用于处理移动终端设备中的安全性设置或访问控制的过程.pdf

本发明涉及用于处理移动终端设备中的安全性设置或访问控制的过程。提出了用于处理移动终端设备的安全性设置的过程，具有以下步骤：（a）确定终端设备的操作条件；（b）通过评估关于终端设备的操作条件的上下文数据，根据操作条件建立最小安全性要求；（c）自动确定和符合在终端设备上的安全性设置，而安全性设置必须至少遵守最小安全性要求；以及（d）根据安全性设置控制应用，而由在终端设备的使能的代理中的至少一个上控制以上步骤（a）至（d）的实现。

1.  一种用于处理移动终端设备（104）的安全性设置的过程，其具有以下步骤：
（a）确定（310、320）所述终端设备（104）的操作条件；
（b）通过评估（330）关于所述终端设备（104）的操作条件的上下文数据，根据操作条件来建立（340）最小安全性要求（BS）；
（c）自动确定（1110-1125）和符合在所述终端设备（104）上的安全性设置（S），而所述安全性设置必须至少遵守所述最小安全性要求；以及
（d）根据所述安全性设置控制应用，
而以上步骤（a）至（d）的实现由在所述终端设备（104）的使能的代理中的至少一个上控制。

2.  根据权利要求1的过程，其特征还在于以下步骤：
以针对所述终端设备（104）的用户（102）可识别的方式，表示（420、933、937）所述安全性设置（S）和/或所述最小安全性要求（BS），并且特别地，在所述终端设备（104）的显示器（246）上。

3.  根据权利要求1的过程，其特征还在于以下步骤：
按照限制对应用进行标记（933、937），其由所述安全性设置（S）引起，是取决于所述安全性设置（S）的，特别是通过改变在所述终端设备（104）的显示器上各个应用的表意符号（520）。

4.  根据权利要求1的过程，其特征还在于以下步骤：
对以下情况下的至少一种情况，改变所述安全性设置（S），其中防止了所述最小安全性要求（BS）的绕过实现：
- 所述用户（102）的交互，
- 应用的启动，
- 应用的终止，
- 所述操作条件的改变。

5.  根据权利要求1的过程，其特征在于：遵守所述最小安全性要求（BS）由以下措施中的至少一项来确保：
- 关断所述终端设备（104）；
- 终止、禁用或阻碍不符合所述最小安全性要求（BS）的应用；
- 终止、无效或阻碍将违反或侵犯所述最小安全性要求（BS）的功能；
- 忽略将违反所述最小安全性要求（BS）的用户设置或用户输入。

6.  一种用于移动终端设备（104）的安全性设置的控制的过程，其具有以下步骤：
（A）定位终端设备（104）；
（B）联系（1210）所述终端设备（104）；
（C）确定（1230，1250）用于实现根据权利要求1至5中的一项权利要求的过程的代理是否被安装和激活在所述终端设备上；以及
（D）如果关于步骤（C）的回答是否，则发出（1240）警告，
其中由所述终端设备（104）外部的实例（110）执行步骤（A）到（D）。

7.  一种被设立用于实现在权利要求1至5中的一项中记载的过程的移动终端设备（104），其中优选地，过程性步骤至少部分地由软件代理执行。

8.  一种计算机程序，其包含如果所述计算机程序被加载在计算机上或者由它来执行，则使得所述计算机以及在权利要求1至6中的一项中提供的过程的过程性步骤。

9.  一种软件产品，其被存储在计算机可读介质上并且优选地其可以直接被加载到计算机的内部存储器中，以及如果正在计算机上运行所述计算机程序，则用于实现引用权利要求1至6中的一项的过程性步骤的程序代码。

10.  一种具有电可读的控制信号的数字介质，其可以与可编程计算机工作以管理通信，其中控制信号被设计和适应于发起所述计算机以进行执行并且可以实施根据权利要求1至6中的一项的过程的过程性步骤。

用于处理移动终端设备中的安全性设置或访问控制的过程
技术领域
本发明涉及一种用于处理在移动终端设备中的安全性设置的方法、一种用于访问控制的方法、一种移动终端设备、一种计算机程序、一种软件产品和一种数字存储介质。
背景技术
移动设备的日益频繁的使用以及在专业环境中的私有移动设备的使用（BYOD-“自带设备（Bring Your Own Device）”）是对关于此类设备的使用的安全机制的挑战。现在的IT安全机制通常是面向平台、面向设备、面向用户、或者面向应用的。IT平台通常被集中管理并且它们的操作系统是硬化的。应用的安全标准通常由提供商来定义，例如，针对web应用，访问（http）被实现为简单或者安全的（https），所使用的最大加密是经由浏览器或者服务来设置的。用户对IT应用的访问通常是经由用户账户或者域名注册来设置的，在现有的PKI基础措施或域名控制器的情况下，如果适合，则也经由单个-注册-机制（single-sign-on-mechanism）。也就是说，因此在管理的环境中可以大大地实现安全性。在移动应用的情况下，出现以下问题：用户可以有意地绕过实现安全机制以克服可能的相关障碍。在移动设备上的应用的使用或信息检索得使用经常接收在安全性方面上的优先级。针对这样的使用实现与在管理的环境中可比较的安全性将是期望的。
众所周知，基于用户或设备的认证和授权以及加密技术的安全技术方案正在被开发。安全访问可以在某个时间段（例如，操作系统注册或者应用的会话的持续期间）授予合法的用户。通常，在具体情况下的用户并未觉察到IT应用和信息是以安全还是不安全的方式被使用的。
