一種文本操作隔離的方法、裝置及移動終端的製作方法

2023-09-21 23:17:50 4

一種文本操作隔離的方法、裝置及移動終端的製作方法
【專利摘要】本發明實施例提供了一種文本操作隔離的方法、裝置及移動終端，其中方法包括：對移動終端中工作區和個人區發生的所有文本操作事件進行監聽；當監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕執行該粘貼操作。在實現用戶快捷的文本操作的同時，對工作區的數據實現了隔離和保護，有效地防止工作區內的數據洩露，保障了移動終端工作區的數據安全。
【專利說明】一種文本操作隔離的方法、裝置及移動終端

【技術領域】
[0001]本發明涉及移動終端安全管理領域，尤其涉及一種文本操作隔離的方法、裝置及移動終端。

【背景技術】
[0002]隨著移動終端的成熟與普及，以手機、平板電腦為代表的個人移動終端逐漸進入企業領域，這種現象被稱為自帶設備辦公(Bring Your Own Device,BY0D)。根據國際權威諮詢公司Gartner預測，到2014年90%的企業將會支持員工在個人移動終端上運行企業辦公應用程式，員工使用個人移動終端辦公已經成為一種無法逆轉的潮流。
[0003]在BYOD的場景中，同一移動終端上既有個人應用相關的程序和數據，也有企業應用的相關程序和數據，個人應用程式和數據所在的區域被稱為個人區，企業應用程式和數據所在的區域被稱為工作區。如果個人應用可以隨意訪問、存取企業數據，則將存在被個人應用非法上傳、共享和外洩的風險，因此，當前BYOD的場景中，需要將同一移動終端上的工作區與個人區的程序和數據隔離開來，在不影響個人區正常使用的前提下，保障企業數據的安全。
[0004]用戶在使用移動終端的各種功能和應用時，常常需要實現文本的複製、剪切、粘貼等操作，例如下述場景:用戶需要將其簡訊中的某段文本內容，複製粘貼到瀏覽器中作為關鍵詞進行相關的搜索，如何在當前BYOD場景中，在滿足用戶快捷的文本操作的同時，保障移動終端工作區的數據安全，是一個亟待解決的問題。


【發明內容】

[0005]鑑於上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的一種文本操作隔離的方法、裝置及移動終端。
[0006]依據本發明的一個方面，本發明實施例提供的文本操作隔離的方法，包括:
[0007]對移動終端中工作區和個人區發生的所有文本操作事件進行監聽；
[0008]當監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕執行該粘貼操作。
[0009]本發明實施例提供的文本操作隔離的方法，還可以包括:
[0010]當監聽到複製或剪切個人區的文本數據並請求粘貼至個人區的第二文本操作事件時，執行該粘貼操作；
[0011]當監聽到複製或剪切工作區的文本數據並請求粘貼至工作區的第三文本操作事件時，執行該粘貼操作；
[0012]當監聽到複製或剪切個人區的文本數據並請求粘貼至工作區的第四文本操作事件時，執行該粘貼操作。
[0013]所述複製或剪切工作區內的文本數據，具體包括:
[0014]接收用戶發起的對工作區內的文本數據進行複製或剪切的操作請求，將用戶在工作區內選定的文本數據寫入第一剪切板中；
[0015]所述複製或剪切個人區內的文本數據，具體包括:
[0016]接收用戶發起的對個人區內的文本數據進行複製或剪切的操作請求，將用戶在個人區內選定的文本數據寫入第二剪切板中；
[0017]所述第一剪切板是移動終端中為所述工作區設置的剪切板；所述第二剪切為移動終端中為所述個人區設置的剪切板；所述第一剪切板和第二剪切板為相互獨立的內存空間。
[0018]當監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕執行該粘貼操作，具體包括:
[0019]當監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕將第一剪切板當前的文本數據內容同步至第二剪切板，並向用戶返回粘貼操作失敗的響應消息。
[0020]當監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕將第一剪切板當前的文本數據內容同步至第二剪切板，具體通過下述方式實現:
[0021]對移動終端當前所處界面進行監測；
[0022]當監測到退出工作區的界面時，刪除為所述工作區設置的第一剪切板上的數據；
[0023]當監測到回到工作區的界面時，恢復之前刪除的第一剪切板上的數據。
[0024]當監聽到複製或剪切個人區的文本數據並請求粘貼至工作區的第四文本操作事件時，執行該粘貼操作，具體包括:
[0025]當監聽到複製或剪切個人區的文本數據並請求粘貼至工作區的第四文本操作事件時，將所述第二剪切板中的內容同步至第一剪切板中替換掉所述第一剪切板原有的文本數據；
[0026]將同步後第一剪切板中的文本數據輸出至所述工作區中用戶指定的區域。
[0027]發生於工作區內的文本操作事件，通過下述方式確定:
[0028]檢查發出文本操作事件的應用的數據包名；
[0029]將所述數據包名與預設的可信賴的應用列表進行比對，確定所述文本操作事件是否發生於所述工作區。
