本發(fā)明涉及軟件和移動(dòng)設(shè)備。更具體地，本發(fā)明涉及使設(shè)備（例如手機(jī)、電視、汽車(chē)和其它新興的智能設(shè)備類(lèi)別）上的app安全、掌控和管理該設(shè)備上的app。

背景技術(shù)：
正如目前在計(jì)算和移動(dòng)手機(jī)以及智能電話(huà)產(chǎn)業(yè)中已知的，出現(xiàn)了新的計(jì)算模式，并且通過(guò)現(xiàn)在通常稱(chēng)為用于手持或移動(dòng)設(shè)備的app的軟件應(yīng)用程序的激增而得到促進(jìn)。這種激增是直接依賴(lài)于消費(fèi)者采用智能電話(huà)和平板電腦。企業(yè)現(xiàn)在創(chuàng)建了它們自己獨(dú)特的app，并且將它們分發(fā)給員工、客戶(hù)和合作伙伴。公司正在編寫(xiě)他們自己的app，供他們的員工和合作伙伴使用。然而，隨著這種發(fā)展，另一個(gè)問(wèn)題出現(xiàn)了，即手機(jī)設(shè)備上的這些app的安全和管理。app可能引起手持設(shè)備的嚴(yán)重?fù)p壞，并可能導(dǎo)致數(shù)據(jù)丟失或無(wú)意的傳輸數(shù)據(jù)。它們?cè)斐稍O(shè)備的弱點(diǎn)，以及用戶(hù)的安全風(fēng)險(xiǎn)。傳統(tǒng)的抗病毒方法（例如由MyLookOut提供的）不能排除由手機(jī)設(shè)備上的app進(jìn)行的損壞。盡管app的黑名單部分地足夠用于保護(hù)設(shè)備（不僅是要下載的列表上的app），但是如果有方法能夠包含惡意軟件入侵的app對(duì)移動(dòng)設(shè)備已造成的損害，則是更好的。優(yōu)選的是，移動(dòng)設(shè)備的操作系統(tǒng)軟件內(nèi)核不必被改寫(xiě)。還優(yōu)選的是，app的作者不必在安全編程的領(lǐng)域中被培訓(xùn)，或者在編寫(xiě)app時(shí)為了安全不必編寫(xiě)任何特定或定制的東西，他們應(yīng)該能夠如他們正在做的那樣簡(jiǎn)單地繼續(xù)編寫(xiě)app。

技術(shù)實(shí)現(xiàn)要素：
在本發(fā)明的一個(gè)方面中，app在被下載到例如智能電話(huà)或平板設(shè)備之類(lèi)的設(shè)備上之前，或者在它們被下載之后但在它們被允許訪問(wèn)設(shè)備操作系統(tǒng)并引起任何潛在損壞之前，使app變得安全或被安全包裝（security-wrapped）。app的供應(yīng)商（例如雇主或無(wú)線(xiàn)移動(dòng)電話(huà)提供商）可以在消費(fèi)者從它們的app商店、市場(chǎng)等中下載app之前使其app變得安全。在app被允許訪問(wèn)操作系統(tǒng)或設(shè)備的其它組件之前，使app變得安全，從而阻止app對(duì)設(shè)備進(jìn)行惡意的行為。在本發(fā)明的一個(gè)方面中，描述了一種使用安全性程序來(lái)使在設(shè)備上執(zhí)行的app變得安全的方法。獲取app的核心目標(biāo)代碼并且移除數(shù)字簽名。app的目標(biāo)代碼被替換成安全性程序目標(biāo)代碼，從而創(chuàng)建被安全包裝的app。使被安全包裝的app預(yù)備在該設(shè)備上執(zhí)行并且用新密鑰來(lái)重新簽名被安全包裝的app。通過(guò)這種方式，在設(shè)備上實(shí)施用于控制對(duì)數(shù)據(jù)的訪問(wèn)和使對(duì)數(shù)據(jù)的訪問(wèn)變得安全的集中式策略。本發(fā)明的另一個(gè)方面中，描述了一種防止app損壞設(shè)備的方法。被安全包裝的app在設(shè)備上執(zhí)行。將app安全性程序的安全性檢查應(yīng)用于app對(duì)設(shè)備操作系統(tǒng)的調(diào)用?；趯?duì)該調(diào)用的安全性檢查的結(jié)果，app安全性程序執(zhí)行下述之一：（a）允許所述調(diào)用通過(guò)到達(dá)所述操作系統(tǒng)；（b）增強(qiáng)所述調(diào)用；（c）阻止所述調(diào)用；或（d）終止執(zhí)行被安全包裝的app。附圖說(shuō)明參考附圖，附圖構(gòu)成說(shuō)明書(shū)的一部分，并且其中，通過(guò)舉例說(shuō)明的方式示出了本發(fā)明的具體實(shí)施例：圖1A是示出了本發(fā)明的app控制過(guò)程的概要的框圖；圖1B是示出了本發(fā)明的app控制過(guò)程的替換實(shí)施例的框圖；圖2是示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的app安全性程序的組件的框圖；圖3是示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的在將app下載到設(shè)備之前使app安全的過(guò)程的流程圖，；圖4是示出了根據(jù)一個(gè)實(shí)施例的在策略管理器中執(zhí)行的方法的流程圖；圖5是示出了根據(jù)一個(gè)實(shí)施例的在手持或移動(dòng)設(shè)備上執(zhí)行被安全包裝的app的過(guò)程的流程圖；圖6是根據(jù)一個(gè)實(shí)施例的app安全性控制系統(tǒng)的系統(tǒng)架構(gòu)圖；以及圖7A和圖7B是適用于實(shí)施本發(fā)明各實(shí)施例的計(jì)算系統(tǒng)的框圖。具體實(shí)施方式描述應(yīng)用安全過(guò)程和系統(tǒng)的示例性實(shí)施例。這些例子和實(shí)施例僅用于增加上下文和有助于理解本發(fā)明。因此對(duì)于本領(lǐng)域技術(shù)人員來(lái)說(shuō)顯而易見(jiàn)的是，可以在沒(méi)有在此描述的一些或全部具體細(xì)節(jié)的情況下實(shí)現(xiàn)本發(fā)明。