CN105027493A - 安全移动应用连接总线 - Google Patents
安全移动应用连接总线 Download PDFInfo
- Publication number
- CN105027493A CN105027493A CN201380070097.7A CN201380070097A CN105027493A CN 105027493 A CN105027493 A CN 105027493A CN 201380070097 A CN201380070097 A CN 201380070097A CN 105027493 A CN105027493 A CN 105027493A
- Authority
- CN
- China
- Prior art keywords
- mobile solution
- application
- data
- mobile
- data storing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了一种安全移动应用连接总线。将第一加密信息和与移动设备上的数据储存位置相关联的标识符从第一应用提供至第二应用。从所述数据储存位置检索与第二移动应用相关联的第二加密信息。第二移动应用被配置成向所述数据储存位置提供数据。经由所述数据储存位置在第一移动应用和第二移动应用之间安全地传输数据。
Description
对其他申请的交叉引用
本申请要求2012年12月21日提交的题为“SECURE MOBILE APP CONNECTION BUS(安全移动应用连接总线)”的美国临时专利申请NO.61/745052的优先权,出于所有目的通过引用将其并入本文。
背景技术
诸如智能电话和平板计算机之类的移动设备可以包括来自包括可信(trusted)应用存储库、第三方应用存储库、企业内部开发者和/或其他源的各种源的多个应用。并且,每个应用可以具有管理其配置、策略、数据和/或其他属性的独特方法。在某些情况下,可以在移动设备管理(MDM)框架内管理一个或多个应用,所述移动设备管理(MDM)框架包括例如移动设备上的管理代理和/或管理服务器。不同类型应用之间的安全通信对于移动设备的适当运作是有帮助的。
附图说明
在下面详细的描述和附图中公开本发明的各种实施例。
图1是图示包括安全移动应用连接总线的***的实施例的框图。
图2是图示移动应用之间的安全通信的过程的实施例的流程图。
图3是图示移动应用之间的安全通信的过程的实施例的流程图。
图4是图示移动应用之间的安全通信的过程的实施例的流程图。
图5是图示移动应用之间的安全通信的过程的实施例的流程图。
图6是图示使用安全应用连接总线的移动应用管理的过程的流程图。
图7是图示使用安全应用连接总线的移动应用管理的过程的流程图。
具体实施方式
本发明可以以许多方式来实现,包括作为过程;装置;***;复合体;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置成执行指令的处理器,所述指令存储在耦合至处理器的存储器上和/或由其提供。在本说明书中,这些实现方式或本发明可能采用的任何其他形式可以称为技术。一般而言,所公开过程步骤的次序可以在本发明的范围内变化。除非另有说明,诸如描述为配置成执行任务的处理器或存储器之类的组件可以被实现为在给定时间临时被配置成执行任务的通用组件或者制造成执行任务的特定组件。如本文中所使用的,术语“处理器”是指被配置成处理诸如计算机程序指令之类的数据的一个或多个设备、电路和/或处理核。
下文连同图示本发明原理的附图提供对本发明的一个或多个实施例的详细描述。本发明结合这样的实施例来描述,但是本发明不限于任何实施例。本发明的范围仅由权利要求限制,且本发明包含许多替换方案、修改和等同物。在下面的描述中阐述许多特定细节以便提供对本发明的透彻理解。出于示例的目的提供了这些细节,且本发明可以根据不具有这些特定细节中的一些或全部的权利要求来实践。为了清楚的目的,没有详细描述在与本发明相关的技术领域中已知的技术资料,从而本发明未被不必要地模糊。
公开了一种安全移动应用连接总线。在各种实施例中,可以使用安全移动应用连接总线(例如,安全应用间连接总线、安全移动应用通信总线、安全移动应用命令总线)来在应用之间安全地传输信息(例如命令、配置信息、策略)。在一些实施例中,本文公开的技术允许管理服务器和安装在设备上的可信管理代理(例如管理应用)具有双向安全应用连接总线来在保持无缝的用户体验的同时管理移动设备上的应用(例如应用配置、策略等)。例如,安全连接总线可以用于在(一个或多个)托管(managed)应用和运行在移动设备上的可信管理代理之间安全地传输命令/信息。
根据各种实施例,通过交换以加密形式传输数据所需的信息来建立安全应用连接总线,所述以加密形式传输数据是通过将经加密的数据存储在(一个或多个)发送和接收应用可访问的储存位置来进行的。在一些实施例中,将第一加密信息和与移动设备上的数据储存位置相关联的标识符从第一应用提供至第二应用。从所述数据储存位置检索(retrieve)与第二移动应用相关联的第二加密信息。第二移动应用被配置成向数据储存位置提供数据。经由所述数据储存位置在第一移动应用和第二移动应用之间安全地传输数据。在各种实施例中,在第一移动应用、数据储存位置和第二应用之间的安全传输的路径(例如,隧道)、技术和/或过程可以是安全应用连接总线。
图1是图示包括安全移动应用连接总线的***的实施例的框图。在所示的示例中,移动设备100(例如智能电话、平板计算机等)包括管理代理102(例如移动设备管理(MDM)代理、可信管理代理、信任客户端应用)、(一个或多个)托管应用104((一个或多个)托管客户端应用)、(一个或多个)非托管应用106(例如(一个或多个)非授权应用、(一个或多个)不可信应用)和/或其他应用。管理代理102、托管应用104和/或其他组件可以是MDM***的组件。管理代理102、托管应用104和/或其他组件被配置成经由安全移动应用连接总线108(例如安全应用间连接总线、安全应用命令总线、安全应用通信总线等)以可信方式共享信息/数据。例如,可以在被授权访问安全连接总线108的应用之间以可信方式共享信息。
在一些实施例中,库110(例如编译到应用中、包封到应用中的库)可以与托管应用104相关联。库110可以修改应用的代码以表现得不同于应用的对应未修改版本表现的那样。例如,库110可以将托管应用104重配置成允许管理代理102来代表托管应用而执行动作,包括调用移动操作***组件、使用移动设备资源和访问/存储应用数据。库110可以作为托管应用104和管理代理102和/或(一个或多个)其他托管应用104之间的通信的媒介。在一些实施例中,库110可以应用配置改变、实施策略、执行动作和/或执行托管应用104内的其他操作。
根据各种实施例,管理代理102、托管应用104和/或其他元件被配置成经由安全移动应用连接总线108以可信方式(例如安全地)传输数据。在一些实施例中,通过将数据以加密形式存储在可由被授权经由总线108通信的实体访问的数据储存位置(例如,粘贴板、共享密钥链位置和/或其他储存器)中,数据可以在被授权为具有对安全移动应用连接总线108的访问权的应用之间以可信方式传输。在各种实施例中,通过调用包括经加密的数据的与第二应用相关联的统一资源定位符(URL)方案,数据可以以可信方式从第一应用(例如管理代理102)传输至被授权为具有对安全移动应用连接总线108的访问权的第二应用(例如托管应用104)。使用安全移动连接总线108在应用之间传输数据的技术在下面详细讨论。
根据各种实施例,移动设备100和(一个或多个)企业后端服务器112(例如企业服务器、文件服务器、电子邮件服务器、应用服务器等)、企业内容114(例如文件、企业数据)、网络资源和/或其他组件之间的通信通过安全性实施节点116(例如反向代理服务器、看守(sentry))。在各种实施例中,安全性实施节点116是用于托管应用104和诸如后端服务器112之类的企业服务器之间的同步、数据传输和/或其他业务的反向代理。在处理(例如管理)所述业务(例如安全传输的数据)的同时,所述安全性实施节点116可以优化业务(例如压缩)和/或基于一个或多个策略而添加、修改和/或从安全性管理平台112移除内容(例如向web(网络)请求添加紧急报警)。在电子邮件的情况下,在各种实施例中,安全性实施节点116中继(relay)移动设备(诸如移动设备100)与后端电子邮件服务器(例如Microsoft Exchange?服务器)或用于其他电子邮件业务的代理(例如IMAP、MAPI 和 SMTP)之间的业务。在内容管理和/或文件或其他内容共享服务(诸如SharePoint?, WebDAV和文件服务器)的情况下,安全性实施节点116在各种实施例中用作用于可应用协议(例如Microsoft SharePoint?、WebDAV或文件服务器协议)的代理(例如反向代理)。在各种实施例中,库110可以向安全性实施节点116提供安全隧道传输上层协议(例如安全套接字层/传输层安全性(SSL/TLS)隧道)。利用安全隧道传输,任何托管应用104可以使用安全性实施节点116连接至企业服务器112。在各种实施例中,安全性实施节点116可以将未加密的业务归档至例如一个或多个归档服务器。
在各种实施例中,安全性管理平台118(例如虚拟智能电话平台、安全性管理服务器等)管理与移动设备100相关联的(一个或多个)配置、(一个或多个)策略和/或设置。安全管理平台118可以管理(例如控制、指示、确定)移动设备100上的托管应用104中的一个或多个的配置、策略、设置和/或其他功能方面。例如,安全性管理平台118可以使用管理代理102作为媒介来与托管应用104通信。针对托管应用104的配置改变、政策更新、设置改变和/或命令可以被推送至管理代理102以供安全地分发至应用104。在一些实施例中,管理代理102可以例如连接至安全性管理平台118(例如周期地)以更新设备100状态、检索策略信息、检索配置信息和/或执行其他操作。管理代理102可以经由安全移动应用连接总线108在安全性管理平台118和托管应用104之间安全地传输信息。