[0030]本發明提供的一種文本操作隔離的裝置，包括:
[0031]監聽模塊，用於對移動終端中工作區和個人區發生的所有文本操作事件進行監聽；
[0032]隔離控制模塊，用於當所述監聽模塊監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕執行該粘貼操作。
[0033]進一步地，所述隔離控制模塊，還用於當所述監聽模塊監聽到複製或剪切個人區的文本數據並請求粘貼至個人區的第二文本操作事件時，以及監聽到複製或剪切工作區的文本數據並請求粘貼至工作區的第三文本操作事件時，以及監聽到複製或剪切個人區的文本數據並請求粘貼至工作區的第四文本操作事件時，執行該粘貼操作。
[0034]進一步地，所述隔離控制模塊，包括:
[0035]第一剪切板操作子模塊，用於接收用戶發起的對工作區內的文本數據進行複製或剪切的操作請求，將用戶在工作區內選定的文本數據寫入第一剪切板中；
[0036]第二剪切板操作子模塊，用於接收用戶發起的對個人區內的文本數據進行複製或剪切的操作請求，將用戶在個人區內選定的文本數據寫入第二剪切板中；
[0037]所述第一剪切板是移動終端中為所述工作區設置的剪切板；所述第二剪切為移動終端中為所述個人區設置的剪切板；所述第一剪切板和第二剪切板為相互獨立的內存空間。
[0038]進一步地，所述第二剪切板操作子模塊，還用於當所述監聽模塊監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，向所述第一剪切板操作子模塊發起將第一剪切板當前的文本數據內容同步至第一剪切板的訪問請求；
[0039]相應地，所述第一剪切板操作子模塊，還用於當所述監聽模塊監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕第二剪切板操作子模塊發起的訪問請求，並向用戶返回粘貼操作失敗的響應消息。
[0040]進一步地，上述第一剪切板操作子模塊，具體用於對移動終端當前所處界面進行監測；當監測到退出工作區的界面時，刪除為所述工作區設置的第一剪切板上的數據；當監測到回到工作區的界面時，恢復之前刪除的第一剪切板上的數據。
[0041]進一步地，所述第二剪切板操作子模塊，還用於當監聽到複製或剪切個人區的文本數據並請求粘貼至工作區的第四文本操作事件時，接收所述第一剪切板操作子模塊的訪問請求，將所述第二剪切板中的內容同步至第一剪切板；
[0042]相應地，所述第一剪切板操作子模塊，還用於將同步過來的文本數據替換掉所述第一剪切板原有的文本數據，並將同步後第一剪切板中的文本數據輸出至所述工作區中用戶指定的區域。
[0043]進一步地，上述監聽模塊，具體用於通過下述方式確定發生於工作區內的文本操作事件:檢查發出文本操作事件的應用的數據包名；將所述數據包名與預設的可信賴的應用列表進行比對，確定所述文本操作事件是否發生於所述工作區。
[0044]本發明實施例提供的移動終端，包括本發明實施例提供的文本操作隔離的裝置。
[0045]本發明實施例的有益效果包括:
[0046]本發明實施例提供的上述一種文本操作隔離的方法、裝置及移動終端，對移動終端中工作區和個人區發生的所有文本操作事件進行監聽，當監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕執行該粘貼操作。在實現用戶快捷的文本操作保證良好使用體驗的同時，對工作區的數據實現了隔離和保護，有效地防止工作區內的數據洩露，保障了移動終端工作區的數據安全。
[0047]上述說明僅是本發明技術方案的概述，為了能夠更清楚了解本發明的技術手段，而可依照說明書的內容予以實施，並且為了讓本發明的上述和其它目的、特徵和優點能夠更明顯易懂，以下特舉本發明的【具體實施方式】。

【專利附圖】

【附圖說明】
[0048]通過閱讀下文優選實施方式的詳細描述，各種其他的優點和益處對於本領域普通技術人員將變得清楚明了。附圖僅用於示出優選實施方式的目的，而並不認為是對本發明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中:
[0049]圖1為本發明實施例提供的一種文本操作隔離的方法的流程圖；
[0050]圖2為本發明實施例提供的當監聽到第四文本操作事件時，執行粘貼操作的後臺處理流程圖；
[0051]圖3為本發明實施例提供的當監聽到第一文本操作事件時，執行粘貼操作的後臺處理流程圖；
[0052]圖4為本發明實施例提供的一種文本操作隔離的裝置的結構示意圖；
[0053]圖5為本發明實施例提供的隔離控制模塊的結構示意圖。

【具體實施方式】
[0054]下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應當理解，可以以各種形式實現本公開而不應被這裡闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，並且能夠將本公開的範圍完整的傳達給本領域的技術人員。
[0055]下面結合說明書附圖，對本發明實施例提供的一種文本操作隔離的方法、裝置及移動終端的【具體實施方式】進行說明。
