专利名称:移动设备上数据的有效保护的制作方法
技术领域:
本发明总体上涉及信息处理,并且尤其涉及移动设备上个人数据的安全管理。
背景技术:
对用户数据的隐私和安全进行维护的问题在现今相当普遍。数据可以存储在台式计算机或服务器上,在这些情况下,可以通过数据丢失防护(data loss prevention, DLP)的传统机制,诸如使用加密系统、数据备份或永久移除数据的文件粉碎机来提供数据保护。尽管如此,在移动设备领域中,可能丢失或误放设备、设备可能无人看管,或者设备可能被盗,则提出了完全不同的挑战。在这些情况下,用户无法完全阻止设备本身(包含个人的并且往往十分重要的数据)落入不法者手中。
将常规的DLP方法应用到移动设备上则更为复杂,因为设备本身的计算能力远远低于台式计算机。移动设备是电池供电的,并且往往为了节能而被优化。数据保护系统因此必须提供最小负荷给用户,高效地运转从而在移动设备中为系统资源和用户应用程序保持处理器和存储器能力,并且避免出现会导致高能量占用的显著的资源消耗。诸如在系统范围内部署文件加密这样的常规DLP方法,在每次写入、访问或更改数据时,会需要额外的加密、解密或者二者兼有的处理开销。
发明内容
本发明的一个方面是针对可配置用于数据保护就绪的移动设备,诸如智能手机、平板计算机、迷你型笔记本或上网本。所述设备通常包括计算系统,所述计算系统具有带有板载能量源的电源系统,和可操作地与数据存储装置(arrangement)和网络接口相耦接的处理器。所述计算系统包括准备模块和保护模块。所述准备模块经配置以执行预处理以使所述移动设备为数据保护就绪做好准备。所述预处理包括指示存储于所述数据存储装置中的一些对于所述移动设备的所有者具有个人重要性的数据项;指示定义所述具有个人重要性的数据项要被保护的情况的标准;以及指示要执行以保护所述具有个人重要性的数据项的动作集合。所述保护模块经配置以基于由所述准备模块所指示的所述标准来监控所述具有个人重要性的数据项要被保护的所述情况的出现,以及对检测到所述情况的出现进行响应而执行由所述准备模块所指示的所述动作集合。根据本发明的另一方面,一种用于使移动设备为数据保护就绪做好准备的方法包括(a)在所述移动设备中存储指令用于使所述移动设备(i)指示存储于所述移动设备上的一些对于所述移动设备的所有者具有个人重要性的数据项;(b)在所述移动设备中存储指令用于使所述移动设备(ii)指示定义所述具有个人重要性的数据项要被保护的情况的标准;(C)在所述移动设备中存储指令用于使移动设备(iii)指示要执行以保护所述具有个人重要性的数据项的动作集合;(d)在所述移动设备中存储指令用于使移动设备(iv)基于所述标准来监控所述具有个人重要性的数据项要被保护的所述情况的出现;以及(e)在所述移动设备中存储指令用于使移动设备(V)对检测到所述情况的出现进行响应而执行所述动作集合。在另一个方面中,本发明针对计算机可读媒介,所述计算机可读媒介包含用于使移动设备为数据保护就绪做好准备的指令。所述计算机可读媒介可以包括一个或多个明显可识别的设备,其中包括用于使所述移动设备(i)指示存储于所述移动设备上的一些对于所述移动设备的所有者具有个人重要性的数据项的指令;用于使所述移动设备(ii)指示定义所述具有个人重要性的数据项要被保护的情况的标准的指令;用于使移动设备(iii)指示要执行以保护所述具有个人重要性的数据项的动作集合的指令;用于使所述移动设备(iv)基于所述标准来监控所述具有个人重要性的数据项要被保护的所述情况的出现的指令;以及用于使所述移动设备(V)对检测到所述情况的出现进行响应而执行所述动作集合的指令。有利地,本发明的各种实施例运行以保护对于移动设备的所有者特别重要的数据项。响应于检测到其中所述移动设备被认为处于数据丢失或敏感数据暴露的特定风险的情 况,诸如设备被盗或错放,而对这些数据项进行保护。所采取来保护重要数据项的动作可以基于以下各项移动设备情况的性质、数据项的性质、数据项对于所有者的重要性、移动设备的操作状态和计算能力以及其它可配置的参数。这种方法特别适用于个人移动设备,这是因为可以预先执行使重要数据能够得到保护的大量处理,而且,在某些实施方式中,并且有一般重要性确定标准和数据保护最佳操作的外部管理和及时更新知识库的优点。其它优点将在下述优选实施例的详细描述中显而易见。
通过考虑下面结合附图对本发明各种实施例的详细描述,可以更加全面地理解本发明,附图中图I是通用移动设备的系统的示例,根据各种实施例本发明可在其上实施。图2示出保存于例如图I所示移动设备的移动设备上的各种数据项,所述数据项根据其类型加以组织。
图3根据一个实施例示出了对于保存于图2所示移动设备上的一些数据项的相对重要性分类的示例。图4根据一个实施例示出了用于按照其重要性评定来评估移动设备上的数据的方法。图5A 5C根据本发明实施例示出了用于分别评定应用程序、文件和联系人的规则数据库的实施方式的示例。图6是根据本发明的一个实施例示出了实施保护方案过程的流程图。图7是根据一类实施例示出了具有模块集合的系统的示意图,采用所述模块集合可实现本发明的各个方面。尽管本发明可以有各种更改和替换形式,但其细节已经通过附图中的示例的方式示出并且将被详细地描述。尽管如此,应当理解的是,其目的并非为了将本发明限制在所述特定实施例中。与此相反,其目的是为了覆盖由随附权利要求所界定的落入本发明精神和范围内的所有更改、等同和替换。
