在移动终端工作区内安装应用的方法、相关装置和系统的制作方法

在移动终端工作区内安装应用的方法、相关装置和系统的制作方法
【专利摘要】本发明实施例提供了一种在移动终端工作区内安装应用的方法、相关装置和系统，其中服务器侧的方法包括：服务器接收移动终端中企业管理客户端发出的查看应用的列表的请求；服务器根据所述企业管理客户端所属的用户，确定所述用户所属的用户组；服务器将本地保存的所述用户组对应的应用的列表下发至所述企业管理客户端，以便在移动终端工作区内安装应用；所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息。本发明实施例在BYOD的场景中，在保障企业信息安全的前提下，在移动终端工作区内实现了不同用户的个性化的应用安装选择。
【专利说明】在移动终端工作区内安装应用的方法、相关装置和系统
【技术领域】
[0001]本发明涉及移动通信【技术领域】，尤其涉及一种在移动终端工作区内安装应用的方法、相关装置和系统。
【背景技术】
[0002]随着移动终端的成熟与普及，以手机、平板电脑为代表的个人移动终端逐渐进入企业领域，这种现象被称为自带设备办公(Bring Your Own Device, BY0D)。根据国际权威咨询公司Gartner预测，到2014年90%的企业将会支持员工在个人移动终端上运行企业办公应用程序，员工使用个人移动终端办公已经成为一种无法逆转的潮流。
[0003]在BYOD中，同一移动终端上既有个人应用程序和数据，也有企业应用程序和数据，个人应用程序和数据所在的区域被称为个人区，企业应用程序和数据所在的区域被称为工作区。
[0004]如果个人应用可以随意访问、存取企业数据，则将存在被个人应用非法上传、共享和外泄的风险，因此，当前BYOD的场景中，需要将同一移动终端上的工作区与个人区的程序和数据隔离开来，在不影响个人区正常使用的前提下，保障企业数据的安全。
[0005]在目前一种BYOD的解决方案中，在移动终端中通过企业管理客户端来实现工作区的各项功能，对于组织机构复杂的现代企业来说，不同部门不同岗位的用户可能需要更灵活选择与自己工作相关的各种应用，这种应用往往是通过应用市场等方式来体现，例如对一个程序开发人员来说，其可安装的应用包括=Iinux指令大全、浏览器等，一个行政管理人员来说，其可安装的应用包括:WPS OFFICE、飞信等；两者需要的应用会截然不同，如何在保证企业信息安全的前提下，有针对性地在移动终端工作区内实现更加个性化的应用安装选择，成为当前BYOD领域亟待解决的问题。

【发明内容】

[0006]鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种在移动终端工作区内安装应用的方法、相关装置和系统。
[0007]依据本发明的第一个方面，本发明实施例提供的在移动终端工作区内安装应用的方法，包括:
[0008]服务器接收移动终端中企业管理客户端发出的查看应用的列表的请求；
[0009]服务器根据所述企业管理客户端所属的用户，确定所述用户所属的用户组；
[0010]服务器将本地保存的所述用户组对应的应用的列表下发至所述企业管理客户端，以便在移动终端工作区内安装应用；所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息。
[0011]依据本发明的第二个方面，本发明实施例提供的在移动终端工作区内安装应用的方法，包括:
[0012]移动终端中企业管理客户端向服务器发送查看应用的列表的请求；[0013]接收服务器下发的所述企业管理客户端所属用户所在用户组对应的应用的列表，并在移动终端工作区内显示给用户，所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息；
[0014]根据所述应用的列表中的强制安装的应用的信息，下载所述强制安装的应用的安装包并静默安装在移动终端的工作区内；
[0015]以及当接收到用户发出的自由安装请求时，根据所述应用的列表，下载所请求的自由安装的应用的安装包并安装于移动终端的工作区内。
[0016]依据本发明的第三个方面，本发明实施例提供的服务器，包括:
[0017]接收模块，用于接收移动终端中企业管理客户端发出的查看应用的列表的请求；
[0018]确定模块，用于根据所述企业管理客户端所属的用户，确定所述用户所属的用户组；
