移动终端和方法
移动终端和方法
【专利摘要】本发明提供了一种移动终端,包括:认证单元,被配置为:为移动终端的用户设置安全级别,并对用户的身份进行认证;以及设置单元,被配置为:根据用户信息和相应的安全级别,对移动终端的运行环境进行设置。本发明还提供了一种由移动终端执行的方法。本发明实现了从系统级到应用级的安全管理和控制,弥补了传统上仅仅依靠权限管理造成的不足,极大地提升了移动终端的系统的安全性。
【专利说明】移动终----?和方法
【技术领域】
[0001]本发明涉及移动通信领域。更具体地,本发明涉及一种移动终端和相应的方法。【背景技术】
[0002]目前,运行Android的移动终端都是通过开机作为启动移动设备的唯一方式。在这种情况下,不像传统的Windows应用那样通过登录进行身份认证然后进入系统。通过开机就进入系统所带来的便利是:用户无需通过繁琐的认证过程即可完成登录,并且对基于Android的所有应用都可以使用。
[0003]从安全方面来说,Android系统主要通过权限的管理来控制应用的运行行为。然而,这种管理方式无法完全杜绝恶意应用可能产生的恶意行为,例如恶意吸费、消耗流量、病毒木马等。此外,移动终端的用户由于操作的不便捷性,无法有效参与对应用的权限管理,从而失去了对恶意应用的有效监管。
【发明内容】
[0004]为了解决上述技术问题,本发明通过基于用户身份认证来设定不同安全等级的安全模式,可以避免仅仅依靠权限控制而造成的安全监管的不足。
[0005]具体地,在本发明中,从用户开启移动终端后,可以通过选择多种默认级别和自定义级别的安全模式,进入具备不同安全等级的系统环境。其中,不同的系统环境根据不同的系统安全配置策略要求会加载不同的系统模块、应用和启用不同的服务功能。从而,用户可以在不同的环境下,通过不同的安全等级的选择来实现不同级别的系统运行环境。
[0006]根据本发明的第一方案,提供了一种移动终端,包括:认证单元,被配置为:为移动终端的用户设置安全级别,并对用户的身份进行认证;以及设置单元,被配置为:根据用户信息和相应的安全级别,对移动终端的运行环境进行设置。
[0007]在一个实施例中,所述认证单元包括:身份配置子单元,被配置为:为移动终端的用户设置安全策略,并对用户账户信息进行管理,所述安全策略包括预定策略和/或自定义策略;以及身份认证子单元,被配置为:根据用户输入的信息,对用户的身份进行认证,并将认证结果和用户账户参数通知给设置单元。
[0008]在一个实施例中,所述预定策略包括:最小安全策略、普通安全策略和最高安全策略。
[0009]在一个实施例中,所述身份认证子单元被配置为:采用本地认证方式或LDAP认证方式,对用户的身份进行认证。
[0010]在一个实施例中,所述设置单元包括:策略加载子单元,被配置为:解析用户的安全策略,以获得硬件功能配置信息和系统配置信息;硬件配置子单元,被配置为:根据硬件功能配置信息,对移动终端的硬件功能进行配置;系统加载子单元,被配置为:根据系统配置信息,对移动终端的系统应用和系统模块进行加载;以及安全监测子单元,被配置为:根据用户的安全策略,对系统运行中的所有操作进行监测;如果监测到违反用户的安全策略的操作,拒绝该操作的执行。
[0011]在一个实施例中,所述安全监测子单元还被配置为:如果监测到违反用户的安全策略的操作,发出警告消息和/或将该操作记录在日志中。
[0012]根据本发明的第二方案,提供了一种由移动终端执行的方法,包括:为移动终端的用户设置安全级别,并对用户的身份进行认证;以及根据用户信息和相应的安全级别,对移动终端的运行环境进行设置。
[0013]在一个实施例中,所述认证包括:为移动终端的用户设置安全策略,并对用户账户信息进行管理,所述安全策略包括预定策略和/或自定义策略;以及根据用户输入的信息,对用户的身份进行认证,并获得认证结果和用户账户参数。
[0014]在一个实施例中,所述预定策略包括:最小安全策略、普通安全策略和最高安全策略。
[0015]在一个实施例中,采用本地认证方式或LDAP认证方式,对用户的身份进行认证。
[0016]在一个实施例中,所述设置包括:解析用户的安全策略,以获得硬件功能配置信息和系统配置信息;根据硬件功能配置信息,对移动终端的硬件功能进行配置;根据系统配置信息,对移动终端的系统应用和系统模块进行加载;以及根据用户的安全策略,对系统运行中的所有操作进行监测;如果监测到违反用户的安全策略的操作,拒绝该操作的执行。
