用于應用安全策略的終端和服務器及其控制方法
【專利摘要】公開了用于應用安全策略的終端和服務器及其控制方法。一種通過使用移動設備管理(MDM)解決方案操作終端的方法包括:安裝應用程序���;通過從企業(yè)許可證管理(ELM)服務器接收的許可證密鑰請求注冊����;接收與許可證密鑰對應并包括權限列表的版權對象(R/O);基于包括在接收的R/O中的權限列表設置至少一種權限����;執(zhí)行設置的權限���。一種使用MDM的終端包括:MDM應用程序��,被構造為控制安裝的應用程序獲得所需的權限�����;ELM代理����,被構造為通過來自ELM服務器的許可證密鑰請求注冊�����,并接收與許可證密鑰對應并包括權限列表的R/O;ELM權限執(zhí)行器�,被構造為基于包括在接收的R/O中的權限列表設置至少一種權限�。
【專利說明】用于應用安全策略的終端和服務器及其控制方法
【技術領域】
[0001]本公開涉及一種用于應用安全策略的終端和服務器及其控制方法。更具體地講���,本公開涉及一種可通過移動設備管理(MDM)應用安全策略的終端和服務器及其控制方法。
【背景技術】
[0002]近年來����,智能電話���、平板個人電腦(PC)和便攜式電子裝置已得到廣泛的使用��,并且也已經開發(fā)相關的技術����。相應地�,在企業(yè)中的工人攜帶著智能電話或平板PC頻繁地進出商業(yè)場所�����。由于這一點����,企業(yè)建立各種安全策略以解決安全問題(諸如�����,通過智能電話或平板PC的信息泄漏)�����,并且為了實現建立的安全策略而研究解決方案或服務。作為用于實現安全策略的解決方案��,移動設備管理(MDM)解決方案限制存儲在智能電話或平板PC中的應用程序的權限����。
[0003]根據各種實施例����,當為應用程序提供應用程序編程接口(API)時,安卓(Android)平臺可以設置權限。例如��,當安裝新的應用程序時���,應用程序可以從安卓平臺請求用于相機功能的API或者用于藍牙功能的API�。
[0004]同時���,使用MDM解決方案的企業(yè)可以建立用于限制特定功能(例如,相機功能)的安
全策略。
[0005]當提供API時����,安卓平臺使用四種防護等級�����,即��,“普通”防護等級����、“危險”防護等級���、“簽名”防護等級和“簽名或系統(signatureOrSystem)”防護等級。為了讓應用程序獲得對在“簽名”防護等級下的特定的API或者功能的使用權限,聲明權限的應用程序的證書應該與定義相應的權限的應用程序的證書一致��。當聲明權限的應用程序的證書與定義相應的權限的應用程序的證書一致時,可以從安卓平臺自動授予應用程序要求的所有權限����。保留授予的權限直到刪除應用程序��,在這種情況下�����,問題在于���,授予方法在某種程度上是不變的�。即����,難以靈活地改變授予的權限�����。因此����,即使在第三方解決方案獲得所有必要的權限之后與終端制造公司的合約終止或者合約的范圍改變,也無法改變授予的權限����。
[0006]此外,當特定的應用程序用使用相同的簽名作為平臺時,根據現有技術的MDM解決方案可能具有以下兩種安全問題�。
[0007]1��、使用平臺的證書簽名的應用程序可以具有與預先加載到系統中的應用程序的證書等同的權限。因此���,除了用于MDM解決方案的API之外�,對限定為通常不用于安卓的一些權限的限制可能是脆弱的�����。
[0008]2�、在相應的應用程序被識別為是系統的一部分并且另外定義共享用戶標識符(WD)的情況下,相應的應用程序可以獲得用于控制系統區(qū)的文件的權限�,所述系統防止普通應用程序或者用戶的訪問����。
【發(fā)明內容】
[0009]為了解決以上所討論的缺陷,主要目標是��,提供一種可通過與安全性相關的應用程序或服務(諸如,可動態(tài)授予權限的MDM解決方案)應用安全策略的終端和服務器及其控制方法。
[0010]根據本公開的一方面��,提供一種通過使用移動設備管理(MDM)控制終端的方法�����。所述方法包括:安裝應用程序;通過來自企業(yè)許可證管理(ELM)服務器的許可證密鑰請求注冊;接收與許可證密鑰對應并包括權限列表的版權對象(R/0);基于包括在接收的R/0中的權限列表設置權限��;處理設置的權限。
