安全移動(dòng)應(yīng)用連接總線的制作方法
【專利說明】安全移動(dòng)應(yīng)用連接總線
[0001]對(duì)其他串請(qǐng)的交叉引用
本申請(qǐng)要求2012年12 B 21日提交的題為“SECURE MOBILE APP CONNECT1N BUS (安全移動(dòng)應(yīng)用連接總線)”的美國臨時(shí)專利申請(qǐng)N0.61/745052的優(yōu)先權(quán)�����,出于所有目的通過引用將其并入本文。
【背景技術(shù)】
[0002]諸如智能電話和平板計(jì)算機(jī)之類的移動(dòng)設(shè)備可以包括來自包括可信(trusted)應(yīng)用存儲(chǔ)庫�����、第三方應(yīng)用存儲(chǔ)庫��、企業(yè)內(nèi)部開發(fā)者和/或其他源的各種源的多個(gè)應(yīng)用�����。并且��,每個(gè)應(yīng)用可以具有管理其配置��、策略��、數(shù)據(jù)和/或其他屬性的獨(dú)特方法����。在某些情況下�����,可以在移動(dòng)設(shè)備管理(MDM)框架內(nèi)管理一個(gè)或多個(gè)應(yīng)用�,所述移動(dòng)設(shè)備管理(MDM)框架包括例如移動(dòng)設(shè)備上的管理代理和/或管理服務(wù)器。不同類型應(yīng)用之間的安全通信對(duì)于移動(dòng)設(shè)備的適當(dāng)運(yùn)作是有幫助的�。
【附圖說明】
[0003]在下面詳細(xì)的描述和附圖中公開本發(fā)明的各種實(shí)施例。
[0004]圖1是圖示包括安全移動(dòng)應(yīng)用連接總線的系統(tǒng)的實(shí)施例的框圖��。
[0005]圖2是圖示移動(dòng)應(yīng)用之間的安全通信的過程的實(shí)施例的流程圖�����。
[0006]圖3是圖示移動(dòng)應(yīng)用之間的安全通信的過程的實(shí)施例的流程圖���。
[0007]圖4是圖示移動(dòng)應(yīng)用之間的安全通信的過程的實(shí)施例的流程圖��。
[0008]圖5是圖示移動(dòng)應(yīng)用之間的安全通信的過程的實(shí)施例的流程圖����。
[0009]圖6是圖示使用安全應(yīng)用連接總線的移動(dòng)應(yīng)用管理的過程的流程圖����。
[0010]圖7是圖示使用安全應(yīng)用連接總線的移動(dòng)應(yīng)用管理的過程的流程圖���。
【具體實(shí)施方式】
[0011]本發(fā)明可以以許多方式來實(shí)現(xiàn),包括作為過程���;裝置���;系統(tǒng);復(fù)合體����;體現(xiàn)在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上的計(jì)算機(jī)程序產(chǎn)品;和/或處理器����,諸如被配置成執(zhí)行指令的處理器,所述指令存儲(chǔ)在耦合至處理器的存儲(chǔ)器上和/或由其提供���。在本說明書中��,這些實(shí)現(xiàn)方式或本發(fā)明可能采用的任何其他形式可以稱為技術(shù)���。一般而言,所公開過程步驟的次序可以在本發(fā)明的范圍內(nèi)變化����。除非另有說明����,諸如描述為配置成執(zhí)行任務(wù)的處理器或存儲(chǔ)器之類的組件可以被實(shí)現(xiàn)為在給定時(shí)間臨時(shí)被配置成執(zhí)行任務(wù)的通用組件或者制造成執(zhí)行任務(wù)的特定組件。如本文中所使用的���,術(shù)語“處理器”是指被配置成處理諸如計(jì)算機(jī)程序指令之類的數(shù)據(jù)的一個(gè)或多個(gè)設(shè)備����、電路和/或處理核����。
[0012]下文連同圖示本發(fā)明原理的附圖提供對(duì)本發(fā)明的一個(gè)或多個(gè)實(shí)施例的詳細(xì)描述。本發(fā)明結(jié)合這樣的實(shí)施例來描述�,但是本發(fā)明不限于任何實(shí)施例。本發(fā)明的范圍僅由權(quán)利要求限制��,且本發(fā)明包含許多替換方案����、修改和等同物。在下面的描述中闡述許多特定細(xì)節(jié)以便提供對(duì)本發(fā)明的透徹理解。出于示例的目的提供了這些細(xì)節(jié)�,且本發(fā)明可以根據(jù)不具有這些特定細(xì)節(jié)中的一些或全部的權(quán)利要求來實(shí)踐。為了清楚的目的��,沒有詳細(xì)描述在與本發(fā)明相關(guān)的技術(shù)領(lǐng)域中已知的技術(shù)資料��,從而本發(fā)明未被不必要地模糊����。
[0013]公開了一種安全移動(dòng)應(yīng)用連接總線。在各種實(shí)施例中����,可以使用安全移動(dòng)應(yīng)用連接總線(例如,安全應(yīng)用間連接總線���、安全移動(dòng)應(yīng)用通信總線���、安全移動(dòng)應(yīng)用命令總線)來在應(yīng)用之間安全地傳輸信息(例如命令、配置信息��、策略)�。在一些實(shí)施例中,本文公開的技術(shù)允許管理服務(wù)器和安裝在設(shè)備上的可信管理代理(例如管理應(yīng)用)具有雙向安全應(yīng)用連接總線來在保持無縫的用戶體驗(yàn)的同時(shí)管理移動(dòng)設(shè)備上的應(yīng)用(例如應(yīng)用配置��、策略等)。例如����,安全連接總線可以用于在(一個(gè)或多個(gè))托管(managed)應(yīng)用和運(yùn)行在移動(dòng)設(shè)備上的可信管理代理之間安全地傳輸命令/信息��。
[0014]根據(jù)各種實(shí)施例��,通過交換以加密形式傳輸數(shù)據(jù)所需的信息來建立安全應(yīng)用連接總線�,所述以加密形式傳輸數(shù)據(jù)是通過將經(jīng)加密的數(shù)據(jù)存儲(chǔ)在(一個(gè)或多個(gè))發(fā)送和接收應(yīng)用可訪問的儲(chǔ)存位置來進(jìn)行的。在一些實(shí)施例中����,將第一加密信息和與移動(dòng)設(shè)備上的數(shù)據(jù)儲(chǔ)存位置相關(guān)聯(lián)的標(biāo)識(shí)符從第一應(yīng)用提供至第二應(yīng)用。從所述數(shù)據(jù)儲(chǔ)存位置檢索(retrieve)與第二移動(dòng)應(yīng)用相關(guān)聯(lián)的第二加密信息�����。第二移動(dòng)應(yīng)用被配置成向數(shù)據(jù)儲(chǔ)存位置提供數(shù)據(jù)�。經(jīng)由所述數(shù)據(jù)儲(chǔ)存位置在第一移動(dòng)應(yīng)用和第二移動(dòng)應(yīng)用之間安全地傳輸數(shù)據(jù)。在各種實(shí)施例中����,在第一移動(dòng)應(yīng)用、數(shù)據(jù)儲(chǔ)存位置和第二應(yīng)用之間的安全傳輸?shù)穆窂?例如�,隧道)、技術(shù)和/或過程可以是安全應(yīng)用連接總線。
[0015]圖1是圖示包括安全移動(dòng)應(yīng)用連接總線的系統(tǒng)的實(shí)施例的框圖���。在所示的示例中�,移動(dòng)設(shè)備100 (例如智能電話�����、平板計(jì)算機(jī)等)包括管理代理102 (例如移動(dòng)設(shè)備管理(MDM)代理��、可信管理代理�����、信任客戶端應(yīng)用)�、(一個(gè)或多個(gè))托管應(yīng)用104 ((—個(gè)或多個(gè))托管客戶端應(yīng)用)、(一個(gè)或多個(gè))非托管應(yīng)用106 (例如(一個(gè)或多個(gè))非授權(quán)應(yīng)用����、(一個(gè)或多個(gè))不可信應(yīng)用)和/或其他應(yīng)用。管理代理102��、托管應(yīng)用104和/或其他組件可以是MDM系統(tǒng)的組件����。管理代理102��、托管應(yīng)用104和/或其他組件被配置成經(jīng)由安全移動(dòng)應(yīng)用連接總線108 (例如安全應(yīng)用間連接總線��、安全應(yīng)用命令總線��、安全應(yīng)用通信總線等)以可信方式共享信息/數(shù)據(jù)����。例如�,可以在被授權(quán)訪問安全連接總線108的應(yīng)用之間以可信方式共享信息��。
[0016]在一些實(shí)施例中��,庫110 (例如編譯到應(yīng)用中�����、包封到應(yīng)用中的庫)可以與托管應(yīng)用104相關(guān)聯(lián)�。庫110可以修改應(yīng)用的代碼以表現(xiàn)得不同于應(yīng)用的對(duì)應(yīng)未修改版本表現(xiàn)的那樣。例如�,庫110可以將托管應(yīng)用104重配置成允許管理代理102來代表托管應(yīng)用而執(zhí)行動(dòng)作,包括調(diào)用移動(dòng)操作系統(tǒng)組件�����、使用移動(dòng)設(shè)備資源和訪問/存儲(chǔ)應(yīng)用數(shù)據(jù)。庫110可以作為托管應(yīng)用104和管理代理102和/或(一個(gè)或多個(gè))其他托管應(yīng)用104之間的通信的媒介����。在一些實(shí)施例中,庫110可以應(yīng)用配置改變����、實(shí)施策略、執(zhí)行動(dòng)作和/或執(zhí)行托管應(yīng)用104內(nèi)的其他操作�。
[0017]根據(jù)各種實(shí)施例,管理代理102����、托管應(yīng)用104和/或其他元件被配置成經(jīng)由安全移動(dòng)應(yīng)用連接總線108以可信方式(例如安全地)傳輸數(shù)據(jù)。在一些實(shí)施例中�����,通過將數(shù)據(jù)以加密形式存儲(chǔ)在可由被授權(quán)經(jīng)由總線108通信的實(shí)體訪問的數(shù)據(jù)儲(chǔ)存位置(例如��,粘貼板���、共享密鑰鏈位置和/或其他儲(chǔ)存器)中�,數(shù)據(jù)可以在被授權(quán)為具有對(duì)安全移動(dòng)應(yīng)用連接總線108的訪問權(quán)的應(yīng)用之間以可信方式傳輸��。在各種實(shí)施例中,通過調(diào)用包括經(jīng)加密的數(shù)據(jù)的與第二應(yīng)用相關(guān)聯(lián)的統(tǒng)一資源定位符(URL)方案�����,數(shù)據(jù)可以以可信方式從第一應(yīng)用(例如管理代理102)傳輸至被授權(quán)為具有對(duì)安全移動(dòng)應(yīng)用連接總線108的訪問權(quán)的第二應(yīng)用(例如托管應(yīng)用104)����。使用安全移動(dòng)連接總線108在應(yīng)用之間傳輸數(shù)據(jù)的技術(shù)在下面詳細(xì)討論。
[0018]根據(jù)各種實(shí)施例�,移動(dòng)設(shè)備100和(一個(gè)或多個(gè))企業(yè)后端服務(wù)器112(例如企業(yè)服務(wù)器、文件服務(wù)器�����、電子郵件服務(wù)器�����、應(yīng)用服務(wù)器等)����、企業(yè)內(nèi)容114 (例如文件���、企業(yè)數(shù)據(jù))����、網(wǎng)絡(luò)資源和/或其他組件之間的通信通過安全性實(shí)施節(jié)點(diǎn)116(例如反向代理服務(wù)器、看守(sentry))����。在各種實(shí)施例中,安全性實(shí)施節(jié)點(diǎn)116是用于托管應(yīng)用104和諸如后端服務(wù)器112之類的企業(yè)服務(wù)器之間的同步���、數(shù)據(jù)傳輸和/或其他業(yè)務(wù)的反向代理����。在處理(例如管理)所述業(yè)務(wù)(例如安全傳輸?shù)臄?shù)據(jù))的同時(shí)�����,所述安全性實(shí)施節(jié)點(diǎn)116可以優(yōu)化業(yè)務(wù)(例如壓縮)和/或基于一個(gè)或多個(gè)策略而添加�、修改和/或從安全性管理平臺(tái)112移除內(nèi)容(例如向web (網(wǎng)絡(luò))請(qǐng)求添加緊急報(bào)警)。在電子郵件的情況下����,在各種實(shí)施例中,安全性實(shí)施節(jié)點(diǎn)116中繼(relay)移動(dòng)設(shè)備(諸如移動(dòng)設(shè)備100)與后端電子郵件服務(wù)器(例如MicrosoftExchange?服務(wù)器)或用于其他電子郵件業(yè)務(wù)的代理(例如IMAP�����、MAPI和SMTP)之間的業(yè)務(wù)。在內(nèi)容管理和/或文件或其他內(nèi)容共享服務(wù)(諸如SharePoint?��,WebDAV和文件服務(wù)器)的情況下�,安全性實(shí)施節(jié)點(diǎn)116在各種實(shí)施例中用作用于可應(yīng)用協(xié)議(例如MicrosoftSharePoint?、WebDAV或文件服務(wù)器協(xié)議)的代理(例如反向代理)�。在各種實(shí)施例中,庫110可以向安全性實(shí)施節(jié)點(diǎn)116提供安全隧道傳輸上層協(xié)議(例如安全套接字層/傳輸層安全性(SSL/TLS)隧道)���。利用安全隧道傳輸��,任何托管應(yīng)用104可以使用安全性實(shí)施節(jié)點(diǎn)116連接至企業(yè)服務(wù)器112���。在各種實(shí)施例中,安全性實(shí)施節(jié)點(diǎn)116可以將未加密的業(yè)務(wù)歸檔至例如一個(gè)或多個(gè)歸檔服務(wù)器�。
[0019]在各種實(shí)施例中,安全性管理平臺(tái)118 (例如虛擬智能電話平臺(tái)�����、安全性管理服務(wù)器等)管理與移動(dòng)設(shè)備100相關(guān)聯(lián)的(一個(gè)或多個(gè))配置��、(一個(gè)或多個(gè))策略和/或設(shè)置���。安全管理平臺(tái)118可以管理(例如控制����、指示����、確定)移動(dòng)設(shè)備100上的托管應(yīng)用104中的一個(gè)或多個(gè)的配置、策略��、設(shè)置和/或其他功能方面��。例如�,安全性管理平臺(tái)118可以使用管理代理102作為媒介來與托管應(yīng)用104通信。針對(duì)托管應(yīng)用104的配置改變�、政策更新、設(shè)置改變和/或命令可以被推送至管理代理102以供安全地分發(fā)至應(yīng)用104�。在一些實(shí)施例中,管理代理102可以例如連接至安全性管理平臺(tái)118 (例如周期地)以更新設(shè)備100狀態(tài)�、檢索策略信息、檢索配置信息和/或執(zhí)行其他操作��。管理代理102可以經(jīng)由安全移動(dòng)應(yīng)用連接