8的凭证和认证信息。最后,IPC 通道412允许应用管理框架414调用由客户端代理404所实施的用户界面功能(诸如在线 认证和离线认证)。
[0074] 客户端代理404和网关服务器406之间的通信本质上为管理信道从应用管理框架 414的扩展,该程序管理框架614包装每个本机受管应用410。应用管理框架414从客户端 代理404请求策略信息,该客户端代理604反过来从网关服务器406请求它。应用管理框 架414请求认证,并且客户端代理404将其登录到网关服务器406 (也被称为NetScaler接 入网关)的网关服务部分中。客户端代理404还可调用网关服务器406上的支持服务,其 可产生输入材料以导出用于本地数据仓库416的加密密钥,或提供客户端证书,其可实现 对PKI保护资源的直接认证,如下面更充分地解释的。
[0075] 更详细地,应用管理框架414 "包装"每个受管应用410。这可经由明确的构建步 骤或经由构建后的处理步骤合并。应用管理框架414可在首次启动应用410时与客户端代 理404 "配对",以初始化安全IPC信道并为该应用获得策略。应用管理框架414可以执行 本地应用的策略的相应部分(诸如客户端代理登录的依赖关系和限制如何可以使用本地 0S服务或本地0S服务如何可以与应用410交互的遏制策略中的某些遏制策略)。
[0076] 应用管理框架414可以使用客户端代理404在安全IPC通道412上所提供的服务 以促进认证和内部网络访问。对于私有和共享数据仓库416(容器)的密钥管理还可由在 受管应用410和客户端代理404之间的适当的相互作用进行管理。只有经过在线认证后仓 库416可以是可用的,或如果策略允许,可在离线认证后可用。第一次使用仓库416可需要 在线认证,且离线访问可被限制在再次需要在线认证之前的大多数策略刷新时段。
[0077] 对内部资源的网络访问可以通过接入网关406从独立的被管理应用410直接发 生。应用管理框架414负责精心安排代表每个应用410的网络访问。客户端代理404可通 过提供以下在线认证获得的次级凭证限制的合适的时间来促进这些网络连接。可以使用网 络连接的多种模式,诸如反向web代理连接和端到端的VPN式隧道418。
[0078] 邮件和浏览器被管理应用410具有特殊状态并且可以使用一般可能不适合随机 包装应用的设备。例如,邮件应用可使用特定后台网络访问机制,其允许其在延长的时间周 期访问交换,而不要求完整的AG登录。浏览器应用可使用多个私有数据仓库,以隔离不同 类型的数据。
[0079] 该架构支持各种其它安全特征的结合。例如,网关服务器406 (包括其网关服务) 在某些情况下,将不需要验证AD密码。其可给企业判断AD密码在某些情况下是否被用作 一些用户的认证因素。如果用户是在线或离线(即,连接或不连接到网络的),则可使用不 同的认证方法。
[0080] 加强认证是一种特征,其中网关服务器406可识别被允许访问需要强认证的高级 别分类的数据的受管本地应用410,并确保在执行适当的认证后才允许对这些应用的访问, 即使这意味着在事先弱级别的登录之后用户需要重新认证。
[0081] 这种解决方案的另一个安全特征是对移动设备402上的数据仓库416 (容器)的 加密。可加密仓库416,使得所有在设备上的数据,包括文件、数据库和配置,得到保护。对 于在线仓库,密钥可存储在服务器(网关服务器406)上,且对于离线仓库,可由用户密码保 护密钥的本地副本。当数据本地存储在安全容器416中的设备402上时,优选的是最少使 用AES256位加密算法。
[0082] 还可实现其它安全容器的特征。例如,可包括日志特征,其中应用410内部发生的 所有安全事件被记录并报告给后端。可支持数据擦除,诸如,如果应用410检测到篡改,关 联的加密密钥可用随机数据写覆盖,在用户数据销毁的文件系统上不留下痕迹。截图保护 是另一特征,其中应用可防止任何数据以截图方式存储。例如,密钥窗口的隐藏属性可设置 为YES。这可导致当前显示在屏幕上的无论是什么内容都将被隐藏,造成空白屏幕截图,其 中任何内容正常驻留。
