一种移动通信终端系统监测的方法
阅读说明:本技术 一种移动通信终端系统监测的方法 (Method for monitoring mobile communication terminal system ) 是由 袁伟 陈媚 于 2021-05-26 设计创作,主要内容包括:本发明提供了一种移动通信终端系统监测的方法,包括:移动通信终端设备的移动端程序和后台的服务端程序建立通讯连接;移动端程序进行登录验证;移动端程序登录成功后按照服务端程序的管控策略执行指令,所述指令包括对系统状态监测的指令以及对移动通信终端的操作指令;移动端程序将执行对系统状态监测的指令后得到的监测结果上传给服务端程序。(The invention provides a method for monitoring a mobile communication terminal system, which comprises the following steps: establishing communication connection between a mobile terminal program of the mobile communication terminal equipment and a background server program; the mobile terminal program performs login verification; after the mobile terminal program successfully logs in, executing an instruction according to a control strategy of the server terminal program, wherein the instruction comprises an instruction for monitoring the system state and an operation instruction for the mobile communication terminal; and the mobile terminal program uploads a monitoring result obtained after the instruction for monitoring the system state is executed to the server terminal program.)
技术领域
本发明涉及通信领域,具体涉及一种移动通信终端系统监测的方法。
背景技术
随着智能手机的普及使用,智能手机的移动应用程序(APP)不仅仅在个人用户应用领域发挥作用提供便利,越来越多的时候,组织或者团体内部用于工作管理功能的应用也开始延伸到手机移动端,使得人们在离开办公桌的时候也能够快速便利的处理工作,这种情况下,出于对工作信息安全保密的管理需要,要对使用工作系统的移动通信终端状态有实时的掌控,防止信息泄密的事故发生。
单位或者组织出于保密和管理的需要,对于移动办公使用的APP都有相应的安全管理要求,但是同时由于智能移动通信终端也是个人通信和生活娱乐的重要工具,过度的管控又会影响到个人使用移动通信终端的需求实现,为了兼顾安全管理和生活娱乐两方面的需要,就要将管控措施做的细致和周全,但是现有的移动通信终端安全管控往往因为没有对终端的基础状态有精准的掌控,所以无法实现全面细分的权限管控。
现有的移动通信终端安全管控手段以行政管控手段为主,技术管控手段为辅,例如:在移动通信终端使用管理方面制定诸多的要求:
按照办公区域划分移动通信终端使用的形式:例如公开区域不限制;受限区域要把摄像头用贴纸贴起来,并且告知禁止使用某些应用,受限区域安装摄像头监控移动通信终端使用者是否有违规使用;禁止区域禁止使用移动通信终端,要求把移动通信终端上交给单位统一进行保管。
按照使用者身份划分不同的使用权限:单位工作人员按照职务不同划分不同的权限,可以使用的APP不同,单位访客受限制的接入单位区域的WLAN,并且禁止使用移动通信终端的部分APP。
按照时间划分不同的使用权限,按照上下班时间段区分不同的权限的分配,上班时候受限,下班时候不受限使用移动通信终端。
相应地,具体的技术手段有:
在安装工作用APP的移动通信终端设备上,加装系统安全防范类的应用,防止病毒、木马、流氓软件的恶意安装,及时扫描和修复系统漏洞,清理系统垃圾等。
在移动通信终端安装监控功能的软件,当使用移动通信终端的敏感功能时,及时预警阻拦。
但是,现有的移动通信终端安全管控手段以行政管控手段为主,技术管控手段为辅,而且上述方法技术手段缺乏整体性,权限精细管控的基础条件不够充分,没有条件将工作和个人生活应用做全面细致的区分,导致用户体验差,管理措施实施难度大,漏洞多,不便推行,造成“不管就乱,一管就死”的状态。
