移动计算设备上的相机。
[0088]在一个示例中个,动作包括:用位置信息标记该拍摄数据,基于经标记的位置信息,对该拍摄数据实施基于位置的DLP策略。
[0089]在一个示例中,该位置信息对应于捕捉该拍摄数据的位置。
[0090]在一个示例中,该位置信息对应于在捕捉该拍摄数据时,使用该移动计算设备捕捉到的地理位置数据。
[0091]在一个示例中,可接收涉及该拍摄数据的、后续的系统调用,可标识该位置数据,并且可结合向该代理适用于该拍摄数据的DLP策略的查询,传递该位置数据。至少部分地基于该标记操作,对该后续的系统调用执行动作。
[0092]在一个示例中,系统可包括处理器设备、存储器元件和安全管理器。系统可进一步包括用于生成该拍摄数据的数码相机。该系统可以是该移动计算设备。
[0093]在一个示例中,系统可进一步包括DLP代理,并且标识该基于位置的DLP策略可包括:向该移动计算设备上的代理查询适用于该拍摄数据的DLP策略;以及从该代理处接收结果,该代理标识DLP策略是否适用于该拍摄数据,该结果标识该基于位置的DLP策略。
[0094]可在计算系统中实现本说明书中所描述的主题的各实施例,该计算系统包括后端组件,如作为数据服务器的后端组件;或者包括中间件组件,如应用服务器;或者包括前端组件,如具有图形用户界面或Web浏览器的客户机计算机,客户可通过该图形用户界面或Web浏览器与本说明书中所描述的主题的实现进行交互;或者包括这些后端、中间件或前端组件中的一个或多个的任意组合。系统的组件可通过任何形式或任何介质的数字数据通信(例如,通信网络)来互连。通信网络的示例包括用于促进系统中的各计算组件之间的通信的任何内部或外部的网络、多个网络、子网、或上述各项的组合。网络可在多个网络地址之间传递例如网际协议(IP)分组、帧中继帧、异步传输模式(ATM)单元、语音、视频、数据、以及其他合适的信息。网络也可包括一个或多个局域网(LAN)、无线电接入网(RAN)、城域网(MAN)、广域网(WAN)、因特网的全部或部分、对等网络(例如,自组织对等网络)、和/或一个或多个位置处的一个或多个任何其他通信系统。
[0095]计算系统可包括客户机和服务器。客户机和服务器一般彼此远离,并且通常通过通信网络进行交互。客户机和服务器的关系凭借在各自的计算机上运行并且具有相对于彼此的客户机-服务器关系的计算机程序来产生。在一些实施例中,服务器将数据(如,HTML页面)发送到客户机设备(如,为了向与该客户机设备交互的用户显示数据并且从该用户处接收用户输入)。可从服务器处的客户机设备中接收在客户机设备处生成的数据(如,用户交互的结果)。
[0096]虽然本说明书包含许多具体实现细节,但这些具体实现细节不应当被解释为对任何发明或可声称权利的范围的限制,而是被解释为针对特定发明的特定实施例的特征的描述。在本说明书中多个单独的实施例的情境中所描述的某些特征也可被组合地实现在单个实施例中。反之,在单个实施例的情境中所描述的各种特征也可以单独地或以任何合适的子组合的形式被实现在多个实施例中。此外,虽然多个特征在上文中可能被描述为以某些组合的方式起作用,并且甚至最初是如此要求保护的,但是,来自所要求保护的组合的一个或多个特征在一些情况下可从该组合被删去,并且所要求保护的组合可以针对子组合、或子组合的变型。
[0097]类似地,虽然在附图中以特定顺序描绘了多个操作,但这不应当被理解为:要求按所示的特定顺序或顺序地执行此类操作,或者要求要执行所有示出的操作才能达成期望的结果。在某些情况下,多任务处理和并行处理可能是有利的。此外,将上文所描述的各实施例中的各种系统组件分开不应当被理解为在所有实施例中都要求这样分开,并且应当理解,所描述的程序组件和系统一般可以一起被集成在单个软件产品中或被封装进多个软件产品中。
[0098]因而,已描述了本主题的特定实施例。其他实施例落在所附权利要求的范围之内。在一些情况下,权利要求中叙述的动作可按不同顺序来执行,并且仍实现期望的结果。另夕卜,在所附附图中描绘的多个过程不一定要求所示出的特定顺序或要求顺序地来实现期望的结果。
【主权项】
1.至少一种机器可访问存储介质,具有存储于其上的多条指令,当在机器上执行所述多条指令时,所述多条指令使所述机器用于: 拦截涉及拍摄数据的、对移动计算设备的内核的系统调用; 至少部分地基于所述移动计算设备的检测到的位置,标识适用于使用所述拍摄数据的、基于位置的数据丢失防护(DLP)策略;以及 至少部分地基于所述基于位置的DLP策略和所述移动计算设备的位置,对被拦截的系统调用执行动作。
2.如权利要求1所述的存储介质,其特征在于,当所述移动计算设备位于特定的地理位置之外时,基于所述基于位置的DLP策略,阻止输出所述拍摄数据的尝试。
