的敏感数据,只有当需要敏感数据时,该敏感数据会被保存在存储器中(而不是在磁盘中)。例如,登录凭据可以在登录后从存储器擦除,并且加密密钥和在objective-C的示例变量中的其它数据不被存储,因为它们可以很容易被参考。相反,可以向存储器手动分配这些加密秘钥和其它数据。
[0102]可以实施休止超时,其中在策略定义的休止期后,用户对话被终止。
[0103]可以以其它方式阻止应用管理框架614的数据泄露。例如,当应用610被放在后台中时,存储器可以在预定(可配置)时间段后被清除。当被后台化时,可以对应用的最后显示屏幕拍快照以加快前景化过程。屏幕截图可能包含机密数据,并且因此应被清除。
[0104]另一安全特征涉及使用OTP (—次性密码)620,无需使用访问一个或多个应用的AD(活动目录)622密码。在某些情况下,某些用户不知道(或不允许知道)他们的AD密码,那么这些用户可以使用0TP620来认证,诸如通过使用像SecurID的硬件OTP系统(0ΤΡ也可以由不同的供应商来提供,例如Entrust或Gemalto)。在某些情况下,在用户与用户ID认证之后,用OTP 620发送文本到用户。在某些情况下,这可以仅在在线使用时,利用单一字段的提示来实施。
[0105]对于针对其经由企业策略允许离线使用的那些应用610,离线密码可以被实施用于离线认证。例如,企业可能想以这种方式访问企业应用商店。在此情况下,客户端代理604可以要求用户设置自定义的离线密码,并且不使用AD密码。网关服务器606可以提供策略以控制和执行关于最小长度、字符类组成和密码年限的密码标准(诸如通过标准的Windows服务器密码复杂性要求所描述的,尽管这些要求可以被更改)。
[0106]另一个特征涉及用于某些应用610的客户端证书的启用作为第二凭证(用于经由微VPN特征访问PKI保护的web资源的目的)。例如,电子邮件应用可利用该种证书。在此情况下,可以支持使用ActiveSync协议的基于证书的认证,其中,来自客户端代理604的证书可以被网关服务器606检索并用在密钥链中。每个受管应用可以具有通过在网关服务器606中定义的标签来识别的一个关联的客户端证书。
[0107]网关服务器606可以与企业特殊目的web服务交互,以支持客户端证书的颁布,以允许相关的受管应用认证于内部PKI受保护资源。
[0108]客户端代理604和应用管理框架614可以被加强以支持获得和使用用于认证于内部PKI受保护网络资源的客户端证书。可以支持一个以上的证书,诸如匹配各种安全级别和/或分隔要求的证书。该证书可以被邮件和浏览器受管应用使用,并最终被任意包装的应用使用(假设那些应用使用web服务方式的通信模式,其中这对于调解http请求的应用管理框架是合理的)。
[0109]在1S上的客户端证书支持可依靠导入PKCS 12 BLOB (二进制大对象)到使用的每个周期的每个受管应用中的1S密钥链。客户端证书支持可使用具有私有存储器内的密钥存储的HTTPS实施方式。客户端证书将不再存在于1S密钥链中,并且除了潜在的存在于受强保护的“只在线”数据值中以外,不会被存续。
[0110]通过要求移动装置602被企业认证,相互SSL也可以被实施以提供另外的安全,并且反之亦然。也可以实施用于对网关服务器606认证的虚拟智能卡。
[0111]受限和完全Kerberos支持两者可以是另外的特征。完整支持特征涉及使用AD密码或受信任客户端证书对AD 622执行完整Kerberos登录的能力,并且获得Kerberos服务票据(service ticket)来响应HTTP协商身份验证挑战。有限的支持特征涉及在AGEE中的约束授权,其中AFEE支持调用Kerberos协议过渡,因此其可获取和使用Kerberos服务标签(针对于受约束的授权)以响应于HTTP协商认证挑战。当HTTP (而不是HTTPS)连接在VPN和微VPN模式下被代理时,这种机制在反向网络代理(又名CVPN)模式下工作。
