应用处理方法及装置与流程
本发明涉及通信领域,具体而言,涉及一种应用处理方法及装置。
背景技术:
随着科技的发展,终端在人们的生活中占据了越来越重要的地位,给人们的生活带来了很多便利,以智能移动终端为例,智能移动终端(如Mobile、Pad)拥有着丰富的设备能力,比如无线WIFI、蓝牙Bluetooth、全球定位系统(Global Position System,简称为GPS)、照相机Camera、发短信、打电话、网络访问等。移动设备管理(Mobile Device Management,简称为MDM)作为自带设备办公(Bring Your Own Device,简称为BYOD)的重要组成部分,虽然可以根据策略动态地控制某些设备能力的开启和关闭,以实现对智能移动终端的安全管控;但是这种统一的处理方式会影响到安装在受控智能移动终端上的所有移动应用,无法做到针对移动应用的设备能力访问功能进行控制。
针对相关技术中存在的无法针对终端上的应用进行设备能力访问功能控制的问题,目前尚未提出有效的解决方案。
技术实现要素:
本发明提供了一种应用处理方法及装置,以至少解决相关技术中存在的无法针对终端上的应用进行设备能力访问功能控制的问题。
根据本发明的一个方面,提供了一种应用处理方法,包括:接收管控策略,其中,所述管控策略用于针对终端中的应用的设备能力访问功能;根据所述管控策略控制所述应用的设备能力访问功能。
可选地,在接收所述管控策略之前,还包括:将所述应用处理为受控应用,其中,所述受控应用为能够被控制设备能力访问功能的应用。
可选地,将所述应用处理为受控应用包括:通过修改所述应用的代码将所述应用处理为受控应用。
可选地,通过修改所述应用的代码将所述应用处理为受控应用包括:将所述应用处理为汇编代码;记录在所述汇编代码中,所述应用能够访问的设备能力的标志和所述标志在所述汇编代码中的位置;根据所述设备能力的标志确定所述设备能力访问限制功能代码;根据所述设备能力的标志在所述汇编代码中的位置将所述设备能力访问限制功能代码注入到所述汇编代码中,形成新的汇编代码;根据所述新的汇编代码重新生成所述 应用;重新签名重新生成的所述应用。
可选地,接收所述管控策略包括:接收策略中心下发的所述管控策略,其中,所述策略中心位于所述应用所在的终端中,或者,所述管控中心位于与所述应用所在的终端连接的服务器或终端中。
可选地,接收所述策略中心下发的所述管控策略包括:登录所述策略中心;向登录的所述策略中心上报所述应用的应用信息,其中,所述应用信息包括所述应用能够访问的设备能力的信息和以下信息至少之一:所述应用的安装信息、所述应用的升级信息、所述应用的卸载信息;接收所述策略中心根据所述应用信息下发的所述管控策略。
可选地,在登录所述策略中心之前,还包括:根据所述应用所在的终端的标识在所述策略中心上进行注册。
可选地,根据所述管控策略控制所述应用的设备能力访问功能包括:利用所述应用预先注册的策略变化监听接口通知所述应用所在的终端所述管控策略;利用所述管控策略控制所述应用的设备能力访问功能。
可选地,在根据所述管控策略控制所述应用的设备能力访问功能之后,还包括:上报控制结果。
根据本发明的另一方面,提供了一种应用处理方法,其特征在于,包括:向终端发送管控策略,其中,所述管控策略用于针对所述终端中的应用的设备能力访问功能进行控制。
可选地,在向所述终端发送所述管控策略之前,还包括:接收所述终端的登录请求;根据所述登录请求执行所述终端的登录处理;在所述终端完成登录后,接收所述终端发送的所述应用的应用信息,其中,所述应用信息包括所述应用能够访问的设备能力的信息和以下信息至少之一:所述应用的安装信息、所述应用的升级信息、所述应用的卸载信息。
可选地,在接收所述终端的所述登录请求之前,还包括:接收所述终端的注册请求;根据所述终端的注册请求执行所述终端的注册处理。
可选地,在向所述终端发送所述管控策略之后,还包括:接收所述终端上报的对所述应用进行控制的控制结果。
根据本发明的另一方面,提供了一种应用处理装置,包括:第一接收模块,用于接收管控策略,其中,所述管控策略用于针对终端中的应用的设备能力访问功能;控制模块,用于根据所述管控策略控制所述应用的设备能力访问功能。
可选地,所述装置还包括:处理模块,用于将所述应用处理为受控应用,其中,所述受控应用为能够被控制设备能力访问功能的应用。
可选地,所述处理模块包括:处理单元,用于通过修改所述应用的代码将所述应用处理为受控应用。