[0019]发送模块，用于将本地保存的所述用户组对应的应用的列表下发至所述企业管理客户端，以便在移动终端工作区内安装应用；所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息。
[0020]依据本发明的第四个方面，本发明实施例提供的企业管理客户端，位于位于移动终端中，包括:
[0021]发送模块，用于向服务器发送查看应用的列表的请求；
[0022]接收模块，用于接收服务器下发的所述企业管理客户端所属用户所在用户组对应的应用的列表，并在移动终端工作区内显示给用户，所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息；
[0023]安装模块，用于根据所述应用的列表中的强制安装的应用的信息，下载所述强制安装的应用的安装包并静默安装在移动终端的工作区内；以及当接收到用户发出的自由安装请求时，根据所述应用的列表，下载所请求的自由安装的应用的安装包并安装于移动终端的工作区内。
[0024]依据本发明的第五个方面，本发明实施例提供的在移动终端工作区内安装应用的系统，包括:
[0025]服务器，用于接收企业管理客户端发出的查看应用的列表的请求；根据所述企业管理客户端所属的用户，确定所述用户所属的用户组；将本地保存的所述用户组对应的应用的列表下发至所述企业管理客户端，所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息；
[0026]至少一个企业管理客户端，每个企业管理客户端位于一个移动终端中，用于向服务器发送查看应用的列表的请求；接收所述服务器下发的所述应用的列表并在移动终端工作区内显示给用户；根据所述应用的列表中的强制安装的应用的信息，下载所述强制安装的应用的安装包并静默安装在移动终端的工作区内；以及当接收到用户发出的自由安装请求时，根据所述应用的列表，下载所请求的自由安装的应用的安装包并安装于移动终端的工作区内。本发明实施例的有益效果包括:
[0027]本发明实施例提供的在移动终端工作区内安装应用的方法、相关装置和系统，当服务器接收到企业管理客户端发出的查看应用的列表的请求时，根据该企业管理客户端所属的用户，确定该用户所属的用户组，将该用户组对应的应用的列表下发至企业管理客户端，企业管理客户端一方面可根据所述应用的列表中的强制安装的应用的信息，下载所述强制安装的应用的安装包并静默安装在移动终端的工作区内，另一方面可根据用户的需要，从该列表中选择自由安装的应用程序进行安装。本发明实施例在BYOD的场景中，在保障企业信息安全的前提下，在移动终端工作区内实现了不同用户的个性化的应用安装选择。
[0028]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的【具体实施方式】。
【专利附图】

【附图说明】
[0029]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中:
[0030]图1为本发明实施例提供的在移动终端工作区内安装应用的方法所依赖的系统架构的示意图；
[0031]图2为本发明实施例提供的工作区内实现自由安装的方法在服务器侧的流程图；
[0032]图3为本发明实施例提供的工作区内实现自由安装的方法在企业管理客户端侧的流程图；
[0033]图4为本发明实施例提供的服务器的结构示意图；
[0034]图5为本发明实施例提供的企业管理客户端的结构示意图；
[0035]图6为本发明实施例提供的在移动终端工作区内安装应用的系统的结构示意图。
【具体实施方式】
[0036]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
[0037]下面结合说明书附图，对本发明实施例提供的一种在移动终端工作区内安装应用的方法、相关装置和系统的【具体实施方式】进行说明。
[0038]在本发明和以下本实施例中，对移动终端中的工作区和个人区可以定义如下:
[0039]工作区和个人区的定义，在设备使用过程中，为了方便管理设备中的个人资料和工作资料，可以在设备中划出一部分磁盘存储空间，配置新的权限信息，可以用于存储和管理工作资料。而该设备剩下的磁盘存储空间，可以用于存储、管理个人资料或者其他资料，剩下的磁盘存储空间可以拥有初始的权限信息。相对而言，存储工作资料的磁盘存储空间可以称之为工作区，而存储个人资料的磁盘存储空间可以称之为个人区。