[0112]另一特征涉及应用容器锁定和擦除,这可在检测到越狱和获取了管理员权限(root)时自动出现,并且作为来自管理控制台的推送命令出现,并且可以包括远程擦除功能(即使当应用610不运行时)。
[0113]可支持企业应用商店和应用控制器的多站点架构或配置,允许在出现故障的情况下从几个不同位置之一服务用户。
[0114]在一些情况下,受管应用610可以被允许经由API (示例OpenSSL)访问证书和专用密钥。企业的受信任受管应用610可以被允许利用应用的客户端证书和专用密钥来执行指定的公共密钥操作。各种用例可以被识别并因此受信任,诸如当应用像浏览器一样表现并且不需要证书访问时、当应用读取“我是谁”的证书时、当应用使用证书构建安全对话令牌时,以及当应用使用专用密钥用于重要数据(例如,事务日志)的数字签名或用于暂时数据加密时。
[0115]已经讨论可用于提供和/或实现所公开的各种方面的计算架构和企业移动性管理架构,现在将更详细地讨论许多实施方案。具体地,并如上面所介绍的,本公开的一些方面通常涉及使用云同步数据(如,在客户端设备上,诸如移动设备)提供本机桌面的特定实施方案,云同步数据可包括已经从远离在移动设备上提供的本机桌面的另一个桌面被挖掘(如,被提取、被分析和/或选择性地储存)的数据。在下面的讨论的中,根据将提供的一个或多个实施方案,各种示例示出在移动设备上提供本机桌面时数据如何从远程桌面被挖掘、如何与基于云的数据存储平台同步以及如何被使用。通过实现这些和/或其它特征,由于该同步,用户很可能需要的和/或可被用户认为非常重要的信息可在他们的移动设备上本地缓存和/或以其它方式本地储存,并且相应地,甚至在网络连接对移动设备不可用的情况中,这可使信息以被客户化和/或用户熟悉的方式呈现。例如,无论网络连接对移动设备是否可用,本地缓存的信息(其可已经在远程桌面上创建,但在同步期间由移动设备获取)可使用本机查看应用被呈现在移动设备上的本机桌面中。
[0116]图7描述了可根据本文描述的一个或多个说明性方面使用云同步数据提供本机桌面的方法的流程图。在一个或多个实施方案中,可通过计算设备(例如,通用计算设备201)执行图7中示出的方法和/或其一个或多个步骤。例如,在一些实例中,在图7中示出的方法可由桌面管理服务执行,该桌面管理服务在一台或多台计算设备上执行和/或以其它方式由一台或多台计算设备提供,诸如一台或多台虚拟化服务器。这种桌面管理服务的示例将在下面进一步详细讨论。在其它实例中,图7中示出的方法可由虚拟机、超级管理器等执行。在又一些其它实例中,图7中示出的方法和/或其一个或多个步骤在一些实例中可由移动设备(其可实现计算设备的一个或多个方面,诸如通用计算设备201)执行。在其它实施方案中,可以用计算机可执行指令实施图7中示出的方法和/或其一个或多个步骤,其中计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
