保证在移动客户装置中的数据安全的数据失效

摘要

本发明提供了一种用于保证移动客户装置上的数据安全的方法、系统及计算机程序产品。在一个实施方案中，该方法通过定义一个或多个安全策略进行操作。每个安全策略包括多个安全策略参数。该方法将安全策略储存在数据仓库中，并为移动客户装置在所储存的安全策略中选择一个安全策略。所选的安全策略被应用到该移动客户装置。该移动客户装置判断其自身是否符合所选安全策略的参数，并在其自身被判断为不符合所述安全策略参数时执行数据失效动作。

说明书

技术领域

本发明一般涉及移动通信技术，更具体的说是在移动客户装置上保护数据安全。本发明还涉及通过删除遗失或被偷窃的移动客户装置中的数据和/或解密密钥以保护被入侵的移动客户装置的安全。

背景技术

在移动装置改变了消费者生活方式的同时，移动客户装置正在被普遍地使用，其中有许多都具有强大的处理器、更大和更多颜色的显示屏、以及无线联网能力。但是除了这些移动科技的进步之外，移动客户装置相对于服务器和工作站计算机通常在物理和数据安全方面具有更大的限制。由于许多移动客户装置的移动本质和小尺寸，这些装置有被遗失、偷窃或者否则失去防护的危险。这样导致的结果是，驻留在这些装置中的数据在装置遗失或被窃的情况下不能保证安全。

移动用户面对着极度脆弱的存在安全缺口的计算环境。移动客户装置可以包括广泛范围的硬件和软件平台，例如移动电话、个人数字助理(PDAs)、Pocket PC、智能电话、手持计算机、掌上计算机、笔记本电脑、平板电脑、超移动个人电脑(UMPC)、运行塞班(Symbian)的移动操作系统、以及其它的无线客户机器。由于它们的可携带性和移动性，移动客户装置可能会被遗忘、遗失或被窃。当移动客户装置通过遗失或被窃而失去防护时，被侵入的危险很高，而现有的安全控制表现不一致而且经常不能生效。由于关于数据隐私和加密方面的法规越来越严格，仅靠装置上的数据加密经常不足以保护失去防护的移动客户装置上的数据。装置上的加密同样也不够有效地保护装置上的数据，因为取得了盗窃的移动客户装置的盗贼有足够的时间推导出解密密钥或否则访问移动客户装置上储存的物理数据。

现有的保护移动客户装置中的数据安全的方法包括允许用户创建与该装置相关联的用户名和密码。当一个移动客户装置的用户名和密码被建立时，储存在装置上的数据对于任何能够通过提供正确的用户名和密码而登陆装置的用户来说都是可用的。虽然该方法可限制对数据的访问，但即使数据被加密，任何获得密码或者移动客户装置中储存数据的物理模块的人，还是能够检视和复制储存在其中的数据。

另外，当移动客户装置被偷窃时，小偷可以有足够的时间通过避开装置上的安全措施，例如开机密码和装置上数据加密等，来访问装置上的数据。

因此，所需要的是一种系统、方法及计算机程序产品，能够以当移动客户装置被窃或遗失时阻止对数据的访问的方式来保证移动客户装置上储存的数据的安全。

移动客户装置和中央服务器之间的互动在周期性更新或交换储存在数据库中的信息时经常发生。移动客户装置经常在本地数据库中保存在中央数据库中找到的数据的部分或全部的副本，以便本地访问。然而，由于移动客户装置的限制，在驻留在公司服务器中的原始数据和储存在移动客户装置中的本地副本之间，存在着安全缺口。此外，移动客户装置运行许多不同的操作系统、软件套装以及编程框架，而这可能会限制能够“推送”到装置上的装置安全措施。

由于与移动客户装置相关的内在安全危机，需要的是在这些移动客户装置遗失、被窃或者失去保护时能够保证移动客户装置上的数据安全的方法、系统和计算机程序产品。由于无线移动客户装置的偶然连接特性，还需要对应移动客户装置的，在可能间歇断续、不可靠、或者不可用的联网能力的情况下部署和执行安全策略的方法、系统以及计算机程序产品。

相应的，所需要的是一种有效地保证驻留在失去防护的移动客户装置上的数据安全的手段。还需要的是锁定(禁止)、擦除(删除数据)或复位没有在预定时间内与网络或服务器通讯的移动客户装置的方法和系统。

