用于在移动设备中使用隔离环境保护数据的方法与流程

本发明涉及移动设备中的数据保护，且更具体地说，涉及使用一个或多个隔离环境来保护数据。

背景技术：

近年来，包含移动计算或通信设备的智能终端已经成为必不可少的个人物品。人们将他们的联系人、消息或照片等个人数据存储在移动设备中以便轻松访问。因此，移动设备的安全性已经成为个人隐私问题。

令人遗憾的是，因为操作平台通常向第三方开发者开放，所以移动设备的存储环境并不受保护。移动设备用户可从应用程序(app)市场安装许多app。这些app中的一些可能是恶意的，且用于盗窃用户的个人数据。在不受保护的环境中，存储数据会受任何或其它app控制，且会经由进程间通信(inter-processcommunication，ipc)访问。然而，阻断其它app的所有访问对开放平台来说并不实际。因此，移动设备用户需要安全技术来保护移动设备中他们的隐私和数据。

智能终端上的数据可根据隐私性进行分级。例如，存储在通讯录中且与名人或公众人物相关的联系人信息被认为是敏感的，而具有广告性质的电子邮件是不敏感的。通常，移动设备用户可能不会就不敏感数据的泄露进行争论。但是，敏感数据的泄露可能会导致恶劣后果，因此是用户不可接受的。

在us2014/0006347a1号美国专利申请公开案中，公开一种包含使得企业用户能够使用他们的移动设备安全地访问企业资源(文件、数据、应用程序服务器等)的组件和特征的系统。企业可使用所述系统的一些或所有组件来例如安全但灵活地实施byod(自带设备办公)策略，其中用户可在他们的移动设备上同时运行个人应用程序和受保护的企业应用程序。例如，所述系统可实施用于基于设备属性(例如，安装了什么移动应用程序)、用户属性(例如，用户的职位或部门)、行为属性和其它判据来控制移动设备对企业资源的访问的策略。例如，通过产生用于在本地存储企业数据的受保护容器、产生用于运行企业应用程序的受保护执行环境和/或产生用于与企业系统通信的受保护应用程序通道，安装在移动设备上的客户端代码可进一步增强安全性。

wo2014/067222a1号国际公开案公开一种用于隔离移动数据的系统。所述系统包括标记控制管理模块和移动数据管理模块。标记控制管理模块包括标记产生器、标记存储管理和标记传输控制。移动数据管理模块主要根据标记识别用户许可和数据隐私级别，并对移动数据的移动应用程序执行操作控制，以便实现对细粒度移动数据的维持性安全保护。移动数据管理模块被划分成在数据处理期间的安全隔离控制、在数据传输期间的安全控制和在数据存储期间的安全隔离控制。同时还公开了一种用于隔离移动数据的方法。所述发明能有效地隔离移动智能终端的数据、对细粒度数据执行操作控制、实现不同隐私策略，以及保证移动数据的维持性安全。

在cn103313238号中国专利申请公开案中，所述发明公开一种用于移动终端的安全系统。所述安全系统包括用户数据隔离模块；所述用户数据隔离模块包括用户权限管理模块和数据保护模块，且用于保护用户的隐私数据；用户可通过用户权限管理模块的辅助而进入对应于不同权限密码的备用界面；数据保护模块布置在应用程序和数据库界面之间，且用于管理应用程序的用户数据访问权限。所述发明进一步公开一种用于移动终端的安全保护方法。所述安全系统和安全保护方法具有以下优势：能通过移动终端的系统保护真实数据、防止移动终端的个人信息泄露或被盗，并且能有效保护用户的隐私信息。

技术实现要素：

本发明的实施例提供一种移动设备架构，其具有不受保护的环境和一个或多个受保护容器，所述受保护容器用于根据应用程序和应用数据的敏感度或隐私级别来隔离应用程序和应用数据。针对每个受保护容器限定访问策略和例外策略，以限制对与受保护容器相关联或存储在受保护容器中的应用程序和数据的访问。提供通信监测模块以实施访问和例外策略，并管理移动设备中的通信，包含容器内通信、容器间通信以及到不受保护的环境的通信和来自不受保护的环境的通信。

