MX2014007792A - Acceso a sistemas de archivos para una o mas aplicaciones en aislamiento de procesos. - Google Patents

Acceso a sistemas de archivos para una o mas aplicaciones en aislamiento de procesos.

Info

Publication number
MX2014007792A
MX2014007792A MX2014007792A MX2014007792A MX2014007792A MX 2014007792 A MX2014007792 A MX 2014007792A MX 2014007792 A MX2014007792 A MX 2014007792A MX 2014007792 A MX2014007792 A MX 2014007792A MX 2014007792 A MX2014007792 A MX 2014007792A
Authority
MX
Mexico
Prior art keywords
file
access
folder
application
key
Prior art date
Application number
MX2014007792A
Other languages
English (en)
Inventor
Ivan Krstic
Love Hornquist Astrand
Original Assignee
Apple Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Apple Inc filed Critical Apple Inc
Publication of MX2014007792A publication Critical patent/MX2014007792A/es

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • G06F16/122File system administration, e.g. details of archiving or snapshots using management policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

Se describen métodos, sistemas y un medio de almacenamiento legible por computadora en donde, en una modalidad, se utilizan identificadores, tales como marcadores, para permitir el acceso a archivos o carpetas en un ambiente de aislamiento de procesos. Una o más aplicaciones se restringen por un sistema de control de acceso, el cual puede ser, por ejemplo, un componente de software confiable de un sistema operativo. En una modalidad, los marcadores u otros identificadores permiten que una aplicación tenga acceso a un archivo, incluso si el archivo se renombra o mueve por un usuario mientras la aplicación se ha terminado. En una modalidad, un administrador de recursos, u otro sistema de control de acceso confiable, puede interactuar con una aplicación para hacer posible el uso de marcadores en un ambiente en el cual una aplicación de aislamiento de procesos controla el acceso a los archivos, de tal modo que cada aplicación deba hacer una solicitud a la aplicación de aislamiento de procesos con el fin de obtener acceso a un archivo o carpeta particular.

