場所感知安全的制作方法
【技術(shù)領(lǐng)域】
[0001]本公開通常涉及安全的領(lǐng)域,且更具體地涉及基于位置來管理移動設(shè)備中的應(yīng)用。
【背景技術(shù)】
[0002]自帶設(shè)備(BYOD)是雇員被允許將個人擁有的計算設(shè)備(包括移動設(shè)備)帶到他們的工作地點用于代替使用或補充公司提供的計算設(shè)備的商業(yè)策略。除了存在于個人設(shè)備上的個人應(yīng)用和數(shù)據(jù)之外,允許BYOD的組織常常還允許這些個人設(shè)備被用于訪問企業(yè)網(wǎng)絡(luò)和軟件系統(tǒng)、特許的公司資源例如電子郵件、文件服務(wù)器和數(shù)據(jù)庫。此外,“信息技術(shù)的消費化”(CoIT)是新信息技術(shù)首先出現(xiàn)在消費者市場并然后擴展到商業(yè)和政府組織的增長的趨勢。
[0003]隨著BYOD和CoIT的上升的發(fā)生率,企業(yè)安全管理者和管理員在確保遵守法律、管理和組織策略(包括安全策略)時面臨日益困難的任務(wù)。作為示例,使用其自己的平板計算機來訪問患者記錄的醫(yī)生、使用其自己的設(shè)備來存儲價格表和其它公司敏感信息的旅行的銷售人員、以及使用云存儲和檢索服務(wù)來訪問并共享來自辦公室外部的工作相關(guān)項目的雇員可能為了確保遵守組織的相關(guān)策略而折衷了其他努力。
【附圖說明】
[0004]為了提供對本公開及其特征和優(yōu)點的更完全的理解,結(jié)合附圖對下面的描述進行參考,其中相似的附圖標記代表相似的部件,其中:
[0005]圖1是根據(jù)實施例的安全環(huán)境的簡化方框圖;
[0006]圖2是根據(jù)實施例的帶有移動設(shè)備的詳細視圖的安全環(huán)境的示例圖示;
[0007]圖3是根據(jù)實施例的安全系統(tǒng)的示例圖示;
[0008]圖4是示出根據(jù)實施例的管理移動設(shè)備上的多個應(yīng)用的過程的簡化流程圖;
[0009]圖5還示出根據(jù)實施例的耦合到處理器的存儲器;以及
[0010]圖6示出根據(jù)實施例的在點對點(PtP)配置中布置的計算系統(tǒng)。
【具體實施方式】
[0011]圖1是根據(jù)至少一個實施例的安全環(huán)境的簡化方框圖。例如在圖1的示例中,安全環(huán)境100可包括策略服務(wù)器102、移動設(shè)備104、以及無線非接觸寫入器106,連同可能的其它系統(tǒng)和部件。
[0012]通常,示例策略服務(wù)器102可包括在硬件和/或軟件中實現(xiàn)的服務(wù)器,包括例如web服務(wù)器、基于云的服務(wù)器、應(yīng)用服務(wù)器。策略服務(wù)器102可例如使用一個或多個網(wǎng)絡(luò),通信地耦合到一個或多個移動設(shè)備104,并可用于管理一個或多個移動設(shè)備(例如104)并管理和分配組織的策略。
[0013]移動設(shè)備(例如104)可包括但不限于智能電話、平板個人計算機、膝上型計算機、個人游戲設(shè)備、上網(wǎng)本計算機、電子閱讀器、或移動的其它類型的計算設(shè)備。移動設(shè)備可包括例如利用以下技術(shù)的無線射頻通信能力:射頻(RF)、近場通信(NFC)、WiF1、藍牙、或其它短距離無線通信技術(shù)。移動設(shè)備可使用這樣的無線射頻通信能力通過一個或多個網(wǎng)絡(luò)與其它系統(tǒng)通信,并且可進一步將它的標識傳遞到這些系統(tǒng),包括例如訪問策略服務(wù)器102和其它系統(tǒng)。
[0014]無線非接觸寫入器106可以是但不限于近場通信(NFC)寫入器、射頻識別(RFID)寫入器、和/或其它非接觸通信設(shè)備。射頻識別可包括無線非接觸系統(tǒng)的使用,無線非接觸系統(tǒng)使用射頻電磁場來傳送來自附到對象或嵌入對象內(nèi)的標簽的數(shù)據(jù),用于自動識別和跟蹤的目的。一些標簽可能缺乏獨立的電源(例如電池),并可替代地恰由用于讀取它們的電磁場供電。近場通信技術(shù)在一些示例中還可包括諸如在智能電話和類似設(shè)備中使用的基于標準的技術(shù),以通過讓設(shè)備接觸在一起或?qū)⑺鼈儙У綐O接近的區(qū)域內(nèi)(例如在幾厘米內(nèi))來建立在兩個或多個設(shè)備之間的無線電通信。