[0083] 本地数据传输可被防止,例如通过防止任何数据本地传送到应用容器之外,例如, 通过复制其或将其发送到外部应用。键盘缓存特征可操作以禁用敏感文本字段的自动更正 功能。SSL证书验证可以是可操作的,使得应用具体验证服务器SSL证书,而不是其被存储 在密钥链中。可使用加密密钥生成特征,使得使用由用户提供的通行码产生在设备上用于 加密数据的密钥(如果需要离线访问)。如果不需要离线访问,其可以与在服务器端随机生 成并存储的另一个密钥进行逻辑异或。密钥导出功能可操作,以使从用户密码生成的密钥 使用KDF(密钥导出功能,尤其是PBKDF2)而不是创建它的密码杂凑。后者使得密钥易受暴 力或字典攻击。
[0084] 此外,一个或多个初始向量可用于加密方法中。初始化向量将导致相同的加密数 据的多个副本,以产生不同的密文输出,防止重放和密码攻击。即使偷走加密密钥如果不知 道用于加密数据的初始化向量,这也将阻止攻击者解密任何数据。此外,可使用认证接解 密,其中仅当用户在应用中已经验证之后,才解密应用数据。另一个特征可涉及在存储器中 的敏感数据,只有当需要它时其可保持在存储器中(而不是在磁盘中)。例如,登录后登录 凭证可从存储器中擦除,且不存储加密密钥和objective-C实例变量内的其它数据,因为 可它们可容易地引用。相反,可为这些手动分配存储器。
[0085] 可实现不活动超时,其中在不活动的策略定义的周期之后,终止用户会话。
[0086] 可用其它方式防止数据从应用管理框架614泄漏。例如,当应用610置于后台时, 可在预定的(可配置的)时间周期之后清空存储器。当后台运行时,可获取应用的最后显 示屏幕的快照以加快前台处理。该截图可包含机密数据,且因此应被清除。
[0087] 另一个安全特征涉及0ΤΡ(-次性口令)420的使用,而无需用于访问一个或多个 应用的AD(活动目录)422密码的使用。在某些情况下,某些用户不知道(或不允许知道) 他们的AD密码,那么这些用户可以使用0TP620(诸如通过使用像securlD的硬件0ΤΡ系 统)(〇TP也可以由不同的供应商(例如Entrust或Gemalto)来提供)来认证。在某些情 况下,在用户用用户ID认证之后,用0ΤΡ420发送文本到用户。在某些情况下,这仅可被实 施用于在线使用,其中提示为单字段。
[0088] 可实施用于这些应用410的离线认证的离线密码,其中经由企业策略允许离线使 用。例如,企业可希望以这种方式访问企业应用商店。在这种情况下,客户端代理404可要 求用户设定定制的离线密码,且不使用AD密码。网关服务器406可提供策略以控制和执行 关于最小长度、字符类组合和密码寿命的密码标准,诸如由标准WindowsServer密码复杂 性要求所描述的,尽管这些要求可能被修改。
[0089] 另一个特征涉及用于某些应用410的客户端证书的启用,作为第二凭证(用于经 由微VPN特征访问PKI保护的web资源的目的)。例如,应用可利用该种证书。在这种情况 下,可支持使用ActiveSync协议的基于证书的认证,其中来自客户端代理404的证书可由 网关服务器406检索,并在密钥链中使用。每个受管应用可具有一个相关联的客户端证书, 通过在网关服务器406中定义的标签识别。
[0090] 网关服务器406可以与企业特殊目的web服务交互,以支持客户端证书的颁布,以 允许相关的被管理应用认证内部PKI受保护资源。
[0091] 可增强客户端代理404和应用管理框架414,以支持获取和使用客户端证书,以用 于认证到内部ΡΚΙ保护的web资源。可支持多于一个的证书,诸如以匹配各种安全等级和 /或分离的要求。该证书可由邮件和浏览器受管应用使用,并最终由任意封装的应用使用 (提供的这些应用使用web服务类型的通信模式,其中应用管理框架介入HTTPS请求是合理 的)。