具体实施例方式本发明的各方面旨在用于具有处理文本数据和图像数据的能力的任何移动计算设备。这些设备可以是智能手机、个人数字助理(PDA)、超移动个人计算机(UMPC)、互联网平板计算机以及类似设备。图I是包括计算系统的通用移动设备20的系统的示例,所述计算系统包括处理器21,系统存储器22和系统总线23,所述计算系统包含各种系统组件,包括与处理器21相关联的存储器。这些组件采用合适的电路在硬件中实施。系统总线23实施为任何传统的总线结构,包括存储器总线或存储器控制器、外围总线以及局域总线,其可以与其它任何总线架构交互。系统存储器包括只读存储器(ROM) 24、随机访问存储器(RAM) 25、基本输入/输出系统(BIOS),所述基本输入/输出系统使用R0M24,包含在移动设备20的元件之间确保信息传送的基本规程,例如,在启动时。移动设备20进一步包括非易失性存储27 (诸如闪存EEPROM设备或硬盘驱动器, 例如,其可以包括可移除或不可移除媒介)以读写信息。非易失性存储27经由磁盘接口 32连接到系统总线23。非易失性存储27被用于存储计算机指令、数据结构、程序模块以及移动设备20的其它代码或数据。移动设备20可以进一步经由控制器55访问可移除数据存储57,所述控制器55依次通过系统总线23联接。诸如“计算机可读媒介”、“机器可读存储媒介”、“数据存储安排”等等的术语,意味着包括诸如非易失性存储27、系统存储器22以及数据存储57这一类的设备。某些软件模块,诸如操作系统35存储于非易失性存储27、R0M24或RAM25中。移动设备20具有文件系统36,其中存储了操作系统35和附加软件应用程序37、其它程序模块38和程序数据39。用户具有通过输入设备40将命令和信息输入到移动设备20内的能力,所述输入设备40诸如键盘、触摸屏、或麦克风和相关的模拟-数字电路或其任意组合。输入设备40可以经由系统总线23通过附件端口 46与处理器21联接。附件端口 46可以实施为诸如USB端口的串行端口,或诸如蓝牙的无线个人局域网络(PAN)端口。可替换地,对于内置式输入设备,输入设备40可以直接与系统总线23联接。显示器47经由系统总线23和诸如视频适配器48的接口耦接到处理器21。移动设备20可以在网络环境中操作,采用经由网络接口 53所建立的到无线访问点、一个或多个远程无线设备49或移动网络基础设施58的通信连接51。通信连接51可经由GSM、CDMA, UMTS, WiFi、WIMAX、LTE、高级MT以及其它移动通信标准或其任何组合来实施。远程移动设备(或多个远程移动设备)49可以是智能手机、PDA、超移动个人计算机(UMPC)、平板计算机或类似设备,其通常具有上述移动设备20的多数或全部组件。如所描述的,远程移动设备49具有存储设备50,其存储应用程序37’以及相关联的数据。应该注意到这些示范性连接仅为举例说明能够使移动设备互相连接的各种配置。移动设备20具有电源系统60,包括板载能量源(例如电池),和电源调节电路一起用于以适当的电压从板载能量源或从外部源传递电力以供其它电路使用。电源系统60也可以包括充电电路以控制充电过程中外加的电源到电池的递送。参见图2,移动设备20存储有个人信息,诸如联系人的集合210。每个联系人210都具有相关的SMS/MMS消息记录。应用程序220也存储于移动设备20,每个应用程序均具有相应的应用程序数据的集合,其可以是属于移动设备20的所有者或主要使用者个人的。而且,移动设备20存储数据230,所述数据230可在其文件系统中组织为包含各种信息项的文件。数据230也可以是属于移动设备20的所有者个人的。如本发明所使用的,术语所有者可互换地指代移动设备的所有者或者主要使用者。大多数情况下,所有者也是主要使用者;但是,在设备属于雇主或非设备使用者的情况下,必须对主要使用者的个人数据进行保护。因此,为了简化起见,主要使用者在下文中也将会简单地被称为所有者。对于相应移动设备20的每个个体所有者来说,存储于移动设备的各种类型的数据可能具有对于所有者而言不同程度的重要性。例如 ,对于一个所有者,保存有关联系人的信息(通话记录、短信等等)可能非常重要,而另一个所有者可能主要对与网页浏览器或电子邮件客户端相关联的数据完整性感兴趣。应用程序存在不同的类型,如调度和结算系统,例如,MyLife OrganizecUPocket Informant>MoneyHarp>SmartOrganizer>SPB Finance 等等,其可以被用于存储各种个人信息的项,包括银行账户信息。这样的信息显然对所有者极为重要,而且必须严格保密。如果所有者丢失了他/她的移动设备,或者甚至更糟地,如果设备被盗,保护这些应用程序及其数据的关键性就变得尤其紧迫。所有者也可能希望隐藏特定的联系人,连同他们相应的呼叫和文本消息的历史记录,或者存储在其移动设备上的数据文件,因为它们也可能包含机密数据。图3为示出了图2中数据类型的示意图,同时示出了相应的对特定的示例性所有者的相对重要性的示例性标记。在这个示例中,联系人2和应用程序3被所有者认为是极其重要的。因此,联系人2和应用程序3被认为是绝对私人的而且必须对第三方而言不可访问。对这些极其重要的数据项,适用最严格的隐藏规则。接下来是重要信息320,其包括联系人I、联系人3和数据项I。在这种情况下,隐藏与列表中联系人有关的信息并可靠地维持数据项I对于所有者来说也是重要的。其余的信息被指定为普通信息330,其不被认为具有显著的重要性——例如,这类信息可能不包含个人信息,或者万一丢失时可以容易地恢复。