Description

ACCESO A SISTEMAS DE ARCHIVOS PARA UNA O MÁS APLICACIONES EN AISLAMIENTO DE PROCESOS CAMPO DE LA INVENCIÓN La invención se relaciona en general con el campo de la seguridad informática y, de manera más particular, con la restricción de los recursos utilizados por un programa.
ANTECEDENTES DE LA INVENCIÓN Los problemas de seguridad para todos los tipos de dispositivos electrónicos basados en procesadores, y particularmente para dispositivos de computación, se han vuelto significativos. Los códigos maliciosos, tales como virus, gusanos, malware, y otros códigos pueden tener efectos que varían de relativamente benignos, tal como mostrar mensajes en una visualizador, a tomar el control de un dispositivo, correr procesos, transmitir y/o eliminar archivos, etc. Muchos de estos ataques se dirigen a dispositivos de computación, tales como estaciones de trabajo, servidores, computadoras de escritorio, computadoras portátiles y de mano, y otros dispositivos similares. Muchos de estos dispositivos de computación pueden correr uno o más programas de aplicaciones que un usuario puede operar para realizar un conjunto de funciones deseadas.
Se ha utilizado una serie de metodologías en un intento para reducir o eliminar tanto los ataques como la influencia de los códigos maliciosos o defectuosos. Generalmente, estas metodologías incluyen detección, prevención y atenuación, y pueden incluir intentos para escanear e identificar y aislar código malicioso. Adicionalmente, algunas metodologías se han utilizado para limitar la cantidad de daño que el código malicioso es capaz de realizar al restringir la cantidad de acceso otorgado a aplicaciones poco fiables. Las metodologías anteriores, sin embargo, carecen de una estrategia unificada y sistémica que proporcione un método consistente y constante para acceder a recursos fuera del ambiente restringido, especialmente si el nombre o ubicación de esos recursos debe cambiar.
SUMARIO DE LA INVENCIÓN Las modalidades de la invención se relacionan en general con el campo de la seguridad informática y, de manera más particular, con la restricción de los recursos utilizados por un programa. De acuerdo con un aspecto de la invención, se proporcionan identificadores para permitir el acceso a archivos o carpetas en un ambiente de aislamiento de procesos en el cual una o más aplicaciones se aislan en procesos por un sistema de control de acceso. Tal sistema de control de acceso puede ser parte de un componente de software confiable, tal como un componente de software confiable de un sistema operativo. El identificador puede ser un marcador, o algún otro identificador, y puede permitir que una aplicación acceda a un archivo, incluso si el archivo se renombra o mueve por un usuario mientras la aplicación se ha terminado. Previamente, si un archivo o carpeta fuera de un ambiente de aislamiento de procesos se moviera o renombrara, una aplicación que utiliza ese archivo o carpeta no tendría conocimiento alguno acerca del cambio de nombre o movimiento del archivo o carpeta y no sería capaz de obtener acceso.
Sin embargo, las modalidades de la invención permiten que un administrador de recursos, o algún otro sistema de control de acceso confiable, interactúe con una aplicación (o "programa de aplicaciones") y habilite el uso de marcadores en ese ambiente. En un ambiente de aislamiento de procesos, una aplicación de aislamiento de procesos controla el acceso a los archivos en una manera tal que cada aplicación debe hacer una solicitud, en una modalidad, a la aplicación de aislamiento de procesos con el fin de obtener acceso a un archivo o carpeta particular. Específicamente, las modalidades de la invención no permitirán que una aplicación acceda a un archivo o carpeta sin alguna indicación de que es el intento del usuario para acceder a tal archivo o carpeta para prevenir situaciones donde un código malicioso intente un acceso clandestino a los recursos de sistema sensibles. Sin embargo, una vez que el intento del usuario se especifica por la selección de un archivo, la selección puede persistir, en algunas modalidades, a lo largo de sesiones de aplicaciones.
Debe observarse que la invención no se limita a las modalidades dadas a conocer en el sumano previo, dado que el sumario no incluye una lista exhaustiva de todos los aspectos de la presente invención. Otros atributos de la presente invención serán aparentes a partir de los dibujos adjuntos y de la descripción detallada a continuación. Más aún, se contempla que la invención incluye todos los sistemas y métodos que pueden practicarse a partir de todas las combinaciones adecuadas de los diversos aspectos resumidos antes, y también los dados a conocer en la Descripción Detallada siguiente.
BREVE DESCRIPCIÓN DE LOS DIBUJOS Las modalidades de la invención se ilustran a modo de ejemplo, y no de limitación, en las Figuras de los dibujos adjuntos, en las cuales las referencias similares indican elementos similares.
La Figura 1A muestra un ejemplo de un sistema de procesamiento de datos que puede comprenderse de una o más de las modalidades descritas en este documento.
La Figura 1 B es un diagrama de bloques que ilustra un sistema para operar un programa o aplicación en un ambiente operativo restringido, de acuerdo con una modalidad de la invención.
La Figura 2A es un diagrama de flujo que indica un método en una modalidad para realizar un mareaje delimitado de programas de aplicaciones para permitir el acceso constante a archivos en un ambiente operativo restringido, de acuerdo con una modalidad de la invención.
La Figura 2B es un diagrama de flujo que ilustra cómo una aplicación reactivada puede obtener acceso a través de un marcador u otro identificador en un ambiente operativo restringido, de acuerdo con una modalidad de la invención.
La Figura 3A es un diagrama de flujo que ilustra un método para crear un marcador delimitado de colección para utilizarse en un ambiente operativo restringido, de acuerdo con una modalidad de la invención.
La Figura 3B es un diagrama de flujo que ilustra un método para permitir acceso a través de un proyecto asociado con un marcador delimitado de colección en un ambiente operativo restringido, de acuerdo con una modalidad de la invención.
DESCRIPCIÓN DETALLADA DE LA INVENCIÓN Diversas modalidades para administrar acceso a archivos para una o más aplicaciones en aislamiento de procesos se describen en la descripción y dibujos a continuación. La siguiente descripción y dibujos son ilustrativos de la invención, y no deben interpretarse de manera limitante. Se describen numerosos detalles específicos para proporcionar una profunda comprensión de las diversas modalidades de la presente invención. Sin embargo, en ciertos casos, los detalles reconocidos o convencionales no se describen con el fin de proporcionar una discusión concisa de las modalidades de la presente invención.
La referencia en la especificación a "una modalidad" significa que un atributo, estructura, o característica particular, descritos en conjunto con la modalidad, pueden incluirse en por lo menos una modalidad de la invención. Las apariciones de la frase "en una modalidad", en diversos lugares en la especificación, no necesariamente se refieren todas a la misma modalidad. Aunque los procesos se describen a continuación desde el punto de vista de ciertas operaciones en secuencia, debe apreciarse que algunas de las operaciones descritas pueden realizarse en un orden diferente. Más aún, ciertas operaciones pueden realizarse en paralelo en lugar de en secuencia.
