用于管理与移动设备的数据交换的系统和方法

用于管理与移动设备的数据交换的系统和方法
【专利摘要】提供了用于限制移动设备中的敏感数据的丢失风险的技术。在一个方面，提供一种用于管理移动设备上的敏感数据的方法。所述方法包括以下步骤。确定要传输到所述移动设备的数据项的敏感度。判定已存在于所述移动设备上的数据项加上该要传输的数据项的聚合敏感度是否超过所述移动设备的当前阈值敏感度值。如果所述聚合敏感度超过所述当前阈值敏感度值，则采取措施以确保所述聚合敏感度保持在所述移动设备的所述当前阈值敏感度值之下。否则，将该数据项传输到所述移动设备。
【专利说明】用于管理与移动设备的数据交换的系统和方法
【技术领域】
[0001]本发明涉及与移动设备的数据交换，更具体地说，涉及限制移动设备中的敏感数据的丢失风险的数据交换技术。
【背景技术】
[0002]在过去的几年里，工作环境已经从以办公室为中心的模型转变为日益移动化的模型，其中员エ通过各种通道从各种设备远程访问企业数据。除了通过诸如虚拟专用网络(VPN)之类的加密通道从连接到企业网络的膝上型计算机访问之外，员エ越来越多地使用其它移动设备，如智能电话或平板计算机。所有移动设备都会产生重大的数据丢失风险，因为设备容易发生意外丢失和被盗，但尤其是移动电话处于危险之中，因为员エ通常在每天的大部分时间内随身携帯它们以保持联系，即使在通常不携带其它移动设备(如膝上型计算机)的情况下也是如此。
[0003]在用户想要将其个人移动设备用于业务用途的环境中，这些安全问题尤为严重。在这些情况下，不能保证实施企业保护和安全措施。
[0004]用于处理手持移动设备上増加的数据丢失风险的当前解决方案包括阻止某些文件的同步，其中根据文档格式等准则阻止某些文件的同步。例如，參见授予Mousseau等人的怀题为 “System and Metnod for Redirecting Message Attachments Between a HostSystem and a Mobile Data Communication Device (用于在主机系统和移动数据通信设备之间重定向邮件附件的系统和方法)”的第6，438，585号美国专利，以及Adams等人提交的标题为“System and Method for Handling Data Transfers (用于处理数据传输的系统和方法)”的第2010/0242086号美国专利申请公开。这可以防止在设备丢失的情况下暴露某些文件，但这种技术在设备可用性(即，使所有相关文档可访问)和最小化丢失风险(即，使敏感文档远离设备)之间产生冲突。通常没有满足这两方面的解决方案。
[0005]用于处理手持移动设备上増加的数据丢失风险的当前解决方案还包括对存储在设备上的数据进行加密，其中设备对存储的信息进行加密，因此防止在设备丢失的情况下访问敏感信息。这种技术具有几个缺点。即，加密密钥本身必须存储在设备上，通常由为使用移动设备而必须输入的PIN代码或密码保护。出于可用性原因，该代码通常在复杂性方面有所限制，因为必须经常输入该代码，并且通常仅在某ー超时期限之后需要该代码。如果在合法用户输入PIN代码或密码之后，但在发生超时之前设备被盗，则作案者可以访问设备上的所有数据，并且通常甚至只需持续使用设备而防止PIN代码或密码超吋，因为超时通常与设备不活动有夫。现有平台还可以允许基于加密实现中的错误或基于对平台的硬件攻击的加密规避。这在过去的多个移动电话平台中都有展现。
[0006]用于处理手持移动设备上増加的数据丢失风险的当前解决方案还包括在丢失的情况下进行远程清除。这种技术允许对设备进行远程清除(此外通常还进行远程锁定)。在设备被盗的情况下，这种功能可以通过删除设备中的所有数据并安全擦除存储，防止未授权访问数据。这种方法的主要缺点是它仅在三个条件全部满足的情况下才有所帮助:所有者必须意识到设备丢失，所有者必须能够报告丢失(即，他不能使用丢失的设备来报告丢失)，并且设备必须连接到无线网络以便接收远程清除命令并能够执行该命令。某些平台还允许在设备离开网络达到预定时间量的情况下进行定时远程清除，但如果定义的间隔足够长以便不会干扰偶尔的网络中断，则发生清除之前的时间仍可能足够长以至于窃取设备上的所有数据。
[0007]现有技术并未提供一种令人满意的方式，以便根据针对主要保护技术列出的缺点来管理与移动设备上的数据有关的风险。因此，需要改进的技术以便最小化移动设备中的敏感数据丢失的风险。

【发明内容】

[0008]本发明提供了用于限制移动设备中的敏感数据的丢失风险的技术。在本发明的一个方面中，提供一种用于管理移动设备上的敏感数据的方法。所述方法包括以下步骤。确定要传输到所述移动设备的数据项的敏感度。判定已存在于所述移动设备上的数据项加上该要传输的数据项的聚合敏感度是否超过所述移动设备的当前阈值敏感度值。如果所述聚合敏感度超过所述当前阈值敏感度值，则采取措施以确保所述聚合敏感度保持在所述移动设备的所述当前阈值敏感度值之下。否则，将该数据项传输到所述移动设备。
[0009]通过參考以下【具体实施方式】和附图，将获得对本发明的更全面的理解，以及本发明的进ー步特性和优点。
【专利附图】

【附图说明】
[0010]图1是示出根据本发明的一个实施例的用于管理移动设备上的敏感数据的示例性方法的示意图；
[0011]图2是示出根据本发明的一个实施例的在实现本技术中涉及的高级组件的示意图；
[0012]图2a是根据本发明的一个实施例的提供有关图2中引入的设备状态跟踪器和移动设备子组件的附加细节的示意图；
[0013]图2b是根据本发明的一个实施例的提供有关图2中引入的数据项处理与敏感度确定和策略决策的附加细节的示意图；
[0014]图3是示出根据本发明的一个实施例的基于移动设备的请求或者在企业组件启动的推送过程中，将数据传输到移动设备时执行的过程的示意图；
[0015]图4是根据本发明的一个实施例的提供有关可能发送到移动设备的数据项的敏感度分析的附加细节的示意图；
[0016]图5是示出根据本发明的一个实施例的确定当前设备敏感度得分(S卩，移动设备上的所有数据项的敏感度聚合)的示意图；
[0017]图6是示出根据本发明的一个实施例的敏感数据管理过程的示意图，该管理过程通过删除设备中的过多敏感信息，同时另一方面确保在不违反策略的情况下将需要的敏感信息发送到设备，确保移动设备的策略合规性；
[0018]图7是示出根据本发明的一个实施例的过程的示意图，该过程尝试根据设备的当前敏感度得分的减小(例如，因为从设备删除文档)或者根据基于上下文改变的设备上当前允许的敏感信息的増加，检测将需要的敏感信息传输到移动设备的机会；
[0019]图8是示出根据本发明的一个实施例的基于用户的显式请求，将敏感信息传输到移动设备的过程的示意图；
[0020]图9是示出根据本发明的一个实施例的过程，该过程根据移动设备的未来上下文的预测，预测设备上允许的最大敏感信息量；以及
[0021]图10是示出根据本发明的一个实施例的用于执行在此提供的ー种或多种方法的示例性装置的示意图。
【具体实施方式】
[0022]在此提供了多种技术，用于根据信息本身的敏感度、企业策略、当前用户需要和预计的设备丢失概率，主动管理存储在移动设备上的敏感信息量。本技术降低与移动设备相关的数据丢失风险。
[0023]本技术改进了现有技木，因为它主动管理移动设备上的敏感信息量，以便最小化由于设备被盗或丢失而导致的数据丢失风险。管理敏感信息量意味着根据设备上下文(即，当前环境的相对丢失风险)和用户上下文(即，用户的当前敏感信息需要)，动态改变移动设备上的敏感数据项集合。在危险环境(例如，机场或火车站)中，设备上允许的敏感信息量应该最小。在安全环境中(例如，在家或在办公室)，设备上存在大量敏感信息是可接受的。设备还可以动态调整设备需要的认证等级(例如，方法或不同方法的数量)，以便如果给出当前上下文及其关联风险，则实现与移动设备相关的可用性和丢失风险的适当平衡。
[0024]为了实现这些特性，本技术修改移动服务接ロ，其允许从移动设备访问特定企业资源(通常作为同步过程实现)。例如，參见图1。图1是示出用于管理移动设备上的敏感数据的示例性方法100的示意图。图1概述了在此提供的技木。在步骤10，当启动数据项传输时(例如，当设备的用户请求数据项时)和/或当新数据项可用于移动设备时(例如，在推送电子邮件系统中)，确定数据项的敏感度。下面将提供用于确定数据项的敏感度的技木。在步骤12，如果给出当前用户及其上下文(例如，位置和/或时间)，则针对管理当前允许存储在设备上的敏感信息总量的策略，判定发送该数据项是否可以接受。即，根据ー个示例性实施例，測量由于先前数据请求以及被请求数据而导致的当前在设备上的所有数据的聚合敏感度。在任何给定时间的设备上允许的敏感信息总量或最大量通过阈值敏感度值表示。如果在给定情况下，传输不会导致移动设备的敏感度高于阈值，则在步骤14，将该数据项传输到移动设备。但是，如果在给定情况下，传输将导致移动设备的敏感度高于阈值，则在步骤16，采取措施以便确保聚合敏感度保持在当前阈值之下。下面将详细描述这些措施。但是，通常这些措施例如包括编辑数据项的部分或全部(例如，在完全编辑的情况下，将非敏感占位符(例如包含链接的HTML文档)发送到移动设备)，以便减小其敏感度得分和/或删除已存在于移动设备上的一个或多个数据项以便降低整体聚合敏感度，由此允许传输新数据项。