在各种实施例中,库110可以使用从安全性管理平台118接收(例如从中推送)的安全性令牌(例如(一个或多个)证书、应用标识、认证状态等)。安全性实施节点116可以利用(例如针对)安全性管理平台118上的策略来分析(例如评估)安全性令牌以确定是否允许、限制(例如部分允许)和/或拒绝对企业服务器112的访问。在各种实施例中,库110可以向第三方服务器提供安全性令牌以在认证操作中使用。(一个或多个)第三方服务器可以例如向安全性管理平台118验证所述安全性令牌。
图2是图示移动应用之间的安全通信的过程的实施例的流程图。在各种实施例中,通过图1的***100执行所述过程。在200处,从第一移动应用向第二移动应用提供第一加密信息和与移动设备上的数据储存位置相关联的标识符。在一些实施例中,第一加密信息可以包括由第一应用生成的加密握手信息(例如与私人-公共密钥对相关联的公共密钥)。
在各种实施例中,数据储存位置可以包括粘贴板、共享密钥链、原生MDM框架中关联的数据储存位置和/或移动设备上的任何其他储存位置(例如存储器)。在一个示例性实施例中,所述数据储存位置可以包括设备上的粘贴板。所述粘贴板可以包括移动设备上存储器的命名区域,其中信息可以在应用、应用中的对象和/或其他元件之间共享。通过示例的方式,移动设备(例如原生操作***)可以包括一个或多个粘贴板,所述粘贴板包括例如***范围粘贴板(例如通用粘贴板(例如用于涉及任何类型数据的复制-粘贴操作的粘贴板)、查找粘贴板(例如用于搜索操作的粘贴板))、专用粘贴板(例如由(一个或多个)应用生成的粘贴板)、和/或其他类型的粘贴板。例如,一个应用可以向粘贴板提供信息以供另一应用检索。
根据一些实施例,第一加密信息、与数据储存位置相关联的(一个或多个)标识符和/或其他信息可以经由通过第二应用、经由统一资源定位符(URL)方案(例如下面将讨论的)和/或使用其他技术可访问的数据储存位置从第一应用提供至第二应用。
在210处,可以(例如通过第一移动应用)从数据储存位置检索与第二应用相关联的第二加密信息。在一些实施例中,第二加密信息可以包括与第二移动应用相关联的加密信息。第二加密信息可以包括由第二移动应用(例如移动设备上的托管应用)生成的加密握手信息。在各种实施例中,第二加密信息可以包括与第二移动应用相关联的一个或多个证书(credential)。与第二移动应用相关联的证书可以包括应用标识符、包(bundle)标识符(例如包ID)和/或其他证书信息。在一些实施例中,第二移动应用可以被配置成从数据储存位置接收数据和向数据存储位置提供数据。例如,与第二移动应用相关联的库和/或软件开发套件(SDK)可以编制数据到数据储存位置的传输。在各种实施例中,可以通过第一移动应用从数据储存位置检索第二加密信息。
在220处,经由数据存储位置在第一应用和第二移动应用之间安全地传输数据。在一些实施例中,使用第一加密信息和第二加密信息中的一个或多个来加密数据(例如(一个或多个)有效载荷、应用配置信息、策略、设置、文件、命令和/或任何类型的数据)。例如,第一移动应用可以使用密钥(例如与第一移动应用生成的私人-公共密钥对相关联的私人密钥)来加密数据,经加密的数据可以被提供至数据储存位置(例如粘贴板、安全密钥链储存位置、与原生于设备的MDM框架相关联的储存位置)以供第二应用检索。第二应用可以从所述数据储存位置检索经加密的数据并使用第一加密信息和/或第二加密信息中的一个或多个来解密所述数据。第二应用可以使用相似的过程来加密数据并将经加密的数据提供至所述数据储存位置以供第一应用检索。通过使用这些技术(例如安全应用连接总线),可以在第一移动应用和第二移动应用之间安全地传输数据。
图3是图示移动应用之间的安全通信的过程的实施例的流程图。在各种实施例中,所述过程由图1的***100来执行。图3的过程图示了用于从第一移动应用(例如移动设备上的管理代理)的视角生成安全应用连接总线的过程的实施例。在300处,可以生成第一加密信息(例如通过第一应用、安全性管理服务器)。在各种实施例中,第一加密信息是由第一应用(例如移动代理)、安全性管理平台和/或其他组件生成的加密握手信息。可以生成所述第一加密信息以建立用于第一移动应用和第二移动应用之间的安全连接的机制。
在一些实施例中,第一和第二应用应用之间的通信可以使用Diffie-Hellman非对称加密、公共-密钥密码术、非对称密码术、RSA加密和/或其他方法来保护。当然,这些是用于保护在应用之间传递的数据的一些示例方法;然而,任何合适的加密(例如密码术)方法可以用于加密/保护本文讨论的信息(例如有效载荷)。在一些实施例中,移动应用、移动设备操作***、安全性管理平台和/或其他组件可以被配置成使用任何加密技术来加密数据。
在一些实施例中,第一加密信息可以包括由第一移动应用(例如移动设备上的管理代理)生成的加密握手关联的信息。例如,第一加密信息可以包括与在第一应用(例如移动设备上管理代理)处生成的私人-公共密钥对(例如加密密钥对)相关联的公共密钥。所述私人-公共密钥对可以用于加密信息,使得仅第一移动应用和第二移动应用可以访问(例如解密)经加密的信息。
在各种实施例中,第一加密信息可以包括由安全性管理平台(例如MDM服务器)生成的加密握手关联的信息,所述安全性管理平台(例如,经由设备上的管理代理)管理移动设备上的一个或多个应用。例如,第一加密信息可以包括与在安全性管理平台处生成的私人-公共密钥对相关联的公共密钥。在该示例中,第一应用(例如管理应用)可以用作媒介来向第二移动应用(例如目的地托管应用)部署第一加密信息。在该情况下,经由第一移动应用(例如管理代理)从安全性管理平台传输至第二移动应用(例如托管应用)的信息可以不被第一移动应用(例如管理代理)解密。
在310处,可以(例如通过第一移动应用)确定在设备上是否存在合适的数据储存位置以用于在第一移动应用和第二移动应用之间的数据传输。如上讨论的,适用于应用之间信息的安全传输的数据储存位置包括粘贴板(例如专用粘贴板)、共享密钥链、与原生MDM框架(例如iOS MDM框架)相关联的数据储存位置、和/或其他数据储存位置。在一些实施例中,可以使用与移动设备(例如,原生于移动设备的)相关联的***粘贴板(例如通用粘贴板)。然而,与专用粘贴板相比,***粘贴板可能不太安全,并且可以确定应当生成专用粘贴板。
在各种实施例中,可以(例如通过第一移动应用)标识共享密钥链(例如证书)储存位置。与设备相关联的操作***可以例如提供用于一个或多个应用的证书储存位置。在一些实施例中,证书储存位置可以用于在应用之间传输数据(例如,可以用作数据储存位置)。
在设备上存在数据储存位置(例如之前生成的)的情况下,过程可以继续进行到步骤330。在设备上不存在数据储存位置的情况下,过程可以继续进行到步骤320。
在320处,可以生成数据储存位置。在各种实施例中,第一移动应用(例如管理代理)可以在设备上生成数据储存位置。如上文讨论的,数据储存位置可以包括粘贴板、共享密钥链、与原生MDM框架相关联的数据储存位置和/或移动设备上的任何其他储存位置(例如存储器)。
在一些实施例中,第一移动应用(例如管理代理)可以生成粘贴板(例如专用粘贴板)以与第二移动应用共享信息。在各种实施例中,与第一应用相关联的对象可以通过调用/调入(call)与移动设备的操作***相关联的粘贴板生成类方法来生成专用粘贴板。专用粘贴板可以被生成并且粘贴板标识符(例如粘贴板对象、唯一标识符)可以被返回至第一移动应用。在一些实施例中,可以(例如通过第一移动应用)指定所述粘贴板是否是持久的(例如在所述应用被关闭/退出之后保持存在)。所述粘贴板可以用于在第一移动应用内传输数据和/或将数据从第一移动应用传输至第二移动应用。当然,上文讨论的粘贴板示例是一个示例数据储存位置,并且可以生成其他类型的数据储存位置。
在330处,可以向第二应用提供第一加密信息和与数据储存位置相关联的标识符。在一些实施例中,可以使用各种方法将第一加密信息、与数据储存位置相关联的标识符和/或其他信息提供至第二移动应用。在各种实施例中,用于从第一应用(例如管理代理)提供信息至第二应用(例如托管应用)的方法可以由移动设备外部的安全性管理平台(例如安全性管理服务器)来管控。在该情况下,所确定的信息传输方法可以从安全性管理平台推送至管理代理以用于在移动设备上实施。
在各种实施例中,可以使用与第二移动应用相关联的URL方案将第一加密信息、与数据储存位置相关联的标识符和/或其他信息从第一应用提供至第二应用。例如,设备上的一个或多个移动应用可以均与专用URL方案相关联(例如应用“ABC”可以与URL方案“abc://”相关联)。例如应用可以向移动设备操作***注册URL方案,并且一旦被注册,其他应用、操作***和/或其他组件可以使用所述URL方案来引用、调用和/或以其他方式与应用交互。与应用相关联的URL方案可以例如存储在URL方案储存库中。
在一些实施例中,第一应用可以查询与移动设备相关联的操作***以确定/标识/检索与第二移动应用相关联的URL方案。通过示例的方式,OS可以在储存库/数据库中查找URL方案并将该URL方案信息提供至第一移动应用。
根据一些实施例,URL方案可以用于将数据从第一应用传输至第二应用。例如,第一移动应用(例如管理代理)可以通过调入包括数据串的与托管应用相关联的URL方案(例如,管理应用可以调入“abc://12345”)将数据(例如数据串“12345”)传递至第二移动应用(例如托管应用“ABC”)。当托管应用(例如,ABC应用)接收到URL时,其可以处理(例如解析)URL并获取内容(例如“12345”)以供其使用。通过使用这些技术,可以将第一加密信息、与数据储存位置相关联的标识符和/或其他信息从第一应用提供至第二应用。
