管理設備上的應用執(zhí)行和數據訪問的制作方法
【專利摘要】這里所描述的內容的一些方面涉及管理移動設備上的應用執(zhí)行和數據訪問��。從與設備上的第一周邊相關聯的應用接收用于訪問數據的請求����。該數據與設備上的不同的第二周邊相關聯,并且具有數據類型�����?���;跀祿愋痛_定與第一周邊相關聯的管理策略準許應用訪問數據,而與指派給第二周邊的不同的第二管理策略無關���?����;谠摯_定���,向應用提供對數據的訪問。
【專利說明】管理設備上的應用執(zhí)行和數據訪問
【技術領域】
[0001 ] 本公開涉及管理設備上對應用的執(zhí)行和對數據的訪問�。
【背景技術】
[0002]通信設備可以包括數據、應用和網絡資源����,其可訪問性由安全協議來控制���。例如,用戶賬戶�����、管理權���、密碼保護、數據庫管理等可以由不同的實體(例如���,企業(yè)���、個體等)來管理或者與不同的實體相關聯。
【專利附圖】
【附圖說明】
[0003]圖1是示出了示例數據通信系統的示意圖���。
[0004]圖2是示出了示例移動設備的示意圖�����。
[0005]圖3是示出了對移動設備上的資源的示例性使用的示意圖�����。
[0006]圖4是示出了用于管理移動設備上的數據訪問的示例性過程的流程圖���。
[0007]各個附圖中的相同的附圖標記和標志指示相似的元素��。
【具體實施方式】
[0008]本公開中使用的周邊(perimeter)通常是指具有公共管理方案的資源組���,并且每一個周邊通常包括一個或多個資源、以及與一個或多個資源的使用或者對一個或多個資源的訪問有關的一個或多個策略�����。周邊可以在包括設備的數據通信系統上實現���,并且可被用于在邏輯上分隔設備上的信息(例如����,文件�、應用、證書�、配置數據、網絡連接�、數據等)�。例如�,設備可以實現兩個或更多個周邊,這些周邊可以包括個人周邊�、企業(yè)或工作周邊、這些和其它類型的周邊的任何適當的組合�。在一些實施例中,設備可以包括多個個人周邊�����、多個企業(yè)周邊��、或者這二者����。個人周邊可以由設備用戶管理��,而企業(yè)周邊可以由企業(yè)或公司管理者管理�����。在一些實現中�����,企業(yè)或公司管理者可以另外管理個人周邊或設備或者這二者。由企業(yè)�����、雇主或公司購買����、擁有、或以其它方式提供的設備通??梢苑Q作公司負責設備,而由員工或個體購買的���、擁有或以其它方式提供的設備通??梢苑Q作個人負責設備或個體負責設備��。
[0009]在一些實現中����,設備上的每一個周邊在設備上具有其自己的文件系統,并且可以通過設備上文件系統的分隔來至少部分地提供周邊之間的分隔�����。在一些情況下,每一個周邊的資源中的一些(例如�,數據和策略)被存儲在周邊的專用文件系統中,而每一個周邊的其它資源(例如��,應用)被存儲在專用文件系統之外�����。
[0010]文件系統的分隔可以是邏輯的��、物理的或者這二者��。例如����,可以通過針對每一個文件系統指定在物理上分隔的存儲位置(例如,分隔的存儲設備���、或者相同的存儲器中的分隔塊)來實現文件系統的物理分隔。例如��,可以通過針對每一個文件系統指定在邏輯上分隔的數據結構(例如�,分隔的目錄等)來實現文件系統的邏輯分隔。在一些實現中���,每一個文件系統具有其自己的加密參數�。例如�,公司周邊的文件系統可以具有其自己的加密密鑰和較高的加密強度,而個人周邊的文件系統可以具有其自己的加密密鑰和較低的加密強度���。在一些實例中���,個人周邊的文件系統具有與公司周邊相同的加密強度,或者個人周邊的文件系統可以是非加密的��。
[0011]如上所述��,周邊可以包括共享公共管理方案的資源組�����,其中����,公共管理方案管理對組中的資源的使用,并且周邊可以包括資源以及描述可以如何使用資源的管理策略���。管理策略可以包括針對周邊規(guī)定的安全限制�����?�?捎稍O備運行的應用可以包括當被執(zhí)行時請求訪問其它資源或者向其它應用提供資源(或者這二者)的資源�。對于被指派給周邊或者與周邊相關聯的應用,應用中包括的資源可被包括在周邊中包括的資源組中�����。此外��,針對周邊規(guī)定的安全限制可以將應用限制到組中包括的資源����。因此,當在周邊中運行應用時��,周邊的管理策略中包括的安全限制可以確定與應用相關聯的資源是否可以訪問其它資源��,例如�,組中包括的資源或者組之外的資源(或者這二者)���,或者是否授予對其它應用的訪問權限,該其他應用例如被指派給周邊或者與周邊相關聯的應用或者未被指派給周邊或者與周邊不相關聯的應用(或者這二者)。
[0012]當資源(例如�����,應用)“進入(launch into) ”周邊時��,在周邊中對應用的實例進行實例化�。應用所進入的周邊的管理策略可以至少部分地確定應用可以訪問或執(zhí)行哪些資源(例如��,數據資源�、網絡資源等)���。因此,當應用的實例在周邊中運行時���,至少部分地基于周邊的管理策略來確定針對應用的實例的許可(permission)。對于一些應用����,可以至少部分地基于其它周邊的策略來確定對周邊之外的資源的訪問。
[0013]在一些實現中����,安全周邊可以從操作系統級一直到用戶界面對不同類別的數據(例如,工作數據��、個人數據等)進行劃分或分隔��。因此��,周邊架構可以在操作系統級��、文件級��、用戶界面級�����、以及設備的其它級提供對數據的保護��。在一些情況下���,安全周邊可以確保不同類別的數據�、應用和用戶體驗之間的完全分隔���,同時如果需要還允許不同類別的數據在相同的應用中共存并且共享數據。安全周邊可以允許“混合應用”��,例如���,顯示個人電子郵件和公司電子郵件二者的統一收信信箱��。在一些實例中����,可以將應用限制于相應的周邊場景(例如����,“工作”或“個人”周邊場景)。例如����,社交網絡應用可以被配置為僅在個人周邊中出現。在一些實例中�����,相同應用的不同實例可以在多個周邊中運行��。例如�����,設備可以具有針對用戶的個人賬戶在的個人周邊中運行的社交網絡應用(例如,Facebook��、Twitter等)的實例��,并且設備可以具有針對用戶的單位或用戶的公司賬戶在公司周邊中運行的相同的社交網絡應用的實例�。