[0025]设备上允许的敏感信息量的阈值将受到各种因素的影响，这些因素涉及与移动设备相关的所承担的数据丢失风险。移动设备的安全特性是阈值的ー个重要元素，因为用户愿意在使用强加密机制以存储数据的设备上存储大量敏感信息，因为这将提供某种等级的防止未授权访问。强访问控制机制通常还通过选择较高阈值(例如，提供指纹认证的移动设备可以被视为比仅提供4位PIN代码的设备更安全)，増加用户允许在其设备上的敏感信息量。安全机制的已知问题也会对选择的阈值产生影响。尽管这些阈值因素是固定的，但与选择移动设备上的敏感信息阈值相关的其它因素则随着时间而改变。可能改变的阈值因素被视为移动设备的“上下文”，对上下文改变的反应是本技术的核心元素并将在下面描述。
[0026]接收到编辑后的数据时，用户例如可以在需要数据内容时显式请求系统发送敏感数据项(例如，通过单击占位符文档链接)。然后，在该实例中，当满足移动设备的允许敏感度等级时，履行用户的请求，如下所示。
[0027]首先，在步骤18，选择并删除当前在设备上的敏感数据项的最小集合，使得被请求数据项的敏感度得分总和小于或等于所选择的数据项的敏感度。这将确保给定新的用户上下文，就策略而言，移动设备中的新数据项集合是可接受的。选择可以考虑上次访问等附加特性，以便从可用性的角度进行最佳选择。
[0028]在步骤20，记录删除的数据项的列表，并确定移动设备上的剰余文档集合的敏感度。然后可以根据步骤14，将被请求数据项传输到设备。
[0029]在步骤22，当允许的敏感文档数量的阈值增加时(例如，如果用户移动到更安全的位置)，优选将在步骤18删除的部分(或全部)数据项自动恢复到移动设备，如果预计需要这些数据项的话。备选地，如果看起来更好地符合移动设备用户的需要，则可以代之以将不同的数据项集合传输到移动设备，只要总敏感度不超过阈值即可。
[0030]上面的过程适用于用户上下文改变的情况(例如，用户离开办公室并进入不太安全的位置)。如果需要，可以通过编辑或以其他方式删除某部分数据，降低给定移动设备上的数据敏感度。仅作为举例，在抵押申请中，可以编辑社会安全号码、姓名和地址以便降低文档的敏感度。
[0031]图2示出在实现本技术中涉及的组件的高级视图。移动设备201连接到移动网络连接器202，以便访问企业服务器204 (例如，邮件服务器或日历服务器)上的企业资源。可以用作企业服务器204的示例性装置在下面描述的示意图10中所示。该连接可以涉及认证、加密和本领域已知的其它技木，以便保护通信并禁止从未授权设备访问。移动网络连接器202将通信转发到企业服务器204。将数据从企业服务器204发送到移动设备201，同时通过移动服务接ロ 203，其可以修改发送到移动设备201的数据项。移动网络连接器202可以例如通过在传输中对数据项进行加密，进一歩修改发送的数据。
[0032]使用移动提供商基础架构210建立移动设备201和移动网络连接器202之间的连接。该连接可以包括多个组件，如服务提供商或移动设备201运行的移动网络天线、WiFi天线和骨干网络。
[0033]移动服务接ロ 203可以修改数据项以便从ー种数据格式转换为另ー种格式，从而例如允许针对移动设备使用特定协议以访问使用标准协议的数据源。除了这些较低级的转换之外，移动服务接ロ 203可以通过在任何时刻使用安全移动迁移管理器205管理存储在移动设备201上的敏感信息量，修改发送到移动设备201的数据项。在一个示例性实施例中，现有移动平台基础架构的插件执行该修改。在另ー个示例性实施例中，在转发数据项的附加组件(例如，用干与企业服务器204通信的数据项访问协议的代理)中执行该修改。
[0034]安全移动迁移管理器205可以通过使用非敏感占位符(例如，具有链接的HTML片段，该链接用于请求电子邮件内容或查看网络浏览器中的内容而不是复制到移动设备)替换数据项中的单独元素(例如，电子邮件中的帐号)、替换全部子部分(例如，删除附件)或替换整个数据项，而修改发送到移动设备201的数据项以便降低数据项敏感度(也称为编辑数据项)。安全移动迁移管理器205使用若干组件以执行该任务:数据项处理与敏感度确定组件206处理数据并确定其敏感度。在一个优选实施例中，数据项处理与敏感度确定组件206被配置为根据数据项结构，通过编辑内容(如果适用)降低数据项敏感度，例如通过从Word文档删除敏感段落或通过替换PDF文档中的帐号。
[0035]设备状态跟踪器208跟踪有关移动设备201的信息，该信息可以包括当前位置、设备上的当前敏感信息量、移动设备位置处的当前时间、用户历史，并可能包括与确定当前是否应允许将敏感数据项传输到移动设备201上相关的更多元素。设备状态跟踪器208将接收来自安全移动迁移管理器205 (例如，将哪些敏感信息传输到设备)和移动设备201 (例如，当前位置、附近设备和基于设备上的传感或用户输入的其它信息)两者的更新。
[0036]策略决策组件207使用数据项处理与敏感度确定206进行的敏感度决策和从设备状态跟踪器208获得的状态信息，判定当前是否可以将数据项传输到移动设备201。如果策略决策组件207确定当前不能以未修改的形式将数据项传输到移动设备201，则安全移动迁移管理器205然后使用数据项处理与敏感度确定206编辑该数据项。
[0037]安全内容呈现器209是用于以安全方式呈现数据项而无需将它们存储在移动设备201上的组件。该呈现组件还可以实现当前本领域已知的附加认证和标识方法(例如，密码、安全问题、指纹扫描或其它高级方法，如果设备支持)，并请求用户根据移动设备201的当前上下文标识他自身。在一个优选实施例中，安全内容呈现器209生成有关安全内容呈现器209在移动设备201上呈现什么数据项的日志和警报。这些日志和警报可以用于向其它系统或人员通知呈现组件的当前或过度使用。
[0038]在一个示例性实施例中，如果在移动设备201和移动服务接ロ 203之间使用的协议不支持移动服务接ロ 203启动刷新数据项，则安全移动迁移管理器205修改数据项以便指示移动设备201定期刷新数据项。在一个示例性实施例中，传输的数据项是HTML页，安全移动迁移管理器205添加的修改是HTML标记，该标记导致移动设备201上的浏览器在预设超时之后重新加载该HTML页。当移动设备201在重设超时之后刷新数据时，这允许安全移动迁移管理器205修改数据(如有必要)。
[0039]图2a是示出移动设备201组件和设备状态跟踪器208的子组件的示意图。图2a中的虚线指示组件之间的数据交换，实际数据传输通过实线指示的组件连接实现。虚线仅用于强调移动设备201和设备状态跟踪器208上的组件之间的协作。
[0040]移动设备201具有三个支持设备状态跟踪器208的组件或插件。第一组件是“上下文收集应用/插件” 231，其获得有关移动设备201的当前上下文的信息。收集的信息包括感觉信息，例如地理位置、加速度、本地时间、环境光等级、通信范围内的移动设备(例如，WiFi或蓝牙)；连接信息或网络连接状态，连接信息例如包括当前连接的设备(例如通过WiFi或蓝牙无线连接的设备；或者当前例如通过USB端ロ连接的有线设备)；以及有关与设备相关的最近事件的信息，可以从设备接ロ查询或从移动设备201上提供的日志条目收集这些事件。如在下面详细描述的，可以通过上下文跟踪器确定最近连接的设备，上下文跟踪器将使用该应用报告的当前和先前的上下文，因为上下文跟踪器存储历史。事件的实例包括:有关建立或提供的网络连接的日志条目、程序崩溃或本领域已知的其它相关信息(通常在系统日志文件中找到)。其它事件实例包括失败登录尝试的列表(如果移动设备201提供)、最近成功登录的列表(如果移动设备201提供)、当前在移动设备201上运行的应用的列表，以及已知与判定是否可以传输敏感信息或应从设备删除敏感信息相关的其它信息的日志条目。
[0041]传输到上下文跟踪器235的事件信息可以用作设备特定的策略256 (參见图2b，在下面描述)的输入，作为风险估计的额外证据。在被视为不安全的地理位置(例如，公共餐厅)中设备未移动的很长一段时间之后的多次失败登录尝试可以用作丢失设备的指示(未授权用户正在尝试获得该丢失设备的访问权限)。如果检测到一个或多个此类指示，则设备特定的策略256可以报告减小的设备敏感度阈值，以便确保给定潜在丢失情況，则移动设备201上的敏感信息最少。设备特定的策略256可以根据基于事件信息或感觉信息找到的此类指示的数量，调整阈值减小量。