在一些实施例中,可以将第一加密信息、与数据储存位置相关联的标识符和/或其他信息提供至与移动设备相关联的通用粘贴板(例如数据储存位置)。并且,第二应用可以被配置成从通用粘贴板检索所述信息。
在340处,可以从数据储存位置检索与第二移动应用相关联的第二加密信息。在各种实施例中,第二加密信息可以包括由第二移动应用(例如移动设备上托管应用)生成的加密握手关联的信息、与第二移动应用相关联的证书和/或其他信息。在一些实施例中,所述加密握手信息可以包括与第二应用(例如移动设备上的管理代理)生成的私人-公共密钥对(例如加密密钥对)相关联的公共密钥(例如第二应用公共密钥)。在各种实施例中,第二加密信息可以包括经加密的有效载荷,所述经加密的有效载荷包括第一应用公共密钥的经加密版本,如下所讨论的。
根据一些实施例,第二加密信息可以包括与第二移动应用相关联的一个或多个证书。与第二移动应用相关联的证书可以包括例如应用标识符、包标识符(例如包ID)和/或其他证书信息。与第二移动应用相关联的证书可以向操作***、其他应用和/或其他组件标识所述移动应用。
在350处,可以验证第二移动应用。在一些实施例中,第一移动应用(例如管理代理)可以用安全性管理服务器(例如安全性管理平台)验证第二移动应用(例如托管应用)的身份(例如证书)。例如,第一移动应用可以从数据储存位置检索与第二移动应用相关联的证书信息。可以将证书信息从第一移动应用传递至安全性管理平台。所述安全性管理平台可以通过将与第二应用相关联的证书与用于移动设备(例如移动设备上的应用)的一个或多个存储的证书集相比较来验证第二移动应用的身份。
在一些实施例中,可以通过第一移动应用(例如管理代理)来验证第二移动设备的证书。例如,第一移动应用可以将第二移动应用证书(例如从数据储存位置检索的)与对管理代理可访问的托管应用的列表进行比较。
图4是图示移动应用之间的安全通信的过程的实施例的流程图。在各种实施例中,所述过程通过图1的***100来执行。图4的过程描述了用于从第二移动应用(例如移动设备上的托管应用)的视角生成安全应用连接总线的过程的实施例。在400处,可以接收第一加密信息和与数据储存位置相关联的标识符。在一些实施例中,第二应用(例如托管应用)可以接收与第一应用(例如管理代理)相关联的第一加密信息。第一加密信息可以包括例如与第一移动应用相关联的公共密钥(例如第一公共密钥)。
在各种实施例中,可以使用与第二移动应用相关联的URL方案、经由粘贴板和/或使用其他技术来将第一加密信息、与数据储存位置相关联的标识符和/或其他信息(例如从第一应用)提供至第二应用,如下文将详细讨论的。
在410处,可以验证所接收信息(例如第一加密信息、与数据储存位置相关联的标识符等)的源。在一些实施例中,库(例如编译进应用、包封进应用的库、SDK)可以与第二应用(例如托管应用)相关联。所述库可以与第二应用作为其成员的MDM框架(例如托管应用架构)相关联。在一些实施例中,所述库可以包括可信应用的列表。并且,与从其中接收信息的第一移动应用相关联的标识符可以与所述列表进行比较以用于验证。在与第一移动应用(例如管理代理)相关联的标识符被所述库验证的情况下,安全连接总线生成过程将继续进行。在与第一移动应用相关联的标识符未(例如被所述库)验证的情况下,所述过程可以终止。
根据一些实施例,可以使用与第二移动应用相关联的URL调入来将第一加密信息、与数据储存位置相关联的标识符和/或其他信息(例如从第一应用)提供至第二应用。例如,第一应用公共密钥和数据储存位置标识符可以被包括在URL调入(例如“secondapp://first_application_publickey+data_storage_location”),并且第二应用(例如托管应用)可以接收所述URL调入并处理(例如解析)在所述调入中包括的信息。可以处理(例如解析)URL以提取第一加密信息(例如第一应用公共密钥)、数据储存位置标识符和/或其他信息。在各种实施例中,所述URL调入可以包括标识URL调入的源(例如第一移动应用)的信息。源标识信息可以被提取并用于使用上文讨论的技术(例如通过所述库)来验证第一移动应用。
在420处,可以生成第二加密的密钥对。在一些实施例中,第二移动应用(例如托管应用)可以生成私人-公共密钥对(例如第二密钥对)。可以使用任何合适的加密方法(例如本文讨论的方法和/或本领域已知的那些方法)来生成私人-公共密钥对(例如第二密钥对)。第二加密信息可以包括例如与第二移动应用私人-公共密钥对相关联的第二应用公共密钥。
在430处,可以使用第二加密信息的至少一部分来对(例如从第一移动应用接收的)第一加密信息进行加密以生成经加密的有效载荷。例如,第二应用(例如托管应用)可以使用与第二应用生成的私人-公共密钥对相关联的私人密钥(例如第二应用私人密钥)来对第一应用公共密钥进行加密。
在440处,可以将第二加密信息提供至数据储存位置。在一些实施例中,第二加密信息可以包括第二应用公共密钥(例如在步骤420中生成)、包括第一公共密钥的第二移动应用加密版本的经加密的有效载荷(在步骤430中生成)、与第二应用相关联的至少一个证书和/或其他信息。例如,与第二应用相关联的至少一个证书可以包括与第二应用相关联的应用标识符(例如与iOS应用相关联的包ID)和/或其他信息。
在一些实施例中,可以将第二加密信息提供至数据储存位置(例如粘贴板、共享密钥链和/或其他数据储存位置),并且第一移动应用可以检索第二加密信息。第一移动应用可以例如使用第二加密的信息来解密后续从第二移动应用接收的任何有效载荷。
图5是图示移动应用之间的安全通信的过程的实施例的流程图。在各种实施例中,所述过程由图1的***100来执行。在500处,可以由第一移动应用确定与第二移动应用相关联的URL方案。在一些实施例中,可以通过查询与移动设备相关联的操作***(例如iOS、Android等)来确定与第二移动应用相关联的URL方案。与移动设备相关联的操作***可以包括URL方案和关联的应用的注册表(registry)。在该示例中,设备上的第二移动应用可以例如向操作***注册URL方案(例如secondapp://)。第一移动应用还可以与URL方案(例如firstapp://、MDMagent://等)相关联。URL方案和URL方案与移动应用的关联可以存储在操作***URL注册表中。在一些实施例中,第一移动应用可以从操作***(例如URL方案注册表/数据库)检索与第二移动应用相关联的URL方案。
在510处,可以使用URL方案将经加密的有效载荷从第一移动应用传输至第二移动应用。在各种实施例中,可以至少部分地基于与第二移动应用相关联的URL方案来执行URL调入。在一些实施例中,经加密的有效载荷可以包括在由第一移动应用生成和/或执行的URL调入中。例如,经加密的有效载荷(例如“12345”)可以包括在URL调入中(例如secondapp://12345)。第二应用可以接收URL调入并解析URL以提取经加密的有效载荷(例如“12345”)。可以使用之前共享的密钥(例如第一应用公共密钥、安全性管理平台公共密钥)来对经加密的有效载荷进行解密。在一些实施例中,第二移动应用可能已经经由数据储存位置(例如粘贴板、共享密钥链储存位置和/或其他数据储存位置)、之前的URL调入和/或其他机制(例如不同于本文所述的那些机制)接收之前共享的密钥。
在一些实施例中,第二移动应用被配置成至少部分地基于URL方案来验证与第一应用相关联的至少一个证书。例如,URL调入可以包括标识所述URL调入的源(例如第一移动应用)的信息。源标识信息可以被提取并用于验证第一移动应用。在一些实施例中,与第二应用相关联的库可以包括包含可信源(例如移动应用)的列表、数据库和/或其他数据结构。与第一移动应用相关联的证书(例如从URL调入检索的)可以通过所述库至少部分地基于与可信源的列表的比较来验证。
在520处,可以从第二移动应用接收经加密的有效载荷。在一些实施例中,经加密的有效载荷可以在第二移动应用(例如托管移动应用)处生成并使用与第一移动应用相关联的URL方案传输至第一移动应用(例如管理代理)。
图6是图示使用安全应用连接总线的移动应用管理的过程的流程图。在各种实施例中,所述过程由图1的***100执行。在600处,可以在安全性管理平台(例如图1的安全性管理平台118)处确定(例如定义)针对一个或多个托管应用(例如图1的托管应用104)的配置、策略、信息、设置、动作和/或命令。例如,可以从安全性管理平台的用户(例如管理员)接收配置、策略、信息、动作、企业认证信息和/或设置。
在一些实施例中,配置可以影响、控制和/或管控应用的操作。例如,移动应用可以要求某些配置信息(例如配置)、设置和/或其他信息以进行操作。配置信息可以包括例如服务器信息(例如服务器名称和互联网协议(IP)地址)、用户信息(例如用户名、密码、和/或向服务器标识应用和/或设备的设备证书)、和/或其他信息。配置信息可以例如包括应用被配置成与之连接的(一个或多个)服务器。
在各种实施例中,与应用相关联的策略(例如应用策略)可以用于控制、管理和/或管控应用的操作。可以例如基于(一个或多个)企业策略、设备的位置、设备的安全性状态、其他应用安装状态、用户的群组改变、和/或其他信息来确定策略。示例策略可以包括例如硬件控制策略(例如阻塞对设备的摄像机、Bluetooth?、近场通信(NFC)、通用串行总线(USB)、WiFi和/或其他资源的应用访问(例如由用户、群组、应用、时间、位置等设置)、存储访问控制策略(例如阻塞对设备储存器(例如安全数字(SD)、闪存、照片等)的访问)、个人信息管理器(PIM)访问控制策略(例如阻塞对设备电子邮件、日历、联系人和/或其他资源的访问;允许对某些(例如仅公司且非个人的)(一个或多个)电子邮件账号、日历、联系人和/或其他资源的有限访问)、***服务访问控制策略(例如阻塞来自***服务(比如空中打印、共享电子邮件、与其他应用的信息共享)的对应用的访问)、和/或其他策略。