[0014]設備可以包括安裝在數據通信系統中包括的設備上并且可以由該設備運行的各種類別的應用。系統提供對可以通過設備得到的數據的不同程度的安全訪問�。在一些實例中,在控制訪問環(huán)境中��,每一個應用在安裝在設備上的一個或多個周邊中是可執(zhí)行的�����,該控制訪問環(huán)境由用戶選擇或企業(yè)策略(或者這二者的組合)規(guī)定和限定(scope)�����。在一些實現中����,相同應用的多個版本可以安裝在相應周邊中,在相應的周邊中,每一個版本是可執(zhí)行的�����,并且被授予對相應周邊中的數據的訪問權限�����。一些應用可以在未被關聯到任何周邊的情況下被安裝�,從而允許該應用在該應用所進入的周邊中運行并且訪問該周邊中的數據����。一些應用可被執(zhí)行以同時訪問多個周邊。在一些實現中��,可以在具有擴展應用對周邊之外的數據的訪問的能力的周邊中安裝應用�����。
[0015]用戶偏好可以限定要向在設備上的一個或多個周邊或安全限制中執(zhí)行的應用授予的能力和許可�����。例如����,可以配置針對設備加密�、安全數字(SD)卡加密����、密碼超時、對針對照相機訪問的許可進行限制等的用戶偏好�����。類似地�,企業(yè)策略可以限定與設備上的數據管理有關的規(guī)則、密碼規(guī)則等��。在用戶偏好與企業(yè)策略之間���,設備可以執(zhí)行較嚴格的規(guī)則�。例如����,如果企業(yè)策略需要SD加密但是用戶偏好未指定這種加密,則設備可以執(zhí)行SD卡加密��。類似地��,如果企業(yè)策略建立至少5分鐘的空閑時間并且用戶偏好設置2分鐘的超時,則設備可以執(zhí)行用戶偏好而不是企業(yè)策略����。通過這種方式,可以對設備執(zhí)行精細控制�,以通過應用規(guī)則和用戶選擇來影響設備功能。由設備平臺在不了解應用開發(fā)者的情況下執(zhí)行的這種粒度的控制可以使設備平臺呈現出靈活性��,同時維持設備安全性�����。
[0016]圖1是示出了示例性數據通信系統100的示意圖��。示例性數據通信系統100包括設備102���、企業(yè)網絡104a、以及一個或多個其它網絡104b����。根據其它實施例的數據通信系統可以視情況包括其他的、不同的或更少的特征�。圖1中的示意圖還示出了用戶106a、106b����、設備所有者105�、以及管理者108a��、108b��、108c進行的交互��。在一些情況下�,設備所有者105可以是用戶106a或106b、工商企業(yè)���、或另一實體之一���。在各種實現中,其他的����、不同的或更少的實體可以視情況與數據通信系統進行交互。
[0017]設備102可以是任何適當的計算設備�����。通常���,計算設備包括計算機可讀介質和數據處理裝置�。計算機可讀介質可以包括被配置為存儲機器可讀信息的任何適當的存儲器、磁盤����、存儲設備或者其它裝置。計算機可讀介質可以存儲可以由數據處理裝置執(zhí)行的指令���。數據處理裝置可以包括被配置為基于機器可讀指令來執(zhí)行操作的任何適當的處理器�����、控制器、電路或者其它裝置���。數據處理裝置可以包括可編程處理器�、數字邏輯電路�、固件、或任何其它適當的設備����。計算機可讀介質可以包括單個介質或多個介質,并且數據處理裝置可以包括單個裝置或多個裝置�。計算機可讀介質可以是傳播的信號��,可以通過編碼處理將這里描述的操作編碼在該信號中���。
[0018]示例性設備102能夠操作以經由用戶界面(例如圖形用戶界面或任何其它適當的用戶界面)從用戶接收請求。如圖1所示��,設備102被可通信地耦合到企業(yè)網絡104a和一個或多個其它網絡104b��。示例性設備102能夠操作以接收�、發(fā)送、處理和存儲任何適當的數據����。例如,設備102可以包括智能電話����、平板計算機、個人計算機��、膝上型計算機�����、個人數字助理(PDA)��、或其它類型的設備。設備102可以包括輸入設備(例如��,鍵盤���、觸摸屏���、鼠標、或可以接受信息的其它設備)和傳遞與資源的操作相關聯的信息的輸出設備(例如����,顯示屏)。輸入設備和輸出設備都可以包括用于通過顯示器從用戶接收輸入并且向用戶提供輸出的固定或可拆卸的存儲介質(例如��,存儲器等)���。
[0019]如圖1所示,設備102可以包括三個示例性周邊110a�����、110b��、以及I IOc (無論單獨地還是共同地都稱為“周邊110”)��。每一個周邊110包括數據112、網絡訪問資源114�、一個或多個應用116、一個或多個配置文件118�����、以及一個或多個策略120����。周邊110可以僅包括所示出的資源的子集,或者周邊110可以包括其他的或不同的資源����。
[0020]示例性周邊110可以在邏輯上分隔資源(例如,應用��、數據�����、網絡訪問資源����、配置文件等),使得在一些實例中���,可以防止給定周邊中的資源訪問不同周邊中包括的資源�。例如,可以防止一個周邊中的個人資源訪問另一周邊中的公司資源�,反之亦然。在一些情況下���,企業(yè)可以在不干擾單個用戶設備上的用戶的個人體驗的情況下在相同設備上擴展受保護的周邊����。周邊還可以準許對資源的跨周邊訪問���??梢酝ㄟ^向每一個周邊限定策略���、向每一個周邊指派策略或以其它方式將策略關聯到每一個周邊����,來控制對周邊資源的訪問��。