[0015]圖1的元件和系統(tǒng)中的每個可通過簡單的接口或通過任何其它適當(dāng)?shù)倪B接(有線或無線)耦合到彼此,這些連接提供用于網(wǎng)絡(luò)通信的可行路徑。此外,這些元件中的任一個或多個可基于環(huán)境的特定配置來組合或從架構(gòu)移除。例如,安全環(huán)境100可包括有傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)通信能力的配置,用于在網(wǎng)絡(luò)中對分組的傳輸或接收。安全環(huán)境100也可在適當(dāng)或需要的場合結(jié)合用戶數(shù)據(jù)報協(xié)議/IP (UDP/IP)或任何其它適當(dāng)?shù)膮f(xié)議來操作。
[0016]本公開的一個或多個實施例認識并考慮到管理員面臨允許BYOD但同時確保符合性的增加的壓力。在一些實例中,可能有一類情況,其中企業(yè)管理員通常根據(jù)正由經(jīng)授權(quán)人員使用的設(shè)備的物理位置而限制或允許對計算資源的訪問。例如,醫(yī)院可維持有條件地允許醫(yī)生使用他們個人擁有的平板計算機(或其它設(shè)備)來訪問保密的患者記錄(但只有當(dāng)設(shè)備物理地存在于醫(yī)院中時)的策略(例如由醫(yī)院的首席信息官(C1)設(shè)置)。在另一示例中,公司可規(guī)定合同工人當(dāng)在辦公室中出席時不被允許使用在他的個人設(shè)備上的社交網(wǎng)絡(luò)應(yīng)用。在又一示例中,可限定容許外部承包商被允許只在建筑物內(nèi)訪問機密信息的策略,連同可能有很多其它示例和策略。如至少一些上面的示例所示的,可調(diào)整至少部分地基于設(shè)備的物理位置允許策略實施的策略。
[0017]隨著BYOD的上升的發(fā)生率,系統(tǒng)管理員發(fā)現(xiàn)保持它們的系統(tǒng)安全同時允許用戶使用他們的設(shè)備越來越難。管理員可能希望BYOD用戶對資源訪問的容許受到某些條件和策略的制約,例如設(shè)備的物理位置,以及設(shè)備是否在被信任的位置上。在一些實現(xiàn)中,可至少部分地通過:例如在所監(jiān)控的用戶提供的設(shè)備上的集成BYOD堆棧,利用允許管理員規(guī)定和實施基于位置的策略的硬件和軟件元件,在一些實例中結(jié)合在所監(jiān)控的設(shè)備上的安全軟件和工具來解決這些和其它問題。
[0018]圖2是根據(jù)至少一個示例實施例的帶有移動設(shè)備的詳細視圖的安全環(huán)境的示例圖示。在一個方面中,移動設(shè)備200可通過一個或多個無線(或有線)通信信道與在安全環(huán)境205中的策略服務(wù)器202和無線非接觸寫入器204耦合。移動設(shè)備200可包括策略代理206、一個或多個安全應(yīng)用或工具208、應(yīng)用210 (包括在用戶空間或內(nèi)核空間等中的軟件程序)、操作系統(tǒng)212、處理器214、無線非接觸設(shè)備216、存儲器元件218、以及永久存儲設(shè)備220,連同在硬件和/或軟件中實現(xiàn)的可能的其它部件。
[0019]在一個示例中,策略代理206可設(shè)置在能夠與策略服務(wù)器202通信的移動設(shè)備200上。策略服務(wù)器202在一些實現(xiàn)中可以是管理在特定的環(huán)境或域內(nèi)的多個設(shè)備的管理系統(tǒng)的子系統(tǒng)。策略代理206可下載策略222 (例如從策略服務(wù)器202),并使這些對存在于設(shè)備200上或?qū)υO(shè)備200可用的安全應(yīng)用和工具208變得可用。實際上,在一些實例中,安全應(yīng)用208可查詢可應(yīng)用的策略222的策略代理206并實施響應(yīng)于該查詢而返回的那些策略。例如,策略連同各種示例可指定應(yīng)用210的某個應(yīng)用在特定的領(lǐng)域內(nèi)被禁止。策略代理206可發(fā)現(xiàn)這個策略(例如響應(yīng)于策略服務(wù)器的查詢)并使一個或多個設(shè)施(例如安全應(yīng)用208)防止應(yīng)用在操作系統(tǒng)212上運行,連同其它示例。
[0020]安全應(yīng)用208可包括結(jié)合移動設(shè)備200來管理和實施策略的安全應(yīng)用和工具。安全應(yīng)用可部署成遠離移動設(shè)備200或在其它情況下至少部分地在移動設(shè)備200上。例如,安全應(yīng)用和工具208可包括例如以下的示例:硬件防火墻、軟件防火墻、數(shù)據(jù)損失預(yù)防系統(tǒng)、網(wǎng)頁代理、郵件過濾器、基于硬件的控制器、內(nèi)核級控制器、基于主機的侵入預(yù)防系統(tǒng)、以及惡意軟件檢測軟件,連同很多其它可能的示例。
[0021]應(yīng)用210可包括在操作系統(tǒng)212上執(zhí)行的任何處理,包括在內(nèi)核和/或用戶空間中的應(yīng)用。例如,應(yīng)用可包括例如以下的示例:IP電話系統(tǒng)、文件管理系統(tǒng)、電子郵件系統(tǒng)、網(wǎng)頁瀏覽器、游戲應(yīng)用、即時消息平臺、辦公室生產(chǎn)率應(yīng)用,連同很多其它示例。
[0022]無線非接觸設(shè)備216可以是RFID設(shè)備、NFC設(shè)備、帶有天線的非易失性存儲器設(shè)備、或某種其它類型的適當(dāng)通信設(shè)備。無線非接觸設(shè)備216可通過集成電路間(i2c)雙線接口(連同其它可能的實現(xiàn))連接到處理器214,允許無線非接觸設(shè)備216與移動設(shè)備200中的其余部件(連同其它示例)進行通信。
[0023]在一個示例實現(xiàn)中,移動設(shè)備200可包括軟件模塊(例如安全代理、安全應(yīng)用、和/或策略代理)以實現(xiàn)或促進如在本文概述的操作。例如,安全代理可以是能夠?qū)崿F(xiàn)在本公開的實施例中描述的操作的模塊。在其它實施例中,這樣的操作可由在這些元件外部實現(xiàn)的或包括在某個其它網(wǎng)絡(luò)設(shè)備中的硬件執(zhí)行以實現(xiàn)預(yù)期功能。可選地,這些元件可包括可協(xié)調(diào)以便實現(xiàn)如在本文概述的操作的軟件(或往復(fù)式軟件)。在又一些其它實施例中,這些設(shè)備中的一個或全部可包括便于其操作的任何適當(dāng)?shù)乃惴ā⒂布?、軟件、部件、模塊、接口、或?qū)ο蟆?br>[0024]此外,移動設(shè)備200和其它系統(tǒng)和設(shè)備可包括能夠執(zhí)行軟件、算法、或其它邏輯(例如存儲在機器可讀存儲介質(zhì)中的邏輯)的一個或多個處理器(例如214)以執(zhí)行如在本文中討論的活動。處理器可執(zhí)行與數(shù)據(jù)相關(guān)聯(lián)的任何類型的指令以實現(xiàn)本文詳述的操作。在一個示例中,處理器可將元件或條目(例如數(shù)據(jù))從一種狀態(tài)或事情轉(zhuǎn)換成另一狀態(tài)或事情。在另一示例中,在本文中概述的活動可以使用固定邏輯或可編程邏輯(例如由處理器執(zhí)行的軟件/計算機指令)來實現(xiàn),且在本文中標識的元件可以是某種類型的可編程處理器、可編程數(shù)字邏輯(例如現(xiàn)場可編程門陣列(FPGA)、EPROM、EEPROM)或包括數(shù)字邏輯、軟件、代碼、電子指令、或其任何適當(dāng)?shù)慕M合的ASIC。在本文中描述的任何可能的處理元件、模塊、以及機