所谓的安全性评估检查表意图用于根据安全技术的当前状态来帮助使IT系统安全以及特别是使到这些系统的移动访问安全。不可以实现绝对的安全性，然而，必须在攻击系统的安全性将花费的努力与假设的可能的成本和危害程度之间做出判定。某些安全性要求也产生自法律程序和规则。
发明内容
本发明的任务是进一步开发这种方法。特殊的任务是针对终端设备的移动使用以及不同应用的使用提供一种简单却安全的处理。另一任务是建立安全简档，其适于移动终端设备的上下文，是自动的并且与当前的安全性要求兼容。另一任务由以下内容组成：在不禁用当前的最小安全措施的情况下，使得移动终端设备的用户可以具有上下文敏感的自动安全性设置。最后，本发明的任务是促进移动终端设备的访问控制以及在诸如公司区域、生产设施、会议和展览空间等等的工业或公共机构的上下文中的安全标准的强制执行。
根据本发明按照独立权利要求的特性解决所述任务。本发明的有利实施例和进一步的改进在从属权利要求中指定。
根据本发明的第一方面，提出了一种用于控制移动终端设备的安全性设置的方法，其具有以下步骤：
（a）确定终端设备的操作条件；
（b）通过评估关于终端设备的操作条件的上下文数据，根据操作条件来建立最小安全性要求；
（c）自动确定和符合在终端设备上的安全性设置，而安全性设置必须至少遵守最小安全性要求；以及
（d）根据安全性设置控制应用，
而通过在终端设备的使能的代理中的至少一个上来控制以上步骤（a）至（d）的实现。
出于本发明的目的，移动终端设备是被设置用于移动计算和通信的任意设备，特别是移动电话、智能电话、PDA、诸如膝上型计算机、笔记本和平板计算设备的便携式计算机。在本发明的含义之内，代理被理解为具有自治的（即，不受用户的干扰地工作）、模式适应的（即，由于它们的自身状态以及环境的状态改变其自身设置，诸如参数和/或结构）、前摄的（proactive）（即，基于其自身的主动性而主动）和反应的（即，响应于在环境中的改变）属性或功能的软件程序，优选地是软件传感器和/或硬件传感器/设备驱动器，特别地针对遵守最小安全性要求。特别地，代理还可以被理解为应用，其为第三方（雇主、商业伙伴、服务提供商、组织者、公共机构）的利益服务。代理可以被预加载并且被安装或者预先安装，或者在激活期间自己进行安装。如在本发明的含义之内的操作条件被理解为设备属性、设备位置、网络健康、关于因特网和内联网使用的公司策略等等。在本发明的含义之内的安全性设置被理解为安全性级别或者与设备、网络、公司策略属性等等相关的安全简档。而最小安全性要求是要求的最小安全性级别，其可以由代理通过取决于操作条件的策略来强制执行。操作条件的确定可以需要但不限于例如：GPS或者另一位置确定设备的位置的评估、传感器数据的分析、诸如MDM（移动设备管理）服务器或者类似的第三方的外部实例的元数据（Meta data）的接收。在本发明的含义之内，应用是软件程序（批处理文件、宏、移动应用，其应当受限于按照例如关于潜在的恶意软件的公司策略来进行执行）、网络资源（内联网页面、因特网、研究访问，其应当由例如关于政治不正确的内容或成本增加的公司策略限制）、设备应用（音频记录、摄像机、扬声器、网络访问、无线电功能，其应当由例如关于安全性考虑的公司策略限制）。控制可以意味着然而不限于：例如，可执行/不可执行应用的标识、不期望的应用的阻碍执行或者终止（“击落（shooting down）”）、选择/阻碍/关闭某些功能。不言而喻，步骤（a）到（d）可以被无限地重复。
在根据本发明的过程的情况下，引入了上下文敏感的安全处理，其使能在第三方环境中的移动终端设备的简单且安全的使用，具有依据它们的合法权益的限制，然而仅在必要的程度内，并且仅在给定的情况下。可以取决于位置，即使是小规模的，例如与某些区域、建筑物、部门和房间有关的位置来强制执行公司内部安全标准。
根据本发明的优选实施例，通过以可识别的方式针对终端设备的用户表示确定的安全性设置和/或最小安全需求，特别是在本发明的终端设备的显示器上，当前的状态和可能的限制对用户是可见的，他不会“被压倒（overwhelmed）”，并且如果必须，则他可以干预或者修改他的行为。这包括在本发明的含义之内的显示，其每个适合于用户的观察，特别是但不限于：在屏幕上的显示、单个LED（针对某些设备具体特征）、声学警告、振动等等。例如，当安全性设置改变时，在终端设备中响起警告。
本发明的优选实施例包括按照限制指定应用，其是从安全性设置导出的，特别是通过取决于安全性设置改变在终端设备的显示器上的各个应用的表意符号（ideograph）。作为应用的符号的任何形式的表示，诸如列表条目、符号、图标、链接等等，被理解为表意符号。所述修改可以需要但不限于：例如符号、明暗处理、框架、如果必须，则取决于状态每个的颜色不同、浅色或者透明的表示的附加等等。这允许用户以当前安全性设置的有效性为担保，并且如果必须，则预先调整当前安全性设置的有效性。
根据本发明的优选实施例，至少响应于以下情况中的一种，安全性设置的改变可以发生，而防止下降到最小安全性要求之下：
- 用户的交互，
- 应用的启动，
- 应用的终止，
- 操作条件的改变。
这样可以实现增加的灵活性，因为防止了下降到最小安全性要求之下，所以可以可靠地维持所述安全性要求。
根据本发明的优选实施例是通过以下措施中的至少一项来完成符合所述最小安全性要求：
- 关闭终端设备；
- 终止、禁用或者阻碍不符合最小安全性要求的应用；
- 终止、禁用或者阻碍将违反或者侵犯最小安全性要求的功能；
- 忽略将违反最小安全性要求的用户设置或用户输入。
通过这些，还确保了强制性地，或者如果必须，自动地强制执行安全性要求。