发明内容
本发明所要解决的技术问题是针对现有技术中存在上述缺陷,提供一种有效提高用于工作用途的移动应用系统安全性的移动通信终端系统监测方法。
根据本发明,提供了一种移动通信终端系统监测的方法,包括:移动通信终端设备的移动端程序和后台的服务端程序建立通讯连接;移动端程序进行登录验证;移动端程序登录成功后按照服务端程序的管控策略执行指令,所述指令包括对系统状态监测的指令以及对移动通信终端的操作指令;移动端程序将执行对系统状态监测的指令后得到的监测结果上传给服务端程序。
优选地,移动通信终端设备的移动端程序与移动通信终端设备的操作系统通信,从移动通信终端操作系统获取设备状态信息。
优选地,对系统状态监测的指令的监测内容包括应用流量、应用耗电量、应用运行时长、终端硬件信息、软件安装信息、ROOT状态、系统完整性、硬件合规性、应用合规性、登录失败状态、被禁网络联通状态、终端失联状态和系统使用模式中的一种或多种。
优选地,对移动通信终端的操作指令对移动通信终端的操作内容包括切换运行模式。
优选地,移动端程序在服务端程序设定的预设时间触发监测内容上报至服务端程序。
优选地,当移动通信终端设备处于服务端程序设定的预设地理范围时触发监测内容上报至服务端程序。
优选地,当移动通信终端设备处于服务端程序设定的预设WLAN范围时触发监测内容上报至服务端程序。
优选地,移动端程序随移动通信终端的开启自行启动。
优选地,移动端程序与服务端程序之间的通讯采用加密的方式。
优选地,状态监测管理程序将从移动端程序接收到的移动通信终端设备状态信息传递给第三方应用以提供数据服务接口。
附图说明
结合附图,并通过参考下面的详细描述,将会更容易地对本发明有更完整的理解并且更容易地理解其伴随的优点和特征,其中:
图1示意性地示出了根据本发明优选实施例的移动通信终端系统监测的方法的示意图。
图2示意性地示出了根据本发明优选实施例的移动通信终端系统监测的方法的移动端程序工作流程。
需要说明的是,附图用于说明本发明,而非限制本发明。注意,表示结构的附图可能并非按比例绘制。并且,附图中,相同或者类似的元件标有相同或者类似的标号。
具体实施方式
为了使本发明的内容更加清楚和易懂,下面结合具体实施例和附图对本发明的内容进行详细描述。
本发明提供了一种移动通信终端系统监测的方法,该方法由移动通信设备的状态信息获取程序(简称移动端程序)以及后台状态监测管理程序(简称服务端程序)两部分组成,移动端程序获取移动通信设备的状态信息,接收由服务端程序发来的查询指令并执行查询然后上传,服务端程序接收、保存并展示移动通信终端状态信息,如果需要可以提供接口为其他需要移动通信终端状态信息的应用服务。这一方法可以有效提高用于工作用途的移动应用系统安全性。
本发明通过后台控制方式实现对移动通信终端的状态监测,监测措施可以是针对所有状态信息的一项或者几项,上报时间、频次可以按照后台设定的策略执行,也可以在设定的某个触发条件下执行状态上报任务。
图1示意性地示出了根据本发明优选实施例的移动通信终端系统监测的方法的示意图。
移动通信终端设备的移动端程序与移动通信终端设备的操作系统通信,从移动通信终端操作系统获取设备状态信息。
优选地,移动端程序具有以下特性:
1.跟随移动通信终端的开启自行启动,不被其他任何第三方应用停止、卸载或者篡改;
2.移动端程序与后台状态监测管理程序的通信通常采用加密的方式,以保证命令传输过程中的安全;
3.移动端程序不因为移动通信终端恢复出厂设置或者更换SIM卡等原因失效。
状态监测管理程序包括移动通信终端状态监测管理系统和移动端状态监测数据库,主要具备以下功能:
1.制定移动通信终端状态监测的策略,下发指令并接收展示指令执行的结果。
2.存储和管理状态监测管控策略执行结果和各项安全事件,记录移动终端状态监测管理系统的运行日志等。
3.为其他需要移动通信终端设备状态信息的第三方应用提供数据服务接口。
图2示意性地示出了根据本发明优选实施例的移动通信终端系统监测的方法的移动端程序工作流程。
步骤①是移动端程序和服务端程序建立通讯连接。一般,成功建立通信连接的前提是移动端程序需要配置正确的通信参数,这些参数包含但不限于服务器ip地址、端口号、APN配置参数等。参数配置的方式包含但不限于以下几种方式:1)直接在移动端程序的程序界面填写配置参数;2)接收后台服务端程序发送的特定格式短信,自动完成参数配置;3)扫描二维码完成参数配置;4)在移动通信终端的拨号盘(如果设备带有拨号盘)输入指令完成参数配置。
步骤②是移动端程序进行登录验证,登录验证信息包括但不限于移动通信终端唯一标识、终端密码模块编号、数字证书用户标识、SIM卡标识等。登录验证的信息项及绑定关系由服务端程序控制,可以是单纯针对移动端程序本身的身份验证,也可以是移动端程序加移动通信终端硬件信息绑定组合的身份验证。假如登录验证通过,移动端程序可以按照服务端程序的管控策略执行相应的指令,假如登录验证失败,移动端程序可以重新登录,也可以采取限制登录的其他措施,例如对移动通信终端采取锁定、关闭或者擦除数据等操作。
