一种通用的终端系统加固方法与流程

本发明属于移动终端应用安全领域，特别是涉及一种针对大规模网络、远程一点对多点高效的通用的终端系统加固方法。

背景技术：

随着移动终端平台的日益发展，移动办公在各领域都得到了广泛应用，移动终端的业务应用的安装卸载成为了日常管理中的重要组成部分，也是一件繁琐的事情。由于移动终端平台的开放性，允许移动终端用户随意安装卸载应用，导致系统变慢，甚至无法正常运行。当移动终端的业务应用发生变更时（如安装卸载应用、重装操作系统），服务端会将其定义为一台新的移动终端，从而造成原有信息错误以及策略或任务执行的失败，长此以往会形成很多无效的移动终端的应用信息。另外由于正常的业务应用可以被随意更改，日常维护手工记录、手工重新设置、手工恢复应用信息成了网管中心日常管理难度最大的工作，极大地降低了工作效率，增加了运维成本。综上所述，应用信息的恢复存在一定局限性，特别是当移动终端重新恢复操作系统后，其应用信息会丢失，并且无法恢复；对移动终端的应用信息安装卸载请求的监测，现有技术中，一般采用定时监测方式，当定时周期较短时，系统资源占用较高，而定时周期较长时，用户私自安装卸载应用信息后，又无法立即恢复。因此，需要一种安全可靠的通用的终端系统加固方法来解决上述问题。

技术实现要素：

本发明的主要目的在于提供一种通用的终端系统加固方法，该方法从根本上杜绝了终端用户私自安装卸载业务应用，并且服务端能够通过网络远程更新或批量安装卸载终端的业务应用。

为了达到上述目的，本发明所采用的技术方案如下：

一种通用的终端系统加固方法，包含以下步骤：

a．服务端获取终端的应用信息：

服务端获取网络中所有终端的应用信息和硬件信息，将硬件信息作为该终端的唯一识别信息；

所述应用信息包括软件包名、软件名称、软件厂商；

所述硬件信息包括imei、imsi；

b．服务端生成合法应用列表：

服务端将获取的所有终端的应用信息远程进行统一规划，并在服务端上存储所有终端的应用信息和硬件信息，依据所存储的应用信息和硬件信息生成合法应用列表；

c．绑定终端的应用列表：

服务端在服务端上设定需要绑定的终端的应用列表不可更改；

服务端依据所述需要绑定的终端的硬件信息通知需要绑定的终端；

所述需要绑定的终端利用jnihook技术，设定其终端的应用列表不可更改；

d．终端实时监测其终端的应用信息的安装卸载请求：

已绑定的终端利用jnihook技术，实时监测其终端的应用信息的安装卸载请求。

2．如权利要求1所述的通用的终端系统加固方法，已绑定的终端利用jnihook技术，实时监测其终端的应用信息的安装卸载请求，包括以下步骤：

d1．如果已绑定的终端监测到有应用信息的安装卸载请求，继续执行步骤d2；如果已绑定的终端未监测到有应用信息的安装卸载请求，则执行步骤d4；

d2．已绑定的终端判断所述修改请求是否为合法请求，如果是服务端发出的修改请求，则是合法请求，继续执行步骤d3，如果不是服务端发出的修改请求，则是非法请求，执行步骤d4；

d3．依据所述合法请求，服务端更新在服务端上的合法应用列表中的该合法请求要求安装卸载的终端的应用信息，并远程访问该终端，修改该终端的应用信息，执行步骤d1；

d4．终端判断其终端是否是启动后第一次运行：

如果已绑定的终端是启动后第一次运行，该终端发送其终端的硬件信息到服务端；

服务端依据接收到的该终端的硬件信息从合法应用列表中获取该终端的应用信息；

服务端发送从合法应用列表中获取的该终端的应用信息到该终端；

该终端将从服务端接收到的该终端的应用信息与其终端的应用信息进行比对，如果二者不一致，则该终端的应用信息发生异常变更，继续执行步骤d5；如果二者一致，则该终端的应用信息未发生异常变更，执行步骤d1；

如果已绑定的终端不是启动后第一次运行，执行步骤d1；

d5．所述发生异常变更的终端将其终端的硬件信息发送到服务端；

d6．服务端根据接收到的发生异常变更的终端的硬件信息，从服务端上的合法应用列表中获取该发生异常变更的终端的应用信息；

d7．服务端远程访问所述发生异常变更的终端，用从合法应用列表中获取的该发生异常变更的终端的应用信息恢复该终端的应用信息；

d8．绑定发生异常变更的终端的应用信息：

服务端在服务端上设定发生异常变更的终端的应用信息不可更改；

服务端依据所述发生异常变更的终端的硬件信息通知该发生异常变更的终端；

所述发生异常变更的终端利用jnihook技术，设定其终端的应用信息不可更改，执行步骤d1。

本发明的有益效果是：

本发明的通用的终端系统加固方法，通过服务端远程进行统一规划终端的应用信息，绑定终端的应用信息，终端实时监测其终端的应用信息的安装卸载的方式，依据具体需要远程更新终端的应用信息或恢复非法安装卸载的终端的应用信息，解决了大规模局域网中系统业务应用安装卸载工作量大、效率低、系统资源占用高、不能集中统一规划及自动维护的问题，极大地提高了工作效率，减少了运营维护成本。

