用于應(yīng)用安全策略的終端和服務(wù)器及其控制方法
【專利摘要】公開了用于應(yīng)用安全策略的終端和服務(wù)器及其控制方法。一種通過使用移動(dòng)設(shè)備管理(MDM)解決方案操作終端的方法包括:安裝應(yīng)用程序;通過從企業(yè)許可證管理(ELM)服務(wù)器接收的許可證密鑰請(qǐng)求注冊(cè);接收與許可證密鑰對(duì)應(yīng)并包括權(quán)限列表的版權(quán)對(duì)象(R/O);基于包括在接收的R/O中的權(quán)限列表設(shè)置至少一種權(quán)限;執(zhí)行設(shè)置的權(quán)限。一種使用MDM的終端包括:MDM應(yīng)用程序,被構(gòu)造為控制安裝的應(yīng)用程序獲得所需的權(quán)限;ELM代理,被構(gòu)造為通過來自ELM服務(wù)器的許可證密鑰請(qǐng)求注冊(cè),并接收與許可證密鑰對(duì)應(yīng)并包括權(quán)限列表的R/O;ELM權(quán)限執(zhí)行器,被構(gòu)造為基于包括在接收的R/O中的權(quán)限列表設(shè)置至少一種權(quán)限。
【專利說明】用于應(yīng)用安全策略的終端和服務(wù)器及其控制方法
【技術(shù)領(lǐng)域】
[0001]本公開涉及一種用于應(yīng)用安全策略的終端和服務(wù)器及其控制方法。更具體地講,本公開涉及一種可通過移動(dòng)設(shè)備管理(MDM)應(yīng)用安全策略的終端和服務(wù)器及其控制方法。
【背景技術(shù)】
[0002]近年來,智能電話、平板個(gè)人電腦(PC)和便攜式電子裝置已得到廣泛的使用,并且也已經(jīng)開發(fā)相關(guān)的技術(shù)。相應(yīng)地,在企業(yè)中的工人攜帶著智能電話或平板PC頻繁地進(jìn)出商業(yè)場所。由于這一點(diǎn),企業(yè)建立各種安全策略以解決安全問題(諸如,通過智能電話或平板PC的信息泄漏),并且為了實(shí)現(xiàn)建立的安全策略而研究解決方案或服務(wù)。作為用于實(shí)現(xiàn)安全策略的解決方案,移動(dòng)設(shè)備管理(MDM)解決方案限制存儲(chǔ)在智能電話或平板PC中的應(yīng)用程序的權(quán)限。
[0003]根據(jù)各種實(shí)施例,當(dāng)為應(yīng)用程序提供應(yīng)用程序編程接口(API)時(shí),安卓(Android)平臺(tái)可以設(shè)置權(quán)限。例如,當(dāng)安裝新的應(yīng)用程序時(shí),應(yīng)用程序可以從安卓平臺(tái)請(qǐng)求用于相機(jī)功能的API或者用于藍(lán)牙功能的API。
[0004]同時(shí),使用MDM解決方案的企業(yè)可以建立用于限制特定功能(例如,相機(jī)功能)的安
全策略。
[0005]當(dāng)提供API時(shí),安卓平臺(tái)使用四種防護(hù)等級(jí),即,“普通”防護(hù)等級(jí)、“危險(xiǎn)”防護(hù)等級(jí)、“簽名”防護(hù)等級(jí)和“簽名或系統(tǒng)(signatureOrSystem)”防護(hù)等級(jí)。為了讓應(yīng)用程序獲得對(duì)在“簽名”防護(hù)等級(jí)下的特定的API或者功能的使用權(quán)限,聲明權(quán)限的應(yīng)用程序的證書應(yīng)該與定義相應(yīng)的權(quán)限的應(yīng)用程序的證書一致。當(dāng)聲明權(quán)限的應(yīng)用程序的證書與定義相應(yīng)的權(quán)限的應(yīng)用程序的證書一致時(shí),可以從安卓平臺(tái)自動(dòng)授予應(yīng)用程序要求的所有權(quán)限。保留授予的權(quán)限直到刪除應(yīng)用程序,在這種情況下,問題在于,授予方法在某種程度上是不變的。即,難以靈活地改變授予的權(quán)限。因此,即使在第三方解決方案獲得所有必要的權(quán)限之后與終端制造公司的合約終止或者合約的范圍改變,也無法改變授予的權(quán)限。
[0006]此外,當(dāng)特定的應(yīng)用程序用使用相同的簽名作為平臺(tái)時(shí),根據(jù)現(xiàn)有技術(shù)的MDM解決方案可能具有以下兩種安全問題。
[0007]1、使用平臺(tái)的證書簽名的應(yīng)用程序可以具有與預(yù)先加載到系統(tǒng)中的應(yīng)用程序的證書等同的權(quán)限。因此,除了用于MDM解決方案的API之外,對(duì)限定為通常不用于安卓的一些權(quán)限的限制可能是脆弱的。
[0008]2、在相應(yīng)的應(yīng)用程序被識(shí)別為是系統(tǒng)的一部分并且另外定義共享用戶標(biāo)識(shí)符(WD)的情況下,相應(yīng)的應(yīng)用程序可以獲得用于控制系統(tǒng)區(qū)的文件的權(quán)限,所述系統(tǒng)防止普通應(yīng)用程序或者用戶的訪問。
【發(fā)明內(nèi)容】
[0009]為了解決以上所討論的缺陷,主要目標(biāo)是,提供一種可通過與安全性相關(guān)的應(yīng)用程序或服務(wù)(諸如,可動(dòng)態(tài)授予權(quán)限的MDM解決方案)應(yīng)用安全策略的終端和服務(wù)器及其控制方法。