Los ambientes operativos restringidos son una forma de limitar el daño potencial de los programas que ejecutan código malicioso. Un ambiente operativo restringido puede incluir tales ambientes en los cuales un sistema operativo exige mecanismos de aislamiento de procesos en las aplicaciones, las cuales se ejecutan en el sistema operativo. Estos mecanismos de aislamiento de procesos pueden incluir restricciones en la memoria a la que una aplicación puede acceder, tal como la DRAM u otra memoria central de un dispositivo de computación, así como restricciones en el acceso a archivos almacenados en un dispositivo de almacenamiento no volátil, tal como un disco duro, o un dispositivo de memoria de destello, tal como un disco en estado sólido. Ejemplos de ambientes operativos restringidos se describen en la Solicitud de Patente de E.U. copendiente 13/007,472, presentada el 14 de enero de 2011 , y Solicitud de Patente de E.U. 12/790,451 , presentada el 28 de mayo de 2010, y Solicitud de Patente de E.U. 13/007,480, presentada el 14 de enero de 2011 , y todas estas solicitudes de patentes se incorporan por la presente en este documento para referencia en su totalidad.
Cuando una aplicación de aislamiento de procesos restringe el acceso a archivos, puede hacerlo así al requerir una demonstración del intento del usuario a través de instalaciones confiables, tal como una selección del usuario de un archivo a través de un recurso de sistema confiable tal como un recuadro o panel de diálogo de archivo abierto proporcionado por un elemento confiable de un sistema operativo. Por tanto, cuando se ejecuta una aplicación, el usuario puede proporcionar la indicación necesaria de confianza al seleccionar archivos a través de un recuadro de diálogo abierto o un recuadro de diálogo guardado u otro recuadro o panel de diálogo que se proporciona por un recurso de sistema confiable.
Sin embargo, hay ciertos casos donde una aplicación busca acceso a un archivo o carpeta, pero lo hace sin una interacción del usuario que indique la fiabilidad del archivo o carpeta. Por ejemplo, una aplicación de correo electrónico puede desear acceder a una carpeta de descarga con el fin de almacenar una descarga en un correo electrónico. Esto puede ocurrir al activar el programa de correo electrónico, pero la activación del programa de correo electrónico no incluye la selección del usuario de una carpeta de descarga particular. Por tanto, en este caso, la aplicación de correo electrónico podría denegar el acceso a la carpeta después de que se ha reactivado. Otro ejemplo en el cual una aplicación puede denegar el acceso en un ambiente restringido es si la aplicación utiliza un archivo de proyecto o colección, tal como el archivo de proyecto utilizado para la aplicación de software de edición de películas "Final Cut Pro". El archivo de proyecto o colección puede considerarse un directorio, el cual contiene metadatos y nombres de rutas que especifican diversas películas y otros contenidos, los cuales se utilizan en conjunto para proporcionar una presentación. En un uso típico del archivo de proyecto, el usuario abre el archivo de proyecto desde dentro de la aplicación a través del uso de un recuadro de diálogo abierto. En este caso, el sistema no necesita verificar la fiabilidad del archivo, dado que el usuario se asume como confiable y la acción del usuario para seleccionar el archivo indica la fiabilidad del archivo. Sin embargo, la aplicación necesitará o puede necesitar acceso a los archivos referidos dentro del proyecto o colección, y el acceso a esos archivos se denegará en un ambiente operativo restringido, el cual requiere una indicación de fiabilidad del usuario para un archivo particular.
Cualquiera de los métodos descritos en este documento puede implementarse en una diversidad de diferentes dispositivos de procesamiento de datos incluyendo, pero sin limitarse a, sistemas de computación para propósitos generales, sistemas de computación para propósitos especiales, sistemas de computación incrustados, etc. Por ejemplo, el sistema de procesamiento de datos, que puede utilizar cualquiera de los métodos descritos en este documento, puede incluir una computadora de escritorio o una computadora personal portátil; un dispositivo móvil tal como una computadora tipo tableta, o un teléfono inteligente, o un teléfono celular; un asistente digital personal (PDA); o alguna otra forma de dispositivo electrónico incrustado o un dispositivo electrónico de consumo. La Figura 1A muestra un ejemplo de un sistema típico de procesamiento de datos que puede utilizarse con la presente invención. Obsérvese que, aunque la Figura 1A ilustra los diversos componentes de un sistema de procesamiento de datos, tal como un sistema de computación, no se pretende representar ninguna arquitectura o manera particular de interconectar los componentes dado que tales detalles no son afines para la presente invención. También se apreciará que otros tipos de sistemas de procesamiento de datos que tienen menos componentes que los mostrados, o más componentes que los mostrados en la Figura 1A, también pueden utilizarse con la presente invención. El sistema de procesamiento de datos de la Figura 1A puede ser una computadora Macintosh de Apple Inc. de Cupertino, California.
Como se muestra en la Figura 1A, el sistema de procesamiento de datos 100 incluye uno o más buses 125, que sirven para interconectar los diversos componentes del sistema. Uno o más procesadores 115 se acoplan al o los buses 125 como se conoce en la técnica. La memoria 120 puede ser DRAM o RAM no volátil, o puede ser memoria de destello u otros tipos de memoria. Esta memoria se acopla al o los buses 125 al utilizar técnicas conocidas en el arte. El sistema de procesamiento de datos 100 también puede incluir memoria no volátil 122, la cual puede ser una unidad de disco duro o una memoria de destello, o una unidad óptica magnética o memoria magnética, o una unidad óptica u otros tipos de sistemas de memoria, que mantienen datos incluso después de que la energía se remueve del sistema. La memoria no volátil 122 y la memoria 120 se acoplan al o los buses 125 al utilizar interfaces y técnicas de conexión conocidas. Un controlador de visualización 130 se acopla al o los buses 125 con el fin de recibir datos de visualización que se mostrarán en un dispositivo de visualización 132 que puede mostrar cualquiera de los atributos o modalidades de ¡nterfaz de usuario descritos en este documento. El dispositivo de visualización 132 puede incluir una entrada táctil integrada para proporcionar una pantalla táctil.
El sistema de procesamiento de datos 100 también puede incluir uno o más controladores de entrada/salida (l/O) 140 que proporcionan interfaces para uno o más dispositivos de l/O, tal como uno o más ratones, pantallas táctiles, paneles sensibles al tacto, palancas de mando, y otros dispositivos de entrada de datos, incluyendo los conocidos en la técnica, y dispositivos de salida (por ejemplo, altavoces). Los dispositivos de entrada/salida 142 se acoplan a través de uno o más controladores de l/O 140 como se conoce en la técnica. Mientras la Figura 1A muestra que la memoria no volátil 122 y la memoria 120 se acoplan al o los buses directamente en lugar de a través de una interfaz de red, se apreciará que el sistema de procesamiento de datos puede utilizar una memoria no volátil que está alejada del sistema, tal como un dispositivo de almacenamiento en red que se acopla al sistema de procesamiento de datos a través de una interfaz de red 135, tal como un módem, o interfaz de Ethernet o interfaz inalámbrica, tal como un transceptor Wi-Fi inalámbrico 145 o un transceptor de teléfono celular inalámbrico, o una combinación de tales transceptores.