根据本发明的第一方面，提出了一种用于控制移动终端设备的安全性设置的方法，其具有以下步骤：
（A）定位终端设备；
（B）联系终端设备；
（C）确定用于实现在权利要求1至5中的一个中制定的过程的代理是否在终端设备上被激活；以及
（D）如果关于步骤（C）的回答是否（NO），则发出警告，
其中步骤（A）到（D）是由终端设备外部的实例来执行的。
该过程与先前所述的用于处理安全性设置的过程是互补的。其可以例如通过诸如安全服务器、MDM服务器等等的安全性服务、站点安全等等来实现。检测还可以包括确定代理的特定干预是否是可能的（例如，摄像机的减活（deactivation）、声音记录能力）。例如，定位可以包括捕获无线电接口。联系可以包括例如经由无线接口、GSM接口、红外接口、Bluetooth接口等等建立通信连接。警告例如可以通过警告灯、警告喇叭、路障或者行人人流控制系统、在安全人员的耳机中的评论等等来实现。警告还可以包括对终端设备和/或携带终端设备的安全人员的识别和定位。通过在该方面中制定的过程，还可以促进访问控制。可以意图对在终端设备上的代理进行可选的自动上传和/或自动激活。
本发明在另一方面还涉及被设立用于实现所述过程的移动终端设备、计算机程序、如果所述计算机程序被加载到计算机或者在计算机上执行则使得计算机执行所述过程的过程性步骤的综合编程指令、存储在计算机可读介质上并且其优选地可以被直接加载到计算机的内部存储器中的软件产品，并且如果所述计算机程序运行在计算机上，则用于实现上文所述的过程的过程性步骤的程序代码存在，以及具有电可读的控制信号的数字存储介质，其可以与可编程计算机工作以管理通信过程，而控制信号被设计和适应于发起计算机来执行过程的过程性步骤，这可以被实施。计算机可以取决于将执行的过程而被实施在终端设备或外部实例中。因为与上文针对相应的过程已经指定的相同的理由，该设备解决了本发明的任务。
本发明的更多特征、任务、优点和细节将根据有形的实现示例的以下描述和在附图中的它们的图来进行更加具体的阐述。不言而喻，单独的设计示例的特征、任务、优点和细节可转移至其他设计实施例并且应当被视为被公开于其他实施例的上下文中，至于由于技术问题而不可能实现或者由于自然科学原因而显然是荒谬的为止。实施例可以彼此组合，并且组合也可以被理解为本发明的实施例。
附图说明
以下将基于优选实施例以及在具有附图的帮助的情况下详细地描述本发明，其中：
图1    作为本发明的实施例的具有终端设备的通信系统的表示；
图2    作为本发明的另一实施例的具有终端设备的、图1的通信系统的一部分的表示；
图3    根据本发明的实施例的、用于在过程中的自动安全性设置的过程的流程图；
图4    根据本发明的实施例的、用于在过程中的人工安全性调整的过程的流程图；
图5    根据本发明的实施例的可视内容的表示；
图6    根据本发明的实施例的、用于在过程中的最小应用安全性的子过程的流程图；
图7    根据本发明的实施例的、用于在过程中的应用控制的过程的流程图；
图8    根据本发明的实施例的、用于在过程中执行应用的过程的流程图；
图9    根据本发明的实施例的、用于在过程中的应用指定的过程的流程图；
图10   根据本发明的实施例的、用于在过程中的应用终止的过程的流程图；
图11   根据本发明的实施例的、用于在过程中的安全性设置的过程的完整过程的流程图；
图12   根据本发明的实施例的、用于在过程中的条目控制的过程的流程图；
图13   根据本发明的实施例的、图示了在过程中的安全性矩阵的表格；
图14A-14C   根据本发明的实施例的、图示了在过程中的安全性评估的表格。
在附图中的图示完全是示意性的并且不必按比例绘制。图示表示及其描述是本发明的原理的示例性阐述而并不意味着以任何方式对它进行限制。
具体实施方式
图1示出了作为本发明的实施例的，图示了具有移动终端设备104的通信系统100的示意框图。通信系统100可以为公司的公司网络。
如在图1中所示，使用移动终端设备104的人102被集成到通信系统100中。人102能够经由用户交互106来操纵终端设备104。MDM服务器或者移动设备管理服务器MDM（用于移动设备管理）110能够经由无线电链路112与终端设备104通信。通信系统100还标记了身份管理服务器120，其是可以经由人102进行寻址，是经由用户交互122可访问的；应用服务器130，其可以经由无线电链路132与终端设备104通信。另外，终端设备104可以经由因特网/内联网140与多个服务器通信，所述多个服务器包括web服务服务器150、用于所引用的web服务的web服务服务器160、流媒体服务器170、以及web应用服务器180。
虽然未在图1中详细地呈现，但是若干代理被安装和激活在终端设备106上，其包括MDM代理、身份代理、设备代理、这样的网络代理和应用代理，如在下文中更详细地描述的那样。
通信系统100的一部分以示意框图的形式被图示于图2中。所述部分图示包括移动终端设备104、MDM服务器110、身份管理服务器120、应用服务器130以及web应用服务器。
根据在图2中的图示，应用服务器130的特征是应用编档210。在应用编档210中存储与元数据213相关联的公司应用212和公共应用214。同样地，web应用服务器180的特征是web应用编档220，其中存储了与元数据223相关联的公司URL 222和公共URL 224。MDM服务器110提供了预分配的元数据230并且访问应用服务器130的应用编档210的元数据213和web应用服务器180的应用编档220的元数据223以在适合的情况下管理部署这些。