[0010]根據(jù)本公開的一方面,提供一種通過使用移動(dòng)設(shè)備管理(MDM)控制終端的方法。所述方法包括:安裝應(yīng)用程序;通過來自企業(yè)許可證管理(ELM)服務(wù)器的許可證密鑰請(qǐng)求注冊(cè);接收與許可證密鑰對(duì)應(yīng)并包括權(quán)限列表的版權(quán)對(duì)象(R/0);基于包括在接收的R/0中的權(quán)限列表設(shè)置權(quán)限;處理設(shè)置的權(quán)限。
[0011]根據(jù)本公開的另一方面,提供一種使用移動(dòng)設(shè)備管理(MDM)的終端。所述終端包括:控制器,安裝應(yīng)用程序;通信單元,通過來自企業(yè)許可證管理(ELM)服務(wù)器的許可證密鑰請(qǐng)求注冊(cè),并接收與許可證密鑰對(duì)應(yīng)并包括權(quán)限列表的版權(quán)對(duì)象(R/0),其中,所述控制器基于包括在接收的R/0中的權(quán)限列表設(shè)置權(quán)限,并獲得設(shè)置的權(quán)限。
[0012]根據(jù)本公開的另一方面,提供一種使用移動(dòng)設(shè)備管理(MDM)的終端。所述終端包括:MDM應(yīng)用程序,控制安裝的應(yīng)用程序獲得所需的權(quán)限;企業(yè)許可證管理(ELM)代理,通過來自ELM服務(wù)器的許可證密鑰請(qǐng)求注冊(cè),并接收與許可證密鑰對(duì)應(yīng)并包括權(quán)限列表的版權(quán)對(duì)象(R/0);ELM權(quán)限執(zhí)行器,基于包括在接收的R/0中的權(quán)限列表設(shè)置權(quán)限,并獲得設(shè)置的權(quán)限。
[0013]根據(jù)本公開的另一方面,提供一種控制提供移動(dòng)設(shè)備管理(MDM)的企業(yè)許可證管理(ELM)服務(wù)器的方法。所述方法包括:接收對(duì)用于MDM構(gòu)建的許可證密鑰的發(fā)送的請(qǐng)求;響應(yīng)于請(qǐng)求生成許可證密鑰,并將生成的許可證密鑰發(fā)送到用于MDM構(gòu)建的MDM供應(yīng)商;從使用MDM的終端接收關(guān)于通過許可證密鑰進(jìn)行注冊(cè)的查詢;當(dāng)從終端接收的許可證密鑰被確定為有效時(shí),將版權(quán)對(duì)象(R/0)發(fā)送到終端,其中,R/0包括使用MDM的終端可以分頁的權(quán)限的權(quán)限列表。
[0014]根據(jù)本公開 的另一方面,提供一種控制提供移動(dòng)設(shè)備管理(MDM)的MDM服務(wù)器的方法。所述方法包括:嵌入從提供MDM的企業(yè)許可證管理(ELM)服務(wù)器接收的許可證密鑰;建立并存儲(chǔ)MDM的安全策略;將許可證密鑰和安全策略中的至少一個(gè)發(fā)送到使用MDM的終端。
[0015]如上所述,本公開提供一種可通過與安全性相關(guān)的應(yīng)用程序或服務(wù)(諸如,可動(dòng)態(tài)授予權(quán)限的MDM解決方案)應(yīng)用安全策略的終端和服務(wù)器及其控制方法。因此,可以控制只提供給軟件開發(fā)工具包(SDK)的API,并且可以不授予平臺(tái)不愿意批準(zhǔn)的和所有其他權(quán)限。即,授予所有不必要的權(quán)限的可能性被排除,因此,可以防止使用API的第三方執(zhí)行具有不必要的系統(tǒng)級(jí)的權(quán)限的意外活動(dòng)。此外,在SDK API提供者并不信任第三方的情況下,可以支持用于撤消先前授予的權(quán)限的方法。
[0016]在進(jìn)行下面的【具體實(shí)施方式】之前,闡明在整個(gè)專利文檔中使用的詞匯和短語的定義可以是有利的:術(shù)語“包括”和“包含”以及其派生詞意味著包括而不是限制;術(shù)語“或”是包括的,意味著和/或;短語“與…相關(guān)”與“與此相關(guān)”以及其派生詞可意味著包括、包括在內(nèi)、與…互連、包含、包含在內(nèi)、連接到…或者與…連接、結(jié)合到…或者與…結(jié)合、與…溝通、與…配合、交錯(cuò)、并列、臨近、綁定到…或者與…綁定、具有、具有…性質(zhì)等;術(shù)語“控制器”意味著控制至少一種操作的任何裝置、系統(tǒng)或者其一部分,這樣的裝置可以以硬件、固件或軟件、或者其中的至少兩種的一些組合來實(shí)現(xiàn)。應(yīng)該注意的是,不論是本地或遠(yuǎn)程,與任何特定的控制器相關(guān)的功能可以是集中式或者分布式。整個(gè)本專利文檔提供了對(duì)于特定的詞匯和短語的定義,本領(lǐng)域普通技術(shù)人員應(yīng)該明白,在許多情況下,如果不是在大多數(shù)情 況下,這樣的定義適用于之前以及未來的這樣定義的詞匯和短語的用法。
【專利附圖】
【附圖說明】
[0017]為了更完整理解本公開及其優(yōu)點(diǎn),現(xiàn)在參考結(jié)合附圖的以下描述,其中,相同的標(biāo)號(hào)表不相同的部分;
[0018]圖1是不出根據(jù)本公開的實(shí)施例的移動(dòng)設(shè)備管理(MDM)解決方案的框圖;
[0019]圖2示出根據(jù)本公開的實(shí)施例的MDM解決方案;
[0020]圖3是示出根據(jù)本公開的實(shí)施例的終端的框圖;
[0021]圖4示出根據(jù)本公開的實(shí)施例的終端系統(tǒng)的結(jié)構(gòu);
[0022]圖5是示出根據(jù)本公開的實(shí)施例的終端的控制方法的流程圖;
[0023]圖6是示出根據(jù)本公開的實(shí)施例的服務(wù)器的控制方法的流程圖;