[0042]其它信息(如当前正在运行的应用)还可以用于根据可能存在的风险(就设备丢失而言)来调整阈值。如果网络浏览器当前正在运行，则可能存在浏览器显示当前未复制到移动设备201的敏感信息的风险。上下文跟踪器235为设备特定的策略256提供该信息，以便使能根据在移动设备201上可见但未由设备敏感度跟踪器236跟踪(因为未由安全数据迁移管理器205传输)的敏感信息来减小阈值。在一个优选实施例中，用户操作收集应用/插件232 (在下面描述)向设备敏感度跟踪器236通知移动设备201通过应用下载的敏感信息。如果应用不再运行，则可以指示不再在移动设备201上提供敏感信息，例如，如果下载敏感信息的网络浏览器被关闭。
[0043]取决于设备能力，上下文收集应用/插件231还生成指示风险情况(如向下突然加速然后突然停止，其可能指示掉落设备)的警报，从而指示发生设备丢失的某种可能性。与其它设备的通信的意外丢失(例如，同一拥有者拥有的另ー个移动设备正在离开)也可用作丢失警报，该警报可以用于调整当前设备丢失风险估计，并据此调整移动设备201上的最大敏感信息量。
[0044]用户操作收集应用/插件232跟踪设备上的用户操作，以便获得用户的当前工作上下文。该组件将相关用户操作(如读取特定电子邮件)报告给用户历史跟踪器234，以便支持例如根据将多个数据项链接在一起的信息(如用于电子邮件回复的线程信息)，预测在不久将来需要的数据项。在一个示例性实施例中，使用移动设备201提供的现有服务收集该信息。在另ー个示例性实施例中，用户操作收集应用/插件232修改移动设备201上的已安装软件以便获得必需的信息。在另ー个示例性实施例中，用户操作收集应用/插件232监视输入设备和网络通信以便确定当前用户操作。
[0045]在一个优选实施例中，上下文收集应用/插件231将收集的信息转换为标签，并将这些标签发送到上下文跟踪器235。这些标签对有关上下文的相关信息进行编码(例如，位置“公共餐厅”代替特定地点或地理位置，“附近未知的支持蓝牙的移动电话”代替特定蓝牙ID)，但增加移动设备201的用户的隐私性。在另ー个示例性实施例中，将原始上下文信息发送到上下文跟踪器235。在另ー个示例性实施例中，上下文收集应用/插件231默认将上述标签发送到上下文跟踪器235，但启用上下文跟踪器235以便请求原始信息(如果需要该信息以获得更准确的丢失风险估计)。
[0046]设备敏感度跟踪器236通过根据安全移动迁移管理器205采取的操作或者根据用户采取的操作，跟踪传输哪些数据项并从设备删除哪些数据项，来维护当前存储在移动设备201上的数据项的清単。设备敏感度跟踪器236还跟踪在将数据项传输到移动设备201之前，针对数据项采取什么编辑操作。在一个优选实施例中，用户操作收集应用/插件232将向设备敏感度跟踪器236通知影响移动设备201上的敏感信息量的操作，如将未由移动服务接ロ 203监视的数据项手动传输到移动设备201、在移动设备201上本地删除数据项，以及终止在移动设备201上运行的导致数据项不再可访问的应用(例如，关闭显示敏感数据项的浏览器窗ロ)。该信息允许设备敏感度跟踪器236报告当前在移动设备201上的数据项的更准确列表。
[0047]在一个优选实施例中，设备敏感度跟踪器236监视当前在移动设备201上的数据项的维护列表，生成有关敏感度等级改变的警报，并使用这些警报生成日志文件，或者向企业中负责数据安全性的其它系统或人员警告移动设备201上的当前或过度的数据敏感度等级。
[0048]上下文跟踪器235收集有关移动设备201的当前上下文的信息，例如，地理位置、当前时间(在位置所在的时区中)、附近设备(例如，通过使用蓝牙和无线接ロ)和其它可用的传感器信息(例如，光传感器、运动传感器)。这些上下文线索将用于选择正确的策略以供策略决策点254 (參见图2b，在下面描述)使用。上下文跟踪器235可以由移动设备201上的上下文收集应用/插件231支持，上下文收集应用/插件231向上下文跟踪器235报告感觉信息。还可以使用移动设备201制造商提供的服务或者从移动提供商基础架构210提供的信息，收集与移动设备201的当前上下文相关的信息。上下文跟踪器235将提供上下文的当前组件(例如，上一个已知地理位置或当前连接的设备)以及最近活跃的组件值(例如，前一天的已知地理位置、上一小时内连接的设备，或者自移动设备201的地理位置改变超过100英尺以来的失败登录尝试数)。
[0049]在一个示例性实施例中，上下文跟踪器235将从移动提供商基础架构210查询与移动设备201相关的其它信息。该信息可以包括有关使用的蜂窝电话塔的数据，以及根据蜂窝塔三角測量的移动设备201的地理位置估计。上下文跟踪器235将使用该信息检验上下文收集应用/插件231传输的信息，以便检测所操纵的数据(例如，如果攻击者导致上下文收集应用/插件231发送错误信息)或补充缺失的数据(例如，如果由于接收问题而导致当前未在移动设备201上提供地理位置)。
[0050]在一个优选实施例中，上下文跟踪器235生成有关移动设备201的当前上下文的日志和警报。这些日志和警报可以用于向其它系统或人员通知移动设备201的当前或异常的上下文(例如，在很近的位置中存在意外设备、设备的位置处于异常位置等)。
[0051]用户历史跟踪器234保存一段时间内的用户信息历史，并创建有关未来用户行为的预测模型，其用于预计对移动设备201上的数据项的需要。预测模型对于本领域的技术人员来说是已知的，因此在此不进一歩描述。用户历史跟踪器234将从安全移动迁移管理器205 (例如，根据用户显式请求的文档)、从用户操作收集应用/插件232，或者通过使用移动设备201制造商或移动设备201的移动提供商基础架构210提供的其它服务来收集历史信息。用户历史跟踪器用于预测对移动设备201上的特定数据项的需要的信息包括:用户上次访问数据项的时间、用户过去访问数据项的次数、其中用户经常访问数据项或相似数据项的上下文(例如，用户在早晨的第一件事通常是读取状态报告，用户通常在回家的火车上读取人员报告)，以及本领域已知的通常用于针对数据项的使用或需要进行用户建模的其它信息。用户历史跟踪器234还将使用有关相关数据项的信息(例如，所述数据项是其响应的前ー个数据项)，以便预测对所述数据项的需要。
[0052]用户历史跟踪器234使用所述预测判定移动设备201上是否立即需要所述数据项。如果预测指示用户可能在预定时间段内访问数据项，则立即需要该数据项。在ー个优选实施例中，安全移动迁移管理器205按照有规律的间隔(不长于用户历史跟踪器234确定立即需要所使用的预定时间)调整移动设备201上的敏感信息，以便在用户可能需要访问数据项之前，主动将立即需要的数据项传输到移动设备201。
[0053]可以使用本领域已知的技术对用户对文档的预计兴趣进行建摸，对文档的需要进行建模在这点上有所变化，因为需要可以被解释为对文档的兴趣。用于根据观察到的行为对兴趣进行建模的系统的一个实例在H.Lieberman的“Letizia:An agent thatassists web browsing (Letizia:有助于网络浏览的代理)”(出自:Mellish, C.S.编辑的 Proceedings of the Fourteenth International Joint Conference on Artificia丄Intelligence,加利福尼亚州圣马特奥:Morgan Kaufmann,第924-929页(1995年)，(以下为“Lieberman”)，其内容在此引入作为參考)中提供，从观察到的行为推断用户兴趣的另一个实例在 M.Claypool 等人的“Inferring User Interest (推断用户兴趣)” (InternetComputing, IEEE，第 5 卷第 6 期，第 32-39 页(2001 年 11/12 月)，(以下为 “Claypool”)，其内容在此引入作为參考)中给出。
[0054]可以以本领域已知的各种方式定义该上下文中的相似性。在一个示例性实施例中，通过在特征向量空间中测量两个数据项之间的距离，确定两个数据项的相似性。通过使用来自数据项的结构化信息(例如，电子邮件中的发送者和接收者)、数据敏感度估计器252(在下面描述)报告的数据标签，以及企业上下文接ロ 253报告的其它信息来创建特征。如本领域已知的，距离函数可以根据预定权重对用于距离测量的特征进行加权。本领域还已知的是，可以通过从ー组数据项(其中数据项的彼此相似性已知)获知最佳权重的过程，自动确定权重。
[0055]访问请求跟踪器233监视移动设备201的用户访问哪些数据项。访问请求跟踪器233还将接收对文档的显式请求，例如，如果用户激活占位符，该占位符在数据项发送到设备之前替换敏感数据子项。在这种情况下，访问请求跟踪器233将向安全移动迁移管理器205报告该显式数据请求。备选地，访问请求跟踪器233可以用于使用安全内容呈现器209在移动设备201上显示数据项。访问请求跟踪器233还保存显式数据请求的日志，并确定异常用户行为。如本领域已知的，可以以各种方式(例如，通过检查异常高的访问请求频率或通过在异常时间接收访问请求)确定异常行为。
