电话黑名单为例,如果安全配置信息中的骚扰电话黑名单保存 有100条记录,当前配置信息中的骚扰电话黑名单保存有60条记录,二者相比对后,可确定出至少40条区别记录(60条记录并不一定全部与100条记录中的电话重合,故可能不止40条区别记录),第一终端可利用这至少40条区别记录更新当前配置信息中的骚扰电话黑名单。
以诈骗电话黑名单为例,如果安全配置信息中的诈骗电话黑名单保存有15条记录,当前配置信息中未设置诈骗电话黑名单,二者相比对后,可将诈骗电话黑名单中的15条记录确定为区别记录,第一终端可利用这15条区别记录创建诈骗电话黑名单,并将黑名单更新为上述15条记录。
以病毒库为例,如果安全配置信息中病毒库的更新日期为2015.03.12,当前配置信息中病毒库的更新日期为2015.02.28,二者相比对后,可将两个更新日期之间的更新病毒确定为区别病毒,第一终端可利用区别病毒更新当前配置信息中的病毒库。
可选地,如果未查找到第一终端请求加入的安全组,或者,不允许第一终端加入其请求的安全组,服务器还可向第一终端通告请求加入安全组失败。或者,服务器还可进一步向第一终端通告失败原因。
综上,在需要进行安全配置时,终端用户可以无需逐项配置各个安全配置信息,只要加入可信赖终端用户创建的安全组,并按照该可信赖终端用户配置的安全配置信息,完成对本终端的安全配置即可。如此,不仅提高了安全配置的效率,还降低了对用户能力的要求,可简便实现终端的安全配置。
下面再结合安全配置信息的具体表现形式,对本申请实施例获得安全配置信息的方式做简单介绍。
如果安全配置信息包括骚扰电话黑名单或者诈骗电话黑名单,已加入安全组的第二终端,可以在接通电话明确其为骚扰电话或诈骗电话后,将该电话号码添加至对应黑名单中。或者,已加入安全组的第二终端,可以将由相关APP标识为骚扰电话或诈骗电话的号码添加至对应黑名单中。
如果安全配置信息包括病毒库,已加入安全组的第二终端,可以及时 联网进行病毒库更新。
如果安全配置信息包括不安全网络黑名单,服务器可以接收第二终端发送的鉴权请求,所述鉴权请求包括所述第二终端通过当前接入网络获得的网址;判断所述网址是否为安全网址,如果否,则将所述当前接入网络确定为非法网络,并将所述当前接入网络添加至对应黑名单。举例来说,用户在公共场所(如,咖啡厅)使用第二终端,该公共场所有两个wifi,一个为咖啡厅布设的公共wifi,一个为恶意用户布设的私人wifi,若第二终端接入了私人wifi,则在用户使用第二终端访问网站(如,淘宝网站)时,该私人wifi可能会向用户推送淘宝钓鱼网站的网址链接。如此场景下,第二终端可以将私人wifi推送的网址携带于鉴权请求中,请求服务器对其进行安全鉴权。如果私人wifi推送的网址为安全网址,则可继续使用该私人wifi,可选地,服务器还可将该私人wifi添加到白名单中,这样,安全组的组成员在利用该私人wifi时就无需再次请求服务器进行安全鉴权,节省服务器处理资源以及网络传输资源。如果私人wifi推动的网址为不安全网址,则可向第二终端进行危险预警,并将该私人wifi添加到黑名单中,这样,就可避免安全组的组成员使用该私人wifi,保护组成员的信息安全。
如果安全配置信息包括不安全网络黑名单,服务器可拦截第二终端通过当前接入网络接收到的数据包;判断所述数据包是否为安全数据包,如果否,则将所述当前接入网络确定为非法网络,并将所述当前接入网络添加至对应黑名单。仍以上文用户在公共场所使用第二终端为例,服务器确定第二终端接入私人wifi后,可以主动拦截该私人wifi发送至第二终端的数据包,对该私人wifi进行安全鉴权,并根据鉴权结果做相应处理,以保护第二终端以及安全组中其它组成员的信息安全,具体过程可参照上文所作介绍,此处不再赘述。