预分配的元数据230可以被用于例如锁定在终端设备上的来自“Google”的所有应用。该阻碍是经由将被锁定的域“Google.com”发生的，该域“Google.com”例如作为在黑名单中的条目被填入预分配的元数据230中。预分配的元数据可以被一般地使用，意味着不特定于单个应用/单独应用，而是具体地用于应用。
终端设备104的特征是GPS WLAN定位单元240、可以被执行为传感器的接口或者作为例如Bluetooth传感器的附加传感器的传感器记录单元242、网络接口244、例如设备屏幕246以及http/TSL/VPN接口248。另外，提供了安全应用启动器250、设备代理260、网络代理262和MDM/网络策略代理264，它们作为软件产品被安装或者被集成或连接并且作为硬件单元被激活。用户交互接口（UII）270允许用户102（图1）与终端设备104的交互。
如图2中所示，设备代理260访问由GPS/WIFI定位单元240和传感器记录单元242提供的数据。传感器记录单元242可以例如经由到设备的Bluetooth设备驱动器的接口感知到配对的台式电话（SDT）的接近度，并且可以从此推导出被理解为安全站点“工作中”的操作位置。这使得设备代理260能够例如确定终端设备104的位置和其他操作条件。网络代理262访问来自网络接口和http/TSL/VPN接口248的数据。MDM/策略代理264访问来自MDM服务器110的数据，并且特别地访问由MDM服务器110管理的元数据213、223、230。经由用户交互接口270，用户102（图1）可以借助于终端设备104与身份管理服务器120通信，例如来登录到公司网络（即，图1的通信系统100）中。在设备屏幕246上的表示也是经由用户交互接口270生成的，假设设备屏幕246是触摸屏，则输入是经由设备屏幕246来解释（interpret）的。
安全应用启动器250（其被设计为操作系统程序/功能并且访问在应用服务器130的应用编档210中的编档的应用212、214以及在web应用服务器180的web应用编档220中的链接（URL）222、224。安全应用启动器250进一步与设备代理260、网络代理262、MDM/策略代理264以及用户交互接口270连接。
所述过程经由在安装在终端设备104上的代理260、262、264与系统实例110、120、130、180之间的相互作用（interplay）工作，其控制在通信系统100的环境中对终端设备104的安全访问以及终端设备104的操作。以下更详细地描述了这些过程中的某些。
为此，首先在图3至10中的将被理解为子例程的某些过程，其可以彼此相互调用，并且总的过程被示出在图11中。
作为本发明的实施例的描述了在终端设备104中的基础安全性BS的自动设置的过程300是通过在图3中的流程图描述的。最小安全性级别将被理解为基础安全性BS，其应用于在通信系统100（例如，公司网络）之内的终端设备104并且是可接收的最低安全性级别。
在过程300的启动（执行）之后，在步骤310中，基于GPS/WIFI定位240的数据记录位置信息。之后，在步骤320中，传感器记录242的数据的值被评估。然后在步骤330中，确定关于设备属性、网络属性以及关于因特网和内联网的公司策略的终端设备104的状态。最后，在步骤340中，确定针对终端设备103的基础安全性BS。然后过程300结束。换言之，它返回到调用过程，同时交接作为启动参数的基础安全性BS。在本发明的含义之内理解，基础安全性BS可以作为最小安全性要求。
作为本发明的实施例的描述了在终端设备104中人工调整到当前安全性S的过程400是通过图4中的流程图描述的。在本发明的含义中，当前安全性S将被理解为安全性设置，其在各个时间点处应用于终端设备104。该过程的一个目的是确保终端设备104的用户可以根据他的需要调整当前安全性S，但不能破坏基础安全性BS。
在过程400的启动（执行）之后，在步骤410中，表示在过程400之内的用户选择的安全性级别的易失性变量USS被预分配以当前安全性S的值。这意味着当过程400被调用时，当前安全性S作为输入参数被传递。经由转变点A，过程400通向步骤420，其中用户选择的安全性USS被显示在终端设备104的显示器246上。经由评估用户102的交互，现在在步骤430中确定用户102是否确认当前显示的用户选择的安全性USS。
为了说明用户交互，图5示出了作为本发明的实施例的、在过程400的执行期间的屏幕显示。根据在图5中的图示，屏幕显示示出了选择框510以及作为应用的示例的应用图标520。选择框510具有带着标记514和滑块516的标尺（scale）。标尺514具有针对默认安全性级别S1到S6的字段。安全性级别S1到S6中的每个安全性级别表示限定的安全简档或者指定的安全性设置，并且可具有若干部分。当通过用户交互被唤起时，即通过在键盘上键入、保持并移动定点设备（鼠标或类似物）或者在屏幕246的触摸表面上触摸和移动，滑块516在标尺512之内可移动，滑块516可以被移动到与期望的安全性级别S1至S6相对应的位置。当前选择（滑块516的位置）的确认或者离开选择字段（取消安全性设置）可以经由通常的方式来进行。例如，针对当前选择的确认，返回键、在显示屏幕246上的OK字段、在显示屏幕246上的预定触摸顺序等等。同样地，在屏幕上存在用于离开选择的ESC键、在显示屏幕246上的终止字段、在显示屏幕246上的预定触摸顺序等等。