[0056]首先，對本發明實施例提供的移動終端的企業管理系統的系統架構進行說明。本發明實施例可以部署在企業內網的服務端和安裝在需要被管理的移動終端上的客戶端，本發明實施例中，將部署在企業內網的服務端稱為伺服器，安裝在需要被管理的移動終端上的客戶端稱為企業管理客戶端。其中:伺服器的主要功能包括:管理、下發企業內網的應用，以及管理、下發安全策略等；企業管理伺服器還提供豐富的移動終端統計與管理工具，企業管理員可以通過伺服器查看每個需要被管理的移動終端的詳細信息，包括:終端型號、系統版本、國際行動裝置識別碼(Internat1nal Mobile Equipment Identificat1nNumber, IMEI)、序列號、MSISDN (移動臺識別號碼，俗稱手機號碼)、是否離線、是否Root (超級用戶)、更換密碼時間、是否安裝安全軟體、電源信息、無線網絡信息等。企業管理客戶端的主要功能包括:數據防洩密，執行安全策略等，數據防洩密包括數據加密、數據隔離等，加密的數據可以是涉及系統文件內的數據；或者是用戶選定的財務文件、生產文件、銷售文件、市場文件、人力資源文件等內的數據；還可以是用戶個人文件的數據，例如:照片、視頻、日誌等。
[0057]在對本發明實施例提供的文本操作隔離的方法進行說明之前，對本發明實施例涉及到的移動終端的個人區和工作區的定義進行簡單說明，在本發明實施例中，工作區和個人區可以定義如下:
[0058]工作區和個人區的定義，在設備使用過程中，為了方便管理設備中的個人資料和工作資料，可以在設備中劃出一部分存儲空間，配置新的權限信息，可以用於存儲和管理工作資料。而該設備剩下的存儲空間，可以用於存儲、管理個人資料或者其他資料，剩下的存儲空間可以擁有初始的權限信息。相對而言，存儲工作資料的存儲空間可以稱之為工作區，而存儲個人資料的存儲空間可以稱之為個人區。
[0059]此外，為方便操作，個人區和工作區可以具有不同的用戶界面(User Interface,Π)，但是可以共同使用某些系統文件。
[0060]上述工作區在具體實施時，可以通過設置在移動終端中的企業管理客戶端實現，企業管理客戶端上可以有工作區設置的各種應用，為了數據安全起見，在網絡側可以有專門設置的企業管理伺服器，該企業管理伺服器可以為工作區內的應用、系統程序等提供後臺數據服務。同時，企業管理客戶端(工作區)還可以與個人區共享一些系統文件以實現一些常見的系統功能。在安全規則控制的前提下，企業管理客戶端還可以訪問個人區中的應用(通常是經過驗證的合法的應用，包括伺服器側推送的第三方應用等)。
[0061]本發明實施例提供的一種文本操作隔離的方法，如圖1所示，具體包括以下步驟:
[0062]S101、對移動終端中工作區和個人區發生的所有文本操作事件進行監聽；
[0063]S102、判斷是否發生了第一文本操作事件，第一文本操作事件是指複製或剪切工作區內的文本數據並請求粘貼至個人區的事件；若監聽到了第一文本操作事件，則執行下述S103，否則轉向SlOl ；
[0064]S103、拒絕執行該粘貼操作。
[0065]本發明實施例中，為了有效的保證移動終端中工作區的信息安全，在每次用戶打開企業管理客戶端時，該企業管理客戶端向伺服器發送登錄信息。其中該登錄信息中攜帶該移動終端的標識信息，其中該移動終端的標識信息可以是移動終端的國際行動裝置身份碼(Internat1nal Mobile Equipment Identity, IMEI)信息，以便伺服器根據該登錄信息中攜帶的信息，判斷該企業管理客戶端是否為合規客戶端。
[0066]企業管理客戶端在向伺服器發送到登錄信息時，可以通過伺服器及企業管理客戶端之間的建立的統一的通道發送，或者也可以採用其他形式發送，只要能在用戶打開該企業管理客戶端時，向伺服器發送登錄信息即可。伺服器為了有效的控制每個移動終端中工作區的信息安全，可以針對每個企業管理客戶端設置其對應的合規性檢測規則，或者針對每個用戶設置其對應的合規性檢測規則，而為每個用戶分配的移動終端可能包含多個，該合規性檢測規則可以設置在配置文件中。當伺服器接收到企業管理客戶端發送的登錄信息時，調用針對該企業管理客戶端設置的配置文件，根據該配置文件中的合規性檢測規則，確定該企業管理客戶端是否為合規客戶端。
[0067]當伺服器根據保存的合規性檢測規則，檢測該企業管理客戶端為合規客戶端時，允許用戶進入該企業管理客戶端的工作區。具體的，伺服器可以向企業管理客戶端發送控制信息，該控制信息中攜帶允許用戶進入工作區的控制欄位，當企業管理客戶端接收並解析該控制信息後，允許用戶進入工作區。當伺服器根據保存的合規性檢測規則，檢測該企業管理客戶端為非合規客戶端時，不允許用戶進入該企業管理客戶端的工作區。具體的，伺服器可以向企業管理客戶端發送控制信息，該控制信息中攜帶禁止用戶進入工作區的控制欄位，當企業管理客戶端接收並解析該控制信息後，禁止用戶進入工作區。具體的企業管理客戶端可以將工作區鎖定，使用戶無法進入工作區。
[0068]在本發明實施例中，基於BYOD的使用場景的需求，需要在滿足用戶快捷的文本操作的同時，進行工作區的應用程式和數據的隔離，通常，在文本操作至少包含了下述幾種操作中的一種或幾種:複製、剪切和粘貼；
[0069]本發明實施例提供的文本操作隔離的方法的SlOl的步驟，需要對移動終端中工作區和個人區發生的所有文本操作事件進行監聽，這些文本操作事件可能包含下述三種情況:
[0070]1、僅發生在工作區內部的複製、剪切、粘貼等操作；
