一種終端設備的權限控制方法及系統與流程
2023-06-03 05:02:17
本發明涉及安全控制技術領域,具體涉及一種終端設備的權限控制方法及系統。
背景技術:
隨著網絡的快速發展,網際網路已經滲透到社會生活的每一個角落,成為人們學習、工作和生活不可或缺的工具。網際網路為人們快速獲取知識,即時溝通以及跨地域交流提供了極大的便利,與此同時,網際網路的便利性與虛擬性也為各種不安全行為提供了便利,尤其是對於企事業單位而言,員工不經意或有心人士在網絡上的行為都可能造成單位的商業秘密的洩露,給單位造成巨大的經濟損失。
為了避免上述問題的發生,尤其是在一些涉及到安全控制單位,在用戶進入特定的限制區域後,需要刷門禁進入,並需要控制手機等電子設備在該限制區域無法入網通話,甚至需要控制無法進行簡訊發送等,以保證區域內部信息的安全。為了實現上述控制,現有技術中主要會採用屏蔽信號的方式,即部署信號幹擾設備,使手機等終端設備在這部分區域接收不到信號,但是信號幹擾設備並沒有明顯的範圍限定,即使在限制區域外,手機信號也會受到影響,另外,目前幹擾信號的方法智能限制手機入網,無法限制手機訪問卡片內容,比如電話本和簡訊等信息。
技術實現要素:
針對現有技術中存在的缺陷,本發明實施例的目的在於提供一種能夠克服上述問題或者至少能夠部分地解決上述問題的一種終端設備的權限控制方法及系統。
為實現上述目的,本發明的一個實施例中提供了一種終端設備的權限控制方法,所述終端設備中設有SIM卡和第一非接觸通信模塊,第一非接觸通信模塊與SIM卡連接通信,所述權限控制方法包括以下步驟:
(1)所述終端設備進行限制區域前,限制區域的門禁設備通過所述第一非接觸通信模塊與SIM卡進行非接觸通信,將SIM卡的權限標記位修改為第一狀態;
所述權限標記位為SIM卡中預設的用於標識終端設備是否進入限制區域的標識,所述第一狀態用於標識終端設備已經進入所述限制區域;
(2)SIM卡按照預設時間間隔獲取其權限標記位的狀態,當所述權限標記位為所述第一狀態時,SIM卡將其鑑權標準文件中的入網鑑權數據複製保存到預設的鑑權備份文件中,並刪除所述鑑權標準文件中的入網鑑權數據;
(3)SIM卡向終端設備發送設備重啟命令,終端設備根據所述重啟命令完成設備自動重啟。
進一步,如上所述的一種終端設備的權限控制方法,還包括:
(4)所述終端設備離開所述限制區域後,門禁設備通過所述第一非接觸通信模塊與SIM卡進行非接觸通信,將SIM卡的權限標記位修改為第二狀態;所述第二狀態用於標識終端設備已經離開所述限制區域;
(5)SIM卡按照預設時間間隔獲取其權限標記位的狀態,當所述權限標記位為所述第二狀態時,SIM卡將所述鑑權備份文件中的入網鑑權數據複製寫入到鑑權標準文件中;
(6)SIM卡向終端設備發送設備重啟命令,終端設備根據重啟命令完成設備自動重啟。
進一步,如上所述的一種終端設備的權限控制方法,所述第一非接觸通信模塊設置在SIM卡中,SIM卡為SIMpass卡。
進一步,如上所述的一種終端設備的權限控制方法,SIM卡刪除所述鑑權標準文件中的入網鑑權數據時,還包括:SIM卡將其簡訊文件和電話本文件的狀態設置為不可讀狀態;所述不可讀狀態是指SIM卡接收到終端設備的簡訊讀取命令或電話本讀取命令時,將預設數據作為應答數據返回給終端設備;
SIM卡將所述鑑權備份文件中的入網鑑權數據複製寫入到鑑權標準文件中時,還包括:SIM卡將其簡訊文件和電話本文件的狀態設置為可讀狀態。
進一步,如上所述的一種終端設備的權限控制方法,所述SIM卡按照預設時間間隔獲取其權限標記位的狀態,包括:
終端設備按照所述預設時間間隔向SIM卡發送通用文件狀態查詢命令STATUS;
SIM卡根據所述通用文件狀態查詢命令STATUS向終端設備返回對應的卡片狀態數據,並查詢其權限標識位的狀態。
本發明實施例中還公開了一種終端設備的權限控制系統,包括終端設備和限制區域的門禁設備;所述終端設備中設有SIM卡和第一非接觸通信模塊,第一非接觸通信模塊與SIM卡連接通信,所述門禁設備包括主控晶片和第二非接觸通信模塊,主控晶片與SIM之間通過所述第二非接觸通信模塊和第一非接觸通信模塊進行非接觸通信;