[0092] 在iOS上的客户端证书支持可依靠导入PKCS12BL0B(二进制大对象)到使用的 每个周期的每个受管应用中的i〇S密钥链。客户端证书支持可使用具有私有存储器内的密 钥存储的HTTPS实施方式。客户端证书将不会存在于iOS的密钥链中,并不会被存留,除非 可能在强保护的"仅在线"数据值中。
[0093] 双向的SSL还可通过请求将移动设备402认证到企业来进行实施以提供额外的安 全性,并且反之亦然。也可实现认证到网关服务器406的虚拟智能卡。
[0094] 有限的和全部的Kerberos支持可以是额外的特征。全部的支持特征涉及对AD 422进行完全Kerberos登录的能力,使用AD密码或信任的客户端证书,并获得Kerberos服 务标签来响应HTTP协商认证挑战。有限的支持特征涉及在AGEE中的约束授权,其中AGEE 支持调用Kerberos协议过渡,因此其可获取和使用Kerberos服务标签(针对于受约束的 授权)以响应于HTTP协商认证挑战。当HTTP(而不是HTTPS)连接在VPN和微VPN模式下 被代理时,这种机制在反向web代理(又名CVPN)模式下工作。
[0095] 另一个特征涉及应用容器的锁定和擦除,其在检测到越狱或获得超级权限时可自 动发生,并作为来自管理控制台的推送的命令,并可包括远程擦除功能,即使当应用410没 有运行时。
[0096] 可支持企业应用商店和应用控制器的多站点架构或配置,允许从失败情况下的几 个不同位置之一服务用户。
[0097] 在一些情况下,可允许受管应用410经由API(例如OpenSSL)访问证书和私有密 钥。企业的可信的受管应用410可被允许以执行具有应用客户端证书和私有密钥的特定公 共密钥操作。可相应地识别和处理各种使用情况,诸如当应用行为类似于浏览器且不需要 证书访问时,当应用读取了"我是谁"的证书时,当应用使用证书来建立安全会话记号时,以 及当应用使用用于重要数据数字签名(例如,交易日志)或用于临时数据加密的私有密钥 时。
[0098] 接近度和环境感知移动工作空间
[0099] 图5是示出用于客户端设备中的示例客户端代理应用500的架构的组件图。示例 客户端代理500可对应于上文中描述的客户端代理404或对应于被配置成在客户端设备上 执行并与诸如云系统或其他企业系统的远程资源通信的另一个客户端代理软件应用。如在 下文参考图6-15讨论的,客户端代理500可包含不同功能以实现接近度和位置感知、基于 确定的环境的客户端设备配置、在不同设备之间共享数据和能力、对象识别和经由企业系 统访问与对象有关的特征或能力。
[0100] 本示例中的客户端代理500的软件架构包含客户端代理用户界面组件510、连接 管理软件开发工具包(SDK) 515、连接管理器520、连接/状态应用程序接口(API) 525、一组 虚拟化服务530、运行时SDK535、平台SDK540和客户端核心545。用户界面组件510可包 含不同子组件以支持用户认证、与接入网关360或406的通信、应用枚举函数、对于应用启 动的支持、漫游和XML/HTTPS支持。用户界面组件510还可包含自我服务和应用选择子组 件,且可包含用于呈现给客户端设备的用户的客户端代理用户界面的基本功能。
[0101] 客户端代理架构500中的虚拟化服务530可例如包含图像服务、桌面集成服务、多 媒体服务、输入/输出服务、智能卡服务、打印服务,等等。运行时SDK535可以例如是独立 计算架构(ICA)、运行时SDK,包含ICA引擎。平台SDK540可以例如是ICA平台SDK或其 他平台SDK,并可包含诸如虚拟信道SDK、配置和加载管理器、跟踪子组件、平台提取SDK等 的各种子组件。客户端核心545可包含例如用于远程访问的核心协议(例如,具有核心ICA 协议的Wintation驱动器)、被配置成执行压缩和优先化的减少子组件、多流ICA、具有会话 可靠性的TCP堆栈、代理和SSL和UDP子组件。客户端核心还可包含平台专用子组件的实 现,例如,图像智能卡和线程支持、配置和加载管理器库、SSLSDK,等等。