[0024]圖7是示出根據(jù)本公開的實(shí)施例的MDM服務(wù)器的控制方法的流程圖。
【具體實(shí)施方式】
[0025]以下討論的圖1至圖7以及用于在本專利文檔中描述本公開的原理的各種實(shí)施例只是以舉例的方式而不應(yīng)以任何限制本公開的范圍的方式來解釋。本領(lǐng)域技術(shù)人員應(yīng)該明白,本公開的原理可以通過任何適當(dāng)安排的電信技術(shù)來實(shí)現(xiàn)。以下,將參照附圖更具體地描述本公開的各種實(shí)施例。應(yīng)該注意的是,附圖中的相同的組件始終由相同的標(biāo)號(hào)來指定。在本公開的以下描述中,在可能使本公開的主題變得非常不清楚時(shí),將省略對(duì)這里包含的公知的功能和構(gòu)造的詳細(xì)描述。
[0026]圖1是不出根據(jù)本公開的實(shí)施例的移動(dòng)設(shè)備管理(MDM)解決方案的框圖。
[0027]參照?qǐng)D1,MDM解決方案可包括終端1、網(wǎng)關(guān)2、MDM服務(wù)器3、移動(dòng)注冊(cè)服務(wù)器4、數(shù)據(jù)庫服務(wù)器5、身份驗(yàn)證服務(wù)器6。
[0028]終端I可下載特定的應(yīng)用程序,并安裝下載的應(yīng)用程序。此外,終端I可基于操作系統(tǒng)(OS)被驅(qū)動(dòng),并且可基于OS驅(qū)動(dòng)方法來管理應(yīng)用程序。例如,終端I可基于各種OS驅(qū)動(dòng)方法(包括 Android、iOS、Blackberry, Windows Mobile、Symbian、Bada 等)來管理應(yīng)用程序。應(yīng)用程序可以是用于可在如上所述的各種操作系統(tǒng)中執(zhí)行的程序的通用術(shù)語。終端I可識(shí)別與應(yīng)用程序所需要的應(yīng)用程序編程接口(API)分頁相關(guān)的權(quán)限。同時(shí),終端I可基于由MDM服務(wù)器建立的安全策略來限制應(yīng)用程序所需的一些API權(quán)限被提供。因此,終端I的用戶在MDM解決方案之下不可使用應(yīng)用程序的一些功能,從而可以增強(qiáng)內(nèi)部安全。
[0029]同時(shí),終端I不會(huì)一直使用由MDM解決方案最初批準(zhǔn)的API權(quán)限。終端I可周期性地或非周期性地查詢終端制造企業(yè)的服務(wù)器許可證密鑰是否有效,這將在下面更具體地描述。終端I可基于根據(jù)許可證密鑰是否有效的響應(yīng)的版權(quán)對(duì)象(R/0)來重置將被批準(zhǔn)的API權(quán)限。因此,可動(dòng)態(tài)地設(shè)置權(quán)限。
[0030]終端I可實(shí)現(xiàn)為智能電話或者平板個(gè)人電腦(PC),下面將參照?qǐng)D3更具體地描述終端I的結(jié)構(gòu),。
[0031]終端I可執(zhí)行與網(wǎng)關(guān)2的通信。網(wǎng)關(guān)2可管理終端I和MDM服務(wù)器3之間的通信連接,并且可通過移動(dòng)虛擬專用網(wǎng)絡(luò)(VPN)和公眾移動(dòng)通信網(wǎng)絡(luò)來執(zhí)行連接。網(wǎng)關(guān)2可基于移動(dòng)VPN中的證書(互聯(lián)網(wǎng)協(xié)議安全(IPSec)通信加密)執(zhí)行終端I和MDM服務(wù)器3之間的通信連接的功能、身份驗(yàn)證、加密、通信加密和用戶身份驗(yàn)證。更具體地講,網(wǎng)關(guān)2可包括存儲(chǔ)電子簽名證書的存儲(chǔ)模塊、設(shè)置VPN策略的移動(dòng)VPN策略引擎、VPN驅(qū)動(dòng)代理、移動(dòng)VPN驅(qū)動(dòng)器等。
[0032]作為用于管理終端I的管理服務(wù),MDM服務(wù)器3可改變終端和其他與MDM相關(guān)的系統(tǒng)的環(huán)境設(shè)置,或者可應(yīng)用安全軟件的分配和補(bǔ)丁。更具體地講,MDM服務(wù)器3可存儲(chǔ)由管理員建立的安全策略。MDM服務(wù)器3可控制違反確定的安全策略的權(quán)限。例如,MDM服務(wù)器3可限制與相機(jī)相關(guān)API權(quán)限或者可監(jiān)控終端I的操作。
[0033]移動(dòng)注冊(cè)服務(wù)器4可執(zhí)行終端I的裝置注冊(cè)。例如,移動(dòng)注冊(cè)服務(wù)器4可在從終端I接收到對(duì)注冊(cè)的請(qǐng)求時(shí)執(zhí)行身份驗(yàn)證。
[0034]數(shù)據(jù)庫服務(wù)器5可存儲(chǔ)MDM服務(wù)器3管理的數(shù)據(jù)。更具體地講,數(shù)據(jù)庫服務(wù)器5可存儲(chǔ)MDM服務(wù)器3管理的終端I的狀態(tài)信息。例如,狀態(tài)信息可以是新安裝在終端I中的應(yīng)用程序和應(yīng)用程序所需要的權(quán)限信息。MDM服務(wù)器3可通過使用已從數(shù)據(jù)庫服務(wù)器5讀出的終端I的狀態(tài)信息進(jìn)行控制,以使違反安全策略的API權(quán)限不被提供。
[0035]如上所述,基于安全策略,終端I可不提供應(yīng)用程序需要的API權(quán)限中的一些。更具體地講,在確定許可證密鑰是否為有效時(shí),終端I不像現(xiàn)有技術(shù)中那樣保持設(shè)置的權(quán)限,并且可基于接收的R/0靈活地重置權(quán)限。
