理位 置數(shù)據(jù)至外部實體328map.com��。
[0072] 情境感知安全原則334可藉由混合行動銀行應(yīng)用程序處理安全資源316的條件式 使用(conditionaluse)�����。條件式使用可以是行動裝置300的狀態(tài)衍生���,舉例而言�����,例如行 動裝置300的當(dāng)下GPS坐標(biāo)或當(dāng)日時間�����。舉經(jīng)授與權(quán)限取決于情境的實施例來說�����,考慮諸 如國防部等政府機關(guān)想要加諸"五角大廈不得補捉影像"的條件式要求的情景�。這種條件 式要求映射至情境感知安全原則:行動裝置300的當(dāng)下地理位置若對應(yīng)于五角大廈的位置 坐標(biāo)����,則停用混合行動應(yīng)用程序的相機補捉功能。有個負(fù)情境感知條件的實施例(亦即:條 件存在時���,不容許存取行動裝置300的安全資源(例如:相機補捉功能))����。然而,應(yīng)注意的 是����,說明性具體實施例亦利用正情境感知條件(亦即:條件存在時,容許存取行動裝置300 的安全資源)�����。舉例而言���,行動裝置300的當(dāng)下地理位置若對應(yīng)于雇用行動裝置300用戶的 公司的GPS坐標(biāo)���,則可啟用混合行動應(yīng)用程序與該公司相關(guān)的功能供用戶存取及使用。
[0073] 行動信息流控制模塊304確保相機只有在行動裝置300的當(dāng)下地理位置處于特定 狀態(tài)時才啟動�����。為了應(yīng)對此一情景�����,行動信息流控制模塊304限制混合行動應(yīng)用程序�����,只有 透過定制信息流控制應(yīng)用程序開發(fā)接口 314才得以存取行動裝置300的相機�����。行動信息流 控制模塊304利用定制信息流控制應(yīng)用程序開發(fā)接口 314解析要求的情境����,以判斷行動裝 置300的當(dāng)下地理位置,并且確保相機只有依據(jù)合適的情境感知安全原則才得以啟動�����。
[0074] 再者����,行動信息流控制模塊304可利用使用狀況式安全原則,藉由限制安全資源 316的使用狀況或存取����,防止或限制混合行動應(yīng)用程序造成的任何惡意破壞。使用狀況式 安全原則的一項實施例可以是:混合行動應(yīng)用程序未獲得授與每日發(fā)送超過一百則簡訊服 務(wù)(SMS)簡訊的權(quán)限���。另一實施例可以是:混合行動應(yīng)用程序未獲得授與同時建立超過五 條網(wǎng)絡(luò)聯(lián)機的權(quán)限�����。
[0075] 換句話說��,混合行動應(yīng)用程序正在請求的各項安全資源的使用狀況式要求必須在 安全原則中明確指定�。請求數(shù)若超過安全原則所指定的最大數(shù),使用者332便必須明確提 供此一例外狀況�����。使用者332可依賴一些因子來決定此一例外狀況���,例如��,正要網(wǎng)絡(luò)聯(lián)機的 外部實體的信譽����、混合行動應(yīng)用程序開發(fā)人員先前的追蹤記錄等等�����。因此����,情境感知安全原 則334確保權(quán)限具有故障自趨安全(fail-safe)特性����,最初提供最低權(quán)限�,而使用者332對 這些權(quán)限明確核準(zhǔn)所有例外狀況。
[0076] 對于使用狀況式安全原則��,行動信息流控制模塊304利用諸如圖2中的安全資源 存取監(jiān)測器238等監(jiān)測器�,保持安全資源316在存取或使用狀況上的統(tǒng)計����,例如行動裝置 300中網(wǎng)絡(luò)通訊裝置進(jìn)行的網(wǎng)絡(luò)聯(lián)機數(shù),并且一旦達(dá)到或超出諸如圖2中的訪問控制臨限 值242等預(yù)定義訪問控制臨限值��,便防止存取或使用安全資源316��。對于情境感知安全原則 334,行動信息流控制模塊304分析輸入數(shù)據(jù)安全原則����,以在對特定情境感知安全原則中的 指定條件驗證情境前,先解析任何未知的情境����。舉條件式位置式安全原則為例,行動信息流 控制模塊304在檢查相關(guān)指定條件前��,先判斷行動裝置300的當(dāng)下地理位置。應(yīng)注意的是�, 行動信息流控制模塊304在行動裝置300的信任域內(nèi)執(zhí)行,所以�,行動信息流控制模塊304 對所有必要的權(quán)限享有特權(quán),得以利用行動裝置300的傳感器來判斷情境�����。
[0077] 混合行動應(yīng)用程序306旳符碼塊320至324封囊封不同等級的用戶332相關(guān)私有 信息���。因此��,行動信息流控制模塊304使符碼塊320至324彼此隔絕�,以便防止私有信息泄 漏�。此外,行動信息流控制模塊304維持權(quán)限與需要這些權(quán)限的對應(yīng)定制信息流控制應(yīng)用 程序開發(fā)接口間的映像���。
[0078] 現(xiàn)請參閱圖4,系依據(jù)說明性具體實施例繪示描述混合行動應(yīng)用程序生命周期的 圖解��?���;旌闲袆討?yīng)用程序生命周期400依據(jù)說明性具體實施例�,表示諸如圖3中的混合行 動應(yīng)用程序306等混合行動應(yīng)用程序其典型生命周期的實施例��?�;旌闲袆討?yīng)用程序生命周 期400包括以行動信息流控制器在行動裝置上進(jìn)行用戶注冊402����、在行動信息流控制器上 部署混合行動應(yīng)用程序404����、以及用戶在行動裝置上安裝混合行動應(yīng)用程序406��。
[0079] 于402,用戶以行動信息流控制器在行動裝置上進(jìn)行用戶注冊���。在402使用者注 冊期間�,在408使用者定義情境感知安全原則�����。舉例而言�,使用者332定義情境感知安全原 則334,并且以圖3中行動信息流控制模塊304內(nèi)的原則管理器310注冊情境感知安全原則 334。使用者在定義情境感知安全原則408時�,舉例而言,可指定用戶的聯(lián)系人清單絕對不 應(yīng)該與任何外部實體共享��。
[0080] 于混合行動應(yīng)用程序部署404,應(yīng)用程序開發(fā)人員于410定義混合行動應(yīng)用程序 區(qū)塊規(guī)格,例如圖2中的應(yīng)用程序區(qū)塊規(guī)格230����。混合行動應(yīng)用程序區(qū)塊規(guī)格包括與安全 資源414及外部實體通訊416相關(guān)的符碼塊412清單�。在這項實施例中,符碼塊412包括 符碼塊C1��、C2及C3,例如圖3中的區(qū)塊320C1�����、區(qū)塊322C2及區(qū)塊324C3�����。安全資源414 包括:與符碼塊C1相關(guān)由行動裝置用戶所輸入的登入憑證數(shù)據(jù)�����、及由行動裝置中成像單元 所產(chǎn)生的影像數(shù)據(jù)���;與符碼塊C2相關(guān)由行動裝置中地理位置單元所產(chǎn)生的地理位置數(shù)據(jù)����; 以及與符碼塊C3相關(guān)由用戶所輸入的聯(lián)系人列表數(shù)據(jù)。外部實體通訊416列示獲得授與 權(quán)限共享安全資源414 一或多者的外部實體���。外部實體通訊416包括與符碼塊C1相關(guān)的 bank,com��,符碼塊C1系獲得授與與bank,com共享登入憑證數(shù)據(jù)及影像數(shù)據(jù)的權(quán)限�����。外部 實體通訊416亦包括與符碼塊C2相關(guān)的map.com���,符碼塊C2系獲得授與與map.com共享 地理位置數(shù)據(jù)的權(quán)限。符碼塊C3未獲得授與與任何外部實體共享聯(lián)系人列表數(shù)據(jù)的權(quán)限�。 于418,在行動裝置上安裝混合行動應(yīng)用程序時�,將混合行動應(yīng)用程序區(qū)塊規(guī)格發(fā)送至行動 信息流控制模塊。行動信息流控制模塊利用區(qū)塊規(guī)格內(nèi)的信息��,為混合行動應(yīng)用程序產(chǎn)生 諸如圖2中的指令清單228等指令清單檔����。
[0081] 于混合行動應(yīng)用程序安裝406時,于420,藉由行動信息流控制模塊在安裝時對用 戶顯示混合行動應(yīng)用程序指令清單�����。如這項實施例中所示述,指令清單基本上系混合行動 應(yīng)用程序的外部實體通訊的規(guī)格�����,與符碼塊無關(guān)����,另外還要加上各外部實體通訊期間共享 的安全資源。行動裝置的用戶在行動裝置上安裝混合行動應(yīng)用程序前��,先核準(zhǔn)諸如圖3中 的用戶核準(zhǔn)應(yīng)用程序指令清單336等指令清單�����。于422,用戶選取指令清單中許可的外部實 體通訊�。
[0082] 此外,行動信息流控制模塊確?��;旌闲袆討?yīng)用程序內(nèi)的符碼塊全都符合使用者所 核準(zhǔn)的使用者定義���、情境感知安全原則及指令清單。對于任何情境感知安全原則�����,行動信息 流控制模塊在運行時間判斷情境,并且在對行動裝置上的一組安全資源授與任何存取權(quán)之 前����,先驗證與情境感知安全原則相關(guān)的指定條件。于424,區(qū)塊卷標(biāo)系由行動信息流控制模 塊用于強制施行行動裝置中所安裝混合行動應(yīng)用程序上的用戶定義���、情境感知安全原則�����。
[0083] 現(xiàn)請參閱圖5,系依據(jù)說明性具體實施例繪示描述控制混合應(yīng)用程序所用信息流 的實施例的圖解��。受控信息流500表示經(jīng)過諸如圖3中的行動裝置300等行動裝置上所執(zhí) 行混合行動應(yīng)用程序的數(shù)據(jù)流及信息流�����。
[0084] 從行動信息流控制器輸入至特定混合行動應(yīng)用程序502中指定符碼塊的數(shù)據(jù)表 示進(jìn)入混合行動應(yīng)用程序512的符碼塊514至518的數(shù)據(jù)流�����。對行動裝置504用戶顯示的 信息表示由符碼塊514至518從待顯示于行動裝置顯示器上的外部實體520至522接收的 ig息流。
[0085] 為了經(jīng)由上述使用混合行動銀行應(yīng)用程序?qū)嵤├凉M足用戶的隱私權(quán)要求���,應(yīng)該符 合兩個條件:(1)沒有帳戶信息要與map.com共享���;(2)聯(lián)系人列表數(shù)據(jù)要保持私有(亦即 不與任何外部實體共享)����。將混合行動應(yīng)用程序512分割成諸如符碼塊514C1��、符碼塊516C2及符碼塊518C3等多個符碼塊����,容許應(yīng)用程序開發(fā)人員將依賴行動裝置內(nèi)不同安全資 源的混合行動應(yīng)用程序512內(nèi)的功能分段。行動裝置中諸如圖3的行動信息流控制模塊304 等行動信息流控制模塊舉例而言����,基于下列至少一者將混合行動應(yīng)用程序512分割成三個 符碼塊:由開發(fā)人員所建立混合行動應(yīng)用程序512的區(qū)塊規(guī)格、以及與用戶所建立混合行 動應(yīng)用程序512相關(guān)的一組情境感知安全原則����。
[0086] 將混合行動應(yīng)用程序512分割成不同符碼塊會曝露混合行動應(yīng)用程序512內(nèi)的安 全性相關(guān)信息流。符碼塊表示由進(jìn)入特定符碼塊的輸入數(shù)據(jù)�����、以及該特定符碼塊必須相通 訊的外部實體所唯一識別的符碼段�。舉例而言,符碼塊516C2接收地理位置數(shù)據(jù)508作為 輸入數(shù)據(jù),并且傳達(dá)地理位置數(shù)據(jù)508至外部實體522map.com����。
[0087] 在這項實施例中,符碼塊514Cl僅與外部實體520bank.com通訊���,并且存取登 入憑證及影像數(shù)據(jù)506�����。舉例而言����,登入憑證數(shù)據(jù)可以是用戶標(biāo)識符及密碼����。外部實體 520bank.com在發(fā)送任何信息至行動裝置前,先驗證登入憑證�。舉例而言,影像數(shù)據(jù)可以是 行動裝置的相機所產(chǎn)生的支票影像���。接收登入憑證及影像數(shù)據(jù)506后����,外部實體520bank. com發(fā)送帳戶信息524至符碼塊514Cl�。舉例而言,帳戶信息524可以是與用戶相關(guān)的銀 行賬戶余額��。
[0088] 符碼塊516C2對任何銀行相關(guān)資料沒有存取權(quán)���,但與外部實體522map.com共享 地理位置數(shù)據(jù)508��。地理位置數(shù)據(jù)508系位于行動裝置中的地理位置單元所產(chǎn)生的行動裝 置的當(dāng)下地理位置�。外部實體522map.com使用地理位置數(shù)據(jù)508發(fā)送地圖信息526至符 碼塊516C2���。舉例而言����,地圖信息526可以是最接近行動裝置當(dāng)下地理位置的銀行位置�����。
[0089] 混合行動應(yīng)用程序512亦可能想要存取行動裝置用戶的聯(lián)系人列表數(shù)據(jù)510 (即 安全資源)�����,以促進(jìn)選取個人間付款的接受者����。然而��,在這項實施例中��,不與任何外部實體共 享聯(lián)系人列表數(shù)據(jù)510��。換句話說����,符碼塊518C3對聯(lián)系人列表數(shù)據(jù)510有存取權(quán)����,但行動 裝置用戶尚未授與符碼塊518C3用以傳達(dá)或與任何外部實體共享聯(lián)系人列表的權(quán)限。
[0090] 由于僅授與符碼塊516C2對地理位置數(shù)據(jù)508的存取權(quán)�,因此,這是符碼塊516 C2唯一可傳達(dá)至諸如外部實體522map.com等外部實體的數(shù)據(jù)�。而且,符碼塊516C2受限 于僅與外部實體522map.com通訊����。應(yīng)注意的是,數(shù)據(jù)及信息可從限制較少的符碼塊流至限 制較多的符碼塊�����,藉此在符碼塊之間容許單向通訊。舉例而言�,符碼塊516C2可傳遞用戶 在地圖信息526上選取的銀行分行位置至符碼塊514C1�����。符碼塊514C1接著可使用選取 的銀行分行位置�����,展示與銀行分行相關(guān)的信息����。由于符碼塊518C3無法與任何外部實體通 訊,符碼塊518C3無法將任何安全數(shù)據(jù)從行動裝置泄漏出去�。此外部實體通訊限制使符碼 塊518C3能夠從其它符碼塊接收任何安全數(shù)據(jù)、以及任何其它安全用戶數(shù)據(jù)外加聯(lián)系人列 表數(shù)據(jù)510����。
[0091] 亦應(yīng)注意的是,行動裝置用戶可以藉由不選取指令清單與特定外部實體通訊相關(guān) 的部分�,決定不與外部實體522map.com共享地理位置數(shù)據(jù)508。不選取用以共享地理位置 數(shù)據(jù)508的特定外部實體通訊不會影響混合行動應(yīng)用程序512的核心銀行功能�����,并且只可 能部分影響使用者的整體體驗。
[0092] 請參閱圖6,系依據(jù)說明性具體實施例��,繪示在行動裝置中的行動信息流控制模塊