[0056]访问请求跟踪器233还提供以下能力:以可在移动设备201上显示的格式，在移动设备201上列出所有编辑后的数据项。该列表还包含可以激活的元素(例如，HTML链接)，以便指示对该数据项的未编辑版本的需要。访问请求跟踪器233查询设备敏感度跟踪器236，以便创建移动设备201上的编辑后的数据项的列表。
[0057]在一个示例性实施例中，访问请求跟踪器233生成有关移动设备201的用户请求什么数据项的日志和警报。这些日志和警报可以用于向其它系统或人员通知对源自移动设备201的当前编辑数据项的未编辑版本的当前或过度的请求。例如，如果存在指示请求过多敏感数据的大量请求(删除其它数据以保持敏感度得分在阈值之下)，则这些日志和警报可以用作设备丢失并且未授权用户尝试从企业服务器获得信息的指示。作为预防措施，夕卜部系统可以尝试立即将该设备用户锁定在外。或者可以通知管理人员，其可以根据警报调用或手动锁定帐号。生成日志和警报的另ー个原因与审计相关。比如说设备被盗。使用日志，可以确定设备被盗时哪些信息在设备上，并在丢失之后下载什么内容(如果有)。
[0058]安全内容显示237实现ー种安全方式以在移动设备201上显示数据项，从而确保设备的丢失不会暴露包含在数据项中的任何信息。这包括确保在数据项不再显示之后，不会在移动设备201上留下数据项踪迹。只要用户不再使用设备，安全内容显示237还从移动设备201的显示中删除数据项(例如，只要设备的屏幕保护程序激活，或者只要经过预定时间量而没有任何可测量的用户活动，它便从存储器删除数据项)。安全内容显示237还可以通过从移动设备201的用户处请求输入，或者通过使用移动设备201提供的附加认证机制(例如，生物測量认证机制，如指纹扫描)，实现附加认证方法。可以在将敏感数据项传输到安全内容显示237之前，由安全内容呈现器209触发这些认证机制，或者在安全移动迁移管理器205已确定需要附加认证以便将新敏感数据项发送到移动设备201之后，由访问请求跟踪器233触发这些认证机制。因此，即使敏感度得分没有超过阈值，也可能需要(或可能不需要)附加认证。例如，系统确保将不会超过阈值。但是，还应该避免后续对所有数据项的未授权请求(即，这在任何时间点都不会超过阈值，但随着时间的流逝仍会泄露所有数据项)。对于任何给定时间点，除了敏感度得分之外，这基本上可以加上“预定时间段内在设备上的所有项的敏感度得分”。在一个优选实施例中，安全内容显示237还监视移动设备201上的数据，以便获得其它显示过程(例如，移动设备201上的浏览器高速缓存)留下的敏感信息的踪迹，并从移动设备201删除这些踪迹。
[0059]图2b更详细地描述了数据项处理与敏感度确定组件206和策略决策组件207。内容处理器251分析数据项，并且内容处理器251可以将数据项分成多个不同的数据子项(例如，电子邮件正文、多个电子邮件附件)。内容处理器251还可以用于使用链接到数据子项的占位符替换数据子项，或者通过使用可以降低数据子项的整体敏感度的替代内容替换指定内容来编辑数据子项。
[0060]数据敏感度估计器252通过分析数据子项的内容，为每个数据子项指定敏感度得分。一个示例性实施例实现ー种过程，如Park等人提交的标题为“Estimating theSensitivity of Enterprise Data (估计企业数据的敏感度)”的第12/910，587号美国申请(代理人案号Y0R920100543US1 (以下称为“Park”)，其内容在此引入作为參考)中所述。数据敏感度估计器252的另ー个示例性实施例可以使用附加信息(如电子邮件的发送者或接收者，或者文档的作者)，通过将元信息与先前已知的元信息和相关敏感度得分相比较而估计内容的敏感度。第三示例性实施例使用各种分类技术以便确定数据项内容的标签集合，并将标签映射到这些标签的预定敏感度得分。另ー个实施例使用多个可能的实施例并组合它们的结果，从而导致实现数据敏感度估计器252，其组合了本领域已知的多种技术的优势。
[0061]企业上下文接ロ 253检索企业中提供的附加信息，它们与数据项或ー个或多个数据子项相关，用于确定是否可以将数据子项传输到移动设备。所述附加信息可以是可供文档特定的策略255或设备特定的策略256使用的任何事物。在一个示例性实施例中，这包括数据子项的作者、发送者和接收者的组织角色、数据项的创建和修改时间、有关存储在另ー个信息服务(例如，Web服务或内容库)中的与数据项相关的内容和敏感度的数据标签、数据项与ー组已知的高度敏感数据项的相似性、存储在另ー个信息服务(例如，Web服务或内容库)中的数据项的公布或发布日期、被允许访问数据项的人员或群体的列表、与移动设备201相关的标签、移动设备201的拥有者、移动设备201的用户、移动设备201的设备能力(尤其是安全能力)，以及有关移动设备201的当前启用的策略和简档的信息。检索的信息将被传输到策略决策点254并由其处理。
[0062]策略决策点254根据数据敏感度估计器252提供的敏感度估计、企业上下文接ロ253提供的信息，以及当前存储在设备上的由设备敏感度跟踪器236 (參见图2a)跟踪的敏感信息量，确定是否可以将数据项传输到移动设备201。根据原始数据项或者根据修改的数据项(例如，通过使用指示数据子项删除的占位符替换数据子项)来做出决策。
[0063]图3示出源自移动设备201的数据请求的处理。在步骤301，可以通过用户操作、自动计时器，或者通过来自从移动服务接ロ 203到移动设备201的推送通道的信号，启动来自移动设备201的该请求。该过程判定数据项是否需要被部分或全部编辑，并将数据项的原始或编辑后的版本发送到移动设备201。
[0064]在步骤302，移动服务接ロ 203从企业服务器204 (例如，邮件服务器)请求数据项。在步骤303，将从企业服务器204返回的数据项转发到安全移动迁移管理器205。在步骤304，安全移动迁移管理器205确定数据项敏感度得分(使用数据项处理与敏感度确定组件206)。在一个示例性实施例中，将数据项分成单独子项(例如，附件和电子邮件正文)。分析数据项(或子项)之后，在步骤305，安全移动迁移管理器205通过使用策略决策组件207，根据各种策略判定数据项是否敏感。步骤304的细节在下面描述的图4中提供。
[0065]如果在步骤305判定数据项敏感，则安全移动迁移管理器205将使用访问请求跟踪器233判定当前是否将数据项标记为“低优先级”(步骤315)。如果将敏感数据项标记为“低优先级”，则处理将在步骤314继续，其中将编辑敏感数据项，随后将该编辑后的版本发送到移动设备201 (而不是被请求的敏感数据项)。以下对步骤314的描述将提供编辑的细节。
[0066]如果在步骤315访问请求跟踪器233判定未将数据项标记为“低优先级”，则在步骤309，安全移动迁移管理器205将确定当前在移动设备201上的所有数据项的当前敏感度得分以及移动设备201的当前最大敏感度得分。安全移动迁移管理器205还将确定自上次成功授权以来发送到移动设备201的所有数据的总敏感度，即使该敏感数据当前可能并未全部存储在移动设备201上。步骤309的细节在下面描述的图5中给出。在步骤317，安全移动迁移管理器205将在步骤304确定的当前数据项的敏感度得分与移动设备201的当前敏感度得分相加。对照策略检查在步骤317确定的当前敏感度得分和在步骤309确定的最近敏感度得分，以便判定是否超过设备的敏感度阈值(步骤310)。如果在步骤310超过设备敏感度阈值，则在步骤318，安全移动迁移管理器205通过查询策略决策组件207，检查对附加认证的需要。如果需要附加认证，则安全移动迁移管理器205将向安全内容显示237通知需要附加认证。接下来在步骤311，安全移动迁移管理器205触发单独的并且可能并行执行的数据管理过程。该数据管理过程的细节在下面描述的图6中给出。在接下来的步骤312，安全移动迁移管理器205判定是否可以编辑数据项。可以以多种方式之ー执行数据项的编辑。仅作为举例，可以将数据项中的単独元素(例如，单词、帐号和其它小型结构元素)替换为指示替换的元素(例如，将XXXXXXXX123用于帐号)，或者替换为句法上和语义上等效但非敏感的元素(例如，特殊“示例”社会安全号码代替实际号码)。根据上述实施例，针对数据项或ー个或多个数据子项执行该操作。可以根据本领域已知的单词列表或规则，将要替换的单词或帐号标识为“敏感”(例如，在模式识别领域中)。结构元素(例如，段落、表或相似元素)还可以替换为指示删除结构元素的占位符。例如，该占位符可以是这样的元素:用户可以单击它以便指示他需要数据项的未编辑版本。在另ー个实例中，替换是指示替换结构元素的文本。根据上述实施例，针对数据项或ー个或多个数据子项执行该操作。可以根据本领域已知的规则或其它分类方法，将要替换的结构元素标识为敏感。实现文档编辑的系统的一个实例可以在 E.Bier 等人的“The Rules of Redaction:1dentify, Protect,Review(and Repeat)(编辑规则:标识、保护、检查(和重复))” (Security&Privacy, IEEE,第7卷第6期，第46-53页(2009年11-12月)，其内容在此引入作为參考)中找到。
