用于在移动装置上提供安全虚拟环境的方法和设备的制作方法

用于在移动装置上提供安全虚拟环境的方法和设备的制作方法
【专利摘要】方法和装置提供移动装置内的用于处理文档和进行安全活动的安全虚拟环境。所述方法和装置产生安全应用程序环境，其中可使用文档加密将安全数据和文档隔离于未受保护数据，从而允许将安全性策略仅应用于所述安全应用程序环境。安全应用程序环境的产生允许用户接入和操纵任何移动装置上的安全数据，不仅是特定指定的安全装置，而不必保证所述移动装置上的所有数据的安全，同时为公司实体提供必要的文档安全性。所述方法和装置提供使用加密在数据层级保证移动装置上的数据的安全。
【专利说明】用于在移动装置上提供安全虚拟环境的方法和设备
【技术领域】
[0001]本发明大体上涉及计算装置系统架构，且更特定来说涉及用于在移动装置上提供安全虚拟环境的方法和系统。
【背景技术】
[0002]信息和网络安全性对于公司、服务提供者和政府是重要的。所有类型的数据从口令和电子邮件到文档和数据文件都需要保证安全。移动装置上的安全性需要由于它们易丢失或失窃而提高。在过去，通过创建特定针对将接入的网络的独立应用程序或通过将安全性协议应用于整个移动装置，已解决了移动装置网络安全性问题。两种方法对装置用户都是干扰性的，且降低了移动装置的功能性。完全独立的应用程序具有唯一用户接口且经设计以仅用于较窄的用途。独立应用程序允许移动装置用户执行有限的功能，且不与移动装置的完整能力集成。将安全性协议应用于整个移动装置的当前替代方案对移动装置上的任何个人数据带来风险。用户不喜欢此方法，因为他们的移动装置变为专用于单个用途——受保护网络，且无法用于个人事务。

【发明内容】

[0003]各种方面提供移动装置内的用于处理文档和进行安全活动的安全虚拟环境。所述方面方法产生安全应用程序环境，其中可使用文档加密将安全数据和文档隔离于移动装置上的未受保护数据，从而允许将安全性策略仅应用于所述安全应用程序环境。安全应用程序环境的产生允许移动装置用户接入和操纵任何移动装置上的安全数据，不仅是特定指定的安全装置，而不必保证移动装置上的所有数据的安全，同时为公司实体提供必要的文档安全性。
[0004]各种方面的方法和装置提供通过以下方式保证移动装置上的数据的安全:启动移动装置上的安全应用程序，使用安全应用程序对使用安全应用程序操纵的任何数据进行加密，以及以经加密形式将使用安全应用程序操纵的数据存储在移动装置上。
【专利附图】

【附图说明】
[0005]并入说明书中且构成说明书的一部分的附图图解说明本发明的示范性方面。连同上文给出的一般描述和下文给出的详细描述，附图用以阐释本发明的特征。
[0006]图1A到IC是根据各种方面的移动装置的模块的功能框图。
[0007]图2是适合于与各种实施例一起使用的无线网络的通信系统框图。
[0008]图3A和3B是网络的软件架构图。
[0009]图4A和4B是根据各种方面的存储器结构图。
[0010]图5是图解说明用于在移动装置上实施安全虚拟环境的方面方法的过程流程图。
[0011]图6A和6B是图解说明用于采用安全虚拟环境与在移动装置处接收的数据交互的方面方法的过程流程图。[0012]图7A和7B是根据两个方面的安全虚拟环境的程序元件的功能框图。
[0013]图8A到8C是采用安全虚拟环境的各种方面的安全性方法的系统架构图。
[0014]图9A到9C是采用安全虚拟环境的各种方面的安全性方法的系统架构图。
[0015]图1OA和IOB是体现安全虚拟环境的方面的移动装置的框图。
[0016]图1lA和IlB是体现安全虚拟环境的方面的移动装置的框图。
[0017]图12是 可提供到移动装置上的安全虚拟环境的公司策略的可能元素的示意图。
[0018]图13是用于在采用安全虚拟环境的移动装置上分类所接收移动应用程序的方面方法的过程流程图。
[0019]图14是在移动装置处接收的可能应用程序的示意图。
[0020]图15A和15B是在移动装置处接收的可能数据的示意图。
[0021]图16是用于将公司策略提供到移动装置的方面方法的过程流程图。
[0022]图17是用于更新移动装置上的受信任数据类型的方面方法的过程流程图。
[0023]图18是图解说明用于更新公司策略以从安全存储器移除数据类型的过程流程图。
[0024]图19是用于在公司策略更新之后从移动装置移除受信任应用程序的方面方法的过程流程图。
[0025]图20A和20B是用于在移动装置上进行可通过安全环境应用程序来引导的公司事件的方面方法的过程流程图。
[0026]图21是用于管理用户接口 U / I显示层级、安全虚拟环境与网络层级之间的交互的方面方法的过程流程图。
[0027]图22是用于在移动装置启动时启用安全虚拟环境的方面方法的过程流程图。
[0028]图23是用于对受信任应用程序准予接入而无需对所述应用程序的重复用户登入的方面方法的过程流程图。
[0029]图24是适合于与各种实施例一起使用的实例移动装置的组件图。
【具体实施方式】
[0030]将参考附图详细描述各种方面。只要可能，在附图中将始终使用相同参考标号来指代相同或相似部分。对特定实例和实施方案做出的参考是用于说明性目的，且既定不限制本发明或权利要求书的范围。
[0031]词语“示范性”本文用以表示“充当实例、例子或说明”。本文描述为“示范性”的任何实施方案不一定解释为比其它实施方案优选或有利。
[0032]如本文使用，术语“移动装置”指代以下各项中的任一者或全部:蜂窝式电话、个人电视接收器、个人数据助理(PDA)、掌上型计算机、笔记本计算机、个人计算机、无线电子邮件接收器和蜂窝式电话接收器(例如，BIackbcrry _和’1’!^0 ?装置)、具有多媒体因特网功能的蜂窝式电话(例如，Blackberry Storm ? )、具有多媒体功能的智能电话(例如，Android⑩和Apple iPhone ?+),以及包含可编程处理器、存储器、通信收发器和显不器的类似电子装置。
[0033]如本文使用，术语“公司实体”指代可能希望为移动装置设定安全性策略的任何商业、公司、政府、个人或其它实体。[0034]信息和网络安全性对于公司、服务提供者和政府是重要的。所有类型的数据从口令和电子邮件到文档和数据文件都需要保证安全。移动装置上的安全性需要由于移动装置经常丢失或失窃的事实而提高。各种方面提供移动装置内用于处理文档和进行保证文档安全的安全活动的安全虚拟环境，其使得能够使用装置用于不安全和个人使用。方面方法产生安全应用程序环境，其中通过加密和受控解密而将安全数据和文档隔离于未受保护数据，从而允许将安全性策略仅应用于安全应用程序环境。安全应用程序环境的产生允许移动装置用户接入和操纵任何移动装置上的安全数据，不仅是特定指定的安全装置，而不必保证移动装置上的所有数据的安全且同时为公司实体提供必要的文档安全性。
[0035]总体上，各种方面的方法和装置在移动装置上产生可远程管理的安全虚拟环境。此安全虚拟环境可经实施为应用程序、另一应用程序(例如，文字处理应用程序)内的模块，或移动装置上的装置操作系统的部分。当启动安全虚拟环境时，用户例如通过键入用户名、口令、安全密钥和/或生物统计数据来向安全虚拟环境验证他或她自己。一旦用户经过验证，安全虚拟环境便使得用户能够使用在安全虚拟环境内或结合安全虚拟环境操作的多种应用程序来接入、操纵、接收和存储安全文档和数据。安全虚拟环境通过在安全虚拟环境中应用数据加密/解密而将在安全虚拟环境中查看、操纵或产生的所有数据隔离于移动装置上的所有其它数据。装置上的受保护数据是以经加密格式存储的。当在安全虚拟环境中由经验证用户查看时，例如当应用程序打开受保护文档时，安全虚拟环境对数据进行解密。当用户关于数据结束时，安全虚拟环境对数据进行再加密以存储在移动装置上。以此方式，安全和不安全数据可驻留于移动装置上，因为安全数据将在未经存取时是加密的，且此数据可仅经由安全虚拟环境来存取。在移动装置丢失或失窃的情况下，安全数据受到保护，因为其在未使用时总是以经加密形式驻留。
[0036]在另一方面中，安全虚拟环境可用作移动装置与安全网络之间的通信网关。当安全虚拟环境启动且用户已经验证时，安全虚拟环境与任何通信网络、域或应用程序介接以将用户的凭证自动提供到那些网络、域或应用程序。通过用作用于安全接入的网关，用户无需单独地登入到其希望使用的每一网络、域或应用程序。此方面使得用户能够接入其安全公司电子邮件且在其移动装置上维持安全电子邮件系统数据(例如，消息、日历、联系人列表等等)，因为此数据在安全虚拟环境不在运行时将是加密的。经加密通信可由例如虚拟专用网络(VPN)应用程序等另一应用程序实现，或任选地也可由安全虚拟环境提供。
[0037]在另一方面中，安全虚拟环境可利用移动装置的处理器内的安全硬件区。许多移动装置使用特征在于经常实施为芯片组的经分段区域的安全硬件区的处理器，所述安全硬件区将特定安全性协议或加密仅应用于所述区域。安全虚拟环境可专门地在移动装置上的安全硬件区中运行，和/或专门地将数据存储到安全硬件区。在此方面中，安全虚拟环境可利用安全硬件区的应用程序接口(API)、指令、数据隔离和其它供应且在其内运行。
[0038]在另一方面中，安全虚拟环境提供或启用API /中介程序，其允许软件厂商配置其程序、应用程序或窗口小程序以与安全虚拟环境介接。此安全API /中介程序允许软件厂商产生可由安全虚拟环境“信任”的软件。这使得厂商能够提供允许用户在安全虚拟环境内享受任何受信任程序的完整功能性的应用程序。多个软件应用程序之间的此安全交互允许网络设定安全性协议，无论应用程序或应用程序运行于其上的移动装置的类型如何。
[0039]在一方面中，安全虚拟环境在启动时呈现安全虚拟桌面。此桌面可看上去且功能上类似于移动装置的标准桌面，但仅可为用户呈现由安全性设定应用的安全性协议所启用或支持的应用程序和功能。通过呈现近似类似的桌面，用户与移动装置的交互不更改，且将安全性协议应用于装置对于用户负担较小，因为他们不需要学习导览新的图形用户接口(GUI)。另外，用户可按意愿在安全虚拟桌面与标准桌面之间来回切换。
[0040]图1A到IC中展示经配置以呈现安全虚拟环境的移动装置的实例方面。图1A图解说明与移动装置106通信的不安全网络102和安全网络104。移动装置106与网络102和104中的每一者之间的通信可通过任何已知的数据通信链路，包含有线局域网(LAN)、因特网、蜂窝式网络、W1-F1、GSM和PCS，仅举几例。移动装置106可经配置有对用户提供不安全桌面110的移动装置操作系统108，以及在不安全桌面110内操作的安全虚拟环境112。来自不安全网络102的数据在不安全网络102与不安全桌面110之间流动。来自安全网络104的数据在安全网络104与安全虚拟环境112之间流动。因为安全虚拟环境112是在移动装置操作系统108的不安全桌面110内产生，所以来自安全网络104的经加密数据可通过移动装置操作系统108和不安全桌面110而到达安全虚拟环境112。然而，仅安全虚拟环境112能够对从安全网络104接收的数据进行解密。此外，一旦对安全数据的操纵结束，便在存储于装置存储器中之前对所述数据进行加密。以此方式，来自不安全网络102和安全网络104的数据经由加密而保持隔离。
[0041 ] 在任选方面中，移动装置106可配置有两个存储器部分:未经加密存储器114和经加密存储器116。存储器部分可为单个存储器的相异部分或可为单独的物理存储器装置。未经加密存储器114可与不安全桌面110通信。经加密存储器116可与安全虚拟环境112通信。以此方式，来自安全虚拟环境112的数据仅存储在经加密存储器116中，且来自不安全桌面110的数据仅存储在未经加密存储器114中。
[0042]无论安全数据是否存储在与不受保护数据相同的存储器中或所述两种类型的数据物理上分离，都只有安全虚拟环境112可解密和读取或加密和存储数据且与安全网络104通信。这确保安全数据在移动装置106上是一直受保护的。不安全桌面110可以用户熟悉的普通方式读取和写入不安全数据且与不安全网络102通信。
