CN105393524A - 图像分析和管理 - Google Patents
图像分析和管理 Download PDFInfo
- Publication number
- CN105393524A CN105393524A CN201480037715.2A CN201480037715A CN105393524A CN 105393524 A CN105393524 A CN 105393524A CN 201480037715 A CN201480037715 A CN 201480037715A CN 105393524 A CN105393524 A CN 105393524A
- Authority
- CN
- China
- Prior art keywords
- image
- work product
- enterprise
- manager
- mobile device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/88—Detecting or preventing theft or loss
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V30/00—Character recognition; Recognising digital ink; Document-oriented image-based pattern recognition
- G06V30/40—Document-oriented image-based pattern recognition
- G06V30/41—Analysis of document content
- G06V30/413—Classification of content, e.g. text, photographs or tables
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V30/00—Character recognition; Recognising digital ink; Document-oriented image-based pattern recognition
- G06V30/40—Document-oriented image-based pattern recognition
- G06V30/41—Analysis of document content
- G06V30/416—Extracting the logical structure, e.g. chapters, sections or page numbers; Identifying elements of the document, e.g. authors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00838—Preventing unauthorised reproduction
- H04N1/0084—Determining the necessity for prevention
- H04N1/00843—Determining the necessity for prevention based on recognising a copy prohibited original, e.g. a banknote
- H04N1/00846—Determining the necessity for prevention based on recognising a copy prohibited original, e.g. a banknote based on detection of a dedicated indication, e.g. marks or the like
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00838—Preventing unauthorised reproduction
- H04N1/00856—Preventive measures
- H04N1/00859—Issuing an alarm or the like
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00838—Preventing unauthorised reproduction
- H04N1/00856—Preventive measures
- H04N1/00875—Inhibiting reproduction, e.g. by disabling reading or reproduction apparatus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/44—Secrecy systems
- H04N1/4406—Restricting access, e.g. according to user identity
- H04N1/444—Restricting access, e.g. according to user identity to a particular document or image or part thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Automation & Control Theory (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本文描述了允许企业分析和管理被存储在移动设备上的工作产品图像的系统、方法和装置。企业的员工可以使用移动设备以存储工作产品图像(例如,敏感的或专有的信息的图像)和非工作产品图像(例如,个人图像)两者。企业可能期望对工作产品图像执行安全性协议,但是员工可能不想安全性协议被应用于非工作产品图像。在一些实施例中,通过安装和执行能够分析和管理图像的图像管理器,企业可以仅仅对工作产品图像执行安全性协议。这样的安全性协议可以包括防止工作产品图像的未经授权的查看(例如,通过对工作产品图像进行加密)或当员工的雇用已经结束时从移动设备删除任何工作产品图像。
Description
相关案例的交叉引用
本申请要求于2013年5月3日提交的申请号为13/886,543的美国申请的优先权。
领域
本文描述的方面总体上涉及图像分析。更具体地,各个方面提供用于自动检测在图像文件中描绘的内容和基于检测的图像自动执行动作的技术。
背景
移动设备已经变成重要的商业工具。甚至当用户使用他的或她的移动设备用于商务或商业用途时,设备日益由用户拥有而不是由雇主拥有。移动设备以其被使用的方式中的一种是作为会议中的工具以通过使用移动设备上的内置摄像机来给信息进行拍照来获得照片以捕获在白板或活动挂图上的协作的结果。这样的信息可以属于雇主或由雇主拥有,而不管照片可以连同关于该用户的其它图像(其可以包括家庭照片和其它个人图像)被存储在用户的移动设备照片库中的事实。描绘雇主拥有的信息的图像可以在本文被称为“工作产品图像(workproductimage)”。
当员工离开公司时,员工经常被要求在离开之前返回任何公司拥有的知识产权(IP)。这可以包括工作产品图像。然而,不存在使公司或雇主从用户的设备删除(擦除)工作产品图像而不擦除整个照片或图像图库的方式。然而,擦除整个图库将移除所有的用户照片(个人和企业两者)。
简要概述
以下的内容呈现了本文描述的各个方面的简化概述。该概要并非广泛的综述,并且并非旨在确定关键或重要元素或描绘权利要求的范围。以下的概述仅仅以简化形式呈现一些概念作为对以下提供的更详细的描述的介绍性的前奏。
为了克服以上描述的现有技术中的限制,并且克服在阅读和理解本说明书时将明显的其它限制,本文描述的方面针对用于处理存储在移动设备上的图像以对每个图像的内容进行分类以及将特定类型的图像识别为潜在的企业财产的技术。被分类为企业财产的图像可以随后被不同于未被分类为企业财产的图像来管理。换言之,本文描述的方面选择性地识别和控制描绘公司(非个人)信息的图像(当这些图像与用户拥有的非企业(个人)内容混合时)。
本文描述的各个方面提供允许工作产品图像的分析和管理的方法、系统和装置。根据一个或多个方面,工作产品的分析和管理可以包括向由企业提供的企业资源或企业服务来注册移动设备;将图像管理器安装在移动设备上;以及在移动设备上执行图像管理器。
图像管理器可以被配置为执行各种功能,包括例如:选择存储在移动设备上的第一图像;处理第一图像以识别在第一图像中存在的一个或多个元素;基于在第一图像中存在的一个或多个元素确定第一图像是工作产品图像;响应于确定第一图像是工作产品图像,将第一图像的副本存储到工作产品图像备份位置并且编辑第一图像以防止在移动设备上的第一图像的未经授权的查看;确定动作已经发生,例如指示移动设备的用户不再由企业雇用的动作;并且响应于确定动作已经发生,执行从移动设备的工作产品图像的删除,其包括从移动设备删除第一图像。在一些布置中,其它图像,例如被确定是非工作产品图像的那些图像,可以在工作产品图像的删除期间被忽视。
其它方面涉及基于限制的图像安全执行用户动作的图像管理器。例如,当用户查看或打开工作产品图像时,图像管理器可以从工作产品图像移除限制的图像安全。图像管理器还可以将限制的图像安全重新应用于工作产品图像(当用户关闭工作产品图像时)。
另外的方面可以涉及工作产品图像如何被确定。例如,确定图像是否是工作产品图像可以取决于在图像中存在的元素。在一些变型中,白板、图表(例如,活动挂图)、手绘写作、手绘图形或机器可读代码(例如,快速识别码或条形码)的存在可以用于确定图像是否是工作产品图像。
附图简述
通过参考考虑到附图的以下描述可以获得本文描述的方面和其优点的更完整的理解,其中相似的参考数字指示相似的特征,并且在附图中:
图1描绘了可以根据本文描述的一个或多个说明性方面使用的说明性计算机系统架构。
图2描绘了可以根据本文描述的一个或多个说明性方面使用的说明性远程访问系统架构。
图3描绘了可以根据本文描述的一个或多个说明性方面使用的说明性虚拟化(超级管理器)系统架构。
图4描绘了可以根据本文描述的一个或多个说明性方面使用的说明性基于云的系统架构。
图5描绘了说明性企业移动管理系统。
图6描绘了另一个说明性企业移动管理系统。
图7描绘了用于根据本文描述的一个或多个说明性方面来分析和管理图像的方法。
图8根据本文描述的各个方面描绘了可以存在于图像中的各个元素。
图9根据本文描述的一个或多个说明性方面描绘了具有限制的图像安全的示例图像。
详细描述
在各个实施例的以下描述中参考了以上确认的附图,并且其形成本文的一部分,并且其中通过说明的方式示出了各个实施例,其中本文描述的各方面可以被实践。应当理解的是,其它实施例可以被利用,并且结构性的和功能性的修改可以被做出,而不偏离本文描述的范围。各个方面能够以其它的实施例并且能够被以各种不同的方式来实践或实施。
作为对下文更加详细描述的主题的总体介绍,本文描述的方面提供允许企业分析和管理存储在移动设备上的工作产品图像的系统、方法和装置。企业的员工可以使用移动设备以存储工作产品图像(例如,敏感或专有信息的图像)和非工作产品图像(例如,个人图像)两者。企业可能期望对工作产品图像执行安全协议,但是员工可能不想安全协议应用于非工作产品图像。在一些实施例中,通过安装和执行能够分析和管理图像的图像管理器,企业可以仅仅对工作产品图像执行安全协议。这样的安全协议可以包括防止工作产品图像的未经授权的查看(例如,通过对工作产品图像进行加密)或当员工的雇用结束时从移动设备删除任何工作产品图像(但是忽视存储在移动设备上的非工作产品图像)。
应当理解的是,本文使用的措辞和术语是为了描述的目的,并且不应当被视为限制性的。相反,本文使用的短语和术语将被给出它们最广义的解释和含义。“包括(including)”和“包含(comprising)”及其变化的使用旨在包含其后列出的项以及其等价物以及其附加的项和等价物。术语“安装的(mounted)”、“连接的(connected)”、“耦合的(coupled)”、“定位的(positioned)”、“接合的(engaged)”以及类似术语的使用旨在包括直接和间接安装、连接、耦合、定位和接合两者。
计算架构
计算机软件、硬件和网络可以被在各种不同的系统环境中使用,其中各种不同的系统环境除了别的之外包括独立的、联网的、远程访问(又叫做远程桌面)、虚拟化的和/或基于云的环境。图1示出了可以用于在独立的和/或联网的环境中实现本发明的一个或多个说明性方面的系统架构和数据处理设备的一个示例。各个网络节点103、105、107和109可以经由广域网(WAN)101(例如互联网)来互连。其它网络也可以或可选地被使用,包括私人企业内部网、公司网络、LAN、城域网(MAN)无线网络、个人网络(PAN)等等。网络101是为了说明的目的并且可以用较少的或附加的计算机网络来代替。局域网(LAN)可以具有任何已知的LAN拓扑结构中的一个或多个以及可以使用各种不同的协议中的一个或多个(例如以太网)。设备103、105、107、109和其它设备(未示出)可以经由双绞线、同轴电缆、光纤、无线电波或其它通信介质连接到网络中的一个或多个。
如在本文使用和在附图中描绘的术语“网络”不仅指的是其中远程存储设备经由一个或多个通信路径被耦合在一起的系统,而且指的是可以不时耦合到具有存储能力的这样的系统的独立的设备。因此,术语“网络”不仅包括“物理网络”,而且包括“内容网络”,其由驻留在全部物理网络上归属于单个实体的数据组成。
组件可以包括数据服务器103、web服务器105和客户端计算机107、109。数据服务器103提供数据库的总访问、控制和管理以及用于执行如本文描述的本发明的一个或多个说明性方面的控制软件。数据服务器103可以连接到web服务器105,用户通过web服务器105根据要求进行交互和获得数据。可选地,数据服务器103可以用作web服务器本身并且可以直接连接到互联网。数据服务器103可以通过网络101(例如互联网)经由直接或间接连接或经由一些其它网络连接到web服务器105。用户可以使用远程计算机107、109(例如使用web浏览器)与数据服务器103交互以经由web服务器105托管的一个或多个暴露在外的网站连接到数据服务器103。客户端计算机107、109可以与数据服务器103一致使用以访问其中存储的数据或可以用于其它目的。例如,从客户端设备107用户可以使用web浏览器(如本领域已知的)或通过执行通过计算机网络(例如互联网)与web服务器105和/或访问数据服务器103进行通信的软件应用来访问web服务器105。
服务器和应用可以被组合在相同的物理机器上并且保持独立的虚拟或逻辑地址,或可以驻留在独立的物理机器上。图1仅仅示出了可以使用的网络架构的一个示例,并且本领域的技术人员将理解的是,所使用的特定的网络架构和数据处理设备可以变化,并且对于它们提供的功能是次要的(如本文进一步描述的)。例如,由web服务器105和数据服务器103提供的服务可以组合在单个服务器上。
每个组件103、105、107、109可以是任何类型的已知的计算机、服务器或数据处理设备。数据服务器103例如可以包括控制速率服务器103的整体操作的处理器111。数据服务器103还可以包括RAM113、ROM115、网络接口117、输入/输出接口119(例如,键盘、鼠标、显示器、打印机等)以及存储器121。I/O119可以包括用于读取、写入、显示和/或打印数据或文件的各种接口单元和设备。存储器121还可以存储用于控制数据处理设备103的整体操作的操作系统软件123、用于指令数据服务器103以执行如本文描述的本发明的方面的控制逻辑125和提供次要的支持和/或其它功能的其它应用软件127(其可以或不可以结合本发明的方面来使用)。控制逻辑在本文还可以被称为数据服务器软件125。数据服务器软件的功能可以指的是基于编码成控制逻辑的规则自动进行的、由用户将输入提供到系统中手动进行的操作和决定和/或基于用户输入(例如查询、数据更新等)的自动处理的组合。
存储器121还可以存储在执行本文描述的一个或多个方面时使用的数据(包括第一数据库129和第二数据库131)。在一些实施例中,第一数据库可以包括第二数据库(例如,作为单独的表格、报告等)。也就是说,根据系统设计,信息可以被存储在单个数据库中,或分离成不同的逻辑、虚拟、或物理数据库。设备105、107、109可以具有与关于设备103描述的架构类似的或不同的架构。本领域技术人员将理解的是,如本文描述的数据处理设备103(或设备105、107、109)的功能可以跨越多个数据处理设备而分布(例如以跨越多个计算机分配处理负荷)以基于地理位置、用户访问级别、服务质量(QoS)等来将事务分开。
