[发明专利]保护计算设备中的数据使用

说明书

技术领域

本发明涉及数据保护，尤其涉及保护计算设备中的数据使用。

背景技术

当前的计算趋势已经显示了从传统台式计算机到移动计算设备的潮流。诸如膝上型计算机、上网本、平板和移动电话的移动计算设备，提供了便携性和性能的便利，能够执行包括电子邮件、Web浏览、字处理、照片编辑、内容消费等常见任务。然而，这些设备的移动本质相比于台式计算机而言提出了独特的挑战。

移动计算设备通常存储敏感数据或允许对敏感数据的访问，诸如与企业相关的数据。例如，对于个人而言将移动计算设备既用于私人任务也用于企业相关任务越来越常见。随着个人行进（例如，去工作／从工作返回），敏感企业数据可能被暴露给多个通信网络，包括蜂窝网络和Wi-Fi网络，其中某些可能不安全。归因于企业数据在远离企业网络时被移动计算设备不经意地或故意地共享的可能性，这可能对企业提出安全威胁。

常常实现移动设备的数据安全策略和控制以努力消除或至少减轻上述和其它安全相关的问题。这些安全策略和控制使用全部或没有（all or nothing）的方法来实现。如果允许，许多用户选择没有（nothing）的方法，因为由扫描（sweep）策略施加的额外开销常常不利地影响他们的设备对私人数据的可用性。然而，通常，这些安全策略和控制以降低关于对私人数据访问的可用性为代价而被实施。

此处所做出的公开正是关于这些和其他考虑事项而提出的。

发明内容

在此描述了用于保护计算设备中的数据使用的概念和技术。根据此处公开的概念和技术，安全策略和控制被应用到特定数据而不是包含数据的整个设备。该特定数据可以是任何类型的数据，包括，但不限于，企业数据和私人数据。这个方法提供了企业对安全和数据控制的需求以及私人数据的使用和控制便捷的需求之间的平衡。此外，这个方法允许用户选择性地设置他或她的用于访问与各种消费者服务相关联的私人数据的数据访问策略。例如，用户可建立用于访问电子邮件服务的口令提示，但对于访问图片、音乐或一些其它数据不需要口令或其它认证机制。根据此处公开的概念和技术，利用各种口令要求、选择性数据高速缓存、数据传输、临时数据存储，和／或数据要被擦除或呈现为不能访问的预定义条件，提供对敏感数据的控制。

根据一个方面，计算机被配置以接收对策略的定义、存储该策略，并将该策略发送到计算设备，该策略被配置以控制对计算设备上的数据的访问，在此对数据的访问根据策略来控制。在一些实施例中，策略包括锁定策略，锁定策略包括指定一个或多个锁定层面的指令，每一个响应于对有效认证凭证的接收而允许对数据或其一部分的访问。在一些实施例中，策略包括存储控制策略，存储控制策略包括规定计算设备上的数据的存储的指令。存储控制策略可指示数据是否可被高速缓存在计算设备上、可指示数据可被高速缓存在计算设备上多久、可指示数据可被储存在计算设备上多久、数据何时可被传输到设备或从设备传输以及如何可被传输到设备或从设备传输，或者可指示一个或多个条件，在该一个或多个条件下数据要被擦除或呈现为不可访问。

根据另一方面，计算机，诸如移动计算设备，被配置为接收策略、接收对与策略相关联的特定数据的请求，并根据策略允许或拒绝对特定数据的访问。策略可以是如上所述的锁定策略或存储控制策略。

根据又一方面，移动计算设备被配置以存储与移动计算设备的用户相关联的私人数据、存储与企业相关联的企业数据、存储控制对企业数据的访问的一个或多个策略、接收对企业数据的至少一部分的数据请求，并根据一个或多个策略选择性地允许对企业数据的一部分的访问而无需约束对私人数据的访问。

应当理解，上述主题可被实现为计算机控制的装置、计算机进程、计算系统或诸如计算机可读存储介质之类的制品。通过阅读下面的详细描述并审阅相关联的附图，这些及各种其他特征将变得显而易见。

提供本发明内容以便以简化形式介绍将在以下详细描述中进一步描述的一些概念。本发明内容并不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在将本发明内容用来限制所要求保护的主题的范围。此外，所要求保护的主题不限于解决在本公开的任一部分中所提及的任何或所有缺点的实现。

附图说明

图1是示出用于此处公开的各实施例的示例性操作环境的系统图。

图2是示出根据一示例性实施例的企业文档存储分层结构的图。

图3是示出根据示例性实施例的移动计算设备存储分层结构的图。

图4是示出根据一示例性实施例的用于创建和管理策略的方法的各方面的流程图。