一种终端设备的权限控制方法及系统与流程

本发明涉及安全控制技术领域，具体涉及一种终端设备的权限控制方法及系统。

背景技术：

随着网络的快速发展，互联网已经渗透到社会生活的每一个角落，成为人们学习、工作和生活不可或缺的工具。互联网为人们快速获取知识，即时沟通以及跨地域交流提供了极大的便利，与此同时，互联网的便利性与虚拟性也为各种不安全行为提供了便利，尤其是对于企事业单位而言，员工不经意或有心人士在网络上的行为都可能造成单位的商业秘密的泄露，给单位造成巨大的经济损失。

为了避免上述问题的发生，尤其是在一些涉及到安全控制单位，在用户进入特定的限制区域后，需要刷门禁进入，并需要控制手机等电子设备在该限制区域无法入网通话，甚至需要控制无法进行短信发送等，以保证区域内部信息的安全。为了实现上述控制，现有技术中主要会采用屏蔽信号的方式，即部署信号干扰设备，使手机等终端设备在这部分区域接收不到信号，但是信号干扰设备并没有明显的范围限定，即使在限制区域外，手机信号也会受到影响，另外，目前干扰信号的方法智能限制手机入网，无法限制手机访问卡片内容，比如电话本和短信等信息。

技术实现要素：

针对现有技术中存在的缺陷，本发明实施例的目的在于提供一种能够克服上述问题或者至少能够部分地解决上述问题的一种终端设备的权限控制方法及系统。

为实现上述目的，本发明的一个实施例中提供了一种终端设备的权限控制方法，所述终端设备中设有SIM卡和第一非接触通信模块，第一非接触通信模块与SIM卡连接通信，所述权限控制方法包括以下步骤：

(1)所述终端设备进行限制区域前，限制区域的门禁设备通过所述第一非接触通信模块与SIM卡进行非接触通信，将SIM卡的权限标记位修改为第一状态；

所述权限标记位为SIM卡中预设的用于标识终端设备是否进入限制区域的标识，所述第一状态用于标识终端设备已经进入所述限制区域；

(2)SIM卡按照预设时间间隔获取其权限标记位的状态，当所述权限标记位为所述第一状态时，SIM卡将其鉴权标准文件中的入网鉴权数据复制保存到预设的鉴权备份文件中，并删除所述鉴权标准文件中的入网鉴权数据；

(3)SIM卡向终端设备发送设备重启命令，终端设备根据所述重启命令完成设备自动重启。

进一步，如上所述的一种终端设备的权限控制方法，还包括：

(4)所述终端设备离开所述限制区域后，门禁设备通过所述第一非接触通信模块与SIM卡进行非接触通信，将SIM卡的权限标记位修改为第二状态；所述第二状态用于标识终端设备已经离开所述限制区域；

(5)SIM卡按照预设时间间隔获取其权限标记位的状态，当所述权限标记位为所述第二状态时，SIM卡将所述鉴权备份文件中的入网鉴权数据复制写入到鉴权标准文件中；

(6)SIM卡向终端设备发送设备重启命令，终端设备根据重启命令完成设备自动重启。

进一步，如上所述的一种终端设备的权限控制方法，所述第一非接触通信模块设置在SIM卡中，SIM卡为SIMpass卡。

进一步，如上所述的一种终端设备的权限控制方法，SIM卡删除所述鉴权标准文件中的入网鉴权数据时，还包括：SIM卡将其短信文件和电话本文件的状态设置为不可读状态；所述不可读状态是指SIM卡接收到终端设备的短信读取命令或电话本读取命令时，将预设数据作为应答数据返回给终端设备；

SIM卡将所述鉴权备份文件中的入网鉴权数据复制写入到鉴权标准文件中时，还包括：SIM卡将其短信文件和电话本文件的状态设置为可读状态。

进一步，如上所述的一种终端设备的权限控制方法，所述SIM卡按照预设时间间隔获取其权限标记位的状态，包括：

终端设备按照所述预设时间间隔向SIM卡发送通用文件状态查询命令STATUS；

SIM卡根据所述通用文件状态查询命令STATUS向终端设备返回对应的卡片状态数据，并查询其权限标识位的状态。

本发明实施例中还公开了一种终端设备的权限控制系统，包括终端设备和限制区域的门禁设备；所述终端设备中设有SIM卡和第一非接触通信模块，第一非接触通信模块与SIM卡连接通信，所述门禁设备包括主控芯片和第二非接触通信模块，主控芯片与SIM之间通过所述第二非接触通信模块和第一非接触通信模块进行非接触通信；

所述主控芯片，用于在终端设备进行限制区域前，通过所述第二非接触通信模块和第一非接触通信模块与SIM卡进行非接触通信，将SIM卡的权限标记位修改为第一状态；所述权限标记位为SIM卡中预设的用于标识终端设备是否进入限制区域的标识，所述第一状态用于标识终端设备已经进入所述限制区域；

所述SIM卡包括：

权限标记位状态查询模块，用于按照预设时间间隔获取其权限标记位的状态；

鉴权数据修改模块，用于当所述权限标记位为所述第一状态时，将SIM卡的鉴权标准文件中的入网鉴权数据复制保存到预设的鉴权备份文件中，并删除所述鉴权标准文件中的入网鉴权数据；

重启命令发送模块，用于权限标记位的状态发生修改后，向终端设备发送设备重启命令；

所述终端设备，根据SIM卡发送的设备重启命令，完成设备自动重启。

进一步，如上所述的一种终端设备的权限控制系统，所述主控芯片，还用于在终端设备离开所述限制区域后，通过所述第二非接触通信模块和第一非接触通信模块与SIM卡进行非接触通信，将SIM卡的权限标记位修改为第二状态；所述第二状态用于标识终端设备已经离开所述限制区域；

所述鉴权数据修改模块，还用于在所述权限标记位为所述第二状态时，将SIM卡的鉴权备份文件中的入网鉴权数据复制写入到鉴权标准文件中。

进一步，如上所述的一种终端设备的权限控制系统，所述第一非接触通信模块设置在SIM卡中，SIM卡为SIMpass卡。

进一步，如上所述的一种终端设备的权限控制系统，所述SIM卡还包括：

文本文件控制模块，用于在SIM卡删除鉴权标准文件中的入网鉴权数据时，将SIM卡的短信文件和电话本文件的状态设置为不可读状态，以及在SIM卡将所述鉴权备份文件中的入网鉴权数据复制写入到鉴权标准文件中时，将其短信文件和电话本文件的状态设置为可读状态；所述不可读状态是指SIM卡接收到终端设备的短信读取命令或电话本读取命令时，将预设数据作为应答数据返回给终端设备。

进一步，如上所述的一种终端设备的权限控制系统，所述终端设备还用于按照所述预设时间间隔向SIM卡发送通用文件状态查询命令STATUS；

权限标记位状态查询模块，用于在根据所述通用文件状态查询命令STATUS向终端设备返回对应的卡片状态数据时，查询SIM卡的权限标记位的状态。

本发明的有益效果在于：本发明实施例中所提供的权限控制方法及系统，通过在限制区域外设置门禁设备，由门禁设备通过非接通信方式对SIM卡中预设的权限标识位进行修改，并通过该标识位的状态对SIM卡的鉴权标准文件进行修改，从而实现了对SIM卡入网权限的控制，保证了特定限制区域内的信息无法由终端设备通过网络发送出去，且该方案可以精确的实现只对限制区域内的终端设备进行权限控制，而不影响限制区域外的终端设备的上网权限。此外，本发明的另一个实施例中，还能够进一步实现对终端设备的SIM卡内的短信读取和电话本读取安全的控制，更全面的实现了对终端设备权限的控制，更好了满足了实际应用需求，且方案实现简单，成本低。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，附图仅限于示出优选实施方式的目的，而并不认为是本发明的限制，且对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一个实施例中的一种终端设备的权限控制系统的结构示意图；