一个或多个方面可以以计算机可用或可读的数据和/或计算机可执行的指令(例如,在由如本文描述的一个或多个计算机或其它设备执行的一个或多个程序模块中)来体现。通常,程序模块包括当由计算机或其它设备中的处理器执行时执行特定的任务或实现特定的抽象数据类型的例程、程序、对象、组件、数据结构等。模块可以以随后被编译用于执行的源代码编程语言来编写或可以以例如(但不限于)HTML或XML的脚本语言来编写。计算机可执行指令可以被存储在计算机可读介质(例如非易失性存储介质)上。任何合适的计算机可读存储介质可以被利用,其包括硬盘、CD-ROM、光存储设备、磁存储设备和/或其任何组合。此外,表示如本文描述的数据或事件的各种传输(非存储)介质可以以经过信号传导介质(例如,金属线、光纤)和/或无线传输介质(例如,空气和/或空间)的电磁波的形式在源和目的地之间传递。本文描述的各个方面可以体现为方法、数据处理系统或计算机程序产品。因此,各个功能可以全部或部分以软件、固件和/或硬件或硬件等价物(例如,集成电路、现场可编程门阵列(FPGA)等等)来体现。特定数据结构可以用于更有效地实现本发明的一个或多个方面,并且这样的数据结构被预期在本文描述的计算机可执行指令和计算机可用数据的范围之内。
进一步参考图2,本文描述的一个或多个方面可以在远程访问环境中实现。图2示出了包括在说明性计算环境200中的通用计算设备201的示例系统架构,其可以根据本文描述的一个或多个说明性方面来使用。通用计算设备201可以用作被配置为提供客户端访问设备的虚拟机的单服务器或多服务器桌面虚拟化系统(例如远程访问或云系统)中的服务器206a。通用计算设备201可以具有用于控制服务器的整体操作的处理器203及其相关组件(包括随机访问存储器(RAM)205、只读存储器(ROM)207、输入/输出(I/O)模块209和存储器215)。
I/O模块209可以包括鼠标、键盘、触摸屏、扫描仪、光学阅读器和/或触针(或其它输入设备),通用计算设备201的用户通过其可以提供输入,并且还可以包括用于提供音频输出的扬声器和用于提供文本、视听和/或图形输出的视频显示设备中的一个或多个。软件可以被存储在存储器215和/或其它储存器内以向处理器203提供用于将通用计算设备201配置成专用计算设备以便执行如本文描述的各种功能的指令。例如,存储器215可以存储由计算设备201使用的软件(例如,操作系统217、应用程序219和相关的数据库221)。
计算设备201可以在支持到例如终端240(也被称为客户端设备)的一个或多个远程计算机的连接的联网的环境中操作。终端240可以是个人计算机、移动设备、膝上型计算机、平板电脑、或包括以上关于通用计算设备103或201描述的很多或所有元件的服务器。在图2中示出的网络连接包括局域网(LAN)225和广域网(WAN)229,但是还可以包括其他网络。当在LAN联网环境中使用时,计算设备201可以通过网络接口或适配器223连接到LAN225。当在WAN联网环境中使用时,计算设备201可以包括调制解调器227或用于通过例如计算机网络230(例如互联网)的WAN229建立通信的其它广域网络接口。将理解的是,所示出的网络连接是说明性的,并且可以使用在计算机之间建立通信链路的其它装置。计算设备201和/或终端240还可以是移动终端(例如,移动电话、智能电话、PDA、笔记本电脑等等),其包括各种其它组件(例如,电池、扬声器和天线(未示出))。
本文描述的方面还可以利用众多其它通用或专用计算系统环境或配置来操作。可以适于与本文描述的方面一起使用的其它计算系统、环境和/或配置的示例包括但不限于个人计算机、服务器计算机、手持设备或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络PC、小型计算机、大型计算机、包括以上系统或设备中的任一个的分布式计算环境等等。
如图2中所示,一个或多个客户端设备240可以与一个或多个服务器206a-206n(在本文通常称为“服务器206”)进行通信。在一个实施例中,计算环境200可以包括安装在服务器206和客户端机器240之间的网络设备。网络设备可以管理客户端/服务器连接,并且在某些情况下可以在多个后端服务器206之间对客户端连接进行负载均衡。
客户端机器240可以在某些实施例中被称为单客户端机器240或单组客户端机器240,而服务器206可以被称为单服务器206或单组服务器206。在一个实施例中,单客户端机器240与多于一个服务器206进行通信,而在另一个实施例中,单服务器206与多于一个客户端机器240进行通信。在又一实施例中,单客户端机器240与单服务器206进行通信。
在一些实施例中,客户端机器240可以通过以下非穷举术语中的任何一个来引用:客户端机器(多个);客户端(多个);客户端计算机(多个);客户端设备(多个);客户端计算设备(多个);本地机器(多个);远程机器(多个);客户端节点(多个);端点(多个);或端点节点(多个)。在某些实施例中,服务器206可以通过以下非穷举术语中的任何一个来引用:服务器(多个);本地机器;远程机器;服务器群(多个)或主计算设备(多个)。
在一个实施例中,客户端机器240可以是虚拟机。虚拟机可以是任何虚拟机,而在一些实施例中,虚拟机可以是由1型或2型超级管理器(例如,由CitrixSystems、IBM、VMware开发的超级管理器)或任何其它超级管理器管理的任何虚拟机。在一些方面中,虚拟机可以由超级管理器管理,而在一些方面中,虚拟机可以由在服务器206上执行的超级管理器或在客户端240上执行的超级管理器来管理。
一些实施例包括显示由在服务器206或其它位于远程的机器上远程执行的应用生成的应用输出的客户端设备240。在这些实施例中,客户端设备240可以执行虚拟机接收器程序或应用以在应用窗口、浏览器或其它输出窗口中显示输出。在一个示例中,应用是桌面,而在其它示例中,应用是生成或呈现桌面的应用。桌面可以包括为操作系统的实例提供用户界面的图形壳,其中,本地和/或远程应用可以被集成。如本文使用的应用是在操作系统(并且,可选地,也有桌面)的实例已经被加载后执行的程序。
在一些实施例中,服务器206使用远程表示协议或其它程序以发送数据到瘦客户端或在客户端上执行的远程显示应用以呈现由在服务器206上执行的应用生成的显示输出。瘦客户端或远程显示协议可以是以下非穷举列表的协议中的任何一个:由Ft.Lauderdale,Florida的CitrixSystems公司开发的独立计算架构(ICA)协议;或由Redmond,Washington的微软公司制作的远程桌面协议(RDP)。
远程计算环境可以包括多于一个服务器206a-206n,使得服务器206a-206n被逻辑组合成服务群206(例如,在云计算环境中)。服务器群206可以包括在地理上分散然而并且逻辑地组合在一起的服务器206或彼此靠近定位同时逻辑地组合在一起的服务器206。在一些实施例中,在服务器群206内的地理上分散的服务器206a-206n可以使用WAN(广域)、MAN(城域)或LAN(局域)进行通信,其中,不同的地理区域可以被表征为:不同的洲;洲的不同区域;不同的国家;不同的州;不同的城市;不同的校园;不同的房间;或前述地理位置的任何组合。在一些实施例中,服务器群206可以作为单个实体来管理,而在一些实施例中,服务器群206可以包括多个服务器群。
在一些实施例中,服务器群可以包括执行实质上类似类型的操作系统平台(例如,WINDOWS、UNIX、LINUX、iOS、ANDROID、SYMBIAN等等)的服务器206。在其它实施例中,服务器群206可以包括执行第一类型的操作系统平台的第一组一个或多个服务器以及执行第二类型的操作系统平台的第二组一个或多个服务器。
服务器206可以根据需要被配置为任何类型的服务器(例如,文件服务器、应用服务器、web服务器、代理服务器、设备、网络设备、网关、应用网关、网关服务器、虚拟化服务器、部署服务器、SSLVPN服务器、防火墙、web服务器、应用服务器)或被配置为主应用服务器、执行活动目录的服务器或执行提供防火墙功能、应用功能或负载均衡功能的应用加速程序的服务器。还可以使用其它服务器类型。
一些实施例包括从客户端机器240接收请求、向第二服务器106b转发请求以及用来自第二服务器106b的响应来响应于由客户端机器240生成的请求的第一服务器106a。第一服务器106a可以获得可用于客户端机器240的应用的枚举以及与托管应用的枚举内识别的应用的应用服务器206相关的地址信息。第一服务器106a可以然后使用web接口呈现对客户端的请求的响应,并且直接与客户端240进行通信以向客户端240提供对识别的应用的访问。一个或多个客户端240和/或一个或多个服务器206可以通过网络230(例如,网络101)传输数据。
图2示出说明性桌面虚拟化系统的高级架构。如所示出的,桌面虚拟化系统可以是单服务器或多服务器系统或云系统,其包括被配置为将虚拟桌面和/或虚拟应用提供到一个或多个客户端访问设备240的至少一个虚拟化服务器206。如本文所使用的,桌面指的是图形环境或空间,其中一个或多个应用可以被托管和/或执行。桌面可以包括为操作系统的实例提供用户接口的图形壳,其中,本地和/或远程应用可以被集成。应用可以包括在操作系统的实例(并且,可选地,还有桌面)已经被加载之后执行的程序。操作系统的每个实例可以是物理的(例如,每个设备一个操作系统)或虚拟的(例如,在单个设备上运行的OS的很多实例)。每个应用可以在本地设备上执行,或在位于远程的设备(例如,远程的)上执行。
进一步参考图3,计算机设备301可以被配置为在虚拟化环境(例如,单服务器、多服务器或云计算环境)中的虚拟化服务器。在图3中示出的虚拟化服务器301可以被部署为图2中示出的服务器206的一个或多个实施例或其它已知的计算设备和/或由图2中示出的服务器206的一个或多个实施例来实现或由其它已知的计算设备来实现。包括在虚拟化服务器301中的是硬件层,其可以包括一个或多个物理磁盘304、一个或多个物理设备306、一个或多个物理处理器308和一个或多个物理存储器316。在一些实施例中,固件312可以被存储在物理存储器316中的存储器元件之内并且可以由物理处理器308中的一个或多个来执行。虚拟化服务器301还可以包括操作系统314,其可以被存储在物理存储器316中的存储器元件之内并且由物理处理器308中的一个或多个来执行。更进一步,超级管理器302可以被存储在物理存储器316中的存储器元件之内并且可以由物理处理器308中的一个或多个来执行。
在物理处理器308中的一个或多个上执行的可以是一个或多个虚拟机332A-C(通常为332)。每个虚拟机332可以具有虚拟磁盘326A-C和虚拟处理器328A-C。在一些实施例中,第一虚拟机332A可以使用虚拟处理器328A来执行包括工具堆栈324的控制程序320。控制程序320可以被称为控制虚拟机Dom0、Domain0或用于系统管理和/或控制的其它虚拟机。在一些实施例中,一个或多个虚拟机332B-C可以使用虚拟处理器328B-C来执行客户操作系统330A-B。
虚拟化服务器301可以包括具有与虚拟化服务301进行通信的一件或多件硬件的硬件层310。在一些实施例中,硬件层310可以包括一个或多个物理磁盘304、一个或多个物理设备306、一个或多个物理处理器308和一个或多个存储器216。物理组件304、306、308和316可以包括例如以上描述的组件中的任何一个。物理设备306可以包括例如网络接口卡、视频卡、键盘、鼠标、输入设备、监控器、显示设备、扬声器、光驱、储存设备、通用串行总线连接、打印机、扫描仪、网络元件(例如,路由器、防火墙、网络地址转换器、负载均衡器、虚拟专用网络(VPN)网关、动态主机配置协议(DHCP)路由器等等)、或连接到虚拟化服务器301或与虚拟化服务器301进行通信的任何设备。在硬件层310中的物理存储器316可以包括任何类型的存储器。物理存储器316可以存储数据,并且在一些实施例中,可以存储一个或多个程序或可执行指令组。图3示出了其中固件312被存储在虚拟化服务器301的物理存储器316内的实施例。存储在物理存储器316内的程序或可执行指令可以由虚拟化服务器301的一个或多个处理器308来执行。
虚拟化服务器301还可以包括超级管理器302。在一些实施例中,超级管理器302可以是由在虚拟化服务器301上的处理器308执行以创建和管理任何数量的虚拟机332的程序。超级管理器302可以被称为虚拟机监控器或平台虚拟化软件。在一些实施例中,超级管理器302可以是可执行指令和监控在计算机器上执行的虚拟机的硬件的任何组合。超级管理器302可以是2型超级管理器,其中,超级管理器在执行在虚拟化服务器301上的操作系统314之内执行。虚拟机然后在超级管理器之上的层来执行。在一些实施例中,2型超级管理器在用户的操作系统的环境内执行,使得2型超级管理器与用户的操作系统进行交互。在其它实施例中,在虚拟化环境中的一个或多个虚拟化服务器201可以相反包括1型超级管理器(未示出)。1型超级管理器可以通过直接访问硬件层310内的硬件和资源执行在虚拟化服务器301上。也就是说,尽管2型超级管理器302通过主操作系统314(如所示)访问系统资源,但是1型超级管理器可以直接访问所有系统资源而无需主操作系统314。1型超级管理器可以直接在虚拟化服务器301的一个或多个物理处理器308上执行,并且可以包括存储在物理存储器316中的程序数据。
在一些实施例中,超级管理器302可以以模拟操作系统330或控制程序320直接访问系统资源的任何方式向执行在虚拟机332上的操作系统330或控制程序320提供虚拟资源。系统资源可以包括但不限于物理设备306、物理磁盘304、物理处理器308、物理存储器316和包括在虚拟化服务器301的硬件层310中的任何其它组件。超级管理器302可以用于仿真虚拟硬件、对物理硬件进行分区、虚拟化物理硬件和/或执行提供到计算环境的访问的虚拟机。在另外的其它实施例中,超级管理器302针对执行在虚拟化服务器301上的虚拟机332控制处理器调度和存储器分区。超级管理器302可以包括由PaloAlto,California的VMWare公司制作的那些;XEN超级管理器,其开发由开源Xen.org团体监督的一种开源产品;由微软提供的HyperV、VirtualServer或虚拟PC超级管理器或其它超级管理器。在一些实施例中,虚拟化服务器301执行超级管理器302,其创建虚拟机平台,在其上可以执行客户操作系统。在这些实施例中,虚拟化服务器301可以被称为主机服务器。这样的虚拟化服务器的一个示例是由FortLauderdale,FL的CitrixSystems公司提供的XENSERVER。
超级管理器302可以创建一个或多个虚拟机332B-C(通常为332),客户操作系统330在其中执行。在一些实施例中,超级管理器302可以加载虚拟机镜像以创建虚拟机332。在其它实施例中,超级管理器302可以在虚拟机332内执行客户操作系统330。在另外的其它实施例中,虚拟机332可以执行客户操作系统330。
除了创建虚拟机332之外,超级管理器302可以控制至少一个虚拟机332的执行。在其它实施例中,超级管理器302可以向至少一个虚拟机332呈现由虚拟化服务器301提供的至少一个硬件资源的抽象(例如,在硬件层310内可用的任何硬件资源)。在其它实施例中,超级管理器302可以控制虚拟机332访问虚拟化服务器301中可用的物理处理器308的方式。控制对物理处理器308的访问可以包括确定虚拟机332是否应当访问处理器308以及物理处理器能力如何呈现给虚拟机332。
如图3中所示,虚拟化服务器301可以托管或执行一个或多个虚拟机332。虚拟机332是一组可执行指令,其当由处理器308执行时,模拟物理计算机的操作,使得虚拟机332可以很像物理计算设备一样执行程序和进程。尽管图3示出了其中虚拟化服务器301托管三个虚拟机332的实施例,但是在其它实施例中,虚拟化服务器301可以托管任何数量的虚拟机332。在一些实施例中,超级管理器302向每个虚拟机332提供物理硬件、存储器、处理器的唯一的虚拟视图和对该虚拟机332可用的其它系统资源。在一些实施例中,唯一的虚拟视图可以基于虚拟机许可中的一个或多个、到一个或多个虚拟机标识符的策略引擎的应用、访问虚拟机的用户、执行在虚拟机上的应用、由虚拟机访问的网络或任何其它期望的准则。例如,超级管理器302可以创建一个或多个不安全的虚拟机332和一个或多个安全的虚拟机332。不安全的虚拟机332可以被防止访问安全虚拟机332可以被许可访问的资源、硬件、存储器位置和程序。在其它实施例中,超级管理器302可以向每个虚拟机332提供物理硬件、存储器、处理器和对虚拟机332可用的其它系统资源的实质上类似的虚拟视图。