可选地,所述处理单元包括:将所述应用处理为汇编代码;记录在所述汇编代码中,所述应用能够访问的设备能力的标志和所述标志在所述汇编代码中的位置;根据所述设备能力的标志确定所述设备能力访问限制功能代码;根据所述设备能力的标志在所述汇编代码中的位置将所述设备能力访问限制功能代码注入到所述汇编代码中,形成新的汇编代码;根据所述新的汇编代码重新生成所述应用;重新签名重新生成的所述应用。
可选地,所述第一接收模块包括:接收单元,用于接收策略中心下发的所述管控策略,其中,所述策略中心位于所述应用所在的终端中,或者,所述管控中心位于与所述应用所在的终端连接的服务器或终端中。
可选地,所述接收单元包括:登录子单元,用于登录所述策略中心;上报子单元,用于向登录的所述策略中心上报所述应用的应用信息,其中,所述应用信息包括所述应用能够访问的设备能力的信息和以下信息至少之一:所述应用的安装信息、所述应用的升级信息、所述应用的卸载信息;接收子单元,用于接收所述策略中心根据所述应用信息下发的所述管控策略。
可选地,所述接收单元还包括:注册子单元,用于根据所述应用所在的终端的标识在所述策略中心上进行注册。
可选地,所述控制模块包括:通知单元,用于利用所述应用预先注册的策略变化监听接口通知所述应用所在的终端所述管控策略;控制单元,用于利用所述管控策略控制所述应用的设备能力访问功能。
可选地,所述装置还包括:上报模块,用于上报控制结果。
根据本发明的另一方面,提供了一种应用处理装置,包括:发送模块,用于向终端发送管控策略,其中,所述管控策略用于针对所述终端中的应用的设备能力访问功能进行控制。
可选地,所述装置还包括:第二接收模块,用于接收所述终端的登录请求;第一执行模块,用于根据所述登录请求执行所述终端的登录处理;第三接收模块,用于在所述终端完成登录后,接收所述终端发送的所述应用的应用信息,其中,所述应用信息包括所述应用能够访问的设备能力的信息和以下信息至少之一:所述应用的安装信息、所述应用的升级信息、所述应用的卸载信息。
可选地,所述装置还包括:第四接收模块,用于接收所述终端的注册请求;第二执行模块,用于根据所述终端的注册请求执行所述终端的注册处理。
可选地,所述装置还包括:第五接收模块,用于接收所述终端上报的对所述应用进行控制的控制结果。
通过本发明,采用接收管控策略,其中,所述管控策略用于针对终端中的应用的设备能力访问功能;根据所述管控策略控制所述应用的设备能力访问功能,解决了相关技术中存在的无法针对终端上的应用进行设备能力访问功能控制的问题,进而达到了能够针对终端上的应用进行设备能力访问控制的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的第一种应用处理方法的流程图;
图2是根据本发明实施例的第二种应用处理方法的流程图;
图3是根据本发明实施例的第一种应用处理装置的结构框图;
图4是根据本发明实施例的第一种应用处理装置的优选结构框图一;
图5是根据本发明实施例的第一种应用处理装置中处理模块42的结构框图;
图6是根据本发明实施例的第一种应用处理装置中第一接收模块32的结构框图;
图7是根据本发明实施例的第一种应用处理装置中接收单元62的结构框图;
图8是根据本发明实施例的第一种应用处理装置中接收单元62的优选结构框图;
图9是根据本发明实施例的第一种应用处理装置中控制模块34的结构框图;
图10是根据本发明实施例的第一种应用处理装置的结构框图二;
图11是根据本发明实施例的第二种应用处理装置的结构框图;
图12是根据本发明实施例的第二种应用处理装置的优选结构框图一;
图13是根据本发明实施例的第二种应用处理装置的优选结构框图二;
图14是根据本发明实施例的第二种应用处理装置的优选结构框图三;
图15是根据本发明实施例的移动应用设备能力访问限制的装置;
图16是根据本发明实施例的策略中心模块示意图;
图17是根据本发明实施例的策略代理模块示意图;
图18是根据本发明实施例的移动应用加固流程图;
图19是根据本发明实施例的管控策略代理流程示意图;
图20是根据本发明实施例的策略中心管控移动应用的流程示意图;
图21是根据本发明实施例的策略交换流程示意图;
图22是根据本发明实施例的远程管控示意图;
图23是根据本发明实施例的本地管控示意图;
图24是根据本发明实施例的本机管控示意图;
图25是根据本发明实施例的iOS平台管控示意图;
图26是根据本发明实施例的本地管控策略代理连接流程图;
图27是根据本发明实施例的本地管控策略中心流程图;
图28是根据本发明实施例的本机管控策略中心流程图;
图29是根据本发明实施例的iOS应用注册流程图;
图30是根据本发明实施例的策略中心管控iOS应用流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。以下描述中,“管控策略”和“设备能力访问限制策略”相当,且均可以简称为“策略”。
