网络环境中移动设备上的数据的自动清理处理的制作方法
【技术领域】
[0001]本公开案一般涉及移动性领域,尤其涉及网络环境中移动设备上的数据的自动清理处理。
[0002]背景
[0003]在当今社会,计算机网络安全的领域日益变得重要和复杂。计算机网络环境为实质上每个企业和组织而配置,一般具有多个互连的计算机(例如,终端用户计算机、膝上型电脑、服务器、移动设备等)。在许多这样的企业中,信息技术(IT)管理员的任务可以是网络环境中数据的控制及安全性,包括主机、服务器及其他计算机上的可执行软件文件以及机密的、敏感数据以及专属数据。
[0004]移动设备日益集成至受保护的网络环境中,受保护的网络环境诸如企业、家庭及其他实体。这些移动设备具有在各个平台上操作的强大的计算系统,并且有能力即使在传输中也向用户提供网络接入连接性及对所需资源的接入。随着消费化的增长趋势以及“带您自己的个人电脑(BYOPC) ”政策,从与受保护网络(例如,企业网络、政府网络、家庭网络)相关联的个人的移动设备上找到来自该受保护网络的数据变得越来越常见。在一些情况下,这些移动设备甚至可能是个人拥有的设备。相应地,需要防止移动设备上数据盗用的技术,特别是随着具有对受保护网络的接入权限的移动设备的持续增长。
[0005]附图简述
[0006]为了提供对本公开案及其特征和优点的更完整的理解,参照结合附图的以下描述,其中相同的参考数字表示相同的部件,附图中:
[0007]图1是示出根据本公开案一示例实施例的通信系统的简化框图,该通信系统用于网络环境中的移动设备上的数据的自动清理处理;
[0008]图2是示出可与一实施例中的移动设备相关联的示例操作的简化流程图;
[0009]图3是示出可与一实施例中的中央安全性系统相关联的示例操作的简化流程图;
[0010]图4是示出可与另一实施例中的移动设备相关联的示例操作的简化流程图;
[0011]图5是示出可与另一实施例中的移动设备相关联的进一步示例操作的简化流程图;
[0012]图6是示出可与另一实施例中的中央安全性系统相关联的示例操作的简化流程图;
[0013]图7是根据一实施例的示例处理器的框图;
[0014]图8是根据一实施例的示例移动设备的框图;以及
[0015]图9是根据一实施例的示例计算系统的框图。
[0016]示例实施例的详细描述
[0017]示例实施例
[0018]图1是示出通信系统100的示例实现的简化框图,该通信系统100用于网络环境中移动设备的自动清理。通信系统100可以包括远程网络130中的移动设备120、中央网络150中的中央安全性系统140以及网络110 (例如,像互联网这样的广域网),该网络110便于网络130和150间的通信。移动设备120也可以能够经由无线电塔115与中央网络150通信。无线电塔115可以与移动服务提供商网络(未示出)通信,移动服务提供商网络将无线电信号转换成数据分组以允许经由网络110向中央安全性系统140的通信。移动设备120可以包括处理器121和存储器元件。移动设备120的实施例也可以包括本地清理模块123、清理设置124、监控模块127、对象映射126和本地数据接入模块125中的一个或多个。中央安全性系统140可以包括处理器141和存储器元件142。中央安全性系统140的实施例可以包括中央清理模块143和中央数据接入模块145中的一个或两者。此外,包含各种数据的一个或多个存储元件可以设置于中央安全性系统140中、或者对于中央安全性系统140可接入。这种存储元件可以包括策略144、实体数据146和密钥映射148。
[0019]图1的元件可以通过采用任何适当连接(有线或无线)的一个或多个接口彼此耦合,该适当连接为网络通信提供切实可行的路径。此外,基于特定配置需求,图1的这些元件中的任一个或多个可以与体系结构组合或者从体系结构移除。通信系统100可以包括能够进行网络中分组的发射或接收的传输控制协议/互联网协议(TCP/IP)通信的配置。在适当时且基于特定需求,通信系统100也可以结合用户数据报协议/IP(UDP/IP)或任何其他适当协议而操作。此外,蜂窝网络上的无线电信号通信也可以设置于通信系统100中。
[0020]为了说明通信系统100的技术,理解可以横跨图1所示的网络环境的网络通信、以及可存在的安全性问题是重要的。以下基本信息可以被视为从中可正确解释本公开案的基础。这种信息仅为了说明目的而提供,相应地,不应以任何方式被视为限制本公开案及其潜在应用的宽泛范围。
[0021]硬件和通信技术中的进步导致了诸如智能电话之类的移动设备以及全世界的移动网络环境的增长。结果,许多受保护的网络环境允许通过雇员或其他授权个人的移动设备来接入其资源中的一些或全部。此外,BYOPC策略通常鼓励使用个人移动设备来执行工作相关的功能。结果,移动设备对于接入受保护网络的雇员及其他个人变得普遍。
[0022]存在支持且允许移动设备接入受保护的网络的各种技术。例如,存在将数据“通过空中”动态地反射到请求或以其他方式从特定网络接收数据的移动设备上的技术。因此,移动设备可以接收和存储由受保护网络拥有的数据,该数据可包括机密的、敏感的或专属的数据。实体可能期望保护这种数据不受到疏忽的数据泄漏以及直接盗用。对于一些实体,被危害的数据可以涉及联邦法律和/或洲法律,这些法律可能要求大量时间和资源来改正。而且,个人可以将个人信息保持在移动设备上,包括例如,个人邮件、财务信息、健康Is息、联系人等等。