[0036]圖2示出根據(jù)本公開的實(shí)施例的MDM解決方案。MDM解決方案可包括MDM供應(yīng)商、門戶網(wǎng)站20、企業(yè)許可證管理(ELM)服務(wù)器30、MDM服務(wù)器41至44、企業(yè)46和終端100。
[0037]MDM供應(yīng)商10可通過使用由終端100的制造公司提供的MDM API來提供服務(wù),并且可以是構(gòu)建用于企業(yè)46的MDM解決方案的第三方。MDM供應(yīng)商還可以被稱為獨(dú)立軟件供應(yīng)商(ISV)。MDM供應(yīng)商10可基于由ELM服務(wù)器30提供的軟件開發(fā)工具包(SDK)構(gòu)建MDM解決方案,并且可將構(gòu)建的MDM解決方案嵌入到企業(yè)46的內(nèi)部服務(wù)器44或者云服務(wù)器41至43中,以使企業(yè)46使用構(gòu)建的MDM解決方案。下面將更具體地描述MDM解決方案的操作。
[0038]在操作I中,MDM供應(yīng)商10可基于想要構(gòu)建的MDM解決方案來選擇許可證密鑰選項(xiàng)。MDM供應(yīng)商10可通過例如各種方法(諸如門戶網(wǎng)站20)來應(yīng)用選擇的許可證密鑰選項(xiàng)。許可證密鑰選項(xiàng)可包括用于身份驗(yàn)證的密鑰、用于身份證明的密鑰、需要的SDK信息或者權(quán)限信息中的至少一種??蛇x擇地,許可密鑰選項(xiàng)還可以只包括用于身份驗(yàn)證或者身份證明的密鑰。
[0039]在操作2中,門戶網(wǎng)站20可以基于從MDM供應(yīng)商10接收的應(yīng)用程序來向ELM服務(wù)器30請(qǐng)求許可證密鑰。
[0040]在操作3中,ELM服務(wù)器30可基于接收的對(duì)許可證密鑰的請(qǐng)求來生成許可證密鑰。ELM服務(wù)器30可將生成的許可證密鑰發(fā)送到門戶網(wǎng)站20。許可證密鑰可包括將提供給MDM供應(yīng)商10的SDK信息或者權(quán)限信息中的至少一種。此外,許可證密鑰還可包括關(guān)于MDM供應(yīng)商10是否將使用MDM解決方案的信息。
[0041]在操作4中,門戶網(wǎng)站20可接收許可證密鑰,并將已接收的許可證密鑰和SDK中的至少一個(gè)發(fā)送到MDM供應(yīng)商10。
[0042]同時(shí),門戶網(wǎng)站20可包括獨(dú)立軟件供應(yīng)商(ISV)管理引擎21、SDK和許可證密鑰下載引擎22和技術(shù)支持引擎23。ISV管理引擎21可執(zhí)行與MDM供應(yīng)商10的通信。例如,ISV管理引擎21可從MDM供應(yīng)商接收許可證密鑰選項(xiàng),并將接收的許可證密鑰轉(zhuǎn)發(fā)到MDM供應(yīng)商10。SDK和許可證密鑰下載引擎22可從ELM服務(wù)器下載許可證密鑰。技術(shù)支持引擎23可控制門戶網(wǎng)站20的整體操作。
[0043]ELM服務(wù)器30可包括彈性負(fù)載均衡器(ELB)31、表述性狀態(tài)轉(zhuǎn)移(REST)API32、許可證管理33、門戶網(wǎng)站界面35和分析36。
[0044]作為彈性負(fù)載均衡器,ELB31可用于通過將任務(wù)適當(dāng)?shù)胤峙涞紼LM服務(wù)器內(nèi)的多個(gè)服務(wù)器中來防止過載。
[0045]REST API32不一定是命名為“REST”的消息,但是對(duì)應(yīng)于API,使用外部MDM解決方案加載的裝置可通過網(wǎng)絡(luò)將該API用作用于設(shè)計(jì)取決于授予名稱的資源(例如,以統(tǒng)一資源定位符(URL)、統(tǒng)一資源標(biāo)識(shí)符(URI)或者統(tǒng)一資源名稱(URN)的形式配置的資源)的松散耦合的網(wǎng)絡(luò)應(yīng)用程序的形式。
[0046]許可證管理33可以不同地利用發(fā)給各個(gè)供應(yīng)商許可證密鑰。
[0047]門戶網(wǎng)站界面35可用于與門戶網(wǎng)站通信。
[0048]分析36可從使用MDM的終端接收API使用信息的記錄(log)或者其他信息,并且可對(duì)這些信息進(jìn)行各種不同的分析。
[0049]管理員52可以管理ELM服務(wù)器30的許可證,此外,可以以B2B (企業(yè)對(duì)企業(yè))形式通過對(duì)與MDM供應(yīng)商10的合約的更新來管理許可證密鑰。例如,當(dāng)合約的內(nèi)容改變時(shí),管理員52可改變?cè)S可密鑰以重置將包括在R/0中的權(quán)限列表。
[0050]以下,將描述在以上描述的MDM解決方案的操作4之后的操作。
[0051]在操作5中,MDM供應(yīng)商10可將接收的許可證密鑰嵌入到MDM服務(wù)器41至44中。MDM服務(wù)器41至43可實(shí)現(xiàn)為云服務(wù)器,MDM服務(wù)器44可布置在企業(yè)46中。企業(yè)46可包括MDM服務(wù)器44,并管理進(jìn)入企業(yè)46的終端100-1、100-2和100-3。MDM服務(wù)器44可存儲(chǔ)由管理員45建立的安全策略。安全策略可包括特定的權(quán)限是否被批準(zhǔn)。
[0052]以下,將描述在以上描述的MDM解決方案的操作5之后的操作。
[0053]在操作6中,終端100可從企業(yè)46中的MDM服務(wù)器44或者云服務(wù)器41至43接收許可證密鑰和安全策略。