所述主控晶片,用於在終端設備進行限制區域前,通過所述第二非接觸通信模塊和第一非接觸通信模塊與SIM卡進行非接觸通信,將SIM卡的權限標記位修改為第一狀態;所述權限標記位為SIM卡中預設的用於標識終端設備是否進入限制區域的標識,所述第一狀態用於標識終端設備已經進入所述限制區域;
所述SIM卡包括:
權限標記位狀態查詢模塊,用於按照預設時間間隔獲取其權限標記位的狀態;
鑑權數據修改模塊,用於當所述權限標記位為所述第一狀態時,將SIM卡的鑑權標準文件中的入網鑑權數據複製保存到預設的鑑權備份文件中,並刪除所述鑑權標準文件中的入網鑑權數據;
重啟命令發送模塊,用於權限標記位的狀態發生修改後,向終端設備發送設備重啟命令;
所述終端設備,根據SIM卡發送的設備重啟命令,完成設備自動重啟。
進一步,如上所述的一種終端設備的權限控制系統,所述主控晶片,還用於在終端設備離開所述限制區域後,通過所述第二非接觸通信模塊和第一非接觸通信模塊與SIM卡進行非接觸通信,將SIM卡的權限標記位修改為第二狀態;所述第二狀態用於標識終端設備已經離開所述限制區域;
所述鑑權數據修改模塊,還用於在所述權限標記位為所述第二狀態時,將SIM卡的鑑權備份文件中的入網鑑權數據複製寫入到鑑權標準文件中。
進一步,如上所述的一種終端設備的權限控制系統,所述第一非接觸通信模塊設置在SIM卡中,SIM卡為SIMpass卡。
進一步,如上所述的一種終端設備的權限控制系統,所述SIM卡還包括:
文本文件控制模塊,用於在SIM卡刪除鑑權標準文件中的入網鑑權數據時,將SIM卡的簡訊文件和電話本文件的狀態設置為不可讀狀態,以及在SIM卡將所述鑑權備份文件中的入網鑑權數據複製寫入到鑑權標準文件中時,將其簡訊文件和電話本文件的狀態設置為可讀狀態;所述不可讀狀態是指SIM卡接收到終端設備的簡訊讀取命令或電話本讀取命令時,將預設數據作為應答數據返回給終端設備。
進一步,如上所述的一種終端設備的權限控制系統,所述終端設備還用於按照所述預設時間間隔向SIM卡發送通用文件狀態查詢命令STATUS;
權限標記位狀態查詢模塊,用於在根據所述通用文件狀態查詢命令STATUS向終端設備返回對應的卡片狀態數據時,查詢SIM卡的權限標記位的狀態。
本發明的有益效果在於:本發明實施例中所提供的權限控制方法及系統,通過在限制區域外設置門禁設備,由門禁設備通過非接通信方式對SIM卡中預設的權限標識位進行修改,並通過該標識位的狀態對SIM卡的鑑權標準文件進行修改,從而實現了對SIM卡入網權限的控制,保證了特定限制區域內的信息無法由終端設備通過網絡發送出去,且該方案可以精確的實現只對限制區域內的終端設備進行權限控制,而不影響限制區域外的終端設備的上網權限。此外,本發明的另一個實施例中,還能夠進一步實現對終端設備的SIM卡內的簡訊讀取和電話本讀取安全的控制,更全面的實現了對終端設備權限的控制,更好了滿足了實際應用需求,且方案實現簡單,成本低。
附圖說明
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,附圖僅限於示出優選實施方式的目的,而並不認為是本發明的限制,且對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
圖1為本發明一個實施例中的一種終端設備的權限控制系統的結構示意圖;
圖2為本發明一個實施例中的一種終端設備的權限控制系統的結構示意圖。
圖3為本發明一個實施例中的一種終端設備的權限控制方法的流程示意圖;
圖4為本發明一個實施例中的一種終端設備的權限控制方法的流程示意圖。
具體實施方式
下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基於本發明的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,均屬於本發明保護的範圍。