应用图标520的特征是标记元素522，其取决于设置的安全性级别通过应用图标520指示相关联的应用是否可以被激活。
回到在图4中的过程400的结束，如果在步骤430中的确定是肯定的（是），则在步骤435中具有用户选择的安全性USS的当前安全性S被应用，并且过程通向转变点B，在其之后过程在当前安全性S作为输出参数被传递的情况下结束。如果在步骤430中的确定是否定的（否），则过程400继续至步骤440，其中确定用户102是否停止了过程400的处理。如果在步骤440中的确定是肯定的（是），则过程前进到转变点B，并且然后过程在当前安全性S被传递为输出参数的情况下结束。因为在此情况下用户选择的安全性未被确认，所以当前安全性S与由过程400传递的安全性相同，即在过程400被用户102中断的情况下，当前安全性S未改变。如果在步骤440中的确定是否定的（否），则过程400继续至步骤445，其中任何潜在的用户输入被分配到用户选择的安全性USS。然后，在步骤450中，确定用户选择的安全性USS是否小于基础安全性BS，该基础安全性BS在过程400时被调用并且作为输入参数被传递，然而不可以被过程400修改。如果在步骤450中的确定是肯定的（是），则这意味着用户选择的安全性USS未被准许，并且因此，在后续步骤455中用户选择的安全性USS被分配为可能的最低安全性的基础安全性BS。在这之后，过程前进到转变点A，并且然后过程再次以步骤420开始，直到过程一旦经由转变点B结束为止。如果在步骤450中的确定是否定的（否），则这意味着用户选择的安全性USS被准许，并且因此过程400直接继续至转变点A，并且然后过程再次以步骤420开始直到过程一旦经由转变点B结束为止。
借助于在图6中的流程图，用于在终端设备104上的应用的最小应用安全性MAS的确定的过程600被描述为本发明的实施例。最小应用安全性MAS将被理解为在终端设备104中激活应用所需要的安全性级别。
在过程600的开始（执行）之后，在步骤610中检测应用。元数据然后在步骤620中被评估。元数据在一方面是诸如在图2中的元数据213或223的直接与应用相关联的元数据，或者一般是有效的元数据，诸如在图2中的预分配的元数据230。元数据是经由MDM/策略代理264（图2）从MDM服务器110中询问的，特别是对在终端设备104上的一个或多个应用的启动，或者是直接从安全应用启动器（图2）接收的，特别是在终端设备（104）上的一个或多个应用的持续期，也被称作实时操作。借助于元数据，然后在步骤630中确定应用的最小安全MAS，并且过程600通过将最小应用安全性MAS传递为输出参数而结束。
借助于在图7中的流程图，以下描述了作为本发明的实施例的、用于在终端设备104上的应用的监控的过程700。如果当前安全性S的设置或修改已经发生，则针对每个应用调用过程700。
在过程700的开始（执行）之后，在步骤710中，过程600被调用以接收应用的最小应用安全性MAS。然后，在步骤720中确定当前安全性S是否大于或等于最小应用安全性MAS。如果在步骤720中的确定是肯定的（是），则这意味着当前安全性S针对程序的运行是足够的，并且过程通向转变点E，而过程700结束。如果在步骤720中的确定是否定的（否），则在步骤725中通过显示在屏幕246上的相应的对话框，建议当前安全性S被适应为最小应用安全性MAS。然后在步骤730中确定用户102是否已经确定了所述适应。如果在步骤730中的确定是肯定的（是），则在步骤733中当前安全性S被提升至最小应用安全性MAS的值，并且过程通向转变点E，而过程700结束。如果在步骤730中的确定是否定的（否），则在步骤737中该应用被终止，并且过程通向转变点E，而过程700结束。可以在屏幕246上向用户102标记在步骤737中的应用的终止。
应注意，在过程700中未执行与基础安全性BS的对比，因为当前安全性S绝不可能小于BS（参考例如在图4中的过程400）。当前安全性S偶然降低到基础安全性BS之下不可能发生，因为仅当最小应用安全性MAS大于当前安全性S时，才提供当前安全性S的适应，使得当前安全性S的增加总是联合的（hand in hand）。
使用在图8中的流程图，现在在下文中描述在终端设备104中的应用的执行期间被调用的过程800，作为本发明的实施例。
在过程800的开始（执行）之后，在步骤810中，过程600被调用以接收应用的最小应用安全性MAS。然后，在步骤820中确定当前安全性S是否大于或等于最小应用安全性MAS。如果步骤820中的确定是肯定的（是），则这意味着当前安全性S针对该程序的运行是足够的，并且过程通向转变点H，并且然后在步骤825中，应用被启动或者应用的调用被释放。在这之后，过程通向转变点J，因此过程800结束。如果在步骤820中的确定是否定的（否），则在步骤827中通过例如显示在屏幕246上的相应的对话框来建议当前安全性S与最小应用安全性MAS适应。然后在步骤830中确定用户102是否已经确定了适应。如果步骤830中的确定是肯定的（是），则在步骤835中当前安全性S被提升至最小应用安全性MAS的值，并且过程经由转变点H通向步骤825，以在调整可交换的当前安全性S之后发起应用的启动，因此过程800在穿过另一转变点J之后结束。如果在步骤830中的确定是否定的（否），则过程直接继续至转变点J，因此过程800结束并且因此应用未启动，因为当前安全性S与最小应用安全性MAS比较太低。
应注意，在过程800中未执行与基础安全性BS的对比，因为当前安全性S绝不可能小于BS（参考对过程700的进行解释）。
