The embodiment of the invention provides a mobile device architecture, it has not protected environment and one or more protected container, the container for protected according to the application and the application of data sensitivity or privacy level to isolate the application and application data. Restricting access policies and exception policies for each protected container to restrict access to applications and data associated with the protected container or stored in the protected container. Provide communication monitoring module to implement the access and exception strategy, communication and management of the mobile devices, including container, container and communication communication communication to the protected environment and from the unprotected environment.
【技术实现步骤摘要】
【国外来华专利技术】用于在移动设备中使用隔离环境保护数据的方法
本专利技术涉及移动设备中的数据保护,且更具体地说,涉及使用一个或多个隔离环境来保护数据。
技术介绍
近年来,包含移动计算或通信设备的智能终端已经成为必不可少的个人物品。人们将他们的联系人、消息或照片等个人数据存储在移动设备中以便轻松访问。因此,移动设备的安全性已经成为个人隐私问题。令人遗憾的是,因为操作平台通常向第三方开发者开放,所以移动设备的存储环境并不受保护。移动设备用户可从应用程序(App)市场安装许多App。这些App中的一些可能是恶意的,且用于盗窃用户的个人数据。在不受保护的环境中,存储数据会受任何或其它App控制,且会经由进程间通信(Inter-ProcessCommunication,IPC)访问。然而,阻断其它App的所有访问对开放平台来说并不实际。因此,移动设备用户需要安全技术来保护移动设备中他们的隐私和数据。智能终端上的数据可根据隐私性进行分级。例如,存储在通讯录中且与名人或公众人物相关的联系人信息被认为是敏感的,而具有广告性质的电子邮件是不敏感的。通常,移动设备用户可能不会就不敏感数据的泄露进行争论。但是,敏感数据的泄露可能会导致恶劣后果,因此是用户不可接受的。在US2014/0006347A1号美国专利申请公开案中,公开一种包含使得企业用户能够使用他们的移动设备安全地访问企业资源(文件、数据、应用程序服务器等)的组件和特征的系统。企业可使用所述系统的一些或所有组件来例如安全但灵活地实施BYOD(自带设备办公)策略,其中用户可在他们的移动设备上同时运行个人应用程序和受保护的企业应用程序。例如 ...
【技术保护点】
一种移动设备,其特征在于,包括:计算机可读存储装置和可通信连接到所述计算机可读存储装置的处理器,所述计算机可读存储装置包含:不受保护的环境,用于存储至少不受保护的应用程序和与所述不受保护的应用程序相关联的不受保护的应用数据,第一受保护容器,与所述不受保护的环境逻辑分离,并用于存储第一多个受保护应用程序和与所述第一多个受保护应用程序相关联的第一受保护应用数据,以及通信监测模块,可通信连接到所述不受保护的环境和所述第一受保护容器,并用于通过实施第一访问策略来管理对所述第一受保护应用数据的访问,其中所述第一受保护应用数据可由所述第一多个受保护应用程序访问,并且其中除非遵从第一例外策略,否则所述第一受保护应用数据不可由所述不受保护的应用程序访问。
【技术特征摘要】
【国外来华专利技术】2015.01.29 SG 10201500698Y1.一种移动设备,其特征在于,包括:计算机可读存储装置和可通信连接到所述计算机可读存储装置的处理器,所述计算机可读存储装置包含:不受保护的环境,用于存储至少不受保护的应用程序和与所述不受保护的应用程序相关联的不受保护的应用数据,第一受保护容器,与所述不受保护的环境逻辑分离,并用于存储第一多个受保护应用程序和与所述第一多个受保护应用程序相关联的第一受保护应用数据,以及通信监测模块,可通信连接到所述不受保护的环境和所述第一受保护容器,并用于通过实施第一访问策略来管理对所述第一受保护应用数据的访问,其中所述第一受保护应用数据可由所述第一多个受保护应用程序访问,并且其中除非遵从第一例外策略,否则所述第一受保护应用数据不可由所述不受保护的应用程序访问。2.根据权利要求1所述的设备,其特征在于,所述第一访问策略进一步包含:所述不受保护的应用数据可由所述第一多个受保护应用程序和所述不受保护的应用程序中的任一个访问。3.根据权利要求1所述的设备,其特征在于,所述第一受保护容器进一步包含:第一认证模块,其用于验证对与所述第一多个受保护程序相关联的经授权的第一密码的接收;以及第一密码模块,其用于在未接收到所述经授权的第一密码的情况下以加密形式呈现所述第一受保护应用数据,且在接收到所述经授权的第一密码的情况下以解密形式呈现所述第一受保护应用数据。4.根据权利要求1到3中任一权利要求所述的设备,其特征在于,如果遵从所述第一例外策略中所识别的任何第一预指定源地址和任何第一预指定目的地地址,则遵从所述第一例外策略。5.根据权利要求1到4中任一权利要求所述的设备,其特征在于,所述通信监测模块进一步用于:拦截由所述不受保护的应用程序和所述第一多个受保护应用程序中的任一个产生的通信请求,确定所述通信请求的源地址和目的地地址,基于所述确定的源地址和所述确定的目的地地址,确定对所述第一访问策略和所述第一例外策略中的至少一个的遵从性,以及基于所述确定的遵从性,执行或阻断所述通信请求。6.根据权利要求1到4中任一权利要求所述的设备,其特征在于,所述计算机可读存储装置进一步包含:第二受保护容器,其与所述不受保护的环境和所述第一受保护容器逻辑地分离,并用于存储第二多个受保护应用程序和与所述第二多个受保护应用程序相关联的第二受保护应用数据,其中所述通信监测模块进一步可通信连接到所述第二受保护容器,并用于通过实施第二访问策略来管理对所述第二受保护应用数据的访问,其中所述第二受保护应用数据可由所述第二多个受保护应用程序访问,并且其中除非遵从第二例外策略,否则所述第二受保护应用数据不可由所述不受保护的应用程序访问。7.根据权利要求6所述的设备,其特征在于,所述第二访问策略进一步包含:除非同时遵从所述第一例外策略和所述第二例外策略,否则所述第二受保护应用数据不可由所述第一受保护应用程序访问,其中所述第一访问策略进一步包含:除非同时遵从所述第一例外策略和所述第二例外策略,否则所述第一受保护应用数据不可由所述第二受保护应用程序访问。8.根据权利要求6所述的设备,其特征在于,所述第二访问策略进一步包含:所述第一受保护应用数据和所述不受保护的应用数据可由所述第二多个受保护应用程序访问。9.根据权利要求8所述的设备,其特征在于,所述第二访问策略进一步包含:除非同时遵从所述第一例外策略和所述第二例外策略,否则所述第二受保护应用数据不可由所述第一多个受保护应用程序访问。10.根据权利要求6到9中任一权利要求所述的设备,其特征在于,如果遵从所述第二例外策略中所识别的任何第二预指定源地址和任何第二预指定目的地地址,则遵从所述第二例外策略。11.根据权利要求6到10中任一权利要求所述的设备,其特征在于,所述通信监测模块进一步用于:拦截由所述不受保护的应用程序、所述第一多个受保护应用程序和所述第二多个受保护应用程序中的任一个产生的通信请求,确定所述通信请求的源地址和目的地地址,基于所述确定的源地址和所述确定的目的地地址,确定对所述第一访问策略和所述第一例外策略中的至少一个的遵从性,基于所述确定的源地址和所述确定的目的地地址,确定对所述第二访问策略和所述第二例外策略中的至少一个的遵从性,以及基于所述确定的遵从性,执行或阻断所述通信请求。12.根据权利要求1所述的设备,其特征在于,所述第一例外策略是用户指定的。13.根据权利要求1所述的设备,其特征在于,所述第一多个受保护应用程序中的一个是所述不受保护的应用程序的逻辑...
【专利技术属性】
技术研发人员:翟征德,高海,温学军,朱成康,李铁岩,
申请(专利权)人:华为国际有限公司,
类型:发明
国别省市:新加坡,SG
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。