填充于应用商店578中。应用商店578可以由移动设备502通过访问网关560、通过公共互联网548等等来访问。应用商店可以设置有直观和易于使用的用户接口。应用商店578可以提供对软件开发工具包584的访问。软件开发工具包584可以通过包装如先前在本描述中描述的应用来给用户提供保护由用户选择的应用的能力。已经使用软件开发工具包584包装的应用可以然后通过使用应用控制器574将其填充在应用商店578中来提供到移动设备502。
[0081]企业移动技术架构500可以包括管理和分析能力588。管理和分析能力588可以提供与资源如何被使用、多久资源被使用等等相关的信息。资源可以包括设备、应用、数据等等。资源如何被使用可以包括哪些设备下载哪些应用、哪些应用访问哪些数据等等。多久资源被使用可以包括多久应用已经被下载、特定数据集已经被应用访问多少次等等。
[0082]图6是另一个说明性企业移动管理系统600。为了简单起见,以上关于图5描述的移动管理系统500的组件中的一些组件已经被省略。在图6中示出的系统600的架构在很多方面类似于以上关于图5描述的系统500的架构并且可以包括以上未提到的附加的特征。
[0083]在这种情况下,左手侧表示具有接收器604的登记移动设备602,其与云网关606 (其包括访问网关和App控制器功能)进行交互以访问各种企业资源608和服务609 (例如,交换、Sharepoint、PKI资源、Kerberos资源、证书发行服务,如以上在右手侧上示出的)。尽管未具体示出,移动设备602还可以与企业应用商店(StoreFront)进行交互用于选择和下载应用。
[0084]接收器604用作在企业数据中心托管的Windows应用/桌面的UI (用户接口)媒介物,其被使用HDX/ICA显示远程协议来访问。接收器604还支持本地应用(例如,本地1S或Android应用)在移动设备602上的安装和管理。例如,在以上附图中示出的受管应用610(电子邮件、浏览器、包装应用)全部是在设备上本地执行的本地应用。该架构的接收器604和MDX(移动体验技术)起作用以提供策略驱动的管理能力和特征(例如到企业资源/服务608的连接和SS0(单点登录))。接收器604处理主要用户到企业(通常利用SS0到访问网关(AG)到其它云网关组件)的认证。接收器604从云网关606获得策略以控制在移动设备602上的MDX受管应用610的行为;
[0085]在本地应用610和接收器604之间的安全IPC链路612表示管理信道,其允许接收器提供将由MDX框架614 “包装”每个应用来增强的策略。IPC信道612还允许接收器604提供实现到企业资源608的连接和SS0的凭证和认证信息。最终IPC信道612允许MDX框架614调用由接收器604实现的用户接口功能(例如在线和离线认证)。
[0086]在接收器604和云网关606之间的通信本质上是来自包装每个本地受管应用610的MDX框架614的管理信道的延伸。MDX框架614向接收器604请求策略信息,接收器604转而向云网关606请求策略信息。MDX框架614请求认证,并且接收器604登录到云网关606的网关服务部分(也被称为NetScaler访问网关)。接收器604还可以调用在云网关606上的支持服务,其可以产生输入材料以获得本地数据仓库616的加密密钥,或提供客户端证书,其可以实现到PKI保护的资源的直接认证,如下文更充分说明的。
[0087]更详细地说,MDX框架614 “包装”每个受管应用610。这可以经由明确的构建步骤或经由构建后处理步骤来并入。MDX框架614可以在应用610的第一次启动时与接收器604 “配对”以初始化安全IPC信道和获得关于该应用的策略。MDX框架614可以执行本地应用的策略的相关部分(例如,接收器登陆依赖性和限制本地0S服务可以如何被使用或它们可以如何与应用610进行交互的遏制策略中的一些)。
[0088]MDX框架614可以使用由接收器604通过安全IPC信道612提供的服务以便利认证和内部网络访问。专用和共享数据仓库616 (容器)的密钥管理还可以由受管应用610和接收器604之间的适当的交互来管理。仓库616可以仅仅在在线认证以后是可用的,或可以在离线认证之后是可用的(如果策略允许的话)。仓库616的首次使用可以要求在线认证,并且离线访问可以限于至多在在线认证被再次要求之前的策略刷新周期。
[0089]到内部资源的网络访问可以通过访问网关606从单独的受管应用610直接发生。MDX框架614负责统筹代表每个应用610的网络访问。接收器604可以通过提供接着在线认证获得的合适的时间有限的次级凭证来便利这些网络连接。网络连接的多个模式可以被使用(例如反向web代理连接和端到端VPN式隧道618)。
[0090]邮件和浏览器受管应用610具有特定的状态并且可以使用可能不通常可用于任意包装的应用的设施。例如,邮件应用可以使用特定的后台网络访问机制(允许其在延长的时间段内访问交换,而不需要完全的AG登录)。浏览器应用可以使用多个专用数据仓库以隔离不同种类的数据。