在其它實(shí)例中，沒(méi)有詳細(xì)描述被熟知的概念，以避免不必要地使本發(fā)明晦澀。其它應(yīng)用和實(shí)施例也是可能的，從而以下實(shí)施例、說(shuō)明和上下文不應(yīng)被視為限定性的或限制范圍或設(shè)置。盡管這些實(shí)施例被充分詳細(xì)描述以便使本領(lǐng)域技術(shù)人員能夠?qū)嵤┍景l(fā)明，但是這些實(shí)施例、說(shuō)明和內(nèi)容不是限制性的，且可使用其它實(shí)施例和做出修改，而不脫離本發(fā)明的精神和范圍。在各個(gè)附圖中描述了防止設(shè)備軟件應(yīng)用程序感染或在其他方面損害設(shè)備（特別是移動(dòng)設(shè)備）的方法和系統(tǒng)。通常用于各種移動(dòng)設(shè)備（諸如智能電話(huà)、平板電腦、游戲設(shè)備和便攜式計(jì)算設(shè)備）的這些類(lèi)型的應(yīng)用程序統(tǒng)稱(chēng)為“app”。這些app也可以被下載到非移動(dòng)設(shè)備（例如TV、計(jì)算機(jī)、汽車(chē)和其它新興的智能設(shè)備類(lèi)型）上。所描述的方法和系統(tǒng)并不被限于移動(dòng)設(shè)備上操作。這些設(shè)備程序或app已激增，并且現(xiàn)在非常流行?，F(xiàn)在，app通常用Java或C語(yǔ)言編寫(xiě)。本文中描述的方法和系統(tǒng)可以被應(yīng)用于以這兩種語(yǔ)言中的任一種編寫(xiě)的app或者被應(yīng)用于以用于不同平臺(tái)的其他語(yǔ)言編寫(xiě)的app。大多數(shù)應(yīng)用（如果不是全部）必須與所述移動(dòng)設(shè)備的操作系統(tǒng)進(jìn)行通信，以獲取app所需的特定服務(wù)，以便執(zhí)行其預(yù)期的功能，并且該服務(wù)通常僅可從操作系統(tǒng)獲得。所使用的這種服務(wù)的常見(jiàn)示例是GPS，用于得到該app可能需要的該設(shè)備的位置。然而，由于這種暴露，app是該設(shè)備的弱點(diǎn)，并造成了用戶(hù)的安全性和隱私風(fēng)險(xiǎn)。公司希望能夠?qū)嵤┘惺讲呗詠?lái)控制對(duì)其數(shù)據(jù)和軟件的訪問(wèn)和使對(duì)其數(shù)據(jù)和軟件的訪問(wèn)變得安全。這對(duì)于終端用戶(hù)（即個(gè)人、家庭用戶(hù)等等）也是一樣的。它使企業(yè)IT部門(mén)維持對(duì)企業(yè)數(shù)據(jù)的管轄。下述方法提供了集中式方式來(lái)控制下載到移動(dòng)設(shè)備上的app的安全性，其中所述設(shè)備為員工的個(gè)人電話(huà)或雇主的電話(huà)，使得那些app不會(huì)造成安全威脅。本發(fā)明的各種實(shí)施例也可以由家長(zhǎng)和個(gè)人使用（即在家或非工作環(huán)境中），以確保其個(gè)人移動(dòng)設(shè)備是安全的，免受惡意軟件的威脅，并且也可以用于施加控制（例如用途）。本發(fā)明的app控制軟件的實(shí)施例也可用于移動(dòng)設(shè)備的數(shù)據(jù)保護(hù)和后備，以及用于應(yīng)用程序級(jí)別的遙測(cè)。圖1A是示出了本發(fā)明的app控制過(guò)程的概要的框圖。這是對(duì)一個(gè)過(guò)程的一般性描述，而不依據(jù)特定的配置或環(huán)境。app102由app提供商100提供，app提供商可以是任何類(lèi)型的實(shí)體（個(gè)人、軟件開(kāi)發(fā)商、雇主等）。其通常是未保護(hù)的，并且圍繞它的唯一安全性是操作系統(tǒng)提供的。關(guān)于它一旦被裝載如何在設(shè)備上執(zhí)行而進(jìn)行的唯一的防護(hù)和檢查是由操作系統(tǒng)提供的。本發(fā)明使能了不是由設(shè)備的操作系統(tǒng)提供的app的額外安全性。安全應(yīng)用程序104被應(yīng)用到app102上?；蛘遖pp102被輸入到程序104，程序104可以由第三方app安全提供商提供。在一個(gè)實(shí)施例中，安全應(yīng)用程序104具有可以處于不同的位置的策略管理器和策略包裝器。它們?cè)趫D2中被更詳細(xì)地描述。一旦安全性程序104已經(jīng)被應(yīng)用于app102，app被包裝有安全層，使得設(shè)備被保護(hù)。其被顯示為安全的app106。在一個(gè)實(shí)施例中，然后，安全的app106被下載到移動(dòng)設(shè)備108（諸如智能電話(huà)或平板電腦）上，在移動(dòng)設(shè)備108處，其安全地執(zhí)行而不冒損害設(shè)備108的風(fēng)險(xiǎn)。另一個(gè)好處是，安全的app106也可由公司或其它提供該app給用戶(hù)的實(shí)體（例如提供app給員工的雇主）來(lái)管理。例如，如果用戶(hù)離開(kāi)公司，該公司可從所述設(shè)備自動(dòng)刪除app和任何相關(guān)數(shù)據(jù)。在另一個(gè)例子中，家長(zhǎng)能夠限制另一個(gè)人（例如兒童）所使用的app，或限制時(shí)間量，例如一天10分鐘，或者限制app可以訪問(wèn)的網(wǎng)站?；蛘撸议L(zhǎng)擔(dān)心app泄露兒童的位置給未知的第三方?？梢杂性S多其它的例子。如所指出的，圖1A是用來(lái)示出使app安全并將其下載到設(shè)備上的一般過(guò)程。注意，在此實(shí)施例中，app102不是在被下載到設(shè)備上之后，而是在此之前變得安全以不造成對(duì)設(shè)備的損害。在另一個(gè)實(shí)施例中，在被下載到設(shè)備上之后但在其能夠與操作系統(tǒng)交互之前，app變得安全。