[0017]在一个实施例中,该方法还包括:如果监测到违反用户的安全策略的操作,发出警告消息和/或将该操作记录在日志中。
[0018]本发明基于用户身份认证实现不同安全级别的运行环境的控制,采用不同安全等级的安全模式供用户选择以进入相应的系统环境,使得用户可以通过登录身份的不同而进行不同安全等级的选择并进入不同安全级别的系统运行环境。因此,本发明实现了从系统级到应用级的安全管理和控制,弥补了传统上仅仅依靠权限管理造成的不足,极大地提升了移动终端的系统的安全性。
【专利附图】
【附图说明】
[0019]通过下面结合【专利附图】
【附图说明】本发明的优选实施例,将使本发明的上述及其它目的、特征和优点更加清楚,其中:
[0020]图1是示出了根据本发明一个实施例的移动终端的框图。
[0021]图2是示出了图1所示的移动终端中的认证单元的框图。
[0022]图3是示出了图1所示的移动终端中的设置单元的框图。
[0023]图4是示出了根据本发明一个实施例的由移动终端执行的方法的流程图。
[0024]在本发明的所有附图中,相同或相似的结构均以相同或相似的附图标记来标识。
【具体实施方式】
[0025]下面参照附图对本发明的优选实施例进行详细说明,在描述过程中省略了对于本发明来说是不必要的细节和功能,以防止对本发明的理解造成混淆。本领域技术人员可以理解,本发明不限于以下具体描述的实施例。
[0026]图1是示出了根据本发明一个实施例的移动终端的框图。如图1所示,移动终端10包括认证单元110和设置单元120。下面,对图1所示的移动终端10的各个组件进行详细描述。
[0027]认证单元110为移动终端10的用户设置安全级别,并对用户的身份进行认证。例如,认证单元110可以在系统启动后并且用户进入系统前,要求用户进行身份认证。
[0028]设置单元120根据用户信息和相应的安全级别,对移动终端10的运行环境进行设置。例如,设置单元120针对通过认证的用户,根据其身份来应用相应级别的安全策略,由此来设置移动终端10的运行环境。在本申请中,移动终端10的运行环境可以包括移动终端10的硬件功能、系统模块和应用模块,等等。
[0029]下面,结合附图2和3来详细描述图1所示的移动终端中的认证单元110和设置单元120的操作。
[0030]首先参考图2,其示出了图1所示的移动终端中的认证单元110。在本示例中,认证单元110包括身份配置子单元1110和身份认证子单元1120。
[0031]身份配置子单元1110为移动终端的用户设置安全策略,并对用户账户信息进行管理。这里,安全策略可以包括预定策略,也可以包括自定义策略,例如,预定策略可以包括最小安全策略、普通安全策略和最高安全策略。在最小安全策略中,将允许所有系统应用、系统模块和所有终端应用都可被加载,并且所有硬件功能均可被用户进行控制和使用。在普通安全策略中,只允许预定的系统应用、系统模块和终端应用被启用,而且用户只能使用预定的硬件功能。在最高安全策略中,原则上不允许使用除了最基本的文件系统和预先指定的终端应用之外的任何系统应用、系统模块和终端应用,而且不允许使用任何对外连接硬件功能。
[0032]身份认证子单元1120可以根据用户输入的信息,对用户的身份进行认证,并将认证结果和用户账户参数通知给设置单元120。优选地,身份认证子单元1120可以采用本地认证方式或LDAP认证方式。对用户的身份进行认证。本地认证方式是指:用户账户的用户名和密码等信息通过姓名明文、密码MD5加密方式存放在本地指定存储位置的指定文件中。LDAP认证方式是指:通过OpenLDAP或Windows域控服务器作为建设LDAP认证服务器来存放用户的账户信息,以进行身份认证。
[0033]对于本地认证方式,身份认证子单元1120直接进行认证即可。对于LDAP认证方式,身份认证子单元1120首先检查是否已经存在LDAP相关配置信息。如果存在,则认证继续;如果不存在,则身份认证子单元1120向身份配置子单元1110发出LDAP配置请求,以接收LDAP相关信息配置。在接收到LDAP相关信息配置之后,身份认证子单元1120继续认证过程。
[0034]如果用户认证失败,则身份认证子单元1120可以要求用户重新认证。在规定的时间内(例如I分钟内),如果认证失败超过若干次数(例如3次),身份认证子单元1120调用系统关机操作以关闭移动终端。如果用户认证成功,身份认证子单元1120将向设置单元120发出通知消息。
