用于在移动设备上应用并共享远程策略的技术.pdf

本发明描述了用于在移动设备上应用并共享远程策略的技术。描述了用于在个人设备上应用并共享远程策略的技术。在一个实施例中，技术包括从在个人设备上操作的企业应用来联系企业服务器。企业应用可从企业服务器接收策略。策略可被应用到企业应用。当在个人设备上的第二企业应用被启动时，策略还可被应用到该第二企业应用。当策略在企业服务器上被更改时，通知被推送到个人设备并且个人设备上所有相关的企业应用可被更新来实施策略更改。对其他实施例也予以描述并要求保护。

权利要求书一种计算机实现的方法，包括：
使用个人设备上的第一企业应用来连接到企业服务器；
从所述企业服务器接收策略；
通过处理器电路将所述策略应用到所述第一企业应用；以及
当第二企业应用被使用时，通过所述处理器电路自动地将所述策略应用到所述第二企业应用。
如权利要求1所述的方法，其特征在于，所述策略包括以下各项中的至少一个：
口令策略；
加密策略；
数据擦除策略；或
企业数据存储策略。
如权利要求2所述的方法，其特征在于，应用口令策略包括实施以下至少之一：
接收口令来使用企业应用；
口令格式；
在指定时间段的不活动之后接收口令的重新输入；或
当所述个人设备具有满足或超过所述口令策略中的口令限制的口令时，禁用企业应用口令限制。
如权利要求2所述的方法，其特征在于，应用加密策略包括实施以下至少之一：
当加密被要求时，开启设备加密；
检测设备加密是否被启用，并且设置反映设备加密启用状态的策略标记以供其它企业应用来检查；
检查是否加密被需要来将企业数据存储在所述个人设备上；或
当加密被要求而设备加密未被启用时，防止在所述个人设备上的企业数据存储。
如权利要求2所述的方法，其特征在于，应用擦除策略包括以下至少之一：
从所述企业服务器接收擦除命令并仅从所述个人设备中擦除企业数据；
检测在所述个人设备上何时发生了最大数量的失败的口令输入尝试，并仅从所述个人设备中擦除企业数据；或
当所述个人设备不是加密符合而加密被要求时，擦除特定于企业帐户的企业数据。
如权利要求1所述的方法，其特征在于，还包括：
从所述个人设备上的所述策略在所述个人设备上生成策略密钥；
将所述策略密钥提供给所述企业服务器以供与所述企业服务器上的所述策略进行比较；以及
从所述企业服务器接收所述个人设备上的所述策略是最新的或所述个人设备上的所述策略需要被更新的通知。
一种包括计算机可读存储介质的制品，该计算机可读存储介质包括当被执行时使得系统执行以下操作的指令：
从企业服务器接收针对第一企业应用的策略；
将所述策略应用到所述第一企业应用；以及
当第二企业应用被使用时，将所述策略应用到所述第二企业应用。
如权利要求7所述的制品，其特征在于，所述计算机可读存储介质进一步包括当被执行时使得所述系统执行以下操作的指令：防止从所述企业服务器下载企业数据，直到请求所述企业数据的企业应用符合所述策略。
一种装置，包括：
用于存储个人数据和企业数据的存储器存储；
被耦合到所述存储器存储的处理单元；以及
能够在所述处理单元上执行的多个企业应用，并且所述多个企业应用用于从企业服务器接收针对第一企业应用的策略，并自动地将所述针对第一企业应用的策略应用到第二企业应用。
如权利要求9所述的装置，其特征在于，所述第一和第二企业应用被链接到所述企业服务器上的同一企业帐户。

说明书用于在移动设备上应用并共享远程策略的技术
技术领域
本发明涉及用于在移动设备上应用并共享远程策略的技术。
背景技术
计算机和联网技术使得企业的雇员远离物理的企业站点进行工作以及顾客和客户远程地与企业进行交互成为可能。逐渐地，雇员选择了使用他们的个人移动或家庭设备来用于工作目的。在一个设备上混合个人和企业数据可对雇员提升效率和方便性，但是尤其在个人设备丢失或被盗的情况下来保护企业数据方面产生了挑战。本发明的改进正是针对这些和其他考虑事项而需要的。
发明内容
提供本发明内容以便以简化形式介绍将在以下具体实施方式中进一步描述的一些概念。本发明内容并非旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。
各个实施例一般针对用于在移动设备上应用和共享远程策略的系统和技术。一些实施例尤其针对用于在移动设备上选择性地应用和共享远程策略、而无需和移动设备上的非企业数据和应用进行接口的系统和技术。在一个实施例中，例如，一装置可包括存储个人数据和企业数据的存储器存储以及被耦合到该存储器存储的处理单元。该装置还可包括在处理单元上操作的第一企业应用以连接到企业服务器。当该企业应用连接到企业服务器时，它可从该企业服务器接收一个或多个策略。第一企业应用可将策略应用到它自己。该装置可包括共享从企业服务器接收到的策略的附加企业应用。当附加企业应用之一被启动时，策略也可被应用到该企业应用。对其他实施例也予以描述并要求保护。
通过阅读下面的详细描述并参考相关联的附图，这些及其他特点和优点将变得显而易见。应该理解，前面的概括说明和下面的详细描述只是说明性的，不会对所要求保护的各方面形成限制。
附图说明
图1示出了用于在个人设备上应用和共享远程策略的系统的实施例。
图2示出了个人设备的实施例。
图3示出了用于在个人设备上获得和应用远程策略的第一逻辑流程的实施例。
图4示出了用于在个人设备上应用和共享远程策略的第二逻辑流程的实施例。