[0011]根據本公開的另一方面��,提供一種使用移動設備管理(MDM)的終端��。所述終端包括:控制器����,安裝應用程序����;通信單元����,通過來自企業(yè)許可證管理(ELM)服務器的許可證密鑰請求注冊���,并接收與許可證密鑰對應并包括權限列表的版權對象(R/0)����,其中�,所述控制器基于包括在接收的R/0中的權限列表設置權限�����,并獲得設置的權限�����。
[0012]根據本公開的另一方面��,提供一種使用移動設備管理(MDM)的終端����。所述終端包括:MDM應用程序,控制安裝的應用程序獲得所需的權限�;企業(yè)許可證管理(ELM)代理��,通過來自ELM服務器的許可證密鑰請求注冊����,并接收與許可證密鑰對應并包括權限列表的版權對象(R/0);ELM權限執(zhí)行器,基于包括在接收的R/0中的權限列表設置權限�,并獲得設置的權限�����。
[0013]根據本公開的另一方面�����,提供一種控制提供移動設備管理(MDM)的企業(yè)許可證管理(ELM)服務器的方法。所述方法包括:接收對用于MDM構建的許可證密鑰的發(fā)送的請求;響應于請求生成許可證密鑰����,并將生成的許可證密鑰發(fā)送到用于MDM構建的MDM供應商���;從使用MDM的終端接收關于通過許可證密鑰進行注冊的查詢;當從終端接收的許可證密鑰被確定為有效時�,將版權對象(R/0)發(fā)送到終端���,其中,R/0包括使用MDM的終端可以分頁的權限的權限列表���。
[0014]根據本公開 的另一方面�����,提供一種控制提供移動設備管理(MDM)的MDM服務器的方法�。所述方法包括:嵌入從提供MDM的企業(yè)許可證管理(ELM)服務器接收的許可證密鑰;建立并存儲MDM的安全策略�����;將許可證密鑰和安全策略中的至少一個發(fā)送到使用MDM的終端���。
[0015]如上所述,本公開提供一種可通過與安全性相關的應用程序或服務(諸如��,可動態(tài)授予權限的MDM解決方案)應用安全策略的終端和服務器及其控制方法�����。因此�����,可以控制只提供給軟件開發(fā)工具包(SDK)的API��,并且可以不授予平臺不愿意批準的和所有其他權限�����。即,授予所有不必要的權限的可能性被排除��,因此���,可以防止使用API的第三方執(zhí)行具有不必要的系統級的權限的意外活動����。此外�����,在SDK API提供者并不信任第三方的情況下���,可以支持用于撤消先前授予的權限的方法�����。
[0016]在進行下面的【具體實施方式】之前�,闡明在整個專利文檔中使用的詞匯和短語的定義可以是有利的:術語“包括”和“包含”以及其派生詞意味著包括而不是限制�����;術語“或”是包括的,意味著和/或�����;短語“與…相關”與“與此相關”以及其派生詞可意味著包括��、包括在內����、與…互連、包含����、包含在內�����、連接到…或者與…連接���、結合到…或者與…結合���、與…溝通、與…配合���、交錯����、并列、臨近����、綁定到…或者與…綁定、具有�����、具有…性質等����;術語“控制器”意味著控制至少一種操作的任何裝置、系統或者其一部分�����,這樣的裝置可以以硬件��、固件或軟件�、或者其中的至少兩種的一些組合來實現。應該注意的是,不論是本地或遠程���,與任何特定的控制器相關的功能可以是集中式或者分布式�����。整個本專利文檔提供了對于特定的詞匯和短語的定義�����,本領域普通技術人員應該明白��,在許多情況下�,如果不是在大多數情 況下����,這樣的定義適用于之前以及未來的這樣定義的詞匯和短語的用法。
【專利附圖】
【附圖說明】
[0017]為了更完整理解本公開及其優(yōu)點���,現在參考結合附圖的以下描述,其中�,相同的標號表不相同的部分;
[0018]圖1是不出根據本公開的實施例的移動設備管理(MDM)解決方案的框圖����;
[0019]圖2示出根據本公開的實施例的MDM解決方案�;
[0020]圖3是示出根據本公開的實施例的終端的框圖�;
[0021]圖4示出根據本公開的實施例的終端系統的結構;
[0022]圖5是示出根據本公開的實施例的終端的控制方法的流程圖���;
[0023]圖6是示出根據本公開的實施例的服務器的控制方法的流程圖�;
[0024]圖7是示出根據本公開的實施例的MDM服務器的控制方法的流程圖���。
【具體實施方式】
[0025]以下討論的圖1至圖7以及用于在本專利文檔中描述本公開的原理的各種實施例只是以舉例的方式而不應以任何限制本公開的范圍的方式來解釋�����。本領域技術人員應該明白�,本公開的原理可以通過任何適當安排的電信技術來實現�。以下,將參照附圖更具體地描述本公開的各種實施例���。應該注意的是����,附圖中的相同的組件始終由相同的標號來指定���。在本公開的以下描述中����,在可能使本公開的主題變得非常不清楚時,將省略對這里包含的公知的功能和構造的詳細描述�����。