[0035]下面参考图3,其示出了图1所示的移动终端中的设置单元120。在本示例中,设置单元120包括策略加载子单元1210、硬件配置子单元1220、系统加载子单元1230和安全监测子单元1240。
[0036]策略加载子单元1210解析用户的安全策略,以获得硬件功能配置信息和系统配置信息。例如,策略加载子单兀1210可以根据用户的账户信息来查找与该用户相对应的安全策略。如果与该用户相对应的安全策略不存在,策略加载子单元1210可以直接把最高安全策略作为与该用户相对应的安全策略。
[0037]硬件配置子单元1220根据硬件功能配置信息,对移动终端的硬件功能进行配置。例如,硬件配置子单元1220可以根据该信息对移动终端的WIF1、蓝牙、红外线和/或USB的硬件功能进行设置。
[0038]系统加载子单元1230根据系统配置信息,对移动终端的系统应用和系统模块进行加载。例如,系统加载子单元1230可以根据系统配置信息依次加载所需的系统模块和系统应用。备选地,系统加载子单元1230可以在完成上述加载后加载系统桌面应用,并在桌面上显示加载结果。
[0039]安全监测子单元1240根据用户的安全策略对系统运行中的所有操作进行监测。如果安全监测子单元1240监测到违反用户的安全策略的操作,则拒绝该操作的执行。优选地,如果监测到违反用户的安全策略的操作,安全监测子单元1240还可以发出警告消息和/或将该操作记录在日志中。
[0040]本实施例基于用户身份认证实现不同安全级别的运行环境的控制,采用不同安全等级的安全模式供用户选择以进入相应的系统环境,使得用户可以通过登录身份的不同而进行不同安全等级的选择并进入不同安全级别的系统运行环境。因此,实现了从系统级到应用级的安全管理和控制,弥补了传统上仅仅依靠权限管理造成的不足,极大地提升了移动终端的系统的安全性。
[0041]图4是示出了根据本发明一个实施例的由移动终端执行的方法的流程图。如图4所示,方法40在步骤S410处开始。
[0042]在步骤S420处,为移动终端的用户设置安全级别,并对用户的身份进行认证。在一个实施例中,该步骤可以包括:为移动终端的用户设置安全策略,并对用户账户信息进行管理,该安全策略包括预定策略和/或自定义策略;以及根据用户输入的信息,对用户的身份进行认证,并获得认证结果和用户账户参数。优选地,预定策略可以包括最小安全策略、普通安全策略和最高安全策略。优选地,采用本地认证方式或LDAP认证方式对用户的身份进行认证。
[0043]在步骤S430处,根据用户信息和相应的安全级别,对移动终端的运行环境进行设置。在一个实施例中,该步骤可以包括:解析用户的安全策略,以获得硬件功能配置信息和系统配置信息;根据硬件功能配置信息,对移动终端的硬件功能进行配置;根据系统配置信息,对移动终端的系统应用和系统模块进行加载;以及根据用户的安全策略,对系统运行中的所有操作进行监测;如果监测到违反用户的安全策略的操作,拒绝该操作的执行。
[0044]优选地,步骤S430还可以包括:如果监测到违反用户的安全策略的操作,发出警告消息和/或将该操作记录在日志中。
[0045]最后,方法40在步骤S440处结束。
[0046]应该理解,本发明的上述实施例可以通过软件、硬件或者软件和硬件两者的结合来实现。例如,图1所示的移动终端10内的各种组件可以通过多种器件来实现,这些器件包括但不限于:模拟电路、数字电路、通用处理器、数字信号处理(DSP)电路、可编程处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、可编程逻辑器件(CPLD),等等。另外,移动终端10内的各种组件也可以通过硬件与软件相结合的方式来实现,或者完全以软件的形式来实现。
[0047]在部分地或完全地以软件的形式来实现移动终端10内的各种组件的情况下,可以通过多种编程语言来实现移动终端10内的各种组件。例如,对于移动终端10的认证单元110,其中身份配置子单元1110可以通过Java语言来实现,而身份认证子单元1120可以通过C++语言来实现。进一步地,对于移动终端10的设置单元120,其可以通过C++语言来实现。然而,上述情况仅仅作为示例而不是限制。本领域技术人员在阅读了说明书的教导后可以理解,移动终端10内的各种组件还可以通过其他适当的语言来实现。
