本申請(qǐng)涉及網(wǎng)絡(luò)接入限制領(lǐng)域，尤其涉及一種控制應(yīng)用訪問(wèn)網(wǎng)絡(luò)的方法和系統(tǒng)。

背景技術(shù)：

隨著移動(dòng)設(shè)備的飛速發(fā)展，智能手機(jī)、平板電腦等移動(dòng)設(shè)備在企業(yè)中的使用也越來(lái)越廣泛。如何對(duì)移動(dòng)設(shè)備進(jìn)行集中管理和控制，是目前企業(yè)管理諸多問(wèn)題中比較關(guān)鍵的一個(gè)問(wèn)題。EMM(企業(yè)移動(dòng)管理)系統(tǒng)的產(chǎn)生，很好的解決了企業(yè)的這個(gè)難題。EMM是當(dāng)前企業(yè)在移動(dòng)信息化運(yùn)營(yíng)過(guò)程中，可以借助的重要管理平臺(tái)，從而可完成對(duì)企業(yè)應(yīng)用的部署、管控。前面所稱管理平臺(tái)，是管理員管理和操作EMM系統(tǒng)的操作界面，屬于服務(wù)器端的一部分。

然而，移動(dòng)設(shè)備的普及使人們更方便地使用互聯(lián)網(wǎng)，但是在很多情況下需要限制使用網(wǎng)絡(luò)，比如在涉密的場(chǎng)所；再比如，在召開(kāi)重要會(huì)議時(shí)，如果大家在會(huì)議期間通過(guò)微信、QQ等使用網(wǎng)絡(luò)，非常影響會(huì)議的質(zhì)量和效果。面對(duì)這種情況，如何靈活的控制應(yīng)用使用網(wǎng)絡(luò)的問(wèn)題，擺在我們面前。

對(duì)于限制使用網(wǎng)絡(luò)，一般是關(guān)閉WiFi熱點(diǎn)、屏蔽信號(hào)，但是這種解決方法是“一刀切”的辦法，可以解決一部分情況；但是在移動(dòng)終端上的某些應(yīng)用需要上網(wǎng)，而要限制其他應(yīng)用上網(wǎng)的情況，上面的解決辦法就不可行了。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)的目標(biāo)在于提供一種靈活控制移動(dòng)設(shè)備上的應(yīng)用訪問(wèn)網(wǎng)絡(luò)的方法和系統(tǒng)。

本申請(qǐng)的目標(biāo)由一種控制應(yīng)用訪問(wèn)網(wǎng)絡(luò)的方法實(shí)現(xiàn)，該方法包括：

使企業(yè)移動(dòng)管理EMM客戶端接收或拉取應(yīng)用訪問(wèn)網(wǎng)絡(luò)的管控策略；

響應(yīng)于滿足所述管控策略包含的條件，使EMM客戶端將所述管控策略包含的網(wǎng)絡(luò)管控參數(shù)傳給網(wǎng)絡(luò)權(quán)限控制模塊；

所述網(wǎng)絡(luò)權(quán)限控制模塊調(diào)用底層的網(wǎng)絡(luò)模塊接口并將所述網(wǎng)絡(luò)管控參數(shù)傳入所述網(wǎng)絡(luò)模塊；

所述網(wǎng)絡(luò)模塊根據(jù)所述網(wǎng)絡(luò)管控參數(shù)生成防火墻規(guī)則并將所述防火墻規(guī)則寫(xiě)入系統(tǒng)內(nèi)核。

根據(jù)本申請(qǐng)方法的一方面，該方法還包括：

所述EMM客戶端在接收或拉取所述管控策略之后，驗(yàn)證所述管控策略是否是分發(fā)給所述EMM客戶端所在設(shè)備的管控策略。

根據(jù)本申請(qǐng)方法的一方面，該方法還包括：

所述網(wǎng)絡(luò)權(quán)限控制模塊在接收到所述網(wǎng)絡(luò)管控參數(shù)之后，對(duì)所述網(wǎng)絡(luò)管控參數(shù)進(jìn)行合法性校驗(yàn)。

根據(jù)本申請(qǐng)方法的一方面，該方法還包括：

響應(yīng)于所述管控策略包含的條件不再被滿足，解除所述管控策略對(duì)應(yīng)的管控。

本申請(qǐng)的目標(biāo)還由一種控制應(yīng)用訪問(wèn)網(wǎng)絡(luò)的系統(tǒng)實(shí)現(xiàn)，該系統(tǒng)包括：

