总线108在安全性管理平台118和托管应用104之间安全地传输信息。
[0020]在各种实施例中,库110可以使用从安全性管理平台118接收(例如从中推送)的安全性令牌(例如(一个或多个)证书、应用标识、认证状态等)。安全性实施节点116可以利用(例如针对)安全性管理平台118上的策略来分析(例如评估)安全性令牌以确定是否允许、限制(例如部分允许)和/或拒绝对企业服务器112的访问。在各种实施例中,库110可以向第三方服务器提供安全性令牌以在认证操作中使用。(一个或多个)第三方服务器可以例如向安全性管理平台118验证所述安全性令牌。
[0021]图2是图示移动应用之间的安全通信的过程的实施例的流程图。在各种实施例中,通过图1的系统100执行所述过程。在200处,从第一移动应用向第二移动应用提供第一加密信息和与移动设备上的数据储存位置相关联的标识符。在一些实施例中,第一加密信息可以包括由第一应用生成的加密握手信息(例如与私人-公共密钥对相关联的公共密钥)。
[0022]在各种实施例中,数据储存位置可以包括粘贴板、共享密钥链、原生MDM框架中关联的数据储存位置和/或移动设备上的任何其他储存位置(例如存储器)。在一个示例性实施例中,所述数据储存位置可以包括设备上的粘贴板。所述粘贴板可以包括移动设备上存储器的命名区域,其中信息可以在应用、应用中的对象和/或其他元件之间共享。通过示例的方式,移动设备(例如原生操作系统)可以包括一个或多个粘贴板,所述粘贴板包括例如系统范围粘贴板(例如通用粘贴板(例如用于涉及任何类型数据的复制-粘贴操作的粘贴板)、查找粘贴板(例如用于搜索操作的粘贴板))、专用粘贴板(例如由(一个或多个)应用生成的粘贴板)、和/或其他类型的粘贴板。例如,一个应用可以向粘贴板提供信息以供另一应用检索。
[0023]根据一些实施例,第一加密信息、与数据储存位置相关联的(一个或多个)标识符和/或其他信息可以经由通过第二应用、经由统一资源定位符(URL)方案(例如下面将讨论的)和/或使用其他技术可访问的数据储存位置从第一应用提供至第二应用。
[0024]在210处,可以(例如通过第一移动应用)从数据储存位置检索与第二应用相关联的第二加密信息。在一些实施例中,第二加密信息可以包括与第二移动应用相关联的加密信息。第二加密信息可以包括由第二移动应用(例如移动设备上的托管应用)生成的加密握手信息。在各种实施例中,第二加密信息可以包括与第二移动应用相关联的一个或多个证书(credential)。与第二移动应用相关联的证书可以包括应用标识符、包(bundle)标识符(例如包ID)和/或其他证书信息。在一些实施例中,第二移动应用可以被配置成从数据储存位置接收数据和向数据存储位置提供数据。例如,与第二移动应用相关联的库和/或软件开发套件(SDK)可以编制数据到数据储存位置的传输。在各种实施例中,可以通过第一移动应用从数据储存位置检索第二加密信息。
[0025]在220处,经由数据存储位置在第一应用和第二移动应用之间安全地传输数据。在一些实施例中,使用第一加密信息和第二加密信息中的一个或多个来加密数据(例如(一个或多个)有效载荷、应用配置信息、策略、设置、文件、命令和/或任何类型的数据)。例如,第一移动应用可以使用密钥(例如与第一移动应用生成的私人-公共密钥对相关联的私人密钥)来加密数据,经加密的数据可以被提供至数据储存位置(例如粘贴板、安全密钥链储存位置、与原生于设备的MDM框架相关联的储存位置)以供第二应用检索。第二应用可以从所述数据储存位置检索经加密的数据并使用第一加密信息和/或第二加密信息中的一个或多个来解密所述数据。第二应用可以使用相似的过程来加密数据并将经加密的数据提供至所述数据储存位置以供第一应用检索。通过使用这些技术(例如安全应用连接总线),可以在第一移动应用和第二移动应用之间安全地传输数据。
[0026]图3是图示移动应用之间的安全通信的过程的实施例的流程图。在各种实施例中,所述过程由图1的系统100来执行。图3的过程图示了用于从第一移动应用(例如移动设备上的管理代理)的视角生成安全应用连接总线的过程的实施例。在300处,可以生成第一加密信息(例如通过第一应用、安全性管理服务器)。在各种实施例中,第一加密信息是由第一应用(例如移动代理)、安全性管理平台和/或其他组件生成的加密握手信息。可以生成所述第一加密信息以建立用于第一移动应用和第二移动应用之间的安全连接的机制。