如果安全配置信息包括信息推送方式,已加入安全组的第二终端,可以结合具体场景设置信息推送方式。如,针对机场这一具体场景,信息推送方式可以设置为:在机场时接收关于机票、酒店、旅游景点等的推送信息,不在机场时则拒接上述推送信息;或者,针对商场这一具体场 景,信息推送方式可以设置为:在商场时接收商品促销、优惠等推送信息,不在商场时拒接上述推送信息;或者,针对办公场所这一具体场景,信息推送方式可以设置为:在办公场所时接收下属员工的定位信息(便于掌握员工动向,并在需要时通过定位信息及时找到员工位置),不在办公场所时拒接上述定位信息,等等,本申请实施例对此可不做具体限定。举例来说,服务器可以通过第二终端采集的场景信息,包括声音信息、图像信息、位置信息中任意一种或多种的组合等等,确定第二终端当前所处的具体场景,本申请对此可不做具体限定。所述服务器可以设置所述信息推送方式与所述场景的对应关系,以实现结合具体场景设置信息推送方式。
如果所述安全配置信息包括访问权限,服务器可以接收第二终端针对指定应用程序发送的设置请求。所述服务器设置所述指定应用程序运行时,至少一个其它应用程序的访问权限,所述至少一个其它应用程序为除所述指定应用程序之外的应用程序。所述访问权限可以是禁止访问终端全部的数据,或者,也可以是禁止访问终端指定的数据。指定应用程序可以为安全等级不低于预设级别的应用程序;或者,指定应用程序可以为被第二终端添加至白名单中的应用程序。访问权限可以由服务器根据默认设置而定,也可以由第二终端通过设置请求发送至服务器。例如所述访问权限为禁止访问短信里的数据,指定应用程序可以为支付类的程序,通过服务器的设置,可以避免至少一个其它应用程序读取支付过程中的短信验证码等信息。
需要说明的是,第二终端可以是已加入安全组的任一组成员,或者,第二终端可以是创建安全组的组成员,本申请实施例对此可不做具体限定。另外,需要说明的是,第一终端加入安全组后,亦可按照上文介绍的方式获得安全配置信息,并结合实际需要,更新其所属安全组的安全配置信息。
现有技术的安全配置方案,在安全需求发生变化时,无法及时有针对性的设置相应的安全配置信息,对应于此,本申请实施例可选还可结合环境信息进行安全配置,提高本申请安全配置的灵活性。具体地,服务 器可以预先保存安全配置信息与环境信息的对应关系,并在接收到组成员发送的携带有环境信息的切换请求时,响应于所述切换请求,将发送所述切换请求的组成员的安全配置信息切换为所述环境信息对应的安全配置信息。
举例来说,智能终端A采集的环境信息表示位于机场,服务器则可将智能终端A的安全配置信息切换为允许接收酒店推送信息。或者,举例来说,属于父母的智能终端B采集的环境信息表示父母与子女位于不同空间(如,智能终端B的位置信息为杭州,属于子女的智能终端A的位置信息为北京,服务器则可判定二者位于不同空间),服务器则可将智能终端B的安全配置信息切换为开启骚扰电话黑名单和诈骗电话黑名单。
在不同的实施例中,如果所述安全组中的组成员更新了所述安全配置信息,参考图2所示实施例2,在步骤103之后,还可包括:
步骤201,询问所述安全组中的至少一个其它组成员是否进行安全配置信息更新。
步骤202,响应于所述至少一个其它组成员发送的询问结果,如果至少一个询问结果表示同意更新,则更新发送所述询问结果的组成员的安全配置信息。也就是说,更新询问结果表示同意更新的组成员的安全配置信息。
如果安全组中的组成员结合实际使用需要,更新了安全组对应的安全配置信息,例如,添加了新的骚扰电话、诈骗电话、不安全网络、不安全网址到对应的黑名单中,更新了病毒库,调整或添加了新的信息推送方式,等等,服务器可以控制安全组内的其它组成员同步进行安全配置信息更新;或者,服务器也可以根据安全组内的至少一个其它组成员的意愿,控制同意更新的组成员同步进行安全配置信息更新,并维持不同意更新的组成员的安全配置信息不变。