[0071]2、僅發生在個人區內部的複製、剪切、粘貼等操作；
[0072]3、跨越個人區和工作區的複製、剪切、粘貼的操作。
[0073]監聽的過程中，一旦用戶發起在工作區內文本複製(或剪切)的請求，工作區完成了用戶指定文本數據的複製(或剪切)的操作，並且用戶再次進入個人區，發起在個人區內進行文本粘貼的請求時，則認為第一文本操作事件發生。
[0074]在移動終端側，對於是否發生於工作區內的文本操作事件，可以通過發起文本操作的應用的數據包名來判斷，在移動終端側，預先保存有可信賴的應用列表，該應用列表中，既包含了工作區內預置的各種應用，還可以包含用戶在工作區內按照自身需求安裝的經過合法性檢查後的第三方應用，通過發起文本操作的應用的數據包名，就可以確定是否是發生於工作區內的文本操作事件。
[0075]對於第三方應用，通過Hook第三方應用的startactivity方法，把StubPathHooker的smali通過插包的方式重打包進第三方App。
[0076]在第一文本操作事件發生的情況下，拒絕執行該粘貼操作，則阻止了工作區內的數據進入到個人區，實現了工作區的數據安全。
[0077]進一步地，在本發明實施例提供的文本操作隔離的方法，還可以包括下述步驟:
[0078]當監聽到複製或剪切個人區的文本數據並請求粘貼至個人區的第二文本操作事件時，執行該粘貼操作；
[0079]當監聽到複製或剪切工作區的文本數據並請求粘貼至工作區的第三文本操作事件時，執行該粘貼操作；
[0080]當監聽到複製或剪切個人區的文本數據並請求粘貼至工作區的第四文本操作事件時，執行該粘貼操作。
[0081]上述第二?四文本操作事件的監聽方法與前述第一文本操作事件的方法相似，在此不再贅述。
[0082]進一步地，為了實現工作區和個人區的文本操作，本發明實施例分別為移動終端的工作區和個人區分配了兩個獨立的內存空間，分別作為個人區和工作區的剪切板，以下為了方便說明，將移動終端中為工作區設置的剪切板稱為第一剪切板，將移動終端中為個人區設置的剪切板稱為第二剪切板。
[0083]具體來說，前述複製或剪切工作區內的文本數據，具體可通過下述步驟實現:
[0084]接收用戶發起的對工作區內的文本數據進行複製或剪切的操作請求，將用戶在工作區內選定的文本數據寫入第一剪切板中。
[0085]前述複製或剪切個人區內的文本數據，具體可通過下述步驟實現:
[0086]接收用戶發起的對個人區內的文本數據進行複製或剪切的操作請求，將用戶在個人區內選定的文本數據寫入第二剪切板中。
[0087]第一剪切板和第二剪切板，除了分別實現工作區內部或者個人區內部的複製、剪切和粘貼的操作之外，還可以實現跨個人區和工作區的複製、剪切、粘貼的操作，但是，這種文本操作是單方向的，正如前述方法的說明，個人區的數據可以進入工作區，而工作區的數據無法進入個人區，具體來說:
[0088]當監聽複製或剪切個人區的文本數據並請求粘貼至工作區的第四文本操作事件時，執行該粘貼操作，其後臺實現方案如圖2所示:
[0089]S201、當監聽到複製或剪切個人區的文本數據並請求粘貼至工作區的第四文本操作事件時，將第二剪切板中的內容同步至第一剪切板中替換掉所述第一剪切板原有的文本數據；
[0090]S202、將同步後第一剪切板中的文本數據輸出至工作區中用戶指定的區域。
[0091]當監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕執行該粘貼操作，其後臺實現方案如圖3所示:
[0092]S301、當監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕將第一剪切板當前的文本數據內容同步至第二剪切板；
[0093]S302、向用戶返回粘貼操作失敗的響應消息。
[0094]進一步地，本發明實施例提供的上述文本操作隔離的方法在具體實施時，可以採用下述機制來實現複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕將第一剪切板當前的文本數據內容同步至第二剪切板:
[0095]實時地對移動終端當前的界面進行監測，例如檢查topactivity即當前界面是否為工作區的界面(若未鎖屏界面則認為還未進入工作區的界面)；
[0096]用戶大部分時間可能會涉及個人區的操作，而比較少的時間涉及工作區的操作。當涉及工作區的操作時，由於休息等原因需要主動對移動終端的工作區進行加密，或者由於移動終端太久沒有操作信息而自動對工作區進行加密，在移動終端工作區加密後再次解密才會回到工作區。另外，移動終端的個人區本身也有具有一定的加密設置，當進入工作區時，需要進行個人區的權限信息的解密，再進行工作區的權限信息的解密，才能進入工作區。
[0097]當判斷用戶當前退出了工作區的界面，則需要將第一剪切板即系統為工作區設置的剪切板中的內容刪掉，防止用戶將工作區的內容複製粘貼到工作區之外的個人區中去；
[0098]當判斷用戶回到工作區的界面時，則需要將之前刪除掉的第一剪切板上的內容進行恢復，保證工作區內文本操作的正常進行。
[0099]在這種機制下，用戶退出工作區後，在個人區內發出粘貼工作區的內容的指令時，由於第一剪切板中的內容為空，第二剪切板無法訪問相關內容，自然只能返回粘貼操作失敗的響應消息。
