終端設(shè)備及其系統(tǒng)功能的管控方法和裝置制造方法
【專利摘要】本發(fā)明實施例提供了一種終端設(shè)備及其系統(tǒng)功能的管控方法和裝置,所述方法包括:預(yù)先注入到系統(tǒng)服務(wù)進(jìn)程中的權(quán)限驗證模塊攔截到系統(tǒng)功能的開啟或關(guān)閉請求后,從權(quán)限配置文件中查找到系統(tǒng)功能的操作權(quán)限;權(quán)限驗證模塊將當(dāng)前用戶的權(quán)限與系統(tǒng)功能的操作權(quán)限進(jìn)行比較;根據(jù)比較結(jié)果,允許系統(tǒng)服務(wù)進(jìn)程對攔截到的請求進(jìn)行響應(yīng)、或拒絕攔截到的請求。應(yīng)用本發(fā)明,可以實現(xiàn)對多個用戶使用的終端設(shè)備的系統(tǒng)功能的管控,可以禁止一些權(quán)限較低的用戶或非授權(quán)用戶對終端設(shè)備的系統(tǒng)功能進(jìn)行設(shè)置。
【專利說明】終端設(shè)備及其系統(tǒng)功能的管控方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及終端設(shè)備技術(shù),具體而言,本發(fā)明涉及終端設(shè)備及其系統(tǒng)功能的管控方法和裝置。
【背景技術(shù)】
[0002]操作系統(tǒng)(OS,Operating System)作為終端設(shè)備中連接硬件、承載應(yīng)用的關(guān)鍵平臺,具有十分重要的作用。目前,終端設(shè)備中的操作系統(tǒng)包括:Android、Windows CE>Linux等。終端設(shè)備的操作系統(tǒng)通??梢灾С侄喾N系統(tǒng)功能,比如藍(lán)牙、wifi (wireless fidelity,無線保真)、移動數(shù)據(jù)網(wǎng)絡(luò)等。用戶可在終端設(shè)備的操作系統(tǒng)提供的這些系統(tǒng)功能的開啟或關(guān)閉的設(shè)置界面中進(jìn)行相應(yīng)操作來開啟或關(guān)閉這些系統(tǒng)功能。
[0003]目前,對于諸如個人手機等的終端設(shè)備,用戶可根據(jù)自己的需求開啟或關(guān)閉終端設(shè)備的系統(tǒng)功能。例如,用戶在存在wifi無線網(wǎng)絡(luò)的地方開啟手機的wifi系統(tǒng)功能以節(jié)省手機流量或獲得較快的上網(wǎng)體驗,而在不存在Wifi無線網(wǎng)絡(luò)的地方關(guān)閉Wifi系統(tǒng)功能以節(jié)省手機電量。然而,對于一些多個用戶使用的終端設(shè)備,如企業(yè)中的管控終端設(shè)備等,往往并不允許每個用戶都能夠按照自身需求對終端設(shè)備的系統(tǒng)功能進(jìn)行開啟或關(guān)閉。
[0004]例如,企業(yè)的員工開啟終端設(shè)備的移動數(shù)據(jù)網(wǎng)絡(luò)或wifi功能后,員工的終端設(shè)備可以在任何時間、任何地點接入移動互聯(lián)網(wǎng)或公共/家庭wifi網(wǎng)絡(luò),員工的終端設(shè)備中的企業(yè)數(shù)據(jù)也會暴露在來自互聯(lián)網(wǎng)的攻擊之下,BYOD (Bring Your Own Device,指攜帶自己的設(shè)備辦公)打破了原有的企業(yè)網(wǎng)絡(luò)邊界,正是這種邊界的模糊性使BYOD成為企業(yè)信息安全體系的薄弱環(huán)節(jié),也使得保護(hù)企業(yè)數(shù)據(jù)安全成為時下企業(yè)頗為關(guān)心的問題;因此,需要對員工的終端設(shè)備上的系統(tǒng)功能進(jìn)行管控。顯然,現(xiàn)有的終端設(shè)備的系統(tǒng)功能的開啟或關(guān)閉方法并不能滿足這個要求。
[0005]因此,有必要提供一種能夠?qū)Χ鄠€用戶使用的終端設(shè)備的系統(tǒng)功能進(jìn)行管控的方法。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的旨在至少解決上述技術(shù)缺陷之一,特別是可以實現(xiàn)對終端設(shè)備的系統(tǒng)功能的開啟或關(guān)閉進(jìn)行管控。
[0007]本發(fā)明提供了一種終端設(shè)備中系統(tǒng)功能的管控方法,包括:
[0008]預(yù)先注入到系統(tǒng)服務(wù)進(jìn)程中的權(quán)限驗證模塊攔截到系統(tǒng)功能的開啟/關(guān)閉請求后,從權(quán)限配置文件中查找到所述系統(tǒng)功能的操作權(quán)限;
[0009]所述權(quán)限驗證模塊將當(dāng)前用戶的權(quán)限與所述系統(tǒng)功能的操作權(quán)限進(jìn)行比較;根據(jù)比較結(jié)果,允許所述系統(tǒng)服務(wù)進(jìn)程對所述請求進(jìn)行響應(yīng)、或拒絕所述請求。