圖1B是示出了可選實(shí)施例的框圖。不安全的app110（也由app提供商提供）被下載到移動(dòng)設(shè)備112上。然而，在該實(shí)施例中，在設(shè)備112上可能具有特殊設(shè)計(jì)的app，該app阻止不安全的app110的實(shí)際安裝。特殊的app（未示出）重新指向不安全的app110到app安全性程序114。不安全的app110被包裝在安全策略中，所得的app顯示為安全的app116。其接著被下載和允許通過(guò)特殊app被安裝到設(shè)備112上。以這種方式，個(gè)人或家庭用戶(hù)，例如想要保護(hù)她的電話(huà)免受app造成的安全威脅的人，在app被下載到她的電話(huà)之前，可以通過(guò)第三方服務(wù)或由該用戶(hù)的移動(dòng)電話(huà)運(yùn)營(yíng)商使app變得安全（被包裝），這里僅提及兩個(gè)例子。應(yīng)當(dāng)注意，可以進(jìn)行這種安全包裝，而不管用戶(hù)從哪里下載app。還應(yīng)當(dāng)注意到在圖1A與圖1B中，組件和軟件之間的網(wǎng)絡(luò)和連接被一般性地示出。該傳輸主要是通過(guò)因特網(wǎng)（未示出），但也可以是在私有網(wǎng)絡(luò)或兩者內(nèi)。圖2是示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的app安全性程序的組件的框圖。在一個(gè)實(shí)施例中，安全性程序具有兩個(gè)主要組件，策略管理器和策略包裝器。策略管理器202接收來(lái)自負(fù)責(zé)設(shè)置移動(dòng)設(shè)備的安全性的管理員或其它個(gè)人的輸入。上述人員可以稱(chēng)作掌控者（governor），因?yàn)樗瓶匾粋€(gè)或多個(gè)移動(dòng)設(shè)備的安全性?？梢允褂酶鞣N用戶(hù)界面屏幕來(lái)設(shè)置安全策略。有許多策略的示例，包括地理圍欄（geo-fencing）（例如app只能在建筑物內(nèi)使用）等。服務(wù)提供商或者提供app安全性程序的實(shí)體也可以提供缺省的策略和安全性設(shè)置，其可能對(duì)于家庭用戶(hù)是很有用的。策略設(shè)置的示例被描述如下。策略輸入204被輸入到策略管理器202中。策略管理器202從掌控者獲得輸入/設(shè)置，并且創(chuàng)建策略或元數(shù)據(jù)206。元數(shù)據(jù)206的格式或形式可以改變。它們實(shí)際上反映了來(lái)自掌控者的策略設(shè)置。元數(shù)據(jù)（策略）206可以用作策略包裝器208的輸入。在一個(gè)實(shí)施例中，程序的該組件獲得策略，并通過(guò)包裝來(lái)使用它們使app210變得安全。包裝器208從手持設(shè)備212接收app210。在一個(gè)實(shí)施例中，包裝器208接收app210的拷貝而不是被下載到電話(huà)212上的原始app214（見(jiàn)上面的圖1B）。在此，手持設(shè)備212的用戶(hù)試圖從app提供商218下載不安全的app216。在圖1A所描述的場(chǎng)景中，其可在app自身上操作而不是在拷貝上操作。這可以是這樣的情況：市場(chǎng)或app商店向客戶(hù)提供app的安全版本，以及不安全的版本（或僅提供安全版本）。安全版本220（安全包裝的版本）從策略包裝器208返回到設(shè)備212。元數(shù)據(jù)206也可用來(lái)更新本地策略文件（已經(jīng)在設(shè)備上的現(xiàn)有策略）。本地策略文件被用于更新駐留在設(shè)備212上的策略參數(shù)。例如，在“地理圍欄”（即限制將app用在某些物理區(qū)域）的情況下，很可能的是，由掌控者控制的GPS位置將隨時(shí)間而變化。當(dāng)發(fā)生這種變化時(shí)，新策略可以以?xún)煞N不同的方式被應(yīng)用。一種為生成新策略并將其應(yīng)用于原始app（即用新策略來(lái)包裝app）。另一種方式是允許基于本地策略數(shù)據(jù)文件（其內(nèi)部具有加密/簽名的策略的“變量”部分）來(lái)動(dòng)態(tài)配置。例如，為了診斷目的，IT人員可能希望能夠直接通過(guò)駐留在設(shè)備上的ITapp來(lái)推翻設(shè)備上的配置。在一個(gè)實(shí)施例中，策略包括兩個(gè)部分：固定部分和可變部分。固定部分是策略文件中所描述的內(nèi)容（例如，“在白天的特定時(shí)間保護(hù)GPS”）?？勺儾糠滞ǔＪ钦瓶卣咄ㄟ^(guò)控制臺(tái)（例如“什么時(shí)候是GPS應(yīng)當(dāng)被保護(hù)的時(shí)間”）提供的?？勺儾糠挚梢栽诓粦?yīng)用新策略的情況下改變。策略設(shè)計(jì)者可以選擇放棄該策略的可變部分，并且基本上將所有數(shù)據(jù)或內(nèi)容靜態(tài)地“嵌入”策略文件中。在這種情況下，控制臺(tái)不具有任何方式來(lái)定制策略。如果策略設(shè)計(jì)者選擇在策略中包括一些可變部分，當(dāng)改變所述可變數(shù)據(jù)（在控制臺(tái)上）時(shí)，新的數(shù)據(jù)文件可以被發(fā)送到所述設(shè)備以反映最新的變化。這樣的文件將被加密/簽名（以防止惡意app規(guī)避該策略），下載到設(shè)備中，并由設(shè)備上的app安全性代碼所使用，以將新數(shù)據(jù)應(yīng)用于適當(dāng)?shù)牟呗?。這樣的改變和更新可以通過(guò)本地策略更新組件222在運(yùn)行時(shí)進(jìn)行。該組件在設(shè)備212上創(chuàng)建了更新的策略參數(shù)。此后，被包裝的app220將使用更新的策略參數(shù)。在一個(gè)實(shí)施例中，策略管理器202和策略包裝器208是同一app安全性程序中的組件，并且可以在同一計(jì)算機(jī)上運(yùn)行。