[0100]本發明實施例中，建立該工作區的目的在於存儲工作中所產生的數據，實現將工作區中的數據與個人區的數據進行隔離存儲，以便對工作區中的數據進行管理。
[0101]本發明實施例在具體實施時，也可以結合VPN來實現，客戶端的作業系統為了便於使用VPN (虛擬專用網絡,Virtual Private Network)服務,開放了多個系統接口(API),在得到用戶確認的情況下，VPN服務能夠獲得控制和管理其它應用的權限。本發明實施例通過調用作業系統提供的API，將客戶端內部的VPN服務打開，當客戶端的其它應用要訪問網絡時，應用所發起的網絡連接請求均經過本地VPN服務的處理，使得客戶端能夠有效且安全地訪問網絡資源。客戶端在安裝或首次啟動用於實現本發明方案的獨立的應用(以下稱為本發明應用)時，本發明應用需要創建本地VPN服務，此時本發明應用向用戶發出信任或不信任本應用的提示信息，如果用戶選擇信任，則本發明應用創建本地VPN服務。在創建本地VPN服務之後，由於在作業系統框架內允許VPN框架裡的應用對其它應用具有更高的控制權，所以本發明應用對於網絡連接的控制級別高於其它應用。在上述的隔離文本操作之前，在客戶端內部創建VPN服務(VPN client)，根據用戶的操作在客戶端後臺啟動VPNclient，進而在客戶端VPN伺服器之間建立VPN通道，使得客戶端的VPN client經由VPN通道能夠連接到VPN伺服器來安全地訪問應用信息。
[0102]本發明實施例在具體實施時，可選地，為了保證工作區數據的安全，工作區的數據採用加密的方式進行保存，用戶可以為工作區的數據設置解鎖密碼，當用戶輸入的解鎖碼正確時，才允許用戶訪問工作區。
[0103]以在安卓系統中為例，在對工作區的數據設置解鎖密碼並隔離保存時，可以採取如下方式:
[0104]分別創建並記錄用戶的個人區和工作區的Launcher，在顯示桌面前，提示用戶輸入密碼。若用戶進行工作區的登入合法，則啟動工作區Launcher，給用戶提供工作區的桌面，用戶可以通過該桌面進入工作區中的應用；若用戶未進行登錄，則從選擇默認的個人區Launcher啟動,用戶通過該默認的Launcher進入個人區的應用，以達到工作區和個人區的隔離。
[0105]其中，Launcher為安卓系統中的啟動器或者桌面，可以從桌面上的圖標進入其他應用。
[0106]接下來，對文本操作事件進行監聽，並判斷該文本操作事件是否符合預先設定的安全規則(即不允許工作區的數據洩露至個人區的規則)。即判斷是從工作區內部的文本操作事件，還是個人區內部的文本操作事件，還是跨越工作區和個人區的文本操作事件，前面兩種情況不涉及到工作區的數據的安全問題，通常就直接執行，第三種情況，如果涉及到工作區的數據需要拷貝到個人區，則不符合安全規則，移動終端拒絕該操作的執行。
[0107]文本操作的對象可能是系統相關的文本內容，也可以是工作區或個人區中安裝的各應用相關的文本內容，或者是第三方應用相關信息，本發明實施例對此不做限定。
[0108]本實施例中，為了能夠更好地對工作區的數據進行管理，移動終端中可以預先設置兩個不同的通訊錄，其中，一個為用於工作的企業通訊錄，另一個為用戶的私人通訊錄，通訊錄中可以保存有聯繫人的電話，郵箱，即時通訊等聯繫方式。
[0109]其中，企業通訊錄設置在上述工作區內，企業通訊錄中存儲有與該用戶工作相關的聯繫人，例如，企業通訊錄中包括的聯繫人可以是該用戶所處部門的全部同事。
[0110]另外，為了方便對企業通訊錄進行管理和更新，該企業通訊錄還可以與伺服器端同步，即用戶的企業通訊錄則會定時根據伺服器來進行同步更新，例如，企業通訊錄管理人員新加入了聯繫人，則該聯繫人也會更新至用戶的企業通訊錄中。
[0111]需要說明的是，處於相同部門的用戶，其所面對的工作聯繫人往往是不同的，例如，用戶A所屬行政部，其與人事部的工作來往較為密切，用戶B也所屬行政部，而其與國際部的工作來往較為密切，而往往企業通訊錄中只會存儲有該部門所共同的工作聯繫人，不能完全涵蓋每個同事所面對的工作聯繫人。
[0112]所以，本實施例為了滿足不同用戶的需求，在工作區中，除存儲有上述企業通訊錄之外，還可以存儲用戶個人導入的聯繫人，這些聯繫人可以為與該用戶工作關係密切而又非本部門的聯繫人。
[0113]基於同一發明構思，本發明實施例還提供了一種文本操作隔離的裝置及移動終端，由於該裝置和移動終端所解決問題的原理與前述文本操作隔離的方法相似，因此該裝置和移動終端的實施可以參見前述方法的實施，重複之處不再贅述。
[0114]本發明實施例提供的文本操作隔離的裝置，在具體實施時，可以通過企業管理客戶端來實現，企業管理客戶端是企業管理系統的組成部分，為了解決移動終端移動辦公的安全問題，可採用移動終端的企業管理系統來實現，移動終端的企業管理系統是面向企業的移動終端管理平臺，包括部署在企業內網的服務端和安裝在需要被管理的移動終端上的客戶端，以下將部署在企業內網的服務端稱為伺服器，安裝在需要被管理的移動終端上的客戶端稱為企業管理客戶端。其中:
[0115]伺服器的主要功能包括:管理、下發企業內網的應用，以及管理、下發安全策略等；伺服器還提供豐富的移動終端統計與管理工具，企業管理員可以通過伺服器查看每個需要被管理的移動終端的詳細信息，包括:終端型號、系統版本、國際行動裝置識別碼(Internat1nal Mobile Equipment Identificat1n Number, IMEI)、序列號、移動臺識別號碼(MSISDN，俗稱手機號碼)、是否離線、是否超級用戶(Root)、更換密碼時間、是否安裝安全軟體、電源信息、無線網絡信息等。