[0026]圖1是不出根據本公開的實施例的移動設備管理(MDM)解決方案的框圖���。
[0027]參照圖1����,MDM解決方案可包括終端1���、網關2�����、MDM服務器3�、移動注冊服務器4�、數據庫服務器5���、身份驗證服務器6�����。
[0028]終端I可下載特定的應用程序�����,并安裝下載的應用程序����。此外,終端I可基于操作系統(OS)被驅動�,并且可基于OS驅動方法來管理應用程序。例如���,終端I可基于各種OS驅動方法(包括 Android����、iOS�、Blackberry, Windows Mobile、Symbian��、Bada 等)來管理應用程序����。應用程序可以是用于可在如上所述的各種操作系統中執(zhí)行的程序的通用術語�。終端I可識別與應用程序所需要的應用程序編程接口(API)分頁相關的權限�����。同時����,終端I可基于由MDM服務器建立的安全策略來限制應用程序所需的一些API權限被提供。因此��,終端I的用戶在MDM解決方案之下不可使用應用程序的一些功能���,從而可以增強內部安全��。
[0029]同時����,終端I不會一直使用由MDM解決方案最初批準的API權限��。終端I可周期性地或非周期性地查詢終端制造企業(yè)的服務器許可證密鑰是否有效��,這將在下面更具體地描述���。終端I可基于根據許可證密鑰是否有效的響應的版權對象(R/0)來重置將被批準的API權限�。因此��,可動態(tài)地設置權限���。
[0030]終端I可實現為智能電話或者平板個人電腦(PC)����,下面將參照圖3更具體地描述終端I的結構�����,����。
[0031]終端I可執(zhí)行與網關2的通信。網關2可管理終端I和MDM服務器3之間的通信連接�����,并且可通過移動虛擬專用網絡(VPN)和公眾移動通信網絡來執(zhí)行連接��。網關2可基于移動VPN中的證書(互聯網協議安全(IPSec)通信加密)執(zhí)行終端I和MDM服務器3之間的通信連接的功能����、身份驗證���、加密、通信加密和用戶身份驗證����。更具體地講,網關2可包括存儲電子簽名證書的存儲模塊�、設置VPN策略的移動VPN策略引擎、VPN驅動代理���、移動VPN驅動器等���。
[0032]作為用于管理終端I的管理服務,MDM服務器3可改變終端和其他與MDM相關的系統的環(huán)境設置�����,或者可應用安全軟件的分配和補丁���。更具體地講��,MDM服務器3可存儲由管理員建立的安全策略����。MDM服務器3可控制違反確定的安全策略的權限。例如����,MDM服務器3可限制與相機相關API權限或者可監(jiān)控終端I的操作���。
[0033]移動注冊服務器4可執(zhí)行終端I的裝置注冊��。例如����,移動注冊服務器4可在從終端I接收到對注冊的請求時執(zhí)行身份驗證����。
[0034]數據庫服務器5可存儲MDM服務器3管理的數據。更具體地講���,數據庫服務器5可存儲MDM服務器3管理的終端I的狀態(tài)信息����。例如��,狀態(tài)信息可以是新安裝在終端I中的應用程序和應用程序所需要的權限信息。MDM服務器3可通過使用已從數據庫服務器5讀出的終端I的狀態(tài)信息進行控制��,以使違反安全策略的API權限不被提供��。
[0035]如上所述�����,基于安全策略���,終端I可不提供應用程序需要的API權限中的一些���。更具體地講,在確定許可證密鑰是否為有效時�����,終端I不像現有技術中那樣保持設置的權限����,并且可基于接收的R/0靈活地重置權限。
[0036]圖2示出根據本公開的實施例的MDM解決方案���。MDM解決方案可包括MDM供應商�����、門戶網站20�����、企業(yè)許可證管理(ELM)服務器30����、MDM服務器41至44��、企業(yè)46和終端100����。
[0037]MDM供應商10可通過使用由終端100的制造公司提供的MDM API來提供服務,并且可以是構建用于企業(yè)46的MDM解決方案的第三方��。MDM供應商還可以被稱為獨立軟件供應商(ISV)��。MDM供應商10可基于由ELM服務器30提供的軟件開發(fā)工具包(SDK)構建MDM解決方案�,并且可將構建的MDM解決方案嵌入到企業(yè)46的內部服務器44或者云服務器41至43中,以使企業(yè)46使用構建的MDM解決方案�����。下面將更具體地描述MDM解決方案的操作。