策略接收模塊，用于使企業(yè)移動(dòng)管理EMM客戶端接收或拉取應(yīng)用訪問(wèn)網(wǎng)絡(luò)的管控策略；

網(wǎng)絡(luò)權(quán)限控制模塊接口調(diào)用模塊，用于響應(yīng)于滿足所述管控策略包含的條件，使EMM客戶端將所述管控策略包含的網(wǎng)絡(luò)管控參數(shù)傳給網(wǎng)絡(luò)權(quán)限控制模塊；

網(wǎng)絡(luò)模塊接口調(diào)用模塊，用于使所述網(wǎng)絡(luò)權(quán)限控制模塊調(diào)用底層的網(wǎng)絡(luò)模塊接口并將所述網(wǎng)絡(luò)管控參數(shù)傳入所述網(wǎng)絡(luò)模塊；

防火墻規(guī)則生成模塊，用于使所述網(wǎng)絡(luò)模塊根據(jù)所述網(wǎng)絡(luò)管控參數(shù)生成防火墻規(guī)則并將所述防火墻規(guī)則寫(xiě)入系統(tǒng)內(nèi)核。

本發(fā)明通過(guò)EMM服務(wù)器配置相應(yīng)的管控策略，然后把管控策略下發(fā)到移動(dòng)終端，移動(dòng)終端上的EMM客戶端接收管控策略后，調(diào)用網(wǎng)絡(luò)權(quán)限控制模塊接口完成相關(guān)設(shè)置，從而實(shí)現(xiàn)根據(jù)管控者的配置靈活管控移動(dòng)終端的目的。管控策略可根據(jù)需要靈活配置。

例如，管理員首先根據(jù)需要，比如會(huì)議場(chǎng)景或者保密場(chǎng)景，梳理需求，配置管控策略，這里的管控策略是針對(duì)具體的一個(gè)或多個(gè)應(yīng)用，同時(shí)可以包含地理位置、時(shí)間規(guī)則，以及WiFi和移動(dòng)數(shù)據(jù)等網(wǎng)絡(luò)通道等配置；然后下發(fā)管控策略給具體的管控對(duì)象，如進(jìn)入第一會(huì)議室的移動(dòng)設(shè)備等。移動(dòng)設(shè)備接收到該管控策略后，會(huì)自動(dòng)的執(zhí)行。

本發(fā)明實(shí)現(xiàn)了基于應(yīng)用的細(xì)粒度管控，同時(shí)配置靈活的特性可以滿足多種使用場(chǎng)景，從而解決了企業(yè)信息化過(guò)程中遇到的基于應(yīng)用的細(xì)粒度的上網(wǎng)管控問(wèn)題。

附圖說(shuō)明

本發(fā)明將在下面參考附圖并結(jié)合優(yōu)選實(shí)施例進(jìn)行更完全地說(shuō)明。

圖1為根據(jù)本發(fā)明方法的一實(shí)施例的流程圖。

圖2為根據(jù)本發(fā)明系統(tǒng)的一實(shí)施例的結(jié)構(gòu)示意圖。

為清晰起見(jiàn)，這些附圖均為示意性及簡(jiǎn)化的圖，它們只給出了對(duì)于理解本發(fā)明所必要的細(xì)節(jié)，而省略其他細(xì)節(jié)。

具體實(shí)施方式

通過(guò)下面給出的詳細(xì)描述，本發(fā)明的適用范圍將顯而易見(jiàn)。然而，應(yīng)當(dāng)理解，在詳細(xì)描述和具體例子表明本發(fā)明優(yōu)選實(shí)施例的同時(shí)，它們僅為說(shuō)明目的給出。

圖1示出了根據(jù)本發(fā)明方法一實(shí)施例的流程圖，該方法用于控制移動(dòng)設(shè)備上的應(yīng)用訪問(wèn)網(wǎng)絡(luò)，該方法包括：在步驟S10，使移動(dòng)設(shè)備上的EMM客戶端從EMM服務(wù)器接收或拉取應(yīng)用訪問(wèn)網(wǎng)絡(luò)的管控策略。該管控策略由企業(yè)的管理員根據(jù)需要進(jìn)行配置。管控策略可包括下列內(nèi)容：

1、管控應(yīng)用列表：列出具體管控的應(yīng)用列表，接受管控的應(yīng)用可以是一個(gè)，也可以是多個(gè)。

2、網(wǎng)絡(luò)通道：WiFi管控和移動(dòng)數(shù)據(jù)管控，與具體的應(yīng)用相關(guān)，可以靈活組合。其中，WiFi管控，例如禁止通過(guò)WiFi上網(wǎng)，也可以配置成允許通過(guò)WiFi上網(wǎng)。移動(dòng)數(shù)據(jù)管控，例如禁止通過(guò)移動(dòng)數(shù)據(jù)上網(wǎng)，也可以配置成允許通過(guò)移動(dòng)數(shù)據(jù)上網(wǎng)。移動(dòng)數(shù)據(jù)是指4G、3G、2G等網(wǎng)絡(luò)連接類型。

