CN103778364A - 管理应用于应用的许可设置 - Google Patents
管理应用于应用的许可设置 Download PDFInfo
- Publication number
- CN103778364A CN103778364A CN201310504548.5A CN201310504548A CN103778364A CN 103778364 A CN103778364 A CN 103778364A CN 201310504548 A CN201310504548 A CN 201310504548A CN 103778364 A CN103778364 A CN 103778364A
- Authority
- CN
- China
- Prior art keywords
- strategy
- application
- periphery
- equipment
- operating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本文所描述的内容的一些方面涉及管理应用于移动设备上的应用的许可设置。识别应用于与设备上的周边相关联的应用的多个管理策略。基于与应用相关联的周边来针对应用确定针对每一个管理策略的优先级排序。将基于优先级排序的许可设置应用于应用。
Description
技术领域
本公开涉及管理应用于设备上的应用的许可设置。
背景技术
很多通信设备包括可访问性由许可设置控制的数据、应用和网络资源。例如,用户账户、管理权、数据库管理等可以由许可设置来管理。
附图说明
图1是示出了示例数据通信系统的示意图。
图2是示出了示例移动设备的示意图。
图3是示出了对移动设备上的资源的示例使用的示意图。
图4是用于管理应用于移动设备上的应用的许可设置的示例性过程的流程图。
各个附图中的相同的附图标记和标志指示相似的元素。
具体实施方式
本公开中使用的周边(perimeter)通常是指具有公共管理方案的资源组,并且每一个周边通常包括一个或多个资源、以及与一个或多个资源的使用或者对一个或多个资源的访问有关的一个或多个策略。周边可以在包括设备的数据通信系统上实现,并且可被用于在逻辑上分隔设备上的信息(例如,文件、应用、证书、配置数据、网络连接、数据等)。例如,设备可以实现两个或更多个周边,这些周边可以包括个人周边、企业或工作周边、这些和其它类型的周边的任何适当的组合。在一些实施例中,设备可以包括多个个人周边、多个企业周边、或者这二者。个人周边可以由设备用户管理,而企业周边可以由企业或公司管理者管理。在一些实现中,企业或公司管理者可以另外管理个人周边或设备或者这二者。由企业、雇主或公司购买、拥有、或以其它方式提供的设备通常可以称作公司负责设备,而由员工或个体购买的、拥有或以其它方式提供的设备通常可以称作个人负责设备或个体负责设备。
在一些实现中,设备上的每一个周边在设备上具有其自己的文件系统,并且可以通过设备上文件系统的分隔来至少部分地提供周边之间的分隔。在一些情况下,每一个周边的资源中的一些(例如,数据和策略)被存储在周边的专用文件系统中,而每一个周边的其它资源(例如,应用)被存储在专用文件系统之外。
文件系统的分隔可以是逻辑的、物理的或者这二者。例如,可以通过针对每一个文件系统指定在物理上分隔的存储位置(例如,分隔的存储设备、或者相同的存储器中的分隔块)来实现文件系统的物理分隔。例如,可以通过针对每一个文件系统指定在逻辑上分隔的数据结构(例如,分隔的目录等)来实现文件系统的逻辑分隔。在一些实现中,每一个文件系统具有其自己的加密参数。例如,公司周边的文件系统可以具有其自己的加密密钥和较高的加密强度,而个人周边的文件系统可以具有其自己的加密密钥和较低的加密强度。在一些实例中,个人周边的文件系统具有与公司周边相同的加密强度,或者个人周边的文件系统可以是非加密的。
如上所述,周边可以包括共享公共管理方案的资源组,其中,公共管理方案管理对组中的资源的使用,并且周边可以包括资源以及描述可以如何使用资源的管理策略。管理策略可以包括针对周边规定的安全限制。可由设备运行的应用可以包括当被执行时请求访问其它资源或者向其它应用提供资源(或者这二者)的资源。对于被指派给周边或者与周边相关联的应用,应用中包括的资源可被包括在周边中包括的资源组中。此外,针对周边规定的安全限制可以将应用限制到组中包括的资源。因此,当在周边中运行应用时,周边的管理策略中包括的安全限制可以确定与应用相关联的资源是否可以访问其它资源,例如,组中包括的资源或者组之外的资源(或者这二者),或者是否授予对其它应用的访问权限,该其他应用例如被指派给周边或者与周边相关联的应用或者未被指派给周边或者与周边不相关联的应用(或者这二者)。
当资源(例如,应用)“进入(1aunch into)”周边时,在周边中对应用的实例进行实例化。应用所进入的周边的管理策略可以至少部分地确定应用可以访问哪些资源(例如,数据资源、网络资源等)或执行哪些资源(例如,数据资源、网络资源等)。因此,当应用的实例在周边中运行时,至少部分地基于周边的管理策略来确定针对应用的实例的许可(permission)。对于一些应用,可以至少部分地基于其它周边的策略来确定对周边之外的资源的访问。
在一些实现中,安全周边可以从操作系统级一直到用户界面对不同类别的数据(例如,工作数据、个人数据等)进行划分或分隔。因此,周边架构可以在操作系统级、文件级、用户界面级、以及设备的其它级提供对数据的保护。在一些情况下,安全周边可以确保不同类别的数据、应用和用户体验之间的完全分隔,同时如果需要还允许不同类别的数据在相同的应用中共存并且共享数据。安全周边可以允许“混合应用”,例如,显示个人电子邮件和公司电子邮件二者的统一收信信箱。在一些实例中,可以将应用限制于相应的周边场景(例如,“工作”或“个人”周边场景)。例如,社交网络应用可以被配置为仅在个人周边中出现。在一些实例中,相同应用的不同实例可以在多个周边中运行。例如,设备可以具有针对用户的个人账户在的个人周边中运行的社交网络应用(例如,Facebook、Twitter等)的实例,并且设备可以具有针对用户的单位或用户的公司账户在公司周边中运行的相同的社交网络应用的实例。
数据通信系统可以包括诸如移动设备等的用户设备,其提供多个计算机软件应用。提供应用可以包括例如由设备执行一个或多个动作。动作可以包括用于将应用安装在设备上的安装动作、用于执行应用的执行动作、用于使应用能够访问存储在设备上的数据或者用于使其他应用能够访问与该应用相关联的数据(或者它们的组合)的数据访问动作、用于从设备卸载应用的卸载动作等。应用可以与对设备是否可以执行动作中的一个或多个进行限定的许可相关联。