[0091]该架构支持各种其它安全特征的并入。例如,在一些情况下云网关606 (包括其网关服务)将不需要验证AD密码。可以交给企业来判定是否将AD密码用作关于一些情况下一些用户的认证因素。如果用户是在线或离线的(即,连接到网络或未连接到网络),则可以使用不同的认证方法。
[0092]建立认证是个特征,其中云网关606可以识别受管本地应用610,其被允许访问要求强认证的高度机密的数据,并且确保到这些应用的访问仅仅在执行适当的认证之后被许可,即使这意味着在先前较弱等级的登录之后用户需要重新认证。
[0093]该解决方案的另一个安全特征是在移动设备602上的数据仓库616 (容器)的加密。仓库616可以被加密,使得包括文件、数据库和配置的所有设备上数据被保护。对于在线仓库,密钥可以被存储在服务器(云网关606)上,并且对于离线仓库,密钥的本地副本可以由用户密码来保护。当数据被本地存储在安全容器616中的设备602上时,优选的是,利用至少AES 256加密算法。
[0094]其它安全容器特征还可以被实现。例如,日志特征可以被包括,其中,在应用610内发生的所有安全事件被记录并且报告给后端。数据擦除可以被支持,例如,如果应用610检测到篡改,则相关的加密密钥可以被用随机数据来覆盖,不在文件系统上留下用户数据被破坏的暗示。屏幕截图保护是另一个特征,其中应用可以阻止任何数据被存储在屏幕截图中。例如,密钥窗口的隐藏属性可以被设置为YES。这可以使得无论什么内容当前被显示在将被隐藏的屏幕上,导致其中任何内容将正常存在的空白的屏幕截图。
[0095]本地数据传输可以被阻止,例如,通过防止任何数据被本地传输到应用容器之外(例如,通过将其复制或发送其到外部应用)。键盘缓存特征可以运行以禁用敏感文本字段的自动校正功能。SSL证书验证可以是可操作的,因此应用特别地验证服务器SSL证书来代替其被存储在密钥链中。加密密钥生成特征可以被使用,使得使用由用户提供的密码(如果离线访问被要求)来生成用于加密在设备上的数据的密钥。如果离线访问没有被要求,则它可以与被随机生成并且存储在服务器侧上的另一个密钥进行异或。密钥导出功能可以运行,使得从用户密码生成的密钥使用KDF (密钥导出功能,尤其是PBKDF2),而不是创建它的密码散列。后者使得密钥易受暴力破解或字典攻击的影响。
[0096]此外,一个或多个初始化向量可以被用在加密方法中。初始化向量将引起相同的加密的数据的多个副本产生不同的密码文本输出,阻止重放和密码分析攻击两者。如果用于加密数据的特定的初始化向量是未知的,则这甚至将还阻止攻击者使用被盗的加密密钥来解密任何数据。此外,认证然后解密可以被使用,其中应用数据仅仅在用户在应用内被认证之后被解密。另一个特征可能涉及存储器中的敏感数据,仅仅当其被需要时其可以被保持在存储器中(并且不在磁盘中)。例如,登录凭证可以在登录之后被从存储器擦除,并且加密密钥和objective-C实例变量内部的其它数据不被存储,因为它们可以被容易地引用。相反,存储器可以被手动分配用于这些。
[0097]不活动超时可以被实现,其中,在不活动的策略定义的周期之后,用户会话被终止。
[0098]可以以其它方式阻止MDX框架614的数据泄露。例如,当应用610被放置在后台中时,在预定(可配置的)时间段之后可以清除存储器。当被作为后台时,可以获得应用的最后显示的屏幕的快照以加快前台设置进程。屏幕截图可以包含机密数据并且因此应该被清除。
[0099]另一个安全特征涉及使用0ΤΡ (—次性密码)620,而不使用访问一个或多个应用的AD(活动目录)622密码。在一些情况下,一些用户不知道(或不被许可知道)他们的AD密码,因此这些用户可以使用0ΤΡ 620来认证,例如通过使用类似于SecurlD的硬件0ΤΡ系统(0ΤΡ可以由不同的供应商来提供,也例如Entrust或Gemalto)。在一些情况下,在用户使用用户ID进行认证之后,文本被发送到具有0ΤΡ 620的用户。在一些情况下,这可以被实现仅仅用于在线使用(其中提示是单个字段)。
[0100]离线密码可以被实现用于这些应用610的离线认证,对于其,经由企业策略许可离线使用。例如,企业可以想要以这样的方式来访问StoreFront。在这种情况下,接收器604可以要求用户设置定制离线密码,并且AD密码不被使用。云网关606可以提供策略以控制和实施关于最小长度、字符类组成和密码使用年限的密码标准(例如通过标准Windows服务器密码复杂度要求描述的,尽管这些要求可以被修改)。
[0101]另一个特征涉及实现特定应用610的客户端侧证书作为次级证书(为了经由MDX微VPN特征访问PKI保护的web资源的目的)。例如,诸如OWorkMai 1的应用可以利用这样的证书。在这种情况下,使用ActiveSync协议的基于证书的认证可以被支持,其中,来自接收器604的证书可以由云网关606检索并且用在密钥链中。每个受管应用可以具有由在云网关606中定义的标签识别的一个相关的客户端证书。