图3的实施例举例说明了对存储于移动设备20上的数据项按相对重要性进行分类的许多可能的方法中的一种。例如,可能有更多或更少的分类。图4示出了用于在所有者的移动设备上根据每个数据项的相对重要性评估数据的示例性方法。在一种实施例中,这种方法由移动设备中的分析模块来执行。在410,进行数据收集操作,以收集已安装应用程序的列表或者集合以及它们对相关联的数据的使用。数据收集操作可能包括对文件系统、注册表、操作系统日志等等的分析。在420,对检测到的应用程序就它们对所有者的重要性进行评估。考虑多种用于对检测到的应用程序进行特定于所有者的重要性评估的方法,包括分析应用程序由所有者使用的绝对或相对程度,以及使用每个应用程序的性质。在相关方法中,分析应用程序内的各种所有者设置以评估所有者可能已如何配置该应用程序。应用程序数据库430存储预定义的有关应用程序的信息,而且也可以被用于存储与每个已安装应用程序的特定配置或使用有关的特定于用户的数据。应用程序数据库430可以存储于移动设备上,或者可以使用云计算模式来得以远程维护。在一个实施例中,如图5A所示,应用程序数据库430包含表现出各种参数的信息记录,诸如应用程序的名称或其它标识符、版本、已知的漏洞、应用程序所使用的数据(例如文件)、所存储数据的类型。在一个实施例中,这一信息代表应用程序的一般知识库,并且不特定于用户的设备配置。在相关实施例中,数据库430的分区(section),或者在另一实施方式中单独的数据库(位于移动设备本地或被远程维护),包含收集到的与已安装应用程序、已安装应用程序的配置、使用历史记录、使用性质有关的特定于所有者的信息以及其它与那些应用程序相关的特定于所有者的信息。在另一个实施例中,不使用用于特定于所有者的信息的单独的数据库或者数据库的分区。在这种方法中,评估每个应用程序重要性的进程使用应用程序的一般知识库来确定存储特定于所有者的配置或者与使用相关的数据的位置(例如文件、注册表、数据库),并且在他们被需要时对信息的相关项进行查找和评定。在一个示例中,应用程序Opera Mini,根据所存储信息的类型(例如网页地址)可以与不同的重要性级别相关联。例如,假如浏览器用于访问被密码或其它形式的用户认证所保护的网站或资源,并且保存了授权数据(例如,在密码列表或者cookie中),那么此应用 程序的重要性程度将会被设置为相对较高。类似地,假如浏览器曾访问各种社交网络站点(例如Facebook或Linkedln,其可能包含与所有者或其它人有关的个人信息),那么所指定的重要性级别也会相对较高。在另一方面,假如浏览器历史记录或缓存并不反映对潜在的敏感站点的访问,而是反映对可公开访问的站点的访问,诸如新闻、多媒体、游戏等等,则浏览器将会被指定为低级别的重要性,这种类型的存储数据不包含任何个人或敏感的信息。再参见图4,在400对存储于移动设备20的存储媒介上的文件进行扫描。在扫描中,对这些文件的属性进行检索和审查。可以使用例如在传统反病毒软件工具中所采用的已知技术来实施合适的扫描过程。在450,基于文件评定数据库460对每个被扫描的文件评估它们对所有者的重要性。在图5B中描绘了在数据库460中所维护的示例性文件清点记录。基于与各种参数的每一者相对应的存储于数据库460的规则分区对这些参数进行分析,所述各种参数诸如文件扩展名、磁盘上的位置、文件访问历史记录(其中包括更改日志)、所存储信息的类型指示(例如,文本、多媒体等等)以及附加属性(例如,加密和包装)。在一个实施例中,文件评定数据库460包含关于已知文件(诸如由知名应用程序所生成或者使用的文件)或者关于已知文件类型(例如基于文件扩展名、文件结构或数据头信息、或者其它嵌入文件中的已知元数据)的通用规则,并表现为此类文件或文件属性的知识库。这个规则知识库可以用于确定在移动设备上发现的给定文件是否是已知类型或用于已知目的。评估的结果为对相应文件的重要性以及可确定时对相应文件的关键性的评定。几个说明性示例列举如下 当在“个人”文件夹中检测到具有login, txt名称的文本文件时,分析结果是为该文件指定高的重要性级别; 当检测到有文件扩展名为Mp3”并且文件位置在“音乐”文件夹的文件时,重要性级别将被设置为低; 当检测到位于被识别为浏览器缓存(包含已保存的网页)的文件夹中的文件时,该文件的重要性级别将被设置为高。在这个特定的示例中,注意评定文件重要性的标准不仅包括被评定文件的属性,还包括存储在在被评定文件附近的文件系统中的其它文件和文件夹(例如,在同一个文件夹中,嵌套在被评定文件所存储的文件夹之下,等等)的属性。
在470,收集与所有者的联系人相关的数据。在480,对每个所收集的联系人进行评估以确定其重要性。为此,联系人评定数据库490被使用。在图5C中描绘了数据库490的示例性记录。与所有者所使用的每个联系人相关的参数在各种实施例中被加以考虑,所述参数诸如其中包含该联系人的联系人组的名称、所发送消息的数量和所接收消息的数量、呼叫历史记录以及联系人记录的其它可选属性,其可特定于不同的平台诸如Windows Mobile或者Symbian,或者特定于由诸如HTC、Nokia或Samsung的各制造商所生产的设备类型。在各种实施例中,数据库430、460和490可使用诸如MySQL、PostgreSQL,InterBase.MSDE.DB2的传统数据库管理系统以及任何其它合适的数据库编程环境来实施。应该理解到上述用于应用程序数据库430、文件评定数据库460和联系人评定数据库490的示例为说明性的,并且在各种实施例中这些示例可以采用更多或更少的特性、或以特征的