在其它實(shí)施例中，管理器和包裝器組件可以在分離的計(jì)算機(jī)上。例如，策略管理器202可以在一個(gè)地點(diǎn)處的服務(wù)器上，策略包裝器208可以是在另一個(gè)地點(diǎn)處的計(jì)算機(jī)上，并且可以被不同實(shí)體或相同實(shí)體管理?？傮w來(lái)說(shuō)，管理器和包裝器形成了app安全性程序，在一個(gè)實(shí)施例中，該app安全性程序由安全服務(wù)提供商操作。它也可以由企業(yè)（例如公司）、雇主、商業(yè)伙伴等，或者由移動(dòng)電話(huà)運(yùn)營(yíng)商提供。圖3是示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的在將app載到設(shè)備之前使app安全的過(guò)程的流程圖。在步驟302中，在設(shè)備上生成待變得安全的app的拷貝或克隆物。在一個(gè)實(shí)施例中，這可以在移動(dòng)設(shè)備本身上完成或在設(shè)備外完成，例如在因特網(wǎng)上的組件上、在云中、在企業(yè)的服務(wù)器上或在運(yùn)營(yíng)商的服務(wù)器上。用戶(hù)可以是個(gè)人、公司的員工或其它實(shí)體。如在本領(lǐng)域中公知的是，app可以以多種方式獲得，最典型的方式是從app商店或app市場(chǎng)，或直接從app開(kāi)發(fā)者或提供商或以任何適當(dāng)?shù)姆绞将@得。通過(guò)生成拷貝，原始的app被保留，向用戶(hù)提供了使用安全或不安全版本的選項(xiàng)，還保護(hù)用戶(hù)在app控制過(guò)程中出現(xiàn)錯(cuò)誤時(shí)還能夠使用app的能力。注意，在一個(gè)實(shí)施例中，app沒(méi)有被下載到電話(huà)上。在一個(gè)實(shí)施例中，下述方法是在單獨(dú)的計(jì)算設(shè)備上執(zhí)行。在另一個(gè)實(shí)施例中，該過(guò)程可以在移動(dòng)設(shè)備上執(zhí)行，但是在該過(guò)程完成而且app已經(jīng)變得安全之后，app僅在該設(shè)備上執(zhí)行。在步驟304，app被解封。大多數(shù)（如果不是全部的）app具有由作者/開(kāi)發(fā)者簽署的數(shù)字簽名。在步驟304，作為解封的部分，數(shù)字簽名從app移除。這可以使用本領(lǐng)域已知的技術(shù)完成。對(duì)該app進(jìn)行解密也可以在該步驟中進(jìn)行。這些和其它步驟提供了app的核心目標(biāo)代碼，該app的核心目標(biāo)代碼現(xiàn)在可以由app控制程序操作。該操作的性質(zhì)和具體細(xì)節(jié)可以取決于移動(dòng)設(shè)備的操作系統(tǒng)。有幾種用于智能電話(huà)的操作系統(tǒng)的例子，如iOS（用于iPhone）、Android（用于來(lái)自各制造商的手機(jī)上）、WindowsMobile7、WebO/S、Palm及其他。在步驟306，核心目標(biāo)代碼app可以被反匯編或反編譯，從而得到可執(zhí)行的目標(biāo)代碼。例如，它可以是“本機(jī)代碼”（CPU指令）或字節(jié)碼（虛擬機(jī)指令，例如Java或.Net）。在一個(gè)實(shí)施例中，如果設(shè)備運(yùn)行iOS，這可能更多是修改過(guò)程，在iOS中，所述反匯編更接近于定位和替代特定鏈接和術(shù)語(yǔ)的過(guò)程。然而，通常，在app已經(jīng)被解封之后獲得app的目標(biāo)代碼的反匯編過(guò)程可以使用本領(lǐng)域已知的技術(shù)來(lái)完成，例如使用反匯編程序。在步驟308，app目標(biāo)代碼被增加了來(lái)自app安全性程序的目標(biāo)代碼。例如，該目標(biāo)代碼可包括被替換為來(lái)自安全性程序的類(lèi)文件的類(lèi)文件。該目標(biāo)代碼通常提供至移動(dòng)設(shè)備操作系統(tǒng)的接口。app控制安全性程序目標(biāo)代碼部分獲取自上述的策略/元數(shù)據(jù)。在iOS的情況下，操作不同在于發(fā)生“定位和替代”過(guò)程，而不是目標(biāo)代碼替換。這考慮到iOS使用的中斷方法。通常，app安全性程序?qū)彶閰R編語(yǔ)言代碼。被定位的特定項(xiàng)是位于對(duì)象代碼中的軟件中斷（SWI），該軟件中斷（SWI）替換為至app控制安全性程序?qū)拥姆种С绦?，然后該層決定采取什么進(jìn)一步的動(dòng)作，諸如如下所述的發(fā)出請(qǐng)求、增強(qiáng)結(jié)果等等。在步驟310，在已經(jīng)替換目標(biāo)代碼（或替換SWI）之后，app安全性程序使被安全性包裝的app預(yù)備在所述移動(dòng)設(shè)備上執(zhí)行。由安全性程序替換到app中的目標(biāo)代碼通常提供了app和移動(dòng)設(shè)備操作系統(tǒng)之間的橋接或連接。安全性程序類(lèi)文件可被描述為圍繞所述操作系統(tǒng)類(lèi)文件包裝?；谳^早建立的策略（從掌控者輸入的）來(lái)產(chǎn)生app安全性程序類(lèi)文件。app基本上被重新連接，以用于在手持設(shè)備上執(zhí)行。其被重新連接來(lái)使用除由移動(dòng)設(shè)備操作系統(tǒng)層提供的安全性之外的app安全性程序?qū)?。也就是說(shuō)，安全的app仍可受到操作系統(tǒng)的安全規(guī)定。在一個(gè)實(shí)施例中，某些裝飾的改變也可以對(duì)app做出，如改變app的圖標(biāo)以反映其是安全的。通過(guò)這樣做，用戶(hù)可以確信，當(dāng)app的圖標(biāo)出現(xiàn)在手持設(shè)備屏幕上時(shí)，安全版本的app將被執(zhí)行。