[发明专利]一种运行在移动设备上的安全移动框架的方法

说明书

本发明公开了一种运行在移动设备上的安全移动框架的方法。多个实施例提供安全化数据以及在移动设备与来自可靠授权的网关访问的端点服务之间的通信以用于认证、异常检测、欺诈检测和策略管理的机制。一些实施例提供了用于服务器和客户端安全机制的整合，将用户/应用/设备与多个加密机制和加密服务一起绑定。例如，安全移动框架提供了移动设备上的安全容器、安全文件、虚拟文件系统分区、多级的认证方法(例如，访问移动设备上的安全容器，并访问企业服务)，以及在服务器端的欺诈检测系统。

技术领域

本发明涉及一种运行在移动设备上的安全移动框架的方法。

背景技术

许多公司或企业要么给雇员提供移动设备(如，智能手机、平板电脑等)或允许雇员携带自己的移动设备。然而，允许雇员通过移动设备访问公司内的服务增加了公司所面临的潜在安全漏洞。例如，如果一个雇员丢失了他/她的移动设备，未授权方可以检索该电话上的任何未受保护的数据，并可以有可能访问该公司内的服务。作为另一个实例，如果该雇员离开公司，并且不交回移动设备，前雇员仍然可以有可能访问存储在设备上或者在公司内的敏感数据。

为了减少这种类型的未经授权的访问，许多公司都使用移动设备管理(MDM)策略来限制移动设备的控制，从而降低能够与企业内的服务建立连接的移动设备的潜在的安全风险。由企业建立的MDM策略通过对移动设备的配置设置的管理以控制和保护数据。为了管理配置设置，隔空编程(OTA)的功能经常被使用。OTA的使用允许企业远程配置单个移动设备或移动设备的整个机群，以发送软件和操作系统(OS)更新，并且当它发生丢失或被盗等情况时，远程锁定和清空设备以保护存储在设备上的数据。

然而，通过MDM策略所施加的限制对于以个人身份使用该设备的用户可能是不方便的。例如，MDM策略可能要求移动设备自动锁定，并在移动设备被解锁之前提示用户提供具有特定的一组特性的密码。用户可能会认为这些限制是讨厌的。正因为如此，传统的移动设备管理造成了许多挑战和低效率。

发明内容

一种运行在移动设备上的安全移动框架的方法，其特征在于，包括：

在与企业相关联的网关接收来自远程用户设备的认证请求，以访问由所述企业提供的服务，其中所述认证请求来自在所述远程用户设备上运行的由企业管理的应用，

其中所述认证请求包括密码、远程用户设备标识符、应用族以及设备类型；

使用接收的密码、远程用户设备标识符、应用族和设备类型生成框架认证令牌，以及基于由所述企业提供的所述远程用户设备请求访问的服务生成安全策略；

发送所述框架认证令牌和所述安全策略至所述远程用户设备，其中在生成连接请求以连接到所述服务之前，所述远程用户设备确保符合所述安全策略；以及

基于所述框架认证令牌和所述安全策略，从所述远程用户设备接收所述连接请求，其中服务认证器确定所述远程用户设备是否被授权以访问所述服务。

本发明总体上涉及一种安全移动框架，能够将运行在移动设备上的应用与企业内的服务建立安全连接。由企业提供的服务的一些例子包括，但不限于，电子邮件服务、交易服务、支付处理服务、客户关系管理服务、库存系统服务、商业智能服务、医疗保健服务、学生信息服务、预订服务、安全服务，和/或包含敏感信息的其它服务。根据一些实施例，安全移动框架提供软件库和服务组件的集合，这向软件开发者提供了在非企业移动设备上建立安全应用的能力。安全移动框架可以通过隔离区(DMZ，demilitarized zone)类型的构架的手段，与具有与公共网络具有防火墙内容、服务和网络的企业联合使用。因此，许多企业的现有的认证和授权系统可以被利用。客户端和服务器库可以被利用或扩展以在客户端和服务器应用内提供安全存储和通信。

具体实施方式