可以由多个管理源或策略(或者这二者)来限定(例如,授予)许可,所述多个管理源或策略例如是提供应用的供应商、设备的用户、企业、与应用相关联的周边等。周边可以实现在设备上,并且可以用于在逻辑上分隔信息(例如,数据,应用、网络资源等)。周边可以是个人周边、企业周边、或者这些类型和其它类型的周边的任何适当的组合。个人周边和企业周边可以分别由设备的用户和公司管理者的相应管理策略来管理,并且因此分别与设备的用户和公司管理者的相应管理策略相关联。
在一些实现中,针对应用的许可指示授权应用对设备进行哪些动作。例如,针对应用的许可可以指示应用可以访问、读、写、修改或执行的数据资源、网络资源、或其它资源的类型,或者应用可以具有另一种类型的许可设置。针对应用的许可可以包括应用的布置。应用的布置可以包括指示应用在设备上是否被准许。例如,应用在设备上可以是授权的、未被授权的、或启用的,或者应用可以具有另一种类型的布置。
在一些实例中,将许可设置应用于应用。可以基于与应用或执行应用的设备(或者这二者)相关联的多个管理源或策略来确定许可设置。在一些实现中,可以识别应用于与设备上的周边相关联的应用的多个管理策略。对于多个管理策略中的每一个,可以确定优先级排序。可以基于与应用相关联的周边来确定优先级排序。基于针对多个管理策略的优先级排序,可以将许可设置应用于应用。例如,可以在设备中包括集中式策略引擎,以从多个管理策略接收许可决策,并且生成应用于应用的许可设置。在一个示例中,集中式策略引擎可以接收允许执行全球定位系统(GPS)应用的用户管理策略以及拒绝执行GPS应用的家长(parental)控制管理策略。集中式策略引擎可以确定家长控制管理策略具有高于用户管理策略的优先级排序,并且因此可以将许可设置应用于GPS应用,该许可设置在对用户管理策略进行限定的用户请求时不允许执行该应用。
图1是示出了示例性数据通信系统100的示意图。示例性数据通信系统100包括设备102、企业网络104a、以及一个或多个其它网络104b。数据通信系统可以视情况包括其他的、不同的或更少的特征。图1中的示意图还示出了用户106a、106b、设备所有者105、以及管理者108a、108b、108c进行的交互。在一些情况下,设备所有者105可以是用户106a或106b、工商企业、或另一实体之一。在各种实现中,其他的、不同的或更少的实体可以视情况与数据通信系统进行交互。
设备102可以是任何适当的计算设备。通常,计算设备包括计算机可读介质和数据处理装置。计算机可读介质可以包括被配置为存储机器可读信息的任何适当的存储器、磁盘、存储设备或者其它装置。计算机可读介质可以存储可以由数据处理装置执行的指令。数据处理装置可以包括被配置为基于机器可读指令来执行操作的任何适当的处理器、控制器、电路或者其它装置。数据处理装置可以包括可编程处理器、数字逻辑电路、固件、或任何其它适当的设备。计算机可读介质可以包括单个介质或多个介质,并且数据处理装置可以包括单个装置或多个装置。计算机可读介质可以是传播的信号,可以通过编码处理将这里描述的操作编码在该信号中。
示例性设备102能够操作以经由用户界面(例如图形用户界面或任何其它适当的用户界面)从用户接收请求。如图1所示,设备102被可通信地耦合到企业网络104a和一个或多个其它网络104b。示例性设备102能够操作以接收、发送、处理和存储任何适当的数据。例如,设备102可以包括智能电话、平板计算机、个人计算机、膝上型计算机、个人数字助理(PDA)、或其它类型的用户设备。设备102可以包括输入设备(例如,键盘、触摸屏、鼠标、或可以接受信息的其它设备)和传递与资源的操作相关联的信息的输出设备(例如,显示屏)。输入设备和输出设备都可以包括用于通过显示器从用户接收输入并且向用户提供输出的固定或可拆卸的存储介质(例如,存储器等)。
如图1所示,设备102可以包括三个示例性周边110a、110b、以及110c(无论单独地还是共同地都称为“周边110”)。每一个周边110包括数据112、网络访问资源114、一个或多个应用116、一个或多个配置文件118、以及一个或多个策略120。周边110可以仅包括所示出的资源的子集,或者周边110可以包括其他的或不同的资源。
示例性周边110可以在逻辑上分隔资源(例如,应用、数据、网络访问资源、配置文件等),使得在一些实例中,可以防止给定周边中的资源访问不同周边中包括的资源。例如,可以防止一个周边中的个人资源访问另一周边中的公司资源,反之亦然。在一些情况下,企业可以在不干扰单个用户设备上的用户的个人体验的情况下在相同设备上扩展受保护的周边。周边还可以准许对资源的跨周边访问。可以通过向每一个周边限定策略、向每一个周边指派策略或以其它方式将策略关联到每一个周边,来控制对周边资源的访问。
可以使用任何适当的信息以任何适当的格式实现针对周边的策略。策略可以指定对可以由(在周边中运行的)内部应用访问的(另一周边中的)外部资源和可以由外部应用访问的内部资源二者的访问。例如,给定周边的策略可以标识可以访问的其它周边、不可由其它周边访问的内部资源、或者这二者。周边的策略可以标识可以访问或不可以访问周边中指定资源的特定用户。在一些实现中,来自两个周边的策略确定是否授予跨周边访问的许可。
周边架构实现了计算资源的逻辑分隔,使得可以控制周边之间的数据传送和对其它周边的资源的访问。资源可以包括应用、文件系统、网络访问、或其它计算资源。除了实现对周边中的资源的访问之外,示例性数据通信系统100还可以包括标识周边中的资源可以访问的特定外部资源的策略。执行周边构思的示例性数据通信系统100可以管理无缝用户体验。
周边110可以包括密码保护、加密、以及用于控制对被指派给周边的资源的访问的其它过程。周边110可以是由设备所有者、用户、管理者等产生的。在一些示例中,周边110a可以是针对用户106a创建并且由用户106a管理的个人周边。在一些示例中,周边110b可以是由管理者108b针对企业创建的企业周边,并且可以由远程管理服务器来管理。此外,给定周边可以由设备所有者105、用户、管理者、或任何适当的组合来访问。在一些实现中,每一个周边可以与单个用户相关联,并且至少一些用户可以访问多个设备周边。例如,第一用户106a可以访问周边110a和周边110b二者中的资源,第二用户106b可以仅有权访问周边110c。
在一些实例中,可以添加、删除或修改相应周边。设备所有者105可以有能力添加或从设备102移除相应周边110。在一些实现中,用户可以创建周边。在一些实例中,与企业网络104a相关联的组织可以向设备发送标识新周边的初始资源(例如,应用、策略、配置等)的信息。周边管理者可以指派针对周边的策略,并且发起周边更新。在一些实现中,周边管理者可以在远程锁定或擦除周边。
