安全移动应用连接总线的制作方法
【专利说明】安全移动应用连接总线
[0001]对其他串请的交叉引用
本申请要求2012年12 B 21日提交的题为“SECURE MOBILE APP CONNECT1N BUS (安全移动应用连接总线)”的美国临时专利申请N0.61/745052的优先权,出于所有目的通过引用将其并入本文。
【背景技术】
[0002]诸如智能电话和平板计算机之类的移动设备可以包括来自包括可信(trusted)应用存储库、第三方应用存储库、企业内部开发者和/或其他源的各种源的多个应用。并且,每个应用可以具有管理其配置、策略、数据和/或其他属性的独特方法。在某些情况下,可以在移动设备管理(MDM)框架内管理一个或多个应用,所述移动设备管理(MDM)框架包括例如移动设备上的管理代理和/或管理服务器。不同类型应用之间的安全通信对于移动设备的适当运作是有帮助的。
【附图说明】
[0003]在下面详细的描述和附图中公开本发明的各种实施例。
[0004]图1是图示包括安全移动应用连接总线的系统的实施例的框图。
[0005]图2是图示移动应用之间的安全通信的过程的实施例的流程图。
[0006]图3是图示移动应用之间的安全通信的过程的实施例的流程图。
[0007]图4是图示移动应用之间的安全通信的过程的实施例的流程图。
[0008]图5是图示移动应用之间的安全通信的过程的实施例的流程图。
[0009]图6是图示使用安全应用连接总线的移动应用管理的过程的流程图。
[0010]图7是图示使用安全应用连接总线的移动应用管理的过程的流程图。
【具体实施方式】
[0011]本发明可以以许多方式来实现,包括作为过程;装置;系统;复合体;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置成执行指令的处理器,所述指令存储在耦合至处理器的存储器上和/或由其提供。在本说明书中,这些实现方式或本发明可能采用的任何其他形式可以称为技术。一般而言,所公开过程步骤的次序可以在本发明的范围内变化。除非另有说明,诸如描述为配置成执行任务的处理器或存储器之类的组件可以被实现为在给定时间临时被配置成执行任务的通用组件或者制造成执行任务的特定组件。如本文中所使用的,术语“处理器”是指被配置成处理诸如计算机程序指令之类的数据的一个或多个设备、电路和/或处理核。
[0012]下文连同图示本发明原理的附图提供对本发明的一个或多个实施例的详细描述。本发明结合这样的实施例来描述,但是本发明不限于任何实施例。本发明的范围仅由权利要求限制,且本发明包含许多替换方案、修改和等同物。在下面的描述中阐述许多特定细节以便提供对本发明的透彻理解。出于示例的目的提供了这些细节,且本发明可以根据不具有这些特定细节中的一些或全部的权利要求来实践。为了清楚的目的,没有详细描述在与本发明相关的技术领域中已知的技术资料,从而本发明未被不必要地模糊。
[0013]公开了一种安全移动应用连接总线。在各种实施例中,可以使用安全移动应用连接总线(例如,安全应用间连接总线、安全移动应用通信总线、安全移动应用命令总线)来在应用之间安全地传输信息(例如命令、配置信息、策略)。在一些实施例中,本文公开的技术允许管理服务器和安装在设备上的可信管理代理(例如管理应用)具有双向安全应用连接总线来在保持无缝的用户体验的同时管理移动设备上的应用(例如应用配置、策略等)。例如,安全连接总线可以用于在(一个或多个)托管(managed)应用和运行在移动设备上的可信管理代理之间安全地传输命令/信息。
[0014]根据各种实施例,通过交换以加密形式传输数据所需的信息来建立安全应用连接总线,所述以加密形式传输数据是通过将经加密的数据存储在(一个或多个)发送和接收应用可访问的储存位置来进行的。在一些实施例中,将第一加密信息和与移动设备上的数据储存位置相关联的标识符从第一应用提供至第二应用。从所述数据储存位置检索(retrieve)与第二移动应用相关联的第二加密信息。第二移动应用被配置成向数据储存位置提供数据。经由所述数据储存位置在第一移动应用和第二移动应用之间安全地传输数据。在各种实施例中,在第一移动应用、数据储存位置和第二应用之间的安全传输的路径(例如,隧道)、技术和/或过程可以是安全应用连接总线。
[0015]图1是图示包括安全移动应用连接总线的系统的实施例的框图。在所示的示例中,移动设备100 (例如智能电话、平板计算机等)包括管理代理102 (例如移动设备管理(MDM)代理、可信管理代理、信任客户端应用)、(一个或多个)托管应用104 ((—个或多个)托管客户端应用)、(一个或多个)非托管应用106 (例如(一个或多个)非授权应用、(一个或多个)不可信应用)和/或其他应用。管理代理102、托管应用104和/或其他组件可以是MDM系统的组件。管理代理102、托管应用104和/或其他组件被配置成经由安全移动应用连接总线108 (例如安全应用间连接总线、安全应用命令总线、安全应用通信总线等)以可信方式共享信息/数据。例如,可以在被授权访问安全连接总线108的应用之间以可信方式共享信息。
[0016]在一些实施例中,库110 (例如编译到应用中、包封到应用中的库)可以与托管应用104相关联。库110可以修改应用的代码以表现得不同于应用的对应未修改版本表现的那样。例如,库110可以将托管应用104重配置成允许管理代理102来代表托管应用而执行动作,包括调用移动操作系统组件、使用移动设备资源和访问/存储应用数据。库110可以作为托管应用104和管理代理102和/或(一个或多个)其他托管应用104之间的通信的媒介。在一些实施例中,库110可以应用配置改变、实施策略、执行动作和/或执行托管应用104内的其他操作。
[0017]根据各种实施例,管理代理102、托管应用104和/或其他元件被配置成经由安全移动应用连接总线108以可信方式(例如安全地)传输数据。在一些实施例中,通过将数据以加密形式存储在可由被授权经由总线108通信的实体访问的数据储存位置(例如,粘贴板、共享密钥链位置和/或其他储存器)中,数据可以在被授权为具有对安全移动应用连接总线108的访问权的应用之间以可信方式传输。在各种实施例中,通过调用包括经加密的数据的与第二应用相关联的统一资源定位符(URL)方案,数据可以以可信方式从第一应用(例如管理代理102)传输至被授权为具有对安全移动应用连接总线108的访问权的第二应用(例如托管应用104)。使用安全移动连接总线108在应用之间传输数据的技术在下面详细讨论。
[0018]根据各种实施例,移动设备100和(一个或多个)企业后端服务器112(例如企业服务器、文件服务器、电子邮件服务器、应用服务器等)、企业内容114 (例如文件、企业数据)、网络资源和/或其他组件之间的通信通过安全性实施节点116(例如反向代理服务器、看守(sentry))。在各种实施例中,安全性实施节点116是用于托管应用104和诸如后端服务器112之类的企业服务器之间的同步、数据传输和/或其他业务的反向代理。在处理(例如管理)所述业务(例如安全传输的数据)的同时,所述安全性实施节点116可以优化业务(例如压缩)和/或基于一个或多个策略而添加、修改和/或从安全性管理平台112移除内容(例如向web (网络)请求添加紧急报警)。在电子邮件的情况下,在各种实施例中,安全性实施节点116中继(relay)移动设备(诸如移动设备100)与后端电子邮件服务器(例如MicrosoftExchange?服务器)或用于其他电子邮件业务的代理(例如IMAP、MAPI和SMTP)之间的业务。在内容管理和/或文件或其他内容共享服务(诸如SharePoint?,WebDAV和文件服务器)的情况下,安全性实施节点116在各种实施例中用作用于可应用协议(例如MicrosoftSharePoint?、WebDAV或文件服务器协议)的代理(例如反向代理)。在各种实施例中,库110可以向安全性实施节点116提供安全隧道传输上层协议(例如安全套接字层/传输层安全性(SSL/TLS)隧道)。利用安全隧道传输,任何托管应用104可以使用安全性实施节点116连接至企业服务器112。在各种实施例中,安全性实施节点116可以将未加密的业务归档至例如一个或多个归档服务器。
[0019]在各种实施例中,安全性管理平台118 (例如虚拟智能电话平台、安全性管理服务器等)管理与移动设备100相关联的(一个或多个)配置、(一个或多个)策略和/或设置。安全管理平台118可以管理(例如控制、指示、确定)移动设备100上的托管应用104中的一个或多个的配置、策略、设置和/或其他功能方面。例如,安全性管理平台118可以使用管理代理102作为媒介来与托管应用104通信。针对托管应用104的配置改变、政策更新、设置改变和/或命令可以被推送至管理代理102以供安全地分发至应用104。在一些实施例中,管理代理102可以例如连接至安全性管理平台118 (例如周期地)以更新设备100状态、检索策略信息、检索配置信息和/或执行其他操作。管理代理102可以经由安全移动应用连接