每个虚拟机332可以包括虚拟磁盘326A-C(通常为326)和虚拟处理器328A-C(通常为328)。在一些实施例中,虚拟磁盘326是虚拟化服务器301的一个或多个物理磁盘304的虚拟化视图或虚拟化服务器301的一个或多个物理磁盘304的一部分。物理磁盘304的虚拟化的视图可以由超级管理器302产生、提供和管理。在一些实施例中,超级管理器302向每个虚拟机332提供物理磁盘304的唯一的视图。因此,在一些实施例中,包括在每个虚拟机332中的特定的虚拟磁盘326可以是唯一的(当与其它虚拟磁盘326相比较时)。
虚拟处理器328可以是虚拟化服务器301的一个或多个物理处理器308的虚拟化视图。在一些实施例中,物理处理器308的虚拟化视图可以由超级管理器302来产生、提供和管理。在一些实施例中,虚拟处理器328具有至少一个物理处理器308的实质上所有的相同的特性。在其它实施例中,虚拟处理器308提供物理处理器308的修改的视图,使得虚拟处理器328的特性中的至少一些特性不同于对应的物理处理器308的特性。
进一步参考图4,本文描述的一些方面可以在基于云的环境中实现。图4示出了云计算环境(或云系统)400的示例。如图4中所示,客户端计算机411-414可以与云管理服务器410进行通信以访问云系统的计算资源(例如,主机服务器403、储存资源404和网络资源405)。
管理服务器410可以在一个或多个物理服务器上实现。管理服务器410可以运行例如由Ft.Lauderdale,FL的CitrixSystems公司的CLOUDSTACK或OPENSTACK(除了别的之外)。管理服务器410可以管理各种计算资源,其包括云硬件和软件资源,例如,主机计算机403、数据储存设备404和联网设备405。云硬件和软件资源可以包括私有和/或公共组件。例如,云可以被配置为将由一个或多个特定的顾客或客户端计算机411-414和/或通过私有网络使用的私有云。在其它实施例中,公共云或混合公共-私有云可以由其它顾客通过开放或混合的网络使用。
管理服务器410可以被配置为提供用户接口,通过其云运营商和云顾客可以与云系统交互。例如,管理服务器410可以向一组API和/或一个或多个云运营商控制台应用(例如,基于独立应用的网页)提供用户接口以允许云运营商管理云资源、配置虚拟化层、管理顾客账户和执行其它的云管理任务。管理服务器410还可以包括具有被配置为经由客户端计算机411-414从终端用户接收云计算请求(例如,创建、修改或破坏云内的虚拟机的请求)的用户接口的一组API和/或一个或多个顾客控制台应用。客户端计算机411-414可以经由互联网或其它通信网络连接到管理服务器410,并且可以请求对由管理服务器410管理的计算资源中的一个或多个的访问。响应于客户端请求,管理服务器410可以包括被配置为基于客户端请求来选择和提供在云系统的硬件层中的物理资源的资源管理器。例如,管理服务器410和云系统的附加的组件可以被配置为通过网络(例如,互联网)为在客户端计算机411-414的顾客提供、创建和管理虚拟机和他们的操作环境(例如,超级管理器、储存资源、由网络元件提供的服务等等),向顾客提供计算资源、数据储存服务、联网能力和计算机平台以及应用支持。云系统还可以被配置为提供各种特定的服务,其包括安全系统、开发环境、用户接口等等。
特定的客户端411-414可以是相关的,例如,创建虚拟机的不同的客户端计算机代表相同的终端用户或附属于相同的公司或组织的不同的用户。在其它示例中,特定的客户端411-414可以是不相关的(例如附属于不同的公司或组织的用户)。对于不相关的客户端,关于任何一个用户的虚拟机或储存器的信息可以对其它用户是隐藏的。
现在参考云计算环境的物理硬件层,可用区域401-402(或区域)可以指的是一组并列的物理计算资源。区域可以与计算资源的全部云中的其它区域地理上分开。例如,区域401可以是位于California的第一云数据中心,并且区域402可以是位于Florida的第二云数据中心。管理服务器410可以位于可用区域中的一个或单独的位置。每个区域可以包括通过网关与在该区域的外部的设备(例如,管理服务器410)连接的内部网络。云的终端用户(例如,客户端411-414)可能或可能不知道区域之间的区别。例如,终端用户可以请求具有指定的内存量、处理能力和网络能力的虚拟机的创建。管理服务器410可以响应于用户的请求并且可以分配资源以创建虚拟机而无需用户知道是使用来自区域401的资源还是来自区域402的资源来创建虚拟机。在其它示例中,云系统可以允许终端用户请求虚拟机(或其它云资源)被分配在特定的区域中或在区域内的特定的资源403-405上。
在该示例中,每个区域401-402可以包括各种物理硬件组件(或计算资源)403-405(例如,物理托管资源(或处理资源)、物理网络资源、物理储存资源、交换机和可以用于向顾客提供云计算服务的附加的硬件资源)的布置。在云区域401-402中的物理托管资源可以包括一个或多个计算机服务器403(例如以上描述的虚拟化服务器301),其可以被配置为创建和托管虚拟机实例。云区域401或402中的物理网络资源可以包括一个或多个网络元件405(例如,网络服务提供商),其包括被配置为向云顾客提供网络服务的硬件和/或软件,例如防火墙、网络地址转换器、负载均衡器、虚拟专用网络(VPN)网关、动态主机配置协议(DHCP)路由器等等。在云区域401-402中的储存资源可以包括储存磁盘(例如,固态驱动器(SSD)、磁性硬盘等等)和其它储存设备。
在图4中示出的示例云计算环境还可以包括具有附加的硬件和/或软件资源的虚拟化层(例如,如在图1-3中示出的),附加的硬件和/或软件资源被配置为创建和管理虚拟机和使用云中的物理资源向顾客提供其它服务。虚拟化层可以包括如以上在图3中描述的超级管理器连同提供网络虚拟化、储存虚拟化等等的其它组件。虚拟化层可以作为与物理资源层分离的层,或可以与物理资源层共享一些或所有相同的硬件和/或软件资源。例如,虚拟化层可以包括安装在具有物理计算资源的虚拟化服务器403中的每个中的超级管理器。已知的云系统可以可选地被使用,例如WINDOWSAZURE(RedmondWashington的微软公司)、AMAZONEC2(Seattle,Washington的Amazon.com公司)、IBMBLUECLOUD(Armonk,NewYork的IBM公司)或其它。
企业移动管理架构
图5表示用于在BYOD环境中使用的企业移动技术架构500。架构使得移动设备502的用户能够从移动设备502访问企业或个人资源以及使用移动设备502用于个人用途两者。用户可以使用由用户购买的移动设备502或由企业提供给用户的移动设备502访问这样的企业资源504或企业服务508。用户可以利用移动设备502仅用于商业用途或用于商业和个人用途。移动设备可以运行iOS操作系统和Android操作系统等等。企业可以选择实现策略以管理移动设备504。策略可以通过防火墙或网关以移动设备可以被识别、保护或安全验证以及被提供到企业资源的选择性或完全访问的这样的方式来植入。策略可以是移动设备管理策略、移动应用管理策略、移动数据管理策略、或移动设备、应用和数据管理策略的一些组合。通过移动设备管理策略的应用来管理的移动设备504可以被称为登记设备。
移动设备的操作系统可以被分成受管分区510和非受管分区512。受管分区510可以具有应用到其以保护在受管分区上运行的应用以及存储在受管分区中的数据的策略。在受管分区上运行的应用可以是安全应用。安全应用可以是电子邮件应用、web浏览应用、软件即服务(SaaS)访问应用、Windows应用访问应用等等。安全应用可以是安全本地应用514、由安全应用启动器518执行的安全远程应用522、由安全应用启动器518执行的虚拟化应用526等等。安全本地应用514可以由安全应用包装器520来包装。安全应用包装器520可以包括当安全本地应用在移动设备502上执行时在该设备上执行的集成的策略。安全应用包装器520可以包括将在移动设备502上运行的安全本地应用514指向在企业托管的在执行安全本地应用514时安全本地应用514可以要求完成所请求的任务的资源的元数据。由安全应用启动器518执行的安全远程应用522可以被在安全应用启动器应用518内执行。由安全应用启动器518执行的虚拟化应用526可以利用在企业资源504的移动设备502上的资源等等。通过由安全应用启动器518执行的虚拟化应用526在移动设备502上使用的资源可以包括用户交互资源、处理资源等等。用户交互资源可以用于收集和传输键盘输入、鼠标输入、摄像机输入、触觉输入、音频输入、视觉输入、手势输入等等。处理资源可以用于呈现用户界面、从企业资源504接收的处理数据等等。通过由安全应用启动器518执行的虚拟化应用526在企业资源504使用的资源可以包括用户界面产生资源、处理资源等等。用户界面产生资源可以用于装配用户界面、修改用户界面、刷新用户界面等等。处理资源可以用于创建信息、读取信息、更新信息、删除信息等等。例如,虚拟化应用可以记录与GUI相关的用户交互并且将它们传输到服务器应用,其中服务器应用将用户交互数据用作到在服务器上运行的应用的输入。在该布置中,企业可以选择在服务器侧上保持应用以及与该应用相关的数据、文件等等。尽管企业可以选择根据本文原理通过保护一些应用来“调动”它们用于部署在移动设备上,但是该布置还可以被选择用于特定应用。例如,虽然一些应用可以被保护用于在移动设备上使用,但是其它应用可能不被准备或适用于部署在移动设备上,因此企业可以选择通过虚拟化技术来提供移动用户到未准备的应用的访问。作为另一个示例,企业可以具有带有大而复杂的数据集的大型复杂应用(例如,材料资源规划应用),其中对于移动设备定制应用将是非常困难的或否则不受欢迎的,因此企业可以选择通过虚拟化技术提供到应用的访问。作为又一示例,企业可以具有保持高度安全的数据(例如,人力资源数据、顾客数据、工程数据)的应用,高度安全的数据可以被企业视为太敏感的(对于甚至安全的移动环境),因此,企业可以选择使用虚拟化技术以允许对这样的应用和数据的移动访问。企业可以选择在移动设备上提供充分安全的应用和充分功能性的应用两者以及虚拟化应用以允许对被视为更适于在服务器侧上运行的应用的访问。在实施例中,虚拟化应用可以在移动设备上的安全存储位置中的一个安全存储位置中存储一些数据、文件等等。例如,企业可以选择允许特定的信息被存储在电话上同时不允许其它信息被存储在电话上。
结合如本文描述的虚拟化应用,移动设备可以具有被设计为呈现GUI并且然后记录用户与GUI的交互的虚拟化应用。应用可以把用户交互传输到服务器侧,供服务器侧应用用作用户与应用的交互。作为响应,服务器侧上的应用可以向移动设备传回新的GUI。例如,新的GUI可以是静态页面、动态页面、动画等等。
在受管分区上运行的应用可以是稳定的应用。稳定的应用可以由设备管理器524来管理。设备管理器524可以监控稳定的应用并且利用用于检测问题和纠正问题的技术(如果这样的技术没有被利用,则将导致非稳定的应用)以检测问题和纠正问题。
安全应用可以访问存储在移动设备的受管分区510中的安全数据容器528中的数据。在安全数据容器中被保护的数据可以由安全包装的应用514、由安全应用启动器522执行的应用、由安全应用启动器522执行的虚拟化应用526等等访问。存储在安全数据容器528中的数据可以包括文件、数据库等等。存储在安全数据容器528中的数据可以包括限于特定的安全应用530、在安全应用532之间共享的数据等等。限于安全应用的数据可以包括安全通用数据534和高度安全的数据538。安全通用数据可以使用强加密形式(例如,AES128位加密等等),而高度安全的数据538可以使用非常强的加密形式(例如,AES254位加密)。当接收到来自设备管理器524的命令时,存储在安全数据容器528中的数据可以被从设备删除。安全应用可以具有双模式选项540。双模式选项540可以向用户呈现以非安全的模式操作安全的应用的选项。在非安全的模式中,安全应用可以访问存储在移动设备502的非受管分区512上的非安全的数据容器542中的数据。存储在非安全的数据容器中的数据可以是个人数据544。存储在非安全的数据容器542中的数据还可以由在移动设备502的非受管分区512上运行的非安全的应用548来访问。当存储在安全数据容器528中的数据被从移动设备502删除时,存储在非安全的数据容器542中的数据可以保持在移动设备502上。企业可能想要从移动设备删除选择的或所有的由企业拥有、许可或控制的数据、文件和/或应用(企业数据),同时留下或以其它方式保留由用户拥有、许可或控制的个人数据、文件和/或应用(个人数据)。该操作可以被称为选择性清除。利用根据本文描述的方面布置的企业数据和个人数据,企业可以执行选择性清除。
移动设备可以通过公共互联网548等等连接到在企业处的企业资源504和企业服务508。移动设备可以通过虚拟专用网络连接连接到企业资源504和企业服务508。虚拟专用网络连接可以特定于特定的应用550、特定的设备、移动设备上的特定的安全区域等等552。例如,电话的安全区域中的包装的应用中的每个包装的应用可以通过应用特定的VPN访问企业资源,使得到VPN的访问将基于与应用相关的属性(可能结合用户或设备属性信息)来授予。虚拟专用网络连接可以携带微软交换流量、微软活动目录流量、HTTP流量、HTTPS流量、应用管理流量等等。虚拟专用网络连接可以支持和实现单点登录认证过程554。单点登录过程可以允许用户提供单组认证凭证,其然后由认证服务558进行验证。认证服务558可以然后授权用户对多个企业资源504的访问,而不需要用户提供到每个单独的企业资源504的认证凭证。
虚拟专用网络连接可以由访问网关560来建立和管理。访问网关560可以包括管理、加速和提高企业资源504到移动设备502的递送的性能增强功能。访问网关还可以重新路由从移动设备502到公共互联网548的流量,使得移动设备502能够访问在公共互联网548上运行的公共可用和非安全的应用。移动设备可以经由传输网络562连接到访问网关。传输网络562可以是有线网络、无线网络、云网络、局域网络、城域网络、广域网络、公共网络、专用网络等等。
企业资源504可以包括电子邮件服务器、文件共享服务器、SaaS应用、web应用服务器、Windows应用服务器等等。电子邮件服务器可以包括交换服务器、LotusNotes服务器等等。文件共享服务器可以包括ShareFile服务器等等。SaaS应用可以包括Salesforce等等。Windows应用服务器可以包括被构建以提供旨在本地Windows操作系统上运行的应用的任何应用服务器等等。企业资源504可以是内建式资源、基于云的资源等等。企业资源504可以由移动设备502直接或通过访问网关560来访问。企业资源504可以由移动设备502经由传输网络562来访问。传输网络562可以是有线网络、无线网络、云网络、局域网络、城域网络、广域网络、公共网络、专用网络等等。
企业服务508可以包括认证服务558、威胁检测服务564、设备管理器服务524、文件共享服务568、策略管理器服务570、社交整合服务572、应用控制器服务574等等。认证服务558可以包括用户认证服务、设备认证服务、应用认证服务、数据认证服务等等。认证服务558可以使用证书。证书可以由企业资源504等等存储在移动设备502上。存储在移动设备502上的证书可以被存储在移动设备上的加密位置中,证书可以被暂时存储在移动设备502上用于在认证时使用等等。威胁检测服务564可以包括入侵检测服务、未经授权的访问尝试检测服务等等。未经授权的访问尝试检测服务可以包括未经授权尝试访问设备、应用、数据等等。设备管理服务524可以包括配置、提供、安全、支持、监控、报告和停止运作服务。文件共享服务568可以包括文件管理服务、文件存储服务、文件协作服务等等。策略管理器服务570可以包括设备策略管理器服务、应用策略管理器服务、数据策略管理器服务等等。社交整合服务572可以包括联系人整合服务、协作服务、与社交网络(例如,Facebook、Twitter和LinkedIn)的整合等等。应用控制器服务574可以包括管理服务、提供服务、部署服务、分配服务、撤销服务、包装服务等等。