[0067]还可以将ー个或多个数据子项替换为指示删除数据子项的占位符。例如，该占位符可以是这样的元素:用户可以单击它以便指示他需要数据子项的未编辑版本。在另ー个实例中，替换占位符是指示替换子项的文本。有关替换哪些数据子项的决策基于在步骤304针对数据子项确定的敏感度得分。
[0068]如果可以进行这些编辑之一，则在步骤313，安全移动迁移管理器205编辑数据并将其发送回步骤304，其中使用编辑后的数据启动下一次迭代，以便判定是否可以将编辑后的数据项传输到移动设备201而不超过最大设备敏感度。此迭代使系统能够递增地编辑内容，直到敏感度足够低以便将内容传输到移动设备201。在步骤312应用的决策过程还跟踪已经针对数据项尝试的所有编辑，以便确保迭代过程終止，因为仅可以尝试有限数量的编辑。如本领域已知的，可以通过试探法优化该过程，试探法建议首先尝试的最可能的编辑以便减小数据项的敏感度得分。
[0069]如果在步骤312安全移动迁移管理器确定数据项不能以有效降低敏感度的方式编辑(例如，因为数据项的格式不可编辑，或者因为删除単独元素没有足够降低敏感度)，则在步骤314，使用占位符替换整个数据项(不包括保持数据项的正确句法格式所必需的信息)(例如，电子邮件的正文和主題)。根据ー个示例性实施例，该占位符是这样的元素:用户可以单击它以便指示他需要数据子项的未编辑版本。在另ー个实施例中，替换是指示替换数据项的文本。
[0070]在步骤306，安全移动迁移管理器205将数据项添加到存储在设备敏感度跟踪器236中的移动设备201的簿记记录，从而调整移动设备201的当前数据敏感度得分。然后将数据项或其编辑后的版本(如果适用)发送回移动服务接ロ 203 (步骤307)。移动服务接ロ203将数据项传输到移动设备201 (步骤308)。如果在整体过程中没有编辑数据项(即，没有通过步骤313或314)，则在步骤316，安全移动迁移管理器205将在访问请求跟踪器233中删除该数据项的“高优先级”标签(如果存在)(另请參见下面描述的图7)。
[0071]如果在步骤310判定添加当前数据项(可能在上一次迭代中编辑)并没有超过设备的整体敏感度阈值，则处理将在上述步骤306继续，从而导致将上述数据项发送到移动设备201。根据上述数据项调整移动设备201的敏感度得分。
[0072]如果在步骤305根据策略判定当前数据项(可能在上一次迭代中编辑)不敏感，则安全移动迁移管理器205将在上述步骤306继续处理，从而导致将上述数据项发送到移动设备201。
[0073]该过程还将监视从企业服务器204删除数据项，因为这将随后导致从移动设备201删除数据项，从而可能减小移动设备201的当前敏感度得分。当移动服务接ロ 203将数据项删除复制到移动设备201 (即，从移动设备201有效删除数据项)时，执行步骤306以便调整移动设备201的当前敏感度得分。
[0074]图4示出步骤304的细节。该过程通过根据数据项结构将数据项分成较小子项(如果可能)(例如，将电子邮件分成正文和附件)，确定数据项的敏感度，通过各种方式估计数据子项的敏感度，并最终聚合各种估计以便产生数据项的总体敏感度估计。
[0075]在步骤401，安全移动迁移管理器205使用内容处理器215将数据项分成数据子项(如果可能)。如果不能拆分数据项，则内容处理器251将返回完整的数据项作为唯一可能的子项。在步骤402，安全移动迁移管理器205遍历返回的子项，从而将它们发送到子项处理。如果在步骤403剰余要处理的子项，则在步骤404，将该子项发送到数据敏感度估计器252。数据敏感度估计器252返回子项的标签(例如，内容类型，如源代码、エ资単、...)，此夕卜，还例如通过使用Park中描述的过程来确定敏感度得分。在步骤405，安全移动迁移管理器205查询企业上下文接ロ 253，以便获得子项的附加标签。这些标签可以用于对企业中提供的有关文档的任何附加信息(例如，作者或移动设备用户的组织角色)进行编码。安全移动迁移管理器205将返回的标签添加到子项的整体标签集合。如本领域已知的，在步骤404或405的任意ー个中，安全移动迁移管理器205可以将标签从ー个标签集合传输到另ー个标签集合。在步骤406，安全移动迁移管理器205查询上下文跟踪器235，以便获得与移动设备201的当前上下文相关的信息(例如，位置或附近设备、当前地理位置、上次授权时间、过多的失败授权、...)。然后在步骤407，将上下文信息、标签和敏感度得分聚合成单个数据结构。在该步骤可以执行附加转换，以便将在步骤404至406收集的信息准备成适合于策略决策点254的格式。在步骤408，将聚合后的信息发送到策略决策点254。在步骤409，策略决策点254查阅文档特定的策略255以便确定数据子项的敏感度状态，并将所确定的状态返回到安全移动迁移管理器205。策略决策点254还将根据查阅的策略返回敏感度得分。在步骤410，安全移动迁移管理器205临时存储状态，并在步骤402，使用下一个数据子项重复该过程。如果在步骤403确定已处理所有数据子项，则在步骤411，安全移动迁移管理器205将聚合每个子项的决策，并确定数据项敏感度。将决策的结果用于(图3的)步骤
305。策略决策点254可以使用上下文信息返回“无穷大”敏感度得分，以便有效禁止将文档传输到移动设备。
[0076]图5示出由安全移动迁移管理器205执行的设备敏感度得分确定(图3的步骤309)的细节。该过程根据当前存储在移动设备201上的所有数据项及其编辑状态，确定移动设备201的当前敏感度得分。
[0077]首先在步骤501，安全移动迁移管理器205从上下文跟踪器235确定移动设备201的当前上下文。接下来在步骤502，通过查询设备敏感度跟踪器236，计算当前存储在移动设备201上的数据项列表。在步骤503开始，迭代处理所有数据项的信息。在步骤504，安全移动迁移管理器205判定是否还有要处理的数据项。如果存在更多的项要被处理，则在步骤505开始分析下一个项。在该步骤505，在将该数据项(或其编辑后的版本)传输到移动设备201之前，策略决策点254重新计算当前存在于移动设备201上的数据项的当前敏感度得分，类似于在(图3的)步骤304执行的处理。因为自执行到移动设备201的传输以来，设备上下文可能改变，所以该结果可能不同于基于先前设备上下文的先前决策。在步骤506，将确定的数据项敏感度得分与移动设备201的当前敏感度得分相加。在步骤508，安全移动迁移管理器205通过查询设备敏感度跟踪器236，判定是否在上次成功认证和上次将数据项(或其编辑后的版本)传输到移动设备201的时间之间，将数据项的不同版本传输到移动设备201 (步骤508)。如果在提及的时间段内未将其它版本存储在移动设备201上，则在步骤503，使用下一个数据项继续处理。
[0078]如果安全移动迁移管理器205在步骤508判定在提及的时间段内具有存储在移动设备201上的不同版本，则在将该数据项(或其编辑后的版本)传输到移动设备201之前，确定过去发送到移动设备201的数据项(或其编辑后的版本)的敏感度得分，类似于在(图3的)步骤304执行的处理(步骤509)。因为自执行到移动设备201的传输以来，设备上下文可能改变，所以该结果可能不同于基于先前设备上下文的先前决策。在步骤510，将确定的数据项敏感度得分与移动设备201的最近敏感度得分相加。
[0079]如果安全移动迁移管理器205在步骤504判定不再有要处理的数据项，则在步骤507，如果给定当前上下文，它将使用策略决策点254，借助设备特定的策略256，计算移动设备201的最大敏感度得分。这是在步骤310与计算的总敏感度得分相比较的阈值。
[0080]图6描述由安全移动迁移管理器205执行的敏感数据管理过程。敏感数据管理过程将确保移动设备201上的敏感信息量不会超过当前有效的最大敏感度得分，而同时尝试确保传输移动设备201上需要的文档，从而可能替换当前在移动设备201上的被视为当前未由用户需要的敏感数据项。该过程可以通过各种其它过程触发，并且它还可以由安全移动迁移管理器205定期运行，以便在最大敏感度得分根据上下文改变而改变的情况下确保合规性(例如，当移动设备201移动到不太安全的新位置吋)。