可以在设备102上在任何适当的存储器或数据库模块中存储信息。示例性存储器包括易失性存储器和非易失性存储器、磁性介质、光学介质、随机存取存储器(RAM)、只读存储器(ROM)、可拆卸介质等。数据112可以包括任何适当的信息。设备102可以存储各种对象,包括:文件、类(class)、框架、备份数据、商业对象、工作、网页、网页模板、数据库表格、存储商业信息或动态信息的知识库、以及包括任何参数、变量、算法、指令、规则、约束、对其的引用的任何其它适当的信息。数据112可以包括与应用、网络、用户相关联的信息、以及其它信息。
网络访问资源114可以包括用于准许访问网络的任何适当的参数、变量、策略、算法、指令、设置、或规则。例如,网络访问资源114a可以包括或标识用于访问企业网络104a的防火墙策略。作为另一示例,网络访问资源114b可以包括或标识用于访问一个或多个其它网络104b的账户数据。在一些实现中,网络访问资源包括或以其它方式标识以下各项中的一项或多项:用户名、密码、安全令牌、虚拟专用网(VPN)配置、防火墙策略、通信协议、加密密钥证书等。
应用116可以包括可执行、改变、删除、生成或处理信息的任何适当的程序、模块、脚本、过程或其它对象。例如,应用可被实现为企业Java组件(Enterprise Java Bean,EJB)。设计时的组件可以有能力将执行时的实现生成到不同的平台中,这些平台例如是J2EE(Java2平台,企业版)、ABAP(高级商业应用编程)对象、或微软的.NET。此外,虽然被示出为在设备102之内,但是可以在远程存储、引用或执行与应用116相关联的一个或多个过程。例如,应用116的一部分可以是针对在远程执行的网站服务的接口。此外,应用116可以是另一软件模块(未示出)的次模块或子模块。
配置文件118可以包括用于配置设备102的软件的任何适当的参数、变量、策略、算法、指令、设置、或规则。例如,配置文件118可以包括标识一个或多个应用116的设置的表格。在一些实现中,配置文件118标识一个或多个应用116和其它类型的应用的初始设置,例如,操作系统设置。可以通过任何适当的格式来书写配置文件118,例如ASCII和面向行等。
策略120可以包括用于启用或防止对一个或多个周边中的资源的访问的任何参数、变量、策略、算法、指令、设置、或规则。例如,策略120a可以标识在周边110a之外的可以由周边110a中的资源访问的资源。给定周边的策略可以包括或以其它方式标识周边的可访问性(通常是周边中的特定资源的可访问性)、周边中的资源访问其它周边的能力、以及其它可访问性信息。策略可以指定用户的可访问性、动作类型、时间段等。在一些实现中,策略可以标识周边的、可以由外部资源访问的特定资源。例如,针对周边110a的策略120a可以指示另一周边110b中的特定应用可以或不可以访问第一周边110a中的数据或资源。作为另一示例,针对周边110a的策略120a可以指示其它周边110b或110c中的任意应用可以或不可以访问第一周边110a中的数据或资源。
在一些实现中,策略120可以限定或以其它方式标识用户认证过程。例如,策略120可以标识用户认证的类型和内容(例如,密码强度、生命周期),以应用于跨周边请求。当用户提供对多个周边的访问的请求时,可以由双方周边的策略来评估请求。在一些实例中,如果双方策略授予访问权限,则可以批准跨周边请求。
设备102可以连接到多个网络,例如,企业网络104a和其它网络104b。企业网络104a可以包括无线网络、虚拟专用网、有线网络、或任何适当的网络。企业可以是公司或商业实体、政府机构、非营利机构、或其它组织。企业可以是设备所有者105。企业还可以租用设备102或者可以雇佣负责维护、配置、控制或管理设备102的承包商或代理。其它网络104b可以包括可由用户访问的任何适当的网络。例如,其它网络可以包括用户具有账户的公共网络、专用网络、自组织网络、或其它类型的网络。在一些情况下,其它网络104b包括蜂窝数据网络。在一些情况下,其它网络104b包括用户的家庭网络。
网络104a和104b促进与设备102的通信。网络104a和104b中的任意一个可以例如在网络地址之间传送互联网协议(IP)分组、帧中继帧、异步传输模式(ATM)信元、语音、视频、数据和其它适当的信息。此外,虽然企业网络104a和其它网络104b均被示出为单个网络,但是每一个网络可以包括多个网络,并且可以提供对其他网络的访问。简言之,企业网络104a和其它网络104b可以包括被配置为与设备102进行通信的任何适当的网络。
图2是示出了包括显示器202、可选择的键盘204和其他的特征的示例性移动设备200的示意图。可以在设备200上安装多个应用,并且由设备200执行所述多个应用。在一些实现中,可以通过应用的层次结构来安装应用,其中每一个应用可以被指派给包含在设备200中的一个或多个周边(例如,周边110a、110b)。可以由设备200执行每一个应用,以共同地提供对可以通过设备200得到的数据的不同程度的安全访问。设备200上的应用对数据的访问或者应用的执行可以取决于应用于应用的许可设置。针对应用的许可设置可以基于设备200针对为应用限定的多个管理策略中的每一个确定的优先级排序。
管理策略可以包括可应用于应用的许可。例如,企业策略可以准许应用仅访问企业数据。第一用户的策略可以是可准许执行应用或者不得准许执行应用的家长策略。第二用户的管理策略可以超控(override)家长策略,或者不可超控家长策略。设备的管理策略可以将应用的执行限制于例如特定的地理位置。因此,虽然多个管理策略可以限定可应用于应用的多个许可设置,但是两个或更多个管理策略可以具有冲突的许可。例如,即使用户策略授予卸载设备跟踪应用的许可,家长策略也可以拒绝卸载该应用的许可。
在一些实现中,设备200可以实现集中式策略引擎250,集中式策略引擎250可以接收由每一个管理策略限定的许可,并且确定针对每一个策略的优先级排序。集中式策略引擎250可被实现为可以由设备200执行的计算机软件指令。引擎250可以与设备200、包含在设备200中的每一个周边、设备200可以与之通信的各个网络(包括可以由设备200执行的应用、设备200上存储的数据等的提供者)进行通信。引擎250可以包含在设备200中或者可以在设备200之外。例如,引擎250可被实现为通过如图3所示的一个或多个网络与设备200进行通信的计算机服务器系统。
