CN114884685A - 电子设备的安全管理方法、电子设备及其可读介质 - Google Patents
电子设备的安全管理方法、电子设备及其可读介质 Download PDFInfo
- Publication number
- CN114884685A CN114884685A CN202110163536.5A CN202110163536A CN114884685A CN 114884685 A CN114884685 A CN 114884685A CN 202110163536 A CN202110163536 A CN 202110163536A CN 114884685 A CN114884685 A CN 114884685A
- Authority
- CN
- China
- Prior art keywords
- security
- electronic device
- sensitivity level
- user
- security sensitivity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请涉及网络安全领域,公开了一种电子设备的安全管理方法、电子设备及其可读介质,本申请用于第一电子设备和第二电子设备构成的系统,第一电子设备与第二电子设备通信连接,第二电子设备获取第一电子设备的状态信息,第二电子设备基于第一电子设备的状态信息确定第一电子设备的设备安全敏感等级,第二电子设备基于第一电子设备的设备安全敏感等级,生成并向第一电子设备发送相应的安全策略,第一电子设备接收安全策略并且基于安全策略执行相应的安全措施。本申请提供的电子设备的安全管理方法结合设备的安全敏感度实施相应的安全策略,实现分布式网络中设备的细粒度安全管控,满足用户的实际使用需求。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种电子设备的安全管理方法、电子设备及其可读介质。
背景技术
互联网使得人类社会的生产生活更加高效便利,但是网络攻击事件频发,互联网上的木马、蠕虫等病毒软件层出不穷,这对网络安全形成了严重的威胁。以往针对单设备(如手机、平板和个人笔记本电脑等)的攻击特征通常比较简单,基于单设备的安全检测系统利用单设备的数据采集、检测和防护能力,可以有效的应对针对单设备的攻击行为。但是,在家庭场景内各类智能设备组成的分布式网络中,攻击路径和攻击行为都变的非常复杂。
如图1所示,家庭设备组成的分布式网络场景下,主要攻击流程为:(1)攻击者通过中枢设备的安全缺陷或漏洞,从外部发起远程渗透;(2)渗透成功以后,通过命令及控制(command and control,C&C)信道下发控制命令;(3)控制病毒在内网设备,例如平板电脑、手机、摄像头、音箱、PC等设备中扩散(蠕虫病毒等);(4)利用如大屏这样的设备中的漏洞进行破坏或隐私窃取。
由于单设备的数据采集能力和计算能力不足,例如,不具备神经网络处理器(neural-network processing unit,NPU)等,传统基于单设备的安全检测系统无法有效应对家庭场景下分布式威胁所带来的挑战。
发明内容
本申请提供了一种电子设备的安全管理方法、电子设备及其可读介质,本申请提供的电子设备的安全管理方法结合设备的安全敏感度实施相应的安全策略,实现分布式网络中设备的细粒度安全管控,满足用户的实际使用需求。
第一方面,本申请的电子设备的安全管理方法用于第一电子设备和第二电子设备构成的系统,所述第一电子设备与第二电子设备通信连接,包括:
所述第二电子设备获取所述第一电子设备的状态信息;
所述第二电子设备基于所述第一电子设备的状态信息确定所述第一电子设备的设备安全敏感等级,其中,所述设备安全敏感等级用于表示在所述第一电子设备遭受网络攻击后,对所述第一电子设备的用户的信息安全造成的风险程度;
所述第一电子设备的所述状态信息包括用于表征所述第一电子设备的与用户交互的方式、工作场所、工作状态、与第二电子设备之间的距离、工作时间的信息中的至少一种信息;
所述第二电子设备基于所述第一电子设备的设备安全敏感等级,生成并向所述第一电子设备发送相应的安全策略;
所述第一电子设备接收所述安全策略并且基于所述安全策略执行相应的安全措施。
在本申请的一些实施例中,用户的交互方式表示第一电子设备与用户交互的过程中介入用户的隐私程度,例如,手机与用户交互,介入的用户隐私可能是用户的身份信息等,摄像头与用户交互,介入的用户隐私可能是用户的肖像信息等,而台灯与用户的交互可能不涉及用户的隐私。第一电子设备的工作场所可以简单分为隐私场所和公开场所,例如,客厅和咖啡厅。工作状态表示第一电子设备是否被用户使用。第一电子设备与第二电子设备之间的距离可以通过控制端检测,通过检测相对距离判断第一电子设备与第二电子设备的远近。工作时间可以简单分为白天和夜晚,例如,家庭摄像头在白天向外发送视频流,可能是因为客户远处监控家里情况,而家庭摄像头在夜晚向外发送视频流,可能是因为被病毒控制,这是因为夜晚用户在家休息无需监控家里情况。
在上述第一方面的一种可能实现中,所述第二电子设备基于所述第一电子设备的状态信息确定所述第一电子设备的设备安全敏感等级,包括:
根据所述状态信息中的所述至少一种信息的集合,确定与所述集合关联的所述设备安全敏感等级。
在本申请的一些实施例中,可以同时基于智能设备300与用户的交互方式和设备的工作场所评估设备安全敏感等级。
例如,用户使用手机在咖啡厅拍照和用户使用手机在客厅拍照,则客厅的手机的设备安全敏感等级大于咖啡厅的手机的设备安全敏感等级。
在上述第一方面的一种可能实现中,所述第二电子设备基于所述第一电子设备的状态信息确定所述第一电子设备的设备安全敏感等级,还包括
根据所述状态信息中的所述至少一种信息,确定与所述至少一种信息对应的设备安全敏感值;
根据所述至少一个设备安全敏感值来确定所述设备安全敏感等级。
在本申请的一些实施例中,设备安全敏感度评估模块207首先评估智能设备300与用户的交互方式对应的设备安全敏感值,再基于设备安全敏感值评估智能设备300的设备安全敏感等级。
在上述第一方面的一种可能实现中,在所述第一电子设备的所述状态信息包括所述用户交互的方式的情形中,
所述第一电子设备与所述用户的交互过程中会介入所述用户的信息安全的交互方式将被确定为第一设备安全敏感值;
所述第一电子设备与所述用户的交互过程中不会介入用户的信息安全的交互方式将被确定为第二设备安全敏感值;
其中,所述第一设备安全敏感值高于所述第二设备安全敏感值。
在本申请的一些实施例中,手机与用户交互的过程中可能会涉及到用户的身份信息,设备安全敏感度评估模块207评估手机的设备安全敏感值为10,摄像头与用户交互的过程中可能涉及到用户的肖像信息,评估手机的设备安全敏感值为7,台灯与用户交互的过程中可能不涉及到用户的隐私,评估台灯的设备安全敏感值为2。然后设备安全敏感度评估模块207判断智能设备300的设备安全敏感值是否大于设备安全敏感阈值,如果大于设备安全敏感阈值,设备安全敏感等级为高设备安全敏感等级,如果小于设备安全敏感阈值,设备安全敏感等级为低设备安全敏感等级。
例如,将设备安全敏感阈值设定为5,则手机和台灯的设备安全敏感等级为高设备安全敏感等级,台灯的设备安全敏感等级为低设备安全敏感等级。
在上述第一方面的一种可能实现中,在所述第一电子设备的所述状态信息包括所述工作场所的情形中,
私密的场所将被确定为第三设备安全敏感值;
公开的场所将被确定为第四设备安全敏感值;
其中,所述第三设备安全敏感值高于所述第四设备安全敏感值。
例如,手机在家中的设备安全敏感值大于在咖啡厅的设备安全敏感值,卧室摄像头的设备安全敏感值大于客厅摄像头的敏感值。
在上述第一方面的一种可能实现中,在所述第一电子设备的所述状态信息包括所述工作状态的情形中,正处于使用中的状态将被确定为第五设备安全敏感值;
未处于使用中的状态将被确定为第六设备安全敏感值;
其中,所述第五设备安全敏感值高于所述第六设备安全敏感值。
在本申请的一些实施例中,设备安全敏感度评估模块207评估用户正在使用的手机的设备安全敏感值为3,未被使用的手机的设备安全敏感值为10,再基于设备安全敏感阈值(例如,5),确定正在使用的手机的设备安全敏感等级为低设备安全敏感等级,未在使用的手机的设备安全敏感等级为高设备安全敏感等级。
在上述第一方面的一种可能实现中,在所述第一电子设备的所述状态信息包括所述与第一电子设备的距离的情形中,与第一电子设备的距离是第一距离的状态将被确定为第七设备安全敏感值;
与第一电子设备的距离是小于所述第一距离的第二距离的状态将被确定为第八设备安全敏感值;
其中,所述第七设备安全敏感值高于所述第八设备安全敏感值。