需要说明的是,本申请中的其它组成员可以理解为,未进行安全配置信息更新的组成员。以安全组A包括智能终端A、B和C为例,如果智能终端A进行了安全配置信息更新,如添加了新的骚扰电话,则智能终 端B和C可被视为其它组成员;如果智能终端A和B均进行了安全配置信息更新,如更新了病毒库,则智能终端C可被视为其它组成员。
接下来将从终端侧的角度,对本发明的技术方案进行描述。图3是本申请安全配置方法实施例3的流程图,所述方法包括:
步骤301:终端接收服务器发送的加入响应,所述加入响应用于指示所述终端利用安全组对应的安全配置信息进行安全配置,所述服务器保存有所述安全组对应的安全配置信息。
步骤302:基于所述加入响应,所述终端按照所述安全配置信息进行安全配置。
本申请实施例,提供了一种基于安全配置信息服务器进行安全配置的方案。服务器可以保存多个安全组,每个安全组具有各自对应的安全配置信息和身份标识。举例来说,服务器可以为一名用户创建并保存一个安全组;或者,服务器也可以为一名用户创建并保存多个安全组,且每个安全组之间可通过安全配置信息和/或身份标识加以区分。其中,安全组的身份标识可以体现为组名称和/或组ID,安全配置信息可以体现为骚扰电话黑名单、诈骗电话黑名单、不安全网络黑名单、病毒库、信息推送方式,等等,本申请实施例对此可不做具体限定。所述安全配置信息可以由专业安全人员设置,也可以由安全组成员设置,本申请实施例对此不做限定。
在进行安全配置时,可选的,终端向服务器发送加入请求,所述加入请求包括安全组的身份标识。用户可通过所述终端向服务器发送加入请求,以便触发服务器为该用户进行安全配置。举例来说,用户A通过智能终端A创建了安全组A,用户B在为智能终端B做安全配置时,可以通过向服务器发送加入请求,申请加入用户A创建的安全组A,以便利用用户A设置的安全组A对应的安全配置信息,完成对智能终端B的安全配置,其中,加入请求中可以包括安全组A的身份标识。
另外,需要说明的是,智能终端A和智能终端B可以位于相同空间,如,二者属于同一局域网;或者,智能终端A与智能终端B也可以位于 不同空间,如,智能终端A属于在北京工作的子女,智能终端B属于在杭州生活的父母。
服务器接收到智能终端B发送的加入请求,即可被触发从本地查找安全组A,并获得安全组A对应的安全配置信息。
或者,可选的,在所述终端接收服务器发送的加入响应之前,还包括:
所述终端接收所述服务器发送的加入邀请,所述加入邀请用于邀请所述第一终端加入所述安全组。
若所述终端向所述服务器返回针对所述加入邀请的确认信息,所述终端接收服务器发送的所述加入响应。
举例说明,当所述终端获取所述加入邀请,可以理解为所述终端所处的位置或者场景信息与所述加入邀请中所述安全组的要求相符。例如所述终端进入了某一电影院、咖啡厅等位置,或者在工作时间处于办公楼内等情况。持有所述终端的用户可以选择接受该加入邀请加入安全组,由此可以根据该安全组的安全配置信息进行安全配置。
在安全配置后,所述终端可以根据所述安排配置信息的不同,进行相应的操作。
例如,,若所述安全配置信息包括黑名单,所述终端根据所述黑名单拦截对黑名单中网址的访问,或者根据所述黑名单在识别访问的网址不是安全网址时,拦截对黑名单中网址的访问;或者,
所述终端根据所述黑名单拦截从黑名单中的接入网络接收到的数据包,或者根据所述黑名单在识别从黑名单中的接入网络接收到的数据包不是安全数据包时,拦截从所述黑名单中的接入网络接收到的数据包。