图5示出了用于更新远程策略的第三逻辑流程的实施例。
图6示出计算体系结构的实施例。
图7示出通信体系结构的实施例。
具体实施方式
通常，当雇员希望使用个人设备（诸如膝上型、平板计算机或智能电话）来用于工作目的时，雇主可将企业策略全局地应用到该个人设备。在个人设备丢失或被盗的情况下，或如果企业策略以其它方式被违反，那么所产生的后果（诸如擦除所有数据）可影响个人设备上的所有数据。如果雇员连续太多次向设备不正确地输入口令，那么为了保护企业数据的安全性的考虑，例如所有的数据（包括诸如照片和联系人信息等的个人数据）可被删除。
各个实施例针对用于在个人设备上选择性地应用和共享远程策略的技术。在一个实施例中，技术包括从在个人设备上操作的企业应用来联系企业服务器。企业应用可从企业服务器接收策略。策略可被应用到企业应用。当在个人设备上的第二企业应用被启动时，策略还可被应用到该第二企业应用。此外，在企业数据需要被擦除的情况下，技术包括仅擦除企业数据而将任何个人数据保持完整。结果，各实施例可通过允许雇员合并他们的工作和个人设备来提升效率、同时保护企业数据安全性。
图1示出了用于在个人设备上应用和共享远程策略的系统100的框图。在一个实施例中，例如，系统100可包括具有诸如个人设备110和企业服务器120的多个组件的计算机实现的系统100。如此处所使用的，术语“系统”和“组件”旨在指代与计算机相关的实体，包括硬件、硬件和软件的组合、软件、或执行中的软件。例如，组件可被实现为在处理器上运行的进程、处理器、硬盘驱动器、多个（光和/或磁存储介质的）存储驱动器、对象、可执行代码、执行的线程、程序、和/或计算机。作为说明，在服务器上运行的应用和服务器两者都可以是组件。一个或多个组件可以驻留在进程和/或执行的线程内，且组件可以视给定实现所需而位于一台计算机上和/或分布在两台或更多的计算机之间。各实施例不限于该上下文。
在图1中示出的所示实施方式中，系统100可被实现成电子设备的一部分。电子设备的示例可包括但不限于，移动设备、个人数字助理、移动计算设备、智能电话、蜂窝电话、手机、单向寻呼机、双向寻呼机、消息通信设备、计算机、个人计算机（PC）、台式计算机、膝上型计算机、笔记本计算机、手持式计算机、服务器、服务器阵列或服务器场、web服务器、网络服务器、因特网服务器、工作站、小型计算机、大型计算机、超级计算机、网络设备、web设备、分布式计算系统、多处理器系统、基于处理器的系统、消费电子产品、可编程消费电子产品、电视机、数字电视机、机顶盒、无线接入点、基站、订户站、移动订户中心、无线电网络控制器、路由器、集线器、网关、网桥、交换机、机器、或其组合。虽然图1中示出的系统100具有按照某种拓扑结构的有限数量的元素，但可以理解，系统100可以视给定实现的需要而包括按照替代拓扑结构的更多或更少元素。
在一个实施例中，如将在以下更详细描述的，诸如个人设备110的装置可包括存储个人数据114和企业数据118的存储器存储以及被耦合到该存储器存储的处理单元。存储器存储和处理单元的示例可参考图6来描述。个人设备110还可包括可在处理单元上执行的多个企业应用116，诸如图1中显示的企业应用116‑1、116‑2，并用于从企业服务器120接收针对第一企业应用116‑1的策略122，并自动地将针对第一企业应用116‑1的策略122应用到第二企业应用116‑2。例如，第一企业应用116‑1可连接到企业服务器120。一旦第一企业应用116‑1连接到企业服务器120，它就可从企业服务器120接收一个或多个策略122。第一企业应用116‑1可将策略122应用到它自己。个人设备110可包括可共享从企业服务器120接收到的策略122的附加企业应用116，诸如例如第二企业应用116‑2。当第二企业应用116‑2被启动时，与被应用到第一企业应用116‑1相同的策略122也可被应用到第二企业应用116‑2。这可针对个人设备110所执行的那么多的企业应用116来继续。虽然出于示例而非限制的目的在图1中仅显示了两个企业应用116‑1、116‑2，但是可以理解个人设备110可包括能共享策略的任何数量的企业应用116。各实施例不限于该上下文。
在此描述的各个实施例中的多个实施例是在公司或企业以及雇员的上下文中描述的。各实施例可被在其它上下文中应用，例如每当个人设备从远程设备或服务器接收数据以及与它们交互时，其中在个人设备上一个或多个策略被施加以保护数据。例如，如果个人设备上的用户正在接收以某种方式被限制的数据（诸如具有非公开协议），则可接收到可防止受保护的数据被发送到另一设备的策略。在另一示例中，公司或企业实体可以是金融机构，而用户可以是金融机构的顾客。个人设备可具有安装在其上的能访问用户在金融机构的帐户的数个应用。金融机构可向应用提供策略来防止对帐户的未授权的访问。各实施例不限于这些示例。
在各实施例中，系统100可包括个人设备110。个人设备110可包括任何能够执行企业应用、与企业服务器进行通信并存储数据的电子设备。个人设备110的示例可包括但不限于，台式计算机、膝上型计算机、平板计算机、智能电话以及先前针对系统100描述的其它电子设备。
个人设备110可包括个人应用112。个人应用112可包括在购买时与个人设备110包括在一起的应用以及由个人设备110的用户安装的应用。个人应用112可包括例如但非限制，个人金融管理应用、游戏、个人信息管理应用、相机应用、照片编辑应用、web浏览器、音乐播放器应用、视频播放器应用、电子邮件应用等。一般地，个人应用112可以是除非用于与工作有关的目的，否则不连接到企业服务器120的应用。
个人应用112可使用并生成个人数据114。个人数据114可包括针对个人应用112的设置。个人数据114可包括由个人应用112生成的或使用个人应用112生成的数据，诸如照片、联系人列表、文字处理文档、书签等。个人数据114可包括已经被复制到或以其它方式（例如通过对等交换、网络下载或与另一个人设备的同步操作）被导入到个人设备110上的数据。个人数据114一般可以是不与工作有关的数据。
个人设备110可包括一个或多个企业应用116，诸如图1中显示的企业应用116‑1和116‑2。企业应用116可包括任何能通过使用个人设备110的用户的企业帐户来连接到企业服务器120的应用。企业应用116可包括例如但非限制，电子邮件应用、文字处理应用、视频会议应用、协作应用、库存管理应用、顾客关系管理应用、业务项目规划应用等。
企业应用116可能需要时不时地、或每当企业应用116在个人设备110上被执行时与企业服务器120进行通信。企业应用116可将数据上传到企业服务器120和/或从企业服务器120接收数据。在一实施例中，企业应用116可从企业服务器120接收策略122。策略122可对企业应用116可如何在个人设备110上操作施加一组限制。策略122将在以下进一步讨论。
个人设备110还可包括企业数据118。企业数据118可包括由企业应用116使用和生成的数据。企业数据118可包括从企业服务器120接收到的数据。企业数据118可包括被实体设置策略122认为是敏感的、专有的、机密的或保密的数据。企业数据118可包括例如但非限制，文字处理文档、电子邮件消息、联系人信息、顾客信息、产品信息、演示文档、公开物、法律文档等。
在各实施例中，系统100可包括企业服务器120。企业服务器120可包括由一个实体操作的一个或多个电子设备，该实体诸如企业、政府机构、学校、组织等。企业服务器120可由一个实体代表另一实体来操作。企业服务器120可以能够例如通过有线或无线网络与个人设备110进行远程通信。
企业服务器120可包括策略122。策略122可包括应用需要遵守以与企业服务器120进行交互的规则。尤其，策略122可包括个人设备110上的企业应用116需要遵守以与企业服务器120连接并与其进行通信的规则。策略122可包括例如，口令策略、加密策略、擦除策略、数据存储策略等。
口令策略可指定口令需要被创建并使用以访问企业应用116。口令策略可指定针对口令的所要求的格式，例如，最小口令长度、口令内所允许的字母数字字符和/或各种类型的字符组合的要求。各种类型的字符组合的要求可指定例如，至少一个字符需要是数字、至少一个字符需要是大写字母、至少一个字符需要是符号等。口令策略可要求企业应用116在指定时间段的不活动之后被锁定，从而需要重新输入口令。口令策略可指定口令在指定时间段后过期，并且新的口令需要被创建。口令策略可指定当个人设备110的口令符合策略122时，不需要单独的企业应用口令。各实施例不限于这些示例。
加密策略可指定个人设备110需要支持对数据和/或网络通信的加密。加密策略可指定当个人设备110不支持加密时，企业数据118可不被存储在个人设备110上。各实施例不限于这些示例。
擦除策略可指定当条件发生时，企业数据118从个人设备110中擦除而不擦除个人数据114。条件可包括从企业服务器120接收擦除命令。企业服务器120可例如当个人设备110的用户报告个人设备110丢失或被盗时发出擦除命令。当超过最大数量的失败（不正确的）口令输入尝试时，条件可发生。各实施例不限于这些示例。
数据存储策略可指定用于将企业数据118存储在个人设备110上的规则。例如，可针对某些类型的数据（例如，文字处理文档或从特定目录下载的文档）可被保存多久来设定时间限制。数据存储策略可指定某些类型的数据可根本不被存储在个人设备110上。数据存储策略可指定可只有当企业应用116符合其它策略122时才存储数据。各实施例不限于这些示例。
企业服务器120可存储或利用一个或多个企业帐户，诸如企业帐户124‑1和124‑2。可存在针对单个用户或针对一组用户的企业帐户124。企业帐户124可包括一个或多个用户需要提供以获取对企业服务器120的访问的凭证信息。凭证信息可包括例如用户名和口令；挑战问题和回答；诸如指纹数据或视网膜扫描数据的生物测定信息等。
企业帐户124可指定与企业帐户相关联的一个用户/多个用户可关于企业服务器120上的数据和应用所具有的访问特权。例如，操作企业服务器120的公司实体的一个部门内的用户仅可访问该部门的文档和应用。在另一示例中，用户可以能够从企业服务器120读取数据但不能够添加或修改企业服务器120上的数据。在一实施例中，个人设备110上的每个企业应用116可被链接到企业服务器120上的同一企业帐户124。一旦一个企业应用116通过企业帐户（例如，企业帐户124‑1）连接到了企业服务器120，则个人设备110上的其它企业应用116也可使用相同的企业帐户124‑1来访问企业服务器120。