根据一些实施例,可以将信息(例如应用相关的信息、配置信息)提供至应用(例如从安全性管理平台)。例如,设备信息、企业信息和/或安装的应用信息可以被提供至应用以允许应用基于所述信息来执行功能。设备信息可以包括例如管理ID、介质访问控制(MAC)地址、国际移动设备身份(IMEI)和/或(一个或多个)其他管理令牌。企业信息可以包括例如企业紧急信息、联系人信息和/或任何其他企业关联的信息。安装的应用信息可以包括具有相关联能力(例如打开的文档、安全复制-粘贴支持等)的安装的应用列表。
在各种实施例中,与应用相关联的设置可以用于管理、管控和/控制应用的操作和/或功能。设置可以包括例如应用防火墙设置和/或其他设置。应用防火墙规则/设置可以验证应用和/或保护应用免于接收非可信数据。例如,应用防火墙规则可以包括实施的服务器证书验证(例如对于每个安全套接字层/传输层安全性(SSL/TLS)连接,将在允许连接之前验证服务器证书)、允许的网络规则(例如仅允许连接到某些网络)、增加的地址查找(例如替代依赖***的域名***(DNS)服务器,应用防火墙可以使用安全DNS服务器,该安全DNS服务器向附加的安全性提供认证地址信息(例如opendns)和/或使用由管理服务器推送的主机文件)、内容检查规则(例如仅客户端侧检查和/或服务器辅助的内容检查以移除任何恶意内容)、和/或其他应用防火墙规则/设置。
在一些实施例中,动作可以被提供至应用以命令该应用执行各种操作。动作可以包括例如擦除应用数据动作(例如擦除应用数据并将所述应用返回至安装状态,在删除之前清零字节)、远程锁定动作(例如对托管应用(例如企业应用)的访问可以被锁定直到用户解锁该应用为止;在锁定状态中,托管/可信应用数据可能不对其他应用可访问)和/或其他动作。
在各种实施例中,在允许对安全应用连接总线的访问之前,可以要求用户认证身份。例如,可以使用用户标识符(例如用户ID)、密码、个人标识号(PIN)、一次性密码、NFC、二维(2D)条形码和/或其他用户证书来验证例如托管应用的用户。在一些实施例中,该验证可以在托管应用被授予对安全应用连接总线的访问权之前。在各种实施例中,可以例如在打开受保护应用时要求用户证书来识别用户。
在610处,可以确定与配置、策略、信息、动作和/或设置相关联的一个或多个托管应用。在一些实施例中,所述一个或多个托管应用可以由用户(例如管理员)来指定。例如,可以基于用户输入(例如与配置、策略和/或其他改变相关联的管理员输入)来选择一组应用。
在620处,可以选择安全应用连接总线技术。在一些实施例中,安全性管理平台(例如安全性管理服务器)可以确定用于将信息部署至托管应用的合适的安全连接总线方法。该安全连接总线方法可以基于一个或多个参数来确定,所述参数包括将被传输至应用的信息的内容、传输所要求的安全性级别、设备的安全性状态、与托管应用相关联的属性和/或任何其他参数。例如,可以确定,经由数据储存位置(例如粘贴板)的加密的应用间数据传输比使用基于URL方案的方法传输数据或使用原生MDM管理框架(例如iOS MDM框架)传输数据更安全。可以至少部分地基于数据传输所要求的安全性级别而选择安全连接总线技术之一。
在一些实施例中,原生于移动设备的MDM***可以用作安全应用连接总线。例如,移动设备操作***(例如iOS)可以包括原生MDM框架(例如包括在操作***中的MDM框架),并且该原生MDM框架可以用作安全连接总线来在移动设备上的应用之间传输信息。在一些实施例中,与本文讨论的其他安全应用连接总线技术相比,该基于原生MDM的技术可能不太安全。在一些实施例中,基于原生MDM的安全连接总线技术可以是备用技术和/或可以用在其中安全数据传输的要求降低的场景中。
在630处,可以生成有效载荷(例如通过所述安全性管理平台)。根据各种实施例,可以用对设备用户、移动设备和/或(一个或多个)应用特定的一个或多个参数来编译所述配置、策略、信息、动作和/或设置。所述参数可以例如包括将$USER_ID$改变为用于登录的实际用户id,发布用于用户/设备的身份证书,和/或其他参数。在一些实施例中,可以对所述信息(例如经编译的信息)进行加密来生成经加密的有效载荷(例如在安全性管理平台处)。在各种实施例中,所述信息可以被编译到有效载荷中并未加密地传递至设备上的管理代理。
在640处,可以将有效载荷提供至所述管理代理。在一些实施例中,经加密的有效载荷可以被提供至(例如推送至)管理代理以用于部署到(一个或多个)托管应用。在各种实施例中,被提供(例如推送)至管理代理的信息可以未被加密,并且管理代理可以对有效载荷进行加密(例如在传输到托管应用之前)。
在一些实施例中,安全性管理平台可以向管理代理指定(例如推送)要在将有效载荷传输到托管应用中使用的安全应用连接总线技术。如下面讨论的,管理代理可以使用由安全性管理平台指定的(一个或多个)安全应用连接总线技术将经加密的有效载荷安全地传输至托管应用。
在650处,可以从管理代理接收信息。在一些实施例中,管理代理可以向安全性管理平台(例如安全性管理服务器)提供与托管应用相关联的信息(例如来自托管应用的信息)。例如,管理代理可以响应于有效载荷而从托管应用接收响应信息。该响应信息可以被传递至安全性管理平台。该安全性管理平台可以处理(例如分析)与托管应用相关联的更新信息。安全性管理平台可以至少部分地基于来自托管应用的信息来执行操作。
通过示例的方式,在与托管应用相关联的更新信息(例如来自管理代理)不满足与移动设备相关联的隔离策略的情况下,可以(例如从安全性管理平台)向安全性实施节点(例如图1的安全性实施节点116)发送隔离命令。在接收到隔离命令时,安全性实施节点可以限制(例如阻塞)所述设备和(一个或多个)企业服务器(例如图1的(一个或多个)企业服务器)和/或其他资产之间的通信。在一些实施例中,安全性管理平台可以(例如,并行地)向管理代理提供隔离命令。在一些实施例中,管理代理可以至少部分地基于隔离命令执行一个或多个动作,其包括例如擦除设备上的企业数据的至少一部分,禁用(例如锁定)至少一个托管应用和/或动作。当然,其他类型的操作可以基于从托管应用接收的信息来执行。
在一些实施例中,安全性管理平台可以更新与托管应用相关联的一个或多个存储的配置、策略、设置和/或其他信息。
图7是图示使用安全应用连接总线的移动应用管理的过程的流程图。在各种实施例中,所述过程由图1的***100执行。在700处,(例如在与移动设备相关联的管理代理处)接收与托管应用相关联的有效载荷。在一些实施例中,所述有效载荷可以从安全性管理平台(例如安全性管理服务器)接收并可以包括与托管应用相关联的配置、策略、信息、动作和/或设置信息。
在710处,可以确定有效载荷是否被加密。如上文讨论的,有效载荷可以在安全性管理处被加密和/或未加密地被传递至管理代理。在有效载荷被加密(例如在安全性管理平台处被加密)的情况下,所述过程可以继续进行至步骤730。在有效载荷未被加密的情况下,所述过程可以继续进行至步骤720。
在720处,可以对有效载荷进行加密。在一些实施例中,可以使用本文公开的和/或本领域已知的任何技术在管理代理处对有效载荷进行加密。在一些实施例中,可能之前已经在管理代理和托管应用之间建立安全连接总线。在该情况下,可以在安全连接总线生成/建立/握手过程期间使用在管理代理和托管应用之间共享的信息(例如如上文讨论的第一加密信息和第二加密信息)来对有效载荷进行加密。
在730处,可以将经加密的有效载荷经由安全连接总线安全地传输至托管应用。在一些实施例中,管理代理可以从安全性管理平台接收安全连接总线信息,所述安全连接总线信息可以指示要在将有效载荷传输至托管设备中使用的安全连接总线技术。例如,安全性管理平台可以命令管理代理经由数据储存位置(例如粘贴板、安全密钥链储存器等)、使用与托管应用相关联的URL方案、使用原生于设备的MDM平台和/或使用其他安全连接总线方法将经加密的封装传输至托管应用。
在一些实施例中,可以在托管应用处(例如通过与托管应用相关联的库)对经加密的有效载荷进行解密。例如,托管应用先前可能已经接收密钥(例如来自管理代理),并且所述密钥可以用于对有效载荷进行解密。在一些实施例中,与托管应用相关联的库可以处理(例如解析、分析)所述有效载荷并将其中包括的配置改变、策略(例如策略更新)、动作和/或设置应用于托管应用。
在740处,可以接收第二加密的有效载荷(例如从托管应用在管理代理处)。在一些实施例中,托管应用可以执行在经加密的封装中包括的(例如从管理代理处接收的)配置改变、策略更新、设置改变和/或动作。当执行所述动作时,托管应用可以(例如基于所执行的动作)生成包括更新信息的第二加密的封装。该第二加密的有效载荷可以被传递至管理代理(例如使用安全连接总线技术)。
在750处,可以在管理代理处解析、处理和/或分析第二加密的有效载荷。在一些实施例中,管理代理可以处理、解释和/或分析在第二加密的有效载荷中包括的更新信息。在某些实例中,管理代理可以至少部分地基于更新信息而执行(一个或多个)操作。例如,在(例如通过安全性管理平台)实现本地策略实施的情况下,管理代理可以在某些策略条件被满足时将配置更新推送至所述设备。
在760处,管理代理可以将更新信息(例如包括在来自托管应用的第二加密的信息中)提供(例如传递)到安全性管理平台。安全性管理平台可以基于来自托管应用的更新信息执行一个或多个操作(例如执行(一个或多个)隔离动作、更新配置、更新策略和上文讨论的其他动作)。
尽管已经为了清楚理解的目的较为详细地描述了前面的实施例,但是本发明不限于所提供的细节。存在实现本发明的许多替换方式。所公开的实施例是说明性而非限制性的。
Claims (24)
1.一种移动应用之间的安全通信的方法,包括:
将第一加密信息和与移动设备上的数据储存位置相关联的标识符从第一移动应用提供至第二移动应用;
从所述数据储存位置检索与第二移动应用相关联的第二加密信息,其中第二移动应用被配置成向所述数据储存位置提供信息;以及
经由所述数据储存位置在第一移动应用和第二移动应用之间安全地传输数据。
2.根据权利要求1所述的方法,其中提供包括向第二移动应用被配置成从其中检索信息的位置提供信息。