[0038]在操作I中���,MDM供應商10可基于想要構建的MDM解決方案來選擇許可證密鑰選項�。MDM供應商10可通過例如各種方法(諸如門戶網站20)來應用選擇的許可證密鑰選項�。許可證密鑰選項可包括用于身份驗證的密鑰、用于身份證明的密鑰��、需要的SDK信息或者權限信息中的至少一種��?���?蛇x擇地,許可密鑰選項還可以只包括用于身份驗證或者身份證明的密鑰��。
[0039]在操作2中���,門戶網站20可以基于從MDM供應商10接收的應用程序來向ELM服務器30請求許可證密鑰�。
[0040]在操作3中��,ELM服務器30可基于接收的對許可證密鑰的請求來生成許可證密鑰�����。ELM服務器30可將生成的許可證密鑰發(fā)送到門戶網站20。許可證密鑰可包括將提供給MDM供應商10的SDK信息或者權限信息中的至少一種��。此外��,許可證密鑰還可包括關于MDM供應商10是否將使用MDM解決方案的信息�。
[0041]在操作4中,門戶網站20可接收許可證密鑰����,并將已接收的許可證密鑰和SDK中的至少一個發(fā)送到MDM供應商10。
[0042]同時�����,門戶網站20可包括獨立軟件供應商(ISV)管理引擎21����、SDK和許可證密鑰下載引擎22和技術支持引擎23��。ISV管理引擎21可執(zhí)行與MDM供應商10的通信�����。例如,ISV管理引擎21可從MDM供應商接收許可證密鑰選項��,并將接收的許可證密鑰轉發(fā)到MDM供應商10�。SDK和許可證密鑰下載引擎22可從ELM服務器下載許可證密鑰。技術支持引擎23可控制門戶網站20的整體操作�����。
[0043]ELM服務器30可包括彈性負載均衡器(ELB)31���、表述性狀態(tài)轉移(REST)API32��、許可證管理33��、門戶網站界面35和分析36�����。
[0044]作為彈性負載均衡器���,ELB31可用于通過將任務適當地分配到ELM服務器內的多個服務器中來防止過載。
[0045]REST API32不一定是命名為“REST”的消息���,但是對應于API�����,使用外部MDM解決方案加載的裝置可通過網絡將該API用作用于設計取決于授予名稱的資源(例如���,以統一資源定位符(URL)��、統一資源標識符(URI)或者統一資源名稱(URN)的形式配置的資源)的松散耦合的網絡應用程序的形式�����。
[0046]許可證管理33可以不同地利用發(fā)給各個供應商許可證密鑰��。
[0047]門戶網站界面35可用于與門戶網站通信����。
[0048]分析36可從使用MDM的終端接收API使用信息的記錄(log)或者其他信息,并且可對這些信息進行各種不同的分析���。
[0049]管理員52可以管理ELM服務器30的許可證�,此外�,可以以B2B (企業(yè)對企業(yè))形式通過對與MDM供應商10的合約的更新來管理許可證密鑰�。例如,當合約的內容改變時��,管理員52可改變許可密鑰以重置將包括在R/0中的權限列表。
[0050]以下�����,將描述在以上描述的MDM解決方案的操作4之后的操作��。
[0051]在操作5中��,MDM供應商10可將接收的許可證密鑰嵌入到MDM服務器41至44中�����。MDM服務器41至43可實現為云服務器��,MDM服務器44可布置在企業(yè)46中�。企業(yè)46可包括MDM服務器44,并管理進入企業(yè)46的終端100-1�、100-2和100-3。MDM服務器44可存儲由管理員45建立的安全策略���。安全策略可包括特定的權限是否被批準�。
[0052]以下�,將描述在以上描述的MDM解決方案的操作5之后的操作。
[0053]在操作6中�,終端100可從企業(yè)46中的MDM服務器44或者云服務器41至43接收許可證密鑰和安全策略��。
[0054]在操作7中�,終端100可在使用MDM解決方案時查詢ELM服務器許可證密鑰是否有效���,或者終端100可周期性地查詢ELM服務器許可證密鑰是否有效�。終端100可請求在ELM服務器中注冊許可證密鑰����。
[0055]在操作8中,ELM服務器30可將版權對象(R/0)發(fā)送到對應的終端100���,所述版權對象包括關于對應的終端100可批準的權限的信息�。