不同来实施。在一个特定实施例中,包含在这些数据库中的规则具有简单的语言描述,使得其可由移动设备的所有者编辑。因此,随着所有者的参与可能会改进重要性评定的准确性。在相关的方法中,交互式用户界面模块提供了一个有利于建立或调整重要性确定规则的用户友好的控制面板或者分步向导程序。在一种类型的实施例中,用户指定或者用户调整的规则被本地存储于移动设备20上。这些特定的规则可被存储于数据库中、配置文件中、作为脚本的一部分或者以任何其它合适的方式。在这种类型的实施例中,数据库430、460和490提供默认规则,同时用户指定的规则具有高于默认规则集合中存在的任何相应(或冲突)规则的优先权。在另一个实施例中,用户指定或者用户调整的规则被远程存储,脱离移动设备20。在这种情况下,云计算模型可被采用,同时规则被存储在一个或多个服务器上,并与用户账户相关联,设备20就所述用户帐户被编程以登陆来访问规则。在相关方法中,用户指定或者用户调整的规则由安全服务供应商分析并汇总,然后该安全服务供应商可更新默认规则以更好地适应用户的同期需求。在一个实施例中,图4中所描绘的处理块在移动设备20的硬件上执行,但是应用程序数据库430、文件评定数据库460和联系人评定数据库490位于脱离设备20的远程。在一个这样的实施例中,数据库由于它们的规模和复杂性而位于在服务供应商控制下进行操作的远程服务器。在这种情况下,每个涉及相应数据库访问的处理块也将包括从/到作为数据库主机的远程服务器的数据传送操作。在一个实施例中,可以脱离移动设备来远程定义和维护存储于图5A飞C中的数据库内的评估规则。例如,可以在信息服务供应商处定义和维护这些规则。服务供应商预分析已知程序和文件类型。另外,服务供应商可以进一步从所有者处收集关于联系人或其它对象的重要性的各种参数和统计数据。根据用于统计分析的一种方法,如果很多所有者都识别某一联系人为重要联系人,则收集并分析有关该联系人的记录和该记录使用情况的参数。例如,可能感兴趣的参数可以包括向这个联系人呼叫或发送文本消息的频率。基于从大量所有者处得到的汇总数据,可以定义以下示例性规则如果(IF)呼叫次数和/或SMS数量超过〈预设的阈值 >,那么(THEN)该联系人是重要的。在各种实施例中,利用数据挖掘技术在维护数据库的服务器端来评定应用程序的重要性。例如,在应用程序数据库430的情况下,采用聚类分析(clustering analysis)将应用程序基于该应用程序的某些属性指派给已知的组。因此,具有自己内置的安全特点,诸如加密附加功能、启动时的身份认证、对某些用于受保护文件格式的存储支持等等的应用程序,被认为与敏感数据相关联,并且应该被归类为重要的。同样地,在本领域中众所周知的分类或者相关的规则挖掘技术,可被应用以评定已知数据项(或已知数据项类型)的重要性。在另一个例子中,人工神经网络(ANN)被用于评定文件的重要性。关于文件的元数据形式的信息,诸如名称和文件类型、大小、磁盘上的位置等等,可被提供给ANN的输入层。在获得所有必要的输入数据后,从ANN的输出层接收文件的重要性终值结果。
应当被理解的是,用于对移动设备上应用程序、文件、联系人以及其它潜在重要信息进行重要性评定的其它技术可在本发明的范围内被使用。例如,可应用专家系统技术或者更简单的if-then关系。各种权重和多变量分析技术可应用于适当的情况。在一个实施例中,为了更加正确的评定,采用模糊逻辑系统来处理在应用程序数据库430、文件评定数据库460和联系人评定数据库490中的数据。模糊逻辑系统涉及三个阶段I.模糊化——模糊的引入为了对所有输入变量执行此操作,语言变量被定义,每个语言变量均由一个术语集合形成。对于每个术语,构造一个从属函数。例如,对于语言变量“与联系人相关联的消息数量”,该术语集合将具有{"很少","少","中等数量","很多"}的形式,其允许一个变量不使用特定的数值。2.创造和使用模糊知识库模糊知识库包括形式为IF〈规则的前提>,THEN〈规则的结论 > 的产生式规则。例如,一个变量可以用下述规则“如果与联系人相关联的消息数量为〈很多〉,则联系人重要性〈高 >。”此类规则的结构通常是简单的,同时它们是可理解的并且是一种文字编码。3.去模糊化——从输出中获得清晰的数值,在这种情况中,其为数据重要性的评定。根据这种类型实施例的模糊逻辑系统提供了考虑到移动设备数据的许多不同特征的灵活性。图6为根据一个示范性实施例,示出了通过阻止访问移动设备上的重要数据项而对移动设备的遗失或被盗做出准备和响应的过程的流程图。块61(T650涉及如果要求响应的情况出现时使移动设备准备响应(包括配置设备以识别响应的动作触发条件)。这部分处理可在移动设备除此以外将处于闲置状态的期间作为后台处理执行,以免占用设备的计算能力。块66(T670涉及根据在先的块作出的准备,对响应的必要性进行检测并加以响应。这部分处理可代替移动设备中的其它程序或活动而被提升至具有超群的优先权。在块610,在移动设备上收集关于以下各项的数据应用程序及它们的相关联数据、在设备的文件系统或可移除媒介中的文件、联系人以及移动设备上的其它数据,连同移动设备所有者(或者代表所有者而操作的程序)对这些对象的使用信息一起。