[0010]本發(fā)明還提供了一種終端設(shè)備中系統(tǒng)功能的管控裝置,包括:
[0011]權(quán)限驗證模塊,其預(yù)先注入于系統(tǒng)服務(wù)進(jìn)程中,用于攔截到系統(tǒng)功能的開啟/關(guān)閉請求后,從權(quán)限配置文件中查找到所述系統(tǒng)功能的操作權(quán)限;并將當(dāng)前用戶的權(quán)限與所述系統(tǒng)功能的操作權(quán)限進(jìn)行比較;根據(jù)比較結(jié)果,允許所述系統(tǒng)服務(wù)進(jìn)程對所述請求進(jìn)行響應(yīng)、或拒絕所述請求。
[0012]本發(fā)明還提供了一種終端設(shè)備,包括上述的管控裝置。
[0013]本實施例的方案中,通過在終端設(shè)備的系統(tǒng)服務(wù)進(jìn)程中注入的權(quán)限驗證模塊對系統(tǒng)功能的開啟或關(guān)閉請求進(jìn)行攔截,并根據(jù)當(dāng)前用戶的權(quán)限與配置的系統(tǒng)功能的操作權(quán)限的比較結(jié)果,允許系統(tǒng)服務(wù)進(jìn)程對攔截到的請求進(jìn)行響應(yīng)、或拒絕攔截到的請求。從而,本發(fā)明可以實現(xiàn)對多個用戶使用的終端設(shè)備的系統(tǒng)功能的管控,禁止一些權(quán)限較低的用戶或非授權(quán)用戶對系統(tǒng)功能的設(shè)置。
[0014]本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出,這些將從下面的描述中變得明顯,或通過本發(fā)明的實踐了解到。
【專利附圖】
【附圖說明】
[0015]本發(fā)明上述的和/或附加的方面和優(yōu)點從下面結(jié)合附圖對實施例的描述中將變得明顯和容易理解,其中:
[0016]圖1為本發(fā)明實施例的在系統(tǒng)服務(wù)進(jìn)程中注入權(quán)限驗證模塊的方法流程示意圖;
[0017]圖2為本發(fā)明實施例的終端設(shè)備中系統(tǒng)功能的管控方法的流程示意圖;
[0018]圖3a、3b為本發(fā)明實施例的終端設(shè)備中系統(tǒng)功能的管控裝置的內(nèi)部結(jié)構(gòu)示意圖。
【具體實施方式】
[0019]下面詳細(xì)描述本發(fā)明的實施例,所述實施例的示例在附圖中示出,其中自始至終相同或類似的標(biāo)號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實施例是示例性的,僅用于解釋本發(fā)明,而不能解釋為對本發(fā)明的限制。
[0020]本【技術(shù)領(lǐng)域】技術(shù)人員可以理解,除非特意聲明,這里使用的單數(shù)形式“一”、“一個”、“所述”和“該”也可包括復(fù)數(shù)形式。應(yīng)該進(jìn)一步理解的是,本發(fā)明的說明書中使用的措辭“包括”是指存在所述特征、整數(shù)、步驟、操作、元件和/或組件,但是并不排除存在或添加一個或多個其他特征、整數(shù)、步驟、操作、元件、組件和/或它們的組。應(yīng)該理解,當(dāng)我們稱元件被“連接”或“耦接”到另一元件時,它可以直接連接或耦接到其他元件,或者也可以存在中間元件。此外,這里使用的“連接”或“耦接”可以包括無線連接或無線耦接。這里使用的措辭“和/或”包括一個或更多個相關(guān)聯(lián)的列出項的全部或任一單元和全部組合。
[0021]本【技術(shù)領(lǐng)域】技術(shù)人員可以理解,除非另外定義,這里使用的所有術(shù)語(包括技術(shù)術(shù)語和科學(xué)術(shù)語),具有與本發(fā)明所屬領(lǐng)域中的普通技術(shù)人員的一般理解相同的意義。還應(yīng)該理解的是,諸如通用字典中定義的那些術(shù)語,應(yīng)該被理解為具有與現(xiàn)有技術(shù)的上下文中的意義一致的意義,并且除非像這里一樣被特定定義,否則不會用理想化或過于正式的含義來解釋。