根据第一实施例，一种移动设备包括计算机可读存储装置和可通信连接到所述计算机可读存储装置的处理器，所述计算机可读存储装置包含：

不受保护的环境，其用于存储至少不受保护的应用程序和与所述不受保护的应用程序相关联的不受保护的应用数据，

第一受保护容器，其与不受保护的环境逻辑地分离，并用于存储第一多个受保护应用程序和与所述第一多个受保护应用程序相关联的第一受保护应用数据，以及

通信监测模块，其可通信连接到不受保护的环境和第一受保护容器，并用于通过实施第一访问策略来管理对第一受保护应用数据的访问，其中第一受保护应用数据可由第一多个受保护应用程序访问，并且其中除非遵从第一例外策略，否则第一受保护应用数据不可由不受保护的应用程序访问。

在此第一实施例中，第一访问策略可进一步包含：不受保护的应用数据可由第一多个受保护应用程序和不受保护的应用程序中的任一个访问。

在此第一实施例中，第一受保护容器可进一步包含：第一认证模块，其用于验证对与第一多个受保护程序相关联的经授权的第一密码的接收；以及第一密码模块，其用于在未接收到经授权的第一密码的情况下以加密形式呈现第一受保护应用数据，且在接收到经授权的第一密码的情况下以解密形式呈现第一受保护应用数据。

根据本发明的第二实施例，除了第一实施例中描述的前述内容之外，计算机可读存储装置进一步包含：

第二受保护容器，其与不受保护的环境和第一受保护容器逻辑地分离，并用于存储第二多个受保护应用程序和与所述第二多个受保护应用程序相关联的第二受保护应用数据，

其中通信监测模块进一步可通信连接到第二受保护容器，并用于通过实施第二访问策略来管理对第二受保护应用数据的访问，其中第二受保护应用数据可由第二多个受保护应用程序访问，并且其中除非遵从第二例外策略，否则第二受保护应用数据不可由不受保护的应用程序访问。

在此第二实施例中，第二访问策略可进一步包含：除非同时遵从第一例外策略和第二例外策略，否则第二受保护应用数据不可由第一受保护应用程序访问，其中第一访问策略进一步包含：除非同时遵从第一例外策略和第二例外策略，否则第一受保护应用数据不可由第二受保护应用程序访问。

根据本发明的第三实施例，除了第一实施例中描述的前述内容之外，计算机可读存储装置进一步包含：

第二受保护容器，其与不受保护的环境和第一受保护容器逻辑地分离，并用于存储第二多个受保护应用程序和与所述第二多个受保护应用程序相关联的第二受保护应用数据，

其中通信监测模块进一步可通信连接到第二受保护容器，并用于通过实施第二访问策略来管理对第二受保护应用数据的访问，其中第二受保护应用数据可由第二多个受保护应用程序访问，并且其中除非遵从第二例外策略，否则第二受保护应用数据不可由不受保护的应用程序访问。

在此第三实施例中，第二访问策略进一步包含：第一受保护应用数据和不受保护的应用数据可由第二多个受保护应用程序访问。

在此第三实施例中，第二访问策略进一步包含：除非同时遵从第一例外策略和第二例外策略，否则第二受保护应用数据不可由第一多个受保护应用程序访问。

附图说明

下文参考图式公开本发明的实施例，在图式中：

图1a示出了根据本发明的一个实施例的移动设备的简化架构；

图1b示出了图1a的移动设备的实施方案架构；

图2示出了用于在移动设备中安装和配置受保护容器的流程次序；

图3示出了用于限制图1b的移动设备内的数据访问的流程次序；

图4说明具有彼此逻辑地分离且以相同保护级别配置的多个受保护容器的移动设备架构；以及

图5说明具有彼此逻辑地分离且以不同保护级别配置的多个受保护容器的移动设备架构。

具体实施方式

在以下描述中，阐述许多特定细节以便提供对本发明的各种说明性实施例的透彻理解。然而，本领域普通技术人员将理解，可以在不具有这些具体细节中的一些或全部的情况下实践本发明的实施例。在其它情况下，为了不多余地混淆所描述的实施例的相关方面，并未详细地描述熟知的过程操作。在图式中，所有的若干张图以相同参考标号指代相同或相似的功能或特征。

