进一步提高BYOD系统的安全性。
[0040]步骤204、根据判断的结果,控制用户访问远程应用服务器上的应用。
[0041]在本发明优选的实施例中,当用户对正在访问的应用不具有访问权限时,远程应用服务器可以通过关闭任务管理器中与该用户对应的应用的进程名来限制该用户继续访问该应用。
[0042]由上述实施例可见,远程应用服务器根据用户的授权应用消息,为该用户建立授权应用列表,并根据用户的授权应用列表,周期性判断用户是否对正在访问的各个应用具有访问权限,在用户对正在访问的应用不具有访问权限时限制用户继续访问该应用,从而可以避免用户访问远程应用服务器上的非法应用,提高BYOD系统的安全性。
[0043]参见图3,为本发明应用访问权限控制方法的另一个实施例的流程图,该实施例从应用权限管理服务器侧进行描述,包括以下步骤:
[0044]步骤301、获取用户的授权应用消息。
[0045]在本发明的优选实施例中,管理员可以通过应用权限管理服务器为每个用户设置各个应用的访问权限,从而使应用权限管理服务器获得用户的授权应用消息。
[0046]步骤302、向远程应用服务器发送用户的授权应用消息,以使该远程应用服务器根据用户的授权应用消息,为用户建立授权应用列表,并根据用户的授权应用列表,判断该用户是否对正在访问的各个应用具有访问权限。
[0047]由于在用户首次上线前,管理员可以通过应用权限管理服务器为每个用户设置初始的授权应用,在用户首次上线后,管理员还可能会通过应用权限管理服务器,对为用户初始设置的授权应用进行调整,从而使用户的授权应用消息发生变化,因此应用权限管理服务器通过在每次监测到用户上线时,周期性向远程应用服务器发送用户的授权应用消息,可以提高应用访问权限控制的准确度,从而进一步提高BYOD系统的安全性。其中,用户的授权应用消息,可以包括:在应用权限管理服务器上为用户初始设置的授权应用的授权应用消息;或者在应用权限管理服务器上调整为所述用户初始设置的授权应用后生成的更新的授权应用消息。
[0048]图3所示实施例与前述图2所示实施例的描述一致,其区别仅在于执行主体不同,在此不再赘述。
[0049]由上述实施例可见,远程应用服务器根据用户的授权应用消息,为该用户建立授权应用列表,并根据该用户的授权应用列表,周期性判断用户是否对正在访问的各个应用具有访问权限,在用户对正在访问的应用不具有访问权限时限制用户继续访问该应用,从而可以避免用户访问远程应用服务器上的非法应用,提高BYOD系统的安全性。
[0050]参见图4,为本发明应用访问权限控制方法的另一个实施例流程图,该实施例通过应用权限管理服务器与远程应用服务器之间的交互,来详细描述应用访问权限控制过程。在本实施例的具体实现中,通过在远程应用服务器上进一步部署代理Agent,由代理Agent与应用权限管理服务器进行数据通信并执行本发明方法。该方法包括以下步骤:
[0051]步骤401、应用权限管理服务器监测用户是否上线,并在监测到用户上线时,周期性向代理Agent发送该用户的授权应用消息。
[0052]在本发明优选的实施例中,授权应用消息为应用运行时所启动进程的进程名,每一应用可以与至少一个进程名对应。
[0053]步骤402、代理Agent根据该用户的进程名,建立用户的进程名列表。
[0054]步骤403、代理Agent周期性检查远程应用服务器的任务管理器。
[0055]其中,远程应用服务器的任务管理器中可以包括用户名和用户正在访问的应用的进程名。
[0056]步骤404、代理Agent判断任务管理器中是否存在与用户的用户名相同的用户名:若存在,则表示用户正在访问远程应用服务器上的应用,执行步骤405 ;否则,表示用户没有访问远程应用服务器上的应用,执行步骤409。
[0057]步骤405、代理Agent依次检查任务管理器中用户正在访问的应用的进程名是否存在于该用户的进程名列表中:若用户正在访问的应用的进程名存在于用户的进程名列表中,则表示用户对该应用具有访问权限,执行步骤407 ;否则,表示用户对该应用不具有访问权限,执行步骤406。
[0058]步骤406、代理Agent关闭远程应用服务器的任务管理器中该应用的进程名,以限制该用户继续访问该应用。
[0059]步骤407、代理Agent判断是否已完成对用户正在访问的所有应用的访问权限的确定:若是,则执行步骤408,否则,执行步骤405。
[0060]在本实施例中,用户正在访问的所有应用是指在任务管理器中用户正在访问的所有应用。
[0061]步骤408、代理Agent判断是否到达检查周期:若到达检查周期,则执行步骤403,否则,执行步骤408。
[0062]步骤409、结束操作。
[0063]由上述实施例可见,远程应用服务器根据用户的授权应用消息,为该用户建立授权应用列表,并根据该用户的授权应用列表,判断用户是否对正在访问的各个应用具有访问权限,在用户对正在访问的应用不具有访问权限时限制用户继续访问该应用,从而可以避免用户访问远程应用服务器上的非法应用,提高BYOD系统的安全性。
[0064]与前述应用访问权限控制方法实施例相对应,本发明还提供了应用访问权限控制装置的实施例。
[0065]本发明应用访问权限控制装置实施例可以通过软件实现,也可以通过硬件或软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本发明应用访问权限控制装置所在设备的一种硬件结构图,除了图5所示的处理器、网络接口、存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等;从硬件结构上来讲该设备还可能是分布式的设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
[0066]参见图6,为本发明应用访问权限控制装置的一个实施例框图,该装置应用在远程应用服务器上,该装置可以包括:
[0067]接收单元610,用于接收应用权限管理服务器发送的用户的授权应用消息;
[0068]建立单兀620,用于根据该用户的授权应用消息,为该用户建立授权应用列表;
[0069]判断单元630,用于根据该用户的授权应用列表,判断该用户是否对正在访问的各个应用具有访问权限;
[0070]控制单元640,用于根据该判断的结果,控制用户访问远程应用服务器上的应用。
[0071]在一个可选的实现方式中,该判断单元630进一步用于:
[0072]判断是否到达预设的检查周期;
[0073]在到达检查周期时,判断用户是否正在访问远程应用服务器上的应用;
[0074]在用户正在访问远程应用服务器上的应用时,依次判断用户正在访问的各个应用是否存在于用户的授权应用列表中,若用户正在访问应用存在于用户的授权应用列表中,则表示该用户对该应用具有访问权限;否则,表示该用户对该应用不具有访问权限。
[0075]在另一个可选的实现方式中,该控制单元640,进一步用于:
[0076]当用户对正在访问的应用不具有访问权限时,关闭远程应用服务器上的该应用,以限制该用户继续访问远程应用服务器上的该应用。
[0077]在另一个可选的实现方式中,所述用户的授权应用消息,可以包括:
[0078]在所述应用权限管理服务器上为所述用户初始设置的授权应用的授权应用消息;或者,在所述应用权限管理服务器上调整为所述用户初始设置的授权应用后生成的更新的授权应用消息。
[0079]参见图7,为本发明应用访问权限控制装置的另一个实施例框图,该装置应用在应用权限管理服务器上,该装置可以包括:
[0080]获取单元710,用于获取用户的授权应用消息;
[0081]发送单元720,用于向远程应用服务器发送用户的授权应用消息,以使远程应用服务器根据该用户的授权应用消息,为该用户建立授权应用列表,并根据该用户的授权应用列表,判断该用户是否对正在访问的各个应用具有访问权