3.根据权利要求1所述的方法,其中提供包括使用与第二移动应用相关联的统一资源定位符(URL)方案提供信息。
4.根据权利要求3所述的方法,还包括查询与移动设备相关联的操作***以标识与第二移动应用相关联的URL方案。
5.根据权利要求1所述的方法,其中:
第一加密信息包括与第一应用相关联的第一公共密钥;以及
第二加密信息包括与第二应用相关联的至少一个证书、与第二应用相关联的第二公共密钥和包括第一公共密钥的经加密的有效载荷。
6.根据权利要求1所述的方法,其中第一应用和第二应用中的一个或多个与库相关联,所述库被配置成:
从所述数据储存位置检索信息;以及
向所述数据储存位置提供信息。
7.根据权利要求6所述的方法,其中所述库还被配置成执行以下步骤中的一个或多个:
在应用中应用一个或多个配置改变;
在应用内实施一个或多个策略;以及
执行与应用相关联的一个或多个动作。
8.根据权利要求1所述的方法,其中所述数据包括密钥链数据、数据文件和粘贴板数据中的一个或多个。
9.根据权利要求1所述的方法,其中所述数据储存位置包括粘贴板、共享密钥链和与原生于设备的框架相关联的储存位置中的一个或多个。
10.根据权利要求1所述的方法,其中传输数据包括将一个或多个应用策略从第一应用传输至第二应用。
11.根据权利要求10所述的方法,其中所述应用策略包括设备硬件、储存访问、个人信息管理器(PIM)和***服务策略中的一个或多个。
12.根据权利要求1所述的方法,其中传输数据包括:
使用第一加密信息和第二加密信息中的一个或多个对所述数据进行加密;以及
将经加密的数据传输至所述数据储存位置,其中第一移动应用和第二移动应用中的一个或多个被配置成从所述数据储存位置检索经加密的数据。
13.根据权利要求1所述的方法,其中传输数据包括:
从安全性管理平台在第一移动应用处接收有效载荷;以及
经由所述数据储存位置向第二移动应用安全地提供有效载荷,其中第二应用被配置成从安全数据位置检索有效载荷。
14.根据权利要求13所述的方法,其中:
所述有效载荷包括在安全性管理平台处生成的经加密的有效载荷;以及
所述第一加密信息包括与安全性管理平台相关联的加密信息。
15.根据权利要求13所述的方法,还包括:
将第二应用配置成在第二应用和至少一个企业后端服务器之间安全地传输数据,其中至少部分地基于包括在有效载荷中的应用配置和应用策略中的一个或多个来配置第二应用。
16.根据权利要求15所述的方法,其中至少部分地基于证书来验证在第二移动应用和企业后端服务器之间安全传输的数据。
17.根据权利要求15所述的方法,其中由安全性管理平台和安全性实施节点中的一个或多个来管理在第二移动应用和企业后端服务器之间安全传输的数据。
18.根据权利要求13所述的方法,还包括:
在第二移动应用处检索所述有效载荷,其中所述有效载荷包括设备信息、企业信息和安装的应用信息中的一个或多个;以及
通过第二移动应用至少部分地基于所述有效载荷而执行一个或多个动作。
19.根据权利要求13所述的方法,还包括:
在第二移动应用处检索所述有效载荷,其中所述有效载荷包括一个或多个应用防火墙设置;以及
通过第二移动应用至少部分地基于应用防火墙设置而执行一个或多个动作。
20.根据权利要求13所述的方法,还包括:
在第二移动应用处检索所述有效载荷,其中所述有效载荷包括一个或多个命令;以及
通过第二移动应用至少部分地基于所述命令而执行一个或多个动作。
21.根据权利要求1所述的方法,还包括:
通过第一移动应用生成移动设备上的数据储存位置。
22.根据权利要求1所述的方法,其中:
第一移动应用包括移动设备管理代理;以及
第二移动应用包括托管移动应用,其中第二移动应用由第一移动应用来管理。
23.一种用于移动应用之间的安全通信的***,包括:
处理器;以及
与处理器耦合的存储器,其中存储器被配置成向处理器提供指令,所述指令在被执行时使处理器:
将第一加密信息和与移动设备上的数据储存位置相关联的标识符从第一移动应用提供至第二移动应用;
从所述数据储存位置检索与第二移动应用相关联的第二加密信息,其中第二移动应用被配置成向所述数据储存位置提供信息;以及
经由所述数据储存位置在第一移动应用和第二移动应用之间安全地传输数据。
24.一种用于移动应用之间的安全通信的计算机程序产品,所述计算机程序产品被体现在非临时有形的计算机可读存储介质中并包括计算机指令,所述计算机指令用于:
将第一加密信息和与移动设备上的数据储存位置相关联的标识符从第一移动应用提供至第二移动应用;
从所述数据储存位置检索与第二移动应用相关联的第二加密信息,其中第二移动应用被配置成向所述数据储存位置提供信息;以及
经由所述数据储存位置在第一移动应用和第二移动应用之间安全地传输数据。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201261745052P | 2012-12-21 | 2012-12-21 | |
US61/745052 | 2012-12-21 | ||
PCT/US2013/077292 WO2014100756A1 (en) | 2012-12-21 | 2013-12-20 | Secure mobile app connection bus |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105027493A true CN105027493A (zh) | 2015-11-04 |
CN105027493B CN105027493B (zh) | 2018-09-07 |
Family
ID=50976128
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380070097.7A Active CN105027493B (zh) | 2012-12-21 | 2013-12-20 | 安全移动应用连接总线 |
Country Status (4)
Country | Link |
---|---|
US (3) | US20140181842A1 (zh) |
EP (1) | EP2936733B1 (zh) |
CN (1) | CN105027493B (zh) |
WO (1) | WO2014100756A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106569880A (zh) * | 2016-11-07 | 2017-04-19 | Tcl集团股份有限公司 | 一种Android应用间动态共享资源的方法及*** |
CN107154932A (zh) * | 2017-04-07 | 2017-09-12 | 北京深思数盾科技股份有限公司 | 一种应用的访问控制方法及装置 |
Families Citing this family (48)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8695060B2 (en) | 2011-10-10 | 2014-04-08 | Openpeak Inc. | System and method for creating secure applications |
WO2013155635A1 (en) * | 2012-04-20 | 2013-10-24 | Jonathan Blake | System and method for controlling privacy settings of user interface with internet applications |
WO2014117094A2 (en) * | 2013-01-25 | 2014-07-31 | Innopath Software, Inc. | Device management service |
US9015328B2 (en) * | 2013-03-07 | 2015-04-21 | Fiserv, Inc. | Single sign-on processing for associated mobile applications |
KR102015108B1 (ko) * | 2013-03-12 | 2019-10-22 | 한국전자통신연구원 | 이종 서비스 간 서비스 제공 방법과 사용자 단말 및 웹 서버 |
CN104995864A (zh) * | 2013-03-14 | 2015-10-21 | 英特尔公司 | 用于提供通用持续性云服务的***、方法和计算机程序产品 |
US9535681B2 (en) | 2013-03-15 | 2017-01-03 | Qualcomm Incorporated | Validating availability of firmware updates for client devices |
US8839266B1 (en) * | 2013-07-31 | 2014-09-16 | Vmware, Inc. | Inter-application communication on mobile platforms |
US9225742B2 (en) | 2014-03-24 | 2015-12-29 | Airwatch Llc | Managed real-time communications between user devices |
WO2015171549A2 (en) * | 2014-05-05 | 2015-11-12 | Citrix Systems, Inc. | Facilitating communication between mobile applications |