3、附加規(guī)則：本說(shuō)明書(shū)中的附加規(guī)則是指對(duì)上網(wǎng)應(yīng)用管控的條件。有了附加規(guī)則的限制，使管控更靈活方便。附加規(guī)則可以根據(jù)需要選擇下面的一個(gè)或多個(gè)。

1)時(shí)間規(guī)則：根據(jù)時(shí)間段來(lái)配置管控策略，例如2016/5/27 10:00-11:00，在這個(gè)時(shí)間段內(nèi)接受管控；例如，根據(jù)某一天或者某幾天管控，比如周一到周五等；

2)位置規(guī)則：位置信息可以是GPS定位、通信基站等；

3)標(biāo)簽規(guī)則：標(biāo)簽可以表示具體的會(huì)議室、辦公大樓如第一會(huì)議室或者符合某個(gè)規(guī)則的集合如非工作日。

例如，如果有下列需求：在第一會(huì)議室里面的所有受控的移動(dòng)設(shè)備，在規(guī)定的時(shí)間內(nèi)(2016/5/27 10:00-11:00)，APP1和APP2不能使用WiFi和移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)。

根據(jù)上述的管控需求，可以配置如下管控策略：

-管控應(yīng)用：APP1、APP2；

-網(wǎng)絡(luò)通道：微信，禁止WiFi、禁止移動(dòng)數(shù)據(jù)；

QQ，禁止WiFi、禁止移動(dòng)數(shù)據(jù)；

-附加規(guī)則：時(shí)間規(guī)則，2016/5/27 10:00-11:00

標(biāo)簽規(guī)則，第一會(huì)議室

在EMM客戶端接收到管控策略之后，當(dāng)管控策略包含的條件被滿足時(shí)，在上面的例子中，即當(dāng)時(shí)間為2016/5/27 10:00且地點(diǎn)在第一會(huì)議室時(shí)，處理進(jìn)行到步驟S20，EMM客戶端在系統(tǒng)中作為系統(tǒng)服務(wù)將所述管控策略包含的網(wǎng)絡(luò)管控參數(shù)傳給網(wǎng)絡(luò)權(quán)限控制模塊。在此，網(wǎng)絡(luò)管控參數(shù)包括管控的應(yīng)用ID和各應(yīng)用對(duì)應(yīng)的管控網(wǎng)絡(luò)通道類型如wifi或者移動(dòng)數(shù)據(jù)等。之后，處理進(jìn)行到步驟S30，網(wǎng)絡(luò)權(quán)限控制模塊在接收到所述網(wǎng)絡(luò)管控參數(shù)之后，對(duì)所述網(wǎng)絡(luò)管控參數(shù)進(jìn)行合法性校驗(yàn)。如果校驗(yàn)通過(guò)，則處理進(jìn)行到步驟S40，網(wǎng)絡(luò)權(quán)限控制模塊調(diào)用底層的網(wǎng)絡(luò)模塊接口并將所述網(wǎng)絡(luò)管控參數(shù)傳入所述網(wǎng)絡(luò)模塊。這里，EMM客戶端不能直接調(diào)用網(wǎng)絡(luò)模塊接口，是因?yàn)榫W(wǎng)絡(luò)模塊是屬于底層的接口，沒(méi)有提供對(duì)外的接口調(diào)用方式。要想調(diào)用網(wǎng)絡(luò)模塊接口，必須通過(guò)網(wǎng)絡(luò)權(quán)限控制模塊的API調(diào)用來(lái)實(shí)現(xiàn)。之后，在步驟S50，網(wǎng)絡(luò)模塊根據(jù)所述網(wǎng)絡(luò)管控參數(shù)生成防火墻規(guī)則并將所述防火墻規(guī)則寫(xiě)入系統(tǒng)內(nèi)核，實(shí)現(xiàn)對(duì)應(yīng)用訪問(wèn)網(wǎng)絡(luò)的管控。如果在步驟S30，合法性校驗(yàn)未通過(guò)，則處理結(jié)束。

在其它實(shí)施例中，除圖1所示實(shí)施例所包含的步驟之外，還可包括下述一個(gè)或多個(gè)步驟。例如，EMM客戶端在接收或拉取所述管控策略之后，還包括驗(yàn)證所述管控策略是否是分發(fā)給EMM客戶端所在設(shè)備的管控策略。在實(shí)施例中，驗(yàn)證包括將所述管控策略包分發(fā)協(xié)議中包含的目的地設(shè)備ID與本地設(shè)備ID進(jìn)行比較。如果二者相等，則是分發(fā)給EMM客戶端所在的設(shè)備，然后可繼續(xù)執(zhí)行步驟S20；否則，處理結(jié)束。又例如，響應(yīng)于所述管控策略包含的條件不再被滿足，解除所述管控策略對(duì)應(yīng)的管控。具體地講，例如在上面的例子中，當(dāng)時(shí)間超過(guò)2016/5/27 11:00或者當(dāng)移動(dòng)設(shè)備不再處于第一會(huì)議室時(shí)，則表明不再滿足管控策略包含的條件，此時(shí)應(yīng)解除管控策略對(duì)應(yīng)的管控。解除管控所執(zhí)行的處理與步驟S20-S50類似，但在傳輸?shù)木W(wǎng)絡(luò)管控參數(shù)中，禁止/限制訪問(wèn)網(wǎng)絡(luò)的權(quán)限改變?yōu)殚_(kāi)啟相應(yīng)的網(wǎng)絡(luò)訪問(wèn)權(quán)限。例如，10:00-11:00時(shí)間內(nèi)不允許應(yīng)用app1使用網(wǎng)絡(luò)，那么EMM客戶端在10:00時(shí)調(diào)用網(wǎng)絡(luò)權(quán)限控制模塊接口，關(guān)閉應(yīng)用app1的網(wǎng)絡(luò)訪問(wèn)權(quán)限。在11:00時(shí)，調(diào)用網(wǎng)絡(luò)權(quán)限控制模塊接口，開(kāi)啟應(yīng)用app1的網(wǎng)絡(luò)訪問(wèn)權(quán)限。

圖2示出了根據(jù)本發(fā)明的控制應(yīng)用訪問(wèn)網(wǎng)絡(luò)的系統(tǒng)的一實(shí)施例的結(jié)構(gòu)示意圖，該系統(tǒng)包括：策略接收模塊10，用于使企業(yè)移動(dòng)管理EMM客戶端接收或拉取應(yīng)用訪問(wèn)網(wǎng)絡(luò)的管控策略；驗(yàn)證模塊20，用于使所述EMM客戶端在接收或拉取所述管控策略之后，驗(yàn)證所述管控策略是否是分發(fā)給所述EMM客戶端所在設(shè)備的管控策略；網(wǎng)絡(luò)權(quán)限控制模塊接口調(diào)用模塊30，用于響應(yīng)于滿足所述管控策略包含的條件，使EMM客戶端將所述管控策略包含的網(wǎng)絡(luò)管控參數(shù)傳給網(wǎng)絡(luò)權(quán)限控制模塊；校驗(yàn)?zāi)K40，用于使所述網(wǎng)絡(luò)權(quán)限控制模塊在接收到所述網(wǎng)絡(luò)管控參數(shù)之后，對(duì)所述網(wǎng)絡(luò)管控參數(shù)進(jìn)行合法性校驗(yàn)；網(wǎng)絡(luò)模塊接口調(diào)用模塊50，用于使所述網(wǎng)絡(luò)權(quán)限控制模塊調(diào)用底層的網(wǎng)絡(luò)模塊接口并將所述網(wǎng)絡(luò)管控參數(shù)傳入所述網(wǎng)絡(luò)模塊；防火墻規(guī)則生成模塊60，用于使所述網(wǎng)絡(luò)模塊根據(jù)所述網(wǎng)絡(luò)管控參數(shù)生成防火墻規(guī)則并將所述防火墻規(guī)則寫(xiě)入系統(tǒng)內(nèi)核；解除模塊70，響應(yīng)于所述管控策略包含的條件不再被滿足，解除所述管控策略對(duì)應(yīng)的管控。

除非明確指出，在此所用的單數(shù)形式“一”、“該”均包括復(fù)數(shù)含義(即具有“至少一”的意思)。應(yīng)當(dāng)進(jìn)一步理解，說(shuō)明書(shū)中使用的術(shù)語(yǔ)“具有”、“包括”和/或“包含”表明存在所述的特征、步驟、操作、元件和/或部件，但不排除存在或增加一個(gè)或多個(gè)其他特征、步驟、操作、元件、部件和/或其組合。如在此所用的術(shù)語(yǔ)“和/或”包括一個(gè)或多個(gè)列舉的相關(guān)項(xiàng)目的任何及所有組合。除非明確指出，在此公開(kāi)的任何方法的步驟不必精確按照所公開(kāi)的順序執(zhí)行。

一些優(yōu)選實(shí)施例已經(jīng)在前面進(jìn)行了說(shuō)明，但是應(yīng)當(dāng)強(qiáng)調(diào)的是，本發(fā)明不局限于這些實(shí)施例，而是可以本發(fā)明主題范圍內(nèi)的其它方式實(shí)現(xiàn)。