企业移动技术架构500可以包括应用商店578。应用商店578可以包括未包装的应用580、预包装的应用582等等。应用可以根据应用控制器574被填充于应用商店578中。应用商店578可以由移动设备502通过访问网关560、通过公共互联网548等等来访问。应用商店可以设置有直观和易于使用的用户接口。应用商店578可以提供对软件开发工具包584的访问。软件开发工具包584可以通过包装如先前在本描述中描述的应用来给用户提供保护由用户选择的应用的能力。已经使用软件开发工具包584包装的应用可以然后通过使用应用控制器574将其填充在应用商店578中来提供到移动设备502。
企业移动技术架构500可以包括管理和分析能力588。管理和分析能力588可以提供与资源如何被使用、多久资源被使用等等相关的信息。资源可以包括设备、应用、数据等等。资源如何被使用可以包括哪些设备下载哪些应用、哪些应用访问哪些数据等等。多久资源被使用可以包括多久应用已经被下载、特定数据集已经被应用访问多少次等等。
图6是另一个说明性企业移动管理系统600。为了简单起见,以上关于图5描述的移动管理系统500的组件中的一些组件已经被省略。在图6中示出的系统600的架构在很多方面类似于以上关于图5描述的系统500的架构并且可以包括以上未提到的附加的特征。
在这种情况下,左手侧表示具有接收器604的登记移动设备602,其与云网关606(其包括访问网关和App控制器功能)进行交互以访问各种企业资源608和服务609(例如,交换、Sharepoint、PKI资源、Kerberos资源、证书发行服务,如以上在右手侧上示出的)。尽管未具体示出,移动设备602还可以与企业应用商店(StoreFront)进行交互用于选择和下载应用。
接收器604用作在企业数据中心托管的Windows应用/桌面的UI(用户接口)媒介物,其被使用HDX/ICA显示远程协议来访问。接收器604还支持本地应用(例如,本地iOS或Android应用)在移动设备602上的安装和管理。例如,在以上附图中示出的受管应用610(电子邮件、浏览器、包装应用)全部是在设备上本地执行的本地应用。该架构的接收器604和MDX(移动体验技术)起作用以提供策略驱动的管理能力和特征(例如到企业资源/服务608的连接和SSO(单点登录))。接收器604处理主要用户到企业(通常利用SSO到访问网关(AG)到其它云网关组件)的认证。接收器604从云网关606获得策略以控制在移动设备602上的MDX受管应用610的行为;
在本地应用610和接收器604之间的安全IPC链路612表示管理信道,其允许接收器提供将由MDX框架614“包装”每个应用来增强的策略。IPC信道612还允许接收器604提供实现到企业资源608的连接和SSO的凭证和认证信息。最终IPC信道612允许MDX框架614调用由接收器604实现的用户接口功能(例如在线和离线认证)。
在接收器604和云网关606之间的通信本质上是来自包装每个本地受管应用610的MDX框架614的管理信道的延伸。MDX框架614向接收器604请求策略信息,接收器604转而向云网关606请求策略信息。MDX框架614请求认证,并且接收器604登录到云网关606的网关服务部分(也被称为NetScaler访问网关)。接收器604还可以调用在云网关606上的支持服务,其可以产生输入材料以获得本地数据仓库616的加密密钥,或提供客户端证书,其可以实现到PKI保护的资源的直接认证,如下文更充分说明的。
更详细地说,MDX框架614“包装”每个受管应用610。这可以经由明确的构建步骤或经由构建后处理步骤来并入。MDX框架614可以在应用610的第一次启动时与接收器604“配对”以初始化安全IPC信道和获得关于该应用的策略。MDX框架614可以执行本地应用的策略的相关部分(例如,接收器登陆依赖性和限制本地OS服务可以如何被使用或它们可以如何与应用610进行交互的遏制策略中的一些)。
MDX框架614可以使用由接收器604通过安全IPC信道612提供的服务以便利认证和内部网络访问。专用和共享数据仓库616(容器)的密钥管理还可以由受管应用610和接收器604之间的适当的交互来管理。仓库616可以仅仅在在线认证以后是可用的,或可以在离线认证之后是可用的(如果策略允许的话)。仓库616的首次使用可以要求在线认证,并且离线访问可以限于至多在在线认证被再次要求之前的策略刷新周期。
到内部资源的网络访问可以通过访问网关606从单独的受管应用610直接发生。MDX框架614负责统筹代表每个应用610的网络访问。接收器604可以通过提供接着在线认证获得的合适的时间有限的次级凭证来便利这些网络连接。网络连接的多个模式可以被使用(例如反向web代理连接和端到端VPN式隧道618)。
邮件和浏览器受管应用610具有特定的状态并且可以使用可能不通常可用于任意包装的应用的设施。例如,邮件应用可以使用特定的后台网络访问机制(允许其在延长的时间段内访问交换,而不需要完全的AG登录)。浏览器应用可以使用多个专用数据仓库以隔离不同种类的数据。
该架构支持各种其它安全特征的并入。例如,在一些情况下云网关606(包括其网关服务)将不需要验证AD密码。可以交给企业来判定是否将AD密码用作关于一些情况下一些用户的认证因素。如果用户是在线或离线的(即,连接到网络或未连接到网络),则可以使用不同的认证方法。
建立认证是个特征,其中云网关606可以识别受管本地应用610,其被允许访问要求强认证的高度机密的数据,并且确保到这些应用的访问仅仅在执行适当的认证之后被许可,即使这意味着在先前较弱等级的登录之后用户需要重新认证。
该解决方案的另一个安全特征是在移动设备602上的数据仓库616(容器)的加密。仓库616可以被加密,使得包括文件、数据库和配置的所有设备上数据被保护。对于在线仓库,密钥可以被存储在服务器(云网关606)上,并且对于离线仓库,密钥的本地副本可以由用户密码来保护。当数据被本地存储在安全容器616中的设备602上时,优选的是,利用至少AES256加密算法。
其它安全容器特征还可以被实现。例如,日志特征可以被包括,其中,在应用610内发生的所有安全事件被记录并且报告给后端。数据擦除可以被支持,例如,如果应用610检测到篡改,则相关的加密密钥可以被用随机数据来覆盖,不在文件系统上留下用户数据被破坏的暗示。屏幕截图保护是另一个特征,其中应用可以阻止任何数据被存储在屏幕截图中。例如,密钥窗口的隐藏属性可以被设置为YES。这可以使得无论什么内容当前被显示在将被隐藏的屏幕上,导致其中任何内容将正常存在的空白的屏幕截图。
本地数据传输可以被阻止,例如,通过防止任何数据被本地传输到应用容器之外(例如,通过将其复制或发送其到外部应用)。键盘缓存特征可以运行以禁用敏感文本字段的自动校正功能。SSL证书验证可以是可操作的,因此应用特别地验证服务器SSL证书来代替其被存储在密钥链中。加密密钥生成特征可以被使用,使得使用由用户提供的密码(如果离线访问被要求)来生成用于加密在设备上的数据的密钥。如果离线访问没有被要求,则它可以与被随机生成并且存储在服务器侧上的另一个密钥进行异或。密钥导出功能可以运行,使得从用户密码生成的密钥使用KDF(密钥导出功能,尤其是PBKDF2),而不是创建它的密码散列。后者使得密钥易受暴力破解或字典攻击的影响。
此外,一个或多个初始化向量可以被用在加密方法中。初始化向量将引起相同的加密的数据的多个副本产生不同的密码文本输出,阻止重放和密码分析攻击两者。如果用于加密数据的特定的初始化向量是未知的,则这甚至将还阻止攻击者使用被盗的加密密钥来解密任何数据。此外,认证然后解密可以被使用,其中应用数据仅仅在用户在应用内被认证之后被解密。另一个特征可能涉及存储器中的敏感数据,仅仅当其被需要时其可以被保持在存储器中(并且不在磁盘中)。例如,登录凭证可以在登录之后被从存储器擦除,并且加密密钥和objective-C实例变量内部的其它数据不被存储,因为它们可以被容易地引用。相反,存储器可以被手动分配用于这些。
不活动超时可以被实现,其中,在不活动的策略定义的周期之后,用户会话被终止。
可以以其它方式阻止MDX框架614的数据泄露。例如,当应用610被放置在后台中时,在预定(可配置的)时间段之后可以清除存储器。当被作为后台时,可以获得应用的最后显示的屏幕的快照以加快前台设置进程。屏幕截图可以包含机密数据并且因此应该被清除。
另一个安全特征涉及使用OTP(一次性密码)620,而不使用访问一个或多个应用的AD(活动目录)622密码。在一些情况下,一些用户不知道(或不被许可知道)他们的AD密码,因此这些用户可以使用OTP620来认证,例如通过使用类似于SecurID的硬件OTP系统(OTP可以由不同的供应商来提供,也例如Entrust或Gemalto)。在一些情况下,在用户使用用户ID进行认证之后,文本被发送到具有OTP620的用户。在一些情况下,这可以被实现仅仅用于在线使用(其中提示是单个字段)。
离线密码可以被实现用于这些应用610的离线认证,对于其,经由企业策略许可离线使用。例如,企业可以想要以这样的方式来访问StoreFront。在这种情况下,接收器604可以要求用户设置定制离线密码,并且AD密码不被使用。云网关606可以提供策略以控制和实施关于最小长度、字符类组成和密码使用年限的密码标准(例如通过标准Windows服务器密码复杂度要求描述的,尽管这些要求可以被修改)。
另一个特征涉及实现特定应用610的客户端侧证书作为次级证书(为了经由MDX微VPN特征访问PKI保护的web资源的目的)。例如,诸如WorkMail的应用可以利用这样的证书。在这种情况下,使用ActiveSync协议的基于证书的认证可以被支持,其中,来自接收器604的证书可以由云网关606检索并且用在密钥链中。每个受管应用可以具有由在云网关606中定义的标签识别的一个相关的客户端证书。
云网关606可以与企业专用web服务进行交互以支持客户端证书的发行以允许相关的受管应用认证到内部PKI保护的资源。
接收器604和MDX框架614可以被增强以支持获得和使用到内部PKI保护的网络资源的认证的客户端证书。多于一个证书可以被支持,例如以匹配各种等级的安全和/或分离要求。证书可以由邮件和浏览器受管应用来使用,并且最终由任意包装的应用来使用(提供的这些应用使用web服务式通信模式,其中对于MDX框架调解https请求是合理的)。
对于每个使用周期,对iOS的MDX客户端证书支持可以依赖于将PKCS12BLOB(二进制大对象)导入到每个受管应用中的iOS密钥链中。MDX客户端证书支持可以将HTTPS实现与专用存储器中的密钥储存一起使用。除了可能在被强保护的“仅仅在线”数据值中以外,客户端证书将永远不出现在iOS密钥链中并且将不被持续。
相互SSL还可以被实现以通过要求移动设备602被认证到企业来提供附加的安全,并且反之亦然。用于到云网关606的认证的虚拟智能卡还可以被实现。
有限的和完全的Kerberos支持两者可以是附加的特征。完全的支持特征涉及使用AD密码或受信任的客户端证书进行完全Kerberos登录到AD622并且获得Kerberos服务票据以响应于HTTP协商认证挑战的能力。有限的支持特征涉及AFEE中的约束委派,其中AFEE支持调用Kerberos协议转换,因此它可以获得和使用Kerberos服务票据(受到约束委派)以响应于HTTP协商认证挑战。该机制以反向web代理(又称作CVPN)模式工作,并且当http(但不是https)连接时以VPN和微VPN模式来代理。
另一个特征涉及应用容器锁定和擦除,其可以在检测到越狱或获得管理员权限时自动发生,并且作为来自管理控制台的推送的命令而发生,并且可以包括远程擦除功能(甚至当应用610不运行时)。
StoreFront和应用控制器的多站点架构或配置可以被支持,其允许用户在故障的情况下得到来自若干不同的位置中的一个的服务。
在一些情况下,受管应用610可以被允许经由API(示例OpenSSL)访问证书和专用密钥。企业的受信任的受管应用610可以被允许利用应用的客户端证书和专用密钥执行特定的公共密钥操作。各种使用情况可以被识别并且被相应地处理,例如当应用行为类似浏览器并且没有证书访问被要求时,当应用读取“我是谁”的证书时,当应用使用该证书以构建安全会话令牌时,并且当应用使用专用密钥用于重要数据(例如,交易日志)的数字签名或用于临时数据加密时。
以上提及的计算环境中的任何一个或多个可以用于执行本文描述的图像分析和处理技术的一个或多个方面。
图像的分析和图像管理
如上所述,移动设备可以用于商业用途和/或个人用途,并且企业可以想要从移动设备删除由企业拥有、许可或控制的选择的或全部数据、文件和/或应用或以其它方式对其进行控制。这样的数据或文件可以包括可包含敏感的或专有的企业信息的图像或图片。图7描绘了用于分析和管理图像(例如包括敏感的或专有的企业信息的图像)的方法。
在步骤701,移动设备可以被注册。在一些布置中,移动设备可以注册以变成登记设备,使得例如移动设备可以通过移动设备管理策略的应用来管理。此外,移动设备可以向代表企业提供图像分析或管理功能或管理移动设备被注册到的服务的企业资源或企业服务注册。例如,移动设备可以向设备管理器注册,使得企业具有被登记在图像分析或管理服务中的移动设备的记录。在一些布置中,移动设备可以通过连接到企业资源或企业服务(例如,经由无线链接或VPN)、认证(例如,设备认证、用户认证)和接收成功的注册的确认来注册。
在步骤702,移动设备可以安装图像管理器。图像管理器可以被包括作为应用的部分、安装在移动设备上的另一个应用的插件、接收器(例如,接收器604)、或由接收器获得的策略(例如,用于与MDX框架614一起使用的策略)。例如,移动设备可以连接到应用商店(例如,应用商店578)、企业资源或企业服务(例如,策略管理器570)以请求和/或接收图像管理器(例如,经由下载)。一旦接收到图像管理器,则它可以被安装在移动设备上。图像管理器可以执行由企业提供的工作产品图像安全协议。在一些布置中,图像管理器可以访问图像管理软件或移动设备的图像存储位置(例如,设备的图像图库、图像文件夹或下载文件夹)。图像管理器可以能够经由API与设备的图像图库进行配合,API包括例如扫描、选择、编辑或从图像图库删除图像的功能。
图像管理器可以能够在前台和后台两者中执行。当在前台中执行时,用户接口可以显示在移动设备上,其将各种选项提供给用户用于分析和管理存储在移动设备上的图像。除了提供用户接口以外,图像管理器还可以分析和管理在移动设备上的图像。当在后台中操作时,图像管理器可以持续分析和管理在移动设备上的图像。图7的剩余的步骤总体上描述了可以在一些变型中由在移动设备上执行的图形管理器执行的示例过程。
在步骤703,图像管理器可以选择第一图像。第一图像可以是由移动设备存储的还未被分析或管理的任何图像。例如,图像管理器可以扫描移动设备的图库、识别图像、将图像(例如,图像的文件名称、时间码或其它识别信息)与已经被分析和管理的图像的记录进行比较,并且如果图像还未被分析和管理(例如,图像的文件名称、时间码或其它识别信息未在记录中找到),则图像可以被选择。
在步骤705,图像管理器可以处理选择的图像。在一些实例中,选择的图像可以是被在步骤703选择的图像。在其它实例中,选择的图像可以是被在步骤713选择的图像。在一些布置中,处理可以包括更新记录以包括关于选择的图像的条目(例如,通过存储包括选择的图像的文件名称、时间码或其它识别信息的条目)。
处理图像可以包括分析图像以识别图像的各个元素。例如,图像管理器可以采用各种图像分析和分类技术以识别在图像内的、可以被认为是敏感的或专有的企业信息的元素的存在。为了执行这样的图像分析,图像分析和分类技术(例如,背景分割、对象分割、边缘检测、模板匹配、光学字符识别等等)可以被使用。特别地,一些实施例可以采用适合于识别白板、图表(例如,活动挂图)和文档(例如,纸文档或数字文档,例如显示在计算机显示器上的文档的图像)的技术,其可以包括大面积的白色空间(或其它大的单一彩色空间)、印刷字体(例如,具有以Helvetica或TimesNewRoman字体的字母的文档)和手绘作品(例如,以少数颜色(例如,黑色、红色或绿色)书写的字母或词语)和/或图形元素(例如,框、图表)。当分析图像时,将白色空间的区域与图像的其它部分(例如,“脏”背景)分离的技术可以被使用。
图8描绘了可以存在于图像中的各个元素。图像部分800包括各个元素,其可以可能具有敏感的或专有的企业信息。示例图像部分800的元素可以由图像分析技术识别(例如由图像管理器在步骤705使用的技术)。实际上,分割算法可以用于将白色空间区域与选择的图像(未示出)的一个或多个非白色空间区域进行分离,导致例如图像部分800,其包括白色空间区域(例如,白色空间元素801)并且在一些实例中包括一个或多个其它元素(例如,元素802、804、806、808和810)。附加的分析技术可以用于识别包括在图像中的元素。
