CN107425980A - 工作空间之间的通信 - Google Patents
工作空间之间的通信 Download PDFInfo
- Publication number
- CN107425980A CN107425980A CN201710315333.7A CN201710315333A CN107425980A CN 107425980 A CN107425980 A CN 107425980A CN 201710315333 A CN201710315333 A CN 201710315333A CN 107425980 A CN107425980 A CN 107425980A
- Authority
- CN
- China
- Prior art keywords
- enterprise
- certificate
- application
- configuration information
- configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims description 32
- 238000000034 method Methods 0.000 claims abstract description 31
- 238000009434 installation Methods 0.000 claims abstract description 13
- 230000015654 memory Effects 0.000 claims description 10
- 238000012545 processing Methods 0.000 description 16
- 238000007726 management method Methods 0.000 description 12
- 238000004590 computer program Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 10
- 238000000926 separation method Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000007774 longterm Effects 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 4
- 210000004027 cell Anatomy 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000001228 spectrum Methods 0.000 description 2
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 210000004602 germ cell Anatomy 0.000 description 1
- 210000003127 knee Anatomy 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 230000036299 sexual function Effects 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Mobile Radio Communication Systems (AREA)
- Stored Programmes (AREA)
Abstract
系统、方法和软件可用于访问企业资源。在一些方面,在移动设备上的企业移动性管理(EMM)客户端处接收企业应用的配置信息。生成包含配置信息的至少一部分的证书。将证书安装在移动设备上的企业工作空间中。配置应用在移动设备上的企业工作空间中执行以配置企业应用。
Description
技术领域
本公开涉及使用证书在工作空间之间通信。
背景技术
许多电子设备,例如移动设备或其他计算系统,使用工作空间来管理对存储在电子设备上的资源的访问。例如,电子设备可以具有用于用户的个人数据和应用的个人工作空间,以及用于用户的企业数据和应用的企业工作空间。
发明内容
本公开提供了一种方法,包括:在移动没备上的企业移动性管理(EMM)客户端处接收企业应用的配置信息;生成包括所述配置信息的至少一部分的证书;将证书安装在移动设备上的企业工作空间中;以及在所述移动设备上的企业工作空间中执行配置应用以配置企业应用,其中,执行配置应用包括:从证书中获取配置信息的所述部分;以及使用所述配置信息的所述部分来配置企业应用。
附图说明
图1是示出根据实施方式提供工作空间之间通信的示例通信系统的示意图。
图2是示出根据实施方式跨工作空间配置应用的示例过程的流程图。
图3是示出根据实施方式的示例移动设备的框图。
各附图中相似的附图标记和标号表示相似的元件。
具体实施方式
使用工作空间来管理电子设备上的资源可以帮助企业降低企业资源可能被例如恶意或易受攻击的应用访问的风险。例如,企业可以让用户在个人工作空间中自由安装其个人应用,同时控制对与企业工作空间相关联的资源的访问。在某些情况下,工作空间可以称为″配置文件(profile)″。
通常,工作空间可以被实现为具有公共管理方案的资源组,其中每个工作空间通常包括一个或多个资源以及关于对该一个或多个资源的使用或访问的一个或多个策略。可以在包括设备的数据通信系统上实现工作空间,并且工作空间可以用于在设备上逻辑地分离资源,例如文件、应用、网络连接、数据等。例如,设备可以实现两个或更多个工作空间,其可以包括个人工作空间、企业工作空间,或这些工作空间与其他类型工作空间的组合。在一些实施方式中,设备可以包括多个个人工作空间、多个企业工作空间,或两者。个人工作空间可由设备用户管理,企业工作空间可由企业或公司管理员例如使用企业移动性管理(EMM)服务器进行管理。在一些实施方式中,企业或公司管理员可以另外管理个人工作空间、设备或两者。
