安全的模式中�����,安全應(yīng)用可以訪問存儲在移動設(shè)備502的非受管分區(qū)512上的非安全的數(shù)據(jù)容器542中的數(shù)據(jù)�����。存儲在非安全的數(shù)據(jù)容器中的數(shù)據(jù)可以是個(gè)人數(shù)據(jù)544�。存儲在非安全的數(shù)據(jù)容器542中的數(shù)據(jù)還可以由在移動設(shè)備502的非受管分區(qū)512上運(yùn)行的非安全的應(yīng)用548來訪問����。當(dāng)存儲在安全數(shù)據(jù)容器528中的數(shù)據(jù)被從移動設(shè)備502刪除時(shí),存儲在非安全的數(shù)據(jù)容器542中的數(shù)據(jù)可以保持在移動設(shè)備502上��。企業(yè)可能想要從移動設(shè)備刪除選擇的或所有的由企業(yè)擁有��、許可或控制的數(shù)據(jù)��、文件和/或應(yīng)用(企業(yè)數(shù)據(jù))���,同時(shí)留下或以其它方式保留由用戶擁有���、許可或控制的個(gè)人數(shù)據(jù)、文件和/或應(yīng)用(個(gè)人數(shù)據(jù))����。該操作可以被稱為選擇性清除。利用根據(jù)本文描述的方面布置的企業(yè)數(shù)據(jù)和個(gè)人數(shù)據(jù)����,企業(yè)可以執(zhí)行選擇性清除。
[0079]移動設(shè)備可以通過公共互聯(lián)網(wǎng)548等等連接到在企業(yè)處的企業(yè)資源504和企業(yè)服務(wù)508��。移動設(shè)備可以通過虛擬專用網(wǎng)絡(luò)連接連接到企業(yè)資源504和企業(yè)服務(wù)508����。虛擬專用網(wǎng)絡(luò)連接可以特定于特定的應(yīng)用550�����、特定的設(shè)備���、移動設(shè)備上的特定的安全區(qū)域等等552。例如�,電話的安全區(qū)域中的包裝的應(yīng)用中的每個(gè)包裝的應(yīng)用可以通過應(yīng)用特定的VPN訪問企業(yè)資源,使得到VPN的訪問將基于與應(yīng)用相關(guān)的屬性(可能接合用戶或設(shè)備屬性信息)來授予�。虛擬專用網(wǎng)絡(luò)連接可以攜帶微軟交換流量、微軟活動目錄流量�����、HTTP流量���、HTTPS流量�、應(yīng)用管理流量等等��。虛擬專用網(wǎng)絡(luò)連接可以支持和實(shí)現(xiàn)單點(diǎn)登錄認(rèn)證過程554�。單點(diǎn)登錄過程可以允許用戶提供單組認(rèn)證憑證,其然后由認(rèn)證服務(wù)558進(jìn)行驗(yàn)證���。認(rèn)證服務(wù)558可以然后授權(quán)用戶對多個(gè)企業(yè)資源504的訪問�����,而不需要用戶提供到每個(gè)單獨(dú)的企業(yè)資源504的認(rèn)證憑證��。
[0080]虛擬專用網(wǎng)絡(luò)連接可以由訪問網(wǎng)關(guān)560來建立和管理��。訪問網(wǎng)關(guān)560可以包括管理��、加速和提高企業(yè)資源504到移動設(shè)備502的遞送的性能增強(qiáng)功能��。訪問網(wǎng)關(guān)還可以重新路由從移動設(shè)備502到公共互聯(lián)網(wǎng)548的流量�,使得移動設(shè)備502能夠訪問在公共互聯(lián)網(wǎng)548上運(yùn)行的公共可用和非安全的應(yīng)用��。移動設(shè)備可以經(jīng)由傳輸網(wǎng)絡(luò)562連接到訪問網(wǎng)關(guān)��。傳輸網(wǎng)絡(luò)562可以是有線網(wǎng)絡(luò)�、無線網(wǎng)絡(luò)、云網(wǎng)絡(luò)����、局域網(wǎng)絡(luò)、城域網(wǎng)絡(luò)�、廣域網(wǎng)絡(luò)、公共網(wǎng)絡(luò)、專用網(wǎng)絡(luò)等等����。
