- 1、本文档共3页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
EMM客户端aWork的使用
员工通过个人域中的EMM客户端aWork访问工作域,是一种轻量级的沙箱机制,不需要Android系统、iOS系统的高权限。
EMM客户端aWork的使用流程如下:
EMM沙箱客户端技术概述
非安全应用通过自动方式集成封装组件,成为安全应用。安全区应用间共享同一个安全剪切板,共享同一个虚拟外置存储,安全应用间可以正在的互相访问;但是个人区的的非安全应用禁止访问安全区应用的数据。
封装安全组件包括以下几个功能模块,安全剪切板、安全分享模块、安全文件系统等,通过应用封装隔离组件后,封装的应用数据会与个人应用分离,安全应用间会共享安全数据,同时个人应用禁止访问安全应用。
沙箱文件系统
文件系统隔离将个人区与安全区的应用数据进行隔离存储,对企业的数据进行安全加密重定向处理,达到安全区应用与非安全区应用无法互相访问的安全效果,具体包括对企业应用数据进路径重定向、存储路径加密、存储数据加密;通过封装隔离组件后,封装应用间会共享同一个虚拟的文件系统,与外部应用隔离同时安全应用间可以互相共享。
文件系统隔离主要包括两大功能:文件隔离和文件内容加密。通过隔离功能将文件路径重定向到安全沙箱目录,方便对安全数据进行管理;通过加密功能对文件数据进行加密,保证数据是加密存储,即使文件泄露也不会导致数据泄露。
文件隔离的工作流程如下所示:
拦截到OS系统的文件操作,判断访问的文件是否为重定向安全区数据;
如果不是访问安全工作区数据,直接返回系统调用,否则修改访问路径重定向到安全数据区;
对访问到的数据进行加解密操作,完成后调用原系统调用。
分享和打开隔离
应用进行分享隔离主要包括如下场景:
安全应用向个人应用主动分享;
个人应用向安全应用进行分享;
安全应用向安全应用进行分享。
分享和打开隔离主要限制安全应用主动分享给非安全应用、非安全应用主动拉起安全应用分享。
在某些客户场景下,处于便利性考虑,可以通过放开非安全应用到安全应用的文件分享,如在个人App中的有用的工作文件希望传递到工作域中的OA App中,提升工作效率。
剪切板隔离
剪切板隔离通过构建虚拟安全剪切板,主要控制
个人应用和安全应用复制粘贴;
安全应用与安全应用之间的复制粘贴。
默认情况下,从个人App粘贴到安全应用是禁止的,但是出于工作便利性考虑,可以配置放开,保障工作效率。
与SDK沙箱技术的对比
SDK沙箱隔离主要依靠SDK生态,通过API调用的控制来实现相关的隔离。
深信服沙箱基于关键的核心组件,不依赖SDK API接口,可以通过底层封装技术,将安全应用的相关调用重定向到沙箱组件中,通过组件进行安全隔离策略进行控制。
Android与iOS实现区别
Android和iOS沙箱的实现原理基本相同,除了文件加密功能有所差别:
Android是通过隔离加密组件实现文件加密,见文件系统隔离;
iOS是依赖于系统自身的加密机制实现。
文档评论(0)