[0022]本【技術(shù)領(lǐng)域】技術(shù)人員可以理解,這里所使用的“終端”、“終端設(shè)備”既包括無線信號接收器的設(shè)備,其僅具備無發(fā)射能力的無線信號接收器的設(shè)備,又包括接收和發(fā)射硬件的設(shè)備,其具有能夠在雙向通信鏈路上,進(jìn)行雙向通信的接收和發(fā)射硬件的設(shè)備。這種設(shè)備可以包括:蜂窩或其他通信設(shè)備,其具有單線路顯示器或多線路顯示器或沒有多線路顯示器的蜂窩或其他通信設(shè)備;PCS (Personal Communicat1ns Service,個人通信系統(tǒng)),其可以組合語音、數(shù)據(jù)處理、傳真和/或數(shù)據(jù)通信能力;PDA (Personal Digital Assistant,個人數(shù)字助理),其可以包括射頻接收器、尋呼機、互聯(lián)網(wǎng)/內(nèi)聯(lián)網(wǎng)訪問、網(wǎng)絡(luò)瀏覽器、記事本、日歷和/或GPS (Global Posit1ning System,全球定位系統(tǒng))接收器;常規(guī)膝上型和/或掌上型計算機或其他設(shè)備,其具有和/或包括射頻接收器的常規(guī)膝上型和/或掌上型計算機或其他設(shè)備。這里所使用的“終端”、“終端設(shè)備”可以是便攜式、可運輸、安裝在交通工具(航空、海運和/或陸地)中的,或者適合于和/或配置為在本地運行,和/或以分布形式,運行在地球和/或空間的任何其他位置運行。這里所使用的“終端”、“終端設(shè)備”還可以是通信終端、上網(wǎng)終端、音樂/視頻播放終端,例如可以是PDA、MID(MobiIe Internet Device,移動互聯(lián)網(wǎng)設(shè)備)和/或具有音樂/視頻播放功能的移動電話,也可以是智能電視、機頂盒等設(shè)備。
[0023]此外,終端設(shè)備還可以是隸屬于企業(yè)管理平臺的終端設(shè)備。企業(yè)網(wǎng)內(nèi)部署有企業(yè)管理平臺,管理員可以輕松實現(xiàn)終端設(shè)備管理、策略管理下發(fā)、企業(yè)應(yīng)用管理等,降低了管理的復(fù)雜度,節(jié)約了 IT人力投入。例如,通過部署在企業(yè)網(wǎng)內(nèi)部中的郵件、業(yè)務(wù)、OA服務(wù)器可以實現(xiàn)終端設(shè)備的報表、公文下發(fā)等。公私隔離的裝置與郵件、業(yè)務(wù)、OA服務(wù)器進(jìn)行通信,進(jìn)行業(yè)務(wù)操作,例如收發(fā)短信、寫郵件或下載公文等等,將文件、圖片、郵件、短信等數(shù)據(jù)進(jìn)行加密,并存儲在工作區(qū)空間的數(shù)據(jù)庫中,可以在不影響員工對個人應(yīng)用使用的感受的基礎(chǔ)上,在終端設(shè)備上建立一個安全、獨立的工作區(qū),將所有的工作數(shù)據(jù),即企業(yè)應(yīng)用和數(shù)據(jù)存儲在受保護(hù)的安全區(qū)內(nèi)。個人應(yīng)用無法訪問企業(yè)數(shù)據(jù),避免企業(yè)數(shù)據(jù)被個人應(yīng)用非法存取,不僅僅將企業(yè)數(shù)據(jù)和個人數(shù)據(jù)完全隔離,使IT部門能夠更好地保護(hù)企業(yè)的應(yīng)用和數(shù)據(jù),也為員工提供了無差別的個人應(yīng)用體驗。
[0024]通過在企業(yè)需要管理的終端設(shè)備上部署企業(yè)安全管理客戶端,企業(yè)可通過客戶端實施管理中心下發(fā)的安全策略,員工可通過客戶端安全地訪問企業(yè)內(nèi)網(wǎng)和辦公,主要有以下幾個功能:
[0025]獨立工作區(qū),在終端設(shè)備上建立了獨立的工作區(qū),并對工作區(qū)內(nèi)數(shù)據(jù)加密處理,確保企業(yè)數(shù)據(jù)安全;
[0026]電子郵件,工作區(qū)預(yù)置郵箱功能,支持exchange郵箱,可以查看、收發(fā)電子郵件;
[0027]日歷,可以查看exchange同步的約會,新建、編輯約會;
[0028]聯(lián)系人,工作區(qū)預(yù)置聯(lián)系人功能,可以新建或?qū)肼?lián)系人。工作區(qū)的聯(lián)系人和通話記錄與個人區(qū)完全隔離,可設(shè)置工作區(qū)內(nèi)發(fā)生的通話記錄是否顯示在個人區(qū);
[0029]短信,從工作區(qū)發(fā)生的短信與個人區(qū)完全隔離;
[0030]瀏覽器,提供網(wǎng)頁訪問功能;
[0031]企業(yè)應(yīng)用市場,支持從工作區(qū)企業(yè)應(yīng)用市場下載、安裝企業(yè)管理員推送的應(yīng)用。
[0032]本發(fā)明中,在終端設(shè)備的系統(tǒng)服務(wù)(System server)進(jìn)程中預(yù)先注入權(quán)限驗證模塊,并對系統(tǒng)功能的操作權(quán)限進(jìn)行配置;注入到System server進(jìn)程中的權(quán)限驗證模塊可以攔截到系統(tǒng)功能的開啟或關(guān)閉請求;在權(quán)限驗證模塊攔截到系統(tǒng)功能的開啟或關(guān)閉請求時,將當(dāng)前用戶的權(quán)限與請求所涉及的系統(tǒng)功能的操作權(quán)限進(jìn)行比較;根據(jù)比較結(jié)果,允許系統(tǒng)服務(wù)進(jìn)程對攔截的請求進(jìn)行響應(yīng)、或拒絕攔截到的請求。從而,實現(xiàn)根據(jù)用戶的權(quán)限對終端設(shè)備的系統(tǒng)功能的開啟或關(guān)閉進(jìn)行管控,進(jìn)而可以支持企業(yè)實現(xiàn)對員工終端設(shè)備的管理。