也就是说,所述终端可以根据所述黑名单,在检测到该黑名单中的不安全wifi时,拒绝加入到该不安全wifi中。当用户使用所述终端尝试访问该黑名单中记载的不安全网址时,所述终端可以拦截对该不安全网址的访问,还可以发出预警。或者,即使所述终端接入到不安全网址或wifi等时,还可以进一步的拦截从不安全网址或wifi发来的数据包。
或者,例如,若所述安全配置信息包括信息推送方式,所述终端在所述信息推送方式对应的场景信息下根据所述信息推送方式获取推送信 息。
举例说明,针对机场这一具体场景,信息推送方式可以设置为:在机场时接收关于机票、酒店、旅游景点等的推送信息,不在机场时则拒接上述推送信息;或者,针对商场这一具体场景,信息推送方式可以设置为:在商场时接收商品促销、优惠等推送信息,不在商场时拒接上述推送信息;或者,针对办公场所这一具体场景,信息推送方式可以设置为:在办公场所时接收下属员工的定位信息(便于掌握员工动向,并在需要时通过定位信息及时找到员工位置),不在办公场所时拒接上述定位信息,等等
或者,例如,若所述安全配置信息包括访问权限,所述访问权限包括指定应用程序运行时,至少一个其它应用程序的访问权限,所述至少一个其它应用程序为除所述指定应用程序之外的应用程序;
所述终端在所述指定应用程序运行时,根据所述访问权限中限制所述至少一个其他应用程序的访问权限。
如果服务器查找到第一终端请求加入的安全组,且允许第一终加入该安全组,则可向第一终端下发加入响应,以此来指示第一终端完成安全配置。
本申请实施例中,加入响应至少可体现为以下两种形式。
第一种形式,加入响应可以包括安全组对应的安全配置信息。对应于此,所述终端可以利用加入响应中的安全配置信息进行安全配置,如,利用安全配置信息覆盖所述终端的当前配置信息。
第二种形式,加入响应可以包括区别配置信息。也就是说,服务器被触发后,可以获取所述终端的当前配置信息,并与安全配置信息相比对,获得所述区别配置信息。如,当前配置信息可以携带于加入请求中,由所述终端发送至服务器;或者,服务器也可以与所述终端交互,获得当前配置信息,本申请实施例对此可不做具体限定。对应于此,所述终端可以利用加入响应中的区别配置信息进行安全配置,如,利用区别配置信息更新所述终端的当前配置信息。如此,还有助于降低加入响应携带的数据量,节省加入响应消耗的传输资源。
现有技术的安全配置方案,在安全需求发生变化时,无法及时有针对性的设置相应的安全配置信息,对应于此,本申请实施例可选还可结合环境信息进行安全配置,提高本申请安全配置的灵活性。在图3所对实施例的基础上,参见图4,图4是本申请安全配置方法实施例4的流程图,所述服务器预先保存安全配置信息与环境信息的对应关系,所述方法还包括:
步骤401:所述终端向所述服务器发送切换请求,所述切换请求包括所述终端获取的环境信息。
步骤402:所述终端接收所述服务器发送的切换响应,并根据所述切换响应将所述终端的安全配置信息切换为所述环境信息对应的安全配置信息。
举例来说,智能终端A采集的环境信息表示位于机场,服务器则可将智能终端A的安全配置信息切换为允许接收酒店推送信息。或者,举例来说,属于父母的智能终端B采集的环境信息表示父母与子女位于不同空间(如,智能终端B的位置信息为杭州,属于子女的智能终端A的位置信息为北京,服务器则可判定二者位于不同空间),服务器则可将智能终端B的安全配置信息切换为开启骚扰电话黑名单和诈骗电话黑名单。
与上述本申请一种安全配置方法实施例1所提供的方法相对应,本申请还提供了一种安全配置服务器,参见图5,图5为本申请安全配置服务器的结构框图,在本实施例中,该服务器可以包括:
信息获得单元501,用于获取第一终端所要加入安全组对应的安全配置信息。