在一些实施方式中,设备上的每个工作空间(例如企业或个人)在设备上有其自己的文件系统,并且可以至少部分地通过设备上的文件系统的分离来提供工作空间之间的分离。在一些情况下,每个工作空间的一些资源(例如,数据和策略)被存储在用于工作空间的专用文件系统中,而每个工作空间的其他资源(例如,应用)被存储在专用文件系统之外。
文件系统的分离可以是逻辑的、物理的或者这二者。例如通过为每个文件系统指定物理上分离的存储器位置(例如,分离的存储器设备或同一存储器中的分离的块),可以实现文件系统的物理分离。例如,可以通过针对每一个文件系统指定在逻辑上分离的数据结构(例如,分离的目录等)来实现文件系统的逻辑分离。在一些实施方式中,每一个文件系统有其自己的加密参数。例如,用于企业工作空间的文件系统可以有其自己的加密密钥和更高的加密强度,而个人工作空间的文件系统可以有其自己的加密密钥和较低的加密强度。在某些情况下,个人工作空间的文件系统具有与公司工作空间相同的加密强度,或者个人工作空间的文件系统可以不加密。
如上所述,工作空间可以包括共享管理所述组中资源的使用的公共管理方案的资源组,并且可以包含描述可以如何使用资源的资源和管理策略。管理策略可以包括可以为工作空间定义的安全策略。设备可执行的应用可以包括当被执行时请求访问其它资源或者向其它应用提供资源(或者这二者)的资源。对于分配给工作空间或与工作空间相关联的应用,应用中包含的资源可以包含在工作空间中所包含的资源组中。此外,为配置文件定义的安全策略可以将应用限制在组中包括的资源中。因此,当在工作空间内执行应用时,包括在工作空间的管理策略中的安全策略可以确定与应用相关联的资源是否可以访问其他资源,例如组中包括的资源或组外的资源(或两者),或授权访问其他应用,例如分配给配置文件或与配置文件相关联的应用,或未分配给配置文件或与配置文件不相关联的应用(或两者)。
在某些情况下,可以通过工作空间管理应用程序接口(API)来提供跨工作空间的通信。跨工作空间通信的示例可以包括将配置信息从第一工作空间传递到第二工作空间。配置信息可用于在第二个工作空间中配置应用。例如,设备制造商可以为在个人工作空间中操作的应用(例如EMM客户端)开发和提供API,以便在企业工作空间中安装和配置资源的选择。资源的选择可以包括企业常用的资源。例如,设备制造商可以为EMM客户端提供API来将证书安装到企业工作空间中。设备制造商可以为EMM客户端提供API来配置企业电子邮件应用、企业日历应用或企业虚拟专用网络(VPN)连接。在某些情况下,企业工作空间的安全策略可以限制可使用这些API的应用的类型。例如,安全策略可以控制只有创建企业工作空间的EMM客户端才能使用API在企业工作空间中安装证书。
然而,设备制造商可以为有限数量的应用提供跨工作空间通信API,这可能不包括由第三方开发的许多应用。因此,在个人工作空间中操作的EMM客户端可能难以将配置信息传递到企业工作空间以配置由第三方开发的企业应用。
在某些情况下,可以在企业工作空间中创建和安装配置应用。由于配置应用在与企业应用相同的工作空间中运行,因此配置应用可用于配置企业应用。在某些情况下,配置应用可以被配置为从EMM服务器下载配置信息。然而,这样的操作可能是耗时的,因此可能影响用户体验。
通常,证书可以用于安全功能,例如身份、加密、完整性、认证和不可否认性功能。在一个示例中,在公共密钥基础设施(PKI)中,可以使用公共密钥证书来证明公共密钥的所有者的身份。公钥证书可以包括有关密钥的信息、有关密钥所有者的身份的信息,以及已验证证书内容正确的实体的数字签名。在某些情况下,证书可以包括配置信息,而不是包括认证信息。可以使用API在第一工作空间中生成证书并在第二工作空间中安装证书,从而跨工作空间安装证书。因此,第二工作空间中的应用(例如,配置应用)可以访问证书中包含的信息。图1-3和相关描述提供了这些实施方式的附加细节。
使用证书来促进跨工作空间通信可以提供一个或多个优点。例如,可以将企业工作空间配置为禁止不同于创建工作空间的EMM客户端的应用将证书安装到工作空间。因此,这种方法可以提供安全的工作空间之间的通信,同时简化工作空间间通信的开发工作。
图1是示出根据实施方式提供工作空间之间的通信的示例通信系统100的示意图。示例通信系统100包括通过通信网络110与企业移动性管理(EMM)服务器140通信地耦合的移动设备102。
EMM服务器140表示可被配置为管理企业的应用和设备的应用、应用集、软件、软件模块、硬件或其任何组合。例如,EMM服务器140可以安装、更新和管理企业应用的许可。在某些情况下,EMM服务器140可以包括用于企业应用的应用商店。在一些情况下,EMM服务器140可以包括用于可以访问企业资源的用户和移动设备的授权状态的数据库。EMM服务器140可以向移动设备102发送配置信息以配置在移动设备102上操作的应用。
示例通信系统100包括移动设备102。如图1所示,移动设备102包括两个工作空间:个人工作空间120和企业工作空间130。移动设备102还可以包括附加的工作空间。
个人工作空间120可以是包括被配置为个人使用的资源(例如应用和文件)的工作空间。例如,个人工作空间120可以包括由移动设备102的用户下载用于个人使用的游戏和应用。个人工作空间120还可以包括个人使用的信息记录,例如联系人信息或多个文件,例如音乐、照片或视频。
个人工作空间120包括EMM客户端122。EMM客户端122表示可以被配置为管理移动设备102上的企业服务的应用、应用集、软件、软件模块、硬件或其任何组合。在一些情况下,EMM客户端122可以通过网络110与EMM服务器140进行通信,以管理移动设备102上的企业服务。例如,EMM客户端122可以创建企业工作空间,例如企业工作空间130。EMM客户端122还可以使用证书来配置在企业工作空间130中操作的企业应用。图2以及相关联的描述提供了这些实施方式的附加细节。