Como se conoce en la técnica, el o los buses 125 pueden incluir uno o más puentes, controladores o adaptadores para interconectarse entre diversos buses. En una modalidad, el controlador de l/O 140 incluye un adaptador USB para controlar los periféricos USB y puede controlar un puerto Ethernet, o un transceptor inalámbrico o combinación de transceptores inalámbricos. Será aparente, a partir de esta descripción, que los aspectos de la presente invención pueden representarse, por lo menos en parte, en software. Es decir, las técnicas pueden llevarse a cabo en un sistema de procesamiento de datos en respuesta a su procesador que ejecuta una secuencia de instrucciones contenidas en una memoria, tal como la memoria 120 o la memoria no volátil 122, o una combinación de tales memorias que, en conjunto, pueden representar el medio de almacenamiento no transitorio, legible por computadora. En diversas modalidades, puede utilizarse un conjunto de circuitos conectados directamente, en combinación con instrucciones de software para implementar la presente invención. De esta manera, las técnicas no se limitan a ninguna combinación específica de conjunto de circuitos de hardware y software, o a ninguna fuente particular para las instrucciones ejecutadas por el sistema de procesamiento de datos.
La Figura 1 B muestra un ambiente operativo, que puede incluir un sistema de procesamiento de datos como en la Figura 1A, de acuerdo con una modalidad de la presente invención. El ambiente operativo utiliza un administrador de recursos u otro sistema de control de acceso confiable 161 para proporcionar marcadores a un programa de aplicaciones o aplicación en aislamiento de procesos con el fin de permitir que la aplicación obtenga acceso en el ambiente restringido incluso después de que la aplicación se ha terminado y luego reactivado. El administrador de recursos 161 puede ser un sistema de control de acceso dentro de un sistema operativo, y el código objeto ejecutable del administrador de recursos 161 puede firmarse criptográficamente o autenticarse de otra manera con el fin de verificar su fiabilidad en algunas modalidades. Se accede a un dispositivo de almacenamiento 155 a través del administrador de recursos 161 . En una modalidad, el administrador de recursos accede al dispositivo de almacenamiento 155 a través de un sistema de archivos. El programa de aplicaciones 151 accede al archivo o carpeta, tal como el archivo 159 o carpeta 157, a través del administrador de recursos 161 , el cual a su vez accede al dispositivo de almacenamiento 155 a través del sistema de archivos. El dispositivo de almacenamiento 155 puede ser un disco duro o unidad de estado sólido u otro almacenamiento no volátil conocido en la técnica. El programa de aplicaciones 151 se aisla en procesos por el área de pruebas 153 de tal modo que su uso de memoria en la memoria central pueda limitarse por la aplicación de aislamiento de procesos y el programa de aplicaciones 151 sólo pueda obtener acceso a los archivos o carpetas fuera de su paquete o contenedor al solicitar acceso a través del administrador de recursos 161. El administrador de recursos 161 puede permitir acceso a un archivo cuando el usuario ejecuta la aplicación y solicita el archivo a través de un recuadro o panel de diálogo abierto o guardado, el cual se proporciona por un componente de software de sistema confiable. Por ejemplo, si el usuario selecciona, a partir de un panel de preferencias, una carpeta de descarga particular para utilizarse, o alguna otra carpeta para utilizarse para cierto propósito de la aplicación, la aplicación puede utilizar esa carpeta durante su ejecución actual. Sin embargo, cuando la aplicación se termina o se abandona de otra manera, y luego se reactiva, la aplicación no puede reutilizar u obtener acceso a esa carpeta o archivo sin interacción del usuario.
Los métodos mostrados en la Figura 2A y Figura 2B proporcionan un ejemplo de cómo se puede permitir que una aplicación o programa de aplicaciones tenga acceso a un archivo o carpeta previamente confiable, incluso después de la terminación de la aplicación. En otras palabras, el sistema puede proporcionar acceso a un archivo o carpeta previamente confiable a través del uso de un marcador delimitado de seguridad u otro identificador tal como un Localizador Uniforme de Recursos (URL). Los métodos mostrados en la Figura 2A y Figura 2B se relacionan con una situación en la cual la aplicación utiliza marcadores delimitados de aplicación para obtener acceso a un archivo o carpeta previamente seleccionados por parte del usuario. Los métodos mostrados en la Figura 2A pueden comenzar en la operación 201 en la cual un programa de aplicaciones recibe una selección del usuario de un archivo o carpeta mientras se ejecuta. Luego el programa de aplicaciones, en respuesta en la operación 203, solicita a un administrador de recursos que cree un marcador delimitado de aplicación. La solicitud puede realizarse a través de una llamada de API a un componente de recursos confiable, tal como el administrador de recursos 11 1. La solicitud puede especificar una carpeta o archivo y también especificar la aplicación solicitante. En la operación 205 el administrador de recursos entonces verifica si la aplicación tiene derechos de acceso; en una modalidad esto puede realizarse al recibir un descriptor de archivo de la aplicación y luego el administrador de recursos verifica el descriptor de archivo contra el descriptor de archivo para el archivo solicitado seleccionado por el usuario en la operación 201. Si la aplicación tiene derechos de acceso cuando se determina en la operación 205, entonces el administrador de recursos crea una clave de combinación, al utilizar una combinación de una clave secreta, que se desconoce por la aplicación, y la clave firmada o identidad firmada del programa de aplicaciones. El administrador de recursos entonces puede determinar o recibir un marcador para el archivo o carpeta solicitada en la operación 209, y luego la clave de combinación puede utilizarse con la función de resumen criptográfico para crear un identificador de ubicación codificado criptográficamente, el cual es un resumen criptográfico o condensado del marcador en la operación 209. Entonces en la operación 211 , el administrador de recursos puede enviar el marcador y el resumen criptográfico del marcador al programa de aplicaciones, el cual entonces puede, en la operación 213, almacenar el marcador y resumen criptográfico del marcador. En una modalidad, el marcador y el resumen criptográfico del marcador pueden codificarse dentro del paquete o contenedor de la aplicación dentro de su área de pruebas, lo que en consecuencia le permite tener acceso a los datos sin obtener permiso del administrador de recursos. Entonces, en la operación 215, la aplicación puede terminarse o el sistema puede suspenderse. En este punto, el ambiente operativo restringido ha creado un marcador delimitado de aplicación para permitir a la aplicación el acceso al archivo o carpeta previamente seleccionados sin requerir la interacción del usuario adicional para indicar la fiabilidad del archivo o carpeta.
La Figura 2B muestra el uso del marcador delimitado de aplicación una vez que la aplicación se reactiva, en donde la aplicación se ejecuta nuevamente después de la terminación en la operación 215. La reactivación se presenta en la operación 221 y luego, en la operación 223, el programa de aplicaciones solicita acceso a un archivo o carpeta fuera de su área de pruebas. Por ejemplo, un programa de correo electrónico puede solicitar almacenar una descarga en una carpeta de descarga previamente seleccionada por el usuario. El programa de aplicaciones, en la operación 225 puede convocar, a través de una API, al administrador de recursos para el acceso al archivo o carpeta (tal como la carpeta de descarga) y el programa de aplicaciones proporciona el marcador y resumen criptográfico del marcador, el cual se almacena en la operación 213. En la operación 227, el administrador de recursos recibe el marcador y el resumen criptográfico del marcador de la programa de aplicaciones y utiliza la clave de combinación en el marcador recibido para autenticar criptográficamente el resumen criptográfico del marcador al recodificar el URL en un segundo resumen criptográfico con clave que compara el resumen criptográfico recreado con el resumen criptográfico recibido del programa de aplicaciones. Si la comparación muestra que coinciden, entonces el administrador de recursos autentica la solicitud y permite el acceso al archivo o carpeta en la operación 229. Si no coinciden, entonces se deniega el acceso.
Las Figuras 3A y 3B muestran un ejemplo de un método de acuerdo con una modalidad para permitir el acceso constante a archivos especificados en una colección o proyecto, tal como un proyecto de edición de películas Final Cut Pro. Los métodos mostrados en la Figura 3A pueden comenzar en la operación 301 en la cual un usuario abre una colección o proyecto al utilizar la aplicación. La abertura del usuario proporciona la indicación de fiabilidad en relación con el proyecto o colección cuando el usuario utiliza un recuadro de diálogo abierto dentro de la aplicación para abrir el proyecto si el recuadro de diálogo abierto se proporciona por un recurso de sistema confiable, tal como el software de sistema operativo, el cual proporciona el recuadro de diálogo abierto. El usuario entonces puede, en la operación 303, seleccionar o abrir una película para agregarse al proyecto. La aplicación en la operación 305 pide al administrador de recursos 111 que cree un marcador para la película, en donde este marcador se delimita al proyecto, lo cual puede especificarse por el nombre de ruta de archivo del proyecto. En una modalidad, el programa de aplicaciones especifica el proyecto por el nombre de archivo y proporciona el nombre de archivo al administrador de recursos. En la operación 307, el administrador de recursos verifica que el programa de aplicaciones tenga derechos de acceso al proyecto y a la película especificada y, si los tiene entonces, en la operación 309, el administrador de recursos creará una clave aleatoria si no existe una clave ya para el proyecto y une la clave al archivo de proyecto. En una modalidad, la clave se oculta de la aplicación, incluso si se une al archivo de proyecto. En tal modalidad, el administrador de recursos puede restringir el acceso a esa porción del archivo que contiene la clave aleatoria al requerir que el sistema de archivos almacene la clave aleatoria en un bloque separado del resto de los bloques de archivos o al utilizar otros mecanismos conocidos en la técnica. En la operación 311 , el administrador de recursos 111 puede crear un resumen criptográfico o condensado en clave de un marcador para la película al utilizar la clave aleatoria creada en la operación 309 para el archivo de proyecto. Entonces, en la operación 313, el administrador de recursos devuelve al programa de aplicaciones el marcador para la película y también devuelve el resumen criptográfico/condensado en clave. En una modalidad, el marcador puede contener el resumen criptográfico/condensado en clave. En la operación 315 el programa de aplicaciones almacena el marcador y el resumen criptográfico/condensado en clave dentro del archivo o directorio del proyecto para reutilizarse, como se explicará en relación con la Figura 3B. Las operaciones 303-315 se repiten para cada película u otro objeto a incluirse en el proyecto o colección. Se apreciará que la colección o proyecto pueden ser proyectos de películas o proyectos de música u otras aplicaciones donde los elementos referenciados representan bibliotecas de documentos utilizadas por la aplicación. Después de la operación 315, la aplicación puede abandonarse o terminarse, o el sistema puede suspenderse.
El método mostrado en la Figura 3B muestra el uso del marcador delimitado de colección creado en el método mostrado en la Figura 3A. En la operación 321 , la aplicación se reactiva y luego el usuario abre un proyecto dentro de la aplicación en la operación 323. En una modalidad, no hay necesidad de verificar la fiabilidad del proyecto dado que el sistema puede depender de la selección del usuario de un proyecto como indicación de fiabilidad del proyecto u otro archivo o colección de documentos. Entonces, en la operación 325, la aplicación envía uno o más marcadores referenciados por el proyecto y también envía el nombre de ruta de archivo de proyecto y el resumen criptográfico en clave de los marcadores al administrador de recursos 1 11. Entonces, en la operación 327, el administrador de recursos puede recuperar la clave aleatoria del archivo de proyecto, que se creó en la operación 309. Entonces, el administrador de recursos, en la operación 329 puede utilizar la clave aleatoria recuperada para crear un resumen criptográfico en clave en cada marcador recibido de la aplicación en virtud de la operación 325. Luego, el administrador de recursos puede comparar cada resumen criptográfico en clave, de los marcadores recibidos de la aplicación, con los resúmenes criptográficos en clave recalculados de cada marcador, y proporcionar acceso si se presenta una coincidencia y, de otra manera, denegar el acceso. En este caso, es posible permitir un acceso constante a documentos seleccionados por el usuario en una colección, o un proyecto que hace referencia a esa colección de documentos.
En el caso de los métodos mostrados en las Figuras 3A y 3B, las referencias constantes son específicas para la colección o proyecto que representa un documento o conjunto de documentos, y no son parte de la configuración de la aplicación, sino parte de un documento particular que la aplicación puede abrir.
Por otro lado, los métodos mostrados en las Figuras 2A y 2B son específicos para la aplicación que recibió la selección del usuario de un archivo o carpeta durante la ejecución de la aplicación. El administrador de recursos, u otro sistema de control de acceso confiable, puede verificar que el marcador, el cual puede ser un URL, no se saboteó, y que la misma aplicación está intentando acceder al archivo previamente accedido, el cual se seleccionó por un usuario. Por tanto, el marcador o identificador delimitado de aplicación es específico para una aplicación particular.
En la especificación precedente, la invención se ha descrito con referencia a las modalidades ejemplares específicas de la misma. Será evidente que pueden hacerse diversas modificaciones a la misma sin apartarse del espíritu y alcance más amplios de la invención, como se expone en las siguientes reivindicaciones. La especificación y dibujos, por consiguiente, deben considerarse en sentido ilustrativo más que en sentido restrictivo. Los diversos aspectos, modalidades, implementaciones o atributos de la modalidad, pueden utilizarse de manera separada o en cualquier combinación.
Las modalidades descritas también pueden representarse como código legible por computadora en un medio no transitorio, legible por computadora. Un medio no transitorio legible por computadora es cualquier dispositivo de almacenamiento de datos que puede almacenar datos que pueden leerse posteriormente por un sistema de computación, diferente al medio diseñado específicamente para propagar señales transitorias. Ejemplos de medios no transitorios legibles por computadora incluyen discos flexibles, dispositivos de memoria de destello, discos ópticos, CD-ROM, y discos magnéticos-ópticos, memorias de sólo lectura (ROM), memorias de acceso aleatorio (RAM), ROM programables regrabables (EPROM), ROM programables eléctricamente regrabables (EEPROM), tarjetas magnéticas u ópticas, o cualquier tipo de medio adecuado para almacenar instrucciones electrónicas. En diversas modalidades, pueden utilizarse instrucciones de software almacenadas en un medio de almacenamiento legible por computadora, en combinación con circuitos electrónicos conectados directamente para implementar la presente invención. De esta manera, las técnicas no se limitan a ninguna combinación específica de circuitos electrónicos de hardware e instrucciones de software, o a ninguna fuente particular para las instrucciones ejecutadas por el sistema de procesamiento de datos asociado con un aparato para realizar una o más de las operaciones descritas en este documento.

