管理應用于應用的許可設置的制作方法
【專利摘要】本文所描述的內容的一些方面涉及管理應用于移動設備上的應用的許可設置����。識別應用于與設備上的周邊相關聯(lián)的應用的多個管理策略?����;谂c應用相關聯(lián)的周邊來針對應用確定針對每一個管理策略的優(yōu)先級排序���。將基于優(yōu)先級排序的許可設置應用于應用�����。
【專利說明】管理應用于應用的許可設置
【技術領域】
[0001]本公開涉及管理應用于設備上的應用的許可設置���。
【背景技術】
[0002]很多通信設備包括可訪問性由許可設置控制的數據��、應用和網絡資源�����。例如���,用戶賬戶、管理權�����、數據庫管理等可以由許可設置來管理��。
【專利附圖】
【附圖說明】
[0003]圖1是示出了示例數據通信系統(tǒng)的示意圖�。
[0004]圖2是示出了示例移動設備的示意圖。
[0005]圖3是示出了對移動設備上的資源的示例使用的示意圖�����。
[0006]圖4是用于管理應用于移動設備上的應用的許可設置的示例性過程的流程圖。
[0007]各個附圖中的相同的附圖標記和標志指示相似的元素�。
【具體實施方式】
[0008]本公開中使用的周邊(perimeter)通常是指具有公共管理方案的資源組�,并且每一個周邊通常包括一個或多個資源、以及與一個或多個資源的使用或者對一個或多個資源的訪問有關的一個或多個策略��。周邊可以在包括設備的數據通信系統(tǒng)上實現(xiàn)��,并且可被用于在邏輯上分隔設備上的信息(例如�,文件、應用�、證書、配置數據����、網絡連接、數據等)�����。例如�,設備可以實現(xiàn)兩個或更多個周邊,這些周邊可以包括個人周邊�、企業(yè)或工作周邊、這些和其它類型的周邊的任何適當的組合。在一些實施例中�����,設備可以包括多個個人周邊���、多個企業(yè)周邊�����、或者這二者����。個人周邊可以由設備用戶管理�,而企業(yè)周邊可以由企業(yè)或公司管理者管理。在一些實現(xiàn)中�����,企業(yè)或公司管理者可以另外管理個人周邊或設備或者這二者�����。由企業(yè)����、雇主或公司購買�����、擁有���、或以其它方式提供的設備通?��?梢苑Q作公司負責設備��,而由員工或個體購買的��、擁有或以其它方式提供的設備通?����?梢苑Q作個人負責設備或個體負責設備����。
[0009]在一些實現(xiàn)中���,設備上的每一個周邊在設備上具有其自己的文件系統(tǒng)�,并且可以通過設備上文件系統(tǒng)的分隔來至少部分地提供周邊之間的分隔。在一些情況下�,每一個周邊的資源中的一些(例如,數據和策略)被存儲在周邊的專用文件系統(tǒng)中�����,而每一個周邊的其它資源(例如�����,應用)被存儲在專用文件系統(tǒng)之外�。
[0010]文件系統(tǒng)的分隔可以是邏輯的、物理的或者這二者����。例如,可以通過針對每一個文件系統(tǒng)指定在物理上分隔的存儲位置(例如���,分隔的存儲設備�、或者相同的存儲器中的分隔塊)來實現(xiàn)文件系統(tǒng)的物理分隔����。例如,可以通過針對每一個文件系統(tǒng)指定在邏輯上分隔的數據結構(例如���,分隔的目錄等)來實現(xiàn)文件系統(tǒng)的邏輯分隔�。在一些實現(xiàn)中,每一個文件系統(tǒng)具有其自己的加密參數�����。例如�,公司周邊的文件系統(tǒng)可以具有其自己的加密密鑰和較高的加密強度,而個人周邊的文件系統(tǒng)可以具有其自己的加密密鑰和較低的加密強度���。在一些實例中,個人周邊的文件系統(tǒng)具有與公司周邊相同的加密強度��,或者個人周邊的文件系統(tǒng)可以是非加密的���。
[0011]如上所述�����,周邊可以包括共享公共管理方案的資源組�����,其中���,公共管理方案管理對組中的資源的使用��,并且周邊可以包括資源以及描述可以如何使用資源的管理策略�。管理策略可以包括針對周邊規(guī)定的安全限制��?���?捎稍O備運行的應用可以包括當被執(zhí)行時請求訪問其它資源或者向其它應用提供資源(或者這二者)的資源。對于被指派給周邊或者與周邊相關聯(lián)的應用��,應用中包括的資源可被包括在周邊中包括的資源組中��。此外����,針對周邊規(guī)定的安全限制可以將應用限制到組中包括的資源。因此�,當在周邊中運行應用時,周邊的管理策略中包括的安全限制可以確定與應用相關聯(lián)的資源是否可以訪問其它資源����,例如,組中包括的資源或者組之外的資源(或者這二者)����,或者是否授予對其它應用的訪問權限����,該其他應用例如被指派給周邊或者與周邊相關聯(lián)的應用或者未被指派給周邊或者與周邊不相關聯(lián)的應用(或者這二者)����。
[0012]當資源(例如,應用)“進入(launch into) ”周邊時,在周邊中對應用的實例進行實例化����。應用所進入的周邊的管理策略可以至少部分地確定應用可以訪問哪些資源(例如,數據資源�����、網絡資源等)或執(zhí)行哪些資源(例如��,數據資源���、網絡資源等)。因此��,當應用的實例在周邊中運行時�,至少部分地基于周邊的管理策略來確定針對應用的實例的許可(permission)�。對于一些應用�,可以至少部分地基于其它周邊的策略來確定對周邊之外的資源的訪問。
[0013]在一些實現(xiàn)中�����,安全周邊可以從操作系統(tǒng)級一直到用戶界面對不同類別的數據(例如�,工作數據、個人數據等)進行劃分或分隔���。因此���,周邊架構可以在操作系統(tǒng)級、文件級����、用戶界面級、以及設備的其它級提供對數據的保護�����。在一些情況下�����,安全周邊可以確保不同類別的數據、應用和用戶體驗之間的完全分隔�,同時如果需要還允許不同類別的數據在相同的應用中共存并且共享數據。安全周邊可以允許“混合應用”�,例如,顯示個人電子郵件和公司電子郵件二者的統(tǒng)一收信信箱����。在一些實例中,可以將應用限制于相應的周邊場景(例如����,“工作”或“個人”周邊場景)。例如����,社交網絡應用可以被配置為僅在個人周邊中出現(xiàn)。在一些實例中�,相同應用的不同實例可以在多個周邊中運行。例如�,設備可以具有針對用戶的個人賬戶在的個人周邊中運行的社交網絡應用(例如�����,F(xiàn)acebook���、Twitter等)的實例���,并且設備可以具有針對用戶的單位或用戶的公司賬戶在公司周邊中運行的相同的社交網絡應用的實例����。