在一实施例中，策略122可与企业帐户124中的访问特权有关。对企业服务器120上的数据授予更多访问的企业帐户124可具有更多或更严格的策略122以减轻暴露更多企业数据的更高风险。策略122可与企业帐户124而非特定的企业应用116相关联。这可允许个人设备110上的企业应用116在当一企业应用116使用曾被用于接收策略122的相同的企业帐户124来访问企业服务器120时在它们之间共享策略。
企业服务器120可被安排来提供对企业应用和数据远程的访问。例如，企业服务器120可包括一个或多个企业应用服务器组件，诸如企业应用服务器组件126‑1和126‑2。企业应用服务器组件126可提供针对个人设备110上对应的企业应用116的服务器侧功能。例如，企业应用服务器组件126‑1可以是对于电子邮件客户端企业应用116‑1的电子邮件系统服务器组件。企业应用服务器组件126可提供接口，通过该接口，企业应用116可连接到企业服务器120、从企业服务器120接收数据和策略122以及将数据上传到企业服务器120。
图2示出了个人设备210的框图。个人设备210可以是个人设备110的代表性实施例。个人设备210可包括存储器存储230和被耦合到存储器存储230的处理单元240。
存储器存储230可以包括一个或多个计算机可读存储介质，诸如但不限于，内置硬盘驱动器（HDD）、可移动磁盘、可移动光盘（例如，CD‑ROM或DVD）、只读存储器（ROM）、随机存取存储器（RAM）、动态RAM（DRAM）、双数据率DRAM（DDRAM）、同步DRAM（SDRAM）、静态RAM（SRAM）、可编程ROM（PROM）、可擦除可编程ROM（EPROM）、电可擦除可编程ROM（EEPROM）、闪存、诸如铁电聚合物存储器等聚合物存储器、奥氏存储器、相变或铁电存储器、硅‑氧化物‑氮化物‑氧化物‑硅（SONOS）存储器、磁卡或光卡、或适于存储信息的任何其它类型的介质。
处理单元240可包括能够执行提供在此描述的功能的编程指令（包括用于执行企业应用216的编程指令）的处理电路。处理单元240可包括各种市场上可买到的处理器中的任意。双微处理器和其他多处理器体系结构也可用作处理单元240。
存储器存储230可将编程指令和数据存储在个人设备210上。例如，存储器存储230可存储针对个人应用212、企业应用216‑1和企业应用216‑2的编程指令。存储器存储230可存储个人数据214、策略220、企业数据218‑1和企业数据218‑2。个人数据214和策略220可分别代表如参考图1描述的个人数据114和策略122。企业应用216‑1和企业应用216‑2可代表如参考图1描述的企业应用116‑1和116‑2。个人应用212可代表如参考图1描述的个人应用112。企业数据218‑1和218‑2可代表如参考图1描述的企业数据118。
在一实施例中，企业数据218‑1可与企业数据218‑2逻辑地分开存储在例如分开的逻辑目录中。企业数据218‑1和218‑2可进一步地与个人数据214逻辑地分开存储。替换地，企业数据218‑1和218‑2可被逻辑地一起存储在相同的逻辑目录中而与个人数据214逻辑地分开存储。一般地，企业数据218‑1、218‑2可按以下方式来存储：允许企业应用216与个人数据214分开地标识企业数据218。
策略220可具有各种格式。在一实施例中，例如，策略220可以是当被执行时使得企业应用216应用策略220的可执行程序指令。在一实施例中，策略220可包括一个或多个具有分配值的变量。当企业应用216被执行时，企业应用216可读取变量的值并且这些值可使得企业应用216应用策略220。各实施例不限于这些示例。
在一实施例中，策略220可包括也可被存储在存储器存储230上的策略标记222。策略标记222可包括向企业应用216发信号通知策略条件被设置或没有被设置的标记、状态指示符和/或属性设置。例如，策略标记222可包括策略加密符合（compliant）标记，当其为真时，指示个人设备210是加密符合的。策略标记222可包括存储加密状态，其可指示加密是否是活动的。策略标记222可包括擦除启动的标记，当企业应用216执行企业数据218的擦除时，其可被设置为真。策略标记222可包括远程擦除标记，当企业服务器120要求擦除个人设备210上的企业数据218时，其可被设置为真。策略标记222可包括策略口令符合标记，当其为真时，指示个人设备210的设备口令符合口令策略并且不需要企业应用口令。
在一实施例中，当第一企业应用（例如，企业应用216‑1）连接到企业服务器120并从企业服务器120接收策略220时，企业应用216‑1可执行各种检查和验证以设置任何相关的策略标记222。企业应用216‑1可检查例如，个人设备210是否具有设备口令，并且如果是，设备口令是否符合策略220中的口令策略。如果设备口令是符合的，则企业应用216‑1可将策略口令符合标记设置为真。当第二企业应用（例如，企业应用216‑2）开始执行时，企业应用216‑2可检查策略标记222而非执行已经由企业应用216‑1执行过的检查和验证。如果策略220之一要求口令来执行企业应用216，那么企业应用216‑2可在提示口令之前检查策略口令符合标记。各实施例不限于这些示例。