[0048]另外,本领域的技术人员可以理解,本发明实施例中描述的数据可以存储在本地数据库中,也可以存储在分布式数据库中或者可以存储在远程数据库中。
[0049]此外,这里所公开的本发明的实施例可以在计算机程序产品上实现。更具体地,该计算机程序产品是如下的一种产品:具有计算机可读介质,计算机可读介质上编码有计算机程序逻辑,当在计算设备上执行时,该计算机程序逻辑提供相关的操作以实现本发明的上述技术方案。当在计算系统的至少一个处理器上执行时,计算机程序逻辑使得处理器执行本发明实施例所述的操作(方法)。本发明的这种设置典型地提供为设置或编码在例如光介质(例如⑶-ROM)、软盘或硬盘等的计算机可读介质上的软件、代码和/或其他数据结构、或者诸如一个或多个ROM或RAM或PROM芯片上的固件或微代码的其他介质、或一个或多个模块中的可下载的软件图像、共享数据库等。软件或固件或这种配置可安装在计算设备上,以使得计算设备中的一个或多个处理器执行本发明实施例所描述的技术方案。
[0050]至此已经结合优选实施例对本发明进行了描述。应该理解,本领域技术人员在不脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明的范围不局限于上述特定实施例,而应由所附权利要求所限定。
【权利要求】
1.一种移动终端,包括: 认证单元,被配置为:为移动终端的用户设置安全级别,并对用户的身份进行认证;以及 设置单元,被配置为:根据用户信息和相应的安全级别,对移动终端的运行环境进行设置。
2.根据权利要求1所述的移动终端,其中,所述认证单元包括: 身份配置子单元,被配置为:为移动终端的用户设置安全策略,并对用户账户信息进行管理,所述安全策略包括预定策略和/或自定义策略;以及 身份认证子单元,被配置为:根据用户输入的信息,对用户的身份进行认证,并将认证结果和用户账户参数通知给设置单元。
3.根据权利要求2所述的移动终端,其中,所述预定策略包括:最小安全策略、普通安全策略和最高安全策略。
4.根据权利要求2所述的移动终端,其中,所述身份认证子单元被配置为:采用本地认证方式或LDAP认证方式,对用户的身份进行认证。
5.根据权利要求1所述的移动终端,其中,所述设置单元包括: 策略加载子单元,被配置为:解析用户的安全策略,以获得硬件功能配置信息和系统配置信息; 硬件配置子单元,被配置为:根据硬件功能配置信息,对移动终端的硬件功能进行配置; 系统加载子单元,被配置为:根据系统配置信息,对移动终端的系统应用和系统模块进行加载;以及 安全监测子单元,被配置为:根据用户的安全策略,对系统运行中的所有操作进行监测;如果监测到违反用户的安全策略的操作,拒绝该操作的执行。
6.根据权利要求5所述的移动终端,其中,所述安全监测子单元还被配置为:如果监测到违反用户的安全策略的操作,发出警告消息和/或将该操作记录在日志中。
7.一种由移动终端执行的方法,包括: 为移动终端的用户设置安全级别,并对用户的身份进行认证;以及 根据用户信息和相应的安全级别,对移动终端的运行环境进行设置。
8.根据权利要求7所述的方法,其中,所述认证包括: 为移动终端的用户设置安全策略,并对用户账户信息进行管理,所述安全策略包括预定策略和/或自定义策略;以及 根据用户输入的信息,对用户的身份进行认证,并获得认证结果和用户账户参数。
9.根据权利要求8所述的方法,其中,所述预定策略包括:最小安全策略、普通安全策略和最高安全策略。
10.根据权利要求8所述的方法,其中,采用本地认证方式或LDAP认证方式,对用户的身份进行认证。
11.根据权利要求7所述的方法,其中,所述设置包括: 解析用户的安全策略,以获得硬件功能配置信息和系统配置信息; 根据硬件功能配置信息,对移动终端的硬件功能进行配置;根据系统配置信息,对移动终端的系统应用和系统模块进行加载;以及根据用户的安全策略,对系统运行中的所有操作进行监测;如果监测到违反用户的安全策略的操作,拒绝该操作的执行。
12.根据权利要求11所述的方法,还包括:如果监测到违反用户的安全策略的操作,发出警告消息和 /或将该操作记录在日志中。
【文档编号】G06F21/31GK103838989SQ201410118261
【公开日】2014年6月4日 申请日期:2014年3月27日 优先权日:2014年3月27日
【发明者】陈继 申请人:北京网秦天下科技有限公司