[0014]數據通信系統(tǒng)可以包括諸如移動設備等的用戶設備���,其提供多個計算機軟件應用��。提供應用可以包括例如由設備執(zhí)行一個或多個動作��。動作可以包括用于將應用安裝在設備上的安裝動作���、用于執(zhí)行應用的執(zhí)行動作、用于使應用能夠訪問存儲在設備上的數據或者用于使其他應用能夠訪問與該應用相關聯(lián)的數據(或者它們的組合)的數據訪問動作��、用于從設備卸載應用的卸載動作等�����。應用可以與對設備是否可以執(zhí)行動作中的一個或多個進行限定的許可相關聯(lián)�。
[0015]可以由多個管理源或策略(或者這二者)來限定(例如,授予)許可,所述多個管理源或策略例如是提供應用的供應商���、設備的用戶���、企業(yè)、與應用相關聯(lián)的周邊等����。周邊可以實現(xiàn)在設備上,并且可以用于在邏輯上分隔信息(例如�,數據,應用��、網絡資源等)����。周邊可以是個人周邊、企業(yè)周邊�、或者這些類型和其它類型的周邊的任何適當的組合。個人周邊和企業(yè)周邊可以分別由設備的用戶和公司管理者的相應管理策略來管理�����,并且因此分別與設備的用戶和公司管理者的相應管理策略相關聯(lián)��。
[0016]在一些實現(xiàn)中�,針對應用的許可指示授權應用對設備進行哪些動作。例如����,針對應用的許可可以指示應用可以訪問、讀��、寫����、修改或執(zhí)行的數據資源、網絡資源����、或其它資源的類型,或者應用可以具有另一種類型的許可設置�。針對應用的許可可以包括應用的布置。應用的布置可以包括指示應用在設備上是否被準許�����。例如����,應用在設備上可以是授權的、未被授權的、或啟用的���,或者應用可以具有另一種類型的布置����。
[0017]在一些實例中����,將許可設置應用于應用?���?梢曰谂c應用或執(zhí)行應用的設備(或者這二者)相關聯(lián)的多個管理源或策略來確定許可設置。在一些實現(xiàn)中�����,可以識別應用于與設備上的周邊相關聯(lián)的應用的多個管理策略��。對于多個管理策略中的每一個��,可以確定優(yōu)先級排序���?����?梢曰谂c應用相關聯(lián)的周邊來確定優(yōu)先級排序��?��;卺槍Χ鄠€管理策略的優(yōu)先級排序,可以將許可設置應用于應用�。例如,可以在設備中包括集中式策略引擎����,以從多個管理策略接收許可決策,并且生成應用于應用的許可設置��。在一個示例中�����,集中式策略引擎可以接收允許執(zhí)行全球定位系統(tǒng)(GPS)應用的用戶管理策略以及拒絕執(zhí)行GPS應用的家長(parental)控制管理策略����。集中式策略引擎可以確定家長控制管理策略具有高于用戶管理策略的優(yōu)先級排序,并且因此可以將許可設置應用于GPS應用�,該許可設置在對用戶管理策略進行限定的用戶請求時不允許執(zhí)行該應用���。
[0018]圖1是示出了示例性數據通信系統(tǒng)100的示意圖。示例性數據通信系統(tǒng)100包括設備102��、企業(yè)網絡104a�、以及一個或多個其它網絡104b。數據通信系統(tǒng)可以視情況包括其他的�����、不同的或更少的特征�。圖1中的示意圖還示出了用戶106a、106b�����、設備所有者105�、以及管理者108a、108b����、108c進行的交互。在一些情況下���,設備所有者105可以是用戶106a或106b�、工商企業(yè)、或另一實體之一���。在各種實現(xiàn)中�,其他的��、不同的或更少的實體可以視情況與數據通信系統(tǒng)進行交互����。
[0019]設備102可以是任何適當的計算設備���。通常�����,計算設備包括計算機可讀介質和數據處理裝置�。計算機可讀介質可以包括被配置為存儲機器可讀信息的任何適當的存儲器�、磁盤、存儲設備或者其它裝置����。計算機可讀介質可以存儲可以由數據處理裝置執(zhí)行的指令。數據處理裝置可以包括被配置為基于機器可讀指令來執(zhí)行操作的任何適當的處理器�、控制器�、電路或者其它裝置�。數據處理裝置可以包括可編程處理器、數字邏輯電路����、固件、或任何其它適當的設備��。計算機可讀介質可以包括單個介質或多個介質���,并且數據處理裝置可以包括單個裝置或多個裝置�����。計算機可讀介質可以是傳播的信號�����,可以通過編碼處理將這里描述的操作編碼在該信號中����。
[0020]示例性設備102能夠操作以經由用戶界面(例如圖形用戶界面或任何其它適當的用戶界面)從用戶接收請求�。如圖1所示,設備102被可通信地耦合到企業(yè)網絡104a和一個或多個其它網絡104b�����。示例性設備102能夠操作以接收、發(fā)送����、處理和存儲任何適當的數據。例如��,設備102可以包括智能電話�、平板計算機、個人計算機�����、膝上型計算機����、個人數字助理(PDA)�����、或其它類型的用戶設備�����。設備102可以包括輸入設備(例如,鍵盤��、觸摸屏���、鼠標�、或可以接受信息的其它設備)和傳遞與資源的操作相關聯(lián)的信息的輸出設備(例如���,顯示屏)��。輸入設備和輸出設備都可以包括用于通過顯示器從用戶接收輸入并且向用戶提供輸出的固定或可拆卸的存儲介質(例如�,存儲器等)���。[0021]如圖1所示��,設備102可以包括三個示例性周邊110a���、110b、以及I IOc (無論單獨地還是共同地都稱為“周邊110”)�����。每一個周邊110包括數據112、網絡訪問資源114����、一個或多個應用116、一個或多個配置文件118�����、以及一個或多個策略120�。周邊110可以僅包括所示出的資源的子集,或者周邊110可以包括其他的或不同的資源����。