使用在图9中的流程图，作为本发明的实施例示例，现在描述用于应用指定的过程900，其可以在终端设备104中的不同场合处被调用。例如，可以在终端设备104的启动期间、在应用的新安装期间、在安全性参数改变的时间处调用所述过程，或者默认地以规则的间隔调用。
在过程900的开始（执行）之后，在步骤910中，针对所有应用的潜在存在的标记将被擦除。然后过程经由转变点M前进至步骤920，其中确定被标记的应用是否存在。该应用接收临时名称“i”。在这里所述的过程的上下文中，应用的标记是一直关于在图5中的标记元素522的含义之内的应用的可行性的标记，除非另有陈述。如果在步骤920中的确定是否定的（否），则这意味着没有应用被保留为标记的，并且因此过程900结束。如果在步骤920中的确定是肯定的（是），则在步骤925中调用过程600以确定应用的最小应用安全性MAS。然后，在步骤930中确定当前安全性S是否大于或等于应用i的最小应用安全性MAS。如果在步骤930中的确定是肯定的（是），则这意味着当前安全性S针对该程序的运行是足够的，并且过程通向步骤933，其中应用i被标记为可执行。在这之后，过程前进至转变点M以从此处以步骤920开始，检查是否存在任何（另外的）未标记的应用（参见上文）。如果在步骤930中的确定是否定的（否），则在步骤937中应用i被标记为不可执行，因此步骤也通向转变点M以从此处以步骤920开始，检查是否存在任何（另外的）未标记的应用（参见上文）。清楚地，过程900仅在不存在更多被标记的应用时终止（退出）（在步骤920中的否）。
必须注意，以相应的标记元素522将应用标记为可执行或不可执行仅应用于在设备屏幕246上的显示。当出于安全原因执行应用时，过程800总是被启动用于应用执行，不论标记元素522，所述过程800检查针对应用的安全性设置。可替代地，可以想象在过程900中的这样的标记应用的制度不仅应用于屏幕，而且包含存储于受保护区域中的列表中的标记，该标记在启动应用时被询问。
使用在图10中的流程图，现在在下文中描述在终端设备104中的应用的终止期间被调用的过程1000，作为本发明的实施例。
在过程1000的开始（执行）之后，在步骤1010中终止各个程序。然后过程经由转变点M前进到循环1020，其中针对所有活动的应用i，用于确定应用i的（单独）最小应用安全性的过程600被调用并且（全局）最小应用安全性标识的最小应用安全性MAS（i）的最大值（最高值）是单独的应用I被分配。然后，在步骤1030中确定（全局）最小应用安全性是否大于当前安全性S。如果在步骤1030中的确定是肯定的（是），则这意味着当前活动的应用都不要求比当前安全性S更高的安全性级别。因此，在此情况下过程通向步骤1035，其中当前安全性被降低至最高的最小应用安全性，但不低于基础安全性。以这样的方式，确保了没有更高的安全简档胜过正在运行的应用的执行所绝对必须的。在这之后，过程通向转变点P（来自步骤1030的否定分支也通向此（否）），并且过程1000将终止。
由于过程1000的执行允许以终端设备104的用户102的个人偏好的干预，所以在过程1000中的步骤1020至1035可以被设计为可选的（用户可取消选择的）特征。
通过图11的流程图，解释了作为本发明的实施例的过程1100，其表示代理干预的总过程。
在过程1100的开始（执行）之后，在步骤1110中，通过由终端设备将当前安全性S值（简档）s分配为预设的默认安全性DS来初始化系统。在这之后，过程通向转变点T，其可以被理解为过程1100的主循环的开始。主循环以转变点T开始，将重复直到系统被关闭为止。
在转变点T之后，在步骤1115中，过程300被调用以确定基础安全性。然后，在步骤1120中，确定当前安全性S是否大于或等于最小基础安全性BS。如果在步骤1120中的确定是肯定的（是），则这意味着当前安全性S关于基础安全性BS是足够的，并且过程前进至转变点U。如果在步骤1120中的确定是否定的（否），则在随后的当前安全性S的步骤1125中所分配的基础安全性BS的值被分配，并且然后过程前进至转变点U，并且然后过程前进到在步骤1128中的循环，其中针对所有正在运行的应用i调用过程700。根据上述描述控制在过程700中，如果用于实现相应应用的当前安全性S是足够的，并且在适合的情况下，则提供现有安全性的调整。如果终端设备104的用户不接受现有安全S的调整，则相应应用将被关闭。在步骤1128中的循环的处理之后，在步骤1130中，过程900被调用，以便按照在当前安全性S的上下文中的它们的可执行性来标记所有可用的应用。
然后在步骤1140中确定用户102是否借助于用户交互来请求调整当前安全性S。如果在步骤1140中的确定是肯定的（是），则在步骤1145中调用适应当前安全性S的过程400，并且然后过程通向转变点T以重新开始过程1100的主循环。如果在步骤1140中的确定是否定的（否），则在随后的步骤1150中确定用户102是否已经借助于用户交互来调用应用。如果在步骤1150中的确定是肯定的（是），则在步骤1155中调用用于应用的安全启动的过程800，并且然后过程通向转变点T以重新开始过程1100的主循环。如果在步骤1150中的确定是否定的（否），则在随后的步骤1160中确定用户是否已经借助于用户交互来终止应用。如果在步骤1160中的确定是肯定的（是），则在步骤1165中调用用于终止应用的过程1000，并且然后过程通向转变点T以重新开始过程1100的主循环。如果在步骤1160中的确定是否定的（否），则在随后的步骤1170中确定用户102是否借助于用户交互来发起终端设备104的注销。如果在步骤1170中的确定是肯定的（是），则在步骤1175中系统被分离，即发起系统的关机，并且然后过程1100结束。如果在步骤1170中的确定是否定的（否），则过程通向转变点T以重新开始过程1100的主循环。
