技術領域

本發明涉及數據保護，尤其涉及保護計算設備中的數據使用。

背景技術

當前的計算趨勢已經顯示了從傳統臺式計算機到移動計算設備的潮流。諸如膝上型計算機、上網本、平板和移動電話的移動計算設備，提供了便攜性和性能的便利，能夠執行包括電子郵件、Web瀏覽、字處理、照片編輯、內容消費等常見任務。然而，這些設備的移動本質相比于臺式計算機而言提出了獨特的挑戰。

移動計算設備通常存儲敏感數據或允許對敏感數據的訪問，諸如與企業相關的數據。例如，對于個人而言將移動計算設備既用于私人任務也用于企業相關任務越來越常見。隨著個人行進（例如，去工作／從工作返回），敏感企業數據可能被暴露給多個通信網絡，包括蜂窩網絡和Wi-Fi網絡，其中某些可能不安全。歸因于企業數據在遠離企業網絡時被移動計算設備不經意地或故意地共享的可能性，這可能對企業提出安全威脅。

常常實現移動設備的數據安全策略和控制以努力消除或至少減輕上述和其它安全相關的問題。這些安全策略和控制使用全部或沒有（all?or?nothing）的方法來實現。如果允許，許多用戶選擇沒有（nothing）的方法，因為由掃描（sweep）策略施加的額外開銷常常不利地影響他們的設備對私人數據的可用性。然而，通常，這些安全策略和控制以降低關于對私人數據訪問的可用性為代價而被實施。

此處所做出的公開正是關于這些和其他考慮事項而提出的。

發明內容

在此描述了用于保護計算設備中的數據使用的概念和技術。根據此處公開的概念和技術，安全策略和控制被應用到特定數據而不是包含數據的整個設備。該特定數據可以是任何類型的數據，包括，但不限于，企業數據和私人數據。這個方法提供了企業對安全和數據控制的需求以及私人數據的使用和控制便捷的需求之間的平衡。此外，這個方法允許用戶選擇性地設置他或她的用于訪問與各種消費者服務相關聯的私人數據的數據訪問策略。例如，用戶可建立用于訪問電子郵件服務的口令提示，但對于訪問圖片、音樂或一些其它數據不需要口令或其它認證機制。根據此處公開的概念和技術，利用各種口令要求、選擇性數據高速緩存、數據傳輸、臨時數據存儲，和／或數據要被擦除或呈現為不能訪問的預定義條件，提供對敏感數據的控制。

根據一個方面，計算機被配置以接收對策略的定義、存儲該策略，并將該策略發送到計算設備，該策略被配置以控制對計算設備上的數據的訪問，在此對數據的訪問根據策略來控制。在一些實施例中，策略包括鎖定策略，鎖定策略包括指定一個或多個鎖定層面的指令，每一個響應于對有效認證憑證的接收而允許對數據或其一部分的訪問。在一些實施例中，策略包括存儲控制策略，存儲控制策略包括規定計算設備上的數據的存儲的指令。存儲控制策略可指示數據是否可被高速緩存在計算設備上、可指示數據可被高速緩存在計算設備上多久、可指示數據可被儲存在計算設備上多久、數據何時可被傳輸到設備或從設備傳輸以及如何可被傳輸到設備或從設備傳輸，或者可指示一個或多個條件，在該一個或多個條件下數據要被擦除或呈現為不可訪問。

根據另一方面，計算機，諸如移動計算設備，被配置為接收策略、接收對與策略相關聯的特定數據的請求，并根據策略允許或拒絕對特定數據的訪問。策略可以是如上所述的鎖定策略或存儲控制策略。

根據又一方面，移動計算設備被配置以存儲與移動計算設備的用戶相關聯的私人數據、存儲與企業相關聯的企業數據、存儲控制對企業數據的訪問的一個或多個策略、接收對企業數據的至少一部分的數據請求，并根據一個或多個策略選擇性地允許對企業數據的一部分的訪問而無需約束對私人數據的訪問。

應當理解，上述主題可被實現為計算機控制的裝置、計算機進程、計算系統或諸如計算機可讀存儲介質之類的制品。通過閱讀下面的詳細描述并審閱相關聯的附圖，這些及各種其他特征將變得顯而易見。

提供本發明內容以便以簡化形式介紹將在以下詳細描述中進一步描述的一些概念。本發明內容并不旨在標識所要求保護的主題的關鍵特征或必要特征，也不旨在將本發明內容用來限制所要求保護的主題的范圍。此外，所要求保護的主題不限于解決在本公開的任一部分中所提及的任何或所有缺點的實現。

附圖說明

圖1是示出用于此處公開的各實施例的示例性操作環境的系統圖。

圖2是示出根據一示例性實施例的企業文檔存儲分層結構的圖。

圖3是示出根據示例性實施例的移動計算設備存儲分層結構的圖。

圖4是示出根據一示例性實施例的用于創建和管理策略的方法的各方面的流程圖。