TW201516744A

TW201516744A - 在電腦裝置中管理應用程式的執行所適用的安全模式

Info

Publication number: TW201516744A
Application number: TW102139647A
Authority: TW
Inventors: Chen-Yu Kuo; Ming-Fa Hsu; Mahadevan Hariharan; Ying-Hung Yu
Original assignee: Ibm
Priority date: 2013-10-31
Filing date: 2013-10-31
Publication date: 2015-05-01
Also published as: US9501638B2; TWI516978B; US20150121538A1

Abstract

揭露一種電腦裝置，包含處理器與第一安全模組。處理器執行管理程式與應用程式。該管理程式提示給使用者與該第一安全模組相關連之一第一清單，該第一清單記載有對應該應用程式之一項目，供使用者利用該第一清單之該項目啟動該應用程式，並在該第一安全模組所規範之一安全模式下執行該應用程式。

Description

在電腦裝置中管理應用程式的執行所適用的安全模式

本發明大體而言係關於在電腦裝置中管理應用程式的執行所適用的安全模式，更特別的是在行動電腦裝置中管理應用程式的執行所適用的安全模式。

由於行動電腦裝置，例如智慧型手機及平板的發展，「員工自帶設備上班(bring your own device，BYOD)」的概念已漸漸興起，讓員工可以將自己的手機、平板等裝置同時作為個人及企業之用。自帶設備上班可以讓員工使用個人習慣的操作模式、減少適應時間、降低企業裝置成本。只是一個電腦裝置同時作為個人及企業之用，公司資料就會有洩漏風險。

為了處理公司資料洩漏的問題，舉例來說，現有技術中Apple公司的IOS 7手機作業系統可以提供「Open in management」的功能，透過控制應用程式及帳戶的文件、附件開啟權限，可以避免公司或企業文件的洩漏。特別是IOS 7中的「Per app VPN」可針對特定應用程式所使用的VPN，使得該應用程式啟動時會自動連結至預設的VPN，可確保應用程式所傳送的資料均透過VPN，而同時，其他資料的傳輸則不會透過VPN傳輸。

本發明體認到員工自帶設備上班，也就是讓同一個電腦裝置作為個人與企業使用，會產生公司資料洩漏的問題。舉例來說，由於電腦裝置會接取外部網路與私人網路，並同時儲存有個人使用資訊及公司資訊，加上應用程式之間的資料溝通，公司資訊洩漏的機會大幅增加。這些資料洩漏往往是透過與外部網路的傳輸、檔案存取(包含開啟、寫入或讀取)或是應用程式之間的資料溝通。

舉例來說，使用者(員工)用自有設備開啟一份公司內部具有機密性的文書檔案後，可能會不小心儲存在員工私人的檔案資料夾，甚至留存在員工自有設備的暫存資料夾中。又例如：使用者欲透過網路傳遞機密性資料，卻因為混淆及疏忽、或是應用程式未能區分使用目的，而連接了不安全的網路，而導致資料外洩。

除此之外，在電腦裝置中，應用程式可以傳送或取得其他應用程式的資訊。舉例來說，簡單的剪貼簿功能可能會使公司的資料透過文字複製或螢幕截圖(screenshot)的方式洩漏，或是因為應用程式間進行管線(PIPE)流程時，將重要資料傳送到其他不受管制的應用程式。

在現有技術中，應用程式也許可提供適當的安全設定來處理公司機密資訊。但對於每個應用程式進行個別設定並不容易，每當轉換使用目的時(例如從辦公室回到家中)又要重新設定或切換，增加了使用者的困擾。舉例來說，在前述的IOS 7的「Per app VPN」中雖然提供針對個別應用程式的VPN設定，但使用者在不同的使用環境中需手動調整VPN設定。