在本实施例中提供了一种应用处理方法,图1是根据本发明实施例的第一种应用处理方法的流程图,如图1所示,该流程包括如下步骤:
步骤S102,接收管控策略,其中,该管控策略用于针对终端中的应用的设备能力访问功能;
步骤S104,根据上述管控策略控制应用的设备能力访问功能。
相关技术中在控制应用的设备能力访问功能时,是针对系统对所有的应用进行控制的,控制方式不灵活。而进行通过上述步骤,在控制终端中的应用的设备能力访问功能时,是针对具体的应用进行控制的,其控制的应用的数量可以自由设置,实现对具体的应用的设备能力访问功能的控制,解决了相关技术中存在的无法针对终端上的应用进行设备能力访问功能控制的问题,进而达到了能够针对终端上的应用进行设备能力访问控制的效果。
在一个可选的实施例中,在接收上述管控策略之前,还包括:将上述应用处理为受控应用,其中,该受控应用为能够被控制设备能力访问功能的应用。通过将应用处理为 受控应用,可以实现对该应用的设备能力访问功能进行控制的目的。
可选地,将应用处理为受控应用包括:通过修改应用的代码将该应用处理为受控应用。
可选地,通过修改应用的代码将该应用处理为受控应用包括:将应用处理为汇编代码;记录在汇编代码中,该应用能够访问的设备能力的标志和该标志在汇编代码中的位置;根据上述设备能力的标志确定设备能力访问限制功能代码;根据设备能力的标志在汇编代码中的位置将设备能力访问限制功能代码注入到汇编代码中,形成新的汇编代码;根据该新的汇编代码重新生成应用;重新签名重新生成的应用。即,利用重新编码应用的方式进行应用的设备能力访问功能的控制。当然,这里描述的仅仅是一种示例,也可以通过其他的方式控制应用的设备能力访问功能。其中,根据设备能力的标志确定设备能力访问限制功能代码可以包括如下方式:在汇编代码中,会存在应用能够访问的设备能力的代码,通过对能够访问的设备能力的代码进行重新编译,可以将其编译为能够根据具体条件进行能够访问的设备能力的启用或禁用。
在一个可选的实施例中,接收管控策略包括:接收策略中心下发的管控策略,其中,该策略中心可以位于应用所在的终端中,或者,该管控中心位于与应用所在的终端连接的服务器或终端中。与应用所在的终端连接的终端可以是个人电脑(Personal Computer,简称为PC),也可以是智能手机,或者其他具备上述控制功能的终端。
可选地,接收上述策略中心下发的管控策略包括:登录该策略中心;向登录的策略中心上报应用的应用信息,其中,该应用信息包括应用能够访问的设备能力的信息和以下信息至少之一:应用的安装信息、应用的升级信息、应用的卸载信息;接收该策略中心根据应用信息下发的管控策略。
其中,首次登录策略中心时,需要在策略中心进行注册,等再次登录策略中心便可以无需注册,直接登录,当然也可以在每次登录之前都进行注册。在一个可选的实施例中,在登录上述策略中心之前,还包括:根据应用所在的终端的标识在上述策略中心上进行注册。
在一个可选的实施例中,根据管控策略控制应用的设备能力访问功能包括:利用该应用预先注册的策略变化监听接口通知应用所在的终端所述管控策略;利用该管控策略控制应用的设备能力访问功能。
在一个可选的实施例中,在根据管控策略控制应用的设备能力访问功能之后,还包括:上报控制结果。
图2是根据本发明实施例的第二种应用处理方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,向终端发送管控策略,其中,该管控策略用于针对终端中的应用的设 备能力访问功能进行控制。
在一个可选的实施例中,在向终端发送管控策略之前,还包括:接收该终端的登录请求;根据登录请求执行终端的登录处理;在终端完成登录后,接收该终端发送的上述应用的应用信息,其中,该应用信息包括应用能够访问的设备能力的信息和以下信息至少之一:应用的安装信息、应用的升级信息、应用的卸载信息。
在一个可选的实施例中,在接收终端的登录请求之前,还包括:接收终端的注册请求;根据该终端的注册请求执行终端的注册处理。其中,终端首次登录时,需要进行注册,等再次登录便可以无需注册,直接登录,当然终端也可以在每次登录之前都进行注册。
在一个可选的实施例中,在向终端发送管控策略之后,还包括:接收终端上报的对应用进行控制的控制结果。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
在本实施例中还提供了一种应用处理装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是根据本发明实施例的第一种应用处理装置的结构框图,如图3所示,该装置包括第一接收模块32和控制模块34,下面对该装置进行说明。