【专利摘要】本发明提供了一种移动终端,包括:认证单元,被配置为:为移动终端的用户设置安全级别,并对用户的身份进行认证;以及设置单元,被配置为:根据用户信息和相应的安全级别,对移动终端的运行环境进行设置。本发明还提供了一种由移动终端执行的方法。本发明实现了从系统级到应用级的安全管理和控制,弥补了传统上仅仅依靠权限管理造成的不足,极大地提升了移动终端的系统的安全性。
【专利说明】移动终----?和方法
【技术领域】
[0001]本发明涉及移动通信领域。更具体地,本发明涉及一种移动终端和相应的方法。【背景技术】
[0002]目前,运行Android的移动终端都是通过开机作为启动移动设备的唯一方式。在这种情况下,不像传统的Windows应用那样通过登录进行身份认证然后进入系统。通过开机就进入系统所带来的便利是:用户无需通过繁琐的认证过程即可完成登录,并且对基于Android的所有应用都可以使用。
[0003]从安全方面来说,Android系统主要通过权限的管理来控制应用的运行行为。然而,这种管理方式无法完全杜绝恶意应用可能产生的恶意行为,例如恶意吸费、消耗流量、病毒木马等。此外,移动终端的用户由于操作的不便捷性,无法有效参与对应用的权限管理,从而失去了对恶意应用的有效监管。
【发明内容】
[0004]为了解决上述技术问题,本发明通过基于用户身份认证来设定不同安全等级的安全模式,可以避免仅仅依靠权限控制而造成的安全监管的不足。
[0005]具体地,在本发明中,从用户开启移动终端后,可以通过选择多种默认级别和自定义级别的安全模式,进入具备不同安全等级的系统环境。其中,不同的系统环境根据不同的系统安全配置策略要求会加载不同的系统模块、应用和启用不同的服务功能。从而,用户可以在不同的环境下,通过不同的安全等级的选择来实现不同级别的系统运行环境。
[0006]根据本发明的第一方案,提供了一种移动终端,包括:认证单元,被配置为:为移动终端的用户设置安全级别,并对用户的身份进行认证;以及设置单元,被配置为:根据用户信息和相应的安全级别,对移动终端的运行环境进行设置。
[0007]在一个实施例中,所述认证单元包括:身份配置子单元,被配置为:为移动终端的用户设置安全策略,并对用户账户信息进行管理,所述安全策略包括预定策略和/或自定义策略;以及身份认证子单元,被配置为:根据用户输入的信息,对用户的身份进行认证,并将认证结果和用户账户参数通知给设置单元。
[0008]在一个实施例中,所述预定策略包括:最小安全策略、普通安全策略和最高安全策略。
[0009]在一个实施例中,所述身份认证子单元被配置为:采用本地认证方式或LDAP认证方式,对用户的身份进行认证。
[0010]在一个实施例中,所述设置单元包括:策略加载子单元,被配置为:解析用户的安全策略,以获得硬件功能配置信息和系统配置信息;硬件配置子单元,被配置为:根据硬件功能配置信息,对移动终端的硬件功能进行配置;系统加载子单元,被配置为:根据系统配置信息,对移动终端的系统应用和系统模块进行加载;以及安全监测子单元,被配置为:根据用户的安全策略,对系统运行中的所有操作进行监测;如果监测到违反用户的安全策略的操作,拒绝该操作的执行。
[0011]在一个实施例中,所述安全监测子单元还被配置为:如果监测到违反用户的安全策略的操作,发出警告消息和/或将该操作记录在日志中。
[0012]根据本发明的第二方案,提供了一种由移动终端执行的方法,包括:为移动终端的用户设置安全级别,并对用户的身份进行认证;以及根据用户信息和相应的安全级别,对移动终端的运行环境进行设置。
[0013]在一个实施例中,所述认证包括:为移动终端的用户设置安全策略,并对用户账户信息进行管理,所述安全策略包括预定策略和/或自定义策略;以及根据用户输入的信息,对用户的身份进行认证,并获得认证结果和用户账户参数。
[0014]在一个实施例中,所述预定策略包括:最小安全策略、普通安全策略和最高安全策略。
[0015]在一个实施例中,采用本地认证方式或LDAP认证方式,对用户的身份进行认证。
[0016]在一个实施例中,所述设置包括:解析用户的安全策略,以获得硬件功能配置信息和系统配置信息;根据硬件功能配置信息,对移动终端的硬件功能进行配置;根据系统配置信息,对移动终端的系统应用和系统模块进行加载;以及根据用户的安全策略,对系统运行中的所有操作进行监测;如果监测到违反用户的安全策略的操作,拒绝该操作的执行。
[0017]在一个实施例中,该方法还包括:如果监测到违反用户的安全策略的操作,发出警告消息和/或将该操作记录在日志中。
[0018]本发明基于用户身份认证实现不同安全级别的运行环境的控制,采用不同安全等级的安全模式供用户选择以进入相应的系统环境,使得用户可以通过登录身份的不同而进行不同安全等级的选择并进入不同安全级别的系统运行环境。因此,本发明实现了从系统级到应用级的安全管理和控制,弥补了传统上仅仅依靠权限管理造成的不足,极大地提升了移动终端的系统的安全性。
【专利附图】
【附图说明】
[0019]通过下面结合【专利附图】
【附图说明】本发明的优选实施例,将使本发明的上述及其它目的、特征和优点更加清楚,其中:
[0020]图1是示出了根据本发明一个实施例的移动终端的框图。
[0021]图2是示出了图1所示的移动终端中的认证单元的框图。
[0022]图3是示出了图1所示的移动终端中的设置单元的框图。
[0023]图4是示出了根据本发明一个实施例的由移动终端执行的方法的流程图。
[0024]在本发明的所有附图中,相同或相似的结构均以相同或相似的附图标记来标识。
【具体实施方式】
[0025]下面参照附图对本发明的优选实施例进行详细说明,在描述过程中省略了对于本发明来说是不必要的细节和功能,以防止对本发明的理解造成混淆。本领域技术人员可以理解,本发明不限于以下具体描述的实施例。
[0026]图1是示出了根据本发明一个实施例的移动终端的框图。如图1所示,移动终端10包括认证单元110和设置单元120。下面,对图1所示的移动终端10的各个组件进行详细描述。
[0027]认证单元110为移动终端10的用户设置安全级别,并对用户的身份进行认证。例如,认证单元110可以在系统启动后并且用户进入系统前,要求用户进行身份认证。
[0028]设置单元120根据用户信息和相应的安全级别,对移动终端10的运行环境进行设置。例如,设置单元120针对通过认证的用户,根据其身份来应用相应级别的安全策略,由此来设置移动终端10的运行环境。在本申请中,移动终端10的运行环境可以包括移动终端10的硬件功能、系统模块和应用模块,等等。
[0029]下面,结合附图2和3来详细描述图1所示的移动终端中的认证单元110和设置单元120的操作。
[0030]首先参考图2,其示出了图1所示的移动终端中的认证单元110。在本示例中,认证单元110包括身份配置子单元1110和身份认证子单元1120。
[0031]身份配置子单元1110为移动终端的用户设置安全策略,并对用户账户信息进行管理。这里,安全策略可以包括预定策略,也可以包括自定义策略,例如,预定策略可以包括最小安全策略、普通安全策略和最高安全策略。在最小安全策略中,将允许所有系统应用、系统模块和所有终端应用都可被加载,并且所有硬件功能均可被用户进行控制和使用。在普通安全策略中,只允许预定的系统应用、系统模块和终端应用被启用,而且用户只能使用预定的硬件功能。在最高安全策略中,原则上不允许使用除了最基本的文件系统和预先指定的终端应用之外的任何系统应用、系统模块和终端应用,而且不允许使用任何对外连接硬件功能。
[0032]身份认证子单元1120可以根据用户输入的信息,对用户的身份进行认证,并将认证结果和用户账户参数通知给设置单元120。优选地,身份认证子单元1120可以采用本地认证方式或LDAP认证方式。对用户的身份进行认证。本地认证方式是指:用户账户的用户名和密码等信息通过姓名明文、密码MD5加密方式存放在本地指定存储位置的指定文件中。LDAP认证方式是指:通过OpenLDAP或Windows域控服务器作为建设LDAP认证服务器来存放用户的账户信息,以进行身份认证。
[0033]对于本地认证方式,身份认证子单元1120直接进行认证即可。对于LDAP认证方式,身份认证子单元1120首先检查是否已经存在LDAP相关配置信息。如果存在,则认证继续;如果不存在,则身份认证子单元1120向身份配置子单元1110发出LDAP配置请求,以接收LDAP相关信息配置。在接收到LDAP相关信息配置之后,身份认证子单元1120继续认证过程。
[0034]如果用户认证失败,则身份认证子单元1120可以要求用户重新认证。在规定的时间内(例如I分钟内),如果认证失败超过若干次数(例如3次),身份认证子单元1120调用系统关机操作以关闭移动终端。如果用户认证成功,身份认证子单元1120将向设置单元120发出通知消息。
[0035]下面参考图3,其示出了图1所示的移动终端中的设置单元120。在本示例中,设置单元120包括策略加载子单元1210、硬件配置子单元1220、系统加载子单元1230和安全监测子单元1240。
[0036]策略加载子单元1210解析用户的安全策略,以获得硬件功能配置信息和系统配置信息。例如,策略加载子单兀1210可以根据用户的账户信息来查找与该用户相对应的安全策略。如果与该用户相对应的安全策略不存在,策略加载子单元1210可以直接把最高安全策略作为与该用户相对应的安全策略。
[0037]硬件配置子单元1220根据硬件功能配置信息,对移动终端的硬件功能进行配置。例如,硬件配置子单元1220可以根据该信息对移动终端的WIF1、蓝牙、红外线和/或USB的硬件功能进行设置。
[0038]系统加载子单元1230根据系统配置信息,对移动终端的系统应用和系统模块进行加载。例如,系统加载子单元1230可以根据系统配置信息依次加载所需的系统模块和系统应用。备选地,系统加载子单元1230可以在完成上述加载后加载系统桌面应用,并在桌面上显示加载结果。
[0039]安全监测子单元1240根据用户的安全策略对系统运行中的所有操作进行监测。如果安全监测子单元1240监测到违反用户的安全策略的操作,则拒绝该操作的执行。优选地,如果监测到违反用户的安全策略的操作,安全监测子单元1240还可以发出警告消息和/或将该操作记录在日志中。
[0040]本实施例基于用户身份认证实现不同安全级别的运行环境的控制,采用不同安全等级的安全模式供用户选择以进入相应的系统环境,使得用户可以通过登录身份的不同而进行不同安全等级的选择并进入不同安全级别的系统运行环境。因此,实现了从系统级到应用级的安全管理和控制,弥补了传统上仅仅依靠权限管理造成的不足,极大地提升了移动终端的系统的安全性。
[0041]图4是示出了根据本发明一个实施例的由移动终端执行的方法的流程图。如图4所示,方法40在步骤S410处开始。
[0042]在步骤S420处,为移动终端的用户设置安全级别,并对用户的身份进行认证。在一个实施例中,该步骤可以包括:为移动终端的用户设置安全策略,并对用户账户信息进行管理,该安全策略包括预定策略和/或自定义策略;以及根据用户输入的信息,对用户的身份进行认证,并获得认证结果和用户账户参数。优选地,预定策略可以包括最小安全策略、普通安全策略和最高安全策略。优选地,采用本地认证方式或LDAP认证方式对用户的身份进行认证。
[0043]在步骤S430处,根据用户信息和相应的安全级别,对移动终端的运行环境进行设置。在一个实施例中,该步骤可以包括:解析用户的安全策略,以获得硬件功能配置信息和系统配置信息;根据硬件功能配置信息,对移动终端的硬件功能进行配置;根据系统配置信息,对移动终端的系统应用和系统模块进行加载;以及根据用户的安全策略,对系统运行中的所有操作进行监测;如果监测到违反用户的安全策略的操作,拒绝该操作的执行。
[0044]优选地,步骤S430还可以包括:如果监测到违反用户的安全策略的操作,发出警告消息和/或将该操作记录在日志中。
[0045]最后,方法40在步骤S440处结束。
[0046]应该理解,本发明的上述实施例可以通过软件、硬件或者软件和硬件两者的结合来实现。例如,图1所示的移动终端10内的各种组件可以通过多种器件来实现,这些器件包括但不限于:模拟电路、数字电路、通用处理器、数字信号处理(DSP)电路、可编程处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、可编程逻辑器件(CPLD),等等。另外,移动终端10内的各种组件也可以通过硬件与软件相结合的方式来实现,或者完全以软件的形式来实现。
[0047]在部分地或完全地以软件的形式来实现移动终端10内的各种组件的情况下,可以通过多种编程语言来实现移动终端10内的各种组件。例如,对于移动终端10的认证单元110,其中身份配置子单元1110可以通过Java语言来实现,而身份认证子单元1120可以通过C++语言来实现。进一步地,对于移动终端10的设置单元120,其可以通过C++语言来实现。然而,上述情况仅仅作为示例而不是限制。本领域技术人员在阅读了说明书的教导后可以理解,移动终端10内的各种组件还可以通过其他适当的语言来实现。
[0048]另外,本领域的技术人员可以理解,本发明实施例中描述的数据可以存储在本地数据库中,也可以存储在分布式数据库中或者可以存储在远程数据库中。
[0049]此外,这里所公开的本发明的实施例可以在计算机程序产品上实现。更具体地,该计算机程序产品是如下的一种产品:具有计算机可读介质,计算机可读介质上编码有计算机程序逻辑,当在计算设备上执行时,该计算机程序逻辑提供相关的操作以实现本发明的上述技术方案。当在计算系统的至少一个处理器上执行时,计算机程序逻辑使得处理器执行本发明实施例所述的操作(方法)。本发明的这种设置典型地提供为设置或编码在例如光介质(例如⑶-ROM)、软盘或硬盘等的计算机可读介质上的软件、代码和/或其他数据结构、或者诸如一个或多个ROM或RAM或PROM芯片上的固件或微代码的其他介质、或一个或多个模块中的可下载的软件图像、共享数据库等。软件或固件或这种配置可安装在计算设备上,以使得计算设备中的一个或多个处理器执行本发明实施例所描述的技术方案。
[0050]至此已经结合优选实施例对本发明进行了描述。应该理解,本领域技术人员在不脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明的范围不局限于上述特定实施例,而应由所附权利要求所限定。
【权利要求】
1.一种移动终端,包括: 认证单元,被配置为:为移动终端的用户设置安全级别,并对用户的身份进行认证;以及 设置单元,被配置为:根据用户信息和相应的安全级别,对移动终端的运行环境进行设置。
2.根据权利要求1所述的移动终端,其中,所述认证单元包括: 身份配置子单元,被配置为:为移动终端的用户设置安全策略,并对用户账户信息进行管理,所述安全策略包括预定策略和/或自定义策略;以及 身份认证子单元,被配置为:根据用户输入的信息,对用户的身份进行认证,并将认证结果和用户账户参数通知给设置单元。
3.根据权利要求2所述的移动终端,其中,所述预定策略包括:最小安全策略、普通安全策略和最高安全策略。
4.根据权利要求2所述的移动终端,其中,所述身份认证子单元被配置为:采用本地认证方式或LDAP认证方式,对用户的身份进行认证。
5.根据权利要求1所述的移动终端,其中,所述设置单元包括: 策略加载子单元,被配置为:解析用户的安全策略,以获得硬件功能配置信息和系统配置信息; 硬件配置子单元,被配置为:根据硬件功能配置信息,对移动终端的硬件功能进行配置; 系统加载子单元,被配置为:根据系统配置信息,对移动终端的系统应用和系统模块进行加载;以及 安全监测子单元,被配置为:根据用户的安全策略,对系统运行中的所有操作进行监测;如果监测到违反用户的安全策略的操作,拒绝该操作的执行。
6.根据权利要求5所述的移动终端,其中,所述安全监测子单元还被配置为:如果监测到违反用户的安全策略的操作,发出警告消息和/或将该操作记录在日志中。
7.一种由移动终端执行的方法,包括: 为移动终端的用户设置安全级别,并对用户的身份进行认证;以及 根据用户信息和相应的安全级别,对移动终端的运行环境进行设置。
8.根据权利要求7所述的方法,其中,所述认证包括: 为移动终端的用户设置安全策略,并对用户账户信息进行管理,所述安全策略包括预定策略和/或自定义策略;以及 根据用户输入的信息,对用户的身份进行认证,并获得认证结果和用户账户参数。
9.根据权利要求8所述的方法,其中,所述预定策略包括:最小安全策略、普通安全策略和最高安全策略。
10.根据权利要求8所述的方法,其中,采用本地认证方式或LDAP认证方式,对用户的身份进行认证。
11.根据权利要求7所述的方法,其中,所述设置包括: 解析用户的安全策略,以获得硬件功能配置信息和系统配置信息; 根据硬件功能配置信息,对移动终端的硬件功能进行配置;根据系统配置信息,对移动终端的系统应用和系统模块进行加载;以及根据用户的安全策略,对系统运行中的所有操作进行监测;如果监测到违反用户的安全策略的操作,拒绝该操作的执行。
12.根据权利要求11所述的方法,还包括:如果监测到违反用户的安全策略的操作,发出警告消息和 /或将该操作记录在日志中。
【文档编号】G06F21/31GK103838989SQ201410118261
【公开日】2014年6月4日 申请日期:2014年3月27日 优先权日:2014年3月27日
【发明者】陈继 申请人:北京网秦天下科技有限公司
相关技术
网友询问留言
已有0条留言
- 还没有人留言评论。精彩留言会获得点赞!
1