對此，本發明實施例中提出電腦裝置以及電腦程式產品，其中一特點在於電腦裝置中的管理程式，其可針對不同的使用環境下所需的安全模式，設定一或多個清單，例如「辦公室」清單、「住家」清單、「公共場所」清單。特別地，每一清單係對應由一或多個安全模組所個別或共同規範的一安全模式，並可在每一清單中登錄所欲在一給定安全模式下執行的一或多個應用程式。

需說明的是，在本文中，所謂一「安全模式」係指針對應用程式的執行，為了安全性的考量，由一或多個安全模組個別或共同採取與軟體或硬體相關的單一措施或多個措施的「組合」。另外需特別注意的是，單一安全模組可根據不同的安全性層級設定，而提供一或多個安全模式，也就是可以採取不同的措施。

安全模式可包含應用程式在功能上的管制(例如禁止剪貼簿的使用)、資料傳輸方式的規定(例如要求透過VPN或加密)、或是加入額外的身份認證機制(例如要求輸入啟動密碼)，本發明對此並不欲加以限制。

舉例來說，藉由透過「辦公室」清單來啟動所登錄之電子郵件應用程式(例如微軟公司的Outlook)，則Outlook將在「辦公室」清單所對應的安全模式下執行，例如電子郵件的傳送必須透過特定的VPN；而若藉由透過「公共場所」清單來啟動所登錄之相同電子郵件應用程式，則Outlook將在「公共場所」清單所對應的安全模式下執行，例如電子郵件的傳送必須透過特定的VPN以及經過特定的加密過程(即VPN與加密的組合)。透過此方式，同一應用程式可登錄於不同的清單，而使用者可利用不同的清單，將同一應用程式執行於不同的安全模式。

另一方面，本發明允許使用者以便利地編輯每一清單中所登錄的應用程式，也就是編輯每一安全模式下所需的應用程式，例如可透過拖拉應用程式圖示的方式，將應用程式新增至一清單中或從一清單中移除。本發明提供簡單而直覺的操作方式，可以讓同一個應用程式同時作為個人使用及企業使用，而不需使用者費心注意在當下使用環境中應用程式所需的安全設定。而且每個安全模式可以適用於多個應用程式，不需要針對個別應用程式進行設定，並且節省應用程式客製化開發的成本。更可以依據不同安全需求進行設定數個不同等級的安全模組。

本說明書中所提及的特色、優點、或類似表達方式並不表示，可以本發明實現的所有特色及優點應在本發明之任何單一的具體實施例內。而是應明白，有關特色及優點的表達方式是指結合具體實施例所述的特定特色、優點、或特性係包含在本發明的至少一具體實施例內。因此，本說明書中對於特色及優點、及類似表達方式的論述與相同具體實施例有關，但亦非必要。

參考以下說明及隨附申請專利範圍或利用如下文所提之本發明的實施方式，即可更加明瞭本發明的這些特色及優點。

10‧‧‧電腦裝置

102‧‧‧顯示單元

104‧‧‧處理器

106‧‧‧記憶體

108‧‧‧通訊模組

110‧‧‧資料輸入模組

112、114、116‧‧‧多個安全模組

200‧‧‧清單

OS‧‧‧作業系統

MP‧‧‧管理程式

AP1、AP2‧‧‧應用程式

為了立即瞭解本發明的優點，請參考如附圖所示的特定具體實施例，詳細說明上文簡短敘述的本發明。在瞭解這些圖示僅描繪本發明的典型具體實施例並因此不將其視為限制本發明範疇的情況下，參考附圖以額外的明確性及細節來說明本發明，圖式中：

圖1係依據本發明具體實施例的電腦裝置。

圖2係依據本發明具體實施例的電腦裝置的使用者介面。

本說明書中「一具體實施例」或類似表達方式的引用是指結合該具體實施例所述的特定特色、結構、或特性係包括在本發明的至少一具體實施例中。因此，在本說明書中，「在一具體實施例中」及類似表達方式之用語的出現未必指相同的具體實施例。

