場(chǎng)所感知安全的制作方法
【技術(shù)領(lǐng)域】
[0001]本公開通常涉及安全的領(lǐng)域,且更具體地涉及基于位置來管理移動(dòng)設(shè)備中的應(yīng)用�����。
【背景技術(shù)】
[0002]自帶設(shè)備(BYOD)是雇員被允許將個(gè)人擁有的計(jì)算設(shè)備(包括移動(dòng)設(shè)備)帶到他們的工作地點(diǎn)用于代替使用或補(bǔ)充公司提供的計(jì)算設(shè)備的商業(yè)策略。除了存在于個(gè)人設(shè)備上的個(gè)人應(yīng)用和數(shù)據(jù)之外���,允許BYOD的組織常常還允許這些個(gè)人設(shè)備被用于訪問企業(yè)網(wǎng)絡(luò)和軟件系統(tǒng)�����、特許的公司資源例如電子郵件����、文件服務(wù)器和數(shù)據(jù)庫���。此外��,“信息技術(shù)的消費(fèi)化”(CoIT)是新信息技術(shù)首先出現(xiàn)在消費(fèi)者市場(chǎng)并然后擴(kuò)展到商業(yè)和政府組織的增長(zhǎng)的趨勢(shì)����。
[0003]隨著BYOD和CoIT的上升的發(fā)生率��,企業(yè)安全管理者和管理員在確保遵守法律�����、管理和組織策略(包括安全策略)時(shí)面臨日益困難的任務(wù)�����。作為示例,使用其自己的平板計(jì)算機(jī)來訪問患者記錄的醫(yī)生���、使用其自己的設(shè)備來存儲(chǔ)價(jià)格表和其它公司敏感信息的旅行的銷售人員���、以及使用云存儲(chǔ)和檢索服務(wù)來訪問并共享來自辦公室外部的工作相關(guān)項(xiàng)目的雇員可能為了確保遵守組織的相關(guān)策略而折衷了其他努力。
【附圖說明】
[0004]為了提供對(duì)本公開及其特征和優(yōu)點(diǎn)的更完全的理解����,結(jié)合附圖對(duì)下面的描述進(jìn)行參考,其中相似的附圖標(biāo)記代表相似的部件�,其中:
[0005]圖1是根據(jù)實(shí)施例的安全環(huán)境的簡(jiǎn)化方框圖;
[0006]圖2是根據(jù)實(shí)施例的帶有移動(dòng)設(shè)備的詳細(xì)視圖的安全環(huán)境的示例圖示���;
[0007]圖3是根據(jù)實(shí)施例的安全系統(tǒng)的示例圖示�����;
[0008]圖4是示出根據(jù)實(shí)施例的管理移動(dòng)設(shè)備上的多個(gè)應(yīng)用的過程的簡(jiǎn)化流程圖����;
[0009]圖5還示出根據(jù)實(shí)施例的耦合到處理器的存儲(chǔ)器����;以及
[0010]圖6示出根據(jù)實(shí)施例的在點(diǎn)對(duì)點(diǎn)(PtP)配置中布置的計(jì)算系統(tǒng)。
【具體實(shí)施方式】
[0011]圖1是根據(jù)至少一個(gè)實(shí)施例的安全環(huán)境的簡(jiǎn)化方框圖��。例如在圖1的示例中�����,安全環(huán)境100可包括策略服務(wù)器102�����、移動(dòng)設(shè)備104�����、以及無線非接觸寫入器106����,連同可能的其它系統(tǒng)和部件。
[0012]通常�,示例策略服務(wù)器102可包括在硬件和/或軟件中實(shí)現(xiàn)的服務(wù)器,包括例如web服務(wù)器���、基于云的服務(wù)器����、應(yīng)用服務(wù)器。策略服務(wù)器102可例如使用一個(gè)或多個(gè)網(wǎng)絡(luò)���,通信地耦合到一個(gè)或多個(gè)移動(dòng)設(shè)備104�,并可用于管理一個(gè)或多個(gè)移動(dòng)設(shè)備(例如104)并管理和分配組織的策略�。
[0013]移動(dòng)設(shè)備(例如104)可包括但不限于智能電話、平板個(gè)人計(jì)算機(jī)��、膝上型計(jì)算機(jī)�、個(gè)人游戲設(shè)備、上網(wǎng)本計(jì)算機(jī)��、電子閱讀器�����、或移動(dòng)的其它類型的計(jì)算設(shè)備�����。移動(dòng)設(shè)備可包括例如利用以下技術(shù)的無線射頻通信能力:射頻(RF)����、近場(chǎng)通信(NFC)、WiF1��、藍(lán)牙����、或其它短距離無線通信技術(shù)。移動(dòng)設(shè)備可使用這樣的無線射頻通信能力通過一個(gè)或多個(gè)網(wǎng)絡(luò)與其它系統(tǒng)通信�����,并且可進(jìn)一步將它的標(biāo)識(shí)傳遞到這些系統(tǒng)�,包括例如訪問策略服務(wù)器102和其它系統(tǒng)。
[0014]無線非接觸寫入器106可以是但不限于近場(chǎng)通信(NFC)寫入器��、射頻識(shí)別(RFID)寫入器���、和/或其它非接觸通信設(shè)備���。射頻識(shí)別可包括無線非接觸系統(tǒng)的使用,無線非接觸系統(tǒng)使用射頻電磁場(chǎng)來傳送來自附到對(duì)象或嵌入對(duì)象內(nèi)的標(biāo)簽的數(shù)據(jù)�,用于自動(dòng)識(shí)別和跟蹤的目的。一些標(biāo)簽可能缺乏獨(dú)立的電源(例如電池)�,并可替代地恰由用于讀取它們的電磁場(chǎng)供電。近場(chǎng)通信技術(shù)在一些示例中還可包括諸如在智能電話和類似設(shè)備中使用的基于標(biāo)準(zhǔn)的技術(shù)�,以通過讓設(shè)備接觸在一起或?qū)⑺鼈儙У綐O接近的區(qū)域內(nèi)(例如在幾厘米內(nèi))來建立在兩個(gè)或多個(gè)設(shè)備之間的無線電通信���。
[0015]圖1的元件和系統(tǒng)中的每個(gè)可通過簡(jiǎn)單的接口或通過任何其它適當(dāng)?shù)倪B接(有線或無線)耦合到彼此,這些連接提供用于網(wǎng)絡(luò)通信的可行路徑��。此外���,這些元件中的任一個(gè)或多個(gè)可基于環(huán)境的特定配置來組合或從架構(gòu)移除����。例如���,安全環(huán)境100可包括有傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)通信能力的配置���,用于在網(wǎng)絡(luò)中對(duì)分組的傳輸或接收。安全環(huán)境100也可在適當(dāng)或需要的場(chǎng)合結(jié)合用戶數(shù)據(jù)報(bào)協(xié)議/IP (UDP/IP)或任何其它適當(dāng)?shù)膮f(xié)議來操作�。
[0016]本公開的一個(gè)或多個(gè)實(shí)施例認(rèn)識(shí)并考慮到管理員面臨允許BYOD但同時(shí)確保符合性的增加的壓力。在一些實(shí)例中���,可能有一類情況����,其中企業(yè)管理員通常根據(jù)正由經(jīng)授權(quán)人員使用的設(shè)備的物理位置而限制或允許對(duì)計(jì)算資源的訪問。例如��,醫(yī)院可維持有條件地允許醫(yī)生使用他們個(gè)人擁有的平板計(jì)算機(jī)(或其它設(shè)備)來訪問保密的患者記錄(但只有當(dāng)設(shè)備物理地存在于醫(yī)院中時(shí))的策略(例如由醫(yī)院的首席信息官(C1)設(shè)置)���。在另一示例中,公司可規(guī)定合同工人當(dāng)在辦公室中出席時(shí)不被允許使用在他的個(gè)人設(shè)備上的社交網(wǎng)絡(luò)應(yīng)用�����。在又一示例中�����,可限定容許外部承包商被允許只在建筑物內(nèi)訪問機(jī)密信息的策略�,連同可能有很多其它示例和策略。如至少一些上面的示例所示的���,可調(diào)整至少部分地基于設(shè)備的物理位置允許策略實(shí)施的策略�����。
[0017]隨著BYOD的上升的發(fā)生率���,系統(tǒng)管理員發(fā)現(xiàn)保持它們的系統(tǒng)安全同時(shí)允許用戶使用他們的設(shè)備越來越難。管理員可能希望BYOD用戶對(duì)資源訪問的容許受到某些條件和策略的制約,例如設(shè)備的物理位置���,以及設(shè)備是否在被信任的位置上�。在一些實(shí)現(xiàn)中��,可至少部分地通過:例如在所監(jiān)控的用戶提供的設(shè)備上的集成BYOD堆棧��,利用允許管理員規(guī)定和實(shí)施基于位置的策略的硬件和軟件元件��,在一些實(shí)例中結(jié)合在所監(jiān)控的設(shè)備上的安全軟件和工具來解決這些和其它問題����。
[0018]圖2是根據(jù)至少一個(gè)示例實(shí)施例的帶有移動(dòng)設(shè)備的詳細(xì)視圖的安全環(huán)境的示例圖示。在一個(gè)方面中��,移動(dòng)設(shè)備200可通過一個(gè)或多個(gè)無線(或有線)通信信道與在安全環(huán)境205中的策略服務(wù)器202和無線非接觸寫入器204耦合�����。移動(dòng)設(shè)備200可包括策略代理206���、一個(gè)或多個(gè)安全應(yīng)用或工具208�����、應(yīng)用210 (包括在用戶空間或內(nèi)核空間等中的軟件程序)�����、操作系統(tǒng)212���、處理器214���、無線非接觸設(shè)備216����、存儲(chǔ)器元件218、以及永久存儲(chǔ)設(shè)備220��,連同在硬件和/或軟件中實(shí)現(xiàn)的可能的其它部件���。
[0019]在一個(gè)示例中���,策略代理206可設(shè)置在能夠與策略服務(wù)器202通信的移動(dòng)設(shè)備200上。策略服務(wù)器202在一些實(shí)現(xiàn)中可以是管理在特定的環(huán)境或域內(nèi)的多個(gè)設(shè)備的管理系統(tǒng)的子系統(tǒng)���。策略代理206可下載策略222 (例如從策略服務(wù)器202)���,并使這些對(duì)存在于設(shè)備200上或?qū)υO(shè)備200可用的安全應(yīng)用和工具208變得可用�����。實(shí)際上���,在一些實(shí)例中,安全應(yīng)用208可查詢可應(yīng)用的策略222的策略代理206并實(shí)施響應(yīng)于該查詢而返回的那些策略��。例如����,策略連同各種示例可指定應(yīng)用210的某個(gè)應(yīng)用在特定的領(lǐng)域內(nèi)被禁止。策略代理206可發(fā)現(xiàn)這個(gè)策略(例如響應(yīng)于策略服務(wù)器的查詢)并使一個(gè)或多個(gè)設(shè)施(例如安全應(yīng)用208)防止應(yīng)用在操作系統(tǒng)212上運(yùn)行�,連同其它示例。
[0020]安全應(yīng)用208可包括結(jié)合移動(dòng)設(shè)備200來管理和實(shí)施策略的安全應(yīng)用和工具����。安全應(yīng)用可部署成遠(yuǎn)離移動(dòng)設(shè)備200或在其它情況下至少部分地在移動(dòng)設(shè)備200上。例如���,安全應(yīng)用和工具208可包括例如以下的示例:硬件防火墻�����、軟件防火墻���、數(shù)據(jù)損失預(yù)防系統(tǒng)�����、網(wǎng)頁代理���、郵件過濾器、基于硬件的控制器���、內(nèi)核級(jí)控制器��、基于主機(jī)的侵入預(yù)防系統(tǒng)、以及惡意軟件檢測(cè)軟件��,連同很多其它可能的示例����。
[0021]應(yīng)用210可包括在操作系統(tǒng)212上執(zhí)行的任何處理,包括在內(nèi)核和/或用戶空間中的應(yīng)用���。例如�����,應(yīng)用可包括例如以下的示例:IP電話系統(tǒng)���、文件管理系統(tǒng)�����、電子郵件系統(tǒng)�����、網(wǎng)頁瀏覽器���、游戲應(yīng)用、即時(shí)消息平臺(tái)�、辦公室生產(chǎn)率應(yīng)用,連同很多其它示例�����。
[0022]無線非接觸設(shè)備216可以是RFID設(shè)備�、NFC設(shè)備、帶有天線的非易失性存儲(chǔ)器設(shè)備�����、或某種其它類型的適當(dāng)通信設(shè)備。無線非接觸設(shè)備216可通過集成電路間(i2c)雙線接口(連同其它可能的實(shí)現(xiàn))連接到處理器214�,允許無線非接觸設(shè)備216與移動(dòng)設(shè)備200中的其余部件(連同其它示例)進(jìn)行通信。
[0023]在一個(gè)示例實(shí)現(xiàn)中���,移動(dòng)設(shè)備200可包括軟件模塊(例如安全代理�����、安全應(yīng)用���、和/或策略代理)以實(shí)現(xiàn)或促進(jìn)如在本文概述的操作。例如�����,安全代理可以是能夠?qū)崿F(xiàn)在本公開的實(shí)施例中描述的操作的模塊�。在其它實(shí)施例中���,這樣的操作可由在這些元件外部實(shí)現(xiàn)的或包括在某個(gè)其它網(wǎng)絡(luò)設(shè)備中的硬件執(zhí)行以實(shí)現(xiàn)預(yù)期功能����。可選地�����,這些元件可包括可協(xié)調(diào)以便實(shí)現(xiàn)如在本文概述的操作的軟件(或往復(fù)式軟件)�����。在又一些其它實(shí)施例中�,這些設(shè)備中的一個(gè)或全部可包括便于其操作的任何適當(dāng)?shù)乃惴ā⒂布?、軟件、部件����、模塊、接口��、或?qū)ο蟆?br>[0024]此外�����,移動(dòng)設(shè)備200和其它系統(tǒng)和設(shè)備可包括能夠執(zhí)行軟件���、算法��、或其它邏輯(例如存儲(chǔ)在機(jī)器可讀存儲(chǔ)介質(zhì)中的邏輯)的一個(gè)或多個(gè)處理器(例如214)以執(zhí)行如在本文中討論的活動(dòng)��。處理器可執(zhí)行與數(shù)據(jù)相關(guān)聯(lián)的任何類型的指令以實(shí)現(xiàn)本文詳述的操作��。在一個(gè)示例中�����,處理器可將元件或條目(例如數(shù)據(jù))從一種狀態(tài)或事情轉(zhuǎn)換成另一狀態(tài)或事情���。在另一示例中��,在本文中概述的活動(dòng)可以使用固定邏輯或可編程邏輯(例如由處理器執(zhí)行的軟件/計(jì)算機(jī)指令)來實(shí)現(xiàn)����,且在本文中標(biāo)識(shí)的元件可以是某種類型的可編程處理器�、可編程數(shù)字邏輯(例如現(xiàn)場(chǎng)可編程門陣列(FPGA)、EPROM��、EEPROM)或包括數(shù)字邏輯�、軟件、代碼�����、電子指令�、或其任何適當(dāng)?shù)慕M合的ASIC。在本文中描述的任何可能的處理元件�����、模塊����、以及機(jī)