第一接收模块32,用于接收管控策略,其中,该管控策略用于针对终端中的应用的设备能力访问功能;控制模块34,连接至上述第一接收模块32,用于根据管控策略控制应用的设备能力访问功能。
图4是根据本发明实施例的第一种应用处理装置的优选结构框图一,如图4所示,该装置除包括图3所示的所有模块外,还包括处理模块42,下面对该装置进行说明。
处理模块42,连接至上述第一接收模块32,用于将上述应用处理为受控应用,其中,受控应用为能够被控制设备能力访问功能的应用。
图5是根据本发明实施例的第一种应用处理装置中处理模块42的结构框图,如图5所示,该处理模块42包括处理单元52,下面对该处理模块42进行说明。
处理单元52,用于通过修改应用的代码将该应用处理为受控应用。
可选地,该处理单元52包括:将应用处理为汇编代码;记录在汇编代码中,该应用能够访问的设备能力的标志和标志在汇编代码中的位置;根据设备能力的标志确定设备能力访问限制功能代码;根据设备能力的标志在汇编代码中的位置将设备能力访问限制功能代码注入到上述汇编代码中,形成新的汇编代码;根据该新的汇编代码重新生成应用;重新签名重新生成的应用。
图6是根据本发明实施例的第一种应用处理装置中第一接收模块32的结构框图,如图6所示,该第一接收模块32包括接收单元62,下面对该第一接收模块32进行说明。
接收单元62,用于接收策略中心下发的管控策略,其中,该策略中心位于应用所在的终端中,或者,该管控中心位于与应用所在的终端连接的服务器或终端中。
图7是根据本发明实施例的第一种应用处理装置中接收单元62的结构框图,如图7所示,该接收单元62包括登录子单元72、上报子单元74和接收子单元76,下面对该接收单元62进行说明。
登录子单元72,用于登录上述策略中心;上报子单元74,连接至上述登录子单元72,用于向登录的策略中心上报应用的应用信息,其中,该应用信息包括应用能够访问的设备能力的信息和以下信息至少之一:应用的安装信息、应用的升级信息、应用的卸载信息;接收子单元76,连接至上述上报子单元74,用于接收策略中心根据应用信息下发的管控策略。
图8是根据本发明实施例的第一种应用处理装置中接收单元62的优选结构框图,如图8所示,该接收单元62除包括图7所示的所有子单元外,还包括注册子单元82,下面对该接收单元62进行说明。
注册子单元82,连接至上述登录子单元72,用于根据应用所在的终端的标识在策略中心上进行注册。
图9是根据本发明实施例的第一种应用处理装置中控制模块34的结构框图,如图9所示,该控制模块34包括通知单元92和控制单元94,下面对该控制模块34进行说明。
通知单元92,用于利用应用预先注册的策略变化监听接口通知应用所在的终端该管控策略;控制单元94,连接至上述通知单元92,用于利用管控策略控制应用的设备能力访问功能。
图10是根据本发明实施例的第一种应用处理装置的结构框图二,如图10所示,该装置除包括图3所示的所有模块外,还包括上报模块102,下面对该装置进行说明。
上报模块102,连接至上述控制模块34,用于上报控制结果。
图11是根据本发明实施例的第二种应用处理装置的结构框图,如图11所示,该装 置包括发送模块112,下面对该装置进行说明。
发送模块112,用于向终端发送管控策略,其中,该管控策略用于针对终端中的应用的设备能力访问功能进行控制。
图12是根据本发明实施例的第二种应用处理装置的优选结构框图一,如图12所示,该装置除包括图11所示的所有模块外,还包括第二接收模块122、第一执行模块124和第三接收模块126,下面对该装置进行说明。
第二接收模块122,用于接收终端的登录请求;第一执行模块124,连接至上述第二接收模块122,用于根据登录请求执行终端的登录处理;第三接收模块126,连接至上述第一执行模块124和发送模块112,用于在终端完成登录后,接收终端发送的上述应用的应用信息,其中,该应用信息包括应用能够访问的设备能力的信息和以下信息至少之一:应用的安装信息、应用的升级信息、应用的卸载信息。
图13是根据本发明实施例的第二种应用处理装置的优选结构框图二,如图13所示,该装置除包括图12所示的所有模块外,还包括第四接收模块132和第二执行模块134,下面对该装置进行说明。
第四接收模块132,用于接收终端的注册请求;第二执行模块134,连接至上述第四接收模块132和第二接收模块122,用于根据终端的注册请求执行终端的注册处理。
图14是根据本发明实施例的第二种应用处理装置的优选结构框图三,如图14所示,该装置除包括图11所示的所有模块外,还包括第五接收模块142,下面对该装置进行说明。