[0054]在操作7中,終端100可在使用MDM解決方案時(shí)查詢ELM服務(wù)器許可證密鑰是否有效,或者終端100可周期性地查詢ELM服務(wù)器許可證密鑰是否有效。終端100可請(qǐng)求在ELM服務(wù)器中注冊(cè)許可證密鑰。
[0055]在操作8中,ELM服務(wù)器30可將版權(quán)對(duì)象(R/0)發(fā)送到對(duì)應(yīng)的終端100,所述版權(quán)對(duì)象包括關(guān)于對(duì)應(yīng)的終端100可批準(zhǔn)的權(quán)限的信息。
[0056]在操作9中,終端100可將使用MDM解決方案的記錄發(fā)送到ELM服務(wù)器30。
[0057]在操作10中,ELM服務(wù)器30可通過各種方法將關(guān)于賬戶的統(tǒng)計(jì)信息發(fā)送到MDM供應(yīng)商 10-1、10-2 和 10-3。
[0058]終端100可設(shè)置在接收的R/0基礎(chǔ)上批準(zhǔn)的API權(quán)限。因此,當(dāng)用戶控制終端100時(shí),API權(quán)限中的一些可被限制。
[0059]以下,將參照?qǐng)D3描述終端,將參照?qǐng)D4描述終端100的操作。
[0060]圖3是根據(jù)本公開的實(shí)施例的終端的高級(jí)框圖。
[0061]參考圖3,終端100可通過使用移動(dòng)通信模塊120、子通信模塊130和連接器165與外部設(shè)備(未示出)連接。“外部設(shè)備”可包括不同的裝置(未示出)、移動(dòng)電話(未示出)、智能電話(未示出)、平板PC (未示出)和服務(wù)器(未示出)。
[0062]終端100可包括觸摸屏終端190和觸摸屏控制器195。此外,終端100可包括控制器110、移動(dòng)通信模塊120、子通信模塊130、多媒體模塊140、相機(jī)模塊150、GPS模塊155、輸入/輸出模塊160、傳感器模塊170、存儲(chǔ)單元175和電源單元180。子通信模塊130包括無線LAN模塊131和近場通信模塊132中的至少一個(gè),多媒體模塊140包括廣播通信模塊141、音頻再現(xiàn)模塊142和運(yùn)動(dòng)圖像再現(xiàn)模塊143中的至少一個(gè)。相機(jī)模塊150包括第一相機(jī)151和第二相機(jī)152中的至少一個(gè),輸入/輸出模塊160包括按鈕161、麥克風(fēng)162、揚(yáng)聲器163、振動(dòng)電機(jī)164、連接器165和鍵盤166中的至少一個(gè)。
[0063]控制器110可包括CPU111、R0M112和RAM113,在R0M112中存儲(chǔ)用于控制終端100的控制程序,RAMl 13存儲(chǔ)從終端100的外部輸入的信號(hào)或數(shù)據(jù),或者被用作用于在終端100中執(zhí)行的操作的存儲(chǔ)器區(qū)域。CPUlll可包括單核、雙核、三核或四核。CPU111、R0M112和RAMl 13可通過內(nèi)部總線相互連接。
[0064]控制器110可控制移動(dòng)通信模塊120、子通信模塊130、多媒體模塊140、相機(jī)模塊150、GPS模塊155、輸入/輸出模塊160、傳感器模塊170、存儲(chǔ)單元175、電源180、觸摸屏190和觸摸屏控制器195。
[0065]更具體地講,控制器110可基于在移動(dòng)通信模塊120或子通信模塊130中接收的許可證密鑰和安全策略來限制API權(quán)限。此外,控制器110可控制移動(dòng)通信模塊120或子通信模塊130請(qǐng)求注冊(cè)許可證密鑰。此外,控制器110可基于在移動(dòng)通信模塊120或子通信模塊130中接收的R/0來重置API權(quán)限的限制和批準(zhǔn)。
[0066]移動(dòng)通信模塊120根據(jù)控制器110的控制允許終端100通過使用一個(gè)或更多個(gè)天線(未示出)的移動(dòng)通信與外部設(shè)備連接。移動(dòng)通信模塊120可將用于語音通信、圖像通信、文本消息(SMS)或多媒體消息(MMS)的無線信號(hào)發(fā)送到電話號(hào)碼被輸入到終端100的便攜式電話(未示出)、智能電話(未示出)、平板PC或其他設(shè)備(未示出),或者可從便攜式電話(未示出)、智能電話(未示出)、平板PC或其他設(shè)備(未示出)接收用于語音通信、圖像通信、文本消息(SMS)或多媒體消息(MMS)的無線信號(hào)。
[0067]子通信模塊130可包括無線LAN模塊131和近場通信模塊132中的至少一個(gè)。例如,子通信模塊130可只包括無線LAN模塊131,只包括近場通信模塊132,或者包括無線LAN模塊131和近場通信模塊132 二者。
[0068]同時(shí),移動(dòng)通信模塊120或子通信模塊130還可被稱為通信單元。
[0069]無線LAN模塊131可根據(jù)控制器110的控制在安裝無線AP (接入點(diǎn))(未示出)的位置連接到互聯(lián)網(wǎng)。無線LAN模塊131支持電氣與電子工程師協(xié)會(huì)的無線LAN標(biāo)準(zhǔn)(IEEE802.llx)。近場通信模塊132可根據(jù)控制器110的控制無線地執(zhí)行終端100和成像設(shè)備(未示出)之間的局域網(wǎng)通信。例如,用于局域網(wǎng)通信的方案可包括藍(lán)牙方案、IrDA (紅外數(shù)據(jù)協(xié)會(huì))通信方案和Zig-bee方案。