[0033]本發(fā)明實施例在進(jìn)行終端設(shè)備的系統(tǒng)功能的管控之前,可預(yù)先將權(quán)限驗證模塊的代碼注入到System server進(jìn)程中,具體方法的流程示意圖如圖1所示,包括如下步驟:
[0034]SlOl:獲取終端設(shè)備的root權(quán)限。
[0035]本步驟中,通過獲取終端設(shè)備的root權(quán)限,實現(xiàn)提權(quán)操作。如何獲取終端設(shè)備的root權(quán)限的方法為本領(lǐng)域技術(shù)人員所熟知,此處不贅述。其中,root權(quán)限指的是終端設(shè)備的操作系統(tǒng)的最高權(quán)限。獲取終端設(shè)備的root權(quán)限也就意味著獲取了終端設(shè)備的最高權(quán)限,可以對終端設(shè)備中的任何文件進(jìn)行增、刪、改、查的操作。
[0036]S102:在root權(quán)限下,將權(quán)限驗證模塊注入到System server進(jìn)程中。
[0037]本步驟中,在實現(xiàn)提權(quán)后,可以將權(quán)限驗證模塊的代碼注入到System server進(jìn)程中。其中,將權(quán)限驗證模塊注入到系統(tǒng)服務(wù)進(jìn)程具體可以是:暫停System server進(jìn)程(即Ptris進(jìn)程);將修改后的庫文件(即.so文件)覆蓋原庫文件;其中,修改后的庫文件攜帶有權(quán)限驗證模塊,且權(quán)限驗證模塊作為修改后的庫文件中的接口函數(shù)。也就是,將Systemserver進(jìn)程中的1/0函數(shù)替換為fake 1/0函數(shù)(即權(quán)限驗證模塊)。
[0038]具體將代碼注入到System server進(jìn)程中的方法可采用現(xiàn)有的技術(shù),此處不再贅述。
[0039]在將權(quán)限驗證模塊注入到System server進(jìn)程后,即可通過權(quán)限驗證模塊實現(xiàn)對系統(tǒng)功能的管控。在實際應(yīng)用中,用戶可在終端設(shè)備的設(shè)置界面中點擊系統(tǒng)功能的開啟關(guān)閉按鍵,系統(tǒng)服務(wù)進(jìn)程接收到系統(tǒng)功能的開啟或關(guān)閉請求后,調(diào)用作為接口函數(shù)的權(quán)限驗證模塊,并將接受到的請求發(fā)送給權(quán)限驗證模塊,由權(quán)限驗證模塊對系統(tǒng)功能的開啟或關(guān)閉進(jìn)行管控。具體地,本發(fā)明實施例提供的終端設(shè)備的系統(tǒng)功能的管控方法的具體流程,如圖2所示,包括如下步驟:
[0040]S201:預(yù)先注入到System server進(jìn)程中的權(quán)限驗證模塊攔截到系統(tǒng)功能的開啟或關(guān)閉請求。
[0041]具體地,當(dāng)前用戶開啟或關(guān)閉終端設(shè)備中的某個系統(tǒng)功能(例如記為SFl的系統(tǒng)功能)時,預(yù)先注入到System server進(jìn)程中的權(quán)限驗證模塊可以攔截到發(fā)送到Systemserver進(jìn)程的系統(tǒng)功能SFl的開啟或關(guān)閉請求。其中,本發(fā)明所稱的系統(tǒng)功能具體可以包括:藍(lán)牙、wif1、移動數(shù)據(jù)網(wǎng)絡(luò),此外,還可以包括一些終端設(shè)備中的特定的系統(tǒng)功能,如攝像頭功能、錄音功能、語音呼叫功能和截屏功能等。關(guān)閉系統(tǒng)功能可以利用系統(tǒng)提供的接口實現(xiàn),例如關(guān)閉攝像頭功能時,可以通過調(diào)用系統(tǒng)設(shè)備管理提供的接口來實現(xiàn)。
[0042]此外,本發(fā)明所稱的系統(tǒng)功能還可以包括安裝于操作系統(tǒng)中的至少一個特定的應(yīng)用程序,對系統(tǒng)功能的管控還可以包括對這些特定的應(yīng)用程序的啟動和運行的管控,例如可以禁止啟動和運行某些可能泄密的諸如瀏覽器、社交網(wǎng)站的應(yīng)用、聊天軟件、郵件軟件、某些文件分享類應(yīng)用(如網(wǎng)盤等,這些應(yīng)用可能會導(dǎo)致企業(yè)內(nèi)部的資源被上傳到云端,破壞企業(yè)信息的私密性)等,或者從更廣范圍來說,這些被禁止安裝、啟動和運行的應(yīng)用還可以包括:被終端設(shè)備中預(yù)設(shè)的安全軟件檢查出來的被曝出有安全漏洞或惡意行為的應(yīng)用。