附图说明

图1是本发明的通用的终端系统加固方法的流程图；

图2是本发明的通用的终端系统加固方法的步骤d的流程图；

图3是本发明的实施例的应用环境的结构示意图。

具体实施方式

下面结合附图和实施例，对本发明的通用的系统方法做进一步详细描述。

对业务应用的安装卸载的集中统一管理是确保移动网络正常运行的基础性工作。

本发明的通用的终端系统加固方法不受网络内终端的数量和网络情况的限制，能够绑定终端的业务应用，服务端可以远程对终端的业务应用进行安装卸载，因此，能够满足日常业务应用的管理需求，摆脱令人厌倦的业务应用的安装卸载的繁琐操作，提高了工作效率。另外，也能够批量进行业务应用的安装卸载，对多台终端的软件包名、软件名称、软件厂商等属性进行统一配置，而且所有设置不需要终端重新启动而立即生效。

实施例

例如，一个局域网内有500台移动终端，移动终端pad1，pad2，…，pad500，一台服务端计算机（server），对此500台移动终端进行业务应用的安装卸载以及对业务应用发生异常安装卸载的移动终端自动恢复其原业务应用，本发明的通用的终端系统加固方法，具体包括如下步骤：

a．服务端计算机获取移动终端的应用信息：

服务端计算机获取局域网内所有500台移动终端的应用信息和硬件信息，将硬件信息作为移动终端的唯一识别信息；

所述应用信息包括软件包名、软件名称、软件厂商；

所述硬件信息包括imei、imsi；

其中移动终端pad1的软件包名1为com.tencent.qqpimsecure、软件名称1为手机管家、软件厂商1为百度，软件包名2为com.baidu.appsearch、软件名称2为百度手机助手、软件厂商2为百度，软件包名3为cn.opda.a.phonoalbumshoushou、软件名称3为百度手机卫士、软件厂商3为百度，软件包名4为com.alibaba.android.rimet、软件名称4为钉钉、软件厂商4为阿里巴巴；

b．服务端计算机生成合法应用列表：

服务端计算机将获取的局域网内所有500台移动终端的应用信息远程进行统一规划，将移动终端pad1至pad100的应用信息统一规划为软件包名1为com.tencent.qqpimsecure、软件名称1为手机管家、软件厂商1为百度，将移动终端pc101至pc200的应用信息统一规划为软件包名2为com.baidu.appsearch、软件名称2为百度手机助手、软件厂商2为百度，将移动终端pc201至pc500的应用信息统一规划为软件包名4为com.alibaba.android.rimet、软件名称4为钉钉、软件厂商4为阿里巴巴，并在服务端计算机上存储所有500台移动终端的应用信息和硬件信息，依据所存储的应用信息和硬件信息生成合法应用列表；

c．绑定移动终端的应用信息：

服务端计算机在服务端计算机上设定所有500台移动终端的应用信息不可更改；

服务端计算机依据所述需要绑定的500台移动终端的硬件信息通知该500台移动终端；

所述需要绑定的500台移动终端分别利用jnihook技术，设定其移动终端的应用信息不可更改；

d．移动终端实时监测本移动终端的应用信息的安装卸载请求：

已绑定的移动终端利用jnihook技术，实时监测本移动终端的应用信息的变更，具体工作步骤如下：

d1．本实施例中，服务端计算机请求批量在移动终端pad1至pad100上安装软件包名3为cn.opda.a.phonoalbumshoushou、软件名称3为百度手机卫士、软件厂商3为百度的业务应用，因此，移动终端pad1至pad100能够检测到服务端计算机的业务应用的安装请求，继续执行步骤d2；而pad101至pad200和pad201至pad500不能检测到服务端计算机的业务应用的安装请求，执行步骤d4；

d2．因为是服务端计算机发出的安装请求在pad1至pad100上安装软件包名3为cn.opda.a.phonoalbumshoushou、软件名称3为百度手机卫士、软件厂商3为百度的业务应用，因此是合法请求，继续执行步骤d3；（如果不是服务端发出的安装请求，既是移动终端发出的安装请求，则是非法请求，执行步骤d4；）