在620,各种对象的重要性如以上参考图4所描述的那样被评估。在一个示范性实施方式中,使用应用程序的一个或者多个远程维护数据库、文件评定规则和联系人评定规则在移动设备上执行重要性的确定。这种方法使移动设备免于存储和升级大量本地数据库。这种方法还避免了必须将重要或敏感数据项发送至第三方进行分析。接着,为了保护移动设备上的数据项,在块630确定应采取的动作集合并存储于移动设备上。应采取的动作将根据移动设备的所评定情况而变化。各种可观察迹象与所检测的情况类型相关联。例如,可检测的情况可能由以下各项所指示移动设备长期缺乏用户输入活动(例如,当所有者将他们的移动设备留在家中并且在某一相当长的时间内未使用它)、进入屏幕解锁模式的反复失败(暗示未经授权的用户正试图获得设备的访问权限)、接收到具有特定代码(诸如由安全服务所生成的那些代码)的SMS消息、在先与已知恶意软件类型的活动先关联的已知操作模式(暗示存在感染)等等。如果设备所有者意识到设备已经丢失/误放或被盗,所有者可以尝试采用安全服务将这一事实告知设备(所述安全服务转而可以发送SMS或系统级消息到设备)。其它迹象可能暗示其它各种情况下应采取哪些特定动作。
对于给定情况,可确定的可能动作包括但不限于,移除(S卩,不可恢复的删除)某些数据项、加密数据项、隐藏或以其它方式混淆数据项以及备份数据项。动作数据库640用于存储为响应预定义条件而采取的动作。在一个示范性实施方式中,如图6所示,这样的数据库可以以产生式规则的格式存储条件-动作的关系IF〈前提〉,THEN〈所应用的规则〉。例如,一个规则可以被定义为这种形式“ IF联系人是重要的并且(AND)设备被禁用,THEN隐藏该联系人”。这样,依赖于其在630的重要性,可由比较器模块实现对用于所评估数据的动作集合的定义。同样地,反应规则可以在适当的地方被使用。在一种特定类型的实施例中,动作数据库640本地位于移动设备上。在另一个实施例中,动作数据库640由安全供应商远程维护,并且作为知识库被使用,默认条件/动作可从所述知识库被配置成位于移动设备上的小型本地数据库或规则集合。在这种类型的实施例中,动作数据库640的本地存储确保了动作可响应于所检测到的符合应对其采取行动的预定条件的标准而被调用并执行,而不需要网络连接到安全服务器。用于触发动作的条件被预先定义。对条件的定义可能被手动执行,或者通过例如提交SMS。另外,与设备本身相关联的参数(例如,确定用户不活动的持续时间或确定SIM卡是否已交换)被考虑到。这些条件的形成发生于650并且可采用动作数据库640的知识库实施例而自动地(例如,为每个动作写代码)完成,也可以由使用者通过用户界面手动编辑而完成。在660,移动设备监控它本身的可以从中推断设备情况的任何迹象。这一监控动作可以以预设的时间间隔周期性地被执行,或者作为对某些事件(event)或非事件(non-event)的响应。例如,可以作为对移动设备在某一预定时段内保持闲置状态(即缺乏用户交互)的响应来初始化监控周期。与在650所定义的预定义条件集合来对比测试迹象或情况推断。如果满足任何这种条件,在670进程执行对应于所满足条件的动作。在一个实施例中,在670执行的动作被以相对于当时可运行于移动设备上其它进程的最高优先权执行。在相关实施例中,动作被优先考虑而具有高于任何来自用户的命令的优先权,诸如任何经由用户界面输入的命令,但并不一定高于系统级的进程,所述系统级的进程可被认为是确保移动设备20操作系统稳定性所必要的。在另一个相关实施例中,在670的动作执行过程中,当重要数据正在受到保护时,用户输入设备被挂起从而防止恶意行为者访问或破坏重要数据。在更为复杂的方法中,向移动设备20的用户显示伪用户界面,其中允许一些基本功能但是重要数据和访问重要数据的应用程序被隐藏并且不可访问。这种方法旨在混淆来自潜在恶意用户的数据保护系统的操作,以避免导致用户怀疑存在重要数据。伪用户界面可以允许访问特定的游戏、不重要的媒介和特定应用程序。在一个实施例中,电话功能的受限访问也由伪用户界面所提供。这种受限访问可排除导致收费的连接;另外,受限的电话访问可以将语音通话限制到一、两分钟然后切断该通话。在相关实施例中,伪用户界面伪造一个弱信号作为切断通话的原因。类似地,伪用户界面可以提供SMS消息已发送的表象,然而实际上并没有发送任何SMS消息。在一个实施例中,基于所确定的移动设备20的设备情况、设备状态或其它条件,采用第一优先次序(priorization)方案来选择应采取的动作。这样,例如,如果移动设备 20确定被盗,那么需要更严厉的动作,诸如立即移除敏感数据。在另一方面,如果设备确定被误放,那么可能采取相对不太严厉的措施,诸如加密敏感数据项。在相关实施例中,基于所确定的计算能力可用性(存储器可用性、处理器可用性、电池放电状态),采用第二优先次序方案来选择应采取的动作。这样,例如,在低电量指示的情况下,相比于加密或重写敏感数据的更加能源密集型(尽管更安全)的进程,可能需要更加能源节约型的进程来删除指向敏感数据的索引项或另外隐藏敏感数据。在一个实施例中,定义第一和第二优先次序方案并存储于动作数据库640的分区。第一和第二优先次序方案可能彼此之间有分歧。例如,如果所确定的基于条件的优先次序需要采取严厉的动作以防止危及敏感数据,但设备的电池电量严重不足,则基于计算能力的优先次序可能要求不太严厉的动作以确保至少敏感数据的某一最低保护在电池电量完全耗尽之前执行。因此,在相关实施例中,第一和第二优先次序方案合并为具有多重输入变量的单一优先次序方案,输入变量包括设备条件以及设备计算能力。另外,优先次序可能基于数据项关键性得到进一步的重视。这样,例如,更敏感的或更关键的数据项被给予有序优先权、保护强度(strength-of-protection)优先权或二者兼有。