[0043]例如,禁止終端設(shè)備中至少一個特定的應(yīng)用程序的啟動和運行,可以是:禁用攝像頭,即禁止使用攝像頭;禁用wifi,即禁止使用wifi ;禁用移動數(shù)據(jù)網(wǎng)絡(luò),即禁止使用2G/3G/4G網(wǎng)絡(luò);禁用藍(lán)牙,即禁止使用藍(lán)牙;禁用屏幕快照,即禁止截屏;隔離剪切板,即禁止將工作區(qū)數(shù)據(jù)復(fù)制、剪切、粘貼出工作區(qū);禁止安裝應(yīng)用程序,禁止用戶安裝應(yīng)用;禁止移除應(yīng)用程序,即禁止用戶刪除已安裝的應(yīng)用;禁止應(yīng)用程序內(nèi)購買;禁止iCloud云備份;禁止iCloud文稿與數(shù)據(jù);禁止iCloud鑰匙串;強制對備份進(jìn)行加密;關(guān)閉工作區(qū)內(nèi)的相機和相冊;關(guān)閉工作區(qū)內(nèi)的郵件;關(guān)閉工作區(qū)內(nèi)的聯(lián)系人;關(guān)閉工作區(qū)內(nèi)的文件管理器?’關(guān)閉工作區(qū)內(nèi)的切換到個人區(qū);關(guān)閉工作區(qū)內(nèi)的瀏覽器;關(guān)閉工作區(qū)內(nèi)的相機和相冊;關(guān)閉工作區(qū)內(nèi)的郵件;關(guān)閉工作區(qū)內(nèi)的聯(lián)系人;關(guān)閉工作區(qū)內(nèi)的文件管理器;關(guān)閉工作區(qū)內(nèi)的切換到個人區(qū);關(guān)閉工作區(qū)內(nèi)的瀏覽器;禁用GameCenter ;禁用AirDrop ;禁用siri ;禁用iTunesmusic ;禁用 Safari ;禁用 FaceTime ;禁用 iMessages ;禁用 iBooksStore 等等。
[0044]S202:權(quán)限驗證模塊從權(quán)限配置文件中查找到系統(tǒng)功能的操作權(quán)限。
[0045]具體地,權(quán)限配置文件可以是由終端設(shè)備管理服務(wù)器下發(fā)給終端設(shè)備的?;蛘?,權(quán)限配置文件中的信息可以是通過終端設(shè)備顯示的配置界面輸入的,例如,終端設(shè)備的管理員在終端設(shè)備顯示的配置界面中輸入系統(tǒng)功能的操作權(quán)限的信息,終端設(shè)備便可將管理員輸入的信息存儲到權(quán)限配置文件中。其中,權(quán)限配置文件中可以保存有系統(tǒng)功能的名稱及其對應(yīng)的操作權(quán)限;此外,當(dāng)權(quán)限配置文件中的信息由管理員通過終端設(shè)備顯示的配置界面輸入時,權(quán)限配置文件中還可以保存有使用終端設(shè)備的各用戶的用戶名及其權(quán)限。
[0046]由此,權(quán)限驗證模塊攔截到系統(tǒng)功能SFl的開啟或關(guān)閉請求后,可從權(quán)限配置文件中查找到系統(tǒng)功能SFl的操作權(quán)限。
[0047]S203:權(quán)限驗證模塊將當(dāng)前用戶的權(quán)限與系統(tǒng)功能的操作權(quán)限進(jìn)行比較。
[0048]具體地,終端設(shè)備中還預(yù)先記錄有若干個用戶的用戶名及其權(quán)限。當(dāng)前用戶使用其用戶名對終端設(shè)備的系統(tǒng)功能SFl進(jìn)行開啟或關(guān)閉時,權(quán)限驗證模塊可根據(jù)當(dāng)前用戶的用戶名查找到當(dāng)前用戶的權(quán)限。
[0049]事實上,系統(tǒng)功能SFl的操作權(quán)限具體可以是劃分不同等級的權(quán)限,例如高級、中級和低級。相應(yīng)地,用戶的權(quán)限可以劃分為高級、中級和低級。由此,本步驟S203中權(quán)限驗證模塊將當(dāng)前用戶的權(quán)限與系統(tǒng)功能SFl的操作權(quán)限進(jìn)行比較,也就是確定當(dāng)前用戶的權(quán)限是否低于系統(tǒng)功能SFl的操作權(quán)限。
[0050]此外,系統(tǒng)功能SFl的操作權(quán)限也可以是劃分不同種類的權(quán)限,例如A類、B類、C類。相應(yīng)地,用戶的權(quán)限也可以劃分為A類、B類、C類。由此,本步驟S203中權(quán)限驗證模塊將當(dāng)前用戶的權(quán)限與系統(tǒng)功能SFl的操作權(quán)限進(jìn)行比較,也就是確定當(dāng)前用戶的權(quán)限是否與系統(tǒng)功能SFl的操作權(quán)限相同。
[0051]S204:權(quán)限驗證模塊根據(jù)比較結(jié)果,允許System server進(jìn)程對攔截到的請求進(jìn)行響應(yīng)、或拒絕攔截到的請求。