因为在转变点T之后过程1100的主循环重新开始，所以在步骤1115中，基础安全性BS的确定开始，可以随时考虑条件的改变。虽然未在图中示出，但当基础安全性BS增加或减少时，到终端设备104的用户102的消息跟随，使得用户102一直知道当前要求的安全性并且可以相应地进行调整。
在图11中的总体过程1100以及如在图3至10中的过程300、400、600、700、800、900、1000的相关联的子例程的以上描述中阐述了应用。应理解，应用的一般概念可以包括诸如记录、回放、通信功能等等的设备特征，其可以以与上文所述相同或相似的方式处理并且可以经受规定的安全措施。
通过在图12中的流程图描述了过程1200，其通过被描述为本发明的实施例的活动代理监控区域来创建了对终端设备104的访问控制。经由通过控制循环和父过程在定位了设备的任何时候访问（call upon）的诸如MDM服务器110（图1）的安全设备来处理过程1200。为了进一步说明，假设终端设备104（图1、2）被定位。
在过程1200的开始（执行）之后，在步骤1210中，联系定位的终端设备104，即建立通信链路112（图1）。通信链路112针对终端设备的用户102不必是可辨识的，但它可以是。然后，在步骤1220中确定在终端设备104上过程400、600至1100的执行所需的代理是否被安装。如果在步骤1220中的确定是肯定的（是），则过程前进至转变点X。如果在步骤1220中的确定是否定的（否），则随后的步骤1225试图将所需的代理装载至终端设备（上传）。然后在步骤1230中确定代理的上传是否成功。如果在步骤1230中的确定是肯定的（是），则过程前进至转变点X。如果在步骤1230中的确定是否定的（否），则过程前进至转变点Y，因此在步骤1240中发出警告。在这之后，过程通向转变点Z，因此过程1200结束。
从到达的转变点X处，如果所需的（一个或多个）代理在终端设备104上被安装或者已经被成功地装载，则过程前进至步骤1250，其中确定所述（一个或多个）代理是否是活动的。如果在步骤1250中的确定是肯定的（是），则过程前进至转变点Z，并且过程结束。如果在步骤1250中的确定是否定的（否），则将在步骤1255中做出激活在终端设备104上的代理的尝试。在接下来的步骤1260中，将确定代理的激活是否成功。如果在步骤1260中的确定是肯定的（是），则过程前进至转变点Z，并且过程结束。如果在步骤1260中的确定是否定的（否），则过程经由转变点Y前进至步骤1240以发出警告。可选地伴随以可听的和/或视觉信号，可以发出在移动设备的活动列表中的条目和/或弹窗（pop-up）。更进一步地，例如，假设最低安全性级别“不关心的私有（private don't care）”并且其处被排除出执行的应用在它们的应用图标520中被标记以标记元素522。在这之后，过程通向转变点Z，因此过程1200结束。
图13中示出了在表格1中的安全简档的矩阵，并且图14A至14C基于多部分的表格2显示了根据本发明的示意性安全性评估（技术安全性评估）的各方面和视图。针对移动场景，技术要求起因于设备、网络、公司策略的因特网和内联网属性的观点。这些要求将通过适合的安全技术被考虑。表格1、2、或类似的表格可以被在终端设备104上的代理用于实现上述过程。
针对在根据在图2中的图示的终端设备104上的上下文敏感的、自动安全性级别设置（当前安全性S），根据本发明的代理记录设备、网络、以及公司策略的因特网和内联网属性的当前状态。代理（特别是设备代理260）可以继而包括位置信号或者无线传感器用于确定它们的状态。网络代理262相应地控制（安全的）网络访问。
在终端设备上的商业应用根据本发明，是以安全形式的元数据（例如，校验和）来丰富的。此元数据至少限定了最小安全性级别（基础安全性BS）和针对运行有形的应用的运行所需的真实性和访问（最小应用安全性MAS）。在端到端管理的系统的情况下，这些元数据例如可以被提供以移动设备管理（MDM）系统或者已经被包括在应用中。
其他应用取决于类型（例如，web应用）或者起源（受信任/不受信任的应用商店）被自动提供默认元数据。
关于设备、网络和与因特网和内联网相关联的公司策略属性，具有基础设计简档的安全性级别（基础安全性BS）将被自动分配到终端设备104。基础安全性BS可以具有以下值：
- 私有
- 企业的
- 受信任的
如果用户可以影响其对终端设备的偏好并且他被告知当前的上下文，则可以根据本发明产生不同的设计简档（当前安全性S）。根据本发明，用户可以如下依情况调整自动标识的安全性级别：
- 私有：
不关心、别名或者私有
- 企业的：
管理的、未管理的和秘密的
在别名的情况下，用户的身份将通过别名的使用而被故意隐藏。当选择该级别时，用户选择至少一个别名用于应用的后续使用。
取决于移动设备是管理的还是未管理的，管理的/未管理的将后续被视为替代的。在此上下文中，管理的意味着对该设备强制执行公司策略。
当用户打开或唤醒终端设备时，根据本发明，用户将被自动地示出设置安全性级别（图5）并且他/她可以仍然基于他/她对设计简档的偏好来对这些进行定制（参见在图4中的过程400）。