[0081]安全移动迁移管理器205在步骤601开始该过程，从上下文跟踪器235获得移动设备201的当前上下文信息。在步骤602，安全移动迁移管理器205通过查询策略决策点254(其又查询设备特定的策略256以便确定当前上下文的最大敏感度得分)，使用该上下文信息确定新的最大敏感度得分。在步骤603，安全移动迁移管理器205从设备敏感度跟踪器236请求敏感数据项的列表，以便重新检查是否应该并且是否可以将每个数据项以其当前编辑状态(例如，未编辑、部分编辑或完全编辑)存储在移动设备201上。在步骤604通过迭代处理所有数据项来启动该重新检查。如果安全移动迁移管理器205在步骤605判定具有未处理的数据项，则安全移动迁移管理器205将在步骤606使用策略决策点254重新计算当前处理的数据项的当前敏感度得分，类似于在步骤304的处理。因为与过去针对当前数据项执行的上次敏感度确定相比，设备上下文可能改变，所以该结果可能不同于先前决策。在步骤607，安全移动迁移管理器205使用用户历史跟踪器234确定当前处理的数据项的优先级。该优先级确定使用试探法，如优选较新数据项而不是较旧数据项，优选未读数据项而不是已读数据项，并且优选与最近查看的项相关的数据项(例如，对最近读取的电子邮件的响应)而不是其它数据项。给定ー组约束，本领域已知存在各种其它方法来从可以用于该优先级决策的较大数据项集合中确定最佳数据项集合。如前所述，用户需要是选择中的ー个重要因素，从用户操作推断用户需要的实例在Lieberman和Claypool中给出。可以从已知的高速缓存算法领域改編用于选择正确文档集合的其它方法。[0082]在接下来的步骤(608)，安全移动迁移管理器205检验是否在访问请求跟踪器233中将数据项标记为“高优先级”。如果用户在数据项当前以(部分)编辑版本在移动设备201上时显式请求数据项的未编辑版本，则设置该标记。将敏感度得分、基于用户需要试探法的优先级和“高优先级”标记(如果存在)聚合成最終优先级得分(步骤609)，其中标记为“高优先级”的数据项的排序最高，历史上具有低优先级得分的非常敏感的数据项的排序最低。
[0083]在步骤610，将数据项和最終优先级添加到数据项的临时列表，该列表按递减的最终优先级排序。安全移动迁移管理器205然后在步骤604继续处理下ー个数据项。如果安全移动迁移管理器205在步骤605判定已处理所有数据项，则系统将在步骤611继续，在访问请求跟踪器233中重设数据项的所有“低优先级”。
[0084]接下来在步骤612，从按优先级排序的列表删除在步骤610创建的列表中的顶部数据项。以如下方式选择这些顶部项:删除的项具有小于当前最大敏感度得分的聚合敏感度得分。然后在步骤613，在访问请求跟踪器233中将列表中的剰余数据项标记为“低优先级”，之后在步骤614，指示移动服务接ロ 203重新传输新近标记为“低优先级”的所有数据项。移动服务接ロ 203将使用特定于移动服务接ロ 203和移动设备201之间的协议的方法启动重新传输。当重新传输数据项吋，图3中描述的过程将从移动设备201有效删除“低优先级”数据项，从而使用占位符替换它们。重新传输“低优先级”数据项之后，安全移动迁移管理器205指示移动服务接ロ 203重新传输当前未在设备上但现在未标记为“低优先级”的数据项(步骤615)。这将这些数据项有效传输到设备，因为当前在移动设备201上的所有敏感数据项加上要重新传输的这些数据项的总得分应该低于当前最大得分。
[0085]在一个示例性实施例中，安全移动迁移管理器205使用电子邮件、文本消息或移动设备201上提供的适合于警告用户的其它通信方法警告移动设备201的用户，以便手动启动刷新或者从移动设备201手动删除现在标记为“低优先级”的数据项。这将允许管理移动设备201上的敏感数据项，即使在移动设备201和移动服务接ロ 203之间使用的通信协议不允许移动服务接ロ 203启动重新传输标记为“低优先级”的数据项的编辑版本以便替换当前存储在移动设备201上的更敏感版本。
[0086]图7描述安全移动迁移管理器205如何使用移动设备201的当前有效最大敏感度得分和当前存储在移动设备201上的所有数据项的当前聚合敏感度得分之间的正増量，将先前编辑或替换后的数据项重新传输到移动设备201。这确保策略允许传输之后，立即将移动设备201的用户需要的数据项传输到移动设备201。
[0087]在各种时间点(例如，在传输数据项之后、从移动设备201删除数据项、在上下文跟踪器235接收上下文更新之后、在向设备敏感度跟踪器236通知移动设备201上的数据项的本地删除之后，或者定期按照预定间隔)，安全移动迁移管理器205尝试将在访问请求跟踪器233中标记为“高优先级”的数据项发送到移动设备201。根据用户反馈将数据项标记为“高优先级”。
[0088]安全移动迁移管理器205在步骤701开始该过程，从上下文跟踪器235获得移动设备201的当前上下文信息。在步骤702，安全移动迁移管理器205通过查询策略决策点254(其又查询设备特定的策略256以便确定移动设备201的最大敏感度得分)，使用该上下文信息确定新的最大敏感度得分。在步骤703，安全移动迁移管理器205从设备敏感度跟踪器236请求当前存储在移动设备201上的数据项的列表，以便确定当前是否可以将标记为“高优先级”的任何数据项传输到移动设备201而不超过移动设备201的最大敏感度得分。
[0089]在步骤704，安全移动迁移管理器205通过从在步骤703生成的列表选择下ー个未处理的数据项，启动迭代处理所有数据项，并将该数据项标记为已处理。如果安全移动迁移管理器205在步骤705判定具有未处理的数据项，则安全移动迁移管理器205首先通过从设备敏感度跟踪器236查询编辑状态，检查当前是否编辑数据项(步骤706)。如果未编辑数据项当前存储在移动设备201上，则在步骤704处理下ー个数据项。
[0090]如果已编辑数据项，则访问请求跟踪器233在步骤707判定是否在访问请求跟踪器233中将数据项标记为“高优先级”。如果当前未将数据项标记为“高优先级”，则在步骤704处理下ー个数据项。
[0091]在将文档标记为“高优先级”的情况下，安全移动迁移管理器205将在步骤708使用策略决策点254重新计算文档的当前敏感度得分，类似于在步骤304的处理。在步骤709，安全移动迁移管理器205判定将数据项添加到移动设备201是否超过移动设备201的当前有效最大敏感度得分，类似于在步骤317的处理。如果以未编辑形式将数据项传输到移动设备201将超过最大敏感度得分，则在步骤704处理下ー个数据项。如果可以以未编辑形式将数据项传输到移动设备201而不超过移动设备201的当前有效最大敏感度得分，则在步骤710，安全移动迁移管理器205指示移动服务接ロ 203重新传输数据项。这导致以图3中描述的过程将数据项传输到移动设备201，因为在步骤310进行的决策是:可以传输数据项而不违反最大敏感度得分。如果在步骤705判定不再有存储在移动设备201上的未处理数据项，则处理在步骤711继续，将所有数据项标记为“未处理”。
[0092]图8示出用于发出查看敏感数据项的显式请求信号的机制。这在以下情况下允许用户的显式反馈:图6中所示的过程不会在没有编辑的情况下，自动将用户需要的所有数据项作为对移动设备201的未编辑版本而发送到移动设备201。
[0093]在步骤801，用户指示需要移动设备201上的未编辑数据项。例如，可以在移动设备201上显示编辑后的数据项的占位符，作为用户可以单击或以其他方式激活的元素(例如，基于HTML的占位符中的链接或按钮)。在另ー个实例中，用户使用移动设备201上的应用，选择要传输到移动设备201的未编辑数据项。在另ー个实例中，用户使用访问请求跟踪器233上的服务(例如，产生HTML页的小服务程序，该页在移动设备201上显示，列出所有编辑后的数据项，且具有单击以请求未编辑版本的链接)。备选地，可以通过在移动设备201上运行的模块创建对数据项的未编辑版本的请求，该模块收集有关用户操作的信息并预测在不久的将来对数据项的需要。
[0094]在步骤802，在移动设备201上将对数据项的未编辑版本的请求转换为指向访问请求跟踪器233的请求。对数据项的未编辑版本的请求在访问请求跟踪器233中触发响应(步骤803)，在一个优选实施例中，该响应通过响应在移动设备201上生成的HTTP请求的网络服务器实现，作为激活编辑后的数据项的占位符的响应。在其它实施例中，这可以通过本领域已知的其它方式实现，以便实现对来自移动设备201的服务的请求。
[0095]在步骤811，访问请求跟踪器233询问安全移动迁移管理器205是否需要附加认证以便执行对数据项的该请求。安全移动迁移管理器205根据设备敏感度跟踪器236和用户历史跟踪器234的记录，确定最近传输到移动设备201的敏感信息的当前上下文和历史，并将其传输到策略决策组件207。策略决策组件207将根据安全移动迁移管理器205传入的信息，使用设备特定的策略256判定是否需要附加授权。这将通过激活编辑后的数据项的多个占位符，防止已获得移动设备201控制权的攻击者迅速查看移动设备201上的大量敏感信息。这将进一步保证在任何时间点，移动设备201上都具有最大敏感信息量，以便保证自上次成功认证以来的某一时间段内具有可从设备访问的最大敏感信息量。
[0096]如果访问请求跟踪器233在步骤811确定需要附加认证，则在步骤813，它将执行附加认证。在一个实施例中，认证将实现为一系列HTML表単，它们使用移动设备201上提供的默认机制显示。在另ー个实施例中，认证在安全内容显示237中实现，安全内容显示237可以实现不能以HTML实现的更复杂的认证方法。在另ー个实施例中，可以使用借助生物测量标识方法(如指纹扫描)的附加认证(如果移动设备201提供)。在步骤814，访问请求跟踪器233判定用户是否成功通过要求的认证。
[0097]如果在步骤814判定用户通过附加认证，则安全移动迁移管理器205将在设备敏感度跟踪器236中，设置移动设备201的用户的上次成功认证时间(步骤817)。该信息用于确定移动设备201的最近敏感度得分，如图5中所述。
[0098]如果在步骤814判定用户未通过认证,贝U在步骤815,访问请求跟踪器233可以通过向上下文跟踪器235报告失败的认证，减小移动设备201的当前最大敏感度得分。上下文跟踪器235将触发图6中描述的敏感数据管理过程。根据用户未通过认证的上下文信息，将最大敏感度得分减小到较低值，从而导致从设备删除附加或全部敏感信息。在一个实施例中，安全内容呈现器209还可以使用移动设备201上提供的机制，安全删除移动设备201上的ー个或多个敏感数据项。在另ー个实施例中，安全内容呈现器209可以导致完全清除移动设备201 (如果设备支持该功能)。在另ー个实施例中，安全内容呈现器209可以导致立即锁定移动设备201 (如果设备支持)。
[0099]如果访问请求跟踪器233在步骤811判定不需要附加认证或者处理在步骤817之后继续，则在步骤812，它可以为用户提供备选显示。访问请求跟踪器233在移动设备201上显示选择，以便立即使用单独显示机制查看被请求数据项而不将其存储在移动设备201上，或者通过移动服务接ロ 203实现的默认机制尽快触发将数据项传输到移动设备201。用户将根据其偏好进行选择:现在查看文档，或者需要在移动设备201上具有副本，后者的缺点是如果安全移动迁移管理器205需要首先从移动设备201删除敏感信息(以便将移动设备201上的敏感信息量減少到可以将被请求数据项传输到移动设备201而不超过移动设备201的最大敏感度得分的等级)，则可能需要ー些时间。
[0100]如果用户接受备选显示，则访问请求跟踪器233在从企业服务器204检索被请求数据项之后，使用安全内容呈现器209在移动设备201上显示被请求数据项(步骤816 )。在一个实施例中，这将使用HTML和图像文件实现，这些文件将安全传输到移动设备201，并使用移动设备201上提供的默认机制(例如，网络浏览器)进行显示。在另ー个实施例中，安全内容呈现器209将数据项发送到安全内容显示237，安全内容显示237提供其它措施以便确保数据项不会在移动设备201上留下临时踪迹。如果用户在步骤812拒绝备选显示，则访问请求跟踪器233将请求传输到安全移动迁移管理器205，以便检验是否可以立即传输被请求数据项。
[0101]安全移动迁移管理器205的第一歩骤是获得移动设备201的当前上下文(步骤804)。安全移动迁移管理器205然后根据当前上下文确定移动设备201的当前最大敏感度得分(步骤805)，井根据数据项传输到移动设备201之前进行最初编辑时存储在设备敏感度跟踪器236中的标签，确定数据项的敏感度得分(步骤806)。在步骤807，安全移动迁移管理器205判定将数据项添加到移动设备201是否将超过当前最大敏感度得分，类似于在步骤317和310的处理。如果添加数据项将不会超过移动设备201的当前有效最大敏感度得分，则在步骤808，安全移动迁移管理器205触发将数据项重新传输到移动设备201。这将触发图3中描述的过程并将数据项传输到移动设备201，因为在步骤310的决策将不会超过阈值。如果传输数据项将超过移动设备201的最大敏感度得分，则在步骤809，安全移动迁移管理器205在访问请求跟踪器233处将数据项标记为“高优先级”，然后在步骤810，触发数据管理过程(在图6中描述)。数据管理过程(图6)和图7中描述的过程的组合然后尽快重新传输未修改数据项，而不违反移动设备201的最大敏感度得分。
[0102]图9描述安全移动迁移管理器205用于预测最大敏感度得分的改变并相应调整敏感内容的过程。这将允许主动调整移动设备201上的敏感信息，以便保持在策略范围之内而不是減少移动设备201上的敏感信息量，以作为对检测到策略违反的反应，策略违反由以下情况导致:由于上下文改变(例如，移动设备的新位置)，使最大敏感度得分低于当前设备敏感度。如果可以在允许更快或更便宜改变的不同网络上(例如，在检测到位置改变并且移动设备不在WiFi网络范围内之前，通过WiFi网络而不是蜂窝连接来删除敏感信息)，或者在系统进入可能不提供足够连接性的低安全性区域(例如，离开无线网络提供商的覆盖区域)之前做出预测调整，则这尤其具有重大作用。
[0103]第一步骤901包括安全移动迁移管理器205从上下文跟踪器235获得当前上下文，然后在步骤902，根据当前上下文确定当前有效最大敏感度得分。在步骤903，安全移动迁移管理器205根据当前移动，确定在不久将来(例如，当前时间之后的I分钟)的预测上下文。这将根据相对恒定的移动(例如，驾车)，预测地理位置的改变和产生的上下文改变。在步骤904，通过查看过去同一时间的位置来判定是否可预测不久将来的上下文，做出另ー个上下文预测。这将允许基于时间习惯(例如，移动设备201的用户通常在12:30去附近的公共咖啡馆吃午饭，或者他通常在早晨7:30将移动设备201连接到其私有的膝上型计算机以便同步数据)的上下文预测。在步骤905，根据指示上下文改变的基于过去上下文的序列信息来预测上下文。这将允许基于典型习惯(例如，在移动设备201离开已知蓝牙设备附近3分钟之后，移动设备201的用户离开办公楼，或者在没有移动的一段时间后移动设备201突然加速之后，移动设备201的用户立即改变其地理位置)的上下文预测。在步骤906，安全移动迁移管理器205使用策略决策点254和合并后的上下文，确定所有预测上下文的最大敏感度得分。在步骤907，确定在步骤906计算的所有个体最大敏感度得分中的最小得分。如果该最小得分低于在步骤902确定的得分(S卩，预测移动设备201转变到不太安全的上下文)，则安全移动迁移管理器205将(在步骤908)启动图6中描述的数据管理过程，但它将在步骤603开始并使用在步骤907确定的预测得分。这将导致删除敏感数据项，以便确保在移动设备201进入不太安全的上下文之前，移动设备201的总敏感度得分已经减小到适当的等级。可以通过使用本领域已知的用于预测移动设备位置的其它备选方法来扩展该过程。
[0104]现在转到图10，示出用于实现在此提供的ー种或多种方法的装置1000的框图。仅作为举例，装置1000可以用作企业服务器204，并可以被配置为实现图1的方法100 (以及在此提供的任何其它方法)的ー个或多个步骤，以便管理移动设备上的敏感数据。
[0105]装置1000包括计算机系统1010和可移动介质1050。计算机系统1010包括处理器设备1020、网络接ロ 1025、存储器1030、介质接ロ 1035和可选显示器1040。网络接ロ1025允许计算机系统1010连接到网络，而介质接ロ 1035允许计算机系统1010与介质(例如硬盘驱动器或可移动介质1050)交互。
[0106]如本领域已知的，在此讨论的方法和装置可以作为制品分发，该制品本身包括包含一个或多个程序的机器可读介质，当执行所述程序时，实现本发明的各实施例。例如，当装置1000被配置为实现方法100的ー个或多个步骤时，机器可读介质可以包含这样ー种程序，其被配置为确定要传输到移动设备的数据项的敏感度；判定已存在于所述移动设备上的数据项加上该要传输的数据项的聚合敏感度是否超过所述移动设备的当前阈值敏感度值；以及如果所述聚合敏感度超过所述当前阈值敏感度值，则采取措施以确保所述聚合敏感度保持在所述移动设备的所述当前阈值敏感度值之下，否则将该数据项传输到所述移动设备。
[0107]机器可读介质可以是可记录介质(例如，软盘、硬盘驱动器、光盘(例如可移动介质1050)或存储卡)，或者可以是传输介质(例如，包括光纤的网络、万维网、电缆，或使用时分多址、码分多址的无线信道，或其它射频信道)。可以使用任何可存储信息的适于与计算机系统一起使用的已知或开发的介质。