圖1示出了本發明的一個實施中提供的一種終端設備的權限控制系統的結構示意圖,由圖中可以看出,該系統主要包括終端設備100和門禁設備200兩個大部分,其中,所述終端設備100中設有SIM卡110和第一非接觸通信模塊120,第一非接觸通信模塊120與SIM卡110連接通信,所述門禁設備200包括主控晶片210和第二非接觸通信模塊220,主控晶片210與SIM110之間通過所述第二非接觸通信模塊220和第一非接觸通信模塊120進行非接觸通信。
本實施方式中,所述主控晶片210,用於在終端設備100進入限制區域前,通過所述第二非接觸通信模塊220和第一非接觸通信模塊120與SIM卡110進行非接觸通信,將SIM卡110的權限標記位修改為第一狀態;其中,所述權限標記位為SIM卡110中預設的用於標識終端設備100是否進入限制區域的標識,所述第一狀態用於標識終端設備100已經進入所述限制區域。
所述SIM卡110包括權限標記位狀態查詢模塊111、鑑權數據修改模塊112和重啟命令發送模塊113。其中:
權限標記位狀態查詢模塊111,用於按照預設時間間隔獲取其權限標記位的狀態;
鑑權數據修改模塊112,用於當所述權限標記位為所述第一狀態時,將SIM卡的鑑權標準文件中的入網鑑權數據複製保存到預設的鑑權備份文件中,並刪除所述鑑權標準文件中的入網鑑權數據;
重啟命令發送模塊113,用於權限標記位的狀態發生修改後,向終端設備發送設備重啟命令;
所述終端設備100,根據SIM卡發送的設備重啟命令,完成設備自動重啟。
本實施例中所述的權限控制系統,在終端設備進入限制區域前,通過門禁設備採用非接觸通信方式,修改SIM卡的權限標記位,當權限標記位標識設備已經入限制區域後,SIM卡便將其鑑權標準文件中的鑑權數據拷貝到鑑權備份文件中,並刪除標準文件中的入網鑑權數據,之後控制終端設備完成自動重啟,在重啟進入開機流程時,由於鑑權標準文件中的入網鑑權數據已經被刪除,因此,終端設備無法入網,實現了對終端設備的入網限制,使得終端設備無法在限制區域上網。
其中,所述限制區域是根據實際需要設定的,一般是指公司單位中需要進入上網安全控制的區域。採用本實施例中所提供的方案,通過在限制區域設置門禁設備,方便的實現了人員在通過門禁進入限制區域前對其終端設備進行入網的權限控制,保證了限制區域內的信息無法由終端設備通過網絡發送出去,且該方案可以精確的實現只對限制區域內的終端設備進行權限控制,而不影響限制區域外的終端設備的上網權限。
在實際應用中,對於手機而言,SIM卡可以通過向終端設備發送主動式命令refresh,令手機後臺重啟,重新進入開機流程。
其中,所述終端設備100包括但不限於手機,如也可以具有上網通話的可穿戴設備,如具有SIM卡和非接觸通信功能的智能手錶等。
在實際應用中,所述第一非接觸通信模塊120與SIM卡110可以為一個整體,也可以為兩個單獨的部分,考慮到終端設備的體積大小,優先為整體設計,即所述第一非接觸通信模塊120設置在SIM卡110中,此時,所述SIM卡110可以直接選用SIMpass卡。
為了保證終端設備100離開所述限制區域後,終端設備100能夠進行正常工作,本發明的一個示例中,所述主控晶片210,還用於在終端設備離開所述限制區域後,通過所述第二非接觸通信模塊和第一非接觸通信模塊與SIM卡進行非接觸通信,將SIM卡的權限標記位修改為第二狀態;所述第二狀態用於標識終端設備已經離開所述限制區域;
所述鑑權數據修改模塊220,還用於在所述權限標記位為所述第二狀態時,將SIM卡的鑑權備份文件中的入網鑑權數據複製寫入到鑑權標準文件中。
此時,由於SIM卡的權限標記位的狀態發生修改,所述重啟命令發送模塊113也會向終端設備100發送設備重啟命令,終端設備100根據SIM卡發送的設備重啟命令,完成設備的自動重啟,在設備重新開機時,由於入網鑑權標準文件中入網鑑權數據已經被重新寫入,因此,終端設備100可以完成正常的入網鑑權流程,重新恢復正常通訊。