該app現(xiàn)在基本上已經(jīng)被安全性程序重構(gòu)（re-factor）或重新編程。在步驟312，用新密鑰對(duì)app進(jìn)行簽名，例如，用服務(wù)提供商的密鑰或提供安全app的企業(yè)的密鑰。app的重構(gòu)的安全版本被返回到手機(jī)設(shè)備。在另一個(gè)實(shí)施例中，app在電話(huà)上被包裝有安全層。在步驟314，在一個(gè)實(shí)施例中，app的原始、不安全的拷貝從手機(jī)設(shè)備中刪除。一旦app的安全版本被下載到手機(jī)上，這可以通過(guò)app的安全版本來(lái)完成。在其它實(shí)施例中，不這樣做并且兩個(gè)版本均保留在移動(dòng)設(shè)備上。在該階段，該過(guò)程結(jié)束。圖4是根據(jù)一個(gè)實(shí)施例的在策略管理器202中執(zhí)行的方法的流程圖。在步驟402，掌控者或其他安全策略個(gè)人被允許定義、產(chǎn)生、并創(chuàng)建安全策略。其可能是企業(yè)的網(wǎng)絡(luò)管理員，決定了針對(duì)使用幾十個(gè)企業(yè)app（特別用于工作的）的數(shù)百個(gè)員工的大批的移動(dòng)設(shè)備安全策略，該企業(yè)app可以被下載到數(shù)百或數(shù)千個(gè)移動(dòng)設(shè)備上。在范圍的另一端上，其可以是為由她的孩子下載到新的移動(dòng)設(shè)備上的三個(gè)或四個(gè)app設(shè)置安全策略的父母。其它例子包括預(yù)防或壓制使用GPS的游戲app，防止app使用設(shè)備上的麥克風(fēng)來(lái)記錄或竊聽(tīng)對(duì)話(huà)等等。在任一情況下，掌控者可以考慮app的類(lèi)別，app的類(lèi)型和性質(zhì)，作者、年齡適當(dāng)性、以及其它多個(gè)因素。例如，具有編寫(xiě)了已經(jīng)被分類(lèi)為惡意軟件或造成設(shè)備的安全威脅的其他app的同一作者。可以確定是否存在來(lái)自相同作者的其它應(yīng)用。就是在這個(gè)階段，掌控者決定哪些規(guī)則適用于每個(gè)app。在一個(gè)實(shí)施例中，這是由掌控者離線(xiàn)完成的。也就是說(shuō)，它可以通過(guò)使用在家庭計(jì)算機(jī)上或在管理員使用的企業(yè)網(wǎng)絡(luò)計(jì)算機(jī)上的用戶(hù)接口來(lái)完成，其中可以使用由安全性程序服務(wù)提供商提供的安全模板（基本上是默認(rèn)模板），或者可以利用模板設(shè)置非常特殊的規(guī)則。在步驟404，在步驟402輸入的安全性數(shù)據(jù)被app控制安全性程序使用，以創(chuàng)建實(shí)際的策略。在步驟406，基于來(lái)自掌控者的關(guān)于在步驟404建立的安全策略的輸入來(lái)生成app控制安全性程序目標(biāo)代碼。如果需要，掌控者或服務(wù)提供商還可以更新現(xiàn)有的安全策略。如上所述，目標(biāo)代碼可用于增強(qiáng)從反匯編的app獲得的某些原始目標(biāo)代碼。增強(qiáng)的代碼被插入以調(diào)整app的安全性和隱私性設(shè)置，以便保護(hù)企業(yè)和終端用戶(hù)。原始app的行為被改變，這允許掌控者來(lái)控制app的行為。例如，如果app以明碼（即未加密）存儲(chǔ)敏感帳戶(hù)信息，行為可以被改變，使得app創(chuàng)建的所有信息被以加密的形式存儲(chǔ)，并且只有該app才能訪問(wèn)，假定用于存儲(chǔ)的持續(xù)數(shù)據(jù)的密鑰對(duì)于app將是唯一的。在許多情況下，增強(qiáng)代碼可以改善app的性能，因?yàn)樵摯a被優(yōu)化，以用于特定的使用場(chǎng)景。圖5是示出了根據(jù)一個(gè)實(shí)施例的在手機(jī)或移動(dòng)設(shè)備上執(zhí)行被安全性包裝的app的過(guò)程的流程圖。在步驟502中，改變或修改當(dāng)app在設(shè)備上執(zhí)行時(shí)的或緊在其在設(shè)備執(zhí)行之前的app的行為。例如，行為修改可包括在app初始化期間的認(rèn)證；例如智能/CAC卡、或口令質(zhì)詢(xún)。如同原始的設(shè)計(jì)，一些app可能不需要安全性密碼，然而，已經(jīng)被修改的app的安全版本可能需要用戶(hù)輸入密碼。在步驟504，由用戶(hù)激活安全的app（例如，如果該設(shè)備具有觸摸屏，敲擊圖標(biāo)），安全的app在移動(dòng)設(shè)備上執(zhí)行。在執(zhí)行了app之后，在一個(gè)實(shí)施例中，控制可以采用四個(gè)選項(xiàng)中的一個(gè)。如本領(lǐng)域中已知的是，當(dāng)app執(zhí)行時(shí)，其調(diào)用或請(qǐng)求設(shè)備操作系統(tǒng)以執(zhí)行其功能。許多情況下，這些調(diào)用對(duì)于電話(huà)或設(shè)備可能是無(wú)害或不會(huì)引起顯著安全性威脅的。如果是這種情況，如步驟506所示的那樣，該調(diào)用可以被允許通過(guò)到達(dá)該操作系統(tǒng)。在此，該調(diào)用是對(duì)該設(shè)備操作系統(tǒng)做出的，app以正常方式執(zhí)行。如果圍繞app的安全層或包裝器檢測(cè)到app做出可能引起對(duì)設(shè)備的安全威脅的請(qǐng)求，則app安全層可以在該請(qǐng)求被通過(guò)到達(dá)操作系統(tǒng)或電話(huà)內(nèi)的其它軟件或硬件組件之前，增強(qiáng)或修改該請(qǐng)求。這在步驟508中示出。在一個(gè)實(shí)施例中，掌控者通過(guò)檢查一個(gè)或多個(gè)策略，來(lái)確定哪些調(diào)用是允許的。