[0023]也存在按需从移动设备擦除信息或数据的技术。例如,如果移动设备被丢失或被盗,受保护网络的中央点可以被配置成通过响应于指定的触发从丢失的移动设备按需擦除(例如,删除、移动到另一设备等等)信息,来清理移动设备。触发可以发生在移动设备被加电并且尝试接入受保护网络之时。然而,如果移动设备处在“飞行模式”或从网络断开,则中央点可能不再接收触发。因此,移动设备并不一定会被清理。实际上,移动设备可能潜在地不确定地持有内容。此外,老练的小偷可以理解设备擦除技术并且采取预防性步骤以避免设备擦除,因此允许对数据的非受限接入。
[0024]用于图1的移动设备的自动清理的通信系统解决了上述问题中的许多以及更多问题。在通信系统100中,移动设备被配置成通过在自中央网络断开的可允许时段之后自动擦除(例如,删除、移除)所选的对象或全部对象,来清理自身。该可允许时段在此也被称为“宽限窗口”,该宽限窗口一般被定义为在事件出现之前允许的时间段。如果移动设备在宽限窗口到期之前不建立到中央网络的网络连接,它就被清理。另外地或或者地,一实施例允许用户仅在特别请求接入这种数据之后接入特定的对象。在对对象的数据接入的可允许时段(即宽限窗口)之后,可以从移动设备擦除对象,以及/或者可以从移动设备擦除对象的解密密钥。因此,移动设备可以无论中央安全性系统是在线还是离线,都能自动清理自身(例如,通过删除全部的或所选的解密信息以及/或者全部的或所选的对象)。
[0025]在一示例中,可以使用到期时间来激活宽限窗口,该到期时间指示该宽限窗口到期的日期及时间。在另一示例中,可以使用表示对宽限窗口允许的时间长度的时间量来激活宽限窗口。在一实施例中,为宽限窗口允许的时间长度对应于允许移动设备从中央安全性系统断开的时间长度。在另一实施例中,为宽限窗口允许的时间长度对应于允许移动设备接入移动设备上的一个或多个对象的时间长度。断开的宽限窗口可以通过将该时间量加至移动设备和中央网络的上一次连接时间来测量。用于数据接入的宽限窗口可以通过将该时间量加至在移动设备请求接入一个或多个对象时、与移动设备和中央网络的网络连接相对应的连接时间来测量。在示例实施例中,时间量或到期时间可以按移动设备(或用户)来配置、按移动设备(或用户)组来配置、按网络来配置、或者按所请求的对象来配置。
[0026]转至图1,提供了与可包括于通信系统100中的可能基础设施中的一些有关的简要描述。一般而言,通信系统100可以在任何类型或拓扑结构的网络中实现。网络110、远程网络130和中央网络150各表示用于接收和发射通过通信系统100传播的信息分组的互连通信路径的一系列点或节点。这些网络在多个节点间提供通信接口,并且可以被配置为任何局域网(LAN)、虚拟局域网(VLAN)、广域网(WAN)、无线局域网(WLAN)、城域网(MAN)、内联网、外联网、虚拟私有网络(VPN)以及便于网络环境中的通信的任何其他适当的体系结构或系统、或者它们的任何适当组合,包括有线的和/或无线的通信。
[0027]在一示例实现中,中央网络150可以是移动设备120被配置且授权接入的受保护网络。如此处使用的,“受保护网络”意图包括由特定实体或组织拥有或以其他方式控制的网络。尝试到达受保护网络中的特定节点的通信可以首先通过受保护网络的一个或多个网络元件(诸如网关、防火墙、代理服务器、安全设备等)被路由,以便于网络通信并且控制到受保护网络中以及离开受保护网络的数据流。在一示例实施例中,受保护网络可以是为其在网络上的节点使用私有地址空间(例如,互联网协议(IP)地址空间)的私有网络。私有地址空间可以遵循Y.Rekhter等人于1996年2月的网络工作组请求注解(RFC) 1918以及/或者R.Hinden等人于2005年10月的网络工作组请求注解(RFC) 4193所设置的标准。受保护网络也可以或者替代地实现任何其他适当形式的地址间隔,该地址间隔允许特定的实体或组织来控制去往和来自受保护网络的网络话务。
[0028]在另一示例实现中,中央网络150可以是云网络。云网络可以与移动设备被配置且被授权接入的受保护网络分开。云网络可以由与受保护网络相关联的实体拥有或以其他方式控制。在另一实例中,云网络可由第三方拥有,其中,中央安全性系统140及其相关联的数据由与受保护网络相关联的同一实体拥有或以其他方式控制。这些实现用于说明目的,并且不意图限制中央安全性系统的实现可能性,移动设备接入中央安全性系统以允许基于策略的自动清理。在任一可能的实现中,移动设备120可以被配置且被授权定期地和/或响应于特定事件(例如,当宽限窗口到期时、当宽限窗口即将到期时、当请求接入特定对象时)接入中央网络150。
[0029]远程网络150表示与中央网络150分开的网络,移动设备120可通过该网络获得对网络I1的接入。网络110可以是诸如互联网这样的广域网、或是便于到中央网络150的通信的其他网络。移动设备120可以连接至诸如路由器、无线路由器、网关等网络元件,网络元件在远程网络130中被配置以接入网络110。在一示例中,远程网络130可以基于电气与电子工程师协会(IEEE)802.11标准被配置为用于设备的无线局域网(WLAN)。在其他示例中,移动设备120可以经由有线(例如,通用串行总线(