[0116]企業管理客戶端的主要功能包括:數據防洩密，執行安全策略等，數據防洩密包括數據加密、數據隔離(包括文本數據)等，加密的數據可以是涉及系統文件內的數據；或者是用戶選定的財務文件、生產文件、銷售文件、市場文件、人力資源文件等內的數據；還可以是用戶個人文件的數據，例如:照片、視頻、日誌等。以在安卓(Android)系統上實現為例對數據加密進行簡要說明。數據加密是通過.so (動態連結庫)文件實現，主要是在應用程式中注入代碼，使得安卓安裝包(Android Package, apk)初始化時去調用該.so文件,要保證.so文件運行的時機比應用程式的讀寫文件的時間早，如果晚了文件就會變成「一半加密的狀態」，導致文件損壞。通過數據加密，.so文件會攔截該應用程式的所有文件操作，實現加密。
[0117]本發明實施例提供的移動終端的企業管理系統，基於企業管理客戶端的數據防洩密機制，在不影響企業員工對個人應用使用感受的基礎上，在移動終端上建立了一個安全、獨立的工作區內存空間，工作區內存空間(簡稱工作區)是指分配給企業管理客戶端的內存空間，所有的企業應用和數據存儲在受保護的工作區內。相應的，移動終端的內存空間中工作區內存空間之外的內存空間稱為個人區內存空間(簡稱個人區)，所有的個人應用和數據存儲在個人區內，個人應用無法訪問企業數據，從而避免企業數據被個人應用非法訪問、存取。本發明實施例提供的移動終端的企業管理系統，不僅將企業數據和個人數據完全隔離，更好地保護企業應用和數據。
[0118]企業管理伺服器提供兩種應用程式下發方式:自由安裝和強制安裝。通過自由安裝方式下發的應用程式，供企業用戶自由選擇下載安裝；通過強制安裝方式下發的應用程式，企業用戶需安裝該應用程式後才能正常使用工作區。具體實施中，針對工作區內的企業應用，一般採用強制安裝方式；針對個人區內的個人應用，一般採用自由安裝方式。當然也可以對工作區內的企業應用採用自由安裝方式。通過自由安裝方式下發的應用程式，將顯示在工作區企業應用市場的應用列表中，客戶端用戶可自由選擇下載安裝；通過強制安裝方式下發的應用，客戶端用戶需安裝此應用才能正常使用工作區。
[0119]由於移動終端一般是企業配發給企業員工的，採用應用黑白名單，可以對個人區內的個人應用提供的安全管理機制。應用黑名單中會列出禁止安裝的應用程式的名稱及版本號，應用白名單中會列出僅允許安裝的應用程式的名稱及版本號。
[0120]應用黑名單或應用白名單的設置都是企業管理員可以配置的。企業管理員對應用黑名單或者應用白名單的設置包括如下場景:
[0121]場景一、企業所有移動終端設備，僅允許企業員工辦公使用，因此會限制僅允許安裝辦公使用的應用程式，即可以採用應用白名單的方式限定僅允許安裝工作相關的應用程式。
[0122]場景二、禁止被曝出有安全漏洞或惡意行為的應用程式的安裝。例如一些特定的應用程式，或者是安全軟體查出有惡意行為的應用程式，或者是漏洞掃描功能掃描出的有安全漏洞的應用程式等，即可以採用應用黑名單的方式禁止有安全漏洞或惡意行為的應用程式的安裝。
[0123]場景三、禁止某些文件分享類應用程式的安裝，例如網盤等應用程式的安裝，因為文件分享類應用程式會導致企業內部的資源被上傳到雲端，從而破壞了企業信息的私密性，即可以採用應用黑名單的方式禁止文件分享類應用程式的安裝。
[0124]其他具體場景不再一一列舉，總之，企業可以按照本企業的實際需求，採用應用黑名單或者應用白名單的方式，靈活的控制每一個用戶組中應用程式的安裝。
[0125]本發明實施例提供的文本操作隔離的裝置，如圖4所示，包括:
[0126]監聽模塊401，用於對移動終端中工作區和個人區發生的所有文本操作事件進行監聽；
[0127]隔離控制模塊402，用於當監聽模塊401監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕執行該粘貼操作。
[0128]進一步地，隔離控制模塊402，還用於當監聽模塊401監聽到複製或剪切個人區的文本數據並請求粘貼至個人區的第二文本操作事件時，以及監聽到複製或剪切工作區的文本數據並請求粘貼至工作區的第三文本操作事件時，以及監聽到複製或剪切個人區的文本數據並請求粘貼至工作區的第四文本操作事件時，執行該粘貼操作。
[0129]進一步地，上述所述隔離控制模塊402，如圖5所示，具體包括:
[0130]第一剪切板操作子模塊501，用於接收用戶發起的對工作區內的文本數據進行複製或剪切的操作請求，將用戶在工作區內選定的文本數據寫入第一剪切板中；
[0131]第二剪切板操作子模塊502，用於接收用戶發起的對個人區內的文本數據進行複製或剪切的操作請求，將用戶在個人區內選定的文本數據寫入第二剪切板中；
[0132]上述第一剪切板是移動終端中為所述工作區設置的剪切板；上述第二剪切為移動終端中為所述個人區設置的剪切板；第一剪切板和第二剪切板為相互獨立的內存空間。
[0133]進一步地，第二剪切板操作子模塊502，還用於當監聽模塊401監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，向第一剪切板操作子模塊發起將第一剪切板當前的文本數據內容同步至第一剪切板的訪問請求；