為了實現對終端設備權限的進一步控制,以更好的實際安全需求,本發明的一個實施例中,所述SIM卡110還可以包括文本文件控制模塊114,如圖2所示。其中:
所述文本文件控制模塊114,用於在刪除所述鑑權標準文件中的入網鑑權數據時,將SIM卡的簡訊文件和電話本文件的狀態設置為不可讀狀態,以及在將SIM卡的鑑權備份文件中的入網鑑權數據複製寫入到鑑權標準文件中時,將其簡訊文件和電話本文件的狀態設置為可讀狀態;所述不可讀狀態是指SIM卡接收到終端設備的簡訊讀取命令或電話本讀取命令時,將預設數據作為應答數據返回給終端設備。
通過該方案,能夠禁止終端設備100讀取SIM卡中的電話本和簡訊,進一步控制終端設備的可操作權限。
在本發明的一個實施例中,所述終端設備100還用於按照所述預設時間間隔向SIM卡110發送通用文件狀態查詢命令STATUS;
此時,所述權限標記位狀態查詢模塊111,用於在根據所述通用文件狀態查詢命令STATUS向終端設備返回對應的卡片狀態數據時,查詢SIM卡的權限標記位的狀態。
所述通用文件狀態查詢命令STATUS,可以用來獲取SIM卡中選用的通用文件的狀態,這個中性命令為終端設備用來周期性查詢激活SIM卡,以便知道SIM卡是否要發出某個命令,這個命令在任何時候使用,如對於手機,手機一般每30秒採用該命令掃描一次SIM卡的狀態,本實施例中,利用該命令,在SIM卡收到終端設備發送的該指令時,除了正常返回卡片狀態給終端設備外,SIM卡還會查詢其權限標記位,即將終端設備查詢SIM狀態的指令同時作為了SIM卡查詢其權限標記位的一個觸發指令,觸發SIM卡完成其權限標記位的查詢。其中,所述預設時間間隔可以根據需要進行設置,如30秒,當然也可以是其他時間。
圖3示出了本發明的一個實施例中提供的一種終端設備的權限控制方法的流程示意圖,由圖中可以看出,該權限控制方法可以包括以下步驟:
步驟S100:終端設備進行限制區域前,門禁設備將終端設備中的SIM卡的權限標記位修改為已進入限制區域狀態;
本實施方式中,所述終端設備中設有SIM卡和第一非接觸通信模塊,第一非接觸通信模塊與SIM卡通信,門禁設備通過其第二非接觸通信模塊和所述第一非接觸通信模塊與SIM卡進行非接觸通信,在終端設備進入限制區域前,將SIM卡的權限標記位修改為第一狀態;其中,所述權限標記位為SIM卡中預設的用於標識終端設備是否進入限制區域的標識,所述第一狀態用於標識終端設備已經進入所述限制區域。例如,權限標記位的狀態可以為0或1,1作為第一狀態,標識設備已經進入限制區域,0作為下文中的第二狀態,標識設備離開了所述限制區域,第二狀態可以作為默認狀態值。
在實際應用中,所述第一非接觸通信模塊優選設置在SIM卡中,此時,即SIM卡可以直接選用SIMpass卡。所述終端設備包括但不限於手機等。
步驟S200:當所述權限標記位為進入限制區域狀態時,SIM卡將入網鑑權數據複製保存到預設的鑑權備份文件中,刪除鑑權標準文件中的入網鑑權數據;
SIM卡按照預設時間間隔獲取其權限標記位的狀態,在權限標記位的狀態發生變化時,如當所述權限標記位為由第二狀態變化為所述第一狀態時,SIM卡將其鑑權標準文件中的入網鑑權數據複製保存到預設的鑑權備份文件中,並刪除所述鑑權標準文件中的入網鑑權數據。所述預設時間間隔可以根據實際需要進行設置。其中,所述鑑權標準文件是指SIM卡中默認的用於保存入網鑑權數據的文件。其中,所述入網鑑權數據包括入網鑑權鍵Ki等。
在本發明的一個實施例中,所述SIM卡按照預設時間間隔獲取其權限標記位的狀態的具體方式為:
終端設備按照所述預設時間間隔向SIM卡發送通用文件狀態查詢命令STATUS;
SIM卡根據所述通用文件狀態查詢命令STATUS向終端設備返回對應的卡片狀態數據,並查詢其權限標識位的狀態。
需要說明的是,在實際操作中,SIM卡將入網鑑權數據複製保存到預設的鑑權備份文件中的步驟,可以只需要在終端設備首次進入限制區域時進行,因此,在終端設備之後進入限制區域時,鑑權備份文件中已經存在入網鑑權數據了,此時可以只進行將鑑權標準文件中的入網鑑權數據刪除的步驟。