US9548976B2 (en) * | 2014-05-06 | 2017-01-17 | Okta, Inc. | Facilitating single sign-on to software applications |
US9674699B2 (en) * | 2014-08-15 | 2017-06-06 | Sap Se | System and methods for secure communication in mobile devices |
US9419799B1 (en) * | 2014-08-22 | 2016-08-16 | Emc Corporation | System and method to provide secure credential |
US9100390B1 (en) | 2014-09-05 | 2015-08-04 | Openpeak Inc. | Method and system for enrolling and authenticating computing devices for data usage accounting |
US20160071040A1 (en) | 2014-09-05 | 2016-03-10 | Openpeak Inc. | Method and system for enabling data usage accounting through a relay |
US9350818B2 (en) | 2014-09-05 | 2016-05-24 | Openpeak Inc. | Method and system for enabling data usage accounting for unreliable transport communication |
US9232013B1 (en) | 2014-09-05 | 2016-01-05 | Openpeak Inc. | Method and system for enabling data usage accounting |
US8938547B1 (en) | 2014-09-05 | 2015-01-20 | Openpeak Inc. | Method and system for data usage accounting in a computing device |
US10103872B2 (en) * | 2014-09-26 | 2018-10-16 | Intel Corporation | Securing audio communications |
US9485615B2 (en) | 2014-09-26 | 2016-11-01 | At&T Intellectual Property I, L.P. | Local peer-to-peer network for providing recommendations and enforcing security policies |
US10205710B2 (en) * | 2015-01-08 | 2019-02-12 | Intertrust Technologies Corporation | Cryptographic systems and methods |
US11153106B2 (en) * | 2015-02-09 | 2021-10-19 | Telefonaktiebolaget Lm Ericsson (Publ) | System for improved traffic handling in a network |
WO2017000975A1 (en) * | 2015-06-29 | 2017-01-05 | Here Global B.V. | Use of encryption to provide positioning support services |
US10477392B2 (en) | 2015-06-29 | 2019-11-12 | Here Global B.V. | Supporting a versioning of parameters |
US11424931B2 (en) * | 2016-01-27 | 2022-08-23 | Blackberry Limited | Trusted execution environment |
US10754929B2 (en) * | 2016-02-19 | 2020-08-25 | Blackberry Limited | Sharing contents between applications |
US10596318B2 (en) | 2016-03-31 | 2020-03-24 | Dexcom, Inc. | Systems and methods for inter-app communications |
US10075583B2 (en) | 2016-04-13 | 2018-09-11 | Microsoft Technology Licensing, Llc | Suppressing indications of incoming communications in user interfaces |
US10353534B2 (en) | 2016-05-13 | 2019-07-16 | Sap Se | Overview page in multi application user interface |
US10579238B2 (en) | 2016-05-13 | 2020-03-03 | Sap Se | Flexible screen layout across multiple platforms |
CN106101072A (zh) * | 2016-05-30 | 2016-11-09 | 上海小蚁科技有限公司 | 用于在网络上传送视频数据的***和方法 |
US10070316B2 (en) | 2016-06-16 | 2018-09-04 | Samsung Electronics Co., Ltd. | Permission delegation framework |
CN106254522B (zh) * | 2016-09-07 | 2019-08-30 | 努比亚技术有限公司 | 一种终端服务***、方法和终端 |
US9977898B1 (en) * | 2016-10-31 | 2018-05-22 | International Business Machines Corporation | Identification and recovery of vulnerable containers |
CN106528304A (zh) * | 2016-10-31 | 2017-03-22 | 努比亚技术有限公司 | 一种分享适配器及其配置方法、调用方法和装置及移动终端 |
US11238505B2 (en) | 2017-03-01 | 2022-02-01 | International Business Machines Corporation | Model trading in a device |
CN107608798A (zh) * | 2017-08-04 | 2018-01-19 | 阿里巴巴集团控股有限公司 | 一种业务处理方法及设备 |
US10470040B2 (en) | 2017-08-27 | 2019-11-05 | Okta, Inc. | Secure single sign-on to software applications |
US11108556B2 (en) * | 2018-06-08 | 2021-08-31 | Vmware, Inc. | Unmanaged secure inter-application data communications |
US11228563B2 (en) * | 2018-12-18 | 2022-01-18 | Citrix Systems, Inc. | Providing micro firewall logic to a mobile application |
US11389090B2 (en) | 2018-12-19 | 2022-07-19 | Dexcom, Inc. | Intermittent monitoring |
US11586750B2 (en) | 2019-03-21 | 2023-02-21 | Blackberry Limited | Managing access to protected data file content |
CN110083465B (zh) * | 2019-04-26 | 2021-08-17 | 上海连尚网络科技有限公司 | 一种寄宿应用间的数据传递方法 |
US11017064B2 (en) | 2019-05-14 | 2021-05-25 | Bank Of America Corporation | Authentication using interprogram communication |
US11640482B2 (en) | 2020-06-02 | 2023-05-02 | The Toronto-Dominion Bank | System and method for providing trusted links between applications |
US20220318438A1 (en) * | 2021-04-06 | 2022-10-06 | Comcast Cable Communications, Llc | Systems and methods for data security on a mobile device |