[0134]第一剪切板操作子模塊501，還用於當監聽模塊401監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕第二剪切板操作子模塊502發起的訪問請求，並向用戶返回粘貼操作失敗的響應消息。
[0135]進一步地，上述第一剪切板操作子模塊501，具體用於對移動終端當前所處界面進行監測；當監測到退出工作區的界面時，刪除為所述工作區設置的第一剪切板上的數據；當監測到回到工作區的界面時，恢復之前刪除的第一剪切板上的數據。
[0136]進一步地，第二剪切板操作子模塊502，還用於當監聽到複製或剪切個人區的文本數據並請求粘貼至工作區的第四文本操作事件時，接收所述第一剪切板操作子模塊501的訪問請求，將所述第二剪切板中的內容同步至第一剪切板；
[0137]第一剪切板操作子模塊501，還用於將同步過來的文本數據替換掉第一剪切板原有的文本數據，並將同步後第一剪切板中的文本數據輸出至所述工作區中用戶指定的區域。
[0138]進一步地，上述監聽模塊401，具體用於通過下述方式確定發生於工作區內的文本操作事件:檢查發出文本操作事件的應用的數據包名；將所述數據包名與預設的可信賴的應用列表進行比對，確定所述文本操作事件是否發生於所述工作區。
[0139]本發明實施例還提供了一種移動終端，該移動終端包括前述本發明實施例提供的文本操作隔離的裝置。
[0140]使用本發明的裝置可以提供移動應用加固功能，所有上傳的APP均經過病毒檢測和加固保護，杜絕惡意篡改、代碼注入、內存修改、竊取數據、反編譯等威脅，保證工作區內使用的移動應用安全可靠。本發明實施例提供的上述一種文本操作隔離的方法、裝置及移動終端，對移動終端中工作區和個人區發生的所有文本操作事件進行監聽，當監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕執行該粘貼操作。在實現用戶快捷的文本操作保證良好使用體驗的同時，對工作區的數據實現了隔離和保護，有效地防止工作區內的數據洩露，保障了移動終端工作區的數據安全。
[0141]在此提供的算法和顯示不與任何特定計算機、虛擬系統或者其它設備固有相關。各種通用系統也可以與基於在此的示教一起使用。根據上面的描述，構造這類系統所要求的結構是顯而易見的。此外，本發明也不針對任何特定程式語言。應當明白，可以利用各種程式語言實現在此描述的本發明的內容，並且上面對特定語言所做的描述是為了披露本發明的最佳實施方式。
[0142]在此處所提供的說明書中，說明了大量具體細節。然而，能夠理解，本發明的實施例可以在沒有這些具體細節的情況下實踐。在一些實例中，並未詳細示出公知的方法、結構和技術，以便不模糊對本說明書的理解。
[0143]類似地，應當理解，為了精簡本公開並幫助理解各個發明方面中的一個或多個，在上面對本發明的示例性實施例的描述中，本發明的各個特徵有時被一起分組到單個實施例、圖、或者對其的描述中。然而，並不應將該公開的方法解釋成反映如下意圖:即所要求保護的本發明要求比在每個權利要求中所明確記載的特徵更多的特徵。更確切地說，如下面的權利要求書所反映的那樣，發明方面在於少於前面公開的單個實施例的所有特徵。因此，遵循【具體實施方式】的權利要求書由此明確地併入該【具體實施方式】，其中每個權利要求本身都作為本發明的單獨實施例。
[0144]本領域那些技術人員可以理解，可以對實施例中的設備中的模塊進行自適應性地改變並且把它們設置在與該實施例不同的一個或多個設備中。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件，以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特徵和/或過程或者單元中的至少一些是相互排斥之外，可以採用任何組合對本說明書(包括伴隨的權利要求、摘要和附圖)中公開的所有特徵以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述，本說明書(包括伴隨的權利要求、摘要和附圖)中公開的每個特徵可以由提供相同、等同或相似目的的替代特徵來代替。
[0145]此外，本領域的技術人員能夠理解，儘管在此所述的一些實施例包括其它實施例中所包括的某些特徵而不是其它特徵，但是不同實施例的特徵的組合意味著處於本發明的範圍之內並且形成不同的實施例。例如，在下面的權利要求書中，所要求保護的實施例的任意之一都可以以任意的組合方式來使用。
[0146]本發明的各個部件實施例可以以硬體實現，或者以在一個或者多個處理器上運行的軟體模塊實現，或者以它們的組合實現。本領域的技術人員應當理解，可以在實踐中使用微處理器或者數位訊號處理器(DSP)來實現根據本發明實施例的文本操作隔離的裝置以及移動終端中的一些或者全部部件的一些或者全部功能。本發明還可以實現為用於執行這裡所描述的方法的一部分或者全部的設備或者裝置程序(例如，電腦程式和電腦程式產品)。這樣的實現本發明的程序可以存儲在計算機可讀介質上，或者可以具有一個或者多個信號的形式。這樣的信號可以從網際網路網站上下載得到，或者在載體信號上提供，或者以任何其他形式提供。