Claims (21)

REIVINDICACIONES
1. Un método implementado en computadora, que comprende: recibir una selección del usuario de un archivo o carpeta; solicitar, en respuesta a la selección, un identificador de ubicación asociado con el archivo o carpeta; recibir, en respuesta a la solicitud, un identificador de ubicación autenticado criptográficamente y un identificador que permite la recuperación del archivo o carpeta, incluso si el archivo o carpeta se renombra o mueve en un dispositivo de almacenamiento; y almacenar el identificador y el identificador de ubicación autenticado criptográficamente.
2. El método de conformidad con la reivindicación 1 , en donde el identificador es un URL y el identificador de ubicación autenticado criptográficamente es un primer resumen criptográfico en clave del URL.
3. El método de conformidad con la reivindicación 2, en donde la solicitud para el identificador de ubicación se atiende por un administrador de recursos, en donde el administrador de recursos es un sistema de control de acceso confiable.
4. El método de conformidad con la reivindicación 3, en donde el administrador de recursos es un componente de un sistema operativo de computadora y en donde el archivo o carpeta pueden recuperarse por una aplicación, incluso si el archivo o carpeta se renombra o mueve mientras la aplicación no se ejecuta.
5. El método de conformidad con la reivindicación 4, que además comprende: solicitar acceso a un archivo o carpeta seleccionados; proporcionar el URL y primer resumen criptográfico en clave; y acceder al archivo o carpeta, en donde el acceso al archivo o carpeta se encuentra disponible, incluso si el archivo o carpeta se renombra o mueve.
6. El método de conformidad con la reivindicación 5, en donde el administrador de recursos autentica el identificador de ubicación al crear un segundo resumen criptográfico en clave, y comparar el segundo resumen criptográfico en clave con el primer resumen criptográfico en clave.
7. Un ambiente operativo restringido para administrar el acceso a un recurso en un sistema electrónico de computación, el ambiente operativo restringido comprende: un área de pruebas para restringir el acceso al recurso; y un administrador de recursos para administrar, para una aplicación en el área de pruebas, el acceso al recurso, en donde el administrador de recursos, recibe una solicitud de un identificador de ubicación, el identificador de ubicación para acceder al recurso, verifica la solicitud al determinar si se permite el acceso al recurso, y envía el identificador de ubicación y un identificador, en donde el identificador permite la recuperación del recurso fuera del área de pruebas, incluso si el recurso se renombra o mueve.
8. El ambiente operativo restringido de conformidad con la reivindicación 7, en donde el área de pruebas restringe el acceso a archivos y carpetas, en donde los archivos y carpetas se encuentran fuera del área de pruebas.
9. El ambiente operativo restringido de conformidad con la reivindicación 8, en donde el administrador de recursos es un componente autenticado criptográficamente de un sistema operativo de computadora.
10. El ambiente operativo restringido de conformidad con la reivindicación 9, en donde el identificador es un URL y el identificador de ubicación es un resumen criptográfico en clave del URL.
11. El ambiente operativo restringido de conformidad con la reivindicación 10, en donde el resumen criptográfico en clave se genera y autentica criptográficamente.
12. El ambiente operativo restringido de conformidad con la reivindicación 7, en donde el área de pruebas restringe el acceso a la memoria central.
13. Un medio de almacenamiento no transitorio legible por computadora, el cual proporciona instrucciones que, cuando se ejecutan por un sistema de procesamiento, dan lugar a que el sistema de procesamiento realice operaciones que administran el acceso a recursos en un ambiente operativo restringido, las operaciones comprenden: recibir una primera solicitud para proporcionar un identificador de ubicación asociado con un archivo o carpeta; verificar que la primera solicitud tenga derechos para acceder al archivo o carpeta; crear una clave aleatoria y unir la clave aleatoria al archivo o carpeta; crear un primer resumen criptográfico en clave al utilizar la clave aleatoria; y devolver el identificador de ubicación asociado con el archivo o carpeta que comprende un URL y el primer resumen criptográfico en clave.
14. El medio de almacenamiento legible por computadora de conformidad con la reivindicación 13, que además comprende: recibir una segunda solicitud para acceder al archivo o carpeta, la segunda solicitud comprende el URL y el primer resumen criptográfico en clave; recuperar la clave aleatoria del archivo o carpeta; utilizar la clave aleatoria para crear un segundo resumen criptográfico en clave; y comparar el segundo resumen criptográfico en clave con el primer resumen criptográfico en clave.
15. El medio de almacenamiento legible por computadora de conformidad con la reivindicación 14, en donde la clave aleatoria no se encuentra accesible por una aplicación con acceso al archivo o carpeta.
16. El medio de almacenamiento legible por computadora de conformidad con la reivindicación 15, en donde el URL y primera clave de resumen criptográfico proporcionan acceso a una colección de documentos seleccionados por el usuario.
17. El medio de almacenamiento legible por computadora de conformidad con la reivindicación 15, en donde el URL y primera clave de resumen criptográfico son específicos para una aplicación particular.
18. El medio de almacenamiento legible por computadora de conformidad con la reivindicación 15, en donde el URL comprende la primera clave de resumen criptográfico.
19. El medio de almacenamiento legible por computadora de conformidad con la reivindicación 15, en donde el URL y primera clave de resumen criptográfico proporcionan un acceso consistente a lo largo de sesiones de aplicaciones.
20. El medio de almacenamiento legible por computadora de conformidad con la reivindicación 19, en donde el URL y primera clave de resumen criptográfico proporcionan un acceso consistente a lo largo de ciclos de energía del sistema.
21. Un medio de almacenamiento no transitorio legible por computadora, el cual proporciona instrucciones que, cuando se ejecutan, dan lugar a que un sistema de procesamiento de datos realice un método como en la reivindicación 1.
MX2014007792A 2012-01-17 2013-01-14 Acceso a sistemas de archivos para una o mas aplicaciones en aislamiento de procesos. MX2014007792A (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201261632101P 2012-01-17 2012-01-17
US13/631,715 US8943550B2 (en) 2010-05-28 2012-09-28 File system access for one or more sandboxed applications
PCT/US2013/021486 WO2013109508A1 (en) 2012-01-17 2013-01-14 File system access for one or more sandboxed applications

