專利名稱:訪問(wèn)管理系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于管理數(shù)據(jù)訪問(wèn)權(quán)限的系統(tǒng)����、方法和相關(guān)聯(lián)的設(shè)備����,以及具體涉及對(duì)存儲(chǔ)在移動(dòng)通信設(shè)備的存儲(chǔ)器中或適于連接到移動(dòng)通信設(shè)備的便攜式存儲(chǔ)設(shè)備上的數(shù)據(jù)的訪問(wèn)權(quán)限的管理�,但不限于此。
背景技術(shù):
基于當(dāng)前的發(fā)展趨勢(shì)看���,與之前各代相比���,新一代的移動(dòng)設(shè)備均將具有改進(jìn)的存儲(chǔ)器存儲(chǔ)能力看起來(lái)是不可避免的。例如�����,可以通過(guò)本地內(nèi)部存儲(chǔ)容量的增加和通過(guò)附著便攜式存儲(chǔ)設(shè)備的能力來(lái)實(shí)現(xiàn)該改進(jìn)的存儲(chǔ)器存儲(chǔ)能力��,便攜式存儲(chǔ)設(shè)備例如是通用串行總線(USB)key����、安全數(shù)字(SD)卡、具有嵌入的閃存的其他設(shè)備等等(其新的發(fā)展也將具有增加的存儲(chǔ)能力)��。 與此并行地�,將更加強(qiáng)調(diào)所謂的云計(jì)算,在云計(jì)算中�,向互聯(lián)網(wǎng)上的可配置的計(jì)算機(jī)資源的共享池提供按需訪問(wèn)���。在這即將到來(lái)的云計(jì)算時(shí)代,必須解決以下關(guān)鍵問(wèn)題安全地管理公司數(shù)據(jù)(例如����,用戶的雇主所擁有的數(shù)據(jù))�,并且具體地,提供安全性和數(shù)據(jù)訪問(wèn)靈活性之間的權(quán)限平衡�,特別是當(dāng)潛在地可以將大量的公司數(shù)據(jù)本地存儲(chǔ)在終端設(shè)備處時(shí)。
發(fā)明內(nèi)容
技術(shù)問(wèn)題例如���,公司通常想要內(nèi)部保存所產(chǎn)生的信息�,并防止在其內(nèi)部網(wǎng)外部公開(kāi)�����、拷貝��、移動(dòng)或改變這種信息�����。然而�����,在云計(jì)算的情況下,公司數(shù)據(jù)的存儲(chǔ)上下文的潛在改變導(dǎo)致對(duì)有效的數(shù)據(jù)權(quán)限管理的挑戰(zhàn)�����。例如����,雖然數(shù)據(jù)可以仍然在內(nèi)部網(wǎng)中,大量的數(shù)據(jù)也可以保存在移動(dòng)設(shè)備的本地存儲(chǔ)器中(和/或附著到移動(dòng)設(shè)備的便攜式存儲(chǔ)設(shè)備中)���,以給予用戶在移動(dòng)設(shè)備變?yōu)閺木W(wǎng)絡(luò)斷開(kāi)時(shí)訪問(wèn)信息的靈活性�。在移動(dòng)場(chǎng)景的情況下(例如�����,當(dāng)用戶在公司外旅游時(shí)�����,或者當(dāng)用戶手動(dòng)將移動(dòng)設(shè)備從網(wǎng)絡(luò)斷開(kāi)以保持電池電量時(shí))�����,該情況可能出現(xiàn)。作為潛在改變公司數(shù)據(jù)的上下文的結(jié)果�����,需要提供靈活的數(shù)據(jù)訪問(wèn)權(quán)限管理(例如��,對(duì)例如讀許可��、寫(xiě)許可����、執(zhí)行許可等等的訪問(wèn)權(quán)限的管理)���,該靈活的數(shù)據(jù)訪問(wèn)權(quán)限管理維持對(duì)數(shù)據(jù)的有效控制�����,而不顯著地危害到數(shù)據(jù)安全性或完整性����。因此���,本發(fā)明尋求提供改進(jìn)的訪問(wèn)權(quán)限管理����。問(wèn)題的解決方案根據(jù)本發(fā)明的一個(gè)方面,提供了管理數(shù)據(jù)的訪問(wèn)權(quán)限的方法����,其特征在于確定移動(dòng)通信設(shè)備對(duì)網(wǎng)絡(luò)的連接性,并根據(jù)所述連接性授予數(shù)據(jù)的訪問(wèn)權(quán)限����。根據(jù)本發(fā)明的另一方面,提供了規(guī)定移動(dòng)設(shè)備對(duì)相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行管理的方法�,其特征在于在移動(dòng)設(shè)備處接收對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行定義的配置參數(shù),訪問(wèn)權(quán)限根據(jù)移動(dòng)通信設(shè)備對(duì)網(wǎng)絡(luò)的連接性而改變�。
根據(jù)本發(fā)明的另一方面,提供了規(guī)定移動(dòng)設(shè)備管理數(shù)據(jù)的訪問(wèn)權(quán)限的方法���,其特征在于向移動(dòng)設(shè)備提供對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行定義的配置參數(shù)�����,訪問(wèn)權(quán)限根據(jù)移動(dòng)通信設(shè)備對(duì)網(wǎng)絡(luò)的連接性而改變��。根據(jù)本發(fā)明的另一方面��,提供了管理相對(duì)于移動(dòng)通信設(shè)備本地存儲(chǔ)的數(shù)據(jù)的訪問(wèn)權(quán)限的方法���,該方法包括確定所述移動(dòng)通信設(shè)備對(duì)網(wǎng)絡(luò)的連接性���;當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí),授予對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合��,以及當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)����,授予對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合;其中���,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合。將意識(shí)到����,可以在移動(dòng)通信設(shè)備處或服務(wù)器設(shè)備處執(zhí)行當(dāng)移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)授予對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合的步驟。所述訪問(wèn)權(quán)限的第二集合可以包括比所述訪問(wèn)權(quán)限的第一集合中的對(duì)應(yīng)訪問(wèn)權(quán)限更具限制性的至少一個(gè)訪問(wèn)權(quán)限��。所述訪問(wèn)權(quán)限的第一集合和所述訪問(wèn)權(quán)限的第二集合均可以包括讀許可�����、寫(xiě)許可和執(zhí)行許可中的至少一項(xiàng)。 授予訪問(wèn)權(quán)限的所述第一和/或所述第二集合還可以包括授予根據(jù)以下至少一項(xiàng)改變的訪問(wèn)權(quán)限包括所述數(shù)據(jù)的文件的標(biāo)識(shí)�;包括所述數(shù)據(jù)的文件的文件類型;向包括所述數(shù)據(jù)的文件指派的訪問(wèn)權(quán)限等級(jí)�����;包括所述數(shù)據(jù)的文件在預(yù)定組中的成員資格�;和/或包括所述數(shù)據(jù)的文件所位于的目錄的標(biāo)識(shí)。授予訪問(wèn)權(quán)限的所述第一和/或所述第二集合還可以包括授予根據(jù)所述移動(dòng)設(shè)備的用戶的標(biāo)識(shí)和/或所述移動(dòng)設(shè)備的用戶在預(yù)定用戶組中的成員資格而改變的訪問(wèn)權(quán)限���。確定所述移動(dòng)通信設(shè)備對(duì)網(wǎng)絡(luò)的連接性可以包括確定所述移動(dòng)設(shè)備對(duì)預(yù)定服務(wù)器設(shè)備的連接性�,以及可以根據(jù)對(duì)所述預(yù)定服務(wù)器設(shè)備的所述連接性來(lái)授予訪問(wèn)權(quán)限的所
述第一集合和第二集合�。確定對(duì)所述預(yù)定服務(wù)器設(shè)備的連接性可以包括確定所述移動(dòng)通信設(shè)備連接到服務(wù)器設(shè)備;可以包括獲得對(duì)所述移動(dòng)設(shè)備連接到的服務(wù)器設(shè)備的標(biāo)識(shí)進(jìn)行表示的信息���;獲得對(duì)預(yù)定服務(wù)器設(shè)備的標(biāo)識(shí)進(jìn)行表示的信息�;以及將所述移動(dòng)設(shè)備連接到的服務(wù)器設(shè)備的表示與所述預(yù)定服務(wù)器設(shè)備的標(biāo)識(shí)進(jìn)行比較����,由此確定所述移動(dòng)設(shè)備對(duì)所述預(yù)定服務(wù)器設(shè)備的連接性?��?梢杂梢苿?dòng)設(shè)備上操作的權(quán)限管理模塊來(lái)執(zhí)行該方法����,以及可以從提供用于配置所述權(quán)限管理模塊的配置參數(shù)獲得對(duì)預(yù)定服務(wù)器設(shè)備的標(biāo)識(shí)進(jìn)行表示的信息?���?梢酝ㄟ^(guò)從相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)對(duì)其進(jìn)行檢索來(lái)獲得對(duì)預(yù)定服務(wù)器設(shè)備的標(biāo)識(shí)進(jìn)行表示的信息?��?梢酝ㄟ^(guò)從移動(dòng)通信設(shè)備上本地運(yùn)行的應(yīng)用對(duì)其進(jìn)行接收來(lái)獲得預(yù)定服務(wù)器設(shè)備的標(biāo)識(shí)�。所述數(shù)據(jù)可被加密�����,以及所述方法可以包括當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)��,在所述移動(dòng)通信設(shè)備上解密被授予訪問(wèn)權(quán)限的數(shù)據(jù)�����。所述數(shù)據(jù)可被加密�,以及所述方法可以包括當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)���,從服務(wù)器設(shè)備接收被授予訪問(wèn)權(quán)限的數(shù)據(jù)的解密版本�。所述方法可以包括檢測(cè)對(duì)在所述移動(dòng)通信設(shè)備上安裝在其上存儲(chǔ)有所述數(shù)據(jù)的便攜式存儲(chǔ)設(shè)備的嘗試,可以包括請(qǐng)求所述移動(dòng)通信設(shè)備的用戶輸入安全輸入信息�,可以包括從用戶接收所述安全輸入信息,驗(yàn)證接收到的安全輸入信息����,可以包括如果成功驗(yàn)證所述安全輸入信息,則允許成功安裝所述便攜式存儲(chǔ)設(shè)備�,以及可以包括如果沒(méi)有成功驗(yàn)證所述安全輸入信息,則禁止安裝所述便攜式存儲(chǔ)設(shè)備���。所述方法可以包括檢測(cè)所述移動(dòng)通信設(shè)備對(duì)網(wǎng)絡(luò)的連接性從連接狀態(tài)到斷開(kāi)狀態(tài)的改變��,以及可以包括在檢測(cè)到所述改變時(shí)����,將訪問(wèn)權(quán)限從所述訪問(wèn)權(quán)限的第一集合調(diào)整為所述訪問(wèn)權(quán)限的第二集合�。所述方法可以包括檢測(cè)所述移動(dòng)通信設(shè)備對(duì)網(wǎng)絡(luò)的連接性從斷開(kāi)到連接的改變,以及可以包括在檢測(cè)到所述改變時(shí)�����,將訪問(wèn)權(quán)限從所述訪問(wèn)權(quán)限的第二集合調(diào)整為所述訪問(wèn)權(quán)限的第一集合�����。所述方法可以包括確定訪問(wèn)權(quán)限的所述第一和第二集合之間的差異,并使用該結(jié)果來(lái)調(diào)整訪問(wèn)權(quán)限�,以加速訪問(wèn)權(quán)限調(diào)整過(guò)程。