件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“親接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
[0046]本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
[0047]本技术领域技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,进行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(Personal Communicat1ns Service,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Posit1ning System,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
[0048]本发明的发明人考虑到,有关部门或者公司等可以设置作为内部网络的VPN(Virtual Private Network,虚拟专用网络)通道、以及专门的管理服务器;管理服务器中存储机密区域的位置信息;VPN通道的无线信号可以覆盖整个有关部门或者公司、或者覆盖机密区域。
[0049]本发明的实施例中,移动终端一旦进入VPN通道覆盖的范围,将当前的卫星定位信息通过VPN通道向管理服务器发送;管理服务器可以根据接收的卫星定位信息确定出移动终端所处的机密区域,进而返回对应的安全等级命令。移动终端可以根据该安全等级命令所对应的强制访问控制策略,对程序进行功能限制。
[0050]功能受到限制的移动终端无法泄露机密信息,从而可以防止机密区域中的机密信息通过移动终端泄露;并且无需配备专门的工作人员收取移动终端,即可自动执行移动终端中的程序的功能限制,大大方便了对移动终端的管理。
[0051]而且,本发明实施例中,由于移动终端中并未存储机密区域的位置信息,因此即使移动终端遭到攻击者的破解,也不会导致机密区域的位置信息、对应的安全等级信息的泄露。此外,管理服务器对机密区域相关信息进行更新即可,该更新过程无需移动终端参与,进一步方便了管理。
[0052]下面结合附图具体介绍本发明实施例的技术方案。
[0053]本发明实施例的移动终端的功能限制系统的结构示意图如图1所示,包括:移动终端101和管理服务器102。
[0054]其中,管理服务器102可以有线接入作为有关部门或者公司的内部网络的VPN。例如,管理服务器102可以光纤或者电缆接入VPN JPN可以具体是以太网。
[0055]VPN可以根据需要设置多个无线AP(ACCeSS Point,访问接入点),多个无线AP都发射指定VPN通道的无线信号,这些无线信号可以覆盖整个部门或者公司、或者覆盖有关部门或公司中所有机密区域。
[0056]移动终端101可以是多个,具体可以是智能手机、平板电脑或者PDA(PerSonalDigital Assistant,个人数字助理或者掌上电脑)等等。移动终端101可以无线接入VPN。
[0057]管理服务器102中存储有电子地图、有关部门或者公司中所有机密区域的位置信息、以及每个机密区域的安全等级。机密区域的安全等级可以根据实际需要进行划分。
[0058]例如,位于第一安全等级的机密区域中的移动终端101被禁止如下功能:接打电话、接发短信、使用微信或QQ等软件进行即时通信、蓝牙为代表的近场通信、拍照摄像和录音、以及接入除VPN通道之外的网络。
[0059]对于位于第二安全等级的机密区域中的移动终端101,该移动终端被禁止如下功能:打电话、发短信、使用微信或QQ等软件进行即时通信、蓝牙为代表的近场通信、拍照摄像和录音、以及接入除VPN通道之外的网络;但该移动终端被允许如下功能:接听电话和接收短?目O
[0060]对于位于第三安全等级的机密区域中的移动终端101,该移动终端被禁止如下功能:使用微信或QQ等软件进行即时通信、拍照摄像和录音、以及接入除VPN通道之外的网络;但该移动终端被允许如下功能:接打电话、接发短信、蓝牙为代表的近场通信。
[0061]此外,电子地图中所有的机密区域之外的区域都可以划分为普通区域。位于普通区域的移动终端可以使用本移动终端所有功能。
[0062 ]较佳地,管理服务器102还存储有多个移动终端1I的标识。例如,有关部门或公司的所有的移动终端101的标识都存储在管理服务器102中。
[0063]上述的移动终端的功能限制系统可以对多个移动终端101进行功能限制。下面以该系统对一个移动终端101进行功能限制为例,具体介绍本发明实施例的移动终端的功能限制方法;该方法的流程示意图如图2所示,包括如下步骤:
[0064]S201:移动终端101将当前的卫星定位信息,通过VPN通道向管理服务器102发送。
[0065 ]具体地,移动终端1I周期性检测VPN网络是否有效,在检测到VPN网络有效后,接收本移动终端当前位置的卫星定位信息;将当前的卫星定位通过预定的VPN通道向管理服务器102发送。
[0066]较佳地,移动终端101在检测到VPN网络有效后,与管理服务器102之间建立VPN通道;之后,接收本移动终端当前位置的卫星定位信息,将当前的卫星定位通过该VPN通道向管理服务器102发送。
[0067]卫星定位信息可以是GPS(Global Posit1ning System,全球定位系统)定位信息或者BDS(BeiDou Navigat1n Satellite System,北斗卫星导航系统)定位信息。
[0068]较佳地,移动终端101在检测到VPN网络有效后,根据接收的管理服务器102发送的标识验证指令,将本移动终端的标识通过VPN通道向管理服务器102发送。
[0069]S202:管理服务器102根据接收的卫星定位信息,确定出移动终端101所处的机密区域后,进而将该机密区域对应的安全等级命令通过VPN通道向移动终端101返回。
[0070]具体地,管理服务器102接收到移动终端101发送的卫星定位信息后,根据预存的电子地图,确定出该移动终端当前的位置信息;若判断该移动终端当前的位置处于机密区域的范围内,则确定出该移动终端所处的机密区域,进而确定出该机密区域的安全等级。
[0071]管理服务器102根据确定出的移动终端101所处的机密区域的安全等级,生成对应的安全等级命令。
[0072]例如,管理服务器102根据第一安全等级,生成对应的第一安全