[0052]例如,對于上述系統(tǒng)功能SFl的操作權(quán)限劃分為高級、中級和低級的情況,若比較結(jié)果為當(dāng)前用戶的權(quán)限低于系統(tǒng)功能SFl的操作權(quán)限,則權(quán)限驗證模塊直接拒絕攔截到的請求;若比較結(jié)果為當(dāng)前用戶的權(quán)限不低于系統(tǒng)功能SFl的操作權(quán)限,則權(quán)限驗證模塊允許System server進(jìn)程對攔截到的請求進(jìn)行響應(yīng)。比如,若當(dāng)前用戶的權(quán)限為高級,系統(tǒng)功能SFl的操作權(quán)限為中級,則權(quán)限驗證模塊允許System server進(jìn)程對攔截到的請求進(jìn)行響應(yīng);若當(dāng)前用戶的權(quán)限為低級,系統(tǒng)功能SFl的操作權(quán)限為中級,則權(quán)限驗證模塊直接拒絕攔截到的請求。從而,本發(fā)明可實現(xiàn)對多個用戶使用的終端設(shè)備的系統(tǒng)功能的管控,可以禁止一些權(quán)限較低的用戶對終端設(shè)備的系統(tǒng)功能進(jìn)行設(shè)置。
[0053]再如,對于上述系統(tǒng)功能SFl的操作權(quán)限劃分為A類、B類、C類的情況,若比較結(jié)果為當(dāng)前用戶的權(quán)限與系統(tǒng)功能SFl的操作權(quán)限不同(即種類不同),則權(quán)限驗證模塊直接拒絕攔截到的請求;若比較結(jié)果為當(dāng)前用戶的權(quán)限與系統(tǒng)功能SFl的操作權(quán)限相同(即種類相同),則權(quán)限驗證模塊允許System server進(jìn)程對攔截到的請求進(jìn)行響應(yīng)。比如,若當(dāng)前用戶的權(quán)限為A類,系統(tǒng)功能SFl的操作權(quán)限為A類,則權(quán)限驗證模塊允許Systemserver進(jìn)程對攔截到的請求進(jìn)行響應(yīng);若當(dāng)前用戶的權(quán)限為B類,系統(tǒng)功能SFl的操作權(quán)限為A類,則權(quán)限驗證模塊直接拒絕攔截到的請求。從而,本發(fā)明可實現(xiàn)對多個用戶使用的終端設(shè)備的系統(tǒng)功能的管控,可以禁止一些非授權(quán)用戶對終端設(shè)備的系統(tǒng)功能進(jìn)行設(shè)置。
[0054]在權(quán)限驗證模塊允許System server進(jìn)程對攔截到的請求進(jìn)行響應(yīng)后,將該請求傳遞給System server進(jìn)程;由System server進(jìn)程對該請求進(jìn)行處理,對系統(tǒng)功能SFl進(jìn)行開啟或關(guān)閉的操作。
[0055]在底層實現(xiàn)方面,上述圖2所示的方法就是:具體地,System server進(jìn)程接收到用戶發(fā)送的開啟或關(guān)閉請求后,便調(diào)用fake I/O函數(shù)(即權(quán)限驗證模塊),fake I/O函數(shù)(即權(quán)限驗證模塊)解析當(dāng)前用戶發(fā)送的請求獲取相關(guān)系統(tǒng)功能涉及的開啟或關(guān)閉命令,根據(jù)當(dāng)前用戶的權(quán)限與系統(tǒng)功能的操作權(quán)限的比較結(jié)果,確定是否需要對獲取的命令進(jìn)行修改,以指示出是對請求進(jìn)行處理還是拒絕。例如,用戶關(guān)閉wifi操作時,向System server進(jìn)程發(fā)送wifi關(guān)閉請求,fake I/O函數(shù)解析wifi關(guān)閉請求得到wifi的關(guān)閉命令,如判斷出當(dāng)前用戶不具有關(guān)閉wifi的權(quán)限,則fake I/O函數(shù)(即權(quán)限驗證模塊)返回wifi的開啟命令值,即表明拒絕wifi的關(guān)閉請求;如判斷出當(dāng)前用戶具有關(guān)閉wifi的權(quán)限,則fake I/O函數(shù)(即權(quán)限驗證模塊)返回wifi的關(guān)閉命令值,以指示System server進(jìn)程進(jìn)行wifi的關(guān)閉處理操作。例如,O表示關(guān)閉命令值,I表示開啟命令值。
[0056]基于上述的終端設(shè)備的系統(tǒng)功能的管控方法,本發(fā)明實施例提供的終端設(shè)備中的系統(tǒng)功能的管控裝置的內(nèi)部結(jié)構(gòu)示意圖,如圖3a、3b所示,包括:預(yù)先注入于終端設(shè)備的System server進(jìn)程中的權(quán)限驗證模塊301。