在一实施例中，帐户信息224可被存储在存储器存储230上。除了用户输入的凭证之外，帐户信息224可包括访问企业服务器120上的企业帐户124所需的信息。帐户信息224可包括例如，企业服务器120的网络地址、帐户标识符信息等。在一实施例中，企业应用（例如，企业应用216‑1）首次使用帐户信息224连接到企业服务器120并从企业服务器120接收策略220。策略220可与帐户信息224一起存储或被链接到帐户信息224。当第二企业应用（例如，企业应用216‑2）被启动时，企业应用216‑2可查找和/或使用帐户信息224来发起到企业服务器120的连接。企业应用216‑2还可检索并应用被链接到帐户信息224的策略220。
在一实施例中，企业应用216可生成策略密钥226。策略密钥226可反映当前安装在个人设备210上的策略220集。策略密钥226可通过例如对策略220执行散列操作来生成。策略密钥226可被提供给企业服务器120以供和企业服务器120上的策略122进行比较。当在策略密钥226中反映的策略与企业服务器120上的策略122不同时，企业服务器120可通知企业应用216需要更新。企业服务器120可将经更新的策略122提供给企业应用216。在一实施例中，企业服务器120可禁用数据到个人设备210的下载，直到更新策略被应用。
上述实施例的操作可参考一个或多个逻辑流程来进一步描述。可以理解，除非另外指明，否则代表性的逻辑流程不一定要按所呈现的次序或者按任何特定次序来执行。此外，关于逻辑流程描述的各种活动可按串行或并行的方式执行。视给定一组设计和性能约束所需，逻辑流程可使用所述实施例的一个或多个硬件元件和/或软件元件或替换元件来实现。例如，逻辑流程可被实现为供逻辑设备（例如，通用或专用计算机）执行的逻辑（例如，计算机程序指令）。
图3示出了逻辑流程300的一个实施例。逻辑流程300可表示由在此所描述的一个或多个实施例所执行的操作中的部分或全部。逻辑流程300可以利用各种系统和／或设备来执行，并且可以按一组给定设计参数或性能限制的需要而被实现为硬件、软件和/或其任意组合。例如，逻辑流程300可以由包括指令、数据、和/或由逻辑设备执行的代码的逻辑设备（例如，处理器）和/或逻辑（例如，线程式逻辑（threading logic））实现。出于说明而非限制的目的，参考图1和2描述逻辑流程300。各实施例不限于该上下文。
在图3显示的所示出的实施例中，逻辑流程300可在框302处使用来自个人设备的第一企业应用来连接到企业服务器。例如，企业应用116‑1、216‑1可通过网络来连接到企业服务器120。企业应用116‑1、216‑1可向企业服务器120呈现凭证（例如，帐户信息224）来标识并访问企业帐户124‑1。
在一实施例中，至于哪个企业应用116、216首先连接到企业服务器120并接收策略122、220可以是没有关系的。然而，一旦作出第一连接，作出该第一连接的企业应用（例如，企业应用116‑1）可被指定为维护并更新策略220和策略标记222的企业应用。在另一实施例中，企业应用116、216中的任一可更新策略220和策略标记222。
逻辑流程300可在框304处从企业服务器接收策略。例如，企业应用116‑1、216‑1可通过网络来从企业服务器120接收策略122。企业应用116‑1、216‑1可将策略122作为策略220来存储在个人设备110、210的存储器存储230上。策略220可包括例如口令策略；加密策略；数据擦除策略；和/或企业数据存储策略。
逻辑流程300可在框306处将策略应用到第一企业应用。例如，企业应用116‑1、216‑1可读取和/或执行每个策略220。企业应用116‑1、216‑1可检查条件，诸如个人设备110、210是否支持加密或具有设备口令。企业应用116‑1、216‑1可根据所检查的条件来设置策略标记222。
应用口令策略可包括例如，提示个人设备110、210的用户来创建和/或输入企业应用116‑1、216‑1的口令。应用口令策略可包括实施口令格式限制。应用口令策略可包括在指定时间段的不活动后要求重新输入口令。应用口令可包括当个人设备110、210具有满足或超过口令策略中的口令限制时禁用企业应用口令限制。各实施例不限于这些示例。
应用加密策略可包括当要求加密时，开启设备加密。应用加密策略可包括检测设备加密是否被启用并设置反映设备加密启用状态的策略标记222以供其它企业应用116、216检查。应用加密策略可包括检查是否需加密被需要来将企业数据118、218存储在个人设备110、210上。应用加密策略可包括当加密被要求而设备加密没被启用时，防止企业数据118、218存储在个人设备110、210上。各实施例不限于这些示例。
应用擦除策略可包括从企业服务器120接收擦除命令并仅从个人设备110、210中擦除企业数据118、218。应用擦除策略可包括检测在个人设备110、210上何时发生了最大数量的失败的口令输入尝试，并且仅从个人设备110、210中擦除企业数据118、218。应用擦除策略可包括当个人设备110、210不是加密符合并且加密被要求时擦除特定于企业帐户124的企业数据118、218。各实施例不限于这些示例。