响应发送单元503,用于向所述第一终端发送加入响应,所述加入响应用于指示所述第一终端加入所述安全组,并按照所述安全配置信息进行安全配置。
可选的,还包括:
第一获取单元,用于在触发所述信息获得单元之前,获取所述第一终 端针对所述安全组发送的加入请求。
可选的,还包括:
第二获取单元,用于在触发所述信息获得单元之前,获取所述第一终端的场景信息;
确定单元,用于根据所述场景信息确定对应的安全组。
可选的,还包括:
邀请收发单元,用于在触发所述响应发送单元之前,向所述第一终端发送加入邀请,所述加入邀请用于邀请所述第一终端加入所述安全组;
若所述邀请收发单元收到所述第一终端针对所述加入邀请返回的确认信息,触发所述响应发送单元。
可选的,还包括:
第一判断单元,用于判断是否允许所述第一终端加入所述安全组;
如果是,触发所述响应发送单元。
可选的,所述响应发送单元发送的所述加入响应包括所述安全配置信息;或者,
所述响应发送单元发送的所述加入响应包括区别配置信息,所述区别配置信息为比对所述安全配置信息与所述第一终端的当前配置信息获得。
可选的,所述安全配置信息包括黑名单,所述服务器还包括:
接收单元,用于接收第二终端发送的鉴权请求,所述鉴权请求包括所述第二终端通过当前接入网络获得的网址,所述第二终端为所述安全组对应的组成员;
第二判断单元,用于判断所述网址是否为安全网址;
第一添加单元,用于在所述第二判断单元判定为否时,将所述当前接入网络确定为非法网络,并将所述当前接入网络添加至所述黑名单。
可选的,所述安全配置信息包括黑名单,所述服务器还包括:
拦截单元,用于拦截第二终端通过当前接入网络接收到的数据包,所述第二终端为所述安全组对应的组成员;
第三判断单元,用于判断所述数据包是否为安全数据包;
第二添加单元,用于在所述第三判断单元判定为否时,将所述当前接入网络确定为非法网络,并将所述当前接入网络添加至所述黑名单。
所述安全配置信息包括信息推送方式,所述服务器还包括:
所述接收单元还用于接收第二终端发送场景信息和对应的信息推送方式,所述第二终端为所述安全组对应的组成员,所述场景信息包括声音信息、图像信息和位置信息中的任意一种或多种的组合;
第四判断单元,用于根据所述场景信息判断所述第二终端所处场景;
设置单元,用于设置所述信息推送方式与所述场景的对应关系。
可选的,所述安全配置信息包括访问权限,所述接收单元还用于接收第二终端针对指定应用程序发送的设置请求,所述第二终端为所述安全组对应的组成员;
所述设置单元还用于设置所述指定应用程序运行时,至少一个其它应用程序的访问权限,所述至少一个其它应用程序为除所述指定应用程序之外的应用程序。
可选的,所述第一判断单元还包括:
响应子单元,用于响应于第二终端的请求,向所述第一终端发送加入邀请,所述加入邀请包括所述安全组的身份标识,所述第二终端为所述安全组对应的组成员;
确定子单元,用于确定接收到所述第一终端针对所述安全组发送的加入请求,判定允许所述第一终端加入所述安全组。
可选的,所述第一判断单元还包括:
询问子单元,用于询问所述安全组中的至少一个其它组成员是否允许所述第一终端加入所述安全组;
所述确定子单元还用于确定所述至少一个其它组成员允许所述第一终端加入所述安全组时,判定允许所述第一终端加入所述安全组。
可选的,所述服务器预先保存所述安全配置信息与环境信息的对应关系,所述服务器还包括:
切换单元,用于响应于携带环境信息的切换请求,将发送所述切换请求的组成员的安全配置信息切换为所述环境信息对应的安全配置信息。
可选的,如果所述安全组中的组成员更新了所述安全配置信息,所述服务器还包括:
询问单元,用于询问所述安全组中的至少一个其它组成员是否进行安全配置信息更新;