[0043]图1B图解说明类似于图1A的另一方面。在图1B中，移动装置106仅与不安全网络102通信。在此方面中，安全和不安全数据均可在移动装置106与不安全网络102之间流动。在此情形中，安全数据可经加密且囊封于包中以用于使用虚拟专用网络(VPN)或类似技术经由网络递送，以便保护安全数据。由移动装置106接收的数据传递到移动装置操作系统108和不安全桌面110。不安全数据可未经加密地发送和接收(即使其在发射期间由VPN加密)，且因此可在不安全桌面110中操纵。不安全桌面110可对移动装置106上的单个存储器114进行读取和写入数据。在不安全桌面110内可为解密/加密模块118，其仅允许经加密数据传递到不安全桌面110。解密/加密模块118可为安全虚拟环境112的经配置以加密和解密数据的子应用程序或程序元件。数据加密/解密模块118对进入安全虚拟环境112的数据进行解密，且对离开安全虚拟环境112的数据进行加密。解密/加密模块118因此充当网守，仅允许经加密且因此安全的数据由安全虚拟环境112保存。另外，解密/加密模块118用以对离开安全虚拟环境的所有数据进行加密。经加密数据可从不安全桌面110进入解密/加密模块118，在此所述数据经解密且传递到安全虚拟环境112。安全虚拟环境112可随后操纵安全数据，且将数据传递回到解密/加密模块118以在其离开安全虚拟环境之前经加密。经加密数据可从解密/加密模块118传递到不安全桌面110以存储在未经加密存储器114中或传递到不安全网络102。以此方式，安全和不安全数据可流过不安全网络102且存储在未经加密存储器114中，因为安全数据将总是在数据层级经加密，同时不在安全虚拟环境112中受操纵。安全数据在安全虚拟环境112之外的恒定加密保护了数据，无论移动装置106上的网络或存储器的性质如何。
[0044]图1C图解说明其中移动装置106具有两个操作系统的一方面,所述两个操作系统为不安全操作系统108和安全操作系统120。不安全操作系统108可与不安全网络102和未经加密存储器114通信。在此方面中，安全操作系统120可与安全虚拟环境112通信。安全虚拟环境1012充当网守，从而确保仅安全数据进入和退出安全操作系统120。安全虚拟环境112可与安全网络104、经加密存储器116和不安全操作系统108通信。安全虚拟环境112可向安全网络104发射数据或从其接收数据，且从经加密存储器116读取数据和向其写入数据。安全虚拟环境112可从不安全操作系统108接收数据。不安全数据可能未经加密且可仅由不安全操作系统108操纵。在接收时经加密的安全数据可经由未受保护网络1002在不安全操作系统1008处接收。如果经加密数据由不安全操作系统108接收，那么不安全操作系统108可将经加密数据传递到安全虚拟环境112。在安全虚拟环境112中经由安全网络104接收的安全数据可以经加密格式存储。安全虚拟环境112对从不安全操作系统108、经加密存储器或安全网络104接收的安全数据进行解密，且将经解密数据传递到安全操作系统120。在安全操作系统120内运行的应用程序可随后操纵经解密安全数据。来自在安全操作系统120内运行的应用程序的数据可传递到安全虚拟环境112以在发射到安全网络104或存储在经加密存储器116中之前加密。以此方式，安全虚拟环境112确保了在安全操作系统120之外安全数据总是经加密的。
[0045]图2图解说明适合于与各种方面一起使用的无线网络系统200。至少一个移动装置202和无线发射器/接收器204 —起构成无线数据网络206。使用无线数据网络206，数据可在移动装置202与无线小区塔或基站204之间无线地发射。移动装置202与无线小区塔或基站204之间的发射可通过任何蜂窝式网络，包含W1-F1、CDMA、TDMA, GSM、PCS、G_3、G-4、LTE或任一其它类型连接。无线网络206与连接到因特网210的路由器208通信。以此方式，数据可通过此项技术中众所周知的方法经由无线网络206以及经由路由器208在因特网210上从移动装置202发射到服务器212 /从服务器212发射到移动装置202。无线网络206和服务器212可为安全的或不安全的。虽然各个方面尤其有用于无线网络，但所述方面不限于无线网络且也可经由有线网络实施而没有对方法的改变。
[0046]图3A和3B分别图解说明服务器和移动装置的软件架构。图3A图解说明此项技术中众所周知的网络3000的软件架构。网络3000的软件架构包含服务器层级应用程序3002、客户端层级3004、中间件3006和硬件层3008。图3B图解说明采用一方面安全虚拟环境的移动装置3010的软件架构。所述层级包含应用程序层级3012、客户端层级3014、安全虚拟环境3020、中间件3016和硬件层3018。
[0047]图4A到4B图解说明可在各种方面中使用的不同实施例移动装置存储器结构。图4A图解说明在移动装置上包含单个未经加密存储器4000的实施例。在此实施例中，不安全数据4002和安全数据4004可存储在同一未经加密存储器4000中。安全数据4004是通过在数据层级经加密而受保护。因此，虽然未经加密存储器4000的总内容可无安全性或加密地存取，但安全数据4004将通过其独立的加密而保持受保护。
[0048]图4B图解说明具有两个部分的实施例移动装置存储器，所述两个部分为未经加密存储器4000和经加密存储器4006。在此实施例中，移动装置存储器可为经隔离为未经加密存储器部分4000和经加密存储器部分4006的单个物理存储器，或可为两个独立存储器结构。在此实施例中，安全数据4004在发送到经加密存储器4006之前在数据层级处加密，但因为经加密存储器4006对安全数据4004进一步加密而进一步受保护。仅安全数据4004发送到经加密存储器4006。不安全数据4002驻留在未经加密存储器4000中，且不安全数据4002或未经加密存储器4000可经受加密。在此实施例中，对安全数据4004提供双层安全性。如果由经加密存储器4006提供的第一层加密受损，那么作为安全数据4004的个别数据元素也可经独立地加密从而提供第二层安全性。
[0049]图5图解说明用于在移动装置上实施安全虚拟环境的实施例5000。此方法5000可通过以合适的处理器可执行指令配置处理器以执行方法的操作而在移动装置的处理器内实施。在框5002中，移动装置可接收用于激活安全虚拟环境的用户请求。此用户输入可呈现如下形式:用户触摸或点击移动装置桌面上的图标、下拉菜单或经由任何其它选择方法。在框5004中，实施安全虚拟环境的处理器提示用户提供验证输入。在操作中，可提示用户提供多种验证输入，包含用户ID、口令、生物统计数据、安全密钥或其任一组合。在框5006中，处理器接收用户请求的验证信息。在确定框5008中，实施安全虚拟环境的处理器将所提供的验证信息与存储在存储器中的验证信息进行比较。这可涉及将所提供的验证信息与存储在经授权用户表中的验证信息进行比较。可使用用于向计算装置验证个人的任何已知方法。如果验证信息是不可检验的(即，确定框5008= “否”)，那么在框5010中，可拒绝对安全虚拟环境的接入。作为框5010的部分，处理器可终止安全虚拟环境。而且，在一些实施方案中，可例如通过返回到步骤5004来对用户提供另一机会来验证他或她自己。在框5012处，可向未经验证用户呈现用户接口，其提供对除了安全虚拟环境唯一的那些应用程序之外的所有应用程序的接入。在框5014处，可允许用户存取存储在移动装置内的不受信任数据。
[0050]然而如果在框5008处，安全虚拟环境验证了用户(即，确定框5008= “是”)，那么在框5016处，安全虚拟环境对用户准予接入。在框5018处，安全虚拟环境启用由公司协议或用户设定视为受信任应用程序的那些应用程序。在框5020处，可向用户呈现仅显示受信任应用程序的用户接口。在框5022处，允许用户经由安全虚拟环境以受信任应用程序仅存取受信任数据。在框5024处，可将在安全虚拟环境中存取的受信任数据从其存储状态解密。在框5026处，用户以一个或一个以上受信任应用程序查看和操纵受信任数据。
[0051]在框5028处，受信任数据可在发射或存储之前由安全虚拟环境加密。以此方式，安全数据可不呈在安全虚拟环境的界限之外的未经加密形式。在框5030中，移动装置可接收退出安全虚拟环境的用户请求。此用户输入可呈现如下形式:用户触摸或点击移动装置桌面上的图标、下拉菜单或经由任何其它选择方法。另外，处理器可经配置以响应于某些经界定条件而自动退出安全环境，所述条件例如为无活动(例如，在阈值持续时间内未接收到用户输入)、装置进入休眠模式、装置进入或退出经界定地理边界(通过GPS或小区塔ID可确定)、装置经历损坏(例如，超过阈值的加速)或物理修改(例如，窃启密封的破坏)，或保证对安全数据的保护的其它指示。[0052]当实施安全虚拟环境的处理器接收到退出安全虚拟环境的用户请求时，处理器对任何开放受保护数据进行加密且关闭安全虚拟环境。在框5012处，可向用户呈现具有除了安全虚拟环境唯一的那些应用程序之外的所有应用程序的用户接口。在框5014处，可允许用户以移动装置存取不受信任数据。
[0053]图6A和6B图解说明用于使用安全虚拟环境与在移动装置处接收的数据交互的实施例6000a和6000b。方法6000a和6000b可通过以合适的处理器可执行指令配置处理器以执行方法的操作而在移动装置的处理器内实施。在图6A中在框6002中，可例如经由无线或有线通信链路在移动装置处接收数据。在确定框6004中，移动装置可确定数据是否受信任。如果数据不受信任(即，确定框6004= “否”)，那么在框6018处，可以标准应用程序仅操纵数据，且在框6016处，可以未经加密格式将经操纵数据存储在移动装置上。如果确定数据受信任(即，确定框6004= “是”)，那么在框6006处，可启动安全虚拟环境。在确定框6008处，安全虚拟环境可应用公司策略和/或用户设定且确定数据类型是否受允许。数据类型可包含文件格式(例如，.pdf或.jpg)或可执行文件，或数据可经分类为的任何其它类型。受允许数据类型可在受允许数据类型表中列出。如果数据类型不受公司策略和/或用户设定允许(即，确定框6008= “否”)，那么在框6024处，安全虚拟环境关闭，且可使用标准应用程序在框6018处操纵数据。在框6016处，可将经操纵数据存储在移动装置上。
[0054]如果数据类型受公司策略和/或用户设定允许(即，确定框6008= “是”)，那么在框6010处，安全虚拟环境对数据进行解密。在框6012处，可选择应用程序以操纵数据。在任选实施例中，所选应用程序可为特定经授权以在安全虚拟环境中操作的受信任应用程序。在框6012处对应用程序的选择可由移动装置的处理器独立地做出，由处理器响应于对移动装置的所接收用户输入而做出，或通过两者的某种组合来做出。当用户结束数据且关闭文件时，在框6014处，安全虚拟环境对经操纵数据进行加密，且在框6016处，可将经操纵数据存储在移动装置上。通过在框6014处对数据进行加密，不允许数据以未经加密形式处于安全虚拟环境之外。在仅查看安全数据且未指示对其进行保存(例如，通过数据中包含的用户输入或文档策略)的情况下，可仅从存储器删除安全数据，在此情况下将不执行框6014和6016处的操作。
[0055]图6B图解说明用于使用安全虚拟环境与在移动装置处接收的数据交互的替代实施例6000b。此方法6000b可通过给处理器配置合适的处理器可执行指令以执行方法的操作而在移动装置的处理器内实施。在图6B中，方法6000b进一步采用数据标头来将数据识别为安全的。在框6002处，如上文论述可在移动装置处接收数据。在确定框6020中，移动装置确定数据是否经加密。如果数据未经加密(即，确定框6020= “否”)，那么在框6018处，可以标准应用程序操纵数据。
[0056]如果确定数据经加密(即，确定框6020= “是”)，那么在框6006处，可启动安全虚拟环境。在确定框6022处，安全虚拟环境可尝试验证用户。这可通过提示用户提供例如口令、用户ID、安全密钥或生物统计数据或其任一组合等验证输入来完成。如果无法检验用户(即，确定框6022= “否”)，那么在框6024处，安全虚拟环境关闭，且在框6018处，可以标准应用程序操纵数据。在框6018处，可以对于安全虚拟环境之外的移动装置可用的任何方式操纵经加密数据，且可通过在安全虚拟环境之外的标准错误处置机制来解决与经加密数据的操纵相关的任何错误。[0057]如果用户经验证(即，确定框6022= “是”)，那么在框6026处，安全虚拟环境可对数据进行解密。在确定框6028处，可读取现在经解密数据标头，且安全虚拟环境可确定关于数据的受信任状态的信息。数据标头可含有受信任id、关于数据的文件格式的信息或任何其它信息。如果经解密数据标头展示数据不受信任(即，确定框6028= “否”)，那么在框6024处，安全虚拟环境关闭。在框6018处，可以标准应用程序操纵数据。在框6018处，可以在安全虚拟环境之外的移动装置可用的任何方式操纵经加密数据，且可通过在安全虚拟环境之外的标准错误处置机制来解决与经加密数据的操纵相关的任何错误。
