本申请实施例提供了一种移动设备管理的安全管控方法、装置、介质和设备,应用于移动设备管理技术领域。该方法包括:响应于服务器发布的管控策略,通过第一操作系统控制移动设备执行管控策略;通过第二操作系统监控移动设备执行管控策略的执行结果,并将执行结果反馈给服务器,以便服务器基于执行结果判断管控策略是否被移动设备正确执行,第二操作系统的执行级别高于第一操作系统。本申请实施例实现了当第一操作系统受到应用级和内核级的恶意攻击时,第二操作系统能够及时上报服务器,以保障移动设备的安全性。移动设备的安全性。移动设备的安全性。
【技术实现步骤摘要】
一种移动设备管理的安全管控方法、装置、介质和设备
[0001]本申请涉及移动设备管理
,具体而言,本申请涉及一种移动设备管理的安全管控方法、装置、介质和设备。
技术介绍
[0002]自带设备办公让原本为个人消费者设计的智能手机和平板电脑,不断被企业用于承载关键业务及核心应用。同时,自带设备办公的策略也被大量引入企业,传统的IT管理在针对不断涌现的自带设备办公管理方面受到巨大的挑战,移动设备管理(Mobile Device Management,MDM)由此应运而生。MDM提供从设备注册、激活、使用、淘汰各个环节进行完整的移动设备全生命周期管理,能实现用户及设备管理、配置管理、安全管理、资产管理,还能提供全方位安全体系防护。
[0003]但是,移动设备的监管手段,远远落后于移动设备的联网能力,这会导致移动设备感染恶意软件机会增加;同时作为一种便携设备,员工可以随身携带,发生丢失、被盗的几率极高,而作为企业的接入终端,自带设备上有企业的机密数据,设备丢失威胁企业数据安全。
[0004]现有技术中,MDM安全管控是管控服务器端下发策略,管控客户端执行策略,并返回执行结构和终端状态给服务器端。而策略是否真正执行依赖于管控客户端以及系统内核的可信,如果内核被攻击返回虚假数值,或管控客户端被注入恶意代码,返回虚假值给管控服务器,服务器端无法分辨,策略是否真正执行,移动设备的安全性难以保障。
技术实现思路
[0005]本申请提供了一种移动设备管理的安全管控方法、装置、介质和设备,用于解决现有技术中移动设备的安全性能差的问题。
[0006]第一方面,本申请提供了一种移动设备管理的安全管控方法,该方法应用于包括两个操作系统的应用环境中,该方法包括:
[0007]响应于服务器发布的管控策略,通过第一操作系统控制移动设备执行管控策略;
[0008]通过第二操作系统监控移动设备执行管控策略的执行结果,并将执行结果反馈给服务器,以便服务器基于执行结果判断管控策略是否被移动设备正确执行,第二操作系统的执行级别高于第一操作系统。
[0009]本申请的实施例中,上述管控策略为在预设条件下管控该移动设备的外部设备的状态。
[0010]本申请的实施例中,通过第二操作系统监控移动设备执行管控策略的执行结果,包括:
[0011]通过第二操作系统利用虚拟机调用接口访问物理硬件,获取物理硬件的控制电位变化;
[0012]根据控制电位变化,获取在执行管控策略后外部设备的开启或者关闭的状态。
[0013]本申请的实施例中,通过第二操作系统监控移动设备执行管控策略的执行结果,包括:
[0014]通过第二操作系统利用虚拟化计时器周期性读取物理硬件的控制电位状态,控制电位状态表征移动设备在执行管控策略后外部设备开启或者关闭的状态。
[0015]本申请的实施例中,该方法还包括:
[0016]响应于服务器发送的管控策略没有被移动设备正确执行的消息,通过第二操作系统向第一操作系统发送虚拟中断指令;
[0017]通过第一操作系统根据虚拟中断指令,执行控制移动设备的外部设备关闭和控制移动设备重启或关闭中的至少一项。
[0018]本申请的实施例中,第一操作系统包括应用程序和Linux内核,第二操作系统为基于微内核的Hypervisor系统。
[0019]本申请的实施例中,应用环境基于ARM架构,应用程序位于EL0执行级别,Linux内核位于EL1执行级别,Hypervisor系统位于EL2执行级别。
[0020]第二方面,本申请提供了一种移动设备管理的安全管控装置,该装置应用于包括两个操作系统的应用环境中,该装置包括:
[0021]第一控制模块,用于响应于服务器发布的管控策略,通过第一操作系统控制移动设备执行管控策略;
[0022]反馈模块,用于通过第二操作系统监控移动设备执行管控策略的执行结果,并将执行结果反馈给服务器,以便服务器基于执行结果判断管控策略是否被移动设备正确执行,第二操作系统的执行级别高于第一操作系统。