[0117]在步骤705中,可从远程桌面挖掘数据。例如,远程桌面可以是应用、文档和个性化设置的集合,其可经由特定操作系统和/或操作系统的特定实例提供和/或以其它方式与特定操作系统和/或操作系统的特定实例关联。在从这样的远程桌面挖掘数据时,任何和/或所有这些信息可被识别、收集和/或以其它方式从桌面提取、可被分析以确定所提取的数据的各个部分是否应被储存(如,出于同步的目的)、并且可将选定用于存储(如,基于该分析)的所提取的数据的一个或多个部分储存在另一个系统或服务器上(如,以促进下面将更详细讨论的同步)。在一些实例中,可由在源桌面上运行的代理或其它应用(如,插件、脚本等)从远程桌面(在一些实例中其还可被称为“源”桌面)提取、分析和/或选择性地储存数据,该代理或其它应用配置为提取、分析和选择性地储存来自桌面(包括应用快捷方式、文档、设置和/或其它类型的信息,如下面所讨论的)的各种信息和将该信息与基于云的数据平台同步(也如下面所讨论的)。在其它实例中,可由服务(如,桌面管理服务)或在一台或多台虚拟化服务器(如,其可提供源桌面)上执行的其它应用和/或包括虚拟机和/或在服务器上执行的超级管理器的一台或多台其它机器提取、分析和/或选择性地储存来自源桌面的数据。例如,可由在这种机器上执行的概要管理软件提取、分析和/或选择性地储存来自源桌面的信息,并且概要管理软件可配置为从网络共享拉取用户信息,该网络共享可包括与用户的网络概要相关的信息。在一些实例中,这种概要管理软件可以是桌面管理服务的一部分,而在其它实例中,该概要管理软件可提供桌面管理服务,诸如在下面更详细讨论的桌面管理服务。
[0118]在一些实例中,所提取的、所分析的和/或选择性地储存的数据可包括一个或多个应用快捷方式、一个或多个文档、一个或多个注册表项、一个或多个个性化设置或一个或多个布局设置。例如,应用快捷方式和文档可包括最近访问和/或使用的应用和文档以及其它应用和文档,该其它应用和文档可呈现在包括在桌面内的各种菜单和/或其它元件上和/或可经由包括在桌面内的各种菜单和/或其它元件访问。另外,注册表项、个性化设置和布局设置可定义各种优选项和/或其它设置,该各种优选项和/或其它设置控制和/或影响桌面的若干不同的方面。例如,个性化设置可包括定制的拼写检查字典,其被包括在桌面内的一个或多个应用(如,文字处理应用、电子邮件应用、即时消息应用等)使用。如另一个示例,个性化设置可包括用户的收藏的网站和/或网络文件夹的书签。
[0119]在一些实例中,远程桌面可与第一操作系统关联并且本机桌面(如,其可呈现在客户端设备上,如下面所讨论的)可与不同于第一操作系统的第二操作系统关联。例如,远程桌面可以是WINDOWS桌面(如,其可以由用户在工作计算机上频繁访问),并且本机桌面可以是1S或ANDROID桌面(如,其可呈现在用户移动设备上,如下面所讨论的)。
[0120]在步骤710中,数据可与基于云的数据存储平台同步。例如,在步骤710中,(如,其在步骤705中被提取、分析和/或选择性地储存的)数据可被上传到和/或被以其它方式与诸如Citrix系统的SHAREFILE的基于云的数据存储平台交换。例如,代理、应用或服务(如,桌面管理服务)可将所提取的、分析的和/或选择性地储存的数据与基于云的存储平台同步和/或促使该同步的发生(如,通过与基于云的存储平台交换数据和/或促使该数据被与基于云的存储平台交换)。如在下面所说明的,该同步可使其它设备和/或系统能够获取该数据(如,通过连接到基于云的数据存储平台和/或从基于云的数据存储平台下载数据)。
[0121]在一些实施方案中,除了和/或代替使用基于云的数据存储平台将所提取的、分析的和/或选择性地储存的数据与移动设备同步(如,下面所讨论的),可利用另外的和/或可选的同步技术和/或服务。例如,在一些实施方案中,从远程桌面挖掘的数据可通过ICA通道与移动设备同步并随后缓存到移动设备上用于在呈现本机桌面时使用(例如,如在下面所讨论的)。数据可被同步和/或缓存到移动设备的另外的和可选的方式将在下面更详细地讨论。