[0040]此外，为方便操作，个人区和工作区可以具有不同的用户界面(User Interface,Π)，但是可以共同使用某些系统文件。
[0041]用户大部分时间可能会涉及个人区的操作，而比较少的时间涉及工作区的操作。当涉及工作区的操作时，由于休息等原因需要主动对设备进行加密，或者由于设备太久没有操作信息而自动进行加密，在设备加密后再次解密会回到工作区，需要进行个人区的权限信息的解密，再进行工作区的权限信息的解密，才能进入工作区。
[0042]在说明本发明实施例提供的在移动终端工作区内安装应用的方法之前，首先对本发明实施例提供的在移动终端工作区内安装应用的方法所依赖的系统架构进行说明。如图1所示，该系统包括部署在企业内网的服务器端和需要被管理的移动终端上的企业管理客户端。其中:服务器的主要功能包括:根据企业管理员的配置，管理、下发企业内网的应用，以及管理、下发安全策略等；企业管理客户端提供移动终端中的工作区的功能，具体来说，其主要功能包括:数据防泄密，执行安全策略等，数据防泄密包括数据加密、数据隔离等。
[0043]在保障企业信息安全的前提下，针对企业内用户在移动终端工作区内实现应用的自由安装，本发明实施例提供的在移动终端工作区内安装应用的方法，在服务器侧的流程，如图2所示,包括:
[0044]S201、服务器接收移动终端中企业管理客户端发出的查看应用的列表的请求；
[0045]S202、服务器根据企业管理客户端所属的用户，确定用户所属的用户组；
[0046]S203、服务器将本地保存的该用户组对应的应用的列表下发至该企业管理客户端，以便在移动终端工作区内安装应用；该用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息。
[0047]企业管理客户端需要将服务器侧下发的用户所属用户组对应的应用的列表进行保存，并且，服务器每次下发的应用的列表都具有唯一的版本号，这样，企业管理客户端在保存应用的列表时，同样保存了该列表的版本号。
[0048]每个应用的列表的版本号都是由服务器侧随机生成的，并且唯一标识该列表。
[0049]服务器侧会根据企业管理员的要求，对各用户组对应的应用的列表的内容进行更新，这样，为了保证企业管理客户端侧收到的是最新版本的应用的列表，在本发明实施例中，企业管理客户端后续再次发出查看应用的列表的请求时，会将自身保存的服务器最近一次下发的列表的版本号携带在该请求中，服务器侧收到该请求后，将该版本号，与本地保存的最新版本的该用户组对应的应用的列表的版本号进行比对，如果不一致，则认为该用户组对应的应用的列表有更新，则将最新版本的用户组对应的应用的列表下发至发起请求的企业管理客户端，以便在移动终端的工作区内显示更新后的应用的列表；如果一致，则认为该用户组对应的应用的列表没有更新，反馈该企业管理客户端该列表未更新，企业管理客户端收到后，将本地保存的最新版本的该用户组对应的应用的列表显示给用户。上述这种机制，一方面保证了服务器侧保存的每个用户组对应的应用的列表与企业管理客户端之间的同步，另一方面也节省了移动终端不必要的流量开销。
[0050]较佳地，企业管理客户端在向服务器侧发送请求时，将该用户组对应的应用的列表的名字和版本号采用Gzip格式(Gzip格式是GNUzip的缩写)进行压缩，发送Gzip格式的压缩请求可以达到缩减请求大小，加快传输速度的技术效果。
[0051]本发明实施例提供的在移动终端工作区内安装应用的方法，在具体实施时，这些应用可以采用企业管理客户端中“应用市场”等方式提供给用户，当用户在移动终端工作区内点击“应用市场”等应用的图标时，即向服务器侧发出了查看应用的列表的请求。
[0052]上述步骤S202中，每个企业管理客户端都唯一对应一个用户(用户可以在不同的移动终端上登录企业管理客户端)，在本发明实施例中，可以针对每个用户所属的用户组来推送其对应的应用的列表，换言之，将该用户组对应的所有应用(包括强制安装的应用和可以自由安装的应用)作为该用户企业管理客户端内“应用市场”中的内容展示给用户。
[0053]上述步骤S203中，服务器将该企业管理客户端所属用户所在用户组对应的所有可安装的应用，采用列表的形式下发给该企业管理客户端，以便在移动终端工作区内安装应用，这些可安装的应用包括强制安装的应用和自由安装的应用。
