管理应用对证书和密钥的访问的制作方法

管理应用对证书和密钥的访问的制作方法
【专利说明】管理应用对证书和密钥的访问
[0001]相关申请的交叉引用
[0002]本申请要求于2013年I月29日递交的美国临时专利申请N0.61/757，989的优先权，其全部内容一并引入本文作为参考。
技术领域
[0003]本申请一般涉及对数字标识证书和加密密钥的管理，更具体涉及管理应用对证书和密钥的访问。
【背景技术】
[0004]移动设备用于各种目的。用户可能希望针对例如游戏、阅读使用真正简单聚合(RSS)分发的新闻、网页浏览和普通休闲的个人应用使用特定移动设备。公司可能希望针对用户完成他们的工作所需的功能子集使用同一移动设备。
[0005]然而，当移动设备既用于公司事务又用于个人事务时，公司可以选择对移动设备上数据的暴露风险进行限制。这可以例如通过信息技术(IT)策略在移动设备上的实现来完成。这种策略有时会因为可能锁定移动设备使得不能将新应用加载到移动设备上而导致不好的用户体验。备选地，可以关于可以将哪个与工作无关的应用加载到设备上对移动设备进行限制。例如，移动设备上的IT策略可以禁止移动设备的用户从除特定批准位置以外的任意其他位置下载软件，以防止潜在的病毒扩散。这样，用户可以安装的应用的范围会非常有限。
【附图说明】
[0006]现在，将参考以下作为示例的附图进行描述，在所述附图中示出了示例性实施方式，其中:
[0007]图1示出了分割成多个空间的存储器；
[0008]图2示出了具有可以如图1所示进行分割的存储器的移动通信设备；
[0009]图3示出了创建图1所示的存储器中的分隔空间的方法的示例步骤；
[0010]图4示出了创建证书存储部分的方法中的示例步骤；
[0011]图5示出了删除图1所示的存储器中的分隔空间的方法中的示例步骤；
[0012]图6示出了在对证书验证请求进行处理的方法中的示例步骤；
[0013]图7示出了在对应用启动请求进行处理的方法中的示例步骤；
[0014]图8示出了在对应用创建证书存储部分的请求进行处理的方法中的示例步骤；以及
[0015]图9示出了在对应用访问证书存储部分的请求进行处理的方法中的示例步骤。
【具体实施方式】
[0016]除了限制访问用于个人和公司功能二者的整个移动设备，本公开预想在移动设备上创建两个或多个操作模式。具体地，多个应用中的每个应用可以被分隔成多个组之一。在涉及公司操作模式和个人操作模式的示例场景中，应用可以被指定为公司应用或个人应用。在一些应用可以既是公司应用又是个人应用的情况下，可以在移动设备上的个人存储空间和公司存储空间上均保存应用代码的副本。
[0017]本公开提供一种移动设备，但是不旨在限于任意特定移动设备。移动设备的示例包括智能电话、个人数字助理、支持数据的蜂窝电话、平板电脑等。
[0018]本公开中的移动设备实现控制公司数据的IT策略。这可以通过与企业服务器连接来实现，企业服务器为设备提供IT策略。在其他实施例中，可以分别基于每个设备来实现IT策略。
[0019]值得注意的是，以上所讨论的应用的分隔对于移动设备安全方面的管理可以具有深远的影响。例如，可以用以下方式在存储器中存储公共和私有加密密钥:密钥与移动设备相关联，而不与移动设备的操作模式相关联。类似地，可以用以下方式在存储器中存储数字标识证书:标识证书与移动设备的用户相关联，而不与移动设备的操作模式相关联。
[0020]在启动应用之前，可以用标识组(identity)属性和类别属性来对应用进行标记。类别属性可以与操作模式相关联。当对应用访问存储部分(store)或创建新存储部分的请求进行处理时，可以考虑应用的标识和类别。
[0021]根据本公开的一方面，提供了一种对应用启动请求进行处理的方法。所述方法包括:接收识别要启动的应用的启动请求，获取所述应用的标识，获取所述应用的类别，以所述标识和所述类别对所述应用进行标记，以及启动所述应用。在本申请的其他方面，提供了一种具有用于执行该方法的移动通信设备，并提供一种适于使移动通信设备中的处理器执行该方法的计算机可读介质。
[0022]根据本公开的另一方面，提供了一种对设备的存储器中的存储部分的尝试访问进行处理的方法。该方法包括:从应用接收访问存储部分的请求，检测所述应用的标识，检测所述应用的类别，确定所述应用是否能够访问所述存储部分，以及基于所述确定对所述请求进行处理。在本申请的其他方面，提供了一种具有用于执行该方法的移动通信设备，并提供一种适于使移动通信设备中的处理器执行该方法的计算机可读介质。
[0023]根据本公开的又一方面，提供了一种对设备的存储器中的存储部分的创建进行处理的方法。该方法包括:从应用接收创建存储部分的请求，检测所述应用的标识，检测所述应用的类别，创建访问所述存储器的条件，所述创建基于所述标识和所述类别，以及创建具有所述条件的所述存储器。在本申请的其他方面，提供了一种具有用于执行该方法的移动通信设备，并提供一种适于使移动通信设备中的处理器执行该方法的计算机可读介质。
[0024]在结合附图回顾以下公开的特定实施例的描述时，本公开的其他方面和特征对于本领域技术人员来说将变得显而易见。
[0025]现在参照图1，图1示出了移动设备的存储器110的框图。存储器110被配置为保持各种应用的可执行代码以及与各种应用的操作有关的数据，在本文中这种代码和数据的组合被称为“应用空间”。如图1的示例所示，存储器I1被划分为个人空间120和公司空间 130。
[0026]公司空间130通常包括移动设备上针对数据、应用或二者而分隔的存储器的一部分。数据和/或应用可以被认为对于商业、公司、企业、政府、非赢利性组织、设备的用户或负责设置移动设备的IT策略的任何其他实体敏感。
[0027]个人空间120通常包括针对“个人”应用和数据而分隔的存储器的一部分，在该部分中这种应用或数据可以被认为在受制于IT策略的那些应用之外或与受制于IT策略的那些应用分离。
[0028]根据在个人空间120内存储的代码执行的应用122可以访问也在个人空间120内存储的数据124。可以认为在个人空间120内存储的数据124是个人数据。
[0029]类似地，根据在公司空间130内存储的代码执行的应用132可以访问也在公司空间130内存储的数据134。可以认为在公司空间130内存储的数据134是公司数据。
[0030]通过分隔公司应用和个人应用以及与各自相关联的数据，可以在移动设备上针对公司数据实现公司IT策略，由此保护数据，同时仍然允许个人应用和个人数据在设备上。这为移动设备的用户提供了更大的灵活性以及无疑更好的用户体验。
[0031]以下详细描述了强制数据分隔的操作系统140。
[0032]可以用多种方式来实现对于加载到移动设备上的每个应用作为个人应用或作为公司应用的指定。在一个实施例中，可以针对应用到移动设备上的加载设置公司IT策略，在移动设备中IT策略将特定指定应用指定为在公司应用的列表上。可以将其他不在公司应用列表上的其他应用默认为是个人应用。在其他实施例中，用户、管理员、载体或其他实体可以使用配置程序或导航实体(应用启动器)来将设备上的各种应用指定为个人应用或公司应用。此外，施加于应用的签名还可以用于区分个人应用和公司应用。将应用指定为公司的和个人的其他示例将对于受益于本公开的本领域技术人员显而易见。
[0033]在其他实施例中，可以在公司空间130和个人空间120之间复制既具有个人用途也具有公司用途的混合应用。用这种方式，如果用户由于个人原因想要使用特定应用，则用户可以执行个人空间120中保存的应用代码122。相反地，如果用户由于公司目的想要使用同一应用，则用户可以执行公司空间130中保存的应用代码132。
[0034]因此，例如，可以在个人空间120中保存文件编辑器代码的一个副本，并且可以在公司空间130中保存文档编辑器的另一个副本，由此允许编辑个人文档和公司文档二者，同时允许保证公司数据134的安全。
[0035]在一个实施例中，公司应用132可以具备高于个人应用122的附加的安全性。例如，在允许启动公司应用132之一前，操作系统140可以提示用户提供认证，例如，操作系统140可以提示用户输入密码，并且操作系统140可以认证密码。此外，可以实现不活动定时器，使公司应用132可以在一段不活动时间之后锁定，而不锁定个人应用122。操作系统140会需要用户输入密码来对锁定的公司应用132解锁，以便可以访问与公司应用132有关的公司数据134。
[0036]对给定应用的指定(例如“个人的”或“公司的”)还可以限制给定应用访问的数据。因此，例如，公司应用132可以它们自身的模式执行，在公司应用132自身的模式中，个人应用122不能访问公司应用132写入的任何数据。该限制可以是:个人应用122不能读取公司数据134，公司应用也不能向个人数据124写入。
[0037]类似地，给定的个人应用122可能无法向公司数据134写入。在一些实施例中，公司应用132可能无法读取个人数据124。在其他实施例中，公司应用132可能能够读取个人数据124。
[0038]可以为了保证安全而对公司数据134进行加密。
[0039]公司数据134还可以具有在移动设备上生效的删除日期策略。因此，如果在特定时间段内没有访