[0122]在步骤715中,可促使本机桌面使用经同步的数据呈现在客户端设备(如,其可以是移动设备)上。例如,这种本机桌面可包括由在移动设备上执行的接收机软件管理的本机呈现的桌面,并且经同步的数据可本地缓存在移动设备上并在呈现本机桌面和/或提供对应用、文档和/或其它信息的访问时使用,该应用、文档和/或其它信息从远程桌面中提取、分析和/或选择性地储存。例如,如果远程桌面包括若干文档、应用快捷方式和特定桌面背景图片,本机桌面也可包括相同的文档、应用快捷方式和桌面背景图片(如,由于使用了从基于云的数据存储平台获取的同步数据)。另外,并且如下面将更详细讨论的,移动设备的用户可能够使用移动设备上(如,如果这种应用可用)的本机查看应用(如,本机文档查看应用、本机文字处理应用等)和/或使用虚拟化的、远程应用(如,如果本机查看应用不可用)与这些文档和/或其它文件交互。
[0123]在图7中的方法由桌面管理服务(如,其可在提供远程桌面/源桌面的一台或多台虚拟化服务器上执行)实施的实例中,例如,通过配置移动设备来访问基于云的存储平台以下载、储存和/或维护移动设备上的同步数据,这种桌面管理服务可促使本机桌面呈现在移动设备上。此外,在促使本机桌面呈现在移动设备上时,桌面管理服务还可配置移动设备以在呈现桌面到用户(如,以响应于接收对查看和/或与本机桌面交互的请求)时使用同步数据。例如,在以这些方式配置移动设备时,桌面管理服务可建立和/或修改移动设备的一个或多个设置和/或可在移动设备上执行的一个或多个软件应用的一个或多个设置。例如,在配置移动设备时,桌面管理服务可建立和/或修改安装在移动设备上和/或以其它方式配置为在移动设备上运行的接收机应用的一个或多个设置,并且这些设置可支持和/或促使接收机应用访问基于云的存储平台以获取和/或本地缓存被基于云的存储平台维护(按用户请求查看桌面时的需要、根据时间表周期性地等)的同步数据。特别是,除了所挖掘的数据在远程桌面和云存储平台之间同步外,数据还可在云存储平台和连接到远程桌面的特定用户的一台或多台设备之间同步。例如,这种数据可由移动设备按需下载(如,当用户打开或切换到移动设备上的接收机应用时)和/或可周期性地(如,根据时间表,诸如每小时、每天等)馈送到移动设备。在一些实例中,当对一台设备或一个桌面上的同步的数据做出改变,云存储平台和/或桌面管理服务可将改变推送到其它设备中(如,当连接可用和/或可被建立时)以使所有经同步的设备在根据本公开的各个方面的本机桌面中能够呈现同步数据的最新版本。
[0124]在一个或多个实施方案中,呈现在移动设备上的本机桌面(如,在步骤715中)可取决于由用户使用的设备和/或在设备上运行的操作系统的类型。例如,如果移动设备运行1S操作系统,则呈现在移动设备上的本机桌面可具有特定特征以使本机桌面的外观和感觉与1S操作系统和/或在设备上执行的其它应用是符合和/或无缝的。类似地,如果移动设备运行ANDROID操作系统,则呈现在移动设备上的本机桌面可具有特定特征以使本机桌面的外观和感觉与ANDROID操作系统和/或在设备上执行的其它应用是符合和/或无缝的。在其它实例中,基于与设备一起使用的不同的操作系统(如,不同于1S和ANDROID),本机桌面可呈现在移动设备上。另外,在一些布置中,呈现出本机桌面的设备可以不是移动设备;相反,设备可以是绳系设备、有线计算机设备等。
[0125]例如,在一些实例中,促使本机桌面呈现在移动设备上可包括促使使用本机桌面的至少一个本机应用呈现至少一些经同步的数据。例如,如果同步数据包括MICR0S0FTWORD文档并且呈现在移动设备上的本机桌面是APPLE 1S桌面,则促使将呈现的同步数据可包括在APPLE PAGES或在移动设备上本机执行和/或呈现的另一个文字处理应用中呈现该文档。