[0102] 图6是示出关于基于设备的位置或设备相对于其他设备、人或对象的接近度来配 置具有适当的环境的客户端设备(例如,经由用于访问企业系统的客户端代理500)的示例 特征和方法。
[0103] 在步骤601中,客户端设备可被注册到企业系统中。如上文讨论的,注册的设备可 涉及到通过设备管理策略的应用管理的设备。例如,在所注册的客户端设备402中,客户端 代理404可与网关服务器406或其他接入网关进行交互,以访问不同企业资源408和服务 409。注册设备可涉及到带来您自己的设备(BY0D)和相关的技术。具有公司账户(或者其 他组织账户)的设备的注册可涉及到将证书推送到设备并使用企业系统的设管理服务器 来登记设备。在注册之后,可通过使用推送到设备的移动设备管理(MDM)和/或应用管理 框架(AMF)策略,由公司管理员(或其他组织管理员)"支配"设备。在特定示例中,为了注 册企业系统中的设备,客户端代理500和/或应用注册令牌可被下载并安装在设备上。可 从将要注册设备的公司或其他组织的证书获得应用注册令牌。在下载客户端代理500和应 用注册令牌之后,设备用户可被提示以打开令牌并将公司账户(或其他组织账户)添加到 设备。
[0104] 在某些实施方式中,客户端代理500可作为业务线(L0B)应用(例如,公司应用) 安装在设备上。如下文讨论的,客户端代理500和/或应用注册令牌可被近场通信(NFC) 标签安装,或者可从由NFC标签促进安装的应用商店安装。在这种情况下,客户端代理500 可被下载,以及在设备上的操作系统提示可被用于将客户端代理500安装为公司应用。
[0105] 当客户端代理500被安装为应用公司/组织的业务线应用时,可向设备用户呈现 应用商店信息和/或经由客户端代理500推荐的应用。例如,客户端代理500可被配置成在 用户第一次使用(FTU)客户端代理应用期间向用户呈现公司应用商店和推荐的公司应用。 在一些情况下,海报或其他对象上的NFC标签可被用于为客户端代理500提供应用商店信 息和推荐的应用。
[0106] 在一些实施方式中,声音命令和/或口述可与客户端代理500 -起使用。可以发 出不同指令以启动或关闭客户端代理应用、发布的应用和/或文档。额外的声音命令可被 用于搜索应用或内容,并添加条目或从最喜爱的清单删除条目。口述可被用于输入或控制 各种远程应用、文档等等。额外地,客户端代理500可被配置成例如通过使用文字-语音转 换技术来向用户采取的动作提供声音反馈。
[0107] 在步骤602中,可检测客户端设备的当前位置或者客户端设备与其他对象或设备 的接近度。在步骤602中的客户端设备的位置或接近度检测可被客户端设备本身、其他附 近的对象或设备和/或企业系统内的其他资源实施。可基于其他设备、对象或网络的位置、 接近度或检测来确定绝对设备位置或相对设备位置。这种接近度确定可包含特定状态或这 些实体的处置或实体收集,而不管是否先前已知或刚刚发现它们等。
[0108] 在一些情况下,可使用近场通信标签来检测设备的位置。如下文讨论的,用户可 将移动设备向(例如,门、墙或海报上的)NFC标签点击,以建立向NFC标签的接近度,并从 而确定设备的位置。蓝牙、Wi-Fi和其他基于接近度的技术还可被用于建立设备相对于另 一个设备或对象的位置。例如,在一些情况下,可使用移动计算设备的信标或蓝牙低功耗 (BLE)接收器来确定移动计算设备的当前位置。此外,全球定位系统(GPS)技术可被用于确 定设备的位置,而不需要确定设备与任何其他设备或对象的接近度。还可使用图像模式识 别(IPR)、光学字符识别(OCR)等确定设备位置。例如,设备上的内置摄像头可捕获指示牌 或对象的图像,例如建筑物名称或地址、会议室房间号等,然后基于捕获的数据使用IPR或 OCR技术来分析数据并确定设备的位置。