如果用户后续启动应用（参见在图8中的过程800），则根据本发明，系统在终端设备上比较应用元数据的系统最小要求（最小应用安全性MAS）与由代理记录的相应状态（当前安全性S）的兼容性。有利地，应用图标（在图5中的520）和附加的信息元素（在图5中的522）被添加，其表示与当前设置的安全性级别相关的当前状态（参见在图9中的过程900）：例如，红色元素指示安全性级别不足够，而绿色元素指示足够的安全性级别。如果应用适合（conform），则在没有用户交互的情况下启动。否则用户被提供适合的安全性级别，并且当选择适合的安全技术被使能时，并且然后应用将启动。
通过自动选择的安全性级别，创建与在背景中运行的应用的冲突，或者并行地，其在级别被应用之前被系统自动关闭或者通过用户交互被关闭（参见在图7中的过程700）。
反之亦然，在关闭程序之后，其可以自动地进行检查，如果更低的安全性级别针对剩余的活动的应用是足够的，并且则自动地采取（参见在图10中的过程1000）。
根据本发明的情况的安全性技术方案针对移动设备104的用户102（图1）。终端设备可以可选地经由MDM（MDM服务器110）被管理。身份管理系统（身份管理服务器120）可以确定用户102的身份并且对内联网或外联网应用和数据授予适合的访问授权。另外，终端设备可以下载并使用来自受信任的/不受信任的应用商店（web服务服务器150、160）的一个或多个web应用。针对web应用，其继而使用其他web应用应当经由传递信任关系连接到它们并且调用应用应当可以传播这些。
本发明允许以简单的用户接口来在移动设备上自动设置与当前安全性要求相兼容的上下文适合的安全性级别。用户可以通过设计简档来影响自动选择的安全性级别，但是它不取消最小安全性。用户被呈现以安全性级别以及所选的应用的兼容性的视觉显示。
因为在根据本发明的系统中的安全性级别随时间改变，所以将所应用的安全性级别对用户可视化并且以其创建用户的安全性意识和敏感性是有用的。
用于具有至少一个用户的移动应用的过程（和移动终端）已经被总结，其中：
a）初始安全性级别（默认安全性）被自动地设置，
b）当前要求的安全性级别（当前安全性）可以通过上下文信息被自动地设置，
c）最小要求的安全性级别（基础安全性）可以通过策略来被强制执行，
d）要求的安全性级别可以被用户来设计或适应，
e）当启动应用时，应用与安全性级别的兼容性可以被检查，
f）在安全性级别改变的情况下，当前非兼容的应用被自动关闭，
g）应用与安全性级别的兼容性属性被显示例如在选择中，
h）自动设置的安全性级别将被显示至用户
其中与最小要求的安全性级别的兼容不可以绕过实现。
本发明由所附权利要求书清楚地限定，并且可以被应用于上述特征的单独或任意组合。
本发明的具体实施例的示出的特征还可以在本发明的其他实施例中呈现，除了另有说明或者因为技术原因被禁止之外。
参考标记和符号的列表
100       通信系统
102       人/用户
104       终端设备
106       用户交互
110       MDM服务器
112       无线电通信
120       身份管理服务器
122       用户交互
130       应用服务器
132       无线电通信
140       因特网/内联网
144       网络连接
150       web服务服务器
160       web服务服务器（引用的）
170       流媒体服务器
180       web应用服务器
210       应用编档
212      公司应用
213       元数据
214       公共应用
220        web应用文件
222       公司URL
223       元数据
224       公共URL
230       预分配的元数据
240       GPS/WIFI定位单元
242       传感器记录单元
244       网络接口
246       设备屏幕
248       HTTPS/TSL/VPN接口
250       安全应用启动器
260       设备代理：
262       网络代理
264       MDM/策略代理
270       用户交互接口（UII）
300       用于自动安全性设置的过程
310-3xx   过程步骤
400       用于人工安全性调整的过程
410-4xx   过程步骤
500       显示表示
510       安全性设置的表示
520       应用图标
522       标记元素可行性
600       对最小应用安全性的子进程
610-6xx   过程步骤
700       用于应用控制的过程
710-7xx   过程步骤
800       用于应用执行的过程
810-8xx   过程步骤
900       用于标记应用的过程
910-9xx   过程步骤
1000      用于标记应用的过程
1010-10xx 过程步骤
1100      用于过程安全性设置的过程
1110-11xx 过程步骤
1200      用于访问控制的过程
1210-12xx 过程步骤
I             计数器
A, B, E, J, H, M, P, T, U, X, Y, Z 在过程流中的转变点
BS         基础安全性
MAS     最小应用安全性
S            当前安全性（安全性简档）
S1,…,S6  当前安全性的可能级别
USS       用户选择的安全性（暂时的）
以上列表是说明书的组成部分。