第五接收模块142,连接至上述发送模块112,用于接收终端上报的对应用进行控制的控制结果。
下面以控制智能移动终端上的移动应用为例,对本发明进行举例说明。
为了解决相关技术中存在的MDM无法针对应用进行设备能力访问限制的问题,本发明提出了如下方法:
1,使用代码注入技术将终端上的原始移动应用改造为受控移动应用,使其能够接受设备能力访问限制策略(同上述的管控策略),并根据接受的设备能力访问限制策略执行;
2,以策略管控(同上述的策略中心)为中心,管控智能移动终端和受控移动应用,通过下发策略,实现动态控制移动应用对设备能力的访问;
3,在智能移动终端上驻留策略代理程序,统一处理来自策略中心的管控策略,并将策略交给受控移动应用执行。
本发明实施例中还提供了一种移动应用设备能力访问限制的装置,图15是根据本发明实施例的移动应用设备能力访问限制的装置,该装置由以下几部分组成:移动应用加固(同上述的处理模块42)、策略中心、策略代理。
移动应用加固通过代码注入方法,将设备能力访问限制功能代码注入原始移动应用,将其改造为能够获取管控策略、并根据管控策略执行设备能力访问的受控移动应用。
策略中心作为管控平台,包括注册处理模块(同上述的第四接收模块132和第二执行模块134)、登录处理模块(同上述的第二接收模块122和第一执行模块124)、移动应用信息处理模块(同上述的第三接收模块126)、策略下发模块(同上述的发送模块112)和策略执行结果处理模块(同上述的第五接收模块142),如图16所示,图16是根据本发明实施例的策略中心模块示意图。其中注册处理模块用于处理来自智能移动终端的注册请求;登录处理模块用于处理来自智能移动终端的登录请求;移动应用信息处理模块用于接收和保存来自智能移动中的受控移动应用信息;策略下发模块用于将管控策略下发到智能移动终端;策略执行结果处理模块用户处理策略执行结果。
策略代理是可选择的、独立装置,它包括注册模块(同上述的注册子单元82)、登录模块(同上述的登录子单元72)、移动应用信息上报模块(同上述的上报子单元74)、策略处理模块(同上述的控制模块34)、策略执行结果上报模块(同上述的上报模块102)、策略交换模块(同上述的第一接收模块32),如图17所示,图17是根据本发明实施例的策略代理模块示意图。其中注册模块和登录模块用于与策略中心通讯,分别完成智能移动终端的注册和登录;移动应用信息上报模块用于上报已安装的受控移动应用信息及其受控设备能力信息;策略处理模块用于接收并保存来自策略中心的管控策略;策略执行结果上报模块用于向策略中心反馈策略执行结果;策略交换模块用于与受控移动应用交互,支持受控移动应用主动获取策略、并且当策略发生变化时实时通知移动应用。
本发明实施例中的移动应用设备能力访问限制的方法可以如下:
第一步,移动应用加固,图18是根据本发明实施例的移动应用加固流程图,如图18所示,该流程包括如下步骤:
步骤S1802,预处理移动应用。通过解包、反编译、反汇编等方法,将移动应用预处理为汇编代码。
步骤S1804,确定移动应用中使用的设备能力。遍历设备能力集合,从中逐一取出设备能力标志,并在上述汇编代码中检索该标志;将检索到的设备能力标志与其在移动应用中的位置信息记录待用。
步骤S1806,注入设备能力访问限制功能代码。遍历上述记录信息集合,从中逐一取出设备能力标志与位置信息,根据设备能力标志从设备能力集合中取出设备能力访问限制功能代码,并根据位置信息注入到移动应用中。
步骤S1808,重新生成移动应用。通过编译、链接、打包等方法,将已注入限制功能的代码重新生成移动应用。
步骤S1810,重新签名移动应用。使用默认签名文件、或者用户指定的签名文件对移动应用进行重新签名。
第二步,注册智能移动终端,接受策略中心的管控。图19是根据本发明实施例的管控策略代理流程示意图,如图19所示,该流程包括如下步骤:
步骤S1902,策略代理在智能移动终端开机完成后自动启动运行。
步骤S1904,判断策略代理是否是首次启动,在判断结果为是的情况下,转至步骤S1908,否则转至步骤S1906。
步骤S1906,登录策略中心,转至步骤S1912。
步骤S1908,策略代理使用智能移动终端唯一标识向策略中心注册。
步骤S1910,策略代理向策略中心上报智能移动终端上已安装的受控移动应用信息,从而开始接受策略中心的管控。
步骤S1912,策略代理监听移动应用安装、升级、卸载消息,判断智能移动终端中的已安装的受控移动应用信息是否发生变化,在判断结果为是的情况下,转至步骤S1914,否则,转至步骤S1916。
步骤S1914,在受控移动应用发生变化时,将变化信息上报到策略中心,以更新受控内容。这些变化信息包括安装了新的受控应用、升级了已安装受控应用、卸载了已安装受控应用。