企业工作空间130可以是包括被配置为用于企业的资源(例如,应用和文件)的工作空间。例如,企业工作空间130可以包括与企业相关联的企业应用,例如企业邮件应用、企业消息应用或生产软件。企业工作空间130还可以包括与企业相关联的信息记录,例如工作文件或公司联系人目录。
企业工作空间130包括证书132、配置应用134和企业应用136。证书132可以包括用于企业应用136的配置信息。配置信息可以包括安全相关配置信息或企业应用的任何其他配置信息。在某些情况下,证书132可由EMM客户端122生成并安装到企业工作空间130中。图2以及相关联的描述提供了这些实施方式的附加细节。
配置应用134表示可以在企业工作空间130中配置应用(例如,企业应用136)的应用、应用集、软件、软件模块、硬件或其任何组合。在一些实施方式中,配置应用可以是EMM客户端的扩展。
如图1所示,示例通信系统包括通信网络110。通信网络110可以包括无线网络、有线网络或其组合。通信网络110可以包括一个或多个无线电接入网络(RAN)、核心网络(CN)和外部网络。RAN可以包括一个或多个无线电接入技术。在一些实施方式中,无线电接入技术可以是全球移动通信系统(GSM)、过渡标准95(IS-95)、通用移动电信系统(UMTS)、CDMA2000(码分多址)、演进通用移动电信系统(E-UMTS)、长期演进(LTE)或长期演进技术-高级(LTE-Advanced)。在一些情况下,核心网络可以是演进分组核心(EPC)。
RAN是实现诸如UMTS、CDMA2000、3GPP LTE和3GPP LTE-A之类的无线电接入技术的无线电信系统的一部分。在许多应用中,RAN包括至少一个基站。基站可以是可以控制系统的固定部分中的全部或至少一些无线电相关功能的无线电基站。基站可以在其覆盖区域或小区内提供无线电接口用于移动设备102进行通信。基站可以分布在整个蜂窝网络中以提供广泛的覆盖范围。基站直接与一个或多个移动设备、其它基站以及一个或多个核心网络节点通信。基站可以在任何不同的无线通信技术上操作。无线技术的示例包括全球移动通信系统(GSM)、通用移动通信系统(UMTS)、3GPP长期演进(LTE)、长期演进技术升级版(LTE-A)、无线宽带通信技术等。示例无线宽带通信系统包括IEEE 802.11无线局域网,IEEE802.16 WiMAX网络等。
在操作中,移动设备102可以接收企业应用136的配置信息。EMM客户端122可以生成证书132。证书132可以包括配置信息的至少一部分。证书132可以安装在企业工作空间130中。配置应用134可以从证书132获取配置信息的至少所述部分,并且基于获取到的配置信息来配置企业应用136。图2以及相关联的描述提供了这些实施方式的附加细节。
关于一般描述,诸如移动设备102的移动设备可以被称为移动电子设备、用户设备、移动站、用户站、便携式电子设备、移动通信设备、无线调制解调器或无线终端。移动设备(例如,移动设备102)的示例可以包括蜂窝电话、个人数据助理(PDA)、智能电话、膝上型计算机、平板个人电脑(PC)、寻呼机、便携式计算机、便携式游戏设备、可穿戴电子设备或具有用于经由无线通信网络传送语音或数据的组件的其它移动通信设备。无线通信网络可以包括在许可频谱和非许可频谱中至少一个上的无线链路。术语″移动设备″还可以指可以终止用户的通信会话的任何硬件或软件组件。此外,术语″用户装备″、″UE″、″用户装备设备″、″用户代理″、″UA″、″用户设备″和″移动设备″在本文中可以作为同义词使用。
图2是示出根据实施方式跨工作空间配置应用的示例过程200的流程图。过程200可以由访问企业资源的任何类型的系统或模块来实现。例如,过程200可以由图1所示的移动设备102来实现。图2所示的示例过程200也可以使用附加、更少或不同的操作来实现,其可以按照所示的顺序或以不同的顺序执行。
示例过程200从202开始,其中移动设备上的企业移动性管理(EMM)客户端接收企业应用的配置信息。配置信息可以由EMM服务器发送,该EMM服务器为与企业相关联的移动站管理企业应用的安装和服务。配置信息可以包括企业应用的安全相关配置信息。与安全相关的配置信息的示例可以包括安全参数,例如与企业应用所使用的安全协议和安全过程相关的参数。与安全相关的配置信息的示例还可以包括安全凭证,例如与可以访问企业应用的移动设备的用户相关联的用户名和密码。配置信息还可以包括为企业应用提供服务的服务器的地址(例如因特网协议(IP)地址、统一资源定位符、端口号或其任何组合)、时区设置、数据同步或连接频率,或任何其他配置信息。
在一些情况下,可以在移动设备上配置至少两个工作空间,例如企业工作空间和个人工作空间。EMM客户端可以在个人工作空间中运行,而企业应用可以在企业工作空间中运行。在某些情况下,企业工作空间由EMM客户端创建。例如,EMM客户端可以例如从与企业相关联的EMM服务器接收用于企业工作空间的配置信息。然后,EMM客户端可以使用企业工作空间的配置信息为移动设备上的企业创建企业工作空间。
在204,EMM客户端生成包括企业应用的配置信息的证书。例如,证书可以包括标题。标题可以包括企业应用的名称或标识符。标题还可以指示证书包括配置信息,因此用于配置目的而不是认证目的。证书还可以包括主体。该主体可以包括用于企业应用的配置信息,例如与安全相关的配置信息。在某些情况下,配置信息可以是描述配置信息的明文。
在某些情况下,可以限制证书的长度,并且企业应用的配置信息可以超过证书的限制长度。在这些或其他情况下,可以为企业应用生成多于一个的证书。例如,第一证书可以包括配置信息的第一部分,并且附加证书(例如第二或第三证书)可以包括配置信息的剩余部分。在某些情况下,证书可以例如在标题中标识企业应用和证书中包括的配置信息的序列两者。例如,第一证书的标题可以指示企业应用的名称,并且指示证书中包含的信息是第一部分。