例如,如果用户在客厅,用户的手机也在客厅,通过控制端可以通过确定信号强度等手段检测到手机与用户的距离为1米,而如果用户在客厅,用户的手机在卧室,通过控制端可以检测到手机与用户的距离为5米。设备安全敏感度评估模块207首先获取手机与用户的距离,再基于距离阈值(例如,3米),确定客厅的手机的设备安全敏感等级为低设备安全敏感等级,卧室的手机的设备安全敏感等级为高设备安全敏感等级。
在上述第一方面的一种可能实现中,在所述第一电子设备的所述状态信息包括所述工作时间的情形中,所述工作时间处于夜晚状态下的第一时段将被确定为第九设备安全敏感值;
所述工作时间处于白天状态下的第二时段将被确定为第十设备安全敏感值;
其中,所述第九设备安全敏感值高于所述第十设备安全敏感值。
设备安全敏感度评估模块207评估白天的摄像头的设备安全敏感值为3,夜晚摄像头的设备安全敏感值为10,再基于设备安全敏感阈值(例如,5),确定白天的摄像头的设备安全敏感等级为低设备安全敏感等级,夜晚的摄像头的设备安全敏感等级为高设备安全敏感等级。
在上述第一方面的一种可能实现中,根据所述至少一个设备安全敏感值来确定所述设备安全敏感等级,包括:
在获得多个设备安全敏感值的情形下,通过加权计算确定加权后的设备安全敏感值;
根据所述加权后的设备安全敏感值来确定所述设备安全敏感等级。
例如,用户夜晚在卧室玩手机,设备安全敏感度模块207首先获取手机的多个设备安全敏感值,可以是手机的工作场所(卧室)对应的设备安全敏感值A为10,手机的工作状态(使用状态)对应的设备安全敏感值B为2,手机的工作时间(夜晚)对应的安全敏感值C为8。设备的工作场所、工作时间和使用状态的权重分别是0.5、0.3和0.2,则加权后的手机的设备安全敏感值为7.8,大于设备安全敏感阈值(例如,5),则设备安全敏感度模块207评估该手机的设备安全敏感等级为高安全敏感等级。
在上述第一方面的一种可能实现中,所述第二电子设备基于所述第一电子设备的设备安全敏感等级,生成并向所述第一电子设备发送相应的安全策略,包括:
如果所述第一电子设备的设备安全敏感等级为第一安全敏感等级,所述安全策略为阻断数据流量,然后向用户告警;
如果所述第一电子设备的设备安全敏感等级为第二安全敏感等级,所述安全策略为先对用户进行异常告警,由用户决定下一步安全措施,
其中,所述第一安全敏感等级高于所述第二安全敏感等级。
在上述第一方面的一种可能实现中,还包括:设备安全敏感等级可以被用户手动配置。
在本申请的一些实施例中,手动配置规则可以是用户通过手机APP修改智能设备300的设备安全敏感等级及相应的安全策略。例如,按照默认规则台灯被评估为低安全敏感度设备,相应的安全策略是先向用户告警,由用户决定下一步措施,按照手动配置规则用户可以通过手机100上的台灯APP将台灯设置为高安全敏感度设备,相应的安全策略可以更改为阻断通信流量。
第二方面,本申请提供一种电子设备的安全管理方法,用于第一电子设备和第二电子设备构成的系统,所述第一电子设备与第二电子设备通信连接,其特征在于,包括:
所述第二电子设备基于大数据分析结果确定所述第一电子设备的设备安全敏感等级,其中,如果所述大数据分析结果为所述与第一电子设备的同类型的第三电子设备被网络攻击的次数大于预定阈值,所述第一电子设备的设备安全敏感等级为第一安全敏感等级。
如果所述大数据分析结果为所述与第一电子设备的同类型的第三电子设备被网络攻击的次数小于预定阈值,所述第一电子设备的设备安全敏感等级为第二安全敏感等级,其中,所述第一安全敏感等级高于所述第二安全敏感等级;
所述第二电子设备基于所述第一电子设备的设备安全敏感等级,生成并向所述第一电子设备发送相应的安全策略;
所述第一电子设备接收所述安全策略并且基于所述安全策略执行相应的安全措施。
在本申请的一些实施例中,动态评估规则可以是云服务器评估,例如,如果按照默认规则将客厅摄像头评估为低安全敏感度设备,而云服务器提供的大数据显示近来发生大量家庭摄像头被网络病毒攻击的案件,由此可以根据大数据分析的结果将客厅摄像头重新评估为高安全敏感度设备。
第三方面,一种可读介质,所述可读介质存储有指令,当所述指令在所述可读介质电子设备上执行时,使得所述可读介质电子设备执行上述第一方面所述的电子设备的安全管理方法。
第四方面,一种电子设备,其特征在于,包括:
存储器,存储有指令;
处理器,所述处理器和所述存储器耦合,当所述存储器存储的程序指令被所述处理器执行时使得所述电子设备执行上述第一方面所述的电子设备的安全管理方法。
附图说明
图1根据本申请一些实施例,提供一种分布式网络的网络攻击示意图。
图2根据本申请一些实施例,提供一种智能家居场景图。
图3根据本申请一些实施例,提供一种实现电子设备100的手机结构框图。
图4根据本申请一些实施例,提供一种家庭场景下的电子设备的安全管理系统图。
图5根据本申请一些实施例,提供一种电子设备的安全管理方法的流程图。
图6根据本申请一些实施例,提供另一种家庭场景下的电子设备的安全管理系统图。
图7根据本申请一些实施例,提供一种基于设备安全敏感度配置安全策略示意图。
图8根据本申请一些实施例,提供另一种电子设备的安全管理方法的流程图。
图9根据本申请一些实施例,提供一种针对高安全敏感度设备的安全策略的手机界面示意图。
图10根据本申请一些实施例,提供一种针对低安全敏感度设备的安全策略的手机界面示意图。
图11根据本申请一些实施例,提供另一种家庭场景下的电子设备的安全管理系统图。
图12根据本申请一些实施例,提供另一种电子设备的安全管理方法的流程图。
图13根据本申请一些实施例,提供一种能够实现电子设备100功能的电子设备100的软件系统。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
图2示出了本申请实施例提供的一种智能家居场景示意图。如图2所示,智能家居场景涉及电子设备100、路由器200、智能设备300以及网络服务器400。其中,智能设备300包括但不限于摄像头、台灯、音箱、空调、手表和眼镜。在电子设备100上具有控制各智能设备300应用(Application,APP),用户想要通过电子设备100远程控制智能设备300,可以点击相应智能设备300在电子设备100上的APP,电子设备100的控制请求通过路由器200转发给智能设备300,由此实现对对智能设备300的远程控制。例如,用户想要关闭台灯,可以通过点击电子设备100上台灯APP的关闭按钮,则关闭台灯的控制请求通过路由器200转发给台灯,台灯接收到关闭请求后自动关闭。
此外,用户也可以通过电子设备100控制智能设备300与网络服务器400进行交互,例如,用户要将摄像头本地存储的图像存储在网络服务器400上,用户可以通过电子设备100的摄像头APP向网络服务器400发起存储指令,然后摄像头通过路由器300将视频流转发给网络服务器400。
从图2可以看出,家庭场景下智能设备300组成的分布式网络,其中一个设备被网络病毒攻击,其余设备都有可能遭受同样的攻击。但是,不同的智能设备300由于自身安全缺陷或漏洞被网络攻击后,对用户所带来的安全和隐私风险程度不同,即不同的智能设备300的设备安全敏感度不同。例如,摄像头和台灯同样被网络病毒控制,网络病毒控制摄像头可能会窃取用户的隐私图像,这对用户来说具有危害很大,而网络病毒控制台灯可能会打开或关闭台灯,这对用户来说危害很小。因此,摄像头的设备安全敏感度要高于台灯的设备安全敏感度。
现有的电子设备的安全管理方法对于不同的设备安全敏感度的智能设备300配置相同的安全策略,例如,当摄像头和台灯都遭受网络攻击时,采用的安全策略都是直接阻断网络攻击的异常数据流量。
本申请实施提供的电子设备的安全管理方法,基于设备的安全敏感度配置相应的安全策略,例如,摄像头的设备安全敏感度要高于台灯的设备安全敏感度,相应地配置摄像头和台灯的安全策略是不同的,例如,配置摄像头的安全策略可以是直接阻断异常数据流量,然后向用户告警;配置台灯的安全策略可以是先向用户告警,由用户决定下一步措施。
因此,本申请针对家庭智能设备组成的分布式网络中,检测到安全漏洞或异常行为时,结合设备的安全敏感度实施相应的安全策略,实现分布式网络中设备的细粒度安全管控,满足用户的实际使用需求。
可以理解,本申请的电子设备的安全管理方法的电子设备100包括但不限于手机、台式电脑、笔记本电脑和平板电脑等。为了便于说明,下文以电子设备100为手机100为例进行说明。
图3根据本申请的实施例示出了一种能够实现图2所示的手机100功能的手机100的结构框图。具体地,如图3所示,手机100包括处理器110,移动通信模块120,无线通信模块125,显示屏130,摄像头140,外部存储接口150,内部存储器151,音频模块160,传感器模块170,输入单元180和电源190。