如在描述和权利要求中所使用的，除非另外指定，否则用来描述共同元件的序数形容词“第一”、“第二”、“第三”等仅指示表示相同元件的不同例子，而并不意图暗示如此描述的元件一定处于排序中给定的时间或空间次序，或以任何其它方式处于给定次序。

图1a示出了根据本发明的第一实施例的移动设备10a的简化架构。移动设备10a尤其包含计算机可读存储装置或存储器、可通信连接到计算机可读存储装置并用于执行存储在计算机可读存储装置上的计算机可执行代码的至少一个处理器、显示单元(例如，触摸屏)、输入和输出设备。计算机可读存储装置包含不受保护的环境和一个或多个受保护容器或环境，它们彼此逻辑地分离。

在不受保护的环境50中，安装在其中的应用程序在下文称为“不受保护的应用程序”51、53等，而存储在其中且与不受保护的应用程序相关联的应用数据在下文称为“不受保护的应用数据”52、54等。不受保护的应用数据指具有不敏感或较不敏感性质或较低隐私级别的数据。对不受保护的应用程序51、53和不受保护的应用数据52、54的访问以及不受保护的应用程序51、53之间的通信一般不受限制。

在受保护环境100(在下文中为“受保护容器”)中，安装在其中的应用程序在下文称为“受保护应用程序”101、103等，而存储在其中且与受保护应用程序相关联的应用数据在下文称为“受保护应用数据”102、104。受保护应用数据指具有更加敏感性质或较高隐私级别的数据。对受保护应用数据102、104的访问一般限于受保护应用程序101、103。具体来说，仅在成功认证所接收的密码之后才允许访问受保护容器。密码的实例包含但不限于α和/或数字和生物计量信息。安装在同一受保护容器内的受保护应用程序之间的通信一般不受限制。从受保护应用程序到不受保护的应用程序的通信一般不受限制，而从不受保护的应用程序到受保护应用程序的通信利用某些例外进行限制，如稍后将在本发明中进行描述。

图1b说明图1a的移动设备10a的实施方案架构，其具备不受保护的环境50和第一受保护容器100。不受保护的环境50用于存储不受保护的应用程序51、53和与不受保护的应用程序51、53相关联的不受保护的应用数据52、54。第一受保护容器100用于在其中存储一个或多个应用程序(在下文中为“第一多个受保护应用程序”101、103)和与所述第一多个受保护应用程序相关联的应用数据(在下文中为“第一受保护应用数据”102、104)。计算机可读存储装置的不受保护的环境和第一受保护容器在逻辑上分离。第一受保护容器100进一步包括第一认证模块110和第一密码模块120。第一认证模块110用于验证对与第一受保护容器相关联的经授权的第一密码的接收。具体来说，当用户希望访问第一受保护应用程序101、103和/或第一受保护应用数据102、104时，第一认证模块110启动。仅当接收到经授权的第一密码时才允许用户访问。第一密码模块120用于在未接收到经授权的第一密码的情况下以加密形式呈现第一受保护应用数据102、104，并在接收到经授权的第一密码的情况下以解密形式呈现第一受保护应用数据102、104。具体来说，可采用系统级加密，即当纯数据写入到文件时对纯数据进行加密，当通过第一受保护应用程序101、103读取文件时，文件将自动解密。这允许加密/解密程序对第一受保护应用程序101、103透明，并且因此第一受保护应用程序101、103的功能性不受影响。通过仅在密码认证成功时对数据进行解密，未授权用户无法通过对移动设备进行根操作来访问第一受保护应用程序101、103和数据102、104。