[0022]示例性周邊110可以在邏輯上分隔資源(例如,應用�、數據、網絡訪問資源�����、配置文件等)�,使得在一些實例中���,可以防止給定周邊中的資源訪問不同周邊中包括的資源�����。例如�����,可以防止一個周邊中的個人資源訪問另一周邊中的公司資源���,反之亦然����。在一些情況下�����,企業(yè)可以在不干擾單個用戶設備上的用戶的個人體驗的情況下在相同設備上擴展受保護的周邊��。周邊還可以準許對資源的跨周邊訪問����。可以通過向每一個周邊限定策略�����、向每一個周邊指派策略或以其它方式將策略關聯(lián)到每一個周邊,來控制對周邊資源的訪問��。
[0023]可以使用任何適當的信息以任何適當的格式實現(xiàn)針對周邊的策略�。策略可以指定對可以由(在周邊中運行的)內部應用訪問的(另一周邊中的)外部資源和可以由外部應用訪問的內部資源二者的訪問。例如���,給定周邊的策略可以標識可以訪問的其它周邊��、不可由其它周邊訪問的內部資源�、或者這二者�����。周邊的策略可以標識可以訪問或不可以訪問周邊中指定資源的特定用戶�。在一些實現(xiàn)中,來自兩個周邊的策略確定是否授予跨周邊訪問的許可���。
[0024]周邊架構實現(xiàn)了計算資源的邏輯分隔�,使得可以控制周邊之間的數據傳送和對其它周邊的資源的訪問���。資源可以包括應用、文件系統(tǒng)�、網絡訪問、或其它計算資源。除了實現(xiàn)對周邊中的資源的訪問之外���,示例性數據通信系統(tǒng)100還可以包括標識周邊中的資源可以訪問的特定外部資源的策略�。執(zhí)行周邊構思的示例性數據通信系統(tǒng)100可以管理無縫用戶體驗�����。
[0025]周邊110可以包括密碼保護�����、加密�����、以及用于控制對被指派給周邊的資源的訪問的其它過程��。周邊110可以是由設備所有者���、用戶����、管理者等產生的����。在一些示例中����,周邊IlOa可以是針對用戶106a創(chuàng)建并且由用戶106a管理的個人周邊����。在一些示例中,周邊IlOb可以是由管理者108b針對企業(yè)創(chuàng)建的企業(yè)周邊���,并且可以由遠程管理服務器來管理�����。此外��,給定周邊可以由設備所有者105�、用戶��、管理者�、或任何適當的組合來訪問。在一些實現(xiàn)中����,每一個周邊可以與單個用戶相關聯(lián)�����,并且至少一些用戶可以訪問多個設備周邊。例如��,第一用戶106a可以訪問周邊IlOa和周邊IlOb 二者中的資源��,第二用戶106b可以僅有權訪問周邊110c��。
[0026]在一些實例中��,可以添加��、刪除或修改相應周邊����。設備所有者105可以有能力添加或從設備102移除相應周邊110。在一些實現(xiàn)中�����,用戶可以創(chuàng)建周邊。在一些實例中��,與企業(yè)網絡104a相關聯(lián)的組織可以向設備發(fā)送標識新周邊的初始資源(例如����,應用、策略�����、配置等)的信息���。周邊管理者可以指派針對周邊的策略,并且發(fā)起周邊更新�。在一些實現(xiàn)中,周邊管理者可以在遠程鎖定或擦除周邊����。
[0027]可以在設備102上在任何適當的存儲器或數據庫模塊中存儲信息。示例性存儲器包括易失性存儲器和非易失性存儲器�、磁性介質、光學介質��、隨機存取存儲器(RAM)���、只讀存儲器(ROM)�����、可拆卸介質等���。數據112可以包括任何適當的信息�����。設備102可以存儲各種對象,包括:文件�����、類(class)��、框架�����、備份數據�����、商業(yè)對象�����、工作、網頁�����、網頁模板����、數據庫表格、存儲商業(yè)信息或動態(tài)信息的知識庫�、以及包括任何參數、變量��、算法��、指令�����、規(guī)則����、約束、對其的引用的任何其它適當的信息�。數據112可以包括與應用、網絡�����、用戶相關聯(lián)的信息�����、以及其它信息�。
[0028]網絡訪問資源114可以包括用于準許訪問網絡的任何適當的參數、變量��、策略���、算法�、指令、設置�����、或規(guī)則�。例如,網絡訪問資源114a可以包括或標識用于訪問企業(yè)網絡104a的防火墻策略��。作為另一示例,網絡訪問資源114b可以包括或標識用于訪問一個或多個其它網絡104b的賬戶數據�����。在一些實現(xiàn)中�����,網絡訪問資源包括或以其它方式標識以下各項中的一項或多項:用戶名����、密碼��、安全令牌����、虛擬專用網(VPN)配置�����、防火墻策略���、通信協(xié)議�、加密密鑰證書等�����。
[0029]應用116可以包括可執(zhí)行���、改變��、刪除�、生成或處理信息的任何適當的程序���、模塊、腳本��、過程或其它對象�。例如�����,應用可被實現(xiàn)為企業(yè)Java組件(^Enterprise Java Bean,EJB)����。設計時的組件可以有能力將執(zhí)行時的實現(xiàn)生成到不同的平臺中,這些平臺例如是J2EE(Java2平臺�,企業(yè)版)、ABAP (高級商業(yè)應用編程)對象�����、或微軟的.NET����。此外,雖然被示出為在設備102之內��,但是可以在遠程存儲���、引用或執(zhí)行與應用116相關聯(lián)的一個或多個過程��。例如���,應用116的一部分可以是針對在遠程執(zhí)行的網站服務的接口。此外�,應用116可以是另一軟件模塊(未示出)的次模塊或子模塊。
[0030]配置文件118可以包括用于配置設備102的軟件的任何適當的參數����、變量、策略����、算法、指令�����、設置��、或規(guī)則�。例如,配置文件118可以包括標識一個或多個應用116的設置的表格���。在一些實現(xiàn)中���,配置文件118標識一個或多個應用116和其它類型的應用的初始設置,例如��,操作系統(tǒng)設置���。可以通過任何適當的格式來書寫配置文件118���,例如ASCII和面向行等�����。