熟此技藝者當知，本發明可實施為電腦裝置、方法或作為電腦程式產品之電腦可讀媒體。因此，本發明可以實施為各種形式，例如完全的硬體實施例、完全的軟體實施例(包含韌體、常駐軟體、微程式碼等)，或者亦可實施為軟體與硬體的實施形式，在以下會被稱為「電路」、「模組」或「系統」。此外，本發明亦可以任何有形的媒體形式實施為電腦程式產品，其具有電腦可使用程式碼儲存於其上。

一個或更多個電腦可使用或可讀取媒體的組合都可以利用。舉例來說，電腦可使用或可讀取媒體可以是(但並不限於)電子的、磁的、光學的、電磁的、紅外線的或半導體的系統、裝置、設備或傳播媒體。更具體的電腦可讀取媒體實施例可以包括下列所示(非限定的例示)：由一個或多個連接線所組成的電氣連接、可攜式的電腦磁片、硬碟機、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除程式化唯讀記憶體(EPROM或快閃記憶體)、光纖、可攜式光碟片(CD-ROM)、光學儲存裝置、傳輸媒體(例如網際網路(Internet)或內部網路(intranet)之基礎連接)、或磁儲存裝置。需注意的是，電腦可使用或可讀取媒體更可以為紙張或任何可用於將程式列印於其上而使得該程式可以再度被電子化之適當媒體，例如藉由光學掃描該紙張或其他媒體，然後再編譯、解譯或其他合適的必要處理方式，然後可再度被儲存於電腦記憶體中。在本文中，電腦可使用或可讀取媒體可以是任何用於保持、儲存、傳送、傳播或傳輸程式碼的媒體，以供與其相連接的指令執行系統、裝置或設備來處理。電腦可使用媒體可包括其中儲存有電腦可使用程式碼的傳播資料訊號，不論是以基頻(baseband)或是部分載波的型態。電腦可使用程式碼之傳輸可以使用任何適體的媒體，包括(但並不限於)無線、有線、光纖纜線、射頻(RF)等。

用於執行本發明操作的電腦程式碼可以使用一種或多種程式語言的組合來撰寫，包括物件導向程式語言(例如Java、Smalltalk、C++或其他類似者)以及傳統程序程式語言(例如C程式語言或其他類似的程式語言)。

於以下本發明的相關敘述會參照依據本發明具體實施例之系統、裝置、方法及電腦程式產品之流程圖及/或方塊圖來進行說明。當可理解每一個流程圖及/或方塊圖中的每一個方塊，以及流程圖及/或方塊圖中方塊的任何組合，可以使用電腦程式指令來實施。這些電腦程式指令可供通用型電腦或特殊電腦的處理器或其他可程式化資料處理裝置所組成的機器來執行，而指令經由電腦或其他可程式化資料處理裝置處理以便實施流程圖及/或方塊圖中所說明之功能或操作。

這些電腦程式指令亦可被儲存在電腦可讀取媒體上，以便指示電腦或其他可程式化資料處理裝置來進行特定的功能，而這些儲存在電腦可讀取媒體上的指令構成一製成品，其內包括之指令可實施流程圖及/或方塊圖中所說明之功能或操作。

電腦程式指令亦可被載入到電腦上或其他可程式化資料處理裝置，以便於電腦或其他可程式化裝置上進行一系統操作步驟，而於該電腦或其他可程式化裝置上執行該指令時產生電腦實施程序以達成流程圖及/或方塊圖中所說明之功能或操作。