[0070]根據(jù)性能,終端100可包括移動(dòng)通信模塊120、無線LAN模塊131和近場通信模塊132中的至少一個(gè)。例如,根據(jù)性能,終端100可包括移動(dòng)通信模塊120、無線LAN模塊131和近場通信模塊132的組合。
[0071]多媒體模塊140可包括廣播通信模塊141、音頻再現(xiàn)模塊142或運(yùn)動(dòng)圖像再現(xiàn)模塊143。廣播通信模塊141可根據(jù)控制器110的控制通過廣播通信天線(未示出)接收從廣播電臺(tái)發(fā)送的廣播信號(hào)(例如,TV廣播信號(hào)、無線電廣播信號(hào)或數(shù)據(jù)廣播信號(hào))或者廣播添加信息(例如,EPG (電子節(jié)目指南)或ESG (電子業(yè)務(wù)指南))。音頻再現(xiàn)模塊142可根據(jù)控制器110的控制再現(xiàn)存儲(chǔ)的或接收的數(shù)字音頻文件(例如,文件擴(kuò)展名為mp3、wma、ogg或wav的文件)。運(yùn)動(dòng)圖像再現(xiàn)模塊143可根據(jù)控制器110的控制再現(xiàn)存儲(chǔ)的或接收的數(shù)字運(yùn)動(dòng)圖像文件(例如,文件擴(kuò)展名為mpeg、mpg、mp4、av1、mov或mkv的文件)。運(yùn)動(dòng)圖像再現(xiàn)模塊143可再現(xiàn)數(shù)字音頻文件。
[0072]除了廣播通信模塊141之外,多媒體模塊140可包括音頻再現(xiàn)模塊142和運(yùn)動(dòng)圖像再現(xiàn)模塊143。此外,多媒體模塊140的音頻再現(xiàn)模塊142和運(yùn)動(dòng)圖像再現(xiàn)模塊143可包括在控制器110中。
[0073]相機(jī)模塊150可包括第一相機(jī)151和第二相機(jī)152中的至少一個(gè),它們中的每個(gè)根據(jù)控制器Iio的控制拍攝靜止圖像或運(yùn)動(dòng)圖像。此外,第一相機(jī)151或第二相機(jī)152可包括提供了拍攝所需的光量的輔助光源(例如,閃光燈(未示出))。第一相機(jī)151可設(shè)置在終端100的前表面,第二相機(jī)152可設(shè)置在終端100的后表面。以不同的方式,第一相機(jī)151和第二相機(jī)152可設(shè)置為彼此鄰近(例如,第一相機(jī)151和第二相機(jī)152之間的間隔大于I厘米或小于8厘米),因此可拍攝三維靜止圖像或三維視頻。
[0074]GPS模塊155可從多個(gè)全球軌道GPS衛(wèi)星(未示出)接收無線電波,并且可使用從GPS衛(wèi)星到終端100的無線電波的到達(dá)時(shí)間計(jì)算終端100的位置。
[0075]輸入/輸出模塊160可包括多個(gè)按鈕161、麥克風(fēng)162、揚(yáng)聲器163、振動(dòng)電機(jī)164、連接器165和鍵盤166中的至少一個(gè)。
[0076]按鈕161可形成于終端100的外殼的前表面、側(cè)表面或者后表面上,并且可包括電源/鎖定按鈕(未示出)、音量按鈕(未示出)、菜單按鈕、主頁按鈕、后退按鈕、搜索按鈕中的至少一個(gè)。
[0077]麥克風(fēng)162根據(jù)控制器110的控制接收語音或聲音的輸入以產(chǎn)生電信號(hào)。
[0078]揚(yáng)聲器163可根據(jù)控制器110的控制將分別與移動(dòng)通信模塊120、子通信模塊130、多媒體模塊140、相機(jī)模塊150的各種信號(hào)(例如,無線電信號(hào)、廣播信號(hào)、數(shù)字音頻文件、數(shù)字運(yùn)動(dòng)圖像文件或拍攝)對(duì)應(yīng)的聲音輸出到終端100的外部。揚(yáng)聲器163可輸出與通過終端100執(zhí)行的功能對(duì)應(yīng)的聲音(例如,與打電話對(duì)應(yīng)的按鈕操作聲音或者電話連接聲音)。一個(gè)或更多個(gè)揚(yáng)聲器163可形成于終端100的外殼的適當(dāng)?shù)奈恢没蚨鄠€(gè)位置。
[0079]振動(dòng)電機(jī)164可根據(jù)控制器110的控制將電信號(hào)轉(zhuǎn)換成機(jī)械振動(dòng)。例如,當(dāng)在振動(dòng)模式下的終端100從任何接其他設(shè)備接收語音電話時(shí),振動(dòng)電機(jī)164被操作??蓪⒁粋€(gè)或更多個(gè)振動(dòng)電機(jī)164設(shè)置在終端100的外殼中。振動(dòng)電機(jī)164可響應(yīng)于觸摸觸摸屏190的用戶的觸摸動(dòng)作和在觸摸屏190上的連續(xù)觸摸運(yùn)動(dòng)而被操作。
[0080]連接器165可用作使終端100和外部設(shè)備(未示出)或者電源(未示出)互相連接的接口。終端100可根據(jù)控制器110的控制通過連接到連接器165的有線電纜將存儲(chǔ)在終端100的存儲(chǔ)單元175中的數(shù)據(jù)發(fā)送到外部設(shè)備(未示出)或者從外部設(shè)備(未示出)接收數(shù)據(jù)。用戶終端100可通過連接到連接器165的有線電纜從電源(未示出)接收電力或者給電池充電(未不出使用電源)。
[0081]鍵盤166可從用戶接收鍵輸入以控制終端100。鍵盤166包括形成于終端100上的物理鍵盤(未示出)或者顯示在觸摸屏190上的虛擬鍵盤(未示出)。根據(jù)終端100的性能或配置,可省略形成于終端100上的物理鍵盤(未示出)。
[0082]傳感器模塊170可包括檢測終端100的狀態(tài)的至少一個(gè)傳感器。例如,傳感器模塊170可包括檢測用戶是否接近終端100的接近傳感器、檢測終端100周圍的光量的照度傳感器(未示出)或者檢測終端100的操作(例如,終端100的旋轉(zhuǎn)或者應(yīng)用于終端100的加速或振動(dòng))的運(yùn)動(dòng)傳感器(未示出)。至少一個(gè)傳感器可檢測狀態(tài),生成與檢測對(duì)應(yīng)的信號(hào),并將生成的信號(hào)發(fā)送到控制器110??筛鶕?jù)終端100的性能添加或省略傳感器模塊170中的傳感器。
[0083]存儲(chǔ)單元175可根據(jù)控制器110的控制存儲(chǔ)響應(yīng)于移動(dòng)通信模塊120、子通信模塊130、多媒體模塊140、相機(jī)模塊150、GPS模塊155、輸入/輸出模塊160、傳感器模塊170和觸摸屏190的操作輸入/輸出的信號(hào)或數(shù)據(jù)。存儲(chǔ)單元175可存儲(chǔ)用于控制終端100或者控制器110的控制程序和應(yīng)用程序。
[0084]術(shù)語“存儲(chǔ)單元”可包括存儲(chǔ)單元175、控制器110中的R0M112和RAM113或者安裝在終端100中的存儲(chǔ)卡(未示出)(例如,SD卡或記憶棒)。存儲(chǔ)單元可包括非易失性存儲(chǔ)器、易失性存儲(chǔ)器、HDD (硬盤驅(qū)動(dòng)器)或者SSD (固態(tài)驅(qū)動(dòng)器)。
[0085]電源單元180可根據(jù)控制器110的控制向設(shè)置在終端100的外殼中的一個(gè)或更多個(gè)電池(未示出)提供電力。一個(gè)或更多個(gè)電池(未示出)向終端100提供電力。此外,電源單元180可通過連接到連接器165的有線電纜向終端100提供從外部電源(未示出)輸入的電力。
[0086]觸摸屏190可向用戶提供與各種服務(wù)(例如,電話通信、數(shù)據(jù)傳輸、廣播、和拍攝照片)對(duì)應(yīng)的用戶界面。觸摸屏190可將與輸入到用戶界面的至少一個(gè)觸摸輸入對(duì)應(yīng)的模擬信號(hào)發(fā)送到觸摸屏控制器195。觸摸屏190可接收通過用戶的身體部分(例如,包括拇指的手指)或可觸摸的輸入裝置的至少一個(gè)觸摸。此外,觸摸屏190可接收至少一個(gè)觸摸中的一個(gè)觸摸的連續(xù)運(yùn)動(dòng)。觸摸屏190可將與觸摸輸入的連續(xù)運(yùn)動(dòng)對(duì)應(yīng)的模擬信號(hào)發(fā)送到觸摸屏控制器195。
[0087]根據(jù)本公開的觸摸不限于觸摸屏190和用戶的身體部分或者可觸摸的輸入裝置之間的觸摸,而是可包括非觸摸(例如,觸摸屏190和用戶的身體部分或者可觸摸的輸入裝置之間的可檢測的間隔等于或小于I毫米的情況)??筛鶕?jù)便攜式終端的功能或結(jié)構(gòu)來改變觸摸屏190的可檢測的間隔。
[0088]觸摸屏190可以以例如電阻式、電容式、紅外線式或者聲波式來實(shí)現(xiàn)。
[0089]觸摸屏控制器195將通過觸摸屏190接收的模擬信號(hào)轉(zhuǎn)換成數(shù)字信號(hào)(例如,X和Y坐標(biāo))并將數(shù)字信號(hào)發(fā)送到控制器110??刂破?10可通過使用從觸摸屏控制器195接收的數(shù)字信號(hào)來控制觸摸屏190。例如,控制器110可允許顯示在觸摸屏190上的快捷方式執(zhí)行圖標(biāo)(未示出)響應(yīng)于觸摸來被選擇或者執(zhí)行。此外,觸摸屏控制器195可包括在控制器110 中。
[0090]圖4示出根據(jù)本公開的實(shí)施例的終端系統(tǒng)的結(jié)構(gòu)。
[0091]終端系統(tǒng)結(jié)構(gòu)可包括Linux內(nèi)核401、安卓庫402、安卓運(yùn)行時(shí)間403、安卓框架419和應(yīng)用層410。終端系統(tǒng)結(jié)構(gòu)可與MDM服務(wù)器44和ELM服務(wù)器30連接。例如,終端系統(tǒng)結(jié)構(gòu)可定乂在圖2的終端100中。[0092]如圖4所示,應(yīng)用層410可包括移動(dòng)設(shè)備管理(MDM)應(yīng)用程序411和ELM代理412。安卓框架419可包括MDM框架413。MDM框架413可包括ELM模塊414,ELM模塊可包括ELMAPI415、ELM 權(quán)限實(shí)施器 416 和 ELM API 記錄器(logger) 417。
[0093]MDM應(yīng)用程序411可執(zhí)行與MDM服務(wù)器44的通信。例如,MDM應(yīng)用程序411可從MDM服務(wù)器44接收許可證密鑰和安全策略中的至少一個(gè)。例如,MDM應(yīng)用程序411可由構(gòu)建MDM服務(wù)器44的MDM供應(yīng)商(未示出)來構(gòu)建。MDM供應(yīng)商(未示出)可控制以使MDM應(yīng)用程序411安裝在進(jìn)入圖2中的企業(yè)46的終端100中。同時(shí),ELM代理412和MDM框架413可由ELM服務(wù)器30的管理員52來構(gòu)建。
[0094]MDM應(yīng)用程序411可通過MDM框架413將接收的許可證密鑰傳輸?shù)紼LM代理412。ELM代理412可將傳輸?shù)脑S可證密鑰發(fā)送到ELM服務(wù)器30。更具體地講,ELM代理412可向ELM服務(wù)器30查詢?cè)S可證密鑰是否有效。