[0054]基于上述这种在移动终端工作区内安装应用的方法，对于不同用户组的用户来说，当进入工作区点击“应用市场”的应用之后，在“应用市场”的界面内展示的各应用会不同(彼此看不到对方用户组对应的可安装的应用)。举例来说，对于一个程序开发人员的用户来说，其所属的用户组为“研发组”，则其可安装的应用通常为一些编程软件等，对于一个人力资源管理人员的用户来说，其所属的用户组为“人力资源管理组”，其可安装的应用通常包含一些人力资源管理方面的各种软件。服务器可以根据企业管理员的需求，对不同用户所属组对应的可安装的应用的列表进行实时更新，在列表中增加新的应用、删除应用、更换某些应用等，当用户再次需要查看“应用市场”的界面时，会向服务器侧发起请求(该请求携带企业管理客户端本地保存的列表的版本号)，查询自身所属用户组对应的应用列表，月艮务器侧判断该请求中的版本号，是否与本地保存的最新版本的版本号进行比对，如果不一致，则下发最新版本的该用户组的可安装的应用的列表下来，供用户查看。
[0055]进一步地，上述服务器侧，提供了一个专门的区域，用于接收企业管理员上传的各用户组对应的可安装的应用的安装包并保存；
[0056]具体实施中，企业管理服务器中建立了一个专用空间，用于存储上传到企业管理服务器中的应用程序的安装包，本发明实施例中将该专用空间称为企业应用库。企业管理服务器上维护有应用管理列表，应用管理列表中包括所有安装包已上传到企业管理服务器的应用程序的名称及版本号，当然也可以包括该应用程序的其他信息，例如上传时间、安装包大小、安装量等。企业管理员可以查看、编辑应用管理列表，查看各应用程序的安装量等统计信息。
[0057]企业管理员在服务器侧，将企业员工按照部门、或者职能等划分为不同的用户组，为各用户组制定不同的应用管理策略，例如将企业应用库中的应用程序划分类型，为不同部门或者不同职能的用户组配置不同的可安装的应用，并分别生成并维护每个用户组对应的可安装的应用的列表。并将每个用户组对应的可安装的应用的列表推送到该用户组中各用户的企业管理客户端上，可安装的应用的列表中包括供用户组自由安装的应用程序的名称及版本号。企业管理客户端将可安装的应用的列表展示在工作区的应用市场中，供企业管理客户端进行强制安装或者按照用户需求自由选择下载安装。
[0058]进一步地，为了保障企业的信息安全，企业管理员还可以根据不同的用户组，分别配置对应的应用的黑白名单的策略，具体来说，应用黑名单中会列出禁止安装的应用程序的名称及版本号，应用白名单中会列出仅允许安装的应用程序的名称及版本号。当服务器收到企业管理客户端发出的查看可安装的应用的列表的请求时，除了返回该企业管理客户端所属用户所在的用户组对应的可安装的应用的列表之外，还将配置的黑或白名单下发至该企业管理客户端，这样，企业管理客户端收到该黑白名单之后，如果是黑名单，则当用户在可安装的列表中，选择了黑名单之内的应用时，则需要弹出不允许安装的提示信息，反之，则允许安装；如果是白名单，则用户在可安装的应用的列表中，选择了该白名单之外的应用时，则需要弹出不允许安装的提示信息，反之，则允许安装，用户在卸载从可安装的应用的列表中下载并安装的应用时，如果该应用为白名单中的应用，也会弹出不允许卸载的提示信息。上述机制相当于对可安装的应用之外进行了黑白名单的保护。
[0059]企业管理员在上传各应用的安装包时，指定各个应用都分别适用于哪个用户组，这样，服务器侧，可以根据保存的各安装包，生成与各用户组分别对应的应用的列表，每个用户组对应的应用的列表，至少包括下述信息:
[0060]各安装包的标识、各安装包的下载地址和各安装包的描述文件。
[0061]较佳地，由于应用来源于第三方，为了保证移动终端上所使用应用程序的安全可靠性，保障企业信息安全，防止不安全的应用窃取企业数据，服务器在保存企业管理员上传的各用户组对应的应用的安装包之前，还需要对各用户组对应的应用的安装包进行病毒检测、加密、加固和打包处理，从而杜绝恶意篡改、代码注入、内存修改、窃取数据、反编译等威胁。
[0062]对应用的安装包进行加密,可以使用现有技术中多种加密方法,例如使用数字签名的方法，具体作法可以用私钥加密一段与安装包相关的数据(例如安装包的包名)作为数字签名，加密的算法可以有很多种，例如数据加密标准(Data Encryption Standard, DES)信息摘要算法(MD5, Message-Digest Algorithm5)> RSA等算法等,具体加密的方法属于现有技术的范畴，在此不再赘述。