步骤S1916,判断是否收到策略中心下发的设备能力访问限制策略,在判断结果为是的情况下,转至步骤S1918,否则转至步骤S1920。
步骤S1918,保存策略中心下发的设备能力访问限制策略。
步骤S1920,判断是否退出登录策略中心,在判断结果为是的情况下,转至步骤S1922,否则转至步骤S1912。
步骤S1922,退出登录策略中心,结束。
第三步,策略中心管控移动应用。图20是根据本发明实施例的策略中心管控移动应用的流程示意图,如图20所示,该流程包括如下步骤:
步骤S2002,开始,策略中心接受来自智能移动终端的、通过策略代理装置发送的注册请求。策略中心接受来自智能移动终端的、通过策略代理装置发送登录请求。策略中心接收并处理来自智能移动终端的、通过策略代理装置上报的受控移动应用信息。这 些信息包括新增受控移动应用、更新受控移动应用和卸载受控移动应用。对于新增受控移动应用信息,策略中心将记录与保存;对于更新受控移动应用信息,策略中心将更新对应记录;对于卸载受控移动应用,策略中心将删除对应记录。
步骤S2004,选择智能移动终端。
步骤S2006,选择受控移动应用。
步骤S2008,策略中心向选定的受控移动应用下发设备能力访问限制策略。
步骤S2010,策略中心向选定的智能移动终端下发设备能力访问限制策略。该方式可以一次性地向所在终端的所有受控移动应用下发策略。
步骤S2012,策略中心接收并显示来自智能移动终端的策略执行结果。
步骤S2014,结束。
第四步,策略交换。图21是根据本发明实施例的策略交换流程示意图,如图21所示,该流程包括如下步骤:
步骤S2102,移动应用启动时主动向策略代理装置查询并获取与自己相关的设备能力访问限制策略。
步骤S2104,移动应用启动时向策略代理装置注册策略变化监听接口,策略代理装置在策略变化时通过监听接口通知移动应用新策略。
步骤S2106,运行获取的设备能力访问限制策略。
步骤S2108,判断是否需要对设备能力访问进行控制,在判断结果为是的情况下,转至步骤S2010,否则转至步骤S2118。
步骤S2110,判断是否允许应用使用设备能力,在判断结果为是的情况下,转至步骤S2112,否则,转至步骤S2114。
步骤S2112,使用设备能力。
步骤S2114,提示设备能力不可用。
步骤S2116,判断是否需要退出,在判断结果为是的情况下,转至步骤S2118,否则,转至步骤S2106。
步骤S2118,移动应用退出时向策略代理注销策略变化监听接口。
下面结合具体应用场景下的实施例对本发明进行举例说明。
图22是根据本发明实施例的远程管控示意图,可以将本实施例中的方案用于企业信息安全,可以由管理员通过策略服务器(策略中心)对员工携带的智能移动设备上的 移动应用进行设备能力访问限制,如下发上班期间禁用照相机的策略,限制在工作场合拍照。
图23是根据本发明实施例的本地管控示意图,可以讲本实施例中的本方案用于会议信息安全,可以由会议主持人通过智能移动终端策略APP(策略中心)对其他参会人员所携带的智能移动终端上的移动应用做设备能力访问限制,如下发禁止录音录像策略,限制会场录音录像。
图24是根据本发明实施例的本机管控示意图,可以讲本实施例中的方案用于手机应用安全,可以由手机使用者通过策略APP(策略中心)对本机安装的受控移动应用进行设备能力访问限制,如禁止访问通讯录。
图25是根据本发明实施例的iOS平台管控示意图,鉴于iOS系统的特殊性(同时只允许运行一个应用),将本方案用于iOS智能终端时,是通过策略服务器(策略中心)直接向正在运行的移动应用推送策略实现设备能力访问动态限制的。
以Android系统为例,将策略中心部署在PC上作为策略服务器的远程管控实现逻辑如下:
第一步,移动应用加固。
本步骤又可以包括下列步骤:
预处理移动应用。Apktool进行解包、反编译、反汇编,将移动应用预处理为smali代码。
确定移动应用中使用的设备能力。遍历设备能力集合,从中逐一取出设备能力标志,并在上述汇编代码中检索该标志;将检索到的设备能力标志与其在移动应用中的位置信息记录待用。
注入设备能力访问限制功能代码。遍历上述记录信息集合,从中逐一取出设备能力标志与位置信息,根据设备能力标志从设备能力集合中取出设备能力访问限制功能代码,并根据位置信息注入到移动应用中。
重新生成移动应用。使用aapt编译、链接,使用apktool打包,将已注入限制功能的代码重新生成移动应用。
重新签名移动应用。使用signapk和默认签名文件、或者用户指定的签名文件对移动应用进行重新签名。
第二步,注册智能移动终端,接受策略服务器管控。
本步骤又可以包括下列步骤:.
