c��、SharePoint、SAP或 基于HTTP的那些協(xié)議來格式化的消息的有效載荷�����。安全移動網(wǎng)關(guān)也可修改這些消息中的 協(xié)議元數(shù)據(jù)以實現(xiàn)各種安全相關(guān)特征����。例如�����,如下面在標題"保護附件數(shù)據(jù)"下所述的���,安 全移動網(wǎng)關(guān)可配置成檢查ActiveSync或其它請求402的有效載荷以確定它們是否與包括 附件(例如電子郵件附件)的消息相關(guān);安全移動網(wǎng)關(guān)128也可對一些或所有識別出的附 件加密以防止它們以未加密格式存儲在相關(guān)的移動設(shè)備120上���。
[0134] 網(wǎng)關(guān)規(guī)則404可基于由移動設(shè)備管理系統(tǒng)126提供的數(shù)據(jù)和/或由安全移動網(wǎng)關(guān) 128的操作員提供的數(shù)據(jù)����。移動設(shè)備管理系統(tǒng)126可將高級別規(guī)則轉(zhuǎn)換成相對簡單(較低 級別)的規(guī)則����,并向安全移動網(wǎng)關(guān)128提供相對簡單的規(guī)則用于應(yīng)用于所監(jiān)控的業(yè)務(wù)�。安全 移動網(wǎng)關(guān)也可實現(xiàn)由或基于來自元應(yīng)用150和/或云156中的元應(yīng)用部分151的推斷引擎 (例如圖8的推斷引擎824)的輸入提供的規(guī)則。在一些實施方式中��,可使用在Qureshi '526 中描述的方法和部件(包括征兆邏輯)來產(chǎn)生規(guī)則����。
[0135] 網(wǎng)關(guān)規(guī)則404可采取很多不同的形式�,并可以用各種編程語言例如SML來編寫���。在 一個實施方式中����,網(wǎng)關(guān)規(guī)則404包括"組"的列表加上默認"行動"的指示(例如訪問請求 的允許或拒絕或是否對附件數(shù)據(jù)加密)�����。在這個上下文中�,組是"組成員"的集合加上該組 的相應(yīng)行動。組成員可以是移動設(shè)備請求402的一個�����、一些或所有特性的值的集合���。每個 組成員可通過由安全移動網(wǎng)關(guān)128支持的請求協(xié)議的特性的任何值來匹配進入的移動設(shè) 備訪問請求402����。網(wǎng)關(guān)過濾器401可通過使組成員的所有特性值與請求402的相應(yīng)特性值 匹配來使進入的請求402與組成員匹配�����。如果組成員不包括一個或多個可能的請求特性的 任何值,則網(wǎng)關(guān)過濾器401對于那些特定的特性可確定它與請求的值是什么無關(guān)����。換句話 說,組成員可有效地規(guī)定一個或多個請求特性的"任何"或"無關(guān)"���。因此�,不同的組成員可 相應(yīng)于同一移動設(shè)備120或用戶115���。例如�����,對于支持ActiveSync的安全移動網(wǎng)關(guān)128,組 成員可通過 DeviceID��、User��、UserAgent 和 DeviceType 以及 ActiveSync Cmd 值的任何組合 來匹配進入的HTTP請求402�����。
[0136] 這里是網(wǎng)關(guān)規(guī)則404的一個例子:
[0137]
【主權(quán)項】
1. 一種企業(yè)系統(tǒng),其配置成控制移動設(shè)備對企業(yè)資源的訪問���,所述企業(yè)系統(tǒng)包括: 企業(yè)資源����,其配置成通過通信網(wǎng)絡(luò)電子地與計算設(shè)備通信;以及 網(wǎng)關(guān)���,其包括計算機硬件�����,所述網(wǎng)關(guān)配置成: 從移動設(shè)備接收對訪問所述企業(yè)資源的請求���,所述請求根據(jù)包括與所述移動設(shè)備相關(guān) 的特性的協(xié)議而格式化; 從一個或多個網(wǎng)關(guān)規(guī)則提供者接收網(wǎng)關(guān)規(guī)則��,每個網(wǎng)關(guān)規(guī)則包括: 所述協(xié)議的一個或多個所述特性的一個或多個值�����;以及 當所述請求具有相應(yīng)于所述網(wǎng)關(guān)規(guī)則的一個或多個特性值的一個或多個特性值時采 取選定行動的指示�����; 確定所述請求是否具有相應(yīng)于任一所述網(wǎng)關(guān)規(guī)則的一個或多個特性值的一個或多個 特性值;以及 當所述請求具有相應(yīng)于所述網(wǎng)關(guān)規(guī)則中的一個網(wǎng)關(guān)規(guī)則的一個或多個特性值的一個 或多個特性值時�,基于在所述一個網(wǎng)關(guān)規(guī)則中的指示使在所述一個網(wǎng)關(guān)規(guī)則中指示的行動 被采取。