根據(jù)本發(fā)明的另一方面���,提供了規(guī)定移動(dòng)設(shè)備管理相對(duì)于所述移動(dòng)通信設(shè)備本地存儲(chǔ)的數(shù)據(jù)的訪問(wèn)權(quán)限的方法�����,所述方法包括在所述移動(dòng)通信設(shè)備處接收對(duì)所述數(shù)據(jù)的·訪問(wèn)權(quán)限的第一集合進(jìn)行定義的配置參數(shù)��,以當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)使用�����;在所述移動(dòng)通信設(shè)備處接收對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合進(jìn)行定義的配置參數(shù)����,以當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)使用���;以及存儲(chǔ)所述配置參數(shù)�,以在管理相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的所述訪問(wèn)權(quán)限時(shí)使用�;其中����,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合���。根據(jù)本發(fā)明的另一方面,提供了規(guī)定移動(dòng)設(shè)備管理相對(duì)于所述移動(dòng)通信設(shè)備本地存儲(chǔ)的數(shù)據(jù)的訪問(wèn)權(quán)限的方法(例如���,由服務(wù)器執(zhí)行)���,所述方法包括向所述移動(dòng)通信設(shè)備提供對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合進(jìn)行定義的配置參數(shù),以當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)使用�����;以及向所述移動(dòng)通信設(shè)備提供對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合進(jìn)行定義的配置參數(shù)���,以當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)使用���;其中,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合��。該方法可以包括確定更新配置參數(shù)是可用的���,以及可以包括響應(yīng)于所述確定���,向所述移動(dòng)通信設(shè)備提供所述更新配置參數(shù)��。提供所述配置參數(shù)可以包括提供定義訪問(wèn)權(quán)限的配置參數(shù)�,所述訪問(wèn)權(quán)限是根據(jù)以下至少一項(xiàng)的包括所述數(shù)據(jù)的文件的標(biāo)識(shí)��;包括所述數(shù)據(jù)的文件的文件類型�;向包括所述數(shù)據(jù)的文件指派的訪問(wèn)權(quán)限等級(jí);包括所述數(shù)據(jù)的文件在預(yù)定組中的成員資格����;和/或包括所述數(shù)據(jù)的文件所位于的目錄的標(biāo)識(shí)。所述方法在服務(wù)器處執(zhí)行時(shí)可以包括檢測(cè)對(duì)在所述移動(dòng)通信設(shè)備上安裝在其上存儲(chǔ)有所述數(shù)據(jù)的便攜式存儲(chǔ)設(shè)備的嘗試����,向所述移動(dòng)通信設(shè)備發(fā)送由用戶輸入安全輸入信息的請(qǐng)求,從所述移動(dòng)通信設(shè)備接收所述安全輸入信息���,驗(yàn)證接收到的安全輸入信息��,如果成功驗(yàn)證所述安全輸入信息��,允許成功安裝所述便攜式存儲(chǔ)設(shè)備�,以及如果沒(méi)有成功驗(yàn)證所述安全輸入信息�,禁止安裝所述便攜式存儲(chǔ)設(shè)備�����。所述數(shù)據(jù)可被加密,以及在服務(wù)器處執(zhí)行的方法可以包括從所述移動(dòng)通信設(shè)備接收加密數(shù)據(jù)���,解密所述加密數(shù)據(jù)��,以及向所述移動(dòng)通信設(shè)備發(fā)送解密數(shù)據(jù)�����。所述數(shù)據(jù)可被加密�����,以及在服務(wù)器處執(zhí)行的方法可以包括從所述移動(dòng)通信設(shè)備接收加密數(shù)據(jù)�����,解密所述加密數(shù)據(jù)�����,以及向所述移動(dòng)通信設(shè)備提供對(duì)解密數(shù)據(jù)的遠(yuǎn)程訪問(wèn)��。
根據(jù)本發(fā)明的另一方面�,提供了一種移動(dòng)通信設(shè)備,所述移動(dòng)通信設(shè)備具有用于對(duì)相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行管理的裝置����,所述訪問(wèn)權(quán)限管理裝置包括用于確定所述移動(dòng)通信設(shè)備對(duì)網(wǎng)絡(luò)的連接性的裝置;用于當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)��,授予對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合的裝置�;以及用于當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí),授予對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合的裝置�����;其中�,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合。根據(jù)本發(fā)明的另一方面���,提供了一種移動(dòng)通信設(shè)備�,所述移動(dòng)通信設(shè)備具有用于對(duì)相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行管理的裝置��,所述訪問(wèn)權(quán)限管理裝置包括在所述移動(dòng)通信設(shè)備處接收對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合進(jìn)行定義的配置參數(shù)�,以當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)使用的裝置;在所述移動(dòng)通信設(shè)備處接收對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合進(jìn)行定義的配置參數(shù),以當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)使用的裝置���;以及存儲(chǔ)所述配置參數(shù)����,以在管理相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的所述訪問(wèn)權(quán)限時(shí)使用的裝置���;其中,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合���。 所述權(quán)限管理裝置可以包括可操作為在所述移動(dòng)通信設(shè)備上運(yùn)行的權(quán)限管理模塊�。所述權(quán)限管理模塊可操作為在所述移動(dòng)設(shè)備的引導(dǎo)時(shí)進(jìn)行啟動(dòng)��。根據(jù)本發(fā)明的另一方面�,提供了服務(wù)器設(shè)備,所述服務(wù)器設(shè)備具有用于規(guī)定移動(dòng)設(shè)備對(duì)相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行管理的裝置��,所述規(guī)定裝置包括向所述移動(dòng)通信設(shè)備提供對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合進(jìn)行定義的配置參數(shù)�����,以當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)使用的裝置�����;以及向所述移動(dòng)通信設(shè)備提供對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合進(jìn)行定義的配置參數(shù),以當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)使用的裝置�;其中,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合�����。根據(jù)本發(fā)明的另一方面����,提供了包括用于執(zhí)行根據(jù)前述方法方面中的任一個(gè)所述的方法的計(jì)算機(jī)程序、計(jì)算機(jī)程序產(chǎn)品或計(jì)算機(jī)可讀介質(zhì)���。根據(jù)本發(fā)明的另一方面���,提供了一種移動(dòng)通信設(shè)備,所述移動(dòng)通信設(shè)備具有用于對(duì)相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行管理的模塊�����,所述訪問(wèn)權(quán)限管理模塊可操作為(i)檢測(cè)所述移動(dòng)通信設(shè)備對(duì)網(wǎng)絡(luò)的連接性�;(ii)當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí),授予對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合��,以及(iii)當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí),授予對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合�����;其中�����,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合��。根據(jù)本發(fā)明的另一方面����,提供了一種移動(dòng)通信設(shè)備�,所述移動(dòng)通信設(shè)備具有用于對(duì)相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行管理的模塊,所述訪問(wèn)權(quán)限管理模塊可操作為(i)接收對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合進(jìn)行定義的配置參數(shù)���,以當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)使用�;(ii)接收對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合進(jìn)行定義的配置參數(shù)��,以當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)使用����;以及(iii)存儲(chǔ)所述配置參數(shù),以在管理相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的所述訪問(wèn)權(quán)限時(shí)使用;其中��,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合����。根據(jù)本發(fā)明的另一方面,提供了服務(wù)器設(shè)備�,所述服務(wù)器設(shè)備具有用于規(guī)定移動(dòng)設(shè)備對(duì)相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行管理的規(guī)定模塊,所述規(guī)定模塊可操作為向所述移動(dòng)通信設(shè)備提供(i)對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合進(jìn)行定義的配置參數(shù)�,以當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)使用;以及(ii)對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合進(jìn)行定義的配置參數(shù)��,以當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)使用��;其中����,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合。本發(fā)明的有利效果有利地��,本發(fā)明能 夠提供改進(jìn)的訪問(wèn)權(quán)限管理����。