有序优先权涉及到响应于采取保护动作的调用的数据项(或数据项的类)受保护的次序相关,首先保护更关键的数据项。保护强度优先权涉及到与某些数据项相关联的保护动作。可以为数据项的类或者单个数据项来定义保护强度优先权。保护强度优先权可以根据保护的最小级别而被定义(例如,数据项类X必须是被加密或者被不可恢复地删除从而被保护)。此外,保护强度优先权可以根据条件的严重性而被定义(例如,对于所确定的在预定义的时间段里设备不活动的条件,数据项类X必须至少被加密并且对于所确定的设备被盗的条件,数据项类X必须被不可恢复地删除)。在一个实施例中,采用单一的优先次序方案,所述单一的优先次序方案包括设备情况、设备计算能力、基于关键性的有序优先权、保护强度优先权的多重输入变量。在一个实施方式中,每个输入变量与一个权重相关联,而且每个输入变量的值均以程度的数值指示来表示。对于给定的设备情况、计算能力和数据项优先权定义,应采取的动作以及其排序可以由此被计算确定。在另一类型的实施例中使用模糊逻辑实施方式。
在另一个实施例中,移动设备20存储带有响应于输入变量值的某些组合的经明确定义的动作的查找表格。该表格可以由安全服务供应商使用例如以上讨论的经典或模糊逻辑计算方法所定义,而且多重计算的结果被本地存储于移动设备20以便很快地被查出(无需加重设备为了响应于设备条件而实施计算的负载,所述设备条件符合采取动作的标准)。图I为根据一个实施例,示出了在移动设备上实施数据保护就绪(readiness)和响应的模块的示例性系统。此处使用的术语“模块”是指使用硬件或作为硬件和软件的结合所实施的现实世界的设备、组件或组件的布置,所述硬件诸如专用集成电路(ASIC)或者例如现场可编程门阵列(FPGA),所述硬件和软件的结合诸如用使模块适合于实施特定功能的微处理器系统和程序指令集,所述程序指令集(在被执行时)将微处理器系统转化为特殊用途的设备。模块也可以作为二者的组合来实施,具有由硬件单独所帮助实现的某些功能,以及具有由硬件和软件的组合所帮助实现的其他功能。在某些实施方式中模块的至少一部分,以及在某些情况下模块的全部可以在一个或多个移动设备(诸如以上参考图I所详细描述的那个)的处理器中执行,所述处理器执行操作系统、系统程序以及应用程序,同时也 在适当的情况下使用多任务、多线程、分布式(如云)处理或其它这样的方法来实施该模块。因此,每个模块均可以在各种合适的配置中得以实现,而且通常不应该被限制于任何此处例示的特定实施方式,除非这种限制被明确指出。在图7的系统中,模块在移动设备上被实施,除非在特定实施例中指出其他方式。在所描绘的实施例中,有两种常规模块准备模块702,和保护模块704。准备模块702在用户或其它进程对移动设备20的利用率低时,以及在相对高计算能力可用性时运行,例如,当电源系统连接到外部电源或者当设备闲置并且电池在相对荷电状态(例如>50%)时。在一个实施例中,准备模块702确定计算可用性的当前状态(基于一个或多个参数,例如处理器负载、存储器使用情况、电池容量等等)并将该状态与计算可用性的阈值级别对比。如果比较结果表明可用性级别大于该阈值,则移动设备被认为是可用于准备模块702的操作。准备模块702负责在移动设备上执行预处理以使移动设备为数据保护就绪做好准备。数据保护就绪意味着移动设备20被设置为能够检测和响应发生数据丢失或破坏隐私的可能性增加的情况或环境,诸如设备的误放或丢失。在一个实施例中的准备模块702包括清点模块710、数据分析模块720、动作指令模块740和条件设置模块750。保护模块704负责监控移动设备20的活动或不活动并检测要求数据保护响应的情况或环境。响应涉及到移动设备20采取高效计算动作从而快速保护、移除或隐藏敏感或重要数据,最好在可能发生遗失或隐私破坏之前。因为基于由准备模块702事先进行的准备,因此监控和响应得以高效计算。在一个实施例中保护模块704包括情况监控模块760和动作执行模块770。清点模块710收集有关存储于移动设备上数据的信息,包括但不限于移动设备上的联系人、应用程序、文件等等。所收集到的信息可以以任何合适的格式存储,诸如每个数据项在文件系统中的位置的索引。清点模块710的输出由数据分析模块720读取,所述数据模块720配置为使用例如以上参照图4所描述的技术,按照每个数据项对所有者的重要性来评估所述每个数据项。评定规则数据库730,其在一个实施例中脱离移动设备被远程托管(host),包含被数据分析模块所使用来评定数据项的重要性的知识库。在一个实施例中,评定规则数据库730包括一个或多个数据库430、460、490 (图5A飞C)。数据分析模块720的输出是重要数据项索引725,其识别所有由清点模块710所收集到的重要数据项的子集。在各种实施例中,指定一个或多个重要性级别,例如“一般重要的”、“特别重要的”或“关键的”。动作指令模块740和条件设置模块750分别识别应采取的保护动作来保护重要数据,以及识别引起触发这样的动作的条件。这些模块的结果存储于动作数据库640中,如以上参考图6所讨论的。在这个实施例的一个略有变化的形式中,经由移动设备20提供便于定制动作数据库640的用户界面。在一个这样的方法中,为用户提供默认条件和相关联的规则,并提供用于附加额外条件或规则或者更改默认条件或规则的选项。在一个实施例中,默认保护动作以及条件和相关规则的确定脱离移动设备20远程执行,例如由安全服务供应商的服务器执行。在另一个实施例中,默认保护动作、条件和规则的确定在移动设备上本地处理。 