另外，需要的是在移动客户装置遗失或被窃的时候，不需要组织的IT部门的人工干预而使该移动客户装置不可用的方法、系统和计算机程序产品。还需要的是允许组织管理和保护敏感数据，并中央地执行移动客户装置数据安全，而不是将这个保证安全责任交给移动客户端最终用户的方法、系统及计算机程序产品。

发明内容

本发明包括用于对处于移动环境中的装置定义、部署、改变和执行安全策略的系统、方法、计算机程序产品、以及它们的组合和子组合。其中，安全策略决定移动客户装置何时以及是否会自动“失效”或者删除储存在装置的本地数据。根据本发明的一个实施方案，“数据失效”事件甚至可以在移动客户装置不再被中央服务器接触的情况下被执行，从而能在脱离了IT管理员控制的移动客户装置上使控制得到实施。这样一来，遗失、被窃或者失去防护的移动客户装置上的数据仍然能够被保护。根据一个实施方案，遗失或被窃的移动客户装置能被通过执行被设为不可用，从而免除对失去防护的移动客户装置的人手IT干预的需要。根据本发明的一个实施方案，移动客户装置被“预保护”以在由IT管理员决定的时候采取数据失效动作。

本发明还包括用于保证移动客户装置上的Email、联络人信息、以及其它数据的安全的实施方案。更具体的来说，该实施方案允许IT系统管理员定义和部署控制何时在移动客户装置上执行“数据失效”的安全策略。根据本发明的一个实施方案，移动装置可以被锁定(禁止)、擦除(删除数据和/或数据解密密钥)，或者复位(通过硬复位将移动客户装置回复到原始“出厂”设定)。该实施方案还包括设定要采取的动作种类的步骤(例如锁定、擦除或者复位移动客户装置)，以及配置将触发这些动作的事件(也就是在某个预定时间之后失去与网络或者公司服务器的通讯或连接，和/或连续输入了某个预定次数的无效密码)。举例来说，安全策略可以决定在当移动客户装置在某个预定时间内没有和网络或公司服务器通讯之后，将在该移动客户装置上执行数据失效。一个实施例还包括当用户预计到客户装置在一段时间内都不能够连接到服务器时(也就是在旅行中离开移动客户装置的无线服务运营商的服务范围)，将移动客户设定为“′旅行模式”的步骤以避免无意中作出删除移动客户数据的行为。

除非特别另行说明，用户和IT管理员在这里被可互换地使用以鉴定人类用户、软件代理或者一群用户和/或软件代理。除了需要访问移动客户装置上的数据的人类用户之外，软件应用程序或者代理有时候也需要访问移动客户装置上的数据。相应的，除非特别声明，“用户”和“管理员”这两个名称在这里使用并不一定是属于人类。一般来说，要访问移动装置上的数据或者解锁装置的用户和管理员都关联了用户名和密码。

本发明还包括对移动客户装置定义、部署、改变和执行安全策略的实施方案，其中该安全策略决定移动客户装置何时会自动“失效”或者删除位于装置中的数据。根据本发明的一个实施方案，系统通过“预先防护”该装置以将其配置为在装置遗失、被窃或者失去防护的时候执行动作，从而保护Email、联络人信息以及其它数据。该系统包括：第一模块，用以定义“数据失效”安全策略，其中该策略包括判断移动客户装置何时“不符合规则”的条件，以及该策略包括在移动客户装置不符合规则时需采取的动作；第二模块，用以将数据失效安全策略储存在服务器上的数据仓库中；第三模块，用以将数据失效安全策略应用到多个移动客户装置上，其中更新发生在装置的相应更新进程中；第四模块，用以将数据失效安全策略安全地储存在多个移动客户装置上；第五模块，用以在多个移动客户装置中的一个上面周期性地测试数据失效安全策略；可在多个移动客户装置中的每一个上面执行的第六模块，以判断移动客户装置是否不符合规则；以及第七模块，用以在某个移动客户装置不符合规则时执行数据失效动作，其中数据失效动作是由储存在该移动客户装置上的数据失效安全策略决定的。

本发明还包括防止对移动客户装置上的Email、联络人信息以及其它信息在无意中作出的删除或数据失效的实施方案。该实施方案包括了当用户预计到移动客户装置将在一定时间内不能连接到服务器时，用户通过在该移动客户装置上设置“旅行模式”以避免无意中在移动客户装置上作出的数据删除。