例如,光学字符识别可以用于识别例如文字元素802(“机密”)、803(“会议”)、804(“Citrix”)、807(“X”)和808(“Y”)的文字元素。
模板匹配可以用于识别轴元素806。
对象识别可以用于识别手写图形元素(例如,线图形元素809)。
在一些布置中,模板匹配还可以用于识别图表元素的存在,图表元素可以由多个元素组成。例如,模板匹配可以基于元素806、807、808和809识别图表元素(例如通过具有包括轴(例如,被布置为二维直角坐标系的垂直的线)、轴标记(例如,被布置在轴的原点附近的“x”和“y”)和表示绘制的线图形的线的模板)。此外,对象识别可以与模板匹配一起使用以识别图表元素(例如,对象识别以识别线图形元素并且模板匹配以识别轴元素)。
不同的模板和/或对象识别过程可以用于识别不同的图表或图形元素(例如,条形图、饼图、过程图表、树层次结构等等)。例如,模板匹配或对象识别可以用于识别过程图表元素(例如,包括图6的全部或一部分的元素),其可以包括一个或多个框(在每个框内部具有文字)和在框之间的关系箭头。
针对特定的机器可读代码(例如快速识别(QR)码或条形码),图像还可以被分析。图像管理器可以处理图像以识别代码元素810的存在并且在一些布置中可以处理机器可读代码元素以确定由该元素编码的信息(例如,机器可读代码元素810对识别Citrix的网站的信息进行编码)。
识别图像内的各个元素可以包括执行一些不同的图像分析技术。例如,图像管理器可以在执行模板匹配或对象识别之前使用颜色分割技术或边缘分割技术来处理图像部分800以识别元素。作为其它示例,图像部分800可以被使用边界检测算法或颜色梯度检测算法来处理以识别手绘线(例如,元素809)、箭头元素(例如,包括图7的箭头连接步骤703和705的元素)、几何形状元素(例如诸如图7的步骤703的矩形描绘的框形状或诸如图7的步骤707的菱形描绘的菱形形状)。
虽然图8的示例描绘了很可能包括敏感的或专有的企业信息的一些元素,但是其它元素可以由包括不太可能包括敏感的或专有的企业信息的元素的图像管理器来识别。在一些布置中,不太可能包括敏感的或专有的企业信息的元素可以包括外部元素(例如,天际线、树、草或山)、人元素(例如,人或身体部分,例如手或头)等等。
什么元素可以由图像管理器识别可以由企业或用户来定义。例如,企业可以在其处所用特定的QR码来标记每个白板或活动挂图,并且图像管理器可以被配置为识别特定的QR码。作为另一个示例,用户可以被呈现有用户接口,其列出了可以由图像管理器识别的各个元素,并且用户可以能够选择或取消选择图像管理器被配置为识别的元素。
此外,虽然以上示例涉及采用适合于识别白板、图表和文档的技术,但是适合于识别特定于企业的商业的元素的其它技术可以被采用。作为一个特定的示例,企业可以是微芯片制造商或设计公司。例如模板匹配和对象识别的各个技术可以被用于识别集成的电路组件(例如,使用模板匹配或对象识别以识别大面积的黑色空间和围绕黑色空间的周界放置的银插针;对象识别以识别印刷电路板)、集成电路的设计(例如,模板匹配或对象识别以识别逻辑门(例如,AND门、OR门等等)的描绘)、或通常印刷到集成电路上的芯片部件编号(例如,关于由企业生产的芯片部件编号的光学字符识别)。
在一些实施例中处理图像还可以包括在步骤705预处理以便省略对选择的图像进行另外的处理。例如,如果图像包括大量的颜色区域或非线性颜色区域(例如,在具有以非线性方式从像素到像素变化的大量颜色的图像内的区域),图像管理器可以防止选择的图像被在步骤705进一步处理以识别元素(然后引起选择的图像是非工作产品图像的确定,如结合步骤707在下文进一步论述的)。
在步骤705处理图像之后,图像管理器可以继续进行到步骤707以确定选择的图像是否是工作产品图像。在一些布置中,该确定基于被在步骤705识别的元素。例如,如果被认为很可能包括敏感的或专有的企业信息的元素被在选择的图像中识别到,则图像管理器可以确定图像是字产品图像(例如,如果元素801、802、803、804、806、807、808、809和810中的任何一个被识别,则确定选择的图像是工作产品图像,或如果过程图表元素被识别(例如,来自图6获得的图像),则确定选择的图像是工作产品图像)。
作为另一个示例,图像管理器可以将选择的图像是否是工作产品图像的确定基于未在选择的图像中识别的特定的元素。例如,当白色空间元素(例如,元素801)未被在图像中识别时,图像管理器可以确定图像不是工作产品图像。
图像管理器还可以基于特定的元素在选择的图像中的存在或不存在两者来确定选择的图像是否是工作产品图像。例如,当白色空间元素(例如,元素801)被在图像中识别并且很可能包括敏感的或专有的企业信息的至少一个其它元素也被在图像中识别(例如,元素802、803、804、806、807、808、809或810中的一个或多个)时,图像管理器可以确定图像是工作产品图像。
图像管理器还可以基于识别的元素的内容确定选择的图像是否是工作产品图像。例如,当机器可读元素对特定的信息进行编码时,图像管理器可以确定图像是工作产品图像。参考图8的示例,当元素810对指定企业的网站的信息进行编码时,图像管理器可以确定图像是工作产品图像。作为另一个示例,当文字元素包括特定的识别的文本时,图像管理器可以确定图像是工作产品图像。参考图8的示例,当描绘的文字元素中的一个包括匹配企业的名称的文本(例如,元素804和识别的文本“Citrix”)或其它特定的文本(例如,元素802和识别的文本“机密”,或元素803和识别的文本“会议”)时,图像管理器可以确定图像是工作产品图像。
图像管理器还可以基于元素的存在/不存在并且另外基于识别的元素的内容来确定选择的图像是否是工作产品图像。例如,如果白色空间元素被识别(例如,元素801)并且另一个识别的元素包括特定的文本(例如,元素802和识别的文本“机密”);元素803和识别的文本“会议”;或元素804和识别的文本匹配企业的名称)或对特定的信息(例如,元素810和企业的网站的编码的信息)进行编码,则图像管理器可以确定图像是工作产品图像。
图像管理器还可以基于图像中存在和/或不存在的一组元素或图像中存在和/或不存在的元素的阈值数量来确定选择的图像是否是工作产品图像。例如,如果白色空间元素被识别(例如,元素801)并且至少一个其它元素(例如,元素802、803、804、806、807、808、809或810)也被识别,则图像管理器可以确定图像是工作产品图像。这样的示例可以被称为需要存在于选择的图像中的元素的阈值为2。作为另一个示例,在其中例如企业是微芯片制造商或设计公司的实施例中,如果至少三个部件编号被在图像中识别,则图像管理器可以确定图像是工作产品图像。
图像管理器还可以基于元素如何被布置来确定选择的图像是否是工作产品图像。例如,如果元素被以树形式布置并且每个元素是文字元素或图形元素,则图像管理器可以确定这样的图像是工作产品图像(例如,这样的布置和元素可以在企业的组织结构图的图像中找到)。
此外,一些实施例可以包括当确定图像是否是工作产品图像时来自用户的输入。例如,图像管理器可以请求或接收来自用户的输入,其识别在图像中的特定的元素或指定图像是否是工作产品图像。实际上,在一些布置中,图像管理器可以确定不太可能包括敏感的或专有的企业信息的阈值数量的元素存在于图像中,以及作为响应,可以请求来自用户的输入以明确图像是否是工作产品图像。可选地,图像管理器可以确定可能包括存在于图像中的敏感的或专有的企业信息的元素和不太可能包括存在于图像中的敏感的或专有的企业信息的元素之间的比率等于或高于阈值,并且作为响应,可以请求来自用户的输入以明确图像是否是工作产品图像。
在各个布置中,用户或企业可以指定图像管理器如何执行图像是否是工作产品图像的确定。例如,用户或企业可以能够针对将被确定为工作产品图像的图像指定哪些元素被需要存在/不存在(例如,指定包括白色空间元素和图形元素的图像将被确定为工作产品图像)。用户或企业还可以能够针对将被确定为工作产品图像的图像指定什么信息应该由元素包括/编码(例如,指定包括对特定的信息(例如,企业的网站)进行编码的机器可读代码元素的图像将被确定为工作产品图像)。
如果图像管理器确定选择的图像是工作产品图像,则方法可以继续进行到步骤709。否则,方法可以继续进行到步骤711。然而,在一些布置中,代替直接继续进行到步骤711,当选择的图像不是工作产品图像时,图像管理器可以对图像(未示出)可选地执行附加的处理。例如,图像管理器可以形成选择的图像的副本并且将该副本存储在非工作产品图像备份位置中。在一些布置中,非工作产品备份位置可以在移动设备(例如,在图像管理器的专用数据仓库或其它安全位置中)或在远程位置(例如经由云网关访问的安全位置)。在一些实施例中,用户或企业可以能够设置非工作产品备份位置。此外,图像管理器可以更新它的已经被分析和管理的图像的记录,以指示选择的图像不具有限制的安全性和/或是非工作产品图像。此外,用户可能需要选择性加入到由图像管理器提供的非工作产品备份服务。
在步骤709,选择的图像被认为是工作产品图像(由于在步骤707的确定)并且图像管理器可以限制图像安全性以防止图像的未经授权的查看。图像管理器限制图像安全性的能力可以取决于移动设备的API。如上所述,移动电话的图库软件可以包括用于编辑图像的API(例如,编辑功能)。在一些实施例中,可以可能使用编辑功能来限制图像安全性。例如,图像管理器可以创建选择的图像的副本并且将该副本存储在工作产品图像备份位置中。在一些布置中,工作产品备份位置可以在移动设备(例如,在图像管理器的专有数据仓库或其它安全位置中)或在远程位置(例如,经由云网关访问的安全位置)。备份位置可以由图像管理器的设置来指定,其在各个实施例中可以由企业或用户来设置或指定。此外,图像管理器可以利用到选择的图像的副本的路径名来更新已经被分析和管理的图像的记录。在一些实施例中,可以利用由图像管理器已知的密钥来对副本进行加密。
使用编辑功能,选择的图像可以被编辑以限制其安全性。例如,图像管理器可以编辑图像以防止图像的未经授权的查看。例如,图像数据可以被用默认图像来代替,默认图像例如包括锁定图标的图像或将图像识别为由企业保护的文本(例如,“这个图像是工作产品图像并且已经由你的企业的图像管理器来保护”)。图9的示例图像900提供了具有限制的图像安全性的图像的示例。如在图9中示出的,图像900的原始图像数据已经被编辑以具有锁定图标901和文本903。为了说明性的目的,图像900的原始图像数据可以被认为是在图8中描绘的图像数据。图像900的原始图像数据的这样的编辑防止原始图像数据的查看直到其已经由图像管理器恢复。
图像管理器可以以其它附加的或可选的方式来限制图像安全性。例如,代替备份图像的副本,图像管理器可以利用由图像管理器已知的密钥来对图像进行加密。作为另一个示例,图像管理器可以从移动设备删除选择的图像。在其中图像管理器从移动设备删除选择的图像的一些实施例中,图像管理器可以在删除选择的图像之前存储选择的图像的备份。
此外,图像管理器可以更新已经被分析和管理的图像的其记录以指示选择的图像具有限制的安全性和/或是工作产品图像。
图像管理器还可以在一些变型中传送用户通知,其包括例如选择的图像是工作产品图像的指示和/或什么安全措施被采用的指示。这样的用户通知可以包括显示在移动设备上的弹出消息(其例如请求用户接受(或取消)被应用于选择的图像的限制的图像安全性)或显示在移动设备的用户的接口的通知栏中的推送通知,其将选择的图像的限制的安全性的通知提供给用户。
在图像管理器具有限制的图像安全性之后,方法可以继续进行到步骤711。
在一些变型中,步骤705、707或709中的一个或多个可以由一个或多个远程计算设备来执行(例如,通过企业资源504或企业资源508)。例如,如果705由一个或多个远程计算设备来执行,则选择的图像可以被从移动设备传送到一个或多个远程计算设备(例如,经由VPN连接),使得一个或多个远程计算设备可以执行对选择的图像的处理。
如果步骤707由一个或多个远程计算设备来执行,则一个或多个远程计算设备可以接收在选择的图像的处理期间识别的元素(例如,经由来自移动设备的通信,如果处理由移动设备执行,或起因于选择的图像的处理,如果步骤705的处理由一个或多个远程计算设备执行)以及基于元素确定选择的图像是否是工作产品图像(以类似于图像管理器可以执行步骤707的确定的方式)。在其中一个或多个远程计算设备执行步骤707的一些布置中,指示选择的图像是否是工作产品图像的消息可以被从一个或多个远程计算设备传送到移动设备(例如,经由VPN连接),使得图像管理器可以继续进行图7的剩余步骤。
如果步骤709由一个或多个远程计算设备执行,则一个或多个远程计算设备可以接收选择的图像是工作产品图像(例如,经由来自移动设备的通信,如果步骤707的确定由移动设备执行,或起因于在步骤707的确定,如果步骤707由一个或多个远程计算设备执行)的指示和选择的图像(例如,经由来自移动设备的通信,如果步骤705由移动设备执行,或起因于在步骤705的确定,如果步骤705由一个或多个远程计算设备执行)。在接收到选择的图像是工作产品图像的指示和选择的图像时,一个或多个远程计算设备可以继续进行(例如,通过备份选择的图像的原始图像数据的副本和编辑原始图像数据以防止未经授权的从查看)以限制图像安全性(类似于图像管理器可以以其在步骤709限制安全性的方式)。在其中一个或多个远程计算设备执行步骤709的一些布置中,可以被从一个或多个远程计算设备传送到移动设备,使得图像管理器可以继续进行图7的剩余步骤。这样的数据可以包括选择的图像是否是工作产品图像的指示、什么安全限制被置于图像什么地方(例如,加密、使用的密钥等等)、以及选择的图像的原始图像数据的副本被存储在什么地方(例如,工作产品图像备份位置)的指示。在接收到这样的数据时,图像管理器可以更新被分析和管理的图像的其记录。
在步骤711,选择的图像是具有限制的图像安全性的工作产品图像(经由步骤709)或选择的图像不是工作产品图像。在步骤711,图像管理器可以确定在移动设备上是否存在还未被分析和管理的附加的图像。该确定可以包括将在移动设备的图库中的图像与已经被分析和管理的图像的图像管理器的记录进行比较。如果在图库中存在不在已经被分析和管理的图像的记录中的图像,则图像管理器可以确定更多的图像需要被分析或管理,并且可以继续进行到步骤713。否则,图像管理器可以确定在移动设备上的所有图像已经被分析或管理,并且可以继续进行到步骤715。
在步骤713,图像管理器可以选择下一个图像以分析或管理。该步骤可以继续进行(类似于步骤703),并且可以导致在移动设备的图库中的图像中的一个被选择用于分析和/或管理。在选择下一个图像之后,方法可以继续进行到步骤705。
在步骤715,图像管理器可以等待动作事件。图像管理器可以被配置为识别各种动作事件(当它们发生时)。图7的示例方法示出了可以由图像管理器识别的三个可能的动作事件:(1)当用户与图像交互时发生的动作(“用户动作”),例如用户查看在移动设备上的图像;(2)由企业发起的动作(“企业动作”),例如当用户的雇用结束时由图像管理器从企业接收的选择性删除消息;以及(3)当图像被创建时发生的动作(“图像创建动作”),例如新的图像被添加到移动设备的图库。
当动作事件发生时,图像管理器可以确定哪个动作事件已经发生以及可以以特定于哪个动作事件已经发生的方式来做出响应。例如,如果用户动作发生,则图像管理器可以继续进行到步骤717以基于图像的限制的图像安全性执行用户动作。如果企业动作发生,则图像管理器可以继续进行到步骤719以删除工作产品图像。如果图像创建动作发生,则图像管理器可以继续进行到步骤713以选择新的图像以及随后分析和管理该新的图像。
在步骤717,图像管理器可以基于限制的图像安全性执行用户动作。一般而言,用户动作与特定的图像相关(例如,用户可以请求查看或打开特定的图像)。在执行用户动作之前,图像管理器可以确定相关的图像是否具有限制的图像安全性或是否是工作产品图像(例如,通过检查已经被分析和管理的图像的图像管理器的记录)。
在确定相关的图像是否具有限制的图像安全性或是否是工作产品图像之后,图像管理器可以基于限制的图像安全性继续执行用户动作。例如,如果相关的图像具有限制的图像安全性或是工作产品图像以及用户动作是查看相关的图像,则图像管理器可以恢复相关的图像的原始图像数据(例如,利用在图8中示出的原始图像数据来替换在图9中示出的图像数据)以移除限制的图像安全性。在一些情况下,图像管理器可以对相关的图像进行解密以移除限制的图像安全性。在移除限制的图像安全性时,图像管理器可以引起原始图像数据的显示。在一些布置中,原始图像数据可以被从工作产品图像备份位置恢复。