[0081]企業(yè)資源504可以包括電子郵件服務(wù)器、文件共享服務(wù)器�、SaaS應(yīng)用、網(wǎng)頁應(yīng)用服務(wù)器�、Windows應(yīng)用服務(wù)器等等。電子郵件服務(wù)器可以包括交換服務(wù)器�����、Lotus Notes服務(wù)器等等���。文件共享服務(wù)器可以包括ShareFile服務(wù)器等等��。SaaS應(yīng)用可以包括Salesforce等等�����。Windows應(yīng)用服務(wù)器可以包括被構(gòu)建以提供旨在本地Windows操作系統(tǒng)上運(yùn)行的應(yīng)用的任何應(yīng)用服務(wù)器等等�����。企業(yè)資源504可以是內(nèi)建式資源���、基于云的資源等等����。企業(yè)資源504可以由移動設(shè)備502直接或通過訪問網(wǎng)關(guān)560來訪問���。企業(yè)資源504可以由移動設(shè)備502經(jīng)由傳輸網(wǎng)絡(luò)562來訪問�。傳輸網(wǎng)絡(luò)562可以是有線網(wǎng)絡(luò)���、無線網(wǎng)絡(luò)、云網(wǎng)絡(luò)���、局域網(wǎng)絡(luò)�、城域網(wǎng)絡(luò)�����、廣域網(wǎng)絡(luò)�、公共網(wǎng)絡(luò)、專用網(wǎng)絡(luò)等等�����。
[0082]企業(yè)服務(wù)508可以包括認(rèn)證服務(wù)558、威脅檢測服務(wù)564����、設(shè)備管理器服務(wù)524、文件共享服務(wù)568����、策略管理器服務(wù)570、社交整合服務(wù)572����、應(yīng)用控制器服務(wù)574等等。認(rèn)證服務(wù)558可以包括用戶認(rèn)證服務(wù)�����、設(shè)備認(rèn)證服務(wù)�、應(yīng)用認(rèn)證服務(wù)、數(shù)據(jù)認(rèn)證服務(wù)等等�����。認(rèn)證服務(wù)558可以使用證書�。證書可以由企業(yè)資源504等等存儲在移動設(shè)備502上。存儲在移動設(shè)備502上的證書可以被存儲在移動設(shè)備上的加密位置中��,證書可以被暫時(shí)存儲在移動設(shè)備502上用于在認(rèn)證時(shí)使用等等。威脅檢測服務(wù)564可以包括入侵檢測服務(wù)��、未經(jīng)授權(quán)的訪問嘗試檢測服務(wù)等等�。未經(jīng)授權(quán)的訪問嘗試檢測服務(wù)可以包括未經(jīng)授權(quán)嘗試訪問設(shè)備、應(yīng)用���、數(shù)據(jù)等等���。設(shè)備管理服務(wù)524可以包括配置、提供�����、安全��、支持���、監(jiān)控、報(bào)告和停止運(yùn)作服務(wù)��。文件共享服務(wù)568可以包括文件管理服務(wù)�、文件存儲服務(wù)、文件協(xié)作服務(wù)等等��。策略管理器服務(wù)570可以包括設(shè)備策略管理器服務(wù)、應(yīng)用策略管理器服務(wù)���、數(shù)據(jù)策略管理器服務(wù)等等��。社交整合服務(wù)572可以包括聯(lián)系人整合服務(wù)�、協(xié)作服務(wù)�����、與社交網(wǎng)絡(luò)(例如�����,F(xiàn)acebook���、Twitter和Linkedln)的整合等等�����。應(yīng)用控制器服務(wù)574可以包括管理服務(wù)����、提供服務(wù)��、部署服務(wù)、分配服務(wù)��、撤銷服務(wù)�、包裝服務(wù)等等。
