通过防火墙或网关以移动设备可以被识另O、保障或安全被验证并提供选择性访问或全部访问企业资源的方式来植入。该策略可以是移动设备管理策略、移动应用管理策略、移动数据管理策略或移动设备、应用和数据管理策略的某些组合。通过移动设备管理策略的应用管理的移动设备504可称为登记设备或受管设备。
[0076]在一些实施方案中,移动设备的操作系统可分成受管分区510和非受管分区512。受管分区510可具有施用于其的策略,以保护受管分区中运行的应用和存储的数据。在其它实施方案中,所有的应用可根据从应用单独接收的一组一个或多个策略文件执行,且当该应用在设备上执行时,其定义一个或多个安全参数、特征、资源的限制、和/或其它由移动设备管理系统执行的访问控制。通过根据它们各自的策略文件进行操作,每个应用可被允许或限制与一个或多个其它应用和/或资源的通信,从而创建虚拟分区。因此,如本文所用,分区可指存储器的物理分区部分(物理分区),存储器的逻辑分区部分(逻辑分区),和/或创建的虚拟分区,作为如本文描述的跨多个应用执行一个或多个策略和/或策略文件的结果(虚拟分区)。换句话说,通过在受管应用上强制执行策略,这些应用可只限于能够与其它受管应用和值得信赖的企业资源通信,从而创建非受管应用和设备不能通过的虚拟分区。
[0077]运行在管理分区上的应用可以是安全应用。安全应用可以是电子邮件应用、web浏览应用、软件即服务(SaaS)访问应用、Windows应用访问应用等。安全应用可以是安全本地应用514、由安全应用启动器518执行的安全远程应用522、由安全应用启动器518执行的虚拟化应用526等。安全本地应用514可由安全应用封装器520封装。当安全本地应用在设备上执行时,安全应用封装器520可包括在移动设备502上执行的综合策略。安全应用封装器520可包括元数据,其指引在移动设备502上运行的安全本地应用514到在企业托管的资源,其中安全本地应用514可在安全本地应用514执行时要求完成请求的任务。由安全应用启动器518执行的安全远程应用522可以在安全应用启动器518内执行。由安全应用启动器518执行的虚拟化应用526可利用移动设备502、企业资源504等等的资源。由安全应用启动器518执行的虚拟化应用526在移动设备502上使用的资源可包括用户交互资源、处理资源,等等。用户交互资源可用于收集和传输键盘输入、鼠标输入、摄像机输入、触觉输入、音频输入、可视化输入、手势输入,等等。处理资源可以用于呈现用户界面、处理从企业资源504接收的数据等。在企业资源504处由安全应用启动器518所执行的虚拟化应用526所使用的资源可以包括用户界面生成资源、处理资源等。用户接口生成资源可用于组装用户接口、修改用户接口、刷新用户接口等。处理资源可用于创建信息、读取信息,更新信息、删除信息等。例如,虚拟化应用可以记录与GUI相关联的用户交互并将它们传送至服务器应用,其中该服务器应用将把用户交互数据用作在服务器上运行的应用的输入。在这种布置中,企业可以选择以在服务器侧维护应用以及与该应用相关联的数据、文件等。虽然企业可以根据本文所述的原理通过将某些应用安全部署在移动设备上来选择“移动化”该某些应用,但是,这种布置也可以被选择用于特定应用。例如,尽管一些应用可被确保其在移动设备上的使用的安全,但其它应用可能未准备或不适于部署在移动设备上,因此企业可选择通过虚拟化技术提供对未准备好的应用的移动用户访问。作为另一示例,企业可能具有带有其中定制移动设备的应用会非常难或相反不合需要的大型和复杂数据集的大型复杂应用(例如,物料资源规划应用),因此,企业可选择通过虚拟化技术提供对应用的访问。作为又一示例,企业可能具有保持高度安全数据(例如,人力资源数据,客户数据,工程数据)的应用,该企业认为所述高度安全数据甚至对安全的移动环境也是很敏感,因此,企业可以选择使用虚拟化技术允许移动设备访问此类应用和数据。企业可能选择在移动设备上提供完全安全和完全功能两者的应用以及虚拟化应用,以允许访问认为更适合在服务器侧运行的应用。在实施例中,虚拟化应用可以将某些数据、文件等存储在移动电话上的安全存储位置中的一个安全存储位置中。例如,企业可以选择允许特定信息而不允许其它信息被存储在电话上。
[0078]如本文所述,结合虚拟化应用,移动设备可以具有经设计呈现⑶I并随后记录用户与GUI交互的虚拟化应用。应用可以将用户交互传送到服务器侧,以由服务器侧应用使用来作为用户与该应用的交互。作为响应,服务器侧上的应用可以向移动设备回传新GUI。例如,新GUI可以是静态页面、动态页面、动画等。
[0079]安全应用可以访问存储在移动设备的管理分区510中的安全数据容器528中的数据。在安全数据容器中保护的数据可由以下应用访问,安全封装的应用514、由安全应用启动器518执行的应用、由安全应用启动器518执行的虚拟化应用526,等等。存储在安全数据容器528中的数据可包括文件、数据库,等等。存储在安全数据容器528中的数据可以包括被限制到特定安全应用530、在安全应用532之间共享等的数据。被限制到安全应用的数据可以包括一般安全数据534和高度安全数据538。通用安全数据可使用强加密形式,诸如AES 128位加密等等,而高度安全数据538可使用非常强的加密形式,诸如AES 256位加密。在接收来自设备管理器524的命令时,可从设备删除存储在安全数据容器528中的数据。安全应用可以具有双模式选项540。双模式选项540可为用户呈现以非安全模式操作安全应用的选项。在非安全模式中,安全应用可访问存储在移动设备502的非受管分区512的非安全数据容器542中的数据。存储在非安全数据容器中的数据可为个人数据544。存储在非安全数据容器542中的数据,也可由在移动设备502的非受管分区512上运行的非安全应用548访问。当存储在安全数据容器528中的数据从移动设备502中删除时,存储在非安全数据容器542中的数据可保持在移动设备502上。企业可能想从移动装置删除该企业拥有、许可或控制的选定或全部数据、文件和/或应用(企业数据),而留下或以其它方式保存用户所拥有、许可或控制的个人数据、文件和/或应用(个人数据)。该操作可称为选择性擦除。利用根据本文所述的各方面安排的企业和个人数据,企业可以执行选择性擦除。
[0080]移动设备可以连接到在企业的企业资源504和企业服务508、连接到公共互联网548等。通过虚拟私有网络连接,移动设备可连接到企业资源504和企业服务508。虚拟私有网络连接(也称为微VPN或应用专用VPN)可以是特定于移动设备上的特定应用550、特定设备、特定安全区域,等等(例如,552)。例如,电话的安全区中的封装应用中的每个可以通过应用专用VPN访问企业资源,使得对VPN的访问将基于与该应用相关联的属性(可能的话,结合用户或装置属性信息)来授权。虚拟私有网络连接可承载Microsoft Exchange流量、Microsoft Active Directory流量、HTTP流量、HTTPS流量、应用管理流量,等等。虚拟私有网络连接可支持并实现单点登录认证过程554。单点登录过程可允许用户提供单个认证凭证集,然后其由认证服务558验证。然后,认证服务558可授权用户访问多个企业资源504,而无需用户提供认证凭证到每个单个的企业资源504。
[0081]虚拟私有网络连接可由接入网关560建立和管理。接入网关560可以包括管理、加速并提高企业资源504向移动装置502的输送的性能增强功能。接入网关还可将流量从移动设备502重新路由到公共互联网548,使得移动设备502能够访问在公共互联网548上运行的公共可用的和未保护的应用。移动设备可经由传输网络562连接到接入网关。传输网络562可以是有线网络、无线网络、云网络、局域网、城域网、广域网、公共网络、私有网络等。
[0082]企业资源504可包括电子邮件服务器、文件共享服务器、SaaS应用、Web应用服务器、Windows应用服务器等。电子邮件服务器可包括Exchange服务器、Lotus Notes服务器等。文件共享服务器可包括ShareFile服务器等。SaaS应用可包括Salesforce等。Windows应用服务器可以包括经构建提供旨在于本地Windows操作系统上运行的应用的任何应用服务器等。企业资源504可以是基于内建式(premise-based)的资源、基于云的资源等。企业资源504可以由移动设备502直接访问或通过接入网关560来访问。企业资源504可以由移动设备502经由传输网络562来访问。传输网络562可以是有线网络、无线网络、云网络、局域网、城域网、广域网、公共网络、私有网络等。
[0083]企业服务508可以包括认证服务558、威胁检测服务564、设备管理器服务524、文件共享服务568、策略管理器服务570、社交集成服务572、应用控制器服务574等。认证服务558可以包括用户认证服务、设备认证服务、应用认证服务、数据认证服务等。认证服务558可以使用证书。证书可以由企业资源504等存储在移动设备502上。存储在移动设备502上的证书可以被存储在移动设备上的加密位置,证书可以被暂时存储在移动设备502上用于在认证时使用等等。威胁检测服务564可包括入侵检测服务、未经授权的访问尝试检测服务等。未经授权的访问尝试检测服务可以包括未经授权尝试访问设备、应用、数据等。设备管理服务524可以包括配置、供应、安全、支持、监测、报告和停止使用服务。文件共享服务568可以包括文件管理服务、文件存储服务、文件协调服务等。策略管理器服务570可包括设备策略管理服务、应用策略管理器服务、数据策略管理器服务等。社交集成服务572可包括联系人集成服务、协作服务、社交网络集成,诸如Facebook、Twitter和LinkedIn等。应用控制器服务574可包括管理服务、供应服务、部署服务、分配服务、撤销服务、封装服务等。
[0084]企业移动性技术架构500可包括应用商店578。应用商店578可包括未封装的应用580、预封装的应用582等。应用可以从应用控制器574被移置到应用商店578中。应用商店578可以由移动设备502通过接入网关560、通过公共互联网548等来访问。应用商店可以提供直观并易于使用的用户界面。应用商店578可以提供对软件开发工具包584的访问。通过如本说明书中先前的描述封装应用,软件开发工具包584可向用户提供使用户所选的应用安全的能力。使用软件开发工具包584进行封装的应用可以随后通过使用应用控制器574将其移置到应用商店578中来提供给移动设备502。
[0085]企业移动性技术架构500可包括管理和分析能力。管理和分析能力可提供与资源如何使用、资源被多久使用一次等相关的信息。资源可包括设备、应用、数据等。如何使用资源可包括哪些设备下载哪些应用、哪些应用访问哪些数据等。资源被多久使用一次可包括应用多久被下载一次、特定的数据集被应用访问了多少次等。
[0086]图6是另一个说明性的企业移动性管理系统600。参考图5上述描述的管理系统500的一些组件,为简便起见,已经被省略。图6所示的系统600的架构在许多方面与以上参考图5描述的系统500的架构相似,并可包括上面未提到的其它特征。
[0087]在这种情况下,左手边表示带有客户端代理604的登记的/受管移动设备602,其与网关服务器606 (其包括接入网关和应用控制器功能)交互以访问各种企业资源608和服务609,诸如,如以上右手边所示的Exchange、Sharepoint、PKI资源、Kerberos资源、和证书发布服务。虽然没有具体示出,但是移动设备602还可与用于应用选择和下载的应用商店交互。
[0088]客户端代理604充当UI (用户接口)媒介,用于在企业数据中心托管的Windows应用/桌面,其使用远程显示协议来访问,诸如但不限于ICA协议。客户端代理604还支持移动设备602上的本地应用的安装和管理,诸如本地1S或Android应用。例如,在以上图中所示的受管应用610(邮件、浏览器、封装的应用)全部是在设备上本地执行的本地应用。客户端代理604和这种架构的应用管理框架(AMF)用于提供驱动管理能力和特征的策略,诸如连接和SSO (单点登录)到企业资源/服务608。客户端代理604处理主用户到企业的认证,通常到具有到其它网关服务器组件的SSO的接入网关(AG)的认证。客户端代理604从网关服务器606获得策略,以控制移动设备602上的AMF受管应用610的行为。在一些可选的实施方案中,一个或多个本机应用(如,其可包括在受管应用610中)可用从客户端代理604接收命令和/或以其它方式与客户端代理604交互来提供安装和/或管理功能。
[0089]在一些实施方案中,客户端代理604可单独起移动设备上的策略代理的作用,并且分开的客户端代理可提供接收机和/或虚拟化功能(如,使用上面讨论的显示远程协议)。在这种拆分功能的实现中,例如,客户端代理604可支持本机应用的安装和/或管理,但可不提供接收机和/或虚拟化功能,这可由移动设备上运行的不同的客户端代理执行和
/或提供。
[0090]本机应用610和客户端代理604之间的安全IPC链接612表示管理信道,其允许客户端代理通过应用管理框架614 “封装”每个应用来供给将被实施的策略。IPC通道612还允许客户端代理604提供能够连接和SSO到企业资源608的凭证和认证信息。最后,IPC通道612允许应用管理框架614调用由客户端代理604所实施的用户界面功能,诸如在线认证和离线认证。
[0091 ] 客户端代理604与网关服务器606之间的通信基本上是来自包装每个本地受管应用610的应用管理框架614的管理通道的延伸。应用管理框架614从客户端代理604请求策略信息,客户端代理604相应从网关服务器606请求该策略信息。应用管理框架614请求认证,并且客户端代理604登录进入网关服务器606的网关服务部分中。客户端代理604还可以调用在网关服务器606上的支持服务,其可以产生获得用于本地数据仓库616的加密密钥的输入材料,或提供其可以允许对KPI受保护资源直接认证的客户端证书,如下面将更全面解释的。
[0092]更详细地,应用管理框架614 “封装”每个受管应用610。这可经由明确的构建步骤或经由构建后的处理步骤合并。应用管理框架614可在首次启动应用610时与客户端代理604 “配对”,以初始化安全IPC信道并为该应用获得策略。应用管理框架614可以执行本地应用的策略的相关部分(诸如客户端代理登录的依赖关系和限制如何可以使用本地OS服务或本地OS服务如何可以与应用610交互的遏制策略中的某些遏制策略)。
[0093]应用管理框架614可以使用客户端代理604在安全IPC通道612上所提供的服务以促进认证和内部网络访问。私有和共享数据仓库616 (容器)的密钥管理也可以通过受管应用610与客户端代理604之间的适当交互来管理。仓库616可以只是在在线认证后可用,或如果策略允许,则可以在离线认证后可用。仓库616的第一次使用可以要求在线认证,并且离线访问可以在再次要求在线认证前被限制在至多策略更新阶段。
[0094]对内部资源的网络访问可以通过网关服务器606从独立的受管应用610直接发生。应用管理框架614负责精心安排代表每个应用610的网络访问。通过提供遵循在线认证获得的合适时间限制次级凭证,客户端代理604可以促进这些网络连接。可以使用多种网络连接模式,诸如逆向网络代理连接以及端到端VPN式隧道618。
[0095]邮件和浏览器受管应用610具有特殊状态并且可以使用一般可能不适合任意封装应用的设备。例如,邮件应用可以使用特殊后台网络访问机制,该访问机制允许邮件应用在延长的时间段内访问Exchange而无需完全AD登录。浏览器应用可以使用多种专用数据仓库以分隔不同种类的数据。
[0096]这种架构支持各种其它安全功能的并入。例如,在某些情况下,网关服务器606(包括其网关服务)将不需要验证AD密码。这可以留给企业来判断AD密码是否用作某些情况下的某些用户的认证因素。如果用户在线或离线(即,连接到网络或未连接到网络),则可以使用不同的认证方法。
[0097]加强认证的功能在于网关服务器606可以识别经允许访问需要强认证的高度机密数据的受管本地应用610,并且确保对这些应用的访问仅在执行适当的认证后被允许,即使这意味着在先前的较弱级别登录后用户需要再次认证。
[0098]这种解决方案的另一安全特征是移动设备602上的数据仓库616 (容器)的加密。仓库616可以被加密,使得所有设备上的数据(包括文件、数据库和配置)被保护。对于在线仓库,密钥可存储在服务器(网关服务器606)上,且对于离线仓库,密钥的本地副本可由用户密码保护。当数据本地存储在安全容器616中的设备602上时,优选的是使用最少AES256位的加密算法。
[0099]还可实现其它安全容器的特征。例如,日志特征可以被包括,其中,发生在应用610内的所有安全事件被记入并报告给后端。可以支持数据擦除,诸如如果应用610检测到篡改,则相关的加密密钥可以用随机数据改写、没有留下对用户数据被破坏的文件系统的提示。屏幕截图保护是另一功能,其中,应用可以防止任何数据被存储在屏幕截图中。例如,密钥窗口的隐藏属性可以被设置为“是”。这可能会导致屏幕上当前显示的无论什么内容将被隐藏,产生任何内容将通常驻留其中的空白屏幕截图。
[0100]可以防止本地数据转移,诸如防止任何数据被本地转移到应用容器外面(例如通过复制本地数据或发送本地数据到外部应用)。可以运行键盘缓存功能以禁用敏感文本字段的自动更正功能。SSL证书验证可以是可操作的,使得应用具体验证服务器的SSL证书,而不是将其存储在密钥链中。可以使用加密密钥生成功能,使得用于加密装置上的数据的密钥使用用户提供的密码来生成(如果需要离线访问的话)。如果不需要离线访问,则可以与随机生成并存储在服务器侧上的另一密钥“异或”。密钥导出功能可操作,使得从用户密码生成的密钥使用KDF(密钥导出功能,尤其是PBKDF2)而不是创建它的密码散列(cryptographic hash)。密码散列使得密钥易受蛮力或字典攻击。
[0101]此外,一个或多个初始化向量可用于加密方法。初始化向量会导致相同加密数据的多个副本产生不同的密文输出,从而阻止重放和密码攻击两者。如果用于加密数据的特定初始化向量是未知的,则这也将甚至防止攻击者用偷来的加密密钥解密任何数据。此外,可以使用认证接着解密,其中,应用数据只在用户已在应用内被认证后才被解密。另一特征可能涉及到存储器中