在某些情况下,证书可以包含多于一个应用的配置信息。在这些或其他情况下,证书可以例如在标题中标识所述多于一个应用中的每一个。
在206,将在204生成的证书安装在企业工作空间中。在某些情况下,使用可用于证书安装的API将证书安装到企业工作空间中。
在208,执行配置应用以使用证书来配置企业应用。配置应用可以在企业工作空间中运行,并在企业工作空间中配置应用。在一些实施方式中,配置应用可以是EMM客户端的扩展。
在某些情况下,可以基于事件触发配置应用的执行。例如,EMM客户端安装证书后,EMM客户端可以向配置应用发送配置命令以发起配置。配置命令可以通过可用API来发送,以由个人工作空间中运行的EMM客户端在企业工作空间内启动应用。在某些情况下,配置应用可用于配置特定应用。备选地或组合地,可以使用配置应用来配置多于一个应用。配置命令可以例如使用名称、标识符或其组合来标识要配置的应用。在某些情况下,配置命令可以标识要配置的多于一个应用。
当执行配置应用时,配置应用可以防问企业工作空间中的证书,以获取要配置的每个应用的配置信息。在某些情况下,可以在企业工作空间中安装多于一个证书。在这些或其他情况下,配置应用可以搜索安装的证书来查找包含要配置的应用的配置信息的证书。例如,配置应用可以搜索指示证书用于配置目的并因此包括配置信息的证书。此外,配置应用可以在证书的标题中搜索要配置的应用的名称或标识符。在某些情况下,如前所述,可以找到包含要配置的应用的配置信息的多于一个证书。在某些情况下,可以找到包含多于一个应用的配置信息的证书。
配置应用可以根据从与企业应用相关联的证书中获取的配置信息来配置企业应用。在某些情况下,为对应用进行配置,所述配置应用可以使用获取到的配置信息来生成配置文件。该配置应用可以将配置文件放在与企业应用相关联的目录中。备选地或附加地,该配置应用可以使用企业应用的软件开发工具包(SDK)来配置企业应用。在某些情况下,企业应用开发者可以公开提供SDK或向开发者伙伴(例如该配置应用的开发者)提供。SDK暴露了用于配置企业应用的API以获取安全性或其他配置信息。所述配置应用可以使用从证书接收到的配置数据以通过使用SDK中可用的API来配置企业应用。
在某些情况下,配置过程可以包括多于一个配置程序。例如,配置过程可以包括配置企业应用的安全程序,配置用户名和密码以及其他程序。在某些情况下,可以执行整个配置过程。例如,首次安装企业应用并且EMM客户端从EMM服务器接收到配置信息后,EMM客户端可以发出配置命令来执行整个配置过程。备选地或附加地,可以执行一个或多于一个特定的配置程序。在某些情况下,配置命令可用于标识要执行的一个或多个配置程序。例如,EMM服务器可以向EMM客户端发送更新的配置信息,例如以改变该应用所使用的加密协议的版本。EMM客户端可以在企业工作空间中生成并安装更新的证书。更新证书可以包括更新的配置信息。EMM客户端可以使用提供给EMM客户端的API来启动配置应用。该配置应用可以从更新的证书中获取更新的配置信息,并根据更新的配置信息执行认证配置程序。
备选地或附加地,更新的证书可以用于标识要执行的配置程序。例如,更新的证书可以包括更新的配置信息并且指示要执行的特定配置程序。EMM客户端可以使用EMM客户端可用的API来触发所述配置应用以开始配置。配置应用可以获取更新的证书,并根据更新的证书标识要执行的特定配置程序。配置应用可以基于更新的配置信息执行特定的配置程序。
图3是示出根据实施方式的示例移动设备300的框图。所示设备300包括处理单元302、计算机可读存储介质304(例如,ROM或闪存)、无线通信子系统306、用户接口308以及I/O接口310。
处理单元302可以包括一个或多个处理组件(或者称为″处理器″或″中央处理单元″(CPU)),该一个或多个处理组件被配置为执行与结合本文公开的一个或多个实施方式在本文中所描述的一个或多个过程、步骤或动作相关的指令。在一些实施方式中,处理单元302可以被配置为生成如测量报告的控制信息,或者对接收到信息(如来自网络节点的控制信息)作出响应。处理单元302还可以被配置为作出如小区选择/重选信息的无线资源管理(RRM)决定,或者触发测量报告。处理单元302还可以包括如随机存取存储器(RAM)和只读存储器(ROM)的其它辅助组件。计算机可读存储介质304可以存储设备300的操作系统(OS)和用于执行上述过程、步骤或动作中的一个或多个的各种其他计算机可执行指令、逻辑或软件程序。在一些情况下,计算机可读存储介质304可以是暂时性的、非暂时性的或其组合。
无线通信子系统306可以被配置为提供由处理单元302提供的用于语音、数据和/或控制信息的无线通信。无线通信子系统306可以包括例如:一个或多个天线、接收机、发射机、本地振荡器、混频器、和数字信号处理(DSP)单元。在一些实施方式中,子系统306能够支持多输入多输出(MIMO)传输。在一些实施方式中,无线通信子系统306中的接收机可以是高级接收机或基线接收机。两个接收机可以利用相同、相似或不同的接收机处理算法实现。
用户接口308可以包括例如以下的一种或多种:屏幕或触摸屏(例如,液晶显示器(LCD)、发光显示器(LED)、有机发光显示器(OLED)、微机电系统(MEMS)显示器)、键盘或小键盘、轨迹球、扬声器和麦克风。I/O接口310可以包括例如通用串行总线(USB)接口。
本说明书中描述的主题和操作中的一些可以在数字电子电路中或在计算机软件、固件或硬件中实现,包括在本说明书中公开的结构及其结构等效物、或其一个或多个的组合。本说明书中描述的一些主题可以被实现为编码在计算机存储介质上、用于由数据处理装置执行或控制数据处理装置的操作的一个或多个计算机程序,即,计算机程序指令的一个或多个模块。计算机存储介质可以是计算机可读存储设备、计算机可读存储基板、随机或串行存取存储器阵列或设备,或其中的一个或多个的组合,或可以包括在其中。此外,虽然计算机存储介质不是传播信号,但是计算机存储介质可以是在人工产生的传播信号中编码的计算机程序指令的源或目的地。计算机存储介质也可以是一个或多个单独的物理组件或介质(例如,多个CD、盘或其他存储设备),或包括在其中。