本发明还包括对移动客户装置定义、部署、改变和执行安全策略的实施方案，其中该安全策略决定移动客户装置何时会自动“失效”或者删除位于装置中的数据。该实施方案包括定义“数据失效”安全策略的步骤，其中该策略包括判断移动客户装置何时“不符合规则”的条件，以及该策略包括在移动客户装置不符合规则时需采取的动作。该方法还包括如下步骤：将数据失效安全策略储存在服务器上的数据仓库中；将数据失效安全策略应用到多个移动客户装置上，其中更新发生在装置的相应更新进程中；将数据失效安全策略安全地储存在多个移动客户装置上；在多个移动客户装置上周期性地测试数据失效安全策略；在多个移动客户装置中的每一个上，判断移动客户装置是否不符合规则；以及在某个移动客户装置不符合规则时执行数据失效动作，其中数据失效动作是由储存在该移动客户装置上的数据失效安全策略决定的。

此外，本发明包括一种计算机程序产品实施方案，其包括储存了计算机程序逻辑，以允许处理器定义数据失效安全策略的计算机可用媒介，其中该策略包括判断移动客户装置何时是不符合规则的条件，以及该策略包括在移动客户装置不符合规则时需采取的动作。该计算机程序产品还包括计算机程序逻辑，当其被执行时：允许处理器将数据失效安全策略储存在服务器上的数据仓库中；在多个移动客户装置的每个装置相应更新进程中，将数据失效安全策略应用到移动客户装置上；将数据失效安全策略安全地储存在多个移动客户装置上；在多个移动客户装置的每一个上面周期性地测试数据失效安全策略；判断移动客户装置是否不符合规则；以及在某个移动客户装置不符合规则时执行数据失效动作，其中数据失效动作是由储存在该移动客户装置上的数据失效安全策略决定的

本发明还包括一种计算机程序产品实施方案，其包括储存了计算机程序逻辑，以允许处理器防止对移动客户装置上的Email、联络人信息以及其它信息在无意中作出的删除或数据失效。该计算机程序逻辑包括当用户预计到移动客户装置将在一定时间内不能连接到服务器时，允许处理器通过允许该用户在该移动客户装置上设置“旅行模式”而避免无意中在移动客户装置上作出数据删除的计算机程序逻辑。

本发明的更多特征和优点，以及不同的实施例的结构和运作将在以下参照附图进行详细描述。需注意本发明并不限于此处描述的具体实施例。这些实施例只在此给出以作说明用途。以此处的教导为基础，有更多的实施例对本领域的技术人员而言会是明显的。

附图说明

本发明是参照附图进行描述的。包括在说明书中，并构成说明书其中一部分的附图，展示了本发明，并连同描述一起被用于解释本发明的原理，以容许本领域的技术人员制造及使用本发明。

图1展示了根据本发明的一个实施例的移动数据系统。

图2展示了根据本发明的一个实施例的移动数据系统，其中两个移动客户装置都与网络中断连接，其中一个失去防护(也就是遗失或被窃)，另一个被设置为旅行模式。

图3描绘了根据本发明的一个实施例，对驻留在失去防护的移动客户装置上的数据进行安全保护的步骤。

图4展示了根据本发明的一个实施例，对移动数据安全策略进行的定义、部署及执行。

图5是根据本发明的一个实施例，展示在移动客户装置上对移动数据安全策略的定义、部署及执行的步骤的流程图。

图6描绘了可以用于实施本发明的一个示例计算机系统。

本发明现在将会参照附图描述。在图中，一般来说，相近的参考编号指完全相同或用途上相近的要素。另外，一般来说，参考编号最左方的位数指该参考编号最初出现的附图号码。

具体实施方式

1.简介

本发明涉及保证驻留在遗失、被窃或否则失去防护的移动客户装置上的数据的安全的系统、方法及计算机程序产品。根据本发明的实施例，移动客户装置上的数据通过定义、更新、部署及执行移动安全策略得到安全保护。

虽然在这里本发明是参照特定应用的示例性实施例进行描述，但是应该明白的是本发明不限于此。能够接触到这里提供的教导的本领域的普通技术人员将认识到其它属于本发明范围内的修改、应用、以及实施例，以及其它本发明能够发挥重要作用的领域。