[0056]在操作9中���,終端100可將使用MDM解決方案的記錄發(fā)送到ELM服務器30���。
[0057]在操作10中,ELM服務器30可通過各種方法將關于賬戶的統計信息發(fā)送到MDM供應商 10-1�����、10-2 和 10-3�����。
[0058]終端100可設置在接收的R/0基礎上批準的API權限����。因此,當用戶控制終端100時���,API權限中的一些可被限制�����。
[0059]以下�,將參照圖3描述終端����,將參照圖4描述終端100的操作。
[0060]圖3是根據本公開的實施例的終端的高級框圖�。
[0061]參考圖3,終端100可通過使用移動通信模塊120�����、子通信模塊130和連接器165與外部設備(未示出)連接���?!巴獠吭O備”可包括不同的裝置(未示出)、移動電話(未示出)����、智能電話(未示出)、平板PC (未示出)和服務器(未示出)���。
[0062]終端100可包括觸摸屏終端190和觸摸屏控制器195���。此外,終端100可包括控制器110��、移動通信模塊120����、子通信模塊130、多媒體模塊140�、相機模塊150、GPS模塊155��、輸入/輸出模塊160��、傳感器模塊170、存儲單元175和電源單元180�。子通信模塊130包括無線LAN模塊131和近場通信模塊132中的至少一個,多媒體模塊140包括廣播通信模塊141����、音頻再現模塊142和運動圖像再現模塊143中的至少一個�。相機模塊150包括第一相機151和第二相機152中的至少一個,輸入/輸出模塊160包括按鈕161���、麥克風162�����、揚聲器163����、振動電機164��、連接器165和鍵盤166中的至少一個�����。
[0063]控制器110可包括CPU111�����、R0M112和RAM113,在R0M112中存儲用于控制終端100的控制程序�,RAMl 13存儲從終端100的外部輸入的信號或數據,或者被用作用于在終端100中執(zhí)行的操作的存儲器區(qū)域�����。CPUlll可包括單核�����、雙核�、三核或四核。CPU111�����、R0M112和RAMl 13可通過內部總線相互連接���。
[0064]控制器110可控制移動通信模塊120�����、子通信模塊130�����、多媒體模塊140�、相機模塊150、GPS模塊155����、輸入/輸出模塊160��、傳感器模塊170���、存儲單元175���、電源180、觸摸屏190和觸摸屏控制器195�����。
[0065]更具體地講���,控制器110可基于在移動通信模塊120或子通信模塊130中接收的許可證密鑰和安全策略來限制API權限�。此外��,控制器110可控制移動通信模塊120或子通信模塊130請求注冊許可證密鑰。此外���,控制器110可基于在移動通信模塊120或子通信模塊130中接收的R/0來重置API權限的限制和批準��。
[0066]移動通信模塊120根據控制器110的控制允許終端100通過使用一個或更多個天線(未示出)的移動通信與外部設備連接�。移動通信模塊120可將用于語音通信����、圖像通信、文本消息(SMS)或多媒體消息(MMS)的無線信號發(fā)送到電話號碼被輸入到終端100的便攜式電話(未示出)��、智能電話(未示出)�、平板PC或其他設備(未示出),或者可從便攜式電話(未示出)���、智能電話(未示出)���、平板PC或其他設備(未示出)接收用于語音通信、圖像通信���、文本消息(SMS)或多媒體消息(MMS)的無線信號�。
[0067]子通信模塊130可包括無線LAN模塊131和近場通信模塊132中的至少一個��。例如,子通信模塊130可只包括無線LAN模塊131����,只包括近場通信模塊132,或者包括無線LAN模塊131和近場通信模塊132 二者�����。
[0068]同時�,移動通信模塊120或子通信模塊130還可被稱為通信單元。
[0069]無線LAN模塊131可根據控制器110的控制在安裝無線AP (接入點)(未示出)的位置連接到互聯網��。無線LAN模塊131支持電氣與電子工程師協會的無線LAN標準(IEEE802.llx)����。近場通信模塊132可根據控制器110的控制無線地執(zhí)行終端100和成像設備(未示出)之間的局域網通信���。例如��,用于局域網通信的方案可包括藍牙方案����、IrDA (紅外數據協會)通信方案和Zig-bee方案����。