术语″数据处理装置″包括用于处理数据的所有种类的装置、设备和机器,例如包括一个或多个可编程处理器、计算机、芯片上系统,或前述项的组合。所述装置可以包括专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除了硬件以外,所述装置还可以包括为所讨论的计算机程序创建运行环境的代码,例如,构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行时环境、虚拟机或者上述各项中的一项或多项的组合的代码。
计算机程序(也称为程序、软件、软件应用、脚本或代码)可以以任何形式的编程语言编写,包括编译或解释语言、声明性或程序语言。计算机程序可以但无需与文件系统中的文件相对应。程序可以存储在保存其他程序或数据(例如,存储在标记语言文档中的一个或多个脚本)的文件的一部分中、存储在程序专用的单个文件中,或存储在多个协调文件(例如存储一个或多个模块、子程序或代码的一部分的文件)中。计算机程序可以被部署为在一个计算机上或者在位于一个站点或分布在多个站点并且通过通信网络互连的多个计算机上执行。
本说明书中描述的一些过程和逻辑流程可以由执行一个或多个计算机程序的一个或多个可编程处理器执行,以通过对输入数据进行操作并产生输出来执行动作。所述过程和逻辑流程也可以由专用逻辑电路(例如FPGA(现场可编程门阵列)或ASIC(专用集成电路))执行,并且装置也可以实现为该专用逻辑电路。
适用于执行计算机程序的处理器包括例如通用和专用微处理器以及任何类型的数字计算机的处理器。通常,处理器将从只读存储器、随机存取存储器或两者接收指令和数据。计算机可以包括根据指令执行动作的处理器以及存储指令和数据的一个或多个存储器设备。计算机还可以包括或可操作地耦合以从用于存储数据的一个或多个大容量存储设备(例如磁盘,磁光盘或光盘)接收数据或向其传输数据或两者。然而,计算机不需要具有这些设备。适用于存储计算机程序指令和数据的装置包括所有形式的非易失性存储器、介质和存储设备,例如包括半导体存储设备(例如EPROM、EEPROM、闪速存储设备等)、磁盘(例如内部硬盘、可移动盘等)、磁光盘以及CD ROM和DVD-ROM盘。在某些情况下,处理器和存储器可由专用逻辑电路补充或并入其中。
为了提供与用户的交互,可以在计算机上实现操作,该计算机具有用于向用户显示信息的显示设备(例如,监视器或另一类型的显示设备)以及键盘以及指点设备(例如鼠标、轨迹球、平板、触敏屏幕或另外类型的指点设备),用户可以通过这些方式向计算机提供输入。其它类型的设备也可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈,例如,视觉反馈、听觉反馈或触觉反馈;以及可以以任意形式(包括声音、语音或触觉输入)来接收来自用户的输入。此外,计算机可以通过向用户使用的设备发送文档或者从该设备接收文档来与用户交互;例如,通过响应于从用户客户端设备上的web浏览器接收到的请求而向所述web浏览器发送网页,来与用户交互。
计算机系统可以包括单个计算设备,或彼此近距离操作或通常彼此远距离地操作并且通常通过通信网络进行交互的多个计算机。通信网络的示例包括局域网(″LAN″)和广域网(″WAN″)、网际网(例如,因特网)、包括卫星链路的网络,和对等网络(例如,ad hoc对等网络)。客户端和服务器的关系可能由于在相应计算机上运行并且彼此之间具有客户端-服务器关系的计算机程序而出现。
虽然本说明书包含许多细节,但是这些细节不应被解释为对可被要求保护的范围的限制,而是对具体示例特有的特征的描述。在本说明书中在单独实施方式的上下文中描述的某些特征也可以进行组合。相反,在单个实施方式的上下文中描述的各种特征也可以在多个实施例中单独地或以任何合适的子组合来实现。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求这些操作以示出的特定顺序或以顺序次序执行,或者需要执行所有示出的操作来实现期望的结果。在特定环境中,多任务处理和并行处理可能是有利的。此外,上述实施方式中的各种系统组件的分离不应被理解为在所有实施方式中需要这样的分离,并且应当理解,所描述的程序组件和系统通常可以集成在单个软件产品中或被打包成多个软件产品。
此外,在不脱离本公开的范围的前提下,在各种实施方式中描述和阐述为分立或分离的技术、系统、子系统和方法可以与其他系统、模块、技术或方法组合或集成。被示出或讨论为彼此连接或直接连接或通信的其他项目可以通过某种接口、设备或中间组件而间接连接或通信,而不论是以电的方式、以机械的方式还是以其他方式。本领域技术人员可以在不脱离本文公开的精神和范围的前提下确定和作出改变、替换和变更的其他示例。
虽然上述详细描述已经显示、描述并指出了应用于各种实施方式的本公开的基本新颖特征,但是应当理解,本领域普通技术人员可以对所示系统的形式和细节作出各种省略、替换和改变而不脱离本公开的目的。此外,方法步骤的顺序并不由它们在权利要求中出现的顺序来说明。
Claims (20)
1.一种方法,包括:
在移动设备上的企业移动性管理(EMM)客户端处接收企业应用的配置信息;
生成包括所述配置信息的至少一部分的证书;
将证书安装在移动设备上的企业工作空间中;以及
在所述移动设备上的企业工作空间中执行配置应用以配置企业应用,其中,执行配置应用包括:
从证书中获取配置信息的所述部分;以及
使用所述配置信息的所述部分来配置企业应用。
2.根据权利要求1所述的方法,其中,所述EMM客户端在所述移动设备上的个人工作空间中操作。
3.根据权利要求1所述的方法,其中,所述企业工作空间由所述EMM客户端创建。
4.根据权利要求1所述的方法,其中,所述证书包括标识企业应用的部分,并且其中执行配置应用还包括:
在移动设备上的企业工作空间中搜索多个证书;以及