Publications (1)

Publication Number Publication Date
MX2014007792A true MX2014007792A (es) 2014-07-30

Family

ID=48780927

Family Applications (1)

Application Number Title Priority Date Filing Date
MX2014007792A MX2014007792A (es) 2012-01-17 2013-01-14 Acceso a sistemas de archivos para una o mas aplicaciones en aislamiento de procesos.

Country Status (9)

Country Link
US (2) US8943550B2 (es)
EP (1) EP2783321B1 (es)
JP (1) JP5900911B2 (es)
KR (1) KR101690845B1 (es)
CN (1) CN104054086B (es)
AU (1) AU2013209946B2 (es)
BR (1) BR112014016713B1 (es)
MX (1) MX2014007792A (es)
WO (1) WO2013109508A1 (es)

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
US10999298B2 (en) 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US9112850B1 (en) 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
US9361597B2 (en) 2010-10-19 2016-06-07 The 41St Parameter, Inc. Variable risk engine
GB2494098B (en) * 2011-04-11 2014-03-26 Bluecava Inc Thick client and thin client integration
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
US9633201B1 (en) 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
US9575787B2 (en) * 2012-05-30 2017-02-21 Red Hat Israel, Ltd. Managing device access using an address hint
EP2880619A1 (en) 2012-08-02 2015-06-10 The 41st Parameter, Inc. Systems and methods for accessing records via derivative locators
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
US9197446B2 (en) * 2012-12-12 2015-11-24 Google Inc. Address pinning
US9275245B2 (en) * 2013-03-15 2016-03-01 Airwatch Llc Data access sharing
US9424421B2 (en) 2013-05-03 2016-08-23 Visa International Service Association Security engine for a secure operating environment
WO2014204363A1 (en) * 2013-06-19 2014-12-24 Telefonaktiebolaget L M Ericsson (Publ) Method and an integrated circuit for executing a trusted application within a trusted runtime environment
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
US9811393B2 (en) 2014-05-29 2017-11-07 Apple Inc. Consistent extension points to allow an extension to extend functionality of an application to another application
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
US9575740B2 (en) * 2015-01-21 2017-02-21 Samsung Electronics Co., Ltd. Apparatus and method for running multiple instances of a same application in mobile devices
US10685142B2 (en) 2015-02-02 2020-06-16 Indiana University Research And Technology Corporation External resource control of mobile devices
KR101723623B1 (ko) * 2015-09-24 2017-04-06 아주대학교산학협력단 악성 코드 탐지 시스템 및 방법
US10176331B2 (en) 2016-06-10 2019-01-08 Microsoft Technology Licensing, Llc Enhanced metadata to authentically report the provenance of a file
CN106815525B (zh) * 2016-12-13 2020-03-31 北京元心科技有限公司 数据传递方法及装置
KR20180084304A (ko) * 2017-01-16 2018-07-25 삼성전자주식회사 전자 장치 및 전자 장치의 웹 페이지의 바로가기 생성 방법
US11366789B2 (en) 2017-06-29 2022-06-21 Microsoft Technology Licensing, Llc Content access
US11290466B2 (en) * 2017-08-16 2022-03-29 Cable Television Laboratories, Inc. Systems and methods for network access granting
US11144501B2 (en) * 2018-03-12 2021-10-12 Microsoft Technology Licensing, Llc Locating files using a durable and universal file identifier
US11151273B2 (en) * 2018-10-08 2021-10-19 Microsoft Technology Licensing, Llc Controlling installation of unauthorized drivers on a computer system
US11164206B2 (en) * 2018-11-16 2021-11-02 Comenity Llc Automatically aggregating, evaluating, and providing a contextually relevant offer
CN112182831B (zh) * 2019-08-16 2021-08-17 北京天德科技有限公司 智能投顾产业测试和评估沙盒
CN111339529B (zh) * 2020-03-13 2022-09-30 杭州指令集智能科技有限公司 低代码的业务编排构件运行的管理***、方法及计算设备
CN112511569B (zh) * 2021-02-07 2021-05-11 杭州筋斗腾云科技有限公司 网络资源访问请求的处理方法、***及计算机设备
CN114817981A (zh) * 2022-02-14 2022-07-29 统信软件技术有限公司 一种文件访问方法、计算设备及可读存储介质