步骤③是移动端程序登录成功后按照服务端程序的管控策略执行指令,这些指令分为2类,一类是对系统状态监测的指令,一类是对移动通信终端的操作指令,具体内容如下:
对移动通信终端系统状态监测的内容有:
1)应用流量:应用流量上报是指:指定的某个应用或者几个应用的集合在指定的时间范围内每个应用消耗WLAN无线网络流量和移动数据网络流量的上报。
2)应用耗电量:应用耗电量上报指指定的某个应用或者几个应用的集合在指定的时间范围内每个应用耗电量的信息上报。
3)应用运行时长:应用运行时长指指定的某个应用或者几个应用的集合在指定的时间范围内每个应用在前台运行时间的信息上报。
4)终端硬件信息:终端硬件信息上报的内容包含但不限于:移动通信终端厂商、终端型号、操作系统版本号、基带版本、内核版本、补丁级别、IMEI、MEID、CPU型号、运行内存容量、内部存储容量、屏幕分辨率、支持的移动网络只是、无线网卡芯片型号、蓝牙芯片型号、NFC芯片型号、定位芯片型号、屏幕分辨率、电池容量、已开机时间等。
5)软件安装信息:软件安装信息上报是指在移动通信终端安装的所有应用的信息,包含但不限于应用名称、应用包名、应用签名证书指纹值、安装时间、安装版本、当前版本、开发商等。
6)ROOT状态:ROOT状态上报是指将移动通信终端当前用户权限是否可对系统根目录执行读写和执行操作的状态进行上报。
7)系统完整性:对移动通信终端系统完整性检测,发现完整性被破坏立即作为安全事件进行上报,并在移动通信终端进行提示、告警及合规管控处理。合规管控处理包括但不限于锁定终端、关闭终端和擦除数据。
8)硬件合规监测:对移动通信终端加装的硬件模块进行合规检测,硬件模块包括但不限于SIM卡,USIM卡,密码模块等,发现不合规的硬件模块立即作为安全事件进行上报,并在移动通信终端进行提示、告警及合规管控处理。合规管控处理包括但不限于锁定终端、关闭终端和擦除数据。
9)应用合规监测:对移动通信终端上所有应用在安装、运行、卸载和权限使用的违规行为进行监测,如果发现违规行为立即作为安全事件进行上报,并在移动通信终端进行提示、告警及合规管控处理。合规管控处理包括但不限于锁定终端、关闭终端和擦除数据。
10)登录失败监测:对移动通信终端登录失败行为进行监测,如果发现登录失败立即作为安全事件进行上报,并在移动通信终端进行提示、告警及合规管控处理。合规管控处理包括但不限于锁定终端、关闭终端和擦除数据。
11)被禁网络联通监测:主动对当前连接的网络做实时监测,发现接入被服务端程序禁止的网络,立即作为安全事件进行上报,并在移动通信终端进行提示、告警及合规管控处理。合规管控处理包括但不限于锁定终端、关闭终端和擦除数据。
12)终端失联监测:针对移动通信终端失联的不同程度进行监测上报和处理。当发现被管控的移动通信终端设备在指定的条件下未进行登录连接时,移动端程序立即作为安全事件进行上报,并在移动通信终端进行提示、告警及合规管控处理。合规管控处理包括但不限于锁定终端、关闭终端和擦除数据。具体执行的管控措施按照服务端程序具体指定的策略为准。
13)系统使用模式:上报当前移动通信终端的系统切换模式是禁止切换还是自主切换状态。
对移动通信终端的操作内容有:
切换运行模式:由服务端程序发出指令,强制移动通信终端用户使用指定的系统使用模式。
可触发终端状态信息上报的条件包含但不限于以下内容:
1)时间:服务端程序可以设定时间范围,作为触发某个指令下发的条件。即,移动端程序在服务端程序设定的预设时间触发监测内容上报至服务端程序。
2)地理位置:服务端程序可以设定地理范围,作为触发某个指令下发的条件。即,当移动通信终端设备处于服务端程序设定的预设地理范围时触发监测内容上报至服务端程序。
3)WLAN:服务端程序可以设定WLAN范围,作为触发某个指令下发的条件。当某个移动通信终端扫描到指定WLAN的无线网络时,自动启动围栏内的管控模式。即,当移动通信终端设备处于服务端程序设定的预设WLAN范围时触发监测内容上报至服务端程序。
默认围栏:服务端程序可以设定默认范围,当移动通信终端不处于其他可触发的条件范围内,自动启用默认围栏设定的管控模式。
需要说明的是,除非特别指出,否则说明书中的术语“第一”、“第二”、“第三”等描述仅仅用于区分说明书中的各个组件、元素、步骤等,而不是用于表示各个组件、元素、步骤之间的逻辑关系或者顺序关系等。
可以理解的是,虽然本发明已以较佳实施例披露如上,然而上述实施例并非用以限定本发明。对于任何熟悉本领域的技术人员而言,在不脱离本发明技术方案范围情况下,都可利用上述揭示的技术内容对本发明技术方案作出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本发明技术方案保护的范围内。