d3．依据所述合法请求，服务端计算机更新合法应用列表中pad1至pad100的应用列表为软件包名1为com.tencent.qqpimsecure、软件名称1为手机管家、软件厂商1为百度，软件包名3为cn.opda.a.phonoalbumshoushou、软件名称3为百度手机卫士、软件厂商3为百度，服务端计算机通过远程访问移动终端pad1至pad100，将移动终端pad1至pad1000的应用信息软件包名1为com.tencent.qqpimsecure、软件名称1为手机管家、软件厂商1为百度更新为软件包名1为com.tencent.qqpimsecure、软件名称1为手机管家、软件厂商1为百度，软件包名3为cn.opda.a.phonoalbumshoushou、软件名称3为百度手机卫士、软件厂商3为百度，执行步骤d1；

d4．移动终端判断其移动终端是否是启动后第一次运行：

本实施例中，移动终端pad1重新恢复了操作系统，其应用信息已经发生了变更，具体为：软件包名1为com.tencent.qqpimsecure、软件名称1为手机管家、软件厂商1为百度，其硬件信息为：imei为865133020677855、imsi为460030912121001；

移动终端pad1启动后第一次运行，该移动终端pad1发送其移动终端的硬件信息（imei为865133020677855、imsi为460030912121001）到服务端计算机；

服务端计算机依据接收到的该移动终端pad1的硬件信息从合法应用列表中获取该移动终端的应用信息（软件包名1为com.tencent.qqpimsecure、软件名称1为手机管家、软件厂商1为百度，软件包名3为cn.opda.a.phonoalbumshoushou、软件名称3为百度手机卫士、软件厂商3为百度）；

服务端计算机发送从合法应用列表中获取的该移动终端的应用信息到该移动终端pad1；

该移动终端pad1将从服务端计算机接收到的该移动终端pad1的应用信息与本移动终端的应用信息进行比对，本实施例中，因为移动终端pad1重装了操作系统，其应用信息（软件包名1为com.tencent.qqpimsecure、软件名称1为手机管家、软件厂商1为百度）与合法应用信息列表中的移动终端pad1的应用信息（软件包名1为com.tencent.qqpimsecure、软件名称1为手机管家、软件厂商1为百度，软件包名3为cn.opda.a.phonoalbumshoushou、软件名称3为百度手机卫士、软件厂商3为百度），二者不一致，该移动终端pad1的应用信息发生异常变更，继续执行步骤d5；（如果二者一致，则移动终端的应用信息未发生异常变更，执行步骤d1；）

（如果已绑定的移动终端不是启动后第一次运行，执行步骤d1；原因是：如果已绑定的移动终端不是启动后第一次运行，因为已经绑定移动终端的应用信息，移动终端的应用信息不可更改，因此不需要再判断其应用信息是否发生异常变更，以提高系统的工作效率，减少系统资源占用；如果是启动后第一次运行，移动终端可能发生重装操作系统等改变其应用信息的操作，因此需要重新判断其应用信息是否发生变更）；

d5．所述移动终端pad1将其移动终端pad1的硬件信息（imei为865133020677855、imsi为460030912121001）发送到服务端计算机；

d6．服务端计算机根据接收到的移动终端pad1的硬件信息（imei为865133020677855、imsi为460030912121001）从合法应用列表中获取移动终端pad1的原应用信息，即软件包名1为com.tencent.qqpimsecure、软件名称1为手机管家、软件厂商1为百度，软件包名3为cn.opda.a.phonoalbumshoushou、软件名称3为百度手机卫士、软件厂商3为百度；

d7．服务端计算机远程访问移动终端pad1，用从合法应用列表中获取的移动终端pad1的原应用信息（软件包名1为com.tencent.qqpimsecure、软件名称1为手机管家、软件厂商1为百度，软件包名3为cn.opda.a.phonoalbumshoushou、软件名称3为百度手机卫士、软件厂商3为百度）恢复移动终端pad1的应用信息，即将在移动终端pad1上的移动终端pad1的应用信息恢复为：软件包名1为com.tencent.qqpimsecure、软件名称1为手机管家、软件厂商1为百度，软件包名3为cn.opda.a.phonoalbumshoushou、软件名称3为百度手机卫士、软件厂商3为百度；

d8．绑定移动终端pad1的应用信息：

服务端计算机在服务端计算机上设定移动终端pad1的应用信息不可更改；

服务端计算机依据移动终端pad1的硬件信息（imei为865133020677855、imsi为460030912121001）通知移动终端pad1；

移动终端pad1利用jnihook技术，设定其移动终端pad1的应用信息不可更改，执行步骤d1。

本发明的方法通过远程进行操作，集中统一管理移动终端的业务应用以确保网络的正常运行和维护，集中监控、远程一点对多点的操作，直观地实现软件包名、软件名称、软件厂商的规划和配置。严格的业务应用绑定，即使移动终端用户重新恢复操作系统，也能够恢复为绑定前的业务应用，使现有业务应用规范化，防止用户私自安装卸载业务应用，避免带来业务应用使用混乱和管理不便问题。