交叉引用相關申請

本申請要求在2013年5月20日提交并具有相同標題的美國專利申請第13/898,167的優先權，其要求2013年3月29日提交的標題為“Systems and Methods for Enterprise Mobility Management”的美國臨時專利申請第61/806,577的優先權。

技術領域

本文所述的各方面總體上涉及到在移動計算設備處的移動應用的管理。更具體地，各方面提供用于校驗在未受管的設備上運行的移動應用和控制該移動應用的執行的方式。

背景

移動及設備的使用持續增長。具體地，商業和其他企業變得依賴移動計算設備以允許個體遠程訪問各種計算資源。這種資源可包含例如電子郵箱服務、文件服務、數據和由企業的計算系統或移動設備自身提供的其他電子資源。

不論個體相對于計算資源位于本地或遠距離處，企業可設法保護并控制對這些資源的訪問。相應地，企業可實現各種技術機制(例如，網關和防火墻)和訪問控制機制(例如，用戶驗證和授權)，以便確保個體只可訪問用戶被授權并有資格訪問的資源。這種機制還可防止未被授權的個體訪問計算資源的任何一個。

關于移動設備，企業可采用各種方式來控制對于來自那些移動設備的計算資源的遠程訪問。這種嘗試可被稱為移動設備管理。在一種方式中，企業可為個人提供公司所有的和公司控制的移動設備。這種設備可被配置，從而使得企業能控制該移動設備的配置、功能、操作和數據。就這一點而言，公司所控制的移動設備可被稱為受管設備。企業可例如經由客戶端-服務器結構遠程控制受管的設備。企業服務器可遠程地向位于受管設備處的客戶端應用發出命令。這種命令可包含，例如，安裝新應用或功能、更新已有的應用或功能、更新配置設置、提供數據等等。如果受管設備丟失或被偷，企業可發送命令以鎖定或擦除設備，以便防止未被授權的個體獲取對設備的訪問權或經由設備獲取對資源的訪問權。

然而，個體可能發現保留公司所有的移動設備和個人移動設備是不方便的。相反地，個體可能更愿意從他們的個人移動設備訪問資源。這個實踐可被稱為BYOD(帶來您自己的設備)。因為這些個人設備可能不是公司控制的，這種個人設備可被稱為未受管設備。為了滿足這個傾向，允許未受管設備訪問這些資源的方法正在發展中。

例如，提供被配置成操作在未受管的設備處的公司控制的移動應用、受管的移動應用是正在發展的一種方式。然而，存在挑戰。為了使得在未受管的設備上運行的受管移動應用成為可行的方式，可能需要防止經由受管的移動應用對資源未授權的訪問或使用的機制。具體地，存在驗證對受管移動應用的身份以確定受管移動應用已經被修改以避開保護資源的安全機制的需求。此外，存在控制對未受管移動設備處的受管移動應用的操作的需求。

概述

下文呈現本文所述各種方面的簡單概要。該概述并不是廣義的綜述，亦非旨在確定權利要求的關鍵或重要元素或描繪權利要求的范圍。以下概述僅僅呈現簡化形式中的一些概念，作為對以下提供的更詳細描述的介紹前言。

為了克服以上描述的現有技術中的限制，以及克服將在閱讀和理解本說明書時明顯的其它限制，本文描述的方面針對使用在移動計算設備處的受管移動應用對位于企業計算系統處的遠程計算資源的訪問進行控制。此外，本公開的各方面針對控制在移動計算設備本身處的本地計算資源的訪問。訪問管理器可執行驗證過程，其確定請求訪問計算資源的移動應用是否已經準確地識別了其自身，以及隨后在安裝在移動計算設備之后是否未被篡改。以這種方式，訪問管理器可保證請求訪問計算資源的移動應用可被信任并且沒有嘗試避開用于保護那些資源的安全性機制。從而，與企業關聯的個人可有利地使用他們的個人移動設備來利用遠程和本地計算資源。

本文所述的第一方面提供管理對計算資源的訪問的方法。訪問管理器可運行在移動設備處以驗證在該移動設備處安裝的移動應用。如果訪問管理器不成功地驗證移動應用，訪問管理器可阻止移動應用訪問計算資源。如果訪問管理器確實成功地驗證了移動應用，那么訪問管理器可將移動應用識別為信任的移動應用。訪問管理器可因此允許信任的移動應用訪問計算資源。

本文所述的第二方面提供移動計算設備。移動計算設備可包含被配置成訪問計算資源的移動應用、與移動應用有關的所存儲的識別信息和訪問管理器。訪問管理器可被配置成驗證移動應用并防止或允許對如上所述的計算資源的訪問。