应用企业数据存储策略可包括确定针对企业数据218‑1项的存储时间段是否已经过期，并且如果是，则从存储器存储230中擦除该项。在一实施例中，企业应用116、216可在连接到企业服务器120时请求从企业服务器120下载企业数据118、218。应用数据存储策略可包括防止从企业服务器的企业数据的下载，直到请求企业数据的企业应用符合策略122、220。各实施例不限于这些示例。
图4示出了逻辑流程400的一个实施例。逻辑流程400可表示由在此所描述的一个或多个实施例所执行的操作中的部分或全部。逻辑流程400可在企业应用116、216已经从企业服务器120接收到策略122、220后发生。逻辑流程400可以利用各种系统和／或设备来执行，并且可以按一组给定设计参数或性能限制的需要而被实现为硬件、软件和/或其任意组合。例如，逻辑流程400可以由包括指令、数据、和/或由逻辑设备执行的代码的逻辑设备（例如，处理器）和/或逻辑（例如，线程式逻辑（threading logic））实现。出于说明而非限制的目的，参考图1和2描述逻辑流程400。各实施例不限于该上下文。
逻辑流程400可在框402中执行个人设备上的第二企业应用。例如，当用户选择企业应用116‑2、216‑2来执行时，企业应用116‑2、216‑2可在个人设备110、210上开始操作。
逻辑流程400可在框404中检查个人设备以寻找策略。例如，第二企业应用116‑2、216‑2可查找并寻找存储器存储230上的策略220。
逻辑流程400可在框406中将策略应用到企业应用。例如，企业应用116‑2、216‑2可按与以上参考框306以及企业应用116‑2、216‑1描述的方式类似的方式来应用策略220。然而，在当策略指定由策略标记222指示的条件时的情况下，企业应用116‑2、216‑2可检查策略标记222的状态而非直接确定条件的状态。
在一实施例中，由策略220设置的其它条件可在企业应用116、216之间共享。例如，假设策略要求在一时间段（假定10分钟）的不活动后重新输入口令。当第一企业应用变得不活动时，不活动定时器可启动。如果第二企业应用在由不活动定时器启动的10分钟窗口内被启动，则第二企业应用可不要求输入口令。实际上，第二企业应用与第一应用共享口令限制和不活动时间窗口。当没有不活动定时限制时，第二企业应用可依然共享来自第一企业应用的口令输入。通过这种方式，第二企业应用不需要口令，这是因为口令已经针对第一企业应用输入了。
逻辑流程400可在框408中使用来自个人设备的企业应用连接到企业服务器。在一实施例中，到企业服务器120的连接仅当策略被适当地应用时发生。例如，如果企业应用116、216本该要求口令但没有要求，则通过该企业应用的到企业服务器120的连接可被拒绝。
图5示出了逻辑流程500的一个实施例。逻辑流程500可表示由在此所描述的一个或多个实施例所执行的操作中的部分或全部。逻辑流程400可在企业应用116、216已经从企业服务器120接收到策略122、220后发生。逻辑流程500可以利用各种系统和／或设备来执行，并且可以按一组给定设计参数或性能限制的需要而被实现为硬件、软件和/或其任意组合。例如，逻辑流程500可以由包括指令、数据、和/或由逻辑设备执行的代码的逻辑设备（例如，处理器）和/或逻辑（例如，线程式逻辑（threading logic））实现。出于说明而非限制的目的，参考图1和2描述逻辑流程400。各实施例不限于该上下文。
逻辑流程500可在框502中从个人设备上的策略在个人设备上生成策略密钥。例如，企业应用116‑1、216‑1可对策略122、220执行散列函数来生成反映当前安装在个人设备110、210上的策略122、220的策略密钥226。
框502可被周期性地执行，例如，每当企业应用116‑1、216‑1连接到企业服务器120时、每天、每周一次等。在一实施例中，框502可按策略122、220中指定的时间表来执行。框502可响应于从企业服务器接收到策略已经被添加、更改和/或删除的推送通知被执行。
逻辑流程500可在框504中向企业服务器提供策略密钥以供与当前在企业服务器上的策略进行比较。企业服务器120可将策略密钥226与策略122进行比较以确定策略在企业服务器120和个人设备110、210两者上是否相同。
逻辑流程500可在框506从企业服务器接收通知。通知可向企业应用116‑2、216‑1确认个人设备110、210上的策略220是最新的。通知可向企业应用116‑2、216‑1通知策略220需要被更新。
当策略220是最新的时，逻辑流程500可在框508中将最新的策略应用到企业应用。逻辑流程500可在框510中从企业服务器120下载并更新策略，并将经更新的策略应用到企业应用。
图6示出适用于实现上述各实施例的示例性计算体系结构600的实施例。计算体系结构600包括各种常见计算元件，如一个或多个处理器、协同处理器、存储器单元、芯片组、控制器、外围设备、接口、振荡器、定时设备、视频卡、音频卡、多媒体输入/输出（I/O）组件，等等。然而，各实施例不限于由计算体系结构600来实现。
如图6所示，计算体系结构600包括处理单元604、系统存储器606以及系统总线608。处理单元604可以是可购得的各种处理器中的任一种。双微处理器和其他多处理器体系结构也可用作处理单元604。系统总线608向包括但不限于系统存储器606的各系统组件提供到处理单元604的接口。系统总线608可以是若干种总线结构中的任一种，这些总线结构还可互连到存储器总线（带有或没有存储器控制器）、外围总线、以及使用各类市场上可购买到的总线体系结构中的任一种的局部总线。
系统存储器606可以包括各种类型的存储器单元，诸如只读存储器（ROM）、随机存取存储器（RAM）、动态RAM（DRAM）、双倍数据率DRAM（DDRAM）、同步DRAM（SDRAM）、静态RAM（SRAM）、可编程ROM（PROM）、可擦除可编程ROM（EPROM）、电可擦除可编程ROM（EEPROM）、闪存、诸如铁电聚合物存储器等聚合物存储器、奥氏存储器、相变或铁电存储器、硅‑氧化物‑氮化物‑氧化物‑硅（SONOS）存储器、磁卡或光卡、或适于存储信息的任何其他类型的介质。在图6示出的所示实施例中，系统存储器606可包括非易失性存储器610和/或易失性存储器612。基本输入/输出系统（BIOS）可以存储在非易失性存储器610中。
计算机602可包括各种类型的计算机可读存储介质，包括内置硬盘驱动器（HDD）614、用于读写可移动磁盘618的磁软盘驱动器（FDD）616、以及用于读写可移动光盘622（例如，CD‑ROM或DVD）的光盘驱动器620。HDD 614、FDD 616、以及光盘驱动器620可分别由HDD接口624、FDD接口626和光盘驱动器接口628连接到系统总线608。用于外置驱动器实现的HDD接口624可包括通用串行总线（USB）和IEEE 1394接口技术中的至少一种或两者。
驱动器及相关联的计算机可读介质提供了对数据、数据结构、计算机可执行指令等的易失性和/或非易失性存储。例如，多个程序模块可存储在驱动器和存储器单元610、612中，包括操作系统630、一个或多个应用程序632、其它程序模块634和程序数据636。一个或多个应用程序632、其它程序模块634和程序数据636可包括例如，企业应用116、216、个人应用112、212以及企业应用服务器组件126‑1、126‑2。
用户可以通过一个或多个有线/无线输入设备，例如键盘638和诸如鼠标640等定点设备将命令和信息输入到计算机602中。其他输入设备可包括话筒、红外（IR）遥控器、操纵杆、游戏垫、指示笔、触摸屏等等。这些和其他输入设备通常通过耦合到系统总线604的输入设备接口642连接到处理单元608，但也可通过诸如并行端口、IEEE 1394串行端口、游戏端口、USB端口、IR接口等其他接口连接。
监视器644或其他类型的显示设备也经由诸如视频适配器646等接口连接到系统总线608。除了监视器644之外，计算机通常包括诸如扬声器、打印机等其他外围输出设备。
计算机602可使用经由有线和/或无线通信至一个或多个远程计算机（诸如远程计算机648）的逻辑连接在联网环境中操作。远程计算机648可以是工作站、服务器计算机、路由器、个人计算机、便携式计算机、基于微处理器的娱乐设备、对等设备或其他常见的网络节点，并且通常包括相对于计算机602描述的许多或所有元件，但为简明起见仅示出了存储器/存储设备650。所描绘的逻辑连接包括到局域网（LAN）652和/或例如广域网（WAN）654等更大网络的有线/无线连接。这种LAN和WAN联网环境常见于办公室和公司，并且方便了诸如内联网等企业范围计算机网络，所有这些都可连接到例如因特网等全球通信网络。
当在LAN联网环境中使用时，计算机602通过有线和/或无线通信网络接口或适配器656连接到LAN 652。适配器656可以方便到LAN 652的有线和/或无线通信，并且还可包括其上设置的用于使用适配器656的无线功能进行通信的无线接入点。
当在WAN联网环境中使用时，计算机602可包括调制解调器658，或连接到WAN 654上的通信服务器，或具有用于诸如通过因特网等通过WAN 654建立通信的其他装置。或为内置或为外置以及有线和/或无线设备的调制解调器658经由输入设备接口642连接到系统总线608。在联网环境中，相对于计算机602所描绘的程序模块或其部分可以存储在远程存储器/存储设备650中。将明白，所示网络连接是示例性的，并且可以使用在计算机之间建立通信链路的其他手段。
计算机602可操作来使用IEEE 702标准系列来与有线和无线设备或实体进行通信，这些实体例如是在操作上安置成与例如打印机、扫描仪、台式和/或便携式计算机、个人数字助理（PDA）、通信卫星、任何一件与无线可检测标签相关联的设备或位置（例如，电话亭、报亭、休息室）以及电话进行无线通信（例如，IEEE 702.7空中调制技术）的无线设备。这至少包括Wi‑Fi（即无线保真）、WiMax和蓝牙TM无线技术。由此，通信可以如对于常规网络那样是预定义结构，或者仅仅是至少两个设备之间的自组织（ad hoc）通信。Wi‑Fi网络使用称为IEEE 702x（a、b、g等等）的无线电技术来提供安全、可靠、快速的无线连接。Wi‑Fi网络可用于将计算机彼此连接、连接到因特网以及连接到有线网络（使用IEEE 702.3相关的介质和功能）。
图7示出适用于实现上述各实施例的示例性通信体系结构700的框图。通信体系结构700包括各种常见通信元件，如发射机、接收机、收发机、无线电装置、网络接口、基带处理器、天线、放大器、滤波器，等等。然而，各实施例不限于由通信体系结构700来实现。