US11693553B2 (en) * | 2021-05-17 | 2023-07-04 | Apple Inc. | Devices, methods, and graphical user interfaces for automatically providing shared content to applications |
US11875016B2 (en) | 2021-05-17 | 2024-01-16 | Apple Inc. | Devices, methods, and graphical user interfaces for displaying media items shared from distinct applications |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005125072A2 (en) * | 2004-06-22 | 2005-12-29 | Nds Limited | Digital rights management system |
EP1858193A1 (en) * | 2006-05-16 | 2007-11-21 | Sap Ag | Context-aware based cryptography |
US20080046983A1 (en) * | 2006-08-11 | 2008-02-21 | Microsoft Corporation | Multiuser Web Service Sign-In Client Side Components |
CN101433014A (zh) * | 2006-04-28 | 2009-05-13 | 松下电器产业株式会社 | 通信装置及通信*** |
US20090327825A1 (en) * | 2001-05-14 | 2009-12-31 | Ntt Docomo Inc. | System for managing program applications storable in a mobile terminal |
US20110246374A1 (en) * | 2008-05-14 | 2011-10-06 | Cedric Ronald Franz | Mobile commerce payment system |
EP2393033A2 (en) * | 2009-02-02 | 2011-12-07 | Fasoo. Com Co., Ltd | System and method for clipboard security |
WO2012039178A1 (ja) * | 2010-09-22 | 2012-03-29 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データ配信装置、データ配信システム、クライアント装置、データ配信方法、データ受信方法、プログラムおよび記録媒体 |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002096151A1 (en) | 2001-05-22 | 2002-11-28 | Flarion Technologies, Inc. | Authentication system for mobile entities |
KR100520116B1 (ko) * | 2003-05-16 | 2005-10-10 | 삼성전자주식회사 | 모바일 애드 혹 상의 암호화를 위한 노드간 키 분배 방법및 이를 이용한 네트워크 장치 |
JP4224084B2 (ja) * | 2006-06-26 | 2009-02-12 | 株式会社東芝 | 通信制御装置、通信制御方法および通信制御プログラム |
US7917963B2 (en) * | 2006-08-09 | 2011-03-29 | Antenna Vaultus, Inc. | System for providing mobile data security |
US8837724B2 (en) | 2007-03-27 | 2014-09-16 | Qualcomm Incorporated | Synchronization test for device authentication |
EP2353269A1 (fr) * | 2008-11-07 | 2011-08-10 | Mobile TAG | Procédé d'accès d'un utilisateur d'un terminal mobile à une pluralité de services et dispositif sécurisé associé |
US20100306076A1 (en) * | 2009-05-29 | 2010-12-02 | Ebay Inc. | Trusted Integrity Manager (TIM) |
US20110154015A1 (en) * | 2009-12-21 | 2011-06-23 | Tareq Mahmud Rahman | Method For Segmenting A Data File, Storing The File In A Separate Location, And Recreating The File |
US20110179268A1 (en) | 2010-01-20 | 2011-07-21 | Microsoft Corporation | Protecting applications with key and usage policy |
TW201201041A (en) * | 2010-06-21 | 2012-01-01 | Zhe-Yang Zhou | Data security method and system |
US20120066767A1 (en) * | 2010-09-13 | 2012-03-15 | Nokia Corporation | Method and apparatus for providing communication with a service using a recipient identifier |
US8621168B2 (en) * | 2010-12-17 | 2013-12-31 | Google Inc. | Partitioning the namespace of a contactless smart card |
US8327005B2 (en) * | 2011-02-24 | 2012-12-04 | Jibe Mobile | Method to set up application to application communication over a network between applications running on endpoint devices |
US20120302212A1 (en) * | 2011-05-25 | 2012-11-29 | Critical Medical Solutions, Inc. | Secure mobile radiology communication system |
US8880886B2 (en) * | 2011-05-26 | 2014-11-04 | First Data Corporation | Systems and methods for authenticating mobile devices |
US8695060B2 (en) * | 2011-10-10 | 2014-04-08 | Openpeak Inc. | System and method for creating secure applications |
US20140032733A1 (en) | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
EP2600275A1 (en) * | 2011-12-02 | 2013-06-05 | Nxp B.V. | Method for accessing a secure storage, secure storage and system comprising the secure storage |
US8607043B2 (en) * | 2012-01-30 | 2013-12-10 | Cellco Partnership | Use of application identifier and encrypted password for application service access |
WO2013152431A1 (en) * | 2012-04-12 | 2013-10-17 | Absolute Software Corporation | Configuration of third party applications in a sandboxed environment |
US9405723B2 (en) * | 2012-05-02 | 2016-08-02 | Kony, Inc. | Mobile application management systems and methods thereof |
US9087191B2 (en) | 2012-08-24 | 2015-07-21 | Vmware, Inc. | Method and system for facilitating isolated workspace for applications |