可以理解,本申请的实施例示意的结构并不构成对手机100的具体限定。在本申请的另一些实施例中,手机100可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
处理器110可以包括一个或多个处理单元,例如:处理器110可以包括应用处理器(Application processor,AP),调制解调处理器,图形处理器(graphics processingunit,GPU),图像信号处理器(image signal processor,ISP),控制单元,视频编解码器,数字信号处理器(digital signal processor,DSP),DPU(data processing unit,数据处理器)、基带处理器,和/或神经网络处理器(neural-network processing unit,NPU)等。其中,不同的处理单元可以是独立的器件,也可以集成在一个或多个处理器中。
处理器110中还可以设置存储器,用于存储指令和数据。在一些实施例中,处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据,可从所述存储器中直接调用。避免了重复存取,减少了处理器110的等待时间,因而提高了系统的效率。
在一些实施例中,处理器110可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit,I2C)接口,集成电路内置音频(inter-integrated circuitsound,I2S)接口,脉冲编码调制(pulse code modulation,PCM)接口,通用异步收发传输器(universal asynchronous receiver/transmitter,UART)接口,移动产业处理器接口(mobile industry processor interface,MIPI),通用输入输出(general-purposeinput/output,GPIO)接口,用户标识模块(subscriber identity module,SIM)接口,和/或通用串行总线(universal serial bus,USB)接口等。
可以理解的是,本申请的实施例示意的各模块间的接口连接关系,只是示意性说明,并不构成对手机100的结构限定。在本申请另一些实施例中,手机100也可以采用上述实施例中不同的接口连接方式,或多种接口连接方式的组合。
移动通信模块120可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,交由一个或者一个以上处理器110处理;另外,将涉及上行的数据发送给基站。通常,移动通信模块120包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM)卡、收发信机、耦合器、LNA(英文:Low Noise Amplifier,中文低噪声放大器)、双工器等。此外,移动通信模块120还可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议,包括但不限于GSM(英文:GlobalSystem of Mobile communication,中文:全球移动通讯系统)、GPRS(英文:GeneralPacket Radio Service,中文:通用分组无线服务)、CDMA(英文:Code Division MultipleAccess,中文:码分多址)、CDMA(英文:Wideband Code Division Multiple Access,中文:宽带码分多址)、LTE(英文:Long Term Evolution,中文:长期演进)、电子邮件、SMS(英文:Short Messaging Service,中文:短消息服务)等。
无线通信模块125可以提供应用在手机100上的包括无线局域网(wireless localarea networks,WLAN)(如无线保真(wireless fidelity,Wi-Fi)网络),蓝牙(blue tooth,BT),全球导航卫星系统(global navigation satellite system,GNSS),调频(frequencymodulation,FM),近距离无线通信技术(near field communication,NFC),红外技术(infrared,IR)等无线通信的解决方案。无线通信模块125可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块125经由天线接收电磁波,将电磁波信号调频以及滤波处理,将处理后的信号发送到处理器110。无线通信模块125还可以从处理器110接收待发送的信号,对其进行调频,放大,经天线转为电磁波辐射出去。在一些实施例中,无线通信模块125能够实现前文所述的基于Wi-Fi网路的通信协议的多载波技术,从而支持手机100通过现有的Wi-Fi协议实现超宽带传输。
摄像头140用于获取静态图像或视频。景物通过镜头生成光学的图像投射到感光元件,感光元件把光信号转换成电信号,之后将电信号传递给图像信号处理器(imagesignal processor,ISP)转换成数字图像信号。ISP将数字图像信号输出到数字信号处理器(digital signal processor,ISP)加工处理。DSP将数字图像信号转换成标准的RGB,YUV等格式的图像信号。在一些实施例中,手机100可以包括1个或N个摄像头130,N为大于1的正整数。
外部存储器接口150可以用于连接外部存储卡,例如Micro SD卡,实现扩展手机100的存储能力。外部存储卡通过外部存储器接口150与处理器110通信,实现数据存储功能。例如将音乐,视频等文件保存在外部存储卡中。
内部存储器151可以用于存储计算机可执行程序代码,所述可执行程序代码包括指令。内部存储器151可以包括存储程序区和存储数据区。其中,存储程序区可存储操作系统,至少一个功能所需的应用程序(比如声音播放功能,图像播放功能等)等。存储数据区可存储手机100使用过程中所创建的数据(比如音频数据,电话本等)等。此外,内部存储器151可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件,闪存器件,通用闪存存储器(universal flash storage,UFS)等。在本申请的一些实施例中,处理器110通过运行存储在内部存储器151的指令,和/或存储在设置于处理器中的存储器的指令以及各种功能应用以及数据处理。
手机100还包括音频模块160,音频模块160可以包括扬声器,受话器,麦克风,耳机接口,以及应用处理器等实现音频功能。例如音乐播放,录音等。
音频模块160用于将数字音频信息转换成模拟音频信号输出,也用于将模拟音频输入转换为数字音频信号。音频模块160还可以用于对音频信号编码和解码。在一些实施例中,音频模块160可以设置于处理器110中,或将音频模块160的部分功能模块设置于处理器110中。
手机100还包括传感器模块170,其中传感器模块170可以包括压力传感器,陀螺仪传感器,气压传感器,磁传感器,加速度传感器,距离传感器,接近光传感器,指纹传感器,温度传感器,触摸传感器,环境光传感器等。
输入单元180可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
手机100还包括给各个部件供电的电源190(比如电池),优选的,电源可以通过电源管理系统与处理器110逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源190还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
图4示出了一种电子设备的安全管理方案的系统图。如图4所示,路由器200包括流量转发模块201、流量采集模块202、流量处理模块203、流量检测模块204、策略执行模块205和策略配置模块206。下面基于路由器200的各个模块介绍图4所示的系统。
(1)智能设备300设备通过手机100的应用APP或浏览器发起网络请求;
(2)路由器200将智能设备300的数据请求发送到具体的网络内容提供服务器中;
(3)路由器200接收到网络服务器的数据流量后,通过流量转发模块201将数据流量发送给流量采集模块202;
(4)流量采集模块202从原始网络数据流量中提取出特定的数据流量,并发送给流量处理模块203;
(5)流量处理模块203预处理采集到的数据流量,并发送给流量检测模块204,其中,预处理可以是得到数据流量的五元组,或者payload数据(原始数据)等。