[0057]權(quán)限驗證模塊301預(yù)先注入于終端設(shè)備的進(jìn)程中,用于攔截到發(fā)送至Systemserver進(jìn)程的系統(tǒng)功能的開啟或關(guān)閉請求后,從權(quán)限配置文件中查找到該系統(tǒng)功能的操作權(quán)限;并將當(dāng)前用戶的權(quán)限與該系統(tǒng)功能的操作權(quán)限進(jìn)行比較;根據(jù)比較結(jié)果,允許System server進(jìn)程對攔截到的請求進(jìn)行響應(yīng)、或拒絕攔截到的請求。即權(quán)限驗證模塊301根據(jù)比較結(jié)果,在允許System server進(jìn)程對攔截到的請求進(jìn)行響應(yīng)時,將攔截到的請求傳遞給System server進(jìn)程,由System server進(jìn)程對該請求進(jìn)行處理,對所請求的系統(tǒng)功能進(jìn)行開啟或關(guān)閉的操作。
[0058]進(jìn)一步,管控裝置還可包括:注入模塊(圖中未標(biāo))。
[0059]注入模塊用于獲取終端設(shè)備的root權(quán)限后,將權(quán)限驗證模塊301注入到Systemserver進(jìn)程中。
[0060]此外,如圖3a所示,上述的管控裝置還可包括:權(quán)限配置模塊303 ;權(quán)限配置模塊303用于接收在終端設(shè)備顯示的配置界面輸入的信息,并將接收的信息存儲到權(quán)限配置文件中。
[0061]或者,如圖3b所示,上述的管控裝置還可包括:權(quán)限配置文件下載模塊304。
[0062]權(quán)限配置文件下載模塊403用于從終端設(shè)備管理服務(wù)器下載權(quán)限配置文件。
[0063]上述裝置中的各模塊的具體功能可參考上述圖1、2所示方法流程的各步驟中的具體實現(xiàn)方法。
[0064]綜上所述,本發(fā)明通過在終端設(shè)備的系統(tǒng)服務(wù)進(jìn)程中注入的權(quán)限驗證模塊對系統(tǒng)功能的開啟或關(guān)閉請求進(jìn)行攔截,并根據(jù)當(dāng)前用戶的權(quán)限與配置的系統(tǒng)功能的操作權(quán)限的比較結(jié)果,允許系統(tǒng)服務(wù)進(jìn)程對攔截到的請求進(jìn)行響應(yīng)、或拒絕攔截到的請求。從而,本發(fā)明可以實現(xiàn)對多個用戶使用的終端設(shè)備的系統(tǒng)功能的管控,可以禁止一些權(quán)限較低的用戶或非授權(quán)用戶對系統(tǒng)功能的設(shè)置。
[0065]本【技術(shù)領(lǐng)域】技術(shù)人員可以理解,本發(fā)明包括涉及用于執(zhí)行本申請中所述操作中的一項或多項的設(shè)備。這些設(shè)備可以為所需的目的而專門設(shè)計和制造,或者也可以包括通用計算機中的已知設(shè)備。這些設(shè)備具有存儲在其內(nèi)的計算機程序,這些計算機程序選擇性地激活或重構(gòu)。這樣的計算機程序可以被存儲在設(shè)備(例如,計算機)可讀介質(zhì)中或者存儲在適于存儲電子指令并分別耦聯(lián)到總線的任何類型的介質(zhì)中,所述計算機可讀介質(zhì)包括但不限于任何類型的盤(包括軟盤、硬盤、光盤、⑶-ROM、和磁光盤)、R0M(Read-Only Memory,只讀存儲器)、RAM (Random Access Memory,隨即存儲器)、EPROM (Erasable ProgrammableRead-Only Memory,可擦寫可編程只讀存儲器)、EEPROM(ElectricalIy ErasableProgrammable Read-Only Memory,電可擦可編程只讀存儲器)、閃存、磁性卡片或光線卡片。也就是,可讀介質(zhì)包括由設(shè)備(例如,計算機)以能夠讀的形式存儲或傳輸信息的任何介質(zhì)。
[0066]本【技術(shù)領(lǐng)域】技術(shù)人員可以理解,可以用計算機程序指令來實現(xiàn)這些結(jié)構(gòu)圖和/或框圖和/或流圖中的每個框以及這些結(jié)構(gòu)圖和/或框圖和/或流圖中的框的組合。本【技術(shù)領(lǐng)域】技術(shù)人員可以理解,可以將這些計算機程序指令提供給通用計算機、專業(yè)計算機或其他可編程數(shù)據(jù)處理方法的處理器來實現(xiàn),從而通過計算機或其他可編程數(shù)據(jù)處理方法的處理器來執(zhí)行本發(fā)明公開的結(jié)構(gòu)圖和/或框圖和/或流圖的框或多個框中指定的方案。
[0067]本【技術(shù)領(lǐng)域】技術(shù)人員可以理解,本發(fā)明中已經(jīng)討論過的各種操作、方法、流程中的步驟、措施、方案可以被交替、更改、組合或刪除。進(jìn)一步地,具有本發(fā)明中已經(jīng)討論過的各種操作、方法、流程中的其他步驟、措施、方案也可以被交替、更改、重排、分解、組合或刪除。進(jìn)一步地,現(xiàn)有技術(shù)中的具有與本發(fā)明中公開的各種操作、方法、流程中的步驟、措施、方案也可以被交替、更改、重排、分解、組合或刪除。