圖I通過(guò)簡(jiǎn)化的概述示出了通信系統(tǒng),在該通信系統(tǒng)中��,可以在多種不同的上下文中訪問(wèn)公司數(shù)據(jù)。圖2通過(guò)簡(jiǎn)化的概述示出了具有改進(jìn)的訪問(wèn)權(quán)限管理的通信系統(tǒng)����。圖3是對(duì)適于在圖2的通信系統(tǒng)中使用的移動(dòng)設(shè)備的實(shí)現(xiàn)的簡(jiǎn)化功能塊示意。圖4是對(duì)適于在圖2的通信系統(tǒng)中使用的云服務(wù)器的實(shí)現(xiàn)的簡(jiǎn)化功能塊示意�。圖5是示意用于在圖2的通信系統(tǒng)中使用的訪問(wèn)權(quán)限管理過(guò)程的簡(jiǎn)化流程圖。
具體實(shí)施例方式圖I在110處通過(guò)簡(jiǎn)化的概述一般性地示出了通信系統(tǒng)�����。通信系統(tǒng)包括能夠經(jīng)由諸如互聯(lián)網(wǎng)的計(jì)算機(jī)網(wǎng)絡(luò)116連接到云服務(wù)器114的移動(dòng)通信設(shè)備112����。如圖I中看出的,移動(dòng)通信設(shè)備112可例如經(jīng)由移動(dòng)電信網(wǎng)絡(luò)的基站118和/或經(jīng)由無(wú)線路由器120連接到計(jì)算機(jī)網(wǎng)絡(luò)116����。云服務(wù)器114具有存儲(chǔ)器���,在該存儲(chǔ)器中存儲(chǔ)軟件應(yīng)用122(稱為“遠(yuǎn)程”應(yīng)用)和“公司”數(shù)據(jù)124���。這些應(yīng)用122和公司數(shù)據(jù)124可由移動(dòng)通信設(shè)備112的用戶經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)116遠(yuǎn)程訪問(wèn)?�?梢酝ㄟ^(guò)各種技術(shù)(文件傳輸協(xié)議會(huì)話、HTTP web會(huì)話���、瘦客戶端連接��、安全Shell連接等)來(lái)進(jìn)行這種訪問(wèn)��。公司數(shù)據(jù)124包括第三方擁有的信息���,該第三方希望根據(jù)其公司策略來(lái)管理對(duì)公司數(shù)據(jù)124的可訪問(wèn)性。第三方可以例如是用戶的雇主或用戶預(yù)訂的服務(wù)的提供商����。移動(dòng)通信設(shè)備112具有其自己的內(nèi)部存儲(chǔ)器,在該內(nèi)部存儲(chǔ)器中存儲(chǔ)了本地軟件應(yīng)用126���。本地應(yīng)用126包括用于提供對(duì)存儲(chǔ)在云服務(wù)器114處的遠(yuǎn)程應(yīng)用122和公司數(shù)據(jù)124的可視化訪問(wèn)的應(yīng)用128�。移動(dòng)通信設(shè)備112還具有可以經(jīng)由適當(dāng)?shù)慕涌?例如�,USB、SD等等)安裝在移動(dòng)設(shè)備112上的外部便攜式存儲(chǔ)設(shè)備130��。便攜式存儲(chǔ)設(shè)備130包括安全存儲(chǔ)區(qū)132����,在安全存儲(chǔ)區(qū)132中可以本地存儲(chǔ)一些公司數(shù)據(jù)131 (或其拷貝)�,以便當(dāng)移動(dòng)設(shè)備112不再連接到云服務(wù)器114時(shí)訪問(wèn)���。作為備選或補(bǔ)充����,可以將一些公司數(shù)據(jù)131 (或其拷貝)存儲(chǔ)在移動(dòng)通信設(shè)備112的內(nèi)部存儲(chǔ)器中��。通信系統(tǒng)的云服務(wù)器114被配置為對(duì)存儲(chǔ)在其存儲(chǔ)設(shè)備130中的公司數(shù)據(jù)131應(yīng)用適當(dāng)?shù)脑L問(wèn)控制過(guò)程����,和/或向移動(dòng)設(shè)備112強(qiáng)加限制其與遠(yuǎn)程應(yīng)用122交互的方式的基于規(guī)則的策略,從而允許訪問(wèn)便攜式存儲(chǔ)設(shè)備130�,和/或被配置為處理公司數(shù)據(jù)124、131��。在操作中�����,當(dāng)移動(dòng)設(shè)備112經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)116連接到云服務(wù)器114時(shí)�����,移動(dòng)設(shè)備112的用戶通過(guò)至遠(yuǎn)程應(yīng)用122的可視化的接口訪問(wèn)128可訪問(wèn)公司數(shù)據(jù)124���、131�。實(shí)際上�����,云服務(wù)器114可以安裝安全存儲(chǔ)區(qū)132�,以使得遠(yuǎn)程應(yīng)用可以訪問(wèn)云服務(wù)器114處的公司數(shù)據(jù)131,仿佛公司數(shù)據(jù)131是本地可用的一樣���。然而�����,還可以使用本地應(yīng)用126來(lái)直接訪問(wèn)本地存儲(chǔ)的公司數(shù)據(jù)131�����。這使得在例如移動(dòng)設(shè)備112因?yàn)槿鄙俑采w的原因無(wú)意間從云服務(wù)器114斷開(kāi)或者為了節(jié)省電池壽命有意地從云服務(wù)器114斷開(kāi)時(shí)�,用戶可以訪問(wèn)本地存儲(chǔ)的公司數(shù)據(jù)131��。雖然有由云服務(wù)器114強(qiáng)加的任何訪問(wèn)控制過(guò)程和/或基于規(guī)則的策略�,但是該本地可訪問(wèn)性表示了在云服務(wù)器114有效地管理公司數(shù)據(jù)124、131特別是確保公司數(shù)據(jù)124��、131的充分的安全性和/或完整性的能力方面的潛在弱點(diǎn)。雖然可以采取步驟來(lái)經(jīng)由可視化的訪問(wèn)將訪問(wèn)限制為僅對(duì)遠(yuǎn)程應(yīng)用122�����,或者防止在移動(dòng)設(shè)備112處本地維持公司數(shù)據(jù)124�、131的拷貝,這種限制是不靈活的����,對(duì)遠(yuǎn)程用戶可能是特別不方便的,并且會(huì)限制關(guān)鍵雇員在外出外時(shí)有效地工作的能力?��,F(xiàn)在將描述通信系統(tǒng)的示例性實(shí)施例���,在該通信系統(tǒng)中,提供改進(jìn)的訪問(wèn)權(quán)限管理以解決或至少減輕以上問(wèn)題中的一些問(wèn)題����。圖2在210處一般性地示出了包括本發(fā)明的示例性實(shí)施例的通信系統(tǒng),本發(fā)明的示例性實(shí)施例旨在提供一種通用系統(tǒng)����,在該通用系統(tǒng)中��,可以更有效地實(shí)現(xiàn)在向最終用戶·提供靈活性與維持?jǐn)?shù)據(jù)安全性和完整性之間的平衡。通信系統(tǒng)210與圖I中示出的通信系統(tǒng)110相似(類似部件的附圖標(biāo)記的最后兩位數(shù)字相同)��。該通信系統(tǒng)包括移動(dòng)通信設(shè)備212���,如之前一般性地描述的���,移動(dòng)通信設(shè)備212能夠經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)216 (例如互聯(lián)網(wǎng))連接到公司網(wǎng)絡(luò)的多個(gè)云服務(wù)器214中的任何云服務(wù)器。移動(dòng)通信設(shè)備212被配置為使用已知的技術(shù)實(shí)現(xiàn)該連接��,例如���,經(jīng)由VPN連接或者安全的瘦客戶端連接(例如���,使用遠(yuǎn)程桌面協(xié)議、獨(dú)立計(jì)算架構(gòu)等等)���。每個(gè)云服務(wù)器214具有在云服務(wù)器214本地的存儲(chǔ)器��,在該存儲(chǔ)器中存儲(chǔ)軟件應(yīng)用222(稱為“遠(yuǎn)程”應(yīng)用)和“公司”數(shù)據(jù)224����。這些應(yīng)用222和公司數(shù)據(jù)224可由移動(dòng)通信設(shè)備212的用戶經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)216遠(yuǎn)程訪問(wèn)。公司數(shù)據(jù)224包括第三方擁有的信息�,該第三方希望根據(jù)其公司策略來(lái)管理對(duì)公司數(shù)據(jù)224的可訪問(wèn)性。第三方可以例如是用戶的雇主或用戶預(yù)訂的服務(wù)的提供商�����。移動(dòng)通信設(shè)備212具有其自己的內(nèi)部存儲(chǔ)器����,在該內(nèi)部存儲(chǔ)器中存儲(chǔ)了本地軟件應(yīng)用226。移動(dòng)通信設(shè)備212還具有用于將多個(gè)便攜式存儲(chǔ)設(shè)備230中的任何設(shè)備連接到移動(dòng)設(shè)備212的接口����。每個(gè)便攜式存儲(chǔ)設(shè)備230包括可在其中本地存儲(chǔ)一些或所有的公司數(shù)據(jù)231 (或其拷貝)的安全存儲(chǔ)區(qū)232和用于存儲(chǔ)個(gè)人數(shù)據(jù)的另外的非安全存儲(chǔ)區(qū)233。類似地�,移動(dòng)設(shè)備212的內(nèi)部存儲(chǔ)器具有本地文件系統(tǒng)225,本地文件系統(tǒng)225具有可在其中存儲(chǔ)一些或所有的公司數(shù)據(jù)231的安全存儲(chǔ)區(qū)227和用于存儲(chǔ)個(gè)人數(shù)據(jù)的非安全的另外的存儲(chǔ)區(qū)229��。便攜式存儲(chǔ)設(shè)備230和本地文件系統(tǒng)225的安全存儲(chǔ)區(qū)232��、227中的公司數(shù)據(jù)可以是在移動(dòng)設(shè)備212上本地訪問(wèn)和解密的(這將被稱為是“本地”安裝的)�。便攜式存儲(chǔ)設(shè)備230的安全存儲(chǔ)區(qū)232、227中的公司數(shù)據(jù)也可以是當(dāng)移動(dòng)設(shè)備212連接到服務(wù)器214時(shí)服務(wù)器214遠(yuǎn)程訪問(wèn)和解密的(這將被稱為是“虛擬”或“遠(yuǎn)程”安裝的)��。移動(dòng)通信設(shè)備212和服務(wù)器214還相應(yīng)地具有權(quán)限調(diào)整模塊236和權(quán)限規(guī)定模塊462��。權(quán)限調(diào)整模塊236被配置為確定移動(dòng)設(shè)備212是否連接到一個(gè)或多個(gè)遠(yuǎn)程服務(wù)器214,并根據(jù)該所確定的連接性來(lái)調(diào)整對(duì)任何本地存儲(chǔ)的公司數(shù)據(jù)231 (即���,存儲(chǔ)在存儲(chǔ)區(qū)227中或存儲(chǔ)區(qū)232中的公司數(shù)據(jù))的數(shù)據(jù)訪問(wèn)權(quán)限。權(quán)限規(guī)定模塊462被配置用于訪問(wèn)權(quán)限的一般性管理�����,并用于基于內(nèi)部公司網(wǎng)絡(luò)策略來(lái)提供建立移動(dòng)設(shè)備212的權(quán)限調(diào)整模塊236 (如果遠(yuǎn)程建立)所需的配置參數(shù)���。當(dāng)移動(dòng)設(shè)備212連接到公司網(wǎng)絡(luò)的遠(yuǎn)程服務(wù)器214時(shí)��,權(quán)限調(diào)整模塊236檢測(cè)到該連接����。