b、如27b所述的装置,其特征在于所述装置进一步包括安装模块,所述第一安装模块具体用于:
[0311 ]根据所述安装请求从服务器处下载所述应用程序的安装包;
[0312]修改所述安装包的Manifest文件,将应用程序的入口强制变更至工作区。
[0313]29b、如27b所述的装置,
[0314]所述第一确认模块,具体用于,接收到所述服务器配置的应用黑名单时,根据应用黑名单中列出的应用程序的名称及版本号检测个人区内存空间中是否安装有所述应用黑名单中列出的应用程序,并针对检测到的应用程序发出所述应用程序禁止安装的告警信息;
[0315]所述第二确认模块,具体用于,接收到所述服务器配置的应用白名单时,根据应用白名单中列出的应用程序的名称及版本号检测个人区内存空间中是否安装有所述应用白名单中未列出的应用程序;并针对检测到的应用程序发出所述应用程序禁止安装的告警信息。
[0316]30b、如28b所述的装置,所述安装模块具体还用于:
[0317]在所述应用程序的安装包中添加卸载监听代码,用以所述终端监听到所述数据保护方法对应的装置卸载后,清除所述工作区内目标的应用程序的数据。
[0318]31b、如28b所述的装置,所述安装模块具体还用于:
[0319]在所述应用程序的安装包中添加与服务器通信代码,用以所述终端在接收到由服务器端发送的数据清除命令时,清除所述工作区内相应的应用程序的数据。
[0320]32b、如28b所述的装置,所述安装模块具体还用于:
[0321]在所述应用程序的安装包中添加解密与加密代码,用以所述终端对工作区读写的数据进行加密以及解密。
[0322]33b、如28b所述的装置,所述安装模块具体还用于:
[0323]在所述应用程序的安装包中隔离代码,用以所述终端拦截工作区内应用程序的开启行为,并将开启请求发送至服务器,由服务器判断应用程序的开启方式。
[0324]34b、如19b所述的装置,所述装置位于应用层进一步包括:
[0325]第二接收模块,用于接收服务器下发的所述移动端对应的基于地理位置的安全策略信息;其中,所述安全策略包括:在指定的地理区域范围内,关闭终端中至少一个特定的系统功能;在指定的地理区域范围内,禁止终端中至少一个特定的应用程序的启动和运行。
[0326]地理位置查看模块,用于周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内;
[0327]安全策略执行模块,用于当所述地理位置查看模块确定所述移动端在所述基于地理位置的安全策略信息指定的地理区域范围内时,执行所述安全策略。
[0328]35b、如34b所述的装置,当所述安全策略为:在指定的区域内,禁止终端中至少一个特定的应用程序的启动和运行时,所述安全策略包括:指定的地理区范围信息、允许和不允许启动和运行的应用的安全类别信息;
[0329]所述执行所述安全策略,具体包括:
[0330]向服务器发送查询本地所有应用的私有属性信息和公有属性信息;
[0331]并从获取到的各应用的私有属性信息和公有属性信息中分别查找对应的安全类别?目息;
[0332]将查找到的每个应用私有属性信息和公有属性信息中的安全类别信息的组合,作为该应用的安全类别信息;
[0333]根据每个应用的安全类别信息,确定在所述指定区域内,是否允许该应用的启动和运行。
[0334]36b、如19b所述的装置,所述装置位于通信层进一步包括:
[0335]网络传输加密模块,用于采用VPN建立专用网络,当所述工作区的应用程序进行网络访问时,将VPN服务器和移动端之间的通讯数据进行加密处理;和/或
[0336]外网访问控制模块,用于当所述工作区的应用程序访问外网时,对所述外网的URL进行检测;判定所述外网的URL存在访问风险,则禁止应用程序访问,并将所述外网URL添加至风险列表以用于后续判断。
[0337]如在说明书及权利要求当中使用了某些词汇来指称特定组件。本领域技术人员应可理解,硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求并不以名称的差异来作为区分组件的方式,而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求当中所提及的“包含”为一开放式用语,故应解释成“包含但不限定于”。“大致”是指在可接收的误差范围内,本领域技术人员能够在一定误差范围内解决所述技术问题,基本达到所述技术效果。此外,“耦接”一词在此包含任何直接及间接的电性耦接手段。因此,若文中描述一第一装置耦接于一第二装置,则代表所述第一装置可直接电性耦接于所述第二装置,或通过其他装置或耦接手段间接地电性耦接至所述第二装置。说明书后续描述为实施本申请的较佳实施方式,然所述描述乃以说明本申请的一般原则为目的,并非用以限定本申请的范围。本申请的保护范围当视所附权利要求所界定者为准。
[0338]还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的商品或者系统中还存在另外的相同要素。
[0339]上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
【主权项】