例如，掌控者可確定所有數(shù)據(jù)應(yīng)該以加密形式被保存。在另一個(gè)示例中，掌控者可以決定，只有經(jīng)選擇的一組可信app應(yīng)當(dāng)具有士兵GPS坐標(biāo)的數(shù)據(jù)。在一個(gè)實(shí)施例中，不存在運(yùn)行時(shí)邏輯以確定什么是安全的、潛在威脅或?qū)嶋H威脅；其基本上是由掌控者在上述步驟404處創(chuàng)建的策略中預(yù)先聲明的。在另一個(gè)實(shí)施例中，可能存在一些運(yùn)行時(shí)邏輯。例如，app可以嘗試將花費(fèi)多的SMS文本消息發(fā)送出去。app控制程序可其進(jìn)行確定，并可阻止app發(fā)送超過(guò)一定數(shù)量的文本消息，例如，可以限制其發(fā)送一個(gè)消息。增強(qiáng)可以是增加新的要求，例如口令要求。在另一示例中，如果調(diào)用是要在移動(dòng)設(shè)備存儲(chǔ)器上保存數(shù)據(jù)，則安全的app實(shí)際上可以將數(shù)據(jù)備份到在云中或在因特網(wǎng)上（即在設(shè)備外）的存儲(chǔ)區(qū)域。在另一個(gè)例子中，與調(diào)用有關(guān)的數(shù)據(jù)可以被加密。在步驟510，安全的app可以確定該調(diào)用是實(shí)際威脅，并且應(yīng)當(dāng)以比步驟508更嚴(yán)厲的方式來(lái)處理該調(diào)用。例如，可能已經(jīng)決定了基于用于app的策略，即如果在安全建筑物（例如五角大樓）的時(shí)候訪問(wèn)設(shè)備上的照相機(jī)，app應(yīng)該立即被終止。僅增強(qiáng)請(qǐng)求在這種情況下是不夠的。在步驟510，該請(qǐng)求可能不被允許進(jìn)入到操作系統(tǒng)或設(shè)備的任何其它組件。然而，在一個(gè)實(shí)施例中，響應(yīng)被返回到app，但該響應(yīng)被故意設(shè)置為不精確的或不正確的。它基本上是混淆（obfuscated）的響應(yīng)。例如，它可以是非設(shè)備的實(shí)際物理坐標(biāo)的GPS坐標(biāo)（例如，設(shè)備在加利福尼亞，但返回給app的GPS坐標(biāo)是在內(nèi)布拉斯加州的坐標(biāo)）。這在當(dāng)app被兒童使用時(shí)可能是期望的。其它示例可以是，如果應(yīng)當(dāng)只在限制性環(huán)境（例如安全辦公室區(qū)域）中運(yùn)行的app被確定為在該環(huán)境外部（例如在家）運(yùn)行，則返回差的或篡改后的數(shù)據(jù)結(jié)果。在本實(shí)施例中，該app可以被部分地廢止，使得app只能訪問(wèn)非機(jī)密數(shù)據(jù)，并且其中機(jī)密信息是無(wú)用的。在另一示例中，當(dāng)用戶(hù)試圖將來(lái)自機(jī)密的app的敏感數(shù)據(jù)粘貼或復(fù)制到非機(jī)密的app，則app控制程序可以改變被粘貼到垃圾箱的該數(shù)據(jù)的拷貝或基本上使其無(wú)意義。在步驟506、508或510已經(jīng)被完成后，在步驟514，被安全包裝的app繼續(xù)在移動(dòng)裝置上執(zhí)行。在步驟512，圍繞app的安全層已經(jīng)確定該調(diào)用是app做出的或app執(zhí)行行為通常給移動(dòng)設(shè)備造成過(guò)高的安全性威脅等級(jí)。在這種極端的情況下，安全層決定終止執(zhí)行該app和/或刪除該app。例如，app可能正使用電話(huà)上的太多資源（例如帶寬），或?qū)Σ僮飨到y(tǒng)做出過(guò)多的高風(fēng)險(xiǎn)調(diào)用，從而過(guò)分暴露移動(dòng)設(shè)備。在這種情況下，可以簡(jiǎn)單地從電話(huà)中刪除該app或該app可以被終止。用戶(hù)可能不能夠重新執(zhí)行它或重新安裝它。例如，員工不可以再次在該公司電話(huà)上安裝app，因?yàn)樗┞睹舾械墓緮?shù)據(jù)?；蛘撸部梢源_定app正秘密收集電話(huà)上的數(shù)據(jù)或安裝惡意軟件。圖6是根據(jù)一個(gè)實(shí)施例的app安全性控制系統(tǒng)的系統(tǒng)架構(gòu)圖。觸發(fā)管理器組件602處理兩個(gè)事件，一個(gè)用于產(chǎn)生新策略604和另一個(gè)用于更新策略參數(shù)606。這種事件可以由各種系統(tǒng)觸發(fā)。例如，控制臺(tái)管理員或掌控者可能應(yīng)用新的策略至所有設(shè)備（手動(dòng)操作）?；蛘撸跈z測(cè)到源于設(shè)備（或app）的可疑流量之后，網(wǎng)絡(luò)監(jiān)控應(yīng)用程序可以推出了新的策略，該新的策略將防止用戶(hù)/設(shè)備/app訪問(wèn)網(wǎng)絡(luò)資源（自動(dòng)操作的示例）。有權(quán)來(lái)改變/更新策略的各種系統(tǒng)或?qū)嶓w通過(guò)觸發(fā)管理器602來(lái)這么做。新策略輸出604被輸入到策略定義文件608，策略定義文件608可以在運(yùn)行時(shí)產(chǎn)生，并且可以包括各種類(lèi)型的代碼和擴(kuò)展，例如專(zhuān)用于app控制服務(wù)提供商的，或?qū)Ｓ糜诓呗运鶓?yīng)用到的app/用戶(hù)/設(shè)備的。策略定義文件608被輸入到具有兩個(gè)輸出的策略編譯器610。一個(gè)輸出是包裝器定義文件612。該文件被輸入到app包裝器組件614。app包裝器組件614負(fù)責(zé)通過(guò)將自定義二進(jìn)制代碼（本地代碼或字節(jié)碼）輸入到例如直接從app商店下載的app中從而產(chǎn)生安全的app?；蛘咴揳pp可以是用戶(hù)下載到他設(shè)備上的然后被上傳到“AppControl”服務(wù)器的app。