策略代理在智能移动终端开机完成后自动启动运行。
首次运行时,策略代理使用智能移动终端唯一标识向策略服务器注册。
策略代理自动登录策略服务器。
首次登录后,策略代理向策略服务器上报智能移动终端上已安装的受控移动应用信息,从而开始接受策略服务器的管控。
策略代理监听移动应用安装、升级、卸载消息,在受控移动应用发生变化时,将变化信息上报到策略服务器,以更新受控内容。这些变化信息包括安装了新的受控应用、升级了已安装受控应用、卸载了已安装受控应用。
策略代理接收并保持来自策略服务器下发的设备能力访问限制策略。
第三步策略服务器管控。
本步骤又可以包括下列步骤:
策略服务器接受来自智能移动终端的、通过策略代理装置发送的注册请求。
策略服务器接受来自智能移动终端的、通过策略代理装置发送登录请求。
策略服务器接收并处理来自智能移动终端的、通过策略代理装置上报的受控移动应用信息。这些信息包括新增受控移动应用、更新受控移动应用和卸载受控移动应用。对于新增受控移动应用信息,策略服务器将记录与保存;对于更新受控移动应用信息,策略服务器将更新对应记录;对于卸载受控移动应用,策略服务器将删除对应记录。
策略服务器向选定的受控移动应用下发设备能力访问限制策略。
策略服务器向选定的智能移动终端下发设备能力访问限制策略。该方式可以一次性地向所在终端的所有受控移动应用下发策略。
策略服务器接收并显示来自智能移动终端的策略执行结果。
第四步策略交换。
本步骤又可以包括下列步骤:
移动应用启动时主动向策略代理装置查询与自己相关的策略。
移动应用启动时向策略代理装置注册策略变化监听接口。
策略代理装置在策略变化时通过监听接口通知移动应用新策略。
移动应用退出时向策略代理注销策略变化监听接口。
仍以Android系统为例,将策略中心部署在智能移动终端上作为策略APP的本地管 控实现逻辑如下:
第一步,移动应用加固。
本步骤又可以包括下列步骤:
预处理移动应用。Apktool进行解包、反编译、反汇编,将移动应用预处理为smali代码。
确定移动应用中使用的设备能力。遍历设备能力集合,从中逐一取出设备能力标志,并在上述汇编代码中检索该标志;将检索到的设备能力标志与其在移动应用中的位置信息记录待用。
注入设备能力访问限制功能代码。遍历上述记录信息集合,从中逐一取出设备能力标志与位置信息,根据设备能力标志从设备能力集合中取出设备能力访问限制功能代码,并根据位置信息注入到移动应用中。
重新生成移动应用。使用aapt编译、链接,使用apktool打包,将已注入限制功能的代码重新生成移动应用。
重新签名移动应用。使用signapk和默认签名文件、或者用户指定的签名文件对移动应用进行重新签名。
第二步,链接主控智能移动终端,接受策略APP管控,图26是根据本发明实施例的本地管控策略代理连接流程图,如图26所示,该流程包括如下步骤:
步骤S2602,通过策略代理链接策略中心,从而开始接受策略APP的管控。
步骤S2604,策略代理向策略APP上报智能移动终端上已安装的受控移动应用及其设备能力类型。
步骤S2606,判断策略代理是否接收到来自策略APP下发的设备能力访问限制策略,在判断结果为是的情况下,转至步骤S2608,否则转至步骤S2610。
步骤S2608,保存来自策略APP下发的设备能力访问限制策略。
步骤S2610,判断是否退出,在判断结果为是的情况下,结束流程,否则转至步骤S2606。
第三步,策略APP管控。图27是根据本发明实施例的本地管控策略中心流程图,如图27所示,该流程包括如下步骤:
步骤S2702,策略APP启动,并接受来自智能移动终端的、通过策略代理装置发送的连接请求。
步骤S2704,策略APP接收并处理来自智能移动终端的、通过策略代理装置上报的 受控移动应用信息。
步骤S2706,选择智能移动终端。
步骤S2708,选择受控移动应用。
步骤S2710,选择设备能力。
步骤S2712,策略APP向选定的受控移动应用下发设备能力访问限制策略。
步骤S2714,策略APP向选定的智能移动终端下发设备能力访问限制策略。该方式可以一次性地向所在终端的所有受控移动应用下发策略。策略APP接收并显示来自智能移动终端的策略执行结果。
第四步,策略交换。
本步骤又可以包括下列步骤:
移动应用启动时主动向策略代理装置查询与自己相关的策略。
移动应用启动时向策略代理装置注册策略变化监听接口。
策略代理装置在策略变化时通过监听接口通知移动应用新策略。
移动应用退出时向策略代理注销策略变化监听接口。
仍以Android系统为例,将策略中心部署在智能移动终端上作为策略APP的本机管控实现逻辑如下:
第一步,移动应用加固。
本步骤又可以包括下列步骤:
预处理移动应用。Apktool进行解包、反编译、反汇编,将移动应用预处理为smali代码。
确定移动应用中使用的设备能力。遍历设备能力集合,从中逐一取出设备能力标志,并在上述汇编代码中检索该标志;将检索到的设备能力标志与其在移动应用中的位置信息记录待用。