1.一种终端数据保护的方法,其特征在于,位于硬件层执行,包括如下的步骤: 在终端中建立用于存储企业数据的工作区; 根据预设的加密算法在所述终端的TF卡对所述工作区存储数据进行加密; 当检测到数据访问请求时,获取所述数据访问请求的身份认证信息; 当判定所述身份认证信息通过认证,则接受所述数据访问请求。2.如权利要求1所述的方法,其特征在于,位于应用层执行,所述方法进一步包括: 对终端的系统事件进行监测,判断所述系统事件是否符合预设的工作区规则;其中,所述系统事件包括:通话事件和短信事件; 当所述系统事件符合所述工作区规则时,在工作区空间内执行与所述系统事件对应的操作,将与所述操作相对应的数据加密并存储在所述工作区空间的数据库中。3.如权利要求1所述的方法,其特征在于,位于操作系统层执行,所述方法进一步包括: 接收针对应用自由安装列表中列出的应用程序发起的安装请求,所述应用自由安装列表从服务器获取; 当确认配置有应用黑名单时,判断待安装的应用程序是否在所述应用黑名单中,如果是,则禁止所述应用程序的安装,否则,对所述应用程序进行安装; 当确认配置有应用白名单时,判断待安装的应用程序是否在所述应用白名单中,如果是,则对所述应用程序进行安装,否则,禁止所述应用软件的安装;其中,所述应用黑名单或应用白名单由服务器配置。4.如权利要求1所述的方法,其特征在于,位于应用层执行,所述方法进一步包括: 接收服务器下发的所述移动端对应的基于地理位置的安全策略信息;其中,所述安全策略包括:在指定的地理区域范围内,关闭终端中至少一个特定的系统功能;在指定的地理区域范围内,禁止终端中至少一个特定的应用程序的启动和运行。 周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内; 若在,则执行所述安全策略。5.如权利要求1所述的方法,其特征在于,位于通信层执行,所述方法进一步包括: 采用VPN建立专用网络,当所述工作区的应用程序进行网络访问时,将VPN服务器和移动端之间的通讯数据进行加密处理;和/或 当所述工作区的应用程序访问外网时,对所述外网的URL进行检测; 当判定所述外网的URL存在访问风险,则禁止应用程序访问,并将所述外网URL添加至风险列表以用于后续判断。6.—种终端数据保护的装置,其特征在于,所述装置位于硬件层包括如下的模块: 建立模块,用于在终端中建立用于存储企业数据的工作区; 加密模块,用于根据预设的加密算法在所述终端的TF卡对所述工作区存储数据进行加密; 认证模块,用于当检测到数据访问请求时,获取所述数据访问请求的身份认证信息; 访问控制模块,用于当判定所述身份认证信息通过认证,则接受所述数据访问请求。7.如权利要求6所述的装置,其特征在于,所述装置位于应用层进一步包括: 监测模块,用于对终端的系统事件进行监测,判断所述系统事件是否符合预设的工作区规则;其中,所述系统事件包括:通话事件和短信事件; 执行模块,用于当所述系统事件符合所述工作区规则时,在工作区空间内执行与所述系统事件对应的操作,将与所述操作相对应的数据加密并存储在所述工作区空间的数据库中。8.如权利要求6所述的装置,其特征在于,所述装置位于操作系统层进一步包括: 接收模块,用于接收针对应用自由安装列表中列出的应用程序发起的安装请求,所述应用自由安装列表从服务器获取; 第一确认模块,用于当确认配置有应用黑名单时,判断待安装的应用程序是否在所述应用黑名单中,如果是,则禁止所述应用程序的安装,否则,对所述应用程序进行安装; 第二确认模块,用于当确认配置有应用白名单时,判断待安装的应用程序是否在所述应用白名单中,如果是,则对所述应用程序进行安装,否则,禁止所述应用软件的安装;其中,所述应用黑名单或应用白名单由服务器配置。9.如权利要求6所述的装置,其特征在于,所述装置位于应用层进一步包括: 第二接收模块,用于接收服务器下发的所述移动端对应的基于地理位置的安全策略信息;其中,所述安全策略包括:在指定的地理区域范围内,关闭终端中至少一个特定的系统功能;在指定的地理区域范围内,禁止终端中至少一个特定的应用程序的启动和运行; 地理位置查看模块,用于周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理区域范围内; 安全策略执行模块,用于当所述地理位置查看模块确定所述移动端在所述基于地理位置的安全策略信息指定的地理区域范围内时,执行所述安全策略。10.如权利要求6所述的装置,其特征在于,所述装置位于通信层进一步包括: 网络传输加密模块,用于采用VPN建立专用网络,当所述工作区的应用程序进行网络访问时,将VPN服务器和移动端之间的通讯数据进行加密处理;和/或 外网访问控制模块,用于当所述工作区的应用程序访问外网时,对所述外网的URL进行检测;判定所述外网的URL存在访问风险,则禁止应用程序访问,并将所述外网URL添加至风险列表以用于后续判断。
【专利摘要】本申请公开了一种终端数据保护的方法。在终端中建立用于存储企业数据的工作区;根据预设的加密算法在所述终端的TF卡对所述工作区存储数据进行加密;当检测到数据访问请求时,获取所述数据访问请求的身份认证信息,其中所述身份认证信息包括所述终端的设备识别号与所述TF卡标识;当判定所述身份认证信息通过认证,则接受所述数据访问请求。实现了终端数据的保护。
【IPC分类】H04L29/06, H04L29/08, H04L12/46, G06F21/62
【公开号】CN105610671
【申请号】CN201610016234
【发明人】张晨, 刘伟, 王力
【申请人】北京奇虎科技有限公司, 奇智软件(北京)有限公司
【公开日】2016年5月25日
【申请日】2016年1月11日