app包裝器組件614可以具有三個(gè)輸入:來(lái)自一個(gè)或多個(gè)app商店616的app，來(lái)自身份管理組件618的認(rèn)證密鑰管理數(shù)據(jù)，以及硬化組件（hardenedcomponent）620。密鑰管理數(shù)據(jù)是用來(lái)聯(lián)結(jié)該用戶(hù)、設(shè)備和app的身份，并確保受到策略控制的任何操作可以被聯(lián)接到特定的用戶(hù)/設(shè)備/app。這也確保了被包裝的應(yīng)用程序只能在特定設(shè)備上運(yùn)行，以防止惡意的app繞過(guò)策略和硬化組件620（例如“設(shè)備安全框架”）。來(lái)自app包裝器614的輸出是被包裝的app622，app622通過(guò)設(shè)備的控制器626被下載或安裝到移動(dòng)設(shè)備624上。設(shè)備控制器626的職責(zé)包括：從app包裝器下載app；確保運(yùn)行于設(shè)備上的app是被適當(dāng)包裝的app（例如，針對(duì)用戶(hù)1包裝的app不應(yīng)被安裝/運(yùn)行在用戶(hù)2的設(shè)備上）；報(bào)告已安裝的應(yīng)用程序的列表/版本，以允許管理控制臺(tái)來(lái)控制每個(gè)設(shè)備/用戶(hù)/app的策略；以及在適當(dāng)?shù)臅r(shí)候下載策略參數(shù)。被包裝的app622駐留在與策略參數(shù)628耦合的設(shè)備624上?，F(xiàn)在返回策略編譯器610，另一個(gè)輸出是運(yùn)行時(shí)策略定義文件630。該文件被輸入到運(yùn)行時(shí)策略編譯器632，運(yùn)行時(shí)策略編譯器632還接收策略參數(shù)606（由管理控制臺(tái)或其它子系統(tǒng)指定的）作為輸入。來(lái)自編譯器632的輸出是設(shè)備運(yùn)行時(shí)策略文件634。該文件634被下載到設(shè)備624上，如被示出為策略參數(shù)628，并用來(lái)定制應(yīng)用于包裝的app622的策略。下面描述的是本發(fā)明的app控制安全性程序的各種使用情況和能力。一種使用情況涉及移動(dòng)電話(huà)上工作生活和個(gè)人生活的分離。存在用戶(hù)個(gè)人使用的app和用戶(hù)的雇主（或雇主的商業(yè)伙伴）可能已經(jīng)提供的app，而且這些app在相同的電話(huà)上允許，該電話(huà)通常是該用戶(hù)的個(gè)人電話(huà)。確定需要在用戶(hù)電話(huà)上變得安全的app的安全性的掌控者可以阻止app（如電子郵件app）之間的復(fù)制/粘貼操作。掌控者可以為工作相關(guān)的app設(shè)置策略，該策略執(zhí)行對(duì)app和相關(guān)聯(lián)的文件的選擇性擦除?；谟脩?hù)位置的策略也可以控制某些app可以執(zhí)行的地點(diǎn)。因?yàn)閻阂廛浖Ｗo(hù)的級(jí)別的示例是拒絕訪問(wèn)聯(lián)系人、拒絕未經(jīng)許可的SMS的傳輸?shù)鹊?。使用情況的另一示例是app控制。使用本發(fā)明，可以實(shí)施app的白名單和黑名單，以及根據(jù)掌控者設(shè)置的策略完全刪除app。app可以被“沙箱（sandbox）”來(lái)保護(hù)其它app、軟件和設(shè)備的硬件。其他能力可以包括基于身份的app或服務(wù)控制，以及app行為的高粒度控制。木馬識(shí)別是可以用app安全性程序?qū)嵤┑牧硪环N使用情況。例如，每個(gè)app和內(nèi)容可以被加密，以便防止流氓app訪問(wèn)和竊取電話(huà)上的機(jī)密數(shù)據(jù)。安全性程序也能夠識(shí)別app的異常系統(tǒng)調(diào)用行為，以識(shí)別在它們的公開(kāi)意圖外做出行動(dòng)的惡意木馬app。另一使用情況是app數(shù)據(jù)的備份和恢復(fù)，其中IT安全管理員和掌控者具有數(shù)據(jù)修訂控制，并且可以通過(guò)備份和恢復(fù)操作來(lái)實(shí)施app和設(shè)備內(nèi)容的遷移。在另一種使用情況中是網(wǎng)絡(luò)流量監(jiān)控。移動(dòng)設(shè)備上的app可以在現(xiàn)有企業(yè)IDS/IPS/Web過(guò)濾基礎(chǔ)設(shè)施的能見(jiàn)度下被引入，從而允許對(duì)app通信的檢查和控制。app安全性程序還集成了第三方DNS服務(wù)，例如Symantec的DNS服務(wù)來(lái)識(shí)別惡意軟件。所有app通信可被加密，包括在移動(dòng)電話(huà)服務(wù)提供商處的通信。其它使用情況包括會(huì)話(huà)連續(xù)性、消費(fèi)者隱私（例如，GPS混淆（obfuscation），實(shí)施安全DNS），以及攔截來(lái)自移動(dòng)設(shè)備的支付/交易消息（即運(yùn)行在移動(dòng)商務(wù)流之中）。在一個(gè)實(shí)施例中，app安全服務(wù)是由第三方服務(wù)提供商提供，例如使app由終端用戶(hù)或個(gè)人使用（即與雇主或企業(yè)無(wú)關(guān)的用戶(hù)）。例如，父母可能想要混淆孩子電話(huà)的GPS，因?yàn)樵摳改覆幌胍缃痪W(wǎng)絡(luò)站點(diǎn)（例如Fackbook）知道孩子在何處，基本上停用GPS。在另一個(gè)實(shí)施例中，由無(wú)線(xiàn)電話(huà)運(yùn)營(yíng)商操作的app商店（例如Verizon、AT&T）可以提供安全的app以獲得額外收費(fèi)或費(fèi)用。運(yùn)營(yíng)商的客戶(hù)可以通過(guò)支付額外的金額從市場(chǎng)或在線(xiàn)商店下載安全的app，而不是不安全的版本。