注入设备能力访问限制功能代码。遍历上述记录信息集合,从中逐一取出设备能力标志与位置信息,根据设备能力标志从设备能力集合中取出设备能力访问限制功能代码,并根据位置信息注入到移动应用中。
重新生成移动应用。使用aapt编译、链接,使用apktool打包,将已注入限制功能的代码重新生成移动应用。
重新签名移动应用。使用signapk和默认签名文件、或者用户指定的签名文件对移动应用进行重新签名。
第二步,启动策略APP,设置管控策略。图28是根据本发明实施例的本机管控策略中心流程图,如图28所示,该流程包括如下步骤:
步骤S2802,策略APP遍历本机受控移动应用。
步骤S2804,选择受控移动应用。
步骤S2806,选择设备能力。
步骤S2808,并设置管控策略。
第三步,策略交换。
本步骤又可以包括下列步骤:
移动应用启动时主动向策略APP查询与自己相关的策略。
移动应用启动时向策略APP注册策略变化监听接口。
策略APP在策略变化时通过监听接口通知移动应用新策略。
移动应用退出时向策略APP注销策略变化监听接口。
以iOS系统为例的管控实现逻辑如下:
第一步,移动应用加固。
本步骤又可以包括下列步骤:
预处理移动应用。通过反编译处理移动应用为汇编代码。
确定移动应用中使用的设备能力。遍历设备能力集合,从中逐一取出设备能力标志,并在上述汇编代码中检索该标志;将检索到的设备能力标志与其在移动应用中的位置信息记录待用。
注入设备能力访问限制功能代码。遍历上述记录信息集合,从中逐一取出设备能力标志与位置信息,根据设备能力标志从设备能力集合中取出设备能力访问限制功能代码,并根据位置信息注入到移动应用中。
重新生成移动应用。使用xcode编译、链接,并重新生成移动应用。
重新签名移动应用。使用签名工具和签名文件对移动应用进行重新签名。
第二步,移动应用注册,接受策略服务器管控。图29是根据本发明实施例的iOS 应用注册流程图,如图29所示,该流程包括如下步骤:
步骤S2902,判断受控移动应用是否为首次启动,在判断结果为是的情况下,转至步骤S2904,否则,转至步骤S2908。
步骤S2904,受控移动应用首次启动后,使用DeviceToken向策略服务器注册。
步骤S2906,受控移动应用向策略服务器上报自身使用的设备能力,上报所有受控设备能力类型。
步骤S2908,受控移动应用非首次启动时,自动登录策略服务器。
步骤S2910,判断是否收到策略服务器下发的策略,在判断结果为是的情况下,转至步骤S2912,否则,转至步骤S2914。
步骤S2912,受控移动应用接收并保持来自策略服务器下发的设备能力访问限制策略。
步骤S2914,判断是否退出,在判断结果为是的情况下,结束流程。否则,转至步骤S2910。
第三步,策略服务器管控。图30是根据本发明实施例的策略中心管控iOS应用流程图,如图30所示,该流程包括如下步骤:
步骤S3002,策略服务器接受来自受控移动应用的注册请求。
步骤S3004,策略服务器接受来自受控移动应用的登录请求。
步骤S3006,策略服务器接收并处理来自受控移动应用的受控设备能力信息。
步骤S3008,策略服务器选择受控移动应用。
步骤S3010,策略服务器选择设备能力。
步骤S3012,选择打开或者关闭策略。
步骤S3014,策略服务器向选定的受控移动应用下发设备能力访问限制策略。策略服务器接收并显示来自智能移动终端的策略执行结果。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述模块分别位于多个处理器中。
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S1,接收管控策略,其中,该管控策略用于针对终端中的应用的设备能力访问功能;
S2,根据上述管控策略控制应用的设备能力访问功能。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:
S1,向终端发送管控策略,其中,该管控策略用于针对终端中的应用的设备能力访问功能进行控制。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random■Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质,其中,上述的终端中的应用的存储介质可以包括但不限于闪存(Compact flash,简称为CF)卡、安全数码卡(Secure Digital Memory Card,简称为SD)卡。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
采用本发明所述方法和装置,与相关技术相比,在设备能力访问精准控制方面取得了进步,达到了控制单个移动应用的效果,提高了管控灵活性等等。克服了相关技术中的无法针对具体移动应用进行管控的缺点,解决相关技术中存在的无法针对特定移动应用进行管控的问题。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!