3.如权利要求1所述的存储介质,其特征在于,所述内核是Linux内核,并且由Linux安全模块(LSM)拦截特定的系统调用。
4.权利要求1所述的存储介质,其特征在于,所述代理是安装在所述移动计算设备上的应用。
5.权利要求4所述的存储介质,其特征在于,所述代理与远程安全服务器对接,以获取对应于所述移动计算设备的策略信息。
6.权利要求1所述的存储介质,其特征在于,代理逻辑被包括在与所述内核对接的安全模块中。
7.权利要求1所述的存储介质,其特征在于,特定的系统调用包括利用所述移动计算设备的SMS、email、近场通信(NFC)、蓝牙和WiFi功能中的至少一个,输出所述拍摄数据。
8.权利要求1所述的存储介质,其特征在于,在进程虚拟机容器中运行能够利用所述拍摄数据的所述移动计算设备的应用。
9.如权利要求8所述的存储介质,其特征在于,所述进程虚拟机容器包括Dalvik进程虚拟机。
10.权利要求1所述的存储介质,其特征在于,所述拍摄数据包括视频数据。
11.一种方法,包括: 拦截涉及拍摄数据的、对移动计算设备的内核的系统调用; 至少部分地基于所述移动计算设备的检测到的位置,标识适用于使用所述拍摄数据的、基于位置的数据丢失防护(DLP)策略;以及 至少部分地基于所述基于位置的DLP策略和所述移动计算设备的位置,对被拦截的系统调用执行动作。
12.如权利要求11所述的方法,其特征在于,标识所述基于位置的DLP策略包括: 向所述移动计算设备上的代理查询适用于所述拍摄数据的DLP策略;以及 从所述代理处接收结果,所述代理标识DLP策略是否适用于所述拍摄数据,所述结果标识所述基于位置的DLP策略。
13.如权利要求11所述的方法,其特征在于,在特定的地理区域之外,所述基于位置的DLP策略限制对所述拍摄数据的访问。
14.如权利要求13所述的方法,其特征在于,使用地理围栏定义所述特定的地理区域。
15.如权利要求13所述的方法,其特征在于,所述特定的地理区域对应于创建所述拍摄数据的位置。
16.如权利要求11所述的方法,其特征在于,所述系统调用涉及所述拍摄数据的输入,并且所述拍摄数据来源于所述移动计算设备上的相机。
17.如权利要求16所述的方法,其特征在于,用位置信息标记所述拍摄数据,其中,基于经标记的位置信息,对所述拍摄数据实施基于位置的DLP策略。
18.如权利要求17所述的方法,其特征在于,所述位置信息对应于捕捉所述拍摄数据的位置。
19.如权利要求18所述的方法,其特征在于,所述位置信息对应于在捕捉所述拍摄数据时,使用所述移动计算设备捕捉到的地理位置数据。
20.如权利要求17所述的方法,其特征在于,进一步包括: 接收涉及所述拍摄数据的后续的系统调用; 标识所述位置数据; 结合向所述代理对适用于所述拍摄数据的DLP策略的查询,传递所述位置数据;以及 至少部分地基于所述标记操作,对所述后续的系统调用执行动作。
21.一种系统,包括: 处理器设备; 存储器元件;以及 安全管理器,与内核对接,当由所述处理器设备执行所述安全管理器时,所述安全管理器适用于: 拦截涉及拍摄数据的、对移动计算设备的内核的系统调用; 至少部分地基于所述移动计算设备的检测到的位置,标识适用于使用所述拍摄数据的、基于位置的数据丢失防护(DLP)策略;以及 至少部分地基于所述基于位置的DLP策略和所述移动计算设备的位置,对被拦截的系统调用执行动作。
22.如权利要求21所述的系统,其特征在于,进一步包括用于生成所述拍摄数据的数码相机。
23.如权利要求21所述的系统,其特征在于,标识所述基于位置的DLP策略包括: 向所述移动计算设备上的DLP代理查询适用于所述拍摄数据的DLP策略,以及 从所述代理处接收结果,所述代理标识DLP策略是否适用于所述拍摄数据,所述结果标识所述基于位置的DLP策略。
24.如权利要求23所述的系统,其特征在于,进一步包括所述DLP代理。
25.如权利要求21所述的系统,其特征在于,所述系统包括所述移动计算设备。
【专利摘要】监测对移动计算设备的内核的系统调用。拦截与该移动计算设备的输入/输出(I/O)功能有关的特定的系统调用。标识适用于该特定的系统调用的数据丢失防护(DLP)策略。至少部分地基于该DLP策略对该特定的系统调用执行动作。
【IPC分类】G06F21-60, G06F21-30
【公开号】CN104641377
【申请号】CN201380048879
【发明人】R·P·S·阿乎贾, B·辛格, R·巴塔查杰, D·库尔卡尼
【申请人】迈克菲股份有限公司
【公开日】2015年5月20日
【申请日】2013年10月18日
【公告号】EP2909777A1, US20140194094, WO2014063126A1