本发明的实施例的具体描述被分为几个部分。第一部分描述的是用于保护失去防护的移动客户装置上的数据安全的系统。

2.结构实施例

这一部分描述了根据图1和图2所展示的本发明实施例的用于保护移动客户装置上数据安全的系统。

图1描绘了一种根据本发明的一个实施例的移动数据安全系统100，其允许位于无线网络102中的移动客户装置160a-d通过网络172访问中央服务器系统122。网络访问服务器112a和112b允许移动客户装置160a-d接收服务器系统122上的最新可用数据，以及从中央服务器系统122的数据仓库中下载最新的数据失效安全策略。举例来说，网络访问服务器112a和112b可以是由移动客户装置160a-d使用的无线网络访问服务器以通过网络172访问中央服务器系统122。根据本发明的一个实施例，中央服务器系统122将数据失效安全策略应用到移动客户装置160a和160b，然后这些策略被安全地储存在移动客户装置160a和160b中。根据本发明的另一个实施例，IT管理员定义、选择和更新位于系统122上，储存于中央服务器系统122的数据仓库中的数据失效安全策略。根据一个实施例，当移动客户装置通过网络访问服务器112a和112b链接到网络172时，安全策略在更新进程中被应用到移动客户装置160a-d。

根据本发明的一个实施例，移动客户装置160a-d将安全策略储存在它们相应的数据仓库中。根据一个实施例，数据安全策略以一种安全的方式被储存在移动客户装置160a-d上，从而使移动客户装置160a-d的用户不能改变、禁止或者删除这些安全策略。根据另一个实施例，储存在装置160a-d上的数据失效安全策略可以被加密以防止最终用户对它们的未经授权的改动。

根据本发明的一个实施例，移动客户装置160a-d周期性地测试储存在装置160a-d上的数据失效安全策略的参数以判断客户装置是否不符合规则。例如，根据一条已经应用的安全策略，装置160a会周期性地检查自从上次网络连接以来的消逝时间、连续无效密码输入的次数、和/或自从上次无线网络连接以来的消逝时间，以判断该装置是否不受储存在装置160a上的安全策略的控制。根据一个实施例，装置160a可以在固定的时间间隔(即每小时、每天、每周或每月等)检查是否不符合规则。

根据本发明的一个实施例，移动客户装置160a-d如果已经判断每个客户装置都符合它们相应的安全策略，则不会采取数据失效动作。举例来说，当移动客户装置160c判断该装置160c符合它的安全策略的时候，则不会采取任何数据失效动作。根据一个实施例，当装置160c在一个预定时间内还没有失去与无线网络102或者网络172的连接的时候，装置160c是符合它的安全策略的，因此不会执行数据失效动作。根据另一个实施例，当装置160c上还没有做出一个预定次数的连续无效密码输入时，装置160c是符合它的安全策略的，因此不会执行数据失效动作。

这里使用的“数据”可以指任何物件，包括但不限于任意形式的信息(文字、视频、音频等)，以及应用程序。

无线网络102通常指但不限于在蜂窝运营商网络上的持续性网络连接，以及经由Internet进行的通讯。然而，系统102可以是中央服务器系统122和移动客户装置160a-d用来互动的任何通讯手段，例如支架、广域网(WAN)、局域网(LAN)、无线局域网(WLAN)、红外线、或者蓝牙。访问部署了的通讯手段的可用性程度可以相差很大，而移动客户装置160a-d的用户可能只会偶尔到网络172(也就是通过使用支架)，或者可以在连接到广域网时持续连接到中央服务器系统122。

图2描绘了一种根据本发明的一个实施例的移动数据安全系统200，其中移动客户装置260a和260b能够通过网络172由网络访问服务器212a从中央服务器系统122获取更新的数据失效安全策略。根据图2的例子，移动客户装置260c和260d不再能够通过网络172由网络访问服务器212a从中央服务器系统122获取更新的数据失效安全策略，而是保持之前应用的数据失效安全策略。在该示例中，根据本发明的一个实施例，客户装置260c和260d都从网络断开连接，260d失去防护(即是遗失或被窃)，而260c被设置为“旅行模式”。移动客户装置260d可能遗失、被窃、或否则失去防护，从而使其不再能够链接到无线网络202和网络272。

根据本发明的一个实施例，移动客户装置260c和260d周期性地测试它们相应的、本地储存的数据失效安全策略，以判断它们是否不符合规则。例如，根据一个之前应用的安全策略，装置260c会周期性地检查自从上次网络连接以来的消逝时间，连续的无效密码输入的数量，和/或自从上次无线网络连接以来的消逝时间，以判断装置260c根据其本地储存的安全策略是否不符合规则。根据一个实施例，装置260c可以在固定时间段(即每小时、每天、每周、每月等)检查是否不符合规则。