提供通信监测模块80以监测不受保护的环境内、受保护环境内和横穿其间的通信请求。因此，通信模块80可通信连接到不受保护的环境50和第一受保护容器100。待监测的通信请求包含但不限于意向(安卓系统中)、套接字和管道。通信监测模块80充当用于受保护容器100的防火墙，更具体地说，用于基于预配置访问策略和例外策略来管理或限制对受保护应用程序101、103和数据102、104的访问。

参看图2的流程次序20描述用于在移动设备中安装和配置受保护容器的方法。在安装或启用第一受保护容器之前，移动设备可在设备制造商处进行预配置以允许实施不受保护的环境和受保护环境。

在框22中，用户安装或启用第一受保护容器。

在框24中，用户在第一受保护容器中安装第一受保护应用程序。这可通过用修改路径安装应用程序、重新限定应用程序的所有者或其它合适的方法来执行。

在框26中，用户选择或输入将由第一受保护容器保护的第一受保护应用数据。这可通过手动数据输入、经由第一受保护应用程序的用户界面进行选择或其它合适的方法来执行。

在框28中，用户配置用于第一受保护容器的访问策略(下文称为“第一访问策略”)，以限制对第一受保护应用数据的访问。第一访问策略包含指定哪些数据将存储在受保护容器中和哪些数据将存储在受保护容器外部，即存储在不受保护的环境中。用户可进一步配置用于第一受保护容器的例外策略(下文称为“第一例外策略”)，以管理来自不受保护的应用程序的通信请求。

在安装好第一受保护容器之后(框22)，任何希望访问第一受保护应用程序和/或第一受保护应用数据的用户在允许访问之前必须通过第一认证模块进行成功认证。

应了解，图2的流程次序在即将安装额外的受保护容器时可部分或完全地执行或重复。另外，在框24、26和28中描述的步骤可单独地或以组合形式选择性地执行。例如，当用户希望在第一受保护容器中安装新的应用程序时可选择性地执行框24；当某些不受保护的数据的隐私程度增加时可选择性地执行框26；当用户希望改变访问和/或例外策略时可执行框28。

参看图1b进一步说明框26，其中app1和app2安装在不受保护的文件系统中，而app3和app4安装在第一受保护容器中。例如，app1可以是存储一些不敏感的联系人的通讯录，而app3是存储较为敏感的联系人的另一通讯录，这些联系人的访问将是受限的。app3可以是app1的逻辑复本。app1或app2无法访问存储在app3中或与app3相关联的联系人，但是app3或app4可能够访问通过app1存储或与app1相关联的联系人。敏感联系人可存储在app3中，或以各种方式被选择为受保护，包含但不限于经由app3的用户界面单独地输入联系人数据，以及使得app3能够经由内容提供者访问app1的联系人列表以便从中选择联系人。将通过内容提供者向app3的存储装置传递待保护的联系人。之后，只有认证用户才能进入第一受保护容器并运行app3来访问存储在其中的敏感联系人。

参看图3的流程次序30描述用于管理或限制图1b中所说明的移动设备内的数据访问的方法，所述移动设备具有不受保护的环境和第一受保护容器。当指示任一应用程序(例如，appa)访问来自另一应用程序(例如，appb)或与另一应用程序相关联的数据时，开始图3的流程次序30。

在框32中，当指示appa访问来自appb或与appb相关联的数据时，appa产生通信请求，所述通信请求包含的目的地地址为appb。所产生的通信请求将被传递到appb以供处理。

在框34中，通信监测模块拦截通信请求，并根据通信请求将它的源地址确定为appa并将它的目的地地址确定为appb。

在框36中，基于如先前所配置的第一访问策略和任何第一例外策略，通信监测模块确定是否遵从所述策略中的任一个。如果遵从第一访问策略或第一例外策略，将执行通信请求。否则，阻断通信请求。