在另一實(shí)施例中，企業(yè)可以具有其自己的app商店，用于其員工、合作者等等，其中用戶(hù)可以?xún)H下載app的安全版本（其可被稱(chēng)為“硬”app）。這些app可具有如在企業(yè)的掌控者（安全管理員）定義的許多上述安全特征，諸如阻止復(fù)制和粘貼電子郵件或公司數(shù)據(jù)、如果用戶(hù)離開(kāi)了公司從所述用戶(hù)的電話(huà)毀掉app等等。移動(dòng)電話(huà)運(yùn)營(yíng)商的DNS通?？梢栽L問(wèn)任何站點(diǎn)，但app安全性程序可以阻斷移動(dòng)設(shè)備瀏覽器，以便其只可以訪問(wèn)安全的DNS（例如，Symantec的DNS），其中只有安全網(wǎng)站可被訪問(wèn)。在另一個(gè)實(shí)施例中，app安全性程序提供商可與該移動(dòng)設(shè)備制造商合作，將app安全性程序或功能合并到設(shè)備的硬件和軟件操作中。在該實(shí)施例中，如下所述，用戶(hù)可以下載不安全的app，并在執(zhí)行之前在手機(jī)或設(shè)備本身上使其變得安全，并且不必訪問(wèn)第三方服務(wù)來(lái)使app安全，或確保在被下載到設(shè)備之前app是安全的。如從上述各實(shí)施例能夠看到的，移動(dòng)設(shè)備的安全性延伸到設(shè)備本身之外，并被直接應(yīng)用到被下載到該設(shè)備上的app中。公司和其它實(shí)體能夠更自由地利用app，而不必?fù)?dān)心安全風(fēng)險(xiǎn)，例如公司的企業(yè)IT系統(tǒng)的數(shù)據(jù)泄漏或惡意軟件感染。公司可以保持對(duì)其公司數(shù)據(jù)的控制。圖7A和圖7B示出了適用于實(shí)施本發(fā)明各實(shí)施例的計(jì)算系統(tǒng)700。圖7A示出了計(jì)算系統(tǒng)的一種可能的物理形式。當(dāng)然，計(jì)算系統(tǒng)可具有許多物理形式，該物理形式包括集成電路、印刷電路板、小型手持設(shè)備（例如移動(dòng)電話(huà)、手機(jī)或PDA）、個(gè)人計(jì)算機(jī)或超級(jí)計(jì)算機(jī)。計(jì)算系統(tǒng)700包括監(jiān)視器702、顯示器704、外殼706、硬盤(pán)驅(qū)動(dòng)器708、鍵盤(pán)710和鼠標(biāo)712。盤(pán)714是計(jì)算機(jī)可讀介質(zhì)，其用于將數(shù)據(jù)傳遞到計(jì)算機(jī)系統(tǒng)700，和傳遞來(lái)自計(jì)算機(jī)系統(tǒng)700的數(shù)據(jù)。圖7B是計(jì)算系統(tǒng)700的框圖的示例。附著到系統(tǒng)總線(xiàn)720的是各種各樣的子系統(tǒng)。一個(gè)或多個(gè)處理器722（也稱(chēng)為中央處理單元，或CPU）耦合到存儲(chǔ)設(shè)備，存儲(chǔ)設(shè)備包括存儲(chǔ)器724。存儲(chǔ)器724包括隨機(jī)存取存儲(chǔ)器（RAM）和只讀存儲(chǔ)器（ROM）。如在本領(lǐng)域中是眾所周知的，ROM用于將數(shù)據(jù)和指令單向傳送到CPU，而RAM通常用來(lái)以雙向的方式傳輸數(shù)據(jù)和指令。這兩種類(lèi)型的存儲(chǔ)器可包括下面描述的任何合適的計(jì)算機(jī)可讀介質(zhì)。固定的盤(pán)726也被雙向耦合到CPU722；其提供額外的數(shù)據(jù)存儲(chǔ)容量，并且也包括下面描述的任何計(jì)算機(jī)可讀介質(zhì)。固定的盤(pán)726可被用來(lái)存儲(chǔ)程序、數(shù)據(jù)等，并且通常是比主存儲(chǔ)器慢的次級(jí)存儲(chǔ)介質(zhì)（如硬盤(pán)）。應(yīng)當(dāng)看到，駐留在固定的盤(pán)726中的信息，可以在適當(dāng)?shù)那闆r下，作為虛擬存儲(chǔ)器以標(biāo)準(zhǔn)的方式結(jié)合在存儲(chǔ)器724中?？梢瞥谋P(pán)714的形式可以是下面描述的任何計(jì)算機(jī)可讀介質(zhì)。CPU722還耦合到各種輸入/輸出設(shè)備，例如顯示器704、鍵盤(pán)710、鼠標(biāo)712和揚(yáng)聲器730。一般而言，輸入/輸出設(shè)備可以是以下任何一種：視頻顯示器、軌跡球、鼠標(biāo)、鍵盤(pán)、麥克風(fēng)、觸敏顯示器、轉(zhuǎn)換器讀卡器、磁帶或紙帶閱讀器、書(shū)寫(xiě)板、光筆、語(yǔ)音或手寫(xiě)識(shí)別器、生物統(tǒng)計(jì)學(xué)閱讀器或其他計(jì)算機(jī)。CPU722可以任選地使用網(wǎng)絡(luò)接口740耦合到另一計(jì)算機(jī)或電信網(wǎng)絡(luò)。使用這種網(wǎng)絡(luò)接口，可以預(yù)期，CPU可以在執(zhí)行上述方法步驟的過(guò)程中，從網(wǎng)絡(luò)接收信息，或?qū)⑿畔⑤敵龅骄W(wǎng)絡(luò)。此外，本發(fā)明的方法實(shí)施例可以單獨(dú)在CPU722上執(zhí)行，或者可以與共享該處理的一部分的遠(yuǎn)程CPU相結(jié)合地在諸如因特網(wǎng)的網(wǎng)絡(luò)上執(zhí)行。雖然本發(fā)明的說(shuō)明性實(shí)施例和應(yīng)用在此被示出和描述，許多變化和修改是可能的，其仍在本發(fā)明的概念、范圍、和精神之內(nèi)，并且本領(lǐng)域普通技術(shù)人員在熟讀本申請(qǐng)之后，這些變化將變得清楚。因此，所描述的實(shí)施例應(yīng)當(dāng)被認(rèn)為是說(shuō)明性的而不是限制性的，并且本發(fā)明并不限于這里給出的細(xì)節(jié)，而是可以在所附權(quán)利要求的范圍和等同形式內(nèi)修改。