[0027]在一些实施例中,第一和第二应用应用之间的通信可以使用Diffie-Hellman非对称加密、公共-密钥密码术、非对称密码术、RSA加密和/或其他方法来保护。当然,这些是用于保护在应用之间传递的数据的一些示例方法;然而,任何合适的加密(例如密码术)方法可以用于加密/保护本文讨论的信息(例如有效载荷)。在一些实施例中,移动应用、移动设备操作系统、安全性管理平台和/或其他组件可以被配置成使用任何加密技术来加密数据。
[0028]在一些实施例中,第一加密信息可以包括由第一移动应用(例如移动设备上的管理代理)生成的加密握手关联的信息。例如,第一加密信息可以包括与在第一应用(例如移动设备上管理代理)处生成的私人-公共密钥对(例如加密密钥对)相关联的公共密钥。所述私人-公共密钥对可以用于加密信息,使得仅第一移动应用和第二移动应用可以访问(例如解密)经加密的信息。
[0029]在各种实施例中,第一加密信息可以包括由安全性管理平台(例如MDM服务器)生成的加密握手关联的信息,所述安全性管理平台(例如,经由设备上的管理代理)管理移动设备上的一个或多个应用。例如,第一加密信息可以包括与在安全性管理平台处生成的私人-公共密钥对相关联的公共密钥。在该示例中,第一应用(例如管理应用)可以用作媒介来向第二移动应用(例如目的地托管应用)部署第一加密信息。在该情况下,经由第一移动应用(例如管理代理)从安全性管理平台传输至第二移动应用(例如托管应用)的信息可以不被第一移动应用(例如管理代理)解密。
[0030]在310处,可以(例如通过第一移动应用)确定在设备上是否存在合适的数据储存位置以用于在第一移动应用和第二移动应用之间的数据传输。如上讨论的,适用于应用之间信息的安全传输的数据储存位置包括粘贴板(例如专用粘贴板)、共享密钥链、与原生MDM框架(例如1S MDM框架)相关联的数据储存位置、和/或其他数据储存位置。在一些实施例中,可以使用与移动设备(例如,原生于移动设备的)相关联的系统粘贴板(例如通用粘贴板)。然而,与专用粘贴板相比,系统粘贴板可能不太安全,并且可以确定应当生成专用粘贴板。
[0031 ] 在各种实施例中,可以(例如通过第一移动应用)标识共享密钥链(例如证书)储存位置。与设备相关联的操作系统可以例如提供用于一个或多个应用的证书储存位置。在一些实施例中,证书储存位置可以用于在应用之间传输数据(例如,可以用作数据储存位置)。
[0032]在设备上存在数据储存位置(例如之前生成的)的情况下,过程可以继续进行到步骤330。在设备上不存在数据储存位置的情况下,过程可以继续进行到步骤320。
[0033]在320处,可以生成数据储存位置。在各种实施例中,第一移动应用(例如管理代理)可以在设备上生成数据储存位置。如上文讨论的,数据储存位置可以包括粘贴板、共享密钥链、与原生MDM框架相关联的数据储存位置和/或移动设备上的任何其他储存位置(例如存储器)。
[0034]在一些实施例中,第一移动应用(例如管理代理)可以生成粘贴板(例如专用粘贴板)以与第二移动应用共享信息。在各种实施例中,与第一应用相关联的对象可以通过调用/调入(call)与移动设备的操作系统相关联的粘贴板生成类方法来生成专用粘贴板。专用粘贴板可以被生成并且粘贴板标识符(例如粘贴板对象、唯一标识符)可以被返回至第一移动应用。在一些实施例中,可以(例如通过第一移动应用)指定所述粘贴板是否是持久的(例如在所述应用被关闭/退出之后保持存在)。所述粘贴板可以用于在第一移动应用内传输数据和/或将数据从第一移动应用传输至第二移动应用。当然,上文讨论的粘贴板示例是一个示例数据储存位置,并且可以生成其他类型的数据储存位置。
[0035]在330处,可以向第二应用提供第一加密信息和与数据储存位置相关联的标识符。在一些实施例中,可以使用各种方法将第一加密信息、与数据储存位置相关联的标识符和/或其他信息提供至第二移动应用。在各种实施例中,用于从第一应用(例如管理代理)提供信息至第二应用(例如托管应用)的方法可以由移动设备外部的安全性管理平台(例如安全性管理服务器)来管控。在该情况下,所确定的信息传输方法可以从安全性管理平台推送至管理代理以用于在移动设备上实施。
[0036]在各种实施例中,可以使用与第二移动应用相关联的URL方案将第一加密信息、与数据储存位置相关联的标识符和/或其他信息从第一应用提供至第二应用。例如,设备上的一个或多个移动应用可以均与专用URL方案相关联(例如应用“ABC”可以与URL方案“abc://”相关联)。例如应用可以向移动设备操作系统注册URL方案,并且一旦被注册,其他应用、操作系统和/或其他组件可以使用所述URL方案来引用、调用和/或以其他方