可在移动设备和系统内的其它计算设备的管理中应用基于场所的策略。使用极接近无线通信来检测计算设备,且使用极接近无线通信将位置信息发送到计算设备。应用于计算设备的策略可至少部分地基于位置信息。
【技术实现步骤摘要】
【国外来华专利技术】
本公开通常涉及安全的领域,且更具体地涉及基于位置来管理移动设备中的应用。
技术介绍
自带设备(BYOD)是雇员被允许将个人拥有的计算设备(包括移动设备)带到他们的工作地点用于代替使用或补充公司提供的计算设备的商业策略。除了存在于个人设备上的个人应用和数据之外,允许BYOD的组织常常还允许这些个人设备被用于访问企业网络和软件系统、特许的公司资源例如电子邮件、文件服务器和数据库。此外,“信息技术的消费化”(CoIT)是新信息技术首先出现在消费者市场并然后扩展到商业和政府组织的增长的趋势。随着BYOD和CoIT的上升的发生率,企业安全管理者和管理员在确保遵守法律、管理和组织策略(包括安全策略)时面临日益困难的任务。作为示例,使用其自己的平板计算机来访问患者记录的医生、使用其自己的设备来存储价格表和其它公司敏感信息的旅行的销售人员、以及使用云存储和检索服务来访问并共享来自办公室外部的工作相关项目的雇员可能为了确保遵守组织的相关策略而折衷了其他努力。【附图说明】为了提供对本公开及其特征和优点的更完全的理解,结合附图对下面的描述进行参考,其中相似的附图标记代表相似的部件,其中:图1是根据实施例的安全环境的简化方框图;图2是根据实施例的带有移动设备的详细视图的安全环境的示例图示;图3是根据实施例的安全系统的示例图示;图4是示出根据实施例的管理移动设备上的多个应用的过程的简化流程图;图5还示出根据实施例的耦合到处理器的存储器;以及图6示出根据实施例的在点对点(PtP)配置中布置的计算系统。【具体实施方式】图1是根据至少一个实施例的安全环境的简化方框图。例如在图1的示例中,安全环境100可包括策略服务器102、移动设备104、以及无线非接触写入器106,连同可能的其它系统和部件。通常,示例策略服务器102可包括在硬件和/或软件中实现的服务器,包括例如web服务器、基于云的服务器、应用服务器。策略服务器102可例如使用一个或多个网络,通信地耦合到一个或多个移动设备104,并可用于管理一个或多个移动设备(例如104)并管理和分配组织的策略。移动设备(例如104)可包括但不限于智能电话、平板个人计算机、膝上型计算机、个人游戏设备、上网本计算机、电子阅读器、或移动的其它类型的计算设备。移动设备可包括例如利用以下技术的无线射频通信能力:射频(RF)、近场通信(NFC)、WiF1、蓝牙、或其它短距离无线通信技术。移动设备可使用这样的无线射频通信能力通过一个或多个网络与其它系统通信,并且可进一步将它的标识传递到这些系统,包括例如访问策略服务器102和其它系统。无线非接触写入器106可以是但不限于近场通信(NFC)写入器、射频识别(RFID)写入器、和/或其它非接触通信设备。射频识别可包括无线非接触系统的使用,无线非接触系统使用射频电磁场来传送来自附到对象或嵌入对象内的标签的数据,用于自动识别和跟踪的目的。一些标签可能缺乏独立的电源(例如电池),并可替代地恰由用于读取它们的电磁场供电。近场通信技术在一些示例中还可包括诸如在智能电话和类似设备中使用的基于标准的技术,以通过让设备接触在一起或将它们带到极接近的区域内(例如在几厘米内)来建立在两个或多个设备之间的无线电通信。图1的元件和系统中的每个可通过简单的接口或通过任何其它适当的连接(有线或无线)耦合到彼此,这些连接提供用于网络通信的可行路径。此外,这些元件中的任一个或多个可基于环境的特定配置来组合或从架构移除。例如,安全环境100可包括有传输控制协议/互联网协议(TCP/IP)通信能力的配置,用于在网络中对分组的传输或接收。安全环境100也可在适当或需要的场合结合用户数据报协议/IP (UDP/IP)或任何其它适当的协议来操作。本公开的一个或多个实施例认识并考虑到管理员面临允许BYOD但同时确保符合性的增加的压力。在一些实例中,可能有一类情况,其中企业管理员通常根据正由经授权人员使用的设备的物理位置而限制或允许对计算资源的访问。例如,医院可维持有条件地允许医生使用他们个人拥有的平板计算机(或其它设备)来访问保密的患者记录(但只有当设备物理地存在于医院中时)的策略(例如由医院的首席信息官(C1)设置)。在另一示例中,公司可规定合同工人当在办公室中出席时不被允许使用在他的个人设备上的社交网络应用。在又一示例中,可限定容许外部承包商被允许只在建筑物内访问机密信息的策略,连同可能有很多其它示例和策略。如至少一些上面的示例所示的,可调整至少部分地基于设备的物理位置允许策略实施的策略。随着BYOD的上升的发生率,系统管理员发现保持它们的系统安全同时允许用户使用他们的设备越来越难。管理员可能希望BYOD用户对资源访问的容许受到某些条件和策略的制约,例如设备的物理位置,以及设备是否在被信任的位置上。在一些实现中,可至少部分地通过:例如在所监控的用户提供的设备上的集成BYOD堆栈,利用允许管理员规定和实施基于位置的策略的硬件和软件元件,在一些实例中结合在所监控的设备上的安全软件和工具来解决这些和其它问题。图2是根据至少一个示例实施例的带有移动设备的详细视图的安全环境的示例图示。在一个方面中,移动设备200可通过一个或多个无线(或有线)通信信道与在安全环境205中的策略服务器202和无线非接触写入器204耦合。移动设备200可包括策略代理206、一个或多个安全应用或工具208、应用210 (包括在用户空间或内核空间等中的软件程序)、操作系统212、处理器214、无线非接触设备216、存储器元件218、以及永久存储设备220,连同在硬件和/或软件中实现的可能的其它部件。在一个示例中,策略代理206可设置在能够与策略服务器202通信的移动设备200上。策略服务器202在一些实现中可以是管理在特定的环境或域内的多个设备的管理系统的子系统。策略代理206可下载策略222 (例如从策略服务器202),并使这些对存在于设备200上或对设备200可用的安全应用和工具208变得可用。实际上,在一些实例中,安全应用208可查询可应用的策略222的策略代理206并实施响应于该查询而返回的那些策略。例如,策略连同各种示例可指定应用210的某个应用在特定的领域内被禁止。策略代理206可发现这个策略(例如响应于策略服务器的查询)并使一个或多个设施(例如安全应用208)防止应用在操作系统212上运行,连同其它示例。安全应用208可包括结合移动设备200来管理和实施策略的安全应用和工具。安全应用可部署成远离移动设备200或在其它情况下至少部分地在移动设备200上。例如,安全应用和工具208可包括例如以下的示例:硬件防火墙、软件防火墙、数据损失预防系统、网页代理、邮件过滤器、基于硬件的控制器、内核级控制器、基于主机的侵入预防系统、以及恶意软件检测软件,连同很多其它可能的示例。应用210可包括在操作系统212上执行的任何处理,包括在内核和/或用户空间中的应用。例如,应用可包括例如以下的示例:IP电话系统、文件管理系统、电子邮件系统、网页浏览器、游戏应用、即时消息平台、办公室生产率应用,连同很多其它示例。无线非接触设备216可以是RFID设备、NFC设备、带有天线的非易失性存储器设备、或某种其它类型的适当通信设备本文档来自技高网...
【技术保护点】
至少一种机器可访问存储介质,其具有存储在其上的指令,所述指令在机器上被执行时使所述机器:通过极接近无线通信,接收对应于在场所处的计算设备的位置标识符;访问策略数据库;至少部分地基于所述位置标识符识别至少一个策略;以及当所述计算设备在所述场所内时,使所述至少一个策略应用于计算设备。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:S·达斯,P·夏尔马,S·瓦什斯特,
申请(专利权)人:迈克菲公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。