更新单元,用于响应于所述至少一个其它组成员发送的询问结果,如果所述询问结果表示同意更新,则更新发送所述询问结果的组成员的安全配置信息。
与上述本申请一种安全配置方法实施例3所提供的方法相对应,本申请还提供了一种安全配置终端,参见图6,图6是本申请安全配置终端的结构框图,在本实施例中,该终端可以包括:
接收单元602,用于接收服务器发送的加入响应,所述加入响应用于指示所述终端利用安全组对应的安全配置信息进行安全配置,所述服务器保存有所述安全组对应的安全配置信息。
配置单元603,用于基于所述加入响应,按照所述安全配置信息进行安全配置。
可选的,还包括:
发送单元,用于在触发所述接收单元之前,向所述服务器发送加入请求,所述加入请求包括安全组的身份标识。
可选的,还包括:
邀请收发单元,用于在触发所述接收单元之前,接收所述服务器发送的加入邀请,所述加入邀请用于邀请所述第一终端加入所述安全组;
若所述邀请收发单元向所述服务器返回针对所述加入邀请的确认信息,触发所述接收单元接收服务器发送的所述加入响应。
可选的,所述加入响应包括所述安全配置信息,所述配置单元具体用于利用所述安全配置信息,覆盖所述终端的当前配置信息。
可选的,所述加入请求还包括所述终端的当前配置信息,所述加入响应包括区别配置信息,所述区别配置信息为比对所述安全配置信息与所述当前配置信息获得,所述配置单元具体用于利用所述区别配置信息, 更新所述当前配置信息。
可选的,所述服务器预先保存安全配置信息与环境信息的对应关系,所述发送单元还用于向所述服务器发送切换请求,所述切换请求包括所述终端获取的环境信息。
所述接收单元还用于接收所述服务器发送的切换响应,并根据所述切换响应将所述终端的安全配置信息切换为所述环境信息对应的安全配置信息。
可选的,若所述安全配置信息包括黑名单,还包括:
处理单元,用于根据所述黑名单拦截对黑名单中网址的访问,或者根据所述黑名单在识别访问的网址不是安全网址时,拦截对黑名单中网址的访问;或者,
所述处理单元还用于根据所述黑名单拦截从黑名单中的接入网络接收到的数据包,或者根据所述黑名单在识别从接入网络接收到的数据包不是安全数据包时,拦截从所述黑名单中的接入网络接收到的数据包。
可选的,若所述安全配置信息包括信息推送方式,所述处理单元还用于在所述信息推送方式对应的场景信息下根据所述信息推送方式获取推送信息。
可选的,若所述安全配置信息包括访问权限,所述访问权限包括指定应用程序运行时,至少一个其它应用程序的访问权限,所述至少一个其它应用程序为除所述指定应用程序之外的应用程序;
所述处理单元还用于在所述指定应用程序运行时,根据所述访问权限中限制所述至少一个其他应用程序的访问权限。
在上述实施例的基础上,本申请还提供了一种安全配置系统,参见图7,图7是本申请安全配置系统的结构框图,在本实施例中,所述系统可以包括服务器和终端:
所述服务器701,用于获取第一终端所要加入安全组对应的安全配置信息;向所述第一终端发送加入响应,所述加入响应用于指示所述第一终端加入所述安全组、并按照所述安全配置信息进行安全配置。
所述终端702,用于接收服务器发送的加入响应,所述加入响应用于指示所述终端利用安全组对应的安全配置信息进行安全配置,所述服务器保存有所述安全组对应的安全配置信息;基于所述加入响应,按照所述安全配置信息进行安全配置。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质可以是下述介质中的至少一种:只读存储器(英文:read-only memory,缩写:ROM)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!