2. 如權(quán)利要求1所述的計算機系統(tǒng)��,其中�����,所述選定行動包括允許對所述企業(yè)資源的 訪問或拒絕對所述企業(yè)資源的訪問中的至少一個��。
3. 如權(quán)利要求2所述的計算機系統(tǒng)��,其中所述協(xié)議的一個或多個特性指示一個或多個 移動應(yīng)用存儲在所述移動設(shè)備上��,且其中所述網(wǎng)關(guān)配置成基于所述一個或多個移動應(yīng)用存 儲在所述移動設(shè)備上來確定是允許所述移動設(shè)備訪問所述企業(yè)資源還是拒絕所述移動設(shè) 備訪問所述企業(yè)資源�。
4. 如權(quán)利要求1所述的計算機系統(tǒng),其中所述網(wǎng)關(guān)配置成當所述移動設(shè)備具有存儲在 其上的特定應(yīng)用時基于所述網(wǎng)關(guān)規(guī)則的指示來拒絕對訪問所述企業(yè)資源的請求����。
5. 如權(quán)利要求1所述的計算機系統(tǒng),其中所述選定行動包括對經(jīng)由所述網(wǎng)關(guān)傳輸?shù)剿?述移動設(shè)備的數(shù)據(jù)加密��。
6. 如權(quán)利要求1所述的計算機系統(tǒng)�����,其中所述選定行動包括阻止所述移動設(shè)備接收電 子郵件附件。
7. 如權(quán)利要求1所述的計算機系統(tǒng)���,其中所述網(wǎng)關(guān)規(guī)則包括具有當所述移動設(shè)備的用 戶具有在企業(yè)中的不同角色時采取不同的行動的指令的規(guī)則。
8. 如權(quán)利要求1所述的計算機系統(tǒng)����,其中配置成實現(xiàn)所述網(wǎng)關(guān)的所述一個或多個計算 設(shè)備包括防火墻服務(wù)器、配置成控制防火墻服務(wù)器的計算設(shè)備或其它企業(yè)資源中的至少一 個�。
9. 如權(quán)利要求1所述的計算機系統(tǒng),其中所述網(wǎng)關(guān)規(guī)則包括至少一個靜態(tài)地定義的規(guī) 則和從所述一個或多個網(wǎng)關(guān)規(guī)則提供者接收的至少一個規(guī)則�。
10. 如權(quán)利要求1所述的計算機系統(tǒng),其中所述網(wǎng)關(guān)配置成至少部分地通過檢查所述 請求的有效載荷并比較來自所述有效載荷的數(shù)據(jù)與至少一個所述網(wǎng)關(guān)規(guī)則來確定所述請 求是否具有相應(yīng)于任一所述網(wǎng)關(guān)規(guī)則的一個或多個特性值的一個或多個特性值���。
11. 如權(quán)利要求1所述的計算機系統(tǒng)�����,其中��,所述協(xié)議的所述特性與存儲在所述移動設(shè) 備上的移動設(shè)備應(yīng)用相關(guān)�����。
12. 如權(quán)利要求1所述的計算機系統(tǒng)���,其中所述協(xié)議的所述特性與所述移動設(shè)備的用 戶相關(guān)���。
13. -種存儲用于控制移動設(shè)備對企業(yè)資源的訪問的網(wǎng)關(guān)部件的非臨時計算機存儲 器,所述網(wǎng)關(guān)部件包括可執(zhí)行代碼��,所述可執(zhí)行代碼引導(dǎo)計算系統(tǒng)執(zhí)行過程�����,所述過程包 括: 從移動設(shè)備接收對訪問企業(yè)資源的請求����,所述請求根據(jù)包括與所述移動設(shè)備相關(guān)的特 性的協(xié)議而格式化; 確定所述請求是否具有相應(yīng)于一個或多個網(wǎng)關(guān)規(guī)則的一個或多個特性值的一個或多 個特性值���,每個網(wǎng)關(guān)規(guī)則包括: 所述協(xié)議的一個或多個所述特性的一個或多個值�����;以及 當所述請求具有相應(yīng)于所述網(wǎng)關(guān)規(guī)則的一個或多個特性值的一個或多個特性值時要 采取的行動的指示����;以及 當所述請求具有相應(yīng)于所述網(wǎng)關(guān)規(guī)則中的一個網(wǎng)關(guān)規(guī)則的一個或多個特性值的一個 或多個特性值時����,使在所述一個網(wǎng)關(guān)規(guī)則中指示的行動被采取�。
14. 如權(quán)利要求13所述的非臨時計算機存儲器����,其中所述過程還包括在具有相應(yīng)于所 述請求的一個或多個特性值的一個或多個特性值的多個網(wǎng)關(guān)規(guī)則當中確定相對優(yōu)先級�,其 中所采取的行動相應(yīng)于所述多個網(wǎng)關(guān)規(guī)則中具有所述多個網(wǎng)關(guān)規(guī)則的最高相對優(yōu)先級的 網(wǎng)關(guān)規(guī)則中的指示。
15. -種存儲企業(yè)計算系統(tǒng)的可執(zhí)行網(wǎng)關(guān)軟件的非臨時計算機存儲器���,所述網(wǎng)關(guān)軟件 包括: 網(wǎng)關(guān)配置服務(wù)�,其配置成從一個或多個網(wǎng)關(guān)規(guī)則提供者接收網(wǎng)關(guān)規(guī)則�����,每個網(wǎng)關(guān)規(guī)則 包括: 所述協(xié)議的一個或多個所述特性的一個或多個值�����;以及 當根據(jù)所述協(xié)議被格式化的請求具有匹配所述網(wǎng)關(guān)規(guī)則的一個或多個特性值的一個 或多個特性值時要采取的行動的指示�;以及 網(wǎng)關(guān)過濾器,其配置成: 從移動設(shè)備接收對訪問所述企業(yè)計算系統(tǒng)的計算機實現(xiàn)的資源的請求��,至少一些所述 請求根據(jù)包括與所述移動設(shè)備�����、移動設(shè)備應(yīng)用或移動設(shè)備用戶中的至少一個相關(guān)的特性的 協(xié)議而被格式化; 訪問由所述網(wǎng)關(guān)配置服務(wù)接收的網(wǎng)關(guān)規(guī)則�; 對于根據(jù)所述協(xié)議格式化的每個所述請求,確定所述請求是否具有匹配任一所述網(wǎng)關(guān) 規(guī)則的一個或多個特性值的一個或多個特性值����;以及 對于具有匹配所述網(wǎng)關(guān)規(guī)則之一的一個或多個特性值的一個或多個特性值的每個所 述請求,基于所述網(wǎng)關(guān)規(guī)則的指令來允許或拒絕所述請求����。
16. 如權(quán)利要求15所述的非臨時計算機存儲器,其中所述網(wǎng)關(guān)配置服務(wù)配置成: 周期性地向所述一個或多個網(wǎng)關(guān)規(guī)則提供者發(fā)送新網(wǎng)關(guān)規(guī)則請求�����;以及 響應(yīng)于所述新網(wǎng)關(guān)規(guī)則請求��,從所述一個或多個網(wǎng)關(guān)規(guī)則提供者接收新網(wǎng)關(guān)規(guī)則�����。
17. 如權(quán)利要求15所述的非臨時計算機存儲器��,其中所述網(wǎng)關(guān)配置服務(wù)配置成從元應(yīng) 用接收至少一個所述網(wǎng)關(guān)規(guī)則����。
18. 如權(quán)利要求15所述的非臨時計算機存儲器�,其中待采取的所述行動包括允許或拒 絕所述請求���。
19. 一種用于控制移動設(shè)備訪問策略的系統(tǒng)��,所述系統(tǒng)包括: 企業(yè)訪問策略的第一機器可讀倉庫�,所述企業(yè)訪問策略規(guī)定執(zhí)行與來自移動設(shè)備的對 訪問企業(yè)的計算機實現(xiàn)的資源的請求有關(guān)的行動時的條件���; 與所述企業(yè)相關(guān)的移動設(shè)備和/或與所述移動設(shè)備相關(guān)的用戶的屬性的第二計算機 可讀倉庫;以及 運行網(wǎng)關(guān)規(guī)則發(fā)生器的計算機系統(tǒng)��,所述網(wǎng)關(guān)規(guī)則發(fā)生器配置成: 從所述第一倉庫讀取所述企業(yè)訪問策略���; 查詢所述第二倉庫的所述屬性����;以及 創(chuàng)建網(wǎng)關(guān)規(guī)則以實施從所述第一倉庫讀取的所述訪問策略��,每個所述網(wǎng)關(guān)規(guī)則包括: 用于訪問計算機實現(xiàn)的企業(yè)資源的移動設(shè)備請求的協(xié)議的一個或多個特性的一個或 多個值����,至少一些所述特性相應(yīng)于特定移動設(shè)備����;以及 當所述請求具有匹配所述網(wǎng)關(guān)規(guī)則的一個或多個特性值的一個或多個特性值時采取 與根據(jù)所述協(xié)議而格式化的移動設(shè)備請求相關(guān)的行動的指示���; 其中所述系統(tǒng)配置成使所述網(wǎng)關(guān)規(guī)則傳輸?shù)脚渲贸山邮諏υL問所述企業(yè)資源的移動 設(shè)備請求的網(wǎng)關(guān)�����。