[0070]根據性能���,終端100可包括移動通信模塊120、無線LAN模塊131和近場通信模塊132中的至少一個�����。例如���,根據性能���,終端100可包括移動通信模塊120、無線LAN模塊131和近場通信模塊132的組合��。
[0071]多媒體模塊140可包括廣播通信模塊141�����、音頻再現模塊142或運動圖像再現模塊143���。廣播通信模塊141可根據控制器110的控制通過廣播通信天線(未示出)接收從廣播電臺發(fā)送的廣播信號(例如�,TV廣播信號�����、無線電廣播信號或數據廣播信號)或者廣播添加信息(例如,EPG (電子節(jié)目指南)或ESG (電子業(yè)務指南))����。音頻再現模塊142可根據控制器110的控制再現存儲的或接收的數字音頻文件(例如,文件擴展名為mp3、wma�����、ogg或wav的文件)�。運動圖像再現模塊143可根據控制器110的控制再現存儲的或接收的數字運動圖像文件(例如,文件擴展名為mpeg���、mpg�����、mp4、av1�、mov或mkv的文件)。運動圖像再現模塊143可再現數字音頻文件���。
[0072]除了廣播通信模塊141之外����,多媒體模塊140可包括音頻再現模塊142和運動圖像再現模塊143。此外���,多媒體模塊140的音頻再現模塊142和運動圖像再現模塊143可包括在控制器110中��。
[0073]相機模塊150可包括第一相機151和第二相機152中的至少一個����,它們中的每個根據控制器Iio的控制拍攝靜止圖像或運動圖像����。此外,第一相機151或第二相機152可包括提供了拍攝所需的光量的輔助光源(例如���,閃光燈(未示出))�����。第一相機151可設置在終端100的前表面,第二相機152可設置在終端100的后表面�。以不同的方式,第一相機151和第二相機152可設置為彼此鄰近(例如�����,第一相機151和第二相機152之間的間隔大于I厘米或小于8厘米),因此可拍攝三維靜止圖像或三維視頻�����。
[0074]GPS模塊155可從多個全球軌道GPS衛(wèi)星(未示出)接收無線電波��,并且可使用從GPS衛(wèi)星到終端100的無線電波的到達時間計算終端100的位置��。
[0075]輸入/輸出模塊160可包括多個按鈕161����、麥克風162、揚聲器163�����、振動電機164�����、連接器165和鍵盤166中的至少一個�。
[0076]按鈕161可形成于終端100的外殼的前表面�、側表面或者后表面上,并且可包括電源/鎖定按鈕(未示出)�、音量按鈕(未示出)�����、菜單按鈕��、主頁按鈕����、后退按鈕�、搜索按鈕中的至少一個。
[0077]麥克風162根據控制器110的控制接收語音或聲音的輸入以產生電信號�。
[0078]揚聲器163可根據控制器110的控制將分別與移動通信模塊120、子通信模塊130��、多媒體模塊140�����、相機模塊150的各種信號(例如�����,無線電信號���、廣播信號�、數字音頻文件、數字運動圖像文件或拍攝)對應的聲音輸出到終端100的外部��。揚聲器163可輸出與通過終端100執(zhí)行的功能對應的聲音(例如�,與打電話對應的按鈕操作聲音或者電話連接聲音)。一個或更多個揚聲器163可形成于終端100的外殼的適當的位置或多個位置���。
[0079]振動電機164可根據控制器110的控制將電信號轉換成機械振動����。例如�,當在振動模式下的終端100從任何接其他設備接收語音電話時,振動電機164被操作�。可將一個或更多個振動電機164設置在終端100的外殼中�。振動電機164可響應于觸摸觸摸屏190的用戶的觸摸動作和在觸摸屏190上的連續(xù)觸摸運動而被操作。
[0080]連接器165可用作使終端100和外部設備(未示出)或者電源(未示出)互相連接的接口��。終端100可根據控制器110的控制通過連接到連接器165的有線電纜將存儲在終端100的存儲單元175中的數據發(fā)送到外部設備(未示出)或者從外部設備(未示出)接收數據����。用戶終端100可通過連接到連接器165的有線電纜從電源(未示出)接收電力或者給電池充電(未不出使用電源)。
[0081]鍵盤166可從用戶接收鍵輸入以控制終端100���。鍵盤166包括形成于終端100上的物理鍵盤(未示出)或者顯示在觸摸屏190上的虛擬鍵盤(未示出)�����。根據終端100的性能或配置�,可省略形成于終端100上的物理鍵盤(未示出)��。