假设在图2的例子中，移动客户装置260c被设置为在从无线网络202和网络272断开连接之前变为“旅行模式”。再假设装置260d也遗失或被窃。根据一个实施例，在这种情形中，装置260c在与网络断开连接的时候也不会采取数据失效动作。相反，由于装置260d没有被设为旅行模式，该装置会测试安全策略参数以判断该装置是否符合其安全策略。例如，移动客户装置260d在判断其自身不符合本地存储的安全策略时，就会根据其安全策略采取数据失效动作。根据一个实施例，装置260d将判断其自身不符合规则，并会在其从无线网络202和网络272断开连接的一个预定时间(即是一确定数量的小时、日、星期等)之后采取数据失效动作。根据另一个实施例，装置260d不符合规则，并会在一个临界数量的连续无效密码输入发生时(即在装置上连续的多于n个的无效密码输入)，采取数据无效动作。

根据本发明的一个实施例，在移动客户装置260d上执行的数据失效动作可包括以下的一种或者全部：删除装置260d上的所有数据；仅删除装置上的加密数据；删除由IT管理员在服务器系统222上事先选择的装置260d的数据子集；将装置260d复位到其出厂设定(即是通过硬复位将装置260d还原为其原始配置)；删除装置260d上的解密密钥；锁定移动客户装置(即是锁定装置260d的键盘、屏幕和输入装置)直至它被例如222的服务器联络；锁定该装置直至管理员登录；或者锁定该装置直到一个一次性攻击-回应过程被完成。

根据另一个实施例，一旦装置260d被判断为不符合其安全策略，那么装置260d上的数据失效动作不能被最终用户打断或覆盖。根据另一个实施例，装置260d上的数据失效动作不能以尝试断电、关机、或使装置260d复位等被打断。例如，如果一个占有了装置260d的小偷尝试通过关掉装置260d来避开该装置上的数据失效安全措施的话，那么数据失效动作会继续不被打断地进行，只有装置260d的显示或屏幕会被关掉。类似的，如果一个占有了装置260d的小偷在认识到该装置上的数据失效动作在执行之后，尝试对该装置进行硬复位的话，那么数据失效动作会继续进行，而装置260d的屏幕会显示伪装或模拟的复位画面。

在一个典型系统中，移动客户装置260a-d连接到中央服务器系统222。中央服务器系统222不需要是单个物理计算机，而且实际上可以包括分布在数个物理和网络位置的数个计算机。为了说明的目的，中央服务器122和222被描绘为移动客户装置160a-d和260a-d相应的单点访问。

3.运作实施例

图3描绘了根据本发明的一个实施例的，保证驻留在移动客户装置上的数据安全的方法300的步骤。移动数据安全方法300的功能将会在下面的部分进行更详细的描述。

根据本发明的一个实施例，数据失效安全策略在步骤323中被定义，并在步骤324中被储存在中央系统数据仓库322中。安全策略在步骤325中通过网络372在步骤332的装置360a-d的更新进程中被应用到移动客户装置360a-d。在图3所示的示范情形中，装置360a和360b保持到网络372的连接。装置360c在从网络372断开连接之前被设置为旅行模式。装置360d被窃或遗失，并且从网络372断开连接。

根据本发明的一个实施例，当移动客户装置360d在步骤336中根据数据失效安全策略被判断为不符合规则时，在步骤338中，数据失效安全策略(在步骤324中事先被储存在装置上的)将会被执行。

根据一个实施例，装置360d不符合规则的条件可以包括以下的一个或数个：自从装置360d上次连接到网络372或服务器322之后，预定的时间已过去(即数个小时、数日或者数周)；自从装置360d上次更新或者“刷新”了新的安全策略之后，预定的时间已过去；和/或用户在装置360d上尝试的无效登录已经超过预定次数。

根据本发明的一个实施例，一旦移动客户装置360d被判断为不符合规则，则在步骤338中会采取数据失效动作。数据失效动作可包括但不限于如下的一种或多种：删除装置360d上的所有数据；仅删除装置360d上的加密数据；删除由IT管理员之前在步骤323中选择的数据子集；对装置360d执行“硬复位”，而硬复位通过删除所有数据及将所有配置信息设为原始出厂初始值以将装置360d还原为其出厂设定；删除装置360d上的解密密钥；锁定装置360d直至装置360d被服务器322联络，其中装置360d通过禁止其该装置的键盘、屏幕及输入装置而被锁定；锁定装置360d直到装置的“管理员”登录，其中该装置管理员用户名和密码在步骤323中被判断；或者锁定装置360d直到一次性的攻击-响应过程完成，其中该攻击-响应的问题及答案在步骤323中被判断。