情况监控模块760使移动设备监视并检测已为其定义一个或多个条件的情况。情况监控模块760监控移动设备20的活动或不活动以及状态信息,包括例如用户界面输入活动、如果可用的话GPS或加速计的迹象、消息活动、语音通话活动等等。情况监控模块760读取动作数据库640来获取条件标准。当检测到出现这样的条件时,传递控制到动作执行模块770,所述动作执行模块770在动作数据库640中查找对所检测到的条件应采取的动作,并将这些动作应用于由重要数据项索引725所指出的重要数据项。在某些实施例中,动作执行模块770对上述作为实施重要数据项保护的一部分而加以描述的其他移动设备功能的优先次序和覆盖加以协调。在采用伪用户界面的实施例中,动作执行模块770包括经配置以协调伪用户界面功能的用户界面模块。另外,在使用保护动作之间优先次序的实施例中,动作执行模块770包括实施上述优先次序技术的动作优先次序模块。因此,响应于检测到的移动设备被认为处于数据丢失或暴露敏感数据的特定危险的情况,对移动设备所有者特别重要的数据项被保护。为了保护重要数据项所采取的动作基于移动设备情况的性质、数据项的性质、数据项对所有者的重要性、移动设备的运行状态和计算能力以及其它可配置的参数。这种方法对个人移动设备尤其适用,这是因为大多数用于使重要数据受到保护的处理被预先执行,并且有一般重要性确定标准和数据保护最佳操作的外部管理和及时更新知识库的优点。上述实施例旨在例示而非限制。其它的实施例也在权利要求的范围内。此外,虽然已经参照特定实施例对本发明的各个方面进行了描述,但本领域技术人员应当认识到,在不脱离由权利要求书所定义的本发明的精神和范围的情况下,可以在形式和细节上做出各种改变。相关技术领域的普通技术人员应认识到,本发明可以包括比上述任一单独实施例中所示出的特征要少的特征。本发明中所描述的实施例并非意图作为对其中本发明的各种特征可加以组合的方式的穷尽表示。因此,这些实施例并不是互相排斥的特征组合;相反,如本领域普通技术人员所理解的,本发明可以包括选自不同单独实施例的不同单独特征的组合。对以上任何通过引用文献形式的并入加以限制,使得违背本发明所明确公开内容的主题不应被并入。进一步对以上任何通过引用文献形式的并入加以限制,使得包括在这些文献中的权利要求不应以引用的方式被并入到本发明的权利要求中。但是,除非明确的加以排除,否则任何这些文献的权利要求均作为本发明公开内容的一部分被并入。再进一步对以上任何通过引用文献形式的并入加以限制使得除非本发明明确包括,否则这些文献所提供的定义不应以引用的方式被并入到本发明中。为了解释本发明的权利要求,明确 表示,除非在权利要求中记载有特定术语“装置”或“步骤”,否则并不援引美国专利法35u. S. C中第112节第6段的规定。
权利要求
1.一种可配置用于数据保护就绪的移动设备,包括 计算系统,其包括具有板载能量源的电源系统,以及可操作地与数据存储装置和网络接口相耦接的处理器,所述计算系统进一步包括 准备模块,经配置以执行预处理以使所述移动设备为数据保护就绪做好准备,所述预处理包括 指示存储于所述数据存储装置中的一些对于所述移动设备的所有者具有个人重要性的数据项; 指示定义所述具有个人重要性的数据项要被保护的情况的标准;以及 指示要执行以保护所述具有个人重要性的数据项的动作集合;以及 保护模块,经配置以基于由所述准备模块所指示的所述标准来监控所述具有个人重要性的数据项要被保护的所述情况的出现,以及对检测到所述情况的出现进行响应而执行由所述准备模块所指示的所述动作集合。
2.如权利要求I所述的移动设备,其中所述准备模块经配置以在相对高的计算可用性期间执行所述预处理。
3.如权利要求I所述的移动设备,其中所述准备模块包括 清点模块,经配置以收集关于存储在所述数据存储装置中的数据的信息;以及 数据分析模块,经配置以基于所管理的评定规则集合,来分析由所述清点模块所收集到的所述信息以识别那些对于所述移动设备的所有者具有个人重要性的数据项。
4.如权利要求3所述的移动设备,其中所述数据分析模块经配置以访问评定规则数据库,所述评定规则数据库包含用于由所述数据分析模块使用以评定存储于所述存储装置中的数据项是否为对所述移动设备的用户具有个人重要性的数据项的知识库。
5.如权利要求4所述的移动设备,其中所述评定规则数据库的至少一部分脱离所述移动设备远程托管。
6.如权利要求4所述的移动设备,其中所述评定规则数据库的至少一部分在所述移动设备上本地托管。
7.如权利要求4所述的移动设备,其中所述评定规则数据库的至少一部分包括规则的语目描述。
8.如权利要求4所述的移动设备,其中所述准备模块包括交互式用户界面模块,所述交互式用户界面模块适合于帮助建立或调整所述评定规则数据库的重要性确定规则。
9.如权利要求4所述的移动设备,其中所述评定规则数据库包括应用程序数据库,所述应用程序数据库至少包含识别多个已知应用程序的信息以及对于这些识别出的应用程序的每一者的由该应用程序所使用的数据。
10.如权利要求9所述的移动设备,其中所述应用程序数据库包括关于已安装的应用程序的特定于所有者的信息。
11.如权利要求4所述的移动设备,其中所述评定规则数据库包括文件评定数据库,所述文件评定数据库至少包含存储在所述数据存储装置中的文件清单。
12.如权利要求11所述的移动设备,其中所述文件评定数据库包括用于评定对表现在所述文件清单中的所述文件的所述所有者的个人重要性级别的规则集合。