[0021]可以使用任何適當的信息以任何適當的格式實現針對周邊的策略�����。策略可以指定對可以由(在周邊中運行的)內部應用訪問的(另一周邊中的)外部資源和可以由外部應用訪問的內部資源二者的訪問����。例如,給定周邊的策略可以標識可以訪問的其它周邊�、不可由其它周邊訪問的內部資源、或者這二者���。周邊的策略可以標識可以訪問或不可以訪問周邊中指定資源的特定用戶�����。在一些實現中���,來自兩個周邊的策略確定是否授予跨周邊訪問的許可,或者如果存在沖突��,則可以應用最嚴格的策略�����。在一些實現中����,針對一個周邊的策略確定授予該周邊中的應用對另一周邊中的數據的訪問權限��。例如�����,可以授予第一周邊中的應用對第二周邊中的數據的訪問權限��,而與第二周邊的策略無關��。
[0022]周邊架構實現了計算資源的邏輯分隔�����,使得可以控制周邊之間的數據傳送和對其它周邊的資源的訪問���。資源可以包括應用、文件系統��、網絡訪問�����、或其它計算資源�。除了實現對周邊中的資源的訪問之外,示例性數據通信系統100還可以包括標識周邊中的資源可以訪問的特定外部資源的策略。執(zhí)行周邊構思的示例性數據通信系統100可以管理無縫用戶體驗����。
[0023]周邊110可以包括密碼保護�、加密、以及用于控制對被指派給周邊的資源的訪問的其它過程���。周邊110可以是由設備所有者����、用戶���、管理者等產生的�。在一些示例中�,周邊IlOa可以是針對用戶106a創(chuàng)建并且由用戶106a管理的個人周邊。在一些示例中�,周邊IlOb可以是由管理者108b針對企業(yè)創(chuàng)建的企業(yè)周邊,并且可以由遠程管理服務器來管理����。此外,給定周邊可以由設備所有者105�����、用戶、管理者��、或任何適當的組合來訪問����。在一些實現中,每一個周邊可以與單個用戶相關聯�����,并且至少一些用戶可以訪問多個設備周邊�����。例如����,第一用戶106a可以訪問周邊IlOa和周邊IlOb 二者中的資源,第二用戶106b可以僅有權訪問周邊110c��。
[0024]在一些實例中��,可以添加�����、刪除或修改相應周邊。設備所有者105可以有能力添加或從設備102移除相應周邊110��。在一些實現中��,用戶可以創(chuàng)建周邊���。在一些實例中,與企業(yè)網絡104a相關聯的組織可以向設備發(fā)送標識新周邊的初始資源(例如�,應用、策略���、配置等)的信息��。周邊管理者可以指派針對周邊的策略�,并且發(fā)起周邊更新����。在一些實現中,周邊管理者可以在遠程鎖定和/或擦除周邊��。
[0025]可以在設備102上在任何適當的存儲器或數據庫模塊中存儲信息�。示例性存儲器包括易失性存儲器和非易失性存儲器��、磁性介質�、光學介質�����、隨機存取存儲器(RAM)�、只讀存儲器(ROM)、可拆卸介質等�����。數據112可以包括任何適當的信息�。設備102可以存儲各種對象,包括:文件����、類(class)、框架�����、備份數據����、商業(yè)對象����、工作����、網頁、網頁模板�、數據庫表格、存儲商業(yè)信息或動態(tài)信息的知識庫��、以及包括任何參數��、變量���、算法、指令�、規(guī)則、約束����、對其的引用的任何其它適當的信息。數據112可以包括與應用�、網絡、用戶相關聯的信息����、以及其它信息����。
[0026]網絡訪問資源114可以包括用于準許訪問網絡的任何適當的參數��、變量�、策略、算法��、指令�、設置、或規(guī)則��。例如�����,網絡訪問資源114a可以包括或標識用于訪問企業(yè)網絡104a的防火墻策略���。作為另一示例���,網絡訪問資源114b可以包括或標識用于訪問一個或多個其它網絡104b的賬戶數據。在一些實現中���,網絡訪問資源包括或以其它方式標識以下各項中的一項或多項:用戶名���、密碼�、安全令牌���、虛擬專用網(VPN)配置�、防火墻策略��、通信協議��、力口密密鑰證書等�����。
[0027]應用116可以包括可執(zhí)行�����、改變���、刪除、生成或處理信息的任何適當的程序�、模塊��、腳本����、過程或其它對象����。例如,應用可被實現為企業(yè)Java組件(^Enterprise Java Bean,EJB)�。設計時的組件可以有能力將執(zhí)行時的實現生成到不同的平臺中,這些平臺例如是J2EE(Java2平臺����,企業(yè)版)、ABAP (高級商業(yè)應用編程)對象�、或微軟的.NET。此外����,雖然被示出為在設備102之內,但是可以在遠程存儲���、引用或執(zhí)行與應用116相關聯的一個或多個過程���。例如��,應用116的一部分可以是針對在遠程執(zhí)行的網站服務的接口���。此外,應用116可以是另一軟件模塊(未示出)的次模塊或子模塊�。
[0028]配置文件118可以包括用于配置設備102的軟件的任何適當的參數、變量����、策略、算法���、指令����、設置�����、或規(guī)則�����。例如�,配置文件118可以包括標識一個或多個應用116的設置的表格。在一些實現中��,配置文件118標識一個或多個應用116和其它類型的應用的初始設置�����,例如���,操作系統設置����?�?梢酝ㄟ^任何適當的格式來書寫配置文件118�,例如ASCII和面向行等。