根据一个实施例，在步骤332中储存在移动客户装置360a-d上的数据失效安全策略以安全的方式储存，从而使装置360a-d的用户不能改变、禁止或删除该安全策略。根据另一个实施例，在步骤332中储存在装置360a-d上的数据失效安全策略可以被加密以防止最终用户对策略的未经授权的改动。

根据另一个实施例，一旦装置360d被判断为不符合在步骤325中应用和在步骤332中被储存的安全策略的话，在步骤338中执行的装置360d上的数据失效动作不能被用户打断或覆盖。根据另一个实施例，在步骤338中执行的装置360d上的数据失效动作不能通过尝试断电、关机、或复位来被打断。举例来说，如果一个占有了装置360d的小偷尝试通过关掉装置360d来避开该装置上的数据失效安全措施的话，那么数据失效动作会继续不被打断地进行，只有装置360d的显示或屏幕会被关掉。根据本发明的另一个实施例，如果一个占有了装置360d的小偷在认识到在步骤338中该装置上的数据失效动作在执行之后，尝试对该装置进行硬复位的话，那么数据失效动作会继续进行，而装置360d的屏幕会显示伪装或模拟的复位装置360d的画面。

图4还展示了根据本发明的一个实施例，保证驻留在移动客户装置上的数据安全的方法300的步骤。在步骤423中，IT管理员定义新的数据失效安全策略或更新已有的策略。

在步骤424中，在步骤423中定义和更新的策略被储存在中央服务器数据仓库中。

在步骤425中，为移动客户装置460选择了一个数据失效安全策略，而在步骤426中所选的策略在装置460的更新进程中被应用。

在步骤432中，移动客户装置460的数据失效安全策略被安全地储存在装置460上的数据仓库中。根据一个实施例，在步骤432中储存在装置460上的数据安全策略以安全的方式储存，从而使装置460的用户不能改变、禁止或删除该安全策略。根据另一个实施例，在步骤432中储存在装置460上的安全策略可以是已被加密的以防止用户对该策略的未经授权的改动。

在步骤434中，装置460上的旅行模式设定被检查。根据一个实施例，如果装置460没有被设置成旅行模式，则安全策略参数会被测试(在步骤436中)以判断装置460是否符合安全策略。否则，如果装置460被设置成旅行模式，则与网络连接性相关的安全策略参数不会被测试，以及在一个实施例中，步骤426被重复以在装置460的下一次更新进程中对装置460的安全策略应用任何更新。根据一个实施例，就算是移动客户装置460被设置为旅行模式，与无效连续密码输入相关的安全策略参数也会被检查。

在步骤436中，安全策略参数被装置460测试。根据本发明的一个实施例，测试或检查策略参数的频率取决于步骤426中应用的安全策略。

根据一个实施例，装置460会周期性地检查自从上次网络连接以来的消逝时间和/或自从上次无线网络连接以来的消逝时间，以判断装置460是否不符合储存在装置中的安全策略。根据一个实施例，装置460在固定的时间段(即每小时、每天、每周、每月等)测试是否不符合规则。根据一个实施例，连续无效密码输入的次数会被检查以判断装置460是否不符合储存在其中的安全策略。

根据一个实施例，如果装置460与无线网络或网络断开连接达到了预定量的时间(即特定数量的小时、天数、星期)等，则该装置460将不被认为是符合规则的。根据另一个实施例，当在装置460上的连续无效密码输入的次数超过一个临界值时(也就是在装置上输入多于n个连续无效密码，其中n是允许的连续无效密码的最大数量)，则装置460是不符合规则的。

步骤442在装置460被判断为不符合规则时被执行。在步骤442中，数据失效动作在装置460上执行。根据本发明的一个实施例，步骤438中的数据失效动作可包括以下的一个或多个：删除装置460上的所有数据；仅删除装置上的加密数据；删除由IT管理员之前在步骤423中选择的数据子集；通过删除所有数据及将所有配置信息设回原始出厂初始值，对装置460进行硬复位；删除装置460上的解密密钥；通过禁止装置460的键盘、屏幕和输入装置对装置460进行锁定，直到该装置被公司服务器联络；锁定装置460直至该装置的管理员登录，其中该装置管理员用户名和密码在步骤423中被判断；或者锁定装置460直到一次性的攻击-响应过程完成，其中该攻击-响应的问题及答案在步骤423中被判断。

图5是展示图3和图4中描绘的方法所使用的用于保证移动客户装置数据安全的步骤的流程图500。

该方法从步骤502开始并进行到步骤523。在步骤523中，IT定义新的数据失效安全策略或更新现有的策略。

在步骤524中，步骤523中定义和更新的策略被储存在中央服务器数据仓库中。

在步骤525中，数据失效安全策略在一个特定装置的更新进程之前就为该装置选择。根据本发明的一个实施例，数据失效安全策略在移动客户装置作为更新进程的一部分连接之前被IT管理员选择。

在步骤526中，在步骤525中选择的数据失效安全策略在某个特定装置的更新进程中被应用到该装置。根据一个实施例，在更新进程中服务器会应用任何由IT管理员之前在步骤525中指定的策略。

在步骤532中，移动客户装置的数据失效安全策略被安全的储存在装置上的数据仓库中。根据一个实施例，在步骤532中被储存在装置上的数据失效安全策略以安全的方式被储存，从而使该装置的用户不能改变、禁止、或删除该策略。根据另一个实施例，在步骤532中储存在装置上的安全策略被加密以防止最终用户的该策略的未经授权的改动。

在步骤534中，会判断装置是否处于旅行模式。根据一个实施例，如果装置不是处于旅行模式，则安全策略参数会在步骤536中被测试，如以下所述，但是如果装置是处于旅行模式，则与网络连接性相关的安全策略参数不会被测试，而控制会返回步骤526。当步骤526被重复时，任何对装置的安全策略的更新都会在装置的下一次更新进程中被应用。根据本发明的一个实施例，移动客户装置被设为旅行模式的事实不影响对无效密码尝试的检查。举例来说，如果装置的安全策略是在某个次数的连续无效密码输入之后锁定该装置，则即使该装置处于旅行模式，它也会被锁定。

在步骤536中，安全策略参数在装置上被测试。根据本发明的一个实施例，测试或检查符合策略参数的时间和频率取决于步骤525中应用的安全策略。根据一个实施例，装置会周期性地计算自从上次网络连接以来的消逝时间和/或自从上次无线网络连接以来的消逝时间，以判断装置是否不符合储存在装置中的安全策略。根据一个实施例，移动客户装置根据其安全策略在固定的时间段(即每小时、每天、每周、每月等)测试是否不符合规则。

根据一个实施例，对连续无效密码尝试的检查不是周期性或基于时间间隔的。例如，对连续无效密码尝试的检查在当任何时候有无效密码在移动客户装置上输入时，都会进行。根据一个实施例，触发数据失效动作的是在移动客户装置上输入的连续无效密码的次数。举例来说，移动客户装置在n个连续无效密码被输入之后，其中n大于等于1，则该装置会执行数据失效动作。

在步骤538中，会做出移动客户装置是否不符合其安全策略参数的判断。根据一个实施例，移动客户装置从无线网络或者网络断开的时间超过预定量之后(也就是该装置从网络断开的时间已经达到一定数量的小时、日、星期等等)，则为不符合规则。根据另一个实施例，当特定次数的连续无效密码在装置上被输入时(也就是在装置上输入了多于n个的连续无效密码，其中n是允许的连续无效密码的最大数量)，则移动客户装置在步骤538中被判断为不符合规则。

如果装置在步骤538中被判断为符合规则，则步骤526-538会被重复，以满足在后续的更新进程中应用策略更新的需要。重复的策略选择、应用、以及测试的规则性通过重复步骤526-538来完成。根据本发明的一个实施例，数据失效安全策略可以通过重复步骤523及524来更新和储存。

当在步骤538中符合规范性的判断被作出之后，而装置被判断为不符合规范性，则在步骤542中，会在装置上执行数据失效动作。根据本发明的一个实施例，步骤542中的数据失效动作可以包括下面的一个或多个：删除装置上的所有数据；仅删除装置上的加密数据；删除由IT管理员之前在步骤523中选择的数据子集；通过删除所有数据及将所有配置信息设回原始出厂初始值，对装置进行硬复位；删除装置上的解密密钥；通过禁止装置的键盘、屏幕和输入装置对装置进行锁定，直到该装置被公司服务器联络；锁定装置直至该装置的管理员登录，其中该装置管理员用户名和密码在步骤523中被判断；或者锁定装置直到一次性的攻击-响应过程完成，其中该攻击-响应的问题及答案在步骤523中被判断。

当在步骤542中数据失效动作被执行之后，方法在步骤544结束。

4.示范计算机系统实施

本发明的不同方面可以通过软件、固件、硬件或它们的组合来实施。图6展示了一种示例计算机系统600，而本发明或其部分，可以以计算机可读代码的形式在该示例计算机系统600中实施。举例来说，由图5中的流程图500展示的方法可以在系统600中实施。在阅读了本说明书之后，本领域的技术人员将会明白如何使用其它的计算机系统和/或计算机结构来实施本发明。

计算机600包括一个或多个处理器，例如处理器604。处理器604可以是特殊用途或者一般用途的处理器。处理器604连接到通讯架构606(例如总线或网络)。

在另外的实施中，副存储器610可包括其它类似的手段以允许计算机程序或其它指令被载入计算机系统600。这些手段可以包括例如可移动存储驱动器622及接口620。这些手段的例子可包括程序盒式存储器和盒式存储器接口(例如在视频游戏装置中存在的)、可移动存储器芯片(例如EPROM或PROM)及相对应的插座、以及其它的可移动存储驱动器618和622以及接口620。接口620允许软件和数据从可移动存储驱动器622被传输到计算机系统600。

计算机系统600还可以包括通讯接口624。通讯接口624允许软件和数据在计算机系统600及外部装置之间转移。通讯接口624可以包括调制解调器、网络接口(例如以太网卡)、通讯端口、PCMCIA插槽及卡，等等。通过通讯接口624转移的软件和数据以电、磁电磁、光学、或其它能够被通讯接口624接收到的信号形式存在。这些信号通过通讯路径626被提供给通讯接口624。通讯路径626运载信号，并可以使用线或电缆、光纤、电话线、蜂窝电话链路、RF链路或其它通讯途径实施。

在这份文件中，“计算机程序媒介”和“计算机可用媒介”一般用来指例如可移动存储单元614、可移动存储驱动器618和622的媒体，以及安装在硬盘驱动器612中的硬盘。通过通讯路径626运载的信号也可以体现这里所述的逻辑。计算机程序媒介和计算机可用媒介还可以指存储器，例如主存储器608和副存储器610，而它们可以是存储半导体(例如DRAM)。这些计算机程序产品是为计算机系统600提供软件的手段。

计算机程序(也称为计算机控制逻辑)被储存在主存储器608和/或副存储器610中。计算机程序也可以通过通讯接口624被接收。这些计算机程序在执行时，允许计算机系统600实施上面描述的本发明。具体来说，计算机程序在执行时允许处理器604实施本发明的过程，例如上面所述的图3和图4中所展示的方法的步骤，以及图5中的流程图500。当本发明是用软件实施时，该软件可以储存在计算机程序产品中，并使用可移动存储单元614、接口620、硬盘612或通讯接口624载入计算机系统600。

本发明还可以指包括储存在任何计算机可用媒介上的软件计算机程序产品。这些软件在一个或多个数据处理装置上执行时，导致数据处理装置如上面所述的方法运行。本发明的实施例使用任何计算机可用或可读媒介，不论是已知的或是未知的。计算机可用媒介的例子包括但不限于主要存储装置(例如任何种类的随机存储器)、次要存储装置(例如硬盘、软盘、光盘、ZIP盘、磁带、磁性存储装置、光学存储装置、MEMS、纳米存储装置，等)、以及通讯媒介(例如有线及无线通讯网络、局域网、广域网、内联网，等等)。

本发明可以与除了这里描述的以外的软件、硬件、和/或操作系统实施方案一同工作。任何适合于执行这里所述的功能的软件、硬件、以及操作系统实施方案都可以被使用。

5.结论

值得注意的是，用来解释权利要求的是具体实施方式部分，而不是发明内容和摘要部分。发明内容和摘要部分可能记叙了一种或多种由发明人构思的本发明的示范实施例，但不是全部。因此，发明内容和摘要部分不是用于以任何方式限制本发明及所附权利要求的。

以上已经借助展示功能构筑模块的具体功能和及其联系对本发明进行了描述。这些功能构筑模块的边界在这里是任意定义的，以便于描述。其它的边界也可以被定义，只要其具体功能和关系能被适当的执行。

以上对具体实施例的描述将完整地揭示本发明的一般概念，从而使其它人能通过应用本领域的技能知识，为不同的应用可靠地修改和/或使用这些具体实施例，而不需要创造性劳动，也不会偏离本发明的一般概念。因此，这些适应和修改是属于基于这里给出的教导和指引的实施例的等同含义和范围内。应该明白，这里的措辞和术语是为了描述的目的，而不是作为限制，因此这些措辞和术语应该被本领域技术人员根据本发明的教导和指引进行解释。

本发明的宽度和范围不应该被任何上述的示范实施例限制，而是应该根据所附的权利要求及它们的等同物进行定义。