13.如权利要求4所述的移动设备,其中所述评定规则数据库包括联系人评定数据库,所述联系人评定数据库包含关于所述所有者对每个联系人的使用情况的参数。
14.如权利要求I所述的移动设备,其中所述准备模块包括 动作指令模块,经配置以指示由所述计算系统所要采取以保护所述具有个人重要性的数据项的每一者的保护动作。
15.如权利要求14所述的移动设备,其中所述准备模块包括 条件设置模块,经配置以指示要采取所述保护动作对其进行响应的情况条件。
16.如权利要求I所述的移动设备,其中所述保护模块包括 情况监控模块,经配置以监控所述移动设备的活动/不活动以及状态信息以基于定义情况的所述标准来检测情况;以及 动作执行模块,经配置以对所述情况监控模块检测到所述情况进行响应而执行所述动作集合中的至少一个动作。
17.如权利要求16所述的移动设备,其中所述动作执行模块经配置以实施至少一个优先次序方案来选择动作加以执行,其中所述至少一个优先次序方案选自包括以下各项的组基于设备情况的优先次序、基于设备计算能力的优先次序、基于关键性排序的优先次序、基于保护强度的优先次序或者它们的任意组合。
18.一种用于使移动设备为数据保护就绪做好准备的方法,包括 Ca)在所述移动设备中存储指令用于使所述移动设备(i)指示存储于所述移动设备上的一些对于所述移动设备的所有者具有个人重要性的数据项; (b)在所述移动设备中存储指令用于使所述移动设备(ii)指示定义所述具有个人重要性的数据项要被保护的情况的标准; (C)在所述移动设备中存储指令用于使所述移动设备(iii)指示要执行以保护所述具有个人重要性的数据项的动作集合; (d)在所述移动设备中存储指令用于使所述移动设备(iv)基于所述标准来监控所述具有个人重要性的数据项要被保护的所述情况的出现;以及 Ce)在所述移动设备中存储指令用于使所述移动设备(V)对检测到所述情况的出现进行响应而执行所述动作集合。
19.如权利要求18所述的方法,其中在(a) (C)中存储所述指令包括在所述移动设备中存储指令以配置所述移动设备在所述移动设备的相对高的计算可用性期间执行(i) (iii)o
20.如权利要求18所述的方法,其中(a)包括 (vi)在所述移动设备中存储指令用于使所述移动设备收集关于存储在所述移动设备上的数据的信息;以及 (Vii)在所述移动设备中存储指令用于基于所管理的评定规则集合来分析在(Vi)中所收集到的所述信息以识别那些对于所述移动设备的所有者具有个人重要性的数据项。
21.如权利要求20所述的方法,其中(vi)包括在所述移动设备中存储指令用于使所述移动设备访问评定规则数据库,所述评定规则数据库包含用于由所述移动设备使用以评定存储于所述移动设备中的数据项是否为对所述移动设备的用户具有个人重要性的数据项的知识库。
22.如权利要求21所述的方法,其中在所述移动设备中存储指令用于使所述移动设备访问评定规则数据库包括配置所述移动设备访问应用程序数据库,所述应用程序数据库至少包含识别多个已知应用程序的信息以及对于这些识别出的应用程序的每一者的由该应用程序所使用的数据。
23.如权利要求21所述的方法,其中在所述移动设备中存储指令用于使所述移动设备访问评定规则数据库包括配置所述移动设备访问文件评定数据库,所述文件评定数据库至少包含存储在所述移动设备上的文件清单。
24.如权利要求21所述的方法,其中在所述移动设备中存储指令用于使所述移动设备访问评定规则数据库包括配置所述移动设备访问联系人评定数据库,所述联系人评定数据库包含关于所述所有者对每个联系人的使用情况的参数。
25.如权利要求18所述的方法,其中(e)包括在所述移动设备中存储指令用于使所述移动设备实施至少一个优先次序方案来选择动作加以执行,其中所述至少一个优先次序方案选自包括以下各项的组基于设备情况的优先次序、基于设备计算能力的优先次序、基于关键性排序的优先次序、基于保护强度的优先次序或者它们的任意组合。
26.一种计算机可读媒介,所述计算机可读媒介包含用于使移动设备为数据保护就绪做好准备的指令,包括 用于使所述移动设备(i)指示存储于所述移动设备上的一些对于所述移动设备的所有者具有个人重要性的数据项的指令; 用于使所述移动设备(ii)指示定义所述具有个人重要性的数据项要被保护的情况的标准的指令; 用于使所述移动设备(iii)指示要执行以保护所述具有个人重要性的数据项的动作集合的指令; 用于使所述移动设备(iv)基于所述标准来监控所述具有个人重要性的数据项要被保护的所述情况的出现的指令;以及 用于使所述移动设备(V)对检测到所述情况的出现进行响应而执行所述动作集合的指令。
全文摘要
本发明公开了移动设备以及相关联的方法和计算机可读媒介,其中该设备被配置为用于数据保护就绪。准备模块经配置以执行预处理来使移动设备为数据保护就绪做好准备,所述预处理包括指示存储于所述数据存储装置中的一些对于移动设备的所有者具有个人重要性的数据项;指示定义具有个人重要性的数据项要被保护的情况的标准;以及指示要执行以保护具有个人重要性的数据项的动作集合。保护模块经配置以基于由准备模块所指示的所述标准来监控所述具有个人重要性的数据项要被保护的情况的出现,并且对检测到所述情况的出现进行响应而执行由准备模块所指示的动作集合。
文档编号G06F21/00GK102799827SQ201210259820
公开日2012年11月28日 申请日期2012年7月25日 优先权日2011年7月26日
发明者谢尔盖·V·涅斯特鲁耶夫, 奥列格·V·涅斯特鲁耶夫, 安德里·V·马特维耶夫 申请人:卡巴斯基实验室封闭式股份公司