[0126]在其它实例中,促使本机桌面呈现在移动设备上可包括如果用于至少一些经同步的数据的本机查看应用不可用,则促使远程应用呈现在移动设备上。例如,如果同步数据包括MICROSOFT WORD文档,如在上面的示例中,但是本机桌面和/或移动设备不包括能够被显示和/或编辑该文档的应用,则可切换到远程执行的应用和/或以其它方式呈现在移动设备上以支持对该文档的访问和/或编辑(如,如果网络连接对移动设备可用)。因此,在这个示例中,MICROSOFT WORD的远程会话可被显示在移动设备上和/或以其它方式呈现在移动设备上。例如,该远程会话可以是由远程服务器(如,而不是本机执行的和/或呈现的应用)使用上面讨论的虚拟技术的一个或多个方面提供的MICROSOFT WORD应用的虚拟化。以这种方式,远程执行的应用(如,来自WINDOWS桌面)可在本机桌面上被调用,因此允许用户无缝地和透明地在本机应用和远程应用之间切换以提供增强的、无缝的用户体验。
[0127]在一些实施方案中,本机桌面可使用接收机应用呈现在移动设备上,该接收机应用安装在移动设备上和/或由移动设备执行。在其它实例中,任何期望的软件应用可用于呈现本机桌面,包括可由用户从应用商店下载和/或安装的一个或多个应用。
[0128]在步骤720中,可促使在移动设备和配置为提供远程桌面的第二设备(诸如虚拟机或超级管理器)之间建立后台连接。例如,在远程桌面是远程WINDOWS桌面并且本机桌面是呈现在移动设备上的1S或ANDROID桌面时,在本机桌面被首先呈现、显示和/或以其它方式呈现在移动设备上后,移动设备(和/或在其上执行的接收机软件)可建立到远程WINDOWS桌面的连接。例如,这可减少移动设备的用户等待访问和/或查看他们的文档和应用的时间量(如,相对于如果本机桌面不可用则用户不得不等待的时间量和用户不得不等待远程桌面加载和显示的时间量)。换句话说,通过在本机桌面首先被呈现后在后台中建立到远程桌面的连接,用户可察觉他们具有对其文档、应用和其它数据的即时访问。
[0129]在步骤725中,对客户端设备上的同步数据做出的改变可与基于云的数据存储平台同步。例如,如果至少一些同步数据在移动设备上被改变(如,由于用户编辑和/或以其它方式修改本机查看应用中和/或本机桌面中的至少一些数据),则这些改变的任何和/或所有可与基于云的数据存储平台同步以使这些改变在远程桌面(如,远程WINDOWS桌面)上反映出来。例如,如果用户利用移动设备上的本机文字处理应用编辑包括在本机桌面中的文档,用户所保存的对该文档的改变可与基于云的数据存储平台同步以便当用户后来在远程桌面上访问该文档时,在移动设备上对该文档做出的修改被反映出来。
[0130]在一些实施方案中,所挖掘的和所同步的数据(如,由基于云的数据存储平台维护的)和/或这些数据的本地缓存的副本(如,在移动设备上维护的)可由许多不同的安全措施保护以使网络管理员和/或其它用户控制对数据的访问和/或编辑。例如,在一些实例中,基于位置的安全措施可被配置和/或由网络管理员实现以使移动设备用户可在一个或多个特定位置(如,在工作地点、在特定的办公楼等)能够访问、打开、查看和/或编辑本地缓存的数据,但是在其它位置时(如,在移动设备用户的家里)可以其它方式被限制访问、打开、查看和/或编辑这些数据。例如,类似的限制可被配置和/或实现以控制和/或限制可经由本机桌面执行和/或提供的应用。另外地或可选地,其它设置可被配置和/或实现以将本机桌面的应用的执行和/或内含的软件控制和/或限制到一个或多个特定的、受保护的移动应用(如,而不是可以其它方式从应用商店安装到移动设备上的任何应用)。
[0131]在所挖掘和所同步的(如,由基于云的数据存储平台维护