管理跨周界访问制造技术

在一些实现中，一种管理对单一设备中资源的访问的方法包括：从向第一周界指派的第一资源接收对访问向不同于所述第一周界的第二周界指派的第二资源的请求。所述单个设备包括所述第一周界和所述第二周界。基于针对所述第一周界的管理策略来确定是否禁止访问所述第二资源。所述管理策略定义了用于访问向所述第二周界指派的包括所述第二资源在内的资源的一个或多个规则。

【技术实现步骤摘要】
【国外来华专利技术】管理跨周界访问优先权声明本申请要求欧洲申请N0.11188696.6的优先权，该申请于2011年11月10日递交，其全部内容以引用方式并入本文。
本公开涉及管理对设备上的资源的访问。
技术介绍
在很多情况下，计算设备可包括数据、应用和/或网络资源，该数据、应用和/或网络资源的可访问性受到安全协议控制。例如，可以由不同的实体(例如，企业、用户)来管理资源(例如，用户账户、管理权限、密码保护、数据库管理、以及其他资源)，或者可以通过其他方式将资源与不同实体(例如，企业、用户)相关联。 【附图说明】 图1示出了用于管理跨周界访问的示例系统； 图2是包括用于管理跨周界访问的示例周界文件系统资源在内的设备的框图； 图3是示出了跨设备周界的访问和通信的示意图； 图4是示出了对网络接入的跨周界访问的示意图；以及 图5是示出了用于实现跨周界访问的示例方法的流程图。 各个图中相似的附图标记指示相似的元素。 【具体实施方式】 在一些实现中，单一用户设备可包括在逻辑上分隔计算机资源(例如，应用、数据、网络接入、配置文件)的多个周界，以使得可以防止周界访问不同周界中包括的资源。例如，周界可以防止一个周界中个人资源访问另一周界中的公司资源，或反之亦然。保持公司数据、应用和网络与个人数据、应用和网络隔离是所希望的，因为用户可以使用单一设备来分别访问不同的资源组。换言之，企业可以在单一用户设备上扩展安全周界，而不干扰用户在同一设备上的个人体验。本公开涉及基于一个或多个策略来实现跨周界访问。换言之，基于向进行请求的周界指派的策略或向目标周界指派的策略，周界中的资源可被不同的周界所访问。管理跨周界访问包括:控制在周界之间可以传输什么信息，以及具体地，在周界中执行的应用可以访问什么数据和网络和在周界外部的应用可以访问什么周界资源(如果存在)。 在一些实现中，可通过针对每个周界定义策略、向每个周界指派策略、或以其他方式将策略与每个周界相关联来控制对周界资源的访问。策略可以标识内部资源可以访问的外部周界，或外部资源可以访问或不可以访问的内部资源。除了标识什么资源(例如，数据、网络接入)是可访问的之外，策略可以标识可访问指定资源或不可访问指定资源的特定用户。在一些示例中，策略可以标识访问外部资源的特定用户可以访问内部数据的一部分。在一些示例中，文件数据的资源访问策略可以标识:该文件对在周界内正在执行的任何应用是可见的，然而仅对周界外执行的特定可信应用是可用的。简言之，资源策略可以定义对(周界中正在运行的)内部应用可以访问的(另一周界中的)外部资源以及外部应用可以访问的内部资源这二者的访问。在一些实现中，来自两个周界的策略确定了是否许可访问，或者如果存在冲突，可以应用最严格的策略。 参见示例环境，图1示出了根据本公开的一个或多个实现的用于管理跨周界资源访问的示例系统100。例如，系统100可以实现周界管理，以使得针对周界的策略可以标识周界外的特定资源可以访问的资源。如前所述，周界一般可指代对计算资源的逻辑分隔，以使得在周界之间传输数据和访问其他周界资源是被禁止的。在一些实现中，系统100可以包括提供针对这些禁止的例外的策略。例如，系统100可以标识在周界外部的可以访问数据、应用或其他资源的一个或多个特定资源。一般而言，资源可以包括应用、文件系统、网络接入或其他计算资源。