第一访问控制策略可包含但不限于：

(a)如果源地址和目的地地址两者都对应于不受保护的环境，将执行通信请求。(换句话说，不受保护的应用数据可由不受保护的应用程序访问。)

(b)如果源地址和目的地地址两者都对应于第一受保护容器，将执行通信请求。(换句话说，第一受保护应用数据可由第一多个受保护应用程序访问。)

(c)如果源地址对应于第一受保护容器，而目的地地址对应于不受保护的环境，将执行通信请求。(换句话说，不受保护的应用数据可由第一多个受保护应用程序访问。)

(d)如果目的地地址对应于第一受保护容器，而源地址并不对应于第一受保护容器，将确定源地址和目的地地址两者是否符合第一例外策略。如果源地址和目的地地址两者都遵从第一例外策略，将执行通信请求。如果源地址和目的地地址两者都不遵从第一例外策略，将不执行通信请求或将阻断通信请求。(换句话说，除非遵从第一例外策略，否则第一受保护应用数据不可由不受保护的应用程序访问。)

第一例外策略包含识别至少一个第一预指定源地址和至少一个第一预指定目的地地址，对于所述目的地地址，将允许对第一受保护应用数据的访问。如果通信请求中的源地址和目的地地址遵从第一例外策略中所识别的任何第一预指定源地址和任何第一预指定目的地地址，则遵从第一例外策略。作为某些实施例中的额外情况，如果另外接收到与第一受保护容器相关联的经授权的第一密码，则遵从第一例外策略。

除了上述的流程次序30之外，验证步骤可先于流程次序30或插入在流程次序30内。验证步骤用于验证在需要访问受保护容器的应用程序或数据时在受保护容器的认证模块处对经授权密码的接收。

图4说明根据第二实施例的移动设备架构。移动设备10b包含彼此逻辑地分离且以相同保护级别配置的多个受保护容器(例如，第一受保护容器100和第二受保护容器200b)。用户对每个受保护容器的访问要进行独立认证。可采用图4的实施例，其中多个受保护容器将彼此独立，且受保护容器之间的通信可受到限制。例如，一个受保护容器为业务而设，而另一个受保护容器为家庭或个人目的而设。

应了解，第二(和任何随后的)受保护容器复制前文对第一受保护容器的描述，包含架构、访问和例外策略(其中对序数形容词做出对应的改变)。

此外，第一和第二受保护容器的访问策略(第一和第二访问策略)可进一步包含：(e)如果源地址对应于第一和第二受保护容器中的一个，且目的地地址对应于第一和第二受保护容器中的另一个，将确定源地址和目的地地址两者是否符合第一和第二例外策略。如果源地址和目的地地址两者都遵从这两个例外策略，将执行通信请求。如果源地址和目的地地址两者都不遵从这两个例外策略，将阻断通信请求。(换句话说，除非同时遵从第一和第二例外策略，否则第一和第二受保护应用数据分别不可由第二和第一受保护应用程序访问。)

图5说明根据第三实施例的移动设备架构。移动设备10c包含彼此逻辑地分离并用于提供不同保护级别的多个受保护容器。具体来说，第二受保护容器200c嵌套或包含在第一受保护容器100内。嵌套布置提供用于实施区别化保护级别的分层结构。换句话说，内部或较高嵌套容器具有较高保护级别，且可指定为存储具有较高隐私级别的应用程序和应用数据；外部或较低嵌套容器具有较低保护级别，且可指定为存储具有较低隐私级别的应用程序和对应的应用数据；不受保护的环境(即在受保护容器外部)指定为存储具有最低隐私级别的应用程序和应用数据。用户对外部嵌套容器的访问需要很少级别的认证，而用户对内部嵌套容器的访问需要多个级别的认证。