[0031]策略120可以包括用于啟用或防止對一個或多個周邊中的資源的訪問的任何參數����、變量、策略���、算法����、指令�����、`設置�����、或規(guī)則�����。例如,策略120a可以標識在周邊IlOa之外的可以由周邊IlOa中的資源訪問的資源�。給定周邊的策略可以包括或以其它方式標識周邊的可訪問性(通常是周邊中的特定資源的可訪問性)、周邊中的資源訪問其它周邊的能力�����、以及其它可訪問性信息���。策略可以指定用戶的可訪問性����、動作類型����、時間段等。在一些實現(xiàn)中�,策略可以標識周邊的、可以由外部資源訪問的特定資源���。例如���,針對周邊IlOa的策略120a可以指示另一周邊IlOb中的特定應用可以或不可以訪問第一周邊IlOa中的數據或資源����。作為另一示例�,針對周邊IlOa的策略120a可以指示其它周邊IlOb或IlOc中的任意應用可以或不可以訪問第一周邊IlOa中的數據或資源����。
[0032]在一些實現(xiàn)中���,策略120可以限定或以其它方式標識用戶認證過程�����。例如���,策略120可以標識用戶認證的類型和內容(例如,密碼強度�、生命周期),以應用于跨周邊請求�。當用戶提供對多個周邊的訪問的請求時,可以由雙方周邊的策略來評估請求��。在一些實例中�����,如果雙方策略授予訪問權限,則可以批準跨周邊請求�����。
[0033]設備102可以連接到多個網絡����,例如,企業(yè)網絡104a和其它網絡104b�����。企業(yè)網絡104a可以包括無線網絡���、虛擬專用網�����、有線網絡、或任何適當的網絡�。企業(yè)可以是公司或商業(yè)實體、政府機構��、非營利機構、或其它組織��。企業(yè)可以是設備所有者105。企業(yè)還可以租用設備102或者可以雇傭負責維護�、配置、控制或管理設備102的承包商或代理�����。其它網絡104b可以包括可由用戶訪問的任何適當的網絡����。例如,其它網絡可以包括用戶具有賬戶的公共網絡�����、專用網絡�����、自組織網絡�����、或其它類型的網絡���。在一些情況下���,其它網絡104b包括蜂窩數據網絡���。在一些情況下��,其它網絡104b包括用戶的家庭網絡。
[0034]網絡104a和104b促進與設備102的通信�����。網絡104a和104b中的任意一個可以例如在網絡地址之間傳送互聯(lián)網協(xié)議(IP)分組�、幀中繼幀、異步傳輸模式(ATM)信元�、語音、視頻����、數據和其它適當的信息�����。此外,雖然企業(yè)網絡104a和其它網絡104b均被示出為單個網絡����,但是每一個網絡可以包括多個網絡,并且可以提供對其他網絡的訪問。簡言之���,企業(yè)網絡104a和其它網絡104b可以包括被配置為與設備102進行通信的任何適當的網絡����。
[0035]圖2是示出了包括顯示器202���、可選擇的鍵盤204和其他的特征的示例性移動設備200的示意圖�?�?梢栽谠O備200上安裝多個應用�����,并且由設備200執(zhí)行所述多個應用���。在一些實現(xiàn)中����,可以通過應用的層次結構來安裝應用,其中每一個應用可以被指派給包含在設備200中的一個或多個周邊(例如���,周邊110a��、110b)??梢杂稍O備200執(zhí)行每一個應用,以共同地提供對可以通過設備200得到的數據的不同程度的安全訪問���。設備200上的應用對數據的訪問或者應用的執(zhí)行可以取決于應用于應用的許可設置���。針對應用的許可設置可以基于設備200針對為應用限定的多個管理策略中的每一個確定的優(yōu)先級排序。
[0036]管理策略可以包括可應用于應用的許可���。例如��,企業(yè)策略可以準許應用僅訪問企業(yè)數據���。第一用戶的策略可以是可準許執(zhí)行應用或者不得準許執(zhí)行應用的家長策略��。第二用戶的管理策略可以超控(override)家長策略�����,或者不可超控家長策略�。設備的管理策略可以將應用的執(zhí)行限制于例如特定的地理位置����。因此,雖然多個管理策略可以限定可應用于應用的多個許可設置�����,但是兩個或更多個管理策略可以具有沖突的許可����。例如���,即使用戶策略授予卸載設備跟蹤應用的許可��,家長策略也可以拒絕卸載該應用的許可�。
[0037]在一些實現(xiàn)中���,設備200可以實現(xiàn)集中式策略引擎250�����,集中式策略引擎250可以接收由每一個管理策略限定的許可����,并且確定針對每一個策略的優(yōu)先級排序。集中式策略引擎250可被實現(xiàn)為可以由設備200執(zhí)行的計算機軟件指令��。引擎250可以與設備200����、包含在設備200中的每一個周邊、設備200可以與之通信的各個網絡(包括可以由設備200執(zhí)行的應用��、設備200上存儲的數據等的提供者)進行通信�����。引擎250可以包含在設備200中或者可以在設備200之外�。例如,引擎250可被實現(xiàn)為通過如圖3所示的一個或多個網絡與設備200進行通信的計算機服務器系統(tǒng)���。
[0038]在一些實現(xiàn)中�����,可以使用設備200來限定針對應用的管理策略�。例如,設備200可以執(zhí)行集中式策略引擎250�,以提供一個或多個周邊管理器界面(例如,界面206a�、206b、206c)��,所述周邊管理器界面顯示與可以被限定或編輯或即被限定又被編輯的管理策略相關聯(lián)的許可���。在一些實現(xiàn)中����,設備200可以接收用于執(zhí)行引擎250的輸入�。當設備200響應于輸入而執(zhí)行引擎250時�,引擎250可以使界面顯示在顯示器202中。如下所述���,用戶可以通過選擇在周邊管理器界面中顯示的功能(例如�����,功能1��、功能2等)來限定與應用相關聯(lián)的許可��。
[0039]在一些實現(xiàn)中�,引擎250可以在設備200中包含的每一個周邊中顯示周邊管理器界面,并且可在此外在設備200中包含的任何一個周邊之外顯示至少一個周邊管理器界面�����。例如���,在用戶(例如����,通過下載應用)將應用安裝在設備200上并且將應用指派給個人周邊IlOa時��,引擎250可以在個人周邊IlOa中顯示周邊管理器界面206a�����。引擎250可以在安裝應用時自動地在個人周邊I IOa中顯示周邊管理器界面206a�。備選地,引擎250可以在用戶最初啟動應用時顯示周邊管理器界面206a。引擎250可以在周邊管理器界面206a中顯示共同地限定與應用相關聯(lián)的許可的多個功能���。
[0040]引擎250可以促使設備200的用戶選擇在界面中顯示的一個或多個功能����。所顯示的功能可以包括應用的開發(fā)者請求的功能�。設備200可以基于用戶的選擇來授予許可。例如�����,如果用戶允許的話���,設備200可以授予對指派給個人周邊IlOa的個人數據的訪問權限���。設備200可以基于用戶的選擇并且基于企業(yè)的允許應用訪問企業(yè)聯(lián)系人的策略來授予對指派給企業(yè)周邊IlOb的企業(yè)聯(lián)系人的訪問權限。通過這種方式��,引擎250可以使用戶能夠選擇對可應用于應用的許可進行限定的功能�����。
[0041]在前面的示例中描述的許可可以包含在用戶管理策略中���。如上所述����,其它管理策略可以包括供應商管理策略���、家長控制管理策略�����、企業(yè)管理策略�、周邊管理策略等�����。對于具有可編輯功能的管理策略�����,引擎250可以提供一個或多個周邊管理器界面����,以準許管理策略的提供者選擇(或取消選擇)一個或多個功能。此外�,引擎250可以確定一些管理策略具有固定(即,不可編輯)功能,并且作為響應��,可以不提供周邊管理器界面��。至少部分地基于多個管理策略的多個功能來確定應用于由設備200執(zhí)行的應用的許可設置����。
[0042]可以向管理策略組指派針對設備200上的每一個應用或者針對在設備200上執(zhí)行的應用的每一個實例的特定優(yōu)先級排序。對于給定的管理策略組�,針對每一個應用或者針對應用的每一個實例,優(yōu)先級排序可以是不同的���。
[0043]在一些實現(xiàn)中��,為了將許可設置應用于應用�,引擎250可以基于管理策略的源或來源來確定針對管理策略的優(yōu)先級排序����。例如,引擎250可以確定一個管理策略是設備所有者的策略�����,另一管理策略是用戶的策略���,并且引擎250可以將較高優(yōu)先級排序指派給設備所有者的策略�����。引擎250可以具有指定如何根據每一個相應管理策略的源或來源來對管理策略進行排序的算法或配置文件����?�?梢岳缁谒惴ɑ蚺渲脕硐蛟O備所有者的管理策略提供高于周邊管理者的管理策略的優(yōu)先級排序或者低于周邊管理者的管理策略的優(yōu)先級排序��??梢岳缁谒惴ɑ蚺渲脕硐蛟O備所有者的管理策略提供高于用戶的管理策略的優(yōu)先級排序或者低于用戶的管理策略的優(yōu)先級排序?����?梢岳缁谒惴ɑ蚺渲脕硐蛑苓吂芾碚叩墓芾聿呗蕴峁└哂谟脩舻墓芾聿呗缘膬?yōu)先級排序或者低于用戶的管理策略的優(yōu)先級排序����。
[0044]在一些實現(xiàn)中,為了將許可設置應用于應用��,引擎250可以基于管理策略之間的沖突來確定針對管理策略的優(yōu)先級排序���。例如����,如果引擎250確定第一管理策略比第二管理策略更嚴格,則引擎250可以將較高的優(yōu)先級排序指派給第二管理策略����。備選地,引擎250可以將較高的優(yōu)先級排序指派給比第二管理策略嚴格的第一管理策略����。通過這種方式,引擎250可以將多個管理策略從最嚴格到最不嚴格(反之亦然)進行排序����。因此,引擎250可以基于最高排序的管理策略或最低排序的管理策略(或者基于具有中間優(yōu)先級排序的策略)來將許可設置應用于應用��。
[0045]在一些實現(xiàn)中�,為了將許可設置應用于應用,引擎250可以部分地基于應用所請求的數據來確定針對每一個管理策略的優(yōu)先級排序���。例如�,如果應用請求作為企業(yè)數據(即���,指派給企業(yè)周邊IlOb的數據)的數據��,則引擎250可以將最高優(yōu)先級排序指派給企業(yè)管理策略��。類似地����,如果應用請求通過特定網絡接收的網絡資源�����,則引擎250可以將最高優(yōu)先級排序指派給網絡管理策略��。
[0046]在一些實現(xiàn)中���,引擎250可以在將應用安裝到設備200上時確定針對多個管理策略的優(yōu)先級排序�����,并且可以在應用保持安裝在設備200上的持續(xù)時間期間維持優(yōu)先級排序��。備選地��,引擎250可以周期性地確定針對多個管理策略的優(yōu)先級排序�。例如,引擎250可以每次在設備200上啟動應用時確定新的優(yōu)先級排序�。在另一示例中,引擎250可以在固定時間段(例如�,一天、一周��、一月等)內確定一次或多次新的優(yōu)先級排序���。
[0047]在一些實現(xiàn)中���,引擎250可以例如針對啟動的應用的每一個實例,確定針對應用的管理策略是否保持有效�����。管理策略的源可能已經廢除策略����。響應于確定從其接收到管理策略的源已經廢除該策略,引擎250可以重新計算針對剩余管理策略中的每一個管理策略的新的優(yōu)先級排序�����。
[0048]在一些情況下���,管理策略的源可以改變針對應用限定的許可設置���。例如�����,家長控制管理策略可以為應用限定三個許可設置:啟用、停用和禁止�。如果設備200確定停用針對應用的家長控制許可設置,則設備200可以執(zhí)行以下操作中的一個或多個:防止應用啟動��、關閉應用的任何運行中的實例�、在視覺上停用主屏幕上的應用、或者從調用框架注銷應用�����。如果已經安裝了應用����,則設備200可以準許應用仍然保持在設備200上。設備200還可以準許在設備200上安裝應用���,但是不準許啟動安裝的應用����。另一方面,如果設備200確定針對應用的家長控制許可設置是禁止����,則設備200可以立即從設備200卸載該應用或者阻止在設備上安裝將來的應用(或者這二者)。家長控制許可設置是啟用的應用既未被停用也未被禁止����,因此不受限制。
[0049]在一些實現(xiàn)中�����,引擎250可以檢測管理策略的改變��,并且相應地更新優(yōu)先級排序���。例如�,當確定針對家長控制管理策略的優(yōu)先級排序時�����,引擎250可以確定啟用家長控制許可設置。如果應用沒有限制�,則引擎250可以針對家長控制管理策略確定低于其它管理策略的優(yōu)先級排序。隨后�,引擎250可以確定已經將家長控制許可設置從啟用改變?yōu)橥S谩W鳛轫憫?���,引?50可以將針對家長控制管理策略的新的優(yōu)先級排序確定為大于當啟用針對應用的許可設置時的優(yōu)先級排序。類似地�,引擎250可以響應于確定已經將設置從啟用改變?yōu)榻梗_定針對家長控制管理策略的新的優(yōu)先級排序�。在管理策略的限制級別基于許可設置而改變的這些實例中,引擎250可以當許可設置最嚴格時將最高優(yōu)先級排序指派給策略����,并且當許可設置最不嚴格時���,將最低優(yōu)先級排序指派給策略�����。
[0050]在一些實現(xiàn)中����,向管理策略指派優(yōu)先級排序,而與相應管理策略指定的許可設置無關���。例如����,引擎250可以被配置為向家長管理策略指派較高的優(yōu)先級排序并且向用戶的管理策略指派較低的優(yōu)先級排序�����,而不論該管理策略之一是更嚴格還是更不嚴格�����;引擎250可以被配置為向設備所有者的管理策略指派較高的優(yōu)先級排序并且向用戶的管理策略指派較低的優(yōu)先級排序���,而不論該管理策略之一是更嚴格還是更不嚴格����;引擎250可以被配置為向一個周邊的管理策略指派較高的優(yōu)先級排序并且向另一周邊的管理策略指派較低的優(yōu)先級排序����,而不論該管理策略之一是更嚴格還是更不嚴格;等等�。
[0051]在一些情況下�����,當管理策略中的一個或多個改變時�����,優(yōu)先級排序可以保持不變����。例如�,在一些情況下,將家長管理策略改變?yōu)楦鼑栏窕蚋粐栏癫粫绊戓槍玫募议L管理策略的優(yōu)先級排序�。在這些情況下,雖然針對應用的家長管理策略的優(yōu)先級排序未受影響����,但是可以響應于更新的家長管理策略來修改應用于應用的許可設置�。例如,如果家長管理策略具有針對應用的最高優(yōu)先級��,則對家長管理策略的任何改變可以影響應用于應用的許可設置�。[0052]圖3是示出了移動設備對網絡資源的示例性使用的示意圖。圖3中所示的示例性使用可以在不同的時間發(fā)生���,或者它們可以同時發(fā)生���。在所示的示例中�,設備302被配置為與公司網絡304a和304b以及非公司網絡304c進行通信��。公司網絡304a和304b可以包括企業(yè)的虛擬專用網�����、企業(yè)的專用W1-Fi網絡��、企業(yè)的有線網絡��、由企業(yè)管理的另一網絡����。非公司網絡可以包括例如公眾可訪問的W1-Fi網絡、蜂窩數據網絡���、個人無線網絡�、或者另一種類型的網絡����。設備302被配置為與之通信的每一個網絡可以限定相應的網絡管理策略��,基于該網絡管理策略�,設備302可以確定嘗試與網絡進行通信的應用的許可設置���。
[0053]設備302包括企業(yè)周邊306a和個人周邊306b�����。企業(yè)周邊306a包括企業(yè)應用308a和308b���,個人周邊306b包括個人應用308c和308d。企業(yè)周邊306a包括虛擬專用網數據310和企業(yè)連接數據312a����。個人周邊包括其它連接數據312b。與每一個網絡類似���,每一個周邊也可以限定相應的周邊管理策略����,設備302可以基于該相應的周邊管理策略來確定在周邊中執(zhí)行的應用或者嘗試訪問指派給該周邊的數據(或者這二者)的應用的許可設置����。
[0054]設備302可以使用企業(yè)周邊306a的網絡資源來訪問公司網絡304a和304b,并且該設備可以使用個人周邊306b的網絡資源來訪問非公司網絡304c���。在一些情況下�����,網絡304a,304b和304c中的每一個可以提供對其它系統(tǒng)的訪問����。例如�,網絡304a、304b和304c中的一個或多個可以為設備302提供互聯(lián)網訪問�����。一些網絡可以僅提供對特定服務器�、數據庫或系統(tǒng)的訪問。例如��,公司網絡304a可以僅提供對公司電子郵件服務器的訪問����。設備302可以通過物理接口 314的任何適當的組件連接到網絡304a、304b�����、以及304c中的任意一個。例如���,連接硬件可以包括針對以下各項的硬件=W1-Fi連接�����、蜂窩連接���、藍牙、通用串行總線(USB)�、射頻識別(RFID)、近場通信(NFC)���、或其它連接技術�。
[0055]虛擬專用網數據310提供與公司網絡304a的安全連接����。在圖3中所示的示例中,虛擬專用網數據310用于將企業(yè)應用308a的企業(yè)數據業(yè)務路由到公司網絡304a�。企業(yè)周邊306a中的企業(yè)連接數據312a提供與公司網絡304b的連接,并且個人周邊306b中的其它連接數據312b提供與其它網絡304c的連接。在圖3中所示的示例中����,企業(yè)連接數據312a用于將企業(yè)應用308b的企業(yè)數據業(yè)務路由到公司網絡304b���,并且企業(yè)連接數據312a還用于將個人應用308c的個人數據業(yè)務路由到公司網絡304b����。
[0056]在一些實現(xiàn)中���,連接數據312a和312b可以包括加密信息�、網絡設置和信息��、密碼�����、證書��、以及其它數據�。如上所述,每一個周邊可以包括針對應用的周邊管理策略��、以及周邊之內的網絡資源、周邊之外的網絡資源或者周邊之內的網絡資源和周邊之外的網絡資源����。例如,設備302可以包括允許公司周邊306b中的公司應用訪問個人周邊306b中的數據(例如�,其它連接數據312b、或者其它數據)的企業(yè)周邊管理策略(例如�,指派給企業(yè)周邊306a的策略)。也可以通過與設備302通信的其他實體(例如���,企業(yè)����、一個或多個用戶等)來限定對應用的許可設置進行確定的管理策略���。此外��,設備302本身可以限定管理策略�。此外���,從其接收到應用的源(例如���,應用的提供者)可以限定可影響設備302對應用的執(zhí)行以及設備302的一個或多個用戶對應用的訪問的管理策略。因此,在一些實現(xiàn)中����,多個管理策略可以包括以下各項中的至少兩項:企業(yè)策略、個人策略����、應用策略�����、家長策略����、或設備策略。
[0057]在一些情況下���,來自不同的源的管理策略可能交叉��。例如�,個人周邊管理策略和企業(yè)周邊管理策略可以各自指定與個人應用(即����,個人周邊IlOa中包含的應用)有關的、訪問企業(yè)周邊IlOb中包含的工作聯(lián)系人的相應許可。如果該兩個周邊管理策略都準許�����,則所有個人應用都可以具有用于訪問工作聯(lián)系人的相應的許可設置�����。供應商管理策略可以與周邊管理策略交叉���。例如��,如果供應商指定只有由供應商提供的應用才可以訪問在安裝有應用的周邊之外的數據��,則供應商管理策略可以比其它策略排序更高��,并且只有供應商提供并包含在個人周邊中的應用可以訪問工作聯(lián)系人�����。然而��,如果用戶限定了個人應用不能訪問未包含在個人周邊中的數據的用戶管理策略�����,則用戶管理策略可以比所有其它管理策略排序更高�����。相反��,如果用戶未指定這種訪問(例如����,作為周邊管理器界面中的功能)���,則用戶管理策略可以比其它策略排序更低��。
[0058]圖4是示出了用于管理針對移動設備上的應用的許可設置的示例性過程400的流程圖�。過程400可以由通信系統(tǒng)中的用戶設備來執(zhí)行���。例如�����,過程400可以由如圖1中所示的設備102��、如圖2中所示的設備200���、如圖3中所示的設備302���、或者另一種類型的系統(tǒng)或模塊來執(zhí)行??梢允褂闷渌摹⒏俚幕虿煌牟僮鱽韴?zhí)行圖4中所示的示例性過程400��,其中��,可以以所示的順序或者以不同的順序來執(zhí)行這些其他的����、更少的或不同的操作。在一些實現(xiàn)中�,例如,可以重復或迭代操作中的一個或多個��,直到達到終止條件為止��。
[0059]在一些實現(xiàn)中���,設備可以包括與設備的用戶相關聯(lián)的個人周邊���。個人周邊中的應用可以包括任何適當的應用����,例如����,日歷、電子郵件���、游戲�、工具等���。設備可以包括多個個人周邊����,并且每一個個人周邊可以與相同的用戶相關聯(lián)��,或者它們可以分別與不同的用戶相關聯(lián)�����。例如��,多個用戶可以被授權使用該設備����,并且每一個用戶可以在設備上具有其自己的個人周邊。每一個個人周邊可以與相應的管理策略相關聯(lián)��。備選地����,每一個用戶可以與相應的管理策略相關聯(lián),該相應的管理策略還與關聯(lián)于用戶的個人周邊相關聯(lián)��。
[0060]在一些實現(xiàn)中�����,用戶設備包括與企業(yè)(例如����,工商企業(yè)、合伙企業(yè)或其它企業(yè))相關聯(lián)的企業(yè)周邊��。例如�����,企業(yè)可以擁有設備���,并且將設備指派給特定的用戶��。企業(yè)周邊可以包括任何適當的網絡資源��,例如,虛擬專用網賬戶���、W1-Fi訪問數據等��。這種企業(yè)還可以針對設備或用戶或者這二者限定和關聯(lián)管理策略����。企業(yè)針對設備限定的管理策略可以是一致的�����,而與設備的用戶無關。備選地,企業(yè)可以針對設備的每一個用戶限定管理策略�����。企業(yè)管理者可以設置設備策略,或者配置設備以供企業(yè)使用�����。在一些實例中��,用戶設備包括多個企業(yè)周邊���。每一個企業(yè)周邊可以與相同的企業(yè)相關聯(lián),或者它們可以分別與不同的企業(yè)相關聯(lián)��。例如,用戶可以擁有設備�,并且針對與他或她相關聯(lián)的每一個企業(yè)具有周邊�。
[0061]在410,設備識別應用于與設備上的周邊相關聯(lián)的應用的多個管理策略��。例如�,設備可以識別用戶的管理策略、設備所有者的管理策略、家長管理策略����、企業(yè)管理策略����、一個或多個周邊管理策略等����。所識別的管理策略中的一些或全部可以具有不同的許可設置或訪問設置��。例如,管理策略中的一個可以準許訪問指定周邊中的所有資源�����,而管理策略中的另一個拒絕訪問相同周邊中的指定資源。
[0062]在420�,設備針對應用確定針對多個管理策略中的每一個管理策略的優(yōu)先級排序。設備基于與應用相關聯(lián)的周邊來確定針對管理策略中的至少一個管理策略的優(yōu)先級排序�。例如,當用戶的個人管理策略應用于在用戶的個人周邊中運行的應用時���,可以向用戶的個人管理策略指派較高的排序,并且當用戶的個人管理策略應用于在另一周邊(例如,企業(yè)周邊)中運行的應用時��,可以向用戶的個人管理策略指派較低的排序。作為另一示例�����,當周邊的管理策略應用于在周邊中運行的應用時���,可以向該周邊的管理策略指派較高排序����,并且當周邊的管理策略應用于在該周邊之外(例如,在另一周邊中)運行的應用時����,可以向該周邊的管理策略指派較低的排序����。
[0063]可以基于管理策略的源來確定針對給定管理策略的優(yōu)先級排序�。例如��,可以向設備所有者的管理策略指派高于設備用戶的管理策略的優(yōu)先級排序����。在一些情況下,多個管理策略具有相同的優(yōu)先級排序��,或者可以向所有管理策略提供不同的優(yōu)先級排序��?�?梢曰诮o定管理策略的內容來確定針對該管理策略的優(yōu)先級排序�����。例如�,可以向較嚴格的管理策略指派高于或低于較不嚴格的管理策略的優(yōu)先級排序。
[0064]在430��,設備基于針對多個管理策略的優(yōu)先級排序將許可設置應用于應用���。應用于應用的許可設置可以是最高排序的管理策略的許可設置�����。應用于應用的許可設置可以是根據多個高排序的管理策略導出的許可設置的組合��。
[0065]在一些情況下����,最高排序的管理策略沒有具有較低優(yōu)先級排序的其它管理策略嚴格。在這些情況下�,應用于應用的許可設置可以準許具有較低優(yōu)先級排序的管理策略中的一個或多個管理策略將不會準許的動作。在一些情況下��,最高排序的管理策略比具有較低優(yōu)先級排序的其它管理策略更嚴格����。在這些情況下,應用于應用的許可設置可以禁止具有較低優(yōu)先級排序的管理策略中的一個或多個管理策略將不會準許的動作�。
[0066]在這里描述的內容的一些方面,數目不限的授權策略提供者向設備提供策略決策���。該設備可以在不同環(huán)境中對這些策略提供者的相關性和相對優(yōu)先級進行歸類或優(yōu)先分配(triage)���。
[0067]在這里描述的內容的一些方面,識別應用于與設備上的周邊相關聯(lián)的應用的多個管理策略�����?����;谂c應用相關聯(lián)的周邊來針對應用確定針對于每一個管理策略的優(yōu)先級排序�。將基于優(yōu)先級排序的許可設置應用于應用。
[0068]這些和其它方面的實現(xiàn)可以包括以下特征中的一個或多個��。多個管理策略可以包括以下各項中的至少兩項:企業(yè)策略�、個人策略、應用策略�����、家長策略�����、或設備策略�����。多個管理策略可以包括第一管理策略和第二管理策略���?��;卺槍Χ鄠€管理策略的優(yōu)先級排序來將許可設置應用于應用可以包括:確定第一管理策略與第二管理策略相沖突,并且響應于確定第二管理策略具有高于第一管理策略的優(yōu)先級排序�,應用第二管理策略。許可設置可以基于具有最高優(yōu)先級排序的管理策略���。具有最高優(yōu)先級排序的管理策略可以是多個管理策略中最嚴格的管理策略����。具有最高優(yōu)先級排序的管理策略可以是多個管理策略中最不嚴格的管理策略?���?梢圆糠值鼗趹盟埱蟮臄祿泶_定針對多個管理策略中的每一個管理策略的優(yōu)先級排序?��?梢葬槍υ谠O備上啟動的應用的實例來確定優(yōu)先級排序�?����?梢葬槍υ谠O備上啟用的應用的每一個新的實例來重新確定新的優(yōu)先級排序�����??梢詮囊粋€或多個源接收多個管理策略���??梢源_定從其接收到管理策略的源已經廢除該管理策略。響應于確定源已經廢除該管理策略��,可以針對剩余管理策略中的每一個計算新的優(yōu)先級排序�����?�?梢栽谠O備上提供周邊管理器界面����。在周邊管理器界面中,可以提供用于編輯管理策略的功能���。
[0069]已經描述了多個實現(xiàn)����。但是�����,將理解的是�,可以進行各種修改。步驟的順序的其它變形也是可能的���。因此�,其它實現(xiàn)落入下面的權利要求的范圍內。
【權利要求】
1.一種計算機執(zhí)行的方法����,包括: 識別應用于與設備上的周邊相關聯(lián)的應用的多個管理策略; 針對所述應用�����,確定針對所述多個管理策略中的每個管理策略的優(yōu)先級排序��,其中�����,針對所述管理策略中的至少一個管理策略的優(yōu)先級排序是基于與所述應用相關聯(lián)的所述周邊來確定的�;以及 基于針對所述多個管理策略的所述優(yōu)先級排序,將許可設置應用于所述應用��。
2.根據權利要求1所述的方法�����,其中�,所述多個管理策略包括以下至少兩項:企業(yè)策略、個人策略�����、應用策略���、家長策略��、或者設備策略�����。
3.根據權利要求1或2所述的方法�����,其中��,所述多個管理策略包括由不同的策略提供者提供的至少兩個管理策略��。
4.根據前述權利要求中任意一項所述的方法���,其中,所述多個管理策略包括第一管理策略和第二管理策略�,以及基于針對所述多個管理策略的所述優(yōu)先級排序來將所述許可設置應用于所述應用包括: 確定所述第一管理策略與所述第二管理策略相沖突���;以及 響應于確定所述第二管理策略具有高于所述第一管理策略的優(yōu)先級排序,應用所述第二管理策略�。
5.根據前述權利要求中任意一項所述的方法,其中��,所述許可設置基于具有最高優(yōu)先級排序的管理策略`��。
6.根據權利要求5所述的方法�����,其中���,所述具有最高優(yōu)先級排序的管理策略是所述多個管理策略中最嚴格的管理策略�����。
7.根據權利要求5所述的方法��,其中�����,所述具有最高優(yōu)先級排序的管理策略是所述多個管理策略中最不嚴格的管理策略����。
8.根據前述權利要求中任意一項所述的方法,還包括:部分地基于所述應用請求的數據����,確定針對所述多個管理策略中的每個管理策略的優(yōu)先級排序���。
9.根據前述權利要求中任意一項所述的方法�����,其中���,針對在所述設備上啟動的所述應用的實例確定優(yōu)先級排序,以及針對在所述設備上啟動的所述應用的每個新的實例重新確定新的優(yōu)先級排序���。
10.根據前述權利要求中任意一項所述的方法����,其中����,所述多個管理策略是從一個或多個源接收的�����,并且所述方法還包括: 確定從其接收到管理策略的源已經廢除所述管理策略��;以及 響應于確定所述源已經廢除所述管理策略�,重新計算針對剩余管理策略中的每個管理策略的新的優(yōu)先級排序�����。
11.根據前述權利要求中任意一項所述的方法�����,還包括: 在所述設備上提供周邊管理器界面���;以及 在所述周邊管理器界面中提供用于編輯管理策略的功能�。
12.—種設備,包括: 數據處理裝置�����;以及 計算機可讀介質�,所述計算機可讀介質存儲能夠由所述數據處理裝置執(zhí)行以執(zhí)行根據權利要求1至11中任意一項所述的方法的指令。
13.一種計算機可讀介質,所述計算機可讀介質存儲能夠由數據處理裝置執(zhí)行以執(zhí)行根據權利要求1至11中任意一項所述的 方法的指令�。
【文檔編號】G06F21/45GK103778364SQ201310504548
【公開日】2014年5月7日 申請日期:2013年10月23日 優(yōu)先權日:2012年10月24日
【發(fā)明者】亞當·理查德·斯基曼, 丹尼爾·約拿·梅杰, 凱文·古德曼, 西瓦庫瑪·納加拉揚 申請人:黑莓有限公司, Qnx軟件系統(tǒng)有限公司