本发明专利技术提供了一种基于应用安全等级的访问控制方法及装置,该方法包括:将应用按照预设的安全等级划分为受控应用和非受控应用;在第一存储域存储所述受控应用,形成可信域;在第二存储域存储所述非受控应用,形成非可信域;采用身份认证机制对进入所述可信域的用户进行身份认证。本发明专利技术通过在移动终端设置不同的安全域——可信域和非可信域,用来分别存放不同安全等级的应用,并采用身份认证机制对用户进入可信域进行准入保护,实现了受控应用与非受控应用的有效隔离,从根本上禁止了非法用户对应用的非授权访问或修改,提高了可信域中应用的访问权限,隔离了非可信域中应用的安全威胁。
【技术实现步骤摘要】
本专利技术涉及移动终端
,尤其涉及一种基于应用安全等级的访问控制方法及装置。
技术介绍
随着移动通信技术的发展,移动终端已经成为人们生活中必不可少的个人电子设备,人们通过移动终端获取信息,进行办公和娱乐。但是随之也带来了许多安全隐患,例如:移动终端的某些应用上保存着很多用户的个人隐私,一旦终端丢失或被盗,用户的个人信息将会被窃取,成为不法分子行骗的工具,后果将不堪设想;此外,考虑到隐私,并不是所有的应用信息用户都想展示给其他人,此时用户需要一块安全的区域来存放这些带有敏感数据的应用,并且只有被授权的用户才有权限访问或操作这些应用。由此可见,对应用的访问进行控制是保证移动终端安全的一种重要手段。目前,在移动终端上对用户访问应用的控制手段主要有解锁保护、程序锁等方法。解锁保护是指在解锁时,需要用户先进行身份验证后才可进入用户界面;程序锁为指定的应用程序添加了一道防护措施,用户需先进行身份验证即解锁后,才可使用加过锁的应用程序,进而避免用户的隐私泄露。在实现本专利技术过程中,专利技术人发现现有技术中至少存在如下问题:I)解锁保护只是对移动终端进行了访问限制,控制粒度较大,访问受控的应用(如支付类的应用)与普通应用并没有实现完全的隔离,用户在应用区域内无法分辨哪些是访问受控的应用,哪些是普通应用。且用户有权限对所有的非系统级应用(包括访问受控的应用)进行管理,如:移动、卸载、查看应用信息等,所以其并没有对应用的访问进行全面的控制;(2)程序锁需要用户维护各个应用的程序锁,如果不小心遗忘,用户就无法再访问应用中存储的信息,且用户每次进入应用程序都要进行身份验证,步骤繁琐,用户体验欠佳;(3)操作系统对应用的安全等级缺乏统一的管理和支持,安全等级较高的应用是否得到了有效的保护,是衡量移动终端是否安全的一个重要标准,而上述解决方案都没有涉及应用的安全等级,这也就导致操作系统无法对应用访问进行有效地管理和控制。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决或者减缓上述问题的基于应用安全等级的访问控制方法及相应的基于应用安全等级的访问控制装置。根据本专利技术的一个方面,提供了一种基于应用安全等级的访问控制方法,该方法包括:将移动终端的应用程序按照预设的安全等级划分为受控应用和非受控应用; 在第一存储域存储所述受控应用,形成可信域;在第二存储域存储所述非受控应用,形成非可信域;采用身份认证机制对进入所述可信域的用户进行身份认证。优选地,所述方法还包括:记录所述受控应用的详细信息,当用户进入可信域后,根据所述受控应用的详细信息对所述受控应用进行加载。优选地,当移动终端从休眠状态转换到工作态时,终端界面提示用户选择进入的区域,若用户选择进入可信域时,所述采用身份认证机制对进入所述可信域的用户进行身份认证,包括:发送身份认证请求,并接收用户输入的身份认证信息;对所述身份认证信息与预设信息进行验证比对,若验证失败,则提示用户进行再次输入,若验证成功,则将验证结果发送给所述可信域;获取所述可信域内受控应用的详细信息,对所述受控应用进行加载显示;保存用户访问记录,并发送系统已切换到可信域的第一提示信息。优选地,当用户从非可信域切换到可信域时,所述采用身份认证机制对进入所述可信域的用户进行身份认证,包括:判断在移动终端从休眠态转换到工作态后的时间阈值内,是否存在用户对可信域的访问记录,若是,则直接进入所述可信域,否则,发送身份认证请求;接收用户输入的身份认证信息;对所述身份认证信息与预设信息进行验证比对,若验证失败,则提示用户进行再次输入,若验证成功,则将验证结果发送给所述可信域;获取所述可信域内受控应用的详细信息,对所述受控应用进行加载显示;保存用户访问记录,并发送系统已切换到可信域的第二提示信息。优选地,当用户从可信域切换到非可信域时,所述方法还包括:显示所述非可信域内的非受控应用,并发送系统已退出可信域,切换到非可信域的第二提不?目息。优选地,所述方法还包括:显示所述第一提示信息、第二提示信息或第三提示信息。优选地,所述步骤:将应用按照预设的安全等级划分为受控应用和非受控应用,包括:根据用户设置和/或系统预设规则判定当前应用是否涉及用户隐私信息,将涉及用户隐私信息的应用设置为高安全等级应用,将不涉及用户隐私信息的应用设置为低安全等级应用;将所述高安全等级应用划分为受控应用,将所述低安全等级应用设置为非受控应用。优选地,所述身份认证机制包括基于口令的认证、基于数字证书的认证或基于用户生物特征的认证。根据本专利技术的另一个方面,提供了一种基于应用安全等级的访问控制装置,该装置包括:应用划分单元,用于将移动终端的应用程序按照预设的安全等级划分为受控应用和非受控应用;可信域单元,用于存储并加载所述受控应用,形成可信域,并可对受控应用进行管理;非可信域单元,用于存储并加载所述非受控应用,形成非可信域,并可对非受控应用进行管理;认证单元,用于采用身份认证机制对进入所述可信域的用户进行身份认证。显示单元,用于通过移动终端界面告知用户,系统当前存在的区域为可信域或非可信域。本专利技术的有益效果为:本专利技术根据应用的安全等级将应用分为受控应用和非受控应用,在移动终端设置不同的安全域一一可信域和非可信域,用来分别存放不同安全等级的应用,并采用身份认证机制对用户进入可信域进行准入保护。该方法实现了受控应用与非受控应用的有效隔离,从根本上禁止了非法用户对应用的非授权访问或修改。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的【具体实施方式】。【附图说明】通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示意性示出了本专利技术一个实施例的基于应用安全等级的访问控制方法的流程图;图2示意性示出了本专利技术一个实施例的基于应用安全等级的访问控制方法的步骤S14的细分流程图;图3示意性示出了本专利技术另一个实施例的基于应用安全等级的访问控制方法的步骤S14的细分流程图;以及图4示意性示出了本专利技术一个实施例的基于应用安全等级的访问控制装置的结构框图。【具体实施方式】下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本专利技术,而不能解释为对本专利技术的限制。本
技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本专利技术的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。本
技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本专利技术所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸本文档来自技高网...
【技术保护点】
一种基于应用安全等级的访问控制方法,其特征在于,所述方法包括:将移动终端的应用程序按照预设的安全等级划分为受控应用和非受控应用;在第一存储域存储所述受控应用,形成可信域;在第二存储域存储所述非受控应用,形成非可信域;采用身份认证机制对进入所述可信域的用户进行身份认证。
【技术特征摘要】
【专利技术属性】
技术研发人员:邵洁,朱晖,刘国庆,夏捷,
申请(专利权)人:数据通信科学技术研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。