在實際應用中,為了更好的控制終端設備的操作權限,本發明的一個實施例中,SIM卡刪除鑑權標準文件中的入網鑑權數據時,還可以包括:
SIM卡將其簡訊文件和電話本文件的狀態設置為不可讀狀態;所述不可讀狀態是指SIM卡接收到終端設備的簡訊讀取命令或電話本讀取命令時,將預設數據作為應答數據返回給終端設備。
步驟S300:SIM卡向終端設備發送設備重啟命令,終端設備根據所述重啟命令完成設備自動重啟。
SIM卡在將入網鑑權數據複製保存到預設的鑑權備份文件中,並刪除了鑑權標準文件中的入網鑑權數據後,向終端設備發送重啟命令,終端設備根據該命令後完成後臺自動重啟,此時,由於鑑權標準文件中的入網鑑權數據已經被清空,因此,終端設備無法完成入網鑑權流程,無法進行上網,實現了對終端設備的上網權限控制。
在本發明的一個實施例中,如圖4所示,所述權限控制方法還包括:
步驟S400:終端設備離開所述限制區域後,門禁設備將SIM卡的權限標記位修改為離開限制區域的狀態;
當終端設備離開限制區域後,門禁設備與SIM卡通過所述第一非接觸通信模塊和第二非接觸通信模塊進行非接觸通信,將SIM卡的權限標記位修改為第二狀態;所述第二狀態用於標識終端設備已經離開所述限制區域。
步驟S500:SIM卡獲取其權限標記位的狀態,當所述權限標記位為離開限制區域狀態時,SIM卡將鑑權入網數據複製到鑑權標準文件中;
步驟S600:SIM卡向終端設備發送設備重啟命令,終端設備根據重啟命令完成設備自動重啟。
SIM卡按照預設時間間隔獲取其權限標記位的狀態,當所述權限標記位為的狀態發生變化時,如當權限標記位由第一狀態變化為所述第二狀態時,SIM卡將所述鑑權備份文件中的入網鑑權數據複製寫入到鑑權標準文件中。即終端設備離開所述限制區域時,將鑑權數據重新寫入鑑權標準文件中,此時,SIM卡向終端設備發送設備重啟命令,終端設備根據重啟命令進行設備重啟,由於此時鑑權標準文件中存儲入網鑑權數據,因此,終端設備可以恢復正常通信。
如果在設備進入限制區域時,對SIM卡的簡訊文件和電話本文件進行了權限控制,此時,SIM卡將鑑權入網數據複製到鑑權標準文件時,還可以包括:SIM卡將其簡訊文件和電話本文件的狀態設置為可讀狀態。
需要說明的是,在本文中,諸如第一和第二等之類的關係術語僅僅用來將一個實體或者操作與另一個實體或操作區分開來,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關係或者順序。而且,術語「包括」、「包含」或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下,由語句「包括一個……」限定的要素,並不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。
本說明書中的各個實施例均採用相關的方式描述,各個實施例之間相同相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對於裝置實施例而言,由於其基本相似於方法實施例,所以描述的比較簡單,相關之處參見方法實施例的部分說明即可。
本領域普通技術人員可以理解實現上述裝置實施方式中各部分的全部或部分可以以硬體實現,或者以在一個或多個硬體上運行的軟體模塊來實現,方法實施方式中的全部或部分步驟是可以通過程序來指令相關的硬體來完成。本領域技術人員應該明白,本發明所述的方法和裝置並不限於具體實施方式中所述的實施例,上面的具體描述只是為了解釋本發明的目的,並非用於限制本發明。本領域技術人員根據本發明的技術方案得出其他的實施方式,同樣屬於本發明的技術創新範圍,本發明的保護範圍由權利要求及其等同物限定。
顯然,本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和範圍。這樣,倘若本發明的這些修改和變型屬於本發明權利要求及其同等技術的範圍之內,則本發明也意圖包含這些改動和變型在內。