在一些实现中,可以使用设备200来限定针对应用的管理策略。例如,设备200可以执行集中式策略引擎250,以提供一个或多个周边管理器界面(例如,界面206a、206b、206c),所述周边管理器界面显示与可以被限定或编辑或即被限定又被编辑的管理策略相关联的许可。在一些实现中,设备200可以接收用于执行引擎250的输入。当设备200响应于输入而执行引擎250时,引擎250可以使界面显示在显示器202中。如下所述,用户可以通过选择在周边管理器界面中显示的功能(例如,功能1、功能2等)来限定与应用相关联的许可。
在一些实现中,引擎250可以在设备200中包含的每一个周边中显示周边管理器界面,并且可在此外在设备200中包含的任何一个周边之外显示至少一个周边管理器界面。例如,在用户(例如,通过下载应用)将应用安装在设备200上并且将应用指派给个人周边110a时,引擎250可以在个人周边110a中显示周边管理器界面206a。引擎250可以在安装应用时自动地在个人周边110a中显示周边管理器界面206a。备选地,引擎250可以在用户最初启动应用时显示周边管理器界面206a。引擎250可以在周边管理器界面206a中显示共同地限定与应用相关联的许可的多个功能。
引擎250可以促使设备200的用户选择在界面中显示的一个或多个功能。所显示的功能可以包括应用的开发者请求的功能。设备200可以基于用户的选择来授予许可。例如,如果用户允许的话,设备200可以授予对指派给个人周边110a的个人数据的访问权限。设备200可以基于用户的选择并且基于企业的允许应用访问企业联系人的策略来授予对指派给企业周边110b的企业联系人的访问权限。通过这种方式,引擎250可以使用户能够选择对可应用于应用的许可进行限定的功能。
在前面的示例中描述的许可可以包含在用户管理策略中。如上所述,其它管理策略可以包括供应商管理策略、家长控制管理策略、企业管理策略、周边管理策略等。对于具有可编辑功能的管理策略,引擎250可以提供一个或多个周边管理器界面,以准许管理策略的提供者选择(或取消选择)一个或多个功能。此外,引擎250可以确定一些管理策略具有固定(即,不可编辑)功能,并且作为响应,可以不提供周边管理器界面。至少部分地基于多个管理策略的多个功能来确定应用于由设备200执行的应用的许可设置。
可以向管理策略组指派针对设备200上的每一个应用或者针对在设备200上执行的应用的每一个实例的特定优先级排序。对于给定的管理策略组,针对每一个应用或者针对应用的每一个实例,优先级排序可以是不同的。
在一些实现中,为了将许可设置应用于应用,引擎250可以基于管理策略的源或来源来确定针对管理策略的优先级排序。例如,引擎250可以确定一个管理策略是设备所有者的策略,另一管理策略是用户的策略,并且引擎250可以将较高优先级排序指派给设备所有者的策略。引擎250可以具有指定如何根据每一个相应管理策略的源或来源来对管理策略进行排序的算法或配置文件。可以例如基于算法或配置来向设备所有者的管理策略提供高于周边管理者的管理策略的优先级排序或者低于周边管理者的管理策略的优先级排序。可以例如基于算法或配置来向设备所有者的管理策略提供高于用户的管理策略的优先级排序或者低于用户的管理策略的优先级排序。可以例如基于算法或配置来向周边管理者的管理策略提供高于用户的管理策略的优先级排序或者低于用户的管理策略的优先级排序。
在一些实现中,为了将许可设置应用于应用,引擎250可以基于管理策略之间的冲突来确定针对管理策略的优先级排序。例如,如果引擎250确定第一管理策略比第二管理策略更严格,则引擎250可以将较高的优先级排序指派给第二管理策略。备选地,引擎250可以将较高的优先级排序指派给比第二管理策略严格的第一管理策略。通过这种方式,引擎250可以将多个管理策略从最严格到最不严格(反之亦然)进行排序。因此,引擎250可以基于最高排序的管理策略或最低排序的管理策略(或者基于具有中间优先级排序的策略)来将许可设置应用于应用。
在一些实现中,为了将许可设置应用于应用,引擎250可以部分地基于应用所请求的数据来确定针对每一个管理策略的优先级排序。例如,如果应用请求作为企业数据(即,指派给企业周边110b的数据)的数据,则引擎250可以将最高优先级排序指派给企业管理策略。类似地,如果应用请求通过特定网络接收的网络资源,则引擎250可以将最高优先级排序指派给网络管理策略。
在一些实现中,引擎250可以在将应用安装到设备200上时确定针对多个管理策略的优先级排序,并且可以在应用保持安装在设备200上的持续时间期间维持优先级排序。备选地,引擎250可以周期性地确定针对多个管理策略的优先级排序。例如,引擎250可以每次在设备200上启动应用时确定新的优先级排序。在另一示例中,引擎250可以在固定时间段(例如,一天、一周、一月等)内确定一次或多次新的优先级排序。
在一些实现中,引擎250可以例如针对启动的应用的每一个实例,确定针对应用的管理策略是否保持有效。管理策略的源可能已经废除策略。响应于确定从其接收到管理策略的源已经废除该策略,引擎250可以重新计算针对剩余管理策略中的每一个管理策略的新的优先级排序。
在一些情况下,管理策略的源可以改变针对应用限定的许可设置。例如,家长控制管理策略可以为应用限定三个许可设置:启用、停用和禁止。如果设备200确定停用针对应用的家长控制许可设置,则设备200可以执行以下操作中的一个或多个:防止应用启动、关闭应用的任何运行中的实例、在视觉上停用主屏幕上的应用、或者从调用框架注销应用。如果已经安装了应用,则设备200可以准许应用仍然保持在设备200上。设备200还可以准许在设备200上安装应用,但是不准许启动安装的应用。另一方面,如果设备200确定针对应用的家长控制许可设置是禁止,则设备200可以立即从设备200卸载该应用或者阻止在设备上安装将来的应用(或者这二者)。家长控制许可设置是启用的应用既未被停用也未被禁止,因此不受限制。
在一些实现中,引擎250可以检测管理策略的改变,并且相应地更新优先级排序。例如,当确定针对家长控制管理策略的优先级排序时,引擎250可以确定启用家长控制许可设置。如果应用没有限制,则引擎250可以针对家长控制管理策略确定低于其它管理策略的优先级排序。随后,引擎250可以确定已经将家长控制许可设置从启用改变为停用。作为响应,引擎250可以将针对家长控制管理策略的新的优先级排序确定为大于当启用针对应用的许可设置时的优先级排序。类似地,引擎250可以响应于确定已经将设置从启用改变为禁止,确定针对家长控制管理策略的新的优先级排序。在管理策略的限制级别基于许可设置而改变的这些实例中,引擎250可以当许可设置最严格时将最高优先级排序指派给策略,并且当许可设置最不严格时,将最低优先级排序指派给策略。