US9286477B2 (en) | 2012-08-29 | 2016-03-15 | Symantec Corporation | Secure app ecosystem with key and data exchange according to enterprise information control policy |
US9430211B2 (en) * | 2012-08-31 | 2016-08-30 | Jpmorgan Chase Bank, N.A. | System and method for sharing information in a private ecosystem |
-
2013
- 2013-12-20 US US14/137,845 patent/US20140181842A1/en not_active Abandoned
- 2013-12-20 WO PCT/US2013/077292 patent/WO2014100756A1/en active Application Filing
- 2013-12-20 CN CN201380070097.7A patent/CN105027493B/zh active Active
- 2013-12-20 US US14/137,745 patent/US9059974B2/en active Active
- 2013-12-20 EP EP13865460.3A patent/EP2936733B1/en active Active
-
2015
- 2015-04-17 US US14/690,311 patent/US9537835B2/en active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090327825A1 (en) * | 2001-05-14 | 2009-12-31 | Ntt Docomo Inc. | System for managing program applications storable in a mobile terminal |
WO2005125072A2 (en) * | 2004-06-22 | 2005-12-29 | Nds Limited | Digital rights management system |
CN101433014A (zh) * | 2006-04-28 | 2009-05-13 | 松下电器产业株式会社 | 通信装置及通信*** |
EP1858193A1 (en) * | 2006-05-16 | 2007-11-21 | Sap Ag | Context-aware based cryptography |
US20080046983A1 (en) * | 2006-08-11 | 2008-02-21 | Microsoft Corporation | Multiuser Web Service Sign-In Client Side Components |
US20110246374A1 (en) * | 2008-05-14 | 2011-10-06 | Cedric Ronald Franz | Mobile commerce payment system |
EP2393033A2 (en) * | 2009-02-02 | 2011-12-07 | Fasoo. Com Co., Ltd | System and method for clipboard security |
WO2012039178A1 (ja) * | 2010-09-22 | 2012-03-29 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データ配信装置、データ配信システム、クライアント装置、データ配信方法、データ受信方法、プログラムおよび記録媒体 |
Non-Patent Citations (1)
Title |
---|
MITHILESH KUMAR: "《http://kmithi.blogspot.com/2012/03/sharing -data-among-ios-applications.html》", 21 March 2012 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106569880A (zh) * | 2016-11-07 | 2017-04-19 | Tcl集团股份有限公司 | 一种Android应用间动态共享资源的方法及*** |
CN106569880B (zh) * | 2016-11-07 | 2020-12-22 | Tcl科技集团股份有限公司 | 一种Android应用间动态共享资源的方法及*** |
CN107154932A (zh) * | 2017-04-07 | 2017-09-12 | 北京深思数盾科技股份有限公司 | 一种应用的访问控制方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
EP2936733A1 (en) | 2015-10-28 |
EP2936733B1 (en) | 2018-08-22 |
US9059974B2 (en) | 2015-06-16 |
EP2936733A4 (en) | 2016-10-19 |
US20140181518A1 (en) | 2014-06-26 |
CN105027493B (zh) | 2018-09-07 |
US20150319143A1 (en) | 2015-11-05 |
US20140181842A1 (en) | 2014-06-26 |
WO2014100756A1 (en) | 2014-06-26 |
US9537835B2 (en) | 2017-01-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105027493A (zh) | 安全移动应用连接总线 | |
US10284369B2 (en) | Secure app-to-app communication | |
US10284376B2 (en) | Code signing system with machine to machine interaction | |
US8059818B2 (en) | Accessing protected data on network storage from multiple devices | |
US9455980B2 (en) | Management of certificate authority (CA) certificates | |
CN101573936B (zh) | 使用可信处理技术的数字版权管理 | |
US10284374B2 (en) | Code signing system with machine to machine interaction | |
US9838870B2 (en) | Apparatus and method for authenticating network devices | |
CN104903909A (zh) | 在应用之间计算机内受保护的通信 | |
Pradeep et al. | An efficient framework for sharing a file in a secure manner using asymmetric key distribution management in cloud environment | |
US9160723B2 (en) | Framework for provisioning devices with externally acquired component-based identity data | |
US20170279807A1 (en) | Safe method to share data and control the access to these in the cloud | |
CN104904181A (zh) | 在计算机上的应用之间建立信任 | |
CN109379345B (zh) | 敏感信息传输方法及*** | |
US11968302B1 (en) | Method and system for pre-shared key (PSK) based secure communications with domain name system (DNS) authenticator | |
CN111538977A (zh) | 云api密钥的管理、云平台的访问方法、装置及服务器 | |
CN113676446B (zh) | 通信网络安全防误控制方法、***、电子设备及介质 | |
CN112906032B (zh) | 基于cp-abe与区块链的文件安全传输方法、***及介质 | |
CN117121435A (zh) | 连接弹性多因素认证 | |
CN114222296B (zh) | 一种无线网的安全接入方法和*** | |
CN112637122B (zh) | 用于通信单元主站访问控制的测试方法、响应方法及其*** | |
US20230370247A1 (en) | Method for protecting a network access profile against cloning | |
Kowalski | CRYPTOBOX V2. | |
CN116471088A (zh) | 隐私数据的验证方法、客户平台、服务平台、***及介质 | |
KR20190097555A (ko) | 전자메일 서비스 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |