本发明专利技术涉及保护计算设备中的数据使用。将策略应用到指定数据而不是包含指定数据的整个计算设备。对指定数据的访问由利用各种口令或其它认证凭证要求、选择性数据高速缓存、数据传输、临时数据存储,和/或指定数据要被擦除或呈现为不能访问的预定义条件的策略来控制。策略可被管理员定义并推送到移动计算设备,在此策略被实施。
【技术实现步骤摘要】
本专利技术涉及数据保护,尤其涉及保护计算设备中的数据使用。
技术介绍
当前的计算趋势已经显示了从传统台式计算机到移动计算设备的潮流。诸如膝上 型计算机、上网本、平板和移动电话的移动计算设备,提供了便携性和性能的便利,能够执 行包括电子邮件、Web浏览、字处理、照片编辑、内容消费等常见任务。然而,这些设备的移 动本质相比于台式计算机而言提出了独特的挑战。移动计算设备通常存储敏感数据或允许对敏感数据的访问,诸如与企业相关的数 据。例如,对于个人而言将移动计算设备既用于私人任务也用于企业相关任务越来越常见。 随着个人行进(例如,去工作/从工作返回),敏感企业数据可能被暴露给多个通信网络,包 括蜂窝网络和W1-Fi网络,其中某些可能不安全。归因于企业数据在远离企业网络时被移 动计算设备不经意地或故意地共享的可能性,这可能对企业提出安全威胁。常常实现移动设备的数据安全策略和控制以努力消除或至少减轻上述和其它安 全相关的问题。这些安全策略和控制使用全部或没有(all or nothing)的方法来实现。如 果允许,许多用户选择没有(nothing)的方法,因为由扫描(sweep)策略施加的额外开销常 常不利地影响他们的设备对私人数据的可用性。然而,通常,这些安全策略和控制以降低关 于对私人数据访问的可用性为代价而被实施。此处所做出的公开正是关于这些和其他考虑事项而提出的。
技术实现思路
在此描述了用于保护计算设备中的数据使用的概念和技术。根据此处公开的概念 和技术,安全策略和控制被应用到特定数据而不是包含数据的整个设备。该特定数据可以 是任何类型的数据,包括,但不限于,企业数据和私人数据。这个方法提供了企业对安全和 数据控制的需求以及私人数据的使用和控制便捷的需求之间的平衡。此外,这个方法允许 用户选择性地设置他或她的用于访问与各种消费者服务相关联的私人数据的数据访问策 略。例如,用户可建立用于访问电子邮件服务的口令提示,但对于访问图片、音乐或一些其 它数据不需要口令或其它认证机制。根据此处公开的概念和技术,利用各种口令要求、选择 性数据高速缓存、数据传输、临时数据存储,和/或数据要被擦除或呈现为不能访问的预定 义条件,提供对敏感数据的控制。根据一个方面,计算机被配置以接收对策略的定义、存储该策略,并将该策略发送 到计算设备,该策略被配置以控制对计算设备上的数据的访问,在此对数据的访问根据策 略来控制。在一些实施例中,策略包括锁定策略,锁定策略包括指定一个或多个锁定层面的 指令,每一个响应于对有效认证凭证的接收而允许对数据或其一部分的访问。在一些实施 例中,策略包括存储控制策略,存储控制策略包括规定计算设备上的数据的存储的指令。存 储控制策略可指示数据是否可被高速缓存在计算设备上、可指示数据可被高速缓存在计算设备上多久、可指示数据可被储存在计算设备上多久、数据何时可被传输到设备或从设备 传输以及如何可被传输到设备或从设备传输,或者可指示一个或多个条件,在该一个或多 个条件下数据要被擦除或呈现为不可访问。根据另一方面,计算机,诸如移动计算设备,被配置为接收策略、接收对与策略相 关联的特定数据的请求,并根据策略允许或拒绝对特定数据的访问。策略可以是如上所述 的锁定策略或存储控制策略。根据又一方面,移动计算设备被配置以存储与移动计算设备的用户相关联的私人 数据、存储与企业相关联的企业数据、存储控制对企业数据的访问的一个或多个策略、接收 对企业数据的至少一部分的数据请求,并根据一个或多个策略选择性地允许对企业数据的 一部分的访问而无需约束对私人数据的访问。应当理解,上述主题可被实现为计算机控制的装置、计算机进程、计算系统或诸如 计算机可读存储介质之类的制品。通过阅读下面的详细描述并审阅相关联的附图,这些及 各种其他特征将变得显而易见。提供本
技术实现思路
以便以简化形式介绍将在以下详细描述中进一步描述的一些概 念。本
技术实现思路
并不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在将本发 明内容用来限制所要求保护的主题的范围。此外,所要求保护的主题不限于解决在本公开 的任一部分中所提及的任何或所有缺点的实现。附图说明图1是示出用于此处公开的各实施例的示例性操作环境的系统图。图2是示出根据一示例性实施例的企业文档存储分层结构的图。图3是示出根据示例性实施例的移动计算设备存储分层结构的图。图4是示出根据一示例性实施例的用于创建和管理策略的方法的各方面的流程 图。图5是示出根据一示例性实施例的用于在数据服务器处执行策略的方法的各方 面的流程图。图6是示出根据一示例性实施例的用于向移动计算设备提供数据和相关联的策 略的方法的各方面的流程图。图7是示出根据一示例性实施例的用于在移动计算设备处执行策略的方法的各 方面的流程图。图8是示出能够实现此处所提出的实施例的各方面的计算系统的示例性计算机 硬件和软件架构的计算机架构图。具体实施方式以下详细描述针对用于保护计算设备中的数据使用的概念和技术。根据此处描 述的概念和技术,安全策略和控制被应用到特定数据而不是包含数据的整个设备。更具体 地,根据此处公开的概念和技术,利用各种口令要求、选择性数据高速缓存、临时数据存储, 和/或数据要被擦除或呈现为不可访问的预定义条件,提供对敏感数据的控制。此处公开 的概念和技术,有时,在对企业数据的访问控制的上下文中描述。然而,应当理解,此处公开的概念和技术可另外地或另选地被用于控制对其它类型数据的访问。尽管在结合计算机系统上的操作系统和应用程序的执行而执行的程序模块的一 般上下文中提出了本文描述的主题,但是本领域技术人员将认识到,其他实现可以结合其 他类型的程序模块来执行。一般而言,程序模块包括执行特定任务或实现特定抽象数据类 型的例程、程序、组件、数据结构和其他类型的结构。此外,本领域技术人员将明白,可以利 用其他计算机系统配置以实施本文描述的主题,这些计算机系统配置包括手持式设备、多 处理器系统、基于微处理器的或可编程消费电子产品、小型计算机、大型计算机等等。在以下详细描述中,参考了构成详细描述的一部分并作为说明示出了各具体实施 方式或示例的附图。现在参考附图(全部若干附图中相同的标号表示相同的元素),将提出 用于保护数据使用的计算系统、计算机可读存储介质和计算机实现的方法的各方面。现在参考图1,将描述用于本文所提出的各实施例的一个操作环境100的各方面。 图1中示出的操作环境100包括移动计算设备102,诸如,但不限于膝上型计算机、上网本、 平板、个人数字助理、移动视频游戏系统、电子阅读器,或移动电话。移动计算设备102被示 为与第一接入网络104 (诸如蜂窝网络、WIFI网络、WIMAX网络,或包括其它无线网络或有 线网络的另一网络)通信。第一接入网络104方便了对互联网106的访问,通过它移动计算 设备102可访问服务器计算机108。第一接入网络104可以另外提供对移动计算设备102 的语音接入。例如,第一接入网络104可向移动计算设备102提供蜂窝语音或网际协议语 音(“V0IP”)接入。移动计算设备102还另外地或另选地建立与第二接入网络110 (其也可以是蜂窝 网络、WIFI网络、WIMAX网络,或包括其它无线网络或有线网络的另一网络)本文档来自技高网...
【技术保护点】
一种其上存储有计算机可读指令的计算机存储介质,所述指令在由计算机执行时致使所述计算机:接收策略的定义,所述策略被配置来控制对计算设备上的数据的访问;储存所述策略;以及将所述策略发送到所述计算设备,其中所述计算设备被配置来根据所述策略访问所述数据。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:D·J·布伦南,A·德塞,R·拉玛纳坦,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。