在一些实现中,向管理策略指派优先级排序,而与相应管理策略指定的许可设置无关。例如,引擎250可以被配置为向家长管理策略指派较高的优先级排序并且向用户的管理策略指派较低的优先级排序,而不论该管理策略之一是更严格还是更不严格;引擎250可以被配置为向设备所有者的管理策略指派较高的优先级排序并且向用户的管理策略指派较低的优先级排序,而不论该管理策略之一是更严格还是更不严格;引擎250可以被配置为向一个周边的管理策略指派较高的优先级排序并且向另一周边的管理策略指派较低的优先级排序,而不论该管理策略之一是更严格还是更不严格;等等。
在一些情况下,当管理策略中的一个或多个改变时,优先级排序可以保持不变。例如,在一些情况下,将家长管理策略改变为更严格或更不严格不会影响针对应用的家长管理策略的优先级排序。在这些情况下,虽然针对应用的家长管理策略的优先级排序未受影响,但是可以响应于更新的家长管理策略来修改应用于应用的许可设置。例如,如果家长管理策略具有针对应用的最高优先级,则对家长管理策略的任何改变可以影响应用于应用的许可设置。
图3是示出了移动设备对网络资源的示例性使用的示意图。图3中所示的示例性使用可以在不同的时间发生,或者它们可以同时发生。在所示的示例中,设备302被配置为与公司网络304a和304b以及非公司网络304c进行通信。公司网络304a和304b可以包括企业的虚拟专用网、企业的专用Wi-Fi网络、企业的有线网络、由企业管理的另一网络。非公司网络可以包括例如公众可访问的Wi-Fi网络、蜂窝数据网络、个人无线网络、或者另一种类型的网络。设备302被配置为与之通信的每一个网络可以限定相应的网络管理策略,基于该网络管理策略,设备302可以确定尝试与网络进行通信的应用的许可设置。
设备302包括企业周边306a和个人周边306b。企业周边306a包括企业应用308a和308b,个人周边306b包括个人应用308c和308d。企业周边306a包括虚拟专用网数据310和企业连接数据312a。个人周边包括其它连接数据312b。与每一个网络类似,每一个周边也可以限定相应的周边管理策略,设备302可以基于该相应的周边管理策略来确定在周边中执行的应用或者尝试访问指派给该周边的数据(或者这二者)的应用的许可设置。
设备302可以使用企业周边306a的网络资源来访问公司网络304a和304b,并且该设备可以使用个人周边306b的网络资源来访问非公司网络304c。在一些情况下,网络304a、304b和304c中的每一个可以提供对其它系统的访问。例如,网络304a、304b和304c中的一个或多个可以为设备302提供互联网访问。一些网络可以仅提供对特定服务器、数据库或系统的访问。例如,公司网络304a可以仅提供对公司电子邮件服务器的访问。设备302可以通过物理接口314的任何适当的组件连接到网络304a、304b、以及304c中的任意一个。例如,连接硬件可以包括针对以下各项的硬件:Wi-Fi连接、蜂窝连接、蓝牙、通用串行总线(USB)、射频识别(RFID)、近场通信(NFC)、或其它连接技术。
虚拟专用网数据310提供与公司网络304a的安全连接。在图3中所示的示例中,虚拟专用网数据310用于将企业应用308a的企业数据业务路由到公司网络304a。企业周边306a中的企业连接数据312a提供与公司网络304b的连接,并且个人周边306b中的其它连接数据312b提供与其它网络304c的连接。在图3中所示的示例中,企业连接数据312a用于将企业应用308b的企业数据业务路由到公司网络304b,并且企业连接数据312a还用于将个人应用308c的个人数据业务路由到公司网络304b。
在一些实现中,连接数据312a和312b可以包括加密信息、网络设置和信息、密码、证书、以及其它数据。如上所述,每一个周边可以包括针对应用的周边管理策略、以及周边之内的网络资源、周边之外的网络资源或者周边之内的网络资源和周边之外的网络资源。例如,设备302可以包括允许公司周边306b中的公司应用访问个人周边306b中的数据(例如,其它连接数据312b、或者其它数据)的企业周边管理策略(例如,指派给企业周边306a的策略)。也可以通过与设备302通信的其他实体(例如,企业、一个或多个用户等)来限定对应用的许可设置进行确定的管理策略。此外,设备302本身可以限定管理策略。此外,从其接收到应用的源(例如,应用的提供者)可以限定可影响设备302对应用的执行以及设备302的一个或多个用户对应用的访问的管理策略。因此,在一些实现中,多个管理策略可以包括以下各项中的至少两项:企业策略、个人策略、应用策略、家长策略、或设备策略。
在一些情况下,来自不同的源的管理策略可能交叉。例如,个人周边管理策略和企业周边管理策略可以各自指定与个人应用(即,个人周边110a中包含的应用)有关的、访问企业周边110b中包含的工作联系人的相应许可。如果该两个周边管理策略都准许,则所有个人应用都可以具有用于访问工作联系人的相应的许可设置。供应商管理策略可以与周边管理策略交叉。例如,如果供应商指定只有由供应商提供的应用才可以访问在安装有应用的周边之外的数据,则供应商管理策略可以比其它策略排序更高,并且只有供应商提供并包含在个人周边中的应用可以访问工作联系人。然而,如果用户限定了个人应用不能访问未包含在个人周边中的数据的用户管理策略,则用户管理策略可以比所有其它管理策略排序更高。相反,如果用户未指定这种访问(例如,作为周边管理器界面中的功能),则用户管理策略可以比其它策略排序更低。
图4是示出了用于管理针对移动设备上的应用的许可设置的示例性过程400的流程图。过程400可以由通信系统中的用户设备来执行。例如,过程400可以由如图1中所示的设备102、如图2中所示的设备200、如图3中所示的设备302、或者另一种类型的系统或模块来执行。可以使用其他的、更少的或不同的操作来执行图4中所示的示例性过程400,其中,可以以所示的顺序或者以不同的顺序来执行这些其他的、更少的或不同的操作。在一些实现中,例如,可以重复或迭代操作中的一个或多个,直到达到终止条件为止。
在一些实现中,设备可以包括与设备的用户相关联的个人周边。个人周边中的应用可以包括任何适当的应用,例如,日历、电子邮件、游戏、工具等。设备可以包括多个个人周边,并且每一个个人周边可以与相同的用户相关联,或者它们可以分别与不同的用户相关联。例如,多个用户可以被授权使用该设备,并且每一个用户可以在设备上具有其自己的个人周边。每一个个人周边可以与相应的管理策略相关联。备选地,每一个用户可以与相应的管理策略相关联,该相应的管理策略还与关联于用户的个人周边相关联。