[0063]对应用的安装包进行加固就是在该安装包运行时，对它做一定的规则保护，比如不允许dll注入，不允许线程插入，不允许别的进程访问其地址空间等来保护应用程序不受别的恶意程序的攻击。更高级的加固还可以检测该安装包本身的漏洞，并在触发漏洞时作出拦截，来防止恶意程序通过此应用程序的漏洞来攻击系统本身。具体加固的过程。
[0064]以在Android (安卓)系统上实现为例，对应用的安装包进行加密、加固和打包(也称重打包)进行简要说明。
[0065]Android系统中，数据加密可以通过.so (动态链接库)文件实现,主要是在应用程序中注入代码，使得安卓安装包(Android Package, apk)初始化时去调用该.so文件,要保证.so文件运行的时机比应用程序的读写文件的时间早，如果晚了文件就会变成“一半加密的状态”，导致文件损坏。通过数据加密，.so文件会拦截该应用程序的所有文件操作，从而实现加密。
[0066]Android系统中，数据的加固可以通过改变class, dex文件的内容的方式，S卩:对数据的内容进行一些算法加密，在apk运行时再动态的去解密，还原内容。在修改class,dex文件的内容的时候要保证其符合dex文件的固有格式。加固主要有以下两个目的:
[0067]防止应用被人轻易逆向，获取应用所使用的密钥体系等关键信息
[0068]加固同时给程序增加了数据加密的功能，增加安全系数。
[0069]Android系统中，数据的重打包，主要有两个，一个是改AndroidManifest.xml(Android系统的注册表文件)里面的一些配置信息，如包(package);应用(application)、服务(service)、供应商(provider)的 name 属性！provider 的 authorities (权限)属性。另一个就是修改.smali文件里面和上面这些属性对应的一些引用。
[0070]对安装包进行病毒检测、加密、加固和打包处理之后，服务器侧生成的与各用户组分别对应的应用的列表中，除了各安装包的标识、各安装包的下载地址和各安装包的描述文件之外，还包括:各安装包加密后的签名数据。
[0071]本发明实施例提供的在移动终端工作区内安装应用的方法，在移动终端的企业管理客户端的流程，如图3所示，包括:
[0072]S301、移动终端中企业管理客户端向服务器发送查看应用的列表的请求；
[0073]S302、接收服务器下发的企业管理客户端所属用户所在用户组对应的应用的列表并在移动终端工作区内显示给用户，用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息；然后执行下述步骤S303和S304 ；
[0074]S303、根据应用的列表中的强制安装的应用的信息，下载强制安装的应用的安装包并静默安装在移动终端的工作区内；
[0075]S304、当接收到用户发出的自由安装请求时，根据所述应用的列表，下载所请求的自由安装的应用的安装包并安装于移动终端的工作区内。
[0076]进一步地，在服务器侧对各用户组对应的应用的安装包进行病毒检测、加密、加固和打包处理后再保存的情况下，上述应用的列表中至少包括下述信息:各安装包的标识、各安装包的下载地址、各安装包的描述文件和各安装包的签名数据；
[0077]对应地，上述企业管理客户端在接收上述应用的列表之后，还需要将该列表保存在企业管理客户端的本地，例如保存在企业管理客户端的数据库中。
[0078]进一步地，上述步骤S303中，根据所述应用的列表，下载所述强制安装的应用的安装包并静默安装在移动终端的工作区内，具体可以通过下述方式实现:
[0079]根据所述应用的列表中各强制安装的应用的安装包的标识以及下载地址，下载对应安装包；
[0080]所述企业管理客户端判断当前是否连接WIFI ；
[0081]若是，则使用提取的超级用户root权限，将所述安装包静默安装在移动终端的工作区内。
[0082]在本发明实施例中，静默安装的含义即在用户不察觉的情况下进行的安装。
[0083]在上述安装包的签名数据是根据安装包的标识按照预设的加密算法进行加密生成的情况下，上述步骤S304中当接收到用户发出的自由安装请求时，根据所述应用的列表，下载所请求的自由安装的应用的安装包并安装于移动终端的工作区内，具体可通过下述过程实现:
[0084]企业管理客户端根据该请求指定的安装包的标识以及所保存的应用的列表，从列表中记载的安装包的下载地址下载安装包；
[0085]根据所下载的安装包的标识，按照预设的加密算法计算出对应的签名数据，确定计算出的签名数据是否与保存的列表中该安装包的签名数据一致，若一致，则允许安装该安装包；
[0086]否则，拒绝该安装包的安装。
[0087]用户通过企业管理客户端从该用户所属用户组对应的应用的列表(例如由“应用市场”提供)中选择自由安装的应用并成功安装后，以及强制安装相应的应用后，可以在其工作区内的桌面上看到这些应用的图标和名称，点击该应用的图标即可使用。
[0088]进一步地，为了保障工作区的数据安全，在移动终端的工作区内安装这些应用之后，如果用户发起在移动终端的任务管理器中查看已安装的应用的请求，则该企业管理客户端会向该用户返回工作区的锁屏界面，只有用户使用锁屏密码正确登录工作区后，才能在任务管理器中查看该工作区内已安装的应用的相关信息。
[0089]基于同一发明构思，本发明实施例还提供了一种服务器、企业管理客户端和在移动终端工作区内安装应用的系统，由于这些装置和系统所解决问题的原理与前述一种在移动终端工作区内安装应用的方法相似，因此这些装置和系统的实施可以参见前述方法的实施，重复之处不再赘述。
[0090]本发明实施例提供的一种服务器，如图4所示，包括:
[0091]接收模块401，用于接收移动终端中企业管理客户端发出的查看可安装的应用的列表的请求；
[0092]确定模块402，用于根据所述企业管理客户端所属的用户，确定所述用户所属的用户组；
[0093]发送模块403，用于将本地保存的所述用户组对应的应用的列表下发至所述企业管理客户端，以便在移动终端工作区内安装应用；所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息。
[0094]进一步地，上述服务器，如图4所示，还可以包括:存储模块404，用于接收企业管理员上传的各用户组对应的应用的安装包并保存；
[0095]列表生成模块405，用于根据保存的各安装包，生成与各用户组分别对应的可自用安装的应用的列表，每个列表中包括:各安装包的标识、各安装包的下载地址和各安装包的描述文件。
[0096]进一步地，上述服务器，如图4所示，还可以包括:加密模块406，用于在保存企业管理员上传的各用户组对应的应用的安装包之前，对所述各用户组对应的应用的安装包进行病毒检测、加密、加固和打包处理；所述列表中还包括:各安装包加密后的签名数据。
[0097]本发明实施例提供的企业管理客户端，位于移动终端中，如图5所示，包括:
[0098]发送模块501，用于向服务器发送查看应用的列表的请求；
[0099]接收模块502，用于接收服务器下发的所述企业管理客户端所属用户所在用户组对应的应用的列表，并在移动终端工作区内显示给用户，所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息；
[0100]安装模块503，用于根据所述应用的列表中的强制安装的应用的信息，下载所述强制安装的应用的安装包并静默安装在移动终端的工作区内；以及当接收到用户发出的自由安装请求时，根据所述应用的列表，下载所请求的自由安装的应用的安装包并安装于移动终端的工作区内。
[0101]进一步地，上述可安装的应用的列表中包括:各安装包的标识、各安装包的下载地址、各安装包的描述文件和各安装包的签名数据；
[0102]相应地，上述企业管理客户端，如图5所示，还可以包括:存储模块504，用于保存所述应用的列表。
[0103]进一步地，上安装包的签名数据是根据安装包的标识按照预设的加密算法进行加密生成的；
[0104]相应地，上述安装模块503，具体用于接收用户发起的在所述工作区内安装所述自由安装的应用的请求；根据所述请求指定的安装包的标识以及所保存的所述应用的列表，从所述列表中选择对应的安装包的下载地址下载所述安装包；根据所下载的安装包的标识，按照所述预设的加密算法计算出对应的签名数据，确定计算出的所述签名数据是否与保存的所述列表中该安装包的签名数据一致，若一致，则允许安装所述安装包；否则，拒绝该安装包的安装。
[0105]进一步地，本发明实施例提供的上述企业管理客户端，如图5所示，还可以包括:隔离模块505，用于当用户发起在移动终端的任务管理器中查看移动终端工作区内已安装的应用的请求时，所述企业管理客户端向所述用户返回工作区的锁屏界面。
[0106]本发明实施例提供的在移动终端工作区内安装应用的系统，如图6所示，包括:
[0107]服务器601，用于接收企业管理客户端602发出的查看应用的列表的请求；根据所述企业管理客户端602所属的用户，确定所述用户所属的用户组；将本地保存的所述用户组对应的应用的列表下发至所述企业管理客户端，所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息；
[0108]至少一个企业管理客户端602，每个企业管理客户端位于一个移动终端中，用于向服务器601发送查看应用的列表的请求；接收所述服务器601下发的所述企业管理客户端602所属用户所在用户组对应的应用的列表并在移动终端工作区内显示给用户；根据所述应用的列表中的强制安装的应用的信息，下载所述强制安装的应用的安装包并静默安装在移动终端的工作区内；以及当接收到用户发出的自由安装请求时，根据所述应用的列表，下载所请求的自由安装的应用的安装包并安装于移动终端的工作区内。
[0109]进一步地，上述企业管理客户端，可以位于手机或平板电脑中。
[0110]本发明实施例提供的在移动终端工作区内安装应用的方法、相关装置和系统，当服务器接收到企业管理客户端发出的查看应用的列表的请求时，根据该企业管理客户端所属的用户，确定该用户所属的用户组，将该用户组对应的应用的列表下发至企业管理客户端，企业管理客户端一方面可根据所述应用的列表中的强制安装的应用的信息，下载所述强制安装的应用的安装包并静默安装在移动终端的工作区内，另一方面可根据用户的需要，从该列表中选择自由安装的应用程序进行安装。本发明实施例在BYOD的场景中，在保障企业信息安全的前提下，在移动终端工作区内实现了不同用户的个性化的应用安装选择。
[0111]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0112]在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0113]类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】，其中每个权利要求本身都作为本发明的单独实施例。
[0114]本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0115]此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0116]本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的服务器、企业管理客户端中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
[0117]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
[0118]显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。
【权利要求】
1.一种在移动终端工作区内安装应用的方法，其特征在于，包括: 服务器接收移动终端中企业管理客户端发出的查看应用的列表的请求； 服务器根据所述企业管理客户端所属的用户，确定所述用户所属的用户组； 服务器将本地保存的所述用户组对应的应用的列表下发至所述企业管理客户端，以便在移动终端工作区内安装应用；所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息。
2.如权利要求1所述的方法，其特征在于，还包括: 服务器接收企业管理员上传的各用户组对应的应用的安装包并保存在服务器本地；服务器根据保存的各安装包，生成与各用户组分别对应的可自用安装的应用的列表，每个列表中包括:各安装包的标识、各安装包的下载地址和各安装包的描述文件。
3.如权利要求1或2所述的方法，其特征在于，还包括: 将确定的所述用户组对应的应用的列表下发至所述企业管理客户端时，还将预先配置的该用户组对应的应用的黑名单或白名单一同下发至企业管理客户端； 所述黑名单中定义禁止安装的应用；所述白名单定义所述工作区内允许安装的应用；所述白名单中的应用不允许卸载。