[0083]企業(yè)移動技術(shù)架構(gòu)500可以包括應(yīng)用商店578����。應(yīng)用商店578可以包括未包裝的應(yīng)用580、預(yù)包裝的應(yīng)用582等等����。應(yīng)用可以根據(jù)應(yīng)用控制器574被填充于應(yīng)用商店578中。應(yīng)用商店578可以由移動設(shè)備502通過訪問網(wǎng)關(guān)560�、通過公共互聯(lián)網(wǎng)548等等來訪問。應(yīng)用商店可以設(shè)置有直觀和易于使用的用戶接口�。應(yīng)用商店578可以提供對軟件開發(fā)工具包584的訪問。軟件開發(fā)工具包584可以通過包裝如先前在本描述中描述的應(yīng)用來給用戶提供保護(hù)由用戶選擇的應(yīng)用的能力����。已經(jīng)使用軟件開發(fā)工具包584包裝的應(yīng)用可以然后通過使用應(yīng)用控制器574將其填充在應(yīng)用商店578中來提供到移動設(shè)備502�����。
[0084]企業(yè)移動技術(shù)架構(gòu)500可以包括管理和分析能力588���。管理和分析能力588可以提供與資源如何被使用�����、多久資源被使用等等相關(guān)的信息�。資源可以包括設(shè)備、應(yīng)用��、數(shù)據(jù)等等�。資源如何被使用可以包括哪些設(shè)備下載哪些應(yīng)用、哪些應(yīng)用訪問哪些數(shù)據(jù)等等��。多久資源被使用可以包括多久應(yīng)用已經(jīng)被下載�����、特定數(shù)據(jù)集已經(jīng)被應(yīng)用訪問多少次等等�����。
[0085]圖6是另一個(gè)說明性企業(yè)移動管理系統(tǒng)600���。為了簡單起見����,以上關(guān)于圖5描述的移動管理系統(tǒng)500的組件中的一些組件已經(jīng)被省略。在圖6中示出的系統(tǒng)600的架構(gòu)在很多方面類似于以上關(guān)于圖5描述的系統(tǒng)500的架構(gòu)并且可以包括以上未提到的附加的特征�。
[0086]在這種情況下,左手側(cè)表示具有客戶端代理604的登記移動設(shè)備602�。客戶端代理604可以包括在遠(yuǎn)程或移動設(shè)備上運(yùn)行的代理�。客戶端代理604可以與包括遠(yuǎn)程設(shè)備的云資源的網(wǎng)關(guān)服務(wù)器606進(jìn)行交互��。網(wǎng)關(guān)服務(wù)器606可以用于訪問各種企業(yè)資源608和服務(wù)609 (例如��,交換����、Sharepoint、PKI資源����、Kerberos資源、證書發(fā)行服務(wù)�,如在右手側(cè)上示出的)。盡管未明確示出���,移動設(shè)備602還可以與企業(yè)應(yīng)用商店(店面)進(jìn)行交互用于選擇和下載應(yīng)用。
[0087]客戶端代理604充當(dāng)在企業(yè)數(shù)據(jù)中心中托管的Windows應(yīng)用/桌面的UI (用戶接口)媒介物����,其被使用HDX/ICA顯示遠(yuǎn)程協(xié)議來訪問��?��?蛻舳舜?04還支持在移動設(shè)備602上的本地應(yīng)用(例如本地i0或Android應(yīng)用)的安裝和管理。例如���,在以上附圖中示出的受管應(yīng)用610(郵件����、瀏覽器�、包裝的應(yīng)用)全部是在設(shè)備上本地執(zhí)行的本地應(yīng)用。本架構(gòu)的例如移動體驗(yàn)技術(shù)(MAMP)的客戶端代理604和移動應(yīng)用管理協(xié)議(在下文中縮寫為“MAMP”)起作用以將例如連接性和SS0 (單點(diǎn)登錄)的策略驅(qū)動管理能力和特征提供到企業(yè)資源/服務(wù)608�����?���?蛻舳舜?04處理到企業(yè)(例如到網(wǎng)關(guān)服務(wù)器606組件)的主要用戶認(rèn)證?���?蛻舳舜?04從網(wǎng)關(guān)服務(wù)器606獲得策略以控制在移動設(shè)備602上的MAMP受管的應(yīng)用610的行為����。
[0088]在本地應(yīng)用610和客戶端代理604之間的安全I(xiàn)PC鏈接612表示管理信道�����,其允許客戶端代理提供將由“包裝”每個(gè)應(yīng)用的MAMP框架614實(shí)施的策略�����。在移動設(shè)備602上的支持MAMP的應(yīng)用可以合并MAMP (通過直接鏈接或通過包裝處理)���。因此����,MAMP可以用于管理在移動設(shè)備602上的應(yīng)用�。為了簡潔起見,MAMP本文用于描述用于管理應(yīng)用的協(xié)議�����。然而�����,可以使用提供在移動設(shè)備上的代理的任何協(xié)議�����,該代理可以管理在移動設(shè)備602上的應(yīng)用����,其包括可以從服務(wù)器接收信息以及執(zhí)行對移動設(shè)備602或移動應(yīng)用的診斷的任何代理。IPC信道612還允許客戶端代理604提供實(shí)現(xiàn)到企業(yè)資源608的連接性和SS0的憑證和認(rèn)證信息�����。最后�,IPC信道612允許MAMP框架614調(diào)用由客戶端代理604實(shí)現(xiàn)的用戶接口功能(例如在線和離線認(rèn)證)。
[0089]在客戶端代理604和網(wǎng)關(guān)服務(wù)器606之間的通信本質(zhì)上是來自包裝每個(gè)本地受管應(yīng)用610的MAMP框架614的管理信道的延伸��。MAMP框架614從客戶端代理604請求策略信息�����,客戶端代理604轉(zhuǎn)而從網(wǎng)關(guān)服務(wù)器606請求策略信息��。MAMP框架614請求認(rèn)證��,并且客戶端代理604登錄到網(wǎng)關(guān)服務(wù)器606的網(wǎng)關(guān)服務(wù)部分(也被稱為NetScaler訪問網(wǎng)關(guān))?�?蛻舳舜?04還可以調(diào)用在網(wǎng)關(guān)服務(wù)器606上的支持服務(wù)���,其可以產(chǎn)生輸入材料以獲得本地?cái)?shù)據(jù)倉庫616的加密密鑰�,或提供客戶端證書�,其可以實(shí)現(xiàn)到PKI保護(hù)的資源的直接認(rèn)證,如下文更充分說明的�����。
[0090]更詳細(xì)地說���,MAMP框架614 “包裝”每個(gè)受管應(yīng)用610����。這可以經(jīng)由明確的構(gòu)建步驟或經(jīng)由構(gòu)建后處理步驟來并入�。MAMP框架614可以在應(yīng)用610的第一次啟動時(shí)與客戶端代理604 “配對”以初始化安全I(xiàn)PC信道和獲得關(guān)于該應(yīng)用的策略。MAMP框架614可以執(zhí)行本地應(yīng)用的策略的相關(guān)部分(例如�����,客戶端代理登陸依賴性和限制本地OS服務(wù)可以如何被使用或它們可以如何與應(yīng)用610進(jìn)行交互的遏制策略中的一些)��。
[0091]MAMP框架614可以使用由客戶端代理604通過安全I(xiàn)PC信道612提供的服務(wù)以便利認(rèn)證和內(nèi)部網(wǎng)絡(luò)訪問。專用和共享數(shù)據(jù)倉庫616 (容器)的密鑰管理還可以由受管應(yīng)用610和客戶端代理604之間的適當(dāng)?shù)慕换砉芾?��。倉庫616可以僅僅在在線認(rèn)證以后是可用的��,或可以在離線認(rèn)證之后是可用的(如果策略允許的話)��。倉庫616的首先使用可以要求在線認(rèn)證,并且離線訪問可以限于至多在在線認(rèn)證被再次要求之前的策略刷新周期����。
[0092]到內(nèi)部資源的網(wǎng)絡(luò)訪問可以通過訪問網(wǎng)關(guān)606從單獨(dú)的受管應(yīng)用610直接發(fā)生。MAMP框架614負(fù)責(zé)統(tǒng)籌代表每個(gè)應(yīng)用610的網(wǎng)絡(luò)訪問����。客戶端代理604可以通過提供接著在線認(rèn)證獲得的合適的時(shí)間有限的次級憑證來便利這些網(wǎng)絡(luò)連接��。網(wǎng)絡(luò)連接的多個(gè)模式可以被使用(例如反向網(wǎng)頁代理連接和端到端VPN式隧道618)��。
[0093]郵件和瀏覽器受管應(yīng)用610具有特定的狀態(tài)并且可以使用可能不通?����?捎糜谌我獍b的應(yīng)用的設(shè)施���。例如�,郵件應(yīng)用可以使用特定的后臺網(wǎng)絡(luò)訪問機(jī)制(允許其在延長的時(shí)間段內(nèi)訪問交換,而不需要完全的AG登錄)�。瀏覽器應(yīng)用可以使用多個(gè)專用數(shù)據(jù)倉庫以隔離不同種類的數(shù)據(jù)。
[0094]該架構(gòu)支持各種其它安全特征的并入�。例如,在一些情況下網(wǎng)關(guān)服務(wù)器606 (包括其網(wǎng)關(guān)服務(wù))將不需要驗(yàn)證AD密碼���??梢越唤o企業(yè)來判定是否將AD密碼用作關(guān)于一些情況下一些用戶的認(rèn)證因素��。如果用戶是在線或離線的(即���,連接到網(wǎng)絡(luò)或未連接到網(wǎng)絡(luò))��,則可以使用不同的認(rèn)證方法��。
[0095]提高認(rèn)證是個(gè)特征����,其中網(wǎng)關(guān)服務(wù)器606可以識別托管本地應(yīng)用610����,其被允許訪問要求強(qiáng)認(rèn)證的高度機(jī)密的數(shù)據(jù)���,并且確保到這些應(yīng)用的訪問僅僅在執(zhí)行適當(dāng)?shù)恼J(rèn)證之后被許可,即使這意味著在先前較弱等級的登錄之后用戶需要重新認(rèn)證��。
[0096]該解決方案的另一個(gè)安全特征是在移動設(shè)備602上的數(shù)據(jù)倉庫616 (容器)的加密�����。倉庫616可以被加密�,使得包括文件�����、數(shù)據(jù)庫和配置的所有設(shè)備上數(shù)據(jù)被保護(hù)�����。對于在線倉庫�����,密鑰可以被存儲在服務(wù)器(網(wǎng)關(guān)服務(wù)器)上���,并且對于離線倉庫�,密鑰的本地副本可以由用戶密碼來保護(hù)。當(dāng)數(shù)據(jù)被本地存儲在安全容器616中的設(shè)備602上時(shí)����,優(yōu)選的是,利用至少AES 256加密算法�����。
[0097]其它安全容器特征還可以被實(shí)現(xiàn)�。例如,日志特征可以被包括����,其中,在應(yīng)用610內(nèi)發(fā)生的所有安全事件被日志并且報(bào)告給后端����。數(shù)據(jù)擦除可以被支持,例如���,如果應(yīng)用610檢測到篡改����,則相關(guān)的加密密鑰可以被用隨機(jī)數(shù)據(jù)來覆蓋,不在文件系統(tǒng)上留下用戶數(shù)據(jù)被破壞的暗示��。屏幕截圖保護(hù)是另一個(gè)特征�����,其中應(yīng)用可以阻止任何數(shù)據(jù)被存儲在屏幕截圖中��。例如�����,密鑰窗口的隱藏屬性可以被設(shè)置為YES���。這可以使得無論什么內(nèi)容當(dāng)前被顯示在將被隱藏的屏幕上��,導(dǎo)致其中任何內(nèi)容將正常存在的空白的屏幕截圖。
[0098]本地?cái)?shù)據(jù)傳輸可以被阻止���,例如��,通過防止任何數(shù)據(jù)被本地傳輸?shù)綉?yīng)用容器之外(例如�,通過將其復(fù)制或發(fā)送其到外部應(yīng)用)����。鍵盤緩存特征可以運(yùn)行以禁用敏感文本字段的自動校正功能���。SSL證書驗(yàn)證可以是可操作的,因此應(yīng)用特別地驗(yàn)證服務(wù)器SSL證書來代替其被存儲在密鑰鏈中�����。加密密鑰生成特征可以被使用����,使得使用由用戶提供的密碼(如果離線訪問被要求)來生成用于加密在設(shè)備上的數(shù)據(jù)的密鑰。如果離線訪問沒有被要求����,則它可以與被隨機(jī)生成并且存儲在服務(wù)器側(cè)上的另一個(gè)密鑰進(jìn)行異或。密鑰導(dǎo)出功能可以運(yùn)行��,使得從用戶密碼生成的密鑰使用KDF (密鑰導(dǎo)出功能�,尤其是PBKDF2),而不是創(chuàng)建它的密碼散列�����。后者使得密鑰易受暴力破解或字典攻擊的影響����。
[0099]此外����,一個(gè)或多個(gè)初始化向量可以被用在加密方法中����。初始化向量將引起相同的加密的數(shù)據(jù)的多個(gè)副本產(chǎn)生不同的密碼文本輸出,阻止重放和密碼分析攻擊兩者����。如果用于加密數(shù)據(jù)的特定的初始化向量是未知的,則這將還阻止攻擊者甚至使用被盜的加密密鑰來解密任何數(shù)據(jù)����。此外,認(rèn)證然后解密可以被使用���,其中應(yīng)用數(shù)據(jù)僅僅在用戶在應(yīng)用內(nèi)被認(rèn)證之后被解密�。另一個(gè)特征可能涉及存儲器中的敏感數(shù)據(jù)����,僅僅當(dāng)其被需要時(shí)其可以被保持在存儲器中(并且不在磁盤中)��。例如,登錄憑證可以在登錄之后被從存儲器擦除���,并且加密密鑰和objective-C實(shí)例變量內(nèi)部的其它數(shù)據(jù)不被存儲�,因?yàn)樗鼈兛梢员蝗菀椎匾?���。相反,存儲器可以被手動分配用于這些�。
[0100]不活動超時(shí)可以被實(shí)現(xiàn),其中�����,在不活動的策略定義的周期之后����,用戶會話被終止。
[0101]可以以其它方式阻止MAMP框架614的數(shù)據(jù)泄露�����。例如����,當(dāng)應(yīng)用610被放置在后臺中時(shí)�,在預(yù)定(可配置的)時(shí)間段之后可以清除存儲器��。當(dāng)被作為后臺時(shí)��,可以獲得應(yīng)用的最后顯示的屏幕的快照以加快前臺設(shè)置進(jìn)程��。屏幕截圖可以包含機(jī)密數(shù)據(jù)并且因此應(yīng)該被清除���。
[0102]另一個(gè)安全特征涉及使用0ΤΡ (—次性密碼)620����,而不使用訪問一個(gè)或多個(gè)應(yīng)用的AD(活動目錄)622密碼���。在一些情況下�,一些用戶不知道(或不被許可知道)他們的AD密碼��,因此這些用戶可以使用0ΤΡ 620來認(rèn)證��,例如通過使用類似于SecurlD的硬件0ΤΡ系統(tǒng)(0ΤΡ可以由不同的供應(yīng)商來提供�����,也例如Entrust或Gemalto)��。在一些情況下�����,在用戶使用用戶ID進(jìn)行認(rèn)證之后�,文本被發(fā)送到具有0ΤΡ 620的用戶。在一些情況下�,這可以被實(shí)現(xiàn)僅僅用于在線使用(其中提示是單個(gè)字段)。
[0103]離線密碼可以被實(shí)現(xiàn)用于這些應(yīng)用610的離線認(rèn)證�����,對于其����,經(jīng)由企業(yè)策略許可離線使用。例如���,企業(yè)可以想要以這樣的方式來訪問StoreFront����。在這種情況下���,客戶端代理604可以要求用戶設(shè)置定制離線密碼�,并且AD密碼不被使用。網(wǎng)關(guān)服務(wù)器606可以提供策略以控制和實(shí)施關(guān)于最小長度�、字符類組成和密碼使用年限的密碼標(biāo)準(zhǔn)(例如通過標(biāo)準(zhǔn)Windows服務(wù)器密碼復(fù)雜度要求描述的,盡管這些要求可以被修改)����。
[0104]另一個(gè)特征涉及實(shí)現(xiàn)特定應(yīng)用610的客戶端側(cè)證書作為次級證書(為了經(jīng)由MAMP微VPN特征訪問PKI保護(hù)的web資源的目的)。例如���,例如OWorkMai 1的應(yīng)用可以利用這樣的證書�����。在這種情況下��,使用ActiveSync協(xié)議的基于證書的認(rèn)證可以被支持���,其中,來自客戶端代理604的證書可以由網(wǎng)關(guān)服務(wù)器606檢索并且用在密鑰鏈中��。每個(gè)托管應(yīng)用可以具有由在網(wǎng)關(guān)服務(wù)器中定義的標(biāo)簽識別的一個(gè)相關(guān)的客戶端證書��。
[0105]網(wǎng)關(guān)服務(wù)器606可以與企業(yè)專用web服務(wù)進(jìn)行交互以支持客戶端證書的發(fā)行以允許相關(guān)的托管應(yīng)用認(rèn)證到內(nèi)部PKI保護(hù)的資源�����。
[0106]客戶端代理604和MAMP框架614可以被增強(qiáng)以支持獲得和使用到內(nèi)部PKI保護(hù)的網(wǎng)絡(luò)資源的認(rèn)證的客戶端證書。多于一個(gè)證書可以被支持��,例如以匹配各種等級的安全和/或分離要求����。證書可以由郵件和瀏覽器托管應(yīng)用來使用�,并且最終由任意包裝的應(yīng)用來使用(提供的這些應(yīng)用使用web服務(wù)式通信模式,其中對于MAMP框架調(diào)解https請求是合理的)���。
[0107]對于每個(gè)使用周期���,對1S的MAMP客戶端證書支持可以依賴于將PKCS12BL0B (二進(jìn)制大對象)導(dǎo)入到每個(gè)托管應(yīng)用中的1S密鑰鏈中。MAMP客戶端證書支持可以將HTTPS實(shí)現(xiàn)與專用存儲器中的密鑰儲存一起使用����。除了可能在被強(qiáng)保護(hù)的“僅僅在線”數(shù)據(jù)值中以外,客戶端證書將永遠(yuǎn)不出現(xiàn)在1S密鑰鏈中并且將不被持續(xù)�。
[0108]相互SSL還可以被實(shí)現(xiàn)以通過要求移動設(shè)備602被認(rèn)證到企業(yè)來提供附加的安全,并且反之亦然�����。用于到網(wǎng)關(guān)服務(wù)器606的認(rèn)證的虛擬智能卡還可以被實(shí)現(xiàn)���。
[0109]有限的和完全的Kerberos支持兩者可以是附加的特征���。完全的支持特征涉及使用AD密碼或受信任的客戶端證書進(jìn)行完全Kerberos登錄到AD 622并且獲得Kerberos服務(wù)票據(jù)以響應(yīng)于HTTP協(xié)商認(rèn)證挑戰(zhàn)的能力���。有限的支持特征涉及AGEE中的約束委派,其中AGEE支持調(diào)用Kerberos協(xié)議轉(zhuǎn)換����,因此它可以獲得和使用Kerberos服務(wù)票據(jù)(受到約束委派)以響應(yīng)于HTTP協(xié)商認(rèn)證挑戰(zhàn)。該機(jī)制以反向web代理(又稱作CVPN)模式工作��,并且當(dāng)http (但不是https)連接時(shí)以VPN和微VPN模式來代理���。
[0110]另一個(gè)特征涉及應(yīng)用容器鎖定和擦除����,其可以在檢測到越獄或獲得管理員權(quán)限時(shí)自動發(fā)生�,并且作為來自管理控制臺的推送的命令而發(fā)生,并且可以包括遠(yuǎn)程擦除功能(甚至當(dāng)應(yīng)用610不運(yùn)行時(shí))���。
[0111]StoreFront和應(yīng)用控制器的多站點(diǎn)架構(gòu)或配置可以被支持����,其允許用戶在故障的情況下得到來自若干不同的位置中的一個(gè)的服務(wù)。
[0112]在一些情況下�,受管應(yīng)用610可以被允許經(jīng)由API (示例OpenSSL)訪問證書和專用密鑰。企業(yè)的受信任的受管應(yīng)用610可以被允許利用應(yīng)用的客戶端證書和專用密鑰執(zhí)行特定的公共密鑰操作����。各種使用情況可以被識別并且被相應(yīng)地處理,例如當(dāng)應(yīng)用行為類似瀏覽器并且沒有證書訪問被要求時(shí)�����,當(dāng)應(yīng)用讀取“我是誰”的證書時(shí)����,當(dāng)應(yīng)用使用該證書以構(gòu)建安全會話令牌時(shí)��,并且當(dāng)應(yīng)用使用專用密鑰用于重要數(shù)據(jù)(例如��,事務(wù)日志)的數(shù)字簽名或用于臨時(shí)數(shù)據(jù)加密時(shí)���。
[0113]使用代理安全訪問資源
[0114]圖7示出了具有客戶端設(shè)備705����、代理設(shè)備710、資源720和/或認(rèn)證服務(wù)715的說明性系統(tǒng)�。圖8示出了客戶端設(shè)備705和代理設(shè)備710的說明性詳細(xì)視圖。這些元件可以實(shí)現(xiàn)本文描述的一個(gè)或多個(gè)方面�。利用下文提供的附加的示例現(xiàn)在將提供這些方面的簡要概述?�?蛻舳嗽O(shè)備705可以使用代理設(shè)備710與一個(gè)或多個(gè)資源720和/或認(rèn)證服務(wù)715進(jìn)行通信����。在一些方面,客戶端設(shè)備705可能不被配置為與資源720和/或認(rèn)證服務(wù)715直接進(jìn)行通信�。例如,客戶端設(shè)備705和資源720可以使用不同的認(rèn)證和/或通信協(xié)議�。代理設(shè)備710可以在這些不同的協(xié)議之間進(jìn)行轉(zhuǎn)化。附加地或可選地���,代理設(shè)備710可以提供附加的益處(如將在下文示例中描述的)��。
[0115]客戶端設(shè)備705可以將對資源720 (例如�����,文檔���、電子郵件���、服務(wù)、文件等等)的請求發(fā)送到代理設(shè)備710�。代理設(shè)備710可以將該請求轉(zhuǎn)發(fā)到資源720,并且作為響應(yīng)�����,代理設(shè)備710和資源720之間的認(rèn)證可以被發(fā)起��。在認(rèn)證期間的一個(gè)或多個(gè)點(diǎn)�����,資源720可以請求例如來自客戶端證書的簽名��。代理設(shè)備710可能不直接訪問客戶端證書�,因此代理設(shè)備710可以在認(rèn)證過程中涉及客戶端設(shè)備705 (例如如果客戶端設(shè)備705控制到客戶端證書的訪問)��。例如���,代理設(shè)備710可以請求客戶端設(shè)備705使用客戶端證書(或包括在其中的私人密鑰)對認(rèn)證消息進(jìn)行簽名或解密����,或返回可用的安全證書的列表或特定的安全證書的用戶的選擇。
[0116]代理設(shè)備710可以給客戶端設(shè)備705提供環(huán)境信息����,其識別在代理設(shè)備710和資源/認(rèn)證服務(wù)器之間的認(rèn)證會話。例如并且如將在下文示例中進(jìn)一步詳細(xì)描述的�����,環(huán)境信息可以識別在代理設(shè)備710和資源720和/或代理設(shè)備710和認(rèn)證服務(wù)715之間交換(或?qū)⒔粨Q)的認(rèn)證信息的數(shù)據(jù)結(jié)構(gòu)���?����?蛻舳嗽O(shè)備705可以使用環(huán)境信息以驗(yàn)證或以其它方式確認(rèn)代理設(shè)備710和資源/認(rèn)證服務(wù)器之間的認(rèn)證會話�����。一旦環(huán)境信息通過驗(yàn)證��,則客戶端設(shè)備705可以將請求的簽名提供給代理設(shè)備710���,并且代理設(shè)備710可以完成與資源720和/或認(rèn)證服務(wù)715的認(rèn)證。然后�����,代理設(shè)備710可以獲取客戶端設(shè)備705請求的資源并且將其提供給客戶端設(shè)備705。
[0117]客戶端設(shè)備705可以包括終點(diǎn)設(shè)備�����、客戶端計(jì)算機(jī)107或109��、終端240�����、客戶端計(jì)算機(jī)411-414���、移動設(shè)備502��、移動設(shè)備602或任何其它設(shè)備中的任何一個(gè)。例如���,移動設(shè)備可以包括智能電話��、平板電腦等等中的任何一個(gè)�����。一個(gè)或多個(gè)應(yīng)用可以在客戶端設(shè)備705上運(yùn)行�����。應(yīng)用可以期望訪問被保護(hù)的資源(例如企業(yè)資源)�����,并且包括在該應(yīng)用(或其它應(yīng)用)中的模塊可以促進(jìn)訪問這些被保護(hù)的資源���。例如并且參考圖8�,在客戶端設(shè)備705上