在一些实现中,用户设备包括与企业(例如,工商企业、合伙企业或其它企业)相关联的企业周边。例如,企业可以拥有设备,并且将设备指派给特定的用户。企业周边可以包括任何适当的网络资源,例如,虚拟专用网账户、Wi-Fi访问数据等。这种企业还可以针对设备或用户或者这二者限定和关联管理策略。企业针对设备限定的管理策略可以是一致的,而与设备的用户无关。备选地,企业可以针对设备的每一个用户限定管理策略。企业管理者可以设置设备策略,或者配置设备以供企业使用。在一些实例中,用户设备包括多个企业周边。每一个企业周边可以与相同的企业相关联,或者它们可以分别与不同的企业相关联。例如,用户可以拥有设备,并且针对与他或她相关联的每一个企业具有周边。
在410,设备识别应用于与设备上的周边相关联的应用的多个管理策略。例如,设备可以识别用户的管理策略、设备所有者的管理策略、家长管理策略、企业管理策略、一个或多个周边管理策略等。所识别的管理策略中的一些或全部可以具有不同的许可设置或访问设置。例如,管理策略中的一个可以准许访问指定周边中的所有资源,而管理策略中的另一个拒绝访问相同周边中的指定资源。
在420,设备针对应用确定针对多个管理策略中的每一个管理策略的优先级排序。设备基于与应用相关联的周边来确定针对管理策略中的至少一个管理策略的优先级排序。例如,当用户的个人管理策略应用于在用户的个人周边中运行的应用时,可以向用户的个人管理策略指派较高的排序,并且当用户的个人管理策略应用于在另一周边(例如,企业周边)中运行的应用时,可以向用户的个人管理策略指派较低的排序。作为另一示例,当周边的管理策略应用于在周边中运行的应用时,可以向该周边的管理策略指派较高排序,并且当周边的管理策略应用于在该周边之外(例如,在另一周边中)运行的应用时,可以向该周边的管理策略指派较低的排序。
可以基于管理策略的源来确定针对给定管理策略的优先级排序。例如,可以向设备所有者的管理策略指派高于设备用户的管理策略的优先级排序。在一些情况下,多个管理策略具有相同的优先级排序,或者可以向所有管理策略提供不同的优先级排序。可以基于给定管理策略的内容来确定针对该管理策略的优先级排序。例如,可以向较严格的管理策略指派高于或低于较不严格的管理策略的优先级排序。
在430,设备基于针对多个管理策略的优先级排序将许可设置应用于应用。应用于应用的许可设置可以是最高排序的管理策略的许可设置。应用于应用的许可设置可以是根据多个高排序的管理策略导出的许可设置的组合。
在一些情况下,最高排序的管理策略没有具有较低优先级排序的其它管理策略严格。在这些情况下,应用于应用的许可设置可以准许具有较低优先级排序的管理策略中的一个或多个管理策略将不会准许的动作。在一些情况下,最高排序的管理策略比具有较低优先级排序的其它管理策略更严格。在这些情况下,应用于应用的许可设置可以禁止具有较低优先级排序的管理策略中的一个或多个管理策略将不会准许的动作。
在这里描述的内容的一些方面,数目不限的授权策略提供者向设备提供策略决策。该设备可以在不同环境中对这些策略提供者的相关性和相对优先级进行归类或优先分配(triage)。
在这里描述的内容的一些方面,识别应用于与设备上的周边相关联的应用的多个管理策略。基于与应用相关联的周边来针对应用确定针对于每一个管理策略的优先级排序。将基于优先级排序的许可设置应用于应用。
这些和其它方面的实现可以包括以下特征中的一个或多个。多个管理策略可以包括以下各项中的至少两项:企业策略、个人策略、应用策略、家长策略、或设备策略。多个管理策略可以包括第一管理策略和第二管理策略。基于针对多个管理策略的优先级排序来将许可设置应用于应用可以包括:确定第一管理策略与第二管理策略相冲突,并且响应于确定第二管理策略具有高于第一管理策略的优先级排序,应用第二管理策略。许可设置可以基于具有最高优先级排序的管理策略。具有最高优先级排序的管理策略可以是多个管理策略中最严格的管理策略。具有最高优先级排序的管理策略可以是多个管理策略中最不严格的管理策略。可以部分地基于应用所请求的数据来确定针对多个管理策略中的每一个管理策略的优先级排序。可以针对在设备上启动的应用的实例来确定优先级排序。可以针对在设备上启用的应用的每一个新的实例来重新确定新的优先级排序。可以从一个或多个源接收多个管理策略。可以确定从其接收到管理策略的源已经废除该管理策略。响应于确定源已经废除该管理策略,可以针对剩余管理策略中的每一个计算新的优先级排序。可以在设备上提供周边管理器界面。在周边管理器界面中,可以提供用于编辑管理策略的功能。
已经描述了多个实现。但是,将理解的是,可以进行各种修改。步骤的顺序的其它变形也是可能的。因此,其它实现落入下面的权利要求的范围内。
Claims (13)
1.一种计算机执行的方法,包括:
识别应用于与设备上的周边相关联的应用的多个管理策略;
针对所述应用,确定针对所述多个管理策略中的每个管理策略的优先级排序,其中,针对所述管理策略中的至少一个管理策略的优先级排序是基于与所述应用相关联的所述周边来确定的;以及
基于针对所述多个管理策略的所述优先级排序,将许可设置应用于所述应用。
2.根据权利要求1所述的方法,其中,所述多个管理策略包括以下至少两项:企业策略、个人策略、应用策略、家长策略、或者设备策略。
3.根据权利要求1或2所述的方法,其中,所述多个管理策略包括由不同的策略提供者提供的至少两个管理策略。
4.根据前述权利要求中任意一项所述的方法,其中,所述多个管理策略包括第一管理策略和第二管理策略,以及基于针对所述多个管理策略的所述优先级排序来将所述许可设置应用于所述应用包括:
确定所述第一管理策略与所述第二管理策略相冲突;以及
响应于确定所述第二管理策略具有高于所述第一管理策略的优先级排序,应用所述第二管理策略。
5.根据前述权利要求中任意一项所述的方法,其中,所述许可设置基于具有最高优先级排序的管理策略。
6.根据权利要求5所述的方法,其中,所述具有最高优先级排序的管理策略是所述多个管理策略中最严格的管理策略。
7.根据权利要求5所述的方法,其中,所述具有最高优先级排序的管理策略是所述多个管理策略中最不严格的管理策略。
8.根据前述权利要求中任意一项所述的方法,还包括:部分地基于所述应用请求的数据,确定针对所述多个管理策略中的每个管理策略的优先级排序。
9.根据前述权利要求中任意一项所述的方法,其中,针对在所述设备上启动的所述应用的实例确定优先级排序,以及针对在所述设备上启动的所述应用的每个新的实例重新确定新的优先级排序。
10.根据前述权利要求中任意一项所述的方法,其中,所述多个管理策略是从一个或多个源接收的,并且所述方法还包括:
确定从其接收到管理策略的源已经废除所述管理策略;以及
响应于确定所述源已经废除所述管理策略,重新计算针对剩余管理策略中的每个管理策略的新的优先级排序。