20. -種便于在移動設(shè)備和企業(yè)計算系統(tǒng)之間的通信的計算機實現(xiàn)的方法����,所述方法 包括: 在使用特定的可執(zhí)行指令來編程的至少一個計算設(shè)備的控制下: 監(jiān)控在移動設(shè)備和企業(yè)計算系統(tǒng)的企業(yè)資源之間的通信�; 檢測在所述移動設(shè)備和所述企業(yè)資源之間的所述通信中的選定通信根據(jù)協(xié)議而被格 式化; 確定在相應(yīng)于所述協(xié)議的協(xié)議特定條件的一個或多個預(yù)定規(guī)則中識別的選定行動�����,所 述協(xié)議特定條件與選定通信相關(guān)�;以及 響應(yīng)于所述確定而執(zhí)行所述選定通信的所述選定行動。
21. 如權(quán)利要求20所述的計算機實現(xiàn)的方法���,其中執(zhí)行所述選定行動包括允許或拒絕 來自所述移動設(shè)備的對訪問所述企業(yè)資源的請求�����。
22. 如權(quán)利要求20所述的計算機實現(xiàn)的方法����,其中所述選定行動包括允許來自所述移 動設(shè)備的對訪問所述企業(yè)資源的請求,以及其中所述協(xié)議特定條件包括與所述移動設(shè)備相 關(guān)的所述用戶在企業(yè)中的特定角色和所述移動設(shè)備的一個或多個特性���。
23. 如權(quán)利要求20所述的計算機實現(xiàn)的方法����,其中所述協(xié)議特定條件包括特定的應(yīng)用 是否安裝在所述移動設(shè)備上��。
24. 如權(quán)利要求20所述的計算機實現(xiàn)的方法�����,其中所述協(xié)議特定條件包括所述移動設(shè) 備的地理位置�。
25. 如權(quán)利要求20所述的計算機實現(xiàn)的方法��,其中所述協(xié)議特定條件包括與所述通信 相關(guān)的時間��。
26. 如權(quán)利要求20所述的計算機實現(xiàn)的方法���,其中所述協(xié)議是電子郵件協(xié)議���。
27. 如權(quán)利要求20所述的計算機實現(xiàn)的方法�,其中執(zhí)行所述選定行動包括對從所述企 業(yè)資源呈遞到所述移動設(shè)備的數(shù)據(jù)加密��。
28.如權(quán)利要求27所述的計算機實現(xiàn)的方法���,其中加密的數(shù)據(jù)包括加密的電子郵件附 件���。
【專利摘要】公開了包括用于使企業(yè)用戶能夠使用他們的移動設(shè)備安全地訪問企業(yè)資源(文檔、數(shù)據(jù)�、應(yīng)用服務(wù)器等)的部件和特征的系統(tǒng)。企業(yè)可使用系統(tǒng)的一些或所有部件來例如安全地但靈活地實現(xiàn)BYOD(攜帶自己的設(shè)備)策略��,其中用戶可在他們的移動設(shè)備上運行個人應(yīng)用和安全企業(yè)應(yīng)用�。系統(tǒng)可例如使用用于基于設(shè)備屬性(例如什么移動應(yīng)用被安裝)、用戶屬性(例如用戶的地位或部門)�����、行為屬性和其它標準來控制移動設(shè)備對企業(yè)資源的訪問的策略�。安裝在移動設(shè)備上的客戶端側(cè)代碼還可通過例如創(chuàng)建用于本地存儲企業(yè)數(shù)據(jù)的安全容器、創(chuàng)建用于運行企業(yè)應(yīng)用的安全執(zhí)行環(huán)境和/或創(chuàng)建用于與企業(yè)系統(tǒng)通信的安全應(yīng)用隧道來進一步增強安全性��。
【IPC分類】H04L29-06
【公開號】CN104798355
【申請?zhí)枴緾N201380057326
【發(fā)明人】瓦希德·庫雷希, 約翰·M·麥金蒂
【申請人】思杰系統(tǒng)有限公司
【公開日】2015年7月22日
【申請日】2013年9月18日
【公告號】EP2898652A1, WO2014047168A1