[0082]傳感器模塊170可包括檢測終端100的狀態(tài)的至少一個傳感器����。例如,傳感器模塊170可包括檢測用戶是否接近終端100的接近傳感器��、檢測終端100周圍的光量的照度傳感器(未示出)或者檢測終端100的操作(例如,終端100的旋轉或者應用于終端100的加速或振動)的運動傳感器(未示出)�����。至少一個傳感器可檢測狀態(tài)���,生成與檢測對應的信號���,并將生成的信號發(fā)送到控制器110?��?筛鶕K端100的性能添加或省略傳感器模塊170中的傳感器����。
[0083]存儲單元175可根據控制器110的控制存儲響應于移動通信模塊120、子通信模塊130�����、多媒體模塊140�、相機模塊150、GPS模塊155���、輸入/輸出模塊160����、傳感器模塊170和觸摸屏190的操作輸入/輸出的信號或數據�����。存儲單元175可存儲用于控制終端100或者控制器110的控制程序和應用程序����。
[0084]術語“存儲單元”可包括存儲單元175、控制器110中的R0M112和RAM113或者安裝在終端100中的存儲卡(未示出)(例如���,SD卡或記憶棒)���。存儲單元可包括非易失性存儲器����、易失性存儲器����、HDD (硬盤驅動器)或者SSD (固態(tài)驅動器)�����。
[0085]電源單元180可根據控制器110的控制向設置在終端100的外殼中的一個或更多個電池(未示出)提供電力�。一個或更多個電池(未示出)向終端100提供電力。此外�,電源單元180可通過連接到連接器165的有線電纜向終端100提供從外部電源(未示出)輸入的電力。
[0086]觸摸屏190可向用戶提供與各種服務(例如�,電話通信、數據傳輸���、廣播�、和拍攝照片)對應的用戶界面��。觸摸屏190可將與輸入到用戶界面的至少一個觸摸輸入對應的模擬信號發(fā)送到觸摸屏控制器195。觸摸屏190可接收通過用戶的身體部分(例如�����,包括拇指的手指)或可觸摸的輸入裝置的至少一個觸摸����。此外,觸摸屏190可接收至少一個觸摸中的一個觸摸的連續(xù)運動���。觸摸屏190可將與觸摸輸入的連續(xù)運動對應的模擬信號發(fā)送到觸摸屏控制器195�����。
[0087]根據本公開的觸摸不限于觸摸屏190和用戶的身體部分或者可觸摸的輸入裝置之間的觸摸��,而是可包括非觸摸(例如���,觸摸屏190和用戶的身體部分或者可觸摸的輸入裝置之間的可檢測的間隔等于或小于I毫米的情況)??筛鶕銛y式終端的功能或結構來改變觸摸屏190的可檢測的間隔。
[0088]觸摸屏190可以以例如電阻式����、電容式�����、紅外線式或者聲波式來實現�����。
[0089]觸摸屏控制器195將通過觸摸屏190接收的模擬信號轉換成數字信號(例如��,X和Y坐標)并將數字信號發(fā)送到控制器110?���?刂破?10可通過使用從觸摸屏控制器195接收的數字信號來控制觸摸屏190。例如�,控制器110可允許顯示在觸摸屏190上的快捷方式執(zhí)行圖標(未示出)響應于觸摸來被選擇或者執(zhí)行。此外�����,觸摸屏控制器195可包括在控制器110 中�����。
[0090]圖4示出根據本公開的實施例的終端系統的結構�����。
[0091]終端系統結構可包括Linux內核401、安卓庫402�����、安卓運行時間403��、安卓框架419和應用層410�。終端系統結構可與MDM服務器44和ELM服務器30連接。例如�����,終端系統結構可定乂在圖2的終端100中�����。[0092]如圖4所示�,應用層410可包括移動設備管理(MDM)應用程序411和ELM代理412。安卓框架419可包括MDM框架413��。MDM框架413可包括ELM模塊414���,ELM模塊可包括ELMAPI415�����、ELM 權限實施器 416 和 ELM API 記錄器(logger) 417�。
[0093]MDM應用程序411可執(zhí)行與MDM服務器44的通信。例如����,MDM應用程序411可從MDM服務器44接收許可證密鑰和安全策略中的至少一個。例如��,MDM應用程序411可由構建MDM服務器44的MDM供應商(未示出)來構建����。MDM供應商(未示出)可控制以使MDM應用程序411安裝在進入圖2中的企業(yè)46的終端100中�����。同時���,ELM代理412和MDM框架413可由ELM服務器30的管理員52來構建�����。
[0094]MDM應用程序411可通過MDM框架413將接收的許可證密鑰傳輸到ELM代理412��。ELM代理412可將傳輸的許可證密鑰發(fā)送到ELM服務器30���。更具體地講����,ELM代理412可向ELM服務器30查詢許可證密鑰是否有效���。