[0023]本申请的实施例中,上述管控策略为在预设条件下管控该移动设备的外部设备的状态。
[0024]本申请的实施例中,上述反馈模块用于:
[0025]通过第二操作系统利用虚拟机调用接口访问物理硬件,获取物理硬件的控制电位变化;
[0026]根据控制电位变化,获取在执行管控策略后外部设备的开启或者关闭的状态。
[0027]本申请的实施例中,上述反馈模块用于:
[0028]通过第二操作系统利用虚拟化计时器周期性读取物理硬件的控制电位状态,控制电位状态表征移动设备在执行管控策略后外部设备开启或者关闭的状态。
[0029]本申请的实施例中,上述装置还包括:
[0030]发送模块,用于响应于服务器发送的管控策略没有被移动设备正确执行的消息,通过第二操作系统向第一操作系统发送虚拟中断指令;
[0031]第二控制模块,用于通过第一操作系统根据虚拟中断指令,执行控制移动设备的外部设备关闭和控制移动设备重启或关闭中的至少一项。
[0032]本申请的实施例中,第一操作系统包括应用程序和Linux内核,第二操作系统为基于微内核的Hypervisor系统。
[0033]本申请的实施例中,上述应用环境基于ARM架构,应用程序位于EL0执行级别,Linux内核位于EL1执行级别,Hypervisor系统位于EL2执行级别。
[0034]第三方面,本申请提供了一种计算机可读存储介质,计算机可读存储介质上存储
有计算机程序,该程序被处理器执行时实现如本申请第一方面的任一实施例所示的方法。
[0035]第四方面,本申请提供了一种电子设备,该电子设备包括:处理器、存储器、通信接口和通信总线,处理器、存储器和通信接口通过通信总线完成相互间的通信;
[0036]存储器用于存放至少一可执行指令,该可执行指令使处理器执行如本申请第一方面的任一实施例所示的方法对应的操作。
[0037]本申请实施例提供的技术方案带来的有益效果是:
[0038]本申请在第一操作系统控制移动设备执行完服务器发布的管控策略之后,执行级别高于第一操作系统的第二操作系统对移动设备的执行结果进行监控,以达到确认安全管控策略的真实执行情况的目的;由于第二操作系统的执行级别比第一操作系统的执行级别高,当第一操作系统受到应用级和内核级的恶意攻击时,第二操作系统能够及时上报服务器,以保障移动设备的安全性。
附图说明
[0039]为了更清楚地说明本申请实施例中的技术方案,下面将对本申请实施例描述中所需要使用的附图作简单地介绍。
[0040]图1为本申请实施例提供的一种移动设备管理的安全管控方法的流程示意图;
[0041]图2为本申请实施例提供的一种移动设备管理的安全管控方法中的ARM架构示意图;
[0042]图3为本申请实施例提供的一种本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种移动设备管理的安全管控方法,其特征在于,所述方法应用于包括两个操作系统的应用环境中,所述方法包括:响应于服务器发布的管控策略,通过第一操作系统控制移动设备执行所述管控策略;通过第二操作系统监控所述移动设备执行所述管控策略的执行结果,并将所述执行结果反馈给所述服务器,以便所述服务器基于所述执行结果判断所述管控策略是否被所述移动设备正确执行,其中,所述第二操作系统的执行级别高于所述第一操作系统。2.根据权利要求1所述的移动设备管理的安全管控方法,其特征在于,所述管控策略为在预设条件下管控所述移动设备的外部设备的状态。3.根据权利要求2所述的移动设备管理的安全管控方法,其特征在于,所述通过第二操作系统监控所述移动设备执行所述管控策略的执行结果,包括:通过所述第二操作系统利用虚拟机调用接口访问物理硬件,获取所述物理硬件的控制电位变化;根据所述控制电位变化,获取在执行所述管控策略后所述外部设备的开启或者关闭的状态。4.根据权利要求2所述的移动设备管理的安全管控方法,其特征在于,所述通过第二操作系统监控所述移动设备执行所述管控策略的执行结果,包括:通过所述第二操作系统利用虚拟化计时器周期性读取物理硬件的控制电位状态,所述控制电位状态表征所述移动设备在执行所述管控策略后所述外部设备的开启或者关闭的状态。5.根据权利要求1-4任一项所述的移动设备管理的安全管控方法,其特征在于,还包括:响应于所述服务器发送的所述管控策略没有被移动设备正确执行的消息,通过所述第二操作系统向所述第一操作系统发送虚拟中断指令;通过所述第...
【专利技术属性】
技术研发人员:姜哲,邹仕洪,张广伟,黄浩东,
申请(专利权)人:北京元心科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。