[0095]ELM服務(wù)器30可判斷接收的許可證密鑰是否有效。例如,ELM服務(wù)器30可判斷與MDM供應(yīng)商10的合約是否有效,或者合約是否被改變?;谂袛嘟Y(jié)果,ELM服務(wù)器30可確定許可證密鑰是否有效。
[0096]當(dāng)許可證密鑰有效時(shí),ELM服務(wù)器30可將終端100注冊(cè)為對(duì)于MDM解決方案的使用有效的終端。ELM服務(wù)器30可將用于使用者權(quán)限的R/0發(fā)送到具有發(fā)送的有效許可證密鑰的ELM代理412。R/0可包括用于權(quán)限的限制或者批準(zhǔn)的權(quán)限列表。
[0097]ELM代理412可將R/0輸出到MDM框架413。ELM權(quán)限實(shí)施器416可通過分析輸入R/0的權(quán)限列表來設(shè)置MDM應(yīng)用程序411的權(quán)限。MDM應(yīng)用程序411可相應(yīng)地重置用于限制或者批準(zhǔn)的API權(quán)限。MDM應(yīng)用程序411可通過添加用于批準(zhǔn)的API權(quán)限或者用于限制的API權(quán)限來重置用于限制或者批準(zhǔn)的API權(quán)限。
[0098]例如,MDM應(yīng)用程序411可基于從MDM服務(wù)器44接收的安全策略來管理如表1中所示的初始權(quán)限列表。
[0099]表1
[0100]
【權(quán)利要求】
1.一種通過使用移動(dòng)設(shè)備管理(MDM)解決方案操作終端的方法,所述方法包括如下步驟: 安裝應(yīng)用程序; 通過從企業(yè)許可證管理(ELM)服務(wù)器接收的許可證密鑰請(qǐng)求注冊(cè); 接收與許可證密鑰對(duì)應(yīng)并包括權(quán)限列表的版權(quán)對(duì)象(R/0); 基于包括在接收的R/Ο中的權(quán)限列表設(shè)置至少一種權(quán)限; 執(zhí)行設(shè)置的權(quán)限。
2.根據(jù)權(quán)利要求1所述的方法,還包括如下步驟: 從MDM服務(wù)器接收許可證密鑰,并嵌入許可證密鑰,所述MDM服務(wù)器被構(gòu)造為從ELM服務(wù)器接收許可證密鑰。
3.根據(jù)權(quán)利要求2所述的方法,其中,從MDM服務(wù)器接收許可證密鑰的步驟包括: 連同許可證密鑰一起,接收在MDM服務(wù)器中建立的安全策略。
4.根據(jù)權(quán)利要求1所述的方法,其中,許可證密鑰包括:身份驗(yàn)證、身份證明、關(guān)于MDM服務(wù)器被構(gòu)造為批準(zhǔn)或者拒絕的權(quán)限的信息中的至少一個(gè)。
5.根據(jù)權(quán)利要求1所述的方法,所述方法還包括如下步驟: 基于設(shè)置的權(quán)限,對(duì)MD應(yīng)用程序編程接口(API)分頁。
6.一種使用移動(dòng)設(shè)備管理(MDM)解決方案的終端,所述終端包括: 控制器,被構(gòu)造為安裝應(yīng)用程序; 通信單元,被構(gòu)造為通過從企業(yè)許可證管理(ELM)服務(wù)器接收的許可證密鑰請(qǐng)求注冊(cè),并接收與許可證密鑰對(duì)應(yīng)并包括權(quán)限列表的版權(quán)對(duì)象(R/0), 其中,所述控制器被構(gòu)造為基于包括在接收的R/Ο中的權(quán)限列表設(shè)置至少一種權(quán)限。
7.根據(jù)權(quán)利要求6所述的終端,其中,通信單元被構(gòu)造為從MDM服務(wù)器接收許可證密鑰,并嵌入許可證密鑰,所述MDM服務(wù)器被構(gòu)造為從ELM服務(wù)器接收許可證密鑰。
8.根據(jù)權(quán)利要求7所述的終端,其中,通信單元被構(gòu)造為連同許可證密鑰一起接收在MDM服務(wù)器中建立的安全策略。
9.根據(jù)權(quán)利要求6所述的終端,其中,許可證密鑰包括:身份驗(yàn)證、身份證明、關(guān)于MDM服務(wù)器批準(zhǔn)或者限制的權(quán)限的信息中的至少一個(gè)。
10.根據(jù)權(quán)利要求6所述的終端,其中,控制器被構(gòu)造為基于設(shè)置的權(quán)限對(duì)MD應(yīng)用程序編程接口(API)分頁。
11.一種操作提供移動(dòng)設(shè)備管理(MDM)解決方案的企業(yè)許可證管理(ELM)服務(wù)器的方法,所述方法包括如下步驟: 接收對(duì)用于MDM構(gòu)造的許可證密鑰的發(fā)送的請(qǐng)求; 響應(yīng)于請(qǐng)求生成許可證密鑰,并將生成的許可證密鑰發(fā)送到用于MDM構(gòu)造的MDM供應(yīng)商; 從使用MDM的終端接收關(guān)于通過許可證密鑰進(jìn)行注冊(cè)的查詢; 當(dāng)從終端接收的許可證密鑰被確定為有效時(shí),將版權(quán)對(duì)象(R/Ο)發(fā)送到終端,其中,R/0包括可以使用MDM的終端分頁的權(quán)限的列表。
12.根據(jù)權(quán)利要求11所述的方法,其中,許可證密鑰包括:身份驗(yàn)證、身份證明、關(guān)于MDM服務(wù)器批準(zhǔn)或者限制的權(quán)限的信息中的至少一個(gè)。
【文檔編號(hào)】G06F21/35GK104008324SQ201410062721
【公開日】2014年8月27日 申請(qǐng)日期:2014年2月24日 優(yōu)先權(quán)日:2013年2月22日
【發(fā)明者】任昶賢, 俞錫滿, 黃皙俊, 金碤圭, 白宗承, 張東鎬 申請(qǐng)人:三星電子株式會(huì)社