[发明专利]在计算设备上针对组织的数据保护

说明书

背景技术

由于计算技术已进步，许多不同类型的计算设备成为寻常。便携式计算设备变得越来越流行，用户有时候将他们的个人计算设备带到工作场所并使用他们的个人计算设备来工作。这样的使用可能导致以下情形，即：用于工作的数据文件被存储在用户的个人计算设备中。虽然这可能对用户是有帮助的，但是也并非没有它的问题。一个这样的问题是：公司典型地喜欢对它们的数据文件保持某种控制，因为这些数据文件可能常常包括机密信息。

为了控制它们的机密信息，许多公司要求设备指示它支持某些标准或协议以便被发送以企业数据（corporatedata）。这些标准或协议的一部分是：公司可以发送擦除（wipe）数据的命令，导致设备上的所有数据都被删除，使得公司知道所有企业数据都被移除。擦除命令可以由公司酌情决定发送，比如在用户不再被公司雇佣时。虽然这样的删除可以帮助保护公司，但是这可能导致破坏用户体验，因为从用户的设备上删除所有数据包括删除用户的所有个人数据文件。

发明内容

本概要被提供来以简化的形式介绍概念的选择，这些概念还将在下面的详细说明中进行描述。本概要既不打算识别所要求保护的主题的关键特征或必要特征，也不打算被用来限制所要求保护的主题的范围。

根据一个或多个方面，在计算设备的一个或多个模块处接收保护与组织（organization）相关联的数据的请求。所述请求包括对组织的指示和对与组织相关联的数据的指示两者。使用与计算设备和组织两者相关联的加密密钥来加密数据。返回加密的数据（例如，到计算设备的应用），并且在数据被加密之后，在计算设备处接收撤销（revoke）与组织相关联的数据的指示。响应于撤销与组织相关联的数据的指示，通过删除用于解密所述加密的数据的解密密钥（依赖于所使用的加密/解密技术，解密密钥可以与加密密钥相同，或者可以不与加密密钥相同）来撤销与组织相关联的数据。

根据一个或多个方面，在计算设备处接收特定组织数据在计算设备上不再可访问的指示。特定组织数据包括：在对于计算设备上的应用可以将组织数据存储在哪里（例如，在所述计算设备上和/或在一个或多个附加计算设备上）没有约束的情况下，响应于来自应用的请求而在计算设备上先前被加密的数据。识别计算设备上与特定组织数据相关联的一个或多个密钥，并删除所识别的一个或多个密钥。

附图说明

图中各处使用相同的数字来引用同样的特征。

图1图示了根据一个或多个实施例的、实现在计算设备上针对组织的数据保护的示例系统。

图2图示了根据一个或多个实施例的、实现在计算设备上针对组织的数据保护的另一示例系统。

图3是图示了根据一个或多个实施例的、用于实现在计算设备上针对组织的数据保护的示例过程的流程图。

图4图示了根据一个或多个实施例的加密的数据的示例。

图5图示了根据一个或多个实施例的示例组织数据保护系统。

图6图示了包括示例计算设备的示例系统，所述示例计算设备代表可以实现本文描述的各种技术的一个或多个系统和/或设备。

具体实施方式

本文论述了在计算设备上针对组织的数据保护。计算设备上的应用可以与组织的服务（比如电子邮件服务、文件服务等等）通信，并且可以获得与组织相关联的数据（也称作组织数据）。应用访问组织数据保护系统，所述组织数据保护系统使用加密密钥来加密组织数据并且与所加密的数据一起包括解密密钥的指示，所述解密密钥可以被用来解密所加密的数据。解密密钥与组织相关联，并且不同的组织具有不同的解密密钥。解密密钥可以可选地与用户和/或应用以及组织相关联，所以针对相同组织使用相同计算设备的不同用户可以具有不同的解密密钥，并且相同计算设备上不同应用的相同或不同用户可以具有不同的解密密钥。

组织数据保护系统保持与组织相关联的加密和解密密钥的记录。组织数据保护系统可以可选地针对可以存储组织数据的用户使解密密钥（例如经由网络）游走（roam）到多个设备。所加密的组织数据可以被存储在该计算设备（和/或可选地由用户使用的一个或多个附加计算设备）上的各种位置，并且可以被计算设备上的各种应用读取。当数据随后被应用读取时，组织数据保护系统尝试获得由所述数据指示的解密密钥。如果解密密钥可得到，则使用解密密钥来解密数据并将所解密的数据返回到读取数据的应用。