如果公司數(shù)據(jù)是本地安裝和解密的�����,則權(quán)限調(diào)整模塊236修改對(duì)外部存儲(chǔ)設(shè)備230的安全區(qū)232和/或本地文件系統(tǒng)225的安全區(qū)227中保存的公司數(shù)據(jù)231的訪問(wèn)權(quán)限�,以根據(jù)內(nèi)部公司網(wǎng)絡(luò)策略向移動(dòng)設(shè)備212的用戶授予數(shù)據(jù)訪問(wèn)權(quán)限。例如�����,如果移動(dòng)設(shè)備212連接到服務(wù)器214,可以向用戶授予完全訪問(wèn)權(quán)限����,包括讀和修改數(shù)據(jù)的權(quán)限和/或執(zhí)行形成可執(zhí)行文件的數(shù)據(jù)的權(quán)限。當(dāng)移動(dòng)設(shè)備212連接到公司網(wǎng)絡(luò)的遠(yuǎn)程服務(wù)器214時(shí)���,權(quán)限規(guī)定模塊462也檢測(cè)到該連接��。如果公司數(shù)據(jù)是在遠(yuǎn)程服務(wù)器214上遠(yuǎn)程地虛擬安裝和解密的��,則權(quán)限規(guī)定模塊462修改對(duì)駐留在外部存儲(chǔ)設(shè)備230的安全區(qū)232和/或本地文件系統(tǒng)225的安全區(qū)225中的虛擬安裝的公司數(shù)據(jù)231的訪問(wèn)權(quán)限�����,以根據(jù)內(nèi)部公司網(wǎng)絡(luò)策略向移動(dòng)設(shè)備212的用戶授予數(shù)據(jù)訪問(wèn)權(quán)限�����。當(dāng)移動(dòng)設(shè)備212從公司網(wǎng)絡(luò)斷開(kāi)時(shí)�����,權(quán)限調(diào)整模塊236檢測(cè)到連接性的這種改變�,并調(diào)整對(duì)駐留在本地附著的安全存儲(chǔ)區(qū)227��、232中的公司數(shù)據(jù)231的訪 問(wèn)權(quán)限,以根據(jù)公司策略來(lái)限制訪問(wèn)權(quán)限����。例如,可以修改訪問(wèn)權(quán)限以允許用戶讀數(shù)據(jù)但不能修改數(shù)據(jù)�。移動(dòng)設(shè)備212的權(quán)限調(diào)整模塊236在服務(wù)器214的控制下操作,以使得公司數(shù)據(jù)231的擁有者可以有效地管理訪問(wèn)權(quán)限�����。通過(guò)這種方式���,可以動(dòng)態(tài)地規(guī)定權(quán)限調(diào)整模塊236,以例如更新對(duì)安全區(qū)227�����、232的訪問(wèn)控制策略和/或在需要時(shí)提供新的本地訪問(wèn)許可��。因此�����,該系統(tǒng)有利地提供了方法和裝置����,通過(guò)該方法和裝置��,可以根據(jù)移動(dòng)設(shè)備是否連接到公司服務(wù)器214��,在數(shù)據(jù)擁有者的控制之下動(dòng)態(tài)調(diào)整和管理對(duì)本地保存的公司數(shù)據(jù)231的訪問(wèn)權(quán)限�����。這向公司數(shù)據(jù)224����、231的擁有者給予了更大的通用性����,以當(dāng)在公司網(wǎng)絡(luò)外部有效地存儲(chǔ)公司數(shù)據(jù)231時(shí),提供在針對(duì)最終用戶的靈活性與對(duì)維持公司數(shù)據(jù)224���、231的安全性和完整性的需要之間的適當(dāng)平衡����。移動(dòng)設(shè)備圖3示意性地示出了圖2中示出的移動(dòng)通信設(shè)備212的主要組件��。在該實(shí)施例中�,移動(dòng)設(shè)備212操作為瘦客戶端設(shè)備�,其經(jīng)由用戶會(huì)話連接到在服務(wù)器214上運(yùn)行的虛擬機(jī)���。在該實(shí)施例中����,移動(dòng)設(shè)備212包括移動(dòng)電話�,該移動(dòng)電話具有收發(fā)信機(jī)電路371,收發(fā)信機(jī)電路371可操作為經(jīng)由基站接口 373向常規(guī)移動(dòng)電信網(wǎng)絡(luò)的基站發(fā)送信號(hào)和從常規(guī)移動(dòng)電信網(wǎng)絡(luò)的基站接收信號(hào)�����。收發(fā)信機(jī)電路371還可操作為通過(guò)經(jīng)由網(wǎng)絡(luò)接口 372的接入點(diǎn)或通過(guò)經(jīng)由基站接口 373的移動(dòng)電話網(wǎng)絡(luò)���,在計(jì)算機(jī)網(wǎng)絡(luò)216(例如互聯(lián)網(wǎng))上向服務(wù)器214發(fā)送信號(hào)和從服務(wù)器214接收信號(hào)。如圖所示�����,移動(dòng)設(shè)備212還包括至少一個(gè)控制器375����,控制器375包括處理器,該處理器控制移動(dòng)設(shè)備212的操作并且連接到收發(fā)信機(jī)電路371和連接到揚(yáng)聲器377���、麥克風(fēng)379����、顯示器381和鍵盤(pán)383。處理器375根據(jù)存儲(chǔ)在存儲(chǔ)器385中的軟件指令來(lái)操作��。如圖所示�����,其中�����,這些軟件指令提供操作系統(tǒng)387�����、本地應(yīng)用226����、權(quán)限調(diào)整模塊236和連接/通信控制模塊391等。如之前討論的����,權(quán)限調(diào)整模塊236可操作為控制對(duì)本地存儲(chǔ)的公司數(shù)據(jù)231的訪問(wèn)權(quán)限�。連接/通信控制模塊391可操作為控制經(jīng)由收發(fā)信機(jī)電路371進(jìn)行的通信�,并管理經(jīng)由網(wǎng)絡(luò)接口 372或經(jīng)由移動(dòng)網(wǎng)絡(luò)與遠(yuǎn)程服務(wù)器214的網(wǎng)絡(luò)連接。移動(dòng)設(shè)備212具有內(nèi)部和外部數(shù)據(jù)存儲(chǔ)能力��,其形式為駐留在存儲(chǔ)器385中的本地文件系統(tǒng)225以及可以經(jīng)由其連接多個(gè)便攜式存儲(chǔ)設(shè)備230 (例如���,USB key和/或SD卡)中的任何設(shè)備的存儲(chǔ)接口 389�����。本地文件系統(tǒng)225和便攜式存儲(chǔ)設(shè)備230配置有用于存儲(chǔ)個(gè)人數(shù)據(jù)的個(gè)人存儲(chǔ)區(qū)229�、233以及用于存儲(chǔ)公司數(shù)據(jù)224����、231的安全存儲(chǔ)區(qū)227�����、232�����。對(duì)存儲(chǔ)在安全存儲(chǔ)區(qū)227、232中的所有數(shù)據(jù)進(jìn)行加密�����,以有效地防止其在沒(méi)有使用對(duì)應(yīng)的加密/解密密鑰��、密碼和/或密鑰文件的情況下被讀或修改���。權(quán)限調(diào)整模塊236管理本地文件系統(tǒng)225中或所安裝的便攜式存儲(chǔ)設(shè)備230的安全區(qū)中本地存儲(chǔ)的公司數(shù)據(jù)的權(quán)限�。權(quán)限調(diào)整模塊236還管理在移動(dòng)設(shè)備與服務(wù)器214斷開(kāi)時(shí)的對(duì)已加密的公司數(shù)據(jù)的解密��。
權(quán)限調(diào)整模塊236通常以在移動(dòng)設(shè)備212上駐留的操作系統(tǒng)387上運(yùn)行的軟件服務(wù)的形式實(shí)現(xiàn)���。在本實(shí)施例中��,權(quán)限調(diào)整模塊236作為后臺(tái)程序(daemon)運(yùn)行�����,并在移動(dòng)設(shè)備212的引導(dǎo)期間啟動(dòng)�,在這之后����,權(quán)限調(diào)整模塊236能夠分析移動(dòng)設(shè)備212是否連接到遠(yuǎn)程服務(wù)器214,監(jiān)視連接性的任何改變,以及確定是否經(jīng)由接口 389安裝攜帶公司數(shù)據(jù)231的便攜式存儲(chǔ)設(shè)備230����。在本實(shí)施例中,權(quán)限調(diào)整模塊236具有用于標(biāo)識(shí)要針對(duì)其應(yīng)用基于連接性的訪問(wèn)權(quán)限管理的每個(gè)遠(yuǎn)程服務(wù)器214 (例如�����,屬于公司網(wǎng)絡(luò)的服務(wù)器)的配置參數(shù)�。當(dāng)檢測(cè)到至遠(yuǎn)程服務(wù)器214的連接時(shí),權(quán)限調(diào)整模塊236將配置參數(shù)所標(biāo)識(shí)的服務(wù)器的標(biāo)識(shí)與從已經(jīng)檢測(cè)到連接的遠(yuǎn)程服務(wù)器214接收到的標(biāo)識(shí)數(shù)據(jù)相比較��。如果從遠(yuǎn)程服務(wù)器接收到的標(biāo)識(shí)數(shù)據(jù)指示其是配置參數(shù)所表示的服務(wù)器�,并且如果要本地安裝公司數(shù)據(jù)231,則應(yīng)用針對(duì)連接狀態(tài)的訪問(wèn)權(quán)限管理����。否則,如果從遠(yuǎn)程服務(wù)器接收到的標(biāo)識(shí)數(shù)據(jù)指示其不是配置參數(shù)所表示的服務(wù)器��,則繼續(xù)應(yīng)用針對(duì)斷開(kāi)狀態(tài)的訪問(wèn)權(quán)限管理�。如前所述����,當(dāng)權(quán)限調(diào)整模塊236檢測(cè)到移動(dòng)設(shè)備212變?yōu)檫B接到要針對(duì)其實(shí)現(xiàn)基于連接性的訪問(wèn)權(quán)限管理的公司網(wǎng)絡(luò)的遠(yuǎn)程服務(wù)器214時(shí),權(quán)限調(diào)整模塊236修改對(duì)駐留在便攜式存儲(chǔ)設(shè)備230的安全區(qū)232和/或本地文件系統(tǒng)225的安全區(qū)227中的公司數(shù)據(jù)231的訪問(wèn)權(quán)限,以根據(jù)相關(guān)的公司網(wǎng)絡(luò)策略來(lái)向移動(dòng)設(shè)備212的用戶授予數(shù)據(jù)訪問(wèn)權(quán)限�。然而當(dāng)權(quán)限調(diào)整模塊236檢測(cè)到移動(dòng)設(shè)備212從連接改變?yōu)閿嚅_(kāi)狀態(tài)時(shí),其修改這些訪問(wèn)權(quán)限以確保數(shù)據(jù)的安全性和完整性得以維持��。權(quán)限調(diào)整模塊236還檢測(cè)何時(shí)做出經(jīng)由接口 389安裝具有安全區(qū)232的便攜式存儲(chǔ)設(shè)備230或者訪問(wèn)本地文件系統(tǒng)225的安全區(qū)227的嘗試���。在檢測(cè)到這種嘗試時(shí)��,當(dāng)移動(dòng)設(shè)備212沒(méi)有連接到公司網(wǎng)絡(luò)時(shí)�����,權(quán)限調(diào)整模塊請(qǐng)求輸入秘密輸入信息���,例如私密密鑰、密碼等等���。進(jìn)行對(duì)所輸入的秘密輸入信息的驗(yàn)證過(guò)程�����,以及���,如果成功(即���,正確地輸入密碼或其他私密信息),則權(quán)限調(diào)整模塊236允許安裝便攜式存儲(chǔ)設(shè)備230或訪問(wèn)本地文件系統(tǒng)225的安全區(qū)227�����。否則����,阻止成功安裝便攜式存儲(chǔ)設(shè)備230或訪問(wèn)安全區(qū)227、232���。當(dāng)已經(jīng)成功安裝了便攜式存儲(chǔ)設(shè)備230����,或者已經(jīng)允許了對(duì)本地文件系統(tǒng)225的安全區(qū)227的訪問(wèn)時(shí)����,權(quán)限調(diào)整模塊236相應(yīng)地針對(duì)存儲(chǔ)設(shè)備230上或本地文件系統(tǒng)225中存儲(chǔ)的任何公司數(shù)據(jù)231授予適當(dāng)?shù)臄?shù)據(jù)訪問(wèn)權(quán)限。