其次，請參照圖1至圖2，在圖式中顯示依據本發明各種實施例的裝置、方法及電腦程式產品可實施的架構、功能及操作之流程圖及方塊圖。因此，流程圖或方塊圖中的每個方塊可表示一模組、區段、或部分的程式碼，其包含一個或多個可執行指令，以實施指定的邏輯功能。另當注意者，某些其他的實施例中，方塊所述的功能可以不依圖中所示之順序進行。舉例來說，兩個圖示相連接的方塊事實上亦可以皆執行，或依所牽涉到的功能在某些情況下亦可以依圖示相反的順序執行。此外亦需注意者，每個方塊圖及/或流程圖的方塊，以及方塊圖及/或流程圖中方塊之組合，可藉由基於特殊目的硬體的系統來實施，或者藉由特殊目的硬體與電腦指令的組合，來執行特定的功能或操作。

<電腦裝置>

圖1顯示一實施例中電腦裝置10的方塊圖。電腦裝置10具有顯示單元102、處理器104、記憶體106、通訊模組108、資料輸入模組110、與多個安全模組112、114、116。

電腦裝置10可利用一般的筆記型電腦或類似的可攜式資訊裝置來實施。較佳地，電腦裝置10係為一行動電話，基本構成係可參考Apple公司的產品iPhone。

舉例來說，處理器104可為ARM公司所生產用在行動裝置上的中央處理器；記憶體106可為快閃記憶體，用以儲存作業系統OS、管理程式MP、應用程式AP1與AP2之電腦可執行指令，並供處理器104存取並加以執行。作業系統OS可參考Apple公司的IOS 7。應用程式AP1與AP2則可參考可運行在iPhone上的各類應用程式。

管理程式MP係可對應安全模組112、114、及116所個別或共同提供的每一安全模式建立一清單(又可稱為安全模組容器(Secured App Container))，並可記錄可能需要在此安全模式下執行的應用程式，更可供使用者透過此清單啟動該應用程式以在此安全模式下執行。特別地，在一實施例中，管理程式MP係為作業系統OS的一部分，但亦可為單獨(standalone)的程式。更多關於管理程式MP以及安全模組112、114、及/或116的細節則參考本文後續的說明。

在其他未圖示的範例中，電腦裝置10亦可實施為具有強大處理能力與儲存能力之高階工作站、大型主機等，例如IBM公司的System X、Blade Center或eServer。

在本文中「網路」亦可實施為任何型式之連線，包括固定連接之區域網路(LAN)或廣域網路(WAN)連線，或利用網際網路服務提供者來暫時撥接至網際網路，亦不限於有線無線等各種連接方式。此外，應可了解，其他硬體及軟體組件(例如額外電腦系統、路由器、防火牆等)雖未繪示於圖式中，但仍可包含於網路之中。

以下並將針對安全模組112、114、116的實施例加以說明，但應知本發明並不侷限於此。換言之，在數量上電腦裝置10可包含更多或更少的安全模組，而在功能上，電腦裝置10所具有的安全模組可具有安全模組112、114、116以外的功能。另一方面，應可知，本發明中之安全模組可透過硬體、軟體、或硬體與軟體的組合而實現，而在基於軟體(software-based)的安全模組實施例中，安全模組112、114、116更可與作業系統OS整合，但本發明並不侷限於此。

<安全模組112：程序間溝通中介模組>

在一實施例中，安全模組112可為一個程序間溝通中介模組(Inter Process Communication Broker module，簡稱IPC Broker)，用以過濾往來應用程式AP1-APn之間的資料溝通(Inter-App Communication)，如果不屬於所允許的應用程式，安全模組112將會阻擋應用程式AP1-APn之間的資料溝通。應用程式AP1-APn之間的資料溝通的例子有：當使用者於儲存聯絡人資訊的應用程式AP1中點選地址資訊時，應用程式AP1即會發出「事件觸發(Intent)」向其他應用程式AP2(例如：Google Maps或其他地圖應用程式)進行資訊的溝通，而地址資訊即會傳送到其他應用程式AP2；或是於使用應用程式AP1時，使用螢幕擷取及剪貼簿，並將擷取或剪貼的資料複製到其他應用程式AP2。