[0147]應該注意的是上述實施例對本發明進行說明而不是對本發明進行限制，並且本領域技術人員在不脫離所附權利要求的範圍的情況下可設計出替換實施例。在權利要求中，不應將位於括號之間的任何參考符號構造成對權利要求的限制。單詞「包含」不排除存在未列在權利要求中的元件或步驟。位於元件之前的單詞「一」或「一個」不排除存在多個這樣的元件。本發明可以藉助於包括有若干不同元件的硬體以及藉助於適當編程的計算機來實現。在列舉了若干裝置的單元權利要求中，這些裝置中的若干個可以是通過同一個硬體項來具體體現。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。
[0148]顯然，本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和範圍。這樣，倘若本發明的這些修改和變型屬於本發明權利要求及其等同技術的範圍之內，則本發明也意圖包含這些改動和變型在內。
【權利要求】
1.一種文本操作隔離的方法，其特徵在於，包括: 對移動終端中工作區和個人區發生的所有文本操作事件進行監聽； 當監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕執行該粘貼操作。
2.如權利要求1所述的方法，其特徵在於，還包括: 當監聽到複製或剪切個人區的文本數據並請求粘貼至個人區的第二文本操作事件時，執行該粘貼操作； 當監聽到複製或剪切工作區的文本數據並請求粘貼至工作區的第三文本操作事件時，執行該粘貼操作； 當監聽到複製或剪切個人區的文本數據並請求粘貼至工作區的第四文本操作事件時，執行該粘貼操作。
3.如權利要求1或2所述的方法，其特徵在於，所述複製或剪切工作區內的文本數據，具體包括: 接收用戶發起的對工作區內的文本數據進行複製或剪切的操作請求，將用戶在工作區內選定的文本數據寫入第一剪切板中； 所述複製或剪切個人區內的文本數據，具體包括: 接收用戶發起的對個人區內的文本數據進行複製或剪切的操作請求，將用戶在個人區內選定的文本數據寫入第二剪切板中； 所述第一剪切板是移動終端中為所述工作區設置的剪切板；所述第二剪切為移動終端中為所述個人區設置的剪切板；所述第一剪切板和第二剪切板為相互獨立的內存空間。
4.如權利要求3所述的方法，其特徵在於，當監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕執行該粘貼操作，具體包括: 當監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕將第一剪切板當前的文本數據內容同步至第二剪切板，並向用戶返回粘貼操作失敗的響應消息。
5.如權利要求4所述的方法，其特徵在於，當監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕將第一剪切板當前的文本數據內容同步至第二剪切板，具體通過下述方式實現: 對移動終端當前所處界面進行監測； 當監測到退出工作區的界面時，刪除為所述工作區設置的第一剪切板上的數據； 當監測到回到工作區的界面時，恢復之前刪除的第一剪切板上的數據。
6.如權利要求3所述的方法，其特徵在於，當監聽到複製或剪切個人區的文本數據並請求粘貼至工作區的第四文本操作事件時，執行該粘貼操作，具體包括: 當監聽到複製或剪切個人區的文本數據並請求粘貼至工作區的第四文本操作事件時，將所述第二剪切板中的內容同步至第一剪切板中替換掉所述第一剪切板原有的文本數據； 將同步後第一剪切板中的文本數據輸出至所述工作區中用戶指定的區域。
7.一種文本操作隔離的裝置，其特徵在於，包括: 監聽模塊，用於對移動終端中工作區和個人區發生的所有文本操作事件進行監聽； 隔離控制模塊，用於當所述監聽模塊監聽到複製或剪切工作區內的文本數據並請求粘貼至個人區的第一文本操作事件時，拒絕執行該粘貼操作。
8.如權利要求7所述的裝置，其特徵在於，所述隔離控制模塊，還用於當所述監聽模塊監聽到複製或剪切個人區的文本數據並請求粘貼至個人區的第二文本操作事件時，以及監聽到複製或剪切工作區的文本數據並請求粘貼至工作區的第三文本操作事件時，以及監聽到複製或剪切個人區的文本數據並請求粘貼至工作區的第四文本操作事件時，執行該粘貼操作。
9.如權利要求7或8所述的裝置，其特徵在於，所述隔離控制模塊，包括: 第一剪切板操作子模塊，用於接收用戶發起的對工作區內的文本數據進行複製或剪切的操作請求，將用戶在工作區內選定的文本數據寫入第一剪切板中； 第二剪切板操作子模塊，用於接收用戶發起的對個人區內的文本數據進行複製或剪切的操作請求，將用戶在個人區內選定的文本數據寫入第二剪切板中； 所述第一剪切板是移動終端中為所述工作區設置的剪切板；所述第二剪切為移動終端中為所述個人區設置的剪切板；所述第一剪切板和第二剪切板為相互獨立的內存空間。
10.一種移動終端，其特徵在於，所述移動終端包括如權利要求7-9任一項所述的文本操作隔離的裝置。
【文檔編號】G06F17/24GK104268479SQ201410514562
【公開日】2015年1月7日 申請日期:2014年9月29日 優先權日:2014年9月29日
【發明者】竇文科, 李旋, 鹿亮, 張晨 申請人:北京奇虎科技有限公司, 奇智軟體（北京）有限公司