例如�,當(dāng)移動(dòng)設(shè)備212沒(méi)有連接到云服務(wù)器214并且用戶(或本地應(yīng)用)成功安裝在其中存儲(chǔ)了公司數(shù)據(jù)231的加密卷時(shí),權(quán)限調(diào)整模塊236根據(jù)公司網(wǎng)絡(luò)策略來(lái)調(diào)整針對(duì)該公司數(shù)據(jù)231的訪問(wèn)權(quán)限����。權(quán)限調(diào)整模塊236維護(hù)解密本地存儲(chǔ)的公司數(shù)據(jù)231所需的安全證書(shū)(例如����,密鑰����、密碼和/或密鑰文件)�。因此,當(dāng)移動(dòng)設(shè)備212與公司網(wǎng)絡(luò)斷開(kāi)時(shí)��,在權(quán)限調(diào)整模塊236的監(jiān)管之下��,在本地存儲(chǔ)器385中執(zhí)行對(duì)存儲(chǔ)在任何安全區(qū)227�、232中的公司數(shù)據(jù)224、231的解密����。類似地,當(dāng)移動(dòng)設(shè)備212連接到服務(wù)器214���,并且本地安裝了公司數(shù)據(jù)時(shí)�����,在權(quán)限調(diào)整模塊236的監(jiān)管之下�,在本地存儲(chǔ)器385中執(zhí)行對(duì)存儲(chǔ)在任何安全區(qū)227、232中的公司數(shù)據(jù)224�����、231的解密���。公司網(wǎng)絡(luò)策略設(shè)置針對(duì)權(quán)限調(diào)整模塊236的配置參數(shù)��,該參數(shù)定義權(quán)限調(diào)整模塊236如何調(diào)整訪問(wèn)權(quán)限和在什么條件下調(diào)整訪問(wèn)權(quán)限��,以及在本實(shí)施例中�����,還定義要向其應(yīng)用基于連接性的訪問(wèn)權(quán)限管理的云服務(wù)器214的標(biāo)識(shí)���。公司網(wǎng)絡(luò)策略可以例如針對(duì)不同的文件、文件類型�、文件所屬于的組和/或目錄來(lái)定義不同的“機(jī)密性”或“權(quán)限訪問(wèn)”等級(jí),并且基于這些不同的權(quán)限訪問(wèn)等級(jí)����,可以由權(quán)限調(diào)整模塊236應(yīng)用不同的訪問(wèn)策略。公司網(wǎng)絡(luò)策略還定義�,在權(quán)限調(diào)整模塊236的監(jiān)管之下�,本地存儲(chǔ)的公司數(shù)據(jù)231的加密/解密 所需的最新密鑰�、密碼和/或密鑰文件。權(quán)限調(diào)整模塊236可操作為�����,在連接移動(dòng)設(shè)備212時(shí)�����,不時(shí)地從服務(wù)器214接收公司策略更新�,以允許公司數(shù)據(jù)224��、231的擁有者有效地管理訪問(wèn)權(quán)限�����。通過(guò)這種方式�,可以由服務(wù)器動(dòng)態(tài)地規(guī)定權(quán)限調(diào)整模塊236。根據(jù)公司策略���,例如����,可以在連接時(shí)向用戶授予對(duì)公司數(shù)據(jù)231的完全訪問(wèn)權(quán)限,以及在斷開(kāi)時(shí)向用戶授予較多限制性的或“部分的”訪問(wèn)權(quán)限(例如��,只讀)�。通過(guò)這種方式,可以針對(duì)整個(gè)安全卷或針對(duì)卷中存儲(chǔ)的單個(gè)文件���、文件類型或目錄來(lái)調(diào)整訪問(wèn)權(quán)限�����。從而��,當(dāng)斷開(kāi)移動(dòng)設(shè)備時(shí)����,可使用只讀許可來(lái)限定文件����,從而授予用戶讀文件或讀目錄中文件的名稱的能力,而當(dāng)連接到移動(dòng)設(shè)備時(shí)��,相同的文件可以具有讀和寫(xiě)許可����,以允許修改文件或進(jìn)入目錄�����??偠灾?��,因此�,圖3中示出的移動(dòng)設(shè)備212能夠與外部便攜式存儲(chǔ)設(shè)備230 (例如SD卡���、USB記憶棒等等)進(jìn)行接口連接。移動(dòng)設(shè)備212還能夠訪問(wèn)本地隨機(jī)存取存儲(chǔ)器385中的內(nèi)部文件系統(tǒng)225�����,該文件系統(tǒng)225是在設(shè)備212的引導(dǎo)期間啟動(dòng)的���。移動(dòng)設(shè)備212可以經(jīng)由被配置為運(yùn)行用戶的優(yōu)選應(yīng)用的虛擬機(jī)上的用戶會(huì)話連接到云服務(wù)器214�����。移動(dòng)設(shè)備212運(yùn)行權(quán)限調(diào)整模塊236��,權(quán)限調(diào)整模塊236是由服務(wù)器214上運(yùn)行的權(quán)限規(guī)定模塊462所規(guī)定的����,并且被配置為當(dāng)本地安裝了加密卷并且移動(dòng)設(shè)備212變?yōu)榕c云服務(wù)器214斷開(kāi)時(shí),調(diào)整對(duì)加密卷227�、232上本地存儲(chǔ)的公司數(shù)據(jù)231的訪問(wèn)許可。服務(wù)器在圖4中�����,示意性地示出了圖2中示出的云服務(wù)器214之一的主要組件�����。在該實(shí)施例中���,云服務(wù)器214操作為瘦客戶端管理服務(wù)器設(shè)備�����,該瘦客戶端管理服務(wù)器設(shè)備能夠接受來(lái)自移動(dòng)設(shè)備212的用戶連接請(qǐng)求���,并用于響應(yīng)于該請(qǐng)求,配置在服務(wù)器上運(yùn)行的虛擬機(jī)上的用戶會(huì)話����。如圖4中看出的�,服務(wù)器214包括收發(fā)信機(jī)電路453�����,收發(fā)信機(jī)電路453可操作為經(jīng)由相關(guān)的網(wǎng)絡(luò)接口 451和計(jì)算機(jī)網(wǎng)絡(luò)(例如���,互聯(lián)網(wǎng))向移動(dòng)設(shè)備212發(fā)送信號(hào)和從移動(dòng)設(shè)備212接收信號(hào)����。如圖所示�,服務(wù)器214包括控制器450,控制器450控制云服務(wù)器214的操作并連接到收發(fā)信機(jī)電路453��?�?刂破?50根據(jù)存儲(chǔ)在存儲(chǔ)器457中的軟件指令來(lái)操作�����。如圖所示����,其中,這些軟件指令包括操作系統(tǒng)459���、通信/連接模塊460�、權(quán)限規(guī)定模塊462和在其上保存公司數(shù)據(jù)224的加密卷464��。如前所述���,存儲(chǔ)器中還存儲(chǔ)了遠(yuǎn)程軟件應(yīng)用222�,該遠(yuǎn)程軟件應(yīng)用222可由服務(wù)器214代表移動(dòng)設(shè)備212進(jìn)行控制(host)�����。通信/連接模塊460可操作為控制經(jīng)由收發(fā)信機(jī)電路453進(jìn)行的通信�;接受/拒絕來(lái)自移動(dòng)設(shè)備212的連接請(qǐng)求;在接受請(qǐng)求時(shí)建立與移動(dòng)設(shè)備212的連接���;以及一旦建立連接���,管理該連接。權(quán)限規(guī)定模塊462基于公司網(wǎng)絡(luò)策略提供建立(如果遠(yuǎn)程建立)移動(dòng)設(shè)備212的權(quán)限調(diào)整模塊236所需的配置參數(shù)��。權(quán)限規(guī)定模塊462還不時(shí)地向權(quán)限調(diào)整模塊236提供這些配置參數(shù)的更新��,以確保權(quán)限調(diào)整模塊236應(yīng)用的權(quán)限調(diào)整策略保持最新。在本實(shí)施例中�,權(quán)限規(guī)定模塊462還在移動(dòng)設(shè)備連接到服務(wù)器214時(shí)管理對(duì)加密的公司數(shù)據(jù)的解密。權(quán)限規(guī)定模塊462還在連接了移動(dòng)設(shè)備時(shí)執(zhí)行多個(gè)任務(wù)�����,該多個(gè)任務(wù)與沒(méi)有連接移動(dòng)設(shè)備212時(shí)權(quán)限調(diào)整模塊236執(zhí)行的任務(wù)類似�����。例如���,當(dāng)連接移動(dòng)設(shè)備212時(shí)�,權(quán)限規(guī)
定模塊462檢測(cè)何時(shí)進(jìn)行以下嘗試經(jīng)由移動(dòng)設(shè)備212的接口 389虛擬安裝具有安全區(qū)232的便攜式存儲(chǔ)設(shè)備230 ;虛擬訪問(wèn)本地文件系統(tǒng)225的安全區(qū)227 ;或者安裝服務(wù)器214的加密卷464�����。在檢測(cè)到這種嘗試時(shí)���,在虛擬安裝的情況下,由權(quán)限規(guī)定模塊462而不是移動(dòng)設(shè)備212上的權(quán)限調(diào)整模塊在允許訪問(wèn)安全區(qū)227�、232之前請(qǐng)求輸入私密密鑰、密碼等等����。權(quán)限規(guī)定模塊462還維護(hù)解密本地和遠(yuǎn)程存儲(chǔ)的公司數(shù)據(jù)224所需的安全證書(shū)(例如�����,密鑰�、密碼和/或密鑰文件)�。因此,當(dāng)移動(dòng)設(shè)備212連接到服務(wù)器214���,并且虛擬安裝物理地本地存儲(chǔ)到移動(dòng)設(shè)備212的公司數(shù)據(jù)時(shí)����,可以由服務(wù)器實(shí)時(shí)地(on-the-fly)執(zhí)行供用戶訪問(wèn)的在本地和/或遠(yuǎn)程的安全和加密區(qū)227���、232��、464中的任何區(qū)域中存儲(chǔ)的公司數(shù)據(jù)224���、231的解密。從而�,如果加密的公司數(shù)據(jù)231是本地安裝的,則在移動(dòng)設(shè)備212上執(zhí)行解密���,以及當(dāng)移動(dòng)設(shè)備212是遠(yuǎn)程虛擬安裝時(shí)����,在遠(yuǎn)程服務(wù)器224上執(zhí)行解密??偠灾虼?,云服務(wù)器214能夠接受用戶連接請(qǐng)求,并在虛擬機(jī)上為遠(yuǎn)程用戶配置用戶會(huì)話��。服務(wù)器214還能夠訪問(wèn)在附著到移動(dòng)設(shè)備的存儲(chǔ)器中(在本地文件系統(tǒng)225中���,或者在外部便攜式存儲(chǔ)設(shè)備230中)存儲(chǔ)的公司數(shù)據(jù)231���。服務(wù)器214允許安裝加密卷,以供遠(yuǎn)程用戶根據(jù)正確輸入用戶或卷的擁有者選擇的私密密鑰來(lái)使用該加密卷����。加密卷可以是移動(dòng)設(shè)備上可用的文件系統(tǒng)225的一部分,可以是在外部便攜式存儲(chǔ)設(shè)備230 (SD卡���、SM、USB key)中配置的安全存儲(chǔ)區(qū)232 (或“容器”)���,或者可以是位于服務(wù)器214處的可遠(yuǎn)程訪問(wèn)的安全存儲(chǔ)區(qū)464�。服務(wù)器214可以實(shí)時(shí)地解密加密數(shù)據(jù),以供移動(dòng)設(shè)備212的“本地”應(yīng)用226和/或服務(wù)器214的“遠(yuǎn)程”應(yīng)用222使用����。服務(wù)器214還配置移動(dòng)設(shè)備212的權(quán)限調(diào)整模塊236,并動(dòng)態(tài)地規(guī)定權(quán)限調(diào)整模塊236�,以允許更新公司策略和/或針對(duì)現(xiàn)有的或新的公司數(shù)據(jù)224、231的策略中的改變��。權(quán)限調(diào)整過(guò)程在圖5的流程圖中示出了可以由移動(dòng)設(shè)備212的權(quán)限調(diào)整模塊236實(shí)現(xiàn)的示例性權(quán)限調(diào)整過(guò)程����。如圖5中看出的,當(dāng)權(quán)限調(diào)整模塊236檢測(cè)到與公司網(wǎng)絡(luò)的服務(wù)器214的網(wǎng)絡(luò)連接時(shí)(SI)��,其根據(jù)公司策略授予針對(duì)移動(dòng)設(shè)備212處本地安裝和解密的公司數(shù)據(jù)231的第一級(jí)數(shù)據(jù)訪問(wèn)權(quán)限(S2)����。類似地,當(dāng)權(quán)限規(guī)定模塊462檢測(cè)到與公司網(wǎng)絡(luò)的移動(dòng)設(shè)備212的網(wǎng)絡(luò)連接時(shí)���,其根據(jù)公司策略授予針對(duì)服務(wù)器214處遠(yuǎn)程虛擬安裝和解密的公司數(shù)據(jù)231的第一級(jí)數(shù)據(jù)訪問(wèn)權(quán)限��。