如图7所示，通信体系结构700包括一个或多个客户机702和服务器704。客户机702可实现个人设备110、210。服务器704可实现企业服务器120。客户机702和服务器704可操作地连接到可被用来存储相应客户机702和服务器704本地的信息（如cookie和/或相关联的上下文信息）的一个或多个相应客户机数据存储708和服务器数据存储710。
客户机702和服务器704可以使用通信框架706在彼此之间传递信息。通信框架706可以实现任何公知通信技术，如适用于与分组交换网络（例如，诸如因特网等公共网络、诸如企业内联网等专有网络，等等）、电路交换网络（例如，公共交换电话网）、或分组交换网络和电路交换网络的组合（使用合适的网关和转换器）一起使用的技术。客户机702和服务器704可以包括被设计成可与通信框架706进行互操作的各种类型的标准通信元件，如一个或多个通信接口、网络接口、网络接口卡（NIC）、无线电装置、无线发射机/接收机（收发机）、有线和/或无线通信介质、物理连接器等。作为示例而非限制，通信介质包括有线通信介质和无线通信介质。有线通信介质的示例可以包括导线、电缆、金属线、印刷电路板（PCB）、背板、交换光纤、半导体材料、双绞线、同轴电缆、光纤、所传播的信号等。无线通信介质的示例可以包括声学、射频（RF）频谱、红外和其他无线介质。客户机702和服务器704之间的一种可能的通信可以是以适用于在两个或更多计算机进程之间传输的数据包的形式。例如，数据包可以包括cookie和/或相关联的上下文信息。
各实施例可以使用硬件元件、软件元件或两者的组合来实现。硬件元件的示例可以包括设备、组件、处理器、微处理器、电路、电路元件（例如，晶体管、电阻器、电容器、电感器等）、集成电路、专用集成电路（ASIC）、可编程逻辑器件（PLD）、数字信号处理器（DSP）、现场可编程门阵列（FPGA）、存储器单元、逻辑门、寄存器、半导体器件、芯片、微芯片、芯片组等。软件元件的示例可以包括软件组件、程序、应用软件、计算机程序、应用程序、系统程序、机器程序、操作系统软件、中间件、固件、软件模块、例程、子例程、函数、方法、过程、软件接口、应用程序接口（API）、指令集、计算代码、计算机代码、代码段、计算机代码段、文字、值、符号、或其任意组合。确定一实施例是否使用硬件元件和/或软件元件来实现可视给定实现所需根据任何数量的因素而变化，这些因素如所需计算速率、功率级、耐热性、处理周期预算、输入数据速率、输出数据速率、存储器资源、数据总线速度以及其他设计或性能约束。
一些实施例可包括制品。制品可包括用于存储逻辑的存储介质。存储介质的示例可包括能够存储电子数据的一种或多种类型的计算机可读存储介质，包括易失性存储器或非易失性存储器、可移动或不可移动存储器、可擦除或不可擦除存储器、可写或可重写存储器等。逻辑的示例可包括各种软件元件，诸如软件组件、程序、应用软件、计算机程序、应用程序、系统程序、机器程序、操作系统软件、中间件、固件、软件模块、例程、子例程、函数、方法、过程、软件接口、应用程序接口（API）、指令集、计算代码、计算机代码、代码段、计算机代码段、文字、值、符号、或其任意组合。例如，在一个实施例中，制品可以存储可执行计算机程序指令，该指令在由计算机执行时使得该计算机执行根据所描述的各实施例的方法和/或操作。可执行计算机程序指令可包括任何合适类型的代码，诸如源代码、已编译代码、已解释代码、可执行代码、静态代码、动态代码等。可执行计算机程序指令可根据用于指示计算机执行特定功能的预定义的计算机语言、方式或句法来实现。这些指令可使用任何合适的高级、低级、面向对象、可视、已编译和/或已解释编程语言来实现。
一些实施例可使用表述“一个实施例”和“一实施例”及其派生词来描述。这些术语意味着结合该实施例描述的特定特征、结构、或特性包括在至少一个实施例中。出现在说明书中各个地方的短语“在一个实施例中”并不必全都指的是同一实施例。
一些实施例可使用表述“耦合的”和“连接的”及其派生词来描述。这些术语不必旨在互为同义词。例如，一些实施例可使用术语“连接的”和/或“耦合的”来描述以指示两个或更多元件彼此有直接的物理或电接触。然而，术语“耦合的”还可以意味着两个或更多元件彼此不直接接触，而仍彼此合作或交互。
要强调的是，提供了本公开的摘要以符合37C.F.R.1.72(b)节要求使读者能快速确定本技术公开的特性的摘要。提交摘要的同时要明白，将不用它来解释或限制权利要求的范围或含义。另外，在前面的详细描述中，可以看到，出于将本公开连成一个整体的目的而将各种特征组合在一起放在单个实施例中。此公开方法将不被解释为反映所要求保护的实施例要求比每个权利要求中明确陈述的更多特征的意图。相反，如所附权利要求书所反映，发明性的主题存在于比单个已公开实施例的所有特征少的特征中。从而，据此将所附权利要求结合进详细描述中，其中每个权利要求独立地代表一个单独的实施例。在所附权利要求书中，术语“包括”和“其中”分别用作术语“包含”和“其特征在于”的易懂的英文等价词。而且，术语“第一”、“第二”、“第三”等等只用作标记，而不旨在将数字约束强加于其对象上。
尽管用结构特征和/或方法动作专用的语言描述了本主题，但可以理解，所附权利要求书中定义的主题不必限于上述具体特征或动作。更确切而言，上述具体特征和动作是作为实现权利要求的示例形式公开的。