应了解，前文对第一受保护容器100的包含架构、访问和例外策略的描述适用于图5的第一受保护容器100。

此外，第二受保护容器200c包括第二认证模块210c、第二密码模块220c。第二受保护容器与不受保护的环境和第一受保护容器逻辑地分离，并用于存储至少第二受保护应用程序201c、203c等和与所述第二受保护应用程序相关联的第二受保护应用数据。第二认证模块用于验证对经授权的第二密码的接收。第二密码模块220c用于在经授权的第一密码和经授权的第二密码均未接收到的情况下以加密形式呈现第二受保护应用数据，并在经授权的第一密码和经授权的第二密码均接收到的情况下以解密形式呈现第二受保护应用数据。通信监测模块80进一步可通信连接到第二受保护容器200c，并用于通过实施第二访问策略来管理或限制对第二受保护应用数据的访问。

第二访问控制策略可包含但不限于：

(a)如果源地址和目的地地址两者都对应于不受保护的环境，将执行通信请求。(换句话说，不受保护的应用数据可由不受保护的应用程序访问。)

(b)如果源地址和目的地地址两者都对应于第二受保护容器，将执行通信请求。(换句话说，第二受保护应用数据可由第二受保护应用程序访问。)

(c)如果源地址对应于第二受保护容器，而目的地地址对应于不受保护的环境或第一受保护容器，将执行通信请求。(换句话说，不受保护的应用数据和第一受保护应用数据可由第二受保护应用程序访问。)

(d)如果目的地地址对应于第二受保护容器，而源地址对应于不受保护的应用程序或第一受保护容器，将确定源地址和目的地地址两者是否符合第二例外策略。如果源地址和目的地地址两者都遵从第二例外策略，将执行通信请求。如果源地址和目的地地址两者都不遵从第二例外策略，将阻断通信请求。(换句话说，除非遵从第二例外策略，否则第二受保护应用数据不可由不受保护的应用程序和第一多个受保护应用程序访问。)

在具有两个或更多个如图4和5中所示的受保护容器的实施例中，第二例外策略包含识别至少一个第二预指定源地址和至少一个第二预指定目的地地址，对于所述目的地地址，将允许对第二受保护应用数据的访问。如果通信请求遵从第二例外策略中所识别的任何第二预指定源地址和目的地地址，则遵从第二例外策略。作为某些实施例中的额外情况，如果另外接收到与第一受保护容器相关联的经授权的第一密码和与第二受保护容器相关联的经授权的第二密码，则遵从第二例外策略。

本发明的实施例提供若干优势，包含但不限于以下各项：

(a)本发明提出用于包含智能电话和平板电脑的移动设备的隔离环境或受保护容器实施方案。被视为较敏感或具有较高隐私级别的应用程序和应用数据存储在受保护环境中，且一般无法由受保护环境外部的应用程序访问。只有认证用户才能进入受保护环境并访问敏感或私人数据。

(b)为方便起见，在受保护环境中，认证用户可以访问存储在受保护环境外部的不敏感数据。这在不损害可用性的情况下保护了用户的敏感数据。

(c)为方便起见，且在不损害安全性的情况下，在不受保护的环境中，仅在例外策略中所指定的某些情形下，认证用户才能访问存储在受保护环境中的敏感数据。

(d)可通过在另一容器内嵌套容器来增加保护级别。在嵌套布置中，具有较高保护需要的应用程序和应用数据可存储在内部或嵌套容器中。为了访问嵌套容器中的这些程序和数据，取决于嵌套级别，用户必须通过两个或更多个认证模块进行成功认证。因此，能通过提供具有不同嵌套级别的受保护容器来实施区别化保护级别。

本领域的技术人员根据对本说明书的考量和对本发明的实践，将了解其它实施例。此外，出于描述明确性的目的使用了某些术语，且这些术语不会限制本发明的所公开实施例。上文描述的实施例和特征应被视为示例性的。