權(quán)限調(diào)整模塊236繼續(xù)監(jiān)視連接�,直到移動(dòng)設(shè)備從公司網(wǎng)絡(luò)斷開(kāi)(S3)。在該點(diǎn)處����,權(quán)限調(diào)整模塊236將針對(duì)本地存儲(chǔ)的公司數(shù)據(jù)231的訪問(wèn)權(quán)限修改為第二級(jí),在本實(shí)施例中���,第二級(jí)比第一級(jí)更加嚴(yán)格�,但是允許有限的訪問(wèn)(S4)��。例如�,第一級(jí)訪問(wèn)權(quán)限可以允許對(duì)數(shù)據(jù)的讀和寫(xiě),而第二級(jí)可以允許僅讀訪問(wèn)權(quán)限��。然后�����,權(quán)限調(diào)整模塊236和權(quán)限規(guī)定模塊462返回到監(jiān)視連接性�,直到再次檢測(cè)到連接(S5),在該點(diǎn)處���,根據(jù)公司策略將對(duì)公司數(shù)據(jù)231的訪問(wèn)權(quán)限又一次調(diào)整回第一級(jí)��。因此��,上述的通信系統(tǒng)使得在設(shè)備變?yōu)榕c公司網(wǎng)絡(luò)斷開(kāi)時(shí)�����,可進(jìn)行針對(duì)本地存儲(chǔ)的公司數(shù)據(jù)231的數(shù)據(jù)權(quán)限的管理�����。該權(quán)限管理方案通過(guò)允許根據(jù)連接性來(lái)調(diào)整對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限/許可����,提供了更大的靈活性��。從而���,用戶仍然具有在斷開(kāi)時(shí)基于公司安全策略訪問(wèn)數(shù)據(jù)的能力����,雖然潛在地其以與其連接到公司網(wǎng)絡(luò)時(shí)相比更加嚴(yán)格的方式進(jìn)行���。修改和備選以上已經(jīng)描述了詳細(xì)的實(shí)施例��。本領(lǐng)域技術(shù)人員將意識(shí)到�,可以對(duì)以上實(shí)施例進(jìn) 行多個(gè)修改和備選,同時(shí)仍然從在其中實(shí)施的發(fā)明中獲益?�,F(xiàn)在將僅以示意的方式來(lái)描述這些備選和修改中的多個(gè)�����。在上述實(shí)施例中�����,移動(dòng)設(shè)備212和服務(wù)器214各自包括收發(fā)信機(jī)電路���。通常該電路將由專用硬件電路形成����。然而���,在一些實(shí)施例中���,可以將收發(fā)信機(jī)電路的一部分實(shí)現(xiàn)為由對(duì)應(yīng)控制器運(yùn)行的軟件。在以上實(shí)施例中描述了多個(gè)軟件模塊��。本領(lǐng)域技術(shù)人員將意識(shí)到,可以通過(guò)編譯或非編譯的形式提供軟件模塊�,或者可以將軟件模塊作為計(jì)算機(jī)網(wǎng)絡(luò)上的信號(hào)向服務(wù)器或移動(dòng)設(shè)備提供,或者在記錄介質(zhì)上提供�。此外,可以使用一個(gè)或多個(gè)專用硬件電路來(lái)執(zhí)行該軟件的一部分或全部��。然而�,使用軟件模塊是優(yōu)選的�����,因?yàn)槠浔阌跒榱烁路?wù)器和移動(dòng)設(shè)備的功能對(duì)服務(wù)器和移動(dòng)設(shè)備進(jìn)行的更新�����。此外�����,可以不將上述的模塊限定為單獨(dú)的模塊�����,并且可以代之以將其嵌入在服務(wù)器和/或移動(dòng)電話的操作系統(tǒng)中�。在以上描述中����,為了容易理解��,將服務(wù)器214和移動(dòng)設(shè)備212描述了具有多個(gè)分離模塊(例如�,連接/通信控制和權(quán)限指派模塊391、236)��。雖然可以針對(duì)特定的應(yīng)用以這種方式提供這些模塊�,例如,在已經(jīng)修改了現(xiàn)有系統(tǒng)來(lái)實(shí)現(xiàn)本發(fā)明的情況下可以如此�����,在其他應(yīng)用中�����,例如����,在從開(kāi)頭便考慮到該創(chuàng)造性的特征來(lái)設(shè)計(jì)的系統(tǒng)中,可以將這些模塊嵌入到總的操作系統(tǒng)或代碼中���,并因此這些模塊可以是不能辨別為離散實(shí)體的���。在提供單獨(dú)的模塊的情況下����,可以由單個(gè)模塊來(lái)執(zhí)行上述模塊中一個(gè)或多個(gè)模塊的功能����。雖然已經(jīng)主要參考單個(gè)移動(dòng)設(shè)備212和單個(gè)服務(wù)器214來(lái)描述實(shí)施例,但是可以理解�����,多個(gè)移動(dòng)設(shè)備可以連接到公司網(wǎng)絡(luò)或者從公司網(wǎng)絡(luò)斷開(kāi)����,并相應(yīng)地具有其權(quán)限調(diào)整模塊�����。類似地��,移動(dòng)設(shè)備212可以是可連接到公司網(wǎng)絡(luò)(或者具有不同數(shù)據(jù)擁有者的不同網(wǎng)絡(luò))中的任何數(shù)目的服務(wù)器214�����。還將意識(shí)到,移動(dòng)設(shè)備212和計(jì)算機(jī)網(wǎng)絡(luò)214之間的通信可以使用任何適合的無(wú)線或有線通信協(xié)議和相關(guān)的技術(shù)���。例如�����,可以針對(duì)使用Bluetooth和/或WiFi協(xié)議(無(wú)線通信的情況下)�����、IrDA(紅外數(shù)據(jù)協(xié)會(huì))協(xié)議(紅外通信的情況下)和/或通用串行總線(USB)協(xié)議(有線通信的情況下)的通信來(lái)配置移動(dòng)設(shè)備��。還可以針對(duì)經(jīng)由移動(dòng)電話網(wǎng)絡(luò)(例如���,經(jīng)由基站、無(wú)線網(wǎng)絡(luò)控制器��、核心網(wǎng)等)的長(zhǎng)距離通信來(lái)配置移動(dòng)設(shè)備212和服務(wù)器214���,以允許至服務(wù)器214的長(zhǎng)范圍連接����。
將會(huì)意識(shí)到���,雖然將移動(dòng)設(shè)備212描述為移動(dòng)或蜂窩電話(例如�,智能電話),其可以是任何適合的設(shè)備���,例如����,個(gè)人數(shù)字助理(roA)���、掌上型計(jì)算機(jī)或筆記本計(jì)算機(jī)�����。還將意識(shí)到,作為備選或補(bǔ)充���,可以由本地應(yīng)用226向權(quán)限調(diào)整模塊236提供要向其應(yīng)用基于連接性的訪問(wèn)權(quán)限管理的服務(wù)器的標(biāo)識(shí)�����,該本地應(yīng)用226在與云服務(wù)器214的成功連接建立之后提供對(duì)遠(yuǎn)程用戶會(huì)話的訪問(wèn)����。此外,可以將標(biāo)識(shí)服務(wù)器的數(shù)據(jù)����、權(quán)限管理將要基于的連接性存儲(chǔ)在外部存儲(chǔ)設(shè)備230上(例如,在USB設(shè)備等的安全區(qū)232中)和/或本地文件系統(tǒng)225的安全區(qū)227中����。權(quán)限調(diào)整模塊236可以擔(dān)當(dāng)本地代理,該本地代理有效地?fù)?dān)當(dāng)根據(jù)公司策略授予對(duì)公司數(shù)據(jù)的完全或有限訪問(wèn)的管理角色�����。然而�����,要意識(shí)到����,作為備選或補(bǔ)充,單獨(dú)的程序可以擔(dān)當(dāng)在權(quán)限調(diào)整模塊的控制下調(diào)整權(quán)限的角色����。可以使用任何適合的機(jī)制來(lái)執(zhí)行規(guī)定用于對(duì)權(quán)限調(diào)整模塊236如何以及在什么條件下調(diào)整訪問(wèn)權(quán)限進(jìn)行定義的配置參數(shù),例如空中技術(shù)��、SMS推送方法和/或OMA設(shè)備管理機(jī)制��。然而���,可選地或附加地�����,可以通過(guò)在本地文件系統(tǒng)225(或便攜式存儲(chǔ)設(shè)備230)的·安全存儲(chǔ)區(qū)227中存儲(chǔ)初始的和/或缺省的配置參數(shù)來(lái)在權(quán)限調(diào)整模塊236的初始安裝和/或建立期間提供初始規(guī)定�?����?梢灾鹞募蛑鹞臋n地定義訪問(wèn)權(quán)限����,例如,基于向文檔指派的安全等級(jí)和/或基于具體用戶的標(biāo)識(shí)或者用戶在具體組的成員資格���。此外,可以通過(guò)如下的方式來(lái)加密本地和/或遠(yuǎn)程存儲(chǔ)的數(shù)據(jù)(公司的或個(gè)人的)未被顯式地授予訪問(wèn)權(quán)限的用戶不能訪問(wèn)數(shù)據(jù)��。不同的可指派的訪問(wèn)權(quán)限可以擴(kuò)展到超過(guò)對(duì)所存儲(chǔ)的數(shù)據(jù)的簡(jiǎn)單的讀和寫(xiě)��,并且可以包括拷貝文檔和/或?qū)⑵湟苿?dòng)到不同的位置的權(quán)限;打印數(shù)據(jù)或?qū)⑽募降诫娮余]件的權(quán)限���;使用特定的本地應(yīng)用(例如��,文字處理器��、電子數(shù)據(jù)表�����、文檔閱讀器)訪問(wèn)數(shù)據(jù)的權(quán)限����;使用本地應(yīng)用的對(duì)應(yīng)功能來(lái)通過(guò)具體的方式處理數(shù)據(jù)的權(quán)限���,等等����。因此�,訪問(wèn)權(quán)限可以包括讀許可、寫(xiě)許可��、打印許可、拷貝許可����、共享許可、發(fā)送許可�、跟蹤(或不跟蹤)變化的編輯的許可、執(zhí)行的許可�����,等等����。雖然對(duì)用戶來(lái)說(shuō),與連接時(shí)相比����,在從公司網(wǎng)絡(luò)斷開(kāi)時(shí)被授予更受限(更具限制性)的訪問(wèn)權(quán)限是特別有利的,然而可以將權(quán)限調(diào)整模塊配置為在移動(dòng)設(shè)備斷開(kāi)時(shí)授予較少受限制的訪問(wèn)權(quán)限(例如�����,允許用戶在斷開(kāi)時(shí)而不是連接時(shí)進(jìn)行本地可編輯拷貝)����。此夕卜,當(dāng)斷開(kāi)時(shí)����,可以使一些訪問(wèn)權(quán)限更受限制(例如,防止寫(xiě)至IJ“主”拷貝)�,而使其他訪問(wèn)權(quán)限較少受限制(例如,允許進(jìn)行可編輯的拷貝)����。還可以在連接狀態(tài)下使用更多限制性的權(quán)限來(lái)降低感染用戶的移動(dòng)設(shè)備的病毒感染公司網(wǎng)絡(luò)的風(fēng)險(xiǎn)(例如,防止執(zhí)行移動(dòng)設(shè)備本地存儲(chǔ)的可執(zhí)行文件)����。雖然描述了兩個(gè)不同等級(jí)的訪問(wèn)權(quán)限,然而存在任意數(shù)目等級(jí)的訪問(wèn)權(quán)限(或組合)��,該訪問(wèn)權(quán)限(或組合)是可以基于不同的因素以及與公司網(wǎng)絡(luò)的連接性來(lái)指派的����。還可以基于用戶的設(shè)備連接到多個(gè)不同服務(wù)器中的哪一個(gè)來(lái)授予訪問(wèn)權(quán)限的不同組合。此夕卜����,可以簡(jiǎn)單地基于移動(dòng)設(shè)備是否連接到互聯(lián)網(wǎng)來(lái)授予不同的訪問(wèn)權(quán)限,而與移動(dòng)設(shè)備是否經(jīng)由互聯(lián)網(wǎng)連接到具體的云服務(wù)器無(wú)關(guān)�����,對(duì)于防止機(jī)密文件在互聯(lián)網(wǎng)上被有意或無(wú)意共享或以其他方式的公開(kāi)泄露,這是特別有用的��。將意識(shí)到�����,由于權(quán)限調(diào)整模塊236和/或權(quán)限規(guī)定模塊462知道在移動(dòng)設(shè)備連接到服務(wù)器時(shí)應(yīng)該應(yīng)用哪些訪問(wèn)權(quán)限以及在移動(dòng)設(shè)備斷開(kāi)時(shí)應(yīng)該應(yīng)用哪些訪問(wèn)權(quán)限��,可以將它們配置為在調(diào)整(或重新調(diào)整)訪問(wèn)權(quán)限時(shí)僅應(yīng)用訪問(wèn)權(quán)限的不同集合之間的差異����。有利地,這可以提供對(duì)數(shù)據(jù)的更快速的訪問(wèn)����,因?yàn)閮H應(yīng)用第一級(jí)和第二級(jí)之間的差異。各種其他修改對(duì)本領(lǐng)域技術(shù)人員將是顯而易見(jiàn)的����,并在此將不進(jìn)行更詳細(xì)的描述??梢允褂萌魏晤愋偷姆菚簳r(shí)性計(jì)算機(jī)可讀介質(zhì)來(lái)存儲(chǔ)程序或向計(jì)算機(jī)提供程序。非暫時(shí)性計(jì)算機(jī)可讀介質(zhì)包括任何類型的實(shí)際存在的存儲(chǔ)介質(zhì)�����。非暫時(shí)性計(jì)算機(jī)可讀介質(zhì)的示例包括磁存儲(chǔ)介質(zhì)(例如,軟盤(pán)�、磁帶����、硬盤(pán)驅(qū)動(dòng)等等)、光磁存儲(chǔ)介質(zhì)(例如�,磁光盤(pán))、⑶-R0M(緊致盤(pán)只讀存儲(chǔ)器)��、⑶_R(可記錄的緊致盤(pán))�����、⑶-R/W(可重寫(xiě)的緊致盤(pán))以及半導(dǎo)體存儲(chǔ)器(例如�,掩蔽ROM、PROM (可編程ROM)���、EPROM (可擦寫(xiě)PR0M)���、閃存ROM、RAM(隨機(jī)存取存儲(chǔ)器)等等)���?����?梢允褂萌魏晤愋偷臅簳r(shí)性計(jì)算機(jī)可讀介質(zhì)來(lái)向計(jì)算機(jī)提供程序����。暫時(shí)性計(jì)算機(jī)可讀介質(zhì)的示例包括電信號(hào)、光信號(hào)和電磁波�����。暫時(shí)性計(jì)算機(jī)可讀介質(zhì)可以經(jīng)由有線通信線路(例如�����,電線和光纖)或無(wú)線通信線路向計(jì)算機(jī)提供程序�����。 通過(guò)引用進(jìn)行并入本申請(qǐng)基于2010年4月29日提交的英國(guó)專利申請(qǐng)No. 1007151. 2并要求其優(yōu)先權(quán)���,將該專利申請(qǐng)的公開(kāi)以引用的方式整體并入本文����。工業(yè)應(yīng)用性本發(fā)明涉及用于管理數(shù)據(jù)訪問(wèn)權(quán)限的系統(tǒng)、方法和相關(guān)聯(lián)的設(shè)備�����,以及具體地但是非限制地���,涉及對(duì)存儲(chǔ)在移動(dòng)通信設(shè)備的存儲(chǔ)器中或適于連接到移動(dòng)通信設(shè)備的便攜式存儲(chǔ)設(shè)備上的數(shù)據(jù)的訪問(wèn)權(quán)限的管理。附圖標(biāo)記列表110��、210 通信系統(tǒng)112�����、212 移動(dòng)設(shè)備114云服務(wù)器116計(jì)算機(jī)網(wǎng)絡(luò)118 基站120無(wú)線路由器122 應(yīng)用124�、131、224��、231 公司數(shù)據(jù)126,226 應(yīng)用128虛擬化的訪問(wèn)130便攜式存儲(chǔ)設(shè)備132����、227、232 安全存儲(chǔ)區(qū)214云服務(wù)器216 IP NW222 應(yīng)用225本地文件系統(tǒng)229,233 個(gè)人區(qū)230便攜式存儲(chǔ)設(shè)備
236權(quán)限調(diào)整模塊371�、453收發(fā)信機(jī)電路372、451 網(wǎng)絡(luò)接口373 基站接口375,450 控制器377揚(yáng)聲器
379麥克風(fēng)381 顯示器383 鍵盤(pán)385����、457 存儲(chǔ)器387����、459 操作系統(tǒng)389存儲(chǔ)單元接口391�、460連接/通信控制462權(quán)限規(guī)定464加密卷
權(quán)利要求
1.一種管理數(shù)據(jù)的訪問(wèn)權(quán)限的方法,所述數(shù)據(jù)相對(duì)于連接到網(wǎng)絡(luò)的移動(dòng)通信設(shè)備本地保存���,所述數(shù)據(jù)具有訪問(wèn)權(quán)限的第一集合�����,所述方法包括 檢測(cè)所述移動(dòng)通信設(shè)備從網(wǎng)絡(luò)斷開(kāi)��;以及 在檢測(cè)到斷開(kāi)時(shí)��,針對(duì)所述數(shù)據(jù)�����,將訪問(wèn)權(quán)限從所述訪問(wèn)權(quán)限的第一集合調(diào)整為訪問(wèn)權(quán)限的第二集合���; 其中,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合。
2.根據(jù)權(quán)利要求I所述的方法��,其中����,所述訪問(wèn)權(quán)限的第二集合包括比所述訪問(wèn)權(quán)限的第一集合中的對(duì)應(yīng)訪問(wèn)權(quán)限更具限制性的至少一個(gè)訪問(wèn)權(quán)限。
3.根據(jù)權(quán)利要求I或2所述的方法����,其中,所述訪問(wèn)權(quán)限的第一集合和所述訪問(wèn)權(quán)限的第二集合均包括讀許可�、寫(xiě)許可和執(zhí)行許可中的至少一項(xiàng)。
4.根據(jù)權(quán)利要求I至3中任一項(xiàng)所述的方法�,其中�,所述將所述訪問(wèn)權(quán)限調(diào)整為所述訪問(wèn)權(quán)限的第二集合包括授予根據(jù)以下至少一項(xiàng)改變的訪問(wèn)權(quán)限包括所述數(shù)據(jù)的文件的標(biāo)識(shí);包括所述數(shù)據(jù)的文件的文件類型�;向包括所述數(shù)據(jù)的文件指派的權(quán)限訪問(wèn)等級(jí);包括所述數(shù)據(jù)的文件在預(yù)定組中的成員資格����;以及包括所述數(shù)據(jù)的文件所位于的目錄的標(biāo)識(shí)。
5.根據(jù)權(quán)利要求I至4中任一項(xiàng)所述的方法��,其中�,所述將所述訪問(wèn)權(quán)限調(diào)整為所述訪問(wèn)權(quán)限的第二集合包括授予根據(jù)所述移動(dòng)設(shè)備的用戶的標(biāo)識(shí)和/或所述移動(dòng)設(shè)備的用戶在預(yù)定用戶組中的成員資格而改變的訪問(wèn)權(quán)限。
6.根據(jù)權(quán)利要求I至5中任一項(xiàng)所述的方法,其中��,檢測(cè)所述移動(dòng)通信設(shè)備從網(wǎng)絡(luò)斷開(kāi)包括檢測(cè)所述移動(dòng)設(shè)備從預(yù)定服務(wù)器設(shè)備斷開(kāi)��。
7.根據(jù)權(quán)利要求6所述的方法��,其中����,所述方法還包括確定所述移動(dòng)通信設(shè)備連接到服務(wù)器設(shè)備;獲得對(duì)所述移動(dòng)設(shè)備連接到的服務(wù)器設(shè)備的標(biāo)識(shí)進(jìn)行表示的信息���;獲得對(duì)預(yù)定服務(wù)器設(shè)備的標(biāo)識(shí)進(jìn)行表示的信息��;以及將所述移動(dòng)設(shè)備連接到的服務(wù)器設(shè)備的標(biāo)識(shí)與所述預(yù)定服務(wù)器設(shè)備的標(biāo)識(shí)進(jìn)行比較���,由此確定所述移動(dòng)設(shè)備與所述預(yù)定服務(wù)器設(shè)備的連接性。
8.根據(jù)權(quán)利要求7所述的方法�,其中,所述方法由在所述移動(dòng)設(shè)備上操作的權(quán)限管理模塊執(zhí)行�,以及所述對(duì)預(yù)定服務(wù)器設(shè)備的標(biāo)識(shí)進(jìn)行表示的信息是從提供用于配置所述權(quán)限管理模塊的配置參數(shù)獲得的。
9.根據(jù)權(quán)利要求7所述的方法�����,其中,所述對(duì)預(yù)定服務(wù)器設(shè)備的標(biāo)識(shí)進(jìn)行表示的信息是從相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)檢索到的�����。
10.根據(jù)權(quán)利要求7所述的方法�,其中,所述對(duì)預(yù)定服務(wù)器設(shè)備的標(biāo)識(shí)進(jìn)行表示的信息是通過(guò)從在所述移動(dòng)通信設(shè)備上本地運(yùn)行的應(yīng)用程序接收所述信息而獲得的��。
11.根據(jù)權(quán)利要求I至10中任一項(xiàng)所述的方法�����,其中�����,所述數(shù)據(jù)被加密����,以及所述方法包括當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)���,在所述移動(dòng)通信設(shè)備上解密被授予訪問(wèn)權(quán)限的數(shù)據(jù)�。
12.根據(jù)權(quán)利要求I至11中任一項(xiàng)所述的方法�����,其中,所述數(shù)據(jù)被加密���,以及所述方法包括當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)����,從服務(wù)器設(shè)備接收被授予訪問(wèn)權(quán)限的數(shù)據(jù)的解密版本���。
13.根據(jù)權(quán)利要求I至12中任一項(xiàng)所述的方法��,其中��,所述方法包括檢測(cè)嘗試在所述移動(dòng)通信設(shè)備上安裝存儲(chǔ)有所述數(shù)據(jù)的便攜式存儲(chǔ)設(shè)備����;請(qǐng)求所述移動(dòng)通信設(shè)備的用戶輸入安全輸入信息����;從用戶接收所述安全輸入信息;驗(yàn)證接收到的安全輸入信息���;如果成功驗(yàn)證所述安全輸入信息�,則允許成功安裝所述便攜式存儲(chǔ)設(shè)備;以及如果沒(méi)有成功驗(yàn)證所述安全輸入信息�,則禁止安裝所述便攜式存儲(chǔ)設(shè)備。
14.根據(jù)權(quán)利要求I至13中任一項(xiàng)所述的方法��,其中��,所述方法還包括檢測(cè)所述移動(dòng)通信設(shè)備到網(wǎng)絡(luò)的連接性從斷開(kāi)到連接的改變�����,以及在檢測(cè)到所述改變時(shí)����,將訪問(wèn)權(quán)限從所述訪問(wèn)權(quán)限的第二集合調(diào)整為所述訪問(wèn)權(quán)限的第一集合。
15.一種規(guī)定移動(dòng)設(shè)備以管理數(shù)據(jù)的訪問(wèn)權(quán)限的方法����,所述數(shù)據(jù)相對(duì)于所述移動(dòng)通信設(shè)備本地保存,所述方法包括 在所述移動(dòng)通信設(shè)備處接收對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合進(jìn)行定義的配置參數(shù)���,所述訪問(wèn)權(quán)限的第一集合用于當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)使用���; 在所述移動(dòng)通信設(shè)備處接收對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合進(jìn)行定義的配置參數(shù)����,所述訪問(wèn)權(quán)限的第二集合用于當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)使用�;以及 存儲(chǔ)所述配置參數(shù)�,供在管理相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的所述訪問(wèn)權(quán)限時(shí)使用; 其中�,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合。
16.一種規(guī)定移動(dòng)設(shè)備以管理數(shù)據(jù)的訪問(wèn)權(quán)限的方法�,所述數(shù)據(jù)相對(duì)于所述移動(dòng)通信設(shè)備本地保存,所述方法包括 向所述移動(dòng)通信設(shè)備提供對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合進(jìn)行定義的配置參數(shù)��,所述訪問(wèn)權(quán)限的第一集合用于當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)使用��;以及 向所述移動(dòng)通信設(shè)備提供對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合進(jìn)行定義的配置參數(shù)�,所述訪問(wèn)權(quán)限的第二集合用于當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)使用; 其中���,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合����。
17.根據(jù)權(quán)利要求16所述的方法���,其中�,所述方法包括確定更新的配置參數(shù)是可用的��;以及響應(yīng)于所述確定,向所述移動(dòng)通信設(shè)備提供所述更新的配置參數(shù)�。
18.根據(jù)權(quán)利要求16或17所述的方法,其中��,所述提供所述配置參數(shù)包括:提供定義訪問(wèn)權(quán)限的配置參數(shù)����,所述訪問(wèn)權(quán)限取決于以下至少一項(xiàng)包括所述數(shù)據(jù)的文件的標(biāo)識(shí);包括所述數(shù)據(jù)的文件的文件類型���;向包括所述數(shù)據(jù)的文件指派的權(quán)限訪問(wèn)等級(jí)����;包括所述數(shù)據(jù)的文件在預(yù)定組中的成員資格���;和/或包括所述數(shù)據(jù)的文件所位于的目錄的標(biāo)識(shí)�。
19.一種移動(dòng)通信設(shè)備��,所述移動(dòng)通信設(shè)備具有用于相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行管理的裝置�����,所述訪問(wèn)權(quán)限管理裝置包括用于連接網(wǎng)絡(luò)的裝置�����,其中�����,當(dāng)所述移動(dòng)設(shè)備連接到網(wǎng)絡(luò)時(shí)��,所述數(shù)據(jù)具有訪問(wèn)權(quán)限的第一集合�;用于檢測(cè)所述移動(dòng)設(shè)備從網(wǎng)絡(luò)斷開(kāi)的裝置;以及用于在檢測(cè)到斷開(kāi)時(shí)��,針對(duì)所述數(shù)據(jù)����,將訪問(wèn)權(quán)限從所述訪問(wèn)權(quán)限的第一集合調(diào)整為訪問(wèn)權(quán)限的第二集合的裝置,其中����,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合。
20.一種移動(dòng)通信設(shè)備�,所述移動(dòng)通信設(shè)備具有用于對(duì)相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行管理的裝置,所述訪問(wèn)權(quán)限管理裝置包括用于在所述移動(dòng)通信設(shè)備處接收對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合進(jìn)行定義的配置參數(shù)的裝置���,所述訪問(wèn)權(quán)限的第一集合用于當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)使用����;用于在所述移動(dòng)通信設(shè)備處接收對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合進(jìn)行定義的配置參數(shù)的裝置,所述訪問(wèn)權(quán)限的第二集合用于當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)使用�����;以及����,用于存儲(chǔ)所述配置參數(shù)供在管理相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的所述訪問(wèn)權(quán)限時(shí)使用的裝置,其中�,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合。
21.根據(jù)權(quán)利要求19所述的移動(dòng)通信設(shè)備�,其中,所述權(quán)限管理裝置包括可操作為在所述移動(dòng)通信設(shè)備上運(yùn)行的權(quán)限管理模塊��。
22.根據(jù)權(quán)利要求21所述的移動(dòng)通信設(shè)備��,其中�����,所述權(quán)限管理模塊可操作為在所述移動(dòng)設(shè)備的引導(dǎo)時(shí)進(jìn)行啟動(dòng)���。
23.一種服務(wù)器設(shè)備����,所述服務(wù)器設(shè)備具有用于規(guī)定移動(dòng)設(shè)備對(duì)相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行管理的裝置,所述規(guī)定裝置包括用于向所述移動(dòng)通信設(shè)備提供對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合進(jìn)行定義的配置參數(shù)的裝置���,所述訪問(wèn)權(quán)限的第一集合用于當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)使用;以及用于向所述移動(dòng)通信設(shè)備提供對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合進(jìn)行定義的配置參數(shù)的裝置�����,所述訪問(wèn)權(quán)限的第二集合用于當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)使用����;其中,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合�。
24.一種非暫時(shí)性計(jì)算機(jī)可讀介質(zhì),所述非暫時(shí)性計(jì)算機(jī)可讀介質(zhì)存儲(chǔ)用于使計(jì)算機(jī)執(zhí)行根據(jù)權(quán)利要求I至17中任一項(xiàng)所述方法的程序�����。
25.—種移動(dòng)通信設(shè)備���,所述移動(dòng)通信設(shè)備具有用于管理相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的訪問(wèn)權(quán)限的模塊��,所述訪問(wèn)權(quán)限管理模塊被操作為(i)確定所述移動(dòng)通信設(shè)備與網(wǎng)絡(luò)的連接性��;(ii)當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)���,授予對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合��;以及(iii)當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)�,授予對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合�,其中,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合��。
26.—種移動(dòng)通信設(shè)備����,所述移動(dòng)通信設(shè)備具有用于管理對(duì)相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的訪問(wèn)權(quán)限的模塊,所述訪問(wèn)權(quán)限管理模塊被操作為(i)接收對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合進(jìn)行定義的配置參數(shù)���,所述訪問(wèn)權(quán)限的第一集合用于當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)使用����;(ii)接收對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合進(jìn)行定義的配置參數(shù)��,所述訪問(wèn)權(quán)限的第二集合用于當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)使用���;以及(iii)存儲(chǔ)所述配置參數(shù)�,供在管理相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的所述訪問(wèn)權(quán)限時(shí)使用,其中�����,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合����。
27.一種服務(wù)器設(shè)備�,所述服務(wù)器設(shè)備具有用于規(guī)定移動(dòng)設(shè)備對(duì)相對(duì)于所述移動(dòng)通信設(shè)備本地保存的數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行管理的規(guī)定模塊,所述規(guī)定模塊可操作為向所述移動(dòng)通信設(shè)備提供(i)對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第一集合進(jìn)行定義的配置參數(shù)�,所述訪問(wèn)權(quán)限的第一集合用于當(dāng)所述移動(dòng)通信設(shè)備連接到網(wǎng)絡(luò)時(shí)使用;以及(ii)對(duì)所述數(shù)據(jù)的訪問(wèn)權(quán)限的第二集合進(jìn)行定義的配置參數(shù)���,所述訪問(wèn)權(quán)限的第二集合用于當(dāng)所述移動(dòng)通信設(shè)備沒(méi)有連接到網(wǎng)絡(luò)時(shí)使用�����,其中��,所述訪問(wèn)權(quán)限的第一集合不同于所述訪問(wèn)權(quán)限的第二集合�����。
全文摘要
本發(fā)明介紹了一種訪問(wèn)權(quán)限管理系統(tǒng)����,其中,可以允許移動(dòng)設(shè)備以靈活的方式訪問(wèn)公司保存的數(shù)據(jù)��,然而數(shù)據(jù)的安全性和完整性得到維持���。移動(dòng)設(shè)備具有權(quán)限調(diào)整模塊����,權(quán)限調(diào)整模塊根據(jù)移動(dòng)設(shè)備與公司服務(wù)器的連接性來(lái)修改針對(duì)本地存儲(chǔ)的公司數(shù)據(jù)的訪問(wèn)權(quán)限��。
文檔編號(hào)H04W12/08GK102906758SQ20118002155
公開(kāi)日2013年1月30日 申請(qǐng)日期2011年4月18日 優(yōu)先權(quán)日2010年4月29日
發(fā)明者弗雷德里克·富克阿村, 比諾依特·萊柯羅爾特, 奧利維爾·佩龍 申請(qǐng)人:日本電氣株式會(huì)社