[0109] 在步骤603中,可确定与在步骤602中检测的设备位置或接近度有关的环境。环 境可对应于企业系统中的移动工作空间的一个或多个因素。例如,环境可对应于特定网络, 例如,设备用户的家庭网络、公用共享网络、公司或组织网络等等。环境还可对应于设备是 否将被配置成具有对与网络有关的应用商店(例如,公司应用商店)的内部或外部访问权。 此外,环境还可包含设备可获取的和/或在设备上自动启动的应用(例如,公司或企业应 用)清单和用于不同应用的预定配置。环境还可对应于在移动工作空间会话期间可获取的 和/或在设备上自动启动的一个或多个特定文档。
[0110] 在步骤604中,可根据在步骤603中确定的环境,基于设备的位置或接近度来配置 设备。例如,设备可被配置成基于确定的环境自动转换网络,例如,在家庭网络和公司网络 之间,或者反之亦然。当环境对应于一个或多个组的应用和/或文档时,客户端代理500可 被配置成经由企业系统提供应用/文档。即,客户端设备上的客户端代理应用500可基于 步骤602中检测的设备的位置或接近度来控制用户将能够访问哪个公司应用或企业应用。 此外,某些环境可对应于自动启动设备上的特定应用或文档。因此,在步骤604中,客户端 代理500可根据步骤603中确定的环境自动配置和/或启动设备上的某些应用,并可打开 设备上的特定文档。
[0111] 作为进一步示出步骤601-604的示例,客户端设备可以是用户的个人和/或工作 设备,例如,移动手机、平板电脑或笔记本电脑或其他计算设备。可使用上文讨论的接近度 或位置技术,在用户的工作场所处公司会议室处检测客户端设备。在公司会议室处检测客 户端设备之后,设备可被配置成连接公司的网络,并启动(经由客户端代理500)用户很可 能所需的用于该会议室中的会议的一组应用和/或文档,例如,记笔记应用、陈述应用、视 频会议应用等等。另外,客户端代理500可被配置成访问用户的日程表和/或调度数据来 确定会议的类型或目的(例如,会计会议、生产会议、人力资源会议等)并可基于特定的会 议类型和/或其他会议参与者的身份来选择环境。
[0112] 作为另一个示例,客户端设备可以是被医生、护士或医疗技术人员所使用以在医 院或其他医疗设施处提供医疗的设备。在此示例中,所检测的位置可对应于患者的房间、手 术室或办公室。在患者的房间检测到设备之后,对应于患者的房间的环境可被检索,包含患 者专用数据、图表和相对于患者治疗的应用,且可根据环境配置设备,从而使得设备用户可 立即获取所确定的数据和应用(例如,患者专用应用和数据)。
[0113] 图7是示出其中可使用与NFC标签有关的环境来配置客户端设备的示例的流程 图。图7的步骤可对应于步骤601-604的一个或多个特定示例,其中固定位置NFC标签(例 如,安装在墙上、房间中等)被用于确定设备的位置并将环境传输给用户。
[0114] 在步骤701中,设备用户可观察NFC标签并将设备向NFC标签点击以发起配置过 程。在步骤702中,NFC标签可经由磁场将数据传回到设备。如果NFC标签是不通电的NFC 标签,设备可发出为NFC标签上电的电磁场。相反地,上电的NFC标签可传输数据,而不需要 从设备发射的电磁场。在步骤702中传回设备的数据可以例如是与NFC标签有关的位置数 据、识别对象的数据或环境数据。例如,如果NFC标签位于诸如建筑物大堂、会议室、办公室 等的固定位置,在步骤702中标签可传输NFC标签的位置(例如,建筑物名称、楼层号、房间 号、位置坐标等)。在一些情况下,NFC标签可传输环境信息(例如,网络信息、可获取公司 或企业应用或文档清单、应用配置设置等),而不是位置信息。此外,某些NFC标签可以是移 动的,例如,固定在汽车、文件或记录、医院里的