[0029]策略120可以包括用于啟用或防止對一個或多個周邊中的資源的訪問的任何參數�����、變量�、策略、算法�����、指令、設置�、或規(guī)則。例如�����,策略120a可以標識在周邊IlOa之外的可以由周邊IlOa中的資源訪問的資源��。給定周邊的策略可以包括或以其它方式標識周邊的可訪問性(通常是周邊中的特定資源的可訪問性)���、周邊中的資源訪問其它周邊的能力����、以及其它可訪問性信息�����。策略可以指定用戶的可訪問性�����、動作類型�����、時間段等��。在一些實現中���,策略可以標識周邊的��、可以由外部資源訪問的特定資源�。例如���,針對周邊IlOa的策略120a可以指示另一周邊IlOb中的特定應用可以或不可以訪問第一周邊IlOa中的數據或資源�����。作為另一示例�,針對周邊IlOa的策略120a可以指示其它周邊IlOb或IlOc中的任意應用可以或不可以訪問第一周邊IlOa中的數據或資源���。
`[0030]在一些實現中����,策略120可以限定或以其它方式標識用戶認證過程���。例如�����,策略120可以標識用戶認證的類型和內容(例如����,密碼強度、生命周期)�,以應用于跨周邊請求。當用戶提供對多個周邊的訪問的請求時����,可以由雙方周邊的策略來評估請求。在一些實例中�����,如果雙方策略授予訪問權限���,則可以批準跨周邊請求���。策略可以標識或包括用于確定可以由不同周邊中的外部資源使用哪些網絡訪問資源的信息。
[0031]設備102可以連接到多個網絡���,例如����,企業(yè)網絡104a和其它網絡104b�����。企業(yè)網絡104a可以包括無線網絡�����、虛擬專用網�����、有線網絡�、或任何適當的網絡。企業(yè)可以是公司或商業(yè)實體����、政府機構、非營利機構���、或任何其它組織�����。企業(yè)可以是設備所有者105�����。企業(yè)還可以租用設備102或者可以雇傭負責維護��、配置�����、控制或管理設備102的承包商或代理��。其它網絡104b可以包括可由用戶訪問的任何適當的網絡��。例如�����,其它網絡可以包括用戶具有賬戶的公共網絡����、專用網絡、自組織網絡、或其它類型的網絡����。在一些情況下,其它網絡104b包括蜂窩數據網絡���。在一些情況下����,其它網絡104b包括用戶的家庭網絡�����。
[0032]網絡104a和104b促進與設備102的通信����。網絡104a和104b中的任意一個可以例如在網絡地址之間傳送互聯網協議(IP)分組�����、幀中繼幀�����、異步傳輸模式(ATM)信元�、語音�、視頻�����、數據和其它適當的信息��。此外��,雖然企業(yè)網絡104a和其它網絡104b均被示出為單個網絡����,但是每一個網絡可以包括多個網絡,并且可以提供對其他網絡的訪問�����。簡言之���,企業(yè)網絡104a和其它網絡104b可以包括被配置為與設備102進行通信的任何適當的網絡。[0033]圖2是示出了包括顯示器202����、可選擇的鍵盤204和其他特征的示例性移動設備200的示意圖。設備可以包括其他的或不同的特征?���?梢栽谠O備200上安裝分層次的應用?���?梢杂稍O備200執(zhí)行各個應用,以共同地提供對可以通過設備200得到的數據的不同程度的安全訪問�。可以對該分層次的應用進行歸類�,以包括單周邊應用(例如��,由對象206a和206b表示����,其可以包括例如圖形圖標)、雙周邊應用(例如���,由對象210a和210b表示)�����、以及混合應用(例如����,由對象208和209表示)。
[0034]當將單周邊應用安裝在設備200上時�,可以將單周邊應用指派給特定周邊或者與特定周邊相關聯,例如��,個人周邊或企業(yè)周邊�����。因此���,由在安裝時將應用指派所至的周邊來確定單周邊應用的許可和訪問授權���。如果在安裝時將應用指派給個人周邊或者與個人周邊相關聯,則可以在個人周邊IlOa中顯示表示應用的對象206a��。作為另一示例����,如果在安裝時將應用指派給企業(yè)周邊或者與企業(yè)周邊相關聯,則可以在企業(yè)周邊IlOb中顯示表示應用的對象206b��。應用可以受制于由企業(yè)管理者設置的宏觀層面的周邊規(guī)則和微觀層面的應用規(guī)則�����。企業(yè)管理者可能不希望用戶安裝的應用(例如,惡意軟件等)訪問企業(yè)網上的資源���,而是可以向特定的其它可靠的應用授予對企業(yè)網絡的訪問權限�����。
[0035]通過周邊來限定的安全限制可以防止單周邊應用訪問未被指派給應用所指派至的相同周邊或者與該相同周邊相關聯的數據���。在一些實現中,可以在設備200上安裝相同的單周邊應用的兩個版本——指派給個人周邊的個人版本和指派給企業(yè)周邊的企業(yè)版本����。例如�,可以從指派給個人周邊的多個應用中下載應用的個人版本,并且類似地可以從指派給企業(yè)周邊的多個應用中下載企業(yè)版本�����。在這些實現中��,對象206a和對象206b可以分別同時顯不在周邊I IOa和周邊IlOb中��。個人版本和企業(yè)版本分別僅在個人周邊和企業(yè)周邊中是可執(zhí)行的�����。在一些實現中�����,設備200 —次只可以執(zhí)行單周邊應用的一個實例��。也即是說�,設備200可以被配置為不允許同時執(zhí)行單周邊應用的個人版本和企業(yè)版本二者�����?���?梢员粚崿F為單周邊應用的應用的示例包括游戲應用����、社交網絡應用(例如����,Facebook�����、Twitter等)��、費用報告應用等���。在一個實施例中,任何第三方應用(例如��,由除了設備制造者之外的一方提供的應用)可以實現為單周邊應用。
[0036]第三方應用����,目卩,除了由設備200的制造者提供的應用之外的應用��,可以始終是單周邊應用����。但是���,這些應用不需要是周邊知曉的��,并且可以安裝到個人周邊或企業(yè)周邊�����。當被安裝到個人周邊或企業(yè)周邊時,可以將應用作為可以單獨管理的相同應用的兩個不同實例(即���,個人版本和企業(yè)版本)來進行安裝���。