作为另一个示例,如果相关的图像具有限制的图像安全性或是工作产品图像,并且用户动作是编辑相关的图像,则图像管理器可以确定编辑工作产品图像是否被授权。如果编辑被授权,则图像管理器可以允许用户编辑相关的图像。
作为又一个示例,如果相关的图像具有限制的图像安全性或是工作产品图像,并且用户动作是删除相关的图像,则图像管理器可以确定用户是否还希望移除相关的图像的备份副本(例如,在工作产品图像备份位置存储的副本)。如果用户请求移除备份副本,则图像管理器可以引起副本被删除并且可以更新已经被分析和管理的图像的其记录以反映该删除。随后,图像管理器可以引起相关的图像被从移动设备删除。
作为又一个示例,如果相关的图像具有限制的图像安全性或是工作产品图像,并且用户动作是关闭相关的图像,则图像管理器可以重新应用限制的图像安全性(例如,执行类似于以上结合步骤709论述的那些功能的功能)。例如,图像管理器可以对相关的图像重新加密或对相关图像重新编辑以防止未经授权的查看。
在一些实施例中,图像管理器可以基于附加的安全性条件来执行用户动作。例如,在一些实施例中,只要到企业的VPN连接存在或如果用户输入密码,则图像管理器可以允许用户查看、编辑或删除工作产品图像。如果VPN连接不存在或用户不能输入正确的密码,则图像管理器可能不执行用户动作。类似地,在一些变型中,只要到企业的VPN连接存在或如果用户输入密码,则图像管理器可以移除图像安全性。例如,如果用户希望查看工作产品图像,但是VPN连接不存在或用户不能输入正确的密码,则图像管理器可以引起被保护的图像将被显示(例如,显示在图9中示出的图像数据或显示加密的图像数据)。
如果相关的图像不具有限制的图像安全性或不是工作产品图像,则图像管理器可以继续执行用户动作而无需附加的处理。
在步骤719,企业动作已经发生并且图像管理器可以继续进行以删除工作产品图像。在一些变型中,当用户的雇用结束时(例如,由企业发送的消息指示移动设备的用户不再由企业雇用),当移动设备丢失或被盗(例如,由企业发送的消息指示移动设备已经被报告丢失或被盗),当企业将删除工作产品图像的命令发送到移动设备时(例如,企业可以根据周期性计划表或根据指定可以被存储在移动设备的最大数量的工作产品图像的定额来引起工作产品图像的删除)、或根据由企业实现的不同的安全性程序,企业动作可以发生。响应于企业动作发生,图像管理器可以检查移动设备的图库并且可以删除在图库中的是工作产品图像的任何图像。任何非工作产品图像可以被忽视(例如,不删除)。在一些变型中,只有被包括在已经被分析和管理的图像的图像管理器的记录上的工作产品图像可以被在步骤719删除。此外,当删除工作产品图像时,图像管理器可以更新其记录以反映该删除。与删除工作产品图像相比,一些企业动作可以引起图像管理器做出不同的响应。例如,企业动作可以引起图像管理器重新处理存储在移动设备上的所有图像。当企业改变图像要被确定为工作产品图像所要满足的标准时,当企业改变什么元素将被在图像中识别时或当企业改变工作产品图像的安全性如何被限制时,这样的企业动作可以发生。引起图像管理器重新处理存储在移动设备上的所有图像的企业动作的一个特定的示例是当企业将对图像管理器的更新传送到移动设备时。
尽管已经以特定于结构特征和/或方法行为的语言描述了主题,但是应当理解的是,在所附权利要求中定义的主题不必限于以上描述的特定的特征或行为。相反,以上描述的特定的特征和行为被描述为所附权利要求的示例实现。
Claims (20)
1.一种方法,包括:
向由企业提供的企业资源或企业服务注册移动设备;
将图像管理器安装在所述移动设备上;
在所述移动设备上执行所述图像管理器;
由所述图像管理器选择存储在所述移动设备上的第一图像;
由所述图像管理器处理所述第一图像以识别在所述第一图像中存在的一个或多个元素;
由所述图像管理器基于在所述第一图像中存在的所述一个或多个元素来确定所述第一图像是工作产品图像;
响应于确定所述第一图像是工作产品图像,所述图像管理器将所述第一图像的副本存储到工作产品图像备份位置并且编辑所述第一图像,以防止对在所述移动设备上的所述第一图像的未经授权的查看;
由所述图像管理器确定企业动作已经发生,所述企业动作指示所述移动设备的用户不再由所述企业雇用;以及
响应于确定所述企业动作已经发生,执行从所述移动设备删除工作产品图像,其中执行所述删除包括由所述图像管理器从所述移动设备删除所述第一图像。
2.根据权利要求1所述的方法,还包括:
由所述图像管理器选择存储在所述移动设备上的第二图像;
由所述图像管理器处理所述第二图像以识别在所述第二图像中存在的一个或多个元素;
由所述图像管理器基于在所述第二图像中存在的所述一个或多个元素确定所述第二图像是非工作产品图像;以及
响应于确定所述企业动作已经发生,当执行从所述移动设备删除工作产品图像时,由所述图像管理器忽视所述第二图像。
3.一种装置,包括:
一个或多个处理器;以及
存储器,其存储有当被所述一个或多个处理器执行时引起所述装置执行以下动作的可执行指令:
分析由所述装置存储的图像;
确定所述图像是工作产品图像;以及
响应于确定所述图像是工作产品图像,限制图像安全性以防止对所述图像的未经授权的查看。
4.根据权利要求3所述的装置,其中限制图像安全性以防止对所述图像的未经授权的查看包括编辑所述图像的原始图像数据以防止对所述原始图像数据的未经授权的查看。
5.根据权利要求4所述的装置,其中所述存储器还存储有当被所述一个或多个处理器执行时引起所述装置执行以下动作的可执行指令:
确定第一用户动作已经发生;
响应于确定所述第一用户动作已经发生,恢复所述原始图像数据;以及
继恢复所述原始图像数据之后执行所述第一用户动作。
6.根据权利要求5所述的装置,其中所述存储器还存储有当被所述一个或多个处理器执行时引起所述装置执行以下动作的可执行指令:
确定第二用户动作已经发生;
响应于确定所述第二用户动作已经发生,重新应用受限制的图像安全性以防止对所述图像的未经授权的查看;以及
继重新应用所述受限制的图像安全性之后执行所述第二用户动作。
7.根据权利要求3所述的装置,其中所述存储器还存储有当被所述一个或多个处理器执行时引起所述装置执行以下动作的可执行指令:
确定用户动作已经发生;以及
基于受限制的图像安全性执行所述用户动作。
8.根据权利要求3所述的装置,其中所述存储器还存储有当被所述一个或多个处理器执行时引起所述装置执行以下动作的可执行指令:
确定企业事件已经发生;以及
响应于确定所述企业事件已经发生,仅仅删除存储在所述装置的工作产品图像并且忽视非工作产品图像。
9.根据权利要求3所述的装置,其中分析所述图像包括识别在所述图像中存在的一个或多个元素,以及其中确定所述图像是工作产品图像是基于所述一个或多个元素的。
10.根据权利要求9所述的装置,其中所述一个或多个元素包括白色空间元素和图表元素,以及其中确定所述图像是工作产品图像是基于所述白色空间元素和所述图表元素的。
11.根据权利要求9所述的装置,其中所述一个或多个元素包括文字或机器可读代码元素,以及其中确定所述图像是工作产品图像是基于所述文字或机器可读代码元素的。
12.一种方法,包括:
由计算设备分析由所述计算设备存储的图像;
确定所述图像是工作产品图像;以及
响应于确定所述图像是工作产品图像,限制图像安全性以防止对所述图像的未经授权的查看。
13.根据权利要求12所述的方法,其中限制图像安全性以防止对所述图像的未经授权的查看包括编辑所述图像的原始图像数据以防止对所述原始图像数据的未经授权的查看。
14.根据权利要求13所述的方法,还包括:
确定第一用户动作已经发生;
响应于确定所述第一用户动作已经发生,恢复所述原始图像数据;以及
继恢复所述原始图像数据之后执行所述第一用户动作。
15.根据权利要求14所述的方法,还包括:
确定第二用户动作已经发生;
响应于确定所述第二用户动作已经发生,重新应用受限制的图像安全性以防止对所述图像的未经授权的查看;以及
继重新应用所述受限制的图像安全性之后执行所述第二用户动作。
16.根据权利要求12所述的方法,还包括:
确定企业事件已经发生;以及
响应于确定所述企业事件已经发生,仅仅删除存储在所述计算设备的工作产品图像以及忽视非工作产品图像。
17.根据权利要求12所述的方法,其中分析所述图像包括识别在所述图像中存在的一个或多个元素,以及其中确定所述图像是工作产品图像是基于所述一个或多个元素的。
18.根据权利要求17所述的方法,其中所述一个或多个元素包括白色空间元素和图表元素,以及其中确定所述图像是工作产品图像是基于所述白色空间元素和所述图表元素的。
19.根据权利要求17所述的方法,其中所述一个或多个元素包括文字或机器可读代码元素,以及其中确定所述图像是工作产品图像是基于所述文字或机器可读代码元素的。
20.根据权利要求12所述的方法,所述计算设备是由企业的员工使用的移动设备,以及所有步骤由安装在所述移动设备上的图像管理器来执行,所述图像管理器强制执行由所述企业提供的工作产品图像安全性协议。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/886,543 US9064125B2 (en) | 2013-05-03 | 2013-05-03 | Image analysis and management |
US13/886,543 | 2013-05-03 | ||
PCT/US2014/036323 WO2014179542A1 (en) | 2013-05-03 | 2014-05-01 | Image analysis and management |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105393524A true CN105393524A (zh) | 2016-03-09 |
CN105393524B CN105393524B (zh) | 2019-01-08 |
Family
ID=50884526
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480037715.2A Active CN105393524B (zh) | 2013-05-03 | 2014-05-01 | 图像分析和管理 |
Country Status (6)
Country | Link |
---|---|
US (2) | US9064125B2 (zh) |
EP (1) | EP2992669B1 (zh) |
JP (2) | JP2016526202A (zh) |
KR (1) | KR101798471B1 (zh) |
CN (1) | CN105393524B (zh) |
WO (1) | WO2014179542A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210182440A1 (en) * | 2019-12-17 | 2021-06-17 | Citrix Systems, Inc. | System for preventing access to sensitive information and related techniques |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101541591B1 (ko) * | 2013-05-16 | 2015-08-03 | 삼성에스디에스 주식회사 | Vdi 환경에서의 싱글 사인온 시스템 및 방법 |
US10410003B2 (en) * | 2013-06-07 | 2019-09-10 | Apple Inc. | Multiple containers assigned to an application |
US10089458B2 (en) * | 2013-09-26 | 2018-10-02 | Citrix Systems, Inc. | Separate, disposable execution environment for accessing unverified content |
CN107646189B (zh) * | 2015-04-10 | 2021-03-26 | Pcms控股公司 | 用于云计算过程的委托的系统和方法 |
US9703973B2 (en) | 2015-04-28 | 2017-07-11 | International Business Machines Corporation | Customer load of field programmable gate arrays |
US11350254B1 (en) * | 2015-05-05 | 2022-05-31 | F5, Inc. | Methods for enforcing compliance policies and devices thereof |
US20170063883A1 (en) * | 2015-08-26 | 2017-03-02 | Fortinet, Inc. | Metadata information based file processing |
JP6477555B2 (ja) * | 2016-03-14 | 2019-03-06 | オムロン株式会社 | 中継装置、中継装置の制御方法、制御プログラム、および記録媒体 |
US10394346B2 (en) | 2016-05-20 | 2019-08-27 | Citrix Systems, Inc. | Using a hardware mouse to operate a local application running on a mobile device |
US10466811B2 (en) | 2016-05-20 | 2019-11-05 | Citrix Systems, Inc. | Controlling a local application running on a user device that displays a touchscreen image on a touchscreen via mouse input from external electronic equipment |
US9888143B1 (en) | 2016-11-15 | 2018-02-06 | International Business Machines Corporation | Timed image deletion from a personal electronic device |
US10936895B2 (en) * | 2017-07-26 | 2021-03-02 | Vmware, Inc. | Managing camera actions |
US11349868B2 (en) | 2018-01-18 | 2022-05-31 | Forcepoint, LLC | Detection of spoofed internally-addressed email using trusted third party's SPF records |
AU2018409900B2 (en) * | 2018-02-22 | 2021-12-02 | Citrix Systems, Inc. | Providing security to mobile devices via image evaluation operations that electronically analyze image data received from cameras of the mobile devices |
US10754998B2 (en) | 2018-10-17 | 2020-08-25 | Bank Of America Corporation | Data loss prevention using machine learning |
US11245723B2 (en) | 2018-11-02 | 2022-02-08 | Forcepoint, LLC | Detection of potentially deceptive URI (uniform resource identifier) of a homograph attack |