[0108]处理器设备1020可以被配置为实现在此公开的方法、步骤和功能。存储器1030可以是分布式或本地存储器，处理器设备1020可以是分布式或单个设备。存储器1030可以实现为电、磁或光存储器，或者这些或其它类型存储设备的任意組合。此外，术语“存储器”应被足够广泛的解释，以便包含任何能够从处理器设备1020访问的可寻址空间中的地址读取或写入其中的信息。借助该定义，可通过网络接ロ 1025访问的网络上的信息仍在存储器1030内，因为处理器设备1020可以从网络取回该信息。应该指出，组成处理器设备1020的每个分布式处理器通常包含它自己的可寻址存储空间。还应指出，计算机系统1010的部分或全部可以结合在专用或通用集成电路中。
[0109]可选视频显示器1040是适合干与装置1000的个人用户交互的任意类型的视频显示器。通常，视频显示器1040是计算机监视器或其它相似的视频显示器。
[0110]尽管在此描述了本发明的示例性实施例，但是应当理解，本发明并不限于这些精确的实施例，并且在不偏离本发明的范围的情况下，本领域的技术人员可以做出各种其它更改和修改。
【权利要求】
1.一种用于管理移动设备上的敏感数据的方法，包括以下步骤: 确定要传输到所述移动设备的数据项的敏感度； 判定已存在于所述移动设备上的数据项加上该要传输的数据项的聚合敏感度是否超过所述移动设备的当前阈值敏感度值；以及 如果所述聚合敏感度超过所述当前阈值敏感度值，则采取措施以确保所述聚合敏感度保持在所述移动设备的所述当前阈值敏感度值之下，否则将该数据项传输到所述移动设备。
2.根据权利要求1的方法，其中所述移动设备可以通过移动网络连接器访问企业服务器上的资源，并且其中当所述移动设备从所述企业服务器请求该数据项时，或者当所述企业服务器具有可用于所述移动设备的新数据项时，将该数据项传输到所述移动设备。
3.根据权利要求1的方法，其中所述当前阈值敏感度值反映与所述移动设备关联的风险等级。
4.根据权利要求3的方法，还包括以下步骤: 根据以下项中的一个或多个确定与所述移动设备关联的风险等级:所述移动设备当前所关联的上下文、所述移动设备提供的访问控制机制以及所述移动设备提供的加密机制。
5.根据权利要求4的方法，其中所述移动设备当前所关联的上下文基于以特定时间间隔收集的有关所述移动设备的信息。
6.根据权利要求5的方法，其中所收集的有关所述移动设备的信息包括以下项中的一个或多个:来自所述移动设备的感觉信息、来自所述移动设备的事件信息以及来自所述移动设备的连接信息。
7.根据权利要求5的方法，其中感觉信息包括以下项中的ー个或多个:所述移动设备的位置信息、所述移动设备的加速度測量、所述移动设备的环境光传感器信息、所述移动设备的接近传感器信息，以及当前在所述移动设备的通信范围内的无线设备。
8.根据权利要求6的方法，其中来自所述设备的事件信息包括以下项中的一个或多个:当前在所述移动设备上运行的应用、所述移动设备报告的失败登录数、所述移动设备报告的成功登录数。
9.根据权利要求6的方法，其中如果存在当前连接到所述移动设备的设备，则连接信息是当前连接到所述移动设备的设备。
10.根据权利要求5的方法，其中所述上下文基于自所述移动设备的位置改变超过距离阈值以来，在固定数量的时间间隔或所有时间间隔内收集的有关所述移动设备的所有信
O
11.根据权利要求4的方法，还包括以下步骤: 每当与所述移动设备关联的风险等级改变时，改变所述阈值敏感度值。
12.根据权利要求11的方法，还包括以下步骤: 每当所述阈值敏感度值减小时，将已存在于所述移动设备上的数据项替换为所述数据项的被操纵为具有较低敏感度的修改版本，以便确保所述聚合敏感度保持在所述阈值敏感度值之下。
13.根据权利要求12的方法，其中所替换的数据项被视为未由所述移动设备的用户所立即需要。
14.根据权利要求13的方法，还包括以下步骤: 根据以下项中的ー个或多个确定数据项未被立即需要:所述用户上次访问该数据项的时间、所述用户在预定时间段内访问该数据项的次数、其中所述用户经常访问该数据项或相似数据项的上下文，以及该数据项与被视为未由所述用户所立即需要的其它数据项的关系。
15.根据权利要求14的方法，其中如果两个数据项在特征向量空间中的距离测量在阈值之下，则所述两个数据项被视为相似。
16.根据权利要求12的方法，还包括以下步骤: 记录从所述移动设备删除的数据项的列表；以及 当所述聚合敏感度降到所述阈值敏感度值之下时，恢复所述列表上的所述数据项中的ー个或多个，只要此操作不会导致超过所述阈值敏感度值即可。
17.根据权利要求1的方法，其中采取措施以确保所述聚合敏感度保持在所述移动设备的所述当前阈值敏感度值之下的步骤包括以下步骤: 操纵已存在于所述移动设备上的数据项以使所述聚合敏感度保持在所述当前阈值敏感度值之下；以及 将该数据项传输到所述移动设备。
18.根据权利要求1的方法，其中采取措施以确保所述聚合敏感度保持在所述移动设备的所述当前阈值敏感度值之下的步骤包括以下步骤: 编辑该数据项的ー个或多个部分以便降低该数据项的敏感度，从而产生编辑后的版本；以及 将该数据项的编辑后的版本传输到所述移动设备。
19.根据权利要求18的方法，其中该数据项的所述编辑后的版本包括非敏感占位符。
20.根据权利要求19的方法，其中所述非敏感占位符包括指向该要传输的数据项的链接。
21.根据权利要求20的方法，其中所述移动设备的用户可以使用所述链接以将该数据项下载到所述移动设备，即使此操作将导致所述聚合敏感度超过所述移动设备的所述当前阈值敏感度值，所述方法还包括以下步骤: 操纵已存在于所述移动设备上的数据项以使所述聚合敏感度保持在所述当前阈值敏感度值之下；以及 满足下载请求。
22.根据权利要求21的方法，还包括以下步骤: 选择已存在于所述移动设备上的所述数据项的最小集合，使得该要传输的数据项的敏感度小于或等于所选择的数据项的敏感度； 操纵所选择的数据项，使得当满足所述下载请求时，所述聚合敏感度仍保持在所述当前阈值敏感度值之下。
23.根据权利要求22的方法，其中所选择的数据项被视为未由所述移动设备的用户所立即需要。
24.根据权利要求23的方法，还包括以下步骤: 根据以下项中的ー个或多个确定数据项未被立即需要:所述用户上次访问该数据项的时间、所述用户在预定时间段内访问该数据项的次数、其中所述用户经常访问该数据项或相似数据项的上下文，以及该数据项与被视为未由所述用户所立即需要的其它数据项的关系。
25.根据权利要求22的方法，还包括以下步骤: 记录所选择的数据项的列表；以及 当所述聚合敏感度降到所述阈值敏感度值之下时，恢复所述列表上的所选择的数据项中的ー个或多个，只要此操作不会导致超过所述阈值敏感度值即可。
26.根据权利要求25的方法，其中所恢复的数据项被视为由所述移动设备的用户所立即需要。
27.根据权利要求26的方法，还包括以下步骤: 根据以下项中的ー个或多个确定数据项被立即需要:所述用户上次访问该数据项的时间、所述用户在预定时间段内访问该数据项的次数、其中所述用户经常访问该数据项或相似数据项的上下文，以及该数据项与被视为由所述用户所立即需要的其它数据项的关系。
28.根据权利要求1的方法，还包括以下步骤: 确定所述移动设备的当前上下文； 预测所述移动设备在给定时间间隔内的可能未来上下文；以及 确定所有所述可能未来上下文的阈值敏感度值。
29.根据权利要求28的方法，还包括以下步骤: 在所述可能未来上下文的所有敏感度值中，标识最小阈值敏感度值；以及将已存在于所述移动设备上的数据项替换为所述数据项的被操纵为具有较低敏感度的修改版本，以使所述聚合敏感度保持在所述最小阈值敏感度值之下。
30.根据权利要求28的方法，其中基于所述移动设备的用户的过去操作而预测所述移动设备的所述可能未来上下文。
31.一种用于管理移动设备上的敏感数据的装置，所述装置包括: 存储器；以及 至少ー个处理器设备，其耦合到所述存储器，所述处理器设备可操作以: 确定要传输到所述移动设备的数据项的敏感度； 判定已存在于所述移动设备上的数据项加上该要传输的数据项的聚合敏感度是否超过所述移动设备的当前阈值敏感度值；以及 如果所述聚合敏感度超过所述当前阈值敏感度值，则采取措施以确保所述聚合敏感度保持在所述移动设备的所述当前阈值敏感度值之下，否则将该数据项传输到所述移动设备。
32.一种用于管理移动设备上的敏感数据的制品，所述制品包括包含一个或多个程序的机器可读可记录介质，当执行所述程序吋，实现以下步骤: 确定要传输到所述移动设备的数据项的敏感度； 判定已存在于所述移动设备上的数据项加上该要传输的数据项的聚合敏感度是否超过所述移动设备的当前阈值敏感度值；以及 如果所述聚合敏感度超过所述当前阈值敏感度值，则采取措施以确保所述聚合敏感度保持在所述移动设备的所述当前阈值敏感度值之下，否则将该数据项传输到所述移动设备。
【文档编号】H04M1/66GK103430518SQ201280013714
【公开日】2013年12月4日 申请日期:2012年3月13日 优先权日:2011年3月18日
【发明者】S·C·盖茨, 朴瑛姿, J·R·拉奥, W·泰肯 申请人:国际商业机器公司