[0037]另一類基于周邊的應用是雙周邊應用。(在這里�,因為當前示例性實施例包括兩個周邊���,因此使用術語雙周邊����;然而�����,在其它實施例中可以提供多于兩個周邊���,并且可以在這些實施例中使用術語多周邊)��。可以安裝雙周邊應用�,而無需在安裝在設備200上時將其指派給任何特定周邊或者與任何特定周邊相關聯�����。取而代之地��,雙周邊應用可以進入到設備200上的(例如����,兩個或更多個)周邊中的任意周邊中。例如�����,可以將雙周邊應用預先安裝在設備200上,并且可以在個人周邊中或者在企業(yè)周邊中啟動該雙周邊應用���。當在個人周邊中啟動時����,可以在個人周邊IlOa中顯示表示應用的對象210a�����,并且可以授予應用對指派給個人周邊的數據和網絡資源的訪問權限。類似地�,當在企業(yè)周邊中啟動時,可以在周邊IlOb中顯示表示應用的對象210b��,并且應用可以訪問指派給企業(yè)周邊的資源�,例如,數據和網絡資源����。在這個意義上,雙周邊應用可以在啟動時被指派給周邊并且可以在運行時訪問其所指派至的周邊的資源(例如���,數據和網絡資源等)而不是在其所指派至的周邊之外的資源(例如,數據和網絡資源等)����。與單周邊應用類似,設備200可以被配置為不允許在多于一個周邊內同時執(zhí)行雙周邊應用��。換言之,在任何給定時刻�����,設備200可以僅允許在周邊中執(zhí)行雙周邊應用的一個實例����。可以實現為雙周邊應用的應用的示例包括文檔編輯應用(例如��,DocsToGo)、應用分發(fā)應用(例如���,AppWorld)�、文檔閱讀器應用(ADC)BFJgH^讀器)���、圖片應用、視頻應用�、地圖應用��、導航應用等。
[0038]在一些實現中���,如果在周邊中執(zhí)行雙周邊應用,則只能在該周邊而不能在其它周邊中顯示表示該應用的對象����。備選地,可以在所有周邊之外顯示最初表示雙周邊應用的對象�����。響應于從周邊中選擇了對象����,可以在該周邊中執(zhí)行應用����。雙周邊應用的示例可以包括文檔編輯應用����。當在個人周邊中執(zhí)行時����,設備200可以將文檔編輯應用限制為僅訪問個人周邊中的資源而不訪問企業(yè)周邊中的資源���;換言之����,設備200可以將文檔編輯應用限制到個人周邊中的資源,同時不允許訪問企業(yè)周邊中的資源�。相反�,當在企業(yè)周邊中執(zhí)行時�,設備200可以將文檔編輯應用限制到企業(yè)周邊中的資源而不是個人周邊中的資源。
[0039]另一類基于周邊的應用是混合應用�。混合應用可以被配置為同時訪問指派給多個周邊的資源�����。這些應用可以知曉周邊分隔邏輯和周邊運行時狀態(tài),并且當例如由于密碼保護或不活躍而將這些周邊鎖定時���,隱藏(obscure)來自受保護的周邊的數據?���;旌蠎每梢詤^(qū)分源自不同周邊的數據��,并且可以使其對各個數據源的所有訪問保持彼此分隔,從而維持設備200上的周邊分隔的完整性��。由于混合應用可以同時被指派給多個周邊或者與多個周邊相關聯�����,因此可以在所有周邊(例如��,周邊IlOaUlOb)之外顯示表示混合應用的對象(例如,對象208����、209)。
[0040]混合應用的示例可以是可以使用戶能夠管理日歷上的事件的日歷應用���。日歷應用是混合應用��,這是因為它可以訪問來自用戶的個人日歷的數據(即�,與事件有關的數據等)和來自用戶的企業(yè)(即�����,工作)日歷的數據�。為了維持設備200上的周邊分隔的完整性�����,當在一個周邊中執(zhí)行時�,日歷應用可以模糊(obfuscate)指派給另一周邊的數據。也即是說��,如果日歷應用在個人周邊中執(zhí)行以調度個人日歷上的事件����,則日歷應用可以顯示企業(yè)日歷上的沖突事件���,而無需顯示該沖突事件的細`節(jié)。例如����,日歷應用可以在個人日歷中將沖突事件顯示為空白對象。通過這種方式�,混合應用可以提供可統一對源自不同周邊的數據的查看同時為了安全完整性而維持其分隔的功能?���?梢詫崿F為混合應用的應用的示例包括電子郵件應用(例如,統一收信信箱)����、聯系人應用、日歷應用��、統一搜索應用�����、任務/備忘錄應用����、電話應用等�。
[0041]在一些實現中���,應用可以被指派給周邊��,并且具有擴展超出所指派的周邊的能力���。可以向任何適當的應用(包括上文所描述的類別的應用)提供這種擴展能力�����。在一些實例中���,可以認為具有這種擴展能力的應用是不同類別的應用。在一些實現中�����,可以在將應用指派至的周邊中顯示表示應用的對象(例如,周邊I IOa中的對象212a或者周邊I IOb中的對象212b)��。如圖2所示���,可以通過與單周邊應用或雙周邊應用相同的方式來呈現擴展能力的應用�����;或者可以通過不同的方式來呈現擴展能力的應用���。這種應用可以在安裝時被指派給周邊�����,并且可以授予該應用對周邊之外的數據和網絡資源的訪問權限����,以提供有用的功能����。在一些實施例中,擴展能力的周邊應用可以包括由設備的制造商開發(fā)的特定的核心應用����。擴展能力的周邊應用的一些示例包括短消息服務(SMS)應用、電話應用����、呼叫方ID應用�����、社交網絡應用(例如,�����?30613001^�、1¥��;[1^61'等)�����、地圖應用���、導航應用等�。在一些實施例中,擴展能力的周邊應用可以包括需要訪問聯系人的任何應用���。在一些實施例中,擴展能力的周邊應用可以包括由設備的制造商提供的應用����。