透過習知的應用程式資料過濾技術，安全模組112作為程序間的溝通中介模組(IPC Broker)，可以過濾上述應用程式AP1與AP2間的資料溝通，一旦該傳輸不符合安全模組112的認可標準，安全模組112會阻斷該資訊溝通，以避免資料的外洩。

在本發明的實施例中，使用者可於安全模組112針對不同的安全模式而設定不同的安全層級，而針對不同安全層級，安全模組112係要求應用程式在執行時採取不同的措施，舉例來說，可對應用程式採取不同的過濾條件，或是使用不同的管制方式(例如禁止擷取螢幕或是禁止將資訊傳送或複製於其他的應用程式)。

關於安全模組112更多的細節，可參考Erika Chin等人於2011年發表於MobiSys '11 Proceedings of the 9th international conference on Mobile systems,applications,and services的論文「Analyzing Inter-Application Communication in Android」，茲不贅述。習知的應用程式資料過濾技術可以參考Stephen Smalley與Robert Craig發表NDSS Symposium 2013的論文「Security Enhanced(SE)Android：Bringing Flexible MAC to Android」。

<安全模組114：網路存取模組>

在一實施例中，安全模組114可為一個網路存取模組(Network Access Module)，此模組可作為一個網路過濾器(Network Filter)，用以過濾特定應用程式的網路通訊(traffic)，如果屬於安全模組114所允許的通訊內容，則安全模組114將特定應用程式的通訊依照安全模組114的設定導向私人網路、企業虛擬私人網路(VPN)或其他安全性較高的網路。如果屬於安全模組114所不允許的通訊內容，則安全模組114將阻擋該通訊。

在一實施例中，使用者亦可依照需求對安全模組114針對不同的安全模式而設定不同的安全層級，而針對不同安全層級，安全模組114係對應用程式採取不同的過濾條件，或是讓應用程式使用的不同的通訊方式(例如僅能透過特定VPN進行傳輸或是禁止使用未加密的無線網路)。安全模組114的過濾與導向安全網路的技術的更多細節可參考例如美國專利US8095786號之內容。

<安全模組116：虛擬檔案模組>

在一實施例中，安全模組116可為一個虛擬檔案系統模組(Virtual File System Module)與一個檔案系統過濾器(File System Filter)，用以過濾應用程式的檔案存取指令是否符合安全規範，如果該指令為安全模組116所認可符合安全規範的應用程式所發出的，才可允許將該存取指令(包含但不限於：開啟、寫入或讀取)存取受加密保護而儲存於安全模組116所建立出之虛擬檔案系統的檔案，如果該檔案存取指令來自於安全模組116不認可的應用程式，則安全模組116會阻擋該檔案存取指令，而拒絕該應用程式開啟、寫入或讀取該虛擬檔案系統裡的檔案。

在一實施例中，使用者亦可依照需求對安全模組116針對不同的安全模式而設定不同的安全層級，而針對不同安全層級，安全模組116係對應用程式採取不同的過濾條件、或是讓應用程式使用不同的存取指令(例如僅能開啟而不能編輯或不能另存新檔)。與安全模組116相關的細節，可參考Linux採用的Virtual File System、用戶空間檔案系統(File system in User space，簡稱FUSE)，或參考美國專利公開文件第US20130110787號。

以下將配合圖2進一步說明本發明實施例之細節。圖2係顯示一電腦裝置10中作業系統OS所提供之使用者介面，對此使用者介面可參考Apple公司的IOS 7。此外，圖2中係以應用程式AP1與應用程式AP2為例加以說明，但可知本發明可實施有更多的應用程式。在一具體實施例中，應用程式AP1為公眾可自由取得的免費軟體，例如Google+客戶端軟體；應用程式AP2為公司內部專用軟體。