11.根据前述权利要求中任意一项所述的方法,还包括:
在所述设备上提供周边管理器界面;以及
在所述周边管理器界面中提供用于编辑管理策略的功能。
12.一种设备,包括:
数据处理装置;以及
计算机可读介质,所述计算机可读介质存储能够由所述数据处理装置执行以执行根据权利要求1至11中任意一项所述的方法的指令。
13.一种计算机可读介质,所述计算机可读介质存储能够由数据处理装置执行以执行根据权利要求1至11中任意一项所述的方法的指令。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP12189805.0 | 2012-10-24 | ||
| EP12189805.0A EP2725513B1 (en) | 2012-10-24 | 2012-10-24 | Managing permission settings applied to applications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103778364A true CN103778364A (zh) | 2014-05-07 |
| CN103778364B CN103778364B (zh) | 2017-09-22 |
Family
ID=47435701
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310504548.5A Active CN103778364B (zh) | 2012-10-24 | 2013-10-23 | 管理应用于应用的许可设置 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP2725513B1 (zh) |
| CN (1) | CN103778364B (zh) |
| CA (1) | CA2830880C (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107731240A (zh) * | 2016-08-12 | 2018-02-23 | 黑莓有限公司 | 用于合成引擎声音的系统和方法 |
| US11375407B2 (en) | 2017-11-27 | 2022-06-28 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Method and apparatus for negotiation of user equipment policy delivery |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9110750B2 (en) * | 2011-10-19 | 2015-08-18 | Good Technology Corporation | Application installation system |
| EP2947848B1 (en) * | 2014-05-20 | 2018-07-11 | 2236008 Ontario Inc. | System and method for granting permission for a machine action |
| CN107103245B (zh) * | 2016-02-23 | 2022-08-02 | 中兴通讯股份有限公司 | 文件的权限管理方法及装置 |
| CN115225966B (zh) * | 2022-07-28 | 2023-11-14 | 深圳市雷鸟网络传媒有限公司 | 应用启动方法、装置、终端设备和存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090260052A1 (en) * | 2008-04-11 | 2009-10-15 | Microsoft Corporation | Inter-Process Message Security |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8072901B1 (en) * | 2005-05-09 | 2011-12-06 | Cisco Technology, Inc. | Technique for efficient probing to verify policy conformance |
| WO2009021200A1 (en) * | 2007-08-08 | 2009-02-12 | Innopath Software, Inc. | Managing and enforcing policies on mobile devices |
-
2012
- 2012-10-24 EP EP12189805.0A patent/EP2725513B1/en active Active
-
2013
- 2013-10-18 CA CA2830880A patent/CA2830880C/en active Active
- 2013-10-23 CN CN201310504548.5A patent/CN103778364B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090260052A1 (en) * | 2008-04-11 | 2009-10-15 | Microsoft Corporation | Inter-Process Message Security |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107731240A (zh) * | 2016-08-12 | 2018-02-23 | 黑莓有限公司 | 用于合成引擎声音的系统和方法 |
| US11375407B2 (en) | 2017-11-27 | 2022-06-28 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Method and apparatus for negotiation of user equipment policy delivery |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103778364B (zh) | 2017-09-22 |