(6)流量检测模块204对预处理后的数据流量进行安全检测,并将检测结果发送给策略执行模块205;
(7)策略执行模块205根据检测结果决定后续操作;
(8)如果检测结果发现异常数据流量,策略执行模块205根据策略配置模块206中的安全策略,执行相应措施。例如,阻断网络服务器的数据流量或将异常结果通知用户。
下面基于上述图3和图4所示的结构,根据图5并结合具体场景,详细介绍本申请的技术方案。具体地,如图5所示,电子设备的安全管理方法包括:
501:智能设备300向网络服务器发送网络请求。
在本申请的一些实施例中,智能设备300可以通过系统服务、APP或浏览器等访问网络服务器,访问的内容包括但不限于视频、音频、游戏和网页等。
例如,用户点击手机100的百度TM浏览器,手机100可以通过路由器200的流量转发模块201将数据请求发送给百度服务器。
502:路由器200通过流量转发模块201将网络服务器发送的数据流量转发给流量采集模块202。
例如,对于上述示例,百度服务器接收到访问百度浏览器的数据请求后,将百度浏览器界面的数据流量发送给路由器200,路由器200的流量转发模块201再将该数据流量发送给流量采集模块202。
503:流量采集模块202从网络服务器发送的数据流量中采集特定数据流量,并发送给流量处理模块203。
在本申请的一些实施例中,流量采集模块202采集的特定数据流量可以是基于常见的通信传输协议的数据流量,这是因为异常数据流量很容易通过常见的通信传输协议混入到智能设备300请求的正常数据流量。其中,常见的通信传输协议可以是传输控制协议(Transmission Control Protocol,TCP)、用户数据报协议(User Datagram Protocol,UDP)等。
在本申请的另外一些实施例中,流量采集模块202采集的特定数据流量可以除目标数据流量以外的其他数据流量。
例如,用户通过手机想要访问百度TM浏览器,而网络服务器发送给路由器200的数据流量中不仅包含了关于百度浏览器页面的数据流量,还有关于其他浏览器页面的数据流量,例如,谷歌TM浏览器、搜狗TM浏览器等,则流量采集模块不用采集关于百度浏览器页面的数据流量,只需采集谷歌TM浏览器、搜狗TM浏览器等数据流量。
504:流量处理模块203对特定数据流量预处理,并将预处理的数据流量发送给流量检测模块204。
在本申请的一些实施例中,流量处理模块203对流量采集模块202发送的特定数据流量预处理,预处理的结果可以是将特定数据流量转化为五元组。其中,五元组包括源IP地址,源端口,目的IP地址,目的端口,和传输层协议。例如:五元组为192.168.1.1 10000TCP121.14.88.76 80,表示一个IP地址为192.168.1.1的终端通过端口10000,利用TCP协议,和IP地址为121.14.88.76,端口为80的终端进行连接。
505:流量检测模块204对预处理的数据流量进行检测,并将检测结果发送给策略执行模块205。
在本申请的一些实施例中,流量检测模块204可以对特定数据流量的五元组的目的IP地址进行检测,并基于目的IP地址白名单判断该特定数据流量是否为异常数据流量。
例如,路由器200规定智能设备300可以访问的目的IP地址为a、b、c和d,则流量检测模块204中关于智能设备300可访问的目的IP地址的白名单列表可以包括a、b、c和d。如果流量检测模块204对特定数据流量检测,检测到的目的IP地址在白名单中,说明该特定数据流量不是异常流量;反之,如果流量检测模块204对特定数据流量检测,检测的目的IP地址不在白名单中,说明该特定数据流量是异常流量,例如,检测的目的IP地址为e,在白名单中不存在。
由于流量检测模块204的处理能力以及白名单中目的IP地址的数量有限,仅仅依靠流量检测模块204并不能完全准确判断特定数据流量是否为异常数据流量。
在本申请的另外一些实施例中,可以通过云检测引擎判断特定数据流量是否为异常数据流量,云检测引擎基于大数据可以更加准确判断。
例如,流量检测模块204关于智能设备300可访问的目的IP地址的白名单列表包括a、b、c和d,流量检测模块204对特定数据流量检测,检测到特定数据流量的目的IP地址为f,由于目的IP地址为f不在白名单中,路由器200可以将目的IP地址为f发送给云检测引擎进一步检测,云检测引擎可以根据大数据分析IP地址为f是否为恶意IP地址,例如,大数据分析结果为IP地址为f被多次举报包含恶意低俗内容,则云检测引擎对特定数据流量检测结果为异常流量;反之,大数据分析结果为IP地址f为正常IP地址,则云检测引擎对特定数据流量结果为不是异常流量。
506:策略执行模块205判断检测结果是否包含异常数据流量;
如果流量检测模块204发送的检测结果不包含异常数据流量,则执行507,路由器200转发网络服务器的数据流量;否则,如果流量检测模块204发送的检测结果包含异常数据流量,则执行508。
508:策略执行模块205基于策略配置模块206执行相应措施。
策略配置模块206的功能包括禁用设备连接路由器200、禁用设备上网、设置网络安全权限等。即策略配置模块206对连接在路由器200的所有智能设备300配置相同的安全策略。
例如,策略配置模块206规定如果路由器200转发的数据流量中包含异常数据流量,阻止该数据流量通行。则策略执行模块205执行的措施为阻断措施,例如,阻断通信流量,然后记录处理日志供用户事后查询。
例如,策略配置模块206规定如果路由器200转发的数据流量中包含异常数据流量,对用户进行异常告警,由用户决定下一步措施。则策略执行模块205执行的措施为用户进行异常告警。
在上述实施例中,所有智能设备300共用同一安全策略。但是,在实际的家庭场景下,不同智能设备具有不同的安全保护需求。例如,智能门锁和卧室摄像头的安全敏感程度,高于智能台灯等低安全敏感度设备。因此,在家庭智能设备组成的分布式场景下,针对不同安全敏感度的智能设备需要提供相应的安全策略。
图6示出了本申请提供的另一种电子设备的安全管理方案的系统图,如图6所示,路由器200包括流量转发模块201、流量采集模块202、流量处理模块203、流量检测模块204、策略执行模块205、设备安全敏感度评估模块207和设备安全敏感度的策略管理模块208。图6中路由器200与图4中路由器200相同模块的功能介绍不做赘述,下面详细介绍设备安全敏感度评估模块207和设备安全敏感度的策略管理模块208。
具体地,设备安全敏感度评估模块207首先获取智能设备300的设备状态信息,然后根据设备状态信息评估设备的设备安全敏感等级,评估设备的安全敏感度等级的粒度可粗可细,例如,可以将设备的设备安全敏感等级简单分为高安全敏感等级和低安全敏感等级。
如图7所示,设备状态可以包括设备属性、用户属性和环境属性。
一、设备属性:设备属性可以包括设备类型和设备位置。
(1)设备类型表示智能设备300与用户的交互方式,设备安全敏感度评估模块207根据智能设备300与用户交互过程中介入到的用户的隐私程度评估智能设备300的设备安全敏感等级。
在本申请的一些实施例中,例如,用户通过手机打电话、发信息等,在手机与用户交互的过程中可能会涉及到用户的身份信息等,用户通过摄像头拍照,在摄像头与用户交互的过程中可能涉及到用户的肖像信息等,用户通过台灯提供照明,在台灯与用户交互的过程中可能不涉及到用户的隐私。由此,设备安全敏感度评估模块207可以将手机、摄像头和台灯与相应的设备安全敏感等级建立对应关系。例如,确定手机和摄像头的设备安全敏感等级为高安全敏感等级,确定台灯的设备安全敏感等级为低安全敏感等级。
在本申请的另外一些实施例中,设备安全敏感度评估模块207首先评估智能设备300与用户的交互方式对应的设备安全敏感值,再基于设备安全敏感值评估智能设备300的设备安全敏感等级。
例如,手机与用户交互的过程中可能会涉及到用户的身份信息,设备安全敏感度评估模块207评估手机的设备安全敏感值为10,摄像头与用户交互的过程中可能涉及到用户的肖像信息,评估手机的设备安全敏感值为7,台灯与用户交互的过程中可能不涉及到用户的隐私,评估台灯的设备安全敏感值为2。然后设备安全敏感度评估模块207判断智能设备300的设备安全敏感值是否大于设备安全敏感阈值,如果大于设备安全敏感阈值,设备安全敏感等级为高设备安全敏感等级,如果小于设备安全敏感阈值,设备安全敏感等级为低设备安全敏感等级。
例如,将设备安全敏感阈值设定为5,则手机和台灯的设备安全敏感等级为高设备安全敏感等级,台灯的设备安全敏感等级为低设备安全敏感等级。
(2)设备位置可以表示智能设备300的工作场所,设备安全敏感度评估模块207基于智能设备300的工作场所评估设备安全敏感等级。
在本申请的一些实施例中,私密场所的设备安全敏感值大于公开场所的设备安全敏感值。例如,手机在家中的设备安全敏感值大于在咖啡厅的设备安全敏感值,卧室摄像头的设备安全敏感值大于客厅摄像头的敏感值。
可以理解,上述实施例分别基于智能设备300与用户的交互方式和设备的工作场所评估设备安全敏感等级,在本申请的另外一些实施例中,可以同时基于智能设备300与用户的交互方式和设备的工作场所评估设备安全敏感等级。
例如,用户使用手机在咖啡厅拍照和用户使用手机在客厅拍照,则客厅的手机的设备安全敏感等级大于咖啡厅的手机的设备安全敏感等级。
二、用户属性:用户属性可以表示智能设备300的工作状态,例如智能设备300是否在被用户使用。
在本申请的一些实施例中,未处于使用中的状态的设备安全敏感值大于正处于使用中的状态的设备安全敏感值。
例如,设备安全敏感度评估模块207评估用户正在使用的手机的设备安全敏感值为3,未被使用的手机的设备安全敏感值为10,再基于设备安全敏感阈值(例如,5),确定正在使用的手机的设备安全敏感等级为低设备安全敏感等级,未在使用的手机的设备安全敏感等级为高设备安全敏感等级。
三、环境属性:环境属性包括智能设备300与用户的相对距离、工作时间等。
(1)智能设备300与用户的相对距离可以通过控制端进行检测,设备安全敏感度评估模块207基于相对距离评估智能设备300的设备敏感等级,如果相对距离小于距离阈值,则智能设备300的设备安全敏感等级为低安全敏感等级;否则,如果相对距离大于距离阈值,则智能设备300的设备安全敏感等级为高安全敏感等级。
例如,如果用户在客厅,用户的手机也在客厅,通过控制端可以通过确定信号强度等手段检测到手机与用户的距离为1米,而如果用户在客厅,用户的手机在卧室,通过控制端可以检测到手机与用户的距离为5米。设备安全敏感度评估模块207首先获取手机与用户的距离,再基于距离阈值(例如,3米),确定客厅的手机的设备安全敏感等级为低设备安全敏感等级,卧室的手机的设备安全敏感等级为高设备安全敏感等级。
(2)智能设备的工作时间可以简单分为白天和夜晚。
例如,对于家庭摄像头,用户白天在外上班,可以通过手机100控制家庭摄像头远程监控家,摄像头需要向用户手机发送视频流。到了夜晚用户在家休息,不需要通过手机100控制家庭摄像头远端监控,如果家庭摄像头还是通过路由器300向外部发送视频流,说明家庭摄像头可能被网络攻击。由此,设备安全敏感度评估模块207评估白天的摄像头的设备安全敏感值为3,夜晚摄像头的设备安全敏感值为10,再基于设备安全敏感阈值(例如,5),确定白天的摄像头的设备安全敏感等级为低设备安全敏感等级,夜晚的摄像头的设备安全敏感等级为高设备安全敏感等级。
此外,在设备安全敏感度模块207获得多个安全敏感值的情形下,通过加权计算确定加权后的安全敏感值,再根据所述加权后的安全敏感值来确定智能设备300的设备安全敏感等级。
例如,用户夜晚在卧室玩手机,设备安全敏感度模块207首先获取手机的多个设备安全敏感值,可以是手机的工作场所(卧室)对应的设备安全敏感值A为10,手机的工作状态(使用状态)对应的设备安全敏感值B为2,手机的工作时间(夜晚)对应的安全敏感值C为8。设备的工作场所、工作时间和使用状态的权重分别是0.5、0.3和0.2,则加权后的手机的设备安全敏感值为7.8,大于设备安全敏感阈值(例如,5),则设备安全敏感度模块207评估该手机的设备安全敏感等级为高安全敏感等级。
可以理解,智能设备300的状态信息包括但不限于用户交互的方式、工作场所、工作状态、与第二电子设备之间的距离、工作时间,设备安全敏感度模块207可以根据所述状态信息中的所述至少一种信息的集合,确定与所述集合关联的所述设备安全敏感等级,也可以根据所述状态信息中的所述至少一种信息,确定与所述至少一种信息对应的安全敏感值,再根据所述至少一个安全敏感值来确定所述设备安全敏感等级,本申请实施例对此不做限制。
回到如图6所示的系统中,设备安全敏感度评估模块207基于设备标识(默认评估规则)评估智能设备300的设备安全敏感等级后,设备安全敏感度的策略管理模块208再根据设备安全敏感等级配置相应的安全策略。例如,对于高安全敏感度设备,设备安全敏感度的策略管理模块208配置的安全策略可以是阻断通信流量,然后向用户告警,而对于低安全敏感度设备,设备安全敏感度的策略管理模块208配置的安全策略可以是先向用户告警,由用户决定下一步措施。
下面基于上述图3和图6所示的结构,根据图8并结合具体场景,详细介绍本申请的技术方案。具体地,如图8所示,电子设备的安全管理方法包括:
801:智能设备300向网络服务器发送网络请求,具体过程参考图5中501的描述,在此不做赘述。
802:路由器200通过流量转发模块201将网络服务器发送的数据流量转发给流量采集模块202,具体过程参考图5中502的描述,在此不做赘述。
803:流量采集模块202从网络服务器发送的数据流量中采集特定数据流量,并发送给流量处理模块203,具体过程参考图5中503的描述,在此不做赘述。
804:流量处理模块203对特定数据流量预处理,并将预处理的数据流量发送给流量检测模块204,具体过程参考图5中504的描述,在此不做赘述。
805:流量检测模块204对预处理的数据流量进行检测,并将检测结果发送给策略执行模块205,具体过程参考图5中505的描述,在此不做赘述。
806:策略执行模块205判断检测结果是否包含异常数据流量。
如果流量检测模块204发送的检测结果不包含异常数据流量,则执行807,路由器200转发网络服务的数据流量;否则,如果流量检测模块204发送的检测结果包含异常数据流量,则执行808。
808:策略执行模块205从设备安全敏感度的策略管理模块208获取安全策略。
继续参考图7,设备安全敏感度的策略管理模块208基于设备安全敏感度评估模块207配置模块配置安全策略,设备安全敏感度评估模块207的评估规则可以包括默认评估规则、动态评估规则和手动配置规则。其中,默认评估规则参考上述实施例的描述,在此不做赘述。下面具体介绍动态评估规则和手动配置规则。
在本申请的一些实施例中,动态评估规则可以是云服务器评估,例如,如果按照默认规则将客厅摄像头评估为低安全敏感度设备,而云服务器提供的大数据显示近来发生大量家庭摄像头被网络病毒攻击的案件,由此可以根据大数据分析的结果将客厅摄像头的安全敏感等级重新评估为高安全敏感度等级。
在本申请的一些实施例中,手动配置规则可以是用户通过手机APP修改智能设备300的设备安全敏感等级及相应的安全策略。例如,按照默认规则台灯被评估为低安全敏感度设备,相应的安全策略是先向用户告警,由用户决定下一步措施,按照手动配置规则用户可以通过手机100上的台灯APP将台灯设置为高安全敏感度设备,相应的安全策略可以更改为阻断通信流量。
可以理解,本申请实施例对设备安全敏感度的评估规则不做限制,评估规则除了上述示出的三种外,还可以是其他评估规则。
809:策略执行模块205基于安全策略执行相应操作。
810:如果是高安全敏感度设备,直接阻断异常数据流量,然后向用户告警。
在本申请的一些实施例中,卧室摄像头被评估为高安全敏感度设备,如果路由器200检测到卧室摄像头传输的视频流中有异常数据流量,则路由器直接阻断视频流传输,再向用户告警。
例如,如图9所示,路由器200向用户告警,用户的手机100显示的界面可以是“危险!发现卧室摄像头被攻击,请及时升级摄像头软件”,用户可以按照提示对摄像头的软件进行升级。
811:如果是低安全敏感等级设备,对用户进行异常告警,由用户决定下一步措施。
例如,如图10所示,用户正在使用手机100访问A网站,按照默认规则手机100可以被评估为低安全敏感度设备,由于A网站被多次举报可能包含恶意低俗等内容,则手机100弹出的界面显示“该网站可能包含恶意低俗内容,是否继续访问”,再由用户决定是否继续访问A网站。
上述实施例分别介绍了路由器200基于策略配置模块206或设备安全敏感度的管理模块208执行安全措施,实际上路由器200可以同时基于策略配置模块206和设备安全敏感度的管理模块208执行安全措施,也能达到安全保护的效果。
图11示出了本申请实施例的另一种电子设备的安全管理方案的系统图,其中,路由器200包括流量转发模块201、流量采集模块202、流量处理模块203、流量检测模块204、策略执行模块205、策略配置模块206、设备安全敏感度评估模块207和设备安全敏感度的策略管理模块208,路由器200的各功能模块参考图4和图6的描述,在此不做赘述。
下面基于上述图3和图11所示的结构,根据图12并结合具体场景,详细介绍本申请的技术方案。具体地,如图12所示,电子设备的安全管理方法包括:
1201:智能设备300向网络服务器发送网络请求,具体过程参考图5中501的描述,在此不做赘述。
1202:路由器200通过流量转发模块201将网络服务器发送的数据流量转发给流量采集模块202,具体过程参考图5中502的描述,在此不做赘述。
1203:流量采集模块202从网络服务器发送的数据流量中采集特定数据流量,并发送给流量处理模块203,具体过程参考图5中503的描述,在此不做赘述。
1204:流量处理模块203对特定数据流量预处理,并将预处理的数据流量发送给流量检测模块204,具体过程参考图5中504的描述,在此不做赘述。
1205:流量检测模块204对预处理的数据流量进行检测,并将检测结果发送给策略执行模块205,具体过程参考图5中505的描述,在此不做赘述。
1206:策略执行模块205判断检测结果是否包含异常数据流量。
如果流量检测模块204发送的检测结果不包含异常数据流量,则执行1207,路由器200转发网络服务的数据流量;否则,如果流量检测模块204发送的检测结果包含异常数据流量,则执行1208。
1208:策略执行模块205基于策略配置模块206获取第一安全策略,第一安全策略的配置方式参考图5中508的描述,在此不做赘述。
1209:策略执行模块205基于设备安全敏感度的策略管理模块208获取第二安全策略,第二安全策略的配置方式参考图8中808的描述,在此不做赘述。
1210:策略执行模块205根据获取的第一安全策略和第二安全策略,执行最终的安全措施。
在本申请的一些实施例中,第一安全策略与第二策略相同,例如,第一安全策略与第二策略都是直接阻断异常数据流量,然后向用户告警,则策略执行模块205执行最终的安全措施是直接阻断异常数据流量,然后向用户告警。
在本申请的另外一些实施例中,第一安全策略与第二策略不同,策略执行模块205按照第二安全策略执行最终安全措施,第一安全策略仅供参考,这是因为第一安全策略并没有结合设备的安全敏感度,不能动态配置安全策略,而第二安全策略结合设备的安全敏感度,可以动态配置安全策略,第二安全策略更加符合家庭场景下只能设备组成的分布式网络,实现对分布式网络设备的细粒度管控。
例如,第一安全策略是直接阻断异常数据流量,然后向用户告警,第二安全策略是先向用户告警,由用户决定下一步措施,则策略执行模块205执行最终的安全措施是先向用户告警,由用户决定下一步措施。
如图13所示,应用程序包可以包括电话、相机,图库,日历,通话,地图,导航,WLAN,蓝牙,音乐,视频,短信息等应用程序。
应用程序框架层为应用程序层的应用程序提供应用编程接口(Applicationprogramming interface,API)和编程框架。应用程序框架层包括一些预先定义的函数。
如图13所示,应用程序框架层可以包括窗口管理器,内容提供器,视图系统,电话管理器,资源管理器,通知管理器等。
窗口管理器用于管理窗口程序。窗口管理器可以获取显示屏大小,判断是否有状态栏,锁定屏幕,截取屏幕等。
内容提供器用来存放和获取数据,并使这些数据可以被应用程序访问。所述数据可以包括视频,图像,音频,拨打和接听的电话,浏览历史和书签,电话簿等。
视图系统包括可视控件,例如显示文字的控件,显示图片的控件等。视图系统可用于构建应用程序。显示界面可以由一个或多个视图组成的。例如,包括短信通知图标的显示界面,可以包括显示文字的视图以及显示图片的视图。
电话管理器用于提供终端设备的通信功能。例如通话状态的管理(包括接通,挂断等)。
资源管理器为应用程序提供各种资源,比如本地化字符串,图标,图片,布局文件,视频文件等等。
通知管理器使应用程序可以在状态栏中显示通知信息,可以用于传达告知类型的消息,可以短暂停留后自动消失,无需用户交互。比如通知管理器被用于告知下载完成,消息提醒等。通知管理器还可以是以图表或者滚动条文本形式出现在系统顶部状态栏的通知,例如后台运行的应用程序的通知,还可以是以对话窗口形式出现在屏幕上的通知。例如在状态栏提示文本信息,发出提示音,终端设备振动,指示灯闪烁等。
Android runtime包括核心库和虚拟机。Android runtime负责安卓系统的调度和管理。
核心库包含两部分:一部分是java语言需要调用的功能函数,另一部分是安卓的核心库。
应用程序层和应用程序框架层运行在虚拟机中。虚拟机将应用程序层和应用程序框架层的java文件执行为二进制文件。虚拟机用于执行对象生命周期的管理,堆栈管理,线程管理,安全和异常的管理,以及垃圾回收等功能。
系统库可以包括多个功能模块。例如:表面管理器(surface manager),媒体库(Media Libraries),三维图形处理库(例如:OpenGL ES),2D图形引擎(例如:SGL)等。
表面管理器用于对显示子系统进行管理,并且为多个应用程序提供了2D和3D图层的融合。
媒体库支持多种常用的音频,视频格式回放和录制,以及静态图像文件等。媒体库可以支持多种音视频编码格式,例如:MPEG4,H.264,MP3,AAC,AMR,JPG,PNG等。
三维图形处理库用于实现三维图形绘图,图像渲染,合成,和图层处理等。
2D图形引擎是2D绘图的绘图引擎。
内核层是硬件和软件之间的层。内核层至少包含显示驱动,摄像头驱动,音频驱动,传感器驱动。
在说明书对“一些实施例”或“实施例”的引用意指结合实施例所描述的具体特征、结构或特性被包括在根据本公开的至少一个范例实施方案或技术中。说明书中的各个地方的短语“在一个实施例中”的出现不一定全部指代同一个实施例。
本公开还涉及用于执行文本中的操作装置。该装置可以专门处于所要求的目的而构造或者其可以包括由被存储在计算机中的计算机程序选择性地激活或者重新配置的通用计算机。这样的计算机程序可以被存储在计算机可读介质中,诸如,但不限于任何类型的盘,包括软盘、光盘、CD-ROM、磁光盘、只读存储器(ROM)、随机存取存储器(RAM)、EPROM、EEPROM、磁或光卡、专用集成电路(ASIC)或者适于存储电子指令的任何类型的介质,并且每个可以被耦合到计算机系统总线。此外,说明书中所提到的计算机可以包括单个处理器或者可以是采用针对增加的计算能力的多个处理器涉及的架构。
本文所提出的过程和显示器固有地不涉及任何具体计算机或其他装置。各种通用系统也可以与根据本文中的教导的程序一起使用,或者构造更多专用装置以执行一个或多个方法步骤可以证明是方便的。在一下描述中讨论了用于各种这些系统的结构。另外,可以使用足以实现本公开的技术和实施方案的任何具体编程语言。各种编程语言可以被用于实施本公开,如本文所讨论的。
另外,在本说明书所使用的语言已经主要被选择用于可读性和指导性的目的并且可能未被选择为描绘或限制所公开的主题。因此,本公开旨在说明而非限制本文所讨论的概念的范围。
Claims (14)
1.一种电子设备的安全管理方法,用于第一电子设备和第二电子设备构成的系统,所述第一电子设备与第二电子设备通信连接,其特征在于,包括:
所述第二电子设备获取所述第一电子设备的状态信息;
所述第二电子设备基于所述第一电子设备的状态信息确定所述第一电子设备的设备安全敏感等级,其中,所述设备安全敏感等级用于表示在所述第一电子设备遭受网络攻击后,对所述第一电子设备的用户的信息安全造成的风险程度;
所述第一电子设备的所述状态信息包括用于表征所述第一电子设备的与用户交互的方式、工作场所、工作状态、与第二电子设备之间的距离、工作时间的信息中的至少一种信息;
所述第二电子设备基于所述第一电子设备的设备安全敏感等级,生成并向所述第一电子设备发送相应的安全策略;
所述第一电子设备接收所述安全策略并且基于所述安全策略执行相应的安全措施。
2.根据权利要求1所述的方法,其特征在于,所述第二电子设备基于所述第一电子设备的状态信息确定所述第一电子设备的设备安全敏感等级,包括:
根据所述状态信息中的所述至少一种信息的集合,确定与所述集合关联的所述设备安全敏感等级。
3.根据权利要求1的方法,其特征在于,所述第二电子设备基于所述第一电子设备的状态信息确定所述第一电子设备的设备安全敏感等级,还包括:
根据所述状态信息中的所述至少一种信息,确定与所述至少一种信息对应的设备安全敏感值;
根据所述至少一个设备安全敏感值来确定所述设备安全敏感等级。
4.根据权利要求3所述的方法,其特征在于,在所述第一电子设备的所述状态信息包括所述用户交互的方式的情形中,
所述第一电子设备与所述用户的交互过程中会介入所述用户的信息安全的交互方式将被确定为第一设备安全敏感值;
所述第一电子设备与所述用户的交互过程中不会介入用户的信息安全的交互方式将被确定为第二设备安全敏感值;
其中,所述第一设备安全敏感值高于所述第二设备安全敏感值。
5.根据权利要求3所述的方法,其特征在于,在所述第一电子设备的所述状态信息包括所述工作场所的情形中,
私密的场所将被确定为第三设备安全敏感值;
公开的场所将被确定为第四设备安全敏感值;
其中,所述第三设备安全敏感值高于所述第四设备安全敏感值。
6.根据权利要求3所述的方法,其特征在于,在所述第一电子设备的所述状态信息包括所述工作状态的情形中,
正处于使用中的状态将被确定为第五设备安全敏感值;
未处于使用中的状态将被确定为第六设备安全敏感值;
其中,所述第五设备安全敏感值高于所述第六设备安全敏感值。
7.根据权利要求3所述的方法,其特征在于,在所述第一电子设备的所述状态信息包括所述与第一电子设备的距离的情形中,
与第一电子设备的距离是第一距离的状态将被确定为第七设备安全敏感值;
与第一电子设备的距离是小于所述第一距离的第二距离的状态将被确定为第八设备安全敏感值;
其中,所述第七设备安全敏感值高于所述第八设备安全敏感值。
8.根据权利要求3所述的方法,其特征在于,在所述第一电子设备的所述状态信息包括所述工作时间的情形中,
所述工作时间处于夜晚状态下的第一时段将被确定为第九设备安全敏感值;
所述工作时间处于白天状态下的第二时段将被确定为第十设备安全敏感值;
其中,所述第九设备安全敏感值高于所述第十设备安全敏感值。
9.根据权利要求4至8任一项所述的方法,其特征在于,根据所述至少一个设备安全敏感值来确定所述设备安全敏感等级,包括:
在获得多个设备安全敏感值的情形下,通过加权计算确定加权后的设备安全敏感值;
根据所述加权后的设备安全敏感值来确定所述设备安全敏感等级。
10.根据权利要求1所述的方法,其特征在于,所述第二电子设备基于所述第一电子设备的设备安全敏感等级,生成并向所述第一电子设备发送相应的安全策略,包括:
如果所述第一电子设备的设备安全敏感等级为第一安全敏感等级,所述安全策略为阻断数据流量,然后向用户告警;
如果所述第一电子设备的设备安全敏感等级为第二安全敏感等级,所述安全策略为先对用户进行异常告警,由用户决定下一步安全措施;
其中,所述第一安全敏感等级高于所述第二安全敏感等级。
11.根据权利要求1所述的方法,其特征在于,还包括:设备安全敏感等级可以被用户手动配置。
12.一种电子设备的安全管理方法,其特征在于,用于第一电子设备和第二电子设备构成的系统,所述第一电子设备与第二电子设备通信连接,其特征在于,包括:
所述第二电子设备基于大数据分析结果确定所述第一电子设备的设备安全敏感等级,其中,
如果所述大数据分析结果为所述与第一电子设备的同类型的第三电子设备被网络攻击的次数大于预定阈值,所述第一电子设备的设备安全敏感等级为第一安全敏感等级;
如果所述大数据分析结果为所述与第一电子设备的同类型的第三电子设备被网络攻击的次数小于预定阈值,所述第一电子设备的设备安全敏感等级为第二安全敏感等级,其中,所述第一安全敏感等级高于所述第二安全敏感等级;
所述第二电子设备基于所述第一电子设备的设备安全敏感等级,生成并向所述第一电子设备发送相应的安全策略;
所述第一电子设备接收所述安全策略并且基于所述安全策略执行相应的安全措施。
13.一种可读介质,所述可读介质存储有指令,其特征在于,当所述指令在所述可读介质上执行时,使得所述可读介质执行所述权利要求1至12中任一项所述的电子设备的安全管理方法。
14.一种电子设备,其特征在于,包括:
存储器,存储有指令;
处理器,所述处理器和所述存储器耦合,当所述存储器存储的程序指令被所述处理器执行时使得所述电子设备执行所述权利要求1至12中任一项所述的电子设备的安全管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110163536.5A CN114884685B (zh) | 2021-02-05 | 2021-02-05 | 电子设备的安全管理方法、电子设备及其可读介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110163536.5A CN114884685B (zh) | 2021-02-05 | 2021-02-05 | 电子设备的安全管理方法、电子设备及其可读介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114884685A true CN114884685A (zh) | 2022-08-09 |
CN114884685B CN114884685B (zh) | 2023-08-22 |
Family
ID=82667402
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110163536.5A Active CN114884685B (zh) | 2021-02-05 | 2021-02-05 | 电子设备的安全管理方法、电子设备及其可读介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114884685B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115664850A (zh) * | 2022-12-13 | 2023-01-31 | 深圳市鑫宇鹏电子科技有限公司 | 通信安全等级切换方法、装置、电子设备及存储介质 |
Citations (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070199044A1 (en) * | 2006-02-17 | 2007-08-23 | Samsung Electronics Co., Ltd. | Systems and methods for distributed security policy management |
CN101160876A (zh) * | 2005-10-15 | 2008-04-09 | 华为技术有限公司 | 一种网络安全控制方法及系统 |
CN103988169A (zh) * | 2011-09-27 | 2014-08-13 | 亚马逊技术股份有限公司 | 基于策略符合性的安全数据访问 |
CN104239816A (zh) * | 2014-09-28 | 2014-12-24 | 联想(北京)有限公司 | 可切换工作状态电子设备及其切换方法 |
CN105824242A (zh) * | 2016-03-14 | 2016-08-03 | 美的集团股份有限公司 | 智能家居安全防护系统和方法 |
US20170134426A1 (en) * | 2015-11-05 | 2017-05-11 | International Business Machines Corporation | Providing a common security policy for a heterogeneous computer architecture environment |
CN107273738A (zh) * | 2017-06-22 | 2017-10-20 | 努比亚技术有限公司 | 一种安全控制方法、终端及计算机可读存储介质 |
CN107395617A (zh) * | 2017-08-14 | 2017-11-24 | 中国联合网络通信集团有限公司 | 安全策略管理方法及装置 |
US20180041546A1 (en) * | 2016-08-08 | 2018-02-08 | Sap Se | Automated security design for internet of things systems |
CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
CN109543411A (zh) * | 2018-11-29 | 2019-03-29 | 北京元心科技有限公司 | 应用程序监控方法、装置、电子设备及可读存储介质 |
CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
CN109787935A (zh) * | 2017-11-13 | 2019-05-21 | 广东工业大学 | 一种智能家居安全防护系统 |
CN110336784A (zh) * | 2019-05-22 | 2019-10-15 | 北京瀚海思创科技有限公司 | 基于大数据的网络攻击识别预测系统、方法以及存储介质 |
CN110476167A (zh) * | 2017-02-27 | 2019-11-19 | 英万齐股份有限公司 | 基于上下文的计算机安全风险缓解的系统和方法 |
CN111597533A (zh) * | 2020-04-27 | 2020-08-28 | 维沃移动通信有限公司 | 信息显示方法、装置及电子设备 |
CN112055127A (zh) * | 2020-09-10 | 2020-12-08 | 珠海奔图电子有限公司 | 图像形成控制方法、终端设备及可读存储介质 |
CN112073422A (zh) * | 2020-09-15 | 2020-12-11 | 南方电网科学研究院有限责任公司 | 一种智能家居防护系统及其防护方法 |
-
2021
- 2021-02-05 CN CN202110163536.5A patent/CN114884685B/zh active Active
Patent Citations (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101160876A (zh) * | 2005-10-15 | 2008-04-09 | 华为技术有限公司 | 一种网络安全控制方法及系统 |
US20070199044A1 (en) * | 2006-02-17 | 2007-08-23 | Samsung Electronics Co., Ltd. | Systems and methods for distributed security policy management |
CN103988169A (zh) * | 2011-09-27 | 2014-08-13 | 亚马逊技术股份有限公司 | 基于策略符合性的安全数据访问 |
CN104239816A (zh) * | 2014-09-28 | 2014-12-24 | 联想(北京)有限公司 | 可切换工作状态电子设备及其切换方法 |
US20170134426A1 (en) * | 2015-11-05 | 2017-05-11 | International Business Machines Corporation | Providing a common security policy for a heterogeneous computer architecture environment |
CN105824242A (zh) * | 2016-03-14 | 2016-08-03 | 美的集团股份有限公司 | 智能家居安全防护系统和方法 |
US20180041546A1 (en) * | 2016-08-08 | 2018-02-08 | Sap Se | Automated security design for internet of things systems |
CN110476167A (zh) * | 2017-02-27 | 2019-11-19 | 英万齐股份有限公司 | 基于上下文的计算机安全风险缓解的系统和方法 |
CN107273738A (zh) * | 2017-06-22 | 2017-10-20 | 努比亚技术有限公司 | 一种安全控制方法、终端及计算机可读存储介质 |
CN107395617A (zh) * | 2017-08-14 | 2017-11-24 | 中国联合网络通信集团有限公司 | 安全策略管理方法及装置 |
CN109787935A (zh) * | 2017-11-13 | 2019-05-21 | 广东工业大学 | 一种智能家居安全防护系统 |
CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
CN109543411A (zh) * | 2018-11-29 | 2019-03-29 | 北京元心科技有限公司 | 应用程序监控方法、装置、电子设备及可读存储介质 |
CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
CN110336784A (zh) * | 2019-05-22 | 2019-10-15 | 北京瀚海思创科技有限公司 | 基于大数据的网络攻击识别预测系统、方法以及存储介质 |
CN111597533A (zh) * | 2020-04-27 | 2020-08-28 | 维沃移动通信有限公司 | 信息显示方法、装置及电子设备 |
CN112055127A (zh) * | 2020-09-10 | 2020-12-08 | 珠海奔图电子有限公司 | 图像形成控制方法、终端设备及可读存储介质 |
CN112073422A (zh) * | 2020-09-15 | 2020-12-11 | 南方电网科学研究院有限责任公司 | 一种智能家居防护系统及其防护方法 |
Non-Patent Citations (2)
Title |
---|
LI BO等: "\"A User Access Policy Based on Dynamic Sensitivity Label\"" * |
李兵奎等: ""SDN中基于交换机等级划分的安全路由策略"" * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115664850A (zh) * | 2022-12-13 | 2023-01-31 | 深圳市鑫宇鹏电子科技有限公司 | 通信安全等级切换方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114884685B (zh) | 2023-08-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11706584B2 (en) | Location service management | |
TWI606360B (zh) | 一種網頁檢測方法、裝置和系統 | |
US9330257B2 (en) | Adaptive observation of behavioral features on a mobile device | |
CN106791168A (zh) | 移动终端信息保护方法、装置和移动终端 | |
US12182319B2 (en) | Software initiated camera and microphone indicator | |
CN108235767B (zh) | 一种支付应用的隔离方法、装置及终端 | |
WO2020259650A1 (zh) | 一种响应请求的方法及电子设备 | |
CN106815518B (zh) | 一种应用安装方法及电子设备 | |
CN107563187A (zh) | 访问操作监控方法、装置、移动终端及可读存储介质 | |
CN110191465A (zh) | 权限控制方法、移动终端及计算机可读存储介质 | |
CN108270757B (zh) | 一种用户账户切换方法、装置、客户端以及系统 | |
CN110084035B (zh) | 用于在发生拒绝时建议响应指南的电子设备和方法 | |
CN109992965A (zh) | 进程处理方法和装置、电子设备、计算机可读存储介质 | |
CN111656347B (zh) | 一种项目的显示方法及终端 | |
TW201543860A (zh) | 對行動設備上的驅動程式和硬體級行爲特徵的自我調整觀測 | |
CN107343279A (zh) | 网络连接方法、装置、终端设备及存储介质 | |
CN114884685B (zh) | 电子设备的安全管理方法、电子设备及其可读介质 | |
US20160306962A1 (en) | Device and method of requesting external device to execute task | |
WO2019084783A1 (zh) | 服务调度方法和装置、计算机设备、计算机可读存储介质 | |
CN106874751A (zh) | 在系统保护模式下的输入方法、装置和移动终端 | |
WO2023212593A1 (en) | Access control management | |
US10599866B2 (en) | Method and system for protecting personal information based on mobile terminal and the mobile terminal | |
CN106529335B (zh) | 限制截图的方法、装置及便携式移动终端 | |
US9980132B2 (en) | Method for detecting messages and call request and electronic device adapted thereto | |
CN106878548A (zh) | 移动终端远程控制方法、装置和移动终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |