[发明专利]用于控制对加密数据的访问的方法和装置

说明书

提供了一种用于控制对加密数据的访问的方法和装置。所述设备包括处理器和存储器，所述处理器被配置为：使用针对多个类别中每个类别的相应加密密钥，控制对存储在存储器中的加密数据的访问，所述加密数据根据所述多个类别进行分类；以及根据与给定类别相关联的给定准则控制对加密密钥的访问，针对每个相应类别的相应准则不同，所述对给定加密密钥的访问包括以下操作中的一个或多个：当满足相应准则时，产生给定加密密钥，并对给定加密密钥进行解密。

技术领域

本说明书总体上涉及设备，具体地，涉及一种用于控制对加密数据的访问的方法和装置。

背景技术

在移动设备环境中，计算机的发展当前是非常活跃的。现在公知的是移动设备包括日历功能、联系人功能和消息收发功能。近年来，应用的数目和类型名副其实地发生了激增，所述应用被配置为移动设备的独特形成因素和计算环境。

附图说明

为了更好地理解本文所述的多种实施方式和更清楚地示出如何有效实施所述实施方式，现仅示例性地参考附图，附图中：

图1描述了根据非限制性实施方式的用于控制对加密数据的访问的设备。

图2描述了根据非限制性实施方式的在加密密钥和用于获得对所述加密密钥的访问的准则之间的关系。

图3描述了根据非限制性实施方式的用于控制对加密数据的访问的方法。

图4描述了根据非限制性实施方式的在启动后图1的设备。

图5描述了根据非限制性实施方式的在解锁启动类别之后的图1的设备。

图6描述了根据非限制性实施方式的在初始认证之后的图1的设备。

图7描述了根据非限制性实施方式的在对操作类别和锁定类别进行解锁之后的图1的设备。

图8描述了根据非限制性实施方式的在满足锁定触发准则并将锁定类别再次锁定之后的图1的设备。

图9描述了根据非限制性实施方式的在重新发生认证并且对锁定类别再次解锁之后的图1的设备。

具体实施方式

本公开总体上涉及一种设备(具体地，一种移动电子设备)，用于控制对存储在其上的加密数据的访问。通常移动电子设备表示可以方便地从一个地方移动到另一地方的电子设备。具体地，对这种设备的数据进行加密，以便防止在设备甚至丢失、被盗等情况下访问该数据。此外，可以将所述数据组织为不同类别，例如，所述不同类别可以包括关于发布该设备的商业和/或政府企业的数据的“工作”类别。在一些设备中，在空闲时对所有“工作”数据进行加密，当设备被关闭时完全无法访问所述“工作”数据。然而，在重启设备之后，由于针对“工作”数据的加密密钥在重启设备之后被自动重新存储到存储器，所有“工作”数据会是可访问的，从而可以通过具有足够许可的服务使用所述“工作”数据。尽管通过数据访问策略来控制访问数据，然而安全意识组织意识到这种密钥可用性是实际的攻击向量。因此，本实施方式提供了对设备上数据的访问的高级保护控制以便保持足够的可访问性，所述数据包括但不限于归类为敏感的数据(这种敏感数据以与设备断电类似的方式存储，同时仍启用该设备)，以及在“工作”空间中“非敏感性”数据。

在本说明书中，将元件描述为“被配置为”执行一个或多个功能或为“配置用于”这种功能。通常，被配置为执行功能或配置用于执行功能的元件被配置为执行该功能，或适于执行该功能，或用于执行该功能，或可操作为执行该功能，或能够执行该功能。

在本说明书中，可以将数据描述为是“可访问”的。通常可访问的元素是未加密的、经解密的，和/或用于对数据进行解密的加密密钥本身是可访问的和/或未加密的和/或经解密的。