图2为本发明一个实施例中的一种终端设备的权限控制系统的结构示意图。

图3为本发明一个实施例中的一种终端设备的权限控制方法的流程示意图；

图4为本发明一个实施例中的一种终端设备的权限控制方法的流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，均属于本发明保护的范围。

图1示出了本发明的一个实施中提供的一种终端设备的权限控制系统的结构示意图，由图中可以看出，该系统主要包括终端设备100和门禁设备200两个大部分，其中，所述终端设备100中设有SIM卡110和第一非接触通信模块120，第一非接触通信模块120与SIM卡110连接通信，所述门禁设备200包括主控芯片210和第二非接触通信模块220，主控芯片210与SIM110之间通过所述第二非接触通信模块220和第一非接触通信模块120进行非接触通信。

本实施方式中，所述主控芯片210，用于在终端设备100进入限制区域前，通过所述第二非接触通信模块220和第一非接触通信模块120与SIM卡110进行非接触通信，将SIM卡110的权限标记位修改为第一状态；其中，所述权限标记位为SIM卡110中预设的用于标识终端设备100是否进入限制区域的标识，所述第一状态用于标识终端设备100已经进入所述限制区域。

所述SIM卡110包括权限标记位状态查询模块111、鉴权数据修改模块112和重启命令发送模块113。其中：

权限标记位状态查询模块111，用于按照预设时间间隔获取其权限标记位的状态；

鉴权数据修改模块112，用于当所述权限标记位为所述第一状态时，将SIM卡的鉴权标准文件中的入网鉴权数据复制保存到预设的鉴权备份文件中，并删除所述鉴权标准文件中的入网鉴权数据；

重启命令发送模块113，用于权限标记位的状态发生修改后，向终端设备发送设备重启命令；

所述终端设备100，根据SIM卡发送的设备重启命令，完成设备自动重启。

本实施例中所述的权限控制系统，在终端设备进入限制区域前，通过门禁设备采用非接触通信方式，修改SIM卡的权限标记位，当权限标记位标识设备已经入限制区域后，SIM卡便将其鉴权标准文件中的鉴权数据拷贝到鉴权备份文件中，并删除标准文件中的入网鉴权数据，之后控制终端设备完成自动重启，在重启进入开机流程时，由于鉴权标准文件中的入网鉴权数据已经被删除，因此，终端设备无法入网，实现了对终端设备的入网限制，使得终端设备无法在限制区域上网。

其中，所述限制区域是根据实际需要设定的，一般是指公司单位中需要进入上网安全控制的区域。采用本实施例中所提供的方案，通过在限制区域设置门禁设备，方便的实现了人员在通过门禁进入限制区域前对其终端设备进行入网的权限控制，保证了限制区域内的信息无法由终端设备通过网络发送出去，且该方案可以精确的实现只对限制区域内的终端设备进行权限控制，而不影响限制区域外的终端设备的上网权限。

在实际应用中，对于手机而言，SIM卡可以通过向终端设备发送主动式命令refresh，令手机后台重启，重新进入开机流程。

其中，所述终端设备100包括但不限于手机，如也可以具有上网通话的可穿戴设备，如具有SIM卡和非接触通信功能的智能手表等。

在实际应用中，所述第一非接触通信模块120与SIM卡110可以为一个整体，也可以为两个单独的部分，考虑到终端设备的体积大小，优先为整体设计，即所述第一非接触通信模块120设置在SIM卡110中，此时，所述SIM卡110可以直接选用SIMpass卡。

为了保证终端设备100离开所述限制区域后，终端设备100能够进行正常工作，本发明的一个示例中，所述主控芯片210，还用于在终端设备离开所述限制区域后，通过所述第二非接触通信模块和第一非接触通信模块与SIM卡进行非接触通信，将SIM卡的权限标记位修改为第二状态；所述第二状态用于标识终端设备已经离开所述限制区域；

所述鉴权数据修改模块220，还用于在所述权限标记位为所述第二状态时，将SIM卡的鉴权备份文件中的入网鉴权数据复制写入到鉴权标准文件中。

此时，由于SIM卡的权限标记位的状态发生修改，所述重启命令发送模块113也会向终端设备100发送设备重启命令，终端设备100根据SIM卡发送的设备重启命令，完成设备的自动重启，在设备重新开机时，由于入网鉴权标准文件中入网鉴权数据已经被重新写入，因此，终端设备100可以完成正常的入网鉴权流程，重新恢复正常通讯。

为了实现对终端设备权限的进一步控制，以更好的实际安全需求，本发明的一个实施例中，所述SIM卡110还可以包括文本文件控制模块114，如图2所示。其中：

所述文本文件控制模块114，用于在删除所述鉴权标准文件中的入网鉴权数据时，将SIM卡的短信文件和电话本文件的状态设置为不可读状态，以及在将SIM卡的鉴权备份文件中的入网鉴权数据复制写入到鉴权标准文件中时，将其短信文件和电话本文件的状态设置为可读状态；所述不可读状态是指SIM卡接收到终端设备的短信读取命令或电话本读取命令时，将预设数据作为应答数据返回给终端设备。

通过该方案，能够禁止终端设备100读取SIM卡中的电话本和短信，进一步控制终端设备的可操作权限。

在本发明的一个实施例中，所述终端设备100还用于按照所述预设时间间隔向SIM卡110发送通用文件状态查询命令STATUS；

此时，所述权限标记位状态查询模块111，用于在根据所述通用文件状态查询命令STATUS向终端设备返回对应的卡片状态数据时，查询SIM卡的权限标记位的状态。

所述通用文件状态查询命令STATUS，可以用来获取SIM卡中选用的通用文件的状态，这个中性命令为终端设备用来周期性查询激活SIM卡，以便知道SIM卡是否要发出某个命令，这个命令在任何时候使用，如对于手机，手机一般每30秒采用该命令扫描一次SIM卡的状态，本实施例中，利用该命令，在SIM卡收到终端设备发送的该指令时，除了正常返回卡片状态给终端设备外，SIM卡还会查询其权限标记位，即将终端设备查询SIM状态的指令同时作为了SIM卡查询其权限标记位的一个触发指令，触发SIM卡完成其权限标记位的查询。其中，所述预设时间间隔可以根据需要进行设置，如30秒，当然也可以是其他时间。

图3示出了本发明的一个实施例中提供的一种终端设备的权限控制方法的流程示意图，由图中可以看出，该权限控制方法可以包括以下步骤：

步骤S100：终端设备进行限制区域前，门禁设备将终端设备中的SIM卡的权限标记位修改为已进入限制区域状态；

本实施方式中，所述终端设备中设有SIM卡和第一非接触通信模块，第一非接触通信模块与SIM卡通信，门禁设备通过其第二非接触通信模块和所述第一非接触通信模块与SIM卡进行非接触通信，在终端设备进入限制区域前，将SIM卡的权限标记位修改为第一状态；其中，所述权限标记位为SIM卡中预设的用于标识终端设备是否进入限制区域的标识，所述第一状态用于标识终端设备已经进入所述限制区域。例如，权限标记位的状态可以为0或1，1作为第一状态，标识设备已经进入限制区域，0作为下文中的第二状态，标识设备离开了所述限制区域，第二状态可以作为默认状态值。

在实际应用中，所述第一非接触通信模块优选设置在SIM卡中，此时，即SIM卡可以直接选用SIMpass卡。所述终端设备包括但不限于手机等。

步骤S200：当所述权限标记位为进入限制区域状态时，SIM卡将入网鉴权数据复制保存到预设的鉴权备份文件中，删除鉴权标准文件中的入网鉴权数据；

SIM卡按照预设时间间隔获取其权限标记位的状态，在权限标记位的状态发生变化时，如当所述权限标记位为由第二状态变化为所述第一状态时，SIM卡将其鉴权标准文件中的入网鉴权数据复制保存到预设的鉴权备份文件中，并删除所述鉴权标准文件中的入网鉴权数据。所述预设时间间隔可以根据实际需要进行设置。其中，所述鉴权标准文件是指SIM卡中默认的用于保存入网鉴权数据的文件。其中，所述入网鉴权数据包括入网鉴权键Ki等。

在本发明的一个实施例中，所述SIM卡按照预设时间间隔获取其权限标记位的状态的具体方式为：

终端设备按照所述预设时间间隔向SIM卡发送通用文件状态查询命令STATUS；

SIM卡根据所述通用文件状态查询命令STATUS向终端设备返回对应的卡片状态数据，并查询其权限标识位的状态。

需要说明的是，在实际操作中，SIM卡将入网鉴权数据复制保存到预设的鉴权备份文件中的步骤，可以只需要在终端设备首次进入限制区域时进行，因此，在终端设备之后进入限制区域时，鉴权备份文件中已经存在入网鉴权数据了，此时可以只进行将鉴权标准文件中的入网鉴权数据删除的步骤。

在实际应用中，为了更好的控制终端设备的操作权限，本发明的一个实施例中，SIM卡删除鉴权标准文件中的入网鉴权数据时，还可以包括：

SIM卡将其短信文件和电话本文件的状态设置为不可读状态；所述不可读状态是指SIM卡接收到终端设备的短信读取命令或电话本读取命令时，将预设数据作为应答数据返回给终端设备。

步骤S300：SIM卡向终端设备发送设备重启命令，终端设备根据所述重启命令完成设备自动重启。

SIM卡在将入网鉴权数据复制保存到预设的鉴权备份文件中，并删除了鉴权标准文件中的入网鉴权数据后，向终端设备发送重启命令，终端设备根据该命令后完成后台自动重启，此时，由于鉴权标准文件中的入网鉴权数据已经被清空，因此，终端设备无法完成入网鉴权流程，无法进行上网，实现了对终端设备的上网权限控制。

在本发明的一个实施例中，如图4所示，所述权限控制方法还包括：

步骤S400：终端设备离开所述限制区域后，门禁设备将SIM卡的权限标记位修改为离开限制区域的状态；

当终端设备离开限制区域后，门禁设备与SIM卡通过所述第一非接触通信模块和第二非接触通信模块进行非接触通信，将SIM卡的权限标记位修改为第二状态；所述第二状态用于标识终端设备已经离开所述限制区域。

步骤S500：SIM卡获取其权限标记位的状态，当所述权限标记位为离开限制区域状态时，SIM卡将鉴权入网数据复制到鉴权标准文件中；

步骤S600：SIM卡向终端设备发送设备重启命令，终端设备根据重启命令完成设备自动重启。

SIM卡按照预设时间间隔获取其权限标记位的状态，当所述权限标记位为的状态发生变化时，如当权限标记位由第一状态变化为所述第二状态时，SIM卡将所述鉴权备份文件中的入网鉴权数据复制写入到鉴权标准文件中。即终端设备离开所述限制区域时，将鉴权数据重新写入鉴权标准文件中，此时，SIM卡向终端设备发送设备重启命令，终端设备根据重启命令进行设备重启，由于此时鉴权标准文件中存储入网鉴权数据，因此，终端设备可以恢复正常通信。

如果在设备进入限制区域时，对SIM卡的短信文件和电话本文件进行了权限控制，此时，SIM卡将鉴权入网数据复制到鉴权标准文件时，还可以包括：SIM卡将其短信文件和电话本文件的状态设置为可读状态。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述装置实施方式中各部分的全部或部分可以以硬件实现，或者以在一个或多个硬件上运行的软件模块来实现，方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成。本领域技术人员应该明白，本发明所述的方法和装置并不限于具体实施方式中所述的实施例，上面的具体描述只是为了解释本发明的目的，并非用于限制本发明。本领域技术人员根据本发明的技术方案得出其他的实施方式，同样属于本发明的技术创新范围，本发明的保护范围由权利要求及其等同物限定。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其同等技术的范围之内，则本发明也意图包含这些改动和变型在内。