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5551038A (en) 1992-07-16 1996-08-27 International Business Machines Corporation Directory based computer environment
JPH11175512A (ja) * 1997-12-09 1999-07-02 Hitachi Ltd 文書の存在証明に関するプログラム
EP0940960A1 (en) 1998-03-02 1999-09-08 Hewlett-Packard Company Authentication between servers
US6691230B1 (en) 1998-10-15 2004-02-10 International Business Machines Corporation Method and system for extending Java applets sand box with public client storage
EP1224568A4 (en) 1999-09-24 2006-11-08 Sun Microsystems Inc MECHANISM FOR VALIDATING SESSION INFORMATION TO BE SHARED AMONG MULTIPLE PROCESSES
US6535867B1 (en) 1999-09-29 2003-03-18 Christopher J. F. Waters System and method for accessing external memory using hash functions in a resource limited device
US6466983B1 (en) 1999-09-30 2002-10-15 Steven Paul Strazza Systems and methods for controlling access to data maintained in a repository
US6836888B1 (en) 2000-03-17 2004-12-28 Lucent Technologies Inc. System for reverse sandboxing
US6691113B1 (en) 2000-09-28 2004-02-10 Curl Corporation Persistent data storage for client computer software programs
GB0025299D0 (en) * 2000-10-13 2000-11-29 Ibm Request tracking for analysis of website navigation
US20020066022A1 (en) 2000-11-29 2002-05-30 Brad Calder System and method for securing an application for execution on a computer
US7370351B1 (en) * 2001-03-22 2008-05-06 Novell, Inc. Cross domain authentication and security services using proxies for HTTP access
JP4154893B2 (ja) 2002-01-23 2008-09-24 株式会社日立製作所 ネットワークストレージ仮想化方法
US7594111B2 (en) 2002-12-19 2009-09-22 Massachusetts Institute Of Technology Secure execution of a computer program
WO2005043360A1 (en) * 2003-10-21 2005-05-12 Green Border Technologies Systems and methods for secure client applications
US7908653B2 (en) 2004-06-29 2011-03-15 Intel Corporation Method of improving computer security through sandboxing
US7818781B2 (en) 2004-10-01 2010-10-19 Microsoft Corporation Behavior blocking access control
US7725737B2 (en) 2005-10-14 2010-05-25 Check Point Software Technologies, Inc. System and methodology providing secure workspace environment
US7698269B2 (en) 2005-11-29 2010-04-13 Yahoo! Inc. URL shortening and authentication with reverse hash lookup
US20080005472A1 (en) 2006-06-30 2008-01-03 Microsoft Corporation Running applications from removable media
US8272048B2 (en) 2006-08-04 2012-09-18 Apple Inc. Restriction of program process capabilities
US7599920B1 (en) * 2006-10-12 2009-10-06 Google Inc. System and method for enabling website owners to manage crawl rate in a website indexing system
US8010991B2 (en) 2007-01-29 2011-08-30 Cisco Technology, Inc. Policy resolution in an entitlement management system
US20080263193A1 (en) * 2007-04-17 2008-10-23 Chalemin Glen E System and Method for Automatically Providing a Web Resource for a Broken Web Link
US8448255B2 (en) * 2008-07-14 2013-05-21 Apple Inc. Secure file processing
US8285949B2 (en) 2009-06-03 2012-10-09 Apple Inc. Secure software installation
US20100312749A1 (en) 2009-06-04 2010-12-09 Microsoft Corporation Scalable lookup service for distributed database
US20130074158A1 (en) * 2011-09-20 2013-03-21 Nokia Corporation Method and apparatus for domain-based data security

Also Published As

Publication number Publication date
US8943550B2 (en) 2015-01-27
CN104054086B (zh) 2017-04-05
JP5900911B2 (ja) 2016-04-06
AU2013209946B2 (en) 2016-04-28
WO2013109508A1 (en) 2013-07-25
US20150199510A1 (en) 2015-07-16
BR112014016713A2 (pt) 2021-05-25
EP2783321B1 (en) 2021-02-24
US9342689B2 (en) 2016-05-17
BR112014016713B1 (pt) 2022-07-12
BR112014016713A8 (pt) 2017-07-04
EP2783321A1 (en) 2014-10-01
KR20140105572A (ko) 2014-09-01
AU2013209946A1 (en) 2014-07-10
CN104054086A (zh) 2014-09-17
KR101690845B1 (ko) 2016-12-28
JP2015503814A (ja) 2015-02-02
US20130185764A1 (en) 2013-07-18

Similar Documents

Publication Publication Date Title
EP2783321B1 (en) File system access for one or more sandboxed applications
US11902281B2 (en) On-demand security policy activation
US20190089810A1 (en) Resource access method, apparatus, and system
US20160232374A1 (en) Permission control method and apparatus
US8417969B2 (en) Storage volume protection supporting legacy systems
CN110546979B (zh) 在服务与应用之间的多级分布式访问控制
CN107209678B (zh) 用于移动设备的自适应克隆的***和方法
US20170185790A1 (en) Dynamic management of protected file access
WO2016127447A1 (zh) 一种安装应用的方法及终端
US9819663B1 (en) Data protection file system
WO2017112640A1 (en) Obtaining a decryption key from a mobile device
US9286476B2 (en) Method and system for configuring constraints for a resource in an electronic device
US9887979B1 (en) Systems and methods for enabling users to launch applications without entering authentication credentials
WO2017112639A1 (en) Encrypted synchronization
US9479492B1 (en) Authored injections of context that are resolved at authentication time
WO2022111680A1 (zh) 一种数据访问方法、装置和电子设备
KR101844534B1 (ko) 전자 파일에 대한 보안 적용 방법
US9742752B1 (en) Data backup and self-service data restoration
KR20140033554A (ko) 저장된 파일을 보호하는 단말기 및 방법

Legal Events

Date Code Title Description
FG Grant or registration