[0042]在一些實現中��,擴展能力的應用有權訪問被鎖定的周邊的資源����。當周邊被鎖定時�,與周邊相關聯的數據通常是不可訪問的。在一些實例中�,與一個周邊相關聯的擴展能力的應用可以從另一周邊訪問數據,即使在該另一周邊被鎖定時���。例如�,在一些實現中��,企業(yè)周邊可能由于手動鎖定或者不活躍超時或者其它鎖定觸發(fā)而被鎖定����,并且企業(yè)周邊可以由諸如接收到適當的密碼、手勢�����、生物數據或其它認證令牌等認證過程而被解鎖�����。即使企業(yè)周邊被鎖定,從與企業(yè)周邊相關聯的聯系人接收到輸入呼叫的電話應用也可以訪問與企業(yè)周邊相關聯的聯系人信息�。然后,即使在企業(yè)周邊被鎖定的時�����,電話應用也可以提供與呼叫方有關的呼叫方ID信息�����。
[0043]再次參照圖2��,當設備200在企業(yè)周邊IIOb中存儲聯系人信息時�,設備200可以將聯系人信息指定為可以由電話應用訪問的類型。設備200可以執(zhí)行個人周邊IlOa中的電話應用�����,以接收輸入呼叫����。如果電話應用是擴展能力的周邊應用,則設備200可以執(zhí)行電話應用以訪問指派給企業(yè)周邊IlOb的數據和網絡資源���,而與企業(yè)周邊IlOb的管理策略無關����。這可以允許電話應用在個人周邊IlOa中執(zhí)行��,并且訪問指派給企業(yè)周邊IlOb的聯系人信肩�����、O
[0044]非混合的應用不知曉應用被指派至或者應用被關聯至的周邊����。可以在原本不了解周邊之間的分隔(例如�,個人周邊和企業(yè)周邊)的情況下啟動這些應用?��?梢曰谠趩訒r提供給應用的許可來給予這些應用對應用所需或請求(或者這二者)的數據的訪問權限����。例如�����,可以由應用在安裝時被安裝至的周邊、生效的企業(yè)管理策略�、生效的當前用戶偏好、或者它們的組合中的任意一個來確定許可��。例如��,設備200可以不授予個人應用(即���,指派給個人周邊或與個人周邊相關聯的應用)對工作數據(即���,指派給企業(yè)周邊或者與企業(yè)周邊相關聯的數據)的訪問權限。設備可以授予企業(yè)應用(即����,指派給企業(yè)周邊或者與企業(yè)周邊相關聯的應用)對個人數據(即,指派給個人周邊或者與個人周邊相關聯的數據)的訪問權限��。在另一示例中���,企業(yè)管理策略可以限定允許特定應用訪問特定功能或者特定類型的數據或者它們的組合�����。在另一示例中��,可以設置當前用戶偏好�����,使得可以在工作網絡中使用個人應用���。
[0045]圖3是示出了移動設備對網絡資源的示例性使用的示意圖。圖3中所示的示例性使用可以在不同的時間發(fā)生�����,或者它們可以同時發(fā)生���。在所示的示例中���,設備302被配置為與公司網絡304a和304b以及非公司網絡304c進行通信。公司網絡304a和304b可以包括企業(yè)的虛擬專用網����、企業(yè)的專用W1-Fi網絡、企業(yè)的有線網絡�、由企業(yè)管理的另一網絡。非公司網絡可以包括 例如公眾可訪問的W1-Fi網絡�、蜂窩數據網絡�����、個人無線網絡�����、或者另一種類型的網絡�����。設備302包括企業(yè)周邊306a和個人周邊306b�����。企業(yè)周邊306a包括企業(yè)應用308a和308b����,個人周邊306b包括個人應用308c和308d����。企業(yè)周邊306a包括虛擬專用網數據310和企業(yè)連接數據312a。個人周邊包括其它連接數據312b����。
[0046]設備302可以使用企業(yè)周邊306a的網絡資源來訪問公司網絡304a和304b����,并且該設備可以使用個人周邊306b的網絡資源來訪問非公司網絡304c�。在一些情況下,網絡304a,304b和304c中的每一個可以提供對其它系統的訪問�。例如,網絡304a����、304b和304c中的一個或多個可以為設備302提供互聯網訪問�����。一些網絡可以僅提供對特定服務器�、數據庫或系統的訪問。例如�,公司網絡304a可以僅提供對公司電子郵件服務器的訪問。設備302可以通過物理接口 314的任何適當的組件連接到網絡304a����、304b、以及304c中的任意一個�。例如,連接硬件可以包括針對以下各項的硬件=W1-Fi連接���、蜂窩連接����、藍牙、通用串行總線(USB)���、射頻識別(RFID)�����、近場通信(NFC)�����、或其它連接技術���。
[0047]虛擬專用網數據310提供與公司網絡304a的安全連接。在圖3所示的示例中����,虛擬專用網數據310用于將企業(yè)應用308a的企業(yè)數據業(yè)務路由到公司網絡304a。企業(yè)周邊306a中的企業(yè)連接數據312a提供與公司網絡304b的連接��,并且個人周邊306b中的其它連接數據312b提供與其它網絡304c的連接。在圖3中所示的示例中�,企業(yè)連接數據312a用于將企業(yè)應用308b的企業(yè)數據業(yè)務路由到公司網絡304b,并且企業(yè)連接數據312a還用于將個人應用308c的個人數據業(yè)務路由到公司網絡304b�����。例如�,個人應用308c可以是通過公司網絡304b訪問互聯網的基于網絡的應用(例如,在線游戲����、社交網絡應用)。如圖3所示�,其它連接數據312b用于將個人應用308d的個人數據業(yè)務路由到其它網絡304c。
[0048]在一些實現中��,連接數據312a和312b可以包括加密信息�����、網絡設置和信息��、密碼��、證書�����、以及其它數據�����。每一個周邊可以包括針對應用的策略�、以及周邊之內的網絡資源、周邊之外的網絡資源或者周邊之內的網絡資源和周邊之外的網絡資源���。設備302可以包括允許公司周邊306b中的公司應用訪問個人周邊306b中的數據(例如����,其它連接數據312b�����、或者其它數據)的策略(例如��,指派給企業(yè)周邊306a的策略)����。在一些實例中,可以提供這種訪問�,而與指派給個人周邊306b的策略無關����。類似地��,設備302可以包括允許個人周邊306a中的個人應用訪問企業(yè)周邊306a中的數據(例如���,連接數據312a�����、或其它數據)的策略(例如����,指派給個人周邊306b的策略)�。在一些實例中,可以提供這種訪問��,而與指派給企業(yè)周邊306a的策略無關��。
[0049]圖4是示出了用于管理移動設備上的應用執(zhí)行和數據訪問的示例性過程400的流程圖����。過程400可以由通信系統中的設備來執(zhí)行��。例如,過程可以由如圖1中所示的設備102�����、如圖2中所示的設備200���、如圖3中所示的設備302���、或者另一種類型的系統或模塊來執(zhí)行?���?梢允褂闷渌摹⒏俚幕虿煌牟僮鱽韴?zhí)行圖4中所示的示例性過程400�,其中,可以以所示的順序或者以不同的順序來執(zhí)行這些其他的��、更少的或不同的操作���。在一些實現中,例如,可以重復或迭代操作中的一個或多個,直到達到終止條件為止�����。
[0050]可以在包括多個周邊的設備上執(zhí)行過程400���。例如�����,圍繞第一周邊和第二周邊描述了過程400中的示例性操作�?�?梢酝ㄟ^任何適當的方式來限定和實現周邊�,并且每一個周邊可以包括任何適當的數據、應用���、策略和其它資源��。每一個周邊可以包括其自己的策略或其它數據�,所述策略或數據限定了用于訪問與周邊相關聯的資源的規(guī)則���。例如���,設備上的第一周邊可以包括對用于訪問與第一周邊相關聯的資源(例如,應用����、數據、網絡資源等)的規(guī)則進行限定的第一策略����,第二周邊可以包括對用于訪問與第二周邊相關聯的資源(例如,應用��、數據���、網絡資源等)的規(guī)則進行限定的第二策略�。設備可以包括任意適當數量(例如�,一個、兩個�����、三個�����、四個或者更多個)的周邊����。
[0051]在一些實現中,設備可以包括與設備的用戶相關聯的個人周邊�����。設備可以包括多個個人周邊,并且每一個個人周邊可以與相同的用戶相關聯��,或者它們可以分別與不同的用戶相關聯�����。例如����,多個用戶可以被授權使用該設備,并且每一個用戶可以在設備上具有其自己的個人周邊���。在一些實現中�����,設備包括與企業(yè)(例如��,工商企業(yè)���、公司、合伙企業(yè)或其它企業(yè))相關聯的企業(yè)周邊。例如���,企業(yè)可以擁有設備,并且將設備指派給特定的用戶��。企業(yè)管理者可以建立設備策略���,或者配置設備以供企業(yè)使用����。在一些實例中���,設備包括多個企業(yè)周邊����。每一個企業(yè)周邊可以與相同的企業(yè)相關聯�,或者它們可以分別與不同的企業(yè)相關聯。例如�,用戶可以擁有設備,并且具有針對與其自身相關聯的每一個企業(yè)的周邊���。
[0052]在410����,設備從指派給設備上的第一周邊的應用接收訪問數據的請求。所請求的數據被指派給設備上的不同的第二周邊����,并且具有數據類型。如上所述�,所請求的數據的數據類型可以用于確定指派給第一周邊的應用是否可以訪問指派給第二周邊的數據。第一周邊可以包括計算資源�����,該計算資源可執(zhí)行以控制指派給第一周邊的應用對第一周邊之內或之外的數據的訪問����。第一周邊中的應用可以包括任何適當的應用(例如,日歷��、電子郵件��、游戲�����、工具等)��。可以在將應用安裝到設備上時將該應用指派給第一周邊����。第二周邊可以包括可執(zhí)行以控制對指派給第二周邊的數據的訪問的計算資源。第二周邊中的網絡資源可以包括任何適當的網絡資源(例如�,虛擬專用網絡賬戶、W1-Fi訪問數據等)���。
[0053]可以在將請求的數據存儲到設備上時將請求的數據指派給第二周邊。在一些實現中��,設備200可以響應于從用戶和/或通過網絡接收的輸入��,來執(zhí)行指派給第一周邊(例如�����,個人周邊IlOa)的應用���。當設備200執(zhí)行個人周邊IlOa中的應用時��,該應用可以請求訪問指派給與周邊IlOa不同的第二周邊(例如���,企業(yè)周邊IlOb)的數據。在一些實現中,請求指示所請求的數據的數據類型��。在一些實現中�,可以根據請求的數據來確定數據類型。
[0054]在420��,響應于請求訪問數據的請求�����,設備基于數據類型來確定指派給第一周邊的第一管理策略準許應用訪問所請求的數據���,而與指派給第二周邊的不同的第二管理策略無關�����。指派給第二周邊的第二管理策略可以被配置為拒絕未被指派給第二周邊的應用對所請求的數據的訪問�。例如��,可以將可包括與工作有關的聯系人信息的所請求的數據指派給第二周邊��,即�,企業(yè)周邊110b。指派給第一周邊(即�,個人周邊110a)的第一管理策略可以被配置為準許應用訪問所請求的數據���,而不論指派給企業(yè)周邊IlOb的管理策略如何。在一些情況下�,為了這樣做,設備200可以確定數據是否具有擴展能力的應用可訪問的數據類型并且能夠被擴展能力的應用所消費�。在一些實現中,個人周邊IlOa的管理策略指示可以由特定應用(例如����,電話應用)訪問的特定類型的數據(例如,聯系人信息)�,而與數據被指派至的周邊無關����。
[0055]可以在針對數據的請求中(例如,顯式地或隱式地)指定數據類型����。例如,如果請求指定了文件名����,則可以由文件名擴展、存儲數據的目錄��、或者文件名的其它方面指定數據類型?���?梢栽跀祿旧砘蛘咴谂c數據相關聯的元數據中指定數據類型。在一些情況下�����,可以將電話號碼�、街道地址、電子郵件地址等標記為“聯系人信息”數據類型��。在一些情況下��,可以將與約會和會議等有關的信息標記為“日歷”數據類型��?���?梢酝ㄟ^創(chuàng)建數據的應用的類型、數據的格式���、或其它考慮來確定數據類型�����?����?梢杂稍獢祿?���、文件名擴展、文件格式���、或者另一數據特征來指定數據類型����。
[0056]在430�,響應于確定第一管理策略準許應用訪問所請求的數據��,而與第二管理策略無關��,設備向應用提供對數據的訪問�。在一些實現中,設備200可以基于所請求的數據的數據類型來做出確定����。換言之�,設備200可以確定擴展能力的周邊應用(例如�,電話應用)可以訪問具有該數據類型的數據,而不論數據被指派至的周邊如何�����。相比之下��,不是擴展能力的周邊應用的應用(例如����,單周邊應用或雙周邊應用)被指派至的周邊的管理策略可以限制對具有指派給其它周邊的該數據類型的數據的訪問。當設備200確定請求這種數據類型的數據的應用是擴展能力的周邊應用時����,設備200可以向應用提供對具有該數據類型的所請求的數據的訪問。
[0057]通常����,這里所描述的主題的一些方面可以實現為用于管理移動設備上的應用執(zhí)行和數據訪問的計算機執(zhí)行方法。從指派給設備上的第一周邊的應用接收訪問數據的請求�。該數據被指派給設備上的不同的第二周邊,并且具有數據類型���。響應于接收到該請求����,基于數據類型來確定指派給第一周邊的管理策略準許應用訪問所請求的數據,而與指派給第二周邊的不同的第二管理策略無關�����。響應于該確定����,向應用提供對數據的訪問。
[0058]這些方面和其它方面的實現可以包括以下特征中的一個或多個�。指派給第二周邊的第二管理策略可以被配置為拒絕未被指派給第二周邊的應用對所請求數據的訪問。指派給第一周邊的第一管理策略可以被配置為準許應用訪問所請求數據�,而不論指派給第二周邊的第二管理策略如何?�?梢栽趯冒惭b到設備上時將該應用指派給第一周邊���??梢栽趯⑺埱髷祿鎯υ谠O備上時���,將所請求數據指派給第二周邊。指派給第一周邊的第一管理策略可以被配置為準許指派給第一周邊的應用訪問設備上的個人數據����。所請求數據可以包括與工作有關的聯系人信息��。應用可以是電話應用��?�?梢詮碾娫拺媒邮照埱笤L問與工作有關的聯系人信息的請求���。可以將所請求的與工作有關的聯系人信息提供給電話應用�。第一周邊可以包括可執(zhí)行以控制指派給第一周邊的應用對第一周邊之內或之外的數據的訪問的計算資源。第二周邊可以包括可以執(zhí)行以控制對指派給第二周邊的數據的訪問的計算資源�����。
[0059]已經描述了多個實現�。但是,將理解的是�����,可以進行各種修改����。步驟的順序的其它變形也是可能的���。因此,其它實現落入下面的權利要求的范圍內�。
【權利要求】
1.一種計算機執(zhí)行的方法,包括: 從與設備上的第一周邊相關聯的應用接收對與所述設備上的不同的第二周邊相關聯的數據進行訪問的請求���,其中�����,所述數據具有數據類型���; 基于所述數據類型,確定與所述第一周邊相關聯的第一管理策略準許所述應用訪問所述數據��,而與和所述第二周邊相關聯的不同的第二管理策略無關���;以及 基于所述確定���,向所述應用提供對所述數據的訪問。
2.根據權利要求1所述的方法�,還包括: 配置與所述第二周邊相關聯的所述第二管理策略,以拒絕與所述第二周邊不相關聯的應用對所述數據的訪問���;以及 配置與所述第一周邊相關聯的所述第一管理策略���,以超控與所述第二周邊相關聯的所述第二管理策略并準許所述應用訪問所述數據。
3.根據權利要求1或2所述的方法��,還包括:在將所述應用安裝在所述設備上時�����,將所述應用與所述第一周邊相關聯���。
4.根據前述權利要求中任意一項所述的方法����,還包括:在將所述數據存儲在所述設備上時��,將所述數據與所述第二周邊相關聯�。
5.根據前述權利要求中任意一項所述的方法,還包括:配置與所述第一周邊相關聯的所述第一管理策略�,以準許與所述第一周邊相關聯的應用訪問所述設備上的個人數據,以及其中�,所述數據包括與工作有關的聯系人信息。
6.根據權利要求5所述的方法,其中�����,所述應用是電話應用����,以及所述方法還包括: 從所述電話應用接收訪問所述與工作有關的聯系人信息的請求;以及 提供所請求的與工作有關的聯系人信息���。
7.根據前述權利要求中任意一項所述的方法�,其中�����,所述第一周邊包括能夠執(zhí)行以控制與所述第一周邊相關聯的應用對所述第一周邊之內或之外的數據的訪問的計算資源����,以及所述第二周邊包括能夠執(zhí)行以控制對與所述第二周邊相關聯的數據的訪問的計算資源。
8.根據前述權利要求中任意一項所述的方法��,其中�,向所述應用提供對所述數據的訪問包括:在所述第二周邊被鎖定時向所述應用提供對與所述第二周邊相關聯的數據的訪問。
9.一種設備,包括: 數據處理裝置��;以及 計算機可讀介質,所述計算機可讀介質存儲能夠由所述數據處理裝置執(zhí)行以執(zhí)行根據權利要求1至8中任意一項所述的方法的指令��。
10.一種計算機可讀介質����,所述計算機可讀介質存儲能夠由所述數據處理裝置執(zhí)行以執(zhí)行根據權利要求1至8中任意一項所述的方法的指令��。
【文檔編號】G06F21/62GK103778379SQ201310503089
【公開日】2014年5月7日 申請日期:2013年10月23日 優(yōu)先權日:2012年10月24日
【發(fā)明者】克里斯多佛·萊爾·本德, 崔正賢, 詹森·保羅·弗依, 西瓦庫瑪·納加拉揚 申請人:黑莓有限公司, Qnx軟件系統有限公司