[0058]如果经解密数据标头展示数据受信任(S卩，确定框6028= “是”)，那么在确定框6008处，安全虚拟环境应用公司策略和/或用户设定且确定数据类型是否受允许，如上文参见图6A所论述。如果数据类型不受公司策略和/或用户设定允许(即，确定框6008= “否”)，那么在框6024处，安全虚拟环境关闭，且可以标准应用程序在框6018处操纵数据。在框6018处，可以在安全虚拟环境之外的移动装置可用的任何方式操纵经加密数据，且可通过在安全虚拟环境之外的标准错误处置机制来解决与经加密数据的操纵相关的任何错误。
[0059]在框6008处，如果数据类型可受公司策略和/或用户设定允许(即，确定框6008= “是”)，那么在框6010处，安全虚拟环境可对数据进行解密。
[0060]在框6012处，可选择应用程序以操纵受信任和经解密数据。在任选实施例中，所选应用程序可为特定经授权以在安全虚拟环境中操作的受信任应用程序。在框6012处应用程序的选择可由移动装置的处理器独立地做出，由处理器响应于对移动装置的所接收用户输入而做出，或通过两者的某种组合来做出。一旦用户关闭文件，在框6014处，安全虚拟环境可对经操纵数据进行加密，且在框6016处，可将经操纵数据存储在移动装置上。通过在框6014处对数据进行加密，可不允许数据以未经加密形式处于安全虚拟环境之外。又，如果没有安全数据将保存到装置，那么可不执行框6014和6016的操作。
[0061]数据标头可未经加密，而数据包的其余部分可经加密。在此实施例中，处理器可确定包是否含有任何经加密数据。如果存在任何经加密数据，那么可将数据传递到安全虚拟环境以用于显示和操纵。
[0062]图7A和7B图解说明安全虚拟环境7000a和7000b的两个实施例的软件架构元件和处理模块。图7A图解说明安全虚拟环境7000a实施例，其含有安全性策略模块7002、安全密钥/ 口令提供模块7004、受信任数据询问模块7006、加密/解密模块7008、安全性与存储管理模块7010、虚拟专用网络(VPN)客户端模块7012、安全虚拟环境接入验证模块7014，以及安全API /中介程序模块7016。模块7002到7016中的每一者可为应用程序、应用程序内的功能模块、API或到另一应用程序(例如，VPN客户端)的接口。
[0063]安全性策略模块7002是含有或界定由安全虚拟环境7000a实施以保护移动装置上的数据的各种各样策略的模块。安全性策略模块7002可包含受允许文件类型的列表、数据保存约束、网络接入约束、应用程序约束以及任何其它策略设定，其可为对保护移动装置上的安全数据为必要的。
[0064]安全密钥/ 口令提供模块7004可允许安全虚拟环境7000a将安全密钥和口令自动地提供到安全应用程序和安全网络。以此方式，一旦用户已登录到安全虚拟环境7000a且由安全虚拟环境验证，用户便无需登入或将密钥或口令提供到以安全虚拟环境接入的其它安全应用程序或网络。这是因为安全密钥/ 口令提供模块7004可自动地提供所需的验证信息。
[0065]受信任数据询问模块7006可为安全虚拟环境7000a提供询问所接收数据以确定数据是否为受信任数据的能力。
[0066]加密/解密模块7008可对由安全虚拟环境7000a接收的数据进行解密，且可对由安全虚拟环境7000a发射或存储的数据进行加密。
[0067]安全API /中介程序模块7016可允许在安全策略模块7002允许的情况下将受信任应用程序添加到安全虚拟环境7000a。
[0068]图7B展示具有与上文参见图7A描述的元件相同的元件的实施例,其中添加了策略管理器API /中介程序模块7018。策略管理器API /中介程序模块7018可允许对安全性策略模块7002的更新和修正由安全虚拟环境7000b接收。此实施例可使得公司实体能够远程地更新或改变移动装置上的安全性策略而不必具有对移动装置的直接物理接入。
[0069]在各种实施例中，可在具有多个操作系统或单个操作系统的移动装置上提供安全虚拟环境。图9A到9C图解说明安全虚拟环境的替代实施例，其中移动装置具备两个操作系统:安全操作系统和不安全操作系统。图1OA到IOC图解说明安全虚拟环境的替代实施例，其中移动装置具备单个操作系统。
[0070]图8A到SC图解说明安全虚拟环境的替代实施例，其中移动装置具备安全操作系统和不安全操作系统。参见图8A，总体系统架构9000a包含三个区域:不安全区域9002、安全区域9004和密钥架构9006。不安全区域9002表示其中安全性协议不适用的不受保护区域。安全区域9004表示其中安全性协议适用的受保护区域。密钥架构9006表示其中移动装置安全性密钥操作的区域。
[0071]系统9000a的软件层级可分解为客户端层级9012、安全虚拟环境9014、中间件层级9016和硬件层级9018。
[0072]客户端层级9012软件包含移动或标准应用程序9022以及受信任移动应用程序9024(也简称为受信任应用程序)。受信任移动应用程序9024可为由公司实体特定提供的应用程序，所述应用程序经识别为满足安全性要求且经授权以处置公司实体数据并在公司实体的网络和设备上操作。受信任移动应用程序9024可为针对公司实体设计的特定应用程序或公司实体先前已确立为满足安全性要求和操作性要求的公共应用程序。
[0073]安全虚拟区域9014可为在移动装置上建立的软件层级或运行时间环境。安全虚拟区域9014可使用单个应用程序或应用程序群组来建立。安全虚拟环境9014可含有安全API /中介程序9026，其充当用于安全虚拟环境9014的网守且控制从不安全区域9002接收的数据和移动应用程序9022的操作。
[0074]安全API /中介程序9026可允许应用程序设计者产生可在安全虚拟环境9014中操作的移动应用程序9022。以此方式，应用程序设计者无需直接与公司实体交互以产生应用程序，且将应用程序提供到移动装置。应用程序设计者可产生移动应用程序9022，其满足独立于公司实体的安全虚拟环境9014的安全性要求。
[0075]移动装置用户可尝试下载或接入存储在不安全区域中的移动应用程序9022。作为响应，安全API /中介程序9026可确定移动应用程序9022是否满足针对在移动装置上建立的特定安全虚拟环境9014的安全性和操作性要求。如果移动应用程序9022满足安全性和操作性要求，那么可允许移动应用程序9022在安全虚拟环境9014中操作且将其提供到受信任移动应用程序环境9028。受信任移动应用程序环境9028可为安全虚拟环境9014的包含CTI的区域，其中经授权应用程序操作。如果移动应用程序9022不满足安全API /中介程序9026的要求，那么可不允许移动应用程序9022进一步与安全虚拟环境9014交互。
[0076]另外，安全虚拟环境可包含安全性与存储管理系统9030，其与受信任移动应用程序环境9028和密钥管理系统9034交互以提供必要的安全性与存储能力。
[0077]不安全操作系统9032可在移动装置上提供于不安全区域9002中，且不安全存储器9036可提供于不安全区域9002中。不满足安全API /中介程序9026的要求的移动应用程序9022可仅在不安全操作系统9032中操作且可仅对不安全存储器9036写入或读取数据。
[0078]在移动装置的安全区域9004中提供的可为安全操作系统9044和安全存储器9038。受[目任移动应用程序9024可提供到受:/[目任移动应用程序环境9028。受[目任移动应用程序9024或满足安全API /中介程序9026的要求的移动应用程序9022可通过受信任移动应用程序环境9028提供到安全操作系统9044。仅在受信任移动应用程序环境9028中的应用程序与安全操作系统9044和安全存储器9038交互。在图8A中图解说明的实施例中，不安全存储器9036、安全存储器9038和密钥供应系统9040驻留在硬件层级9018处。
[0079]图8B图解说明类似于上文参见图8A描述的另一实施例系统架构9000b，其中在安全虚拟环境中添加了策略管理器API /中介程序9042。策略管理器API /中介程序9042可与安全性与存储管理系统9030和受信任移动应用程序环境9028通信。通过受信任移动应用程序环境9028或安全性与存储管理系统9030，策略管理器API /中介程序9042可从公司实体接收公司策略更新。
[0080]策略管理器API /中介程序9042可使得公司实体能够在移动装置的安全虚拟环境9014和安全区域9004中更新安全性协议，更新操作约束，且执行各种功能。策略管理器API /中介程序9042给予公司实体远程地更新和控制移动装置的安全虚拟环境9014和安全区域9004的能力。
[0081]图8C图解说明包含类似于上文相对于图8B描述的模块的另一实施例架构9000c，其包含策略管理器API /中介程序9042，但在移动装置上具有单个存储器9036。在此实施例中，安全操作系统9044和不安全操作系统9032均在不安全存储器9036上存储和读取数据。安全虚拟环境9014中的数据在未由受信任移动应用程序环境9028使用时可以经加密形式存储。安全虚拟环境9014在数据层级的加密的连续应用确保了安全数据可存储在不安全存储器9036中，因为安全数据自身将在数据层级处加密。
[0082]图9A到9C图解说明安全虚拟环境的替代实施例，其中移动装置配置有单个操作系统。参见图9A，总体系统架构IOOOa可包含三个区域:不安全区域1002、安全区域1004和密钥架构1006。不安全区域1002表示其中安全性协议不适用的不受保护区域。安全区域1004表示其中安全性协议适用的受保护区域。密钥架构1006表示其中移动装置安全性密钥操作的区域。
[0083]系统IOOOa的软件层级可分解为客户端层级1012、安全虚拟环境1014、中间件层级1016和硬件层级1018。
[0084]类似于上文论述的实施例，客户端层级1012软件包含移动或标准应用程序1022以及受信任移动应用程序1024 (也简称为受信任应用程序)。受信任移动应用程序1024可为由公司实体特定提供的应用程序，所述应用程序可经识别为满足安全性要求且经授权以处置公司实体数据并在公司实体的网络和设备上操作。受信任移动应用程序1024可为针对公司实体设计的特定应用程序或公司实体先前已确立为满足安全性要求和操作性要求的公共应用程序。
[0085]类似于上文论述的实施例，安全虚拟区域1014可为在移动装置上建立的软件层级或运行时间环境。安全虚拟区域1014可使用单个应用程序或应用程序群组来建立。安全虚拟环境1014可含有安全API /中介程序1026，其充当用于安全虚拟环境1014的网守且控制从不安全区域1002接收的数据和移动应用程序1022的操作。
[0086]类似于上文论述的实施例，安全API /中介程序1026可允许应用程序设计者产生可在安全虚拟环境1014中操作的移动应用程序1022。以此方式，应用程序设计者无需直接与公司实体交互以产生应用程序，且将应用程序提供到移动装置。应用程序设计者可产生移动应用程序1022，其满足独立于公司实体的安全虚拟环境1014的安全性要求。
[0087]类似于上文论述的实施例，移动装置用户可尝试下载或接入存储在不安全区域中的移动应用程序1022。作为响应，安全API /中介程序1026可确定移动应用程序1022是否满足针对在移动装置上建立的特定安全虚拟环境1014的安全性和操作性要求。如果移动应用程序1022满足安全性和操作性要求，那么可允许移动应用程序1022在安全虚拟环境1014中操作且将其提供到受信任移动应用程序环境1028。受信任移动应用程序环境1028可为安全虚拟环境1014的包含GUI的区域，其中经授权应用程序操作。如果移动应用程序1022不满足安全API /中介程序1026的要求，那么可不允许移动应用程序1022进一步与安全虚拟环境1014交互。
[0088]另外，安全虚拟环境可包含安全性与存储管理系统1030，其与受信任移动应用程序环境1028和密钥管理系统1034交互以提供必要的安全性与存储能力。
[0089]操作系统1032可在移动装置上提供于不安全区域1002和安全区域1004两者中。单个操作系统1032通过受信任移动应用程序环境1028和不安全区域1002中的移动应用程序1022与安全虚拟环境1032交互。操作系统1032可经配置以使得不满足安全API /中介程序1026的要求的移动应用程序1022可仅在操作系统1032的不安全区域1002中起作用且可仅对不安全存储器1036写入或读取数据。操作系统1032还可在移动装置的安全区域1004中操作且对安全存储器1038读取和写入数据。
[0090]受信任移动应用程序1024可提供到受信任移动应用程序环境1028。受信任移动应用程序1024或满足安全API /中介程序1026的要求的移动应用程序1022可通过受信任移动应用程序环境1028提供到操作系统1044。仅在受信任移动应用程序环境1028中的应用程序通过操作系统1032与安全存储器1038交互。在图9A中图解说明的实施例中，不安全存储器1036、安全存储器1038和密钥供应系统1040驻留在硬件层级1018处。
[0091]图9B图解说明包含类似于上文参见图9A描述的模块的另一实施例系统架构1000b，其中在安全虚拟环境中添加了策略管理器API /中介程序1042。策略管理器API /中介程序1042可与安全性与存储管理系统1030和受信任移动应用程序环境1028通信。通过受信任移动应用程序环境1028或安全性与存储管理系统1030，策略管理器API /中介程序1042可从公司实体接收公司策略更新。[0092]策略管理器API /中介程序1042可使得公司实体能够在移动装置的安全虚拟环境1014和安全区域1004中更新安全性协议，更新操作约束，且执行各种功能。策略管理器API /中介程序1042给予公司实体远程地更新和控制移动装置的安全虚拟环境1014和安全区域1004的能力。
[0093]图9C图解说明包含类似于上文相对于图9B描述的模块的系统架构IOOOc的另一实施例，但在移动装置上具有单个存储器1036。另外，在此方面中，操作系统1032完全驻留于不安全区域1002中。在此实施例中，来自受信任移动应用程序环境1028的数据和所有其它数据传递到单个不安全存储器1036。安全虚拟环境1014中的所有数据在未由受信任移动应用程序环境1028使用时可以经加密形式存储。安全虚拟环境1014在数据层级的加密的连续应用确保了安全数据可存储在不安全存储器1036中，因为安全数据自身将在数据层级处加密。
[0094]图1OA和IOB图解说明体现安全虚拟环境的方面的移动装置1100的实例显示。图1OA图解说明在不安全模式中操作的移动装置1100显示。移动装置1100显示包含状态条1102和触摸屏1104。触摸屏1104展示经配置以显示图标1106到1128的桌面，所述图标表示在不安全模式中可用的可用移动应用程序1106、1108、1110、1112、1114、1116、1118、1120、1122、1124、1126和1128。在触摸屏1104的底部展示用于安全虚拟环境1130的图标。用户对安全虚拟环境图标1130的选择可经配置以启动安全虚拟环境。在安全虚拟环境中，仅受信任移动应用程序可提供给用户。
[0095]图1OB图解说明在安全虚拟环境模式中操作的移动装置1100的实施例显示。触摸屏1104包含条幅1132，其指示移动装置正在安全虚拟环境中操作。触摸屏1104还仅显示用于可经授权以在安全虚拟环境中操作的受信任移动应用程序1134、1128、1136、1138、1124和1120的图标。退出(EXIT)安全虚拟环境图标1140出现在触摸屏1104的底部，且可链接到允许用户退出安全虚拟环境的功能性。如在图1OA和图1OB中在显示1104中存在的图标的比较之间可见，在一些应用中在移动装置上可能够在不安全和安全环境两者中操作。举例来说，将电子邮件应用程序1124和日历应用程序1120图解说明为存在于不安全(图10A)和安全环境(图10B)两者中。
[0096]图1lA和IlB图解说明体现安全虚拟环境的方面的移动装置1200的实例。图1lA图解说明在不安全模式中操作的移动装置1200。移动装置1200显示包含状态条1202和触摸屏1204。触摸屏1204展示经配置以显示图标1206到1228的桌面,所述图标表示在不安全模式中可用的可用移动应用程序1206、1208、1210、1212、1214、1216、1218、1220、1222、1224、1226和1228。在触摸屏1204的底部展示用于激活安全虚拟环境1230的图标。用户对女全虚拟环境图标1230的选择启动女全虚拟环境。
[0097]图1lB图解说明在安全虚拟环境模式中操作的移动装置1200的实施例显示。触摸屏1204包含条幅1232，其指示移动装置正在安全虚拟环境中操作。显示1204还仅显示用于受信任移动应用程序1234、1236和1238的图标。退出(EXIT)安全虚拟环境图标1240出现在显示1204的底部，且可链接到使得用户能够退出安全虚拟环境的功能性。在图1lA和图1lB中的触摸屏1204中图解说明，在一个方面中，在移动装置上在安全虚拟环境中可用的应用程序可区别于在不安全模式中可用的应用程序。客户端电子邮件应用程序1236可为与图1lA中所示的电子邮件应用程序1224分开的唯一应用程序。在此方面中，安全操作环境和经特定设计的安全客户端应用程序可呈现到图1lB中的移动装置1204。
[0098]图12是可提供到移动装置上的安全虚拟环境的公司安全性策略1300的可能元素的示意图。公司安全性策略1302可包含受允许文件类型的指定1304、口令要求1306、用户等级约束1308、特定受允许应用程序的指定1310、数据操纵约束1312、锁定设定1314、数据存储/传送约束1316以及数据删除方案1318。
[0099]公司安全性策略1302可允许公司实体设定和控制移动装置上的安全区域的安全性要求。
[0100]与受允许文件类型1304相关联的策略可为在移动装置上设定的与文件类型相关的任何安全性或操作控制。这些可包含将文件类型(例如，.jpg)指定为受允许在安全虚拟环境中操作，同时防止其它文件类型(例如，.exe)导入到安全虚拟环境中。
[0101]与口令要求1306相关联的策略可为在移动装置上设定的与口令相关的任何安全性或操作控制。这些可包含设定口令长度或字符要求、口令更新要求或类似者。
[0102]关于用户等级约束1312的策略可针对关于不同等级的用户对应用程序、网络、移动装置或任何其它接入等级相关的区域或装置的不同接入层级的任何策略。用户等级约束1312可包含将对网络的接入约束于仅经指定具有最高用户等级的用户的移动装置。
[0103]与受允许应用程序1310相关的策略可包含针对在移动装置和/或安全虚拟环境上或与其一起操作的应用程序的任何方面的策略。与受允许应用程序相关的策略可包含防止某些应用程序或应用程序类型的下载的策略，包含防止受信任应用程序的下载或使用。
[0104]与数据操纵约束1312相关的策略可包含控制数据操纵的任一方面的安全性或操作策略。与数据操纵1312相关的策略可包含防止某些应用程序内的数据类型或应用程序的打开的策略，或其它数据操纵约束。
[0105]与锁定设定1314相关的策略可调节锁定设定1314，例如在移动装置经检测为空闲之后安全虚拟环境可关闭多久，或在安全虚拟环境可永久被锁定接入之前可允许对安全虚拟环境的多少次不正确的登入尝试。而且，如上文论述，策略还可识别会触发安全虚拟环境的自动终止以及所有安全数据的加密或删除的条件或事件。
[0106]与数据存储/传送约束1316相关的策略可包含与数据处置或传送相关的任何策略，包含防止文件保存在安全虚拟环境中或约束移动装置之间的数据传送。
[0107]与数据删除方案1318相关的策略可包含界定何时应从移动装置自动删除数据的策略，或致使安全虚拟环境在一设定时间周期之后删除存储在安全存储器中的具有某一年龄的所有数据的用于安全虚拟环境的设定。
[0108]图13图解说明用于在采用安全虚拟环境的移动装置上分类所接收移动应用程序的实施例方法1400。方法1400可通过以合适的处理器可执行指令配置处理器以执行方法的操作而在移动装置的处理器内实施。在框1402中，可在移动装置处接收应用程序。应用程序可从安全或不安全网络连接接收。在框1404中，安全API /中介程序可询问所接收应用程序。在确定框1406中，安全API /中介程序可确定应用程序是否是受信任应用程序。如果应用程序是不受信任的(即，确定框1406= “否”)，那么在框1408中，应用程序可经存储且经配置以在不安全环境中运行。如果应用程序经确定为受信任的(即，确定框1406= “是”)，那么安全API /中介程序可在确定框1410中确定应用程序是否可由实施于移动装置上的公司策略允许。如果应用程序不受公司策略允许(即，确定框1410= “否”)，那么在框1408中，应用程序可经存储且经配置以在不安全环境中运行。如果应用程序受公司策略允许(即，确定框1410= “是”)，那么在框1412中，应用程序可经存储且经配置以在安全虚拟环境中运行。在一些实施例中，由公司策略允许的应用程序可经配置以在安全和不安全环境两者中运行(即，执行框1408和1412两者的操作)。
[0109]图14是在移动装置处接收的可能应用程序1500的示意图。应用程序1500可包含应用程序标头1502，所述应用程序标头包含受信任ID1504。受信任ID1504可用作用于识别应用程序1500能够且可能受允许在安全虚拟环境中操作的凭证。应用程序代码1506可与应用程序标头1502分离。以此方式，可读取应用程序标头1502而不需要操纵实际应用程序代码1506。采用安全API /中介程序的移动装置可读取应用程序的标头，且安全API /中介程序可通过分析受信任ID1504确定应用程序1500是否受信任。另外,受信任ID1504或来自应用程序标头1502的其它信息可由安全API /中介程序使用以确定应用程序是否可由当前公司策略允许。
[0110]图15A和15B图解说明两个实施例数据结构1600a和1600b。图15A展示由包含受信任ID1604的未经加密数据标头1602组成的数据1600a。在此方面中，数据结构1600a可由受信任ID1604识别为受信任而无任何解密是必要的，因为未经加密数据标头1602可由具有或不具有加密/解密能力的任何应用程序读取。受信任ID1604用作用于识别数据1600a能够且可能受允许在安全虚拟环境中操作的凭证。
[0111]图15B图解说明类似于上文参见图15A描述的实施例数据结构1600b，不同的是数据结构1600b具有经加密数据标头1610。经加密数据标头1610包含用作用于识别数据1600b能够且可能受允许在安全虚拟环境中操作的凭证的受信任ID1604。在此方面中，经加密数据标头1610提供额外安全性层，从而确保可在数据层级处加密和保护数据1600b的整体。
[0112]图16图解说明用于在移动装置中提供公司策略的实施例方法1700。此方法1700可通过以合适的处理器可执行指令配置处理器以执行方法的操作而在移动装置的处理器内实施。在框1702中，可在移动装置处接收公司策略更新。公司策略更新可更新在移动装置上应用的安全性策略的各种方面，包含:受允许文件类型、口令要求、用户层级约束、受允许应用程序、数据操纵约束、锁定设定、数据存储/传送约束，以及数据删除方案。公司策略更新可经由安全或不安全网络接收。
[0113]在框1704处，可更新安全虚拟环境以应用在框1702接收的公司策略。在框1706中，可更新受允许的受信任应用程序列表。受允许的受信任应用程序列表可为可由公司策略允许在建立于移动装置上的安全虚拟环境中操作的受信任应用程序的列表或表。
[0114]在框1708中，可扫描移动装置未受保护存储器是否有受信任应用程序。此扫描可由安全虚拟环境或由移动装置的其它方面执行。在确定框1710中，实施安全虚拟环境的处理器可确定是否在不安全存储器中发现任何受信任应用程序。如果没有发现受信任应用程序驻留在未受保护存储器上(即，确定框1710= “否”)，那么在框1712处可不进行动作。
[0115]如果在未受保护存储器中发现受信任应用程序(即，确定框1710= “是”)，那么在确定框1714处，实施安全虚拟环境的处理器可确定任何发现的受信任应用程序是否由经更新公司策略允许。实施安全虚拟环境的处理器可将在不安全存储器上发现的任何受信任应用程序的受信任ID或其它属性与受允许的受信任应用程序列表进行比较。如果受信任应用程序未受公司策略允许(即，确定框1714= “否”)，那么在框1712处可不进行动作。
[0116]如果任何受信任应用程序受公司策略允许(S卩，确定框1714= “是”)，那么在框1716处，可将应用程序从移动装置的未受保护存储器移动到安全存储器。在又一实施例中，在框1718处，也可将与移动到移动装置的安全存储器的任何受信任应用程序相关联的数据移动到安全存储器。
[0117]图17图解说明用于在移动装置上更新受信任数据类型的实施例方法1800。此方法1800可通过给处理器配置合适的处理器可执行指令以执行方法的操作而在移动装置的处理器内实施。在框1802处，可在移动装置处接收公司策略更新。在此方面中，公司策略更新包含受允许的受信任数据类型的更新。公司策略更新可经由安全或不安全网络接收。
[0118]在框1804中，可更新安全虚拟环境以应用经更新公司策略。在框1806中，可以经更新公司策略来更新受允许的受信任数据类型。这可包含更新可在安全虚拟环境内起作用的受允许的受信任数据类型的列表或表。
[0119]在框1808处，可扫描未受保护存储器是否有受信任数据类型。这可由安全虚拟环境或由移动装置的其它方面执行。在确定框1810中，实施安全虚拟环境的处理器可确定是否在未受保护存储器中发现受信任数据类型。如果未发现受信任数据类型(即，确定框1810= “否”)，那么在框1812中可不进行动作。
[0120]如果发现受信任数据类型(即，确定框1810= “是”)，那么在确定框1814处，可将发现的受信任数据与经更新公司策略进行比较以确定受信任数据类型是否受允许。如果受信任数据类型未受经更新公司策略允许(即，确定框1814= “否”)，那么在框1812处可不进行动作。在又一实施例中，如果受信任数据类型未受经更新公司策略允许(即，确定框1814= “否”)，那么可删除受信任数据类型。
[0121]如果受信任数据类型受经更新公司策略允许(即，确定框1814= “是”)，那么在框1816中可将受信任数据类型移动到安全存储器。
[0122]图18图解说明用于更新公司策略以从安全存储器移除数据类型的实施例方法1900。此方法1900可通过以合适的处理器可执行指令配置处理器以执行方法的操作而在移动装置的处理器内实施。在框1902处，可在移动装置处接收公司策略更新。在此实施例中，公司策略更新包含受允许的受信任数据类型的更新。公司策略更新可经由安全或不安全网络接收。
[0123]在框1904中，可更新安全虚拟环境以应用经更新公司策略。在框1906中，可以经更新公司策略来更新受允许的受信任数据类型。这可包含更新可在安全虚拟环境中起作用的受允许的受信任数据类型的列表或表。在此实施例中，受允许的受信任数据类型表可通过移除先前受允许的受信任数据类型来更新。公司实体的策略在安全虚拟环境中不再授权这些现在不受允许的数据类型。
[0124]在框1908处，可扫描安全存储器是否有不受允许的数据类型。所述扫描可由安全虚拟环境或由移动装置的其它方面进行。在确定框1910中，实施安全虚拟环境的处理器可确定在安全存储器上是否存在任何不受允许的数据类型。如果在安全存储器上未发现不受允许的数据类型(即，确定框1910= “否”)，那么在框1912处可不进行动作。
[0125]如果在安全存储器上发现不受允许的数据类型(即，决策框1910= “是”)，那么在框1914处可从安全存储器删除不受允许的数据类型。在又一实施例中，在框1916处，安全虚拟环境可产生删除报告。此删除报告可发送到公司实体或存储在移动装置上。删除报告可包含关于所删除数据的类型、所删除数据的数目或大小、删除日期和时间的信息，以及与数据删除相关的其它信息。
[0126]图19图解说明用于在公司策略更新之后从移动装置移除受信任应用程序的实施例方法2000。此方法2000可通过以合适的处理器可执行指令配置处理器以执行方法的操作而在移动装置的处理器内实施。在框2002处，可在移动装置处接收公司策略更新。公司策略更新可经由安全或不安全网络接收。在此实施例中，公司策略更新包含受允许的受信任应用程序的更新。
[0127]在框2004中，可更新安全虚拟环境以应用经更新公司策略。在框2006中，可以经更新公司策略来更新受允许的受信任应用程序列表。这可包含更新可在安全虚拟环境中起作用的受允许的受信任应用程序的列表或表。在此方面中，受允许的受信任应用程序列表可通过替换任何先前受允许的受信任应用程序列表来更新。公司实体的策略在安全虚拟环境中可不再授权新不受允许的受信任应用程序。
[0128]在框2008处，可扫描安全存储器是否有不受允许的受信任应用程序。所述扫描可由安全虚拟环境或由移动装置的其它方面进行。在确定框2010中，实施安全虚拟环境的处理器可确定是否有任何不受允许的受信任应用程序存储在安全存储器上。如果未发现不受允许的受信任应用程序存储在安全存储器上(即，决策框2010= “否”)，那么在框2012处可不进行动作。
[0129]如果发现不受 允许的受信任应用程序存储在安全存储器上(即，决策框201(^‘是”)，那么在确定框2014处实施安全虚拟环境的处理器可确定是否删除不受允许的受信任应用程序。删除不受允许的受信任应用程序的确定可通过公司策略或基于从用户接收的输入来做出。如果确定是不删除不受允许的受信任应用程序(即，确定框2014#否”)，那么在框2012处可不进行动作。如果确定是删除不受允许的受信任应用程序(即，确定框2014= “是”)，那么在框2016处可从安全存储器删除不受允许的受信任应用程序。在又一实施例中，在框2018处，安全虚拟环境可产生删除报告。所述删除报告可发送到公司实体或存储在移动装置上。删除报告可包含关于所删除应用程序的类型、所删除应用程序的数目或大小、删除时间和日期的信息，以及与删除相关的其它信息。
[0130]图20A到20B图解说明用于在移动装置上进行可通过安全虚拟环境来引导的公司事件的替代实施例方法2100a和2100b。图20A图解说明用于进行将目录命令提供到移动装置的公司事件的实施例2100a。目录命令可将安全虚拟环境引导到移动装置上的目录项目。作为实例，E发现请求可要求公司实体提供关于移动装置的信息。为了满足E发现请求的要求，公司实体可使用公司事件，例如目录命令。
[0131]此方法2100a可通过以合适的处理器可执行指令配置处理器以执行方法的操作而在移动装置的处理器内实施。在框2102中，安全虚拟环境可接收公司实体目录命令。在框2106中，实施安全虚拟环境的处理器可对驻留在安全存储器中和/或与安全虚拟环境相关联的所有应用程序和数据进行编目。在框2106中，实施安全虚拟环境的处理器产生可发送到公司实体的目录报告。目录报告可包含关于安全虚拟存储器中和/或与安全虚拟环境相关联的数据的特征的信息。目录报告可经由安全或不安全网络发送。在又一实施例中，在框2108中，可锁定安全虚拟环境。安全虚拟环境的锁定可由于公司目录命令中含有的指令而发生。公司实体可使电话锁定以便保留与E发现请求相关的数据。在又一方面中，在框2110中，移动装置上的任何安全存储器的内容可由实施安全虚拟环境的处理器复制且响应于目录命令而发送到公司实体。
[0132]图20B图解说明用于进行在移动装置经报告失窃、出售或雇员终止之后保证移动装置安全的公司事件的实施例方法2100b。如果移动装置向公司实体报告为失窃、移动装置出售或雇员终止，那么公司实体可能希望确保对移动装置上的公司数据的保护。这三种情景表示其中公司数据需要从移动装置移除的共同情形，但其中将移除数据的任何情形都可能采用方法2100b。
[0133]此方法2100b可通过以合适的处理器可执行指令配置处理器以执行方法的操作而在移动装置的处理器内实施。在框2114中，实施安全虚拟环境的处理器可接收公司删除命令。在框2116中，实施安全虚拟环境的处理器可擦除移动装置上的所有安全数据。安全数据可包含受信任应用程序或受信任数据和安全存储器的任何内容。可使用用于有效地从存储器擦除数据的已知方法。在框2120中，可永久地锁定、停用和/或从移动装置删除安全虚拟环境。
[0134]图21图解说明用于管理用户接口、安全虚拟环境与通信网络之间的交互的实施例方法2200。方法2200可通过以合适的处理器可执行指令配置处理器以执行方法的操作而在移动装置的处理器和网络服务器的处理器内实施。在标记为U / 1(用户接口)显示层级与安全虚拟环境的列中的操作可在移动装置的处理器内实施，且在标记为通信网络的列中的操作可在例如处于提供上文所述公司策略的组织的控制下的企业服务器等网络服务器的处理器内实施。
[0135]在框2202中，移动装置可接收用于激活安全虚拟环境的用户请求。此用户输入可呈现如下形式:用户触摸或点击移动装置显示器上的图标、下拉菜单或经由任何其它选择方法。在框2204中，安全虚拟环境初始化。作为安全虚拟环境的初始化的部分，在框2206处，安全虚拟环境可产生用户验证提示(例如，口令输入窗)，其传递到用户接口显示再现模块。
[0136]在框2208处，用户接口显示层级可使用用户验证提示来在显示器上呈现提示且等待验证输入。所述提示可呈对话框、弹出窗的形式或任何其它形式。在操作中，可提示用户提供多种验证输入，包含用户ID、口令、对生物统计传感器的提交或其任一组合。在框2210处，用户接口接收用户验证输入且将用户验证输入传递到安全虚拟环境。
[0137]在框2212处，安全虚拟环境使用所接收验证输入检验用户。基于所述检验，在框2214中可准予对安全虚拟环境的接入。在框2216处，可在显示器上呈现安全虚拟环境。
[0138]在框2218中，移动装置可经由用户接口接收指示基于网络的应用程序的选择的用户输入。在框2220处，安全虚拟环境可产生网络接入请求。在框2222处，可经由移动装置的通信层将网络接入请求传送到通信网络。由于此些通信可使用任何已知数据通信硬件和协议，因此不展示或进一步描述与建立通信链路相关联的内部操作和消息接发。在框2222中接收到网络接入请求之后，通信网络(即，耦合到网络的服务器)可在框2224处将验证请求发送回到移动装置。
[0139]安全虚拟环境可在框2226中接收验证请求。在框2228中，安全虚拟环境可在通信网络上将用于相关联网络中的用户的用户验证包发送回到请求的服务器。在一实施例中，验证包可为用户的姓名或ID以及仅对移动装置和组织服务器已知的指示移动装置已验证所述用户的代码或密钥。在另一实施例中，验证包可为由用户提供的验证输入中的一些或全部。在第三实施例中，验证包可包含装置验证密钥和用户验证输入两者。在通信网络处，在框2230中可检验用户验证。在对用户验证的检验之后，通信网络可在框2232中准许对通信网络上的服务器的接入。
[0140]在框2234、2236和2238中，可经由安全虚拟环境在用户接口与通信网络之间建立经加密数据链路，从而允许用户经由安全数据链路与网络交互。在框2240、2242和2244处，用户接口可经由安全数据链路与通信网络交互。在框2242处，通信网络与用户接口之间的所有交互都通过安全虚拟环境经由安全数据链路发生。在框2242处，安全虚拟环境在框2242处在必要时对数据进行加密和解密。以此方式，仅用户与网络之间的安全通信可发生。
[0141]在框2246处，用户接口可接收终止安全虚拟环境的请求。用户接口还可例如响应于用户无活动而在框2246中产生自动退出。在框2248处，安全虚拟环境可删除或加密与安全虚拟环境相关联的所有数据。在框2250处，安全虚拟环境可终止安全数据链路。用户还可在框2254处从通信网络登出。在框2256处，安全虚拟环境可关闭。用户接口可随后在框2252处指示不安全操作系统经实施。
[0142]图22图解说明用于在移动装置启动后即刻启用安全虚拟环境的实施例方法2300。此方法2300可通过以合适的处理器可执行指令配置处理器以执行方法的操作而在移动装置的处理器内实施。在框2302中，可启动移动装置。在框2304中，作为移动装置启动例程的部分，可在后台启动安全虚拟环境。在框2306中，安全虚拟环境可在移动装置的后台中运打。
[0143]在确定框2308中，实施安全虚拟环境的处理器可监视来自用户接口的信号以基于用户输入确定安全虚拟环境是否已由用户选择。如果安全虚拟环境未经选择(即，决策框2308= “否”)，那么在框2306中，安全虚拟环境可继续运行。
[0144]当安全虚拟环境经选择时(即，决策框2308= “是”)，安全虚拟环境可产生安全虚拟环境显示且提示用户进行验证输入。处理器可接收用户请求的验证信息，且在确定框2314处，处理器可例如上文所述确定用户是否已经验证。如果用户未经验证(即，确定框2314= “否”)，那么可从显示移除验证提示和与安全虚拟环境相关联的其它图像，且在框2306中，安全虚拟环境可继续在后台中运行。用户验证可呈任何形式，包含用户ID、口令、安全密钥或生物统计数据的输入。如果用户经验证(即，决策框2314= “是”)，那么在框2316处，处理器可启用对安全虚拟环境的接入，所述安全虚拟环境可随后如上所述操作。
[0145]图23图解说明可在安全虚拟环境内实施以用于准予对受信任应用程序的接入而无需重复的用户登入的实施例方法2400。此方法2400可通过以合适的处理器可执行指令配置处理器以执行方法的操作而在移动装置的处理器内实施。在框2402中，可从用户接口接收受信任应用程序的用户选择。所述用户输入可呈现如下形式:用户触摸或点击移动装置桌面上的图标、下拉菜单或经由任何其它选择方法。
[0146]在框2404中，受信任应用程序可从安全虚拟环境请求某一形式的用户验证。应用程序的此对验证的请求可出于各种原因而发生。举例来说，应用程序可包含在应用程序完全激活之前要求用户验证以防止未经授权用户使用应用程序或呈现正确的用户简档的安全性度量。在一实施例中，此对验证的请求可呈对由安全虚拟环境支持的验证API的调用的形式。
[0147]在框2406中，安全虚拟环境可将验证信息提供到请求的应用程序。安全虚拟环境可例如通过将指示预界定存储器位置中的验证的数据传递到应用程序或响应于验证API调用而将信息直接提供到受信任应用程序，且因此防止用户必须直接提供信息。在一个方面中，受信任应用程序的打开可似乎对用户为自动的，因为用户未得到通知受信任应用程序需要用户验证。在框2408中，可准予对受信任应用程序的接入。在此方面中，虽然个别受信任应用程序可需要用户验证，但在受信任应用程序经选定时安全虚拟环境将用户信息和验证自动提供到每一受信任应用程序，因为安全虚拟环境存储用户ID和登录信息。这节省了用户时间，因为用户不必在选定每一个别应用程序时登录到所述每一个别应用程序。
[0148]各种实施例可实施在多种移动装置中的任一者中，图24中图解说明其实例。举例来说，移动装置2500可包含耦合到内部存储器2510和2504的处理器2502。内部存储器2510可为易失性或非易失性存储器，且也可为安全和/或经加密存储器、或不安全和/或未经加密存储器或其任一组合。处理器2502也可耦合到触摸屏显示器2506，例如电阻式感测触摸屏、电容式感测触摸屏、红外线感测触摸屏或类似物。另外，移动装置的显示器无需具有触摸屏能力。另外，移动装置2500可具有用于发送和接收电磁辐射的一个或一个以上天线2508，其可连接到无线数据链路和/或耦合到处理器2502的蜂窝式电话收发器2516。移动装置2500还可包含用于接收用户输入的物理按钮2512。移动装置2500还可包含用于接通和断开移动装置2500的电源按钮2518。
[0149]处理器2502可为任何可编程微处理器、微计算机或多处理器芯片，其可由软件指令(应用程序)配置以执行多种功能，包含下文描述的各种实施例的功能。在一些移动装置中，可提供多个处理器2502，例如专用于无线通信功能的一个处理器和专用于运行其它应用程序的一个处理器。通常，软件应用程序在其经存取且加载到处理器2502、2601中之前可存储在内部存储器2602、2504、2510中。处理器2502、2601可包含足以存储应用程序软件指令的内部存储器。
[0150]前述方法描述和过程流程图仅作为说明性实例而提供且既定不要求或不暗示必须以所呈现的次序执行各种方面的步骤。如所属领域的技术人员将了解，前述方面中的步骤次序可以任何次序执行。例如“然后”、“随后”、“接着”等词语既定不限制步骤的次序，这些词语仅用以引导读者阅读方法的描述。此外，例如使用冠词“一”或“所述”以单数形式对权利要求元件的任何参考不应解释为将所述元件限于单数。
[0151]结合本文所揭示的方面描述的各种说明性逻辑块、模块、电路和算法步骤可实施为电子硬件、计算机软件或所述两者的组合。为了清楚地说明硬件与软件的这种可交换性，上文已大体上在其功能性方面描述了各种说明性组件、块、模块、电路和步骤。将此类功能性实施为硬件还是软件取决于特定应用和对整个系统施加的设计约束。熟练的技术人员针对每一特定应用可以不同方式实施所描述的功能性，但不应将此类实施方案决策解释为造成与本发明的范围的脱离。
[0152]结合本文所揭示的方面描述的用以实施各种说明性逻辑、逻辑块、模块和电路的硬件可用经设计以执行本文描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件或其任何组合来实施或执行。通用处理器可以是微处理器，但在替代方案中，所述处理器可以是任何常规处理器、控制器、微控制器或状态机。处理器还可实施为计算装置的组合，例如DSP与微处理器的组合、多个微处理器、结合DSP核心的一个或一个以上微处理器或任何其它此类配置。或者，一些步骤或方法可由特定针对给定功能的电路执行。
[0153]在一个或一个以上示范性方面中，所描述的功能可以硬件、软件、固件或其任一组合来实施。如果以软件实施，那么功能可作为一个或一个以上指令或代码存储在非暂时性计算机可读媒体上。本文揭示的方法或算法的步骤可在处理器可执行软件模块中体现，所述模块可驻留在非暂时性计算机可读存储媒体上。非暂时性计算机可读存储媒体可为可由计算机存取的任何可用媒体。举例来说且并非限制，此类非暂时性计算机可读媒体可包含RAM、ROM、EEPROM、CD-ROM或其它光盘存储装置、磁盘存储装置或其它磁性存储装置、或可用来以指令或数据结构的形式存储所要程序代码且可由计算机存取的任何其它媒体。如本文中所使用，磁盘及光盘包含压缩光盘(CD)、激光光盘、光学光盘、数字多功能光盘(DVD)、软磁盘及蓝光光盘，其中磁盘通常以磁性方式再生数据，而光盘使用激光以光学方式再生数据。上文的组合也应包含在非暂时性计算机可读媒体的范围内。另外，方法或算法的操作可作为代码和/或指令中的一者或任何组合或集合驻留在可并入到计算机程序产品中的非暂时性机器可读媒体和/或计算机可读媒体上。
[0154]提供对所揭示方面的先前描述是为了使得所属领域的技术人员能够制作或使用本发明。所属领域的技术人员将容易了解对这些方面的各种修改，且在不脱离本发明精神或范围的情况下，本文所界定的一般原理可适用于其它方面。因此，本发明既定不限于本文展示的方面，而是应被赋予与所附权利要求书以及本文所揭示的原理和新颖特征一致的最广范围。
【权利要求】
1.一种用于在移动装置上处置数据的方法，其包括: 启用对所述移动装置上的安全虚拟环境的接入，所述安全虚拟环境配置有安全性策略； 根据所述安全性策略仅启用受信任应用程序以在所述安全虚拟环境内操作； 呈现仅具有所述受信任应用程序的用户接口； 使用户能够在所述安全虚拟环境中用受信任应用程序操纵数据； 在数据退出所述安全虚拟环境之前用所述安全虚拟环境对经操纵数据进行加密；以及 根据所述安全性策略存储经加密数据。
2.根据权利要求1所述的方法，其进一步包括: 从移动装置用户接收对所述安全虚拟环境的选择； 提示所述用户进行验证输入； 接收所述用户验证输入；以及 在启用对所述安全虚拟环境的接入之前基于所述所接收用户验证输入而检验所述用户。
3.根据权利要求1所述的方法，其进一步包括:` 接收数据； 确定所述数据是否为受信任数据； 确定所述数据是否为由所述安全性策略允许的类型；以及 在所述数据为受信任数据且为由所述安全性策略允许的类型的情况下用所述安全虚拟环境对所述数据进行解密。
4.根据权利要求1所述的方法，其进一步包括: 接收数据； 确定所述数据是否经加密； 提示所述用户进行验证输入； 接收所述用户验证输入； 在启用对所述安全虚拟环境的接入之前基于所述所接收用户验证输入而检验所述用户； 用所述安全虚拟环境对数据标头进行解密； 根据所述数据标头确定所述数据是否为受信任数据； 确定所述数据是否为由所述安全性策略允许的类型；以及 在所述数据为由所述安全性策略允许的类型的受信任数据的情况下用所述安全虚拟环境对所述数据进行解密。
5.根据权利要求1所述的方法，其进一步包括: 接收应用程序； 使用应用程序接口 API /中介程序确定所述应用程序是否为受信任应用程序； 确定所述应用程序是否由所述安全性策略允许；以及 在所述应用程序为受信任应用程序且由所述安全性策略允许的情况下存储所述应用程序。
6.根据权利要求1所述的方法，其中所述安全性策略包含以下各项中的一者或一者以上:受允许在所述安全虚拟环境中操作的应用程序的列表；受允许在所述安全虚拟环境中操作的应用程序类型的列表；所述安全虚拟环境中的数据操纵约束；以及所述安全虚拟环境中的数据存储约束。
7.根据权利要求1所述的方法，其进一步包括: 接收安全性策略更新，所述安全性策略更新含有对受信任应用程序列表的更新； 使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略； 扫描所述移动装置的不安全存储器以识别存储在所述不安全存储器上的受信任应用程序； 确定存储在所述不安全存储器上的任何受信任应用程序是否由所述安全性策略允许；以及 将存储在所述不安全存储器上且被确定为由所述安全性策略允许的受信任应用程序移动到安全存储器。
8.根据权利要求1所述的方法，其进一步包括: 接收安全性策略更新，所述安全性策略更新含有对受允许应用程序列表的更新； 使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略； 扫描所述移动装置的安全存储器以识别所述安全性策略不允许的应用程序；以及 删除任何经识别不受允许的应用程序。
9.根据权利要求1所述的方法，其进一步包括: 接收安全性策略更新，所述安全性策略更新含有对受信任数据类型列表的更新； 使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略； 扫描所述移动装置的不安全存储器以识别存储在所述不安全存储器上的受信任数据类型； 确定存储在所述不安全存储器上的任何受信任数据类型是否由所述安全性策略允许；以及 将存储在所述不安全存储器上且被确定为由所述安全性策略允许的受信任数据类型移动到安全存储器。
10.根据权利要求1所述的方法，其进一步包括: 接收安全性策略更新，所述安全性策略更新含有对受信任数据类型列表的更新； 使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略； 扫描所述移动装置的安全存储器以识别所述安全性策略不允许的数据类型；以及 删除任何经识别不受允许的数据类型。
11.根据权利要求1所述的方法，其中根据所述安全性策略存储经加密数据包括将经加密数据存储在所述移动装置上的存储器的安全部分中。
12.根据权利要求1所述的方法，其进一步包括: 接收目录命令； 响应于所述目录命令使用所述安全虚拟环境产生目录报告，所述目录报告含有关于安全存储器的内容的信息。
13.根据权利要求12所述的方法，其进一步包括: 响应于所述目录命令而锁定所述安全虚拟环境；响应于所述目录命令而复制所述安全存储器的所述内容；以及 将安全存储器的所述内容的副本发射到服务器。
14.根据权利要求1所述的方法，其进一步包括: 接收删除命令； 响应于所述删除命令使用所述安全虚拟环境擦除所述移动装置上的安全数据；以及 响应于所述删除命令而锁定所述安全虚拟环境。
15.根据权利要求2所述的方法，其进一步包括: 接收选择基于网络的应用程序的用户输入； 接收来自网络服务器的网络接入请求；以及 将用户验证包从所述安全虚拟环境发送到所述网络服务器，所述用户验证包含有仅所述安全虚拟环境和所述网络服务器知晓的用以指示所述用户已经验证的密钥或代码。
16.根据权利要求2所述的方法，其进一步包括: 接收选择基于网络的应用程序的用户输入； 接收来自网络服务器的网络接入请求；以及 将用户验证包从所述安全虚拟环境发送到所述网络服务器，所述用户验证包含有所述用户验证输入的至少一部分。
17.根据权利要求1所述的方法，其进一步包括: 在所述安全虚拟环境中建立所述移动装置与服务器之间经由网络的安全数据链路；以及 用所述安全虚拟环境对在所述安全数据链路上发射的数据进行解密和加密。
18.根据权利要求1所述的方法，其进一步包括: 在所述移动装置的启动时激活所述安全虚拟环境； 在所述移动装置的后台中运行所述安全虚拟环境； 从移动装置用户接收对所述安全虚拟环境的选择； 提示所述用户进行验证输入； 接收所述用户验证输入；以及 在启用对所述安全虚拟环境的接入之前基于所述所接收用户验证输入而检验所述用户。
19.根据权利要求1所述的方法，其进一步包括: 接收在所述安全虚拟环境中激活受信任应用程序的用户输入； 接收来自所述受信任应用程序的用户验证请求；以及 将用户验证信息从所述安全虚拟环境提供到所述受信任应用程序。
20.—种移动装置，其包括: 存储器；以及 处理器，其耦合到所述存储器，其中所述处理器配置有处理器可执行指令以执行包括以下各项的操作: 启用对所述移动装置上的安全虚拟环境的接入，所述安全虚拟环境经配置安全性策略； 根据所述安全性策略仅启用受信任应用程序以在所述安全虚拟环境内操作；呈现仅具有所述受信任应用程序的用户接口； 使用户能够在所述安全虚拟环境中用受信任应用程序操纵数据； 在数据退出所述安全虚拟环境之前用所述安全虚拟环境对经操纵数据进行加密；以及 根据所述安全性策略将经加密数据存储在所述存储器中。
21.根据权利要求20所述的移动装置，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 从移动装置用户接收对所述安全虚拟环境的选择； 提示所述用户进行验证输入； 接收所述用户验证输入；以及 在启用对所述安全虚拟环境的接入之前基于所述所接收用户验证输入而检验所述用户。
22.根据权利要求20所述的移动装置，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 接收数据； 确定所述数据是否为受信任数据； 确定所述数据是否为由所述安全性策略允许的类型；以及 在所述数据为受信任数据且为由所述安全性策略允许的类型的情况下用所述安全虚拟环境对所述数据进行解密。
23.根据权利要求20所述的移动装置，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 接收数据； 确定所述数据是否经加密； 提示所述用户进行验证输入； 接收所述用户验证输入； 在启用对所述安全虚拟环境的接入之前基于所述所接收用户验证输入而检验所述用户； 用所述安全虚拟环境对数据标头进行解密； 根据所述数据标头确定所述数据是否为受信任数据； 确定所述数据是否为由所述安全性策略允许的类型；以及 在所述数据为由所述安全性策略允许的类型的受信任数据的情况下用所述安全虚拟环境对所述数据进行解密。
24.根据权利要求20所述的移动装置，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 接收应用程序； 使用应用程序接口 API /中介程序确定所述应用程序是否为受信任应用程序； 确定所述应用程序是否由所述安全性策略允许；以及 在所述应用程序为受信任应用程序且由所述安全性策略允许的情况下存储所述应用程序。
25.根据权利要求20所述的移动装置，其中所述处理器配置有处理器可执行指令以执行操作使得所述安全性策略包含以下各项中的一者或一者以上:受允许在所述安全虚拟环境中操作的应用程序的列表；受允许在所述安全虚拟环境中操作的应用程序类型的列表；所述安全虚拟环境中的数据操纵约束；以及所述安全虚拟环境中的数据存储约束。
26.根据权利要求20所述的移动装置，其中所述存储器包括不安全存储器和安全存储器，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 接收安全性策略更新，所述安全性策略更新含有对受信任应用程序列表的更新； 使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略； 扫描所述移动装置的所述不安全存储器以识别存储在所述不安全存储器上的受信任应用程序； 确定存储在所 述不安全存储器上的任何受信任应用程序是否由所述安全性策略允许；以及 将存储在所述不安全存储器上且被确定为由所述安全性策略允许的受信任应用程序移动到所述安全存储器。
27.根据权利要求20所述的移动装置，其中所述存储器包括不安全存储器和安全存储器，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 接收安全性策略更新，所述安全性策略更新含有对受允许应用程序列表的更新； 使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略； 扫描所述移动装置的所述安全存储器以识别所述安全性策略不允许的应用程序；以及 删除任何经识别不受允许的应用程序。
28.根据权利要求20所述的移动装置，其中所述存储器包括不安全存储器和安全存储器，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 接收安全性策略更新，所述安全性策略更新含有对受信任数据类型列表的更新； 使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略； 扫描所述移动装置的所述不安全存储器以识别存储在所述不安全存储器上的受信任数据类型； 确定存储在所述不安全存储器上的任何受信任数据类型是否由所述安全性策略允许；以及 将存储在所述不安全存储器上且被确定为由所述安全性策略允许的受信任数据类型移动到所述安全存储器。
29.根据权利要求20所述的移动装置，其中所述存储器包括不安全存储器和安全存储器，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 接收安全性策略更新，所述安全性策略更新含有对受信任数据类型列表的更新； 使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略； 扫描所述移动装置的所述安全存储器以识别所述安全性策略不允许的数据类型；以及 删除任何经识别不受允许的数据类型。
30.根据权利要求20所述的移动装置，其中所述处理器配置有处理器可执行指令以执行操作使得根据所述安全性策略存储经加密数据包括将经加密数据存储在所述移动装置上的所述存储器的安全部分中。
31.根据权利要求20所述的移动装置，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 接收目录命令； 响应于所述目录命令使用所述安全虚拟环境产生目录报告，所述目录报告含有关于安全存储器的内容的信息。
32.根据权利要求31所述的移动装置，其中所述存储器包括安全存储器，且其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 响应于所述目录命令而锁定所述安全虚拟环境； 响应于所述目录命令而复制所述安全存储器的所述内容；以及 将所述安全存储器的所述内容的副本发射到服务器。
33.根据权利要求20所述的移动装置，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 接收删除命令； 响应于所述删除命令使用所述安全虚拟环境擦除所述移动装置上的安全数据；以及 响应于所述删除命令而锁定所述安全虚拟环境。
34.根据权利要求21所述的移动装置，其进一步包括收发器，所述收发器耦合到所述处理器且经配置以使所述处理器能够与网络通信，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 接收选择基于网络的应用程序的用户输入； 接收来自网络服务器的网络接入请求；以及 将用户验证包从所述安全虚拟环境发送到所述网络服务器，所述用户验证包含有仅所述安全虚拟环境和所述网络服务器知晓的用以指示所述用户已经验证的密钥或代码。
35.根据权利要求21所述的移动装置，其进一步包括收发器，所述收发器耦合到所述处理器且经配置以使所述处理器能够与网络通信，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 接收选择基于网络的应用程序的用户输入； 接收来自网络服务器的网络接入请求；以及 将用户验证包从所述安全虚拟环境发送到所述网络服务器，所述用户验证包含有所述用户验证输入的至少一部分。
36.根据权利要求20所述的移动装置，其进一步包括收发器，所述收发器耦合到所述处理器且经配置以使所述处理器能够与网络通信，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 在所述安全虚拟环境中建立所述移动装置与服务器之间经由网络的的安全数据链路；以及 用所述安全虚拟环境对在所述安全数据链路上发射的数据进行解密和加密。
37.根据权利要求20所述的移动装置，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 在所述移动装置的启动时激活所述安全虚拟环境； 在所述移动装置的后台中运行所述安全虚拟环境； 从移动装置用户接收对所述安全虚拟环境的选择；提示所述用户进行验证输入； 接收所述用户验证输入；以及 在启用对所述安全虚拟环境的接入之前基于所述所接收用户验证输入而检验所述用户。
38.根据权利要求20所述的移动装置，其中所述处理器配置有处理器可执行指令以执行进一步包括以下各项的操作: 接收在所述安全虚拟环境中激活受信任应用程序的用户输入； 接收来自所述受信任应用程序的用户验证请求；以及 将用户验证信息从所述安全虚拟环境提供到所述受信任应用程序。
39.一种移动装置，其包括: 用于启用对所述移动装置上的安全虚拟环境的接入的装置，所述安全虚拟环境配置有安全性策略； 用于根据所述安全性策略仅启用受信任应用程序以在所述安全虚拟环境内操作的装置； 用于呈现仅具有所述受信任应用程序的用户接口的装置； 用于使用户能够在所述安全虚拟环境中用受信任应用程序操纵数据的装置； 用于在数据退出所述安全虚拟环境之前用所述安全虚拟环境对经操纵数据进行加密的装置；以及 用于根据所述安全性策略存储经加密数据的装置。
40.根据权利要求39所述的移动装置，其进一步包括: 用于从移动装置用户接收对所述安全虚拟环境的选择的装置； 用于提示所述用户进行验证输入的装置； 用于接收所述用户验证输入的装置；以及 用于在启用对所述安全虚拟环境的接入之前基于所述所接收用户验证输入而检验所述用户的装置。
41.根据权利要求39所述的移动装置，其进一步包括: 用于接收数据的装置； 用于确定所述数据是否为受信任数据的装置； 用于确定所述数据是否为`由所述安全性策略允许的类型的装置；以及用于在所述数据为受信任数据且为由所述安全性策略允许的类型的情况下用所述安全虚拟环境对所述数据进行解密的装置。
42.根据权利要求39所述的移动装置，其进一步包括: 用于接收数据的装置； 用于确定所述数据是否经加密的装置； 用于提示所述用户进行验证输入的装置； 用于接收所述用户验证输入的装置； 用于在启用对所述安全虚拟环境的接入之前基于所述所接收用户验证输入而检验所述用户的装置； 用于用所述安全虚拟环境对数据标头进行解密的装置；用于根据所述数据标头确定所述数据是否为受信任数据的装置； 用于确定所述数据是否为由所述安全性策略允许的类型的装置；以及用于在所述数据为由所述安全性策略允许的类型的受信任数据的情况下用所述安全虚拟环境对所述数据进行解密的装置。
43.根据权利要求39所述的移动装置，其进一步包括: 用于接收应用程序的装置； 用于使用应用程序接口 API /中介程序确定所述应用程序是否为受信任应用程序的装置； 用于确定所述应用程序是否由所述安全性策略允许的装置；以及用于在所述应用程序为受信任应用程序且由所述安全性策略允许的情况下存储所述应用程序的装置。
44.根据权利要求39所述的移动装置，其中所述安全性策略包含以下各项中的一者或一者以上:受允许在所述安全虚拟环境中操作的应用程序的列表；受允许在所述安全虚拟环境中操作的应用程序类型的列表；所述安全虚拟环境中的数据操纵约束；以及所述安全虚拟环境中的数据存储约束。
45.根据权利要求39所述的移动装置，其进一步包括: 用于接收安全性策略更新的装置，所述安全性策略更新含有对受信任应用程序列表的更新； 用于使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略的装置；用于扫描所述移动装置的不安全存储器以识别存储在所述不安全存储器上的受信任应用程序的装置；` 用于确定存储在所述不安全存储器上的任何受信任应用程序是否由所述安全性策略允许的装置；以及 用于将存储在所述不安全存储器上且被确定为由所述安全性策略允许的受信任应用程序移动到安全存储器的装置。