基于标识企业应用的证书的部分,标识与企业应用相关联的证书。
5.根据权利要求1所述的方法,其中,所述证书是第一证书,并且所述配置信息的所述部分是所述配置信息的第一部分,所述方法还包括:
生成包括配置信息的第二部分的第二证书;
将第二证书安装在移动设备上的企业工作空间中;以及
其中,执行配置应用还包括:
从第二证书中获取配置信息的第二部分;以及
使用配置信息的第一部分和第二部分来配置企业应用。
6.根据权利要求1所述的方法,其中,所述证书包括用于多于一个企业应用的配置信息。
7.根据权利要求1所述的方法,其中,所述证书标识要由配置应用执行的一个或多个配置程序。
8.根据权利要求1所述的方法,其中,所述配置信息包括用于所述企业应用的安全凭证。
9.一种移动设备,包括:
存储器;以及
至少一个硬件处理器,与所述存储器通信耦合,并被配置为:
在移动设备上的企业移动性管理(EMM)客户端接收企业应用的配置信息;
生成包括配置信息的至少一部分的证书;
将证书安装在移动设备上的企业工作空间中;以及
在所述移动设备上的企业工作空间中执行配置应用以配置企业应用,其中执行配置应用包括:
从证书中获取配置信息的所述部分;以及
使用所述配置信息的所述部分来配置企业应用。
10.根据权利要求9所述的移动设备,其中,所述EMM客户端在所述移动设备上的个人工作空间中操作。
11.根据权利要求9所述的移动设备,其中,所述企业工作空间由所述EMM客户端创建。
12.根据权利要求9所述的移动设备,其中,所述证书包括标识企业应用的部分,并且其中执行配置应用还包括:
在移动设备上的企业工作空间中搜索多个证书;以及
基于标识企业应用的证书的部分,标识与企业应用相关联的证书。
13.根据权利要求9所述的移动设备,其中,所述证书是第一证书,所述配置信息的所述部分是所述配置信息的第一部分,并且所述至少一个硬件处理器还被配置为:
生成包括配置信息的第二部分的第二证书;
将第二证书安装在移动设备上的企业工作空间中;以及
其中,执行配置应用还包括:
从第二证书中获取配置信息的第二部分;以及
使用配置信息的第一部分和第二部分来配置企业应用。
14.根据权利要求9所述的移动设备,其中,所述证书包括用于多于一个企业应用的配置信息。
15.根据权利要求9所述的移动设备,其中,所述证书标识要由配置应用执行的一个或多个配置程序。
16.根据权利要求9所述的移动设备,其中,所述配置信息包括用于所述企业应用的安全凭证。
17.一种非暂时性计算机可读介质,包含指令,所述指令在执行时使计算设备执行如下操作,包括:
在移动设备上的企业移动性管理(EMM)客户端处接收企业应用的配置信息;
生成包括所述配置信息的至少一部分的证书;
将证书安装在移动设备上的企业工作空间中;以及
在所述移动设备上的企业工作空间中执行配置应用以配置企业应用,其中,执行配置应用包括:
从证书中获取配置信息的所述部分;以及
使用所述配置信息的所述部分来配置企业应用。
18.根据权利要求17所述的非暂时性计算机可读介质,其中,所述EMM客户端在所述移动设备上的个人工作空间中操作。
19.根据权利要求17所述的非暂时性计算机可读介质,其中,所述企业工作空间由所述EMM客户端创建。
20.根据权利要求17所述的非暂时性计算机可读介质,其中,所述证书包括标识企业应用的部分,并且其中执行配置应用还包括:
在移动设备上的企业工作空间中搜索多个证书;以及
基于标识企业应用的证书的部分,标识与企业应用相关联的证书。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/148,718 | 2016-05-06 | ||
| US15/148,718 US10326603B2 (en) | 2016-05-06 | 2016-05-06 | Inter-workspace communications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107425980A true CN107425980A (zh) | 2017-12-01 |
| CN107425980B CN107425980B (zh) | 2022-01-28 |
Family
ID=58714915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710315333.7A Active CN107425980B (zh) | 2016-05-06 | 2017-05-05 | 工作空间之间的通信 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10326603B2 (zh) |
| EP (1) | EP3242242B1 (zh) |
| CN (1) | CN107425980B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10749855B2 (en) | 2017-10-30 | 2020-08-18 | Vmware, Inc. | Securely managing digital assistants that access third-party applications |
| US10805301B2 (en) | 2017-10-30 | 2020-10-13 | Vmware, Inc. | Securely managing digital assistants that access third-party applications |
| US10797890B2 (en) * | 2018-02-26 | 2020-10-06 | Blackberry Limited | Providing inter-enterprise data communications between enterprise applications on an electronic device |
| US20230283593A1 (en) * | 2022-03-02 | 2023-09-07 | Venafi, Inc. | Systems and methods for providing access to applications and services running on a private network |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102244656A (zh) * | 2010-05-11 | 2011-11-16 | 微软公司 | 域访问系统 |
| US20140032759A1 (en) * | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10375023B2 (en) * | 2004-02-20 | 2019-08-06 | Nokia Technologies Oy | System, method and computer program product for accessing at least one virtual private network |
| US20060200814A1 (en) * | 2005-03-02 | 2006-09-07 | Nokia Corporation | Software distribution with activation control |
| US20070277248A1 (en) | 2006-05-25 | 2007-11-29 | Microsoft Corporation | Installation of an Application Module and a Temporary Certificate |
| US9055041B2 (en) | 2007-08-31 | 2015-06-09 | International Business Machines Corporation | Device certificate based appliance configuration |
| US8997054B2 (en) | 2007-11-30 | 2015-03-31 | Red Hat, Inc. | Software application certification service |
| US8736299B1 (en) | 2011-04-29 | 2014-05-27 | Altera Corporation | Setting security features of programmable logic devices |
| JP5575071B2 (ja) * | 2011-08-26 | 2014-08-20 | 株式会社東芝 | 情報処理装置、情報処理方法、およびプログラム |
| US8898459B2 (en) | 2011-08-31 | 2014-11-25 | At&T Intellectual Property I, L.P. | Policy configuration for mobile device applications |
| US20140032733A1 (en) * | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
| US9087191B2 (en) | 2012-08-24 | 2015-07-21 | Vmware, Inc. | Method and system for facilitating isolated workspace for applications |
| US9077725B2 (en) | 2012-08-27 | 2015-07-07 | Vmware, Inc. | Configuration profile validation on iOS based on root certificate validation |
| US9166970B1 (en) | 2013-03-15 | 2015-10-20 | Symantec Corporation | Dynamic framework for certificate application configuration |
| US10243786B2 (en) | 2013-05-20 | 2019-03-26 | Citrix Systems, Inc. | Proximity and context aware mobile workspaces in enterprise systems |
| US9264410B2 (en) | 2014-06-05 | 2016-02-16 | Sony Corporation | Dynamic configuration of trusted executed environment resources |
| US10021542B2 (en) * | 2015-08-28 | 2018-07-10 | Airwatch Llc | Providing access to applications with varying enrollment levels |
| US10180834B2 (en) * | 2016-02-29 | 2019-01-15 | Airwatch Llc | Provisioning of applications deployed on client devices |
| US10637723B2 (en) * | 2016-03-30 | 2020-04-28 | Airwatch Llc | Configuring enterprise workspaces |
-
2016
- 2016-05-06 US US15/148,718 patent/US10326603B2/en active Active
-
2017
- 2017-04-26 EP EP17168198.4A patent/EP3242242B1/en active Active
- 2017-05-05 CN CN201710315333.7A patent/CN107425980B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102244656A (zh) * | 2010-05-11 | 2011-11-16 | 微软公司 | 域访问系统 |
| US20140032759A1 (en) * | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107425980B (zh) | 2022-01-28 |
| US10326603B2 (en) | 2019-06-18 |
| US20170324565A1 (en) | 2017-11-09 |
| EP3242242B1 (en) | 2020-01-29 |
| EP3242242A1 (en) | 2017-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10545748B2 (en) | Wrapping unmanaged applications on a mobile device | |
| CN106797383B (zh) | 多租户环境中的安全性上下文管理的方法、系统和介质 | |
| US9049186B1 (en) | Trusted security zone re-provisioning and re-use capability for refurbished mobile devices | |
| US10133525B2 (en) | Autonomous secure printing | |
| US9660810B2 (en) | Method and apparatus for providing secret delegation | |
| US9075978B2 (en) | Secure configuration of mobile applications | |
| US11036919B2 (en) | Enabling file attachments in calendar events | |
| EP3292464B1 (en) | Availability of devices based on location | |
| CN104363226B (zh) | 一种登录操作系统的方法、装置及系统 | |
| CN107425980A (zh) | 工作空间之间的通信 | |
| CN103873692B (zh) | 一种分享资源的方法、装置及系统 | |
| CN109076075A (zh) | 访问企业资源 | |
| CN103858457A (zh) | 用于身份提供商(IdP)漫游/代理的多跳单点登录(SSO) | |
| EP1773082A1 (en) | Remote testing of mobile terminals | |
| CN104335201B (zh) | 用于促进计算系统的动态和受信任的基于云的扩展升级的机构 | |
| CN101504616B (zh) | 一种从Web应用登录Windows应用程序的方法及装置 | |
| US9591434B1 (en) | Virtual private network (VPN) tunneling in a user equipment (UE) brokered by a radio frequency identity (RFID) chip communicatively coupled to the user equipment | |
| US11523260B2 (en) | Delivery of configuration information for cross-platform application integration | |
| US10754929B2 (en) | Sharing contents between applications | |
| US10805780B1 (en) | Mobile phone differentiated user set-up | |
| CN110149363A (zh) | 一种消息推送方法、装置及存储介质 | |
| CN114281573A (zh) | 工作流数据交互方法、装置及电子装置、可读存储介质 | |
| CN107948170A (zh) | 接口请求参数加密方法、装置、设备及可读存储介质 | |
| CN103716400A (zh) | 基于虚拟机实现移动办公的方法及系统 | |
| CN104158893B (zh) | 基于WiFi设备传输剪贴板内容的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240523 Address after: Ai Erlandubailin Patentee after: Maliki Innovation Co.,Ltd. Country or region after: Ireland Address before: Ontario, Canada Patentee before: BlackBerry Ltd. Country or region before: Canada |
|
| TR01 | Transfer of patent right |