[0102]云网关606可以与企业专用web服务进行交互以支持客户端证书的发行以允许相关的受管应用认证到内部PKI保护的资源。
[0103]接收器604和MDX框架614可以被增强以支持获得和使用到内部PKI保护的网络资源的认证的客户端证书。多于一个证书可以被支持,例如以匹配各种等级的安全和/或分离要求。证书可以由邮件和浏览器受管应用来使用,并且最终由任意包装的应用来使用(提供的这些应用使用web服务式通信模式,其中对于MDX框架调解https请求是合理的)。
[0104]对于每个使用周期,对1S的MDX客户端证书支持可以依赖于将PKCS 12BL0B (二进制大对象)导入到每个受管应用中的1S密钥链中。MDX客户端证书支持可以将HTTPS实现与专用存储器中的密钥储存一起使用。除了可能在被强保护的“仅仅在线”数据值中以外,客户端证书将永远不出现在1S密钥链中并且将不被持续。
[0105]相互SSL还可以被实现以通过要求移动设备602被认证到企业来提供附加的安全,并且反之亦然。用于到云网关606的认证的虚拟智能卡还可以被实现。
[0106]有限的和完全的Kerberos支持两者可以是附加的特征。完全的支持特征涉及使用AD密码或受信任的客户端证书进行完全Kerberos登录到AD 622并且获得Kerberos服务票据以响应于HTTP协商认证挑战的能力。有限的支持特征涉及AFEE中的约束委派,其中AFEE支持调用Kerberos协议转换,因此它可以获得和使用Kerberos服务票据(受到约束委派)以响应于HTTP协商认证挑战。该机制以反向web代理(又称作CVPN)模式工作,并且当http (但不是https)连接时以VPN和微VPN模式来代理。
[0107]另一个特征涉及应用容器锁定和擦除,其可以在检测到越狱或获得管理员权限时自动发生,并且作为来自管理控制台的推送的命令而发生,并且可以包括远程擦除功能(甚至当应用610不运行时)。
[0108]StoreFront和应用控制器的多站点架构或配置可以被支持,其允许用户在故障的情况下得到来自若干不同的位置中的一个的服务。
[0109]在一些情况下,受管应用610可以被允许经由API (示例OpenSSL)访问证书和专用密钥。企业的受信任的受管应用610可以被允许利用应用的客户端证书和专用密钥执行特定的公共密钥操作。各种使用情况可以被识别并且被相应地处理,例如当应用行为类似浏览器并且没有证书访问被要求时,当应用读取“我是谁”的证书时,当应用使用该证书以构建安全会话令牌时,并且当应用使用专用密钥用于重要数据(例如,交易日志)的数字签名或用于临时数据加密时。
[0110]以上提及的计算环境中的任何一个或多个可以用于执行本文描述的图像分析和处理技术的一个或多个方面。
[0111]图像的分析和图像管理
[0112]如上所述,移动设备可以用于商业用途和/或个人用途,并且企业可以想要从移动设备删除由企业拥有、许可或控制的选择的或全部数据、文件和/或应用或以其它方式对其进行控制。这样的数据或文件可以包括可包含敏感的或专有的企业信息的图像或图片。图7描绘了用于分析和管理图像(例如包括敏感的或专有的企业信息的图像)的方法。
[0113]在步骤701,移动设备可以被注册。在一些布置中,移动设备可以注册以变成登记设备,使得例如移动设备可以通过移动设备管理策略的应用来管理。此外,移动设备可以向代表企业提供图像分析或管理功能或管理移动设备被注册到的服务的企业资源或企业服务注册。例如,移动设备可以向设备管理器注册,使得企业具有被登记在图像分析或管理服务中的移动设备的记录。在一些布置中,移动设备可以通过连接到企业资源或企业服务(例如,经由无线链接或VPN)、认证(例如,设备认证、用户认证)和接收成功的注册的确认来注册。
[0114]在步骤702,移动设备可以安装图像管理器。图像管理器可以被包括作为应用的部分、安装在移动设备上的另一个应用的插件、接收器(例如,接收器604)、或由接收器获得的策略(例如,用于与MDX框架614 —起使用的策略)。例如,移动设备可以连接到应用商店(例如,应用商店578)、企业资源或企业服务(例如,策略管理器570)以请求和/或接收图像管理器(例如,经由下载)。一旦接收到图像管理器,则它可以被安装在移动设备上。图像管理器可以执行由企业提供的工作产品图像安全协议。在一些布置中,图像管理器可以访问图像管理软件或移动设备的图像存储位置(例如,设备的图像图库、图像文件夹或下载文件夹)。图像管理器可以能够经由API与设备的图像图库进行配合,API包括例如扫描、选择、编辑或从图像图库删除图像的功能。
[0115]图像管理器可以能够在前台和后台两者中执行。当在前台中执行时,用户接口可以显示在移动设备上,其将各种选项提供给用户用于分析和管理存储在移动设备上的图像。除了提供用户接口以外,图像管理器还可以分析和管理在移动设备上的图像。当在后台中操作时,图像管理器可...