US11295026B2 (en) * | 2018-11-20 | 2022-04-05 | Forcepoint, LLC | Scan, detect, and alert when a user takes a photo of a computer monitor with a mobile phone |
US11297099B2 (en) | 2018-11-29 | 2022-04-05 | Forcepoint, LLC | Redisplay computing with integrated data filtering |
US11050767B2 (en) | 2018-12-17 | 2021-06-29 | Forcepoint, LLC | System for identifying and handling electronic communications from a potentially untrustworthy sending entity |
US11379426B2 (en) | 2019-02-05 | 2022-07-05 | Forcepoint, LLC | Media transfer protocol file copy detection |
US11562093B2 (en) | 2019-03-06 | 2023-01-24 | Forcepoint Llc | System for generating an electronic security policy for a file format type |
US11487559B2 (en) | 2019-10-07 | 2022-11-01 | Citrix Systems, Inc. | Dynamically switching between pointer modes |
US11586685B2 (en) | 2019-10-31 | 2023-02-21 | Citrix Systems, Inc. | Systems and methods for generating data structures from browser data to determine and initiate actions based thereon |
US11537824B2 (en) * | 2020-02-19 | 2022-12-27 | Lenovo (Singapore) Pte. Ltd. | Categorization of photographs |
US11457483B2 (en) | 2020-03-30 | 2022-09-27 | Citrix Systems, Inc. | Managing connections between a user device and peripheral devices |
US20230068880A1 (en) * | 2021-08-27 | 2023-03-02 | EMC IP Holding Company LLC | Function-based service framework with trusted execution platform |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1799022A (zh) * | 2003-05-30 | 2006-07-05 | 夏普株式会社 | 图像形成系统和图像形成装置 |
CN101452515A (zh) * | 2007-12-07 | 2009-06-10 | 元镁科技股份有限公司 | 文件处理装置、系统及方法 |
US20090163174A1 (en) * | 2007-12-24 | 2009-06-25 | Baik Kwangho | Device and method for detecting and preventing sensitive information leakage from portable terminal |
US20100299376A1 (en) * | 2009-05-20 | 2010-11-25 | Mobile Iron, Inc. | Selective Management of Mobile Devices in an Enterprise Environment |
US20120140978A1 (en) * | 2010-12-02 | 2012-06-07 | Samsung Electronics Co., Ltd. | Image processing apparatus and control method thereof |
CN102509057A (zh) * | 2011-10-18 | 2012-06-20 | 国网电力科学研究院 | 基于标记的非结构化数据安全过滤方法 |
US8365243B1 (en) * | 2010-07-14 | 2013-01-29 | Trend Micro, Inc. | Image leak prevention using geotagging |
Family Cites Families (74)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6577746B1 (en) * | 1999-12-28 | 2003-06-10 | Digimarc Corporation | Watermark-based object linking and embedding |
US7505605B2 (en) * | 1996-04-25 | 2009-03-17 | Digimarc Corporation | Portable devices and methods employing digital watermarking |
US5734752A (en) * | 1996-09-24 | 1998-03-31 | Xerox Corporation | Digital watermarking using stochastic screen patterns |
US5825892A (en) * | 1996-10-28 | 1998-10-20 | International Business Machines Corporation | Protecting images with an image watermark |
US6298446B1 (en) * | 1998-06-14 | 2001-10-02 | Alchemedia Ltd. | Method and system for copyright protection of digital images transmitted over networks |
JP2000228632A (ja) * | 1999-02-05 | 2000-08-15 | Sony Corp | 符号化回路および信号処理装置 |
US7343320B1 (en) * | 1999-08-02 | 2008-03-11 | Treyz G Victor | Online digital image-based product ordering system |
WO2001052178A1 (en) * | 2000-01-13 | 2001-07-19 | Digimarc Corporation | Authenticating metadata and embedding metadata in watermarks of media signals |
AU2002214613A1 (en) * | 2000-11-08 | 2002-05-21 | Digimarc Corporation | Content authentication and recovery using digital watermarks |
GB2369950B (en) * | 2000-12-07 | 2005-03-16 | Sony Uk Ltd | Image processing apparatus |
GB2369947A (en) * | 2000-12-07 | 2002-06-12 | Sony Uk Ltd | Embedding data in fields of an image |
US7627897B2 (en) * | 2001-01-03 | 2009-12-01 | Portauthority Technologies Inc. | Method and apparatus for a reactive defense against illegal distribution of multimedia content in file sharing networks |
US7502937B2 (en) * | 2001-04-30 | 2009-03-10 | Digimarc Corporation | Digital watermarking security systems |
US20020184535A1 (en) * | 2001-05-30 | 2002-12-05 | Farah Moaven | Method and system for accessing a resource in a computing system |
KR20030046435A (ko) * | 2001-07-10 | 2003-06-12 | 교와 가부시키가이샤 | 전자무늬의 매립방법 및 추출방법, 및 그 장치 |
US7158176B2 (en) * | 2002-03-01 | 2007-01-02 | Nokia Corporation | Prioritization of files in a memory |
US20030210803A1 (en) * | 2002-03-29 | 2003-11-13 | Canon Kabushiki Kaisha | Image processing apparatus and method |
JP2003304388A (ja) * | 2002-04-11 | 2003-10-24 | Sony Corp | 付加情報検出処理装置、コンテンツ再生処理装置、および方法、並びにコンピュータ・プログラム |
JP4194462B2 (ja) * | 2002-11-12 | 2008-12-10 | キヤノン株式会社 | 電子透かし埋め込み方法、電子透かし埋め込み装置、及びそれらを実現するプログラム並びにコンピュータ可読記憶媒体 |
JP4145171B2 (ja) * | 2003-03-12 | 2008-09-03 | シャープ株式会社 | 画像処理装置の不正使用監視装置 |
US20070129012A1 (en) * | 2003-04-01 | 2007-06-07 | Iceberg Systems Limited | Portable digital devices |
US8014557B2 (en) * | 2003-06-23 | 2011-09-06 | Digimarc Corporation | Watermarking electronic text documents |
JP2005092539A (ja) | 2003-09-17 | 2005-04-07 | Ricoh Co Ltd | コンテキスト情報処理装置、コンテキスト情報処理サーバ、コンテキスト情報処理方法、その方法をコンピュータに実行させるプログラム、およびコンピュータ読み取り可能な記録媒体 |
JP4217146B2 (ja) * | 2003-11-21 | 2009-01-28 | 株式会社リコー | スキャナ装置、ビューア装置、画像保護方法、 |
TWI288873B (en) * | 2004-02-17 | 2007-10-21 | Mitsubishi Electric Corp | Method for burying watermarks, method and device for inspecting watermarks |
US7634134B1 (en) * | 2004-03-15 | 2009-12-15 | Vincent So | Anti-piracy image display methods and systems |
US20060004697A1 (en) * | 2004-06-09 | 2006-01-05 | Lipsky Scott E | Method and system for restricting the display of images |
US7606840B2 (en) * | 2004-06-15 | 2009-10-20 | At&T Intellectual Property I, L.P. | Version control in a distributed computing environment |
US20090197584A1 (en) * | 2004-09-29 | 2009-08-06 | Rafe Communications Llc | Controlling Portable Digital Devices |
US7711835B2 (en) * | 2004-09-30 | 2010-05-04 | Citrix Systems, Inc. | Method and apparatus for reducing disclosure of proprietary data in a networked environment |
US20060200570A1 (en) * | 2005-03-02 | 2006-09-07 | Nokia Corporation | Discovering and mounting network file systems via ad hoc, peer-to-peer networks |
US8280098B2 (en) * | 2005-05-19 | 2012-10-02 | Uti Limited Partnership | Digital watermarking CMOS sensor |
CN100338549C (zh) * | 2005-09-02 | 2007-09-19 | 北京北大方正电子有限公司 | 一种文档的防拷贝方法 |
US20080032739A1 (en) * | 2005-12-21 | 2008-02-07 | Faraz Hoodbhoy | Management of digital media using portable wireless devices in a client-server network |
JP2008005299A (ja) * | 2006-06-23 | 2008-01-10 | Konica Minolta Business Technologies Inc | 画像読取装置、画像形成装置及び画像読取方法 |
JP4975459B2 (ja) * | 2007-01-30 | 2012-07-11 | 株式会社沖データ | 複写管理システム、出力装置、複写装置、およびコンピュータプログラム |
KR101203423B1 (ko) * | 2007-02-06 | 2012-11-21 | 삼성전자주식회사 | 화상처리장치 및 그 제어방법 |
US7617195B2 (en) * | 2007-03-28 | 2009-11-10 | Xerox Corporation | Optimizing the performance of duplicate identification by content |
US8554176B2 (en) * | 2007-09-18 | 2013-10-08 | Qualcomm Incorporated | Method and apparatus for creating a remotely activated secure backup service for mobile handsets |
US7827440B1 (en) * | 2007-11-01 | 2010-11-02 | Apple Inc. | Re-synchronizing corrupted data |
US8544105B2 (en) * | 2007-12-24 | 2013-09-24 | Qualcomm Incorporated | Method and apparatus for managing policies for time-based licenses on mobile devices |
JP2009238016A (ja) * | 2008-03-27 | 2009-10-15 | Fujitsu Ltd | 配信データバックアップ装置、配信データバックアップ方法および配信データバックアッププログラム |
US20090253406A1 (en) * | 2008-04-02 | 2009-10-08 | William Fitzgerald | System for mitigating the unauthorized use of a device |
US8932368B2 (en) * | 2008-04-01 | 2015-01-13 | Yougetitback Limited | Method for monitoring the unauthorized use of a device |
US9576157B2 (en) * | 2008-04-02 | 2017-02-21 | Yougetitback Limited | Method for mitigating the unauthorized use of a device |
US8311985B2 (en) * | 2008-09-16 | 2012-11-13 | Quest Software, Inc. | Remote backup and restore system and method |
US8234496B1 (en) * | 2009-03-06 | 2012-07-31 | Trend Micro, Inc. | Image leak prevention using digital watermark |
US9239847B2 (en) * | 2009-03-12 | 2016-01-19 | Samsung Electronics Co., Ltd. | Method and apparatus for managing image files |
US8339680B2 (en) * | 2009-04-02 | 2012-12-25 | Xerox Corporation | Printer image log system for document gathering and retention |
JP4875723B2 (ja) * | 2009-04-24 | 2012-02-15 | シャープ株式会社 | 画像形成装置 |
JP2010283457A (ja) * | 2009-06-02 | 2010-12-16 | Konica Minolta Business Technologies Inc | 画像データ処理装置及び画像データ処理プログラム |
KR20110019891A (ko) * | 2009-08-21 | 2011-03-02 | 삼성전자주식회사 | 원격 데이터 백업 방법 및 이를 이용한 원격 데이터 백업 시스템 |
JP5629908B2 (ja) * | 2010-04-13 | 2014-11-26 | 株式会社日立製作所 | セキュア文書検出方法、セキュア文書検出プログラム、及び光学式文字読取装置 |
JP5058299B2 (ja) * | 2010-06-07 | 2012-10-24 | シャープ株式会社 | 画像処理装置、画像形成装置、画像処理方法、コンピュータプログラム及び記録媒体 |
US9071580B2 (en) * | 2010-11-01 | 2015-06-30 | Blackberry Limited | Method and system for securing data of a mobile communications device |
AU2011200831B8 (en) * | 2011-02-25 | 2013-10-31 | Canon Kabushiki Kaisha | Dynamic thresholds for document tamper detection |
US8811711B2 (en) * | 2011-03-08 | 2014-08-19 | Bank Of America Corporation | Recognizing financial document images |
US9367770B2 (en) * | 2011-08-30 | 2016-06-14 | Digimarc Corporation | Methods and arrangements for identifying objects |
US9129277B2 (en) * | 2011-08-30 | 2015-09-08 | Digimarc Corporation | Methods and arrangements for identifying objects |
US8893261B2 (en) * | 2011-11-22 | 2014-11-18 | Vmware, Inc. | Method and system for VPN isolation using network namespaces |
US8677132B1 (en) * | 2012-01-06 | 2014-03-18 | Narus, Inc. | Document security |
EP2825992B1 (en) * | 2012-03-12 | 2017-06-28 | Intel Corporation | Method and apparatus for controlling content capture of prohibited content |
JP5349645B1 (ja) * | 2012-05-11 | 2013-11-20 | 株式会社東芝 | 電子機器および手書き文書処理方法 |
JP5270018B1 (ja) * | 2012-05-11 | 2013-08-21 | 株式会社東芝 | システム及び手書き文書管理方法 |
JP5270027B1 (ja) * | 2012-09-07 | 2013-08-21 | 株式会社東芝 | 情報処理装置および手書き文書検索方法 |
JP5701839B2 (ja) * | 2012-10-26 | 2015-04-15 | 株式会社東芝 | 電子機器および方法 |
US9008429B2 (en) * | 2013-02-01 | 2015-04-14 | Xerox Corporation | Label-embedding for text recognition |
US20140229526A1 (en) * | 2013-02-13 | 2014-08-14 | Appsense Limited | Systems, methods and media for securely executing remote commands using cross-platform library |
US9047253B1 (en) * | 2013-03-14 | 2015-06-02 | Ca, Inc. | Detecting false statement using multiple modalities |
US8850597B1 (en) * | 2013-03-14 | 2014-09-30 | Ca, Inc. | Automated message transmission prevention based on environment |
US9055071B1 (en) * | 2013-03-14 | 2015-06-09 | Ca, Inc. | Automated false statement alerts |
US9208326B1 (en) * | 2013-03-14 | 2015-12-08 | Ca, Inc. | Managing and predicting privacy preferences based on automated detection of physical reaction |
US8887300B1 (en) * | 2013-03-14 | 2014-11-11 | Ca, Inc. | Automated message transmission prevention based on a physical reaction |
US9256748B1 (en) * | 2013-03-14 | 2016-02-09 | Ca, Inc. | Visual based malicious activity detection |
-
2013
- 2013-05-03 US US13/886,543 patent/US9064125B2/en active Active
-
2014
- 2014-05-01 KR KR1020157034567A patent/KR101798471B1/ko active IP Right Grant
- 2014-05-01 CN CN201480037715.2A patent/CN105393524B/zh active Active
- 2014-05-01 WO PCT/US2014/036323 patent/WO2014179542A1/en active Application Filing
- 2014-05-01 EP EP14728038.2A patent/EP2992669B1/en active Active
- 2014-05-01 JP JP2016512036A patent/JP2016526202A/ja active Pending
-
2015
- 2015-06-01 US US14/726,854 patent/US9760724B2/en active Active
-
2019
- 2019-01-23 JP JP2019009159A patent/JP6718530B2/ja not_active Expired - Fee Related
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1799022A (zh) * | 2003-05-30 | 2006-07-05 | 夏普株式会社 | 图像形成系统和图像形成装置 |
CN101452515A (zh) * | 2007-12-07 | 2009-06-10 | 元镁科技股份有限公司 | 文件处理装置、系统及方法 |
US20090163174A1 (en) * | 2007-12-24 | 2009-06-25 | Baik Kwangho | Device and method for detecting and preventing sensitive information leakage from portable terminal |
US20100299376A1 (en) * | 2009-05-20 | 2010-11-25 | Mobile Iron, Inc. | Selective Management of Mobile Devices in an Enterprise Environment |
US8365243B1 (en) * | 2010-07-14 | 2013-01-29 | Trend Micro, Inc. | Image leak prevention using geotagging |
US20120140978A1 (en) * | 2010-12-02 | 2012-06-07 | Samsung Electronics Co., Ltd. | Image processing apparatus and control method thereof |
CN102509057A (zh) * | 2011-10-18 | 2012-06-20 | 国网电力科学研究院 | 基于标记的非结构化数据安全过滤方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210182440A1 (en) * | 2019-12-17 | 2021-06-17 | Citrix Systems, Inc. | System for preventing access to sensitive information and related techniques |
Also Published As
Publication number | Publication date |
---|---|
KR20160005114A (ko) | 2016-01-13 |
US9760724B2 (en) | 2017-09-12 |
JP2016526202A (ja) | 2016-09-01 |
EP2992669A1 (en) | 2016-03-09 |
CN105393524B (zh) | 2019-01-08 |
JP6718530B2 (ja) | 2020-07-08 |
WO2014179542A1 (en) | 2014-11-06 |
EP2992669B1 (en) | 2019-08-28 |
US20150261969A1 (en) | 2015-09-17 |
KR101798471B1 (ko) | 2017-11-16 |
US9064125B2 (en) | 2015-06-23 |
JP2019091480A (ja) | 2019-06-13 |
US20140331333A1 (en) | 2014-11-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6718530B2 (ja) | 画像分析および管理 | |
US11093570B2 (en) | Systems and methods for presenting additional content for a network application accessed via an embedded browser of a client application | |
CN107566400B (zh) | 用于确定应用的操作模式的方法 | |
US20150106946A1 (en) | Secure client drive mapping and file storage system for mobile device management type security | |
CN105340239A (zh) | 利用环境锁定移动设备 | |
CN105247830A (zh) | 提供移动设备管理功能 | |
CN105308923A (zh) | 对具有多操作模式的应用的数据管理 | |
US20200153711A1 (en) | Systems and methods for tracking overlay for saas applications | |
US11550448B2 (en) | Systems and methods for intellisense for SaaS application | |
US20210234903A1 (en) | Systems and methods for live saas objects | |
AU2019378694B2 (en) | Systems and methods for live tiles for SaaS | |
EP3651051A1 (en) | Systems and methods for a saas lens to view obfuscated content | |
CN113574837A (zh) | 跟踪客户端设备上的图像发送者 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |