根据企业信息控制策略的带有密钥和数据交换的安全应用程序生态系统技术方案

计算机上生态系统的多个应用程序根据企业的信息控制策略安全地交换加密数据，而不允许来自所述生态系统外部的非授权访问。生态系统代理创建生态系统目录，所述生态系统目录包含关于所述生态系统中每个特定应用程序(包括所述生态系统代理)的策略信息和识别信息。每个生态系统应用程序生成非对称密钥对，所述生态系统应用程序只通过所述目录与所述生态系统中的应用程序共享所述非对称密钥对中的公用密钥。所述生态系统代理的私用密钥用于加密目录。通过使用适当的生态系统应用程序密钥来加密和解密消息和数据对象，数据在所述生态系统中的应用程序之间安全地传送。所述生态系统中的每个特定应用程序都遵循企业信息控制策略。生态系统应用程序可从所述目录读取策略，并从所述企业接收策略更新。

【技术实现步骤摘要】
【国外来华专利技术】根据企业信息控制策略的带有密钥和数据交换的安全应用程序生态系统
本公开一般涉及计算机安全，更具体地，涉及提供一种应用程序的安全生态系统，所述应用程序根据企业信息控制策略来安全地交换加密数据，而不允许来自生态系统外部的非授权访问。
技术介绍
随着个体拥有和携带诸如智能手机和平板电脑的移动计算设备变得越来越普遍，人们想要自由地将自己的设备用于工作和个人用途(这种方式有时被称为“带上自己的设备型式”)。用户熟悉且适应自己的设备，不想针对工作而学习怎样操作或携带第二台设备。同时，当在非企业的设备上访问和处理机密信息时，企业拥有对企业机密信息的处理进行控制的合法需求。任何计算平台上的生产工作均依赖于相同的数据被多个应用程序安全访问以及在多个应用程序之间被交换的能力，其中每个应用程序适用于该交互的不同方面。然而，雇主想要根据企业信息控制策略来限制对企业机密数据的访问和使用。此外，一些用户(例如，顾问或那些有多个雇主的用户)想要针对其与多个组织的职业关系而使用其个人计算设备，其中这些组织中的每一者均拥有独立的信息控制要求。这些问题需要得到解决。
技术实现思路
在计算机，例如移动计算设备上，提供了一种安全生态系统。属于生态系统成员的多个应用程序根据企业的信息控制策略安全地交换加密数据，而不允许生态系统外部的非授权访问。本文中称为生态系统代理的特定生态系统应用程序在计算设备上创建生态系统目录。在一个实施例中，基于生态系统的名称，在计算设备上的一位置处创建生态系统目录。生态系统目录包含针对生态系统中每个特定应用程序(包括生态系统代理)的条目。每个目录条目包括关于特定应用程序的策略信息和识别信息。例如，此类条目可包含：1)针对特定应用程序的策略，2)使特定应用程序获得策略更新的信息，以及3)关于特定应用程序的使生态系统中的其他应用程序与该特定应用程序安全地进行加密数据通信的信息。在一个实施例中，使其他应用程序与该特定应用程序安全地进行加密数据通信的信息为特定应用程序的包标识符或包名称、特定应用程序的地址、特定应用程序的公用密钥(并且在一些实施例中，为用于加密特定应用程序的公用密钥的全生态系统范围的对称加密密钥)、特定应用程序支持的介质类型以及特定应用程序的本地化标题的形式。在一个实施例中，计算设备上针对生态系统成员资格而配置的每个特定应用程序生成非对称密钥对，该特定应用程序只与生态系统中的应用程序共享该非对称密钥对中的公用密钥，而该特定应用程序完全不共享该非对称密钥对中的私用密钥。生态系统代理可使用其私用密钥加密生态系统目录，使得需要生态系统代理的公用密钥来解密生态系统目录。在一个实施例中，生态系统代理还生成全生态系统范围的对称加密密钥，其用于加密和解密生态系统应用程序的公用密钥，从而进一步阻止从生态系统的外部访问生态系统应用程序的公用密钥。生态系统内的应用程序之间安全地传送数据，使得所传送的数据在没有生态系统内部授权的情况下无法从生态系统的外部访问。生态系统应用程序之间的安全通信可包括用第一密钥由生态系统内的提供方应用程序加密数据，使得生态系统内的任何接收方应用程序可使用第二密钥来解密数据。更具体地，为了与单个生态系统应用程序安全地传送数据，这可采用第一生态系统应用程序从生态系统目录读取第二生态系统应用程序的公用密钥的形式。第一生态系统应用程序使用第二生态系统应用程序的公用密钥来加密消息或数据对象以安全地传送到第二生态系统应用程序。第一生态系统应用程序与第二生态系统应用程序进行加密消息或数据对象通信或共享，且第二生态系统应用程序使用自有私用密钥将加密消息或数据对象解密。为了将数据安全地传送到多个生态系统应用程序，第一生态系统应用程序可使用其自有私用密钥来加密消息或数据对象。然后，第一生态系统应用程序可与多个其他的目标生态系统应用程序进行加密消息或数据对象通信或共享。接收方生态系统应用程序可从目录读取第一生态系统应用程序的公用密钥，并使用第一生态系统应用程序的公用密钥来解密消息或数据对象。生态系统中的每个特定应用程序都遵循企业信息控制策略。这可采用生态系统中每个特定应用程序从生态系统目录读取其策略并且然后遵循其策略的形式。在一些实施例中，生态系统应用程序还可从企业接收策略更新，并且遵循所接收的策略更新。在计算设备上针对生态系统成员资格而配置但不是生态系统成员的应用程序可使用加入生态系统的请求来调用生态系统代理。生态系统代理验证寻求加入的应用程序的信任状态，如果成功则将新应用程序添加到生态系统。这可采用针对新的应用程序将条目写入生态系统目录的形式，写入的条目至少包括与新应用程序有关使生态系统中其他应用程序将加密数据安全地传送到新应用程序的信息。生态系统代理可向新应用程序提供其自有公用密钥，从而使新应用程序使用生态系统代理的公用密钥来解密目录。在其中生态系统代理的公用密钥自身由生态系统范围内的对称加密密钥进行加密的实施例中，生态系统代理还向新应用程序提供生态系统范围内的对称加密密钥，使得新应用程序可解密生态系统代理的公用密钥。新加入的应用程序读取其目录条目，从目录获得它的策略，并遵循其获得的策略。在一些实施例中，新加入的应用程序还验证生态系统代理的信任状态，并且只有在生态系统代理被验证是值得信任时才继续加入生态系统。列表可维护为基础介质类型与用于基于基础介质类型处理生态系统特定加密格式的内容的功能之间的映射。列表可用于基于基础介质类型正确地处理生态系统特定加密格式的生态系统特定加密消息和对象。计算设备外部的组件也可为生态系统的成员，其中外部组件为生态系统应用程序提供服务。此类外部组件可从企业直接接收密钥和策略，并遵循接收的策略。本
技术实现思路
和以下具体实施方式中所述的特征和优点并不包括全部，并且特别地，相关领域的普通技术人员在考虑其附图、说明书和权利要求书后，许多另外的特征和优点将显而易见。此外，应该指出的是，说明书中所用的语言主要被选择用于可读性和指导目的，而不是被选择用来限定或限制本专利技术的主题，必需借助权利要求书确定此专利技术主题。附图说明图1为根据一些实施例的示例性网络体系结构的框图，安全生态系统组件可在该示例性网络体系结构中实施。。图2为根据一些实施例的适用于实施安全生态系统组件的计算机系统框图。图3为根据一些实施例的在计算设备的安全生态系统情景下提供安全生态系统组件功能的高级概览的框图。图4A为根据一些实施例的示出生态系统应用程序的安全生态系统组件的模块的框图。图4B为根据一些实施例的示出生态系统代理的安全生态系统组件的模块的框图。图5为根据一些实施例的安全生态系统的操作的框图。图6为根据一些实施例的与外部组件接合的安全生态系统的操作的框图。图7为根据一些实施例的安全生态系统的操作的流程图。这些图仅出于举例说明的目的来示出各种实施例。本领域技术人员根据下列讨论将易于认识到，在不脱离本文所述原理的情况下，可采用本文所述的结构和方法的替代实施例。具体实施方式图1为框图，示出了示例性网络体系结构100，安全生态系统组件101可在该示例性网络体系结构中实施。。所示网络体系结构100包括多个客户端103A、103B和103N，以及多个服务器105A和105N。在图1中，安全生态系统组件101被示为驻存在客户端103A上，后端本文档来自技高网...

【技术保护点】
一种用于提供安全生态系统的计算机实现的方法，所述安全生态系统至少包括计算设备上的多个应用程序，其中所述生态系统中的所述应用程序根据企业的信息控制策略安全地交换加密数据，而不允许来自所述生态系统外部的非授权访问，所述方法包括：由所述计算设备上的生态系统代理创建生态系统目录，所述生态系统目录包含针对所述生态系统中每个特定应用程序的条目，每个条目包含关于所述特定应用程序的策略信息以及关于所述特定应用程序的识别信息，其中所述生态系统代理为所述生态系统中的应用程序；由所述计算设备上的每个特定生态系统就绪应用程序生成非对称密钥对，所述特定应用程序只与所述生态系统中的应用程序共享所述非对称密钥对中的公用密钥，并且所述特定应用程序根本不共享所述非对称密钥对中的私用密钥；在所述生态系统中的应用程序之间安全地传送数据，使得所述所传送的数据在没有所述生态系统内部授权的情况下无法从所述生态系统外部访问；其中在所述生态系统中的应用程序之间安全地传送数据还包括：由所述生态系统中的提供方应用程序使用第一密钥来加密数据，使得所述生态系统中的至少一个接收方应用程序能够使用第二密钥来解密所述数据；以及由所述生态系统中的每个特定应用程序遵循企业信息控制策略。...

【技术特征摘要】
【国外来华专利技术】2012.08.29 US 13/5982481.一种用于提供安全生态系统的计算机实现的方法，所述安全生态系统至少包括计算设备上的多个应用程序，其中所述生态系统中的所述应用程序根据企业的信息控制策略安全地交换加密数据，而不允许来自所述生态系统外部的非授权访问，所述方法包括：由所述计算设备上的生态系统代理创建生态系统目录，所述生态系统目录包含针对所述生态系统中每个特定应用程序的条目，每个条目包含关于所述特定应用程序的策略信息以及关于所述特定应用程序的识别信息，其中所述生态系统代理为所述生态系统中的应用程序；由所述计算设备上的每个特定生态系统就绪应用程序生成非对称密钥对，所述特定应用程序只与所述生态系统中的应用程序共享所述非对称密钥对中的公用密钥，并且所述特定应用程序根本不共享所述非对称密钥对中的私用密钥；在所述生态系统中的应用程序之间安全地传送数据，使得所传送的数据在没有所述生态系统内部授权的情况下无法从所述生态系统外部访问；其中在所述生态系统中的应用程序之间安全地传送数据还包括：由所述生态系统中的提供方应用程序使用第一密钥来加密数据，使得所述生态系统中的至少一个接收方应用程序能够使用第二密钥来解密所述数据；由第一生态系统应用程序从所述生态系统目录读取第二生态系统应用程序的公用密钥；由所述第一生态系统应用程序使用所述第二生态系统应用程序的所述公用密钥来加密选自包含以下项的组中的至少一个：对消息进行加密以安全地传送到所述第二生态系统应用程序以及对数据对象进行加密以与所述第二生态系统应用程序安全地共享；执行选自包含以下步骤的组中的至少一个：将加密消息从所述第一生态系统应用程序传送到所述第二生态系统应用程序以及由所述第一生态系统应用程序将所加密的数据对象与所述第二生态系统应用程序共享；以及由所述第二生态系统应用程序使用所述第二生态系统应用程序的私用密钥来解密选自包含以下项的组中的至少一个：传送的消息和数据对象；以及由所述生态系统中的每个特定应用程序遵循企业信息控制策略。2.根据权利要求1所述的方法，其中创建生态系统目录还包括：由所述生态系统代理在所述计算设备上的一位置处创建所述生态系统目录，其中所述生态系统目录的位置基于所述生态系统的名称。3.根据权利要求1所述的方法，其中创建生态系统目录还包括：由所述生态系统代理使用所述生态系统代理的私用密钥来加密所述生态系统目录，使得需要所述生态系统代理的公用密钥来解密所述生态系统目录。4.根据权利要求1所述的方法，其中创建生态系统目录还包括：由所述生态系统代理创建所述生态系统目录，使得所包含的针对所述生态系统中每个特定应用程序的条目至少包括：1)针对所述特定应用程序的策略，2)使所述特定应用程序能够获得策略更新的信息，以及3)关于所述特定应用程序的使所述生态系统中的其他应用程序能够将加密数据安全地传送到所述特定应用程序的信息。5.根据权利要求1所述的方法，其中创建生态系统目录还包括：由所述生态系统代理将条目写入到所述生态系统目录，所写入的条目至少包括针对所述生态系统代理的策略、使所述生态系统代理能够获得策略更新的信息以及关于所述生态系统代理的使所述生态系统中的其他应用程序能够将加密数据安全地传送到所述生态系统代理的信息。6.根据权利要求1所述的方法，还包括：由所述生态系统代理生成至少一个全生态系统范围的密钥；以及使用所述至少一个全生态系统范围的密钥来加密和解密所述生态系统的所述应用程序的公用密钥，从而阻止来自所述生态系统外部的对所述生态系统的所述应用程序的所述公用密钥的访问。7.根据权利要求1所述的方法，其中在所述生态系统中的应用程序之间安全地传送数据还包括：由所述第一生态系统应用程序使用所述第一生态系统应用程序的私用密钥来对消息进行加密以安全地传送到多个其他生态系统应用程序；将加密消息从所述第一生态系统应用程序传送到所述多个其他生态系统应用程序；由所述多个其他生态系统应用程序从所述生态系统目录读取所述第一生态系统应用程序的公用密钥；以及由所述多个其他生态系统应用程序使用所述第一生态系统应用程序的所述公用密钥来解密所述消息。8.根据权利要求1所述的方法，其中在所述生态系统中的应用程序之间安全地传送数据还包括：由所述第一生态系统应用程序使用所述第一生态系统应用程序的私用密钥来对数据对象进行加密以与多个其他生态系统应用程序安全地共享；由所述第一生态系统应用程序将所加密的数据对象与所述多个其他生态系统应用程序共享；由所述多个其他生态系统应...

【专利技术属性】
技术研发人员：W·E·曹贝乐，T·J·安德维克，B·麦科肯德尔，
申请(专利权)人：赛门铁克公司，
类型：发明
国别省市：美国;US