除了实现对周界内的资源的访问之外，系统100还可以包括对周界中的资源可访问的特定外部资源进行标识的策略。系统100还可以解决两个周界的策略之间的冲突。例如，在一个周界的策略允许访问资源而另一策略的策略拒绝访问的情况下，系统100可以缺省使用最严格的策略。在一些实现中，系统100可以包括基于资源或资源的一方面的策略，以使得可许可访问整个资源的一部分。通过实现这种策略，系统100可以使得管理员对跨周界访问具有更大的控制。此外，系统100还可以管理无缝用户体验，其中，执行了周界概念。跨周界访问可以允许一个周界中的应用访问另一周界中的数据，这进而在另一周界内传递了所关注应用的附加值。 关于高层描述，系统100包括可通信耦合到网络102a和102b的设备102 (分别地及共同地被称为102)。此外，设备102可以与设备所有者110、用户106a和106b (分别地及共同地被称为106)、管理员108a、108b、108c (分别地及共同地被称为108)、前述各项的组合以及其他人交互。设备102包括多个周界110a、100b、110c (分别地及共同地被称为110)。每个周界110包括数据112、用于提供对网络的接入的网络接入资源114、用于向用户106提供服务的一个或多个应用116、用于配置资源的配置118、和用于定义跨周界访问的一个或多个策略120。关于操作的高层描述，设备所有者104或管理员108可以生成周界110，周界110包括数据112、网络接入资源114、应用116、配置118、和一个或多个策略120。虽然周界110被示出为包括所有这些资源，在不脱离本公开的范围的情况下，周界110可以仅包括所示出资源的子集。例如，周界110可以不包括网络接入资源114。响应于用户106请求访问周界110外部的数据112或网络接入资源114，设备110可以确定针对用户106当前访问的周界110的策略120和针对被请求的周界110的策略120是否都许可访问所标识的资源。例如，用户106a可以在访问周界IlOa的同时请求访问数据112c，以及设备102可以确定策略120a和120c是否许可访问周界110a。 参见对系统100的各单元的更详细的描述，设备102可以包括可用于经由用户界面(例如，图形用户界面(GUI)XLI (命令行界面)或众多其他用户界面中的任何界面)从用户接收请求的任何计算设备。因此，在提到具体界面的情况下，应该理解:任何其他用户界面都可以替代其位置。在各种实现中，设备102包括用于接收、发送、处理和存储与系统100相关联的任何适当数据的电子计算设备。如本公开中使用的，设备102可以包括平板计算机、个人计算机、膝上型计算机、触摸屏终端、工作站、网络计算机、信息站(k1sk)、无线数据端口、无线或有线电话、个人数据助理(PDA)、智能电话、这些设备或其他设备中的至少一个处理器、或任何其他适合的处理设备。例如，设备102可以包括移动设备，该移动设备包括输入设备(例如，键区、触摸屏、鼠标、或可接受信息的其他设备)和传达与资源的操作相关联的信息(包括数字数据、视觉信息或GUI)的输出设备。输入设备和输出设备都可以包括固定的或可拆卸的存储介质(例如，磁性计算机盘、CD-ROM或其他适合的介质)以通过显示器(例如，⑶I)从终端106的用户接收输入并向终端106的用户提供输出。 在所示出的实现中，设备102包括周界IlOa?C，周界IlOa?c被配置为防止针对向周界指派的一个或多个资源的访问。例如，周界110可以包括密码保护、加密和用于控制对向该周界指派的资源的访问的其他处理。可以由设备所有者104、用户106、管理员108或其他人生成周界110。在一些示例中，周界IlOa可以是针对用户106a缺省创建并由用户106a管理的个人周本文档来自技高网...

【技术保护点】
一种管理对单一设备中资源的访问的方法，包括：从向第一周界指派的第一资源接收对访问向不同于所述第一周界的第二周界指派的第二资源的请求，其中，所述单一设备包括所述第一周界和所述第二周界；以及基于针对所述第一周界的管理策略来确定是否禁止访问所述第二资源，所述管理策略定义了用于访问向所述第二周界指派的包括所述第二资源在内的资源的一个或多个规则。

【技术特征摘要】
【国外来华专利技术】2011.11.10 EP 11188696.61.一种管理对单一设备中资源的访问的方法，包括: 从向第一周界指派的第一资源接收对访问向不同于所述第一周界的第二周界指派的第二资源的请求，其中，所述单一设备包括所述第一周界和所述第二周界；以及 基于针对所述第一周界的管理策略来确定是否禁止访问所述第二资源，所述管理策略定义了用于访问向所述第二周界指派的包括所述第二资源在内的资源的一个或多个规则。2.根据权利要求1所述的方法，其中，所述管理策略包括第一管理策略，以及基于所述第一管理策略和第二管理策略来确定是否禁止对所述第二资源的访问，所述第二管理策略定义了用于允许访问向所述第二周界指派的包括所述第二资源在内的资源的一个或多个规则。3.根据权利要求2所述的方法，其中，确定是否禁止对所述第二资源的访问包括: 将所述第一管理策略的一个或多个规则与所述第二管理策略的一个或多个规则进行比较；以及 确定哪个策略更加严格； 其中，基于更加 严格的策略来确定是否禁止对所述第二资源的访问。4.根据权利要求1所述的方法，其中，向所述第一周界指派包括所述第一资源在内的第一多个不同资源，以及向所述第二周界指派包括所述第二资源在内的第二多个资源，其中，所述第二多个资源不同于所述第一多个资源。5.根据权利要求4所述的方法，其中，所述第一多个资源包括以下至少一项:文件系统资源、网络连接简档、虚拟私有网络“VPN”配置、应用、设备配置、应用配置、或加密证书，以及所述第二多个资源包括以下至少一项:文件系统资源、网络连接简档、虚拟私有网络“VPN”配置、应用、设备配置、应用配置、或加密证书。6.根据权利要求1所述的方法，还包括: 接收用于许可对向所述第二周界指派的资源进行管理访问的请求，其中，所述请求标识了管理员； 确定所标识的管理员不同于向所述第二周界指派的管理员；以及 禁止对向所述第二周界指派的资源的管理访问。7.根据权利要求1所述的方法，其中，所述第二资源包括应用、加密数据、或周界网络中的至少一项。8.根据权利要求1所述的方法，其中，所述单一设备包括平板计算机。9.根据权利要求1所述的方法，其中，基于所述管理策略来确定是否禁止许可访问所述第二资源包括: 基于所述管理策略来确定用户仅被许可访问所述第一周界中的资源；以及 响应于所述确定，禁止访问所述第二周界的所述第二资源。10.一种用户设备，包括: 第一周界，被指派了第一资源和管理策略； 第二周界，被指派了第二资源；以及 一个或多个处理器，用于: 从向所述第一周界指派的所述第一资源接收对访问向不同于所述第一周界的所述第二周界指派的所述第二资源的请求，其中，单一设备包括所述第一周界和所述第二周界；以及 基于针对所述第一周界的管理策略来确定是否禁止访问所述第二资源，所述管理策略定义了用于访问向所述第二周界指派的包括所述第二资源在内的资源的一个或多个规则。11.根据权利要求10所述的用户设备，其中，所述管理策略包括第一管理策略，以及基于所述第一管理策略和第二管理策略来确定是否禁止对所述第二资源的访问，所述第二管理策略定义了用于允许访问向所述第二周界指派的包括所述第二资源在内的资源的一个或多个规则。12.根据权利要求11所述的用户设备，其中，所述处理器用于确定是否禁止对所述第二资源的访问包括所述处理器用于: 将所述第一管理策略的一个或多个规则与所述第二管理策略的一个或多个规则进行比较；以及 确定哪个策略更加严格； 其中，基于更加严格的策略来确定是否禁止对所述第二资源的访问。13.根据权利要求10所述的用户设备，其中，向所述第一周界指派包括所述第一资源在内的第一多个 不同资源，以及向所述第二周界指派包括所述第二资源在内的第二多个资源，其中，所述第二多个资源不同于所述...

【专利技术属性】
技术研发人员：乔登·托马斯·弗格森，克里斯多佛·莱尔·本德，阿尔伯托·丹尼尔·苏维里，肯尼思·西里尔·施奈德，奥利弗·怀特豪斯，克里斯多佛·威廉·路易斯·霍布斯，
申请(专利权)人：黑莓有限公司，二二三六零零八安大略有限公司，
类型：发明
国别省市：加拿大;CA