| CA2830880C (en) | 2021-03-09 |
| EP2725513B1 (en) | 2018-12-19 |
| CA2830880A1 (en) | 2014-04-24 |
| EP2725513A1 (en) | 2014-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9075955B2 (en) | Managing permission settings applied to applications | |
| US8656016B1 (en) | Managing application execution and data access on a device | |
| US10848520B2 (en) | Managing access to resources | |
| KR102403480B1 (ko) | 장치 정책 관리자 | |
| US8850041B2 (en) | Role based delegated administration model | |
| WO2020009894A1 (en) | Access management tags | |
| US20120167167A1 (en) | Enabling granular discretionary access control for data stored in a cloud computing environment | |
| EP3025229B1 (en) | Data communications management | |
| WO2018160504A1 (en) | Delegating security policy management authority to managed accounts | |
| CN103778364A (zh) | 管理应用于应用的许可设置 | |
| US20160373452A1 (en) | Managing use of network resources | |
| US8180894B2 (en) | System and method for policy-based registration of client devices | |
| CA2829805C (en) | Managing application execution and data access on a device | |
| US20190334922A1 (en) | System and method for securing electronic devices | |
| US20060156020A1 (en) | Method and apparatus for centralized security authorization mechanism | |
| JP2017049853A (ja) | 権限情報管理システム及び権限情報管理プログラム | |
| CN107566375B (zh) | 访问控制方法和装置 | |
| CN115766296A (zh) | 用户账户的权限控制方法、装置、服务器和存储介质 | |
| JP2007004610A (ja) | 複合的アクセス認可方法及び装置 | |
| Koot | Introduction to Access Control (v4) | |
| CA2854540C (en) | Managing cross perimeter access | |
| US20210306348A1 (en) | System and method for securing electronic devices | |
| CA2820687C (en) | Managing use of network resources | |
| CN118035982A (zh) | 用户权限管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: 2236008 ONTARIO INC. Free format text: FORMER OWNER: 8758271 CANADIAN INC. Effective date: 20140725 Owner name: 8758271 CANADIAN INC. Free format text: FORMER OWNER: QNX SOFTWARE SYSTEMS CO., LTD. Effective date: 20140725 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20140725 Address after: Voight, Ontario, Canada Applicant after: BlackBerry Ltd. Applicant after: 2236008 ONTARIO Inc. Address before: Voight, Ontario, Canada Applicant before: Blackberry Ltd. Applicant before: 8758271 Canadian Ex-plosives Ltd Effective date of registration: 20140725 Address after: Voight, Ontario, Canada Applicant after: BlackBerry Ltd. Applicant after: 8758271 Canadian Ex-plosives Ltd Address before: Voight, Ontario, Canada Applicant before: Blackberry Ltd. Applicant before: QNX Software Systems Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200526 Address after: Voight, Ontario, Canada Patentee after: BlackBerry Ltd. Address before: Voight, Ontario, Canada Co-patentee before: 2236008 Ontario Inc. Patentee before: BlackBerry Ltd. |