[0095]ELM服務器30可判斷接收的許可證密鑰是否有效���。例如,ELM服務器30可判斷與MDM供應商10的合約是否有效��,或者合約是否被改變�����?��;谂袛嘟Y果���,ELM服務器30可確定許可證密鑰是否有效。
[0096]當許可證密鑰有效時,ELM服務器30可將終端100注冊為對于MDM解決方案的使用有效的終端����。ELM服務器30可將用于使用者權限的R/0發(fā)送到具有發(fā)送的有效許可證密鑰的ELM代理412。R/0可包括用于權限的限制或者批準的權限列表���。
[0097]ELM代理412可將R/0輸出到MDM框架413��。ELM權限實施器416可通過分析輸入R/0的權限列表來設置MDM應用程序411的權限��。MDM應用程序411可相應地重置用于限制或者批準的API權限���。MDM應用程序411可通過添加用于批準的API權限或者用于限制的API權限來重置用于限制或者批準的API權限。
[0098]例如���,MDM應用程序411可基于從MDM服務器44接收的安全策略來管理如表1中所示的初始權限列表�����。
[0099]表1
[0100]
【權利要求】
1.一種通過使用移動設備管理(MDM)解決方案操作終端的方法,所述方法包括如下步驟: 安裝應用程序�; 通過從企業(yè)許可證管理(ELM)服務器接收的許可證密鑰請求注冊; 接收與許可證密鑰對應并包括權限列表的版權對象(R/0)��; 基于包括在接收的R/Ο中的權限列表設置至少一種權限; 執(zhí)行設置的權限����。
2.根據權利要求1所述的方法,還包括如下步驟: 從MDM服務器接收許可證密鑰�,并嵌入許可證密鑰,所述MDM服務器被構造為從ELM服務器接收許可證密鑰����。
3.根據權利要求2所述的方法,其中����,從MDM服務器接收許可證密鑰的步驟包括: 連同許可證密鑰一起,接收在MDM服務器中建立的安全策略����。
4.根據權利要求1所述的方法,其中�����,許可證密鑰包括:身份驗證�����、身份證明、關于MDM服務器被構造為批準或者拒絕的權限的信息中的至少一個���。
5.根據權利要求1所述的方法��,所述方法還包括如下步驟: 基于設置的權限���,對MD應用程序編程接口(API)分頁。
6.一種使用移動設備管理(MDM)解決方案的終端����,所述終端包括: 控制器,被構造為安裝應用程序���; 通信單元��,被構造為通過從企業(yè)許可證管理(ELM)服務器接收的許可證密鑰請求注冊�����,并接收與許可證密鑰對應并包括權限列表的版權對象(R/0)�, 其中���,所述控制器被構造為基于包括在接收的R/Ο中的權限列表設置至少一種權限��。
7.根據權利要求6所述的終端�,其中��,通信單元被構造為從MDM服務器接收許可證密鑰����,并嵌入許可證密鑰,所述MDM服務器被構造為從ELM服務器接收許可證密鑰�。
8.根據權利要求7所述的終端,其中����,通信單元被構造為連同許可證密鑰一起接收在MDM服務器中建立的安全策略。
9.根據權利要求6所述的終端�,其中,許可證密鑰包括:身份驗證����、身份證明、關于MDM服務器批準或者限制的權限的信息中的至少一個����。
10.根據權利要求6所述的終端,其中���,控制器被構造為基于設置的權限對MD應用程序編程接口(API)分頁����。
11.一種操作提供移動設備管理(MDM)解決方案的企業(yè)許可證管理(ELM)服務器的方法,所述方法包括如下步驟: 接收對用于MDM構造的許可證密鑰的發(fā)送的請求��; 響應于請求生成許可證密鑰��,并將生成的許可證密鑰發(fā)送到用于MDM構造的MDM供應商��; 從使用MDM的終端接收關于通過許可證密鑰進行注冊的查詢��; 當從終端接收的許可證密鑰被確定為有效時�����,將版權對象(R/Ο)發(fā)送到終端����,其中,R/0包括可以使用MDM的終端分頁的權限的列表�����。
12.根據權利要求11所述的方法����,其中,許可證密鑰包括:身份驗證��、身份證明����、關于MDM服務器批準或者限制的權限的信息中的至少一個。
【文檔編號】G06F21/35GK104008324SQ201410062721
【公開日】2014年8月27日 申請日期:2014年2月24日 優(yōu)先權日:2013年2月22日
【發(fā)明者】任昶賢, 俞錫滿, 黃皙俊, 金碤圭, 白宗承, 張東鎬 申請人:三星電子株式會社