4.一种在移动终端工作区内安装应用的方法，其特征在于，包括: 移动终端中企业管理客户端向服务器发送查看应用的列表的请求； 接收服务器下发的所述企业管理客户端所属用户所在用户组对应的应用的列表，并在移动终端工作区内显示给用户，所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息； 根据所述应用的列表中的强制安装的应用的信息，下载所述强制安装的应用的安装包并静默安装在移动终端的工作区内； 以及当接收到用户发出的自由安装请求时，根据所述应用的列表，下载所请求的自由安装的应用的安装包并安装于移动终端的工作区内。
5.如权利要求4所述的方法，其特征在于，所述自由安装的应用和强制安装的应用的信息包括:各应用的安装包的标识、各安装包的下载地址、各安装包的描述文件和各安装包的签名数据； 接收所述应用的列表之后，还包括:保存所述应用的列表。
6.如权利要求5所述的方法，其特征在于，所述安装包的签名数据是根据安装包的标识按照预设的加密算法进行加密生成的； 所述当接收到用户发出的自由安装请求时，根据所述应用的列表，下载所请求的自由安装的应用的安装包并安装于移动终端的工作区内，包括: 所述企业管理客户端根据所述请求指定的安装包的标识以及所保存的所述应用的列表，从所述应用的列表中记载的安装包的下载地址下载所述安装包； 根据所下载的安装包的标识，按照所述预设的加密算法计算出对应的签名数据，确定计算出的所述签名数据是否与保存的所述列表中该安装包的签名数据一致，若一致，则允许安装所述安装包； 否则，拒绝所述安装包的安装。
7.如权利要求4所述的方法，其特征在于，根据所述应用的列表，下载所述强制安装的应用的安装包并静默安装在移动终端的工作区内，具体包括: 根据所述应用的列表中各强制安装的应用的安装包的标识以及下载地址，下载对应安装包； 所述企业管理客户端判断当前是否连接WIFI ； 若是，则使用提取的超级用户root权限，静默安装在移动终端的工作区内。
8.一种服务器，其特征在于，包括: 接收模块，用于接收移动终端中企业管理客户端发出的查看应用的列表的请求； 确定模块，用于根据所述企业管理客户端所属的用户，确定所述用户所属的用户组； 发送模块，用于将本地保存的所述用户组对应的应用的列表下发至所述企业管理客户端，以便在移动终端工作区内安装应用；所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息。
9.一种企业管理客户端，其特征在于，所述企业管理客户端位于移动终端中，包括: 发送模块，用于向服务器发送查看应用的列表的请求； 接收模块，用于接收服务器下发的所述企业管理客户端所属用户所在用户组对应的应用的列表，并在移动终端工作区内显示给用户，所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息； 安装模块，用于根据所述应用的列表中的强制安装的应用的信息，下载所述强制安装的应用的安装包并静默安装在移动终端的工作区内；以及当接收到用户发出的自由安装请求时，根据所述应用的列表，下载所请求的自由安装的应用的安装包并安装于移动终端的工作区内。
10.一种在移动终端工作区内安装应用的系统，其特征在于，包括: 服务器，用于接收企业管理客户端发出的查看应用的列表的请求；根据所述企业管理客户端所属的用户，确定所述用户所属的用户组；将本地保存的所述用户组对应的应用的列表下发至所述企业管理客户端，所述用户组对应的应用的列表中包含自由安装的应用和强制安装的应用的信息； 至少一个企业管理客户端，每个企业管理客户端位于一个移动终端中，用于向服务器发送查看应用的列表的请求；接收所述服务器下发的所述应用的列表并在移动终端工作区内显示给用户；根据所述应用的列表中的强制安装的应用的信息，下载所述强制安装的应用的安装包并静默安装在移动终端的工作区内；以及当接收到用户发出的自由安装请求时，根据所述应用的列表，下载所请求的自由安装的应用的安装包并安装于移动终端的工作区内。
【文档编号】H04L29/06GK103713904SQ201310738119
【公开日】2014年4月9日 申请日期:2013年12月26日 优先权日:2013年12月26日
【发明者】刘伟, 王力, 施华国, 杨新权 申请人:北京奇虎科技有限公司, 奇智软件（北京）有限公司