[0068]以上所述僅是本發(fā)明的部分實施方式,應(yīng)當(dāng)指出,對于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤飾,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍。
【權(quán)利要求】
1.一種終端設(shè)備中系統(tǒng)功能的管控方法,其特征在于,包括: 預(yù)先注入到系統(tǒng)服務(wù)進(jìn)程中的權(quán)限驗證模塊攔截到系統(tǒng)功能的開啟或關(guān)閉請求后,從權(quán)限配置文件中查找到所述系統(tǒng)功能的操作權(quán)限; 所述權(quán)限驗證模塊將當(dāng)前用戶的權(quán)限與所述系統(tǒng)功能的操作權(quán)限進(jìn)行比較;根據(jù)比較結(jié)果,允許所述系統(tǒng)服務(wù)進(jìn)程對所述請求進(jìn)行響應(yīng)、或拒絕所述請求。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述權(quán)限驗證模塊具體根據(jù)如下方法注入到所述系統(tǒng)服務(wù)進(jìn)程中: 獲取所述終端設(shè)備的root權(quán)限; 在所述root權(quán)限下,將所述權(quán)限驗證模塊注入到所述系統(tǒng)服務(wù)進(jìn)程中。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述將所述權(quán)限驗證模塊注入到所述系統(tǒng)服務(wù)進(jìn)程,具體包括: 暫停系統(tǒng)服務(wù)進(jìn)程; 將修改后的庫文件覆蓋原庫文件;其中,所述修改后的庫文件攜帶有所述權(quán)限驗證模塊,且所述權(quán)限驗證模塊作為所述修改后的庫文件中的接口函數(shù)。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,在所述權(quán)限驗證模塊攔截到系統(tǒng)功能的開啟或關(guān)閉請求之前,還包括: 所述系統(tǒng)服務(wù)進(jìn)程接收到所述系統(tǒng)功能的開啟或關(guān)閉請求后,調(diào)用作為所述接口函數(shù)的權(quán)限驗證模塊,并將所述請求發(fā)送給所述權(quán)限驗證模塊。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述權(quán)限配置文件是由終端設(shè)備管理服務(wù)器下發(fā)給所述終端設(shè)備的;或者 所述權(quán)限配置文件中的信息是通過所述終端設(shè)備顯示的配置界面輸入的。
6.根據(jù)權(quán)利要求1-5任一所述的方法,其特征在于,所述系統(tǒng)功能包括:藍(lán)牙、無線保真wif1、移動數(shù)據(jù)網(wǎng)絡(luò)。
7.—種終端設(shè)備中系統(tǒng)功能的管控裝置,其特征在于,包括: 權(quán)限驗證模塊,其預(yù)先注入于系統(tǒng)服務(wù)進(jìn)程中,用于攔截到系統(tǒng)功能的開啟或關(guān)閉請求后,從權(quán)限配置文件中查找到所述系統(tǒng)功能的操作權(quán)限;并將當(dāng)前用戶的權(quán)限與所述系統(tǒng)功能的操作權(quán)限進(jìn)行比較;根據(jù)比較結(jié)果,允許所述系統(tǒng)服務(wù)進(jìn)程對所述請求進(jìn)行響應(yīng)、或拒絕所述請求。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于,還包括: 注入模塊,用于獲取所述終端設(shè)備的root權(quán)限后,將所述權(quán)限驗證模塊注入到所述系統(tǒng)服務(wù)進(jìn)程中。
9.根據(jù)權(quán)利要求7或8所述的裝置,其特征在于,還包括: 權(quán)限配置模塊,用于接收在所述終端設(shè)備顯示的配置界面輸入的信息,并將接收的信息存儲到所述權(quán)限配置文件中。
10.根據(jù)權(quán)利要求7或8所述的裝置,其特征在于,還包括: 權(quán)限配置文件下載模塊,用于從終端設(shè)備管理服務(wù)器下載所述權(quán)限配置文件。
11.根據(jù)權(quán)利要求8-10任一所述的裝置,其特征在于,所述系統(tǒng)功能包括:藍(lán)牙、無線保真wif1、移動數(shù)據(jù)網(wǎng)絡(luò)。
12.—種終端設(shè)備,其特征在于,包括:如權(quán)利要求6-8任一所述的管控裝置。
【文檔編號】G06F21/31GK104239764SQ201410545016
【公開日】2014年12月24日 申請日期:2014年10月15日 優(yōu)先權(quán)日:2014年10月15日
【發(fā)明者】竇文科, 鹿亮 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司