46.根据权利要求39所述的移动装置，其进一步包括: 用于接收安全性策略更新的装置，所述安全性策略更新含有对受允许应用程序列表的更新； 用于使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略的装置；用于扫描所述移动装置的安全存储器以识别所述安全性策略不允许的应用程序的装置；以及 用于删除任何经识别不受允许的应用程序的装置。
47.根据权利要求39所述的移动装置，其进一步包括: 用于接收安全性策略更新的装置，所述安全性策略更新含有对受信任数据类型列表的更新； 用于使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略的装置；用于扫描所述移动装置的不安全存储器以识别存储在所述不安全存储器上的受信任数据类型的装置； 用于确定存储在所述不安全存储器上的任何受信任数据类型是否由所述安全性策略允许的装置；以及 用于将存储在所述不安全存储器上且被确定为由所述安全性策略允许的受信任数据类型移动到安全存储器的装置。
48.根据权利要求39所述的移动装置，其进一步包括: 用于接收安全性策略更新的装置，所述安全性策略更新含有对受信任数据类型列表的更新； 用于使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略的装置；用于扫描所述移动装置的安全存储器以识别所述安全性策略不允许的数据类型的装置；以及 用于删除任何经识别不受允许的数据类型的装置。
49.根据权利要求39所述的移动装置，其中用于根据所述安全性策略存储经加密数据的装置包括用于将经加密数据存储在所述移动装置上的所述存储器的安全部分中的装置。
50.根据权利要求39所述的移动装置，其进一步包括: 用于接收目录命令的装置； 用于响应于所述目录命令使用所述安全虚拟环境产生目录报告的装置，所述目录报告含有关于安全存储器的内容的信息。
51.根据权利要求50所述的移动装置，其进一步包括: 用于响应于所述目录命令而锁定所述安全虚拟环境的装置； 用于响应于所述目录命令而复制安全存储器的所述内容的装置；以及 用于将所述安全存储器的所述内容的副本发射到服务器的装置。
52.根据权利要求39所述的移动装置，其进一步包括: 用于接收删除命令的装置； 用于响应于所述删除命令使用所述安全虚拟环境擦除所述移动装置上的安全数据的装置；以及 用于响应于所述删除命令而锁定所述安全虚拟环境的装置。
53.根据权利要求40所述的移动装置，其进一步包括: 用于接收选择基于网络的应用程序的用户输入的装置； 用于接收来自网络服务器的网络接入请求的装置；以及 用于将用户验证包从所述安全虚拟环境发送到所述网络服务器的装置，所述用户验证包含有仅所述安全虚拟环境和所述网络服务器知晓的用以指示所述用户已经验证的密钥或代码。
54.根据权利要求40所述的移动装置，其进一步包括: 用于接收选择基于网络的应用程序的用户输入的装置； 用于接收来自网络服务器的网络接入请求的装置；以及 用于将用户验证包从所述安全虚拟环境发送到所述网络服务器的装置，所述用户验证包含有所述用户验证输入的至少一部分。
55.根据权利要求39所述的移动装置，其进一步包括: 用于在所述安全虚拟环境中建立所述移动装置与服务器之间经由网络的安全数据链路的装置；以及用于用所述安全虚拟环境对在所述安全数据链路上发射的数据进行解密和加密的装置。
56.根据权利要求39所述的移动装置，其进一步包括: 用于在所述移动装置的启动时激活所述安全虚拟环境的装置； 用于在所述移动装置的后台中运行所述安全虚拟环境的装置； 用于从移动装置用户接收对所述安全虚拟环境的选择的装置； 用于提示所述用户进行验证输入的装置； 用于接收所述用户验证输入的装置；以及 用于在启用对所述安全虚拟环境的接入之前基于所述所接收用户验证输入而检验所述用户的装置。
57.根据权利要求39所述的移动装置，其进一步包括: 用于接收在所述安全虚拟环境中激活受信任应用程序的用户输入的装置； 用于接收来自所述受信任应用程序的用户验证请求的装置；以及 用于将用户验证信息从所述安全虚拟环境提供到所述受信任应用程序的装置。
58.一种其上存储有处理器可执行指令的非暂时性处理器可读媒体，所述处理器可执行指令经配置以致使移动装置处理器执行包括以下各项的操作: 启用对所述移动装置上的安全虚拟环境的接入，所述安全虚拟环境经配置安全性策略； 根据所述安全性策略仅启用受信任应用程序以在所述安全虚拟环境内操作； 呈现仅具有所述受信任应用程序的用户接口； 使用户能够在所述安全虚拟环境中用受信任应用程序操纵数据； 在数据退出所述安全虚拟环境之前用所述安全虚拟环境对经操纵数据进行加密；以及 根据所述安全性策略将经加密数据存储在存储器中。
59.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 从移动装置用户接收对所述安全虚拟环境的选择； 提示所述用户进行验证输入； 接收所述用户验证输入；以及 在启用对所述安全虚拟环境的接入之前基于所述所接收用户验证输入而检验所述用户。
60.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 接收数据； 确定所述数据是否为受信任数据； 确定所述数据是否为由所述安全性策略允许的类型；以及 在所述数据为受信任数据且为由所述安全性策略允许的类型的情况下用所述安全虚拟环境对所述数据进行解密。
61.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作:接收数据； 确定所述数据是否经加密； 提示所述用户进行验证输入； 接收所述用户验证输入； 在启用对所述安全虚拟环境的接入之前基于所述所接收用户验证输入而检验所述用户； 用所述安全虚拟环境对数据标头进行解密； 根据所述数据标头确定所述数据是否为受信任数据； 确定所述数据是否为由所述安全性策略允许的类型；以及 在所述数据为由所述安全性策略允许的类型的受信任数据的情况下用所述安全虚拟环境对所述数据进行解密。
62.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 接收应用程序； 使用应用程序接口 API /中介程序确定所述应用程序是否为受信任应用程序； 确定所述应用程序是否由所述安全性策略允许；以及 在所述应用程序为受信任应用程序且由所述安全性策略允许的情况下存储所述应用程序。
63.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行操作使得所述安全性策略包含以下各项中的一者或一者以上:受允许在所述安全虚拟环境中操作的应用程序的列表；受允许在所述安全虚拟环境中操作的应用程序类型的列表；所述安全虚拟环境中的数据操纵约束；以及所述安全虚拟环境中的数据存储约束。
64.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 接收安全性策略更新，所述安全性策略更新含有对受信任应用程序列表的更新； 使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略； 扫描所述移动装置的不安全存储器以识别存储在所述不安全存储器上的受信任应用程序； 确定存储在所述不安全存储器上的任何受信任应用程序是否由所述安全性策略允许；以及 将存储在所述不安全存储器上且被确定为由所述安全性策略允许的受信任应用程序移动到安全存储器。
65.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 接收安全性策略更新，所述安全性策略更新含有对受允许应用程序列表的更新； 使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略； 扫描所述移动装置的安全存储器以识别所述安全性策略不允许的应用程序；以及删除任何经识别不受允许的应用程序。
66.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 接收安全性策略更新，所述安全性策略更新含有对受信任数据类型列表的更新； 使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略； 扫描所述移动装置的不安全存储器以识别存储在所述不安全存储器上的受信任数据类型； 确定存储在所述不安全存储器上的任何受信任数据类型是否由所述安全性策略允许；以及 将存储在所述不安全存储器上且被确定为由所述安全性策略允许的受信任数据类型移动到安全存储器。
67.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 接收安全性策略更新，所述安全性策略更新含有对受信任数据类型列表的更新； 使用所述安全性策略更新来更新所述安全虚拟环境的所述安全性策略； 扫描所述移动装置的安全存储器以识别所述安全性策略不允许的数据类型；以及删除任何经识别不受允许的数据类型。
68.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行操作使得根据所述安全性策略存储经加密数据包括将经加密数据存储在所述移动装置上的所述存储器的安全部分中。
69.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 接收目录命令； 响应于所述目录命令使用所述安全虚拟环境产生目录报告，所述目录报告含有关于安全存储器的内容的信息。
70.根据权利要求69所述的非暂时性处理器可读媒体，其中所述存储器包括安全存储器，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 响应于所述目录命令而锁定所述安全虚拟环境； 响应于所述目录命令而复制安全存储器的所述内容；以及 将所述安全存储器的所述内容的副本发射到服务器。
71.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 接收删除命令； 响应于所述删除命令使用所述安全虚拟环境擦除所述移动装置上的安全数据；以及 响应于所述删除命令而锁定所述安全虚拟环境。
72.根据权利要求59所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 接收选择基于网络的应用程序的用户输入； 接收来自网络服务器的网络接入请求；以及将用户验证包从所述安全虚拟环境发送到所述网络服务器，所述用户验证包含有仅所述安全虚拟环境和所述网络服务器知晓的用以指示所述用户已经验证的密钥或代码。
73.根据权利要求59所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 接收选择基于网络的应用程序的用户输入； 接收来自网络服务器的网络接入请求；以及 将用户验证包从所述安全虚拟环境发送到所述网络服务器，所述用户验证包含有所述用户验证输入的至少一部分。
74.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 在所述安全虚拟环境中建立所述移动装置与服务器之间经由网络的安全数据链路；以及 用所述安全虚拟环境对在所述安全数据链路上发射的数据进行解密和加密。
75.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 在所述移动装置的启动时激活所述安全虚拟环境； 在所述移动装置的后台中运行所述安全虚拟环境； 从移动装置用户接收对所`述安全虚拟环境的选择； 提示所述用户进行验证输入； 接收所述用户验证输入；以及 在启用对所述安全虚拟环境的接入之前基于所述所接收用户验证输入而检验所述用户。
76.根据权利要求58所述的非暂时性处理器可读媒体，其中所述存储的处理器可执行指令经配置以致使移动装置处理器执行进一步包括以下各项的操作: 接收在所述安全虚拟环境中激活受信任应用程序的用户输入； 接收来自所述受信任应用程序的用户验证请求；以及 将用户验证信息从所述安全虚拟环境提供到所述受信任应用程序。
【文档编号】H04W12/08GK103733663SQ201280039099
【公开日】2014年4月16日 申请日期:2012年8月10日 优先权日:2011年8月10日
【发明者】查理·C·凯利, 乔舒亚·R·戴维斯 申请人:高通股份有限公司