首先，使用者可先決定出其所需要的安全模式。舉例來說，使用者在辦公室環境中，因應公司對於BYOD的要求，電腦裝置10中應用程式AP1與AP2需在安全模組114(如圖1所示)所控制之一安全模式(例如禁止使用未加密的無線網路)下運作。而管理程式MP可為此「辦公室」安全模式建立一清單200，如圖2所示。

需說明的是，使用者可根據其所需，決定出多個不同的安全模式。安全模式可為安全模組112、114、或116所個別或共同提供的單一管制措施或是多個措施的組合。管理程式MP可對每個安全模式建立一清單。因此，雖然圖2中僅顯示出清單200，但可知本發明可包含更多的清單。

特別是，本發明實施例允許使用者可以根據需求任意地新增或刪除清單，或對清單進行編輯。當新增清單時，透過指定所關連之一或多個安全模組及各安全模組下安全層級的規範，使用者可編輯該清單所對應的安全模式，以符合使用上的需求。此外，亦可對已存在的清單進行編輯，舉例來說，若日後公司對於BYOD有更嚴格的要求，使用者可將清單 200所對應的安全模式修改為採用安全模組114中更高安全層級的安全模式(例如禁止使用未加密的無線網路且要採用特定的VPN)，或是修改為由安全模組112與114所共同規範之一安全模式(例如通訊要採用特定的VPN且禁止將資訊傳送或複製於其他的應用程式)。

進一步如圖所示，清單200顯示有對應於應用程式AP1的圖示以及對應於應用程式AP2的圖示。當使用者點選清單200內的應用程式AP1的圖示以啟動應用程式AP1時，應用程式AP1將會於安全模組114所規範的安全模式下執行，例如應用程式AP1的通訊會經由特定的VPN。特別地，當使用者點選清單內的應用程式AP1的圖示以啟動應用程式AP1時，管理程式MP會取得應用程式AP1的識別資料，例如應用程式識別碼(APP ID)，並藉此通知安全模組114對應用程式AP1的執行進行管制。

在此實施例中，如圖2所示，管理程式MP可透過作業系統OS的圖形使用者界面(GUI)將清單200以圖像的方式提示給使用者。除了如圖所示的彈出式視窗，亦可以檔案目錄夾(folder)或下拉式選單的形式呈現，本發明對此並不欲限制。

相對比地，在作業系統OS所提供的桌面(又稱為Desktop或是Home screen)上亦設置有應用程式AP1的圖示。如同習知技術中常見的作法，當使用者點選桌面上的應用程式AP1的圖示時，會啟動應用程式AP1以預設的標準方式執行，而不會受到任何安全模式的管制。例如當使用者下班回到家後，若不希望透過應用程式AP1的與家人或朋友間的私人通訊在辦公室專用的安全模式下進行，則使用者可透過桌面上的應用程式AP1的圖示來啟動應用程式AP1，而不要透過清單200中應用程式AP1的圖示來啟動應用程式AP1。

在本發明的一實施例中，使用者可以新增或刪除清單200中的項目。以圖2來說，使用者可以將應用程式AP1或AP2的圖示移出清單200或移入到其他清單或桌面。在一較佳實施例中，使用者可透過作業系統OS所提供的圖形使用者界面將應用程式AP1或AP2的圖示以拖放(drag and drop)的方式移出或移入清單200。因此相較於現有技術，此作法讓使用者可更便利的方式讓使用者應用程式在不同的安全模式中切換。但需注意的是，在某些實施例中，由於應用程式AP2是公司內部專用軟體，可能會要求應用程式AP2僅能透過清單200開啟並在特定的安全模式下執行，而無法如同應用程式AP1一般也設置在桌面上。

在不脫離本發明精神或必要特性的情況下，可以其他特定形式來體現本發明。應將所述具體實施例各方面僅視為解說性而非限制性。因此，本發明的範疇如隨附申請專利範圍所示而非如前述說明所示。所有落在申請專利範圍之等效意義及範圍內的變更應視為落在申請專利範圍的範疇內。